Úrskurður um miðlun heilsufarsupplýsinga til Árbæjarskóla
Mál nr. 2017/741
Persónuvernd hefur úrskurðað að miðlun skólahjúkrunarfræðings á persónuupplýsingum um son
Úrskurður
Á fundi stjórnar Persónuverndar þann 14. desember 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/741:
I.
Málsmeðferð
1.
Tildrög máls
Þann 8. maí 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) fyrir hönd ólögráða sonar hennar yfir því að skólahjúkrunarfræðingur Árbæjarskóla hefði upplýst skólastjóra sama skóla um læknisheimsókn sonar hennar á heilsugæslustöð og að í því hefði falist óheimil miðlun persónuupplýsinga.
Sonur kvartanda meiddist nánar tiltekið í íþróttum í febrúar 2016 og þurfti í framhaldinu að leita til skólahjúkrunarfræðings Árbæjarskóla um aðstoð. Í kvörtuninni eru tölvupóstsamskipti kvartanda við skólastjóra Árbæjarskóla í tengslum við þetta atvik rakin. Sagði kvartandi meðal annars í tölvupósti til skólastjórans að sonur hennar hefði hlotið þar tilgreind meiðsl, sem lýst er nánar í erindi hennar, og hefði leitað til skólahjúkrunarfræðings til tiltekinnar meðferðar en ekki fengið hana. Í svari sínu til kvartanda upplýsti skólastjóri að hann hefði rætt kvörtun hennar við skólahjúkrunarfræðinginn og fram hefði komið í þeim samskiptum að drengurinn hefði verið á heilsugæslu vikuna áður, þar sem fram hefðu komið skýr fyrirmæli um meðferð þess meins sem þar var til skoðunar. Kvartandi svaraði með tölvupósti að hún hefði verið með drenginn á heilsugæslunni út af öðru þar tilgreindu meini, ótengdu því sem hér um ræddi. Með tölvupósti svaraði skólastjórinn því til, að skólahjúkrunarfræðingurinn segði að um sama mein væri að ræða og þegar drengurinn fór á heilsugæsluna. Að auki hafði skólastjórinn eftir hjúkunarfræðingnum að drengurinn hefði farið á ný á heilsugæsluna úr skólanum en ekkert hefði þar verið gert heldur vitnað til fyrri heimsóknar. Loks leiðbeindi skólastjórinn kvartanda um að hafa samband við yfirmann heilsugæslunnar, hefði hún athugasemdir við heilsugæsluna í skólanum, þar sem heilsugæsla skólans væri útibú frá heilsugæslu hverfisins.
2.
Bréfaskipti
Með bréfum, dags. 28. júní 2017, var Árbæjarskóla annars vegar og Heilsugæslu höfuðborgarsvæðisins hins vegar boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi Heilsugæslu höfuðborgarsvæðisins, dags. 11. júlí 2017, segir að samkvæmt þeim upplýsingum sem fylgi kvörtuninni sé ekkert sem bendi til annars en að skólahjúkrunarfræðingurinn hafi upplýst skólastjóra um að tiltekið mál væri í farvegi innan heilsugæslunnar. Við nánari skoðun samskipta sé ekki hægt að sjá í þeim gögnum sem fyrir liggi að heilsufarsupplýsingar hafi farið á milli aðila.
Þann 14. ágúst 2017 hafði skólastjóri Árbæjarskóla samband við Persónuvernd í síma, og upplýsti að ekkert hefði verið gert af hálfu skólans eða starfsmanna hans sem hann teldi óeðlilegt eða í andstöðu við lög. Með bréfi til Árbæjarskóla, dags. 15. september 2017, var boð um að koma á framfæri skriflegum skýringum vegna kvörtunarinnar ítrekað, en engin frekari svör bárust.
