DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Цель оправдывает средства?

 

30 сентября 2021 г. на сайте британской юридической фирмы Mishcon de Reya появилась информация о том, что фирма предъявила иск к компаниям Google и DeepMind от имени Эндрю Призмалла и еще примерно 1,6 миллиона пациентов, чьи данные о здоровье компании обрабатывали без их согласия ради создания приложения Streams – инструмента для прогнозирования острой почечной недостаточности. Но только ли для этой цели использовались данные? 

 

health

 

Все начиналось здорово…, но что-то пошло не так 

 

В 2015 году компания DeepMind (принадлежит группе компаний Google и занимается разработками в сфере искусственного интеллекта) заключила договор с Royal Free London NHS Foundation Trust (отделение Национальной службы здравоохранения Великобритании, включающее в себя 3 больницы) о сотрудничестве и передаче данных. По этому соглашению команда DeepMind получала от Royal Free London псевдонимизированные данные пациентов для обучения нейросети приложения Streams, которое помогало врачам предсказывать случаи острой почечной недостаточности.  

 

doctors

 

Однако, как обнаружило издание New Scientist, соглашение между Royal Free London и DeepMind предусматривало передачу гораздо большего объема данных. Поскольку отдельных датасетов, включающих данные только о пациентах с болезнями почек, создано не было, «младшая сестренка» компании Google обрабатывала данные обо всех пациентах и истории их обращения за медицинской помощью за последние 5 лет (включая анамнез, собираемый врачами за более длительный срок). В результате система «проглатывала» данные в том числе о проведенных абортах, ВИЧ-статусе, превышении дозы наркотиков и алкоголя и т.д. Это было вполне ожидаемо: помимо работы над Streams, договор также предусматривал разработку платформы Patient Rescue, которая предоставляла бы услуги аналитики больницам, входящим в Национальную службу здравоохранения Британии. Эта платформа могла бы использоваться для разработки разных приложений, предназначенных для прогнозирования других острых состояний на основе данных миллионов пациентов. В качестве одной из сфер потенциального применения этой платформы рассматривалась профилактика сепсиса, от которого в Соединенном Королевстве ежегодно умирает около 31 000 человек. 

 

Дело закрыто. А закрыто ли? 

 

После расследования New Scientist, которое было опубликовано в 2016 г., соглашением между Royal Free London и DeepMind заинтересовался ICO (британский надзорный орган). По его мнению, этот документ не отвечал стандартам приватности, особенно при обработке данных о здоровье, однако Национальная служба здравоохранения отделалась легким испугом и предписаниями: оценить воздействие дальнейших исследований на приватность, найти способ информирования пациентов об исследованиях и т.д. Надо сказать, что, выдав рекомендации службе здравоохранения, ICO не коснулся в своем решении ни DeepMind, ни Google. 

 

медицина

 

Казалось бы, все облегченно выдохнули. Но, увы, отголоски этой истории настигли тех. гиганта через 5 лет, когда один из пациентов, Эндрю Призмалл, решил обратиться к компаниям с иском о нарушении правил обработки его персональных данных. Зачем это нужно и почему именно сейчас? Как заявляет сам Эндрю, он был весьма обеспокоен, когда узнал что Google имеет доступ к его истории болезни. «Когда вы пациент, проходящий курс лечения, последнее, о чем вы думаете, – это то, что ваши данные о здоровье станут достоянием одной из крупнейших технологических компаний мира. Я надеюсь, в этом деле мы добьемся справедливого решения для всех пациентов, чьи конфиденциальные данные были получены без их ведома и согласия».  

 

Мораль сей басни такова… 

 

Хотя думать о настройках приватности вашего продукта или нюансах отношений с партнерами никогда не поздно, лучше все же это делать пораньше, потому что Google ничего не забывает (пользователи, клиенты и пациенты, видимо, тоже). Чем раньше продукт станет privacy-friendly, тем меньше рисков того, что «дела давно минувших дней», когда приватность еще не была для вас приоритетом, настигнут вас через несколько лет. «Береги честь смолоду», – кажется, этот принцип еще никогда не был настолько актуален. 

Автор:
Анастасия Пархимович
Анастасия Пархимович LLM, GDPR DPP
Профессионал в области информационной приватности по GDPR
GDPR Consultant
Расписание курсов загружается, подожди несколько секунд