Miðlun yfirmanns á upplýsingum úr veikindavottorði til félagasamtaka
Mál nr. 2018/86
Úrskurður
Á fundi stjórnar Persónuverndar þann 18. september 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2018/86:
I.
Málsmeðferð
1.
Tildrög máls
Þann 8. janúar 2018 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) vegna miðlunar persónuupplýsinga til þriðja aðila. Í kvörtuninni segir m.a. að fyrrverandi vinnuveitandi kvartanda hafi haft samband við félagasamtök, sem kvartandi var sjálfboðaliði hjá, og greint frá því að hún væri í veikindaleyfi og jafnframt nánar um ástæður þess.
Kvartandi tekur fram að hún hafi verið starfsmaður hjá [fyrirtækinu X] og hafi farið í veikindaleyfi vegna andlegra veikinda þann […] 2017. Hafi hún verið með öllu óvinnufær og í meðferð hjá sálfræðingi og geðlækni. Frá því í […] 2017 hafi hún verið sjálfboðaliði hjá félagasamtökum, [samtökunum Y], þar sem fundað hafi verið u.þ.b. klukkustund aðra hverja viku. Hafi kvartandi gert þetta í samráði við lækna þar sem félagsstarf hafi verið talið hafa jákvæð áhrif á bata hennar. Segir kvartandi að yfirmaður hennar, framkvæmdastjóri [fyrirtækisins X], hafi fregnað þetta […] og ályktað að hún hafi verið vinnufær á meðan á uppsagnarfresti stóð, þrátt fyrir að fyrir lægi vottorð sem staðfesti hið gagnstæða. Hafi formaður og eigandi félagasamtakanna hringt í kvartanda og upplýst að yfirmaður hennar hefði hringt til að grennslast fyrir um hlutverk kvartanda innan samtakanna og hefði yfirmaðurinn þá greint frá því að kvartandi væri í veikindaleyfi og frá ástæðum leyfisins. Telur kvartandi að þetta hafi verið brot á trúnaði um hennar persónulega líf og heilsufar. Þá hafi yfirmaður hennar aldrei haft samband við hana til að fá upplýsingar um hlutverk hennar innan félagasamtakanna. Hafi honum verið óheimilt að greina öðrum frá persónulegum upplýsingum um hana. Félagasamtökin hafi ekki vitað af veikindum hennar og hafi hún ekki haft hug á að ræða sín persónulegu mál innan þeirra.
Með tölvupósti, þann 8. janúar 2018, óskaði kvartandi eftir því að haft yrði samband við sig áður en ábyrgðaraðila yrði tilkynnt um kvörtunina. Með tölvupósti, þann 1. febrúar s.á., spurði Persónuvernd hvort kvartandi hefði einhverju við efni kvörtunarinnar að bæta eða aðrar athugasemdir, áður en haft yrði samband við ábyrgðaraðila. Kvartandi staðfesti, með símtali, að hún hefði ekki frekari athugasemdir að svo stöddu og óskaði eftir því að hefðbundin málsmeðferð færi fram.
2.
Bréfaskipti
Með bréfi, dags. 13. febrúar 2018, var [fyrirtækinu X] boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Með tölvupósti, þann 5. mars s.á., óskaði framkvæmdastjóri félagsins eftir því að haft yrði samband við sig símleiðis. Í símtali við hann, þann 6. mars s.á., var fallist á beiðni hans um framlengingu á svarfresti til 20. mars s.á. Svarbréf [fyrirtækisins X] barst Persónuvernd með tölvupósti þann 25. mars 2018. Í bréfinu kemur m.a. fram að kvartandi hafi sagt upp störfum vorið 2017 og að uppsagnarfrestur hafi verið þrír mánuðir. Eftir nokkra fundi með kvartanda hafi aftur á móti verið ákveðið að hún kæmi aftur til starfa. Fram kemur að kvartandi hafi verið töluvert frá vinnu á uppsagnarfrestinum, en engu að síður hafi verið ákveðið að gera nýjan ráðningarsamning við kvartanda, sem hafi sagst vera fullfrísk og kraftmikil. Stuttu síðar hafi kvartandi þó framlengt vottorð sitt vegna veikinda og ekki komið framar til starfa. Segir að ekki hafi ríkt traust til kvartanda eftir það.
