Úrskurður um greiðslu kostnaðar vegna vinnu tilsjónarmanns
Persónuvernd úrskurðaði í máli nr. 2008/190, varðandi greiðslu kostnaðar vegna vinnu tilsjónarmanns sem fram hefur farið samkvæmt leyfi sem heilbrigðisráðherra fékk 18. ágúst 2008 til samkeyrslu tiltekinna upplýsinga vegna verkefnis um greiðsluþátttöku almennings í heilbrigðiskerfinu.
Úrskurður
Á fundi stjórnar Persónuverndar hinn 19. desember 2008 var kveðinn upp svohljóðandi úrskurður í máli nr. 2008/190:
I.
Upphaf máls og bréfaskipti
Þann 18. ágúst 2008 tók stjórn Persónuverndar ákvörðun um að veita heilbrigðisráðherra umbeðið leyfi til að samkeyra persónuupplýsingar sem að yrði, í þágu verkefnis um greiðsluþátttöku almennings í heilbrigðiskerfinu, aflað frá Landspítala, Lyfju hf., Lyfjum og heilsu hf., Lyfjavali ehf., Lyfjaveri ehf., Læknavaktinni, Rauða krossinum, Tryggingastofnun ríkisins, Heilsugæslu höfuðborgarsvæðisins, Heilbrigðisstofnun Suðurlands, Heilbrigðisstofnun Suðurnesja, Heilbrigðisstofnun Austurlands, Heilsugæslustöðinni Borgarnesi, Sjúkrahúsinu og heilsugæslustöðinni á Akranesi, Heilbrigðisstofnun Vestmannaeyja, Heilsugæslustöðinni Akureyri og Heilbrigðisstofnun Ísafjarðarbæjar.
Leyfið var bundið skilmála um eftirlit tilsjónarmanns. Sagði að engin vinnsla skyldi fara fram nema undir eftirliti hans, öll vinnsla, þ.m.t. smíði dulkóðunarlykla fyrir verkefnið, skyldi fara fram á fartölvu frá vinnsluaðila og hana mætti ekki tengja neinum öðrum búnaði. Skyldi hún vera í vörslum Persónuverndar/tilsjónarmanns frá og með smíði lykla og til loka verkefnisins. Skyldi tilsjónarmaður sjá um að varðveita eina eintak þess dulkóðunarlykils sem notaður yrði í verkefninu, milli þess sem hann væri í vörslum Persónuverndar. Lykillinn skyldi ætíð vistaður á framangreindri fartölvu og hvorki færður af henni né afritaður af henni með neinum hætti. Þegar samkeyrsla persónuupplýsinga skv. leyfi þessu færi fram skyldi tilsjónarmaður mæta með fyrrgreinda fartölvu og hafa eftirlit með vinnslulotunni. Skyldi hann, að hverri vinnslulotu lokinni, skila fyrrgreindri fartölvu til Persónuverndar þar sem hún yrði varðveitt, milli vinnslulota, þar til verkefninu lyki. Sagði að Persónuvernd gæti ákveðið að leyfishafi myndi greiða kostnað af tilsjón.
Áður en framangreint leyfi var gefið út hafði M haft tilsjón með verkinu. Í símtali forstjóra Persónuverndar og formanns framkvæmdanefndarinnar þann 26. febrúar 2008 lýsti formaðurinn því yfir að hann teldi eðlilegt að kostnaður vegna hans yrði greiddur til helminga af ráðuneytinu og Persónuvernd. Sami skilningur kom og fram af hálfu ráðuneytisins í símtali starfsmanns ráðuneytisins við forstjóra Persónuverndar hinn 29. febrúar 2008. Í bréfi Péturs H. Blöndals, formanns framkvæmdanefndar, dags. 7. júlí 2008, segir um þetta:
„Varðandi staðfestingu um að kostnaður vegna tilsjónarmanns Persónuverndar verði greiddur af heilbrigðisráðuneytinu mun ráðuneytið senda Persónuvernd yfirlýsingu þess efnis. Í munnlegum samskiptum formanns framkvæmdanefndar við forstjóra Persónuverndar hefur komið fram sá skilningur að þessum kostnaði verði skipt til helminga milli ráðuneytis og Persónuverndar. Forsenda þess eru að Persónuvernd bæri að sinna slíkum verkefnum en þetta verkefni væri stærra en venja væri."
