Geeniperimän testaus – Unohtuuko henkilötietojen suoja?

DNA-testien tekeminen on helppoa: Kuluttaja lähettää analysoitavaksi itse ottamansa näytteen, jonka perusteella testausyritys tuottaa yleisluontoista tietoa kuluttajan esi-isistä sekä joidenkin tunnettujen sairauksille altistavien geenien olemassaolosta sisältävän raportin. Jotkut palvelut tarjoavat myös mahdollisuuden jakaa oman perimänsä tiedot muille käyttäjille ja kartoittaa sukulaisuussuhteita muiden käyttäjien kanssa.

Geeniperimä henkilötietona

Henkilötietojen käsittelystä säädetään yleisessä EU:n tietosuoja-asetuksessa, eduskunnan 13.11. hyväksymässä mutta vasta myöhemmin voimaan tulevassa Suomen kansallisessa tietosuojalaissa sekä useissa erityislaeissa. Lisäksi Suomessa on kaavailtu biopankkilain uudistamista ja uuden geeniperimään liittyvän tiedon hallintaa ja säilytystä koskevan lain säätämistä.

Geneettinen tieto on luonteeltaan ainutlaatuista, koska se on biologisesti sidoksissa ihmiseen. Se on siten yhdistettävissä luonnolliseen henkilöön, vaikka sen yhteydessä ei olisikaan varsinaisia tunnistetietoja.

Tietosuoja-asetuksen mukaan perimätieto on ns. erityistä henkilötietoa. Lähtökohtaisesti tällaisten tietojen käsitteleminen on kielletty.

Geeniperimää koskevien tietojen käsittely on kuitenkin yleensä sallittua, jos rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn juuri testausyrityksen ilmoittamaa tarkoitusta varten. Rekisteröidyllä täytyy myös olla oikeus peruuttaa antamansa suostumus milloin tahansa. Testejä tekevien yritysten mukaan testaustoiminta perustuukin vapaaehtoisuuteen, jolloin testin teettäminen ja sen tulosten käsittely tapahtuu kuluttajan omasta tahdosta ja omalla vastuulla.

Geneettisten tietojen anonymisointi tietosuoja-asetuksen edellyttämällä tavalla ei välttämättä ole niiden luonteen vuoksi mahdollista, vaan ne saattavat siitä huolimatta edelleen pysyä henkilötietoina. Jos yritys käyttää alihankkijoita geeniperimää koskevien tietojen analysointiin, esimerkiksi ulkoisten tunnistetietojen poistaminen ei välttämättä riitä, vaan alihankkijan tulee käsitellä näytteitä ja tuloksia henkilötietoina. Yritysten välillä tulee myös olla lainsäädännön vaatimukset täyttävä henkilötietojen käsittelyä koskeva sopimus.

Geenitestauksen kipupisteet

Helsingin Sanomat on uutisoinut useista geenitestaukseen liittyvistä tapauksista. Onkin ongelmallista, että paljastamalla tietoa itsestään saattaa henkilö paljastaa sukulaisuutta tai perinnöllisiä sairauksia koskevia arkaluonteisia tietoja myös muista, joilla ei ole ollut mahdollisuutta vaikuttaa tiedon julki tulemiseen.

Geenitestausta tuottavan yrityksen tulee varmistaa, että se on saanut testejä tekeviltä kuluttajilta riittävän täsmällisen suostumuksen ja että heillä on tosiasiallinen mahdollisuus peruuttaa antamansa suostumus. Kuluttajille tulee myös kertoa, mitä tietoja heistä kerätään ja mihin niitä käytetään.

Keskeiseksi kysymykseksi muodostuu kuitenkin sivullisten yksityisyyden suojaaminen testaustoiminnassa.

Lisäksi on huomattava, että henkilötietoja voi palveluntuottajayrityksen käsitellä myös tämän alihankkija. Tietosuojaa koskevat lainsäädännölliset vaatimukset koskevat myös alihankkijoita, mutta palveluntarjoaja on aina vastuussa kuluttajalle kokonaisuudesta eli myös alihankkijan toiminnasta.

Geeniperimän testaamista koskeva markkina on voimakkaassa kasvussa. Jos Euroopan kuluttajille suunnattu DNA-testaus kasvaa yhtä laajaksi toiminnaksi kuin Yhdysvaltojen vastaava markkina, on suurin aalto vielä edessä. Tällöin haasteeksi voi muodostua eri valtioiden kansallisten tietosuojalakien erilaiset vaatimukset.