Jak czytać polityki prywatności aplikacji zdrowotnych i się nie poddać w połowie

Przez
Krzysztof Lewandowski
-
0
1
Rate this post

W artykule znajdziesz:

Dlaczego polityka prywatności w aplikacji zdrowotnej to nie „regulamin do odhaczenia”

Dane zdrowotne to nie tylko PESEL i adres e‑mail

Dane zdrowotne należą w RODO do tak zwanych szczególnych kategorii danych. Oznacza to, że są objęte ostrzejszym reżimem ochrony niż zwykłe dane kontaktowe. Nie chodzi tylko o wyniki badań czy diagnozy, ale szerzej – o każdą informację, która pozwala wnioskować o stanie zdrowia użytkownika.

Adres e‑mail sam w sobie jest mało wrażliwy. Po połączeniu go z informacją „użytkownik korzysta z aplikacji onkologicznej” staje się nagle nośnikiem bardzo osobistej wiedzy. Podobnie z numerem telefonu powiązanym z aplikacją monitorującą cykl miesiączkowy, terapię psychiatryczną czy leczenie niepłodności. Z samego numeru nie wynika nic szczególnego. W połączeniu z kontekstem aplikacji – już tak.

Dane medyczne mogą prowadzić do stygmatyzacji, utrudnić znalezienie pracy, wpłynąć na warunki ubezpieczenia, a nawet relacje rodzinne. Wycieki haseł czy loginów są kłopotliwe, ale zwykle da się je stosunkowo szybko „odwrócić” (zmiana hasła, blokada konta). Wycieku informacji o depresji, HIV, uzależnieniach czy historii ciąż odwrócić się nie da – one pozostają i mogą krążyć latami.

Polityka prywatności aplikacji zdrowotnych jest więc nie tylko dokumentem formalnym. To de facto opis potencjalnych scenariuszy, co może się stać z najbardziej wrażliwymi informacjami o użytkowniku. Odhaczenie jej „w ciemno” oznacza zgodę na konsekwencje, których treści wiele osób nawet nie próbuje zrozumieć.

Gdy aplikacja mówi więcej o zdrowiu, niż chciał użytkownik

W praktyce widać coraz więcej sytuacji, w których źle dobrana aplikacja ujawnia o zdrowiu użytkownika zdecydowanie więcej, niż planował. Przykładowe mechanizmy są dość powtarzalne:

  • po instalacji aplikacji monitorującej nastrój, na innych stronach zaczynają pojawiać się intensywne reklamy leków przeciwdepresyjnych lub terapii online,
  • po korzystaniu z aplikacji monitorującej ciążę, użytkowniczka jest „śledzona” przez reklamy produktów dla niemowląt jeszcze długo po porodzie,
  • po zainstalowaniu aplikacji do kontroli poziomu cukru, system reklamowy zaczyna pokazywać oferty ubezpieczeń „dla osób z chorobami przewlekłymi”.

Nie zawsze jest to wynik bezpośredniego „sprzedaży” danych medycznych. Często chodzi o profilowanie zdrowotne użytkowników, oparte na zachowaniach w aplikacji, rodzaju wprowadzanych informacji czy częstotliwości korzystania z określonych funkcji. Polityka prywatności powinna wprost opisywać, czy takie profilowanie ma miejsce, lecz w wielu dokumentach jest to ukryte za ogólnymi sformułowaniami o „personalizacji usług” czy „dopasowaniu treści marketingowych”.

Przy lekturze polityki prywatności kluczowe pytanie brzmi: czy dane zdrowotne mogą być wykorzystane poza samą aplikacją – w systemach reklamowych, w analizach sprzedażowych, przy budowaniu modeli ryzyka ubezpieczeniowego, w raportach dla partnerów. Jeśli odpowiedź brzmi „tak”, rośnie ryzyko, że konsekwencje dla prywatności będą odczuwalne daleko poza ekranem telefonu.

Rynek aplikacji zdrowotnych: fragmentaryczny i nierówny

Rynek aplikacji zdrowotnych jest niezwykle zróżnicowany. Z jednej strony są duzi dostawcy telemedycyny, kliniki, firmy farmaceutyczne, globalni producenci sprzętu i oprogramowania. Z drugiej – niewielkie startupy, projekty hobbystyczne, aplikacje tworzone jako prace dyplomowe, rozwiązania open‑source utrzymywane przez małe społeczności.

Nadzór regulacyjny także jest niejednorodny. Część aplikacji podlega rygorystycznym przepisom jako wyroby medyczne, inne są traktowane jak aplikacje lifestyle’owe czy fitnessowe, choć w praktyce zbierają porównywalnie wrażliwe dane. Organy ochrony danych (np. UODO) reagują najczęściej po skargach lub dużych incydentach, co oznacza, że na co dzień użytkownik zostaje sam ze swoim telefonem i treścią polityki prywatności.

Z tej perspektywy kluczowe jest ustalenie dwóch rzeczy: co wiemy o podmiocie, który stoi za aplikacją, oraz czego nie wiemy, bo polityka prywatności tego nie ujawnia. Brak jasnego administratora, brak danych kontaktowych, ogólnikowe opisy procesów i niejasne odniesienia do „partnerów biznesowych” to sygnały, że struktura odpowiedzialności może być słaba lub celowo rozmyta.

Użytkownik jako strona „negocjacji”, a nie klikacz zgód

Świadomość wagi danych zdrowotnych zmienia rolę użytkownika. Z pasywnego „odbiorcy aplikacji” trzeba przejść do roli osoby, która stawia warunki, zanim zacznie korzystać z usługi. W praktyce nie ma oczywiście możliwości realnej negocjacji zapisów dokumentu, ale jest możliwość dokonania wyboru: używać aplikacji w pełnym zakresie, ograniczyć jej uprawnienia, korzystać wyłącznie w wersji offline albo zrezygnować.

Polityka prywatności staje się tu narzędziem decyzyjnym. Odpowiada na pytanie, czy relacja z aplikacją jest asymetryczna (cała władza po stronie dostawcy), czy choć częściowo zbalansowana: czy użytkownik może łatwo cofnąć zgody, ograniczyć zakres przetwarzania, usunąć swoje dane, przenieść je do innego dostawcy. W przypadku danych zdrowotnych ta „negocjacja” jest szczególnie istotna, bo zaufanie zbudowane na starcie trudno odbudować po naruszeniu.

