Úrskurður

um kvörtun yfir uppflettingum í sjúkraskrá, í máli nr. 2025020471 (áður 2023091441):

Málsmeðferð

1. Hinn 12. september 2023, barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir meintum óheimilum uppflettingum [B] (hér eftir [B]), sérfræðilæknis á Landspítala og eiganda læknastofunnar [Y] ehf., í sjúkraskrá kvartanda. Nánar tiltekið er kvartað yfir því að umræddur læknir hafi á tímabilinu 19. október 2017 til 1. maí 2021 flett upp í sjúkraskrá kvartanda tilgreind skipti, án heimildar. Meðfylgjandi kvörtun var yfirlit yfir uppflettingar í sjúkraskrá kvartanda á tímabilinu frá 27. ágúst 2012 til og með 7. september 2023.

2. Persónuvernd bauð Landspítalanum að tjá sig um kvörtunina með bréfi 14. maí 2024 og bárust svör spítalans 6. júní s.á. Í kjölfar svarbréfs spítalans var [B] boðið að tjá sig um kvörtunina 19. ágúst s.á. Svör [B] bárust með svarbréfi dags. 5. september s.á. Þá bárust Persónuvernd viðbótarsvör frá eftirlitsnefnd Landspítalans um rafræna sjúkraskrá 19. desember 2024, sem hafði tekið málið til rannsóknar í kjölfar fyrrnefnds bréfs Persónuverndar frá 14. maí 2024. Kvartanda var veittur kostur á að koma á framfæri athugasemdum við svör Landspítalans og [B], með bréfi 8. janúar 2025. Svör kvartanda bárust með tölvupósti 21. s.m.

3. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.

Ágreiningsefni

4. Ágreiningur er um lögmæti uppflettinga [B] í sjúkraskrá kvartanda á tímabilinu frá 19. október 2017 til 1. maí 2021, nánar tiltekið dagana 19. október 2017, 18. maí 2018, 6. maí 2019, 17. júní 2019, 20 ágúst 2019, 28. apríl 2020, 14. september 2020, 15. september 2020 og 1. maí 2021.

Afmörkun máls og lagaskil

5. Kvartandi óskaði upphaflega eftir því að Persónuvernd rannsakaði einnig hvort tilgreindur sérfræðilæknir hefði flett upp sjúkraskrá ólögráða dóttur hans. Með tölvupósti 18. september 2024 staðfesti kvartandi hins vegar að dóttir hans hefði fengið afhent yfirlit yfir uppflettingar í sjúkraskrá sína. Samkvæmt yfirlitinu væri ekki að sjá að læknirinn hefði flett dóttur kvartanda upp í sjúkraskrá hennar. Var þessi þáttur kvörtunarinnar því ekki tekinn til frekari rannsóknar. Afmarkast mál þetta því við lögmæti uppflettinga læknisins [B] í sjúkraskrá kvartanda dagana 19. október 2017, 18. maí 2018, 6. maí 2019, 17. júní s.á., 20. ágúst s.á., 28. apríl 2020 14. og 15. september s.á og 1. maí 2021.

6. Líkt og að framan greinir áttu hinar meintu óheimilu uppflettingar sér m.a. stað í október 2017 og maí 2018, þ.e. í gildistíð eldri laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, en aðrar uppflettingar áttu sér stað á árunum 2019, 2020 og 2021. Lög nr. 77/2000 voru leyst af hólmi með lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sem tóku gildi 15. júlí 2018. Þau lögfestu jafnframt reglugerð (ESB) 2016/679 um persónuvernd, eins og hún var aðlöguð og tekin upp í EES-samninginn. Eftir að lög nr. 90/2018 tóku gildi giltu þau um þær uppflettingar sem áttu sér stað eftir gildistöku laganna. Ekki voru gerðar neinar efnislegar breytingar með lögum nr. 90/2018 á þeim reglum sem gilda um þá vinnslu sem hér er til umfjöllunar. Þar af leiðandi verður leyst úr málinu á grundvelli núgildandi laga en vísað í ákvæði eldri laga eftir því sem við á.

Sjónarmið aðila

Helstu sjónarmið kvartanda

7. Kvartandi telur uppflettingar læknisins [B] í sjúkraskrá hans ólögmætar. Vísar kvartandi til þess að [B] hafi aldrei verið læknir hans eða sinnt honum sem sjúklingi. Fram kemur í kvörtun að [B] sé faðir barnsmóður kvartanda og hafi umræddar uppflettingar átt sér stað á meðan kvartandi átti í sambandi við dóttur [B].

Helstu sjónarmið Landspítalans

8. Landspítalinn vísar til þess að við rannsókn málsins hafi komið í ljós að tvær fyrstu uppflettingarnar, þ.e. dagana 19. október 2017 og 18. maí 2018, hefðu ekki átt sér stað á spítalanum og því gæti spítalinn ekki svarað fyrir þær.

9. Niðurstaða eftirlitsnefndar um rafræna sjúkraskrá leiddi í ljós að uppflettingar [B] dagana 20. ágúst 2019, 28. apríl 2020 og 1. maí 2021 teldust lögmætar í ljósi þess að vinnslan hafi verið í þágu kvartanda, þ.e. í þeim tilgangi að aðstoða hann við smávægileg læknisviðvik, þ.e. lyfjaávísun. Við það hafi skapast meðferðarsamband milli læknis og sjúklings (kvartanda) og vinnslan því fallið undir 3. tölul. 1. mgr. 9. gr. og 8. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. 1. mgr. 13. gr. laga nr. 55/2009 um sjúkraskrá, í þeim tilgangi að veita meðferð. Þegar sjúklingur óskar eftir læknishjálp, eins og kvartandi gerði í framangreind þrjú skipti sem Landspítali hafi getað sannreynt, jafnvel smávægilegu viðviki svo sem ávísun lyfs, beri að mati spítalans að líta svo á að vinnsla persónuupplýsinga, í tengslum við viðvikið, sé unnin með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart sjúklingnum, þ.e. að hans beiðni. Við það að til meðferðarsambands sé stofnað milli læknis og sjúklings og persónuupplýsingarnar nýttar í þágu sjúklingsins, verði að líta svo á að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki í öðrum eða ósamrýmanlegum tilgangi.

10. Í svarbréfi Landspítalans kemur jafnframt fram að ekki hafi tekist að rekja hvaða erindi [B] hafi átt í sjúkraskrá kvartanda dagana 6. maí 2019, 17. júní 2019, 14. og 15. september 2020. Vísað er til þess að [B] hafi þó sjálfur talið þær hljóta að hafa tengst einhverju viðviki í þágu kvartanda. Eftirlitsnefndin taldi þó ekki hægt að staðfesta að þær hefðu verið lögmætar eða farið fram samkvæmt beiðni kvartanda og því yrði ekki komist lengra með þá athugun hjá nefndinni.

Helstu sjónarmið [B]

11. Í skýringum [B] kemur fram að hann hafi starfað á lyflækningasviði Landspítalans á umræddu tímabili, þ.e. árin 2017-2021, og haft aðgang að Sögukerfinu í gegnum tölvur spítalans en einnig í gegnum eigin tölvu með fjaraðgangi á kerfinu, enda væri hann oft á bakvöktum. Kveðst hann hafa liðsinnt nánum ættingjum og fjölskyldum þeirra í stórum sem smáum heilsuvanda og eftir atvikum aðstoðað við að koma heilsuvanda þeirra í réttan farveg. Í því fælist ráðgjöf um hvort viðkomandi skyldi leita með ákveðin heilsuvandamál til heilsugæslu, bráðamóttöku eða sérfræðinga, aðstoð með tilvísun til lækna, sjúkraþjálfara eða annarra heilbrigðisstarfsmanna og/eða minniháttar meðferðarinngrip hans sjálfs, s.s. ávísun sýklalyfja eða verkjalyfja. Á þeim tíma sem kvartandi hafi tengst honum fjölskylduböndum hafi kvartanda boðist sambærilegur aðgangur að læknisfræðilegri ráðgjöf og aðstoð frá sér, sem kvartandi hafi alloft nýtt sér.

