Ákvörðun vegna skimunar fyrir depurð og kvíða
Mál nr. 2015/1667
Persónuvernd hefur tekið ákvörðun í frumkvæðismáli þar sem fjallað var um vinnslu persónuupplýsinga um börn án upplýsts samþykkis foreldra, í tengslum við skimun og athugun á depurð og kvíða meðal grunnskólabarna í Reykjavík. Persónuvernd taldi að þær upplýsingar sem söfnuðust við skimunina teldust til sjúkraskrárupplýsinga og að meðferð þeirra, þar með talið öryggi upplýsinganna, skyldi samrýmast lögum nr. 55/2009 um sjúkraskrár. Á meðan skilyrði þeirra laga væru ekki uppfyllt fæli vinnslan í sér öryggisbrest sem samrýmdist ekki 11. gr. laga nr. 77/2000. Var lagt fyrir velferðarsvið Reykjavíkurborgar að senda Persónuvernd lýsingu á því hvernig öryggi persónuupplýsinga sem safnast við skimunina yrði tryggt framvegis.
Ákvörðun
Á fundi stjórnar Persónuverndar þann 8. mars 2017 var tekin svohljóðandi ákvörðun í máli nr. 2015/1667:
I.
Málsmeðferð
1.
Tildrög máls
Persónuvernd bárust ábendingar símleiðis frá foreldrum barna í Reykjavík um að fram færi vinnsla persónuupplýsinga um börn í grunnskólum Reykjavíkur í tengslum við rannsókn á einkennum depurðar og kvíða án upplýsts samþykkis foreldra. Í ljósi þess að ábendingarnar sneru að vinnslu viðkvæmra persónuupplýsinga um ólögráða börn ákvað Persónuvernd að hefja frumkvæðisathugun á fyrrgreindri vinnslu, sbr. 2. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og vinnslu persónuupplýsinga.
2.
Bréfaskipti
Með bréfi, dags. 14. desember 2015, var velferðarsviði Reykjavíkurborgar tilkynnt um frumkvæðisathugunina og boðið að koma á framfæri andmælum og skýringum. Í svarbréfi velferðarsviðs, dags. 14. janúar 2016, kemur fram að ábyrgðaraðilar rannsóknarinnar séu deildarstjórar þjónustumiðstöðva Reykjavíkurborgar en þar fari vinnsla umræddra upplýsinga fram. Tilgangur rannsóknarinnar, eða skimunarinnar, sé að finna þau börn sem eigi við tilfinningavanda að etja, þ.e. depurð og/eða kvíða. Foreldrar hafi fengið sent kynningarbréf þar sem skýrt hafi komið fram að svörun væri valfrjáls og þeim hafi verið gerð grein fyrir því hvernig neita ætti þátttöku. Ef foreldrar neituðu ekki skimun í kjölfar kynningarbréfs legðu sálfræðingar þjónustumiðstöðva Reykjavíkurborgar skimunarlista fyrir börn á skólatíma. Í framhaldinu væri þeim börnum sem greindu frá kvíða- og/eða depurðareinkennum yfir viðmiðunarmörkum meðal annars boðið að taka þátt í námskeiði sem haldið væri í samvinnu við geðsvið Landspítalans. Upplýsingarnar væru varðveittar í læstu skjali á viðkomandi þjónustumiðstöð.
Í svarbréfinu segir jafnframt að fyrrgreind vinnsla persónuupplýsinga styðjist við VIII. og IX. kafla laga nr. 40/1991 um félagsþjónustu sveitarfélaga, auk þess sem heimild sé að finna í 2. mgr. 40. gr. laga nr. 91/2008 um grunnskóla, en þar komi fram að í grunnskólum skuli frá upphafi skólagöngu nemenda unnið að forvarnastarfi með skimunum og athugunum á nemendum til að tryggja þeim kennslu og námsaðstoð við hæfi. Auk þess skuli fara fram greining á nemendum sem eigi í sálrænum eða félagslegum erfiðleikum sem hafi áhrif á nám þeirra. Allar athuganir á vegum skóla sem varði einstaka nemendur skuli gerðar í samráði við og með samþykki foreldra.
