Læknablaðið - 15.10.2001, Blaðsíða 46
FRÆÐIGREINAR / PERSÓNUGREINING í GAGNAGRUNNI
áherslu á „að bæði ákvæði almennrar löggjafar um
skráningarmálefni hér á landi (nú lög nr. 121/1989)
og ákvæði sérlöggjafar um skráningarmálefni (til
dæmis fyrirhuguð löggjöf um gagnagrunn á heilbrigð-
issviði) fullnægi skilyrðum og skilgreiningum tilskip-
unar ESB, eftir að hún er orðin þjóðréttarlega skuld-
bindandi fyrir Islands hönd.“.
1.5. Viðbrögð og ný umsögn tölvunefndar
Þessi skýra afstaða tölvunefndar kollvarpaði í raun
skilgreiningum frumvarpsins um persónugreiningu.
Hér töluðu helstu sérfræðingar ríkisins um persónu-
greiningu og persónuvernd. Viðbrögð frumvarpshöf-
unda voru að nema á brott ákvæði sem byggðu á til-
mælum ráðherranefndar Evrópuráðsins og ákvæði
um lykil þótt hann væri í vörslu annars en rannsak-
enda. Þess í stað var tekin upp orðrétt þýðing úr til-
skipun ESB (95/46/EC) sem tölvunefnd sagði þjóð-
réttarlega bindandi. Hún hljóðar svo á ensku:
„For the purposes of this Directive
(a) personal data shall mean any information
relating to an identified or identifiable natural
person (data subject); an identifiable person is
one who can be identified, directly or indirectly, in
particular by reference to an identification
number or to one or more factors specific to his
physical, physiological, mental, economic, cultural
or social identity;“
Þegar gagnagrunnsfrumvarpið var lagt fram aftur
á 123. löggjafarþinginu í október 1998 tók skilgrein-
ing persónuupplýsinga mið af tilskipuninni (8,9):
„Persónuupplýsingar: Allar upplýsingar um per-
sónugreindan eða persónugreinanlegan einstak-
ling. Maður telst persónugreinanlegur ef unnt er að
persónugreina hann, beint eða óbeint, svo sem með
tilvísun í kennitölu eða einn eða fleiri þætti sem sér-
kenna hann í líkamlegu, lífeðlisfræðilegu, andlegu,
efnalegu, menningarlegu eða félagslegu tilliti.“
Hér er an identification number þýtt sem kennitala
sem er ónákvæmt því texti tilskipunarinnar nær ekki
einvörðungu yfir það sem á íslandi er kallað kenni-
tala heldur hverskyns kennitákn eða fastanúmer ein-
staklinga (identification number eða personal
number).
Enn á ný gerði tölvunefnd athugasemdir með
umsögn til heilbrigðis- og trygginganefndar Alþingis,
dagsett 26. október 1998 (10):
„I tilskipun Evrópusambandsins er hugtakið per-
sónuupplýsingar víðfemt og tekur til allra upplýs-
inga, álita og umsagna sem beint eða óbeint má
tengja tilteknum einstaklingi, þ.e. allra upplýsinga
sem eru persónugreindar eða persónugreinanleg-
ar. Af a-lið 2. gr. tilskipunarinnar leiðir að upplýs-
ingar teljast persónugreinanlegar ef unnt er að
persónugreina þær á grundvelli einhvers auð-
kennis, beint eða óbeint, með tilvísun í kennitölu
eða annað auðkenni, með eða án greiningarlykils.
í 26. gr. formála tilskipunarinnar segir að megin-
reglur um vernd skuli gilda um allar persónu-
greindar eða persónugreinanlegar upplýsingar og
að til þess að ákveða hvort upplýsingar séu per-
sónugreinanlegar (rekjanlegar) skuli tekið mið af
öllum aðferðum sem megi hugsa sér að ábyrgðar-
aðili eða annar aðili geti beitt til að bera kennsl á
viðkomandi einstakling. Af því leiðir og að megin-
reglur um vernd skuli ekki gilda um upplýsingar
sem hafa með öllu verið aftengdar einstaklingum
og útilokað gert að rekja þær til einstakra manna.
I aðalatriðum eru til tvær leiðir til að tryggja
persónuvernd í slíkum gagnagrunni. Annars vegar
sú að „aftengja“ persónuupplýsingar persónuauð-
kennum og hins vegar sú að „dulkóða“ upplýsing-
arnar eins og það er gjarnan nefnt. Gagnagrunns-
frumvarpið miðar við að upplýsingar um einstaka
menn verði dulkóðaðar fyrir flutning í gagna-
grunninn. Er gert ráð fyrir því að upplýsingar í
grunninum verði uppfærðar reglulega þegar nýjar
upplýsingar bætast við. Til þess er nauðsynlegt að
greina megi hvar eldri upplýsingar um sama mann
sé að finna og því verða upplýsingar í grunninum
ekki aftengdar heldur aðeins dulkóðaðar. Munur
þessara tveggja aðferða, dulkóðunar og aftenging-
ar, felst í aðalatriðum í því að þegar persónuupp-
lýsingar eru dulkóðaðar fær viðkomandi einstak-
lingur nýtt og tilbúið skráningar- eða persónuauð-
kenni, en til er greiningalykill sem gerir það kleift
að persónugreina upplýsingarnar. Þegar upplýs-
ingar eru hins vegar aftengdar persónuauðkenn-
um fær viðkomandi einstaklingur sem fyrr tilbúið
skráningar- eða persónuauðkenni, en að því auð-
kenni er hins vegar enginn greiningarlykill. í því
tilviki teljast upplýsingar vera ópersónugreinan-
legar, nema þær megi persónugreina með öðrum
hætti, s.s. með tilvísun í tiltekna þætti sem sér-
kenna hinn skráða í líkamlegu, lífeðlisfræðilegu,
andlegu, efnalegu, menningarlegu eða félagslegu
tilliti, sbr. a-lið 2. gr. tilskipunarinnar.
Með hliðsjón af öllu framanrituðu telur Tölvu-
nefnd ekki að fái staðist sú fullyrðing að í grunnin-
um verði ópersónugreinanlegar heilsufarsupplýs-
ingar. Er því lagt til að því orði verði sleppt úr
ákvæði 1. gr.“
Ekki var farið að þeirri tillögu tölvunefndar að
sleppa orðinu um ópersónugreinanleika. Skilgrein-
ing tilskipunarinnar um persónuupplýsingar verður
síðan að lögum (eins og að framan greinir). Þar sem
ekki gengur að hafa greiningarlykil hver sem geymir
hann, eins og tölvunefnd benti á, var tekin upp dul-
kóðun í eina átt. I framhaldinu er því haldið fram að
þar sem ekki er unnt að rekja sig beint til baka eftir
dulkóðun nafna eða kennitalna í eina átt þá sé þar
með ekki til greiningarlykill. Dulkóðun í eina átt er
þannig það lykilatriði frumvarpsins sem ætlað er að
tryggja að ákvæði tilskipunarinnar sé virt.
810 Læknablaðið 2001/87