Skýringar á útgáfu nýrra reglna um tilkynningar- og leyfisskyldu
Persónuvernd hefur veitt landlækni umbeðnar skýringar á forsendum nýrra reglna nr. 712/2008 um tilkynninga- og leyfisskylda vinnslu persónuupplýsinga.
Persónuvernd barst ósk landlæknis um skýringar varðandi forsendur reglna nr. 712/2008 um tilkynningaskylda og leyfisskylda vinnslu persónuupplýsinga. Nánar til tekið var spurt um hvers vegna samkeyrsla viðkvæmra persónuupplýsinga úr miðlægum skrám á hendi sama aðila, yrði leyfisskyld samkvæmt 1. tl. 4. gr.
Af tilefni fyrirspurnarinnar voru veittar eftirfarandi skýringar:
I. Lög nr. 77/2000, tilskipun 95/46/EB og almenn sjónarmið um meðferð og vernd persónuupplýsinga
Persónuvernd starfar samkvæmt lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Forveri þeirra laga voru lög nr. 121/1989, um skráningu og meðferð persónuupplýsinga. Kveikjan að setningu núgildandi laga var meðal annars gildistaka nýrrar tilskipunar Evrópusambandsins nr. 95/46/EB (e. DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of October 24 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data), en samkvæmt ákvörðun sameiginlegu EES-nefndarinnar frá 25. júní 1999 ber að fella þá tilskipun inn í EES-samninginn.
Þau grundvallarsjónarmið sem starfsemi Persónuverndar byggir á, er að finna í 71. grein stjórnarskrár íslenska lýðveldisins, sbr. lög nr. 33/1944 en þar segir í 1. mgr: „Allir skulu njóta friðhelgi einkalífs, heimilis og fjölskyldu." Í greinargerð löggjafans með frumvarpi til laganna um persónuvernd, segir að setning réttarreglna um meðferð persónuupplýsinga sé „einn ríkasti þátturinn í viðleitni ríkisvaldsins til að sinna þeirri skyldu sem stjórnarskráin leggur á hinn almenna löggjafa að tryggja friðhelgi einkalífs. Það að njóta friðhelgi um einkalíf sitt, þ.m.t. að því er varðar meðferð persónuupplýsinga, er grundvallarþáttur mannréttinda sem íslenska stjórnarskráin verndar."
Í greinargerð með lögum um Persónuvernd er einnig fjallað um Evróputilskipunina sem var innleidd með þeim. Í greinargerðinni segir: „Markmið tilskipunar 95/46/EC er annars vegar að tryggja grundvallarmannréttindi einstaklinga og þá alveg sérstaklega rétt manna til þess að njóta friðhelgi um einkalíf sitt í tengslum við meðferð persónuupplýsinga og hins vegar að tryggja frjálst flæði persónuupplýsinga milli aðildarríkja ESB."
Í greinargerðinni er líka fjallað um að samkvæmt tilskipuninni er aðildarríkjum skylt að setja á laggirnar stofnanir til þess að hafa eftirlit með því að ákvæðum hennar sé fylgt innan landamæra viðkomandi ríkis. Skulu slíkar stofnanirnar njóta fullkomins sjálfstæðis í störfum sínum og m.a. hafa vald til þess að framkvæma rannsóknir, veita leyfi, stöðva ólöglega starfsemi o.fl. Almenningi skal vera kunnugt um tilvist allrar vinnslu með persónuupplýsingar og stofnuninni vera skylt að halda skrá um alla vinnslu sem fram fer, þ.e. þá vinnslu sem er leyfis- eða tilkynningarskyld.
Ennfremur segir í greinargerðinni að einkenni tilskipunar ESB sé það „að reglur hennar gilda bæði um opinbera aðila og einkaaðila. Með því er í fyrsta lagi leitast við að samræma efnisreglur ólíkra landa sem skilgreina hugtökin einkaaðili og opinber aðili með mismunandi hætti. Í öðru lagi liggur það til grundvallar tilskipuninni að réttarvernd hins almenna borgara eigi ekki að vera misjöfn eftir því hver það er sem vinnur með upplýsingar um hann."
Auk Evróputilskipunarinnar má nefna að friðhelgi einkalífsins er vernduð af ýmsum alþjóðasáttmálum sem Ísland hefur fullgilt, þ.á.m. Mannréttindasáttmála Evrópu og alþjóðasamningi um borgaraleg- og stjórnmálaleg réttindi.
II. Vernd viðkvæmra persónuupplýsinga um heilsufar
Meginregla tilskipunar EB nr. 95/46 er sú að óheimilt er að vinna með viðkvæmar persónuupplýsingar, sbr. 1. mgr. 3. gr. Í 1. mgr. 8. gr. tilskipunarinnar er rakið um hvers konar upplýsingar er að ræða en þar á meðal eru upplýsingar um heilsuhagi.
