Úrlausnir
Tilkynningarskylda til Persónuverndar um færslu sjúkraskráa
Persónuvernd hefur svarað fyrirspurn Landlæknisembættisins varðandi hvort sérhver heilbrigðisstarfsmaður, sem starfar við heilbrigðisþjónustu, sem er skylt að færa sjúkraskrá, þurfi að tilkynna það sérstaklega til Persónuverndar. Í svari stofnunarinnar kom m.a. fram að að tilkynningarskylda hvíli á ábyrgðaraðila að vinnslu persónuupplýsinga en samkvæmt lögum um sjúkraskrár sé heilbrigðisstofnun eða starfsstofa heilbrigðisstarfsmanna, þar sem sjúkraskrár eru færðar, ábyrgðaraðili sjúkraskráa. Tilkynningarskylda hvíli því ekki á sérhverjum heilbrigðisstarfsmanni.
Persónuvernd vísar til bréfs Landlæknisembættisins, dags. 23. mars 2011, varðandi túlkun lagaákvæða um sjúkraskrár og tilkynningarskyldu til Persónuverndar. Vísað er til þess í bréfinu að samkvæmt 4. gr. laga nr. 55/2009 um sjúkraskrár skal sérhver heilbrigðisstarfsmaður, sem fær sjúkling til meðferðar, færa sjúkraskrá. Þá segir að samkvæmt upplýsingum frá Persónuvernd (sbr. símtöl 21. janúar og 11. mars 2011) beri þeim sem færa upplýsingar í sjúkraskrá á rafrænan máta að tilkynna það til Persónuverndar. Gildi þá einu hvort um sé að ræða sérhannað forrit fyrir rafræna sjúkraskrá eða færslu sjúkraskrárupplýsinga í tölvu, t.d. í ritvinnsluforrit. Með vísan til þessa segir í bréfinu:
„Landlæknisembættið óskar eftir því að stjórn Persónuverndar fjalli um og upplýsi landlækni um það hvort sú lagaskylda sem kveðið er á um í lögum um sjúkraskrá nr. 55/2009, að sérhverjum heilbrigðisstarfsmanni sem starfar við heilbrigðisþjónustu sé skylt að færa sjúkraskrá, leiði af sér að honum beri að tilkynna það sérstaklega til Persónuverndar og þá einnig hvort form skráningar skipti máli.“
2.
Samkvæmt 1. mgr. 31. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga skal sérhver ábyrgðaraðili, sem beitir rafrænni tækni við vinnslu persónuupplýsinga, á þar til gerðu formi tilkynna Persónuvernd um vinnsluna. Samkvæmt 3. mgr. sömu greinar getur Persónuvernd ákveðið undanþágur frá tilkynningarskyldunni um almennar persónuupplýsingar, sbr. 6. gr. reglna stofnunarinnar nr. 712/2008 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga. Undanþágurnar geta hins vegar ekki gilt um viðkvæmar persónuupplýsingar. Upplýsingar um heilsuhagi eru viðkvæmar, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000, og því þarf ávallt að tilkynna um rafræna færslu sjúkraskráa.
Sú tilkynningarskylda hvílir eins og fyrr greinir á ábyrgðaraðila að vinnslu persónuupplýsinga, þ.e. þeim sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laga nr. 77/2000. Þegar tilgangur vinnslu er ákveðinn með lögum er almennt litið svo á að sá aðili, sem lög fela vinnsluna, sé ábyrgðaraðili í skilningi þessa ákvæðis.
Í 12. tölul. 3. gr. laga nr. 55/2009 segir að heilbrigðisstofnun eða starfsstofa heilbrigðisstarfsmanna, þar sem sjúkraskrár eru færðar, sé ábyrgðaraðili sjúkraskráa. Hafi sjúkraskrárkerfi heilbrigðisstofnana eða starfsstofa heilbrigðisstarfsmanna, tveggja eða fleiri, verið sameinuð, sbr. VI. kafla laganna, teljist ábyrgðaraðili sjúkraskráa í kerfinu sá aðili, sem heilbrigðisstofnanir eða starfsstofur heilbrigðisstarfsmanna sem aðild eiga að kerfinu, hafa komið sér saman um.
Þegar litið er til framangreinds telur Persónuvernd ljóst að tilkynningarskylda samkvæmt 1. mgr. 31. gr. laga nr. 77/2000 hvíli ekki á sérhverjum heilbrigðisstarfsmanni. Þá skal tekið fram að í leiðbeiningum Persónuverndar í símtölum 21. janúar og 11. mars 2011 var það ekki gefið til kynna.
Tilkynningarskylda samkvæmt framangreindu hvílir hins vegar, eins og fyrr greinir, á ábyrgðaraðila að vinnslu persónuupplýsinga. Eðlilegt er að líta svo á að þegar um ræðir sjúkraskrár falli það hugtak saman við áðurnefnda skilgreiningu á hugtakinu ábyrgðaraðila sjúkraskráa samkvæmt lögum nr. 55/2009. Í því felst nánar tiltekið að heilbrigðisstofnun eða starfsstofu heilbrigðisstarfsmanna ber að tilkynna um starfrækslu rafrænna sjúkraskráa á sínum vegum. Þegar tekið hefur verið upp sameiginlegt sjúkraskrárkerfi fleiri en einnar stofnunar eða starfsstofa nægir tilkynning frá þeim sem fengið hefur hlutverk ábyrgðaraðila í samræmi við 12. tölul. 3. gr. Það hvort rafrænar sjúkraskrár eru færðar í sérhönnuðu forriti eða með öðrum hætti skiptir ekki máli í því sambandi.
Um það sem fram á að koma í tilkynningum er fjallað í 32. gr. laga nr. 77/2000. Þá er nánari ákvæði um tilkynningar að finna í áðurnefndum reglum nr. 712/2008. Tilkynningar eru birtar í þar til gerðri skrá á heimasíðu Persónuverndar með vísan til 17. gr. laganna. Notast er við sérstakt eyðublað til að fylla út tilkynningar sem sent er beint af heimasíðu Persónuverndar.