Úrlausnir

Miðlun persónuupplýsinga frá starfsendurhæfingarsjóði til lífeyrissjóða

26.2.2015

Persónuvernd hefur veitt álit um að fyrirhuguð meðferð persónuupplýsinga hjá starfsendurhæfingarsjóði geti ekki talist fullnægja þeim kröfum sem persónuverndarlög gera.

Álit

Á fundi stjórnar Persónuverndar hinn 2. febrúar 2015 var samþykkt svohljóðandi álit í máli nr. 2014/1769:

 

 

I.

Grundvöllur máls

Málavextir og bréfaskipti

1.

Tildrög máls

Þann 29. október 2014 barst Persónuvernd tölvupóstur þar sem framkvæmdastjóri VIRK- Starfsendurhæfingarsjóðs (VIRK) óskaði eftir fundi með Persónuvernd til að fara yfir tiltekin álitaefni vegna fyrirhugaðrar vinnslu persónuupplýsinga í starfsemi VIRK. Tilefni fundarins var fyrirhuguð vinnsla persónuupplýsinga hjá VIRK sem felur í sér aðgang lífeyrissjóða að upplýsingakerfi VIRK til að lífeyrissjóðir geti fylgst með framvindu starfsendurhæfingar sjóðsfélaga sinna hjá VIRK. Af þeirri ástæðu óskaði VIRK eftir afstöðu Persónuverndar til túlkunar á 12. gr. laga nr. 60/2012 um atvinnutengda starfsendurhæfingu og starfsemi starfsendurhæfingarsjóða og hvort upplýst samþykki einstaklinga sem notast við þjónustu VIRK geti heimilað slíkan aðgang fyrrnefndra lífeyrissjóða að upplýsingum VIRK.


2.

Bréfaskipti

Með bréfi, dags. 23. desember 2014, barst Persónuvernd ósk frá [A] hdl., f.h. VIRK, um formlegt álit stjórnar Persónuverndar. Í bréfi VIRK segir að sjóðurinn hafi unnið að því að byggja upp gott samstarf við lífeyrissjóði um allt land. Lífeyrissjóðir fjármagni nú helming tekna VIRK. Markmiðið með samstarfinu sé að draga úr líkum á því að einstaklingar fari á örorku vegna heilsubrests og sé það í samræmi við markmið laga nr. 60/2012. Til að unnt sé að gera samstarfið markvisst og til að lífeyrissjóðir geti starfað í samræmi við samþykktir sínar sé lífeyrissjóðum nauðsynlegt að geta fylgst með framvindu starfsendurhæfingar sjóðsfélaga sinna hjá VIRK. Lífeyrissjóðir þurfi t.d. að vita hvort einstaklingur stundi endurhæfingu og hver starfsgeta einstaklings sé að lokinni slíkri endurhæfingu. Þær upplýsingar geti aðstoðað við mat á rétti viðkomandi einstaklings til endurhæfingar- eða örorkulífeyris hjá lífeyrissjóði.

Þá segir að samkvæmt 6. mgr. 15. gr. laga nr. 129/1997, um skyldutryggingu lífeyrisréttinda og starfsemi lífeyrissjóða, sé heimilt, að fengnu áliti trúnaðarlæknis lífeyrissjóðs, að setja það skilyrði fyrir greiðslu örorkulífeyris að sjóðfélagi fari í endurhæfingu sem bætt gæti heilsufar hans, enda sé þess gætt að slík endurhæfing standi honum til boða og aðstæður viðkomandi leyfi að hann nýti sér hana. Í samþykktum lífeyrissjóða séu síðan ákvæði sem snúi að t.d. skyldu einstaklinga til þátttöku í starfsendurhæfingu og rétt lífeyrissjóða til að fella niður greiðslur ef einstaklingur taki ekki þátt.  Lífeyrissjóðir um allt land hafi bætt í sitt umsóknareyðublað um örkorku grein um upplýst samþykki vegna öflunar þessara gagna. Fylgdi bréfi VIRK afrit af slíkri samþykkisyfirlýsingu frá Gildi lífeyrissjóði.

