Leyfi til vinnslu persónuupplýsinga vegna lyfjaeftirlits
Hinn 20. júní 2019 veitti Persónuvernd Lyfjaeftirliti Íslands hjá Íþrótta- og Ólympíusambandi Íslands leyfi til vinnslu persónuupplýsinga um lyfjamisnotkun í íþróttum. Með leyfinu eru sett skilyrði fyrir því að sett sé upp uppljóstrunarkerfi fyrir slíka misnotkun á vefsíðu sambandsins, en skilyrðin lúta meðal annars að auðkenningu þeirra sem senda ábendingar, rétti þeirra til nafnleyndar, undantekningum frá þeim rétti og öryggi persónuupplýsinga.
Heimild til vinnslu persónuupplýsinga
skv. 1. og 2. tölulið 4. gr. reglna nr. 712/2008,
sbr. 31. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga
I.
Leyfisumsókn
Með umsókn, dagsettri 11. desember 2017, sótti Íþrótta- og Ólympíusamband Íslands (ÍSÍ) um leyfi til vinnslu persónuupplýsinga um lyfjamisnotkun í íþróttum. Tafir hafa orðið á afgreiðslu umsóknarinnar sem meðal annars má rekja til mikilla anna hjá Persónuvernd. Árið 2018 tók Lyfjaeftirlit Íslands við lyfjaeftirliti af ÍSÍ. Hefur umsókninni verið fram haldið eftir það af Lyfjaeftirliti Íslands.
Nánar tiltekið er sótt um leyfi til þess að hafa á vefsíðu sambandsins uppljóstrunarkerfi fyrir lyfjamisnotkun í íþróttum.
Tilgangur vinnslunnar er eftirlit með hugsanlegum brotum á lögum sambandsins um lyfjamál, að standa vörð um heiðarlega og hreina keppni og að uppræta lyfjamisferli. Í því skyni er sótt um leyfi til þess að:
a. Gera fólki kleift að koma fram með upplýsingar nafnlaust eða undir nafni í öruggu umhverfi á vefsíðu sambandsins.
b. Vinna með persónuupplýsingar sem er miðlað til sambandsins með öruggum hætti.
Tekið er fram í umsókn að þær upplýsingar sem verði skráðar um viðkomandi einstaklinga, til viðbótar við upplýsingar um meinta lyfja- og vímuefnanotkun, verði upplýsingar um nafn, kennitölu og aðild að íþróttafélagi.
Fyrirhugað sé að samkeyra kennitölur sem berist með ábendingum í gegnum vefsíðu við kennitölugrunn félagakerfis ÍSÍ og Ungmennafélags Íslands, Felix, í þeim tilgangi að fá úr því skorið hvort viðkomandi kennitala finnist í félagaskrám innan sambandsins.
Vegna rannsóknarhagsmuna standi til að farið verði leynilega með persónuupplýsingarnar og að hinir skráðu verði ekki látnir vita af vinnslunni.
Um öryggi upplýsinganna segir að þær verði hýstar í gagnagrunni sem sé hýstur af Microsoft Azure Germany, sem sé viðurkenndur gagnavörsluaðili í Þýskalandi með samning við Got Ethics. Fyrirtækið sé dótturfyrirtæki Deutsche Telekom. Nánari upplýsingar um Microsoft Azure Germany megi finna á uppgefinni vefslóð. Upplýsingar um netöryggi Got Ethics fylgja umsókninni. Fram kemur að upplýsingarnar fari ekki frá Þýskalandi og að Got Ethics hafi gert áhættumat og hafi formlega innleitt öryggisstefnu fyrir kerfið.
Um varðveislu og eyðingu persónuupplýsinga segir í umsókninni að þær verði ekki varðveittar lengur en þörf sé á til að sannreyna þær, t.d. með lyfjaprófum. Að máli loknu verði upplýsingunum eytt.
II.
Umfjöllun Persónuverndar
1.
Gildissvið persónuverndarlaga
Leyfisumsóknin barst Persónuvernd í gildistíð þágildandi
laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sem nú eru
fallin úr gildi. Í stað þeirra hafa verið sett lög nr. 90/2018, um persónuvernd
og vinnslu persónuupplýsinga, sem leiddu í íslensk lög ákvæði persónuverndarreglugerðar
Evrópuþingsins og ráðsins (ESB) 2016/679, eins og hún var tekin upp í
EES-samninginn. Um leyfi þetta fer eftir núgildandi lögum nr. 90/2018.
