Vinnsla heilbrigðisstofnunar á persónuupplýsingum og afgreiðsla aðgangsbeiðni

Mál nr. 2020010654 og 2020010684

29.6.2021

Úrskurður

Hinn 15. júní 2021 kvað Persónuvernd upp svohljóðandi úrskurð í málum nr. 2020010654 (áður 2019071419) og 2020010684 (áður 2019102035):

I.
Málsmeðferð

1.
Tildrög máls

Hinn 22. júlí 2019 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga hennar af hálfu [heilbrigðisstofnunarinnar X]. Laut kvörtunin nánar tiltekið að því að upplýsingum um heilsufar kvartanda, sem hún hafði sent tilteknum heilbrigðisstarfsmönnum [X] með tölvupósti, hefði verið miðlað til starfsmannaþjónustu [X], en kvartandi var bæði starfsmaður á [X] og hafði nýtt heilbrigðisþjónustu þar. Afrit tölvupóstsins var meðal fylgigagna kvörtunarinnar en ekki þykir ástæða til að rekja efni hans hér sérstaklega.

Með bréfi, dags. 30. september s.á., var [X] tilkynnt um hina framkomnu kvörtun og […] boðið að koma á framfæri skýringum vegna hennar. Svarað var með bréfi, dags. 18. október s.á. Með bréfi, dags. 21. nóvember s.á., var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið [X]. Svarað var af hálfu lögmanns kvartanda með bréfi, dags. 11. desember s.á.

Þann 25. október s.á. barst Persónuvernd viðbótarkvörtun frá kvartanda vegna [X]. Laut viðbótarkvörtunin annars vegar að því að upplýsingar um heilsufar kvartanda, sem fram hefðu komið í samtölum starfsmannaþjónustu [X] við aðra starfsmenn, hefðu verið skráðar, færðar á rafrænt form og varðveittar á tölvudrifi. Laut kvörtunin hins vegar að því að [X] hefði synjað beiðni kvartanda um afrit af umræddum upplýsingum. Kvörtuninni fylgdi meðal annars afrit af tölvupósti mannauðsstjóra [X] til lögmanns kvartanda, […], þar sem gerð var grein fyrir efni umræddra samtala.

Með bréfi, dags. 25. mars 2020, var [X] tilkynnt um hina framkomnu viðbótarkvörtun og […] boðið að koma á framfæri skýringum vegna hennar. Svarað var með bréfi, dags. 4. maí s.á. Með bréfi, dags. 25. ágúst s.á. óskaði Persónuvernd eftir frekari upplýsingum frá [X] varðandi afgreiðslu aðgangsbeiðni kvartanda. Svarað var með bréfi, dags. 14. september 2020. Með bréfi, dags. 29. október s.á., var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið [X]. Svarað var af hálfu lögmanns kvartanda með bréfi, dags. 12. nóvember s.á.

Með bréfi, dags. 8. mars 2021, óskaði Persónuvernd eftir afriti af þeim gögnum sem málið varðar frá [X], í því skyni að leggja mat á það hvort þar væru skráðar viðkvæmar persónupplýsingar um kvartanda og hvort kvartandi ætti rétt til aðgangs að upplýsingum úr gögnunum. Umbeðin gögn bárust 23. s.m.

Með hliðsjón af aðild að málunum og eðli umkvörtunarefna hefur Persónuvernd ákveðið að taka báðar kvartanirnar saman til úrlausnar í úrskurði þessum.

Við úrlausn málanna hefur verið tekið tillit til allra málsgagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði. 

Meðferð málanna hefur tafist vegna mikilla anna hjá Persónuvernd.

