Základní právní předpoklady pro sekundární využití genomických dat pro vědecké účely

Basic legal prerequisites for secondary use of genomic data for scientific purposes

The aim of genomic data sharing is to enable secure access to this data, primarily for research, personalized healthcare and health policy-making. Data sharing has the potential to accelerate research and bring about significant advances in the understanding of health and disease, but it faces legal and ethical issues related to the protection of privacy and confidentiality of information. In addition to the often counterintuitive European legislation leading to different legal interpretations, there are other national rules in individual European Union countries that can further specify the handling of genomic data. This diversity complicates international cooperation and data sharing, not only in genetics but also in other areas of biomedical research.

This thesis analyzes the basic legal framework and its application enabling the sharing of genomic data and clarifies the concepts of further processing, secondary use and purpose of data processing. Furthermore, it stresses the importance of data subjects' consent and specific exceptions to the general ban on processing sensitive data. For effective sharing of genomic data, it is essential to comply with European and national legislation, including a clear definition of the purpose and legal basis of processing. International cooperation requires regulatory harmonization and robust data management. This paper analyzes the fundamental dynamics and legality of data sharing in the field of genomic research.

Autoři: Jaroslav Jirsa ^1,2; Věra Franková ^1,3
Působiště autorů: Ústav humanitních studií v lékařství 1. LF UK v Prahe ¹; Luxembourg National Data Service, Esch-sur-Alzette, Lucembursko ²; Klinika pediatrie a dědičných poruch metabolismu 1. LF UK a VFN v Praze ³
Vyšlo v časopise: Čas. Lék. čes. 2025; 164: 57-62
Kategorie: Přehledové články

Souhrn

Cílem sdílení genomických dat je umožnit bezpečný přístup k těmto údajům především za účelem výzkumu, personalizované zdravotní péče a tvorby zdravotních politik. Sdílení dat má potenciál urychlit výzkum a přinést významný pokrok v chápání zdraví a nemocí, avšak naráží na právní a etické problémy spojené s ochranou soukromí a důvěrnosti informací. Kromě mnohdy neintuitivní evropské legislativy vedoucí k různým právním interpretacím, existují v jednotlivých zemích Evropské unie další národní pravidla, která mohou nakládání s genomickými daty dále specifikovat. Tato různorodost komplikuje mezinárodní spolupráci a sdílení dat, a to nejenom v genetice, ale i v jiných oblastech biomedicínského výzkumu.

Tato práce analyzuje základní právní rámec a jeho aplikaci umožňující sdílení genomických dat a objasňuje pojmy dalšího zpracování, sekundárního využití a účelu zpracování dat. Dále zdůrazňuje význam souhlasu subjektů údajů a specifických výjimek z obecného zákazu zpracování citlivých dat. Pro efektivní sdílení genomických dat je nezbytné dodržovat evropské a národní právní předpisy, včetně jasného stanovení účelu a právního základu zpracování. Mezinárodní spolupráce vyžaduje harmonizaci právních předpisů a důkladnou správu dat. Tento článek analyzuje základní dynamiku a zákonnost sdílení dat v oblasti genomického výzkumu.

ÚVOD

S příchodem rychlých a levných technik sekvenování DNA možnost studia lidského genomu exponenciálně roste (1). Genomický výzkum slibuje v našem chápání zdraví a nemocí významný pokrok a sdílení genomických dat nabízí povzbudivé vyhlídky na urychlení tohoto výzkumu (2). S tím, jak se zvyšuje počet jedinců, kteří sekvenování podstoupí, se rozšiřuje okruh pracovníků, kteří budou potřebovat přístup ke genetickým a případně zdravotním údajům, které jsou spolu logicky provázány. V rámci výzkumu i zdravotní péče dochází ke shromažďování a vytváření informačně bohatých souborů dat, které mají mnohostranné dlouhodobé využití, daleko přesahující využití pro primární účely klinické, diagnostické či vědecké, pro které byla tato data původně vytvořena či shromažďována (3).

Volání po smysluplném sekundárním využití takovýchto dat vedla na území Evropské unie ke vzniku řady národních i mezinárodních projektů a iniciativ (1+ Million Genomes Initiative, Beyond 1 Million Genomes, Genomic Data Infrastructure, CAN.HEAL), jejichž cílem je umožnit bezpečný přístup ke genomickým údajům za účelem výzkumu, personalizované zdravotní péče, tvorby zdravotních politik apod. Navzdory značnému technickému pokroku v oblasti využití dat je celkový postup brzděn logickými obavami o soukromí a zachování důvěrnosti informací (4). Zachování důvěrnosti je pro využití genomických a zdravotnických dat nezbytnou podmínkou, což se odráží v právní regulaci sahající od velmi specifických povinností (např. lékařské tajemství) až po velmi obecné povinnosti (např. ochrana dat) (5).

Evropský vědecký výzkum v oblasti genetiky je často založen na mezinárodní spolupráci řady institucí, pro které je regulace nakládání s genomickými daty určena společným právním dokumentem Nařízení Evropského parlamentu a Rady EU o ochraně osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů č. 2016/679 (GDPR) (6). Kromě GDPR existují v mnoha zemích EU další národní legislativní pravidla, která mohou nakládání s genomickými daty dále specifikovat, což má značný dopad na jejich využití především zahraničními subjekty^{^[1]} (7). Složitost procesů ochrany genomických dat, značná zodpovědnost zainteresovaných stran, právní nejednoznačnost společně s ne vždy dostatečnými pokyny a doporučeními od dozorových orgánů mají na vědecký výzkum v této oblasti negativní dopad.

Tento článek se zaměřuje na vysvětlení základní právní problematiky sdílení genomických dat pro vědecké účely optikou GDPR. V první části se zaměřuje na objasnění pojmu dalšího zpracování, tedy jakéhokoliv použití nad rámec rozsahu, pro který byly údaje původně shromážděny nebo vytvořeny. V druhé části je vysvětlen pojem účelu jako dostatečně jasného cíle, který legitimizuje zpracování genomických dat. Následně je vysvětleno, jak je provázanost účelu s právním základem relevantní pro další zpracování. Třetí část se zaměřuje na specifičnost dalšího zpracování dat za účelem vědeckého výzkumu.

SEKUNDÁRNÍ VYUŽITÍ A DALŠÍ ZPRACOVÁNÍ DAT

Sekundární využití dat (secondary use of data) není v GDPR definovaný termín. Využívá se pro vyjádření situace, ve které se účel, pro který byla data vytvořena (primární účel), významně liší od účelu jejich dalšího využití, a to i v případě, že data má k dispozici stále ta samá osoba. Tento termín se používá zaměnitelně s dalšími termíny, jako jsou znovupoužití či další užití (data reuse, data repurposing, further use) apod. Pro pochopení rozdílu mezi těmito termíny a termínem „další zpracování dat“ je zapotřebí si uvědomit, že existují 2 pohledy na zpracování dat: Pohled zaměřený na data (data centered view) a pohled zaměřený na osoby odpovědné za zpracování dat (controller centered view).

Pohled zaměřený na data

Termín sekundární užití dat, podobně jako termín sdílení dat, sleduje vznik, použití a zánik dat, tedy zpravidla celý jejich životní cyklus. Ten nabývá nepřeberného množství podob, počínající jejich vznikem, například v rámci výzkumného projektu, následuje uložení, analýza, obohacování, tvorba metadat, zpřístupnění na platformě pro sdílení, znovupoužití atd. Genomická data jsou sdílena (znovu použita) mnoha způsoby. Od nejjednoduššího sekundárního využití 1 institucí v 1 státě po sdílení s řízeným přístupem na mezinárodních federovaných platformách majících různá vnitřní řešení a pravidla pro sdílení (8).

Všechna tato rozmanitá řešení mají společnou povinnost dodržovat pravidla GDPR, pokud se subjekty údajů (identifikované nebo identifikovatelné fyzické osoby, jejichž údaje jsou zpracovávány) nacházejí na území Evropské unie. V takovém případě se GDPR vztahuje na zpracování osobních údajů jakoukoliv stranou bez ohledu na to, zda má tato strana sídlo v EU nebo mimo ni.

Pohled zaměřený na osoby odpovědné za zpracování dat

Pouhé sledování dat může být zavádějící. GDPR se zaměřuje na osoby odpovědné za zpracování dat a zajišťuje ochranu základních práv a svobod jednotlivců tím, že vyžaduje, aby v každé fázi životního cyklu dat existovala za tato data odpovědná osoba. V tomto případě osoba odpovědná za další zpracování.

Další zpracování osobních údajů je termín, který je na rozdíl od termínu sekundárního využití implicitně v nařízení uveden, ačkoliv zde není jasně definován. Už právně nezávazná preambule GDPR nastiňuje limitaci dalšího užití a poskytuje terminologický rámec dalšího zpracování: Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je jejich užití slučitelné s účely, pro které byly osobní údaje původně shromážděny. Rozeznat další zpracování od primárního zpracování je nezbytné z toho důvodu, že další zpracování ukládá zpracovateli zpravidla další povinnosti, které, pokud nejsou dodrženy, vystavují zpracovatele riziku postihu (9).