Tekið er fram í bréfi [fyrirtækisins X] að Samtök atvinnulífsins (SA) hafi annast uppgjör við kvartanda, en VR hafi aðstoðað kvartanda. Hafi sú vinna gengið vel. Rétt áður en lokauppgjör fór fram við kvartanda kveðst [fyrirtækið X] hafa fengið upplýsingar um að kvartandi væri farin að mæta í [samtökin Y] að safna styrkjum fyrir samtökin. Fram kemur að [fyrirtækið X] hafi ekki haft upplýsingar um hvort hún fengi greitt fyrir þetta. Hafi félagið leitað til SA um álit á þessum aðstæðum sem hafi upplýst að væri kvartandi á launum, væri hún að brjóta sinn rétt og hefði það áhrif á lokauppgjör við hana. Nauðsynlegt hafi verið að komast að hinu rétta og í því skyni hafi félagið ákveðið að hafa samband við [samtökin Y] til að fá þetta staðfest svo ganga mætti frá lokauppgjöri ráðningarsamningsins við kvartanda á réttum forsendum.
Í svarbréfinu segir jafnframt að framkvæmdastjóri [fyrirtækisins X] hafi rætt við stjórnarformann [samtakanna Y] og upplýst hann um tilefni erindisins, þ.e. að verið væri að ganga frá lokauppgjöri ráðningarsamnings við kvartanda. Hafi hann óskað eftir því að samtalið yrði trúnaðarsamtal og hafi hann eingöngu spurt hvort kvartandi mætti í [samtökin Y] og hvort hún fengi greidd laun fyrir störf sín. Viðkomandi hafi sagt að ekki væri um launað starf að ræða, auk þess sem fyrirkomulagi starfa og mætingar var lýst. Í framhaldinu hafi samtalið farið út í ástæður þess að kvartandi hafi hætt hjá [fyrirtækinu X]. Að lokum er ítrekað að eingöngu hafi verið hringt í [samtökin Y] til að fá staðfest að kvartandi væri ekki á launum þar, til að gæta hagsmuna [fyrirtækisins X] og tryggja að réttar upplýsingar væru fyrir hendi við lokauppgjör.
Með bréfi, dags. 27. mars 2018, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar [fyrirtækisins X] til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf kvartanda barst Persónuvernd með tölvupósti þann 16. apríl s.á. Þar segir m.a. að frammistaða kvartanda sem starfsmanns sé ekki eitthvað sem skipti máli í samhengi við kvörtun vegna trúnaðarbrests. Sé því ýmislegt fullyrt í svari [fyrirtækisins X] sem í raun sé málinu óviðkomandi.
Í svarbréfi kvartanda er atvikum lýst með þeim hætti að kvartandi hafi sagt upp störfum […] 2017. Mánudaginn […] hafi kvartandi og framkvæmdastjóri [fyrirtækisins X] átt fund varðandi framtíð hennar hjá fyrirtækinu. Í september s.á. hafi verið ákveðið að gera nýjan ráðningarsamning, sem undirritaður hafi verið […] s.á. Þann […] s.m. hafi kvartandi farið á geðdeild. Í kjölfarið hafi hún fengið læknisvottorð sem hafi gilt frá […] til […] s.á. Í framhaldi af endurmati á geðdeild hafi vottorðið verið framlengt til […]s.á. Kvartandi hafi hitt framkvæmdastjóra [fyrirtækisins X] á fundi þann […], þar sem hann hafi afhent henni uppsagnarbréf.
Enn fremur tekur kvartandi fram að einhverra hluta vegna hafi framkvæmdastjóri [fyrirtækisins X] haldið að hún væri að vinna fyrir [samtökin Y], en raunin hafi verið sú að hún hefði byrjað sem sjálfboðaliði hjá [samtökunum Y] þann […] 2017. Þá hefði [fyrirtækið X] verið hætt að greiða henni laun. Hafi kvartandi átt rétt á að vera í sjálfboðastarfi í veikindaleyfi sínu. Þá hafi framkvæmdastjóri [fyrirtækisins X] aldrei haft samband við kvartanda sjálfa eða VR, sem annaðist hennar mál, til að afla upplýsinga um störf hennar fyrir [samtökin Y], sem fólust í því að hún mætti á klukkutíma fund hálfsmánaðarlega. Þess í stað hafi hann hringt í [forsvarsmann samtakanna Y], þar sem staða hennar innan samtakanna hafi verið rædd og veikindaleyfi hennar. Þetta telur kvartandi ófagmannlegt og brot á trúnaði.
Með tölvupósti, þann 17. apríl 2018, sendi kvartandi Persónuvernd viðbótarupplýsingar. Kemur þar fram að eftir útreikninga VR á launaseðlum hennar frá [fyrirtækinu X] seinustu 6 mánuðina sem hún vann þar hafi komið í ljós að [fyrirtækið X] hafi skuldað kvartanda greiðslur, þar sem ekki hefði verið greidd út orlofsuppbót sem skyldi.
