Niezliczona ilość osób jest obecnie regularnie badana pod kątem zakażenia wirusem Corona Covid-19. Wykorzystuje się do tego celu znane szybkie testy Corona. W testach tych do oceny pobiera się wymaz z błony śluzowej gardła lub nosa. Po ustaleniu wyniku szybkiego testu, materiał z danymi genetycznymi badanych osób trafia najczęściej do zwykłych odpadów. Ale czy taka forma pozbywania się materiału genetycznego jest w ogóle zgodna z GDPR? DSGVO to skrót od ogólnego rozporządzenia o ochronie danych osobowych.
Tutaj możesz dowiedzieć się wszystkiego, co musisz wiedzieć w pigułce.
Szybkie testy Corona jako dane w rozumieniu GDPR
Podczas wykonywania szybkiego testu Corona należy pobrać wymaz z błony śluzowej. Są to bezsprzecznie dane genetyczne (motyw 34 do GDPR) w postaci próbki. Zgodnie z art. 9 GDPR dane te należą do szczególnej kategorii danych osobowych i muszą być objęte szczególną ochroną.
Poziom ochrony GDPR w zakresie przetwarzania materiału genetycznego
W przypadku przetwarzania zgodnego z GDPR należy przestrzegać odpowiedniego poziomu ochrony wymaganego przez GDPR. W tym celu GDPR wprowadza przepisy dotyczące bezpieczeństwa przetwarzania (art. 32 GDPR).
Utylizacja szybkich testów Corona z materiałem genetycznym jako przetwarzanie
GDPR rozumie przetwarzanie danych bardzo szeroko. Zgodnie z art. 4 nr 2 GDPR termin ten obejmuje takie operacje jak zbieranie, utrwalanie, organizowanie, klasyfikowanie, przechowywanie, dostosowywanie lub zmienianie, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie przez przesyłanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
W związku z tym dysponowanie próbką zawierającą dane genetyczne (Corona rapid test) mieści się w ramach przetwarzania w rozumieniu GDPR.
Bezpieczeństwo utylizacji materiału genetycznego w postaci przetwarzania
Zgodnie z art. 32 I GDPR wymagania dotyczące bezpieczeństwa tego przetwarzania należy mierzyć przede wszystkim w odniesieniu do stanu techniki. W związku z tym należy podjąć odpowiednie środki techniczne i organizacyjne (TOM) w celu ochrony danych. Między innymi konieczne mogą być takie środki jak pseudonimizacja, szyfrowanie i zapewnienie poufności, integralności, dostępności i odporności systemów i usług do przetwarzania.
W większości przypadków szybkie testy Corona po ocenie są wyrzucane do normalnych odpadów. Jest to obecnie zwykła procedura w wielu firmach i innych instytucjach, gdzie pracownicy mają być regularnie testowani. Na stronie zwykłe odpady, dane genetyczne nie są chronione. Zgodnie z obecnym stanem technologii istnieją sposoby na pozbycie się tych danych genetycznych w taki sposób, że stają się one nierozpoznawalne, np. przez dysponentów odpadów laboratoryjnych, co jest również wymagane na mocy GDPR.
Zgoda osoby zainteresowanej na usunięcie do normalnych odpadów?
Może pojawić się myśl, czy osoba, której dane dotyczą, nie może wyrazić zgody na przetwarzanie z mniejszym zabezpieczeniem (art. 6 I 1 lit. a DSGVO).
Niezależnie od tego, czy kiedyś było to możliwe, procedura ta jest, wg. Uchwała Konferencji Niezależnych Organów Nadzorczych Ochrony Danych Federacji i Krajów Związkowych z dnia 24 listopada 2021 r. nie jest już możliwe w Niemczech. W punkcie 2 decyzji stwierdza się, że niedopuszczalne jest "odstąpienie od środków technicznych i organizacyjnych, które ma zapewnić administrator danych, lub obniżenie przewidzianego prawem standardu na podstawie zgody". Ponadto w punkcie 1 decyzji stwierdza się ogólnie, że środki techniczne i organizacyjne zgodnie z art. 32 GDPR nie są do dyspozycji zainteresowanych stron, ponieważ wynikają z obiektywnych obowiązków prawnych.
W związku z tym osoba, której dane dotyczą, nie może wyrazić zgody na mocy GDPR na pozbycie się szybkich testów Corona za pośrednictwem zwykłych odpadów.
Utylizacja przez specjalne przedsiębiorstwo utylizacyjne Zgodne z DSGVO
Dla Usuwanie zgodne z DSGVO tych próbek, normalne odpady nigdy nie są więc wystarczające. Konieczne jest zlecenie specjalnej firmie utylizacji, która pozbędzie się ich zgodnie z GDPR.
Należy tu zaznaczyć, że jest to wówczas m.in. Przetwarzanie pracy (Art.28 DSGVO). Ze specjalnym dysponentem musi być zawarta odpowiednia umowa o zleceniu przetwarzania. Ponadto, specjalny dysponent musi być w stanie udowodnić, że jest w stanie spełnić odpowiednie poziomy ochrony i zniszczenia danych, które mają być usunięte.
Wniosek
Obecnej masowej praktyki wyrzucania szybkich testów Corona do zwykłych odpadów nie da się pogodzić z GDPR. Naruszenia ochrony danych są liczone w milionach. W celu utylizacji zgodnej z DSGVO musiałaby nastąpić specjalna utylizacja. Najbardziej pragmatycznym rozwiązaniem byłoby tutaj zlecenie specjalnej firmie utylizacyjnej jako procesorowi.
Uniknij kosztownych naruszeń ochrony danych, angażując nas do konsultacji lub audytu ochrony danych.