Ákvörðun um stöðu persónuverndarfulltrúa Íslenskrar erfðagreiningar ehf
Mál nr. 2020061979
Persónuvernd hefur lokið úttekt á stöðu persónuverndarfulltrúa Íslenskrar erfðagreiningar ehf. Niðurstaða úttektarinnar var að ekki voru gerðar athugasemdir við aðkomu persónuverndarfulltrúa að málum sem tengjast persónuvernd eða þau úrræði sem þeim hefðu verið látin í té til að inna verkefni sín af hendi.
Á hinn bóginn var það niðurstaða Persónuverndar að fyrirtækið hefði ekki tryggt að önnur verkefni og skyldustörf persónuverndarfulltrúanna gætu ekki leitt til hagsmunaárekstra vegna verkefna þeirra sem persónuverndarfulltrúa og voru veittar leiðbeiningar um úrbætur þar að lútandi.
Ákvörðun
vegna úttektar á stöðu persónuverndarfulltrúa Íslenskrar erfðagreiningar, í máli nr. 2020061979
I.
Málsmeðferð
1.
Upphaf máls – Ósk um skýringar og gögn
Með bréfi, dags. 1. september 2020, tilkynnti Persónuvernd Íslenskri erfðagreiningu að stofnunin hefði ákveðið að gera úttekt á stöðu persónuverndarfulltrúa fyrirtækisins, þ.e. til að kanna hvort uppfylltar væru þær kröfur sem gerðar eru til stöðu persónuverndarfulltrúa í lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679, sbr. 1. og 3. mgr. 39. gr. og 2. tölul. 1. mgr. 41. gr. laganna og b-lið 1. mgr. 58. gr. reglugerðarinnar. Í bréfi Persónuverndar var tekið fram að ákvörðun um úttekt á stöðu persónuverndarfulltrúa Íslenskrar erfðagreiningar fæli ekki í sér að Persónuvernd teldi að ekki væri farið að kröfum laganna heldur væri markmiðið að sannreyna að staða persónuverndarfulltrúa hjá Íslenskri erfðagreiningu samrýmdist persónuverndarlöggjöfinni. Gert væri ráð fyrir að úttektir af þessu tagi færu fram í góðri samvinnu Persónuverndar og viðkomandi aðila. Með vísan til framangreinds óskaði Persónuvernd upplýsinga frá Íslenskri erfðagreiningu um hvort og þá hvernig staða persónuverndarfulltrúa fyrirtækisins samrýmdist tilteknum ákvæðum 38. gr. reglugerðarinnar. Þá óskaði Persónuvernd eftir því að fyrirtækið leggði fram viðeigandi gögn sem sýndu fram á reglufylgni hvað framangreint varðaði.
Persónuvernd bárust ekki svör frá Íslenskri erfðagreiningu innan tilskilins frests og var erindi stofnunarinnar því ítrekað með bréfi, dags. 7. október 2020. Þar sem engin viðbrögð bárust við ítrekunarbréfi Persónuverndar var erindið ítrekað öðru sinni í símtali 3. nóvember s.á. við forsvarsmann samskipta hjá Íslenskri erfðagreiningu, þar sem óskað var eftir tveggja vikna fresti til að svara erindinu. Með tölvupósti sama dag veitti Persónuvernd umbeðinn frest, þ.e. til 17. s.m., en tekið var fram að stofnunin liti svo á að um lokafrest væri að ræða. Síðar sama dag barst tölvupóstur frá forsvarsmanni samskipta þar sem enn á ný var óskað eftir fresti, til 23. s.m. Með bréfi Persónuverndar til fyrirtækisins, dags. 18. s.m., segir að berist stofnuninni ekki svör fyrirtækisins 23. s.m., svo og viðeigandi gögn, kunni að vera tilefni til álagningar sjórnvaldssekta, sbr. 5. tölul. 1. mgr. 41. gr., 1. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 58. gr., 1. og 5. mgr. 83. gr. reglugerðar (ESB) 2016/679.
2.
Svör Íslenskrar erfðagreiningar
Hinn 23. nóvember 2020 barst Persónuvernd svar Íslenskrar erfðagreiningar, dags. s.d. Hjálagt fylgdi erindisbréf persónuverndarfulltrúa Íslenskrar erfðagreiningar, dags. 9. september s.á., útgefið af forstjóra fyrirtækisins. Í svarbréfinu er vísað til bréfs Persónuverndar, dags. 7. október s.á., og beðist velvirðingar á þeirri töf sem hafi orðið á svörum, sem megi rekja til þess að upphaflegt bréf hafi misfarist auk þess sem margir þættir í hefðbundinni starfssemi fyrirtækisins hafi tafist og farið úr skorðum vegna COVID-19 faraldursins.
Í svarbréfi Íslenskrar erfðagreiningar er farið yfir innleiðingu núgildandi persónuverndarlöggjafar í starfsemi fyrirtækisins.
Þegar lög nr. 90/2018 hafi tekið gildi hafi [A] lögfræðingur verið skipuð persónuverndarfulltrúi Íslenskrar erfðagreiningar. Bæði hún og [B] lögfræðingur hafi sótt fræðslu um innleiðingu á reglugerð (ESB) 2016/679 til The International Association of Privacy Professionals (IAPP). [A] hafi jafnframt sest í nefnd fyrirtækisins sem kallast nú Persónuverndarnefnd Íslenskrar erfðagreiningar. Nefndin hittist a.m.k. mánaðarlega og oftar ef þurfa þykir. Forstjóri Íslenskrar erfðagreiningar sitji í stjórn félagsins og komi hann fram fyrir hönd stjórnar hvað varðar samskipti félagsins við persónuverndarfulltrúann, meðal annars vegna allrar skýrslugjafar hans til félagsins. Um störf persónuverndarfulltrúa gildi erindisbréf útgefið af forstjóra fyrirtækisins.
[A] hafi hætt störfum hjá Íslenskri erfðagreiningu í maí 2020 og ákveðið hafi verið að [C] yfirlögfræðingur fyrirtækisins yrði persónuverndarfulltrúi þess tímabundið. Þá hafi [D] lögfræðingur verið ráðin í starf persónuverndarfulltrúa fyrirtækisins og muni hún hefja störf í janúar 2021.
Í svörum Íslenskrar erfðagreiningar segir að viðeigandi og tímanleg aðkoma persónuverndarfulltrúans að öllum málum sem tengist persónuvernd sé tryggð með þeim sjálfstæðu heimildum sem persónuverndarfulltrúinn hafi samkvæmt erindisbréfi sínu og með setu hans í Persónuverndarnefnd fyrirtækisins, sem fylgist náið með allri fyrirhugaðri vinnslu persónuupplýsinga og meti meðal annars ásamt fulltrúum í nefndinni hvort fyrirhuguð vinnsla kalli á mat á áhrifum á persónuvernd. Gæðastjóri og öryggisstjóri upplýsingaöryggis sitji í nefndinni og séu mjög vel til þess fallin að vera persónuverndarfulltrúa til aðstoðar við að gegna starfsskyldum sínum, meðal annars vegna þess að útilokað sé að ný vinnsla persónuupplýsinga hefjist án aðkomu þeirra. Þannig hafi gæðastjóri með höndum skjölun og viðhald á öllum verklagsreglum, (e. Standard Operation Procedures) sem verði að vera fyrir hendi áður en ný vinnsla persónuupplýsinga á tilraunastofu Íslenskrar erfðagreiningar hefjist. Tilraunastofa fyrirtækisins hafi hlotið ISO 9001 vottun sem endurnýjuð sé árlega þegar umræddar verklagsreglur séu teknar út af vottunaraðila. Öryggisstjóri fylgist í daglegum störfum sínum með öryggi upplýsingakerfa sem notuð séu við vinnslu persónuupplýsinga og vinni náið með öllum kerfisstjórum og yfirmönnum deilda. Þá segir að langstærstur hluti þeirrar vinnslu persónuupplýsinga sem Íslensk erfðagreining framkvæmi byggi á leyfum Vísindasiðanefndar, sbr. lög nr. 44/2014 um vísindarannsóknir á heilbrigðissviði, sem og leyfum Persónuverndar eftir atvikum. Vinnslan lúti því strangara eftirliti en almennt gerist og geti að jafnaði ekki hafist fyrr en að stjórnvaldsleyfi liggi fyrir. Persónuverndarfulltrúinn hafi greiðan aðgang að umræddum leyfum og umsóknum um þau sem geri honum kleift að fylgjast með og meta alla fyrirhugaða vinnslu persónuupplýsinga innan fyrirtækisins.
Í svörum Íslenskrar erfðagreiningar segir einnig að erindisbréf persónuverndarfulltrúa fyrirtækisins veiti honum allar nauðsynlegar heimildir til að inna verkefni sín af hendi og aðgang að persónuupplýsingum og vinnsluaðgerðum. Seta hans í Persónuverndarnefnd fyrirtækisins sé einnig öflugt tæki til að gera honum kleift að sinna starfsskyldum sínum, þar sem komið hafi verið upp miðlægu fyrirkomulagi til að tryggja að persónuupplýsingar séu ekki unnar fyrr en nefndin hafi yfirfarið og framkvæmt nauðsynlegt mat og skjölun á vinnslunum.
Erindisbréf persónuverndarfulltrúans tryggi jafnframt sjálfstæði hans í starfi og að hann fái ekki nein fyrirmæli sem séu ósamrýmanleg lögum, stöðu hans og leyfum og stjórnvaldsfyrirmælum sem gildi um vinnslu fyrirtækisins á persónuupplýsingum. Erindisbréfið tryggi enn fremur að hann heyri beint undir æðsta vald fyrirtækisins. Núverandi persónuverndarfulltrúi hafi greiðan aðgang að forstjóra fyrirtækisins og sitji alla reglulega fundi framkvæmdastjórnar.
Þá segir í svörum fyrirtækisins að í erindisbréfi persónufulltrúans sé sérstaklega vikið að því að hann skuli ekki eiga frumkvæði að eða skipuleggja vinnslu persónuupplýsinga. Honum sé einungis ætlað að hafa eftirlit með því að vinnsla persónuupplýsinga samrýmist lögum og stjórnvaldsfyrirmælum og gefa álit þar að lútandi. Núverandi persónuverndarfulltrúi, sem muni sinna starfinu þar til nýr persónuverndarfulltrúi hefji störf í janúar 2021, sé jafnframt yfirlögfræðingur fyrirtækisins. Aðalstarf hans sé að veita fyrirtækinu og þeim sem þar starfa bestu mögulegu lögfræðilega ráðgjöf og tryggja að starfsemi fyrirtækisins sé í samræmi við lög á hverjum tíma. Þau störf samrýmist vel þeim störfum sem persónuverndarfulltrúa sé ætlað að inna af hendi.
3.
Frekari skýringar Íslenskrar erfðagreiningar
Með bréfi Persónuverndar til Íslenskrar erfðagreiningar, dags. 8. apríl 2021, óskaði stofnunin eftir frekari skýringum varðandi einstök atriði og svaraði fyrirtækið með bréfi, dags. 20. maí s.á. Svör fyrirtækisins við spurningum Persónuverndar voru eftirfarandi:
1. „Hvaða verkefnum aðstoðarforstjóri fyrirtækisins hafi sinnt tímabilið 15. júlí 2018 til 16. maí 2020, þegar hún gegndi einnig stöðu persónuverndarfulltrúa.“
Á umræddu tímabili hafi aðstoðarforstjóri Íslenskrar erfðagreiningar aðstoðað forstjóra fyrirtækisins við dagleg störf hans, meðal annars vegna samskipta við móður- og systurfélög fyrirtækisins. Hún hafi enga aðkomu haft eða frumkvæði átt að ákvarðanatöku um vinnslu persónuupplýsinga innan fyrirtækisins. Þá hafi hún verið regluvörður fyrirtækisins, en hlutverk regluvarðar sé að framfylgja siða- og hátternisreglum fyrirtækisins og kynna efni reglnanna a.m.k. árlega fyrir starfsmönnum þess. Afar takmörkuð vinnsla persónuupplýsinga hafi átt sér stað í tengslum við regluvörslu á tímabilinu.
2. „Hvaða verkefnum yfirlögfræðingur fyrirtækisins hafi sinnt tímabilið 17. maí 2020 til 14. janúar 2021, þegar hann gegndi einnig stöðu persónuverndarfulltrúa.“
Á umræddu tímabili hafi yfirlögfræðingur Íslenskrar erfðagreiningar sinnt almennri lögfræðiráðgjöf til yfirstjórnar, millistjórnenda og starfsmanna fyrirtækisins. Hann hafi meðal annars séð um lögfræðilega yfirferð samninga sem fyrirtækið hafi gert við þriðja aðila og unnið við gerð ársreikninga, endurskoðun og innri endurskoðun. Þá hafi hann átt í samskiptum við lögmenn og lögfræðilega ráðgjafa fyrirtækisins, þ.m.t. vegna dómsmála, endurskoðendur og opinbera aðila. Hann hafi ekki átt frumkvæði að vinnslu persónuupplýsinga innan fyrirtækisins eða skipulagi vinnslu. Þá hafi hann verið einn af þremur einstaklingum í stjórn fyrirtækisins og ritari stjórnar. Stjórn fyrirtækisins taki engar meiri háttar ákvarðanir um málefni þess heldur sé það í höndum forstjóra.
3. „Hvort, og þá hvaða öðrum verkefnum, núverandi persónuverndarfulltrúi sinni.“
Núverandi persónuverndarfulltrúi Íslenskrar erfðagreiningar sé einnig regluvörður fyrirtækisins og staðgengill yfirlögfræðings, sbr. hlutverk þeirra í svörum við spurningum nr. 1 og 2. Yfirlögfræðingur fyrirtækisins geti falið henni að vinna einstök lögfræðileg verkefni. Þá sé nýleg viðbót við störf regluvarðar að hafa eftirlit með að fyrir hendi sé verklag innan fyrirtækisins sem mælt sé fyrir um í lögum nr. 40/2020 um vernd uppljóstrara.
4. „Hvort upp hafi komið tilvik þar sem hætta hafi verið talin á hagsmunaárekstrum vegna tilnefningar þeirra aðila sem taldir eru upp í spurningum nr. 1. – 3. sem persónuverndarfulltrúa. Hafi slík tilvik komið upp er óskað upplýsinga um hvernig brugðist hafi verið við þeim.“
Vinnsla persónuupplýsinga í starfsemi Íslenskrar erfðagreiningar sé þess eðlis að það girði fyrir hagsmunaárekstra hjá fyrirtækinu. Íslensk erfðagreining hafi með höndum viðamikla vinnslu persónuupplýsinga á sviði mannerfðafræði. Það séu alltaf vísindamenn hjá fyrirtækinu sem eigi frumkvæði að rannsóknum sem síðar feli í sér vinnslu persónuupplýsinga. Sú vinnsla geti aldrei hafist fyrr en að fengnu leyfi Vísindasiðanefndar og umsagnar Persónuverndar, skv. lögum nr. 44/2014 um vísindarannsóknir á heilbrigðissviði. Persónuverndarfulltrúar Íslenskrar erfðagreiningar hafi aldrei átt frumkvæði eða aðkomu að vinnslu persónuupplýsinga hjá fyrirtækinu.
5. „Hvort í gildi hafi verið erindisbréf fyrir persónuverndarfulltrúa fyrirtækisins frá 15. júlí 2018 – 9. september 2020.“
Fyrsta erindisbréf persónuverndarfulltrúa Íslenskrar erfðagreiningar hafi verið gefið út í september 2020.
6. „Hvort settar hafi verið verklagsreglur annars vegar um hvernig bregðast hefði átt við hagsmunaárekstrum sem upp kynnu að koma vegna þeirra aðila sem taldir eru upp í spurningum nr. 1. – 2. og hins vegar um hvernig brugðist skuli við hagsmunaárekstrum sem upp kunna að koma vegna þess aðila sem tilgreindur er í spurningu nr. 3.“
Slíkar verklagsreglur hafi ekki verið settar þar sem ekki sé talin þörf á þeim með hliðsjón af þeirri vinnslu persónuupplýsinga sem fram fer hjá fyrirtækinu.
II.
Álit Persónuverndar
1.
Lagaumhverfi persónuverndarfulltrúa
Ábyrgðaraðili og vinnsluaðili skulu tilnefna persónuverndarfulltrúa þegar meginstarfsemi viðkomandi aðila felst í umfangsmikilli vinnslu viðkvæmra persónuupplýsinga, sbr. 3. tölul. 1. mgr. 35. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. c-lið 1. mgr. 37. gr. reglugerðar (ESB) 2016/679. Skal persónuverndarfulltrúi tilnefndur á grundvelli faglegrar hæfni sinnar, einkum sérþekkingar á lögum og lagaframkvæmd á sviði persónuverndar og getu sinnar til að vinna þau verkefni sem í 39. gr. reglugerðarinnar greinir, sbr. 5. mgr. 37. gr. reglugerðarinnar.
Um stöðu persónuverndarfulltrúa segir meðal annars í 38. gr. reglugerðarinnar að tryggt skuli að þeir komi með viðeigandi hætti og tímanlega að öllum málum sem tengjast vernd persónuupplýsinga (1. mgr.), að þeir skuli hafa nauðsynleg úrræði til að inna verkefni sín af hendi, auk aðgangs að persónuupplýsingum og vinnsluaðgerðum (2. mgr.), að þeir fái engin fyrirmæli varðandi framkvæmd verkefna sinna og heyri beint undir æðsta stjórnunarstig hlutaðeigandi aðila (3. mgr.), og að önnur verkefni og skyldustörf sem þeir sinna leiði ekki til hagsmunaárekstra (6. mgr.).
Um verkefni persónuverndarfulltrúa segir í 1. mgr. 39. gr. reglugerðarinnar að þeir skuli að minnsta kosti sinna meðal annars því að upplýsa hlutaðeigandi aðila og starfsmenn þeirra um skyldur þeirra samkvæmt reglugerðinni og öðrum ákvæðum um persónuvernd og veita þeim ráðgjöf þar að lútandi (a-liður), að fylgjast með því að farið sé að ákvæðum reglugerðarinnar og öðrum ákvæðum um persónuvernd og stefnum um vernd persónuupplýsinga (b-liður), að vinna með eftirlitsyfirvaldinu, (d-liður), og að vera tengiliður fyrir eftirlitsyfirvaldið varðandi mál sem tengjast vinnslu og leita ráða, eftir því sem við á, varðandi önnur málefni (e-liður).
Í leiðbeiningum Evrópska persónuverndarráðsins um persónuverndarfulltrúa, eins og þeim var breytt í apríl 2017, segir um stöðu persónuverndarfulltrúa að með því að tryggja aðkomu þeirra að málum strax í upphafi, samkvæmt 1. mgr. 38. gr. reglugerðarinnar, sé stuðlað að hlítni við reglugerðina og að innbyggðri og sjálfgefinni persónuvernd. Því ætti að til dæmis að bjóða persónuverndarfulltrúum að taka reglulega þátt í fundum yfir- og millistjórnenda, hafa þá viðstadda þegar teknar eru ákvarðanir sem geta leitt til eða haft áhrif á vinnslu persónuupplýsinga, koma viðeigandi upplýsingum tímanlega til þeirra, veita ráðgjöf þeirra vægi og skjalfesta ástæður þess ef ekki er farið að henni.
Um heimildir og aðstöðu persónuverndarfulltrúa segir í leiðbeiningunum að meðal þess sem þeir skulu að lágmarki hafa til að geta sinnt starfi sínu, samkvæmt 2. mgr. 38. gr. reglugerðarinnar, sé nægur tími og aðgangur að stoðþjónustu innan starfseminnar þannig að þeir fái nauðsynlegan stuðning, aðföng og upplýsingar frá öðrum þjónustusviðum.
Í leiðbeiningunum segir jafnframt að í 3. mgr. 38. gr. reglugerðarinnar felist að ekki megi gefa persónuverndarfulltrúum fyrirmæli um hvaða niðurstaða sé æskileg í þeim málum sem þeir séu með til meðferðar á grundvelli 39. gr. reglugerðarinnar, hvernig rannsaka beri kvartanir eða hvort þeir eigi að ráðfæra sig við eftirlitsyfirvaldið. Þá megi ekki veita þeim fyrirmæli um hvernig meta eigi tiltekin álitaefni með hliðsjón af persónuverndarlöggjöfinni, svo sem hvernig túlka beri löggjöfina. Í þessu felist þó ekki að persónuverndarfulltrúar hafi ákvörðunarvald umfram það sem mælt er fyrir í 39. gr. reglugerðarinnar og séu ábyrgðar- og vinnsluaðilarnir ábyrgir fyrir því að vinnsla persónuupplýsinga samrýmist reglugerðinni.
Samkvæmt 3. mgr. 38. gr. reglugerðarinnar sé enn fremur leitast við að tryggja sjálfstæði og vernd persónuverndarfulltrúa með því að mæla fyrir um að ekki megi víkja þeim úr starfi eða refsa þeim fyrir framkvæmd verkefna þeirra. Í þessu sambandi þurfi að huga að því að refsingar geti verið með ýmsu móti, beinar og óbeinar, og því geti einnig fallið undir ákvæðið þau tilvik þegar eingöngu sé um að ræða hótun eða ógn um einhvers konar refsingu. Því meiri tryggingar sem persónuverndarfulltrúar hafi gegn óréttmætri uppsögn því líklegra sé að þeir geti starfað sjálfstætt.
Hvað hagsmunaárekstra varðar segir í leiðbeiningunum að krafa 6. mgr. 38. gr. um að önnur verkefni og starfsskyldur persónuverndarfulltrúa leiði ekki til hagsmunaárekstra sé nátengd kröfunni um sjálfstæði persónuverndarfulltrúanna. Almenna reglan sé sú að hagsmunaárekstrar, samkvæmt ákvæðinu, geti orðið ef persónuverndarfulltrúar eru í æðsta stjórnlagi fyrirtækis (e. senior management), svo sem framkvæmdastjórar, rekstrarstjórar, fjármálastjórar o.s.frv., en það geti einnig átt við í öðrum tilvikum ef störfin fela í sér ákvarðanatöku um tilgang og aðferð við vinnslu persónuupplýsinga. Að auki geti hagsmunaárekstrar orðið ef utanaðkomandi persónuverndarfulltrúar eru beðnir um að koma fram fyrir hönd hlutaðeigandi ábyrgðar- eða vinnsluaðila fyrir dómi í máli sem varðar vinnslu persónuupplýsinga hjá aðilanum.
2.
Skylda til að tilnefna persónuverndarfulltrúa
Á vefsíðu Íslenskrar erfðagreiningar kemur fram að tilgangur rannsókna fyrirtækisins sé að leita skýringa á mannlegu eðli og orsökum sjúkdóma með rannsóknum á erfðaefni Íslendinga. Samkvæmt d-lið 3. tölul. 3. gr. laga nr. 90/2018, sbr. 1. mgr. 9. gr. reglugerðar (ESB) 2016/679 eru erfðafræðilegar upplýsingar viðkvæmar persónuupplýsingar, en nánar tiltekið er átt við persónuupplýsingar sem varða arfgenga eða áunna erfðaeiginleika einstaklings sem gefa einkvæmar upplýsingar um lífeðlisfræði eða heilbrigði einstaklingsins og fást einkum með greiningu á líffræðilegu sýni frá viðkomandi einstaklingi.
Að því virtu er ljóst að Íslensk erfðagreining skal tilnefna persónuverndarfulltrúa sbr. 3. tölul. 1. mgr. 35. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 37. gr. reglugerðar (ESB) 2016/679.
3.
Viðeigandi og tímanleg aðkoma að málum
Ef fyrst er litið til aðkomu persónuverndarfulltrúa Íslenskrar erfðagreiningar að málum sem tengjast vernd persónuupplýsinga segir meðal annars í svörum fyrirtækisins að frá gildistöku laga nr. 90/2018 hafi verið starfandi Persónuverndarnefnd fyrirtækisins sem, ásamt persónuverndarfulltrúa, sitji í öryggisstjóri upplýsingaöryggis og gæðastjóri. Nefndin fundi a.m.k. mánaðarlega og með henni sé tryggt að engin vinnsla persónuupplýsinga eigi sér stað fyrr en nefndin hafi yfirfarið og framkvæmt nauðsynlegt mat á fyrirhugaðri vinnslu. Persónuverndarfulltrúi fyrirtækisins komi þannig með viðeigandi hætti og tímanlega að öllum málum sem tengjast vernd persónuupplýsinga.
Að mati Persónuverndar gefa framangreindar upplýsingar Íslenskrar erfðagreiningar ekki tilefni til athugasemda við aðkomu þeirra persónuverndarfulltrúa sem tilnefndir hafa verið hjá fyrirtækinu að málum sem tengjast vernd persónuupplýsinga, með vísan til 1. mgr. 38. gr. reglugerðar (ESB), sbr. 3. mgr. 35. gr. laga nr. 90/2018.
4.
Úrræði – aðgangur að persónuupplýsingum og vinnsluaðgerðum
Í erindisbréfi persónuverndarfulltrúa, dags. 9. september 2020, segir að persónuverndarfulltrúi fyrirtækisins hafi heimild til að krefjast án tafar allra nauðsynlegra upplýsinga um vinnslu eða fyrirhugaðar vinnslu persónuupplýsinga, hjá öllum starfsmönnum og deildum fyrirtækisins. Hann geti mælt með því við yfirstjórn fyrirtækisins að gerðar verði úttektir á öryggi einstakra vinnsluaðgerða eða vinnsluaðgerða fyrirtækisins í heild sinni.
Er það mat Persónuverndar að með framangreindu erindisbréfi hafi persónuverndarfulltrúum Íslenskrar erfðagreiningar verið látin í té nauðsynleg úrræði til að inna verkefni sín af hendi, auk aðgangs að persónuupplýsingum og vinnsluaðgerðum, sbr. 2. mgr. 38. gr. reglugerðarinnar, sbr. 3. mgr. 35. gr. laga nr. 90/2018. Þá eru ekki gerðar athugasemdir við úrræði persónuverndarfulltrúa fram að gildistöku erindisbréfsins enda hafi þá engin vinnsla persónuupplýsinga hafist fyrr en Persónuverndarnefnd fyrirtækisins hafi fundað með aðkomu persónuverndarfulltrúa.
5.
Sjálfstæði í störfum og mögulegir hagsmunaárekstrar
Í svörum Íslenskrar erfðagreiningar segir að persónuverndarfulltrúar fyrirtækisins hafi aldrei átt frumkvæði eða aðkomu að vinnslu persónuupplýsinga hjá fyrirtækinu. Það séu ávallt vísindamenn hjá fyrirtækinu sem eigi frumkvæði að rannsóknum sem síðar feli í sér vinnslu persónuupplýsinga. Þar sem starfsemi og skipulag fyrirtækisins sé með þessum hætti hafi engir hagsmunaárekstrar komið upp.
Verkefnum persónuverndarfulltrúa er lýst í 39. gr. reglugerðar (ESB) 2016/679, eins og að framan greinir. Samkvæmt 6. mgr. 38. gr. reglugerðarinnar skal Íslensk erfðagreining tryggja að önnur verkefni og skyldustörf sem fela á persónuverndarfulltrúanum leiði ekki til hagsmunaárekstra. Í því felst að ef upp koma hagsmunaárekstrar vegna annarra verkefna og skyldustarfa ber að færa þau annað en sjá til þess að persónuverndarfulltrúinn geti áfram sinnt þeim verkefnum sem honum ber að sinna samkvæmt 39. gr. reglugerðarinnar.
Við mat á því hvort hagsmunaárekstrar geti orðið er meðal annars horft til stöðu persónuverndarfulltrúa í stjórnlagi fyrirtækis. Eins og að framan greinir, segir í leiðbeiningum Evrópska persónuverndarráðsins um persónuverndarfulltrúa að almenna reglan sé sú að hagsmunaárekstrar, samkvæmt 6. mgr. 38. gr. reglugerðarinnar, geti orðið ef persónuverndarfulltrúar eru í æðsta stjórnlagi fyrirtækis (e. senior management), svo sem framkvæmdastjórar, rekstrarstjórar, fjármálastjórar o.s.frv. Þannig er framangreind krafa 6. mgr. 38. gr. reglugerðarinnar nátengd kröfunni um sjálfstæði persónuverndafulltrúa.
Í svörum Íslenskrar erfðagreiningar segir að þegar persónuverndarfulltrúi fyrirtækisins hafi einnig gegnt stöðu aðstoðarforstjóra fyrirtækisins hafi hún aðstoðað forstjóra við dagleg störf hans. Þegar persónuverndarfulltrúi fyrirtækisins hafi einnig gegnt stöðu yfirlögfræðings fyrirtækisins hafi hann meðal annars séð um lögfræðilega yfirferð samninga sem fyrirtækið hafi gert við þriðja aðila og hafi átt í samskiptum við lögmenn og lögfræðilega ráðgjafa fyrirtækisins, þ.m.t. vegna dómsmála. Hann hafi einnig verið einn af þremur einstaklingum í stjórn fyrirtækisins og ritari stjórnar. Þá kemur fram í 14. gr. starfsreglna Lífsýnasafns Íslenskrar erfðagreiningar, sem gildi tóku 10. nóvember 2012, að stjórn safnsins skuli skipuð þremur mönnum sem kosnir séu af stjórn fyrirtækisins. Í niðurlagi reglnanna segir að yfirlögfræðingur fyrirtækisins sé í stjórn safnsins ásamt forstjóra þess og forsvarsmanni fyrirtækisins gagnvart Persónuvernd og Vísindasiðanefnd.