Gildissvið laga nr. 90/2018 er afmarkað í 4. gr. laganna. Samkvæmt því ákvæði gilda lögin um vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og um vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölulið 3. gr. laganna og 1. tölulið 4. gr. reglugerðarinnar.
Þá er með vinnslu átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölulið 3. gr. laganna og 2. tölulið 4. gr. reglugerðarinnar.
Af framangreindum ákvæðum er ljóst að söfnun, skráning, varðveisla, skoðun og notkun upplýsinga um hugsanleg brot tiltekinna einstaklinga á lögum ÍSÍ um lyfjamál, sem einnig geta varðað við almenn hegningarlög, er vinnsla persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölulið 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga. Eins og hér háttar til telst Lyfjaeftirlit Íslands vera ábyrgðaraðili að umræddri vinnslu.
Sá sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila er nefndur vinnsluaðili, sbr. 7. tölulið 3. gr. laga nr. 90/2018. Eins og hér háttar til telst Microsoft Azure Germany vera vinnsluaðili að vinnslu persónuupplýsinga á vegum Lyfjaeftirlits Íslands.
2.
Heimild til vinnslu persónuupplýsinga sem varða lyfja- og vímuefnanotkun
Vinnsla persónuupplýsinga í tengslum við ábendingar sem berast í gegnum uppljóstrunarkerfi á vefsíðu Lyfjaeftirlits Íslands verður, eins og öll vinnsla persónuupplýsinga, að byggjast á einhverri þeirra heimilda sem greinir í 9. gr. laga nr. 90/2018. Sé um að ræða viðkvæmar persónuupplýsingar verður vinnslan einnig að fullnægja einhverri af þeim viðbótarkröfum sem í 11. gr. laganna greinir. Upplýsingar um grun um refsiverða háttsemi heyra undir sérstakan flokk persónuupplýsinga og þarf vinnsla þeirra að samrýmast ákvæðum 12. gr. laganna.
Með hliðsjón af þeirri lýsingu á vinnslu persónuupplýsinga sem sótt er um leyfi fyrir má ætla að hún feli í sér að Lyfjaeftirliti Íslands berist upplýsingar um lyfjanotkun tiltekinna einstaklinga, sem teljast viðkvæmar persónuupplýsingar samkvæmt b-lið 3. töluliðar 3. gr. laga nr. 90/2018, og eftir atvikum upplýsingar sem fela í sér grun um refsiverða háttsemi.
Í tveimur álitum 29. gr.-vinnuhóps ESB um persónuvernd, nr. 3/2008 og 4/2009, er fjallað um alþjóðlega staðla Alþjóðalyfjaeftirlitsins (WADA). Í þeim álitum kemur fram að vinnsla persónuupplýsinga í tengslum við lyfjaeftirlit í íþróttum geti ekki byggst á samþykki hinna skráðu þar sem það geti ekki uppfyllt skilyrði persónuverndarlöggjafarinnar um samþykki, sem óþvingaða, sértæka og upplýsta viljayfirlýsingu. Hins vegar geti slík vinnsla verið heimil á grundvelli c-liðar 7. gr. og 4. mgr. 8. gr. þágildandi persónuverndartilskipunar Evrópuþingsins og ráðsins 95/46/EB. Í c-lið 7. gr. var kveðið á um að vinnsla persónuupplýsinga gæti verið heimil væri hún nauðsynleg til að fullnægja lagaskyldu sem hvíldi á ábyrgðaraðila. Í 4. mgr. 8. gr. var kveðið á um, með fyrirvara um setningu viðeigandi öryggisákvæða, að aðildarríkjum væri heimilt, ef sýnt væri fram á að brýnir almannahagsmunir krefðust þess, að mæla fyrir um undanþágur frá banni við vinnslu viðkvæmra persónuupplýsinga, í innlendum lögum eða með ákvörðun eftirlitsvalds. Í fyrrgreindum álitum er vísað til þess að alþjóðlegar skuldbindingar, svo sem á grundvelli UNESCO-samningsins gegn misnotkun lyfja í íþróttum eða Evrópusamnings Evrópuráðsins gegn misnotkun lyfja í íþróttum, geti verið fullnægjandi lagagrundvöllur samkvæmt skilyrðum þessara ákvæða, að því leyti sem þær séu skuldbindandi að landsrétti fyrir þá aðila sem fara með lyfjaeftirlit í íþróttum.
