Ide tartoznak többek között az etnikai származásra utaló adatok, a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok és az egészségügyi adatok is, amelyek mindegyike érintett egy DNS-tesztelés alkalmával. 

Ma már számos vállalat (pl. a MyHeritage, a 23andMe vagy az ancestry.com) foglalkozik családfakutatással és az etnikai származás vizsgálatával, így több adatbázis is létezik, amely ezeket az adatokat tartalmazza.

De vajon biztonságban vannak-e adataink ezeknél a cégeknél?

Három vezető DNS-teszteléssel foglalkozó cég adatvédelmi szabályzatának vizsgálata után kicsit közelebb kerülünk a válaszhoz.

Az otthon is elvégezhető, olcsó DNS-tesztek népszerűsége töretlen, hiszen rengetegen szeretnék megtudni, milyen genetikai háttérrel rendelkeznek, milyen volt őseik hovatartozása, valamint ezáltal többek között betekintést kapni az egészségi állapotukra vonatkozó főbb tényezőkbe. Az általunk választott cég oldalán történő regisztrálás után körülbelül húszezer forint ellenértékében igénybe vehetjük a szolgáltatást. A DNS-tesztelés 2019-ben érte el csúcsát, a koronavírus-pandémia hatására azonban népszerűsége kissé megtört. Ennek ellenére a genetikai háttér vizsgálatára épített ipar 2024-re előreláthatóan negyvenöt milliárd dollárt fog érni. Ezért elengedhetetlen, hogy – az alábbi példákon keresztül – foglalkozzunk a kérdéskörrel és annak lehetséges jövőbeli jogi szabályozásával.

A MyHeritage internetes oldalán lévő információkból kiderül, hogy tájékoztatást nyújtanak az egészségügyi adatokról, kalkulálják a genetikai megbetegedések felbukkanásának esélyét, és azt is, hogy mekkora az esély azok örökítésére. Amennyiben az érintett nem kíván tudomást szerezni gyógyíthatatlan betegségeiről, ezek az információk letilthatók. A tiltás azonban nem végleges, bármikor visszavonható. Történelmi események, feljegyzések is találhatók az oldalon. Könnyen azonosítható egy személy születése, házassága, halála és genetikai háttere alapján is, azaz összekapcsolhatók az adatok, s így a személyiségprofil kialakítására is lehetőség nyílik. Saját bevallásuk szerint oldaluk 42 támogatott nyelven elérhető, azonban eddig az adatvédelmi szabályzat és az ÁSZF is csak angol nyelven állt rendelkezésre. A 2021-es adatvédelmi irányelv félig angolul, félig magyarul található meg, amely szintén nem felel meg a GDPR előírásainak, mivel nem nyújt megfelelő tájékoztatást az ügyfelek számára.

Az oldalra való regisztrációhoz szükséges az ÁSZF és az adatvédelmi szabályzat előírásainak elfogadása, azonban mindkét szöveg idegen nyelvű, ráadásul bonyolultságuk miatt lehetséges, hogy felsőfokú nyelvvizsgával rendelkező személy se érti meg teljes mértékben. Ez a különleges adatok kezelésénél jelentős problémákat vet fel, hiszen nem elvárható egy magánszemélytől, hogy az adatvédelmi szabályzat megismeréséhez ő rendelkezzen magas szintű nyelvtudással, mikor a vállalat bemutatkozásában jelezte, hogy oldala 42 nyelven elérhető. Aggodalomra adhat okot az is, hogy a cég 2019-es adatvédelmi szabályzatában úgy nyilatkozott: „Mi vagyunk az egyetlen DNS-teszteléssel foglalkozó cég, aki ígéri, hogy nem osztja meg az Ön személyes adatait biztosító társaságokkal”. Ha bármilyen személyes információt megadnak, azokat a cég továbbíthatja, és biztonságos adatközpontokban tárolhatja. Mielőtt a felhasználó eljuthat a DNS-sel kapcsolatos egészségügyi jelentésekhez, kérdőív segítségével összegyűjtik mind az ő, mind a családtagjai egészségügyi állapotával kapcsolatos információkat. Az egészségügyi kérdőíves információk mutatják meg számukra, hogy az adott felhasználó jogosult-e az egészségügyi jelentéssel kapcsolatos minden információról vagy egyes információkról tudomást szerezni. Facebook- vagy Google-fiókunkat is összekapcsolhatjuk a MyHeritage oldalával, s ez esetben személyes adataink felhasználásra kerülhetnek.

