Введение
В 2017 году The Economist провозгласил, что самым ценным ресурсом в мире теперь является не нефть, а данные (https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data). В статье было констатировано возникновение очень прибыльной экономики данных и сформулировано предупреждение, что это явление приведет к необходимости пересмотра и актуализации законодательства.
Хотя многие критикуют сравнение данных с нефтью, особенно в связи с конечной доступностью нефти в качестве ресурса по сравнению с данными, основная проблема высокорентабельной и недостаточно регулируемой экономики данных применительно к здравоохранению является совершенно реальной.
Экономика данных здравоохранения действительно растет существенными темпами, особенно в США, Великобритании, Китае и ряде других стран благодаря сотням начинающих компаний, которые ищут возможность улучшить медицину и здравоохранение с помощью инновационных способов обработки данных и новых технологий, главной из которых на данный момент конечно является искусственный интеллект.
BIS Research считает, что к 2025 г. рынок больших данных (big data) для медицины и здравоохранения в 2017 г. составил порядка 14 млрд. долл. США и к 2025 г. он достигнет более чем 68 млрд. долл. США. Объем накопленных в мире медицинских данных вырастет к 2020 г. до беспрецедентных 2 314 экзабайт (https://www.prnewswire.com/news-releases/global-big-data-in-healthcare-market-to-reach-6875-billion-by-2025-reports-bis-research-678151823.html).
Для развития продуктов в области систем искусственного интеллекта для медицины доступ к качественным большим медицинским данным является жизненно важным. В подавляющем большинстве случаев для создания математических моделей и алгоритмов на основе машинного обучения вполне достаточно использовать обезличенные данные.
Без них никакую интересную идею невозможно воплотить в продукт, потому что для качественного машинного обучения нужны качественные данные, да еще и в большом количестве. При этой порой можно слышать, что раз для создания искусственного интеллекта нужны обезличенные данные – то это значит, что они не регулируются законодательством о защите персональных данных.
Это большое заблуждение. Любые обезличенные данные – это тем не менее персональные данные, их нельзя просто взять и собрать из информационных систем медицинских организаций. Для того, чтобы сделать это грамотно и законно, нужно знать важные нюансы и правильно документировать процесс сбора и обработки таких обезличенных данных. Расскажем подробно, как это можно сделать.
Общие понятия о персональных данных и их обработке
В 2005 г. в России был принят федеральный закон № 160-ФЗ от 19.12.2005 г. «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Процедура ратификации была завершена 15 мая 2013 г. Конвенция вступила в силу в отношении России с 1 сентября 2013 г.(https://www.garant.ru/products/ipo/prime/doc/70281462/).
В результате ратификации Конвенции был принят федеральный закон № 152-ФЗ от 27.07.2006 г. «О персональных данных», вступивший в силу 26 января 2007 г. Он определил понятия, принципы и условия обработки персональных данных и во многом повторил требования Конвенции, отражая подходы к защите и обработке персональных данных, принятые как основополагающие в Европе.
Статьей 3 ФЗ № 152-ФЗ персональные данные определяются, как любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
К оператору персональных данных относятся государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки и состав персональных данных, подлежащих обработке и действия (операции), совершаемые с персональными данными.
При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор (http://www.consultant.ru/document/cons_doc_LAW_186584/ ).
Распространением персональных данных являются действия, направленные на раскрытие персональных данных неопределенному кругу лиц, а предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных ФЗ № 152-ФЗ (ст. 5 ФЗ № 152-ФЗ) и допускается только в определенных законом случаях. Ст. 6 ФЗ № 152-ФЗ предусмотрено, что обработка персональных данных должна осуществляться с согласия субъекта персональных данных.
Нужно или нет брать согласие у пациента на обработку его данных?
Статья 9 ч.1 и 2 ФЗ № 152-ФЗ определяет, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Оно может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку без согласия субъекта только при наличии оснований, указанных в пунктах 2 - 11 части 1 ст. 6, части 2 ст. 10 и части 2 ст. 11 ФЗ № 152-ФЗ.
Часть 4 Статьи 9 ФЗ 152-ФЗ регламентирует состав согласия субъекта персональных данных на обработку его персональных данных, которое в частности должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора (ч.3 ст.9 ФЗ № 152-ФЗ).
В силу ст.5 ФЗ № 152-ФЗ обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. С учетом п.1 части 1 ст.6 в общем случае обработка персональных данных должна осуществляться только с согласия субъекта на такую обработку. Напомним, что обезличивание данных – это тоже обработка данных.