2.
Sjónarmið kvartanda

Af hálfu kvartanda hefur komið fram að hún starfaði hjá [X] en hún hafi jafnframt þegið þar tiltekna heilbrigðisþjónustu sem hafi valdið henni heilsutjóni. Hún hafi af þeim sökum sagt upp starfi sínu hjá [X]. Í kjölfar þess […] hafi mannauðsráðgjafi [X] haft samband símleiðis við kvartanda með það fyrir augum að kanna hug hennar til þess að draga uppsögn sína til baka. Í umræddu símtali hafi mannauðsráðgjafinn að fyrra bragði rætt um tölvupóst sem kvartandi hafði sent tilteknum heilbrigðisstarfsmönnum [X] varðandi framangreint heilsutjón hennar. Tölvupósturinn hefði verið sendur úr einkanetfangi kvartanda og þar sérstaklega tekið fram að hún kæmi þar fram sem sjúklingur en ekki starfsmaður [X]. Mannauðsráðgjafinn hafi hins vegar að neitað að upplýsa kvartanda um þann starfsmann sem veitt hefði upplýsingar um tölvupóstinn. Telur kvartandi ljóst samkvæmt þessu að tölvupóstinum eða efni hans hafi verið miðlað til starfsmannaþjónustu [X] af öðru starfsfólki [stofnunarinnar], sem bundið hafi verið þagnarskyldu.

Þá kemur fram í máli kvartanda að hún hafi með erindi [árið 2019] óskað eftir afriti af öllum gögnum sem starfsmannaþjónusta [X] hefði um hana. Þeirri beiðni hafi verið svarað [um tveimur og hálfum mánuði síðar]. [Um viku síðar] hafi lögmaður kvartanda óskað eftir afriti af skráningu mannauðsráðgjafans á punktum úr viðtölum við starfsmenn þar sem kvartandi hafi talið ljóst að þar væru skráðar persónuupplýsingar hennar. Umræddar upplýsingar hafi verið færðar í rafrænt skjal og varðveittar á drifi starfsmannaþjónustunnar. Þessari beiðni hafi verið synjað [um tveimur vikum síðar] með tölvupósti af hálfu mannauðsstjóra [X], meðal annars með vísan til þess að umrædd gögn hefðu að geyma upplýsingar um persónuleg málefni annarra en kvartanda. Telur kvartandi undanþágur frá aðgangsrétti hennar ekki hafa átt við um umrædd gögn. 

Kvartandi telur ljóst af gögnum málsins að vinnsla persónuupplýsinga af hálfu starfsmannaþjónustu [X] hafi einkum tengst þeirri heilbrigðisþjónustu sem hún þáði á [X] og afleiðingum hennar. Því sé um vinnslu viðkvæmra persónuupplýsinga að ræða og er í því sambandi vísað til fyrrgreinds tölvupósts frá mannauðsstjóra [X] […]. 

Af hálfu kvartanda er á því byggt að sú vinnsla persónuupplýsinga hennar sem hér er til umfjöllunar hafi farið fram í heimildarleysi, sbr. 9. gr. og 1. mgr. 11. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Að auki hafi [X] ekki gætt að kröfu 1. tölul. 1. mgr. 8. gr. sömu laga við vinnsluna.

3.
Sjónarmið [X]

Af hálfu [X] er á því byggt að starfmannaþjónusta [stofnunarinnar] hafi aðeins unnið með persónuupplýsingar um kvartanda sem starfsmann […] en ekki sem sjúkling. Vinnslan hafi miðað að því að stuðla að endurkomu kvartanda til starfa. Viðkvæmar persónuupplýsingar kvartanda hafi hins vegar ekki verið unnar í tengslum við mál á vegum starfsmannaþjónustunnar. Mannauðsráðgjafi [X] hafi fengið upplýsingar um að kvartandi hefði sent tilgreindu starfsfólki [X] tölvupóst en tölvupósturinn hafi hvorki verið framsendur til mannauðsráðgjafans af hálfu annarra starfsmanna, né hafi [borist] upplýsingar um efni hans, fyrr en kvartandi hafi sjálf veitt þær upplýsingar í símtali þeirra […]. 

Þá hafi kvartandi veitt starfsmannaþjónustu [X] heimild til að skoða gögn tengd læknismeðferð sem kvartandi undirgekkst á [X], auk þess sem hún hafi tekið virkan þátt í meðferð starfsmannamáls sem tengdist læknismeðferðinni. Telur [X] að [starfsmannaþjónustan] hafi unnið með persónuupplýsingar um kvartanda á grundvelli samþykkis hennar, sbr. 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018.