Slík yfirlýsing barst aldrei frá ráðuneytinu. Umbeðið leyfi til samkeyrslunnar var þó gefið heilbrigðisráðherra, eins og áður segir, með skilmála varðandi ákvörðun Persónuverndar um kostnað vegna tilsjónar. Þann 1. september 2008 gerði tilsjónarmaðurinn Persónuvernd grein fyrir því að umfang hans vinnu yrði meira en fyrri áætlun hafði gert ráð fyrir. Gerði Persónuvernd ráðuneytinu grein fyrir því og að hún vænti þess að sá kostnaður félli á ráðuneytið. Í bréfi hennar til ráðuneytisins, dags. 2. september 2008, segir:
„Persónuvernd vísar til fyrri bréfaskipta varðandi vinnslu persónuupplýsinga í þágu verkefnis um greiðsluþátttöku almennings í heilbrigðiskerfinu. Samhliða því sem Persónuvernd minnir á skilmála útgefinna leyfa um aðkomu tilsjónarmanns vill hún greina frá því að henni hafa nú borist upplýsingar frá honum um að hann telji umfang verksins verða nær 40-50 tímum, en í upphafi var gert ráð fyrir u.þ.b. 20 tímum.
Hafið þér einhverjar athugasemdir við framangreindan kostnað, sem vænta má að falli á ráðuneytið, er þess óskað að þeim verði komið á framfæri fyrir 11. þ.m. Hafi engar athugasemdir þá borist er við það miðað að verkinu verði framhaldið."
Engar athugasemdir bárust frá ráðuneytinu og var vinnu framhaldið. Þann 14. nóvember 2008 barst forstjóra Persónuverndar tölvupóstur frá starfsmanni heilbrigðisráðuneytisins. Það var svohljóðandi:
„Hvað segir þú um þessa reikninga frá [...] og hvað varð um skiptingu kostnaðar milli Persónuverndar og ráðuneytisins?"
Svarað var samdægurs. Þar sagði:
„Um kostnaðinn er fjallað í skilmálum leyfanna, geri ráð fyrir að [...] hafi aðeins innheimt hjá ráðuneytinu þá vinnslu sem það fékk leyfi fyrir. Þegar í ljós kom að kostnaðurinn yrði hærri en upphaflega var búist við var ráðuneytinu sent bréf þar að lútandi. Það var áður en aðalvinna [...] hófst. Engar athugasemdir bárust.
Þann 8. desember 2008 barst Persónuvernd síðan afrit af tölvupósti ráðuneytisins til tilsjónarmanns Persónuverndar. Þar segir:
„Ráðuneytið getur ekki samþykkt að greiða reikning þinn frá 30.09.2008 (reikningur nr. 0002625) þar sem upphæð umrædds reiknings fer langt umfram það sem um var rætt auk þess sem reikningnum hefur ekki verið skipt milli Persónuverndar og ráðuneytisins eins og kynnt hafði verið fyrir ráðuneytinu að gert yrði. "
Með bréfi, dags. 15. desember 2008, minnti Persónuvernd ráðuneytið á skilmála leyfisins um kostnað vegna tilsjónar með verkefninu, sbr. d-lið, 4. mgr, kafla B, gr. 2.2 í ákvörðun um heimild til samkeyrslu upplýsinga. Gaf Persónuvernd ráðuneytinu kost á að koma á framfæri athugasemdum.
Forstjóri Persónuverndar ræddi málið við E, starfsmann heilbrigðisráðuneytisins þann 18. desember 2008. Hann staðfesti að raunkostnaður vegna verksins hefði orðið meiri en ráðuneytið ætlaði í upphafi. Upphaflega hafi verið gert ráð fyrir að vinna tilsjónarmanns yrðu u.þ.b. 20 stundir. Hafi ráðuneytið þegar greitt fyrir 10 stunda vinnu tilsjónarmanns. Síðar hefði því borist viðbótarreikningur fyrir viðbótarvinnu tilsjónarmanns, kr. 1.008.450,- með virðisaukaskatti. Þennan kostnað væri ráðuneytið ekki tilbúið að greiða. Benti forstjóri Persónuverndar á að Persónuvernd myndi taka ákvörðun á fundi stjórnar þann 19. desember 2008, að virtum athugasemdum ráðuneytisins.
Athugasemdir bárust með bréfi ráðuneytisins hinn 19 desember 2008, en í því segir m.a.:
„1)Kostnaður vegna vinnu tilsjónarmanns (1.150.000 kr) hefur nú þegar farið langt fram úr áætlun (sem var max. 500. þús kr sem eru þá 33 tímar hjá [...] ef hann tekur 15 þús. kr. á tímann með vsk.) Þess má geta að eftir er að vinna upplýsingar hjá Skýrr um kostnað sjúklinga hjá tannlæknum sem mun þá væntanlega hækka þennan kostnað enn frekar.
