Медичні персональні дані за GDPR: розбираємо датасети

 Чому медичні дані під пильною увагою?

У сучасному світі медицини кожен візит до лікаря, кожен аналіз і навіть кожен крок, зафіксований фітнес-трекером, може стати частиною величезного масиву (датасету) медичних даних. Через їхню надзвичайну чутливість, довгострокову природу та соціальний контекст, що їх супроводжує, GDPR відносить такі дані до особливого переліку спеціальних категорій персональних даних та вимагає їх посиленого захисту.

Що ж насправді стоїть за поняттям “медичний датасет” і як організувати його обробку відповідно до вимог GDPR — розглянемо у цій статті.

Медичний датасет: що ховається під назвою?

GDPR, регламентуючи обробку медичної інформації, використовує більш широке поняття — “дані, що стосуються здоров’я”, під якими розуміються персональні дані про фізичний чи психічний стан особи, включно з інформацією про надання медичних послуг, яка відображає цей стан. Важливо, що пункт 35 Преамбули GDRP підкреслює: йдеться не лише про актуальні на момент збору дані, а й про відомості про минулий чи навіть прогнозований майбутній стан здоров’я.

З визначення видно, що “даними, що стосуються здоров’я” можуть вважатися дуже різні типи інформації. Подекуди це очевидно: результати аналізів, діагнози чи виписки з лікарні безсумнівно належать до цієї категорії. Проте існують прикордонні випадки, коли виникають сумніви.

У цьому контексті показовим є рішення ECJ у справі C-21/23. Суд наголосив, що для того, щоб персональні дані вважалися такими, що стосуються здоров’я, достатньо навіть самої можливості виявити таку інформацію шляхом логічних висновків або зіставлення фактів. Ця справа стосувалася випадку замовлення лікарських засобів без рецепта через інтернет-аптеку Здавалося б, сам факт покупки не є медичною інформацією. Але якщо поєднати дані про замовлений препарат, його терапевтичне призначення та особу покупця (наприклад, через ім’я чи адресу доставки), то вже можна зробити висновок про стан здоров’я цієї людини. 

Отже, важливим є не лише зміст самих даних, а й потенціал, який вони мають для розкриття інформації про здоров’я людини.

Читайте більше: Необхідні документи для відповідності GDPR

Анатомія та джерела медичного датасету

Важливо розуміти, що дані, які вважаються такими, що стосуються здоров’я, можуть походити з різних джерел. 

Це можуть бути:

• дані, зібрані лікарем у медичній картці пацієнта, наприклад анамнез, результати обстежень і лікування;
• відомості, що набувають статусу медичних завдяки поєднанню з іншою інформацією, наприклад висновок про підвищений ризик серцевого нападу на основі багаторазових вимірювань високого тиску; 
• результати “самоперевірки”, коли пацієнт сам повідомляє про симптоми у спеціальних опитувальниках чи застосунках; 
• дані, які самі по собі не є медичними, можуть перетворитися на медичні у певному контексті — як-от інформація про поїздку в регіон, уражений COVID-19, що використовується лікарем для постановки діагнозу. 

Незалежно від джерела — чи це лікар, медичний заклад, медичний пристрій або лабораторний тест — уся ця інформація формує цілісну структуру медичного датасету в чиїй структурі можна виділити кілька основних категорій персональних даних.

Ідентифікаційна інформація або хто є пацієнтом?

Ідентифікаційні дані — це фундамент будь-якого медичного датасету, адже саме вони дозволяють пов’язати медичну інформацію з конкретною особою.

Традиційно сюди належать прямі ідентифікатори: ім’я, прізвище та по батькові, номер паспорта чи іншого посвідчувального документа. Проте медичний контекст формує і власний набір специфічних ідентифікаторів, які рідко зустрічаються в інших сферах. Це може бути, наприклад, номер медичної картки або внутрішній ID пацієнта в системі.

Водночас ідентифікація можлива навіть без таких “прямих” посилань. Унікальні діагнози, рідкісні комбінації ліків, проходження спеціалізованих процедур чи використання медичних імплантатів — усе це також здатне непрямо вказати на конкретну людину.

Окремий пласт складають сімейні ідентифікатори. У процесі лікування лікарям часто потрібні відомості не лише про самого пацієнта, а й про його близьких: інформація про родичів, сімейний анамнез, генеалогічні дані. Такі записи теж стають частиною медичного датасету, розширюючи його межі.

Контекст і спосіб життя: за лаштунками здоров’я

Здоров’я людини визначається не лише біологією, а й цілим комплексом соціальних, економічних та поведінкових факторів. Саме тому дані про спосіб життя та контекст стають невіддільним компонентом медичних датасетів, адже вони допомагають лікарям побачити пацієнта не лише як носія діагнозу, а як особистість у ширшому середовищі.

До таких відомостей належать:

1. Поведінкові патерни: харчові звички, рівень фізичної активності, режим сну та відпочинку, наявність чи відсутність шкідливих звичок, особливості сексуальної поведінки. 
2. Психосоціальні фактори: рівень стресу, емоційний стан та психічне здоров’я тощо. 
3. Професійна інформація: характер роботи, умови праці, контакт зі шкідливими факторами, робочий графік і рівень стресових навантажень. 
4. Екологічні фактори: якість повітря та води, вплив токсичних речовин, шумове забруднення, доступність зелених зон та рекреаційних можливостей. 
5. Дані про кризові ситуації: випадки домашнього насильства, втрату близьких чи інші події, що безпосередньо впливають на фізичний та психічний стан людини.

Читайте більше: Технічні вимоги GDPR: реалізація на практиці

 Дані тіла у цифрах

Фізіологічні дані займають чи не найбільший обсяг у структурі медичного датасету, адже саме вони перетворюють роботу людського тіла на цифрові показники, які можна вимірювати, аналізувати та інтерпретувати. 

До цієї групи належать: 

• основні життєві показники, наприклад, кров’яний тиск, частота серцевих скорочень, ритм і глибина дихання, температура тіла;
• фізичні параметри, такі як зріст, вага, індекс маси тіла, об’єми та пропорції тіла;
• результати лабораторних аналізів рідин та тканин: від складу крові (лейкоцити, еритроцити, тромбоцити) до досліджень сечі, спинномозкової рідини та інших біологічних зразків.
• результати функціональних досліджень, що відображають роботу органів і систем: електрокардіографії та холтерівського моніторування, спірометрії та інших подібних методів. 
• візуалізаційні дослідження, наприклад, рентгенографія, КТ, МРТ, ультразвук чи результати ендоскопії, які стають цифровими зображеннями, що доповнюють числові показники.

 Унікальні сліди: генетика та біометрія

Генетичні та біометричні дані становлять найглибший рівень медичної інформації. Вони розкривають не лише поточний стан здоров’я, але й генетичну спадковість, схильність до хвороб та унікальні біологічні характеристики, що супроводжують людину протягом усього життя.

До генетичних даних належать повна послідовність ДНК, екзомні дані, X- та Y-хромосомні маркери, наявність чи відсутність патогенних мутацій, фармакогенетичні особливості та навіть сімейна генетична інформація. У свою чергу, біометрія в медичному контексті виходить далеко за межі класичних відбитків пальців чи зображення сітківки. Сюди можна віднести характеристики серцевого ритму, патерни мозкової активності, показники мікроциркуляції, особливості терморегуляції та інші унікальні анатомічні параметри.

Ядро датасету: клінічна інформація

Клінічна інформація є центральною частиною будь-якого медичного датасету. Вона фіксує взаємодію пацієнта з системою охорони здоров’я та документує увесь шлях від діагностики й лікування до подальшого нагляду. 

У цьому масиві даних можна знайти: 

1. Анамнестичні відомості: скарги пацієнта, хронологія перебігу захворювання, інформація про перенесені хвороби. 
2. Діагностична інформація: клінічні діагнози за міжнародною класифікацією МКХ-10 чи МКХ-11, уточнення стадій захворювань, прогнози щодо їхнього розвитку. 
3. Терапевтичні дані: призначення медикаментів із зазначенням доз та режимів, інформація про хірургічні втручання, фізіотерапевтичні або реабілітаційні заходи, а також психотерапевтичні інтервенції. 
4. Моніторингові результати: періодичні обстеження, що дозволяють відстежити реакцію організму на лікування та його динаміку.

Технічний слід пацієнта

У цифровій медицині кожна взаємодія з системою залишає технічний слід — метадані, які фіксують не лише зміст медичної інформації, а й обставини її створення, передачі та зберігання. Ці дані часто здаються другорядними, проте вони можуть використовуватися для ідентифікації або навіть відстеження пацієнта.

До цієї категорії належать системні ідентифікатори й логи подій, метадані медичних документів, мережева інформація (IP-адреси пристроїв, геолокаційні мітки), дані про самі пристрої та застосунки (UDID, IMEI, ОС) і навіть файли cookies.

Адміністративний каркас: облік і бюрократія

Адміністративні дані формують своєрідний каркас медичного датасету. Вони не описують стан здоров’я безпосередньо, але створюють організаційний контекст надання допомоги й документують усі аспекти взаємодії пацієнта з медичною системою. 

Сюди відносяться: 

1. Реєстраційні записи: дати звернень до закладу, статус пацієнта, довіреності та дані про його представників. 
2. Фінансова інформація: страхові поліси, рахунки й платежі, пільги чи субсидії. 
3. Документи: направлення між лікарями, довідки, офіційні висновки, листування з пацієнтом чи його родичами. 
4. Правові та регуляторні матеріали: результати судово-медичних експертиз, звіти для державних органів чи страхових компаній. 
5. Дані організаційно-логістичного характеру: записи про якість надання послуг, переміщення та транспортування пацієнта, розклади візитів і консультацій.

Як працювати з медичними даними без GDPR-ризиків?

GDPR встановлює комплексний набір правил для обробки персональних даних, які набувають особливої ваги, коли йдеться про інформацію, що стосується здоров’я. Для медичних закладів, дослідників чи технологічних компаній це означає не просто формальне виконання статей Регламенту, а системне впровадження механізмів захисту, які враховують чутливість і ризики таких даних.

1. Принципи обробки (ст. 5 GDPR): в основі обробки медичних датасетів мають лежати принципи, визначені ст. 5 зокрема акцент має бути на мінімізації даних, точності та обмеженому зберіганні. 
2. Правові підстави (ст. 6 і ст. 9 GDPR): оскільки дані про здоров’я належать до спеціальних категорій, для їх обробки завжди потрібна «подвійна» правова основа: загальна (ст. 6) та спеціальна (ст. 9). Це може бути, наприклад, звичайна згода + явна згода пацієнта (explicit consent).
3. Прозорість і інформування (ст. 13 GDPR): пацієнт має бути чітко поінформований про те, хто і для чого обробляє його персональні дані, які саме категорії збираються, як довго вони зберігатимуться та про іншу визначену інформацію. 
4. Права пацієнтів (ст. 15–22 GDPR): організації повинні забезпечити механізми реалізації прав суб’єктів.
5. Безпека обробки (ст. 24–25 GDPR): у сфері медицини це означає суворий контроль доступу до даних, псевдонімізацію та анонімізацію, модульний доступ до різних блоків інформації, шифрування та інші організаційно-технічні заходи. 
6. Спільні контролери та процесори (ст. 26 і 28 GDPR): лікарня, лабораторія, ІТ-компанія чи дослідницький центр повинні визначити та врегулювати свої ролі у процесі обробки: хто відповідає за визначення цілей і засобів, а хто діє як процесор за дорученням. Це потребує укладання договорів і чіткого розподілу відповідальності.
7. Реєстр операцій з даними (ст. 30 GDPR): медичні установи повинні створити і підтримувати актуальною ROPA. Виключення для малих організацій тут не діятиме, оскільки обробка медичних даних майже завжди є «ризиковою» і підпадає під ст. 9.
8. Реагування на витоки (ст. 33 і 34 GDPR): витік медичних даних практично завжди створює високий ризик для прав і свобод пацієнтів. Тому процес повідомлення регулятора упродовж 72 годин і сповіщення самих постраждалих осіб має бути регламентований.
9. Оцінка впливу на захист даних (ст. 35 GDPR): через високу чутливість медичних даних DPIA стає must-have для більшості проєктів у сфері охорони здоров’я — від впровадження нової системи електронних карток до запуску масштабного клінічного дослідження.
10. Призначення DPO (ст. 37 GDPR): більшість організацій, що працюють з медичним датасетом, зобов’язані мати уповноваженого з захисту даних, оскільки їхня основна діяльність пов’язана з масштабною обробкою спеціальних категорій даних.
11. Міжнародні трансфери (гл. V GDPR): передача медичних даних за межі ЄС має бути забезпечена відповідними гарантіями — рішенням про адекватність, стандартними договірними положеннями (SCCs) чи іншими правовими механізмами.  

Що буде якщо підійти до цього несерйозно?

GDPR не залишає простору для легковажності у роботі з медичним датасетом. Стаття 83 Регламенту передбачає два рівні санкцій:

• до 10 млн євро або 2 % від річного світового обороту компанії — за менш тяжкі порушення (наприклад, за неналежне врегулювання відносин з процесорами).
• до 20 млн євро або 4 % від річного світового обороту компанії — за більш тяжкі порушення (наприклад, незаконна обробка спеціальних категорій даних, або порушення принципів обробки).

Практика наглядових органів ЄС показує, що навіть одна недбалість може коштувати лікарням та компаніям сотні тисяч або мільйони євро.

1. CNPD (Португалія) — €400 000

У цій справі доступ до електронних карток пацієнтів мали не тільки лікарі, а й сотні інших, немедичних співробітників лікарні. Інформаційна система не передбачала обмеження ролей і мінімізації доступу, що стало суперечить принципам ст. 5 та вимогам ст. 32 GDPR. 

2. CNIL (Франція) — €1 500 000

Під час міграції програмного забезпечення у відкритий доступ в інтернет потрапили результати аналізів та діагнози понад 500 000 пацієнтів. Компанія не впровадила елементарних технічних заходів безпеки: дані зберігалися без шифрування, контроль доступу був відсутній та ін. CNIL кваліфікувала це як грубе порушення ст. 32 GDPR.

Хто може допомогти з побудовою GDPR-комплаєнсу для роботи з медичними даними?

Лігал Айті Груп (Legal IT Group) мають практичний досвід у сфері захисту медичних персональних даних й можуть допомогти побудувати ефективну систему комплаєнсу з вимогами GDPR. Legal IT Group супроводжують процеси обробки медичних даних від проведення Data Protection Impact Assessment (DPIA) до розробки внутрішніх політик доступу й безпеки. Legal IT Group готують договори з процесорами та спільними контролерами, документи для міжнародних трансферів даних та проводять аудит обробки. Legal IT Group допоможуть медичним закладам, дослідникам і технологічним компаніям уникнути штрафів і вибудувати обробку персональних даних у повній відповідності з GDPR.