Aby bylo možné se v sekundárním využití dat orientovat, je zapotřebí mít stále na paměti jak pohled zaměřený na data, který vysvětluje tok dat, tak pohled zaměřený na správce osobních údajů, který osvětluje role osob a jejich povinností při zpracování dat. Role (správce, společný správce, zpracovatel) jsou spojeny s odpovědností za zpracování údajů. Primárně znalost pravidel dalšího zpracování, především schopnost identifikace osob odpovědných za zpracovávaná data, je pro soulad nakládání dat s GDPR nezbytná.

Nejdůležitější otázka v rozpoznání, zda se jedná o další zpracování dle GDPR, se vztahuje k účelu použití dat. Je zapotřebí se tedy ptát: Bude účelu U dosaženo bez zpracování Z? Pokud na otázku odpovíme ano, jedná se v případě zpracování Z o další zpracování.

Pro ilustraci je v tab. 1 uveden příklad dalšího zpracování v porovnání s nepřesným, respektive s právně nedefinovaným, termínem sekundárního využití. Vzhledem k tomu, že v Česku neexistuje zákon, který by nařizoval uchování genomických dat pro vědecké účely, je použit příklad z Dánska, ve kterém v roce 2019 vzniklo Národní genomické centrum (NGC), jehož úkolem je spravovat Národní genomickou databázi (NGD), což mj. zahrnuje poskytování přístupu ke genomickým údajům uloženým v databázi pro vědecké účely (10). Zároveň je zákonem stanovena povinnost předávat do této databáze genomická data pacientů, která byla vytvořena za účelem stanovení diagnózy či léčby.

V tabulce jsou rozdělené na sebe navazující aktivity, které jsou součástí procesu analýzy a uložení genomických informací. V tomto zjednodušeném modelu dochází ke (a) sběru dat, která jsou následně (b) odeslána (je zde zákonná povinnost) do NGC, jež spravuje NGD, která tato data musí (c) přijmout. Jedná se o 3 na sebe navazující aktivity zpracování dat. V bodě (a) se na časové ose nacházíme v době sběru dat o pacientovi (účelem je analýza genomické informace pro stanovení diagnózy), v bodě (b) došlo už k povinnému následnému odeslání dat (účel je stanoven v zákoně) do (c) NGC (účel jeho databáze je také stanoven v zákoně).

Aktivity z prvního sloupce (a, b, c) jsou posuzovány ze 2 pohledů. První pohled je zaměřen na další zpracování, které je relevantní pro soulad s GDPR a sleduje osoby odpovědné za zpracování dat (pohled z hlediska dalšího zpracování) a druhého, běžně používaného pohledu sekundárního využití, který spíše sleduje data jako taková.

Tab. 1 Příklad nakládání s genomickými daty v Dánsku
– stejné aktivity zpracování dat mohou být posuzovány rozdílně z pohledu dalšího zpracování a sekundárního využití

Činnosti zpracování – příklad		Jedná se o další zpracování dat?	Jedná se o sekundární využití dat?
(a)	Zdravotnické zařízení sbírá genomická data a diagnostikuje onemocnění na základě genetické analýzy.	Ne. Primárním a zatím jediným účelem zpracování je stanovení diagnózy pacienta.	Ne. Primárním a zatím jediným účelem zpracování je stanovení diagnózy pacienta.
(b)	Odeslání dat do NGD zdravotnickým zařízením.	Ano. I bez povinnosti informace předat NGD by tato data byla použita zdravotnickým zařízením pro primární diagnostický účel. Jakákoliv další zpracování dat nesouvisející s primární diagnostikou tedy představuje další zpracování.	Nejednoznačné. Nezbytnou podmínkou a integrální součástí pro vznik povinnosti hlášení do NGD je stanovení diagnózy, a tedy druhý účel nelze od prvního oddělit, neboť by bez něj nevznikl. Lze ho ovšem odlišit. Zpracování dat pro diagnostiku a léčba je v tomto případě primárním účelem. Zpracování dat pro odeslání do NGD až druhotným účelem. (V mnoha případech je obtížné odlišit primární účel od sekundárního či hlavní od vedlejšího).
(c)	Sběr dat institucí odpovědnou za NGD (NGC).	Ne. Pro NGC, tedy instituci odpovědnou za sběr informací do NGD, se jedná o její primární účel.	Spíše ano. NGD není z pohledu vzniku dat primárním zdrojem.

ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Účel zpracování dat je stěžejní element, který má zásadní dopad na celý proces zpracování dat a na role a povinnosti jejich správce. Přesné vymezení účelů je klíčové pro analýzu celého řetězce zpracování dat a pro rozhodnutí, zda je na dané zpracování možné nahlížet jako na oddělené, či jako na součást většího celku (11).

Účel musí odpovědět na otázku, proč jsou data zpracovávána, a to dostatečně určitým (specified) a konkrétním (specific) způsobem. Stanovení dostatečně konkrétního a určitého způsobu je podmínka, bez které jakékoliv zpracování osobních údajů není přípustné. Nedostatečná specifikace účelu je velmi častým prohřeškem, který pramení z oportunistické potřeby stanovit si účel zpracování šířeji, než je nezbytně nutné. To je v rozporu s pravidlem minimalizace údajů (data minimisation), pravidlem omezení uložení (storage limitation) a především pravidlem omezení účelu (purpose limitation).

Typicky se tento prohřešek objevuje při popisu souhlasu ke zpracování osobních údajů. Souhlas může být jedním z možných právních základů pro zpracování dat, je ho možné užít jako výjimku z obecného zákazu zpracování genetických dat a zároveň je možné se na něj spolehnout v případě potřeby dalšího zpracování. Zároveň je mnohdy zapotřebí obstarat informovaný souhlas pro účast ve výzkumném projektu, který má jiné kvalitativní požadavky než souhlas dle GDPR. Vnucuje se tedy potřeba vytvořit vzor dostatečně širokého souhlasu. Toto slučování souhlasů nelze z etických, právních a metodologických důvodů doporučit (12). Informovaný souhlas pro účast ve výzkumném projektu, souhlas k dalšímu zpracování dat či souhlas ke zpracování genetických dat mají každý svá specifika. Souhlas musí být udělen pro 1 či více konkrétních účelů a v případě zpracování genetických dat se musí jednat o výslovný souhlas (musí být prokazatelný, tj. ideálně písemný) pro 1 či více stanovených účelů. Účel tedy musí být popsán poměrně detailně a veškeré zpracování dat musí k tomuto účelu směřovat, což vylučuje užití velmi obecného (širokého) souhlasu (broad consent).

Neplatný souhlas může vypadat následovně: „Souhlasím se zpřístupněním svých genetických údajů pro budoucí výzkum v datovém úložišti.“ Zde není dostatečně jasné, k jakému účelu tento souhlas směřuje (účel není dostatečně určitý). Subjekt údajů (např. účastník výzkumu) neví, co se stane, když se změní správci osobních údajů nebo když se bude jednat o mezinárodní předání dat do úložiště, které nepodléhá GDPR. Subjekt údajů není schopen posoudit důsledky a rizika plynoucí ze zpracování dat. Souhlas tedy není informovaný.

Dalším pojmovým znakem účelu je jeho časová ohraničenost. Časová restrikce účelu je nejlépe vidět ve francouzském znění GDPR, který pro účel používá slovo finalité. Znamená to tedy, že musí být známo, kdy zpracování dat dosáhne svého účelu. Nemusí se jednat o přesné datum, stačí stanovit situaci, u které není jasné, kdy nastane, ale je jisté, že se tak stane (např. konec definovaného výzkumného projektu). Toto ustanovení může být problematické například při dalším výzkumu, který má ověřit platnost výzkumu předchozího.

Zde je zapotřebí upozornit, že každé zpracování osobních údajů musí mít vždy alespoň 1 účel. Je samozřejmě možné použít stejná data pro různé účely, což je ovšem i podstatou jejich sdílení, ale v takovém případě je pro každý z těchto účelů zpracování zapotřebí mít právní základ. Z pohledu GDPR se jedná o různé zpracování osobních údajů a bez dalšího právního základu není možné data získaná za jedním účelem použít pro účel jiný, i přestože data drží stejná osoba. Dalším právním základem není myšleno mít 2 rozdílné právní základy pro primární (např. souhlas) a další zpracování (např. veřejný zájem). Může se jednat například o 2 od sebe oddělitelné a rozpoznatelné souhlasy pro primární a další zpracování.

Znamená to tedy, že pokud je například pro zdravotnické zařízení právním základem pro zpracování genomických dat pacienta pro účely stanovení diagnózy jeho souhlas, nemůže zdravotnické zařízení použít data k jinému účelu než ke stanovení diagnózy. Pokud chce pacientova data použít pro výzkumný projekt, musí mít nový právní základ, protože se účel zpracování dat změnil. Zdravotnické zařízení musí buď získat nový souhlas, nebo mít jiný právní základ, například zpracování ve veřejném zájmu. Nicméně aby zpracování ve veřejném zájmu bylo zákonné, musí zde existovat národní či evropská legislativa, která zpracování pro konkrétní účel umožňuje, a zároveň, neboť se jedná o genomická data, musí zpracovatel (zdravotnické zařízení) mít ve všech případech výjimku ze zákazu zpracování dle čl. 9(2) GDPR. Pokud se chce spolehnout na výjimku zpracování ve veřejném zájmu pro účely vědeckého výzkumu, musí zde opět existovat národní či evropská legislativa, která zamýšlené zpracování dat umožňuje. Pokud tato legislativa neexistuje nebo neumožňuje zamýšlené zpracování, velice často pak nezbývá než si obstarat nový souhlas. Souhlas jako právní základ pro vědecký výzkum je velmi nepraktický, neboť nutí zpracovatele při každé změně účelu, který, jak už jsme uvedli, musí být velmi konkrétní, znovu kontaktovat subjekt údajů a vyžadovat nový souhlas. Subjekt údajů musí zároveň být informován, kdo s jeho daty, byť jen s nepatrnou částí, nakládá (správce údajů), což je pro sdílení dat značně nepraktické. Pro souhlas, aby mohl být považován za informovaný, musí být správce údajů subjektu údajů znám (např. v případě, že různé výzkumné instituce žádají o přístup k datům jednotlivce, která jsou uložená na platformě pro sdílení dat, musí být tomuto jednotlivci známá každá z těchto institucí, aby mohl vyjádřit souhlas, či nesouhlas pro každé jednotlivé zpracování). Počet subjektů, které je zapotřebí kontaktovat (např. při výzkumu vyžadujících velké množství pacientů, respektive subjektů dat), praktičnost souhlasu také velmi snižuje.

Specifikace účelu je prvním krokem v sérii procesů, které jsou nezbytné k prokázání dodržování ochrany dat (13). Správce je především povinen jasně specifikovat všechny jednotlivé účely, pro které jsou data zpracovávána. Druhým krokem je posoudit, zda se jedná o další zpracování dat, a třetím krokem je posouzení, zda je toto další zpracování v souladu s primárním účelem, pro který byla tato data získána. Ne všechny účely jsou známy nebo výslovně vyjádřeny již v době sběru dat. Některé z předem definovaných účelů mohou být oportunistické, využívající dostupné údaje, které byly shromážděny k jinému účelu. Například zdravotnické zařízení musí posoudit, zdali získaná data od pacientů může použít ke zlepšení kvality svých služeb, tedy zdali účel, pro který byla data získána, jsou v souladu s účelem zlepšení kvality služeb. V tomto případě je nutno provést tzv. test slučitelnosti, který je specifikován v čl. 6(4) GDPR. Pokud test slučitelnosti odhalí, že tomu tak není, jedná se o další zpracování, pro které je zapotřebí najít nový právní základ (viz níže). Pokud pro toto další zpracování dat nový právní základ neexistuje, není možné tato data k danému účelu (zlepšení kvality služeb ve výše uvedeném příkladě) použít.

Stanovení účelu pro oblast vědeckého výzkumu v oblasti genomických dat s sebou nese řadu výzev. Vědecký výzkum je zpravidla společné kolaborativní úsilí mnoha zainteresovaných subjektů, nezřídka s mezinárodním přesahem. GDPR umožňuje členským státům EU zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu. Podmínky, včetně účelu, pro který mohou být genomická data zpracována, se mohou v jednotlivých zemích EU lišit, a tedy mít dopad na využití dat v mezinárodním výzkumném projektu.

Genomický výzkum představuje komplexní prostředí, ve kterém dochází k řadě kroků, při kterých se genomická data zpracovávají (sběr, slučování, ukládání, analýza, transfer, správa apod.). Vždy je zapotřebí posoudit, zda účely, na jejichž základě dochází ke zpracování dat, jsou součástí hlavního účelu, kterým je např. výzkumný projekt, a zda nedochází k oportunisticky zbytnému sběru dat.

