Úrlausnir

Heimild SÁÁ til að afhenda TR lista

Úrskurður

30.5.2006

Hinn 11. janúar 2002 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í málinu nr. 2001/83:

I

Með bréfi dags. 17. maí 2001 sendi Karl Steinar Guðnason, forstjóri, f. h. Tryggingastofnunar ríkisins (TR), Persónuvernd beiðni um "formlegan úrskurð" varðandi heimild/skyldu SÁÁ til að afhenda TR lista yfir þá sem hafa dvalist á Vogi. Tilefni erindisins er ágreiningur stofnunarinnar við SÁÁ, sem rekur Vog, og neitar að verða við beiðni TR um afhendingu lista yfir þá sem þar dveljast.

II
Forsaga málsins
Málavextir
1.

Aðdragandi máls þessa nær aftur til ársins 1994 en þá fékk TR heimild Tölvunefndar til að mynda skrá með upplýsingum um legutíma á sjúkrastofnunum. Var heimilað að skráin hefði að geyma upplýsingar um kennitölu einstaklings á innlögn, kennitölu innlagnarstofnunar, innlagnardag (og tíma), brottfarardag (og tíma) og tegund deildar (legudeild, dagdeild, 5 daga deild).

2.

Með bréfi, dags. 20. mars 1996, óskaði Þórarinn Tyrfingsson, yfirlæknir á Sjúkrahúsinu Vogi eftir leiðbeiningum Tölvunefndar um hverjar væru lagalegar skyldur yfirlæknis varðandi upplýsingaskyldu til TR um innritaða sjúklinga og hvaða upplýsingar eðlilegt væri að láta stofnuninni í té. Var vísað til þess að varhugavert gæti verið fyrir ségreinda sjúkrastofnun að veita umbeðnar upplýsingar út frá sjónarmiðum um einkalífsvernd sjúklinga. Að fenginni afstöðu TR til þess hvort hægt væri að ná settum markmiðum með skránni án þess að skráð væru einkenni stofnunar önnur en kennitala hennar og að fengnum umsögnum frá heilbrigðis- og tryggingaráðuneyti og landlækni, ákvað nefndin að leggjast gegn því að TR héldi skrá með öðrum upplýsingum um einkenni sjúkrastofnunar en kennitölu hennar. Var með því staðfest fyrri afstaða Tölvunefndar, dags 21. júlí 1994, um hvaða persónuupplýsingar TR væri heimilt að fá og færa á leguskrá. Þessi niðurstaða var tilkynnt með bréfi Tölvunefndar, dags. 16. desember 1996.

3.

Þann 17. janúar 2000 barst Tölvunefnd fyrirspurn um lögmæti fyrirmæla í dreifibréfi TR, dags. 13. desember 1999, til sjúkrahúsa, hjúkrunarheimila og vistheimila um að skrá og miðla til TR upplýsingum um sjúkrahúslegu og vistun á dvalarheimilum.

Af fenginni framangreindri fyrirspurn ritaði Tölvunefnd bréf til TR, dags. 8. mars 2000, þar sem óskað var upplýsinga um hvort TR væri nú að biðja um aðrar upplýsingar en henni var heimilað að skrá skv. fyrri ákvörðun Tölvunefndar. Í svarbréfi TR, dags. 14. mars 2000, kom fram að TR bæði sjúkrastofnanir um eftirfarandi upplýsingar:
* Kennitala stofnunar.
* Kennitala þess sem er vistaður og stundum nafn.
* Komudagur, komutími.
* Hvaðan viðkomandi kom samkvæmt sérstökum lista yfir kóða.
* Brottfarardagur og tími.
* Hvert viðkomandi fór samkvæmt sérstökum lista yfir kóða.

Tölvunefnd taldi framangreinda söfnun og skráningu vera í samræmi við þá heimild sem hún hafði áður veitt og því gæfi umrætt dreifibréf TR ekki ástæðu til frekari aðgerða.

4.

