Česká aplikace zasílá Facebooku zdravotní informace uživatelů. ‚Jde o porušení GDPR,‘ míní právník

před 2 měsíce 22

Lidé s úzkostí, depresí, stresem či kombinací symptomů mohou nově využít online pomocníka, aplikaci Mindwell. Uživatelé si však nemusí uvědomovat, že aplikace poskytuje informace o jejich návštěvě stránky Facebooku. Podle právníka Jana Vobořila se tím porušuje zákon o ochraně osobních údajů. „Jedná se o běžný postup používaný v marketingové praxi,“ hájí aplikaci Zdeněk Truhlář, její pověřenec pro ochranu osobních údajů.

Původní zpráva Praha 5:00 29. února 2024

Webová aplikace Mindwell

Aplikace Mindwell poskytuje osobní data velkým technologickým firmám | Zdroj: Mindwell

Konspirátoři na prodej. Na dezinfowebech sledují čtenáře desítky reklamních systémů

Číst článek

„Systematická péče o duševní zdraví. V soukromí a z pohodlí domova,“ stojí na úvodní stránce Mindwell.cz. Ta je jedinou webovou aplikací nabízející pomoc lidem s duševními problémy na českém trhu, kterou hradí některé zdravotní pojišťovny.

Při navštívení stránky je uživateli nabídnuto, aby si vybral jeden z programů „úzkost“, „deprese“ či „stres“. Každý program nabízí sérii videí, psaných příběhů jiných lidí, kteří zažívali podobné obtíže, cvičení a zpětné vazby od terapeuta. Vše probíhá online a stojí téměř patnáct tisíc korun.

Pojištěnci Vojenské zdravotní pojišťovny (VOZP), České průmyslové zdravotní pojišťovny (ČPZP) či Zdravotní pojišťovny ministerstva vnitra České republiky (ZPMVČR) mohou zažádat o příspěvek, který jim využití programu Mindwell buďto částečně, či plně uhradí.

Jak ale ukazuje přehled komunikace mezi stránkou Mindwell.cz a servery marketingové společnosti Facebook, při otevření stránky s konkrétním terapeutickým programem se informace o návštěvě Facebooku zasílá. Sociální síť informaci propojí s identitou konkrétního uživatele a následně na něj jak Mindwell, tak i ostatní inzerenti mohou cílit reklamu na Facebooku a v dalších službách společnosti Meta (Instagram).

Aplikace Mindwell poskytuje data Facebooku za účelem marketingu | Foto: Anna Košlerová | Zdroj: Český rozhlas

Problematická praxe

Tato praktika je podle Jana Vobořila, advokáta z nevládní organizace Iuridicum remedium, problematická a na hraně zákona.

„Pokud jsou zdravotnická data prostřednictvím těchto analytických nástrojů zpracovávána, tak se domnívám, že pravděpodobně půjde o porušení nejen ustanovení čl. 9 GDPR, ale i dalších ustanovení, která se váží k účelnosti zpracování, ke způsobu informování subjektů údajů,“ vysvětlil pro server iROZHLAS.cz a Radiožurnál.

S tím však nesouhlasí Zdeněk Truhlář, pověřenec pro ochranu osobních údajů za Mindwell. „V rámci zpracování údajů GDPR postupujeme přesně podle zásady pro zpracování
osobních údajů, údajů o zdravotním stavu a použití cookies,“ sdělil serveru iROZHLAS.cz.

Zásady zpracování ochrany osobních údajů služby Mindwell mají dohromady dvanáct stran, reklamní systémy Facebook, Google Ads a Seznam Sklik jsou zmíněné až na předposlední straně. Dočíst se k nim tak trvá odhadem asi půl hodiny.

E-terapie

Aplikace pro duševní zdraví jsou nástroje navržené k podpoře duševního zdraví jednotlivců. Tyto aplikace mohou mít různé funkce jako například vzdělávací videa, online cvičení, chatovací funkce a další. Na českém trhu je podobných aplikací zhruba šest. Na světovém trhu jich je podle odhadů 10-20 tisíc.

Podle Truhláře jde o běžný marketingový postup. „Veškeré marketingové nástroje pro sledování chování návštěvníků webu jsou aktivní jen do začátku nákupního procesu,“ řekl.

Podle Vobořila je však důležité rozlišovat mezi běžným online obchodem a aplikací nakládající s informacemi o zdravotním stavu. „Prodej produktu spojený s péčí o duševní zdraví není totéž, jako e-shop prodávající tenisky. A podobně jako například u webu veřejné správy by si měli vývojáři nasazování některých marketingových nástrojů odpustit,“ tvrdil.

Lační po datech o zdraví

Podle Vobořila má totiž o údaje spjaté se zdravím zájem celá řada subjektů, a to i proto, že nejsou jednoduše k mání. „Využívání podobných analytických nástrojů v takové aplikaci považuji za značnou chybu a ukazuje to i na přístup správců k ochraně osobních údajů obecně, což by mělo být pro potenciální uživatele varující,“ mínil.

Jakmile totiž Facebook disponuje informací, že uživatel má zájem o téma deprese, může na uživatele cílit reklamu nejen aplikace Mindwell, ale i kdokoliv jiný.

„Zdravotnická data jsou velmi citlivá, pokud jde o dopad, který na člověka může mít jejich zneužití. Jen si představme, jak by o ně stály třeba pojišťovny nebo zaměstnavatelé,“ popsal Vobořil.

