Vinnsla Sjóvár-Almennra trygginga hf. á upplýsingum úr sjúkraskrá einstaklings
Mál nr. 2020010616
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir vinnslu Sjóvár-Almennra trygginga hf. með upplýsingar um heilsufar einstaklings úr sjúkraskrá hans í tengslum við ágreining um bótauppgjör. Komist var að þeirri niðurstöðu að sú vinnsla félagsins sem fólst í að afla umræddra upplýsinga og notkun þeirra við ritun greinargerðar til úrskurðarnefndar í vátryggingamálum hefði stuðst við 6. tölul. 9. gr. laga nr. 90/2018 en að miðlun upplýsinganna til nefndarinnar hefði stuðst við 3. tölul. sömu greinar og að skilyrði 6. tölul. 1. mgr. 11. gr. sömu laga hefði verið uppfyllt vegna allra vinnsluaðgerðanna. Jafnframt taldi Persónuvernd að gætt hefði verið að grunnkröfum 1. mgr. 8. gr. sömu laga við vinnsluna. Var niðurstaða Persónuverndar því sú að vinnslan hefði samrýmst lögum nr. 90/2018.
Úrskurður
Hinn 25. júní 2020 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010616
(áður 2019040870):
I.
Málsmeðferð
1.
Kvörtun og málsmeðferð
Hinn 10. apríl 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir vinnslu persónuupplýsinga hans af hálfu Sjóvár-Almennra trygginga hf. Nánar tiltekið var kvartað yfir því að Sjóvá-Almennar tryggingar hf. hefðu aflað upplýsinga um heilsufar kvartanda frá [heilsugæslustöð] og yfir notkun upplýsinganna við gerð greinargerðar, sem félagið lagði fram hjá úrskurðarnefnd í vátryggingamálum, vegna málskots kvartanda til nefndarinnar. Með kvörtun fylgdu alls 13 fylgiskjöl sem varpa ljósi á atvik tengd slysi sem kvartandi hafði orðið fyrir og kröfu hans um bætur úr launþegatryggingu vinnuveitanda hans hjá Sjóvá-Almennum tryggingum hf.
Með bréfi, dags. 5. september 2019, var Sjóvá-Almennum tryggingum hf. tilkynnt um framangreinda kvörtun og veitt færi á að tjá sig um hana. Svarað var af hálfu félagsins með bréfi, dags. 24. september s.á. Með bréfi, dags. 24. október s.á., var kvartanda kynnt svarbréf Sjóvár-Almennra trygginga hf. og honum gefinn kostur að tjá sig um efni þess. Kvartandi svaraði með bréfi, dags. 13. nóvember s.á.
Við úrlausn málsins hefur verið tekið til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
2.
Sjónarmið kvartanda
Kvartandi byggir á því að hann hafi leitað til úrskurðarnefndar í vátryggingamálum vegna synjunar Sjóvár-Almennra trygginga hf. á að greiða honum bætur vegna vinnuslyss sem hann varð fyrir [árið 2014].
Í kjölfar málskotsins hafi Sjóvá-Almennar tryggingar hf. aflað heilsufarsupplýsinga um kvartanda frá [heilsugæslustöð] í tengslum við ritun greinargerðar félagsins til úrskurðarnefndarinnar. Telur kvartandi að upplýsingar sem komu þar fram og eru dagsettar tveimur árum eftir slysið hafi verið túlkaðar sem orsök slyssins af hálfu félagsins en hann líti svo á að upplýsingar sem skráðar hafi verið eftir slysið eigi fremur að skoðast sem upplýsingar um afleiðingar þess.
3.
Sjónarmið Sjóvár-Almennra trygginga hf.
Af hálfu Sjóvár-Almennra trygginga hf. er á því byggt að félagið hafi hafnað bótaskyldu vegna vinnuslyss kvartanda af þeirri ástæðu að lögbundinn tilkynningarfrestur samkvæmt 1. mgr. 124. gr. laga nr. 30/2004 um vátryggingarsamninga hafi verið liðinn. Í málskoti til úrskurðarnefndar í vátryggingamálum hafi kvartandi haldið því fram að tiltekin meiðsli og einkenni mætti rekja til slyssins og að honum hefði ekki verið eðli meiðslanna ljóst fyrr en [árið 2018]. Kvartandi hafi stutt málskot sitt með tveimur læknisvottorðum en fram til þess tíma hafi félagið ekki haft undir höndum læknisfræðileg gögn um kvartanda. Í dómaframkvæmd hafi tilvitnað ákvæði laga nr. 30/2004 verið skýrt svo að upphaf tilkynningarfrests beri að telja frá þeim tíma sem tjónþola hafi orðið ljóst að slys hafi haft varanlegar afleiðingar í för með sér. Því þurfi jafnan að byggja slíka niðurstöðu á læknisfræðilegum gögnum.
Félagið hafi því talið nauðsynlegt að afla frekari upplýsinga um heilsufar kvartanda til þess að staðfesta hvort hann hefði orðið fyrir meiðslum við slysið, hvort einkenni hans mætti rekja til slyssins eða tengdust fyrra heilsufari hans og á hvaða tímapunkti hann hefði sannanlega haft vitneskju um meintar afleiðingar þess. Öflun umræddra upplýsinga af hálfu félagsins hafi því verið nauðsynleg til þess að úrskurðarnefnd í vátryggingamálum gæti byggt niðurstöðu sína á staðreyndum málsins og framsetning upplýsinganna hafi verið eðlileg með hliðsjón af því að um ágreiningsmál hafi verið að ræða sem kynni síðar að rata til dómstóla. Því hafi öll sjónarmið sem studdu niðurstöðu félagsins um höfnun bótaskyldu verið dregin fram.
Af hálfu félagsins er jafnframt á því byggt að öflun afrits af sjúkraskrá kvartanda hafi byggst á skýru og skriflegu samþykki hans sjálfs, í samræmi við 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sem hann hafi tvisvar veitt, sbr. yfirlýsingar kvartanda þar að lútandi, dags. 31. ágúst 2018 og 11. mars 2019. Vinnsla upplýsinga úr sjúkraskrám fólks geti verið nauðsynleg tryggingafélögum í þeim tilgangi að upplýsa mál að fullu og ákvarða bótarétt. Félagið telji því að gagna um kvartanda hafi verið aflað í skýrum, lögmætum og málefnalegum tilgangi og að ekki hafi verið gengið lengra en nauðsynlegt var við öflun upplýsinganna. Þannig hafi beiðni félagsins til heilsugæslunnar um afhendingu gagna takmarkast við sjúkraskrárfærslur tiltekins tímabils, þ.e. varðandi heilsufar kvartanda fyrir og eftir slys hans, auk þess sem aðeins hafi verið aflað þeirra upplýsinga úr sjúkraskrá kvartanda sem félagið áleit nauðsynlegar vegna andsvara félagsins til úrskurðarnefndarinnar. Ákveðið hafi verið að óska eftir afriti af hluta sjúkraskrár kvartanda fremur en læknisvottorði þar sem hún veiti fyllri og betri upplýsingar, auk þess sem hennar hafi mátt afla með skömmum fyrirvara og litlum tilkostnaði. Upplýsinganna hafi þó ekki verið aflað fyrr en þær urðu nauðsynlegar til að verja réttarkröfu.
