Miðlun persónuupplýsinga hjá Heilbrigðisstofnun Suðurnesja og Isavia ohf.
Mál nr. 2020010670
Persónuvernd hefur úrskurðað um að miðlun persónuupplýsinga frá Heilbrigðisstofnun Suðurnesja til Isavia ohf. annars vegar, og hins vegar miðlun sömu persónuupplýsinga innan Isavia ohf. hafi ekki samrýmst lögum nr. 90/2018, en í málinu lá fyrir sú afstaða beggja ábyrgðaraðila að ekki hefði verið heimild fyrir umræddum vinnsluaðgerðum. Landssambandi slökkviliðs- og sjúkraflutningamanna var játuð aðild að málinu á grundvelli 2. máls. 2. mgr. 39. gr. sömu laga, sbr. 80. gr. reglugerðar (ESB) 2016/679.
Úrskurður
Á fundi stjórnar Persónuverndar hinn 28. maí 2020 var kveðinn upp svohljóðandi
úrskurður í máli nr. 2020010670 (áður
2018122137):
I.
Málsmeðferð
1.
Tildrög máls
Hinn 3. desember 2018 barst Persónuvernd kvörtun frá Landssambandi slökkviliðs- og sjúkraflutningamanna f.h. félagsmanna sinna (hér eftir nefnt kvartandi) yfir meðferð Isavia ohf. og Heilbrigðisstofnunar Suðurnesja á upplýsingum um tiltekna starfsmenn flugvallarsviðs sem jafnframt eru félagsmenn kvartanda. Með kvörtuninni fylgdi afrit þeirra tölvupóstsamskipta sem kvartað er yfir.
Með bréfum, dags. 1. júlí 2019, var Isavia ohf. og Heilbrigðisstofnun Suðurnesja boðið að koma á framfæri skýringum vegna kvörtunarinnar. Barst svar heilbrigðisstofnunarinnar með tölvupósti 15. ágúst 2019 og svar Isavia ohf. með bréfi dags. 3. september s.á. Með bréfi, dags. 6. janúar 2020, var kvartanda boðið að tjá sig um framangreind svör. Staðfesti kvartandi símleiðis þann 2. apríl 2020 að sambandið teldi ekki ástæðu til að tjá sig um svörin en að þess væri óskað að meðferð málsins yrði fram haldið.
2.
Sjónarmið kvartanda
Kvartandi byggir á því að án samþykkis hlutaðeigandi starfsmanna hafi Heilbrigðisstofnun Suðurnesja ekki verið heimilt að miðla sjúkraskrárgögnum til Isavia ohf. Fyrir liggur að hjúkrunarfræðingur hjá heilbrigðisstofnuninni sendi tölvupóst til verkefnastjóra hjá Isavia ohf. sem innihélt lista yfir þá starfsmenn flugvallarsviðs sem óljóst var hvort hefðu verið bólusettir fyrir mislingum og hettusótt. Á listann voru skráð nöfn starfsmannanna, kennitölur þeirra og símanúmer. Þá var sérstakur reitur fyrir athugasemdir við hvert nafn. Umræddur reitur var ýmist tómur eða í hann ritað „Fann bólusetningarskírteini, mmr ekki skráð“. Í fyrrnefndum tölvupósti kemur fram að í öðrum tilfellum hafi bólusetningarskírteini ekki fundist. Var þess óskað að viðtakandi tölvupóstsins spyrði umrædda starfsmenn hvort þeir hefðu verið bólusettir fyrir mislingum og hettusótt. Tölvupósturinn ásamt listanum var í kjölfarið áframsendur til allra starfsmanna flugvallarsviðs Isavia ohf., en kvartandi byggir einnig á því að sú miðlun hafi ekki verið heimil án samþykkis starfsmannanna sem upplýsingarnar vörðuðu.
Að því er varðar aðild vísar kvartandi til 2. mgr. 39. gr. laga nr. 90/2018. Kvartandi komi fram fyrir hönd félagsmanna sinna sem óski eftir nafnleynd.
3.
Sjónarmið Isavia ohf.
Í svari Isavia ohf. kemur fram að starfsmönnum flugvallarþjónustu á Keflavíkurflugvelli hafi verið boðið upp á bólusetningar starfa sinna vegna. Heilbrigðisstofnun Suðurnesja hafi haft framkvæmd þeirra með höndum. Til að tryggja að allar nauðsynlegar upplýsingar lægju fyrir hafi heilbrigðisstofnunin sent tölvupóst til Isavia ohf. þar sem fram kom að upplýsingar vantaði fyrir einhverja starfsmenn auk leiðbeininga um hvernig starfsmennirnir gætu aflað upplýsinganna áður en mætt yrði til bólusetningar. Þess hafi verið óskað að skilaboðunum yrði komið á framfæri við viðkomandi starfsmenn. Starfsmaður Isavia ohf. hafi svo framsent umræddan póst til allra starfsmanna flugvallarþjónustu Keflavíkurflugvallar, sem voru 27 talsins. Persónuverndarfulltrúa fyrirtækisins hafi strax borist upplýsingar um atvikið. Um öryggisbrest hafi verið að ræða þar sem tölvupósturinn innihélt persónuupplýsingar sem hefði átt að senda hverjum og einum viðkomandi starfsmanna, en ekki öllum starfsmönnum flugvallarþjónustunnar. Aftur á móti hafi ekki verið upplýsingar um það í tölvupóstinum hvort viðkomandi einstaklingar hefðu verið bólusettir og hafi hann því ekki innihaldið viðkvæmar persónuupplýsingar í skilningi b-liðar 3. tölul. 3. gr. laga nr. 90/2018.
Fram kemur í svari Isavia ohf. að umræddur tölvupóstur hafi verið sendur fyrir mistök. Ekki hafi verið heimild í 9. gr. laga nr. 90/2018 fyrir miðluninni. Isavia ohf. hafi strax leitað leiða til að lágmarka áhrif miðlunarinnar og beðist afsökunar á mistökunum. Í kjölfarið hafi svo verið gengið frá vinnslusamningi við Heilbrigðisstofnun Suðurnesja og verklag Isavia ohf. að því er varðar sendingu persónuupplýsinga í tölvupósti uppfært.
Tekið var fram að Persónuvernd hefði verið tilkynnt um málið þó Isavia ohf. hefði ekki talið að um alvarlegan öryggisbrest væri að ræða. Fyrirtækinu hefði svo borist erindi frá Persónuvernd þann 4. janúar 2019 þar sem fram hefði komið að stofnunin hefði farið yfir efni tilkynningarinnar og teldi ekki tilefni til aðgerða miðað við þær upplýsingar sem hún hefði að geyma.
4.
Sjónarmið Heilbrigðisstofnunar Suðurnesja
Af hálfu Heilbrigðisstofnunar Suðurnesja kom fram að við gerð vinnsluskrár haustið 2018 hefði komið í ljós að ekki væri lagaheimild fyrir þeirri vinnslu sem kvörtunin varðaði. Hefði vinnslunni því verið hætt. Nánari upplýsingar var ekki að finna í svari stofnunarinnar.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðilar
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að að miðlun upplýsinga um nöfn, kennitölur og símanúmer 21 starfsmanns Isavia ohf. og ýmist upplýsinga um að bólusetningarskírteini hefði ekki fundist eða að slíkt skírteini hefði fundist en að á það væru ekki skráðar upplýsingar um svokallaða MMR-bólusetningu. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Heilbrigðisstofnun Suðurnesja vera ábyrgðaraðili að þeirri vinnslu sem fólst í miðlun upplýsinga um hóp starfsmanna til Isavia ohf. Isavia ohf. telst hins vegar ábyrgðaraðili að þeirri vinnslu sem fólst í miðlun sömu upplýsinga til allra starfsmanna flugvallarsviðs fyrirtækisins.
2.
Aðild Landssambands slökkviliðs- og sjúkraflutningamanna
Samkvæmt 2. mgr. 39. gr. laga nr. 90/2018 hefur sérhver skráður einstaklingur eða fulltrúi hans rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur vinnslu persónuupplýsinga um hann brjóta í bága við lögin eða reglugerð (ESB) 2016/679. Þá getur stofnun, samtök eða félag samkvæmt 80. gr. reglugerðarinnar lagt fram kvörtun hjá Persónuvernd hafi þau ástæðu til að ætla að réttindi skráðs einstaklings hafi verið brotin. Ekki var að finna sambærilega heimild í eldri lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Í 1. mgr. 80. gr. reglugerðar (ESB) 2016/679 er nánar kveðið á um skilyrði aðildar samkvæmt framangreindu. Þannig þarf stofnun, samtök eða félag að vera stofnað í samræmi við lög aðildarríkis, hafa lögboðin markmið í þágu almannahagsmuna og vera virkt á sviði verndar réttinda og frelsis skráðra einstaklinga að því er varðar vernd persónuupplýsinga um þá.
Frá gildistöku laga nr. 90/2018 hefur Persónuvernd einu sinni tekið afstöðu til þess hvort skilyrði aðildar að kvörtunarmáli hjá stofnuninni samkvæmt 2. málsl. 2. mgr. 39. gr. laga nr. 90/2018 hafi verið uppfyllt. Um var að ræða kvörtun Eflingar - stéttarfélags fyrir hönd ótilgreindra félagsmanna sinna (mál nr. 2019030490) yfir vinnslu persónuupplýsinga um þá á vinnustað þeirra. Við meðferð málsins hjá Persónuvernd var félaginu tilkynnt um þá afstöðu stofnunarinnar að það uppfyllti ekki skilyrði til að koma fram fyrir hönd félagsmanna sinna án þess að fyrir lægi umboð þar að lútandi. Byggðist það einkum á því að lög nr. 80/1938, um stéttarfélög og vinnudeilur, gerðu ekki ráð fyrir því að hlutverk stéttarfélaga væri að gæta að persónuverndarréttindum félaga sinna eða að vera virk á sviði persónuverndar, auk þess sem lög Eflingar – stéttarfélags bæru slíkt heldur ekki með sér. Tveir einstaklingar lögðu í kjölfarið fram umboð til lögmanns Alþýðusambands Íslands, sem rak málið fyrir hönd Eflingar – stéttarfélags, og var úrskurður Persónuverndar í málinu kveðinn upp þann 20. desember 2019.
Við nánari athugun er það mat Persónuverndar að framangreind afstaða stofnunarinnar hafi falið í sér þrengri túlkun 2. mgr. 39. gr. laga nr. 90/2018, sbr. 80. gr. reglugerðar (ESB) 2016/679, en tilefni var til, einkum að því er varðar kröfur til þess að hlutverk eða tilgangur félags sé með berum orðum skilgreindur með þeim hætti að í honum felist vernd réttinda félagsmanna á sviði persónuverndar. Í 1. gr. laga nr. 80/1938, um stéttarfélög og vinnudeilur, kemur fram að rétt eigi menn á að stofna stéttarfélög í þeim tilgangi að vinna sameiginlega að hagsmunamálum verkalýðsstéttarinnar og launtaka yfirleitt. Þá kemur fram í 1. mgr. 3. gr. að stéttarfélög ráði málefnum sínum sjálf með þeim takmörkunum sem sett eru í lögunum. Af framangreindum ákvæðum verður ekki annað séð en að vernd réttinda félagsmanna á sviði persónuverndar geti rúmast innan hlutverks stéttarfélags, að því gefnu að lög eða samþykktir félagsins girði ekki fyrir slíkt, enda verður ekki séð að önnur ákvæði laga nr. 80/1938 standi í vegi fyrir því.
Að mati Persónuverndar er ekki unnt að líta svo á að eina leiðin fyrir stofnun, félag eða samtök til að geta talist virk á sviði persónuverndar sé sú að tiltaka það með beinum hætti í lögum sínum eða samþykktum. Þá verður heldur ekki ráðið af lögum nr. 90/2018, reglugerð (ESB) 2016/679 eða lögskýringargögnum að nauðsynlegt sé að kveðið sé á um slíkt í þeim lögum er gilda um viðkomandi starfsemi. Slík túlkun myndi í raun hafa í för með sér að afar fáir aðilar hér á landi, ef einhverjir, gætu að óbreyttu beint kvörtun til Persónuverndar á grundvelli 2. málsl. 2. mgr. 39. gr. laga nr. 90/2018. Þá verður að ætla að það að standa vörð um réttindi félagsmanna á sviði persónuverndar, t.d. með því að beina kvörtun til Persónuverndar, geti í ákveðnum tilvikum gefið vísbendingu um að félag sé í reynd virkt á því sviði.
Á hinn bóginn hefur Persónuvernd litið svo á að stofnunin geti ekki gefið fyrirheit um nafnleynd kvartanda, þrátt fyrir að hennar sé óskað, þar sem af stjórnsýslulögum leiðir að veita verður málsaðilum aðgang að bréfaskiptum. Þá er ekki unnt að tryggja nafnleynd til frambúðar þar sem Persónuvernd getur verið skylt að veita þeim sem þess óskar upplýsingar um erindi sem berast stofnuninni á grundvelli upplýsingalaga nr. 140/2012. Þykir því rétt að miða áfram við að kvarti félag, stofnun eða samtök fyrir hönd tiltekins, nafngreinds einstaklings þurfi slík kvörtun að byggjast á umboði. Sé hins vegar um að ræða kvörtunarefni sem hefur almennari skírskotun og þýðingu fyrir breiðari hóp einstaklinga kemur til álita að slíkum aðila verði játuð aðild að kvörtunarmáli hjá Persónuvernd á grundvelli 2. málsl. 2. mgr. 39. gr. laga nr. 90/2018, að öðrum skilyrðum uppfylltum.
Í 2. gr. laga kvartanda, Landssambands slökkviliðs- og sjúkraflutningamanna, er félagið skilgreint sem fagstéttarfélag sem hefur meðal annars þann tilgang að vinna að kjara- og réttindamálum nánar tilgreindra starfsstétta. Einnig hefur félagið þann tilgang að koma fram fyrir hönd félagsmanna í samskiptum við önnur samtök launafólks og yfirvöld, að efla fræðslu og kynningu um fagleg málefni og um kjaramál og önnur þau málefni, sem varðað geta hagsmuni félagsmanna. Að mati Persónuverndar er rétt að líta svo á að það geti rúmast innan tilgangs félagsins að beina kvörtun til stofnunarinnar á grundvelli 2. málsl. 2. mgr. 39. gr. laga nr. 90/2018 fyrir hönd hóps félagsmanna sinna.
Í ljósi alls framangreinds er það niðurstaða Persónuverndar að eins og hér háttar til uppfylli Landssamband slökkviliðs- og sjúkraflutningamanna skilyrði laga nr. 90/2018 og reglugerðar (ESB) 2016/679 til að koma fram fyrir hönd félagsmanna sinna í máli þessu án þess að fyrir liggi sérstakt umboð þess efnis. Verður kvörtunin því tekin til efnislegrar úrlausnar.
3.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. þeirrar greinar, eða vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. sömu greinar.
Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laga nr. 90/2018 og því þarf að leggja mat á hvort áðurnefndar upplýsingar um skort á skráningu bólusetninga teljist viðkvæmar í skilningi laganna. Kemur einkum til skoðunar hvort upplýsingarnar geti fallið undir b-lið 3. tölul. 3. gr. þeirra um heilsufarsupplýsingar, sem þar eru skilgreindar sem upplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og upplýsingar um lyfja-, áfengis- og vímuefnanotkun. Af gögnum málsins er ljóst að umrædd tölvupóstsamskipti innihéldu upplýsingar um að óljóst væri hvort tilteknir starfsmenn flugvallarsviðs Isavia ohf. hefðu hlotið bólusetningu við mislingum og hettusótt. Slíkar upplýsingar verða ekki taldar varða líkamlegt heilbrigði hlutaðeigandi einstaklinga. Þá verða þær heldur ekki taldar fela í sér upplýsingar um heilbrigðisþjónustu sem þeir hafa fengið, heldur einungis að upplýsingar um slíka þjónustu hafi ekki legið fyrir hjá Heilbrigðisstofnun Suðurnesja eða í þeim skrám sem stofnunin hefur aðgang að. Ekki var því um að ræða miðlun viðkvæmra persónuupplýsinga í skilningi laga nr. 90/2018 og kemur 1. mgr. 11. gr. þeirra þar af leiðandi ekki til skoðunar.
Auk heimildar samkvæmt 9. gr laga nr. 90/2018 verður vinnsla persónuupplýsinga að fullnægja öllum meginreglum 1. mgr. 8. gr. sömu laga, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.) og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.).
3.1.
Miðlun Heilbrigðisstofnunar Suðurnesja á persónuupplýsingum til Isavia ohf.
Samkvæmt þeim upplýsingum sem liggja fyrir í máli þessu var engin heimild fyrir miðlun framangreindra persónuupplýsinga samkvæmt 9. gr. laga nr. 90/2018. Var hún því andstæð ákvæðum laganna.
Þegar af þeirri ástæðu er það niðurstaða Persónuverndar að vinnsla Heilbrigðisstofnunar Suðurnesja á persónuupplýsingum um félagsmenn kvartanda hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Með vísan til þess sem fram hefur komið um viðbrögð Heilbrigðisstofnunar Suðurnesja í málinu og gerð vinnslusamnings milli Isavia ohf. og Heilbrigðisstofnunar Suðurnesja er það mat Persónuverndar að ekki sé þörf á að beina sérstökum fyrirmælum til heilbrigðisstofnunarinnar vegna þeirrar vinnslu sem hér er til umfjöllunar.
3.2.
Miðlun persónuupplýsinga innan Isavia ohf.
Samkvæmt þeim upplýsingum sem liggja fyrir í máli þessu var miðlun umræddra persónuupplýsinga innan Isavia ohf. afleiðing mistaka og engin heimild fyrir henni samkvæmt 9. gr. laga nr. 90/2018. Var hún því andstæð ákvæðum laganna.
Að framangreindu virtu er það niðurstaða Persónuverndar að vinnsla Isavia ohf. á persónuupplýsingum um félagsmenn kvartanda hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Með vísan til þess sem fram hefur komið um
viðbrögð Isavia ohf. í málinu og gerð vinnslusamnings milli Isavia ohf. og
Heilbrigðisstofnunar Suðurnesja er það mat Persónuverndar að ekki sé þörf á að
beina sérstökum fyrirmælum til Isavia ohf. vegna þeirrar vinnslu sem hér er til
umfjöllunar.
Ú r s k u r ð a r o r ð:
Vinnsla Heilbrigðisstofnunar Suðurnesja á persónuupplýsingum um félagsmenn Landssambands slökkviliðs- og sjúkraflutningamanna með miðlun þeirra til Isavia ohf. samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Vinnsla Isavia ohf. á persónuupplýsingum um félagsmenn Landssambands slökkviliðs- og sjúkraflutningamanna samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Í Persónuvernd, 28. maí 2020
Björg Thorarensen
formaður
Aðalsteinn
Jónasson Ólafur
Garðarsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson