PERSÓNUVERNDARSTEFNA
- Um persónuverndarstefnu ÍE
Allt frá stofnun Íslenskrar erfðagreiningar ehf. (ÍE) hefur áhersla á öryggi við vinnslu persónuupplýsinga verið lykilþáttur í starfsemi fyrirtækisins. Persónuupplýsingar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til einstaklings. Tilvísun í auðkenni eins og nafn, kennitölu, eða einn eða fleiri þætti sem einkenna einstakling í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, félagslegu og menningarlegu tilliti eru persónuupplýsingar. Öll vinnsla ÍE á persónuupplýsingum fer fram í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 (pvl.), evrópsku persónuverndarreglugerðina ESB/2016/679 (pvrg.), lög um vísindarannsóknir á heilbrigðissviði nr. 44/2014, lög nr. 110/2000 um lífsýnasöfn og söfn heilbrigðisupplýsinga og aðrar innlendar og alþjóðlegar reglur og viðmið um framkvæmd vísindarannsókna. Einnig hefur fyrirtækið sett sér sérstakar siðareglur og hátternisreglur sem m.a. gilda um störf rannsakenda sem starfa hjá því.
Vinnsla persónuupplýsinga í þágu vísindarannsókna er um margt frábrugðin annars konar vinnslu persónuupplýsinga, m.a. hvað varðar hagsmuni hinna skráðu. Af þeim sökum er að finna mörg sérákvæði um slíka vinnslu í persónuverndarlögum sem taka mark af hinu sérstaka eðli vinnslunnar, auk þess að um vísindarannsóknir gilda sérstök lög um vísindarannsóknir á heilbrigðissviði sem kveða á um framkvæmd rannsókna og starfsemi vísindasiðanefndar, sem gætir hagsmuna þátttakenda.
Persónuverndarstefna ÍE tekur mið af þessari sérstöðu. Í henni er að finna lýsingu á því hvaða persónuupplýsingum ÍE safnar og vinnur með, hvers vegna, hve lengi megi ætla að upplýsingarnar verði geymdar og með hvaða hætti sé gætt að öryggi þeirra. Þá er einnig fjallað um rétt einstakinga/ hinna skráðu.
Frekari upplýsingar um vinnslu persónuupplýsinga í hverri vísindarannsókn á vegum ÍE er að finna í kynningarbréfi og upplýstu samþykki þátttakenda í þeirri rannsókn. Þær upplýsingar eru til viðbótar persónuverndarstefnu þessari.
- Um Íslenska erfðagreiningu og Þjónustumiðstöð rannsóknarverkefna.
ÍE er fyrirtæki sem hefur í yfir tvo áratugi stundað vísindarannsóknir sem hlotið hafa leyfi vísindasiðanefndar. Rannsóknirnar eru á sviði mannerfðafræði og eiga sér stað með þátttöku einstaklinga og ýmssa samstarfsaðila, m.a. starfsmönnum Landspítala og annarra heilbrigðisstofnana og sjálfstætt starfandi heilbrigðisstarfsmanna. Þjónustumiðstöð rannsóknaverkefna (ÞR) er sjálfseignarstofnun sem sér um klínískan hluta erfðafræðirannsókna Íslenskrar erfðagreiningar fyrir þá samstarfsaðila innan íslenska heilbrigðiskerfisins sem þess óska. Starfsmenn ÞR vinna í umboði ábyrgðaraðila einstakra rannsókna að söfnun lífsýna og upplýsinga um einkenni sjúkdóma, áhættuþætti, greiningu og meðferð. ÞR er því vinnsluaðili ÍE. Frekari upplýsingar um starfsemi ÍE má finna á vefsíðu fyrirtækisins, www.decode.is og frekari upplýsingar um ÞR er að finna á vefsíðunni www.rannsokn.is.
Ábyrgðaraðili vegna vinnslu persónuupplýsinga í vísindarannsóknum ÍE er Kári Stefánsson læknir og forstjóri ÍE sem er ábyrgðarmaður vísindarannsókna skv. lögum um vísindarannsóknir. Í öðrum tilvikum er það ÍE Sturlugötu 8, 101 Reykjavík, kt. 691295-3549. ÍE byggir rannsóknir sínar á þátttöku fjölmargra einstaklinga sem hafa gefið lífsýni og veitt upplýst samþykki til að gögn um heilsufar og marga fleiri þætti sem hafa áhrif á heilsu og lífsgæði þeirra, megi nýta til rannsókna í mannerfðafræði. ÍE vinnur með lífsýni og persónuupplýsingar sem vistaðar eru undir gerviauðkennum sem búin eru til með nafnleyndarkerfi ÍE. Það hefur verið í notkun í yfir 20 ár og hlotið samþykki og er undir eftirliti Persónuverndar. Í evrópsku persónuverndarreglugerðinni er eindregið hvatt til notkunar gerviauðkenna auk þess sem notkun þeirra er viðurkennd sem mjög öflug aðferð til að tryggja persónuvernd. Allra lífsýna og rannsóknargagna er enn fremur gætt í traustum geymslum og upplýsingakerfum þar sem gerðar hafa verið öflugar ráðstafanir til að tryggja innra og ytra öryggi.
Niðurstöður rannsókna eru birtar í fremstu ritrýndu vísindatímaritum heims ef þær uppfylla fræðilegar kröfur. Rannsóknargögnum og niðurstöðum er þó einungis lýst á formi sem er með öllu ópersónugreinanlegt.
- Tegundir persónuupplýsinga sem er safnað og unnið með.
ÍE safnar og vinnur persónuupplýsingar til að geta sinnt rannsóknum á erfðaefni Íslendinga og leita þar með orsaka margra alvarlegustu sjúkdóma sem hrjá mannkynið, s.s. krabbameina, hjartasjúkdóma og sykursýki. Þegar erfðabreytileikar finnast, sem tengjast sjúkdómum, opnast möguleikar til að bæta líf og heilsu.
Þær tegundir persónuupplýsinga sem ÍE vinnur með eru m.a. heilsufarsupplýsingar sem fengnar eru frá klínískum samstarfsaðilum, upplýsingar úr gagnasöfnum í samræmi við rannsóknarleyfi vísindasiðanefndar og svör þátttakenda í vísindarannsóknum við spurningalistum, sem geyma almennar persónuupplýsingar auk heilsufars- og lífstílsupplýsinga. Hvað varðar rannsóknir þar sem unnið er með heilbrigðisgögn úr alþjóðlegum heilbrigðisgagnasöfnum[1] byggjast þær á leyfi vísindasiðanefnda í viðkomandi landi. Þá vinnur ÍE arfgerðarupplýsingar sem fengnar eru með einangrun og arfgerðargreiningu erfðaefnisins DNA úr lífsýnum sem þátttakendur gefa eða fengin eru úr lífsýnasöfnum, auk upplýsinga um tjáningu gena og próteina sem eru mynduð eftir þeim. Hér er því um að ræða persónuupplýsingar sem teljast viðkvæmar persónuupplýsingar. Sömuleiðis vinnur ÍE með ættfræðiupplýsingar sem fengnar eru úr Íslendingabók.
ÍE vinnur með persónuupplýsingar um umsækjendur þegar sótt er um starf hjá fyrirtækinu. Tilteknar upplýsingar eru nauðsynlegar við mat umsókna s.s. tengiliðaupplýsingar, ferilskrá, kynningarbréf, upplýsingar um menntun, umsagnir þriðja aðila ofl. ÍE vinnur með persónuupplýsingar vegna samskipta við birgja fyrirtækisins. Hjá ÍE safnast myndbandsupptökur úr eftirlitsmyndavélum í starfsstöð fyrirtækisins. Þá hvílir á ÍE einnig lagaskylda sem almennt hvílir á öllum íslenskum rekstraraðilum að vinna ákveðin persónugreinanleg gögn sem ekki tengjast vísindarannsóknum, t.d. vegna starfsmannahalds og ákvæða bókhalds- og skattalaga. ÍE fær almennar lýðskrárupplýsingar úr Þjóðskrá til að uppfæra ættfræðiupplýsingar. Vefsíðan islendingabok.is safnar og vinnur með persónuupplýsingar í þágu ættfræðirannsókna. Frekari upplýsingar um islendingabok.is er að finna á þeirri vefsíðu.
Í umtalsverðum mæli hefur ÍE hlutverk vinnsluaðila í erlendu vísindasamstarfi og vinnur þá arfðgerðarupplýsingar úr lífsýnum þátttakenda sem erlendu samstarfsaðilarnir hafa aflað sem hafa fengið leyfi vísindasiðanefndar í viðkomandi landi fyrir rannsókninni og eftir atvikum fengið samþykki frá þátttakendum. Í öllum tilvikum eru erfðasýnin móttekin dulkóðuð og þau síðan sett á gerviauðkenni hjá ÍE.
Í sérstökum tilfellum tekur ÍE að sér að framkvæma klíníska vinnu fyrir íslenska heilbrigðiskerfið. Þá hefur fyrirtækið stöðu vinnsluaðila eða undirvinnsluaðila sem starfar eftir fyrirmælum og á ábyrgð viðkomandi heilbrigðisstofnunar eða embættis, samkvæmt vinnslusamningi eða undirvinnslusamningi sem gerður er um vinnsluna. Dæmi um þetta eru ýmsar sýnatökur og mælingar sem gerðar hafa verið samkvæmt samningi ÍE við sóttvarnarlækni og Landspítalann vegna COVID-19 faraldursins. Í hlutverki vinnslu- eða undirvinnsluaðila er ÍE aðeins heimilt að vera í sambandi við hina skráðu samkvæmt fyrirmælum frá ábyrgðaraðila þar um.
- Tilgangur og heimildir fyrir vinnslu persónuupplýsinga.
Tilgangur ÍE með vinnslu sinni á persónuupplýsingum er að framkvæma vísindarannsóknir á heilbrigðissviði með því að rannsaka arfgerðarupplýsingar sem lúta að eiginleikum hópa og tengslum þeirra við upplýsingar um heilsufar og aðra þætti sem hafa áhrif á mannlegan fjölbreytileika. Þannig verður til ný þekking þar sem reynt er að tengja breytileika í erfðamengi mannsins við svipgerðir á borð við sjúkdóma. Þá þekkingu má síðan nota til að freista þess að finna nýjar aðferðir til þess að greina og lækna sjúkdóma. Rannsóknir ÍE teljast til grunnrannsókna.
Vinnsla á persónuupplýsingum byggir á heimildum sem markaðar eru í lögum s.s. laga um lífsýnasöfn og söfn heilbrigðisupplýsinga og laga um vísindarannsóknir á heilbrigðissviði og rannsóknarleyfum sem gefin eru út á grundvelli þeirra af vísindasiðanefnd og eftir atvikum einnig upplýstu samþykki þátttakenda. Þátttakandi getur dregið samþykki sitt til baka hvenær sem er en þá ber að athuga að niðurstöður þeirra rannsókna sem þegar er lokið varðveitast. Ef upplýsinga er aflað frá öðrum en þátttakandanum sjálfum er það gert í samræmi við heimildir laga og rannsóknarleyfi. Dæmi um slíkar rannsóknir eru gagnarannsóknir, sem fjallað er um í lögum um vísindarannsóknir, þar sem er byggt á fyrirliggjandi gögnum og atbeina einstaklinga þarf ekki til. Hvað varðar rannsóknir þar sem unnið er með heilbrigðisgögn úr alþjóðlegum heilbrigðisgagnasöfnum, þá er vinnsluheimildin samþykki þátttakanda og lögmætir hagsmunir ÍE þar sem vinnslan er nauðsynleg vegna vísindarannsókna. Notkun á ættfræðiupplýsingum úr Íslendingabók í þágu vísindarannsókna á heilbrigðissviði byggir á sömu heimildum og vinnsla annarra persónuupplýsinga í þágu vísindarannsókna, þ.e. leyfi vísindasiðanefndar. Auk þess skal meðferð allra gagna sem unnið er með í þágu vísindarannsókna vera í samræmi við sérstök fyrirmæli Persónuverndar til ÍE um verklag til að tryggja öryggi við vinnslu persónuupplýsinga í þágu vísindarannsókna á heilbrigðissviði.
Heimildir til vinnslu persónuupplýsinga um umsækjendur um starf hjá fyrirtækinu grundvallast á samþykki og ráðstöfunum að beiðni umsækjanda áður en samningur er gerður. Vinnsla persónuupplýsinga vegna samskipta við birgja fyrirtækisins grundvallast á samningi milli aðilanna en vinnsla persónuupplýsinga til að framfylgja lagaskyldu er í viðkomandi löggjöf. Myndbandsupptökur úr eftirlitsmyndavélum á og við starfsstöð fyrirtækisins byggjast á lögmætum hagsmunum þess. Vefsíður ÍE vista fótspor í tölvu eða snjalltæki sem nýtt er til að skoða vefsíður fyrirtækisins. Nánar um fótsporastefnu ÍE er að finna hér.
Þegar ÍE er vinnsluaðili í erlendu vísindasamstarfi og vinnur arfgerðarupplýsingar úr lífsýnum sem fengin eru frá erlendum samstarfsaðilum þá vinnur ÍE persónuupplýsingarnar samkvæmt fyrirmælum ábyrgðaraðila og á grundvelli gildandi vinnslusamnings milli ÍE og ábyrgðaraðila. Ábyrgðaraðilinn ber ábyrgð á því að framfylgja lögum og reglum vegna rannsóknarinnar s.s. að afla samþykkis vísindasiðanefndar í sínu landi fyrir vísindarannsókninni og eftir atvikum að fá upplýst samþykki þátttakenda.
Í sérstökum tilfellum tekur ÍE að sér að framkvæma klínískar vinnu fyrir íslenska heilbrigðiskerfið. Hefur þá fyrirtækið stöðu vinnsluaðila sem starfar eftir fyrirmælum og á ábyrgð viðkomandi heilbrigðisstofnunar eða embættis, samkvæmt vinnslusamningi sem gerður er um vinnsluna. Dæmi um þetta eru ýmsar sýnatökur og mælingar sem gerðar hafa verið samkvæmt samningi ÍE við sóttvarnarlækni og Landspítalann vegna COVID-19 faraldursins.
- Hversu lengi geymum við gögnin?
Gögn eru geymd meðan á rannsókn stendur og eins lengi og nauðsynlegt er til að ná markmiðum viðkomandi rannsóknar í samræmi við gildandi lög, rannsóknarleyfi og skilyrði alþjóðlegra heilbrigðisgagnasafna þegar það á við Möguleg varðveisla rannsóknargagna til lengri tíma byggir á heimildum í lögum nr. 110/2000 um lífsýnasöfn og söfn heilbrigðisupplýsinga. Vegna annarra persónupplýsinga en tengjast vísindarannsóknum varðveitir ÍE þær persónuupplýsingar eins lengi og nauðsynlegt er miðað við tilgang vinnslu, skilmála samninga, fyrirmæli í lögum s.s. bókhalds- og skattalaga og málefnalegar ástæður gefa tilefni til. Hjá ÍE er samþykkt stefna um varðveislu gagna.
- Hvert er persónuupplýsingum miðlað?
ÍE miðlar ekki persónuupplýsingum eða persónugreinanlegum gögnum úr vísindarannsóknum til annarra aðila.
Í undantekningartilvikum semur ÍE við aðila innan eða utan EES um frekari greiningar eða mælingar á lífsýnum vegna sérhæfðra tækja eða tækni sem aðilinn býr yfir en ÍE ekki. Í öllum slíkum tilvikum eru lífsýnin send ópersónuauðkennd með notkun gerviauðkennis. Miðlunin er framkvæmd í samræmi við 5. kafla evrópsku persónuverndarreglugerðarinnar.
Vinnsluaðili ÍE fyrir persónuupplýsingar með beinum persónuauðkennum (t.d. nafni og kennitölu) er Þjónustumiðstöð rannsóknarverkefna (ÞR), sem sér m.a. um samskipti við þátttakendur í vísindarannsóknum. ÍE sendir eftir atvikum persónuupplýsingar til ÞR undir gerviauðkennum til þess að ÞR geti sinnt verkefnum sínum í samræmi við rannsóknarleyfi frá vísindasiðanefnd. Sjá nánari upplýsingar um ÞR á vefsíðu ÞR; www.rannsokn.is.
ÍE semur ekki við vinnsluaðila vegna frekari vinnslu á heilbrigðisgögnum sem fengin eru úr alþjóðlegum heilbrigðisgagnasöfnum.
ÍE í hlutverki vinnsluaðila fyrir erlenda samstarfsaðila er gert að senda niðurstöður rannsókna á erlendum lífsýnum til ábyrgðaraðila samkvæmt fyrirmælum hans sem koma fram í vinnslusamningi milli ábyrgðaraðila og ÍE.
- Hvernig tryggjum við öryggi persónuupplýsinga?
Upplýsingaöryggi hefur verið lykilþáttur í rekstri ÍE frá stofnun fyrirtækisins enda er örugg meðferð persónuupplýsinga grundvallarforsenda þess að viðhaldið sé trausti almennings og þátttakenda. Upplýsingaöryggisstefna ÍE leggur grunn að stjórnkerfi upplýsingaöryggis hjá ÍE. Hjá ÍE fer stöðugt fram mat á þeirri hættu sem steðjar að öryggi persónuupplýsinga. Gerðar eru viðeigandi öryggisráðstafanir, einkum með dulkóðun beinna persónuauðkenna þar sem þeim er skipt út fyrir gerviauðkenni, aðskilnaði gagna á lokuðum tölvukerfum án nettenginga, aðgangsstýringum og margháttuðum öryggisráðstöfunum öðrum til að tryggja öryggi tölvukerfa og til að tryggja almennt rekstraröryggi í allri starfsemi fyrirtækisins. Þá viðhefur ÍE innra eftirlit með ofangreindu og endurskoðar áhættumat og viðbragðsáætlanir við öryggisvá reglulega.
- Réttur einstaklinga.
Lög um persónuvernd tryggja einstaklingum ýmis réttindi tengd vinnslu persónuupplýsinga en þau lúta þó ákveðnum takmörkunum sem persónuverndarlög tilgreina.
8.1 Aðgangur að eigin persónuupplýsingum
Megnreglan er að einstaklingur á rétt á staðfestingu frá ábyrgðaraðila persónuupplýsinga um það hvort unnið sé með persónuupplýsingar viðkomandi og ef svo er til aðgangs að þeim persónuupplýsingum. Frá þessari meginreglu er undantekning í 2. mgr. 18. gr. persónuverndarlaga, sbr. 2. mgr. 89. gr. persónuverndarreglugerðarinnar, þegar um er að ræða vísindarannsóknir og ætla má að réttindin geri það ómögulegt eða hamli því verulega að rannsakandinn geti náð rannsóknarmarkmiðum sem að er stefnt. Hér er því verið að undanþiggja persónupplýsingar sem ekki er verið að nota til stuðnings ráðstöfunum eða ákvörðunum viðvíkjandi einstaklinginn sem um ræðir. Í rannsóknum ÍE er ekki verið að taka ákvarðanir eða gera ráðstafanir fyrir þá einstaklinga sem taka þátt. Öll rannsóknarvinna ÍE miðast við að leita að nýrri þekkingu um hópa af fólki en ekki einstaklinga, þótt grunngögn rannsóknar séu gögn um einstaklinga. Þar af leiðandi verða til óunnin grunngögn um einstaka þátttakendur í rannsóknum ÍE á borð við upplýsingar um raðir niturbasa í erfðaefni eftir arfgerðargreiningu þess, en ekki sértækar niðurstöður sem lúta að einstökum þátttakanda og tengslum hans við ákveðnar svipgerðir á borð við sjúkdóma. Því verða ekki til aðgengilegar skrár hjá ÍE sem lýsa tengslum einstakra breytileika í erfðamengi einstaklinga við svipgerðir á borð við sjúkdóma. Þess í stað verða einungis til hópskrár sem lýsa slíkum tengslum fyrir stærri hópa. Ekki er því hægt að veita þátttakanda upplýsingar um einstaklingsbundna áhættu tengdum erfðaeiginleikum sem tengjast tilteknum sjúkdómum í verkefnum sem hann hefur tekið þátt nema með framkvæmd sértækrar vinnslu sem myndi kalla á gríðarlega fyrirhöfn, vinnu og hafa í för með sér mikinn kostnað sem væri ekki í þágu rannsóknarmarkmiða ÍE. Af þessu leiðir að ÍE mun ekki sjá sér fært að veita arfgerðarupplýsingar á einstaklingsgrunni. Eina undantekningin sem reynt hefur á frá þessu eru upplýsingar um stökkbreytingu í svokölluðu BRCA2 geni sem hafa ótvírætt læknisfræðilegt gildi fyrir einstaklinga og ákvað ÍE að leggja í mikla vinnu, fyrirhöfn og tilkostnað til að geta gert þær upplýsingar aðgengilegar í gegnum vefsíðuna www.arfgerd.is.
ÍE mun því veita þátttakendum í vísindarannsóknum, sem þess óska, upplýsingar um, i) í hvaða rannsóknarverkefnum upplýsingar er að finna um hann, ii) hvaða svipgerðir (t.d. sjúkdómsgreiningar og mæligildi) eru til rannsóknar í viðkomandi verkefni, og iii) hvaðan svipgerðarupplýsingar sem nýttar eru í viðkomandi verkefni eru komnar. Þetta gildir þó ekki um þátttakendur í alþjóðlegum heilbrigðisgagnasöfnum, þeim þátttakendum verður vísað í viðeigandi farveg hjá gagnasafni til að fá úrlausn beiðnar sinnar.
Í tilteknum vísindarannsóknum á vegum ÍE fá þátttakendur samanteknar niðurstöður mælinga á klínískum þáttum sem þeir hafa undirgengist (s.s. blóðþrýstingur og blóðgildi) að þátttöku lokinni. Slíkar niðurstöður eru aðgengilegar þátttakendum í vísindarannsókninni meðan hún stendur yfir.
8.2 Leiðrétting rangra persónuupplýsinga
Telji einstaklingur að einhverjar upplýsingar sem ábyrgðaraðili persónuupplýsinga varðveiti um hann séu óáreiðanlegar á hann rétt á því að ábyrgðaraðili leiðrétti þær án tafar, sbr. 16. gr. almennu persónuverndarreglugerðarinnar. Undanþága er veitt frá þessari meginreglu í 2. mgr. 18. gr. persónuverndarlaga, sbr. 2. mgr. 89. gr. persónuverndarreglugerðarinnar í tilviki vísindarannsókna.
8.3 Afturköllun samþykkis
Þátttakandi í vísindarannsókn sem veitt hefur upplýst samþykki og gefið lífsýni á rétt, samkvæmt lögum um vísindarannsóknir á heilbrigðissviði, til að draga samþykki sitt til baka hvenær sem er án nokkurra skýringa. Sama á við um samþykki fyrir varðveislu lífsýna og heilbrigðisupplýsinga til notkunar í síðari rannsóknum. Sé samþykki afturkallað skal hætta rannsókn á lífsýnum og/eða heilbrigðisupplýsingum viðkomandi þátttakanda. Afturköllun samþykkis hefur ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturköllun.
8.4 Eyðing
Samkvæmt lögum um persónuvernd á einstaklingur rétt á að ábyrgðaraðili persónuupplýsinga eyði upplýsingum um hann að ákveðnum skilyrðum uppfylltum. Réttindin sæta takmörkunum ef vinnslan er nauðsynleg vegna rannsókna á sviði vísinda eða sagnfræði, sbr. d.-lið 3. mgr. 17. gr. Persónuverndarreglugerðarinnar. Þau eru því ekki fyrir hendi vegna vinnslu persónuupplýsinga í vísindarannsóknum ÍE. Hins vegar veita lög um vísindarannsóknir á heilbrigðissviði og lög um lífsýnasöfn og söfn heilbrigðisupplýsinga þátttakendum í vísindarannsókn rétt til að afturkalla samþykki sitt og að fá lífsýnum og heilbrigðisupplýsingum um sig eytt. Einstaklingur getur þó ekki krafist eyðingar þegar lífsýnið eða upplýsingarnar eru ópersónugreinanlegar og lífsýnið er orðið hluti af öðru efni eða ef upplýsingarnar eru þegar orðnar hluti af niðurstöðum rannsóknar. Í slíkum tilvikum er enda ekki lengur unnt að rekja niðurstöður rannsókna til einstaklingsins. Í því tilviki að þátttakandi hafi afturkallað samþykki sitt vegna heilbrigðisgagna í alþjóðlegu heilbrigðisgagnasafni (8.3) eða krefjist eyðingar á þeim mun ÍE fá fyrirmæli frá viðeigandi stjórnendum gagnasafnsins um að framkvæma afturköllun og/eða eyðingu.
8.5 Andmælaréttur og takmörkun á vinnslu
Persónuverndarlög veita einstaklingi rétt til þess að ábyrgðaraðili takmarki vinnslu persónuupplýsinga um hann í tilteknum tilvikum auk þess sem hann á rétt til að andmæla hvenær sem er og getur það leitt til þess að ábyrgðaraðila beri að stöðva vinnsluna. Þessi réttindi einstaklinga ná ekki til vísindarannsókna, sbr. 2. mgr. 18. gr. persónuverndarlaga, sbr. 2. mgr. 89. gr. persónuverndarreglugerðarinnar. Þó er minnt á rétt þátttakanda í vísindarannsókn til að afturkalla samþykki eins og lýst er í grein 8.3 og til eyðingar í grein 8.4.
8.6 Kvörtun til Persónuverndar
Einstaklingar hafa rétt á að leggja fram kvörtun til Persónuverndar ef þeir telja að ekki hafi verið fylgt ákvæðum persónuverndarlaga um meðferð á persónuupplýsingum, eða ÍE hafi ekki brugðist við kvörtun vegna vinnslu persónuupplýsinga sinna með fullnægjandi hætti. Erindið skal senda á postur@personuvernd.is eða á heimilisfang Persónuverndar, Rauðarárstíg 10, 105 Reykjavík. Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd og vinnslu persónuupplýsinga og úrskurðar í ágreiningsmálum á sviði persónuverndar.
- Hvernig er hægt að hafa samband við okkur?
Einstaklingum gefst kostur á að leita til Þjónustumiðstöðvar rannsóknaverkefna (ÞR) í Turninum, Smáratorgi 3, Kópavogi, símanúmer: 520 2800 óski þeir eftir að fá almennar upplýsingar um framkvæmd vísindarannsókna eða vinnslu persónuupplýsinga. Einnig skulu einstaklingar leita til ÞR óski þeir eftir upplýsingum um vinnslu persónuupplýsinga um sig í vísindarannsóknum Íslenskrar erfðagreiningar (ÍE), á grundvelli persónuverndarstefnunnar, laga um persónuvernd og vinnslu persónuupplýsinga og laga um vísindarannsóknir á heilbrigðissviði. Þar má nálgast eyðublöð með beiðni um veitingu upplýsinga um vinnsluna. Gerð er krafa um að viðkomandi einstaklingur sýni fullgild persónuskilríki með mynd um leið og upplýsingabeiðni er skilað, til að tryggja örugga auðkenningu.
Ekki er tekið við beiðnum um upplýsingar um vinnslu persónuupplýsinga hjá ÍE í gegnum síma eða með tölvupósti, því slíkir samskiptamiðlar uppfylla ekki persónuverndarkröfur. Þá er niðurstöðum sem innihalda persónuupplýsingar ekki skilað með þeim hætti.
Ef einstaklingur telur ÞR ekki hafa svarað erindinu vegna meðferðar persónuupplýsinga getur hann haft samband við persónuverndarfulltrúa ÍE með því að senda tölvupóst á netfangið personuvernd@decode.is. Hlutverk persónuverndarfulltrúans er að fylgjast með því að farið sé eftir ákvæðum laga og reglna um persónuvernd. Persónuverndarfulltrúi Íslenskrar erfðagreiningar er Erla Þuríður Pétursdóttir lögfræðingur.
Greið og aðgengileg leið til að kynna sér nýjustu upplýsingar um vinnslu persónuupplýsinga hjá ÍE er að skoða fræðsluefni á vefsíðu fyrirtækisins www.decode.is.
- Hvernig uppfærum við eða breytum persónuverndarstefnunni?
ÍE getur breytt þessari persónuverndarstefnu og bætt við hana hvenær sem er til að endurspegla sem best þá vinnslu sem fram fer hverju sinni hjá ÍE og taka slíkar breytingar gildi án fyrirvara. Slíkar breytingar kunna t.d. að vera gerðar til að samræma persónuverndarstefnuna við gildandi lög og reglur er varða persónuvernd hverju sinni. Uppfærð persónuverndarstefna er ætíð aðgengileg á vefsíðu ÍE: www.decode.is.
Persónuverndarstefna þessi tók fyrst gildi 15. júlí 2018, sbr. einnig seinni breytingar gerðar 27. maí 2020, 15. júlí 2022, 17. október 2023..
[1] Alþjóðleg heilbrigðisgagnasöfn eru t.d. UK Biobank, www.ukbiobank.ac.uk og Our Future Health, www.ourfuturehealth.org.uk
Fræðsla vegna notkunar eftirlitsmyndavéla hjá Íslenskri erfðagreiningu ehf. (ÍE) og á lóð ÍE.
Ábyrgðaraðili vöktunarinnar er: Íslensk erfðagreining ehf. (ÍE), Sturlugötu 8, 102 Reykjavík, sími 570-1900 með netfangið personuvernd@decode.is
Persónuverndarfulltrúi: Hjá ÍE starfar persónuverndarfulltrúi. Netfang persónuverndarfulltrúa er personuvernd@decode.is
Tilgangur vöktunarinnar: Í öryggis- og eignavörsluskyni.
Heimild til vinnslu: Vöktun fer fram til að gæta lögmætra hagsmuna ÍE af öryggis- og eignavörsluástæðum, sbr. 6. tölul. 9. gr. laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.
Tegundir persónuupplýsinga: Myndefni sem verður til við vöktunina á hinu vaktaða svæði þar sem sjá má einstaklinga sem farið hafa um svæðið og athafnir þeirra.
Viðtakendur: Aðgengi að myndefni er stýrt af öryggisdeild ÍE og vaktað af öryggisvörðum frá samningsbundnu öryggisfyrirtæki. Efni með upplýsingum er varða öryggi- og eignavörslu getur verið birt stjórnendum og/eða starfsmönnum ÍE. Myndefni er varpar ljósi á slys eða refsiverðan verknað getur jafnframt verið afhent lögreglu. Einnig getur efni verið afhent tryggingafélagi sé það nauðsynlegt vegna tryggingamáls. Sjá að öðru leyti 5. og 10. gr. reglna nr. 50/2023 um rafræna vöktun.
Varðveislutími myndefnis: Myndefni er varðveitt í 30 daga og er síðan eytt sjálfkrafa. Þó geta upptökur verið varðveittar lengur sé það nauðsynlegt til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Sjá að öðru leyti 2. tölul. 2. mgr. 5. gr. og 11. gr. reglna nr. 50/2023 um rafræna vöktun.
Réttindi einstaklinga: Einstaklingar geta átt rétt að fá afrit af myndefni að því gefnu að það skerði ekki réttindi og frelsi annarra. Að öðru leyti fer um réttindi einstaklinga samkvæmt III. kafla laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Réttur til að leggja fram kvörtun hjá Persónuvernd: Þeir sem sæta rafrænni vöktun eiga rétt á að leggja fram kvörtun hjá Persónuvernd ef þeir telja að vinnsla persónuupplýsinga þeirra gangi gegn persónuverndarlögum.