Erfða- og lífkennaupplýsingar
Erfða- og lífkennaupplýsingar eru upplýsingar sem varða arfgenga eða áunna erfðaeiginleika einstaklings og varpa ljósi á lífeðlisfræði hans eða heilbrigði. Þær fást einkum með greiningu á líffræðilegu sýni frá viðkomandi einstaklingi. Allt eru þetta viðkvæmar persónuupplýsingar sem má eingöngu vinna með í ákveðnum tilfellum, t.d. þegar samþykki liggur fyrir eða vegna verulegra almannahagsmuna, s.s. vegna vísindarannsókna, enda sé persónuvernd tryggð með ákveðnum ráðstöfunum.
Eru erfða- og lífkennaupplýsingar viðkvæmar persónuupplýsingar?
Erfðaupplýsingar eru viðkvæmar persónuupplýsingar. Nánar tiltekið er þá átt við upplýsingar sem varða arfgenga eða áunna erfðaeiginleika einstaklings sem varpa ljósi á lífeðlisfræði hans eða heilbrigði og fást einkum með greiningu á líffræðilegu sýni frá viðkomandi einstaklingi.
Hið sama gildir um lífkennaupplýsingar, þ.e. persónuupplýsingar sem fást með sérstakri tæknivinnslu og tengjast líkamlegum, lífeðlisfræðilegum eða atferlisfræðilegum eiginleikum einstaklings og gera það kleift að greina eða staðfesta deili á einstaklingi með ótvíræðum hætti, svo sem andlitsmyndir eða gögn um fingraför.
Hver eru helstu skilyrði þess að unnið sé með slíkar upplýsingar?
Vinnsla viðkvæmra persónuupplýsinga er óheimil nema uppfyllt sé eitthvert af skilyrðum laga nr. 90/2018 til vinnslu slíkra upplýsinga. Má þar nefna samþykki og að vinnslan sé nauðsynleg til að verja brýna hagsmuni hins skráða eða annars einstaklings. Þá er vinnsla viðkvæmra persónuupplýsinga meðal annars heimil sé hún nauðsynleg af ástæðum sem varða verulega almannahagsmuni og almannahagsmuni á sviði lýðheilsu, sem og vegna tölfræði-, sagnfræði- eða vísindarannsókna. Gæta þarf að því að persónuvernd sé tryggð og í samræmi við lög og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.
Sem endranær þarf auk þess vera fullnægt eftirfarandi grunnkröfum til vinnslu persónuupplýsinga:
- Upplýsingarnar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða.
- Þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar í öðrum og ósamrýmanlegum tilgangi, en frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi telst ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt.
- Þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar.
- Þær séu áreiðanlegar og uppfærðar eftir þörfum.
- Þær séu varðveittar í því formi að ekki verði borin kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu; heimilt er þó að geyma persónuupplýsingar lengur að því tilskildu að vinnsla þeirra þjóni einungis skjalavistun í þágu almannahagsmuna (einkum á grundvelli löggjafar um skjalasöfn, þ. á m. Þjóðskjalasafn Íslands), rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi og að viðeigandi öryggis sé gætt.
- Þær séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt.
- Ábyrgðaraðili (sá sem vinnur með upplýsingarnar) ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt framangreind skilyrði og skal geta sýnt fram á að svo sé.