Jakiś czas temu pisałem o moim referacie konferencyjnym „Perspektywy Internetu Rzeczy w świetle regulacji prawnych” (Warszawa, 14.10.2015). Przypominam o możliwości ściągnięcia tutaj bezpłatnego raportu prawnego dotyczącego przedmiotowej kwestii.
Kategoria: e-Zdrowie
Apki pośredniczące w świadczeniu usług
Wiele apek, jak też zwykłych portali interentowych, dostarcza usługi polegające na pośredniczeniu. Nie mają zatem własnej usługi, a jedynie kojarzą klientów z usługodawcami i sklepami (precyzyjniej ujmując można powiedzieć, że usługą własną jest pośredniczenie). Wydaje mi się, że takim przedsięwzięciom obecnie najłatwiej osiągnąć relatywnie szybko sukces, ponieważ bazują na znanych już usług, a nie tworzą całkiem nowych, na których popytu jeszcze nie ma. Mankamentem jest oczywiście konkurencja.
Dla mnie jednak najistotniejszą kwestią jest odpowiedzialność prawna pośrednika za treści, do których się odsyła. Z problemem tym wiąże się szereg aspektów. Najważniejsze, aby uwzględniać, że prawo cywilne oraz karne zawiera uregulowania dotyczące pomocnictwa, a taki pośrednik może być traktowany właśnie jako pomocnik. Nie jest to jednak jedyna rola, jaką mogą przydać mu poszczególne regulacje prawne.
Dla prawnych aspektów związanych z pośrednictwem w Internecie kluczowa jest regulacja art. 14 ust. 1 ustawy o świadczeniu usług drogą elektroniczną. Przepis ten ustanawia generalną zasadę wyłączenia odpowiedzialności. Zgodnie z tą regulacją nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę:
- nie wie o bezprawnym charakterze danych
- lub związanej z nimi działalności,
- a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.
Wyłączenie odpowiedzialności obwarowane jest zatem spełnieniem wypunktowanych warunków. Należy jednak mieć na uwadze, że przytoczona regulacja dotyczy odpowiedzialności za dane przechowywane w apce (portalu), a nie odpowiedzialności za wykonanie lub niewykonanie usługi.
Dane zdrowotne w aplikacjach mobilnych
Kilkukrotnie pisałem już tutaj (kliknij poniżej w kategorię „e-Zdrowie”) o danych zdrowotnych jako wrażliwych danych osobowych. Takie dane podlegają szczególnej ochronie w oparciu o art. 27 ustawy o ochronie danych osobowych. Z zasady nie można ich przetwarzać.
Czym jednak są dane zdrowotne? Pojęcie „danych zdrowotnych” nie jest w pełni jasne. Z jednej strony można utożsamiać je z danymi medycznymi, a z drugiej ze wszystkim co dotyczy organizmu człowieka. Dla mnie bliższ jest to drugie stanowisko.
Wydaje się, że nie bez znaczenia jest nazwa nadawa usłudze przez przedsiębiorcę. Jeśli aplikacja mobilna promowana jest jako przetwarzająca dane zdrowotne, to wtedy nie powinno być wątpliwości, iż chodzi o dane zdrowotne. Skoro konstruktor apki zadeklarował, że zbiera „dane zdrowotne”, to niezależnie co rozumie on przez to pojęcie, należy uznać, że sprawa wiąże się z danymi wrażliwymi, o jakim mówi wspominany art. 27 ustawy o ochronie danych osobowych.
Perspektywy Internetu Rzeczy
W dniu 14.10.2015 r. w Warszawie w czasie konferencji będę miał okazję powiedzieć kilka słów nt. perspektyw Internetu Rzeczy w świetle regulacji prawnych. Aby nie przeciążać swojego referatu informacjami prawnymi, ale też aby pozostało z niego coś konkretnego, przygotowałem z tej okazji pisemne opracowanie „Perspektywy Internetu Rzeczy :: Raport Prawny”.
Zachęcam zatem do pobrania bezpłatnego opracowania w postaci pliku PDF (kliknij w obrazek, aby otworzyć lub pobrać).
Aplikacje do biegania a dane osobowe
Znane mi apki wspierające bieganie wymagają założenia konta (profilu użytkownika). Tym sam nie ma wątpliwości, że dochodzi do gromadzenie danych osobowych. Pytanie jednak czy te dane gromadzone są jedynie w smartfonie, czy też może trafiają gdzieś dalej? Jeśli konto które zakładamy w aplikacji mobilnej umożliwia zalogowanie się do konta na portalu internetowym, to tym samym oczywiste jest, że te dane musiały zostać przekazane z telefonu na zewnętrzny serwer. W efekcie nie ma wątpliwości co do potrzeby ochrony takich danych i, w przypadku polskiego prawa, stosowania ustawy o ochronie danych osobowych.
Aplikacje służące bieganiu gromadzą jednak nie tylko informacje o przebiegniętych kilometrach, lecz również informacje, które mogą zostać zakwalifikowane jako dane zdrowotne w rozumieniu art. 27 ustawy o ochronie danych osobowych. Byłyby to zatem wrażliwe dane osobowe, przetwarzanie których możliwe jest tylko w ściśle określonych przypadkach. Co istotne, warunki ich przetwarzania zostały tak skonstruowane, że zazwyczaj nie sposób ich spełnić w przypadku aplikacji mobilnych, ewentualnie uczynienie im zadość wymagałoby tak daleko idących komplikacji, iż zniechęcałoby to do posługiwania się aplikacją mobilną.
Fundamentalnym problemem prawnym w przypadku aplikacji mobilnych dedykowanych biegaczom, podobnie jak w przypadku aplikacji typowo zdrowotnych, jest przetwarzanie wrażliwych danych osobowych. Sama informacja o przebiegniętej trasie nie jest dana zdrowotną, ale inne dane w tych aplikacjach zamieszczane mogą już mieć taki charakter. Nie ma nawet znaczenia na ile są to dane rzetelne – ważne, że opisują parametry organizmu biegacza.
Sprzedaż jedzenia przez Internet
W ostatnich 2-3 latach szybko rozwinęła się w Polsce internetowa sprzedaż artykułów spożywczych i gotowych posiłków. Dynamiczny rozwój tego segmentu rynku e-commerce jest przede wszystkim pochodną korzystania z takiego kanału dystrybucji przez duże firmy, w szczególności Alma, Piotr i Paweł oraz Tesco. W tym wpisie zajmę się głównie kwestią prawa do zwrotu towaru kupionego w Internecie bez podania przyczyny. Prawo to na tyle ugruntowało się w świadomości konsumentów, że warto zastanowić się czy obejmuje również artykuły spożywcze. Nie można nie wspomnieć, że wiele sklepów stworzyło swoje aplikacje mobilne ułatwiające takie zakupy.
W pierwszej kolejności określić należy czego dotyczył będzie wpis. A więc przez internetowy zakup artykułów spożywczych (jedzenia) rozumiem takie sytuację:
- kupno online poszczególnych artykułów z supermarketu,
- zamówienie online gotowego jedzenia wybranego ze stałej oferty sklepu lub restauracji (czyli jedzenia przyrządzonego na zamówienie dla kupującego),
- zamówienie przez Internet jedzenia przystosowanego wprost dla naszych potrzeb (najczęściej chodzi tutaj o kupno zdrowych posiłków o określonej wartości kalorycznej, ewentualnie dodatkowo z określeniem innym parametrów).
Analizę prawną wyżej wymienionych przypadków zaczną od końca, ponieważ tak łatwiej mi przedstawić spostrzeżenia:)
Ad 3.
W przypadku otrzymywania gotowych posiłków przygotowanych na specjalne zamównie w pierwszej kolejności należy rozważyć, czy aby czasem w takiej sytuacji nie jest całkowicie wyłączone stosowanie ustawy o prawach konsumenta na podsatwie art. 3 ust. 1 pkt 3 tej ustawy. Wtedy prawa kupującego byłyby znacznie skromniejsze niż przy innych rodzajach zakupów online. W mojej jednak ocenie wyłącznie to nie dotyczy zamówienia posiłku na specjalne życzenie.
