Úrskurður um vinnslu persónuupplýsinga vegna danskra rannsóknarverkefna

Mál nr. 2020123091

8.9.2022

Úrskurður

Hinn 8. september 2022 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020123091:

I.
Málsmeðferð
1.
Tildrög máls

Hinn 12. desember 2020 barst Persónuvernd kvörtun frá dönsku samtökunum Patientdataforeningen fyrir hönd […] (hér eftir nefnd „kvartandi“) yfir vinnslu persónuupplýsinga hjá Íslenskri erfðagreiningu ehf. (ÍE). Um það segir í kvörtun að hinn 3. nóvember 2020 hafi kvartandi fengið upplýsingabréf frá lífsýnasafni Höfuðborgarsvæðis Danmerkur, Region Hovedstadens Biobank, þess efnis að vefjasýni úr henni hefðu verið send til einkafyrirtækisins deCODE Genetics á Íslandi, þ.e. ÍE, þar sem unnar yrðu úr þeim víðtækar erfðaupplýsingar og þær síðan varðveittar hjá fyrirtækinu. Í því sambandi er rakið að samkvæmt gögnum um verkefnið á vefsíðu Höfuðborgarsvæðis Danmerkur sé Höfuðborgarsvæðið ábyrgðaraðili en ÍE vinnsluaðili, að verkefnið falli undir almennt mat Höfuðborgarsvæðisins á áhrifum á persónuvernd, svo og að það hafi jafnframt ákveðið að gera sérstakt mat af því tagi vegna samvinnunnar við ÍE. Hvað þetta snertir eru tilgreind eftirfarandi fjögur umkvörtunarefni:

1. Að upplýsingar á Íslandi séu unnar án heimildar þar sem hlutverkaskipting milli ÍE og lífsýnasafns Höfuðborgarsvæðis Danmerkur sé í raun þannig háttað að ÍE sé ábyrgðaraðili erfðaupplýsinga á Íslandi og að vinnslusamningur geti því ekki talist fela í sér heimild.

2. Að upplýsingar í verkefninu falli ekki undir almennt mat Höfuðborgarsvæðis Danmerkur á áhrifum á persónuvernd, en áður en upplýsingavinnslu var hrint í framkvæmd hefði átt að móta slíkt mat fyrir verkefnið sérstaklega. Að auki sé óljóst hvort ÍE hafi útbúið þess háttar mat fyrir verkefnið.

3. Að erfðaupplýsingar séu unnar án leyfis miðlægu vísindasiðanefndarinnar á Íslandi.

4. Að erfðaupplýsingar séu unnar án heimildar íslensku persónuverndarstofnunarinnar og að hún hafi því ekki haft möguleika á að veita umsögn um slíka vinnslu til hlutaðeigandi vísindasiðanefndar.

2.
Nánar um kvörtun

Í tengslum við framangreint er í kvörtun fjallað um skiptingu á ábyrgð samkvæmt almennu persónuverndarreglugerðinni, (ESB) 2016/679, á einstökum sviðum vinnslu persónuupplýsinga sem fleiri en einn aðili hafa aðkomu að. Segir að afmörkun á því hver teljist vera ábyrgðaraðili velti á hlutverkum aðila. Taka þurfi þar afstöðu til þess hver hafi yfirráð yfir upplýsingum, enda sé það sá sem taki ákvörðun um tilgang og aðferðir við vinnslu persónuupplýsinga sem sé ábyrgðaraðili. Einstakir aðilar í rannsóknarsamstarfi fái, allt eftir því hvert hlutverk þeirra sé, mismunandi skyldur að persónuverndarrétti. Ábyrgðaraðilinn sé með öðrum orðum sá sem fari með beina ábyrgð á vinnslu persónuupplýsinga og sem í daglegri starfsemi hafi ráðstöfunarrétt yfir þeim upplýsingum sem verði þáttur í vinnslunni.

Einnig segir meðal annars að í ljósi eðlis rannsóknarstarfs sé í samstarfsverkefnum um að ræða skapandi ferli sem þróist með tímanum. Á það geti sérstaklega reynt í rannsóknarsamstarfsverkefnum til langtíma. Að sjálfsögðu sé það krefjandi í tengslum við það hvernig farið skal að lögum og reglum á sviði persónuverndarréttar í samstarfinu. Það ætti ekki að teljast til málsbóta þegar ekki er gripið til nauðsynlegs framtaks til að byggja upp samvinnu á eins réttmætum grundvelli og mögulegt er. Það að lögfræðilegar og siðfræðilegar hindranir standi í vegi fyrir samvinnu ætti enn fremur aldrei að verða til þess að verkefnum sé á einhvern hátt blandað saman til að þau geti hlotið samþykki án þess að þar endurspeglist hið raunverulega fyrirkomulag samvinnunnar og skipting hlutverka.

Að auki segir að af mörgu rannsóknarsamstarfi leiði, í fullu samræmi við hinar svonefndu Vancouver-reglur um góða starfshætti við rannsóknir, að sá aðili sem var ábyrgur fyrir verkefni og útfærði greiningar eigi rétt á að vera tilgreindur sem fyrsti höfundur útgefinnar fræðigreinar, svo og í mörgum tilvikum rétt á að vera tilgreindur sem síðasti höfundur. Til skýringar er því lýst að með ábyrgð á verkefni sé átt við ákvörðun tilgangs þess og að með útfærslu greininga sé átt við ákvörðun á aðferðum. Þá segir að líta skuli til framangreinds þegar hlutverkum sé skipt.

Í kvörtun er jafnframt farið yfir reglur um skyldu ábyrgðaraðila samkvæmt reglugerð (ESB) 2016/679 til að meta áhættu af vinnslu persónuupplýsinga og til að gera mat á áhrifum á persónuvernd. Þá er vísað til þess að brot gegn reglugerðinni geta varðað stjórnvaldssektum.

3.
Skýringar ÍE

Með bréfi, dags. 18. mars 2021, var ÍE veitt færi á að tjá sig um kvörtun í málinu. Svarað var með bréfi, dags. 7. maí s.á. Hvað snertir það sem í kvörtun segir um rannsóknarsamstarfsverkefni til langtíma, þar sem fyrirkomulag samvinnu og skipting hlutverka endurspeglist ekki með réttum hætti, er vísað til máls vegna ábendingar til Persónuverndar frá Patientdataforeningen hinn 6. júlí 2020 (mál nr. 2020072030 hjá stofnuninni). Í ábendingunni var vísað til lögfræðiálits frá 19. júní 2020 sem unnið var af lögmannsstofunni Kammeradvokaten fyrir ráðuneyti heilbrigðismála og málefna aldraðra í Danmörku (d. Sundheds- og Ældreministeriet), en samkvæmt álitinu voru líkur á því að ÍE væri ábyrgðaraðili vegna tiltekinnar rannsóknar á dönskum lífsýnum þrátt fyrir að fyrirtækið væri skráð sem vinnsluaðili. Sendi Persónuvernd ÍE bréf af tilefni ábendingarinnar, dags. 3. desember 2020, þar sem óskað var skýringa vegna framangreinds. Barst í kjölfarið bréf frá ÍE, dags. 17. s.m., og í bréfi sínu, dags. 7. maí 2021, áréttar fyrirtækið þær skýringar sem þar voru veittar.

Nánar tiltekið vísar ÍE til fyrri skýringa fyrirtækisins þess efnis að í álitinu hafi falist niðurstaða úttektar á vinnslu persónuupplýsinga og lífsýna hjá viðsemjanda þess í Danmörku, Statens Serum Institut (SSI), þó sér í lagi á flutningi slíkra upplýsinga til Stanford-háskóla í Bandaríkjunum sem virðist hafa verið tilefni úttektarinnar. Einnig hafi verið fjallað um samstarfsverkefni SSI og nokkurra aðila innan EES-svæðisins, þ.m.t. ÍE, og hafi því verið velt upp hvort ÍE ætti mögulega að teljast meðábyrgðaraðili í rannsóknarverkefninu „Genetic study of diverticular disease“ þó svo að engu hafi verið slegið föstu og allir varnaglar slegnir. Þá hafi í álitinu verið tekið fram að ábyrgðaraðilinn SSI teldi ÍE eingöngu hafa stöðu vinnsluaðila eins og kveðið sé á um í vinnslusamningi ÍE og SSI. Kvartandi dragi því of víðtæka ályktun af álitinu og hafi auk þess í frammi ómaklegar aðdróttanir um samstarf ÍE við ábyrgðaraðila.

