Eesti geenivaramu põhimäärus

Määrus kehtestatakse

§ 7 lõike 1 alusel.

1. peatükk Üldsätted

§ 1. Andmekogu nimetus

(1) Andmekogu ametlik nimetus on Eesti geenivaramu (edaspidi geenivaramu) ja ingliskeelne nimetus on Estonian Biobank.

§ 2. Geenivaramu pidamise eesmärk

(1) Geenivaramu on inimgeeniuuringute seaduse alusel loodud geenidoonorite koeproovide ja andmete, sealhulgas sugupuude, geneetiliste andmete ja terviseandmete riiklik andmekogu, mis kuulub riigi infosüsteemi ja mille pidamise eesmärk on:

1) koguda andmeid Eesti rahvastiku tervise ja pärilikkuse kohta;

2) teha kogutud andmete alusel statistikat;

3) teha ja edendada kogutud andmete alusel teadusuuringuid, sealhulgas inimgeeniuuringuid;

4) rakendada geenivaramuga seotud teadusuuringute tulemusi rahva tervise parandamiseks ning teha geenidoonoritele geenivaramus olev teave ja teave teadusuuringute tulemuste kohta kättesaadavaks.

(2) Geenivaramu koeproovidel ja andmetel põhinevad teadusuuringud, sealhulgas inimgeeniuuringud, on lubatud inimeste geenide, elukeskkonna ja eluviisi vaheliste seoste uurimiseks ja kirjeldamiseks, ravimite või ravimeetodite leidmiseks, individuaalsete terviseriskide hindamiseks ja haiguste ennetamiseks.

§ 3. Geenivaramu vastutav töötleja

(1) Geenivaramu vastutav töötleja on Tartu Ülikool.

§ 4. Geenivaramu ülesehitus

(1) Geenivaramu koosneb järgmistest infosüsteemidest:

1) kodeerimiskeskkonna infosüsteem (edaspidi kodeerimiskeskkond), kus pseudonüümitakse, depseudonüümitakse ja säilitatakse geenidoonori isikuandmeid vastavalt inimgeeniuuringute seaduses sätestatud nõuetele;

2) geneetiliste andmete infosüsteem, milles töödeldakse pseudonüümitud geneetilisi andmeid;

3) geeniuuringu andmete haldamise infosüsteem, milles peetakse arvet teadusuuringuteks väljastatud andmete üle ja töödeldakse teadusuuringutega seotud dokumente;

4) andmetöötluse infosüsteem, milles töödeldakse pseudonüümitud fenotüübiandmeid;

5) biopanga labori infosüsteem, millega tagatakse arvepidamine pseudonüümitud koeproovide töötlemise ja füüsilise säilitamise üle ning nende kasutuse järelevalve;

6) teadusarvutuse keskkond (edaspidi turvaline töötlemiskeskkond), kus töödeldakse geenidoonori pseudonüümitud isikuandmeid teadusuuringute, sealhulgas inimgeeniuuringute tegemiseks;

7) geenidoonori portaal, kus töödeldakse geenidoonorite tahteavaldusi, kogutakse geenidoonorite isikuandmeid teadusuuringuteks, suheldakse geenidoonoriga ja avaldatakse teadusuuringutel põhinevat tagasisidet.

(2) Geenivaramu koosseisu kuuluvad lisaks lõikes 1 nimetatud infosüsteemidele ka geenidoonorite koeproovid. Koeproove hoitakse geenivaramu biohoidla ruumis vastavalt andmekogu põhimääruses sätestatud nõuetele.

§ 5. Geenivaramu turvameetmed ja turbeaste

(1) Käesoleva määruse § 4 lõike 1 punktis 1 nimetatud infosüsteemi turvameetmed peavad tagama järgmised turvaklassid:

1) konfidentsiaalsus – S3;

2) terviklus – T2;

3) käideldavus – K1.

