Óheimil miðlun upplýsinga frá FSA til Capacent Gallup
Þann 19. maí úrskurðaði stjórn Persónuverndar í máli af tilefni kvörtunar frá manni yfir miðlun upplýsinga frá FSA. Hann hafði legið á sjúkrahúsinu en fengið, eftir að hann útskrifaðist þaðan, bréf um að Capacent Gallup myndi hafa samband við hann símleiðis vegna könnunar á þjónustu sjúkrahússins. Var tekið fram að ef hann vildi ekki að fyrirtækið hefði samband við sig gæti hann haft samband við læknaritara hjá sjúkrahúsinu.
Úrskurður
Hinn 19. maí 2008 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2007/408:
I.
Tildrög máls og bréfaskipti
Þann 22. maí árið 2007 barst Persónuvernd erindi frá M. Hann hafði legið á Sjúkrahúsinu á Akureyri en fengið, eftir að hann útskrifaðist þaðan, bréf frá sjúkrahúsinu varðandi könnun á þjónustu við sjúklinga í tengslum við útskriftarferli á lyflækningadeild. Þar kom fram að Capacent Gallup myndi hafa samband við hann símleiðis vegna framkvæmdar könnunarinnar en ef hann vildi ekki að fyrirtækið hefði samband við sig gæti hann haft samband við læknaritara hjá Sjúkrahúsinu á Akureyri. Í erindinu vék M að þagnarskyldu og því hvort veita mætti þriðja aðila vitneskju um hvort ákveðinn sjúklingur hafi legið á sjúkrahúsi. Í erindi hans sagði m.a.:
„[...]Þess vegna náði það athygli minni að gallup væri allt í einu komið með kennitölulista yfir sjúklinga frá FSA sem sagði að ég hefði legið þar inni".
Hann skýrði erindið nánar með tölvubréfi þann 30. maí 2007. Þar segir m.a.:
„[...] í þessu bréfi stendur að ef ég vil koma í veg fyrir að ég lendi í úrtaki eða vill ekki láta hringja í mig geti ég haft samband við einhvern læknaritara. En þá kemur að spurningunni, telst það vera samþykki ef þau senda bréf og segja að ég geti haft samband ef ég vill ekki koma fram í úrtaki?
[...]
...það er ekkert ólíklegt að [á sjúkrahúsinu] hafi verið fólk sem var að gera eitthvað sem því fannst mjög viðkvæmt og vill gleyma, og þó svo að Gallup viti ekkert hvað þetta fólk var að gera á sjúkrahúsinu þá getur það tekið á að fá allt í einu símtal frá ókunnugum sem vita að þú varst á sjúkrahúsinu og þú veist ekkert hvað þeir vita um þig meira!"
Hefur hann staðfest að líta beri á erindið sem ósk um úrlausn um hvort unnið hafi verið í samræmi við ákvæði laga nr. 77/2000 um meðferð persónuupplýsnga og persónuvernd.
Með bréfi til Sjúkrahússins á Akureyri (FSA), dags. 6. júní árið 2007, óskaði Persónuvernd eftir upplýsingum um hvernig samþykkis hafi verið aflað hjá hinum skráðu fyrir miðlun upplýsinga um þá og með hvaða hætti Capacent Gallup hafi komið að framkvæmd könnunarinnar. Þá var spurt hvort Capacent Gallup hafi fengið upplýsingar um alla einstaklinga sem FSA sendi bréf eða einungis þá einstaklinga sem hefðu samþykkt að taka þátt í könnuninni. Þá var óskað eftir afriti af samningi Sjúkrahússins á Akureyri við Capacent Gallup, sbr. 1. og 2. mgr. 13. gr. laga nr. 77/2000.
Með bréfum dags. 10. ágúst, 8. nóvember og 18. desember árið 2007 ítrekaði Persónuvernd óskir sínar um svör. Svör bárust með bréfum Halldórs Jónssonar, forstjóra FSA, dags. 18. janúar og 4. febrúar 2008. Kom fram að í raun hefði verið um tvö verkefni að ræða. Annað hafi verið unnið af lyflækningadeild FSA en að öðru leyti hafi könnun á þjónustu verið unnin af IMG Gallup (síðar Capacent Gallup). Um vinnu Gallup segir m.a.:
„Í desember 2004 var gert samkomulag við IMG Gallup um framkvæmd tveggja slíkra þjónustukannana á árunum 2005 og 2007. Samkomulagið byggði á tillögu IMG Gallup frá 16. 12. 2004 (fskj. 3).
