Miðlun persónuupplýsinga með fjöldapósti

Mál nr. 2018/1183

1.10.2019

Úrskurður

Hinn 20. ágúst 2019 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2018/1183:

I.

Málsmeðferð

1.

Tildrög máls

Þann 25. júní 2018 barst Persónuvernd kvörtun frá Lögmönnum Laugardal ehf. fyrir hönd [A] (hér eftir nefnd kvartandi) vegna öryggisbrests og meðferðar Klíníkurinnar Ármúla ehf. á viðkvæmum persónuupplýsingum um hana.

Samkvæmt upplýsingum sem fram koma í kvörtun sótti kvartandi læknisþjónustu hjá sérfræðilækni hjá Klíníkinni Ármúla ehf. og fór í læknisaðgerð í framhaldinu, þann […]. Segir að kvartandi hafi sérstaklega bent á mikilvægi þess að aðgerðin yrði ekki á annarra vitorði og hafi haft sérstakt orð á því í viðtali við lækna hve trúnaður væri henni mikilvægur, en kvartandi er […]. Kvartandi hafi verið fullvissuð um að ítrasta trúnaðar yrði gætt. Í kvörtun segir jafnframt að eftir aðgerð hafi kvartanda verið vísað, af skurðlækninum sem framkvæmdi aðgerðina, til [ráðgjafans] [X] sem starfi jafnframt á Klíníkinni Ármúla ehf. Kvartandi hafi átt fund með [ráðgjafanum] nokkrum dögum síðar. Hinn […] hafi kvartandi svo mætt í eftirlit til síns skurðlæknis.

Þann […], eða rúmu hálfu ári eftir aðgerðina, hafi kvartandi fengið fregnir af því að nafn hennar og tölvupóstfang hefðu komið fram í fjöldapósti sem sendur hefði verið á einstaklinga sem hefðu verið í [ráðgjöf] eftir að hafa farið í […]aðgerð hjá Klíníkinni Ármúla ehf. Hafi þessar upplýsingar spurst út meðal annars til fjölskyldumeðlima kvartanda og fleiri sem hafi komið mjög illa við kvartanda. Þá segir að samdægurs hafi kvartandi haft samband við sinn lækni og skýrt honum frá þessum upplýsingaleka. Hafi henni verið tjáð að læknirinn vissi af atvikinu og hafi hann beðið kvartanda afsökunar. Jafnframt hafi læknirinn tjáð henni að sendur hefði verið út afsökunartölvupóstur til þeirra sem hefðu verið á listanum. Í kvörtun segir einnig að kvartanda hafi hvorki borist umræddur fjöldapóstur um [ráðgjöf] sem hún fékk fregnir af né tölvupóstur með afsökunarbeiðni frá Klíníkinni Ármúla ehf. Þá bendir kvartandi á að umræddur fjöldapóstur um [ráðgjöf] hafi verið sendur […], eða tveimur vikum áður en kvartandi hafi farið í eftirlit til síns læknis, þann […] sama ár. Kvartanda hafi ekki verið tilkynnt um þennan upplýsingaleka og trúnaðarbrest þrátt fyrir að starfsmenn Klíníkurinnar Ármúla ehf. hafi þá haft vitneskju um hann. Telur kvartandi að Klíníkinni Ármúla ehf. hafi borið að hafa samband við alla hlutaðeigandi og tilkynna um öryggisbrestinn og vinna í því að tryggja lágmörkun á miska þeirra sem upplýsingarnar vörðuðu. Ljóst sé að um mjög viðkvæmar persónuupplýsingar um heilsufar sé að ræða, sbr. 9. gr. laga nr. 77/2000. Þrátt fyrir að tölvupósturinn hafi ekki greint frá því berum orðum hvers kyns heilbrigðisþjónustu kvartandi sótti á Klíníkina Ármúla ehf. sé auðvelt að draga ályktanir um slíkt. Slíkar upplýsingar séu heilsufarsupplýsingar og ljóst sé að upplýsingar um hvort einstaklingur hafi sótt sér klíníska meðferð hjá [ráðgjafa] teljist til heilsufarsupplýsinga. Því sé kvartað yfir meðferð Klíníkurinnar Ármúla ehf. á sérlega viðkvæmum persónuupplýsingum sem fari gegn ákvæðum laga nr. 77/2000.