Frá fyrrgreindri meginreglu eru gerðar ákveðnar undantekningar í 2. mgr. 3. gr. Þannig er t.d. heimilt að vinna með viðkvæmar persónuupplýsingar ef sá aðili sem upplýsingarnar varðar samþykkir vinnsluna og eins geta aðildarríkin heimilað frávik frá meginreglunni ef slíkt er nauðsynlegt með tilliti til almannahagsmuna.
Um þessi sjónarmið er rætt í greinargerð með gildandi lögum um persónuvernd. Þar segir að gert sé ráð fyrir að til séu „persónuupplýsingar sem séu mönnum viðkvæmari en aðrar og að um þær upplýsingar gildi sérstakar reglur, bæði hvað varðar heimild til söfnunar og skráningar og um aðgang að þeim." Þessa sér stað í lögum um persónuvernd nr. 77/2000 en meðal annars eru þrengri heimildir til vinnslu viðkvæmra persónuupplýsinga en almennra, sbr. 1. mgr. 9. gr. og 1. mgr. 8. gr.
III. Lög um landlækni og Reglur um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga
Ný lög um landlækni, nr. 41/2007 tóku gildi þann 1. september 2007. Í 8. gr. laganna er fjallað um hlutverk landlæknis hvað varðar skýrslugerð og heilbrigðisskrár. Í greinargerð með frumvarpinu sem varð að lögum nr. 41/2007 segir: „Í frumvarpinu er kveðið með mun ítarlegri hætti á um þetta hlutverk landlæknis að þessu leyti, þ.e. um þær heilbrigðisskrár sem honum ber að skipuleggja og halda og um útgáfu heilbrigðisskýrslna. Miða ákvæði frumvarpsins að því að styrkja heimildir landlæknis til að safna upplýsingum um heilbrigðismál í þeim tilgangi að afla þekkingar um heilsufar og heilbrigðisþjónustu, hafa eftirlit með heilsufari og heilbrigðisþjónustu, meta árangur þjónustunnar og gera áætlanir um gæðaþróun í heilbrigðisþjónustu."
Ennfremur segir í greinargerð með frumvarpinu að „... meginreglan [er] sú að upplýsingar í skrám landlæknis skuli vera ópersónugreinanlegar nema samþykki hinna skráðu standi til annars. Á þetta við um allar skrár sem landlæknir heldur aðrar en þær sem taldar eru upp í 2. mgr. ákvæðisins. Reynsla undanfarinna ára og áratuga hefur leitt í ljós að heilbrigðisskrár á landsvísu hafa ómetanlegt gildi fyrir heilbrigðisyfirvöld til að meta hvaða þættir hafa áhrif á heilsu og til að gera langtímaáætlanir fyrir heilbrigðisþjónustuna. Í sumum tilvikum er talin rík þörf á að halda slíkar skrár á persónugreinanlegu formi." Í 2. mgr. eru svo taldar upp þær heilbrigðisskrár á landsvísu sem landlækni er samkvæmt lögunum ætlað að halda, á persónugreinanlegu formi.
Á fundi stjórnar Persónuverndar þann 30. júní 2008 voru samþykktar reglur um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga en þær taka gildi þann 1. nóvember nk. Í 4. gr. reglnanna er fjallað um hvers konar vinnsla persónuupplýsinga er háð skriflegri heimild Persónuverndar. Í 1. tl. segir að leyfisskyld sé samkeyrsla skráar sem hefur að geyma almennar eða viðkvæmar persónuupplýsingar. Slík samkeyrsla sé þó ekki leyfisskyld ef samkeyrðar eru skrár sama ábyrgðaraðila, þó að undanskildum miðlægum skrám sem innihalda viðkvæmar persónuupplýsingar. Miðlægar skrár eru skilgreindar í 5. tl. 2. gr. reglnanna sem skrár með upplýsingum um alla einstaklinga hér á landi sem uppfylla ákveðin viðmið, óháð búsetu en undir þessa skilgreiningu falla skrár landlæknis sem kveðið er á um í 2. mgr. 8. gr. laga um landlækni.
Í 1. tl. 4. gr. reglnanna má segja til útskýringar að birtist undanþága frá undanþágunni um samkeyrslu skráa á hendi sama ábyrgðaraðila. Í bréfi yðar til Persónuverndar er í raun verið að spyrja hvers vegna þessi regla hafi verið sett inn í reglur nr. 712/2008 þar sem sambærileg regla hafi ekki verið til staðar áður í regluverki Persónuverndar. Er því í fyrsta lagi til að svara að með hinum nýju lögum um landlækni er lögfest víðtækari heimild til skráarhalds en áður hafði verið og því eðlilegt að í reglum sem settar eru eftir gildistöku laganna sé skerpt á eftirliti með meðferð persónuupplýsinga.
Áður en lengra er haldið við að svara spurningu yðar verður hér farið stuttlega yfir umfjöllun um leyfisskylda vinnslu persónuupplýsinga eins og hún birtist í greinargerð með frumvarpi til laganna um persónuvernd.
Í greinargerð með 33. gr. segir: „Leyfisveiting er fyrir fram eftirlit til að tryggja að vinnslan fullnægi grundvallarkröfum um persónuvernd, en ekki tæki til að stöðva vinnslu sem e.t.v. er skylt að framkvæma samkvæmt lögum eða reglugerðum." Þá segir: „Samkvæmt 34. gr. frumvarpsins eru það einkum sjónarmið um aukna persónuvernd sem búa að baki því að gera tiltekna vinnslu viðkvæmra persónuupplýsinga háða leyfi Persónuverndar. Það leiðir og af yfirlýstu markmiði laganna skv. 1. gr. Þá leiðir einnig af þessu ákvæði að ekki verður synjað um leyfi til að vinna með persónuupplýsingar nema um sé að ræða meðferð sem getur haft í för með sér óhagræði fyrir einstaklinginn. Vísað er til 2. mgr. 35. gr. að því er varðar þau atriði sem líta ber til við mat á því hvort veita skuli umbeðið leyfi."
2. mgr. 35. gr. laganna um persónuvernd hljóðar svo:
Við mat á því hvaða skilyrði skal setja fyrir vinnslu skal Persónuvernd m.a. athuga:
1. hvort tryggt sé að hinn skráði geti nýtt réttindi sín samkvæmt lögunum, þar á meðal til að hætta þátttöku í verkefni, og eftir atvikum fá eytt skráðum persónuupplýsingum, til að fá fræðslu um réttindi sín og beitingu þeirra;
2. hvort persónuupplýsingar verði nægjanlega öruggar, áreiðanlegar og uppfærðar í samræmi við tilgang vinnslunnar skv. 7. gr.;
3. hvort með persónuupplýsingarnar verði farið af þeirri varúð sem reglur um þagnarskyldu og tilgangur vinnslunnar krefst;
4. hvort skipulagt hafi verið hvernig hinum skráða verði veittar upplýsingar og leiðbeiningar, innan þeirra marka sem sanngjarnt er að ætlast til miðað við umfang vinnslunnar og aðrar öryggisráðstafanir sem viðhafðar eru;
5. hvort stofnað hafi verið til öryggisráðstafana sem séu eðlilegar miðað við tilgang vinnslunnar.
Varðandi miðlægar heilbrigðisskrár í vörslu landlæknis verður að vekja athygli á því að sum atriðanna sem talin eru upp í 2. mgr. 35. gr. er ólíklegt að verði uppfyllt. Þannig er þátttaka ekki valkvæð og því ekki um að ræða þann möguleika að hætta þátttöku í verkefni, sbr. 1. tl.
Í bréfi yðar er vísað til leiðbeininga fyrir starfsmenn Landlæknisembættisins um heilbrigðisskrár landlæknis og reglur um vinnslu upplýsinga í skránum. Persónuvernd telur gerð slíkra leiðbeininga til fyrirmyndar en þær geta stuðlað að því að ábyrgðaraðili uppfylli skyldur sínar um innra eftirlit með vinnslu persónuupplýsinga, sbr. 12. gr. laga um persónuvernd. Hins vegar segir um þá grein laganna í greinargerð með frumvarpi sem varð að lögum nr. 77/2000: „Rétt er að leggja á það þunga áherslu að innra eftirliti er með engu móti ætlað að koma í stað þess eftirlits sem Persónuvernd hefur með framkvæmd laganna."
IV. Leyfisskyld samkeyrsla upplýsinga úr miðlægum skrám landlæknis
Lög um persónuvernd og regluverk það sem hefur stoð í þeim lögum, byggja á þeim grundvallarsjónarmiðum um vernd einkalífs og persónuupplýsinga sem að framan hafa verið rakin. Upplýsingar um heilsufar manna telst til viðkvæmra persónuupplýsinga og skal því meðhöndla af sérstakri varfærni. Stjórn Persónuverndar hefur metið það svo að í ljósi eðlis þeirra miklu og viðkvæmu upplýsinga um marga einstaklinga, sem er að finna í miðlægum heilbrigðisskrám, sbr. 2. mgr. 8. gr., þurfi leyfi til að samkeyra upplýsingar úr tveimur eða fleiri þessara skráa. Þetta er talið nauðsynlegt til að Persónuvernd geti fyllilega rækt eftirlitshlutverk sitt.