Де закінчується право на таємницю про стан здоров’я пацієнта в маркетингу і яких змін слід очікувати медичним закладам з оновленням законодавства про захист персональних даних?
Дві реальності обробки персональних даних пацієнтів, які існують в Україні сьогодні: з одного боку – право на таємницю про стан здоров’я та лікарська таємниця, які охороняються законом, а з іншого – фактична відсутність системних обмежень на використання даних про стан здоров’я у маркетингу, аналітиці та інших звичних для господарської діяльності процесах.
Які причини та до чого готуватись медичним закладам, особливо тим, які приділяють увагу маркетинговій стратегії та просувають свої послуги за допомогою соціальних мереж і таргетованої реклами, після прийняття нової редакції Закону України «Про захист персональних даних» – спробуємо розібратись у цьому дописі.
Одразу зазначу, що мій погляд може бути незрозумілим для тих, хто не знайомий із Загальним регламентом про захист даних (GDPR) – це нормально. Але враховуючи перспективу імплементації цього акту в Україні й потребу ринку перелаштуватись до нових правил гри (про що я писала у попередніх дописах), вважаю за необхідне вже зараз привертати увагу до проблем, які неодмінно постануть на практиці.
Поточний стан регулювання. Закон України «Про захист персональних даних» (далі – Закон) дозволяє обробку даних про стан здоров’я виключно за умови надання суб'єктом персональних даних однозначної згоди на таку обробку, адже це – чутливі дані й за загальним правилом їх обробка заборонена.
Форма інформованої добровільної згоди, затверджена наказом МОЗ України № 110 від 14.02.2012, має чітко окреслений предмет, до якого не входить обробка даних пацієнта медичним закладом для цілей власної господарської діяльності. Але це не означає, що заклад не здійснює таку обробку.
Які наслідки? Давайте розмірковувати: які канали існують для зв’язку з потенційним пацієнтом? Чимало – кол-центр, вебсайт з формою зворотного зв’язку, чат-бот, мобільний додаток (якщо є), офіційна сторінка закладу в соціальних мережах, навіть професійна сторінка лікаря в соціальних мережах. А скільки сценаріїв обробки персональних даних врегульовано закладом для кожного з них на рівні локальних документів, не обмежуючись політикою конфіденційності? Відповідь на це питання є безпосереднім наслідком стану регулювання сфери персональних даних, зокрема в галузі охорони здоров’я.
Йдемо далі: якими можуть бути обробки даних пацієнтів для цілей господарської діяльності закладу? І тут на нас чекає безліч варіантів – від включення відомостей про пацієнта до CRM-системи до підрахунку статистики лабораторних аналізів чи побудови стратегії продажів.
Здавалося б, буденні речі, які є невід’ємною складовою звичайної господарської діяльності й при цьому ніколи не розглядалися з точки зору руху персональних даних. І це дійсно так. Але для закладу, що має виконати вимоги GDPR чи побудованого на ньому національного законодавства, вони починають грати новими фарбами, адже одна лише згода за формою № 003-6/о не покриває всі варіанти використання персональних даних, а більшість закладів звикли покладатися саме на неї. При цьому, передбачити в публічних документах загальну фразу на кшталт «Продовжуючи користуватись нашим вебсайтом, Ви даєте свою згоду на [список будь-яких дій, які заклад бажає робити з персональними даними]» раптово виявляється недостатньо.
Чому? Не лише тому що користування вебсайтом відбувається на іншій правовій підставі. Передусім, вимоги до отримання дійсної однозначної згоди стануть якісно вищими. Не забуваємо також і про безліч точок дотику, через які заклад акумулює неочевидно значний обсяг інформації про свого потенційного або колишнього пацієнта й передає її іншим суб’єктам, і це не завжди Google та Meta. Здогадуєтесь, які наслідки?
Реальний обсяг персональних даних. Технічні та поведінкові дані (ІР-адреси, рекламні ідентифікатори пристроїв, геолокація, інформація про переглянуті сторінки на сайті закладу, дії на таких сторінках тощо), які збираються медичним закладом за посередництвом сторонніх сервіс-провайдерів, поєднуються аналітичними платформами з уже існуючими профілями користувачів: в момент, коли така інформація вислизає до мережі, фактично закінчується право на таємницю про стан здоров’я – як інакше назвати таргетування на особу, що консультувалась з приводу підбору слухового апарату, реклами слухових апаратів?
