Vinnsla Vátryggingafélags Íslands hf. á upplýsingum um heilsufar einstaklings

Mál nr. 2020010619

13.7.2020

Úrskurður

Hinn 25. júní 2020 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010619 (áður 2019040899):

I.

Málsmeðferð

1.

Kvörtun og málsmeðferð

Hinn 6. apríl 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir vinnslu persónuupplýsinga hans af hálfu Vátryggingafélags Íslands hf. (hér eftir nefnt VÍS). Nánar tiltekið var kvartað yfir því að félagið hefði notað viðkvæmar persónuupplýsingar um heilsufar kvartanda í tengslum við bótauppgjör vegna slyss sem hann varð fyrir og dómsmála sem hann höfðaði á hendur félaginu vegna ágreinings um bætur vegna slyssins.

Með bréfi, dags. 9. júlí 2019, var VÍS tilkynnt um framangreinda kvörtun og veitt færi á að tjá sig um hana. Svarað var af hálfu félagsins með bréfi, dags. 20. ágúst s.á. Bréfinu fylgdu meðal annars afrit umboða sem kvartandi hafði veitt lögmönnum sínum og skrá yfir læknisfræðileg gögn sem lögð höfðu verið fram í tveimur dómsmálum á milli aðila. Með bréfi, dags. 29. s.m., var kvartanda kynnt svarbréf VÍS og honum gefinn kostur á að tjá sig um efni þess. Kvartandi svaraði með tölvupósti þann 15. september s.á. og bréfi þann 18. s.m. Með bréfi, dags. 25. mars 2020, óskaði Persónuvernd eftir tilteknum upplýsingum frá VÍS um þau dómsmál sem voru rekin á milli aðila. Svarað var með bréfi, dags. 17. apríl s.á.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.

Sjónarmið kvartanda

Kvartandi byggir á því að VÍS hafi notað upplýsingar um heilsufar hans í tengslum við bótauppgjör og vegna rekstur skaðabótamáls fyrir dómi vegna slyss hann varð fyrir [árið 2014]. Meðal annars hafi félagið unnið með upplýsingar um heilsufar kvartanda sem skráðar voru áður en slysið varð. Kvartandi hafi fyrir slysið verið heilsuhraustur og því sé um að ræða persónuupplýsingar sem séu VÍS óviðkomandi. Kvartandi telur jafnframt að gengið hafi verið of langt í upplýsingaöflun af hálfu VÍS í tengslum við bótauppgjör og málarekstur því tengdan, meðal annars með öflun viðkvæmra persónuupplýsinga um hann aftur í tímann. Meta verði stöðu tjónþola á þeim tíma sem mat fer fram en ekki sé heimilt að afla læknisfræðilegra gagna sem eru eldri en þriggja ára við það tímamark.

Þá segir í bréfi kvartanda til Persónuverndar, dags. 18. september 2019, að hann hafi veitt lögmönnum sínum umboð til að fara með mál sitt en að lögmenn hans hafi tjáð honum að VÍS hefði krafist þess að upplýsinga um heilsufar hans yrði aflað. Því sé ljóst að það hafi verið gert að kröfu félagsins. Lögmennirnir hafi hins vegar ekki upplýst kvartanda nægjanlega um rétt hans samkvæmt persónuverndarlögum. Því telji hann að Persónuvernd verði að skera úr um hvort VÍS hafi verið heimilt að afla umræddra gagna.

Þá kemur fram í bréfinu að VÍS hafi aflað matsgerðar dómkvaddra matsmanna í tengslum við fyrrgreindan málarekstur aðila fyrir dómi. Telur kvartandi að í matsgerðinni sé tekið mið af viðkvæmum persónuupplýsingum hans sem ekki hafi verið viðeigandi. Því verði Persónuvernd að afla afrits matsgerðarinnar í því skyni að taka afstöðu til úrlausnarefnisins.

3.

Sjónarmið VÍS

Fram kemur í svarbréfi VÍS, dags. 20. ágúst 2019, að kveðið sé á um grundvöll skaðabóta, svo sem vegna umferðarslysa, í skaðabótalögum nr. 50/1993. Við mat á varanlegum miska og varanlegri örorku, sbr. 4.-5. gr. laganna, skipti meðal annars máli að fyrir liggi upplýsingar um hvort eitthvað í fyrri heilsufarssögu einstaklings hafi áhrif á mat á afleiðingum slyss. Því sé það eðlilegur og nauðsynlegur hluti af gagnaöflun í málum sem tengjast ákvörðun bóta eftir slys að afla upplýsinga um fyrra heilsufar tjónþola en þá eingöngu í tengslum við þær kvartanir sem hafðar eru uppi eftir slys, þar sem svokallaður forskaði geti haft þýðingu fyrir niðurstöðu matsgerða. Til þess að unnt sé að meta hvort einstaklingur hafi orðið fyrir varanlegu tjóni og hvert umfang þess sé samkvæmt lögum nr. 50/1993 þurfi meðal annars að afla upplýsinga sem staðfesti að tjónþoli hafi orðið fyrir áverka, upplýsinga um meðhöndlun áverka og endurhæfingu, upplýsinga um að tjónþoli hafi ekki náð fullum bata eftir slys, upplýsinga um forskaða, upplýsinga um tekjur tjónþola árin fyrir og eftir slys, auk annarra gagna sem tjónþoli leggi fram til sönnunar á umfangi tjóns.

Af fyrrgreindu bréfi, svo og bréfi VÍS til Persónuverndar, dags. 17. apríl 2020, verður ráðið að á milli aðila séu nú rekin tvö dómsmál. Annars vegar sé um að ræða mál sem varði rétt kvartanda til greiðslu miskabóta samkvæmt 26. gr. laga nr. 50/1993 og fjárhæð þeirra bóta. Hins vegar sé um að ræða mál sem varðar uppgjör á skaðabótum til kvartanda vegna slyss sem hann varð fyrir. Málin séu rekin hjá Héraðsdómi Reykjavíkur en hafi ekki verið til lykta leidd.

Í tengslum við bótakröfu kvartanda hafi lögmenn hans aflað ýmissa upplýsinga um hann. Þannig liggi meðal annars fyrir í málunum læknisvottorð frá ýmsum læknum sem meðhöndlað hafi kvartanda eftir slysið og matsgerðir þar sem metnar eru afleiðingar slyssins fyrir kvartanda. Í gögnum VÍS sé ekki að finna sjúkraskrá kvartanda og félagið hafi ekki óskað eftir henni. Hins vegar sé ljóst að þeir meðferðaraðilar sem gefið hafi út vottorð til kvartanda hafi stuðst við sjúkraskrá kvartanda við þá vinnu. Lögmaður kvartanda hafi aflað alls þriggja matsgerða vegna slyssins en VÍS hafi aflað einnar matsgerðar frá dómkvöddum matsmönnum.

Af fyrrgreindu bréfi, dags. 20. ágúst 2019, verður enn fremur ráðið að VÍS hafi fengið afrit af þeim umboðum sem kvartandi veitti lögmönnum sínum, sem tóku meðal annars til heimildar þeirra til að vinna með viðkvæmar persónuupplýsingar kvartanda. Lögmennirnir hafi miðlað persónuupplýsingum kvartanda til VÍS á grundvelli umboðanna. Er í þessu sambandi vísað til 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. þágildandi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. núgildandi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Í tilviki kvartanda hafi VÍS byggt vinnsluheimildir sínar annars vegar á samþykki kvartanda, þ.e. umboðum lögmanna, og hins vegar þágildandi 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000, sbr. núgildandi 6. tölul. 1. mgr. 11. gr. laga nr. 90/2018, þar sem kvartandi reki tvö aðskilin dómsmál á hendur félaginu. Því telji VÍS sér heimilt að vinna með þær viðkvæmu persónuupplýsingar sem lögmenn kvartanda hafi sent félaginu vegna bótakröfu hans. Félagið gæti þess jafnframt ávallt að upplýsingaöflun sé ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslu og að upplýsingaöryggis sé gætt til hins ítrasta, t.d. með aðgangsstýringu.

Þá verður ráðið af bréfinu að VÍS telji þá kvörtun sem hér er til umfjöllunar jafnframt lúta að vinnslu persónuupplýsinga af hálfu annarra aðila sem ekki sé á forræði félagsins, þ.e. lögmanna kvartanda svo og sjálfstæðra matsmanna.

II.

Forsendur og niðurstaða

1.

