Dziennik Gazeta Prawna poinformował czytelników, że nowa aplikacja do przechowywania recept od sieci aptek Gemini może używać informacji o zdrowiu pacjentów do ich profilowania. Cytując p. Marka Tomków, wiceprezesa Naczelnej Rady Aptekarskiej:

Kilka recept pozwala stworzyć wirtualną kopię pacjenta. Pracownicy sieci bez trudu dowiedzą się, komu może stanąć serce, komu może nie stanąć coś innego (...)

Jednym z głównych zarzutów w tym artykule jest niedostateczne uściślenie przez aptekę, jak działa wspomniane w jej polityce prywatności profilowanie i jakie dane udostępnia podmiotom trzecim.

Apteka Gemini wypuściła orzeczenie, w którym próbuje wyrzec się wszystkich zarzutów, ale nie adresuje w nim obaw autorów oryginalnego dokumentu związanych z profilowaniem i sieciową dominacją.

Fundacja Panoptykon podtrzymuje swoje stanowisko, że sposób działania tej aplikacji należy poddać wnikliwemu badaniu ze strony Urzędu Ochrony Danych Osobowych.

Mamy za mało informacji, żeby stwierdzić, czy sposób działania tej aplikacji faktycznie narusza prywatność użytkowników, czy nie. I uważamy, że właśnie stąd wynika problem! Naszym zdaniem Apteka Gemini jest sama sobie winna, gdyż jej polityka prywatności jest napisana nieprecyzyjnie. Cytując Gazetę Prawną:

(...) jeśli dane medyczne są przekazywane podmiotom zewnętrznym, to nie może być żadnych domysłów co do tego, jaki jest cel takiego działania. (...)
– uważa radca prawny Andrzej Lewiński [zastępca generalnego inspektora ochrony danych osobowych w latach 2006–2016, a teraz prezes Fundacji im. Józefa Wybickiego oraz przewodniczący Komitetu ds. Ochrony Danych Osobowych Krajowej Izby Gospodarczej] (link)

Niech to będzie nauczka dla wszystkich firm formułujących swoje polityki prywatności, nawet jeżeli nie dotyczą one danych medycznych.

Większość polityk prywatności, jakie napotykamy w Internecie, jest pisana nieprecyzyjnie. Owszem, zawierają one informacje o tym, jakie dane są zbierane oraz o tym, w jakim celu te dane są przetwarzane. Ale nie dają nam poglądu na to, które dokładnie dane są wykorzystywane w którym konkretnym celu. Z reguły czytamy coś w stylu:

Oto, jakie dane zbieramy:
* e-mail,
* bezcenne dane o Twoim zdrowiu.

Oto, w jakim celu zbieramy dane:
* świadczenie głównej usługi,
* profilowanie użytkowników.

Oto, komu udostępniamy te dane:
* Microsoft,
* Amazon,
* Szatan we własnej osobie.

Czy do profilowania będzie użyty tylko mój adres e-mail? Czy może cała informacja o moim zdrowiu? Taka struktura polityki prywatności działa jak zasłona dymna i nie pokazuje w pełni zamiarów twórców i sposobu działania aplikacji. Łatwo jest wtedy o snucie teorii spiskowych lub o wzbudzenie obaw wśród osób (w tym dziennikarzy) troszczących się o prywatność.

Polityka prywatności staje się bardziej czytelna, gdy przy każdym zbieranym rodzaju danych zawiera także informację o tym, w jakim celu ten konkretny rodzaj danych jest przetwarzany. W takiej sytuacji rozwiewamy wiele wątpliwości:

Zbieramy Twoje następujące dane:

  • email (do logowania i komunikacji w sprawie zarządzania kontem). W transmisji tych danych pośredniczy Microsoft, gdyż w jego chmurze uruchomiona jest nasza aplikacja.
  • dane o Twoim zdrowiu (w celu świadczenia Ci usługi przechowywania danych o Twoim zdrowiu). Do tych danych masz dostęp tylko Ty.

Jeżeli apteka Gemini faktycznie chce odrzucić zarzuty, może zacząć od zredagowania swojej polityki prywatności.


Chcesz dowiadywać się więcej o podobnych tematach w przyszłości? Możesz nas śledzić na Twitterze, Facebooku, za pomocą RSS, oraz słuchać naszego podcastu!