Mine avalehele Liigu põhisisu juurde

Juristi vaade: geeniandmete kui eriti tundlike isikuandmete töötlemine

Lise-Lotte Lääne | Vandeadvokaat (advokaadibüroo Sorainen)
Vladislav Veližanin | Ajakiri Sinuga toimetaja

KUULA ARTIKLIT

Seaduse silmis on geeniandmed isikuandmete eriliik, mille töötlemine on võrreldes teiste, vähemtundlike isikuandmetega rangemalt reguleeritud. Eestis on isikuandmete kaitse suuresti reguleeritud Euroopa Liidu isikuandmete kaitse üldmäärusega (General Data Protection Regulation, lühend GDPR). Mida peaks teadma, et oma eriliigiliste isikuandmetega targalt käituda, räägib Soraineni vandeadvokaat ning Soraineni Eesti kontori meditsiini ja tervishoiu ärivaldkonna juht Lise-Lotte Lääne.

Kellel on juurdepääs geeniandmetele?

Ligipääs geeniandmetele sõltub alati õigusliku aluse olemasolust, ilma milleta ei tohiks kellelgi ligipääsu mistahes isikuandmetele olla. Õigusliku aluse olemasolu ja selle sisu sõltub omakorda geeniandmete töötlemise eesmärgist. Üldjuhul on kõigi terviseandmete, sealhulgas geeniandmete töötlemine keelatud, sest tegemist on väga tundlike, eriliigiliste isikuandmetega. Töötlemine on aga lubatud juhul, kui on täidetud vähemalt üks GDPRis sätestatud erandlik isikuandmete töötlemise alus.

GDPR ehk Euroopa Liidu isikuandmete kaitse üldmäärus kehtib 2018. aastast terves Euroopa Liidus ning on otsekohalduv st kõiki GDPRi sätteid tuleb Eestis järgida ja täita nagu Eesti seaduste omi. Eestis kehtib küll ka siseriiklik isikuandmete kaitse seadus, kuid see täiendab GDPRi vaid üksikutes aspektides. Järelevalvet üldmääruse reeglite täitmise kohta Eestis teostab Andmekaitse Inspektsioon (AKI).

Geeniandmed meditsiinis

Üheks võimalikuks erandlikuks õiguslikuks aluseks eriliigiste isikuandmete kasutamisel on tervishoiuteenuse osutamine ehk geeniandmete kasutamine meditsiinis. Õiguslik alus geeniandmete kasutamiseks personaalmeditsiinis on Eestis täpsemalt kehtestatud tervishoiuteenuste korraldamise seaduses. Nimelt on seadusega antud tervishoiuteenuse osutajale (sh arstile) õigus töödelda isikuandmeid, ka geeniandmeid, tervishoiuteenuse osutamiseks. Arsti juurde minnes sõlmib patsient alati tervishoiuteenuse osutajaga (nt haigla või mistahes kliinikuga) lepingu, mille alusel automaatselt tekibki sellel terviseteenuse osutajal õigus töödelda isikuandmeid ilma patsiendi (andmesubjekti) nõusolekuta. Inimese parimaks aitamiseks kasutatakse sageli ka geeniandmeid. Geeniandmete kasutus Eestis personaalmeditsiini teostamiseks on võimalik ning seda tehakse juba praegu igapäevaste tervishoiuteenuste osutamise raames.

Nagu selgitatud, siis GDPRi ja tervishoiuteenuste korraldamise seaduse alusel on geeniandmete töötlemine tervishoiuteenuse osutamise raames lubatud. On juba iga arsti enda otsustada ja hinnata, kas geeniandmete analüüs või geeniuuring on vajalik konkreetse haigusseisundi parimaks raviks. Vabariigi Valitsuse määrusega on kehtestatud täpne loetelu tervishoiuteenustest, mida rahastatakse Haigekassa poolt, ja selles nimekirjas on muuhulgas ka erinevad geeniandmetega seonduvad analüüsid.

Eesti Haigekassa tervishoiuteenuste täispikka loetelu vaata siit: https://www.riigiteataja.ee/akt/126062021006

Näiteks vähkkasvajate puhul kasutatakse geeniuuringuid, et rakendada personaliseeritud ravi (kasvajakoe molekulaarne profileerimine). Keeruliste ja raskete haiguste puhul on geeniandmete kasutamine tervishoiuteenuse osutajate poolt juba võrdlemisi tavaline.

Geeniandmete töötlemine nõusoleku alusel

Teiseks võimalikuks geeniandmete töötlemise õiguslikuks aluseks võib olla see, et inimene ise on andnud väga selgesõnalise nõusoleku. Selgesõnaline nõusolek tähendab seda, et inimene on tõesti kursis oma isikuandmete töötlemise tingimustega: ta teab, kes töötleb tema isikuandmeid, mis on isikuandmete töötlemise eesmärk, kuidas on tagatud isikuandmete turvalisus jne. Geeniandmete töötlemine peab olema väga selge ja läbipaistev peab olema teada, kes, kuidas ja millisel eesmärgil seda teeb. Kui isikuandmete töötlemine toimub nõusoleku alusel, on isikul alati õigus võtta see nõusolek tagasi. See tagasivõtmine ei tähenda küll seda, et nõusolek on tagasiulatuvalt algusest peale kehtetu, küll aga tähendab see, et sellest hetkest alates ei tohi enam isiku geeniandmeid varasema nõusoleku alusel töödelda. Kui töötlejal puudub muu õiguslik alus isikuandmete (geeniandmete) töötlemiseks, võib isik ka nõuda geeniandmete kustutamist töötleja andmebaasist.

GDPR tegelikult võimaldab Euroopa Liidu liikmesriikidel keelata nõusoleku alusel eriliigiliste isikuandmete (sh geeniandmete) töötlemise või seada töötlemisele täiendavaid tingimusi, kuid geeniandmete kontekstis ei ole Eesti seadusandja nõusoleku alusel geeniandmete töötlemist seni piiranud. Geeniandmete töötlemisega seoses kehtib Eestis inimgeeniuuringute seadus, kuid see reguleerib peaasjalikult Tartu Ülikooli Eesti geenivaramu tegevust ega mõjuta geeniandmete töötlemist teiste asutuste ja ettevõtjate poolt.

Miks kaitsta oma geeniandmeid?

Vastus on – samal põhjusel, miks kaitsta mistahes isikuandmeid; et kaitsta enda isikuga seonduvat teavet ja vältida selle sattumist pahatahtlikesse kätesse. Kui see, kellele isik annab ligipääsu oma geeniandmete kasutamiseks, ei rakenda piisavaid turvameetmeid, siis tegelikult kaotab inimene kontrolli oma geeniandmete üle ja tema geeniandmed võivad minna inimese teadmata rändama. Geeniandmetest kui kõige tundlikumatest isikuandmetest on potentsiaalselt välja loetav informatsioon meie välimuse, tervisliku seisundi ja ka pärilikkuse kohta. On võrdlemisi ilmselge, et iga isik tahab kontrollida, kas ja kes tema kohta seda infot lugeda saab. Näiteks kas inimene oleks huvitatud sellest, et informatsioon tema haruldase geenihaiguse kohta oleks avalikustatud. Selle otsuse peaks saama teha ainult isik ise.

Tavainimesel geeniandmeid reeglina enda valduses ei olegi. Küll on võimalik geenidoonoril küsida Eestis oma geeniandmeid välja Tartu Ülikooli Eesti geenivaramult. Aga enne andmete välja küsimist peab tõsiselt mõtlema, miks neid andmeid välja küsitakse? Tavaisikul ei ole geeniandmete informatsioonist võimalik suurt midagi välja lugeda, isegi kui tal on olemas arvutitarkvara, mis spetsiifilise faili avamist võimaldab. Kui soovitakse nüüd edastada andmed teenusepakkujale, kes andmete pinnalt oskaks järeldusi teha ja hinnanguid anda, siis peabki hindama juba teenusepakkuja kvaliteetsust ja eesmärke.

Kõikvõimalike turul pakutavate geenitestide, sh rahvusvaheliste teenuste, kasutamisel tuleb olla ettevaatlik ning enne isikuandmete jagamist veenduda, et teenust pakkuv ettevõte on kursis isikuandmete kaitse nõuetega. Näiteks tuleks kindlasti enne mis tahes ettevõtte teenuste ostmist lugeda läbi teenusepakkuja privaatsuspoliitika ning süveneda töötleja poolt sõnastatud töötlemise eesmärkidesse. Igal juhul tuleks kasutada ka omalt poolt alati võimalikult turvalisi andmeedastusviise, nt saata geeniandmeid krüpteeritud kujul. Geeniandmete töötlemise puhul tasub olla igal sammul eriti ettevaatlik.

Eestis tegeleb isikuandmete kaitse nõuete rikkumistega Andmekaitse Inspektsioon. Isikuandmete kuritarvitamise kahtluse puhul tuleb saata sinna lihtkirjalik avaldus ja öelda, et on kahtlus, et keegi töötleb isikuandmeid ilma konkreetse õigusliku aluseta. Peamine põhimõte isikuandmete töötlemises on, et isikuandmete töötlejal peab olema alati isikuandmete töötlemiseks õiguslik alus. Kui seda õiguslikku alust ei ole, siis on automaatselt tegemist rikkumisega.