Að auki er vísað til umfjöllunar í kvörtun um rétt þess sem ábyrgð ber á rannsókn til að vera tilgreindur sem fyrsti eða síðasti höfundur. Segir að fullyrðing kvartanda þar að lútandi sé hvergi rökstudd með vísan til dómaframkvæmdar eða leiðbeininga persónuverndaryfirvalda innan EES. Þetta sé því einungis skoðun kvartanda en ekki gild röksemd.

Í framhaldi af þessu er farið fram á að kvörtuninni sé vísað frá þar sem umkvörtunarefnið eigi heima hjá dönsku persónuverndarstofnuninni, Datatilsynet. Því til stuðnings segir að um ræði skráða einstaklinga í Danmörku að öllu leyti eða a.m.k. að langstærstum hluta, svo og að ábyrgðaraðili umræddrar vinnslu sé danskur. Bær stjórnvöld séu því danska persónuverndarstofnunin, auk dönsku vísindasiðanefndarinnar, National Videnskabsetisk Komité, vegna viðkomandi rannsóknarverkefna.

Jafnframt segir í tengslum við frávísunarkröfuna að mál af sömu rót og kvörtun sé þegar til meðferðar hjá dönsku persónuverndarstofnuninni og hafi áður verið tekið til meðferðar af dönsku vísindasiðanefndinni. Hafi hún sent ábyrgðaraðila þess verkefnis sem tilgreint er í kvörtun, þ.e. lífsýnasafni Höfuðborgarsvæðis Danmerkur, erindi með ósk um að gerð yrði grein fyrir samstarfinu við Íslenska erfðagreiningu og vinnslu persónuupplýsinga vegna þess. Í kjölfar svara frá safninu hafi nefndin lýst þeirri afstöðu sinni að persónuverndarlöggjöf væri virt og nauðsynlegir samningar til staðar en að það félli undir dönsku persónuverndarstofnunina að taka afstöðu til þess hvort farið væri að tilteknum ákvæðum löggjafarinnar. Hinn 12. mars 2021 hafi safninu borist bréf frá þeirri stofnun vegna upplýsingabréfs í nóvember 2020 til þeirra sem farið hefðu í blóðsýnatöku vegna meðhöndlunar á einhverju sjúkrahúsanna á Höfuðborgarsvæðinu. Þar sé um að ræða sama upplýsingabréf og fylgdi með kvörtun og hafi safnið veitt svör um það bréf hinn 8. apríl 2021. Þá hafi SSI nýlega upplýst ÍE um að danska persónuverndarstofnunin sé að skoða rannsóknarverkefni á sínum vegum. Hafi þar ekki verið gerð athugasemd við að ÍE sé vinnsluaðili SSI.

Vegna frávísunarkröfunnar segir einnig að danska persónuverndarstofnunin eigi hér að vera forystustjórnvald í skilningi b-liðar 23. tölul. 4. gr. reglugerðar (ESB) 2016/679 og með hliðsjón af leiðbeiningum á samevrópskum vettvangi í aðdraganda gildistöku reglugerðarinnar, þ.e. kafla 2.3 í leiðbeiningum 13. desember 2016 (endurskoðuðum 5. apríl 2017) um afmörkun á forystustjórnvaldi frá vinnuhópi samkvæmt 29. gr. tilskipunar 95/46/EB. Að auki er því haldið fram að samkvæmt reglugerðinni sé bannað að bera mál undir fleiri en eina persónuverndarstofnun (e. forum shopping) og er í því sambandi vísað til kafla 2.2 í umræddum leiðbeiningum. Í ljósi þess að forsvarsmaður Patientdataforeningen hafi í dönskum fjölmiðlum goldið varhug við rannsóknum sem ábyrgðaraðili standi fyrir sé rétt að kanna hvort málið, sem til meðferðar var hjá dönsku vísindasiðanefndinni árið 2020, hafi stafað af kvörtun frá honum eða öðrum umbjóðanda samtakanna. Þá segir að á því séu miklar líkur að kvörtun samtakanna til Persónuverndar hafi verið send stofnuninni sem stjórnvaldi í því landi þar sem meint brot átti sér stað, sbr. 1. mgr. 77. gr. reglugerðar (ESB) 2016/679, samtímis því að kvörtun á vegum samtakanna hafi verið lögð fram í Danmörku á þeim grundvelli að þar hefði kvartandi fasta búsetu. Tekið er fram í þessu sambandi að ákvæði reglugerðarinnar um að nægilegt sé leggja kvörtun fram á einum stað (e. one stop shop) hafi ekki verið hugsuð til þess að hefja mætti sama málið hjá fleiri en einni stofnun og etja þeim saman heldur til þess að einfalda málsmeðferð, sérstaklega vegna samskipta ábyrgðaraðila við persónuverndarstofnun, og stuðla að samræmingu á framkvæmd reglugerðarinnar innan EES. Framgöngu sem þessa verði því að stöðva strax, enda samrýmist hún ekki eðli reglugerðarinnar.

Þessu næst gerir ÍE athugasemdir í tengslum við þau fjögur umkvörtunarefni sem tilgreind eru í kvörtun, sbr. 1. kafla hér að framan. Hvað það varðar að ÍE vinni með upplýsingar sem ábyrgðaraðili án heimildar er tekið fram að fyrirtækið sé vinnsluaðili eins og skilgreint sé í vinnslusamningi milli fyrirtækisins og blóðbanka Höfuðborgarsvæðis Danmerkur. Rannsóknarverkefni, sem fyrirtækið taki þátt í samkvæmt samningnum, hafi hlotið samþykki dönsku vísindasiðanefndarinnar og ÍE hafi enga vitneskju um hverjir hinir skráðu séu.

Í tengslum við það að vinnsla hjá ÍE falli utan almenns mats á persónuvernd hjá Höfuðborgarsvæði Danmerkur segir að það sé ábyrgðaraðila að meta hvort gera þurfi slíkt mat og svara fyrirspurnum í því sambandi. Ábyrgðaraðili hafi upplýst ÍE um að hann hafi svarað slíkri fyrirspurn frá forsvarsmanni Patientdataforeningen, en samkvæmt svarinu hafi verið ákveðið að gera mat eins og hér um ræðir á grundvelli vinnslusamninga vegna einstakra rannsóknarverkefna. Þá hafi ÍE, í samræmi við h-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679 og að beiðni ábyrgðaraðila, gert mat á áhrifum á persónuvernd vegna vinnslu erlendra lífsýna og sent þær upplýsingar til blóðbanka Kaupmannahafnar sem sé hluti af blóðbanka Höfuðborgarsvæðis Danmerkur.

Varðandi það að upplýsingar séu unnar án leyfis miðlægu vísindasiðanefndarinnar á Íslandi er tekið fram að um ræði rannsóknarverkefni í samræmi við dönsk lög, að þau hafi hlotið samþykki dönsku vísindasiðanefndarinnar og að sú íslenska hafi hér ekki lögsögu, sbr. 1. mgr. 2. gr. laga nr. 44/2014 um vísindarannsóknir á heilbrigðissviði, enda sé ábyrgðaraðilinn danskur og rannsóknarþýðið að öllu leyti danskt.

Hvað það snertir að erfðaupplýsingar séu unnar án heimildar íslensku persónuverndarstofnunarinnar, þannig að hún hafi ekki haft möguleika á að veita umsögn um slíka vinnslu til hlutaðeigandi vísindasiðanefndar, er vísað til þess sem meginreglu í fjölþjóðlegum rannsóknum að leyfis sé aflað í því landi þar sem rannsóknarþýði og ábyrgðaraðili rannsóknar séu staðsett. Þetta gildi þó svo að takmarkaður hluti vinnslu eigi sér stað í þriðja landi. Eigi þessi meginregla við um ESB-styrki vegna rannsóknar og nýsköpunar, sbr. grein 34.2 í tilskipun (ESB) 1290/2013, og geri sú tilskipun ekki ráð fyrir að siðanefndir margra landa fjalli um vísindarannsókn sem framkvæmd sé í einu landi og með rannsóknarþýði frá sama landi. Enn fremur segir að Persónuvernd og íslenska vísindasiðanefndin eigi ekki lögsögu vegna þeirra rannsóknarverkefna sem hér um ræðir og að lögsagan sé þess í stað hjá National Videnskabsetisk Komité og Datatilsynet í Danmörku.

