Mit jelent a GDPR a személyre szabott táplálkozás szempontjából?

táplálkozás

Mind a személyre szabott táplálkozási szolgáltatások kínálata, mind az ezzel kapcsolatos kutatás jelentős kérdéseket vet fel az EU adatvédelmi törvényei alapján. 2018 májusában hatályba lépett az általános adatvédelmi rendelet (GDPR). Ezenkívül az EU-országok különféle nemzeti törvényeit módosították a GDPR kiegészítése érdekében. Együtt olyan szabályok keverékét hozzák létre, amelyet nehéz megemészteni a vállalatok és a kutatók számára. Ebben a hozzászólásban ismertettük az EU adatvédelmi törvényének néhány olyan fő jellemzőjét, amelyek befolyásolják a személyes táplálkozási erőfeszítéseket.

A GDPR a személyes adatok gyűjtésére, felhasználására és exportálására vonatkozik, ami nagyon tág fogalom, amely olyan adatokat is tartalmazhat, amelyek nem fedik fel közvetlenül a személy kilétét. Nyilvánvalóan tartalmazná a személyre szabott táplálkozási szolgáltatást igénybe vevő egyén nevét, címét és kapcsolódó adatait (például az étrendi preferenciákat és a teszt eredményeit). De a koncepció ennél sokkal tágabb. Például a kulcs kódolású adatokat - amelyeket rendszeresen használnak a tudományos kutatásban - gyakran továbbra is a GDPR hatálya alá tartozó személyes adatoknak (álnevesített adatoknak) tekintik. Csak a valóban anonim adatokat - az EU-ban elérendő magas színvonalú adatokat - tekintjük a GDPR hatályán kívül.

A személyre szabott táplálkozási kínálatban összegyűjtött vagy a kutatáshoz felhasznált személyes adatok nagy része „különleges adatnak” minősül a GDPR szerint, mert az egyének egészségére vonatkozik, vagy genetikai információkból áll. Az egészségügyi adatok fogalmát tágan értelmezik, és magában foglalja a glükózszintet, a mintavételi eredményeket és a testtömeg-indexet (BMI).

Mit jelent ez a személyre szabott táplálkozás szempontjából

A GDPR általában tiltja az ilyen speciális adatok gyűjtését és felhasználását, hacsak a GDPR-ben vagy a nemzeti jogszabályokban nem találunk erre indokolást. Az egészségügyi adatokon alapuló, személyre szabott táplálkozási ajánlatok esetében az egyetlen rendelkezésre álló indoklás a felhasználói beleegyezésen alapul. Ennek a beleegyezésnek kifejezettnek, tájékozottnak és pontosnak kell lennie. Nem köthető olyan felhasználásokhoz, amelyek nem kapcsolódnak (vagy nem kompatibilisek) a kínálattal. Ennek eredményeként az egyén adatainak ilyen típusú szolgáltatáshoz történő felhasználására vonatkozó beleegyezést külön hozzájárulásokkal kell kiegészíteni minden nem kapcsolódó felhasználásra - például marketingre vagy az adatok megosztására az üzleti partnerekkel. Az egyéneknek bármikor szabadon vissza kell vonniuk beleegyezésüket.

A tudományos kutatás mellett a GDPR számos átfogó és hasznos kivételt tartalmaz, többek között a beleegyezés tekintetében. Először is, a GDPR elfogadja, hogy a kutatáshoz való hozzájárulás tágan megfogalmazható (tehát nem különösebben pontos), mivel a tudományos kutatás céljait nehéz megjósolni, és idővel változhatnak. A GDPR még szélesebb körű eltéréseket is tartalmaz a tudományos kutatás és az egyetértési követelmények megszüntetése mellett. Sajnos, mivel a GDPR lehetővé teszi a tagállamok számára, hogy fenntartsák vagy létrehozhassák saját szabályaikat az egészségügyi és genetikai adatokkal kapcsolatban, ezek az eltérések nem mindig alkalmazandók olyan tágan, és továbbra is olyan feltételek és korlátozások vonatkoznak rájuk, amelyek tagállamonként eltérhetnek.

Az EU-n túl

Az EU-n kívüli vállalatok számára hasznos tudni, hogy a határok nem feltétlenül állítják meg a GDPR-t. Ez kétféleképpen fordulhat elő. Először is, a nem az EU-ban letelepedett, de szolgáltatásaikat az EU lakóinak célzó vállalatokra teljes mértékben a GDPR vonatkozik az összegyűjtött személyes adatokra vonatkozóan (függetlenül az EU lakóinak állampolgárságától). Az ilyen vállalatoknak képviselőt kell kijelölniük az EU egyik tagállamában, ahol személyes adatokat gyűjtenek. Másodszor, ha a vonatkozó személyes adatokat először az EU-ban gyűjtötték (például egy leányvállalat vagy egy üzleti partner), akkor ezek a felek további biztosítékok nélkül nem továbbíthatják az adatokat az EU-n kívülre (hacsak a rendeltetési országot hivatalosan nem tekintik kínálónak „megfelelő” védelem az EU által, ami eddig csak körülbelül egy tucat ország esetében érvényes). Ezek a biztosítékok leggyakrabban külön átadási szerződések és hasonló eszközök formájában fordulnak elő, vagy egyes esetekben (bár a szabályozók kevésbé kedvelik) az egyén beleegyezése.

Magától értetődik, hogy egy olyan összetett szabályozási rendszerben, mint a GDPR, a (különleges) személyes adatok megosztása gyakran bonyolult. Ennek ellenére számos lehetőség áll rendelkezésre. Például a pártok csak névtelen adatokat oszthattak meg; de amint azt a fentiekben jeleztük, ennek magas színvonalú a teljesítés, és az adatok gyakran túl sok összesítéssel veszítenek felhasználásukból. Alternatív megoldásként a felek támaszkodhatnak a beleegyezésre, de akkor a beleegyezésnek kellően világosnak kell lennie, és/vagy új hozzájárulást kell kapnia további célok érdekében, ami gyakran nehéz vagy nem kívánatos. Az új projektekben a felek közösen felelősekként (közös adatkezelőként) is bemutatkozhatnak, ami azt jelenti, hogy minden fél felhasználhatja az összegyűjtött adatokat, még akkor is, ha ezek a felhasználások nem teljesen hasonlóak, az átláthatóság követelménye mellett.