A cég adatvédelmi szabályzata értelmében nagyon sok múlik a felhasználó számítógépes kompetenciáin. Igaz ez a biztonsági beállításokra, illetve a genetikai információk törlésének kérelmezésére is. Bár kérhető az adatok törlése, az adatvédelmi irányelv mégis tartalmazza, hogy az eltávolított és a törölt információk korlátozott ideig továbbra is megtalálhatók belső üzleti céljaik számára biztonsági másolat formájában, s az adatok csak a felhasználók számára nem állnak a továbbiakban rendelkezésre. A kiskorúak védelme tekintetében szintén aggályos, hogy 13 éves kortól igénybe vehető a szolgáltatás. Az adatkezelés jogalapjaként a MyHeritage azt jelöli meg, hogy az információk megadása önkéntesen történt, a feldolgozás szükséges a kötött szerződés teljesítéséhez, továbbá szükséges ahhoz, hogy eleget tudjanak tenni egy vonatkozó jogi kötelezettségnek, illetve, hogy az a vállalat törvényes kereskedelmi érdekeinek felel meg, az ügyfél érdekei és alapjogai pedig nem sérülnek. Mivel a genetikai információk a különleges adatok kategóriájába tartoznak, kezelésük jogalapja csakis az érintett kifejezett hozzájárulása lehet. Látnunk kell azonban, hogy az önkéntesség rögvest sérelmet szenved azok esetében, akik nem rendelkeznek megfelelő szintű angol nyelvtudással vagy számítógépes felhasználói ismeretekkel. 

Összegzésképpen tehát elmondható, hogy az adatkezelési szabályok kapcsán az önrendelkezési jog biztosítása problémás – hiszen az nem az európai szabályok tiszteletben tartása mellett történik – s veszélybe kerülhet a „ biztonságos joggyakorlás”.

A DNS-tesztelés piacának egyik központi szereplője 23andMe elnevezésű vállalat, amely nem rendelkezik magyar nyelvű oldallal, s ehhez mérten az adatkezelési politikája is angolul elérhető. Az adatok kezelésének jogalapja ez esetben is a felhasználó önkéntes hozzájárulása. A személyes adatok megosztásával kapcsolatban a cég úgy nyilatkozik, hogy azok csak a szolgáltatókkal és az érintett kifejezett hozzájárulásával a kutatási munkatársakkal oszthatók meg. A 23andMe kifejezett hozzájárulás nélkül nem értékesít, nem bérel és nem ad bérbe személyes adatokat, kutatási célokra sem. 2018-ban azonban a 23andMe négyéves együttműködési megállapodást kötött a világ egyik legnagyobb gyógyszergyárával, a GlaxoSmithKline-nal (a továbbiakban: GSK). Az adatok átadására sor került, a 23andMe pedig arra hivatkozott, hogy az ügyfelek 80 százaléka hozzájárult az amúgy beazonosíthatatlanná tett adatainak kutatási célú felhasználásához. Nem mellékes, hogy a GSK összesen 300 millió dollárt fektet a vállalatba a megállapodás sikerességének érdekében.

A 23andMe adatvédelmi szabályzatában az összegyűjtött információk között megjelenik az oldal látogatására használt eszköz IP-címe és számos más tulajdonsága, a genetikai minta, valamint külön kategóriában vannak feltüntetve az „egyéb adatok”, amely fogalom nem kerül meghatározásra. Ez aggályos, hiszen teljes körű tájékoztatást ez esetben sem kap a felhasználó. Az adatkezeléshez adott hozzájárulás ugyan visszavonható, de ez 30 napot is igénybe vehet. A nyilatkozat tartalmazza, hogy a 23andMe és genotípus-meghatározó laboratóriuma megőriz az ügyfelekre vonatkozó minden genetikai információt. A cég adatvédelmi nyilatkozatának gyermekvédelmi politikája értelmében csak szülői beleegyezéssel lehetséges a tesztelés kiskorúak számára. Fontos kiemelni, hogy amíg a MyHeritage a 13 év alattiak számára nem nyújt szolgáltatásokat, a 23andMe-nél ez a korhatár 18 év. A szabályozás tehát megfelel a nyelvi követelményeknek, nem vezeti félre más államok lakosait, és átlátható. A védelem a MyHeritage által nyújtotthoz mérten magasabb szintű.

A harmadik vállalat, amelynek adatvédelmi szabályzatát vizsgáltam, az Ancestry.com. A cégnek magyar nyelvű oldala nincs, az adatvédelmi szabályzat csak angol nyelven elérhető. Információt gyűjthet a cég az oldal eléréséhez használt eszközről, valamint a felhasználó Facebook profiljáról, ha azzal jelentkezett be fiókjába. A nyilatkozat számos aspektusa hasonlít a már előzőekben ismertetett szabályzatokra. Az adatok kezelésének jogalapja és az adatgyűjtés megegyezik, valamint a harmadik személyek listája, akiknek a cég továbbíthatja az adatokat, szintén tartalmazza a szolgáltatókat és a laborokat. Az Ancestry szabályozásában érdekelt harmadik félként az internetes felhő szolgáltatási infrastruktúra-szolgáltatókat és a biológiai mintatároló létesítményeket jelöli meg. A cég nyíltan kijelenti, hogy partnercégei vannak, amelyekkel pénzügyi érdekből megállapodást köthet. Jogi problémák felmerülése esetére a weboldal elérhetőségeket ad meg az USA lakosainak, valamint az USA-n kívüli lakóknak is sérelmeik orvosolására, s megemlíti a vonatkozó jogszabályokat is. Az adatvédelmi nyilatkozat átlátható, táblázatos formátumban elérhető. Megjelenik benne a kiskorúak védelme, s a 23andMe-hez hasonlóan itt is a 18. életév betöltése szükséges a szolgáltatás igénybevételéhez. Kivételt képez az az eset, amikor a törvényes képviselő hozzájárul a szolgáltatás igénybevételéhez

A szabályozás gyakorlati oldalának vizsgálata alapján az a következtetés adódik, hogy a vizsgált vállalatok összességében nem fektetnek elég hangsúlyt az adatok védelmére és a megfelelő tájékoztatás szintjére. A DNS-tesztek népszerűsége töretlen, és már létrejött (valamint folyamatosan bővül) több adatbázis, amely tartalmazza az egyének adataira vonatkozó profilokat, ideértve a rokoni kapcsolatokat. Ez az adatbázis kiad egy százalékos értéket az egyén származásának földrajzi-népcsoporti típusára, valamint bizonyos betegségek genetikai kockázatát is meghatározza. Adatvédelmi szempontból súlyos hiba az átláthatóság hiánya, hiszen a GDPR rögzíti a jogszerűség, tisztességes eljárás és átláthatóság elvét, amely alapelv célja az érintettek védelme a visszaélésektől. A személyes adatok kezelésére vonatkozó elvek között a célhoz kötöttség elve is megjelenik, amely szintén kérdéseket vethet fel, hiszen a meghatározott, egyértelmű és jogszerű cél mellett megjelenhet a harmadik személyek részére továbbított adatok egyéb célokra történő felhasználása is, amelyről az érintett sok esetben nem is tud. 

Személyes adataink védelmét a legnagyobb sikerrel az Unió egységes fellépése biztosíthatná. A legfontosabb célkitűzés, hogy a DNS-teszteléssel foglalkozó vállalatok adatvédelmi szabályzataikat közérthető módon, egyértelműen fogalmazzák meg, és átláthatóvá váljon adatkezelésük. A Nemzeti Adatvédelmi és Információszabadság Hatóság a tájékoztatás hiányosságaira hívja fel a figyelmet, és nem javasolja a cégek szolgáltatásainak igénybevételét. Osztva ezt a helyzetértékelést úgy gondolom, hogy legfontosabb feladatunk, hogy a vállalatokat szabályzatuk megváltoztatására kényszerítsük. A biztonságos adatkezelés követelményeinek teljesítését jogi úton kell kikényszerítenünk, amelyhez az európai uniós joganyag adhat támpontot. Érdemes lehetne létrehozni az Európai Unió szintjén egy kifejezetten a genetikai adatok kezelésére vonatkozó jogi aktust. A feltételekhez kötöttség elősegítheti az önrendelkezési jog hatékony gyakorlását, s két kiemelten fontos tulajdonságunk, egészségügyi állapotunk és etnikai hátterünk védelmét.

E szabályozás lehet minden állampolgár személyes adatai védelmének letéteményese, s így talán örökítő-anyagunk nem válik fizetőeszközzé.