Smartwatch a RODO czy dane zdrowotne z zegarka są bezpieczne u polskich operatorów i producentów

Przez
Paulina Ostrowski
-
0
8
Rate this post

Nawigacja:

Jakie dane zdrowotne naprawdę zbiera smartwatch i opaska

Dane oczywiste i te, o których rzadko się myśli

Smartwatch i opaska sportowa kojarzą się głównie z liczeniem kroków i tętna. W praktyce zakres informacji, które urządzenie jest w stanie zebrać i powiązać z konkretną osobą, jest znacznie szerszy. Z punktu widzenia RODO nie liczy się tylko to, jakie dane są technicznie rejestrowane, ale też to, jakie wnioski można z nich wyciągnąć.

Standardowy zegarek lub opaska zbiera zwykle:

  • tętno i zmienność rytmu serca (HRV) – pomiar ciągły lub okresowy;
  • aktywność fizyczną – kroki, dystans, czas aktywności, rodzaj treningu;
  • sen – długość snu, fazy, pobudki, jakość snu;
  • stres – wyliczany z HRV, czasem łączony z oddechem;
  • saturację krwi (SpO2) – okresowe lub ciągłe pomiary;
  • EKG – zapis przebiegu elektrycznej pracy serca (w wybranych modelach);
  • cykl menstruacyjny – dane o miesiączkach, objawach, nastroju, libido;
  • temperaturę skóry lub nadgarstka – nie zawsze widoczną dla użytkownika, ale przetwarzaną algorytmicznie;
  • dane lokalizacyjne (GPS) – trasy biegów, spacerów, jazdy na rowerze;
  • informacje kontekstowe – godzina, dane z telefonu (powiadomienia, kalendarz), czas snu i aktywności w ciągu dnia.

Do tego dochodzą dane „technicze”, które z perspektywy prywatności są równie istotne: identyfikator konta, numer seryjny urządzenia, identyfikator Bluetooth, adres e-mail, numer telefonu, a w przypadku zegarków z eSIM – dane abonenta operatora. Z połączenia tych elementów powstaje bardzo dokładny profil użytkownika.

Jakie wnioski można wyciągnąć z danych ze smartwatcha

Dane zdrowotne ze smartwatcha rzadko są analizowane pojedynczo. Producenci i operatorzy usług łączą je, tworząc rozbudowany obraz codziennego życia. Z punktu widzenia RODO istotne jest to, że nawet pozornie niewinne informacje fitness mogą w praktyce ujawniać informacje o zdrowiu.

Na podstawie długotrwałej obserwacji można określić między innymi:

  • styl życia – siedzący, umiarkowanie aktywny, bardzo aktywny;
  • tryb pracy – zmiany nocne (sen w nietypowych godzinach), praca zmianowa, praca biurowa (dużo siedzenia, mało ruchu);
  • miejsce zamieszkania / przebywania – regularne lokalizacje nocą i w ciągu dnia, trasy dojazdu;
  • możliwe choroby przewlekłe – zaburzenia rytmu serca, nadciśnienie, bezdech senny, zaburzenia snu, przewlekły stres;
  • stan psychiczny – okresy zwiększonego stresu, bezsenności, spadku aktywności, które mogą korelować z depresją lub wypaleniem;
  • zdarzenia życiowe – ciąża (wzorce temperatury i cyklu), pobyt w szpitalu (nagły spadek aktywności, specyficzne lokalizacje), zmiana miejsca pracy.

Przykładowo: jeśli przez kilka miesięcy zegarek rejestruje cykliczne epizody bardzo wysokiego tętna spoczynkowego, obniżoną aktywność i zaburzony sen, a lokalizacja pokazuje regularne wizyty w poradni kardiologicznej, to z takiego zestawu da się wysnuć daleko idące wnioski o kondycji zdrowotnej użytkownika – nawet jeśli formalnie aplikacja określa te dane jako „fitness”.

Różnica między danymi fitness a medycznymi w sensie prawnym

RODO nie operuje pojęciem „dane fitness”. W rozporządzeniu mowa o danych osobowych (wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie) oraz o danych szczególnej kategorii, w tym o danych dotyczących zdrowia.

W praktyce przyjmuje się, że:

  • dane czysto techniczne (np. surowe kroki bez powiązania z osobą) to jeszcze niekoniecznie dane osobowe,
  • dane fitness powiązane z kontem użytkownika (e-mail, numer telefonu, identyfikator konta) to już dane osobowe,
  • dane, które mówią lub pozwalają wnioskować o stanie zdrowia fizycznego lub psychicznego, mogą być danymi dotyczącymi zdrowia.

Granicę wyznacza nie nazwa w aplikacji, ale możliwość przypisania informacji do konkretnej osoby i wykorzystania ich do określenia jej stanu zdrowia. To oznacza, że dane z zegarka, nawet jeśli producent nazywa je „informacjami wellness”, mogą w praktyce być danymi zdrowotnymi w rozumieniu RODO.

Kiedy dane ze smartwatcha stają się danymi szczególnej kategorii

RODO traktuje dane dotyczące zdrowia jako szczególne kategorie danych, których co do zasady nie wolno przetwarzać, chyba że zachodzi jedna z ściśle określonych przesłanek (np. wyraźna zgoda użytkownika). W przypadku smart-zegarków do takiej szczególnej kategorii zwykle należą:

  • zapisy EKG oraz informacje o wykrytych zaburzeniach rytmu,
  • pomiary saturacji i ich historia, jeśli używane do monitorowania choroby,
  • dane o cyklu menstruacyjnym, ciąży, płodności,
  • informacje o diagnostyce czy sugestii stanu chorobowego (np. powiadomienie „możliwe migotanie przedsionków”),
  • dane przesyłane do lekarza, ubezpieczyciela czy kliniki w ramach konkretnej usługi zdrowotnej.

Granica często pojawia się wtedy, gdy zegarek lub aplikacja zaczyna pełnić funkcję wyrobu medycznego w rozumieniu polskiego i unijnego prawa. Jeśli producent reklamuje funkcję jako służącą diagnostyce, monitorowaniu lub leczeniu, wówczas dane powstające przy jej wykorzystaniu z dużym prawdopodobieństwem zostaną zakwalifikowane jako dane zdrowotne. To z kolei uruchamia ostrzejsze wymagania RODO dotyczące podstawy prawnej, zgód i zabezpieczeń.

Podstawy RODO w kontekście elektroniki noszonej

Dane osobowe i dane zdrowotne w ujęciu praktycznym

Z punktu widzenia użytkownika smartwatcha kluczowe są dwa pojęcia: dane osobowe i dane dotyczące zdrowia. Ujęte w praktycznym języku:

  • Dane osobowe – wszystko, co pozwala zidentyfikować konkretną osobę lub łącznie z innymi informacjami do niej prowadzi. To nie tylko imię i nazwisko, ale również adres e-mail, identyfikator konta w aplikacji, numer seryjny urządzenia przypisany do konta, dokładny zestaw tras GPS powiązany z konkretnym numerem telefonu.
  • Dane dotyczące zdrowia – informacje o przeszłym, obecnym lub przyszłym stanie zdrowia fizycznego albo psychicznego. Nie muszą pochodzić z przychodni; wystarczy, że z wysokim prawdopodobieństwem mówią o zdrowiu danej osoby lub pozwalają wyciągnąć takie wnioski.

W praktyce prawie wszystkie informacje zbierane przez smartwatch po zalogowaniu do konta są danymi osobowymi. Część z nich jest jednocześnie danymi dotyczącymi zdrowia, a więc podlega surowszym wymaganiom. Producent nie może powołać się na to, że dane są „anonimowe”, jeśli potrafi połączyć je z Twoim kontem lub urządzeniem.

Kiedy producent staje się administratorem danych

Administrator danych to podmiot, który określa cele i sposoby przetwarzania danych osobowych. Przy smartwatchach zwykle jest nim:

  • producent zegarka (np. globalny koncern),
  • firma rozwijająca aplikację mobilną, jeśli jest innym podmiotem,
  • polski operator telekomunikacyjny, jeśli oferuje zegarek w abonamencie z usługą eSIM i sam zapisuje dane w swoich systemach.

Producent zostaje administratorem w momencie, gdy:

  • zakładasz konto w jego usłudze,
  • logujesz się do aplikacji,
  • przesyłasz dane z zegarka do jego chmury,
  • aktywujesz dodatkowe usługi (np. społecznościowe porównywanie wyników, backup danych, analiza trendów zdrowotnych).

Jeśli polski operator sprzedaje zegarek wraz z usługą (np. oferta „telefon w zegarku”), najczęściej jest odrębnym administratorem w zakresie danych niezbędnych do świadczenia usług telekomunikacyjnych, a jednocześnie może mieć status procesora w stosunku do części danych, które przetwarza w imieniu producenta (na mocy umowy powierzenia).

Procesor danych, współadministrowanie i rola operatora

Procesor (podmiot przetwarzający) to firma, która przetwarza dane osobowe w imieniu administratora, według jego instrukcji. Przykłady w ekosystemie smartwatchy:

  • zewnętrzne centrum danych (data center) obsługujące serwery producenta zegarka,
  • dostawca usług analitycznych (np. liczący statystyki użytkowania aplikacji),
  • polski operator, który technicznie utrzymuje łączność eSIM zgodnie z umową z producentem.

Czasami producent i inny podmiot (np. operator lub partner oferujący wspólny program zdrowotny) wspólnie określają cele i sposoby przetwarzania. Wówczas mamy do czynienia z współadministratorem. W takiej relacji powinni jasno ustalić, kto za co odpowiada, a użytkownik ma prawo dowiedzieć się z polityki prywatności, do kogo kierować swoje żądania (np. o usunięcie danych).

Dla użytkownika istotne jest, że im więcej podmiotów pojawia się w łańcuchu przetwarzania, tym ważniejsze staje się zrozumienie, kto jest administratorem, a kto procesorem. Administrator odpowiada m.in. za realizację praw z RODO, procesor – za stosowanie odpowiednich zabezpieczeń i przetwarzanie tylko na udokumentowane polecenie administratora.

Na jakiej podstawie prawnej przetwarzane są dane zdrowotne ze smartwatcha

RODO wymaga, aby każde przetwarzanie danych osobowych miało konkretną podstawę prawną. Przy smartwatchach typowe podstawy to:

  • realizacja umowy – bez tego dane nie mogłyby być przetwarzane w celu świadczenia usługi, np. liczenia kroków, synchronizacji treningów, tworzenia historii aktywności;
  • zgoda użytkownika – szczególnie przy danych zdrowotnych, zwłaszcza gdy mowa o EKG, danych cyklu menstruacyjnego, udostępnianiu danych lekarzom, ubezpieczycielom czy serwisom zewnętrznym;
  • uzasadniony interes administratora – np. zabezpieczenie serwisu przed nadużyciami, analiza awarii, statystyki użycia w sposób nienaruszający Twoich praw;
  • wymogi prawne – np. obowiązki sprawozdawcze wobec organów, jeśli usługa ma status wyrobu medycznego.

Przy danych szczególnej kategorii (w tym zdrowotnych) katalog podstaw jest zawężony. Najczęściej stosowana jest wyraźna zgoda, wyrażona przez użytkownika w sposób świadomy i jednoznaczny. Zgoda nie może być domniemana ani „wymuszona” przez nieproporcjonalny warunek (np. „bez zgody na przekazywanie danych partnerom nie da się w ogóle korzystać z podstawowych funkcji zegarka”). W praktyce niestety zapisy bywają niejasne i łączą kilka różnych celów przetwarzania w jednym „tak/nie”, co utrudnia realny wybór.

Kobiece dłonie uruchamiają aplikację VPN na smartfonie dla ochrony danych
Źródło: Pexels | Autor: Stefan Coders

Kto w praktyce ma dostęp do danych z zegarka – łańcuch podmiotów

Producent sprzętu i jego serwery

Centralne miejsce w łańcuchu ma zwykle producent smartwatcha. To on:

  • projektuje sposób zbierania danych,
  • tworzy aplikację mobilną lub webowy panel,
  • utrzymuje serwery, na których przechowywana jest większość historii aktywności i zdrowia.

