Obdelava osebnih podatkov pri genetskih testih II

Pri Informacijskem pooblaščencu (IP) smo dne 9. 12. 2020 prejeli vaše dodatno vprašanje, ki se navezuje na mnenje IP št. 07121-1/2020/1901. Zanima vas tudi, ali je res, da ne gre za osebne podatke, če surovi ali interpretirani podatki genetske analize niso povezani z določljivim posameznikom, ker se ne ve od koga so, saj se obdelujejo pod šifro. Vzorec sline se pošlje v tuj laboratorij pod šifro in laboratorij ne ve, kateremu posamezniku pripada. Z vidika podjetja je šifra psevdonim, z vidika tujega laboratorija pa anonimizacija, saj ne ve, kateri osebi šifra pripada. To vas zanima zaradi vprašanja, ali je potrebno skleniti pogodbo o obdelavi osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. Če podjetje (ponudnik storitve za fizične osebe) vzorec biološkega materiala pošlje tujemu laboratoriju zgolj pod unikatno šifro, ki jo dodeli podjetje, ta šifra predstavlja psevdonimizacijo tako za podjetje kot za laboratorij.

2. Ker so psevdonimizirani podatki še vedno osebni podatki, se morajo za tako posredovanje šifre, ustvarjanje podatkov v laboratoriju, povratno pošiljanje rezultatov in na njihovo nadaljnjo interpretacijo ter drugo obdelavo pri podjetju, uporabljati vsa splošna pravila o varstvu osebnih podatkov, vključno s pogodbeno obdelavo, če so zanjo izpolnjeni splošni pogoji.

O b r a z l o ž i t e v:

Ker je šifro (v vašem primeru kot edini identifikacijski znak, ki spremlja biološki material) zaradi nujno obstoječega šifranta pri pošiljatelju, objektivno možno ponovno pripisati točno določenem posamezniku, torej ga posredno določiti, ta šifra in kasnejši osebni podatki, ki se navezujejo nanjo, niso anonimizirani, pač pa le psevdonimizirani. V tem primeru gre zgolj za navidezno ali nepopolno »anonimizacijo«, ker je možna (ni važno kako in s strani koga) povratna popolna identifikacija.

Psevdonimizirani podatki se obravnavajo enako kot osebni podatki. Zato je treba tudi razmerje med podjetjem v Sloveniji in laboratorijem v tujini urediti tako, kot to velja za klasično obdelavo osebnih podatkov. To med drugim pomeni, da če ima razmerje med tema dvema subjektoma naravo pogodbene obdelave osebnih podatkov, je treba skleniti ustrezno pogodbo po členu 28 Splošne uredbe o varstvu podatkov.

V zvezi z anonimizacijo, psevdonimizacijo ter pogodbeno obdelavo so na naši spletni strani že dostopna nekatera mnenja in smernice.

Lepo vas pozdravljamo,

Pripravil:
mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav.
                      informacijska pooblaščenka