Обезличивание данных в рамках клинических исследований с точки зрения законодательства РФ и Евросоюза. Сравнительный анализ

 

Введение.

 

В настоящей статье производится сравнение терминов «псевдонимизация» в и «обезличивание данных» как инструментов защиты персональных данных, используемых в рамках клинических исследований в Евросоюзе и РФ соответственно. Попробуем разобраться, есть ли какие-либо различия в терминологии и влияют ли они на осуществление исследований на указанных территориях.

 

I. Псевдонимизация данных в рамках клинических исследований с точки зрения законодательства Евросоюза.

 

Под термином «псевдонимизация» Общий регламент по защите данных 2016/679 (далее – «Регламент», «GDPR»)[1] подразумевает обработку персональных данных таким образом, что такие данные больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации при условии, что такая дополнительная информация хранится отдельно.

Как подчеркивается в Преамбулах 28-29 Регламента, применение псевдонимизации не должно рассматриваться как способ уклонения от обязанностей, возложенных законодательством на контроллера, и не влечет прекращения статуса данных как персональных. Вместе с тем, псевдонимизация является мерой защиты, которая позволяет снизить риски для как для контроллера, так и для субъектов данных.

Для защиты личности участника клинических исследований исследовательский центр при включении в исследование присваивает каждому субъекту данных уникальный идентификатор (код), который должен использоваться вместо имени субъекта – этот инструмент предусмотрен требованиями Надлежащей клинической практики (Good Clinical Practice, далее - «GCP»)[2].

Спонсоры, CRO и надзорные органы работают с уже кодифицированными данными, не имея доступа к сведениям, позволяющим идентифицировать субъекта исследований.

Обязанностью исследовательского центра является хранение со соблюдением мер предосторожности конфиденциального списка имен всех субъектов, которым соответствуют идентификаторы. Это дает возможность исследовательскому центру в исключительных ситуациях, например, когда существует реальная угроза для жизни и здоровья, раскрыть личность участника исследований.

Примечательным следствием применения псевдонимизации в клинических исследованиях является то, что спонсор ограничен в исполнении своих обязанности по предоставлению субъекту прав, предусмотренных Регламентом. Так, если субъект обратится к спонсору с запросом о реализации своих прав, таких как право на доступ, право на уточнение или удаление данных, право на ограничение обработки, спонсор вынужден будет отказать субъекту по причине того, что работает только с кодифицированными данными. Иной подход привел бы к раскрытию личности участника клинических исследований для спонсора, что означало бы нарушение гарантий конфиденциальности[3].

В данном случае общей рекомендацией для спонсора может быть уведомление субъекта о том, что надлежащим лицом, с которым можно связаться для осуществления права на доступ, является исследовательский центр, обладающий сведениями, позволяющими идентифицировать субъекта.

 

II. Обезличивание данных в рамках клинических исследований с точки зрения законодательства РФ.

 

Под обезличиванием в ст. 3 Федерального закона № 152-ФЗ «О персональных данных» (далее по тексту –«ФЗ № 152»), понимаются «действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных». В то же время, не существует никаких указаний на то, что «обезличенные» данные перестают быть персональными или что в их отношении должен применяться другой правовой режим. Таким образом, с точки зрения российского законодательства обезличенные данные – это те же персональные данные. Об этом же прямо заявляют официальные представители Роскомнадзора[4].

Статьей 38 ФЗ Федерального закона от 12.04.2010 № 61-ФЗ «Об обращении лекарственных средств» установлено, что клинические исследования лекарственных препаратов должны проводиться в соответствии с правилами надлежащей клинической практики, а конкретно, с правилами, утвержденными Приказом Министерства здравоохранения РФ от 1 апреля 2016 г. N 200н (далее – Приказ Минздрава N 200н)[5].

Приказ N 200н представляет собой адаптацию международного стандарта GCP, утвержденного Международным советом по гармонизации (ICH). Пункт 1 Приказа N 200н прямо указывает на необходимость защиты прав, здоровья и конфиденциальности персональных данных участников клинического исследования.

Кроме того, в качестве меры обеспечения конфиденциальности данных участников пунктом 22 Приказа N 200н предусматривается присвоение каждому из участников идентификационного кода, состоящего из цифр и (или) букв. Данный код должен использоваться вместо фамилии, имени, отчества участника во всех процессах, связанных с проведением клинических исследований.

Наконец, следует упомянуть о наднациональном регулировании, а конкретно, о Решении Совета Евразийской экономической комиссии от 03.11.2016 N 79 (далее – «Решение ЕЭК N 79»)[6], вводящем правила GCP на едином рынке Евразийского экономического союза. Решение ЕЭК N 79 не содержит каких-то принципиальных отличий в вопросах конфиденциальности по сравнению с Приказом N 200н, тем не менее, в связи с происходящим переходом всех субъектов на работу в соответствии с регулированием ЕАЭС, представляется важным учитывать факт вступления в силу данного акта.

Следует отметить, что Приказом Роскомнадзора от 05.09.2013 № 996 (далее - Приказ № 996)[7] были утверждены требования и методы по обезличиванию персональных данных, правда, стоит оговориться, что применяется он в отношении государственных органов. Методология для коммерческих и иных организаций на сегодняшний день не разработана, поэтому вопрос о применимости Приказа № 996 в рамках клинических исследований в России остается открытым[8].

 

Тем не менее, любой исследовательский центр, назначая пациенту идентификационный код в рамках клинических исследований, тем самым фактически пользуется упоминаемым в Приказе № 996 методом обезличивания данных в виде присвоения идентификатора. Методология обезличивания широко применяется на практике в клинических исследованиях, хотя данный термин не используется ни в Приказе 200н, ни в Решении ЕЭК N 79.

 

Стоит также упомянуть о несколько странной формулировке части 7 статьи 5 ФЗ 152, которая устанавливает, что в случае достижения целей обработки персональных данных или утраты необходимости в их достижении, возможно уничтожение или обезличивание. Последний вариант выглядит крайне нелогично в контексте подходов, изложенных выше. Как уже было обозначено, правовой режим, применимый по отношению обезличенным данным ничем не отличается от режима защиты персональных данных. Представляется, что в данном случае законодателя подвела юридическая техника. Возможным выходом было бы внесение изменений в указанные положения, либо путем исключения обезличивания из данной статьи, либо добавлением в закон понятия «необратимого обезличивания».

 

Заключение.

 

Таким образом, на основании произведенного сравнения является очевидным соответствие терминов «обезличивание» в ФЗ № 152 и «псевдонимизация» в GDPR, исследователи прямо указывают на это в своих работах[9].

Кроме того, стандарты GCP, внедренные на уровне законодательства Евросоюза и РФ (ЕАЭС) свидетельствуют об аналогичных подходах к вопросам обеспечения конфиденциальности участников клинических исследований. Присвоение уникального идентификатора (кода) каждому участнику исследования является широко распространенной международной практикой и универсальной мерой защиты, которая призвана минимизировать возможные риски разглашения или неправомерной обработки персональных данных субъектов.