Проект Постановления Правительства Российской Федерации "Об установлении экспериментального правового режима в сфере цифровых инноваций и утверждении Программы экспериментального правового режима в сфере цифровых инноваций по проведению исследований в области применения лекарственных препаратов пациентами" (подготовлен Минэкономразвития России 13.10.2021)

Проект Постановления Правительства Российской Федерации "Об установлении экспериментального правового режима в сфере цифровых инноваций и утверждении Программы экспериментального правового режима в сфере цифровых инноваций по проведению исследований в области применения лекарственных препаратов пациентами"
(подготовлен Минэкономразвития России 13.10.2021 г.)

Досье на проект

Пояснительная записка

В соответствии c частью 4 статьи 10 Федерального закона "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации" Правительство Российской Федерации постановляет:

1. Установить экспериментальный правовой режим в сфере цифровых инноваций по проведению исследований в области применения лекарственных препаратов пациентами.

2. Утвердить прилагаемую Программу экспериментального правового режима в сфере цифровых инноваций по проведению исследований в области применения лекарственных препаратов пациентами.

3. Реализация полномочий, предусмотренных настоящим постановлением, осуществляется в пределах установленной Правительством Российской Федерации штатной численности Министерства экономического развития Российской Федерации, иных федеральных органов исполнительной власти, а также бюджетных ассигнований, предусмотренных Министерству экономического развития Российской Федерации, иным федеральным органам исполнительной власти в федеральном бюджете на руководство и управление в сфере установленных функций.

Председатель Правительства Российской Федерации

М.Мишустин

УТВЕРЖДЕНА
постановлением Правительства Российской Федерации
от ___________ 20__ г. N _____

ПРОГРАММА
экспериментального правового режима в сфере цифровых инноваций по проведению исследований в области применения лекарственных препаратов пациентами

I. Направление разработки, апробации и внедрения цифровых инноваций в соответствии с частью 2 статьи 1 Федерального закона "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации" (далее - Федеральный закон)

1. Направлением разработки, апробации и внедрения цифровых инноваций является медицинская деятельность, в том числе с применением телемедицинских технологий и технологий сбора и обработки сведений о состоянии здоровья и диагнозах граждан, фармацевтическая деятельность.

II. Описание цифровой инновации, которая планируется к созданию, использованию или введению в употребление в рамках экспериментального правового режима в сфере цифровых инноваций (далее - экспериментальный правовой режим) в соответствии с пунктом 2 статьи 2 Федерального закона

2. Для целей настоящей Программы используются следующие понятия и сокращения:

"платформенные решения" - комплекс программного обеспечения;

"исследования рутинной клинической практики" - система получения доказательств в условиях рутинной клинической практики, которая позволяет участникам системы здравоохранения провести глубинный анализ эффективности терапии на основании полученных данных о клинических и экономических исходах в реальной практике ведения пациентов;

"неинтервенционные проспективные исследования" - исследования, в которых лекарственный препарат назначается обычным способом в соответствии с условиями, изложенными в инструкции по медицинскому применению. В рамках таких исследований формируется группа пациентов, в ходе наблюдения за которыми определяется, как будет протекать терапия с течением времени. Наблюдение заключается в фиксировании событий в их естественном течении, без осуществления каких-либо вмешательств (неинтервенционный характер);

"неинтервенционные ретроспективные исследования" - исследования, в которых лекарственный препарат уже был назначен обычным способом в соответствии с условиями, изложенными в инструкции по медицинскому применению. Исследования проводятся в выделенных когортах по архивным данным уже произошедших событий и прослеживаются до настоящего времени. В силу того, что в исследовании используются лишь уже существующие данные, в рамках исследования не происходит каких-либо вмешательств (неинтервенционный характер).

"СКУД" - система контроля и управления доступом;

"VPN-сеть" - технология, позволяющая организовать защищенную передачу персональных данных, полученных в результате обезличивания,с применением аутентификации, с защитой от повторов и изменений передаваемых сведений;

"TNM" - (аббревиатура от tumor, nodus и metastasis) - международная классификация стадий злокачественных новообразований.

3. Цифровой инновацией являются платформенные решения для сбора, валидации, подготовки и анализа данных из государственных, муниципальных и иных информационных систем, в том числе информационных систем в сфере здравоохранения, с помощью технологий искусственного интеллекта и (или) работы с большими данными с целью проведения исследований рутинной клинической практики, которые представляют собой неинтервенционные проспективные и ретроспективные исследования.

Для проведения исследований рутинной клинической практики с использованием технологий искусственного интеллекта и (или) работы с большими данными субъектом экспериментального правового режима осуществляется обработка персональных данных, полученных в результате обезличивания, в том числе касающихся состояния здоровья. Сбор указанных персональных данных, полученных в результате обезличивания, может осуществляться субъектом экспериментального правового режима из федеральных государственных информационных систем в сфере здравоохранения, информационных систем в сфере здравоохранения Федерального фонда обязательного медицинского страхования и территориальных фондов обязательного медицинского страхования, государственных информационных систем в сфере здравоохранения субъектов Российской Федерации, медицинских информационных систем медицинских организаций, информационных систем фармацевтических организаций и иных информационных систем (далее - информационные системы). Операторами информационных систем могут являться государственные органы и назначенные ими организации, органы управления Федерального фонда обязательного медицинского страхования и территориальных фондов обязательного медицинского страхования, медицинские, фармацевтические, научно-исследовательские и иные организации.

Оператор информационной системы с использованием программы для электронных вычислительных машин (далее - программа для ЭВМ) осуществляет обезличивание персональных данных и передает субъекту экспериментального правового режима исключительно персональные данные, полученные в результате обезличивания. Для обезличивания персональных данных субъект экспериментального правового режима предоставляет оператору информационной системы специальную программу для ЭВМ на условиях простой (неисключительной) лицензии.

