Leyfi landlæknis 16. desember 2020 til vinnslu persónuupplýsinga vegna Covid-19
Leyfi
til vinnslu
persónuupplýsinga
skv. 1. tölul.
1. mgr. 4. gr. reglna nr. 811/2019,
sbr. 2. mgr. 31. gr. laga nr. 90/2018
I.
Umsókn og aðdragandi hennar
Persónuvernd hefur borist umsókn Embættis landlæknis, dags. 9. desember 2020, um leyfi til samkeyrslna á miðlægum skrám embættisins í tengslum við bólusetningu við COVID-19, þ.e. til að afmarka einstaka forgangshópa við bólusetninguna.
Í umsókninni er vísað til almennrar undanþágu frá leyfisskyldu sem Persónuvernd veitti Landlæknisembættinu hinn 30. mars 2020 (mál nr. 2020031215 hjá Persónuvernd) vegna samkeyrslna á heilbrigðisskrám embættisins samkvæmt 2. mgr. 8. gr. laga nr. 41/2007 um landlækni og lýðheilsu, auk lyfjagagnagrunns embættisins samkvæmt 27. gr. lyfjalaga nr. 93/1994, sem þörf yrði á vegna COVID-19-faraldursins. Nánar tiltekið var þar um að ræða undanþágu frá leyfisskyldu vegna samkeyrslna miðlægra heilbrigðisskráa samkvæmt b-lið 1. tölul. 1. mgr. 4. gr. reglna nr. 811/2019 um leyfisskylda vinnslu persónuupplýsinga, sbr. 31. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Umrædd undanþága var veitt með setningu sérstakra skilmála um samkeyrslur og byggðist á 1. mgr. 31. gr. laganna þar sem fram kemur að Persónuvernd getur fellt niður leyfisskyldu samkvæmt ákvæðinu þegar settar hafa verið almennar reglur og öryggisstaðlar sem fylgja skal við slíka vinnslu, í þessu tilviki á grundvelli hins staðlaða verklags sem mótast hafði við samkeyrslu umræddra skráa. Eins og fram kemur í umsókn Embættis landlæknis bætti Persónuvernd því við skilmálana með bréfi, dags. 31. mars 2020, að auk þeirra skráa sem fyrr eru nefndar næðu þeir einnig til gagnagrunna sóttvarnalæknis samkvæmt 3. mgr. 3. gr. sóttvarnalaga nr. 19/1997, þ.e. smitsjúkdómaskrár og bólusetningaskrár.
Vísað er til þess í umsókn að samkeyrslur samkvæmt framangreindum skilmálum eiga að fara fram undir dulkóðuðum persónuauðkennum, sbr. 3. gr. skilmálanna. Ekki sé hins vegar unnt að verða við því skilyrði við þær samkeyrslur sem nú eigi að ráðast í og er samkvæmt því óskað eftir heimild til þess að samkeyrslurnar fari fram undir beinum persónuauðkennum.
II.
Nánar um efni
umsóknar
1.
Almennt
Í umsókn segir að Embætti landlæknis vinni nú að því að skipuleggja bólusetningar við COVID-19 í samvinnu við yfirlækna heilsugæslu sem séu ábyrgir fyrir sóttvörnum í sínu umdæmi, sbr. 4. mgr. 4. gr. sóttvarnalaga nr. 19/1997 og reglugerð nr. 387/2015 um tilnefningu yfirlækna heilsugæslustöðva til að sinna sóttvörnum. Kemur fram að ráðgert er að hefja bólusetningar í byrjun árs 2021.
Einnig er vísað til þess að með nýrri 4. gr. a í reglugerð nr. 221/2001 um bólusetningar á Íslandi, sbr. reglugerð nr. 1198/2020, hefur nú verið ákveðið hvernig forgangsraða skuli þeim sem bjóða eigi bólusetningu.
Þá segir að til þess að unnt sé að skipuleggja framkvæmd bólusetningarinnar og úthluta því bóluefni sem berst til landsins í samræmi við þá forgangsröðun sem ákveðin hefur verið sé nauðsynlegt að vinna með persónuupplýsingar, bæði almennar og viðkvæmar. Þannig þurfi að afla upplýsinga úr gagnagrunnum og heilbrigðisskrám sem Embætti landlæknis og sóttvarnalæknir haldi samkvæmt lögum. Að auki sé nauðsynlegt að afla upplýsinga um starfsmenn í vissum starfsstéttum, svo sem heilbrigðisstarfsmenn, sjúkraflutningamenn, kennara o.fl., svo og upplýsinga um íbúa á hjúkrunar- og dvalarheimilum og vistmenn á öldrunardeildum sjúkrahúsa. Þá þurfi að afla upplýsinga um símanúmer þeirra sem boðaðir verði í bólusetningu.
