Ferill 644. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.

---

149. löggjafarþing 2018–2019.

Prentað upp.

Þingskjal 1622  —  644. mál.

2. umræða.

Nefndarálit með breytingartillögu

um frumvarp til laga um breytingu á lögum um sjúkratryggingar, nr. 112/2008, með síðari breytingum (persónuvernd og vinnsla persónuupplýsinga).

Frá velferðarnefnd.

    Nefndin hefur fjallað um málið og fengið á sinn fund Guðlín Steinsdóttur og Önnu Birgit Ómarsdóttur frá heilbrigðisráðuneytinu, Ingvar J. Rögnvaldsson, Elsu Gísladóttur og Baldvin Hafsteinsson frá Sjúkratryggingum Íslands, Ævar Ísberg og Helgu Valborgu Steinarsdóttur frá ríkisskattstjóra og Þórð Sveinsson og Bjarna Frey Rúnarsson frá Persónuvernd.
    Umsagnir bárust frá Persónuvernd og ríkisskattstjóra.
    Frumvarpið felur í sér efnislega aðlögun laga um sjúkratryggingar, nr. 112/2008, að lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018. Frumvarpið hefur ekki í för með sér breytingar í tengslum við þá þjónustu sem sjúkratryggingastofnuninni er ætlað að veita heldur gerir frumvarpið ráð fyrir nauðsynlegum breytingum á ákvæðum laga til að tryggja að vinnsla persónuupplýsinga á grundvelli viðkomandi laga samræmist ákvæðum laga um persónuvernd og vinnslu persónuupplýsinga. Fyrst og fremst felur breytingin í sér að sjúkratryggingastofnunin þarf ekki að afla samþykkis fyrir fyrirhugaðri vinnslu persónuupplýsinga heldur styðst vinnslan við lagaheimild.

Heimild til vinnslu persónuupplýsinga.
    Við umfjöllun nefndarinnar kom fram það sjónarmið að með afnámi skilyrðis um samþykki væri ekki fyllilega tryggt að einstaklingur fengi upplýsingar um fyrirhugaða upplýsingaöflun Sjúkratryggingastofnunar. Heimild stofnunarinnar til þess að afla upplýsinga frá skattyfirvöldum kallaðist á við þagnarskyldu yfirvaldanna skv. 117. gr. laga um tekjuskatt, nr. 90/2003, enda gætu skattyfirvöld ekki staðfest að heimild væri til vinnslu persónuupplýsinga nema að fyrir lægi samþykki viðkomandi fyrir vinnslunni.
    Nefndin fellst ekki á þetta sjónarmið. Í 2. mgr. 34. gr. laga um sjúkratryggingar segir að sjúkratryggingastofnuninni sé heimilt að afla nauðsynlegra upplýsinga að fengnu skriflegu samþykki umsækjanda. Með frumvarpinu er lagt til að áskilnaður um samþykki falli brott. Með þeirri breytingu færi upplýsingaöflun fram á grundvelli lagaheimildar en ekki samþykkis viðkomandi. Því telur nefndin að ekki geti leikið vafi á því hvort heimild sé til staðar til vinnslu persónuupplýsinga þegar fyrir liggur umsókn um bætur skv. 34. gr. laga um sjúkratryggingar.
    Í því sambandi bendir nefndin á að í 8. tölul. 3. gr. laga um persónuvernd og vinnslu persónuupplýsinga segir að samþykki í skilningi laganna sé óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig. Þá segir í 2. tölul. 1. mgr. 11. gr. laganna að vinnsla viðkvæmra persónuupplýsinga sé heimil þegar vinnslan er nauðsynleg til þess að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf og löggjöf um almannatryggingar og félagslega vernd og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.
    Við umfjöllun nefndarinnar kom fram að sú breyting sem er lögð til í frumvarpinu væri nauðsynleg enda gæti samþykki ekki talist viðeigandi réttargrundvöllur fyrir heimild til vinnslu persónuupplýsinga af hálfu sjúkratryggingastofnunarinnar. Var í því sambandi bent á að þegar einstaklingur er í þeirri stöðu að þurfa að veita samþykki, enda sé það forsenda fyrir því að hann fái notið lögbundinna réttinda, geti samþykkið ekki talist óþvingað. Því væri nauðsynlegt að upplýsingaöflunin færi fram á grundvelli lagaheimildar en ekki samþykkis einstaklingsins.
    Með hliðsjón af því telur nefndin að afnám skilyrðis um samþykki sé í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga.

Skylda til að upplýsa einstakling um fyrirhugaða upplýsingaöflun.
    Persónuvernd gerir í umsögn sinni athugasemd við að samkvæmt frumvarpinu beri sjúkratryggingastofnuninni að upplýsa viðkomandi um fyrirhugaða upplýsingaöflun eins og hægt er hverju sinni. Í 2. mgr. 17. gr. laga um persónuvernd og vinnslu persónuupplýsinga sé kveðið á um að hinn skráði eigi rétt til upplýsinga um vinnslu persónuupplýsinga, með þeim undantekningum sem fram koma í 3. mgr. 17. gr. laganna og eru nánar útfærðar í 5. mgr. 14. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin). Bendir Persónuvernd á að tilvísun til þess að sjúkratryggingastofnuninni beri að upplýsa viðkomandi eins og hægt sé hverju sinni feli í sér víðtækari heimild til takmörkunar á upplýsingarétti aðila en leiðir af reglugerðinni.
    Nefndin tekur undir þetta sjónarmið enda hljóti mat sjúkratryggingastofnunarinnar að þurfa að byggjast á þeim forsendum sem heimila slíka takmörkun samkvæmt reglugerðinni.
Leggur nefndin til þá breytingu á b-lið 1. gr. frumvarpsins að skylda sjúkratryggingastofnunarinnar til að upplýsa um fyrirhugaða vinnslu persónuupplýsinga verði í samræmi við ákvæði 2. mgr. 17. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
    Með hliðsjón af framangreindu leggur nefndin til að málið verði samþykkt með eftirfarandi

BREYTINGU:

    Efnismálsgrein b-liðar 1. gr. orðist svo:
    Sjúkratryggingastofnuninni ber að upplýsa umsækjanda um fyrirhugaða upplýsingaöflun skv. 3. mgr. í samræmi við 2. mgr. 17. gr. laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, sbr. 14. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679.

         Anna Kolbrún Árnadóttir, Guðmundur Ingi Kristinsson og Vilhjálmur Árnason voru fjarverandi við afgreiðslu málsins.

Alþingi, 24. maí 2019.

Halldóra Mogensen, form.	Andrés Ingi Jónsson, frsm.	Ólafur Þór Gunnarsson.
Ásmundur Friðriksson.	Guðjón S. Brjánsson.	Halla Signý Kristjánsdóttir.