4. Целями разработки, апробации и внедрения технологий сбора и обработки сведений о состоянии здоровья и диагнозах граждан являются:

развитие в Российской Федерации исследований рутинной клинической практики;

использование научно-исследовательского потенциала сведений, накопленных системой здравоохранения;

получение знаний о ранее неизвестных социально-значимых закономерностях, позволяющих сделать выводы об эффективности и безопасности терапии, этапах и (или) тяжести протекания заболеваний.

5. В рамках экспериментального правового режима субъекту экспериментального правового режима от оператора информационной системы могут передаваться следующие персональные данные, полученные в результате обезличивания:

5.1) демографическая информация пациентов:

5.1.1) дата рождения и (или) возраст;

5.1.2) пол;

5.2) антропометрическая информация:

5.2.1) рост;

5.2.2) масса тела;

5.2.3) индекс массы тела;

5.3) информация о диагнозе:

5.3.1) код диагноза по международной классификации болезней 10-го пересмотра (МКБ-10);

5.3.2) наименование диагноза;

5.3.3) тяжесть заболевания, в том числе стадия заболевания;

5.3.4) код классификации по международной классификации стадий злокачественных новообразований TNM;

5.3.5) локализация первичного очага и метастазов;

5.4) информация об анамнезе заболевания:

5.4.1) дата постановки диагноза;

5.4.2) жалобы и симптомы;

5.4.3) сведения о проведенном лечении основного заболевания лекарственными препаратами (схемы проведения терапии, в том числе противоопухолевой терапии, гормонотерапии, терапии таргетными лекарственными препаратами, моноклональными антителами и другими лекарственными препаратами);

5.4.4) сведения об ответе на лечение, дата зарегистрированного ответа на лечение;

5.4.5) сведения о побочных действиях (эффектах) от проводимой терапии, даты их появления и исчезновения (при наличии);

5.4.6) сведения об осложнениях заболевания, включая дату начала их развития и дату их завершения (при наличии), а также сведения об исходе заболевания;

5.4.7) сведения о динамике заболевания (например, сведения об обострении и (или) декомпенсации, прогрессировании и (или) стабилизации, появлении метастазов, о дате их регистрации);

5.5) информация об анамнезе жизни:

5.5.1) сведения об образе жизни, включая сведения о вредных привычках;

5.5.2) сведения о семейном анамнезе и наследственности;

5.5.3) сведения о сопутствующих заболеваниях;

5.6) дата и причина смерти;

5.7) информация о визитах к медицинским работникам:

5.7.1) дата визита;

5.7.2) тип визита (стационарный или амбулаторный);

5.7.3) специализация медицинского работника;

5.7.4) сведения из медицинского заключения врача, выданного по результатам визита (при наличии);

5.8) информация о медицинской организации, в которой проходил лечение пациент;

5.9) информация о медицинских вмешательствах:

5.9.1) наименование медицинского вмешательства;

5.9.2) вид медицинского вмешательства;

5.9.3) дата проведения медицинского вмешательства;

5.9.4) код в соответствии с номенклатурой медицинских услуг (при наличии);

5.9.5) сведения о результатах медицинского вмешательства,в том числе:

5.9.5.1) сведения о результатах морфологических, иммуногистохимических и других исследований, подтверждающих диагноз (например, патоморфологическая характеристика опухоли, гистологический вариант опухоли, степень злокачественности опухоли);

5.9.5.2) сведения, полученные по результатам проведения молекулярно-генетических тестов с целью установления и подтверждения диагноза заболевания;

5.9.5.3) сведения из медицинского заключения, выданного по результатам проведения медицинского вмешательства (при наличии);

5.9.5.4) медицинские изображения, полученные визуальными методами исследования, в том числе:

5.9.5.4.1) рентгенографические изображения, включая изображения, полученные методом компьютерной томографии и позитронной эмиссионной томографии;

5.9.5.4.2) изображения, полученные при проведении ультразвуковых исследований;

5.9.5.4.3) изображения, полученные методом магнитно-резонансной томографии;

5.9.5.5) наименование и значение физиологического показателя;

5.9.5.6) используемые единицы измерения;

5.9.5.7) референсные значения;

5.9.6) сведения об осложнениях, связанных с проведением медицинского вмешательства;

5.10) информация о назначении лекарственных препаратов:

5.10.1) международное непатентованное наименование лекарственного средства;

5.10.2) торговое наименование лекарственного средства и (или) группировочное наименование лекарственного препарата;

5.10.3) доза и единицы измерения;

5.10.4) способ введения;

5.10.5) режим дозирования;

5.10.6) даты начала и прекращения (при наличии) приема лекарственного препарата;

5.10.7) причина прекращения приема лекарственного препарата;

5.10.8) сведения о нежелательных реакциях, в том числе о серьезных нежелательных реакциях и непредвиденных нежелательных реакциях;

5.10.9) сведения о побочных действиях (эффектах);

5.10.10) лекарственная форма.

6. В рамках экспериментального правового режима анализ персональных данных, полученных в результате обезличивания, осуществляется в том числе по следующим критериям:

6.1) демографические критерии:

6.1.1) пол;

6.1.2) возраст;

6.2) антропометрические критерии:

6.2.1) рост;

6.2.2) масса тела,

6.2.3) индекс массы тела;

6.3) основной и (или) сопутствующий диагноз, в том числе стадия, степень тяжести заболевания;

6.4) дата постановки основного и (или) сопутствующего диагноза;

6.5) наличие осложнений основного заболевания и (или) сопутствующих заболеваний;

6.6) дата начала развития осложнений основного заболевания и (или) сопутствующих заболеваний и дата их завершения (при наличии);

6.7) наличие обострений основного заболевания и (или) сопутствующих заболеваний;

6.8) даты начала и окончания (при наличии) обострения основного и (или) сопутствующего заболевания;

6.9) наличие вредных привычек;

6.10) продолжительность приверженности вредной привычке;

6.11) наличие факторов риска;

6.12) наименование фактора риска;

6.13) назначенные лекарственные препараты;

6.14) режим лекарственной терапии;

6.15) дата начала и окончания (при наличии) лечения;

6.16) наличие ответа на лечение;

6.17) дата ответа на лечение;

6.18) наличие отдельных проведенных медицинских вмешательств;

6.19) наименование отдельного медицинского вмешательства;

6.20) даты проведения отдельных медицинских вмешательств;

6.21) результаты проведения отдельных медицинских вмешательств;

6.22) наличие побочных действий (эффектов);

6.23) даты появления и исчезновения (при наличии) побочных действий (эффектов);

6.24) дата смерти;

6.25) причина смерти.

