iStock
Strona internetowa, portale społecznościowe a ochrona danych osobowych
Redaktor: Krystian Lurka
Data: 16.05.2022
Źródło: Biuletyn Wielkopolskiej Izby Lekarskiej/Marek Saj
Tagi: | Marek Saj |
– Trudno wyobrazić sobie nieobecność podmiotów leczniczych w sieci. Należy przypomnieć jednak, że działalność lecznicza rządzi się specyficznymi uregulowaniami i podążając za ustawą z 15 kwietnia 2011 r. o działalności leczniczej, informacje zamieszczane na stronach internetowych nie mogą mieć cech reklamy – pisze specjalista w zakresie ochrony danych osobowych Marek Saj.
Tekst Marka Saja, dyrektora biura Wielkopolskiej Izby Lekarskiej, specjalisty w zakresie ochrony danych osobowych:
W tym aspekcie wypowiadała się również Naczelna Rada Lekarska w uchwale nr 29/11/VI 16 grudnia 2011 r. Pamiętać też trzeba, że przez podmiot leczniczy należy również rozumieć lekarzy prowadzących praktyki zawodowe. Tym bardziej należy zatem przemyśleć treść i zawartość informacji na stronie internetowej, jej funkcjonalność, aby w pierwszej kolejności spełniały swoje zadanie dla podmiotu leczniczego oraz były zgodne z prawem. Jak to się ma do ochrony danych osobowych i RODO? Z praktycznego punktu widzenia strona internetowa może być wykorzystana przede wszystkich jako miejsce, w którym administrator danych wypełnia część obowiązków, które na nim ciążą w zakresie ochrony danych osobowych. A mianowicie: zamieszcza tam treść klauzuli informacyjnej, wypełniając obowiązek, jaki wynika z art. 13–14 RODO, podaje informacje i dane kontaktowe inspektora ochrony danych, jeśli był zobowiązany do jego powołania lub powołał go, mając świadomość znaczenia oraz skali przetwarzania danych osobowych – m.in. art. 37 ust. 1 pkt c) RODO. Najpraktyczniejszym sposobem wykorzystania do tych zadań strony internetowej jest utworzenie specjalnej zakładki poświęconej tej tematyce. Często również jest to miejsce, w którym można zamieścić dodatkowe informacje o realizacji wniosków osób, których dane są przetwarzane, odnoszących się do realizacji praw i wolności osób fizycznych – art. 15–22 RODO.
Strona internetowa bardzo często zawiera również praktyczne narzędzia, takie jak formularze kontaktowe lub formularze elektronicznej rejestracji do poradni. Istotne jest, aby posiadając takie narzędzie, zadbać o legalność pozyskanych informacji, bo o ile przetwarzanie danych osobowych związanych z udzielaniem świadczeń zdrowotnych nie wymaga zgody, o której mowa w art. 6 ust. 1 lit. a) RODO, o tyle stosowanie takich narzędzi elektronicznych, jak formularze kontaktowe czy elektroniczne rejestracje, przez podmiot leczniczy już takiej zgody wymaga. Zgoda ta musi być wyraźna i jednoznaczna, a ponadto osoba ją wyrażająca musi być również poinformowana o celu jej pozyskania, przysługujących jej prawach, czyli w tym aspekcie musi być zrealizowany wobec niej kolejny obowiązek informacyjny. Nieco pobocznym wątkiem jest tutaj fakt, że jeśli podmiot leczniczy korzysta z narzędzi elektronicznej rejestracji, winien odpowiednio zabezpieczyć te dane pod względem technicznym – szyfrowane protokoły zabezpieczeń, kopie bezpieczeństwa pozyskiwanych danych, oraz powinien stosować zasadę minimalizacji, tzn. pozyskiwać tylko te dane, które są na tym etapie niezbędne. Dobrą praktyką jest również stworzenie regulaminu prowadzenia rejestracji elektronicznej, wyjaśniającego pacjentowi wszystkie aspekty i zasady, dzięki którym może z niej skorzystać.
Gromadząc dane osobowe na stronie internetowej i korzystając z narzędzi administracyjnych na stronie internetowej do jej zarządzania, należy zastanowić się, jakie środki w tym zakresie dają narzędzia informatyczne oraz gdzie pozyskiwane dane są przechowywane. Narzędzia informatyczne bowiem dają możliwości przeprowadzania analiz związanych z aktywnościami użytkowników, zapisując dane logowań, tworząc statystyki odwiedzin strony itp. (tzw. cookies). Każdy administrator powinien zatem dokonać analizy, czy jego strona internetowa zapisuje pewnego rodzaju dane i na tej podstawie opracować i opublikować politykę prywatności strony internetowej. Powinien również przeprowadzić rozeznanie, czy dane, które gromadzi, są przechowywane na terenie Unii Europejskiej. Ma to szczególne znaczenie, jeśli podmiot leczniczy poza stroną internetową prowadzi także profile społecznościowe, gdyż w takim przypadku dane tam gromadzone są transferowane poza Europę i co do zasady wymaga to od administratora stworzenia dodatkowej klauzuli informacyjnej wskazującej podstawę prawną takiego transferu danych. Na szczęście nie trzeba jej doraźnie tworzyć, ponieważ została ona zatwierdzona globalnie i można z niej korzystać, wypełniając prawne obowiązki.
Strona internetowa czy portale społecznościowe to nie tylko wiadomości i narzędzia informatyczne, ale także grafiki i zdjęcia. Często przedstawiamy swój zespół, opisując jego kwalifikacje i dorobek, a także wykorzystując wizerunek pracowników. Pamiętajmy, aby szczególnie w przypadku korzystania z wizerunku zadbać o zabezpieczenie prawne tej materii, a mianowicie uzyskać zgodę na wykorzystanie tego wizerunku od pracownika, wypełnić wobec niego obowiązek informacyjny, a także uzyskać prawa autorskie do zdjęć i zalegalizować ich powielanie oraz korzystanie na przyszłość. Te same obowiązki ciążą na administratorze w sytuacji, kiedy chciałby zamieścić na stronie internetowej czy też portalu społecznościowym zdjęcia zadowolonych pacjentów lub rozmowy z nimi, w których pojawiają się wątki dotyczące ich osobistych relacji z podmiotem leczniczym.
Właściciel podmiotu leczniczego powinien również pamiętać, że najczęściej korzystając z tych wszystkich narzędzi w zakresie strony internetowej, formularzy kontaktowych itp., powierza przetwarzanie danych osobowych hostingodawcom tych stron lub firmom informatycznym zapewniającym obsługę techniczną. Rozwiązaniem tej sytuacji są umowy powierzenia przetwarzania danych. Rozwiązaniem drugim, stosowanym w szczególności w przypadku dużych dostawców, są regulaminy ich działania, które każdy z administratorów musi zaakceptować na etapie stworzenia tam swojego konta jako wstępu do zakupu usługi. To w tym dokumencie poruszone są również aspekty związane z ochroną danych osobowych.
Powyższe sugestie są tylko wąskim aspektem potencjalnych zawartości stron internetowych podmiotów leczniczych, ponieważ część z nich, w szczególności ta utworzona przez struktury publiczne, ma wiele dodatkowych obowiązków związanych z koniecznością publikacji dodatkowych informacji.
Należy jednak pamiętać, że pewne ich zakresy mogą być też wynikiem uczestniczenia podmiotu prywatnego w udzielaniu świadczeń zdrowotnych finansowanych ze środków publicznych.
Tekst opublikowano w Biuletynie Wielkopolskiej Izby Lekarskiej 5/2022.
Przeczytaj także: „Analiza stron internetowych podmiotów działających w ochronie zdrowia”.
W tym aspekcie wypowiadała się również Naczelna Rada Lekarska w uchwale nr 29/11/VI 16 grudnia 2011 r. Pamiętać też trzeba, że przez podmiot leczniczy należy również rozumieć lekarzy prowadzących praktyki zawodowe. Tym bardziej należy zatem przemyśleć treść i zawartość informacji na stronie internetowej, jej funkcjonalność, aby w pierwszej kolejności spełniały swoje zadanie dla podmiotu leczniczego oraz były zgodne z prawem. Jak to się ma do ochrony danych osobowych i RODO? Z praktycznego punktu widzenia strona internetowa może być wykorzystana przede wszystkich jako miejsce, w którym administrator danych wypełnia część obowiązków, które na nim ciążą w zakresie ochrony danych osobowych. A mianowicie: zamieszcza tam treść klauzuli informacyjnej, wypełniając obowiązek, jaki wynika z art. 13–14 RODO, podaje informacje i dane kontaktowe inspektora ochrony danych, jeśli był zobowiązany do jego powołania lub powołał go, mając świadomość znaczenia oraz skali przetwarzania danych osobowych – m.in. art. 37 ust. 1 pkt c) RODO. Najpraktyczniejszym sposobem wykorzystania do tych zadań strony internetowej jest utworzenie specjalnej zakładki poświęconej tej tematyce. Często również jest to miejsce, w którym można zamieścić dodatkowe informacje o realizacji wniosków osób, których dane są przetwarzane, odnoszących się do realizacji praw i wolności osób fizycznych – art. 15–22 RODO.
