Úrskurður um aðgang þriðja aðila að upplýsingum í réttindaskrá Sjúkratrygginga Íslands með notkun fjölskyldunúmers
Mál nr. 2020010680
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir aðgangi þriðja aðila að upplýsingum í réttindaskrá Sjúkratrygginga Íslands. Í úrskurðinum er komist að þeirri niðurstöðu að aðgangur með notkun fjölskyldunúmers, um barn kvartanda, hafi ekki samrýmst lögum um persónuvernd og vinnslu persónuupplýsinga.
Úrskurður
Þann 11. nóvember 2020 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr.
2020010680 (áður 2019101865):
I.
Málsmeðferð
1.
Kvörtun og málsmeðferð
Þann 6. október 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur „kvartandi“) ásamt afriti af svarbréfi Sjúkratrygginga Íslands sem dagsett var 5. júní 2019, varðandi skráningu barns hans í réttindagátt Sjúkratrygginga Íslands undir fjölskyldunúmeri. Skráningin leiði til þess að aðili, sem býr á sama lögheimili og barnið hafi aðgang að viðkvæmum persónuupplýsingum um barnið. Með bréfi Persónuverndar, dags. 26. maí 2020, til kvartanda var honum bent á að fyrir lægju úrskurðir í sambærilegum málum. Með tölvupósti þann 7. júní 2020, óskaði kvartandi eftir að Persónuvernd tæki málið engu að síður til umfjöllunar.
Með bréfi, dags. 23. júlí 2020, var Sjúkratryggingum Íslands boðið að koma á framfæri skýringum vegna kvörtunar til Persónuverndar. Svarað var með bréfi, dags. 2. september 2020.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Mál þetta hefur dregist vegna anna hjá Persónuvernd.
2.
Sjónarmið kvartanda
Kvartandi kveður barn sitt skráð í réttindagátt Sjúkratrygginga Íslands undir fjölskyldunúmeri. Það leiði til þess að aðili, sem býr á sama lögheimili og barnið en er ótengdur barni hans bæði lagalega og líffræðilega, hafi aðgang að viðkvæmum persónugreinanlegum upplýsingum um barn hans, s.s. heilsufarsupplýsingum og lyfjanotkun. Sjúkratryggingar Íslands styðjist við svokölluð fjölskyldunúmer sem gefin eru út til að tengja börn saman við heimili. Á vef Þjóðskrár Íslands komi hins vegar fram að fjölskyldunúmeri hafi aldrei verið ætlað að veita upplýsingar um hverjir væru foreldrar barns né hverjir fari með forsjá þess. Þrátt fyrir það styðjist Sjúkratryggingar Íslands við fjölskyldunúmerið til að tengja saman þá sem búa á sama lögheimili. Þetta valdi því að brotið sé á rétti barns hans þannig að ótengdum aðila á heimili, sé veittur aðgangur að viðkvæmum persónuupplýsingum um barnið.
3.
Sjónarmið Sjúkratrygginga Íslands
Af hálfu Sjúkratrygginga Íslands kemur fram í bréfi til kvartanda að notað sé fjölskyldunúmer til að tengja einstaklinga í réttindagátt. Fjölskyldunúmeri hafi verið ætlað að vera samtenging á milli einstaklinga á lögheimili, en hafi aldrei verið ætlað að veita upplýsingar um hverjir væru foreldrar barns né hverjir fari með forsjá þess. Fjölskyldunúmer hafi verið notað í þeim tilgangi að veita þjónustu sem þjónustunotendur geri kröfu um, þ.e. að miðla upplýsingum um réttindastöðu barna rafrænt í gegnum vefgátt (svokallaða Réttindagátt). Fjölskyldunúmer hafi því verið notað til að tengja saman foreldri og barn en gagnagrunnurinn sé starfræktur af Þjóðskrá Íslands.
Þá kemur fram að um greiðsluþátttöku Sjúkratrygginga Íslands fari samkvæmt lögum nr. 112/2008 um sjúkratryggingar og sé háð fjölskyldunúmeri, þ.e. hámarksgreiðsla greiðsluþátttöku hverju sinni, taki til kostnaðar vegna einstaklinga með sama fjölskyldunúmer. Þá kemur fram af hálfu stofnunarinnar að kvartandi og móðir barns, fari með sameiginlega forsjá. Jafnframt kemur fram að fjölskyldunúmer barns kvartanda sem sé fætt 2012, sé tengt þriðja aðila með fjölskyldunúmeri. Sá aðili sé ekki forsjárforeldri og að stofnunin sé meðvituð um að það leiði til aðgangsheimildar sem sé ekki í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Þá kemur fram að nýr gagnagrunnur sé í vinnslu hjá Þjóðskrá Íslands.
Af hálfu Sjúkratrygginga Íslands kemur fram að í kjölfar fyrri úrskurða Persónuverndar í sambærilegum málum, nr. 2015/526 og nr. 2016/847, hafi Sjúkratryggingar Íslands farið að fyrirmælum Persónuverndar og skráð ábendingar þeirra einstaklinga sem óskuðu leiðréttinga á skráningu forsjárupplýsinga í upplýsingakerfi Sjúkratrygginga Íslands. Þá bendir stofnunin á að miðlun upplýsinga sé hagað í samræmi við þær leiðbeiningar.
Þá kemur fram að gert sé ráð fyrir að vinna við tengingar við nýjan gagnagrunn Þjóðskrár Íslands hefjist með haustinu og að Sjúkratryggingum Íslands hafi verið boðið að vera með fyrstu stofnunum til að taka hann í notkun. Ekki hafi verið unnt að útbúa tímaáætlun fyrir verkefnið. Þar til lausn verði tilbúin verði stuðst við þau tímabundnu úrræði að leiðrétta gagnagrunninn samkvæmt beiðni foreldra.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Af framangreindu er ljóst að veiting aðgangs að upplýsingum um barn til þriðja aðila í gegnum réttindagátt Sjúkratrygginga Íslands, telst vinnsla sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna, sbr. 7. tölul. 4. gr. reglugerðarinnar, er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga. Eins og hér háttar til teljast Sjúkratryggingar Íslands ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu og niðurstaða
Við vinnslu persónuupplýsinga þarf að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingum, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli eytt eða þær leiðréttar án tafar (4. tölul.) og að þær séu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.).
Nánari útfærslu á öryggisreglu 6. tölul. 1. mgr. 8. gr. er að finna í 24. og 27. gr. laga nr. 90/2018, sbr. nánari fyrirmæli 25. og 32. gr. reglugerðarinnar. Í 24. gr. laganna og 2. mgr. 25. gr. reglugerðarinnar, sem fjallar um sjálfgefna persónuvernd, er m.a. gert ráð fyrir að ábyrgðaraðili geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni. Sú skylda nái m.a. til aðgangs að persónuupplýsingum. Þá gera 1. mgr. 27. gr. laganna og 32. gr. reglugerðarinnar ráð fyrir að ábyrgðaraðili geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi miðað við áhættuna og geta tryggt trúnað vinnslukerfa og þjónustu.
Af málsatvikum má ráða að þriðji aðili hafi fengið aðgang að upplýsingum um barn kvartanda, sem hann hafi ekki forsjá yfir, á grundvelli fjölskyldunúmers. Af hálfu Sjúkratrygginga Íslands hefur jafnframt komið fram að brugðist sé við beiðnum forsjáraðila um breytingu á aðgangsheimildum, þegar þær komi fram. Þá sé beðið eftir uppfærslu kerfa hjá Þjóðskrá Íslands þannig að hægt sé að leggja af notkun fjölskyldunúmera.
Að framangreindu virtu og niðurstöðum Persónuverndar í sambærilegum málum nr. 2015/526 og nr. 2016/847, um notkun Sjúkratrygginga Íslands á fjölskyldunúmerum, er ljóst að notkun fjölskyldunúmers sem grundvallar fyrir veitingu aðgangs að upplýsingum hjá Sjúkratryggingum Íslands felur í sér að veruleg áhætta er fyrir hendi á því að persónuupplýsingar komist í hendur óviðkomandi aðila.
Með hliðsjón af öllu framangreindu er það niðurstaða Persónuverndar að umrætt fyrirkomulag samrýmist hvorki 6. tölul. 1. mgr. 8. gr. né 24. og 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. 25. gr. og 2. mgr. 32. gr. reglugerðar (ESB) 2016/679.
Notkun
fjölskyldunúmera kemur meðal annars til skoðunar í yfirstandandi úttekt
Persónuverndar á vinnslu persónuupplýsinga hjá Sjúkratryggingum Íslands. Með
hliðsjón af því verður ekki talið tilefni til þess að taka afstöðu til
beitingar 46. gr. laga nr. 90/2018, um stjórnvaldssektir, í máli þessu.
Ú r s k u r ð a r o r ð:
Aðgangur
þriðja aðila að upplýsingum í réttindaskrá Sjúkratrygginga Íslands um barn [A] með notkun fjölskyldunúmers, samrýmdist ekki lögum nr.
90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Í Persónuvernd, 11. nóvember 2020
Helga Þórisdóttir Helga Sigríður Þórhallsdóttir