Í framhaldi af þessu svarar ÍE spurningum um tiltekin atriði sem bornar voru upp í bréfi Persónuverndar til fyrirtækisins, dags. 18. mars 2021. Það sem fram kemur í svörunum er að mestu leyti sama efnis og fyrrgreindar athugasemdir í tengslum við kvörtun í málinu. Er í ljósi þess óþarft að rekja hér hverja og eina spurningu Persónuverndar og svör ÍE við henni. Til viðbótar því sem áður hefur verið rakið má hins vegar nefna að samkvæmt umræddum svörum hafa lífsýni úr kvartanda verið nýtt í þágu þriggja rannsóknarverkefna (en samkvæmt síðari skýringum voru þau einu færri þar sem í ljós hafði komið að kvartandi var ekki á meðal þátttakenda í einu þessara verkefna, sbr. 5. kafla hér á eftir). Í því sambandi er tekið fram að fyrir liggi vinnslusamningur vegna hvers og eins þeirra, sem blóðbanki Höfuðborgarsvæðis Danmerkur hafi gert við ÍE, og voru eintök af umræddum vinnslusamningum hjálögð með skýringum ÍE. Jafnframt er meðal annars vísað til samstarfssamnings, dags. 1. ágúst 2017, og ákvæðis í viðauka með samningnum, þess efnis að danskir samstarfsaðilar hafi fengið nauðsynleg leyfi frá Datatilsynet í Danmörku og bíði eftir leyfi dönsku vísindasiðanefndarinnar, svo og að þeir séu ábyrgir fyrir að afla nauðsynlegra leyfa sem síðar geti reynst þörf á. Þá segir að ÍE hafi fengið þær upplýsingar að slíkra leyfa hafi verið aflað en að heimild skorti til að opinbera þau. Persónuvernd sé hvött til að hafa samband við þau stjórnvöld sem hér um ræðir til að fá aðgang að þeim eða til að ráðleggja hinum skráða að gera það.

4.
Athugasemdir Patientdataforeningen

Með bréfi, dags. 18. júní 2021, veitti Persónuvernd Patientdataforeningen færi á að tjá sig um framangreindar skýringar ÍE. Svarað var með bréfi, dags. 6. júlí 2021. Þar segir að athugasemdir ÍE valdi samtökunum áhyggjum. Fyrirtækið vinni með einhverjar viðkvæmustu upplýsingar sem unnt sé að hugsa sér og sé að því er virðist ekki mjög áhugasamt um að tryggja hagsmuni hins skráða. Þegar vinnsluaðili vinni með erfðaupplýsingar fleiri en 400.000 sjúklinga, og þegar vinnslan byggist á nýrri upplýsingatækni, þ. á m. gervigreind, sé um að ræða vinnslu sem samkvæmt skilgreiningu feli í sér mikla áhættu fyrir réttindi hins skráða.

Í athugasemdum ÍE sé áherslan hins vegar alls ekki lögð á réttindi hins skráða. Þess í stað sé hún lögð á að verjast gagnrýni á fyrirtækið. Að mati Patientdataforeningen stingi það í augu og sé rangt. Áhyggjur Patientdataforeningen virðist auk þess móðga ÍE. Þess í stað ætti fyrirtækið að vera þakklátt fyrir að kastljósinu sé beint að göllum og óskýrum atriðum þannig að unnt verði að tryggja réttindi hins skráða. Það ætti að vera í allra þágu. Hins vegar virðist skýringar ÍE ekki endurspegla minnsta þakklæti fyrir að geta nýtt þær mjög viðkvæmu erfðaupplýsingar einstaklinga sem hér um ræðir í þágu eigin rannsóknarmarkmiða og með eigin rannsóknarúrræðum.

Fyrir þurfi að liggja mat á áhrifum á persónuvernd þegar líklegt sé að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir réttindi og frelsi skráðra einstaklinga, þ. á m. vernd persónuupplýsinga. Áhættumat skuli því lúta að áhættu fyrir hinn skráða og ekki áhættu þess aðila sem vinnur með upplýsingar. Til að tryggja réttindi hins skráða skipti það því sköpum að í verkefnum eins og hér um ræðir sé unnið mat á áhrifum á persónuvernd áður en vinnsla hefst. Þetta sé gert meðal annars til að afmarka nákvæmlega hver er vinnsluaðili og hver er ábyrgðaraðili.

Ef athygli einhvers er vakin á því, sem ábyrgðaraðila eða vinnsluaðila, að hann hafi brugðist í tengslum við gerð mats á áhrifum á persónuvernd ætti að stöðva allan aðgang að upplýsingum án tafar, svo og öll rannsóknarverkefni. ÍE geti ekki lokað augunum fyrir skorti á mati á áhrifum á persónuvernd, óháð því hvort fyrirtækið sé ábyrgðaraðili í samræmi við afstöðu Patientdataforeningen eða vinnsluaðili sem vinni samkvæmt fyrirmælum frá ábyrgðaraðila. Hafi verið framkvæmt slíkt mat, gagnstætt því sem samtökin geri ráð fyrir, ætti ÍE jafnframt að eiga auðvelt með að leggja það fyrir íslensk yfirvöld.

Rétt sé að auk Persónuverndar hafi Patientdataforeningen sent dönskum yfirvöldum erindi. Datatilsynet hafi þó ákveðið að stofna ekki til máls á grundvelli erindis frá samtökunum. Með hliðsjón af því meðal annars að ÍE sé í raun ábyrgðaraðili erfðaupplýsinga á Íslandi sé það auk þess afstaða samtakanna að eingöngu íslensk persónuverndaryfirvöld séu þau sem leita eigi til hér. Þess vegna hafi Patientdataforeningen greint Datatilsynet í Danmörku frá því að ekki væri lengur óskað eftir umfjöllun þeirrar stofnunar um erindi samtakanna. Það sé afstaða þeirra að íslensk persónuverndaryfirvöld ættu að sjálfsögðu að láta sig varða mál þar sem víðtækar erfðaupplýsingar kvartanda, auk upplýsinga um meðal annars 400.0000 aðra Dani, séu unnar á Íslandi án lögskylds mats á áhrifum á persónuvernd og sjáanlega með heimild í vinnslusamningi sem ekki endurspegli raunverulegar aðstæður. Þetta þýði að um geti verið að ræða eitthvert víðtækasta alþjóðlega hneykslismálið í tengslum við heilsufarsupplýsingar nokkru sinni, sérstaklega þar sem skugga gæti mögulega einnig borið á vinnslu ÍE á enskum erfðaupplýsingum.

Óháð því hvað Datatilsynet í Danmörku taki sér fyrir hendur beri persónuverndaryfirvöldum á Íslandi og ÍE að aðhafast vegna skorts á mati á áhrifum á persónuvernd og vafa um heimildir. ÍE viti fullvel að fyrirtækið notist við danskar erfðaupplýsingar í þágu eigin rannsóknarmarkmiða og án fyrirmæla um verklag við vinnsluna. Að auki telji Patientdataforeningen að ábyrgð ÍE á erfðaupplýsingum á Íslandi mótist af því að í Danmörku sé að finna afrit af sömu upplýsingum.