III. Сведения о технологиях, применяемых в рамках экспериментального правового режима в соответствии с перечнем технологий, утвержденным в соответствии с пунктом 2 статьи 2 Федерального закона

7. В рамках экспериментального правового режима применяются следующие технологии:

1) нейротехнологии и технологии искусственного интеллекта,в том числе технологии в области:

обработки естественного языка;

2) технологии работы с большими данными, в том числе в области:

обработки, утилизации данных с использованием машинного обучения;

дескриптивной, прескриптивной, предиктивной и предписывающей аналитики.

IV. Цели установления экспериментального правового режима в соответствии со статьей 3 Федерального закона

8. Целями установления экспериментального правового режима являются:

1) расширение состава, повышение качества или доступности товаров, работ и услуг;

2) обеспечение развития науки и социальной сферы;

3) совершенствование общего регулирования по результатам реализации экспериментального правового режима;

4) создание благоприятных условий для разработки и внедрения цифровых инноваций.

V. Срок действия экспериментального правового режима

9. Срок действия экспериментального правового режима составляет 3 года.

VI. Срок участия субъекта экспериментального правового режима в экспериментальном правовом режиме

10. Срок участия субъекта экспериментального правового режима устанавливается на срок действия экспериментального правового режима.

VII. Территория, в рамках которой устанавливается экспериментальный правовой режим

11. Экспериментальный правовой режим устанавливается на территории Российской Федерации.

VIII. Положения (требования, предписания, запреты, ограничения) отдельных актов общего регулирования, не подлежащие применению в рамках экспериментального правового режима, с указанием реквизитов и структурных единиц нормативных правовых актов, содержащих такие положения (разделов, глав, статей, частей, пунктов, подпунктов, абзацев)

12. Согласно пункту 1 части 1 статьи 6 Федерального закона "О персональных данных" обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, а в соответствии с пунктом 1 части 2 статьи 10 Федерального закона "О персональных данных" обработка специальных категорий персональных данных, касающихся состояния здоровья, - с письменного согласия субъекта персональных данных.

При этом на основании пункта 9.1 части 1 статьи 6 Федерального закона "О персональных данных" обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом, в порядке и на условиях, которые предусмотрены Федеральным законом. В соответствии с частью 2.1 статьи 10 Федерального закона "О персональных данных" обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом, в порядке и на условиях, которые предусмотрены Федеральным законом.

В этой связи порядок и условия обработки персональных данных, полученных в результате обезличивания, устанавливается настоящей Программой, подготовленной в соответствии с Федеральным законом.

IX. Положения (требования, предписания, запреты, ограничения), соблюдение которых является обязательным в соответствии с настоящей Программой, если такие положения не предусмотрены актами общего регулирования или отличаются от них

13. В соответствии с пунктом 9.1 части 1 статьи 6 и частью 2.1 статьи 10 Федерального закона "О персональных данных", пунктом 13.1 части 5 статьи 10 Федерального закона настоящей Программой устанавливаются порядок и условия обработки персональных данных, полученных в результате обезличивания.

В рамках экспериментального правового режима обработка персональных данных, полученных в результате обезличивания, осуществляется в соответствии с требованиями Федерального закона "О персональных данных" с учетом особенностей, установленных настоящей Программой.

14. В рамках экспериментального правового режима субъект экспериментального правового режима вправе обрабатывать без согласия субъекта персональных данных его персональные данные, полученные в результате обезличивания, в том числе персональные данные, полученные в результате обезличивания, которые касаются состояния здоровья, при одновременном соблюдении следующих требований:

1) При обезличивании персональных данных оператором информационной системы используется метод изменения состава или семантики, утвержденный федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, который должен быть реализован в программе для ЭВМ.

При использовании программы для ЭВМ оператором информационной системы не должно осуществляться резервное копирование персональных данных, в том числе персональных данных, полученных в результате обезличивания.

При использовании оператором информационной системы программы для ЭВМ должны соблюдаться следующие условия:

1.1) установка программы для ЭВМ осуществляется у оператора информационной системы;

1.2) субъект экспериментального правового режима не имеет доступа к персональным данным, подлежащим обезличиванию оператором информационной системы с помощью программы для ЭВМ;

1.3) субъект экспериментального правового режима не имеет технологической возможности влиять на функционирование установленной у оператора информационной системы программы для ЭВМ,за исключением обновления программы для ЭВМ.

2) Между оператором информационной системы и субъектом экспериментального правового режима заключается гражданско-правовой договор на обезличивание персональных данных и передачу их в обезличенном виде от оператора информационной системы субъекту экспериментального правового режима.

