Web pro ‚péči o duševní zdraví‘ posílá informace Facebooku. ‚Jde o porušení GDPR,‘ míní právník
Lidé s úzkostí, depresí, stresem či kombinací symptomů mohou nově využít online pomocníka, aplikaci Mindwell. Uživatelé si však nemusí uvědomovat, že aplikace poskytuje informace o jejich návštěvě stránky Facebooku. Podle právníka Jana Vobořila se tím porušuje zákon o ochraně osobních údajů. „Jedná se o běžný postup používaný v marketingové praxi,“ hájí aplikaci Zdeněk Truhlář, její pověřenec pro ochranu osobních údajů.
„Systematická péče o duševní zdraví. V soukromí a z pohodlí domova,“ stojí na úvodní stránce Mindwell.cz. Ta je jedinou webovou aplikací nabízející pomoc lidem s duševními problémy na českém trhu, kterou hradí některé zdravotní pojišťovny.
Konspirátoři na prodej. Na dezinfowebech sledují čtenáře desítky reklamních systémů
Číst článek
Při navštívení stránky je uživateli nabídnuto, aby si vybral jeden z programů „úzkost“, „deprese“ či „stres“. Každý program nabízí sérii videí, psaných příběhů jiných lidí, kteří zažívali podobné obtíže, cvičení a zpětné vazby od terapeuta. Vše probíhá online a stojí téměř patnáct tisíc korun.
Pojištěnci Vojenské zdravotní pojišťovny (VOZP), České průmyslové zdravotní pojišťovny (ČPZP) či Zdravotní pojišťovny ministerstva vnitra České republiky (ZPMVČR) mohou zažádat o příspěvek, který jim využití programu Mindwell buďto částečně, či plně uhradí.
Jak ale ukazuje přehled komunikace mezi stránkou Mindwell.cz a servery marketingové společnosti Facebook, při otevření stránky s konkrétním terapeutickým programem se informace o návštěvě Facebooku zasílá. Sociální síť informaci propojí s identitou konkrétního uživatele a následně na něj jak Mindwell, tak i ostatní inzerenti mohou cílit reklamu na Facebooku a v dalších službách společnosti Meta (Instagram).
Problematická praxe
Tato praktika je podle Jana Vobořila, advokáta z nevládní organizace Iuridicum Remedium, problematická a na hraně zákona.
„Pokud jsou zdravotnická data prostřednictvím těchto analytických nástrojů zpracovávána, tak se domnívám, že pravděpodobně půjde o porušení nejen ustanovení čl. 9 GDPR, ale i dalších ustanovení, která se váží k účelnosti zpracování, ke způsobu informování subjektů údajů,“ vysvětlil pro server iROZHLAS.cz a Radiožurnál.
S tím však nesouhlasí Zdeněk Truhlář, pověřenec pro ochranu osobních údajů za Mindwell. „V rámci zpracování údajů GDPR postupujeme přesně podle zásady pro zpracování osobních údajů, údajů o zdravotním stavu a použití cookies,“ sdělil serveru iROZHLAS.cz.
Zásady zpracování ochrany osobních údajů služby Mindwell mají dohromady dvanáct stran, reklamní systémy Facebook, Google Ads a Seznam Sklik jsou zmíněné až na předposlední straně. Dočíst se k nim tak trvá odhadem asi půl hodiny.
E-terapie
Aplikace pro duševní zdraví jsou nástroje navržené k podpoře duševního zdraví jednotlivců. Tyto aplikace mohou mít různé funkce jako například vzdělávací videa, online cvičení, chatovací funkce a další. Na českém trhu je podobných aplikací zhruba šest. Na světovém trhu jich je podle odhadů 10-20 tisíc.
Podle Truhláře jde o běžný marketingový postup. „Veškeré marketingové nástroje pro sledování chování návštěvníků webu jsou aktivní jen do začátku nákupního procesu,“ řekl.
Podle Vobořila je však důležité rozlišovat mezi běžným online obchodem a aplikací nakládající s informacemi o zdravotním stavu. „Prodej produktu spojený s péčí o duševní zdraví není totéž, jako e-shop prodávající tenisky. A podobně jako například u webu veřejné správy by si měli vývojáři nasazování některých marketingových nástrojů odpustit,“ tvrdil.
Lační po datech o zdraví
Podle Vobořila má totiž o údaje spjaté se zdravím zájem celá řada subjektů, a to i proto, že nejsou jednoduše k mání. „Využívání podobných analytických nástrojů v takové aplikaci považuji za velkou chybu a ukazuje to i na přístup správců k ochraně osobních údajů obecně, což by mělo být pro potenciální uživatele varující,“ mínil.
Jakmile totiž Facebook disponuje informací, že uživatel má zájem o téma deprese, může na uživatele cílit reklamu nejen aplikace Mindwell, ale i kdokoliv jiný.
„Zdravotnická data jsou velmi citlivá, pokud jde o dopad, který na člověka může mít jejich zneužití. Jen si představme, jak by o ně stály třeba pojišťovny nebo zaměstnavatelé,“ popsal Vobořil.
Pojišťovny nevidí problém
Server iROZHLAS.cz se obrátil na zdravotní pojišťovny, které na programy v aplikaci Mindwell pojištěncům přispívají a tím jí přihrávají uživatele. Pojišťovny se hájí, že odpovědnost leží na provozovateli aplikace. „Česká průmyslová zdravotní pojišťovna (ČPZP) není provozovatelem aplikace Mindwell (webové stránky), ani není správcem,“ sdělila serveru iROZHLAS.cz mluvčí průmyslové pojišťovny Elenka Mazurová.
To stejné mínila také mluvčí pojišťovny ministerstva vnitra Jana Schillerová. „Správcem dat je provozovatel, tedy Mindwell,“ řekla.
Podle vojenské zdravotní pojišťovny se aplikace žádného porušení nedopouští. „Společnost Mindwalk (firma provozující aplikaci – pozn. red) neposkytuje informace o zdravotním stavu o uživatelích Facebooku,“ napsal serveru iROZHLAS.cz ředitel odboru komunikace Josef Křivánek. „Osobní údaje sbírané na základě cookies jsou podmíněny poskytnutím souhlasu ze strany klienta,“ uvedl.
Poskytnutí souhlasu na běžné cookie liště však podle Vobořila nestačí, protože pro poskytování zdravotních údajů by daný uživatel musel dát konkrétnější typ souhlasu. „Ten, kdo dává souhlas, by v rámci aplikace navíc musel prokázat svou identitu, například elektronickým podpisem. V realitě dané aplikace si toto neumím příliš představit,“ líčil advokát.
GDPR, článek 9
Jde o obecné nařízení o právním rámci ochrany osobních údajů v evropském prostoru. Článek 9 reguluje zpracovávání zdravotních a jiných citlivých dat.
To potvrdil i mluvčí Úřadu pro ochranu osobních údajů Milan Řepka. „Lze v zásadě uvažovat, že k předávání údajů o zdravotním stavu by mohl sloužit pouze výslovný souhlas subjektu údajů. Prakticky by však šlo o komplikované řešení, protože na takový souhlas jsou kladeny vysoké nároky,“ napsal.
„V případě, že obecně zpracování osobních údajů porušuje uvedené ustanovení čl. 9 GDPR, hrozí správci osobních údajů pokuta až do výše 20 milionů eur, nebo jedná-li se o podnik, až do výše čtyř procent celkového ročního obratu celosvětově za předchozí finanční rok,“ vypočetl.
Podle Truhláře si je společnost Mindwell „vědoma všech svých zákonných povinností a postupuje při své činnosti v souladu s GDPR“.
Nebezpečí sdílení dat
Nebezpečí poskytování dat ze zdravotních aplikací dříve popsala serveru iROZHLAS.cz právnička z univerzity ve Švédském Lundu Petra Müllerová. „Nyní si představte, že tato data dostane například váš budoucí zaměstnavatel, který o vás už při pohovoru bude vědět, jakou duševní poruchou trpíte a jakou máte anamnézu,“ uvedla Müllerová.
„Ve Švédsku aktuálně probíhá soud, protože jedna společnost takhle rozprodávala informace z rozsudků, včetně citlivých informací o tom, že daný člověk musel podstoupit odvykací léčbu nebo pobyt na psychiatrii,“ poukázala Müllerová s tím, že když se takové informace dostanou na příklad k potenciálním zaměstnavatelům, mohou být žadatelé o práci diskriminováni.
„Vezměte si, že tu budeme ještě čtyřicet nebo padesát let a aplikace budou mít celé databáze o našem zdravotním stavu. To jsou hrozně citlivé údaje. Představte si, že je na vás někdo vytáhne, když se budete hlásit o veřejnou funkci, nebo že se informace o tom, že máte rakovinu, dozví marketingová firma předtím, než to řeknete rodině,“ argumentovala Müllerová.
Výjádření psychiatra Martina Anderse o zdravotních aplikacích
Mnoho let pracuji v oblasti léčivých přípravků a dlouhodobě vystupuji v roli garanta SÚKL za Psychiatrickou společnost ČLS JEP, mám ve své DNA zakódované určité principy, jak přistupovat k hodnocení léčivých přípravků, a dle mého názoru by měly být shodné nebo minimálně obdobné principy využity při hodnocení jakéhokoliv způsobu, který se deklaruje jako léčebný. Výsledkem potom může být vyhodnocení přínosů, ale také zjištění rizik, které tyto terapeutické postupy mohou přinést.
V žádném případě nepochybuji o potřebě nových a různorodých terapeutických instrumentů, zvláště při současné situaci v oblasti duševních chorob. Asi nelze nic namítat proti „svépomocným“ aplikacím různého typu, ale pokud předpokládáme, že postup nebo technologie nebo aplikace vzejde od odborníků na danou problematiku (odborná společnost, zdravotnické zařízení, sdružení specialistů…), tak by tito měli mít jistotu, podobně jako v případě léčivých přípravků, stimulací aj., že postup či aplikace bude přinášet kýžený efekt určité skupině pacientů (filtr typu potíží), nepovede k tomu, že někdo s vážnějším typem onemocnění (filtr závažnosti) jej zvolí například místo návštěvy lékaře a současně bude bezpečný (průběžné monitorování nežádoucích událostí). Podobně jako u léčiv, proces by měl být pilotován na vybrané skupině účastníků, vyhodnocen a průběžně, a to především při jeho iniciální implementaci, monitorován a vyhodnocován objektivně, tj. nejen jeho tvůrci, ale i skupinou odborníků (psychoterapie, psychiatrie, psychologie).
V neposlední řadě by měla být vydefinována míra právní odpovědnosti.
Vyjádření provozovatele platformy Mindwell:
Článek uveřejněný dnes na stránkách iROZHLAS.cz vytváří mylný dojem, že předáváme údaje o zdravotním stavu našich klientů třetím stranám. Nic takového se neděje. Data našich klientů jsou v bezpečí. V klientské části, kde terapie probíhá, nejsou nastaveny cookies, zde cookies vůbec nepoužíváme.
Na prezentační části našeho webu jsou standardně, v souladu se zákonem, nastaveny cookies, kde si každý návštěvník webu může zvolit, zda má o jeho aktivitě odcházet nějaká informace do analytických nebo marketingových nástrojů. Je to zcela v souladu se zákonem a pravidly GDPR. I když návštěvník s cookies vyjádří souhlas, odcházejí pouze anonymní (nikoliv osobní) údaje o jeho chování na prezentační části webu, což je běžná praxe.
Tvrzení, že samotné prohlížení nabídky programů Mindwell je de facto sdílením informací o zdravotním stavu, je stejně zavádějící, jako tvrdit to samé například v situaci, kdy si někdo prohlíží nabídku ortéz na koleno online lékárny nebo vyhledává na internetu články o cukrovce.
Platforma Mindwell má ambici zvýšit dostupnost terapie v ČR, která se potýká s obrovskými kapacitními problémy a mnoho lidí dnes nemá k této péči přístup. Naše metody jsou založené na vědeckých důkazech KBT, která prokazatelně pomáhá. Mindwell prochází certifikací jako zdravotnický prostředek a bude se nadále ucházet o zařazení mezi služby hrazené z veřejného zdravotního pojištění. Chceme pomáhat lidem, a to zejména těm, kteří si nemohou dovolit drahou komerční alternativu nebo měsíce čekání na konvenční psychoterapii u smluvních poskytovatelů.