Í áliti nr. 4/2009 segir enn fremur að grein e-liðar 7. gr. í þágildandi tilskipun 95/46/EB geti verið grundvöllur fyrir umræddri vinnslu ef sá sem fer með lyfjaeftirlitið er opinber aðili sem vinni eftir skýrum lagaramma. Í þeirri grein var kveðið á um að vinnsla persónuupplýsinga gæti verið heimil væri hún nauðsynleg vegna verks sem unnið væri í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili eða þriðji aðili, sem upplýsingum væri miðlað til, færi með. Þá segir í álitinu að eini grundvöllurinn fyrir vinnslu viðkvæmra persónuupplýsinga í þessu sambandi sé 4. mgr. 8. gr. tilskipunarinnar og því þurfi að koma til lög viðkomandi aðildarríkis sem standist kröfur þess ákvæðis. Af því leiði að til þurfi að koma annað hvort, lagaheimild eða leyfi frá persónuverndarstofnun í viðkomandi landi.
Þrátt fyrir að framangreind tilskipun sé nú fallin úr gildi verður talið að sömu sjónarmið og lýst er í álitinu eigi við, með vísan til samsvarandi ákvæða núgildandi reglugerðar (ESB) 2016/679 og laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Samsvarandi ákvæði og að framan er vísað til eru c- og e-liðir 1. mgr. 6. gr. reglugerðarinnar, sem kveða á um að vinnsla persónuupplýsinga skuli teljast lögmæt ef hún er nauðsynleg til að uppfylla lagaskyldu sem hvílir á ábyrgðaraðila eða vegna verkefnis sem unnið er í þágu almannahagsmuna, sbr. 3. og 5. tölulið 9. gr. laga nr. 90/2018, og g-liður 2. mgr. 9. gr. reglugerðarinnar, sem kveður á um að vinnsla viðkvæmra persónuupplýsinga geti talist heimil ef hún er nauðsynleg, af ástæðum sem varða verulega almannahagsmuni, á grundvelli laga Sambandsins eða laga aðildarríkis, sem skuli hæfa því markmiði sem stefnt sé að, virða kjarna réttarins til persónuverndar og kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða, sbr. 7. tölulið 1. mgr. 11. gr. laga nr. 90/2018.
Við mat á því hvort Lyfjaeftirliti Íslands sé heimil umrædd vinnsla verður, samkvæmt framangreindu, að líta til þess á hvaða grundvelli eftirlitið fer með lyfjaeftirlit í íþróttum.
Samkvæmt 1. mgr. 3. gr. a. íþróttalaga nr. 64/1998 skal mennta- og menningarmálaráðherra standa fyrir lyfjaeftirliti í íþróttum í samræmi við þjóðréttarlegar skuldbindingar. Ráðherra er hins vegar heimilt, samkvæmt 2. mgr. sömu greinar, að fela þar til bærum aðila framkvæmd lyfjaeftirlits með þjónustusamningi sem gerður sé til allt að fimm ára í senn. Í slíkum samningi skal kveða á um:
a. skilmála sem ráðuneytið setur fyrir ráðstöfun fjárframlags til lyfjaeftirlits úr ríkissjóði,
b. málsmeðferð við lyfjaeftirlit og þau verkefni sem ríkissjóður greiðir fyrir,
c. helstu áherslur og markmið samningsaðila og
d. mat og eftirlit með framkvæmd lyfjaeftirlits.
Rétt er að geta þess að 3. gr. a. íþróttalaga nr. 64/1998 var sett með 1. gr. laga nr. 124/2012, um breytingu á íþróttalögum. Í athugasemdum við frumvarp til laga nr. 124/2012 segir að frumvarpið sé unnið af mennta- og menningarmálaráðuneytinu til þess að lögfesta alþjóðaskuldbindingar ríkisins á sviði lyfjaeftirlits í íþróttum. Fram kemur að íslenska ríkið sé aðili að samningi Evrópuráðsins gegn misnotkun lyfja í íþróttum frá árinu 1989, ásamt viðbótarbókun við samninginn frá árinu 2003, Kaupmannahafnaryfirlýsingunni frá árinu 2003 og UNESCO-lyfjaeftirlitssamningnum frá árinu 2005. Með þessari aðild hafi íslenska ríkið skuldbundið sig til að hafa lyfjaeftirlit með íþróttum og hlíta lyfjaeftirlitsreglum Alþjóðalyfjaeftirlitsins (WADA). Með 1. mgr. 1. gr. frumvarpsins sé staðfest ábyrgð ríkisins á því að lyfjaeftirlit í íþróttum sé framkvæmt hér á landi.
Þá segir í athugasemdum við frumvarpið að stofnað hafi verið til þágildandi fyrirkomulags um lyfjaeftirlit með samkomulagi ríkisins og ÍSÍ árið 1993, sem fól í sér að ÍSÍ færi með framkvæmd lyfjaeftirlits fyrir hönd ríkisins í samræmi við samning Evrópuráðsins. Starfshættir og starfsumhverfi lyfjaeftirlits hafi gjörbreyst síðan þetta samkomulag hafi verið undirritað og sé tilgangur frumvarpsins að efla og styrkja lagaumhverfi lyfjaeftirlits á Íslandi í samræmi við breyttar áherslur og umhverfi.
Evrópusamningur Evrópuráðsins gegn misnotkun lyfja í íþróttum tók gildi að því er Ísland varðar 1. maí 1991 og aðild Íslands að UNESCO-samningnum gegn misnotkun lyfja í íþróttum var staðfest í byrjun árs 2006 og tók samningurinn gildi 1. febrúar 2007.
Samkvæmt tölvupóst- og símasamskiptum við Lyfjaeftirlit Íslands hefur verið undirritaður samningur mennta- og menningarmálaráðherra og Lyfjaeftirlits Íslands, í febrúar 2019, í samræmi við 3. gr. a. íþróttalaga nr. 64/1998, sem kveður á um að Lyfjaeftirlit Íslands skipuleggi og framkvæmi lyfjaeftirlit á Íslandi. Óundirritað eintak samningsins hefur verið lagt fram í málinu.
Með hliðsjón af því sem að framan er rakið er það mat Persónuverndar að á grundvelli framangreinds þjónustusamnings og með vísan til 3. gr. a. íþróttalaga nr. 64/1998 og þeirra alþjóðlegu skuldbindinga sem íslenska ríkið hefur gengist við, sé Lyfjaeftirliti Íslands heimil vinnsla persónuupplýsinga í tengslum við lyfjaeftirlit í íþróttum samkvæmt 3. tölulið 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðarinnar.
Hins vegar telur Persónuvernd að sú lagaheimild sem að framan greinir sé almenns eðlis og að með ákvæðum íþróttalaga nr. 64/1998 sé ekki settur nægilega skýr rammi um þá vinnslu viðkvæmra persónuupplýsinga og upplýsinga um mögulega refsiverða háttsemi sem felst í að heimila ábendingar á grundvelli uppljóstrunarkerfis um lyfjamisnotkun í íþróttum, eins og í leyfisumsókn greinir. Lögin geti því ekki verið grundvöllur fyrir heimild til vinnslunnar samkvæmt 3. tölulið 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðarinnar.
Að því virtu tekur Persónuvernd nú til umfjöllunar hvort veitt skuli heimild til vinnslunnar á grundvelli reglna nr. 712/2008, um leyfisskylda vinnslu persónuupplýsinga, sbr. 31. gr. laga nr. 90/2018.
Samkvæmt 2. tölulið 1. mgr. 4. gr. reglna nr. 712/2008 er vinnsla upplýsinga um refsiverðan verknað manns og sakaferil, auk upplýsinga um lyfja-, áfengis- og vímuefnanotkun, kynlíf og kynhegðan, háð skriflegri heimild Persónuverndar nema vinnslan sé nauðsynlegur og eðlilegur þáttur í starfsemi viðkomandi aðila. Samkvæmt 1. tölulið sömu málsgreinar er samkeyrsla skráar með viðkvæmum persónuupplýsingum við aðra skrá, hvort sem sú hafi að geyma almennar eða viðkvæmar persónuupplýsingar, háð skriflegri heimild Persónuverndar.
Með vísan til þess sem fram kemur í fyrrgreindu áliti 29. gr.-vinnuhóps ESB um persónuvernd, nr. 4/2009, er það mat Persónuverndar að sú vinnsla sem sótt er um leyfi fyrir geti talist nauðsynleg í þágu almannahagsmuna. Er það því niðurstaða stofnunarinnar að veita Lyfjaeftirliti Íslands heimild til vinnslu viðkvæmra persónuupplýsinga, upplýsinga um mögulegan refsiverðan verknað og samkeyrslu skráa á grundvelli framangreinds uppljóstrunarkerfis um lyfjamisnotkun í íþróttum, með þeim skilmálum sem nánar eru tilgreindir í III. kafla þessa leyfis.
3.
Grunnkröfur
persónuverndarlaga
Auk heimildar samkvæmt framangreindu þarf vinnsla persónuupplýsinga ávallt að samrýmast öllum grunnkröfum 8. gr. laga nr. 90/2018, sem kveða á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. töluliður), að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. töluliður), að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. töluliður), að þær séu áreiðanlegar og uppfærðar eftir þörfum og að persónuupplýsingum sem séu óáreiðanlegar eða ófullkomnar miðað við tilgang vinnslunnar skuli eytt eða þær leiðréttar án tafar (4. töluliður), að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. töluliður) og að viðeigandi öryggi persónuupplýsinga sé tryggt (6. töluliður).
Í upphaflegu erindi ÍSÍ segir að tilgangur með uppljóstrunarkerfi vegna lyfjamisnotkunar í íþróttum sé að vinna úr ábendingum sem kunni að berast lyfjaeftirlitinu vegna hugsanlegra brota á lögum ÍSÍ um lyfjamál, sem samræmist alþjóðlegum reglum um lyfjamál í íþróttum. Lyfjaeftirliti beri skylda til að standa vörð um heiðarlega og hreina keppni og uppræta lyfjamisferli. Mikilvægur þáttur í því sé að gefa fólki færi á að koma fram með upplýsingar nafnlaust eða undir nafni í öruggu umhverfi.
Í samræmi við framangreindar grunnkröfur persónuverndarlaga og fyrri niðurstöður Persónuverndar verður ekki talið að unnt sé að tryggja að þær upplýsingar sem veittar eru með nafnlausum ábendingum séu áreiðanlegar í samræmi við 4. tölulið 1. mgr. 8. gr. laga nr. 90/2018. Við slíka framkvæmd getur reynst ómögulegt að fylgja ábendingum eftir með frekari fyrirspurnum og hætta getur skapast á að einstaklingar geti, í skjóli nafnleysis, sent ábendingar til þess að koma höggi á aðra. Sérstakrar varúðar ber að gæta í þessum efnum þegar ábendingar varða meint brot á lögum og reglum. Slíkar ábendingar geta haft í för með sér alvarlegar afleiðingar fyrir þá sem bent er á, jafnvel þótt þær eigi ekki við rök að styðjast. Persónuvernd telur einnig að nafnlausar ábendingar uppfylli almennt ekki grunnkröfu persónuverndarlaga um lögmæta, sanngjarna og gagnsæja vinnslu persónuupplýsinga gagnvart hinum skráða, sbr. 1. tölulið 1. mgr. 8. gr. laga nr. 90/2018, sbr. og ákvæði 17. gr. sömu laga, sbr. nánari ákvæði í 13.-15. gr. reglugerðar (ESB) 2016/679, um gagnsæi upplýsinga, rétt hins skráða til upplýsinga og aðgangs og undantekningar frá þeim rétti. Það fyrirkomulag að heimila nafnlausar ábendingar kemur í veg fyrir að hinn skráði geti notið réttinda samkvæmt framangreindum ákvæðum.
Að framangreindu virtu telur Persónuvernd ekki samrýmast lögum nr. 90/2018 og reglugerðinni að tekið sé við nafnlausum ábendingum heldur beri viðkomandi að auðkenna sig. Hins vegar geti hann átt rétt á nafnleynd sem ekki verði aflétt nema að nánar tilgreindum skilyrðum uppfylltum. Er slík framkvæmd til að mynda í samræmi við það sem kveðið er á um í 19. gr. barnaverndarlaga nr. 80/2002.
Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á hinn skráði rétt til upplýsinga um vinnslu persónuupplýsinga um sig samkvæmt fyrirmælum 13.-15. gr. reglugerðarinnar. Í 14. gr. reglugerðarinnar eru ákvæði um upplýsingar sem ber að veita hinum skráða hafi persónuupplýsingar ekki verið fengnar hjá honum sjálfum og segir í f-lið þeirrar greinar að í slíkum tilvikum skuli skýra hinum skráða frá því hvaðan persónuupplýsingar eru fengnar að því marki sem nauðsynlegt er til að tryggja sanngjarna og gagnsæja vinnslu. Í 15. gr. reglugerðarinnar er kveðið á um rétt skráðs einstaklings til aðgangs að upplýsingum hjá ábyrgðaraðila um vinnslu persónuupplýsinga um sig. Samkvæmt g-lið 1. mgr. þeirrar greinar fellur þar undir réttur til aðgangs að öllum fyrirliggjandi upplýsingum um uppruna persónuupplýsinganna sem unnið er með.
Í 3. mgr. 17. gr. laga nr. 90/2018 er hins vegar kveðið á um að m.a. 1.-4. mgr. 14. gr. og 15. gr. reglugerðarinnar gildi ekki ef brýnir hagsmunir einstaklinga tengdir upplýsingunum vegi þyngra.
Sé nafnleynd heitið þegar ábending er gefin þarf því að hafa fyrirvara á því að ef á reyni geti þurft að fara fram ákveðið hagsmunamat, þ.e. mat á því hvort hagsmunir þess sem gefur ábendinguna af nafnleynd vegi þyngra en hagsmunir hins skráða af því að fá vitneskju um hvaðan upplýsingar um hann koma.
Almennt má segi að ríkir hagsmunir standi til þess að nafnleyndar sé gætt fyrir þá sem veita ábendingar sem lúta að broti á reglum um lyfjanotkun í íþróttum. Líkt og rakið er í fyrirliggjandi leyfisumsókn er með slíku fyrirkomulagi veitt öruggt umhverfi fyrir þá sem vilja koma ábendingum um lyfjamisnotkun áleiðis, sem er til þess fallið að uppræta lyfjamisnotkun í íþróttum. Hins vegar þarf, við vinnslu persónuupplýsinga sem þannig berast, að gæta að hagsmunum allra aðila, þ.e. þeirra sem gefa ábendingar, þeirra sem ábendingarnar varða og annarra sem kunna að eiga hlut að máli, svo sem vitna. Verður nánar vikið að fyrirmælum Persónuverndar þar að lútandi í III. kafla hér á eftir.
III.
Leyfi og leyfisskilmálar
Leyfi þetta gildir til 3. júní 2024. Með hliðsjón af leiðbeiningum 29. gr.-vinnuhópsins, sem starfaði á grundvelli fyrrnefndrar tilskipunar 95/46/EB, frá júlí 2016, „Guidelines on processing personal information within a whistleblowing procedure“, áliti hans, nr. 1/2006, og í samræmi við grunnkröfur persónuverndarlaga, er leyfi þetta bundið eftirfarandi skilyrðum:
1.
Almennir skilmálar
1. Lyfjaeftirlit Íslands skal veita almenna fræðslu, t.d. á vefsíðu sinni, um þá vinnslu persónuupplýsinga sem fer fram þegar því berast ábendingar um lyfjamisferli í íþróttum, á hvaða heimild slík vinnsla byggist og hvernig gætt sé að grunnkröfum persónuverndarlaga, sbr. 14. gr. og 1. og 2. mgr. 24. gr. reglugerðarinnar.
2. Lyfjaeftirlit Íslands skal veita sérstaka fræðslu til þess sem hyggst gefa ábendingu. Til þess að koma í veg fyrir misnotkun skal greina skýrt og skilmerkilega frá tilgangi þess að boðið sé upp á það fyrirkomulag að bjóða einstaklingum upp á að gefa ábendingar um lyfjamisferli í íþróttum á grundvelli nafnleyndar, áður en viðkomandi er heimilað að gefa ábendingu. Í slíkri fræðslu komi einnig skýrt fram að forðast skuli að skrá upplýsingar um einstaklinga sem séu málinu óviðkomandi, sbr. 13. gr. og 1. mgr. 24. gr. reglugerðarinnar. Í fræðslu til þess sem hyggst gefa ábendingu skal einnig tilgreina viðtakendur eða flokka viðtakenda persónuupplýsinga sem hann varða, sbr. e-lið 1. mgr. 13. gr. reglugerðarinnar, og hverjar afleiðingarnar geti verið veiti hann vísvitandi rangar upplýsingar um þá sem ábending varðar.
3. Lyfjaeftirlit Íslands skal ekki vinna frekar með persónuupplýsingar sem fram koma í ábendingum og eru því máli sem um ræðir óviðkomandi, sbr. 3. töluliður 1. mgr. 8. gr. laga nr. 90/2018 og c-liður 1. mgr. 5. gr. og 2. mgr. 25. gr. reglugerðarinnar.
4. Lyfjaeftirlit Íslands skal veita sérstaka fræðslu til eftirfarandi aðila, t.d. með tölvupósti, í samræmi við ákvæði 13.-15. gr. reglugerðarinnar:
a. Sá sem ábendingin varðar skal, þegar rannsóknarhagsmunum er ekki lengur ógnað, upplýstur um að ábending hafi borist. Sé ákveðið að bíða með að upplýsa viðkomandi skal það skráð og ástæður fyrir þeirri ákvörðun. Í upplýsingum til þess sem ábendingin varðar komi fram (i) hver sé ábyrgðaraðili fyrir vinnslu persónuupplýsinga, (ii) hvað viðkomandi er ásakaður um, (iii) hvert upplýsingum þar um geti verið miðlað, þ.e. viðtakendur eða flokkar viðtakenda, og (iv) hvernig hann nýtir sér rétt sinn samkvæmt 14. og 15. gr. reglugerðarinnar.
b. Vitni skulu upplýst um að þau séu tilgreind í ábendingum eins fljótt og raunhæft er. Standi til að boða viðkomandi í viðtal varðandi ábendingu skal upplýst um framangreint áður.
c. Metið skal í hverju tilviki fyrir sig hvort upplýsa beri aðra þriðju aðila, sem ekki eru vitni, um það að þeir séu tilgreindir í ábendingum, sbr. 3. lið hér að framan. T.d. getur verið að viðkomandi sé einungis nefndur á nafn án þess að hann hafi nokkra aðkomu að málinu. Í því sambandi þarf að huga að því að upplýsa ekki óviðkomandi um ábendingu auk þess sem rétt getur verið að ákveða strax í upphafi að persónuupplýsingar um hann verði ekki unnar frekar.
5. Lyfjaeftirlit Íslands skal takmarka aðgang að upplýsingum sem fram koma í ábendingum við þá sem nauðsynlega þurfa aðgang að þeim, í samræmi við tilganginn með umræddri vinnslu persónuupplýsinga. Þeir sem hafa aðgang skulu bundnir trúnaði um efni ábendinganna og hvaða einstaklinga þær varða, sbr. 2. mgr. 25. gr. reglugerðarinnar.
6. Lyfjaeftirlit Íslands skal gæta að öryggi þeirra persónuupplýsinga sem í ábendingum felast, sbr. umfjöllun í 3. kafla hér á eftir.
7. Varðveita skal í lengstu lög nafnleynd þeirra sem gefa ábendingar í góðri trú, m.a. til að koma í veg fyrir hvers konar hefndir eða óþægindi, sbr. 3. mgr. 17. gr. laga nr. 90/2018. Nafnleyndar vitna og þriðju aðila skal gætt með sama hætti.
8. Lyfjaeftirlit Íslands greini ekki frá nafni þeirra sem gefa ábendingar, vitna eða þriðju aðila nema eitt af eftirfarandi skilyrðum eigi við:
a. Viðkomandi heimilar slíka uppljóstrun.
b. Málið sem ábendingin varðar verður að sakamáli samkvæmt lögum nr. 88/2008, um meðferð sakamála, og slíkt er skylt á grundvelli þeirra laga.
c. Lyfjaeftirlit Íslands getur staðfest að viðkomandi hafi vísvitandi gefið rangar upplýsingar með ábendingunni eða sem vitni og sá sem ábendingin varðar vill höfða dómsmál eða kæra háttsemina og skylt er samkvæmt lögum nr. 91/1991, um meðferð einkamála, eða, eftir atvikum, lögum nr. 88/2008, um meðferð sakamála, að greina frá nafni viðkomandi.
9. Allar upplýsingar sem varðveittar eru til tölfræðilegrar úrvinnslu skulu vera ópersónugreinanlegar, sbr. 2. og 5. tölulið 1. mgr. 8. gr. og 1. mgr. 18. gr. laga nr. 90/2018 og 1. mgr. 89. gr. reglugerðarinnar.
10. Lyfjaeftirlit Íslands skal tryggja að upplýsingum verði ekki eytt sem nauðsynlegt er að varðveita til þess að tryggja réttindi skráðra einstaklinga samkvæmt 13.-15. gr. reglugerðarinnar.
11. Lyfjaeftirlit Íslands skal skilgreina þann tíma sem persónuupplýsingar sem berast á grundvelli ábendingar eru varðveittar, sbr. 2. mgr. 25. gr. reglugerðarinnar. Í því sambandi getur verið rétt að skilgreina mismunandi varðveislutíma t.d. eftir eðli upplýsinganna, því ferli sem málin fara í og niðurstöðu þeirra, sbr. og lið 3. hér að framan.
2.
Vinnslusamningur
Í 1. mgr. 25. gr. laga nr. 90/2018 er kveðið á um að þegar ábyrgðaraðili feli vinnsluaðila vinnslu persónuupplýsinga skuli hann aðeins leita til vinnsluaðila sem veiti nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðarinnar og að réttindi skráðra einstaklinga séu tryggð. Samkvæmt 3. mgr. sömu greinar skal vinnsla vinnsluaðila byggjast á samningi eða annarri réttargerð samkvæmt lögum sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum og tilgreinir viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegund persónuupplýsinga, flokka skráðra einstaklinga og skyldur og réttindi ábyrgðaraðilans samkvæmt nánari fyrirmælum 28. gr. reglugerðarinnar. Þá skal vinnsluaðili ekki ráða annan vinnsluaðila nema að hafa til þess sértæka eða almenna skriflega heimild ábyrgðaraðila, sbr. 2. mgr. 25. gr. laga nr. 90/2018.
Tekið er fram í fyrirliggjandi umsókn að þær persónuupplýsingar, sem ráðgert sé að vinna með í tengslum við ábendingar um lyfjamisferli í íþróttum, verði hýstar í gagnagrunni sem hýstur sé af Microsoft Azure Germany, sem sé viðurkenndur gagnavörsluaðili í Þýskalandi með samning við Got Ethics.
Í samræmi við framangreind ákvæði 25. gr. laga nr. 90/2018 ber Lyfjaeftirliti Íslands að gera vinnslusamning við Microsoft Azure Germany samkvæmt nánari fyrirmælum 28. gr. reglugerðarinnar um fyrirhugaða vinnslu persónuupplýsinga sem gagnavörsluaðila fyrir Lyfjaeftirlit Íslands.
3.
Öryggisráðstafanir
Líkt og að framan greinir er það ein af grunnkröfum persónuverndarlaga að persónuupplýsingar séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt, sbr. 6. tölulið 1. mgr. 8. gr. laga nr. 90/2018. Samkvæmt 1. mgr. 27. gr. laganna skulu ábyrgðaraðili og vinnsluaðili gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi einstaklinga, samkvæmt nánari fyrirmælum 32. gr. reglugerðarinnar.
Um öryggi upplýsinga samkvæmt fyrirliggjandi umsókn segir, líkt og að framan greinir, að þær verði hýstar í gagnagrunni sem sé hýstur af Microsoft Azure Germany, sem sé viðurkenndur gagnavörsluaðili í Þýskalandi með samning við Got Ethics. Upplýsingar um netöryggi Got Ethics fylgja umsókninni. Fram kemur að upplýsingarnar fari ekki frá Þýskalandi og að Got Ethics hafi gert áhættumat og hafi formlega innleitt öryggisstefnu fyrir kerfið.
Með hliðsjón af framangreindum upplýsingum áréttar Persónuvernd að það er hlutverk Lyfjaeftirlits Íslands sem ábyrgðaraðila að gæta að því að fela vinnslu persónuupplýsinga aðeins þeim vinnsluaðilum sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðarinnar og að réttindi hinna skráðu séu tryggð, sbr. 1. mgr. 25. gr. laga nr. 90/2018.
Hvað skipulagslegar ráðstafanir varðar vísast til almennra skilmála í 1. kafla hér að framan. Mikilvægt er að öll vinnsla persónuupplýsinga tengd ábendingunum sé í samræmi við fyrir fram ákveðna stefnu og verklag sem hafi verið kynnt öllum þeim sem að vinnslunni koma og samrýmist framangreindum skilmálum, sbr. 25. gr. reglugerðarinnar um innbyggða og sjálfgefna persónuvernd. Með þeim hætti getur Lyfjaeftirlit Íslands jafnframt betur sýnt fram á að farið sé að lögum nr. 90/2018 og reglugerðinni.
Með hliðsjón af eðli þeirra upplýsinga sem um ræðir og að til stendur að varðveita þær hjá erlendum gagnavörsluaðila sem notast við tilgreint „Got Ethics“-kerfi, er Lyfjaeftirliti Íslands loks leiðbeint um að tilefni getur verið til að það láti fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða í samræmi við ákvæði 35. gr. reglugerðarinnar, sbr. auglýsingu nr. 337/2019, um skrá yfir vinnsluaðgerðir þar sem krafist er mats á áhrifum á persónuvernd. Leiðbeiningar um slíkt mat má jafnframt finna á vefsíðu Persónuverndar.