mHealth – aktuální směr v péči o zdraví
Pojem „mHealth“, případně „mobile health“, označuje užití mobilních zařízení a bezdrátových technologií, jako jsou mobilní telefony a tablety, či nositelných zařízení, jako jsou například inteligentní hodinky, za účelem poskytování zdravotních služeb, informací a sběru údajů o zdravotním stavu osob.
Význam mHealth není zanedbatelný: podle Mezinárodní telekomunikační unie (ITU) bylo v roce 2015 na celém světě více než 7 miliard mobilních telefonů, přičemž více než 70 % z nich bylo registrováno v zemích s nízkým nebo středním příjmem. Přístup k mHealth aplikacím a mobilním řešením (od SMS až po komplexní aplikace v chytrých telefonech) tak má stále vyšší podíl obyvatel. Podle Světové zdravotnické organizace (WHO) mají digitální technologie v oblasti zdraví potenciál zásadně změnit způsob, jakým budou občané komunikovat s národními zdravotnickými systémy. mHealth zlepšuje kvalitu a pokrytí péče, umožňuje přístup ke zdravotním informacím a podporuje pozitivní změny v chování osob předcházející vzniku akutních a chronických onemocnění. Jak ale zjistila Evropská komise („Komise“), uživatelé často mHealth aplikacím v oblasti ochrany jejich soukromí nevěří.
Působnost a základní pilíře Kodexu chování v oblasti ochrany soukromí v mHealth aplikacích
Nejen z výše popsaných důvodů se Komise snaží návrhem Kodexu chování v oblasti ochrany soukromí v mHealth aplikacích („Kodex“) poskytnout provozovatelům a vývojářům mHealth aplikací srozumitelné pokyny, jak uplatňovat evropskou legislativu v oblasti ochrany údajů ve vztahu ke specifikům mHealth aplikací. Kodex však ze své působnosti výslovně vyjímá jakýkoli přesah do dalších oblastí regulace, jako například regulaci zdravotnických prostředků, ochrany spotřebitele či e-commerce. Kodex se také nevztahuje na pouhá „lifestylová“ data; pro určení, zda se jedná o údaje o zdravotním stavu, je podle Komise nezbytné posoudit celkový kontext zpracování osobních údajů a účel, za nímž byla aplikace vytvořena. Jako příklad aplikace sbírající údaje o zdravotním stavu Komise uvádí aplikaci umožňující uživatelům evidovat užívání léků či předvídat riziko určitého onemocnění. Naopak aplikace měřící počet ujitých kroků údaje o zdravotním stavu nezpracovává, nedochází-li zároveň ke spojování s dalšími údaji či tvorbě profilů uživatelů z hlediska jejich fyzického stavu.
Ačkoli si Kodex klade za cíl oslovit vývojáře aplikací, komunitu ochrany osobních údajů, asociace i konečné uživatele aplikací, v praxi se zaměřuje zejména na vývojáře aplikací, jimž věnuje hlavní prostor.
Podle Kodexu by mělo dojít ke zřízení valného shromáždění jako poradního orgánu, v němž by byly zastoupeny všechny výše popsané dotčené strany. Rozhodující roli by hrála výkonná rada, volená z členů valného shromáždění a operativními otázkami by se zabýval monitorovací orgán, který by monitoroval soulad s Kodexem v praxi.
Pokud by se vývojář mHealth aplikace chtěl k dodržování Kodexu přihlásit, musel by pro aplikaci provést posouzení vlivu na ochranu osobních údajů, jehož vzor je obsažen v příloze Kodexu a společně s ním předložit prohlášení o dodržování Kodexu. Takový vývojář by pak byl zveřejněn v centralizovaném veřejném registru, vedeném monitorovacím orgánem a mohl by používat za tím účelem vytvořenou známku důvěry. Kodex zároveň předpokládá externí audity vývojářů na dobrovolné bázi a mimosoudní řešení sporů a stížností před k tomu určeným orgánem.
Konkrétní doporučení vývojářům mHealth aplikací
Kodex poskytuje vývojářům doporučení v některých oblastech, které jsou z hlediska ochrany osobních údajů nejvíce relevantní, a to zejména v oblasti získání výslovného a granulovaného souhlasu se zpracováním osobních údajů uživatelů aplikace. Takový souhlas by mohl být získáván postupně po částech vždy v rozsahu, v němž by si uživatel přál mHealth aplikaci využívat. Jakékoli odvolání souhlasu nebo zrušení instalace aplikace pak dle Kodexu musí vyústit ve výmaz údajů uživatele. Data by také měla být vymazána po určité době nevyužívání aplikace, nebo pokud již nebudou relevantní pro dosažení stanoveného účelu.
Vývojáři by také měli zvážit, jaké konkrétní osobní údaje pro fungování mHealth aplikace a pro dosažení stanoveného účelu potřebují, a neměli by sbírat více údajů, než je nezbytné. Jakékoli sekundární užití dat (např. prodej získaných dat výrobci léčivých přípravků) je možné jen v anonymizované podobě či s dodatečným souhlasem uživatele.
Aplikace by měly být obecně vyvíjeny v souladu s principem záměrné a standardní ochrany a obsahovat uživatelsky přístupné rozhraní, v němž by uživatelé mohli vykonávat svá práva dle Obecného nařízení o ochraně osobních údajů (Nařízení (EU) 2016/679) („GDPR“) (právo na přístup k osobním údajům, jejich opravu, právo na jejich výmaz, právo na omezení zpracování, právo vznést námitku a právo na přenositelnost).
Kodex také poskytuje souhrn informací, které by měly být uživatelům mHealth aplikace podány prostřednictvím kratší verze informační povinnosti před instalací aplikace, i vzor plné informační povinnosti zpřístupněné uživatelům kdykoli později v rámci samotné mHealth aplikace.
Pokud vývojář nebo provozovatel aplikace zamýšlí zobrazovat v aplikaci reklamu, v souladu s Kodexem by měl zhodnotit, zda jsou k jejímu zobrazování využívány osobní údaje či nikoli. V obecném režimu zobrazení nepersonalizované reklamy by mělo být její zobrazování před instalací mHealth aplikace uživatelem potvrzeno a měla by mu být dána možnost se z reklamy kdykoli i dodatečně odhlásit (tzv. opt-out režim). Pokud jsou za účelem zobrazování reklamy osobní údaje předávány třetí osobě, nebo jedná-li se o cílenou reklamu využívající osobní údaje uživatele, uživatel k tomu musí udělit předchozí souhlas (tzv. opt-in režim). Užití mHealth aplikace jako celku však dle Kodexu může být udělením souhlasu podmíněno, resp. v důsledku opt-out může dojít ke zrušení instalace aplikace uživateli.
Kritika Kodexu
Poté, co byl Kodex předložen pracovní skupině zřízené podle článku 29 směrnice o ochraně osobních údajů („WP29“) ke schválení, podrobila jej WP29 kritice a vznesla značné připomínky, které doporučila ke zapracování. Podle těchto připomínek nepřináší Kodex dodatečnou přidanou hodnotu a nevypořádává se dostatečně s těmi otázkami, které dotčené subjekty v oblasti mHealth aplikací tíží. Kodex je příliš obecný, zároveň mu bylo taktéž vytčeno příliš úzké zaměření na ochranu osobních údajů, resp. opomenutí legislativy v oblasti cookies, nekalých obchodních praktik, regulace zdravotnických prostředků apod., která může pro vývojáře také hrát značnou roli. Kodex pak dle výtek nedostatečně objasňuje postavení osob, které jsou ve zpracování zahrnuty (vývojář se totiž může nacházet v pozici správce, zpracovatele, či společného správce).
WP29 také pochybuje nad tím, že by byl souhlas ve všech případech užívání mHealth aplikací jediným právním titulem pro jejich využití a zároveň rozporuje svobodnost všech takto udělených souhlasů.
V současné době tak Kodex čeká doplnění a přepracování, po němž by měl být předložen Evropskému sboru pro ochranu osobních údajů, který za účinnosti GDPR WP29 nahradil, k novému schválení. Vývojáři se však i tak mohou k dodržování Kodexu přihlásit a začít jej v praxi dodržovat. S ohledem na nejednotnost přístupu zejména co do právních základů zpracování osobních údajů je však nepochybně praktičtější vyčkat finálního znění Kodexu. Bez ohledu na přijetí Kodexu budou totiž vývojáři mHealth aplikací muset posoudit právní otázky ochrany soukromí v aplikacích nejen s ohledem na GDPR, ale také s ohledem na veškeré další platné právní předpisy.