12. Hins vegar kveðst [B] ekki getað munað ástæður sérhverrar skoðunar á sjúkraskýrslum kvartanda, þar sem bæði langt sé um liðið en auk þess hafi samtöl hans við kvartanda um læknisfræðileg vandamál verið mörg á umræddu tímabili og yfirleitt minniháttar. Allar uppflettingar sem hann hafi framkvæmt í sjúkraskrá kvartanda hafi þó verið gerðar í kjölfar beiðni kvartanda um læknisfræðilega aðstoð á því tímabili sem um ræðir, þ.e. frá 2017 til 2021. Framangreindu til stuðnings vísar [B] til fylgigagna með svarbréfinu, sem sýni skjáskot af ýmsum samskiptum hans við kvartanda og dóttur sína í gegnum smáskilaboðaforrit, og staðfesti að kvartandi hafi óskað læknisfræðilegrar ráðgjafar og/eða lyfjaávísana frá honum á mismunandi tímabilum.

Lagaumhverfi

13. Mál þetta lýtur að uppflettingum læknisins [B] í sjúkraskrá kvartanda. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 1. mgr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna, sbr. samsvarandi ákvæði 1. mgr. 3. gr., 2. mgr. 1. gr. og 1. mgr. 37. gr. eldri laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

14. Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölulið 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölulið 4. gr. reglugerðarinnar, sbr. samsvarandi ákvæði 4. tölul. 2. gr. eldri laga nr. 77/2000. Ábyrgðaraðili sjúkraskráa er skilgreindur í 12. tölul. 3. gr. laga nr. 55/2009 um sjúkraskrár, sem heilbrigðisstofnun eða starfsstofa heilbrigðisstarfsmanna þar sem sjúkraskrár eru færðar. Almennt er litið svo á að ábyrgðaraðili sé hlutaðeigandi stofnun eða fyrirtæki en ekki einstaka starfsmenn, hvort sem um ræðir stjórnendur eða almenna starfsmenn. Hafi starfsmaður stofnunar eða fyrirtækis hins vegar notað persónuupplýsingar í eigin þágu, eða vegna einhvers verks sem ekki fellur innan verksviðs ábyrgðaraðila, ber hann sjálfur ábyrgð á þeirri aðgerð.

15. Öll vinnsla persónuupplýsinga þarf að byggjast á einhverri þeirra heimilda sem greinir í 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679, sbr. sambærilegt ákvæði 1. mgr. 8. gr. laga nr. 77/2000. Má þar nefna að vinna má með persónuupplýsingar á grundvelli samþykkis hins skráða, sbr. 1. tölul. 9. gr. laga nr. 90/2018 og a-lið reglugerðarákvæðisins, sbr. ákvæði 1. tölul. 8. gr. laga nr. 77/2000, eða ef vinnslan er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr. laga nr. 90/2018 og c-lið reglugerðarákvæðisins, sbr. ákvæði 3. tölul. 1. mgr. 8. gr. eldri laga nr. 77/2000. Mæla skal fyrir um grundvöll slíkrar vinnslu í lögum, sbr. 3. mgr. 6. gr. reglugerðarinnar

16. Vinnsla viðkvæmra persónuupplýsinga, þ.m.t. heilsufarsupplýsinga, sbr. b-lið 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679, sbr. c-lið 8. tölul. 2. gr. eldri laga nr. 77/2000, þarf jafnframt að samrýmast einhverju viðbótarskilyrða 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar, sbr. sambærilegt ákvæði 9. gr. þágildandi laga nr. 77/2000. Eins og hér háttar til kemur einkum til skoðunar 1. og 8. tölul. 1. mgr. 11. gr. laga nr. 90/2018, þess efnis að hinn skráði hafi veitt afdráttarlaust samþykki sitt fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða eða ef vinnslan er talin nauðsynleg til að unnt sé að fyrirbyggja sjúkdóma eða vegna atvinnusjúkdómalækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og veita umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu og fyrir henni sé sérstök lagaheimild, enda sé hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnarskyldu, sbr. h-lið 2. mgr. 9. gr. reglugerðarinnar. Framangreind ákvæði laga nr. 90/2018, eru sambærileg ákvæðum 1. og 8. tölul. 9. gr. laga nr. 77/2000, þar sem mælt var fyrir um að vinnsla viðkvæmra persónuupplýsinga var heimil ef hinn skráði samþykkti vinnsluna eða ef hún væri talin nauðsynleg vegna læknismeðferðar eða vegna venjubundinnar stjórnsýslu á sviði heilbrigðisþjónustu, enda væri hún framkvæmd af starfsmanni heilbrigðisþjónustu sem bundinn væri þagnarskyldu.

