Öryggi persónuupplýsinga hjá þeim hluta sýkla- og veirufræðideildar Landspítalans sem staðsettur var á starfsstöð Íslenskrar erfðagreiningar
Mál nr. 2020112772
Persónuvernd hefur lokið úttekt sinni á öryggi persónuupplýsinga hjá þeim hluta sýkla- og veirufræðideildar Landspítalans sem staðsettur var á starfsstöð Íslenskrar erfðagreiningar frá ágúst 2020 til febrúar 2021. Er niðurstaða Persónuverndar annars vegar að ekkert liggi fyrir um að öryggi persónuupplýsinga sem unnar voru á starfsstöð ÍE hafi verið ábótavant. Hins vegar er það niðurstaða Persónuverndar að mat á áhrifum á persónuvernd hafi ekki fullnægt kröfum persónuverndarlaga.
Úttekt Persónuverndar var hafin í tilefni af ummælum yfirlæknis á Landspítala á upplýsingafundi Almannavarna 13. ágúst 2020 um að áætlað væri að hluti starfsemi sýkla- og veirufræðideildar Landspítala flyttist í húsnæði erfðarannsóknarfyrirtækisins Íslenskrar erfðagreiningar. Þetta yrði gert til að auka afköst skimunar fyrir veirunni sem veldur COVID-19-sjúkdóminum.
Í svörum Landspítala segir m.a. að áður en byrjað hafi verið að skima fyrir COVID-19 við landamæri Íslands hinn 15. júní 2020 hafi embætti landlæknis framkvæmt mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga. Það mat hafi verið lagt til grundvallar þegar hluti sýkla- og veirufræðideildar Landspítalans var staðsettur á starfsstöð Íslenskrar erfðagreiningar frá ágúst 2020 til febrúar 2021.
Í ákvörðun Persónuverndar er komist að þeirri niðurstöðu að sú vinnsla sem framangreint mat náði til sé ekki sambærileg vinnslu persónuupplýsinga sem um ræðir í máli þessu. Við matið var einkum litið til þess eðlismunar sem var á aðgengi starfsmanna Íslenskrar erfðagreiningar að þeim persónuupplýsingum sem unnið var með. Við landamæraskimunina sem hófst sumarið 2020 höfðu starfsmenn fyrirtækisins, samkvæmt upphaflegu fyrirkomulagi, einungis aðgang að sýnanúmerum við greiningu sýna. Þegar hluti sýkla- og veirufræðideildar Landspítalans var staðsettur á starfsstöð fyrirtækisins höfðu starfsmenn þess aðgang að nöfnum þeirra einstaklinga sem höfðu greinst jákvæðir í landamæraskimun í Virlab-kerfi þess. Þá voru sýni sem tekin voru á heilsugæslum, þ.e. svokölluð einkennasýni, með kóða sem hægt var að rekja niður á einstakling í sama kerfi. Því er það niðurstaða Persónuverndar að mat það sem lagt var til grundvallar, hafi ekki uppfyllt kröfur persónuverndarlaga og að framkvæma hafi átt nýtt mat á áhrifum á persónuvernd áður en hluti sýkla- og veirufræðideildar Landspítalans var fluttur á starfsstöð Íslenskar erfðagreiningar.
Þá er það niðurstaða Persónuverndar að ekkert hafi legið fyrir um að öryggi þeirra persónuupplýsinga sem unnar voru á starfsstöð Íslenskrar erfðagreiningar hafi ekki uppfyllt kröfur persónuverndarlaga. Var þar litið til þess að aðgangsstýring var að Virlab-kerfi-fyrirtækisins en aðgang að kerfinu höfðu einungis þrír starfsmenn sem komu að þarfagreiningu fyrir hönnun þess, forritun á því og gerð nauðsynlegra uppfærslna.
Ákvörðun
Hinn 23. nóvember 2021 tók Persónuvernd svohljóðandi ákvörðun í máli nr. 2020112772:
I.
Málsmeðferð
1.
Upphaf máls
Hinn 13. ágúst 2020 kom fram í máli […], yfirlæknis á Landspítala, á upplýsingafundi Almannavarna að áætlað væri að hluti starfsemi sýkla- og veirufræðideildar Landspítala flyttist í húsnæði erfðarannsóknarfyrirtækisins Íslenskrar erfðagreiningar í því skyni að auka afköst skimunar fyrir veirunni sem veldur COVID-19-sjúkdóminum. Verið væri að undirbúa flutninginn og aðlaga hugbúnaðinn.
Af þessu tilefni sendi Persónuvernd bréf til Landspítala, dags. 14. ágúst 2020, þar sem áréttuð voru lagaákvæði um ábyrgð ábyrgðaraðila, innbyggða og sjálfgefna persónuvernd, og öryggi við vinnslu persónuupplýsinga. Í bréfinu var einnig óskað tiltekinna skýringa eins og rakið er í kafla I.2 hér á eftir í tengslum við svör spítalans. Þá var þess óskað að svör bærust áður en fyrirhuguð starfsemi sýkla- og veirufræðideildar spítalans hæfist á starfsstöð Íslenskrar erfðagreiningar. Loks kom fram að ef ráðgjafar eða samráðs Persónuverndar yrði óskað við fyrirhugaðar öryggisráðstafanir vegna vinnslu persónuupplýsinga á vegum spítalans inni á starfsstöð Íslenskrar erfðagreiningar yrði fúslega orðið við því.
