Persónuverndarstefna vegna einstaklinga sem eiga samskipti við stofnunina
Samkvæmt lögum 112/2008 annast Sjúkratryggingar Íslands (SÍ) alla framkvæmd sjúkratrygginga á Íslandi sem felst m.a. í að semja um og kaupa heilbrigðisþjónustu og að greiða endurgjald fyrir þá heilbrigðisþjónustu sem veita ber skv. lögum um heilbrigðisþjónustu nr. 40/2007 svo og öðrum lögum eftir því sem við á hverju sinni. Vegna þessarar starfsemi eru SÍ nauðsynlegar margþættar upplýsingar þ. á m. persónuupplýsingar. SÍ kappkosta að tryggja vernd persónuupplýsinga og að öll vinnsla þeirra sé í samræmi við gildandi lög og reglur. Persónuverndarstefna SÍ tekur til söfnunar og vinnslu persónuupplýsinga í samskiptum stofnunarinnar við þá einstaklinga sem til hennar leita. Tilgangurinn með persónuverndarstefnu þessari er að upplýsa einstaklinga um hvaða persónuupplýsingum er safnað, hvernig þeim er safnað og hvers vegna og hvernig þær eru meðhöndlaðar. Persónuverndarstefnan byggir á lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Hvaða persónuupplýsingum safna Sjúkratryggingar Íslands
Persónuupplýsingar eru sérhverjar upplýsingar um persónugreindan eða persónugreinanlegan einstakling; einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.
Vinnsla persónuupplýsinga vísar til aðgerðar eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki. Vinnsla tekur til öflunar upplýsinga, notkunar þeirra, afritunar og afhendingu til Þjóðskjalasafns Íslands sem varðveitir gögn opinberra aðila.
SÍ safna ýmsum tegundum persónuupplýsinga um einstaklinga sem til hennar leita og umboðsmenn þeirra, hafi einstaklingur falið öðrum að eiga samskipti við stofnunina. Vinnsla persónuupplýsinga getur t.a.m. varðað:
námsstaðfestingar og upplýsingar varðandi fæðingarorlof,
sjúkratryggingarstaða og evrópskt sjúkratryggingarkort,
upplýsingar um fyrri tryggingarlönd og tryggingarstofnanir,
upplýsingar um kyn, hjúskaparstöðu og ríkisfang,
upplýsingar um forsjá,
dvalarleyfi, dánarvottorð,
upplýsingar um ferðir, kostnað og uppihald,
nöfn og kennitölur,
netföng og símanúmer,
heimilisföng og upplýsingar um búferlaflutninga,
tengiliðaupplýsingar,
afrit af vegabréfi,
margs konar gögn í tengslum við atvinnu, stöðu á vinnumarkaði og vinnutímabil, svo sem
staðfestingar og ráðningarsamningar,
reikningsupplýsingar,
fjárhagsupplýsingar, svo sem upplýsingar um laun, sjúkradagpeninga, lífeyrisgreiðslur og
vátryggingagreiðslur frá öðrum,lögregluskýrslur,
margvíslegar heilsufarsupplýsingar, svo sem hvers kyns vottorð og staðfestingar
heilbrigðisstarfsmanna, upplýsingar um komur til lækna, tannlækna og annarra heilbrigðisstarfsmanna og meðferðir hjá þeim, upplýsingar um sjúkdómsgreiningar og niðurstöður rannsókna, sjúkraskrár, örorkumöt og annars konar heilsufarsmöt, innlagnir og dvöl á sjúkrastofnunum og hjúkrunarheimilum, upplýsingar um slys, tegund heilbrigðisþjónustu sem óskað er greiðslna fyrir, upplýsingar um lyfjanotkunreikningar fyrir heilbrigðisþjónustu, hér á landi og erlendis, og kvittanir fyrir greiðslu,
upplýsingar um hjálpartæki sem sótt er um og samþykkt eru,
aðrar viðkvæmar persónuupplýsingar, t.d. upplýsingar um kynþátt, þjóðernislegan uppruna,
stjórnmálaskoðanir, trúarbrögð, lífsskoðun eða aðild að stéttarfélagi, upplýsingar um kynlíf eða kynhneigð, erfðafræðilegar upplýsingar og lífkennaupplýsingar, sé vinnsla slíkra upplýsinga nauðsynleg vegna málefna sem stofnunin sinnir.
Upplýsingarnar geta í sumum tilvikum varðað maka og börn einstaklings sem leitar til stofnunarinnar.
Upplýsingar geta varðað aðstæður bæði hér á landi og erlendis.
Hvaðan koma persónuupplýsingarnar?
Stofnunin fær persónuupplýsingar beint frá einstaklingum. Dæmi um slíka upplýsingasöfnun er
þegar einstaklingar hafa samband við SÍ vegna umsókna um réttindi,
þegar einstaklingar láta upplýsingar í té í tengslum við afgreiðslu erinda frá þeim.
Þrátt fyrir að einstaklingur láti stofnuninni í té talsverðar upplýsingar hefur stofnunin í mörgum tilfellum lagaskyldu til að afla frekari upplýsinga.
Stundum eru fyrirliggjandi upplýsingar hjá stofnuninni vegna afgreiðslu fyrri erinda frá einstaklingi. Í öðrum tilvikum koma persónuupplýsingarnar frá þriðja aðila, einkum lyfjaverslunum, þjóðskrá, heilbrigðisstofnunum, heilbrigðisstarfsmönnum, vinnuveitendum, lífeyrissjóðum, sýslumannsembættum, Tryggingastofnun ríkisins, Atvinnuleysistryggingasjóði, Vinnumálastofnun og frá sambærilegum stofnunum erlendis. Öflun upplýsinga frá öllum þessum aðilum byggir á sérstökum lagaheimildum stofnunarinnar.
