Трансграничная передача ПДн фармацевтическими компаниями
Компания - представитель иностранного производителя лекарственных средств в РФ (российское подразделение) передает персональные данные субъектов в Минздрав в рамках требований по фармаконадзору. Однако, с учетом внутренних процессов компании, осуществляется также передача в другие юридические лица компании, находящиеся в странах Европы и США (backup + отчетность), а также третьим лицам (администрирование систем). Данные, подлежащие обработке: Инициалы пациента, возраст, рост, вес, беременность (да, нет, срок), аллергия (да, нет, на какие вещества/препараты), последствия применения лекарственного препарата. Может ли компания считать, что данные НЕ являются персональными (компании доступны только инициалы пациента, врач имеет право отказать в предоставлении других сведений на основании того, что они являются врачебной тайной)? В случае, если данные являются персональными, возможно ли использовать в качестве основания для обработки (в т.ч. трансграничной передачи) - основание по п.3 ч.2 ст. 10 152-ФЗ (при условии исключения трансграничной передачи в страны, не обеспечивающие адекватной защиты)?
Согласно закрепленному в законе определению персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Какие-либо критерии, позволяющие установить, является ли тот или иной набор сведений персональными данными, в законодательстве отсутствуют, а существующая на сегодняшний день судебная практика противоречива.
Тем не менее, сам факт отсутствия в составе обрабатываемых компанией сведений фамилии, имени, отчества пациента не позволяет сделать вывод о том, что обрабатываемые сведения не являются персональными данными.
В рассматриваемом случае оператор располагает такой информацией, как инициалы пациента, его возраст, рост, вес, наличие/отсутствие беременности и ее срок, наличие аллергии на те или иные лекарственные препараты, нежелательные реакции на лекарственный препарат, сведения о других принимаемых лекарственных средствах, а также, учитывая порядок осуществления фармаконадзора - информацией о лечащем враче и медицинском учреждении, предоставившем соответствующую информацию о пациенте.
В ряде случаев этой информации будет достаточно для того, чтобы идентифицировать субъекта персональных данных, к которому такие сведения относятся. Например, если информация о нежелательных реакциях поступила из медицинского учреждения в небольшом городе, а сама нежелательная реакция достаточно серьезна (инвалидность, смерть). При этом разглашение такой чувствительной информации может привести к негативным последствиям для субъекта.
В связи с этим, представляется, набор сведений, которым располагает компания, следует относить к персональным данным. Что касается второй части вопроса, согласно п. 3 ч. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка специальных категорий персональных данных допускается в случаях, если это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно.
Полагаем, указанное основание может быть использовано в отношении процессов обработки персональных данных пациентов, относящихся непосредственно к исполнению компанией требований фармаконадзора. Что касается процессов предоставления персональных данных специальных категорий третьим лицам в рамках эксплуатации служебной ИТ-инфраструктуры, целью такого использования, скорее, является удобство оператора и соблюдение внутренних регламентов компании, нежели защита жизни, здоровья или иных жизненно важных интересов субъекта/третьих лиц.
Ответ подготовила Юлия Любченко (21.03.2021)