Недавние национальные инициативы в сфере генетики вновь актуализировали вопросы правового регулирования генетических данных в России. На данный момент комплексное регулирование генетических данных в российском законодательстве отсутствует, что приводит к сложностям в определении нормативных требований, применимых к их использованию. Компании, чья деятельность связана с генетическими данными, сталкиваются с вопросами о том, какой режим данных следует применять в генетическим данным, какие требования безопасности необходимо выполнять для их защиты, на основании каких документов возможна обработка таких данных, охраняются ли генетические данные режимом врачебной тайны, а также с целым рядом иных вопросов. Все это позволяет сделать вывод о том, что для работы организаций с такими данными требуется либо разработка нового комплексного регулирования таких данных, либо «точечное» изменение действующих нормативных требований для отражения минимально необходимых особенностей генетических данных.
| Также по теме: 15 декабря состоится конгресс «Право на здоровье» |
Генетические данные объективно требуют специального регулирования, о чем свидетельствует законодательство многих стран, где деятельность в сфере генетики куда более последовательно и полно регламентирована, нежели чем в Российской Федерации. Необходимость специального регулирования обусловлена тем, что генетические данные обладают не просто индивидуальной ценностью для человека, к которому относятся эти данные, но и социальной (общественной ценностью). Генетические данные касаются здоровья (физического и психического), интимной жизни человека и – что делает их особенными — его родственников, а также тесно связаны с такими личными аспектами, как происхождение, родство, прошлое, настоящее и будущее состояние человека. Так, например, в Общем регламенте о защите персональных данных № 2016/679 (GDPR) генетические данные прямо отнесены к особой категории персональных данных. Зеркальные изменения, закрепляющие статус генетической информации как персональных данных, также были внесены в Конвенцию о защите физических лиц при автоматизированной обработке персональных данных. Протокол о внесении изменений в Конвенцию (CETS № 223, г. Страсбург 10.10.2018) был подписан Россией , однако пока не ратифицирован. После ратификации соответствующие изменения должны быть внесены и в Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных» (далее – «Закон о персональных данных»).
В российском законодательстве термин «геномная информация» определен в узком смысле для целей геномной регистрации в рамках Федерального закона от 03.12.2008 № 242-ФЗ «О государственной геномной регистрации в РФ» (далее — «Закон о геномной регистрации»). В указанном законе геномная информация определяется как персональные данные, которые включают кодированную информацию об определенных фрагментах ДНК физического лица или неопознанного трупа, не характеризующие их физиологические особенности. Один из ключевых выводов, которые можно сделать из данного определения – это то, что геномная информация является персональными данными. При этом в Законе о персональных данных прямо не определено, к какой именно категории персональных данных относятся генетические данные: специальным, биометрическим персональным данным, или так называемым «иным персональным данным», то есть тем, которые не относятся к специальным и биометрическим (термин «иные персональные данные» в Законе о персональных данных отсутствует и введен исключительно для целей настоящей статьи – прим. автора). Именно с этой проблемой, прежде всего, сталкиваются организации при начале работы с такими данными.
Парадокс генетических данных заключается в том, что с учетом текущего регулирования (в действительности, отсутствия такового) в разных ситуациях они могут относиться к разным категориям персональных данных, или даже к нескольким одновременно. Отнесение генетических данных к той или иной категории персональных данных определяется двумя основными факторами – субъективным и объективным. Под субъективным фактором следует понимать цель их использования, а под объективным — содержательный объем данных, полученных в результате расшифровки ДНК.
Генетические данные будут относиться к биометрическим персональным данным, если сам по себе объем генетических данных будет позволять идентифицировать человека и при этом генетические данные будут использоваться именно для цели идентификации человека (например, при обязательной геномной регистрации или при установлении отцовства).
Помимо этого, генетические данные могут относиться к специальным категориям персональных данных. Для этого необходимо, чтобы генетические данные содержали сведения, относящиеся к состоянию здоровья, интимной жизни или расовой принадлежности и относились к прямо или косвенно определенному или определяемому лицу. При этом должна отсутствовать цель идентифицировать физическое лицо при помощи генетических данных, а также сам объем данных не должен позволять осуществить это. Генетические данные будут относиться к специальным категориям персональных данных, например, когда такие данные будут использоваться для оказания медицинских услуг, либо проведения генетических исследований, имеющих своей целью выявление рисков возникновения определенных заболеваний у человека или его детей.
Генетические данные могут относиться и к иным категориям персональных данных. Это может происходить в тех случаях, когда отсутствуют критерии относимости генетических данных к биометрическим и специальным персональным данным. Например, в рамках обработки генетических данных для образовательных, научно-исследовательских целей, не связанных с идентификацией человека или обнаружением рисков возникновения тех или иных заболеваний.
Стоит отметить, что судебная практика, касающаяся вопросов обработки, квалификации генетических данных в качестве персональных данных фактически отсутствует. Было найдено только Постановление мирового судьи судебного участка № 1 Советского судебного района г. Новосибирска от 07 июля 2017 года по делу № 5-324/2017. Данное постановление примечательно тем, что мировой судья не согласился с квалификацией генетических данных как биометрических, поскольку общество в конкретном случае не использовало данные с целью идентификации человека, а результаты анализа генетических данных сами по себе не могли позволить идентифицировать человека (исследовались несколько полиморфных локусов ДНК).
В зависимости от того, к какой категории персональных данных будут отнесены обрабатываемые генетические данные в том числе будут определяться и применимые уровни защищенности информационной системы, в которой они хранятся и обрабатываются.
Как было указано ранее, генетические данные могут относиться сразу к нескольким категориям персональных данных – например, к специальным и биометрическим персональным данным. Такой риск существует, например, при полногеномном секвенировании ДНК, результаты которого могут содержать информацию как о риске возникновения определенных заболеваний у человека, так и информацию, позволяющую идентифицировать человека (при условии, что такие данные данные будут обрабатываться с соответствующей целью). Этот риск также необходимо принимать во внимание с учетом наличия требования о том, что объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, не допускается. То есть, недопустимо хранение в единой базе генетических данных, которые обрабатываются с целью идентификации человека и, например, с целью исследования риска наличия тех или иных заболеваний.
Еще одна особенность генетических данных заключается в том, что такие данные в действительности содержат информацию и о других лицах – родственниках лица. Например, данные о наследственных заболеваниях или иных особенностях здоровья, которые могут быть у родственников. В этой связи возникает вопрос, нужно ли получать согласие таких родственников и как заранее можно определить круг таких затрагиваемых родственников? Ответ на данный вопрос в законодательстве в настоящий момент отсутствует
