Profilujące apteki

Kilka dni temu Dziennik Gazeta Prawna poinformował, że sieć aptek Gemini „zaczęła masowo profilować pacjentów”. Specjalna aplikacja ma ułatwić klientom zrealizowanie recepty: sprawdzenie bez wychodzenia z domu, czy poszukiwany zestaw leków jest dostępny w konkretnej aptece, zarezerwowanie go i zainicjowanie przygotowania do odbioru. To brzmi jak realne udogodnienie – szczególnie dla pacjentów, którzy poszukują trudniej dostępnych substancji. Ale ta wygoda ma cenę, i to niebagatelną.

Po pierwsze, skorzystanie z aplikacji oznacza przetwarzanie wszystkich danych medycznych, jakie znajdują się na e-recepcie. Według Naczelnej Rady Aptekarskiej w grę wchodzi aż 60 rodzajów danych, w tym oczywiście dane wrażliwe. Po drugie, te dane nie trafią bezpośrednio do apteki, ale do spółki powiązanej z siecią aptek, a także do firm, które świadczą usługi chmurowe: Amazona i Microsoftu. Po trzecie, te wszystkie wrażliwe dane będą mogły (za zgodą pacjentów, przy czym jej udzielenie to tylko jedno dodatkowe kliknięcie) posłużyć do ich profilowania. Mamy poważne wątpliwości co do legalności tak zaprojektowanej usługi. Dlatego zapytaliśmy Prezesa Urzędu Ochrony Danych Osobowych o to, czy bada sprawę.

Sami również przyglądamy się tej aplikacji, ale mamy jeszcze za mało danych, by zająć stanowisko. Już na pierwszy rzut oka nasuwają się jednak dwie poważne wątpliwości:

• czy zgodę na profilowanie, do której wyrażenia są zachęcani użytkownicy aplikacji, można uznać za ważną, skoro tak naprawdę nie wiedzą oni, na co się zgadzają (klauzula informacyjna na stronie i w aplikacji jest pod tym względem bardzo enigmatyczna)? W rzeczywistości może się okazać, że klienci zapłacą za dopasowanie reklam na stronie internetowej aptek wysoką cenę (np. w wyższej stawce ubezpieczenia, jeśli ich dane trafią w niepowołane ręce);
• czy zakres danych, jakie ma zbierać aplikacja, jest adekwatny do celu, jaki ta usługa realizuje? Zgodnie z zasadą minimalizacji danych spółka powiązana z apteką Gemini nie powinna zbierać więcej, niż to niezbędne do świadczenia zamówionej usługi – a 60 rodzajów danych medycznych to naprawdę szeroki zakres!

Naszym zdaniem ze względu na charakter danych, jakich dotyczy sprawa, Prezes Urzędu Ochrony Danych Osobowych powinien pilnie przyjrzeć się tematowi. Jeśli okaże się, że Prezes prowadzi już postępowanie w tej sprawie, szczegółowo przeanalizujemy sprawę i rozważymy wniosek o przyłączenie się do niego. W tym scenariuszu będziemy mieć możliwość m.in. przedstawienia własnej opinii prawnej lub zaskarżenia decyzji Urzędu do sądu administracyjnego.

Aktualizacja (30.06.2020)

W związku z kolejnymi informacjami prasowymi, spółka Gemini wydała oświadczenie, które dotyczy m.in. poruszanego przez nas wątku zakresu danych osobowych, do jakiego dostęp ma aplikacja. Jego elementem jest poniższa infografika. Zdaniem spółki wszystkie newralgiczne dane pozostają pomiędzy platformą Ministerstwa Zdrowia a posiadającą certyfikat apteką, do aplikacji trafiać mają wyłącznie informacje o tym, czy recepta jest ważna i czy przypisane na niej leki znajdują się w aptece.

Ze względu na rosnące wątpliwości, podtrzymujemy naszą opinię, że w interesie publicznym jest niezwłoczna weryfikacja zasad działania aplikacji przez Urząd Ochrony Danych Osobowych.

Wojciech Klicki, Katarzyna Szymielewicz

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon!