Vinnsla persónuupplýsinga af hálfu Embættis landlæknis

Mál nr. 2021112113

22.12.2022

Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu Embættis landlæknis í máli nr. 2021112113:

I.
Málsmeðferð
1.
Tildrög máls

Hinn 2. nóvember 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi). Laut kvörtunin að því að Embætti landlæknis hefði miðlað persónuupplýsingum um kvartanda í bréfi til [félagasamtakanna X] í kjölfar ábendinga samtakanna til embættisins [varðandi] meðferð sjúklinga á því sviði Landspítala, þar sem kvartandi var deildarstjóri. Nánar tiltekið hefði bréfið geymt upplýsingar um að kvartandi væri kominn í ótímabundið leyfi og annar tekinn við starfi hans.

Persónuvernd bauð Embætti landlæknis að tjá sig um kvörtunina með bréfi, dags. 17. ágúst 2022 og bárust svör embættisins með tölvupósti 19. september s.á. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Embættis landlæknis með bréfi, dags. 21. s.m., og bárust þær með tölvupósti 13. október s.á.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó að ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.
Helstu sjónarmið málsaðila

Ágreiningur er um hvort Embætti landlæknis hafi verið heimilt að miðla persónuupplýsingum um kvartanda í umræddu bréfi til [félagasamtakanna X].

Kvartandi byggir í meginatriðum á því að miðlun Embættis landlæknis á persónuupplýsingum um hann til [félagasamtakanna X] hafi verið ólögmæt þar sem engin heimild hafi staðið fyrir vinnslunni samkvæmt 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Kvartandi telur að ummæli Embættis landlæknis um ótímabundið leyfi hans hafi verið sett fram líkt og um væri að ræða tiltekin viðurlög vegna þess sem fram kom í ábendingum [félagasamtakanna X] til embættisins. Kvartandi telur að [félagasamtökin X] hafi ekki átt aðild að því máli sem Embætti landlæknis tók til meðferðar í kjölfar þeirra ábendinga. Þá tekur kvartandi fram að embættið hafi ekki veitt honum færi á að taka afstöðu til upplýsinganna áður en þær voru sendar [félagasamtökunum X] í óþökk hans. Loks telur kvartandi að umræddar persónuupplýsingar hafi verið trúnaðarupplýsingar, en í því sambandi vísar hann til 1. mgr. 7. gr. upplýsingalaga nr. 140/2012, þess efnis að réttur almennings til aðgangs að gögnum samkvæmt þeim lögum nái ekki til mála um umsóknir um starf, framgang í starfi og starfssambandið að öðru leyti.

Af hálfu Embættis landlæknis er á því byggt að umrædd vinnsla hafi grundvallast á 3. og 5. tölul. 9. gr. laga nr. 90/2018, þar sem embættinu beri lagaskylda til að hafa eftirlit með heilbrigðisþjónustu og fari með opinbert vald í þeim tilgangi, sbr. II. kafla laga nr. 41/2007 um landlækni og lýðheilsu. Brugðist hafi verið við ábendingum [félagasamtakanna X] með því að hefja eftirlitsmál og samskipti embættisins við [samtökin] hafi byggst á reglum stjórnsýslulaga um upplýsingarétt og leiðbeiningarskyldu, en umrætt bréf hafi verið sent í kjölfar ítrekaðra fyrirspurna um stöðu málsins. Samtökin hafi komið fram í umboði félagsmanna sinna, [...] sem hefðu hagsmuna að gæta af úrlausn málsins, en jafnframt hafi embættið upplýst samtökin um að einstakir félagsmenn þeirra gætu borið fram kvörtun. Þá telur embættið að vinnslan hafi samrýmst meginreglum persónuverndarlaga þar sem vinnslan hafi verið lögmæt og gætt hafi verið sanngirni og meðalhófs enda hafi takmarkaðar upplýsingar um kvartanda verið veittar. Embættið tekur fram að þar sem um eftirlitsmál er að ræða hafi verið erfitt að koma við fræðslu til kvartanda varðandi það hvaða upplýsingar um hann kynnu að að verða unnar. Loks byggir Embætti landlæknis á því að óhjákvæmilegt hafi verið að vinna persónuupplýsingar um kvartanda við meðferð eftirlitsmálsins, þar sem ábendingar [félagasamtakanna X] hafi einkum beinst að stjórnun þeirrar deildar sem kvartandi stýrði.

II.
Niðurstaða
1.
Afmörkun máls - Gildissvið - Ábyrgðaraðili

Mál þetta lýtur að miðlun Embættis landlæknis á persónuupplýsingum um kvartanda til [félagasamtakanna X] við meðferð eftirlitsmáls hjá embættinu. Málið lýtur hins vegar ekki að annarri vinnslu umræddra upplýsinga af hálfu embættisins.

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Sú vinnsla sem mál þetta varðar fellur undir gildissvið laganna og reglugerðarinnar og þar með undir valdsvið Persónuverndar. 

Eins og hér háttar til telst Embætti landlæknis vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

2.
Lögmæti vinnslu

Öll vinnsla persónuupplýsinga er háð því að hún falli undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Eins og hér háttar til kemur þar helst til skoðunar 3. tölul. lagaákvæðisins, sbr. c-lið reglugerðarákvæðisins, þar sem kveðið er á um að vinna megi með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila.

Við mat á heimild samkvæmt tilvitnuðum ákvæðum þarf að líta til ákvæða annarra laga sem við geta átt hverju sinni.

Hlutverk Embættis landlæknis er afmarkað í 1. mgr. 4. gr. laga nr. 41/2007 um landlækni og lýðheilsu. Þar kemur fram að meginhlutverk þess sé meðal annars að hafa eftirlit með heilbrigðisþjónustu og heilbrigðisstarfsmönnum (e-liður) og að sinna kvörtunum almennings vegna heilbrigðisþjónustu (j-liður). Í samræmi við 4. mgr. sömu lagagreinar er embættinu heimil vinnsla persónuupplýsinga til að sinna lögbundnum skyldum samkvæmt lögunum, að uppfylltum nánari skilyrðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Kemur næst til skoðunar hvort ákvæði stjórnsýslulaga nr. 37/1993 eigi jafnframt við í tengslum við mat á vinnsluheimild, einkum hvort [félagasamtökin X] hafi átt rétt á upplýsingum um umrætt eftirlitsmál á grundvelli 15. gr. laganna. Ber í því samhengi að gæta þess að lög nr. 90/2018 takmarka ekki þann rétt til aðgangs sem mælt er fyrir um í stjórnsýslulögum, sbr. 2. mgr. 5. gr. laga nr. 90/2018. Hvað snertir tilvísun kvartanda til 1. mgr. 7. gr. upplýsingalaga vísast jafnframt til 2. mgr. 4. gr. þeirra laga, þess efnis að þau gildi ekki um aðgang að gögnum samkvæmt stjórnsýslulögum.

Af hálfu kvartanda er á því byggt að [félagasamtökin X] hafi ekki komið fram fyrir hönd tiltekins sjúklings og hafi heldur ekki átt aðild að því eftirlitsmáli sem var til meðferðar hjá Embætti landlæknis. Af hálfu Embættis landlæknis hefur á hinn bóginn komið fram að embættið hafi talið [félagasamtökin X] koma fram gagnvart embættinu í umboði félagsmanna sinna [...] og hafi embættið álitið þá geta átt hagsmuna að gæta af úrlausn málsins. Embættið hafi jafnframt leiðbeint samtökunum um að einstakir félagsmenn gætu borið fram kvörtun.

Um aðild að stjórnsýslumáli fer eftir almennum aðildarreglum stjórnsýsluréttarins en samkvæmt þeim getur eingöngu sá átt aðild að máli sem á beinna, einstaklegra, verulegra og lögvarinna hagsmuna að gæta af úrlausn þess. Félagasamtök geta komið fram fyrir hönd aðila í stjórnsýslumáli samkvæmt umboði en auk þess er viðurkennt að félagasamtök geti átt sjálfstæða aðild vegna félagsmanna sinna, ef umtalsverður hluti þeirra hefur einstaklegra og verulegra hagsmuna að gæta af úrlausn máls og gæsla þessara hagsmuna telst til yfirlýsts tilgangs samtakanna. Um þetta vísast til dæmis til álita umboðsmanns Alþingis frá 13. júní 2007 í máli nr. 4902/2007 og frá 6. júlí 2008 í máli nr. 5475/2008.

Þegar málatilbúnaður Embættis landlæknis er skoðaður heildstætt er að mati Persónuverndar ekki unnt að líta svo á að hann sé reistur á því að einstakir félagsmenn [félagasamtakanna X] hafi veitt samtökunum eiginlegt umboð til að koma á framfæri ábendingu til embættisins. Fremur virðist embættið hafa játað samtökunum aðild að eftirlitsmálinu á grundvelli sambærilegra sjónarmiða og rakin eru hér að framan. Eins og hér háttar til telur Persónuvernd ekki tilefni til að gera athugasemdir við þá afstöðu. Af því leiðir að [félagasamtökin X] [nutu] réttinda samkvæmt ákvæðum stjórnsýslulaga nr. 37/1993 og er því nauðsynlegt að líta til ákvæða þeirra laga, eftir því sem við á, við mat á heimild samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Að mati Persónuverndar vörðuðu þær persónuupplýsingar sem kvörtun þessi nær til, og fram komu í bréfi Embættis landlæknis til [félagasamtakanna X], það eftirlitsmál sem var til meðferðar hjá embættinu og það taldi jafnframt að samtökin ættu aðild að, eins og að framan greinir.

