Health Apps та Fitness Apps: обробка даних про здоров’я та фізичний стан фізичних осіб
В повсякденному житті, доволі часто виникає необхідність в покращенні свого здоров’я або ж фізичного стану. Для досягнення подібних цілей, люди використовують різноманітні додатки, які допомагають досягати поставленої мети, однак, при цьому, не завжди зрозуміло, які дані, при цьому потребуються.
Принцип роботи Health Apps та Fitness Apps
Загалом, Health Apps та Fitness Apps це додатки, які по замовчуванню, зі слів компаній – провайдерів, спрямовані на покращення здоров’я та фізичного стану. З допомогою подібних додатків, фізичні особи можуть отримувати рекомендації щодо здорового харчування, режиму сну, фізичного навантаження тощо. Надання таких рекомендацій відбувається як з допомогою технічних засобів, так і з залученням відповідних спеціалістів, які мають відповідну кваліфікацію у сфері охорони здоров’я. Окрім цього, в рамках функціонування деяких додатків, можливо зустріти поєднання як технічних засобів так надання консультацій профільних спеціалістів.
Наприклад: додаток, який пропонує кінцевим споживачам коригування їхнього харчування, шляхом застосування алгоритму, що вираховувати необхідну кількість білків, яку людина має спожити протягом дня, може передбачати консультацію відповідного спеціаліста – дієтолога, який вказує на конкретну специфіку дієти, якщо кінцевий споживач має певні фізичні або фізіологічні особливості.
В будь якому випадку, для можливості надання послуг фізичним особам через Health Apps та Fitness Apps, компанії – провайдери послуг повинні збирати дані про таких фізичних осіб, в тому числі дані про здоров’я особи та її фізичний стан.
Дані про здоров’я фізичних осіб
У відповідності з General Data Protection Regulation (GDPR), чутливі дані це (i) інформація, яка стосується расового та етнічного походження; (ii) генетичні дані, (iii) біометричні дані, (iv) дані про релігійні переконання; (v) дані про філософські вірування; (vі) дані про здоров’я; (vіі) дані про сексуальне життя та сексуальну орієнтацію.
В контексті теми, яку ми обговорюємо наразі, нас не повинні цікавити перелічені вище дані, окрім тих, які стосуються здоров’я фізичної особи, адже саме вони можуть бути використані в процесі надання послуг через згадані вище додатки.
GDPR також містить визначення і такого поняття як «дані про стан здоров’я», під яким слід розуміти персональні дані, що стосуються стану фізичного чи психічного здоров’я фізичної особи, в тому числі надання медичних послуг, що відображають інформацію про її стан здоров’я.
Наприклад: перед тим як надавати рекомендації щодо фізичних навантажень та виконання специфічних вправ для покращення фігури, компанія може з’ясувати, чи не існує протипоказань для конкретної фізичної особи щодо подібних фізичних навантажень та виконання специфічних вправ. Такий аналіз можливий тільки якщо фізична особа надасть такі дані про себе відповідній компанії – провайдеру послуг.
Як ви можете вже знати, існують специфічні вимоги щодо обробки чутливих даних, у відповідності до GDPR, які можуть застосовуватися. В цьому випадку маються на увазі вимоги, які передбачають посилений режим безпеки при обробці таких даних або ж отримання однозначної згоди на обробку даних (explicit consent), що вимагає додаткових зусиль ніж коли компанія отримує звичайну згоду.
Окрім цього, у компанії, яка здійснює обробку чутливих персональних даних, виникає також обов’язок при організації самого процесу обробки, зокрема, може вимагатися призначення Data Protection Officer, для можливості забезпечення GDPR compliance та проведення DPIA (Data Protection Impact Assessment).
На що ще потрібно звернути увагу, працюючи з Health Apps та Fitness Apps
Беззаперечно, перед початком розробки самого додатку, всім компаніям потрібно дотримуватися так званого принципу Privacy by Design, який передбачає, що особливості обробки персональних даних, в тому числі чутливих, повинні враховуватися вже на стадії проектування програмного забезпечення, а також в процесі його розробки. Мається на увазі, що ігнорування технічної необхідності в імплементації певних елементів в функціонал програмного забезпечення, може призвести, в майбутньому, до визнання такого додатку non GDPR compliance, що в свою чергу, призведе до притягнення компанії до відповідальності.
Наприклад: проектуючи та розроблюючи програмне забезпечення для Health App, компанія повинна врахувати, що будуть збиратися дані про стан здоров’я користувачів ( наприклад дані про вагітність жінки або ж дані про хронічні хвороби), а тому, необхідно передбачити наявність інструментів для можливості отримання однозначної згоди на обробку даних (explicit consent), а також можливість для відізвання такої згоди без особливих труднощів для користувача.
Інколи, користуючись додатком, ми можемо не побачити так званого Privacy notice або Privacy policy, що у відповідності з GDPR не є законним. Саме тому, кожна компанія зобов’язана розробити та розмістити таку інформація в своєму додатку, або ж забезпечити наявність активного посилання на таку інформацію.
Така ж ситуація може виникнути і з файлами cookie, використання яких, без отриманого на це дозволу від особу, якій вони належать, може призвести до притягнення компанії до відповідальності. Саме тому, наявність Cookie Notice є обов’язковою, якщо використовуються файли cookie.
Не менш важливим залишається також адаптація додатку до внутрішнього законодавства країни, де компанія – власник додатку зареєстрована, або ж законодавства тієї країни, на яку спрямоване основне використання Health App. В цьому випадку, мова може йти як про законодавство країни – члена ЄС, так і будь – якої іншої країни, зокрема, США, де існує один із найжорсткіших нормативних документів – HIPPA ( Health Insurance Portability and Accountability Act), який спрямований на захист медичної інформації від шахрайства та крадіжок.
Висновок
В будь якому випадку, компанії повинні приділяти більше уваги внутрішнім та зовнішнім процесам, пов’язаним з обробкою персональних даних, особливо коли мова йде про чутливі персональні дані. Ігнорування таких вимог може призвести тільки до єдиного наслідку – притягнення до відповідальності та зниження ефективності та трастовості бізнесу.