Jak rozpoznać, kiedy polityka prywatności dotyczy danych zdrowotnych w rozumieniu RODO

Co RODO nazywa „danymi dotyczącymi zdrowia”

RODO definiuje „dane dotyczące zdrowia” jako wszelkie dane osobowe dotyczące zdrowia fizycznego lub psychicznego osoby fizycznej, w tym korzystania z usług opieki zdrowotnej, ujawniające informacje o stanie jej zdrowia. Zakres jest szeroki i obejmuje zarówno:

  • typowe dane medyczne – wyniki badań, diagnozy, opisy wizyt, listy przyjmowanych leków,
  • jak i dane pośrednie – informacje o niepełnosprawności, historię zwolnień lekarskich, dane o aktywności fizycznej, jeśli są powiązane z monitorowaniem stanu zdrowia.

Istotna jest kontekstowa interpretacja. Krokomierz w telefonie, który liczy kroki bez powiązania z żadnymi innymi danymi, może zostać zakwalifikowany jako zwykła aplikacja fitness. Ten sam krokomierz, połączony z historią chorób serca, planem rehabilitacji lub danymi z urządzenia medycznego, nagle zaczyna przetwarzać dane dotyczące zdrowia w rozumieniu RODO.

Różnica między „danymi medycznymi” a danymi, które coś sugerują o zdrowiu, bywa rozmyta. Z punktu widzenia użytkownika bezpieczniej jest przyjąć, że jeśli aplikacja systematycznie gromadzi informacje o ciele, samopoczuciu, chorobach, wizytach u lekarza, wynikach badań lub przyjmowanych lekach, to w praktyce operuje na danych zdrowotnych, nawet jeśli sama o tym głośno nie mówi.

Przykłady typów aplikacji a kategorie danych

Dla uporządkowania warto porównać trzy typowe scenariusze aplikacji. Każdy z nich funkcjonuje w trochę innym reżimie prawnym i wiąże się z innym poziomem ryzyka.

Typ aplikacjiPrzykładowe daneCzy to dane zdrowotne w sensie RODO?Praktyczne konsekwencje
Prosta aplikacja fitness (licznik kroków, podstawowe treningi)Liczba kroków, czas aktywności, tętno z opaski sportowejZazwyczaj tak, jeśli dane są wykorzystywane do monitorowania stanu zdrowia, nie tylko do zabawyPowinna istnieć jasna podstawa prawna; dane mogą sugerować kondycję, styl życia, ryzyko chorób
Aplikacja cyklu miesiączkowegoDaty miesiączek, objawy, współżycie, testy ciążoweZdecydowanie tak – to szczególne kategorie danychWymagana szczególna ostrożność, silna podstawa prawna, wyraźna zgoda, ograniczone udostępnianie
Aplikacja do teleporadDane identyfikacyjne, dokumentacja medyczna, zdjęcia badańTak, pełnowartościowe dane zdrowotne, często w systemie ochrony zdrowiaWysokie wymagania bezpieczeństwa, przejrzyste zasady współpracy z lekarzami i ubezpieczycielami

Różnica nie polega więc wyłącznie na „medyczności” interfejsu. Licznik kroków i aplikacja monitorująca sen mogą wydawać się niewinne, ale gdy polityka prywatności przewiduje łączenie tych informacji z danymi z innych źródeł (np. ankiet zdrowotnych, historii zakupów suplementów, wyników badań), w praktyce powstaje obraz zdrowia użytkownika – a to już strefa danych szczególnej kategorii.

Słownictwo, które zdradza szczególną kategorię danych

Polityka prywatności aplikacji zdrowotnej powinna wprost wskazywać, że przetwarza dane wrażliwe (szczególne kategorie danych osobowych). W dokumentach często pojawiają się określenia:

  • „dane dotyczące zdrowia”,
  • „dane o stanie zdrowia fizycznego lub psychicznego”,
  • „informacje o świadczeniach opieki zdrowotnej”,
  • „dane należące do szczególnych kategorii danych osobowych zgodnie z art. 9 RODO”.

Jeśli polityka prywatności używa takich sformułowań, użytkownik ma jasny sygnał, że gra toczy się o dane szczególnie chronione. Wtedy należy spodziewać się opisów specjalnych podstaw przetwarzania (np. wyraźna zgoda) oraz wzmocnionych zabezpieczeń. Brak tych elementów przy jednoczesnym przyznaniu, że zbierane są dane zdrowotne, to poważny znak ostrzegawczy.

Czasem dokument unika słowa „zdrowie”, ale wymienia „dane dotyczące stylu życia”, „informacje o aktywności fizycznej” czy „informacje o planach treningowych i diecie”, a przy tym opisuje ich wykorzystanie do oceny ryzyka chorób, monitorowania parametrów organizmu lub wspierania leczenia. To również praktycznie oznacza wejście w strefę danych zdrowotnych, nawet jeśli autor dokumentu próbuje ją omijać językowo.

Gdy polityka „udaje”, że nie chodzi o zdrowie

Zdarzają się aplikacje, które wyraźnie dotyczą zdrowia (np. monitorowanie płodności, wsparcie w rzucaniu palenia, kontrola przyjmowania leków), ale polityka prywatności opisuje jedynie „dane o korzystaniu z aplikacji” i „dane dobrowolnie podawane przez użytkownika”, bez wyraźnego nazwania ich danymi zdrowotnymi. W takim przypadku warto przyjąć zasadę ostrożności.

Jeśli aplikacja prosi o wpisywanie informacji o objawach, chorobach, wynikach testów czy przyjmowanych lekach, a jednocześnie polityka prywatności nie zawiera:

  • odniesienia do art. 9 RODO lub równoważnych przepisów o szczególnych kategoriach danych,
  • jasno opisanej podstawy prawnej przetwarzania takich danych,
  • informacji o dodatkowych zabezpieczeniach (np. szyfrowanie, ograniczony dostęp personelu),
  • mechanizmów wyrażania i wycofywania zgody na ich przetwarzanie,

to znaczy, że dokument jest co najmniej niekompletny. Taka nieścisłość powinna skłaniać do krytycznej oceny wiarygodności dostawcy. W aplikacji, która codziennie gromadzi dane zdrowotne, brak precyzyjnej polityki prywatności nie jest drobnym niedopatrzeniem – jest sygnałem, że procesy ochrony danych mogą być równie chaotyczne, jak sam dokument.

Stara maszyna do pisania z kartką zatytułowaną Privacy Policy
Źródło: Pexels | Autor: Markus Winkler

Szybki „skan” polityki: 5 pierwszych rzeczy do przeczytania, zanim w ogóle zainstalujesz aplikację

Kto jest administratorem danych i gdzie ma siedzibę

Pierwsze pytanie, jakie warto sobie zadać: kto realnie odpowiada za dane zdrowotne w aplikacji? Polityka prywatności powinna jasno wskazywać administratora danych: pełną nazwę firmy lub podmiotu, adres siedziby, kraj, formę prawną oraz dane kontaktowe (e‑mail, czasem numer telefonu). Brak tych informacji lub ogólnikowy opis typu „my”, „nasza firma”, bez konkretów, to sygnał alarmowy.

Szczególną uwagę warto zwrócić na kraj siedziby. Jeśli administrator ma siedzibę w Unii Europejskiej lub EOG, podlega wprost RODO i nadzorowi lokalnych organów ochrony danych. Jeśli jest spoza UE, powinien mieć wskazanego przedstawiciela w Unii. Polityka prywatności powinna podawać jego dane. Brak takiego przedstawiciela przy jednoczesnym celowaniu w użytkowników z UE oznacza, że dostawca nie traktuje poważnie obowiązków wynikających z RODO.

Warto też sprawdzić, czy w dokumencie pojawia się informacja o inspektorze ochrony danych (IOD). Nie każda firma musi go mieć, ale obecność IOD częściej wskazuje na większą dojrzałość w zakresie ochrony danych. Brak IOD nie przekreśla aplikacji, ale jego obecność bywa pozytywnym sygnałem.

Podstawa prawna przetwarzania danych zdrowotnych

Dla danych zdrowotnych sama ogólna zgoda na korzystanie z aplikacji zwykle nie wystarczy. Polityka prywatności musi odpowiedzieć na pytanie: na jakiej podstawie prawnej przetwarzane są dane dotyczące zdrowia. W RODO typowe podstawy to:

  • wyraźna zgoda użytkownika – często stosowana przy aplikacjach konsumenckich,

    • Jak rozpoznać „wyraźną zgodę” w praktyce

    W przypadku danych zdrowotnych zgoda nie może być ukryta w regulaminie ani zaszyta w domyślnie zaznaczonym checkboxie. Powinna być konkretna, świadoma i jednoznaczna. Technicznie oznacza to kilka rzeczy, które można zweryfikować już na etapie pierwszego uruchomienia aplikacji:

  • osobny komunikat dotyczący danych zdrowotnych, a nie jeden ogólny tekst „akceptuję zasady”,
  • brak z góry zaznaczonych zgód – użytkownik sam musi je kliknąć,
  • jasny opis celu: „zgadzasz się na przetwarzanie danych dotyczących zdrowia w celu…”,
  • informacja, że zgodę można wycofać w każdej chwili i jak to zrobić.

Jeżeli aplikacja operuje na danych zdrowotnych, a jedyne, co widzisz, to lakoniczne „akceptuję politykę prywatności i regulamin”, bez doprecyzowania, jakie dane będą przetwarzane i po co – formalna „podstawa prawna” może być bardzo dyskusyjna. Z punktu widzenia użytkownika oznacza to po prostu mniejszą kontrolę nad tym, co dzieje się z wrażliwymi informacjami.

Cel przetwarzania – czy aplikacja nie robi „przy okazji” za narzędzie marketingowe

Kolejny krok to pytanie: po co dostawca przetwarza dane zdrowotne? Polityka prywatności powinna wprost wyjaśniać, czy chodzi wyłącznie o świadczenie usługi (np. prowadzenie dziennika objawów, generowanie zaleceń), czy także o:

  • personalizację reklam,
  • profilowanie użytkowników pod kątem ryzyka chorób lub stylu życia,
  • udostępnianie danych partnerom biznesowym w celach analitycznych lub marketingowych.

W dokumentach często pojawiają się sformułowania typu „rozwój i udoskonalanie naszych usług” albo „prowadzenie działań marketingowych naszych produktów i usług”. Brzmią niewinnie, ale przy danych zdrowotnych oznaczają, że informacje o Twoich objawach czy nawykach mogą posłużyć nie tylko do prowadzenia dziennika, lecz także do budowania modeli predykcyjnych czy segmentacji użytkowników.

Jeśli w polityce znajduje się odniesienie do „marketingu partnerów” lub „współpracy z podmiotami trzecimi w celu personalizacji treści”, dobrze zadać sobie dwa pytania: co dokładnie jest udostępniane i czy mogę na to nie wyrazić zgody, nadal korzystając z podstawowej funkcji aplikacji. Brak jasnej opcji rezygnacji z marketingu, przy jednoczesnym obejmowaniu nim danych zdrowotnych, to ryzyko, które trzeba świadomie zaakceptować albo po prostu poszukać innego narzędzia.

Okres przechowywania – jak długo dane zdrowotne „żyją” w systemie

Polityka prywatności powinna zawierać informację, jak długo dane będą przechowywane i według jakich kryteriów ustalany jest ten okres. W przypadku danych zdrowotnych brak takiej informacji lub formuły typu „tak długo, jak jest to konieczne do świadczenia usług” nie daje realnej kontroli.

Bardziej przejrzysty zapis to na przykład:

  • konkretny czas (np. „dane konta przechowujemy przez okres korzystania z aplikacji oraz 3 lata po jego usunięciu w celu obrony roszczeń”),
  • powiązanie z określonym zdarzeniem („dane zdrowotne są usuwane lub anonimizowane po 24 miesiącach od ostatniego logowania”).

Przy aplikacjach zdrowotnych szczególnie ważne jest, czy po usunięciu konta dane są faktycznie kasowane, czy jedynie „dezaktywowane”. Część dostawców wyraźnie odróżnia usunięcie od anonimizacji – jeżeli występuje ten drugi scenariusz, polityka powinna wytłumaczyć, czy po anonimizacji dane nadal mogą być używane np. do badań statystycznych. Użytkownik może się na to zgodzić, ale potrzebuje o tym wiedzieć.

Udostępnianie danych – komu aplikacja przekazuje informacje o Twoim zdrowiu

Kolejny element szybkiego skanu to lista podmiotów, którym dane mogą być udostępniane lub powierzane. W przypadku aplikacji zdrowotnych typowe kategorie to:

  • dostawcy usług IT (chmura, hosting, systemy analityczne),
  • partnerzy medyczni (kliniki, lekarze, laboratoria),
  • podmioty powiązane kapitałowo (spółki zależne lub matki),
  • podmioty marketingowe i reklamowe.

Połączenie danych zdrowotnych z ostatnią kategorią jest najbardziej problematyczne. Jeżeli polityka wprost przyznaje, że dane dotyczące zdrowia mogą trafiać do platform reklamowych, oznacza to wysokie ryzyko profilowania, również poza samą aplikacją (np. poprzez dopasowanie reklam suplementów, usług medycznych, produktów ubezpieczeniowych).

Z perspektywy użytkownika kluczowe jest rozróżnienie między:

  • powierzeniem danych (podmiot przetwarza dane w imieniu aplikacji i według jej instrukcji),
  • udostępnieniem danych (podmiot staje się niezależnym administratorem i sam decyduje o dalszym losie danych).

Jeżeli dokument używa wyłącznie ogólnych sformułowań („możemy udostępniać dane wybranym partnerom”), bez wskazania kategorii tych partnerów i celów, trudno mówić o świadomej zgodzie. To sygnał, że kontrola nad dalszym obiegiem danych jest ograniczona.

Transfer danych poza Europejski Obszar Gospodarczy

Aplikacje zdrowotne korzystają często z usług chmurowych globalnych dostawców. To z kolei oznacza, że dane mogą trafiać poza UE/EOG, np. do Stanów Zjednoczonych. Polityka prywatności powinna wyraźnie wskazywać takie transfery oraz podstawy prawne ich legalności (np. standardowe klauzule umowne, decyzje stwierdzające odpowiedni stopień ochrony).

Jeśli dokument ogranicza się do zdania w rodzaju „Twoje dane mogą być przetwarzane na całym świecie”, bez wyjaśnienia, na jakich zasadach i z jakimi zabezpieczeniami, trudno oszacować ryzyko. W przypadku danych zdrowotnych taka nieprecyzyjność ma większe konsekwencje niż przy zwykłej aplikacji rozrywkowej.

Struktura typowej polityki prywatności – jak się po niej poruszać, żeby nie ugrzęznąć

Główne sekcje, które zwykle się powtarzają

Większość polityk prywatności, również w aplikacjach zdrowotnych, ma podobną strukturę. Po krótkim wstępie pojawiają się zwykle następujące części:

  1. Informacje o administratorze – kto odpowiada za dane.
  2. Zakres danych przetwarzanych – jakie kategorie danych są zbierane.
  3. Cele i podstawy prawne przetwarzania – po co i na jakiej podstawie dane są używane.
  4. Odbiorcy danych – komu dane są przekazywane.
  5. Transfery do państw trzecich – czy dane wyjeżdżają poza UE/EOG.
  6. Okres przechowywania danych – jak długo są trzymane w systemach.
  7. Prawa użytkownika – jakie masz możliwości kontroli.
  8. Bezpieczeństwo danych – ogólne informacje o zabezpieczeniach.
  9. Pliki cookies i technologie śledzące – w przypadku aplikacji webowych lub hybrydowych.
  10. Kontakt i tryb wnoszenia skarg – dane IOD, organ nadzorczy.

W praktyce użytkownik nie musi czytać wszystkiego z jednakową uwagą. W aplikacjach zdrowotnych kluczowe są trzy segmenty: zakres danych, cele oraz odbiorcy. To one pokazują, jak głęboki jest „profil zdrowotny”, który tworzy o Tobie aplikacja, i jak szeroko może się on rozejść.

Jak czytać sekcję o zakresie danych, żeby wyłowić istotne szczegóły

W tej części dokumentu pojawiają się zarówno kategorie oczywiste („dane dotyczące zdrowia”), jak i te, których znaczenie dla prywatności jest mniej intuicyjne. Wśród nich często znajdują się:

  • dane urządzenia (model telefonu, system operacyjny, identyfikatory urządzeń),
  • dane dotyczące korzystania z aplikacji (częstotliwość logowań, ścieżki kliknięć),
  • dane lokalizacyjne (GPS, sieci Wi-Fi),
  • dane pochodzące z innych usług (synchronizacja z zegarkiem, kontem Google/Apple, inną aplikacją medyczną).

W oderwaniu od danych zdrowotnych te informacje wyglądają jak standardowe „metadane techniczne”. Z chwilą jednak, gdy zostaną powiązane z konkretnymi wpisami o objawach, lekach czy wynikach badań, powstaje pełny profil użytkownika: nie tylko co mu dolega, ale też gdzie mieszka, jakie ma nawyki, o której godzinie najczęściej odnotowuje objawy.

Przeglądając tę sekcję, można spróbować odpowiedzieć na dwa pytania kontrolne: czy aplikacja zbiera więcej danych, niż potrzebuje do świadczenia usługi oraz czy wśród wymienianych kategorii są dane, których się nie spodziewałeś (np. dokładna lokalizacja w aplikacji do monitorowania snu bez funkcji geolokalizacji).

Cele przetwarzania – gdzie kończy się usługa, a zaczyna „optymalizacja biznesowa”

W części opisującej cele przetwarzania pojawia się zazwyczaj lista zastosowań danych. Przy aplikacjach zdrowotnych można ją podzielić na trzy poziomy:

  • cele podstawowe – działanie aplikacji (zapisywanie danych, synchronizacja między urządzeniami, generowanie rekomendacji),
  • cele wtórne – analityka i statystyka (np. poprawa algorytmów, agregowane raporty),
  • cele dodatkowe – marketing, współpraca z partnerami komercyjnymi, badania naukowe.