Um tilgang þessarar vinnslu persónuupplýsinga segir nánar að hann sé tvíþættur, þ.e.:
a. Að meta stærð forgangshópa samkvæmt 4. gr. a í reglugerð nr. 221/2001 eftir einstökum hópum og heilbrigðisumdæmum. Upplýsingar þar að lútandi nýtist til að standa sem best að dreifingu bóluefnis á hópana miðað við hversu mikið kemur af bóluefni í hverri sendingu.
b. Að auðkenna einstaklinga í forgangshópum í samræmi við reglugerðina, búa til persónugreinanlega lista yfir þá og auðga þá með símanúmeri viðkomandi til að boða í bólusetningu.
2.
Afmörkun hópa og öflun upplýsinga um þá
Fram kemur í umsókn að í aðdraganda samkeyrslna verður aflað upplýsinga um forgangshópa. Um það er nánar vísað til 2. mgr. 4. gr. a í reglugerð nr. 221/2001 þar sem skilgreindir eru alls tíu hópar sem taldir eru upp í einstökum töluliðum þeirrar málsgreinar eftir forgangi. Nánar tiltekið er þar um að ræða eftirfarandi hópa:
a. Heilbrigðisstarfsmenn sem starfa á bráðamóttöku og gjörgæsludeild Landspítala og gjörgæsludeild Sjúkrahússins á Akureyri, sbr. 1. tölul. 2. mgr. 4. gr. a í reglugerð nr. 221/2001.
b. Heilbrigðisstarfsmenn og aðra starfsmenn sem starfa á COVID-19-göngudeild og legudeild Landspítala og sambærilegum deildum á Sjúkrahúsinu á Akureyri, heilbrigðisstarfsmenn og aðra starfsmenn sem starfa í heilsugæslu og framkvæma sýnatökur vegna gruns um COVID-19, svo og starfsmenn hjúkrunar- og dvalarheimila, sbr. 2. tölul. ákvæðisins.
c. Einstaklinga sem dvelja á hjúkrunar- og dvalarheimilum sjúkrahúsa, sbr. 3. tölul. ákvæðisins.
d. Sjúkraflutningamenn og bráðatækna sem fengið hafa starfsleyfi frá landlækni í samræmi við reglugerð nr. 1110/2012 og starfa við sjúkraflutninga, starfsmenn Landhelgisgæslu Íslands sem sinna störfum á vettvangi, starfsmenn slökkviliðs sem sinna störfum á vettvangi, fangaverði og útkallslögreglumenn, sbr. 4. tölul. ákvæðisins.
e. Aðra heilbrigðisstarfsmenn sem sinna sjúklingum með beinum hætti og nauðsynlegt er að hljóti bólusetningu gegn COVID-19 samkvæmt nánari ákvörðun sóttvarnalæknis, sbr. 5. tölul. ákvæðisins.
f. Einstaklinga sem eru 60 ára og eldri, sbr. 6. tölul. ákvæðisins þar sem einnig kemur fram að þeim úr þessum hópi sem eru inniliggjandi sjúklingar á heilbrigðisstofnunum skal fyrst gefinn kostur á bólusetningu.
g. Einstaklinga með undirliggjandi langvinna sjúkdóma sem eru í sérstökum áhættuhópi vegna COVID-19 samkvæmt nánari ákvörðun sóttvarnalæknis, sbr. 7. tölul. ákvæðisins.
h. Starfsmenn í leik-, grunn- og framhaldsskólum, auk starfsmanna sem eru í beinum samskiptum við notendur þjónustu, svo sem félagslegrar heimaþjónustu, sbr. 8. tölul. ákvæðisins.
i. Einstaklinga sem eru í viðkvæmri stöðu vegna félagslegra og efnahagslegra aðstæðna, sbr. 9. tölul. ákvæðisins.
j. Alla aðra einstaklingar sem óska bólusetningar gegn COVID-19 samkvæmt nánari ákvörðun sóttvarnalæknis, sbr. 10. tölul. ákvæðisins.
Því er lýst að til þess að afmarka tvo þessara hópa þurfi upplýsingar úr heilbrigðisskrám sem varðveittar eru hjá Embætti landlæknis og gagnagrunnum sem haldnir eru á vegum sóttvarnalæknis. Er þar annars vegar um að ræða einstaklinga, sem dvelja á hjúkrunar- og dvalarheimilum og öldrunardeildum sjúkrahúsa, og hins vegar einstaklinga með undirliggjandi langvinna sjúkdóma sem eru í sérstökum áhættuhópi vegna COVID-19.
Fram kemur að til að afmarka fyrrnefnda hópinn er ráðgert að afla upplýsinga úr færni- og heilsumatsskrá, en hún er haldin á grundvelli 4. mgr. 11. gr. reglugerðar nr. 466/2012 um færni- og heilsumat, sbr. 5. mgr. 15. gr. laga nr. 125/1999 um málefni aldraðra. Eins og fram kemur í 1. mgr. 10. gr. reglugerðarinnar bera færni- og heilsumatsnefndir ábyrgð á rafrænni skráningu vegna færni- og heilsumats, en slíka nefnd skipar ráðherra heilbrigðismála fyrir hvert heilbrigðisumdæmi, sbr. 2. mgr. 15. gr. laga nr. 125/1999. Jafnframt liggur fyrir að umrædd skrá er varðveitt hjá Embætti landlæknis.
