Upplýsingaskylda Sjúkratrygginga Íslands
Mál nr. 2016/847
Úrskurður
Á fundi stjórnar Persónuverndar þann 16. júní 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/847:
I.
Málsmeðferð
1.
Tildrög máls
Þann 19. maí 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi), yfir vinnslu persónuupplýsinga um hann hjá Sjúkratryggingum Íslands og vefgátt stofnunarinnar, www.sjukra.is. Nánar tiltekið lýtur kvörtunin að því að hann fái hvorki aðgang að upplýsingum um börn sem hann hafi forsjá með í gegnum vefsíðuna sjúkra.is, né fái hann upplýsingar um hverjir hafi aðgang að þeim upplýsingum, þá hafi hann aðgang að upplýsingum um heilsuhagi barns sem hann hafi ekki forsjá með.
2.
Bréfaskipti
Með bréfi, dags. 7. júní 2016, var Sjúkratryggingum Íslands boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarbréf Sjúkratrygginga Íslands barst Persónuvernd þann 23. s.m. Í svarbréfinu segir m.a.:
„SÍ hafna því að hafa synjað kvartanda um aðgang að umræddum upplýsingum, heldur þvert á móti upplýst hann um að opnað yrði fyrir umsóknir forsjáraðila að aðgangi að réttindagátt barna í júní 2016. [...]
Einu upplýsingar SÍ um fjölskylduaðstæður barna koma frá Þjóðskrá Íslands. Þær upplýsingar eru þannig settar fram að hvert barn fær skráð fjölskyldunúmer sem stýrist af foreldri á lögheimili þess. Séu tveir foreldrar stýrist fjölskyldunúmer af eldra foreldrinu og er þá ekki gerður greinarmunur á því hvort um sé að ræða forsjárforeldri eða stjúpforeldri barns á heimilinu. Vert er að benda á að SÍ hafa engin tök á því að vita hvaða einstaklingar fari með forsjá barns, enda er ekkert miðlægt kerfi til sem geymir þær upplýsingar. Í gegnum tíðina hefur sú leið ekki verið fær að veita forsjárforeldri, sem ekki hafi lögheimili á sama stað og barn, aðgang að gögnum um það í gegnum réttindagátt. [...] SÍ [...] vinna nú að breytingum á Réttindagáttinni, sem gera forsjárforeldrum kleift að sækja um aðgang að réttindagátt barna sinna og þar með öllum upplýsingum sem aðganginum fylgir, m.a. hverjir hafa aðgang að upplýsingunum
Eðli málsins samkvæmt getur kvartandi leitað til þjónustuvers SÍ og óskað eftir afriti af umræddum gögnum, en þar sem hann er ekki tengdur börnunum í gegnum Þjóðskrá þyrfti hann að koma með gögn sem sýna að hann sé sannarlega með forsjá með umræddum börnum hverju sinni sem hann óskar eftir gögnum.“
Með svarbréfi Sjúkratrygginga Íslands fylgdu tölvupóstsamskipti milli kvartanda og Sjúkratrygginga Íslands. Þar segir að vegna tæknilegra aðstæðna sé ekki mögulegt að veita honum aðgang að þeim upplýsingum sem hann sóttist eftir. Þar segir enn fremur að ef stjúpforeldri þess barns sem hann fari með forsjá með sé elsti heimilismaður á lögheimili barns þá hafi hann aðgang að upplýsingum um barnið. Þá segir að Sjúkratryggingar Íslands vinni að breytingum á tölvukerfum stofnunarinnar sem myndu gera honum kleift að sækja um aðgang að umræddum upplýsingum.
Samkvæmt gögnum málsins var kvartanda hins vegar ekki tilkynnt um möguleika hans á að leita til þjónustuvers Sjúkratrygginga Íslands og óska eftir afriti af umræddum gögnum.
Með bréfi, dags. 23. júní 2016, ítrekuðu 25. júlí s.á., var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Sjúkratrygginga Íslands til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Ekkert svar barst frá kvartanda.
Þann 17. ágúst 2016 birtu Sjúkratryggingar Íslands fréttatilkynningu á heimasíðu stofnunarinnar þar sem sagði m.a.:
„Sjúkratryggingar Íslands (SÍ) hafa bætt aðgang að réttindagátt barna. Nú geta þeir forsjáraðilar sem eru ekki með skráð sama lögheimili og barn, sótt um aðgang að upplýsingum um barnið í Réttindagátt (mínar síður). [...]
Hinum forsjáraðilanum verður þá greint frá umsókninni og honum gefinn kostur á að koma fram athugasemdum sínum ef einhverjar eru, innan 2 vikna. Ef engar athugasemdir berast og öll gögn eru fullnægjandi, mun umsókn vera samþykkt og aðgangur veittur að réttindagátt barns í kjölfarið.“
Með bréfi, dags. 30. ágúst 2016, óskaði Persónuverndar staðfestingar á því að, í kjölfar breytinga á réttindagátt stofnunarinnar, hefði kvartanda verið gefinn kostur á að fá fullan aðgang að upplýsingum um börn sín í gegnum réttindagáttina til samræmis við framangreinda fréttatilkynningu. Jafnframt var óskað svara um hvort samtenging réttindagáttar Sjúkratrygginga Íslands væri enn til staðar og hvort aðgangur að upplýsingum væri enn byggður á fjölskyldunúmeri Þjóðskrár Íslands hverju sinni, þ.e. kennitölu elsta einstaklingsins á heimilinu.
Í svarbréfi Sjúkratrygginga Íslands, dags. 7. september 2016, staðfesti stofnunin að kvartandi gæti sótt um aðgang að réttindagátt barna sinna með því að fylla út umsókn þess efnis í gegnum sína réttindagátt hjá stofnuninni. Í bréfinu segir einnig að samtenging réttindagáttar SÍ sé enn byggð á skráningu einstaklinga í þjóðskrá og fjölskyldunúmeri Þjóðskrár Íslands hverju sinni.
Með bréfi, dags. 23. september 2016, ítrekuðu með bréfi, dags. 25. október s.á. var kvartanda tilkynnt um framangreindar breytingar á réttindagáttinni og staðfestingu Sjúkratrygginga Íslands um að hann ætti nú kost á að sækja um aðgang að réttindagátt barna sinna. Í ljósi þeirra breytinga sem gerðar höfðu verið á réttindagáttinni og þeirra upplýsinga sem fram komu í bréfi Sjúkratrygginga Íslands, dags. 23. júní 2016 var kvartandi spurður hvort ágreiningur væri enn til staðar og, ef svo væri, í hverju hann fælist.
Svar kvartanda barst Persónuvernd með tölvupósti þann 3. nóvember 2016. Þar lýsir kvartandi yfir óánægju sinni yfir að þurfa að sækja um aðgang að upplýsingum um þau börn sem hann fari með forsjá með og að hinum forsjáraðilanum sé veittur kostur á að tjá sig um umsókn hans. Jafnframt ítrekar kvartandi þá afstöðu sína að óeðlilegt sé að aðgangsstýring Sjúkratrygginga Íslands að réttindagátt stofnunarinnar stýrist af fjölskyldunúmeri Þjóðskrár Íslands.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 og afmörkun máls
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til teljast Sjúkratryggingar Íslands vera ábyrgðaraðili að umræddri vinnslu.
Í máli þessu er kvartað yfir synjun um aðgang að upplýsingum um ólögráða börn kvartanda í gegnum réttindagátt Sjúkratrygginga Íslands, synjun Sjúkratrygginga Íslands um upplýsingar um hverjir hafi slíkan aðgang og að kvartandi hafi aðgang að upplýsingum um börn sem hann hafi ekki forsjá yfir, en deili lögheimili með. Verður ekki talið að kvartandi hafi lögvarða hagsmuni af úrlausn máls er varðar aðgang hans að upplýsingum um þau börn sem hann hefur ekki forsjá með. Afmarkast úrlausnarefni Persónuverndar af þeirri ástæðu við aðgang kvartanda að upplýsingum hjá Sjúkratryggingum Íslands um þau börn sem hann fer með forsjá með og hverjir hafi aðgang að þeim upplýsingum um þau börn.
Engu að síður telur Persónuvernd, með hliðsjón af úrskurði stofnunarinnar í máli nr. 2015/526, rétt að benda á að notkun fjölskyldunúmers er ekki til þess fallin að tengja börn við foreldra eða forsjáraðila með áreiðanlegum hætti miðað við tilgang vinnslunnar. Miðlun persónuupplýsinga án sannreyningar til eldra foreldris sem skráð er á fjölskyldunúmer barns, er því í bága við kröfu 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um áreiðanleika persónuupplýsinga. Í því máli mæltist Persónuvernd til þess að skráðar verði ábendingar þeirra einstaklinga, sem koma fram með ósk um leiðréttingar á skráningu forsjárupplýsinga í upplýsingakerfi Sjúkratrygginga Íslands, og stofnunin hagi miðlun upplýsinga í samræmi við þær leiðréttingar sem berist.
2.
Lagaumhverfi
Við umrædda vinnslu persónuupplýsinga ber meðal annars að fara að ákvæðum 18. gr. laga nr. 77/2000 þar sem fjallað er um rétt hins skráða til að fá vitneskju hjá ábyrgðaraðila um vinnslu persónuupplýsinga um sig. Í 1. mgr. ákvæðisins eru talin upp nokkur atriði sem veita ber vitneskju um, þ. á m. um hvaðan upplýsingar koma. Er kvartað yfir að sú vitneskja hafi ekki verið veitt. Upplýsingarétturinn samkvæmt 18. gr. er bundinn við hinn skráða, en aðrir en hinn skráði geta þó fylgt réttinum eftir, hafi þeir t.d. til þess sérstakt umboð eða sé að lögum skylt að gera það. Ef hinn skráði er barn og nýtur forsjár fer forsjáraðili með lögformlegt fyrirsvar fyrir hönd hans, sbr. 28. gr. barnalaga nr. 76/2003. Verður því talið að kvartanda sé heimilt að fá aðgang að upplýsingum um ólögráða börn sem hann fer með forræði yfir.
Í tölvupóstsamskiptum milli Sjúkratrygginga Íslands og kvartanda sem fylgdu fyrrnefndu svarbréfi, dags. 23. júní 2016 kemur fram að vegna tæknilegra aðstæðna væri ekki mögulegt að veita honum aðgang að þeim upplýsingum sem hann hafi sóst eftir. Þá segir einnig að Sjúkratryggingar Íslands vinni að breytingum á tölvukerfum stofnunarinnar sem myndu gera honum kleift að sækja um aðgang að umræddum upplýsingum. Kvartanda var hins vegar ekki leiðbeint um þann möguleika að leita til þjónustuvers Sjúkratrygginga Íslands og fá afrit af gögnunum. Sjúkratryggingar Íslands uppfylltu því ekki upplýsingaskyldu sína gagnvart kvartanda skv. 18. gr. laga nr. 77/2000, á þeim tíma sem kvörtun barst Persónuvernd.
Í ljósi þeirra breytinga sem gerðar voru á tölvukerfi Sjúkratrygginga á meðan meðferð málsins stóð telur Persónuvernd hins vegar að ekki sé þörf á að aðhafast frekar vegna málsins.
Ú r s k u r ð a r o r ð:
Sjúkratryggingar Íslands uppfylltu ekki upplýsingaskyldu sína gagnvart [A] samkvæmt 18. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.