Þá segir að af orðalagi ákvæðisins sé ljóst að ekki séu gerðar sömu kröfur til samþykkis í lögum um grunnskóla og gerðar séu í lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Í þeim síðarnefndu sé gerð krafa um upplýst samþykki en í lögum um grunnskóla sé gerð krafa um samráð og samþykki foreldra. Ekki verði séð að fyrrgreint fyrirkomulag, þar sem foreldrar hafi getað neitað þátttöku í umræddri skimun, hafi brotið gegn 2. mgr. 40. gr. laga um grunnskóla.
3.
Viðbótarupplýsingar frá Reykjavíkurborg
Þann 23. nóvember 2016 barst Persónuvernd tilkynning frá Reykjavíkurborg um skimun fyrir kvíða- og depurðareinkennum meðal allra unglinga í 9. bekk grunnskóla Reykjavíkurborgar, sambærilega þeirri sem fram fór ári fyrr og frumkvæðisathugun Persónuverndar beindist að. Með bréfi til Reykjavíkurborgar, dags. 5. desember 2016, mælti Persónuvernd fyrir um að vinnsla persónuupplýsinga, þar á meðal söfnun þeirra, í þágu umræddrar skimunar skyldi ekki eiga sér stað á meðan frumkvæðisathugunin stæði yfir. Þá var meðal annars óskað upplýsinga um hvort heilbrigðisstarfsmenn kæmu að skimuninni, hvort litið væri svo á að hún fæli í sér heilbrigðisþjónustu sem slíkir starfsmenn skyldu inna af hendi og hvernig þess væri þá gætt að farið væri að kröfum löggjafar um slíka þjónustu, þar á meðal lögum nr. 55/2009 um sjúkraskrár.
Í svarbréfi Reykjavíkurborgar, dags. 19. janúar 2017, kemur meðal annars fram að skimunin sé unnin af hálfu sálfræðinga á þjónustumiðstöðvum Reykjavíkurborgar en þeir séu heilbrigðisstarfsmenn. Við skimunina muni einungis verða safnað ákveðnum upplýsingum en engin meðferð verði veitt. Í kjölfar hennar verði haft samband við foreldra og forsjáraðila þeirra barna sem metin verði í þörf fyrir frekari þjónustu og þeim boðin ráðgjöf í formi viðtala eða þátttaka í hópnámskeiði sem sálfræðingar á þjónustumiðstöðvunum sjái um, sbr. það sem áður kom fram. Þá segir að með vísan til 2. mgr. 1. gr., 2. og 3. tölul. 1. mgr. 3. gr. laga nr. 55/2009 um sjúkraskrár, sem og lýsingar á þeirri framkvæmd sem viðhöfð hafi verið við skimanirnar, telji Reykjavíkurborg ekki að þau lög gildi um umrædda þjónustu.
4.
Álit Embættis landlæknis
Með bréfi til Embættis landlæknis, dags. 27. febrúar 2017, óskaði Persónuvernd eftir áliti embættisins á því hvort sú vinnsla, sem að framan er lýst, fæli í sér heilbrigðisþjónustu. Í svarbréfi embættisins, dags. 1. mars 2017, er vísað til 2. tölul. 3. gr. laga um landlækni og lýðheilsu nr. 41/2007, en þar er heilbrigðisþjónusta skilgreind sem hvers kyns heilsugæsla, lækningar, hjúkrun, almenn og sérhæfð sjúkrahúsþjónusta, sjúkraflutningar, hjálpartækjaþjónusta og þjónusta heilbrigðisstarfsmanna innan og utan heilbrigðisstofnana sem veitt er í því skyni að efla heilbrigði, fyrirbyggja, greina eða meðhöndla sjúkdóma eða endurhæfa sjúklinga. Í bréfinu segir að tilfinningavandi eins og depurð og kvíði séu sannarlega sjúkdómar. Landlæknir fái ekki annað séð en að tilgangur Reykjavíkurborgar með umræddri skimun, þ.e. að finna börn sem stríða við framangreinda sjúkdóma, þ.e. depurð og/eða kvíða, falli undir tilvitnaða skilgreiningu á heilbrigðisþjónustu, þ.e. að greina sjúkdóma.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.
