Technologie wearables i medical apps a dane osobowe

Dodane:

Rafał Malujda Rafał Malujda

Udostępnij:

Skoro w najnowszym Hype Cycle Gartnera, technologie „noszone” (wearable technologies) zostały spozycjonowane w obszarze „plateau of productivity”, najwyższy czas, aby spojrzeć na cały ten nowy fenomen od strony prawnej.

Coraz więcej startupów i firm przymierza się bowiem do wejścia w ten sektor. Na pewno nie można się obawiać tego rodzaju technologii, czy się przed nimi bronić. Będą elementem naszej rzeczywistości i z tym należy się oswoić. Ze względu jednak na to, że są i będą to urządzenia przetwarzające różnego rodzaju dane, w tym dane osobowe, warto zastanowić się nad tym, jaki wpływ będą te „wearables” miały w naszym codziennym życiu. O czym, od strony prawnej, należy pamiętać tworząc produkt z wymienionych kategorii?

Kategoria technologii noszonych to bardzo szeroka grupa. Zasadniczo mamy tutaj na uwadze różnego rodzaju urządzenia „codziennego” użytku, jak zegarki, bransoletki, inteligentne opaski na różne części ciała czy okulary (tytułem przykładu można wymienić takie rozwiązania jak Fitbit, Jawbone czy Google Glass), które – komunikując się poprzez Internet i wielokrotnie współpracując z aplikacjami na smarfonach – posiadają dodatkowe funkcjonalności (np. monitorują aktywność fizyczną i sen, w planach mają identyfikować inne osoby będące w zasięgu tych urządzeń). Do grupy tej zaliczamy również zaawansowane tekstylia (e-tekstylia, „smart textiles”), które jednak niekoniecznie muszą (czy też mogą) komunikować się z innymi urządzeniami za pośrednictwem sieci Internet, co powoduje, iż nie powodują one konieczności analizy z perspektywy chociażby prawnych aspektów prywatności.

Przetwarzanie danych, „medical apps” i odpowiedzialność za produkt

Technologie noszone przetwarzają różnego rodzaju dane. Mamy do czynienia z aplikacjami monitorującymi BMI użytkownika i przypominającymi mu o konieczności spożycia leku. Takie połączenie aplikacji z fizycznym produktem (lub sam produkt) mogą zostać uznane za „urządzenie medyczne” i jako całość podlegać określonym rejestracjom (certyfikacjom) jako produkty medyczne, w tym zakresie oznaczenia CE. Producent i podmiot wprowadzający takie produkty na rynek ponoszą normalną odpowiedzialność za produkt w tym zakresie.

Producenci aplikacji, które obsługują tego rodzaju usługi, często przetwarzane w chmurze, muszą pamiętać dodatkowo o tym, aby były one odpowiednio zabezpieczone i że mogą być przekazywane innym podmiotom jedynie na podstawie przepisów prawa lub zgody użytkownika (podmiotu danych osobowych). Zgoda ta, w przypadku danych medycznych, musi być wyrażona na piśmie, aczkolwiek nie jest ona wymagana w wymienionych w przepisach sytuacjach, do których zaliczamy przetwarzanie prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.

Dobrym momentem na uporządkowanie tych mechanizmów w każdej firmie jest moment przygotowywania polityki bezpieczeństwa informacji i instrukcji zarządzania systemem informatycznym. Warto też przeprowadzić już teraz swoisty Data Protection Impact Assesment – PIA (czyli „ćwiczenie”, jaki wpływ technologia którą opracowujemy lub będziemy chcieli stosować w firmie ma na obszar przetwarzania danych osobowych), kótre będzie obligatoryne – w szczególności w zakresie nowych technologii powodujących duże ryzyko zagrożenia naruszenia praw i wolności innych osób – na podstawie nowego rozporządzenia UE dot. danych osobowych (EU Data Protection Regulation).

„HR team” & wearable?

Tak, również dział HR w firmie będzie musiał przyjrzeć się technologiom wearable i przygotować się do ich funkcjonowania w rzeczywistości. Korzystanie z każdej nowinki technologicznej nie powinno budzić obaw, aczkolwiek warto znaleźć złoty środek w regulaminach wewnętrznych (szczególnie tych większych firm), tak aby nie dochodziło do bardzo łatwego wycieku danych (często niekontrolowanego), a powodowanego przez nagrania czy podsłuch odbywający się za pośrednictwem tych technologii. Warto również pamiętać, że inni pracownicy mogą również cenić swoją prywatność i będą oczekiwali od pracodawcy gwarancji, że w miejscu pracy nikt nie dokonuje ukrytego „streamingu” tego, jak jedzą drugie śniadanie, a nie każdy może chcieć szukać czerwonej lampki w okularach swojego współpracownika lub przed nią uciekać, jak już ją odkryje.

Wątek „wearable” ma więc wiele aspektów, aczkolwiek przy odpowiednim przygotowaniu czy to do świadczenia usług z wykorzystaniem tych technologii czy też do ich wykorzystywania na co dzień w firmie, będzie to na pewno korzystne, a technologie spełnią swoją funkcję.

Rafał Malujda

Radca prawny, LL.M. (Rostock)

Prowadzi kancelarię radcy prawnego malujda.pl. Od 12 lat zajmuje się prawem nowych technologii, specjalizuje się w kompleksowej obsłudze firm IT, w tym startupów, współpracuje także z funduszami inwestycyjnymi.