Юридичний супровід для MedTech проєктів 

За даними Всесвітньої організації інтелектуальної власності (WIPO), основними драйверами розвитку MedTech-індустрії залишаються малі та середні компанії та стартапи. Саме вони створюють інноваційні рішення для діагностики, лікування та моніторингу стану здоров’я. Водночас їхні продукти мають дві критичні зони ризику: інтелектуальну власність і персональні дані.

З одного боку, цінність медтех-продукту часто сконцентрована в IP. І без належного оформлення прав контроль над продуктом може бути втрачений ще до етапу масштабування або інвестицій. З іншого боку, такі продукти майже завжди працюють із даними про здоров’я, що автоматично підпадають під найсуворіші вимоги privacy-законодавства.

У цій статті розглянемо обидва аспекти: як захистити інтелектуальну власність та як правильно працювати з персональними даними у медтесі, щоб уникнути регуляторних ризиків. Окремо — дамо практичні чеклисти перед запуском продукту.

Медичні дані: що можна, а що ні перед запуском

Медичні дані займають центральне місце у більшості медтех-продуктів. 

Вони формують цінність сервісу, дозволяють будувати моделі діагностики, персоналізувати лікування або відстежувати стан здоров’я. Водночас їхня природа робить їх одними з найбільш чутливих видів інформації, адже вони безпосередньо пов’язані із фізичним і психічним станом людини, а отже, з її вразливістю.

Саме тому регулятори підходять до таких даних значно суворіше, ніж до “звичайних” персональних даних. 

Для медтех-компаній це означає просту, але критичну річ: перед запуском продукту недостатньо лише “формально” відповідати вимогам прайвасі законодавства — необхідно вибудовувати комплексну та робочу систему обробки даних про здоров’я. 

ЄС: максимум вимог GDPR та мінімум поблажок

У межах GDPR медичні дані не є “ще однією категорією” персональних даних. Вони прямо віднесені до спеціальних категорій (ст. 9(1)), для обробки яких встановлено ряд додаткових вимог:

1. “Подвійна” правова підстава

Згідно із логікою регламенту, обробка даних про здоров’я вимагає одночасного виконання двох умов:

• наявності правової підстави за ст. 6;
• застосування одного з винятків за ст. 9(2).

На практиці MedTech-проєкти найчастіше використовують згоду за ст. 6 та явну згоду за ст. 9(2). 

Детальніше: Медичні дані під GDPR: особливості застосування статті 9. 

2. Обов’язковий комплаєнс: жодних винятків

Для обробки медичних даних GDPR фактично не залишає простору для спрощень. Так від медтех проєктів зазвичай вимагається повний набір заходів, які для багатьох інших є необов’язковими:

1. Створення та ведення RoPA, оскільки виняток для малого бізнесу не застосовується через характер даних (ст. 30).
2. Проведення DPIA є обов’язковим, оскільки має місце обробка, яка апріорі є високоризиковою за своєю природою (ст. 35). 
3. Обов’язкове призначення DPO призначається при регулярній та системній обробці спеціальних категорій даних (ст. 37)

Також читайте: Обробка медичних персональних даних: що треба знати медзакладам?

3. Data breach: приховати не можна, повідомити

У випадку витоку медичних даних застосовується більш жорсткий підхід до оцінки ризику: повідомлення наглядового органу є обов’язковим відповідно до ст. 33, а повідомлення суб’єктів даних за ст. 34 у більшості випадків також необхідне, оскільки витік даних про здоров’я майже завжди створює високий ризик для їхніх прав і свобод. 

Слід пам’ятати, що GDPR не діє ізольовано. У медтесі паралельно застосовуються AI Act та Data Act, які вводять додаткові вимоги до використання, обміну та доступу до даних.

