Не утихает общественная дискуссия по поводу того, какой подход к работе с биомедицинскими (и шире – персональными) данными нужен России. Не так давно на эту тему на втором съезде медицинских статистиков Москвы выступил руководитель Ассоциации «НБМЗ» Борис Зингерман. Он отметил, что согласно европейскому подходу пациент — это естественный владелец данных.
Три подхода к работе с биомедицинскими данными. Какой нужен России?
А требования Европейского союза закреплены Общим Регламентом по Защите Данных (GDPR). General Data Protection Regulation – это регламент ЕС о защите персональных данных, формирующий обязательные к соблюдению единые принципы и подходы как для государств-членов ЕС, так и для некоторых иных государств (Исландия, Лихтенштейн, Норвегия). РФ не является участником договоров с ЕС, поэтому на отечественных операторов распространяются лишь российские законы по защите персональных данных, принятые в соответствии с общепринятыми международными принципами. И все же российский подход схож с генеральной линией GDPR (необходимо волеизъявление физического лица для обработки его персональных данных), свидетельством чему может служить присоединение к модернизированной конвенции о защите физических лиц при автоматизированной обработке персональных данных № 108.
Каждое государство-участник Конвенции будет обязано внести в свое национальное законодательство необходимые изменения для осуществления и эффективного применения положений Конвенции, определяющие следующие изменения в регулировании обработки и защиты персональных данных:
- вводятся понятия «контролер», «получатель» и «лицо, осуществляющее обработку данных»;
- закрепляется обязанность контролера своевременно уведомлять компетентный надзорный орган и субъектов об утечках персональных данных;
- фиксируется требование о внедрении механизмов защиты персональных данных при разработке процессов обработки данных (privacy by default) и при проектировании систем (privacy by design);
- национальные органы надзора должны быть независимыми от государственной воли и действовать самостоятельно;
- расширяется статус и полномочия Комитета Конвенции с консультативных до исполнительных и надзорных;
Начиная с 2020 года Россию ожидает крупнейшая за десятилетие реформа законодательства о персональных данных, которая кардинально изменит существующие правила, отмечает в своем обзоре GDPR Алексей Мунтян, руководитель Ассоциации Russian Privacy Professionals Association.
19.05.2020 был опубликован проект федерального закона о внесении изменений в Федеральный закон «О персональных данных», подготовленный в целях приведения положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в соответствии с положениями Протокола о внесении изменений в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, подписанного от имени Российской Федерации в г. Страсбурге 10 октября 2018 г. Планируется, что проекта нормативного правового акта вступит в силу уже в январе 2021 г.
Если формально следовать международным обязательствам России по ратификации Протокола поправок к Конвенции Совета Европы № 108 о защите физических лиц при автоматизированной обработке персональных данных, то это может войти в противоречие с интересами развития современных технологий.
К примеру, бо́льшая часть медицинских данных пациента уже сейчас передается в государственные информационные системы (ГИС) здравоохранения, при этом основанием обработки данных как персональных будет являться т. н. публичный интерес (функции государственных органов). Однако проблема действующего регулирования состоит в том, что даже для получения доступа к полностью обезличенным (анонимизированным) данным любым субъектам кроме оператора ГИС нужно получать письменные согласия, что является практически нереализуемой задачей, если программному решению нужны данные сотен тысяч медицинских карт. Однако благодаря принятию закона об экспериментальных правовых режимах намечен и выход: программы будущих «песочниц» могут позволить решить эту проблему, например, посредством установления т.н. «бесшовного согласия» — когда субъект персональных данных будет давать при обращении в ЛПУ одно согласие, покрывающее, в том числе, и дальнейшее необратимое обезличивание данных для целей их обработки в рамках регуляторных песочниц, — отмечает Александр Панов, руководитель практики здравоохранения юридической фирмы Пепеляев Групп.
И в любом случае в России актуально создание сервисов добровольной донации медицинских данных, конкретные механизмы которых (в том числе и правовые) еще предстоит выстроить.