Auk þess hafi verið gætt að meginreglum 1. mgr. 8. gr. laga nr. 90/2018 við vinnsluna, þar sem persónuupplýsinga hafi einkum verið aflað frá kvartanda með samtölum við hana sjálfa. Ávallt hafi verið ljóst að það hafi verið gert í þágu þess að stuðla að endurkomu kvartanda til starfa hjá [X]. Kvartanda hafi því verið kunnugt um vinnslu persónuupplýsingar af hálfu starfsmannaþjónustunnar.

Hvað afgreiðslu aðgangsbeiðni kvartanda varðar byggir [X] á því að hún hafi verið afgreidd [árið 2019] með bréfi og afhendingu tilgreindra gagna. [Um viku síðar] hafi lögmaður kvartanda óskað afhendingu frekari gagna varðandi viðtöl starfsmannaþjónustu [X] við starfsmenn [stofnunarinnar]. Þeirri beiðni hafi [X] hafnað með tölvupósti [um tveimur vikum síðar] með vísan til þess að um væri að ræða upplýsingar um aðra starfsmenn en kvartanda. Vísar [X] til 3. mgr. 17. gr. laga nr. 90/2018 í því sambandi.

4.
Athugun Persónuverndar

Sem fyrr greinir aflaði Persónuvernd afrita af þeim gögnum sem málið varðar frá [X], í því skyni að leggja mat á það hvort þar væru skráðar viðkvæmar persónupplýsingar um kvartanda og hvort hún ætti rétt til aðgangs að upplýsingum úr gögnunum. 

Persónuvernd bárust minnisblöð um viðtöl starfsmannaþjónustu [X] við tvo starfsmenn [stofnunarinnar]. Í minnisblöðunum er ýmist vísað til upphafsstafa kvartanda eða eiginnafns hennar. Í öðru minnisblaðinu er vísað til aðgerðar, en að mati Persónuverndar er ljóst af samhengi bréfsins að um læknismeðferð var að ræða sem kvartandi undirgekkst. Í hinu minnisblaðinu er ekki vísað til læknismeðferðar kvartanda með sama hætti heldur er þar vísað til ótilgreinds atviks.

Að mati Persónuverndar er meginefni minnisblaðanna þó lýsing viðtala sem tekin voru við starfsmenn [X] og vörðuðu einkum huglæga afstöðu og líðan umræddra starfsmanna í tengslum við samstarf þeirra við kvartanda í kjölfar ótilgreinds atviks eða læknismeðferðar sem starfsmennirnir veittu kvartanda á [X].

II.
Forsendur og niðurstaða

1.
Afmörkun máls – Gildissvið - Ábyrgðaraðili

Þær kvartanir sem hér eru til úrlausnar lúta í fyrsta lagi að því að heilbrigðisstarfsmenn á [X] hafi veitt starfsmannaþjónustu [stofnunarinnar] aðgang að upplýsingum um heilsufar kvartanda. Í öðru lagi varða kvartanirnar lögmæti þeirrar vinnslu persónuupplýsinga kvartanda af hálfu [X] sem fólst í skráningu og varðveislu minnisblaða um samtöl [starfsmannaþjónustunnar], um samstarf tilgreindra starfsmanna við kvartanda. Í þriðja lagi er kvartað yfir synjun [X] um að veita kvartanda aðgang að umræddum minnisblöðum til samræmis við beiðni hennar þar að lútandi. Hins vegar er hvorki kvartað yfir efnislegri afgreiðslu aðgangsbeiðninnar að öðru leyti né afgreiðslutíma hennar. Koma þeir þættir því ekki hér til úrlausnar.

Að þessu virtu varðar mál þetta vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar, sem og 4. tölul. 3. gr. laganna og 2. tölul. reglugerðarinnar. Af því leiðir að umrædd vinnsla persónuupplýsinga fellur undir valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Eins og hér háttar til telst [X] vera ábyrgðaraðili að umræddri vinnslu.

