Frumvarp til lyfjalaga
Persónuvernd hefur veitt umsögn um frumvarp til lyfjalaga. Í umsögninni er meðal annars gerð athugasemd við ákvæði um hver starfræki lyfjagagnagrunn, en samkvæmt ákvæðinu er þar um að ræða landlækni eða annan aðila sem ráðherra felur það hlutverk. Er bent á það í umsögninni að hér ræðir um mjög viðkvæmar persónuupplýsingar. Segir að meðal annars í ljósi þess telji Persónuvernd nauðsynlegt að umrætt frumvarp hafi að geyma skýra tilgreiningu á ábyrgðaraðila lyfjagagnagrunns.
Reykjavík, 13. júní 2016
Umsögn um frumvarp til lyfjalaga
Persónuvernd vísar til beiðni velferðarnefndar Alþingis frá 18. maí 2016 um umsögn stofnunarinnar um frumvarp til nýrra lyfjalaga sem kæmu í stað núverandi laga um sama efni, nr. 93/1994 (þskj. 1105, 677. mál á 145. löggjafarþingi). Þau ákvæði frumvarpsins, sem einkum varða vinnslu persónuupplýsinga og friðhelgi einkalífs, eru 12. gr., 21. gr., f-liður 37. gr., 45. gr., 4. mgr. 46. gr., 56. gr., c-liður 1. mgr. 57. gr., 2. mgr. 60. gr., 69.–71. gr., 1. mgr. 73. gr., 76. gr., 4. mgr. 92. gr. og 5. tölul. 2. mgr. 95. gr.
Persónuvernd bendir á að upplýsingar um lyfjanotkun manna eru viðkvæmar persónuupplýsingar sem falla undir friðhelgi einkalífs samkvæmt 71. gr. stjórnarskrárinnar. Í tengslum við fyrrnefnd ákvæði frumvarpsins leggur Persónuvernd áherslu á þá kröfu, sem felst í þessu stjórnarskrárákvæði, að gætt sé meðalhófs þegar sett eru lagaákvæði sem fela í sér íhlutun í einkalífsréttindi manna. Í því felst að slík ákvæði eiga ekki að fela í sér rýmri heimildir heldur en efni standa til, auk þess sem þau verða að vera skýr svo að girt sé fyrir að framkvæmd á grundvelli þeirra leiði til ómálefnalegra einkalífsskerðinga.
Að auki gerir Persónuvernd eftirfarandi athugasemdir við einstök ákvæði frumvarpsins, en með þeim áréttar stofnunin athugasemdir sem hún hefur áður gert við tillögur að efnislega sambærilegum ákvæðum í gildandi lögum:
1.
Ákvæði 45. gr. frumvarpsins
Í 45. gr. frumvarpsins er gert ráð fyrir að landlæknir starfræki sérstaka lyfjaávísanagátt þar sem varðveittar verði rafrænar lyfjaávísanir á meðan þær eru í gildi. Kemur fram að það sé í því skyni að miðla slíkum ávísunum milli útgefenda lyfjaávísana og lyfjabúða. Persónuvernd leggur áherslu á að gæta verður fyllsta öryggis við starfrækslu upplýsingakerfis sem þessa. Í umræddu frumvarpsákvæði segir að landlækni sé heimilt að setja verklagsreglur um aðgang útgefenda lyfjaávísana og lyfjabúða að lyfjaávísanagátt. Þegar litið er til framangreinds má telja eðlilegt að í stað heimildar sem þessarar sé mælt fyrir um skyldu til setningar verklagsreglna, sem og að þar komi skýrt fram að þær skuli taka til gagnaöryggis. Leggur því Persónuvernd til að umræddur þáttur frumvarpsákvæðisins, þ.e. 3. málsl. þess, hljóði svo: „Embætti landlæknis setur verklagsreglur um aðgang útgefenda lyfjaávísana og lyfjabúða að lyfjaávísanagátt, sem og um öryggi þeirra persónuupplýsinga sem fara um gáttina.“
Að auki leggur Persónuvernd til breytingu á orðalagi 4. málsl. umrædds ákvæðis, svo að það falli betur að 3. málsl. ákvæðisins að gerðum fyrrgreindum breytingum á honum. Myndi þá 4. málsl. ákvæðisins hljóða svo: „Um vinnslu upplýsinganna fer samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga.“
2.
Ákvæði 1. og 2. mgr. 69. gr. frumvarpsins,
sbr. og 11. mgr. 70. gr. þess
Í XV. kafla frumvarpsins er að finna ákvæði um lyfjagagnagrunn, sbr. 27. gr. í gildandi lögum nr. 93/1994, sbr. lög nr. 89/2003 og 45/2012. Í kaflanum kemur meðal annars fram, sbr. 1. mgr. 69. gr. frumvarpsins, að gagnagrunninn starfræki landlæknir eða annar aðili sem ráðherra felur það hlutverk. Þá segir í 2. mgr. sama ákvæðis að ráðherra sé heimilt að fela utanaðkomandi aðila rekstur gagnagrunnsins samkvæmt samningi þar um (sbr. og 11. mgr. 70. gr. frumvarpsins).
Mikilvægt er að lagaheimildir, sem veita heimildir til víðtækrar vinnslu viðkvæmra persónuupplýsinga, séu skýrar. Á meðal þess sem skiptir máli í því sambandi er hver sé ábyrgur fyrir vinnslunni, þ.e. teljist vera ábyrgðaraðili hennar í skilningi 4. tölul. 1. mgr. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Að gildandi lögum nr. 93/1994 telst landlæknir vera ábyrgðaraðili umrædds grunns, enda honum falið að starfrækja hann í samræmi við áðurnefnt ákvæði þeirra. Samkvæmt 1. og 2. mgr. frumvarpsákvæðisins getur ráðherra hins vegar falið öðrum rekstur grunnsins án þess að nánar sé afmarkað hver það geti verið.
Tekið skal fram að það verður að teljast óvenjulegt að mælt sé fyrir um víðtækar heimildir til vinnslu persónuupplýsinga í lögum án skýrrar tilgreiningar á þeim aðila sem heimildirnar eru fengnar. Þá er til þess að líta að hér ræðir um mjög viðkvæmar persónuupplýsingar. Í ljósi þess, sem og meðal annars sjónarmiða um skýrleika og fyrirsjáanleika laga, telur Persónuvernd nauðsynlegt að umrætt frumvarp hafi að geyma skýra tilgreiningu á ábyrgðaraðila lyfjagagnagrunns.
3.
Ákvæði 4. mgr. 70. gr. frumvarpsins
Í 4. mgr. 70. gr. frumvarpsins er gert ráð fyrir að veita fleiri heilbrigðisstéttum aðgang að lyfjagagnagrunni en nú hafa hann, sbr. 8. mgr. 27. gr. gildandi laga. Kemur þar fram að læknar, sem koma að meðferð sjúklings og þurfa á lyfjasögu hans að halda vegna meðferðarinnar, skuli hafa aðgang að lyfjaupplýsingum sjúklingsins síðastliðin þrjú ár í lyfjagagnagrunninum.
Persónuvernd áréttar í þessu sambandi nauðsyn þess að aðgangur að svo viðkvæmum persónuupplýsingum, sem hér um ræðir, sé ekki veittur umfram það sem nauðsynlegt er í þágu lögmæts og málefnalegs tilgangs. Þarf því ákvörðun um víðtækari aðgang að umræddum grunni að byggjast á vönduðu og ítarlegu mati.
- - - - - - - - - - - - -
Að öðru leyti gerir Persónuvernd ekki athugasemdir við ákvæði frumvarpsins að svo stöddu en leggur áherslu á að verði það að lögum ber að fara að öllum kröfum laga nr. 77/2000 við vinnslu persónuupplýsinga á grundvelli þeirra.