(2) Käesoleva määruse § 4 lõike 1 punktides 2–7 nimetatud infosüsteemide turvameetmed peavad tagama järgmised turvaklassid:

1) konfidentsiaalsus – S2;

2) terviklus – T2;

3) käideldavus – K1.

(3) Geenivaramu kaitsetarve on väga suur (VS).

2. peatükk Geenivaramu volitatud töötlejale esitatavad nõuded ja tema ülesanded ning nõuded vastutava ja volitatud töötleja vahel sõlmitavale lepingule

§ 6. Geenivaramu volitatud töötlejale esitatavad nõuded

(1) Geenivaramu volitatud töötlejal peavad olema geenivaramus andmete töötlemiseks vajalikud teadmised ja rahalised vahendid.

(2) Geenivaramu volitatud töötlejal peavad olema geenivaramus andmete töötlemiseks:

1) enesekontrollisüsteem, mis tagab töötlemistoimingute nõuete jälgitavuse, vastavuse ja auditeeritavuse;

2) vajalikud korralduslikud ja tehnilised meetmed isikuandmete kaitse ja turbenõuete järgimise tagamiseks;

3) geenivaramu vastutava töötleja poolt heakskiidetud protseduurireeglid ja tööeeskirjad.

§ 7. Geenivaramu volitatud töötleja ülesanded

(1) Geenivaramu vastutav töötleja võib geenivaramu pidamisel anda osa ülesandeid lepinguga volitatud töötlejale lähtuvalt käesolevas määruses ja inimgeeniuuringute seaduses sätestatud tingimustest.

(2) Juurdepääsu andmisel pseudonüümitud koeproovidele ja pseudonüümitud isikuandmetele peab volitatud töötleja määrama konkreetsed isikud.

(3) Volitatud töötleja peab lähtuvalt talle antud ülesannetest järgima määruses täpsustatud nõudeid ohutusplaanile ja säilitusruumile ning muid lepinguga ettenähtud nõudeid.

(4) Geenivaramu volitatud töötleja, tema täpsed ülesanded ja vastutus määratakse kindlaks geenivaramu vastutava töötleja ja volitatud töötleja vahel sõlmitavas lepingus, lähtudes seaduses ja käesolevas määruses sätestatud tingimustest.

§ 8. Geenivaramu volitatud töötlejaga sõlmitav leping

(1) Geenivaramu vastutav töötleja võib sõlmida volitatud töötlejaga inimgeeniuuringute seaduse ja käesoleva määruse nõuetele vastava andmetöötluslepingu.

(2) Lepingus lepitakse kokku tingimused, mis on vajalikud geenivaramu vastutava töötleja poolt volitatud töötlejale antud ülesannete täitmiseks, geenidoonorite isikuandmete ja õiguste kaitstuse tagamiseks ning õigusaktides sätestatud nõuete ja kohustuste järgimiseks.

(3) Lepingus tuleb arvestada andmete töötlemise volitamisel ka kehtestatud nõuetega, mis tulenevad Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 1–88). Lisaks eeltoodule lepivad geenivaramu vastutav töötleja ja volitatud töötleja kokku vähemalt järgmistes tingimustes:

1) volitatud töötleja õiguste ja kohustuste ulatus;

2) volitatud töötleja rakendatavad turva- ja ohutusmeetmed, sealhulgas andmete ja materjali hävitamise võimekus;

3) muud volitatud töötleja töökorraldusele esitatavad nõuded;

4) volitatud töötleja ja tema töötajate koolitamise kord;

5) volitatud töötleja tasustamise kord;

6) lepingu kestus, sealhulgas geenivaramu andmete töötlemise tähtaeg;

7) poolte vastutus ja vaidluste lahendamise kord;

8) koeproovi võtmise korral volitatud töötleja vastutus andmesubjekti ohutuse tagamisel;

9) andmete ja materjali säilitamise võimekus, juhul kui volitatud töötleja ülesanne on säilitada andmeid ja materjale.