W praktyce oznacza to, że producent ma dostęp do obszernego profilu użytkownika, obejmującego zarówno dane osobowe (np. konto, e-mail, czasem numer telefonu), jak i szczegółową historię aktywności, lokalizacji i pomiarów zdrowotnych. Dane mogą być przetwarzane w centrach danych zlokalizowanych w różnych krajach: w Unii Europejskiej, ale też w USA czy Azji.

Istotne jest pojęcie profilu użytkownika. Producent często łączy dane z różnych urządzeń (np. zegarek, waga, inteligentna opaska), aby budować pełniejszy obraz zdrowia i na tej podstawie rozwijać swoje algorytmy. Zgodnie z RODO powinien jasno wyjaśnić, czy używa w tym celu danych zidentyfikowanych, czy też zanonimizowanych, a także czy profilowanie może wywoływać wobec użytkownika skutki prawne (np. odmowę udziału w niektórych programach).

Aplikacja w telefonie i integracje systemowe

System operacyjny telefonu i usługi chmurowe

Dane z zegarka rzadko trafiają „bezpośrednio” do producenta. Najpierw przechodzą przez telefon i jego system operacyjny (Android, iOS), który sam w sobie jest dużym ekosystemem danych. Od tego, jakie zgody wyrazi użytkownik w systemie, zależy, kto oprócz producenta zegarka może pośrednio widzieć, że korzystasz z określonych funkcji zdrowotnych.

Typowe miejsca, gdzie dochodzi do dalszego przetwarzania:

  • kopie zapasowe telefonu – jeśli włączony jest backup do chmury systemowej (np. dysk producenta systemu), ustawienia aplikacji i część danych mogą trafić na serwery innego podmiotu niż producent smartwatcha;
  • integracje z systemem zdrowotnym (np. Apple Health, Google Health Connect) – dane z zegarka mogą być agregowane w jednym „hubie zdrowotnym”, skąd korzystają inne aplikacje;
  • usługi bezpieczeństwa i analityki w systemie – informacje o błędach aplikacji zdrowotnej (crash reports) mogą zawierać ograniczone dane techniczne, czasem z identyfikatorami użytkownika.

Jeśli użytkownik włączy synchronizację danych zdrowotnych na kilku urządzeniach (np. drugi telefon, tablet), to liczba podmiotów przetwarzających rośnie: dochodzą operatorzy tych urządzeń, producenci systemów i dostawcy chmur. Każdy z nich ma własną rolę w rozumieniu RODO (zazwyczaj odrębny administrator lub procesor producenta systemu).

Zewnętrzne aplikacje fitness i partnerzy komercyjni

Częstym scenariuszem są integracje z zewnętrznymi serwisami: aplikacjami do biegania, portalami społecznościowymi, programami lojalnościowymi czy platformami ubezpieczycieli. Z perspektywy RODO każda taka integracja to osobne przetwarzanie, zwykle przez nowego administratora.

Najczęstsze modele udostępniania danych z zegarka:

  • bezpośrednia integracja API – z poziomu aplikacji smartwatcha użytkownik autoryzuje przesył danych do zewnętrznego podmiotu (np. synchronizacja treningów z inną aplikacją);
  • eksport danych – użytkownik sam pobiera plik z danymi (np. w formacie GPX/TCX) i wgrywa go do innego serwisu; wówczas nowy podmiot staje się niezależnym administratorem w stosunku do tych danych;
  • wspólne programy – producent zegarka i np. ubezpieczyciel prowadzą program „zdrowy tryb życia za zniżkę składki”; często występują tu relacje współadministrowania.

Każdy nowy podmiot powinien jasno przedstawić własną podstawę przetwarzania danych, okres przechowywania oraz cele (np. wyliczanie zniżek, analityka zachowań, budowanie profili ryzyka). W praktyce to zwykle osobna polityka prywatności, którą użytkownik akceptuje, często jednym kliknięciem w aplikacji producenta zegarka.

Operator telekomunikacyjny i usługa eSIM

Jeśli smartwatch działa z eSIM i zapewnia połączenia głosowe lub transmisję danych bez telefonu, do łańcucha wchodzi operator telekomunikacyjny. Jego podstawowym zadaniem jest świadczenie usług łączności, ale przy okazji przetwarza szeroki zestaw informacji:

  • dane abonenta (imię, nazwisko, PESEL lub inne dane identyfikacyjne, dane billingowe),
  • dane o połączeniach i sesjach (tzw. dane eksploatacyjne i lokalizacyjne),
  • numer eSIM powiązany z konkretnym zegarkiem.

Operator z reguły nie widzi szczegółowych danych zdrowotnych (tętno, EKG, cykl), ale może widzieć, że urządzenie łączy się z określonymi serwisami (np. domena producenta zegarka, usługa chmury zdrowotnej). Różne jest też podejście operatorów do dodatkowych programów zdrowotnych: część z nich tworzy własne aplikacje, w których przetwarzają dane z zegarka już jako odrębny administrator, często w oparciu o odrębne zgody.

Podmioty medyczne, ubezpieczyciele i pracodawcy

Zegarki coraz częściej wchodzą do obiegu medycznego. Dane mogą trafiać do:

  • lekarzy, klinik, teleporad – w ramach usług e-zdrowia, monitoringu pacjentów po zabiegach, programów prewencyjnych;
  • ubezpieczycieli – w zamian za zniżki lub dodatkowe świadczenia za określony poziom aktywności;
  • pracodawców – w programach „wellbeingowych” lub pakietach benefitów.

Każdy z tych podmiotów ma inną podstawę prawną. Podmiot medyczny zazwyczaj przetwarza dane zdrowotne na podstawie przepisów prawa i świadczenia usług medycznych. Ubezpieczyciel i pracodawca często opierają się na zgodzie, ale przy pracodawcy istnieje dodatkowy problem dobrowolności zgody w relacji zależności – trudno mówić o pełnej swobodzie, jeśli brak zgody może wpływać na postrzeganie pracownika.

