Artykuły eksperckie

Przetwarzanie danych wrażliwych w aplikacjach MedTech i HealthTech

⟨⟨ Powrót
Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?
e-mail: kancelaria@afterlegal.pl
tel. +48 500 436 703

Opublikowano:

Aplikacje medyczne i diagnostyczne stanowią dzisiaj nieodłączny element nowoczesnych świadczeń zdrowotnych. Z aplikacji MedTech i HealthTech korzystają publiczne szpitale, kliniki prywatne i indywidualne gabinety lekarskie. Co trzeba wiedzieć o stosowaniu przepisów RODO i przetwarzaniu danych wrażliwych w aplikacjach MedTech i HealthTech?

Czego dowiesz się z tego artykułu:

  • Dlaczego dane medyczne wymagają szczególnej ochrony?
  • Kiedy można zgodnie z prawem przetwarzać dane osobowe dotyczące zdrowia?
  • O czym powinni pamiętać developerzy aplikacji e-health?

Czym są dane medyczne?

Przepisy rozporządzenia RODO nie przewidują definicji danych medycznych. Grupa Robocza Art. 29, niezależny podmiot o charakterze doradczym kwalifikuje do tej kategorii kilka rodzajów informacji:

  • dane medyczne dotyczące stanu zdrowia fizycznego lub psychicznego badanej osoby wygenerowane i użytkowane w ściśle medycznym kontekście,
  • surowe dane zebrane przez aplikacje lub urządzenie, które mogą posłużyć – samodzielnie albo w połączeniu z innymi informacjami – do oceny stanu zdrowia albo ryzyka zdrowotnego,
  • dane, które – w ujęciu ogólnym – pozwalają na ocenę stanu zdrowia lub ryzyka zdrowotnego niezależnie od dokładności, adekwatności i prawidłowości tych danych.

Tak szerokie ujęcie pojęcia danych medycznych powoduje, że opisane niżej zasady znajdą zastosowanie do wielu urządzeń służących bezpośrednio do badania, diagnostyki, ale także pomiaru różnego rodzaju wskaźników fizjologicznych.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Kiedy dopuszczalne jest przetwarzanie danych osobowych dotyczących zdrowia?

Rozporządzenie RODO wyróżnia dwie kategorie danych osobowych – dane osobowe zwykłe i dane osobowe szczególnej kategorii.

Do tej drugiej zalicza się m.in. dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby fizycznej zgodnie z art. 9 ust. 1 RODO. Jako dane osobowe zdrowotne kwalifikuje się wszystkie dane o stanie zdrowia aktualnym lub przeszłym, fizycznym lub psychicznym. Na takiej liście mogą znaleźć się np.:

  • numer pacjenta lub oznaczenie próbki pochodzącego od niego materiału,
  • informacje pochodzące z badań laboratoryjnych, lekarskich, w tym próbek genetycznych,
  • informacje dotyczące stanu zdrowia, ograniczeń fizycznych, zaburzeń psychicznych.

Dane osobowe zdrowotne podlegają na każdym etapie – zarówno ich zbierania, analizy, jak i przechowywania. Zasadniczo obowiązuje zakaz przetwarzania szczególnej kategorii danych osobowych poza wyjątkami wskazanymi w art. 9. Obejmują one m.in.:

  • zgodę osoby uprawnionej, chyba że prawo państwa członkowskiego uniemożliwia uchylenie zakazu,
  • wypełnianie obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,
  • konieczność ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.

Warto wskazać, że nie zawsze będzie można łatwo ocenić, czy dany rodzaj informacji stanowi już wrażliwe dane osobowe. Przykładem takiego parametru będzie np. liczba wykonanych kroków zmierzona przez zegarek sportowy. Jeśli wartość pozostaje w oderwaniu od innych wartości mogących identyfikować osobę fizyczną, można ocenić ją jako „low-impact lifestyle personal data”. Z drugiej strony połączenie tej danej z geolokalizacją powoduje, że powstają już dane osobowe wrażliwe.

Czy zebrane dane medyczne mogą być wykorzystane w innym celu, niż pierwotnie zostały zebrane?

Grupa robocza art. 29 (poprzedniczka obecnie działającej Europejskiej Rady Ochrony Danych) wskazuje, że dane osobowe mogą być wykorzystane w celach drugorzędnych (ang. secondary purposes) pod warunkiem, że są zgodne z celem głównym. Takim celem może być np. analiza historyczna trendów zdrowotnych. Rozbieżność między celem głównym a drugorzędnym wymaga uzyskania osobnej zgody osoby fizycznej.

Czy dane zdrowotne pacjentów mogą być swobodnie transferowane do państwa trzeciego poza obszar UE/EOG?

System prawny musi zapewniać odpowiednio wysoki standard ochrony danych osobowych. Ten efekt można uzyskać poprzez wydanie odpowiedniej decyzji przez Komisję Europejską, zastosowanie klauzul modelowych lub opracowanie wiążących reguł korporacyjnych (ang. Binding Corporate Rules).

Jaką rolę odgrywa inspektor ochrony danych w zapewnieniu compliance aplikacji e-health z RODO?

Zadaniem Inspektora Ochrony Danych jest m.in. analiza procesów związanych z przetwarzaniem danych osobowych w organizacji i przygotowywanie rekomendacji w tym zakresie. Choć inspektor ochrony danych nie odpowiada za zgodność oprogramowania z RODO, powinien on sygnalizować wszelkie wątpliwości i potrzeby w tym zakresie.

Sprawdź również: Kara za brak powołania Inspektora Ochrony Danych. Co grozi za brak jego wyznaczenia?

O czym powinni pamiętać developerzy aplikacji MedTech i HealthTech?

Z uwagi na szerokie ujęcie danych osobowych wrażliwych, przy projektowaniu aplikacji należy uwzględnić kilka kwestii, które pozwolą na zachowanie zgodności z prawem oprogramowania i pozwolą administratorowi uniknąć zarzutu bezprawnego przetwarzania danych osobowych. Chodzi przede wszystkim o zagadnienia omówione w kodeksie dobrych praktyk dla prywatności w aplikacjach mHealth.

Zgoda użytkownika

Podstawą przetwarzania danych dotyczących zdrowia powinna być swobodna, konkretna i świadoma zgoda pacjenta. Osoba fizyczna musi wyrazić ją wprost, a cofnięcie zgody każdorazowo powinno prowadzić do niezwłocznego usunięcia danych osobowych.

Ograniczenie celu przetwarzania danych osobowych

Aplikacja przetwarzające dane osobowe z sektora zdrowotnego powinna analizować możliwie najmniejszą ilość informacji niezbędną do osiągnięcia danego celu. Dotyczy to także retencji danych, które nie mogą być przechowywane dłużej, niż jest to niezbędne.

Wdrożenie założeń privacy by design i privacy by default

Podejście do projektowania aplikacji privacy by design zakłada, że mechanizmy ochronne stanowią kluczowy element systemu, zaimplementowany w całym cyklu życia programu. Z kolei privacy by default oznacza, że ustawienia prywatności są domyślnie włączone i użytkownik zasadniczo nie musi podejmować żadnych działań, aby je uruchomić. Wręcz przeciwnie, wymaga się manualnego wyłączenia ochrony prywatności.

Obowiązki informacyjne

Użytkownik aplikacji healthcare powinien otrzymać informacje dotyczące nie tylko administratora i inspektora ochrony danych, ale też swoich uprawnień. Dotyczą one m.in. prawa do żądania zaprzestania przetwarzania danych, ich korekty lub usunięcia, a także złożenia skargi do organu nadzoru.

Wdrożenie zabezpieczeń

Projektowanie aplikacji dla branży healthcare wiąże się z koniecznością wdrożenia odpowiednich zabezpieczeń. Unijny ustawodawca nie wskazuje, jakiego rodzaju powinny być to mechanizmy. Ważne, aby zabezpieczały dane osobowe przed dostępem osób niepowołanych, ich zmianą lub usunięciem. Wśród typowych rozwiązań warto wymienić zabezpieczenie aplikacji hasłem, kontrolę dostępu poprzez biometrię, uwierzytelnianie wieloskładnikowe i cykliczne aktualizacje aplikacji w celu usunięcia podatności.

Ocena zgodności aplikacji z RODO to złożony i wielowątkowy proces. Wymaga ona nie tylko poufności i integralności danych, ale także bezpieczeństwo danych i przestrzeganie standardów jakościowych przez podwykonawców. Ma to szczególnie duże znaczenie w przypadku aplikacji działających w modelu chmurowym, gdzie usługi są często świadczone przez kilka podmiotów działających nierzadko w różnych jurysdykcjach.

Warto wskazać, że prawnicy zajmujący się obsługą prawną startupów technologicznych nie muszą czytać kodu źródłowego. Ważne jest jednak, aby rozumieli, jak wyglądają poszczególne etapy projektowania aplikacji, czym różnią się poszczególne metodyki działania i jak zadbać o compliance z przepisami z wykorzystaniem funkcjonalności oprogramowania.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Ochrona danych osobowych w aplikacjach HealthTech i MedTech. Co możemy dla Ciebie zrobić?

Kancelaria After Legal oferuje kompleksowe wsparcie prawne z zakresu ochrony danych osobowych. Wspieramy naszych klientów na każdym etapie działań poprzez:

  • przeprowadzanie audytów RODO w organizacji oraz poszczególnych projektach,
  • opracowywanie rekomendacji w zakresie ochrony danych osobowych,
  • szkolenie pracowników,
  • przygotowywanie niezbędnej dokumentacji,
  • reprezentację przed Prezesem UODO.

Z naszą pomocą zyskasz pewność, że aplikacje, które udostępniasz swoim klientom, nie stwarzają dla Ciebie zagrożeń pod kątem prawnym.