iStock
Analiza stron internetowych podmiotów działających w ochronie zdrowia
Redaktor: Krystian Lurka
Data: 29.05.2022
Źródło: Menedżer Zdrowia/Michał Modro, Joanna Gruszka, Sara Pizon Pietrzak, Marta Rochala
Ogólna ocena jakości stron internetowych podmiotów leczniczych wypadła w naszym raporcie fatalnie. Ze 106 analizowanych aż 60 zostało określonych jako złe, a 35 dostateczne, co oznacza, że dobre noty uzyskało zaledwie 11 z nich.
Analiza radcy prawnego Michała Modro, a także radcy prawnej Joanny Gruszki, radcy prawnej Sary Pizon-Pietrzak i radcy prawnej Marty Rochali:
Bill Gates powiedział kiedyś: „Internet jest jak przypływ. Zaleje przemysł komputerowy i wiele innych, zatapiając tych, którzy nie nauczą się w nim pływać”1. Posługując się retoryką Gatesa – mogłoby się wydawać, że dzisiaj wszyscy potrafią „pływać”, jednak regulacji prawnych dotyczących funkcjonowania w internecie jest tak dużo, że coraz trudniej się tego nauczyć. Nie chodzi już tylko o „kulturę bycia w internecie”, ale właśnie o coraz większy obszar podlegający regulacji.
Do dziś najważniejszą cechą współczesnej globalizacji była rewolucja w sferze technologii informacyjnych, która sprawiła, że technologie teleinformatyczne, internet, a także automatyzacja i robotyzacja dotarły do najdalszych zakątków świata, choć tempo zmian i korzystania z dobrodziejstw technologii nie są równomiernie rozłożone2.
Gospodarka światowa oparta na swobodnym przepływie towarów i kapitału, któremu towarzyszą szybkie zmiany technologiczne, nie gwarantuje stabilnego rozwoju wolnego od zagrożeń i turbulencji3.
Zbiory danych dostawców usług internetowych, punktów wymiany internetu i sieci akademickich, głównie w Europie, pokazują unikalny obraz zmian w ruchu internetowym spowodowanych pandemią i blokadą, która zmusiła setki milionów obywateli do pozostania i pracy w domu. Analiza pokazuje, że wzrost ruchu w internecie wyniósł 15–20 proc. w ciągu kilku tygodni, co zwykle jest rozłożone na wiele miesięcy przy typowej eksploatacji4. Właśnie dlatego zdecydowaliśmy się wspólnie z Polską Federacją Szpitali, Kancelarią Prawo Gospodarka Zdrowie Banaszewska Modro i „Menedżerem Zdrowia” przygotować „Raport dotyczący wykonywania obowiązków wynikających z przepisów prawa przez podmioty wykonujące działalność leczniczą w oparciu o analizę stron internetowych”.
Celem raportu nie jest wytykanie błędów, ale edukacja właścicieli i administratorów stron internetowych i zwrócenie uwagi na okoliczności istotne z punktu widzenia prawa.
Przeprowadzana analiza – pierwsza edycja raportu
W pierwszej edycji raportu przeanalizowano łącznie 106 stron internetowych:
– 15 stron internetowych szpitali,
– 20 stron internetowych podmiotów wykonujących działalność leczniczą w rodzaju ambulatoryjna opieka specjalistyczna (AOS),
– 20 stron internetowych podmiotów wykonujących działalność leczniczą w rodzaju podstawowa opieka zdrowotna (POZ),
– 31 stron internetowych podmiotów wykonujących działalność leczniczą w rodzaju stomatologia,
– 20 stron internetowych podmiotów wykonujących działalność leczniczą w rodzaju chirurgia plastyczna.
Przyjęte założenia
W pierwszej kolejności określono wymogi wynikające z przepisów prawa i dokonano analiz stron internetowych pod kątem spełnienia wskazanych obowiązków prawnych (opierając się na innych założeniach – patrz poniżej). Sprawdzano m.in., czy spełnienie danego obowiązku prawnego ma charakter wyczerpujący, czy też spełniono go, jednak nie w taki sposób, jaki wyczerpuje postanowienia określonych przepisów:
– wymóg „spełniony w pełni”, jeżeli uwzględniono na stronie internetowej dany wymóg prawa w pełnym zakresie obowiązków wynikających z przepisów,
– wymóg „spełniony co do zasady”, jeżeli nie uwzględniono na stronie internetowej wszystkich wymogów prawa,
– wymóg „niespełniony”, jeżeli nie uwzględniono na stronie internetowej określonego wymogu prawa.
Jeżeli z treści strony internetowej nie wynikało, że dany podmiot wykonujący działalność leczniczą powinien spełniać określone obowiązki (np. poinformowanie o przetwarzaniu danych osobowych w ramach monitoringu), nie prowadzono badania w tym zakresie. Nie oznacza to oczywiście, że dany podmiot nie spełnia wymogu prawa w praktyce swojej działalności ani że w ogóle musi spełniać dany wymóg prawa, np. gdy nie prowadzi monitoringu.
Należy uwzględnić, że określone obowiązki nie muszą być spełniane na stronie internetowej, ale mogą być wykonywane przez bezpośrednią informację udzielaną pacjentowi albo wywieszoną w lokalu podmiotu.
Autorzy dokonali również oceny przejrzystości i funkcjonalności stron internetowych pod kątem nawigacji w zakresie kluczowych informacji, które zostały określone w raporcie. Decydujące dla oceny było określenie, czy informacje znajdują się na stronie i jak łatwo do nich dotrzeć.
.
Należy jeszcze raz podkreślić, że niezamieszczenie określonych informacji na stronie internetowej podmiotu wykonującego działalność leczniczą nie musi oznaczać, że podmiot nie spełnia wymogów w tym zakresie. Obowiązki te mogą być spełnione w pomieszczeniach tego podmiotu, w tym w bezpośrednim kontakcie z pacjentem.
Co trzeba mieć na stronie, a co warto mieć?
Wszystkie obowiązki, jakie należy spełnić, decydując się na prowadzenie strony internetowej, można podzielić na dwie grupy:
– wymagania, które muszą być spełnione ze względu na przepisy prawa,
– wymagania, które warto spełnić, aby okazać dbałość o klienta (w tym przypadku pacjenta), a także profesjonalne podejście do świadczenia i prezentacji własnych usług na stronie internetowej.
Co trzeba mieć na stronie internetowej:
– Od 22 marca 2013 r. każdy właściciel strony internetowej, która używa tzw. plików cookies („ciasteczek”), ma obowiązek informować o tym swoich użytkowników zgodnie z przepisami ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. z 2004 r. nr 171, poz. 1800, t.j. z 23 lutego 2021 r. Dz.U. z 2021 r. poz. 576) 5.
– RODO6 nakazuje spełniać tzw. obowiązki informacyjne wobec osób, których dane osobowe przetwarza administrator. Na stronie internetowej może być kilka miejsc, w których odwiedzający ma możliwość przekazania swoich danych osobowych przedsiębiorcy. Administrator dla każdego procesu może stworzyć osobny obowiązek informacyjny i umieścić go w odpowiednim miejscu na stronie internetowej (na potrzeby przygotowania pierwszej edycji raportu przyjęto, że podstawowym obowiązkiem administratora jest zamieszczenie obowiązku informacyjnego dla pacjentów, tj. o przetwarzaniu danych osobowych dotyczących prowadzonej działalności).
– Przyjęto założenie, że na stronie internetowej podmiotu wykonującego działalność leczniczą powinna się znajdować polityka prywatności (polityka RODO lub inaczej polityka bezpieczeństwa), choć nie wynika to wprost z przepisów prawa7.
– Ze względu na przetwarzanie przez podmioty wykonujące działalność leczniczą tzw. danych sensytywnych, w tym dotyczących zdrowia, przyjęto, że każdy podmiot wykonujący działalność leczniczą ma obowiązek powołania inspektora ochrony danych osobowych (IODO) oraz podania jego danych kontaktowych8.
– Podanie informacji dotyczących regulaminu organizacyjnego podmiotu wykonującego działalność leczniczą, tj.: „4) rodzaju działalności leczniczej oraz zakresu udzielanych świadczeń zdrowotnych [...] 9) wysokości opłaty za udostępnienie dokumentacji medycznej ustalonej w sposób określony w art. 28 ust. 4 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta [...] 12) wysokości opłat za świadczenia zdrowotne, które mogą być, zgodnie z przepisami ustawy lub przepisami odrębnymi, udzielane za częściową albo całkowitą odpłatnością”9.
– W przypadku jednostek POZ konieczne jest zamieszczenie informacji na temat standardu organizacyjnego teleporady udzielanej w ramach POZ10.
– Konieczne jest również określenie regulaminu świadczenia usług drogą elektroniczną, jeśli podmiot realizuje takie usługi. Ustawa o świadczeniu usług drogą elektroniczną nakłada na usługodawcę taki obowiązek. Usługodawca został zdefiniowany jako osoba fizyczna, osoba prawna lub jednostka organizacyjna, która prowadząc (chociażby ubocznie) działalność zarobkową lub zawodową, świadczy usługi drogą elektroniczną (art. 2 pkt 6 ustawy o świadczeniu usług drogą elektroniczną).
Co warto mieć na stronie internetowej:
– informację o trybie składania skarg (ta informacja jest obowiązkowa dla świadczeniodawców, którzy mają podpisaną umowę z NFZ, jednak nie musi być zamieszczona na stronie internetowej)11,
– informację o prawach pacjenta (ta informacja jest obowiązkowa dla świadczeniodawców, którzy mają podpisaną umowę z NFZ, jednak nie musi być zamieszczona na stronie internetowej)12,
– inne klauzule informacyjne – klauzula social media, klauzula monitoringu, klauzula dla pracowników (co do zasady ich zamieszczanie na stronie internetowej nie jest wymagane).
Ogólne wnioski
W pierwszej edycji raportu na 106 stronach internetowych zauważano duże rozbieżności.
Są strony (znacząca mniejszość – kilka procent), które prezentują wysoką jakość z punktu widzenia prawnego, zawierają informacje wymagane przez przepisy i wiele dodatkowych, które pozytywnie wpływają na sytuację pacjenta. Jest jednak wiele stron (niestety dość dużo – kilkanaście procent), na których nie ma nawet podstawowych informacji wymaganych przez przepisy prawa.
Zauważano duże różnice między stronami internetowymi podmiotów publicznych i niepublicznych (choć autorzy zrezygnowali z procentowego określenia różnic) – znacznie lepiej prezentują się strony podmiotów publicznych.
Duże różnice stwierdzono także między stronami internetowymi szpitali i innych podmiotów wykonujących działalność leczniczą. Strony szpitali zdecydowanie wyróżniają się pod kątem jakości, tylko 4 na 15 stron zostało ocenionych jako złe (ryc. 1).
Podobnie jak inne podmioty szpitale mają wyraźny problem z prawidłowym postępowaniem dotyczącym plików cookies (szczegóły dotyczące plików cookies zostały opisane w dalszej części). Prawie połowa szpitali realizuje prawidłowo wymóg powołania IODO, co należy ocenić pozytywnie, a 47 proc. spełnia ten wymóg bez wskazania imienia i nazwiska lub nazwy firmy (czyli spełnia co do zasady). Aż 87 proc. szpitali publikuje pełny regulamin organizacyjny, co wyraźnie odróżnia je na korzyść od innych podmiotów wykonujących działalność leczniczą. Podobnie jak inne podmioty szpitale mają problem ze świadczeniem usług drogą elektroniczną – na stronach brakuje stosownych dokumentów (regulaminu świadczenia usług drogą elektroniczną). Bardzo duży odsetek szpitali zamieszcza na stronach internetowych informacje dotyczące trybu rozpoznawania skarg (47 proc.), a 87 proc. informacje o prawach pacjenta.
Pliki cookies
Każda osoba odwiedzająca witrynę ma prawo do informacji, czy strona używa plików cookies. Co więcej, ma prawo się dowiedzieć, do czego te pliki służą i jak je wyłączyć. Użytkownik strony na podstawie udzielonej informacji podejmuje decyzję, czy chce dalej z niej korzystać.
Udzielanie zgody na cookies jest uregulowane przede wszystkim przez ustawę Prawo telekomunikacyjne oraz dyrektywę unijną o łączności (e-privacy)13. Te przepisy istnieją w Polsce od dobrych kilku lat i nakazują właścicielom stron internetowych uzyskanie zgody na stosowanie i przechowywanie plików cookies w komputerach użytkowników.
Jako zgodę rozumie się świadome i wyraźne okazanie woli. Według przepisów ustawy Prawo telekomunikacyjne zgoda na pliki cookies powinna spełniać wymogi przewidziane dla wyrażania zgód stosownie do przepisów RODO. To oznacza, że musi być wyrażona dobrowolnie, świadomie, jednoznacznie i konkretnie, w formie oświadczenia woli lub jednoznacznego działania potwierdzającego ze strony użytkownika strony. W praktyce oznacza to, że zgoda nie może być domyślnie zaznaczona, a checkboxy do jej wyrażenia powinny być odznaczone.
Prezes Urzędu Komunikacji Elektronicznej (UKE) w drodze decyzji może nałożyć na podmiot niestosujący się do przepisów dotyczących cookies karę w wysokości do 3 proc. jego przychodu w poprzednim roku kalendarzowym. Z ustawy wynika, że może to być nawet 500 tys. zł.
Wyniki analizy stron internetowych
W pierwszej edycji raportu zauważano wyraźny problem z wykonywaniem obowiązków dotyczących plików cookies zgodnie z ustawą z 16 lipca 2004 r. Prawo telekomunikacyjne. Tylko 12 podmiotów na 106 zbliżyło się do tego, aby spełnić wszystkie wymagania.
Aż 85 proc. podmiotów AOS nie spełniło na swoich stronach obowiązków dotyczących plików cookies w pełni, w tym 30 proc. nie spełniło go wcale (ryc. 2).
W przypadku podmiotów udzielających świadczeń POZ aż 95 proc. nie realizowało w pełni na swoich stronach obowiązków dotyczących plików cookies, w tym 40 proc. wcale (ryc. 3).
Spełnienie obowiązku informacyjnego
Administrator danych osobowych powinien spełnić obowiązek informacyjny w momencie pozyskania danych osobowych na stronie internetowej. W praktyce przedsiębiorcy w formularzach, w których zbierają dane osobowe, umieszczają dodatkowy checkbox z oświadczeniem, że osoba zapoznała się z klauzulą informacyjną oraz polityką prywatności.
Przyjęto założenie, że strony internetowe podmiotów wykonujących działalność leczniczą służą do przetwarzania danych osobowych w celu wykonywania świadczeń zdrowotnych przez podmiot wykonujący działalność leczniczą będący administratorem (właścicielem strony internetowej). Z tego względu na stronie internetowej powinna się znaleźć klauzula informacyjna dla pacjentów.
Brak klauzuli informacyjnej na stronie internetowej nie oznacza, że przetwarzanie danych osobowych pacjentów odbywa się niezgodnie z RODO. W przypadku pacjentów, którzy korzystają ze świadczeń zdrowotnych w lokalu podmiotu, taka klauzula może być przekazywana bezpośrednio siedzibie i załączona do dokumentacji medycznej pacjenta.
Wyniki analizy stron internetowych
Najczęściej spełnianym w pełni wymogiem jest zamieszczenie klauzuli informacyjnej dla pacjentów dotyczącej przetwarzania danych osobowych. Bardzo rzadko są zamieszczane inne klauzule informacyjne, np. dla pracowników lub kandydatów na pracowników (pomimo umożliwienia przesyłania wniosków o zatrudnienie), dotyczące monitoringu. Tylko kilka podmiotów zamieściło informację dotyczącą przetwarzania danych osobowych ze stron social media. W przypadku szpitali taka klauzula nie została zamieszczona tylko na jednej stronie internetowej (ryc. 4).
Na tle szpitali gorzej przedstawia się statystyka podmiotów AOS. W tym przypadku 40 proc. nie spełniło w ogóle tego obowiązku, a 40 proc. nie spełniło go w pełni (ryc. 5).
