EU Data Act: що варто враховувати фармацевтичному бізнесу при роботі з даними

Закон, ухвалений Єврокомісією, став обов’язковим до виконання цієї осені, що змусило багатьох європейських підприємців переглянути підходи до управління даними. Втім, його норми імплементуватимуться поетапно.

Суть регулювання

EU Data Act є частиною загальної стратегії Європейської Комісії із захисту даних і доповнює Регламент про управління даними (Data Governance Act) запропонований у листопаді 2020 року та чинний з вересня 2023 року. Основна мета — забезпечити справедливіший розподіл даних між учасниками цифрової економіки та більшу доступність даних для повторного використання.

Закон перерозподіляє контроль над даними: від великих виробників і хмарних провайдерів — до користувачів підключених продуктів і послуг, а також до малих і середніх підприємств. Це означає, що компанії більше не можуть монополізувати дані, що генеруються їхніми пристроями.

Ключові положення: що змінилося для бізнесу

• Доступ до даних за дизайном — підключені пристрої та IoT-сервіси повинні проєктуватися так, щоб дані були легко доступні користувачам. Наприклад, «розумний» холодильник для зберігання вакцин має надавати аптеці чи лікарні прямий доступ до логів температури без необхідності звертатися до виробника.
• Спрощення переходу між хмарними платформами — провайдери зобовʼязані підтримувати інтероперабельність (можливість створення систем з довільних неоднорідних, розподілених компонентів на базі уніфікованих інтерфейсів або протоколів) через відкриті стандарти. Зокрема, клієнти матимуть змогу розірвати договір з двомісячним попередженням незалежно від мінімального терміну контракту, а плата за перехід скасовується.
• Передача даних державним органам — у надзвичайних ситуаціях (епідемії, кризи) компанії повинні бути готові надавати дані органам влади. Щоправда, зазначається, що такі запити мають бути пропорційними та обмежуватися мінімально необхідним обсягом даних.
• Захист комерційної таємниці — регламент передбачає механізми захисту конфіденційної бізнес-інформації при обміні даними. Якщо виникає ризик для безпеки чи комерційної таємниці, власник даних може призупинити або обмежити доступ, повідомивши про це компетентний орган.

Що це означає для фармацевтичної галузі

Фармацевтичний бізнес активно впроваджує IoT-рішення: від «розумних» холодильників для зберігання вакцин до систем моніторингу температури на фармацевтичних складах, від пристроїв для дистанційного моніторингу пацієнтів (RPM) до автоматизованих систем обліку лікарських засобів.

Виробники медичних пристроїв та обладнання тепер зобовʼязані забезпечити користувачам (лікарням, аптекам, пацієнтам) доступ до даних, що генеруються їхніми пристроями. Це стосується телеметрії, даних про використання, показників ефективності. Наприклад, виробник інсулінової помпи має надати пацієнту та його лікарю повний доступ до історії дозування та показників глюкози у доступному форматі.

Дистрибʼютори та аптечні мережі отримують можливість запитувати дані від постачальників обладнання для оптимізації логістики, прогнозування попиту та покращення управління запасами. Водночас вони повинні бути готові ділитися власними даними з державними органами в разі надзвичайних ситуацій.

Хмарні сервіси для управління аптечними мережами чи фармацевтичними складами підпадають під нові вимоги щодо портабельності даних. Клієнти повинні мати можливість легко переносити свої дані між провайдерами.

EU Data Act додає ще один рівень регуляторних вимог для компаній, які вже працюють в умовах суворого регулювання фармацевтичного ринку. Закон діє паралельно з GDPR (захист персональних даних), Директивою NIS2 (кібербезпека), а також Законом про цифрові послуги та Законом про цифрові ринки.

Особливу увагу слід звернути на взаємодію EU Data Act і GDPR. Коли йдеться про персональні дані (наприклад, дані про здоровʼя пацієнтів), пріоритет залишається за GDPR. Однак для неперсональних даних (технічна телеметрія, дані про роботу обладнання) застосовуються вимоги нового закону. За порушення EU Data Act у частині персональних даних застосовуються штрафи рівня GDPR: до 20 мільйонів євро або 4% глобального обороту.

Експерти зазначають, що правила транскордонної передачі неперсональних даних можуть створювати додаткове адміністративне навантаження без відповідного підвищення безпеки. Особливо це стосується компаній, що працюють зі змішаними наборами даних — коли частина даних є персональними, а частина — ні.

Паралелі з українським законодавством

Хоча Україна поки не має прямого аналога EU Data Act, компанії, що розраховують працювати на експорт до ЄС або планують вихід цей ринок, повинні враховувати вимоги європейського законодавства вже сьогодні.

Загалом, Україна активно гармонізує своє законодавство з європейськими стандартами у сфері даних та цифрових послуг, де регуляторне середовище формують три ключові нормативні акти.

Закон «Про цифровий контент та цифрові послуги». Набув чинності у березні 2024 року, гармонізований з Директивою ЄС 2019/770. Регулює відносини щодо надання цифрового контенту та послуг, у тому числі ситуації, коли споживач надає свої персональні дані в обмін на послугу. Передбачає штрафи за порушення прав споживачів — до 300% вартості наданих послуг.

Законопроєкт №8153 «Про захист персональних даних». Прийнятий у першому читанні в листопаді 2024 року, цей закон має на меті привести українські норми у відповідність до вимог GDPR та Конвенції 108+. Документ запроваджує нові визначення персональних, біометричних та генетичних даних, встановлює підстави для обробки даних, вводить обовʼязкове призначення відповідальної особи за захист даних та нові розміри штрафів. Наразі законопроєкт готується до другого читання; очікується, що фінальну версію ухвалять у 2025 році.

Технічні регламенти медичних виробів. У 2025 році Україна готує нові технічні регламенти, гармонізовані з MDR (Регламент ЄС 2017/745) та IVDR (Регламент ЄС 2017/746). Вони передбачають підвищені вимоги до технічної документації, цифрової реєстрації медичних виробів, UDI-маркування та післяпродажного моніторингу ефективності. Очікувана дата введення в дію — 31 грудня 2030 року.

Практичні кроки

Експерти радять фармацевтичному бізнесу вже зараз:

• Провести аудит послуг обробки даних — визначити, які IoT-пристрої та цифрові сервіси використовуються, які дані вони генерують і хто має до них доступ, а також створити централізований реєстр усіх продуктових та користувацьких даних із зазначенням форматів, місць зберігання та відповідальних осіб.
• Оновити договірні умови — чітко визначити права доступу до даних, як вони зберігаються та як користувачі можуть їх отримати
• Впровадити принцип «доступ за дизайном» — для нових пристроїв і сервісів забезпечити вбудовані механізми доступу до даних; адаптувати процеси розробки для забезпечення доступу до даних та підготувати сценарії виходу з хмарних сервісів.
• Створити процеси обробки запитів — бути готовими ефективно обробляти запити на дані від користувачів, третіх сторін чи державних органів
• Визначити механізми захисту комерційної таємниці — встановити, яка інформація є конфіденційною та як її захищати при обміні даними
• Скористатися новими можливостями — відстежувати регуляторні оновлення, включаючи модельні контрактні положення, які Єврокомісія розробляє для спрощення комплаєнсу: закон створює умови для залучення клієнтів, які переходять від великих гравців, та для розробки інноваційних сервісів на основі даних.

Загалом, EU Data Act — це не лише додаткове регуляторне навантаження, а й інструмент, що може змінити конкурентний ландшафт на користь тих компаній, які швидше адаптуються. Хоча основні положення вже є обовʼязковими з вересня 2025 року, повна імплементація триватиме до 2027 року, що дає компаніям час на підготовку – і її варто починати вже зараз. Для українського бізнесу, що прагне працювати на ринку ЄС, розуміння цих вимог стає не просто бажаним, а необхідним.

Як зазначають експерти, спрощені правила даних, кращий захист комерційної таємниці та збалансований підхід до міжнародних потоків даних допоможуть компаніям конкурувати на глобальному рівні, стимулюватимуть інновації та забезпечать, щоб переваги цифрової економіки дісталися всім учасникам ринку.