2.
Aðgangur starfsmannaþjónustu að persónuupplýsingum kvartanda

Kvartandi telur að heilbrigðisstarfsmenn [X] hafi gert persónuupplýsingar um heilsufar hennar, sem hún sendi þeim í tölvupósti, aðgengilegar mannauðsráðgjafa í starfsmannaþjónustu stofnunarinnar. Hefur [X] hafnað því að svo hafi verið og fullyrt að vitneskja mannauðsráðgjafans hafi takmarkast við tilvist tölvupóstsins.

Samkvæmt þessu stendur orð gegn orði um það hvort þessi vinnsla persónuupplýsinga hafi farið fram. Með vísan til þessa og þess sem greinir í kafla II.1. um valdsvið Persónuverndar hefur stofnunin ekki forsendur til að taka afstöðu til þess hvort umræddar persónuupplýsingar kvartanda hafi verið gerðar aðgengilegar starfsmannaþjónustu [X] á þann hátt sem greinir í kvörtun. Þá telur Persónuvernd, eins og hér háttar til, ekki tilefni til þess að stofnunin beiti þeim valdheimildum, sem henni eru fengnar í lögum nr. 90/2018, til þess að rannsaka það nánar. Ekki er því unnt að fullyrða að brotið hafi verið gegn rétti kvartanda samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679 að þessu leyti.

3.
Skráning og varðveisla minnisblaða

Kemur þá til úrlausnar lögmæti skráningar persónuupplýsinga kvartanda í minnisblöð og varðveisla þeirra af hálfu [X].

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar, en Persónuvernd telur að líta verði á upplýsingar um læknismeðferð kvartanda, sem skráðar voru í annað minnisblaðið, sem heilsufarsupplýsingar í skilningi b-liðar 3. tölul. 3. gr. laganna og teljast þær því viðkvæmar persónuupplýsingar.

[X] byggir á því að vinnsla persónuupplýsinga um kvartanda hafi grundvallast á samþykki hennar, sbr. 1. tölul. 9. gr. og 1. tölul 1. mgr. 11. gr. laga nr. 90/2018. Hugtakið samþykki er skilgreint í 8. tölul. 3. gr. laganna sem óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig. Af gögnum málsins verður ekki ráðið að kvartandi hafi veitt samþykki sitt fyrir skráningu persónuupplýsinga hennar í umrædd minnisblöð eða annarri tengdri vinnslu heldur laut samþykki hennar aðeins að skoðun tiltekinna gagna af hálfu starfsmannaþjónustu [X]. Að mati Persónuverndar verður því ekki séð að fyrir hafi legið viljayfirlýsing eða ótvíræð staðfesting kvartanda á heimild til þeirrar vinnslu persónuupplýsinga hennar sem hér er til umfjöllunar, í skilningi 8. tölul. 3. gr. laganna. Þegar af þeirri ástæðu verður ekki fallist á að sú vinnslan hafi getað grundvallast á 1. tölul. 9. gr. og 1. tölul 1. mgr. 11. gr. laganna. Þess ber jafnframt að geta að skilyrðið um að samþykki sé óþvingað getur leitt til þess að samþykki telst ekki fullnægjandi vinnsluheimild þegar skýr aðstöðumunur er milli hins skráða og ábyrgðaraðilans, en sú er oft raunin í vinnuréttarsambandi. 

Hins vegar er til þess að líta að heimilt er að vinna með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr. laga nr. 90/2018 og c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þá er vinnsla viðkvæmra persónuupplýsinga heimil sé hún nauðsynleg til þess að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf og löggjöf um almannatryggingar og félagslega vernd og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða, sbr. 2. tölul. 1. mgr. 11. gr. laganna og b-lið 2. mgr. 9. gr. reglugerðarinnar. Jafnframt er vinnsla viðkvæmra persónuupplýsinga heimil sé hún nauðsynleg til að unnt sé að fyrirbyggja sjúkdóma eða vegna atvinnusjúkdómalækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og veita umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu og fyrir henni sé sérstök lagaheimild, enda sé hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnarskyldu, sbr. 8. tölul. lagaákvæðisins og h-lið reglugerðarákvæðisins. 

