Synjun á leyfi vegna rannsóknar - mál nr. 2013/213

Persónuvernd hefur tekið ákvörðun varðandi umsókn rannsakanda um leyfi til að samkeyra persónuupplýsingar sem urðu til við gerð rannsóknar á hans vegum við gögn Námsmatsstofnunar. Þar sem rannsakandi hafði ekki aflað samþykkis þátttakenda fyrir áframhaldandi varðveislu gagnanna, eða reynt að tryggja lögmæti vinnslunnar með öðrum hætti, taldi stofnunin að ekki væru forsendur til þess að líta svo á að lögmætar heimildir væru fyrir varðveislu gagnagrunns rannsóknarinnar. Lagt var fyrir rannsakanda að eyða öllum persónuupplýsingum um þátttakendur ef ekki fengjust upplýst samþykki fyrir áframhaldandi varðveislu gagnanna fyrir 1. nóvember næstkomandi.

Ákvörðun

 

Hinn 6. ágúst tók stjórn Persónuverndar eftirfarandi ákvörðun í máli nr. 2013/213:

 

I.

Innkomið erindi og leyfisumsókn

Þann 13. febrúar 2013 barst Persónuvernd erindi A, prófessors við Háskóla Íslands, (hér eftir nefndur rannsakandi) dags. 8. febrúar 2013, þar sem óskað var eftir viðbótarleyfi vegna rannsóknarinnar „X“. Nánar tiltekið var óskað eftir leyfi Persónuverndar til samkeyrslu persónuupplýsinga vegna rannsóknarinnarinnar. Með bréfi, dags. 18. s.m., benti Persónuvernd rannsakanda á að stofnuninni yrði að berast útfyllt leyfisumsókn, enda væri samkeyrsla viðkvæmra persónuupplýsinga háð leyfi stofnunarinnar, sbr. reglur nr. 712/2008 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga.

 

Stofnuninni barst undirrituð umsókn frá rannsakanda þann 27. s.m. Í henni er fyrirhuguð rannsókn nefnd „Z“. Óskað er eftir að mega afhenda Námsmatsstofnun eintak af gagnagrunni rannsóknarinnar „X“, sem inniheldur bæði kennitölur og rannsóknarnúmer þátttakenda, í því skyni að láta Námsmatsstofnun samkeyra gagnagrunninn við upplýsingar um námsárangur þátttakenda á samræmdum prófum. Að lokinni samkeyrslu myndi Námsmatsstofnun eyða upplýsingum um kennitölur þátttakenda úr gagnagrunni rannsakanda og afhenda honum grunninn með rannsóknarnúmerum eingöngu, sem skv. umsókninni eru taldar vera ópersónugreinanlegar upplýsingar.

 

Þá hefur stofnuninni borist yfirlýsing Námsmatsstofnunar, dags. 26. febrúar 2013, þar sem hún samþykkir fyrir sitt leyti að heimila notkun á niðurstöðum samræmdra prófa í þágu rannsóknarinnar, sem og að sjá um samkeyrslu gagnanna við rannsóknargrunn rannsakanda.

 

II.

Leyfisumsókn 2003 um upphaflega rannsókn

Persónuvernd hafði borist leyfisumsókn frá rannsakanda, dags. 26. júní 2003, vegna rannsóknarinnar „X“. Með bréfi, dags. 9. júlí 2003, var rannsakanda leiðbeint um að honum bæri að tilkynna rannsóknina til Persónuverndar, í samræmi við ákvæði 31. gr. laga nr. 77/2000, enda væri ekki um leyfisskylda vinnslu persónuupplýsinga að ræða.

 

Í tilefni af því erindi sem nú er til meðferðar óskaði Persónuvernd, með tölvupósti 22. mars sl., eftir upplýsingum um tilvísunarnúmer tilkynningar vegna rannsóknarinnar frá 2003. Þá óskaði stofnunin, með tölvupósti 3. apríl sl., eftir afriti af kynningarbréfi sem þátttakendur hefðu fengið og upplýstu samþykki sem þeir hefðu undirritað, hvort tveggja vegna rannsóknarinnar árið 2003. Sérstaklega var tekið fram að þess væri óskað að fram kæmi hvaða upplýsingar þátttakendur fengu um varðveislu persónuupplýsinga í tengslum við rannsóknina.

 

Barst svarbréf rannsakanda með tölvupósti þann 5. apríl sl. Með tölvupóstinum fylgdi afrit af eyðublaði fyrir samþykki foreldra þátttakenda, dags. í október 2003.

 

Með tölvupósti þann 24. apríl sl. benti Persónuvernd á að henni yrðu að berast nánari upplýsingar um þá fræðslu sem foreldrum þátttakenda var veitt við upphaf þátttöku um hvenær rannsóknargögnum yrði eytt og hvort þátttakendur hefðu samþykkt að samkeyra mætti upplýsingar um þá við gögn um þá hjá Námsmatsstofnun, sem og staðfesting þess efnis, þar sem ekki væri minnst á þessi atriði í fylgigögnum með tölvupósti umsækjanda þann 5. apríl sl.

 

Í svarbréfi rannsakanda til Persónuverndar, dags. 3. maí sl., segir m.a. að eingöngu sé óskað eftir leyfi Persónuverndar til að samkeyra upplýsingar úr rannsókninni „X“ við upplýsingar Námsmatsstofnunar. Persónuvernd hafi áður veitt Námsmatsstofnun leyfi til að samkeyra upplýsingar í þágu annarrar rannnsóknar, þ.e. „Æ“, en báðar hafi þær verið framkvæmdar á sama hátt með tilliti til samþykkis foreldra og upplýsinga til forráðamanna. Þá var upplýst að engar aðrar upplýsingar en þær sem komu fram í kynningarbréfi og/eða upplýstu samþykki, dags. í október 2003, hafi verið sendar til foreldra. Loks benti rannsakandi á að hvorki Persónuvernd né Vísindasiðanefnd hafi óskað eftir því árið 2003 að fram kæmu í kynningarbréfi rannsóknarinnar upplýsingar um hvenær gögnum yrði eytt.

 

Varðandi spurningu Persónuverndar um hvort samþykki hafi fengist fyrir samkeyrslu sem þessari segir eftirfarandi í svarbréfinu:

 

„Meginmarkmið upprunalegu rannsóknarinnar frá árinu 2003 var að skoða samband hreyfingar, holdafars, hreysti og almenns heilsufars 9 og 15 ára barna, og var öll framkvæmd rannsóknarinnar, kynning á henni og upplýsingagjöf í samræmi við það. Þess vegna var ekki leitað eftir samþykki forráðamanna fyrir samkeyrslu rannsóknargagna á sínum tíma við námsárangur barna. Nú á síðustu árum hefur hins vegar aukinni athygli verið beint að mögulegum tengslum hreyfingar og heilsufars barna við námsárangur og velferð barna, sem er sérstaklega mikilvægt í ljósi þess að hreyfing barna er afar lítil í samfélaginu í dag. […]“

 

Með tölvupósti til rannsakanda, dags. 16. maí sl., benti Persónuvernd á að stofnunin yrði að ganga úr skugga um að varðveisla þeirra gagna sem hann hafi undir höndum vegna rannsóknarinnar sé lögmæt og ef svo væri gæti stofnunin gefið út leyfi til samkeyrslu upplýsinganna við upplýsingar frá Námsmatsstofnun. Að öðrum kosti væri það mat stofnunarinnar að afla yrði samþykkis frá öllum þátttakendum fyrir áframhaldandi varðveislu gagnanna. Jafnframt var rannsakanda bent á að rannsóknin var aldrei tilkynnt til Persónuverndar, þótt honum hafi verið leiðbeint um að gera slíkt, eins og áður segir.

 

Með bréfi, dags. 22. maí sl., áréttaði Persónuvernd að í kynningarbréfi til þátttakenda væri ekki vikið að varðveislutíma gagnanna. Þá var vísað til þess að samkvæmt upphaflegri leyfisumsókn rannsakanda til Persónuverndar, frá árinu 2003, væri ráðgert að ljúka rannsókninni á vorönn 2004 og eyða rannsóknargögnum að rannsókn lokinni, nema ný rannsókn yrði skipulögð á sama hópi og að sótt yrði þá um tilskilin leyfi.

 

Loks benti Persónuvernd á í umræddu bréfi að skv. c- og i-liðum 9. gr. reglna nr. 170/2001, um upplýst samþykki í vísindarannsókn á heilbrigðissviði, verður að upplýsa einstakling um m.a. hvenær áætlað sé að rannsókn ljúki, og hvort, og þá hvenær, persónuupplýsingum eða persónuauðkennum verði eytt. Nánar tiltekið verði að veita m.a. framangreindar upplýsingar áður en farið sé á leit við einstaklinginn að hann samþykki vinnslu persónuupplýsinga um sig við framkvæmd vísindarannsóknar. Með vísun til framangreinds taldi Persónuvernd að ekki væru forsendur fyrir útgáfu leyfis til handa Námsmatsstofnun, að svo stöddu, enda hafði rannsakandi ekki sýnt fram á að rannsóknargögnin væru varðveitt með lögmætum hætti. Gæti stofnunin því ekki gefið út leyfi fyrr en gengið hefði verið úr skugga um lögmæti varðveislu gagnanna. Var því óskað eftir afstöðu rannsakanda til þess að afla samþykkis þátttakenda fyrir áframhaldandi varðveislu gagnanna, en að öðrum kosti kynni Persónuvernd að þurfa að taka afstöðu til þess hvort eyða þurfi umræddum gögnum.

 

Í svarbréfi, dags. 24. júní 2013, segir m.a. að samþykki fyrir samkeyrslu gagna rannsóknarinnar við gögn um námsárangur hafi ekki verið veitt. Aftur á móti hafi Persónuvernd veitt leyfi, dags. 2. febrúar 2011, [...], fyrir að mega samkeyra upplýsingar úr rannsókninni „Þ“, sem tilkynnt var til Persónuverndar árið 2006 [...], við gögn Námsmatsstofnunar í þágu rannsóknarinnar „Æ“. Telji rannsakandi því að sú umsókn sem nú er til skoðunar ætti að fá sambærilega málsmeðferð hjá stofnuninni.

 

Einnig segir í bréfinu:

 

„Eins og bent er á í þessari umsókn til Vísindasiðanefndar árið 2003 og einnig umsókn sem send var til Persónuverndar var gögnum safnað að mestu leyti á árunum 2003 og 2004. Úrvinnsla og túlkun gagna hófst strax að lokinni gagnasöfnun og stendur í raun ennþá en síðasta vísindagrein úr þessu gagnasafni var birt á árinu 2011.[...] Fleiri vísindagreinar og nemendaverkefni frá þessu gagnasafni eru í gangi og þess vegna er litið svo á að rannsókninni sé ekki lokið. Enn er verið að birta niðurstöður úr rannsókninni. Í ljósi þessa þykir ekki rétt að eyða þeim upplýsingum sem enn er verið að vinna með í vísindalegum tilgangi, sbr. orðalag 1. mgr. 9. tl. 9. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.“

 

III.

Ákvörðun

1.

Gildissvið o.fl.

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sem Persónuvernd framfylgir og starfar eftir, gilda um vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.

 

Sú aðgerð að skrá og varðveita viðkvæmar persónuupplýsingar um ósjálfráða einstaklinga vegna vísindarannsóknar felur í sér vinnslu persónuupplýsinga sem fellur undir lög nr. 77/2000.

 

2.

Lagaumhverfi og sjónarmið

Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þá verður vinnsla viðkvæmra persónuupplýsinga, m.a. upplýsinga um heilsufar, sbr. 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna.

 

Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

 

3.

Um tilkynningarskyldu rannsakanda

Upphafleg vinnsla, þ.e. söfnun og skráning, þessara upplýsinga byggist á upplýstu samþykki þátttakenda rannsóknarinnar, n.t.t. foreldra þátttakenda, frá árinu 2003. Líkt og Persónuvernd benti rannsakanda á með bréfi, dags. 9. júlí 2003, bar að tilkynna umrædda vinnslu til Persónuverndar, sbr. 31. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

 

Þá segir í ákvæði 3. gr. reglna nr. 712/2008 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga, að sé vinnsla tilkynningarskyld, skv. ákvæðum laga eða reglna þessara, ber ábyrgðaraðili vinnslu ábyrgð á því að Persónuvernd berist tilkynning um hana og að vinnslu sé ávallt hagað í samræmi við innsenda tilkynningu. Eftirlit Persónuverndar haggi í engu ábyrgð ábyrgðaraðila á vinnslu persónuupplýsinga.

 

Jafnframt segir í 3. mgr. 32. gr. laga nr. 77/2000 að ábyrgðaraðili skuli sjá til þess að Persónuvernd hafi á hverjum tíma undir höndum réttar upplýsingar um vinnsluna. Þegar liðin séu þrjú ár frá því að tilkynning var send Persónuvernd skuli senda henni nýja tilkynningu með uppfærðum upplýsingum nema henni hafi áður verið tilkynnt um breytta vinnslu.

 

Af öllu ofangreindu er því ljóst að rannsakanda bar, sem ábyrgðaraðila rannsóknarinnar, að tilkynna Persónuvernd um umrædda vinnslu. Engin tilkynning þar að lútandi hefur aftur á móti borist Persónuvernd vegna rannsóknarinnar.

 

4.

Um lögmæti varðveislu persónuupplýsinga

í gagnagrunni rannsóknarinnar

Mál þetta varðar umsókn A um leyfi til að nýta gagnagrunn sem varð til við gerð rannsóknarinnar „X“ árið 2003. Hann hefur að geyma m.a. viðkvæmar persónuupplýsingar í skilningi laga nr. 77/2000.

Ber því fyrst að skoða hvort telja megi hið upplýsta samþykki, sem foreldrar undirrituðu fyrir hönd þátttakenda vegna rannsóknarinnar, vera fullnægjandi í skilningi 7. tölul. 2. gr. laga nr. 77/2000 og reglna Persónuverndar nr. 170/2001 um upplýst samþykki í vísindarannsókn á heilbrigðissviði, eins og vísað hefur verið til í bréfaskiptum.

 

Í c- og i-liðum 9. gr. reglna nr. 170/2001 segir að áður en þess sé farið á leit við einstakling að hann lýsi því yfir að hann samþykki vinnslu persónuupplýsinga um sig við framkvæmd vísindarannsóknar skuli honum skriflega veittar upplýsingar um m.a. hvenær rannsókn byrji, hvenær áætlað sé að henni ljúki, og hvort, og þá hvenær, persónuupplýsingum eða persónuauðkennum verði eytt.

 

Í kynningarbréfi rannsakanda til foreldra þátttakenda, dagsettu í október 2003, segir m.a.:

„Með bréfi þessu óska undirrituð eftir samþykki fyrir þátttöku barns ykkar í rannsókn á heilsufari og lífsstíl íslenskra barna og unglinga sem fræðimenn frá Kennaraháskóla Íslands og Háskóla Íslands munu standa fyrir á þessu skólaári. Markmið rannsóknarinnar er að kanna holdafar 9 og 15 ára barna og unglinga og tengsl þess við hreyfingu og þrek barnanna. Auk þess verður mataræði kannað og áhrif þessara þátta á breytur í blóði.[...]

Vísindasiðanefnd og [P]ersónuvernd hafa samþykkt framkvæmd þessarar rannsóknar. Þið getið samþykkt þátttöku í öllum þáttum rannsóknarinnar eða aðeins hluta hennar, þ.e. hægt er að hafna þátttöku í þrekprófi og/eða blóðprufu þó samþykkt sé þátttaka í öðrum hlutum hennar. Þið getið ákveðið hvenær sem er og fyrirvaralaust að hætta við þátttöku í rannsókninni, að hluta eða öllu leyti, og verður þá upplýsingum eytt um barnið.[...]

Þátttaka ykkar er mjög mikilvæg og koma nöfn ykkar eða barnanna hvergi fram við úrvinnslu eða birtingu rannsóknarinnar. Farið [verður] með allar upplýsingar sem trúnaðarmál.“

 

Af þeim gögnum sem rannsakandi hefur látið Persónuvernd í té er ljóst að foreldrar voru ekki upplýstir um hvenær áætlað væri að rannsókn yrði lokið eða hvenær persónugreinanlegum gögnum yrði eytt. Kynningarbréfið virðist þó leiða að því líkur að rannsóknin standi yfir á umræddu skólaári, og hefði því mátt búast við henni yrði lokið á vorönn 2004. Þá sagði einnig í upphaflegri umsókn, dags. 26. júní 2003, að rannsóknin yrði framkvæmd á skólaárinu 2003-2004 og að eftir lok rannsóknarinnar yrði gögnum eytt nema ný rannsókn yrði skipulögð á sama hópi og sótt yrði þá um tilskilin leyfi. Var framangreint jafnframt tilgreint í umsókn rannsakanda til Vísindasiðanefndar árið 2003. Er því ekki unnt að ráða af framangreindum gögnum að foreldrum hafi mátt vera það ljóst árið 2003 að gagnagrunnur með viðkvæmum persónuupplýsingum um börn þeirra yrði enn varðveittur tíu árum síðar.

 

Í ljósi framangreinds verður því ekki talið að foreldrar þátttakenda hafi veitt upplýst samþykki fyrir ótímabundinni varðveislu viðkvæmra persónuupplýsinga um börn sín í þágu rannsóknarinnar, enda fengu þeir ekki fullnægjandi fræðslu um varðveislutíma og eyðingu gagnanna. Er því ekki unnt að byggja á ákvæði 1. tölul. 1. mgr. 9. gr. sem heimild fyrir varðveislu umræddra upplýsinga. Enn fremur er vakin athygli á því að við mat á framangreindu verður að huga að því að þátttakendur rannsóknarinnar hafa nú allir náð sjálfræðisaldri og því verði samþykki að fást frá þátttakendunum sjálfum, en ekki frá foreldrum þeirra. Í framangreindu felst að Persónuvernd er ekki heimilt að skerða sjálfsákvörðunarrétt hins skráða, nema í algjörum undantekningartilvikum.

 

Ekki verður heldur séð að aðrar heimildir 1. mgr. 9. gr. komi til greina og verður því ekki talið að umrædd vinnsla sæki stoð í umrætt ákvæði.

 

5.

Um leyfi Persónuverndar í máli nr. 2010/839

Í bréfaskiptum við rannsakanda hefur loks verið vísað til þess að Persónuvernd verði að gæta jafnræðis við afgreiðslu umsókna er berast stofnuninni. Vísar umsækjandi í því samhengi sérstaklega til leyfis Persónuverndar, dags. 2. febrúar 2011, í máli nr. 2010/1102, þar sem stofnunin veitti umsækjanda o.fl. leyfi til samkeyrslu upplýsinga úr rannsókn umsækjanda, „Ö“, við gögn Námsmatsstofnunar í þágu rannsóknarinnar „X“.

 

Persónuvernd telur að í þeim tilvikum þar sem í ljós kemur að hún hafi gefið út leyfi til vinnslu persónuupplýsinga sem uppfyllir ekki að öllu leyti þær kröfur sem stofnunin gerir til slíkra leyfa, sé ekki unnt að nota eldra útgefið leyfi sjálfkrafa sem fordæmi fyrir útgáfu nýs leyfis. Telji stofnunin að vankantar séu á eldra leyfi hennar mun hún hefja sjálfstæða skoðun þar að lútandi og e.t.v. lagfæra útgefið leyfi, ef þörf krefur. Verður þó ekki skorið úr því hér hvort slíkt þurfi vegna leyfis í máli nr. 2010/839.

 

III.

Niðurstaða

Með vísun til alls framangreinds er ljóst að rannsakandi sendi ekki tilkynningu til Persónuverndar  um vinnslu viðkvæmra persónuupplýsinga vegna rannsóknarinnar, enda þótt honum hafi borið skylda til þess skv. gildandi lögum og reglum.

 

Jafnframt liggur ljóst fyrir að ekki var aflað samþykkis þátttakenda fyrir áframhaldandi varðveislu gagnanna eða reynt að tryggja lögmæti vinnslunnar með öðrum hætti. Eru því að mati Persónuverndar ekki forsendur til þess að líta svo á að lögmætar heimildir sé fyrir varðveislu umrædds gagnagrunns. Þegar af þeirri ástæðu er ekki unnt að fallast á að veita leyfi til samkeyrslu viðkvæmra persónuupplýsinga úr grunninum við gögn Námsmatsstofnunar, án samþykkis þátttakenda.

 

Því beinir Persónuvernd þeim fyrirmælum til rannsakanda, sbr. 1. tölul. 3. mgr. 27. gr. og 1. mgr. 40. gr. laga nr. 77/2000, að eyða öllum rannsóknargögnum er hafa að geyma persónuupplýsingar um þátttakendur sem til urðu vegna rannsóknarinnar „X“ þann 1. nóvember næstkomandi, nema upplýst samþykki fáist fyrir áframhaldandi varðveislu gagnanna fyrir þann dag.

 

Á k v ö r ð u n a r o r ð:

 

Synjað er umsókn A, um leyfi til samkeyrslu persónuupplýsinga sem til urðu við gerð rannsóknarinnar „X“ við gögn Námsmatsstofnunar. Ef upplýst samþykki fást ekki fyrir 1. nóvember næstkomandi fyrir áframhaldandi varðveislu gagnanna skal rannsakandi eyða öllum persónuupplýsingum um þátttakendur.



Var efnið hjálplegt? Nei