Fara beint í efnið
Persónuvernd Forsíða
Persónuvernd Forsíða

Persónuvernd

Meðferð persónuupplýsinga hjá starfsmannaheilsugæslu Alcoa Fjarðaráls

18. september 2008

Merki - Persónuvernd

G

Persónuvernd hefur, að ósk heilbrigðisráðuneytisins, haft til athugunar öryggi persónuupplýsinga hjá starfsmannaheilsugæslu Alcoa Fjarðaáls. Hafði Alcoa kynnt heilbrigðisráðuneytinu fyrirkomulag hennar með bréfi, dags. 10. október 2007, en þar kom m.a. fram að upplýsingar um starfsmenn yrðu skráðar í þar til gerðan gagnagrunn.

Persónuvernd óskaði skýringa, m.a. á því hvar umræddur gagnagrunnur yrði varðveittur. Einnig var þess óskað að Alcoa Fjarðaál afhenti Persónuvernd öryggisstefnu, áhættumat og skjalfestingu öryggisráðstafana starfsmannaheilsugæslunnar. Einnig var beðið um afrit af samningi við vinnsluaðila og önnur þau gögn sem Alcoa Fjarðaál kynni að hafa undir höndum varðandi vinnsluna.

Persónuvernd barst svar frá lögmanni Alcoa Fjarðaáls. Samkvæmt svarinu var fyrirhugað að varðveita upplýsingar starfsmannaheilsugæslunnar hjá Skýrr hf. en vinnslusamningur hafði ekki verið gerður. Ekki lágu fyrir gögn um öryggisstefnu og áhættumat. Hins vegar var lýst ýmsum fyrirhuguðum öryggisráðstöfunum. Með fylgdu tveir listar með spurningum um heilsufar sem fylltir eru út við heilsufarsskoðun á umsækjendum um störf, sem og þeim starfsmönnum sem ekki hafa farið í slíka skoðun.

Persónuvernd benti á:

- Að þegar umsækjandi teldist ekki fullnægja gerðum heilsufarsskilyrðum félli það utan verkefnasviðs starfsmannaheilsugæslunnar að veita honum heilbrigðisþjónustu. Því þyrfti hún ekki að varðveita heilsufarsupplýsingar um hann. Væri þá eðlilegt að eyða heilsufarsupplýsingum um viðkomandi eða gera þær ópersónugreinanlegar. Sæi starfsmaður sér í hag í því að upplýsingarnar yrðu varðveittar í sjúkraskrá hans á tiltekinni heilbrigðisstofnun væri eðlilegt að verða við því.

- Að athuga þyrfti hvort heilsufarsupplýsingar væru varðveittar víðar en hjá starfsmannaheilsugæslu Alcoa Fjarðaáls, en samkvæmt bréfi lögmannsins höfðu heilsufarsskoðanir farið fram í Fjórðungssjúkrahúsinu á Neskaupsstað og hjá félaginu Inpro í Reykjavík.

- Að misræmi var í spurningalistum sem lagðir voru fyrir starfsumsækjendur og starfsmenn sem ekki höfðu þegar undirgengist heilsufarsskoðun. Þetta misræmi fólst í því að eftirfarandi var hvorutveggja tekið fram: (a) Stjórnendur Alcoa fengju ekki undir neinum kringumstæðum aðrar upplýsingar úr heilsufarsskoðunum en að viðkomandi hefði staðist eða ekki staðist slíka skoðun, en (b) röng svör gætu engu að síður varðað agaviðurlögum sem þá mætti gera ráð fyrir að stjórnendurnir tækju ákvörðun um. Óskaði Persónuvernd skýringa.

Svar hefur borist. Þar kemur eftirfarandi fram:

- Breyta á verkferlum í samræmi við leiðbeiningar Persónuverndar um að eyða heilsufarsupplýsingum um þá einstaklinga sem ekki eru ráðnir til starfa eða ella gera þær ópersónugreinanlegar.

- Fyrirhugað er að flytja þessar upplýsingar í húsnæði starfsmannaheilsugæslu Alcoa Fjarðaáls þegar hún verður fullbúin. Ekki er gert ráð fyrir því að framangreindar upplýsingar verði áfram til hjá Fjórðungssjúkrahúsinu og Heilsuverndarstöðinni eftir að flutningurinn hefur farið fram. Húsnæði og aðbúnaður heilsugæslunnar er ekki fullbúinn og því hefur flutningur ekki átt sér stað.

- Um misræmi í spurningalistum segir að Alcoa Fjarðaál fari með allar upplýsingar sem trúnaðarmál og að þær séu ekki afhentar yfirstjórn eða öðrum aðilum innan félagsins nema í vissum undantekningartilvikum. Þó séu þær afhentar sjúklingi sjálfum að ósk hans eða sendar heilbrigðisstofnunum vegna meðferðar.

- Að Alcoa Fjarðaál hafi endurskoðað spurningalista sem lagður sé fyrir starfsmenn og ekki sé nú gert ráð fyrir að röng eða óheiðarleg svör geti leitt til agaaðgerða, þ.m.t. brottreksturs úr starfi. Stjórnendur Alcoa Fjarðaáls hafi ekki fengið, og muni ekki fá, aðgang að upplýsingum úr umræddum spurningalista. Starfsmenn geti eðli málsins samkvæmt verið beittir agaviðurlögum eða verið gert að sæta brottrekstri úr starfi vegna nánar tilgreindra atvika, en röng svör í framangreindum spurningalista séu ekki þar á meðal.

- Að enn hafi ekki verið ákveðið að fela Skýrr hf. varðveislu rafræns sjúkraskrárkerfis starfsmannaheilsugæslu Alcoa Fjarðaáls.

- Að fyrirhugað sé að skjalfesta öryggisstefnu, áhættumat og öryggisráðstafanir fyrir þær persónuupplýsingar sem Alcoa Fjarðaál safnar um starfsmenn sína.

Auk framangreinds hefur komið fram að í stað þess að vista heilsufarsupplýsingar starfsmannaheilsugæslunnar hjá Skýrr hf. sé til skoðunar að hýsa þær í gagnagrunni hjá erlendum aðila.

Með bréfi, dags. 11. september 2008, gerði Persónuvernd grein fyrir þeirri niðurstöðu sinni að hún teldi ekki vera tilefni til frekari athugasemda varðandi varðveislu heilsufarsupplýsinga um starfsumsækjendur sem ekki fá ráðningu, varðveislu hjá Fjórðungssjúkrahúsinu á Neskaupstað og Heilsuverndarstöðinni (áður Inpro) á niðurstöðum heilsufarsskoðana á starfsumsækjendum og starfsmönnum, og orðalag í spurningalista tengt því hverjir geti fengið í hendur upplýsingar um slíkar niðurstöður. Hins vegar var óskað nánari upplýsinga um önnur atriði, þ.e. gerð upplýsingaöryggiskerfis fyrir starfsmannaheilsugæslu Alcoa Fjarðaáls, ákvörðun um hvar vista skyldi heilsufarsupplýsingar um starfsmenn og hvernig staðið yrði að vistuninni.

rein

Persónuvernd

Hafa samband

postur@personuvernd.is

Sími: 510 9600

Afgreiðslu­tími

Virka daga frá 9 til 12 og 13 til 15

Símatími lögfræðinga er alla fimmtudaga frá 9 til 12

Stað­setning

Laugavegur 166, 4. hæð

105 Reykjavík, Ísland

Kennitala: 560800-2820