Þá er á því byggt að miðlun upplýsinga úr sjúkraskrá kvartanda til úrskurðarnefndar í vátryggingamálum hafi stuðst við 3. og 6. tölul. 9. gr. og 6. tölul. 1. mgr. 11. gr. laga nr. 90/2018. Sjúkraskráin hafi verið yfirfarin af einum starfsmanni Sjóvár-Almennra trygginga hf., sem haft hafi til þess aðgangsheimildir. Við þá yfirferð hafi orðið ljóst að ýmis atriði í sjúkraskránni hefðu ekki þýðingu við úrlausn málsins. Því hafi verið ákveðið að í stað þess að senda sjúkraskrána til úrskurðarnefndar í vátryggingamálum yrði eingöngu gerð grein fyrir þeim atriðum úr sjúkraskránni, sem þóttu hafa beina þýðingu, í svarbréfi félagsins til nefndarinnar. Hafi nefndin verið upplýst um að þessi háttur yrði hafður á og að henni yrði veittur aðgangur að sjúkraskránni ef hún teldi það nauðsynlegt. Ekki hafi komið til þess í málinu.
II.
Forsendur og niðurstaða
1.
Afmörkun máls
Sú kvörtun sem til umfjöllunar er í þessu máli lýtur annars vegar að því að Sjóvá-Almennar tryggingar hf. hafi aflað upplýsinga um heilsufar kvartanda úr sjúkraskrá [heilsugæslustöðvar] svo og að notkun upplýsinganna við gerð greinargerðar, sem félagið lagði fram hjá úrskurðarnefnd í vátryggingamálum, vegna málskots kvartanda til nefndarinnar. Kvartandi gerir meðal annars athugasemdir við það að félagið hafi aflað upplýsinga um heilsufar hans sem til urðu tveimur árum eftir slys hans.
Af kvörtun verður hins vegar ráðið að kvartandi geri athugasemdir við framsetningu upplýsinganna í greinargerðinni og þær efnislegu ályktanir sem Sjóvá-Almennar tryggingar hf. drógu af þeim upplýsingum sem félagið vann með.
Með hliðsjón af valdsviði Persónuverndar, sbr. umfjöllun í næsta kafla, takmarkast úrskurður þessi við vinnslu persónuupplýsinga kvartanda af hálfu Sjóvár-Almennra trygginga hf. í tengslum við fyrrgreindan málarekstur hjá úrskurðarnefnd í vátryggingamálum. Hins vegar tekur úrskurðurinn ekki til framsetningar upplýsinganna né efnislegra ályktana sem dregnar voru af þeim af hálfu félagsins eða úrskurðarnefndarinnar.
2.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að öflun Sjóvár-Almennra trygginga hf. á persónuupplýsingum kvartanda úr sjúkraskrá hans hjá [heilsugæslustöð] og notkun upplýsinganna í tengslum við ritun greinargerðar sem lögð var fram hjá úrskurðarnefnd í vátryggingamálum vegna málskots kvartanda til nefndarinnar í tengslum við slys sem hann varð fyrir. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til teljast Sjóvá-Almennar tryggingar hf. vera ábyrgðaraðili að umræddri vinnslu.
3.
Lögmæti vinnslu og niðurstaða
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna að vinna má með persónuupplýsingar hafi hinn skráði veitt afdráttarlaust samþykki sitt fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. þeirrar greinar, sé vinnslan nauðsynleg vegna lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. þeirrar greinar, eða ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. þeirrar greinar.
Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laga nr. 90/2018. Samkvæmt b-lið 3. tölul. 3. gr. laganna teljast heilsufarsupplýsingar viðkvæmar, en af kvörtun verður ráðið að unnið hafi verið með upplýsingar um heilsufar kvartanda sem fengnar voru úr sjúkraskrá hans. Eins og hér háttar til kemur þá einkum til skoðunar 6. tölul. 1. mgr. 11. gr., þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur.
Við mat á því hvort heimild standi til vinnslu og eftir atvikum hvort skilyrði séu uppfyllt fyrir vinnslu viðkvæmra persónuupplýsinga verður, auk tilvitnaðra ákvæða laga nr. 90/2018, einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni.
Um sjúkraskrár gilda lög nr. 55/2009, sbr. 2. mgr. 1. gr. þeirra, en lög nr. 90/2018 gilda þó jafnframt um slíkar skrár að svo miklu leyti sem ekki er mælt fyrir um á annan veg í hinum fyrrgreindu lögum, sbr. 3. mgr. 1. gr. þeirra. Samkvæmt 12. gr. laga nr. 55/2009 er aðgangur að sjúkraskrám óheimill nema til hans standi lagaheimild samkvæmt ákvæðum laganna eða öðrum lögum.
Samkvæmt 1. mgr. 47. gr. laga nr. 30/2004 um vátryggingarsamninga ber vátryggðum að veita vátryggingafélagi upplýsingar og þau gögn sem hann hefur undir höndum og félagið þarf til þess að meta ábyrgð sína og greiða bætur. Þá hefur viðskiptaráðherra birt auglýsingu nr. 1090/2005 um samþykktir fyrir úrskurðarnefnd í vátryggingamálum, með stoð í 3. mgr. 141. gr. sömu laga. Samkvæmt 2. mgr. 6. gr. samþykktanna skal vátryggingafélag láta nefndinni í té þau skjöl og gögn sem varða mál sem lögð eru fyrir nefndina. Þá segir í 3. mgr. sama ákvæðis að vátryggingafélagi skuli gefinn kostur á að koma gögnum og sjónarmiðum á framfæri við nefndina áður en mál er tekið til úrlausnar.
Af hálfu Sjóvár-Almennra trygginga hf. er á því byggt að öflun upplýsinga um heilsufar kvartanda í tengslum við ákvörðun um bætur honum til handa hafi byggst á samþykki hans þar að lútandi, sbr. 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018.
Samkvæmt 8. tölul. 3. gr. laganna er samþykki óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig. Í 43. lið formálsorða reglugerðar (ESB) 2016/679 segir að samþykki ætti ekki að teljast gildur lagagrundvöllur fyrir vinnslu persónuupplýsinga þegar skýr aðstöðumunur er á milli hins skráða og ábyrgðaraðilans. Þá segir að samþykki teljist ekki veitt af fúsum og frjálsum vilja ef framkvæmd samnings, meðal annars veiting þjónustu, er komin undir samþykkinu þótt samþykkið sé ekki nauðsynlegt vegna framkvæmdar samningsins. Þessu til viðbótar segir í leiðbeiningum Evrópska persónuverndarráðsins um samþykki, nr. 05/2020, sem veittar voru á grundvelli e-liðar 1. mgr. 70. gr. reglugerðar (ESB) 2016/679, að það að samþykki sé óþvingað feli í sér kröfu um að hinir skráðu hafi raunverulegan ákvörðunarrétt. Því sé ekki fyrir að fara þegar þannig hátti til að hinn skráði telji sig þvingaðan til að veita samþykki eða telji það hafa neikvæðar afleiðingar að veita ekki samþykki fyrir vinnslu.
Með vísan til alls framangreinds telur Persónuvernd að leggja verði til grundvallar að bótauppgjör hafi verið háð því að kvartandi veitti Sjóvá-Almennum tryggingum hf. upplýsingar, meðal annars varðandi heilsufar sitt. Að teknu tilliti til þess telur Persónuvernd að slíkur munur hafi verið á aðstöðu félagsins annars vegar og kvartanda hins vegar að samþykki kvartanda, dags. 31. ágúst 2018 og 11. mars 2019, varðandi heimild félagsins til að afla upplýsinga úr sjúkraskrá kvartanda í tengslum við ákvörðun bóta, hafi ekki getað talist óþvingað í skilningi 8. tölul. 3. gr. laga nr. 90/2018. Af því leiðir að sú vinnsla Sjóvár-Almennra trygginga hf. að afla upplýsinga um heilsufar kvartanda úr sjúkraskrá hans hjá [heilsugæslustöð] gat ekki byggst á 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018.
Hins vegar segir í 52. lið formálsorða reglugerðar (ESB) 2016/679 að heimilt geti verið að vinna með viðkvæmar persónuupplýsingar þegar það er nauðsynlegt til að unnt sé að stofna, hafa uppi eða verja réttarkröfur, hvort heldur er fyrir dómstól eða við stjórnsýslumeðferð eða málsmeðferð utan réttar.
Úrskurðarnefnd í vátryggingamálum er falið að skera úr um ágreining sem fellur undir lög nr. 30/2004, sbr. 1. mgr. 141. gr. þeirra. Úrskurðir nefndarinnar eru ekki bindandi. Með vísan til 141. gr. laga nr. 30/2004 og athugasemda við það ákvæði í frumvarpi til laganna verður ekki talið að úrskurðarnefndin fari með stjórnsýsluvald. Að þessu gættu er það mat Persónuverndar að um sé að ræða málsmeðferð utan réttar sem ætlað er að skera úr um réttarkröfur í skilningi 6. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. 52. lið formálsorða reglugerðar (ESB) 2016/679.
Þegar litið er til alls framangreinds telur Persónuvernd að leggja beri til grundvallar að öflun Sjóvár-Almennra trygginga hf. á upplýsingum um heilsufar kvartanda úr sjúkraskrá hans frá [heilsugæslustöð] og notkun þeirra við ritun greinargerðar hafi stuðst við 6. tölul. 9. gr. laga nr. 90/2018 en að miðlun upplýsinganna til úrskurðarnefndar í vátryggingamálum hafi stuðst við 3. tölul. sömu greinar, sbr. 2. mgr. 6. gr. samþykkta um úrskurðarnefnd í vátryggingamálum. Þá telur Persónuvernd að eins og hér háttar til hafi skilyrði 6. tölul. 1. mgr. 11. gr. laga nr. 90/2018 verið uppfyllt vegna allra þeirra vinnsluaðgerða sem eru til umfjöllunar í þessu máli.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingum, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli eytt eða þær leiðréttar án tafar (4. tölul.).
Þrátt
fyrir að yfirlýsingar kvartanda um heimild félagsins til öflunar upplýsinga um
heilsufar hans hafi ekki getað talist samþykki í skilningi laga nr. 90/2018,
sbr. það sem rakið er að framan, þykir verða að leggja til grundvallar að þær
hafi í reynd gert kvartanda kunnugt um að Sjóvá-Almennar tryggingar hf. kynnu
að afla upplýsinga um heilsufar hans í tengslum við kröfu hans um bætur úr
hendi félagsins. Þá bera gögn málsins með sér að Sjóvá-Almennar tryggingar hf.
hafi aflað persónuupplýsinga um heilsufar kvartanda í þeim tilgangi að gæta
hagsmuna sinna við rekstur máls sem kvartandi skaut til úrskurðarnefndar í
vátryggingamálum. Að mati Persónuverndar verður ekki annað séð en að persónuupplýsingarnar
hafi verið nægilegar og ekki umfram það sem nauðsynlegt var miðað við þann
tilgang. Loks verður ekki annað ráðið en að félagið hafi aflað upplýsinga um
heilsufar kvartanda úr sjúkraskrá í því skyni að tryggja að áreiðanlegar
upplýsingar lægju til grundvallar við ritun greinargerðar félagsins til
úrskurðarnefndar í vátryggingamálum. Þegar litið er til framangreindra þátta er
það niðurstaða Persónuverndar að sú vinnsla persónuupplýsinga sem hér er til
umfjöllunar hafi samrýmst grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018.
Ú r s k u r ð a r o r ð:
Vinnsla
Sjóvár-Almennra trygginga hf. á persónuupplýsingum um [A] samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu
persónuupplýsinga.
Í
Persónuvernd, 25. júní 2020
Helga Þórisdóttir Helga Sigríður Þórhallsdóttir