Úrskurður um meðferð tölvugagna starfsmanns hjá Heilbrigðisstofnun Suðurlands

Mál nr. 2020010629

29.9.2020

Úrskurður

Hinn 29. september 2020 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010629 (áður nr. 2019051007):

I.

Málsmeðferð

1.

Tildrög máls

Hinn 7. maí 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir meðferð á tölvugögnum hans hjá vinnuveitanda hans, Heilbrigðisstofnun Suðurlands (HSU), og TRS ehf. þegar kvartandi var í veikindaleyfi. Jafnframt var kvartað yfir því að HSU hefði ekki sett sér persónuverndarstefnu eða skipað persónuverndarfulltrúa.

Með bréfi, dags. 20. ágúst 2019, var HSU tilkynnt um framangreinda kvörtun og boðið að tjá sig um hana. Svarað var af hálfu ADVEL lögmanna slf. fyrir hönd HSU með bréfi, dags. 13. september s.á., en meðfylgjandi var vinnslusamningur stofnunarinnar við TRS ehf. Með bréfi, dags. 21. október 2019, var kvartanda boðið að tjá sig um svar HSU. Kvartandi svaraði með tölvupósti, dags. 30. október 2019. Persónuvernd óskaði eftir frekari upplýsingum frá HSU með bréfi, dags. 8. maí 2020. Svarað var með bréfi, dags. 20. maí 2020. Með bréfi, dags. 1. júlí 2020, var TRS ehf. tilkynnt um framangreinda kvörtun og boðið að tjá sig um hana. Svarað var af hálfu TRS ehf. með tölvupósti þann 12. ágúst 2020.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð málsins hefur dregist vegna mikilla anna hjá Persónuvernd.

2.

Sjónarmið kvartanda

Kvartandi, sem [gegndi stjórnunarstöðu] hjá HSU, byggir á því að [stjórnandinn B hjá stofnuninni] hafi fyrirskipað TRS ehf., sem sér um rekstur og hýsingu tölvukerfa HSU, að opna fyrir og veita [sér] aðgang að lokuðu skráasvæði kvartanda á heimadrifi vinnutölvu hans, sem hafi meðal annars innihaldið Word- og Excel-skjöl auk einkagagna. Gögn á skráasvæði hans hafi verið skoðuð og/eða afrituð án hans vitneskju. Telur kvartandi að ekki sé hægt að vísa til þess að nauðsynlegt hafi verið að opna skráasvæði hans án samráðs við hann þrátt fyrir að hann hafi verið í veikindaleyfi enda hafi hann strax frá upphafi þess upplýst [B] og sinn næsta yfirmann um fyrirliggjandi verkefni. Í tölvupósti [B] til kvartanda þann [...] komi fram að kvartandi hafi haft samband við annan starfsmann HSU vegna útistandandi verkefna og boðið starfsmanninum að hafa samband við sig ef þyrfti og óskað eftir að fá upplýsingar um útistandandi verkefni kvartanda sendar í tölvupósti. Kvartandi hafi sent lista yfir verkefni sem lágu fyrir í tölvupósti til [B tveimur dögum eftir framangreindan tölvupóst til kvartanda]. Einnig hafi [B] sent kvartanda tölvupóst [þremur dögum síðar] sem svarað hafi verið samdægurs. Þá hafi veikindi kvartanda ekki verið þess eðlis að þau hafi hamlað honum að eiga í samskiptum við aðra. Engar skorður hafi verið af hans hálfu við því að veita upplýsingar eða aðgang að skráasvæði sínu en engin tilraun hafi verið gerð til að hafa samband við hann til að fá aðgang að því. Hafnar kvartandi þeirri fullyrðingu [B] að hann hafi átt símtal við [B] og neitað að afhenda gögn sem beðið hafi verið um. Kvartandi byggir jafnframt á því að samkvæmt gögnum frá HSU í máli þessu, sem hann hafi fengið afrit af, sé ljóst að opnað hafi verið fyrir aðgang að öllu heimadrifi hans [á sama tímabili og tölvupóstsamskiptin áttu sér stað]. [Á sama tíma] hafi hann fengið tölvupóst frá [B] með beiðni um tilteknar upplýsingar, en [B hafi á þeim tíma þegar fengið] aðgang að þeim, án hans vitneskju. Einnig kemur fram í málatilbúnaði kvartanda að samkvæmt fyrrgreindum gögnum hafi verið lokað fyrir aðgang [B] að heimadrifi hans [um tveimur mánuðum eftir opnun þess]. Þá tekur kvartandi fram að hann viti ekki hvort tölvupóstur hans hafi einnig verið skoðaður.

