Společnost Forenzní DNA servis, s.r.o.
Kontrola zpracování u společnosti testující genetické údaje (DNA)
Na základě kontrolního plánu pro rok 2019 provedl Úřad kontrolu, jejímž předmětem bylo zpracování osobních údajů u společnosti testující genetické údaje (DNA), tedy zvláštní kategorie osobních údajů.
Kontrolující zjistili, že kontrolovaná osoba poskytuje svým klientům službu v podobě určování paternity a genetické genealogie. Za tímto účelem shromažďuje a dále zpracovává identifikační a kontaktní údaje a dále zpracovává genetické údaje, konkrétně vzorky získané stěrem z ústní dutiny. Co se týče samotné analýzy DNA, kontrolovaná osoba testuje pouze nekódující část DNA, nepracuje tedy např. s informacemi o zdravotním stavu.
Právní titul pro předmětné zpracování osobních údajů byl shledán v čl. 6 odst. 1 písm. b) nařízení (EU) 2016/679 (plnění smlouvy), v části, kdy dochází ke zpracování osobních údajů nezbytných pro splnění smlouvy, jejíž stranou je subjekt údajů (klient), a dále v čl. 6 odst. 1 písm. a) a čl. 9 odst. 1 písm. a) tohoto nařízení (souhlas), a to ve vztahu ke zpracování zvláštních kategorií údajů (informací ze vzorku DNA).
Kontrolující dále posoudili také plnění informační povinnosti, přičemž zjistili, že informace o postupu při testování jsou dostupné prostřednictvím internetových stránek kontrolované osoby, resp. internetových stránek elektronického obchodu, jehož prostřednictvím kontrolovaná osoba své služby nabízí. Před objednáním konkrétního typu testu se tak může klient seznámit s podrobným popisem postupu od podání žádosti, přes provádění testů až po odeslání či předání výsledků a následné vymazání a likvidaci údajů a vzorků. Klientům je k dispozici také formulář určený k uplatnění jejich práv. Kontrolovaná osoba tedy poskytuje veškeré relevantní informace o způsobu zpracování osobních údajů i o právech subjektů údajů.
Kontrolovaná osoba dále v průběhu kontroly předložila sadu interních předpisů, v nichž jsou popsány všechny aspekty zpracování osobních údajů, čímž kontrolovaná osoba splnila mj. svoji povinnost dle čl. 30 nařízení (EU) 2016/679 (záznamy o činnostech zpracování). V rámci posouzení plnění povinnosti přijmout opatření k zajištění bezpečnosti zpracovávaných osobních údajů kontrolující hodnotili jak fyzické zabezpečení prostor, tak organizační opatření a dospěli k závěru, že kontrolovaná osoba neporušila povinnosti stanovené v čl. 32 nařízení (EU) 2016/679.
Úřad tedy v souvislosti s předmětným zpracováním osobních údajů nezjistil porušení nařízení (EU) 2016/679.
Kontrolu řídila inspektorka JUDr. Jiřina Rippelová.
Doporučení
Genetické údaje patří mezi zvláštní kategorie osobních údajů, pro jejichž zpracování jsou vyžadovány zvláštní záruky. S ohledem na rizikovost zpracování se Úřad zpracováním zvláštních kategorií osobních údajů dlouhodobě zabývá. Více informací ke zvláštním kategoriím osobních údajů lze nalézt na https://www.uoou.cz/5-zvlastni-kategorie-osobnich-udaj-citlive-udaje/d-27274. Zpracování genetických údajů za účelem genetické genealogie musí být zpravidla založené na výslovném souhlasu subjektu údajů.