Úrskurður um vinnslu persónuupplýsinga hjá opinberri stofnun
Mál nr. 2016/1735
Persónuvernd hefur úrskurðað í máli um vinnslu persónuupplýsinga hjá opinberri stofnun. Kvörtunin tók í fyrsta lagi til öflunar stofnunarinnar á viðkvæmum persónuuplýsingum um kvartanda sem starfsmanns hennar og samskipta stjórnanda hjá stofnuninni við fyrrverandi trúnaðarlækni þar og aðra heilbrigðisstarfsmenn sem komu að málum kvartanda. Í öðru lagi tók kvörtunin til varðveislu stofnunarinnar og aðgangs hennar að gögnum með persónuupplýsingum kvartanda. Var komist að þeirri niðurstöðu að öflun stofnunarinnar á persónuupplýsingum um kvartanda frá fyrrverandi trúnaðarlækni hefði ekki samrýmst lögum nr. 77/2000. Varðveisla annarra upplýsinga um kvartanda vegna sama máls, sem stofnuninni var heimilt að afla, sem og aðgangur að þeim, hefði hins vegar fullnægt kröfum laganna.
Úrskurður
Á fundi stjórnar Persónuverndar þann 18. janúar 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1735:
I.
Málsmeðferð
1.
Efni kvörtunar
Þann 1. desember 2016 barst Persónuvernd kvörtun frá [A] (hér eftir […] kvartandi) vegna vinnslu persónuupplýsinga um [A] hjá [opinberu stofnuninni X], nánar tiltekið í þágu starfsmannamála tengdra vinnuslysum sem [kvartandi] hafði orðið fyrir.
Kvörtunin tekur í fyrsta lagi til öflunar [X] á viðkvæmum persónuupplýsingum um kvartanda sem starfsmann [stofnunarinnar] og samskipta [stjórnanda hjá X] við fyrrverandi trúnaðarlækni þar og aðra heilbrigðisstarfsmenn sem komu að málum kvartanda. Í öðru lagi tekur kvörtunin til varðveislu [X] og aðgangs innan [X] að gögnum með persónuupplýsingum kvartanda.
Í kvörtun er rakin aðkoma [B], [stjórnanda hjá X], að málum vegna vinnuslyss kvartanda […]. Segir að kvartandi hafi farið í endurhæfingu […] vegna slyssins, en [kvartandi] telji að [B] hafi verið í óeðlilegum samskiptum við meðferðarlækna kvartanda, trúnaðarlækni og aðra lækna sem hafi verið falið að meta heilsufar [kvartanda]. Mjög ítarleg vottorð hafi verið send til [B] að ósk [B] og þá hafi gögn verið send á milli trúnaðarlæknis, [B] og yfirmanna kvartanda sem hafi ekki átt rétt á ítarlegum upplýsingum um heilsufar [kvartanda].
Þá er í kvörtuninni umfjöllun um vinnuslys sem kvartandi varð fyrir […], auk þess sem greint er frá að kvartandi hafi lent í frítímaslysi […]. Meðal annars er lýst aðkomu [C], en [C] var trúnaðarlæknir [X] á þeim tíma sem kvartandi slasaðist og fram í […]. [C] var viðstaddur þegar kvartandi slasaðist […]. Jafnframt kemur fram að [C] hafi sagt sig frá málefnum kvartanda sem trúnaðarlæknir […] sama ár á grundvelli vanhæfis […].
Telur kvartandi að [C] hafi miðlað til [stjórnandans B] vottorði um heilsufar [kvartanda] sem [C] hafði áður útbúið að beiðni tryggingafélags kvartanda, án […] samþykkis [kvartanda]. Þá kemur fram að kvartandi hafi gert athugasemdir við upplýsingaöflun og samskipti [X] við trúnaðarlækni og annan lækni sem kom að meðferð [kvartanda]. Meðferð [X] á heilsufarsupplýsingum [kvartanda] hafi orsakað vantraust samstarfsfélaga og yfirmanna í garð kvartanda og hafi meðal annars orðið til þess að [kvartanda] hafi ekki verið veittar stöður innan [X] sem [kvartandi] hafi sótt um.
Enn fremur gerir kvartandi athugasemdir við vörslu og meðferð á gögnum hjá [X]. Nánar tiltekið eru gerðar athugasemdir við hvaða gögn séu varðveitt, í hvaða tilgangi og hver hafi aðgang að gögnunum.
2.
Bréfaskipti
2.1.
Skýringar [X]
Með bréfi, dags. 22. febrúar 2017, var [X] boðið að koma á framfæri skýringum vegna kvörtunarinnar. Í svarbréfi [X], dags. 28. mars 2017, er því alfarið mótmælt að viðkvæmum persónuupplýsingum um kvartanda hafi verið miðlað til allra yfirmanna [kvartanda] og að hluta til yfirstjórnar [X]. Engra gagna um starfsmenn [X] hafi verið aflað nema samkvæmt lagaheimildum og kjarasamningum þeirra starfsstétta sem hjá [X] starfi, þ.e. kjarasamningi [X], laga nr. 90/1996 um réttindi og skyldur starfsmanna ríkisins, og laga nr. 94/1986 um kjarasamninga opinberra starfsmanna.
Með bréfi [X] fylgdu enn fremur fylgiskjöl þar sem meðal annars má greina yfirlýsingar núverandi trúnaðarlæknis [X] og starfsmanna [undir stjórnandanum B] sem taka ekki undir ávirðingar kvartanda. Jafnframt fylgdu tölvupóstsamskipti [C], fyrrverandi trúnaðarlæknis, og [B], dags. 21. og 24. mars 2017, en þar er því alfarið hafnað að [C] hafi lagt inn til [X] örorkumöt vegna kvartanda, á meðan [C] hafi verið trúnaðarlæknir eða eftir að [C] hætti sem slíkur. Að auki segir að ekki hafi borist læknisvottorð eða aðrar upplýsingar um heilsufar kvartanda eftir að [C] hafi lokið störfum. Þá sé einnig staðfest af hálfu [B] að [C] hafi sagt sig frá málum kvartanda sem trúnaðarlæknir […].
Með vísan til framangreinds sé því alfarið hafnað að [X] hafi tekið við vottorðum frá [C] vegna frítímaslyss, öðrum vottorðum eða heilsufarsupplýsingum umfram heimildir í lögum og kjarasamningum.
Að endingu segir í svarbréfi [X] að öll gögn um starfsmenn sem [X] berist séu vistuð í eldvörðum og læstum skjalaskápum sem staðsettir séu innan [deildar undir stjórn B].
2.2.
Athugasemdir kvartanda
Með bréfi, dags. 10. apríl 2017, var kvartanda boðið að koma á framfæri athugasemdum við framkomnar skýringar [X] til samræmis við 10. gr. og 13. gr. stjórnsýslulaga nr. 37/1993.
Með bréfi, dags. 12. júlí 2017, greindi kvartandi frá því að [kvartandi] teldi sig ekki geta tekið fulla afstöðu í málinu fyrr en [kvartandi] fengi afrit af tölvupóstsamskiptum [B] og [C], dags. 17. og 21. nóvember 2016. Sendi Persónuvernd í kjölfar þessa bréf til [C], dags. 19. júlí 2017, þar sem óskað var afrits af þessum tölvupóstsamskiptum. Þau bárust Persónuvernd hinn 16. ágúst 2017, og var kvartanda veitt færi á að tjá sig um þau.
Í svarbréfi kvartanda, dags. 20. október 2017, kemur meðal annars fram að það sé rangt að einungis hafi verið aflað vottorða með formlegum hætti af hálfu [X]. Þá eru gerðar athugasemdir við þær víðtæku heimildir sem [X] hafi til þess að krefjast læknisvottorða vegna óvinnufærni starfsmanna. Jafnframt eru gerðar athugasemdir við þau svör [X] að ákveðið hafi verið að senda kvartanda ekki minnispunkta af […] fundi hinn […]til þess að liðka fyrir endurkomu [kvartanda].
Þá vísar kvartandi til tölvupóstsamskipta [B] og [C], dags. […]. Þar óskaði [B] m.a. þess að [C] staðfesti, eða leiðrétti eftir atvikum, að [C] hefði verið á [á sama stað og kvartandi þegar frístundaslysið varð og aðstoðað kvartanda í kjölfar slyssins]. Kvartandi gerir athugasemd við upplýsingaöflun [B] og hvaða tilgangur hafi legið þar að baki.
2.3.
Frekari skýringar [X]
Með tölvupósti, dags. 14. nóvember 2017, fór Persónuvernd þess á leit við [X] að [X] upplýsti hvaða ástæður hefðu legið að baki öflun upplýsinga um kvartanda. Þá vísaði stofnunin til þess að ráða mætti af gögnum málsins að upplýsingar um starfsmenn væru vistaðar á rafrænu formi. Var þess óskað að upplýst yrði hverjir hefðu aðgang að hinum rafrænu upplýsingum og hvernig aðgangsstýringu að þeim væri háttað.
Í svarbréfi [X], dags. 15. nóvember 2017, kemur meðal annars fram að yfirmenn hafi haft upplýsingar um þátttöku kvartanda [í viðburði á frítíma á sama tíma og kvartandi var í veikindaleyfi]. Vegna þessa og þar sem yfirmenn geti ekki setið alfarið hjá þegar starfsfólk liggi undir ámæli fyrir hegðun sem þessa, hafi þótt rétt að kanna hjá [C], hvað væri um að ræða og hvort [C] gæti skýrt málið. Þá vísar [X] til ákvæða kjarasamnings [X] og ákvæða laga nr. 90/1996 um réttindi og skyldur starfsmanna ríkisins. Segir að með vísan til þessara ákvæða geti forstöðumaður við ákveðnar aðstæður óskað eftir upplýsingum um viðkomandi starfsmann, sérstaklega ef starfsmaður hefur gefið rangar eða villandi upplýsingar varðandi veikindi eða önnur atriði sem varða getu og færni viðkomandi til að sinna starfi sínu.
Hvað varðar aðgang að rafrænum upplýsingum er í svarbréfi [X] tilgreint [sérstakt drif] [deildar undir stjórn B] og kemur fram að upplýsingarnar séu varðveittar þar. Segir að aðgangur að því sé takmarkaður við starfsmenn deildarinnar […]. Þá segir að skörun verkefna í [deildinni] sé margvísleg og nauðsynlegt að starfsmennirnir þekki meginverkefni hver annars og helstu verkferla vel. Þeir þurfi því allir að hafa aðgang að upplýsingum á umræddu drifi til að tryggja að verkefni hafi sem eðlilegastan framgang.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst [X] vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
2.1.
Kvörtun í máli þessu tekur í fyrsta lagi til öflunar [X] á viðkvæmum persónuupplýsingum um kvartanda sem starfsmann [X] og samskipta [B, stjórnanda hjá X,] við fyrrverandi trúnaðarlækni þar og aðra heilbrigðisstarfsmenn sem að málinu komu.
Öll vinnsla vinnuveitenda á persónuupplýsingum verður, sem vinnsla persónuupplýsinga endranær, að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þá verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðunum fyrir vinnslu þess háttar upplýsinga sem mælt er fyrir um í 9. gr. sömu laga. Fyrir liggur að unnið var með upplýsingar um heilsuhagi, en þær eru viðkvæmar, sbr. 8. tölul. 2. gr. laganna.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Af ákvæðum 8. gr. laga nr. 77/2000 kemur hér einkum til álita, 7. tölul. 1. mgr., þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Af ákvæðum 9. gr. laganna kemur einkum til álita 7. tölul. 1. mgr. sem heimilar vinnslu viðkvæmra persónuupplýsinga til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.
Við mat á lögmæti vinnslu getur einnig þurft að líta til ákvæða í öðrum lögum. Eins og hér háttar til reynir einkum á lög nr. 70/1996 um réttindi og skyldur starfsmanna ríkisins.
Í málinu er upplýst að kvartandi slasaðist [á viðburði í frítíma sínum] en á sama tíma var [kvartandi] í veikindaleyfi frá [X]. Persónuvernd telur að leggja megi það til grundvallar að vinnuveitandi geti haft lögmæta hagsmuni af því, sbr. áðurnefnt ákvæði 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, að óska eftir læknisvottorðum um starfshæfni viðkomandi starfsmanns ef aðstæður sem þessar eru fyrir hendi. Stofnunin telur jafnframt, með vísan til fyrrgreindra laga nr. 70/1996 og almenns stjórnunarréttar vinnuveitanda gagnvart starfsmanni, að slík upplýsingaöflun geti verið nauðsynleg vegna laganauðsynja, sbr. fyrrgreint ákvæði 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000.
Til þess er þó að líta að með fyrrgreindum tölvupóstsamskiptum, dags. […], fór [X] þess á leit við [C] að [C] staðfesti hvort þær upplýsingar sem [X] hafði undir höndum um heilsufar kvartanda væru réttar. Þessi samskipti áttu sér stað eftir að [C] hafði sagt sig frá málum kvartanda og lýst sig vanhæfan sem trúnaðarlækni í málum [kvartanda]. Þá var [C] sem læknir bundinn trúnaðar- og þagnarskyldu um upplýsingar tengdar heilsu kvartanda. Með vísan til þessa verður að telja, eins og hér stendur sérstaklega á, að vinnsla [X] hafi ekki verið unnin með sanngjörnum og málefnalegum hætti, og hafi ekki verið í samræmi við vandaða vinnsluhætti persónuupplýsinga, sbr. 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000. Umrædd vinnsla samrýmist því ekki ákvæðum laganna.
2.2.
Í öðru lagi tekur kvörtun í máli þessu til varðveislu [X] og aðgangs innan [X] að gögnum með persónuupplýsingum kvartanda.
Eins og að ofan greinir hefur komið fram af hálfu [X] að öll gögn um starfsmenn sem [X] berast séu vistuð í eldvörðum og læstum skjalaskápum sem staðsettir séu innan [deildar undir stjórn B]. Þá hefur jafnframt komið fram að aðgangur að gögnunum sé takmarkaður við starfsmenn þeirrar deildar […] í samræmi við tilteknar verklagsreglur, […], sem hafa borist Persónuvernd.
Í 11. gr. laga um persónuvernd og meðferð persónuupplýsinga er mælt fyrir um áhættumat, öryggi og gæði persónuupplýsinga. Þar er m.a. kveðið á um að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá kemur einnig fram í 4. mgr. ákvæðisins að ábyrgðaraðili skuli skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir.
Með hliðsjón af skýringum [X], og með vísan til framangreindra verklagsreglna sem [X] hefur sett sér, telur Persónuvernd að leggja megi til grundvallar að varðveisla og aðgangur að gögnum með persónuupplýsingum um kvartanda hjá [X], sem [X] var heimilt að afla, samrýmist framangreindu ákvæði laga nr. 77/2000. Þegar af þeirri ástæðu að [X] var óheimil öflun upplýsinga frá [C], fyrrverandi trúnaðarlækni [X], á þessi niðurstaða hins vegar ekki við um þær upplýsingar.
Meðferð þessa máls hefur dregist vegna mikilla anna hjá stofnuninni.
Ú r s k u r ð a r o r ð:
Öflun [X] á persónuupplýsingum um [A] frá fyrrverandi trúnaðarlækni [X], [C], samrýmdist ekki lögum nr. 77/2000. Varðveisla annarra upplýsinga um kvartanda vegna sama máls, sem [X] var heimilt að afla, sem og aðgangur að þeim, fullnægir kröfum laganna.
Í Persónuvernd 18. janúar 2018,
Björg Thorarensen
formaður
Aðalsteinn Jónasson Ólafur Garðarsson
Þorvarður Kári Ólafsson Vilhelmína Haraldsdóttir