Nieco lepiej ten obowiązek spełniły podmioty POZ, bo 45 proc. z nich miało pełną klauzulę informacyjną dla pacjentów zamieszczoną na stronie internetowej (ryc. 6).
Powołanie i wskazanie danych kontaktowych IODO
Administrator powinien podać dane IODO, ale tylko wtedy, gdy powołał kogoś na to stanowisko (jak już wspomniano, powołanie IODO w przypadku podmiotów wykonujących działalność leczniczą należy uznać za obowiązkowe). Informacja powinna wskazywać konkretną osobę lub podmiot (spółkę, firmę) wykonującą obowiązki IODO.
W ramach pierwszej edycji raportu zauważono, że obowiązek powołania IODO nie zawsze został spełniony, a nawet w przypadku jego realizacji (tj. wskazania faktu powołania IODO oraz podania kontaktu) nie jest on spełniany w pełni – nie podano imienia i nazwiska osoby lub nazwy firmy wykonującej obowiązki IODO, co jest błędem. Brak danych osoby lub firmy wykonującej obowiązki IODO może sugerować, że informacja o jego powołaniu nie musi być prawdziwa.
Wyniki analizy stron internetowych
Przeprowadzona analiza pokazuje, że najlepiej w tym zakresie prezentują się strony internetowe szpitali, najgorzej zaś strony internetowe podmiotów AOS (ryc. 7–9).
Znacznie gorzej prezentują się strony podmiotów wykonujących działalność leczniczą w rodzaju chirurgia plastyczna – ponad połowa podmiotów nie miała na stronie internetowej żadnej informacji dotyczącej powołania i kontaktu do IODO, a tylko 10 proc. wykonało ten obowiązek w pełni (ryc. 10).
Polityka RODO
Rozporządzenie RODO nie określa formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych, dając tym samym dużą swobodę w tym zakresie administratorom danych14.
Brak wymagań formalnych w zakresie prowadzenia dokumentacji przetwarzania danych osobowych w RODO (na wzór nieobowiązującego już Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych) nie oznacza, że od 25 maja 2018 r. administrator nie jest zobowiązany do prowadzenia dokumentacji, w której byłyby określone zasady i procedury dotyczące przetwarzania danych osobowych zgodnie z przyjętymi rozwiązaniami prawnymi, organizacyjnymi i technicznymi15.
Przyjęliśmy, że na politykę prywatności (politykę RODO lub politykę bezpieczeństwa) składają się minimalnie następujące dane (informacje):
1) konieczne (ze względu na rodzaj i zakres przetwarzania danych osobowych) klauzule informacyjne, które powinny również obejmować informacje wskazane w punktach 2) i 3),
2) rejestr czynności przetwarzania danych osobowych, w tym określenie procesów przetwarzania danych,
3) zakres rejestru kategorii czynności przetwarzania danych osobowych, cele przetwarzania danych osobowych.
Wyniki analizy stron internetowych
Na 15 badanych szpitali trzy zamieściły na swoich stronach politykę RODO w pełni, a 67 proc. nie w pełni. W przypadku AOS na żadnej z badanych stron internetowych nie była zamieszczona polityka RODO, natomiast w przypadku POZ aż 70 proc. nie spełniło tego obowiązku w pełni, a 25 proc. nie spełniło go w ogóle (ryc. 11–13).
Podanie informacji dotyczących regulaminu organizacyjnego
Aktualne informacje, o których mowa w ust. 1 pkt 4, 9, 11 i 12 oraz art. 23a ust. 1, podaje się do wiadomości pacjentów przez ich wywieszenie w widoczny sposób w miejscu udzielania świadczeń oraz na stronie internetowej podmiotu wykonującego działalność leczniczą i udostępnienie w Biuletynie Informacji Publicznej, w przypadku podmiotu obowiązanego do jego prowadzenia (art. 24 ust. 1 Ustawy z 15 kwietnia 2011 r. o działalności leczniczej, Dz.U. nr 112 poz. 654, t.j. z 16 marca 2021 r., Dz.U. 2021 poz. 711 z późn. zm.).
Wyniki analizy stron internetowych
W przypadku szpitali obowiązek zamieszczenia informacji wynikających z regulaminu organizacyjnego na stronie internetowej został spełniony w pełni aż przez 87 proc. jednostek (ryc. 14).
Spośród podmiotów wykonujących działalność leczniczą w rodzaju AOS tylko 10 proc. spełniło w pełni obowiązek dotyczący zamieszczenia informacji z regulaminu organizacyjnego na stronie internetowej (ryc. 15).
W przypadku podmiotów wykonujących działalność leczniczą w rodzaju POZ tylko 10 proc. spełniło w pełni obowiązek dotyczący zamieszczenia informacji z regulaminu organizacyjnego (ryc. 16).
Standard organizacyjny wykonywania teleporad
„Ustala się standard organizacyjny teleporady udzielanej w ramach POZ, który obejmuje:
1) informowanie przez świadczeniodawcę POZ w miejscu wykonywania świadczeń oraz na stronie internetowej tego świadczeniodawcy, a na żądanie pacjenta również telefonicznie, o warunkach udzielania teleporad z uwzględnieniem prawa pacjenta do zgłoszenia w trakcie teleporady woli osobistego kontaktu z właściwym personelem medycznym; informacja określa:
a) systemy teleinformatyczne lub systemy łączności, przy użyciu których świadczeniodawca POZ udziela teleporad,
b) sposób ustalenia terminu teleporady,
c) sposób nawiązania kontaktu między świadczeniodawcą POZ a pacjentem w celu udzielenia teleporady oraz sposób jej udzielenia,
d) sposób postępowania w sytuacji, gdy brak kontaktu z pacjentem w ustalonym terminie teleporady skutkuje jej anulowaniem, przy czym świadczeniodawca POZ jest obowiązany do podjęcia co najmniej trzykrotnej próby kontaktu z pacjentem, w odstępie nie krótszym niż 5 minut, w celu udzielenia teleporady,
e) możliwość skorzystania ze świadczenia opieki zdrowotnej udzielonego w bezpośrednim kontakcie z pacjentem, w przypadku gdy niezbędne z uwagi na stan zdrowia pacjenta świadczenie zdrowotne nie jest możliwe do zrealizowania w formie teleporady – okoliczność ta powinna być ustalana w porozumieniu z pacjentem lub jego opiekunem ustawowym,
f) instrukcje o:
– sposobie realizacji e-recepty,
– sposobie realizacji e-skierowania,
– sposobie realizacji e-zlecenia na wyroby medyczne,
– sposobie realizacji zlecenia badań dodatkowych, w szczególności laboratoryjnych lub obrazowych,
– możliwości założenia przez pacjenta Internetowego Konta Pacjenta” (Rozporządzenie Ministra Zdrowia z 12 sierpnia 2020 r. w sprawie standardu organizacyjnego teleporady w ramach podstawowej opieki zdrowotnej, Dz.U. z 2020 r. poz. 1395 z późn. zm., § 3).
Wyniki analizy stron internetowych
Na 20 podmiotów POZ, których strony zostały poddane analizie, tylko 6 (30 proc.) zamieściło na swojej stronie internetowej (jest to obowiązek) standard organizacyjny wykonywania teleporad – regulamin teleporad (ryc. 17).
Świadczenie usług drogą elektroniczną
Wiele podmiotów prowadzących działalność za pośrednictwem internetu nie jest świadomych, że oferowanie możliwości korzystania z aplikacji mobilnych, portali branżowych czy sklepów internetowych stanowi świadczenie usług drogą elektroniczną. Przedsiębiorca, który nie wie, że świadczy usługi drogą elektroniczną, nie zdaje sobie również sprawy, jakie obowiązki w tym zakresie na nim spoczywają. Co za tym idzie, naraża się na konsekwencje nieprzestrzegania przepisów regulujących omawiane kwestie.
Świadczenie usług drogą elektroniczną zostało zdefiniowane w ustawie o świadczeniu usług drogą elektroniczną16 (art. 2 pkt. 4) jako wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne.
Brak regulaminu świadczenia usług drogą elektroniczną, tj. brak regulaminu strony internetowej lub regulaminu sklepu internetowego, może zostać uznany za praktykę naruszającą zbiorowe interesy konsumentów.
