Úrskurður um ítrekun á boði um þátttöku í vísindarannsókn með SMS-skilaboðum
Mál nr. 2017/87
Persónuvernd hefur úrskurðað um að sending ítrekunar með SMS-skilaboðum á boði um þátttöku í vísindarannsókn á heilbrigðissviði hafi samrýmst ákvæðum laga nr. 77/2000.
Úrskurður
Á fundi stjórnar Persónuverndar hinn 22. ágúst 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/87:
I.
Tildrög máls og bréfaskipti
1.
Persónuvernd hefur borist kvörtun frá [A] (hér eftir nefnd „kvartandi“), dags. 11. janúar 2017, yfir SMS-sendingu í farsíma hennar hinn 21. desember 2016 til að ítreka boð sem henni hafði verið sent bréflega um að taka þátt í rannsóknarverkefninu „Blóðskimun til bjargar – Þjóðarátak gegn mergæxlum“, sem og yfir því að Hið íslenska númeraflutningsfélag hafi afhent farsímanúmer hennar, sem sé óskráð í símaskrá, þeim hópi sem stendur að verkefninu. Tekið er fram í kvörtun að hún hafi ekki veitt aðgang að símanúmeri sínu, né heldur samþykkt að haft yrði samband við hana með fyrrgreindum hætti. Þá segir meðal annars að ekki sé um að ræða persónulegt númer hennar, enda sé hún með farsíma á vegum vinnustaðar síns. Númerið sé skráð hjá viðkomandi fjarskiptafyrirtæki undir kennitölu vinnustaðarins en á nafn hennar. Það komi hvergi fram í símaskrá á vefnum ja.is eða neins staðar opinberlega svo að hún viti. Þá sé það í hæsta máta óeðlilegt og óviðeigandi, líklega ekki í samræmi við siðareglur um klínískar rannsóknir, að fólk sé áreitt með SMS-sendingum að kvöldlagi til að þrýsta á það um að taka þátt í klínískri rannsókn. Hafi hún sent rannsóknarhópnum skilaboð á Facebook-síðu hans hinn 9. janúar 2017 þar sem spurt hafi verið hvaðan hann hafi fengið farsímanúmer hennar og hafi henni borist það svar síðar sama dag að númerið hafi verið fengið úr símanúmeragagnagrunni Hins íslenska númeraflutningsfélags (HÍN). Segir að hún hafi aldrei heyrt um það félag og að hún sé ekki sátt við að það afhendi rannsóknarhópnum farsímanúmer hennar í þágu rannsóknarinnar án þess að hún hafi veitt til þess leyfi.
2.
Með bréfi, dags. 17. mars 2017, veitti Persónuvernd forsvarsmanni umrædds rannsóknarhóps, [B], prófessor við læknadeild Háskóla Íslands, færi á að tjá sig fyrir hönd hópsins um framangreinda kvörtun. Jafnframt veitti stofnunin Hinu íslenska númeraflutningsfélagi færi á að tjá sig um kvörtunina með bréfi, dags. s.d. Svar rannsóknarhópsins barst frá [B], auk [C], lögfræðings vísinda- og nýsköpunarsviðs HÍ, með bréfi, dags. 29. mars 2017. Þá barst Persónuvernd svar frá Hinu íslenska númeraflutningsfélagi (HÍN) hinn 31. s.m.
Í fyrrnefndu svari rannsóknarhópsins segir að umrætt rannsóknarverkefni styðjist við leyfi Vísindasiðanefndar, dags. 26. apríl 2016, veittu að sendri umsókn til nefndarinnar, dags. 2. febrúar s.á., en á umsókninni (þar sem umrætt rannsóknarverkefni er nefnt „Skimun fyrir góðkynja, einstofna mótefnahækkun“) var [B] tilgreindur sem ábyrgðarmaður rannsóknarinnar. Þá er vísað til þess í svarinu að samkvæmt 13. gr. laga nr. 44/2014 um vísindarannsóknir á heilbrigðissviði skal senda Persónuvernd yfirlit yfir vinnslu persónuupplýsinga í þágu slíkra rannsókna í aðdraganda ákvarðana nefndarinnar um leyfisveitingu. Hafi Persónuvernd ekki gert athugasemdir við vinnslu persónuupplýsinga vegna framangreinds rannsóknarverkefnis.
Einnig er vísað til þess að í fyrrnefndri umsókn til Vísindasiðanefndar, þ.e. lið D-2, hafi verið tekið fram að í þágu hennar yrði fenginn listi frá Þjóðskrá yfir alla einstaklinga fædda 1975 eða fyrr, með upplýsingum um fullt nafn, kennitölu og heimilisfang. Kynningarbréf yrði sent á heimili þessara einstaklinga, en bærist ekki svar yrðu tvö dreifbréf send og þeim fylgt eftir með símtali til að ná til sem flestra. Hafi rannsóknarhópurinn talið SMS-skilaboð jafngilda símtali og hafi Vísindasiðanefnd staðfest þann skilning hópsins í tölvupósti hinn 4. janúar 2017.
Að auki segir að Miðlun ehf. hafi verið falið að fylgja eftir boði um þátttöku í umræddu rannsóknarverkefni með því að hafa samband við þá sem ekki svöruðu boðinu. Hafi rannsóknarhópurinn óskað eftir skýringum frá Miðlun ehf. á framkvæmd fyrirtækisins við öflun símanúmera einstaklinga í rannsóknarþýði og fengið það svar að þeirra hefði verið aflað úr gagnagrunni HÍN sem miðli upplýsingum til veitenda símaskrárþjónustu. Hafi einnig komið fram af hálfu Miðlunar ehf. að HÍN fái uppfærslur frá fjarskiptafyrirtækjunum öllum og miðli þeim áfram á 24 klst. fresti til umræddra þjónustuveitenda. Þá hafi Miðlun ehf. greint frá því að ekki væri nóg fyrir einstaklinga, sem ekki vilja að símanúmer sín séu birt, að fá þeim eytt af vefnum ja.is heldur þurfi þeir að hafa samband við fjarskiptafyrirtæki sitt og óska þar eftir að númer sé ekki á skrá. Jafnframt hafi Miðlun ehf. bent á að símanúmer kvartanda sé skráð á vefnum 1819.is.
Í framangreindu svari HÍN segir að starfsemi þess félags felist í því að vera sameiginlegur vinnsluaðili fjarskiptafyrirtækja í landinu sem haldi svonefnda vistfangaskrá með grunnupplýsingum um áskrifendur fjarskiptaþjónustu. Þá miðli HÍN slíkum grunnupplýsingum til upplýsingaveitna sem gefa út símaskrár eða starfrækja upplýsingaþjónustu um símanúmer og hafa formlega tilkynnt Póst- og fjarskiptastofnun um það. Sem vinnsluaðili beri HÍN ekki ábyrgð á áðreiðanleika upplýsinga í fyrrnefndri vistfangaskrá heldur séu það fjarskiptafyrirtækin sem hafa eigi með með höndum uppfærslu upplýsinganna, en auk þess geti áðurnefndar upplýsingaveitur breytt grunnupplýsingum hafi þær fengið til þess heimild í samningum við hlutaðeigandi fjarskiptafyrirtæki.
Einnig segir í svari HÍN að upplýsingar um símanúmer kvartanda hafi ekki borist umræddum rannsóknarhópi frá HÍN heldur upplýsingaveitunni Miðlun ehf. Hafi HÍN ekki tekið formlega afstöðu til þess né sett fram verklagsreglur um hvernig upplýsingaveitur skuli fara með gögn sem þær sækja í gagnagrunn HÍN. Þó sé ljóst að það sé ekki hlutverk HÍN að hafa eftirlit með þvi hvernig upplýsingaveitur meðhöndli upplýsingarnar umfram það að beina ábendingum til Póst- og fjarskiptastofnunar um nauðsyn þess að setja upplýsingaveitunum einhverjar skýrar reglur. Þá er lýst þeirri afstöðu að í ljósi framangreinds eigi HÍN ekki aðild að máli þessu.
3.
Með bréfi, dags. 19. júlí 2017, veitti Persónuvernd Miðlun ehf. færi á að tjá sig um framangreinda kvörtun. Svarað var með bréfi, dags. 1. ágúst 2017. Þar kemur fram að fyrirtækið hafi unnið samskiptalista vegna umrædds rannsóknarverkefnis, en þar hafi verið stuðst við fyrirframgefnar forsendur frá aðstandendum þess. Þá segir að í framhaldinu hafi verið haft samband við viðkomandi einstaklinga á grundvelli upplýsinga í símaskrá, þ. á m. við kvartanda, en farsímanúmer hennar hafi verið að finna í skránni.
4.
Með bréfi, dags. 19. júlí 2017, veitti Persónuvernd kvartanda færi á að tjá sig um framangreint bréf þess hóps sem stendur að umræddu rannsóknarverkefni, dags. 29. mars 2017, sem og bréf HÍN, dags. 31. s.m. Ekki hefur borist svar frá kvartanda.
5.
Þess var óskað af [B] og [C] í tölvupósti hinn 19. júlí 2017 að Persónuvernd yrði sent afrit af þeirri afgreiðslu Vísindasiðanefndar frá 4. janúar 2017 sem nefnd er í 2. kafla hér að framan. Afgreiðslan barst stofnuninni hinn 9. ágúst s.á. Er þar lýst þeirri afstöðu að ítrekun á boði til þátttöku í vísindarannsókn á heilbrigðissviði, sem send sé með SMS-skilaboðum, jafngildi því að ítrekað sé með símtali.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Ábyrgðaraðili
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Fyrir liggur að samkvæmt umsókn um heimild Vísindasiðanefndar til að gera rannsóknarverkefnið „Blóðskimun til bjargar – Þjóðarátak gegn mergæxlum“ (þar nefnt „Skimun fyrir góðkynja, einstofna mótefnahækkun“ eins og fyrr segir), dags. 2. febrúar 2016, er [B] ábyrgðarmaður verkefnisins. Eins og hér háttar til telst hann jafnframt vera ábyrgðaraðili að vinnslu persónuupplýsinga í þágu rannsóknarinnar, þ. á m. vinnslu vegna sendingar þátttökuboðs til kvartanda og ítrekunar á því. Miðlun ehf. telst hins vegar vera ábyrgðaraðili að þeirri vinnslu sem fólst í því að afhenda þeim hópi sem stendur að rannsókninni farsímanúmer kvartanda.
2.
Lögmæti vinnslu
Svo að heimilt sé að vinna með persónuupplýsingar þarf ávallt að vera fullnægt einhverri af kröfum 8. gr. laga nr. 77/2000. Að því marki sem um ræðir viðkvæmar persónuupplýsingar, sbr. upptalningu 8. tölul. 2. gr. laga nr. 77/2000, þarf einnig að vera fullnægt einhverri af viðbótarkröfum 9. gr. laga nr. 77/2000 til vinnslu slíkra upplýsinga. Fyrir liggur að sending þátttökuboða vegna umrædds rannsóknarverkefnis byggðist ekki á heilsufarslegum þáttum eða öðru sem fellur undir framangreinda upptalningu heldur þjóðskrárúrtaki. Reynir því ekki á kröfur 9. gr. laganna í máli þessu.
Samkvæmt 5. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna. Kemur fram í athugasemdum við ákvæðið í greinargerð með því frumvarpi sem varð að lögunum að með þessu sé átt við verkefni sem hafi þýðingu fyrir breiðan hóp manna, en það geti til dæmis átt við um vinnslu í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi. Telur Persónuvernd þá vinnslu, sem fram fer innan þess hóps sem stendur að fyrrnefndu rannsóknarverkefni, falla hér undir og því eiga undir umrædda heimild laganna.
Í 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er mælt fyrir um að vinna megi með persónuupplýsingar sé það nauðsynlegt í þágu lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Telur Persónuvernd einkum reyna á þessa vinnsluheimild í tengslum við þá vinnslu Miðlunar ehf. að veita aðgang að upplýsingum um símanúmer, en í því sambandi er til þess að líta að í 45. gr. fjarskiptalaga nr. 81/2003 er gert ráð fyrir að haldið sé úti opinberum símaskrám. Meðal annars í ljósi þess telur Persónuvernd umrædda heimild laga nr. 77/2000 eiga hér við.
Auk þess sem vinnsla persónuupplýsinga verður að eiga stoð í 8. gr. laga nr. 77/2000 verður öðrum kröfum sömu laga og reglna settra með stoð í þeim að vera fullnægt um vinnsluna, sem og, eftir atvikum, kröfum í annarri löggjöf. Hvað varðar sendingu þátttökuboða og ítrekana á þeim vegna áðurnefnds rannsóknarverkefnis getur þá meðal annars reynt á reglur nr. 170/2001 um það hvernig afla skal upplýsts samþykkis fyrir vinnslu persónuupplýsinga í vísindarannsókn á heilbrigðissviði. Meginstoðina fyrir setningu þeirra reglna var að finna í 4. mgr. 9. gr. laga nr. 77/2000 þar sem fram kom að Persónuvernd gæti sett slíkar reglur að fenginni umsögn Vísindasiðanefndar. Þetta ákvæði hefur nú verið fellt brott, en þess í stað gerir löggjöf ráð fyrir að Vísindasiðanefnd setji reglur sem þessar, sbr. 3. mgr. 18. gr. laga nr. 44/2014. Hefur Vísindasiðanefnd ekki sett reglur á grundvelli ákvæðisins. Reynir þá á hvort enn sé hægt að byggja á reglum nr. 170/2001. Í því sambandi er til þess að líta að samkvæmt 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 skal þess gætt við vinnslu persónuupplýsinga að unnið sé í samræmi við vandaða vinnsluhætti. Telur Persónuvernd að framkvæmd, sem mótast hefur á grundvelli umræddra reglna, teljist til slíkra vinnsluhátta og að því megi nota reglurnar sem mælikvarða á hvort verklag við vinnslu hafi samrýmst lögunum, að teknu tilliti til framkvæmdar Vísindasiðanefndar á grundvelli laga nr. 44/2014, sbr. m.a. 1. mgr. 12. gr. laganna þar sem fram kemur að nefndin geti bundið leyfisveitingar sínar skilyrðum.
Samkvæmt 1. mgr. 3. gr. reglna nr. 170/2001 má fylgja bréfi, þar sem einstaklingi í þjóðskrárúrtaki er boðið að taka þátt í vísindarannsókn, eftir með annaðhvort einu öðru bréfi eða einu símtali þegar a.m.k. vika er liðin frá því að bréf var sent út, en þó aðeins til þeirra sem ekki hafa svarað en ekki þeirra sem hafna þátttöku. Þá segir í ákvæðinu að með sömu skilyrðum megi enn fylgja málinu eftir með einu bréfi eða einu símtali þegar tvær vikur eru liðnar frá slíkri ítrekun. Samkvæmt þessu gera reglurnar ráð fyrir að aðeins megi hafa tvisvar samband við einstakling til að ítreka þátttökuboð, en eins og fyrr er rakið var við framkvæmd umræddrar rannsóknar fylgt því verklagi að hafa þrisvar sinnum samband við einstakling, þ.e. með bæði tveimur bréfum og með símtali eða, eftir atvikum, SMS-skilaboðum sem talið hafi verið ígildi símtals. Til þess er hins vegar að líta að Vísindasiðanefnd hefur fallist á það verklag. Í ljósi fyrrnefnds ákvæðis 1. mgr. 12. gr. laga nr. 44/2014 sér Persónuvernd því ekki tilefni til athugasemda við það. Auk þess skal tekið fram að telja má það fremur falla undir starfssvið nefndarinnar frekar en Persónuverndar að taka afstöðu til nánari atriða í þessu sambandi, s.s. á hvaða tíma sólarhrings telja megi eðlilegt að ítreka þátttökuboð. Þá skal tekið fram að þar sem Miðlun ehf. var ábyrgðaraðili að afhendingu farsímanúmers kvartanda í þágu umrædds rannsóknarverkefnis bar hún jafnframt ábyrgð á því að sá hópur, sem stendur að rannsókninni, fengi ekki í hendur númer sem hún gat haft vitneskju um að ekki eiga að vera opinber, sbr. rétt manna samkvæmt 1. mgr. 45. gr. fjarskiptalaga nr. 81/2003 að vera óskráðir í símaskrá. Þegar til alls þessa er litið telur Persónuvernd að vinnsla innan rannsóknarhópsins á upplýsingum um kvartanda vegna þátttökuboðs og ítrekunar á því hafi samrýmst ákvæðum laga nr. 77/2000.
Hvað varðar vinnslu Miðlunar ehf. í tengslum við veitingu aðgangs að upplýsingum um símanúmer reynir á ákvæði í lögum nr. 81/2003. Eins og fyrr er getið er þar gert ráð fyrir að haldið sé úti opinberum símaskrám. Þá segir í 3. mgr. 45. gr. laganna að Póst- og fjarskiptastofnun skuli tryggja að öllum notendum sé opin a.m.k. ein símaskrá sem hafi upplýsingar um öll símanúmer, sem og að til staðar sé a.m.k. ein símaupplýsingaþjónusta sem sé opin öllum notendum með upplýsingum um öll símanúmer, sbr. þó 1. mgr. sömu greinar um meðal annars rétt manna til að vera óskráðir í símaskrá. Jafnframt segir í 3. mgr. greinarinnar að Póst- og fjarskiptafyrirtæki geti í þessu skyni lagt viðeigandi kvaðir á fyrirtæki með umtalsverðan markaðsstyrk. Fyrir liggur að á Já upplýsingaveitu hf. hvíldu slíkar kvaðir, en þær voru hins vegar afnumdar með ákvörðun Póst- og fjarskiptastofnunar, dags. 20. desember 2013, í máli nr. 31/2013. Ekki verður séð að nú sé starfandi aðili sem haldi úti slíkri miðlægri skrá og 3. mgr. 45. gr. laga nr. 81/2003 gerir ráð fyrir þar sem þess er jafnframt gætt að ekki komi fram upplýsingar um þá sem kjósa að vera óskráðir í símaskrá. Þá verður ekki séð að einhver einn aðili hafi með höndum þá þjónustu að tryggja rétt manna þar að lútandi. Þess í stað verður ráðið af gögnum málsins að fjarskiptanotendur, sem kjósa að neyta þess réttar, verði hver og einn að líta til fjarskiptafyrirtækis síns. Ekki verður séð að Miðlun ehf. geti borið ábyrgð á þeirri aðstöðu og telur Persónuvernd því ekki annað liggja fyrir, þ. á m. í ljósi þess sem fyrr segir um vinnsluheimild á grundvelli 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, en að vinnsla fyrirtækisins á símanúmeri kvartanda hafi samrýmst ákvæðum þeirra laga.
Ú r s k u r ð a r o r ð:
Vinnsla innan þess hóps, sem stendur að rannsóknarverkefninu „Blóðskimun til bjargar – Þjóðarátak gegn mergæxlum“, á persónuupplýsingum um [A] til að ítreka boð til hennar um þátttöku í rannsókninni, sem og afhending Miðlunar ehf. á farsímanúmeri [A] til rannsóknarhópsins, samrýmdist ákvæðum laga nr. 77/2000.