GoodRx, американський додаток для пошуку знижок на рецептурні медикаменти, звинуватили у зливі даних про хвороби користувачів стороннім компаніям, зокрема “Фейсбук” та “Гугл”. GoodRx загрожує штраф у 1,5 млн доларів.

Федеральна торгова комісія США подала позов проти власників додатку GoodRX. Регулятор стверджує, що програма приховано передає чутливі дані про здоров’я своїх користувачів “Фейсбуку”, “Гуглу” та іншим компаніям, які продають таргетовану рекламу.  GoodRX підозрюють у порушенні Правила про порушення безпеки даних про здоров’я. Цей кейс може стати першим випадком притягнення до відповідальності на такій підставі.

Додаток GoodRX допомагає користувачам знайти аптеки, де можна дешевше придбати рецептурні ліки, та пропонує купони на знижки (подібно до українського застосунку Tabletki.ua). За вашими запитами у програмі компанія може з’ясувати, чи маєте ви, скажімо, депресію, ВІЛ або хронічні серцево-судинні захворювання. Так додаток збирає чутливі дані, які на федеральному рівні регулює Правило про порушення безпеки даних щодо здоров’я. Згідно з ним, компанії, що збирають дані про здоров’я своїх користувачів, мусять гарантувати безпеку — не передавати цю інформацію третім сторонам, якщо про це не зазначено в політиці користування, та обов’язково повідомляти користувачів про витік цих даних.

Так, Федеральна торгова комісія звинуватила GoodRX у передачі даних про здоров’я “Фейсбуку”, “Гуглу” та іншим компаніям. Останні, своєю чергою, могли надавати цю інформацію іншим компаніям для налаштування таргетованої реклами. GoodRX використовувала контактні дані користувачів, щоб ідентифікувати їхні профілі у фейсбуці та показувати їм таргетовану рекламу відповідно до їхнього ймовірного стану здоров’я. Комісія стверджує, що коли GoodRX передавала дані третім сторонам, вона ніяк не обмежувала способи їх використання. Ці дані були видимими й для фейсбуку, який також міг налаштовувати рекламу на їх основі.

Маєте кардіологічні захворювання і користуєтеся GoodRX? Фейсбук буде частіше показувати вам, наприклад, рекламу смарт-годинника, що слідкує за вашим пульсом. Хворієте на діабет? Будь ласка, тримайте контекстну рекламу цукрозамінників від компанії, яка купила рекламу в “Гугла”.

GoodRX офіційно погодилася на мирову угоду та сплатить штраф, що може становити 1,5 млн доларів, однак публічно спростовує всі звинувачення. 

Кейс GoodRX може стати прецедентом боротьби держави з маніпулюванням чутливими даними про здоров’я. Притягнення до відповідальності згідно з Правилом про порушення безпеки даних щодо здоров’я станеться вперше. І якщо дані про здоров’я американців, які збирають лікарі, лікарні чи страхові компанії суворо охороняються законом, то практика законодавчого убезпечення даних користувачів відповідно до їхніх запитів у пошуковиках, додатках та даних фітнес-трекерів чи інших додатків (наприклад, менструальних календарів) досі відсутня. Так, наприклад, GoodRX передавала дані про користувачів, які шукали інформацію про інфекції, що передаються статевим шляхом, сервісу з телемедицини HeyDoctor, який потім пропонував цим користувачам рекламу аналізів на ці хвороби.

New York Times повідомляє, що Федеральна торгова комісія застосовує нові правові підходи у кейсі  GoodRX у межах своїх зусиль із посилення захисту персональної інформації, зібраної програмами для здоров’я, трекерами та сайтами. Крім штрафу, Комісія прагне назавжди заборонити GoodRX передавати будь-які дані користувачів із рекламною метою. Це початок боротьби зі слабко регульованою онлайн-рекламою і перша спроба покласти край маніпулюванню чутливими даними. 

Медичні дані про користувачів, які можна сформувати відповідно до їхнього діджитал-сліду — користування додатками, запитами в пошуковиках та на сайтах, тощо — досі залишаються сірою зорою не лише у США, а й у Європі. Так, наприклад, європейський GDPR регулює захист даних профайлів пацієнтів у медичній системі, але “опосередковані” медичні дані, як-от запити і покупки користувачів додатків, схожих на GoodRx, досі не врегульовані на рівні ЄС. Хоча медичні дані належать до загального переліку чутливих даних, які регулює GDPR, у ЄС лише напрацьовують принципи прозорості та етичності використання даних сайтами та додатками у сфері здоров’я.

В Україні єдине чинне регулювання в цій сфері — це Закон про захист персональних даних, який також вважає дані про здоров’я чутливими — на рівні з політичними чи релігійними поглядами, расовим чи етнічним походженням, статевим життям тощо. Обробляти і використовувати їх можна лише за згоди користувача або тоді, коли ці дані  необхідні для обґрунтування, задоволення або захисту правової вимоги. Також інформація про здоров’я є конфіденційною, тобто її заборонено обробляти чи передавати без згоди конкретної людини.

Втім, українське законодавство ніяк не регулює безпеку зберігання, обробки та використання цієї інформації навіть у разі згоди користувача, а притягнення відповідальності можливе лише у разі позову конкретної особи, чиїми даними зловживали. В Україні не існує жодних способів контролю чи, тим паче притягнення до відповідальності за зловживання чутливими даними.

Так, під час парламентських виборів ОПОРА виявила, що українські політичні партії не дотримуються вимог поводження з чутливими даними та мають низький рівень безпеки даних.

Аналогічно, звичайна користувачка не може дізнатися, куди потрапили дані, які вона дозволила використовувати, наприклад, трекеру менструації. Без відповідних контрольних органів складно оцінити, скільки подібних GoodRx є в Україні. Втім, такі кейси можуть стати прикладами для оновлення українського законодавства у майбутньому.