Kodeks postępowania w zakresie prywatności w mobilnych aplikacjach zdrowotnych ma na celu promowanie zaufania wśród użytkowników i zapewnienie przewagi konkurencyjnej tym, którzy się do niego zarejestrują.
Pierwsze wersje kodeksu postępowania dotyczącego mobilnych aplikacji zdrowotnych przygotowano w kontekście konsultacji Komisji Europejskiej w sprawie zielonej księgi dotyczącej mobilnej opieki zdrowotnej z 2014 r. Konsultacje wykazały, że ludzie często nie ufają mobilnym aplikacjom zdrowotnym ze względu na obawy dotyczące prywatności.
W wyniku tych konsultacji Komisja Europejska zachęciła zainteresowane strony z branży do opracowania kodeksu postępowania w zakresie ochrony prywatności w mobilnych aplikacjach zdrowotnych w celu zwiększenia zaufania.
Celem było uzyskanie formalnego zatwierdzenia kodeksu postępowania przez europejskie organy ochrony danych. Zgodnie z obowiązującym ogólnym rozporządzeniem o ochronie danych (RODO) rola oceny kodeksów wchodzi w zakres mandatu Europejskiej Rady Ochrony Danych. Kodeksom zatwierdzonym przez Europejską Radę Ochrony Danych można nadać ogólną ważność w całej UE w drodze aktu wykonawczego.
Historia i aktualny status
Prace nad mobilnym kodeksem postępowania w dziedzinie zdrowia rozpoczęły się w kwietniu 2015 r., kiedy zespół redakcyjny złożony z członków z branży zaczął opracowywać tekst kodeksu. Komisja Europejska pełniła rolę mediatora, zapewniając wiedzę fachową i zasoby w zakresie prawa i polityki oraz nadzorując rozwój tych prac.
Zespół redakcyjny obejmował App Association (ACT), App Developers Alliance, Apple, COCIR, Digital Europe, ECHA, DHACA, EFPIA, Google, Intel, Microsoft, Qualcomm i Samsung. Pracowali w ramach regularnych spotkań i prezentowali prace na różnych wydarzeniach w celu uzyskania dalszych informacji zwrotnych. Zgodnie z wizją kodeks powinien być łatwo zrozumiały dla MŚP i indywidualnych programistów, którzy mogą nie mieć dostępu do wiedzy prawnej.
Wczesna wersja prac została przedłożona przez zespół redakcyjny Grupie Roboczej Art. 29 w czerwcu 2016 r. w celu uzyskania pierwszej rundy informacji zwrotnych. W następstwie różnych sugestii grupy roboczej dotyczących ulepszeń kodeks został przeredagowany (.pdf) i formalnie przedłożony w dniu 7 grudnia 2017 r. z wnioskiem o zatwierdzenie na mocy dyrektywy o ochronie danych.
Grupa robocza opublikowała swoją ocenę w kwietniu 2018 r. Stwierdzono w nim, że należy stosować kryteria określone w RODO oraz że istniejący kodeks nie spełnia jeszcze w wystarczającym stopniu tych wymogów. W związku z tym kodeks nie został zatwierdzony.
Kolejne kroki
Komisja współpracuje z szeregiem zainteresowanych stron z branży w celu zachęcenia do dalszego opracowywania obecnego projektu kodeksu, tak aby w przyszłości mógł on zostać przedłożony Europejskiej Radzie Ochrony Danych w celu uzyskania formalnego zatwierdzenia.
Główne przepisy dla twórców aplikacji
Obecny projekt kodeksu obejmuje praktyczne wytyczne dla twórców aplikacji dotyczące zasad ochrony danych przy opracowywaniu mobilnych aplikacji zdrowotnych. Kodeks dotyczy w szczególności następujących tematów:
Zgoda użytkownika
Zgoda użytkownika na przetwarzanie danych osobowych musi być dobrowolna, konkretna i świadoma. Przetwarzanie danych dotyczących zdrowia wymaga uzyskania wyraźnej zgody. Każde wycofanie zgody musi skutkować usunięciem danych osobowych użytkownika.
Ograniczenie celu i minimalizacja danych
Dane mogą być przetwarzane wyłącznie w określonych i prawnie uzasadnionych celach. Przetwarzane mogą być tylko te dane, które są absolutnie niezbędne do funkcjonowania aplikacji.
Uwzględnianie ochrony prywatności w fazie projektowania i domyślna ochrona prywatności
Implikacje dotyczące prywatności aplikacji muszą być brane pod uwagę na każdym etapie rozwoju i wszędzie tam, gdzie użytkownik ma wybór. Twórca aplikacji musi domyślnie wybrać najmniej inwazyjny wybór prywatności.
Prawa osób, których dane dotyczą, i wymogi informacyjne
Użytkownik ma prawo dostępu do swoich danych osobowych, żądania ich sprostowania oraz wniesienia sprzeciwu wobec dalszego przetwarzania. Twórca aplikacji musi przekazać użytkownikowi pewne informacje na temat przetwarzania.
Zatrzymywanie danych
Dane osobowe nie mogą być przechowywane dłużej niż jest to konieczne.
Środki bezpieczeństwa
Należy wdrożyć środki techniczne i organizacyjne w celu zapewnienia poufności, integralności i dostępności przetwarzanych danych osobowych oraz ochrony przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, ujawnieniem, dostępem lub innymi niezgodnymi z prawem formami przetwarzania.
Reklama w mobilnych aplikacjach zdrowotnych
Istnieje rozróżnienie między reklamą opartą na przetwarzaniu danych osobowych (wymagającą zgody typu „opt-in”) a reklamą nieopartą na danych osobowych (zgoda typu „opt-out”).
Wykorzystywanie danych osobowych do celów drugorzędnych
Wszelkie przetwarzanie do celów wtórnych musi być zgodne z pierwotnym celem. Dalsze przetwarzanie do celów badań naukowych i historycznych lub do celów statystycznych uznaje się za zgodne z pierwotnym celem. Wtórne przetwarzanie w celach niezgodnych wymaga nowej zgody.
Ujawnianie danych stronom trzecim w celu przeprowadzenia operacji przetwarzania
Użytkownik musi zostać poinformowany przed ujawnieniem, a twórca aplikacji musi zawrzeć wiążącą umowę prawną z osobą trzecią.
Przekazywanie danych
W przypadku przekazywania danych do lokalizacji poza UE/EOG muszą istnieć gwarancje prawne umożliwiające takie przekazywanie, np. decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony, wzory umów Komisji Europejskiej lub wiążące reguły korporacyjne.
Naruszenie ochrony danych osobowych
Kodeks zawiera listę kontrolną, którą należy stosować w przypadku naruszenia ochrony danych osobowych, w szczególności obowiązek powiadomienia organu ochrony danych.
Dane zebrane od dzieci
W zależności od granicy wieku określonej w przepisach krajowych należy przyjąć najbardziej restrykcyjne podejście do przetwarzania danych i wprowadzić proces uzyskiwania zgody rodziców.
Najnowsze wiadomości
Podobne tematy
W szerszej perspektywie