Afmörkun máls

Sú kvörtun sem til umfjöllunar er í þessu máli lýtur að VÍS og vinnslu félagsins með persónuupplýsingar um heilsufar kvartanda í tengslum við bótauppgjör vegna slyss sem hann varð fyrir og rekstur dómsmála á milli aðila þar að lútandi. Af erindum kvartanda til Persónuverndar verður jafnframt ráðið að hann geri athugasemdir við vinnslu persónuupplýsinga af hálfu lögmanna sinna og matsmanna.

Með hliðsjón af því að kvartandi hefur aðeins beint kvörtun sinni að VÍS takmarkast eftirfarandi úrskurður við vinnslu þess félags með persónuupplýsingar kvartanda í tengslum við fyrrgreindan málarekstur. Hins vegar tekur úrskurðurinn ekki til vinnslu persónuupplýsinga kvartanda af hálfu annarra aðila, þ. á m. lögmanna kvartanda og matsmanna.

2.

Lagaskil

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sem í gildi voru þegar hluti þeirrar vinnslu sem kvartað er yfir fór fram, voru leyst af hólmi með lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sem tóku gildi hinn 15. júlí 2018. Þau lögfestu jafnframt persónuverndarreglugerðina, (ESB) 2016/679, eins og hún var aðlöguð og tekin upp í EES-samninginn.

Þar sem kvörtun þessi beinist að ástandi sem enn er til staðar, þ.e. vinnslu persónuupplýsinga í tengslum við rekstur dómsmála sem ekki hafa verið til lykta leidd, auk þess sem þær reglur laga um persónuvernd sem á reynir hafa ekki breyst efnislega, verður leyst úr málinu á grundvelli laga nr. 90/2018.

3.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að notkun VÍS á persónuupplýsingum kvartanda í tengslum við bótauppgjör aðila og rekstur dómsmála en persónuupplýsingarnar voru meðal annars unnar úr sjúkraskrá kvartanda. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst VÍS vera ábyrgðaraðili að umræddri vinnslu.

4.

Lögmæti vinnslu og niðurstaða

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna að vinna má með persónuupplýsingar hafi hinn skráði veitt afdráttarlaust samþykki sitt fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. þeirrar greinar, eða ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. þeirrar greinar.

Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laga nr. 90/2018. Samkvæmt b-lið 3. tölul. 3. gr. laganna teljast heilsufarsupplýsingar viðkvæmar, en af kvörtun verður ráðið að unnið hafi verið með upplýsingar um heilsufar kvartanda. Eins og hér háttar til kemur þá einkum til skoðunar 6. tölul. 1. mgr. 11. gr., þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur.

Við mat á því hvort heimild standi til vinnslu og eftir atvikum hvort skilyrði séu uppfyllt fyrir vinnslu viðkvæmra persónuupplýsinga verður, auk tilvitnaðra ákvæða laga nr. 90/2018, einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Í því sambandi er sérstaklega til þess að líta að samkvæmt 1. mgr. 47. gr. laga nr. 30/2004 um vátryggingarsamninga ber vátryggðum að veita vátryggingafélagi upplýsingar og þau gögn sem hann hefur undir höndum og félagið þarf til þess að meta ábyrgð sína og greiða bætur.

Af hálfu VÍS er meðal annars á því byggt að vinnsla upplýsinga um heilsufar kvartanda í tengslum við ákvörðun um bætur honum til handa hafi byggst á samþykki hans þar að lútandi, sbr. 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018, þar sem hann hafi veitt lögmönnum sínum umboð til að miðla persónuupplýsingum til félagsins.

Samkvæmt 8. tölul. 3. gr. laga nr. 90/2018 er samþykki óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig. Í 43. lið formálsorða reglugerðar (ESB) 2016/679 segir að samþykki ætti ekki að teljast gildur lagagrundvöllur fyrir vinnslu persónuupplýsinga þegar skýr aðstöðumunur er á milli hins skráða og ábyrgðaraðilans. Þá segir að samþykki teljist ekki veitt af fúsum og frjálsum vilja ef framkvæmd samnings, meðal annars veiting þjónustu, er komin undir samþykkinu þótt samþykkið sé ekki nauðsynlegt vegna framkvæmdar samningsins. Þessu til viðbótar segir í leiðbeiningum Evrópska persónuverndarráðsins um samþykki, nr. 05/2020, sem veittar voru á grundvelli e-liðar 1. mgr. 70. gr. reglugerðar (ESB) 2016/679, að það að samþykki sé óþvingað feli í sér kröfu um að hinir skráðu hafi raunverulegan ákvörðunarrétt. Því sé ekki fyrir að fara þegar þannig hátti til að hinn skráði telji sig þvingaðan til að veita samþykki eða telji það hafa neikvæðar afleiðingar að veita ekki samþykki fyrir vinnslu.

Með vísan til alls framangreinds telur Persónuvernd að leggja verði til grundvallar að bótauppgjör hafi verið háð því að kvartandi veitti VÍS upplýsingar, meðal annars varðandi heilsufar sitt. Að teknu tilliti til þess telur Persónuvernd að slíkur munur hafi verið á aðstöðu félagsins annars vegar og kvartanda hins vegar að samþykki kvartanda hafi ekki getað talist óþvingað í skilningi 8. tölul. 3. gr. laga nr. 90/2018. Af því leiðir að sú vinnsla VÍS með persónuupplýsingar kvartanda sem hér er til umfjöllunar gat ekki byggst á samþykki hans, sbr. 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018.

Hins vegar telur Persónuvernd að leggja beri til grundvallar að VÍS hafi haft lögmæta hagsmuni af uppgjöri bóta gagnvart kvartanda og af því að taka til varna í þeim dómsmálum sem hann höfðaði á hendur félaginu, og að vinnsla með persónuupplýsingar um heilsufar kvartanda hafi verið nauðsynleg í því skyni. Samkvæmt því telur Persónuvernd að vinnslan hafi getað stuðst við 6. tölul. 9. gr. laga nr. 90/2018. Þá telur Persónuvernd að eins og hér háttar til hafi skilyrði 6. tölul. 1. mgr. 11. gr. laga nr. 90/2018 verið uppfyllt vegna þeirrar vinnslu persónuupplýsinga sem til umfjöllunar er í þessu máli. Á það bæði við um vinnslu persónuupplýsinga kvartanda í tengslum við bótauppgjör aðila svo og vinnslu persónuupplýsinga hans í tengslum við rekstur dómsmálanna, enda verður ráðið af athugasemdum við ákvæðið í greinargerð með frumvarpi því sem varð að lögum nr. 90/2018 að ekki sé skilyrði að mál hafi verið lagt fyrir dómstóla heldur nægir að vinnslan sé nauðsynleg til að styðja kröfu fullnægjandi rökum.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins.

Við mat á því hvort vinnsla persónuupplýsinga samræmist meginreglum laga nr. 90/2018 getur einnig þurft að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Eins og hér háttar til reynir einkum á ákvæði skaðabótalaga nr. 50/1993.

Í 1. mgr. 4. gr. laganna segir að þegar fjárhæð bóta fyrir varanlegan miska sé ákveðin skuli litið til þess hvers eðlis og hversu miklar afleiðingar tjóns eru frá læknisfræðilegu sjónarmiði, svo og til erfiðleika sem það veldur í lífi tjónþola. Varanlegur miski skuli metinn til stiga og skuli miða við heilsufar tjónþola eins og það er þegar það er orðið stöðugt.

Þá segir í 1. mgr. 5. gr. laganna að valdi líkamstjón, þegar heilsufar tjónþola er orðið stöðugt, varanlegri skerðingu á getu til að afla vinnutekna á tjónþoli rétt á bótum fyrir varanlega örorku.

Telur Persónuvernd að leggja verði til grundvallar að vinna geti þurft með upplýsingar um heilsufar einstaklinga sem til verða bæði fyrir og eftir slys þegar bætur eru ákvarðaðar samkvæmt tilvitnuðum ákvæðum, hvort heldur sem er utan réttar eða fyrir dómi. Þegar litið er til þess, svo og til fyrirliggjandi gagna, verður að mati Persónuverndar ekki annað séð en að VÍS hafi gætt að kröfu 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 við þá vinnslu sem hér er til umfjöllunar.

Að gættu öllu því sem að framan er rakið er það niðurstaða Persónuverndar að vinnsla VÍS með persónuupplýsingar kvartanda í tengslum við bótauppgjör og rekstur dómsmála aðila samrýmist lögum nr. 90/2018.

Ú r s k u r ð a r o r ð:

Vinnsla Vátryggingafélags Íslands hf. á persónuupplýsingum um [A] vegna bótauppgjörs og reksturs dómsmála samrýmist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Í Persónuvernd, 25. júní 2020

Helga Þórisdóttir                         Helga Sigríður Þórhallsdóttir