Гены нуждаются в защите
Регулирование / Статьи
персональные данные
7.9.2022

Гены нуждаются в защите

Почему назрел вопрос регулирования персональных генетических данных

С 1 сентября в РФ вступили в силу изменения в закон «О персональных данных», ужесточившие требования по обработке конфиденциальной информации. Затронули ли эти изменения оборот генетических данных, что нужно сделать для актуализации законодательного регулирования этой сферы и опыт каких стран был бы наиболее применим в России – в материале RSpectr.

ПЕРСОНАЛЬНОЕ И ГЕНЕТИЧЕСКОЕ

Доступность персональных генетических данных людей может привести к дискриминации, так как у работодателей и страховщиков возникнет соблазн распределять своих сотрудников и клиентов на группы в зависимости от состояния здоровья, предупредил заместитель директора по развитию и научной работе Юридического института Севастопольского государственного университета (СевГУ) Станислав Васильев.

В Китае уже приступили к регулированию обработки генетической информации. Весной нынешнего года министерство науки и технологии КНР на основании Регламента Госсовета 2019 года подготовило проект документа, запрещающего экспорт подобных данных за пределы страны, а также вводящего регистрацию и специальный учет всех баз таких сведений, включая банки научных и образовательных организаций.

Таким образом Пекин ограничивает доступ частного сектора к генетическим сведениям, одновременно устанавливая полный государственный контроль над этой сферой, пояснил RSpectr эксперт в сфере защиты данных, член Russian Privacy Professionals Association и International Association of Privacy Professionals Денис Садовников. Он обратил внимание, что

Общий регламент по защите данных Евросоюза (GDPR) и другие новейшие законы в этой сфере упоминают генетические данные как персональные данные специальной категории или чувствительные ПД, обработка которых по общему правилу запрещается

При этом действующий в РФ закон «О персональных данных» не содержит такого понятия, как генетические данные, а расширительное толкование определения биометрических данных, которое бы включало такую информацию, является большой натяжкой, считает он.

Станислав Васильев в беседе с RSpectr отметил, что закон №152-ФЗ прямо не относит информацию о геноме человека к персональным данным.

Станислав Васильев, Юридический институт СевГУ:

– Однако в статье 11 указанного нормативного правового акта определены биометрические персональные данные как сведения, которые характеризуют биологические особенности человека, на основании которых можно установить его личность и физиологические характеристики.

Генетические данные безусловно касаются человека, но это не значит, что они всегда являются персональными, рассказал RSpectr старший партнер адвокатского бюро «Титов, Кузьмин и партнеры» Андрей Кузьмин.

Он подчеркнул, что

персональными генетические данные становятся только в связке со сведениями об их владельце

Старший юрист Dentons Ксения Смирнова обратила внимание RSpectr на тройственную природу генетических данных.

Ксения Смирнова, Dentons:

– В зависимости от цели их обработки и состава они могут относиться одновременно к так называемым «иным» ПД (обычным персональным данным), к специальным категориям (например, сведениям о здоровье) или биометрическим данным.

Учесть эту особенность может быть не простой задачей на практике, особенно при определении требований к информационной безопасности, ведь уровень защиты в том числе зависит от категории обрабатываемых данных, подчеркнула она.

СТАНУТ НОРМОЙ

Целенаправленно сбором геномной информации о человеке в настоящее время никто не занимается, рассказал Станислав Васильев. Такие сведения есть, хранятся, накапливаются и естественным образом концентрируются в медицинских учреждениях, проводящих диагностику генома, а также биобанках при научных центрах. Это своего рода хранилища определенных органов и тканей, каждая из которых содержит геном того или иного человека, соответствующие материалы персонализированы, пояснил он.

Руководитель направления «Фармацевтика и Здравоохранение» аудиторско-консалтинговой компании Kept (бывшая KPMG в РФ) Виктория Самсонова разделяет:

  • общее понятие «генетические данные» – включающее различную информацию о структуре нуклеиновых кислот и белков, которые состоят из множества генов;
  • геномные данные – это «генетический профиль», совокупность всей генетической информации конкретного человека или другого организма.

Информация о геноме вполне подходит под понятие биометрических ПД. Закон «О персональных данных» определяет их как «сведения о физиологических и биологических особенностях человека, на основании которых можно установить его личность», пояснила она RSpectr.

Но в нынешнем виде закон не использует термин «генетический» или «геномный». Рассмотрение недавнего законопроекта, предлагавшего такое уточнение, приостановилось осенью 2021 года на этапе рассмотрения Госдумой во втором чтении, напомнила эксперт.

Виктория Самсонова, Kept:

– Большинство специалистов считают это пробелом и отсутствием четких правил для сбора и обработки генетической информации, в том числе при передаче ее за рубеж.

Как предполагает представитель Kept,

приостановка законопроекта говорит о вероятном и скором утверждении этих изменений. Если они будут приняты, генетические и геномные данные, как и биометрические, станут объектом нормативного регулирования

По общему правилу, собирать и обрабатывать их можно будет только при условии согласия их владельца, обратила внимание Виктория Самсонова.

