Miðlun upplýsinga frá Sjúkratryggingum Íslands
Persónuvernd hefur úrskurðað að miðlun upplýsinga um fjárhag einstaklings frá Sjúkratryggingum Íslands til stjúpföður barns hans hafi farið í bága við lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Hinn 3. nóvember 2015 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2015/526:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls
Þann 20. mars 2015 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) varðandi miðlun Sjúkratrygginga Íslands (SÍ) á fjárhagsupplýsingum kvartanda til stjúpföður barns hans. Í kvörtuninni segir m.a að stjúpfaðir barnsins hafi fengið aðgang að yfirliti í rafrænni vefgátt SÍ yfir greiðslur kvartanda til tannlækna og endurgreiðslur til hans frá SÍ. Hins vegar sé stjúpfaðir barnsins ekki forsjáraðili barnsins, heldur kvartandi og barnsmóðir hans.
2.
Bréfaskipti
Með bréfi, dags. 25. mars 2015, var SÍ boðið að tjá sig um kvörtunina. Í svarbréfi SÍ, dags. 24. apríl 2015, segir m.a. að stjúpfaðir sonar kvartanda hafi fengið bréf um nauðsyn þess að senda inn formlega umsókn um greiðsluþátttöku SÍ í tannlækningum vegna slyss. Bréfið hafi verið birt í réttindagátt þess foreldris sem eldra er, sem sonur kvartanda tengist með fjölskyldunúmeri Þjóðskrár, í þessu tilviki stjúpföður hans. Tryggingayfirtannlæknir hafi síðan sent kvartanda afrit þessara upplýsinga í tölvupósti að beiðni kvartanda. Þá hafi upplýsingar um tannviðgerðir sonar kvartanda verið aðgengilegar í réttindagátt beggja foreldra sem tengist syni kvartanda með fjölskyldunúmeri Þjóðskrár, þ.e. móður hans og stjúpföður, sem tryggingayfirtannlæknir hafi einnig sent kvartanda að hans beiðni. Þá kom fram í bréfi SÍ að kvittanir fyrir greiðslu þeirra tannlæknismeðferða sem kvartandi greiddi hafi verið birtar í réttindagátt kvartanda sjálfs, en slík skjöl séu aðeins send þeim einstaklingi sem innir greiðslu af hendi og fær endurgreiðslu frá SÍ.
Í bréfi SÍ segir að einu upplýsingarnar um fjölskyldu barns sem SÍ hafi aðgang að, komi frá Þjóðskrá Íslands. Þær upplýsingar séu þannig settar fram að hvert barn fái skráð fjölskyldunúmer sem stýrist af foreldri á lögheimili þess. Séu tveir foreldrar á heimili stýrist fjölskyldunúmerið af eldra foreldrinu og sé þá ekki gerður greinarmunur á því hvort um sé að ræða kynforeldri eða stjúpforeldri barna á heimilinu. SÍ hafi engin tök á að vita hvaða einstaklingar fari með forsjá barns, enda sé ekkert miðlægt kerfi til sem geymir þær upplýsingar. Sama fyrirkomulag sé haft þegar bréf eða gögn séu send frá SÍ […] til foreldra í gegnum sérstaka réttindagátt vegna barns, það er, farið sé eftir fjölskyldunúmeri og séu upplýsingarnar því merktar elsta foreldri á lögheimili barnsins, eða eftir atvikum báðum foreldrum á lögheimili barnsins. Enn fremur sé sú leið ekki fær að veita forsjárforeldri, sem ekki hafi lögheimili á sama stað og barn, aðgang að gögnum um það í réttindagátt. Forsjá barns geti verið breytingum háð og geti SÍ ekki sannreynt og fylgst með því að einstaklingur sem ekki hafi lögheimili með barni sé forsjáraðili þess til lengri tíma litið. Í bréfinu kemur fram að SÍ sé háð upplýsingum frá Þjóðskrá, t.d. miðlægri skráningu um lögheimili barna og forræði þeirra, og því séu SÍ engar aðrar leiðir færar við að afla þessara upplýsinga. Þá telji SÍ heldur ekki að það sé brot á lögum um persónuvernd að veita stjúpföður umræddar upplýsingar um stjúpbarn sitt, enda sé um að ræða barn á heimili stjúpforeldrisins sem óhjákvæmlega sé því tengt. Teljist SÍ ekki heimilt að veita aðgang að upplýsingum með þessum hætti væri sá kostur einn í stöðunni að hætta alfarið að veita upplýsingar um börn í réttindagátt.
Þá segir í bréfi SÍ að stofnunin telji framangreinda miðlun persónuupplýsinga byggjast á 6. og 7. tölul. 8. gr. laga um persónuvernd og meðferð persónuupplýsinga nr. 77/2000. Í 6. tölul. 8. gr. komi fram að vinnsla persónuupplýsinga geti verið heimil, sé hún nauðsynleg við beitingu opinbers valds. Ákvæðið taki m.a. til vinnslu persónuupplýsinga á vegum stjórnvalda sem tengist meðferð opinbers valds og töku stjórnvaldsákvarðana. Þá komi fram að öll vinnsla sem teljist til stjórnsýslu, svo sem við opinbera þjónustustarfsemi, falli undir ákvæðið. Upplýsingarnar í þessu máli hafi verið veittar í tengslum við þá stjórnvaldsákvörðun SÍ að endurgreiða hluta tannlæknakostnaðar í samræmi við lög og reglur þar um. Í umræddu bréfi hafi verið kallað eftir umsókn svo taka mætti málið til meðferðar og taka stjórnvaldsákvörðun. Hafi nauðsyn bréfsins því verið ótvíræð.