Í hvaða tilgangi vinna Sjúkratryggingar Íslands með persónuupplýsingar?
SÍ nota persónuupplýsingar til að afgreiða umsóknir einstaklinga um réttindi er stofnunin ákvarðar, meðal annars:
til þess að auðkenna og hafa samband við einstaklinga og umboðsmenn þeirra. Vinnsla þessi er nauðsynlegur þáttur í að stofnunin geti sinnt lögbundnu hlutverki sínu við að afgreiða umsóknir einstaklinga um fyrirgreiðslu.
til þess að framfylgja lögbundnu hlutverki sínu við að afla upplýsinga áður en erindi einstaklinga eru afgreidd. Vinnsla þessi er nauðsynlegur þáttur í að stofnunin geti sinnt lögbundnu hlutverki sínu við að afgreiða umsóknir einstaklinga.
til þess að framfylgja lögbundnu hlutverki sínu við að afgreiða umsóknir einstaklinga og inna af hendi greiðslur til einstaklinga eða umboðsmanna þeirra vegna þeirra réttinda er stofnunin ákvarðar.
til að viðhalda skrá yfir samskipti við einstaklinga sem leita til stofnunarinnar og fylgjast með framgangi í vinnslu á erindum þeirra. Vinnsla þessi er nauðsynlegur þáttur í að stofnunin geti sinnt lögbundnu hlutverki sínu við að afgreiða umsóknir einstaklinga um fyrirgreiðslu.
vegna eftirlitshlutverks stofnunarinnar
Þegar einstaklingar eða umboðsmenn þeirra hafa samband við SÍ í gegnum vefsíðu stofnunarinnar eða með tölvupósti er litið svo á að þeir samþykki þar með skráningu og notkun SÍ á persónuupplýsingum þeim sem fram koma í viðkomandi samskiptum.
Hvernig varðveitir SÍ persónuupplýsingar?
SÍ varðveita persónuupplýsingar á öruggan hátt og í samræmi við gildandi lög og reglur. Gerðar hafa verið tæknilegar og skipulagslegar ráðstafanir til að verja persónuupplýsingar einstaklinga gegn t.d. eyðingu og óheimilum aðgangi. Þess er meðal annars gætt með aðgangsstýringum að aðeins þeir starfsmenn SÍ sem á þurfa að halda hafi aðgang að málum einstaklinga. SÍ varðveitir persónuupplýsingar um einstaklinga aldrei utan EES-svæðisins.
SÍ varðveitir persónuupplýsingar um einstaklinga eins lengi og nauðsynlegt er til að uppfylla fyrirmæli laga nr. 77/2014 um opinber skjalasöfn. Bókhaldsgögn í tengslum við fyrirgreiðslu SÍ til einstaklinga eru varðveitt í samræmi við lög um bókhald nr. 145/1994, en samkvæmt þeim ber að varðveita bókhaldsgögn í sjö ár frá lokum viðkomandi reikningsárs.
Viðtakendur persónuupplýsinga
SÍ miðla ekki persónuupplýsingum um einstaklinga til þriðja aðila nema til þess að uppfylla lagaskyldu. SÍ kunna að miðla persónuupplýsingum um einstaklinga eða umboðsmenn þeirra til þjónustuaðila
sinna, t.d. þeirra sem reka hugbúnaðarkerfin sem notuð eru hjá stofnuninni. Þjónustuaðilar þessir eru bundnir trúnaði.
SÍ miðla ekki persónuupplýsingum til þriðja aðila sem staðsettur er utan EES-svæðisins nema hafa til þess heimild á grundvelli gildandi persónuverndarlaga og -reglna.
SÍ kann að vera skylt að afhenda löggæsluyfirvöldum og öðrum bærum þriðja aðila persónuupplýsingar um einstaklinga vegna réttarkrafna eða samkvæmt fyrirmælum í lögum.
Réttindi skráðra einstaklinga
Einstaklingar og umboðsmenn þeirra eiga rétt á að fá upplýsingar um og aðgang að persónuupplýsingum sem SÍ hafa undir höndum um viðkomandi einstakling. Þeir eiga einnig rétt á í ákveðnum tilvikum að óska eftir að láta leiðrétta, eyða eða takmarka vinnslu persónuupplýsinga um sig eða andmæla slíkri vinnslu. Framangreindum réttindum kunna þó að vera sett takmörk í gildandi lögum og reglum.
Einstaklingar eiga rétt á upplýsingum um uppruna persónuupplýsinga sem ekki er aflað frá þeim sjálfum.
Vilji einstaklingar fá nánari upplýsingar um eða nýta framangreind réttindi er þeim bent á að hafa samband við persónuverndarfulltrúa SÍ, personuvernd@sjukra.is eða í síma 515-0000.
Einstaklingar eiga rétt á að leggja fram kvörtun hjá lögbæru eftirlitsyfirvaldi, Persónuvernd, ef þeir telja að SÍ hafi ekki virt réttindi þeirra við meðferð á persónuupplýsingum.
Breytingar
SÍ áskilja sér rétt til að breyta persónuverndarstefnu þessari eftir því sem þurfa þykir. SÍ munu vekja athygli á því ef efnislegar breytingar verða á persónuverndarstefnu þessari. Nýjasta útgáfa persónuverndarstefnunnar er birt á vefsíðu SÍ hverju sinni.
Persónuverndarstefna þessi var sett 25. júní 2019 og uppfærð 11. mars 2020.
Þjónustuaðili
Sjúkratryggingar