Personvernnemndas vedtak 16. oktober 2024 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin, Malin Tønseth)
Saken gjelder klage fra A på Datatilsynets avgjørelse 28. november 2023 om å avslutte sak om behandlingsgrunnlag for behandling av helseopplysninger i et forskningsprosjekt uten å gjøre undersøkelser og uten å ta stilling til om behandlingsgrunnlaget er lovlig.
Sakens bakgrunn
A mottok i begynnelsen av 2023 et informasjonsskriv vedrørende deltakelse i en norsk studie der målet var å skaffe ny kunnskap om en nylig oppdaget hudbakterie. Det fremgikk av informasjonsskrivet at A ble kontaktet fordi han i perioden 2014 – 2022 hadde et positivt prøvesvar der denne bakterien ble funnet. Informasjonsskrivets avsendere var Universitetssykehuset i Nord-Norge, St. Olavs Hospital, Haukland universitetssykehus, Sørlandet sykehus, Akershus universitetssykehus, Helse Nord-Trøndelag og Nordlandsykehuset.
I informasjonsskrivet er det opplyst at prosjektet er godkjent av Regional komite for medisinsk og helsefaglig forskningsetikk (REK) og at prosjektet har rettslig grunnlag i EUs personvernforordning artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav j og «ditt samtykke».
Under overskriften «Frivillig deltakelse og mulighet for å reservere seg mot deltakelse» heter det:
«Det er frivillig å delta i prosjektet. Hvis du ikke har motforestillinger om å delta i prosjektet behøver du ikke gjøre noe aktivt eller sende noen tilbakemelding. Da vil du være deltager i prosjektet. Skulle du ikke ønske å delta med opplysninger i dette prosjektet kan du skrive under på siste side og returnere denne til avsender i vedlagte frankerte konvolutt eller sende en e-post til avsender innen 4 - fire - uker fra du mottar denne henvendelsen.»
A henvendte seg til Datatilsynet 6. mars 2023 og klaget på det han omtalte som ufrivillig deltakelse i forskningsprosjektet. A anførte at muligheten for reservasjon, slik det var lagt opp, ikke representerte et gyldig samtykke.
I e-post til A 7. mars 2023 opplyste Datatilsynet at han måtte påregne en saksbehandlingstid på minst 3 – 6 måneder, men at det også kunne ta lengre tid.
Uten å foreta ytterligere undersøkelser avsluttet tilsynet saken i brev til A 28. november 2023. Datatilsynet viste til at det var lite sannsynlig at det forelå brudd på personvernforordningen og at tilsynet ikke anså det som hensiktsmessig å gjøre ytterligere undersøkelser, jf. personvernforordningen artikkel 57 nr. 1 bokstav f. Det framkommer av brevet at tilsynets avslutning av saken kan påklages, jf. forvaltningsloven §§ 28 og 29.
A klaget rettidig på Datatilsynets avgjørelse 5. desember 2023. Datatilsynet behandlet klagen og opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda 2. april 2024. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. Ingen av partene har inngitt kommentarer.
Saken ble behandlet i nemndas møte 16. oktober 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin og Malin Tønseth. Utredningsleder Anette Klem Funderud var også til stede.
Datatilsynets vurdering i korte trekk
Datatilsynet redegjør for at det etter personvernforordningen artikkel 57 nr. 1 bokstav f skal behandle klager og eventuelt undersøke dem i den grad det er hensiktsmessig. Når tilsynet vurderer om videre undersøkelser er hensiktsmessig, legger tilsynet vekt på blant annet følgende momenter:
• sakens alvorlighetsgrad
• hvor sannsynlig det er at det foreligger et lovbrudd
• hvor sannsynlig det er at et eventuelt lovbrudd vil føre til korrigerende tiltak
• interne prioriteringer
• andre særlige forhold ved saken som gjør videre undersøkelser lite hensiktsmessig
I denne saken mener Datatilsynet det er lite sannsynlig at det foreligger brudd på personvernregelverket. På denne bakgrunn avslutter Datatilsynet saken uten å gjøre ytterligere undersøkelser, og viser til personvernforordningen artikkel 57 nr. 1 bokstav f.
Datatilsynet redegjør også for at behandling av helseopplysninger til medisinsk og helsefaglig forskning krever forhåndsgodkjenning fra REK, jf. helseforskningsloven § 33. Fram til 1. juni 2021 hadde REK hjemmel til å gi unntak fra taushetsplikten og kravet om samtykke til å behandle personopplysninger til forskning, jf. helseforskningsloven § 35. Datatilsynet redegjør videre for at det i dag er rettslig grunnlag i helseregisterloven § 19 e og i helsepersonelloven § 29 for å gi unntak fra taushetsplikten til å behandle helseopplysninger til forskning.
Tilsynet viser videre til at det ikke er uvanlig at et medisinsk og helsefaglig forskningsprosjekt henter data fra andre kilder uten å bygge på samtykke og at flere medisinsk og helsefaglige forskningsprosjekter baserer seg på rettslig grunnlag etter personvernforordningen artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav j med supplerende rettslig grunnlag i et REK-vedtak som gir unntak fra taushetsplikten.
As syn på saken i korte trekk
Han klager på Datatilsynets avgjørelse om ikke å behandle saken.
Han anser saken som et overgrep mot seg, der byrden blir lagt på ham, og ikke på den som ønsker opplysningene. Han aksepterer ikke at det er han som må reservere seg pr. brev hvis han ikke vil delta, fremfor å si ja dersom han vil delta. Han aksepterer ikke at dette representerer et gyldig samtykke.
Han har ikke planer om å signere for ikke å delta, da saken er helt snudd på hodet. I studien er det opplyst at opplysningene vil oppbevares fem år etter prosjektet er avsluttet, men ikke hvor lenge prosjektet skal gå. Det er med andre ord ingen tidsbegrensning på behandling opplysningene.
Beskjeden fra Datatilsynet 10 måneder etter at klagen er sendt inn er patetisk: «Dersom du ønsker å avklare dine muligheter for å trekke deg fra studien eller få dine opplysninger slettet, ber vi deg ta kontakt med […]».
Personvernnemndas vurdering
Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Datatilsynet skal etter bestemmelsen behandle en klage som er inngitt av en registrert og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, jf. personvernforordningen artikkel 57 nr. 1 bokstav f.
Nemnda har i en rekke saker lagt til grunn at tilsynet har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever. Det ligger imidlertid ikke i dette at Datatilsynet fritt kan velge hvilke klager de skal ta til behandling og hvilke de velger ikke å behandle. Nemnda har lagt til grunn at Datatilsynet plikter å behandle og ta stilling til om personopplysningsloven er brutt når de mottar en klage etter artikkel 77, men at loven åpner for en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig. Nemnda viser til tilsvarende vurdering i PVN-2023-16.
Hvis Datatilsynet har avsluttet en sak uten å ta stilling til om personopplysningsloven er brutt, har Personvernnemnda i sin praksis lagt til grunn at avgjørelsen må vurderes som et vedtak om avvisning, som kan påklages etter forvaltningsloven. I og med at artikkel 77 etter nemndas vurdering pålegger Datatilsynet en plikt til å behandle klager, har slike vedtak blitt opphevet og saken blitt returnert til Datatilsynet for ny behandling.
Det sentrale spørsmålet i denne saken er om det foreligger gyldig behandlingsgrunnlag. Nemnda har merket seg at det i informasjonsskrivet til den registrerte er vist til ulike behandlingsgrunnlag, herunder samtykke som behandlingsgrunnlag sammen med informasjon om at deltakelse er frivillig. Det er uklart for nemnda om REK har stilt vilkår om samtykke for prosjektet eller om det er basert på andre behandlingsgrunnlag. Det er ikke mulig å ta stilling til spørsmålet om behandlingsgrunnlag uten å forelegge saken for den behandlingsansvarlige og innhente REKs vurdering av prosjektet. I og med at dette ikke er gjort, har Datatilsynet ikke oppfylt sin plikt etter artikkel 57 nr. 1 bokstav f til å behandle de klager som er inngitt av en registrert.
Datatilsynets avgjørelse oppheves og saken returneres til Datatilsynet for behandling.
A får medhold i sin klage.
Vedtaket er enstemmig.
Konklusjon
Datatilsynets vedtak oppheves og saken returneres til Datatilsynet for behandling.
Oslo, 16. oktober 2024
Mari Bø Haugstad
Leder