Pojišťovny nevidí problém

Server iROZHLAS.cz se obrátil na zdravotní pojišťovny, které na programy v aplikaci Mindwell pojištěncům přispívají a tím jí přihrávají uživatele. Pojišťovny se hájí, že odpovědnost leží na provozovateli aplikace. „Česká průmyslová zdravotní pojišťovna (ČPZP) není provozovatelem aplikace Mindwell (webové stránky), ani není správcem,“ sdělila serveru iROZHLAS.cz mluvčí průmyslové pojišťovny Elenka Mazurová.

Program Mindwell stojí téměř 15 tisíc korun | Foto: Anna Košlerová | Zdroj: Český rozhlas

To stejné mínila také mluvčí pojišťovny ministerstva vnitra Jana Schillerová. „Správcem dat je provozovatel, tedy Mindwell,“ řekla.

Podle vojenské zdravotní pojišťovny se aplikace žádného porušení nedopouští. „Společnost Mindwalk (firma provozující aplikaci – pozn. red) neposkytuje informace o zdravotním stavu o uživatelích Facebooku,“ napsal serveru iROZHLAS.cz ředitel odboru komunikace Josef Křivánek. „Osobní údaje sbírané na základě cookies jsou podmíněny poskytnutím souhlasu ze strany klienta,“ uvedl.

Poskytnutí souhlasu na běžné cookie liště však podle Vobořila nestačí, protože pro poskytování zdravotních údajů by daný uživatel musel dát konkrétnější typ souhlasu. „Ten, kdo dává souhlas, by v rámci aplikace navíc musel prokázat svou identitu, například elektronickým podpisem. V realitě dané aplikace si toto neumím příliš představit,“ líčil advokát.

GDPR, článek 9

Jde o obecné nařízení o právním rámci ochrany osobních údajů v evropském prostoru. Článek 9 reguluje zpracovávání zdravotních a jiných citlivých dat.

To potvrdil i mluvčí Úřadu pro ochranu osobních údajů Milan Řepka. „Lze v zásadě uvažovat, že k předávání údajů o zdravotním stavu by mohl sloužit pouze výslovný souhlas subjektu údajů. Prakticky by však šlo o komplikované řešení, protože na takový souhlas jsou kladeny vysoké nároky,“ napsal.

„V případě, že obecně zpracování osobních údajů porušuje uvedené ustanovení čl. 9 GDPR, hrozí správci osobních údajů pokuta až do výše 20 milionů eur, nebo jedná-li se o podnik, až do výše čtyř procent celkového ročního obratu celosvětově za předchozí finanční rok,“ vypočetl.

Podle Truhláře si je společnost Mindwell „vědoma všech svých zákonných povinností a postupuje při své činnosti v souladu s GDPR“.

Nebezpečí sdílení dat

Nebezpečí poskytování dat ze zdravotních aplikací dříve popsala serveru iROZHLAS.cz právnička z univerzity ve Švédském Lundu Petra Müllerová. „Nyní si představte, že tato data dostane například váš budoucí zaměstnavatel, který o vás už při pohovoru bude vědět, jakou duševní poruchou trpíte a jakou máte anamnézu,“ uvedla Müllerová.

„Ve Švédsku aktuálně probíhá soud, protože jedna společnost takhle rozprodávala informace z rozsudků, včetně citlivých informací o tom, že daný člověk musel podstoupit odvykací léčbu nebo pobyt na psychiatrii,“ poukázala Müllerová s tím, že když se takové informace dostanou na příklad k potenciálním zaměstnavatelům, mohou být žadatelé o práci diskriminováni.

„Vezměte si, že tu budeme ještě čtyřicet nebo padesát let a aplikace budou mít celé databáze o našem zdravotním stavu. To jsou hrozně citlivé údaje. Představte si, že je na vás někdo vytáhne, když se budete hlásit o veřejnou funkci, nebo že se informace o tom, že máte rakovinu, dozví marketingová firma předtím, než to řeknete rodině,“ argumentovala Müllerová.

Výjádření psychiatra Martina Anderse o zdravotních aplikacích

Mnoho let pracuji v oblasti léčivých přípravků a dlouhodobě vystupuji v roli garanta SÚKL za Psychiatrickou společnost ČLS JEP, mám ve své DNA zakódované určité principy, jak přistupovat k hodnocení léčivých přípravků, a dle mého názoru by měly být shodné nebo minimálně obdobné principy využity při hodnocení jakéhokoliv způsobu, který se deklaruje jako léčebný. Výsledkem potom může být vyhodnocení přínosů, ale také zjištění rizik, které tyto terapeutické postupy mohou přinést.

V žádném případě nepochybuji o potřebě nových a různorodých terapeutických instrumentů, zvláště při současné situaci v oblasti duševních chorob. Asi nelze nic namítat proti „svépomocným“ aplikacím různého typu, ale pokud předpokládáme, že postup nebo technologie nebo aplikace vzejde od odborníků na danou problematiku (odborná společnost, zdravotnické zařízení, sdružení specialistů…), tak by tito měli mít jistotu, podobně jako v případě léčivých přípravků, stimulací aj., že postup či aplikace bude přinášet kýžený efekt určité skupině pacientů (filtr typu potíží), nepovede k tomu, že někdo s vážnějším typem onemocnění (filtr závažnosti) jej zvolí například místo návštěvy lékaře a současně bude bezpečný (průběžné monitorování nežádoucích událostí). Podobně jako u léčiv, proces by měl být pilotován na vybrané skupině účastníků, vyhodnocen a průběžně, a to především při jeho iniciální implementaci, monitorován a vyhodnocován objektivně, tj. nejen jeho tvůrci, ale i skupinou odborníků (psychoterapie, psychiatrie, psychologie).

V neposlední řadě by měla být vydefinována míra právní odpovědnosti.

Anna Košlerová, cib

Přečtěte celý článek