Staðlaður samningur vegna flutnings persónuupplýsinga úr landi
Hinn 13. júní 2005 tók stjórn Persónuverndar svohljóðandi ákvörðun:
Bréfaskipti
Persónuvernd vísar til fyrri samskipta vegna umsóknar X, dags. 15. október 2004, um heimild til sendingar erfðaefnis til SNP-arfgerðargreiningar hjá Y, San Diego, CA 92121-1975. Í bréfinu kemur fram að með tilkomu nýrrar tækni hefur slík arfgerðargreining þróast mjög og hafi opnast nýir möguleikar, þ.e. í þeim tilvikum "þegar greina þarf marga SNPa í tiltölulega fáum sýnum (einstaklingum)." Hin nýja tækni sé einungis á fárra höndum og enn sem komið sé svari það ekki kostnaði að taka hana upp innan X. Af þeirri ástæðu hafi verið ákveðið að gera samning við Y um að sjá um SNP-arfgerðargreiningu, en ábyrgðarmaður þar verði Z. Með vísan til þessa segir í bréfinu:
"A[ð] ofansögðu sækir [X] hér með um leyfi til að fá að senda [Y] erfðaefni (DNA) til SNP arfgerðargreiningar hjá þátttakendum í þeim rannsóknum [X] sem hlotið hafa leyfi Persónuverndar og Vísindasiðanefndar. Send yrðu 0,1-0,5 microgrömm af DNA. Engar heilsufarsupplýsingar eða persónuupplýsingar munu fylgja heldur verða sýnin einungis send undir sýnanúmerum sem hafa tengsl við dulkóðaðar kennitölur innan [X]. Niðurstöður arfgerðargreiningarinnar verða síðan sendar til [X] ásamt afgangi sýnanna, ef einhver yrði."
Persónuvernd svaraði með bréfi, dags. 4. nóvember 2004. Þar kemur m.a. fram sú afstaða stofnunarinnar að lífsýni, sem bera með sér erfðaefni, teljist til persónuupplýsinga þótt þau séu ekki merkt með auðkennum á borð við nöfn eða númer sem rekja má til nafna, enda séu til samanburðargögn sem gera unnt að rekja sýnin til viðkomandi einstaklinga (t.d. gagnagrunnar með upplýsingum um erfðaefni sem bera má sýni saman við).
Einnig benti Persónuvernd á að miðlun persónuupplýsinga til lands, sem ekki veitir slíkum upplýsingum fullnægjandi vernd í skilningi 1. mgr. 29. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, í þessu tilviki Bandaríkjanna, getur verið heimil á grundvelli leyfis Persónuverndar, sbr. 2. mgr. 30. gr. sömu laga, þ.e. þegar einhverju af öðrum skilyrðum laganna fyrir slíkri miðlun, sbr. 1. mgr. sömu greinar (s.s. sem samþykki), er ekki fullnægt. Segir í bréfinu að við veitingu slíks leyfis geti Persónuvernd áskilið að gerður sé skriflegur samningur við viðtakanda sem hafi að geyma tiltekna staðlaða samningsskilmála, staðfesta af framkvæmdastjórn Evrópubandalagsins (EB). Voru slíkir skilmálar hjálagðir með bréfi Persónuverndar og X gefinn kostur á að koma á framfæri athugasemdum við að umbeðið leyfi yrði veitt með áskilnaði um að við gerð samnings við Y yrði tekið mið af þeim. Þá var þess óskað að fram kæmi hvort lífsýnin væru úr fólki sem hefði undirritað samþykkisyfirlýsingu með ákvæði um flutning persónuupplýsinga úr landi.
X svaraði með bréfi, dags. 4. febrúar 2005. Þar er rökstudd sú afstaða félagsins að lífsýni, sem innihalda erfðaefni, hafi ekki að geyma persónuupplýsingar þegar sá sem hefur lífsýni undir höndum hafi "alls enga raunhæfa möguleika á að tengja það við persónugreindan eða persónugreinanlegan einstakling." Segir að sú staða sé m.a. uppi þegar sýni er "einungis merkt með kóðuðu númeri og lausnarlykillinn ekki með nokkru móti aðgengilegur þeim sem hefur sýnið undir höndum, heldur einungis ábyrgðaraðila." Þá er í bréfinu vikið að reglum um öruggar hafnir afstöðu X til stuðnings.
Reglur um öruggar hafnir eru samdar af bandarískum stjórnvöldum en hafa verið staðfestar af framkvæmdastjórn EB, þ.e. með ákvörðun 2000/520/EB, tekinni með stoð í 6. mgr. 25. gr. tilskipunar 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga. Þessum reglum er ætlað að gera miðlun persónuupplýsinga til fyrirtækja í Bandaríkjunum, sem undirgangast hafa að fara eftir reglunum, þ.e. svonefndra öruggra hafna, lögmæta án frekari skilyrða. Með því er átt við að um hana þarf ekki að fara eftir einhverju þeirra sérstöku skilyrða (s.s. samþykki eða leyfi) sem fullnægja þarf þegar persónuupplýsingum er miðlað til lands sem ekki veitir persónuupplýsingum fullnægjandi vernd, sbr. 26. gr. tilskipunar 95/46/EB, sbr. framangreind ákvæði 30. gr. laga nr. 77/2000. Reglur um örugga höfn hafa því í för með sér að þau fyrirtæki, sem eftir þeim fara, eru álitin veita fullnægjandi persónuupplýsingavernd.
Y er raunar ekki örugg höfn. X telur aftur á móti tiltekið ákvæði í reglum um öruggar hafnir fela í sér almenna reglu, sem framkvæmdastjórnin hafi staðfest með ákvörðun 2000/520/EB, um að miðlun upplýsinga, sem ekki eru auðkenndar með nöfnum eða öðrum slíkum persónuauðkennum heldur aðeins kóðuðum númerum, teljist ekki til miðlunar persónuupplýsinga sé greiningarlykill ekki afhentur viðtakanda upplýsinganna. Þannig segir í umræddu bréfi X:
"Framangreindar staðreyndir [þ.e. rök [X] um að lífsýni undir kóðuðum númerum séu ekki persónuupplýsingar hafi viðtakandi þeirra ekki greiningarlykil] eiga við um þau lífsýni sem hér um ræðir. Úrlausn á þessu margslungna álitaefni skiptir þó etv. ekki máli þegar litið er til ákvörðunar framkvæmdastjórnar ESB nr. 2000/520/EC, þar sem tekið er á tilfelli á borð við það sem hér um ræðir, sjá. 1. gr., sbr. Annex II, FAQ 14, þó sérstaklega tölulið 14-7[…]. Þar kemur skýrt fram að rannsóknargögn sem send eru undir kóðanúmerum til Bandaríkjanna, með þeim hætti sem lýst var í umsókn [X], teljast ekki afhending á persónuupplýsingum sem áskilja að móttakandi hafi vottun um "örugga höfn", eða að til sé samningur sem leiðir til sömu niðurstöðu. Þau rannsóknargögn sem almennt er lýst í Annex II, FAQ 14, geta þó gefið mun meiri upplýsingar um þann sem þær stafa frá en kóðuð sýni."
Í framhaldi af þessu segir að Y hafi upplýst X um að það hafi tekið við þúsundum erfðaefnissýna frá Evrópu vegna rannsókna einkafyrirtækja og opinberra stofnana, án þess að viðkomandi aðilar færu fram á að gerðir væru samningar á þeim nótum sem Persónuvernd leggur til, enda hafi sýnin verið send þeim án beinna persónuauðkenna en undir rannsóknarnúmerum sem rannsakendur í Evrópu varðveittu einir lykilinn að. Hafi verið bent á fyrrgreinda ákvörðun framkvæmdastjórnarinnar í því sambandi. Kemur fram að X telji þar af leiðandi ekkert því til fyrirstöðu að það verklag, sem lýst er í umsókn félagsins, nægi til að uppfylla lagaskilyrði vegna umrædds flutnings lífsýna og sé ekki þörf slíks samnings sem hér um ræðir. Auk þess segir:
"Í erindi yðar er í lið III. spurt hvort lífsýnisgjafar hafi undirritað samþykkisyfirlýsingar þar sem með einhverjum hætti er fjallað um mögulegan flutning lífsýna úr landi. Svarið við framangreindri spurningu er að almennt er ekki tekið á þessu atriði í samþykkisyfirlýsingum, enda hafa ábyrgðaraðilar ekki talið þess þörf. [X] hefur ætíð lagt ríka áherslu á að vinna sjálft sem allra mest af þeirri vinnu sem rannsóknarverkefni hafa krafist, en eftir því sem líftækni fleygir fram koma til nýjar og flóknar rannsóknaraðferðir, sem [X] hefur ekki möguleika á að framkvæma sjálft og þarf því að leita á náðir sérhæfðari fyrirtækja sem hafa þær á valdi sínu. Þó eru dæmi um það alveg nýlega, að samþykkis af þessu taki hafi verið aflað þegar [X] er frá upphafi þátttakandi í alþjóðlegum rannsóknarverkefnum í samstarfi við erlendar rannsóknarstofnanir".