Щоб зрозуміти, як вимоги GDPR працюють на практиці, варто подивитися на реальні кейси регуляторів, які доволі жорстко карають будь-яке порушення:

1. Рішення DPA (Австрія):  компанія обробляла дані про здоров’я без належного комплаєнсу: вона понад 6 місяців робила це без призначення DPO і без опублікування його контактів в ПН, а також не провела DPIA попри високий ризик. Як результат, на компанію було накладено штраф у розмірі €55 000.
2. Рішення SAN-2023-008 (Франція): регулятор встановив, що надання даних під час розмови не є явною згодою в розумінні ст.9. Додатково, компанія мала дата бріч через  слабкі заходи безпеки і не повідомила про витік регулятора та суб’єктів.   Результат — штраф €150 000. 
3. Рішення 2018/984 (Португалія): кейс стосувався відсутності контролю доступу до медичних даних. Оскільки до них мали доступ немедичні працівники, що порушує принципи мінімізації та вимоги безпеки. Результат — штраф €400 000. 

Україна: локальні вимоги, які не можна ігнорувати

Для компаній, що обробляють дані українських користувачів, застосовується ЗУ “Про захист персональних даних”. Його часто сприймають як “другорядний” у порівнянні з GDPR, однак на практиці він встановлює окремі обов’язки, невиконання яких є порушенням:

1. Окрема підстава для обробки даних про здоров’я 

На відміну від GDPR, закон не вимагає “подвійної” підстави. Натомість обробка даних про здоров’я вимагає лише однієї з підстав, передбачених у ст.7. На практиці такою зазвичай є однозначна згода суб’єкта. 

2. Повідомлення Уповноваженого ВРУ з прав людини. 

Закон передбачає обов’язок повідомлення Уповноваженого про обробку персональних даних, що створюють підвищений ризик для прав і свобод суб’єктів (ст.9), до яких належать і дані про здоров’я. Це формальна вимога, яку часто ігнорують, однак саме її відсутність зазвичай легко фіксується під час перевірок.

3. Обов’язкові організаційні заходи 

Також необхідно призначити відповідальну особу або структурний підрозділ, який відповідає за захист персональних даних, і повідомити про це Уповноваженого. На практиці це означає не лише формальне призначення, а й наявність внутрішніх політик та процедур, контролю, навчання персоналу та проактивних дій. Додатково очікується ведення реєстру порушень безпеки персональних даних. 

Основна проблема українського регулювання в тому, що немає чіткої і сталої практики його застосування та детальних роз’яснень від регулятора. Через це компанії часто або виконують вимоги лише формально, або взагалі їх ігнорують. Але на практиці під час перевірок саме ці базові речі перевіряються в першу чергу і найчастіше можуть ставати причиною порушень.

Детальніше: Медичні персональні дані в Україні: практичний гайд для бізнесу. 

США: у пошуках застосовного закону

На відміну від ЄС, у США регулювання медичних даних побудоване не навколо універсального закону, а навколо конкретних сценаріїв і типів бізнесу. Це означає, що обсяг вимог залежить не стільки від типу даних, скільки від того, хто саме їх обробляє і в якому контексті.

1. HIPAA: базове, але не універсальне правило

Для медтех-проєктів першим актом, на який потрібно звернути увагу, є HIPAA. Однак він застосовується лише до обмеженого кола суб’єктів:

• covered entities (медичні провайдери, страхові плани, clearinghouses);
• business associates (контрагенти, які обробляють дані від їх імені).

Також слід зазначити, що HIPAA захищає лише protected health information (PHI), тобто ідентифіковані дані про здоров’я. Решту персональних даних цей акт не охоплює. 

Якщо ж до вашого продукту HIPAA застосовується, необхідно зосередитися на виконанні вимог  двох ключових блоків:

1. Privacy Rule: визначає, коли і як можна використовувати та розкривати медичні дані, а також права пацієнтів.
2. Security Rule: встановлює вимоги до захисту даних (адміністративні, технічні та фізичні заходи).
3. Якщо думаєте, що вам пощастило — подумайте ще раз

Багато медтех-продуктів (особливо B2C) взагалі не підпадають під HIPAA. Але це не означає, що їхня діяльність нічим не врегульована.  У таких випадках застосовуються:

1. FTC Health Breach Notification Rule (федеральний рівень): встановлює обов’язок повідомлення користувачів і регуляторів про витоки даних про здоров’я. 
2. Закони штатів, зокрема:

• загальні закони про захист персональних даних, наприклад, CCPA в Каліфорнії та
• спеціальні закони присвячені медичним даним, наприклад, California Confidentiality of Medical Information Act.

Що ж до практики американських регуляторів, то ключовими тригерами для них зазвичай є витоки медичних даних і непрозоре їх використання:

1. Anthem, Inc. (федеральний рівень): у кейсі кібератака через фішинг призвела до витоку медичних даних 80 млн осіб. Регулятор встановив системні порушення безпеки, недостатній моніторинг, тобто порушення HIPAA Security Rule, та наклав штраф у розмірі $16 млн. 
2. Easy Healthcare Corporation (федеральний рівень): у цьому кейсі компанія не повідомила користувачів про несанкціоноване розкриття їхньої медичної інформації третім сторонам, що порушило вимоги HBNR та потягнуло накладення штрафу у розмірі $100 тис. 
3. Adventist Health Hanford (Каліфорнія): у цій справі медперсонал без правових підстав передав поліції дані пацієнток, що призвело до неправомірних обвинувачень.  Це стало причиною угоди з генеральним прокурором за порушення CMIA та штрафу у розмірі $10 тис. 

Детальніше: MedTech у США: головні правила гри для роботи з медданими. 

Різні закони але спільна логіка 

Попри різні підходи в ЄС, Україні та США, загальна логіка однакова: медичні дані — це завжди високий ризик, а отже, підвищені вимоги до їх обробки. Незалежно від того, чи застосовується GDPR, ЗУ “Про захист персональних даних” чи HIPAA, від компаній очікується не просто формальний комплаєнс, а реальна система  контролю, безпеки і прозорості обробки даних.

IP для MedTech: що створює цінність продукту?

Фактично будь-який елемент MedTech-рішення є результатом творчої інтелектуальної роботи. Код, інтерфейс, дані і навіть найменування продукту формують його ядро та можуть бути тим, що створює цінність на ринку. На відміну від класичних бізнесів, де активи можуть бути матеріальними, тут усе тримається на нематеріальних активах. Саме тому питання прав на ці об’єкти не можна відкладати, адже умовне створення продукту командою професіоналів під імʼям вашої компанії ≠ автоматична належність компанії IP-прав на такий продукт. 

Тож юридичний супровід у цьому контексті — це не формальність, а спосіб зафіксувати, кому належать права і хто має право ними розпоряджатися. 

Авторське право у MedTech

Починаючи розмову про IP assets у MedTech, варто звернути увагу на обʼєкти авторського права (АП). Для частини читачів може здатися, що авторське право — це про фото- та відеоконтент, книги, але не про медицину, однак саме обʼєкти АП є базою для великої кількості Medtech-розробок.

Що саме захищає авторське право у медтеху?

• програмний код діагностичних алгоритмів;
• інтерфейси медичних застосунків (так, UI — це теж об’єкт авторського права);
• клінічна документація, протоколи, методичні матеріали;
• і що особливо актуально зараз — набори навчальних даних для медичних AI-систем, якщо вони складені вами самостійно. 

В цілому, цей перелік можна продовжувати і продовжувати, адже авторським правом захищається великий масив обʼєктів: від кодів до масивів даних.

Ключова перевага: авторське право виникає автоматично з моменту створення. Реєстрація не обов’язкова, хоча бажана (залежить від юрисдикцій, адже не всюди є державна реєстрація авторських прав).

Зверніть увагу! Існує одна принципова межа, яку важливо розуміти: авторське право захищає форму вираження, а не ідею. Конкурент може взяти вашу ідею діагностичного алгоритму і написати власний код — і це законно, а скопіювати ваш код або його частину — вже ні, і ви можете звернутися до порушника із вимогою про припинення порушення ваших авторських прав. 

Більше про це читайте у нас на сайті.

Як на практиці?

Уявіть, що ви заснували стартап і розробили застосунок для моніторингу діабету з унікальним UX. Авторське право захистить саме цей інтерфейс — конкретну послідовність екранів, графіки, іконки, але не сам по собі принцип або ідею “застосунок для відстежування рівня цукру через смартфон”.

Окрема і дуже гаряча тема — права на AI-generated контент. У США позиція така, що твори, повністю створені штучним інтелектом без творчої участі людини, не можуть бути захищені авторським правом. Це підтвердили і Бюро авторських прав США у своїх роз’ясненнях і судова практика. Захист отримує лише та частина твору, де є людський творчий вклад, наприклад, підбір, упорядкування або редагування AI-результату.

