Ráðgjöf Persónuverndar til embættis landlæknis vegna Bluetooth-uppfærslu smitrakningarforrits
Þann 26. mars síðastliðinn barst Persónuvernd beiðni frá embætti landlæknis um fyrirframsamráð vegna uppfærslu smitrakningarforritsins Rakningar C-19 sem gefið hefur verið út fyrir farsíma. Með uppfærslunni er fyrirhugað að nýta Bluetooth-tækni í þágu rakningar Covid-19 smita í stað GPS-staðsetningarupplýsinga. Þann 14. apríl síðastliðinn veitti Persónuvernd embætti landlæknis ráðgjöf vegna þeirrar vinnslu persónuupplýsinga sem fyrirhuguð er með uppfærslunni. Stofnunin taldi hins vegar ekki ástæðu til að ætla að vinnslan, eins og henni var lýst erindi embættis landlæknis, myndi brjóta í bága í við ákvæði laga nr. 90/2018 eða reglugerðar (ESB) 2016/679. Sú afstaða væri þó háð því að embættið færi að þeim fyrirmælum sem stofnunin veitti, sem lutu meðal annars að því hvernig staðið yrði að fræðslu til notenda forritsins um vinnsluna.
Reykjavík, 14. apríl 2021
Efni: Fyrirframsamráð vegna Bluetooth-uppfærslu forritsins Rakningar C-19
1. Erindi embættis landlæknis
Með tölvupósti 26. mars 2021 óskaði embætti landlæknis eftir fyrirframsamráði við Persónuvernd vegna fyrirhugaðrar uppfærslu á smitrakningarforritinu Rakningu C-19, sem gefið var út fyrir síma í þágu rakningar Covid-19-smita, og vinnslu persónuupplýsinga í tengslum við notkun forritsins.
Erindinu fylgdi mat embættis landlæknis á áhrifum uppfærslunnar á persónuvernd, tvö möt á áhættu vegna vinnslunnar, almenn kynning á uppfærslunni, m.a. með skjáskotum úr forritinu, afrit af upplýsingum sem birtast eiga notendum í tengslum við öflun samþykkis, öryggisúttekt Syndis á forritinu, dags. 12. mars 2021, auk uppfærðrar persónuverndarstefnu vegna forritsins.
Með símtali þann 9. apríl 2021 óskaði sviðsstjóri hjá Persónuvernd eftir nánari skýringum frá persónuverndarfulltrúa embættis landlæknis á því hvers vegna notkun kennitölu væri valkvæð við skráningu í smitgát, sbr. nánari umfjöllun í kafla 3. Af hálfu persónuverndarfulltrúans kom fram að ekki væri hægt að gera skráninguna að skyldu þar sem að þeir sem skrái sig í smitgát séu ekki allir með íslenska kennitölu.
Með símtali þann 13. apríl 2021 óskaði starfsmaður Persónuverndar eftir frekari skýringum frá persónuverndarfulltrúa embættis landlæknis á notkun kennitölu við skráningu í smitgát. Nánar tiltekið hvort kennitala yrði skráð í smitrakningarforritið eða hvort notkun hennar væri bundin við skráningu í smitgát. Jafnframt var óskað upplýsinga um það hvort embættið teldi notkun kennitölu nauðsynlega til að tryggja örugga persónugreiningu þeirra sem í reynd hefðu íslenska kennitölu, sbr. 13. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Af hálfu persónuverndarfulltrúans kom fram að kennitölu væri hvorki safnað í forritinu sjálfu né væri henni miðlað til þess. Af hans hálfu kom einnig fram að embættið liti svo á að notkun kennitölu væri almennt nauðsynleg til að tryggja örugga persónugreiningu en að gera verði minni kröfur til auðkenningar þeirra sem ekki hafa kennitölu. Við sýnatöku væru þeir einstaklingar þó auðkenndir með skilaboðum í síma þeirra og með framvísun skilríkja.