Samkvæmt 15. gr. stjórnsýslulaga nr. 37/1993 á aðili máls rétt á aðgangi að skjölum og öðrum gögnum er mál varða. Hefur verið litið svo á að í þessari reglu felist að aðili máls eigi rétt á að kynna sér öll gögn máls, óháð því á hvaða formi gögnin eru og hvort þau stafi frá stjórnvaldinu sjálfu eða öðrum.

Að mati Persónuverndar verður ekki annað séð en að umræddu bréfi hafi verið ætlað að taka saman efni fyrirliggjandi málsgagna. Með því hafi Embætti landlæknis leitast við að virða lögbundinn upplýsingarétt [félagasamtakanna X], án þess þó að láta samtökunum afrit gagnanna beinlínis í té.

Með vísan til framangreinds telur Persónuvernd að vinnslan hafi verið nauðsynleg í því skyni að ábyrgðaraðili gæti fullnægt lagaskyldu sem á honum hvíldi samkvæmt framangreindum ákvæðum. Því hafi vinnslan verið heimil á grundvelli 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Auk heimildar verður vinnsla persónuupplýsinga að samrýmast meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sem kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins) og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul. lagaákvæðisins). Ábyrgðaraðili ber ábyrgð á að vinnsla persónuupplýsinga samrýmist ávallt meginreglunum og skal geta sýnt fram á það, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.

Við mat á því hvort farið sé að sé að meginreglunni um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða getur eftir atvikum þurft að líta til ákvæða persónuverndarlöggjafarinnar um fræðsluskyldu. Eins og háttar til í þessu máli reynir þar helst á 14. gr. reglugerðar (ESB) 2016/679.

Fyrir liggur í máli þessu að Embætti landlæknis brást við ábendingum [félagasamtakanna X] varðandi meðferð sjúklinga á [...] Landspítala með því að hefja eftirlitsmál og taldi embættið rétt að upplýsa samtökin um stöðu málsins. Samkvæmt skýringum embættisins var miðlun persónuupplýsinga um kvartanda óhjákvæmileg þar sem ábendingar [félagasamtakanna X] beindust einkum að stjórnun þeirrar deildar sem kvartandi var deildarstjóri yfir.

 

Að mati Persónuverndar gat kvartanda vart dulist að upplýsingar um hann yrðu skráðar í eftirlitsmál ábyrgðaraðila, með hliðsjón af því að málið snerti beinlínis það svið Landspítala sem kvartandi stýrði. Þá telur Persónuvernd að ábyrgðaraðila hafi ekki borið samkvæmt e-lið 1. mgr. 14. gr. reglugerðar (ESB) 2016/679 að upplýsa kvartanda sérstaklega um að persónuupplýsingum hans yrði miðlað til [félagasamtakanna X] sem aðila eftirlitsmálsins. Er í því sambandi litið til réttar aðila máls til að kynna sér gögn er málið varðar samkvæmt fyrrnefndu ákvæði 15. gr. stjórnsýslulaga nr. 37/1993, sbr. c-lið 5. mgr. 14. gr. reglugerðarinnar um undantekningu frá fræðsluskyldu við hinn skráða vegna lögmæltrar miðlunar persónuupplýsinga.

Þá er til þess að líta að þær upplýsingar um kvartanda sem fram komu í umræddu bréfi voru efnislega takmarkaðar en vörðuðu þó beinlínis úrræði sem gripið hafði verið til í tengslum við ábendingu [félagasamtakanna X], þ.e. að kvartandi væri kominn í ótímabundið leyfi frá starfi sínu. Athugast jafnframt í þessu sambandi að beinn og óheftur aðgangur [félagasamtakanna X] að málsgögnum, í stað samantektar, hefði að öllum líkindum verið meira íþyngjandi gagnvart kvartanda. Telur Persónuvernd því að með umræddu fyrirkomulagi upplýsingagjafarinnar hafi Embætti landlæknis gætt að sanngirni gagnvart kvartanda og jafnframt tryggt að upplýsingarnar væru nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt var miðað við tilgang vinnslunnar, þ.e. að upplýsa aðila máls um stöðu þess og efni málsgagna.

Að þessu gættu samrýmdist vinnslan 1. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. a- og c-liði 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Að öllu framangreindu virtu er niðurstaða Persónuverndar sú að umrædd vinnsla Embættis landlæknis á persónuupplýsingum um kvartanda hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Ú r s k u r ð a r o r ð:

Vinnsla Embættis landlæknis á persónuupplýsingum um [A], sem fólst í miðlun persónuupplýsinga um hann í bréfi til [félagasamtakanna X], samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Perónuvernd, 22. desember 2022

Bjarni Freyr Rúnarsson               Steinunn Birna Magnúsdóttir