Торговельна марка: побудова репутації 

Якщо авторське право — це захист продукту, то торговельна марка — це захист бренду. А в медицині бренд формує довіру, яка коштує особливо дорого.

Пацієнт обирає не “пристрій для моніторингу серця”. Він обирає конкретний бренд, якому довіряє його кардіолог. Лікар рекомендує не “застосунок для телемедицини”, а конкретну назву. Ця прив’язка — результат брендингу, і саме торговельна марка робить її юридично захищеною.

Що можна зареєструвати як ТМ у медтеху? 

1. Назву продукту\алгоритму\застосунку\компанії. 
2. Логотип. 
3. Слоган.
4. Форму пристрою.

Щодо форми девайсу — окреме і важливе застереження. Так, форма медичного пристрою може бути зареєстрована як торговельна марка. Але тут із судової практики випливає доволі цікаве обмеження, за яким форма девайсу має бути унікальною і такою, що вирізняє виробника і його дизайнерське рішення, а не просто зручною або логічною з точки зору функції. Якщо форма корпусу зумовлена тим, як пристрій працює, наприклад, ергономічний вигин ручки скальпеля, який забезпечує захват, — така форма не отримає захисту як ТМ. Варто реєструвати лише те, що є довільним дизайнерським рішенням, а не технічною необхідністю. Простіше кажучи, якщо прибрати цю форму і замінити іншою — пристрій працюватиме так само? Тоді шанси на реєстрацію є. Якщо ні — форма вважається функціональною і залишається поза захистом ТМ.

Важливо також розуміти ризик trademark squatting — явища, добре відомі на азіатських ринках. Уявіть: ви створили прибутковий стартап і плануєте просувати медтех-продукт за кордоном. У цей час ваш конкурент реєструє вашу назву у країні раніше ніж ви заходите на ринки. І потім або блокує вашу діяльність, або намагається продати вам права на ТМ за чималі гроші. Для медтех-компаній, що планують міжнародну діяльність, реєстрація ТМ у ключових юрисдикціях — не опція, а must-have. 

Про реєстрацію ТМ для медичних виробів читайте на нашому сайті.

Ще одне: ТМ потребує реального використання. Зареєстрована марка, яку ніхто не використовує 3–5 років, може бути анульована за клопотанням третьої сторони. Це означає, що портфель торговельних марок є “живим” активом, за яким потрібно стежити і використовувати у своїй діяльності.

Комерційна таємниця: невидимий конкурентний рів

У медтехіндустрії існують речі, права на які не реєструють, проте вони відіграють важливу роль у розвитку та здійсненні діяльності продукту. Саме тут у гру входить комерційна таємниця (КТ).

Усі нам відомий приклад із рецептури Coca-Cola, яка вже понад 100 років є комерційною таємницею та приносить шалені прибутки корпорації.

Важливою перевагою такого способу охорони нематеріальних активів є те, що, по суті, немає лімітів щодо того, що саме може бути комерційною таємницею. Так, ваш алгоритм діагностики, навчений клінічними даними, протокол клінічних досліджень до публікації, база даних постачальників або клієнтів, внутрішній know-how виробничих процесів — це все може охоронятися як КТ.

Щоб інформація мала статус комерційної таємниці, вона має відповідати трьом ознакам:

1. Секретність — інформація не є загальновідомою або легкодоступною для осіб, які зазвичай працюють з такими даними. Наприклад, алгоритм оцінки ризику інсульту, який компанія розробила внутрішньо і ніде не публікувала.
2. Комерційна цінність — саме через свою секретність інформація дає власнику конкурентну або економічну перевагу. Наприклад,  той самий алгоритм дозволяє продукту показувати точність діагностики на 15% вищу, ніж у конкурентів — і саме це є аргументом для лікарень при виборі постачальника.
3. Вжиті заходи захисту — володілець інформації реально робить кроки для збереження таємності. Для цього можна використовувати технічні засоби, такі як логування доступу, шифрування, укладання NDA тощо.

Якщо хоча б одна з ознак відсутня — правовий захист не працює.