Notað var sænska mælitækið KUPP um gæði út frá sjónarhóli sjúklinga. Aðferðin sem var notuð í báðum tilvikum var símakönnun, framkvæmd af starfsmönnum IMG Gallup (síðar Capacent Gallup) eftir að þátttakendur höfðu fengið bréf frá FSA (fskj.4). Kannanirnar voru tilkynntar til Persónuverndar og gerðar með leyfi vísindasiðanefndar (fskj. 5). Úrvinnsla gagna var í höndum starfsmanna IMG Gallup. Úrtak þessara kannana var tekið úr legudeildarkerfi sjúkrahússins. Sjúkrahúsið sendi bréf til ofangreindra einstaklinga eins og framan greinir með upplýsingum um könnunina þar sem þeim var bent á að ef þeir vildu koma í veg fyrir að lenda í úrtakinu, þyrftu þeir að láta tilgreindan ritara á FSA vita. IMG Gallup fékk síðan upplýsingar um þá einstaklinga sem var boðið að taka þátt í umræddum könnunum og síðan upplýsingar um þá sem neituðu þátttöku með símtali."
Þann 26. apríl árið 2005 hafði Persónuvernd borist tilkynning vegna verkefnisins „Gæði frá sjónarhóli sjúklings". Hún fékk tilkynningarnúmerið S2489. Í tilkynningunni er fyrirtækið IMG þekkingarsköpun hf. tilgreint sem ábyrgðaraðili og sagt að tilgangurinn sé að mæla upplifun sjúklinga FSA á gæðum sjúkrahúsþjónustu og mikilvægi mismunandi þátta í þjónustunni og að kanna gæði frá sjónarhóli sjúklinga. Sagði að úrtakið yrði 400 manns sem nýlega hefðu útskrifast af lyflækninga-, bæklunar-, endurhæfingar-, handlækningar- og kvennadeild Fjórðungssjúkrahússins á Akureyri og að hringt yrði í sjúklinga og lagður fyrir þá spurningalisti. Þá sagði að öllum sjúklingum yrði kynnt bréflega um könnunina og það að þeir gætu átt von á símtali. Persónuvernd sendi staðfestingu um að hún hefði móttekið tilkynninguna og að tilkynningin hefði, eins og allar tilkynningar sem berast Persónuvernd, sjálfkrafa verið birt á heimasíðu stofnunarinnar. Tekið var fram að með móttöku og birtingu tilkynningarinnar hefði engin afstaða verið tekin af hálfu Persónuverndar til vinnslunnar. Engin tilkynning barst um þá könnun sem Capacent Gallup vann árið 2007, en í þeirri tilkynningu sem send hafði verið árið 2005 kom ekkert fram um að fyrirhugað væri að endurtaka könnunina árið 2007.
Með bréfi, dags. 5. mars 2008, óskaði Persónuvernd frekari skýringa frá FSA, einkum af tilefni þess að í bréfi sjúkrahússins kom fram að Gallup fékk bæði upplýsingar um þá einstaklinga sem voru beðnir um að taka þátt í umræddum könnunum og um þá sem neituðu þátttöku. Spurði Persónuvernd hvaða heimild sjúkrahúsið teldi sig hafa haft til vinnslunnar. Var svars óskað fyrir 19. mars. Óskin var ítrekuð með bréfi dags. 4. apríl og barst svar þann 11. apríl sl. Þar segir m.a.:
„Í Framtíðarsýn Sjúkrahússins á Akureyri fyrir árin 2005-2010 sem samþykkt hefur verið af heilbrigðisráðherra, segir m.a. um framtíðarsýn: "Takmark okkar er að viðhalda stöðu okkar sem virt heilbrigðisstofnun sem leitað er til vegna góðrar sérfræðiþekkingar, þverfaglegs samstarfs, aðbúnaðar, persónulegrar þjónustu og skamms biðtíma." Í kaflanum um gæði segir m.a.: "Viðhorfskannanir hjá sjúklingum um gæði þjónustu FSA verða hluti af reglulegri starfsemi". Í samræmi við þetta voru gerðar viðhorfskannanir hjá sjúklingum árið 2005 og aftur árið 2007.