Lok segir í bréfi X að í ljósi þess sem komið hafi fram sé góðfúslega farið fram á að Persónuvernd veiti samþykki sitt fyrir að félagið flytji umrædd lífsýni til Y til mælinga án þess að til komi sérstakur samningur af því tilefni. Önnur niðurstaða myndi leggja þyngri byrðar á herðar X en annarra evrópskra rannsakenda og þar með stríða gegn einsleitnismarkmiðum EES-samningsins.
Í kjölfar þessa bréfs var haldinn fundur í húsnæði Persónuverndar, þ.e. hinn 24. febrúar 2005, þar sem stofnunin og X ræddu þetta mál. Þar rakti Persónuvernd afstöðu sína til túlkunar á framangreindu ákvæði reglna um öruggar hafnir sem X vísar til. Í því ákvæði er svarað þeirri spurningu hvort miðlun lífsýna undir kóðuðum númerum í tengslum við lyfjarannsóknir teljist miðlun persónuupplýsinga sem falli undir öruggar hafnir þegar viðtakandi lífsýnanna fær ekki í hendur greiningarlykil. Er spurningunni svarað með því að ekki sé um að ræða miðlun persónuupplýsinga sem falli undir reglur um öruggar hafnir. Taldi Persónuvernd að ekki ætti að túlka þetta ákvæði þannig að flutningur persónuupplýsinga undir kóðanúmerum teldist ekki afhending á persónuupplýsingum. Orðin, sem X vísaði til, merktu ekki að slíkar upplýsingar teldust ekki til persónuupplýsinga heldur aðeins að sá flutningur persónuupplýsinga, sem um ræddi í ákvæðinu, félli ekki undir reglurnar.
Féllst Persónuvernd því ekki á þá afstöðu X, sem fram kom á fundinum, að með samþykkt framkvæmdastjórnarinnar á reglunum, sem samdar eru af bandarískum stjórnvöldum, hefði hún lýst yfir þeirri almennu afstöðu sinni að upplýsingar undir kóðanúmerum teldust ekki persónuupplýsingar þegar sá sem hefði þær undir höndum hefði ekki greiningarlykil heldur annar. Var og ekki fallist á það sem haldið var fram af hálfu X að upplýsingar eins og þær sem hér um ræðir ættu að teljast ópersónugreinanlegar þar eð ekki væri raunhæfur möguleiki fyrir þann sem hefði þær undir höndum að tengja þær við einstaklinga. Af því leiddi að í því tilviki, þegar lífsýni, merkt með umræddum hætti, væru send til aðila í Bandaríkjunum, sem hefði undirgengist að fara að reglum um öruggar hafnir, yrði að finna flutningi lífsýnanna annan lögmætisgrundvöll en að hann félli undir reglurnar, s.s. samþykki, sbr. 1. tölul. 1. mgr. 30. gr. laga nr. 77/2000, eða að Persónuvernd veitti leyfi bundið því skilyrði að viðtakandi skuldbyndi sig að fara að umræddum, stöðluðum samningsskilmálum.