Jeżeli dane z zegarka mają być wykorzystane do podejmowania decyzji wywołujących znaczące skutki (np. zmiana wysokości składki, odmowa ubezpieczenia, ocenianie wydajności pracownika), wchodzą w grę przepisy dotyczące profilowania i zautomatyzowanego podejmowania decyzji, a użytkownik zyskuje dodatkowe prawa, m.in. prawo do sprzeciwu i do „ludzkiej” interwencji.

Dostawcy infrastruktury technicznej

Pod „maską” aplikacji i serwerów producenta działa wiele firm technicznych: dostawcy chmur (IaaS, PaaS), usług CDN, systemów monitoringu aplikacji, narzędzi mailingowych czy rozwiązań marketing automation. W większości przypadków są to procesorzy danych, z którymi producent zawiera umowy powierzenia.

Na poziomie praktycznym może to oznaczać, że dane dotyczące zdrowia są fizycznie przechowywane lub przesyłane przez serwery firm zlokalizowanych np. w USA czy w Azji. W takim przypadku pojawia się kwestia transferu danych poza Europejski Obszar Gospodarczy i wymogu stosowania dodatkowych zabezpieczeń (standardowe klauzule umowne, ocena poziomu ochrony w kraju odbiorcy, środki techniczne jak szyfrowanie end-to-end).

Smartwatch a polskie prawo – praktyczny obraz stosowania RODO

Rola UODO i krajowych przepisów uzupełniających

W Polsce ogólnym nadzorem nad przestrzeganiem RODO zajmuje się Prezes Urzędu Ochrony Danych Osobowych (UODO). UODO wydaje decyzje, rekomendacje i prowadzi postępowania także w sprawach dotyczących usług cyfrowych i zdrowotnych. Choć liczba spraw ściśle dotyczących smartwatchy jest na razie ograniczona, wiele rozstrzygnięć w obszarze e-zdrowia, telemedycyny czy monitoringu pracowników przekłada się na praktykę producentów i operatorów.

Obok RODO stosuje się szereg krajowych aktów prawnych, m.in.:

  • ustawę o ochronie danych osobowych (regulującą m.in. funkcjonowanie UODO),
  • ustawę o systemie informacji w ochronie zdrowia,
  • ustawę o prawach pacjenta i Rzeczniku Praw Pacjenta,
  • ustawę – Prawo telekomunikacyjne (do czasu pełnego wdrożenia unijnego Kodeksu Łączności Elektronicznej),
  • przepisy dotyczące wyrobów medycznych.

Jeśli smartwatch lub związana z nim aplikacja ma status wyrobu medycznego, dochodzą dodatkowe wymogi notyfikacyjne, kliniczne i bezpieczeństwa. Dane zdrowotne wykorzystywane w takim wyrobie są zwykle objęte większą formalizacją – szczegółowe rejestry, raportowanie incydentów, ocena ryzyka klinicznego.

Prawa użytkownika w polskich realiach

Użytkownik smartwatcha korzystający z usług polskich operatorów i zagranicznych producentów ma pełny katalog praw z RODO. Najczęściej pojawiające się w praktyce to:

  • prawo dostępu – możliwość otrzymania informacji, jakie dane są przetwarzane, w jakich celach, przez jak długo oraz do jakich odbiorców są przekazywane;
  • prawo do kopii danych – w wielu usługach sportowych i zdrowotnych dostępna jest funkcja eksportu historii aktywności; jeśli jej nie ma, można jej zażądać bezpośrednio od administratora;
  • prawo do sprostowania – istotne np. przy błędnie zarejestrowanych danych medycznych (wzrost, waga, parametry profilu);
  • prawo do ograniczenia przetwarzania – np. w razie sporu co do poprawności danych lub podstawy prawnej ich użycia;
  • prawo do usunięcia danych („prawo do bycia zapomnianym”) – z wyjątkami wynikającymi z przepisów o dokumentacji medycznej czy obowiązkach prawnych administratora;
  • prawo sprzeciwu – szczególnie wobec przetwarzania opartego na uzasadnionym interesie (np. marketing, zaawansowana analityka zachowań);
  • prawo do przenoszenia danych – możliwość otrzymania danych w ustrukturyzowanym formacie i przekazania ich innemu usługodawcy.

Jeśli operator lub producent nie odpowiada na wniosek w terminie (co do zasady miesiąca), użytkownik może złożyć skargę do UODO. W praktyce firmy działające globalnie zwykle mają rozbudowane procedury RODO i formularze online, ale nie zawsze są one przetłumaczone na polski, a proces obsługi bywa mało intuicyjny.

Transgraniczność usług a jurysdykcja polska

Większość dużych producentów smartwatchy ma siedzibę poza Polską, często w innym kraju UE (np. Irlandia, Niemcy) lub poza Unią. W sytuacji, gdy główna jednostka organizacyjna w UE mieści się w konkretnym państwie, działa mechanizm one-stop-shop – głównym organem nadzorczym jest organ tego państwa, ale polski UODO pozostaje tzw. organem zainteresowanym, jeśli dane dotyczą polskich użytkowników.

W praktyce oznacza to, że skarga złożona w Polsce może zostać przekazana do organu w innym kraju UE, ale cały proces toczy się w ramach jednolitego systemu RODO. Gdy firma nie ma struktury w UE, wtedy większe znaczenie zyskują kwestie legalności transferu danych oraz ewentualnych działań egzekucyjnych wobec podmiotów spoza Europejskiego Obszaru Gospodarczego.

Smartwatch jako element systemu e-zdrowia

Niektóre polskie podmioty medyczne zaczynają integrować dane z zegarków z własnymi systemami, np. w ramach badań klinicznych, programów KOS (kompleksowej opieki) czy telemonitoringu pacjentów kardiologicznych. Wówczas dane z zegarka mogą stać się częścią dokumentacji medycznej w rozumieniu polskiego prawa.

