Vinnsla heilsufarsupplýsinga um starfsmenn

Efni:

Vinnsla Alcan á Íslandi hf. á heilsufarsupplýsingum um starfsmenn sína

Leiðbeinandi svar

I.
Upphaf máls og bréfaskipti

1.
Upphaf máls
Persónuvernd barst tilkynning frá Alcan á Íslandi hf. um vinnslu persónuupplýsinga um heilsufar starfsmanna fyrirtækisins. Tilkynningin var nr. S5540/2012. Af tilefni hennar óskaði Persónuvernd nánari upplýsinga frá félaginu um umrædda vinnslu. Í bréfi henar, dags. 24. janúar 2012, segir m.a.:

„Ef fyrirhugað er að byggja vinnslu framangreindra upplýsinga á samþykki starfsmanna óskar Persónuvernd eftir nánari upplýsingum um hvort aflað verði sérstaks og ótvíræðs samþykki fyrir þessari vinnslu.
Í tilkynningu yðar segir að upplýsingarnar verða fluttar úr landi. Hvert er fyrirhugað að flytja persónuupplýsingarnar og hvaða upplýsingar verða fluttar úr landi?
Í tilkynningu yðar segir að gögnin í sjúkraskrárkerfinu séu geymd á gagnagrunnsþjónum. Í hvaða landi eru framangreindir gagnagrunnsþjónar?“

2.
Skýringar Alcan á Íslandi hf.

Í svarbréfi X, hrl., f.h. Alcan á Íslandi, dags. 8. febrúar 2012, segir m.a.:

„[...][B]yggir vinnsla heilsufarsupplýsinga starfsmanna ISAL grundvallast fyrst og fremst á lagaskyldu [ISAL], sbr. 3. tl. 1. mgr. 8. gr. og 2. tl. 1. mgr. 9. gr. laga um persónuvernd og meðferð persónuupplýsinga nr. 77/2000 („persónuverndarlaga“), sem og skyldu samkvæmt samningi aðila vinnumarkaðarins, sbr. 3. tl. 1. mgr. 9. gr. persónuverndarlaga. Jafnframt byggir vinnslan á 8. tl. 1. mgr. 9. gr. laganna, þ.e. hún er nauðsynleg vegna læknismeðferðar eða vegna venjubundinnar stjórnsýslu á sviði heilbrigðisþjónustu, enda er hún framkvæmd af starfsmanni heilbrigðisþjónustunnar sem bundinn er þagnarskyldu.

Þess utan samþykkja starfsmenn með undirritun sinni á ráðningarsamning meðal annars að ráðningin sé háð niðurstöðu læknisskoðunar. Jafnframt samþykkja starfsmenn að framfylgja stefnu fyrirtækisins um áfengis- og vímuefnalausan vinnustað og verklagsreglu um áfengis- og vímuefnaskimanir sem fyrirtækið hefur sett til að tryggja öryggi starfsmanna. Til þess að fylgja eftir þessari stefnu fara fram með skipulögðum hætti áfengis- og vímuefnaskimanir á vinnustaðnum og samþykkir starfsmaðurinn að undirgangast slíkar skimanir, hvort sem þær eiga sér stað vegna gruns, atvika sem upp koma eða af handahófi.[...] Til hliðsjónar má nefna að á árinu 2003 var það niðurstaða Persónuverndar að ekki væri ástæða til að gera athugasemdir við það að fræðsla um að starfsmenn þyrftu að gangast undir læknisskoðun, þar sem meðal annars væri leitað eftir ólöglegum vímuefnum, væri veitt á umsóknareyðublöðum félagsins.[...]

ISAL ítrekar og leggur áherslu á að upplýsingarnar hafa ekki verið fluttar úr landi og mun enginn flutningur úr landi eiga sér stað nema að undangenginni heimild frá Persónuvernd. Ef og þegar að því kemur að ISAL hyggst flytja persónuupplýsingar úr landi vegna þessarar vinnslu verður sótt um leyfi frá Persónuvernd fyrir flutningnum áður en að honum kemur.

Rafræna sjúkraskrárkerfið Saga („Saga“), sem ISAL notast við, er einungis til staðar hjá ISAL og er ekki tengt neinu öðru sjúkraskrárkerfi á öðrum stöðum. Þannig er ekki um að ræða miðlægt sjúkraskrárkerfi á nokkurn hátt. Það sem ekki er vistað rafrænt í Sögu er vistað í skjalageymslu hjá trúnaðarlæknum. Allt sem viðkemur heilsufarsupplýsingum starfsmanna ISAL er því vistað af trúnaðarlækni á þessum tveimur stöðum, þ.e. í Sögu eða á pappír í læstum skjalaskápum.

Gagnagrunnurinn fyrir Sögu er afritaður af TSM afritunarkerfi Símans, sem sér um alla tölvuþjónustu við ISAL. Einungis tveir starfsmenn hjá ISAL koma að tölvumálum en önnur tölvuþjónusta fer fram samkvæmt samningi við Símann. Allar upplýsingar eru vistaðar á gagnagrunnsþjónum á Íslandi.[...]

Til þess að uppfylla framangreinda [laga]skyldu sína hefur ISAL gert vinnslusamninga við tvo lækna og sinna þeir, og eftir atvikum hjúkrunarfræðingar sem starfa á þeirra vegum, heilsueftirliti fyrir félagið. Samkvæmt lögum um sjúkraskrár ber þeim læknum og hjúkrunarfræðingum að færa sjúkraskrár þeirra starfsmanna sem þeir sinna í starfi sínu fyrir ISAL. Ber þeim og að færa sjúkraskrár rafrænt eins og mögulegt er.

Það ber að hnykkja á því að öll vinnsla persónuupplýsinga starfsmanna ISAL fer eftir ströngum öryggisráðstöfunum varðandi aðgang að og meðferð persónuupplýsinga[...]. Er vinnslan í fullu samræmi við 7. gr. persónuverndarlaga.“

Þá er í framangreindu svarbréfi einkum vísað til ákvæða 67. gr., 2. mgr. 69. gr., 65. gr. og 65. gr. a laga um aðbúnað, hollustuhætti og öryggi á vinnustöðum nr. 46/1980, 1. mgr. 4. gr. laga um sjúkraskrár nr. 55/2009, ákvæða 4.-6. gr. laga um rétt verkafólks til uppsagnarfrests frá störfum og til launa vegna sjúkdóms- og slysaforfalla nr. 19/1979, sem og ákvæðis 5.2 í kjarasamningi milli ISAL og verkalýðsfélags starfsmanna félagsins.

Með bréfi, dags. 9. mars 2012, óskaði Persónuvernd eftir afriti af umræddum kjarasamningi, og skýringum um hvort sá skilningur stofnunarinnar væri réttur að persónuupplýsingum yrði eytt að lokinni vinnslu þeirra og verði ekki fluttar úr landi. Þá óskaði Persónuvernd jafnframt eftir öryggislýsingu ISAL, í samræmi við ákvæði 11. gr. laga nr. 77/2000 og reglna nr. 299/2001 um öryggi persónuupplýsinga.

Í svarbréfi X, hrl., f.h. Alcan á Íslandi hf., dags. 2. maí 2012, segir m.a.:

„Afrit af umræddum kjarasamningi er meðfylgjandi bréfi þessu.[...] Meðfylgjandi bréfi þessu er stefna ISAL um öryggi persónuupplýsinga auk verklagsreglna ISAL varðandi meðhöndlun, vinnslu og vistun heilsufarsupplýsinga. Hefur ISAL nýlega tekið framangreindar verklagsreglur til endurskoðunar og er um að ræða nýjustu útgáfu þeirra. Eru verklagsreglurnar sem stendur í yfirlestri hjá lækni vinnueftirlitsins og munu þær í kjölfarið fara til Landlæknisembættisins til yfirferðar. Gera þær ráð fyrir að heilsufarsupplýsingar verði sendar til heimilislæknis/heilsugæslu viðkomandi einstaklings til varðveislu við starfslok.

Þess ber að geta að núverandi fyrirkomulag felur það í sér að heilsufarsgögn á pappírsformi eru send til varðveislu hjá Gagnageymslunni ehf., en sú meðhöndlun sem lýst er í meðfylgjandi verklagsreglum ISAL er sú meðhöndlun sem ISAL hyggst taka upp að fengnu samþykki frá Landlæknisembættinu. Gagnageymslan ehf. sérhæfir sig í geymslu gagna fyrir fyrirtæki og stofnanir. Hefur fyrirtækið yfir að ráða aðstöðu, tæknibúnaði og sérþekkingu sem þarf til varðveislu gagna. Skjalageymsla Gagnageymslunnar ehf. er í sérhönnuðu húsnæði og öll skjöl eru geymd í sérstökum kössum við rétt raka- og hitastig. Þá er skjalageymsla félagsins tengd öryggismiðstöð 24 tíma sólarhringsins allan ársins hring.

Varðandi eyðingu persónuupplýsinganna þá er rétt að skýra það nánar að um er að ræða heilsufarsupplýsingar en vinnsla þeirra felst m.a. í vistun þeirra í sjúkraskrá samkvæmt lögum, sbr. lög nr. 55/2009 um sjúkraskrár. Vísast hér til nokkuð ítarlegrar umfjöllunar um lagaskyldu til vinnslunnar í bréfi undirritaðrar til Persónuverndar dags. 8. febrúar 2012. Almennt er það svo að heilsufarsupplýsingum í sjúkraskrá er ekki eytt að vinnslu lokinni því í raun má segja að vinnslunni (þ.e. skráningu heilsufarsupplýsinga) ljúki ekki fyrr en við andlát viðkomandi einstaklings.

Þessu til stuðnings vísast til 8. gr. laga nr. 55/2009 um sjúkraskrár sem kveður á um að sjúkraskrár skuli varðveittar með öruggum hætti þannig að sjúkraskrárupplýsingar glatist ekki og að þær séu aðgengilegar í samræmi við ákvæði IV. kafla laganna, sem fjallar nánar um aðgang að sjúkraskrám. Þá ber jafnframt að líta til þess að í 11. gr. laganna, þar sem kveðið er á um tímalengd vörslu, er tekið fram að sjúkraskrár skuli varðveita í sjúkraskrárkerfi heilbrigðisstofnana og starfsstofa heilbrigðisstarfsmanna. Þá er gert ráð fyrir afhendingu sjúkraskráa til Þjóðskjalasafns Íslands, sem fer í kjölfarið með varðveislu þeirra, aðgang að þeim og eftir atvikum eyðingu þeirra, í samræmi við ákvæði laga um Þjóðskjalasafn Íslands.

Hefur ISAL hingað til ekki eytt neinum heilsufarsupplýsingum starfsmanna en þær hafa verið sendar til varðveislu við starfslok, sbr. umfjöllun hér að framan. Varðandi varðveislu heilsufarsupplýsinga vísast til þessa, sem og til meðfylgjandi stefnu ISAL um öryggi persónuupplýsinga og verklagsreglna. Telur ISAL ljóst að meðferð félagsins á þeim upplýsingum sé í samræmi við ákvæði laga nr. 77/2000 sem og laga nr. 55/2009. Þá ber að taka það fram að hinar nýju verklagsreglur ISAL gera ráð fyrir því að félagið eyði öllum heilsufarsupplýsingum um fyrrverandi starfsmenn, eftir að þær hafa verið fluttar til heimilislæknis/heilsugæslu viðkomandi[...].

Þess ber að geta að sú vinnsla persónuupplýsinga sem hér um ræðir stendur ekki í beinum tengslum við hugsanlegan flutning upplýsinganna úr landi. Sú vinnsla persónuupplýsinga sem fram fer hjá ISAL er vinnsla sem félaginu ber skylda til að framkvæma, algjörlega óháð hvers konar flutningi á þeim upplýsingum í framtíðinni.[...] ISAL vill þó taka fram og ítreka að upplýsingarnar hafa ekki og verða ekki með nokkrum hætti fluttar úr landi nema að undangenginni heimild frá Persónuvernd.“

Í ákvæði 5.2 í þeim kjarasamningi sem lögmaðurinn vísar til, um kaup og kjör starfsmanna við álverið í Straumsvík, segir m.a.:

„Heilsufarseftirlit á vegum ISAL skal fara fram sem hér segir:
Starfsmenn eru boðaðir í reglubundið heilsufarseftirlit samkvæmt gildandi lögum og heilbrigðiskröfum fyrirtækisins hverju sinni. Varsla heilsufarsupplýsinga fer samkvæmt lögum um meðferð persónuupplýsinga.
Fyrirtækinu ber að fara eftir þeim íslensku lögum sem gilda hverju sinni um heilsufarseftirlit starfsmanna.
Heilbrigðiskröfur fyrirtækisins taka mið af heilbrigðisstefnu móðurfélags og áhættugreiningum starfa sem gerðar eru hjá fyrirtækinu. Tíðni og áhersluatriði heilsufarseftirlits getur því verið mismunandi gagnvart starfsmönnum og fer það eftir því starfi sem þeir gegna hverju sinni.
Upplýsingar um tíðni og áhersluatriði heilsufarseftirlits eru birtar á innra neti fyrirtækisins undir heilbrigðismál og eins verður getið þar um allar hugsanlegar breytingar sem gerðar verða.
Reglubundið heilsufarseftirlit er framkvæmt af hjúkrunarfræðingi og eftir þörfum, trúnaðarlækni.[...]“

II.
Ákvörðun um niðurfellingu máls

Fyrir liggur sú afstaða Alcan á Íslandi hf. að því sé heimilt að vinna heilsufarsupplýsingar um starfmenn sína. Í fyrsta lagi sé það samkvæmt ákvæði 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Ákvæði 1. tölul. er um vinnslu samkvæmt samþykki hins skráða. Persónuvernd bendir á að það samþykki skal uppfylla skilyrði 7. tölul. 2. gr. laganna. Í öðru lagi telur fyrirtækið að sér sér þetta heimilt samkvæmt 3. tölul. 1. mgr. 9. gr. Sá liður lýtur að vinnslu viðkvæmra persónuupplýsinga sem ábyrgðaraðila ber, samkvæmt samningi aðila vinnumarkaðarins, skylda til að framkvæma. Ákvæðið tekur mið af 2. mgr. 8. gr. tilskipunar 95/46/EB um vinnslu samkvæmt slíkum samningum og vinnulöggjöfinni. Persónuvernd bendir á að í því ljósi er ákvæðið talið ná til þess þegar vinnsla er nauðsynleg til að ábyrgðaraðili geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöfinni, að því marki sem vinnslan er heimil samkvæmt innlendum lögum þar sem sett eru viðeigandi öryggisákvæði. Að öðru leyti en því sem vinnsla samrýmist þessu ákvæði verður hún ekki á því byggð.

Þá leiðbeinir Persónuvernd Alcan á Ísland hf. um að gera verður vinnslusamning, í samræmi við skilyrði ákvæðis 13. gr. laga nr. 77/2000, ef ætlunin er að Gagnageymslan ehf. starfi sem vinnsluaðili á ábyrgð og á vegum Alcan á Íslandi hf.

Loks er leiðbeint um að komi til þess að flytja persónuupplýsingar út fyrir EES svæðið þarf að líta til 29.-30. gr. laga nr. 77/2000. Í þeim felst m.a. að skilið er á milli flutnings persónuupplýsinga til EES-ríkja og þeirra landa eða staða sem að framkvæmdastjórn Evrópusambandsins hefur samþykkt að veiti fullnægjandi vernd (29. gr.) og svo aftur landa sem ekki eru talin veita fullnægjandi vernd (30. gr.). Þau lönd sem að framkvæmdastjórn Evrópusambandsins hefur samþykkt - og Ísland í kjölfarið - eru birt í auglýsingu nr. 228/2010 um flutning persónuupplýsinga til annarra landa. Þeir staðir eða fyrirtæki sem samþykkt hafa verið eru á s.k. lista yfir öruggar hafnir (e. safe harbour list) hjá bandaríska viðskiptaráðuneytinu. Þann lista er að finna á vefslóðinni: https://safeharbor.export.gov/list.aspx

Ef fyrirtæki, sem flytja á persónuupplýsingar til er á hinum s.k. lista yfir öruggar hafnir, telst það hafa uppfyllt þær skuldbindingar sem koma fram í tilskipun 95/46/EB og lög nr. 77/2000 byggja á. Því fer um slíka vinnslu samkvæmt 29. gr. laga nr. 77/2000. Ef hins vegar er fyrirhugað að flytja persónuupplýsingar til lands eða staðar sem ekki veitir fullnægjandi vernd þarf eitthvert eitt af skilyrðum 1. mgr. 30. gr. laga nr. 77/2000 að vera fyrir hendi. Ef ekkert af þeim skilyrðum eru til staðar getur Persónuvernd heimilað flutninginn telji hún sérstök rök mæla með því, jafnvel þótt skilyrðum 1. mgr. sé ekki fullnægt. Leyfisveiting Persónuverndar í þessu sambandi er meðal annars háð því skilyrði að ábyrgðaraðili hafi lagt fram fullnægjandi tryggingar. Að þessu viðbættu verður öll vinnsla persónuupplýsinga ávallt að styðjast við heimild í 8. gr. laga nr. 77/2000 - og 9. gr. sömu laga ef um viðkvæmar persónuupplýsingar er að ræða.

Að öðru leyti telur Persónuvernd ekki vera efni til að aðhafast frekar að svo stöddu af tilefni tilkynningar nr. S5540/2012. Hún áréttar að engin efnisleg afstaða hefur verið tekin til lögmætis vinnslunnar. Berist henni kvörtun frá einstaklingi yfir skráningu persónuupplýsinga um sig verður það mál eftir atvikum tekið fyrir og úrskurðað í því í ljósi málsatvika, kröfugerðar og þeirra málsástæðna sem fram verða settar.