Hvað afmörkun síðarnefnda hópsins snertir segir að upplýsinga verði aflað úr heilbrigðisskrám sem Embætti landlæknis heldur samkvæmt 8. gr. laga nr. 41/2007. Kemur fram að nánar tiltekið er þar um að ræða vistunarskrá heilbrigðisstofnana og samskiptaskrá heilsugæslustöðva, sbr. 6. og 7. tölul. 2. mgr. ákvæðisins, og að þessar tvær skrár verða notaðar til að finna einstaklinga sem tilheyra forgangshópi út frá sjúkdómsgreiningum. Segir að notaðar verði svipaðar sjúkdómsgreiningar og í fyrri samkeyrslu, þ.e. hjartasjúkdómar, sykursýki, langvinn lungnateppa, langvinnur nýrnasjúkdómur, illkynja æxli og offita, en í stað þess að leita eftir sjúkdómsgreiningum tvö ár aftur í tímann verði leitað fimm ár aftur í tímann.
Einnig kemur fram að upplýsinga um tvo hópa, þ.e. þá sem eru 60 og eldri og þá sem óska bólusetningar þegar bólusetningu annarra hópa er lokið, er ráðgert að afla úr þjóðskrá. Að öðru leyti segir að upplýsinga um fjölda einstaklinga, nöfn þeirra, kennitölur og vinnustaði, búsetu og aðra nauðsynlega þætti verði aflað frá þeim aðilum sem yfir þeim búa, t.d. vinnustöðum einstaklinganna, hjúkrunar- eða vistheimilum þar sem þeir kunna að dvelja eða frá öðrum aðilum sem veita þeim þjónustu. Gert sé ráð fyrir að yfirlæknar heilsugæslustöðva, sem bera ábyrgð á sóttvörnum í sínu umdæmi, muni afla upplýsinganna.
Þá segir að upplýsingar sem aflað verði í tengslum við skipulagningu bólusetningar fyrir umrædda hópa verði skráðar í gagnagrunn á vegum sóttvarnalæknis, en þar sé um að ræða sama kerfi og notað hafi verið við skráningar í sýnatöku vegna COVID-19 á landamærum í kjölfar fyrirframsamráðs við Persónuvernd vegna mats á áhrifum á persónuvernd kerfisins. Það kerfi verði síðan notað til þess að bjóða einstaklingum bólusetningu. Við skráningu þurfi einnig að taka fram á grundvelli hvaða töluliðar viðkomandi fái boð um bólusetningu.
3.
Um fyrirhugaðar samkeyrslur
Í umsókn segir að áður en til þess komi að hægt verði að bjóða bólusetningu sé nauðsynlegt að samkeyra skrá yfir þá einstaklinga sem tilheyra viðkomandi forgangshópi við smitsjúkdómaskrá sóttvarnalæknis, sem fyrir liggur að skiptist í annars vegar smitsjúkdómaskrá og hins vegar bólusetningaskrá, þ.e. til að afmarka einstaka forgangshópa við bólusetninguna., til að kanna hvort viðkomandi hafi þegar fengið Covid-19 eða hvort hann hafi þegar verið bólusettur þar sem hann tilheyrði fyrri forgangshópi. Með þeim hætti verði komið í veg fyrir að einstaklingar sem ekki þurfa á bólusetningu að halda fái boð, t.d. starfsmenn á bráðamóttöku sem eru eldri en 60 ára og hafa því þegar verið bólusettir í 1. forgangshópi en fengju einnig boð sem einstaklingar í 6. forgangshópi ef ekki væri hægt að samkeyra upplýsingar.
Ljóst er í þessu sambandi að við smitsjúkdómaskrá verða, hvað tvo forgangshópana snertir, samkeyrðar upplýsingar úr heilbrigðisskrám hjá Embætti landlæknis. Er þar um að ræða vistunarskrá heilbrigðisstofnana, samskiptaskrá heilsugæslustöðva og færni- og heilsumatsskrá, sbr. umfjöllun í 2. kafla hér að framan um notkun þessara skráa við afmörkun forgangshópa.
Auk framangreinds kemur fram í umsókn að bætt verður við tengiliðaupplýsingum viðkomandi, þ.e. símanúmeri. Segir að það verði gert með því að samkeyra skrár yfir þá einstaklinga sem bjóða á bólusetningu við afrit af símaskrá sem Já Ísland ehf. muni afhenda Embætti landlæknis og hýst verði af embættinu.
Eins og fyrr greinir, þ.e. í I. hluta hér að framan, verða notuð bein persónuauðkenni við umræddar samkeyrslur.
4.