17. Við mat á því hvort heimild standi til umræddrar vinnslu, og eftir atvikum hvort skilyrði hafi verið uppfyllt fyrir vinnslu viðkvæmra persónuupplýsinga, verður einnig að líta til ákvæða annarra laga sem við eiga hverju sinni. Í fyrirliggjandi máli koma til skoðunar lög nr. 55/2009 um sjúkraskrár.

18. Í 2. gr. laga nr. 55/2009 segir að við færslu og varðveislu sjúkraskráa og aðgang að þeim skuli mannhelgi og sjálfsákvörðunarréttur sjúklinga virtur, þess gætt að sjúkraskrár hafa að geyma viðkvæmar persónuupplýsingar og að sjúkraskrárupplýsingar eru trúnaðarmál. Samkvæmt 12. gr. laganna er aðgangur að sjúkraskrám óheimill nema til hans standi lagaheimild samkvæmt ákvæðum laganna eða öðrum lögum. Í 1. mgr. 13. gr. laganna segir að heilbrigðisstarfsmenn sem koma að meðferð sjúklings og þurfa á sjúkraskrárupplýsingum hans að halda vegna meðferðarinnar skuli hafa aðgang að sjúkraskrá sjúklingsins með takmörkunum samkvæmt ákvæðum laganna og reglna settra á grundvelli þeirra.

19. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. sambærilegt ákvæði 1. mgr. 7. gr. laga nr. 77/2000. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. framangreindra lagaákvæða og a-lið reglugerðarákvæðisins, að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. lagaákvæðanna og b-lið reglugerðarákvæðisins, og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðanna og c-lið reglugerðarákvæðisins .

20. Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt meginreglur persónuverndarlöggjafarinnar og skal geta sýnt fram á það, sbr. 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðar (ESB) 2016/679. Ábyrgðarskyldan sem almenn og sjálfstæð skylda ábyrgðaraðila kom inn sem nýmæli í lög nr. 90/2018. Í eldri lögum nr. 77/2000 var ábyrgðarskyldan hins vegar ekki lögfest sem sérstök meginregla með sambærilegum hætti. Þó voru efnisþættir reglunnar að nokkru leyti fyrir hendi í eldri lögum nr. 77/2000. Nánar tiltekið má finna efnisþætti reglunnar í þágildandi lögum í dreifðari og sértækari skylduákvæðum, s.s. 1. tölul. 7. gr. og 11. gr. sömu laga, sem mælti fyrir um ábyrgð ábyrgðaraðila á öryggismati, öryggisráðstöfunum og því að vinnslan væri í samræmi við m.a. 7. gr. laganna.

Niðurstaða

21. Persónuvernd hefur almennt litið svo á að Landspítali teljist ábyrgðaraðili að uppflettingum starfsmanna sinna í sjúkraskrám, þegar þær eru framkvæmdar af þeim heilbrigðisstarfsmönnum sem koma að meðferð sjúklings og þurfa á sjúkraskrárupplýsingum hans að halda vegna meðferðarinnar, sbr. 13. gr. laga nr. 55/2009 um sjúkraskrár. Fari starfsmaður hins vegar út fyrir aðgangsheimildir sínar samkvæmt fyrrgreindum lögum ber hann sjálfur ábyrgð á því, sbr. einnig umfjöllun í efnisgrein 14.

22. Í því tilviki sem hér um ræðir komst eftirlitsnefnd um rafræna sjúkraskrá Landspítala að þeirri niðurstöðu að uppflettingar læknisins [B] í sjúkraskrá kvartanda dagana 20. ágúst 2019, 28. apríl 2020 og 2. maí 2021 hefðu verið lögmætar, í ljósi þess að meðferðarsamband hefði skapast milli læknisins og kvartanda og uppflettingarnar tengst eðlilegum störfum læknisins vegna lyfjaávísunar. Persónuvernd hefur ekki forsendur til að endurskoða framangreint mat eftirlitsnefndarinnar á því hvenær meðferðarsamband hefur skapast og hvenær aðgangur að sjúkraskrárupplýsingum er nauðsynlegur í þágu meðferðar. Takmarkast eftirlit stofnunarinnar því við skoðun á því hvort sú vinnsla persónuupplýsinga, sem felst í uppflettingu í sjúkraskrá, hefur verið í samræmi við skilyrði persónuverndarlaga, þ.m.t. hvort uppflettingin telst hafa verið nauðsynleg í þágu skýrt tilgreinds tilgangs í ljósi skýringa ábyrgðaraðila. Eins og hér háttar til liggur ekkert annað fyrir en að uppflettingar læknisins í sjúkraskrá kvartanda dagana 20. ágúst 2019, 28. apríl 2020 og 2. maí 2021 hafi verið liður í að veita kvartanda heilbrigðisþjónustu og að hann hafi þurft á sjúkraskrárupplýsingum kvartanda að halda vegna meðferðarinnar.

23. Það er því mat Persónuverndar að ekki liggi fyrir annað en að framangreindar uppflettingar [B] í sjúkraskrá kvartanda hafi verið heimilar, sbr. 13. gr. laga nr. 55/2009, og vinnslan því í samræmi við 3. tölul. 1. mgr. 9. gr. og 8. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. og h-lið 2. mgr. 9. gr. reglugerðar (ESB) 2016/679, og jafnframt telst Landspítalinn ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem í þeim fólst, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

24. Hvað varðar aðrar uppflettingar í sjúkraskrá kvartanda, þ.e. dagana 19. október 2017, 18. maí 2018, 6. maí 2019, 17. júní 2019 og 14. og 15. september 2020, var það niðurstaða eftirlitsnefndar um rafræna sjúkraskrá að uppflettingar hefðu ýmist ekki átt sér stað á Landspítala eða að ekki hefði tekist að rekja hvaða erindi læknirinn átti í sjúkraskrá kvartanda umrædd skipti. Verður [B] því talinn bera ábyrgð á þeirri vinnslu persónuupplýsinga sem fólst í uppflettingum í sjúkraskrá kvartanda á framangreindum dagsetningum, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679, sbr. 4. tölul. 2. gr. eldri laga nr. 77/2000.

25. Í skýringum sínum til Persónuverndar hefur [B] byggt á því að allar uppflettingar hans í sjúkraskrá kvartanda hafi verið nauðsynlegar vegna margra ára óformlegs meðferðarsambands hans við kvartanda á þeim tíma er þeir tengdust fjölskylduböndum. Af því tilefni vísaði hann til skjáskota af samskiptum þeirra á tímabilinu um læknisfræðilega ráðgjöf og þjónustu, sem og samskipta við dóttur sína í þágu ráðgjafar og þjónustu við kvartanda.

26. Með hliðsjón af skýringum [B] og fyrirliggjandi gögnum telur Persónuvernd óumdeilt að [B] hafi í einhverjum tilvikum veitt kvartanda læknisfræðilega ráðgjöf og þjónustu. Gögn málsins sýna hins vegar ekki með óyggjandi hætti að [B] hafi komið að meðferð kvartanda á þeim tíma sem umræddar uppflettingar fóru fram eða að honum hafi verið nauðsynlegur aðgangur að sjúkraskrárupplýsingum kvartanda umrædd skipti, sbr. 13. gr. laga nr. 55/2009. Jafnframt liggur ekki fyrir að kvartandi hafi veitt skýrt og afdráttarlaust samþykki sitt fyrir slíkri vinnslu persónuupplýsinga af hálfu [B] á þeim tíma sem uppflettingarnar fóru fram.

27. Með vísan til framangreinds er það mat Persónuverndar að [B] hafi ekki sýnt fram á að uppflettingar í sjúkraskrá kvartanda umrædd skipti hafi stuðst við viðeigandi vinnsluheimild, samkvæmt 9. gr. og 11. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. og 2. mgr. 9. gr. reglugerðar (ESB) 2016/679, sbr. samsvarandi ákvæði 8. og 9. gr. laga nr. 77/2000, sbr. einnig 2. mgr. 8. gr. laga nr. 90/2018 og 2. mgr. 5. gr. reglugerðarinnar. Er í þessu sambandi áréttað að það heyrir undir ábyrgðarskyldu ábyrgðaraðila að vinnslu persónuupplýsinga að sýna fram á að farið sé að persónuverndarlögum, eftir atvikum með skjalfestingu, líkt og rakið er í efnisgrein 20 hér að framan.

28. Þegar af þeirri ástæðu er það niðurstaða Persónuverndar að sú vinnsla persónuupplýsinga, sem fólst í uppflettingum [B] í sjúkraskrá kvartanda dagana 19. október 2017, 18. maí 2018, 6. maí 2019, 17. júní 2019, 14. og 15. september 2020, hafi ekki samrýmst lögum nr. 90/2018 og reglugerð (ESB) 2016/679, og lögum nr. 70/2000, eftir því sem við á.

Ákvörðun um beitingu valdheimilda

29. Persónuvernd getur veitt ábyrgðaraðila eða vinnsluaðila áminningu ef vinnsluaðgerðir hafa brotið í bága við reglugerð (ESB) 2016/679, sbr. 2. tölul. 42. gr. laga nr. 90/2018, og lagt stjórnvaldssektir á þá sem brjóta, af ásetningi eða gáleysi, gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 1. og 5. mgr. þeirrar lagagreinar. Samkvæmt 1. og 2. tölul. 3. mgr. 46. gr. eru þar á meðal ákvæði um grundvallarreglur vinnslu, meðal annars samkvæmt 1. mgr. 5. gr., 1. mgr. 6. gr. og 2. mgr. 9. gr. reglugerðarinnar.

30. Að virtum þeim sjónarmiðum sem tilgreind eru í 1. mgr. 47. gr. laga nr. 90/2018, og að gættum öðrum lögmæltum sjónarmiðum og málsatvikum í heild, og þá sérstaklega þegar litið er til þess að [B] veitti kvartanda sannanlega í einhverjum tilvikum læknisfræðilega ráðgjöf og þjónustu að hans beiðni, svo og að teknu tilliti til reglna um meðalhóf, sbr. 1. mgr. 83. gr. reglugerðar (ESB) 2016/679 og 12. gr. stjórnsýslulaga nr. 37/1993, þykja ekki efni til að veita [B] áminningu eða leggja á hann stjórnvaldssekt vegna þeirra brota sem rakin eru í efnisgreinum 27-28.

Ú r s k u r ð a r o r ð:

Vinnsla Landspítala á persónuupplýsingum [A], sem fólst í uppflettingum [B] í sjúkraskrá hans dagana 20. ágúst 2019, 28. apríl 2020 og 2. maí 2021, var í samræmi við ákvæði laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsingar.

Vinnsla [B] á persónuupplýsingum [A], sem fólst í uppflettingum í sjúkraskrá hans dagana 19. október 2017, 18. maí 2018, 6. maí 2019, 17. júní 2019 og 14. og 15. september 2020, samrýmdist ekki ákvæðum 9. gr. og 11. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 1. mgr. 6. gr. og 9. gr. reglugerðar (ESB) 2016/679, sbr. eftir atvikum ákvæðum 8. og 9. gr. þágildandi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Persónuvernd, 27. May 2026

Edda Þuríður Hauksdóttir Inga Amal Hasan