Krafa Sjúkratrygginga Íslands um staðfestingu á heimild til aðgangs að persónuupplýsingum
Mál nr. 2017/1757
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir kröfu Sjúkratrygginga Íslands um sannvottun á því að kvartandi færi með forsjá barna sem hann óskaði aðgangs að persónuupplýsingum um. Nánar tiltekið óskuðu Sjúktratryggingar Íslands eftir að kvartandi aflaði samþykkis hins forsjáraðilans fyrir aðganginum eða framvísaði forsjárvottorði, sem hefði í för með sér kostnað fyrir kvartanda. Persónuvernd komst að þeirri niðurstöðu að framangreind krafa Sjúkratrygginga Íslands væri eðlileg í þeim tilgangi að sannreyna að viðkomandi hefði heimild til aðgangs að þeim upplýsingum sem um ræddi og að hún hefði því samrýmst lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Úrskurður
Hinn 31. október 2019 kvað Persónuvernd upp
svohljóðandi úrskurð í máli nr. 2017/1757:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 8. desember 2017 barst Persónuvernd kvörtun frá [kvartanda] yfir verklagi Sjúkratrygginga Íslands (hér eftir Sjúkratryggingar) við veitingu aðgangs að persónuupplýsingum um ólögráða börn. Nánar tiltekið kvartaði hann yfir kröfum Sjúkratrygginga til sannvottunar á því að hann færi með forsjá barna sem hann óskaði aðgangs að persónuupplýsingum um. Kröfurnar fólu í sér að hann aflaði samþykkis hins forsjáraðilans eða framvísaði vottorði, sem hefði í för með sér kostnað fyrir kvartanda. Einnig kvartaði hann yfir því að hann fengi reikninga og upplýsingar um börn sem hann færi ekki með forsjá yfir. Þær upplýsingar sem um ræddi væru upplýsingar um heilsuhagi sem varðveittar væru hjá Sjúkratryggingum Íslands.
Með kvörtuninni fylgdu tölvupóstsamskipti milli kvartanda og Sjúkratrygginga Íslands. Í tölvupóstsamskiptunum óskaði kvartandi eftir aðgangi að upplýsingum um þau börn sem hann færi með forsjá yfir. Í svari Sjúkratrygginga segir að kvartandi geti sótt um aðgang að upplýsingum um börn sem hann fari með forsjá yfir, en deili ekki lögheimili með, í gegnum réttindagátt Sjúkratrygginga. Einnig segir að kvartandi geti stytt ferlið með því að senda nýlegt forsjárvottorð frá Þjóðskrá Íslands með umsókninni og að þá sé venjulega hægt að sleppa því að veita forsjárforeldri sem deili lögheimili með börnunum tækifæri til athugasemda. Í svarinu segir einnig að þeir einstaklingar sem hafi sjálfkrafa aðgang að upplýsingum um börn séu þeir sem deili með þeim fjölskyldunúmeri samkvæmt skráningu Þjóðskrár og að Sjúkratryggingar hafi ekki upplýsingar um tengsl barna við einstaklinga umfram það sem fram komi í þeirri skráningu. Þar sem engin opinber skráning sé til á því hverjir fari með forsjá barna verði stofnuninni að berast staðfesting þess efnis að viðkomandi einstaklingum sé heimilt að fá aðgang að upplýsingunum.
Í samskiptunum segir að almennt hafi Sjúkratryggingar farið þá leið að bera umsókn undir þann aðila sem sé tengdur barni í opinberum skrám. Í þeim tilvikum fái hinn forsjáraðilinn 14 daga til að gera athugasemdir við umsóknina en annars sé aðgangurinn opnaður. Einnig segir að aðilum sé heimilt að kaupa forsjárvottorð hjá Þjóðskrá Íslands, sem kosti rúmar 2.000 krónur, og sé þá hægt að opna aðganginn án þess að bera það undir hinn forsjáraðilann.
2.
Bréfaskipti
Með bréfi, dags. 2. mars 2018, var Sjúkratryggingum Íslands boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svar Sjúkratrygginga barst með bréfi, dags. 6. apríl s.á. Þar segir m.a. að aðgangur fullorðinna einstaklinga að gögnum vegna barna í réttindagátt Sjúkratrygginga stýrist af því fjölskyldunúmeri sem barn tilheyri samkvæmt Þjóðskrá Íslands. Séu tveir foreldrar á heimili stýrist fjölskyldunúmer af eldra foreldrinu. Sjúkratryggingar hafi engar upplýsingar um hvaða einstaklingur fari með forsjá barns, enda sé ekki til miðlægt kerfi sem geymi þær upplýsingar.
Í bréfinu er vísað til úrskurðar Persónuverndar, dags. 16. júní 2017, í máli nr. 2016/847, en þar reyndi meðal annars á aðgang einstaklings að upplýsingum hjá Sjúkratryggingum um börn sem hann fór ekki með forsjá yfir. Í úrskurðinum eru af því tilefni áréttuð tilmæli Persónuverndar í úrskurði, dags. 3. nóvember 2015, í máli nr. 2015/526, um að koma þurfi í veg fyrir slíkt. Kemur fram í bréfi Sjúkratrygginga að í ljósi þessa sé óskað sannvottunar á forsjá barns þegar óskað sé eftir aðgangi að upplýsingum um það og upplýsingabeiðandi deili ekki með því lögheimili, enda geti Sjúkratryggingar ekki að öðrum kosti sannreynt hvort hlutaðeigandi fari í raun með forsjá. Með bréfi, dags. 18. september 2018, ítrekuðu með bréfi, dags. 14. janúar 2019, var kvartanda veittur kostur á að tjá sig um framkomin svör Sjúkratrygginga. Engin svör bárust Persónuvernd.
II.
Forsendur og niðurstaða
1.
Lagaskil og afmörkun máls
Mál þetta varðar kvörtun sem barst Persónuvernd 8. desember 2017 og lýtur bæði að atvikum sem gerðust fyrir gildistöku núgildandi laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, 15. júlí 2018, sem og ástandi sem enn er fyrir hendi, þ.e. að Sjúkratryggingar Íslands hafi ekki veitt kvartanda aðgang að persónuupplýsingum um þau börn sem hann fer með forsjá yfir og að hann hafi aðgang að persónuupplýsingum um börn sem hann fer ekki með forsjá yfir. Umfjöllun og efni þessa úrskurðar verða því byggð á ákvæðum laga nr. 90/2018.
Eins og rakið er hér að framan hefur Persónuvernd áður tekið til úrlausnar kvörtun kvartanda yfir því að Sjúkratryggingar Íslands hafi veitt honum aðgang að persónuupplýsingum um börn sem hann hefur ekki forsjá yfir en um þá kvörtun var fjallað í úrskurði stofnunarinnar í máli nr. 2016/847. Komst Persónuvernd þar að þeirri niðurstöðu að kvartandi hefði ekki lögvarða hagsmuni af úrlausn máls sem varðaði aðgang hans að upplýsingum um þau börn sem hann hefði ekki forsjá yfir. Með vísan til þeirrar niðurstöðu afmarkast úrlausnarefni Persónuverndar í máli þessu við lögmæti kröfu Sjúkratrygginga til sannvottunar á því að kvartandi fari með forsjá þeirra barna sem hann óskaði eftir aðgangi að persónuupplýsingum um.
2.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. 1. mgr. 4. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling. Einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, sbr. 2. tölul. 3. gr. laganna. Þá er með vinnslu átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. sömu greinar. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við þann sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga. Eins og hér háttar til teljast Sjúkratryggingar Íslands vera ábyrgðaraðili að umræddri vinnslu.
3.
Lögmæti vinnslu
Í málinu er kvartað yfir því að kvartandi þurfi að leggja fram forsjárvottorð, með tilheyrandi kostnaði, eða samþykkja að hinu forsjárforeldrinu sé veittur réttur til að gera athugasemdir þegar hann óskar eftir aðgangi að persónuupplýsingum um þau börn sem hann fer með forsjá yfir. Fyrir liggur að umræddur kostnaður nemur 2.550 kr., sbr. upplýsingar á vefsíðu Þjóðskrár Íslands, sbr. og 18. gr. gjaldskrár hennar, sbr. m.a. 3. mgr. 19. gr. laga nr. 54/1962 um þjóðskrá og almannaskráningu.
