Að­gerðin spurðist út til fjöl­skyldu­með­lima í gegnum fjölda­­póst frá ráð­gjafa

Sjálfstætt starfandi ráðgjafi hjá Klíníkinni Ármúla braut persónuverndarlög þegar hún sendi fyrir mistök fjöldapóst þar sem hver og einn viðtakenda sá nöfn og netföng annarra viðtakenda. Kona, sem farið hafði í tiltekna aðgerð hjá Klíníkinni, kvartaði undan póstinum til Persónuverndar og bar því fyrir sig að með póstinum hefðu fjölskyldumeðlimir hennar komist að því að hún hefði farið í aðgerðina.

Úrskurðurinn var kveðinn upp 20. ágúst síðastliðinn en ekki birtur á vef Persónuverndar fyrr en í gær. Lögmenn konunnar kvörtuðu fyrir hennar hönd til Persónunefndar í júní í fyrra vegna öryggisbrests og meðferðar Klíníkurinnar á viðkvæmum persónuupplýsingum um konuna.

Á Klíníkinni eru framkvæmdar aðgerðir á borð við liðskipti á mjöðmum og hnjám, magaermis-  og magahjáveituaðgerðir, fyrirbyggjandi brjóstnám auk stærri lýtaaðgerða, samkvæmt upplýsingum á heimasíðu fyrirtækisins.

Mikilvægt að aðgerðin yrði ekki á annarra vitorði

Málið og aðdragandi þess er rakið í úrskurðinum. Þar segir að konan hafi sótt læknisþjónustu hjá sérfræðilækni hjá Klíníkinni og farið í læknisaðgerð í framhaldinu. Hún hafi sérstaklega bent á mikilvægi þess að aðgerðin yrði ekki á annarra vitorði og hafi haft sérstakt orð á því í viðtali við lækna hve trúnaður væri henni mikilvægur. Hún hafi verið fullvissuð um að ítrasta trúnaðar yrði gætt.

Skurðlæknirinn sem framkvæmdi aðgerðina vísaði konunni til ráðgjafans eftir aðgerðina og átti hún fund með honum innan nokkurra daga.

Rúmu hálfu ári eftir aðgerðina fékk konan fregnir af því að nafn hennar og tölvupóstfang hefðu komið fram í fjöldapósti sem sendur var á einstaklinga sem hefðu farið í ráðgjöf eftir að hafa farið í tiltekna aðgerð hjá Klíníkinni. Upplýsingarnar voru sendar úr netfangi ráðgjafans í fjöldapósti þar sem hver og einn viðtakenda sá nöfn og netföng annarra viðtakenda.

Þessar upplýsingar hafi spurst út m.a. til fjölskyldumeðlima hennar og fleiri, sem hafi komið mjög illa við henni. Þá gagnrýnir konan að henni hafi ekki verið tilkynnt um upplýsingalekann og trúnaðarbrestinn fyrr en nokkru eftir að hann komst upp.

 

Ráðgjafinn ábyrgur en ekki Klíníkin

Í svari Klíníkurinnar við kvörtun konunnar er bent á að konan hafi samykkt að henni yrði sendur tölvupóstur til að minna á mögulegar tímabókanir, sem umræddur tölvupóstur snerist um. Einnig er bent á að ráðgjafinn sé ekki starfsmaður Klíníkurinnar heldur sjálfstætt starfandi ráðgjafi. Þetta féllst Persónuvernd á og mat það svo að ráðgjafinn væri ábyrgðaraðili þeirrar vinnslu sem tengdist miðlun persónuupplýsinganna en ekki Klíníkin.

Þá liggi fyrir að ráðgjafinn hafi brugðist strax við, og á fullnægjandi hátt, þegar atvikið kom upp til að takmarka tjón og gert viðeigandi ráðstafanir. Þannig lét ráðgjafinn viðeigandi aðila hjá Klíníkinni vita af málinu og sendi annan tölvupóst á viðtakendur þess fyrri samdægurs. Í efnislínu hans stóð: „VINSAMLEGAST EYÐA FYRRI PÓSTI!“.

Miðlun umræddra persónuupplýsinga samrýmist þó ekki lögum um persónuvernd og meðferð persónuupplýsinga. Lagt er til að ráðgjafinn geri viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taki mið af eðli, umfangi, samhengi, tilgangi og áhættu fyrir réttindi og frelsi skráðra einstaklinga.