W październiku turecki Urząd Ochrony Danych Osobowych („DPA”) opublikował wytyczne, w których podkreśla znaczenie bezpieczeństwa danych osobowych w przetwarzaniu danych genetycznych i zapewnia wytyczne administratorom danych.

Wytyczne dotyczące przetwarzania danych genetycznych („Wytyczne”) po raz pierwszy zawierają szczegółową definicję danych genetycznych oraz kwestie, które należy uwzględnić podczas przetwarzania danych genetycznych.

Poniżej podsumowujemy najważniejsze informacje zawarte w Wytycznych

Co to są dane genetyczne?

Zgodnie z Wytycznymi dane genetyczne definiuje się jako „całość lub część informacji uzyskanych z całej sekwencji DNA, RNA i białek zakodowanej w genomie, jądrze komórkowym lub mitochondriach żywego organizmu”.

Dane genetyczne jako dane wrażliwe

Zgodnie z art. 6 ustawy o ochronie danych osobowych nr 6698 („Ustawa DP”) dane genetyczne stanowią jedną z ograniczonych kategorii danych sklasyfikowanych jako dane wrażliwe.

W Wytycznych podkreślono, że przetwarzanie danych genetycznych wpływa nie tylko na same osoby, ale także na ich krewnych, z którymi łączy je więź genetyczna, przyszłe pokolenia, a nawet bezpieczeństwo narodowe i gospodarkę. Co więcej, chociaż dane genetyczne nabierają znaczenia przede wszystkim w drodze analizy, podkreśla się, że surowe dane i próbki biologiczne są cenne i znaczące nawet przed analizą ze względu na ich potencjał identyfikacji jednostki.

Z tego punktu widzenia wytyczne stanowią, że wszyscy administratorzy danych gromadzący dane genetyczne muszą wdrożyć niezbędne środki techniczne i administracyjne w celu zapewnienia bezpieczeństwa tych próbek biologicznych.

Przetwarzanie danych genetycznych

Wytyczna precyzuje, że do zgodnego z prawem przetwarzania danych genetycznych na mocy ustawy DP konieczne jest (i) posiadanie podstaw prawnych do przetwarzania oraz (ii) przestrzeganie ogólnych zasad regulowanych ustawą DP.

1. Ustalenie podstawy prawnej

2. Przestrzeganie zasad ogólnych

Transgraniczne przekazywanie danych genetycznych

Jeżeli dane genetyczne podlegają przekazaniu za granicę, czynność ta musi zostać dokonana zgodnie z Ustawą DP. W tym kontekście wymagane jest (i) uzyskanie wyraźnej zgody osoby, której dane dotyczą, lub (ii) przedstawienie zobowiązania do organu ochrony danych.

Wytyczne poruszają także kwestię, że zgodnie z rozporządzeniem w sprawie ośrodków oceny chorób genetycznych wysyłanie próbek za granicę może zostać przeniesione za zgodą tureckiego Ministerstwa Zdrowia.

Administrator danych i podmiot przetwarzający dane

W zakresie Wytycznych, choć nie wyłącznie, podano następujące przykłady jako administratorzy danych i podmioty przetwarzające dane w procesach przetwarzania danych genetycznych:

• Administrator danych: Szpital, przy którym działają ośrodki oceny chorób genetycznych.
• Procesor danych: Systemy chmurowe, w których przechowywane są dane genetyczne.

Obowiązki Administratora Danych

Uwaga: Świadoma zgoda nie jest wyraźną zgodą!

W Wytycznych podkreśla się, że pojęcie świadomej zgody i informacji uregulowane w Rozporządzeniu o Prawach Pacjenta różni się od pojęć obowiązku informowania i wyraźnej zgody uregulowanych w Ustawie o ochronie danych osobowych, w związku z czym należy je przedstawić odrębnie osobie, której dane dotyczą (tj. pacjent).