Strona internetowa bardzo często zawiera również praktyczne narzędzia, takie jak formularze kontaktowe lub formularze elektronicznej rejestracji do poradni. Istotne jest, aby posiadając takie narzędzie, zadbać o legalność pozyskanych informacji, bo o ile przetwarzanie danych osobowych związanych z udzielaniem świadczeń zdrowotnych nie wymaga zgody, o której mowa w art. 6 ust. 1 lit. a) RODO, o tyle stosowanie takich narzędzi elektronicznych, jak formularze kontaktowe czy elektroniczne rejestracje, przez podmiot leczniczy już takiej zgody wymaga. Zgoda ta musi być wyraźna i jednoznaczna, a ponadto osoba ją wyrażająca musi być również poinformowana o celu jej pozyskania, przysługujących jej prawach, czyli w tym aspekcie musi być zrealizowany wobec niej kolejny obowiązek informacyjny. Nieco pobocznym wątkiem jest tutaj fakt, że jeśli podmiot leczniczy korzysta z narzędzi elektronicznej rejestracji, winien odpowiednio zabezpieczyć te dane pod względem technicznym – szyfrowane protokoły zabezpieczeń, kopie bezpieczeństwa pozyskiwanych danych, oraz powinien stosować zasadę minimalizacji, tzn. pozyskiwać tylko te dane, które są na tym etapie niezbędne. Dobrą praktyką jest również stworzenie regulaminu prowadzenia rejestracji elektronicznej, wyjaśniającego pacjentowi wszystkie aspekty i zasady, dzięki którym może z niej skorzystać.
Gromadząc dane osobowe na stronie internetowej i korzystając z narzędzi administracyjnych na stronie internetowej do jej zarządzania, należy zastanowić się, jakie środki w tym zakresie dają narzędzia informatyczne oraz gdzie pozyskiwane dane są przechowywane. Narzędzia informatyczne bowiem dają możliwości przeprowadzania analiz związanych z aktywnościami użytkowników, zapisując dane logowań, tworząc statystyki odwiedzin strony itp. (tzw. cookies). Każdy administrator powinien zatem dokonać analizy, czy jego strona internetowa zapisuje pewnego rodzaju dane i na tej podstawie opracować i opublikować politykę prywatności strony internetowej. Powinien również przeprowadzić rozeznanie, czy dane, które gromadzi, są przechowywane na terenie Unii Europejskiej. Ma to szczególne znaczenie, jeśli podmiot leczniczy poza stroną internetową prowadzi także profile społecznościowe, gdyż w takim przypadku dane tam gromadzone są transferowane poza Europę i co do zasady wymaga to od administratora stworzenia dodatkowej klauzuli informacyjnej wskazującej podstawę prawną takiego transferu danych. Na szczęście nie trzeba jej doraźnie tworzyć, ponieważ została ona zatwierdzona globalnie i można z niej korzystać, wypełniając prawne obowiązki.
Strona internetowa czy portale społecznościowe to nie tylko wiadomości i narzędzia informatyczne, ale także grafiki i zdjęcia. Często przedstawiamy swój zespół, opisując jego kwalifikacje i dorobek, a także wykorzystując wizerunek pracowników. Pamiętajmy, aby szczególnie w przypadku korzystania z wizerunku zadbać o zabezpieczenie prawne tej materii, a mianowicie uzyskać zgodę na wykorzystanie tego wizerunku od pracownika, wypełnić wobec niego obowiązek informacyjny, a także uzyskać prawa autorskie do zdjęć i zalegalizować ich powielanie oraz korzystanie na przyszłość. Te same obowiązki ciążą na administratorze w sytuacji, kiedy chciałby zamieścić na stronie internetowej czy też portalu społecznościowym zdjęcia zadowolonych pacjentów lub rozmowy z nimi, w których pojawiają się wątki dotyczące ich osobistych relacji z podmiotem leczniczym.
Właściciel podmiotu leczniczego powinien również pamiętać, że najczęściej korzystając z tych wszystkich narzędzi w zakresie strony internetowej, formularzy kontaktowych itp., powierza przetwarzanie danych osobowych hostingodawcom tych stron lub firmom informatycznym zapewniającym obsługę techniczną. Rozwiązaniem tej sytuacji są umowy powierzenia przetwarzania danych. Rozwiązaniem drugim, stosowanym w szczególności w przypadku dużych dostawców, są regulaminy ich działania, które każdy z administratorów musi zaakceptować na etapie stworzenia tam swojego konta jako wstępu do zakupu usługi. To w tym dokumencie poruszone są również aspekty związane z ochroną danych osobowych.
Powyższe sugestie są tylko wąskim aspektem potencjalnych zawartości stron internetowych podmiotów leczniczych, ponieważ część z nich, w szczególności ta utworzona przez struktury publiczne, ma wiele dodatkowych obowiązków związanych z koniecznością publikacji dodatkowych informacji.
Należy jednak pamiętać, że pewne ich zakresy mogą być też wynikiem uczestniczenia podmiotu prywatnego w udzielaniu świadczeń zdrowotnych finansowanych ze środków publicznych.
Tekst opublikowano w Biuletynie Wielkopolskiej Izby Lekarskiej 5/2022.
Przeczytaj także: „Analiza stron internetowych podmiotów działających w ochronie zdrowia”.