Heilsufarsviðtöl á Landspítala
Persónuvernd hefur veitt álit í tilefni af vinnslu persónuupplýsinga í tengslum við framkvæmd heilsufarsviðtala við starfsmenn Landspítala. Í áliti Persónuverndar er meðal annars lýst þeirri afstöðu að fyrirhuguð vinnsla geti átt sér stoð í heimildarákvæðum persónuverndarlaga. Þá bendir Persónuvernd á mikilvægi þess að meðalhófs verði gætt við vinnsluna.
Álit
Hinn 6. desember 2016 samþykkti stjórn Persónuverndar, með vísun til 5. tölul. 3. mgr. 37. gr. laga nr. 77/2000, svohljóðandi álit í máli nr. 2016/684:
I.
Málsmeðferð
1.
Erindi Sjúkraliðafélag Íslands
Þann 12. apríl 2016 barst Persónuvernd tölvupóstur frá Sjúkraliðafélagi Íslands, en þar segir m.a.:
„Sjúkraliðafélagi Íslands hafa borist leiðbeiningar um heilsufarsviðtöl sem leggja á fyrir starfsmenn á Landspítala háskólasjúkrahúsi. [...] Þar kemur fram að hjúkrunarfræðingur taki viðtölin sem síðan verði skráð í Sögukerfi spítalans.
[...] Um leið og þetta [leiðbeiningar um heilsufarsviðtöl] er lesið þá fara af stað spurningar um hvað eigi síðan að gera með þær upplýsingar sem þarna verða skráðar? Gæti það orðið svo að viðkomandi fái ekki vinnu við stofnunina? Hvað þá með þá sem smitast innan sjúkrahússins og yrðu atvinnulausir í kjölfarið.“
Í bréfinu eru einnig gerðar athugasemdir við að Landspítalinn taki sjálfur þessi viðtöl í stað þess að starfsmenn leggi fram heilsufarsvottorð. Auk þess eru gerðar athugasemdir við að upplýsingar úr viðtölunum verði skráðar í rafrænt sjúkraskrárkefi spítalans, þ.e. Sögukerfið, en í því felist að yfirmenn fái aðgang að viðkvæmum heilsufarsupplýsingum starfsmanna.
Meðfylgjandi bréfi Sjúkraliðafélags Íslands voru leiðbeiningar fyrir umrædd heilbrigðisviðtöl. Þar kemur fram að allir starfsmenn eigi að mæta í heilbrigðisviðtal til starfsmannahjúkrunarfræðings við upphaf starfs. Meðal þeirra upplýsinga sem verði safnað séu upplýsingar um heilsufarssögu, s.s. reykingar, ofnæmi og blóðborna sjúkdóma. Þar að auki eigi allir starfsmenn að undirgangast berklapróf og starfsmenn sem falli undir tiltekin skilyrði þurfi einnig að undirgangast leit að MÓSA-bakteríunni. Jafnframt eigi að gæta þess við nýráðningar að starfsmenn leggi fram bólusetningarvottorð eins og gert sé ráð fyrir í dreifibréfi Landlæknisembættisins nr. 2/2011 um bólusetningar heilbrigðisstarfsmanna. Að lokum segir í leiðbeiningunum að starfsmenn eigi að fá fræðslu um vinnuvernd og áhættuþætti í spítalaumhverfi.
2.
Málsmeðferð
Með bréfi, dags. 10. maí 2016, var Landspítala veittur kostur á að tjá sig um hvernig hann teldi umrædda vinnslu persónuupplýsinga samrýmast lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, þ. á m. kröfum 8. og 9. gr. laganna um skilyrði þess að vinna megi með slíkar upplýsingar, 7. gr. laganna um skyldu til að gæta sanngirni og meðalhófs við vinnslu, sem og 11. gr. laganna um upplýsingaöryggi. Einnig var spítalanum gefinn kostur á að tjá sig um hvernig hann teldi skráninguna horfa við lögum nr. 55/2009, um sjúkraskrár.
Landspítalinn svaraði með bréfi, dags. 30. maí 2016, en þar segir m.a.:
„Eins og fram kemur í leiðbeiningum fyrir heilbrigðisviðtöl er tilgangur þeirra að tryggja öryggi starfsmanna og sjúklinga í samræmi við lög um aðbúnað, hollustuhætti og öryggi á vinnustöðum nr. 46/1980.
[...] Þrátt fyrir að yfirmenn hafi vissulega aðgang að Sögukerfinu er þeim með öllu óheimilt að skoða sjúkraskrár starfsmanna sinna líkt og aðrar sjúkraskrár sem eru þeim óviðkomandi. Sömu reglur varðandi aðgang að sjúkraskrám gilda um þá eins og aðra starfsmenn spítalans og eru öll brot á umgengnisreglum um sjúkraskrár tekin mjög alvarlega. Yfirmenn hafa aldrei og munu aldrei hafa heimild til að skoða sjúkraskrár starfsmanna sinna án þeirra samþykkis.“
Einnig segir að upplýsingar sem starfsmannahjúkrunarfræðingar afla í heilsufarsskoðun séu heilbrigðisupplýsingar og þær beri að vista í sjúkraskrá í samræmi við 1., 2. og 10. tölul. 1. mgr. 3. gr. og 4. gr. laga nr. 55/2009, um sjúkraskrár. Þá segir að vinnslan eigi sér stoð í 1., 3. og 5. tölul. 8. gr. og 1., 2., 4. og 8. tölul. 9. gr. laga um persónuvernd og meðferð persónuupplýsinga. Nánar segir:
„Starfsmenn veita samþykki sitt fyrir vinnslunni (1. tl. 8. og 9. gr.), hún er nauðsynleg til að uppfylla þá skyldu sem hvílir á Landspítala á grundvelli laga um aðbúnað, hollustuhætti og öryggi á vinnustað (3. tl. 8. gr. og 2. tl. 9. gr.), upplýsingunum er safnað í þágu almannahagsmuna en þeim er ætlað að tryggja öryggi þeirra einstaklinga sem þurfa á þjónustu spítalans að halda sem og starfsfólks sem þar starfar (5. tl. 8. gr.). Vinnslan er nauðsynleg til að verja verulega hagsmuni þriðja manns en það eru sjúklingar í þessu tilfelli sem og við veitingu heilbrigðisþjónustu (4. og 8. tl. 9. gr.).“
Að lokum segir að upplýsingunum sé safnað af sanngjörnum og málefnalegum ástæðum og með lögmætum hætti, tilgangurinn sé skýr og viðeigandi öryggis við meðhöndlun upplýsinganna sé gætt, auk þess sem aðeins sé aflað þeirra upplýsinga sem taldar séu nauðsynlegar með hliðsjón af öryggi bæði starfsmanna og sjúklinga.
Með bréfi, dags. 14. júlí 2016, ítrekuðu með bréfi, dags. 3. ágúst s.á., var Sjúkraliðafélagi Íslands veittur kostur á að tjá sig um framkomin svör Landspítalans. Svar barst Persónuvernd með tölvupósti þann 11. s.m. Í svari Sjúkraliðafélagsins er gerð athugasemd við vísun Landspítalans í lög nr. 46/1980 um öryggi, hollustu og aðbúnað á vinnustöðum. Nánar segir m.a. í svarinu:
„Þessi tilvísun kemur okkur á óvart og hlýtur að leiða til spurningarinnar um hvort vinnuveitendum sé almennt heimilt, á grundvelli þeirra laga, að skrá niður heilsufarsupplýsingar um starfsfólk með kerfisbundnum hætti og varðveita eins og þarna er gert. [...] Engin sértæk heimild er til þess í þessum lagabálki [...]“
Auk þess segir í bréfinu að Sjúkraliðafélagið velti fyrir sér hvort eitthvað annað gildi fyrir starfsfólk spítalans heldur en starfsfólk á öðrum vinnustöðum. Einnig segir að félagið telji það sérstakt að heilsufarsupplýsingar, sem fengnar eru með þeim hætti sem framan greinir, séu skráðar í sjúkraskrá rétt eins og þegar sjúklingar leiti til heilbrigðisstofnana vegna heilsufarsástæðna. Að mati Sjúkraliðafélags Íslands sé það ekki viðeigandi og félagið efist um að það sé hlutverk sjúkraskrárkerfisins að halda sérstaklega utan um heilsufarsupplýsingar um starfsfólk. Að lokum segir að það sé mat Sjúkraliðafélagsins að skráning persónuupplýsinga sem fari fram á grundvelli heilsufarsviðtalanna sé ekki í samræmi við lög eða grundvallarsjónarmið um persónuvernd, auk þess sem upplýsingaöflun og skráning persónuupplýsinga virðist vera laus í reipunum.
Með bréfi, dags. 25. október 2016, óskaði Persónuvernd eftir upplýsingum frá Landspítala um hvort starfsmönnum væri heimilt að hafna þátttöku í heilsufarsviðtölunum og hverjar afleiðingar höfnunar, ef einhverjar, yrðu fyrir viðkomandi starfsmann. Svarað var með bréfi, dags. 14. nóvember s.á. Í bréfi Landspítala segir að allir starfsmenn fari í viðtal hjá starfsmannahjúkrunarfræðingi við upphaf starfs. Nánar varðandi framkvæmd viðtalanna segir:
„Heilbrigðisstarfsmenn og þeir sem starfa að umönnun sjúklinga skulu skila inn bólusetningarvottorði, leita skal að MÓSA hjá nánar skilgreindum hluta starfsmanna og allir starfsmenn skulu fara í berklapróf. Starfsmannahjúkrunarfræðingur bíður upp á að prófin séu framkvæmd í viðtalinu en starfsmanni er einnig heimilt að skila inn vottorði með niðurstöðum þessara prófana. Þá ber að skila bólusetningarvottorði í samræmi við drefibréf sóttvarnarlæknis nr. 3/2011 [...]
Í viðtalinu er tekin heilsufarssaga hjá starfsmanni. Er þá rætt um almennt heilsufar, reykingar, ofnæmi og fleira. Boðið er upp á blóðþrýstingsmælingu. Ekki er skylt að veita upplýsingar í þessum hluta viðtalsins og honum sleppt óski starfsmaður þess. [...]
Starfsmanni er skylt að mæta í viðtal hjá starfsmannahjúkrunarfræðingi við upphaf starfs. Ekki er gerð nein krafa um að hann ræði eigið heilsufar þar eða gefi aðrar upplýsingar en þær sem varða möguleg smit og bólusetningar. [...] Ekki hefur á það reynt að starfsmaður neiti að mæta í nýráðningarviðtal hjá starfsmannahjúkrunarfræðingi en ætla má að farið yrði með slík mál með sambærilegum hætti og aðrar neitanir starfsmanna á að fylgja löglegum fyrirmælum yfirmanns. Sú háttsemi leiðir almennt til áminningar á grundvelli laga um réttindi og skyldur starfsmanna ríkisins nr. 70/1996.
Starfsmaður er ekki skyldaður til að veita neinar heilsufarsupplýsingar í viðtali fyrir utan skil á bólusetningarvottorði varðandi MÓSA og berklapróf kjósi hann að fara í þau annars staðar. Þessar upplýsingar eru nauðsynlegar til þess að tryggja öryggi bæði starfsmanna og sjúklinga. Starfsmaður sem er smitaður af MÓSA eða berklum má ekki vera við störf á spítalanum vegna smithættu. Þá er mikilvægt að tryggja bólusetningar starfsmanna með tilliti til þeirra eigin öryggis vegna stunguóhappa og annarra áhættuþátta og til þess að minnka líkur á útbreiðslu farsótta á spítalanum.“
II.
Álit Persónuverndar
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.
Fyrir liggur að upplýsingar úr heilsufarsviðtölum, sem tekin eru við starfsmenn Landspítala, er ráðgert að skrá í rafrænt sjúkraskrárkerfi spítalans. Í því felst vinnsla persónuupplýsinga samkvæmt framangreindu sem fellur undir gildissvið laga nr. 77/2000 og þar með valdsvið Persónuverndar eins og það er skilgreint í 37. gr. laganna.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Landspítali vera ábyrgðaraðili að umræddri vinnslu.
2.
Um vinnsluheimildir
Í lögum nr. 77/2000 er að finna grundvallarreglur um hvernig haga skuli vinnslu persónuupplýsinga. Frumskylda ábyrgðaraðila, þ.e. þess sem vinnur með upplýsingarnar, er að ganga úr skugga um að hann hafi fyrir því heimild samkvæmt þeim lögum. Í því felst að heimild þarf að vera til staðar í 8. gr. sömu laga og eftir atvikum 9. gr. laganna, ef um viðkvæmar persónuupplýsingar er að ræða. Upplýsingar um heilsuhagi teljast til viðkvæmra persónuupplýsinga, sbr. 8. tölul. 2. gr. laga nr. 77/2000, og af þeirri ástæðu þarf bæði til að koma heimild í 8. og 9. gr. laganna þegar unnið er með upplýsingar um heilsuhagi starfsmanna.
2.1
Samþykki sem heimild til vinnslu
Samkvæmt 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000, sbr. 1. tölul. 1. mgr. 8. gr. sömu laga, er heimilt að vinna með viðkvæmar persónuupplýsingar á grundvelli samþykkis. Í þeirri heimild endurspeglast eitt af grundvallarsjónarmiðum persónuverndarlöggjafarinnar um að hinn skráði hafi sjálfsákvörðunarrétt um hvaða upplýsingar um hann er unnið með. Samþykki, í skilningi laga nr. 77/2000, er yfirlýsing sem einstaklingur gefur „af fúsum og frjálsum vilja“, sbr. 7. tölul. 1. mgr. 2. gr. laganna.
Persónuvernd telur hér verða m.a. að líta til þess vinnuréttarsambands sem er á milli starfsmanna og vinnuveitenda, þess aðstöðumunar sem það samband felur í sér og þess að umrædd heilsufarsviðtöl megi telja tengd starfsskyldum starfsmanna. Þá verður að líta til þess sem segir í bréfi Landspítala að ef starfsmaður neiti að mæta í nýráðningarviðtal þá megi ætla að farið yrði með slíkt með sambærilegum hætti og aðrar neitanir starfsmanna um að fylgja löglegum fyrirmælum yfirmanna, en slíkt leiðir almennt til áminningar.
Þegar litið er til alls þessa telur Persónuvernd ekki unnt að fullyrða að við þær aðstæður sem hér eru uppi að samþykki geti talist veitt „af fúsum og frjálsum vilja“, enda verður ekki ráðið að það sé valkvætt fyrir starfsmann að gangast undir þau. Ekki er því hægt að byggja vinnslu persónuupplýsinga vegna heilsufarsviðtalanna á samþykki.
2.2
Laganauðsynjar – Hagsmunir af vinnslu
Í 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000 er kveðið á um að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að krafa verði sett fram, afmörkuð eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Í athugasemdum við töluliðinn í frumvarpi því sem varð að lögum nr. 77/2000 segir að vinnuveitenda geti t.d. verið nauðsynlegt að vinna upplýsingar um heilsufar starfsmanns til að geta sýnt fram á lögmætar forsendur fyrir uppsögn. Ekki sé skilyrði að mál verði lagt fyrir dómstóla heldur nægi að vinnslan sé nauðsynleg til að styðja kröfu fullnægjandi rökum.
Þetta ákvæði hefur verið talið renna stoðum undir vinnslu upplýsinga um heilsufar starfsmanna þegar slíkt hefur verið talið nauðsynlegt í ljósi eðlis viðkomandi starfs. Nánar tiltekið gætu ýmsar ráðstafanir í vinnusambandi tengdar heilsufari, sem kynnu að teljast til laganauðsynja samkvæmt framangreindu, verið nauðsynlegar til að tryggja meðal annars öryggi á vinnustað. Þegar um ræðir heilbrigðisstofnun gæti til dæmis þurft að grípa til ráðstafana sem kæmu í veg fyrir að starfsmenn með smitandi sjúkdóm smituðu sjúklinga.
Persónuvernd telur þá vinnslu viðkvæmra persónuupplýsinga, sem fengnar eru með umræddum heilsufarsviðtölum, einkum geta talist heimila á grundvelli þess að um ræði laganauðsynjar samkvæmt framangreindu. Jafnframt telur stofnunin vinnsluna geta fallið undir 5. tölul. 1. mgr. 8. gr. laga nr. 77/2000, þess efnis að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg vegna verks í þágu almannahagsmuna, og 7. tölul. sömu málsgreinar, þess efnis að slík vinnsla sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.
2.3
Sérstök lagaheimild
Fyrir liggur að skrá á þær upplýsingar sem koma fram í heilsufarsviðtölum við starfsmenn Landspítalans í Sögukerfi spítalans.
Í 1. mgr. 4. gr. laga nr. 55/2009 um sjúkraskrár er kveðið á um þá skyldu heilbrigðisstarfsmanna sem fá sjúkling til meðferðar að skrá upplýsingar í sjúkraskrá. Til að skilyrðum framangreinds ákvæðis sé fullnægt þarf viðkomandi heilbrigðisstarfsmaður að veita sjúklingi meðferð í skilningi 3. tölul. 3. gr. sömu laga, en þar kemur fram að í meðferð felist rannsóknir, aðgerðir og önnur heilbrigðisþjónusta sem læknir eða annar heilbrigðisstarfsmaður veitir til að greina, lækna, endurhæfa, hjúkra eða annast sjúkling. Samkvæmt 1. tölul. 3. gr. er sjúklingur skilgreindur sem notandi heilbrigðisþjónustu en í athugasemdum þeim er fylgdu ákvæðinu í frumvarpi því er varð að lögum nr. 55/2009 segir nánar að með sjúklingi sé átt við hvern þann einstakling, heilbrigðan eða sjúkan, sem notar heilbrigðisþjónustu. Þá er í 1. mgr. 6. gr. sömu laga kveðið á um að skrá eigi í sjúkraskrá þau atriði sem nauðsynleg eru vegna meðferðar, auk þess sem kveðið er á um tilteknar lágmarksupplýsingar sem alltaf á að skrá. Að framangreindu er það mat Persónuverndar að umrædd heilsufarsviðtöl feli í sér notkun heilbrigðisþjónustu þar sem heilbrigðisstarfsmaður veiti sjúklingi meðferð.
Samkvæmt 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil ef til hennar stendur sérstök heimild samkvæmt öðrum lögum. Að fullnægðum öðrum skilyrðum laga nr. 55/2009 telur Persónuvernd að 1. mgr. 4. gr. sömu laga geti talist til slíkrar heimildar hvað varðar umrædda skráningu upplýsinga úr heilsufarsviðtölum í sjúkraskrá. Tekið skal fram að í áliti þessu er ekki tekin afstaða til þess hvort önnur skilyrði laga nr. 77/2000 séu uppfyllt.
3.
Sanngirni og meðalhóf
Auk þeirra skilyrða sem lýst er að framan verður öll vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Sú vinnsla persónuupplýsinga, sem hér um ræðir, er eðlislík þeirri vinnslu sem fram fer á vegum trúnaðarlækna á vinnustöðum þar sem sérstök ástæða er talin til eftirlits með heilsufari starfsmanna. Í tengslum við umrædd heilsufarsviðtöl ber að fylgja þeim viðmiðum sem almennt eiga við um slíka vinnslu. Það felur í sér að eins og ávallt við vinnslu persónuupplýsinga ber að gæta meðalhófs. Þarf meðal annars að gæta þess að yfirmenn fái ekki aðgang að upplýsingum úr heilsufarsviðtölunum umfram það sem nauðsynlegt er í þágu tilgangs viðtalanna og að meðalhófs sé gætt við öflun upplýsinga við framkvæmd þeirra. Það felur í sér að einungis skulu skráðar þær upplýsingar sem hafa vægi í ljósi eðlis starfa viðkomandi starfsmanns. Þá eiga yfirmenn ekki að geta fengið frekari upplýsingar um heilsuhagi starfsmanna en vottorð um afmarkaða þætti sem staðfesti af eða á hvort tilteknum heilsufarskröfum sé fullnægt og þá einungis að því marki sem slíkt er nauðsynlegt í ljósi starfa viðkomandi.
Leggur Persónuvernd áherslu á að farið verði að þessum reglum, sem og ákvæðum 11. og 12. gr. laga nr. 77/2000 þar sem fjallað um öryggi persónuupplýsinga og innra eftirlit ábyrgðaraðila með því að öryggisráðstöfunum, sem ákveðnar hafa verið, sé fylgt.
4.
Niðurstaða
Með vísan til framangreindra atriða telur Persónuvernd að fyrirhuguð vinnsla persónuupplýsinga í tengslum við heilbrigðisviðtöl Landspítala geti átt sér stoð í heimildarákvæðum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Þá telur Persónuvernd rétt að benda á mikilvægi þess að meðalhófs verði gætt.
Álitsorð
Persónuvernd gerir ekki athugasemdir við heilsufarsviðtöl Landspítala að svo stöddu en minnir jafnframt á mikilvægi þess að meðalhófs sé gætt við upplýsingasöfnun og vinnslu persónuupplýsinga.