Ákvörðun um stöðu persónuverndarfulltrúa Landspítala
Mál nr. 2020061952
Persónuvernd hefur lokið úttekt á stöðu persónuverndarfulltrúa Landspítala. Niðurstaða úttektarinnar var að ekki hefði verið tryggt að persónuverndarfulltrúinn kæmi með viðeigandi og tímanlegum hætti að öllum málum sem tengdust persónuvernd.
Á hinn bóginn voru ekki gerðar athugasemdir við þau úrræði sem persónuverndarfulltrúanum hefðu verið látin í té til að inna verkefni sín af hendi eða að hann heyrði undir lögfræðideild spítalans, að því gefnu að gætt væri að því að hann fengi ekki fyrirmæli um framkvæmd verkefna sinna og hefði aðgang að æðsta stjórnunarstigi spítalans.
Ákvörðun
vegna úttektar á stöðu persónuverndarfulltrúa Landspítalans, í máli nr. 2020061952:
I.
Málsmeðferð
1.
Upphaf máls – Ósk um skýringar og gögn
Með bréfi, dags. 1. september 2020, tilkynnti Persónuvernd Landspítalanum að stofnunin hefði ákveðið að gera úttekt á stöðu persónuverndarfulltrúa spítalans, þ.e. til að kanna hvort uppfylltar væru þær kröfur sem gerðar eru til stöðu persónuverndarfulltrúa í lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679, sbr. 1. og 3. mgr. 39. gr. og 2. tölul. 1. mgr. 41. gr. laganna og b-lið 1. mgr. 58. gr. reglugerðarinnar. Í bréfi Persónuverndar var tekið fram að ákvörðun um úttekt á stöðu persónuverndarfulltrúa Landspítala fæli ekki í sér að Persónuvernd teldi að ekki væri farið að kröfum laganna heldur væri markmiðið að sannreyna að staða persónuverndarfulltrúa hjá spítalanum samrýmdist persónuverndarlöggjöfinni. Gert væri ráð fyrir að úttektir af þessu tagi færu fram í góðri samvinnu Persónuverndar og viðkomandi aðila. Með vísan til framangreinds óskaði Persónuvernd upplýsinga frá Landspítala um hvort og þá hvernig staða persónuverndarfulltrúa spítalans samrýmdist tilteknum ákvæðum 38. gr. reglugerðarinnar. Þá óskaði Persónuvernd eftir því að spítalinn legði fram viðeigandi gögn sem sýndu fram á reglufylgni hvað framangreint varðaði.
Persónuvernd bárust ekki svör frá Landspítala innan tilskilins frests og var erindi stofnunarinnar því ítrekað með bréfi, dags. 7. október 2020.
2.
Svör Landspítala
Hinn 21. október 2020, barst Persónuvernd svar Landspítala, dags. s.d. Hjálgt fylgdi starfslýsing persónufulltrúa Landspítalans frá nóvember 2018, viðbragðsáætlun heilbrigðis- og upplýsingatæknideildar spítalans útg. 20. febrúar 2020, sem og stefna hans um hugbúnaðarlausnir í skýjaþjónustu útg. 8. september s.á.
Í svörum Landspítalans segir að settur hafi verið á fót stýrihópur um persónuvernd árið 2018 og í honum hafi m.a. verið öryggisstjóri heilbrigðis- og upplýsingatæknideildar, framkvæmdastjóri lækninga, lögfræðingur og deildarstjóri á mannauðssviði. Hópurinn hafi spilað mikilvægt hlutverk í að stuðla að viðeigandi og tímanlegri aðkomu persónuverndarfulltrúans að stórum hluta mála sem varða vernd persónuupplýsinga á spítalanum. Heilbrigðis- og upplýsingatæknideild spítalans sé að endurskoða alla verkferla og gæðaskjöl til að tryggja viðeigandi og tímanlega aðkomu persónuverndarfulltrúans að öllum málum sem tengjast vernd persónuupplýsinga. Á heilbrigðis- og upplýsingatæknideild spítalans sé starfsmaður sem hafi m.a. það hlutverk að huga að persónuverndarsjónarmiðum í verkefnum sem verið sé að vinna á deildinni. Sá starfsmaður veiti leiðbeiningar og beini því til annarra starfsmanna að hafa samband við persónuverndarfulltrúa sé talin þörf á því. Verkefnastofa spítalans sé með fundi þar sem farið sé yfir umbótaverkefni hverju sinni og sé persónuverndarfulltrúa boðið að mæta á þá fundi. Í viðbragðsáætlun deildarinnar kemur fram að eigi upplýsingaleki eða óleyfileg birting/dreifing viðkvæmra persónuupplýsinga sér stað skuli starfsmenn hennar tryggja að persónuverndarfulltrúinn fái upplýsingar um atvikið og sjái hann um að tilkynna um mögulegan öryggisbrest til Persónuverndar.
