Aplikacje zdrowotne a dane osobowe

W poprzednim wpisie zasygnalizowałem problematykę przetwarzania wrażliwych danych osobowych na potrzeby aplikacji zdrowotnych. Sprawa jest „na czasie”, ponieważ producenci ostatnio oszaleli na punkcie technologii ubieralnych (wearables). A te technologie najczęściej związane są właśnie ze zdrowiem.

Uprzedzając dalszą część wpisu mam obecnie wątpliwość czy funkcjonowania mobilnych aplikacji zdrowotnych ma podstawy prawne. Innymi słowy, czy aby czasem działanie takich aplikacji jest niedopuszczalne w świetle wymogów związanych z przetwarzaniem danych osobowych. Ale po kolei.

Po pierwsze, trzeba się zastanowić czy aplikacje zdrowotne korzystają z wrażliwych danych osobowych w rozumieniu art. 27 ust. 1 ustawy o ochronie danych osobowych? Nie odwołuję się tutaj do konkretnej apki, ponieważ żadnej jeszcze nie znam zbyt dobrze, ale poczynię uwagi ogólne i każdy sam może je odnieść do poszczególnych aplikacji. W każdym razie, zgodnie z art. 27 ust. 1 ustawy o ochronie danych osobowych do wrażliwych danych osobowych zaliczają się m.in. dane o stanie zdrowia i nałogach. Czy zatem są „dane o stanie zdrowia”? Na pewno są nimi informacje o chorobach – jeśli apka dedykowana jest konkretnej chorobie (np. depresji), to się zatem kwalifikuje pod dane wrażliwe. Jednak również aplikacje monitorujące ilość różnych składników w organizmie, to apki gromadzące dane o stanie zdrowia. Oczywiście konieczne jest. aby były to „dane osobowe”, czyli dane identyfikujące konkretną osobę, lecz w sytuacji wymogu logowania do takich aplikacji nie trudno o uznanie, że są to dane osobowe.

Po drugie, trzeba wiedzieć że przetwarzanie wrażliwych danych osobowych jest z zasady zabronione (art. 27 ust. 1 ustawy o ochronie danych osobowych). Przetwarzanie wrażliwych danych osobowych jest jednak dopuszczalne, w oparciu o art. 27 ust. 2 pkt 1,2,3,7 i 8 ustawy o ochronie danych, jeśli:

  1. osoba, której dane dotyczą, wyrazi na to zgodę na piśmie (zwracam uwagę, że chodzi tutaj o zgodę „na piśmie”, a do tej pory nie spotkałem się z praktyką, aby uruchomienie apki następowało po wysłaniu zgody na piśmie),
  2. przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody (nie ma przepisów szczególnych innych ustaw, które można zastosować przy gromadzeniu informacji przez apki),
  3. przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody (ta przesłanka już całkiem nie pasuje do apek, ponieważ wymaga „ochrony żywotnych interesów” oraz braku fizycznej lub prawnej zdolności do wyrażenia zgody), 
  4. przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych (ta przesłana nawet pasowałoby do apek, jednak tylko gdyby apki służyły fachowym usługom medycznym, a nie samo-profilaktyce),
  5. przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą (raczej takich danych nikt nie podaje do publicznej wiadomości, zatem też ta przesłana odpada).

Podsumowując zatem powyższe – dostrzegam sporo problemów z funkcjonowaniem zdrowotnych aplikacji mobilnych:)