Enn fremur segir í bréfi SÍ að samkvæmt 7. tölul. 8. gr. laganna geti vinnsla persónuupplýsinga verið heimil sé hún nauðsynleg til að ábyrgðaraðili, eða aðili sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna. Það sé mat SÍ að hagsmunir foreldra sem og stofnunarinnar af því að fyrir liggi skýrt yfirlit yfir veitta tannlæknismeðferð, sem að hluta sé niðurgreidd af ríkissjóði, vegi þyngra en hagsmunir barns af því að vinnsla upplýsinganna fari ekki fram. Þá segir í bréfinu að SÍ telji vinnsluna uppfylla 4. tölul. 9. gr. laganna þar sem það samrýmist verulegum hagsmunum barns að foreldrum séu veittar upplýsingar um að umsókn vanti svo hægt sé að taka til meðferðar umsókn um greiðsluþátttöku í tannlækningum. Einnig sé það mikilvægt að foreldrar hafi aðgang að upplýsingum um veitta tannlæknaþjónustu, enda varði slíkar upplýsingar tannheilsu barnsins.
Þá telji SÍ framangreinda vinnslu uppfylla 7. gr. laga um persónuvernd þar sem tilgangur vinnslunnar hafi verið að veita foreldrum upplýsingar um þær greiðslur sem hafi farið fram vegna tannlækninga barns kvartanda í ljósi eftirlits og upplýsingagjafar auk þess sem bréfið hafi verið sent svo hægt væri að hefja afgreiðslu umsóknar um greiðsluþátttöku í tannlækningum. Tilgangur vinnslunnar sé skýr og að mati SÍ hafi ekki verið gengið lengra með vinnslunni en nauðsynlegt hafi verið til að ná þeim markmiðum sem lýst hafi verið.
Með bréfi, dags. 18. maí 2015, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar SÍ til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi kvartanda, dags. 3. júní 2015, segir m.a. að stjúpfaðir barnsins sé ekki forsjáraðili þess samkvæmt lögum og ætti því ekki að fá sendar upplýsingar um hann eða greiðslur kvartanda vegna tannlæknakostnaðar barnsins. Kvartandi og barnsmóðir hans séu forsjáraðilar barnsins og því sé eðlilegt að þau fái þessar upplýsingar telji SÍ sig knúin til að senda báðum foreldrum upplýsingarnar. SÍ bendi á annmarka upplýsinga Þjóðskrár Íslands þar sem um sé að ræða íbúaskrá en ekki venslaskrá. Það sé hins vegar kvartanda óviðkomandi með hvaða hætti Þjóðskrá Íslands veiti SÍ upplýsingar, þar sem málið snúist fyrst og fremst um það að SÍ hafi sent stjúpföður barnsins upplýsingar um kvartanda og barn hans án hans vitundar eða samþykkis.
Með bréfi, dags. 16. júlí 2015. óskaði Persónuvernd eftir upplýsingum frá Þjóðskrá Íslands vegna málsins. Í svarbréfi Þjóðskrár, dags. 20. ágúst 2015 segir að árum saman hafi fjölskyldur verið tengdar saman í þjóðskrá með svokölluðu fjölskyldunúmeri. Þetta númer hafi verið notað á margvíslegan hátt í gegnum tíðina, t.d. við tölfræðiúrvinnslu hjá Hagstofu Íslands og í tengslum við skatta- og almannatryggingamál. Fjölskyldunúmerið þjóni þeim tilgangi sem því hafi upphaflega verið ætlað, þ.e. að tengja saman einstaklinga á lögheimili, en því hafi aldrei verið ætlað að veita upplýsingar um hverjir séu foreldrar barns né hverjir fari með forsjá þess. Þar sem tilgangur fjölskyldunúmers sé hvorki að birta tengsl barna við foreldra né forsjáraðila þá eigi aldrei að ganga út frá því að sá sem er á bak við fjölskyldunúmer einstaklings, þ.e. sá sem er elstur á hverju lögheimili, eigi að fá allan póst eða annað slíkt sem varði börn á hverju lögheimili. Ákvörðun um slíkt sé alfarið í höndum sendanda og þess sem birtir upplýsingarnar. Þjóðskrá sé miðlað til margra fyrirtækja og stofnana í þjóðfélaginu og geti Þjóðskrá ekki hlutast til um hvernig skráin sé nýtt til póstsendinga eða ákvarðanatöku um réttindi og skyldur einstaklings svo lengi sem notkunin fari ekki gegn samningsákvæðum og lögum. Mörg fyrirtæki og stofnanir byggi hins vegar á fjölskyldunúmerinu þrátt fyrir að vera kunnugt um að það veiti hvorki upplýsingar um fjölskyldu- og skyldleikatengsl né upplýsingar um forsjá barna. Þá bendi[r] Þjóðskrá á að systurstofnanir Þjóðskrár Íslands á Norðurlöndunum skrái fleiri tegundir vensla á milli einstaklinga í sín kerfi heldur en fjölskyldunúmer, t.d. vensl á milli foreldra barna og forsjáraðila, og hafi lengi verið kallað eftir því að Þjóðskrá Íslands geri hið sama. Til standi að bæta skráningu slíkra upplýsinga ef fjármagn og aðrar auðlindir fáist í verkefnið og með nýjum lögum um Þjóðskrá.