Um nauðsynlegar heimildir persónuverndarfulltrúans til að inna verkefni sín af hendi og aðgang að persónuupplýsingum og vinnsluaðgerðum segir í svörum Landspítala að hann hafi greiðan aðgang að stoðþjónustu og starfi náið með lögfræðideild spítalans. Hann njóti aðstoðar starfsmanna heilbrigðis- og upplýsingatæknideildar, og starfi mikið með starfsmanni deildarinnar sem sé með sérþekkingu á upplýsingatækni og persónuvernd. Persónuverndarfulltrúanum sé heimilt að sækja þjónustu til utanaðkomandi aðila. Landspítalinn tryggi að nægjanlegt fjármagn sé til að persónuverndarfulltrúinn geti sótt námskeið og ráðstefnur til að viðhalda sérþekkingu sinni.
Þá segir í svörum Landspítalans að persónuverndarfulltrúi hans sé sjálfstæður í störfum sínum en tilheyri lögfræðideild spítalans. Deildarstjóri lögfræðideildar sé yfirmaður persónuverndarfulltrúans en hann geti leitað beint til forstjóra. Í starfslýsingu persónuverndarfulltrúans kemur fram að verkefni hans séu m.a. ráðgjöf um vinnslu persónuupplýsinga, eftirlit með framkvæmd löggjafar um persónuvernd, miðlun upplýsinga með fræðslu, sem og önnur verkefni samkvæmt ákvörðun deildar- eða forstjóra
3.
Frekari skýringar Landspítala
Með bréfi Persónuverndar til Landspítalans, dags. 14. mars 2022, óskaði stofnunin eftir frekari skýringum varðandi einstök atriði og svaraði spítalinn með bréfi, dags. 28. s.m. Hjálagt fylgdu gæðaskjöl með verklagsreglum spítalans og er efni þeirra rakið í svari við spurningu nr. 2. Svör spítalans við spurningum Persónuverndar voru eftirfarandi.
1. „Með hvaða hætti aðilar í stýrihóp um persónuvernd hafi stuðlað að því að persónuverndarfulltrúi hafi haft viðeigandi og tímanlega aðkomu að málum sem varða vernd persónuupplýsinga.“
Með því að boða persónuverndarfulltrúann á alla fundi stýrihópsins. Upphaflegt hlutverk hópsins hafi eingöngu verið að undirbúa spítalann fyrir lögleiðingu laga nr. 90/2018. Við upphaf Covid-19-faraldursins hafi umræður um endurskoðun á hlutverki hópsins hafist en hann hafi ekki fundað frá því fyrir faraldurinn. Þá segir að hópurinn hafi almennt frumkvæði að því að persónuverndarfulltrúinn sé kallaður til vegna mála sem varða vernd persónuupplýsinga, svo sem með því að boða hann á fund eða óska eftir ráðgjöf hans með tölvupósti.
2. „Hvort heilbrigðis- og upplýsingatæknideild hafi lokið við að uppfæra verkferla til að tryggja viðeigandi og tímanlega aðkomu persónuverndarfulltrúa að málum sem varða vernd persónuupplýsinga. Ef svo, hvenær nýir verkferlar hafi tekið gildi.“
Gefin hafi verið út verklagsregla um mat á áhrifum á persónuvernd 30. nóvember 2020, og hafi hún verið endurútgefin án breytinga 25. nóvember 2021. Í verklagsreglunni kemur m.a. fram að starfsmenn Landspítalans geti leitað til persónuverndarfulltrúa hans sé óvissa um hvort framkvæma skuli mat á áhrifum á persónuvernd og skylt sé að veita honum tækifæri til að gera athugasemdir við mat áður en niðurstöður þess séu samþykktar.
Þá hafi 21. desember 2020 verið gefin út verklagsregla um vinnslusamninga um vinnslu persónuupplýsinga. Í verklagsreglunni kemur m.a. fram að leita skuli ráðgjafar hjá persónuverndarfulltrúa Landspítalans sé óljóst hvort gera skuli vinnslusamninga og að hann veiti ráðgjöf við gerð þeirra.
