Elgesio su mobiliosiomis sveikatos programėlėmis kodeksas

Pirmosios mobiliųjų sveikatos taikomųjų programų elgesio kodekso versijos buvo parengtos atsižvelgiant į 2014 m. Europos Komisijos konsultacijas dėl mobiliosios sveikatos žaliosios knygos. Konsultacijos parodė, kad žmonės dažnai nepasitiki mobiliosiomis sveikatos programėlėmis dėl privatumo problemų.

Po šių konsultacijų Europos Komisija paragino pramonės suinteresuotuosius subjektus parengti privatumo kodeksą dėl mobiliųjų sveikatos programų, kad būtų padidintas pasitikėjimas.

Buvo siekiama, kad elgesio kodeksui oficialiai pritartų Europos duomenų apsaugos institucijos. Pagal dabartinį Bendrąjį duomenų apsaugos reglamentą (BDAR) kodeksų vertinimo vaidmuo priklauso Europos duomenų apsaugos valdybos įgaliojimų sričiai. Europos duomenų apsaugos valdybos patvirtinti kodai gali būti visuotinai galiojantys visoje ES priimant įgyvendinimo aktą.

Istorija ir dabartinis statusas

Su mobiliuoju sveikatos kodeksu susijęs darbas pradėtas 2015 m. balandžio mėn., kai redakcinė pramonės narių grupė pradėjo rengti kodekso tekstą. Europos Komisija tarpininkavo teikdama teisines ir politines žinias bei išteklius ir prižiūrėdama šio darbo eigą.

Šioje redakcijoje dalyvavo Programėlių asociacija (ACT), Programėlių kūrėjų aljansas, Apple, COCIR, Skaitmeninė Europa, ECHA, DHACA, EFPIA, „Google“, „Intel“, „Microsoft“, „Qualcomm“ ir „Samsung“. Jie dirbo reguliariuose susitikimuose ir pristatė darbą įvairiuose renginiuose, kad gautų daugiau atsiliepimų. Vizija buvo ta, kad kodeksas turėtų būti lengvai suprantamas MVĮ ir pavieniams kūrėjams, kurie gali neturėti galimybės naudotis teisine patirtimi.

2016 m. birželio mėn. redakcinė grupė pateikė 29 straipsnio darbo grupei pirmąjį atsiliepimų teikimo etapą. Atsižvelgiant į įvairius darbo grupės pasiūlymus dėl patobulinimų, kodeksas buvo pakeistas (.pdf) ir oficialiai pateiktas 2017 m. gruodžio 7 d., prašant patvirtinimo pagal Duomenų apsaugos direktyvą.

Darbo grupė savo vertinimą paskelbė 2018 m. balandžio mėn. Ji nustatė, kad turėtų būti taikomi BDAR kriterijai ir kad galiojančiame kodekse šie reikalavimai dar nebuvo tinkamai patenkinti. Todėl kodeksas nebuvo patvirtintas.

Tolesni žingsniai

Komisija bendradarbiauja su įvairiomis pramonės suinteresuotosiomis šalimis, kad paskatintų tolesnį dabartinio kodekso projekto plėtojimą, kad ateityje jį būtų galima pateikti Europos duomenų apsaugos valdybai, kad būtų gautas oficialus patvirtinimas.

Pagrindinės nuostatos programėlių kūrėjams

Dabartinį kodekso projektą sudaro praktinės gairės taikomųjų programų kūrėjams dėl duomenų apsaugos principų kuriant mobiliąsias sveikatos programėles. Kodekse visų pirma nagrinėjamos šios temos:

Naudotojo sutikimas 

Naudotojo sutikimas dėl asmens duomenų tvarkymo turi būti nemokamas, konkretus ir informuotas. Sveikatos duomenų tvarkymui reikia gauti aiškų sutikimą. Bet koks sutikimo atšaukimas turi lemti naudotojo asmens duomenų ištrynimą.

Tikslo apribojimas ir duomenų kiekio mažinimas

Duomenys gali būti tvarkomi tik konkrečiais ir teisėtais tikslais. Gali būti tvarkomi tik tie duomenys, kurie yra griežtai būtini programos funkcionalumui.

Pritaikytoji ir standartizuota privatumas

Programos poveikis privatumui turi būti svarstomas kiekviename kūrimo etape ir visur, kur vartotojui suteikiama galimybė pasirinkti. Programos kūrėjas turi iš anksto pasirinkti mažiausiai privatumo invazinį pasirinkimą pagal numatytuosius nustatymus.

Duomenų subjektų teisės ir informavimo reikalavimai

Vartotojas turi teisę susipažinti su savo asmens duomenimis, prašyti pataisymų ir prieštarauti tolesniam tvarkymui. Programos kūrėjas turi pateikti vartotojui tam tikrą informaciją apie apdorojimą.

Duomenų saugojimas 

Asmens duomenys negali būti saugomi ilgiau nei būtina.

Saugumo priemonės

Reikia įgyvendinti technines ir organizacines priemones, kad būtų užtikrintas tvarkomų asmens duomenų konfidencialumas, vientisumas ir prieinamumas bei apsauga nuo atsitiktinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo, prieigos prie jų ar kitų neteisėtų tvarkymo būdų.

Reklama mobiliosiose sveikatos programose

Yra skirtumas tarp reklamos, grindžiamos asmens duomenų tvarkymu (reikalaujant sutikimo dalyvauti) ir reklamos, kuri nesiremia asmens duomenimis (atsisakymo sutikimas).

Asmens duomenų naudojimas antriniais tikslais

Bet koks duomenų tvarkymas antriniais tikslais turi būti suderinamas su pirminiu tikslu. Tolesnis duomenų tvarkymas mokslinių ir istorinių tyrimų arba statistiniais tikslais laikomas suderinamu su pirminiu tikslu. Antriniam apdorojimui nesuderintais tikslais reikalingas naujas sutikimas.

Duomenų atskleidimas trečiosioms šalims tvarkymo operacijoms

Vartotojas turi būti informuotas prieš atskleidimą, o programos kūrėjas turi sudaryti privalomą teisinį susitarimą su trečiąja šalimi.

Duomenų perdavimas

Perduodant duomenis į vietą, esančią už ES/EEE ribų, turi būti numatytos teisinės garantijos, kuriomis remiantis būtų galima perduoti duomenis, pvz., Europos Komisijos sprendimas dėl tinkamumo, Europos Komisijos pavyzdinės sutartys arba įmonėms privalomos taisyklės.

Asmens duomenų saugumo pažeidimas

Kodekse pateikiamas kontrolinis sąrašas, kurio reikia laikytis asmens duomenų saugumo pažeidimo atveju, visų pirma įpareigojimas pranešti duomenų apsaugos institucijai.

Iš vaikų surinkti duomenys

Atsižvelgiant į nacionalinės teisės aktuose nustatytą amžiaus ribą, reikia taikyti griežčiausią duomenų tvarkymo metodą ir nustatyti tėvų sutikimo gavimo tvarką.