Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu Heilsugæslu höfuðborgarsvæðisins, í máli nr. 2025020667 (áður 2024081208):

Málsmeðferð

1. Hinn 9. ágúst 2024 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir því að starfsmaður [...], hefði miðlað persónuupplýsingum um hann til aðstandanda hans. Nánar tiltekið hefði viðkomandi starfsmaður tilkynnt aðstandanda kvartanda um að hann væri að sækja þjónustu [...].

2. Persónuvernd bauð Heilsugæslu höfuðborgarsvæðisins að tjá sig um kvörtunina með bréfi 24. janúar 2025, ítrekað með bréfi 17. febrúar s.á., og bárust svör 17. mars s.á. Kvartanda var veittur kostur á að koma á framfæri athugasemdum við svör heilsugæslunnar með bréfi 18. s.m., ítrekað með tölvupósti 4. apríl s.á., og bárust þær með tölvupósti 10. s.m. Þá óskaði Persónuvernd nánari skýringa frá heilsugæslunni, með bréfi 19. mars s.á., og bárust svör 4. apríl s.á. ásamt fylgigögnum. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.

Ágreiningsefni

3. Ágreiningur er um heimild Heilsugæslu höfuðborgarsvæðisins til að miðla persónuupplýsingum um kvartanda til aðstandanda hans.

Atvik máls

4. Fyrir liggur að starfsmaður [...] hafði samband við aðstandanda kvartanda símleiðis og upplýsti hann um að kvartandi væri að sækja þjónustu hjá meðferðareiningunni. Starfsmaðurinn hafði samband við viðkomandi aðstandanda þar sem ekki náðist í kvartanda til að bóka hann í viðtal hjá lækni. Í kjölfar símtalsins hafði kvartandi samband við heilsugæsluna og greindi frá því að aðstandandi hans hefði ekki mátt fá umræddar upplýsingar. Að beiðni kvartanda var viðkomandi fjarlægður úr sjúkraskrá hans sem nánasti aðstandandi.

Sjónarmið aðila

Helstu sjónarmið kvartanda

5. Kvartandi heldur því fram að Heilsugæslu höfuðborgarsvæðisins hafi ekki verið heimilt að upplýsa aðstandanda hans um að hann væri að sækja þjónustu [...].

6. Í kvörtuninni segir að starfsmaður [...] hafi upplýst kvartanda um að hann væri þreyttur á að ná ekki í kvartanda símleiðis og því hafi hann hringt í aðstandanda hans. Kvartandi tekur fram að hann hafi einungis misst af einu símtali frá [...]. Því sé ekki rétt, sem heilsugæslan haldi fram, að reynt hafi verið til hins ýtrasta að hafa samband við hann.

Helstu sjónarmið Heilsugæslu höfuðborgarsvæðisins

7. Heilsugæsla höfuðborgarsvæðisins heldur því fram að vinnsla persónuupplýsinga kvartanda hafi verið í fullu samræmi við persónuverndarlög.

8. Heilsugæslan telur vinnsluna, sem fólst í miðlun persónuupplýsinga kvartanda til aðstandanda hans, hafa verið nauðsynlega til að fullnægja lagaskyldu sem hvíli á stofnuninni, sbr. 3. tölul. 9. gr. laga nr. 90/2018. Er meðal annars vísað til þess að heilsugæslan veiti heilbrigðisþjónustu innan heilbrigðisumdæmis höfuðborgarsvæðisins, sbr. 1. mgr. 5. gr. laga nr. 40/2007 um heilbrigðisþjónustu. Sem veitandi heilbrigðisþjónustu haldi heilsugæslan sjúkraskrá, sbr. lög nr. 55/2009 um sjúkraskrár, þar sem skráðar eru upplýsingar sem nauðsynlegar eru vegna meðferðar sjúklings, þ.m.t. upplýsingar um nánasta aðstandanda, sbr. 1. tölul. 1. mgr. 6. gr. laganna. Heilsugæslan geti, eftir atvikum, þurft að vera í samskiptum við aðstandendur skjólstæðinga sinna vegna meðferða þeirra hjá stofnuninni. Áréttað er að viðkomandi aðili hafi verið skráður sem nánasti aðstandandi í sjúkraskrá kvartanda hjá stofnuninni. Slík skráning gefi að mati heilsugæslunnar almennt til kynna að heimilt sé að hafa samband við viðkomandi vegna atriða er varða sjúklinginn. Starfsmaður [...], sem hafði samband við skráðan nánasta aðstandanda kvartanda, hafi verið í góðri trú að sinna þjónustuskyldum gagnvart kvartanda, sem fólust í því að reyna sitt ýtrasta að bóka hann í viðtal hjá lækni. Starfsmaðurinn hafi gert nokkrar tilraunir til að ná sambandi við kvartanda áður en hringt hafi verið í nánasta aðstandanda hans. Þá er auk þess vísað til þess að vinnslan hafi uppfyllt skilyrði 8. tölul. 1. mgr. 11. gr. laga nr. 90/2018.

9. Heilsugæslan telur jafnframt að vinnslan hafi verið í samræmi við allar meginreglur persónuverndarlaga, sbr. 8. gr. laga nr. 90/2018. Er meðal annars vísað til þess að vinnslan hafi farið fram í þágu kvartanda í þeim skýrt tilgreinda, lögmæta og málefnalega tilgangi að bjóða honum viðtal hjá lækni. Unnið hafi verið með persónuupplýsingar sem voru fyrirliggjandi í sjúkraskrá kvartanda og voru, eftir bestu vitund [...], áreiðanlegar á þeim tíma þegar símtalið fór fram. Upplýsingarnar hafi verið uppfærðar um leið og kvartandi óskaði þess að viðkomandi yrði ekki lengur skráður sem nánasti aðstandandi í sjúkraskrá hans.

10. Þá kemur fram að heilsugæslan hafi skráð símtalið sem atvik og virkjað úrbótaferli til að rótargreina atburðarásina. Í kjölfarið hafi verið ákveðið að breyta verklagi [...] þannig að ekki yrði haft samband við nánasta aðstandanda, samkvæmt skráningu í sjúkraskrá, nema að undangenginni skýrri og upplýstri heimild skjólstæðings. Gerðar hafi verið breytingar á eyðublaði sem skjólstæðingar undirrita áður en til meðferðar hjá [...] kemur, en þar er nú leitað samþykkis fyrir samskiptum við aðstandendur vegna meðferða þeirra. Heilsugæslan áréttar að þrátt fyrir breytingar á verklagi telji stofnunin að vinnsla persónuupplýsinga kvartanda í fyrirliggjandi máli hafi verið í fullu samræmi við persónuverndarlög. Breytingarnar hafi verið gerðar til að koma í veg fyrir að skjólstæðingar [...] verði fyrir óþægindum.

Forsendur og niðurstaða

Lagaumhverfi

11. Mál þetta lýtur að miðlun starfsmanns [...] Heilsugæslu höfuðborgarsvæðisins, á persónuupplýsingum um kvartanda með símtali til aðstandanda hans.

12. Munnleg miðlun persónuupplýsinga, ein og sér, fellur almennt ekki undir gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. 1. mgr. 4. gr. laganna, sbr. einnig 1. mgr. 2. gr. reglugerðar (ESB) 2016/679. Í ákvæðunum birtist sú meginregla að öll sjálfvirk (stafræn) vinnsla persónuupplýsinga, hvort heldur að hluta eða í heild, fellur undir gildissvið laganna og reglugerðarinnar. Þegar vinnsla er ekki stafræn (handvirk) er gerð krafa um að persónuupplýsingar séu eða eigi að verða hluti af skrá, en með því er átt við skipulegt safn persónuupplýsinga sem er aðgengilegt samkvæmt tilteknum viðmiðunum, hvort heldur það er miðlægt, dreift eða skipt upp eftir notkun eða staðsetningu, sbr. 5. tölul. 3. gr. laganna og 6. tölul. 4. gr. reglugerðarinnar. Ræðst það af atviksbundnu mati hvort persónuupplýsingar, sem miðlað er munnlega, séu í beinum, sérstökum og nægjanlegum tengslum við skrá í framangreindum skilningi. Ef slíkt náið samhengi er á milli munnlegrar miðlunar og skrár er talið að miðlunin geti fallið undir hugtakið vinnslu í skilningi 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar, sbr. einnig dóm Evrópudómstólsins í máli C-740/22. Eins og hér háttar til verður ekki annað ráðið af málsatvikum en að þær upplýsingar sem unnið var með, og kvörtunin tekur til, hafi átt uppruna sinn í skrá Heilsugæslu höfuðborgarsvæðisins. Telst því hér vera um að ræða vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 og þar með valdsvið Persónuverndar, sbr. 2. mgr. 1. gr., 1. mgr. 4. gr. og 1. mgr. 39. gr. laganna.

13. Heilsugæsla höfuðborgarsvæðisins telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

14. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar hafi hinn skráði gefið samþykki sitt fyrir vinnslu á persónuupplýsingum um sig, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, eða ef vinnslan er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins. Þegar vinnslan byggir á lagaskyldu skal mæla fyrir um grundvöll vinnslunnar í lögum, sbr. 3. mgr. 6. gr. reglugerðarinnar. Þar segir að tilgangur vinnslu skuli ákvarðaður á þeim lagagrundvelli. Lagagrundvöllurinn getur meðal annars verið sértæk ákvæði til að aðlaga beitingu reglna reglugerðarinnar, t.a.m. um almenn skilyrði varðandi lögmæta vinnslu ábyrgðaraðilans, tegund gagna sem vinnslan varðar eða hlutaðeigandi skráða einstaklinga. Einnig almenn skilyrði varðandi hvaða stofnanir mega fá persónuupplýsingarnar í hendur og í hvaða tilgangi, takmörkun vegna tilgangs, varðveislutímabil og vinnsluaðgerðir og verklag við vinnslu, þ.m.t. ráðstafanir til að tryggja að vinnsla fari fram á lögmætan og sanngjarnan hátt.

15. Heilsufarsupplýsingar, þ.m.t. upplýsingar um heilbrigðisþjónustu sem hinn skráði hefur fengið, teljast vera viðkvæmar persónuupplýsingar, sbr. b-lið 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679. Vinnsla viðkvæmra persónuupplýsinga verður að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Má þar nefna að vinnsla viðkvæmra persónuupplýsinga er heimil fari hún fram á grundvelli afdráttarlauss samþykkis hins skráða fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, eða ef vinnslan er nauðsynleg til að unnt sé að fyrirbyggja sjúkdóma eða vegna atvinnusjúkdómalækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og veita umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu og fyrir henni sé sérstök lagaheimild, enda sé hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnarskyldu, sbr. 8. tölul. lagaákvæðisins og h-lið reglugerðarákvæðisins.

16. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins.

17. Við mat á lögmæti vinnslu samkvæmt framangreindu getur þurft að líta til ákvæða í öðrum lögum eftir því sem við á. Koma hér einkum til skoðunar lög nr. 40/2007 um heilbrigðisþjónustu, lög nr. 55/2009 um sjúkraskrár og lög nr. 74/1997 um réttindi sjúklinga.

18. Heilsugæsla höfuðborgarsvæðisins er heilbrigðisstofnun sem veitir heilbrigðisþjónustu samkvæmt 1. mgr. 5. gr. laga nr. 40/2007, sbr. 1. tölul. 2. mgr. 3. gr. og 20. gr. reglugerðar nr. 1111/2020 um heilbrigðisumdæmi og hlutverk, starfsemi og þjónustu heilsugæslustöðva, heilbrigðisstofnana og sjúkrahúsa. Sem heilbrigðisstofnun skal heilsugæslan sjá til þess að unnt sé að færa sjúkraskrá samkvæmt ákvæðum laga nr. 55/2009 um sjúkraskrár, sbr. 3. mgr. 4. gr. þeirra laga. Nánar er fjallað um færslu í sjúkraskrá í 6. gr. laganna, en þar segir í 1. mgr. að færa skuli í sjúkraskrá þau atriði sem nauðsynleg eru vegna meðferðar sjúklings. Í öllum tilvikum skal þó að lágmarki færa tilteknar upplýsingar, þ.m.t. um nánasta aðstandanda sjúklings, sbr. 1. tölul. ákvæðisins.

19. Um rétt sjúklinga til upplýsinga um eigið heilsufar og meðferð er fjallað í 5. gr. laga nr. 74/1997 um réttindi sjúklinga. Í samræmi við b-lið 1. mgr. 5. gr. laganna á sjúklingur meðal annars rétt á upplýsingum um fyrirhugaða meðferð, framgang hennar, áhættu og gagnsemi. Sjúklingur getur tilnefnt annan einstakling til að taka við upplýsingum í sinn stað og ber þá að skrá það í sjúkraskrá hans, sbr. 1. og 2. mgr. 6. gr. laganna. Þá segir í 1. mgr. 7. gr. sömu laga að virða skuli rétt sjúklings til að ákveða sjálfur hvort hann þiggur meðferð.

Niðurstaða

20. Heilsugæsla höfuðborgarsvæðisins heldur því fram að miðlun persónuupplýsinga kvartanda til nánasta aðstandanda hans hafi byggst á lagaskyldu sem hvíli á stofnuninni, sbr. 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, og uppfyllt viðbótarskilyrði 8. tölul. 1. mgr. 11. gr. laganna, sbr. h-lið 2. mgr. 9. gr. reglugerðarinnar. Lagaskyldan hafi falist í því að veita heilbrigðisþjónustu og halda sjúkraskrá, sbr. umfjöllun í efnisgrein 8.

21. Fyrir liggur að heilsugæslunni ber að halda sjúkraskrá þar sem meðal annars skal skrá upplýsingar um nánasta aðstandanda sjúklings, sbr. 1. tölul. 1. mgr. 6. gr. laga nr. 55/2009, sbr. umfjöllun í efnisgrein 18. Umrætt ákvæði felur samkvæmt orðanna hljóðan í sér skyldu til að skrá tilteknar upplýsingar í sjúkraskrá sjúklings. Í því felst hins vegar ekki heimild til að miðla upplýsingum um heilsufar sjúklings til nánasta aðstandanda hans. Líkt og fram hefur komið getur sjúklingur tilnefnt annan einstakling til að taka við upplýsingum um heilsufar hans og meðferð og ber þá að skrá það í sjúkraskrá hans, sbr. 1. og 2. mgr. 6. gr. laga nr. 74/1997 um réttindi sjúklinga. Um undantekningu er að ræða frá þeirri meginreglu að veita skuli sjúklingi upplýsingar um eigið heilsufar og meðferð. Ekkert liggur fyrir um að kvartandi hafi tilnefnt viðkomandi aðstandanda til að taka við upplýsingum í hans stað.

22. Þá telur Persónuvernd að Heilsugæsla höfuðborgarsvæðisins hafi ekki sýnt fram á að nauðsynlegt hafi verið að hafa samband við nánasta aðstandanda kvartanda umrætt sinn í þeim tilgangi að veita kvartanda heilbrigðisþjónustu. Almenn ákvæði laga nr. 40/2007 um heilbrigðisþjónustu, svo og ákvæði 5. gr. laganna um heilbrigðisumdæmi, verða ekki talin nægilega skýr lagaheimild fyrir vinnslu þeirra persónuupplýsinga sem hér um ræðir, sbr. umfjöllun í efnisgrein 14. Er því ekki fyrir hendi skýr lagagrundvöllur fyrir þeirri vinnslu persónuupplýsinga sem fólst í miðlun persónuupplýsinga kvartanda til nánasta aðstandanda hans, líkt og áskilið er í 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

23. Af öllu framangreindu virtu var miðlun Heilsugæslu höfuðborgarsvæðisins á heilsufarsupplýsingum kvartanda til aðstandanda hans ekki studd viðeigandi vinnsluheimild, sbr. 9. gr. og 1. mgr. 11. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. og 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Var vinnslan þegar af þeirri ástæðu ólögmæt, sbr. einnig 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar.

Ákvörðun um beitingu valdheimilda

24. Persónuvernd getur lagt stjórnvaldssektir á þá sem brjóta, af ásetningi eða gáleysi, gegn einhverju þeirra ákvæða reglugerðar (ESB) 2016/679 sem talin eru upp í 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 1. og 5. mgr. þeirrar lagagreinar. Samkvæmt 1. og 2. tölul. 3. mgr. 46. gr. eru þar á meðal ákvæði um grundvallarreglur vinnslu, meðal annars samkvæmt a-lið 1. mgr. 5. gr., 1. mgr. 6. gr. og 2. mgr. 9. gr. reglugerðarinnar.

25. Við ákvörðun um hvort framangreindum ákvæðum um sektarheimild skal beitt, sem og um fjárhæð sektar, ber að líta til 1. mgr. 47. gr. laga nr. 90/2018 þar sem kveðið er á um þau atriði sem ýmist geta verið metin hlutaðeigandi til málsbóta eða honum í óhag. Meðal þeirra atriða sem líta ber til er hvers eðlis, hversu alvarlegt og langvarandi brotið er, með tilliti til eðlis, umfangs eða tilgangs vinnslunnar og fjölda skráðra einstaklinga og hversu alvarlegu tjóni þeir urðu fyrir (1. tölul). Að virtum þeim sjónarmiðum sem tilgreind eru í tilvísuðu ákvæði, og að gættum öðrum lögmæltum sjónarmiðum og málsatvikum í heild, svo og að teknu tilliti til reglna um meðalhóf, sbr. 1. mgr. 83. gr. reglugerðar (ESB) 2016/679 og 12. gr. stjórnsýslulaga nr. 37/1993, þykja ekki næg efni til að leggja stjórnvaldssekt á Heilsugæslu höfuðborgarsvæðisins vegna þeirra brota sem rakin eru í efnisgreinum 22-23. Rétt þykir þó að veita heilsugæslunni áminningu vegna brotanna, sbr. 2. tölul. 42. gr. laga nr. 90/2018.

Ú r s k u r ð a r o r ð:

Miðlun Heilsugæslu höfuðborgarsvæðisins á persónuupplýsingum [A] til aðstandanda hans var ólögmæt, sbr. 1. tölul. 1. mgr. 8. gr., 9. gr. og 1. mgr. 11. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 5. gr., 1. mgr. 6. gr. og 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Heilsugæslunni er veitt áminning, sbr. 2. tölul. 42. gr. laga nr. 90/2018.

Persónuvernd, 13. maí 2025

Edda Þuríður Hauksdóttir
Harpa Halldórsdóttir