Ennfremur segir að 22. desember 2020 hafi verið uppfærð verklagsregla sem lýsir því hvernig öryggi sé tryggt við meðhöndlun persónugreinanlegra gagna utan venjulegs aðgengis þeirra í öllum hugbúnaðarkerfum spítalans. Verklagsreglan hafi verið endurútgefin án breytinga 20. maí 2021. Í verklagsreglunni kemur m.a. fram að komi upp mál þar sem vafi leikur á um að kerfi uppfylli persónuverndarlög skuli persónuverndarfulltrúinn upplýstur um það og málið skráð í beiðnakerfi heilbrigðis- og upplýsingatæknideildar til frekari úrvinnslu.
Loks segir að allar verklagsreglur upplýsinga- og tæknideildar spítalans séu rýndar reglulega og nýjar reglur innleiddar eftir þörfum.
3. „Hvort persónuverndarfulltrúi hafi aðgang að persónuupplýsingum og vinnsluaðgerðum.“
Persónufulltrúinn hafi aðgang að vinnsluskrám Landspítalans en hann hafi almennt ekki aðgang að persónuupplýsingum eða vinnsluaðgerðum. Honum sé þó gert kleift að skoða vinnsluaðgerðir og gögn sem innihalda persónuupplýsingar ef þörf krefur við úrvinnslu einstakra mála
4. „Hvort, og þá hvaða, önnur verkefni en talin eru upp í starfslýsingu persónuverndarfulltrúa forstjóri og/eða deildarstjóri hafi falið honum.“
Persónuverndarfulltrúa Landspítalans hafi ekki verið falin önnur verkefni en þau sem fram koma í starfslýsingu hans.
II.
Álit Persónuverndar
1.
Lagaumhverfi persónuverndarfulltrúa
Ábyrgðaraðili og vinnsluaðili skulu tilnefna persónuverndarfulltrúa þegar meginstarfsemi viðkomandi aðila felst í umfangsmikilli vinnslu viðkvæmra persónuupplýsinga, sbr. 3. tölul. 1. mgr. 35. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. c-lið 1. mgr. 37. gr. reglugerðar (ESB) 2016/679. Skal persónuverndarfulltrúi tilnefndur á grundvelli faglegrar hæfni sinnar, einkum sérþekkingar á lögum og lagaframkvæmd á sviði persónuverndar og getu sinnar til að vinna þau verkefni sem í 39. gr. reglugerðarinnar greinir, sbr. 5. mgr. 37. gr. reglugerðarinnar.
Um stöðu persónuverndarfulltrúa segir m.a. í 38. gr. reglugerðarinnar að tryggt skuli að þeir komi með viðeigandi hætti og tímanlega að öllum málum sem tengjast vernd persónuupplýsinga (1. mgr.), að þeir skuli hafa nauðsynleg úrræði til að inna verkefni sín af hendi, auk aðgangs að persónuupplýsingum og vinnsluaðgerðum (2. mgr.), að þeir fái engin fyrirmæli varðandi framkvæmd verkefna sinna og heyri beint undir æðsta stjórnunarstig hlutaðeigandi aðila (3. mgr.), og að önnur verkefni og skyldustörf sem þeir sinna leiði ekki til hagsmunaárekstra (6. mgr.).
Um verkefni persónuverndarfulltrúa segir í 1. mgr. 39. gr. reglugerðarinnar að þeir skuli að minnsta kosti sinna m.a. því að upplýsa hlutaðeigandi aðila og starfsmenn þeirra um skyldur þeirra samkvæmt reglugerðinni og öðrum ákvæðum um persónuvernd og veita þeim ráðgjöf þar að lútandi (a-liður), að fylgjast með því að farið sé að ákvæðum reglugerðarinnar og öðrum ákvæðum um persónuvernd og stefnum um vernd persónuupplýsinga (b-liður), að vinna með eftirlitsyfirvaldinu, (d-liður), og að vera tengiliður fyrir eftirlitsyfirvaldið varðandi mál sem tengjast vinnslu og leita ráða, eftir því sem við á, varðandi önnur málefni (e-liður).
Í leiðbeiningum Evrópska persónuverndarráðsins um persónuverndarfulltrúa, eins og þeim var breytt í apríl 2017, segir um stöðu persónuverndarfulltrúa að með því að tryggja aðkomu þeirra að málum strax í upphafi, samkvæmt 1. mgr. 38. gr. reglugerðarinnar, sé stuðlað að hlítni við reglugerðina og að innbyggðri og sjálfgefinni persónuvernd. Því ætti til dæmis að bjóða persónuverndarfulltrúum að taka reglulega þátt í fundum yfir- og millistjórnenda, hafa þá viðstadda þegar teknar eru ákvarðanir sem geta leitt til eða haft áhrif á vinnslu persónuupplýsinga, koma viðeigandi upplýsingum tímanlega til þeirra, veita ráðgjöf þeirra vægi og skjalfesta ástæður þess ef ekki er farið að henni.
Um heimildir og aðstöðu persónuverndarfulltrúa segir í leiðbeiningunum að meðal þess sem þeir skulu að lágmarki hafa til að geta sinnt starfi sínu, samkvæmt 2. mgr. 38. gr. reglugerðarinnar, sé nægur tími og aðgangur að stoðþjónustu innan starfseminnar þannig að þeir fái nauðsynlegan stuðning, aðföng og upplýsingar frá öðrum þjónustusviðum.
Í leiðbeiningunum segir jafnframt að í 3. mgr. 38. gr. reglugerðarinnar felist að ekki megi gefa persónuverndarfulltrúum fyrirmæli um hvaða niðurstaða sé æskileg í þeim málum sem þeir séu með til meðferðar á grundvelli 39. gr. reglugerðarinnar, hvernig rannsaka beri kvartanir eða hvort þeir eigi að ráðfæra sig við eftirlitsyfirvaldið. Þá megi ekki veita þeim fyrirmæli um hvernig meta eigi tiltekin álitaefni með hliðsjón af persónuverndarlöggjöfinni, svo sem hvernig túlka beri löggjöfina. Í þessu felist þó ekki að persónuverndarfulltrúar hafi ákvörðunarvald umfram það sem mælt er fyrir í 39. gr. reglugerðarinnar og séu ábyrgðar- og vinnsluaðilarnir ábyrgir fyrir því að vinnsla persónuupplýsinga samrýmist reglugerðinni.
Samkvæmt 3. mgr. 38. gr. reglugerðarinnar sé enn fremur leitast við að tryggja sjálfstæði og vernd persónuverndarfulltrúa með því að mæla fyrir um að ekki megi víkja þeim úr starfi eða refsa þeim fyrir framkvæmd verkefna þeirra. Í þessu sambandi þurfi að huga að því að refsingar geti verið með ýmsu móti, beinar og óbeinar, og því geti einnig fallið undir ákvæðið þau tilvik þegar eingöngu sé um að ræða hótun eða ógn um einhvers konar refsingu. Því meiri tryggingar sem persónuverndarfulltrúar hafi gegn óréttmætri uppsögn því líklegra sé að þeir geti starfað sjálfstætt.
Hvað hagsmunaárekstra varðar segir í leiðbeiningunum að krafa 6. mgr. 38. gr. um að önnur verkefni og starfsskyldur persónuverndarfulltrúa leiði ekki til hagsmunaárekstra sé nátengd kröfunni um sjálfstæði persónuverndarfulltrúanna. Almenna reglan sé sú að hagsmunaárekstrar, samkvæmt ákvæðinu, geti orðið ef persónuverndarfulltrúar eru í æðsta stjórnlagi fyrirtækis (e. senior management), svo sem framkvæmdastjórar, rekstrarstjórar, fjármálastjórar o.s.frv., en það geti einnig átt við í öðrum tilvikum ef störfin fela í sér ákvarðanatöku um tilgang og aðferð við vinnslu persónuupplýsinga. Að auki geti hagsmunaárekstrar orðið ef utanaðkomandi persónuverndarfulltrúar eru beðnir um að koma fram fyrir hönd hlutaðeigandi ábyrgðar- eða vinnsluaðila fyrir dómi í máli sem varðar vinnslu persónuupplýsinga hjá aðilanum.
2.
Skylda til að tilnefna persónuverndarfulltrúa
Samkvæmt a-lið 7. gr. laga nr. 40/2007 um heilbrigðisþjónustu er hlutverk Landspítala m.a. að vera aðalsjúkrahús landsins, stunda vísindarannsóknir á heilbrigðissviði og starfrækja blóðbanka. Samkvæmt b-lið 3. tölul. 3. gr. laga nr. 90/2018, sbr. 1. mgr. 9. gr. reglugerðar (ESB) 2016/679 eru heilsufarsupplýsingar viðkvæmar persónuupplýsingar, en nánar tiltekið er átt við persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og upplýsingar um lyfja-, áfengis- og vímuefnanotkun.