Að loknum fundinum og í símtali hinn 7. mars 2005 við A, framkvæmdastjóra heilbrigðissviðs X, kom fram að félagið myndi væntanlega falla frá andstöðu sinni við að hinir stöðluðu samningsskilmálar yrðu notaðir. Í bréfi Persónuverndar til X, dags. 12. apríl 2005, sagði að þar sem staðfesting þar að lútandi hefði ekki borist væri óskað upplýsinga um stöðu málsins. X svaraði með bréfi, dags. 25. apríl 2005. Þar segir:
"Á ofangreindum fundi útskýrðu fulltrúar Persónuverndar þann skilning sinn á ofangreindum 7. tl. 14. kafla […] að hann merkti að þrátt fyrir slíka meðhöndlun (kóðun) gagna væri um að ræða sendingu persónuupplýsinga. Sending þeirra ætti hins vegar ekki undir reglur um "örugga höfn" og til þess að heimilt væri að senda þær til Bandaríkjanna þyrfti [að] uppfylla skilyrði annarra ákvæða sem átt gætu við og vísuðu þar til ákvæða 30. gr. laga um Persónuvernd nr. 77/2000.
[X] telur hins vegar að í neitandi svari við spurningu nr. 7 í kafla 14 felist nákvæmlega það sem segir í textanum: "þetta telst ekki flutningur persónuupplýsinga sem myndi falla undir reglurnar um "örugga höfn"". Þar sem reglurnar um örugga höfn heimila flutning hverskonar persónuupplýsinga til aðila í Bandaríkjunum, þar á meðal gagna með beinum persónuauðkennum, og þessi flutningur fellur ekki undir þau skilyrði, hlýtur hann að vera heimill án skilyrða. Þetta sést best með því að skoða niðurstöðuna ef svarið við spurningu 7 væri já. Þá væri ljóst að ekki mætti flytja gögnin til Bandaríkjanna nema uppfylla skilmálana um "örugga höfn", sem er sama niðurstaða og Persónuvernd kemst að þegar svarið er nei, þ.e. að ef viðtakandi hefði ekki slíka vottun þá yrði að uppfylla önnur ákvæði til að flutningur væri heimill, svo sem ákvörðunar framkvæmdastjórnar Evrópusambandsins nr. 2001/497/EC; "Commission Deci[s]ion of 15[…] June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC" [þessi ákvörðun á í raun ekki við í þessu máli heldur ákvörðun 2002/16/EB um staðlaðan samning sem notast er við þegar viðtakandi er vinnsluaðili, sbr. e-lið tilskipunar 96/46/EB, sbr. 5. tölul. 2. gr. laga nr. 77/2000]. Svar framkvæmdastjórnarinnar við spurningu nr. 7 er hins vegar nei. Niðurstaða Persónuverndar að þrátt fyrir það skuli fara að sömu reglum og ef svarið hefði verið já, stenst því ekki að mati [X].
Túlkun Persónuverndar á svarinu við 7. spurningunni í Annex II ákvörðunarinnar gengur þannig að mati [X] þvert á yfirlýstan tilgang hennar og skýrt orðalag og felur þannig einnig í sér að flutningur gagna sem svipt hafa verið beinum persónuauðkennum (eru minna persónugreinanleg eða ópersónugreinanleg) megi ekki senda aðilum í Bandaríkjunum þótt þeir uppfylli vottun um "örugga höfn" nema að uppfylltir séu einhverjir aðrir skilmálar.
[X] getur ekki fallist á þann skilning Persónuverndar að í tilvitnuðu svari felist að þegar um væri að ræða móttöku ópersónuauðkenndra gagna falli fyrirtæki og stofnanir í Bandaríkjunum sem uppfylla skilmála og vottun um "örugga höfn" og mega taka við persónuauðkenndum gögnum undir sömu skilmála og settir eru fyrirtækjum/stofnunum sem ekki uppfylla vottun um "örugga höfn" (sbr. tillögu PV um að [X] geri samning við [Y] í samræmi við ákvörðun framkvæmdastjórnar Evrópusambandsins nr. 2001/497/EC [vísað er til athugasemdar hér að ofan um að í raun er það ákvörðun 2002/16/EB sem við á í máli þessu] þar sem það hefur ekki ekki vottun um örugga höfn, sjá bréf PV dags. 4. nóvember 2004).
[X] telur því að túlkun Persónuverndar á framangreindu svari við spurningu 7 í tilskipuninni sé einnig í andstöðu við upphafleg rök Persónuverndar um þörf á samningi milli [X] og [Y], þ.e. að samningur væri nauðsynlegur þar sem fyrirtæki hefði ekki vottun um "örugga höfn" [þetta kom fram í bréfi stofnunarinnar til [X], dags. 4. nóvember 2004]. Samkvæmt útskýringum Persónuverndar á áður tilgreindum texta þá myndi ekki skipta máli hvort [Y] væri með vottun eða ekki þegar um kóðuð/ópersónugreind gögn er að ræða."
Með vísan til framangreinds segir þessu næst í bréfi X að félagið geti ekki annað en ítrekað áður yfirlýsta túlkun sína og skilning á inntaki ákvörðunar 2000/520/EB. Því til frekari stuðnings er vísað til yfirlýsingar frá Y dags. 31. mars 2005, sem hjálögð er með bréfinu, þar sem segir að það félag hafi fengið DNA-sýni til greiningar frá fjölda aðila í Evrópu án þess að þeir færu fram á eða jafnvel spyrðust fyrir um samninga af þeirri gerð sem Persónuvernd hafi lagt til, enda séu sýnin send án beinna persónuauðkenna og greiningarlyklum haldið eftir í Evrópu. Þá segir:
"[X] telur því að afstaða Persónuverndar í máli þessu leggi [X] þyngri byrðar á herðar en ásættanlegt er og verði að skoðast sem mismunum af hálfu stjórnvalds í samanburði við skilmála sem sambærilegum aðilum er gert að uppfylla á hinu evrópska efnahagssvæði og stríði þannig gegn einsleitnismarkmiðum EES-samningsins. Er því ítrekuð beiðni [X] um að Persónuvernd veiti samþykki sitt fyrir að [X] flytji umrædd lífsýni til [Y] til mælinga, án þess að gera þurfi sérstakan samning þar að lútandi."
Niðurstaða
1.
Mál þetta lýtur m.a. að reglum um flutning persónuupplýsinga til þriðja lands, þ.e. lands utan Evrópusambandsins og Evrópska efnahagssvæðisins, sem ekki veitir slíkum upplýsingum fullnægjandi vernd, í þessu tilviki Bandaríkjanna. Um flutning persónuupplýsinga til slíkra landa fer eftir 30. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Ákvæði þeirrar greinar byggjast á 1. og 2. mgr. 26. gr. og 6. mgr. 25. gr. tilskipunar 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, en sú tilskipun liggur lögum nr. 77/2000 til grundvallar.
Samkvæmt 1. mgr. 30. gr. laga nr. 77/2000 er flutningur persónuupplýsinga til umræddra þriðju landa óheimill nema að fullnægðu einhverju þeirra skilyrða sem talin eru upp í ákvæðinu, t.d. samþykki, sbr. 1. tölul. Sé einhverju þeirra skilyrða ekki fullnægt má þó flytja persónuupplýsingar til slíks lands, sem hér um ræðir, séu veittar nægilegar tryggingar fyrir vernd upplýsinganna, s.s. með gerð staðlaðs samnings samkvæmt ákvörðun framkvæmdastjórnar Evrópubandalagsins (EB), sbr. 2. mgr. 30. gr.
Með stoð í framangreindu ákvæði 6. mgr. 25. gr. hefur hún gefið út ákvörðun 2002/16/EB um staðlaða samningsskilmála vegna flutnings persónuupplýsinga til vinnsluaðila í þriðja landi, sem og ákvörðun 2001/497/EB, sbr. ákvörðun 2004/915/EB, um slíka skilmála þegar viðtakandi í þriðja landi er ábyrgðaraðili. Með vinnsluaðila er átt við þann sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. e-lið 2. gr. tilskipunarinnar, sbr. 5. tölul. 2. gr. laga nr. 77/2000, en ábyrgðaraðili er sá sem ákveður markmið og aðferðir við vinnslu persónuupplýsinga, sbr. d-lið 2. gr. tilskipunarinnar, sbr. 4. tölul. 2. gr. laganna.
Ljóst er að sá viðtakandi að persónuupplýsingum í Bandaríkjunum, sem um ræðir í máli þessu, þ.e. Y er vinnsluaðili samkvæmt framangreindri skilgreiningu e-liðar 2. gr. tilskipunarinnar, sbr. 5. tölul. 2. gr. laga nr. 77/2000. Áskilnaður um að gerður sé staðlaður samningur vegna flutnings persónuupplýsinga lýtur því að samningi samkvæmt ákvörðun 2002/16/EB.
Í 1. tölul. 2. gr. laga nr. 77/2000 eru persónuupplýsingar skilgreindar sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Svo að upplýsingavinnsla falli undir lögin, þ. á m. ákvæði þeirra um miðlun upplýsinga úr landi, þarf hún að lúta að slíkum upplýsingum, sbr. 3. gr. laganna.
X lítur svo á að lífsýni, merkt með kóðuðum númerum, séu ekki persónuupplýsingar eftir að þau hafa borist Y í Bandaríkjunum þar eð greiningarlykill verði eftir hér á Íslandi. Þau falli því utan gildissviðs laganna og því sé ekki unnt að gera það að skilyrði fyrir flutningi þeirra til framangreinds fyrirtækis að gerður sé staðlaður samningur í samræmi við ákvörðun framkvæmdastjórnar EB, n.t.t. ákvörðun 2002/16/EB.
Til þess ber hins vegar að líta að samkvæmt 26. lið formálsorða tilskipunar 95/46/EB skal, við ákvörðun um hvort unnt sé að tengja persónuupplýsingar við tiltekinn einstakling, taka mið af öllum aðferðum sem eðlilegt er að hugsa sér að ábyrgðaraðili eða annar aðili beiti til að bera kennsl á viðkomandi einstakling. Af þessu má ráða að sé til greiningarlykill til að tengja upplýsingar við einstaklinga teljist þær ávallt persónuupplýsingar og skipti það þá ekki máli þó að lykillinn sé ekki hjá þeim sem hefur upplýsingarnar undir höndum, m.ö.o.: Upplýsingar teljast vera persónugreinanlegar ef einhver getur tengt þær við einstaklinga, óháð því hver það sé. Geti aðeins ábyrgðaraðili tengt upplýsingar við einstaklinga en ekki vinnsluaðili eru þær því allt að einu persónuupplýsingar hjá þeim síðarnefnda.
Þetta styðst við veigamikil rök. Ljóst er að vinnsla með upplýsingar, auðkenndar með kóðanúmerum, getur haft bein áhrif á hagsmuni hins skráða jafnvel þó að sá sem hefur vinnsluna með höndum hafi ekki yfir að ráða greiningarlykli heldur annar. Við erfðaefnisrannsóknir á lífsýnum, sem ekki eru auðkennd með beinum persónuauðkennum, kunna þannig að verða fengnar rangar eða óáreiðanlegar niðurstöður sem haft geta í för með sér tjón eða óhagræði fyrir hinn skráða. Þetta getur t.a.m. gerst ef fyrirhugað er að kalla þátttakendur inn í vísindarannsókn á grundvelli arfgerðar, en slíkt tíðkast hjá X.
Af þessu má sjá að við vinnslu upplýsinga undir kóðanúmerum er oft nauðsynlegt að viðhafa strangar ráðstafanir til að tryggja öryggi þeirra og gæði, m.a. svo að ekki verði brotið gegn grundvallarreglu 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um áreiðanleika persónuupplýsinga. Þegar vinnsluaðili vinnur t.a.m. með slíkar upplýsingar á vegum ábyrgðaraðila getur því verið mjög brýnt að ábyrgðaraðili geri við hann samning með skýrum ákvæðum um skyldur hans og ábyrgð. Er það og lögskylt, sbr. 13. gr. laga nr. 77/2000 þar sem fram kemur að í slíkum samningi á m.a. að koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laganna um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast.
Þegar litið er til þess að sú vinnsla persónuupplýsinga, sem fram mun fara á vegum Y getur haft þau beinu áhrif á fólk að því sé boðin þátttaka í vísindarannsókn, sem kynni t.a.m. að fela í sér prófun á nýju lyfi, telur Persónuvernd rétt að vinnslusamningur X við þetta bandaríska fyrirtæki samkvæmt 13. gr. verði í formi staðlaðs samnings samkvæmt ákvörðun 2002/16/EB. Slíkur samningur tryggir hátt verndarstig en án þess þó að vera mjög íþyngjandi fyrir samningsaðila.
Í lýsingu á samskiptum X og Persónuverndar vegna máls þessa var vikið að túlkun félagsins á tilteknu ákvæði í reglum um öruggar hafnir, þ.e. 7. tölul. 14. kafla skjalsins "Algengar spurningar" (Frequently Asked Questions (FAQs)). Eins og fram kom eru þessar reglur samdar af bandarískum stjórnvöldum en staðfestar af framkvæmdastjórn EB, með ákvörðun 2000/520/EB, sem grundvöllur fyrir flutningi persónuupplýsinga til Bandaríkjanna, n.t.t. þeirra fyrirtækja sem undirgengist hafa að fara eftir reglunum, svonefndra örugga hafna (Y er raunar ekki meðal þeirra).
Vegna framangreinds ákvæðis reglnanna, þ.e. um að flutningur kóðaðra upplýsinga úr lyfjarannsóknum til Bandaríkjanna feli ekki í sér flutning persónuupplýsinga, sem falli undir reglur um öruggar hafnir, telur X framkvæmdastjórnina hafa viðurkennt að miðlun persónuupplýsinga undir kóðanúmerum sé ekki miðlun persónuupplýsinga þegar viðtakandi fái greiningarlykil ekki í hendur. Eins og vikið er að í lýsingu á bréfaskiptum var Persónuvernd því ósammála og taldi ekki unnt að leggja svo víðtækan skilning í orðalag ákvæðisins; það fæli aðeins í sér að umrædd upplýsingamiðlun félli ekki undir reglurnar en ekki að upplýsingarnar væru ekki persónuupplýsingar. Verður hér ekki vikið að þessu frekar, enda er það svo að þegar af þeim ástæðum, sem raktar eru hér að ofan, verður að líta á umræddan flutning upplýsinga til Y sem flutning persónuupplýsinga sem fullnægja verður kröfum laga nr. 77/2000.
Í ljósi alls framangreinds er afstaða Persónuverndar sú að umrædd miðlun upplýsinga til Y feli í sér miðlun persónuupplýsinga til þriðja lands, sem ekki veitir fullnægjandi vernd, sem fullnægja verður einhverju þeirra skilyrða sem kveðið á um í 30. gr. laga nr. 77/2000, sbr. 1. og 2. mgr. 26. gr. tilskipunar 95/46/EB. Þar sem ekki á við neitt þeirra atvika, s.s. samþykkis, sem miðlun persónuupplýsinga til slíks lands getur byggst á samkvæmt 1. mgr. 30. gr. laganna, getur hún aðeins byggst á leyfi Persónuverndar veittu með stoð í 2. mgr. sömu greinar. Þar er mælt fyrir um að Persónuvernd geti í slíku leyfi gert það að skilyrði að sendandi upplýsinganna geri við viðtakanda þeirra staðlaðan samning samkvæmt ákvörðun framkvæmdastjórnar Evrópubandalagsins. Í ljósi þeirra beinu afleiðinga, sem umrædd vinnsla getur haft fyrir hina skráðu, þ.e. að þeim sé boðin þátttaka í vísindarannsókn, telur Persónuvernd eðlilegt að slíkur samningur sé gerður, í þessu tilviki samningur samkvæmt ákvörðun 2002/16/EB, enda ljóst að hann veitir tiltölulega hátt verndarstig. Mun Persónuvernd því ekki veita leyfi til umræddrar upplýsingamiðlunar nema með slíkum áskilnaði.
Á k v ö r ð u n a r o r ð:
Við veitingu leyfis til sendingar erfðaefnis frá X til SNP-arfgerðargreiningar hjá Y, San Diego, CA 92121-1975, er gert að skilyrði að X geri við það fyrirtæki staðlaðan samning í samræmi við ákvörðun framkvæmdastjórnar Evrópubandalagsins nr. 2002/16/EB.