Konsekwencje są istotne:

  • inne terminy przechowywania (np. co do zasady 20 lat dla dokumentacji medycznej),
  • ścisłe zasady udostępniania (np. tylko pacjentowi, jego przedstawicielowi, upoważnionym osobom i instytucjom wskazanym w ustawie),
  • wyższe wymogi bezpieczeństwa systemów teleinformatycznych (standardy wynikające z rozporządzeń dotyczących Systemu Informacji w Ochronie Zdrowia).

Jeśli ta sama aplikacja działa jednocześnie jako „gadżet” sportowy i narzędzie medyczne, może dojść do podziału ról: część danych jest objęta reżimem medycznym, a część pozostaje w sferze rekreacyjnej. Dobrze przygotowane regulaminy powinny to jasno rozróżniać.

Zbliżenie na smartwatch na nadgarstku wyświetlający dane giełdowe
Źródło: Pexels | Autor: RDNE Stock project

Jak analizować regulaminy i polityki prywatności

Kluczowe pytania przy czytaniu dokumentów

Regulaminy i polityki prywatności bywają długie, ale da się z nich szybko wyciągnąć najważniejsze informacje. Pomaga w tym kilka pytań kontrolnych:

  • Kto jest administratorem danych? – czy jest to jedna firma, czy kilka podmiotów (np. producent, operator, partnerzy);
  • Jakie kategorie danych są zbierane? – czy wprost wymieniono dane zdrowotne, lokalizację, dane z mikrofonu, dane o śnie;
  • W jakich celach dane są przetwarzane? – cele powinny być konkretne, rozdzielone (np. świadczenie usługi, personalizacja, marketing, badania rozwojowe);
  • Komu dane są przekazywane? – jakie grupy odbiorców są wymienione (spółki z grupy, procesorzy, partnerzy handlowi, podmioty medyczne);
  • Czy dane są transferowane poza EOG? – jeśli tak, to jakie zabezpieczenia są stosowane;
  • Jakie prawa ma użytkownik i jak je realizuje? – czy dostępny jest konkretny adres e-mail, formularz, panel samoobsługowy;
  • Jak długo dane są przechowywane? – czy podano konkretne okresy lub kryteria ustalania tego czasu.

Sygnały ostrzegawcze w zapisach

W dokumentach warto wyszukiwać fragmenty, które wskazują na agresywne lub niejasne przetwarzanie. Przykładowe „czerwone flagi” to:

  • ogólne sformułowania typu „możemy przetwarzać Twoje dane w innych celach zgodnych z naszym uzasadnionym interesem” bez ich doprecyzowania;
  • łączenie w jednym checkboxie zgody na przetwarzanie danych zdrowotnych i zgody marketingowe – utrudnia to świadomy wybór;

    • Rozszerzona analityka i profilowanie na podstawie danych z zegarka

    Przy wielu smartwatchach podstawowe funkcje (kroki, puls, sen) są jedynie punktem wyjścia do tworzenia bardziej złożonych profili. Producent lub operator może łączyć surowe odczyty z innymi informacjami: modelem telefonu, lokalizacją, porą dnia korzystania z aplikacji, wynikami ankiet zdrowotnych czy historią zakupów usług premium.

    W regulaminach pojawia się wtedy pojęcie profilowania, czyli automatycznej analizy danych w celu oceny wybranych cech osoby. W kontekście smartwatcha może to oznaczać:

  • tworzenie segmentów użytkowników (np. „osoby prowadzące siedzący tryb życia”, „aktywni biegacze”, „użytkownicy z nieregularnym snem”),
  • przewidywanie prawdopodobieństwa określonych zachowań (rezygnacja z subskrypcji, zakup pakietu premium, udział w programie lojalnościowym),
  • łączenie danych zdrowotnych z danymi marketingowymi (np. targetowanie reklam suplementów, ubezpieczeń zdrowotnych czy sprzętu sportowego).

Przy danych szczególnych kategorii (zdrowotnych) profilowanie jest szczególnie wrażliwe. Co do zasady wymaga wyraźnej zgody, jeśli służy celom innym niż świadczenie samej usługi (np. rekomendacje treningów). W przypadku wykorzystania takich profili do decyzji wywołujących istotne skutki (np. odmowa ubezpieczenia, inna cena polisy) wchodzi w grę art. 22 RODO o zautomatyzowanym podejmowaniu decyzji. Wtedy użytkownik powinien:

  • otrzymać jasną informację o istnieniu takiego procesu,
  • znać znaczenie i przewidywane konsekwencje dla siebie,
  • mieć możliwość zakwestionowania decyzji i zażądania ingerencji człowieka.

Jeśli smartwatch jest używany wyłącznie jako gadżet sportowy i dane nie są łączone z innymi źródłami w celach komercyjnych, profilowanie ogranicza się z reguły do prostych rekomendacji (np. „czas wstać” czy „dzisiejszy sen był gorszy niż zwykle”). Problemy zaczynają się tam, gdzie ten sam profil jest wykorzystywany jednocześnie do rozwoju algorytmów medycznych, marketingu i oceny ryzyka ubezpieczeniowego – a granice pomiędzy tymi celami są opisane bardzo ogólnikowo.

Integracje z innymi usługami i logowanie zewnętrzne

Smartwatch często współpracuje z innymi systemami: platformami biegowymi, aplikacjami dietetycznymi, serwisami społecznościowymi czy korporacyjnymi programami wellbeing. Technicznie odbywa się to zazwyczaj przez API oraz mechanizmy logowania zewnętrznego (np. „Zaloguj przez konto X”).

W regulaminach integracje bywają opisane jednym zdaniem, tymczasem z perspektywy prywatności oznaczają, że:

  • dane z zegarka opuszczają ekosystem producenta i trafiają do nowego administratora (aplikacji partnerskiej),
  • nowy administrator ma własną podstawę prawną, cele i okresy przechowywania, niezależne od producenta smartwatcha,
  • część danych może zostać skopiowana, a nie tylko tymczasowo „wyświetlona”, co utrudnia późniejsze pełne usunięcie.

