Vinnsla persónuupplýsinga starfsmanns lyfjaverslunar

Mál nr. 2022030523

27.6.2023

Úrskurður

um kvörtun yfir uppflettingu starfsmanns lyfjaverslunar í lyfjagagnagrunni án heimildar í máli nr. 2022030523:

I.
Málsmeðferð

Hinn13. mars 2022 barst Persónuvernd kvörtun frá [A] og [B] (hér eftir kvartendur) yfir uppflettingu starfsmanns [X], [C], á kennitölum þeirra í lyfjagagnagrunni án heimildar.

Persónuvernd bauð [C] og [X] að tjá sig um kvörtunina með bréfi, dags. 25. nóvember 2022. Svar barst frá [D] lögmanni, fyrir hönd [C], með bréfi, dags. 14. desember s.á. Svör [X] bárust með bréfi, dags. 16. s.m.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

___________________

Kvartendur vísa til þess að Lyfjastofnun hafi staðfest, með upplýsingum frá embætti landlæknis, að tiltekinn starfsmaður [X], [C], hafi flett upp kennitölum þeirra í lyfjagagnagrunni samtals 15 sinnum frá árinu 2018 án heimildar. Byggja kvartendur á því að [C], sem starfi sem [....] hjá [X], hafi ekki haft heimild fyrir uppflettingunni samkvæmt XII. kafla lyfjalaga nr. 100/2020 og að engin málefnaleg rök séu til staðar fyrir uppflettingum hennar.

Í svarbréfi lögmanns [C] kemur fram að hún hafi því miður gert þau gáleysislegu mistök, sem hún sjái mikið eftir, að fletta upp á nöfnum kvartenda í lyfseðla- og lyfjaávísanagátt á tímabilinu frá 5. júlí 2018 til 26. september 2019. [C] og kvartendur hafi átt í deilum um nokkurra ára skeið og vegna þeirra hafi [C] á tímabili óttast um eigin hag og fjölskyldu sinnar. Umræddar uppflettingar megi því rekja til nokkurrar geðshræringar og undirliggjandi ótta um hvort eitthvað gæfi tilefni til að óttast háttsemi kvartenda. Þá vísar lögmaður [C] jafnframt til þess að hún hafi á engan hátt miðlað eða skýrt frá upplýsingum úr lyfjagagnagrunni um kvartendur.

Í svarbréfi [X] er í fyrstu tekið fram að rangt sé af hálfu kvartenda að starfsmaður fyrirtækisins hafi flett upp í lyfjagagnagrunni landlæknis, líkt og fram komi í kvörtun. Greint er frá því að apótek hafi ekki aðgang að lyfjagagnagrunni landlæknis eða sjúkraskrám. Aðgangurinn að miðlægum upplýsingum sem apótek hafi sé að lyfseðlagátt og nú, síðustu rúm tvö ár, lyfjaávísanagátt þar sem fram komi þeir lyfseðlar sem í gildi séu á hverri stundu hjá einstaklingum. Þá er vísað til þess að starfsmaður fyrirtækisins hafi viðurkennt að hafa flett kvartendum upp í lyfseðlagátt en neiti því alfarið að hafa brotið trúnað með upplýsingarnar sem þar hafi verið að finna

II.
Niðurstaða
1.
Lögmæti vinnslu

Mál þetta lýtur að uppflettingu á kennitölum kvartenda í lyfseðla- og lyfjaávísanagátt án heimildar. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. 

Sú vinnsla sem kvörtunin lýtur að átti sér að stað á tímabilinu frá 5. júlí 2018 til 26. september 2019. Fram til 15. júlí 2018 voru í gildi lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þær reglur laganna sem reynir á í máli þessu breyttust þó ekki efnislega við gildistöku laga nr. 90/2018 og verður því leyst úr málinu í heild sinni á grundvelli síðarnefndu laganna. 

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Almennt er litið svo á að ábyrgðaraðili sé hlutaðeigandi stofnun eða fyrirtæki en ekki einstaka starfsmenn, hvort sem um ræðir stjórnendur eða almenna starfsmenn. Hafi starfsmaður fyrirtækis hins vegar unnið með persónuupplýsingar í eigin þágu, eða vegna einhvers verks sem ekki fellur innan verksviðs ábyrgðaraðila, gæti hann þó sjálfur þurft að bera ábyrgð á þeirri aðgerð. Eins og hér háttar til telst [C] vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar á grundvelli upplýsts samþykkis hins skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, eða ef það er nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðaákvæðisins.

Eins og að framan greinir hefur [C] gengist við því að hafa flett kennitölum kvartenda upp í lyfseðla- og lyfjaávísanagátt, á tímabilinu frá 5. júlí 2018 til 26. september 2019, án heimildar. Þegar af þeirri ástæðu verður að telja að engin heimild hafi verið fyrir uppflettingunni samkvæmt 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Var hún því andstæð ákvæðum laganna.

Fram til 31. desember 2020 voru í gildi eldri lyfjalög nr. 93/1994. Í 30. gr. þágildandi lyfjalaga var kveðið á um þagnarskyldu allra starfsmanna lyfjabúða og í 31. gr. laganna var kveðið á um að lyfjafræðingur eða aðstoðarlyfjafræðingur bæri ábyrgð á afgreiðslu lyfseðils og afhendingu lyfja samkvæmt lyfjaávísun. Í 3. mgr. 34. gr. núgildandi lyfjalaga nr. 100/2020 er fjallað um þagnarskyldu starfsmanna lyfjabúða og í XII. kafla laganna er fjallað um lyfjaávísanir og afgreiðslu lyfja í lyfjabúð. Í 50. gr. laganna segir að í þeim tilgangi að miðla rafrænum lyfjaávísunum, sbr. a-lið 1. mgr. 49. gr. laganna, milli útgefenda lyfjaávísana og lyfjabúða skuli embætti landlæknis starfrækja lyfjaávísanagátt. Heimilt er að varðveita rafrænar lyfjaávísanir í lyfjaávísanagáttinni á meðan lyfjaávísun er í gildi. Um vinnslu persónuupplýsinga sem fara um lyfjaávísanagátt fer samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga. Þá segir í 2. mgr. 51. gr. laganna að þeim einum sem hafa gild starfsleyfi hér á landi sem lyfjafræðingar, sbr. lög um heilbrigðisstarfsmenn, sé heimilt að afgreiða lyfjaávísun í lyfjabúð eða lyfjaútibúi og ber viðkomandi ábyrgð á réttri afgreiðslu samkvæmt lyfjaávísun.

[C] hefur neitað því að hafa miðlað eða skýrt frá upplýsingum um kvartendur úr lyfseðla- og lyfjaávísanagátt eða á annan hátt brotið gegn þagnarskylduákvæði 30. gr. þágildandi lyfjalaga, nr. 93/1994, eða 3. mgr. 34. gr. núgildandi lyfjalaga, nr. 100/2020. Samkvæmt því stendur orð gegn orði um það hvort miðlun persónuupplýsinga um kvartendur hafi farið fram og telst því ósannað að sú vinnsla persónuupplýsinga hafi átt sér stað. Getur Persónuvernd ekki, með þeim valdheimildum sem stofnunin hefur, rannsakað það nánar.

Með vísan til þess sem fram hefur komið um viðbrögð [C] í málinu er það mat Persónuverndar að ekki sé þörf á að beina sérstökum fyrirmælum til hennar vegna þeirrar vinnslu sem hér er til umfjöllunar.

Af framangreindum ákvæðum þágildandi og núgildandi ákvæðum lyfjalaga verður þó ekki séð að [C], sem starfar sem [...] [X], hafi starfs síns vegna þurft að hafa aðgang að lyfseðla- og lyfjaávísanagátt [X]. Persónuvernd áréttar að af meginreglum 1. og 2. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, leiðir að ábyrgðaraðila ber að tryggja öryggi persónuupplýsinga, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins. Í öryggi persónuupplýsinga felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi en að þær séu jafnframt aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda, svo sem vegna starfa sinna. Nánari ákvæði er varða öryggi persónuupplýsinga er að finna í 23., 24. og 27. gr. laga nr. 90/2018, en samkvæmt þeim skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga, sbr. nánari fyrirmæli 32. gr. reglugerðarinnar.

Eins og hér háttar til og með hliðsjón af því að kvörtun málsins er aðeins beint að viðkomandi starfsmanni [X] verður hins vegar ekki tekin afstaða til þess í úrskurði þessum hvort [X] hafi farið að kröfum persónuverndarlöggjafarinnar, þar á meðal um öryggi persónuupplýsinga.

Ú r s k u r ð a r o r ð:

Vinnsla [C] á persónuupplýsingum um [A] og [B], sem fólst í því að fletta upp kennitölum þeirra í lyfseðla- og lyfjaávísanagátt á tímabilinu frá 5. júlí 2018 til 26. september 2019, samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

 Persónuvernd 27. júní 2023

Helga Sigríður Þórhallsdóttir             Edda Þuríður Hauksdóttir