Dane zdrowotne w aplikacjach mobilnych

Kilkukrotnie pisałem już tutaj (kliknij poniżej w kategorię „e-Zdrowie”) o danych zdrowotnych jako wrażliwych danych osobowych. Takie dane podlegają szczególnej ochronie w oparciu o art. 27 ustawy o ochronie danych osobowych. Z zasady nie można ich przetwarzać.

Czym jednak są dane zdrowotne? Pojęcie „danych zdrowotnych” nie jest w pełni jasne. Z jednej strony można utożsamiać je z danymi medycznymi, a z drugiej ze wszystkim co dotyczy organizmu człowieka. Dla mnie bliższ jest to drugie stanowisko.

Wydaje się, że nie bez znaczenia jest nazwa nadawa usłudze przez przedsiębiorcę. Jeśli aplikacja mobilna promowana jest jako przetwarzająca dane zdrowotne, to wtedy nie powinno być wątpliwości, iż chodzi o dane zdrowotne. Skoro konstruktor apki zadeklarował, że zbiera „dane zdrowotne”, to niezależnie co rozumie on przez to pojęcie, należy uznać, że sprawa wiąże się z danymi wrażliwymi, o jakim mówi wspominany art. 27 ustawy o ochronie danych osobowych.

Perspektywy Internetu Rzeczy

W dniu 14.10.2015 r. w Warszawie w czasie konferencji będę miał okazję powiedzieć kilka słów nt. perspektyw Internetu Rzeczy w świetle regulacji prawnych. Aby nie przeciążać swojego referatu informacjami prawnymi, ale też aby pozostało z niego coś konkretnego, przygotowałem z tej okazji pisemne opracowanie „Perspektywy Internetu Rzeczy :: Raport Prawny”.

Zachęcam zatem do pobrania bezpłatnego opracowania w postaci pliku PDF (kliknij w obrazek, aby otworzyć lub pobrać).

InternetRzeczy

Unieważnienie Safe Harbor przez Trybunał Sprawiedliwości Unii Europejskiej

W sprawie C‑362/14 (Maximillian Schrems przeciwko Data Protection Commissioner) Trybunał Sprawiedliwości Unii Europejskiej orzekł nieważność Safe Harbor, która, w uproszczeniu ujmując, umożliwiała proste przesyłanie danych osobowych z państw członkowskich Unii Europejskiej do USA. A tymczasem na takim przesyłaniu danych, jak można przypuszczać, opiera się funkcjonowania sporej części, o ile nie wszystkich, usług Facebooka, Google, Apple i wielu innych portali i mediów. Sprawa ta zresztą dotyczyła wprost Facebooka, ale skutki dotkną wszystkich.

Nie należę do osób, które opowiadają się za silną ochroną danych osobowych, czemu kilkukrotnie dałem wyraz na niniejszym blogu. Jeśli ochrona ta przeszkadza w rozwoju technologicznym powinna zostać złagodzona. Ale stan prawny obecnie tego nie uwzględnia i daje absolutny priorytet ochronie danych osobowych. Tylko na marginesie wyjaśnię, że moje stanowisko wynika w szczególności z faktu, że istnieją tak duże możliwości wykorzystania nowych rozwiązań technologicznych w medycynie, w tym w zakresie e-zdrowia (zachęcam do przeczytanie moich postów na temat aplikacji zdrowotnych), iż prawo nie powinno stawiać bariery rozwojowych. Poza tym szerokie wykorzystywanie danych osobowych, zwłaszcza przez różnego typu aplikacje mobilne, znacząco poprawia wygodę codziennych czynności.

Jakie mogą być skutki orzeczenia?

Raczej amerykańscy giganci nie wycofają się z rynku europejskiego „na złość” organom unijnym. Albo tak ułożą biznes, że nie trzeba będzie przekazywać danych do USA, albo też znajdą inną drogę prawną ku takiemu przekazywaniu (jest nawet parę takich innych możliwości).

Obawiam się jednak, że może nastąpić odcięcie mieszkańców UE od nowoczesnych rozwiązań technologicznych, w tym bazujących na szeroko rozumianej sztucznej inteligencji, jak też z zakresu Internetu Rzeczy. Te rozwiązania muszą korzystać z danych osobowych, a jak nie będzie możliwości ich przetwarzania, to i rozwiązań nie będzie. Ewentualnie amerykańskie rozwiązania zaczną być stosowane w UE ze znacznym opóźnieniem.

Choć można też na problem patrzeć od tej strony, że rodzi się większe pole do działania dla firm europejskich, które będą mogły przeprowadzać w UE operacje na danych osobowych na znacznie lepszych warunkach niż firmy amerykańskie.

Beacony – mały test praktyczny apki polskiej firmy

Na wstępie zaznaczę, że każda krajowa firma wykorzystująca beacony w relacjach z potencjalnymi klientami zasługuje na pochwałę i uznanie. Zwłaszcza jeśli jest to sklepem w galerii handlowej, ponieważ tym samym bierze on na swoje barki ciężar popularyzacji beaconów. Takie firmy w gruncie rzeczy są pionierami w tej dziedzinę – mają szanse na wybicie się, ale też ponoszą duże ryzyko porażki.

Miałem okazję wypróbować apkę polskiego sklepu wykorzystującego beacony. W mojej ocenie zastosowane rozwiązanie jest zbyt mało atrakcyjne dla klienta. Poza tym jest zbyt kłopotliwe. Trzeba być zalogowanym, a w sklepie ręcznie wyszukiwać apki na telefonie i ją uruchamiać. Jedyną korzyścią dla klienta jest rabat (zresztą niewielki), ale to zbyt mało aby zachęcić. Można założyć, że w tym konkretnym przypadku dla klienta zdecydowanego na zakup w tym sklepie, to czy sklep używa beaconów będzie bez znaczenia. Z kolei niezdecydowanego nie przekona – może nawet nie będzie mu się chciało odpalić apki.

W mojej ocenie w tym przypadku niepotrzebnie zdecydowano się, jak mniemam, na profilowanie konsumentów. Żadnych z tego korzyści, ponieważ zapewne mało kto korzysta z tego rozwiązania i po prostu  nie ma kogo profilować. Rodzi to natomiast jedynie problemy prawne z ochroną danych osobowych i być może zniechęca do korzystania z apki.

Dane osobowe a dobra osobiste

Często spotykam się z utożsamianiem pojęć „dane osobowe” i „dobra osobiste”. Nie jest to całkiem błędne biorąc pod uwagę praktyczne aspekty, ponieważ najczęściej naruszenie jednego, stanowić będzie również naruszenie drugiego. Jednak z punktu widzenia prawa są to dwie odrębne kategorie. Nie przekreśla tego ich nakładanie się.

Dane osobowe chronione są mocą ustawy o ochronie danych osobowych.

Z kolei dobra osobiste chronione są przepisami Kodeksu cywilnego.

Ochrona danych osobowych krzyżuje się nie tylko z ochroną dóbr osobistych, ale często z ochroną dobrego imienia i czci (chronioną przez przepisy Kodeksu karnego) i ochroną wizerunku (chronionym przez prawo autorskie). Wspomniane regulacje ochronne z zasady nie wykluczają się. Można zatem jednocześnie korzystać z różnych podstaw ochrony, ewentualnie wybrać jedną z nich według własnego uznania.

Charakter prawny lajków

W mojej ocenie, w świetle prawa lajki np. na Facebooku traktować należy jako oświadczenia wiedzy. Lajkowanie z zasady nie zobowiązuje do niczego, a jedynie stanowi  wyraz tego, że oceniamy coś jako fajne, czyli oświadczamy swoją wiedzę na dany temat .

Nie jest wykluczone jednak złożenie poprzez lajka oświadczenia woli (a nie wiedzy), czyli takiego oświadczenia, z którego będą wynikały określone prawa i obowiązki.

Inaczej przedstawiając kwestię, istnieje mozliwość, że poprzez danie lajka zostanie zawarta umowa. Wymagałoby to jednak zajścia szczególnych okoliczności, w szczególności w poście pod którym się lajkuje konieczne byłoby jednoznaczne oświadczenie o konsekwencja dania lajka. Nie może być wtedy wątpliwości, iż następuje odstępstwo od zwyczaju jakim jest posługiwanie się lajkiem jako oświadczeniem woli.

Co oznacza przetwarzanie danych osobowych?

We wpisach na tym blogu wielokrotnie pojawia się pojęcie przetwarzania danych. Staram się go zresztą unikać w celu minimalizowania typowo prawniczego żargonu, ale czasami posłużenie się nim jest najprostszym rozwiązaniem. Ogólnie ujmując przetwarzanie danych osobowych to wszystko to co robi się z danymi osobowymi. Zatem jak coś robi się z danymi, to się je przetwarza:)
Ustanowiona w art. 7 pkt 2 ustawy o ochronie danych osobowych definicja przetwarzania danych mówi, że przez przetwarzanie danych rozumie się „jakiekolwiek operacje wykonywane na danych osobowych”, a nadto wprost określa przykładowy katalog takich operacji, tj.:
  • zbieranie,
  • utrwalanie,
  • przechowywanie,
  • opracowywanie,
  • zmienianie,
  • udostępnianie,
  • usuwanie.

W ustawie podkreślono, że z przetwarzaniem wiążą się zwłaszcza operacje, które wykonuje się w systemach informatycznych.

Z kolei za dane osobowe, czyli informacje, które się przetwarza, uważa się w myśl art. 6 ust. 1 ustawy o ochronie danych osobowych, wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Podstawa przetwarzania danych osobowych w Internecie Rzeczy

W  przypadku Internetu Rzeczy aktualne są te same podstawy przetwarzania danych osobowych co w każdym innym przypadku. Dla Internetu Rzeczy nie ma  szczególnych regulacji w tym zakresie. W oparciu o art. 23 ust. 1 ustawy o ochronie danych osobowych można wskazać kilka sytuacji (tzw. podstaw przetwarzania), w których dopuszczalne jest przetwarzanie danych osobowych:

  1. Przetwarzanie za zgodą osoby, której dotycząca dane, przy czym:
    • zgoda ta może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania,
    • wyjątkiem jest usunięcie danych – wtedy nie trzeba zgody,
    • bez zgody można przetwarzać (do czasu, gdy uzyskanie zgody będzie możliwe) również kiedy przetwarzanie to jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe,
  2. Przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (obecnie jednak nie sposób wskazać jakiegoś miarodajnego przepisu prawa),
  3. Przetwarzanie jest konieczne do realizacji umowy lub do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (dotyczy to zatem jedynie zawiązania stosunku prawnego),
  4. Przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (trudno to sobie wyobrazić w przypadku mobilnych apek),
  5. Przetwarzanie jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności:
  • marketing bezpośredni własnych produktów lub usług administratora danych;
  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Specyficzna wymogi dotyczą danych wrażliwych, o czym pisałem w poprzednich wpisach.
Mając powyższe na uwadze najbardziej adekwatną podstawą do przetwarzania danych osobowych w przypadku Internetu Rzeczy jest zgoda osoby, które dane dotyczą. Nie można jednak wykluczyć rownież powołania sie na prawnie usprawiedliwione cele.

Z Endomondo na Facebooka

We wpisie „Aplikacje do biegania a dane osobowe” poruszyłem kilka kwestii dotyczących prawnych aspektów aplikacji mobilnych wspierających biegaczy.

Wskazałem tam, że jest różnica prawna czy zebrane informacje o biegu i biegaczu są tylko w telefonie, czy też trafiają na zewnętrzny serwer właściciela danej apki.

A co zatem z sytuacjami, kiedy biegacz wrzuca na Facebooka wyniki swojego biegu (ewentualnie również inne dane). Jeśli traktować te dane jako dane wrażliwe, to w takiej sytuacji dopuszczalne może być przetwarzanie tych informacji, nawet bez zgody, w oparciu o art. 27 ust. 2 pkt 8 ustawy o ochronie danych osobowych. Zgodnie z tym przypisem przetwarzanie wrażliwych danych osobowych jest dopuszczalne, jeżeli przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą. Takim podaniem do publicznej wiadomości jest właśnie zamieszczenia informacji na Facebooku. Trudno o dalej posunięte podanie do publicznej wiadomości.