Jafnframt telur kvartandi að brotið hafi verið gegn meginreglum 7. gr. laga nr. 77/2000, sér í lagi meginreglunni um vandaða vinnsluhætti, með því að viðhafa ekki sérstakar öryggisráðstafanir þegar sendur var út fjöldapóstur sem bar með sér viðkvæmar persónuupplýsingar um einstaklinga. Þá segir að miðlun persónuupplýsinga kvartanda til fjölda einstaklinga hafi hvorki átt sér stoð í 8. né 9. gr. laga nr. 77/2000. Enn fremur bendir kvartandi á að hún telji að öryggisbrestur í skilningi 11. gr. sömu laga hafi átt sér stað ásamt því að ákvæði um þagnarskyldu heilbrigðisstarfsmanna hafi verið brotin. Loks telur kvartandi með vísan til upplýsingaskyldu ábyrgðaraðila og meginreglunnar um sanngirni vinnslu að á bæði [ráðgjafanum] og Klíníkinni Ármúla ehf. hafi hvílt sjálfstæð skylda til að upplýsa kvartanda um atvikið um leið og þeim varð það ljóst.

2.

Bréfaskipti

2.1.

Svör Klíníkurinnar Ármúla ehf.

Með bréfi, dags. 3. júlí 2018, var Klíníkinni Ármúla ehf. boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 9. ágúst 2018. Í bréfinu kemur fram að framkvæmdastjóri, sem jafnframt sé persónuverndarfulltrúi Klíníkurinnar Ármúla ehf., hafi fyrst fengið upplýsingar um öryggisbrest á meðferð persónugreinanlegra gagna við móttöku afrits af bréfi kvartanda til Persónuverndar, dags. 25. júní 2018. Samkvæmt verklagsreglu fyrirtækisins hafi það verið tilkynnt til Persónuverndar og er vísað til tölvupósts sem sendur var Persónuvernd þann 6. júlí 2018.

Í bréfi Klíníkurinnar Ármúla ehf. kemur fram að eftir að einstaklingar undirgangist [aðgerð] sé þeim boðið að þiggja aðstoð [ráðgjafa] í kjölfar aðgerðarinnar. Hafi kvartandi átt viðtal við [X] [ráðgjafa] þann […] þar sem rætt hafi verið um […] eftir aðgerðina. Í viðtalinu hafi verið farið yfir samskiptamáta varðandi tímabókanir og hafi kvartandi samþykkt að henni væri sendur tölvupóstur til að minna á mögulegar tímabókanir. Í bréfi Klíníkurinnar Ármúla ehf. er bent á að farið sé með rangt mál í kvörtun þar sem [X] sé sögð vera starfsmaður Klíníkurinnar Ármúla ehf. Hið rétta sé að [X] sé sjálfstætt starfandi [ráðgjafi].

Í bréfi Klíníkurinnar Ármúla ehf. segir að við innanhússrannsókn á meintum öryggisbresti hafi komið í ljós að þann […] hafi verið sendur út tölvupóstur frá tölvupóstfanginu […]@gmail.com með áminningu um næstu mögulegar tímapantanir. Í efnislínu tölvupóstsins hafi staðið [hvenær sérfræðingurinn væri næst með lausa tíma á Klíníkinni] og jafnframt hafi birst í efnislínu nöfn og netföng viðtakenda póstsins. Þau mistök hafi orðið við útsendingu póstsins að tölvupóstföng viðtakenda tölvupóstsins, sem voru alls [fjöldi], hafi verið sjáanleg öllum þeim sem fengu póstinn. Sendanda póstsins hafi orðið ljós þessi mistök samdægurs og hafi hún þá sent út annan tölvupóst þar sem beðist hafi verið afsökunar á þessum mistökum og viðtakendur beðnir um að gæta virðingar og nafnleyndar um þá sem fengu fyrri póstinn með því að eyða fyrri pósti strax. Var seinni tölvupósturinn sendur á [sömu viðtakendur] og fyrri pósturinn og hafi í efnislínu hans staðið „VINSAMLEGAST EYÐA FYRRI PÓSTI!“. Í svarbréfi Klíníkurinnar Ármúla ehf. segir að mistökin séu hörmuð en að ljóst sé að reynt hafi verið án tafar að takmarka það tjón sem hafi orðið með því að biðja viðtakendur um að eyða fyrri tölvupósti, þar sem persónugreinanleg gögn hafi verið til staðar. Einnig segir að í umræddum tölvupósti sé ekki að finna nein heilsufarsleg gögn umræddra einstaklinga. Þá segir jafnframt í bréfinu að því miður séu leiðir til öruggra samskiptaforma milli sjúklinga og heilbrigðisstarfsfólks takmarkaðar. Klíníkin Ármúla ehf. hafi verið í samstarfi við Embætti landlæknis og aðila á sviði heilbrigðislausna um þróun Heilsuveru þar sem viss samskipti geti farið í gegnum örugga vefsíðu. Sé frekari þróun á notkun þess forrits í vinnslu, meðal annars til að fyrirbyggja endurtekningu á sambærilegu atviki og um ræði í máli þessu.

Að lokum er í bréfi Klíníkurinnar Ármúla ehf. bent á að í umræddum tölvupósti komi ekkert fram sem tengi viðkomandi einstaklinga, þ.e. viðtakendur tölvupóstsins, við skurðlækninn sem um ræði eða aðgerðir vegna […]. Þá leiti einstaklingar sér aðstoðar hjá [ráðgjafa] af fjölmörgum ástæðum.

2.2.

Greinargerð [X]

Með bréfi Klíníkurinnar Ármúla ehf. fylgdi greinargerð [X], [ráðgjafa], dags. 4. júlí 2019, vegna meints öryggisbrests. Í greinargerðinni segir að [X] starfi meðal annars sem [ráðgjafi] fyrir [Y] skurðlækni samkvæmt munnlegum samningi og hafi hún tekið á móti hluta af skjólstæðingum hans í [ráðgjöf] fyrir og eftir [aðgerðir]. Hluti af samkomulaginu sé að hún megi taka á móti öðrum skjólstæðingum en þeim sem komi í gegnum skurðlækninn í tíma sínum á Klíníkinni Ármúla ehf. Í greinargerðinni kemur jafnframt fram að […]. Þá segir að þar sem [ráðgjöfum]sé ekki heimilt samkvæmt lögum um heilbrigðisstarfsmenn að auglýsa starfsemi sína notist margir við það að senda út fjöldapóst til að auglýsa hvenær hægt sé að panta hjá þeim tíma og notist hún einnig við þá aðferð. Þá tilkynni hún öllum sem til hennar komi í ráðgjöf að hún sendi út fjöldatölvupósta með þeim dagsetningum þar sem hægt sé að bóka hjá henni tíma. Í þeim tilfellum sem einstaklingar óski þess að vera ekki á slíkum póstlista hafi þeir umsvifalaust verið teknir af þeim. Um vinnulag við póstsendingar segir í greinargerðinni að háttalagið sé þannig að [X] fari yfir lista skjólstæðinga, hvort sem þeir komi í gegnum fyrrgreindan skurðlækni eða ekki, og sendi tölvupóst með áminningu til þeirra sem tími sé kominn til að fái endurkomutíma. Þess utan séu sendir reglulega út fjöldapóstar á þá sem hafi skráð sig á póstlista á heimasíðu hennar, t.d. um fræðslu og viðtöl.

Í fyrrgreindri greinargerð kemur fram að þann […] hafi [X] sent fjöldapóst á [hóp skjólstæðinga sinna]þar sem hún tilkynnti næstu opnu stofudaga sína á Klíníkinni Ármúla ehf. Fyrir algera slysni hafi nöfn þeirra sem haft var samband við birst í efnislínu póstsins. Þegar mistökin hafi orðið henni ljós hafi hún umsvifalaust sent tölvupóst á alla viðtakendur þar sem beðist hafi verið afsökunar á fyrri pósti og jafnframt hafi allir viðtakendur verið beðnir um að virða þagnarskyldu gagnvart öðrum á listanum og eyða fyrri pósti. Í greinargerðinni kemur fram að ljóst sé að um slys hafi verið að ræða sem geti komið fyrir í rafrænum samskiptum. Enginn ásetningur eða illvilji hafi verið í málinu og það leiðrétt tafarlaust. Þá segir einnig að auk þess hafi umræddur skurðlæknir verið látinn vita að hluti af hans skjólstæðingum hefði verið á umræddum lista. Jafnframt kemur fram að það sem segi í kvörtun um að kvartanda hafi ekki borist umræddur fjöldapóstur né afsökunarpóstur sem sendur hafi verið samdægurs sé ekki rétt. Vísar [X] því til stuðnings til skjáskots af umræddum tölvupóstum þar sem netfang kvartanda kemur fram í efnislínu viðtakanda.

3.

Athugasemdir kvartanda

Með bréfum, dags. 16. ágúst 2018 og 10. september sama ár, var Lögmönnum Laugardal ehf. boðið að koma á framfæri athugasemdum, fyrir hönd kvartanda, við framkomnar skýringar Klíníkurinnar Ármúla ehf. Svarað var með bréfi, dags. 17. september 2018. Í svarbréfinu segir varðandi aðild Klíníkurinnar Ármúla ehf. að telja verði að hún sé ábyrgðaraðili fyrir umræddri vinnslu enda hafi sú aðgerð sem kvartandi gekkst undir verið kynnt þannig að í kringum hana stæði teymi skurðlæknis [og ráðgjafa]. Þá bendir kvartandi á að samkvæmt áliti 29. gr. starfshóps um hugtökin ábyrgðaraðili og vinnsluaðili beri að líta til þeirra væntinga sem hinn skráði hafi til aðila sem komi að vinnslunni við mat á því hvort um ábyrgðaraðila eða vinnsluaðila sé að ræða, með öðrum orðum skuli horfa til þess hvernig hinn skráði upplifi hlutverk aðila. Kvartandi hafi upplifað [ráðgjöfina] í kjölfar aðgerðarinnar sem hluta af öllu því ferli sem hafi tekið til aðgerðarinnar og hafi hún farið fram í húsakynnum Klíníkurinnar Ármúla ehf. Það hljóti að teljast órjúfanlegur þáttur að veita sjúklingum, sem gangist undir slíka aðgerð, ráðgjöf um […] eftir aðgerðina. Þá segir í bréfi kvartanda að gögn þau, sem hafi borist með svarbréfi Klíníkurinnar Ármúla ehf. til Persónuverndar, dags. 9. ágúst 2018, beri með sér að sendur hafi verið út afsökunarpóstur. Eftir sem áður finni kvartandi hvorki umræddan fjöldapóst né afsökunarpóst á tölvupóstfangi sínu og kunni ekki skýringar á því hvað valdi. Kvartandi telji að þar sem skurðlæknir hennar hafi verið meðvitaður um hversu mjög umhugað kvartanda var um trúnað varðandi aðgerðina hafi hvílt á honum rík skylda til að ganga úr skugga um að tilkynning um umræddan öryggisbrest hefði skilað sér til kvartanda.

Hvað varði staðhæfingu Klíníkurinnar Ármúla ehf. um að í umræddum tölvupósti hafi ekki verið að finna nein heilsufarsleg gögn um umrædda einstaklinga ítrekar kvartandi í svarbréfi sínu að upplýsingar sem draga megi ályktanir af um heilsufar einstaklinga hafi verið taldar til heilsufarsupplýsinga, sbr. úrskurð Persónuverndar í máli nr. 2010/617. Þá mótmælir kvartandi því að Klíníkin Ármúla ehf. haldi því fram að í umræddum tölvupósti sé ekkert sem tengi viðkomandi einstakling við umræddan skurðlækni eða aðgerðir vegna […] þar sem fólk leiti til [ráðgjafa] af fjölmörgum ástæðum. Á það er bent að séu slegin inn leitarorð tengd […] á leitarstiku á vefsíðu Klíníkurinnar Ármúla ehf. birtist greinar um meðferð við […]. Jafnframt eru ítrekaðar fyrri röksemdir um að auðvelt sé að draga ályktanir og tengja saman nöfn þeirra sem komi fram í póstinum ásamt upplýsingum um [ráðgjöf] við [aðgerðir] sem framkvæmdar séu á Klíníkinni Ármúla ehf. Í bréfi kvartanda segir að rétt sé að henni hafi verið tilkynntur samskiptamáti er varði tímabókanir og hafi hún samþykkt að fá áminningar í tölvupósti en verði það að teljast óviðkomandi kvörtun hennar enda hafi samþykki hennar ekki staðið til þess að aðrir fengju upplýsingar um það að hún sækti slíka [ráðgjöf]. Að lokum er bent á að þó að um mistök hafi verið að ræða þá breyti það því ekki að umrætt atvik hafi valdið henni miklum áhyggjum, kvíða og vanlíðan enda hafi viðkvæmar einkalífsupplýsingar hennar komist í dreifingu þvert gegn vilja hennar. Sá vilji hafi verið forsenda þess að kvartandi hafi ákveðið að fara í umrædda aðgerð og hafi fulltrúum í teymi Klíníkurinnar Ármúla ehf. verið fullkunnugt um þá afstöðu hennar.

II.

Forsendur og niðurstaða

1.

Lagaskil og afmörkun máls

Atvik máls þessa gerðust fyrir gildistöku núgildandi laga, nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, hinn 15. júlí 2018. Umfjöllun og efni þessa úrskurðar byggjast því á ákvæðum eldri laga, nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, nema hvað varðar fyrirmæli um ráðstafanir sem grípa þarf til, en þar er byggt á núgildandi lögum.

2.

Gildissvið – Ábyrgðaraðili

Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til reynir á hvort Klíníkin Ármúla ehf., sem kvörtun beinist að, eða [X], sem sendi umræddan tölvupóst með persónuupplýsingum kvartanda, teljist hafa verið ábyrgðaraðili að miðlun persónuupplýsinga um kvartanda.

Í bréfi Klíníkurinnar Ármúla ehf., dags. 9. ágúst 2018, segir að [X] sé ekki starfsmaður Klíníkurinnar Ármúla ehf. heldur sé hún sjálfstætt starfandi [ráðgjafi]. Þá kemur fram í greinargerð [X], dags. 4. júlí 2019, sem fylgdi fyrrgreindu bréfi Klíníkurinnar Ármúla ehf. að hún starfi samkvæmt munnlegum samningi sem [ráðgjafi] fyrir sérfræðilækninn [Y].

Um mörk þess hvenær telja skuli þann sem kemur að vinnslu persónuupplýsinga vera ábyrgðaraðila eða vinnsluaðila hefur verið fjallað í áliti frá starfshópi sem starfaði samkvæmt 29. gr. persónuverndartilskipunar 95/46/EB (nú brottfallin), en hann var skipaður fulltrúum persónuverndarstofnana í ríkjum sem skuldbundin voru af ákvæðum hennar. Nánar tiltekið er um að ræða álit nr. 1/2010 (WP169) um hugtökin „ábyrgðaraðili“ og „vinnsluaðili“. Segir þar meðal annars að þegar sjálfstætt starfandi sérfræðingur taki að sér verk, sem feli í sér vinnslu persónuupplýsinga í þágu annars aðila, geti sérþekking hans og sjálfstæð staða haft þau áhrif að hann teljist ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem hann viðhafi við framkvæmd verksins. Þá eru meðal annars nefnd raunhæf dæmi um hvernig á það getur reynt hvort sjálfstæðir sérfræðingar teljist ábyrgðaraðilar að vinnslu sem þeir hafa með höndum í vinnu fyrir aðra. Má þar nefna að ef endurskoðandi tekur að sér verk án þess að fá nákvæm fyrirmæli um hvernig það skuli unnið telst hann alla jafna vera ábyrgðaraðili að vinnslu persónuupplýsinga sem tengist verkinu. Ef honum eru hins vegar nákvæmlega lagðar línurnar um hvernig það skuli unnið kann hann að teljast vinnsluaðili (sjá bls. 29 í álitinu). Persónuvernd hefur staðfest framangreinda túlkun um stöðu sjálfstætt starfandi sérfræðinga í úrskurðum stofnunarinnar í málum nr. 2009/172 og 2016/290.

Fyrir liggur að [X] sér um [ráðgjöf] fyrir skjólstæðinga [Y] skurðlæknis, sem þiggja slíka ráðgjöf í kjölfar aðgerða hjá honum á Klíníkinni Ármúla ehf. Vandséð er hvernig slíkt hefði átt að vera unnt ef þess háttar vinnsla hefði verið unnin undir nákvæmri handleiðslu Klíníkurinnar Ármúla ehf. eða sérfræðilæknis hennar, sér í lagi þegar litið er til þess að [X] hefur sérfræðiþekkingu á því sviði sem hún sinnir ráðgjöf um. Þá er ljóst af því sem fram kemur í greinargerð að ákvörðunarvald um hvernig haga skuli vinnslu persónuupplýsinga, meðal annars verklagi við tímabókanir, liggur hjá [X] en ekki Klíníkinni Ármúla ehf. Telur Persónuvernd í ljósi framangreinds að ábyrgðaraðili þeirrar vinnslu sem tengdist miðlun persónuupplýsinga um kvartanda hafi verið [X].

3.

Lagaumhverfi og sjónarmið

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 8. gr. laga nr. 77/2000. Má þar nefna að samkvæmt 1. tölul. 1. mgr. þeirrar greinar má vinna með persónuupplýsingar hafi hinn skráði ótvírætt samþykkt vinnsluna eða veitt samþykki samkvæmt 7. tölul. 2. gr. laganna. Þá mælir 7. tölul. ákvæðisins fyrir um heimild til vinnslu persónuupplýsinga sem nauðsynleg er til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Í því sambandi er til þess að líta að auk netfanga og nafna er hér um að ræða upplýsingar um tímabókanir í [ráðgjöf], en þær teljast lúta að heilsuhögum og því vera viðkvæmar, sbr. c-lið 8. tölul. sömu greinar. Af því leiðir að ásamt heimild samkvæmt 8. gr. laga nr. 77/2000 verður að vera fullnægt einhverju af viðbótarskilyrðum 1. mgr. 9. gr. sömu laga. Er þar einnig mælt fyrir um heimild til vinnslu á grundvelli samþykkis sem verður þá ávallt að fullnægja kröfum 7. tölul. 2. gr. laganna, sbr. 1. tölul. ákvæðisins. Þá verður við alla vinnslu persónuupplýsinga að vera farið að grunnkröfum 1. mgr. 7. gr. laganna, þ. á m. um að þess sé gætt að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga, sbr. 1. tölul. þeirrar málsgreinar.

Liður í því að tryggja vandaða vinnsluhætti er að uppfylla kröfur um upplýsingaöryggi. Í upplýsingaöryggi felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi og að þær séu einungis aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda. Kemur þetta nánar fram í 11. gr. laga nr. 77/2000, en samkvæmt 1. mgr. þeirrar greinar skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Auk þess segir í 2. mgr. ákvæðisins að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Þá er í 5. mgr. ákvæðisins mælt fyrir um skyldu ábyrgðaraðila til að skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. nánari fyrirmæli þar um í reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, sbr. 3. mgr. 11. gr. laga nr. 77/2000.

