Almennt svar varðandi birtingu sjúkratilfellis í Læknablaðinu
10. nóvember 2009
Persónuvernd var spurð hvort leyfi hennar þyrfti til að birta upplýsingar um eitt sjúkratilfelli í Læknablaðinu. Um var að ræða grein þar sem unnt var að bera kennsl á hlutaðeigandi sjúklíng.
Persónuvernd sagði svo ekki vera ef aflað yrði samþykkis sjúklingsins eða gerðar breytingar á greininni þannig að ekki yrði jafn auðvelt að þekkja sjúklinginn.
Í svari Persónuverndar sagði m.a.:
"Þau lög, sem Persónuverndar starfar eftir og framfylgir, þ.e. lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, gilda um vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar.
Þó svo að við umrædda birtingu upplýsinga sé ekki fyrirhugað að birta persónuauðkenni viðkomandi sjúklings verður að ætla að þeir sem til þekkja kunni að geta lesið það út hver hann sé. Af því leiðir að telja verður upplýsingarnar persónugreinanlegar og að því sé um að ræða vinnslu persónuupplýsinga sem fellur undir lög nr. 77/2000. Eins og vinnslunni er lýst verður ekki séð að hún falli undir reglur sem áskilja leyfi Persónuverndar. Hins vegar verður vinnslan að samrýmast ákvæðum laganna.
Upplýsingar um heilsuhagi einstaklinga eru viðkvæmar persónuupplýsingar, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000. Svo að vinnsla þeirra sé heimil þarf að vera fullnægt einhverju skilyrðanna fyrir vinnslu slíkra upplýsinga sem mælt er fyrir um í 9. gr. laganna. Að auki þarf að vera fullnægt einhverju hinna almennu skilyrða fyrir vinnslu persónuupplýsinga, viðkvæmra sem annarra, sem mælt er fyrir um í 8. gr.
Vinna má með viðkvæmar persónuupplýsingar á grundvelli samþykkis hins skráða, sbr. 1. tölul. 1. mgr. 9. gr. og 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Svo að samþykkið teljist gilt þarf það að samrýmast 7. tölul. 2. gr. laganna þar sem samþykki er skilgreint svo:
„Sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.“
Auk þess sem heimild þarf að vera til vinnslu persónuupplýsinga samkvæmt 8. og 9. gr. laga nr. 77/2000 þarf að vera fullnægt öllum grunnkröfum 1. mgr. 7. gr. laganna. Þar er m.a. mælt fyrir um að þess skuli gætt við vinnslu persónuupplýsinga að þær séu fengnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.), að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.) og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).
Þáttur í því að fara að framangreindum reglum getur m.a. verið að birta ekki persónuauðkenni einstaklings þegar slíkt getur ekki talist málefnalegt og nauðsynlegt til að ná fram yfirlýstum tilgangi með vinnslu persónuupplýsinga."