Athugun á vinnslu vegna heilsufarsmælinga hjá SÍBS

Mál nr. 2020010473

8.6.2020

Efni: Vinnsla persónuupplýsinga vegna heilsufarsmælinga á vegum SÍBS

1.

Um vinnsluna

Persónuvernd vísar til fyrri samskipta vegna athugunar stofnunarinnar á vinnslu persónuupplýsinga í tengslum við heilsufarsmælingar hjá Sambandi íslenskra berkla- og brjóstholssjúklinga (SÍBS). Beðist er velvirðingar á þeirri töf sem hefur orðið á meðferð málsins, en hún eru tilkomin vegna mikilla anna hjá stofnuninni.

Hinn 20. nóvember 2019 var haldinn fundur hjá SÍBS, í samræmi við beiðni Persónuverndar þar að lútandi í bréfi hinn 4. s.m. Á fundinum veittu samtökin skýringar í tengslum við umrædda vinnslu persónuupplýsinga. Tekið var fram af hálfu samtakanna að mælingarnar og vinnslan færu fram til að upplýsa einstaklinga um heilsufarslegt ástand sitt í samanburði við aðra og að ekki ræddi um veitingu heilbrigðisþjónustu eins og komið hefði fram af hálfu Landlæknisembættisins í samskiptum SÍBS við það. Því var lýst að um ræddi forvarnir, þ.e. valdeflingu einstaklinga sem veitti þeim aukið færi á að átta sig á eigin heilsu og bregðast við niðurstöðum þar að lútandi með viðeigandi hætti. Þá fæli vinnslan ekki í sér vísindarannsókn á heilbrigðissviði sem fá þyrfti leyfi Vísindasiðanefndar fyrir.

Hvað varðar framkvæmd vinnslunnar og öryggi persónuupplýsinga kom fram að gerður hefði verið vinnslusamningur við vinnsluaðilann Vísar rannsóknir ehf., sem aftur hefði gert slíkan samning við undirvinnsluaðilann Heroku. Væru upplýsingar vistaðar hjá honum í skýi innan EES. Dulkóðun væri beitt í samskiptum við grunninn og hinir skráðu gætu nálgast þar um sig upplýsingar eftir að hafa auðkennt sig á Ísland.is. Einnig kom fram að kennitölur væru dulkóðaðar og að dulkóðunarlykill væri varðveittur hjá Heroku aðskilinn frá öðrum gögnum. Notast væri við lykilinn til að afkóða persónuauðkenni þegar hinir skráðu nálguðust upplýsingar um sig, auk þess sem hann nýttist til að tengja frekari svör frá einstaklingi við fyrri svör. Þá var því lýst að fram færi sjálfvirk afritun á tíu daga fresti.

Með bréfi, dags. 4. febrúar 2020, óskaði Persónuvernd þess að með skriflegum hætti yrði gerð nánari grein fyrir tæknilegri högun vinnslu persónuupplýsinga í þágu heilsufarsmælinga SÍBS, sem og að gerð yrði grein fyrir því hvaða vinnsla færi fram utan EES, ef einhver væri, og þá hvernig að henni væri staðið.

Svarað var með bréfi, dags. 19. febrúar 2020. Þar er fyrirkomulagi vinnslunnar og öryggi við hana nánar lýst. Kemur þar meðal annars fram að auk undirvinnsluaðilans Heroku hafi verið samið við undirvinnsluaðilann Mailgun, en það fyrirtæki hafi með höndum sendingu tölvupóstáminninga vegna umræddra heilsufarsmælinga. Þá kunni síðar að verða samið við undirvinnsluaðilann Twilio til að bæta við SMS-áminningum þegar fram líði stundir.

Að auki segir að aðgangur að upplýsingum um heilsufarsmælingar sé takmarkaður við fjóra starfsmenn Vísra rannsókna ehf. sem allir hafi undirritað trúnaðaryfirlýsingu. Þeir hafi einnig aðgang að póstþjóni hjá Mailgun sem visti tölvupóstföng í 30 daga vegna áminninga um hálfkláraðar kannanir. Öll lykilorð séu löng og flókin og vistuð á öruggan hátt með tilteknum lykilorðahugbúnaði sem uppfærður sé einu sinni á ári.

Sé val um að vista gögn innan EES sé það ávallt gert. Undirvinnsluaðilar áskilji sér þó rétt til að flytja gögn milli EES og Bandaríkjanna. Í vinnslusamningum Vísra rannsókna ehf. við þá sé áskilið að persónuupplýsingar sem fluttar séu til Bandaríkjanna standist þær kröfur sem gerðar eru í samkomulagi ESB og Bandaríkjanna um svonefndan öryggisskjöld (e. Privacy Shield).

Tekið er fram í bréfi SÍBS að allir þátttakendur í heilsufarsmælingum geti hvenær sem er skráð sig inn með rafrænum skilríkjum og sjálfir eytt upplýsingum sínum eða haft samband við SÍBS eða Vísar rannsóknir ehf. og fengið gögnum um sig eytt. Að öðrum kosti séu svör hins vegar varðveitt til frambúðar.

2.

Afstaða Persónuverndar

Sú vinnsla persónuupplýsinga sem hér ræðir felur í sér skráningu og eftirfarandi vinnslu upplýsinga um heilsufar. Svo að þessi vinnsla sé heimil verður hún, eins og vinnsla persónuupplýsinga endranær, að styðjast við heimild samkvæmt 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Kemur hér aðeins til greina 1. tölul. ákvæðisins, þess efnis að vinna megi með persónuupplýsingar á grundvelli samþykkis.

Þegar unnið er með viðkvæmar persónuupplýsingar nægir ekki heimild samkvæmt 9. gr. laga nr. 90/2018 heldur þarf einnig að vera fullnægt einhverju viðbótarskilyrðanna samkvæmt 1. mgr. 11. gr. laganna. Hér ræðir um viðkvæmar persónuupplýsingar, en tekið er fram í b-lið 3. tölul. 3. gr. laganna að upplýsingar um heilsufar séu viðkvæmar. Eins og hér háttar til kemur þá aðeins til greina 1. tölul. 1. mgr. 11. gr. laganna, þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil á grundvelli afdráttarlauss samþykkis.

Auk heimilda samkvæmt framangreindu verður ávallt að vera farið að grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018 við vinnslu persónuupplýsinga, þ. á m. um að unnið skal með persónuupplýsingar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, en í því felst meðal annars að þegar aflað er samþykkis fyrir vinnslu persónuupplýsinga verður að veita fullnægjandi fræðslu, sbr. 10. gr. og 1. mgr. 17. gr. laga nr. 90/2018, sbr. nánari ákvæði í 7., 8. og 13. gr. reglugerðar (ESB) 2016/679. Er þetta sérlega mikilvægt þegar um ræðir upplýsingar um heilsufar.

Einnig skal minnt 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018, þess efnis að persónuupplýsingar skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi. Tiltekið er í umræddum tölulið að frekari vinnsla í meðal annars vísindalegum tilgangi teljist ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt. Í þessu sambandi skal tekið fram að vinnsla persónuupplýsinga í þágu vísindarannsókna verður að samrýmast öllum kröfum persónuverndarlöggjafar, en í því felst meðal annars að tryggja verður að fullnægjandi heimild samkvæmt 9. og 11. gr. laga nr. 90/2018 standi til vinnslu. Jafnframt verða rannsakendur, sem hyggjast framkvæma rannsókn, að fá leyfi frá Vísindasiðanefnd, sbr. m.a. 12. gr. laga nr. 44/2014 um vísindarannsóknir á heilbrigðissviði. Þá er rétt að leitað sé til Embættis landlæknis ef á það reynir hvort um ræði heilbrigðisþjónustu, en þeim sem ætlar að veita slíka þjónustu ber að senda tilkynningu þar að lútandi til landlæknis og er óheimilt að hefja veitingu heilbrigðisþjónustu nema samþykki hans liggi fyrir, sbr. 2. mgr. 26. gr. laga nr. 40/2007 um landlækni og lýðheilsu.

Önnur krafa samkvæmt 1. mgr. 8. gr. laga nr. 90/2018, sem sérstök ástæða er til að geta hér, kemur fram í 6. tölul. ákvæðisins. Kemur þar nánar tiltekið fram að þess skal gætt við vinnslu persónuupplýsinga að viðeigandi öryggi þeirra sé tryggt, sbr. einnig 27. gr. laga nr. 90/2018, sbr. og nánari ákvæði í 32. gr. reglugerðar (ESB) 2016/679. Eins og fram kemur í 2. mgr. ákvæðis reglugerðarinnar miðast það öryggisstig, sem gera verður kröfu um, við þá áhættu sem vinnsla hefur í för með sér, einkum á eyðingu persónuupplýsinga án heimildar eða fyrir slysni, því að þær glatist að ófyrirsynju eða því að þær verði birtar óviðkomandi eða að þeir fái að þeim aðgang.

Hvað flutning persónuupplýsinga úr landi varðar er til þess að líta að löggjöf um vernd persónuupplýsinga takmarkar hann ekki að því marki sem hann á sér stað innan EES, sbr. 1. mgr. 1. gr. laga nr. 90/2018, sbr. og 3. mgr. 1. gr. reglugerðar (ESB) 2016/679. Hins vegar er óheimilt að flytja persónuupplýsingar til landa utan EES nema fullnægt sé einhverjum krafnanna samkvæmt 44.–49. gr. reglugerðarinnar. Fram hefur komið af hálfu SÍBS að einu aðilarnir utan EES, sem upplýsingum kynni að verða miðlað til, séu aðilar sem falli undir samkomulag Bandaríkjanna og EES um svonefndan öryggisskjöld (e. Privacy Shield). Á grundvelli 45. gr. reglugerðarinnar hefur framkvæmdastjórn ESB tekið þá ákvörðun að veitt sé fullnægjandi persónuupplýsingavernd hjá þeim sem þeim heyra undir samkomulagið og að því megi miðla persónuupplýsingum til þeirra. Hins vegar minnir Persónuvernd á að við öflun samþykkis hinna skráðu ber að skýra þeim frá hverjir séu viðtakendur upplýsinga, auk þess sem greina ber sérstaklega frá því hvort ráðgert sé að miðla upplýsingum út fyrir EES, sbr. e- og f-lið 1. mgr. 13. gr. reglugerðarinnar. Þá verður allur flutningur upplýsinga úr landi, hvort sem er innan eða út fyrir EES, að samrýmast persónuverndarlöggjöf að öðru leyti, þ. á m. þeim ákvæðum sem lúta að heimild til vinnslu og öryggi persónuupplýsinga.

Að lokum skal tekið fram að í ljósi þeirra gagna sem Persónuvernd hafa borist frá SÍBS telur stofnunin ekki sérstaka þörf á frekari athugun á vinnslu persónuupplýsinga vegna heilsufarsprófa hjá samtökunum. Er máli þessu því lokað í málaskrá stofnunarinnar, en jafnframt skal tekið fram að til frekari athugunar getur komið síðar. Auk þess er minnt á að ef fyrirkomulagi vinnslunnar á að breyta verulega getur þurft að meta sérstaklega áhrif breytinganna á persónuvernd, sem og eftir atvikum að eiga samráð við Persónuvernd, sbr. 19. og 30. gr. laga nr. 90/2018, sbr. nánari ákvæði í 35. og 36. gr. reglugerðar (ESB) 2016/679. Þá er áréttað mikilvægi þess að álitaefni sem kunna að heyra undir önnur stjórnvöld en Persónuvernd, svo sem Embætti landlæknis eða Vísindasiðanefnd, verði borin undir þau.

F.h. Persónuverndar,

Þórður Sveinsson                 Páll Heiðar Halldórsson