Таким образом, для того чтобы получить обезличенные данные – нужно обязательно взять на это согласие у пациента.
Как правильно осуществить сбор обезличенных данных?
Для того, чтобы соблюсти требования закона и в тоже время обеспечить возможность сбора и обработки обезличенных медицинских данных, на наш взгляд необходимо выполнить следующие требования:
1. В медицинской организации, осуществляющей сбор нужных персональных медицинских данных, должна быть внедрена соответствующая информационная система.
2. При сборе данных в этой информационной системе у пациентов должно быть в явном виде запрошено согласие на обработку их персональных данных.
3. В тексте согласия должно быть явное указание, что пациент предоставил Оператору (медицинской организации) право на обработку персональных данных, в т.ч. обезличивание. Например, мы рекомендуем включить в согласие следующий текст: «Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение».
Таким образом медицинская организация после подписания такого согласия получает право обезличивать медицинские данные пациентов без каких-либо дополнительных условий, кроме определенных законодательством.
4. Между оператором медицинских данных и разработчиком системы искусственного интеллекта должно быть подписано соответствующие соглашение (договор) о сборе обезличенных данных, в котором должно быть четко указаны цели сбора, методы обработки и состав данных.
5. Обезличивание данных перед их отправкой Разработчику должно осуществляться строго в информационной системе Оператора (медицинской организации). Нельзя взять персональные медицинские данные, например в МИС, PACS-системе или лабораторной системе и отправить их «как есть» разработчику ИИ, который затем их обезличит – это будет явным и грубым нарушением законодательства. Обезличивание должно быть сделано именно Оператором и уже обезличенные данные, как результат их законной обработки с разрешения субъекта таких данных (пациента), могут быть переданы в информационную систему Разработчика ИИ и только на основании подписанного соглашения.
6. Передача данных осуществляется строго в обезличенном виде с соблюдением требований законодательства РФ в части защиты персональных данных;
7. Использование полученных обезличенных данных осуществляется только на территории Российской Федерации.
В силу п.9 части 1 ст.6 ФЗ № 152-ФЗ обработка персональных данных без предварительного согласия субъекта персональных данных может осуществляться в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных. Исключением является обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации. Обработка персональных данных в таких целях допускается только при условии предварительного согласия субъекта персональных данных.
В соглашении о передаче обезличенных данных между медицинской организацией (Оператором) и Разработчиком системы искусственного интеллекта должен быть явно указан перечень научно-исследовательских целей использования полученных обезличенных данных пациентов, например:
- в научно-исследовательских целях, включая анализ, обобщение, сопоставление с данными третьих лиц, определения новизны и оригинальности, создания баз данных, связанных с планированием будущих научно-исследовательских и опытно-конструкторских работ;
- в целях создания структурированных наборов данных, необходимых для машинного обучения в системах искусственного интеллекта, а также для применения в экспертных системах.
В случае правильного оформления согласия на обработку данных и соглашения между Оператором и Разработчиком на передачу данных в исследовательских целях запрос дополнительного разрешения у пациента на использование его обезличенных данных для указанных целей не потребуется.
В дополнение к этому заметим, что в соответствии с частью 2 Ст. 91 Федерального закона от 21.11.2011 N 323-ФЗ (в ред. от 29.05.2019) "Об основах охраны здоровья граждан в Российской Федерации" (Далее – ФЗ №323-ФЗ) обработка персональных данных в информационных системах в сфере здравоохранения осуществляется с соблюдением требований, установленных законодательством Российской Федерации в области персональных данных, и соблюдением врачебной тайны.
В ст. 91.1. ФЗ №323-ФЗ указано, что единая государственная информационная система в сфере здравоохранения включает в себя указанные в ст.94 ФЗ №323-ФЗ и обезличенные в порядке, установленном уполномоченным федеральным органом исполнительной власти по согласованию с федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, сведения о лицах, которым оказывается медицинская помощь, а также о лицах, в отношении которых проводятся медицинские экспертизы, медицинские осмотры и медицинские освидетельствования, включая социальные данные и сведения об оказанной медицинской помощи.
Таким образом, обезличивание персональных данных является в том числе неизбежной обязанностью медицинской организации при работе с ЕГИСЗ, а значит согласие на обезличивание данных является по сути типовым условием при оказании медицинской помощи.