Heimildir sóttvarnalæknis til vinnslu persónuupplýsinga : vinnsla persónuupplýsinga á tímum Covid-19 heimsfaraldurs

Abstract

Markmið þessarar ritgerðar er varpa ljósi á þær heimildir sem sóttvarnalæknir hefur til vinnslu persónuupplýsinga á tímum Covid-19 faraldurs og rannsaka hvort aðgerðir sóttvarnalæknis séu í samræmi við meginreglur og ákvæði gildandi réttarreglna á sviði persónuverndarréttar. Í því skyni er leitast við að svara því hvort heimildir sóttvarnalæknis gangi of langt hverju sinni. Til skýringar á heimildum sóttvarnalæknis til vinnslu persónuupplýsinga er fjallað um lögmæti vinnslu persónuupplýsinga með hliðsjón af lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 og reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Einnig er fjallað um heimildir sóttvarnalæknis til vinnslu persónuupplýsinga á grundvelli sóttvarnalaga nr. 19/1997 í tengslum við sóttvarnaráðstafanir, einkum vegna skimunar, smitrakningar, smitrakningarforrita og aðgerða á landamærum Íslands.Niðurstaða höfundar er sú að sóttvarnaráðstafanir geti haft áhrif á persónuvernd og friðhelgi einkalífs einstaklinga en hins vegar séu verulegir almannahagsmunir af því að sporna við Covid-19 faraldrinum. Þar sem skýrt er kveðið á um heimildir sóttvarnalæknis til vinnslu persónuupplýsinga vegna sóttvarnaráðstafana í sóttvarnalögum er það mat höfundar að réttindi einstaklinga til persónuverndar og friðhelgi einkalífs séu nægilega tryggð. Höfundur telur þær heimildir vera í samræmi við persónuverndarlögin og reglugerðina, enda kveða sóttvarnalög á um að viðeigandi öryggis persónuupplýsinga sé tryggt. Jafnframt er kveðið á um það í sóttvarnalögum að við vinnslu persónuupplýsinga skuli sóttvarnalæknir gæta að reglum persónuverndarlaga, þar á meðal meginreglum þeirra. Er það því niðurstaða höfundar að heimildir sóttvarnalæknis til vinnslu persónuupplýsinga í tengslum við sóttvarnaráðstafanir séu í samræmi við persónuverndarlögin og reglugerðina.

The purpose of this thesis is to clarify the legal authority of the Chief Epidemiologist to process personal data during the Covid-19 epidemic and to investigate whether the Epidemiologist's actions are in accordance with the principles and provisions of applicable legal rules in the field of privacy law. For that purpose, an attempt is made to clarify whether the authorities of the Epidemiologist go too far in each case.To clarify the authority of the Epidemiologist for the processing of personal data, the lawfulness of the processing of personal data is discussed with regard to Act no. 90/2018 on Data Protection and the processing of personal data and Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data. The author also discusses the authority of the Epidemiologist to process personal data on the basis of Act. no. 19/1997 regarding Covid-19 measures, in particular regarding screening, infection tracing, contact tracing tools and actions at the Icelandic border.The author concludes that disease control measures can affect the protection of individuals personal data and their privacy. However there is a significant public interest in combating the Covid-19 epidemic. Since the Epidemiologist's authority to process personal data is clearly stipulated in Act no. 19/1997, the author is of the opinion that the rights of individuals to personal data protection and to privacy are sufficiently protected. The author considers these authorizations to be in accordance with Act no. 90/2018 and Regulation (EU) 2016/679, since the appropriate security of personal data is ensured in Act no. 19/1997. Furthermore, Act no.19/1997 includes that when processing personal data, the Epidemiologist shall take the rules of Act no. 90/2018 in consideration, including their principles. It is therefore the author's conclusion that the Epidemiologist's authorizations for the processing of personal data in connection with Covid-19 measures are in accordance with Act no. 90/2018 and Regulation (EU) 2016/679.