Litið hefur verið svo á að 8. tl., 1. mgr., 9. gr. laga nr. 77/2000 veiti heimild til slíkrar vinnslu þar sem hún sé eðlilegur liður í að tryggja að sú þjónusta sem sjúkrahúsið veitir uppfylli faglegar kröfur.
Samkvæmt 24. gr. laga um heilbrigðisþjónustu (nr. 40/2007) ber sjúkrahúsinu að tryggja að sú þjónusta sem þar er veitt uppfylli faglegar lágmarkskröfur. Faglegar lágmarkskröfur samkvæmt 9. gr. reglugerðar 786/2007 um eftirlit landlæknis með rekstri heilbrigðisþjónustu lúta m.a. að því að húsnæðið skal uppfylla lágmarkskröfur um aðgengi og aðstöðu fyrir sjúklinga svo sem biðstofur, salerni og hreinlætisaðstöðu, meðferðarrými og vöknun þar sem það á við. Að auki kemur fram í 11. gr. reglugerðarinnar að fjöldi heilbrigðisstarfsmanna skuli taka mið af umfangi og eðli þjónustunnar. Til þess að staðfesta að starfsemi sjúkrahússins uppfylli skilyrði um þjónustu, aðbúnað og umönnun er sjúkrahúsinu mikilvægt að fá upplýsingar um viðhorf sjúklinganna sem þjónustunnar njóta. Stjórnendur Sjúkrahússins á Akureyri líta því svo á að könnun eins og sú sem hér um ræðir sé eðlilegur liður í venjubundinni stjórnsýslu á sviði heilbrigðisþjónustu."
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og handvirka vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá.
Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, sbr. 1. tölul. 2. gr. laganna. Vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af því leiðir að miðlun persónuupplýsinga telst til vinnslu í skilningi laganna, en í því máli sem hér um ræðir liggur fyrir að upplýsingum um einstaklinga, þ. á m. kennitölum þeirra, sem lágu á Sjúkrahúsinu á Akureyri var miðlað til utanaðkomandi aðila vegna framkvæmdar á þjónustukönnun.
Af framangreindu er ljóst að um er að ræða vinnslu persónuupplýsinga í skilningi laga nr. 77/2000 og fellur þar með undir valdsvið Persónuverndar að skera úr um lögmæti hennar, sbr. 37. gr. laganna.
2.
Lögmæti
Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 1. mgr. 8. gr. og eftir atvikum 1. mgr. 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 1. mgr. 8. gr. en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 1. mgr. 9. gr. laganna. Það mál sem hér um ræðir varðar miðlun upplýsinga um hverjir lágu á FSA á tilteknu tímabili. Lítur Persónuvernd svo á að slíkar upplýsingar teljist til heilsufarsupplýsinga, en þær eru viðkvæmar persónuupplýsingar í skilningi laganna, sbr. c-lið 8. tölul. 1. mgr. 2. gr. laga nr. 77/2000. Þarf vinnsla þeirra þar af leiðandi að eiga sér stoð í einhverju af heimildarákvæðum 1. mgr. 9. gr. laganna. Eigi vinnsla sér ekki stoð í nokkru þeirra eru eigi efni til að meta hvort uppfyllt sé eitthvert af skilyrðum 1. mgr. 8. gr.
2.1
Heimildarákvæði 1. tölul. 1. mgr. 9. gr.
Fyrir liggur að einstaklingar, sem legið höfðu inni á sjúkrahúsinu á Akureyri, fengu send bréf frá Sjúkrahúsinu á Akureyri þar sem m.a. kom fram að gera ætti könnun á ýmsum þáttum varðandi þjónustu og viðmót á sjúkrahúsinu. Í bréfinu kom einnig fram að starfsmaður Capacent Gallup myndi hafa samband við viðkomandi símleiðis, en ef hann vildi ekki taka þátt í könnuninni gæti hann haft samband við læknaritara á Sjúkrahúsinu á Akureyri. Þá liggur einnig fyrir að sjúkrahúsið miðlaði til Capacent Gallup bæði upplýsingum um alla sem fengu slík bréf og um þá sem höfnuðu þátttöku í könnuninni.