2. Fyrirframsamráð við Persónuvernd samkvæmt 30. gr. laga nr. 90/2018
Í 1. mgr. 29. gr. laga nr. 90/2018 er kveðið á um að ábyrgðaraðili skuli láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan fer fram, ef líklegt er að vinnslan geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar. Ef slíkt mat getur til kynna að vinnsla myndi hafa mikla áhættu í för með sér, nema ábyrgðaraðili grípi til ráðstafana til að draga úr henni, skal ábyrgðaraðili hafa samráð við Persónuvernd áður en vinnslan hefst, sbr. 1. mgr. 30. gr. laga nr. 90/2018. Telji Persónuvernd að fyrirhuguð vinnsla myndi brjóta í bága við reglugerð (ESB) 2016/679, einkum ef ábyrgðaraðili hefur ekki greint eða dregið úr áhættunni með fullnægjandi hætti, skal stofnunin, innan átta vikna frá því að henni berst beiðni um samráð, veita ábyrgðaraðila og, eftir atvikum, vinnsluaðila skriflega ráðgjöf og getur notað til þess allar valdheimildir sínar sem um getur í 41.-43. gr. laga nr. 90/2018, sbr. 2. mgr. 30. gr. laganna
3. Lýsing fyrirhugaðrar vinnslu
Í erindi embættis landlæknis segir að helsta breytingin sem gerð verði á forritinu með uppfærslunni sé sú að hætt verði að styðjast við GPS-staðsetningarupplýsingar notenda í því skyni að rekja Covid-19-smit. Þess í stað verði Bluetooth-tækni nýtt til þess að safna ópersónugreinanlegum handahófskenndum auðkennum annarra notenda forritsins, samkvæmt vissum skilyrðum um nálægð símtækja og tímalengd návígis. Uppfærslan byggi á svokallaðri GAEN-tækni, sem þróuð hafi verið af Google og Apple í sameiningu og sé þegar í notkun í löndum innan EES.
Í mati á áhrifum á persónuvernd, sem fylgdi erindinu, segir meðal annars að þegar notandi hafi hlaðið niður forritinu og veitt samþykki fyrir Bluetooth-virkni verði daglega útbúinn tilviljanakenndur lykill, svokallaður TEK, eða Temporary Exposure Key. Þessir lyklar verði notaðir til að útbúa hlaupandi tilviljanakennd auðkenni á um 15 mínútna fresti. Þessi merki verði svokölluð RPI, e. Rotating Proximity Identifiers, eða hlaupandi nálægðarauðkenni, sem nemi aðra síma þar sem forritið er virkt og skrái á símtæki viðtakandans. Þessar upplýsingar verði eingöngu vistaðar á símum notenda og því engum öðrum aðgengilegar, þ.m.t. hvorki embætti landlæknis, sem ábyrgðaraðila og útgefanda forritsins, Google né Apple. Þessar upplýsingar verði geymdar á símtæki í 14 daga en eyðist sjálfkrafa að þeim tíma liðnum. RPI-gögn verði aðeins unnin á símtækjum en verði ekki beint aðgengileg í gegnum smáforritið og ekki verði hægt að nota þau til að persónugreina einstaklinga.
Greinist notandi forritsins með Covid-19 og samþykki að deila upplýsingum úr forritinu muni viðkomandi fá kóða frá rakningarteymi sem hann geti notað til þess að senda TEK-lykla sína á miðlægan netþjón. Þá muni notandinn einnig geta tilgreint hvort hann finni til einkenna og þá hvenær þau hafi fyrst komið fram og hvort hann hafi verið á ferðalagi síðastliðna 14 daga. Þeim upplýsingum verði miðlað til miðlæga netþjónsins og þær notaðar til að ákvarða hverjir fái tilkynningu vegna viðkomandi smits. Þessar upplýsingar verði ekki vistaðar í forritinu.
Upplýsingum frá miðlæga netþjóninum, um lykla sýktra aðila, verði síðan miðlað á um það bil tveggja klukkustunda fresti til allra notenda forritsins og hlaðið niður á símtæki þeirra. Út frá TEK-lyklinum verði RPI-gögn hins sýkta endursköpuð og það kannað hvort þau séu skráð á símtæki annarra notenda. Sé svo fái viðkomandi notandi upplýsingar um að hann hafi verið útsettur fyrir smiti og á hvaða degi. Þær upplýsingar muni birtast í forritinu og verði aðgengilegar notandanum í 14 daga. TEK-lyklar verði geymdir í 14 daga á miðlægum netþjóni og eyðist að þeim tíma liðnum.