Zgodnie z ustawą o ochronie konkurencji i konsumentów17 za praktykę naruszającą zbiorowe interesy konsumentów uważa się sprzeczne z prawem lub dobrymi obyczajami zachowanie przedsiębiorcy, w szczególności naruszanie obowiązku udzielania konsumentom rzetelnej, prawdziwej i pełnej informacji (art. 24 ust. 2 pkt 2 ustawy o ochronie konkurencji i konsumentów).
Zastosowanie takiej praktyki, choćby nieumyślne, może skutkować nałożeniem na przedsiębiorcę przez prezesa Urzędu Ochrony Konkurencji i Konsumentów (UOKiK), kary pieniężnej w wysokości do 10 proc. obrotu osiągniętego w roku obrotowym poprzedzającym rok nałożenia kary. Prezes UOKiK posiada uprawnienie do nałożenia kary pieniężnej w wysokości do 2 mln zł również na członków zarządu lub wspólników zarządzających, którzy umyślnie doprowadzili do tego, że kierowana przez nich firma dopuściła się praktyki naruszającej zbiorowe interesy konsumentów. Decyzja prezesa UOKiK o uznaniu praktyki za naruszającą zbiorowe interesy konsumentów może zawierać również dodatkowe sankcje dla przedsiębiorcy.
Wyniki analizy stron internetowych
W ramach analizy zidentyfikowano strony, z których wynika, że prowadzone są usługi drogą elektroniczną, takie jak:
– elektroniczne zapisy na wizyty,
– formularz kontaktowy,
– zapisy na newsletter,
– elektroniczne zamawianie i płacenie za usługi,
– elektroniczne zamawianie recept i skierowań.
Łącznie zidentyfikowano 77 podmiotów, które powinny mieć odpowiednie dokumenty dotyczące świadczenia usług drogą elektroniczną. Tylko 14 spełniało ten wymóg (ryc. 18–21).
Ogólna ocena jakości stron internetowych
W kontekście powyższego nie może dziwić, że ogólna ocena jakości stron internetowych podmiotów leczniczych wypadła fatalnie. Ze 106 analizowanych aż 60 zostało określonych jako złe, a 35 dostateczne, co oznacza, że dobre noty uzyskało zaledwie 11 z nich. Nie jest to dobry wynik.
Przypisy:
1. Autor: Bill Gates. Źródło: Ray Hammond, Digital Business, cyt. za: Gordon Dryden, Jeanette Vos, Rewolucja w uczeniu, s. 464.
2. F. Carbonero, E. Ernst, E. Weber, Research Department Working Paper No. 36. Robots worldwide: The impact of automation on employment and trade, October 2018, https://www.ilo.org/wcmsp5/groups/public/–––dgreports/–––inst/documents/publication/wcms_ 648063.pdf
3. International Monetary Fund. 2019. World Economic Outlook: Global Manufacturing Downturn, Rising TradeBarriers. Washington, DC, October:
4. A. Feldmann, O. Gasser, F. Lichtblau, E. Pujol, I. Poese, C. Dietzel, D. Wagner, M. Wichtlhuber, J. Tapiador, N. Vallina-Rodriguez. Implica¬tions of the COVID-19 Pandemic on the Internet Traffic Broadband Coverage in Germany, 15th ITG-Symposium.
5. Art. 174 1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że: 1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o: a) celu przechowywania i uzyskiwania dostępu do tej informacji, b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi, 2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę, 3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu. 2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. 3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do: 1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej, 2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego. 4. Podmioty świadczące usługi telekomunikacyjne lub usługi drogą elektroniczną mogą instalować oprogramowanie w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego przeznaczonym do korzystania z tych usług lub korzystać z tego oprogramowania, pod warunkiem że abonent lub użytkownik końcowy: 1) przed instalacją oprogramowania zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o celu, w jakim zostanie zainstalowane oprogramowanie, oraz sposobach korzystania przez podmiot świadczący usługi z tego oprogramowania, 2) zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o sposobie usunięcia oprogramowania z telekomunikacyjnego urządzenia końcowego użytkownika lub abonenta, 3) przed instalacją oprogramowania wyrazi zgodę na jego instalację i używanie.
6. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO) Dokumentacja przetwarzania danych osobowych zgodnie z RODO, źródło: https://uodo.gov.pl/pl/138/273 – strona otwarta w dniu 30 sierpnia 2021 r.
7. W Raporcie nie rozróżnia się pojęcia Polityki Prywatności (Polityka RODO i Polityka Bezpieczeństwa). W Raporcie tych pojęć autorzy używają zamiennie bowiem zgodnie z przepisami nie określono definicji tych pojęć. Dodatkowo przyjęto, że Polityka Prywatności (Polityka RODO i Polityka Bezpieczeństwa) to zbiór całości dokumentów składających się na dokumenty niezbędnych dla wdrożenia RODO.
8. Art. 37 ust. 1 RODO przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy: (i) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się jednostki sektora finansów publicznych, np. jednostki samorządu terytorialnego, uczelnie publiczne, instytuty badawcze oraz Narodowy Bank Polski – art. 9 ustawy z 10 maja 2018 r. o ochronie danych osobowych), (ii) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę, (iii) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.
9. art. 24 ust. 1 ustawy z 15 kwietnia 2011 r. o działalności leczniczej (Dz.U. Nr 112, poz. 654) t.j. z 16 marca 2021 r. (Dz.U. z 2021 r. poz. 711 z późn. zm.). W celu uproszczenia prowadzonych analiz na potrzeby przygotowania Raportu pominięto obowiązek określony w tym przepisie, a dotyczący wyłącznie szpitali, tj. 11) wysokość opłaty za przechowywanie zwłok pacjenta przez okres dłuższy niż 72 godziny od osób lub instytucji uprawnionych do pochowania zwłok na podstawie ustawy z 31 stycznia 1959 r. o cmentarzach i chowaniu zmarłych (Dz.U. z 2020 r. poz. 1947) oraz od podmiotów, na zlecenie których przechowuje się zwłoki w związku z toczącym się postępowaniem karnym,
10. Rozporządzenie Ministra Zdrowia z 12 sierpnia 2020 r. w sprawie standardu organizacyjnego teleporady w ramach podstawowej opieki zdrowotnej (Dz.U. z 2020 r. poz. 1395 z późn. zm.).
11. § 11 ust. 2 Rozporządzenia Ministra Zdrowia z 8 września 2015 r. w sprawie ogólnych warunków umów o udzielanie świadczeń opieki zdrowotnej (t.j. Dz.U. z 2020 r., poz. 320 z późn. zm.).
12. ibidem.
13. Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej).
14. ibidem.
15. ibidem.
16. Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. Nr 144, poz. 1204) t.j. z dnia 6 lutego 2020 r. (Dz.U. z 2020 r. poz. 344 z późn. zm.).
17. Ustawa z 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz.U. z 2007 r. Nr 50, poz. 331 z późn. zm.).
Tekst opublikowano w „Menedżerze Zdrowia” 3–4/2022. Czasopismo można zamówić na stronie: www.termedia.pl/mz/prenumerata.
Bill Gates powiedział kiedyś: „Internet jest jak przypływ. Zaleje przemysł komputerowy i wiele innych, zatapiając tych, którzy nie nauczą się w nim pływać”1. Posługując się retoryką Gatesa – mogłoby się wydawać, że dzisiaj wszyscy potrafią „pływać”, jednak regulacji prawnych dotyczących funkcjonowania w internecie jest tak dużo, że coraz trudniej się tego nauczyć. Nie chodzi już tylko o „kulturę bycia w internecie”, ale właśnie o coraz większy obszar podlegający regulacji.
Do dziś najważniejszą cechą współczesnej globalizacji była rewolucja w sferze technologii informacyjnych, która sprawiła, że technologie teleinformatyczne, internet, a także automatyzacja i robotyzacja dotarły do najdalszych zakątków świata, choć tempo zmian i korzystania z dobrodziejstw technologii nie są równomiernie rozłożone2.
