Lyfjabúðir - Endurskoðun tveggja ákvörðunarorða
Efni: Niðurstaða Persónuverndar um óskir Lyfja og heilsu hf. og Lyfju hf. um breytingar á tilteknum fyrirmælum í ákvörðunum, dags. 3. júlí 2003, n.t.t. að tryggja skuli öryggi í gagnaflutningi með öruggum tengingum og dulkóðun og að tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en þær verði afhentar förgunaraðila
Persónuvernd vísar til fyrri samskipta við Lyfju hf. og Lyf og heilsu hf. vegna ákvarðana stofnunarinnar, dags. 3. júlí 2003, vegna úttektar á öryggi persónuupplýsinga hjá félögunum tveimur. Með vísan til þess sem úttektirnar leiddu í ljós um hvernig vinnslu persónuupplýsinga væri háttað hjá félögunum og hvernig öryggis þeirra væri gætt mælti Persónuvernd þar fyrir um ýmsar ráðstafanir, sbr. 1. mgr. 40. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sem grípa skyldi til að svo að kröfum 11.–13. gr. sömu laga, sbr. reglur nr. 299/2001 um öryggi persónuupplýsinga, yrði fullnægt. Var veittur frestur til 1. janúar 2004 til að fullnægja þeim kröfum.
Hinn 17. október 2003 var haldinn fundur í Persónuvernd með Lyfjum og heilsu hf. þar sem fjallað var um viðbrögð félagsins við ákvörðun Persónuverndar varðandi félagið. Af hálfu félagsins voru þá lagðir fram minnispunktar þar að lútandi þar sem fram kom að það teldi sum fyrirmælin í ákvörðuninni þarfnast endurskoðunar. Með bréfi, dags. 5. nóvember 2003, óskaði og Helga M. Óttarsdóttir hdl. þess, f.h. Lyfja og heilsu hf., að hluti ákvörðunar Persónuverndar frá 3. júlí 2003 yrði endurupptekinn, sbr. 24. gr. stjórnsýslulaga nr. 37/1993. Með bréfi, dags. 8. desember 2003, framlengdi Persónuvernd frestinn til að verða við þeim fyrirmælum, sem endurupptökubeiðnin laut að, til 1. febrúar 2004. Skömmu áður, eða hinn 29. janúar s.á., kynntu fulltrúar Lyfja og heilsu hf. á fundi hjá Persónuvernd hvernig orðið hefði verið við fyrirmælum stofnunarinnar. Barst Persónuvernd greinargerð þar að lútandi eftir fundinn, dags. s.d., þar sem beiðnin um endurupptöku hluta ákvörðunarinnar var ítrekuð.
Hinn 4. desember 2003 var haldinn fundur með Lyfju hf. þar sem fjallað var um viðbrögð félagsins við ákvörðun Persónuverndar varðandi félagið. Af hálfu félagsins var lögð fram greinargerð um hvernig félagið myndi fara eftir ákvörðuninni. Kom þar fram að óskað væri eftir endurskoðun á tilteknum hluta hennar. Með bréfi, dags. 30. desember 2003, var kynnt nánar hvernig brugðist hefði verið ákvörðuninni og kom þar fram sú afstaða félagsins að þeim kröfum, sem þar koma fram, hefði verið fullnægt.
1.
Hér verður leyst úr tveimur atriðum sem bæði félögin hafa gert athugasemdir við í ákvörðunum Persónuverndar, dags. 3. júlí 2003, þ.e. þessi tvö fyrirmæli:
Tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar verði afhentar förgunaraðila (11. tölul. ákvörðunarorða í báðum ákvörðununum).
Tekið skal fram að Lyf og heilsa hf. hefur jafnframt óskað eftir endurupptöku á fleiri þáttum í ákvörðun Persónuverndar varðandi félagið, en að svo stöddu verður aðeins leyst úr framangreindum atriðum. Síðar verður og tekin afstaða til annarra athugasemda, svo og lagt mat á það hvort Lyf og heilsa hf. og Lyfja hf. hafi að öðru leyti farið eftir ákvörðunum Persónuverndar, dags. 3. júlí 2003.
Í bréfi Lyfja og heilsu hf. til Persónuverndar, dags. 5. nóvember 2003, er endurupptökubeiðni félagsins með vísan til 24. gr. stjórnsýslulaga nr. 37/1993 rökstudd. Um þau fyrirmæli að tryggja skuli öryggi í gagnaflutningi með öruggum tengingum og dulkóðun segir:
Áhættumat sýnir að mjög litlar líkur eru á hlerun eða innbrotum í samskiptakerfið eins og það er í dag. Áhættan er talin vera mjög lítil og þar með ásættanleg. Ekki er talinn ávinningur af því að dulrita öll samskipti sem fara fram á lokuðu neti umbjóðanda okkar. Í þessu sambandi ber að hafa í huga verðmæti þeirra upplýsinga sem verið er að verja, ásamt veikleikum í tengslum við flutning upplýsinga og mjög litlum líkum á því að þeir veikleikar verði nýttir."
Í bréfi Lyfju hf. til Persónuverndar, dags. 4. desember 2003, er því lýst hvernig félagið hefur brugðist við ákvörðun Persónuverndar. Er þar óskað eftir endurskoðun á þeim fyrirmælum að tryggja skuli öryggi í gagnaflutningi með öruggum tengingum og dulkóðun. Beiðnin er rökstudd með eftirfarandi orðum.
Um þau fyrirmæli að tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar verði afhentar förgunaraðila segir í bréfi Lyfja og heilsu hf., dags. 5. nóvember 2003:
Lyfja hf. hefur ekki óskað eftir endurskoðun eða endurupptöku á þeim fyrirmælum að tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar verði afhentar förgunaraðila. Í bréfi félagsins til Persónuverndar, dags. 4. desember 2003, er hins vegar lagt til verklag til að fara eftir þessum fyrirmælum sem ekki getur talist nægilegt til að fullnægja þeim eftir orðalagi sínu. Þessu verklagi er lýst svo í bréfinu:
Persónuvernd hefur farið yfir framangreindar athugasemdir Lyfja og heilsu hf. og Lyfju hf. í tengslum við þau fyrirmæli í úttektarákvörðunum stofnunarinnar varðandi félögin, dags. 3. júlí 2003, að tryggja skuli öryggi í gagnaflutningi með öruggum tengingum og dulkóðun og að tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar verði afhentar förgunaraðila.
Í 1. mgr. 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga er kveðið á um að ábyrgðaraðili að vinnslu persónuupplýsinga skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi (1. mgr.). Þá er þar kveðið á um að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.
Persónuvernd telur að Lyf og heilsa hf. og Lyfja hf. hafi, með framangreindum athugasemdum sínum, nægilega sýnt fram á að skilyrðum þessara ákvæða sé fullnægt með þeim gagnaflutningstengingum sem nú er notast við hjá félögunum, þ.e. lokuðum ADSL- og MPLS-rásum. Hefur því verið ákveðið að fallast á kröfu félaganna um endurskoðun á fyrirmælum stofnunarinnar um að tryggja skuli öryggi í gagnaflutningi með öruggum tengingum og dulkóðun (7. tölul. ákvörðunarorða í ákvörðun varðandi Lyf og heilsu hf. en 6. í ákvörðun varðandi Lyfju hf.).
Einnig telur Persónuvernd að það verklag, sem Lyf og heilsa hf. og Lyfja hf. hafa lagt til í tengslum við eyðingu persónugreinanlegra merkinga af umbúðum lyfja áður en umbúðirnar eru afhentar förgunaraðila, fullnægi skilyrðum framangreindra ákvæða, þ.e. annars vegar að þeim sem koma með lyf til förgunar verði boðið að afmá persónuupplýsingar, en það er tillaga Lyfja og heilsu hf., eða hins vegar að þeir undirriti yfirlýsingu um að þeir hafi afhent lyfin og geri sér grein fyrir að um persónugreinanleg gögn sé að ræða sem fari til eyðingar, en það er tillaga Lyfju hf. Hefur því í fyrsta lagi verið ákveðið að fallast á kröfu Lyfja og heilsu hf. um endurskoðun á þeim fyrirmælum Persónuverndar að tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar verði afhentar förgunaraðila (11. tölul. ákvörðunarorða). Þá hefur í öðru lagi verið ákveðið að fallast á það verklag sem Lyfja hf. hefur lagt til svo að fara megi eftir sams konar fyrirmælum hvað það félag varðar (11. tölul. ákvörðunarorða).
Með vísan til ofangreinds hefur Persónuvernd komist að eftirfarandi niðurstöðum:
Að það verklag í tengslum við eyðingu persónugreinanlegra merkinga af lyfjaumbúðum að bjóða þeim sem koma með lyf til förgunar að afmá persónuupplýsingar, eða leggja fyrir þá yfirlýsingu um að þeir geri sér grein fyrir að um persónugreinanleg gögn sé að ræða sem fari til eyðingar, sé fullnægjandi. Í ljósi þess er fallist á kröfu Lyfja og heilsu hf. um endurskoðun þeirra fyrirmæla í ákvörðun Persónuverndar varðandi félagið, dags. 3. júlí 2003, að tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar verði afhentar förgunaraðila. Þá eru og sams konar fyrirmæli í ákvörðun Persónuverndar varðandi Lyfju hf., dags. s.d., endurskoðuð. Er því nægilegt að félögin viðhafi framangreint verklag svo að kröfum til öryggis persónuupplýsinga sé fullnægt í tengslum við eyðingu persónugreinanlegra merkinga af lyfjaumbúðum.