Með bréfi, dags. 5. janúar 2001, óskaði Þórarinn Tyrfingsson, yfirlæknir á Vogi, leiðbeininga Persónuverndar. Tilefnið var sem fyrr beiðni TR um að fá upplýsingar um þá sem dvalist hefðu á Vogi. Í umræddu bréfi er spurt hvort SÁÁ sé skylt eða heimilt að afhenda TR upplýsingar um það hverjr dveljast þar.

Af tilefni framangreindrar fyrirspurnar og gildistöku nýrra laga um meðferð persónuupplýsinga, l. nr. 77/200, fór Persónuvernd þess á leit við TR, með bréfi dags. 18. janúar sl., að útskýrt yrði hvaða heimild TR teldi standa til þess að SÁÁ afhenti TR lista yfir þá sem dvelja á Vogi. Jafnframt var TR beðin um að gera Persónuvernd grein fyrir því í hvaða tilgangi TR hyggðist nota upplýsingarnar og hvernig stofnunin sæi fyrir sér að tryggja mætti öryggi upplýsinganna.

Í svarbréfi TR, dags. 30. janúar sl., er talið að lagaheimild til vinnslunnar styðjist við 5. mgr. 43. gr. laga nr. 117/1993 um almannatryggingar en þar segir m.a.:

"Ef elli- eða örorkulífeyrisþegi dvelst lengur en í mánuð samfellt á stofnun eða vistheimili sem er á föstum fjárlögum eða þar sem sjúkratryggingar greiða fyrir hann fellur lífeyrir hans niður ef vistin hefur verið lengri en fjórir mánuðir undanfarna 24 mánuði."

Þá er vísað til þess í bréfi TR að Vogur falli undir þetta ákvæði laganna og útskýrt að fái TR ekki upplýsingar um sjúklinga, sé TR gert ókleift að rækja lögbundið hlutverk sitt vegna þess að þá geti hún ekki fellt niður greiðslu bóta. Síðan segir:

"Á það hefur verið bent í fyrri bréfum þ.e. til Tölvunefndar að ofgreiðslur uppgötvast oft þegar frá líður. Þá er hafist handa við að leita uppi viðkomandi einstakling. Sú leit kostar einstaklinginn athygli, sem vissulega er óþörf sinni SÁÁ skyldu sinni að senda téðar upplýsingar.
TR mun tryggja öryggi téðra upplýsinga mjög vandlega. Geta má þess að stofnunin fær þegar leguupplýsingar frá öllum sjúkrastofnunum utan SÁÁ. Auðvelt er að fela einum starfsmanni persónulega að sjá alfarið um vinnslu upplýsinganna og að eyða þeim eftir að vinnslu lýkur."

Með bréfi dags. 9. febrúar 2001 gerði Persónuvernd almennt grein fyrir breyttu lagaumhverfi um vinnslu viðkvæmra upplýsingar og skýrði hlutverk SÁÁ sem ábyrgðaraðila. Í maí sama ár barst Persónuvernd síðan beiðni TR um formlegan úrskurð Persónuverndar þar sem leyst verði úr ágreiningi TR og SÁÁ um skyldu/heimild SÁÁ til að "veita téðar upplýsingar".

