Cieľom kódexu správania pri ochrane osobných údajov v mobilných zdravotných aplikáciách je podporiť dôveru medzi používateľmi a poskytnúť konkurenčnú výhodu tým, ktorí sa k nemu prihlásia.
Prvé verzie kódexu správania pre mobilné zdravotnícke aplikácie boli vypracované na základe konzultácie Európskej komisie o zelenej knihe o mobilnom zdravotníctve z roku 2014. Z konzultácie vyplynulo, že ľudia často nedôverujú mobilným zdravotníckym aplikáciám z dôvodu obáv o súkromie.
V nadväznosti na túto konzultáciu Európska komisia vyzvala zainteresované strany z odvetvia, aby vytvorili kódex správania v oblasti ochrany osobných údajov pre mobilné zdravotnícke aplikácie s cieľom zvýšiť dôveru.
Cieľom bolo, aby kódex správania získal formálny súhlas európskych orgánov na ochranu údajov. Podľa súčasného všeobecného nariadenia o ochrane údajov patrí úloha posudzovania kódexov do mandátu Európskeho výboru pre ochranu údajov. Kódom schváleným Európskym výborom pre ochranu údajov sa môže udeliť všeobecná platnosť v celej EÚ prostredníctvom vykonávacieho aktu.
História a súčasný stav
Práca na kódexe správania pre mobilné zdravotníctvo sa začala v apríli 2015, keď redakčný tím zložený z členov zastupujúcich priemysel začal vypracúvať znenie kódexu. Európska komisia pôsobila ako sprostredkovateľ, ktorý poskytoval právne a politické odborné znalosti a zdroje a dohliadal na rozvoj tejto práce.
Tento redakčný tím zahŕňal App Association (ACT), App developers Alliance, Apple, COCIR, Digital Europe, ECHA, DHACA, EFPIA, Google, Intel, Microsoft, Qualcomm a Samsung. Pracovali prostredníctvom pravidelných stretnutí a prezentovali prácu na rôznych podujatiach s cieľom získať ďalšiu spätnú väzbu. Vízia spočívala v tom, že kódex by mal byť ľahko zrozumiteľný pre MSP a jednotlivých vývojárov, ktorí nemusia mať prístup k právnym odborným znalostiam.
Skorú verziu práce predložil redakčný tím pracovnej skupine zriadenej podľa článku 29 v júni 2016 na prvé kolo spätnej väzby. Na základe rôznych návrhov pracovnej skupiny na zlepšenie sa kódex prepracoval (.pdf) a 7. decembra 2017 bol formálne predložený so žiadosťou o schválenie podľa smernice o ochrane údajov.
Pracovná skupina uverejnila svoje posúdenie v apríli 2018. Zistila, že by sa mali uplatňovať kritériá všeobecného nariadenia o ochrane údajov a že v existujúcom kódexe sa tieto požiadavky zatiaľ primerane neriešili. V dôsledku toho nebol kódex schválený.
Ďalšie kroky
Komisia spolupracuje s celým radom zainteresovaných strán z odvetvia s cieľom podporiť ďalší rozvoj súčasného návrhu kódexu, aby sa v budúcnosti mohol predložiť Európskemu výboru pre ochranu údajov so žiadosťou o formálny súhlas.
Hlavné ustanovenia pre vývojárov aplikácií
Súčasný návrh kódexu pozostáva z praktických usmernení pre vývojárov aplikácií o zásadách ochrany údajov pri vývoji mobilných aplikácií v oblasti zdravia. Kódex sa zaoberá najmä týmito témami:
Súhlas používateľa
Súhlas používateľa so spracovaním osobných údajov musí byť slobodný, konkrétny a informovaný. Na spracovanie údajov týkajúcich sa zdravia je potrebné získať výslovný súhlas. Akékoľvek odvolanie súhlasu musí mať za následok vymazanie osobných údajov používateľa.
Obmedzenie účelu a minimalizácia údajov
Údaje môžu byť spracované len na konkrétne a legitímne účely. Spracúvať sa môžu len údaje, ktoré sú nevyhnutne potrebné pre funkčnosť aplikácie.
Ochrana súkromia už v štádiu návrhu a štandardná ochrana súkromia
Vplyv aplikácie na súkromie sa musí zvážiť v každom kroku vývoja a všade tam, kde má používateľ na výber. Vývojár aplikácie musí štandardne vopred vybrať najmenej invazívnu možnosť ochrany súkromia.
Práva dotknutých osôb a požiadavky na informácie
Používateľ má právo na prístup k svojim osobným údajom, právo požadovať opravy a právo namietať proti ďalšiemu spracovaniu. Vývojár aplikácie musí používateľovi poskytnúť určité informácie o spracovaní.
Uchovávanie údajov
Osobné údaje sa nesmú uchovávať dlhšie, ako je potrebné.
Bezpečnostné opatrenia
Je potrebné zaviesť technické a organizačné opatrenia na zabezpečenie dôvernosti, integrity a dostupnosti spracúvaných osobných údajov a na ochranu pred náhodným alebo nezákonným zničením, stratou, zmenou, zverejnením, prístupom alebo inými nezákonnými formami spracúvania.
Reklama v mobilných zdravotných aplikáciách
Rozlišuje sa medzi reklamou založenou na spracovaní osobných údajov (vyžadujúcou súhlas opt-in) a reklamou nespoliehajúcou sa na osobné údaje (súhlas opt-out).
Používanie osobných údajov na druhotné účely
Každé spracovanie na druhotné účely musí byť zlučiteľné s pôvodným účelom. Ďalšie spracovanie na účely vedeckého a historického výskumu alebo štatistické účely sa považuje za zlučiteľné s pôvodným účelom. Sekundárne spracúvanie na nezlučiteľné účely si vyžaduje nový súhlas.
Poskytnutie údajov tretím stranám na účely spracovateľských operácií
Používateľ musí byť pred zverejnením informovaný a vývojár aplikácie musí uzavrieť záväznú právnu dohodu s treťou stranou.
Prenosy údajov
Pri prenose údajov na miesto mimo EÚ/EHP musia existovať právne záruky umožňujúce takýto prenos, napr. rozhodnutie Európskej komisie o primeranosti, vzorové zmluvy Európskej komisie alebo záväzné firemné pravidlá.
Porušenie ochrany osobných údajov
Kódex poskytuje kontrolný zoznam, ktorý sa má dodržiavať v prípade porušenia ochrany osobných údajov, najmä povinnosť informovať orgán na ochranu údajov.
Údaje získané od detí
V závislosti od vekovej hranice vymedzenej vo vnútroštátnych právnych predpisoch je potrebné prijať najreštriktívnejší prístup k spracúvaniu údajov a zaviesť postup na získanie súhlasu rodičov.
Najnovšie správy
Súvisiaci obsah
Širšia perspektíva