Artikel
App-løsninger og følsomme data – Hvornår skal datatilsynets tilladelse indhentes?
Kromann Reumert
26/03/2015
Artikel 29-gruppen har i en ny udtalelse defineret begrebet "helbredsoplysninger" klarere. Med udtalelsen vil apps, der sammenstiller en række oplysninger om en person, f.eks. køn, alder, højde og vægt, blive anset som helbredsoplysninger. Det betyder, at personens udtrykkelige samtykke skal indhentes – og ikke mindst er der en forpligtelse til at indhente tilladelse fra Datatilsynet.
NY BREDERE DEFINITION AF "HELBREDSOPLYSNINGER"
Markedet for apps til smartphones og tablets, der omhandler livsstil og sundhed, er i de seneste år vokset markant. En række apps indhenter og sammenstiller store mængder oplysninger om brugeren, f.eks. alder, køn, højde og vægt. Normalt vil oplysningerne ikke i sig selv udgøre helbredsoplysninger – og dermed følsomme persondata – men sammenstillingen af oplysningerne kan, afhængigt af sammenhængen, give en stærk indikation af en persons helbred. Sammenstillingen vil i disse situationer udgøre helbredsoplysninger. Dette gælder især, hvis oplysningerne sammenholdes med brugerens blodtryk, hjerterytme eller aktivitetsniveau.
Ifølge Artikel 29-gruppen vil en sammenholdning af data om brugerens alder, køn, højde og vægt med en skridtmåler betyde, at virksomhederne kan bruge dataene til at vurdere personens aktivitetsniveau og dermed vurdere, om personen er i fare for at få helbredsproblemer. Hvis virksomhederne ikke klart informerer brugerne om formålet med behandlingen af oplysningerne, kan brugeren nemt tro, at dataene alene bruges af denne selv og ikke af virksomheden bag app'en. Det har især betydning for, om brugeren har givet et gyldigt samtykke, og om dataene berettiget kan videregives til tredjemand.
HVILKE KRAV ER DER TIL APPS, DER REGISTRERER BRUGERENS HELBREDSOPLYSNINGER?
Hvis app'en indsamler og behandler helbredsoplysninger om brugerne, kræver det et udtrykkeligt indhentet samtykke fra brugeren. Det betyder, at brugeren frivilligt skal afgive samtykket, brugeren skal være informeret om formålet med behandlingen, og samtykket skal angå til specifikke behandlinger.
Derudover er virksomhederne forpligtet til at indhente tilladelse til Datatilsynet til indsamling og behandling af dataene, da der er tale om følsomme data efter persondatalovens § 7. Reglerne gælder i øvrigt også livstils-apps, der tracker/lokaliserer brugernes færden.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