To, co mieści się w pierwszej grupie, jest zwykle akceptowalne z punktu widzenia użytkownika – bez tego aplikacja po prostu by nie działała. Druga grupa wymaga już uważniejszego spojrzenia: czy dane są anonimizowane lub co najmniej pseudonimizowane? Czy opisy sugerują tworzenie indywidualnych profili, czy raczej statystyk grupowych?

Trzecia grupa to obszar największej niepewności. Przy badaniach naukowych część polityk precyzuje, że dane są anonimizowane oraz że udział jest dobrowolny i wymaga dodatkowej zgody. Przy marketingu bywa różnie – niektóre dokumenty przewidują szerokie wykorzystanie danych zdrowotnych w celach komercyjnych, ukrywając to za formułą „personalizowane treści”.

Prawa użytkownika – co realnie możesz zrobić ze swoimi danymi

Teoretycznie każde RODO‑zgodne oświadczenie zawiera katalog praw użytkownika: dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, sprzeciwu. W praktyce ważniejsze od samej listy jest to, jak te prawa można wykonać.

W polityce prywatności warto sprawdzić:

  • czy jest podany konkretny adres e‑mail lub formularz do zgłaszania żądań,
  • czy dokument określa terminy odpowiedzi (standardowo do 30 dni),
  • czy prawo do usunięcia obejmuje także dane zdrowotne, a nie tylko informacje kontaktowe,
  • czy opisana jest procedura wycofania zgody bez konieczności usuwania konta (np. wyłączenie określonych funkcji).

Typowy problem: część aplikacji pozwala usunąć konto z poziomu ustawień, ale polityka wyjaśnia, że dane zdrowotne będą nadal przechowywane przez „nieokreślony czas w celach badawczych”. Taki zapis nie jest z automatu nielegalny, lecz użytkownik powinien mieć możliwość sprzeciwienia się dalszemu wykorzystaniu swoich danych w tych dodatkowych celach.

Bezpieczeństwo danych – co dokument mówi, a czego nie mówi

Sekcja poświęcona bezpieczeństwu jest często najbardziej ogólnikowa. Pojawiają się w niej sformułowania typu „stosujemy odpowiednie środki techniczne i organizacyjne” czy „dbamy o bezpieczeństwo danych”. To standard, ale przy danych zdrowotnych warto szukać bardziej konkretnych informacji.

Sygnalizatorami poważniejszego podejścia są na przykład:

  • wzmianki o szyfrowaniu danych w spoczynku i w transmisji,
  • informacje o kontroli dostępu personelu (kto z firmy ma wgląd w dane zdrowotne),
  • odniesienia do certyfikacji (np. ISO 27001) lub audytów bezpieczeństwa,
  • opis procedur reakcji na incydenty (powiadamianie użytkowników, organów nadzorczych).

Brak takich informacji nie musi oznaczać braku zabezpieczeń, ale przy aplikacjach, które przechowują pełną historię chorób czy wyniki badań, przejrzystość w tym obszarze staje się elementem zaufania. Jeżeli dokument milczy na temat szyfrowania i dostępu pracowników, a jednocześnie opisuje szeroki zakres danych zdrowotnych, trudno oszacować ryzyko naruszeń.

Jakie dane zbiera aplikacja naprawdę – różnica między treścią dokumentu a rzeczywistością techniczną

Co mówi polityka, a co pokazuje telefon

Polityka prywatności opisuje oficjalny model przetwarzania danych. To, czy pokrywa się on z rzeczywistością techniczną, można częściowo zweryfikować samodzielnie. Użytkownik ma do dyspozycji kilka prostych narzędzi: ustawienia systemu, podgląd uprawnień aplikacji, informacje o transferze danych w tle.

Przykład z praktyki: aplikacja deklaruje, że nie korzysta z dokładnej lokalizacji, a w systemie Android lub iOS pojawia się żądanie dostępu do GPS „zawsze, nawet gdy aplikacja jest wyłączona”. To sygnał, że zakres faktycznie zbieranych danych może być szerszy niż opisany w dokumencie.

Uprawnienia aplikacji jako „język techniczny” polityki prywatności

Uprawnienia, o które prosi aplikacja, są najprostszym lustrem tego, co naprawdę może robić z Twoimi danymi. Nie pokazują całego obrazu (nie widać np. zewnętrznych odbiorców), ale pozwalają zweryfikować podstawowe tezy z dokumentu.

Przy aplikacjach zdrowotnych szczególnie krytyczne są prośby o dostęp do:

  • czujników i urządzeń (krokomierz, tętno, pulsoksymetr, glukometr),
  • pamięci urządzenia (zapisywanie raportów PDF, backup lokalny),
  • mikrofonu i kamery (teleporady, skanowanie wyników badań),
  • kontaktów i kalendarza (udzielenie dostępu do danych innych osób),
  • dokładnej lokalizacji (mapy biegów, lokalizacja aptek, placówek).

Jeżeli polityka deklaruje przetwarzanie wyłącznie „podstawowych danych konta i informacji medycznych”, a aplikacja przy pierwszym uruchomieniu żąda dostępu do kontaktów, mikrofonu i lokalizacji w tle, pojawia się rozdźwięk między dokumentem a praktyką. Zadaj wtedy dwa pytania: do czego aplikacja faktycznie potrzebuje tej zgody i czy w polityce jest o tym choć jedno zdanie wyjaśnienia.

Część systemów pozwala przycinać uprawnienia (np. wybrać „dostęp do lokalizacji tylko podczas używania aplikacji”). To prosty sposób, by sprawdzić, czy program jest w stanie działać przy bardziej konserwatywnych ustawieniach, czy od razu przestaje świadczyć podstawową usługę.

Ślady współpracy z podmiotami trzecimi w samej aplikacji

Polityka prywatności opisuje „odbiorców danych”, lecz czasem dopiero interfejs użytkownika zdradza, jak ta współpraca wygląda naprawdę. Elementy, na które użytkownicy rzadko zwracają uwagę, a które sporo mówią o przepływach danych:

  • logowanie przez zewnętrzne konta (Google, Apple, Facebook),
  • wbudowane moduły czatu (osobne okienko, regulamin innej firmy),
  • sekcja „Partnerzy” lub „Oferty” z przekierowaniem do sklepów czy aptek,
  • banery z zaproszeniem do badań klinicznych lub programów lojalnościowych.

Jeżeli aplikacja pozwala na logowanie przez konto społecznościowe, a w polityce brak jasnego opisu, czy i jakie dane zdrowotne mogą zostać z tym kontem powiązane, mamy lukę informacyjną. Podobnie z modułami czatu: jeżeli w stopce okna pojawia się logo zewnętrznego dostawcy, a polityka prywatności opisuje „bezpieczną komunikację z lekarzem” bez nazwania pośrednika, zakres faktycznego przetwarzania może być szerszy, niż sugeruje tekst.

Śledzenie i analityka w aplikacjach zdrowotnych

Systemy analityczne i reklamowe są obecne również w aplikacjach zdrowotnych. Część polityk ujmuje je pod ogólnym hasłem „narzędzia analityczne”, nie wskazując konkretnych dostawców. To podejście utrudnia ocenę, czy dane zdrowotne mogą trafić do dużych platform reklamowych.

Ślady takich narzędzi widać czasem w ustawieniach aplikacji („Analiza użytkowania”, „Pomóż ulepszać produkt”) albo w treści komunikatów podczas pierwszego uruchomienia. Kilka prostych sygnałów ostrzegawczych:

  • obecność spersonalizowanych rekomendacji produktów niezwiązanych ściśle z terapią,
  • komunikaty o „udostępnianiu danych partnerom w celu prezentacji odpowiednich ofert”,
  • brak możliwości wyłączenia modułów analitycznych lub marketingowych w ustawieniach prywatności.

Sam fakt korzystania z analityki nie jest problemem, jeśli dane zdrowotne są faktycznie agregowane i nie służą do działań marketingowych wobec pojedynczej osoby. Kłopot zaczyna się wtedy, gdy narzędzia marketingowe działają na tej samej „warstwie danych” co informacje o objawach czy lekach, a polityka opisuje to w jednym zdaniu.

Jak samodzielnie zrobić mini‑audyt: trzy krótkie kroki

Bez specjalistycznej wiedzy technicznej da się wykonać szybki przegląd, czy zachowanie aplikacji pasuje do polityki prywatności. Taki mini‑audyt może wyglądać następująco:

  1. Sprawdzenie uprawnień – przejrzenie wszystkich zgód systemowych i porównanie ich z opisanymi w polityce kategoriami danych. Niezgodność nie musi oznaczać nadużycia, ale wymaga dodatkowej refleksji.
  2. Monitoring aktywności w tle – rzut oka na użycie danych w sieci (w ustawieniach systemu) i na to, czy aplikacja intensywnie komunikuje się z serwerami, mimo że jest zamknięta.
  3. Weryfikacja integracji – sprawdzenie listy podłączonych usług (zegarki, konta chmurowe, inne aplikacje). Tu ważne pytanie brzmi: czy polityka wprost opisuje te integracje jako odbiorców lub odrębnych administratorów danych.

Jeżeli w którymkolwiek z tych punktów pojawia się znaczący rozdźwięk między opisem a praktyką, rozsądną reakcją jest wstrzymanie się z wprowadzaniem pełnych danych zdrowotnych, dopóki nie uda się uzyskać od dostawcy bardziej precyzyjnych informacji.

Gdy coś „nie gra” – jak reagować na nieścisłości

Nie każda wątpliwość oznacza od razu naruszenie prawa. Często problemem jest brak przejrzystości: dokument napisany zbyt ogólnie, trudny język, brak odniesienia do konkretnych funkcji aplikacji. Z perspektywy użytkownika praktyczne są trzy możliwe reakcje:

  • zadać pytanie dostawcy – krótki e‑mail z prośbą o doprecyzowanie, np. „czy dane z czujnika tętna są wykorzystywane do celów marketingowych lub udostępniane partnerom?”,
  • ograniczyć zakres danych – nie wprowadzać najbardziej wrażliwych informacji (np. szczegółowych diagnoz) dopóki brak jasnej odpowiedzi,
  • skorzystać z alternatywy – liczba aplikacji w danej kategorii (monitoring snu, cyklu, aktywności) jest na tyle duża, że często można wybrać rozwiązanie bardziej przejrzyste.

W tle pozostaje opcja formalna: zgłoszenie sprawy do organu ochrony danych. To rozwiązanie stosowane raczej w sytuacjach, gdy zidentyfikowano konkretne praktyki budzące obawy (np. uporczywy brak reakcji na prośbę o usunięcie danych zdrowotnych czy rażącą rozbieżność między deklaracjami a rzeczywistymi funkcjami aplikacji).

Jak czytać politykę prywatności aplikacji zdrowotnej „na skróty”, ale nie bezrefleksyjnie

Dokładne przeczytanie całego dokumentu przed instalacją każdej aplikacji to scenariusz mało realistyczny. W praktyce chodzi o wypracowanie kilku automatycznych nawyków, które pozwolą wychwycić sytuacje o podwyższonym ryzyku.

Prosty, możliwy do zastosowania schemat może wyglądać tak:

  1. Zerknięcie na kategorie danych – czy wprost wymieniono dane o zdrowiu lub zbliżone do nich (cykl, samopoczucie, aktywność)?
  2. Identyfikacja celów ponad podstawowe działanie – czy pojawiają się marketing, profilowanie, badania z udziałem partnerów komercyjnych?
  3. Sprawdzenie odbiorców – kto jest nazwany z imienia i nazwiska (konkretne firmy, dostawcy chmury, firmy analityczne), a kto ukryty pod ogólnym określeniem „partnerzy biznesowi”?
  4. Weryfikacja możliwości sprzeciwu i usunięcia – czy użytkownik ma jasny, opisany kanał, by powiedzieć „nie” dodatkowym celom lub poprosić o skasowanie danych zdrowotnych.
  5. Porównanie z zachowaniem aplikacji – czy uprawnienia, komunikaty i integracje dają się logicznie powiązać z tym, co zapisano w polityce.

Ten „skrót” nie zastąpi pełnej analizy, ale redukuje ryzyko najbardziej oczywistych niespodzianek – sytuacji, w których dane dotyczące zdrowia zostają wykorzystane znacznie szerzej, niż użytkownik zakładał przy instalacji.

Dlaczego w aplikacjach zdrowotnych „mniej” danych bywa rozsądniejszą strategią

Aplikacje zdrowotne często zachęcają do wprowadzania jak największej liczby informacji – im więcej danych, tym dokładniejsze statystyki i rekomendacje. Z punktu widzenia ochrony prywatności opłaca się zachować pewien minimalizm.

Można przyjąć trzy praktyczne zasady:

  • podawaj tyle, ile jest potrzebne do osiągnięcia konkretnego celu (np. monitorowania tętna podczas treningu, a nie pełnej historii chorób),
  • unikanie „notatek swobodnych” z pełnymi nazwami placówek, nazwiskami lekarzy czy opisami sytuacji rodzinnych – te pola tekstowe są trudne do skutecznej anonimizacji,
  • regularne czyszczenie historii, jeśli aplikacja to umożliwia (np. kasowanie wpisów sprzed określonej daty).

Minimalizacja danych jest jedną z zasad RODO po stronie administratora, ale użytkownik również może ją wdrożyć po swojej stronie, ograniczając zakres informacji, który w ogóle trafia do systemu.

Kiedy aplikacja zdrowotna może być rozsądnym wyborem mimo braków w polityce

Zdarzają się sytuacje, w których polityka prywatności nie jest idealna: jest lakoniczna, korzysta z ogólnych sformułowań, brakuje w niej rozbicia celów na podstawowe i marketingowe. Jednocześnie sama usługa może być potrzebna, bo zapewnia szybki kontakt z lekarzem lub ułatwia codzienne monitorowanie choroby przewlekłej.

W takich przypadkach rozsądnym kompromisem bywa:

  • wyłączenie wszystkiego, co nie jest niezbędne – powiadomień marketingowych, rekomendacji partnerów, integracji z mediami społecznościowymi,
  • korzystanie z aplikacji w wersji „odchudzonej” – tylko do kluczowych funkcji medycznych, bez wprowadzania pełnego obrazu życia prywatnego,
  • okresowa weryfikacja ustawień – raz na kilka miesięcy sprawdzenie, czy po aktualizacjach nie pojawiły się nowe funkcje lub zgody, które poszerzają zakres przetwarzania.

Kluczowe pytanie, które warto sobie wtedy zadać, brzmi: czy korzyść zdrowotna lub organizacyjna z używania tej aplikacji jest większa niż potencjalne ryzyko związane z przetwarzaniem danych. Odpowiedź nie zawsze będzie jednoznaczna, ale samo postawienie tego pytania porządkuje sposób korzystania z technologii w obszarze zdrowia.

Najczęściej zadawane pytania (FAQ)

Jak rozpoznać, czy aplikacja zbiera dane zdrowotne w rozumieniu RODO?

RODO uznaje za dane dotyczące zdrowia nie tylko „twarde” informacje medyczne, jak diagnozy czy wyniki badań, lecz także dane, które pozwalają wnioskować o stanie zdrowia. Jeśli aplikacja systematycznie zbiera informacje o ciele, samopoczuciu, chorobach, przyjmowanych lekach, wizytach u lekarza lub przebiegu ciąży, w praktyce działa na danych zdrowotnych.

Co wiemy: krokomierz używany wyłącznie „dla zabawy” można uznać za mniej wrażliwy. Ten sam krokomierz połączony z historią chorób serca czy planem rehabilitacji wchodzi już w obszar danych zdrowotnych w rozumieniu RODO. Jeśli masz wątpliwości, przyjmij ostrożną wersję – lepiej założyć, że to dane zdrowotne, niż zlekceważyć ryzyko.

Na co zwrócić uwagę w polityce prywatności aplikacji zdrowotnej?

Przydatne jest przejście po kilku stałych punktach: kto jest administratorem danych (konkretna firma, adres, kontakt), jakie kategorie danych są zbierane (czy wprost pada „dane dotyczące zdrowia”), w jakim celu są używane (leczenie, statystyka, marketing), komu są udostępniane (partnerzy, podwykonawcy, systemy reklamowe) oraz jakie masz prawa (usunięcie danych, sprzeciw, przeniesienie).

Kluczowe pytanie brzmi: czy dane zdrowotne mogą być wykorzystane poza samą aplikacją – np. do profilowania reklam, analiz sprzedażowych, modeli ryzyka ubezpieczeniowego. Jeśli polityka używa wyłącznie ogólników typu „personalizacja usług” bez konkretnych przykładów, to sygnał, że przejrzystość jest ograniczona.

Czy łączenie danych z aplikacji zdrowotnej z reklamami jest zgodne z prawem?

Samo w sobie profilowanie użytkowników na potrzeby reklam nie jest zabronione, ale przy danych zdrowotnych obowiązują ostrzejsze zasady. Potrzebna jest wyraźna, świadoma zgoda, a użytkownik powinien wiedzieć, że np. korzystanie z aplikacji psychiatrycznej czy ciążowej może wpływać na wyświetlane reklamy i tworzenie profilu zdrowotnego.

Praktyka pokazuje, że granica bywa rozmyta: po instalacji aplikacji monitorującej nastrój nagle pojawiają się reklamy leków przeciwdepresyjnych, po aplikacji ciążowej – fale reklam produktów dla niemowląt. Pytanie brzmi: czy użytkownik miał szansę realnie zrozumieć, że tak to będzie działało, i czy mógł się temu sprzeciwić bez utraty dostępu do usługi.

Co powinno mnie zaniepokoić w polityce prywatności aplikacji zdrowotnej?

Czerwone flagi to przede wszystkim: brak jasno wskazanego administratora danych, brak danych kontaktowych (e‑mail, adres), bardzo ogólne opisy celów przetwarzania („cele biznesowe”, „rozwój usług”) oraz niejasne wzmianki o „partnerach” bez ich kategorii czy krajów, do których dane mogą trafić.

Niepokojące są też zapisy sugerujące szerokie udostępnianie danych w celach marketingowych albo stwierdzenia w stylu „możemy przetwarzać dane także w innych zgodnych z prawem celach” – bez doprecyzowania, jakie to cele. Jeśli dokument jest długi, ale mówi mało konkretnie, to paradoksalnie zwiększa ryzyko, że odpowiedzialność jest rozmyta.

Czy muszę akceptować wszystkie zgody w aplikacji zdrowotnej, żeby z niej korzystać?

Nie. Zgody marketingowe i zgody na profilowanie zwykle nie są niezbędne do świadczenia podstawowej usługi zdrowotnej czy teleporady. Powinieneś mieć możliwość korzystania z kluczowych funkcji aplikacji bez akceptowania dodatkowego śledzenia reklamowego, a cofnięcie zgody nie powinno blokować dostępu do leczenia.

Co innego zgody ściśle związane z działaniem aplikacji – np. przetwarzanie dokumentacji medycznej w aplikacji do teleporad. Tu rezygnacja oznacza często po prostu brak możliwości korzystania z usługi. Różnica polega na tym, czy zgoda jest „warunkiem koniecznym”, czy „dodatkiem” – polityka prywatności powinna to jasno rozdzielać.

Jak mogę ograniczyć ryzyko związane z danymi zdrowotnymi w aplikacjach?

W praktyce pomocne są trzy kroki: po pierwsze, wybór dostawcy – lepiej stawiać na podmioty, o których coś wiadomo (kliniki, duże firmy, projekty z jasnym zapleczem) niż na anonimowe aplikacje bez zaplecza. Po drugie, minimalizacja danych – nie wpisywać więcej, niż jest potrzebne do celu, z którego naprawdę chcesz skorzystać.

Po trzecie, kontrola ustawień: wyłączenie zbędnych integracji (np. z systemami reklamowymi), rezygnacja z logowania przez portale społecznościowe, regularne sprawdzanie, czy możesz usunąć swoje dane lub wyeksportować je do innego dostawcy. To proste działania, ale realnie zmniejszają konsekwencje ewentualnego wycieku.

Czy prosta aplikacja fitness też może ujawniać informacje o moim zdrowiu?

Tak, nawet podstawowy licznik kroków czy aplikacja treningowa może – po połączeniu z innymi informacjami – sporo sugerować o kondycji, stylu życia czy ryzyku chorób. Jeśli dane z takiej aplikacji trafiają do systemów reklamowych lub są analizowane łącznie z innymi danymi (np. wiek, płeć, historia zakupów), powstaje profil o charakterze zdrowotnym.

Różnica między „zabawą” a „monitorowaniem zdrowia” często zależy od kontekstu. Samo zliczanie kroków na telefonie to jedno; przypisanie tych kroków do osoby z konkretną chorobą, planem rehabilitacji albo polisą ubezpieczeniową to już zupełnie inna kategoria ryzyka.

Najważniejsze punkty

  • Dane zdrowotne w rozumieniu RODO to nie tylko wyniki badań czy diagnozy, lecz każda informacja pozwalająca wnioskować o stanie zdrowia (np. sam fakt korzystania z aplikacji onkologicznej czy monitorującej cykl).
  • Połączenie pozornie niewrażliwych danych (e‑mail, numer telefonu) z kontekstem aplikacji zdrowotnej tworzy profil bardzo prywatny, którego wycieku nie da się „cofnąć”, w przeciwieństwie do zmiany hasła czy blokady konta.
  • Wiele aplikacji zdrowotnych pośrednio profiluje użytkowników pod kątem zdrowia (na podstawie zachowań, częstotliwości użycia, wpisywanych danych), a potem wykorzystuje te profile w systemach reklamowych czy analizach biznesowych.
  • Kluczowe pytanie przy lekturze polityki prywatności brzmi: czy dane zdrowotne mogą być używane poza samą aplikacją – do reklam, analiz sprzedaży, modeli ryzyka ubezpieczeniowego czy raportów dla partnerów; jeśli tak, ryzyko dla prywatności rośnie znacząco.
  • Rynek aplikacji zdrowotnych jest bardzo rozdrobniony, a nadzór regulacyjny nierówny – od dużych podmiotów medycznych po małe startupy i projekty hobbystyczne, co sprawia, że użytkownik często zostaje sam z dokumentem polityki prywatności.
  • Brak jasnego administratora danych, danych kontaktowych, konkretnych opisów procesów i precyzyjnych informacji o „partnerach biznesowych” to sygnał ostrzegawczy, że odpowiedzialność za dane może być rozmyta.

    • Opracowano na podstawie

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Dziennik Urzędowy Unii Europejskiej (2016) – Definicje danych dotyczących zdrowia, szczególne kategorie danych, podstawy przetwarzania
  • Wytyczne 3/2019 dotyczące przetwarzania danych osobowych poprzez urządzenia i aplikacje z zakresu zdrowia. European Data Protection Board (2020) – Interpretacja RODO dla aplikacji zdrowotnych i urządzeń wearables
  • Opinia 8/2014 w sprawie ostatnich zmian w sektorze e‑zdrowia. Grupa Robocza Art. 29 ds. Ochrony Danych (2014) – Ryzyka prywatności w e‑zdrowiu, klasyfikacja danych zdrowotnych
  • Raport: Aplikacje zdrowotne a ochrona danych osobowych. Urząd Ochrony Danych Osobowych – Stanowisko UODO wobec aplikacji zdrowotnych, obowiązki administratorów
  • Guidance on Apps Supporting Healthcare and Well‑being. European Commission – Zalecenia dot. bezpieczeństwa i przejrzystości aplikacji zdrowotnych
  • Guidance on the Regulation of Medical Device Apps. Medicines and Healthcare products Regulatory Agency – Kiedy aplikacja zdrowotna staje się wyrobem medycznym

Zobacz, co jeszcze dla Ciebie mamy:

Poprzedni artykułRenault Scenic: jak samodzielnie zdiagnozować i usunąć stuki w przednim zawieszeniu
Krzysztof Lewandowski
Krzysztof Lewandowski
Analityk danych i pasjonat sztucznej inteligencji w ochronie zdrowia. Zawodowo zajmuje się projektami wykorzystującymi big data do poprawy jakości opieki nad pacjentem, od systemów wspomagania decyzji klinicznych po narzędzia do monitorowania terapii. W artykułach łączy perspektywę technologiczną z praktycznymi konsekwencjami dla lekarzy i pacjentów. Każdy tekst opiera na aktualnych publikacjach naukowych, dokumentacji technicznej i własnych testach narzędzi. Szczególną uwagę zwraca na przejrzystość działania algorytmów, ryzyko błędów oraz odpowiedzialne wdrażanie innowacji w realnych placówkach medycznych.