Með tölvupósti þann 29. ágúst 2018 óskaði Persónuvernd eftir afriti af veikindavottorði því sem lá fyrir í málinu. Afrit barst með tölvupósti, dags. 30. s.m. Í vottorðinu, dags. […] 2017, kemur fram að um sé að ræða læknisvottorð til atvinnurekanda v/fjarvista. Þá er tiltekið að sé óskað nánari upplýsinga um sjúkdóm/slys skuli trúnaðarlæknir snúa sér til læknis þess er vottorð ritaði. Þá er vottorðið undirritað af tilteknum sérfræðilækni. Aðrar upplýsingar um eðli veikindanna sem um ræðir koma ekki fram á vottorðinu.
II.
Forsendur og niðurstaða
1.
Lagaskil
Mál þetta varðar kvörtun sem barst Persónuvernd þann 8. janúar 2018 og lýtur að atvikum sem gerðust fyrir gildistöku núgildandi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga þann 15. júlí 2018. Umfjöllun og efni þessa úrskurðar verða því byggð á ákvæðum eldri laga, nr. 77/2000, en ekki er um efnislegar breytingar að ræða í lögum 90/2018 á þeim reglum laganna sem hér reynir á.
2.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Þá er með hugtakinu „vinnsla“ átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.
Munnleg miðlun upplýsinga ein og sér fellur, samkvæmt framangreindu, ekki berum orðum undir gildissvið laga nr. 77/2000 nema hún fari fram í beinu samhengi við vinnslu í skilningi þeirra og teljist því vera þáttur í henni, nánar tiltekið sem liður í röð aðgerða þar sem unnið er með persónuupplýsingar, sbr. áðurgreint ákvæði 2. tölul. 2. gr. laganna. Í málinu liggur fyrir að þriðja aðila voru veittar upplýsingar um heilsufar kvartanda símleiðis. Þá verður ekki annað ráðið af málsatvikum en að umræddar upplýsingar eigi uppruna sinn í skriflegum gögnum, þ.e. veikindavottorði, dags. […] 2017, sem eru hluti af skrá í skilningi 3. gr. laganna. Eins og hér háttar til telst miðlun upplýsinganna hafa átt sér stað í þess háttar tengslum við slík gögn að hún teljist beinn þáttur í vinnslu samkvæmt lögunum. Telst því hér vera um að ræða vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 77/2000 eins og það er afmarkað í framangreindum ákvæðum.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Í ljósi þess að umræddum upplýsingum var miðlað frá [fyrirtækinu X] telst það félag vera ábyrgðaraðili að umræddri vinnslu, þ.e. miðlun heilsufarsupplýsinga um kvartanda til þriðja aðila.
Af framangreindu er ljóst að miðlun [fyrirtækisins X] á persónuupplýsingum um kvartanda til þriðja aðila fellur undir gildissvið laga nr. 77/2000.
3.
Niðurstaða
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Má þar nefna að aflað sé samþykkis, sbr. 1. tölul. 1. mgr. þeirrar greinar, og að hún sé nauðsynleg til að gæta lögmætra hagsmuna, enda vegi grundvallarréttindi og frelsi hins skráða ekki þyngra, sbr. 7. tölul. sömu málsgreinar. Þá verður vinnsla viðkvæmra persónuupplýsinga, þ. á m. um heilsuhagi, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000, að auki að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna. Má þar einnig nefna samþykki, sbr. 1. tölul. 1. mgr. þeirrar greinar, sem og meðal annars að vinnsla sé nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja, sbr. 7. tölul. sömu málsgreinar.
Auk heimildar samkvæmt framangreindu verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Fyrir liggur að ekki var aflað samþykkis kvartanda fyrir umræddri miðlun. Þá verður ekki séð að aðrar heimildir til vinnslu persónuupplýsinga hafi átt við, en telja verður, í ljósi meðal annars fyrrgreindrar grunnkröfu um sanngirni og eins hér háttar til, að [fyrirtækið X] hefði fyrst átt að leita til kvartanda sjálfrar til að fá staðfestingu á atriðum sem skiptu máli í tengslum við starfslok. Er það því niðurstaða Persónuverndar að miðlunin hafi ekki samrýmst lögum nr. 77/2000.
Ú r s k u r ð a r o r ð:
Miðlun [fyrirtækisins X] á persónuupplýsingum um [A] til þriðja aðila samræmdist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.