Erindi Persónuverndar var ítrekað með tölvupósti 4. september 2020 þar sem stofnuninni höfðu þá ekki borist umbeðin svör frá Landspítalanum, en hún hafði fengið þær upplýsingar frá spítalanum 28. ágúst s.á. að framangreindur flutningur hefði þá þegar átt sér stað. Með bréfi, dags. 7. september s.á., ítrekaði Persónuvernd öðru sinni erindi sitt.
2.
Svör fyrir hönd Landspítala
Í svarbréfi Landspítala, dags. 11. september 2020, er beðist velvirðingar á því að svör hafi ekki borist fyrr, en flutningurinn hafi verið ákveðinn með hraði til að bregðast við þeim aðstæðum sem upp hafi verið komnar við sýnatöku.
Í bréfinu er m.a. rakið að samkvæmt 5. gr. sóttvarnalaga nr. 19/1997 er sóttvarnalæknir ábyrgur fyrir því að skipuleggja og samræma sóttvarnir ásamt því að halda smitsjúkdómaskrá til að fylgjast með útbreiðslu smitsjúkdóma. Þá segir að Landspítalinn sinni landamæra- og innanlandsskimun f.h. sóttvarnalæknis á grundvelli vinnslusamnings, dags. 21. desember 2015, en í honum komi fram að Landspítalanum sé heimilt að leita til undirvinnsluaðila.
Þegar ljóst hafi verið að sýkla- og veirufræðideild Landspítalans myndi sjá alfarið um skimanir fyrir COVID-19-sjúkdóminum hafi deildin ekki verið með þá aðstöðu sem hafi þurft til að anna þeim fjölda sýna sem tekinn hafi verið daglega. Hafi því verið tekin sú ákvörðun að leita til Íslenskrar erfðagreiningar. Um tímabundið úrræði sé að ræða sem felist í því að sýkla- og veirufræðideildin hafi aðstöðu í húsnæði fyrirtækisins og nýti tækjabúnað þess á meðan verið sé að bæta aðstöðu deildarinnar.
Hvað varðar einstakar spurningar Persónuverndar eru svör Landspítala eftirfarandi, en spurningarnar birtast á undan svörum um einstök atriði:
1. „Hefur farið fram mat á áhrifum á persónuvernd í samræmi við 35. gr. persónuverndarreglugerðar (ESB) 2016/679, sbr. 29. gr. laga nr. 90/2018? Ef svo, hver var niðurstaða þess?“
Um þetta tók Landspítali fram að áður en skimun á landamærum hefði farið fram sumarið 2020, sem Íslensk erfðagreining hefði sinnt, hefði verið framkvæmt mat á áhrifum á persónuvernd hjá embætti landlæknis. Þar hefði verið farið í gegnum þau tæki og kerfi sem notuð yrðu við skimunina. Sú vinnsla sem myndi fara fram tímabundið í húsnæði Íslenskrar erfðagreiningar væri sambærileg þeirri sem það mat næði til og því hefði ekki verið talin þörf á að framkvæma nýtt mat á áhrifum á persónuvernd.
Þá væri í gildi vinnslusamningur, dags. 12. mars 2020, milli Landspítalans og Íslenskrar erfðagreiningar vegna greiningar sýna og þeirrar vinnslu persónuupplýsinga sem henni fylgdi.
Jafnframt kom fram að sú breyting sem ætti sér nú tímabundið stað væri sú að í stað þess að vinnu við sýnatöku og greiningu sýna væri alfarið sinnt af starfsfólki Íslenskrar erfðagreiningar væri það nú starfsfólk Landspítalans sem sæi um þá vinnu. Því mætti telja að Landspítalanum sem vinnsluaðila fyrir sóttvarnalækni væri hægara um vik en ella væri að gæta að fyllstu persónuvernd í allri meðferð sýna og því væri áhættan sem fylgdi þessari ráðstöfun minni en hún hefði verið fyrir.
2. „Hvar verða lífsýni, sem tekin verða við skimun sýkla- og veirufræðideildar Landspítalans á starfsstöð Íslenskrar erfðagreiningar, varðveitt og hver ber ábyrgð á öryggi þeirra?“
Um þetta tók Landspítalinn fram að lífsýni yrðu varðveitt í kæliskápum sem væru staðsettir inni á rannsóknarstofu Íslenskrar erfðagreiningar þar sem sýkla- og veirufræðideildin væri með aðstöðu og skráði sýni.
Lífsýni sem tekin væru við landamæri væru auðkennd með kóða sem væri hægt að rekja niður á einstakling í kerfi sem væri rekið af embætti landlæknis. Greindist einhver jákvæður væru upplýsingar um nafn og tilbúna kennitölu færðar í Virlab-kerfi Íslenskrar erfðagreiningar en þær upplýsingar væru eingöngu aðgengilegar þremur starfsmönnum fyrirtækisins sem starfs síns vegna þyrftu að hafa aðgang. Einnig væri upplýsingunum miðlað til sóttvarnalæknis, göngudeildar COVID-19 á Landspítala og rakningarteymis almannavarna svo að hægt væri að grípa til nauðsynlegra ráðstafana.
Sýni sem tekin væru hjá Heilsugæslu höfuðborgarsvæðisins, eða öðrum heilsugæslum, þ.e. þau sýni sem ekki væru hluti af landamæraskimuninni eða svokölluð einkennasýni, væru einnig auðkennd með kóða en hægt væri að rekja þann kóða niður á einstakling í Virlab-kerfinu. Væri það í samræmi við það ferli sem vanalega væri fylgt þegar sýkla- og veirufræðideild greindi sýni fyrir heilsugæslur. Slíkt fyrirkomulag flýtti fyrir tilkynningu til viðkomandi einstaklings um niðurstöðu úr sýnatöku, en á meðan beðið væri niðurstöðu væri viðkomandi einstaklingi skylt að vera í einangrun. Það væri því íþyngjandi fyrir þá einstaklinga sem mættu í sýnatöku vegna einkenna að bíða niðurstöðu.
Virlab-kerfið væri aðgangsstýrt og þar væru eingöngu skráðar kennitölur og niðurstöður. Aðrar upplýsingar, svo sem um sjúkdómseinkenni og um bakgrunn sjúklinga, væru ekki skráðar þar inn. Öllum neikvæðum sýnum væri eytt eftir að endanleg niðurstaða væri fengin. Starfsmenn sýkla- og veirufræðideildar bæru ábyrgð á því að meðhöndlun og frágangur sýna væri réttur. Íslensk erfðagreining sem undirvinnsluaðili Landspítala bæri samkvæmt gildandi vinnslusamningi að tryggja viðunandi öryggi í samráði við spítalann og sóttvarnalækni.
3. „Hvernig verður starfsemi sýkla- og veirufræðideildar Landspítalans sem fram á að fara á starfsstöð Íslenskrar erfðagreiningar haldið aðskilinni frá starfsemi fyrirtækisins?“
Um þetta tók Landspítalinn fram að spítalinn væri með sína eigin starfsmenn á starfsstöð Íslenskrar erfðagreiningar sem ynnu að greiningu sýnanna. Starfsmenn fyrirtækisins kæmu ekki að greiningunni með öðru móti en að hafa umsjón með þeim tækjum og tólum sem starfsmenn sýkla- og veirufræðideildarinnar notuðu og veittu aðstoð ef þyrfi. Mikilvægt væri að starfsmaður Íslenskrar erfðagreiningar hefði umsjón svo að tryggt væri að tækin virkuðu sem skyldi. Aðrir starfsmenn fyrirtækisins hefðu aðgang að rannsóknarstofum og kæliskápum en hefðu ekki heimild til að meðhöndla sýnin.
4. „Hvernig verður staðið að aðgangsstjórnun?“
Um þetta tók Landspítalinn fram að þeir starfsmenn hjá Íslenskri erfðagreiningu sem þyrftu starfs síns vegna að hafa aðgang að rannsóknarstofum og Virlab-kerfinu hefðu þann aðgang. Sama ætti við um starfsmenn sýkla- og veirufræðideildar. Aðrir hefðu ekki aðgang.
5. „Hvaða leiðbeiningar hafa starfsmenn fengið eða munu fá varðandi öryggi persónuupplýsinganna?“
Um þetta tók Landspítalinn fram að allir þeir sem hæfu störf á spítalanum fengju sérstaka nýliðafræðslu þar sem þeir væru fræddir um þá þagnarskyldu sem á þeim hvíldi lögum samkvæmt. Þá væru einnig í gildi verklagsreglur sem sneru að öryggismálum sem væru aðgengilegar og kynntar fyrir starfsmönnum deildarinnar.
3.
Ákvörðun um úttekt – frekari samskipti aðila
Með bréfi, dags. 17. nóvember 2020, tilkynnti Persónuvernd embætti landlæknis, Landspítala og Íslenskri erfðagreiningu að stofnunin hefði ákveðið að gera úttekt á vinnslu persónuupplýsinga hjá þeim hluta starfsemi sýkla- og veirufræðideildar Landspítala sem staðsettur væri á starfsstöð Íslenskrar erfðagreiningar, þ.e. til að fá staðfest hvort fyrirkomulag vinnslu væri eins og fram kæmi í svörum Landspítala og hvernig öryggi upplýsinganna væri tryggt. Í bréfinu óskaði Persónuvernd eftir að fá send frá Landspítalanum þau gögn sem útbúin hefðu verið um þá vinnslu persónuupplýsinga sem fram færi á starfsstöð Íslenskrar erfðagreiningar, þ. á m. verklagsreglur sem kynnu að hafa verið settar, skjalfestingu á upplýsingaöryggi og vinnsluskrá samkvæmt 26. gr. laga nr. 90/2018.
Hinn 7. desember 2020 bárust Persónuvernd umbeðin gögn frá Landspítalanum. Í meðfylgjandi svarbréfi spítalans segir að gögnin hafi verið útbúin af spítalanum og Íslenskri erfðagreiningu.
Í tölvupósti frá Íslenskri erfðagreiningu til Persónuverndar, dags. 11. desember 2020, kemur fram að fyrirtækið líti svo á að efnislega sé erindi stofnunarinnar, dags. 17. nóvember s.á., beint að Landspítala, þótt við sögu komi ýmis gögn um vinnsluna sem fyrirtækið hafi búið til. Þá segir að Íslensk erfðagreining hafi undir höndum svarbréf Landspítala, dags. 7. desember s.á., og geri svarið að sínu.
Með tölvupósti, dags. 24. febrúar 2021, fékk Persónuvernd þær upplýsingar frá Landspítala að sá hluti sýkla- og veirufræðideildar spítalans sem staðsettur hafði verið á starfsstöð Íslenskrar erfðagreiningar hefði verið fluttur í húsnæði spítalans 22. s.m.
Með bréfi, dags. 29. mars 2021, óskaði Persónuvernd eftir að Landspítalinn upplýsti hvort persónuverndarfulltrúi hans hefði haft aðkomu að flutningi starfsemi sýkla- og veirufræðideildar spítalans á starfsstöð Íslenskrar erfðagreiningar. Af svarbréfi Landspítalans, dags. 7. apríl s.á., má ráða að fyrirspurn Persónuverndar hafi verið skilin svo að hún lyti að aðkomu persónuverndarfulltrúa spítalans að flutningi sýkla- og veirufræðideildarinnar frá Íslenskri erfðagreiningu til spítalans. Með tölvupósti, dags. 20. s.m., áréttaði Persónuvernd því framangreinda fyrirspurn sína. Landspítalinn svaraði með tölvupósti, dags. 5. maí 2021, þar sem fram kemur að flutningur sýkla- og veirufræðideildar til Íslenskrar erfðagreiningar hafi ekki verið borinn undir persónuverndarfulltrúa spítalans áður en til hans kom.
4.
Frekari samskipti
Með bréfi Persónuverndar til Landspítala, dags. 22. júní 2021, óskaði stofnunin eftir frekari skýringum í tengslum við svör spítalans sem rakin eru í kafla I.2 hér að framan. Í svarbréfi Landspítala til Persónuverndar, dags. 1. september s.á., komu fram svör spítalans við eftirfarandi spurningum:
1. „Hvaða áhættur voru til staðar þegar greiningu var alfarið sinnt af starfsfólki Íslenskrar erfðagreiningar?“
Um þetta tók Landspítalinn fram að spítalinn hefði ekki framkvæmt sérstakt áhættumat þegar sýkla- og veirufræðideild spítalans var flutt til Íslenskrar erfðagreiningar. Vísaði spítalinn til þess að framkvæmt hefði verið mat á áhrifum á persónuvernd hjá embætti landlæknis, í aðdraganda skimunar á landamærum sumarið 2020.
2. „Hvaða öryggisráðstafanir voru gerðar til að draga úr þeim áhættum?“
Um þetta vísaði Landspítalinn til svars síns við spurningu nr. 1.
3. „Hverjar voru eftirstandandi áhættur?“
Um þetta vísaði Landspítalinn til svars síns við spurningu nr. 1.
4. „Hver var tilgangur þess að starfsmenn Íslenskrar erfðagreiningar höfðu aðgang að Virlab- kerfi fyrirtækisins þegar um sýni sem tekin voru við landamæri var að ræða, þ.e. hvað fólst í aðgangi þeirra?“
Um þetta tók Landspítalinn fram að þrír starfsmenn Íslenskrar erfðagreiningar, sem gegna ábyrgðarhlutverki og fara með mannauðsstjórnun á rannsóknarstofu fyrirtækisins, hefðu haft aðgang að Virlab-kerfinu. Þeir hefðu borið ábyrgð á því að vinnslan við sýnin væri í samræmi við laga- og gæðakröfur sem gerðar væru til rannsóknarstofu fyrirtækisins, m.a. ISO 9001-gæðastaðalinn. Virlab-kerfið hefði verið hannað hjá Íslenskri erfðagreiningu og hefði verið sérsniðið fyrir þetta verkefni. Umræddir þrír starfsmenn hefðu komið að þarfagreiningu fyrir hönnun Virlab-kerfisins, forritun á því og gerð nauðsynlegra uppfærslna. Niðurstöður sýna hefðu verið sendar til embættis landlæknis úr kerfinu eftir að sýnanúmer hefðu verið tengd við nöfn og kennitölur sjúklinga.
5. „Hversu margir starfsmenn Íslenskrar erfðagreiningar höfðu aðgang að Virlab-kerfi fyrirtækisins þegar um svokölluð einkennasýni var að ræða og í hvaða tilgangi, þ.e. hvað fólst í aðgangi þeirra?“
Um þetta tók Landspítalinn fram að þeir þrír starfsmenn sem nefndir eru í svari spítalans við spurningu nr. 4 hefðu haft aðgang að Virlab-kerfinu og í sama tilgangi og þar greinir. Vinnsluferlið á rannsóknarstofu Íslenskrar erfðagreiningar væri það sama hvort sem um væri að ræða sýni tekin við landamæri, einkennasýni eða sóttkvíarsýni.
6. „Hvers vegna var talið nauðsynlegt að starfsmenn Íslenskrar erfðagreiningar hefðu aðgang að kerfi sem geymdi persónuauðkenni skráðra einstaklinga en aðgangur þeirra einskorðaðist við sýnanúmer þegar fyrirtækið sinnti greiningu sýna sem tekin voru við landamæri Íslands frá og með 15. júní 2020?“
Um þetta tók Landspítalinn fram að öll sýni sem hefðu verið greind hjá Íslenskri erfðagreiningu hefðu verið skönnuð í Virlab-kerfið, hvort sem um hefði verið að ræða sýni tekin við landamæri, einkennasýni eða sóttkvíarsýni.
7. „Hversu margir starfsmenn Íslenskrar erfðagreiningar höfðu aðgang að tækjum og tólum sem starfsmenn sýkla- og veirufræðideildarinnar notuðu við greiningu sýnanna?“
Um þetta tók Landspítalinn fram að um tíu starfsmenn fyrirtækisins hefðu haft aðgang að tækjum og tólum, en eingöngu þeir þrír starfsmenn fyrirtækisins sem getið er um í svörum nr. 4 og 5 hefðu haft aðgang að Virlab-kerfinu.
II.
Forsendur og niðurstaða
1.
Afmörkun máls – Gildissvið
Eftirfarandi umfjöllun Persónuverndar miðast eingöngu við það hvort öryggi persónuupplýsinga COVID-19-sjúklinga hafi verið tryggt þegar hluti sýkla- og veirufræðideildar Landspítala var staðsettur á starfsstöð Íslenskrar erfðagreiningar en ekki hvort fullnægjandi heimildir hafi staðið til vinnslu þeirra persónuupplýsinga sem um ræðir.
Að því virtu fellur mál þetta undir gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, eins og það er skilgreint í 1. mgr. 4. gr. laganna, sbr. 2. og 4. tölul. 3. gr. laganna og 1. og 2. tölul. 4. gr. reglugerðarinnar. Samkvæmt 1. mgr. 39. gr. laganna fellur málið jafnframt undir valdsvið Persónuverndar.
Þá afmarkast umfjöllunin annars vegar við það hvort mat á áhrifum á persónuvernd sem lagt var til grundvallar umræddum flutningi hafi verið fullnægjandi og hins vegar við það hvort öryggi gagnanna hafi samrýmst kröfum laga nr. 90/2018.
2.
Ábyrgðaraðili – Vinnsluaðili – Vinnslusamningar
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar.
Á ábyrgðaraðila hvílir skylda til þess að tryggja að vinnsla fari fram í samræmi við lög nr. 90/2018 og reglugerð (ESB) 2016/679. Hluti af því að tryggja það er að vinnsluaðili hagi vinnslu í samræmi við fyrirmæli ábyrgðaraðila. Þau fyrirmæli þarf, samkvæmt 3. mgr. 28. gr. reglugerðarinnar, að skrásetja í samningi þar sem tilgreina skal viðfangsefni og tímalengd vinnslunnar, eðli og tilgang hennar, tegund persónuupplýsinga, flokka skráðra einstaklinga og skyldur og réttindi ábyrgðaraðilans.
Sóttvarnalækni ber samkvæmt 1. tölul. 5. gr. sóttvarnalaga nr. 19/1997 að halda smitsjúkdómaskrá. Tilgangur hennar er að afla nákvæmra upplýsinga um greiningu smitsjúkdóma frá rannsóknarstofum, sjúkrahúsum og læknum. Tilgangur hennar er einnig stuðningur við sóttvarnastarf og faraldsfræðirannsóknir, sbr. 3. gr. sóttvarnalaga. Samkvæmt 1. mgr. 4. gr. sóttvarnalaga ber embætti landlæknis ábyrgð á framkvæmd sóttvarna og samkvæmt 2. mgr. sömu greinar skal við embættið starfa sóttvarnalæknir sem ber ábyrgð á sóttvörnum. Sóttvarnalæknir starfar þannig við embætti landlæknis og er ábyrgðaraðili allra þeirra upplýsinga sem unnar eru í tengslum við störf samkvæmt sóttvarnalögum. Eins og hér háttar til telst sóttvarnalæknir því vera ábyrgðaraðili að umræddri vinnslu.
Ábyrgðaraðili getur falið öðrum aðila að vinna með persónuupplýsingar fyrir sína hönd. Nánar tiltekið er þar um að ræða vinnsluaðila samkvæmt 7. tölul. 3. gr. laga nr. 90/2018 og 8. tölul. 4. gr. reglugerðar (ESB) 2016/679, þ.e. aðila sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, en við slíkan vinnsluaðila skal gerður sérstakur samningur í samræmi við 3. mgr. 25. gr. laganna og 3. mgr. 28. gr. reglugerðarinnar. Fyrir liggur að sóttvarnalæknir hefur samið við Landspítala um að vinna með persónuupplýsingar sem hann ber ábyrgð á og telst spítalinn vera vinnsluaðili hvað þá vinnslu snertir, sbr. vinnslusamning aðila, dags. 21. desember 2015.
Samkvæmt 2. mgr. 25. gr. laga nr. 90/2018, sbr. 2. mgr. 28. gr. reglugerðarinnar, er vinnsluaðila heimilt að ráða til verks annan vinnsluaðila, oft nefndan undirvinnsluaðila, enda hafi hann til þess sértæka eða almenna skriflega heimild ábyrgðaraðila. Fyrir liggur að gerður var samningur milli Landspítala og Íslenskrar erfðagreiningar, dags. 12. mars 2020, þar sem Landspítalinn felur Íslenskri erfðagreiningu vinnslu sem leiðir af skyldum Landspítala samkvæmt vinnslusamningi sóttvarnalæknis og Landspítala. Nánar tiltekið er þar kveðið á um að vinnsla Íslenskrar erfðagreiningar á persónuupplýsingum fyrir Landspítala felist í söfnun og skimun fyrir COVID-19-veirunni í lífsýnum sem fyrirtækið safni sjálft eða fái send frá spítalanum. Er Íslensk erfðagreining því undirvinnsluaðili í skilningi áðurnefndrar lagagreinar enda lá fyrir skrifleg heimild í vinnslusamningi sóttvarnalæknis og Landspítalans þess efnis að Landspítalinn mætti nýta slíkan aðila við framkvæmd vinnslunnar.