Що треба зробити, щоб комерційна таємниця реально захищала:

Крок 1. Визначити перелік інформації, яка належить до комерційної таємниці. Зафіксуйте документально, що саме є комерційною таємницею у вашій компанії. Алгоритм? Датасет? Методологія? Без чіткого переліку довести, що щось було таємницею, практично неможливо.

Крок 2. Укласти NDA. З усіма, хто має або може мати доступ до КТ: співробітники, підрядники, інвестори на стадії due diligence, партнери. NDA має бути підписаний до передачі інформації, а не після.

Крок 3. Налаштувати технічні способи захисту. Розмежування прав доступу в системах, логування того, хто і коли переглядав чутливі дані, шифрування, водяні знаки на документах. Суд оцінюватиме не лише наявність NDA, а й те, чи реально компанія обмежувала доступ.

Комерційна таємниця втрачає свій статус в момент розголошення. Якщо конкурент дізнався ваш алгоритм через колишнього співробітника без NDA — у вас майже немає правового захисту. Саме тому побудова режиму конфіденційності — це питання вашої IP-стратегії.

Що це означає для бізнесу?

Найсильніший захист — це не один інструмент, а їх комбінація. Тому грамотне поєднання авторського права, торговельних марок та комерційної таємниці можуть створити потужний захисний щит для Medtech-компанії.

Go-to-market: чеклист перед релізом

Перед запуском медтех-продукту необхідно системно пройти всі регуляторні вимоги, які можуть застосовуватися до вас, та перевірити свої IP-активи на “підводні камені”. Нижче наведено базові чеклисти, які дозволяють структурувати цю перевірку і не пропустити критичні елементи.

Перевірка застосовності GDPR Якщо продукт орієнтований на ЄС або обробляє дані користувачів з ЄС, застосовується GDPR. У такому випадку необхідно: – визначити подвійну правову підставу (ст. 6 + ст. 9); – створити та заповнити ROPA; – провести DPIA; – призначити DPO; – впровадити процедуру повідомлення про витоки персональних даних; – виконати інші загальні вимоги регламенту. Додатково потрібно перевірити застосовність суміжних актів, зокрема AI Act, Data Act, European Health Data Space і, якщо вони релевантні, врахувати їх вимоги.

Перевірка застосовності регулювання США Якщо продукт орієнтований на ринок США, насамперед потрібно визначити, чи застосовується HIPAA: – чи є ви covered entity або business associate; – чи обробляєте PHI (protected health information). Якщо HIPAA застосовується,  необхідно виконати вимоги Privacy Rule та Security Rule. Якщо ж ні — потрібно виконати вимоги FTC Health Breach Notification Rule щодо повідомлення про витоки. Окремо слід перевірити застосовність законів штатів і, за необхідності, врахувати їх додаткові вимоги.

Перевірка застосовності українського законодавства Якщо продукт працює з українськими користувачами або компанія є резидентом України, застосовується ЗУ “Про захист персональних даних”. У такому випадку необхідно: – визначити спеціальну підставу для обробки даних про здоров’я; – повідомити Уповноваженого про обробку таких даних; – призначити відповідальну особу або підрозділ і також повідомити про це; – створити реєстр порушень безпеки; – виконати інші загальні вимоги закону.

Окремо слід перевірити IP частину:

Визначте IP обʼєкти: – які обʼєкти у вас є ключовими активами компанії? – яких обʼєктів не вистачає? Перевірте структуру IP прав: – чи належать вам IP-права? – якщо ні, то кому належать IP-права? Консолідуйте IP права: – укладіть договори на передачу IP-прав з правовласниками. Зареєструйте IP права: – підготуйте та подайте заявки на реєстрацію ваших IP-обʼєктів.

Висновок

Грамотний запуск Medtech-продукту має включати роботу з приватністю та інтелектуальною власністю, щоб уникнути штрафів від регуляторів та не втратити прибуткові IP-активи. Юристи Legal IT Group мають понад 10 років досвіду та готують Privacy- та IP-стратегії, які дійсно працюють. Якщо ви плануєте розвивати медтех-продукт і хочете вийти на ринок підготовленим гравцем, напишіть нам уже сьогодні!