Við mat á því hvort heimild standi til vinnslu persónuupplýsinga og því hvort skilyrðum sé fullnægt fyrir vinnslu viðkvæmra persónuupplýsinga verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Eins og hér háttar telur Persónuvernd einkum verða líta til laga nr. 46/1980, um aðbúnað, hollustuhætti og öryggi á vinnustöðum. Samkvæmt 1. mgr. 66. gr. laganna ber atvinnurekandi ábyrgð á því að gerð sé áætlun um heilsuvernd þar sem meðal annars kemur fram áætlun um forvarnir, meðal annars um aðgerðir sem grípa þarf til í því skyni að draga úr atvinnutengdum sjúkdómum og slysum. Er markmið heilsuverndar meðal annars að stuðla að því að vinnu sé hagað þannig að starfsmenn fái verkefni við hæfi og stuðla að andlegri og líkamlegri aðlögun þeirra að starfsumhverfi, sbr. b-lið 2. mgr. sömu greinar, og að stuðla að andlegri og líkamlegri vellíðan starfsmanna, sbr. d-lið sama ákvæðis.

Að mati Persónuverndar er ljóst af tilvitnuðum ákvæðum laga nr. 46/1980 að á atvinnurekendum hvílir skylda til að stuðla að heilsuvernd starfsmanna sinna og tekur skyldan meðal annars til andlegrar heilsu og vellíðanar. Hins vegar kveða lögin ekki berum orðum á um að atvinnurekendum beri að taka viðtöl við starfsmenn sína í þessu skyni og skrá um þau minnisblöð. Persónuvernd telur þó að atvinnurekendur hafi svigrúm, innan þeirra marka sem leidd verða af lögum nr. 46/1980, til að meta hvaða aðgerðir séu nauðsynlegar og hæfilegar í þágu þess að fullnægja þessari lagaskyldu. Eins og hér háttar til telur Persónuvernd ekki annað verða lagt til grundvallar en að sú skráning sem hér er til umfjöllunar hafi rúmast innan þess svigrúms.

Með vísan til framangreinds telur Persónuvernd að sú vinnsla persónuupplýsinga kvartanda sem hér er til umfjöllunar geti talist heimil á grundvelli 3. tölul. 9. gr. laga nr. 90/2018 og c-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Jafnframt er það mat Persónuverndar að eins og hér háttar til hafi vinnslan getað talist uppfylla skilyrði 2. og 8. tölul. 1. mgr. 11. gr. laga nr. 90/2018 og b- og h-liða 2. mgr. 9. gr. reglugerðarinnar að því leyti sem skráðar voru upplýsingar um heilsufar kvartanda.

Til viðbótar við framangreint verður vinnsla persónuupplýsinga að fullnægja öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins) og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Ábyrgðaraðili ber ábyrgð á að vinnsla persónuupplýsinga uppfylli ávallt framangreind ákvæði og skal geta sýnt fram á það, sbr. 2. mgr. sömu lagagreinar.

Við skýringu meginreglu 1. tölul. ákvæðisins, sem lýtur að sanngjarnri og gagnsærri vinnslu persónuupplýsinga, er meðal annars nauðsynlegt að líta til ákvæða laganna og reglugerðarinnar um fræðsluskyldu ábyrgðaraðila gagnvart hinum skráðu sem við eiga hverju sinni, sbr. 2. mgr. 17. gr. laga nr. 90/2018 og 14. gr. reglugerðar (ESB) 2016/679. Fræðsluskylda ábyrgðaraðila á þó ekki við ef og að því marki sem hinn skráði hefur þegar fengið vitneskju um þau atriði sem mælt er fyrir um í 1.-4. mgr. 14. gr. reglugerðarinnar, sbr. a-lið 5. mgr. ákvæðisins, eða þegar skýrt er mælt fyrir um öflun eða miðlun upplýsinga í lögum sem kveða á um viðeigandi ráðstafanir til að vernda lögmæta hagsmuni hins skráða, sbr. c-lið þess.

