Umsögn Persónuverndar um tillögu til þingsályktunar um aðgerðaráætlun í geðheilbrigðismálum fyrir árin 2023-2027
Mál nr. 2023030643
Efni: Umsögn Persónuverndar um tillögu til þingsályktunar um aðgerðaráætlun í geðheilbrigðismálum fyrir árin 2023-2027.
1.
Persónuvernd vísar til tillögu til þingsályktunar um aðgerðaáætlun í geðheilbrigðismálum fyrir árin 2023 – 2027 (þskj. 1329, 857. mál á 153. löggjafarþingi) en beiðni um umsögn barst stofnuninni frá velferðarnefnd Alþingis hinn 29. mars 2023.
Persónuvernd gerir athugasemdir við eftirfarandi atriði:
2.
Öryggi persónuupplýsinga
Persónuvernd telur mikilvægt að árétta að ábyrgðaraðilum að vinnslu persónuupplýsinga sé skylt að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga, sbr. 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. einnig nánari fyrirmæli í 32. gr. reglugerðar (ESB) 2016/679.
Umfang slíkra öryggisráðstafana þarf ávallt að meta með hliðsjón af eðli og umfangi þeirra persónuupplýsinga sem unnið er með hverju sinni.
Athygli er vakin á því að heilsufarsupplýsingar teljast til viðkvæmra persónuupplýsinga, sbr. b-lið, 3. tölul. 3. gr. laga nr. 90/2018, en við vinnslu slíkra persónuupplýsinga þarf að gæta sérstakrar varúðar umfram almennar persónuupplýsingar.A
3.
Mat á áhrifum á persónuvernd
Þá bendir Persónuvernd á að ef líklegt er að tiltekin tegund vinnslu persónuupplýsinga geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst samkvæmt nánari fyrirmælum 35. gr. reglugerðar (ESB) 2016/679.
Persónuvernd bendir einnig á að samkvæmt 2. gr. auglýsingar nr. 828/2019 um skrá yfir vinnsluaðgerðir sem krefjast þess að framkvæmt sé mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga er nauðsynlegt að framkvæma slíkt mat til dæmis þegar gagnavinnsla er umfangsmikil, þegar unnið er með viðkvæmar persónuupplýsingar eða aðrar persónuupplýsingar viðkvæms eðlis og einnig þar sem beitt er nýrri tækni eða skipulagslausnum eða eldri tækni er beitt á nýjan hátt.
Mat á áhrifum á persónuvernd (MÁP) er tól til að meta og lágmarka áhættu fyrir persónuvernd einstaklinga við framkvæmd nýrra verkefna. Matið er mikilvægur hluti af „innbyggðri og sjálfgefinni persónuvernd“ sem er eitt af grundvallaratriðum persónuverndarlöggjafarinnar.
Að mati Persónuverndar þarf að huga að því hvort tilefni sé til þess að framkvæma mat á áhrifum á persónuvernd í tengslum við vinnslu persónuupplýsinga samkvæmt tillögu til þingsályktunar um aðgerðaáætlun í geðheilbrigðismálum fyrir árin 2023 – 2027.
__________________
Ekki eru að öðru leyti gerðar við tillögu þessa. Verði frekari umsagnar óskað um einstök atriði verður hún fúslega veitt.
F.h. Persónuverndar,
Steinunn Birna Magnúsdóttir Ína B. Grétarsdóttir