Gospodarka światowa oparta na swobodnym przepływie towarów i kapitału, któremu towarzyszą szybkie zmiany technologiczne, nie gwarantuje stabilnego rozwoju wolnego od zagrożeń i turbulencji3.
Zbiory danych dostawców usług internetowych, punktów wymiany internetu i sieci akademickich, głównie w Europie, pokazują unikalny obraz zmian w ruchu internetowym spowodowanych pandemią i blokadą, która zmusiła setki milionów obywateli do pozostania i pracy w domu. Analiza pokazuje, że wzrost ruchu w internecie wyniósł 15–20 proc. w ciągu kilku tygodni, co zwykle jest rozłożone na wiele miesięcy przy typowej eksploatacji4. Właśnie dlatego zdecydowaliśmy się wspólnie z Polską Federacją Szpitali, Kancelarią Prawo Gospodarka Zdrowie Banaszewska Modro i „Menedżerem Zdrowia” przygotować „Raport dotyczący wykonywania obowiązków wynikających z przepisów prawa przez podmioty wykonujące działalność leczniczą w oparciu o analizę stron internetowych”.
Celem raportu nie jest wytykanie błędów, ale edukacja właścicieli i administratorów stron internetowych i zwrócenie uwagi na okoliczności istotne z punktu widzenia prawa.
Przeprowadzana analiza – pierwsza edycja raportu
W pierwszej edycji raportu przeanalizowano łącznie 106 stron internetowych:
– 15 stron internetowych szpitali,
– 20 stron internetowych podmiotów wykonujących działalność leczniczą w rodzaju ambulatoryjna opieka specjalistyczna (AOS),
– 20 stron internetowych podmiotów wykonujących działalność leczniczą w rodzaju podstawowa opieka zdrowotna (POZ),
– 31 stron internetowych podmiotów wykonujących działalność leczniczą w rodzaju stomatologia,
– 20 stron internetowych podmiotów wykonujących działalność leczniczą w rodzaju chirurgia plastyczna.
Przyjęte założenia
W pierwszej kolejności określono wymogi wynikające z przepisów prawa i dokonano analiz stron internetowych pod kątem spełnienia wskazanych obowiązków prawnych (opierając się na innych założeniach – patrz poniżej). Sprawdzano m.in., czy spełnienie danego obowiązku prawnego ma charakter wyczerpujący, czy też spełniono go, jednak nie w taki sposób, jaki wyczerpuje postanowienia określonych przepisów:
– wymóg „spełniony w pełni”, jeżeli uwzględniono na stronie internetowej dany wymóg prawa w pełnym zakresie obowiązków wynikających z przepisów,
– wymóg „spełniony co do zasady”, jeżeli nie uwzględniono na stronie internetowej wszystkich wymogów prawa,
– wymóg „niespełniony”, jeżeli nie uwzględniono na stronie internetowej określonego wymogu prawa.
Jeżeli z treści strony internetowej nie wynikało, że dany podmiot wykonujący działalność leczniczą powinien spełniać określone obowiązki (np. poinformowanie o przetwarzaniu danych osobowych w ramach monitoringu), nie prowadzono badania w tym zakresie. Nie oznacza to oczywiście, że dany podmiot nie spełnia wymogu prawa w praktyce swojej działalności ani że w ogóle musi spełniać dany wymóg prawa, np. gdy nie prowadzi monitoringu.
Przykład.
Podmiot, który nie wykonuje monitoringu, nie musi spełniać obowiązku zamieszczania informacji, w tym klauzuli informacyjnej dotyczącej monitoringu.
Podmiot, który nie wykonuje monitoringu, nie musi spełniać obowiązku zamieszczania informacji, w tym klauzuli informacyjnej dotyczącej monitoringu.
Należy uwzględnić, że określone obowiązki nie muszą być spełniane na stronie internetowej, ale mogą być wykonywane przez bezpośrednią informację udzielaną pacjentowi albo wywieszoną w lokalu podmiotu.
Przykład.
Wręczenie klauzuli informacyjnej pacjentowi może nastąpić podczas bezpośredniego kontaktu w lokalu podmiotu wykonującego działalność leczniczą. Informacja o monitoringu może być zamieszczona w siedzibie podmiotu wykonującego działalność leczniczą, podobnie jak informacja o prawach pacjenta.
Wręczenie klauzuli informacyjnej pacjentowi może nastąpić podczas bezpośredniego kontaktu w lokalu podmiotu wykonującego działalność leczniczą. Informacja o monitoringu może być zamieszczona w siedzibie podmiotu wykonującego działalność leczniczą, podobnie jak informacja o prawach pacjenta.
Autorzy dokonali również oceny przejrzystości i funkcjonalności stron internetowych pod kątem nawigacji w zakresie kluczowych informacji, które zostały określone w raporcie. Decydujące dla oceny było określenie, czy informacje znajdują się na stronie i jak łatwo do nich dotrzeć.
Przykład.
Ocena jakości dobra – na stronie internetowej podmiotu wykonującego działalność leczniczą znajduje się odrębna podstrona, na której zamieszczono wszystkie informacje dla pacjentów, w tym klauzule informacyjne, politykę prywatności (RODO), wzory zgód pacjentów na leczenie, informacje o prawach pacjenta, informacje o cenach świadczeń wykonywanych komercyjnie, regulaminy związane z udzielaniem świadczeń zdrowotnych.
Ocena jakości dobra – na stronie internetowej podmiotu wykonującego działalność leczniczą znajduje się odrębna podstrona, na której zamieszczono wszystkie informacje dla pacjentów, w tym klauzule informacyjne, politykę prywatności (RODO), wzory zgód pacjentów na leczenie, informacje o prawach pacjenta, informacje o cenach świadczeń wykonywanych komercyjnie, regulaminy związane z udzielaniem świadczeń zdrowotnych.
.
Przykład.
Ocena jakości zła – na stronie internetowej podmiotu wykonującego działalność leczniczą nie znajduje się odrębna podstrona z informacjami dla pacjentów, ponadto w ogóle nie zamieszczono klauzuli informacyjnej, nie ma informacji o prawach pacjenta oraz o cenach świadczeń, aby znaleźć politykę prywatności (RODO), trzeba bardzo długo nawigować.
Ocena jakości zła – na stronie internetowej podmiotu wykonującego działalność leczniczą nie znajduje się odrębna podstrona z informacjami dla pacjentów, ponadto w ogóle nie zamieszczono klauzuli informacyjnej, nie ma informacji o prawach pacjenta oraz o cenach świadczeń, aby znaleźć politykę prywatności (RODO), trzeba bardzo długo nawigować.
Należy jeszcze raz podkreślić, że niezamieszczenie określonych informacji na stronie internetowej podmiotu wykonującego działalność leczniczą nie musi oznaczać, że podmiot nie spełnia wymogów w tym zakresie. Obowiązki te mogą być spełnione w pomieszczeniach tego podmiotu, w tym w bezpośrednim kontakcie z pacjentem.
Co trzeba mieć na stronie, a co warto mieć?
Wszystkie obowiązki, jakie należy spełnić, decydując się na prowadzenie strony internetowej, można podzielić na dwie grupy:
– wymagania, które muszą być spełnione ze względu na przepisy prawa,
– wymagania, które warto spełnić, aby okazać dbałość o klienta (w tym przypadku pacjenta), a także profesjonalne podejście do świadczenia i prezentacji własnych usług na stronie internetowej.
Co trzeba mieć na stronie internetowej:
– Od 22 marca 2013 r. każdy właściciel strony internetowej, która używa tzw. plików cookies („ciasteczek”), ma obowiązek informować o tym swoich użytkowników zgodnie z przepisami ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. z 2004 r. nr 171, poz. 1800, t.j. z 23 lutego 2021 r. Dz.U. z 2021 r. poz. 576) 5.
– RODO6 nakazuje spełniać tzw. obowiązki informacyjne wobec osób, których dane osobowe przetwarza administrator. Na stronie internetowej może być kilka miejsc, w których odwiedzający ma możliwość przekazania swoich danych osobowych przedsiębiorcy. Administrator dla każdego procesu może stworzyć osobny obowiązek informacyjny i umieścić go w odpowiednim miejscu na stronie internetowej (na potrzeby przygotowania pierwszej edycji raportu przyjęto, że podstawowym obowiązkiem administratora jest zamieszczenie obowiązku informacyjnego dla pacjentów, tj. o przetwarzaniu danych osobowych dotyczących prowadzonej działalności).
