Artykuł 26.06.2020 5 min. czytania Tekst Image Kilka dni temu Dziennik Gazeta Prawna poinformował, że sieć aptek Gemini „zaczęła masowo profilować pacjentów”. Specjalna aplikacja ma ułatwić klientom zrealizowanie recepty: sprawdzenie bez wychodzenia z domu, czy poszukiwany zestaw leków jest dostępny w konkretnej aptece, zarezerwowanie go i zainicjowanie przygotowania do odbioru. To brzmi jak realne udogodnienie – szczególnie dla pacjentów, którzy poszukują trudniej dostępnych substancji. Ale ta wygoda ma cenę, i to niebagatelną. Po pierwsze, skorzystanie z aplikacji oznacza przetwarzanie wszystkich danych medycznych, jakie znajdują się na e-recepcie. Według Naczelnej Rady Aptekarskiej w grę wchodzi aż 60 rodzajów danych, w tym oczywiście dane wrażliwe. Po drugie, te dane nie trafią bezpośrednio do apteki, ale do spółki powiązanej z siecią aptek, a także do firm, które świadczą usługi chmurowe: Amazona i Microsoftu. Po trzecie, te wszystkie wrażliwe dane będą mogły (za zgodą pacjentów, przy czym jej udzielenie to tylko jedno dodatkowe kliknięcie) posłużyć do ich profilowania. Mamy poważne wątpliwości co do legalności tak zaprojektowanej usługi. Dlatego zapytaliśmy Prezesa Urzędu Ochrony Danych Osobowych o to, czy bada sprawę. Sami również przyglądamy się tej aplikacji, ale mamy jeszcze za mało danych, by zająć stanowisko. Już na pierwszy rzut oka nasuwają się jednak dwie poważne wątpliwości: czy zgodę na profilowanie, do której wyrażenia są zachęcani użytkownicy aplikacji, można uznać za ważną, skoro tak naprawdę nie wiedzą oni, na co się zgadzają (klauzula informacyjna na stronie i w aplikacji jest pod tym względem bardzo enigmatyczna)? W rzeczywistości może się okazać, że klienci zapłacą za dopasowanie reklam na stronie internetowej aptek wysoką cenę (np. w wyższej stawce ubezpieczenia, jeśli ich dane trafią w niepowołane ręce); czy zakres danych, jakie ma zbierać aplikacja, jest adekwatny do celu, jaki ta usługa realizuje? Zgodnie z zasadą minimalizacji danych spółka powiązana z apteką Gemini nie powinna zbierać więcej, niż to niezbędne do świadczenia zamówionej usługi – a 60 rodzajów danych medycznych to naprawdę szeroki zakres! Naszym zdaniem ze względu na charakter danych, jakich dotyczy sprawa, Prezes Urzędu Ochrony Danych Osobowych powinien pilnie przyjrzeć się tematowi. Jeśli okaże się, że Prezes prowadzi już postępowanie w tej sprawie, szczegółowo przeanalizujemy sprawę i rozważymy wniosek o przyłączenie się do niego. W tym scenariuszu będziemy mieć możliwość m.in. przedstawienia własnej opinii prawnej lub zaskarżenia decyzji Urzędu do sądu administracyjnego. Aktualizacja (30.06.2020) W związku z kolejnymi informacjami prasowymi, spółka Gemini wydała oświadczenie, które dotyczy m.in. poruszanego przez nas wątku zakresu danych osobowych, do jakiego dostęp ma aplikacja. Jego elementem jest poniższa infografika. Zdaniem spółki wszystkie newralgiczne dane pozostają pomiędzy platformą Ministerstwa Zdrowia a posiadającą certyfikat apteką, do aplikacji trafiać mają wyłącznie informacje o tym, czy recepta jest ważna i czy przypisane na niej leki znajdują się w aptece. Ze względu na rosnące wątpliwości, podtrzymujemy naszą opinię, że w interesie publicznym jest niezwłoczna weryfikacja zasad działania aplikacji przez Urząd Ochrony Danych Osobowych. Wojciech Klicki, Katarzyna Szymielewicz Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon! Wojciech Klicki Autor Temat ochrona zdrowia bazy danych dane osobowe Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł Rejestr PESEL: drzwi otwarte zbyt szeroko Dostęp w trybie weryfikacji do rejestru PESEL – jak to działa? Firma zajmująca się windykacją wierzytelności lub udzielaniem „chwilówek” dysponuje numerem PESEL i adresem konkretnej osoby, ale nie wie, czy adres wciąż jest prawidłowy. 18.10.2018 Tekst Artykuł Mirosław Wróblewski nowym Prezesem Urzędu Ochrony Danych Osobowych 17 stycznia 2024 r. Senat RP wyraził zgodę na powołanie Mirosława Wróblewskiego na stanowisko Prezesa Urzędu Ochrony Danych Osobowych. Mirosław Wróblewski rozpocznie swoją czteroletnią kadencję na stanowisku Prezesa UODO po złożeniu ślubowania w Sejmie. 18.01.2024 Tekst Artykuł noyb: miesiąc po Schrems II składamy 101 skarg w całej Europie Po głośnym wyroku Trybunału Sprawiedliwości UE w sprawie przekazywania danych osobowych Europejczyków do USA rozgorzała dyskusja na temat jego praktycznych konsekwencji. Czy po tym orzeczeniu europejskie firmy wciąż mogą legalnie przekazywać nasze dane osobowe do takich firm, jak Facebook… 24.08.2020 Tekst