Úrlausnir
Miðlun viðkvæmra persónuupplýsinga frá læknastöð til móður
Persónuvernd hefur vísað frá máli konu varðandi miðlun viðkvæmra persónuupplýsinga frá læknastöð til móður hennar. Málið var látið niður falla þar sem ekki væri komin fram sönnun um miðlunina.
Ákvörðun
Þann 22. júní 2011 tók stjórn Persónuverndar eftirfarandi ákvörðun í máli nr. 2010/1085:
Grundvöllur máls
Málavextir og bréfaskipti
Persónuvernd barst kvörtun E þann 25. nóvember 2010 yfir miðlun viðkvæmra persónuupplýsinga frá Húðlæknastöðinni til þriðja aðila, n.t.t. móður sinnar. Í kvörtun segir m.a.:
„Ég fékk símtal frá móður minni föstudaginn 19. nóvember þar sem hún spurði mig um læknatíma sem ég hafði farið í, hvers vegna, hvort það væri ekki allt í lagi o.s.frv. Einnig sagði hún mér að ég skuldaði x upphæð fyrir þann tíma. Þessar upplýsingar hafði hún fengið frá læknaritara á Húðlæknastöðinni sem hringdi í hana. Það er mitt persónulega mál að leita mér læknisþjónustu og það er óskiljanlegt hvernig læknaritara dettur það í hug að hringja í gsm síma móður sjúklings og gefa henni í té upplýsingar um sjúklinginn. Hafa ber í huga að ég (sjúklingurinn) er tuttugu og sex ára. Ég er afar ósátt við þessi vinnubrögð.“
Með bréfi, dags. 14. janúar 2011, óskaði Persónuvernd skýringar frá Húðlæknastöðinni Var þess sérstaklega óskað að fram kæmi hvort umrædd miðlun hefði átt sér stað og á hvaða heimild hún byggðist en svarfrestur var veittur til 28. janúar 2011. Með símtali, dags. 27. janúar 2011, óskaði Húðlæknastöðin eftir fresti til 14. febrúar 2011 til að svara og var sá frestur veittur.
Svarbréf M, skrifstofu- og starfsmannastjóra Húðlæknastöðvarinnar, barst með tölvubréfi, þann 14. febrúar 2011. Þar segir:
„Varðandi kvörtun til Persónuverndar frá E [..] Viðskiptavinir (sjúklingar) Húðlæknastöðvarinnar eru beðnir að gefa upp ásamt persónulegum upplýsingum, heimilisfang og símanúmer. Ef gefinn er upp farsími þá eru send smáskilboð með áminningu um tímapön[t]un. Viðkomandi viðskiptavinur hafði gefið upp umrætt símanúmer skv. framangreindu og því var hringt í það númer. Rétt er að taka það fram að Húðlæknastöðin virðir allar heilsufarsupplýsingar sjúklinga sinna sem viðkvæmar persónuupplýsingar í samræmi við lög um persónuvernd. Að mati Húðlæknastöðvarinnar veitti umræddur sjúklingur samþykki sitt fyrir því að hringja í tilgreint símanúmer, en númerið var frá honum komið. Jafnframt var miðlun upplýsinganna í samræmi við meginreglur 8. gr. laga um Persónuvernd, þ.e. í þágu og samræmi við hlutverk Húðlæknastöðvarinnar og nauðsynlegt í skilningi 8. gr. laganna, svo að viðkomandi gæti nýtt sér upplýsingar.“
Svarbréf Húðlæknastöðvarinnar var borið undir kvartanda með bréfi, dags. 15. febrúar 2011. Svarbréf kvartanda barst með tölvubréfi, dags. 16. mars 2011. Þar sagði:
„Að sjálfsögðu var viðkomandi aðili, í þessu tilviki móðir mín og þar af leiðandi forráðamaður minn til átján ára aldurs, skráð sem tengiliður áður en ég varð átján ára. Ég tel að Húðlæknastöðin hafi brotið á mér með því að hringja vísvitandi í númer sem ekki er á mínu nafni og gefið upp upplýsingar til aðila sem hafði ekkert með málið að gera. Tengiliða upplýsingar hjá Húðlæknastöðinni hafa augljóslega ekki verið uppfærðar þó greinilegt sé að ég sé orðin átján ára og þar af leiðandi engra annarra að fá vitneskju um mín persónulegu mál.“
Með bréfi, dags. 30. mars 2011, óskaði Persónuvernd nánari skýringa frá Húðlæknastöðinni, m.a. til að mega ráða hvers konar upplýsingum hefði verið miðlað um kvartanda. Var spurt um það hvort áminning um tímapöntun kvartanda hefði verið send með smáskilaboðum (sms) eða hvort hringt hefði verið í umrætt númer. Þá var spurt hvort Húðlæknastöðin gætti þess að uppfæra upplýsingar um viðskiptavini stöðvarinnar þannig að þær séu sem réttastar á hverjum tíma.
Í svarbréfi Húðlæknastöðvarinnar, dags. 25. maí sl., segir m.a.:
„Svar við tl. 1 er á þá leið að ekki er sjálfvirkt tölvukerfi sem er notað við skráningu á viðtalstíma. Upplýsingar eru skráðar þegar viðkomandi hefur samband og ef upplýsingar um viðkomandi eru þegar skráðar í tölvukerfi er leitast við að fá þær staðfestingar. Upplýsingar um farsíma eru skráðar svo ritarar geti haft samband ef eitthvað kemur upp á og minnt er á tíma með smáskilaboðum, sms, en þau fara sjálfvirkt.
Svar við tl. 2 er á þá leið, að í því tilviki sem hér um ræðir hefur verið hringt í viðkomandi símanúmer vegna ógreidds reiknings. Rétt er að taka það fram að almenna reglan er sú að greitt er fyrir þjónustuna á staðnum eftir að þjónustan er veitt en í þessu tilfelli hefur viðkomandi ekki greitt á staðnum. Allt starfsfólk stöðvarinnar er meðvitað um að óheimilt er að veita hvers konar heilsufarsupplýsingar varðandi sjúklinga til foreldris eða annarra ef viðkomandi er eldri en 18 ára. Einnig er rétt að taka það fram að Húðlæknastöðin hefur í byrjun árs samið við innheimtufyrirtæki um að senda greiðsluseðla og áminningu í þeim tilvikum er fólk skuldar ógreidda reikninga.“
Með bréfi, dags. 27. maí sl. sendi Persónuvernd kvartanda afrit af svarbréfi Húðlæknastöðvarinnar og bauð henni að tjá sig um það svar. Var veittur frestur í því sambandi til 10. júní 2011. Engin svör hafa borist.
II.
Ákvörðun Persónuverndar
1.
Lög nr. 77/2000, um persónuvernd og
meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu
persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru
eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.
2.
Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 1. mgr. 8. gr. og eftir atvikum 1. mgr. 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 1. mgr. 8. gr. en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 1. mgr. 9. gr. laganna. Heilsufarsupplýsingar teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000. Auk þess sem heimild þarf að vera til vinnslu í 8. og, eftir atvikum, 9. gr. verður öllum kröfum 1. mgr. 7. gr. laga nr. 77/2000 ávallt að vera fullnægt við vinnslu persónuupplýsinga, þ. á m. kröfu 4. tölul. 1. mgr. 7. gr. um áreiðanleika persónuupplýsinga. Í ákvæðinu segir að slíkar upplýsingar skuli vera áreiðanlegar og uppfærðar eftir þörfum; persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta.
3.
Það mál sem hér er til úrlausnar lýtur að kvörtun E yfir miðlun viðkvæmra persónuupplýsinga um sig frá Húðlæknastöðinni til þriðja aðila, n.t.t. móður hennar. Athugun Persónuverndar hefur hins vegar ekki leitt í ljós að umrædd miðlun viðkvæmra persónuupplýsinga hafi farið fram. Aðeins liggur fyrir að miðlað hafi verið almennum upplýsingum um hana, þ.e. um skuld E við Húðlæknastöðina. Var þeim upplýsingum miðlað með því að hringja í símanúmer sem kvartandi hafði sjálf gefið upp og þar með samþykkt í verki, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000, að hringt væri í það númer. Eins og mál þetta er vaxið liggur ekki fyrir að viðkvæmum persónuupplýsingum hafi verið miðlað í umræddu símtali og eru af þeim sökum ekki forsendur til frekari umfjöllunar um málið af hálfu Persónuverndar. Af þeirri ástæðu verður það fellt niður.
Með vísan til framangreinds, og í ljósi ákvæðis 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000, um áreiðanleika við vinnslu persónuupplýsinga, og reglna 11. gr. um öryggisráðstafanir, hefur Persónuvernd hins vegar einnig ákveðið að leggja fyrir Húðlæknastöðina að ganga úr skugga um áreiðanleika tengiliðaupplýsinga þegar sjúklingar ná 18 ára aldri. Skal það gert þannig að eftir að þeir ná þeim aldri verði tryggt að aðeins verði hringt í sjúklingana sjálfa og ekki í aðra nema þeir hafi sjálfir sérstaklega samþykkt það.
Ákvörðun
Mál þetta hefur verið rætt á fundi stjórnar Persónuverndar. Telur hún að samkvæmt framanrituðu liggi ekki fyrir að fram hafi farið sú miðlun persónuupplýsinga sem erindi kvartanda lýtur að. Þykja því ekki vera efni til frekari afskipta af málinu nema fram komi ný gögn. Verður það því látið niður falla.