Hramba vzorcev sline na podlagi privolitve

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da je podjetje, ki ga zastopate, odprlo podružnico v Sloveniji in želijo prodajati prehranska dopolnila na podlagi analize sline, saj bi tako lahko določili, katera dopolnila so najbolj primerna. Splošna privolitev v obdelavo podatkov je jasna, postavlja pa se vprašanje, ali bi lahko svojim strankam ponudili dodatno privolitev, s katero bi dobili dovoljenje, da hranijo ostanek sline za primere, ko bi se stranka odločila za dodatni nakup produkta in tako ne bi potrebovala ponovno pošiljati sline. Slina bi bila shranjena v hladilniku, prostoru, ki je zaklenjen in do katerega imajo dostop samo določene osebe v laboratoriju, vsak vzorec pa bi bil označen s črtno kodo, ne z imenom in priimkom, črtno kodo pa ima podjetje shranjeno v svojem sistemu in povezano z imenom in priimkom. Zanima vas, ali je zakonita takšna obdelava podatkov (shranjevanje sline) na podlagi pridobljene privolitve, z opredeljenim rokom hrambe podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

Ugotoviti je treba, da sam biološki material ni osebni podatek, so pa osebni podatki surovi ali interpretirani podatki, ustvarjeni na podlagi izolacije in analize pridobljenega biološkega materiala. Šele ko govorimo o osebnih podatkih veljajo določbe Splošne uredbe o varstvu podatkov. Ta določa pogoje za zakonito obdelavo osebnih podatkov, ker pa gre v opisanem primeru verjetno za načrtovano obsežno obdelavo osebnih podatkov, povezanih z zdravjem posameznika, je potrebno pred takšno obdelavo izvesti oceno učinka v zvezi z varstvom osebnih podatkov. IP tudi meni, da bi moralo podjetje imenovati pooblaščeno osebo za varstvo podatkov.

IP ne glede na pojasnjeno razmejitev, da biološki material ni osebni podatek, poudarja pomen upoštevanja predpisov in najvišjih etičnih standardov s področja raziskovanja, uporabe in testiranja na človeških tkivih in biološkemu materialu. V tem delu vas napotujemo, da se obrnete na Ministrstvo za zdravje, morebiti tudi na Komisijo Republike Slovenije za medicinsko etiko v okviru Ministrstva za zdravje.

Obrazložitev

IP mora uvodoma poudariti, da slina vsebuje biološki material, ki je primeren za izvajanje genetskih testov, vendar pa biološki material kot tak ni osebni podatek ali zbirka osebnih podatkov in tudi ne dokument ali nosilec podatkov. O osebnih podatkih je moč govoriti šele, ko se na podlagi izolacije in izvedenih analiz ustvarijo in na nekem nosilcu podatkov dokumentirajo surovi ali interpretirani podatki, ki se nanašajo na vsaj določljivega posameznika. V primeru, ki ga opisujete, bi bil posameznik vsekakor določljiv na podlagi povezave s črtno kodo, vendar pri tem opozarjamo, da skladno z zgoraj zapisano interpretacijo slina kot taka ne predstavlja osebnih podatkov, temveč šele na podlagi analiz sline ustvarjeni podatki. O tem je IP natančneje pisal že v mnenju št. 07121-1/2020/1901 z dne 23. 10. 2020 (na voljo na: https://www.ip-rs.si/mnenja-gdpr/6048a6413590f), ki vam ga priporočamo v branje.

Zato se je treba vprašati, kaj v opisanem primeru sploh je osebni podatek v smislu Splošne uredbe o varstvu podatkov. V kolikor je govora zgolj o vzorcu sline, shranjenem v posodici za shranjevanje, takšen biološki material znotraj posodice (slina) torej ni osebni podatek posameznika. Poudarjamo, da slednje seveda še ne pomeni, da samega biološkega materiala ni potrebno varovati, saj se na tovrsten material razteza širša pravica do zasebnosti (specifično zasebnosti telesa) ter pravice do (telesne in tudi duševne) integritete in nedotakljivosti. Le pravila, ki veljajo v skladu s Splošno uredbo, se za hrambo in obdelavo samega biološkega materiala ne raztezajo. Na splošno velja, da lahko (razen v izjemnih in z zakonom predpisanih primerih) zgolj posameznik odloča in razpolaga s svojim telesom, kar zajema tudi njegov lasten biološki material. Kot rečeno pa ne gre za ožje področje varstva osebnih podatkov in posledično tudi IP na tem področju ni pristojen (naša pristojnost s tem v zvezi je izključno vezana na področje varstva osebnih podatkov in ne širše pravice do zasebnosti).

Splošna uredba o varstvu podatkov pa se vsekakor uporablja glede:

-       Povezave črtne kode s posameznikom ter vsemi njegovimi osebnimi podatki, ki se nahajajo v zbrani dokumentaciji (vključno z dejstvom, da je posameznik posredoval svojo slino za namene izvedbe analize);

-       Ustvarjenih in na nosilcu podatkov dokumentiranih surovih ali interpretiranih podatki, ustvarjeni na podlagi izolacije in analize pridobljenega biološkega materiala.

Najmanj glede zgornjih dveh situacij, povezanih z varstvom osebnih podatkov, mora upravljavec osebnih podatkov zadostiti strogim pogojem za zakonitost ter zagotavljanje skladnosti po Splošni uredbi o varstvu podatkov.

IP ugotavlja, da obstaja verjetnost, da gre v opisanem primeru vsaj v določenem pogledu za obdelavo posebnih vrst osebnih podatkov. Slino je mogoče uporabiti tudi za določitev genetskih značilnosti posameznika, ki izhajajo iz analize kromosomov, deoksiribonukleinske kisline (DNK) ali ribonukleinske kisline (RNK) ali analize drugega elementa, ki zagotavlja enakovredne informacije (uvodna izjava 34 Splošne uredbe). A tudi če podjetje, ki ga zastopate, ne izvaja takšnih analiz na shranjeni slini, so podatki, ki jih omenjate, lahko opredeljeni kot »podatki v zvezi z zdravjem«. Hormonska neravnovesja, ki se jih lahko ugotavlja na podlagi analiz sline, lahko predstavljajo podatek v zvezi z zdravjem.

Osebni podatki, ki so opredeljeni kot genetski podatki ter podatki v zvezi z zdravjem veljajo za posebne vrste osebnih podatkov in kot taki uživajo po določbah Splošne uredbe višjo zaščito osebnih podatkov in strožji režim varovanja. Prvi odstavek 9. člena Splošne uredbe namreč na splošno prepoveduje obdelavo genetskih podatkov, podatkov v zvezi z zdravjem in določenih drugih posebnih vrst osebnih podatkov.

Šele drugi odstavek 9. člena Splošne uredbe uvaja odstopanja od splošne prepovedi obdelave, in sicer je v točki (a) določeno, da je obdelava dopustna, če je posameznik, na katerega se nanašajo osebni podatki, dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1.

Bistvo vašega zaprosila za mnenje je vprašanje, ali je zakonita takšna obdelava podatkov (shranjevanje sline) na podlagi pridobljene privolitve, z opredeljenim rokom hrambe podatkov. IP je v predhodnih odstavkih osvetlil razliko med širšim področjem (telesne in duševne) zasebnosti in nedotakljivosti ter varstvom osebnih podatkov. IP je torej, kot pojasnjeno, v kontekstu vašega vprašanja pristojen le za področje varstva osebnih, vendar tudi v tem delu izven konkretnega postopka nadzora, torej v neobveznem mnenju, ne more odgovoriti na vprašanje, ali bi bila opisana obdelava osebnih podatkov zakonita. Le v konkretnem inšpekcijskem postopku lahko IP presoja konkretne obdelave osebnih podatkov, ki se že izvajajo. Kar se tiče bodočih, nameravanih obdelav osebnih podatkov, pa IP lahko poda svoje mnenje v okviru t.i. postopka predhodnega posvetovanja po izvedeni oceni učinka v zvezi z varstvom podatkov iz člena 35. Na tem mestu vas moramo opozoriti, da morajo upravljavci osebnih podatkov pred začetkom določenih vrst obdelav osebnih podatkov obvezno izvesti oceno učinka v zvezi z varstvom podatkov, posebej denimo kadar gre za obsežno obdelavo posebnih vrst podatkov iz člena 9(1). IP je posebej opredelil, da je obvezna izvedba ocene učinka v zvezi z varstvom podatkov v primeru načrtovanega testiranja in analize genetskih vzorcev.

Več o oceni učinka v zvezi z varstvom podatkov lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/ocena-u%C4%8Dinka-v-zvezi-z-varstvom-podatkov/

Po izvedeni oceni učinka bo upravljavec osebnih podatkov že sam pridobil zadostne informacije za odgovor na vprašanje o zakonitosti obdelave osebnih podatkov, saj bo pretehtal vse elemente, ki jih kot odgovorni upravljavec osebnih podatkov mora pretehtati pred načrtovano obdelavo osebnih podatkov.

IP opozarja tudi na obveznost imenovanja pooblaščene osebe za varstvo osebnih podatkov, kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 Splošne uredbe. Pooblaščena oseba za varstvo osebnih podatkov naj bi bila pri upravljavcu usposobljena za strokovno presojo pravnih podlag, na podlagi katerih naj bi upravljavec obdeloval osebne podatke.

Ne glede na zgoraj pojasnjeno razliko med varstvom osebnih podatkov in širšo pravico do zasebnosti in integritete pa IP poudarja pomen upoštevanja predpisov in etičnih standardov s področja raziskovanja, uporabe in testiranja na človeških tkivih. V tem delu problematike, ki jo izpostavljate, vas napotujemo, da se obrnete na Ministrstvo za zdravje, morebiti tudi na Komisijo Republike Slovenije za medicinsko etiko v okviru Ministrstva za zdravje, saj bi bilo treba pri hrambi in testiranju človeškega biološkega materiala upoštevati najvišje in poenotene standarde za zaščito posameznikov pred nezakonitimi ali neetičnimi posegi.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

Pripravila:                                                                                                                                

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov