Захист персональних даних у клінічних дослідженнях та відповідальність їх спонсорів

Пропонуємо увазі читачів коментар фахівців юридичної компанії «Правовий Альянс» щодо захисту персональних даних під час клінічних досліджень.

Захист персональних даних: законодавство України та застосовуване законодавство ЄС

1 січня 2011 р. вступив у дію Закон України «Про захист персональних даних», сфера дії якого спрямована на впорядкування правовідносин, пов’язаних із захистом персональних даних під час їх обробки. Цей нормативно-правовий акт досить логічно кореспондується з відповідними документами, які діють у ЄС у даній галузі:

  • Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних (ратифіковано 06.07.2010 р. згідно із Законом України «Про ратифікацію Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних»);
  • Директива 95/46/ЄС від 24.10.1995 р. «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних»;
  • Директива 97/66/ЄС від 15.12.1997 р. «Стосовно обробки персональних даних і захисту права на невтручання в особисте життя в телекомунікаційному секторі»;
  • Директива 2002/58/ЄС від 12.07.2002 р. про обробку персональних даних та захист сектору електронних комунікацій (Директива про секретність та електронні комунікації);
  • Регламент Європейського парламенту та Ради ЄС № 45/2001 від 18.12.2001 р. про захист фізичних осіб, що стосується обробки персональних даних установами і органами Європейського Співтовариства і щодо вільного переміщення таких даних;
  • Директива 2005/28/ЄС від 08.04.2005 р., що встановлює принципи та детальні настанови належної клінічної практики, які стосуються досліджуваних лікарських засобів для вживання людиною, а також вимог надання дозволу на виготовлення або імпорт таких продуктів;
  • Рішення та рекомендації створеної згідно зі ст. 29 Директиви 95/46/ЄС в 1996 р. постійно діючої Робочої групи з метою гармонізації європейського права в сфері захисту персональних даних та консультацій;
  • Рішення та рекомендації наглядових органів країн — учасниць ЄС.

Враховуючи, що Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних (далі — Конвенція) та додатковий протокол до неї були ратифіковані Україною, слід наголосити на тісному взаємозв’язку норм вітчизняного законодавства в даній галузі із законодавством країн — учасниць Конвенції.

Наглядові органи, відповідальні за дотримання законодавства щодо захисту персональних даних

Відповідно до ст. 28 Директиви 95/46/ЄС та додаткового протоколу до Конвенції щодо органів нагляду та транскордонних потоків даних передбачалося, що кожна з держав — учасниць угоди ЄС створить державні органи, які будуть відповідати за моніторинг застосування на її території положень, прийнятих державами-членами відповідно до зазначеної директиви, тобто за моніторинг дотримання положень стосовно захисту персональних даних. Таким чином, була закріплена концепція створення системи захисту персональних даних у кожній країні ЄС.

Крім створення відповідного наглядового органу, дана концепція передбачала введення в дію в кожній країні одного чи кількох нормативних актів, що створюють відповідний правовий механізм захисту персональних даних. В Україні, як і в решті європейських країн, має місце аналогічна тенденція — на виконання положень Закону України «Про захист персональних даних» Указом Президента України № 1085/2010 «Про оптимізацію системи центральних органів виконавчої влади» створено Державну службу України з питань захисту персональних даних.

Ст. 23 згаданого вище закону визначає повноваження цього уповноваженого центрального органу виконавчої влади з питань захисту персональних даних, наголошуючи на його інспекторській та міжурядовій складових. Інспекторська складова дозволяє здійснювати контроль за додержанням вимог законодавства про захист персональних даних із забезпеченням відповідно до закону доступу до інформації, пов’язаної з обробкою персональних даних, у базі персональних даних, та до приміщень, де здійснюється їх обробка.

Водночас про наявність міжурядової складової свідчить обов’язок згаданого органу брати участь у роботі таких міжнародних організацій із питань захисту персональних даних: Федеральна комісія з захисту персональних даних (Швейцарія), Іспанська служба захисту даних, Комісія Італії з захисту даних, Інспекція даних (Швеція), Австрійська комісія із захисту даних, Уповноважена особа федеральної комісії із захисту даних (Німеччина), Національна комісія з інформатики та свобод (Commission Nationale de l’Informatique et des Libertes — CNIL, Франція).

Як зазначалося вище, норми, визначення та інституції країн — учасниць Конвенції є ідентичними, а тому поняття «персональні дані» та об’єм інформації, який вкладається в це поняття, має однакове тлумачення — це інформація, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною (далі — суб’єкт даних).

