Vinnsla persónuupplýsinga hjá VIRK - starfsendurhæfingarsjóði
Úrskurður
Á fundi stjórnar Persónuverndar þann 22. júní 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2015/1283:
I.
Málsmeðferð
1.
Kvörtun
Þann 2. október 2015 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi), vegna eyðublaðs VIRK starfsendurhæfingarsjóðs (hér eftir VIRK) um upplýst samþykki fyrir vinnslu persónuupplýsinga. Í kvörtuninni segir m.a. að samþykkiseyðublaðið fjalli ekki um upplýst samþykki heldur feli í raun í sér kröfu um þvingað samþykki. Þannig myndi einstaklingur líklega ekki frá þjónustu frá VIRK nema samþykkja alla liði eyðublaðsins umyrðalaust.
Þá segir í kvörtuninni að samkvæmt lið 2b á eyðublaðinu (útg. 3.0 frá 9. júní 2016) gætu ráðgjafar og sérfræðingar á vegum VIRK þarfnast upplýsinga/gagna frá læknum og öðru heilbrigðisstarfsfólki, s.s. vottorða, skýrslna, niðurstaðna úr mati og rannsóknum. Telur kvartandi að náms- og starfsráðgjafar á vegum VIRK ættu ekki að hafa aðgang að sjúkraskrárupplýsingum. Hún telur orðalag samþykkiseyðublaðsins of víðtækt að þessu leyti þar sem það gefur öllum starfsmönnum óheftan aðgang að upplýsingum í sjúkraskrá viðskiptavina en kvartandi telur að slíkt ætti einungis að vera á færi sérfræðilækna.
Loks segir í kvörtun að fyrrnefnt samþykkiseyðublað og þá sérstaklega 4. gr. þess, hafi verið breytt frá eldri samþykkiseyðublöðum VIRK og að allir fyrirvarar um miðlun upplýsinga um starfsendurhæfingaráætlun eða -ferli til þriðju aðila, s.s. lífeyrissjóða, Tryggingastofnunar ríkisins og lækna, felldir brott. Telur kvartandi miðlun viðkvæmra persónuupplýsinga, sem umrætt eyðublaðið geti heimilað til tiltekinna þriðju aðila, vera of víðtæka.
Með tölvubréfi, dags. 31. október 2016, kom kvartandi á framfæri viðbótarathugasemdum vegna kvörtunarinnar um að læknum væri óheimilt að fletta upp í sjúkraskrám nema þeir hafi sjúkling til meðferðar. Telur kvartandi að læknar sem starfa í verktöku á matssviði VIRK hafi sjúklinga ekki til meðferðar og sé því óheimilt að afla upplýsinga úr sjúkraskrám sjúklinga, jafnvel þó þeir hafi heimild til þess sem starfandi heimilislæknar á heilsugæslustöðvum.
2.
Bréfaskipti
Með bréfi, dags. 17. nóvember 2015, var VIRK tilkynnt um kvörtunina og boðið að koma á framfæri skýringum vegna hennar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Var þess sérstaklega óskað að fram kæmi hvort vinnsla persónuupplýsinga um kvartanda hefði farið fram á grundvelli upplýsts samþykkis hennar og ef svo væri, að stofnuninni bærist afrit af samþykkisyfirlýsingu kvartanda. Einnig óskaði Persónuvernd að upplýst yrði um á grundvelli hvaða heimildar í 8. og 9. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, umrædd vinnsla byggðist, hvaða upplýsingar VIRK teldi nauðsynlegt að afla um kvartanda og hvernig sú upplýsingaöflun samrýmdist 7. gr. fyrrnefndra laga og loks hvort viðkvæmum persónuupplýsingum væri miðlað til þriðja aðila sem og á hvaða heimild í 8. og. 9. gr. laganna slík miðlun byggði.
Svarbréf VIRK, dags. 11. desember 2015, barst Persónuvernd þann 16. s.m. Bréfinu fylgdi afrit að upplýstu samþykki kvartanda, dags. 29. september 2015. Í bréfinu segir að sjóðurinn starfi samkvæmt lögum nr. 60/2012 um atvinnutengda starfsendurhæfingu og starfsemi endurhæfingarsjóða. Í 12. gr. laganna segi að starfsmenn sem komi að ráðgjöf og gerð einstaklingsbundinna áætlana, sem og fagaðilar sem starfi á vegum sjóðsins sem eru bundnir trúnaðarskyldu samkvæmt öðrum lögum, skuli hafa aðgang að nauðsynlegum upplýsingum í upplýsingaskrá sjóðsins. Lögbundinni þjónustu VIRK verði ekki sinnt nema nauðsynlegar upplýsingar fari á milli sjóðsins og annarra aðila sem koma að þjónustunni. Ella gæti þjónustan ekki orðið markviss og árangursrík þar sem starfsendurhæfing byggir á því að ólíkir fagaðilar vinni saman til að leita möguleika og lausna fyrir sérhvern einstakling.