Інший приклад – це застосування технологій відстеження у електронних листах, що надсилаються за допомогою провайдерів розсилок: такі платформи вбудовують до email-у інструменти, що дозволяють зібрати чимало даних про особу. В сукупності з іншими відомостями про пацієнтів вони можуть розповісти багато цікавого. Використання таких інструментів наразі не регулюється в Україні, але підпадає під дію GDPR / нової редакції Закону, а отже – зазнає змін.
Особливий випадок – коли медичний заклад для запуску рекламної кампанії, наприклад, на повернення неактивних пацієнтів, використовує не дані вебсайту, а вивантажує з CRM-системи до рекламного кабінету email-адреси/телефони таких пацієнтів з метою формування кастомної аудиторії. Те, що описані дії є обробкою персональних даних, сумніву не викликає. А ось з наявністю правової підстави для їх вчинення не все так просто: використання цих даних тісно пов’язане з розкриттям факту звернення за медичною допомогою до конкретного закладу, тобто охоплюється правом на таємницю про стан здоров’я.
Вплив нового законодавства на звичні процеси. Враховуючи окреслені реалії, GDPR (як і нова редакція Закону) створює систему вимог до 1) визначення обробок персональних даних, 2) їх належного документування та побудови механік роботи з ними, 3) комунікації з пацієнтом, 4) вжиття заходів захисту інформації. Сукупність цих складових дозволяє говорити про законність використання даних пацієнтів, в той час як відсутність хоча б однієї з них може розглядатись як порушення Закону.
Приклад з практики. У 2023 році італійський наглядовий орган наклав штраф на декілька лікарень в розмірі по 55 тис. євро на кожну за незаконне використання технології штучного інтелекту (далі - ШІ) для розрахунку ризиків і розподілу пацієнтів за категоріями на основі стану здоров'я. За допомогою ШІ здійснювалось прогнозування ймовірності розвитку у визначених груп пацієнтів певних патологій, тож вони сортувались у відповідні групи ризику і, виходячи з цього, їм присвоювався клас пріоритетності в лікарняних списках очікування. Лікарні посилались на те, що вони використовували ШІ на підставі ст. 9(2)(h) GDPR для цілей превентивної медицини в межах їхньої звичайної медичної діяльності. Однак наглядовий орган не погодився з цим, кваліфікувавши обробку медичних даних з метою прогнозування можливості розвитку в пацієнта патологій як додаткову і автономну від обробки, дозволеної за ст. 9(2)(h) GDPR. Відтак, така обробка може здійснюватися тільки на підставі конкретної інформованої згоди суб'єкта даних (стаття 9(2)(a) GDPR). Також наглядовий орган зазначив, що стандартні заходи з профілактики та лікування не включають автоматизоване профілювання пацієнтів та оцінку ризиків з метою розробки системи управління медичною допомогою в закладі.
Що зміниться на практиці? Нове регулювання змусить ринок навчитись диференціювати правові підстави обробки та різні способи використання персональних даних, зокрема й у маркетингу, не підводячи все під загальну рису «згоди», тому що навіть у медичного закладу, який обробляє чутливі дані про стан здоров’я, існує безліч випадків, де можуть застосовуватись інші опції.
Щодо маркетингу, першочергові зміни торкнуться наступних процесів:
встановлення обмежень на використання певних видів персональних даних для деяких цілей обробки (наприклад, заборона за певних умов надсилати SMS про знижки чи спеціальні пропозиції, як наслідок – необхідність пошуку альтернативних каналів зв'язку);
запровадження на вебсайті cookie-банерів складнішої структури, ніж одна кнопка «Я погоджуюсь», з наданням користувачу реальної можливості погодитись або відмовитись від використання необов’язкових видів cookie-файлів (до цієї категорії належать, наприклад, аналітичні cookies), як наслідок – поява прогалин у даних про джерела трафіку, ефективність конверсії, дії користувачів на вебсайті тощо, а в більш широкому сенсі – ускладнення сегментації аудиторії для подальшого показу їй таргетованої реклами;
перегляд стратегій утримання пацієнта (визначення випадків, коли можна надсилати email-розсилки, а коли ні; за яких умов зміст рекламної розсилки може не пройти критерії допустимості тощо);
перегляд обсягу даних, що задіяні в підготовці аналітики;
документування процесів підготовки аналітики та інших форм оцінки ефективності стратегії продажів (а також профайлінгу, якщо він використовується).