Við umrædda vinnslu persónuupplýsinga ber meðal annars að fara að ákvæðum 17. gr. laga nr. 90/2018, sbr. 12. og 15. gr. reglugerðar (ESB) 2016/679, sem kveða á um meginreglur um gagnsæi upplýsinga og rétt hins skráða til upplýsinga og aðgangs. Í 17. gr. laganna segir m.a. að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og tilkynningar til skráðs einstaklings samkvæmt fyrirmælum 12. gr. reglugerðarinnar svo að hann geti neytt upplýsingaréttar síns og réttar til aðgangs. Í 12. gr. reglugerðarinnar segir m.a. að ábyrgðaraðili skuli auðvelda skráðum einstaklingi að neyta réttar síns skv. 15.-22. gr. reglugerðarinnar. Í 15. gr. reglugerðarinnar er kveðið á um að skráður einstaklingur skuli hafa rétt til að fá staðfestingu á því frá ábyrgðaraðila hvort unnið sé með persónuupplýsingar er varða hann sjálfan, sem og aðgang að þeim upplýsingum. Upplýsingarétturinn samkvæmt framangreindu er bundinn við hinn skráða en aðrir en hinn skráði geta þó fylgt réttinum eftir, hafi þeir til þess sérstakt umboð eða sé að lögum heimilt að gera það. Ef hinn skráði er barn fer forsjáraðili með lögformlegt fyrirsvar fyrir hönd hans, sbr. 28. gr. barnalaga nr. 76/2003. Verður því talið að kvartanda sé heimilt að fá aðgang að upplýsingum um ólögráða börn sem hann fer með forsjá yfir.
Í svörum Sjúkratrygginga segir að þar sem ekki sé til neitt miðlægt kerfi með upplýsingum um hver fari með forsjá barna séu börn tengd þeim sem deili með þeim fjölskyldunúmeri samkvæmt skráningu Þjóðskrár Íslands. Óski forsjáraðili eftir leiðréttingu sé hinum forsjáraðilanum veittur kostur á að koma á framfæri athugasemdum við beiðnina en sá forsjáraðili sem óski leiðréttingar geti einnig framvísað forsjárvottorði, sem hafi í för með sér kostnað fyrir viðkomandi.
Á ábyrgðaraðila persónuupplýsinga hvílir sú skylda að ganga úr skugga um að óviðkomandi aðilum sé ekki veittur aðgangur að persónuupplýsingum. Sérstakrar varúðar þarf að gæta þegar um er að ræða viðkvæmar persónuupplýsingar, svo sem upplýsingar um heilsuhagi eins og hér um ræðir, sbr. b-lið 3. tölul. 1. mgr. 3. gr. laga nr. 90/2018.
Þá segir í 64. gr. formálsorða reglugerðar (ESB) 2016/679 að ábyrgðaraðili eigi að gera allar eðlilegar ráðstafanir til að sannreyna deili á skráðum einstaklingi sem óski eftir aðgangi að persónuupplýsingum. Þær ráðstafanir sem ábyrgðaraðila er heimilt að grípa til þarf að meta með hliðsjón af eðli og umfangi þeirra persónuupplýsinga sem óskað er aðgangs að, meðal annars hvort um sé að ræða viðkvæmar persónuupplýsingar.
Í málinu liggur fyrir að þegar Sjúkratryggingar veita einstaklingum aðgang að persónuupplýsingum barna aflar stofnunin upplýsinga frá Þjóðskrá Íslands um fjölskyldunúmer. Er aðgangur veittur þeim einstaklingum sem skráðir eru á sama fjölskyldunúmer og barnið án frekari athugunar. Þeir sem ekki eru skráðir á sama fjölskyldunúmer og barnið þurfa hins vegar að sýna fram á að þeir fari með forsjá viðkomandi barns til þess að fá aðgang að upplýsingunum, annaðhvort með því að framvísa forsjárvottorði frá Þjóðskrá Íslands eða með því að heimila Sjúkratryggingum að hafa samband við það forsjárforeldri sem deilir lögheimili með barninu og veita því færi á athugasemdum.
Að mati Persónuverndar er framangreind krafa Sjúkratrygginga Íslands eðlileg í þeim tilgangi að sannreyna að viðkomandi hafi heimild til aðgangs að þeim upplýsingum sem um ræðir. Í því tilviki sem hér um ræðir breytir það ekki mati Persónuverndar að það fyrirkomulag hafi í för með sér nokkurn kostnað fyrir það forsjárforeldri sem óskar aðgangs, enda verður sá kostnaður talinn hóflegur.
Með hliðsjón af framangreindu verður ekki talið að verklag Sjúkratrygginga Íslands við sannvottun umsækjenda um aðgang að viðkvæmum persónuupplýsingum um börn fari í bága við ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Meðferð þessa máls hefur tafist vegna mikilla anna hjá Persónuvernd.
Ú r s k u r ð a r o r ð:
Krafa Sjúkratrygginga Íslands um staðfestingu á því að [kvartandi] fari með forsjá þeirra barna, sem hann óskaði eftir aðgangi að persónuupplýsingum um, samrýmist lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
F.h. Persónuverndar,
Helga Þórisdóttir Helga Sigríður Þórhallsdóttir