Boðun í bólusetningu
Í umsókn segir að boð um bólusetningu verði send með SMS-skilaboðum sem innihaldi strikamerki, ásamt upplýsingum um að viðkomandi eigi skilaboð inni á vefsvæðinu Heilsuveru. Ástæða þess að valið sé að senda einnig SMS-skilaboð sé sú að ekki séu allir með rafræn skilríki, en þau séu forsenda þess að geta nýtt sér þjónustu vefsvæðisins. Í skilaboðunum verði ekki frekari upplýsingar en að viðkomandi megi mæta í bólusetningu á tilteknum stað á tilteknum tíma. Í skilaboðum í Heilsuveru verði gefin ástæða fyrir boði um bólusetningu, með vísan í viðkomandi forgangshóp samkvæmt reglugerðinni.
Í einhverjum tilvikum kunni því að verða þannig háttað að heilbrigðisstofnanir, öldrunarheimili eða hjúkrunarheimili sjái sjálf um að boða starfsfólk, sjúklinga eða vistmenn í bólusetningu og muni því tilkynningar um boð í bólusetningu ekki verða sendar þeim einstaklingum.
Þá segir í umsókn að þegar einstaklingur verði bólusettur muni upplýsingar um bólusetningu verða skráðar í miðlæga bólusetningaskrá sóttvarnalæknis líkt og almennt tíðkist um bólusetningar.
III.
Óskir Persónuverndar um frekari skýringar
Í símtali 14. desember 2020 óskaði Persónuvernd skýringa á því í hvaða upplýsingakerfum heilsugæslan ynni fyrir Embætti landlæknis og hvernig staðið yrði að miðlun upplýsinga frá heilsugæslunni til embættisins, hvar upplýsingar yrðu varðveittar og hversu lengi, hvernig upplýsinga um félagsleg og efnahagsleg vandamál yrði aflað og til hverra yrði leitað til að fá þær upplýsingar, svo og hvernig háttað yrði öflun upplýsinga um einstaklinga yfir 60 ára aldri sem lægju á heilbrigðisstofnunum.
Farið var yfir þessi atriði af hálfu Embættis landlæknis í símtalinu og tekið fram að fjallað yrði um þau nánar í tölvupósti. Var það gert hinn 15. desember 2020. Tók Embætti landlæknis þá fram að svokallaðir listastjórar yrðu útnefndir á Landspítala, Sjúkrahúsinu á Akureyri og hjá heilsugæslunni í hverju sóttvarnaumdæmi fyrir sig. Listastjórarnir myndu sjá um að setja saman lista yfir einstaka forgangshópa og færa þær upplýsingar inn í svokallað landamærakerfi, þ.e. fyrrnefnt kerfi sem notað hefur verið til skráningar upplýsinga um niðurstöður skimana fyrir COVID-19 á landamærum. Það kerfi væri á ábyrgð Embættis landlæknis og hýst hjá Origo hf.
Þegar bólusett hefði verið færu upplýsingar þar að lútandi inn í bólusetningagrunn sóttvarnalæknis, auk þess sem upplýsingar, sem færðar hefðu verið í landamærakerfið, þyrfti að varðveita að bólusetningarátaki loknu. Ástæða þess væri sú að kanna þyrfti þekjun bólusetninga í einstökum forgangshópum. Þegar þeirri könnun væri lokið yrði upplýsingum eytt. Ekki væri hægt að fullyrða um hvenær hægt yrði að eyða upplýsingum úr landamærakerfinu, en það réðist meðal annars af því hversu vel gengi að afla bóluefnis.
Tekið var fram, í tengslum við einstaklinga 60 ára og eldri á heilbrigðisstofnunum, að viðkomandi stofnanir myndu skrá þessa einstaklinga og bólusetja þá. Auk þess var tekið fram, hvað snertir einstaklinga í viðkvæmri stöðu vegna félagslegra og efnahagslegra aðstæðna, að heilsugæslur í einstökum sóttvarnaumdæmum leituðu til félagsmálayfirvalda viðkomandi sveitarfélaga. Þannig fengju þær upplýsingar um það hvaða einstaklingar féllu hér undir, en það væru meðal annars þeir sem tilheyrðu jaðarsettum hópum, væru í leit að alþjóðlegri vernd, heimilislausir, skjólstæðingar Rauða kross-deildarinnar Frú Ragnheiðar í Reykjavik, auk skjólstæðinga Rauða kross-deildarinnar Ungfrú Ragnheiðar á Akureyri. Í þessu sambandi var vísað til leiðbeininga frá framkvæmdastjórn ESB hinn 15. október 2020, þ.e. skjalsins „Communication from the Commission to the European Parliament and the Council: Preparedness for COVID-19 vaccination strategies and vaccine deployment“. Kemur fram á bls. 12 í því skjali að einstaklingar í stöðu eins og fyrr er lýst ættu að teljast falla í forgangshóp.