Enn fremur kemur fram í bréfinu að starfsmenn og trúnaðarlæknar lífeyrrisjóða hafi óskað eftir að fá tiltekinn aðgang að gögnum frá VIRK um ferli endurhæfingar og starfsgetu einstaklinga. Um er að ræða upplýsingar um hvar einstaklingur sé staddur í ferlinu ásamt endurhæfingaráætlunum og mati á stöðu einstaklinga á mismunandi tíma endurhæfingarferils. Þessi gögn séu unnin af sérfræðingum sem starfa á vegum VIRK og sett séu fram í skýrsluformi. Til að mæta óskum lífeyrissjóða um upplýsingagjöf sé í undirbúningi hjá VIRK að útfæra sérstaka örugga og aðgangsstýrða vefgátt sem inniheldur þessar upplýsingar. Hugmyndin sé að trúnaðarlæknar og valdir starfsmenn lífeyrissjóða hafi í gegnum þessa gátt aðgang að framangreindum upplýsingum svo fremi sem það samræmist gildandi lögum og reglum.

Í bréfi VIRK kemur fram að fyrirhuguð vinnsla muni byggja á samþykki hins skráða í samræmi við ákvæði persónuverndarlaga. Þess muni vera gætt bæði hjá VIRK og hjá lífeyrissjóðum að einstaklingum sé kynnt þessi vinnsla og að þeir samþykki hana áður en hún hefst.

Þessi aðgangur þurfi að vera útfærður á þann hátt að viðkomandi starfsmenn/trúnaðarlæknir lífeyrissjóða skrá inn kennitölu og kalla fram gögn um viðkomandi einstakling. Ekki sé hægt að aðgangsstýra á þann hátt að starfsmenn/trúnaðarlæknir tiltekins sjóðs hafi aðeins aðgengi að sjóðsfélögum þess sjóðs því einstaklingar eru gjarnan með réttindi í fleiri en einum sjóði og VIRK geti ekki haft fulla yfirsýn yfir áunnin réttindi einstaklinga í öllum lífeyrissjóðum. Til að tryggja að meðalhófs sé gætt og til að koma í veg fyrir misnotkun muni viðkomandi trúnaðarlæknar og starfsmenn lífeyrissjóða skrifa undir sérstaka trúnaðaryfirlýsingu og skuldbinda sig til að sækja eingöngu upplýsingar sem hafa gildi fyrir þær ákvarðanir sem lífeyrissjóðurinn þarf að taka og varða rétt einstaklinga til endurhæfingar- eða örorkulífeyris. Þá muni þeir aðilar sem fá aðgang að kerfinu þurfa að upplýsa um tilgang hverrar uppflettingar og lýsa formlega yfir að viðkomandi einstaklingur sé sjóðsfélagi hjá þeim lífeyrissjóði sem óski eftir upplýsingum. Allar uppflettingar verði rekjanlegar.

Þá segir í bréfi VIRK að í 12. gr. laga nr. 60/2012 sé fjallað um aðgang að upplýsingaskrá starfsendurhæfingasjóða. Í lögunum sé hugtakið upplýsingaskrá ekki skilgreint en líklegt sé að þar sé átt við safn allra upplýsinga sem skráðar séu um þá einstaklinga sem njóti þjónustu starfsendurhæfingarsjóðanna. Aðgangur annarra en starfsmanna og fagaðila á vegum starfsendurhæfingarsjóða sé samkvæmt lögunum óheimill. Telur VIRK orðalag 12. gr. laga nr. 60/2012 nái almennt til þess hvernig farið skuli með aðgang að upplýsingakerfi VIRK í heild sinni án þess að sérstaks samþykkis sé aflað hjá hinum skráða og án tillits til almennra reglna sem um aðgang að viðkvæmum persónuupplýsingum gilda og finna má m.a. í lögum um Persónuvernd. Ekki sé fyrirhugað að veita trúnaðarlæknum og tilteknum starfsmönnum lífeyrissjóða beinan aðgang að upplýsingaskrá VIRK heldur muni afmarkaðar upplýsingar verða aðgengilegar á sérstakri vefgátt. Þá sé aðeins um að ræða lítinn hluta upplýsinga um framgang starfsendurhæfingar en ekki ótakmarkað aðgengi að öllum þeim gögnum sem liggi fyrir um viðkomandi einstakling hjá VIRK. Í ljósi orðalags 12. gr. laga nr. 60/2012 telji VIRK hins vegar vissara að fá afstöðu Persónuverndar til þess hvernig túlka beri ákvæðið og hvort 12. gr. útloki alfarið aðgang annarra en starfsmanna VIRK að upplýsingum um stöðu starfsendurhæfingarferils einstaklings, óháð því hvort skilyrði persónuverndarlaga til vinnslunnar séu uppfyllt en samkvæmt 5. mgr. 12. gr. laga nr. 60/2012 gilda lög um persónuvend og meðferð persónuupplýsingar að öðru leyti um vinnslu persónuupplýsinga í starfsemi starfsendurhæfingarsjóða.

Því sé óskað eftir áliti stjórnar Persónuverndar á því hvort VIRK sé heimilt að miðla upplýsingum með þeim hætti sem framan sé lýst, m.t.t. laga nr. 60/2012 og þá einkum 12. gr. Fyrirhuguð vinnsla muni byggja á upplýstu samþykki hins skráða, sbr. 1. tölul. 1. mgr. 8. gr.  og 1. tölul. 1. mgr. 9. gr. laga nr 77/2000. Bæði  muni slíks samþykkis verða aflað í upphafi starfsendurhæfingar hjá VIRK og við umsókn um örorku- og endurhæfingar-lífeyri hjá lífeyrissjóðum. Að lokum sé einnig óskað álits stjórnar Persónuverndar á því hvort fyrirhuguð vinnsla, eins og henni sé lýst í bréfi VIRK, samræmist öðrum ákvæðum laga nr. 77/2000.

 

II.

Forsendur og niðurstaða

 

2.1.

Gildissvið laga nr. 77/2000

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna. Miðlun persónuupplýsinga um þá sem að njóta þjónustu VIRK til trúnaðarlækna og annarra starfsmanna lífeyrissjóða telst því, samkvæmt framangreindu, vera vinnsla persónuupplýsinga.

 

2.2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þar er greint á milli almennra persónuupplýsinga og viðkvæmra. Talsvert strangari kröfur eru gerðar til lögmætis vinnslu persónuupplýsinga sem teljast viðkvæmar í skilningi laga nr. 77/2000 en til vinnslu annarra persónuupplýsinga. Svo að vinnsla viðkvæmra persónuupplýsinga sé heimil þarf hún að uppfylla eitthvert skilyrða 1. mgr. 8. gr., sem og eitthvert skilyrða 1. mgr. 9. gr. laganna. Skilgreiningu á því hvaða persónuupplýsingar teljast viðkvæmar er að finna í 8. tölul. 2. gr. laga nr. 77/2000. Samkvæmt c-lið 8. tölul. 2. gr. laganna teljast upplýsingar um heilsuhagi einstaklinga viðkvæmar persónuupplýsingar.

 

 

2.3.

Afmörkun úrlausnarefnis

Í bréfi VIRK var óskað eftir áliti stjórnar Persónuverndar á tveimur álitaefnum. Annars vegar var óskað eftir áliti á því hvort VIRK sé heimilt að miðla tilteknum upplýsingum um einstaklinga sem njóta þjónustu starfsendurhæfingarsjóðanna til lífeyrissjóðanna, nánar til tekið upplýsingum um endurhæfingar, endurhæfingaráætlun og niðurstöður úr sérhæfðu mati og starfsgetumati, á grundvelli upplýsts samþykkis hinna skráðu, þrátt fyrir orðalag ákvæðis 12. gr. laga nr. 60/2012 um að aðgangur annarra en starfsmanna og fagaðila á vegum starfsendurhæfingarsjóða að upplýsingakerfi VIRK sé óheimill.

Hins vegar var óskað eftir áliti stjórnar á því hvort fyrirhuguð vinnsla, eins og henni er lýst í bréfi VIRK, samræmist ákvæðum laga nr. 77/2000. Hvað hið síðara álitaefni varðar telur Persónuverndþað ekki vera hlutverk sitt að taka bindandi afstöðu fyrirfram til framkvæmdar við vinnslu persónuupplýsinga einstakra ábyrgðaraðila, þar sem slík framkvæmd þarf að geta sætt endurskoðun Persónuverndar berist henni kvörtun frá einstaklingi þar að lútandi. Þess í stað álítur stofnunin viðkomandi stjórnvöld sjálf, sem ábyrgðaraðila að þeirri vinnslu persónuupplýsinga sem í álitsbeiðninni þeirra kunni að felast, verða að meta þau sjónarmið sem á getur reynt í því sambandi og taka afstöðu til vinnslunnar á grundvelli þess mats. Í samræmi við það hlutverk Persónuverndar að vera til leiðbeiningar og tjá sig um álitaefni á starfssviði sínu, sbr. 6. tölul. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, hefur stjórn stofnunarinnar hins vegar ákveðið, á fundi sínum í dag, að veita almennt álit í umræddu tilfelli.

 

2.4.

Niðurstaða

Samkvæmt 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000 er vinnsla heimil byggist hún á samþykki hins skráða. Í bréfi VIRK kemur fram að sjóðurinn hyggst afla upplýsts samþykkis þeirra einstaklinga sem njóta þjónustu starfsendurhæfingarsjóðanna. Af bréfi VIRK verður því ráðið að sjóðurinn hefur í huga að uppfylla ákvæði 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Álit stjórnar Persónuverndar tekur hins vegar ekki einungis til þess hvort upplýst samþykki sé til staðar því einnig þarf að kanna hvort upplýst samþykki sé í þessu tilfelli fullnægjandi heimild til vinnslu persónuupplýsinga þegar fyrir liggur lagaákvæði um hvernig öryggi og vinnslu persónuupplýsinga skuli háttað hjá VIRK.

Í 11. gr. laga nr. 77/2000 er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.

Í 1. mgr. 12. gr. laga nr. 60/2012, um atvinnutengda starfsendurhæfingu og starfsemi starfsendurhæfingarsjóða, segir að upplýsingaskrár starfsendurhæfingarsjóða þar sem fram komi upplýsingar um þá sem njóta þjónustu sjóðanna skuli varðveittar með öruggum hætti þannig að upplýsingarnar glatist ekki. Þá segir að starfsmenn sem starfa á vegum starfsendurhæfingarsjóða og komi að ráðgjöf og gerð einstaklingsbundinna áætlana og þurfi af þeirri ástæðu á upplýsingum um hlutaðeigandi að halda, skuli hafa aðgang að nauðsynlegum upplýsingum í upplýsingaskrá þess sjóðs sem þeir starfa hjá. Hið sama eigi við um fagaðila sem starfa á vegum sjóðsins og séu bundnir trúnaðarskyldu samkvæmt öðrum lögum. Þá segir í ákvæðinu að, að öðru leyti sé aðgangur að upplýsingaskrá starfsendurhæfingarsjóðs óheimill.

Í athugasemdum með frumvarpi til laga nr. 60/2012 segir um 12. gr. að ákvæðið fjalli um meðferð persónuupplýsinga hjá starfsendurhæfingarsjóðum en ljóst sé að sjóðirnir komi til með að hafa í sinni vörslu mjög viðkvæmar persónuupplýsingar um heilsufar þeirra einstaklinga sem leita til sjóðanna ásamt öðrum upplýsingum því tengdu. Mikilvægt sé að upplýsingaskrár starfsendurhæfingarsjóða séu varðveittar með öruggum hætti þannig að upplýsingarnar glatist ekki og aðgangur starfsmanna sem starfa á vegum sjóðanna, þar á meðal fagaðila sem séu bundnir trúnaðarskyldu samkvæmt öðrum lögum, svo sem lækna, sé takmarkaður við þá sem þurfa á upplýsingum um viðkomandi einstaklinga að halda, þar sem þeir komi að ráðgjöf og gerð sérstakra einstaklingsbundinna áætlana fyrir þá einstaklinga. Enn fremur sé þýðingarmikið að tekið sé fram hvað gera skuli við upplýsingaskrá starfsendurhæfingarsjóðs sem hefur hætt rekstri. Lagt sé til að í slíkum tilvikum séu upplýsingarnar fluttar til embættis landlæknis. Að öðru leyti sé gert ráð fyrir að lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með síðari breytingum, gildi um meðferð upplýsinga hjá starfsendurhæfingarsjóðum.

VIRK hefur bent á að sjóðurinn hyggist  afla samþykkis allra þeirra sem nota þjónustu sjóðanna. Þá telur sjóðurinn að ákvæði 12. gr. laga nr. 60/2012 taki til þess hvernig almennt skuli farið með aðgang að upplýsingakerfi VIRK án þess að sérstaks samþykkis sé aflað hjá hinum skráða og án tillits til almennra reglna sem um aðgang að viðkvæmum persónuupplýsingum gilda og finna má m.a. í lögum um Persónuvernd. Af ákvæði 12. gr. og athugasemdum sem fylgdu frumvarpi til laga verður hins vegar ráðið að ekki var gert ráð fyrir þeirri meðferð persónuupplýsinga sem erindi VIRK snýr að og lokamálsliður 1. mgr. 12. gr. tekur skýrt fram að annar aðgangur að upplýsingaskrá starfsendurhæfingarsjóðs sé óheimill.

Í áliti starfshóps Evrópusambandsins, sem starfar samkvæmt 29. gr. persónuverndartilskipunar nr. 95/46/EB, um samþykki nr. 15/2011, kemur fram að upplýst samþykki er ekki alltaf skýr heimild til fyrir vinnslu persónuupplýsinga og að slík heimild geti talist veik ef hún er notuð í tilvikum þar sem ekki var sérstaklega gert ráð fyrir samþykki sem heimild til vinnslu persónuupplýsinga. Ef samþykkis er aflað í slíkum tilfellum þar sem ekki var gert ráð fyrir því getur slíkt leitt til veikleika og í framkvæmd veikt réttarstöðu hins skráða.

Þá verður ekki framhjá því litið að samkvæmt erindi VIRK þá er fyrirhugað að veita aðgang að framangreindum upplýsingum í gegnum rafræna vefgátt þar sem upplýsingar allra einstaklinga sem nota þjónustu sjóðanna vera gerðar aðgengilegar tilteknum starfsmönnum lífeyrissjóðanna. Í bréfi VIRK segir að ekki sé hægt að aðgangsstýra gáttinni á þann hátt að starfsmenn/trúnaðarlæknir tiltekins sjóðs hafi aðeins aðgengi að sjóðsfélögum þess sjóðs sem hann starfar hjá því einstaklingar séu gjarnan með réttindi í fleiri en einum sjóði og VIRK geti ekki haft fulla yfirsýn yfir áunnin réttindi einstaklinga í öllum lífeyrissjóðum.

Auknar kröfur eru gerðar til skýrleika heimilda til vinnslu viðkvæmra persónuupplýsinga í tilvikum eins og þessum og lýst er í bréfi VIRK. Þá ber einnig að gera ríkari kröfur um aðgangsstýringar og öryggi upplýsinga þegar um viðkvæmar persónuupplýsingar er að ræða. Í bréfi VIRK kemur ekki fram hvernig komið verður í veg fyrir aðgengi óviðkomandi að umræddum upplýsingum að öðru leyti en því sem segir í bréfinu um að ekki sé hægt að aðgreina aðgang sjóðanna við sína eigin sjóðsfélaga þar sem nauðsynlegt sé að hafa fulla yfirsýn yfir áunnin réttindi einstaklinga í öllum lífeyrissjóðum.

Með vísan til framangreinds er það mat Persónuverndar að öflun upplýsts samþykkis dugi ekki sem heimild til þeirrar vinnslu persónuupplýsinga sem lýst er í bréfi VIRK. Aðgangur að persónuupplýsingum, sem gengur gegn skýrum fyrirmælum 12. gr. laga nr. 60/2012, um að annar aðgangur en mælt er fyrir um í ákvæðinu sé óheimill, verður því ekki talinn heimill. 

 

 

Á l i t s o r ð:

Fyrirhuguð aðgerð VIRK-starfsendurhæfingarsjóðs, að veita trúnaðarlæknum og öðrum starfsmönnum lífeyrirssjóða, takmarkaðan aðgang að upplýsingaskrá sinni, í gegnum vefgátt, getur ekki byggt á samþykki hinna skráðu. Fyrirhuguð meðferð persónuupplýsinga sem lýst er í bréfi VIRK er ekki í samræmi við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.



Var efnið hjálplegt? Nei