Przykładowo: integracja z aplikacją do liczenia kalorii może wymagać zgody na dostęp do historii aktywności fizycznej i masy ciała. Jeśli użytkownik tę integrację włączy, od tego momentu dane te podlegają zarówno zasadom producenta zegarka, jak i zasadom twórcy aplikacji dietetycznej. W razie chęci wycofania się trzeba zwykle:

  1. odłączyć integrację w ustawieniach zegarka lub aplikacji głównej,
  2. sprawdzić w aplikacji partnerskiej, czy przewidziano osobny tryb usunięcia zaimportowanych danych,
  3. w razie potrzeby złożyć odrębny wniosek RODO do podmiotu zewnętrznego.

W regulaminach sygnałem ostrzegawczym jest brak precyzyjnego wskazania, jakie typy danych są przekazywane partnerowi oraz w jakim celu. Ogólne sformułowania typu „mogą być udostępniane dane dotyczące korzystania z urządzenia” nie dają realnej kontroli użytkownikowi.

Programy pracownicze i ubezpieczeniowe z wykorzystaniem smartwatchy

Coraz częściej polscy pracodawcy i ubezpieczyciele oferują programy, w których aktywność z zegarka przekłada się na zniżki, benefity lub dodatkowe punkty. Z punktu widzenia RODO pojawiają się tu dwa poziomy relacji:

  • użytkownik – producent/operatorem aplikacji,
  • użytkownik – pracodawca/ubezpieczyciel (który może stać się odrębnym administratorem części danych lub odbiorcą danych zagregowanych).

Kluczowe pytanie brzmi: co dokładnie trafia do pracodawcy lub ubezpieczyciela. Możliwe są bardzo różne modele:

  • przekazywanie jedynie wskaźników pośrednich (np. „osiągnięto cel kroków w 20 dniach miesiąca” bez dostępu do pełnej historii aktywności),
  • cykliczny eksport szczegółowych danych (tętno, sen, lokalizacja),
  • udostępnianie wyłącznie danych zbiorczych – bez identyfikacji konkretnych osób (np. procent uczestników programu spełniających kryteria).

Im bardziej szczegółowe dane trafiają do pracodawcy, tym trudniej obronić te działania w świetle zasad minimalizacji i dobrowolności zgody. W relacji pracodawca–pracownik zgoda rzadko bywa uznawana za w pełni dobrowolną, ponieważ istnieje naturalna nierówność stron. W praktyce bezpieczniejsze są modele, w których:

  • do pracodawcy docierają tylko dane zagregowane i zanonimizowane,
  • uczestnictwo w programie nie jest powiązane z oceną pracy ani wynagrodzeniem zasadniczym,
  • pracownik może zrezygnować w dowolnym momencie bez negatywnych konsekwencji.

Podobne dylematy pojawiają się w ubezpieczeniach zdrowotnych i życiowych „z zegarkiem w pakiecie”. Jeśli zniżka na składce jest uwarunkowana stałym udostępnianiem danych zdrowotnych, to granica między legalnym korzystaniem z danych a dyskryminacją ryzyka staje się cienka. Każdy taki program powinien być opisany w odrębnych klauzulach informacyjnych – osobno od standardowego regulaminu aplikacji.

Przechowywanie i przesyłanie danych z zegarka – standardy techniczne i organizacyjne

Bezpieczny przepływ danych od nadgarstka do chmury

Ścieżka, którą przebywa informacja o tętnie czy EKG, zwykle obejmuje kilka etapów:

  1. pomiar na zegarku i tymczasowe zapisanie w pamięci urządzenia,
  2. przesłanie do telefonu (najczęściej przez Bluetooth),
  3. zsynchronizowanie z serwerami producenta lub operatora (połączenie internetowe),
  4. przetwarzanie i prezentacja w panelu użytkownika (aplikacja/web),
  5. ewentualne udostępnienie dalej – np. do systemu medycznego, aplikacji partnera lub programu badawczego.

Na każdym z tych etapów stosuje się inne środki bezpieczeństwa. Dla użytkownika istotne jest, czy producent:

  • szyfruje dane w spoczynku w zegarku i w telefonie (np. z użyciem natywnych mechanizmów szyfrowania systemu operacyjnego),
  • stosuje szyfrowanie transmisji między zegarkiem a telefonem (Bluetooth z aktualnymi standardami bezpieczeństwa) oraz między telefonem a serwerem (TLS 1.2 lub wyższy),
  • ogranicza dostęp do danych w aplikacji przez uwierzytelnianie (PIN, hasło, biometria),
  • wprowadza mechanizmy wykrywania naruszeń (logi dostępu, alerty bezpieczeństwa, procedury reagowania na incydenty).

W dokumentacji technicznej i politykach prywatności coraz częściej pojawiają się odwołania do szyfrowania end-to-end. W praktyce przy smartwatchach jest ono stosowane głównie w komunikatorach (np. powiadomienia z zaszyfrowanych komunikacji), natomiast dane zdrowotne bywa, że są szyfrowane tylko „po drodze”, a w chmurze przechowywane w formie możliwej do odszyfrowania przez operatora. Ma to konsekwencje przy ewentualnych żądaniach organów państwowych lub próbach nadużyć wewnętrznych.

Architektura chmurowa a lokalizacja danych

Producenci smartwatchy i polscy operatorzy usług zdrowotnych najczęściej korzystają z komercyjnych platform chmurowych. W opisach bywa mowa o „regionach” lub „strefach” danych (np. „dane użytkowników z Europy przechowujemy w centrach danych w UE”). Dla zgodności z RODO liczy się nie tylko lokalizacja fizyczna serwera, ale także:

  • kto jest dostawcą chmury (podmiot z UE czy spoza),
  • czy przewidziano możliwość dostępu administracyjnego z krajów trzecich (np. z centrów wsparcia technicznego poza UE),
  • w jakim zakresie dane są replikowane do celów backupu i wysokiej dostępności.

Jeśli dostawca chmury ma siedzibę w USA lub innym państwie spoza EOG, operator powinien przeprowadzić ocenę skutków transferu (tzw. transfer impact assessment) oraz wdrożyć dodatkowe zabezpieczenia. Często stosowane są:

  • standardowe klauzule umowne (SCC) zaakceptowane przez Komisję Europejską,
  • szyfrowanie z kluczami kontrolowanymi przez podmiot z UE,
  • ograniczenie kategorii danych transferowanych poza EOG do minimum,
  • pseudonimizacja – oddzielenie informacji umożliwiających identyfikację od właściwych danych zdrowotnych.

Część polskich operatorów decyduje się na tzw. chmurę krajową lub własne centra danych w Polsce, szczególnie przy projektach ściśle związanych z systemem ochrony zdrowia. Rozwiązuje to część problemów jurysdykcyjnych, ale nie zwalnia z obowiązku stosowania odpowiednich standardów bezpieczeństwa (kopie zapasowe, segmentacja sieci, kontrola uprawnień).

Polityka retencji – jak długo „żyją” dane z zegarka

RODO nie narzuca z góry konkretnych terminów przechowywania danych zdrowotnych z urządzeń noszonych. Wymaga natomiast, aby okresy retencji były uzasadnione celem i jasno zakomunikowane użytkownikowi. W praktyce spotyka się kilka podejść:

  • przechowywanie danych do czasu usunięcia konta przez użytkownika – najczęstszy wariant w aplikacjach lifestyle i fitness,
  • ograniczenie pełnej historii, przy jednoczesnym pozostawieniu danych zagregowanych (np. miesięczne podsumowania bez szczegółowych odczytów),
  • wprowadzenie domyślnego horyzontu (np. 12 lub 24 miesiące szczegółowych danych), z możliwością wydłużenia na życzenie użytkownika.

W systemach, które pełnią funkcję wyrobu medycznego lub są częścią dokumentacji medycznej, retencja wynika z przepisów krajowych (np. minimum 20 lat). W typowych usługach konsumenckich brak jasnych reguł retencji w polityce prywatności to poważny mankament. Bez tej informacji trudno ocenić ryzyko, jakie niesie „wieczna pamięć” chmury, np. przy zmianie właściciela marki czy w razie wycieku danych.

Przy analizie regulaminów przydatne jest odróżnienie:

  • usunięcia konta (które często oznacza dezaktywację dostępu, ale niekoniecznie natychmiastowe skasowanie wszystkich danych z kopii zapasowych),
  • usunięcia danych (w tym z backupów po określonym czasie),
  • anonimizacji (po której dane nie są już danymi osobowymi, ale mogą nadal służyć do rozwoju algorytmów).

Zabezpieczenia organizacyjne po stronie operatorów i producentów

Oprócz technologii o poziomie bezpieczeństwa decydują także procedury wewnętrzne. RODO wymaga wdrożenia odpowiednich środków organizacyjnych, a przy danych zdrowotnych ich próg jest wyższy. Typowe elementy dobrze zaprojektowanego systemu obejmują:

  • role i uprawnienia – jasno zdefiniowane, kto w organizacji ma dostęp do jakiego rodzaju danych (np. wsparcie techniczne tylko do metadanych, a nie treści dziennika zdrowotnego),
  • szkolenia personelu – szczególnie działów obsługi klienta i zespołów developerskich, które mogą mieć dostęp do środowisk testowych z danymi,
  • procedury reagowania na incydenty – określające, jak szybko firma jest w stanie wykryć i zgłosić naruszenie ochrony danych (w tym do UODO i osób, których dane dotyczą),
  • regularne testy bezpieczeństwa (pentesty, audyty), także pod kątem aplikacji mobilnej, API oraz integracji z zewnętrznymi partnerami.

W przypadku polskich operatorów świadczących usługi zdrowotne o dużej skali, często wymagane jest także wdrożenie systemów zarządzania bezpieczeństwem informacji (np. według normy ISO 27001) oraz spełnianie wymogów krajowych przepisów o Krajowym Systemie Cyberbezpieczeństwa, jeśli ich infrastruktura zostanie uznana za usługę kluczową lub ważną.

Minimalizacja danych i ustawienia prywatności po stronie użytkownika

Najczęściej zadawane pytania (FAQ)

Czy dane zdrowotne z mojego smartwatcha są traktowane jako dane medyczne w świetle RODO?

To zależy od tego, jakie dane są zbierane i jak są używane. Jeśli zegarek zapisuje wyłącznie kroki i tętno, ale nie da się ich powiązać z konkretną osobą, nie są to jeszcze dane dotyczące zdrowia. W momencie, gdy dane są powiązane z kontem użytkownika (e‑mail, numer telefonu, ID konta) i pozwalają wnioskować o stanie zdrowia fizycznego lub psychicznego, stają się danymi osobowymi, a często danymi dotyczącymi zdrowia.

Typowe dane szczególnej kategorii w smartwatchach to m.in. EKG, długoterminowa historia tętna i HRV, dane o cyklu menstruacyjnym, ciąży, pomiary saturacji wykorzystywane do monitorowania choroby czy informacje o potencjalnych zaburzeniach (np. ostrzeżenie o możliwym migotaniu przedsionków). Wtedy działają ostrzejsze zasady RODO.

Jakie konkretnie dane zdrowotne zbiera smartwatch lub opaska?

Standardowy zegarek zbiera nie tylko kroki i tętno. Najczęściej rejestruje: zmienność rytmu serca (HRV), aktywność fizyczną (kroki, dystans, rodzaj treningu), sen (długość, fazy, pobudki), poziom stresu, saturację krwi (SpO2), czasem EKG, dane o cyklu menstruacyjnym i temperaturę skóry lub nadgarstka. Do tego dochodzą dane lokalizacyjne GPS i informacje kontekstowe, np. godziny aktywności i snu.

Równolegle zbierane są dane techniczne: identyfikator konta, numer seryjny zegarka, identyfikator Bluetooth, adres e‑mail, numer telefonu, a przy eSIM także dane abonenta. Razem tworzy to bardzo dokładny profil życiowy i zdrowotny użytkownika.

Czy polski operator komórkowy ma dostęp do moich danych zdrowotnych z zegarka?

Operator, który sprzedaje smartwatch z eSIM, jest na pewno administratorem danych związanych z usługą telekomunikacyjną (np. billing, lokalizacja w sieci, dane abonenta). Nie oznacza to automatycznie pełnego wglądu w dane zdrowotne z aplikacji producenta zegarka.

W praktyce operator może występować w dwóch rolach jednocześnie: jako niezależny administrator (dane do świadczenia usług telekomunikacyjnych) oraz jako procesor przetwarzający część danych w imieniu producenta, na podstawie umowy. Zakres dostępu do danych zdrowotnych powinien być opisany w politykach prywatności i regulaminach – tam trzeba sprawdzić, czy operator ma wgląd w historię aktywności, EKG czy sen, czy tylko w dane konieczne do działania usługi sieciowej.

Czy dane z mojego zegarka są bezpieczne u zagranicznych producentów działających w Polsce?

RODO obowiązuje wszystkich producentów, którzy oferują swoje usługi osobom w UE, niezależnie od tego, gdzie mają siedzibę. Jeśli z aplikacji i zegarka korzystasz w Polsce, producent musi spełniać wymagania RODO: mieć podstawę prawną do przetwarzania, spełnić obowiązek informacyjny, zapewnić odpowiednie zabezpieczenia oraz umożliwić realizację praw (dostęp, sprostowanie, usunięcie itd.).

Różnice pojawiają się głównie w praktyce: poziomie przejrzystości polityki prywatności, domyślnych ustawieniach udostępniania danych czy tym, gdzie fizycznie są przechowywane serwery. Jeśli dane są transferowane poza UE, producent musi zastosować dodatkowe mechanizmy (np. standardowe klauzule umowne). Informacje o tym muszą być w polityce prywatności.

Czy producent zegarka może udostępniać moje dane zdrowotne ubezpieczycielowi lub pracodawcy?

Bez Twojej wyraźnej, dobrowolnej i świadomej zgody – nie. Dane dotyczące zdrowia to szczególna kategoria danych, której co do zasady nie wolno przetwarzać ani przekazywać dalej, chyba że zachodzą ściśle określone przesłanki z RODO. Jedną z nich jest wyraźna zgoda osoby, której dane dotyczą.

Jeśli np. program ubezpieczeniowy zachęca do udostępniania danych z zegarka w zamian za zniżkę, to:

  • musisz otrzymać jasną informację, jakie dane będą przekazywane i w jakim celu,
  • zgoda nie może być „wymuszona” – możesz odmówić bez negatywnych konsekwencji typu odmowa ubezpieczenia podstawowego,
  • zgodę możesz wycofać w dowolnym momencie, a dalsze przetwarzanie musi zostać wstrzymane.

Pracodawca nie może żądać od Ciebie stałego udostępniania danych ze smartwatcha jako warunku zatrudnienia czy premii, jeśli nie ma do tego solidnej podstawy prawnej i zgody.

Jak mogę ograniczyć ryzyko naruszenia prywatności przy korzystaniu ze smartwatcha?

Największy wpływ masz na ustawienia konta i aplikacji. W pierwszym kroku warto:

  • przejrzeć ustawienia prywatności i wyłączyć zbędne udostępnianie (rankingi, społecznościowe porównywanie wyników, automatyczne publikacje w mediach społecznościowych),
  • sprawdzić, czy trasy GPS są publiczne czy prywatne,
  • ograniczyć zakres danych zapisywanych w chmurze, jeśli producent umożliwia lokalne przechowywanie części z nich.

Dobrą praktyką jest też używanie silnego hasła do konta, włączenie uwierzytelniania dwuskładnikowego oraz okresowe przeglądanie listy urządzeń i aplikacji połączonych z kontem. Jeśli jakaś zewnętrzna aplikacja prosi o dostęp do danych zdrowotnych, lepiej przyznać jej tylko absolutne minimum.

Czy mogę zażądać usunięcia wszystkich danych zdrowotnych z zegarka i chmury producenta?

Tak. Jako użytkownik objęty RODO masz prawo do usunięcia danych („prawo do bycia zapomnianym”), o ile nie ma innej ważnej podstawy prawnej do ich dalszego przetwarzania (np. obowiązek prawny producenta). W praktyce zwykle odbywa się to przez:

  • usunięcie konta w aplikacji lub serwisie producenta,
  • złożenie żądania usunięcia danych poprzez formularz, e‑mail do inspektora ochrony danych lub panel prywatności, jeśli jest dostępny.

Po stronie zegarka możesz dodatkowo zresetować urządzenie do ustawień fabrycznych, co usuwa lokalne kopie pomiarów. Producent powinien poinformować, w jakim terminie usunie dane z serwerów i ewentualnych kopii zapasowych.

Najważniejsze wnioski

  • Smartwatch i opaska nie zbierają tylko „kroków i tętna” – z sumy danych o aktywności, śnie, stresie, lokalizacji oraz identyfikatorów technicznych powstaje bardzo dokładny profil konkretnej osoby.
  • Nawet pozornie niewinne dane fitness (np. wzorce snu i aktywności połączone z lokalizacją) mogą ujawniać informacje o stanie zdrowia, stylu życia, chorobach przewlekłych czy kondycji psychicznej.
  • O tym, czy dane z zegarka są danymi zdrowotnymi w rozumieniu RODO, nie decyduje nazwa w aplikacji, lecz możliwość powiązania ich z osobą i wyciągnięcia wniosków o jej zdrowiu.
  • Dane z funkcji typowo „medycznych” (np. EKG, saturacja używana do monitorowania choroby, cykl menstruacyjny, alerty typu „możliwe migotanie przedsionków”) są zwykle danymi szczególnej kategorii wymagającymi silniejszej ochrony i wyraźnej podstawy prawnej.
  • Jeśli smartwatch lub aplikacja pełni funkcję wyrobu medycznego (diagnostyka, monitorowanie, wsparcie leczenia), to dane generowane w tym celu są traktowane jak dane zdrowotne, co uruchamia ostrzejsze wymagania RODO.
  • „Dane osobowe” w kontekście wearables to nie tylko imię i nazwisko, ale cały zestaw identyfikatorów (konto, numer seryjny, e-mail, eSIM), który po połączeniu z danymi aktywności i zdrowia pozwala jednoznacznie wskazać użytkownika.

Wpadnij też tutaj: