Bezpieczne przetwarzanie danych genetycznych w badaniach komercyjnych

Z roku na rok na popularności zyskują testy DNA, dzięki którym można poznać między innymi swoje predyspozycje do chorób, pokrewieństwo oraz pochodzenie etniczne. Atrakcyjne ceny badań genetycznych przyciągają konsumentów, którzy chcą zakupić test dla siebie lub zrobić prezent bliskiej osobie. Proces wydaje się prosty – po zamówieniu firma przysyła nam pakiet z patyczkiem i probówką, robimy wymaz ze śliny, następnie odsyłamy pakiet do laboratorium, a za kilka miesięcy otrzymujemy wynik. Skupieni na wynikach badań, konsumenci pomijają jednak aspekt równie ważny, jak wynik badań, a mianowicie bezpieczeństwo swoich danych genetycznych.

W 2023 roku, w wyniku ataku hakerskiego na amerykańską firmę „23andMe”, zajmującą się badaniami genetycznymi, doszło do wycieku danych użytkowników. Dane z kilku milionów kont trafiły w ręce hakerów. Natomiast wraz z końcem marca tego roku firma ogłosiła upadłość, co wywołało obawy o  bezpieczeństwo danych genetycznych 15 milionów użytkowników serwisu 23andMe, wobec braku pewności, czy nabywca upadłej firmy należycie ochroni dane osobowe użytkowników i czy wykorzysta wrażliwe dane użytkowników zgodnie z prawem. Prokurator generalny stanu Kalifornia, Rob Bonta oraz prokurator generalna Nowego Jorku, Letitia James, wezwali osoby, które wykonały badanie DNA poprzez stronę 23andMe, do usunięcia swoich kont oraz przekazanych firmie danych. Użytkownicy zastosowali się do wezwań organów publicznych i masowo zaczęli usuwać swoje konta wraz z danymi z serwisu.

Przetwarzanie danych genetycznych w świetle RODO

Rozporządzenie o ochronie danych osobowych (dalej „RODO”) w art. 4 pkt. 13 definiuje dane genetyczne jako: „dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej”. Zgodnie natomiast z art. 9 RODO przetwarzanie szczególnych kategorii osobowych, do których zalicza się również dane genetyczne, jest zabronione.

Jako wyjątek od zakazu przetwarzania danych genetycznych, a tym samym podstawę prawną przetwarzania danych, rozporządzenie RODO dopuszcza wyraźną zgodę osoby na przetwarzanie danych osobowych w określonym celu lub kilku celach. Zgoda wyraźna ma postać oświadczenia woli i jest zbierana w sposób niebudzący wątpliwości co do faktu udzielenia jej przez osobę, której dane dotyczą. Firmy oferujące badania naszego DNA często jednak nie weryfikują, czy przesłany materiał genetyczny rzeczywiście należy do użytkownika, który go wysyła i „wyraża zgodę” na przetwarzanie danych osobowych.

Obowiązki administratora danych osobowych

Dane genetyczne, jako dane osobowe szczególnej kategorii powinny podlegać szczególnej ochronie, ponieważ ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności osób fizycznych. Szczególny charakter danych wymusza na administratorach szczególe podejście do tej kategorii danych osobowych.

Przede wszystkim administrator powinien legitymować się podstawą prawną przetwarzania danych osobowych. Jak wskazano powyżej, w przypadku tej kategorii danych osobowych wrażliwych, podmioty wykonujące komercyjnie badania genetycznie podstawę przetwarzania mogą oprzeć wyłącznie na zgodzie podmiotu danych. W myśl przepisów RODO zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna. Dodatkowo administrator powinien zapewnić możliwość łatwego wycofania wyrażonej zgody.

Jednym z głównych obowiązków administratorów danych jest obowiązek informacyjny względem osób, których dane osobowe są przetwarzane. Zakres informacji, jaki administrator ma przekazać podmiotom danych, określa art. 13 lub art. 14 RODO (w zależności od formy pozyskiwania danych). Właściwe spełnienie obowiązku informacyjnego zapewnia, że zgoda na przetwarzanie danych osobowych została wrażona świadomie. Informacja powinna być przekazywana w „zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”.

Warto zwrócić uwagę, że zgodnie z art. 37 ust. 1 lit. c) RODO administrator, którego główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, ma obowiązek powołać Inspektora Ochrony Danych. Podmioty wykonujące badania genetyczne z pewnością powinien Inspektora powołać, opublikować jego dane oraz zawiadomić o jego wyznaczeniu odpowiedni organ nadzorczy.

W kontekście ochrony danych genetycznych w trakcie ich przetwarzania przez firmy komercyjne, szczególną rolę pełnią zasady „privacy by design” i „privacy by default”. Pierwsza z nich oznacza, że już na wstępnym etapie badania, w trakcie jego projektowania, muszą być przestrzegane przepisy o ochronie danych osobowych. Druga zasada oznacza natomiast maksymalną ochronę danych osobowych i ograniczenie przetwarzania danych do minimum, przede wszystkim w zakresie podmiotów uprawnionych do dostępu do danych w trakcie procesu badania DNA.

Kolejną ważną kwestią jest realizacja przez podmioty prowadzące badania genetyczne prawa do bycia zapomnianym, wynikającego z art. 17 RODO. Jeżeli podstawą przetwarzania danych osobowych o szczególnym charakterze jest zgoda osoby, której dane są przetwarzane, podmiot przetwarzający dane jest zobowiązany do realizacji prawa do bycia zapomnianym w sytuacji, gdy otrzyma takie żądanie i osoba wycofa zgodę. Oznacza to, że dane przekazane podmiotowi prowadzącemu badania muszą zostać całkowicie usunięte z jego bazy.

Z perspektywy osoby, której dane genetyczne są przetwarzane, nie można zapomnieć o jej uprawnieniach wynikających z RODO, czyli: prawo dostępu do danych (art. 15 RODO); prawo do sprostowania danych (art. 16 RODO); prawo do usunięcia danych (art. 17 RODO), kiedy są przetwarzane np. bez podstawy prawnej; prawo do przeniesienia danych (art. 20 RODO); prawo do ograniczenia przetwarzania danych (art. 18 RODO).

Gdzie „wędrują” nasze dane genetyczne?

Firmy komercyjne, oferujące badania DNA, często wysyłają nasze dane do laboratoriów, znajdujących się poza obszarem EOG, czyli np. Stanów Zjednoczonych albo Chin.  Zgodnie z rozdziałem V RODO, transfer danych poza granice EOG może mieć miejsce, jeżeli Komisja Europejska stwierdzi, że w państwie, do którego przekazywane są dane, istnieje odpowiedni stopień ochrony danych osobowych oraz państwo to lub organizacja międzynarodowa zapewnią odpowiednie zabezpieczenia i warunki, w których egzekwowalne będą prawa osób, do których należą dane. Co ciekawe firma 23andMe, która jest zarejestrowana w Stanach Zjednoczonych, jest uczestnikiem programu EU-U.S Data Privacy Framework (DPF) i uzyskała certyfikację w ramach DPF, co oznacza, że zobowiązała się do przestrzegania zasad ochrony danych osobowych określonych w tym porozumieniu. Dzięki certyfikacji DPF przekazywanie danych osobowych z Unii Europejskiej do 23andMe w Stanach Zjednoczonych odbywało się zgodnie z przepisami RODO.

Ochrona danych genetycznych na poziomie krajowym

Zgodnie z Raportem NIK z 2018 r. „Bezpieczeństwo badań genetycznych”, laboratoriów oraz firm komercyjnych oferujących badania genetyczne stale przybywa, jednak Polska nadal nie posiada aktu prawnego kompleksowo regulującego dziedzinę genetyki. Nie istnieją również wymogi dla podmiotów przetwarzających dane genetyczne, dlatego brak wystarczających kwalifikacji firm komercyjnych do przetwarzania tego rodzaju danych, dzięki luce legislacyjnej w obszarze badań genetycznych nie sprzyja zachowaniu bezpieczeństwa procesu przetwarzania danych osobowych o szczególnym charakterze.

Podsumowanie

Dane genetyczne są jednymi z najbardziej wrażliwych kategorii danych osobowych, ponieważ dostarczają informacji o wszystkim, co jest zapisane w naszym DNA, czyli przede wszystkim o naszym zdrowiu, pochodzeniu etnicznym oraz pokrewieństwie z innymi osobami. Przed podjęciem decyzji o przekazaniu danych genetycznych niezwykle ważna jest sprawdzenie, czy firma wykonująca badania przetwarza dane zgodnie z przepisami RODO oraz gdzie przekazane będą nasze dane. Warto jednak mieć świadomość, że przekazanie danych do firmy spełniające wymogi RODO, która przetwarza dane w Polsce lub państwie, gdzie według Komisji Europejskiej istnieje odpowiedni poziom ochrony danych,  nie daje nam stuprocentowej gwarancji, że nasze dane będą całkowicie bezpieczne. Zawsze istnieje ryzyko, że firma padnie ofiarą ataku hakerskiego a nasze dane, zostaną skradzione lub firma w wyniku złych wyników finansowych, będzie zmuszona ogłosić upadłość, w wyniku czego nasze dane wraz z majątkiem przedsiębiorstwa zostaną wystawione na sprzedaż. Warto być świadomym ryzyk, jakie niesie przekazanie danych genetycznych w celach badań, jednakże równie ważne jest bycie świadomym swoich praw, wynikających z RODO, które w razie przekazania przez nas danych genetycznych i wystąpienia zagrożenia mogą uchronić nas od ich utraty.