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Þau lög sem Persónuvernd framfylgir og starfar eftir, þ.e. lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, gilda um vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. og 1. og 2. mgr. 37. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af framangreindu er ljóst að miðlun fjárhagsupplýsinga um kvartanda til stjúpföður barns hans í gegnum vefgátt SÍ fellur undir gildissvið laga nr. 77/2000.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til teljast SÍ vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í því felst meðal annars að ávallt verður að vera fullnægt einhverju af skilyrðum 8. gr. laganna. Þegar stjórnvöld afla upplýsinga í tengslum við stjórnvaldseftirlit verður einkum talið að 5, 6., 7. og, eftir atvikum, 3. tölul. 1. mgr. 8. gr. laganna geti átt við um upplýsingaöflunina og eftirfarandi vinnslu upplýsinganna. Samkvæmt 3. tölul. 1. mgr. 8. gr. laganna er vinnsla heimil sé hún nauðsynleg til að fullnægja lagaskyldu, samkvæmt 5. tölul. 1. mgr. 8. gr. laganna sé hún nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna og samkvæmt 6. tölul. sé hún nauðsynleg við beitingu opinbers valds. Í skýringum við 6. tölul. 1. mgr. 8. gr. laganna í athugasemdum sem fylgdu frumvarpi því er varð að lögum nr. 77/2000 kemur fram að þar sé átt við töku stjórnvaldsákvarðana en jafnframt myndi önnur vinnsla sem telst til stjórnsýslu, svo sem við opinbera þjónustustarfsemi, alla jafna falla hér undir.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
SÍ hefur vísað til áðurnefnds ákvæðis 6. tölul. 8. gr. laga nr. 77/2000. Í því sambandi vísar SÍ til þess að upplýsingarnar í þessu máli hafi verið veittar í tengslum við þá stjórnvaldsákvörðun SÍ að endurgreiða hluta tannlæknakostnaðar í samræmi við lög og reglur þar um. Í ljósi svara SÍ verður ráðið að skilyrði 6. tölul. 1. mgr. 8. gr. kunni að vera uppfyllt þegar upplýsingum um tannlæknakostnað er miðlað til foreldra barna.
Hins vegar hefur SÍ bent á að þær upplýsingar sem stofnunin hafi aðgang að frá Þjóðskrá upplýsi ekki um hverjir eru forsjáraðilar barna. Stofnunin hafi einungis aðgang að miðlægri skráningu þjóðskrár á lögheimili barna og fái hún ekki upplýsingar annars staðar frá. Umræddar upplýsingar frá Þjóðskrá séu þannig settar fram að hvert barn fái skráð fjölskyldunúmer sem stýrist af foreldri á lögheimili þess. Séu tveir foreldrar á heimili stýrist fjölskyldunúmerið af eldra foreldrinu og sé þá ekki gerður greinarmunur á því hvort um sé að ræða kynforeldri eða stjúpforeldri barna á heimilinu. SÍ hafi engin tök á að vita hvaða einstaklingar fari með forsjá barns, enda sé ekkert miðlægt kerfi til sem geymi þær upplýsingar.
Af hálfu Þjóðskrár hefur komið fram að tilgangur fjölskyldunúmersins sé hvorki að birta tengsl barna við foreldra né forsjáraðila og því sé ekki hægt að ganga út frá því að sá sem sé á bak við fjölskyldunúmer einstaklings eigi að fá allar upplýsingar varðandi meðferð máls hverju sinni. Af svörum Þjóðskrár verður því ráðið að notkun fjölskyldunúmers sé ekki til þess fallin að tengja börn við foreldra eða forsjáraðila með áreiðanlegum hætti miðað við tilgang vinnslunnar.
Í ljósi framangreinds telur Persónuvernd miðlun persónuupplýsinga með framangreindum hætti, það er með því að senda persónuupplýsingar án sannreyningar til eldra foreldris sem skráð er á fjölskyldunúmer barns, fara í bága við fyrrnefnda kröfu 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um áreiðanleika persónuupplýsinga. Mælist Persónuvernd til þess að skráðar verði ábendingar þeirra einstaklinga, sem koma fram með ósk um leiðréttingar á skráningu forsjárupplýsinga í upplýsingakerfi SÍ, og [SÍ] hagi miðlun upplýsinga í samræmi við þær leiðréttingar sem berist SÍ.