Umsögn um frumvarp til laga um Barna- og fjölskyldustofu
Mál nr. 2020123102
Efni: Umsögn um frumvarp til laga um Barna- og fjölskyldustofu
Persónuvernd vísar til beiðni velferðarnefndar Alþingis frá 17. desember 2020 um umsögn um drög að frumvarpi til laga um Barna- og fölskyldustofu (þskj. 441, 355. mál á 151. löggjafarþingi).
Í frumvarpinu er kveðið á um nýja stjórnsýslustofnun, Barna- og fjölskyldustofu, sem ætlað er að sinna ýmsum verkefnum sem tengjast þjónustu við börn og fjölskyldur þeirra. Stofnuninni er ætlað að taka við hluta af verkefnum Barnaverndarstofu, sem samhliða yrði lögð niður, auk annarra verkefna á grundvelli frumvarpsins og verkefna í sérlögum, m.a. í lögum um samþættingu þjónustu í þágu farsældar barna. Markmið Barna- og fjölskyldustofu er að vinna að velferð barna og meginhlutverk stofnunarinnar er að veita og styðja við þjónustu í þágu barna og stuðla að gæðaþróun. Barna- og fjölskyldustofu er ætlað að vera leiðandi miðstöð sem veiti þeim fjölbreytta hópi stofnana og einkaaðila sem veitir þjónustu í þágu barna stuðning við framkvæmd verkefna sinna.
Verkefni Barna- og fjölskyldustofu eru skilgreind í frumvarpinu en einnig er nánar kveðið á um tiltekin verkefni í ýmsum sérlögum, svo sem í barnaverndarlögum, lögum um félagsþjónustu sveitarfélaga, lögum um Greiningar- og ráðgjafarstöð ríkisins og lögum um samþættingu þjónustu í þágu farsældar barna.
Í frumvarpinu og í sérlögum um verkefni Barna- og fjölskyldustofu er gert ráð fyrir því að stofnunin fái víðtækt hlutverk við vinnslu upplýsinga, þ.m.t. persónuupplýsinga. Þá er stofnuninni veitt heimild til að starfrækja gagnagrunna og stafrænar lausnir.
Þann 6. október 2020 óskaði félagmálaráðuneytið eftir umsögn Persónuverndar um drög að frumvarpi til laga um Barna- og fjölskyldustofu. Persónuvernd veitti umsögn, dags. 13. nóvember s.á., og fylgir hún hjálögð. Í umsögninni voru gerðar athugasemdir við frumvarpsdrögin en við þeim hefur nú verið brugðist að hluta. Í þeirri umsögn sem nú er veitt eru ítrekaðar þær athugasemdir sem Persónuvernd telur að ekki hafi verið brugðist við.
1.
Í 2. mgr. 3. gr. frumvarpsins eru upptalin þau verkefni sem Barna- og fjölskyldustofu eru meðal annars falin. Segir þar í 7. tölul.: „Vinnsla upplýsinga, þ.m.t. söfnun og skráahald.“. Þá er í 4. gr. frumvarpsins fjallað nánar um heimildir stofnunarinnar til vinnslu persónuupplýsinga.
Í 3. kafla greinargerðar með frumvarpinu er fjallað um meginhlutverk stofnunarinnar. Í d-lið kaflans segir að gert sé ráð fyrir að stofnunin fái víðtækt hlutverk við vinnslu upplýsinga, þ.m.t. persónuupplýsinga. Þá segir að einkum sé átt við hlutverk stofnunarinnar við vinnslu persónuupplýsinga, þ.m.t. að ákvarða tilgang og aðferðir við vinnslu persónuupplýsinga samkvæmt frumvarpi til laga um samþættingu þjónustu í þágu farsældar barna, sbr. 4. tölul. 6. gr. frumvarpsins.
Ekki er að finna frekari umfjöllun um Barna-og fjölskyldustofu sem ábyrgðaraðila í frumvarpinu en hins vegar er ítarleg umfjöllun um efnið í athugasemdum með 6. gr. frumvarps til laga um samþættingu þjónustu í þágu farsældar barna. Þar er einnig fjallað um vinnsluaðila og hvernig litið er á samband ábyrgðaraðila og vinnsluaðila við vinnslu persónuupplýsinga samkvæmt frumvörpunum. Í kafla 1 í umsögn Persónuverndar, dags. 18. janúar 2021, um frumvarp til laga um samþættingu þjónustu í þágu farsældar barna (þskj. 440, 354. mál á 151. löggjafarþingi) eru gerðar athugasemdir við framangreint og vísast til þeirrar umfjöllunar, umsögn þessari til fyllingar. Jafnframt er vísað um þetta atriði til fyrri umsagnar Persónuverndar til félagsmálaráðuneytisins um frumvarp til laga um Barna- og fjölskyldustofu, dags. 13. nóvember 2020.
2.
Í 1. mgr. 4. gr. frumvarpsins segir að Barna- og fjölskyldustofu sé heimil vinnsla persónuupplýsinga sem nauðsynleg sé vegna verkefna stofnunarinnar. Barna- og fjölskyldustofu og Gæða- og eftirlitsstofnun velferðarmála er samkvæmt ákvæðinu heimil miðlun upplýsinga sín á milli í þágu verkefna stofnananna.
Að mati Persónuverndar er nauðsynlegt að kveðið sé skýrt á um það að miðlun samkvæmt framangreindu sé ekki umfram það sem nauðsynlegt má telja, í samræmi við meðalhófskröfu persónuverndarlaganna.
Þá segir jafnframt í 2. mgr. 4. gr. frumvarpsins:
„Stofnunin getur krafið þá aðila sem vísað er til í 1. mgr. um upplýsingar og skýringar sem stofnunin telur nauðsynlegar til að sinna verkefnum sem henni eru falin að lögum.“
Persónuvernd leggur til að eftirfarandi orðalagsbreytingu:
„Stofnunin getur krafið þá aðila sem vísað er til í 1. mgr. um upplýsingar og skýringar sem nauðsynlegar eru til að sinna verkefnum sem henni eru falin að lögum.“
Þá telur Persónuvernd að ekki sé skýrt af 2. mgr. 4. gr. við hvaða aðila er átt sem þar er vísað til. Skýra þurfi með nákvæmari hætti til hvaða aðila ákvæðið tekur.
3.
Í fyrrgreindu mati á áhrifum á persónuvernd kemur fram að þar sem stór hluti af verkefnum Barna- og fjölskyldustofu krefjist þess að unnið sé með viðkvæmar persónuupplýsingar sé gengið út frá því að stofnunin setji sér viðmið í þessum efnum auk þess að hafa skýra og aðgengilega persónuverndarstefnu. Þá kemur jafnframt fram að gengið sé út frá því að stofnunin verði með sinn eigin persónuverndarfulltrúa.
Persónuvernd áréttar mikilvægi þess að við alla vinnslu persónuupplýsinga sé ávallt tryggt að vinnslan sé í samræmi við þær kröfur sem gerðar eru í lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Þar sem um viðamikla vinnslu persónuupplýsinga er að ræða er sérstaklega ítrekuð nauðsyn þess að ávallt sé gætt meðalhófs við vinnslu persónuupplýsinga og ekki skráðar meiri upplýsingar en nauðsynlegt er talið miðað við tilgang vinnslunnar, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018, og að öryggi við vinnslu persónuupplýsinga verði tryggt með fullnægjandi hætti.
4.
Í 5. gr. frumvarpsins segir að Barna- og fjölskyldustofu sé heimilt að starfrækja gagnagrunn og stafrænar lausnir vegna verkefna sem unnin eru á grundvelli laga sem talin eru upp í 2. mgr. 1. gr. frumvarpsins, þ.e. barnaverndarlaga, laga um félagsþjónustu sveitarfélaga, laga um þjónustu við fatlað fólk með langvarandi stuðningsþarfir, laga um Greiningar- og ráðgjafarstöð ríkisins, laga um þjónustu- og þekkingarmiðstöð fyrir blinda, sjónskerta og einstaklinga með samþætta sjón- og heyrnarskerðingu og laga um samþættingu þjónustu í þágu farsældar barna. Þá segir að gagnagrunnana megi jafnframt starfrækja í þágu Gæða- og eftirlitsstofnunar velferðarmála.
Í athugasemdum við ákvæðið segir að einkum sé horft til gagnagrunns er snúi að barnavernd og gagnagrunns og stafrænna lausna sem tengist samþættingu þjónustu í þágu farsældar barna.
Í kafla 6 í greinargerð með frumvarpinu segir að mat á áhrifum á persónuvernd hafi m.a. leitt í ljós tiltekna áhættuþætti varðandi umfang vinnslu persónuupplýsinga á grundvelli frumvarpsins, þ.m.t. áhættu vegna fjölda aðila sem miðla upplýsingum til stofnunarinnar og að vinnsla persónuupplýsinga yrði of umfangsmikil og umfram nauðsyn vegna eðlis verkefna stofnunarinnar. Þá segir að unnt sé að draga úr þessari áhættu með ýmsum aðgerðum, t.d. með setningu viðmiða um vinnslu persónuupplýsinga, aðgangsstýringum í vinnslukerfum stofnunarinnar og þróun gagnagrunna og stafrænna lausna.
Í fyrrgreindu mati á áhrifum á persónuvernd kemur fram að gagnagrunnurinn og stafrænar lausnir muni jafnframt að líkindum nýtast fyrir varðveislu gagna Barna- og fjölskyldustofu og miðlun á grundvelli frumvarpsins enda séu þeir aðilar sem fái heimildir til vinnslu og miðlunar til Barna- og fjölskyldustofu jafnframt notendur þessara gagnagrunna. Þá segir að tæknilausnir þær sem vinnsla persónuupplýsinga muni fara fram í liggi ekki fyrir og því sé ekki unnt að framkvæma fullt mat á ýmsum atriðum.
Þrátt fyrir að gildistökuákvæði frumvarpsins hafi nú verið breytt frá því Persónuvernd fékk frumvarpsdrögin fyrst til umsagnar og aðlögunartími fram að gildistöku lengdur vekur stofnunin athygli á því að verði lög sett á grundvelli frumvarpsins er mjög brýnt að tryggt verði að öryggi við vinnslu persónuupplýsinga verði með fullnægjandi hætti og að öllu leyti í samræmi við þær kröfur sem gerðar eru í lögum nr. 90/2018 og reglugerð (ESB) 2016/679, sbr. einkum 27. gr. laganna og 32.-34. gr. reglugerðarinnar. Nauðsynlegt er að öryggið sé tryggt frá fyrsta degi, þ.e. frá gildistöku laganna. Er í því sambandi meðal annars til þess að líta að um er að ræða vinnslu persónuupplýsinga sem í mörgum tilvikum geta talist mjög viðkvæmar, auk þess sem þær varða börn, en persónuupplýsingar barna njóta sérstakrar verndar samkvæmt ákvæðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679. Sameiginlegar reglur um vinnslu persónuupplýsinga af hálfu Barna- og fjölskyldustofu gætu nýst í þeirri vinnu en jafnframt er mikilvægt að notast verði við öruggar tæknilausnir við vinnsluna.
Í þessu sambandi vill Persónuvernd benda á mikilvægi þess að tryggt sé að aðlögunartími fram að gildistöku laganna sé nægjanlegur þannig að hæfilegt svigrúm gefist til að útfæra öruggar stafrænar lausnir fyrir gildistökuna. Þá minnir Persónuvernd á mikilvægi þess að við útfærslu gagnagrunna og stafrænna lausna verði hugað vel að áhættumati og öryggisprófunum og að mat á áhrifum á persónuvernd verði uppfært. Sérstaklega er mikilvægt að huga að og skilgreina hvernig aðgangsstýringu að fyrrgreindum gagnagrunnum og stafrænum lausnum verði háttað. Er þar meðal annars til þess að líta að fyrirhugað er að gagnagrunnarnir verði nýttir af tveimur stofnunum og huga þarf sérstaklega að aðgangsstýringu hvorrar stofnunar fyrir sig.
_________________________
Ekki eru að öðru leyti gerðar athugasemdir við efni frumvarpsins að svo stöddu, en verði frekari umsagnar óskað um einstök atriði verður hún fúslega veitt.
F.h. Persónuverndar,
Helga Sigríður Þórhallsdóttir Steinunn Birna Magnúsdóttir