Í símtali hinn 15. desember 2020 óskaði Persónuvernd nánari skýringa um þá sem eldri eru en 60 ára og liggja á heilbrigðisstofnunum. Vísaði stofnunin til þess að samkvæmt framkomnum skýringum væru listastjórar starfandi innan heilsugæslunnar í hverju heilbrigðisumdæmi, svo og að það væru þeir sem skráð gætu upplýsingar í kerfi vegna skimunar á landamærum. Í ljósi þess að umræddar heilbrigðisstofnanir ættu sjálfar að skrá upplýsingar um umræddan hóp var þess óskað að fram kæmi hvort ávallt væri um að ræða stofnanir sem hefðu aðgang að listastjóra. Því var svarað til að allar heilbrigðisstofnanir aðrar en Landspítali og Sjúkrahúsið á Akureyri, þar sem sjúklingar eru inniliggjandi, störfuðu sem hlutar stærri stofnana sem heilsugæslan tilheyrði einnig. Sæi því listastjóri hjá heilsugæslunni um skráninguna.
Að auki óskaði Persónuvernd þess að fram kæmi hvort einhverra samkeyrslna við skrár hjá Embætti landlæknis væri þörf í aðdraganda bólusetningar einstaklinga í umræddum hópi. Því var svarað svo til að liggja ætti fyrir í sjúkraskrárkerfum hvort hlutaðeigandi hefðu verið bólusettir. Viðkomandi heilbrigðisstofnanir byggju því yfir nauðsynlegum upplýsingum þar að lútandi.
IV.
Um
leyfisskyldu
1.
Leyfisskylda vegna samkeyrslna
Fyrir liggur að vegna fyrirhugaðrar boðunar í bólusetningu við COVID-19 eru eftirfarandi samkeyrslur ráðgerðar:
a. samkeyrsla á annars vegar smitsjúkdómaskrá samkvæmt 3. mgr. 3. gr. sóttvarnalaga nr. 19/1997 og hins vegar skrá með upplýsingum um einstaklinga í forgangshópi vegna bólusetningar, þ.e. samkvæmt 7. tölul. 2. mgr. 4. gr. a í reglugerð nr. 221/2001 um bólusetningar á Íslandi, sem fengnar eru úr vistunarskrá heilbrigðisstofnana og samskiptaskrá heilsugæslustöðva, sbr. 6. og 7. tölul. 2. mgr. 8. gr. laga nr. 41/2007 um landlækni og lýðheilsu;
b. samkeyrsla á annars vegar smitsjúkdómaskrá og hins vegar skrá með upplýsingum um einstaklinga í forgangshópi vegna bólusetningar, þ.e. samkvæmt 3. tölul. 4. gr. a í reglugerð nr. 221/2001, sem fengnar eru úr færni- og heilsumatsskrá, sbr. 4. mgr. 11. gr. reglugerðar nr. 466/2012 um færni- og heilsumat vegna dvalar- og hjúkrunarrýma, sbr. 5. mgr. 15. gr. laga nr. 125/1999 um málefni aldraðra;
c. samkeyrslur á annars vegar smitsjúkdómaskrá og hins vegar skrám um einstaklinga í forgangshópum vegna bólusetningar að öðru leyti, sbr. 2. mgr. 4. gr. a í reglugerð nr. 221/2001;
d. samkeyrsla á annars vegar smitsjúkdómaskrá og hins vegar þjóðskrá vegna einstaklinga í forgangshópi samkvæmt 6. tölul. 2. mgr. 4. gr. a í reglugerð nr. 221/2001, svo og vegna einstaklinga sem óska bólusetningar þegar bólusetningu á forgangshópum er lokið, sbr. 10. tölul. sömu málsgreinar.
e. samkeyrsla á annars vegar símaskrá frá Já Ísland ehf. og hins vegar skrám yfir einstaklinga sem bjóða á bólusetningu.
Í 1. mgr. 31. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga kemur fram að Persónuvernd getur ákveðið að vinnsla persónuupplýsinga skuli vera leyfisskyld. Segir nánar tiltekið að sé um að ræða vinnslu persónuupplýsinga vegna verkefnis í þágu almannahagsmuna sem getur falið í sér sérstaka hættu á að farið verði í bága við réttindi og frelsi skráðra einstaklinga geti stofnunin ákveðið að vinnslan megi ekki hefjast fyrr en hún hefur verið athuguð af stofnuninni og samþykkt með útgáfu sérstakrar heimildar. Stofnunin geti ákveðið að slík leyfisskylda falli brott þegar settar hafi verið almennar reglur og öryggisstaðlar sem fylgja skuli við slíka vinnslu.
