Reglur nr. 1100/2008 um meðferð persónuupplýsinga við framkvæmd erfðarannsókna
1. gr.
Markmið og gildissvið.
Markmið reglna þessara er að stuðla að því að við vinnslu með erfðaefni manna og upplýsingar um það sé réttur manna til verndar persónuupplýsinga og friðhelgi einkalífs virtur.
Reglurnar taka einungis til slíkrar vinnslu í þágu afmarkaðra vísindarannsókna, þ.e. þegar unnið er á grundvelli tiltekinnar rannsóknartilgátu og hún prófuð. Þá taka þær aðeins til vinnslu sem byggist á upplýstu samþykki þátttakenda í viðkomandi rannsókn. Þær gilda þó einnig hafi þeir samþykkt þátttöku í annarri vísindarannsókn en þá jafnframt samþykkt að þær upplýsingar, sem aflað yrði við framkvæmd hennar, yrðu varðveittar til nota í þágu annarra rannsókna.
Rannsóknir, þar sem aðeins er unnið með hluta af erfðaefni manns, sem ekki verður með neinu móti rakið til hans, falla utan gildissviðs reglnanna. Einnig falla utan gildissviðs reglnanna athuganir á erfðaefni manna vegna annars en vísindarannsókna, s.s. vegna sjúkdómsmeðferðar eða rannsóknar brotamáls. Þá fellur söfnun persónuupplýsinga í gagnagrunna, sem ekki fer fram í þágu fyrirfram skilgreindra og afmarkaðra vísindarannsókna, utan gildissviðs reglnanna.
Um öflun lífsýna úr lífsýnasöfnum fer samkvæmt 3. mgr. 9. gr. laga nr. 110/2000 um lífsýnasöfn. Þá fer um öflun upplýsinga úr sjúkraskrám samkvæmt 3. mgr. 15. gr. laga nr. 74/1997 um réttindi sjúklinga og upplýsinga úr heilbrigðisskrám skipulögðum af Landlæknisembættinu samkvæmt 8. mgr. 8. gr. laga nr. 41/2007 um landlækni.
2. gr.
Merking hugtaka.
Merking hugtaka í reglum þessum er sem hér segir:
- Erfðaefni: Efni í litningum manna, nánar tiltekið:
- Erfðaefni sem rakið verður til tiltekins manns, þ.e. efni í litningum manna sem hefur að geyma mynstur sem er sérstakt fyrir hvern og einn einstakling og greinir menn hvern frá öðrum (deoxýríbósakjarnsýra: DKS (e. deoxyribonucleic acid: DNA)).
- Hluti erfðaefnis sem ekki verður rakinn til tiltekins manns,þ.e. efni í litningum manna sem ekki hefur að geyma slíkt mynstur að greini þá hvern frá öðrum (m.a. ríbósakjarnsýra: RKS (e. ribonucleic acid: RNA)).
- Vísindarannsókn á heilbrigðissviði: Afmörkuð vísindarannsókn sem gerð er til að auka þekkingu sem m.a. gerir kleift að bæta heilsu og lækna sjúkdóma.
- Erfðarannsókn: Afmörkuð vísindarannsókn þar sem gerðar eru athuganir og unnið með upplýsingar um erfðaefni manna.
- Samþykki: Sérstök, ótvíræð yfirlýsing sem
einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur
vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang
hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að
honum sé heimilt að afturkalla samþykki sitt o.s.frv. Samþykki manns
getur m.a. staðið til:
- þátttöku í tiltekinni erfðarannsókn og að unnið sé með >persónuupplýsingar um hann í tengslum við þá rannsókn.
- þátttöku í tiltekinni erfðarannsókn, að unnið sé með persónuupplýsingar um hann í tengslum við þá rannsókn og að slíkar upplýsingar um hann séu varðveittar til frambúðar svo að þær megi nota í öðrum erfðarannsóknum.
- Rannsóknarúrtak: Hópur einstaklinga sem erfðarannsókn lýtur að og hefur þá svipgerð sem til rannsóknar er. Í rannsóknarúrtaki geta einnig, eftir atvikum, verið ættingjar einstaklinga með þá svipgerð.
- Samanburðarhópur: Hópur einstaklinga sem hafður er til samanburðar við rannsóknarúrtak.
- Tengslagreining: Samanburður á erfðaefni skyldra einstaklinga í því skyni að finna erfðabreytileika sem á þátt í svipgerð.
- Víðtæk erfðamengisleit: Samanburður óháður skyldleika á tölfræðilegum niðurstöðum um tíðni tiltekins erfðabreytileika annars vegar hjá þeim sem eru í rannsóknarúrtaki og hins vegar þeim sem eru í samanburðarhópi.
- Arfgerð: Erfðafræðileg samsetning manns.
- Svipgerð: Eiginleikar einstaklings, s.s. augnlitur, hæð og heilsufar.
3. gr.
Upplýst samþykki og fræðsla.
Áður en einstaklingur tekur þátt í erfðarannsókn með því að gefa lífsýni og veita um sig persónuupplýsingar skal aflað samþykkis hans í samræmi við reglur Persónuverndar nr. 170/2001 um það hvernig afla skal upplýsts samþykkis fyrir vinnslu persónuupplýsinga í vísindarannsókn á heilbrigðissviði.
Áður en þess er óskað að maður samþykki þátttöku í erfðarannsókn skal honum, auk þeirra atriða sem talin eru upp í reglum nr. 170/2001, veitt fræðsla um eftirfarandi atriði:
- Hvort lífsýnum og öðrum upplýsingum verði eytt að rannsókn lokinni eða hvort óskað sé samþykkis fyrir varðveislu erfðaefnis og annarra gagna til notkunar í öðrum rannsóknum, enda séu þær fyrirsjáanlegar.
- Hvort fyrirhugað sé að afla frekari heilsufarsupplýsinga um þátttakendur síðar meir vegna annarra rannsókna og til frambúðarvarðveislu án þess að aflað sé nýs samþykkis.
- Hvaða aðferð verði beitt, s.s. hvort fram fari tengslagreining, víðtæk erfðamengisleit eða hvort beitt verði öðrum rannsóknaraðferðum.
- Hvort fyrirhugað sé að hafa samband við ættingja viðkomandi til að bjóða þeim að taka þátt í rannsókninni; slíkt má aðeins gera í samráði við og á grundvelli hans sjálfs.
- Hvort fyrirhugað sé að samnýta þær persónuupplýsingar, sem unnið er með við gerð rannsóknarinnar, með upplýsingum úr öðrum vísindarannsóknum.
- Hvort viðkomandi fái síðar upplýsingar um eigin arfgerð, s.s. vegna beiðni um þátttöku í nýrri rannsókn, enda óski hann þess sérstaklega.
4. gr.
Auðkenning gagna.
Lífsýni og heilsufarsupplýsingar, sem unnið er með við framkvæmd erfðarannsókna, skal auðkenna með rannsóknar- eða dulkóðunarnúmerum í stað persónuauðkenna.
Þeir sem vinna með erfðaefnisupplýsingar, í tengslum við framkvæmd erfðarannsóknar, skulu ekki jafnframt hafa aðgang að persónuauðkennum.
5. gr.
Upplýsingaöryggi.
Við framkvæmd erfðarannsókna skulu rannsakendur gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda lífsýni og önnur rannsóknargögn gegn ólöglegri eyðingu, gegn því að þau glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.
Lífsýni og önnur gögn skulu hýst á fyrirfram skilgreindum svæðum er lúta skýrri aðgangsstjórnun. Ytra umhverfi þeirra skal haga þannig að girt sé fyrir óheimilan aðgang, skemmdir og truflanir. Þegar vinnudegi lýkur, eða þegar ekki er verið að vinna með sýni og önnur gögn, skal varðveita þau eftir því sem við verður komið í læstum hirslum eða með öðrum jafn tryggum hætti.
Viðhafa skal sérstakar ráðstafanir til að draga úr hættu á truflunum, að rekstur rofni eða lífsýni og aðrar persónuupplýsingar skaðist. Í því skyni skal viðhafa vinnuferli er tryggi órofinn rekstur rannsóknastofu og dragi úr hættu á truflunum vegna óhappa eða annarra atvika sem ógna öryggi hennar, t.d. af völdum náttúruhamfara, slysa, bilunar í hugbúnaði eða skemmdarverka. Skal annars vegar viðhafa fyrirbyggjandi ráðstafanir og hins vegar ráðstafanir er geri kleift að endurræsa hrunin kerfi og eftir atvikum að endurheimta upplýsingar sem kunna að hafa glatast eða skemmst.
Við framkvæmd erfðarannsóknar skal stýra aðgangi að lífsýnum og öðrum gögnum þannig að einungis þeir hafi aðgang sem þess nauðsynlega þurfa vegna rannsóknarstarfs. Greiningar- eða dulkóðunarlykill, sbr. 4. gr. reglna þessara, skal varðveittur á öruggum stað aðskilinn frá öðrum gögnum. Heimilt er að semja við sérstakan vinnsluaðila, sbr. 5. tölul. 2. gr. laga nr. 77/2000, um varðveislu og meðferð hans. Samningur við vinnsluaðila skal vera skriflegur og samrýmast 13. gr. laga nr. 77/2000.
Persónuupplýsingum, sem tengjast rannsóknum á erfðaefni, skal haldið aðskildum frá öðrum gögnum. Við uppsetningu tölvukerfa, sem notuð eru við slíka vinnu, skal setja upp trausta eldveggi til að tryggja slíkan aðskilnað.
Við samkeyrslu upplýsinga um erfðaefni og heilsuhagi við aðrar upplýsingar, s.s. um ætterni, skal notast við dulkóðunar- eða rannsóknarnúmer.
Við notkun greiningar- eða afkóðunarlykils, og við dulkóðun gagna að öðru leyti, skal fylgja sérhæfðu vinnuferli sem samþykkt hefur verið af Persónuvernd. Slíkt vinnuferli skal tryggja að þegar upplýsingar eru raktar til hlutaðeigandi einstaklinga, s.s. í því skyni að hafa samband við þá aftur til að afla nýrra lífsýna, sé farið að 2. mgr. 4. gr. reglna þessara. Í sama skyni skal einnig viðhafa sérstakt vinnuferli við merkingu lífsýna og annarra gagna með greiningar- eða dulkóðunarnúmerum í stað persónuauðkenna.
Gagnaverndarfulltrúi eða dulkóðunarstjóri, sem samþykktur hefur verið af Persónuvernd, skal hafa dulkóðun með höndum. Hann skal, óháð því hvort hann er starfsmaður ábyrgðaraðila eða vinnsluaðila, sbr. 4. og 5. tölul. 2. gr. laga nr. 77/2000, vinna sjálfstætt. Með reglulegu millibili skal hann kynna Persónuvernd þá vinnuferla sem notaðir eru og skila greinargerð um sína vinnu.
Heilsufarsupplýsingar, sem aflað er frá t.d. heilbrigðisstofnunum, skulu sendar með öruggum hætti til dulkóðunarstjóra eða annars aðila sem hefur með höndum merkingu gagna með greiningar- eða dulkóðunarnúmerum. Gögn á pappírsformi skulu send í innsigluðu umslagi. Hið sama gildir um gögn sem send eru á færanlegum geymslumiðlum, s.s. ferðatölvum eða geisladiskum. Ef gögn eru send rafrænt skal notast við öruggar fjarskiptarásir og dulkóðun. Í flutningi skal tryggt að persónuupplýsingar á færanlegum geymslumiðlum séu dulkóðaðar.
Auk framangreinds skal við framkvæmd erfðarannsókna farið að reglum nr. 299/2001 um öryggi persónuupplýsinga, sbr. 11.-13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Eftir því sem við á skal einnig farið að reglum nr. 918/2001 um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum, sbr. 1. mgr. 5. gr. laga nr. 110/2000 um lífsýnasöfn.
6. gr.
Nálgun við þátttakendur á grundvelli arfgerðar.
Óheimilt er að nýta upplýsingar um arfgerð manna, sem til hafa orðið við gerð erfðarannsóknar, til að velja hugsanlega þátttakendur í nýja rannsókn og biðja þá um að taka þátt í henni. Þetta er þó leyfilegt hafi viðkomandi einstaklingar veitt til þess ótvíræða heimild þegar þeir samþykktu þátttöku í fyrri rannsókninni að fenginni fræðslu um þá þýðingu sem vitneskja um arfgerð þeirra getur haft í tengslum við heilsuhagi.
7. gr.
Samnýting upplýsinga.
Óheimilt er að fella gögn um þátttakendur úr einni erfðarannsókn í aðra erfðarannsókn nema viðkomandi einstaklingar hafi samþykkt það. Ef í því felst að viðkomandi þátttakendur séu upplýstir um arfgerð sína skal fræðsla til þeirra þar að lútandi samrýmast 2. málsl. 6. gr. reglna þessara.
8. gr.
Varðveisla niðurstaðna úr erfðarannsóknum.
Öll varðveisla niðurstaðna úr erfðarannsóknum, sem með einhverju móti eru rekjanlegar til viðkomandi einstaklinga, skal vera í samræmi við það samþykki sem hver og einn einstaklingur veitti. Upplýsingar teljast vera rekjanlegar ef unnt er að persónugreina þær með notkun greiningar- eða dulkóðunarlykils. Á það við enda þótt gögn hafi verið flutt úr landi, svo fremi lykillinn sé til og unnt að rekja upplýsingarnar til einstaklinga, s.s. með afkóðun dulkóðaðra gagna. Sama á við ef niðurstöður rannsókna á erfðaefni hafa að geyma það nákvæmar upplýsingar um erfðaefnið að samkeyra má þær við skrár um arfgerð viðkomandi einstaklinga og tengja niðurstöðurnar þannig við þá.
9. gr.
Meðferð lífsýna og annarra gagna að rannsókn lokinni.
Að rannsókn lokinni skal lífsýnum, greiningar- eða dulkóðunarlykli og öðrum persónuupplýsingum eytt nema viðkomandi hafi samþykkt annað. Er þá áskilið að veitt hafi verið fræðsla um tilgang varðveislunnar og hvernig sýni og persónuupplýsingar verði nýttar framvegis. Eftir því sem við á skal við varðveisluna farið að lögum nr. 110/2000 um lífsýnasöfn.
Hafi lífsýna verið aflað úr lífsýnasafni, með stoð í leyfi Persónuverndar samkvæmt 3. mgr. 9. gr. laga nr. 110/2000, skal þeim annaðhvort eytt eða þau send aftur á viðkomandi lífsýnasafn eftir því sem nánar er mælt fyrir um í leyfi stofnunarinnar. Þó skal heimilt að varðveita lífsýnin í lífsýnasafni á vegum rannsakenda, sem fullnægir skilyrðum laga nr. 110/2000, hafi viðkomandi einstaklingar samþykkt það.
10. gr.
Flutningur lífsýna og annarra rannsóknargagna úr landi.
Heimilt er að senda lífsýni og önnur gögn, sem aflað hefur verið vegna tiltekinnar erfðarannsóknar, til athugana á erfðaefni og öðrum þáttum í þágu rannsóknarinnar hjá aðila í landi sem veitir persónuupplýsingum fullnægjandi vernd, sbr. 29. gr. laga nr. 77/2000, sbr. 1. gr. og 1. mgr. 2. gr. auglýsingar nr. 638/2005 um flutning persónuupplýsinga til annarra landa.
Flutningur lífsýna og annarra gagna í framangreindu skyni er óheimill til aðila í löndum, sem ekki veita persónuupplýsingum fullnægjandi vernd í skilningi áðurnefndra ákvæða, nema því aðeins að:
- fullnægt sé einhverju af skilyrðum 1. mgr. 30. gr. laga nr. 77/2000, s.s. að viðkomandi einstaklingar hafi veitt upplýst samþykki að fenginni fræðslu þar sem viðkomandi land hefur verið tilgreint og fjallað hefur verið um tilgang flutnings lífsýna og annarra rannsóknargagna þangað; eða
- Persónuvernd veiti leyfi til flutningsins á grundvelli þess að fullnægjandi tryggingar séu veittar fyrir vernd upplýsinganna hjá viðtakanda, s.s. að gerður sé skriflegur samningur með ákvæðum þar að lútandi eða fyrir liggi skrifleg, undirrituð yfirlýsing viðtakanda þar sem nægar tryggingar koma fram, auk þess sem hann lýsir því yfir að hann álíti yfirlýsinguna vera ígildi samnings, sbr. 2. mgr. 30. gr. laga nr. 77/2000.
Þegar rannsóknir hafa verið gerðar á lífsýnum í öðru landi skal þeim annaðhvort eytt eða afgangur þeirra sendur til baka. Það á þó ekki við ef viðkomandi einstaklingar veita sérstakt samþykki fyrir varðveislu þeirra erlendis að fenginni skriflegri fræðslu þar sem varðveislustaður er skýrlega tilgreindur, sem og tilgangur varðveislunnar. Hið sama gildir um önnur gögn en lífsýni.
Samningur eða yfirlýsing samkvæmt 2. tölul. 2. mgr. skal hafa að geyma ákvæði um varðveislu og eyðingu lífsýna og annarra gagna.
Óheimilt er að senda greiningarlykil með lífsýnum eða öðrum rannsóknargögnum sem send eru utan, nema því aðeins að slíkt sé nauðsynlegt í þágu viðkomandi rannsóknar og hlutaðeigandi einstaklingar hafi samþykkt það sérstaklega.
11. gr.
Tilkynningarskylda.
Vinnsla persónuupplýsinga vegna hverrar, einstakrar erfðarannsóknar skal tilkynnt til Persónuverndar í samræmi við 31. og 32. gr. laga nr. 77/2000, sbr. reglur nr. 712/2008 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga.
Þeir sem hafa með höndum erfðarannsóknir skulu einnig senda Persónuvernd skriflega lýsingu á því vinnuferli sem fylgt er við slíkar rannsóknir, þ. á m. hvernig samþykkis þátttakenda er aflað, hvort og þá hvernig upplýsingar eru samkeyrðar og hvernig öryggis upplýsinga er gætt. Ef fylgt er sama vinnuferli við fleiri en eina rannsókn á vegum sama aðila nægir ein, sameiginleg, skrifleg lýsing fyrir allar þær rannsóknir sem lýsingin á við um. Persónuvernd skal greint skriflega frá öllum breytingum á vinnuferlinu sem ekki geta talist minniháttar.
Persónuvernd getur mælt fyrir um að gerðar skuli nauðsynlegar breytingar á vinnuferli til að tryggt sé að vinnsla persónuupplýsinga samrýmist lögum, sbr. 1. mgr. 40. gr. laga nr. 77/2000.
12. gr.
Gildistaka o.fl.
Reglur þessar, sem settar eru samkvæmt heimild í 2. mgr. 29. gr., 2. mgr. 30. gr., 3. mgr. 32. gr. og 2. málsl. 33. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, öðlast þegar gildi.