Kvartandi kveðst ekki byggja á því sérstaklega að gögn sem vistuð hafi verið á heimadrifi hans hafi verið einkaskjöl þó vissulega hafi verið þar lítilræði af gögnum sem hafi varðað hann persónulega. Kvörtun hans lúti að því að [B] og [annar starfsmaður HSU] hafi án hans vitneskju og í hans fjarveru farið inn á heimadrif hans.

3.

Sjónarmið Heilbrigðisstofnunar Suðurlands

HSU vísar til þess að [B] hafi óskað skriflega eftir tilteknum gögnum frá kvartanda er vörðuðu [ákveðin verkefni hans] hjá stofnuninni þegar kvartandi hafi skyndilega farið í veikindaleyfi [...]. Beiðninni hafi að hluta til verið svarað skriflega. Þá hafi [B] óskað eftir frekari gögnum í símtali við kvartanda en ekki hafi verið orðið við þeirri beiðni. [B] hafi þá óskað eftir því við TRS ehf., hýsingaraðila gagna HSU, að sækja viðeigandi möppur á vinnudrif kvartanda svo unnt væri að nálgast þessi gögn stofnunarinnar. Starfsmaður TRS ehf. hafi afmarkað þau gögn er féllu undir leitarskilyrði í möppu, opnað aðgang að þeirri möppu fyrir [B] og [annan starfsmann HSU] og lokað honum síðar. Byggir HSU á því að gögn þessi hafi verið nauðsynleg til að stofnunin gæti sinnt [tilteknum lögbundnum verkefnum sínum].

Hvað varðar fyrirspurn Persónuverndar um hvort HSU hafi upplýst kvartanda fyrir fram um meðferð tölvugagna starfsmanna með einhverjum hætti, svo sem í persónuverndarstefnu, starfsmannahandbók eða með öðrum hætti, vísar HSU til þess að fyrstu drög að ytri persónuverndarstefnu stofnunarinnar hafi verið samþykkt af framkvæmdastjórn í desember 2018. Ný og endurskoðuð persónuverndarstefna hafi verið samþykkt 3. september 2019. Þá sé innri persónuverndarstefna HSU í vinnslu. Að öðru leyti sé byggt á því að stofnunin hafi fylgt reglum nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.

Þá kemur fram í svarbréfi HSU að stofnunin hafi í janúar 2019 gert samning við ADVEL lögmenn slf. um að taka að sér hlutverk persónuverndarfulltrúa stofnunarinnar en fyrir þann tíma hafi umsjón persónuverndarmála verið í vinnslu hjá TRS ehf. Í svörum HSU við beiðni Persónuverndar um frekari upplýsingar um umsjón persónuverndarmálefna stofnunarinnar fyrir þann tíma segir að vinnslusamningur hafi verið í gildi milli HSU og TRS ehf. frá 17. september 2019. Fyrir það hafi ekki legið fyrir slíkur samningur en unnið hafi verið í samræmi við þann samning sem svo hafi verið undirritaður.

4.

Sjónarmið TRS ehf.