3. peatükk Geenivaramusse andmete edastamine

§ 9. Geenidoonor andmeandjana

(1) Geenidoonor edastab geenivaramusse isikuandmeid paberil, elektroonselt e-kirja teel või geenidoonori portaali kaudu. Geenidoonori edastatavate andmete koosseis kehtestatakse käesoleva määruse lisas.

§ 10. Tervishoiuteenuse osutaja andmeandjana

(1) Tervishoiuteenuse osutaja, kellega geenivaramu vastutav töötleja on sõlminud andmevahetuslepingu, edastab geenivaramusse geenidoonori kohta andmed tervishoiuteenuse osutaja poolt geenidoonorile osutatud tervishoiuteenuste kohta käesoleva määruse lisas sätestatud andmekoosseisus.

(2) Edastatavate andmete täpse koosseisu ja edastamise tingimused lepivad tervisehoiuteenuse osutaja ja geenivaramu vastutav töötleja kokku andmevahetuslepingus. Andmete väljastamisel koostavad ja allkirjastavad tervishoiuteenuse osutaja ja geenivaramu vastutav töötleja iga kord andmete üleandmise ja vastuvõtmise akti.

§ 11. Andmekogud andmeandjana

(1) Inimgeeniuuringute seaduse § 9 lõikes 1 nimetatud andmekogudest edastatakse geenivaramusse geenidoonori andmed käesoleva määruse lisas sätestatud andmekooseisus.

§ 12. Muud isikud andmeandjana

(1) Teadusuuringu vastutav töötleja edastab geenivaramusse andmed vastavalt inimgeeniuuringute seaduse § 9 lõigetes 3 ja 4 sätestatud tingimustele ning teadusuuringu tegijaga sõlmitud lepingus kokku lepitud viisile ja andmekoosseisule. Andmekooseisud lähtuvad määruse lisas nimetatud andmetest.

4. peatükk Geenidoonori tahteavaldused ja nende menetlemise kord

§ 13. Geenidoonori isikusamasuse tuvastamine

(1) Enne geenidoonori tahteavalduse menetlemist tuvastatakse iga kord geenidoonori isikusamasus vastavalt tahteavalduse esitamise viisile:

1) geenidoonori portaali kaudu edastatud digitaalse allkirjastatud tahteavalduse alusel;

2) e-posti teel edastatud digitaalse allkirjastatud tahteavalduse alusel;

3) geenivaramu vastutava töötleja või volitatud töötleja asukohas esitatud kirjaliku tahteavalduse alusel, kontrollides geenidoonori või geenidoonori esindaja isikusamastust isikut tõendava dokumendi alusel. Kirjaliku tahteavalduse allkirjastavad geenidoonor või tema esindaja ja tahteavaldust vastuvõtva vastutava töötleja või volitatud töötleja määratud esindaja.

§ 14. Geenidoonori tahteavaldus andmete edastamisel tervise infosüsteemi

(1) Tervise infosüsteem kogub inimgeeniuuringute seaduses nimetatud andmesubjektide tahteavaldusi andmete ülekandmiseks tervise infosüsteemi. Tahteavaldused edastatakse tervise infosüsteemist geenivaramusse.

(2) Geenidoonori esitatud tahteavalduse alusel depseudonüümib geenivaramu vastutav töötleja geenidoonori andmed, et tuvastada geenidoonori isikusamasus ja kontrollida andmete vastavust tervishoiuteenuse osutamise dokumenteerimise nõuetele.

(3) Kui andmed vastavad tervishoiuteenuse osutamise dokumenteerimise nõuetele, edastab geenivaramu vastutav töötleja need tervise infosüsteemi. Kui andmed ei vasta nõuetele, edastatakse sellekohane teave tervise infosüsteemi.

(4) Kui tervise infosüsteemist edastatud tahteavalduse esitaja ei ole geenidoonor, edastab geenivaramu vastavasisulise teabe tervise infosüsteemi ja kustutab andmesubjekti tahteavalduse viivitamata.

(5) Käesolevas paragrahvis nimetatud tahteavalduse menetlus loetakse lõpetatuks, kui geenivaramu vastutav töötleja on edastanud andmed või asjakohase teabe tervise infosüsteemi ning säilitanud geenidoonori tahteavalduse andmete ülekandmiseks geenivaramusse.

5. peatükk Juurdepääs geenivaramu koeproovidele ja andmetele ning nende väljastamine

§ 15. Juurdepääs geenidoonori depseudonüümitud isikuandmetele ja töötluse dokumenteerimine

(1) Depseudonüümitud isikuandmetele juurdepääsu andmise või nende väljastamise õigus on ainult geenivaramu vastutaval töötlejal.

(2) Õigus tutvuda geenidoonori depseudonüümitud isikuandmetega on geenidoonoril või geenidoonori tahteavalduses määratud kolmandal isikul inimgeeniuuringute seaduses sätestatud juhtudel.

(3) Geenivaramu vastutav töötleja võimaldab geenidoonorile juurdepääsu geenidoonori esitatud tahteavaldustele, küsitlusvormide andmetele ja teadusel põhinevale teabele geenidoonori portaali kaudu. Ülejäänud isikuandmetega tutvumiseks, sealhulgas isikuandmetest koopia saamiseks peab geenidoonor esitama geenivaramu vastutavale töötlejale sellekohase tahteavalduse.

(4) Enne depseudonüümitud isikuandmete väljastamise tahteavalduse menetlemist kontrollib geenivaramu vastutav töötleja geenidoonori või kolmanda isiku isikusamasust vastavalt määruse §-s 13 sätestatule ning õigust tutvuda geenivaramus geenidoonori kohta hoitavate andmetega.

(5) Geenidoonor märgib depseudonüümitud isikuandmete väljastamise tahteavalduses kellele ja milliste andmete väljastamist ta soovib.

(6) Isikuandmete väljastamisel tagab vastutav töötleja väljastatavate isikuandmete konfidentsiaalsuse neid krüpteerides või teisi asjakohaseid kaitsemeetmeid kasutades.

(7) Geenivaramu vastutav töötleja dokumenteerib depseudonüümitud isikuandmete väljastamise kuupäeva ja isiku, kellele andmed väljastati.

§ 16. Juurdepääs geenidoonori pseudonüümitud koeproovidele ja isikuandmetele

(1) Pseudonüümitud koeproovidele ja isikuandmetele juurdepääsu andmise või väljastamise õigus on geenivaramu vastutaval töötlejal või vastutava töötleja määratud volitatud töötlejal.

(2) Geenivaramu geenidoonorite pseudonüümitud koeproovide ja pseudonüümitud isikuandmete teadusuuringu tegijale kasutada andmiseks või väljastamiseks peavad olema täidetud järgmised tingimused:

1) teadusuuringu tegija on esitanud vastutavale töötlejale uuringutaotluse, milles on üksikasjalikult kirjeldatud teadusuuringu ja geenidoonorite pseudonüümitud koeproovide või pseudonüümitud isikuandmete kasutamise eesmärki;

2) vastutav töötleja on hinnanud taotlust vastavalt käesolevale määrusele ja teinud positiivse otsuse;

3) teadusuuringu tegija on esitanud inimgeeniuuringute seaduse §-s 27 nimetatud teaduseetika komiteele uuringu eetilise hindamise taotluse ja teaduseetika komitee on esitatud taotlusele, sealhulgas geenivaramu geenidoonorite pseudonüümitud koeproovide või pseudonüümitud isikuandmete väljastamise eetilisusele andnud heakskiitva hinnangu;

4) teadusuuringu tegija on esitanud vastutavale töötlejale väljastustaotluse geenidoonorite pseudonüümitud koeproovide ja pseudonüümitud isikuandmete kasutamiseks või väljastamiseks;

5) juhul kui teadusuuringu tegija soovib geenivaramu geenidoonorite pseudonüümitud koeproove säilitada või uurida väljaspool Eesti Vabariigi territooriumi, on ta esitanud inimgeeniuuringute seaduse §-s 25 nimetatud loa saamiseks taotluse Tartu Ülikooli senatile ning Tartu Ülikooli senat on taotluse heaks kiitnud;

6) vastutav töötleja ja teadusuuringu tegija on sõlminud väljastuslepingu, milles on kokku lepitud tingimused geenivaramu vastutava töötleja kohustuste täitmiseks, geenidoonorite isikuandmete ja õiguste kaitse tagamiseks ning õigusaktide sätete järgimiseks või vastutav töötleja on teinud korralduse pseudonüümitud isikuandmete või koeproovide väljastamiseks. Vastutav töötleja keeldub väljastamislepingu sõlmimisest või selle täitmisest, kui koeproovide või andmete väljastamine on vastuolus inimgeeniuuringute seadusega või käesoleva määrusega või kui geenidoonorite isikuandmete ja õiguste kaitse ei ole tagatud;

7) vastutav töötleja on koostanud väljastamisprotokolli.

(3) Geenivaramu vastutav töötleja võimaldab inimgeeniuuringute seaduse ja lõikes 2 sätestatud nõuetele vastavale teadusuuringu tegijale juurdepääsu geenivaramu andmetele geenivaramu turvalise töötlemiskeskkonna vahendusel. Pseudonüümitud koeproovide kasutada andmise ja väljastamise viisi lepivad vastutav töötleja ja teadusuuringu tegija kokku väljastuslepingus.

(4) Kui teadusuuringu tegemine geenivaramu turvalises töötlemiskeskkonnas ei ole tehniliselt võimalik või otstarbekas, võivad vastutav töötleja ja teadusuuringu tegija väljastuslepingus kokku leppida pseudonüümitud isikuandmete väljastamises samaväärset turvalisust tagaval viisil.

(5) Selleks, et võimaldada tõhusalt kontrollida koeproovide kasutamist väljaspool Eesti Vabariigi territooriumi, on vastutav töötleja kohustatud teatama iga kalendriaasta jaanuarikuus Sotsiaalministeeriumile eelmise kalendriaasta kohta järgmise teabe:

1) vastutavale töötlejale teatavaks saanud juhtumid, kui väljaspool Eestit säilitatud pseudonüümitud koeproove on kasutatud Eesti seaduses keelatud viisil, ning juhtumitega seotud rikkumiste korral vastutava töötleja ette võetud ja kavandatav tegevus;

2) väljaspool Eestit säilitatud koeproovide arv, sihtkoht ja säilitamise põhjused;

3) sõlmitud kokkulepped pseudonüümitud koeproovide säilitamiseks väljaspool Eestit, sealhulgas kokkulepped, millest tulenevalt võib tekkida vajadus säilitada koeproove väljaspool Eestit.

§ 17. Väljastamisprotokoll

(1) Geenidoonori pseudonüümitud koeproovile ja pseudonüümitud isikuandmetele juurdepääsu andmisel või nende väljastamisel koostab geenivaramu vastutav või volitatud töötleja väljastamisprotokolli.

(2) Pseudonüümitud koeproovide ja pseudonüümitud isikuandmete väljastamisprotokolli kantakse järgmised andmed:

1) protokolli koostamise kuupäev ja koht;

2) koeproovide ja isikuandmete väljastajat ja vastuvõtjat ning nende esindajaid identifitseerivad andmed;

3) väljastatavate koeproovide ja isikuandmete koosseis, kogus ja muud iseloomustavad andmed;

4) väljastamise viisi iseloomustavad andmed;

5) väljastatavate koeproovide ja isikuandmete edaspidise kasutamise ja säilitamise tingimused;

6) väljastaja ja vastuvõtja märkused.

(3) Vastutava töötleja poolt koeproovile ja isikuandmetele antud pseudonüümi on keelatud muuta või kustutada.

(4) Väljastamisprotokoll peab olema koostatud ja täidetud viisil, mis tagab protokolli kantud andmete hilisema muutmise tuvastatavuse.

(5) Väljastusprotokoll allkirjastatakse ja edastatakse osapooltele väljastuslepingus kokkulepitud viisil.

6. peatükk Koeproovide ja isikuandmete kogumine ja säilitamine

§ 18. Koeproovide ja isikuandmete kogumine, säilitamine ja pseudonüümimine

(1) Geenidoonori koeproove ja isikuandmeid kogub vastutav töötleja või tema määratud volitatud töötleja, kellel on selleks vajalikud ruumid, vahendid ja tingimused.

(2) Lähtuvalt koeproovi või isikuandmete töötlemise etapist koeproov ja isikuandmed pseudonüümitakse ja kantakse geenivaramusse.

(3) Koeproovi säilitatakse pseudonüümituna ja selgelt märgistatuna. Enne koeproovi ja isikuandmete säilitamiseks vastuvõtmist peab volitatud töötleja veenduma, et:

1) kogutud koeproov ja isikuandmed on pseudonüümitud;

2) pseudonüümitud koeproovi transpordi või ajutise säilitamise tingimused ei ole kahjustanud koeproovi kvaliteeti.

(4) Isikuandmeid säilitatakse pseudonüümituna.

§ 19. Geenivaramu vastutava ja volitatud töötleja ohutusplaan

(1) Pseudonüümitud koeproovi ja isikuandmete säilitamisel peab vastutav või volitatud töötleja kehtestama säilitatavate koeproovide ja isikuandmete kahjustumise ja hävimise ärahoidmiseks ohutusplaani.

(2) Ohutusplaanis nähakse ette koeproovide ja isikuandmete kaitse ja päästmise meetmed.

(3) Geenivaramu volitatud töötleja kooskõlastab oma ohutusplaani geenivaramu vastutava töötlejaga enne lepingu sõlmimist ja lepingu kehtivuse ajal iga kord, kui ohutusplaani muudetakse.

§ 20. Nõuded geenivaramu kodeerimiskeskkonna säilitusruumile

(1) Geenidoonori isikustatud andmeid, sealhulgas pseudonüümimise ja depseudonüümimise andmeid säilitatakse käesoleva määruse § 4 lõike 1 punktis 1 nimetatud infosüsteemis, mis paikneb eraldi ehitatud või kohandatud ruumis (edaspidi säilitusruum) ning mille konstruktsioon ja asukoht hoones välistab juurdepääsu kõrvalistele isikutele ja tagab koeproovide ja isikuandmete säilimise.

(2) Säilitusruum peab tagama tulepüsivuse vähemalt 90 minutit. Säilitusruumis on keelatud suitsetada ja kasutada lahtist tuld või kergestisüttivaid aineid. Sisustamisel tuleb kasutada minimaalselt puit-, tekstiil- ja sünteetilisi materjale. Säilitusruumis peab olema asjakohane tuletõrjesignalisatsioon ja piisaval arvul sobivaid käsitulekustuteid.

(3) Säilitusruum peab olema kaitstud veeavariide ja üleujutuste eest.

(4) Säilitusruumis peab olema tagatud isikuandmete säilimine üldise elektrivõrgu rikke korral.

(5) Säilitusruumi kütte- ja ventilatsioonisüsteem peab tagama säilitusruumis nõuetekohase temperatuuri ja niiskustaseme.

(6) Säilitusruumis ei tohi esineda keemiliselt aktiivseid aineid, kiirgust ega magnet- või elektrivälju, mis võivad kahjustada salvestusseadmeid.

(7) Säilitusruum peab olema ilma aknata ruum, mis on varustatud turvaukse ja -seintega, et tagada sissemurdmiskindlus.

(8) Säilitusruum peab olema varustatud videovalvega ning automaatse valve- ja alarmsüsteemiga, mis annavad teada käesolevas paragrahvis loetletud tingimustest kõrvalekalletest.

7. peatükk Koeproovide ja andmete hävitamine