2018. május 25-én „megváltozott a világ”. Legalábbis Európa szerte. Ezen a napon vált kötelezően alkalmazandóvá az új általános adatvédelmi rendelet (röviden: GDPR), amely felváltotta 20 éven át hatályban lévő, azonban nem jogi szabályozó erejű elődjét és ezzel az adatkezelés szabályozásának új korszakát vezette be az Európai Unió valamennyi tagállamában. Korszerűsítette és-lévén az Európai Parlament rendelete-jogi szabályozó ereje által harmonizálta a tagállamok között az egyének személyes adatait védő nemzeti törvényeket.
Jelenleg a világ legszigorúbb és komplexebb adatvédelmi szabályrendszerének tekinthető. A GDPR alapelvei a jogszerűség, az átláthatóság, az adatok célorientált kezelése és adatminimalizálás, a pontosság, a korlátozott tárolhatóság, az adatintegritás, az adatbiztonság és az adatkezelõ “elszámoltathatósága”, amelyek végső soron szinte mindenfajta operatív tevékenységre vonatkoznak. Az orvostudományi kutatások résztvevõire és a biobank alanyaira pedig különösen, noha a GDPR-ról nem mondható el, hogy erre a rendkívül specifikus, új tudományterületre szabták volna.
A GDPR két fő osztályozási rendszert határoz meg, mindkettő releváns a biobankok kontextusában. Az első a gyűjtött és õrzött személyes adatok típusára vonatkozik, és különböző érzékenységi szinteket határoz meg. Az első kategória az alapértelmezett besorolás szerint „normál” vagy „általános” személyes adat.
Ezeket az adatokat nem tekintjük érzékeny adatoknak, mivel az egyén alapvető emberi jogainak megsértése nem következhet be ezen adatok kiszivárgásakor, ugyanakkor a rendelet ezen adatokat is védi és a jogsértéseket szankcionálja. Ilyen “normál” személyes adat például a kedvenc szín, a rendszeres kávézó neve, az irányítószám, vagy a rendszám. A második kategória az „érzékeny” adatok köre, amelyeket a GDPR 9. cikkelye részletez. Ezek az adott természetes személy egészségére vagy életmódjára vonatkozó adatok, a biológiai mintáinak elemzéséből származó biometrikus adatok – különös tekintettel a genomikai adatokra -, az etnikai származásra, politikai véleményre, vallási vagy filozófiai meggyőződésre vagy szakszervezeti tagságra vonatkozó adatok, valamint a személy szexuális életére vagy szexuális orientáltságára vonatkozó adatok.
Megoszlanak a vélemények arról, hogy ezek közül a genomikai adatok önmagukban, vagy bizonyos kombinációban más adatokkal együtt szuper-érzékeny adatoknak minõsülnek-e és így õrzésük és kezelésük magasabb-fokú adatvédelmi stratégiákat kíván-e; e sorok szerzõje igennel szavaz.
Az adatok érzékenysége mellett a GDPR-ban egy másik fontos osztályozási séma is fellelhető, amely az adatokkal aktívan eljárók szerepkörein és felelősségi körein alapul. Az elsõ kézenfekvõ módon az adatot szolgáltató (érintett) szerepe, azé a természetes személyé, aki a személyes adatait a biobank számára õrzésre és kezelésre bocsátja. Mivel ezek között nagy eséllyel genomikai adatok is vannak, az adatszolgáltató genetikai rokonai is ide értendõek. Felelõsségkör ehhez a szerephez nem társul, viszont az alapvetõ emberi jogokat és az embereken végzett orvostudományi kutatások során az alanyok számára biztosított jogokat garantálni kell a számukra az adatvédelmi intézkedések szintjén is. A második, hatalmas felelõsséggel járó szerep az adatkezelőé.
Definíció szerint ez az a természetes vagy jogi személy; intézmény, szervezet, hatóság, ügynökség, vagy más szerv, amely egyedül vagy más szerv(ekk)el közösen meghatározza a személyes adatok kezelésének céljait és módjait. Esetünkben õk a biobankok, akik önállóan, vagy társ-adatkezelőkkel közösen gyakorolják ezt a szerepet, utóbbiak a mintákat és adatokat kikérõ kutatók lehetnek. A GDPR 89. cikkelye részletesen kitér erre a szerepkörre a tudományos statisztikai, kutatási célú adatkezelés vonatkozásában. Az adatkezelő(ket)t vagy a kijelölésükre vonatkozó konkrét kritériumokat az egyes Tagállami jog előírhatja, ezeket ajánlott publikussá tenni, például egy saját honlap segítségével. Végül, de nem utolsósorban az adatfeldolgozó szerepe következik. Ez a definíció szerint olyan természetes vagy jogi személy; intézmény, szervezet, hatóság, ügynökség, vagy más szerv, amely megkapja, majd analizálja, feldolgozza a személyes adatokat, az adatkezelő nevében.
Ez az a szerep, amelyben felmerülhet kutatási eredmények közlése az adatkezelők vagy közvetlenül az adatot szolgáltatók felé. Ennek a mikéntje, etikus megvalósítása azonban rendkívül ingoványos talaj, folyamatos szakértõi eszmecsere övezi. A biobankoknak érdemes ebben a kérdéskörben még az alapításuk során legjobb tudásuk szerint állást foglalniuk és azt átlátható módon közzétenniük a késõbbi viták, akár még jogi következményekkel járó esetek elkerülése végett.