5.
Rök SÁÁ

Að fenginni framangreindri beiðni TR, dags. 17. maí 2001, um formlegan úrskurð Persónuverndar um skyldu/heimild SÁÁ til að "veita téðar upplýsingar" gaf Persónuvernd yfirlækni Vogs kost á að koma sínum sjónarmiðum á framfæri. Í svarbréfi SÁÁ, dags. 28. ágúst sl., er synjun um afhendingu umbeðinna upplýsinga skýrð með vísun til þess að um sé að ræða viðkvæmar persónuupplýsingar, skv. c-lið 8. tl. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Upplýsingar um lyfja, áfengis- og vímuefnanotkun teljist til viðkvæmra upplýsinga en þeir sem dveljast á sjúkrastofnunum SÁÁ hafi átt við áfengis- eða vímuefnavanda að etja. Samkvæmt 9. gr. sömu laga sé vinnsla slíkra upplýsinga einungis heimil ef einhver þeirra undantekninga, sem þar eru tilgreindar eigi við. Komi þar einkum til álita 2. tl. og 8. tl. 1. mgr. 9. gr. laganna. Samkvæmt 2. tl. sé vinnsla viðkvæmra persónuupplýsinga heimil standi sérstök heimild til vinnslunnar samkvæmt öðrum lögum. SÁÁ segir að í bréfi tryggingayfirlæknis til aðstoðarlandlæknis, dags. 18. desember 2000, komi fram að TR byggi mál sitt á tveimur lagaákvæðum, 12. gr. læknalaga nr. 53/1988 og 5. mgr. 43.gr. laga nr. 117/1993 um almannatryggingar. Af hálfu SÁÁ er ekki talið að í tilvitnaðri grein almannatryggingalaga felist heimild til vinnslu með viðkvæmar persónuupplýsingar og að í 12. gr. læknalaga sé aðeins kveðið á um skyldu læknis til að láta hinu opinbera í té vottorð um þá sjúklinga sem hann annist, þegar slíkra vottorða er krafist, vegna viðskipta sjúklinga við hið opinbera. Þá segir í bréfinu:

"Umbj. okkar telur, að af samræmisskýringu þessa ákvæðis og 11. gr. læknalaga leiði, að skylda læknis samkvæmt 12. gr. taki einungis til vottorða eins og þau eru skilgreind samkvæmt 11. gr. laganna, en geti ekki náð til þess að láta í té lista yfir sjúklinga eins og TR hefur óskað eftir. Umbj. okkar telur einnig að með vísan til ákvæðis 15. gr. læknalaga um þagnarskyldu beri að skýra ákvæði 12. gr. þröngri lögskýringu."

Vísar SÁÁ til forsögu ákvæðis 12. gr. læknalaga, sem styrki framangreinda lögskýringu. Segir síðan:

"Yrði talið að umbj. okkar væri skylt að afhenda TR umbeðnar upplýsingar á grundvelli 12. gr. læknalaga telur hann, að lagaheimildin sé ekki nægilega skýr til þess að heimila vinnslu persónuupplýsinga í skilningi 2. tölul. 2. gr. persónuverndarlaga. Vísar hann í því sambandi til þess sem segir í athugasemdum við 2. tölul. 1. mgr. 9. gr. frumvarps þess er varð að persónuverndarlögum en þar segi m.a.: "Skýring slíkst lagaákvæðis ræðst þá m.a. af því hvort löggjafinn hafi í raun tekið tillit til þeirra almennu persónuupplýsinga. Verður skilyrði 2. tölul. tæplega talið uppfyllt nema fyrir liggi að löggjafinn hafi skoðað slík sjónarmið en engu að síður talið vinnsluna nauðsynlega vegna almannahagsmuna." Af því sem rakið var hér að framan um forsögu ákvæðis 12. gr. læknalaga er ljóst, að engin afstaða hefur verið tekin til þess af hálfu löggjafans, hvort almannahagsmunir réttlæti vinnslu persónuupplýsinga í þessu tilfelli, s.s. ekki hafi verið tekið tillit til almennra persónuverndarsjónarmiða."

SÁÁ telur að 8. tl. 1. mgr. 9. gr. laga 77/2000 nái til þeirra stofnana sem starfa á grundvelli laga nr. 97/1990, um heilbrigðisþjónustu en það eigi ekki við um TR. TR annist hins vegar greiðslu lífeyristrygginga, slysatrygginga og sjúkratrygginga, sbr. 1. mgr. 2. gr. almannatryggingalaga og sé lagaákvæði um stjórnsýslulega stöðu hennar að finna í þeim lögum. Stofnunin teljist því ekki til stofnana á sviði heilbrigðisþjónustu og verði vinnsla viðkvæmra persónuupplýsinga því ekki byggð á 8. tölul. 1. mgr. 9. gr. laga nr. 77/2000.

6.
Rök TR

Með bréfi, dags. 4. október sl, var TR kynnt svarbréf SÁÁ og veittur kostur á að koma að sjónarmiðum sínum. Svar TR barst Persónuvernd með bréfi dags. 25. október sl. Þar kemur fram að stofnunin telji að þau ákvæði almannatryggingalaga sem einkum eigi við í málinu, séu annars vegar 34. og 36. gr. laganna og hins vegar 5. mgr. 43. gr. TR bendir á að samkvæmt 34. gr. almannatryggingalaga eigi inniliggjandi sjúklingar á sjúkrahúsum rétt á ókeypis þjónustu s.s. vegna lyfja, þjálfunar eða sérfræðiþjónustu sem TR greiði fyrir. Samkvæmt 36. gr. beri TR að greiða fyrir sjúkrahjálp utan sjúkrahúsa að uppfylltum ákveðnum skilyrðum. TR sé því nauðsynlegt að hafa upplýsingar um inniliggjandi sjúklinga til að geta fylgst með því hvort greiða beri fyrir tiltekna þjónustu. Er sérstaklega tekið fram að TR fái slíka lista frá öllum öðrum sjúkrastofnunum. Hið sama eigi við um ákvæði 5. mgr. 43. gr. laganna sem kveður á um hvenær beri að fella niður elli- og örorkustyrk vegna dvalar á stofnun eða á vistheimili. Þá segir í bréfinu:

"Fyrir liggur að Tryggingastof[n]un rík[i]sins hefur þörf fyrir upplýsingar um sjúklinga sem dvelja á stofnunum SÁÁ. Stofnunin bendir á að SÁÁ hefur um árabil athugasemdalaust veitt TR upplýsingar um þá elli- og örorkulífeyrisþega sem dvelja á áfangaheimilum SÁÁ og fá greidda 80% uppbót á lífeyri og telur TR að ekki eigi að gilda mismunandi reglur um slíka upplýsingagjöf eftir því hvort áhrif reynast hafa ívilnandi eða íþyngjandi áhrif fyrir bótaþega."

Af hálfu TR er síðan talið að óumdeilt hljóti að teljast að meginreglur um þagnarskyldu og aðrar skyldur heilbrigðisstarfsmanna sem byggja á reglum læknalaga nr. 53/1988 taki til heilbrigðisstarfsmanna sem starfa á stofnunum SÁÁ á sama hátt og þeirra sem starfa á öðrum heilbrigðisstofnunum eða eru sjálfstætt starfandi. Þá kveði 12. gr. læknalaga skýrt á um skyldu læknis til að láta hinu opinbera í té vottorð um sjúklinga sem hann annast þegar slíkra vottorða sé krafist vegna viðskipta sjúklinga við hið opinbera. Í lögskýringagögnum komi fram mikilvæg vísbending um að löggjafinn hafi m.a. ætlast til þess að slík vottorð væru látin af hendi vegna greiðslna frá almannatryggingum. Bent er á að þær upplýsingar sem TR þarf á að halda séu ekki vottorð með efnislegum upplýsingum um sjúkling heldur einungis hvort tiltekinn aðili dveljist á sjúkrastofnun á vegum SÁÁ.

Þá kemur fram að TR telji ekki rétt að túlka einstök ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga en vilji þó vekja sérstaka athygli á sjálfstæðri heimild Persónuverndar til að leyfa vinnslu viðkvæmra persónuuuplýsinga í 2. mgr. 9. gr. laganna. Að lokum bendir TR á að ofgreiðslur valdi viðkomandi sjúklingum óþægindum. Þá telur TR að upplýsingar um að tiltekinn aðili dvelji á stofnun á vegum SÁÁ séu ekki viðkvæmari en aðrar persónuupplýsingar sem sendar eru frá öðrum heilbrigðisstofnunum og lyfsölum. Um starfsmenn TR gildi ákvæði 18. gr. laga nr. 70/1996 um réttindi og skyldur starfsmanna, en að auki og til fyllingar undirriti starfsmenn sérstakan trúnaðareið við ráðningu.

Með bréfi Persónuverndar, dags. 26. nóvember sl., var TR beðin um að skýra frekar hvaða brýnu almannahagsmunir stofnunin teldi til staðar sem leitt geti til þess að skilyrði 2. mgr. 9. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga verði talin uppfyllt. Í svarbréfi stofnunarinnar, dags. 13. desember sl., segir:

"TR er ætlað að deila út gríðarlegum fjármunum á hverju ári. Samkvæmt fjárlögum ársins 2002 munu útgjöld stofnunarinnar nema liðlega 29 milljörðum króna. Ætla má að hver einasti Íslendingur eigi fyrr eða síðar viðskipti við stofnunina. Hér eru því hagsmunaaðilar margir auk þess sem um mjög miklar fjárhæðir af almannafé er að ræða.
Það eru því augljóslega brýnir almannahagsmunir að því fé sé réttilega varið samkvæmt gildandi reglum og lögum á hverjum tíma. Brýnir almannahagsmunir eru því til þess að stofnunin geri allt sem í hennar valdi stendur til að tryggja rétta afgreiðslu við uppgjör krafna um bætur og alla þjónustu er stofnunin veitir. Til þess að gegna lögboðnu hlutverki sínu eins vel og kostur er er TR nauðsynlegt, eðli máls samkvæmt, að hafa aðgang að ákveðnum gögnum, m.a. tilteknum gögnum frá SÁÁ, til að geta sannreynt rétta afgreiðslu og réttmæti greiðslna."
III
Forsendur og niðurstöður
1.

Í máli þessu er deilt um hvort SÁÁ megi afhenda TR lista yfir þá sem dvelja á Vogi. SÁÁ hefur neitað að afhenda TR framangreindar upplýsingar á þeirri forsendu að um viðkvæmar persónuupplýsingar sé að ræða þar sem allir þeir sjúklingar sem dvelja á stofnunum á þeirra vegum hafi átt við áfengis- eða vímuefnavanda að etja og að SÁÁ sé hvorki heimilt né skylt að afhenda TR þær upplýsingar.

Í lögum nr. 77/2000 eru ítarleg ákvæði um verkefni og skyldur ábyrgðaraðila. Hugtakið ábyrgðaraðili er skilgreint í 4. tl. 2. gr. laganna sem: "Sá aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna." Varðandi það hver er ábyrgðaraðili þeirra upplýsinga sem unnar eru á vegum SÁÁ ber að líta til 9. gr. reglugerðar nr. 227/1991, um sjúkraskrár og skýrslugerð varðandi heilbrigðismál. Samkvæmt henni ber yfirlæknir á deild eða ódeildaskiptri heilbrigðisstofnun ábyrgð á vörslu og meðferð sjúkraskráa meðan sjúklingur dvelur þar. Forstöðumenn bera ábyrgð á skjalavörslu sjúkrastofnana. Á grundvelli þessa reglugerðarákvæðis, meginreglu 2. mgr. 29. gr. laga nr. 97/1990, um heilbrigðisþjónustu, svo og 2. og 3. mgr. 14. gr. laga nr. 74/1997, um réttindi sjúklinga, hefur verið talið að yfirlæknir á deild eða ódeildaskiptri heilbrigðisstofnun og læknar sem starfa á eigin vegum séu bærir til þess að taka ákvörðun um hvort lagaskilyrði séu uppfyllt til að veita aðgang að sjúkraskrá sem þeir eru vörslumenn að, enda sé ekki á annan veg mælt í sérlögum. Þetta gildir jafnt um sjúklinga sem eru til meðferðar, hafa verið til meðferðar og þá sem látnir eru. Þeim sem skv. framanrituðu telst vera ábyrgðaraðili er skylt að beita ráðstöfunum til að tryggja öryggi þeirra upplýsinga sem hann ber ábyrgð á, m.a. að viðhafa viðeigandi ráðstafanir til að vernda þær gegn aðgangi óviðkomandi aðila.

Í 15. gr. læknalaga nr. 53/1988 er ákvæði um þagmælsku um upplýsingar um sjúkdóma og önnur einkamál, eða atriði sem hlutaðeigandi heilbrigðisstarfsmaður fær vitneskju um í starfi sínu og leynt skulu fara samkvæmt lögum eða eðli málsins. Í 12. gr. laga nr. 74/1997, um réttindi sjúklinga, er að finna ítarlegri reglur um þagnarskyldu en fyrrnefnd lög hafa að geyma. Þar er kveðið svo á að starfsmaður í heilbrigðisþjónustu skuli gæta fyllstu þagmælsku um allt það sem hann hefur komist að í starfi sínu um heilsufar sjúklings, ástand, sjúkdómsgreiningu, horfur og meðferð ásamt öðrum persónulegum upplýsingum. Þeir sem koma að meðferð, hjúkrun eða þjónusturannsóknum, sem ætlað er að fyrirbyggja, greina eða lækna sjúkdóm hjá tilteknum sjúklingi er almennt heimilt að vinna með nauðsynlegar heilsufarsupplýsingar um sjúklinginn. Aðgangur þessara heilbrigðis starfsmanna að nauðsynlegum heilsufarsupplýsingum um sjúkling undir lögmætri stjórn og eftirliti er ekki brot á þagnarskyldu. Þá er t.d. ekki heldur brot á þagnarskyldu að láta sjúkling sjálfan fá aðgang að sjúkraskrá sinni eða að veita öðrum aðilum aðgang að sjúkraskrá mæli lög svo skýrlega fyrir, sbr. 1. mgr. 13. gr. og 2. málsl. 2. mgr. 14. gr. laga nr. 74/1997, um réttindi sjúklinga, og 2. mgr. 15. gr. læknalaga nr. 53/1988 eða að veita aðgang að sjúkraskrá á grundvelli leyfis tölvunefndar, eða nú Persónuverndar sbr. 2. mgr. 9. gr. laga nr. 77/2000, og 3. mgr. 15. gr. laga nr. 74/1997, um réttindi sjúklinga.

Af framanrituðu leiðir að áður en ábyrgðaraðili veitir óviðkomandi aðila aðgang að sjúkraskrá verður hann að fullvissa sig um að hlutaðeigandi hafi fullnægjandi heimild til aðgangs að sjúkraskránni lögum samkvæmt. Verði afhending upplýsinganna ekki studd við slíka heimild er ábyrgðarðaila óheimilt að veita aðganginn. Veiti læknir eða annar heilbrigðisstarfsmaður einhverjum aðgang að sjúkraskrá án þess að slík heimild sé fyrir hendi hefur þagnarskylda verið rofin sem varðað getur viðurlögum.

2.

