Når det gjennomføres en genetisk test genereres det personopplysninger. Behandling av personopplysninger reguleres i personopplysningsloven og EUs personvernforordning (GDPR – General Data Protection Regulation).
Genetiske opplysninger reguleres av GDPR, og er definert i artikkel 4 nr. 13: "personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som gir unik informasjon om den aktuelle fysiske personens fysiologi eller helse, og som særlig er framkommet etter analysering av en biologisk prøve fra den aktuelle fysiske personen".
All behandling av personopplysninger må ha et rettslig grunnlag for å være lovlig, jf. GDPR art. 5 nr. 1 bokstav a. De tillatte rettslige grunnlagene finnes i art. 6 nr. 1 bokstav a til f. For eksempel er behandlingen lovlig hvis den registrerte har samtykket til behandlingen (bokstav a), hvis behandlingen er nødvendig for å oppfylle en rettslig forpliktelse (bokstav c) eller hvis behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser (bokstav d).
Det er slått fast i fortalen punkt 51 at "personopplysninger som av natur er særlig sensitive med hensyn til grunnleggende rettigheter og friheter fortjener et særskilt vern, fordi sammenhengen de behandles i kan skape betydelige risikoer for de grunnleggende rettigheter og friheter". GDPR artikkel 9 lister opp hvilke kategorier av opplysninger dette gjelder, blant annet opplysninger om rasemessig eller etnisk opprinnelse, genetiske opplysninger og helseopplysninger. En virksomhet som tilbyr genetiske tester direkte til forbrukere vil behandle "særlige kategorier av personopplysninger" jf. GDPR artikkel 9. Se også fortalen punkt 34 som spesifikt omhandler genetiske opplysninger: "Genetiske opplysninger bør defineres som personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som foreligger etter analysering av en biologisk prøve fra nevnte fysiske person, særlig en kromosomanalyse eller en DNA- eller RNA-analyse, eller analysering av andre elementer som gjør det mulig å innhente tilsvarende opplysninger"
Hovedregelen er at det er forbudt å behandle slike opplysninger, jf. GDPR artikkel 9 nr. 1. For at behandlingen skal likevel være tillatt må ett av vilkårene som er listet opp i artikkel 9 nr. 2 bokstav a til j være oppfylt. Det aktuelle alternativet for tilbydere av genetiske tester direkte til forbrukerne vil være samtykke etter artikkel 9 nr. 2 bokstav a. (Genetisk testing i helsetjenesten vil komme inn under artikkel 9 nr. 2 bokstav h som omhandler behandling i forbindelse med yting av helsetjenester.)
Samtykke fra den registrerte er et tilstrekkelig grunnlag for å behandle personopplysninger jf. artikkel 6 nr. 1 bokstav a. Samtykke til behandling av opplysninger omfatter "enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende", jf. personvernforordningen artikkel 4 nr. 11 og fortalen punkt 32. Et passivt samtykke er aldri akseptabelt.
For de særlige kategoriene av personopplysninger skjerpes kravene, og etter artikkel 9 nr. 2 bokstav a er det krav om et uttrykkelig samtykke til behandlingen av opplysningene. Det som skiller et samtykke etter artikkel 6 fra artikkel 9, vil typisk være at informasjonen til den registrerte må være enda mer utførlig – ettersom behandling av særlige kategorier personopplysninger vil innebære en desto høyere risiko for den registrerte. Det kan være utfordrende å informere på en god måte når det gjelder genetiske data.
Genetiske opplysninger er sensitive blant annet fordi de er entydige identifikatorer, de kan gi informasjon om fremtidig helse, informasjonen kan også ha betydning for slektninger, og de kan gi grunnlag for å sortere mellom og diskriminere individer. I bioteknologiloven er prediktive undersøkelser/opplysninger særregulert blant annet med krav om skriftlig samtykke og forbud mot testing av barn fordi disse undersøkelsene aktualiserer særlige problemstillinger. For andre genetiske undersøkelser i helsetjenesten gjelder de vanlige helserettslige samtykkekravene, og etter pasient- og brukerrettighetsloven § 4-2 kan et samtykke gis uttrykkelig eller stilltiende. På områder der det ikke finnes sekundærlovgivning er det personvernregelverket som regulerer samtykke.
Etter GDPR skal samtykket til behandling av opplysningene være spesifikt og informert, og som nevnt følger det av artikkel 9 nr. 2 bokstav a at samtykket skal være "uttrykkelig". GDPR artikkel 5 inneholder de grunnleggende prinsippene for behandling av personopplysninger, og prinsippet om "formålsbegrensning" innebærer at opplysninger som er samlet inn ikke skal viderebehandles på en måte som er uforenelig med de uttrykkelig angitte formålene de er samlet inn for. Dersom virksomheten skal oppbevare de genetiske opplysningene og behandle dem for flere formål, må samtykket i utgangspunktet dekke alle formålene. Samlet sett innebærer dette at det stilles strenge krav både til informasjonen forbrukerne får om hvordan og til hvilke formål de genetiske opplysningene vil bli behandlet, og til utformingen av samtykkeerklæringen.
GDPR artikkel 8 setter vilkår for barns samtykke i forbindelse med informasjonssamfunnstjenester (sosiale medier), og en nedre aldersgrense på 13 år. I personopplysningsloven § 5 er aldersgrensen satt til 13 år. GDPR har ikke andre uttrykkelige bestemmelser om aldersgrense for samtykke til behandling av personopplysninger. Etter helseregisterloven §15 er aldersgrensen for å samtykke til behandling av personopplysninger 16 år. For øvrig finnes det ikke uttrykkelige bestemmelser i lovgivningen som sier noe om når barnet har selvstendig samtykkekompetanse til deling av personopplysninger på egen hånd.[42]
GDPR gjelder ved behandling av personopplysninger for virksomheter som etablert i EU/EØS-land.[43] Dersom behandlingen er knyttet til tilbud av tjenester til forbrukere i Norge, kan personopplysningsloven og GDPR også komme til anvendelse på behandling av personopplysninger om norske forbrukere, selv om den behandlingsansvarlige eller databehandleren ikke er etablert i EØS.[44] I slike tilfeller skal selskapene i henhold til GDPR utpeke en representant som er etablert i en av medlemsstatene hvor slike registrerte befinner seg, som gis fullmakt til å være kontaktperson for tilsynsmyndigheter og de registrerte.[45]
Personvernforordningen åpner for at medlemsstatene kan opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, jf. artikkel 9 nr. 4.
Anvendelse på tester til bruk utenfor helsetjenesten
Personvernregelverket er generelt og gjelder behandling av personopplysninger så lenge behandlingen ikke er regulert i annet regelverk. For genetiske undersøkelser i helsetjenesten eller i forskning, er det henholdsvis helselovgivningen og lovverket for forskning som regulerer behandlingen av opplysningene i Norge. Dersom forbrukere kjøper genetiske undersøkelser utenfor helsetjenesten, gjelder ikke reglene i helselovgivningen, og det vil være de generelle reglene i personvernregelverket som regulerer behandlingen av opplysningene. Det må vurderes konkret om en tilbyder som er etablert utenfor EU/EØS kommer inn under norsk personvernregelverk, blant annet om tilbudet retter seg mot det norske markedet. En stor andel av gentestselskapene befinner seg utenfor EU/EØS. Selv om selskapene ikke markedsfører sine tjenester aktivt i Norge, vil i mange tilfeller tjenestene allikevel være tilgjengelige for norske forbrukere, enten direkte eller via en forhandler. Det er da ikke åpenbart at norsk personopplysningslov og GDPR kommer til anvendelse ved behandling av opplysninger fra norske brukere.
Det Israel-baserte selskapet Myheritage har norske nettsider og tilbyr genetiske selvtester til norske forbrukere. Datatilsynet åpnet i 2021 sak mot selskapet Myheritage på bakgrunn av Forbrukerrådets rapport om selskapet som er omtalt over. I august 2021 ba Datatilsynet om en redegjørelse for ulike forhold knyttet til virksomhetens etterlevelse av kravene i GDPR.[46] I henvendelsen gjennomgår tilsynet blant annet krav i artikkel 12 om at informasjon skal gis på en kortfattet, åpen, forståelig og lett tilgjengelig måte, og på et klart og enkelt språk, informasjon som skal gis om innsamling av opplysninger i artikkel 13 og 14 og kravet om uttrykkelig samtykke i artikkel 9 nr. 2.
[42] Se imidlertid forslag i NOU 2020:14 Ny barnelov til – til barnets beste
[43] Lov om behandling av personopplysninger § 4.
[44] Lov om behandling av personopplysninger § 4.
[45] GDPR, artikkel 27.
[46] https://www.datatilsynet.no/contentassets/dfec2e3e993843f396c5dff4849145dc/order-to-provide-information---myheritage-ltd.pdf