Að því virtu er ljóst að Landspítalinn skal tilnefna persónuverndarfulltrúa sbr. 3. tölul. 1. mgr. 35. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 37. gr. reglugerðar (ESB) 2016/679.
3.
Viðeigandi og tímanleg aðkoma að málum
Í svörum Landspítalans segir m.a. að stýrihópur um persónuvernd spili mikilvægt hlutverk í að stuðla að viðeigandi og tímanlegri aðkomu persónuverndarfulltrúans að stórum hluta mála sem varða vernd persónuupplýsinga á spítalanum með því að boða hann á alla fundi hópsins. Við upphaf Covid-19-faraldursins hafi umræður um endurskoðun á hlutverki hópsins hafist en hann hafi ekki fundað frá því fyrir faraldurinn. Jafnframt stuðli verklagsreglur heilbrigðis- og upplýsingadeildar spítalans að því að aðkoma persónuverndarfulltrúa að málum sem varða vernd persónuupplýsinga uppfylli skilyrði 1. mgr. 38. gr. reglugerðarinnar.
Samkvæmt 1. mgr. 38. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 35. gr. laga nr. 90/2018, ber Landspítalanum að tryggja að persónuverndarfulltrúi hans komi með viðeigandi hætti og tímanlega að öllum málum sem tengjast vernd persónuupplýsinga. Í leiðbeiningum Evrópska persónuverndarráðsins segir að unnt sé að stuðla að því með því að bjóða persónuverndarfulltrúum að taka reglulega þátt í fundum yfir- og millistjórnenda, sem og því að koma viðeigandi upplýsingum tímanlega til þeirra.
Með hliðsjón af skýringum Landspítala telur Persónuvernd verða að líta til þess að stýrihópur spítalans um persónuvernd, sem persónuverndarfulltrúi er boðaður á og í sitja yfir- og millistjórnendur spítalans, hafði ekki fundað í rúm tvö ár þegar svör Landspítalans bárust. Þó að svo hefði verið, er að mati Persónuverndar ekki hægt að ganga út frá því að þátttaka persónuverndarfulltrúans í stýrihóp spítalans hefði tryggt viðeigandi og tímanlega aðkomu hans að öllum málum sem varða vernd persónuupplýsinga á spítalanum, enda stóð til að endurskoða hlutverk hópsins við upphaf Covid-19-faraldursins. Þá voru verklagsreglur heilbrigðis- og upplýsingatæknideildar spítalans gefnar út frá febrúar til desember 2020, en var þá liðið a.m.k. eitt og hálft ár frá gildistöku laga nr. 90/2018.
Með vísan til framangreinds er það mat Persónuverndar að ekki sé hægt að ganga út frá því að aðkoma persónuverndarfulltrúa spítalans að málum sem varða vernd persónuupplýsinga hafi, á þessum tíma, verið í samræmi við ákvæði 1. mgr. 38. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 35. gr. laga nr. 90/2018.
4.
Úrræði – aðgangur að persónuupplýsingum og vinnsluaðgerðum
Um úrræði persónuverndarfulltrúa Landspítalans til að inna verkefni sín af hendi segir m.a. í svörum spítalans að persónuverndarfulltrúinn hafi greiðan aðgang að stoðþjónustu. Hann njóti aðstoðar starfsmanna heilbrigðis- og upplýsingatæknideildar og starfi mikið með starfsmanni deildarinnar sem sé með sérþekkingu á upplýsingatækni og persónuvernd. Einnig starfi hann náið með lögfræðideild spítalans og þá sé honum heimilt að sækja þjónustu til utanaðkomandi aðila. Loks segir að persónuverndarfulltrúinn hafi almennt ekki aðgang að persónuupplýsingum eða vinnsluaðgerðum, en sé gert kleift að skoða vinnsluaðgerðir og gögn sem innihalda persónuupplýsingar ef þörf krefji við úrvinnslu einstakra mála.
Samkvæmt 2. mgr. 38. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 35. gr. laga nr. 90/2018 skal Landspítali veita persónuverndarfulltrúa hans nauðsynleg úrræði til að inna verkefni sín af hendi, auk aðgangs að persónuupplýsingum og vinnsluaðgerðum. Er það skilningur Persónuverndar að hér sé átt við aðgang persónuverndarfulltrúa eftir því sem þörf krefur til að hann geti sinnt lögbundnu eftirliti sínu með reglufylgni, sbr. b-lið 1. mgr. 39. gr. reglugerðarinnar. Að mati Persónuverndar gefa skýringar Landspítala hvað heimildir persónuverndarfulltrúa varðar ekki tilefni til athugasemda.
5.
Sjálfstæði í störfum og mögulegir hagsmunaárekstrar
Um stöðu persónuverndarfulltrúa og mögulega hagsmunaárekstra segir í svörum Landspítalans að persónuverndarfulltrúi hans sé sjálfstæður í störfum sínum og geti leitað beint til forstjóra. Persónuverndarfulltrúinn tilheyri lögfræðideild spítalans og sé deildarstjóri hennar yfirmaður hans. Í starfslýsingu persónuverndarfulltrúans kemur fram að verkefni hans séu m.a. ráðgjöf um vinnslu persónuupplýsinga, eftirlit með framkvæmd löggjafar um persónuvernd og miðlun upplýsinga með fræðslu, sem og önnur verkefni samkvæmt ákvörðun deildar- eða forstjóra.
Samkvæmt 3. mgr. 38. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 35. gr. laga nr. 90/2018 skulu persónuverndarfulltrúar vera sjálfstæðir í störfum sínum og eiga þeir að heyra beint undir æðsta stjórnunarstig hjá ábyrgðaraðila eða vinnsluaðila. Með hliðsjón af skýringum Landspítala eru ekki gerðar athugasemdir við að persónuverndarfulltrúi spítalans heyri undir lögfræðideild spítalans, að því gefnu að persónuverndarfulltrúinn fái ekki fyrirmæli varðandi framkvæmd þeirra verkefna sem falla undir 39. gr. reglugerðarinnar, þar sem verkefnum persónuverndarfulltrúa er lýst, og að hann hafi aðgang æðsta stjórnunarstigi spítalans.
Verkefni persónuverndarfulltrúa Landspítalans í starfslýsingu hans eru í samræmi við 39. gr. reglugerðar (ESB) 2016/679. Persónuverndarfulltrúa spítalans hafa ekki verið falin önnur verkefni en sem rúmast innan fyrrgreinds reglugerðarákvæðis og kemur því hér ekki til álita hvort mögulegir hagsmunaárekstrar kunni að hafa átt sér stað, sbr. 6. mgr. 38. gr. reglugerðarinnar, sbr. 3. mgr. 35. gr. laga nr. 90/2018.
6.
Samandregin niðurstaða og leiðbeiningar
Af þeim upplýsingum sem Landspítalinn hefur látið Persónuvernd í té er það niðurstaða stofnunarinnar að ekki hafi verið sýnt fram á að aðkoma persónuverndarfulltrúa að öllum málum sem varða vernd persónuupplýsinga á spítalanum hafi verið tryggð frá gildistöku laga nr. 90/2018, í samræmi við ákvæði 1. mgr. 38. gr. reglugerðar (ESB), sbr. 3. mgr. 35. gr. laga nr. 90/2018.
Jafnframt var það niðurstaða Persónuverndar að ekki eru gerðar athugasemdir við þau úrræði sem persónuverndarfulltrúum Landspítala hafa verið látin í té til að inna verkefni sín af hendi, sbr. 2. mgr. 38. gr. reglugerðarinnar, sbr. 3. mgr. 35. gr. laga nr. 90/2018
Loks er það niðurstaða Persónuverndar að ekki eru gerðar athugasemdir við að persónuverndarfulltrúi Landspítalans heyri undir lögfræðideild spítalans, að því gefnu að gætt sé að því að persónuverndarfulltrúinn fái ekki fyrirmæli varðandi framkvæmd þeirra verkefna sem falla undir 39. gr. reglugerðarinnar og að hann hafi aðgang æðsta stjórnunarstigi spítalans, sbr. 3. mgr. 38. gr. reglugerðarinnar, sbr. 3. mgr. 35. gr. laga nr. 90/2018.
Með vísan til þess sem að framan greinir leiðbeinir Persónuvernd Landspítalanum um að tryggja viðeigandi og tímanlega aðkomu persónuverndarfulltrúa að öllum málum sem tengjast vernd persónuupplýsinga á spítalanum, t.d. með því að hefja að nýju fundi í stýrihópi spítalans.
Persónuvernd, 29. júní 2022
Valborg Steingrímsdóttir Gyða Ragnheiður Bergsdóttir