Byggt er á því að á milli TRS ehf. og HSU sé í gildi rekstrarþjónustu- og hýsingarsamningur sem feli í sér að TRS ehf. sjái um alla þjónustu og hýsingu er varði upplýsingakerfi HSU. Samkvæmt samningi hafi TRS ehf. stöðu vinnsluaðila gagnvart HSU sem sé ábyrgðaraðili. Sú vinnsla sem kvartað sé undan í máli þessu byggi á ósk eða fyrirmælum ábyrgðaraðila, en skv. 2. mgr. 8. gr. laga nr. 90/2018 beri ábyrgðaraðili ábyrgð á því að vinnslan uppfylli skilyrði 1. mgr. 8. gr. sömu laga. Þá er byggt á því að þegar upphafleg beiðni barst frá HSU um opnun aðgangs að gögnum kvartanda hafi TRS ehf. upplýst starfsmann HSU um tvær leiðir sem væru færar. Annars vegar að fá skriflegt leyfi frá kvartanda til að fara inn á hans svæði og ná í gögn, sem væri best að gera og hins vegar, ef það væri ekki í boði og hagsmunir stofnunarinnar væru það miklir, væri hægt að opna fyrir aðgang að gögnum í eins stuttan tíma og hægt væri og í ákveðnum tilgangi. Þar sem [B] hafi kosið síðari leiðina hafi borið að skilja það svo að mat stofnunarinnar sem ábyrgðaraðila væri á þann veg að skilyrði fyrir vinnslu gagnanna væru uppfyllt. Vinnslan hafi þjónað brýnum hagsmunum ábyrgðaraðila og persónuupplýsingar hafi ekki verið unnar af hálfu TRS ehf. umfram það sem krafist var. Aðeins hafi verið opnað fyrir tiltekna skrá sem merkt hafi verið sem „[...]“ og aðganginum lokað um leið og fyrirmæli þess efnis hafi borist TRS ehf.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili – afmörkun máls

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að meðferð á og aðgangi að skráasvæði kvartanda á netþjóni vinnuveitanda hans. Skráasvæði eru almennt notuð til að geyma skjöl og aðrar upplýsingar tengdar starfi viðkomandi starfsmanns, líkt og á við um tölvupóst. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Kvörtun þessari er beint að HSU sem er vinnuveitandi kvartanda og TRS ehf. sem er þjónustu- og hýsingaraðili HSU. Með hliðsjón af öllu framangreindu er það niðurstaða Persónuverndar að Heilbrigðisstofnun Suðurlands sé ábyrgðaraðili að umræddri vinnslu, en TRS ehf. vinnsluaðili.

Samkvæmt 2. mgr. 39. gr. laga nr. 90/2018 á skráður einstaklingur rétt á að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við lögin eða reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679. Í samræmi við framangreint verður hér einungis fjallað um vinnslu persónuupplýsinga um kvartanda. Ekki verður hins vegar vikið að því hvort og þá hvenær HSU hafi tilnefnt persónuverndarfulltrúa né fjallað sérstaklega um hvort HSU hafi sett sér persónuverndarstefnu nema að því leyti sem varðar fræðslu gagnvart kvartanda um meðferð tölvugagna til kvartanda.

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að samrýmast einhverju af skilyrðum 9. gr. laga nr. 90/2018, svo sem að vinnsla sé nauðsynleg til að fullnægja lagaskyldu, sbr. 3. tölul. þeirrar greinar, eða að vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds, sbr. 5. tölul. sömu greinar. Ætla verður að tilvikabundin skoðun ábyrgðaraðila á tölvugögnum starfsmanns í þágu hefðbundinnar starfsemi stjórnvalds geti einkum byggst á öðru hvoru þessara ákvæða.

Öll vinnsla persónuupplýsinga þarf jafnframt að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.) og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Við túlkun á áskilnaði 1. tölul. ákvæðisins um gagnsæi verður jafnframt litið til ákvæða um fræðsluskyldu ábyrgðaraðila gagnvart hinum skráða, sbr. 17. gr. laga nr. 90/2018 og 12.-14. gr. reglugerðar (ESB) 2016/679.

Rafræn vöktun er skilgreind sem vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði, sbr. 9. tölul. 3. gr. laga nr. 90/2018. Með hliðsjón af því að sú vinnsla sem um ræðir í máli þessu fólst í tilvikabundinni skoðun vinnuveitanda á tölvugögnum starfsmanns verður ekki litið svo á í þessu tilviki að um hafi verið að ræða rafræna vöktun í skilningi laganna. Skoðun á skráasvæði starfsmanns svipar þó um margt til skoðunar á tölvupósthólfi hans, en um slíka skoðun er fjallað í 9. gr. reglna Persónuverndar nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Kemur þar fram í 3. mgr. að þegar tölvupósts- eða netnotkun sé skoðuð skuli þess gætt að gera starfsmanni fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun. Þetta eigi þó ekki við sé þess enginn kostur, svo sem vegna alvarlegra veikinda starfsmanns. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skuli veita honum færi á að tilnefna annan mann í sinn stað.

Þrátt fyrir að reglur nr. 837/2006 gildi samkvæmt framansögðu ekki um skoðun á skráasvæði kvartanda verður talið fólgið í áðurnefndri meginreglu 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 um sanngirni og gagnsæi við vinnslu persónuupplýsinga, sbr. a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, að gera megi kröfu um að málsmeðferð við skoðun gagna á vinnutölvu starfsmanns sé sambærileg og sú sem mælt er fyrir um í reglunum í tengslum við skoðun tölvupósthólfs.

Þótt fallast megi á að heimild geti í einhverjum tilvikum staðið til þess að opna fyrir aðgang að skráasvæði starfsmanns í veikindaleyfi til þess að nálgast þar upplýsingar og gögn tengd starfsemi ábyrgðaraðila, sbr. 1. mgr. 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679, verður vinnslan engu að síður að uppfylla áðurnefndar meginreglur 1. mgr. 8. gr. laganna, sbr. 5. gr. reglugerðarinnar, þar á meðal hvað varðar sanngirni og gagnsæi við vinnsluna. Hér ber að líta til þess að ekki verður annað ráðið af fyrirliggjandi málsgögnum en að kvartandi hafi verið í samskiptum við [B] og annan starfsmann HSU um verkefni sín hjá stofnuninni og veitt upplýsingar um þau samtímis og [B] lét opna fyrir sig aðgang að skráasvæði kvartanda án hans vitneskju. Verður ekki talið að HSU hafi sýnt fram á að svo brýna nauðsyn hafi borið til skoðunar á skráasvæði kvartanda að nauðsynlegt hafi verið að fara fram á opnun þess án þess að honum væri greint frá því áður.

Hægt er að veita hinum skráða fræðslu um vinnslu persónuupplýsinga á ýmsan hátt, meðal annars í persónuverndarstefnu eða starfsmannahandbók. Af gögnum þessa máls má ráða að fyrstu drög að persónuverndarstefnu HSU hafi verið undirrituð í desember 2018 og síðan verið endurskoðuð og undirrituð 3. september 2019. Hins vegar má jafnframt ráða af svörum stofnunarinnar að persónuverndarstefnan hafi ekki verið birt, hvorki á ytri né innri vef stofnunarinnar. Þá bera gögn málsins með sér að ekki séu til staðar verklagsreglur hjá HSU varðandi meðferð tölvugagna starfsmanna eða að þeim sé með öðrum hætti veitt fræðsla um meðferð tölvugagna.

Verður með hliðsjón af framangreindu ekki talið að vinnslan hafi uppfyllt skilyrði 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 um sanngirni og gagnsæi, sbr. a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Að framangreindu virtu er niðurstaða Persónuverndar sú að opnun HSU á skráasvæði kvartanda meðan hann var í veikindaleyfi hafi ekki samrýmst lögum nr. 90/2018.

Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Heilbrigðisstofnun Suðurlands að setja sér verklagsreglur um meðferð tölvugagna starfsmanna meðan á starfi stendur og við starfslok. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 29. október 2020.

Ú r s k u r ð a r o r ð:

Meðferð Heilbrigðisstofnunar Suðurlands á skráasvæði [A] á vefþjóni stofnunarinnar meðan hann var í veikindaleyfi samrýmdist ekki lögum nr. 90/2018.

Lagt er fyrir Heilbrigðisstofnun Suðurlands að setja sér verklagsreglur um meðferð tölvugagna starfsmanna meðan á starfi stendur og við starfslok. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 29. október 2020.

Í Persónuvernd, 29. september 2020

Helga Þórisdóttir                     Helga Sigríður Þórhallsdóttir