2)Kostnaði vegna vinnunnar er ekki skipt jafnt á milli Persónuverndar og ráðuneytisins eins rætt hafði verið og kynnt fyrir ráðuneytisstjóra.
3)Erfitt er að koma auga á nauðsyn löglærðs tilsjónarmanns vegna keyrslu upplýsinga hjá öryggisvottuðu fyrirtæki eins og Skyrr.
Þá gerir ráðuneytið athugasemd við að hafa ekki séð eða haft aðkomu að verksamningi Persónuverndar við [...] um tilsjónarmennsku við vinnslu umræddra persónuupplýsinga sem vitnað er til í bréfi Persónuverndar.
Af ofangreindum ástæðum hefur ráðuneytið ekki talið sér fært að greiða reikning nr. 000265 að upphæð 1.008.450 kr frá tilsjónarmanni Persónuverndar [...] fyrir vinnu hans í september mánuði."
II
Niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Af þessu leiðir að efni máls þessa lýtur að vinnslu persónuupplýsinga og þar með fellur umfjöllun um efni þess undir valdsvið Persónuverndar.
2.
Samkvæmt 4. mgr. 37. gr. laga nr. 77/2000, getur Persónuvernd ákveðið að ábyrgðaraðili, skuli greiða þann kostnað sem hlýst af eftirliti Persónuverndar með því að ábyrgðaraðilinn fullnægi skilyrðum laga og reglna um vinnslu persónuupplýsinga. Þá segir að Persónuvernd geti ákveðið að ábyrgðaraðili greiði kostnað vegna úttektar á starfsemi við undirbúning útgáfu vinnsluleyfis og við aðra afgreiðslu. Heilbrigðisráðherra telst ábyrgðaraðili í þessum skilningi
Af því sem segir í framangreindum ákvæðum laga nr. 77/2000, sbr. og fskj. nr. III. með því frumvarpi sem varð að þeim lögum, er ljós sá vilji löggjafans að kostnaður vegna eftirlits Persónuverndar skuli falla á þá sem eftirlitið beinist að. Þess má geta að þegar ákveðið var að setja Persónuvernd á laggirnar fór fram mat á fjárhagslegum áhrifum þess fyrir ríkissjóð. Við það mat var á því byggt að þegar stofnunin myndi viðhafa eftirlit með mjög umfangsmikilli vinnslu þyrfti hún að kaupa viðbótarvinnu utanaðkomandi aðila og að eftirlitsgjöld ættu að heild eða að hluta að standa undir þeim kostnaði sem af því myndi hljótast. Er því ljóst að Persónuvernd hefur heimild til að krefja heilbrigðisráðherra um greiðslu kostnaðar vegna eftirlits með umræddri vinnslu.
Í samræmi við þetta segir í skilmálum þess leyfis sem Persónuvernd veitti heilbrigðisráðherra 18. ágúst 2008 að hún geti ákveðið að leyfishafi, þ.e. hér heilbrigðisráðherra, skuli greiða þann kostnað er hlýst af tilsjón með verkefninu, sbr. d-lið, 4. mgr, kafla B, gr. 2.2 í ákvörðun um heimild til samkeyrslu upplýsinga. Vegna athugasemdar ráðuneytisins um að ekki hafi verið haft samráð við það um val á tilsjónarmanni er minnt á að Hörður starfaði að verkefninu áður en umbeðið leyfi var gefið út, ráðuneytið hafði þá þegar greitt vinnu hans að hluta og því var að auki veittur andmælaréttur með bréfi dags. 2. september sl., sem það nýtti ekki.
Með vísan til framangreinds hefur Persónuvernd ákveðið að heilbrigðisráðherra skuli greiða kostnað vegna vinnu M, tilsjónarmanns með verkefni um greiðsluþátttöku almennings í heilbrigðiskerfinu, kr. 1.008.450,- með virðisaukaskatti. Vegna hugsanlegs misskilnings um greiðslu kostnaðar þykir, eins og hér stendur á, sanngjarnt að Persónuvernd greiði helming þess kostnaðar sem áætlaður var í upphafi, þ.e. kr. 186.750,- með virðisaukaskatti.
Ú r s k u r ð a r o r ð:
Heilbrigðisráðherra skal greiða kr. 821.700,- vegna vinnu M, tilsjónarmanns, sem fram hefur farið samkvæmt leyfi sem hann fékk 18. ágúst 2008 til samkeyrslu tiltekinna upplýsinga vegna verkefnis um greiðsluþátttöku almennings í heilbrigðiskerfinu.
Í Persónuvernd, 19. desember 2008