В целом, подчеркивает она, повышенное внимание и потенциально неограниченные полномочия государства по сбору генетических данных запускают новый виток дискуссий о наступлении «эры цифрового концлагеря». Кроме того, настораживает растущий уровень компетенций хакеров – многочисленные утечки пользовательской информации по всему миру показывают, что развитие средств киберзащиты явно отстает от арсенала злоумышленников, посетовала она. Но для обычного человека риски еще остаются теоретическими.

Пока генетические данные не используются в повседневной жизни, они представляют очень ограниченный интерес для правонарушителей.

Это может быть подделка или кража «генетического паспорта» для доказательства права на наследство или фальсификация материалов для срыва следственной работы, опирающейся на анализ ДНК

В настоящее время киберпреступники не проявляют особого интереса к охоте за геномной информацией и последующему завладению биоматериалом, согласился с ней Станислав Васильев. В целом закон надежно защищает соответствующие сведения, однако угроза утечки, а также недобросовестного использования таких сведений внутренними сотрудниками остается всегда.

ЗОЛОТАЯ СЕРЕДИНА

Итак, сейчас система регулирования работы с генетической информацией находится в процессе активной разработки. Пока же, по мнению Виктории Самсоновой, критичными остаются вопросы выбора средств защиты генетических данных, регламентации порядка их сбора, обработки и хранения во взаимосвязи с уже действующим регулированием по ПД.

По мнению Ксении Смирновой,

было бы целесообразно отразить в законе «О персональных данных» минимальные необходимые особенности обработки генетических данных

При этом ориентироваться можно на положения европейского GDPR № 2016/679, в котором генетические данные прямо отнесены к особой категории персональных данных.

Выделить опыт регулирования этой сферы какого-либо конкретного государства и назвать его применимым к России сложно, полагает Станислав Васильев. По его словам, коллектив из представителей Юридического института Севастопольского государственного университета, МГЮА имени О.Е.Кутафина и Научно-клинического центра специализированных видов медицинской помощи и медицинских технологий Федерального медико-биологического агентства РФ изучил правовое регулирование 15 стран и выяснил, что в каждой из них есть определенные правила, которые могут эффективно работать в нашей стране.

Станислав Васильев, Юридический институт СевГУ:

– Например, в Китае организован общественный контроль с участием самих организаций, осуществляющих диагностику и редактирование генома. В США максимально подробно расписана процедура получения информированного согласия на предоставление своего генома для любых целей, не позволяющая просто бездумно подписать «бумажки» для преодоления ненужной формальности.

Власти КНР сейчас всерьез взялись за регулирование обработки генетических данных. Денис Садовников предостерегает от чрезмерного увлечения китайскими наработками. По его мнению, наиболее применимым для России является опыт стран континентальной Европы.

Денис Садовников, эксперт в сфере защиты данных:

– Европейцы уже успели набить шишек на этом поприще, и их подход к регулированию этой сферы признан мировым золотым стандартом, который берут за образец другие юрисдикции, в том числе Китай. Этот подход последовательно ставит на первое место именно человека и его права и свободы, обеспечивая их защиту не только от частных компаний, но и от государства.

Кроме того, не стоит забывать, что правовые системы европейских стран являются наиболее близкими для России, которая сама принадлежит к романо-германской правовой семье, напомнил Денис Садовников. По его словам, современные российские юристы, как и десятки поколений их учителей, мыслят идеями Монтескье, Руссо, Канта, Гегеля, Еллинека и Кельзена, а отнюдь не Мао Цзэдуна.

По мнению же Андрея Кузьмина, иностранный опыт (в первую очередь европейский) регулирования генетических ПД не всегда актуален для России, где нужно разрабатывать свою законодательную базу. Он уверен, что

важно соблюдать баланс интересов граждан, данные которых должны быть защищены, но и исследовательских и иных организаций, которые позволяют человеку узнавать больше о себе

Возведение формальных административных барьеров, которые на безопасность особо не влияют, будет иметь губительное воздействие, подчеркнул юрист.

Автор: Тимур Халудоров

Изображение: RSpectr, Adobe Stock

Еще по теме

Реально ли создать единую платформу для управления согласиями на обработку личной информации

Чего хотят экосистемы в сфере обработки данных

Что кроется в деталях обновленного закона «О персональных данных»

Минцифры рассылает во все военкоматы правительственные телеграммы о порядке действий в отношении IT-специалистов

Реален ли баланс между требованиями по обработке персональных данных и интересами бизнеса

Как оператору связи соблюдать требования по установке технических средств противодействия угрозам

Как внедрение стандартов ИИ и Big Data помогут защите персональных данных

Кто ответит за усиление киберзащиты в российских организациях

Когда утвердят операторов рекламных данных и в каком виде передавать информацию в госреестр

Какое наказание нужно противопоставить преступлениям с персональными данными

Законопроект о принудительном лицензировании контента попал под критику

Эксперимент по мониторингу здоровья поможет расширить рынок устройств для наблюдения за пациентами

Общество требует внедрять прозрачные механизмы проверки возраста пользователей платформ

Как Центробанк собирается бороться с хищениями средств с банковских карт

Как регуляторы разных стран добиваются прозрачности алгоритмов интернет-площадок