Відповідно функції уповноважених наглядових органів є подібними, різниця в їх діяльності полягає в об’ємі повноважень, які їм надаються в зв’язку зі здійсненням покладених на них функцій. Однією з основних спільних функцій є судовий позов, у результаті якого можливе застосування відповідних санкцій — штрафу або ув’язнення. Крім того, вирок, винесений судом, може бути опубліковано в пресі. Наприклад, ст. 197 Кримінального кодексу Іспанії визначає, що той, хто розповсюдив або надав третій особі отримані відомості особистого або сімейного характеру, які знаходилися в інформаційних, електронних, телевізійних картотеках або інших приватних чи суспільних архівах або реєстрах (базах даних), карається позбавленням волі на термін від 2 до 5 років.

Безумовно, передача інформації, яка визначається як персональні дані, від розпорядника інформації до особи, що володіє інформацією, яка знаходиться в іншій країні, несе високий ризик втрати контролю та нагляду за законністю її використання. Тому, враховуючи міжурядовий характер функціонування Державної служби з питань захисту персональних даних, існує достатньо підстав говорити про тісну та активну співпрацю міжнародних організацій у галузі захисту та обробки персональних даних, притягнення до відповідальності, проведення спільних розслідувань тощо, тим більше що вимоги до робочої термінології в даному (чи не єдиному в законодавстві України) випадку є абсолютно уніфікованими для органів внутрішніх справ країн ЄС.

За порушення в сфері захисту та обробки персональних даних громадян України, скоєні українським підрозділом компанії-резидента країни ЄС, цей суб’єкт господарювання може нести відповідальність згідно із законодавством тієї країни ЄС, у якій зареєстрований.

Дійсно, обов’язок співробітництва між наглядовими органами встановлено ст. 13 Конвенції. Окреме зацікавлення викликає пункт b частини 3 згаданої статті Конвенції, згідно з яким орган, призначений однією стороною, на прохання органу, призначеного іншою стороною, відповідно до свого внутрішнього законодавства та виключно з метою захисту недоторканості приватного життя, вживає відповідних заходів для надання фактичної інформації стосовно конкретної автоматизованої обробки, яка здійснюється на його території, за винятком персональних даних, що обробляються.

Аналіз перерахованих норм права свідчить про можливість застосування санкцій до суб’єктів господарювання, зареєстрованих на території країн — учасниць Конвенції, які порушують її норми в результаті діяльності в Україні. Іншими словами, за порушення в сфері захисту та обробки персональних даних громадян України, скоєні українським підрозділом (представництвом) компанії-резидента країни ЄС, даний суб’єкт господарювання може нести відповідальність згідно із законодавством тієї країни ЄС, у якій його зареєстровано.

Наприклад, база даних лікарів (до яких здійснюють візити медичні представники, або які беруть участь у клінічному дослідженні в якості дослідників), що зберігається/використовується в штаб-квартирі європейської компанії, теж підлягає автоматизованій обробці та реєстрації, а отже підпадає під регулювання зазначених директив та Конвенції, оскільки ані директиви, ані Конвенція не визначають обов’язковою умовою дії норм захисту персональних даних громадянство тих осіб, дані яких містяться в базі даних.

Хто має право повідомляти наглядовому органу про порушення?

Згідно з установленою практикою в країнах — учасницях Конвенції завдання повідомляти наглядовому органу про порушення покладено на суб’єктів даних та асоціації, що їх представляють, а також на будь-які зацікавлені треті сторони.

Хто має право надсилати запити до наглядового органу, особи, що володіє інформацією, або розпорядника персональних даних?

Відповідно до норм згаданого вище законодавства, суб’єкт, який знає, що його персональні дані знаходяться в законному чи незаконному володінні іншого суб’єкта (фізичної чи юридичної особи), має можливість звертатися як до розпорядника/особи, що володіє такими даними, так і до наглядового органу з вимогою витребувати інформацію про наявність його персональних даних в інших осіб та просити про проведення перевірки стосовно законності використання його персональних даних.

Правові засади захисту персональних даних відповідно до Конвенції про захист прав людини і основоположних свобод та практики Європейського суду з прав людини

Тлумачення права захисту невтручання в особисте життя в досить розгорнутому та деталізованому вигляді знаходимо в практиці Європейського суду з прав людини. Так, відповідно до частини 1 ст. 8 Європейської конвенцій з прав людини: «Кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції». Як свідчить практика Європейського суду з прав людини, мова йде саме про захист «приватного та сімейного життя», яке містить таку складову приватного життя, як «особиста ідентичність»:

  • походження людини (біологічне походження, батьківство, ДНК-експертиза);
  • стать;
  • прізвище;
  • ім’я;
  • громадянство;
  • здоров’я;
  • зовнішній вигляд;
  • дієздатність.

Охорона даних особистого характеру, особливо медичних даних, має основоположне значення для реалізації права на повагу до приватного і сімейного життя. Дотримання конфіденційності відомостей про здоров’я становить основний принцип правової системи всіх держав — учасниць Конвенції. Він є важливим не лише для захисту приватного життя хворих, а й для збереження їхньої довіри до працівників медичних закладів і системи охорони здоров’я взагалі. Національне законодавство має забезпечувати відповідні гарантії, щоб унеможливити будь-яке повідомлення чи розголошення даних особистого характеру стосовно здоров’я, якщо це не відповідає гарантіям, передбаченим ст. 8 Конвенції.

Крім того, Європейський суд з прав людини підкреслює, що «розголошення інформації може мати руйнівні наслідки для приватного і сімейного життя відповідної особи та для її соціального і професійного становища, яка може її обезчестити, наразивши на небезпеку ізоляції». Безумовно, не існує абсолютного права пацієнта знати всі медичні дані стосовно стану свого здоров’я, але, як зазначалося вище, наявність у кримінальних кодексах ряду країн відповідних деліктів та досить жорстокої відповідальності за них свідчить про існування абсолютної заборони для інших осіб розголошувати персональні дані.

Як саме визначається захист персональних даних при проведенні клінічних досліджень у країнах — учасницях Конвенції?

Відповідно до частини 1 ст. 30 Директиви 2005/28/ЄС від 08.04.2005 р., яка встановлює принципи та детальні настанови належної клінічної практики, що стосуються досліджуваних лікарських засобів для вживання людиною, а також вимог надання дозволу на виготовлення або імпорт таких продуктів, країни — учасниці ЄС зобов’язані вживати всіх необхідних заходів, які забезпечують дотримання конфіденційності інспекторами та іншими спеціалістами.

Стосовно персональних даних суб’єктів клінічних випробувань, необхідно дотримуватися вимог Директиви 95/46/ЄС, прийнятої Європейським парламентом та Радою Європи 24.10.1995 р. Лаконічною характеристикою вимог Директиви 95/46/ЄС є постулат, згідно з яким дані, що за своєю природою можуть порушити основні свободи й таємницю приватного життя, не повинні оброблятися доти, доки суб’єкт даних не дасть своєї згоди на такі дії.

Наказ МОЗ України від 23.09.2009 р. № 690 «Про затвердження Порядку проведення клінічних випробувань лікарських засобів та експертизи матеріалів клінічних випробувань і Типового положення про комісії з питань етики» пропонує типову форму заяви інформованої згоди. Проте цей наказ не встановлює вимог до заяви інформованої згоди, лише в загальних рисах окреслюючи необхідність її наявності. На практиці ж у заявах інформованої згоди, які пропонуються дослідниками, часто не йдеться про наявність застережень та прохання дозволити використання персональних даних пацієнтів, які беруть участь у дослідженні.

Дані, що за своєю природою можуть порушити основні свободи й таємницю приватного життя, не повинні оброблятися доти, доки суб’єкт даних не дасть своєї згоди на такі дії.

Слід також окремо згадати про вимогу заповнення індивідуальних реєстраційних форм на пацієнтів, які беруть участь у клінічних дослідженнях, що містять фактичну вимогу надання виключного анамнезу життя та здоров’я хворого з метою прийняття рішення щодо його включення в дослідження.

У таких випадках мова йде про можливість порушення положення, передбаченого частиною 38 Директиви 95/46 від 24.10.1995 р.: «Враховуючи, що для того, щоб обробка даних була справедливою, суб’єкт даних повинен мати можливість дізнатися про існування факту обробки і, якщо дані отримані від нього, має одержати точну й повну інформацію з урахуванням обставин збору даних». Тобто в директиві йдеться не тільки про відкриття персональних даних третій стороні (навіть на законних підставах), а й про факт їх статистичної обробки.

Леонід Шиловський, медичний радник юридичної компанії «Правовий Альянс»;
Олексій Бежевець,
партнер юридичної компанії
«Правовий Альянс»

Коментарі

Коментарі до цього матеріалу відсутні. Прокоментуйте першим

Добавить свой

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

*

Останні новини та статті