Miðlun heilbrigðisupplýsinga frá Sjúkratryggingum Íslands
Mál nr. 2020010431
Persónuvernd hefur kveðið upp úrskurð í máli er varðaði miðlun persónuupplýsinga um heilsufar barns frá Sjúkratryggingum Íslands til Tannlæknadeildar Háskóla Íslands, þar sem óskað var eftir sérfræðiáliti deildarinnar á vanda barnsins. Kvörtunin laut að fyrrnefndri miðlun persónuupplýsinga, ásamt öryggisráðstöfunum Sjúkratrygginga Íslands í tengslum við miðlunina.
Persónuvernd komst að þeirri niðurstöðu að miðlun Sjúkratrygginga Íslands hefði samrýmst persónuverndarlögum, þar sem stofnuninni var heimilt að kalla til sérfræðinga til að aðstoða stofnunina við mat á þörf á sérfræðiaðstoð sem skyldi niðurgreidd. Þá var talið að öryggisráðstafanir Sjúkratrygginga hefðu verið fullnægjandi og samrýmst kröfum persónuverndarlaga.
Litið var til þess að skylda til að fræða hinn skráða um vinnslu á ekki við ef lagaheimild stendur til skráningar eða miðlunar upplýsinga og var því ekki talið að Sjúkratryggingar Íslands hefðu brotið gegn persónuverndarlögum með því að upplýsa kvartanda ekki sérstaklega um miðlun upplýsinganna.
Úrskurður
Hinn 1. júlí 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010431 (áður 2019112090):
I.
Málsmeðferð
1.
Tildrög máls og bréfaskipti
Hinn 5. nóvember 2019 barst Persónuvernd kvörtun frá [A], f.h. ólögráða sonar síns, [B] (hér eftir nefnd kvartandi), yfir miðlun persónuupplýsinga um hann frá Sjúkratryggingum Íslands til Tannlæknadeildar Háskóla Íslands.
Með bréfi, dags. 8. júní 2020, var Sjúkratryggingum Íslands boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svar Sjúkratrygginga Íslands barst með bréfi, dags. 3. júlí s.á. Með bréfi, dags. 26. ágúst s.á., var kvartanda veittur kostur á að tjá sig um framkomin svör Sjúkratrygginga Íslands, en svar kvartanda barst með tölvupósti þann 16. september s.á. Með tölvupósti þann 9. apríl 2021 var óskað frekari upplýsinga frá Sjúkratryggingum Íslands, en svar barst þann 16. s.m.
Við úrlausn málsins hefur verið tekið tillit til framangreindra gagna, þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
2.
Sjónarmið kvartanda
Í kvörtuninni segir að Sjúkratryggingar Íslands hafi sent upplýsingar um heilsufar barns kvartanda til deildarforseta Tannlæknadeildar Háskóla Íslands með beiðni um að háskólinn ynni sérfræðiálit á vanda barnsins. Fram kemur að deildarforseti hafi móttekið upplýsingarnar og útdeilt álitsbeiðninni til lektors við deildina. Hafi deildarforseti því ekki haft beina aðkomu að málinu, en varðveiti þó enn persónuupplýsingar um barn kvartanda. Einnig segir að viðkomandi lektor hafi fengið umræddar persónuupplýsingar afhentar á minnislykli með þeim fyrirmælum að skila minnislyklinum að mati loknu. Ekki hafi verið óskað eftir leyfi fyrir miðluninni og forsjáraðilar hafi ekki verið upplýstir um hana. Einnig segir að ekki hafi verið aflað trúnaðaryfirlýsingar frá þeim sem fengu aðgang að upplýsingunum áður en miðlunin átti sér stað og að ekki hafi verið tiltekið í verksamningi að sá sérfræðingur sem fenginn var til að gefa álit sitt á heilsufari kvartanda væri bundinn þagnarskyldu samkvæmt X. kafla stjórnsýslulaga nr. 37/1993, sbr. ákvæði þess efnis í 4. mgr. 42. gr. þeirra laga.
Að mati kvartanda var miðlun Sjúkratrygginga Íslands á persónuupplýsingum um barn hennar til deildarforseta Tannlæknadeildar Háskóla Íslands óheimil, m.a. á þeim grundvelli að hann hafði sjálfur ekki beina aðkomu að gerð álitsins heldur útdeildi beiðninni til lektors innan deildarinnar. Þá er það jafnframt mat kvartanda að ekki hafi verið gætt að fullnægjandi öryggisráðstöfunum við vinnsluna þar sem Sjúkratryggingar Íslands hafi ekki fengið undirritaða trúnaðaryfirlýsingu frá viðkomandi lektor áður en hún fékk persónuupplýsingar um barn kvartanda afhentar. Þá telur kvartandi einnig að óska hefði átt eftir leyfi forsjáraðila og að þeir hefðu átt að vera upplýstir um miðlunina.
3.
Sjónarmið Sjúkratrygginga Íslands
Í svarbréfi Sjúkratrygginga Íslands segir að tilgangur vinnslunnar hafi verið að kanna réttmæti ákvörðunar stofnunarinnar um að ekki væri til staðar réttur til greiðsluþátttöku Sjúkratrygginga Íslands vegna meðferðar barns kvartanda. Miðlun persónuupplýsinga til Tannlæknadeildar Háskóla Íslands hafi því verið nauðsynleg til að kanna hvort réttur til greiðsluþátttöku Sjúkratrygginga Íslands væri til staðar. Byggja Sjúkratryggingar Íslands á því að miðlunin hafi verið hluti af lögbundnum skyldum stofnunarinnar vegna greiðsluþátttöku í tannlækningum, auk þess sem vísað er til heimildar stofnunarinnar í 8. gr. laga nr. 112/2008 um sjúkratryggingar til að kalla til sérfræðinga til að aðstoða stofnunina. Miðlunin hafi því farið fram á grundvelli 3. tölul. 9. gr. og 2. tölul. 1. mgr. 11. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Samkvæmt svörum Sjúkratrygginga Íslands, dags. 16. apríl 2021, voru umræddar upplýsingar upphaflega sendar til stofnunarinnar frá tannlækni kvartanda og var upplýsinganna því aflað frá öðrum en hinum skráða. Um skyldu Sjúkratrygginga Íslands til að fræða kvartanda um miðlun upplýsinganna til Tannlæknadeildar Háskóla Íslands segir meðal annars að samkvæmt c-lið 5. mgr. 14. gr. reglugerðar (ESB) 2016/679 sé ekki til staðar skylda til að fræða um vinnslu persónuupplýsinga sem hafa ekki fengist hjá hinum skráða ef skýrt er mælt fyrir um öflun eða miðlun upplýsinganna í lögum sem kveða á um viðeigandi ráðstafanir til að vernda lögmæta hagsmuni hins skráða. Þá er jafnframt vísað til d-liðar sama ákvæðis þar sem segir að ákvæði um fræðslu um vinnslu persónuupplýsinga sem hafa ekki fengist hjá hinum skráða gildi ekki ef persónuupplýsingarnar eru bundnar trúnaði á grundvelli þagnarskyldu í samræmi við lög, en í svari Sjúkratrygginga Íslands segir að sérfræðingar í tannlækningum sem starfi við Tannlæknadeild Háskóla Íslands séu bundnir þagnarskyldu samkvæmt lögum.
Um öryggisráðstafanir við miðlun upplýsinganna segir að Sjúkratryggingar Íslands hafi sent gögn málsins með ábyrgðarpóstsendingu til Tannlæknadeildar Háskóla Íslands á pappírsformi, en bréfinu var beint til deildarforseta. Í bréfinu kom fram að Sjúkratryggingar Íslands teldu að málið væri þess eðlis að þörf væri á áliti óháðs sérfræðings í tannréttingum og að óskað væri eftir aðstoð deildarinnar. Samkvæmt svari Sjúkratrygginga Íslands hefur deildarforsetinn staðfest að hafa afhent gögnin persónulega til þess lektors sem hún hafði tilnefnt sem álitsgjafa, en aðrir hafi ekki fengið aðgang að gögnunum. Lektorinn óskaði eftir því að fá gögnin afhent á minnislykli, sem hún fékk afhentan í húsnæði Sjúkratrygginga Íslands með því skilyrði að hún myndi skila honum aftur að álitsgerð lokinni og að hún myndi ekki taka afrit af umræddum gögnum. Álitið var sent Sjúkratryggingum Íslands, ásamt minnislyklinum, með ábyrgðarpóstsendingu en í bréfinu var jafnframt að finna staðfestingu þess efnis að engin gögn málsins væru enn í fórum viðkomandi lektors eða deildarinnar og að eftir að álitið hafi verið sent Sjúkratryggingum Íslands hafi pappírsgögnum verið eytt með öruggum hætti.
Einnig segir að Sjúkratryggingar Íslands hafi ekki undirritað vinnslusamning við Háskóla Íslands vegna málsins þar sem litið hafi verið svo á að háskólinn væri ábyrgðaraðili þeirrar vinnslu sem tengdist gerð álitsins.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili og afmörkun máls
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Mál þetta lýtur að kvörtun vegna miðlunar persónuupplýsinga frá Sjúkratryggingum Íslands til Tannlæknadeildar Háskóla Íslands og öryggisráðstafana Sjúkratrygginga Íslands í tengslum við miðlunina. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar.
Sem fyrr segir er í málinu kvartað yfir vinnslu persónuupplýsinga hjá Sjúkratryggingum Íslands, þ. á m. miðlun persónuupplýsinga til Háskóla Íslands og ófullnægjandi öryggisráðstöfunum Sjúkratrygginga Íslands við miðlunina. Verður því hér ekki tekin afstaða til vinnslu persónuupplýsinga sem fram fór hjá Tannlæknadeild Háskóla Íslands. Eins og hér háttar til teljast Sjúkratryggingar Íslands vera ábyrgðaraðili að þeirri vinnslu sem kvartað er yfir.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018 og 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. 9. gr. laga nr. 90/2018 og e-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna og 9. gr. reglugerðar (ESB) 2016/679. Samkvæmt b-lið 3. tölul. 3. gr. laganna og 1. mgr. 9. gr. reglugerðarinnar eru heilsufarsupplýsingar viðkvæmar, en af kvörtun verður ráðið að unnið hafi verið með slíkar upplýsingar um barn kvartanda. Eins og hér háttar til kemur þá einkum til skoðunar 2. tölul. 1. mgr. 11. gr. laganna og b-liður 2. mgr. 9. gr. reglugerðarinnar, þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf og löggjöf um almannatryggingar og félagslega vernd og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.
Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Í svari Sjúkratrygginga Íslands segir að miðlun persónuupplýsinga um barn kvartanda hafi farið fram á grundvelli heimildar í 8. gr. laga nr. 112/2008 um sjúkratryggingar, en þar segir að sjúkratryggingastofnuninni sé heimilt að skipa starfshópa og kalla til sérfræðinga til að aðstoða stofnunina, m.a. við gerð samninga, notkun gagnreyndrar þekkingar á sviði heilbrigðisþjónustu, árangursmat, gæðamat og eftirlit og við mat á því hvort unnt sé að veita læknismeðferð hér á landi. Samkvæmt 1. mgr. 20. gr. sömu laga taka sjúkratryggingar til nauðsynlegra tannlækninga aldraðra, öryrkja og barna yngri en 18 ára, annarra en tannréttinga, sem samið hefur verið um skv. IV. kafla sömu laga. Þá taka sjúkratryggingar til nauðsynlegra tannlækninga og tannréttinga sem samið hefur verið um skv. IV. kafla vegna alvarlegra afleiðinga meðfæddra galla, slysa og sjúkdóma. Þá er nánar kveðið á um rétt einstaklinga til greiðsluþátttöku sjúkratrygginga í reglugerð nr. 451/2013 um þátttöku sjúkratrygginga í kostnaði sjúkratryggðra við tannlækningar.
Að mati Persónuverndar getur miðlun persónuupplýsinga, í tengslum við mat á þörf á tannréttingum sem skulu niðurgreiddar af hálfu sjúkratrygginga, farið fram á grundvelli framangreindra lagaákvæða.
3.
Öryggi persónuupplýsinga
Að mati kvartanda gættu Sjúkratryggingar Íslands ekki að fullnægjandi öryggisráðstöfunum við miðlun persónuupplýsinga til Tannlæknadeildar Háskóla Íslands. Í kvörtuninni kemur fram að bréf með persónuupplýsingum um barn kvartanda hafi verið sent til forseta Tannlæknadeildar Háskóla Íslands, en hann hafi ekki haft aðkomu að gerð umbeðinnar álitsgerðar og að persónuupplýsingar séu enn varðveittar hjá deildarforseta auk þess sem ekki hafi verið fengin trúnaðaryfirlýsing frá viðkomandi álitsgjafa til samræmis við 4. mgr. 42. gr. stjórnsýslulaga.