Þá vísaði VIRK til úrskurðar Persónuverndar frá 25. janúar 2012 í máli nr. 2012/1074. Niðurstaða hans var á þá leið að vinnsla persónuupplýsinga í starfsemi VIRK væri heimil á grundvelli 3. tölul. 1. mgr. 8. gr. og 5. tölul. 1. mgr. 9. gr. laga nr. 77/2000 þar sem hún byggði á lagaskyldu og væri framkvæmd af samtökum sem hefði stéttarfélagslegt markmið. Telur VIRK forsendur úrskurðarins að öllu leyti eiga við í umræddu máli. Þrátt fyrir að vinnslan eigi stoð í fyrrnefndum ákvæðum að mati VIRK telur sjóðurinn eðlilegt í starfsemi sinni að afla einnig upplýsts samþykkis einstaklinga og er sama samþykkiseyðublað lagt fyrir alla einstaklinga sem leita til sjóðsins um þjónustu. Byggir VIRK heimild sína til vinnslu þar af leiðandi einnig á 1. tölul. 8. gr. og 9. gr. laga nr. 77/2000. Að mati sjóðsins er ómögulegt fyrir ráðgjafa hans að átta sig á þörfum tiltekins einstaklings í upphafi þjónustu og tekur eyðublaðið mið af því.
Varðandi vinnslu persónuupplýsinga um kvartanda segir í bréfi VIRK að kvartandi hafi óskað eftir þjónustu sjóðsins í ágúst 2015. Í kjölfarið var henni kynnt samþykkiseyðublað sjóðsins og óskað eftir samþykki hennar til vinnslu persónuupplýsinga sem nauðsynlegt væri til að veita þjónustuna Ritaði kvartandi undir eyðublaðið með fyrirvara um að eyðublaðið, og þá sérstaklega 4. gr. þess, stæðist lög nr. 77/2000. Engu að síður tók kvartandi fram í samskiptum sínum við sjóðinn að hún vonaðist til að fyrirvarinn gerði samþykki hennar ekki ógilt. Taldi VIRK því óhætt að veita þjónustu í samráði við kvartanda um framgang málsins og öflun upplýsinga. Þá segir að vinnsla persónuupplýsinga kvartanda hafi aðeins farið fram að því marki sem nauðsynlegt teldist og samþykkis hennar aflað fyrir sérhverri vinnslu. Um tilgang vinnslunnar segir að hann sé að hafa upplýsingar um þann heilsubrest sem væri ástæða óvinnufærni kvartanda. Til að veita kvartanda þjónustu við hæfi sé nauðsynlegt að afla upplýsinga frá aðilum sem kvartandi hefur leitað til áður, þ.e. um sögu kvartanda er og hvaða úrræði hafi þegar verið reynd. Slík gögn eru rýnd í kjölfarið af læknum og eftir aðstæðum sálfræðingi VIRK og kvartanda boðin þjónusta sérfræðinga sjóðsins sem talin er gagnast henni. Gagna um árangur meðferðar er aðeins aflað frá sérfræðingum VIRK að því marki sem slíkt er nauðsynlegt að mati lækna eða sérfræðinga og er aðgangur að gögnum takmarkaður við þá sem nauðsynlega þurfa slíkan aðgang vegna veitingu þjónustunnar.
Varðandi miðlun persónuupplýsinga um kvartanda segir í bréfi VIRK að ekki sé fyrirhugað að miðla upplýsingum um kvartanda til þriðja aðila nema fagaðila á vegum VIRK sem koma að veitingu starfsendurhæfingarþjónustu hennar. Aðkoma þriðju aðila að starfsendurhæfingu ræðst ekki fyrr en nokkuð er liðið á starfsendurhæfingarferli einstaklings og því er tekið fram á samþykkiseyðublaði að tilteknir aðilar geti fengið upplýsingar um starfsendurhæfingu en slíkt miðlun fer ekki fram í öllum málum og eru einstaklinga upplýstir um hana þegar til hennar kemur.
Loks kemur fram í bréfi VIRK að upplýsingar um kvartanda séu ekki aðgengilegar öllum starfsmönnum sjóðsins, óháð stöðu þeirra, eins og kvartandi heldur fram í kvörtun sinni. Einungis ráðgjafar á vegum VIRK þurfa aðgang að viðeigandi upplýsingum um einstakling eins og fram kemur á samþykkiseyðublaði, þ.e. þeir fagaðilar sem aðstoða einstakling í starfsendurhæfingu sbr. a-lið 1. mgr. og 3. mgr. 10. gr. laga nr. 60/2012 og 12. gr. sömu laga.
Með bréfi, dags. 22. desember 2015, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar VIRK til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf kvartanda, dags. 4. janúar 2016, barst Persónuvernd þann 11 s.m. Þar segir m.a. að þar sem lögmaður VIRK hafi kosið að snúa almennri kvörtun yfir tilteknum atriðum í samþykkiseyðublaði sjóðsins yfir á kvartanda persónulega vísi kvartandi í persónulega reynslu sína af þjónustunni í bréfinu. Kvartandi hafi upplýst tiltekinn sérfræðilækni VIRK um að utanaðkomandi sérfræðilæknir, sem kvartandi hefði leitað til, gæti gefið upplýsingar um hana í símtali eða með vottorði. Óskaði sérfræðilæknir VIRK eftir upplýsingum um kvartanda frá hinum síðarnefnda lækni með tölvupósti. Kvartandi telur miðlun viðkvæmra persónuupplýsinga með tölvupósti vera óörugga. Kvartandi lýsir samskiptum sínum við tiltekna lækna og samskiptum sérfræðilæknis VIRK við utanaðkomandi fagðila nánar en ekki er ástæða til að rekja þau samskipti frekar en það er skoðun kvartanda að þagnarskylda sé ekki í hávegum höfð hjá starfsmönnum VIRK. Þá ítrekar kvartandi að hún telji vafasamt að veita einkafyrirtæki, í eigu lífeyrissjóða, stéttarfélaga og atvinnurekenda, óheftan aðgang að sjúkraskrárupplýsingum og óheft leyfi til miðlunar slíkra upplýsinga til fjölda aðila. Óskar kvartandi eftir áliti Persónuverndar á því hvort samþykkiseyðublað VIRK sem jafnframt er umsóknareyðublað um þjónustu VIRK standist lög um sjúkraskrár og persónuvernd.
Með bréfi, dags. 7. mars 2016, var VIRK boðið að tjá sig um framkomin svör kvartanda. Í svarbréfi VIRK, dags. 22. mars 2016 segir m.a. að starfsemi VIRK falli utan gildissviðs laga nr. 55/2009 um sjúkraskrár þar sem sjóðurinn veiti ekki heilbrigðisþjónustu og haldi ekki sjúkraskrár. Þá hafi VIRK ekki aðgang að sjúkraskrám heilbrigðiskerfisins heldur kallar, ef nauðsyn krefur, eftir upplýsingum frá umsjónar- og ábyrgðaraðila sjúkraskrár. Þjónusta VIRK á sviði atvinnutengdrar starfsendurhæfingar grundvallist á lögum nr. 60/2012 og nauðsynlegra gagna í þágu starfseminnar sé aflað á grundvelli upplýsts samþykkis einstaklinga. Athugasemdir við umrædda samþykkisyfirlýsingu valdi því ekki að einstaklingum sé neitað um þjónustu heldur er leitast eftir að koma til móts við slíkar athugasemdir. Þá ítrekaði VIRK vísun sína til þeirra heimilda í 8. og 9. gr. laga nr. 77/2000 sem starfsemin byggir á og Persónuvernd hefði áður úrskurðað um. Lög nr. 60/2012 geri ekki þá kröfu að vinnsla viðkvæmra persónuupplýsinga sé einungis á hendi lækna eða annarra heilbrigðisstarfsmanna en þrátt fyrir það leitist VIRK eftir því að heilbrigðisupplýsingar séu fyrst og fremst, að eins miklu leyti og unnt er, meðhöndluð af menntuðum heilbrigðisstarfsmönnum, lækni og læknaritara VIRK. Þá er ítrekað að aðgangur starfsmanna sé ekki óheftur og að lagaákvæðum sem kveða á um meðalhóf sé fylgt í hvívetna.
II.
Forsendur og niðurstaða
1.
Afmörkun kvörtunarefnis
Samkvæmt 2. mgr. 22. gr. laga um sjúkraskrár nr. 55/2009 hefur Landlæknir eftirlit með því að ákvæði laganna séu virt. Samkvæmt 3. mgr. sama ákvæðis hefur Persónuvernd eftirlit með öryggi og vinnslu persónuupplýsinga í sjúkraskrám í samræmi við lög um persónuvernd og meðferð persónuupplýsinga. Úrlausn ágreinings um aðgang einstakra heilbrigðisstarfsmanna að sjúkraskrá, þ.e. hverjir þarfnist hans vegna meðferðar, og hvort heilbrigðisstarfsmenn hafi gerst brotlegir við ákvæði laga um þagnarskyldu heyrir undir Landlækni og verður ekki tekin afstaða til þess.
Athugasemdir kvartanda sem lúta að framkvæmd starfsendurhæfingar kvartanda og starfsendurhæfingarferli hennar hjá VIRK, m.a. hvort sálfræðingi VIRK bæri að taka viðtal við kvartanda eða hvort nægilegt væri að afhenda vottorð frá utanaðkomandi sérfræðingi sem og athugasemdum er lúta að orðalagi og almennri upplýsingagjöf lögmanns VIRKS til kvartanda falla ekki innan gildissviðs laga nr. 77/2000, sbr. 3. gr. þeirra, og verður ekki tekin afstaða til þeirra.
Eftir stendur hvort vinnsla persónuupplýsinga um kvartanda á grundvelli upplýsts samþykkis hennar og miðlun persónuupplýsinga um kvartanda til þriðju aðila hafi samrýmst lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst VIRK starfsendurhæfingarsjóður vera ábyrgðaraðili að umræddri vinnslu.
Af framangreindu er ljóst að umrætt eyðublað, sem lagt var fyrir kvartanda þegar hún óskaði eftir þjónustu VIRK, lýtur að vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 77/2000.
2.
Lögmæti vinnslu
Svo að vinna megi með persónuupplýsingar þarf ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Þegar um ræðir viðkvæmar persónuupplýsingar þarf að auki að vera fullnægt einhverju viðbótarskilyrðanna í 9. gr. sömu laga. Upplýsingar um heilsuhagi eru viðkvæmar, sbr. b-lið 8. tölul. 2. gr. laganna.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Persónuvernd hefur áður úrskurðað í máli varðandi kvörtun yfir vinnslu persónuupplýsinga hjá VIRK starfsendurhæfingarsjóði sem beindist að því að í samþykkisyfirlýsingu fælist of víðtækt umboð til upplýsingavinnslu, sbr. úrskurð í máli nr. 2012/1074 frá 25. janúar 2012. Starfsemi starfsendurhæfingarsjóða er lögbundin, sbr. lög nr. 60/2012 um atvinnutengda starfsendurhæfingu og starfsemi starfsendurhæfingarsjóða. Þegar vinna þarf með persónuupplýsingar til að fara að þeim lögum getur vinnslan stuðst við 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000, þess efnis að vinnsla sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu. Líta ber til 3. mgr. 10. gr. laga nr. 60/2012 í því sambandi, en þar segir að þegar einstaklingur, sem tryggður er samkvæmt lögunum, hefur þörf fyrir þjónustu annarra þjónustukerfa á vegum ríkis og sveitarfélaga til að bæta starfsgetu sína skuli ráðgjafar starfsendurhæfingarsjóða leita eftir samstarfi við hlutaðeigandi þjónustuaðila í samráði við viðkomandi einstakling. Í ljósi þessa telur Persónuvernd umrædda vinnslu geta fallið undir framangreint ákvæði 8. gr. laga nr. 77/2000.
Samkvæmt 1. mgr. 13. gr. laga nr. 60/2012 skal starfsendurhæfingarsjóður starfa sem sjálfseignarstofnun sem stofnuð er af félögum á vegum einstaklinga eða samtaka á vinnumarkaði. Um aðild einstaklinga að starfsendurhæfingarsjóði fer eftir 2. mgr. 4. gr. laga nr. 60/2012 og er meginreglan sú að um hana fari eftir þeim kjarasamningi sem ákvarðar lágmarkskjör í viðkomandi starfsgrein. Í 5. tölul. 1. mgr. 9. gr. laga nr. 77/2000 er mælt fyrir um að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún framkvæmd af samtökum sem hafa stéttarfélagsleg markmið eða af öðrum samtökum sem ekki starfa í hagnaðarskyni, enda sé vinnslan liður í lögmætri starfsemi samtakanna og taki aðeins til félagsmanna þeirra eða einstaklinga sem samkvæmt markmiðum samtakanna eru, eða hafa verið, í reglubundnum tengslum við þau. Þegar litið er til framangreindra ákvæða laga nr. 60/2012 telur Persónuvernd vinnslu viðkvæmra persónuupplýsinga á vegum VIRK geta stuðst við þessa heimild.
Í 12. gr. laga nr. 55/2009 er mælt fyrir um að aðgangur að sjúkraskrám sé óheimill nema til hans standi lagaheimild samkvæmt ákvæðum þeirra laga eða öðrum lögum. Líta verður svo á að 9. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga sé lagaheimild í skilningi 12. gr. laga nr. 55/2009, um sjúkraskrár, enda hafi 9. gr. að geyma sérstaka lagaheimild sem ætlað er að marka heimildum til vinnslu viðkvæmra persónuupplýsinga almennan ramma, þ. á m. um sjúkraskrárupplýsingar. Í ljósi framangreinds og með hliðsjón af því að kvartandi hefur veitt upplýst samþykki fyrir vinnslu viðkvæmra persónuupplýsinga í þeim tilgangi að veita henni starfstengda endurhæfingu hjá VIRK sbr. 1. tölul. gr. laga nr. 77/2000, telst ákvæðið fela í sér slíka heimild sem fjallað er um í 12. gr. laga um sjúkraskrár.
Auk þess sem vinnsla persónuupplýsinga þarf að styðjast við heimild samkvæmt 8. og, eftir atvikum 9. gr., laga nr. 77/2000 þarf hún m.a. að samrýmast grunnkröfum 7. gr. laganna um sanngirni og meðalhóf. Í svarbréfum VIRK hefur komið fram að vinnsla persónuupplýsinga kvartanda hafi aðeins farið fram að því marki sem nauðsynlegt er svo unnt sé að veita þá lögbundnu þjónustu um atvinnubundna starfsendurhæfingu sem kvartandi óskaði eftir í þeim tilgangi að gera þjónustuna markvissa og árangursríka. Þá sé meðalhófs gætt við alla vinnslu og upplýsingum ekki miðlað til þriðju aðila nema þörf sé á slíku. Að mati Persónuverndar fór sú vinnsla persónuupplýsinga sem hér um ræðir fram í sanngjörnum og málefnalegum tilgangi og samrýmist því að öðru leyti 7. gr. laga nr. 77/2000.
Í ljósi framangreinds liggur ekki fyrir að vinnsla á grundvelli framangreindrar yfirlýsingar kvartanda brjóti gegn þeim kröfum né heldur öðrum kröfum sem leiddar verða af lögum. Þegar litið er til þess og alls framangreinds telur Persónuvernd umrædda vinnslu persónuupplýsinga samrýmast lögum nr. 77/2000.
3.
Miðlun persónuupplýsinga
Tekið er fram í ákvæði 5. tölul. 1. mgr. 9. gr. laga nr. 77/2000 að persónuupplýsingum, sem unnið er með á grundvelli þess, megi ekki miðla áfram án samþykkis hins skráða. Svo að samþykki teljist gilt verður einstaklingur að hafa veitt það sjálfviljugur. Þegar yfirlýsing um að upplýsingum megi miðla áfram er gerð að skilyrði fyrir tiltekinni þjónustu er því sérstakt álitaefni hvort um samþykki í skilningi þessa ákvæðis sé að ræða. Í því sambandi skiptir máli hvort um sé að ræða óhjákvæmilegan þátt í þjónustunni, þ.e. ekki sé unnt að veita hana nema miðlunin eigi sér stað. Þegar svo háttar til getur yfirlýsing talist fela í sér samþykki samkvæmt umræddu ákvæði. Við mat á því hvort þetta geti átt við um eyðublað með yfirlýsingu um samþykki fyrir vinnslu persónuupplýsinga hjá VIRK ber að líta til þess fyrirkomulags við starfsendurhæfingu sem lög gera ráð fyrir, sbr. m.a. fyrrgreint ákvæði 2. mgr. 10. gr. laga nr. 60/2012 um samstarf við aðila í öðrum þjónustukerfum. Í almennum athugasemdum í greinargerð með því frumvarpi, sem varð að þeim lögum, segir:
Af framangreindu verður ráðin sú afstaða löggjafans að starfsendurhæfing fari ekki alfarið fram hjá starfsendurhæfingarsjóði heldur sé aðkoma sérfræðinga og stofnana utan sjóðanna óhjákvæmilegur þáttur í henni. Ekki hefur komið fram að miðlun á grundvelli þeirrar yfirlýsingar, sem lögð er fyrir þá sem leita til VIRK, sé umfram það sem telja megi nauðsynlegan þátt í starfsemi sjóðsins. Af því leiðir jafnframt að líta má á yfirlýsinguna sem samþykki fyrir miðlun í skilningi 5. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Þar sem öðrum skilyrðum þess ákvæðis verður talið fullnægt telst umrædd vinnsla persónuupplýsinga eiga stoð í því ákvæði. Þá verður fyrrgreint ákvæði 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 einnig talið skjóta stoðum undir vinnsluna. Þegar af þeirri ástæðu þarf ekki að taka afstöðu til þess hvort kröfum annarra heimildarákvæða laga nr. 77/2000 sé fullnægt, s.s. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr., og telst vinnsla á vegum VIRK vera heimil.„Mikilvægt er að einstaklingar sem þurfa aðstoð til að verða virkir í samfélaginu fái þjónustu við hæfi hverju sinni og því er gert ráð fyrir að fagaðilar innan fleiri en eins þjónustukerfis, svo sem heilbrigðiskerfis og félagslega kerfisins, vinni mjög náið saman þegar þess gerist þörf. Frumvarp þetta gerir því ráð fyrir að atvinnutengd starfsendurhæfing verði einn þáttur í heildstæðu kerfi endurhæfingar þar sem starfsendurhæfingarsjóðir og stofnanir á vegum ríkis og sveitarfélaga starfi saman eins og kostur er. Allir hlutaðeigandi leitist jafnframt við að skilgreina og sinna hlutverkum sínum með þeim hætti að sem flestir eigi þess kost að vera virkir á vinnumarkaði.“
4.
Öryggi persónuupplýsinga
Í bréfi kvartanda frá 4. janúar 2016 kemur fram að tiltekinn sérfræðilæknir VIRK hafi óskað eftir að þriðji aðili myndi afhenda viðkvæmar persónuupplýsingar um kvartanda með tölvupósti. Í ljósi þess að miðlun fyrrnefndra upplýsinga um kvartanda átti sér ekki stað telur Persónuvernd ekki tilefni til að taka afstöðu til lögmætis þessa atriðis sérstaklega. Engu að síður minnir Persónuvernd á að við alla vinnslu persónuupplýsinga, þ.m.t. upplýsingaöflun og miðlun viðkvæmra persónuupplýsinga, ber að fara að ákvæðum 11. gr. laga nr. 77/2000, sbr. einnig 4. gr. reglna nr. 299/2001, um öryggi persónuupplýsinga. Í því felst að gera þarf skipulagslegar og tæknilegar öryggisráðstafanir til að tryggja öryggi persónuupplýsinga, s.s. að þær berist ekki óviðkomandi. Við val öryggisráðstafana skal taka mið af áhættu af vinnslunni og eðli þeirra gagna sem verja á. Skulu þær tryggja nægilegt öryggi með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Sem dæmi um öryggisráðstöfun má nefna að gögn séu boðsend á læstum minnislykli í innsigluðu umslagi eða miðlað um öruggt gagnaflutningsnet.
Í ljósi framangreind fer Persónuvernd fram á að VIRK lýsi því fyrir stofnuninni hvernig starfsendurhæfingarsjóðurinn standi að öflun viðkvæmra persónuupplýsinga úr sjúkraskrám, frá fagaðilum sem koma að meðferð einstaklinga sem leita til sjóðsins, fyrir 1. september 2016.
Ú r s k u r ð a r o r ð:
Vinnsla persónuupplýsinga, sem fram fer á grundvelli eyðublaðs VIRK – starfsendurhæfingarsjóðs um upplýst samþykki fyrir vinnslu slíkra upplýsinga í þágu starfsemi sjóðsins, samrýmist lögum nr. 77/2000. Lagt er fyrir VIRK að upplýsa Persónuvernd um hvernig öryggi viðkvæmra persónuupplýsinga við upplýsingaöflun er tryggt.