Hugtakið viðkvæmar persónuupplýsingar er skilgreint í 8. tölul. 2 gr. laga nr. 77/2000. Fram kemur í c-lið að upplýsingar um heilsuhagi, þar á meðal um lyfja-, áfengis- og vímuefnanotkun, teljist viðkvæmar persónuupplýsingar. Á vegum SÁÁ fer einungis fram meðferð við tilgreindum sjúkdómum, þ.e. misnotkun áfengis- og vímuefna. Vegna þessa sérgreinda heilsufarssviðs, verður að fallast á það með SÁÁ að listi yfir þá sjúklinga sem hjá þeim dveljast, feli í sér viðkvæmar persónuupplýsingar í skilningi 8. tl. 2. gr. laga nr. 77/2000. Kveðið er á um heimildir fyrir vinnslu slíkra upplýsinga í 9. gr. laga nr. 77/2000. Þarf eitt þeirra skilyrða sem þar er rakið að vera fyrir hendi til að vinnsla teljist heimil, auk einhvers þeirra almennu skilyrða sem rakin eru í 8. gr. sömu laga. Ekki verður séð að nokkurt skilyrða 1. mgr. 9. gr. eigi við í því máli sem hér um ræðir. Samkvæmt 2. mgr. 9. gr. getur Persónuvernd hins vegar heimilað vinnslu viðkvæmra persónuupplýsinga í öðrum tilvikum en greinir í 1. mgr., ef skilyrðum ákvæðisins, m.a. um ,, brýna almannahagsmuni" er fullnægt. Persónuvernd hefur ekki borist umsókn um slíkt leyfi. TR hefur hins vegar allt frá árinu 1994 haft heimild tölvunefndar til að halda skrá með tilteknum upplýsingum um sjúklinga og legutíma á sjúkrastofnunum. Samkvæmt þeirri ákvörðun tölvunefndar má skráin hafa að geyma upplýsingar um kennitölu einstaklings á innlögn, kennitölu innlagnarstofnunar, innlagnardag (og tíma), brottfarardag (og tíma) og tegund deildar (legudeild, dagdeild, 5 daga deild). Slík heimild felur þó ekki í sér skyldu fyrir skrárhaldara, í þessu tilviki SÁÁ, til að afhenda umræddar upplýsingar.

Samkvæmt ákvæði til bráðabirgða með lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga halda gildi sínu þau leyfi sem tölvunefnd veitti á starfstíma sínum. Umrædd heimild sem tölvunefnd gaf út þann 21. júlí 1994 hefur ekki verið felld úr gildi. Samkvæmt því verður að telja TR hafa fullnægjandi heimild lögum samkvæmt til aðgangs að eftirfarandi upplýsingum og að SÁÁ sé þ.a.l. heimilt að afhenda TR þær án þess að rjúfa þagnarskyldu:
* Kennitala stofnunar.
* Kennitala þess sem er vistaður og stundum nafn.
* Komudagur, komutími.
* Hvaðan viðkomandi kom samkvæmt sérstökum lista yfir kóða.
* Brottfarardagur og tími.
* Hvert viðkomandi fór samkvæmt sérstökum lista yfir kóða. ...

Persónuvernd bindur leyfi sín tilteknum skilyrðum. Hefur hún, og áður tölvunefnd, tekið mið af tilmælum ráðherraráðs Evrópuráðsins nr. R(97)5 um vernd læknisfræðilegra gagna. Í ljósi ákvæða 11. gr. laga nr. 77/2000, sbr. 5. gr. l. nr. 90/2001, skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Í 7. gr. sömu laga er að finna fyrirmæli um að þess skuli gætt við meðferð persónuupplýsinga að nota aðeins viðeigandi upplýsingar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Í ljósi framangreinds er eðlilegt að sérstakar ráðstafanir verði viðhafðar til að tryggja að framangreindum ákvæðum verði fullnægt. Samkvæmt 37. gr. laganna er það meðal verkefna Persónuverndar að veita þeim sem vinna með persónuupplýsingar leiðsögn í þeim efnum. Mun hún, verði eftir því leitað, veita leiðbeiningar um hvernig lágmarka megi hættu á því að umrædd upplýsingamiðlun skerði friðhelgi einkalífs þeirra einstaklinga sem hlut eiga að máli.

Úrskurðarorð:

Yfirlækni SÁÁ er heimilt að afhenda TR lista yfir kennitölur þeirra sem dvelja á Vogi, í samræmi við ákvörðun tölvunefndar dags. 21. júlí 1994.

Í Persónuvernd 11. janúar 2002



Páll Hreinsson, formaður



Valtýr Sigurðsson Haraldur Briem



Anna Soffía Hauksdóttir Guðbjörg Sigurðardóttir


Var efnið hjálplegt? Nei