Upplýsingar sem unnið verði með séu í grunninn ópersónugreinanlegar. Hins vegar kunni að verða unnt að persónugreina notendur beint, t.d. af rakningarteymi við skráningu í smitgát með sýnatöku, sem og óbeint, t.d. af notendum sem fá tilkynningar um hugsanlega útsetningu fyrir smiti og hafa eingöngu umgengist mjög fáa einstaklinga og geta því getið sér til um hvaða einstaklingur kunni að hafa útsett þá fyrir smiti.
Þá verði notanda gert kleift að skrá símanúmer sitt í þeim tilgangi að móttaka neikvæða niðurstöðu úr landamæraskimun og mikilvægar tilkynningar sem kunni að verða sendar út. Upplýsingar um símanúmer verði hins vegar aðeins aðgengilegar í síma viðkomandi notanda og á netþjóni sem hýsi símanúmerin. Ekki verði hægt að tengja upplýsingar um símanúmer við aðrar upplýsingar í forritinu.
Þegar notanda berist tilkynning um hugsanlega útsetningu fyrir smiti verði honum gert mögulegt að opna örugga vefsíðu þar sem upplýst verði um þýðingu tilkynningarinnar. Þar verði ráðleggingar um smitgát og að bóka sýnatöku ef einkenna verður vart, ásamt tenglum, t.d. á Heilsuveru þar sem hægt er að bóka sýnatöku og Covid.is þar sem má afla sér frekari upplýsinga. Á vefsíðunni geti notandinn jafnframt skráð sig í smitgát. Þeir sem velji að gera það muni sjálfkrafa fá boð í sýnatöku sjö dögum eftir útsetningu fyrir smiti. Í því skyni þurfi notandinn að veita upplýsingar um nafn, fæðingardag, netfang, símanúmer og hugsanleg tengsl við smit. Þá verði valkvætt að skrá einnig kennitölu, sbr. það sem rakið er í kafla 1.
Þessum upplýsingum verði miðlað um örugga tengingu í sóttkvíargrunn, sem sé hluti smitsjúkdómaskrár. Upplýsingar sem berist með þessum hætti verði sérstaklega merktar sem upplýsingar vegna tilkynninga í Rakningu C-19. Þeim verði sjálfkrafa eytt eftir 14 daga. Starfsmenn rakningarteymis hafi aðgang að þessum upplýsingum. Upplýsingarnar verði nýttar til þess að boða viðkomandi í sýnatöku og aðstoða rakningarteymi við hefðbundna smitrakningu ef þess gerist þörf.
4. Mat á áhrifum á persónuvernd
Af áhættumati, sem tilgreint var sem fylgiskjal við mat á áhrifum á persónuvernd, verður ráðið að embætti landlæknis telji að helstu þættir tengdir hinni fyrirhuguðu vinnslu, sem kunni að leiða til mikillar áhættu fyrir réttindi og frelsi skráðra einstaklinga, séu eftirfarandi og að gripið verði til þessara ráðstafana til þess að draga úr áhættunni:
1. Notkun barna undir 13 ára aldri á forritinu. Kynnt verði að forritið sé eingöngu ætlað 13 ára og eldri auk þess sem upplýsingar verði veittar forráðamönnum. Kennitala verði könnuð hyggist notandi skrá sig í smitgát, sbr. umfjöllun í köflum 1 og 3 að framan.
2. Að óviðkomandi komist yfir síma sem forritið hefur verið sett upp á og fái þannig aðgang að persónuupplýsingum sem þar eru skráðar. Notendur verði hvattir til að verja símtæki sín með öruggum leiðum.
3. Að falskar jákvæðar tengingar á milli skráðra einstaklinga verði gerðar. Kynnt verði fyrir notendum að falskar jákvæðar tengingar kunni að koma upp og notendur verði beðnir um að meta réttmæti tilkynninga út frá eigin hegðun. Embætti landlæknis hyggst jafnframt endurmeta stillingar í ljósi reynslu af forritinu, auk þess að kanna hugsanlega tölfræði um þá sem mæta í sýnatöku eftir tilkynningu og skoða hlutfall smita.
4. Öryggi við miðlun gagna frá forritinu á netþjón fyrir TEK-lykla. Samskipti verði dulkóðuð og öryggissérfræðingar muni framkvæma úttekt.