Ábyrgðaraðila ber að gæta þess að vinnsla persónuupplýsinga fari fram á þann hátt að viðeigandi öryggi þeirra sé tryggt, sbr. 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og f-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Þá ber ábyrgðaraðila að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi skráðra einstaklinga, sbr. 23. gr. laganna og 1. mgr. 24. gr. reglugerðarinnar.
Meðal öryggisráðstafana sem ábyrgðaraðili þarf að grípa til eru skipulagslegar ráðstafanir til að ganga úr skugga um að persónupplýsingar berist ekki óviðkomandi aðilum. Í því tilviki sem hér um ræðir var persónuupplýsingum um kvartanda miðlað frá Sjúkratryggingum Íslands til Tannlæknadeildar Háskóla Íslands þar sem deildin var beðin um álit sitt á þeim atriðum sem þörfnuðust úrlausnar að mati stofnunarinnar. Sérfræðingur við deildina vann umrætt álit og sendi til Sjúkratrygginga Íslands. Verður því með hliðsjón af framangreindu ekki talið að persónuupplýsingar hafi verið sendar til óviðkomandi aðila.
Hvað varðar varðveislu þessara upplýsinga hjá Tannlæknadeild Háskóla Íslands þá segir í bréfi Sjúkratrygginga Íslands að hvorki deildarforseti né viðkomandi lektor varðveiti enn persónuupplýsingar um kvartanda, en samkvæmt bréfi stofnunarinnar var rafrænum gögnum skilað og pappírsgögnum eytt með öruggum hætti.
Lög nr. 90/2018 og reglugerð (ESB) 2016/679 gera ekki sérstaka kröfu um að ábyrgðaraðili þurfi í öllum tilvikum að afla trúnaðaryfirlýsinga þegar sérfræðingar eru fengnir til að taka að sér verk að beiðni ábyrgðaraðila. Það getur þó verið nauðsynlegur þáttur í öryggisráðstöfunum hjá ábyrgðaraðila að ganga úr skugga um að sá sem fær persónuupplýsingar afhentar sé bundinn trúnaði, svo sem með undirritun trúnaðaryfirlýsingar. Í því tilviki sem hér um ræðir voru viðkomandi starfsmenn Tannlæknadeildar Háskóla Íslands þegar bundnir þagnarskyldu samkvæmt 18. gr. laga nr. 70/1996, sbr. 42. gr. stjórnsýslulaga nr. 37/1993, sem og á grundvelli 17. gr. laga nr. 34/2012 um heilbrigðisstarfsmenn. Í ljósi þess að umræddir starfsmenn voru þá þegar bundnir þagnarskyldu verður ekki talið að ábyrgðaraðila hafi borið að afla sérstakra trúnaðaryfirlýsinga áður en viðkomandi var veittur aðgangur að umræddum persónuupplýsingum.
Með hliðsjón af öllu framangreindu telur Persónuvernd að vinnslan hafi samrýmst ákvæðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679 hvað varðar öryggi við vinnslu persónuupplýsinga.
4.
Fræðsla
Samkvæmt 2. tölul. 17. gr. laga nr. 90/2018 á hinn skráði rétt til upplýsinga um vinnslu, hvort sem persónuupplýsinga er aflað hjá honum sjálfum eða ekki, samkvæmt fyrirmælum 13.-15. gr. reglugerðar (ESB) 2016/679. Þegar persónuupplýsinga er aflað frá öðrum en hinum skráða sjálfum ber almennt að veita honum fræðslu í samræmi við 14. gr. reglugerðarinnar. Sú fræðsluskylda á þó ekki við ef lagaheimild stendur til skráningar eða miðlunar upplýsinganna, sbr. c.-lið 5. mgr. 14. gr. reglugerðarinnar. Með vísan til alls framangreinds verður því ekki talið að Sjúkratryggingar Íslands hafi brotið gegn lögum nr. 90/2018 með því að hafa ekki upplýst kvartanda sérstaklega um miðlun persónuupplýsinga til Tannlæknadeildar Háskóla Íslands í tengslum við umrædda álitsbeiðni.
5.
Niðurstaða
Að öllu framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla Sjúkratrygginga Íslands á persónuupplýsingum um kvartanda hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Ú r s k u r ð a r o r ð:
Miðlun Sjúkratrygginga Íslands á persónuupplýsingum um [B] til Tannlæknadeildar Háskóla Íslands samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Í Persónuvernd, 1. júlí 2021
Vigdís Eva Líndal Þórður Sveinsson