Samkvæmt 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000 er vinnsla viðkvæmra persónuupplýsinga heimil byggi hún á samþykki hins skráða. Vinnsla almennra persónuupplýsinga skv. 1. tölul. 1. mgr. 8. gr. getur verið heimil hafi hinn skráði ótvírætt samþykkt hana, s.s. með athöfn eða eftir atvikum athafnaleysi. Ef um viðkvæmar upplýsingar er að ræða er hins vegar gerður áskilnaður um yfirlýst samþykki, þ.e. samþykki í skilningi 7. tölul. 2. gr. laganna. Þar er það skilgreint sem: „Sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv."
Í því máli sem hér um ræðir var hinum skráða, kvartanda, veittur kostur á að koma því á framfæri við FSA væri hann því andvígur að upplýsingar um sig bærust Gallup. Af framangreindu ákvæði 7. tölul. 2. gr. laganna leiðir að ekki verður litið svo á að einstaklingur hafi samþykkt miðlun viðkvæmra upplýsinga með því að láta hjá líða að andmæla henni.
Af framangreindu leiðir að miðlun umræddra persónuupplýsinga um kvartanda frá FSA til Gallup var ekki heimil á grundvelli 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Af því leiðir að öll eftirfarandi vinnsla Gallup á þeim upplýsingum var þegar af þeirri ástæðu óheimil.
2.2.
Heimildarákvæði 8. tölul. 1. mgr. 9. gr.
Af hálfu ábyrgðaraðila hefur verið vísað til 8. tölul. 1. mgr. 9. gr. laganna sem heimildar fyrir vinnslu þeirri sem mál þetta lýtur að. Til skýringar þykir því rétt að taka eftirfarandi fram.
Samkvæmt þessum tölulið er vinnsla heimil sé hún nauðsynleg vegna læknismeðferðar eða vegna venjubundinnar stjórnsýslu á sviði heilbrigðisþjónustu, enda sé hún framkvæmd af starfsmanni heilbrigðisþjónustunnar sem bundinn er þagnarskyldu. Hugtakið „venjubundin stjórnsýsla" hefur í framkvæmd t.d. verið talið taka til vinnslu sem fram fer í tengslum við innra eftirlit og gæðaeftirlit sjúkrahúsa. Hafa þjónustukannanir í nokkrum tilvikum verið taldar til stjórnsýslu og þá talist lögmætar að uppfylltum skilyrðum ákvæðis 8. tölul. 1. mgr. 9. gr. Eitt af þeim skilyrðum er að vinnsla persónuupplýsinga sé framkvæmd af starfsmanni heilbrigðisþjónustunnar sem bundinn er þagnarskyldu. Í 1. mgr. 2. gr. laga nr. 74/1997 um réttindi sjúklinga er hugtakið „heilbrigðisstarfsmaður" skilgreint sem einstaklingur sem starfar í heilbrigðisþjónustu og hlotið hefur löggildingu heilbrigðis- og tryggingamálaráðherra til slíkra starfa. Af því leiðir að ekki verður á ákvæðinu byggt nema vinnslan hafi verið framkvæmd af starfsmanni sem uppfyllir þessi skilyrði, hvort sem hann er starfsmaður ábyrgðaraðila eða eftir atvikum vinnsluaðila. Þá er skilyrði, sé vinnslan unnin af vinnsluaðila, að gerður hafi verið gildur vinnslusamningur samkvæmt 13. gr. laga nr. 77/2000. Með bréfi FSA til Persónuverndar, dags. 18. janúar 2008, fylgdi afrit af tillögu IMG Gallup að þjónustukönnun meðal viðskiptavina/sjúklinga, dags. 16. desember árið 2005, en ekki liggur fyrir að gerður hafi verið gildur vinnslusamningur milli fyrirtækisins og FSA.
Af framangreindu leiðir að enda þótt uppfyllt hefðu verið skilyrði 1. tl 1. mgr. 9. gr. laga nr. 77/2000 fyrir miðlun upplýsinga um kvartanda frá FSA til Gallup, liggur ekki fyrir að eftirfarandi vinnsla hefði talist lögmæt á grundvelli 8. tl. 1. mgr. 9. gr. laganna.
Úrskurðarorð
Miðlun Sjúkrahússins á Akureyri til Gallup á upplýsingum um M var óheimil.