Poruszałem już na tym blogu kwestię aplikacji zdrowotnych. Prawdopodbnie będę też do tego zagadnienia wielokrotnie wracał. Zachęcam do zapoznania się z nimi poprzez kliknięcie w przypisany do tego wpisu tag/kategorię „Zdrowie”, ponieważ nie powtarzam róznych problemów, ale czasami, aby zrozumieć jeden z nich, trzeba uwzględnić szerszy kontekst. Ten szerszy kontekst tworzy zaś włąsnie zbiór wpisów na tym blogu:)
Dlaczego zająłem się tym tematem? Uważam, że tego typu apki „mają przyszłość”, dlatego przepisy prawne powinny wspierać ich rozwój. Niestety tak nie jest. Obecnie obowiązujące prawo troche innaczej postrzegało cele przetwarzania danych zdrowotnych. Można śmiało założyć, że twórcy ustawy o ochronie danych osobowych nie mieli wyobrażenia, że dane zdrowtne mogą być przetwarzana w celach „samoleczenia”, a zatem służyć głównie osobie, której te dane dotyczą. Samoleczenie nie wyklucza przy tym, że właściciel apki w jakiś sposób będzie czerpał z niej zysk.
W jednym z poprzednich wpisów zasygnalizowałem problem zakwalifikowania danych zdrowotnych jako „wrażliwych” danych osobowych, które to podlegają szczególnej ochronie (krótko mówiąć: poza kilkama wyjątkami przetwarzanie takich danych jest zabronione na równi z informacjami o poglądach politycznych, wyznaniu i zyciu seksualnym). To jeden z trzech kluczowych problemów na gruncie ochrony danych osobowych – drugi dotyczy bardziej generalnego rozstrzygnięcia czy dane zdrowotne są w ogóle danymi osobowymi, a trzeci czy „właściciel” apliakcji podlega pod zakres przedmiotowy polskiej ustawy o ochronie danych osobowych. Innymi słowy, są trzy zagadnienia:
- czy dane zdrowotne są „wrażliwymi” danymy osobowymi?
- czy dane zdrowotne są w ogóle „danymi osobowymi”?
- czy apka gromadząca dane zdrowtne podlega pod zakres podmiotowy polskiej ustawy o ochornie danych osobowych?
Jest jeszcze jeden ogólny problem, ale mający wymiar techniczny. Aby problem ochrony danych osobowych zaistniał z zasada dane te powinny być przesyłane na zewnętrzny serwer. Jeśli dane osobowe „nie opuszczają” smartfona to zazwyczaj nie zajdzie problem ochrony danych osobowych – nie jest to jednak całkowicie wykluczone, gdyż wszystko zależy od konstrukcji apki i modelu biznesowego.
W tym wpisie zajmię się pierwszą kwestią, drugą w jutrzejszym, a trzecią kiedyś tam. Zaczynam zatem od problemu szczegółowego, a tematy ogólniejsze (wstępne) przedstawię w dalszej kolejności. Choć jest to wbrew logice, to jednak gdyby uznać, że dane zdrowotne nie są danymi wrażliwymi w rozumieniu ustawy o ocronie danych osobowych, to tematy ogólniejsze stają się już mało porywające:)
Odpowiedz na pytanie czy dane zdrowotne są wrażliwymi danymi osobowymi, czyli takimi o jakich mówi art. 27 ustawy o ochronie danych osobowych, zależy zawsze od konkretnej aplikacji zdrowotnej. Różnie przecież można skonfugurować apki, przez co mogą wykorzystywać odmienne informacje. Przyjmę tutaj za bazową applowską apkę „Zdrowie” (dostępną chyba tylko w IOS > 8 i raczej tylko na urządzeniach nowszej generacji – być może dostępna jest tylko w iPhone 6 i 6 plus, a niedługo w „s”). W przypadku innych apek można poczynić analogię do poniższych twerdzeń.
Przedmiotowa apka umożliwia gromadzenie m.in. takich informacji:
- ciśnienie tętnicze,
- częstotliwość skurczów,
- temperatura,
- tętno,
- masa mięśniowa,
- tkanka tłuszczowa,
- waga,
- cukier we krwi,
- nasycenie tlenem,
- indeks perfuzji obwodowej.
W mojej ocenie wszystkie z tych tych informacji to dane zdrowotne w rozumieniu art. 27 ustawy o ochronie danych osobowych, a zatem są to dane wrażliwe. Zresztą nawet w apce „Zdrowie” są nazwane jako „Dane zdrowotne”. Wydaje mi się, że obecnie nimałej części tych danych nie można jeszcze wprowadzić do tej apki z powodu braku stosownych urządzeń wejściowych. Ja znam póki co tylko Apple Watcha jako urządzenie, które pozwalałoby na dostarczenie części tych danych.
Powyższe nie wystarczy do uznania, że cała apka podlega pod regulację ustawy o ochronie danych osobowych, w tym pod art. 27 tej ustawy traktującej o danych wrażliwych. Konieczne jest również, aby były to dane osobowe, czyli dane identyfikujące konkretną osobę – o tym, jak już zapowiedziałem powyżej, w jutrzejszym wpisie.