Úrlausnir

Ákvörðun Persónuverndar um Lífsýnasafn Frumurannsóknastofu leitarsviðs

20.12.2007

Ákvörðun

Þann 10. desember 2007 tók stjórn Persónuverndar svohljóðandi ákvörðun í máli nr. 2005/463, varðandi Lífsýnasafn Frumurannsóknastofu leitarsviðs:

I.

Grundvöllur máls

Með bréfi Persónuverndar til Krabbameinsfélags Íslands (KÍ), dags. 30. maí 2005, var boðuð úttekt á þeirri vinnslu persónuupplýsinga sem fram fer í lífsýnasöfnum félagsins, þ.e. lífsýnasafni Frumurannsóknastofu leitarsviðs og lífsýnasafni Rannsóknastofu í sameinda- og frumulíffræði, n.t.t. Lífsýnabanka KÍ. Hafði vinna við slíka úttekt reyndar byrjað áður, en ákveðið var að hætta henni þegar fyrir lá niðurstaða þess sérfræðings, sem þá vann að málinu með Persónuvernd, um að ekki væri unnt að gera úttektina vegna skorts á gögnum frá KÍ. Síðar bárust Persónuvernd hins vegar ítarlegri gögn með bréfi KÍ til Persónuverndar, dags. 12. apríl 2005, og var þá ákveðið að framkvæma öryggisúttekt hjá umræddum lífsýnasöfnum. Var hún boðuð með framangreindu bréfi, dags. 30. maí 2005.

Töf hefur orðið á framkvæmd úttektarinnar. Stafar hún einkum af því að við framkvæmd hennar kom í ljós að ekki hafði fengist leyfi heilbrigðisráðherra til reksturs lífsýnasafns Frumurannsóknastofu leitarsviðs, en slíkt leyfi er skilyrði fyrir starfrækslu lífsýnasafns, sbr. 4. gr. laga nr. 110/2000 um lífsýnasöfn. Í ljósi þessa var ákveðið að fresta framkvæmd úttektarinnar. Var félaginu greint frá þessari ákvörðun með bréfi, dags. 6. nóvember 2006.

Með bréfi KÍ, dags. 4. júní 2007, var Persónuvernd greint frá því að fengist hefði leyfi heilbrigðisráðherra til starfrækslu safnsins. Sendi Persónuvernd þá bréf til KÍ, dags. 25. júlí 2007, þar sem hún veitti félaginu kost á að koma á framfæri athugasemdum og tilkynnti að vænta mætti formlegrar úrlausnar innan tíðar. Frestur til athugasemda var veittur til 8. september en engar athugasemdir hafa borist.

Ákvörðun þessi lýtur að lífsýnasafni Frumurannsóknastofu leitarsviðs, en um Lífsýnabankann verður fjallað í annarri ákvörðun. Þá lýtur ákvörðun þessi aðeins að lögmæti safnsins en að svo stöddu þykja ekki vera efni til að fjalla um einstök öryggisatriði, s.s. framkvæmd áhættumats og innra eftirlits hjá safninu.

II.

Aðkoma sérfræðings að framkvæmd úttektarinnar

Í framangreindu bréfi Persónuverndar til KÍ, dags. 30. maí 2005, var tilkynnt að sem fyrr yrði umrætt úttektarverkefni unnið með liðsinni sérfræðings, en tekið fram að Persónuvernd hefði nú í hyggju að leita til Harðar H. Helgasonar, sérfræðings í upplýsingaöryggi, hjá Dómbæ ehf. Félagið gerði ekki athugasemdir við það og var Hörður því fenginn til verksins. Hann ritaði undir þagnarheit og skilaði í framhaldi af því kostnaðaráætlun til Persónuverndar, dags. 5. ágúst 2005. Með bréfi, dags. 9. s.m., sendi Persónuvernd KÍ afrit af áætluninni og veitti félaginu kost á að gera athugasemdir. Eftir nokkur bréfaskipti náðist sameiginleg niðurstaða um tilhögun mála.

Verkefni Harðar fólst í því að rýna þau skjöl sem félagið lagði fram, gera vettvangsathugun og skila Persónuvernd skýrslu um niðurstöður sínar. Henni skilaði hann hinn 30. mars 2006. Sú skýrsla lýtur bæði að lífsýnasafni Frumurannsóknastofu leitarsviðs og lífsýnasafni Rannsóknastofu í sameinda- og frumulíffræði, n.t.t. Lífsýnabanka KÍ. Ákvörðun þessi lýtur hins vegar að því fyrrnefnda, eins og áður segir.

Hörður rýndi gögn KÍ, þ.e. þau skriflegu gögn sem félagið hafði lagt fram um öryggisstefnu sína, áhættumat og öryggisráðstafanir. Þann 20. mars 2006 skilaði hann skýrslu um niðurstöður sínar. Í lokakafla skýrslunnar er lagt heildstætt mat á niðurstöður prófana sem við vettvangsathugun voru gerðar á öryggisráðstöfunum KÍ. Um það segir m.a.:

„Í fyrsta lagi er nauðsynlegt að leysa úr þeim árekstri við 8. gr. laga um lífsýnasöfn sem felst í því verklagi Frumurannsóknastofu að merkja ný sýni í lífsýnasafni sínu með persónuauðkennum sýnagjafa, í stað þess að varðveita þau án persónuauðkenna [...]"

Að öðru leyti taldi Hörður ástand öryggiskerfis lífsýnasafna Krabbameinsfélags Íslands að stærstum hluta í góðu samræmi við reglur Persónuverndar um öryggi persónuupplýsinga

III.

Athugasemdir KÍ

Með bréfi, dags. 28. apríl 2006, var KÍ boðið að tjá sig um skýrslu Harðar. Svarað var með bréfi, dags. 1. ágúst s.á. Því fylgdu skjöl þar sem athugasemdum er svarað. Í skjali, þar sem gerðar eru athugasemdir varðandi skýrsluna, segir m.a.:

„[...]

Það er einlæg von Krabbameinsfélagsins að horft sé til þess að vel sé vandað til öryggis sýnanna og að hagsmun[um] þeirra kvenna sem FKÍ [Frumurannsóknastofa leitarsviðs KÍ] þjónar með rannsóknum sé betur borgið með því að glerin séu merkt áfram eins og gert hefur verið hingað til. Má til dæmis benda á að lagalegt fordæmi er fyrir því í öðrum löndum, t. d. Noregi, að meiri hagsmuna sé gætt fyrir minni í tilvikum sem þessum.

[...]"

Í öðru fylgiskjali með framangreindu bréfi KÍ er gerð ítarlegri grein fyrir sjónarmiðum félagsins varðandi lífsýnasafn Frumurannsóknastofu leitarsviðs. Þar segir m.a.:

„Varðandi 1. mgr. 8. gr. laga nr. 110/2000 um lífsýnasöfn "lífsýni skulu tryggilega geymd og merkt en varðveitt án persónuauðkenna" og í 1. tl. 1. mgr. 5. gr. lífsýnareglna Persónuverndar, nr. 918/2001 "með hvaða hætti þess sé gætt að lífsýni séu án persónuauðkenna"[.]

Frumusýni sem strokið er á gler um leið og sýnið er tekið og síðan sent á rannsóknastofu hefur vissa sérstöðu. Sýnið verður eftirleiðis á glerinu, glerið með sýninu á er litað og útbúið til skoðunar.

Hjá FKÍ er um að ræða leghálssýni sem berast frá yfir 50 stöðum, oft mörg í sömu sendingu. Árlegur sýnafjöldi á FKÍ er 25.000-27.000.

Sýnaglerin eru öll eins og eru merkt með nafni eða upphafsstöfum og kennitölu með því að skrifa með blýanti á mattan enda glersins. Sú merking þolir litun vel.

Ef hvert gler væri í merktum umbúðum en sýnaglerin kæmu ómerkt myndi hættan á sýnaruglingi aukast gífurlega.

Hef leitað eftir upplýsingum í Noregi og Svíþjóð en þar komust menn að þeirri niðurstöðu að ekkert væri eins öruggt fyrir eiganda sýnisins og merking með upphafsstöfum og kennitölu og horfið var frá því að breyta því. Þar, sem hér, er límdur miði með raðnúmeri yfir upphaflegu merkinguna og sýnaglerin geymd í raðnúmeraröð þannig að ekki er hægt að finna sýni frá tilteknum einstaklingi nema með því að hafa aðgang að upplýsingum á pappír eða í tölvu.

Með hliðsjón af ofanskráðu tel ég öruggast að sýnaglerin verði merkt eins og verið hefur en þess vandlega gætt að pappírsgögn varðandi sýnin séu geymd fjarri sýnunum og aðgangur að pappírsgögnum (fylgiskjölum) og gagnagrunni í tölvu sé aðeins heimill völdum starfsmönnum FKÍ og Leitarstöðvar en Leitarstöð KÍ skipuleggur leghálskrabbameinsleit á Íslandi.

Fer því fram á að gefin verði undanþága frá ofanskráðum lögum og reglugerð varðandi merkingu leghálssýna."

IV.

Vettvangsheimsókn Persónuverndar

Hinn 13. júlí 2006 fóru fulltrúar Persónuverndar, Sigrún Jóhannesdóttir, Þórður Sveinsson og Særún María Gunnarsdóttir, í vettvangsheimsókn til KÍ. Margrét Snorradóttir og Guðrún Agnarsdóttir tóku á móti þeim. Tilefni heimsóknarinnar var fyrst og fremst framangreind niðurstaða skýrsluhöfundar varðandi merkingu sýna í lífsýnasafni Frumurannsóknastofu leitarsviðs, en eins og að framan greinir eru þau merkt með persónuauðkennum sýnagjafa, sem yfir er límdur límmiði með hlaupandi númerum.

Í vettvangsheimsókninni sýndi Margrét fulltrúum Persónuverndar glerplöturnar sem sýnum er safnað á. Plöturnar hafa matta enda og á þá eru skráð persónuauðkenni (oftast kennitölur) þeirra einstaklinga sem sýnin er úr. Límmiðar eru settir yfir auðkennin og á þá skráð hlaupandi númer. Plötum er raðað eftir þeim númerum. Með tengiskrám er hægt að finna sýni úr tilteknum einstaklingum. Þær Margrét og Guðrún útskýrðu að þetta fyrirkomulag væri nauðsynlegt enda um þjónustusýni að ræða. Annað fyrirkomulag væri líklegt til að valda mistökum.

 

 

V.

Niðurstaða

1.

Lögmæti vinnslu persónuupplýsinga

Almennt

Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga og einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu persónuupplýsingar er átt við ,,[s]érhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi," sbr. 1. tölul. 2. gr. laganna. Þá merkir hugtakið vinnsla ,,[sérhverja] aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn." Með vinnslu er þannig t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun. Af framangreindu leiðir að hjá lífsýnasafni Frumurannsóknastofu leitarsviðs KÍ fer fram vinnsla persónuupplýsinga, í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 1. mgr. 8. gr. og, eftir atvikum, 1. mgr. 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna. Heilsufarsupplýsingar, þ. á m. um erfðaeiginleika og annað sem lífsýni bera með sér, teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 8. tölul. 1. mgr. 2. gr. laga nr. 77/2000. Er hér um slíkar upplýsingar að ræða og þarf vinnslan þar af leiðandi að eiga sér stoð í einhverju af heimildarákvæðum 1. mgr. 9. gr. laga nr. 77/2000.

2.

Niðurstaða um lögmæti vinnslu persónuupplýsinga hjá

lífsýnasafni Frumurannsóknastofu leitarsviðs KÍ

Eins og áður segir þarf vinnsla viðkvæmra persónuupplýsinga að eiga sér stoð í einhverju af skilyrðum 1. mgr. 9. gr. laga nr. 77/2000. Samkvæmt 2. tölul. þessa ákvæðis er vinnsla viðkvæmra persónuupplýsinga heimil standi sérstök heimild til hennar samkvæmt öðrum lögum. Samkvæmt 2. gr. laga nr. 110/2000 um lífsýnasöfn gilda þau um söfnun lífsýna, vörslu, meðferð, nýtingu og vistun þeirra í lífsýnasöfnum en af fyrirliggjandi lýsingu á lífsýnasafni Frumurannsóknastofu leitarsviðs KÍ má ráða að sú starfsemi sem þar fer fram falli hér undir. Þá liggur fyrir að heilbrigðisráðherra hefur veitt leyfi til starfrækslu safnsins í samræmi við 4. gr. laganna. Telst vinnsla persónuupplýsinga hjá Lífsýnasafni Frumurannsóknastofu leitarsviðs KÍ því styðjast við heimildarákvæði 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Við vinnslunna ber og að uppfylla almenn skilyrði þeirra laga sem og sérstök skilyrði í lögum nr. 110/2000 um lífsýnasöfn og í reglum sem settar hafa verið með stoð í þeim lögum, þ. á m. reglum nr. 918/2001.

Í 1. málslið. 1. mgr. 8. gr. laga nr. 110/2000 segir: „Lífsýni skulu tryggilega geymd og merkt, en varðveitt án persónuauðkenna." Þá segir í 1. mgr. 5. gr. reglna nr. 918/2001 að sá aðili sem reki lífsýnasafn skuli setja fram skriflega lýsingu á stjórnun öryggismála lífsýnasafnsins og þar skuli a.m.k. eftirtalið atriði koma fram: „Með hvaða hætti þess sé gætt að lífsýni séu án persónuauðkenna, í samræmi við 1. mgr. 8. gr. laga nr. 110/2000, og hvernig persónuauðkenni séu varðveitt. [...]"

Samkvæmt 1. ml. 2. mgr. 12. gr. laga um lífsýnasöfn nr. 110/2000 hefur Persónuvernd eftirlit með öryggi persónuupplýsinga í lífsýnasöfnum. Af 2. ml. 2. mgr. 12. gr. sömu laga leiðir jafnframt að við það eftirlit beitir Persónuvernd m.a. þeim heimildum sem hún hefur samkvæmt 1. mgr. 40. gr. laga nr. 77/2000.

Fyrir liggur að í Lífsýnasafni Frumurannsóknastofu leitarsviðs KÍ eru lífsýni merkt og varðveitt með persónuauðkennum. Það samrýmist ekki ótvíræðum fyrirmælum 1. málsliðar 1. mgr. 8. gr. laga nr. 110/2000 um lífsýnasöfn. Með vísun til 1. mgr. 40. gr. laga nr. 77/2000 og 2. mgr. 12. gr. laga nr. 110/2000 leggur Persónuvernd hér með fyrir stjórn safnins að bæta úr þessu og koma fyrirkomulagi á varðveislu sýnanna til samræmis við framangreint ákvæði 8. gr. laga nr. 110/2000. Skal það gert eigi síðar en 1. september 2008. Hafi það þá ekki verið gert verður tekið til athugunar hvort og þá með hvaða hætti gripið verður til þvingunarúrræða, t.d. samkvæmt 40. gr. laga nr. 77/2000, til að tryggja eftirfylgni við ákvæði 1. mgr. 8. gr. laga nr. 110/2000.

Á k v ö r ð u n a r o r ð:

Lífsýni á lífsýnasafni Frumurannsóknastofu leitarsviðs Krabbameinsfélags Íslands skal varðveita án persónuauðkenna. Lífsýnasafnið skal uppfylla þetta skilyrði eigi síðar en 1. september 2008.





Var efnið hjálplegt? Nei