PERSÓNUVERNDARSTEFNA

Íslensk erfðagreiningu hefur sett sér persónuverndarstefnu sem er birt hér á vef fyrirtækisins.

Þeim einstaklingum sem óska eftir upplýsingum um vinnslu persónuupplýsinga um sig í vísindarannsóknum Íslenskrar erfðagreiningar (ÍE), á grundvelli persónuverndarstefnunnar og á grundvelli laga nr. 90/2018, gefst kostur á að leita til Þjónustumiðstöðvar rannsoknarverkefna í Turninum, Smáratorgi 3, Kópavogi, símanúmer: 520-2800. Þar má nálgast eyðublöð með beiðni um veitingu upplýsinga um vinnsluna. Gerð er krafa um að viðkomandi einstaklingur sýni fullgild persónuskilríki með mynd um leið og upplýsingabeiðni er skilað, til að tryggja örugga auðkenningu.

Ekki er tekið við beiðnum um upplýsingar um vinnslu persónuupplýsinga hjá ÍE í gegnum síma eða með tölvupósti, því slíkir samskiptamiðlar uppfylla ekki persónuverndarkröfur.

Pósthólf persónuverndarfulltrúa er: personuvernd@decode.is

Persónuverndarfulltrui Íslenskrar erfðagreiningar er Tanya Zharov, lögfræðingur.

Persónuverndarstefna Íslenskrar erfðagreiningar og Þjónustumiðstöðvar rannsóknarverkefna.

 

1. Inngangur

Íslensk erfðagreining ehf. (ÍE) er fyrirtæki sem hefur í yfir tvo áratugi stundað rannsóknir á sviði mannerfðafræði með ýmsum samstarfsaðilum, m.a. starfsmönnum Landspítala og annarra heilbrigðisstofnana og sjálfstætt starfandi heilbrigðisstarfsmönnum. ÍE á einnig í samstarfi við erlenda aðila sem senda fyrirtækinu gögn og lífsýni, en í þeim tilfellum hefur ÍE stöðu vinnsluaðila. Allt frá stofnun ÍE hefur áhersla á öryggi við vinnslu persónuupplýsinga verið lykilþáttur í starfsemi fyrirtækisins.  Persónuupplýsingar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til einstaklings.  Öll vinnsla ÍE á persónuupplýsingum fer fram í samræmi við lög um persónuvernd nr. 90/2018, almennu persónuverndarreglugerðina ESB/2016/679, lög um vísindarannsóknir á heilbrigðissviði nr. 44/2014, lög nr. 110/2000 um lífsýnasöfn og söfn heilbrigðisupplýsinga og aðrar innlendar og alþjóðlegar reglur og viðmið um framkvæmd vísindarannsókna.  Vinnsla persónuupplýsinga í þágu vísindarannsókna er um margt frábrugðin annars konar vinnslu persónuupplýsinga, m.a. hvað varðar hagsmuni hinna skráðu. Af þeim sökum er að finna mörg sérákvæði um slíka vinnslu í persónuverndarlögum sem taka mark af hinu sérstaka eðli vinnslunnar, auk þess að um vísindarannsóknir gilda sérstök lög sem kveða á um framkvæmd rannsókna og starfsemi Vísindasiðanefndar sem gætir hagsmuna þátttakenda. Persónuverndarstefna ÍE tekur mið af þessari sérstöðu. Í henni er að finna lýsingu á því hvaða persónuupplýsingum ÍE safnar og vinnur með, hvers vegna, hve lengi megi ætla að upplýsingarnar verði geymdar og með hvaða hætti sé gætt að öryggi þeirra.

 