Með bréfi, dags. 10. ágúst 2017, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Heilsugæslu höfuðborgarsvæðisins til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf kvartanda barst Persónuvernd með tölvupósti þann 14. ágúst 2017. Þar segir meðal annars að skólastjóri vísi í tölvupósti til kvartanda í svör hjúkrunarfræðings, þess efnis að um hafi verið að ræða sama mein og þegar barnið leitaði til heilsugæslunnar í vikunni áður. Tekur kvartandi fram að hjúkrunarfræðingnum hafi ekki verið heimilt að upplýsa skólastjóra um heilsugæsluferðir barnsins. Erindi sonar hennar til skólahjúkrunarfræðingsins hafi verið ótengt fyrri heimsókn á heilsugæslu viku áður, og hafi því ekki verið rétt að upplýsa skólastjóra um þá heimsókn. Með þessum upplýsingum hafi skólahjúkrunarfræðingurinn verið að miðla heilsufarsupplýsingum.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Ábyrgðaraðilar vinnslu
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til er nauðsynlegt að aðgreina þá vinnslu persónuupplýsinga sem hér er til umfjöllunar annars vegar í þá vinnslu sem fólst í miðlun persónuupplýsinga frá skólahjúkrunarfræðingi til skólastjóra og hins vegar í þá vinnslu sem fólst í öflun þeirra persónuupplýsinga sem hér um ræðir. Telst Heilsugæsla höfuðborgarsvæðisins vera ábyrgðaraðili að miðlun upplýsinganna en Árbæjarskóli að öflun þeirra.
3.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þá verður vinnsla viðkvæmra persónuupplýsinga, svo sem upplýsinga um heilsuhagi, sbr. 8. tölul. 2. gr. sömu laga, einnig að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna. Þær upplýsingar, sem hér um ræðir, þ.e. upplýsingar um læknisheimsóknir, teljast almennt til upplýsinga um heilsuhagi. Samkvæmt því var um að ræða vinnslu viðkvæmra persónuupplýsinga um son kvartanda, sem samrýmast þarf bæði einhverju af þeim skilyrðum sem fram koma í 8. gr. og einhverju skilyrðanna í 9. gr. laga nr. 77/2000.
Við mat á heimildum til vinnslu ber einnig að líta til ákvæða í öðrum lögum eftir því sem við á. Eins og hér háttar til eru það einkum ákvæði í lögum nr. 91/2008 um grunnskóla sem koma til skoðunar. Í 41. gr. laganna er kveðið á um skólaheilsugæslu, en um skólaheilsugæslu í grunnskólum fer eftir gildandi lögum um heilbrigðisþjónustu, nú nr. 40/2007. Um skipulag og fyrirkomulag skólaheilsugæslu í grunnskóla skal haft samráð við skólanefnd og skólastjóra. Þá ber skólastjóra að fylgjast með því að nemendur njóti skólaheilsugæslu í skólanum í samræmi við þá tilhögun sem ákveðin hefur verið.
Auk heimildar í 8. og, eftir atvikum, 9. gr. laga nr. 77/2000, verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfunum um gæði gagna og vinnslu samkvæmt 1. mgr. 7. gr. sömu laga, þ. á m. um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.), sem og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).
3.1.
Vinnsla Heilsugæslu höfuðborgarsvæðisins
Annars vegar kemur til skoðunar hvort miðlun skólahjúkrunarfræðings Árbæjarskóla á persónuupplýsingum um son kvartanda til skólastjóra sama skóla hafi verið lögmæt.
Til álita kemur að heimild til vinnslu persónuupplýsinganna í þessu tilviki styðjist við 6. tölul. 1. mgr. 8. gr. laga nr. 77/2000, en þar er að finna heimild til vinnslu persónuupplýsinga ef vinnslan er nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili eða þriðji maður sem upplýsingum er miðlað til fer með. Sú vinnsla sem hér um ræðir fór fram í því skyni að miðla upplýsingum er varða skólaheilsugæslu til skólastjóra í tengslum við það eftirlit sem honum er falið að sinna í 41. gr. laga nr. 91/2008 hjá grunnskóla. Telur Persónuvernd því að hún hafi fallið undir heimild í 6. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Af heimildum 9. gr. laga nr. 77/2000 kemur hér einkum til álita 7. tölul. 1. mgr. þess efnis að vinna megi með viðkvæmar persónuupplýsingar sé það nauðsynlegt til að krafa sé afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Við beitingu 7. tölul. 1. mgr. 9. gr. er ekki skilyrði að dómsmál hafi verið höfðað eða þingfest, heldur nægir að vinnsla persónuupplýsinga sé nauðsynleg til að verjast kröfu eða sækja hana. Í athugasemdum við töluliðinn í frumvarpi því sem varð að lögum nr. 77/2000 segir að vinnuveitanda geti til dæmis verið nauðsynlegt að vinna upplýsingar um heilsufar starfsmanns, s.s. til að geta sýnt fram á lögmætar forsendur fyrir uppsögn. Ekki sé skilyrði að mál verði lagt fyrir dómstóla heldur nægi að vinnslan sé nauðsynleg til að styðja kröfu fullnægjandi rökum.
Að auki er til þess að líta að samkvæmt 6. tölul. 1. mgr. 9. gr. laga nr. 77/2000 er heimilt að vinna með viðkvæmar persónuupplýsingar sem hinn skráði hefur sjálfur gert opinberar. Þó svo að í máli þessu sé ekki um slíkt að ræða verður ekki fram hjá því litið að skólahjúkrunarfræðingur Árbæjarskóla veitti skólastjóra skólans ekki aðrar heilsufarsupplýsingar en þær sem kvartandi hafði sjálfur þegar upplýst skólastjórann um. Þær heilsufarsupplýsingar, sem skólahjúkrunarfræðingurinn miðlaði til skólastjórans, bættu því í reynd engu við þær upplýsingar sem hann hafði þegar fengið frá kvartanda. Telur því Persónuvernd að við beitingu 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000 megi hér hafa hliðsjón af 6. tölul. sömu málsgreinar.
Þegar litið er til framangreinds telur Persónuvernd að umrædd miðlun skólahjúkrunarfræðings Árbæjarskóla á persónuupplýsingum hafi stuðst við viðhlítandi heimild samkvæmt lögum nr. 77/2000. Þá telur Persónuvernd ekki fram komið að miðlunin hafi verið andstæð grunnkröfum 7. gr. laganna.
3.2.
Vinnsla Árbæjarskóla
Hins vegar þarf að meta hvort öflun skólastjóra Árbæjarskóla á persónuupplýsingum um son kvartanda hafi verið heimil.
Þegar stjórnvöld afla upplýsinga í tengslum við lögbundið hlutverk sitt hefur verið talið að vinnslan geti talist heimil á þeim grundvelli að hún sé nauðsynleg til að fullnægja lagaskyldu og við beitingu opinbers valds, sbr. 3. og 6. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Eins og áður greinir ber skólastjóra að fylgjast með því að nemendur njóti skólaheilsugæslu í skólanum í samræmi við þá tilhögun sem ákveðin hefur verið, sbr. 41. gr. laga um grunnskóla. Í máli þessu kvartaði kvartandi til skólastjóra yfir því að sonur hennar hefði ekki notið lögboðinnar skólaheilsugæslu. Verður að líta svo á að með viðbrögðum sínum hafi skólastjóri sinnt lögbundnu eftirliti sínu samkvæmt framangreindu og gengið úr skugga um hvort sonur kvartanda hefði fengið viðeigandi þjónustu, en jafnframt leiðbeint kvartanda um að leita til yfirmanns heilsugæslunnar um nánari upplýsingar. Telur Persónuvernd, í ljósi þessa, þá vinnslu persónuupplýsinga, sem fólst í öflun upplýsinga um son kvartanda, hafa fallið undir 6. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Þá kemur einnig til skoðunar, líkt og að framan, hvort öflun persónuupplýsinganna í þessu tilviki hafi verið heimil samkvæmt 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000, sbr. til hliðsjónar 6. tölul. sömu málsgreinar. Í máli þessu liggur fyrir að kvartandi hafði lagt fram kvörtun vegna skólahjúkrunarfræðings skólans. Hafði því skólastjóri Árbæjarskóla hér hagsmuni af því að óska eftir fyrrgreindum upplýsingum, í því skyni að leggja mat á hver vera skyldu viðbrögð skólans í umræddu máli. Af þeim sökum má telja að vinnsla hans á framangreindum persónuupplýsingum hafi fallið undir umræddan lögmætisgrundvöll.
Þegar litið er til framangreinds telur Persónuvernd að umrædd öflun skólastjóra Ábæjarskóla á persónuupplýsingum hafi stuðst við viðhlítandi heimild samkvæmt lögum nr. 77/2000. Þá telur Persónuvernd ekki fram komið að miðlunin hafi verið andstæð grunnkröfum 7. gr. laganna.
Ú r s k u r ð a r o r ð:
Miðlun skólahjúkrunarfræðings til skólastjóra Árbæjarskóla annars vegar og öflun skólastjóra Árbæjarskóla hins vegar á upplýsingum um son kvartanda samrýmdist lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.