Health Apps и Fitness Apps: обработка данных о здоровье и физическое состояние физических лиц

В повседневной жизни, довольно часто возникает необходимость в улучшении своего здоровья или физического состояния. Для достижения подобных целей, люди используют различные приложения, которые помогают достигать поставленной цели, однако, при этом, не всегда понятно, какие данные, при этом требуются.

Принцип работы Health Apps и Fitness Apps

В общем, Health Apps и Fitness Apps это приложения, которые по умолчанию, по словам компаний — провайдеров, направленные на улучшение здоровья и физического состояния. С помощью подобных приложений, физические лица могут получать рекомендации по здоровому питанию, режиму сна, физической нагрузки и тому подобное. Предоставление таких рекомендаций происходит как с помощью технических средств, так и с привлечением соответствующих специалистов, имеющих соответствующую квалификацию в сфере здравоохранения. Кроме этого, в рамках функционирования некоторых приложений, возможно встретить сочетание как технических средств так консультирование профильных специалистов.

Например: приложение, которое предлагает конечным потребителям корректировки их питания, путем применения алгоритма, высчитывать необходимое количество белков, которую человек должен употребить в течение дня, может предусматривать консультацию соответствующего специалиста — диетолога, который указывает на конкретную специфику диеты, если конечный потребитель имеет определенные физические или физиологические особенности.

В любом случае, для возможности предоставления услуг физическим лицам через Health Apps и Fitness Apps, компании — провайдеры услуг должны собирать данные о таких физических лиц, в том числе данные о здоровье человека и его физическое состояние.

Данные о здоровье физических лиц

В соответствии с General Data Protection Regulation (GDPR), чувствительные данные это (i) информация, касающаяся расового и этнического происхождения; (Ii) генетические данные (iii) биометрические данные (iv) данные о религиозных убеждениях; (V) данные о философских верования; (Vi) данные о здоровье; (Vии) данные о сексуальной жизни и сексуальной ориентации.

В контексте темы, которую мы обсуждаем сейчас, нас не должны интересовать вышеперечисленные данные, кроме тех, которые касаются здоровья физического лица, ведь именно они могут быть использованы в процессе предоставления услуг через упомянутые выше приложения.

GDPR также содержит определения и такого понятия как «данные о состоянии здоровья», под которым следует понимать персональные данные, касающиеся состояния физического или психического здоровья физического лица, в том числе предоставление медицинских услуг, отражающие информацию о ее состоянии здоровья ‘я.

Например: перед тем как давать рекомендации в отношении физических нагрузок и выполнения специфических упражнений для улучшения фигуры, компания может выяснить, не существует противопоказаний для конкретного физического лица относительно подобных физических нагрузок и выполнения специфических упражнений. Такой анализ возможен только если физическое лицо предоставит такие данные о себе соответствующей компании — провайдера услуг.

Как вы можете уже знать, существуют специфические требования по обработке чувствительных данных, в соответствии с GDPR, которые могут применяться. В этом случае имеются в виду требования, которые предусматривают усиленный режим безопасности при обработке таких данных или получения однозначного согласия на обработку данных (explicit consent), что требует дополнительных усилий чем когда компания получает обычную согласие.

Кроме этого, в компании, которая осуществляет обработку чувствительных персональных данных, возникает также обязанность при организации самого процесса обработки, в частности, может потребоваться назначение Data Protection Officer, для возможности обеспечения GDPR compliance и проведения DPIA (Data Protection Impact Assessment).

На что еще нужно обратить внимание, работая с Health Apps и Fitness Apps

Безусловно, перед началом разработки самого приложения, всем компаниям нужно придерживаться так называемого принципа Privacy by Design, который предусматривает, что особенности обработки персональных данных, в том числе чувствительных, должны учитываться уже на стадии проектирования программного обеспечения, а также в процессе его разработки. Имеется в виду, что игнорирование технической необходимости в осуществлении определенных элементов в функционал программного обеспечения может привести, в будущем, к признанию такого приложения non GDPR compliance, что в свою очередь, приведет к привлечению компании к ответственности.

Например: проектируя и разрабатывая программное обеспечение для Health App, компания должна учесть, что будут собираться данные о состоянии здоровья пользователей (например данные о беременности женщины или данные о хронических болезнях), а потому, необходимо предусмотреть наличие инструментов для возможности получения однозначного согласия на обработку данных (explicit consent), а также возможность для видизвання такого согласия без особых трудностей для пользователя.

Иногда, пользуясь приложением, мы можем не увидеть так называемого Privacy notice или Privacy policy, что в соответствии с GDPR не является законным. Именно поэтому, каждая компания обязана разработать и разместить такую ​​информацию в своем приложении, или же обеспечить наличие активной ссылки на такую ​​информацию.

Такая же ситуация может возникнуть и с файлами cookie, использование которых, без полученного разрешения на это от человека, которому они принадлежат, может привести к привлечению компании к ответственности. Именно поэтому, наличие Cookie Notice является обязательным, если используются файлы cookie.

Не менее важным остается также адаптация приложения с внутренним законодательством страны, где компания — владелец приложения зарегистрирована, или законодательством той страны, на которую направлено основное использование Health App. В этом случае, речь может идти как о законодательстве страны — члена ЕС, так и какой — либо другой страны, в частности США, где существует один из самых жестких нормативных документов — HIPPA (Health Insurance Portability and Accountability Act), который направлен на защиту медицинской информации от мошенничества и краж.

вывод

В любом случае, компании должны уделять больше внимания внутренним и внешним процессам, связанным с обработкой персональных данных, особенно когда речь идет о чувствительных персональные данные. Игнорирование таких требований может привести только к одному последствия — привлечение к ответственности и снижение эффективности и трастовости бизнеса.