Upload
katalin-horvath
View
58
Download
0
Embed Size (px)
Citation preview
mHealth és adatvédelem
Digital Pharma
Mire jók az mHealth appok?
• Orvos-beteg kapcsolat javítása, hatékonyabbá tétele
• Az összes, egészséggel kapcsolatos információ egy helyen tárolható
• Az adatok összekapcsolhatók a betegről az egészségügyi szolgáltatónál tárolt adatokkal
• Megelőzés
Az mHealth appok adatvédelmi kihívásai
• Személyes adatok kezelése
• Egészségügyi adatok – fizikai és mentális állapottal kapcsolatos adatok kezelése – szigorúbb előírások
• Hozzájárulás kérés szabályai
• Big Data analitika
EU törekvések az mHealth-ben
Code of Conduct on privacy for mobile health applications
(2016. július)
Célkitűzés:
• Bizalom erősítése a mobilappok és a mobil egészségügy iránt
• Sorvezető a mobilapp fejlesztőknek az adatvédelmi szabályok betartásához
• Javasolt megoldások
Adatvédelmi megfontolások a fejlesztés során
Adatvédelmi szabályok ismerete szükséges a fejlesztéshez:
• milyen típusú adatokat kezelnek,
• kinek, milyen módon engednek hozzáférést az applikációban,
• hol tárolódnak az adatok: a mobileszközön, felhőben vagy valamilyen egyéb külső tárhelyen,
• továbbításra kerülnek-e az adatok
Az adatvédelmi szabályok mindenkire vonatkoznak, aki ilyen mobilappot fejleszt: magánszemélyekre, cégekre, nonprofit szervezetekre, intézetekre egyaránt.
Hogyan kérjünk hozzájárulást az mHealth appban az adatkezeléshez?
A hozzájárulás az adatkezeléshez:
• önkéntes
• előzetes
• tájékoztatáson alapuló
• kifejezett – a felhasználó aktív közreműködése szükséges (elfogadom, hozzájárulok, checkbox, stb.)
• opt in (opt out nem elegendő!)
• bizonyítható
• visszavonható (ugyanolyan könnyen, mint ahogy megadta)
Írásbeli hozzájárulás az adatkezeléshez
• Infotv. szerint az egészségügyi adatok kezeléséhez kifejezett és írásbeli hozzájárulás szükséges
• mHealth appoknál ez betarthatatlan
• Új adatvédelmi rendelet 2018-tól: nem kell írásban, de az egészségügyi adatra a tagállam írhat elő szigorúbb szabályt
• Nem tudjuk, lesz-e ilyen magyar szabály
Milyen célra kezelhetők az adatok?
• csak előzetesen meghatározott célokra
• csak a feltétlenül szükséges célokra
• a célnak a funkcionalitással összhangban kell lennie
Pl. vércukormérő app egészségügyi adatai nem adhatók el gyógyszergyártónak
• más célra csak anonimizáltan
• választási lehetőséget kell kínálni az adatkezelési célok között
Bármennyi adat kezelhető?
Adat minimalizálás elve:
• csak amennyi feltétlenül szükséges az app funkcionalitásához
• pl. életkor: ha elég sávban meghatározni, ne kérjünk pontos születési dátumot
Miről kell tájékoztatni a felhasználót?
• kezelt adatok köréről
• adatkezelő személyéről
• az adatkezelés jogalapjáról
• az adatkezelés céljáról
• az adatkezelés helyéről
• adattovábbításról
• adatfeldolgozóról
• jogorvoslatokról
Mennyi ideig kezelhetők az adatok?
• az adatkezelési cél megvalósulásáig
• ameddig nem kéri törölni
• a cél eléréséhez feltétlenül szükséges ideig
pl. ha meghatározott ideig nem használja az appot, akkor az adatai automatikusan törlődnek
mHealth és Big data analitika Új vagy régi cél?
Az eredetileg jóváhagyott cél összeegyeztethető-e a Big Data analitikai adatkezelési céllal?
Esetről esetre kell megvizsgálni
Az eltérő cél nem feltétlenül jelenti, hogy összeegyeztethetetlen
Ha a Big Data analitika célja trendek és összefüggések előrejelzése: általában összeegyeztethető
Ha a Big Data analitika célja egyének döntésének befolyásolása: új célnak minősül, csak külön hozzájárulással
Mástól vásárolt/szerzett adatoknál is vizsgálni kell
mHealth és Big data analitika Adat minimalizálás
Info Tv. „Csak olyan személyes adat
kezelhető, amely az adatkezelés céljának megvalósulásához
elengedhetetlen, a cél elérésére alkalmas.”
Csak a minimálisan szükséges mennyiségű és fajtájú adat kezelhető
Csak a cél eléréséhez feltétlenül szükséges ideig
Big Data Adatgyűjtés és elemzés: a
megszerezhető összes adat
Tárolás: történeti adatok, hosszú időre
Klinikai kísérletek: hosszú időre (tanulmányok)
Kereskedelmi célokra: aktuális adatok fontosabbak, mint a régi adatok, rövidebb adatkezelés és tárolás
Anonimizált tárolás megoldás lehet
Az EU új adatvédelmi rendelete
Egységes szabályok az európai unió minden tagállamára
One-stop-shop – egyablakos rendszer, egyetlen hatóság
A felejtés (végleges törlés) joga
Adathordozhatóság joga (szolgáltatók közötti adatátvitel)
Adatvédelmi incidens bejelentés – kötelező a hatóságnál
Szélesebb jogok az érintetteknek: automatizált profil rajzolás elleni védelem, tájékoztatás, tiltakozás
EU-n kívüli szolgáltatókra is vonatkozik, ha EU-ban lévő személyek adatait kezelik, és ha annak célja termékek, szolgáltatások ajánlása vagy viselkedésük megfigyelése
Köszönöm a figyelmet!
dr. Horváth Katalin
Partner ügyvéd
Sár és Társai Ügyvédi Iroda [email protected]
www.sarandpartners.hu
www.webjog.hu