horvath katalin eloadas_pharmakom_mhealth_privacy

mHealth és adatvédelem

Digital Pharma

Mire jók az mHealth appok?

• Orvos-beteg kapcsolat javítása, hatékonyabbá tétele

• Az összes, egészséggel kapcsolatos információ egy helyen tárolható

• Az adatok összekapcsolhatók a betegről az egészségügyi szolgáltatónál tárolt adatokkal

• Megelőzés

Az mHealth appok adatvédelmi kihívásai

• Személyes adatok kezelése

• Egészségügyi adatok – fizikai és mentális állapottal kapcsolatos adatok kezelése – szigorúbb előírások

• Hozzájárulás kérés szabályai

• Big Data analitika

EU törekvések az mHealth-ben

Code of Conduct on privacy for mobile health applications

(2016. július)

Célkitűzés:

• Bizalom erősítése a mobilappok és a mobil egészségügy iránt

• Sorvezető a mobilapp fejlesztőknek az adatvédelmi szabályok betartásához

• Javasolt megoldások

Adatvédelmi megfontolások a fejlesztés során

Adatvédelmi szabályok ismerete szükséges a fejlesztéshez:

• milyen típusú adatokat kezelnek,

• kinek, milyen módon engednek hozzáférést az applikációban,

• hol tárolódnak az adatok: a mobileszközön, felhőben vagy valamilyen egyéb külső tárhelyen,

• továbbításra kerülnek-e az adatok

Az adatvédelmi szabályok mindenkire vonatkoznak, aki ilyen mobilappot fejleszt: magánszemélyekre, cégekre, nonprofit szervezetekre, intézetekre egyaránt.

Hogyan kérjünk hozzájárulást az mHealth appban az adatkezeléshez?

A hozzájárulás az adatkezeléshez:

• önkéntes

• előzetes

• tájékoztatáson alapuló

• kifejezett – a felhasználó aktív közreműködése szükséges (elfogadom, hozzájárulok, checkbox, stb.)

• opt in (opt out nem elegendő!)

• bizonyítható

• visszavonható (ugyanolyan könnyen, mint ahogy megadta)

Írásbeli hozzájárulás az adatkezeléshez

• Infotv. szerint az egészségügyi adatok kezeléséhez kifejezett és írásbeli hozzájárulás szükséges

• mHealth appoknál ez betarthatatlan

• Új adatvédelmi rendelet 2018-tól: nem kell írásban, de az egészségügyi adatra a tagállam írhat elő szigorúbb szabályt

• Nem tudjuk, lesz-e ilyen magyar szabály

Milyen célra kezelhetők az adatok?

• csak előzetesen meghatározott célokra

• csak a feltétlenül szükséges célokra

• a célnak a funkcionalitással összhangban kell lennie

Pl. vércukormérő app egészségügyi adatai nem adhatók el gyógyszergyártónak

• más célra csak anonimizáltan

• választási lehetőséget kell kínálni az adatkezelési célok között

Bármennyi adat kezelhető?

Adat minimalizálás elve:

• csak amennyi feltétlenül szükséges az app funkcionalitásához

• pl. életkor: ha elég sávban meghatározni, ne kérjünk pontos születési dátumot

Miről kell tájékoztatni a felhasználót?

• kezelt adatok köréről

• adatkezelő személyéről

• az adatkezelés jogalapjáról

• az adatkezelés céljáról

• az adatkezelés helyéről

• adattovábbításról

• adatfeldolgozóról

• jogorvoslatokról

Mennyi ideig kezelhetők az adatok?

• az adatkezelési cél megvalósulásáig

• ameddig nem kéri törölni

• a cél eléréséhez feltétlenül szükséges ideig

pl. ha meghatározott ideig nem használja az appot, akkor az adatai automatikusan törlődnek

mHealth és Big data analitika Új vagy régi cél?

Az eredetileg jóváhagyott cél összeegyeztethető-e a Big Data analitikai adatkezelési céllal?

Esetről esetre kell megvizsgálni

Az eltérő cél nem feltétlenül jelenti, hogy összeegyeztethetetlen

Ha a Big Data analitika célja trendek és összefüggések előrejelzése: általában összeegyeztethető

Ha a Big Data analitika célja egyének döntésének befolyásolása: új célnak minősül, csak külön hozzájárulással

Mástól vásárolt/szerzett adatoknál is vizsgálni kell

mHealth és Big data analitika Adat minimalizálás

Info Tv. „Csak olyan személyes adat

kezelhető, amely az adatkezelés céljának megvalósulásához

elengedhetetlen, a cél elérésére alkalmas.”

Csak a minimálisan szükséges mennyiségű és fajtájú adat kezelhető

Csak a cél eléréséhez feltétlenül szükséges ideig

Big Data Adatgyűjtés és elemzés: a

megszerezhető összes adat

Tárolás: történeti adatok, hosszú időre

Klinikai kísérletek: hosszú időre (tanulmányok)

Kereskedelmi célokra: aktuális adatok fontosabbak, mint a régi adatok, rövidebb adatkezelés és tárolás

Anonimizált tárolás megoldás lehet

Az EU új adatvédelmi rendelete

Egységes szabályok az európai unió minden tagállamára

One-stop-shop – egyablakos rendszer, egyetlen hatóság

A felejtés (végleges törlés) joga

Adathordozhatóság joga (szolgáltatók közötti adatátvitel)

Adatvédelmi incidens bejelentés – kötelező a hatóságnál

Szélesebb jogok az érintetteknek: automatizált profil rajzolás elleni védelem, tájékoztatás, tiltakozás

EU-n kívüli szolgáltatókra is vonatkozik, ha EU-ban lévő személyek adatait kezelik, és ha annak célja termékek, szolgáltatások ajánlása vagy viselkedésük megfigyelése

Köszönöm a figyelmet!

dr. Horváth Katalin

Partner ügyvéd

Sár és Társai Ügyvédi Iroda katalin.horvath@sarandpartners.hu

www.sarandpartners.hu

www.webjog.hu