Skilningur Patientdataforeningen sé sá að afrit af erfðaupplýsingunum í Danmörku sé að finna á ofurtölvunni Computerome hjá Danmarks Tekniske Universitet (DTU) í Risö undir gerviauðkennum. Þar hafi tveir gagnagrunnsstjórar auðkenningarlykil. Allar aðgerðir á Computerome séu skráðar og séu danskir rannsakendur ábyrgðaraðilar hvað það snerti. Erfðaupplýsingar, sem vistaðar séu á Computerome, séu aðskildar sýnum úr dönskum sjúklingum á Íslandi. Það sé ÍE sem hafi greitt fyrir greiningu erfðaefnis á þeim sýnum eins og fram komi í bréfi frá Rigshospitalet á Höfuðborgarsvæði Danmerkur til forsvarsmanns Patientdataforeningen, dags. 14. júlí 2020, en afrit af bréfinu var hjálagt með svörum Patientdataforeningen. Sýni sem send séu til greiningar hjá ÍE fái ný auðkenningarnúmer og verði þá með tvöfaldri gerviauðkenningu. Aðeins fyrrnefndir gagnagrunnsstjórar hafi dulkóðunarlykilinn. Þegar erfðaupplýsingar séu greindar úr dönskum sýnum hjá ÍE sé sent afrit af upplýsingum til Computerome í Danmörku, en eftir sem áður verði afrit einnig vistað hjá ÍE. Þannig verði unnt að gera erfðaefnisathuganir að vild hjá ÍE á einstaklingsgrundvelli þó svo að notuð séu gerviauðkenni. Á Íslandi sé ekki til staðar aðgangur að dönskum kennitölum (CPR-númerum) eða þeim kóða sem notaður sé við greiningu sýna í Danmörku í Computerome. Allt þetta þyrfti að koma fram í mati á áhrifum á persónuvernd.

Í framhaldi af þessu eru talin upp atriði sem Patientdataforeningen telur leiða til þess að ÍE hafi stöðu ábyrgðaraðila vegna greiningar á umræddum sýnum. Tekið er fram í því sambandi:

1. Að ÍE hafi greitt 80 milljónir danskra króna fyrir hinar dönsku upplýsingar eins og fram komi í áðurnefndu bréfi Rigshospitalet, dags. 14. júlí 2020. Þessa láti ÍE ógetið í skýringum sínum.

2. Að samkvæmt sameiginlegu minnisblaði aðila (e. Memorandum of Understanding), sem hjálagt var með svörum Patientdataforeningen, skuli sá rannsóknarhópur, sem ábyrgur er fyrir rannsóknarverkefni, einnig fá tilgreindan fyrsta og síðasta höfund. Þetta þýði að hinn ábyrgi rannsóknarhópur geti hvort heldur sem er verið í Danmörku og notast við erfðaupplýsingar þar eða á Íslandi og að sama skapi notast við erfðaupplýsingar þar. Þessa láti ÍE ógetið í skýringum sínum.

3. Að ÍE birti vísindagreinar sem sprottnar séu af rannsóknum og útreikningum á Íslandi á hinum dönsku upplýsingum. Jafnframt fái fyrirtækið tilgreindan fyrsta og síðasta höfund í vísindagreinum vegna þeirrar vinnu eins og sjá megi af greininni „Genetic variability in the absorption of dietary sterols affects the risk of coronary artery disease“, en afrit af henni var hjálagt með svörum Patientdataforeningen. Þessa láti ÍE ógetið í skýringum sínum.

4. Að samkvæmt þessu noti ÍE upplýsingar í þágu eigin rannsóknarmarkmiða og taki þar sjálfstæðar ákvarðanir um verklag og þegar fyrirtækið notist við hinar dönsku upplýsingar í þágu slíkra markmiða sé það því ekki samkvæmt fyrirmælum frá dönskum rannsakendum. Patientdataforeningen líti svo á að þegar rannsakendur í Danmörku stofni til rannsóknarverkefna þar í landi, sem þeir beri ábyrgð á, fari rannsóknargreiningar þar fram í ofurtölvunni Computerome og að þegar rannsakendur á Íslandi stofni til rannsóknarverkefna þar í landi, sem þeir beri ábyrgð á, fari rannsóknargreiningar þar fram á vegum ÍE. Þessa láti ÍE ógetið í skýringum sínum.

5. Að þegar skráðir einstaklingar í Danmörku komi því á framfæri við danska rannsakendur að þeir vilji ekki lengur taka þátt í rannsóknarverkefni sé upplýsingum ekki eytt á Íslandi. Ef ÍE væri aðeins vinnsluaðili ætti upplýsingum samtímis að vera eytt hjá fyrirtækinu, en það sé ómögulegt í framkvæmd þar sem það hafi engan aðgang að dönskum kennitölum. Því sé það afstaða Patientdataforeningen að þrátt fyrir að kvartandi hafi sagt sig úr rannsókn í Danmörku sé erfðaupplýsingum hennar ekki eytt á Ísland og því enn hægt að nálgast þær þar í landi. Þessa láti ÍE ógetið í skýringum sínum.

6. Að í Danmörku njóti hinir skráðu þeirrar verndar að þeir geti lokað fyrir aðgang að því afriti af erfðaupplýsingum, sem varðveitt sé þar í landi, með því að skrá sig á svokallaða Vefnotkunarskrá (d. Vævsanvendelsesregister). Þegar rannsakandi í Danmörku nálgist erfðaupplýsingar, sem þar séu varðveittar, skuli hann fyrst fletta upp kennitölu hlutaðeigandi einstaklings í þessari skrá til að komast að því hvort hann óski eftir lokun á aðgangi. Þetta gerist ekki þegar ÍE notist við upplýsingar sem varðveittar séu á Íslandi en séu þær sömu og í Danmörku, en uppfletting sé þá óframkvæmanleg þar sem ÍE hafi engan aðgang að dönskum kennitölum. Þessa láti ÍE ógetið í skýringum sínum.

Samkvæmt þessu sé ÍE í raun ábyrgðaraðili erfðaupplýsinga sem varðveittar eru á Íslandi. Afrit af sömu upplýsingum sé varðveitt í Danmörku og hafið sé yfir vafa að danskir rannsakendur séu þar ábyrgðaraðilar. Án þessarar skiptingar ábyrgðar sé hin tvöfalda varðveisla umfangsmikilla erfðaupplýsinga í tveimur löndum, án tillits til grunnreglunnar um lágmörkun gagna og aðstæðna í málinu, þýðingarlaus.

5.
Málið sett í samevrópskan farveg – Frekari skýringar ÍE

Hinn 21. desember 2021 var málið sett í samevrópskan farveg á þeim grundvelli að það varðaði vinnslu upplýsinga um skráða einstaklinga í fleiri en einu landi innan EES. Var þetta gert með færslu upplýsinga um málið í IMI-kerfið, þ.e. sameiginlegt upplýsingakerfi persónuverndarstofnana ESB og EES. Var einstökum stofnunum þar veitt færi á að greina frá afstöðu sinni til þess hvort og þá hvernig þær teldu málið snerta starfssvið sitt, þ.e. hvort þær ættu að teljast til forystueftirlitsyfirvalds eða hlutaðeigandi eftirlitsyfirvalds, sbr. 60. gr. reglugerðar (ESB) 2016/679. Í ljósi þess að málið varðar vinnslu upplýsinga frá Danmörku var danska persónuverndarstofnunin, Datatilsynet, jafnframt upplýst sérstaklega um málið með bréfi, dags. 21. desember 2021, og barst svar frá henni í IMI-kerfið hinn 18. janúar 2022, þess efnis að hún teldi sig hafa stöðu hlutaðeigandi eftirlitsyfirvalds.

Auk þess sem málið var sett í fyrrnefndan farveg var Íslenskri erfðagreiningu ehf. sent bréf, dags. 21. desember 2021, þar sem fyrirtækinu var veitt færi á athugasemdum við bréf Patientdataforengen, dags. 6. júlí 2021. Svarað var með bréfi, dags. 15. febrúar 2022. Þar segir að viðsemjandi ÍE, blóðbanki Höfuðborgarsvæðis Danmerkur, hafi upplýst fyrirtækið um það í janúar s.á. að formaður Patientdataforeningen hafi nokkrum sinnum óskað eftir gögnum frá blóðbankanum um verkefnið „The Danish Blood Donor Study“ og „Copenhagen Hospital Biobank“ með áherslu á meðal annars samband ábyrgðaraðila og vinnsluaðila. Eftir því sem ÍE komist næst hafi kröfum hans um það efni fyrir dönsku vísindasiðanefndinni og Lífsýna- og erfðaefnisbanka Danmerkur (d. Regionernes Bio- og Genombank) í framhaldinu verið hafnað. Kröfum sambærilegum þeim sem hafðar séu uppi í þessu máli hafi því margsinnis verið leyst úr í Danmörku.

Jafnframt er tekið fram að árið 2021 hafi verið yfirstandandi úttekt dönsku persónuverndar­stofnunarinnar á Statens Serum Institut (SSI), rannsóknarstofnunar á sviði heilbrigðisvísinda á vegum danska ríkisins. Um sumarið 2021 hefði SSI óskað eftir uppfærslu á vinnslusamningi milli aðila og hefði verið orðið við því. Úttektin hafi því staðfest hlutverkaskipan ÍE sem vinnsluaðila, en ÍE inni af hendi sams konar verk fyrir SSI og fyrir blóðbanka Höfuðborgarsvæðis Danmerkur.

Í tengslum við athugasemdir kvartanda um skort á mati á áhrifum á persónuvernd er áréttað það sem fram kemur í bréfi ÍE, dags. 7. maí 2021, að ÍE hafi gert mat á áhrifum á persónuvernd vegna vinnslu erlendra lífsýna og sent þær upplýsingar til blóðbanka Kaupmannahafnar sem sé hluti af blóðbanka Höfuðborgarsvæðis Danmerkur. Því er jafnframt mótmælt sem fráleitu og alröngu að ÍE hafi greitt 80 milljónir danskra króna fyrir upplýsingar frá Danmörku og hafi engar greiðslur farið fram milli aðila eins og fram komi í bréfi Rigshospitalet, dags. 14. júlí 2020, til formanns Patientdataforeningen, en afrit af því hafi verið hjálagt með bréfi samtakanna, dags. 6. júlí 2021.

Einnig er tekið fram í bréfi ÍE að minnisblað, sem vísað er til í bréfi Patientdataforeningen í tengslum við tilgreiningu á fyrsta og síðasta höfundi vísindagreina, varði verkefnið „Danish Blood Donor Study“ (DBDS). Samkvæmt upplýsingum sem ÍE hafi fengið frá ábyrgðaraðila sé ekki unnið með upplýsingar um kvartanda vegna þess verkefnis og tengist vinnsla persónuupplýsinga um hana einungis blóðbanka Höfuðborgarsvæðis Danmerkur. Hvað snertir umrædda tilgreiningu er hins vegar tekið fram að vísindamenn, sem stundi erfðarannsóknir á erfðamenginu í heild sinni (e. Genome-Wide Association Studies“ (GWAS)), meta-greini (e. meta-analyze) iðulega ópersónugreinanlegar niðurstöður fyrir allt rannsóknarþýðið (e. summary statistics) úr þeirra eigin rannsóknum og beri saman við aðrar birtar rannsóknir eða við gögn úr vísindasamstarfi sem beinist að sömu svipgerð. Heildarniðurstöður fyrir allt rannsóknarþýðið sem hafi verið birtar í viðurkenndum vísindaritum séu nær alltaf gerðar öðrum vísindamönnum aðgengilegar. Hið sama gildi um heildarniðurstöður úr meta-greiningu. Með tilkomu hennar, og þar með stærri gagnasettum með meira tölfræðilegu afli en einstök söfn ein og sér, hafi orðið töluverð framþróun í að greina algenga erfðabreytileika. Bæði ÍE og aðstandendur DBDS hafi tekið þátt í meta-greiningu og hafi í sumum vísindagreinum, sem birst hafi í kjölfarið, hvorki átt fyrsta né síðasta höfund. Í öðrum greinum hafi ÍE hins vegar átt fyrsta og/eða síðasta höfund og í enn öðrum hafi það verið aðstandendur DBDS sem hafi fengið slíka tilgreiningu höfundar, sbr. t.d. „Joseph Dowsett et al. Eleven genomic loci affect plasma levels of chronic inflammation marker soluble urokinase-type plasminogen activator receptor“. Ekki sé því hægt að draga nokkra álykun af niðurröðun höfunda að vísindagrein um það hver sé ábyrgðaraðili vinnslu persónuupplýsinga. Þar ráði vísindalegt framlag hvers og eins rannsakanda og sé í því efni stuðst við alþjóðleg viðmið, t.d. Vancouver-viðmiðin („Recommendations for the Conduct, Reporting, Editing, an Publication of Scholarly Work in Medical Journals“). Að öðru leyti sé um tilgreiningu höfunda vísað til athugasemda í fyrra bréfi ÍE, dags. 7. maí 2021.

Að auki segir í bréfi ÍE að farið sé með rangar og órökstuddar dylgjur þar sem ýjað sé að því í bréfi Patientdataforeningen að fyrirtækið vinni með upplýsingar í trássi við og án fyrirmæla frá ábyrgðaraðila. Því til staðfestingar að farið sé að samningsskuldbindingum megi benda á úttekt óháðs utanaðkomandi aðila sem ábyrgðaraðili hafi fengið til verksins. Nánar tiltekið hafi BDO, endurskoðunarfyrirtæki í Kaupmannahöfn, í tvígang, árin 2020 og 2021, gert úttekt samkvæmt staðlinum ISAE 3000 á öryggi við vinnslu persónuupplýsinga hjá ÍE. Hafi úttektirnar staðfest að vinnsla ÍE fyrir hönd ábyrgðaraðila væri lögum samkvæm og að fylgt væri öllum þeim verkferlum sem ÍE hefði lofað að framfylgja í vinnslusamningi við ábyrgðaraðila. Sé samstarfið enn yfirstandandi og vinni ÍE í samræmi við vinnslusamning og rannsóknaráætlun samkvæmt útgefnum leyfum til þess bærra danskra vísindasiðanefnda.

Hvað það snertir að upplýsingum sé ekki eytt á Íslandi er tekið fram að um ræði rangfærslur af hálfu Patientdataforeningen og hreinar dylgjur. Reglulega fái ÍE lista frá ábyrgðaraðila yfir sýnanúmer (Alias) þátttakenda sem hafi sagt sig úr rannsókn, þ. á m. þeirra sem hafi skráð sig í „vævsanvendelsesregisteret“. Í kjölfarið fari af stað hjá ÍE ferillinn „Process for withdrawn consent“ þar sem lífsýnum viðkomandi sé eytt og PN-númer fyrir viðkomandi sýnanúmer hjá ÍE séu aftengd (Alias-PN-tenging rofin), en þar með sé komið í veg fyrir að unnt sé að vinna með númerin í frekari rannsóknum. Sendi ÍE að svo búnu staðfestingu á þessu til ábyrgðaraðila. Hafi þessi framkvæmd verið tekin út athugasemdalaust í fyrrnefndum úttektum BDO.

6.
Skýringar ÍE um samskipti við fyrirtækið sem vinnsluaðila

Með bréfi til ÍE, dags. 8. apríl 2022, vísaði Persónuvernd til þeirrar málsástæðu, sem fram hafði komið af hálfu kvartanda í tölvupósti til stofnunarinnar 16. september 2021, að væri ÍE vinnsluaðili ættu að liggja fyrir dæmi um að rannsakendur í Kaupmannahöfn sendu fyrirtækinu fyrirmæli um tilgang vinnslu og aðferðir við hana í tölvupósti, bréflega eða símleiðis. Veitti Persónuvernd fyrirtækinu færi á athugasemdum við þessa málsástæðu og óskaði jafnframt gagna um samskipti eins og hér um ræðir sem til kynnu að vera hjá fyrirtækinu.

Svarað var með bréfi, dags. 28. apríl 2022. Þar er vísað til þeirra vinnslusamninga Höfuðborgarsvæðis Danmerkur við ÍE sem hjálagðir voru með bréfi fyrirtækisins, dags. 7. maí 2021, og tekið fram að í meðfylgjandi viðaukum við samningana sé að finna fyrirmæli til þess um hvernig haga beri meðferð persónuupplýsinga. Einn þessara samninga er vegna verkefnisins „Danish Blood Donor Study“, en í 5. kafla hér að framan greinir frá þeim skýringum ÍE að samkvæmt upplýsingum frá ábyrgðaraðila þeirrar rannsóknar sé kvartandi ekki á meðal þátttakenda í henni. Hinir samningarnir eru vegna annars vegar verkefnisins „Genetics of pain and degenerative musculoskeletal diseases – a Genome Wide Association study on repository samples from Copenhagen Hospital Biobank“ (samningur, dags. 24. apríl 2019), og hins vegar vegna verkefnisisins „Genetics of osteoporosis and fractures – the disease trajectories“ (samningur, dags. 23. september 2019). Þeir viðaukar sem fyrr getur heita í báðum tilvikum „Data processing instructions“ og „Joint Regional Information Security Policy“. Hefur síðarnefnda skjalið að geyma almenna stefnumörkun um upplýsingaöryggi og afmörkun ábyrgðar á að viðeigandi öryggi sé viðhaft og skyldum þáttum. Hið fyrrnefnda hefur að geyma lýsingu á margvíslegum ráðstöfunum sem beita skal til að tryggja öryggi upplýsinga.

Auk framangreindra samninga vísar ÍE til þriggja bréfa frá Rigshospitalet í Danmörku, dags. 11. mars 2020, með fyrirmælum til ÍE um að framkvæma erfðagreiningar (e. genetic analysis), gæðaeftirlit (e. quality control) og tölfræðigreiningar (statistic analysis) á svipgerðum í einstökum verkefnum. Þá vísar ÍE til tölvupóstkeðju sem nær yfir tímabilið 30. júlí til 8. ágúst 2019 og hefur að geyma fyrirmæli Rigshospitalet um eyðingu upplýsinga um tiltekna einstaklinga í rannsóknarúrtaki, tölvupóstsamskipta frá 16. desember 2020 með slíkum fyrirmælum frá Rigshospitalet til ÍE, tölvupóstskeytis frá Rigshospitalet til ÍE frá 7. september 2021, einnig með slíkum fyrirmælum, svo og tölvupóstskeytis frá ÍE til Rigshospitalet frá 19. janúar s.á. með staðfestingu á að farið hafi verið að þess háttar fyrirmælum.

Tekið er fram í bréfi ÍE að með þessum gögnum, sem hjálögð voru með bréfinu, sé enn frekar sýnt fram á að ÍE sé vinnsluaðili fyrir blóðbanka Höfuðborgarsvæðis Danmerkur og framfylgi fyrirmælum ábyrgðaraðila. Þá segir að ÍE telji óþarft að dvelja frekar við kvörtun í málinu og hvetji Persónuvernd til að kveða upp úrskurð í málinu sem samrýmist þeirri raunverulegu og skriflegu framkvæmd sem komið hafi verið á milli ábyrgðaraðila og vinnsluaðilans ÍE. Líkt og ÍE hafi tiltekið í fyrri skýringum vegna málsins treysti fyrirtækið alltaf á að erlendir samstarfsaðilar þess hafi aflað nauðsynlegra leyfa opinberra aðila í viðkomandi landi fyrir þeim þáttum rannsóknarsamstarfs sem lúti að ÍE í samræmi við þarlend lög, svo og að þeim lögum hafi verið fylgt að öllu leyti í undirbúningsferlinu. Þetta ábyrgist samstarfsaðilar gagnvart ÍE og kveði vinnslusamningar á um að varnarþing sé í því landi sem rannsóknargögn stafa frá.

7.
Mat á áhrifum á Persónuvernd

Í bréfi til ÍE, dags. 30. maí 2022, vísaði Persónuvernd til umfjöllunar í bréfi fyrirtækisins, dags. 7. maí 2021, um mat á áhrifum á persónuvernd vegna vinnslu erlendra lífsýna og óskaði eftir afriti af því. Svarað var með bréfi, dags. 7. júní 2022, en hjálögð með því voru fjögur skjöl um mat á áhrifum á persónuvernd. Þar er um að ræða mat á áhrifum á persónuvernd vegna víðtækrar erfðamengisleitar sem tekur bæði til innlendra og erlendra upplýsinga, mat á áhrifum á persónuvernd vegna sendingar niðurstaðna erfðagreiningar á erlendum sýnum, mat á áhrifum á persónuvernd vegna söfnunar svipgerða og vinnslu erlendra sýna og mat á áhrifum á persónuvernd vegna söfnunar sýna og erfðagreiningar sem tekur bæði til innlendra og erlendra upplýsinga og sýna. Meðal þess sem fram kemur í þessum skjölum er að unnið sé á grundvelli siðanefndarleyfa, innlendra eða erlendra, og að engin vinnsla eigi sér stað nema hún samrýmist slíku leyfi, að erlendir ábyrgðaraðilar ábyrgist að leyfis hafi verið aflað vegna erlendra rannsókna, að ÍE sé þar vinnsluaðili, að upplýsingar séu auðkenndar með gerviauðkennum og að til staðar sé sérstakt ferli vegna afturköllunar samþykkis hjá þátttakendum í erlendum rannsóknum. Jafnframt er skráð að skjölin hafi orðið til 24. febrúar 2021 og síðast verið breytt 25. mars s.á. Tekið er fram í bréfi ÍE, dags. 7. júní 2022, að þau hafi verið send blóðbanka Höfuðborgarsvæðis Danmerkur með bréfi, dags. 12. apríl 2021.

8.
Gagnabeiðni og frekari athugasemdir Patientdataforeningen

Í tölvupósti til Persónuverndar hinn 31. maí 2022 óskaði Patientdataforeningen eftir aðgangi að framangreindu bréfi ÍE, dags. 28. apríl s.á. Í ljósi fyrirvara í bréfinu um að í fylgigögnum gætu verið upplýsingar, sem undanþegnar væru upplýsingarétti aðila máls, sbr. 17. gr. stjórnsýslulaga nr. 37/1993, veitti Persónuvernd fyrirtækinu færi á að tjá sig um beiðnina, þ.e. í tölvupósti 3. júní 2022. Svarað var í tölvupósti 5. s.m. og kom fram að ekki væru gerðar athugasemdir við veitingu aðgangs með útstrikunum á tölvupóstföngum í fylgigögnum, en þau voru jafnframt send Persónuvernd aftur svo breytt. Eitt skjal vantaði þó og vakti Persónuvernd athygli ÍE á því í tölvupósti 9. júní 2022. Að sendri ítrekun hinn 15. s.m. barst svar frá fyrirtækinu í tölvupósti, þ.e. hinn 20. s.m., en í viðhengi var umrætt skjal að finna með útstrikunum á tölvupóstföngum. Var Patientdataforeningen í kjölfarið veittur aðgangur að umbeðnum gögnum, þ.e. í tölvupósti hinn 24. júní 2022.

Í framhaldi af þessu gerði Patientdataforeningen athugasemdir vegna umrædds bréfs ÍE, þ.e. í tölvupósti 3. júlí 2022. Þar segir að samskipti milli ábyrgðaraðila í Danmörku og ÍE, sem sjá má í fylgigögnum með bréfinu, séu takmörkuð og er spurt hvort fyrir og eftir tilteknar dagsetningar hafi átt sér stað vinnsla á dönskum upplýsingum án þess að rannsakendur í Danmörku hafi ákveðið tilgang vinnslu og aðferðir við hana. Jafnframt er vísað til þeirrar vísindagreinar sem tilgreind er í 3. tölul. upptalningar í 4. kafla hér að framan og spurt hvort fyrir liggi skjalfesting á því að danskir samstarfsaðilar hafi tekið ákvarðanir þar að lútandi í tengslum við hana, svo og hvort verið geti að starfsmenn hjá ÍE, þ. á m. fyrsti, annar og síðasti höfundur greinarinnar, hafi tekið þær ákvarðanir. Þá segir meðal annars að ef hjá ÍE hafi átt sér stað vinnsla, sem brjóti gegn íslenskri persónuverndarlöggjöf, sé það Persónuverndar að taka þá vinnslu til rannsóknar og ákveða viðurlög.

Auk framangreinds sendi Patientdataforeningen Persónuvernd ábendingu í tölvupósti 12. ágúst 2022 um ákvörðun frá dönsku persónuverndarstofnuninni, sbr. frétt á vefsíðu hennar frá 25. mars s.á. Með ákvörðuninni var lögð á sekt vegna vinnslu erfðaupplýsinga án þess að áður hefði verið haft samráð við stofnunina og kemur fram að kvartandi telur þessa úrlausn ef til vill geta haft þýðingu í tengslum við mál þetta.

 

9.
Viðbrögð í samevrópskum farvegi

Eins og fyrr greinir, þ.e. í 5. kafla hér að framan, var mál þetta sett í samevrópskan farveg hinn 21. desember 2021, nánar tiltekið með færslu upplýsinga um málið í IMI-kerfið, þ.e. sameiginlegt upplýsingakerfi persónuverndarstofnana ESB og EES. Í tengslum við þessa málsmeðferð færði Persónuvernd drög að úrskurði í málinu inn í kerfið hinn 28. júní 2022 og var þeim persónuverndarstofnunum innan ESB og EES, sem töldu ástæðu til, veitt færi á athugasemdum við drögin sem berast skyldu eigi síðar en 26. júlí s.á., sbr. 4. mgr. 60. gr. reglugerðar (ESB) 2016/679. Í kjölfar þessa barst tilkynning frá dönsku persónuverndarstofnuninni inn í kerfið, þ.e. hinn 22. s.m., þess efnis að ekki væru gerðar athugasemdir við drögin. Aðrar persónuverndarstofnanir tjáðu sig ekki um þau.

II.
Forsendur og niðurstaða

1.

Gildissvið laga nr. 90/2018 og reglugerðar (ESB) 2016/679

Gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 4. gr. laganna og 1. mgr. 2. gr. reglugerðarinnar.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Þá er með vinnslu átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að vinnslu upplýsinga um kvartanda við framkvæmd vísindarannsókna sem unnið er að hjá Íslenskri erfðagreiningu ehf. Fyrir liggur að upplýsingar í þessum rannsóknum eru auðkenndar með gerviauðkennum. Þá liggur fyrir að hjá blóðbanka Höfuðborgarsvæðis Danmerkur er unnt að tengja gerviauðkennin raunverulegum persónuauðkennum einstaklings. Verður þegar af þeirri ástæðu talið að um sé að ræða vinnslu persónuupplýsinga sem fellur undir persónuverndarlöggjöf.

2.
Ábyrgðaraðili og vinnsluaðili – Niðurstaða

Sá sem ábyrgð ber á vinnslu persónuupplýsinga er nefndur ábyrgðaraðili, en þar er átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679. Í þessu felst að viðkomandi hafi ákvörðunarvald um vinnslu persónuupplýsinga, aðferð við vinnsluna, tilganginn með vinnslunni, hvað sá hugbúnaður á að gera sem notaður er, svo og um ráðstöfun upplýsinganna að öðru leyti, eins og tekið er fram í áðurnefndum tölulið 3. gr. laganna.

Ábyrgðaraðili getur samið við annan aðila um að annast vinnslu persónuupplýsinga fyrir sína hönd og er sá aðili þá kallaður vinnsluaðili. Nánar tiltekið er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 7. tölul. 3. gr. laga nr. 90/2018 og 8. tölul. 4. gr. reglugerðar (ESB) 2016/679.

Eins og tekið er fram í 1. mgr. 25. gr. laganna, sbr. 1. mgr. 28. gr. reglugerðarinnar, skal ábyrgðaraðili einungis leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðarinnar og að vernd réttinda hins skráða séu tryggð. Jafnframt segir í 29. gr. reglugerðarinnar að vinnsluaðili og sérhver aðili, sem starfar í umboði ábyrgðaraðila eða vinnsluaðila og hafi aðgang persónuupplýsingum, skuli því aðeins vinna með þær að fyrir liggi fyrirmæli ábyrgðaraðila nema honum sé annað skylt samkvæmt Evrópulöggjöf eða lögum aðildarríkis.

Að auki segir í 3. mgr. 25. gr. laganna, sbr. upphaf 3. mgr. 28. gr. reglugerðarinnar, að vinnsla af hálfu vinnsluaðila skuli byggjast á samningi eða annarri réttargerð samkvæmt lögum sem skuldbindi vinnsluaðila gagnvart ábyrgðaraðila og tilgreini viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegund persónuupplýsinga, flokka skráðra einstaklinga og skyldur og réttindi ábyrgðaraðilans. Þá er í 3. mgr. ákvæðis reglugerðarinnar að finna upptalningu á þeim efnisatriðum sem tiltaka skal í samningi við vinnsluaðila, þ.e. svonefndum vinnslusamningi, eða annars konar réttargerð sem notast er við. Á meðal þessara efnisatriða er að vinnsluaðili vinni einungis með persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila nema honum sé annað skylt samkvæmt Evrópulöggjöf eða löggjöf aðildarríkis sem hann heyrir undir, en þá ber honum að upplýsa ábyrgðaraðila um það (a-liður); að hann geri allar nauðsynlegar öryggisráðstafanir í ljósi 32. gr. reglugerðarinnar (c-liður); að hann aðstoði ábyrgðaraðila, að því marki sem hægt er, við að svara beiðnum frá hinum skráða þegar hann leitast við að neyta réttinda sinna (e-liður); og að hann eyði eða skili, að vali ábyrgðaraðila, öllum persónuupplýsingum til hans eftir að veitingu þjónustu, sem tengst vinnslu, lýkur, auk þess sem hann eyði öllum afritum nema Evrópulöggjöf eða lög aðildarríkis krefjist annars (g-liður).

Samkvæmt gögnum málsins hafa persónuupplýsingar um kvartanda verið unnar hjá ÍE í þágu tveggja vísindarannsókna, þ.e. annars vegar rannsóknarinnar „Genetics of pain and degenerative musculoskeletal diseases – a Genome Wide Association study on repository samples from Copenhagen Hospital Biobank“ og hins vegar rannsóknarinnar „Genetics of osteoporosis and fractures – the disease trajectories“. Fyrir liggur að Höfuðborgarsvæði Danmerkur hefur gert vinnslusamninga við ÍE vegna þessara rannsókna, þ.e. samning, dags. 24. apríl 2019, vegna fyrrnefndu rannsóknarinnar og samning, dags. 23. september 2019, vegna þeirrar síðarnefndu, sbr. einnig skrifleg fyrirmæli, dags. 11. mars 2020, á grundvelli beggja samninganna.

Af hálfu kvartanda er því haldið fram að ÍE hafi farið út fyrir heimildir sínar sem vinnsluaðili og er í því sambandi vísað til þess að í greinum um niðurstöður rannsókna, sem fyrirtækið hefur unnið að fyrir Höfuðborgarsvæði Danmerkur, hafi vísindamenn frá fyrirtækinu verið tilgreindir sem fyrstu og síðustu höfundar.

Persónuvernd telur hér verða að líta til danskrar löggjafar um vísindarannsóknir á heilbrigðissviði, en fyrir liggur að áðurnefndar rannsóknir hafa hlotið leyfi miðlægu dönsku vísindasiðanefndarinnar, Dansk Videnskabsetisk Komité, sbr. yfirlit á vefsíðu nefndarinnar yfir samþykktar rannsóknir á fyrsta ársfjórðungi 2019, bls. 57 í ársskýrslu dönsku vísindasiðanefndanna 2019 (d. De Videnskabsetiske Komiteers fælles årsberetning 2019), svo og yfirlit (d. sagsoversigt) frá dönsku heilbrigðisupplýsingastofnuninni, Sundhedsdatastyrelsen, yfir rannsóknir árið 2020 þar sem gögn frá henni hafa verið nýtt. Þau leyfi sem hér um ræðir byggjast á lögum sem í Danmörku hafa verið sett um vísindasiðfræðilegt mat á vísindarannsóknum á heilbrigðissviði (d. lov om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter). Í þeim lögum er lagt til grundvallar að rannsókn fari fram í samræmi við sérstaka rannsóknaráætlun, þ.e. skjal sem lýsir markmiðum og framkvæmd rannsóknar eins og nánar er skilgreint í 10. tölul. 2. gr. laganna, og skal sú áætlun fylgja erindi til siðanefndar vegna rannsóknarinnar, sbr. 1. mgr. 16. gr. laganna. Þá verða verulegar breytingar á rannsóknaráætlun að hljóta leyfi siðanefndar eins og fram kemur í 1. mgr. 27. gr. laganna.

Samkvæmt umræddum lögum hvílir ábyrgð á framkvæmd rannsóknar á einstaklingi sem nefndur er ábyrgðarmaður rannsóknar (d. den forsøgsansvarlige), sbr. 7. tölul. 2. gr. laganna. Er þar um að ræða sambærilegt fyrirkomulag og samkvæmt hérlendum lögum nr. 44/2014 um vísindarannsóknir á heilbrigðissviði, en þau gera ráð fyrir sérstökum ábyrgðarmanni hverrar og einnar vísindarannsóknar, þ.e. einstaklingi sem ber ábyrgð á framkvæmd rannsóknar samkvæmt rannsóknaráætlun sem samþykkt hefur verið af vísindasiðanefnd eða siðanefnd heilbrigðisrannsókna, sbr. 10. tölul. 3. gr. laganna.

Innan þessa fyrirkomulags hefur verið lagt til grundvallar að eftir atvikum vinni ábyrgðarmaður að vísindarannsókn í samvinnu við aðra og má þar nefna að gert er ráð fyrir öðrum rannsakendum en ábyrgðarmanni, svo og starfsmönnum rannsóknar, í 2. mgr. 17. gr. laga nr. 44/2014. Verður að ætla að hið sama eigi við í Danmörku og hér á landi þannig að iðulega vinni ábyrgðarmaður rannsóknar samkvæmt þarlendum lögum að rannsókn ásamt öðrum rannsakendum.

Fyrirkomulag sem þetta hefur ekki verið talið hafa í för með sér að hver og einn rannsakandi hafi stöðu ábyrgðaraðila vinnslu persónuupplýsinga í skilningi persónuverndarlöggjafarinnar. Í því felst að beiting vísindalegrar aðferðafræði ein og sér þar sem gögn eru rannsökuð og ályktanir dregnar af þeim felur ekki óhjákvæmilega í sér ábyrgð á slíkri vinnslu. Þá er það ekki ætíð svo að ábyrgðarmaður rannsóknar í skilningi löggjafar um vísindarannsóknir á heilbrigðissviði sé um leið talinn ábyrgðaraðili samkvæmt persónuverndarlöggjöfinni. Nánar tiltekið verður að líta til þess að samkvæmt bæði dönskum og íslenskum lögum verður ábyrgðarmaður rannsóknar ávallt að vera einstaklingur, en eftir atvikum getur hann gegnt því hlutverki í ljósi stöðu sinnar sem starfsmaður tiltekins lögaðila. Kann þá að vera nærtækara að líta á þann lögaðila sem ábyrgðaraðila vinnslu persónuupplýsinga fremur en þennan tiltekna einstakling.

Gera má ráð fyrir að það sé vegna þessa sem Höfuðborgarsvæði Danmerkur, en ekki einstaklingur með stöðu ábyrgðarmanns vísindarannsóknar, er tilgreint sem ábyrgðaraðili í vinnslusamningum við ÍE vegna áðurnefndra rannsókna. Reynir þá á hvort ÍE hafi einnig hlotið stöðu ábyrgðaraðila vinnslu persónuupplýsinga í tengslum við rannsóknirnar. Eins og hér háttar til verður það einkum talið geta gerst ef fyrirtækið tekur sjálft slíkar ákvarðanir um markmið og framkvæmd rannsóknanna að kalla myndi á breytingar á rannsóknaráætlun sem fá þyrfti samþykki siðanefndar fyrir. Í kvörtun birtist sá skilningur að ÍE hafi farið út fyrir hlutverk sitt sem vinnsluaðili og um leið gerst ábyrgðaraðili vinnslu sem fari út fyrir siðanefndarleyfi vegna rannsóknanna eins og sjá megi af tilgreiningu á starfsmönnum fyrirtækisins sem fyrstu og síðustu höfundum greina um niðurstöður þeirra. Tekið skal fram í þessu sambandi að Persónuvernd telur aðkomu einstakra starfsmanna ÍE að vísindalegri framkvæmd rannsóknanna, þannig að þeir séu tilgreindir á meðal höfunda vísindagreina, ekki þurfa að leiða til þess að ÍE fái stöðu ábyrgðaraðila í ljósi gildandi löggjafar og þá óháð því hvar í röð höfunda þeir eru nefndir.

Ef ÍE hefur hins vegar farið út fyrir samþykkta rannsóknaráætlun, þannig að vinnsluaðgerðir fyrirtækisins rúmist ekki innan danskra siðanefndarleyfa, hefur fyrirtækið sjálft gerst ábyrgðaraðili að vinnslunni, í samræmi við þau ákvæði sem að framan greinir.

Ljóst má vera að það fellur fyrst og fremst í hlut miðlægu dönsku vísindasiðanefndarinnar (National Bioetisk Komité), sem veitt hefur umrædd leyfi, að meta hvort farið hafi verið út fyrir samþykkta rannsóknaráætlun. Ekki liggja fyrir úrlausnir nefndarinnar þess efnis. Þá liggja ekki fyrir vísbendingar um slíkt að öðru leyti, svo sem að ÍE hafi aflað upplýsinga í þágu umræddra rannsókna án samráðs við handhafa rannsóknarleyfa eða notast við gögn úr rannsóknunum til könnunar á öðrum svipgerðum en falla undir leyfin. Verður samkvæmt þessu byggt á því að ÍE hafi ekki fengið stöðu ábyrgðaraðila vegna umræddra rannsókna, svo og að vinnsla fyrirtækisins sé innan ramma samninga sem Höfuðborgarsvæði Danmerkur hefur gert við það sem vinnsluaðila.

Enn fremur er til þess að líta, í tengslum við athugasemdir kvartanda um skort á mati á áhrifum á persónuvernd, að samkvæmt fyrirliggjandi gögnum hefur ÍE framkvæmt slíkt mat vegna vinnslu upplýsinga í þágu erlendra rannsókna þar sem fyrirtækið hefur stöðu vinnsluaðila. Dagsetning skjala um þetta mat ber með sér að þau hafi orðið til nokkru eftir að kvörtun í máli þessu barst. Í því sambandi skal tekið fram að skyldan til að gera mat á áhrifum á persónuvernd, sbr. 29. gr. laga nr. 90/2018 og 35. gr. reglugerðar (ESB) 2016/679, er lögð á ábyrgðaraðila en ekki vinnsluaðila.

Að auki skal tekið fram, hvað snertir athugasemdir kvartanda um að ÍE geti ekki orðið við beiðnum um eyðingu danskra upplýsinga og sýna, að samkvæmt því sem fram kemur í gögnum málsins eru slíkar beiðnir afgreiddar með fullnægjandi hætti, sbr. 1. mgr. 20. gr. laganna og 17. gr. reglugerðarinnar, en um það má meðal annars vísa til umfjöllunar í 6. kafla I. hluta hér að framan. Þá hefur að öðru leyti ekki komið fram við meðferð máls þessa að meðferð ÍE á upplýsingum og sýnum frá Danmörku hafi strítt gegn lögum

Í tengslum við athugasemdir Patientdataforeningen á síðustu stigum máls þessa, þar sem gefið er til kynna að þörf kunni að vera á frekari gögnum um samskipti Höfuðborgarsvæðis Danmerkur og ÍE vegna umræddra rannsókna, vísast jafnframt til þess sem fyrr greinir um gögn þar að lútandi, einkum fyrirliggjandi vinnslusamninga og skrifleg fyrirmæli á grundvelli þeirra. Er þar um að ræða þau gögn sem lögskyld eru og verður ekki séð að sérstakt tilefni gefist til gagnaöflunar umfram þá sem þegar hefur átt sér stað í málinu.

Í ljósi framangreinds er niðurstaða Persónuverndar sú að vinnsla persónuupplýsinga um kvartanda hjá ÍE hafi samrýmst persónuverndarlöggjöfinni.

Ú r s k u r ð a r o r ð:

Vinnsla Íslenskrar erfðagreiningar ehf. sem vinnsluaðila á persónuupplýsingum um […] við framkvæmd rannsókna fyrir hönd Höfuðborgarsvæðis Danmerkur samrýmdist lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, svo og reglugerð (ESB) 2016/679

Persónuvernd, 8. september 2022

 

Ólafur Garðarsson

formaður

 

 

Björn Geirsson                    Sindri M. Stephensen

Vilhelmína Haraldsdóttir          Þorvarður Kári Ólafsson