Fara beint í efnið
Persónuvernd Forsíða
Persónuvernd Forsíða

Persónuvernd

29.11.2021

Vinnsla persónuupplýsinga í tengslum við skimanir fyrir SARS-CoV-2-veirunni og mótefni við henni

Mál númer 2020061954

Persónuvernd hefur lokið frumkvæðisathugun sinni á vinnslu persónuupplýsinga í tengslum við skimanir fyrir SARS-CoV-2-veirunni og mótefnum við henni. Niðurstaða athugunarinnar var að farið hefði verið að ákvæðum persónuverndarlöggjafarinnar í meginatriðum, þar á meðal ákvæðum um fræðsluskyldu. Þó hefði þurft að veita almenningi betri upplýsingar um tilgang skimunarinnar. Þá var vinnslusamningur sóttvarnalæknis og Landspítala ekki talinn samrýmast núgildandi löggjöf að öllu leyti og voru sóttvarnalækni því veitt fyrirmæli um að gera fullnægjandi vinnslusamning við Landspítalann.

Athugunin hófst í kjölfar fréttaflutnings í mars 2020 um að tekin hefði verið ákvörðun um að útvista skimunum á Íslandi fyrir SARS-CoV-2-veirunni sem veldur COVID-19-sjúkdóminum frá sóttvarnalækni til erfðarannsóknafyrirtækisins Íslenskrar erfðagreiningar ehf., í samstarfi við sýkla- og veirufræðideild Landspítala. Persónuvernd hóf í kjölfarið frumkvæðisathugun á því hvort sú vinnsla samrýmdist lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Var það einkum tilefni athugunar Persónuverndar að við skimunina söfnuðust heilbrigðisgögn um þá einstaklinga sem voru skimaðir og að í upphafi lá ekki fyrir að þau yrðu nýtt í vísindarannsókn á vegum Íslenskrar erfðagreiningar. Hafði fyrirtækið lýst því afdráttarlaust yfir í fjölmiðlum að aðkoma þess að skimun fæli ekki í sér vísindarannsókn en sótti hins vegar skömmu síðar um leyfi Vísindasiðanefndar fyrir gerð slíkrar rannsóknar.

Í ákvörðun Persónuverndar er komist að þeirri niðurstöðu að sóttvarnalæknir sé ábyrgðaraðili að vinnslu persónuupplýsinga í tengslum við umræddar skimanir og að í meginatriðum hafi verið farið að ákvæðum persónuverndarlöggjafarinnar. Í ákvörðuninni eru ekki gerðar athugasemdir við fræðslu sem veitt var hinum skráðu vegna skimunarinnar og er þar vísað til undantekninga persónuverndarlaga frá rétti til fræðslu vegna almannahagsmuna og lýðheilsu, svo og þess að við framkvæmd skimunarinnar var öllum sýnum eytt og upplýsingar ekki skráðar annars staðar en í lögbundna smitsjúkdómaskrá sóttvarnalæknis og sjúkraskrár hlutaðeigandi einstaklinga. Hins vegar var komist að þeirri niðurstöðu að á grundvelli hinnar almennu gagnsæiskröfu laganna hefði sóttvarnalæknir þurft að gæta betur að því að upplýsa almenning um að skimun fyrir mótefnum hjá Íslenskri erfðagreiningu væri eingöngu þáttur í sóttvörnum en ekki vísindarannsóknum fyrirtækisins.

Um umrædda vinnslu giltu tveir vinnslusamningar, annars vegar milli sóttvarnalæknis og Landspítala og hins vegar milli Landspítala og Íslenskrar erfðagreiningar. Í ákvörðuninni er m.a. vísað til þess að núgildandi persónuverndarlöggjöf gerir mun ítarlegri kröfur til efnis vinnslusamninga en sú sem í gildi var þegar fyrrnefndi samningurinn var gerður. Þar sem hann samrýmdist því ekki að öllu leyti ákvæðum núgildandi löggjafar var lagt fyrir sóttvarnalækni að gera fullnægjandi vinnslusamning við Landspítala.

Ákvörðun

Hinn 23. nóvember 2021 tók Persónuvernd svohljóðandi ákvörðun í máli nr. 2020061954:

I.

Málsmeðferð

1.

Upphaf máls

Í tilefni af fréttaflutningi í mars 2020 um að tekin hefði verið ákvörðun um að útvista skimunum á Íslandi fyrir SARS-CoV-2-veirunni sem veldur COVID-19-sjúkdóminum frá sóttvarnalækni til erfðarannsóknafyrirtækisins Íslenskrar erfðagreiningar ehf. ákvað Persónuvernd að hefja athugun á því hvort sú vinnsla samrýmdist lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Samkvæmt vefsíðu embættis landlæknis og almannavarnadeildar ríkislögreglustjóra, Covid.is, bauð sóttvarnalæknir upp á skimun hjá almenningi fyrir veirunni, í samstarfi við Íslenska erfðagreiningu og sýkla- og veirufræðideild Landspítala. Var það einkum tilefni athugunar Persónuverndar að við skimunina söfnuðust heilbrigðisgögn um þá einstaklinga sem voru skimaðir og að í upphafi lá ekki fyrir að þau yrðu nýtt í vísindarannsókn á vegum Íslenskrar erfðagreiningar. Síðar bættust önnur álitaefni við tengd skimunum og mótefnamælingum fyrir SARS-CoV-2 veirunni eins og hér verður rakið.

Með bréfi, dags. 16. september 2020, tilkynnti Persónuvernd embætti landlæknis að stofnunin hefði ákveðið að kanna nánar þá vinnslu persónuupplýsinga sem umrædd skimun hefði í för með sér, auk þess sem óskað var tiltekinna skýringa, eins og rakið er í 3. kafla hér á eftir, í tengslum við svör embættisins.

2.

Nánar um aðdraganda málsins
i. Skimun fyrir SARS-CoV-2-veirunni

Viku áður en skimun hófst hjá Íslenskri erfðagreiningu, laugardaginn 7. mars 2020, kynnti fyrirtækið með tölvupósti til Persónuverndar þá fyrirætlun sína að skima fyrir SARS-CoV-19-veirunni. Íslensk erfðagreining lýsti því þá yfir að verkefnið fæli ekki í sér vísindarannsókn heldur einungis klíníska vinnu. Fallist var á þetta mat Íslenskrar erfðagreiningar í sameiginlegri yfirlýsingu Vísindasiðanefndar og Persónuverndar sunnudaginn 8. mars 2020. Tólf dögum síðar og viku eftir að skimun hófst, þ.e. 20. mars 2020, sótti Íslensk erfðagreining um leyfi Vísindasiðanefndar fyrir rannsókninni Faraldsfræði SARS-CoV-2-veirunnar og áhrif erfða og undirliggjandi sjúkdóma á COVID-19-sjúkdóminn sem hún veldur.

Í umsókninni til Vísindasiðanefndar var tilgreint að [...], forstjóri Íslenskrar erfðagreiningar, yrði ábyrgðarmaður rannsóknarinnar og að meðrannsakendur yrðu [...] sóttvarnalæknir, [...] landlæknir, [...], yfirlæknir smitsjúkdómadeildar Landspítala, og [...], yfirlæknir sýkla- og veirufræðideildar Landspítala. [...] yrði ábyrgðarlæknir rannsóknarinnar. Rannsóknin yrði unnin í samstarfi Íslenskrar erfðagreiningar, sóttvarnalæknis, embættis landlæknis og Landspítala og yrði fjármögnuð af Íslenskri erfðagreiningu.

Samkvæmt umsókninni átti rannsóknin hvort tveggja að vera gagnarannsókn og rannsókn á mönnum. Íslensk erfðagreining ætlaði að afla samþykkis einstaklinga sem hefðu verið skimaðir, sem aflað yrði lífsýna úr til erfðarannsókna og sem ekki hefðu þegar veitt fyrirtækinu lífsýni vegna rannsóknar á vegum þess með víðtæku samþykki.

Þau gögn sem rannsakendur hugðust nota voru samkvæmt umsókninni fyrirliggjandi upplýsingar hjá sóttvarnalækni um sýnanúmer og niðurstöður mælinga á veirunni fyrir alla sem höfðu undirgengist sýnatöku á sýkla- og veirufræðideild Landspítalans og í skimunarátaki Íslenskrar erfðagreiningar. Einnig var fyrirhugað að nota við rannsóknina svör við spurningum sem að beiðni sóttvarnalæknis hefðu verið lagðar fyrir þá sem undirgengist hefðu sýnatöku til greiningar á veirunni í skimunarátaki Íslenskrar erfðagreiningar. Þá hugðust rannsakendur skoða sjúkraskrár þeirra sem hefðu greinst með veiruna til að safna upplýsingum um alvarleika sýkinga af völdum veirunnar, framvindu sjúkdómsins, undirliggjandi sjúkdóma, meðferð og afdrif.

Í umsókninni segir að til að byrja með verði rannsóknin einungis byggð á fyrirliggjandi gögnum. Annarra gagna verði ekki aflað að svo stöddu. Ef þess gerðist þörf yrði sótt um leyfi fyrir því sérstaklega. Þá segir að gagna verði aflað reglulega á meðan á faraldrinum standi og eftir að honum verði að mestu lokið.

Í tengslum við umsóknina undirritaði sóttvarnalæknir bréf til [...], forstjóra Íslenskrar erfðagreiningar, þar sem hann staðfesti vilja sinn til að veita aðgang að umræddum gögnum.Persónuvernd sendi Vísindasiðanefnd umsögn sína um framangreinda umsókn 23. mars 2020. Persónuvernd gerði ekki athugasemdir við að Vísindasiðanefnd tæki umsóknina til efnislegrar afgreiðslu, enda gæti rannsóknin farið fram innan ramma laga nr. 44/2014 um vísindarannsóknir á heilbrigðissviði.

ii. Mótefnamælingar

Um miðjan apríl 2020 hóf Íslensk erfðagreining mótefnamælingar hjá einstaklingum á Íslandi, þ.e. að mæla mótefni við SARS-CoV-2-veirunni. Í frétt sem birtist á vefsíðu embættis landlæknis 12. maí 2020 sagði að hafin væri söfnun blóðsýna til að sóttvarnalæknir gæti metið útbreiðslu mótefna gegn SARS-CoV-2-veirunni í íslensku samfélagi. Mælingarnar fælu í sér að blóðsýnum væri safnað frá einstaklingum sem kæmu í blóðrannsóknir af öðrum ástæðum. Ekki kom fram að blóðsýnin yrðu send Íslenskri erfðagreiningu. Í sömu frétt sagði að sýkla- og veirufræðideild Landspítala væri byrjuð að taka á móti blóðsýnum og mæla mótefni gegn veirunni hjá einstaklingum sem teldu sig hafa fengið COVID-19. Í frétt sem birtist daginn eftir á vefsíðu Heilsugæslu höfuðborgarsvæðisins sagði að byrjað væri að safna blóðsýnum til mótefnamælinga hjá einstaklingum sem færu í blóðprufu af öðrum ástæðum og yrðu þau sýni rannsökuð hjá Íslenskri erfðagreiningu.

Í frétt sem birtist á vefsíðu embættis landlæknis 9. júlí 2020 sagði að fyrir lægju niðurstöður mótefnamælinga gegn SARS-CoV-2-veirunni sem Íslensk erfðagreining hefði gert fyrir hönd sóttvarnalæknis frá 3. apríl til 20. júní 2020. Mælingarnar hefðu náð til rúmlega 30 þúsund einstaklinga sem hefðu leitað heilbrigðisþjónustu af öðrum ástæðum en COVID-19 og verið boðið að gefa blóð til mótefnamælinga. Blóðtökuaðilum hefði verið uppálagt að fá samþykki einstaklinga fyrir mælingu mótefna. Ekki hefði verið beðið um upplýst eða skriflegt samþykki. Íslensk erfðagreining hefði mælt mótefnin fyrir hönd sóttvarnalæknis undir formerkjum sóttvarnaráðstafana. Einstaklingar sem mælst hefðu með mótefni kynnu í kjölfarið að fá boð um að taka þátt í framhaldsrannsókn sem yrði þá formleg vísindarannsókn. Ekki hefði verið beðið um upplýst eða skriflegt samþykki og hefðu blóðsýnin einungis verið rannsökuð með tilliti til mótefna gegn COVID-19.

iii. Skimun á landamærum

Frá og með 15. júní 2020 var farþegum sem komu til Íslands boðið að fara í sýnatöku vegna COVID-19 fremur en að fara í 14 daga sóttkví, sbr. reglugerð nr. 580/2020 um sóttkví, einangrun og sýnatöku við landamæri Íslands vegna COVID-19. Boðið var upp á sýnatöku fyrir komufarþega á Keflavíkurflugvelli og öðrum flugvöllum og höfnum. Skimað var fyrir SARS-CoV-2 veirunni og mótefnum við henni. Sýnin voru til að byrja með send til rannsóknar hjá Íslenskri erfðagreiningu en síðar send til sýkla- og veirufræðideildar Landspítalans. Nokkrum dögum áður en skimun hófst á landamærum hafði embætti landlæknis samráð við Persónuvernd og sendi stofnuninni mat á áhrifum á persónuvernd vegna framkvæmdarinnar. Persónuvernd veitti embættinu ráðgjöf með bréfi, dags. 14. júní 2020.

iv. Skimun til að kanna útbreiðslu COVID-19

Í frétt sem birtist á vef embættis landlæknis 31. júlí 2020 sagði að Íslensk erfðagreining ynni nú aftur að skimun einstaklinga fyrir SARS-CoV-2-veirunni í samvinnu við sóttvarnalækni til að kanna útbreiðslu veirunnar hér á landi svo að hægt yrði að meta þörf fyrir frekari aðgerðir. Einnig yrði mögulegt að rekja uppruna smita. Skimunin yrði byggð á úrtaki og þrír hópar fengju boð:

  1. Einstaklingar í sóttkví vegna samskipta við einstaklinga sem nýlega hefðu greinst með veiruna.

  2. Einstaklingar sem tengdust einstaklingum í einangrun á einhvern hátt sem þó hefði verið metið að þyrftu ekki að fara í sóttkví.

  3. Handahófskennt úrtak á þeim svæðum þar sem smit hefðu komið upp undanfarið.

Samkvæmt ábendingum til Persónuverndar var framangreindum einstaklingum, annaðhvort öllum eða tilteknum hópum, ekki gert kunnugt um það þegar þeir fengu boð um þátttöku með textaskilaboðum hvaða hópi af þessum þremur þeir tilheyrðu eða hvaða upplýsingar lágu að öðru leyti til grundvallar boðinu.

Var það því mat stofnunarinnar, með vísan til alls þess sem hér að framan er nefnt, að slík óvissa væri uppi um notkun umræddra gagna að tilefni væri til frumkvæðisathugunar á fyrirkomulagi skimunar. Í bréfi Persónuverndar til embættis landlæknis, dags. 16. september 2020, var því óskað eftir upplýsingum hvað varðar ábyrgðaraðila, vinnsluaðila og vinnslusamninga annars vegar og gagnsæi og fræðslu hins vegar.

3.

Skýringar embættis landlæknis

Persónuvernd bárust skýringar embættis landlæknis með bréfi 26. október 2020. Undir bréfið skrifa [...] sóttvarnalæknir, [...] landlæknir og [...] persónuverndarfulltrúi. Þar kemur fram að í mars 2020, þegar COVID-19-faraldurinn var í mikilli uppsveiflu á Íslandi, hafi fljótt orðið ljóst að greiningargeta sýkla- og veirufræðideildar Landspítalans á veirunni SARS-CoV-2 væri það lítil að það gæti hamlað opinberum sóttvarnaráðstöfunum eins og þær væru skilgreindar í sóttvarnalögum. Vísað er til þess að Íslensk erfðagreining hafi boðist til þess að aðstoða sóttvarnalækni og veirufræðideildina varðandi greiningar á sjúklingum, raðgreiningu veirunnar og skimanir í samfélaginu.

Samkvæmt vinnslusamningi sóttvarnalæknis og Landspítala frá árinu 2015, um skráningu og vinnslu á upplýsingum um tilkynningarskylda sjúkdóma og sjúkdómsvalda, beri rannsóknarstofum Landspítala í sýkla- og veirufræði að stunda skimun fyrir smitsjúkdómum sem hafi þýðingu fyrir almannaheill samkvæmt nánari fyrirmælum sóttvarnalæknis. Samkvæmt sama samningi sé rannsóknarstofum heimilt að starfa með öðrum aðilum, þ.e. þriðju aðilum, utan Landspítala að söfnun og vinnslu persónuupplýsinga vegna tilkynningarskyldra sjúkdóma. COVID-19 sé tilkynningarskyldur sjúkdómur og í samræmi við ákvæði vinnslusamningsins hafi Landspítali gert samning við Íslenska erfðagreiningu um vinnslu og söfnun persónuupplýsinga vegna greiningar á COVID-19.

Í bréfi embættisins segir að öllum neikvæðum sýnum hafi verið eytt þegar niðurstaða hafi legið fyrir. Jákvæð sýni hafi verið raðgreind, þ.e. erfðaefni vírussins sjálfs, og að því loknu hafi þeim einnig verið eytt. Áréttað er að erfðaefni þeirra einstaklinga sem voru skimaðir hafi ekki verið raðgreint.

Fram kemur það mat sóttvarnalæknis og landlæknis að greining sjúklinga með PCR-prófi og raðgreining veirunnar hafi verið lykilatriði í opinberum sóttvarnaráðstöfunum gegn COVID-19. Raðgreining hafi ekki verið möguleg án aðkomu Íslenskrar erfðagreiningar en fyrirtækið hafi verið það eina hérlendis sem hafi getað gert slíka rannsókn. Greining og skimun hefði orðið viðaminni og í raun ófullnægjandi án aðkomu fyrirtækisins sem einnig hafi gegnt lykilhlutverki þegar búnaður sýkla- og veirufræðideildar Landspítala bilaði.

Auk mælinga á veirunni hafi Íslensk erfðagreining, í samræmi við vinnslusamning, séð um mælingu á algengi mótefna gegn SARS-CoV-2 í íslensku þýði að beiðni sóttvarnalæknis. Niðurstaðan hafi verið mikilvæg fyrir mat sóttvarnalæknis á útbreiðslu veirunnar hérlendis. Engin stofnun eða annað fyrirtæki hafi verið í stakk búið til svo umfangsmikilla mótefnamælinga.

Hvað varðar vísindarannsóknir er vísað til þess að samkvæmt k-lið 4. gr. laga um landlækni og lýðheilsu nr. 41/2007 er það eitt af meginhlutverkum landlæknis að bera ábyrgð á framkvæmd sóttvarna, sbr. sóttvarnalög. Segir að þá skyldu ræki landlæknir með því að ráða öflugan sóttvarnalækni til embættisins og með því að styðja við starf hans og sóttvarnasviðs. Einnig er vísað til annarra hlutverka landlæknis sem nefnd eru í 4. gr. laganna, svo sem að meta árangur af lýðheilsustarfi og að stuðla að rannsóknum á starfssviðum embættisins. Þátttaka í vísindastarfi, er lúti að faraldsfræðilegu efni og varpi ljósi á náttúrulegan feril nýs heimsfaraldurs SARS-CoV-2-veirunnar, samrýmist því störfum landlæknis og sóttvarnalæknis.

Tekið er fram í lok bréfsins að án aðkomu Íslenskrar erfðagreiningar hefðu opinber viðbrögð við faraldrinum orðið áhrifaminni með ófyrirséðum heilsufarslegum afleiðingum fyrir almenning hérlendis. Þá segir að öll sú vinnsla persónuupplýsinga sem hafi farið fram hafi leitt af lögbundnu hlutverki sóttvarnalæknis samkvæmt sóttvarnalögum í þeim tilgangi að hefta útbreiðslu heimsfaraldurs.

Hvað varðar einstakar spurningar Persónuverndar eru svör embættis landlæknis eftirfarandi:

i. Ábyrgðaraðili, vinnsluaðili og vinnslusamningar

  1. „Hvert er mat embættis landlæknis á því hvort embættið eða sóttvarnalæknir teljist vera ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem fellur undir sóttvarnaráðstafanir, sbr. 6. tölulið 3. gr. laga nr. 90/2018 og 7. tölulið 4. gr. reglugerðar (ESB) 2016/679, sbr. og 1. og 2. mgr. 4. gr. sóttvarnalaga nr. 19/1997?“

Í svari embættis landlæknis segir að SARS-sjúkdómar, sem COVID-19 tilheyri, teljist til tilkynningarskyldra sjúkdóma, sbr. 5. gr. reglugerðar nr. 221/2012 um skýrslugerð vegna sóttvarna, og því beri þeim aðilum sem greina slíkan sjúkdóm að tilkynna hann til sóttvarnalæknis ásamt þeim upplýsingum sem getið er um í 6. gr. reglugerðarinnar.Sóttvarnalækni beri að halda smitsjúkdómaskrá samkvæmt 1. tölulið 5. gr. sóttvarnalaga nr. 19/1997. Tilgangur hennar sé að afla nákvæmra upplýsinga um greiningu smitsjúkdóma frá rannsóknarstofum, sjúkrahúsum og læknum. Tilgangur hennar sé einnig stuðningur við sóttvarnastarf og faraldsfræðirannsóknir, sbr. 3. gr. sóttvarnalaga.Samkvæmt 1. mgr. 4. gr. sóttvarnalaga nr. 19/1997 beri embætti landlæknis ábyrgð á framkvæmd sóttvarna og samkvæmt 2. mgr. sömu greinar laganna skuli við embættið starfa sóttvarnalæknir sem beri ábyrgð á sóttvörnum. Sóttvarnalæknir starfi því við embætti landlæknis og sé ábyrgðaraðili allra þeirra upplýsinga sem unnar eru í tengslum við störf hans, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

  1. „Hvert er mat embættis landlæknis á því hvaða gögn eru á ábyrgð sóttvarnalæknis í tengslum við sóttvarnaráðstafanir, sbr. 2. mgr. 27. gr. laga nr. 44/2014, og hvaða forræði hann hefur á þeim gögnum? Telst sóttvarnalæknir t.d. ábyrgðaraðili að sjúkraskrám þeirra sem hafa greinst með SARS-CoV-2-veiruna?“

Í svari embættis landlæknis segir að sóttvarnalæknir sé ábyrgðaraðili þeirra gagna sem unnin eru í tengslum við sóttvarnaráðstafanir, þ. á m. gagna sem aflað er með sýnatöku vegna COVID-19. Þau gögn sem berist sóttvarnalækni, m.a. vegna skimana og mótefnamælinga, séu á forræði hans.

Sóttvarnalæknir teljist ekki ábyrgðaraðili að sjúkraskrám þeirra sem hafa greinst með SARS-CoV-2 veiruna. Ábyrgðaraðili að sjúkraskrám sé sú heilbrigðisstofnun eða starfsstofa heilbrigðisstarfsmanna þar sem sjúkraskrár eru færðar, sbr. 12. tölul. 3. gr. laga nr. 55/2009 um sjúkraskrár. Líkt og getið er um í svari við spurningu 1 beri þeim aðilum sem greina tilkynningarskyldan sjúkdóm hins vegar að miðla vissum upplýsingum til sóttvarnalæknis og þær upplýsingar séu skráðar í smitsjúkdómaskrá.

  1. „Hvert er mat embættis landlæknis á því hver telst vera ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem fram hefur farið í tengslum við umrædda skimun Íslenskrar erfðagreiningar [], þ.e. hver ákvað tilgang og aðferðir við vinnsluna og hvaða vinnsla nákvæmlega fór fram? Hver ákvað til dæmis í upphafi skimunar Íslenskrar erfðagreiningar, áður en sótt var um leyfi til framangreindrar vísindarannsóknar, að raðgreina skyldi veiru-RNA úr koki/nefkoki?“

Í svari embættis landlæknis segir að sóttvarnalæknir teljist ábyrgðaraðili þeirrar vinnslu sem fram hefur farið í tengslum við skimun Íslenskrar erfðagreiningar og að hann hafi ákveðið umfang og skipulagningu skimunar í samstarfi við Landspítala og embætti landlæknis. Ákveðið hafi verið að raðgreina RNA SARS-CoV-2-veirunnar úr koki/nefkoki til þess að auðvelda smitrakningu og aðrar sóttvarnaráðstafanir.

Undir eðlilegum kringumstæðum hefði Landspítali séð um slíka vinnu f.h. sóttvarnalæknis samkvæmt fyrrgreindum vinnslusamningi. Vegna gríðarlegs umfangs þeirra aðgerða sem grípa þurfti til hafi hins vegar þótt nauðsynlegt að leita aðstoðar og hafi vinnslusamningur milli Landspítala og Íslenskrar erfðagreiningar verið gerður þar að lútandi. Íslensk erfðagreining sé því í raun undirvinnsluaðili.

4. „Hvert er mat embættis landlæknis á því hvort Íslensk erfðagreining telst vera ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem farið hefur fram í tengslum við umrædda skimun, í samvinnu við embætti landlæknis eða sóttvarnalækni, eða vinnsluaðili, sbr. 7. tölulið 3. gr. laga nr. 90/2018 og 8. tölulið 4. gr. reglugerðarinnar?“

Í svari embættis landlæknis er vísað til þess sem fram kemur í svari við spurningu 3, þ.e. að í gildi sé samningur milli sóttvarnalæknis og Landspítala um nauðsynlegar greiningar á smitsjúkdómum. Einnig sé í gildi vinnslusamningur þeirra á milli. Þegar leitað hafi verið til Íslenskrar erfðagreiningar hafi Landspítali gert vinnslusamning við fyrirtækið vegna þeirrar þjónustu sem fyrirtækið veitir. Sóttvarnalæknir sé því ábyrgðaraðili að vinnslu þeirra gagna sem safnað er í smitsjúkdómaskrá sóttvarnalæknis en Íslensk erfðagreining vinnsluaðili.

  1. „Voru gerðir vinnslusamningar við Íslenska erfðagreiningu um vinnslu persónuupplýsinga í tengslum við umrædda skimun, sbr. 3. mgr. 25. gr. laga nr. 90/2018 og 3. mgr. 28. gr. reglugerðarinnar? Hafi það verið gert er óskað eftir afriti af þeim samningum.“

Í svari embættis landlæknis segir að sóttvarnalæknir hafi ekki gert vinnslusamning við Íslenska erfðagreiningu. Samningur sé í gildi milli sóttvarnalæknis og Landspítala um skimun vegna smitsjúkdóma. Á grundvelli þess samnings hafi Landspítali og Íslensk erfðagreining gert með sér vinnslusamning.

ii. Gagnsæi og fræðsla

  1. „Hvernig hefur vinnsla persónuupplýsinga, sem er á ábyrgð embættis landlæknis eða, eftir atvikum, sóttvarnalæknis, sbr. 6. tölulið 3. gr. laga nr. 90/2018 og 7. tölulið 4. gr. reglugerðar (ESB) 2016/679, uppfyllt sanngirnis- og gagnsæiskröfu persónuverndarlaga, í tengslum við skimun Íslenskrar erfðagreiningar fyrir:

a. SARS-CoV-2-veirunni hjá einstaklingum á Íslandi.“

Í svari embættis landlæknis segir að við skimun fyrir veirunni við upphaf faraldursins hafi þeim sem óskuðu þess verið boðið að skrá sig í sýnatöku hjá Íslenskri erfðagreiningu. Þeim hafi því verið það ljóst frá upphafi að Íslensk erfðagreining kæmi að þessu verkefni. Þá hafi mikil fjölmiðlaumfjöllun verið um sýnatökur almennt og almenningur hvattur til þess að mæta til sýnatöku, hvort heldur sem væri hjá heilsugæslustöðvum vegna einkenna eða í almenna skimun hjá Íslenskri erfðagreiningu. Tilgangur þessarar vinnslu ætti að hafa verið öllum þeim sem mættu ljós og nauðsyn þess að hún færi fram. Eingöngu hafi verið safnað nauðsynlegum upplýsingum, þ.e. lýðfræðilegum upplýsingum um viðkomandi og niðurstöðu úr sýnatöku. Sýni hafi ekki verið nýtt í annað og þeim eytt að lokinni greiningu. Við sýnatöku hafi einnig verið óskað eftir samþykki þeirra sem í hana fóru fyrir þátttöku í vísindarannsókn á vegum fyrirtækisins, þegar sú rannsókn hafi farið af stað að fengnum tilskildum leyfum.

b. „[skimun fyrir] mótefni við SARS-CoV-2-veirunni hjá einstaklingum á Íslandi.“

Í svari embættis landlæknis segir að bréf hafi verið sent á veitendur heilbrigðisþjónustu þar sem teknar eru blóðprufur og óskað eftir því að þeir fengju samþykki sjúklinga fyrir því að tekið yrði aukablóðsýni til að kanna hvort þar fyndust mótefni við COVID-19. Það hafi verið talinn mikilvægur þáttur í að fá raunsanna mynd af raunverulegum fjölda þeirra sem smitast hefðu af sjúkdóminum. Þeir sem hafi gefið leyfi fyrir því hafi því vitað í hvaða tilgangi sýni skyldi notað. Margar aðrar þjóðir hafi framkvæmt slíkar mótefnaskimanir (e. sero-prevalence study).

c. „[skimun fyrir] SARS-CoV-2-veirunni og mótefni við henni á landamærum.“

Í svari embættis landlæknis er vísað til þess að skimun á landamærum byggist á reglugerð nr. 580/2020 um sóttkví, einangrun og sýnatöku við landamæri Íslands vegna COVID-19. Að auki segir að þeir farþegar sem hafi undirgengist slíka sýnatöku hafi tekið upplýsta ákvörðun þar að lútandi í stað þess að sæta 14 daga sóttkví. Sérstakt skráningarform hafi verið gert farþegum á leið til landsins aðgengilegt á vefsíðu 2-3 sólarhringum fyrir áætlað flug. Í 7. mgr. 4. gr. reglugerðarinnar sé sérstaklega kveðið á um að lífsýni skuli eingöngu rannsökuð m.t.t. SARS-CoV-2-veirunnar og að þeim skuli eytt að lokinni greiningu. Þá segir í svari embættis landlæknis að hafi sýni reynst jákvætt hafi verið greind mótefni til að kanna hvort um virka sýkingu væri að ræða. Hagsmunir hins skráða af því hafi verið miklir því þeir sem reyndust vera með mótefni hafi ekki þurft að sæta einangrun, líkt og sýktir einstaklingar þurfi að gera. Þá hafi sýnatöku verið háttað þannig að þær tilraunastofur sem greindu sýnin, þ.e. hjá sýkla- og veirufræðideild Landspítalans og Íslenski erfðagreiningu, hafi fengið sýni afhent aðeins með strikamerki og hafi upplýsingar verið tengdar viðkomandi skráðum einstaklingi í gagnagrunni sóttvarnalæknis. Þeir aðilar sem komu að greiningu sýna hafi því ekki vitað hvaða einstaklingum þau tilheyrðu.

2. „Hvaða fræðsla hefur verið veitt og hvernig, varðandi liði a-c hér að framan?“

Í svari embættis landlæknis segir að sérstök fræðsla hafi ekki verið veitt um þá vinnslu persónuupplýsinga sem fjallað er um í a-lið hér að framan, að öðru leyti en því sem fram kemur í almennri persónuverndarstefnu embættisins og hjá viðkomandi heilsugæslustöðvum, þar sem meðal annars sé umfjöllun um réttindi hinna skráðu. Það sé í takt við það sem almennt tíðkist varðandi upplýsingar um vinnslu persónuupplýsinga í heilbrigðisþjónustunni í tengslum við veitingu slíkrar þjónustu. Ekki hafi verið sérstaklega tekið fram að Íslensk erfðagreining kæmi að vinnslu upplýsinga, enda tíðkist almennt ekki í persónuverndarstefnum eða upplýsingum til hinna skráðu að nafngreina vinnsluaðila eða undirvinnsluaðila.

Einstaklingar hafi einnig getað skráð sig í sýnatöku á vefsíðu á vegum Íslenskrar erfðagreiningar. Þeim hafi því vissulega verið ljóst að fyrirtækið kæmi að þeirri framkvæmd, auk þess sem mikið hafi verið fjallað um þá skimun í fréttum og á upplýsingafundum almannavarna. Þá hafi Íslensk erfðagreining einnig óskað eftir samþykki fyrir öflun lífsýna til erfðarannsókna.

Varðandi mótefnamælingar, samkvæmt b-lið hér að framan, hafi verið óskað eftir samþykki þeirra sem komu til blóðtöku en ekki hafi verið veitt sérstök fræðsla varðandi mótefnamælinguna.

Við skimun á landamærum, samkvæmt c-lið, hafi þeir sem skráðu sig í sýnatöku fengið fræðslu um vinnslu persónuupplýsinga í skráningarferlinu. Þar hafi verið að finna hlekk á nánari upplýsingar um vinnslu persónuupplýsinga á Covid.is þar sem að auki sé að finna persónuverndarstefnu vegna sóttvarnaráðstafana á landamærum.

3. „Varð einhver breyting á fræðslu til einstaklinga á Íslandi eftir að Íslensk erfðagreining fékk leyfi frá Vísindasiðanefnd fyrir vísindarannsókninni „Faraldsfræði SARS-CoV-19-veirunnar og áhrif erfða og undirliggjandi sjúkdóma á COVID-19-sjúkdóminn sem hún veldur“ og svo síðar fyrir viðbótum við hana?“

Í svari embættis landlæknis segir að engin breyting hafi orðið á fræðslu við öflun samþykkis eftir að veitt hafi verið leyfi fyrir rannsókn Íslenskrar erfðagreiningar.

4. „Varð einhver breyting á fræðslu til einstaklinga á Íslandi eftir að farið var að nota framangreinda rannsókn við þróun og framleiðslu Amgen á lyfjum við COVID-19 sjúkdóminum?“

Í svari embættis landlæknis segir að sóttvarnalækni og landlækni sé ekki kunnugt um að verið sé að nota framangreinda rannsókn við þróun og framleiðslu Amgen á lyfjum við COVID-19-sjúkdóminum.

Þó sé rétt að taka fram í þessu samhengi að til að bregðast við yfirstandandi faraldri hafi rannsakendur, lyfjafyrirtæki, heilbrigðisstofnanir og aðrir sem komi að viðbrögðum við COVID-19 á einhvern hátt deilt upplýsingum um uppgötvanir sínar með áður óþekktum hætti. Sé það til marks um alvarleika faraldursins og þá gríðarlegu almannahagsmuni sem séu af því að auka gæði greiningaraðferða, meðferðar, sóttvarnaaðgerða og því að þróa á methraða bóluefni sem sé í senn öruggt og veiti varanlega vernd gegn SARS-CoV-2-veirunni sem veldur COVID-19-sjúkdóminum. Íslensk erfðagreining hafi birt nokkrar vísindagreinar byggðar á rannsóknum sínum og uppgötvunum við skimun, mótefnamælingar og raðgreiningu sem aðgengilegar séu í vísindatímaritum.

5. „Af hverju voru einstaklingar, sem komu í blóðtöku til læknis af öðrum ástæðum en tengdum COVID-19 og voru beðnir um töku aukaglass til mótefnamælingar, ekki beðnir um upplýst og skriflegt samþykki? Hvaða fræðslu fengu þeir einstaklingar almennt og varðandi það að þeir kynnu að fá boð um að taka þátt í framhaldsrannsókn sem yrði formleg vísindarannsókn? Voru eða verða blóðsýnin eða niðurstöður úr rannsókn á þeim nýttar í vísindarannsóknir á heilbrigðissviði?

Í svari embættis landlæknis segir að almennt sé ekki farið fram á skriflegt samþykki fyrir vinnslu persónuupplýsinga innan heilbrigðisþjónustunnar. Einstaklingar hafi hins vegar verið upplýstir um tilgang þess að gefa aukablóðsýni. Hér hafi ekki verið um það að ræða að gögnum væri safnað fyrir vísindarannsókn heldur vegna sóttvarnaráðstafana vegna COVID-19, þ.e. í því skyni að sóttvarnayfirvöld fengju betri mynd af raunverulegum fjölda þeirra sem fengið hefðu sjúkdóminn.

6. „Hvaða fræðsla hefur verið veitt, og hvernig, til þeirra einstaklinga sem hafa fengið boð um skimun hjá Íslenskri erfðagreiningu, m.a. til að kanna útbreiðslu veirunnar hér á landi [], þ. á m. varðandi hvaða upplýsingar hafa legið til grundvallar því að þeim hefur verið boðin þátttaka?“

Í svari embættis landlæknis segir að þegar önnur bylgja faraldursins hafi hafist um mánaðamótin júlí/ágúst 2020 hafi verið skimað fyrir SARS-CoV-2-veirunni með þrennum hætti til að kanna hve mikið hún hefði náð að breiða úr sér í samfélaginu.

  1. Ákveðið hafi verið að bjóða þeim sem voru í sóttkví skimun til að geta fljótt metið útbreiðslu veirunnar. Þessi gögn hafi síðan reynst mikilvæg til að geta stytt sóttkví úr 14 dögum í sjö með miklum ávinningi fyrir einstaklinga og samfélag. Ekki hafi sérstaklega komið fram við boðun með smáskilaboðum að skimun þessi væri vegna þess að viðkomandi væri í sóttkví en væntanlega hafi fólki verið það ljóst eftir símtöl við rakningarteymi.

  2. Ákveðið hafi verið að bjóða skimun af handahófi á höfuðborgarsvæðinu og á Akranesi til að kanna samfélagslega útbreiðslu. Fáir hafi greinst og hafi slíkri skimun því verið hætt. Í smáskilaboðum sem send voru þeim sem boðaðir voru í slíka skimun hafi komið fram að þátttakendur hefðu verið valdir með slembiúrtaki.

  3. Í stað handahófsskimunar hafi því verið ákveðið að bjóða skimun út frá tilfellum, t.d. á vinnustöðum. Smitrakningarteymi hafi ákveðið hverjum ætti að bjóða skimun. Þetta hafi reynst mikilvæg aðgerð í að ná tökum á annarri bylgjunni. Ekki hafi sérstaklega komið fram við boðun af hverju hún stafaði. Þá hafi Íslensk erfðagreining einnig boðið upp á skimun á vissum vinnustöðum og í skólum í samstarfi við þá en það hafi ekki verið í samvinnu við sóttvarnalækni. Niðurstöðum hafi engu að síður verið skilað til hans enda um tilkynningarskyldan sjúkdóm að ræða.

4.

Frekari skýringar Embættis landlæknis

Með bréfi til Embættis landlæknis, dags. 3. nóvember 2021, óskaði Persónuvernd frekari skýringa. Barst stofnuninni í kjölfar þess bréf frá embættinu, dags. 15. s.m., þar sem veitt eru eftirfarandi svör við einstökum spurningum Persónuverndar.

1. „Hvaða persónuupplýsingar voru skráðar í tengslum við rannsókn blóðsýna, hvar voru þær skráðar og af hverjum?“

Í svari Embættis landlæknis segir að þeir sem önnuðust sýnatöku hafi skilað sýnum merktum með kennitölu. Auk þess hafi Íslenskri erfðagreiningu verið sent læst Excel-skjal og lykilorð sent með tölvupósti í öðru skjali. Starfsmenn ÍE hafi fært upplýsingar inn í sérstakt kerfi sem haldið hafi utan um þessu vinnslu. Sýnum hafi verið úthlutað slembinúmeri og hafi eftirfarandi greining sýnis á rannsóknarstofu ÍE farið fram með því númeri. Niðurstöðum hafi verið miðlað til sóttvarnalæknis þar sem slembinúmerið hafi verið afkóðað og niðurstöðum viðkomandi einstaklings miðlað til hans í gegnum Heilsuveru.

Persónuupplýsingar hafi því verið unnar hjá þeim aðilum sem önnuðust sýnatöku og af starfsmanni ÍE sem fært hafi upplýsingar inn í kerfi þar sem sýni fengu slembinúmer. Með þeim hætti hafi verið tryggt að þeir sem unnu við greiningu sýna vissu ekki hvaða einstaklingum þau tilheyrðu.

2. „Var gerður vinnslusamningur við Íslenska erfðagreiningu vegna mælinga á mótefnum í aukablóðsýnum sem tekin voru annars staðar en á Landspítala?“

Í svari Embættis landlæknis segir að ekki hafi verið gerður sérstakur vinnslusamningur við ÍE vegna mælinga á mótefnum í aukablóðsýnum sem tekin voru annars staðar en á Landspítala. Um hafi verið að ræða mikilvæga greiningu á stöðu faraldursins sem hafi getað veitt upplýsingar sem nýst gætu við ákvarðanir sóttvarnayfirvalda á komandi vikum og mánuðum, með það að markmiði að leggja til þær ráðstafanir sem hefðu í för með sér minnstar takmarkanir. Jafnframt hafi verið litið svo á að Landspítali hefði sinnt þessu verkefni hefði hann haft möguleika til þess og að vinnslan færi því fram á grundvelli samnings sóttvarnalæknis við Landspítala og samnings Landspítala við Íslenska erfðagreiningu.

3. „Var sýnum eytt að lokinni mótefnamælingu eða voru þau varðveitt í lífsýnasafni og þá hvaða lífsýnasafni?“

Í svari Embættis landlæknis segir að öllum sýnum hafi verið eytt að lokinni mótefnamælingu.

II.

Forsendur og niðurstaða

1.

Gildissvið

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að vinnslu persónuupplýsinga í tengslum við annars vegar skimun fyrir SARS-CoV-2-veirunni á Íslandi og hins vegar mótefnamælingar fyrir veirunni. Sú vinnsla hófst með töku lífsýna sem ljóst er að fellur undir svið einkalífsverndar samkvæmt 71. gr. stjórnarskrárinnar en sem felur ein og sér ekki í sér vinnslu persónuupplýsinga samkvæmt framangreindu. Jafnframt er hins vegar ljóst að í tengslum við meðferð sýnanna voru upplýsingar skráðar og unnar með öðrum hætti, þ. á m. vegna innköllunar í sýnatöku og rannsókn á sýnunum. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

2.

Ábyrgðaraðili og vinnsluaðilar

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 og reglugerð (ESB) 2016/679 er nefndur ábyrgðaraðili. Er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laganna og 7. tölul. 4. gr. reglugerðarinnar.

Sóttvarnalækni ber samkvæmt 2. tölul. 5. gr. sóttvarnalaga nr. 19/1997 að halda smitsjúkdómaskrá. Tilgangur hennar er að afla nákvæmra upplýsinga um greiningu smitsjúkdóma frá rannsóknarstofum, sjúkrahúsum og læknum. Tilgangur hennar er einnig stuðningur við sóttvarnastarf og faraldsfræðirannsóknir, sbr. 3. gr. sóttvarnalaga. Samkvæmt 1. mgr. 4. gr. sóttvarnalaga nr. 19/1997 ber embætti landlæknis ábyrgð á framkvæmd sóttvarna og samkvæmt 2. mgr. sömu greinar laganna skal við embættið starfa sóttvarnalæknir sem ber ábyrgð á sóttvörnum. Sóttvarnalæknir starfar því við embætti landlæknis en er ábyrgðaraðili allra þeirra upplýsinga sem unnar eru í tengslum við störf hans. Eins og hér háttar til telst sóttvarnalæknir því vera ábyrgðaraðili að umræddri vinnslu.

Ábyrgðaraðili getur falið öðrum aðila að vinna með persónuupplýsingar fyrir sína hönd. Nánar tiltekið er þar um að ræða vinnsluaðila samkvæmt 7. tölul. 3. gr. laga nr. 90/2018 og 8. tölul. 3. gr. reglugerðar (ESB) 2016/679, þ.e. aðila sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, en við slíkan vinnsluaðila skal gerður sérstakur samningur í samræmi við 3. mgr. 25. gr. laganna og 3. mgr. 28. gr. reglugerðarinnar. Fyrir liggur að sóttvarnalæknir hefur samið við Landspítala um að vinna með persónuupplýsingar sem hann ber ábyrgð á og telst spítalinn vera vinnsluaðili hvað þá vinnslu snertir.

Samkvæmt 2. mgr. 25. gr. laga nr. 90/2018, sbr. 2. mgr. 28. gr. reglugerðarinnar, er vinnsluaðila heimilt að ráða til verks annan vinnsluaðila, enda hafi hann til þess sértæka eða almenna skriflega heimild ábyrgðaraðila. Fyrir liggur að gerður var samningur milli Landspítala og Íslenskrar erfðagreiningar, þar sem Landspítalinn felur Íslenskri erfðagreiningu vinnslu persónuupplýsinga sem leiðir af skyldum Landspítala samkvæmt vinnslusamningi sóttvarnalæknis og Landspítala. Er Íslensk erfðagreining því undirvinnsluaðili í skilningi áðurnefndrar lagagreinar enda lá fyrir skrifleg heimild í vinnslusamningi sóttvarnalæknis og Landspítalans þess efnis að Landspítalinn mætti nýta slíkan undirvinnsluaðila við framkvæmd vinnslunnar.

Fyrir liggur að frá öðrum veitendum heilbrigðisþjónustu en Landspítala hafa lífsýni verið flutt til Íslenskrar erfðagreiningar til mótefnamælinga og kemur fram í skýringum Embættis landlæknis að þau hefðu að öðrum kosti verið send spítalanum. Samkvæmt grein 1.1 í vinnslusamningi Landspítala við Íslenska erfðagreiningu tekur hann annars vegar til vinnslu persónuupplýsinga f.h. Landspítala vegna skimunar fyrir COVID-19-veirunni í lífsýnum sem Íslensk erfðagreining fær send frá spítalanum. Hins vegar tekur hann til vinnslu f.h. spítalans í sama skyni þegar um ræðir sýni sem Íslensk erfðagreining safnar sjálf. Miðað við veittar skýringar verður að telja vinnslu vegna umræddra sýna frá öðrum en Landspítala falla undir samninginn á þeim grundvelli.

Að auki skal tekið fram, vegna notkunar upplýsinga í þágu fyrrgreindrar vísindarannsóknar hjá Íslenskri erfðagreiningu, að við þá rannsókn hafði Íslensk erfðagreining ekki stöðu vinnsluaðila heldur ábyrgðaraðila. Samkvæmt gögnum málsins hafði ekki verið sótt um heimild hjá Vísindasiðanefnd til að gera vísindarannsókn þegar skimun hófst í upphafi faraldursins en þegar hún hafði staðið yfir í tólf daga, þ.e. 20. mars 2020, var umsókn send nefndinni. Aftur á móti hafði Íslensk erfðagreining lýst því yfir afdráttarlaust í fjölmiðlum 8. s.m. að aðkoma fyrirtækisins fæli ekki í sér vísindarannsókn og gat það gefið þeim sem fóru í skimun tilefni til að ætla að ekki yrði af slíkri rannsókn. Engu að síður var hafist handa við umrædda rannsókn, sem felur meðal annars í sér gagnarannsókn samkvæmt VI. kafla laga nr. 44/2014 um vísindarannsóknir á heilbrigðissviði, þar sem ekki er byggt á samþykki hinna skráðu. Tekið skal fram að þótt rannsóknin falli utan þess athugunarefnis Persónuverndar, sem fjallað er um í ákvörðun þessari, á hún þó þátt í að hafist var handa við athugunina, sbr. umfjöllun í 1. kafla I. hluta ákvörðunarinnar. Þykir því rétt að halda framangreindu til haga.

3.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr. laganna og c-lið 1. mgr. 6. gr. reglugerðarinnar, eða ef vinnslan er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna, sbr. 5. tölul. lagagreinarinnar og e-lið reglugerðarákvæðisins. Að auki verður vinnsla heilsufarsupplýsinga, eins og þær eru skilgreindar í b-lið 3. tölul. 3. gr. laganna, að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna og 2. mgr. 9. gr. reglugerðarinnar. Eins og hér háttar til kemur þá einkum til skoðunar 9. tölul. 1. mgr. 11. gr. laganna og i-liður 2. mgr. 9. gr. reglugerðarinnar, þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg af ástæðum er varða almannahagsmuni á sviði lýðheilsu, svo sem til að verjast alvarlegum heilsufarsógnum sem ná yfir landamæri eða tryggja gæði og öryggi heilbrigðisþjónustu og lyfja eða lækningatækja, og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.

Við mat á heimild til vinnslu verður eftir atvikum einnig að líta til ákvæða annarra laga sem við eiga hverju sinni. Samkvæmt 2. tölul. 5. gr. sóttvarnalaga nr. 19/1997 ber sóttvarnalækni, sem fyrr segir, að halda smitsjúkdómaskrá, en tekið er fram í ákvæðinu að hann haldi þá skrá til að fylgjast með útbreiðslu smitsjúkdóma með öflun nákvæmra upplýsinga um greiningu þeirra frá rannsóknastofum, sjúkrahúsum og læknum. Að auki segir í í 3. mgr. 3. gr. laganna að tilgangur skrárinnar sé að afla fyrrnefndra upplýsinga og að vera stuðningur við sóttvarnastarf og faraldsfræðirannsóknir. Þá segir í sama ákvæði að gæta skuli fyllsta trúnaðar um allar einkaupplýsingar sem fram koma í smitsjúkdómaskrá og að um skrána gildi sömu reglur og um aðrar sjúkraskrár. Um það hvaða smitsjúkdómar falla hér undir er fjallað í 2. gr. laganna, þess efnis að þau fjalli um sjúkdóma og sjúkdómsvalda sem valdið geta farsóttum og ógnað almannaheill, svo og aðrar alvarlegar sóttir. Að því marki sem upplýsingar um umrædda sjúkdóma eru nýttar vegna heilbrigðisþjónustu við einstakling ber að líta til 1. mgr. 4. gr. laga nr. 55/2009 um sjúkraskrár þar sem mælt er fyrir um skyldu heilbrigðisstarfsmanns til að halda sjúkraskrá vegna meðferðar sjúklings, en í slíka skrá ber meðal annars að skrá niðurstöður rannsókna, sbr. 8. tölul. 1. mgr. 6. gr. laganna. Verður samkvæmt þessu að telja að umrædd vinnsla, sem fram fór til að skima fyrir SARS-CoV-2-veirunni og mótefnum við henni, hafi fullnægt þeim áskilnaði að hún færi fram á grundvelli laga.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar m.a. kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.), að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.), og að þær skuli unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt (6. tölul.).

Ábyrgðaraðili skal geta sýnt fram á að vinnsla persónuupplýsinga samrýmist framangreindum meginreglum, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.

Tekið skal fram að af umræddum meginreglum reynir einkum á hina almennu gagnsæiskröfu 1. tölul. 1. mgr. 8. gr. laganna, sbr. nánari ákvæði um fræðslu í 13. og 14. gr. reglugerðarinnar, sbr. 17. gr. laganna. Um álitaefni í því sambandi er fjallað í 5. kafla hér á eftir.

4.

Vinnslusamningar

Ábyrgðaraðili er sem fyrr segir sá sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinga. Á honum hvílir skylda til þess að tryggja að vinnsla fari fram í samræmi við þær lagareglur sem raktar hafa verið hér að framan. Í því felst að vinnsluaðili skal haga vinnslu í samræmi við fyrirmæli ábyrgðaraðila. Þau fyrirmæli þarf, samkvæmt 3. mgr. 28. gr. reglugerðarinnar, að skrásetja í samningi eða annarri réttargerð þar sem tilgreina skal viðfangsefni og tímalengd vinnslunnar, eðli og tilgang hennar, tegund persónuupplýsinga, flokka skráðra einstaklinga og skyldur og réttindi ábyrgðaraðilans.

Í vinnslusamningi eða annarri réttargerð samkvæmt 3. mgr. 28. gr. reglugerðarinnar skal einkum mæla fyrir um að vinnsluaðili:

  1. vinni einungis með persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila, þ.m.t. að því er varðar miðlun persónuupplýsinga til þriðja lands eða alþjóðastofnunar, nema honum sé annað skylt samkvæmt lögum Sambandsins eða lögum aðildarríkis sem vinnsluaðilinn heyrir undir; í því tilviki skal vinnsluaðilinn upplýsa ábyrgðaraðila um það lagaskilyrði áður en vinnslan hefst nema lögin banni slíka upplýsingagjöf vegna mikilvægra almannahagsmuna;

  2. tryggi að aðilar, sem hafa heimild til vinnslu persónuupplýsinga, hafi gengist undir trúnaðarskyldu eða heyri undir viðeigandi lögboðna trúnaðarskyldu;

  3. geri allar ráðstafanir sem krafist er samkvæmt 32. gr. reglugerðarinnar, þ.e. geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi miðað við áhættuna, m.a. með hliðsjón af nýjustu tækni, kostnaði við framkvæmd ráðstafananna, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga. Í því felst meðal annars að ábyrgðaraðili og vinnsluaðili skulu, eftir því sem við á: i. nota gerviauðkenni og dulkóða persónuupplýsinga ii.geta tryggt viðvarandi trúnað, samfellu, tiltækileika og álagsþol vinnslukerfa og -þjónustu, iii. geta gert persónuupplýsingar tiltækar og endurheimt aðgang að þeim tímanlega ef til efnislegs eða tæknilegs atviks kemur, iv. taka upp ferli til að prófa og meta reglulega skilvirkni tæknilegra og skipulagslegra ráðstafana til að tryggja öryggi vinnslunnar;

  4. virði skilyrði 2. og 4. mgr. 28. gr. reglugerðarinnar varðandi ráðningu annars vinnsluaðila;

  5. aðstoði, að teknu tilliti til eðlis vinnslunnar, ábyrgðaraðilann með viðeigandi tæknilegum og skipulagslegum ráðstöfunum, að því marki sem hægt er, við að uppfylla þá skyldu sína að svara beiðnum um að skráðir einstaklingar fái neytt þess réttar síns sem mælt er fyrir um í III. kafla reglugerðarinnar;

  6. aðstoði ábyrgðaraðila við að tryggja að skyldur samkvæmt 32.-36. gr. reglugerðarinnar séu uppfylltar, að teknu tilliti til eðlis vinnslunnar og upplýsinga sem vinnsluaðili hefur aðgang að;

  7. eyði eða skili, að vali ábyrgðaraðila, öllum persónuupplýsingum til ábyrgðaraðilans eftir að veitingu þjónustunnar, sem tengist vinnslunni, lýkur og eyði öllum afritum nema þess sé krafist í lögum Sambandsins eða lögum aðildarríkis að persónuupplýsingar séu varðveittar;

  8. geri ábyrgðaraðila aðgengilegar allar upplýsingar, sem nauðsynlegar eru til að sýna fram á að skuldbindingarnar, sem mælt er fyrir um í 28. gr. reglugerðarinnar, séu uppfylltar, gefi kost á úttektum, þ.m.t. eftirlitsskoðunum, sem ábyrgðaraðilinn eða annar úttektaraðili í umboði hans hafi með höndum, og leggi sitt af mörkum til þeirra.

Í þeim tilvikum þegar ábyrgðaraðilar og vinnsluaðilar starfa á grundvelli laga getur þurft að líta til viðeigandi lagaákvæða til fyllingar vinnslusamningi. Geta þau ákvæði talist fela í sér aðra réttargerð samkvæmt 3. mgr. 28. gr. reglugerðarinnar, að því marki sem þau fullnægja þeim skilyrðum sem þar eru tilgreind.

i. Vinnslusamningur sóttvarnalæknis og Landspítala

Fyrir liggur að sóttvarnalæknir hefur gert vinnslusamning við Landspítalann. Samningurinn er frá 21. desember 2015.

Í 2. gr. samningsins er vísað til þess að samkvæmt sóttvarnalögum er sóttvarnalæknir ábyrgur fyrir því að haldin sé smitsjúkdómaskrá sem ætluð er til stuðnings sóttvarnastarfi á Íslandi. Segir að hann sé því ábyrgðaraðili skrárinnar. Fram kemur að smitsjúkdómaskrá inniheldur „m.a. persónugreinanlegar upplýsingar um tilkynningarskyld sjúkdómstilfelli og sjúkdómsvalda sem koma frá rannsóknarstofum og meðhöndlandi læknum“.

Fram kemur í 3. gr. samningsins að með honum er Landspítala, nánar tiltekið rannsóknarstofum spítalans í sýkla- og veirufræði, sem vinnsluaðila í skilningi þágildandi persónuverndarlaga nr. 77/2000, falið að halda skrá og varðveita upplýsingar um tilkynningarskylda sjúkdóma og orsakavalda. Segir að rannsóknarstofurnar séu samkvæmt þessu vinnsluaðilar smitsjúkdómaskrár á vegum sóttvarnalæknis og sé þeim því heimilt að afla upplýsinga um sjúkdómstilvik og skrá þau ef það hefur þýðingu við farsóttagreiningu. Vinnslusamningurinn feli í sér heimild til handa vinnsluaðilanum til vinnslu persónuupplýsinga í þágu lækninga einstaklinga, sóttvarnaráðstafana og/eða vísindarannsókna að uppfylltum nauðsynlegum leyfum Vísindasiðanefndar og Persónuverndar.

Einnig segir að öll vinnsla persónuupplýsinga hjá vinnsluaðila sé háð fyrirmælum sóttvarnalæknis og skuli fara fram samkvæmt lögum um persónuvernd og reglum settum með stoð í þeim lögum. Jafnframt er tiltekið að fylgt skuli þeim skilyrðum sem Persónuvernd telur nauðsynleg hverju sinni.

Auk þessa er kveðið á um það að rannsóknarstofunum sé heimilt að starfa með öðrum aðilum og heilbrigðisstofnunum utan spítalans að söfnun og vinnslu persónuupplýsinga um tilkynningarskylda sjúkdóma.

Kveðið er á um það í 4. gr. samningsins að Landspítali skuli ábyrgjast öryggi persónuupplýsinga í samræmi við öryggisstefnu stofnunarinnar um verndun viðkvæmra persónuupplýsinga í sjúkraskrám án þess að það sé skilgreint nánar.

Vinnslusamningur þessi var gerður í gildistíð eldri laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og bera lagatilvísanir í honum þess merki. Í 13. gr. þeirra laga var kveðið á um að ábyrgðaraðila væri heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann bæri ábyrgð á samkvæmt ákvæðum laganna. Slíkt var þó háð því skilyrði að ábyrgðaraðili hefði áður sannreynt að vinnsluaðili gæti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit samkvæmt 12. gr. laganna.

Í 2. mgr. 13. gr. laganna var kveðið á um að vinnslusamningur skyldi vera skriflegur og a.m.k. í tveimur eintökum. Kveðið var á um að í slíkum samningi skyldi koma fram að vinnsluaðila væri einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laganna um skyldur ábyrgðaraðila giltu einnig um þá vinnslu sem vinnsluaðili annaðist. Í 3. mgr. 13. gr. laganna var svo kveðið á um að hverjum þeim er starfaði í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefði aðgang að persónuupplýsingum, væri aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæltu fyrir á annan veg.

Lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga tóku gildi 15. júlí 2018. Með þeim var innleidd í landsrétt reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679. Eins og að framan er rakið gera lög nr. 90/2018 og reglugerð (ESB) 2016/679 mun ítarlegri kröfur til efnis vinnslusamninga en eldri löggjöf og er ljóst að í vinnslusamningi sóttvarnalæknis og Landspítala eru ekki ákvæði til samræmis við kröfur skv. b-, c-, e-, f-, g- og h-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679 og 3. mgr. 25. gr. laga nr. 90/2018.

Til þess er hins vegar að líta að í sóttvarnalögum nr. 19/1997, lögum nr. 41/2007 um landlækni og lýðheilsu, lögum nr. 55/2009 um sjúkraskrár, lögum nr. 110/2000 um lífsýnasöfn og söfn heilbrigðisupplýsinga og lögum nr. 34/2012 um heilbrigðisstarfsmenn eru ákvæði sem koma til fyllingar vinnslusamningi framangreindra aðila. Má þar nefna ákvæði 17. gr. laga nr. 34/2012 og 13. gr. laga nr. 55/2009 þar sem kveðið er á um trúnað og þagnarskyldu starfsmanna í heilbrigðisþjónustu, 1. mgr. 24. gr. laga nr. 55/2009 og 9. tölul. 1. mgr. 5. gr. laga nr. 110/2000 þar sem kveðið er á um viðeigandi öryggi persónuupplýsinga og 1. mgr. 7. gr. laga nr. 41/2007 þar sem kveðið er á um eftirlitsheimildir landlæknis sem sóttvarnalæknir tilheyrir, sbr. 2. mgr. 4. gr. laga nr. 19/1997.

Með hliðsjón af kröfum 3. mgr. 28. gr. reglugerðarinnar væri þó rétt að í vinnslusamningnum væri tilvísun til framangreindra ákvæða um þar tilgreind atriði. Að auki hefur samningurinn ekki að geyma fyrirmæli sóttvarnalæknis um eyðingu eða skil persónuupplýsinga í samræmi við g-lið 3. mgr. 28. gr. reglugerðarinnar. Þá miðast tilvísanir samningsins til persónuverndarlöggjafar við eldri löggjöf á því sviði eins og fyrr greinir.

Af því sem hér hefur verið rakið er því ljóst að vinnslusamningur sóttvarnalæknis við Landspítala samrýmist ekki þeim kröfum sem nú eru gerðar til slíkra samninga.

ii. Vinnslusamningur Landspítala og Íslenskrar erfðagreiningar

Auk vinnslusamnings sóttvarnalæknis og Landspítala hefur verið gerður vinnslusamningur milli Landspítala og Íslenskrar erfðagreiningar, dags. 12. mars 2020, þar sem fyrirtækið Íslensk erfðagreining er skilgreint sem undirvinnsluaðili. Sá vinnslusamningur byggist á ákvæðum laga nr. 90/2018 ásamt viðeigandi ákvæðum reglugerðar (ESB) 2016/679. Heimild fyrir samningi sem þessum er að finna í 25. gr. laganna, sbr. 28. gr. reglugerðar (ESB) 2016/679. Fyrir liggur einnig að gera mátti samninginn samkvæmt vinnslusamningi sóttvarnalæknis og Landspítala.

Í samningnum við Íslenska erfðagreiningu er lýst tilgangi og framkvæmd þeirrar vinnslu sem útvistað er, auk þess sem farið er yfir meðal annars þau atriði sem tilgreind eru í 28. gr. reglugerðarinnar. Telur Persónuvernd því ekki tilefni til athugasemda við samninginn.

5.

Gagnsæi og fræðsla til hinna skráðu

Sem fyrr segir verður öll vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar. Þessi krafa felur í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu verða unnar og í hvaða tilgangi. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu þurfa ábyrgðaraðilar að gera sérstakar ráðstafanir sem lúta að fræðslu til hins skráða.

Um slíka fræðslu er meðal annars fjallað í 13. gr. reglugerðar (ESB) 2016/679, sbr. III. kafla laga nr. 90/2018. Samkvæmt ákvæðinu hvílir sú skylda á ábyrgðaraðila, sem aflar persónuupplýsinga hjá hinum skráða sjálfum, að upplýsa hann um tiltekin atriði varðandi vinnsluna. Kemur fram í 1. mgr. ákvæðisins að hann skal meðal annars upplýstur um heiti og samskiptaupplýsingar ábyrgðaraðila; samskiptaupplýsingar persónuverndarfulltrúa, ef við á; tilganginn með fyrirhugaðri vinnslu persónuupplýsinga og hver lagagrundvöllur hennar er; svo og viðtakendur eða flokka viðtakenda, ef einhverjir eru.

Auk þeirra upplýsinga sem fyrr eru taldar skal ábyrgðaraðili, samkvæmt 2. mgr. 13. gr. reglugerðarinnar, veita hinum skráða frekari upplýsingar sem nauðsynlegar eru til að tryggja sanngjarna og gagnsæja vinnslu, þ. á m. um hversu lengi persónuupplýsingar verða geymdar eða, ef það er ekki mögulegt, þær viðmiðanir sem notaðar eru til að ákveða það; um að fyrir hendi sé réttur til að fara fram á það við ábyrgðaraðila að fá aðgang að persónuupplýsingum, láta leiðrétta þær, eyða þeim eða takmarka vinnslu þeirra hvað hinn skráða varðar eða til að andmæla vinnslu, auk réttarins til að flytja eigin gögn; um að fyrir hendi sé réttur til að draga samþykki sitt til baka hvenær sem er án þess þó að það hafi áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturkölluninni; og um réttinn til að leggja fram kvörtun hjá eftirlitsstofnun á sviði persónuverndar.

Samkvæmt 4. mgr. 13. gr. reglugerðarinnar gilda önnur ákvæði greinarinnar ekki ef og að því marki sem hinn skráði hefur þegar fengið vitneskju um þau atriði sem þar eru talin upp.

Í 14. gr. reglugerðarinnar er kveðið á um fræðsluskyldu ábyrgðaraðila þegar persónuupplýsingar hafa ekki fengist hjá skráðum einstaklingi. Meðal þess sem ábyrgðaraðili skal greina frá er hver ábyrgðaraðilinn er, samskiptaupplýsingar hans og persónuverndarfulltrúa og tilgangur og lagagrundvöllur vinnslu, sbr. 1. mgr. ákvæðisins sem að mestu leyti er samhljóða 1. mgr. 13. gr. reglugerðarinnar. Að auki er í 2. mgr. ákvæðisins mælt fyrir um skyldu til veitingar frekari upplýsinga sem nauðsynlegar eru til að tryggja sanngjarna og gagnsæja vinnslu. Hefur ákvæðið að geyma upptalningu sem að mestu leyti er samhljóða þeirri í 2. mgr. 13. gr. reglugerðarinnar. Kemur fram að á meðal þess sem upplýsa skal hinn skráða um er hvaðan persónuupplýsingar hans eru fengnar, sbr. f-lið upptalningarinnar.

Samkvæmt 5. mgr. 14. gr. reglugerðarinnar gilda önnur ákvæði greinarinnar ekki m.a. að því marki sem hinn skráði hefur þegar fengið upplýsingarnar, ekki er unnt að veita slíkar upplýsingar eða það kostar óhóflega fyrirhöfn, einkum þegar um er að ræða vinnslu m.a. í þágu vísindarannsókna eða skýrt er mælt fyrir um öflun eða miðlun upplýsinganna í lögum.

Í 23. gr. reglugerðarinnar er enn fremur kveðið á um að heimilt sé að takmarka fræðsluskyldu ábyrgðaraðila samkvæmt 13. og 14. gr. reglugerðarinnar með löggjafarráðstöfun sem fullnægja verður tilteknum kröfum eftir því sem við á, m.a. um ráðstafanir til verndar upplýsingum. Á þetta meðal annars við ef um ræðir mikilvæg markmið sem þjóna almannahagsmunum aðildarríkis og eru talin upp dæmi um þá hagsmuni sem falla þar undir, en þar á meðal eru almannaöryggi og lýðheilsa.

Í ljósi framangreinds er í 4. mgr. 17. gr. laga nr. 90/2018 mælt fyrir um heimild til takmörkunar á rétti samkvæmt 13. og 14. gr. reglugerðarinnar í þágu markmiða samkvæmt 23. gr. reglugerðarinnar og eru bæði almannaöryggi og lýðheilsa þar tilgreind, sbr. 3. og 5. tölul. 4. mgr. ákvæðisins. Samkvæmt athugasemdum við ákvæðið í greinargerð með frumvarpi til laganna er því ætlað að vera sjálfstæð heimild til takmörkunar á réttindum hins skráða. Í því sambandi er til þess að líta að í meðförum þingsins var því bætt við ákvæðið að takmörkun skyldi vera samkvæmt lögum án þess þó að útskýrt væri sérstaklega hvað í því fælist. Eins og rakið er í 3. kafla hér að framan fer um starfsemi sóttvarnalæknis samkvæmt sérstökum lögum, nr. 19/1997, sem afmarka hlutverk hans og þar sem fjallað er um ráðstafanir til verndar persónuupplýsingum. Verður að leggja til grundvallar að í sameiningu geti annars vegar áðurnefndir töluliðir 4. mgr. 17. gr. laga nr. 90/2018 og hins vegar lög nr. 19/1997 falið í sér fullnægjandi lagagrundvöll til skerðingar á réttindum hins skráða eftir því sem nauðsynlegt er.

Að auki vísast til þess að hinn 19. mars 2020 gaf Evrópska persónuverndarráðið út yfirlýsingu um vinnslu persónuupplýsinga vegna COVID-19-faraldursins. Í yfirlýsingunni er tekið fram að reglur um vernd persónuupplýsinga, þ. á m. reglugerð (ESB) 2016/679, hindri ekki aðgerðir til að verjast faraldrinum, en jafnframt segir að vernd persónuupplýsinga skuli tryggð. Þá gáfu yfirmaður persónuverndarmála hjá Evrópuráðinu og formaður nefndar um Evrópuráðssamning um vernd persónuupplýsinga, nr. 108/1981, út sameiginlega yfirlýsingu hinn 30. mars 2020 þar sem segir að reglur um vernd persónuupplýsinga eigi ekki á nokkurn hátt að koma í veg fyrir að mannslífum sé bjargað, svo og að slíkar reglur veiti kost á að þeir hagsmunir sem í húfi eru séu vegnir og metnir. Þá er lögð áhersla á að persónuupplýsingum sé veitt viðeigandi vernd. Sambærileg áhersla er fólgin í þeim fyrirvara í 23. gr. reglugerðar (ESB) 2016/679 og 4. mgr. 17. gr. laga nr. 90/2018 að takmarkanir skuli virða eðli grundvallarréttinda og mannfrelsis og teljast til nauðsynlegrar og hóflegrar ráðstöfunar í lýðræðisþjóðfélagi.

Persónuvernd telur ljóst að þær aðstæður, sem urðu tilefni þeirrar vinnslu sem hér er til umfjöllunar, hafi verið mjög aðkallandi og kallað á að með skömmum fyrirvara yrði gripið til viðamikilla aðgerða til að sporna við almannahættu. Sambærilegt mat birtist í fyrrgreindum yfirlýsingum frá Evrópska persónuverndarráðinu og Evrópuráðinu. Áréttað skal að sem fyrr segir ber eftir sem áður að gæta að vernd persónuupplýsinga í viðbrögðum við þeirri hættu sem að steðjar. Hins vegar telur Persónuvernd jafnframt ljóst að takmarkanir á réttindum samkvæmt 13. og 14. gr. reglugerðar (ESB) 2016/679 geti hér talist eiga rétt á sér samkvæmt þeim viðmiðum sem tilgreind eru í 23. gr. reglugerðarinnar og 3. mgr. 17. gr. laga nr. 90/2018.

i. Skimun fyrir SARS-CoV-2-veirunni

Samkvæmt svörum embættis landlæknis voru heilbrigðisupplýsingar, sem unnar voru í tengslum við skimun fyrir SARS-CoV-2 veirunni í upphafi faraldursins, færðar í sjúkraskrá á grundvelli laga nr. 55/2009 um sjúkraskrár. Fyrir liggur að á grundvelli sóttvarnalaga nr. 19/1997 voru vissar upplýsingar einnig skráðar í smitsjúkdómaskrá. Voru þetta lýðfræðilegar upplýsingar og upplýsingar um niðurstöðu úr sýnatöku.

Af skýringum embættisins má ráða að þeir einstaklingar sem voru skimaðir hafi ekki fengið einstaklingsbundna fræðslu enda hafi þeim mátt vera ljóst hvaða vinnsla persónuupplýsinga færi fram í tengslum við skimunina og í hvaða tilgangi. Vísað er til þess að mikil fjölmiðlaumfjöllun hafi verið um sýnatökurnar og að einstaklingar, sem mættu, hafi áður þurft að skrá sig hjá Íslenskri erfðagreiningu. Eingöngu hafi verið safnað nauðsynlegum upplýsingum, þ.e. lýðfræðilegum upplýsingum um viðkomandi og niðurstöðu úr sýnatöku. Sýni hafi ekki verið nýtt í annað og þeim eytt að lokinni greiningu. Þá hafi almenna fræðslu verið að finna í persónuverndarstefnu embættisins, sem og einstakra heilsugæslustöðva.

Hvað varðar þær heilbrigðisupplýsingar sem unnar voru í tengslum við skimunina er það mat Persónuverndar að þeirra hafi verið aflað vegna stjórnsýsluhlutverks sóttvarnalæknis, sbr. m.a. 2. tölul. 5. gr. laga nr. 19/1997, svo og vegna veitingar heilbrigðisþjónustu eins og hún er skilgreind í 2. tölul. 3. gr. laga nr. 55/2009. Í 4. og 6. gr. þeirra laga eru skýr fyrirmæli um skyldu heilbrigðisstarfsmanna til að skrá upplýsingar í sjúkraskrá við veitingu heilbrigðisþjónustu eftir því sem nauðsynlegt þykir vegna meðferðar sjúklings en að lágmarki m.a. nafn sjúklings, heimilisfang, kennitölu, starfsheiti, hjúskaparstöðu og nánasta aðstandanda, þau atriði heilsufars- og sjúkrasögu sem máli skipta fyrir meðferðina, skoðun, meðferðar- og aðgerðarlýsingu, niðurstöður rannsókna og greiningu. Í lögunum eru einnig ákvæði um ábyrgðaraðila sjúkraskráa, varðveislu, tímalengd vörslu og öryggi persónuupplýsinga í sjúkraskrám. Samkvæmt 3. mgr. 1. gr. laganna gilda ákvæði laga um persónuvernd og vinnslu persónuupplýsinga um vinnslu upplýsinga í sjúkraskrám að svo miklu leyti sem ekki er mælt fyrir um á annan veg í lögunum. Almennt hefur verið litið svo á að einstaklingum, sem leita sér heilbrigðisþjónustu, megi vera kunnugt um þá vinnslu persónuupplýsinga sem felst í færslu sjúkraskrárupplýsinga og verður að telja að það hafi einnig átt við hér.

Samkvæmt skýringum Embættis landlæknis var öllum sýnum sem tekin voru vegna umræddrar skimunar eytt og upplýsingar sendar sóttvarnalækni til færslu í smitsjúkdómaskrá, auk þess sem skráðar voru upplýsingar í sjúkraskrá viðkomandi einstaklinga. Einnig er ljóst samkvæmt gögnum málsins að þessum upplýsingum er ekki ætlað að vera á skrá hjá Íslenskri erfðagreiningu, en í 7. gr. vinnslusamnings Landspítala við Íslenska erfðagreiningu er mælt fyrir um eyðingu allra persónuupplýsinga hjá fyrirtækinu sem unnið er með á grundvelli samningsins. Að þessu og öðru framangreindu virtu, auk þess sem fyrr greinir um 4. mgr. 17. gr. laga nr. 90/2018 og tengd atriði, telur Persónuvernd að ekki hafi þurft að veita einstaklingsbundna fræðslu um þau atriði sem tilgreind eru í 13. gr. reglugerðar (ESB) 2016/679.

ii. Mótefnamælingar

Í því tilviki sem hér um ræðir var blóðsýni tekið í þeim tilgangi að kanna hvort einstaklingar hefðu áður sýkst af SARS-CoV-2 veirunni og hefðu þannig myndað mótefni við henni. Haldið var utan um niðurstöður hvers og eins og var niðurstaða rannsóknarinnar skráð í sjúkraskrá viðkomandi. Niðurstaða rannsóknarinnar gat því einnig nýst að einhverju leyti við meðferð þeirra sem gáfu sýni.

Tilgangur sýnatökunnar var að framkvæma svokallaða „sero-prevalance“-rannsókn, til þess að kanna útbreiðslu SARS-CoV-2 veirunnar í samfélaginu. Tekið er fram í skýringum embættis landlæknis að rannsóknin hafi verið framkvæmd í því skyni að uppfylla lagaskyldu sem hvílir á sóttvarnalækni samkvæmt 5. gr. laga nr. 19/1997. Samkvæmt þeirri lagagrein er það m.a. á verksviði sóttvarnalæknis að skipuleggja og samræma sóttvarnir og ónæmisaðgerðir um land allt og að koma upplýsingum um útbreiðslu smitsjúkdóma, innan lands sem utan, með reglubundnum hætti og eftir þörfum til lækna og annarra heilbrigðisstarfsmanna.

Í skýringum embættis landlæknis segir enn fremur að þeir sem hafi gefið aukablóðsýni til mótefnamælinga við komu til veitenda heilbrigðisþjónustu hafi almennt verið upplýstir um tilganginn með töku sýnisins. Óskað hafi verið eftir samþykki þeirra en almennt sé ekki farið fram á skriflegt samþykki fyrir vinnslu persónuupplýsinga innan heilbrigðisþjónustunnar. Þá segir að ekki hafi verið veitt sérstök fræðsla um vinnslu persónuupplýsinga í tengslum við mótefnamælingu. Á hinn bóginn hafi umræddum einstaklingum mátt vera ljóst hvaða vinnsla persónuupplýsinga færi fram í tengslum við skimunina og í hvaða tilgangi. Þá var að finna almenna fræðslu í persónuverndarstefnu embættisins, sem og einstakra veitenda heilbrigðisþjónustu.

Að mati Persónuverndar liggur fyrir að umrædd blóðsýni voru fyrst og fremst tekin í tölfræðilegum tilgangi og verður ráðið af svörum embættis landlæknis að niðurstöður hafi átt að nýtast við töku ákvarðana um viðbrögð við yfirstandandi faraldri. Telst vinnslan í ljósi þessara svara hafa þjónað því hlutverki sóttvarnalæknis að skipuleggja og samræma sóttvarnir og ónæmisaðgerðir, sbr. 1. tölul. 5. gr. sóttvarnalaga nr. 19/1997, og þar með verið í þágu heilbrigðisþjónustu eins og hún er skilgreind í 2. tölul. 3. gr. laga nr. 41/2007 um landlækni og lýðheilsu. Að auki voru niðurstöður rannsókna á sýnum færðar í sjúkraskrá hlutaðeigandi og var blóðsýnatakan að því leyti í beinum tengslum við heilbrigðisþjónustu við viðkomandi einstaklinga. Þá er ljóst að persónuupplýsingum átti ekki að vera safnað til varðveislu hjá Íslenskri erfðagreiningu, sbr. 7. gr. vinnslusamnings Landspítala við fyrirtækið.

Í ljósi tilgangs vinnslunnar og annars framangreinds verða sömu sjónarmið talin gilda um fræðslu til hinna skráðu um vinnsluna og rakin eru í kafla i. hér að framan, sbr. og umfjöllun þar áður um 4. mgr. 17. gr. laga nr. 90/2018 og tengd atriði. Með vísan til þeirrar umfjöllunar er það niðurstaða Persónuverndar að á sóttvarnalækni hafi ekki hvílt skylda til að veita einstaklingsbundna fræðslu um þau atriði sem tilgreind eru í 13. gr. reglugerðarinnar.

iii. Skimun á landamærum

Af gögnum málsins má ráða að einstaklingum sem skimaðir voru á landamærum fyrir SARS-CoV-2 veirunni og mótefnum við henni hafi verið veitt nokkur einstaklingsbundin fræðsla. Nánar tiltekið þurftu farþegar á leið til landsins að fylla út tiltekið skráningarform fyrir komu sem innihélt fræðslu um tilgang sýnatöku og varðveislutíma sýna, auk hlekks á nánari upplýsingar um vinnslu persónuupplýsinga og persónuverndarstefnu. Er það niðurstaða Persónuverndar að sú fræðsla hafi verið fullnægjandi samkvæmt 13. gr. reglugerðar (ESB) 2016/679, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðarinnar.

iv. Skimun hjá Íslenskri erfðagreiningu til að kanna útbreiðslu COVID-19

Fyrir liggur að við umrædda skimun var þremur hópum sent boð um að mæta í skimun hjá Íslenskri erfðagreiningu og að einstaklingar úr einum þeirra fengu fræðslu um á hvaða grundvelli, þ.e. að þeir tilheyrðu slembiúrtaki. Í hinum hópunum tveimur voru annars vegar einstaklingar í sóttkví og hins vegar einstaklingar tengdir smituðum einstaklingum, t.d. út frá vinnustöðum, og voru þeir ekki upplýstir um forsendur boðunar.

Hér reynir á hvort veita hafi þurft fræðslu samkvæmt 14. gr. reglugerðar (ESB) 2016/679 þar sem fjallað er um upplýsingaskyldu gagnvart hinum skráða þegar persónuupplýsinga er aflað hjá öðrum en honum sjálfum. Jafnframt reynir á skyldu til að veita fræðslu samkvæmt 13. gr. reglugerðarinnar í tengslum við töku sýna. Í því sambandi skal tekið fram að samkvæmt skýringum embættis landlæknis var hér um að ræða vinnslu í sama skyni og sú vinnsla sem fjallað er um í kafla ii. hér að framan. Þá hefur komið fram að sýnum var eytt, auk þess sem ljóst er af vinnslusamningi Landspítala og Íslenskrar erfðagreiningar, eins og fyrr greinir, að hjá fyrirtækinu eiga ekki að safnast upp persónuupplýsingar til skráningar. Með vísan til þessa, svo og umfjöllunar í köflum i. og ii. og framan við kafla i., verður ekki talið að stofnast hafi skylda til að veita einstaklingsbundna fræðslu um þau atriði sem tilgreind eru í 13. og 14. gr. reglugerðarinnar.

Hins vegar skal tekið fram að Persónuvernd hafa borist athugasemdir frá einstaklingum sem fengu boð í umrædda skimun um að óljóst hafi verið hvort hér ræddi um vinnslu sem eingöngu þjónaði ráðstöfunum vegna sóttvarna eða hvort hún hafi einnig átt að nýtast vegna vísindarannsókna á vegum Íslenskrar erfðagreiningar. Slíkar rannsóknir, þ. á m. á erfðamengi mannsins, eru kjarnastarfsemi þess fyrirtækis. Telur Persónuvernd að sérstakt tilefni hafi gefist til þess að taka skýrt af skarið í fræðslu til almennings um að umrædd skimun væri ekki þáttur í þeirri starfsemi. Þá telur Persónuvernd að þessa hafi ekki verið nægilega gætt og að því hafi ekki að fullu verið farið að hinni almennu gagnsæiskröfu 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018.

6.

Samandregin niðurstað a

Líkt og að framan greinir gera lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679 mun ítarlegri kröfur til efnis vinnslusamninga en eldri löggjöf og er það niðurstaða Persónuverndar að vinnslusamningur sóttvarnalæknis og Landspítala samrýmist ekki að öllu leyti ákvæðum 3. mgr. 28. gr. reglugerðarinnar og 3. mgr. 25. gr. laganna.

Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir sóttvarnalækni að gera fullnægjandi vinnslusamning við Landspítala, í samræmi við 25. gr. laganna og 28. gr. reglugerðar (ESB) 2016/679. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 10. janúar 2022.

Einnig er það niðurstaða Persónuverndar að fræðsla, í tengslum við skimun á landamærum fyrir SARS-CoV-2 veirunni og mótefnum við henni, hafi fullnægt skilyrðum 13. gr. reglugerðarinnar, auk þess sem ekki hafi verið þörf á einstaklingsbundinni fræðslu á grundvelli þeirrar greinar í tengslum við áðurnefnda skimun í upphafi faraldursins og skimun fyrir mótefnum við SARS-CoV-2-veirunni, sbr. 4. mgr. greinarinnar. Þá hafi ekki verið þörf á fræðslu samkvæmt 14. gr. reglugerðarinnar vegna mótefnaskimunar sem fram fór hjá Íslenskri erfðagreiningu til að kanna útbreiðslu COVID-19.

Persónuvernd telur hins vegar ekki hafa verið nægilega upplýst um það í almennri fræðslu sóttvarnalæknis til almennings að framangreind mótefnaskimun hjá Íslenskri erfðagreiningu færi eingöngu fram vegna sóttvarna en ekki vegna vísindarannsókna fyrirtækisins. Ekki hafi því verið nægilega gætt að hinni almennu gagnsæiskröfu 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018.

Persónuvernd bendir á að um vinnslu persónuupplýsinga gilda lög nr. 90/2018 og reglugerð (ESB) 2016/679 og að fara ber eftir þeirri löggjöf þrátt fyrir að heimsfaraldur geisi eins og fram kemur í yfirlýsingu Evrópska persónuverndarráðsins (EDPB), um vinnslu persónuupplýsinga í tengslum við útbreiðslu COVID-19, sem var gefin út 19. mars 2020

Persónuvernd tekur þó einnig fram að stofnunin gerir sér grein fyrir þeirri ógn sem stafað hefur af COVID-19-sjúkdóminum í íslensku samfélagi frá upphafi faraldursins og því álagi sem íslensk heilbrigðisyfirvöld hafa verið undir. Með hliðsjón af þessum sérstöku aðstæðum hefur ekki reynt á að mál þetta verði sett í sektarfarveg, sbr. 1. mgr. 47. gr. laga nr. 90/2018.

Á k v ö r ð u n a r o r ð:

Vinnslusamningur sóttvarnalæknis við Landspítala samrýmist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

Fræðsla sóttvarnalæknis í tengslum við skimun á landamærum fyrir SARS-CoV-2-veirunni og mótefnum við henni samrýmdist 13. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. 17. gr. laga nr. 90/2018, sbr. og 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðarinnar.

Sóttvarnalækni bar ekki að veita einstaklingsbundna fræðslu á grundvelli 13. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. 17. gr. laga nr. 90/2018, í tengslum við skimun fyrir SARS-CoV-2-veirunni á Íslandi í upphafi faraldursins og skimun fyrir mótefnum við veirunni. Jafnframt bar sóttvarnalækni ekki að veita fræðslu samkvæmt 14. gr. reglugerðarinnar vegna boða í mótefnaskimun hjá Íslenskri erfðagreiningu til að kanna útbreiðslu COVID-19.

Ekki var nægilega upplýst um það í almennri fræðslu sóttvarnalæknis til almennings, sbr. gagnsæiskröfu 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, að framangreind mótefnaskimun hjá Íslenskri erfðagreiningu væri eingöngu þáttur í sóttvörnum en ekki vísindarannsóknum fyrirtækisins.

Með vísan til 4. tölul. 42. gr. laga nr. 90/2018 er lagt fyrir sóttvarnalækni að gera fullnægjandi vinnslusamning við Landspítala í samræmi við ákvæði IV. kafla laga nr. 90/2018, sbr. IV. kafla reglugerðarinnar. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum, sem og afrit af nýjum vinnslusamningi, berast Persónuvernd eigi síðar en 10. janúar 2022.

Persónuvernd, 23. nóvember 2021

Ólafur Garðarsson

formaður

Björn Geirsson Sindri M. Stephensen

Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson

Persónuvernd

Hafa samband

postur@personuvernd.is

Sími: 510 9600

Afgreiðslu­tími

Virka daga frá 9 til 12 og 13 til 15

Símatími lögfræðinga er alla fimmtudaga frá 9 til 12

Stað­setning

Laugarvegur 166, 4. hæð

105 Reykjavík, Ísland

Kennitala: 560800-2820