Beiðni Landspítalans um álit á samþykkiseyðublaði fyrir notkun á smáforriti
Mál nr. 2021071529
Efni: Beiðni Landspítalans um álit á samþykkiseyðublaði fyrir notkun á smáforriti
1.
Erindi Landspítalans og afmörkun
Persónuvernd vísar til erindis Landspítalans, dags. 27. júlí 2021, þar sem óskað er eftir áliti Persónuverndar á samþykkiseyðublaði sem Landspítalinn hyggst nota vegna smáforrits sem verið er að þróa af spítalanum. Með tölvupósti, dags. 8. desember 2021, óskaði Persónuvernd eftir frekari upplýsingum, m.a. drögum að samþykkiseyðublaðinu. Svar barst með tölvupósti þann 26. janúar 2021.
Í áliti þessu verður eingöngu fjallað um hvort drög að samþykkiseyðublaði því sem Landspítalinn óskaði álits á verði talið uppfylla skilyrði samþykkis og fræðslu samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Verður því ekki fjallað um smáforritið sjálft, eiginleika þess, öryggi persónuupplýsinga eða önnur atriði.
Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
2.
Skilyrði samþykkis og fræðsla
Samþykki er skilgreint sem óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig, sbr. 8. tölul. 3. gr. laga nr. 90/2018 og 11. tölul. 4. gr. reglugerðarinnar. Í 10. gr. laga nr. 90/2018, sbr. 7. gr. reglugerðar (ESB) 2016/679, er nánar fjallað um skilyrði fyrir samþykki. Þar kemur meðal annars fram að þegar vinnsla er byggð á samþykki skuli ábyrgðaraðilinn geta sýnt fram á að skráður einstaklingur hafi samþykkt vinnslu persónuupplýsinga sinna samkvæmt nánari skilyrðum 7. gr. reglugerðarinnar. Í 3. mgr. 10. gr. segir að einstaklingur eigi rétt á því að draga samþykki sitt til baka hvenær sem er og að afturköllun samþykkis skuli ekki hafa áhrif á lögmæti vinnslu á grundvelli samþykkis fram að afturköllun. Í 4. mgr. ákvæðisins kemur fram að þegar metið er hvort samþykki er gefið af fúsum og frjálsum vilja skal taka ýtrasta tillit til þess hvort það sé skilyrði fyrir framkvæmd samnings að samþykki sé gefið fyrir vinnslu persónuupplýsinga sem ekki er nauðsynleg vegna samningsins.
Þá kemur fram í greinargerð með frumvarpi því er varð að lögum nr. 90/2018 að reglugerðin setur fram ítarlegri reglur og strangari kröfur til þess hvernig samþykki er fengið. Vinnsla byggð á samþykki verður meðal annars, eins og ávallt á við þegar unnið er með persónuupplýsingar, að samrýmast vönduðum vinnsluháttum, fara fram í yfirlýstum, skýrum og málefnalegum tilgangi og má ekki ganga lengra en nauðsyn krefur. Þegar Persónuvernd metur hvort kröfum til samþykkis sé fullnægt tekur hún bæði mið af þeirri vinnsluaðferð sem viðhöfð er og eðli þeirra upplýsinga sem unnið er með.
Samþykki þarf að vera frjálst og óháð og telst ekki vera það þegar einstaklingur þarf að samþykkja tiltekna vinnslu um sig til að geta fengið þjónustu. Í 42. lið formálsorða reglugerðarinnar er áréttuð sú skylda ábyrgðaraðila að geta sýnt fram á að samþykki hafi verið veitt og tekið fram að hann þurfi að tryggja að hinum skráða sé kunnugt um það og að hvaða marki. Er áréttað að ekki eigi að telja að samþykki hafi verið veitt af fúsum og frjálsum vilja hafi hinn skráði ekki haft raunverulegt eða frjálst val eða ekki getað neitað eða dregið til baka samþykki án þess að verða fyrir tjóni.
Forsenda þess að einstaklingur geti tekið upplýsta ákvörðun um að veita samþykki sitt fyrir vinnslu persónuupplýsinga um sig og varið hagsmuni sína, svo og þess að skilyrðum samþykkis sé fullnægt, er að hann sé upplýstur um þá vinnslu sem fram fer og í hverju hún felst. Í þessu felst að viðhafa ber gagnsæi um vinnslu og veita hinum skráða fræðslu. Ein af meginreglum persónuverndarlöggjafarinnar um vinnslu persónuupplýsinga er að þess skuli gætt að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. einnig a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Til að meta hvort skilyrðið um gagnsæi hafi verið uppfyllt þarf því að líta til ákvæða um fræðsluskyldu.
Fræðsluskylda ábyrgðaraðila, þ.e. skyldan til að veita upplýsingar um vinnslu persónuupplýsinga hins skráða, á við óháð þeim lagagrundvelli sem vinnslan byggist á, þ.e. hvort sem um ræðir samþykki eða annan lagagrundvöll. Þá ber að veita fræðslu um vinnslu persónuupplýsinga á þeim tíma sem upplýsinganna er aflað hjá hinum skráða, sbr. 61. lið formálsorða reglugerðar (ESB) 2016/679. Um fræðsluskyldu, gagnsæi og rétt hins skráða til upplýsinga er fjallað í 17. gr. laga nr. 90/2018 og 12.-14. gr. reglugerðar (ESB) 2016/679. Í 1. mgr. 17. gr. laganna segir að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og tilkynningar til skráðs einstaklings samkvæmt fyrirmælum 12. gr. reglugerðarinnar svo að hann geti neytt upplýsingaréttar síns og réttar til aðgangs. Í 13. gr. reglugerðarinnar er fjallað frekar um þær upplýsingar sem ber að veita við söfnun persónuupplýsinga hjá skráðum einstaklingi.
3.
Svar Persónuverndar
Í samþykkiseyðublaði því sem Landsspítalinn leitaði álits Persónuverndar á er veitt ítarleg fræðsla til hins skráða í samræmi við ákvæði 17. gr. laga nr. 90/2018 og 13. gr. reglugerðar (ESB) 2016/679, að því undanskildu að ekki er fjallað um rétt hins skráða til að draga samþykki sitt til baka, sbr. c-lið 2. mgr. 13. gr. reglugerðarinnar. Þá eru uppfyllt þau skilyrði samþykkis sem fram koma í 10. gr. laga nr. 90/2018, sbr. 7. gr. reglugerðar (ESB) 2016/679, með þeirri undantekningu að ekki er fjallað um rétt hins skráða til að draga samþykki sitt til baka, sbr. 3. mgr. 10. gr. laganna og 3. tölul. 7. gr. reglugerðarinnar.
Með hliðsjón af erindi Landspítalans og fyrirliggjandi drögum að samþykkiseyðublaði vegna smáforrits á vegum spítalans er að mati Persónuverndar, að svo stöddu, ekki ástæða til að ætla að vinnslan brjóti í bága við ákvæði laga nr. 90/2018 og reglugerðar (ESB) 2016/679, enda verði gætt að eftirfarandi:
1. Við fræðslu til hins skráða verður að bæta upplýsingum um rétt hans til að draga samþykki sitt til baka í samræmi við framangreint.
2. Samþykki þarf að vera frjálst og óháð og telst ekki vera það þegar einstaklingur þarf að samþykkja tiltekna vinnslu um sig til að geta fengið þjónustu. Því þarf að vera ljóst fyrir hinn skráða að notkun smáforritsins sé ekki forsenda fyrir því að hann fái lögbundna heilbrigðisþjónustu, sbr. m.a. lög nr. 74/1997 um réttindi sjúklinga.
3. Í eyðublaðinu kemur fram að smáforritið sæki viðeigandi gögn úr tölvukerfi spítalans og birti notandanum hverju sinni eftir staðsetningu hans, þ.e. eftir því hvort hann er inniliggjandi á spítalanum eða ekki. Þá segir að forritið sæki framangreindar staðsetningarupplýsingar um einstaklinginn úr grunnkerfum Landspítalans. Það er mat Persónuverndar að þetta atriði þurfi að skýra betur fyrir notandanum. Ekki er skýrt á framsetningunni hvort forritið sæki staðsetningarupplýsingar einstaklings í raun ef einstaklingurinn er staddur utan spítalans. Að mati Persónuverndar verður það hvorki talið samrýmast tilgangi smáforritsins, eins og hann er settur fram í eyðublaðinu, né meðalhófsreglu persónuverndarlöggjafarinnar, að safnað sé staðsetningarupplýsingum einstaklinga utan spítalans.
4. Í eyðublaðinu eru hinum skráða veittar upplýsingar um að skilaboð sem hann sendir í gegnum smáforritið verði aðgengileg öllum starfsmönnum viðkomandi deildar og eins að skilaboðum sé ekki eytt að sjúkrahúsdvöl lokinni heldur vistuð í sjúkraskrá. Að mati Persónuverndar væri til bóta að gera framangreinda fræðslu greinilegri fyrir hinn skráða, svo sem með feitletrun eða öðrum hætti.
Að endingu er tekið fram að ekki ber að líta á álit þetta sem endanlega, bindandi afstöðu Persónuverndar til þeirra álitaefna sem reynt getur á í tengslum við umrætt samþykkiseyðublað. Kann því nánari afstaða að verða tekin til þeirra síðar, eftir atvikum í tilefni af kvörtunum sem stofnuninni kunna að berast í tengslum við það.
Þá er ítrekuð sú afmörkun málsins að álit þetta lýsir með engum hætti afstöðu Persónuverndar til þess hvort smáforritið sjálft sé talið uppfylla skilyrði persónuverndarlaga varðandi vinnslu persónuupplýsinga sem fram fer með notkun þess, m.a. hvað varðar þær tæknilegu og skipulagslegu ráðstafanir sem gerðar hafa verið í tengslum við þróun þess.
Persónuvernd, 1. desember 2022
Vigdís Eva Líndal Steinunn Birna Magnúsdóttir