Umsögn um frumvarp til laga um Gæða- og eftirlitsstofnun velferðarmála
Mál nr. 2020123103
Efni: Umsögn um frumvarp til laga um Gæða- og eftirlitsstofnun velferðarmála
Persónuvernd vísar til beiðni velferðarnefndar Alþingis frá 17. desember 2020 um umsögn um frumvarp til laga um um Gæða- og eftirlitsstofnun velferðarmála (þskj. 442, 365. mál á 151. löggjafarþingi).
Í frumvarpinu er kveðið á um nýja stjórnsýslustofnun, Gæða- og eftirlitsstofnun velferðarmála. Stofnunin mun fara með eftirlit með gæðum þjónustu sem er veitt á grundvelli laga um barnavernd, laga um Barna- og fjölskyldustofu, laga um félagsþjónustu sveitarfélaga, laga um þjónustu við fatlað fólk með langvarandi stuðningsþarfir, laga um málefni aldraðra, laga um Greiningar- og ráðgjafarstöð ríkisins, laga um þjónustu- og þekkingarmiðstöð fyrir blinda, sjónskerta og einstaklinga með samþætta sjón- og heyrnarskerðingu og laga um samþættingu þjónustu í þágu farsældar barna.
Með frumvarpinu eru Gæða- og eftirlitsstofnun velferðarmála veittar víðtækar heimildir til vinnslu persónuupplýsinga en eitt af verkefnum stofnunarinnar er að safna upplýsingum, bæði persónuupplýsingum og ópersónugreinanlegum upplýsingum, halda skrár og vinna úr upplýsingum frá þeim sem lúta eftirliti stofnunarinnar.
Þann 6. október 2020 óskaði félagmálaráðuneytið eftir umsögn Persónuverndar um drög að frumvarpi til laga um Gæða- og eftirlitsstofnun velferðarmála. Persónuvernd veitti umsögn, dags. 13. nóvember s.á., og fylgir hún hjálögð. Í umsögninni voru gerðar athugasemdir við frumvarpsdrögin en við þeim hefur nú verið brugðist að hluta. Í þeirri umsögn sem nú er veitt eru ítrekaðar þær athugasemdir sem Persónuvernd telur að ekki hafi verið brugðist við.
1.
Í d-lið 2. mgr. 3. gr. frumvarpsins sem fjallar um verkefni Gæða- og eftirlitsstofnunar velferðarmála segir að eitt verkefna stofnunarinnar sé móttaka og úrvinnsla kvartana frá notendum þjónustu.
Að mati Persónuverndar er ekki nægilega skýrt hvers konar kvartanir þar er átt við. Telur Persónuvernd því rétt að orðalag ákvæðisins endurspegli það betur. Er slíkt jafnframt til þess fallið að skýra betur valdmörk Gæða- og eftirlitsstofnunar velferðarmála og annarra eftirlitsstofnana.
2.
Í 13. gr. frumvarpsins segir að Gæða- og eftirlitsstofnun velferðarmála taki við ábendingum um að þjónusta sem lúti eftirliti stofnunarinnar sé ekki í samræmi við ákvæði laga, reglugerða, reglna, samninga og leiðbeininga. Sambærilegt orðalag má jafnframt finna í 16., 19. og 20. gr. frumvarpsins, og eftir atvikum víðar, þar sem vísað er til ákvæða laga, reglugerða, reglna o.fl.
Persónuvernd telur að skýra þurfi betur til hvaða laga og reglugerða tilvísanir framangreindra ákvæða taki til. Er slíkt jafnframt til þess fallið að skýra betur valdmörk Gæða- og eftirlitsstofnunar velferðarmála og annarra eftirlitsstofnana.
3.
Í 15. gr. frumvarpsins er fjallað um rannsókn, upplýsingaskyldu og vettvangsathuganir vegna frumkvæðiseftirlits. Segir þar meðal annars að Gæða- og eftirlitsstofnun velferðarmála geti framkvæmt vettvangsathuganir á heimilum, og að stofnuninni sé heimilt að framkvæma óboðaðar vettvangsathuganir. Þá kemur fram að við framkvæmd vettvangsathugana beri stofnuninni að gæta að friðhelgi einkalífs þeirra sem búi eða dvelji á heimilum og stofnunum sem athuganir lúti að. Sá sem veiti eftirlitsskylda þjónustu skuli veita stofnuninni frjálsan aðgang að öllum starfsstöðvum sínum. Hann skuli jafnframt veita stofnuninni heimild til að afla milliliðalaust upplýsinga frá notendum þjónustunnar, aðstandendum og starfsfólki.
Persónuvernd gerir alvarlegar athugasemdir við framsetningu ákvæðisins. Leggur stofnunin áherslu á að heimild stjórnvalds til að framkvæma óboðaða vettvangsathugun á heimilum getur falið í sér víðtækt inngrip í stjórnarskrárvarinn rétt til friðhelgi einkalífs, heimilis og fjölskyldu þeirra sem þar búa. Á það jafnt við þótt vettvangsheimsóknum fylgi ekki ávallt umfangsmikil vinnsla persónuupplýsinga. Að mati Persónuverndar er nauðsynlegt að huga vel að því við lagasetningu, sem felur í sér skerðingu þessara réttinda, að skilyrði 3. mgr. 71. gr. stjórnarskrárinnar séu uppfyllt, einkum hvað varðar kröfu ákvæðisins um að brýna nauðsyn beri til slíks vegna réttinda annarra. Af því frumvarpi sem hér er til umsagnar er ekki ljóst að hugað hafi verið nægilega að framangreindum grundvallarreglum. Til þess að unnt sé að skerða þessi grundvallarmannréttindi telur Persónuvernd að huga þurfi betur að því að orðalag ákvæðisins uppfylli framangreind skilyrði. Þá hefði að mati Persónuverndar þurft að gera umfjöllun um framangreint ítarlegri skil í greinargerð með frumvarpsdrögunum. Er sú athugasemd hér ítrekuð, þrátt fyrir þær breytingar sem gerðar hafa verið á skýringum við ákvæðið í millitíðinni.
4.
Í 22. gr. frumvarpsins er fjallað um víðtækar heimildir Gæða- og eftirlitsstofnunar velferðarmála, og þeirra sem lúta eftirliti stofnunarinnar, til vinnslu persónuupplýsinga. Gert er ráð fyrir vinnslu og miðlun til og frá Gæða- og eftirlitsstofnun velferðarmála sem og milli þeirra sem lúta eftirliti stofnunarinnar í þágu markmiða laganna. Jafnframt er Gæða- og eftirlitsstofnun velferðarmála veitt heimild til að miðla persónuupplýsingum að því marki sem stofnunin telur nauðsynlegt til að stuðla að því að önnur eftirlitsstjórnvöld geti sinnt lögbundnum verkefnum sínum. Sömu eftirlitsyfirvöld hafa samkvæmt ákvæðinu heimild til að miðla persónuupplýsingum til Gæða- og eftirlitsstofnunar velferðarmála að því marki sem þau telja nauðsynlegt til að stuðla að því að stofnunin geti sinnt verkefnum sínum samkvæmt lögunum.
Af framangreindu má ráða að með ákvæðinu eru Gæða- og eftirlitsstofnun velferðarmála og þeim sem lúta eftirliti stofnunarinnar veittar viðamiklar vinnsluheimildir til að tryggja virkt eftirlit með gæðum þjónustu.
Með umsagnarbeiðni félagsmálaráðuneytisins til Persónuverndar um frumvarpsdrögin þann 6. október 2020 fylgdi mat á áhrifum frumvarpsins á persónuvernd. Í matinu segir varðandi viðtakendur og varðveislu gagna að þeir sem taki við persónuupplýsingum séu Gæða- og eftirlitsstofnun velferðarmála, Barna- og fjölskyldustofa, Greiningar- og ráðgjafarstöð, Þjónustu- og þekkingarmiðstöð fyrir blinda, sjónskerta og einstaklinga með samþætta sjón- og heyrnarskerðingu, sveitarfélög, umsækjendur um rekstrarleyfi og rekstrarleyfishafar, félagsmálaráðuneyti, Embætti landlæknis og notendaráð sveitarfélaga. Þarna sé í fyrsta lagi um að ræða stjórnvöld sem bundin séu af reglum opinbers réttar um starfsemi sína. Í öðru lagi sé um að ræða einkaaðila sem fari með verkefni samkvæmt lögum á grundvelli samnings eða annars konar samkomulags við stjórnvöld. Þá segir að þegar stjórnvald framselji vald sitt til að framkvæma opinbert verkefni til einkaaðila sé gert ráð fyrir að í samningi séu gerðar kröfur til þessara einkaaðila, t.d. um varðveislu gagna. Í þriðja lagi sé um að ræða notendaráð sveitarfélaga eða aðra umsagnaraðila um rekstrarleyfi. Segir að engar skýrar reglur gildi um starfsemi þessara umsagnaraðila.
Í matinu segir að stjórnvöld þau sem vísað er til hér að framan séu afhendingarskyldir aðilar, sbr. lög um opinber skjalasöfn, og þeim beri því að haga skjalastjórn og skjalavörslu í samræmi við þau. Einkaaðilar sem vinni persónuupplýsingar á grundvelli frumvarpsins eigi það sameiginlegt að veita þjónustu sem mælt sé fyrir um í lögum á grundvelli samnings eða annars konar samkomulags við stjórnvöld. Þeim sem fari með ábyrgð á samnings- eða samkomulagsgerð beri að tryggja að meðferð gagna sé í samræmi við reglur, annaðhvort þannig að upplýsingum sé eytt eða þær varðveittar sem hluti af skjalasöfnum stjórnvaldanna.
Að mati Persónuverndar er nauðsynlegt að skýrt sé kveðið á um það í verklagsreglum eða öðrum fyrirmælum þeirra stjórnvalda sem standa að samningsgerð við viðkomandi einkaaðila hvernig haga skuli vinnslu persónuupplýsinga hjá þeim, m.a. hvað varðar varðveislu, eyðingu og öryggi persónuupplýsinga.
Persónuvernd áréttar mikilvægi þess að við alla vinnslu persónuupplýsinga sé ávallt tryggt að vinnslan sé í samræmi við þær kröfur sem gerðar eru í lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
5.
Í fyrrgreindu mati á áhrifum frumvarpsins á persónuvernd er því lýst að horft sé til þess að Gæða- og eftirlitsstofnun velferðarmála nýti gagnagrunna og stafrænar lausnir með Barna- og fjölskyldustofu, enda séu það sömu aðilar sem njóti stuðnings og ráðgjafar Barna- og fjölskyldustofu og eftirlits Gæða- og eftirlitsstofnunar velferðarmála. Í matinu kemur jafnframt fram að tæknilausnir þær sem vinnsla persónuupplýsinga muni fara fram í liggi ekki fyrir og því sé ekki unnt að framkvæma fullt mat á ýmsum atriðum.
Þrátt fyrir að gildistökuákvæði frumvarpsins hafi nú verið breytt frá því Persónuvernd fékk frumvarpsdrögin fyrst til umsagnar og aðlögunartími fram að gildistöku lengdur vekur stofnunin athygli á því að verði lög sett á grundvelli frumvarpsins er mjög brýnt að tryggt verði að öryggi við vinnslu persónuupplýsinga verði með fullnægjandi hætti og að öllu leyti í samræmi við þær kröfur sem gerðar eru í lögum nr. 90/2018 og reglugerð (ESB) 2016/679, sbr. einkum 27. gr. laganna og 32.-34. gr. reglugerðarinnar. Nauðsynlegt er að öryggið sé tryggt frá fyrsta degi, þ.e. frá gildistöku laganna. Er í því sambandi meðal annars til þess að líta að um er að ræða vinnslu persónuupplýsinga sem í mörgum tilvikum geta talist mjög viðkvæmar, auk þess sem þær varða börn, en persónuupplýsingar barna njóta sérstakrar verndar samkvæmt ákvæðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679. Sameiginlegar reglur um vinnslu persónuupplýsinga af hálfu Barna- og fjölskyldustofu gætu nýst í þeirri vinnu en jafnframt er mikilvægt að notast verði við öruggar tæknilausnir við vinnsluna.
Í þessu sambandi vill Persónuvernd benda á mikilvægi þess að tryggt sé að aðlögunartími fram að gildistöku laganna sé nægjanlegur þannig að hæfilegt svigrúm gefist til að útfæra öruggar stafrænar lausnir fyrir gildistökuna. Þá minnir Persónuvernd á mikilvægi þess að við útfærslu gagnagrunna og stafrænna lausna verði hugað vel að áhættumati og öryggisprófunum og að mat á áhrifum á persónuvernd verði uppfært. Sérstaklega er mikilvægt að huga að og skilgreina hvernig aðgangsstýringu að fyrrgreindum gagnagrunnum og stafrænum lausnum verði háttað. Er þar meðal annars til þess að líta að fyrirhugað er að gagnagrunnarnir verði nýttir af tveimur stofnunum og huga þarf sérstaklega að aðgangsstýringu hvorrar stofnunar fyrir sig.
_________________________
Ekki eru að öðru leyti gerðar athugasemdir við efni frumvarpsins að svo stöddu, en verði frekari umsagnar óskað um einstök atriði verður hún fúslega veitt.
F.h. Persónuverndar,
Helga Sigríður Þórhallsdóttir Steinunn Birna Magnúsdóttir