Á grundvelli þessa ákvæðis hefur Persónuvernd sett reglur nr. 811/2019 um leyfisskylda vinnslu persónuupplýsinga. Eins og fram kemur í 1. tölul. 1. mgr. 4. gr. reglnanna þarf leyfi Persónuverndar til samkeyrslu skráar, sem hefur að geyma viðkvæmar persónuupplýsingar, við aðra skrá, hvort sem sú skrá hefur að geyma almennar eða viðkvæmar persónuupplýsingar. Samkeyrsla er þó ekki leyfisskyld ef eingöngu er samkeyrt við upplýsingar um símanúmer eða upplýsingar úr þjóðskrá um nafn, kennitölu, heimilisfang, aðsetur og póstnúmer, sbr. a-lið umrædds töluliðar. Einnig er samkeyrsla ekki leyfisskyld ef samkeyrðar eru skrár sama ábyrgðaraðila, þó að undanskildum miðlægum skrám sem innihalda viðkvæmar persónuupplýsingar, sbr. b-lið töluliðarins. Þá er samkeyrsla ekki leyfisskyld byggist hún á samþykki hlutaðeigandi eða fyrirmælum laga, sbr. 2. mgr. 4. gr. reglnanna.
Ljóst er að á meðal þeirra skráa sem ráðgert er að samkeyra eru miðlægar skrár með viðkvæmum persónuupplýsingum, þ.e. um heilsufar, sbr. b-lið 3. tölul. 3. gr. laga nr. 90/2018, svo og að hvorki er þar byggt á samþykki hins skráða né fyrirmælum laga. Þá er ljóst að undanþága frá leyfisskyldu hinn 30. mars 2020, sbr. viðbót við hana frá 31. s.m., sem Persónuvernd veitti Embætti landlæknis í þágu samkeyrslna vegna COVID-19-faraldursins á grundvelli niðurlags 1. mgr. 31. gr. laga nr. 90/2018, getur ekki átt hér við, enda tekur undanþágan aðeins til samkeyrslna undir dulkóðuðum persónuauðkennum eins og nánar er rakið í I. hluta hér fyrr. Jafnframt er hins vegar ljóst að eftir atvikum getur þurft að líta til áðurnefndrar undantekningar samkvæmt a-lið 1. tölul. 1. mgr. 4. gr. reglna nr. 811/2019.
Þegar litið er til alls framangreinds telur Persónuvernd að af þeim samkeyrslum, sem tilgreindar eru í upptalningunni hér framar í kaflanum, séu það samkeyrslur samkvæmt a- og b-lið sem byggjast þurfi á leyfi stofnunarinnar, svo og samkeyrsla sem fram fer á grundvelli c-liðar þegar skrá um einstaklinga í forgangshópi hefur að geyma upplýsingar um heilsuhagi. Eins og fyrr greinir afmarkast forgangshópur samkvæmt 6. tölul. 2. mgr. 4. gr. a í reglugerð nr. 221/2001 við einstaklinga 60 ára og eldri. Þá er þar tekið fram að einstaklingar í þessum aldurshópi, sem inniliggjandi eru á heilbrigðisstofnunum, skuli vera bólusettir fyrr en aðrir. Í ljósi þessa hefur Persónuvernd, eins og fyrr greinir, leitað skýringa frá Embætti landlæknis á hvort þörf sé á samkeyrslu þessara upplýsinga við upplýsingar hjá embættinu í aðdraganda bólusetningar og fengið þau svör að svo sé ekki, enda búi viðkomandi heilbrigðisstofnanir yfir nauðynlegum upplýsingum sjálfar. Þarf því ekki leyfi Persónuverndar í tengslum við umræddan hóp. Tekið skal fram að annað getur hins vegar eftir atvikum átt við um einstaklinga sem falla í forgangshóp samkvæmt 9. tölul. 2. mgr. 4. gr. a í reglugerðinni, þ.e. þá sem eru í viðkvæmri stöðu vegna félagslegra og efnahagslegra aðstæðna og eru í sérstakri áhættu.
2.
Um vinnslu upplýsinga um félagsleg vandamál og einkalífsatriði
Taka má fram að í tengslum við hópinn, sem tilgreindur er í niðurlagi 1. kafla hér að framan, reynir á leyfisskyldu samkvæmt 4. tölul. 1. mgr. 4. gr. reglna nr. 811/2019, þess efnis að leyfi Persónuverndar þurfi fyrir vinnslu upplýsinga um félagsleg vandamál manna og einkalífsatriði. Samkvæmt umræddum tölulið er gerð undantekning frá leyfisskyldunni sé vinnslan nauðsynlegur og eðlilegur þáttur í starfsemi viðkomandi aðila. Þá gildir leyfisskyldan ekki ef vinnslan byggist á samþykki eða fyrirmælum laga, sbr. fyrrgreint ákvæði 2. mgr. 4. gr. reglnanna.
Ljóst er að síðarnefnda undantekningin á hér ekki við. Í ljósi heimildar sóttvarnalæknis til vinnslu persónuupplýsinga til að verjast alvarlegum heilsufarsógnum og til að sinna lögbundnu hlutverki sínu, sbr. 6. mgr. 4. gr. sóttvarnalaga nr. 19/1997, því verkefni hans að skipuleggja og samræma sóttvarnir og ónæmisaðgerðir, sbr. 1. tölul. 5. gr. sömu laga, svo og réttar hans til aðgangs að gögnum og stöðum, þ. á m. með aðstoð lögeglu, sbr. 3. mgr. 12. gr. og 2. mgr. 11. gr. laganna, álítur Persónuvernd fyrrnefndu undantekninguna aftur á móti eiga við eins og hér háttar til. Samkvæmt því telst sóttvarnalæknir ekki þurfa leyfi samkvæmt 4. tölul. 1. mgr. 4. gr. reglna nr. 811/2019 vegna samkeyrslna þar sem fyrir koma upplýsingar um umræddan hóp.
V.
Leyfi og leyfisskilmálar
Með vísan til 1. tölul. 1. mgr. 4. gr. reglna Persónuverndar nr. 811/2019, sbr. nú 2. mgr. 31. gr. laga nr. 90/2018, hefur Persónuvernd ákveðið að veita Landlæknisembættinu umbeðið leyfi til samkeyrslna skráa í tengslum við bólusetningu við COVID-19 þar sem skrárnar sem samkeyrðar eru hverju sinni, eða eftir atvikum önnur þeirra, hafa að geyma viðkvæmar persónuupplýsingar. Nánar tiltekið er þar átt við samkeyrslur á skrám í samræmi við tilgreiningu í niðurlagi 1. kafla IV. hluta leyfis þessa á hvenær leyfis Persónuverndar vegna umræddra samkeyrslna sé þörf, sbr. a-, b- og að hluta c-lið upptalningar framar í kaflanum. Leyfið, sem heimilar samkeyrslu þessara skráa undir beinum persónuauðkennum, gildir til 16. desember 2021 og er bundið eftirfarandi skilyrðum, sbr. 33. gr. laga nr. 90/2018:
1.
Ábyrgðaraðili að vinnslu persónuupplýsinga
Landlæknisembættið (hér eftir nefnt „leyfishafi“) telst vera ábyrgðaraðili að vinnslu persónuupplýsinga vegna umræddra samkeyrslna í skilningi 6. tölul. 3. gr. laga nr. 90/2018. Fer það með allt fyrirsvar gagnvart Persónuvernd um alla þætti hvað samkeyrslurnar snertir, þ. á m. álitaefni er upp kunna að rísa um það hvort vinnsla persónuupplýsinga hafi verið í samræmi við lög, reglur og ákvæði þessa leyfis.
2.
Lögmæt vinnsla persónuupplýsinga og þagnarskylda
a. Leyfishafi ber ábyrgð á því að vinnsla persónuupplýsinga vegna samkeyrslnanna fullnægi ávallt kröfum 1. mgr. 8. gr. laga nr. 90/2018.
b. Þagnarskylda hvílir á öllum þeim sem koma að samkeyrslunum um þær upplýsingar sem unnið er með. Þagnarskylda helst að samkeyrslunum loknum. Sé hlutaðeigandi ekki bundinn lögbundinni þagnarskyldu skal hann undirrita sérstaka þagnarskylduyfirlýsingu þessa efnis. Byggist hún á 3. mgr. 44. gr. laga nr. 90/2018.
c. Samkvæmt skilmálum þessum er einvörðungu heimilt að vinna með þær upplýsingar sem gildi hafa vegna samkeyrslnanna og samrýmast markmiðum þeirra.
3.
Framkvæmd miðlunar til landlæknis
Upplýsingar um þá sem tilheyra einstökum hópum, sem ráðgert er að bólusettir verði, skulu sendar Embætti landlæknis með því að skrá þær í kerfi sem komið hefur verið upp vegna skimunar fyrir COVID-19 á landamærum. Þeir sem tilnefndir verða listastjórar hjá heilsugæslunni í hverju heilbrigðisumdæmi, svo og listastjórar á Landspítala og sjúkrahúsinu á Akureyri, sbr. umfjöllun í III. hluta leyfis þessa, hafa skráninguna með höndum.
4.
Söfnun upplýsinga um einstaklinga í viðkvæmri félagslegri og efnahagslegri stöðu
Til að afmarka þann hóp einstaklinga, sem teljast í viðkvæmri stöðu vegna félagslegra- og efnahagslegra aðstæðna og í sérstakri áhættu, leita heilsugæslur til félagsmálayfirvalda viðkomandi sveitarfélaga. Skal áður hafa verið skilgreint hverjir séu álitnir tilheyra umræddum hópum og skal skrám um þá miðlað frá félagsmálayfirvöldum til heilsugæslu á öruggan hátt, s.s. á innsigluðum, dulkóðuðum minnislykli. Að upplýsingunum fengnum skrá listastjórar upplýsingar um hlutaðeigandi einstakling í það kerfi sem tilgreint er í 3. gr. hér að framan.
5.
Varðveislutími upplýsinga í kerfi fyrir skimun á landamærum
Upplýsingum, sem skráðar eru í kerfi fyrir skimun á landamærum í samræmi við 3. og 4. gr. hér að framan, skal eytt þegar könnun á þekjun bólusetninga í einstökum hópum er lokið. Þegar eyðing að svo búnu hefur átt sér stað, þó eigi síðar en við lok gildistíma leyfisins hinn 16. desember 2021, skal Persónuvernd send staðfesting þar um.
6.
Öryggi við vinnslu persónuupplýsinga
Leyfishafa ber að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn óleyfilegum aðgangi í samræmi við 27. gr. laga nr. 90/2018, sbr. 32. og 33. gr. reglugerðar (ESB) 2016/679. Þar er meðal annars áskilið:
a. að beita skuli ráðstöfunum sem tryggja viðunandi öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af meðal annars nýjustu tækni og kostnaði við framkvæmd þeirra, og
b. að tilkynna skuli um öryggisbresti til Persónuverndar eins fljótt og mögulegt er, og eigi síðar en innan 72 klst., nema ólíklegt þyki að af hljótist áhætta fyrir réttindi og frelsi einstaklinga.
Leyfishafi ber ábyrgð á því að hver sá er starfar í umboði hans og hefur aðgang að persónuupplýsingum vinni aðeins með þær í samræmi við skýr fyrirmæli sem hann gefur og að því marki að falli innan skilyrða leyfis þessa, nema lög mæli fyrir á annan veg.
7.
Um vinnsluaðila
Hyggist leyfishafi fela vinnsluaðila að annast vinnslu persónuupplýsinga vegna samkeyrslnanna skal fylgt 25. gr. laga nr. 90/2018 þar sem fjallað er um réttarsamband ábyrgðaraðila og vinnsluaðila, sbr. nánari fyrirmæli í 28. gr. reglugerðar (ESB) 2016/679. Samkvæmt þessum ákvæðum ber ábyrgðaraðila meðal annars að gera samning við vinnsluaðila sem skal vera skriflegur eins og fram kemur í 9. mgr. 28. gr. reglugerðarinnar. Skal ábyrgðaraðili einungis leita til vinnsluaðila sem veitir nægilegar tryggingar fyrir því að hann geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að vinnslan uppfylli kröfur reglugerðarinnar og að réttindi og frelsi hins skráða séu tryggð. Eins og mælt er fyrir um í 3. mgr. 28. gr. reglugerðarinnar skal umræddur samningur meðal annars mæla fyrir um að vinnsluaðili vinni einungis með persónupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila, tryggi að þeir sem hafa heimild til vinnslu persónuupplýsinga beri trúnaðarskyldu og viðhafi allar þær öryggisráðstafanir sem gera ber í ljósi 32. gr. reglugerðarinnar.
8.
Almennir skilmálar
a. Leyfishafi ber ábyrgð á að farið sé með allar heilsufarsupplýsingar, auk upplýsinga um félagsleg vandamál og sambærileg einkalífsatriði, sem sjúkragögn í samræmi við lög, reglur og ákvæði þessa leyfis.
b. Leyfishafi skal ábyrgjast að engir aðrir en þeir sem koma að bólusetningu við COVID-19 fái í hendur persónugreinanleg gögn sem unnið verður með vegna bólusetningarinnar.
c. Leyfishafa ber að veita Persónuvernd og starfsmönnum hennar allar umbeðnar upplýsingar um vinnslu persónuupplýsinga sé eftir því leitað í þágu eftirlits.
d. Persónuvernd getur látið gera úttekt á því hvort leyfishafi fullnægi skilyrðum laga nr. 90/2018, reglugerðar (ESB) 2016/679, reglna sem settar eru á grundvelli laganna eða einstökum fyrirmælum. Getur Persónuvernd ákveðið, á grundvelli gjaldskrár, sbr. 40. gr. laga nr. 90/2018 og auglýsingu nr. 1027/2020, að leyfishafi skuli greiða þann kostnað sem af því hlýst. Persónuvernd getur einnig ákveðið, á grundvelli gjaldskrár samkvæmt umræddu ákvæði, að leyfishafi greiði kostnað við úttekt á starfsemi og undirbúning annarrar afgreiðslu. Persónuvernd skal þá gæta þess að sá sérfræðingur sem framkvæmir umrædda úttekt undirriti yfirlýsingu um að hann lofi að gæta þagmælsku um það sem hann fær vitneskju um í starfsemi sinni og leynt ber að fara eftir lögum eða eðli máls. Brot á slíkri þagnarskyldu varðar refsingu samkvæmt 1. mgr. 44. gr. laga nr. 90/2018. Þagnarskyldan helst þótt látið sé af starfi.
e. Skilmálar þessir grundvallast á að einungis verði unnið með þær upplýsingar sem nauðsynlegar eru vegna samkeyrslnanna.
f. Persónuvernd getur hvenær sem er sett frekari skilmála um samkeyrslurnar, svo og breytt einstökum skilmálum ef upp koma aðstæður sem kalla á það eða forsendur breytast.
F.h. Persónuverndar,
Helga Þórisdóttir Þórður Sveinsson