Af framangreindu er ljóst að vinnsla persónuupplýsinga í tengslum við framkvæmd skimunar og athugunar á grunnskólanemendum, sbr. 2. mgr. 40. gr. laga nr. 91/2008 um grunnskóla, fellur undir gildissvið laga nr. 77/2000.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst velferðarsvið Reykjavíkurborgar vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þá verður vinnsla viðkvæmra persónuupplýsinga, svo sem upplýsinga um heilsuhagi, sbr. c-lið 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna.
Vinnsla viðkvæmra persónuupplýsinga getur talist heimil á grundvelli 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000 standi sérstök heimild til hennar samkvæmt öðrum lögum, sbr. einnig 3. tölul. 1. mgr. 8. gr. laganna. Velferðarsvið Reykjavíkurborgar hefur vakið athygli á 2. mgr. 40. gr. laga nr. 91/2008 um grunnskóla, en áður var greint frá efni þess ákvæðis. Af svörum velferðarsviðs að dæma er skimunin framkvæmd með þeim hætti að hægt er að rekja svörin til einstakra nemenda. Verður því talið að 3. málsl. 2. mgr. 40. gr. laganna eigi við, þ.e. að athugunin skuli gerð í samráði við og með samþykki foreldra.
Þótt sú vinnsla persónuupplýsinga, sem hér er fjallað um, geti farið fram á grundvelli heimildar í lögum um grunnskóla gilda lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, einnig um hana og ber að fylgja þeim lögum í hvívetna við framkvæmd vinnslunnar. Í máli þessu er um að ræða vinnslu viðkvæmra persónuupplýsinga og þarf það samþykki sem veitt er að uppfylla skilyrði 7. tölul. 2. gr. laganna. Þar er samþykki skilgreint sem sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv. Samþykkið skal vera yfirlýst og því verður þögn ekki virt sem samþykki í skilningi ákvæðisins. Þótt foreldri hafi fengið tækifæri til að andmæla söfnun viðkvæmra persónuupplýsinga um barn sitt telst það því ekki hafa með því veitt samþykki sitt í framangreindum skilningi. Verður því ekki talið að uppfyllt sé skilyrði 2. töluliðar 1. mgr. 9. gr. laga nr. 77/2000 fyrir vinnslu viðkvæmra persónuupplýsinga um ólögráða börn í grunnskólum Reykjavíkurborgar, þar sem skilyrði lagaheimildarinnar, þ.e. 2. mgr. 40. gr. laga um grunnskóla, um samþykki getur ekki talist uppfyllt.
Samkvæmt 7. tölul. 1. mgr. 8. gr. getur vinnsla persónuupplýsinga talist heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Þá getur vinnsla viðkvæmra persónuupplýsinga talist heimil sé hún nauðsynleg vegna læknismeðferðar, enda sé hún framkvæmd af starfsmanni heilbrigðisþjónustunnar sem bundinn er þagnarskyldu, sbr. 8. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Ákvæðið er byggt á 3. mgr. 8. gr. tilskipunar 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, en samkvæmt því ákvæði er vinnsla viðkvæmra persónuupplýsinga heimil ef hún er nauðsynleg til að unnt sé að fyrirbyggja eða greina sjúkdóma, hjúkra eða veita meðferð eða stjórna heilsugæslu og ef upplýsingarnar eru unnar af starfsmanni á heilbrigðissviði sem fellur undir innlend lög eða reglur um þagnarskyldu, sem innlendir lögbærir aðilar hafa sett, eða af öðrum einstaklingi sem er einnig bundinn samsvarandi þagnarskyldu.
Velferðarsvið Reykjavíkurborgar hefur upplýst að skimunin sem um ræðir sé unnin af hálfu sálfræðinga á þjónustumiðstöðvum Reykjavíkurborgar, en sálfræðingar eru heilbrigðisstarfsmenn skv. lögum nr. 34/2012 um heilbrigðisstarfsmenn. Þá verður við það miðað að skimunin feli í sér heilbrigðisþjónustu, sbr. álit Embættis landlæknis þar að lútandi. Með hliðsjón af fyrrnefndu ákvæði tilskipunar 95/46/EB telur Persónuvernd að túlka megi 8. tölul. 1. mgr. 9. gr. laga nr. 77/2000 á þá leið að skimun sem fram fer í því skyni að greina depurð og kvíða geti talist heimil á grundvelli þess ákvæðis. Þá telur Persónuvernd að skimunin geti jafnframt stuðst við heimild í áðurnefndum 7. tölul. 1. mgr. 8. gr. laganna.
3.
Öryggi persónuupplýsinga
Í 11. gr. laga nr. 77/2000 er fjallað um öryggi persónuupplýsinga. Þar segir meðal annars að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Beita skuli ráðstöfunum sem tryggi nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.
Við beitingu ákvæðisins er nauðsynlegt að líta til þess að heilbrigðisupplýsingar njóta sérstakrar verndar og um meðferð þeirra gilda strangar öryggiskröfur, sbr. m.a. lög nr. 55/2009 um sjúkraskrár. Í 1. mgr. 4. gr. laganna er mælt fyrir um að heilbrigðisstarfsmaður sem fær sjúkling til meðferðar skuli færa sjúkraskrá, en heilbrigðisþjónusta sem heilbrigðisstarfmenn veita til að greina sjúklinga fellur undir skilgreiningu á hugtakinu meðferð í 3. tölul. 1. mgr. 3. gr. sömu laga. Ítarlegar reglur um meðferð og öryggi upplýsinga í sjúkraskrám er að finna í öðrum ákvæðum laganna.
Ekki hefur verið sýnt fram á að meðferð velferðarsviðs Reykjavíkurborgar á persónuupplýsingum sem safnast við skimunina sé í samræmi við þær kröfur sem gerðar eru til meðferðar sjúkraskrárupplýsinga, svo sem varðandi skráningu þeirra í sjúkraskrár, aðgang að þeim og varðveislu þeirra. Eins og áður var rakið hafa upplýsingarnar verið varðveittar í læstu skjali á þjónustumiðstöðvum borgarinnar og hefur velferðarsvið ekki talið að lög nr. 55/2009 um sjúkraskrár gildi um meðferð þeirra. Með vísan til framangreinds er það hins vegar mat Persónuverndar að um sé að ræða sjúkraskrárupplýsingar og að meðferð þeirra, þ.m.t. öryggi upplýsinganna, skuli samrýmast lögum nr. 55/2009 um sjúkraskrár. Á meðan skilyrði þeirra laga eru ekki uppfyllt er það mat Persónuverndar að vinnslan feli í sér öryggisbrest sem samrýmist ekki 11. gr. laga nr. 77/2000. Skal velferðarsvið Reykjavíkurborgar því senda Persónuvernd lýsingu á því hvernig öryggi persónuupplýsinga sem safnast við skimunina verður tryggt framvegis.
Nokkrar tafir hafa orðið á meðferð máls þessa en þær skýrast af miklum önnum hjá Persónuvernd.
Á k v ö r ð u n a r o r ð:
Vinnsla velferðarsviðs Reykjavíkurborgar á viðkvæmum persónuupplýsingum um börn í tengslum við skimun og athugun á depurð og kvíða meðal grunnskólabarna getur samrýmst lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga að því tilskildu að uppfylltar verði kröfur um öryggi samkvæmt 11. gr. laganna, sbr. einnig lög nr. 55/2009 um sjúkraskrár.
Velferðarsvið Reykjavíkurborgar skal eigi síðar en 8. maí 2017 senda Persónuvernd lýsingu á því hvernig öryggi persónuupplýsinga, sem safnast við áðurnefnda skimun, verður tryggt framvegis.