5. Hinir skráðu verði ekki nægilega upplýstir um vinnslu persónuupplýsinga og samþykki þeirra því ekki gilt. Skýr yfirlýsing verði útbúin vegna öflunar samþykkis notenda, ásamt persónuverndarstefnu og vefsíðu með upplýsingum um forritið.
6. Öryggi við miðlun persónuupplýsinga í gegnum skráningarvefsíðu. Samskipti verði dulkóðuð og öryggissérfræðingar muni framkvæma úttekt. Skráning upplýsinga verði takmörkuð við þær upplýsingar sem taldar verða nauðsynlegar og skráning kennitölu gerð valkvæð sbr. umfjöllun í köflum 1 og 3 að framan.
7. Árás verði gerð á vefsíðu fyrir skráningu í smitgát og sýnatöku, svo sem þjónustuálagsárás, í þeim tilgangi að komast í þau kerfi sem tengjast síðunni eða skrá fjölda einstaklinga í sýnatöku. Almennt verði fyrst hægt að opna hlekk á vefsíðuna úr forritinu hafi einstaklingur verið útsettur fyrir smiti. Vefsíðan verði hýst hjá öruggum aðila með varnir gegn árásum sem þessum. Bakendakerfi verði rekin í öruggu umhverfi og taki við upplýsingum frá vefsíðunni í gegnum sérstakt viðmót sem veiti ekki færi á miðlun annars konar gagna.
8. Hinir skráðu muni ekki fá notið réttinda sinna samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Skýr persónuverndarstefna og frekara kynningarefni verði útbúið þar sem tilgreint verði hvernig notendur geti neytt réttinda sinna. Einnig megi birta mat á áhrifum á persónuvernd að höfðu samráði við Persónuvernd.
Af fylgiskjalinu verður jafnframt ráðið að embætti landlæknis telji að helstu þættir tengdir hinni fyrirhuguðu vinnslu, sem kunni að leiða til miðlungsmikillar áhættu fyrir réttindi og frelsi skráðra einstaklinga, séu eftirfarandi og að gripið verði til þessara ráðstafana til þess að draga úr áhættunni:
1. Áframhaldandi vinnsla eftir að yfirstandandi faraldri lýkur og notkun upplýsinga sem safnað verði með forritinu í öðrum tilgangi en í þágu smitrakningar. Sóttvarnalög, nr. 19/1997, kveði á um að óheimilt sé að nýta gögnin í öðrum tilgangi. Apple og Google viðhafi strangar stýringar á því í hvað er heimilt að nýta Bluetooth-tæknina og myndu grípa í taumana ef í ljós kæmi að upplýsingarnar væru nýttar í öðrum tilgangi. Skilgreint verði með skýrum hætti í persónuverndarstefnu og mati á áhrifum á persónuvernd í hvaða tilgangi sé heimilt að nota gögnin og forritið.
2. Notendur forritsins verði ekki nægilega margir og því náist ekki það markmið sem að er stefnt með notkun þess. Fólk verði hvatt til að nota forritið með kynningu á nytsemi þess og því hversu vel hafi verið hugað að persónuvernd og upplýsingaöryggi. Komi í ljós að forritið skili ekki tilætluðum árangri megi taka það úr umferð og hvetja fólk til að eyða því.
Eftir hinar tilgreindu ráðstafanir metur embætti landlæknis alla framangreinda þætti leiða til miðlungsmikillar eða lítillar áhættu fyrir réttindi og frelsi skráðra einstaklinga.
5. Athugun Persónuverndar á uppfærðri útgáfu Rakningar C-19
Þann 30. mars 2021 fékk starfsmaður Persónuverndar prufuaðgang að hinni uppfærðu útgáfu smitrakningarforritsins Rakningar C-19 á símtæki með Android-stýrikerfi. Í kjölfarið var framkvæmd skoðun á forritinu. Við fyrstu notkun forritsins var óskað eftir heimild til að virkja tilkynningar um nálægð við smitaðan einstakling. Í sömu valmynd var upplýst um að síminn myndi nýta Bluetooth-tækni til að safna og deila með öðrum nálægum símum tilviljunarkenndum auðkennum með öruggum hætti. Upplýsingum um dagsetningu smitútsetningar, tímalengd og styrk merkis yrði deilt til forritsins. Á annarri valmynd var óskað eftir símanúmeri. Eftir þessa uppsetningu forritsins var fyrst unnt að kalla fram persónuverndarstefnu í stillingarhluta þess.
6. Lagaumhverfi og sjónarmið
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna að vinna má með persónuupplýsingar hafi hinn skráði gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. þeirrar greinar. Hugtakið samþykki er skilgreint í 8. tölul. 3. gr. laganna sem óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig. Einnig er heimilt að vinna með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. þeirrar greinar. Ræðst það af aðstæðum hverju sinni hvort tiltekin vinnsla persónuupplýsinga teljist nauðsynleg og er ábyrgðaraðila falið visst mat í þeim efnum.
Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna. Samkvæmt b-lið 3. tölul. 3. gr. þeirra teljast heilsufarsupplýsingar viðkvæmar persónuupplýsingar. Má nefna að heimilt er að vinna með slíkar upplýsingar hafi hinn skráði veitt afdráttarlaust samþykki sitt fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. 1. mgr. 11. gr. laganna, eða sé vinnslan nauðsynleg af ástæðum er varða almannahagsmuni á sviði lýðheilsu, svo sem til að verjast alvarlegum heilsufarsógnum sem ná yfir landamæri eða tryggja gæði og öryggi heilbrigðisþjónustu og lyfja eða lækningatækja, og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða, sbr. 9. tölul. sömu greinar.
Í erindi embættis landlæknis segir að vinnsla persónuupplýsinga í forritinu og tengdum kerfum muni fyrst og fremst byggja á samþykki notanda, sbr. 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018. Í því sambandi er vísað til þess að notandi þurfi sjálfviljugur að hlaða niður forritinu, samþykkja að persónuupplýsingum verði safnað og að kveikt verði á Bluetooth-virkni. Þá verði byggt á því að smitaður einstaklingur geti samþykkt að deila lyklum sínum svo unnt verði að tilkynna öðrum notendum um hugsanlega útsetningu. Þeim sem berist slíkar tilkynningar verði í sjálfsvald sett hvort þeir skrái sig í smitgát og sýnatöku. Um aðra vinnslu, svo sem vinnslu á þeim upplýsingum sem skráðar eru um aðila sem fengið hafa tilkynningu, er vísað til 3. tölul. 9. gr. og 9. tölul. 11. gr. laganna, svo og heimilda og lagaskyldu sóttvarnalæknis varðandi smitrakningu og aðrar sóttvarnaráðstafanir, sbr. 8. tölul. 5. gr., 10. tölul. 3. mgr. 1. gr. og 3.-7. mgr. 12. gr. sóttvarnarlaga, nr. 19/1997, með áorðnum breytingum.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er það meðal annars kveðið á um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins. Stendur krafa ákvæðisins um gagnsæi vinnslu í nánum tengslum við samþykki sem heimild til vinnslu persónuupplýsinga, enda áskilið að slík viljayfirlýsing sé upplýst, svo sem fyrr greinir. Ábyrgðaraðili, sem í því tilfelli sem hér um ræðir er sóttvarnalæknir, sbr. 4. mgr. 12. gr. sóttvarnarlaga, nr. 17/1997, með áorðnum breytingum, ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. 8. gr., sbr. 2. mgr. sömu greinar, og skal geta sýnt fram á það.
Notkun kennitölu er jafnframt háð því að hún eigi sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu og getur Persónuvernd bannað eða fyrirskipað notkun hennar, sbr. 13. gr. laga nr. 90/2018.
7. Niðurstaða - fyrirmæli
Af hálfu embættis landlæknis hefur komið fram að notkun kennitölu í tengslum við skráningu í smitgát verði valkvæð en jafnframt að embættið telji hana nauðsynlega til að tryggja örugga persónugreiningu þeirra sem hana hafa. Forritinu sé þó einnig ætlað að ná til einstaklinga sem ekki hafa kennitölu, en ljóst er að mati Persónuverndar að þar er einkum um erlenda einstaklinga að ræða. Að auki sé valkvæðri skráningu kennitölu ætlað að auka öryggi við miðlun persónuupplýsinga í gegnum skráningarvefsíðu fyrir smitgát. Loks verður ráðið af mati embættis landlæknis á áhrifum á persónuvernd að kennitölu sé jafnframt ætlað að sporna gegn notkun barna undir 13 ára aldri á smitrakningarforritinu.
Persónuvernd telur að fallast megi á það mat embættis landlæknis að notkun kennitölu við skráningu í smitgát geti talist nauðsynleg til að tryggja örugga persónugreiningu í þeim tilvikum sem kennitala liggur fyrir, sbr. 13. gr. laga nr. 90/2018, en að tryggja megi nægjanlega örugga persónugreiningu annarra með þeim leiðum sem embætti landlæknis hyggst nota. Hins vegar þykir skilyrði ákvæðisins um nauðsyn standa því í vegi að unnt sé að líta svo á að skráning kennitölu geti verið valkvæð. Að mati Persónuverndar verður ekki annað séð en að öðrum skilyrðum ákvæðisins fyrir notkun kennitölu sé fullnægt, eins og hér háttar til.
Að mati Persónuverndar telst sú öryggisráðstöfun, að valkvætt sé að skrá kennitölu við skráningu í smitgát, þó koma of seint fram til að draga úr áhættu á að börn undir 13 ára aldri noti rakningarforritið enda um tvær aðskildar vinnsluaðgerðir að ræða.
Að framangreindu gættu, og með hliðsjón af erindi embættis landlæknis og fylgigögnum þess að öðru leyti, þ.m.t. mati á áhrifum hinnar fyrirhuguðu vinnslu á persónuvernd, er að mati Persónuverndar, að svo stöddu, ekki ástæða til að ætla að vinnslan, eins og henni er lýst í umræddum gögnum, muni brjóta í bága við ákvæði laga nr. 90/2018 eða reglugerðar (ESB) 2016/679. Sú afstaða er þó háð því að áður en vinnslan hefst fari embætti landlæknis að neðangreindum fyrirmælum sem Persónuvernd beinir til embættisins með vísan til 4. tölul. 42. gr. laga nr. 90/2018:
1. Afmarkað verði nánar hvaða vinnsluaðgerðir muni styðjast við samþykki skráðra einstaklinga, sbr. 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018, og hvaða vinnsluaðgerðir muni styðjast við heimild samkvæmt 3. tölul. 9. gr. laganna og fullnægja skilyrði 9. tölul. 1. mgr. 11. gr. þeirra.
2. Tilgreint verði með skýrum hætti hverjum beri að gefa upp kennitölur í tengslum við skráningu í smitgát, í gegnum þar til gerða vefsíðu, og hverjir séu undanþegnir þeirri kröfu.
3. Vinnsluskrá embættis landlæknis, sbr. 26. gr. laganna og 30. gr. reglugerðar (ESB) 2016/679, og drög að persónuverndarstefnu, sbr. c-lið 1. mgr. 13. gr. reglugerðarinnar, verði uppfærð til samræmis við 1. og 2. lið fyrirmæla þessara.
4. Persónuverndarstefna, eða önnur fræðsla um vinnslu persónuupplýsinga, verði gerð aðgengileg í öllum valmyndum forritsins Rakning C-19 þar sem óskað er eftir samþykki notenda fyrir vinnslu persónuupplýsinga, svo sem með tengli á vefsíðu eða öðrum einföldum hætti.
Verði gætt að framangreindum atriðum og þær ráðstafanir gerðar, sem lýst er í erindi embættis landlæknis og fylgiskjölum með því, þar með talið að tekið verði tillit til þeirra athugasemda sem gerðar voru í öryggisúttekt Syndis, gerir Persónuvernd ekki athugasemd við að vinnsla persónuupplýsinga í tengslum við uppfærða útgáfu smitrakningarforritsins Rakningar C-19 hefjist. Byggist sú afstaða stofnunarinnar á fyrirliggjandi gögnum og því að þær forsendur sem lýst er í framangreindum gögnum standist. Þá áréttar Persónuvernd að ábyrgðaraðili ber ávallt ábyrgð á því að vinnsla persónuupplýsinga uppfylli ákvæði laga nr. 90/2018 og reglugerðar (ESB) 2016/679.
Loks skal ábyrgðaraðili senda Persónuvernd staðfestingu á að farið hafi verið að framangreindum fyrirmælum áður en fyrirhuguð vinnsla hefst.
F.h. Persónuverndar,
Vigdís Eva Líndal Bjarni Freyr Rúnarsson