Privātuma kodekss attiecībā uz mobilajām veselības lietotnēm

Rīcības kodeksa pirmās versijas attiecībā uz mobilajām veselības lietotnēm tika sagatavotas, ņemot vērā Eiropas Komisijas 2014. gadā rīkoto apspriešanos par mobilo veselības zaļo grāmatu. Apspriešanā atklājās, ka cilvēki bieži neuzticas mobilajām veselības lietotnēm privātuma apsvērumu dēļ.

Pēc šīs apspriešanas Eiropas Komisija mudināja nozares ieinteresētās personas izstrādāt privātuma kodeksu attiecībā uz mobilajām veselības lietotnēm, lai palielinātu uzticēšanos.

Mērķis bija panākt, lai rīcības kodekss saņemtu oficiālu Eiropas datu aizsardzības iestāžu apstiprinājumu. Saskaņā ar pašreizējo Vispārīgo datu aizsardzības regulu (VDAR) kodeksu novērtēšanas loma ir Eiropas Datu aizsardzības kolēģijas pilnvarās. Eiropas Datu aizsardzības kolēģijas apstiprinātos kodus var vispārēji izmantot visā ES, pieņemot īstenošanas aktu.

Vēsture un pašreizējais statuss

Darbs pie mobila veselības rīcības kodeksa sākās 2015. gada aprīlī, kad nozares dalībnieku izstrādes grupa sāka izstrādāt kodeksa tekstu. Eiropas Komisija darbojās kā veicinātāja, nodrošinot juridiskās un politiskās zināšanas un resursus un pārraugot šā darba attīstību.

Šī izstrādes komanda ietvēra App Association (ACT), App izstrādātāju Alliance, Apple, COCIR, Digital Europe, ECHA, DHACA, EFPIA, Google, Intel, Microsoft, Qualcomm un Samsung. Viņi strādāja regulārās sanāksmēs un iepazīstināja ar darbu dažādos pasākumos, lai iegūtu papildu atsauksmes. Redzējums bija tāds, ka kodeksam vajadzētu būt viegli saprotamam MVU un individuāliem izstrādātājiem, kuriem, iespējams, nav pieejamas juridiskās zināšanas.

Teksta izstrādes grupa 2016. gada jūnijā iesniedza 29. panta darba grupai pirmo atgriezenisko saiti. Ņemot vērā dažādus darba grupas ierosinājumus par uzlabojumiem, Kodekss tika pārstrādāts (.pdf) un oficiāli iesniegts 2017. gada 7. decembrī, pieprasot apstiprinājumu saskaņā ar Datu aizsardzības direktīvu.

Darba grupa savu novērtējumu publicēja 2018. gada aprīlī. Tā konstatēja, ka būtu jāpiemēro VDAR kritēriji un ka spēkā esošajā kodeksā šīs prasības vēl nav pienācīgi ņemtas vērā. Tā rezultātā kodekss netika apstiprināts.

Nākamie soļi

Komisija sadarbojas ar vairākām nozares ieinteresētajām personām, lai veicinātu pašreizējā kodeksa projekta turpmāku izstrādi, lai nākotnē to varētu iesniegt Eiropas Datu aizsardzības kolēģijai, lai saņemtu oficiālu apstiprinājumu.

Galvenie noteikumi lietotņu izstrādātājiem

Pašreizējais kodeksa projekts ietver praktiskus norādījumus lietotņu izstrādātājiem par datu aizsardzības principiem, vienlaikus izstrādājot mobilās veselības lietotnes. Kodeksā jo īpaši ir aplūkoti šādi jautājumi:

Lietotāja piekrišana 

Lietotāja piekrišanai personas datu apstrādei jābūt brīvai, konkrētai un informētai. Veselības datu apstrādei ir jāsaņem nepārprotama piekrišana. Piekrišanas atsaukšanas rezultātā ir jādzēš lietotāja personas dati.

Mērķa ierobežojums un datu minimizēšana

Datus var apstrādāt tikai konkrētiem un likumīgiem nolūkiem. Var apstrādāt tikai tos datus, kas noteikti nepieciešami lietotnes funkcionalitātei.

Integrēta privātuma aizsardzība un pēc noklusējuma

Lietotnes ietekme uz privātumu ir jāņem vērā katrā izstrādes posmā un neatkarīgi no tā, kur lietotājam tiek dota izvēle. Lietotnes izstrādātājam pēc noklusējuma ir iepriekš jāizvēlas vismazākā privātuma invazīvā izvēle.

Datu subjektu tiesības un informācijas prasības

Lietotājam ir tiesības piekļūt saviem personas datiem, pieprasīt labojumus un iebilst pret turpmāku apstrādi. Lietotnes izstrādātājam ir jāsniedz lietotājam noteikta informācija par apstrādi.

Datu saglabāšana 

Personas datus nedrīkst glabāt ilgāk, nekā nepieciešams.

Drošības pasākumi

Ir jāīsteno tehniski un organizatoriski pasākumi, lai nodrošinātu apstrādāto personas datu konfidencialitāti, integritāti un pieejamību un aizsargātu pret nejaušu vai nelikumīgu iznīcināšanu, pazaudēšanu, pārveidošanu, izpaušanu, piekļuvi vai citiem nelikumīgiem apstrādes veidiem.

Reklāma mobilajās veselības aplikācijās

Pastāv atšķirība starp reklāmu, kuras pamatā ir personas datu apstrāde (pieprasot piekrišanu sniegt piekrišanu), un reklāmu, kas nav atkarīga no personas datiem (atteikšanās piekrišana).

Personas datu izmantošana sekundāriem mērķiem

Jebkādai apstrādei sekundārajos nolūkos jābūt saderīgai ar sākotnējo nolūku. Turpmāku apstrādi zinātniskās un vēstures pētniecības vai statistikas nolūkos uzskata par saderīgu ar sākotnējo mērķi. Otrreizējai apstrādei nesaderīgos nolūkos ir vajadzīga jauna piekrišana.

Datu izpaušana trešām personām apstrādes darbību veikšanai

Lietotājs ir jāinformē pirms informācijas izpaušanas, un lietotnes izstrādātājam ir jānoslēdz saistošs juridisks līgums ar trešo personu.

Datu pārsūtīšana

Datu pārsūtīšanai uz vietu ārpus ES/EEZ ir jābūt juridiskām garantijām, kas atļauj šādu nosūtīšanu, piemēram, Eiropas Komisijas lēmums par aizsardzības līmeņa pietiekamību, Eiropas Komisijas parauglīgumi vai saistoši uzņēmuma noteikumi.

Personas datu aizsardzības pārkāpums

Kods nodrošina kontrolsarakstu, kas jāievēro personas datu aizsardzības pārkāpuma gadījumā, jo īpaši attiecībā uz pienākumu paziņot datu aizsardzības iestādei.

No bērniem savāktie dati

Atkarībā no vecuma ierobežojuma, kas noteikts valsts tiesību aktos, ir jāizmanto visierobežojošākā pieeja datu apstrādei un jāievieš vecāku piekrišanas iegūšanas process.