Что нужно знать о хранении генетических данных

Тема персональных данных выбрана неслучайно. В последнее время все больше страшных новостей — глобальная утечка данных пользователей Facebook, слухи о сборе США биологических данных россиян. История Эдварда Сноудена также актуализирует сбор персональных данных пользователей интернета. Из-за этого иногда рождается совершенно иррациональный страх заполнения форм, анкет, оставления телефонов. И это при том, что практически каждый человек ежедневно оставляет свои данные и не замечает этого.

Кто предупрежден — тот вооружен. Поэтому мы хотим рассказать о том, как сегодня закон защищает персональные данные россиян и почему их передача не влечет каких-либо рисков. Генетические тесты ничем не отличаются от обычного анализа крови, а компания не может просто взять и безнаказанно передать кому-то другому ваши персональные данные.

Так что же понимается под персональными данными в России? Смотрим Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»: под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Например, имя, фамилия и номер телефона являются персональными данными, потому что позволяют определить человека. А просто номер телефона, оставленный на интернет-странице, персональными данными не является. Любая информация, которая оставляется анонимно, то есть не может быть соотнесена с определенным человеком, персональными данными не является.

Персональные данные бывают разные. Конечно, номер телефона и медицинская карта с точки зрения закона неравнозначны. Нельзя сравнивать последствия разглашения информации о здоровье и контактных данных.

Именно поэтому закон вводит категорию специальных персональных данных. К ней относится:

• расовая или национальная принадлежность;
• политические взгляды;
• религиозные или философские убеждения;
• состояние здоровья;
• биометрические данные.

Эта категория требует особых мер со стороны организаций, которые такие данные обрабатывают. О них мы поговорим позднее.

Куда же относится генетическая информация о человеке, является ли она особо охраняемой. На первый взгляд такого рода данные можно отнести к состоянию здоровья. В соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», здоровье – это состояние физического, психического и социального благополучия человека, при котором отсутствуют заболевания, а также расстройства функций органов и систем организма. Более простым языком, сведения о здоровье – это информация о наличии или отсутствии заболеваний. Генетические тесты зачастую используются при диагностике, но никакой генетический тест не содержит сам по себе информацию о том, болен человек или нет. Получается противоречие, поэтому остановимся поподробнее.

Генетическая информация – просто биологический факт об организме конкретного человека. Информация, которая получена в результате ДНК-теста, недостаточна для определения текущего состояния здоровья, но может быть полезна для прогнозирования развития заболеваний или вместе с другими данными (например, результатами консультации у врача) быть основной для постановки диагноза. Такие сведения несомненно относятся к персональным данным, но не включаются в особую категорию данных.

Однако превратить результаты ДНК-теста в особую категорию персональных данных может их толкование, но не всякое. Например, Genotek предлагает тесты «Здоровье и долголетие» и «Планирование детей». Полученная в ходе тестирования информация может использоваться в целях диагностики различных заболеваний. На приеме врач оценит состояние организма человека, что вместе с результатами этих ДНК-тестов может свидетельствовать о каком-либо нарушении организма. Например, о наличии наследственного заболевания. Такие сведения относятся к особой категории персональных данных и подлежат усиленной защите.

Толкование ДНК-теста может и не нести информации о здоровье. Например, при определении путей миграции предков человека, вероятности (а не факте) тех или иных заболеваний, физических способностей организма. Это просто биологические особенности, которые позволяют человеку лучше узнать и понять себя. Такие сведения считаются простыми персональными данными.

Регулирование персональных данных в России осуществляется на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Этот закон устанавливает ряд строгих условий, в соответствии с которыми компании могут совершать какие-либо манипуляции с персональными данными. Отметим, что абсолютно любые действия с персональными данными подпадают под регулирование. Даже простое хранение на компьютере без использования какого-либо файла с данными считается обработкой. Российский закон о персональных данных — современный и содержит все необходимые инструменты и гарантии защиты персональных данных.

Согласие на обработку персонального данных.

Любая компания для обработки персональных данных человека должна получить его согласие. Обработка персональных данных без согласия запрещена. То есть, если вдруг ваше имя и номер телефона оказались у тех, кому вы их не давали, то ваши персональные данные используют незаконно. Согласие на обработку персональных данных может быть получено в любом виде, который позволяет обеспечить доступность содержания согласия и подтверждение факта этого согласия. Стоит отметить, что особые категории персональных данных могут обрабатываться только с получением согласия в письменной форме. В этом случае согласие на сайте не действует.

Однако компания может не получать согласие на обработку персональных данных в следующих случаях:

• обработка осуществляется в соответствии с заключенным договором между компанией и субъектом персональных данных. Например, если клиент заказывает у Genotek ДНК-тест, то тем самым он соглашается на обработку своих персональных данных, но только в целях оказания этой услуги;
• осуществляется обработка персональных данных, которые были предоставлены в публичный доступ самим субъектом.