Účel zpracování dat je nerozlučně spojen s rolemi (správce, společný správce, zpracovatel), které jsou spojeny s odpovědností za zpracování údajů. Správce je osoba, která určuje účely a prostředky zpracování osobních údajů, zatímco zpracovatel je osoba, která zpracovává osobní údaje pro správce. Tyto role jsou faktického rázu, a pokud účel není zcela jednoznačně stanoven, ani role navázána na účel, nemůže mít jasné kontury. S vědomím těchto problémů přijal Soudní dvůr Evropské unie přístup, který omezuje rozsah působnosti společných správců v návaznosti na jednotlivé fáze zpracování údajů. Tento přístup se používá k vymezení rozsahu odpovědnosti (společného) správce pouze na taková zpracování osobních údajů, na kterých se správce skutečně podílí jako osoba určující jeho prostředky a účely (14). Například poskytovatel genomických dat (platforma pro sdílení dat) obvykle nestanovuje výzkumnou otázku nebo metody, ovšem rozhoduje o tom, zda přístup k datům poskytne, či nikoli. Udělení přístupu nemá vliv na účel zpracování, a proto platforma většinou není společným správcem s tím, kdo do této platformy žádá o přístup. I když platforma (pro toto zpracování je zpracovatel) údajů odmítne přístup k určitému souboru údajů, může výzkumný pracovník (pro toto zpracování je správce většinou domovská instituce výzkumného pracovníka) najít podobnou datovou sadu v jiném datovém úložišti a pokračovat ve výzkumu.

PRÁVNÍ ZÁKLAD PRO DALŠÍ ZPRACOVÁNÍ GENOMICKÝCH DAT PRO VĚDECKÉ ÚČELY

Každý zpracovatel osobních údajů musí mít kromě zcela jasné a konkrétní představy účelu zpracování osobních údajů i právní základ pro zpracování dat. Jinými slovy, není možné zpracovávat osobní údaje nezákonně, a to ani v případě, že např. subjekt osobních údajů s takovým zpracováním souhlasí. Nedostatek právního základu pro zpracování dat je nejčastějším prohřeškem proti dodržování GDPR i z toho důvodu, že je neoddělitelně spjat s jeho často nedostatečně definovaným účelem.

Zpracování genomických dat je možné pouze za předpokladu, že zpracovatel těchto dat má pro zpracování dat obecné zákonné zmocnění (nejrelevantnější pro další zpracování genetických dat je souhlas, splnění právní povinnosti, veřejný zájem a oprávněný zájem) a zároveň výjimku z obecného zákazu zpracování genomických dat, která jsou klasifikována jako data spadající do zvláštní kategorie osobních údajů společně s údaji o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech; biometrickými údaji a údaji o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Výjimek ze zákazu zpracování genomických dat je celkem 10: výslovný souhlas, plnění povinností v oblasti pracovního práva a sociálního zabezpečení, ochrana životně důležitých zájmů, oprávněná činnost, zjevně zveřejněné údaje, obhajoba právních nároků, lékařská diagnostika, veřejný zájem v oblasti veřejného zdraví, archivace a vědecký výzkum. Zdaleka ne všechna zákonná zmocnění a výjimky jsou v oblasti jejich sekundárního využití použitelná. Pro každé zpracování genomických dat musí existovat právní základ a výjimka ze zákazu zpracování citlivých dat kumulativně, výzkumná a zdravotnická zařízení nevyjímaje. Existuje řada kombinací právního základu dle čl. 6 a výjimky dle čl. 9 GDPR. Velmi častý je souhlas dle čl. 6(1)(a) + 9(2)(a) GDPR. Poněkud neintuitivně je dle těchto 2 článků souhlas právním základem a zároveň výjimkou ze zákazu zpracování genetických dat. Tato výjimka tedy vyžaduje, aby byl souhlas, kromě kvalitativních požadavků uvedených v čl. 6(1)(a), udělen pro jasně stanovené účely dle článku 9(2)(a). Dalším příkladem může být situace sběru genomických dat do zdravotního registru dle čl. 6(1)(c) + 9(2)(i) či 9(2)(j). V tomto případě je právním základem zpracování relevantní zákon (pokud existuje a zároveň umožňuje dané zpracování, což není ve všech zemích EU pravidlem).

Další pravidlo se týká obecné limitace dalšího zpracování, podle které mohou být osobní údaje shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely. GDPR tímto ustanovením dává vědeckému výzkumu určité privilegované postavení v oblasti dalšího zpracování a nevytváří potřebu nového samostatného právního základu pro další zpracování osobních údajů, jak by tomu bylo v případě, pokud by se nejednalo o další zpracování pro vědecké účely (15). V tomto případě je zásadní zdůraznit, že tato věta se vztahuje pouze na situace zpracování prováděné správcem údajů, který již má údaje v držení. Tento správce se skutečně může i nadále spoléhat na stávající právní základ a zpracovávat údaje pro účely vědeckého výzkumu. Každý následný správce údajů, tj. správce údajů, který obdrží stávající údaje od jiného správce, musí stanovit vlastní právní základ pro své primární zpracování.

Příkladem může být registr genomických dat, který má zákonný základ ke shromažďování dat, k jejich studiu i ke zpřístupnění obsahu své databáze pro vědecké pracovníky z jiných vědeckých institucí, kteří sledují vlastní výzkumný cíl. Pokud chce tato jiná vědecká instituce získat data z registru, musí mít vlastní právní základ pro jejich sběr, respektive pro nahlížení do databáze registru. Dle GDPR v tomto případě musejí existovat 2 právní základy: Jeden pro registr umožňující zveřejnění (části) své databáze k definovanému účelu a druhý pro vědeckou instituci, která tato data hodlá použít pro svůj účel. Registr se tedy logicky dotazuje, zda se právní základ, respektive účel, pro který může data zpřístupnit, kryje s účelem, na jehož základě vědecká instituce žádá o přístup k datům. Regulace procesu nakládání s daty se označuje termínem správa dat (data governance).

Jedna z nejvhodnějších výjimek zákazu zpracování genomických dat umožňuje zpracování pro účely vědeckého či historického výzkumu nebo pro statistické účely. Ovšem pouze za předpokladu, že toto zpracování je v souladu s přiměřenými cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů a zároveň pro toto zpracování existuje právo Unie nebo členského státu. Spolehnout se na tuto výjimku není možné ve státech, ve kterých takové právo (zákon) není součástí národní legislativy. Stejně tak unijní právo by v této oblasti mělo doznat významného zlepšení především prostřednictvím přijetí Nařízení Evropského prostoru pro zdravotní data (EHDS – Regulation on the European Health Data Space) (16). Jak bylo uvedeno výše, GDPR umožňuje sdílení genomických dat, ovšem zároveň umožňuje, aby si jednotlivé členské státy EU upravily pro tento typ dat odlišné podmínky. Zároveň umožnil přijmout členským státům legislativu definující veřejný zájem či významný veřejný zájem, což jsou instituty, které musí být kodifikovány, aby je bylo možné použít jako právní základ. Tato kodifikace se na národních úrovních značně liší či chybí úplně.

Snaze vykládat privilegovaný pojem vědecké účely velmi široce se snažil zabránit evropský inspektor ochrany osobních údajů, který se ve svém předběžném stanovisku zaobírá nejasnými hranicemi mezi „skutečným“ výzkumem pro společné dobro a na druhé straně výzkumem, který slouží především soukromým nebo komerčním účelům. Popisuje především kvalitativní kritéria vědeckého výzkumu, který musí umožnit testování hypotéz (přičemž závěry i zdůvodnění musí být transparentní a otevřené kritice), role etických komisí a podobně. Jak bylo mnohokrát zdůrazněno výše, veškeré zpracování má mít definovaný účel, který je spjatý se striktně definovanými pravidly a výjimkami. Možnost využití jednotlivých právních základů pro vědecký výzkum záleží vždy na kontextu. To platí zejména při srovnání veřejných výzkumných institucí (např. univerzit) a soukromých komerčních subjektů, kdy různé typy subjektů mohou mít jiné možnosti využívat vhodné právní základy.

ZÁVĚR

Pro ideální využitelnost genomických, ale i dalších biomedicínských výzkumných dat je naprosto nezbytné jejich sdílení. Další zpracování je zákonný termín, který je nejbližší běžně používanému termínu sdílení či znovupoužití. Pokud k němu dochází mezi různými správci, ukládá každému správci prokázat existenci právního základu a výjimky ze zákazu dalšího zpracování genetických informací. Zpracování, jeho účel a právní základ jsou klíčové pojmy GDPR. Zejména mezinárodní genomické projekty čelí složitému regulačnímu prostředí, pro které je nezbytná znalost GDPR, národních právních předpisů a zároveň i ochota dohodnout se, jaká právní, organizační a technická opatření jsou pro sdílení dat nutná.

Každé zpracování musí probíhat za jasně definovaným konkrétním účelem. Znalost účelu zpracování je nezbytné pro stanovení právního základu zpracování dat, určení rolí a povinností zainteresovaných subjektů. Nezbytné je i pro posouzení, zda dochází k dalšímu zpracování údajů. Další zpracování genomických dat pro účely vědeckého výzkumu má omezenou možnost výběru právního základu, kterým je souhlas, právní povinnost, veřejný zájem a oprávněný zájem. Poslední 3 právní základy vyžadují existenci národní či evropské legislativy, která, pokud neexistuje, nutí správce údajů spoléhat na ne vždy praktický souhlas. Splnění úkolu prováděného ve veřejném zájmu může být jedním z vhodnějších právních základů pro biomedicínský výzkum. Tuto možnost však mají k dispozici pouze správci údajů v těch evropských zemích, ve kterých národní legislativa jasně a konkrétně definuje veřejný zájem pro dané zpracování dat.

[1] Čl. 9(4) GDPR umožňuje členským státům zachovat nebo zavést další podmínky, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu.

Čestné prohlášení

Autoři práce prohlašují, že v souvislosti s tématem, vznikem a publikací tohoto článku nejsou ve střetu zájmů, a vznik ani publikace článku nebyly podpořeny žádnou farmaceutickou firmou.

Poděkování

Tato práce vznikla za podpory projektů MŠMT, a to BBMRI_CZ LM2023033 a NCLG LM2023067, a programem Cooperatio, vědní oblasti Zdravotnické vědy.

Seznam použitých zkratek

EHDS Evropský prostor pro zdravotní data (European Health Data Space)

GDPR Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation)

NGC – Národní genomické centrum v Dánsku (Nationalt Genom Centre)

NGD – Národní genomická databáze v Dánsku (Den Nationale Genomdatabase)

Adresa pro korespondenci

Mgr. Jaroslav Jirsa

Luxembourg National Data Service

6, avenue des Hauts-Fourneaux

L-4362 Esch-sur-Alzette

Tel.: (+352) 621 741 588

e-mail: jaroslav.jirsa@lnds.lu

Zdroje

Church GM. Genomes for ALL. Scie Am 2006; 294: 46–55.
Meystre SM, Lovis C, Bürkle T et al. Clinical data reuse or secondary use: current status and potential future progress. Yearb Med Inform 2017; 26: 38–52.
Harerimana G, Jang B, Kim JW, Park HK. Health big data analytics: a technology survey. IEEE Access 2018; 6: 65661–65678.
Gostin LO, Halabi SF, Wilson K. Health data and privacy in the digital era. JAMA 2018; 320: 233234.
Data Ethics Framework. Guidance. Government Digital Service and Central Digital and Data Office. Dostupné na: www.gov.uk/government/publications/data-ethics-framework
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Hansen, J, Wilson, P, Verhoeven, E et al. Assessment of the EU Member States’ rules on health data in the light of GDPR. European Commission: Consumers, Health, Agriculture and Food Executive Agency, 2021. Dostupné na: https://data.europa.eu/doi/10.2818/546193
Byrd JB, Greene AC, Prasad DV et al. Responsible, practical genomic data sharing that accelerates research. Nat Rev Genet 2020; 21: 615–629.
Becker R, Chokoshvili D, Comandé G et al. Secondary use of personal health data: when is it "further processing" under the GDPR, and what are the implications for data controllers? Eur J Health Law 2022; 30: 129–157.
Laugesen K, Mengel-From J, Christensen K et al. A review of major Danish Biobanks: advantages and possibilities of health research in Denmark. Clin Epidemiol 2023; 15: 213–239.
Van Alsenoy B. Data protection law in the EU: roles, responsibilities and liability. Intersentia, Cambridge, 2019.
Dove E, Chen J. Should consent for data processing be privileged in health research? A comparative legal analysis. IntData Priv Law 2020; 10: 117–131.
Becker R, Chokoshvili D, Thorogood A et al. Purpose definition as a crucial step for determining the legal basis under the GDPR: implications for scientific research. J Law Biosci 2024; 11: lsae001.
Becker R, Thorogood A, Bovenberg J et al. Applying GDPR roles and responsibilities to scientific data sharing. Int Data Priv Law 2022; 12: 207–219
Quinn P. Research under the GDPR – a level playing field for public and private sector research? Life Sci Soc Policy 2021; 17: 4.
European Health Data Space Regulation (EHDS). Dostupné na: https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space-regulation-ehds_en

Štítky

Adiktologie Alergologie a imunologie Angiologie Audiologie a foniatrie Biochemie Dermatologie Dětská gastroenterologie Dětská chirurgie Dětská kardiologie Dětská neurologie Dětská otorinolaryngologie Dětská psychiatrie Dětská revmatologie Diabetologie Farmacie Chirurgie cévní Algeziologie Dentální hygienistka

Článek Úvodem

Článek Pokroky v diagnostice a léčbě mužské neplodnosti – přehled současných možností

Článek Význam regulace surogátního mateřství z hlediska občanského, zdravotnického i trestního práva

Článek Využití telemedicíny v péči o děti s obezitou

Článek Stanovisko mezinárodního panelu odborníků ke klinickému využití testování mikrobiomu

Článek Srdeční záležitost

Článek Zemřela profesorka Lenka Špinarová

Článek vyšel v časopise