Hvað varðar núverandi persónuverndarfulltrúa fyrirtækisins er hún einnig staðgengill yfirlögfræðings.
Með hliðsjón af eðli framangreindra verkefna og stöðu þeirra persónuverndarfulltrúa sem tilnefndir hafa verið hjá Íslenskri erfðagreiningu í æðsta stjórnlagi fyrirtækisins er að mati Persónuverndar ekki unnt að útiloka að hagsmunaárekstrar hefðu getað átt sér stað. Það sama gildir um stöðu núverandi persónuverndarfulltrúa að því leyti sem hún þarf að sinna störfum yfirlögfræðings.
Að mati Persónuverndar er framangreint fyrirkomulag ósamrýmanlegt hlutverki og verkefnum persónuverndarfulltrúa samkvæmt 39. gr. reglugerðarinnar og til þess fallið að valda hagsmunaárekstrum samkvæmt 6. mgr. 38. gr. hennar.
Á hinn bóginn gerir Persónuvernd ekki athugasemdir við að persónuverndarfulltrúi fyrirtækisins gegni einnig stöðu regluvarðar að því leyti sem hlutverk regluvarðar er að framfylgja siða- og hátternisreglum fyrirtækisins og kynna efni reglnanna fyrir starfsmönnum þess.
6.
Samandregin niðurstaða og leiðbeiningar
Af þeim upplýsingum sem Íslensk erfðagreining hefur látið Persónuvernd í té er það niðurstaða stofnunarinnar að ekki eru gerðar athugasemdir við aðkomu þeirra persónuverndarfulltrúa sem tilnefndir hafa verið hjá fyrirtækinu að málum sem tengjast vernd persónuupplýsinga, sbr. 1. mgr. 38. gr. reglugerðar (ESB), sbr. 3. mgr. 35. gr. laga nr. 90/2018.
Jafnframt var það niðurstaða Persónuverndar að ekki eru gerðar athugasemdir við þau úrræði sem persónuverndarfulltrúum fyrirtækisins hafi verið látin í té til að inna verkefni sín af hendi, sbr. 2. mgr. 38. gr. reglugerðarinnar, sbr. 3. mgr. 35. gr. laganna.
Þá er það niðurstaða Persónuverndar að Íslensk erfðagreining hafi ekki tryggt að önnur verkefni og skyldustörf persónuverndarfulltrúa fyrirtækisins geti ekki leitt til hagsmunaárekstra, sbr. 6. mgr. 38. gr. reglugerðarinnar, sbr. 3. mgr. 35. gr. laganna.
Með vísan til þess þess sem að framan greinir leiðbeinir Persónuvernd Íslenskri erfðagreiningu um að tryggja að núverandi persónuverndarfulltrúi fyrirtækisins sinni ekki öðrum verkefnum og skyldustörfum sem geta leitt til hagsmunaárekstra.
Eins og rakið er í upphafi ákvörðunar þessa bárust Persónuvernd svör og umbeðin gögn Íslenskrar erfðagreiningar eftir að hafa ítrekað erindi sitt í þrígang. Að mati Persónuverndar er sá dráttur sem varð á svörum og afhendingu gagna Íslenskrar erfðagreiningar ámælisverður í ljósi eftirlitshlutverks stofnunarinnar. Þrátt fyrir það hefur mál þetta ekki verið sett í sektarfarveg þar sem svör fyrirtækisins og umbeðin gögn bárust Persónuvernd að lokum, auk þess sem tekið er tillit til aðstæðna vegna þess faraldurs sem geysað hefur, sbr. 1. mgr. 47. gr. laga nr. 90/2018.
Persónuvernd, 29. júní 2022
Valborg Steingrímsdóttir Gyða Ragnheiður Bergsdóttir