Обязанности компании при обработке персональных данных.

Если человек дал свое согласие на обработку персональных данных, это еще не значит, что компания может теперь делать с ними все, что захочет. Любая организация, заполучившая персональные данные, должна соблюдать следующие условия:

• предоставить информацию о том, кто осуществляет обработку персональных данных, в том числе, контактные данные и реквизиты.
• в случае, если персональные данные собираются через интернет, то их хранение и обработка должны осуществляться на территории Российской Федерации.
• принятие организационных и технических мер по защите персональных данных. То есть установление на уровне внутренних документов компании правил, которые устанавливают особый режим при обращении с персональными данными. А также использование программного обеспечения и оборудования, которые гарантируют сохранность персональных данных.
• использовать персональные данные строго в соответствии с установленными целями, которые сообщаются субъекту заранее.
• по общему правилу не передавать персональные данные третьим лицам (если иное не установлено согласие субъекта).
• запрашивать у субъекта только тот объем персональных данных, который необходим для выполнения своих обязательств. То есть, не требовать паспортные данные, когда достаточно только имени и телефона.
• хранить персональные данные в течение строго установленного срока и обеспечить их удаление/обезличивание после его истечения.

Политика конфиденциальности и согласие

Чтобы предварительно проверить как будут использованы персональные данные, необходимо ознакомиться с текстом согласия и политикой конфиденциальности компании, в них есть вся информация о целях использования персональных данных, возможности их передачи третьим лицам и меры по защите. В соответствии с требованиями закона эти документы должны находиться в публичном доступе. Либо на сайте компании, либо в офисе.

Европейский опыт

В конце мая на электронную почту стали приходить письма с изменением политики конфиденциальности многочисленных интернет-сервисов. Это связано с принятием европейского закона о персональных данных – General Data Protection Regulation (GDPR).

Дело в том, что в Европейском союзе отсутствовал единый законодательный акт, регулирующий обработку персональных данных. Это создавало сложности для компаний, которые должны были подстраиваться под каждую страну по отдельности.

Российское и новое европейское законодательство очень похожи и отличаются лишь в нюансах

Например, в GDPR в качестве отдельной категории персональных данных выделены генетические данные. Под генетическими данными понимаются персональные данные, относящиеся к наследственным или приобретенным генетическим характеристикам физического лица, которые дают уникальную информацию о физиологии или здоровье этого физического лица, а также которые являются, в том числе, результатом анализа биологического образца этого физического лица.

Так как GDPR является более свежим законодательным актом, то в нем существует ряд положений, которые вызваны с последними угрозами:

• в GDPR предусмотрены новые расширенные права субъектов персональных данных, не имеющие аналогов в российском законодательстве: право на переносимость данных между операторами, право на ограничение обработки и право на уведомление субъекта при изменении или уничтожении его персональных данных;
• в GDPR предусмотрены крупные штрафы за несоблюдение требований европейского законодательства в размере до 4% суммарного оборота компании или 20 млн. евро, в зависимости от того, какая сумма больше. Согласно же российскому КоАП, нарушение законодательства Российской Федерации в области персональных данных влечет наложение административного штрафа на юридических лиц в размере до 75 000 рублей (ст. 13.11).
• в GDPR предусмотрено требование об уведомлении оператором регулирующего органа и субъекта персональных данных в случае утечки персональных данных. В российском законодательстве аналогичные положения отсутствуют.

Американский опыт

В США до настоящего момента отсутствовал единый законодательный акт о регулировании персональных данных. Регулирование основывалось на общих нормах конституции и отдельных судебных прецедентах. Отдельные штаты могут вводить свои правила регулирования персональных данных.

Возможно, все изменится после недавней утечки персональных данных из Facebook и слушаний, проведенных в Конгрессе США по этому вопросу. Возможно, что США признают необходимым регулировать обработку персональных данных по аналогии с Евросоюзом. А именно, путем принятия единого акта.

Регулирование персональных данных в России является современным, а генетические данные каждого человека надежно защищаются государством. Ежедневно мы сами соглашаемся на предоставление исчерпывающих данных о себе многочисленным зарубежным сервисам. Отозвать это согласие не так просто. Во-первых, потому что эти сервисы на территории РФ не присутствуют, а во-вторых привлечение их к ответственности на территории России – затруднительно.

Российские же сервисы обязаны исполнять законные требования пользователей, которые касаются персональных данных. А человеку, чтобы понимать как будут использовать информацию о нем, достаточно просто прочитать документы о согласии на обработку персональных данных, которые он подписывает. Спасает то, что любое согласие может быть отозвано в любой момент, если вам доставляют лишние неудобства.

В медико-генетическом центре Genotek мы внимательно следим за сохранностью персональных данных наших пользователей и выполняем все требования законодательства России и Европейского Союза о мерах по обработке и охране такой чувствительной информации.