Úrlausnir

Vinnsla Sjúkrahússins á Akureyri við útsendingu sjúkraskýrslna

Mál nr. 2020051606

24.3.2021

Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir því að sjúkraskrár kvartanda og barns hennar hafi verið sendar á lögheimili barnsins en ekki til hennar sjálfrar frá Sjúkrahúsinu á Akureyri (SAK). Af hálfu sjúkrahússins var viðurkennt að ekki hefði verið gætt að því að um mismunandi heimilisföng var að ræða og gögnin því send á lögheimili barnsins. Hins vegar hafi gögnin verið send í ábyrgðarpósti og þau endursend til SAK óopnuð og því hafi gögnin ekki komist í hendur óviðkomandi. Gögnin hafi síðan verið send í ábyrgðarpósti til kvartanda. Persónuvernd taldi að í ljósi viðkvæms eðlis þeirra gagna sem um ræddi það vera verulega ámælisvert að SAK hafi ekki gætt þess að gögnin væru send á rétt heimilisfang. Breytti þar engu um að gögnin hafi verið send í ábyrgðarpósti og endursend ábyrgðaraðila óopnuð. Vinnslan var ekki talin hafa samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Úrskurður

Hinn 12. mars 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020051606:

I.

Málsmeðferð

1.

Tildrög máls

Hinn 11. maí 2020 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) yfir því að sjúkraskýrslur hennar og [barns] hennar, sem hún óskaði eftir frá Sjúkrahúsinu á Akureyri, hafi verið sendar á rangt heimilisfang.

Með bréfi, dags. 5. október 2020, ítrekuðu 6. nóvember s.á., var Sjúkrahúsinu á Akureyri boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 23. nóvember 2020. Persónuvernd óskaði eftir frekari upplýsingum frá kvartanda í símtali þann 12. febrúar 2021. Með tölvupósti þann 12. febrúar 2021 óskaði Persónuvernd frekari upplýsinga frá Sjúkrahúsinu á Akureyri. Svarað var með tölvupósti þann 19. s.m.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.

Sjónarmið kvartanda

Af hálfu kvartanda hefur komið fram að hún hafi óskað eftir afriti af sjúkraskrá sinni og [barns síns]. Þegar gögnin hafi ekki borist hafi hún haft samband við Sjúkrahúsið á Akureyri. Hún hafi fengið þær upplýsingar að þrátt fyrir að hún hafi óskað sérstaklega eftir því að gögnin yrðu send henni hefði bréfið verið sent á heimilisfang [barns] hennar, sem á lögheimili hjá föður sínum. Eftir að bréfið hafði verið endursent sjúkrahúsinu hafi henni borist gögnin með ábyrgðarpósti. Bréfið hafi verið sett inn um bréfalúgu á heimili hennar en ekki afhent henni. Í símtali Persónuverndar við kvartanda kom fram að móðir og faðir [barnsins] fari sameiginlega með forsjá en lögheimili [þess] sé hjá föður.

3.

Sjónarmið Sjúkrahússins á Akureyri

Af hálfu Sjúkrahússins á Akureyri hefur komið fram að við útsendingu sjúkraskrárskýrslna kvartanda og barns hennar hafi þess ekki verið gætt að um mismunandi heimilisföng var að ræða og því hafi bæði sjúkraskrá hennar og barns hennar verið send á lögheimili barnsins. Gögnin hafi verið send í ábyrgðarpósti og þau endursend til Sjúkrahússins á Akureyri óopnuð. Á sjúkrahúsinu hafi þau verið sett í annað umslag og send í ábyrgðarpósti til kvartanda. Ekki hafi verið talin ástæða til að tilkynna um öryggisbrest. Sjúkraskrárgögn hafi verið send samkvæmt verklagi og engin gögn hafi komist í hendur óviðkomandi. Í svörum sjúkrahússins er jafnframt vísað til verklagsreglna um afhendingu sjúkraskráa og að búið sé að endurskoða þær til að koma í veg fyrir að sambærilegt atvik endurtaki sig. Þá sé í bígerð að vinna með rafrænar lausnir við afhendingu sjúkraskráa með notkun rafrænna skilríkja.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili – Afmörkun máls

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Mál þetta lýtur að meðferð sjúkraskrárgagna kvartanda og [barns] hennar af hálfu Sjúkrahússins á Akureyri. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Eins og hér háttar til telst Sjúkrahúsið á Akureyri vera ábyrgðaraðili að umræddri vinnslu, sbr. 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðarinnar.

Með hliðsjón af valdsviði Persónuverndar tekur úrskurður þessi ekki til þess með hvaða hætti ábyrgðarbréf var borið út til kvartanda og er þeim þætti kvörtunarinnar vísað frá.

2.

Niðurstaða

Öll vinnsla persónuupplýsinga verður að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.).

Ábyrgðaraðila ber að tryggja að öryggi persónuupplýsinga, sbr. 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018. Í öryggi persónuupplýsinga felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi en að þær séu jafnframt aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda. Nánari ákvæði er varða öryggi persónuupplýsinga er að finna í 23., 24. og 27. gr. laga nr. 90/2018, en samkvæmt þeim skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga, sbr. nánari fyrirmæli 32. gr. reglugerðarinnar. Samkvæmt 2. mgr. 32. gr. reglugerðarinnar skal þegar viðunandi öryggi er metið einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum af því er varðar óviljandi eða ólögmæta eyðingu persónuupplýsinga, sem eru sendar, geymdar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða veittur aðgangur að þeim í leyfisleysi.

Sem fyrr greinir hefur Sjúkrahúsið á Akureyri viðurkennt að sjúkraskrár kvartanda og [barns] hennar hafi verið sendar á rangt heimilisfang. Sjúkrahúsið á Akureyri hefur bent á að í verklagsreglum þess komi fram að læknaritarar gangi frá skjölum á tryggilegan hátt í lokaðar umbúðir, merkt þeim sem hafi heimild til að taka við þeim. Starfsmaður skrifstofu sjái um afhendingu eða sendi gögnin í ábyrgðarpósti. Ekki verður séð að í verklagsreglum sé áréttað að tryggja skuli að skráning heimilisfangs á ábyrgðarbréf við útsendingu þess sé í samræmi við beiðni um gögn og lögheimilisskráningu þess sem óskar eftir gögnunum.

Persónuvernd telur í ljósi viðkvæms eðlis þeirra gagna sem um ræðir það vera verulega ámælisvert að Sjúkrahúsið á Akureyri hafi ekki gætt þess að gögnin væru send á rétt heimilisfang. Breytir þar engu um að gögnin hafi verið send í ábyrgðarpósti og endursend ábyrgðaraðila óopnuð. Verklag og starfshættir stofnunarinnar uppfylltu ekki þær öryggiskröfur sem gerðar eru til ábyrgðaraðila til að tryggja fullnægjandi öryggi persónuupplýsinga samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Með vísan til 1. mgr. 8. gr., 23., 24. gr. og 1. mgr. 27. gr. laga nr. 90/2018 og 32. gr. reglugerðarinnar, áréttar Persónuvernd mikilvægi þess að ábyrgðaraðili tryggi öryggi þeirra viðkvæmu persónuupplýsinga sem starfsmenn sjúkrahússins vinna með.

Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla Sjúkrahússins á Akureyri á persónuupplýsingum [A] við útsendingu sjúkraskráa kvartanda og [barns] hennar hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Eins og mál þetta er vaxið er niðurstaða Persónuverndar sú að ekki séu forsendur til beitingar sektarheimildar, sbr. 46. gr. laga nr. 90/2018.

Ú r s k u r ð a r o r ð:

Vinnsla Sjúkrahússins á Akureyri á persónuupplýsingum [A] við útsendingu sjúkraskráa hennar og [barns] hennar samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Í Persónuvernd, 12. mars 2021

Helga Þórisdóttir                     Vigdís Eva Líndal



Var efnið hjálplegt? Nei