Af hálfu [X] hefur verið vísað til þess að kvartanda hafi verið kunnugt um vinnslu persónuupplýsinga hennar í tengslum við úrlausn starfsmannamáls hennar sem tengdist læknismeðferð sem hún hlaut á [X]. Persónuvernd telur að þrátt fyrir að fallast megi á þá afstöðu [X] að nokkru leyti verði ekki framhjá því litið við úrlausn málsins að ekkert liggur fyrir um að kvartandi hafi fengið vitneskju um öll þau atriði sem mælt er fyrir um í 1.-4. mgr. 14. gr. reglugerðar (ESB) 2016/679. Þá telur Persónuvernd eins og hér háttar til ekki fært að líta svo á að þau lagaákvæði sem vinnslan grundvallast á, sbr. umfjöllun hér að framan þar að lútandi, mæli með skýrum hætti fyrir um vinnslu umræddra persónuupplýsinga kvartanda. Loks verður ekki talið að aðrar undanþágur, sem tilgreindar eru í 5. mgr. 14. gr. reglugerðarinnar, geti átt hér við. Að þessu gættu verður ekki litið svo á að [X] hafi verið undanþegið fræðsluskyldu gagnvart kvartanda og bar því að veita kvartanda fræðslu um umrædda vinnslu til samræmis við ákvæði 1.-4. mgr. 14. gr. reglugerðarinnar. Af því leiðir jafnframt að [X] hefur ekki sýnt fram á að það hafi gætt að gagnsæiskröfu 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 við þá vinnslu sem hér er til umfjöllunar, sbr. 2. mgr. sömu greinar.

Á hinn bóginn leiddi skoðun Persónuverndar á umræddum minnisblöðum í ljós að þær upplýsingar um kvartanda sem þar voru skráðar voru ekki umfram það sem nauðsynlegt getur talist í þágu þess tilgangs sem bjó að baki skráningunni. Að því virtu telur Persónuvernd að [X] hafi gætt að meðalhófskröfu 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 við vinnsluna.

4.
Réttur til aðgangs

Loks kemur til úrlausnar afgreiðsla [X] á aðgangsbeiðni kvartanda.

Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á skráður einstaklingur rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 15. gr. reglugerðar (ESB) 2016/679. Í 1. mgr. 15. gr. reglugerðarinnar er meðal annars kveðið á um að skráður einstaklingur skuli hafa rétt til að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar sem varða hann sjálfan og, sé svo, rétt til aðgangs að persónuupplýsingum. Þá segir í 3. mgr. sömu greinar að ábyrgðaraðili skuli láta í té afrit af þeim persónuupplýsingum sem séu í vinnslu.

Ákvæði 15. gr. reglugerðar (ESB) 2016/679 um réttindi hins skráða gilda þó ekki ef brýnir hagsmunir einstaklinga tengdir upplýsingunum, þar á meðal hins skráða sjálfs, vega þyngra, sbr. 3. mgr. 17. laganna. Þá segir í 4. mgr. 15. gr. reglugerðar (ESB) 2016/679 að rétturinn til að fá afrit skuli ekki skerða réttindi og frelsi annarra.

Sem fyrr greinir voru þau minnisblöð sem beiðni kvartanda varðaði rituð um viðtöl starfsmannaþjónustu [X] við tvo tilgreinda starfsmenn [X]. Lutu þau einkum að huglægri afstöðu og líðan starfsmannanna í tengslum við samstarf þeirra við kvartanda […], í kjölfar læknismeðferðar sem þeir veittu henni á [X]. Í þeim var hins vegar ekki fjallað á ítarlegan hátt um kvartanda, þ.m.t. um heilsufar hennar. 

Eins og hér háttar til, og með vísan til efnis umræddra minnisblaða, telur Persónuvernd að brýnir og augljósir einkalífshagsmunir umræddra starfsmanna hafi vegið þyngra en hagsmunir kvartanda af því að fá afrit minnisblaðanna afhent. Þá verður ekki séð að unnt hafi verið að veita kvartanda aðgang að gögnunum með takmörkunum, svo sem afmáningu persónuauðkenna starfsmannanna, án þess að hagsmunir þeirra yrðu fyrir borð bornir. Í því sambandi bendir Persónuvernd á að af gögnum málsins verður ekki annað ráðið en að fremur fámennur hópur heilbrigðisstarfsmanna hafi komið að læknismeðferð kvartanda við [X], sem síðar varð tilefni umræddra viðtala. Kvartandi hefði því átt hægt um vik að auðkenna starfsmenninna óháð öllum slíkum takmörkunum.

Að þessu gættu telur Persónuvernd að [X] hafi verið heimilt samkvæmt 3. mgr. [17]. gr. laga nr. 90/2018 og 4. mgr. 15. gr. reglugerðar (ESB) 2016/679 að synja kvartanda um afrit þeirra minnisblaða sem beiðni hennar laut að.

5.
Niðurstaða og fyrirmæli

Með vísan til alls þess sem að framan greinir er það niðurstaða Persónuverndar að ekki liggi fyrir að heilbrigðisstarfsmenn hjá [X] hafi gert persónuupplýsingar um kvartanda, sem fram komu í tölvupósti hennar til þeirra, aðgengilegar starfsmannaþjónustu [X]. Ekki liggur því fyrir að brotið hafi verið gegn lögum nr. 90/2018 og reglugerð (ESB) 2016/679 hvað það varðar.

Hins vegar er það niðurstaða Persónuverndar að sú vinnsla [X] á persónuupplýsingum kvartanda, sem fólst í skráningu þeirra í minnisblöð um samtöl við aðra starfsmenn [X] og varðveislu þeirra minnisblaða, hafi ekki samrýmst kröfum um gagnsæi og fræðslu samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Loks er það niðurstaða Persónuverndar að synjun [X] um að veita kvartanda afrit af umræddum minnisblöðum hafi samrýmst lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, er lagt fyrir [X] að veita starfsmönnum sínum eftirleiðis fræðslu um þá vinnslu persónuupplýsinga þeirra sem kann að eiga sér stað í tengslum við viðtöl sem tekin eru við aðra starfsmenn [X], til samræmis við 1-.4. mgr. 14. gr. reglugerðar (ESB) 2016/679. Skal [X] senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á framkvæmd fræðslunnar og upplýsingum um efni hennar, eigi síðar en 15. júlí 2021. Persónuvernd telur rétt að benda á að [X] er til að mynda unnt að fara að fyrirmælunum með því að setja sér innri persónuverndarstefnu gagnvart starfsmönnum sínum eða með því að uppfæra almennt fræðsluefni til starfsfólks sem þegar kann fyrir að liggja, svo sem starfsmannahandbækur.

Ú r s k u r ð a r o r ð:

Ekki liggur fyrir að persónuupplýsingar um [A], sem fram komu í tölvupósti hennar til heilbrigðisstarfsmanna hjá [X], hafi verið gerðar aðgengilegar starfsmannaþjónustu [X], sem brotið hafi gegn lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Vinnsla [X] á persónuupplýsingum [A], sem fólst í skráningu þeirra í minnisblöð um samtöl við aðra starfsmenn [X] og varðveislu þeirra minnisblaða, samrýmdist ekki kröfum um gagnsæi og fræðslu samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Synjun [X] á beiðni kvartanda um afrit umræddra minnisblaða samrýmdist lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Lagt er fyrir [X] að veita starfsmönnum sínum eftirleiðis fræðslu um þá vinnslu persónuupplýsinga þeirra sem kann að eiga sér stað í tengslum við viðtöl sem tekin eru við aðra starfsmenn [X], til samræmis við 1.-4. mgr. 14. gr. reglugerðar (ESB) 2016/679.

Eigi síðar en 15. júlí 2021 skal [X] senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á framkvæmd fræðslunnar og upplýsingum um efni hennar.

Ólafur Garðarsson

starfandi formaður

Björn Geirsson                                   Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson