Umsögn um frumvarp til laga um samþættingu þjónustu í þágu farsældar barna
Mál nr. 2020123101
Efni: Umsögn um frumvarp til laga um samþættingu þjónustu í þágu farsældar barna
Persónuvernd vísar til beiðni velferðarnefndar Alþingis frá 17. desember 2020 um umsögn um frumvarp til laga um samþættingu þjónustu í þágu farsældar barna (þskj. 440, 354. mál á 151. löggjafarþingi).
Samkvæmt markmiðsákvæði frumvarpsins er þeim ætlað að stuðla að velferð og farsæld barna í barnvænu, heilsueflandi og valdeflandi samfélagi. Þá segir að meginmarkmið þeirra sé að börn og foreldrar sem á þurfi að halda hafi aðgang að samþættri þjónustu við hæfi án hindrana.
Með frumvarpinu er áætlað að veita fjölmörgum aðilum, sem veita ýmiss konar þjónustu í þágu farsældar barna, víðtækar heimildir til vinnslu persónuupplýsinga, bæði almennra og viðkvæmra. Samhliða frumvarpinu hafa Persónuvernd borist til umsagnar tvö önnur frumvörp sem varða stofnun nýrra ríkisstofnana, þ.e. Barna- og fjölskyldustofu og Gæða- og eftirlitsstofnunar velferðarmála. Er ráðgert að þær stofnanir fari með fjölbreytt verkefni í tengslum við efni þessara frumvarps. Í frumvarpinu sem hér er til umfjöllunar eru Barna- og fjölskyldustofu meðal annars veittar víðtækar heimildir til vinnslu persónuupplýsinga.
Þann 29. september 2020 óskaði félagmálaráðuneytið eftir umsögn Persónuverndar um drög að frumvarpi til laga um samþættingu þjónustu í þágu farsældar barna. Persónuvernd veitti umsögn, dags. 16. október s.á., og fylgir hún hjálögð.
Í umsögn Persónuverndar voru gerðar athugasemdir við víðtæka upplýsingavinnslu sem frumvarpið fæli í sér og greint frá efasemdum um hvort sú vinnsla samrýmdist grunnreglu 71. gr. stjórnarskrárinnar og 8. gr. mannréttindasáttmála Evrópu um friðhelgi einkalífs, heimilis og fjölskyldu. Ljóst væri að sá réttur gæti þurft að sæta takmörkunum eins og fram kæmi í 3. mgr. 71. gr. stjórnarskrárinnar og 2. mgr. 8. gr. mannréttindasáttmálans. Þá bæri löggjafanum skylda til að tryggja börnum þá vernd og umönnun sem velferð þeirra krefðist, sbr. 3. mgr. 76. gr. stjórnarskrárinnar. Var þó bent á að takmarkanir í lögum á friðhelgi einkalífs, heimilis og fjölskyldu, þ. á m. til að tryggja hag barna, yrðu að helgast af brýnni nauðsyn. Þá var einnig fjallað um hvort svo umfangsmikil vinnsla persónuupplýsinga sem lögð væri til væri nauðsynleg til að ná markmiðum frumvarpsins og hvernig það samrýmdist meðalhófssjónarmiðum. Jafnframt var lögð rík áhersla á að foreldrar og/eða börn hefðu raunverulegt frjálst val um að þiggja samþætta þjónustu og var umsögnin veitt með fyrirvara um að svo væri. Lagðar voru til breytingar á texta frumvarpsdraganna sem hefðu að markmiði að taka af allan vafa um það að þjónusta frumvarpsins væri raunverulega valkvæð og háð frjálsu samþykki.
Um frekari umfjöllun um framangreind sjónarmið Persónuverndar vísast til umsagnar stofnunarinnar til félagsmálaráðuneytisins, dags. 16. október 2020.
Við athugasemdum Persónuverndar við frumvarpsdrögin hefur nú verið brugðist við að hluta. Í þeirri umsögn sem nú er veitt eru einkum ítrekaðar þær athugasemdir sem Persónuvernd telur að ekki hafi verið brugðist við.
1.
Í 6. gr. frumvarpsins er fjallað um verkefni Barna- og fjölskyldustofu. Í 4. tölul. 1. mgr. ákvæðisins segir að Barna- og fjölskyldustofa ákvarði tilgang og aðferðir við vinnslu persónuupplýsinga á grundvelli 15. gr. og V. kafla frumvarpsins.
Í athugasemdum við ákvæðið segir að almennt sé gengið út frá því, þegar stjórnvöld vinni persónuupplýsingar, að stjórnvaldið þar sem upplýsingarnar eru unnar beri ábyrgð á vinnslu persónuupplýsinga enda sé það stjórnvaldið sem ákvarði tilgang og aðferðir við vinnslu. Því leiði af frumvarpinu að almennt verði litið svo á að Barna- og fjölskyldustofa sé ábyrgðaraðili við vinnslu persónuupplýsinga samkvæmt frumvarpinu enda fari stofnunin með ákvarðanavald um vinnslu persónuupplýsinga á grundvelli frumvarpsins. Þá segir að rétt sé að árétta að það kunni að vera háð atvikabundinni túlkun hvort tiltekin vinnsla persónuupplýsinga falli undir ákvörðunarvald Barna- og fjölskyldustofu og þar með hvort þjónustuveitendur eða þeir sem veiti almenna þjónustu í þágu farsældar barna beri eftir atvikum sjálfir ábyrgð á vinnslunni. Jafnframt segir að í þeim tilvikum sem Barna- og fjölskyldustofa sé ábyrgðaraðili vinnslunnar sé litið á stjórnvöld og starfsmenn sem vinni upplýsingar á grundvelli frumvarpsins sem vinnsluaðila. Almennt sé ekki gert ráð fyrir að Barna- og fjölskyldustofa geri vinnslusamninga við hvert og eitt þessara stjórnvalda heldur setji reglur sem feli í sér skuldbindingar þeirra stjórnvalda sem teljist vinnsluaðilar gagnvart Barna- og fjölskyldustofu vegna upplýsinga sem stofnunin ber ábyrgð á. Þá sé gert ráð fyrir að í þessum reglum sé tekin afstaða til þess hvernig skyldur færist eftir atvikum yfir á undirvinnsluaðila.
Í umsögn Persónuverndar, dags. 16. október 2020, til félagsmálaráðuneytisins var vakin athygli á því að hugtakið ábyrgðaraðili væri skilgreint í 6. tölul. 3. gr. laga nr. 90/2018 á þann hátt að ábyrgðaraðili væri einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga.[1] Auk þess segði í 7. tölul. 4. gr. reglugerðar (ESB) 2016/679 (almennu persónuverndarreglugerðarinnar) að ábyrgðaraðili væri einstaklingur eða lögaðili, opinbert yfirvald, sérstofnun eða annar aðili sem ákvarði, einn eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga. Ef tilgangur og aðferðir við slíka vinnslu séu ákveðin í lögum sé heimilt að tilgreina ábyrgðaraðila eða sérstakar viðmiðanir fyrir tilnefningu hans í lögum.
Áréttaði Persónuvernd að ákvörðun um það hver væri ábyrgðaraðili vinnslu, t.d. ef til ágreinings kæmi, væri ávallt tekin á grundvelli fyrrgreindra sjónarmiða sem tiltekin eru í lögum nr. 90/2018 og reglugerð (ESB) 2016/679. Við þá ákvörðun ber þá jafnframt að hafa hliðsjón af þeim lögum sem gilda um viðkomandi starfsemi og því hver ábyrgð og verkefni viðkomandi aðila eru samkvæmt þeim.
Persónuvernd ítrekar framangreind stjórnamið stofnunarinnar um skilgreiningu og ákvörðun á því hver geti talist ábyrgðaraðili að vinnslu persónuupplýsinga.
Í ljósi þess hversu fjölbreyttir aðilar geta tekið að sér hlutverk þjónustuveitenda, þar á meðal einkaaðilar, beindi stofnunin því til ráðuneytisins í fyrrgreindri umsögn um frumvarpsdrögin að æskilegt væri að vísa til þess í greinargerðinni að huga gæti þurft að gerð vinnslusamnings, sbr. 28. gr. reglugerðar (ESB) 2016/679, eða eftir atvikum samkomulags um skiptingu ábyrgðar, sbr. 1. mgr. 26. gr. reglugerðarinnar, við þjónustuveitendur þegar við ætti.
Að mati Persónuverndar hefur ekki verið brugðist við framangreindri ábendingu með fullnægjandi hætti.
Þá eru gerðar athugasemdir við þá umfjöllun um vinnsluaðila sem nú er að finna í athugasemdum við ákvæðið. Sem fyrr segir er þar gert ráð fyrir því að í þeim tilvikum sem Barna- og fjölskyldustofa sé ábyrgðaraðili vinnslunnar sé litið á stjórnvöld og starfsmenn sem vinni upplýsingar á grundvelli frumvarpsins sem vinnsluaðila.
Persónuvernd bendir í fyrsta lagi á að um skilgreiningu á vinnsluaðila fer eftir persónuverndarlögum og túlkun á þeim í hverju tilviki fyrir sig, með sama hætti og fjallað var um framar í umsögninni í tengslum við skilgreiningu á ábyrgðaraðila vinnslu. Samkvæmt 7. tölul. 1. mgr. 3. gr. laga nr. 90/2018 er vinnsluaðili einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila. Ekki er unnt að líta svo á að fyrrnefnd umfjöllun í greinargerð leiði til þess að umræddir aðilar verði ávallt taldir vinnsluaðilar gagnvart Barna- og fjölskyldustofu, heldur ræðst það af fyrirkomulagi þeirrar vinnslu sem um ræðir hverju sinni.
Í öðru lagi er rétt að árétta að starfsmenn teljast almennt ekki vera vinnsluaðilar í skilningi persónuverndarlaganna. Þegar um vinnusamband milli aðila er að ræða er almennt litið svo á að viðkomandi lögaðili sé ábyrgðaraðili eða vinnsluaðili, en þær skilgreiningar eigi ekki við um starfsmenn lögaðilans.
Þá er í þriðja lagi vakin athygli á því að sé um vinnsluaðila að ræða ber ábyrgðaraðila skylda til þess að gera vinnslusamning við viðkomandi vinnsluaðila, sbr. 3. mgr. 25. gr. laga nr. 90/2018 og 28. gr. reglugerðar (ESB) 2016/697. Hjá þessari skyldu verður ekki komist með því að Barna- og fjölskyldustofa setji reglur í staðinn, eins og segir í greinargerðinni. Slíkar reglur geta ekki leyst ábyrgðaraðila undan framangreindri lagaskyldu til þess að gera vinnslusamninga við vinnsluaðila.
2.
Í 15. gr. frumvarpsins er kveðið á um að ef þjónustuveitandi eða sá sem veitir almenna þjónustu í þágu farsældar barna taki eftir og greini vísbendingar um að þörfum barns sé ekki mætt með fullnægjandi hætti og að barnið þurfi frekari þjónustu en þegar er veitt skuli hann veita foreldrum og/eða barni leiðbeiningar um samþættingu þjónustu. Ef foreldri og/eða barn setji fram beiðni þar að lútandi geti þjónustuveitandi eða sá sem veitir almenna þjónustu í þágu farsældar barna skráð og/eða tekið saman upplýsingar um aðstæður barns sem varpa ljósi á vísbendingar og þjónustuþörf og miðlað þeim til tengiliðar eða málstjóra þjónustu í þágu farsældar barns.
Í athugasemdum við 15. gr. frumvarpsins segir hins vegar að þjónustuveitenda og aðilum sem veiti almenna þjónustu í þágu farsældar barna sé veitt heimild til að skrá og/eða taka saman nauðsynlegar upplýsingar um aðstæður barns í því skyni að miðla þeim til tengiliðar eða málstjóra.
Að mati Persónuverndar færi betur á því að einnig væri notað orðalagið nauðsynlegar upplýsingar í ákvæðinu sjálfu, í samræmi við meðalhófskröfu persónuverndarlaganna.
3.
Í áðurnefndri 15. gr. frumvarpsins er ekki fjallað nánar um aðferðir við þá vinnslu persónuupplýsinga sem þar er kveðið á um eða hvernig skráningu og miðlun þeirra skuli háttað, en lýst er í kafla 2 hér að framan. Þó er í 23. gr. frumvarpsins kveðið á um að þeim aðilum sem heimilt sé að vinna persónuupplýsingar skv. 1. mgr. ákvæðisins sé skylt að haga vinnslu í samræmi við reglur Barna- og fjölskyldustofu og ákvæði laga um persónuvernd og vinnslu persónuupplýsinga.
Í frumvarpinu er gert ráð fyrir því að komið verði á fót gagnagrunnum og samræmdum stafrænum lausnum til skráningar og miðlunar upplýsinga á grundvelli frumvarpsins. Fyrirhugað er að heimild til handa Barna- og fjölskyldustofu til starfrækslu slíkra stafrænna lausna verði að finna í 5. gr. laga á grundvelli frumvarps til laga um Barna- og fjölskyldustofu. Í athugasemdum við ákvæðið kemur fram að tilgangurinn með slíkum grunnum sé að til staðar verði sameiginlegir gagnagrunnar og stafrænar lausnir til að vinna upplýsingar og styðja við þjónustuveitendur.
Í ljósi þess hve umfangsmiklar og viðkvæmar upplýsingar getur verið um að ræða leggur Persónuvernd til að kveðið verði á um að skráning, miðlun og önnur vinnsla persónuupplýsinga á grundvelli frumvarpsins verði eingöngu heimil í sameiginlegu upplýsingakerfi eða gagnagrunni sem Barna- og fjölskyldustofa hefur umsjón með. Að mati Persónuverndar væri slíkt skilyrði til þess fallið að draga úr þeirri miklu áhættu sem fylgir því að upplýsingarnar verði varðveittar hjá fjölda mismunandi aðila, sem hafa mismiklar og jafnvel engar heimildir í sérlögum til vinnslu þeirra persónuupplýsinga sem um ræðir á eigin ábyrgð. Þá má ætla að öryggisvitund þessara aðila sé mismikil og aðstæður þeirra jafnframt ólíkar þegar kemur að því að tryggja öryggi persónuupplýsinga í þeirra vörslum. Í því sambandi skal áréttað mikilvægi þess að tryggja aðgangsstýringu notenda að þeim stafrænu lausnum sem um ræðir. Jafnframt telur Persónuvernd rétt að árétta að ákvæði af þessu tagi mætti setja fram á tæknilega hlutlausan hátt, þannig að það geti staðið óbreytt óháð þróun þeirra tæknilausna sem notast er við hverju sinni.
4.
Í greinargerð með frumvarpinu segir, í lið 6.4. um áhrif á persónuvernd, að í frumvarpinu sé mælt fyrir um vinnslu viðkvæmra persónuupplýsinga, samkeyrslu upplýsinga, og persónuupplýsingar viðkvæmra hópa. Því hafi verið gert mat á áhrifum á persónuvernd sem fyrirsjáanlegt væri að frumvarpið hefði, sbr. 29. gr. laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.
Í mati á áhrifum á persónuvernd, sem fylgdi frumvarpsdrögunum þegar félagsmálaráðuneytið óskaði umsagnar Persónuverndar 29. september 2020, kemur fram að við vinnslu þeirra hafi verið horft til þess að koma á fót sameiginlegum gagnagrunni og stafrænum lausnum á ábyrgð Barna- og fjölskyldustofu sem þjónustuveitendur, tengiliðir, málstjórar og aðilar sem taki þátt í samþættingu muni hafa aðgangsstýrðan aðgang að. Öll vinnsla upplýsinga og varðveisla þeirra fari fram í gagnagrunninum og í gegnum þær stafrænu lausnir sem hér um ræðir.
Í lið 6.4. í greinargerð með frumvarpinu segir að mat á áhrifum á persónuvernd hafi í fyrsta lagi leitt í ljós áhættu sem muni fylgja því ef frumvarpið verði að lögum áður en lokið verði við gerð stafrænna lausna fyrir vinnslu persónuupplýsinga samkvæmt frumvarpinu. Áður en sameiginlegar stafrænar lausnir verði að veruleika verði upplýsingarnar því unnar á mismunandi formi. Þessu fylgi áhætta enda liggi fyrir að þeir sem vinni persónuupplýsingar á grundvelli heimilda frumvarpsins noti mismunandi skjalakerfi, misöruggar aðferðir til miðlunar upplýsinga og mismunandi viðmið við aðgangsstýringar að þessum kerfum.
Þrátt fyrir að gildistökuákvæði frumvarpsins hafi nú verið breytt frá því Persónuvernd fékk frumvarpsdrögin fyrst til umsagnar og aðlögunartími fram að gildistöku lengdur vekur stofnunin athygli á því að verði lög sett á grundvelli frumvarpsins er mjög brýnt að tryggt verði að öryggi við vinnslu persónuupplýsinga verði með fullnægjandi hætti og að öllu leyti í samræmi við þær kröfur sem gerðar eru í lögum nr. 90/2018 og reglugerð (ESB) 2016/679, sbr. einkum 27. gr. laganna og 32.-34. gr. reglugerðarinnar. Nauðsynlegt er að öryggið sé tryggt frá fyrsta degi, þ.e. frá gildistöku laganna. Er í því sambandi meðal annars til þess að líta að um er að ræða vinnslu persónuupplýsinga sem í mörgum tilvikum geta talist mjög viðkvæmar, auk þess sem þær varða börn, en persónuupplýsingar barna njóta sérstakrar verndar samkvæmt ákvæðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679. Sameiginlegar reglur um vinnslu persónuupplýsinga af hálfu Barna- og fjölskyldustofu gætu nýst í þeirri vinnu en jafnframt er mikilvægt að notast verði við öruggar tæknilausnir við vinnsluna, sbr. einnig umfjöllun í kafla 3 hér að framan.
Í þessu sambandi vill Persónuvernd benda á mikilvægi þess að tryggt sé að aðlögunartími fram að gildistöku laganna sé nægjanlegur þannig að hæfilegt svigrúm gefist til að útfæra öruggar stafrænar lausnir fyrir gildistökuna. Þá minnir Persónuvernd á mikilvægi þeirra sjónarmiða sem fram koma í lið 6.4 í almennum athugasemdum við frumvarpið, sem og í mati á áhrifum á persónuvernd, um að við útfærslu gagnagrunns og stafrænna lausna verði hugað vel að áhættumati og öryggisprófunum og að mat á áhrifum á persónuvernd verði uppfært. Sérstaklega er mikilvægt að huga að og skilgreina hvernig aðgangsstýringu að fyrrgreindum gagnagrunni og stafrænum lausnum verði háttað.
5.
Í frumvarpinu er gengið út frá því að tengiliðir geti gegnt hlutverki sínu meðfram öðrum störfum. Þeir geti þannig iðulega gegnt öðru hlutverki gagnvart viðkomandi börnum, svo sem ef um sé að ræða kennara eða starfsmann heilsugæslustöðvar.
Persónuvernd vekur athygli á því að þótt rök geti almennt staðið til þess að tengiliðir séu í nærumhverfi barnsins dagsdaglega kann að vera að þessu fyrirkomulagi fylgi í einhverjum tilvikum óþægindi fyrir barnið og/eða foreldra þess, óháð því hvort til staðar sé eiginlegt vanhæfi hjá viðkomandi tengilið. Sem dæmi um slíkt mætti nefna barn á menntaskólaaldri sem þarf að sæta því að tiltekinn menntaskólakennari, sem jafnframt er tengiliður, fái aðgang að ýmiss konar viðkvæmum upplýsingum um það. Slíkt gæti í einhverjum tilvikum komið mjög illa við viðkomandi barn.
Til að bæta úr þessu mætti bæta við frumvarpið ákvæði sem heimilar foreldrum og/eða barni að óska eftir því að starfsmaður félagsþjónustu sveitarfélags taki við hlutverki tengiliðar við slíkar aðstæður, séu gild rök til slíks.
6.
Í frumvarpinu er ítrekað vísað til orðalagsins „foreldra og/eða barn“, í tengslum við upplýsingar sem ber að veita fyrrgreindum aðilum, beiðni þeirra um þjónustu eða samráð um samþættingu þjónustu. Þá segir í kafla 3.5. í greinargerð með frumvarpinu um samráð og valdeflingu, að lykilatriði við að ná tilskildum árangri sé að virða rétt og skyldur foreldra við ákvarðanatöku um uppeldi barna sinna og sjálfstæðan rétt barna til þess að réttmætt tillit sé tekið til skoðana þeirra í samræmi við aldur og þroska. Í athugasemdum við 18. gr. frumvarpsins segir að undirstrika beri að samráð og samstarf við barn taki mið af aldri barns og þroska og ákvæðum sérlaga um réttarstöðu barns eftir atvikum.
Að mati Persónuverndar væri æskilegt að í ákvæðum frumvarpsins og greinargerð væri leiðbeint frekar um það hvenær foreldrar annars vegar og börn hins vegar geta óskað eftir tiltekinni þjónustu, þar á meðal hvort og þá hvenær sé talið réttlætanlegt að ræða ekki við foreldra. Telur Persónuvernd auk þess mikilvægt að með sama hætti verði leiðbeint um hvernig foreldrar annars vegar og börn hins vegar geti óskað eftir tiltekinni þjónustu.
Þá bendir Persónuvernd á að betur gæti farið á því að nota orðalagið „foreldra, og eftir atvikum einnig barn“ í einhverjum tilvikum í stað orðalagsins „foreldrar og/eða börn“.
_________________________
Sem fyrr segir er vísað til fyrri umsagnar Persónuverndar til félagsmálaráðuneytisins, dags. 16. október 2020, um drög að frumvarpi til laga um samþættingu þjónustu í þágu farsældar barna, umsögn þessari til fyllingar.
Ekki eru að öðru leyti gerðar athugasemdir við efni frumvarpsins að svo stöddu, en verði frekari umsagnar óskað um einstök atriði verður hún fúslega veitt.
F.h. Persónuverndar,
Helga Sigríður Þórhallsdóttir Steinunn Birna Magnúsdóttir
[1] Evrópska persónuverndarráðið hefur birt drög að nýjum leiðbeiningum um ábyrgðaraðila og vinnsluaðila, en þær má nálgast á vefsíðu ráðsins: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_en