Verða vinnslusamningar aðila ekki skoðaðir frekar í þessu samhengi en rétt er að taka fram að fjallað er um þá í ákvörðun Persónuverndar, dags. 23. nóvember 2021, um skimanir á Íslandi fyrir SARS-Cov-2-veirunni sem veldur COVID-19-sjúkdóminum (2020061954), sem og í ákvörðun stofnunarinnar, dags. s.d., um öflun samþykkis COVID-19-sjúklinga á Landspítala fyrir notkun blóðsýna þeirra í þágu vísindarannsóknarinnar Faraldsfræði SARS-CoV-2-veirunnar og áhrif erfða og undirliggjandi sjúkdóma á COVID-19-sjúkdóminn sem hún veldur (2020061951).
3.
Meginreglur um vinnslu persónuupplýsinga
Öll vinnsla persónuupplýsinga verður að samrýmast meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Í 6. tölul. segir að persónuupplýsingar skuli unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt.
Framangreindar meginreglur eru útfærðar frekar í öðrum ákvæðum í lögunum þar sem mælt er nánar fyrir um inntak þeirra. Í máli þessu reynir á ákvæði tengd meginreglunni um öryggi persónuupplýsinga í 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018, þ.e. ákvæði um mat á áhrifum á persónuvernd og öryggi persónuupplýsinga. Verður fjallað um þessi ákvæði í 4. og 5. kafla hér á eftir.
4.
Mat á áhrifum á persónuvernd
Í 1. mgr. 29. gr. laga nr. 90/2018, sbr. 1. mgr. 35. gr. reglugerðar (ESB) 2016/679, er kveðið á um að ábyrgðaraðili skuli láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan fer fram, ef líklegt er að vinnslan geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar. Ef slíkt mat gefur til kynna að vinnsla myndi hafa mikla áhættu í för með sér, nema ábyrgðaraðili grípi til ráðstafana til að draga úr henni, skal ábyrgðaraðili hafa samráð við Persónuvernd áður en vinnslan hefst, sbr. 30. gr. laga nr. 90/2018, sbr. 36. gr. reglugerðarinnar. Telji Persónuvernd að fyrirhuguð vinnsla myndi brjóta í bága við reglugerð (ESB) 2016/679, einkum ef ábyrgðaraðili hefur ekki greint eða dregið úr áhættunni með fullnægjandi hætti, skal stofnunin veita ábyrgðaraðila og, eftir atvikum, vinnsluaðila skriflega ráðgjöf og getur notað til þess allar valdheimildir sínar sem um getur í 41.-43. gr. laganna, sbr. 58. gr. reglugerðarinnar.
Með tölvupósti 11. júní 2020 óskaði embætti landlæknis eftir fyrirframsamráði við Persónuvernd í tengslum við sóttvarnaráðstafanir á landamærum Íslands frá og með 15. s.m. Með tölvupóstinum fylgdu mat á áhrifum á persónuvernd vegna fyrirhugaðra ráðstafana, drög að tölvupósti sem farþegum á leið til Íslands myndi berast að lokinni útfyllingu forskráningareyðublaðs, þar sem þeir tækju afstöðu til þess hvort þeir ætluðu í sýnatöku eða sóttkví við komuna til landsins, og skýringarmynd með yfirliti yfir helstu kerfi og upplýsingaflæði milli þeirra. Einnig fylgdi afrit reglugerðar nr. 580/2020, um sóttkví, einangrun og sýnatöku við landamæri Íslands vegna COVID-19. Persónuvernd barst uppfært mat á áhrifum á persónuvernd þann 12. júní 2020 og viðbótarupplýsingar með tölvupósti þann 14. júní s.á.
Tekið er fram í erindi embættis landlæknis að greining sýna þeirra sem kjósa að undirgangast sýnatöku fari fram á ábyrgð sýkla- og veirufræðideildar Landspítala samkvæmt samningi við sóttvarnalækni. Íslensk erfðagreining sinni svo greiningu sýna samkvæmt samningi við sýkla- og veirufræðideild spítalans. Starfsmenn við greiningu sýna hafi einungis aðgang að upplýsingum um sýnanúmer en engum persónuupplýsingum um viðkomandi farþega. Öllum sýnum sé eytt svo skjótt sem auðið sé eftir að niðurstaða liggi fyrir, sbr. 7. mgr. 4. gr. reglugerðar um sóttkví, einangrun og sýnatöku á landamærum Íslands. Jákvæð sýni kunni þó að verða send til frekari rannsóknar í læknisfræðilegum tilgangi, ef þörf krefji. Þegar niðurstaða liggi fyrir sé hún send í sóttvarnagrunninn og númer viðkomandi sýnis tengt við skráðan farþega. Upplýsingum um neikvæða niðurstöðu sé sjálfkrafa eytt úr sóttvarnagrunni 14 dögum eftir að þær liggi fyrir.
Persónuvernd veitti embætti landlæknis ráðgjöf með bréfi, dags. 14. júní 2020. Í bréfinu kemur fram það mat Persónuverndar að ekki sé ástæða til að ætla að sú vinnsla persónuupplýsinga sem sóttvarnaráðstafanir á landamærum Íslands myndu hafa í för með sér, eins og þeim var lýst í erindi embættis landlæknis, myndi brjóta í bága við lög nr. 90/2018 eða reglugerð (ESB) 2016/679. Þá var það mat Persónuverndar að mat á áhrifum á persónuvernd vegna ráðstafananna bæri einnig með sér að leitast hefði verið við að takmarka eftir föngum þær persónuupplýsingar sem unnið yrði með, sem og aðgengi að þeim.
Hér er til skoðunar hvort sú vinnsla sem framangreint mat á áhrifum á persónuvernd nær til sé sambærileg vinnslu persónuupplýsinga hjá þeim hluta starfsemi sýkla- og veirufræðideildar Landspítalans sem staðsettur var á starfsstöð Íslenskrar erfðagreiningar. Við það mat er einkum litið til þess eðlismunar sem var á aðgengi starfsmanna Íslenskrar erfðagreiningar að þeim persónuupplýsingum sem unnið var með. Við landamæraskimunina sem hófst 15. júní 2020 höfðu starfsmenn fyrirtækisins, samkvæmt upphaflegu fyrirkomulagi, einungis aðgang að sýnanúmerum við greiningu sýna. Hér er til skoðunar sú staða að þau sýni sem voru tekin á heilsugæslum, þ.e. svokölluð einkennasýni, voru auðkennd með kóða sem hægt var að rekja niður á einstakling í Virlab-kerfi Íslenskrar erfðagreiningar. Þá voru nöfn og tilbúnar kennitölur þeirra einstaklinga sem höfðu greinst jákvæðir í landamæraskimun skráð í sama kerfi sem var aðgengilegt þremur starfsmönnum fyrirtækisins.
Í ljósi þess að starfsmenn Íslenskrar erfðagreiningar fengu aðgang að persónuupplýsingum COVID-19-sjúklinga, þegar hluti sýkla- og veirufræðideildar Landspítala var staðsettur á starfsstöð fyrirtækisins, er það mat Persónuverndar að vinnsla sú sem framangreint mat á áhrifum á persónuvernd nær til sé ekki sambærileg þeirri vinnslu sem hér er til skoðunar.
Í samræmi við framangreint er það mat Persónuverndar að framkvæma hefði þurft nýtt mat á áhrifum á persónuvernd, sbr. 1. mgr. 29. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. 1. mgr. 35. gr reglugerðar (ESB) 2016/679, áður en hluti starfsemi sýkla- og veirufræðideildar Landspítala var fluttur á starfsstöð Íslenskrar erfðagreiningar.
5.
Öryggi gagnanna á starfsstöð Íslenskrar erfðagreiningar
Ábyrgðaraðili vinnslu persónuupplýsinga skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka m.a. mið af eðli og umfangi vinnslu og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnslan uppfylli kröfur persónuverndarreglugerðarinnar (ESB) 2016/679, sbr. 1. mgr. 24. gr. reglugerðarinnar.
Með hliðsjón af nýjustu tækni, kostnaði við framkvæmd og eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga skal ábyrgðaraðili, bæði þegar ákveðnar eru aðferðir við vinnsluna og þegar vinnslan sjálf fer fram, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir, svo sem notkun gerviauðkenna, sem hannaðar eru til að framfylgja meginreglum um persónuvernd, og fella nauðsynlegar verndarráðstafanir inn í vinnsluna til að uppfylla kröfur reglugerðarinnar og vernda réttindi skráðra einstaklinga, sbr. 1. mgr. 25. gr. reglugerðarinnar.
Ábyrgðaraðili skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni. Þessi skylda gildir m.a. um aðgang að persónuupplýsingum. Einkum skal tryggja að það sé sjálfgefið að persónuupplýsingar verði ekki gerðar aðgengilegar ótakmörkuðum fjölda fólks án íhlutunar viðkomandi einstaklings, sbr. 2. mgr. 25. gr. reglugerðarinnar.
Með vísan til sömu sjónarmiða og að framan greinir skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi miðað við áhættuna, svo sem nota gerviauðkenni eða dulkóða persónuupplýsingar. Þegar viðunandi öryggi er metið skal einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, t.d. að upplýsingar verði birtar eða að aðgangur verði veittur að þeim í leyfisleysi, sbr. 1. og 2. mgr. 32. gr. reglugerðarinnar.
Persónuvernd lítur svo á að við mat á eðli umræddrar vinnslu persónuupplýsinga og áhættu fyrir hina skráðu skipti máli að unnið var með heilsufarsupplýsingar þeirra inni á starfsstöð annars aðila en ábyrgðaraðila.
Með hliðsjón af framangreindum ákvæðum, eðli umræddrar vinnslu og áhættu sem henni fylgdi fyrir skráða einstaklinga var afar brýnt að af hálfu sóttvarnalæknis væri tryggt öryggi þeirra persónuupplýsinga, sem unnar voru á hans ábyrgð inni á starfsstöð Íslenskrar erfðagreiningar. Í því skyni hefði þurfti að stýra m.a. aðgengi að þeim þannig að þær yrðu ekki gerðar aðgengilegar þeim sem ekki skyldu hafa aðgang.
Í svörum Landspítala er m.a. rakið að aðgangsstýring hafi verið að Virlab-kerfi Íslenskrar erfðagreiningar, sem geymdi persónuauðkenni skráðra einstaklinga. Eingöngu þrír starfsmenn fyrirtækisins hafi haft aðgang að kerfinu sem starfs síns vegna þurftu að hafa aðgang að því, en þeir hafi komið að þarfagreiningu fyrir hönnun þess, forritun á því og gerð nauðsynlegra uppfærslna. Þeir hafi borið ábyrgð á því að vinnslan við sýnin væri í samræmi við laga- og gæðakröfur sem gerðar væru til rannsóknarstofu fyrirtækisins, m.a. ISO 9001-gæðastaðalinn.
Af svörum Landspítala og þeim gögnum sem liggja fyrir í málinu verður ekki ráðið að öryggi persónuupplýsinganna hafi verið ábótavant en áréttað skal að framkvæma hefði þurft nýtt mat á áhrifum á persónuvernd. Er þar litið til framangreindra lagaákvæða um ábyrgð ábyrgðaraðila, innbyggða og sjálfgefna persónuvernd og öryggi við vinnslu persónuupplýsinga.
6.
Samandregin niðurstaða
Það er niðurstaða Persónuverndar að mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga, sem lagt var til grundvallar þegar hluti starfsemi sýkla- og veirufræðideildar Landspítala flutti á starfsstöð Íslenskrar erfðagreiningar, hafi ekki uppfyllt kröfur laga nr. 90/2018, sbr. reglugerð (ESB) 2016/679.
Einnig er það niðurstaða Persónuverndar að ekkert liggi fyrir um að skortur á viðeigandi tæknilegum og skipulagslegum ráðstöfunum hafi valdið því að öryggi persónuupplýsinganna hafi ekki uppfyllt kröfur laga nr. 90/2018, sbr. reglugerð (ESB) 2016/679.
Í þessu sambandi skal áréttað að hlutverk Persónuverndar er m.a. að hafa eftirlit með framkvæmd löggjafar um vinnslu persónuupplýsinga, sbr. 1. mgr. 39. gr. laga nr. 90/2018, og getur stofnunin fjallað um einstök mál og tekið í þeim ákvörðun að eigin frumkvæði, sbr. 3. mgr. sama ákvæðis og 2. tölul. 41. gr. laganna, sbr. b-lið 1. mgr. 58. gr. reglugerðar (ESB) 2016/679.
Þá ber ábyrgðaraðila að veita Persónuvernd hverjar þær upplýsingar sem stofnunin þarfnast vegna framkvæmdar laga nr. 90/2018 og reglugerðar (ESB) 2016/679, sbr. 1. tölul. 41. gr. laganna, sbr. a-lið 1. mgr. 58. gr. reglugerðarinnar.
Eins og rakið er í upphafi álits þessa var þess óskað í bréfi Persónuverndar, dags. 14. ágúst 2020, að svör Landspítala bærust áður en fyrirhuguð starfsemi sýkla- og veirufræðideildar Landspítalans hæfist á starfsstöð Íslenskrar erfðagreiningar. Þrátt fyrir þessa beiðni Persónuverndar bárust stofnuninni umbeðin svör Landspítala eftir að umræddur flutningur hafði átt sér stað og eftir að hafa ítrekað erindi sitt í tvígang. Er það að mati Persónuverndar verulega ámælisvert í ljósi eftirlitshlutverks stofnunarinnar.
Persónuvernd bendir á að um vinnslu persónuupplýsinga gilda lög nr. 90/2018 og reglugerð (ESB) 2016/679 og að fara ber eftir þeirri löggjöf þrátt fyrir að heimsfaraldur geisi eins og fram kemur í yfirlýsingu Evrópska persónuverndarráðsins (EDPB), um vinnslu persónuupplýsinga í tengslum við útbreiðslu COVID-19, sem var gefin út 19. mars 2020.
Persónuvernd tekur þó einnig fram að stofnunin gerir sér grein fyrir þeirri ógn sem stafað hefur af COVID-19-sjúkdóminum í íslensku samfélagi frá upphafi faraldursins og því álagi sem íslensk heilbrigðisyfirvöld hafa verið undir. Með hliðsjón af þessum sérstöku aðstæðum hefur mál þetta ekki verið sett í sektarfarveg, sbr. 1. mgr. 47. gr. laga nr. 90/2018.
Á k v ö r ð u n a r o r ð:
Mat á áhrifum á persónuvernd, sem framkvæmt var hjá embætti landlæknis, og lagt var til grundvallar flutningi hluta starfsemi sýkla- og veirufræðideildar Landspítalans á starfsstöð Íslenskrar erfðagreiningar, uppfyllti ekki kröfur laga nr. 90/2018, sbr. reglugerð (ESB) 2016/679.
Persónuvernd, 29. nóvember 2021
Ólafur Garðarsson
formaður
Björn Geirsson Sindri M. Stephensen
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson