Персональные данные в медицине. Юридический взгляд на вопрос. Интервью с Кариной Колобовой

Представляем вашему вниманию интервью с Кариной Колобовой, старшим юристом по технологиям и интеллектуальной собственности практики «Фармацевтика и здравоохранение» BGP Litigation».

- Добрый день, Карина! Хотелось бы обсудить с вами такой вопрос, как ограничения на передачу медицинских данных с юридической точки зрения. Какие ограничения существуют и, по вашему мнению, как они мешают развитию продуктов, построенных на использовании данных?

- Медицинские данные – это персональные данные специальной категории, которые подлежат более строгому регулированию, нежели обычный массив данных, таких как фамилия, имя, отчество, номер телефона и др. Обрабатывать персональные данные специальной категории во вторичных целях можно лишь с письменного согласия, а его, на текущий момент, в электронной форме давать нельзя. Вернее, возможность такая есть, но с определёнными ограничениями, которые реализовать обычному частному субъекту достаточно сложно.

Для того чтобы использовать эти данные повторно в целях, которые изначально не предполагались, нужно, чтобы эти данные фактически перестали быть персональными. На текущий момент, единственное решение, которое можно было бы реализовать на практике и запустить рынок больших данных в относительно свободное обращение – это выработка подходов к обезличиванию, которые были бы едины для всего рынка и могли бы использоваться всеми субъектами обращения. И, соответственно, они могли бы не переживать за свои риски. Сейчас есть несколько приказов, которые устанавливают порядок обезличивания, однако они не применимы к частным субъектам. Их можно применять по аналогии, но ссылаться на них в случае предъявления каких-либо претензий к субъекту, обрабатывающему данные, нельзя. Это – основное решение, к которому сегодня индустрия стремится. Разные проекты на уровне ГОСТов, а также внутренних документов компании пытаются консолидировать практику по обезличиванию и выработать подходы, при которых можно было бы удалить определённое число идентификаторов, и данные перестали бы быть персональными или даже обезличенными, а стали бы анонимными. Другими словами, создать условия, при которых не будет никакой возможности идентифицировать первоначального субъекта. Тогда фактически мы забываем о том, что существует Федеральный закон «О персональных данных» от 27.07.2006 г. № 152, потому что у нас нет персональных данных, и мы можем эти данные запускать в свободное обращение. Проблема заключается в том, что на текущий момент такого унифицированного порядка для частных лиц нет, и ближайшая задача для регулирования, которая позволит сделать следующий шаг в развитии коммерциализации данных, – это выработка этих подходов и их утверждение на уровне, к примеру, приказа Роскомнадзора, который бы имел более широкое применение, нежели ныне действующий.

- Что касается коммерциализации данных, как вы в целом оцениваете российскую практику, перспективы и тенденции? И какой международный опыт, по вашему мнению, мог бы быть полезен?

- Когда мы говорим про коммерциализацию данных, есть два аспекта, которые нужно учитывать. Первое — это работа с данными с точки зрения охраны персональных данных, второе — с точки зрения структурирования сделок. Если в первом случае у нас есть, как минимум, приказ, актуальный для государственных органов, на который можно опираться и использовать его по аналогии, то во втором случае – нет ничего. В данном случае все субъекты руководствуются рамками договоров, которые они заключают.
Большие данные как объект интеллектуальной собственности охранять весьма сложно. Казалось бы, что большие данные – это просто база данных, однако у баз данных есть свой регуляторный статус внутри гражданского кодекса. И не во всех случаях они будут охраняемы. После того, как мы решим проблему с обезличиванием данных, можно будет посмотреть на этот вопрос более детально, продумать, как участникам оборота наиболее корректно оформлять свои отношения в контексте передачи данных. Это помогло бы индустрии в плане скорости оформления отношений, менеджмента рисков и общего понимания ситуации.

Что касается международного опыта, есть разные правовые системы, каждая из них работает по-своему. Зарубежом есть хорошие подходы к обезличиванию – например, можно посмотреть на американский опыт. Согласно данному подходу, предлагается удалить определённый набор идентификаторов, и массив данных будет считаться в достаточной степени обезличенным, чтобы перестать считаться персональным. Это простое решение, позволяющее минимизировать связанные с конфиденциальностью риски.