4.

Niðurstaða

Eins og fyrr greinir var miðlað nafni kvartanda og netfangi, auk upplýsinga um næstu mögulegu tímabókanir hennar í [ráðgjöf]. Voru þessar upplýsingar nánar tiltekið sendar úr netfangi [X] í fjöldapósti þar sem hver og einn viðtakenda sá nöfn og netföng annarra viðtakenda eins og áður segir.

Í málinu er einnig fram komið að kvartandi var upplýst um fyrirkomulag á tölvupóstsendingum frá [X] og að kvartandi samþykkti munnlega að móttaka upplýsingar frá henni með þeim hætti. Það að kvartandi hafi veitt samþykki sitt fyrir að vera á tölvupóstlista ábyrgðaraðila og fá senda tölvupósta með áminningum um tímabókanir felur ekki í sér samþykki fyrir því að persónuupplýsingum hennar væri miðlað áfram af hálfu ábyrgðaraðila með fjöldapósti.

Stóð því engin heimild til miðlunarinnar samkvæmt 1. mgr. 8. gr. og 1. mgr. 9. gr. laga nr. 77/2000. Var hún því andstæð ákvæðum laganna.

Þá bar [X] að gæta þess að öll meðferð persónuupplýsinga sem unnið var með væri í samræmi við vandaða vinnsluhætti, samkvæmt 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 ásamt því að tryggja öryggi við vinnslu persónuupplýsinga, sbr. 11. gr. sömu laga. Það var ekki gert þegar nafn og netfang kvartanda var sett í efnislínu fjöldatölvupósts frá [X] og var því vinnslan ekki í samræmi við framangreind ákvæði.

Í málinu liggur fyrir að ábyrgðaraðili brást strax við þegar atvikið kom upp til að takmarka tjón og gera viðeigandi ráðstafanir til að reyna að koma í veg fyrir að upplýsingunum yrði miðlað til fleiri viðtakenda. Þá upplýsti ábyrgðaraðili viðkomandi skurðlækni um að hluti skjólstæðinga hans hafi verið á umræddum fjöldapóstlista. Að mati Persónuverndar greip [X] því til fullnægjandi ráðstafana til að lágmarka það tjón sem gat hlotist af framangreindum öryggisbresti.

Er lagt fyrir [X] að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir, t.d. með notkun sérstaks fjöldasendingarhugbúnaðar, sem taki mið af eðli, umfangi, samhengi, tilgangi og áhættu fyrir réttindi og frelsi skráðra einstaklinga, sbr. 23. gr. laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018, til að koma í veg fyrir að sambærilegt tilvik endurtaki sig.

Líkt og áður hefur komið fram urðu atvik máls í gildistíð eldri laga nr. 77/2000 en samkvæmt þeim lögum hafði Persónuvernd ekki heimild til að leggja á stjórnvaldssektir vegna brota á lögunum. Kemur því ekki til skoðunar hér hvort tilefni sé til að leggja á stjórnvaldssektir vegna atviksins, sem heimilt er samkvæmt núgildandi lögum, en um fyrirmæli sem lúta að því að grípa til ráðstafana fer eftir þeim.

Ú r s k u r ð a r o r ð:

Miðlun [X] á persónuupplýsingum [A] með sendingu tölvupósts hinn […] samrýmdist ekki lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Þá var öryggi við vinnslu persónuupplýsinga ekki í samræmi við ákvæði 1. tölul. 1. mgr. 7. gr. og 11. gr. laganna.

Er lagt fyrir [X] að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taki mið af eðli, umfangi, samhengi, tilgangi og áhættu fyrir réttindi og frelsi skráðra einstaklinga, sbr. 23. gr. laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.

Skal [X] senda Persónuvernd staðfestingu á því að farið hafi verið að fyrirmælum stofnunarinnar fyrir 1. október 2019.

F.h. Persónuverndar,

Helga Þórisdóttir                       Vigdís Eva Líndal