Vinnsla persónuupplýsinga hjá Sjúkratryggingum Íslands
Mál nr. 2020051637
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir vinnslu persónuupplýsinga hjá Sjúkratryggingum Íslands í tengslum við öflun Sjúkratrygginga á gögnum vegna umsóknar um endurgreiðslu erlends sjúkrakostnaðar. Í úrskurðinum er komist að þeirri niðurstöðu að vinnsla og notkun persónuupplýsinganna, hafi samrýmst lögum um persónuvernd og vinnslu persónuupplýsinga.
Úrskurður
Þann 4. febrúar 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr.
2020051637:
I.
Málsmeðferð
1.
Kvörtun og málsmeðferð
Þann 14. maí 2020 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi), dags. 12. maí 2020, yfir beiðni Sjúkratrygginga Íslands (hér eftir Sjúkratrygginga) um afrit af flugmiðum kvartanda vegna umsóknar hennar um endurgreiðslu á erlendum sjúkrakostnaði.
Með bréfi, dags. 2. október 2020, var Sjúkratryggingum boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 18. nóvember 2020.
Með bréfi, dags. 23. nóvember 2020, var kvartanda gefinn kostur á að koma á framfæri athugasemdum við sjónarmið Sjúkratrygginga. Athugasemdir bárust með bréfi dags. 1. desember 2020.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
2.
Sjónarmið kvartanda
Kvartandi kveður kröfu Sjúkratrygginga um afrit af flugmiðum vegna umsóknar um endurgreiðslu sjúkrakostnaðar erlendis ekki standast lög. Þá segir hún flugmiðana hvorki vera sönnun né staðfestingu á að hún sé komin til Íslands, þar sem breyta megi flugmiðum og afpanta. Öll gögn um mál hennar, þ.m.t. viðurkenning og staðfesting á því að hún hafi orðið að sækja lyf og læknisaðstoð erlendis, séu til hjá Sjúkratryggingum og hún hafi bent starfsfólki stofnunarinnar á að því sé óþarft að krefja hana um afrit af flugmiðum vegna umsóknar um endurgreiðslu. Kvartandi dregur jafnframt í efa að Sjúkratryggingar geti gert þá kröfu að sá sem sækir um endurgreiðslu sjúkrakostnaðar erlendis þurfi að vera kominn til landsins til að fá endurgreiðsluna. Hún hafi þó greitt sjúkrakostnað hérlendis á fyrstu fimm mánuðum ársins 2020 og því sé vandséð að Sjúkratryggingar þurfi afrit af flugmiðunum.
3.
Sjónarmið Sjúkratrygginga Íslands
Af hálfu Sjúkratrygginga kemur fram að heimild stofnunarinnar til vinnslu persónuupplýsinga í tengslum við mál hinnar skráðu byggist á 3. tölul. 1. mgr. 9. gr. laga nr. 90/2018, þar sem vinnslan sé nauðsynleg til að fullnægja lagaskyldu sem hvíli á stofnuninni samkvæmt 23. gr. a laga nr. 112/2008 um sjúkratryggingar og reglugerð nr. 484/2016 um heilbrigðisþjónustu sem sótt er innan aðildarríkis EES-samningsins en hægt er að veita hér á landi og um hlutverk innlends tengiliðar vegna heilbrigðisþjónustu yfir landamæri. Grundvöllur greiðsluþátttöku Sjúkratrygginga samkvæmt 23. gr. a laga nr. 112/2008 sé að einstaklingur sé sjúkratryggður hér á landi og hafi verið það a.m.k. síðustu sex mánuðina áður en bóta er óskað úr sjúkratryggingum, sbr. 10. gr. laganna. Samkvæmt ákvæðinu ákvarði Sjúkratryggingar m.a. hvort einstaklingur teljist sjúkratryggður hér á landi. Þar af leiðandi óski stofnunin eftir nauðsynlegum gögnum til að unnt sé að taka þá ákvörðun og til að meta réttindi einstaklinga skv. lögum nr. 112/2008. Stofnuninni beri að rannsaka hvort um tímabundna dvöl hafi verið að ræða þegar kostnaður (réttindagreiðsla) féll til, þ.e. hvort einstaklingur hafi verið staddur erlendis tímabundið og hvort hann/hún hafi verið með fasta búsetu hér á landi. Í 2. mgr. 34. gr. laga nr. 112/2008 komi fram að umsækjendum sé skylt að veita stofnuninni allar nauðsynlegar upplýsingar til þess að unnt sé að taka ákvörðun um bótarétt, fjárhæð og greiðslu bóta og endurskoðun þeirra.
Til að stofnunin geti staðfest að umrædd skilyrði séu uppfyllt sé gerð sú krafa að með umsóknum um endurgreiðslu erlends sjúkrakostnaðar fylgi flugmiðar sem staðfesti dvalartíma, og þar með að um tímabundna dvöl hafi verið að ræða og að búseta hafi verið á Íslandi. Umrædd gögn séu til þess fallin að upplýsa málið. Því sé á umsóknareyðublaði óskað eftir að flugmiðar fylgi umsókn um endurgreiðslu sjúkrakostnaðar sem til fellur erlendis. Tekið er fram að ákvörðun byggi ekki á því að umsækjandi sé kominn til Íslands til að endurgreiðsla geti farið fram, eins og vísað sé til í kvörtun, heldur sé óskað eftir flugmiðum til að staðfesta tímabil dvalar í hinu erlenda ríki.
Í svarbréfi Sjúkratrygginga er jafnframt greint frá því að sú framkvæmd að óska ávallt eftir afriti af flugmiðum við fyrrgreindar aðstæður hafi verið tekin upp í ársbyrjun 2020. Áður hafi aðeins verið óskað eftir þeim þegar talin var þörf á því, svo sem ef grunur lék á um að dvöl erlendis hefði verið lengri en lögin heimila eða að um búsetu erlendis hefði verið að ræða. Því miður hafi verið algengt að rangar upplýsingar væru veittar í umsókn um dvalartíma, sem hefði leitt til þess að Sjúkratryggingar hefðu oft endurgreitt kostnað sem ekki var heimilt að endurgreiða vegna skilyrða 10. gr. laga nr. 112/2008.
Hvað varðar fræðslu til hinna skráðu um vinnsluna er vísað til þess að upplýsingar um umrædda vinnslu, þ.e. öflun flugmiða, komi fram á umsóknareyðublaðinu ásamt frekari upplýsingum um vinnsluna. Þá sé frekari upplýsingar um vinnslu persónuupplýsinga að finna í persónuverndarstefnu Sjúkratrygginga, sem birt sé á vefsíðu stofnunarinnar. Í ljósi þess hvernig málum hafi verið háttað við öflun umræddra upplýsinga og vinnslu þeirra telji Sjúkratryggingar að fræðsluskylda stofnunarinnar hafi verið uppfyllt í málinu.
II.
Forsendur
og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að öflun Sjúkratrygginga á afritum af flugmiðum kvartanda. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til teljast Sjúkratryggingar Íslands vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu og niðurstaða
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr. laganna og c-lið 1. mgr. 6. gr. reglugerðarinnar, og sé vinnslan nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. 9. gr. laganna og e-lið 1. mgr. 6. gr. reglugerðarinnar.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga ávallt að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðarinnar. Er þar meðal annars kveðið á um að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr.; að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi, sbr. 2. tölul. 1. mgr. 8. gr.; að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. 1. mgr. 8. gr., og að þær séu áreiðanlegar og uppfærðar eftir þörfum, sbr. 4. tölul. 1. mgr. 8. gr.
Við mat á heimild til vinnslu persónuupplýsinga verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Persónuvernd telur að líta megi svo á að Sjúkratryggingum beri samkvæmt 23. gr. a laga nr. 112/2008 skylda til að sannreyna að einstaklingur hafi verið sjúkratryggður hér á landi, sbr. 10. gr. laganna, þegar hann óskar eftir endurgreiðslu vegna sjúkrakostnaðar sem til fellur erlendis.
Í 5. tölul. 1. mgr. 9. gr. laga nr. 90/2018 er meðal annars vísað til þess að vinnsla persónuupplýsinga sé nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili fer með. Í skýringum við ákvæðið í greinargerð með frumvarpi til laganna er vísað til þess að það taki meðal annars til vinnslu upplýsinga á vegum stjórnvalda sem tengist meðferð opinbers valds. Með því sé fyrst og fremst átt við töku stjórnvaldsákvarðana en jafnframt myndi önnur vinnsla sem telst til stjórnsýslu, svo sem við opinbera þjónustustarfsemi, allajafna falla undir það.
Ákvæði 5. tölul. 1. mgr. 9. gr. laganna er sambærilegt ákvæði e-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt 3. mgr. 6. gr. reglugerðarinnar er sú krafa gerð að mælt sé fyrir um grundvöll vinnslu, sem styðst við e-lið 1. mgr. ákvæðisins, í lögum. Skal tilgangur vinnslunnar ákvarðaður á þeim lagagrundvelli eða, að því er varðar vinnsluna sem um getur í e-lið 1. mgr., vera nauðsynlegur vegna framkvæmdar verkefnis sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með.
Með hliðsjón af skýringum Sjúkratrygginga og tilvitnuðum ákvæðum laga nr. 112/2008 telur Persónuvernd að fallast megi á að öflun flugmiða í þeim tilgangi að sýna fram á lengd dvalar umsækjanda í erlendu ríki geti talist nauðsynleg í tengslum við lögbundna framkvæmd verkefna Sjúkratrygginga.
Að framangreindu virtu er það niðurstaða
Persónuverndar að öflun Sjúkratrygginga á persónuupplýsingum um kvartanda, sem
fólst í að afla afrita af flugmiðum hennar, geti stuðst við heimild í 5. tölul.
9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr.
einnig e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þá liggur ekki fyrir að
vinnslan hafi farið í bága við meginreglur 1. mgr. 8. gr. laganna, sbr. 1. mgr.
5. gr. reglugerðarinnar.
Ú r s k u r ð a r o r ð:
Öflun Sjúkratrygginga
Íslands á persónuupplýsingum um [A] samrýmdist lögum nr. 90/2018, um persónuvernd og
vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.
Persónuvernd, 4. febrúar 2021
Helga Þórisdóttir Helga Sigríður Þórhallsdóttir