Субъект экспериментального правового режима и операторы информационных систем свободны в заключении такого договора и определении его условий, при этом в нем обязательно должны содержаться следующие условия:

2.1) о необходимости обезличивания персональных данных исключительно посредством программы для ЭВМ, право использования которой предоставляется субъектом экспериментального правового режима оператору информационной системы на условиях простой (неисключительной) лицензии;

2.2) о недопустимости передачи персональных данных, в отношении которых не применялась процедура обезличивания;

2.3) о недопустимости передачи персональных данных, полученных в результате обезличивания, иным лицам, кроме субъекта экспериментального правового режима;

2.4) об обязанности оператора информационной системы немедленно прекратить использование программы для ЭВМ в случае получения от субъекта экспериментального правового режима соответствующего уведомления;

2.5) для целей минимизации рисков утечки персональных данных, полученных в результате обезличивания, договор должен содержать условие об обязанности оператора информационной системы организовать защищенную передачу персональных данных, полученных в результате обезличивания, субъекту экспериментального правового режима посредством применения VPN-сети, а также об обязанности субъекта экспериментального правового режима оказать оператору информационной системы по соответствующему запросу последнего техническую и организационную поддержку в обеспечении защищенной передачи персональных данных, полученных в результате обезличивания;

2.6) об обязанности сторон использовать программу для ЭВМ в порядке, установленном настоящей Программой;

2.7) об обязанности сторон принимать необходимые меры по обеспечению безопасности персональных данных, полученных в результате обезличивания, при их обработке;

2.8) об ответственности сторон за нарушение указанных выше условий.

3) Обработка персональных данных, полученных в результате обезличивания, в рамках экспериментального правового режима осуществляется без использования программных средств, позволяющих определить принадлежность персональных данных конкретному субъекту персональных данных. В частности, в соответствии с данным требованием в программе для ЭВМ, используемой для обезличивания персональных данных, не могут быть предусмотрены программные средства, позволяющие субъекту экспериментального правового режима определить принадлежность персональных данных конкретному субъекту персональных данных.

4) При обработке указанных в пункте 5 настоящей Программы персональных данных, полученных в результате обезличивания, в рамках экспериментального правового режима не допускается осуществлять обогащение персональных данных, полученных в результате обезличивания.

Под обогащением персональных данных, полученных в результате обезличивания, в рамках настоящей Программы понимается осуществление субъектом экспериментального режима сбора в дополнение к персональным данным, полученным в результате обезличивания, иной информации, использование которой позволяет определить принадлежность указанных персональных данных конкретному субъекту персональных данных.

5) При обработке персональных данных, полученных в результате обезличивания, переданных субъекту экспериментального правового режима оператором информационной системы, субъект экспериментального правового режима обязан соблюдать требования к защите персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных",требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, а также иные требования к обработке персональных данных, полученных в результате обезличивания, установленные актами общего регулирования.

В случаях, когда акты общего регулирования предусматривают обязанность использовать средства защиты информации, прошедшие процедуру оценки соответствия, субъект экспериментального правового режима обязан использовать такие средства защиты информации.

VPN-сеть должна быть организована с использованием средств криптографической защиты информации, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации.

Организация защищенной передачи персональных данных, полученных в результате обезличивания, должна обеспечивать возможность передачи персональных данных, полученных в результате обезличивания, исключительно от оператора информационной системы к субъекту экспериментального правового режима.

Субъект экспериментального правового режима осуществляет обработку персональных данных, полученных в результате обезличивания, на территории Российской Федерации.

Субъект экспериментального правового режима несет предусмотренную законодательством Российской Федерации ответственность за нарушения законодательства в области персональных данных, допущенные им при обработке персональных данных, полученных в результате обезличивания.

Аналитические отчеты, создаваемые субъектом экспериментального правового режима на основе результатов исследований рутинной клинической практики, проведенных с помощью платформенных решений, не должны содержать персональные данные.

X. Оценка рисков причинения вреда жизни, здоровью или имуществу человека либо имуществу юридического лица, ущерба обороне и (или) безопасности государства, иным охраняемым федеральным законом ценностям

15. К рискам, возникающим в связи с реализацией экспериментального правового режима, относятся:

утечка персональных данных, полученных в результате обезличивания;

идентификация субъектов персональных данных, полученных в результате обезличивания.

16. Причиной утечки персональных данных, полученных в результате обезличивания, может стать неправомерный или случайный доступ к обрабатываемым персональным данным, полученным в результате обезличивания.

В случае утечки персональных данных, полученных в результате обезличивания, субъект экспериментального правового режима предпринимает следующие действия:

1) обращается по факту утечки персональных данных, полученных в результате обезличивания, в правоохранительные органы и в орган государственного контроля (надзора);

2) проверяет работоспособность системы обеспечения информационной безопасности, формирует комиссию из числа работников по расследованию обстоятельств утечки персональных данных, полученных в результате обезличивания, и предпринимает все иные возможные действия для установления причин утечки персональных данных, полученных в результате обезличивания. Соответствующая информация также доводится субъектом экспериментального правового режима до сведения правоохранительных органов и органа государственного контроля (надзора);

3) приостанавливает деятельность по сбору новых персональных данных, полученных в результате обезличивания, до выяснения причин утечки персональных данных, полученных в результате обезличивания, и принятия мер по их устранению. Перед возобновлением деятельности по сбору новых персональных данных, полученных в результате обезличивания, субъект экспериментального правового режима уведомляет орган государственного контроля (надзора).

17. В случае идентификации субъектов персональных данных, полученных в результате обезличивания, субъект экспериментального правового режима устанавливает причину реализации такого риска: сбой программы для ЭВМ или неправильное использование программы для ЭВМ.

В случае идентификации субъектов персональных данных, полученных в результате обезличивания, персональные данные, обезличенные ненадлежащим образом, подлежат немедленному уничтожению субъектом экспериментального правового режима в порядке, аналогичном установленному в случае прекращения статуса субъекта экспериментального правового режима.

В случае идентификации субъектов персональных данных, полученных в результате обезличивания, субъект экспериментального правового режима доводит информацию о реализации указанного риска до сведения органа государственного контроля (надзора).

18. В случае сбоя программы для ЭВМ субъект экспериментального правового режима:

1) направляет всем лицам, использующим программу для ЭВМ с целью обезличивания персональных данных, требование о немедленной приостановке использования программы для ЭВМ до выявления причины программного сбоя и обновления программы для ЭВМ (при необходимости);

2) устанавливает причину сбоя в программе для ЭВМ и предпринимает меры для ее устранения;

3) после устранения сбоя в программе для ЭВМ направляет соответствующее уведомление в адрес уполномоченного органа, органа государственного контроля (надзора) и операторов информационных систем.

19. В случае неправильного использования программы для ЭВМ субъект экспериментального правового режима:

1) направляет оператору информационной системы, который неправильно использовал программу для ЭВМ, требование о немедленной приостановке использования программы для ЭВМ до проведения субъектом экспериментального правового режима дополнительного инструктажа такого оператора информационной системы о надлежащих способах использования программы для ЭВМ;

2) выясняет причины неправильного использования программы для ЭВМ оператором информационной системы (например, недостаточно удобный интерфейс) и принимает меры для устранения таких причин путем обновления программы для ЭВМ;

3) после обновления программы для ЭВМ направляет соответствующее уведомление в адрес уполномоченного органа, органа государственного контроля (надзора) и операторов информационных систем.

XI. Меры, направленные на минимизацию рисков, указанных в разделе X настоящей Программы, являющиеся обязательными для субъекта экспериментального правового режима

20. В целях минимизации указанных в разделе X настоящей Программы рисков субъект экспериментального правового режима обязан принять следующие меры:

1) в части предотвращения сбоев программы для ЭВМ, используемой для обезличивания персональных данных, осуществлять постоянный мониторинг функционирования такой программы, проводить ее регулярное тестирование и разрабатывать ее обновления;

2) в части предотвращения неправильного использования программы для ЭВМ, используемой для обезличивания персональных данных, обеспечивать техническую и консультативную поддержку пользователей такой программы в рабочие дни с 9:00 до 18:00, осуществлять прием обращений на адрес электронной почты субъекта экспериментального правового режима, размещенный на официальном сайте субъекта экспериментального правового режима в информационно-телекоммуникационной сети "Интернет", в круглосуточном режиме 7 дней в неделю, а также при предоставлении права использования указанной программы обеспечивать оператора информационной системы пошаговой инструкцией по использованию такой программы;

3) в части предотвращения утечки персональных данных, полученных в результате обезличивания, использовать систему обеспечения информационной безопасности, включающую в себя следующие элементы:

контроль доступа;

антивирусная защита;

резервное копирование;

инцидент-менеджмент;

риск-менеджмент.

3.1) С целью контроля доступа субъект экспериментального правового режима обеспечивает:

физический доступ в помещения, в которых находятся серверы, используемые при обработке персональных данных, полученных в результате обезличивания, посредством СКУД с использованием считывателей биометрической информации;

внесение записей в журнал СКУД в электронной форме о перемещениях между помещениями, в которых находятся серверы, используемые при обработке персональных данных, полученных в результате обезличивания;

предоставление доступа только заранее определенному персоналу в помещения, в которых находятся серверы, используемые при обработке персональных данных, полученных в результате обезличивания;

разграничение зон доступа (при наличии), присутствие охраны и ведение видеонаблюдения в помещениях, в которых находятся серверы, используемые при обработке персональных данных, полученных в результате обезличивания;

разграничение доступа к информационным ресурсам и использование средств поддержки управления учетными записями пользователей;

направление уведомлений о значимых событиях в системе обеспечения информационной безопасности (например, изменение пароля) техническому персоналу.

3.2) Субъект экспериментального правового режима обеспечивает применение современных продуктов комплексной антивирусной защиты, управляемой централизованно. Инженер по защите информации субъекта экспериментального правового режима получает отчеты о проверках, статусе обновлений и вирусной активности.

3.3) Базы данных копируются (резервируются) субъектом экспериментального правового режима средствами сервера с установленной системой управления базами данных со следующей периодичностью:

ежедневно делается дифференциальная копия с периодом хранения 30 дней;

ежемесячно делается полная копия с периодом хранения 1 год.

Виртуальные машины копируются (резервируются) субъектом экспериментального правового режима специализированными средствами для резервного копирования виртуальных машин и (или) средствами системы хранения данных со следующей периодичностью:

ежемесячно делается полная копия с периодом хранения 2 месяца.

Файловые ресурсы копируются (резервируются) специализированными средствами для резервного копирования файловых ресурсов и (или) средствами операционной системы со следующей периодичностью:

ежедневно делается дифференциальная копия с периодом хранения 1 месяц;

ежемесячно делается полная копия с периодом хранения 3 месяца.

3.4) Технический персонал субъекта экспериментального правового режима получает посредством электронной почты и (или) иных электронных средств коммуникации уведомления обо всех значимых событиях, связанных с функционированием оборудования, включая доступность сетевых ресурсов, нагрузку на основные узлы, наличие свободного дискового пространства.

Субъектом экспериментального правового режима обеспечивается использование систем мониторинга состояния оборудования.

3.5) В рамках риск-менеджмента анализ возможных рисков осуществляется ежегодно. Результатом анализа возможных рисков становится изменение и дополнение операционных процедур.

XII. Перечень субъектов экспериментального правового режима (наименование, основной государственный регистрационный номер - для государственного органа, органа местного самоуправления или юридического лица; фамилия, имя, отчество (при наличии), основной государственный регистрационный номер индивидуального предпринимателя - для индивидуального предпринимателя)

21. Субъектом экспериментального правового режима является общество с ограниченной ответственностью "ДАТА МАТРИКС" (ОГРН 1117847061309).

XIII. Перечень требований, предъявляемых к субъекту (субъектам) экспериментальных правовых режимов, которым они должны соответствовать наряду с требованиями, предусмотренными пунктами 1 - 4 части 1 статьи 8 Федерального закона

22. Дополнительные требования к субъекту (субъектам) экспериментального правового режима настоящей Программой не устанавливаются.

XIV. Указание на возможность присоединения новых субъектов к экспериментальному правовому режиму, порядок такого присоединения

23. Возможность присоединения новых субъектов к экспериментальному правовому режиму отсутствует.

XV. Основания и сроки приостановления статуса субъекта экспериментального правового режима в соответствии с частью 1 статьи 12 Федерального закона

24. Статус субъекта экспериментального правового режима приостанавливается в следующих случаях:

1) непредставление субъектом экспериментального правового режима отчета о деятельности в рамках реализации экспериментального правового режима в соответствии с требованиями и сроками, предусмотренными разделами XXV и XXIX настоящей Программы, а также предоставление неполной или недостоверной информации для отчета о деятельности в рамках реализации экспериментального правового режима. Статус субъекта экспериментального правового режима приостанавливается до момента предоставления отчета о деятельности в рамках реализации экспериментального правового режима или предоставления уточненного отчета;

2) выявление не менее 1 нарушения, указанного в разделах XVIII и (или) XIX настоящей Программы, которое было допущено субъектом экспериментального правового режима, в соответствии с подпунктом "б" пункта 2 Положения о принятии Министерством экономического развития Российской Федерации решения о приостановлении или прекращении статуса субъекта экспериментального правового режима в сфере цифровых инноваций в экспериментальном правовом режиме в сфере цифровых инноваций и об уведомлении субъекта экспериментального правового режима в сфере цифровых инноваций о принятии такого решения, утвержденного постановлением Правительства Российской Федерации от 19 ноября 2020 г. N 1888. Статус субъекта экспериментального правового режима приостанавливается до устранения выявленных нарушений субъектом экспериментального правового режима в соответствии с подпунктом "б" пункта 2 Положения о принятии Министерством экономического развития Российской Федерации решения о приостановлении или прекращении статуса субъекта экспериментального правового режима в сфере цифровых инноваций в экспериментальном правовом режиме в сфере цифровых инноваций и об уведомлении субъекта экспериментального правового режима в сфере цифровых инноваций о принятии такого решения, утвержденного постановлением Правительства Российской Федерации от 19 ноября 2020 г. N 1888.

XVI. Основания возобновления статуса субъекта экспериментального правового режима

25. Статус субъекта экспериментального правового режима возобновляется по следующим основаниям:

1) предоставление отчета о деятельности в рамках реализации экспериментального правового режима в соответствии с требованиями, установленными разделами XXV и XXIX настоящей Программы, или предоставление уточненного отчета, содержащего полную и достоверную информацию о деятельности в рамках экспериментального правового режима (в случае, если статус субъекта экспериментального правового режима приостанавливается по основанию, указанному в подпункте 1 пункта 24 настоящей Программы);

2) получение информации от органа государственного контроля (надзора) об устранении выявленных нарушений, критерии которых указаны в разделах XVIII и (или) XIX настоящей Программы, в соответствии с абзацем вторым пункта 8 Положения о принятии Министерством экономического развития Российской Федерации решения о приостановлении или прекращении статуса субъекта экспериментального правового режима в сфере цифровых инноваций в экспериментальном правовом режиме в сфере цифровых инноваций и об уведомлении субъекта экспериментального правового режима в сфере цифровых инноваций о принятии такого решения, утвержденного постановлением Правительства Российской Федерации от 19 ноября 2020 г. N 1888 (в случае, если статус субъекта экспериментального правового режима приостанавливается по основанию, указанному в подпункте 2 пункта 24 настоящей Программы).

XVII. Основания и сроки прекращения статуса субъекта экспериментального правового режима в соответствии с частью 2 статьи 12 Федерального закона

26. Статус субъекта экспериментального правового режима прекращается по основаниям, указанным в пунктах 1, 2, подпунктах "а" - "в" пункта 3 части 2 статьи 12 Федерального закона.

Сроки прекращения статуса установлены Положением о принятии Министерством экономического развития Российской Федерации решения о приостановлении или прекращении статуса субъекта экспериментального правового режима в сфере цифровых инноваций в экспериментальном правовом режиме в сфере цифровых инноваций и об уведомлении субъекта экспериментального правового режима в сфере цифровых инноваций о принятии такого решения, утвержденного постановлением Правительства Российской Федерации от 19 ноября 2020 г. N 1888.

XVIII. Критерии нарушения положений настоящей Программы

27. Критериями нарушения положений настоящей программы являются:

1) нарушение требований разделов III, VII, X, XI, XXII, XXVI, XXVII, XXX настоящей Программы;

2) несоответствие субъекта экспериментального правового режима требованиям, установленным частью 1 статьи 8 Федерального закона.

XIX. Критерии грубого нарушения положений программы экспериментального правового режима

28. Грубым нарушением положений настоящей Программы является нарушений требований раздела IX настоящей Программы.

XX. Основания и сроки приостановления действия экспериментального правового режима в соответствии с частью 1 статьи 16 Федерального закона

29. Действие экспериментального правового режима приостанавливается по основаниям, указанным в пунктах 1 и 2 части 1 статьи 16 Федерального закона.

Срок приостановления действия экспериментального правового режима устанавливается в соответствии с пунктом 6 Правил приостановления действия экспериментального правового режима в сфере цифровых инноваций, прекращения действия экспериментального правового режима в сфере цифровых инноваций, уведомления субъекта экспериментального правового режима в сфере цифровых инноваций или субъектов экспериментального правового режима в сфере цифровых инноваций о приостановлении или прекращении действия экспериментального правового режима в сфере цифровых инноваций, утвержденных постановлением Правительства Российской Федерации от 15 декабря 2020 г. N 2116.

XXI. Основания досрочного прекращения действия экспериментального правового режима в соответствии с частью 2 статьи 17 Федерального закона

30. Действие экспериментального правового режима досрочно прекращается по основаниям, указанным в пункте 1, абзацах первом-четвертом подпункта "а", подпункте "б" пункта 2 части 2 статьи 17 Федерального закона.

XXII. Порядок использования продукции, произведенной и апробируемой в условиях экспериментального правового режима (порядок использования цифровой инновации)

31. На основе результатов проведенных с помощью платформенных решений исследований рутинной клинической практики с использованием технологий искусственного интеллекта и (или) работы с большими данными субъект экспериментального правового режима создает аналитические отчеты о сравнительной эффективности и безопасности лекарственной терапии и (или) об этапах и (или) тяжести протекания заболеваний.

Аналитические отчеты могут быть использованы субъектом экспериментального правового режима в хозяйственных и (или) научно-исследовательских целях, в частности для анализа фармакоэкономики. В указанных целях субъект экспериментального правового режима может предоставлять на возмездной основе аналитические отчеты медицинским, фармацевтическим, контрактным исследовательским организациям, организациям, осуществляющим разработку программного обеспечения на основе технологий искусственного интеллекта и (или) работы с большими данными, а также физическим лицам, заинтересованным в результатах исследований рутинной клинической практики с использованием технологий искусственного интеллекта и (или) работы с большими данными по конкретному заболеванию.

XXIII. Указание на федеральный орган исполнительной власти, осуществляющий функции по выработке государственной политики и нормативному правовому регулированию по направлению экспериментального правового режима

32. Федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативному правовому регулированию по направлению экспериментального правового режима, является Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.

XXIV. Указание на орган или органы, осуществляющие контрольные (надзорные) функции в рамках экспериментального правового режима, а также на порядок осуществления этих функций, в том числе на порядок организации и проведения проверок соблюдения положений настоящей Программы

33. Органом, осуществляющим контрольные (надзорные) функции в рамках экспериментального правового режима, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

34. Устанавливаются следующие виды проведения контрольных (надзорных) мероприятий:

документарная проверка;

выездная проверка;

инспекционный визит.

35. Основанием для проведения контрольных (надзорных) мероприятий может быть:

наступление сроков проведения контрольных (надзорных) мероприятий, предусмотренных настоящей Программой;

поступление в орган государственного контроля (надзора) обоснованных сведений о фактах возникновения риска утечки персональных данных, полученных в результате обезличивания, и (или) идентификации субъектов персональных данных, полученных в результате обезличивания, либо о реализации таких рисков;

поступление в орган государственного контроля (надзора) обоснованных сведений о предоставлении неполной или недостоверной информации для отчета о деятельности в рамках реализации экспериментального правового режима;

поступление в орган государственного контроля (надзора) обоснованных сведений о нарушениях положений, предусмотренных разделами XVIII и (или) XIX настоящей Программы;

поступление в орган государственного контроля (надзора) обоснованных сведений о наличии оснований прекращения статуса субъекта экспериментального правового режима, приостановления или прекращения действия экспериментального правового режима, предусмотренных разделами XVII, XX или XXI настоящей Программы.

36. Срок проведения документарной проверки не может превышать 10 рабочих дней.

Срок проведения выездной проверки не может превышать 10 рабочих дней.

Срок проведения инспекционного визита не может превышать один рабочий день.

Плановая документарная проверка проводится с периодичностью один раз в календарном году.

Внеплановая документарная проверка проводится при наличии оснований, указанных в абзацах третьем - шестом пункта 35 настоящей Программы.

Периодичность проведения инспекционных визитов и выездных проверок не устанавливается, данные контрольные (надзорные) мероприятия проводятся при наличии оснований, указанных в абзацах третьем - шестом пункта 35 настоящей Программы.

В случаях, установленных абзацами пятым и шестым настоящего пункта, вид проведения контрольного (надзорного) мероприятия устанавливается органом государственного контроля (надзора).

XXV. Требования к оценке эффективности и результативности экспериментального правового режима, в том числе показатели (наименование и плановое значение), в соответствии с которыми проводится такая оценка

37. Настоящей Программой устанавливаются следующие показатели, в соответствии с которыми проводится оценка эффективности и результативности реализации экспериментального правового режима, рассчитываемые за весь срок действия экспериментального правового режима и (или) за период представления сведений для целей проведения мониторинга экспериментального правового режима, оценки эффективности и результативности реализации экспериментального правового режима, установленный разделом XXIX настоящей Программы, и плановые значения таких показателей:

1) количество проведенных исследований рутинной клинической практики с использованием технологий искусственного интеллекта и (или) работы с большими данными (далее для целей настоящего показателя - исследования);

за весь срок действия экспериментального правового режима - не менее 10 проведенных исследований;

за первый отчетный период - не менее 1 проведенного исследования;

за второй отчетный период - не менее 1 проведенного исследования;

за третий отчетный период - не менее 1 проведенного исследования;

за четвертый отчетный период - не менее 2 проведенных исследований;

за пятый отчетный период - не менее 2 проведенных исследований;

за шестой отчетный период - не менее 3 проведенных исследований;

2) количество сформированных записей в массиве обезличенных данных;

за весь срок действия экспериментального правового режима - не менее 50 000 сформированных записей в массиве обезличенных данных;

за первый отчетный период - не менее 1 500 сформированных записей в массиве обезличенных данных;

за второй отчетный период - не менее 3 500 сформированных записей в массиве обезличенных данных;

за третий отчетный период - не менее 4 500 сформированных записей в массиве обезличенных данных;

за четвертый отчетный период - не менее 10 500 сформированных записей в массиве обезличенных данных;

за пятый отчетный период - не менее 9 000 сформированных записей в массиве обезличенных данных;

за шестой отчетный период - не менее 21 000 сформированных записей в массиве обезличенных данных;

3) количество аналитических отчетов по результатам исследований рутинной клинической практики с использованием технологий искусственного интеллекта и (или) работы с большими данными о сравнительной эффективности и безопасности лекарственной терапии и (или) об этапах и (или) тяжести протекания заболеваний (далее для целей настоящего показателя - аналитические отчеты);

за весь срок действия экспериментального правового режима - не менее 10 аналитических отчетов;

за первый отчетный период - не менее 1 аналитического отчета;

за второй отчетный период - не менее 1 аналитического отчета;

за третий отчетный период - не менее 1 аналитического отчета;

за четвертый отчетный период - не менее 2 аналитических отчетов;

за пятый отчетный период - не менее 2 аналитических отчетов;

за шестой отчетный период - не менее 3 аналитических отчетов;

4) снижение расходов на проведение исследований рутинной клинической практики, в процентах;

за весь срок действия экспериментального правового режима - не менее 35%.

XXVI. Способы информирования субъектом экспериментального правового режима лиц, выражающих намерение вступить с ним в правоотношения в рамках экспериментального правового режима, о наличии и содержании экспериментального правового режима, в том числе об отличиях специального регулирования, предусмотренного настоящей Программой и подлежащего применению к указанным отношениям, от общего регулирования

38. Субъект экспериментального правового режима информирует лиц, выражающих намерение вступить с ним в правоотношения в рамках экспериментального правового режима (далее - контрагенты), о наличии и содержании экспериментального правового режима, в том числе об отличиях специального регулирования, предусмотренного настоящей Программой и подлежащего применению к указанным отношениям, от общего регулирования, путем направления контрагентам письменного уведомления с указанием на факт наличия экспериментального правового режима, описанием его содержания и отличий специального регулирования от общего, а также по соответствующему запросу контрагента путем включения соответствующих положений в договоры с контрагентами.

XXVII. Указание на необходимость дополнительных опубликования субъектом экспериментального правового режима в средствах массовой информации и размещения в информационно-телекоммуникационной сети "Интернет" информации об установлении и о содержании экспериментального правового режима, в том числе об отличиях специального регулирования, предусмотренного настоящей Программой, от общего регулирования, а также на необходимость нанесения соответствующей информации на товары, производимые в рамках экспериментального правового режима, размещения такой информации перед въездами (проходами) на территорию действия экспериментального правового режима, перед входами в помещения, в которых выполняются работы, оказываются услуги в рамках указанного экспериментального правового режима

39. Субъектом экспериментального правового режима публикуется на его официальном сайте в информационно-телекоммуникационной сети "Интернет" информация об установлении экспериментального правового режима и его содержании, в том числе об отличиях специального регулирования, предусмотренного настоящей Программой, от общего регулирования.

XXVIII. Указание на необходимость (отсутствие такой необходимости) страхования субъектом экспериментального правового режима гражданской ответственности за причинение вреда жизни, здоровью или имуществу человека либо имуществу юридического лица при реализации экспериментального правового режима

40. Необходимость страхования гражданской ответственности субъекта экспериментального правового режима за причинение вреда жизни, здоровью или имуществу человека либо имуществу юридического лица при реализации экспериментального правового режима отсутствует.

XXIX. Периодичность представления сведений для целей проведения мониторинга экспериментального правового режима, оценки эффективности и результативности реализации экспериментального правового режима

41. Сведения для целей проведения мониторинга экспериментального правового режима, оценки эффективности и результативности реализации экспериментального правового режима представляются с периодичностью раз в полгода в срок не позднее последнего рабочего дня календарного месяца, следующего за отчетным полугодием.

XXX. Порядок и условия обезличивания и последующей обработки субъектом экспериментального правового режима персональных данных при условии обязательного обезличивания персональных данных, если экспериментальный правовой режим предусматривает обработку субъектом экспериментального правового режима персональных данных, полученных в результате обезличивания, с учетом требований, предусмотренных пунктом 13.1 части 5 статьи 10 Федерального закона

42. Метод изменения состава или семантики считается реализованным, если в программе для ЭВМ обеспечивается следующая последовательность обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта персональных данных:

выделение атрибутов персональных данных путем определения набора правил поиска. Набор правил поиска основывается на отличительных признаках данных, подлежащих обобщению, изменению или удалению;

обобщение, изменение или удаление данных, обладающих заданными атрибутами, что приводит к обезличиванию.

Программное обеспечение, предоставляемое субъектом экспериментального правового режима операторам информационных систем для обезличивания персональных данных, предназначено для автоматического обезличивания персональных данных методом изменения состава или семантики. В указанном программном обеспечении реализованы технологии искусственного интеллекта в области обработки естественного языка.

43. Программа для ЭВМ используется оператором информационной системы в следующем порядке:

1) документы и иные материалы, содержащие персональные данные, загружаются в программу для ЭВМ, установленную у оператора информационной системы;

2) программа для ЭВМ автоматически сканирует все загруженные документы и иные материалы, выявляя в них информацию, идентифицирующую субъекта персональных данных. Такая информация в зависимости от заданных параметров подлежит обобщению, изменению или удалению. Отдельные информационные элементы помечаются программой для ЭВМ как требующие дополнительной проверки работником оператора информационной системы (сомнительный информационный элемент);

3) оператору информационной системы программа для ЭВМ предлагает проверить сомнительные информационные элементы и подтвердить необходимость их обобщения, изменения или удаления;

4) завершающим этапом работы программы для ЭВМ является формирование набора персональных данных, полученных в результате обезличивания, который может быть передан субъекту экспериментального правового режима с учетом требований настоящей Программы.

44. В соответствии с пунктом 13.1 части 5 статьи 10 Федерального закона:

персональные данные, полученные в результате обезличивания и обрабатываемые субъектом экспериментального правового режима, не могут быть переданы иным лицам;

в случае прекращения статуса субъекта экспериментального правового режима субъект экспериментального правового режима утрачивает право на обработку персональных данных, полученных в результате обезличивания, а хранящиеся у него персональные данные, полученные в результате обезличивания, подлежат уничтожению в порядке, установленном федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий;

для уничтожения персональных данных, полученных в результате обезличивания, применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.