EU Data Act: что придется учитывать фармацевтическому бизнесу при работе с данными

Закон, принятый Еврокомиссией, стал обязательным к исполнению этой осенью, что заставило многих европейских предпринимателей пересмотреть подходы к управлению данными.

Суть регулирования

EU Data Act является частью общей стратегии Европейской Комиссии по защите данных и дополняет Регламент об управлении данными (Data Governance Act) от ноября 2020 года. Основная цель — обеспечить более справедливое распределение данных между участниками цифровой экономики и большую доступность данных для повторного использования.

Закон перераспределяет контроль над данными: от крупных производителей и облачных провайдеров — к пользователям подключенных продуктов и услуг, а также к малым и средним предприятиям. Это означает, что компании больше не могут монополизировать данные, генерируемые их устройствами.

Ключевые положения: что изменилось для бизнеса

• Доступ к данным по дизайну — подключенные устройства и IoT-сервисы должны проектироваться так, чтобы данные были легко и безопасно доступны пользователям.

• Упрощение перехода между облачными платформами — провайдеры обязаны поддерживать интероперабельность (возможность создания систем из произвольных неоднородных, распределенных компонентов на базе унифицированных интерфейсов или протоколов) через открытые стандарты.

• Передача данных государственным органам — в чрезвычайных ситуациях (эпидемии, кризисы) компании должны быть готовы предоставлять данные органам власти.

• Защита коммерческой тайны — регламент предусматривает механизмы защиты конфиденциальной бизнес-информации при обмене данными.

Что это значит для фармацевтической отрасли

Фармацевтический бизнес активно внедряет IoT-решения: от «умных» холодильников для хранения вакцин до систем мониторинга температуры на фармацевтических складах, от устройств для дистанционного мониторинга пациентов (RPM) до автоматизированных систем учета лекарственных средств.

Производители медицинских устройств и оборудования теперь обязаны обеспечивать пользователям (больницам, аптекам, пациентам) доступ к данным, генерируемым их устройствами. Это касается телеметрии, данных об использовании, показателей эффективности.

Дистрибьюторы и аптечные сети получают возможность запрашивать данные от поставщиков оборудования для оптимизации логистики, прогнозирования спроса и улучшения управления запасами. В то же время они должны быть готовы делиться собственными данными с государственными органами в случае чрезвычайных ситуаций.

Облачные сервисы для управления аптечными сетями или фармацевтическими складами подпадают под новые требования по портативности данных. Клиенты должны иметь возможность легко переносить свои данные между провайдерами.

EU Data Act добавляет еще один уровень регуляторных требований для компаний, которые уже работают в условиях строгого регулирования фармацевтического рынка. Закон действует параллельно с GDPR (защита персональных данных), Директивой NIS2 (кибербезопасность), а также Законом о цифровых услугах и Законом о цифровых рынках. Особое внимание следует уделить взаимодействию EU Data Act и GDPR. Когда речь идет о персональных данных (например, данные о здоровье пациентов), приоритет остается за GDPR. Однако для неперсональных данных (техническая телеметрия, данные о работе оборудования) применяются требования нового закона.

Эксперты отмечают, что правила трансграничной передачи неперсональных данных могут создавать дополнительную административную нагрузку без соответствующего повышения безопасности. Особенно это касается компаний, работающих со смешанными наборами данных — когда часть данных является персональными, а часть — нет.

Параллели с украинским законодательством

Хотя Украина пока не имеет прямого аналога EU Data Act, компании, рассчитывающие работать на экспорт в ЕС или планирующие выход на этот рынок, должны учитывать требования европейского законодательства уже сегодня.

В целом, Украина активно гармонизирует свое законодательство с европейскими стандартами в сфере данных и цифровых услуг, где регуляторную среду формируют три ключевых нормативных акта.

Закон «О цифровом контенте и цифровых услугах». Вступил в силу в марте 2024 года, гармонизирован с Директивой ЕС 2019/770. Регулирует отношения по предоставлению цифрового контента и услуг, в том числе ситуации, когда потребитель предоставляет свои персональные данные в обмен на услугу. Предусматривает штрафы за нарушение прав потребителей — до 300% стоимости предоставленных услуг.

Законопроект №8153 «О защите персональных данных». Принят в первом чтении в ноябре 2024 года, этот закон направлен на приведение украинских норм в соответствие с требованиями GDPR. Вводит новые определения персональных, биометрических и генетических данных, устанавливает основания для обработки данных, вводит обязательное назначение ответственного лица за защиту данных и новые размеры штрафов.

Технические регламенты медицинских изделий. В 2025 году Украина готовит новые технические регламенты, гармонизированные с MDR (Регламент ЕС 2017/745) и IVDR (Регламент ЕС 2017/746). Они предусматривают повышенные требования к технической документации, цифровой регистрации медицинских изделий, UDI-маркировке и постпродажному мониторингу эффективности. Ожидаемая дата вступления в силу — 31 декабря 2030 года.

Практические шаги

Эксперты советуют фармацевтическому бизнесу уже сейчас:

1. Провести аудит услуг обработки данных — определить, какие IoT-устройства и цифровые сервисы используются, какие данные они генерируют и кто имеет к ним доступ.
2. Обновить договорные условия — четко определить права доступа к данным, как они хранятся и как пользователи могут их получить.
3. Внедрить принцип «доступ по дизайну» — для новых устройств и сервисов обеспечить встроенные механизмы доступа к данным.
4. Создать процессы обработки запросов — быть готовыми эффективно обрабатывать запросы на данные от пользователей, третьих сторон или государственных органов.
5. Определить механизмы защиты коммерческой тайны — установить, какая информация является конфиденциальной и как ее защищать при обмене данными.
6. Воспользоваться новыми возможностями — закон создает условия для привлечения клиентов, переходящих от крупных игроков, и для разработки инновационных сервисов на основе данных.

В целом, EU Data Act — это не только дополнительная регуляторная нагрузка, но и инструмент, который может изменить конкурентный ландшафт в пользу тех компаний, которые быстрее адаптируются. Хотя переходные периоды довольно длительные, подготовку стоит начинать уже сейчас. Для украинского фармацевтического бизнеса, стремящегося работать на европейском рынке, понимание этих требований становится не просто желательным, а необходимым.

Как отмечают эксперты, упрощенные правила данных, лучший защита коммерческой тайны и сбалансированный подход к международным потокам данных помогут компаниям конкурировать на глобальном уровне, стимулировать инновации и обеспечить, чтобы преимущества цифровой экономики достались всем участникам рынка.