2. Um Íslenska erfðagreiningu og Þjónustumiðstöð rannsóknarverkefna.

Ábyrgðaraðili skv. persónuverndarlögum er Kári Stefánsson læknir og forstjóri Íslenskrar erfðagreiningar ehf, Sturlugötu 8, 101 Reykjavík, kt. 691295-3549.  ÍE byggir rannsóknir sínar á þátttöku fjölmargra Íslendinga sem hafa gefið lífsýni og veitt upplýst samþykki til að gögn um heilsufar og marga fleiri þætti sem hafa áhrif á heilsu og lífsgæði þeirra, megi nýta til rannsókna í mannerfðafræði.  ÍE vinnur með lífsýni og persónuupplýsingar sem vistaðar eru undir gerviauðkennum sem búin eru til með nafnleyndarkerfi ÍE. Það hefur verið í notkun í yfir 20 ár og hefur hlotið samþykki Persónuverndar.  Í persónuverndarreglugerð ESB er eindregið hvatt til notkunar gerviauðkenna auk þess sem notkun þeirra er viðurkennd sem mjög öflugt tæki til að tryggja persónuvernd. Allra lífsýna og rannsóknargagna er ennfremur gætt í traustum geymslum og upplýsingakerfum þar  sem gerðar hafa verið öflugar ráðstafanir til að tryggja innra og ytra öryggi.  Frekari upplýsingar um starfsemi ÍE má finna á vefsíðu ÍE: www.decode.is. Persónuverndarstefnan gildir einnig eins og við á um vinnsluaðila ÍE, Þjónustumiðstöð rannsóknarverkefnda ses, Smáratorgi 3, 201 Kópavogi.

 

3. Tegundir persónuupplýsinga sem unnið er með.

ÍE notast við gögn í  vísindarannsóknir sínum sem einstaklingar láta í té með þátttöku sinni.. Þær tegundir persónuupplýsinga sem ÍE vinnur með eru m.a. ættfræðiupplýsingar, svör þátttakenda í vísindarannsóknum við spurningalistum, heilsufarsupplýsingar sem fengnar eru frá klínískum samstarfsaðilum ÍE svo sem heilbrigðisstofnunum og sjálfstætt starfandi heilbrigðisstarfsmönnum, og upplýsingar úr gagnasöfnum í samræmi við rannsóknarleyfi Vísindasiðanefndar. Þá vinnur ÍE arfgerðarupplýsingar sem fengnar eru með einangrun og arfgerðargreiningu erfðaefnisins DNA úr lífsýnum sem þátttakendur gefa eða fengin eru úr lífsýnasöfnum. Einnig vinnur ÍE með lífsýni og gögn sem fengin eru frá erlendum samstarfsaðilum á grundvelli laga og reglna viðkomandi landa auk þess sem íslensk lög gilda um vinnslu sem fram fer á Íslandi.  Á ÍE hvílir einnig lagaskylda sem almennt hvílir á öllum íslenskum rekstraraðilum að vinna ákveðin persónugreinanleg gögn sem ekki tengjast vísindarannsóknum, t.d. vegna starfsmannahalds og ákvæða bókhalds- og skattalaga. Þá geta persónuupplýsingar mögulega verið nýttar til að veita þátttakendum sérstakar upplýsingar sem þeir óska eftir ef þær teljast áreiðanlegar og hægt er að vinna þær án óhóflegs kostnaðar og fyrirhafnar.

 

4. Tilgangur og heimildir fyrir vinnslu persónuupplýsinga.

Tilgangur ÍE með vinnslu á persónuupplýsingum er að vinna vísindarannsóknir á heilbrigðissviði með því að rannsaka arfgerðarupplýsingar sem lúta að eiginleikum hópa og tengslum þeirra við upplýsingar um heilsufar og aðra þætti sem hafa áhrif á mannlegan fjölbreytileika.  Þannig verður til ný þekking þar sem reynt er að tengja breytileika í erfðamengi mannsins við svipgerðir á borð við sjúkdóma. Þá þekkingu má síðan nota til að finna nýjar aðferðir til þess að greina og lækna sjúkdóma. Rannsóknir ÍE teljast til grunnrannsókna. Vinnsla á persónuupplýsingum byggir á heimildum sem markaðar eru í lögum og rannsóknarleyfum sem gefin eru út á grundvelli þeirra af Vísindasiðanefnd og eftir atvikum einnig upplýstu samþykki þátttakenda. Ef upplýsinga er aflað frá öðrum en viðkomandi einstaklingum sjálfum er það gert í samræmi við heimildir laga og rannsóknarleyfi. Dæmi um slíkar rannsóknir eru svokallaðar gagnarannsóknir, þar sem eingöngu er byggt á fyrirliggjandi gögnum og atbeina einstaklinga þarf ekki til.

 

5. Hversu lengi geymum við gögnin?

Gögn eru geymd eins lengi og rannsókn stendur og nauðsynlegt er til að ná markmiðum viðkomandi rannsóknar í samræmi við gildandi lög og rannsóknarleyfi.  Möguleg varðveisla rannsóknargagna til lengri tíma byggir á heimildum í lögum nr. 110/2000 um lífsýnasöfn og söfn heilbrigðisupplýsinga.

 

6. Hvert er persónuupplýsingum miðlað?

ÍE miðlar ekki persónuupplýsingum eða persónugreinanlegum gögnum úr vísindarannsóknum til annarra aðila. Niðurstöður rannsókna eru birtar í fremstu ritrýndu vísindatímaritum heims. Gögnum er þó einungis lýst á formi sem er með öllu ópersónugreinanlegt. Vinnsluaðili ÍE fyrir persónuupplýsingar með bein persónuauðkenni (nafni og kennitölu) er Þjónustumiðstöð rannsóknarverkefna (ÞR), sem sér m.a. um samskipti við þátttakendur í vísindarannsóknum. ÍE sendir eftir atvikum persónuupplýsingar til ÞR undir gerviauðkennum til að ÞR geti sinnt verkefnum sínum í samræmi við rannsóknarleyfi.  Sjá nánari upplýsingar um ÞR á vefsíðu ÞR; www.rannsokn.is.

 

7. Hvernig tryggjum við öryggi persónuupplýsinga?

Upplýsingaöryggi  hefur verið lykilþáttur í rekstri ÍE frá stofnun fyrirtækisins enda er örugg meðferð persónuupplýsinga grundvallarforsenda þess að viðhaldið sé trausti almennings og þátttakenda.  Upplýsingaöryggisstefna ÍE leggur grunn að stjórnkerfi upplýsingaöryggis hjá ÍE. Hjá ÍE fer stöðugt fram mat á þeirri hættu sem steðjar að öryggi persónuupplýsinga. Gerðar eru viðeigandi öryggisráðstafanir, einkum með gerviauðkenningu persónuauðkenna, aðskilnaði gagna á lokuðum tölvukerfum án nettenginga, aðgangsstýringum og margháttuðum öryggisráðstöfunum öðrum til að tryggja öryggi tölvukerfa og til að tryggja almennt rekstraröryggi í allri starfsemi fyrirtækisins. Þá viðhefur ÍE innra eftirlit með ofangreindu og endurskoðar áhættumat og viðbragðsáætlanir við öryggisvá reglulega.

 

8. Réttur einstaklinga.

Einstaklingur á rétt á að að fá upplýsingar um hvaða persónuupplýsingar ÍE vinnur um hann innan þeirra marka og með þeim takmörkunum sem persónuverndarlög tilgreina, auk þess sem persónuverndarlög veita skráðum einstaklingum margháttuð réttindi sem varða meðferð á persónuupplýsingum um þá. Einnig eiga þátttakendur sem veitt hafa upplýst samþykki og gefið lífsýni rétt á að segja sig úr rannsóknum ÍE hvenær sem er og án sérstakra skýringa og verður þá persónuupplýsingum um þá ásamt lífsýni eytt. Þá hefur einstaklingur rétt á að leggja fram kvörtun til Persónuverndar ef þeir telja að ekki hafi verið fylgt ákvæðum persónuverndarlaga um meðferð á persónuupplýsingum. Persónuvernd er með vefsíðuna www. personuvernd.is.

 

9. Nánar um rétt til aðgangs að gögnum.

Mikilvægt er að hafa það í huga að öll rannsóknarvinna ÍE miðast við að leita að nýrri þekkingu um hópa af fólki en ekki einstaklinga þótt grunngögn rannsóknar séu gögn um einstaklinga. Þar af leiðandi verða einungis til óunnin grunngögn um einstaka þátttakendur í rannsóknum ÍE á borð við upplýsingar um raðir niturbasa í erfðaefni eftir arfgerðargreiningu þess, en ekki sérstækar niðurstöður sem lúta að einstökum þátttakanda og tengslum hans við ákveðnar svipgerðir á borð við sjúkdóma. Það verða því engar aðgengilegar skrár til hjá ÍE sem lýsa tengslum milli breytanleika í erfðamengi einstaklinga og þess sem vitað er um tengsl á milli slíkra breytanleika og svipgerða á borð við sjúkdóma, heldur verða einungis til hópskrár sem lýsa slíkum tengslum fyrir stærri hópa. Að jafnaði er því ekki hægt að veita þátttakanda upplýsingar um einstaklingsbundna erfðaeiginleika sem tengjast sjúkdómum í verkefnum sem hann hefur tekið þátt í, nema mögulega í undantekningartilfellum. Slík sértæk vinnsla til að leiða fram erfðaeiginleika einstaklings myndi kalla á gríðarlega fyrirhöfn og vinnu hjá ÍE, auk þess sem útilokað væri að spá fyrirfram um hagnýtt gildi slíkra niðurstaðna fyrir hann eða aðra. Lög um persónuvernd og reglugerð ESB kveða því á um veigamiklar undantekningar á rétti hins skráða til aðgangs að gögnum og beitingu annarra réttinda í tenglum við vísindarannsóknir frá því sem almennt gildir gagnvart ábyrgðaraðila þegar vinnsla persónuupplýsinga á sér stað. Af þessu leiðir að ÍE mun almennt séð ekki sjá sér fært að veita arfgerðarupplýsingar á einstaklingsgrunni, nema í sérstökum tilfellum. Sjá í því efni möguleika einstaklinga á að fá upplýsingar um stökkbreytingu í svokölluðu BRCA2 geni sem hafa ótvírætt læknisfræðilegt gildi fyrir einstaklinga og gerðar eru aðgengilegar á vefsíðunni www.arfgerd.is, sem ÍE kom á fót með mikilli vinnu, fyrirhöfn og tilkostnaði.  ÍE mun því veita einstaklingum upplýsingar um, i) í hvaða rannsóknarverkefnum upplýsingar er að finna um hann, ii) hvaða svipgerðir (t.d. sjúkdómgreiningar og mæligildi) eru til rannsóknar í viðkomandi verkefni, og iii) hvaðan svipgerðarupplýsingar sem nýttar eru í viðkomandi verkefni eru komnar.

 

10. Hvernig er hægt að hafa samband við okkur?

Besta leiðin til að kynna sér nýjustu upplýsingar um vinnslu persónuupplýsinga hjá ÍE er að skoða fræðsluefni á vefsíðu fyrirtækisins www.decode.is. Hægt er að hafa samband við ÍE á netfanginu info@decode.is eða í síma 570 1900 til að fá almennar upplýsingar um vinnslu persónuupplýsinga. Ef einstaklingur óskar eftir upplýsingum um vinnslu persónuupplýsinga um sig gefst honum kostur á að leita til ÞR, Smáratorgi 3, 201 Kópavogi og fylla út eyðublað þar að lútandi. Nauðsynlegt er að sýna skilríki til að tryggja örugga auðkenningu viðkomandi. Ekki er tekið við beiðnum um aðgang að persónuupplýsingum í gegnum síma eða netpóst, né verður niðurstöðum sem innihalda persónuupplýsingar skilað með þeim hætti. Einstaklingar eru hvattir til þess að senda aldrei viðkvæmar persónuupplýsingar um sig með netpósti. Ef erindið varðar meðferð persónuupplýsinga er einnig hægt að hafa samband við persónuverndarfulltrúa ÍE með því að senda tölvupóst á netfangið personuvernd@decode.is. Hlutverk persónuverndarfulltrúans er að fylgjast með því að farið sé eftir ákvæðum laga og reglna um persónuvernd. Persónuverndarfulltrúi ÍE er Tanya Zharov lögfræðingur. Sjá einnig nánar upplýsingar í kafla 2 um ábyrgðaraðila.

 

11. Hvernig uppfærum við eða breytum persónuverndarstefnunni?

ÍE getur breytt þessari persónuverndarstefnu og bætt við hana hvenær sem er og taka slíkar breytingar gildi án fyrirvara. Slíkar breytingar kunna t.d. að vera gerðar til að samræma persónuverndarstefnuna við gildandi lög og reglur er varða persónuvernd hverju sinni. Allar breytingar á stefnunni verða birtar á vefsíðu ÍE: www.decode.is.

 

Persónuverndarstefna þessi tók gildi 15. júlí 2018.