Przywołany przepis dotyczy wprawdzie sprzedaży środków spożywczych i jedzenia, ale tylko w ramach tzw. sprzedaży obwoźnej. Czyli byłby on miarodajny dla tzw. „Pana Kanapki”. Taki sprzedawca nie dostarcza produktów na zamówienie, lecz kupujący muszą dostosować się do jego oferty. Na marginesie dodam zatem wprost, że zakupy u „Pana Kanapki”, to nie jest sprzedaż konsumencka, stąd prawa kupującego nie są tak szerokie jak w zakupach konsumenckich.
Wracając do tematu – to, że stosowanie ustawy o prawach konsumenta nie jest wyłączone w przypadku zamówienia gotowego posiłku, nie oznacza, iż można dokonać zwrotu. Uważam, że w art. 38 ustawy o prawach konsumenta można wskazać aż cztery podstawy prawne, które będą wskazywały, że takiego jedzenie nie można oddać bez podania przyczyny i domagać się zwrotu ceny. Nie twierdzę, że każda z tych podstaw jest właściwa, ale wydaje mi się, iż w ogromnej większości przypadków choć jedna będzie adekwatna. A jedna wystarczy. Podstawy te zawarte są w pkt 1, 2, 4 i 5 w art. 38 ustawy o prawach konsumenta. Kolejna jest to:
- Świadczenie usługi, jeżeli przedsiębiorca wykonał w pełni usługę za wyraźną zgodą konsumenta, uprzednio poinformowanego o utracie prawa zwrotu (w tym przypadku zamówienie traktuje się jako zakup usługi, a nie towaru, co według mnie ma sens).
- Towar jest nieprefabrykowany (wyprodukowany według specyfikacji konsumenta lub służy zaspokojeniu jego zindywidualizowanych potrzeb).
- Towar ulega szybkiemu zepsuciu lub ma krótki termin przydatności do spożycia (zazwyczaj gotowe jedzenia takie właśnie jest, zresztą według mnie samo ostygnięcie jedzenia można potraktować jako jego zepsucie lub niezdatność do spożycia).
- Towar dostarczany jest w zapieczętowanym opakowaniu i po otwarciu tego opakowania nie można go zwrócić ze względu na ochronę zdrowia lub z powodów higienicznych (z moich doświdczeń wynika, że posiłki zazwyczaj są dostarczane w hermetycznie zamknietych opakowaniach, tj. w takich plastikowych pojemnikach z wieczkiem będącym przyklejoną folią. Chyba tylko pizza dostarczana jest w papierowych pudełkach).
Ad 2.
W przypadku zamawiania online gotowych posiłków ze standardowej oferty w grę wchodzić zaś mogą dwie podstawy, które będą stanowiły przeszkodę do zwrotu towaru bez podania przyczyny. Zgodnie z art. 38 pkt 4 i 5 ustawy o prawach konsumenta będzie to:
- Szybkie psucie się towaru.
- Dostarczenie towaru w zapieczętowym opakowaniu.
Ad 1.
Z kolei przy zakupieniu przez Interent jedynie produktów spożywczych z supermarketu czasami będzie możliwy, a czasami nie, zwrot towarów. Wszystko zależy od tego jaki to towar. Nie będzie można zwrócić towarów szybko psujących się, jak też towarów dostarczonych w zapieczetowanych opakowaniach, jesli zostały otwarte.
Dane zdrowotne w kontekście zakresu podmiotowego ustawy
Aby dane zdrowtne kwalifikować bądź pod art. 6 ustawy o ochronie danych osobowych (czyli regulacji mówiącej kiedy mamy do czynienia z danymi osobowymi), bądź art. 27 tej ustawy (czyli przepisy określające kiedy dane mają charakter „wrażliwy”), w pierwszej kolejności trzeba rozważyć czy podmiot przetwarzający te dane podlega pod zakres podmiotowy polskiej ustawy o ochronie danych osobowych. Dla uproszczenia wywodu, który chyba i tak prosty nie będzie, za podmiot przetwarzający uznam „właściciela” apki.
Na pewno jeśli podmiot taki ma siedzibę lub miejsce zamieszkania w Polsce to podlega pod polską ustawę o ochronie danych osobowych. Przetwarzanie danych osobowych musi również mieć związek z działalnością zarobkową, zawodowa lub służyć realizacji celów statutowych, ale zakładam, że te wymogi są zawsze spełnione, ponieważ raczej nikt nie będzie budował apki zdrowotnej kierują się innymi powodami.
Jednak nie tylko siedziba i miejsca zamieszkania określa zakres podmiotowy regulacji chroniących dane osobowe. Polskiej ustawy o ochronie danych osobowych przestrzegać muszą również podmioty mające siedzibę w państwie trzecim, czyli poza Polską, o ile przetwarzają one dane osobowe przy wykorzytsaniu środków technicznych znajdujących się na terytorium Polski. Jednak ustawy nie stosuje się jeżeli takie środki techniczne umiejscowione w Polsce służą wyłącznie do przekazywania danych. Nie jest jednak jasne co to znaczy „środki techniczne znajdujące się na terytorium Polski” oraz „przekazywanie danych”. Wątpliwości co do znaczenia tych pojęć powodują, że mając do czynienia z jakąś aplikacją, czy też szerzej systemem teleinformatycznym, nie wiadomo na 100% czy powinny przestrzegać polskich regulacji dotyczących ochrony danych osobowych.
Dla polskich przedsiębiorców kluczowe jest związanie polską ustawą w oparciu o siedzibę. Niezależnie zatem, gdzie przetwarzają dane, to z uwagi na siedzibę związani są polską ustawą o ochronie danych osobowych.
Dane o zdrowiu jako dane osobowe
Tak jak wskazałem w poprzednim wpisie dziś kilka słów na temat uznania danych zdrowotnych za dane osobowe. Nie będzie zatem o ich kwalifikowaniu jako „wrażliwe” dane osobowe (o tym w poprzednim poście), ale czy w ogóle są to dane osobowe. Aby były to dane osobowe muszą to być, zgodnie z art. 6 ustawy o ochronie danych osobowych, informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Jeśli apka wymaga logowania, czyli założenia w jej ramach konta (profilu) użytkownika, to z zasady można wtedy mówić o danych osobowych. Odmiennie w przypadku kiedy dane są całkowicie anonimowe. Jednak nie jest zbytnio jasne co w cyberprzestrzeni jest anonimowe. Prosty przykład: nie wiem czy dane gromadzone w applowksiej apce Zdrowie są czy nie są anonimowe. Niby nie ma tam żadnego mojego konta, ale z drugiej strony cały telefon jest podpięty pod moją tożsamość. Konieczne byłoby zatem głębsze zbadanie tej apliakcji, jak i każdej innej.
W każdym razie wniosek jest krótki: aby informacje zdrowotne były danymi osobowymi muszą dotyczyć zindetyfikowanej lub możliwej do zidentyfikowania osoby (bezpośrednio lub nawet pośrednio).
Dane zdrowotne jako WRAŻLIWE dane osobowe
Poruszałem już na tym blogu kwestię aplikacji zdrowotnych. Prawdopodbnie będę też do tego zagadnienia wielokrotnie wracał. Zachęcam do zapoznania się z nimi poprzez kliknięcie w przypisany do tego wpisu tag/kategorię „Zdrowie”, ponieważ nie powtarzam róznych problemów, ale czasami, aby zrozumieć jeden z nich, trzeba uwzględnić szerszy kontekst. Ten szerszy kontekst tworzy zaś włąsnie zbiór wpisów na tym blogu:)
Dlaczego zająłem się tym tematem? Uważam, że tego typu apki „mają przyszłość”, dlatego przepisy prawne powinny wspierać ich rozwój. Niestety tak nie jest. Obecnie obowiązujące prawo troche innaczej postrzegało cele przetwarzania danych zdrowotnych. Można śmiało założyć, że twórcy ustawy o ochronie danych osobowych nie mieli wyobrażenia, że dane zdrowtne mogą być przetwarzana w celach „samoleczenia”, a zatem służyć głównie osobie, której te dane dotyczą. Samoleczenie nie wyklucza przy tym, że właściciel apki w jakiś sposób będzie czerpał z niej zysk.
W jednym z poprzednich wpisów zasygnalizowałem problem zakwalifikowania danych zdrowotnych jako „wrażliwych” danych osobowych, które to podlegają szczególnej ochronie (krótko mówiąć: poza kilkama wyjątkami przetwarzanie takich danych jest zabronione na równi z informacjami o poglądach politycznych, wyznaniu i zyciu seksualnym). To jeden z trzech kluczowych problemów na gruncie ochrony danych osobowych – drugi dotyczy bardziej generalnego rozstrzygnięcia czy dane zdrowotne są w ogóle danymi osobowymi, a trzeci czy „właściciel” apliakcji podlega pod zakres przedmiotowy polskiej ustawy o ochronie danych osobowych. Innymi słowy, są trzy zagadnienia:
- czy dane zdrowotne są „wrażliwymi” danymy osobowymi?
- czy dane zdrowotne są w ogóle „danymi osobowymi”?
- czy apka gromadząca dane zdrowtne podlega pod zakres podmiotowy polskiej ustawy o ochornie danych osobowych?
Jest jeszcze jeden ogólny problem, ale mający wymiar techniczny. Aby problem ochrony danych osobowych zaistniał z zasada dane te powinny być przesyłane na zewnętrzny serwer. Jeśli dane osobowe „nie opuszczają” smartfona to zazwyczaj nie zajdzie problem ochrony danych osobowych – nie jest to jednak całkowicie wykluczone, gdyż wszystko zależy od konstrukcji apki i modelu biznesowego.
W tym wpisie zajmię się pierwszą kwestią, drugą w jutrzejszym, a trzecią kiedyś tam. Zaczynam zatem od problemu szczegółowego, a tematy ogólniejsze (wstępne) przedstawię w dalszej kolejności. Choć jest to wbrew logice, to jednak gdyby uznać, że dane zdrowotne nie są danymi wrażliwymi w rozumieniu ustawy o ocronie danych osobowych, to tematy ogólniejsze stają się już mało porywające:)
Odpowiedz na pytanie czy dane zdrowotne są wrażliwymi danymi osobowymi, czyli takimi o jakich mówi art. 27 ustawy o ochronie danych osobowych, zależy zawsze od konkretnej aplikacji zdrowotnej. Różnie przecież można skonfugurować apki, przez co mogą wykorzystywać odmienne informacje. Przyjmę tutaj za bazową applowską apkę „Zdrowie” (dostępną chyba tylko w IOS > 8 i raczej tylko na urządzeniach nowszej generacji – być może dostępna jest tylko w iPhone 6 i 6 plus, a niedługo w „s”). W przypadku innych apek można poczynić analogię do poniższych twerdzeń.
Przedmiotowa apka umożliwia gromadzenie m.in. takich informacji:
- ciśnienie tętnicze,
- częstotliwość skurczów,
- temperatura,
- tętno,
- masa mięśniowa,
- tkanka tłuszczowa,
- waga,
- cukier we krwi,
- nasycenie tlenem,
- indeks perfuzji obwodowej.
W mojej ocenie wszystkie z tych tych informacji to dane zdrowotne w rozumieniu art. 27 ustawy o ochronie danych osobowych, a zatem są to dane wrażliwe. Zresztą nawet w apce „Zdrowie” są nazwane jako „Dane zdrowotne”. Wydaje mi się, że obecnie nimałej części tych danych nie można jeszcze wprowadzić do tej apki z powodu braku stosownych urządzeń wejściowych. Ja znam póki co tylko Apple Watcha jako urządzenie, które pozwalałoby na dostarczenie części tych danych.
Powyższe nie wystarczy do uznania, że cała apka podlega pod regulację ustawy o ochronie danych osobowych, w tym pod art. 27 tej ustawy traktującej o danych wrażliwych. Konieczne jest również, aby były to dane osobowe, czyli dane identyfikujące konkretną osobę – o tym, jak już zapowiedziałem powyżej, w jutrzejszym wpisie.
Aplikacje zdrowotne a dane osobowe
W poprzednim wpisie zasygnalizowałem problematykę przetwarzania wrażliwych danych osobowych na potrzeby aplikacji zdrowotnych. Sprawa jest „na czasie”, ponieważ producenci ostatnio oszaleli na punkcie technologii ubieralnych (wearables). A te technologie najczęściej związane są właśnie ze zdrowiem.
Uprzedzając dalszą część wpisu mam obecnie wątpliwość czy funkcjonowania mobilnych aplikacji zdrowotnych ma podstawy prawne. Innymi słowy, czy aby czasem działanie takich aplikacji jest niedopuszczalne w świetle wymogów związanych z przetwarzaniem danych osobowych. Ale po kolei.
Po pierwsze, trzeba się zastanowić czy aplikacje zdrowotne korzystają z wrażliwych danych osobowych w rozumieniu art. 27 ust. 1 ustawy o ochronie danych osobowych? Nie odwołuję się tutaj do konkretnej apki, ponieważ żadnej jeszcze nie znam zbyt dobrze, ale poczynię uwagi ogólne i każdy sam może je odnieść do poszczególnych aplikacji. W każdym razie, zgodnie z art. 27 ust. 1 ustawy o ochronie danych osobowych do wrażliwych danych osobowych zaliczają się m.in. dane o stanie zdrowia i nałogach. Czy zatem są „dane o stanie zdrowia”? Na pewno są nimi informacje o chorobach – jeśli apka dedykowana jest konkretnej chorobie (np. depresji), to się zatem kwalifikuje pod dane wrażliwe. Jednak również aplikacje monitorujące ilość różnych składników w organizmie, to apki gromadzące dane o stanie zdrowia. Oczywiście konieczne jest. aby były to „dane osobowe”, czyli dane identyfikujące konkretną osobę, lecz w sytuacji wymogu logowania do takich aplikacji nie trudno o uznanie, że są to dane osobowe.
Po drugie, trzeba wiedzieć że przetwarzanie wrażliwych danych osobowych jest z zasady zabronione (art. 27 ust. 1 ustawy o ochronie danych osobowych). Przetwarzanie wrażliwych danych osobowych jest jednak dopuszczalne, w oparciu o art. 27 ust. 2 pkt 1,2,3,7 i 8 ustawy o ochronie danych, jeśli:
- osoba, której dane dotyczą, wyrazi na to zgodę na piśmie (zwracam uwagę, że chodzi tutaj o zgodę „na piśmie”, a do tej pory nie spotkałem się z praktyką, aby uruchomienie apki następowało po wysłaniu zgody na piśmie),
- przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody (nie ma przepisów szczególnych innych ustaw, które można zastosować przy gromadzeniu informacji przez apki),
- przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody (ta przesłanka już całkiem nie pasuje do apek, ponieważ wymaga „ochrony żywotnych interesów” oraz braku fizycznej lub prawnej zdolności do wyrażenia zgody),
- przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych (ta przesłana nawet pasowałoby do apek, jednak tylko gdyby apki służyły fachowym usługom medycznym, a nie samo-profilaktyce),
- przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą (raczej takich danych nikt nie podaje do publicznej wiadomości, zatem też ta przesłana odpada).
Podsumowując zatem powyższe – dostrzegam sporo problemów z funkcjonowaniem zdrowotnych aplikacji mobilnych:)