Úrlausnir

Birting lista yfir starfsmenn sem höfðu gert samgöngusamning við Sjúkratryggingar Íslands

Mál nr. 2018/295

19.11.2019

Persónuvernd hefur úrskurðað í máli vegna kvörtunar yfir því að listi yfir þá starfsmenn Sjúkratrygginga Íslands, sem höfðu gert samgöngusamning við stofnunina, væri birtur á innri vef stofnunarinnar. Í svörum ábyrgðaraðila segir að starfsmaðurinn hafi með undirritun samnings samþykkt að nafn hennar yrði birt á innri vef stofnunarinnar. Í úrskurði Persónuverndar er komist að þeirri niðurstöðu að í ljósi þess aðstöðumunar sem var á ábyrgðaraðila og kvartanda, þ.e. samband vinnuveitanda og starfsmanns, þá verði ekki talið að það skilyrði samþykkis, að það sé veitt af fúsum og frjálsum vilja, hafi verið uppfyllt. Var því komist að þeirri niðurstöðu að birting Sjúkratrygginga Íslands á persónuupplýsingum um kvartanda, á lista yfir þá starfsmenn sem höfðu gert samgöngusamning við stofnunina, hafi ekki samrýmast lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Úrskurður


Hinn 3. október 2019 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2018/295:

I.

Málsmeðferð

1.

Tildrög máls

Hinn 9. febrúar 2018 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) yfir birtingu lista á innri vef Sjúkratrygginga Íslands yfir þá starfsmenn stofnunarinnar sem höfðu gert samgöngusamning við stofnunina og fengu þar með samgöngustyrk. Í kvörtun kemur fram að í stöðluðum samgöngusamningi stofnunarinnar segi meðal annars að með undirritun sinni samþykki starfsmaður að nafn hans verði birt á innri vef Sjúkratrygginga Íslands á lista með nöfnum þeirra sem hafi gert slíkan samning. Samgöngustyrkurinn sé því háður því skilyrði að starfsmaður samþykki nafnbirtingu, en fram kemur að kvartandi telji þetta ekki samrýmast lögum um persónuvernd.

Einnig segir að ekki hafi fengist skrifleg svör við fyrirspurnum um tilgang birtingar nafnalistans, en að forstjóri hafi tjáð kvartanda munnlega að tilgangurinn sé sá að aðrir starfsmenn geti fylgst með þeim sem séu á listanum og tilkynnt um möguleg brot gegn samgöngusamningnum.

2.

Bréfaskipti

Með bréfi, dags. 5. apríl 2018, var Sjúkratryggingum boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 25. júní s.á. Þar segir að samkvæmt 5. gr. þess samgöngusamnings sem kvartandi hafi undirritað hafi hún samþykkt að nafn hennar yrði birt á innri vef stofnunarinnar. Stofnunin hafi því í góðri trú litið svo á að viðkomandi starfsmaður hafi samþykkt umrædda vinnslu og vinnslan hafi því verið heimil á grundvelli 1. tölul. 1. gr. þágildandi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Einnig segir að við nánari skoðun sé ljóst að tilgangur birtingarinnar, sbr. 7. gr. sömu laga, sé ekki nægilega skýr og yfirlýstur. Sjúkratryggingar hafi því látið af birtingu nafna þeirra sem gert hafi samgöngusamning við stofnunina þar til breytingar hafi verið gerðar á samningnum þannig að tilgangur nafnbirtingarinnar komi skýrt fram.

Með bréfi, dags. 18. september 2018, var kvartanda veitt færi á athugasemdum við framangreindar skýringar Sjúkratrygginga. Ekkert svar barst Persónuvernd. Í símtali við starfsmann Persónuverndar 8. apríl 2019 tilkynnti kvartandi að hún óskaði eftir úrskurði Persónuverndar í málinu.

II.

Forsendur og niðurstaða

1.

Lagaskil og afmörkun máls

Kvörtun í máli þessu barst Persónuvernd þann 9. febrúar 2018 og með bréfi, dags. 25. júní s.á., tilkynntu Sjúkratryggingar að þær hefðu látið af birtingu listans þar til gerðar hefðu verið breytingar á umræddum samgöngusamningum þannig að tilgangur nafnbirtingar kæmi skýrt fram. Atvik máls þessa gerðust því fyrir gildistöku núgildandi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga hinn 15. júlí 2018. Umfjöllun og efni þessa úrskurðar byggjast því á ákvæðum eldri laga, nr. 77/2000, en með gildistöku laga nr. 90/2018 voru ekki gerðar efnislegar breytingar á þeim reglum sem hér reynir á.

2.

Gildissvið – Ábyrgðaraðili

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til teljast Sjúkratryggingar Íslands vera ábyrgðaraðili að umræddri vinnslu.

3.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 8. gr. laga nr. 77/2000. Má þar nefna að vinna má með persónuupplýsingar ef hinn skráði hefur ótvírætt samþykkt vinnsluna, sbr. 1. tölul. 1. mgr. 8. gr. laganna, en í bréfi Sjúkratrygginga Íslands segir að vinnslan hafi farið fram á þeim grundvelli.

Samþykki er skilgreint í 7. tölul. 2. gr. laga nr. 77/2000 sem sérstök ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv. Til að samþykki teljist gefið að fúsum og frjálsum vilja þarf hinn skráði að hafa sýnilegt og raunverulegt val um að veita það ekki. Huga þarf sérstaklega að því skilyrði þegar aðstöðumunur er á ábyrgðaraðila og hinum skráða, s.s. þegar um er að ræða samband vinnuveitanda og starfsmanna. Verður í því tilviki sem hér um ræðir ekki talið að skilyrði samþykkis fyrir vinnslu persónuupplýsinga hafi verið uppfyllt.

Í bréfi Sjúkratrygginga, dags. 25. júní 2018, segir að tilgangur birtingarinnar hafi ekki verið nægilega skýr og yfirlýstur, en ekki kemur fram hver sá tilgangur hafi verið. Í ljósi þess verður ekki séð hvort eða þá hvaða önnur heimild skv. 8. gr. laga nr. 77/2000, sbr. nú 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, geti staðið til vinnslunnar.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra skuli vera í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.). Með hliðsjón af fyrrnefndu bréfi Sjúkratrygginga, þar sem fram kemur að tilgangur birtingarinnar hafi ekki verið nægilega skýr og yfirlýstur, er það mat Persónuverndar að vinnsla Sjúkratrygginga Íslands hafi ekki uppfyllt 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000.

4.

Niðurstaða

Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla Sjúkratrygginga Íslands á persónuupplýsingum um kvartanda hafi ekki samrýmst lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Meðferð máls þessa hefur dregist vegna anna hjá Persónuvernd.

Ú r s k u r ð a r o r ð:

Birting Sjúkratrygginga Íslands á persónuupplýsingum um kvartanda á lista yfir þá starfsmenn sem höfðu gert samgöngusamning við stofnunina samrýmdist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

 

Í Persónuvernd, 3. október 2019

 

Helga Þórisdóttir                       Helga Sigríður Þórhallsdóttir



Var efnið hjálplegt? Nei