Ákvörðun

vegna úttektar á vinnslu persónuupplýsinga af hálfu SidekickHealth ehf. í máli nr. 2022020356:

I.

Málsmeðferð og afmörkun máls

1. Með bréfi, dags. 11. febrúar 2022, tilkynnti Persónuvernd SidekickHealth ehf. (hér eftir SidekickHealth) að stofnunin hefði ákveðið að gera úttekt á vinnslu persónuupplýsinga hjá félaginu, með það að markmiði að athuga hvort farið væri að lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679. Samdægurs sendi Persónuvernd félaginu rafrænt úttektarskjal sem stofnunin fór fram á að yrði fyllt út og sent henni. Í bréfinu kom fram að SidekickHealth yrði tilkynnt hvort úttektinni væri lokið eftir yfirferð gagna eða henni fram haldið, eftir atvikum með frekari afmörkun.

2. Persónuvernd bárust svör SidekickHealth við úttektarskjali og önnur gögn 6. maí s.á. Með bréfi, dags. 6. janúar 2023, tilkynnti Persónuvernd félaginu að stofnunin hefði lokið yfirferð gagna og hefði ákveðið að halda úttektinni áfram. Upplýst var að kannað yrði frekar samband félagsins við vinnsluaðilann Google í tengslum við notkun Google Cloud Platform Services en að önnur atriði sem upphaflega var óskað upplýsinga um yrðu ekki skoðuð nánar að sinni. Var úttektin jafnframt afmörkuð við vinnslu upplýsinga um heilsufar notenda smáforritsins Sidekick. Óskaði Persónuvernd tiltekinna upplýsinga varðandi samband SidekickHealth við Google, þ.m.t. varðandi flutning persónuupplýsinga til þriðju landa. Félagið svaraði með tölvupósti 20. febrúar og 3. mars s.á.

3. Með bréfi 28. september s.á. sendi Persónuvernd SidekickHealth skýrslu um úttektina þar sem gerð var grein fyrir niðurstöðum yfirferðar stofnunarinnar á gögnum málsins. Félaginu var veitt færi á að koma á framfæri athugasemdum við efni skýrslunnar. Athugasemdir SidekickHealth, ásamt fylgigögnum, bárust 20. október s.á.

4. SidekickHealth ehf. starfar í löndum utan Íslands en innan Evrópska efnahagssvæðisins (hér eftir EES), eins og nánar er rakið í efnisgrein 7. Af þeirri ástæðu gerði Persónuvernd persónuverndarstofnunum innan EES viðvart um málið með tilkynningu í gegnum sameiginlegt upplýsingakerfi innri markaðar svæðisins (e. Internal Market Information System, IMI). Í tilkynningunni kom fram að Persónuvernd teldi sig vera forystueftirlitsyfirvald í málinu. Þrettán persónuverndarstofnanir tilgreindu sig hlutaðeigandi eftirlitsyfirvöld í málinu. Persónuvernd sendi í kjölfarið drög að ákvörðun þessari til hlutaðeigandi eftirlitsyfirvalda gegnum fyrrnefnt upplýsingakerfi í samræmi við 3. mgr. 60. gr. reglugerðar (ESB) 2016/679. Persónuverndarstofnanir Finnlands, Ítalíu og Noregs komu sjónarmiðum sínum á framfæri í málinu. Persónuvernd bárust hins vegar engin viðeigandi og rökstudd andmæli, sbr. 4. mgr. 60. gr. reglugerðarinnar.

5. Með bréfi, dags. 5. júlí 2024, upplýsti Persónuvernd SidekickHealth um að borist hefðu framangreindar athugasemdir hlutaðeigandi eftirlitsstjórnvalda sem þýðingu gætu haft fyrir úrlausn málsins, félaginu í óhag. Bauð Persónuvernd félaginu að tjá sig aftur af þessu tilefni. Svarað var efnislega með bréfi, dags. 4. september s.á. Með bréfi, dags. 7. október s.á., kallaði Persónuvernd eftir frekari upplýsingum frá SidekickHealth og svaraði félagið 28. s.m.

6. Við úrlausn málsins hefur verið tekið tillit til allra málsgagna þó ekki sé hér sérstök grein gerð fyrir þeim.

II.

Málavextir og helstu gögn

1.

Málavextir

7. Samkvæmt gögnum málsins felst meginstarfsemi SidekickHealth í rekstri smáforritsins Sidekick. Notendum þess er gert kleift að skrá þar upplýsingar um eigið heilsufar og fá í kjölfarið endurgjöf og viðeigandi þjónustu út frá mati þeirra á eigin líðan og aðstæðum. Í svari SidekickHealth við úttektarskjali Persónuverndar segir að heildarfjöldi notenda smáforritsins sé [...] á heimsvísu, þar af komi félagið fram sem ábyrgðaraðili gagnvart [...] notendum. Í svarinu segir jafnframt að SidekickHealth starfi í löndum utan Íslands en innan EES. Persónuupplýsingarnar séu ekki vistaðar á netþjónum félagsins heldur sé hýsingu útvistað. Þegar úttekt þessi hófst hafði SidekickHealth nánar tiltekið falið Google Ireland Ltd. (hér eftir Google) að hýsa gögn í skýjalausninni Google Cloud Platform Services í gagnaveri í Belgíu.

8. Af skýringum SidekickHealth er ljóst að beinu samningssambandi félagsins við Google er lokið. Þess í stað hefur SidekickHealth nú samið við [X] um að annast hýsinguna og hefur verið gerður vinnslusamningur þar að lútandi milli félaganna. [X] hefur ráðið Google sem undirvinnsluaðila og falið fyrirtækinu að hýsa persónuupplýsingarnar í Google Cloud Platform Services. Með hliðsjón af því hvernig andlag úttektarinnar hefur verið afmarkað kemur vinnslusamningur SidekickHealth og [X] ekki til skoðunar í ákvörðun þessari.

2.

Vinnslusamningur við Google

9. Svör SidekickHealth verða skilin svo að félagið hafi samþykkt skilmála Google vegna skýjaþjónustu (e. Data Processing Security Terms, síðar e. Cloud Data Processing Addendum (Customers)) og með því hafi komist á vinnslusamningur milli aðila. Ekki liggur fyrir í gögnum málsins hvenær skilmálarnir voru fyrst samþykktir af hálfu SidekickHealth en leyst verður úr málinu á grundvelli þess vinnslusamnings sem SidekickHealth lagði fram undir rannsókn þess. Fyrirliggjandi afrit samningsins er tímastimplað 28. apríl 2022. Þau ákvæði vinnslusamningsins, sem þýðingu hafa fyrir úrlausn málsins, verða nú rakin í þeirri röð sem þau voru tekin fyrir í úttektarskýrslu Persónuverndar.

10. Almenna og sérstaka heimild Google til að ráða undirvinnsluaðila er að finna í 11. gr. vinnslusamningsins. Í ákvæði 11.4 a. segir að Google tilkynni viðskiptavini, þ.e. SidekickHealth, um nýja undirvinnsluaðila með minnst 30 daga fyrirvara áður en hann hefur vinnslu á gögnum viðskiptavinarins. Í ákvæði 11.4 b. segir að Google tilkynni viðskiptavini um nýjan undirvinnsluaðila hafi viðskiptavinurinn 90 daga til að andmæla breytingunni með því að segja upp samningnum þegar í stað. Ákvæðin eru svohljóðandi:

11. Fjallað er um vinnslu persónuupplýsinga í 5. gr. vinnslusamningsins. Í ákvæði 5.1.1 a. segir að viðfangsefni og smáatriðum vinnslunnar sé lýst í viðauka 1. Í viðaukanum segir að viðfangsefni vinnslunnar sé sú þjónusta sem Google veitir og tæknileg aðstoð í tengslum við hana. Í þessu sambandi skal tekið fram að samningurinn virðist aðeins geyma hlekk á upplýsingasíðu um allt framboð Google á sviði skýjaþjónustu en enga tilgreiningu á því hvaða þjónustuleið SidekickHealth nýtti á grundvelli samningsins. Í samningnum kemur einnig fram að eðli og tilgangur vinnslunnar sé að veita þjónustuna og tæknilega aðstoð í samræmi við vinnslusamninginn. Loks segir í viðaukanum að flokkar upplýsinga séu upplýsingar um einstaklinga sem eru veittar Google í gegnum þjónustuna, af viðskiptavini eða notendum þjónustunnar, og hinir skráðu séu einstaklingar sem persónuupplýsingarnar varða.

12. Í ákvæði 5.2.1 segir að viðskiptavinurinn, þ.e. SidekickHealth, gefi Google fyrirmæli um að vinna persónuupplýsingar eingöngu í samræmi við viðeigandi löggjöf og í ákvæði 5.2.2 að Google muni fylgja fyrirmælum viðskiptavinarins nema þau stríði gegn evrópskri löggjöf. Ákvæðin hljóða svo:

13. Fjallað er um landfræðilega staðsetningu vinnslunnar í ákvæði 10.1 í vinnslusamningsins. Þar segir að vinnsla persónuupplýsinga geti farið fram í þeim löndum þar sem Google eða undirvinnsluaðilar fyrirtækisins hafa aðstöðu. Ákvæðið er svohljóðandi:

III.

Skýringar og sjónarmið SidekickHealth

14. Sem fyrr greinir tók Persónuvernd saman í úttektarskýrslu þær ályktanir sem stofnunin taldi mega draga af gögnum málsins, svo og hugsanleg brot SidekickHealth gegn tilteknum ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679. Var SidekickHealth boðið að gera athugasemdir við niðurstöðurnar. Gerði félagið það með bréfi til Persónuverndar, dags. 20. október 2023. Verður í megindráttum látið nægja að rekja hér þau andmæli félagsins með hliðsjón af efni úttektarskýrslunnar. Efni annarra erinda og framlagðra gagna sem stafa frá SidekickHealth verður rakið eftir því sem við á.

1.

Andmæli vegna vals á undirvinnsluaðila

15. Í úttektarskýrslu Persónuverndar segir að líta megi svo á að SidekickHealth hafi ekki haft raunverulegan möguleika á að andmæla breytingum Google á undirvinnsluaðilum enda hefðu andmælin leitt til uppsagnar samningsins og þar með rofs á þeirri þjónustu sem samningurinn laut að, sbr. ákvæði 11.4 b. í vinnslusamningi félaganna. Að mati stofnunarinnar kom samkvæmt því til álita að samningurinn hefði að þessu leyti ekki verið í samræmi við 2. mgr. 25. gr. laga nr. 90/2018 og 2. mgr. og d-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679.

16. Þessari ályktun andmælir SidekickHealth. Byggir félagið á því að ekkert í ákvæðunum gefi til kynna að andmæli megi ekki leiða til uppsagnar eða loka vinnslusamnings. Ekki sé þar mælt fyrir um í hvaða formi andmæli skuli vera eða hvaða afleiðingar þau ættu að hafa.

17. Þá sé í leiðbeiningum Evrópska persónuverndarráðsins nr. 7/2020 um ábyrgðaraðila og vinnsluaðila, sem ályktun Persónuverndar byggðist meðal annars á, ekki vikið að því að andmæli megi ekki leiða til samningsloka, heldur aðeins að ábyrgðaraðili skuli hafa raunhæfan og sanngjarnan tímaramma til að koma á framfæri andmælum við vinnsluaðila. Enn fremur komi fram í leiðbeiningunum að vinnslusamningur skuli mæla fyrir um hagnýt skref í kjölfar andmæla við breytingum á undirvinnsluaðilum, t.d. með því að tilgreina innan hvaða tímaramma aðilar geti bundið enda á samningssambandið. Leiðbeiningarnar geri því beinlínis ráð fyrir að vinnslusamningur geti liðið undir lok í kjölfar andmæla. Telur félagið að ályktun Persónuverndar gangi í berhögg við leiðbeiningarnar að þessu leyti.

18. Félagið vísar jafnframt til þess að samkvæmt áliti 29. gr. vinnuhópsins nr. 5/2012 um skýjaþjónustu, ættu ábyrgðaraðilar að geta andmælt breytingum á undirvinnsluaðilum eða rift samningi. Sá þáttur álitsins hafi verið staðfestur í leiðbeiningum Evrópsku persónuverndarstofnunarinnar um notkun skýjaþjónustu frá 16. mars 2016 (e. Guidelines on the use of cloud computing services by the European institutions and bodies).

19. SidekickHealth telur að sá tímarammi sem félagið hafði samkvæmt vinnslusamningi sínum við Google til að andmæla nýjum undirvinnsluaðilum geti á engan hátt talist óraunhæfur eða ósanngjarn. Andmæli hefðu ekki leitt til fyrirvaralauss rofs á þjónustu Google, heldur hefði SidekickHealth haft raunhæft og sanngjarnt svigrúm til að ákveða hvort og hvenær samningi við Google yrði sagt upp, og eftir atvikum til að semja við nýjan þjónustuaðila. Bendir félagið á að það hafi greint þær aðgerðir sem grípa þyrfti til ef breyta ætti um þjónustuaðila og áætlað að nauðsynlegar breytingar tækju einn til tvo daga.

20. SidekickHealth andmælir því jafnframt að skýrsla Evrópska persónuverndarráðsins, frá 17. janúar 2023, vegna samræmdra eftirlitsaðgerða með notkun opinberra aðila á skýjaþjónustu (e. Use of cloud-based services by the public sector), sem Persónuvernd studdi ályktun sína með, geti haft þýðingu í málinu. Er í því sambandi meðal annars bent á að eðli opinberra aðila og þeirra upplýsinga sem þeir kunna að vinna með sé í ýmsu tilliti frábrugðið eðli vinnslu einkaaðila á persónuupplýsingum, t.d. hvað varðar útboðsskyldu og sveigjanleika til samningagerðar. Því kunni að reyna á önnur sjónarmið varðandi vinnslu persónuupplýsinga af hálfu opinberra aðila en við vinnslu persónuupplýsinga af hálfu félagsins. Þá sé í skýrslunni fjallað um áhættuna sem geti falist í því að eina afleiðing þess að opinberir aðilar mótmæli nýjum undirvinnsluaðilum sé að samningi sé rift. Í því felist hins vegar ekki brot gegn ákvæðum persónuverndarlöggjafarinnar heldur aðeins að áhættan skuli metin með hliðsjón af hinu sérstaka eðli opinberra aðila.

2.

Viðfangsefni vinnslunnar, eðli og tilgangur hennar, tegund persónuupplýsinga og flokkar skráðra einstaklinga

21. Í úttektarskýrslu Persónuverndar segir að líta megi svo á að verulega hafi skort á að í vinnslusamningi SidekickHealth og Google hafi verið tilgreint með skýrum hætti viðfangsefni vinnslu, eðli hennar og tilgangur, tegund persónuupplýsinga og flokkar skráðra einstaklinga. Að mati stofnunarinnar kom samkvæmt því til álita að samningurinn hefði að þessu leyti ekki verið í samræmi við 3. mgr. 25. gr. laga nr. 90/2018 og 3. mgr. 28. gr. reglugerðar (ESB) 2016/679.

22. SidekickHealth byggir á því að í persónuverndarlöggjöfinni sé ekki mælt fyrir um hversu ítarleg lýsing á þessum atriðum skuli vera í vinnslusamningi. Það megi heldur ekki ráða af ákvörðun framkvæmdarstjórnar Evrópusambandsins nr. 2021/915 um staðalaða samningsskilmála. SidekickHealth telur að líta verði til eðli vinnslu hverju sinni við mat á því hversu ríkar kröfur eru gerðar í þessum efnum. Sú þjónusta sem Google veitti félaginu hafi verið þess eðlis að nánast ógerlegt hafi verið að lýsa vinnslunni á skýrari hátt en gert var í vinnslusamningi. Í því sambandi er bent á að SidekickHealth hafi getað sniðið þjónustuna eftir eigin hentugleika og því hafi Google ekki verið ljóst fyrirfram hvaða þjónustuleiðir SidekickHealth kysi að nýta eða hvaða upplýsingar yrðu unnar. Auk þess nýti fjöldi viðskiptavina skýjaþjónustu fyrirtækisins með mismunandi hætti og í ólíkum tilgangi sem geri það ómögulegt að lýsa þessum atriðum ítarlegar en gert var í vinnslusamningi.

23. Í vinnslusamningi hafi viðfangsefni vinnslu verið lýst þannig að um hafi verið að ræða þá þjónustu sem Google veitti SidekickHealth hverju sinni, þ.e. hýsingaþjónustu og þjónustu með dulkóðunarlykla, og að eðli og tilgangur vinnslunnar hafi verið að veita þá þjónustu. Um sé að ræða alvanalegt fyrirkomulag sem SidekickHealth sé ekki kunnugt um að hafi sætt athugasemdum af hálfu eftirlitsstjórnvalda.

24. Þegar um sé að ræða hýsingarþjónustu, líkt og í fyrirliggjandi máli, geti tegundir persónuupplýsinga sem eru til vinnslu verið mjög fjölbreyttar og jafnvel mismunandi frá einum tíma til annars á meðan vinnslusamningur er í gildi. Því hafi verið farin sú leið að taka fram í vinnslusamningnum að um hafi verið að ræða persónuupplýsingar þeirra einstaklinga sem Google fengi aðgang að í tengslum við veitingu þjónustunnar og að tilgreining flokka hinna skráðu tæki mið af því. Vinnsluskilmálarnir hafi verið hefðbundnir að þessu leyti.

3.

Sjálfstæð vinnsla af hálfu vinnsluaðila

25. Í úttektarskýrslu Persónuverndar segir að líta megi svo á að í vinnslusamningi SidekickHealth og Google hafi ekki verið lagt bann við því að Google ynni persónuupplýsingar frekar umfram fyrirmæli SidekickHealth. Að mati stofnunarinnar kom samkvæmt því til álita að samningurinn hefði að þessu leyti ekki verið í samræmi við a-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018.

26. SidekickHealth mótmælir þessari ályktun Persónuverndar og álítur hana órökstudda. Byggir félagið jafnframt á því að tilvísað reglugerðarákvæði leggi ekki þá skyldu á herðar ábyrgðaraðila að banna vinnsluaðila vinnslu persónuupplýsinga umfram skjalfest fyrirmæli ábyrgðaraðila. Sú skýring fái jafnframt stoð í ákvörðun framkvæmdarstjórnar Evrópusambandsins nr. 2021/915 um staðalaða samningsskilmála þar sem eingöngu sé kveðið á um að vinnsluaðilar skuli vinna persónuupplýsingar samkvæmt fyrirmælum ábyrgðaraðila en að þar sé ekki sérstaklega tiltekið að vinnsla umfram fyrirmælin sé bönnuð. Félagið vísar einnig til þess að í sniðmáti Persónuverndar að vinnslusamningum sé ekki sérstaklega stafað út að vinnsluaðila sé óheimilt að vinna persónuupplýsingar í öðrum tilgangi en að veita þjónustu og samkvæmt fyrirmælum ábyrgðaraðila.

27. SidekickHealth byggir enn fremur á því að í vinnslusamningnum hafi verið skýrt tilgreint að félagið gæfi Google fyrirmæli um vinnslu persónuupplýsinga. Af því leiði að Google hafi verið óheimilt að vinna persónuupplýsingar umfram þau fyrirmæli. Engu hafi breytt um inntak samningsins að þessu leyti að ekki hafi berum orðum komið fram í umræddum samningsákvæðum að Google ynni persónuupplýsingar aðeins samkvæmt fyrirmælum SidekickHealth.

28. Loks bendir SidekickHealth á að ef Google hefði ákveðið að vinna persónuupplýsingarnar umfram fyrirmælin, hefði fyrirtækið borið sjálfstæða ábyrgð á þeirri vinnslu.

4.

Miðlun persónuupplýsinga til þriðju landa

29. Í úttektarskýrslu Persónuverndar segir að líta megi svo á að SidekickHealth hafi ekki uppfyllt skilyrði 46. gr. reglugerðar (ESB) 2016/679 um viðeigandi verndarráðstafanir. Miðlun persónuupplýsinga til þriðju landa, á grundvelli ákvæðis 10.1 í samningi félagsins við Google, hafi þar af leiðandi verið andstæð 44. gr. reglugerðarinnar.

30. SidekickHealth telur að forsenda brots gegn 44. gr. reglugerðarinnar sé að flutningur persónuupplýsinga til þriðju landa hafi raunverulega farið fram. Ekkert liggi fyrir um að persónuupplýsingum hafi í raun verið miðlað til þriðju landa á grundvelli vinnslusamnings félagsins og Google, þrátt fyrir möguleikann á því að Google gæti miðlað upplýsingunum til móðurfélags síns í Bandaríkjunum. Félagið hafi veitt Google bindandi fyrirmæli um að vinna persónuupplýsingarnar í Belgíu sem skoða verði í ljósi ákvæðis 5.2.1 í vinnslusamningnum.

31. Þá byggir SidekickHealth jafnframt á því að sjá megi af svonefndri gagnsæisskýrslu Google (e. Transparency Report) að hvorki Google í Belgíu né Google á Írlandi hafi miðlað upplýsingum um viðskiptavini sína til yfirvalda. Að auki séu slíkar beiðnir frá yfirvöldum settar í sérstakt ferli hjá Google þar sem viðskiptavinir eru upplýstir um þær og þeim veitt færi á andmælum. SidekickHealth hafi ekki borist tilkynning af því tagi.

32. SidekickHealth bendir þó á að félagið sé meðvitað um mögulega miðlun persónuupplýsinga til Bandaríkjanna á grundvelli vinnslusamningsins. Félagið hafi framkvæmt mat á áhrifum slíkrar miðlunar og gripið til viðbótarverndarráðstafana. Í bréfi félagsins til Persónuverndar, dags. 20. febrúar 2023, er þeim ráðstöfunum lýst. Var meðal annars um að ræða notkun á vélrænum auðkenningarlykli (e. hardware token) og svonefnt gagnsæi á aðgangi (e. Access Transparancy), sem hafi falið í sér skráningu aðgangs og aðgerða sem starfsmenn Google hafi framkvæmt innan umhverfis félagsins. Þá hafi SidekickHealth nýtt sér samþykki á aðgangi (e. Access Approval) en í því hafi falist að félagið þurfti að samþykkja aðgang starfsmanna Google að umhverfi þess. Gögn félagsins hafi jafnframt verið dulkóðuð í gagnagrunni Google og dulkóðunarlykill varðveittur af Google Cloud Key Management System (Google KMS).

33. SidekickHealth telur sig og Google þannig hafa viðhaft margar þeirra ráðstafana sem tilgreindar séu í tilmælum Evrópska persónuverndarráðsins frá 18. júní 2020 nr. 1/2020 um ráðstafanir við miðlun persónuupplýsinga úr landi (e. Recommendations on measures that supplement transfer tools to ensure compliance with EU level of protection of personal data). SidekickHealth lítur svo á að þær ráðstafanir sem félagið hafi gripið til hafi verið viðunandi og í samræmi við það sem raunhæft og mögulegt hafi verið á þeim tíma sem um ræði. Í því sambandi bendir félagið sérstaklega á að ekki hafi verið tiltækir raunhæfir möguleikar á utanaðkomandi stýringu dulkóðunarlykla (e. External Key Management) af hálfu aðila innan Evrópu, sem hafi verið samþýðanleg Google.

34. Með fyrrgreindu bréfi sínu, dags. 6. janúar 2023, óskaði Persónuvernd eftir upplýsingum um það frá SidekickHealth það hvort Google eða öðrum aðilum hafi verið tæknilega unnt að nálagst eða fá aðgang að persónuupplýsingum, á hvaða formi sem er, sem Google vann fyrir hönd SidekickHealth, þrátt fyrir að almennt væri krafist tvöfaldrar auðkenningar fyrir slíkum aðgangi. Í áðurgreindu bréfi SidekickHealth til Persónuverndar, dags. 20. febrúar 2023, er því til svarað að það væri tæknilega unnt en að félagið hafi með samningsbundnum ráðstöfunum við Google, sem fjallað er um í efnisgrein 32, takmarkað slíkan aðgang. SidekickHealth hefur lýst þeirri afstöðu sinni, meðal annars í bréfi sínu til Persónuverndar, dags. 28. október 2024, að aðgerðarskráningar og aðgangsstjórnun hafi stutt við stjórnunarfyrirkomulag dulkóðunarlykilsins. Nánar tiltekið hafi ráðstafanirnar tryggt að félagið gæti fylgst með forsendum tenginga Google við umhverfi félagsins og stýrt umfangi aðgangsins, auk þess sem félagið hefði verið upplýst um beiðnir eftirlitsstjórnvalda að persónuupplýsingum sem Google vann á vegum félagsins.

35. Enn fremur telur SidekickHealth að ef Google hefði ákveðið að miðla persónuupplýsingunum til landa utan EES hefði fyrirtækið sjálft borið ábyrgð á þeirri vinnslu.

5.

Beiting valheimilda

36. Telji Persónuvernd SidekickHealth allt að einu hafa brotið gegn hinum tilvísuðu ákvæðum reglugerðar (ESB) 2016/679 byggir félagið á því að við beitingu valdheimilda verði Persónuvernd að líta til þess að ný jafngildisákvörðun varðandi flutning persónuupplýsinga til Bandaríkjanna hefur tekið gildi. Google hafi undirgengist þær skuldbindingar sem kveðið er á um í samkomulagi ESB og Bandaríkjanna sem liggur til grundvallar jafngildisákvörðuninni. Fyrir gildistöku jafngildisákvörðunarinnar hafi jafnframt verið gerðar breytingar á bandarískri löggjöf sem Evrópska persónuverndarráðið hafði fagnað. Þá telur SidekickHealth ljóst að miðlun persónuupplýsinga frá félaginu til Google uppfylli nú að fullu kröfur persónuverndarlöggjafarinnar.

37. SidekickHealth vísar enn fremur til lagasjónarmiða um beitingu refsikenndra viðurlaga. Af þeim leiði að hafi löggjöf eða reglur breyst frá því að meint brot áttu sér stað þar til ákvörðun er tekin skuli byggja á nýjum eða breyttum lögum eða reglum, bæði varðandi lögmæti og viðurlög. Vísar félagið til 2. gr. almennra hegningarlaga nr. 19/1940 í þessu sambandi. Í samræmi við þetta sjónarmið telur félagið að Persónuvernd eigi ekki að aðhafast frekar í málinu, þ.m.t. með veitingu áminningar, vegna hinna ætluðu brota í ljósi þess að háttsemi uppfylli nú að fullu skilyrði löggjafarinnar.

38. Í fyrrgreindu bréfi SidekickHealth til Persónuverndar, dags. 4. september 2024, segir að félagið geri ekki athugasemdir við þá niðurstöðu stofnunarinnar, sem birtist í ákvörðunardrögum hennar, um að beita ekki valdheimildum sínum komist hún að niðurstöðu um að brotið hafi verið gegn persónuverndarlöggjöfinni. Leggur SidekickHealth áherslu á að gæta verði meðalhófs og hafa hliðsjón af jafnræðisreglu stjórnsýslulaga við ákvörðun um veitingu áminningar, komi sú valdheimild til álita á grundvelli sjónarmiða annarra hlutaðeigandi eftirlitsstjórnvalda. Í því sambandi vísar félagið í fyrsta lagi til þess að það hafi leitast við að grípa til umfangsmikilla ráðstafana til að tryggja að vinnsla þess á persónuupplýsingum samrýmdist persónuverndarlöggjöfinni. Í öðru lagi standi verulegar líkur til þess að fjöldi annarra aðila hafi undirgengist sömu eða sambærilega skilmála frá Google, með hliðsjón af markaðsstöðu fyrirtækisins, og að Persónuvernd og önnur evrópsk eftirlitsstjórnvöld hafi látið það óátalið. Í ljósi þessa telur SidekickHealth að beiting valdheimilda myndi brjóta gegn jafnræðisreglu stjórnsýsluréttarins, sbr. 11. gr. stjórnsýslulaga nr. 37/1993. Í þriðja lagi er á því byggt að horfa verði til þess að hin meintu brot félagsins séu ekki lengur viðvarandi þar sem beinu samningssambandi SidekickHealth og Google er lokið.

IV.

Sjónarmið hlutaðeigandi eftirlitsstjórnvalda

39. Persónuverndarstofnanir Finnlands, Ítalíu og Noregs komu sjónarmiðum sínum á framfæri við ákvörðunardrög Persónuverndar í málsmeðferð þeirri sem mælt er fyrir um í 3. mgr. 60. gr. reglugerðar (ESB) 2016/679, svo sem kemur fram í efnisgrein 4.

40. Finnska persónuverndarstofnunin gerði í fyrsta lagi athugasemd við lögskýringu Persónuverndar á a-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679 en í ákvörðunardrögum var á því byggt að af ákvæðinu leiði að taka þurfi fram í vinnslusamningi að vinnsluaðila sé óheimilt að vinna persónuupplýsingar umfram fyrirmæli ábyrgðaraðila. Taldi finnska stofnunin nánar til tekið að sú lögskýring kynni að hefta samningafrelsi um of, auk þess sem orða mætti vinnslusamninga á ýmsan hátt þannig fullnægt yrði skilyrðum ákvæðisins. Í fyrirliggjandi máli mætti, að áliti stofnunarinnar, taka afstöðu til álitaefnisins, þ.e. hvort vinnslusamningur SidekickHealth og Google hafi verið í samræmi við reglugerðarákvæðið, á grundvelli orðalags samningsins, þ.e. ákvæði 5.2.1 og 5.2.2, svo og skorti á skýrri tilgreiningu í samningnum á viðfangsefni. Í öðru lagi tók finnska stofnunin undir með Persónuvernd um að líkur standi til þess að það dragi úr verndargildi dulkóðunar þegar dulkóðunarlyklar eru á hendi sömu fyrirtækjasamstæðu og annast hýsingu og dulkóðun persónuupplýsinga. Hins vegar sé fræðilega unnt að gera vissar skipulagslegar og tæknilegar ráðstafanir sem hindra nægjanlega aðgang að dulkóðunarlykli eða persónuupplýsingum. Taka mætti afstöðu til álitaefnisins á grundvelli þess hvort SidekickHealth hefði sýnt fram á nægjanlegar ráðstafanir af þeim toga. Í þriðja lagi taldi finnska stofnunin rétt að kanna hvort beita ætti valheimildum, sbr. 2. mgr. 58. gr. reglugerðarinnar, í málinu. Í ákvörðunardrögunum væri að finna ítarlegan rökstuðning fyrir því að ekki væru efni til álagningu stjórnvaldssektar en ekki væri tekin afstaða til veitingu áminningar, sbr. b-lið 2. mgr. 58. gr. reglugerðarinnar. Hafa yrði hliðsjón af 148. lið formálsorða reglugerðarinnar við ákvörðun um beitingu valdheimilda og að ákvörðunin yrði að tryggja að viðurlög væru skilvirk, í réttu hlutfalli við brot og hefði varnaðaráhrif. Í því samhengi benti stofnunin á að skilyrði fyrir veitingu áminningar vegna brota gegn persónuverndarlöggjöfinni séu ekki ýkja ströng. Stofnunin væri raunar á þeirri skoðun að sérstakar réttlætingarástæður þurfi að vera fyrir hendi fyrir því að veita ekki áminningu vegna brota gegn persónuverndarlöggjöfinni, sérstaklega þegar brot eru mörg.

41. Norska persónuverndarstofnunin kvaðst sammála niðurstöðu Persónuverndar um ætluð brot SidekickHealth gegn reglugerð (ESB) 2016/679. Studdi stofnunin jafnframt þá afstöðu Persónuverndar að það kynni að vera umfram meðalhóf að leggja stjórnvaldssekt á félagið af þessu tilefni en í ljósi fjölda hinna skráðu og eðlis þeirra persónuupplýsinga taldi stofnunin þó að skoða bæri að veita félaginu áminningu. Vísaði stofnunin jafnframt til þess að hún áliti samvinnu ábyrgðaraðila við eftirlitsstjórnvald, sbr. f-lið 2. 83. gr. reglugerðarinnar, sem hlutlausan þátt við ákvörðun um beitingu sektar nema í sérstökum tilfellum þegar umfang samvinnunnar væri umfram það sem vænta mætti.

42. Ítalska persónuverndarstofnunin kvaðst sammála mati Persónuverndar á lagaatriðum í niðurstöðuhluta ákvörðunardraganna en tók undir sjónarmið norsku og finnsku stofnananna um að veitingu áminningar vegna ætlaðra brota SidekickHealth gegn persónuverndarlöggjöfinni.

V.

Niðurstaða

1.

Afmörkun máls – Gildissvið - Ábyrgðaraðili

43. Sem fyrr greinir hefur mál þetta verið afmarkað við vinnslu persónuupplýsinga um heilsufar notenda smáforritsins Sidekick og hýsingu þeirra upplýsinga í Google Cloud Platform Services á grundvelli vinnslusamnings SidekickHealth og Google. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018, sbr. 1. mgr. 4. gr. þeirra, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 2. gr. hennar, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna.

44. Telst SidekickHealth vera ábyrgðaraðili að umræddri vinnslu samkvæmt 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679 gagnvart flestum notendum smáforritsins Sidekick og verður leyst úr málinu á þeim grundvelli.

2.

Lögmæti vinnslusamnings

2.1

Andmæli vegna vals á undirvinnsluaðila

45. Samkvæmt 2. mgr. 25. gr. laga nr. 90/2018 og 2. mgr. 28. gr. reglugerðar (ESB) 2016/679 skal vinnsluaðili tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar á undirvinnsluaðilum, sem fela í sér að bætt er við vinnsluaðilum eða þeim skipt út, og gefa þannig ábyrgðaraðilanum tækifæri til að andmæla slíkum breytingum. Í efnisgrein 158 í leiðbeiningum Evrópska persónuverndarráðsins nr. 7/2020 segir að vinnslusamningur ætti að innihalda upplýsingar um tímaramma fyrir samþykki ábyrgðaraðila fyrir breytingum á undirvinnsluaðilum, sem og andmæli ábyrgðaraðilans. Slíkur tímarammi skuli vera raunhæfur/sanngjarn (e. reasonable) og taka mið af þeirri vinnslu sem fer fram hverju sinni.

46. Samkvæmt ákvæði 11.4 í vinnslusamningi SidekickHealth og Google bar Google að tilkynna SidekickHealth um nýjan undirvinnsluaðila með 30 daga fyrirvara hið minnsta. Hafði SidekickHealth þá 90 daga til að andmæla breytingunni með því að segja upp samningnum þegar í stað. Í framkomnum skýringum SidekickHealth er því haldið fram að sá tími hafi veitt félaginu nægt svigrúm til að gera viðeigandi breytingar og semja við nýjan þjónustuaðila um hýsingu án þess að til þjónusturofs kæmi. Var um þetta atriði meðal annars vísað til þess að félagði hafði greint þær aðgerðir sem þyrfti að grípa til ef breyta ætti um þjónustuaðila.

47. Persónuvernd fellst á þessi sjónarmið SidekickHealth. Með hliðsjón af því, og að virtum framangreindum leiðbeiningum Evrópska persónuverndarráðsins, er það niðurstaða stofnunarinnar að vinnslusamningur SidekickHealth og Google hafi hvað þetta atriði varðar samrýmst 2. mgr. 25. gr. laga nr. 90/2018 og 2. mgr. og d-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679.

2.2

Viðfangsefni vinnslunnar, eðli og tilgangur hennar, tegund persónuupplýsinga og flokkar skráðra einstaklinga

48. Samkvæmt 3. mgr. 25. gr. laga nr. 90/2018 og 1. málsl. 3. mgr. 28. gr. reglugerðar (ESB) 2016/679 skal meðal annars tilgreina í vinnslusamningi viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegundir persónuupplýsinga og flokka skráðra einstaklinga.

49. SidekickHealth byggir í megindráttum á því að persónuverndarlöggjöfin geri ekki kröfu um hversu nákvæm tilgreining framangreindra þátta skuli vera heldur ráðist efni tilgreiningarinnar af eðli vinnslu hverju sinni. Nánast ógerlegt hafi verið að lýsa þeirri vinnslu persónuupplýsinga sem hér er til umfjöllunar nánar í vinnslusamningi með hliðsjón af eðli þeirrar þjónustu sem Google veitti SidekickHealth, einkum með hliðsjón af því hve sveigjanleg þjónustan var. Hýsing geti jafnframt tekið til fjölbreyttra upplýsinga, auk þess sem viðskiptavinir Google séu margir og því örðugt fyrir fyrirtækið að sníða samninga að hverjum og einum þeirra.

50. Að mati Persónuverndar má fallast á það með SidekickHealth að hvorki persónuverndarlöggjöfin né lögskýringargögn séu afdráttarlaus um það hversu ítarlega beri að tilgreina þá þætti í vinnslusamningi sem mælt er fyrir um í 3. mgr. 25. gr. laga nr. 90/2018 og 1. málsl. 3. mgr. 28. gr. reglugerðar (ESB) 2016/679 og að eðli vinnslu hverju sinni geti skipt máli í því sambandi.

51. Í þessum ákvæðum felst hins vegar að vinnslusamningur skal vera sniðinn að þeim vinnsluaðgerðum sem samið er um hverju sinni. Þótt staðlaðir vinnslusamningar séu notaðir þarf því ávallt að tilgreina sérkenni þeirrar vinnslu sem fer fram í vinnslusamningnum eða í viðauka við hann, líkt og gert er í föstum samningsákvæðum Framkvæmdastjórnarinnar (ESB) 2021/915, sbr. viðauka I-IV (e. Annex I-IV). Að mati Persónuverndar er ljóst af samhengi ákvæðanna að þau áskilja ákveðna lágmarkstilgreiningu á þeim þáttum sem þar eru nefndir. Tilgreining sem er svo almenn að hún er á engan hátt lýsandi um helstu þætti vinnslunnar fullnægir því ekki áskilnaði ákvæðanna. Í því sambandi má benda á að sé viðfangsefni og eðli vinnslu ekki nægjanlega lýst í vinnslusamningi er í reynd ómögulegt að taka afstöðu til þess hvort tilgreining annarra lögbundinna þátta sé nægjanleg.

52. Að mati Persónuverndar er ekki fært að líta svo á að hugsanlegar breytingar á þeirri skýjaþjónustu sem ábyrgðaraðili nýtir sér á hverjum tíma, á grundvelli vinnslusamnings, umfang vinnslunnar eða fjöldi viðskiptavina vinnsluaðila leysi ábyrgðaraðilann undan þeirri skyldu að lýsa í vinnslusamningi helstu einkennum vinnslunnar í samræmi við 3. mgr. 25. gr. laga nr. 90/2018 og 1. málsl. 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Þvert á móti geta breytingar sem verða á þjónustu raunar kallað sérstaklega á að ábyrgðaraðili sjái til þess að gera viðeigandi breytingar vinnslusamningi með það fyrir augum að láta hann endurspegla þá þjónustu sem í reynd er nýtt til vinnslu persónuupplýsinga, svo sem með gerð samningsviðauka, eftir atvikum á rafrænu formi.

53. Ljóst er af fyrirliggjandi vinnslusamningi að hann tekur með almennum hætti til notkunar SidekickHealth á skýjaþjónustu Google, þ.e. Google Cloud Platform. Hvorki samningurinn né fyrirliggjandi viðaukar hans geyma á hinn bóginn tilgreiningu á því hvaða tilteknu skýjaþjónustu SidekickHealth nýtti í reynd, heldur hafa þær upplýsingar einvörðungu komið fram í skýringum SidekickHealth til Persónuverndar. Í þessu sambandi skal jafnframt bent á að þjónustuframboð Google, sem mátti nálgast á hlekk í samningnum, er afar víðfeðmt og því engin leið að draga af því ályktanir um hvaða þjónustu SidekickHealth nýtti. Þá er tilgreining á flokkum upplýsinga og flokkum hinna skráðu í vinnslusamningi SidekickHealth og Google svo almenn að hún tekur í reynd til hvers kyns persónuupplýsinga um alla einstaklinga en sérgreinir á engan hátt að vinnslan taki til upplýsinga um heilsufar viðskiptavina SidekickHealth.

54. Með hliðsjón af framangreindu er það niðurstaða Persónuverndar að viðfangsefni vinnslunnar, flokkar upplýsinga og flokkar hinna skráðu hafi ekki verið tilgreindir í vinnslusamningi SidekickHealth og Google, viðauka samningsins eða í öðrum fyrirliggjandi samningsákvæðum eða skjölum, í samræmi við 3. mgr. 25. gr. laga nr. 90/2018 og 1. málsl. 3. mgr. 28. gr. reglugerðar (ESB) 2016/679.

55. Þá er til þess að líta að fullnægjandi tilgreining eðlis og tilgangs vinnslu í vinnslusamningi er þáttur í að afmarka og útfæra heimild vinnsluaðila til sjálfstæðrar ákvörðunartöku um þá vinnslu sem honum er falin með vinnslusamningi, eins og nánar greinir í kafla V.2.3. Þjónar tilgreiningin þannig hlutverki við að marka skil vinnslu persónuupplýsinga af hálfu vinnsluaðila á grundvelli vinnslusamnings annars vegar og hins vegar sjálfstæðrar vinnslu hans á sömu persónuupplýsingum sem grundvallast ekki á vinnslusamningi og fer því fram á hans ábyrgð.

56. Hins vegar var að mati Persónuverndar nægjanlega ljóst af vinnslusamningi og samningsviðaukanum að eðli vinnslunnar og tilgangur hafi verið sá að Google veitti SidekickHealth umbeðna skýjaþjónustu. Var samningurinn að þessu leyti í samræmi við þær lágmarkskröfur sem leiddar verða af 3. mgr. 25. gr. laga nr. 90/2018 og 1. málsl. 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Persónuvernd bendir þó á að lýsingin var harla óglögg með hliðsjón af skorti á fullnægjandi tilgreiningu um það hvaða skýjaþjónustu Google veitti SidekickHealth, sbr. umfjöllun í efnisgrein 53.

2.3

Sjálfstæð vinnsla af hálfu vinnsluaðila

57. Vinnslusamningur skal kveða á um að vinnsluaðili vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila, nema um annað sé mælt fyrir í lögum, sbr. a-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018.

58. Ákvæðinu er berlega ætlað að reisa skorður við því að aðili, sem kemst yfir persónuupplýsingar sem vinnsluaðili, vinni þær sjálfstætt í eigin þágu og leggur ákvæðið beina skyldu á herðar ábyrgðaraðila að gera samningsbundnar ráðstafanir í þessum efnum. Persónuvernd fær ekki séð að nokkuð í persónuverndarlöggjöfinni eða í lögskýringargögnum bendi til þess að skýra eigi ákvæðið rýmra en orðalag þess gefur tilefni til, þó fallast megi á það með finnsku persónuverndarstofnuninni, sbr. umfjöllun í efnisgrein 40, að ábyrgðaraðilar hafi ákveðið svigrúm til að útfæra orðalag vinnslusamninga að þessu leyti.

59. Fyrrgreindar leiðbeiningar Evrópska persónuverndarráðsins nr. 7/2020 renna að mati Persónuverndar stoðum undir þessa lögskýringu, einkum efnisgreinar 37 og 84. Þar kemur meðal annars fram að ábyrgðaraðili verði að taka endanlega ákvörðun um að samþykkja, með virkum hætti, hvernig vinnslan fer fram hjá vinnsluaðila, a.m.k. að meginstefnu til. Í einhverjum tilvikum kann að vera eðlilegt fyrir vinnsluaðila að geta tekið sjálfstæðar ákvarðanir í tengslum við vinnsluna en þá ætti það að vera ljóst hvaða tilvik það eru og að hvaða marki það þykir eðlilegt að þessar ákvarðanir falli í skaut vinnsluaðila. Gera leiðbeiningarnar þannig beinlínis ráð fyrir því að vinnsluaðila sé settur rammi um þá vinnslu sem honum er heimil á grundvelli vinnslusamnings.

60. Þessi lögskýring fær frekari stoð í ákvörðun framkvæmdarstjórnar Evrópusambandsins nr. 2021/915 um staðalaða samningsskilmála enda segir beinlínis í 7. gr. ótölusetts viðauka ákvörðunarinnar að vinnsluaðili skuli vinna persónuupplýsingar eingöngu á grundvelli skriflegra fyrirmæla ábyrgðaraðila nema lög áskilji annað.

61. Sem fyrr greinir segir í ákvæði 5.2.1 í vinnslusamningi SidekickHealth og Google að viðskiptavinurinn, þ.e. SidekickHealth, gefi Google fyrirmæli um að vinna persónuupplýsingar eingöngu í samræmi við viðeigandi löggjöf. Í ákvæði 5.2.2 er mælt fyrir um að Google muni fylgja fyrirmælum viðskiptavinarins nema þau stríði gegn evrópskri löggjöf.

62. SidekickHealth telur leiða af tilvísuðum ákvæðum vinnslusamningsins að Google beri að vinna persónuupplýsingar aðeins í samræmi við fyrirmæli félagsins, enda þótt ákvæðin segi það ekki berum orðum. Að auki bæri Google sjálfstæða ábyrgð á eigin vinnslu á upplýsingunum, ef við ætti.

63. Persónuvernd telur ekki efni til að fallast á skýringu SidekickHealth á umræddum samningsákvæðum. Verður í því sambandi að líta til þess að samkvæmt orðanna hljóðan leggja ákvæðin aðeins tiltekna athafnaskyldu á herðar Google, þ.e. að fyrirtækið vinni persónuupplýsingar í samræmi við ákvæði laga og fyrirmæli SidekickHealth, að því gefnu að þau samrýmist evrópskum lögum. Hins vegar verður sú ályktun ekki dregin af orðalagi ákvæðanna, eða öðrum ákvæðum samningsins, að fyrirtækinu beri eingöngu að vinna persónuupplýsingar í samræmi við þá skyldu, nema að því er varðar lagafyrirmæli. Þá verður ekki séð að SidekickHealth hafi á annan hátt markað Google ramma um sjálfstæða ákvörðunartöku varðandi vinnsluna, svo sem með því að tilgreina skýrlega í vinnslusamningi viðfangsefni vinnslunnar, flokka upplýsinga og flokka hinna skráðu í samræmi við áskilnað persónuverndarlöggjafarinnar, sbr. umfjöllun í kafla V.2.2 hér að framan.

64. Verður samkvæmt öllu framangreindu ekki séð að SidekickHealth hafi gert samningsbundnar ráðstafanir til að takmarka sjálfstæða vinnslu Google á þeim persónuupplýsingum sem hér eru til umfjöllunar. Í ljósi þess er það niðurstaða Persónuverndar að vinnslusamningurinn hafi að þessu leyti ekki verið í samræmi við a-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Sú ábyrgð sem Google hefði borið á sjálfstæðri vinnslu á þeim persónuupplýsingum, sem fyrirtækið komst yfir á grundvelli vinnslusamningsins, haggar í engu þeirri meginskyldu sem hvíldi á SidekickHealth samkvæmt tilvísuðu reglugerðarákvæði til að hindra slíka sjálfstæða vinnslu af hálfu Google með samningsbundnum ráðstöfunum.

2.4

Miðlun persónuupplýsinga til þriðju landa

2.4.1

Almennt

65. Miðlun persónuupplýsinga til þriðja lands, þ.e. lands utan EES, er eingöngu heimil ef farið er að ákvæðum V. kafla reglugerðar (ESB) 2016/679, sem ætlað er að tryggja fullnægjandi vernd við miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana, sbr. 44. gr. reglugerðarinnar. Í ákvæðinu segir jafnframt að við flutning persónuupplýsinga til þriðju landa skuli beita öllum ákvæðum kaflans þannig að tryggja megi að ekki sé grafið undan vernd einstaklinga sem tryggð er með reglugerðinni.

66. Samkvæmt 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679 ber að gæta þess við vinnslu persónuupplýsinga að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða. Ábyrgðaraðili ber ábyrgð á því að vinnslan uppfylli ávallt áskilnað ákvæðanna og skal geta sýnt fram á það, sbr. 2. mgr. beggja ákvæða.

67. Af samspili framangreindra ákvæða leiðir að ábyrgðaraðili þarf meðal annars að geta sýnt fram á að persónuupplýsingum sé ekki miðlað til þriðju landa í andstöðu við V. kafla reglugerðarinnar. Ábyrgðaraðili þarf því, sem dæmi, að geta sýnt fram á réttmæti staðhæfingar sinnar um að persónuupplýsingar séu einvörðungu unnar innan EES, ekki síst ef gögn sem varða vinnsluna benda til hins gagnstæða. Með öðrum orðum getur ábyrgðaraðili ekki vikið sér undan ábyrgð samkvæmt persónuverndarlöggjöfinni með því að staðhæfa að vinnsla hafi ekki farið fram utan EES, ef fyrirliggjandi gögn styðja ekki fullyrðinguna.

2.4.2

Ákvæði vinnslusamnings

68. Fjallað er um landfræðilega miðlun persónuupplýsinga til þriðju landa í ákvæði 10.1 í fyrirliggjandi vinnslusamningi. Segir í ákvæðinu að vinnsla persónuupplýsinga geti farið fram í þeim löndum þar sem Google eða undirvinnsluaðilar fyrirtækisins hafa aðstöðu. Af gögnum málsins er enn fremur ljóst að Google og hluti undirvinnsluaðila fyrirtækisins hafa aðstöðu í löndum utan EES. Af skýringum SidekickHealth má enn fremur ráða að félagið hafi álitið að í þessu fyrirkomulagi hafi falist möguleiki á að persónuupplýsingum yrði miðlað til Bandaríkjanna.

69. Með ákvæði 10.1 í vinnslusamningnum veitti SidekickHealth Google almenna heimild til að taka ákvörðun um miðlun persónuupplýsinga, sem unnar voru á grundvelli samningsins, til þeirra þriðju landa þar sem Google og undirvinnsluaðilar fyrirtækisins starfrækja vinnsluaðstöðu, án sérstaks samráðs við SidekickHealth. Þá hefur SidekickHealth ekki lagt fram gögn sem renna stoðum undir þá staðhæfingu félagsins að Google hafi, á grundvelli heimildarinnar, ekki miðlað persónuupplýsingum til þriðju landa í tengslum við hina samningsbundnu vinnslustarfsemi, þrátt fyrir að hafa átt þess kost undir rannsókn málsins. Í ljósi þess og að virtu efni hins tilvísaða samningsákvæðis telur Persónuvernd að leggja verði til grundvallar að félagið hafi ekki sýnt fram á að persónuupplýsingar hafi eingöngu verið unnar innan EES, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. og 44. gr. reglugerðar (ESB) 2016/679. Breytir engu í þessu sambandi að gögn málsins benda ekki til þess að Google hafi miðlað persónuupplýsingum til yfirvalda þriðju landa enda gilda ákvæði V. kafla reglugerðar (ESB) 2016/679 óháð því hver viðtakandi upplýsinganna er, að því tilskildu að upplýsingum sé miðlað út fyrir EES.

70. Þrátt fyrir framangreint skal áréttað að ekkert hefur komið fram í málinu sem hnekkir þeirri fullyrðingu SidekickHealth að félagið hafi óskað eftir því við Google að persónuupplýsingarnar yrðu unnar í Belgíu. Hins vegar liggur ekkert fyrir um það í gögnum málsins að þau fyrirmæli hafi gengið framar ákvæði 10.1 í vinnslusamningnum. Í þessu sambandi bendir Persónuvernd á að samkvæmt túlkunarreglu vinnslusamningsins, sbr. 13. gr. hans, er vinnsluskilmálunum, þar sem umrætt ákvæði 10.1 er að finna, veittur forgangur yfir aðra hluta samningsins, rekist ákvæði þeirra á.

2.4.3

Skilyrði miðlunar

71. Með hliðsjón af ályktun Persónuverndar í kafla V.2.4.2, um að SidekickHealth hafi ekki sýnt fram á að hafa einungis unnið persónuupplýsingar innan EES, er nauðsynlegt að leggja mat á það hvort félagið hafi farið að ákvæðum V. kafla reglugerðar (ESB) 2016/679 í tengslum við þá almennu heimild sem félagið veitti Google til að miðla þeim persónuupplýsingum sem hér eru til umfjöllunar til þriðju landa.

72. Samkvæmt 1. mgr. 45. gr. reglugerðar (ESB) 2016/679 er miðlun persónuupplýsinga til þriðja lands eða alþjóðastofnunar heimil ef framkvæmdastjórnin hefur ákveðið að þriðja landið, yfirráðasvæði eða einn eða fleiri tilgreindir geirar innan viðkomandi þriðja lands eða umrædd alþjóðastofnun tryggi fullnægjandi vernd. Slík miðlun þarfnist ekki sérstakrar heimildar. Að mati Persónuverndar þykir ljóst að heimild til miðlunar persónuupplýsinga til þriðju landa, samkvæmt ákvæði 10.1 í vinnslusamningi SidekickHealth og Google, takmarkaðist ekki við þau lönd sem tekin hafði verið jafngildisákvörðun um á þeim tíma sem hér er til skoðunar, þ.e. þegar rannsókn málsins hófst.

73. Ef ekki liggur fyrir jafngildisákvörðun samkvæmt framangreindu getur ábyrgðaraðili eða vinnsluaðili aðeins miðlað persónuupplýsingum til þriðja lands hafi hann gert viðeigandi verndarráðstafanir og með því skilyrði að fyrir hendi séu framfylgjanleg réttindi og skilvirk lagaleg úrræði fyrir skráða einstaklinga, sbr. 1. mgr. 46. gr. reglugerðarinnar. Ljóst þykir af gögnum málsins að heimild til miðlunar persónuupplýsinga til þriðju landa, á grundvelli ákvæðis 10.1 í vinnslusamningi SidekickHealth og Google, hefur byggst á þessu reglugerðarákvæði, þ.m.t. stöðluðum ákvæðum um persónuvernd sem framkvæmdastjórnin hefur samþykkt, sbr. c-lið 2. mgr. 46. gr. reglugerðar (ESB) 2016/679.

74. Í dómi Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II) er vísað til þess að við miðlun persónuupplýsinga til þriðju landa þurfi að tryggja sambærilega vernd og almenna persónuverndarreglugerðin kveður á um, óháð því hvaða ákvæði V. kafla reglugerðar (ESB) 2016/679 stuðst er við, en það leiðir af 44. gr. reglugerðarinnar. Styðjist ábyrgðaraðili við stöðluð ákvæði um persónuvernd við miðlun persónuupplýsinga til þriðja lands, þarf ábyrgðaraðili því að tryggja í framkvæmd að skilmálarnir veiti sambærilega vernd og almenna persónuverndarreglugerðin kveður á um. Við ákvörðun um hvort undirgangast skal slík ákvæði þurfa ábyrgðaraðilar því að leggja mat á hvort viðtökulandið veiti fullnægjandi vernd. Í því sambandi var í fyrrgreindum dómi Evrópudómstólsins sérstaklega nefnt að í Bandaríkjunum hafa eftirlitsstofnanir víðtækar heimildir, samkvæmt lögum, til að nota persónuupplýsingar sem fluttar eru frá Evrópusambandinu til Bandaríkjanna án þess að þurfa að gæta að persónuvernd einstaklinga. Af dómnum má jafnframt ráða að stöðluð ákvæði geti ekki komið í veg fyrir slíkan aðgang erlendra eftirlitsstofnana og því geti ábyrgðaraðilar þurft að innleiða viðbótarverndarráðstafanir samhliða stöðluðum samnings­skilmálum til þess að tryggja í framkvæmd að skilmálarnir veiti sambærilega vernd.

75. Í tilmælum Evrópska persónuverndarráðsins frá 18. júní 2020 nr. 1/2020 eru nánari upplýsingar um hvers ábyrgðaraðilum ber að gæta að við miðlun persónuupplýsinga til þriðju landa, meðal annars með hliðsjón af framangreindum dómi Evrópudómstólsins. Hvað varðar mögulegan aðgang erlendra eftirlitsstofnana að persónuupplýsingum sem miðlað er til þriðju landa segir í tilmælunum að samningsbundnar og skipulagslegar viðbótarráðstafanir dugi almennt ekki til að koma í veg fyrir slíkan aðgang, heldur þurfi jafnframt að innleiða tæknilegar ráðstafanir, svo sem dulkóðun. Í tilmælunum er jafnframt lögð áhersla á að haldið sé utan um dulkóðunarlykla á ábyrgan hátt og af traustum aðilum innan EES eða annarra ríkja sem tryggja persónuupplýsingum fullnægjandi vernd.

76. Í svörum SidekickHealth er því meðal annars lýst að gögn félagsins hafi verið dulkóðuð í gagnagrunni Google og að dulkóðunarlykill hafi verið varðveittur af Google KMS. Til þess að nálgast gögnin á persónugreinanlegu formi hafi eftirlitsstjórnvöld í þriðju löndum þurft að komast yfir dulkóðunarlykilinn hjá Google KMS og fá aðgang að gagnagrunninum hjá Google. Telur Persónuvernd ljóst samkvæmt þessu að dulkóðunarlykillinn var á hendi sömu fyrirtækjasamstæðu og annaðist hýsingu og dulkóðun persónuupplýsinga fyrir hönd SidekickHealth.

77. Að mati Persónuverndar dregur það almennt úr verndargildi dulkóðunar þegar dulkóðunarlyklar eru á hendi sömu fyrirtækjasamstæðu og annast hýsingu og dulkóðun persónuupplýsinga. Líkt og finnska persónuverndarstofnunin benti á undir rannsókn þessa máls, sbr. umfjöllun í efnisgrein 40, er hægt að mæta þeirri áhættu sem felst í slíku fyrirkomulagi með innleiðingu tæknilegra og skipulagslegra ráðstafana sem eru til fallnar að hindra nægjanlega aðgang að dulkóðunarlykli eða persónuupplýsingum. SidekickHealth hefur, að mati Persónuverndar, hins vegar ekki sýnt fram á að þær ráðstafanir sem félagið gerði, þ. á m. aðgerðarskráningar og aðgangsstýring, hafi í reynd verið tæknilega til þess fallnar að hindra aðgang að persónuupplýsingum þeim sem Google vann fyrir hönd SidekickHealth eða dulkóðunarlykli. Þá verður heldur ekki séð að fyrir hendi hafi verið skipulagslegar ráðstafanir sem voru til þess fallnar að takmarka slíkan aðgang nægjanlega. Raunar verða svör SidekickHealth, sem rakin eru í efnisgrein 34, þvert á móti skilin svo að Google hafi verið tæknilega unnt að nálgast umræddar persónuupplýsingar, án aðkomu SidekickHealth, hvað sem leið samningsbundnum skorðum sem reistar voru við slíkum aðgangi.

78. Þá verður ekki fallist á að skortur á raunhæfum valmöguleikum á samþýðanlegri lyklastýringarþjónustu hafi leyst SidekickHealth undan því að tryggja viðunandi verndargildi dulkóðunar. Er í því sambandi minnt á hina almennu skyldu ábyrgðaraðila að leita einungis til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðar (ESB) 2016/679 og réttindi skráðra einstaklinga, sbr. 1. mgr. 25. gr. laga nr. 90/2018 og 1. mgr. 28. gr. reglugerðarinnar.

79. Með hliðsjón af því sem hér hefur verið rakið er það niðurstaða Persónuverndar að SidekickHealth hafi ekki sýnt fram á að hafa gert fullnægjandi viðbótarverndarráðstafanir í tengslum við heimild félagsins til Google í vinnslusamningi tilmiðlunar persónuupplýsinga til þriðju landa. Því hafi SidekickHealth ekki uppfyllt skilyrði 46. gr. reglugerðar (ESB) 2016/679. Þá verður ekki séð önnur ákvæði V. kafla reglugerðar (ESB) 2016/679 komi til skoðunar í málinu vegna heimildar til miðlunar persónuupplýsinga samkvæmt ákvæði 10.1 í vinnslusamningi SidekickHealth og Google.

VI.

Beiting valdheimilda

80. Að gættum niðurstöðum Persónuverndar um brot SidekickHealth gegn lögum nr. 90/2018 og reglugerð (ESB) 2016/679, sem raktar eru í kafla V., kemur til álita að leggja stjórnvaldssekt á félagið, samkvæmt 1. tölul. 2. mgr. 46. gr. laganna og a-lið 4. mgr. 83. gr. reglugerðarinnar. Í 47. gr. laganna og 2. og 3. mgr. 83. gr. reglugerðarinnar er mælt fyrir um til hvers skal líta við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera.

81. Persónuvernd telur það einkum mæla með beitingu stjórnvaldssektar að brot SidekickHealth snertu [fjölda] skráða einstaklinga, sbr. 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í annan stað verður að horfa til þess að um var að ræða upplýsingar um heilsufar notenda smáforritsins Sidekick sem teljast viðkvæmar persónuupplýsingar samkvæmt skilgreiningu b-liðar 3. tölul. 3. gr. laga nr. 90/2018, sbr. 15. tölul. 4. gr. og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679, sbr. 7. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og g-lið 2. mgr. 83. gr. reglugerðarinnar. Loks þykir verða að líta til þess að rekstur smáforritsins heyrir undir meginstarfsemi félagsins, sbr. 11. tölul. lagaákvæðisins og k-lið reglugerðarákvæðisins.

82. Á hinn bóginn telur Persónuvernd það í fyrsta lagi mæla gegn beitingu stjórnvaldssektar að umfang brotanna er fremur takmarkað, þegar frá er talinn fjöldi hinna skráðu einstaklinga sem brotin snertu. Í öðru lagi er til þess að líta að notkun smáforritsins Sidekick er valfrjáls og ráða má af gögnum málsins að notendur ákveði sjálfir hvaða persónuupplýsingar þeir skrá þar inn. Í þriðja lagi ber að horfa til þess að samkvæmt gögnum málsins fól SidekickHealth Google einkum að hýsa persónuupplýsingar. Má samkvæmt því gera ráð fyrir að möguleikar Google til að safna upplýsingum um notkun einstaklinga á smáforritinu Sidekick hafi verið fremur takmarkaðir. Er hýsingarþjónusta að því leyti frábrugðin ýmsum öðrum skýjaþjónustum, svo sem þegar notaður er hugbúnaður í skýinu sem þjónustuveitandinn leggur til, þ.e. í svonefndum SaaS-skýjalausnum (Software as a Service), sem Persónuvernd hefur áður fjallað um, sbr. t.d. ákvarðanir stofnunarinnar frá 28. nóvember 2023 í málum nr. 2022020363, nr. 2022020414, nr. 2022020415, nr. 2022020416 og nr. 2022020418 sem vörðuðu notkun á Google Workspace for Education. Um framangreind atriði vísast einkum til 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a-liðar 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Í fjórða lagi ber að líta til þess að SidekickHealth gerði tilteknar verndarráðstafanir í tengslum við miðlun persónuupplýsinga til þriðju landa, þrátt fyrir að þær hafi ekki gengið nægjanlega langt, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins..

83. Að virtum framangreindum sjónarmiðum og málsatvikum að öðru leyti, svo og að teknu tilliti til reglna um meðalhóf, sbr. 1. mgr. 83. gr. reglugerðar (ESB) 2016/679 og 12. gr. stjórnsýslulaga nr. 37/1993, þykja ekki næg efni til að leggja stjórnvaldssekt á SidekickHealth vegna þeirra brota félagsins gegn persónuverndarlöggjöfinni sem fjallað hefur verið um í ákvörðun þessari. Rétt þykir þó að veita SidekickHealth áminningu, sbr. 2. tölul. 42. gr. laganna, vegna fyrrgreindra brota.

84. Fyrir liggur að beinu samningssambandi SidekickHealth og Google er lokið. Kemur því ekki til álita að beina fyrirmælum til SidekickHealth vegna framangreindra brota.

85. Núgildandi vinnslusamningur SidekickHealth og [X], sem tekur til hýsingar á persónuupplýsingum notenda smáforritsins Sidekick, fellur enn fremur utan afmörkunar þessa máls. Af því leiðir að Persónuvernd hefur ekki tekið afstöðu til samningsins og kemur því heldur ekki til álita að beina fyrirmælum til félagsins varðandi hann. Með vísan til 1. tölul. 5. mgr. 39. gr. laga nr. 90/2018 og d-liðar 1. mgr. 57. gr. reglugerðar (ESB) 2016/679 leiðbeinir Persónuvernd félaginu þó um að huga að því hvort forsendur ákvörðunar þessarar gefi tilefni til breytinga á samningnum og bendir á að samningurinn kann að koma til skoðunar í síðari athugun eða úttekt stofnunarinnar.

Á k v ö r ð u n a r o r ð:

SidekickHealth ehf. hafði samkvæmt vinnslusamningi færi á að andmæla vali Google Ireland Ltd. á undirvinnsluaðilum í samræmi við 2. mgr. 25. gr. laga nr. 90/2018 og 2. mgr. 28. gr. reglugerðar (ESB) 2016/679.

Vinnslusamningur SidekickHealth ehf. við Google Ireland Ltd. uppfyllti ekki skilyrði a-liðar 3. mgr. 28. gr. reglugerðar (ESB) 2016/679, um að kveða á um að Google Ireland Ltd. skyldi einungis vinna persónuupplýsingar samkvæmt skjalfestum fyrirmælum SidekickHealth ehf.

Vinnslusamningur SidekickHealth ehf. við Google Ireland Ltd. uppfyllti ekki þau skilyrði 3. mgr. 25. gr. laga nr. 90/2018 og 1. málsl. 3. mgr. 28. gr. reglugerðar (ESB) 2016/679 að tilgreina viðfangsefni vinnslunnar, flokka upplýsinga og flokka hinna skráðu.

SidekickHealth ehf. gerði ekki fullnægjandi ráðstafanir vegna heimildar í vinnslusamningi við Google Ireland Ltd. til miðlunar persónuupplýsinga til þriðju landa, í samræmi við 44. gr. reglugerðar (ESB) 2016/679.

SidekickHealth ehf. er veitt áminning, sbr. 2. tölul. 42. gr. laga nr. 90/2018, vegna þeirra brota.

Persónuvernd, 17. desember 2024

Ólafur Garðarsson
formaður

Árnína Steinunn Kristjánsdóttir
Björn Geirsson
Vilhelmína Haraldsdóttir
Þorvarður Kári Ólafsson