Wróć do BLOGA

RODO – Rewolucja w zbieraniu danych osobowych, czy strachy na lachy

Winter is Coming - żart

RODO w placówkach medycznych

Tak jak się spodziewałem od początku roku zaczyna się coraz większy szum z powodu zbliżającego się terminu wejścia w życie regulacji RODO (Rozporządzenie o Ochronie Danych Osobowych – ang: GDPR, skrót od General Data Protection Reform). W Polsce regulacja ta wchodzi w życie od 25 maja 2018. Mówiąc skrótowo ale wprost – poszerza się definicja tego co stanowi dane osobowe i zmieniają się regulacje prawne dotyczące ich gromadzenia. Polska ustawa o ochronie danych osobowych dostępna jest na stronach rządowych. Do tego dochodzą bardzo dotkliwe kary, które mogą być egzekwowane szerzej niż określa to Polskie prawo a ich wysokość może sięgać 10 mln euro.

Już samo to brzmi jak jakiś horror. Spodziewam się, że im bliżej będzie do maja, tym więcej pojawi się na naszych skrzynkach i na stronach WWW ofert i reklam opartych na lęku przed tymi restrykcjami. Osobiście nie cierpię takiego rodzaju marketingu, gdy ktoś odkrywa czego może bać się klient i wciska „cudowne rozwiązania” niczym szczepionki przeciw powszechnym wirusom (jak te z 2014), albo podszyte szantażem kwestionowanie  regulaminów sklepów internetowych.

Zanim jeszcze ta fala ruszy, warto się zastanowić nad inną ważną kwestią. Nad rzetelnym zabezpieczeniem procesu gromadzenia i zarządzania tymi danymi.

Dane osobowe w placówkach medycznych

Placówki medyczne w Polsce już teraz większość danych osobowych z definicji zabezpieczają na takim poziomie, że są one niedostępne z zewnątrz dla osób postronnych. Pacjent samodzielnie i pisemnie określa komu i jakie dane jego dotyczące mogą być ujawniane. Odpowiednio gromadzona dokumentacja (podobnie jak w sektorze bankowym) jest bezpieczna i przechodzi wszelkie audyty.

Co jednak z danymi przetwarzanymi dla celów marketingowych? Tutaj już bywa różnie. Nie jestem prawnikiem, więc nie będę się nawet próbował wysilać z interpretacją  prawną poszczególnych zapisów ustawy. Za to subiektywnie mogę stwierdzić że w ujęciu RODO zmienia się kilka istotnych rzeczy.

Nawet prowadząc prosty newsletter, gdzie zapisują się pacjenci lub potencjalni pacjenci, dobrze mieć przed oczami najważniejsze wymogi względem zgód, jakie są wymagane dla poszczególnych sposobów zarządzania tymi danymi.

Zgody i ich znaczenie

Aby zapewnić zbieżność z wymogami RODO każda zgoda jaką gromadzisz przy zbieraniu danych aby była ważna musi być:

Jasna – Zgoda musi być całkowicie precyzyjna, uzyskana na podstawie zrozumiałych warunków. Nie może być domniemana, tylko musi być jasno wyrażona.

Konkretna – Musi być konkretnie zdefiniowana, z jakim dokładnie celem wiąże się gromadzenie danych. Dane, które gromadzisz, będą czemuś służyły – subskrybent, który wyraża zgodę na przechowywanie swoich danych musi być poinformowany o celu ich gromadzenia.

Granularna – Jakkolwiek dziwnie brzmi to słowo oznacza tyle, że nie możesz wymagać przy okazji świadczenia jakiejś usługi płatnej od klienta / pacjenta, zgody na działania marketingowe. Ta zgoda musi być całkowicie odrębna i nie może stanowić warunku zakupu Twojej usługi lub produktu.

Ograniczenie czasu i zakresu przetwarzania

Tutaj jest już bardzo wyraźnie powiedziane, że możesz używać i przetwarzać dane osobowe wyłącznie w celu w jakim zostały zgromadzone i dokładnie przez czas jaki jest konieczny do świadczenia Twojej usługi lub dostarczenia produktu.

Prawo do bycia zapomnianym. Każdy ma prawo wycofać zgodę na przetwarzanie i używanie swoich danych w dowolnym momencie. Twoim obowiązkiem jest zapewnienie tej możliwości i uszanowanie tego prawa, włącznie z usunięciem danej osoby z list subskrypcyjnych. Tutaj ważna uwaga jest taka, że warto zadbać o możliwość logowania takich zmian, aby w przyszłości uniknąć starcia z klientem / pacjentem, który zapomni sobie, że kiedykolwiek udzielił zgody na otrzymywanie newslettera lub innej formy korespondencji marketingowej.

Profilowanie klienta

Czy pamiętasz może scenę z Raportu Mniejszości (2002), kiedy Tom Cruise idzie przez galerię handlową (z „pożyczonymi” rogówkami w oczach, które pozwalają go identyfikować) i dosłownie atakują go reklamy wyprofilowane, a nawet spersonalizowane do jego tożsamości.

Piękna wizja dla marketera. Ale taki scenariusz w świecie podlegającym regulacjom RODO jest możliwy tylko w sytuacji, kiedy osoba zainteresowana wyrazi na to zupełnie odrębną zgodę na profilowanie. Poza tym ktoś musi jeszcze dopracować holowizję do poziomu, jaki proponuje Steven Spielberg, co prawdopodobnie będzie jeszcze trudniejsze do zrobienia.

Ale żarty żartami – sens tego porównania jest taki, że jeśli chcesz dokładnie profilować swojego pacjenta / klienta, aby później przesyłać mu oferty dopasowane do jego zarobków, statusu społecznego i innych cech, które wyróżniają go na rynku jako wyjątkowego, to masz obowiązek uzyskać jasną i odrębną zgodę na ten rodzaj użycia jego danych. Pamiętaj o tym.

Skąd wziąć dane pacjentów, żeby spełniały wymogi RODO

Kupowanie danych osobowych. Pierwsze, co wpadnie do głowy niejednemu marketerowi to kupno bazy z listą osób, które wyraziły odpowiednie zgody. Prosty pomysł. Płacisz i wymagasz. Gorzej, jeśli po czasie okaże się, że z tymi zgodami nie do końca było tak jak obiecywał sprzedawca. Faktycznie nie masz wpływu ani kontroli nad procesem gromadzenia tych danych i taka kupiona lista może zawierać grupę osób które nie były dobrze poinformowane o tym że ich dane mogą być redystrybuowane. W tym przypadku można mieć  potencjalnie mnóstwo problemów, gdy spróbujesz używać tych danych do promowania swoich usług. Odradzam.

Organizowanie imprez, konkursów lub innych eventów. Trochę lepszy pomysł, bo w trakcie rejestracji możesz zbierać dane do przetwarzania. Ważne, aby zadbać o to by pacjent / klient miał całkowitą świadomość tego że w tym celu wyraża zgodę na gromadzenie i przetwarzanie tych danych. Nie możesz oczywiście uzależniać zapisania się na wydarzenie pod warunkiem zgody – choć czasami takie rozwiązanie mogło by Ci wpaść do głowy – zgoda musi być konkretna i granularna. Możesz oczywiście przy okazji zachęcić do tego, ale nie wrzucając zgód do jednego worka. To dobry sposób ale odrębność zgody na informacje handlowe jest krytyczna.

Lista własnych pacjentów. To najlepiej znana Ci grupa, do jakiej możesz kierować swoje komunikaty zgodnie z RODO. Ale podobnie jak w poprzednich punktach – unikaj domniemania, że Twój pacjent będzie chciał dostawać informacje o Twoich super promocjach tylko dlatego, że stale się leczy w Twojej placówce. Potrzebujesz na to odrębnych  i jasnych zgód – po pierwsze na reklamę, po drugie na profilowanie. Jako sprzedawca usług medycznych wiesz, ile poszczególni pacjenci wydają w ciągu roku na konkretne usługi. Ważne byś pamiętał / pamiętała, że na to potrzebujesz odrębnej zgody.

Zatem jak zbierać te dane po wejściu RODO?

Skoro już wiesz ile Ci nie wolno i jak bardzo możesz mieć przechlapane, jeśli się nie zastosujesz do nowej regulacji, to teraz może owiedzmy trochę o tym jak jednak gromadzić prawidłowo dane pacjentów, którzy będą chcieli otrzymywać informacje o Twoich promocjach.

Newsletter. Gromadź samodzielnie listy subskrypcyjne osób zainteresowanych tym co prezentujesz na stronie. Dzięki temu zapewnisz osobom tym stałą dostawę cennych informacji a sobie spokój, że jesteś w zgodzie z wymogami RODO. Pamiętaj o użyciu systemu jaki zapewnia automatyzację także pod kątem wycofania zgody na newsletter.

Dobre treści w sieci. Content marketing to dzisiaj jedyny sensowny trend w marketingu. Możesz stworzyć cenne poradniki dla swoich pacjentów i zaproponować im ich pobranie ze strony. Przy okazji warto zbierać także dane osobowe. Łatwo także zapewnić zakres i czas, przez jaki będziesz zarządzać powierzonymi Ci danymi. Zakresem jest tutaj treść o charakterze użytkowo – handlowym, zaś termin nie jest z góry określony i ograniczony czasem odwołania zgody na przetwarzanie danych.

Dlatego warto publikować na stronach i w newsletterach treści, które dadzą dodatkową wartość czytelnikowi niż tylko zamieszczać prostą zachętę do kupowania Twoich zapewne znakomitych usług lub produktów.

Artykuł inspirowany tekstem Igora Bielobradka na podobny temat dla sektora B2B – Jak pozyskiwać dane osobowe zgodnie z RODO?

Scroll to top