← Takaisin blogiin TIETOSUOJA

Genomisi GDPR:n valossa: miksi EU:n tietosuoja on geneettisen tiedon kultainen standardi

Maaliskuu 2026 Lukuaika: 7 min

Genomisi on henkilökohtaisinta tietoa, mitä sinulla on. Se on muuttumaton, yksilöivä ja luonteeltaan perhekeskeinen – se paljastaa tietoja paitsi sinusta myös biologisista sukulaisistasi. Toisin kuin salasana tai edes sormenjälki, genomitietoja ei voi muuttaa, jos ne joutuvat vääriin käsiin. Oikeudellinen kehys, joka säätelee näiden tietojen keräämistä, käsittelyä ja suojaamista, on tärkeämpi kuin minkään muun henkilötietoryhmän kohdalla.

Mikä tekee geneettisistä tiedoista erilaisia

Tietosuojan näkökulmasta geneettisillä tiedoilla on useita ominaisuuksia, jotka erottavat ne muista henkilötietotyypeistä:

  • Pysyvyys: Genomisi ei muutu. Genomitietoja koskeva tietoturvaloukkaus aiheuttaa pysyvän tietojen paljastumisen – tilannetta ei voi korjata samalla tavalla kuin salasanaa vaihtamalla.
  • Tunnistettavuus: Genomitiedot ovat luonteeltaan tunnistettavia. Jopa osittaisia genomitietoja voidaan käyttää yksilöiden uudelleen tunnistamiseen, kuten useat rikosteknologisen sukututkimuksen tapaukset ovat osoittaneet.
  • Perinnöllisyys: Geneettiset tietosi paljastavat tietoja biologisista vanhemmistasi, sisaruksistasi ja lapsistasi. Tietoturvaloukkaus ei vaikuta vain yksilöön – se vaikuttaa koko biologiseen perheeseen.
  • Ennustettavuus: Geneettisten tietojen avulla voidaan ennustaa tulevia terveysongelmia, mikä voi johtaa syrjintään vakuutus- ja työelämässä sekä muilla aloilla, jos tietoja käytetään väärin.

Näiden ominaisuuksien vuoksi geneettiset tiedot vaativat korkeimman tason oikeudellista suojaa – ei pelkästään yrityksen sisäisiä käytäntöjä, vaan täytäntöönpanokelpoista lainsäädäntöä, jonka rikkomisesta seuraa todellisia seuraamuksia.

Miten GDPR luokittelee geneettiset tiedot

Toukokuussa 2018 voimaan tullut yleinen tietosuoja-asetus (GDPR) luokittelee geneettiset tiedot 9 artiklan nojalla ”erityisluokan tiedoiksi”. Tämä on EU:n lainsäädännössä tiukimmin suojattu luokitus, samoin kuin terveystiedot, rotuun tai etniseen alkuperään liittyvät tiedot, biometriset tiedot ja seksuaalinen suuntautuminen.

Erityisluokan tietojen käsittely on oletusarvoisesti kielletty. Se on sallittua vain tietyissä oikeusperusteissa – genomiikan kannalta merkityksellisin on nimenomainen suostumus (9 artiklan 2 kohdan a alakohta). Tämä on tiukempi vaatimus kuin ”oikeutettu etu” tai ”sopimuksen täyttämisen välttämättömyys”, joita sovelletaan tavallisiin henkilötietoihin.

Käytännössä tämä tarkoittaa seuraavaa:

  • Genomiikkayritys ei voi käsitellä geneettisiä tietojasi pelkästään valmiiksi valitun valintaruudun tai käyttöehtojen syvällä piilotetun lausekkeen perusteella. Suostumuksen on oltava vapaaehtoinen, täsmällinen, tietoinen ja yksiselitteinen.
  • Suostumus voidaan peruuttaa milloin tahansa (7 artiklan 3 kohta), minkä jälkeen rekisterinpitäjän on lopetettava tietojen käsittely ja pyydettäessä poistettava tiedot.
  • Tietoja saa käyttää ainoastaan niihin tarkoituksiin, joihin suostumus on annettu. Mikä tahansa uusi käyttötarkoitus edellyttää uutta suostumusta.

GDPR:n sinulle myöntämät oikeudet omaan genomiisi

GDPR:n mukaan yksilöillä on kattava joukko oikeuksia henkilötietoihinsa. Geneettisten tietojen osalta merkittävimmät ovat:

  • Oikeus saada pääsy tietoihin (15 artikla): Voit pyytää täydellisen kopion kaikista sinua koskevista geneettisistä tiedoista sekä tietoja siitä, miten niitä käsitellään ja kenelle ne on luovutettu .
  • Oikeus tietojen poistamiseen (17 artikla): Voit pyytää geneettisten tietojesi pysyvää poistamista. Rekisterinpitäjän on noudatettava pyyntöä 30 päivän kuluessa.
  • Oikeus tietojen siirrettävyyteen (20 artikla): Voit pyytää tietosi jäsennellyssä, koneellisesti luettavassa muodossa ja siirtää ne toiselle palveluntarjoajalle.
  • Oikeus käsittelyn rajoittamiseen (18 artikla): Voit pyytää, että käsittely keskeytetään, kunnes riita-asia tai vastalause on ratkaistu.
  • Vastustamisoikeus (21 artikla): Voit vastustaa tiettyjä käsittelymuotoja, mukaan lukien profilointi.

Nämä eivät ole vapaaehtoisia kohteliaisuuksia. Ne ovat laillisesti täytäntöönpanokelpoisia oikeuksia, joiden noudattamista valvovat valvontaviranomaiset, joilla on valtuudet määrätä sakkoja, joiden suuruus voi olla jopa 4 % maailmanlaajuisesta vuosiliikevaihdosta tai 20 miljoonaa euroa.

GDPR vs. geneettisten tietojen suojelu Yhdysvalloissa

Yhdysvalloissa ei ole geneettisiä tietoja koskevaa GDPR:ää vastaavaa liittovaltion tasoista säädöstä. Nykyinen lainsäädäntö on hajanaista:

  • GINA (2008): Estää terveysvakuutusyhtiöiden ja työnantajien harjoittaman geneettisen syrjinnän, mutta ei kata henkivakuutusta, pitkäaikaishoidon vakuutusta eikä työkyvyttömyysvakuutusta. Siinä ei mainita mitään tietojen käsittelystä, tallentamisesta tai tietoturvaloukkausten käsittelyvelvollisuuksista.
  • HIPAA: Koskee ainoastaan säännösten piiriin kuuluvia tahoja (terveydenhuollon palveluntarjoajia, vakuutusyhtiöitä) ja niiden liikekumppaneita. Kuluttajille suoraan myyvät genomiikkayritykset eivät yleensä kuulu säännösten piiriin.
  • Osavaltioiden lainsäädäntö: kirjava kokonaisuus. Illinois, Kalifornia ja muutamat muut osavaltiot ovat antaneet geneettistä yksityisyyttä koskevia lakeja, mutta useimmilla osavaltioilla ei ole erityistä geneettisten tietojen suojaa koskevaa lainsäädäntöä.

Tämän seurauksena yhdysvaltalaisen genomiikkayrityksen tietosuojakäytäntö on useimmissa tapauksissa vapaaehtoinen sitoumus – ei lakisääteinen velvoite. Jos yritys vaihtaa omistajaa, menee konkurssiin tai yksinkertaisesti päättää päivittää ehtojaan, käytäntö voi muuttua. Yhdysvalloissa ei ole olemassa liittovaltion valvontaviranomaista, jonka tehtävänä olisi nimenomaan valvoa geneettisten tietojen suojaa.

Miksi lainkäyttöalue – eikä pelkästään politiikka – on tärkeää

Keskeinen seikka on, että GDPR:n suojatoimet ovat lainkäyttöaluekohtaisia. Ne koskevat EU:n alueella käsiteltyjä tietoja riippumatta rekisteröidyn kansalaisuudesta tai tietojen keränneen yrityksen kotipaikasta. Jos genomisi sekvensoidaan ja analysoidaan EU:ssa sijaitsevassa laboratoriossa, GDPR säädellään tietojen koko elinkaarta – näytteen vastaanottamisesta tietojen poistamiseen asti.

Tämä tarkoittaa, että vaikka asuisitkin Yhdysvalloissa, EU:ssa käsitellyt geneettiset tietosi ovat GDPR:n suojan piirissä. Tämä ei ole valinnainen ominaisuus, vaan se johtuu automaattisesti siitä, missä käsittely tapahtuu.

Dante Labsin yhteistyölaboratorio sijaitsee Italiassa, joka on EU:n jäsenvaltio. Jokainen Danten sekvensoima genomi käsitellään GDPR-asetuksen soveltamisalalla. Tietojasi ei voida myydä, luovuttaa kolmannelle osapuolelle tai käyttää mihinkään tarkoitukseen, johon et ole nimenomaisesti antanut suostumustasi – ja tämä perustuu EU:n lainsäädäntöön, ei yrityksen lupaukseen.

Mitä tämä tarkoittaa käytännössä

Koko genomin sekvensointitestiä harkitsevalle henkilölle tietosuojakysymys tulisi olla yhtä tärkeä kuin testin tarkkuus. Tuottamasi tiedot ovat kaikkein henkilökohtaisinta tietoa, mitä on olemassa – ja niitä säätelevä lainsäädäntö määrittää, mitä näille tiedoille voi ja ei voi tapahtua , ei vain tänään, vaan koko loppuelämäsi ajan.

GDPR ei ole sertifikaatti, jonka voi hankkia ja esittää. Se on sen maan laki, jossa tietojasi käsitellään. Ja geneettisten tietojen osalta – jotka ovat pysyviä, tunnistettavia, perheenjäseniin liittyviä ja ennustavia – se muodostaa maailman vahvimman suojakehyksen.

Lue koko tietosuoja- ja tietohallintosivumme →

Tilaa Dante Labsin uudet julkaisut

Genomiikan uutisia, tuotepäivityksiä ja kliinisiä näkökulmia – suoraan sähköpostiisi.

Yksi testi. Vastauksia koko elämän ajaksi.

Yksi paketti, joka toimitetaan kotiisi. Koko genomisi sekvensoidaan diagnostisissa päätöksissä käytetyn kliinisen standardin mukaisesti. Yli 200 lääkärille tarkoitettua raporttia toimitetaan Genome Manager -palveluun 6–8 viikon kuluessa – ne ovat pysyviä ja päivitetään tieteen kehittyessä.

Ilmainen toimitus kaikkialle maailmaan
Lähetetään 48 tunnin kuluessa
Tulokset 6–8 viikon kuluttua
Tilaa geenitestini

Lähetetään 48 tunnin kuluessa · Tulokset 6–8 viikon kuluttua

Dante Labsin geenitestipakkaus