– Przyjęto założenie, że na stronie internetowej podmiotu wykonującego działalność leczniczą powinna się znajdować polityka prywatności (polityka RODO lub inaczej polityka bezpieczeństwa), choć nie wynika to wprost z przepisów prawa7.
– Ze względu na przetwarzanie przez podmioty wykonujące działalność leczniczą tzw. danych sensytywnych, w tym dotyczących zdrowia, przyjęto, że każdy podmiot wykonujący działalność leczniczą ma obowiązek powołania inspektora ochrony danych osobowych (IODO) oraz podania jego danych kontaktowych8.
– Podanie informacji dotyczących regulaminu organizacyjnego podmiotu wykonującego działalność leczniczą, tj.: „4) rodzaju działalności leczniczej oraz zakresu udzielanych świadczeń zdrowotnych [...] 9) wysokości opłaty za udostępnienie dokumentacji medycznej ustalonej w sposób określony w art. 28 ust. 4 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta [...] 12) wysokości opłat za świadczenia zdrowotne, które mogą być, zgodnie z przepisami ustawy lub przepisami odrębnymi, udzielane za częściową albo całkowitą odpłatnością”9.
– W przypadku jednostek POZ konieczne jest zamieszczenie informacji na temat standardu organizacyjnego teleporady udzielanej w ramach POZ10.
– Konieczne jest również określenie regulaminu świadczenia usług drogą elektroniczną, jeśli podmiot realizuje takie usługi. Ustawa o świadczeniu usług drogą elektroniczną nakłada na usługodawcę taki obowiązek. Usługodawca został zdefiniowany jako osoba fizyczna, osoba prawna lub jednostka organizacyjna, która prowadząc (chociażby ubocznie) działalność zarobkową lub zawodową, świadczy usługi drogą elektroniczną (art. 2 pkt 6 ustawy o świadczeniu usług drogą elektroniczną).
Co warto mieć na stronie internetowej:
– informację o trybie składania skarg (ta informacja jest obowiązkowa dla świadczeniodawców, którzy mają podpisaną umowę z NFZ, jednak nie musi być zamieszczona na stronie internetowej)11,
– informację o prawach pacjenta (ta informacja jest obowiązkowa dla świadczeniodawców, którzy mają podpisaną umowę z NFZ, jednak nie musi być zamieszczona na stronie internetowej)12,
– inne klauzule informacyjne – klauzula social media, klauzula monitoringu, klauzula dla pracowników (co do zasady ich zamieszczanie na stronie internetowej nie jest wymagane).
Ogólne wnioski
W pierwszej edycji raportu na 106 stronach internetowych zauważano duże rozbieżności.
Są strony (znacząca mniejszość – kilka procent), które prezentują wysoką jakość z punktu widzenia prawnego, zawierają informacje wymagane przez przepisy i wiele dodatkowych, które pozytywnie wpływają na sytuację pacjenta. Jest jednak wiele stron (niestety dość dużo – kilkanaście procent), na których nie ma nawet podstawowych informacji wymaganych przez przepisy prawa.
Zauważano duże różnice między stronami internetowymi podmiotów publicznych i niepublicznych (choć autorzy zrezygnowali z procentowego określenia różnic) – znacznie lepiej prezentują się strony podmiotów publicznych.
Duże różnice stwierdzono także między stronami internetowymi szpitali i innych podmiotów wykonujących działalność leczniczą. Strony szpitali zdecydowanie wyróżniają się pod kątem jakości, tylko 4 na 15 stron zostało ocenionych jako złe (ryc. 1).
Podobnie jak inne podmioty szpitale mają wyraźny problem z prawidłowym postępowaniem dotyczącym plików cookies (szczegóły dotyczące plików cookies zostały opisane w dalszej części). Prawie połowa szpitali realizuje prawidłowo wymóg powołania IODO, co należy ocenić pozytywnie, a 47 proc. spełnia ten wymóg bez wskazania imienia i nazwiska lub nazwy firmy (czyli spełnia co do zasady). Aż 87 proc. szpitali publikuje pełny regulamin organizacyjny, co wyraźnie odróżnia je na korzyść od innych podmiotów wykonujących działalność leczniczą. Podobnie jak inne podmioty szpitale mają problem ze świadczeniem usług drogą elektroniczną – na stronach brakuje stosownych dokumentów (regulaminu świadczenia usług drogą elektroniczną). Bardzo duży odsetek szpitali zamieszcza na stronach internetowych informacje dotyczące trybu rozpoznawania skarg (47 proc.), a 87 proc. informacje o prawach pacjenta.
Pliki cookies
Każda osoba odwiedzająca witrynę ma prawo do informacji, czy strona używa plików cookies. Co więcej, ma prawo się dowiedzieć, do czego te pliki służą i jak je wyłączyć. Użytkownik strony na podstawie udzielonej informacji podejmuje decyzję, czy chce dalej z niej korzystać.
Udzielanie zgody na cookies jest uregulowane przede wszystkim przez ustawę Prawo telekomunikacyjne oraz dyrektywę unijną o łączności (e-privacy)13. Te przepisy istnieją w Polsce od dobrych kilku lat i nakazują właścicielom stron internetowych uzyskanie zgody na stosowanie i przechowywanie plików cookies w komputerach użytkowników.
Jako zgodę rozumie się świadome i wyraźne okazanie woli. Według przepisów ustawy Prawo telekomunikacyjne zgoda na pliki cookies powinna spełniać wymogi przewidziane dla wyrażania zgód stosownie do przepisów RODO. To oznacza, że musi być wyrażona dobrowolnie, świadomie, jednoznacznie i konkretnie, w formie oświadczenia woli lub jednoznacznego działania potwierdzającego ze strony użytkownika strony. W praktyce oznacza to, że zgoda nie może być domyślnie zaznaczona, a checkboxy do jej wyrażenia powinny być odznaczone.
Prezes Urzędu Komunikacji Elektronicznej (UKE) w drodze decyzji może nałożyć na podmiot niestosujący się do przepisów dotyczących cookies karę w wysokości do 3 proc. jego przychodu w poprzednim roku kalendarzowym. Z ustawy wynika, że może to być nawet 500 tys. zł.
Wyniki analizy stron internetowych
W pierwszej edycji raportu zauważano wyraźny problem z wykonywaniem obowiązków dotyczących plików cookies zgodnie z ustawą z 16 lipca 2004 r. Prawo telekomunikacyjne. Tylko 12 podmiotów na 106 zbliżyło się do tego, aby spełnić wszystkie wymagania.
Aż 85 proc. podmiotów AOS nie spełniło na swoich stronach obowiązków dotyczących plików cookies w pełni, w tym 30 proc. nie spełniło go wcale (ryc. 2).
W przypadku podmiotów udzielających świadczeń POZ aż 95 proc. nie realizowało w pełni na swoich stronach obowiązków dotyczących plików cookies, w tym 40 proc. wcale (ryc. 3).
Spełnienie obowiązku informacyjnego
Administrator danych osobowych powinien spełnić obowiązek informacyjny w momencie pozyskania danych osobowych na stronie internetowej. W praktyce przedsiębiorcy w formularzach, w których zbierają dane osobowe, umieszczają dodatkowy checkbox z oświadczeniem, że osoba zapoznała się z klauzulą informacyjną oraz polityką prywatności.
Przyjęto założenie, że strony internetowe podmiotów wykonujących działalność leczniczą służą do przetwarzania danych osobowych w celu wykonywania świadczeń zdrowotnych przez podmiot wykonujący działalność leczniczą będący administratorem (właścicielem strony internetowej). Z tego względu na stronie internetowej powinna się znaleźć klauzula informacyjna dla pacjentów.
Brak klauzuli informacyjnej na stronie internetowej nie oznacza, że przetwarzanie danych osobowych pacjentów odbywa się niezgodnie z RODO. W przypadku pacjentów, którzy korzystają ze świadczeń zdrowotnych w lokalu podmiotu, taka klauzula może być przekazywana bezpośrednio siedzibie i załączona do dokumentacji medycznej pacjenta.
Wyniki analizy stron internetowych
Najczęściej spełnianym w pełni wymogiem jest zamieszczenie klauzuli informacyjnej dla pacjentów dotyczącej przetwarzania danych osobowych. Bardzo rzadko są zamieszczane inne klauzule informacyjne, np. dla pracowników lub kandydatów na pracowników (pomimo umożliwienia przesyłania wniosków o zatrudnienie), dotyczące monitoringu. Tylko kilka podmiotów zamieściło informację dotyczącą przetwarzania danych osobowych ze stron social media. W przypadku szpitali taka klauzula nie została zamieszczona tylko na jednej stronie internetowej (ryc. 4).
Na tle szpitali gorzej przedstawia się statystyka podmiotów AOS. W tym przypadku 40 proc. nie spełniło w ogóle tego obowiązku, a 40 proc. nie spełniło go w pełni (ryc. 5).
Nieco lepiej ten obowiązek spełniły podmioty POZ, bo 45 proc. z nich miało pełną klauzulę informacyjną dla pacjentów zamieszczoną na stronie internetowej (ryc. 6).
Powołanie i wskazanie danych kontaktowych IODO
Administrator powinien podać dane IODO, ale tylko wtedy, gdy powołał kogoś na to stanowisko (jak już wspomniano, powołanie IODO w przypadku podmiotów wykonujących działalność leczniczą należy uznać za obowiązkowe). Informacja powinna wskazywać konkretną osobę lub podmiot (spółkę, firmę) wykonującą obowiązki IODO.
W ramach pierwszej edycji raportu zauważono, że obowiązek powołania IODO nie zawsze został spełniony, a nawet w przypadku jego realizacji (tj. wskazania faktu powołania IODO oraz podania kontaktu) nie jest on spełniany w pełni – nie podano imienia i nazwiska osoby lub nazwy firmy wykonującej obowiązki IODO, co jest błędem. Brak danych osoby lub firmy wykonującej obowiązki IODO może sugerować, że informacja o jego powołaniu nie musi być prawdziwa.
Wyniki analizy stron internetowych
Przeprowadzona analiza pokazuje, że najlepiej w tym zakresie prezentują się strony internetowe szpitali, najgorzej zaś strony internetowe podmiotów AOS (ryc. 7–9).
Znacznie gorzej prezentują się strony podmiotów wykonujących działalność leczniczą w rodzaju chirurgia plastyczna – ponad połowa podmiotów nie miała na stronie internetowej żadnej informacji dotyczącej powołania i kontaktu do IODO, a tylko 10 proc. wykonało ten obowiązek w pełni (ryc. 10).
Polityka RODO
Rozporządzenie RODO nie określa formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych, dając tym samym dużą swobodę w tym zakresie administratorom danych14.
Brak wymagań formalnych w zakresie prowadzenia dokumentacji przetwarzania danych osobowych w RODO (na wzór nieobowiązującego już Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych) nie oznacza, że od 25 maja 2018 r. administrator nie jest zobowiązany do prowadzenia dokumentacji, w której byłyby określone zasady i procedury dotyczące przetwarzania danych osobowych zgodnie z przyjętymi rozwiązaniami prawnymi, organizacyjnymi i technicznymi15.
Przyjęliśmy, że na politykę prywatności (politykę RODO lub politykę bezpieczeństwa) składają się minimalnie następujące dane (informacje):
1) konieczne (ze względu na rodzaj i zakres przetwarzania danych osobowych) klauzule informacyjne, które powinny również obejmować informacje wskazane w punktach 2) i 3),
2) rejestr czynności przetwarzania danych osobowych, w tym określenie procesów przetwarzania danych,
3) zakres rejestru kategorii czynności przetwarzania danych osobowych, cele przetwarzania danych osobowych.
Wyniki analizy stron internetowych
Na 15 badanych szpitali trzy zamieściły na swoich stronach politykę RODO w pełni, a 67 proc. nie w pełni. W przypadku AOS na żadnej z badanych stron internetowych nie była zamieszczona polityka RODO, natomiast w przypadku POZ aż 70 proc. nie spełniło tego obowiązku w pełni, a 25 proc. nie spełniło go w ogóle (ryc. 11–13).
Podanie informacji dotyczących regulaminu organizacyjnego
Aktualne informacje, o których mowa w ust. 1 pkt 4, 9, 11 i 12 oraz art. 23a ust. 1, podaje się do wiadomości pacjentów przez ich wywieszenie w widoczny sposób w miejscu udzielania świadczeń oraz na stronie internetowej podmiotu wykonującego działalność leczniczą i udostępnienie w Biuletynie Informacji Publicznej, w przypadku podmiotu obowiązanego do jego prowadzenia (art. 24 ust. 1 Ustawy z 15 kwietnia 2011 r. o działalności leczniczej, Dz.U. nr 112 poz. 654, t.j. z 16 marca 2021 r., Dz.U. 2021 poz. 711 z późn. zm.).
Wyniki analizy stron internetowych
W przypadku szpitali obowiązek zamieszczenia informacji wynikających z regulaminu organizacyjnego na stronie internetowej został spełniony w pełni aż przez 87 proc. jednostek (ryc. 14).
Spośród podmiotów wykonujących działalność leczniczą w rodzaju AOS tylko 10 proc. spełniło w pełni obowiązek dotyczący zamieszczenia informacji z regulaminu organizacyjnego na stronie internetowej (ryc. 15).
W przypadku podmiotów wykonujących działalność leczniczą w rodzaju POZ tylko 10 proc. spełniło w pełni obowiązek dotyczący zamieszczenia informacji z regulaminu organizacyjnego (ryc. 16).
Standard organizacyjny wykonywania teleporad
„Ustala się standard organizacyjny teleporady udzielanej w ramach POZ, który obejmuje:
1) informowanie przez świadczeniodawcę POZ w miejscu wykonywania świadczeń oraz na stronie internetowej tego świadczeniodawcy, a na żądanie pacjenta również telefonicznie, o warunkach udzielania teleporad z uwzględnieniem prawa pacjenta do zgłoszenia w trakcie teleporady woli osobistego kontaktu z właściwym personelem medycznym; informacja określa:
a) systemy teleinformatyczne lub systemy łączności, przy użyciu których świadczeniodawca POZ udziela teleporad,
b) sposób ustalenia terminu teleporady,
c) sposób nawiązania kontaktu między świadczeniodawcą POZ a pacjentem w celu udzielenia teleporady oraz sposób jej udzielenia,
d) sposób postępowania w sytuacji, gdy brak kontaktu z pacjentem w ustalonym terminie teleporady skutkuje jej anulowaniem, przy czym świadczeniodawca POZ jest obowiązany do podjęcia co najmniej trzykrotnej próby kontaktu z pacjentem, w odstępie nie krótszym niż 5 minut, w celu udzielenia teleporady,
e) możliwość skorzystania ze świadczenia opieki zdrowotnej udzielonego w bezpośrednim kontakcie z pacjentem, w przypadku gdy niezbędne z uwagi na stan zdrowia pacjenta świadczenie zdrowotne nie jest możliwe do zrealizowania w formie teleporady – okoliczność ta powinna być ustalana w porozumieniu z pacjentem lub jego opiekunem ustawowym,
f) instrukcje o:
– sposobie realizacji e-recepty,
– sposobie realizacji e-skierowania,
– sposobie realizacji e-zlecenia na wyroby medyczne,
– sposobie realizacji zlecenia badań dodatkowych, w szczególności laboratoryjnych lub obrazowych,
– możliwości założenia przez pacjenta Internetowego Konta Pacjenta” (Rozporządzenie Ministra Zdrowia z 12 sierpnia 2020 r. w sprawie standardu organizacyjnego teleporady w ramach podstawowej opieki zdrowotnej, Dz.U. z 2020 r. poz. 1395 z późn. zm., § 3).
Wyniki analizy stron internetowych
Na 20 podmiotów POZ, których strony zostały poddane analizie, tylko 6 (30 proc.) zamieściło na swojej stronie internetowej (jest to obowiązek) standard organizacyjny wykonywania teleporad – regulamin teleporad (ryc. 17).
Świadczenie usług drogą elektroniczną
Wiele podmiotów prowadzących działalność za pośrednictwem internetu nie jest świadomych, że oferowanie możliwości korzystania z aplikacji mobilnych, portali branżowych czy sklepów internetowych stanowi świadczenie usług drogą elektroniczną. Przedsiębiorca, który nie wie, że świadczy usługi drogą elektroniczną, nie zdaje sobie również sprawy, jakie obowiązki w tym zakresie na nim spoczywają. Co za tym idzie, naraża się na konsekwencje nieprzestrzegania przepisów regulujących omawiane kwestie.
Świadczenie usług drogą elektroniczną zostało zdefiniowane w ustawie o świadczeniu usług drogą elektroniczną16 (art. 2 pkt. 4) jako wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne.
Brak regulaminu świadczenia usług drogą elektroniczną, tj. brak regulaminu strony internetowej lub regulaminu sklepu internetowego, może zostać uznany za praktykę naruszającą zbiorowe interesy konsumentów.
Zgodnie z ustawą o ochronie konkurencji i konsumentów17 za praktykę naruszającą zbiorowe interesy konsumentów uważa się sprzeczne z prawem lub dobrymi obyczajami zachowanie przedsiębiorcy, w szczególności naruszanie obowiązku udzielania konsumentom rzetelnej, prawdziwej i pełnej informacji (art. 24 ust. 2 pkt 2 ustawy o ochronie konkurencji i konsumentów).
Zastosowanie takiej praktyki, choćby nieumyślne, może skutkować nałożeniem na przedsiębiorcę przez prezesa Urzędu Ochrony Konkurencji i Konsumentów (UOKiK), kary pieniężnej w wysokości do 10 proc. obrotu osiągniętego w roku obrotowym poprzedzającym rok nałożenia kary. Prezes UOKiK posiada uprawnienie do nałożenia kary pieniężnej w wysokości do 2 mln zł również na członków zarządu lub wspólników zarządzających, którzy umyślnie doprowadzili do tego, że kierowana przez nich firma dopuściła się praktyki naruszającej zbiorowe interesy konsumentów. Decyzja prezesa UOKiK o uznaniu praktyki za naruszającą zbiorowe interesy konsumentów może zawierać również dodatkowe sankcje dla przedsiębiorcy.
Wyniki analizy stron internetowych
W ramach analizy zidentyfikowano strony, z których wynika, że prowadzone są usługi drogą elektroniczną, takie jak:
– elektroniczne zapisy na wizyty,
– formularz kontaktowy,
– zapisy na newsletter,
– elektroniczne zamawianie i płacenie za usługi,
– elektroniczne zamawianie recept i skierowań.
Łącznie zidentyfikowano 77 podmiotów, które powinny mieć odpowiednie dokumenty dotyczące świadczenia usług drogą elektroniczną. Tylko 14 spełniało ten wymóg (ryc. 18–21).
Ogólna ocena jakości stron internetowych
W kontekście powyższego nie może dziwić, że ogólna ocena jakości stron internetowych podmiotów leczniczych wypadła fatalnie. Ze 106 analizowanych aż 60 zostało określonych jako złe, a 35 dostateczne, co oznacza, że dobre noty uzyskało zaledwie 11 z nich. Nie jest to dobry wynik.
Przypisy:
1. Autor: Bill Gates. Źródło: Ray Hammond, Digital Business, cyt. za: Gordon Dryden, Jeanette Vos, Rewolucja w uczeniu, s. 464.
2. F. Carbonero, E. Ernst, E. Weber, Research Department Working Paper No. 36. Robots worldwide: The impact of automation on employment and trade, October 2018, https://www.ilo.org/wcmsp5/groups/public/–––dgreports/–––inst/documents/publication/wcms_ 648063.pdf
3. International Monetary Fund. 2019. World Economic Outlook: Global Manufacturing Downturn, Rising TradeBarriers. Washington, DC, October:
4. A. Feldmann, O. Gasser, F. Lichtblau, E. Pujol, I. Poese, C. Dietzel, D. Wagner, M. Wichtlhuber, J. Tapiador, N. Vallina-Rodriguez. Implica¬tions of the COVID-19 Pandemic on the Internet Traffic Broadband Coverage in Germany, 15th ITG-Symposium.
5. Art. 174 1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że: 1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o: a) celu przechowywania i uzyskiwania dostępu do tej informacji, b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi, 2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę, 3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu. 2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. 3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do: 1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej, 2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego. 4. Podmioty świadczące usługi telekomunikacyjne lub usługi drogą elektroniczną mogą instalować oprogramowanie w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego przeznaczonym do korzystania z tych usług lub korzystać z tego oprogramowania, pod warunkiem że abonent lub użytkownik końcowy: 1) przed instalacją oprogramowania zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o celu, w jakim zostanie zainstalowane oprogramowanie, oraz sposobach korzystania przez podmiot świadczący usługi z tego oprogramowania, 2) zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o sposobie usunięcia oprogramowania z telekomunikacyjnego urządzenia końcowego użytkownika lub abonenta, 3) przed instalacją oprogramowania wyrazi zgodę na jego instalację i używanie.
6. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO) Dokumentacja przetwarzania danych osobowych zgodnie z RODO, źródło: https://uodo.gov.pl/pl/138/273 – strona otwarta w dniu 30 sierpnia 2021 r.
7. W Raporcie nie rozróżnia się pojęcia Polityki Prywatności (Polityka RODO i Polityka Bezpieczeństwa). W Raporcie tych pojęć autorzy używają zamiennie bowiem zgodnie z przepisami nie określono definicji tych pojęć. Dodatkowo przyjęto, że Polityka Prywatności (Polityka RODO i Polityka Bezpieczeństwa) to zbiór całości dokumentów składających się na dokumenty niezbędnych dla wdrożenia RODO.
8. Art. 37 ust. 1 RODO przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy: (i) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się jednostki sektora finansów publicznych, np. jednostki samorządu terytorialnego, uczelnie publiczne, instytuty badawcze oraz Narodowy Bank Polski – art. 9 ustawy z 10 maja 2018 r. o ochronie danych osobowych), (ii) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę, (iii) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.
9. art. 24 ust. 1 ustawy z 15 kwietnia 2011 r. o działalności leczniczej (Dz.U. Nr 112, poz. 654) t.j. z 16 marca 2021 r. (Dz.U. z 2021 r. poz. 711 z późn. zm.). W celu uproszczenia prowadzonych analiz na potrzeby przygotowania Raportu pominięto obowiązek określony w tym przepisie, a dotyczący wyłącznie szpitali, tj. 11) wysokość opłaty za przechowywanie zwłok pacjenta przez okres dłuższy niż 72 godziny od osób lub instytucji uprawnionych do pochowania zwłok na podstawie ustawy z 31 stycznia 1959 r. o cmentarzach i chowaniu zmarłych (Dz.U. z 2020 r. poz. 1947) oraz od podmiotów, na zlecenie których przechowuje się zwłoki w związku z toczącym się postępowaniem karnym,
10. Rozporządzenie Ministra Zdrowia z 12 sierpnia 2020 r. w sprawie standardu organizacyjnego teleporady w ramach podstawowej opieki zdrowotnej (Dz.U. z 2020 r. poz. 1395 z późn. zm.).
11. § 11 ust. 2 Rozporządzenia Ministra Zdrowia z 8 września 2015 r. w sprawie ogólnych warunków umów o udzielanie świadczeń opieki zdrowotnej (t.j. Dz.U. z 2020 r., poz. 320 z późn. zm.).
12. ibidem.
13. Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej).
14. ibidem.
15. ibidem.
16. Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. Nr 144, poz. 1204) t.j. z dnia 6 lutego 2020 r. (Dz.U. z 2020 r. poz. 344 z późn. zm.).
17. Ustawa z 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz.U. z 2007 r. Nr 50, poz. 331 z późn. zm.).
Tekst opublikowano w „Menedżerze Zdrowia” 3–4/2022. Czasopismo można zamówić na stronie: www.termedia.pl/mz/prenumerata.