Miðlun Sjúkratrygginga Íslands á viðkvæmum persónuupplýsingum barns samrýmdist ekki lögum
Mál nr. 2020102685
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir því að Sjúkratryggingar Íslands sendu bréf með viðkvæmum persónuupplýsingum barns í vefgátt óviðkomandi aðila. Fyrir liggur að miðlun persónuupplýsinganna var afleiðing mistaka og samrýmdist því ekki lögum um persónuvernd. Persónuvernd telur það jafnframt ámælisvert að Sjúkratryggingar Íslands hafi ekki tryggt viðeigandi öryggi upplýsinganna og hefur hafið úttekt á vinnslu persónuupplýsinga hjá Sjúkratryggingum Íslands.
Úrskurður
Hinn 30. ágúst 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020102685.
I.
Málsmeðferð
1.
Tildrög máls
Hinn 21. október 2020 barst Persónuvernd kvörtun frá [A], (hér eftir nefnd kvartandi), yfir því að Sjúkratryggingar Íslands hefðu sent bréf, sem innihélt viðkvæmar upplýsingar um barn hennar inn á vefgátt óviðkomandi aðila.
Með bréfi, dags. 4. maí 2021, var Sjúkratryggingum Íslands boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 3. júní 2021.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
2.
Sjónarmið kvartanda
Af hálfu kvartanda hefur komið fram að Sjúkratryggingar Íslands hafi sent bréf inn í vefgátt óviðkomandi aðila. Bréfið varðaði synjun Sjúkratrygginga Íslands um greiðsluþátttöku í kostnaði við tannréttingar barns kvartanda en í bréfinu hafi jafnframt komið fram sérfræðimat tannlæknadeildar Háskóla Íslands á fæðingargalla barnsins og mat fagnefndar Sjúkratrygginga Íslands á sama galla.
3.
Sjónarmið Sjúkratrygginga Íslands
Af hálfu Sjúkratrygginga Íslands hefur komið fram að á stofnuninni hvíli meðal annars það hlutverk að annast sjúkratryggingar til nauðsynlegra tannlækninga og tannréttinga vegna alvarlegra afleiðinga meðfæddra galla, slysa og sjúkdóma. Þá sé stofnuninni, skv. lögum nr. 112/2008, um sjúkratryggingar, heimil vinnsla persónuupplýsinga, þar á meðal viðkvæmra persónuupplýsinga um heilsufar, lyfjanotkun og heilbrigðisþjónustu einstaklinga, til að sinna lögbundnum skyldum sínum. Leitast hafi verið við að takmarka upplýsingarnar í umræddu bréfi og það hafi aðeins innihaldið þær upplýsingar sem nauðsynlegar hafi verið til rökstuðnings á niðurstöðu málsins. Þá hafi jafnframt verið leitast við að tryggja öryggi upplýsinganna með því að birta þær í gegnum réttindagátt Sjúkratrygginga Íslands en ekki með bréfpósti.
Líkt og fram hafi komið í tilkynningu Sjúkratrygginga Íslands til Persónuverndar vegna öryggisbrestsins var bréfið sent á gátt óviðkomandi aðila. Um mannleg mistök hafi verið að ræða þegar starfsmaður Sjúkratrygginga Íslands skráði ranga kennitölu í viðtakandadálk í skjalakerfi stofnunarinnar.
Eftir að atvikið kom upp hafi verið gert áhættumat á vinnslunni, þ.e. hversu líklegt væri að slíkir brestir kæmu upp og kom þá í ljós að af rúmlega 100.000 sendingum sem fóru í gegnum réttindagátt stofnunarinnar árið 2020 hafi ein farið á ranga kennitölu. Þrátt fyrir þær tölur hafi engu að síður verið ráðist í úrbætur á upplýsingakerfi Sjúkratrygginga Íslands, sem koma eigi í veg fyrir að framangreind mistök geti endurtekið sig.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Mál þetta lýtur að miðlun persónuupplýsinga um barn kvartanda af hálfu Sjúkratrygginga Íslands til óviðkomandi aðila og fellur því undir valdsvið Persónuverndar.
Eins og hér háttar til verða Sjúkratryggingar Íslands talinn ábyrgðaraðili að umræddri vinnslu, sbr. 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðarinnar.
2.
Niðurstaða
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr. laganna (sbr. c-lið 1. mgr. 6. gr. reglugerðarinnar), eða sé vinnslan nauðsynleg við beitingu opinbers valds, sbr. 5. tölul. lagaákvæðisins (sbr. e-lið reglugerðarákvæðisins). Að auki verður vinnsla viðkvæmra persónuupplýsinga, svo sem persónuupplýsinga sem varða líkamlegt eða andlegt heilbrigði einstaklings, að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 9. gr. reglugerðarinnar.
Samkvæmt þeim upplýsingum sem liggja fyrir í máli þessu var miðlun framangreindra persónuupplýsinga til óviðkomandi aðila afleiðing mistaka og engin heimild fyrir henni samkvæmt lögum nr. 90/2018, sbr. reglugerð (ESB) 2016/679. Var hún því andstæð ákvæðum laganna. Í ljósi eðlis þeirra gagna sem um ræðir telur Persónuvernd það jafnframt vera ámælisvert að Sjúkratryggingar Íslands hafi ekki tryggt viðeigandi öryggi upplýsinganna líkt og áskilið er í 6. tölul. 1. mgr. 8. gr., 23., 24. og 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr., 24. gr., 25. gr. og 32. gr. reglugerðar (ESB) 2016/679.
Eins og mál þetta er vaxið og í ljósi þess að nú stendur yfir úttekt Persónuverndar á vinnslu persónuupplýsinga hjá Sjúkratryggingum Íslands er niðurstaða stofnunarinnar að ekki séu forsendur til beitingar sektarheimildar, sbr. 46. gr. laga nr. 90/2018.
Ú r s k u r ð a r o r ð:
Vinnsla Sjúkratrygginga Íslands á persónuupplýsingum um barn [A] vegna birtingu bréfs inn á vefgátt óviðkomandi aðila samrýmist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Persónuvernd, 30. ágúst 2021
Helga Þórisdóttir Vigdís Eva Líndal