Jak zbierać zgody SMS w ośrodku balneologicznym zgodnie z RODO?

Jak prawnie uzyskać zgodę SMS od pacjenta w ośrodku balneologicznym?

Potrzebna jest dobrowolna, konkretna, świadoma i jednoznaczna zgoda z możliwością łatwego wycofania, najlepiej potwierdzona modelem double opt-in.

W praktyce zgoda na marketing SMS wymaga wyraźnego działania pacjenta, na przykład zaznaczenia niezaznaczonego domyślnie pola i potwierdzenia kodem SMS. W treści musisz jasno wskazać administratora danych, cel i zakres komunikacji, częstotliwość oraz sposób rezygnacji. Zgoda nie może być warunkiem skorzystania z zabiegów balneologii. Dla wiadomości niebędących marketingiem możesz stosować inną podstawę prawną, ale informuj o tym już na etapie zapisu.

Jak rozróżnić zgody na wiadomości usługowe i marketingowe?

Rozdziel preferencje na oddzielne zgody i podstawy prawne, a w systemie trzymaj je w dwóch osobnych kategoriach.

Wiadomości usługowe to komunikaty niezbędne do obsługi pacjenta, na przykład przypomnienia o wizycie, zmiana godziny zabiegu, informacje organizacyjne o basenie czy saunie. Zwykle opierasz je na wykonaniu umowy lub uzasadnionym interesie, dbając o minimalizm treści i możliwość sprzeciwu. Wiadomości marketingowe to oferty, rabaty, nowości dotyczące balneoterapii czy turnusów. Wymagają odrębnej, wyraźnej zgody na SMS. Nie mieszaj obu kategorii w jednym komunikacie i nie wysyłaj promocji pod pozorem przypomnienia wizyty.

Jak sformułować jasny tekst zgody SMS zgodny z RODO?

Napisz krótko, konkretnie i wprost, podając cel, częstotliwość, zakres i sposób wycofania zgody.

Przykład zgody marketingowej SMS:

„Wyrażam zgodę na otrzymywanie od naszego ośrodka balneologicznego SMS z informacjami o ofertach, nowościach i wydarzeniach. Zgodę mogę wycofać w każdej chwili, wysyłając STOP.”

Przykład preferencji usługowych:

„Chcę otrzymywać bezpłatne SMS przypominające o wizytach i zmianach terminów.”

Dobrze, gdy pod treścią znajduje się odnośnik do polityki prywatności. Unikaj ogólników typu „informacje różne”. Nie łącz zgody SMS z e‑mail w jednym polu. Zapewnij checkbox niezaznaczony domyślnie i jasną informację, że brak zgody nie wpływa na dostęp do zabiegów.

Jak dokumentować i przechowywać dowody zgody SMS w ośrodku?

Prowadź rejestr zgód z pełnym śladem audytowym i kontrolowanym dostępem.

W rejestrze zapisz co najmniej:

• numer telefonu i identyfikator pacjenta w systemie
• treść udzielonej zgody i jej wersję
• kanał i moment pozyskania zgody, na przykład formularz online, w recepcji
• datę i godzinę, adres IP lub urządzenie, jeśli dotyczy
• potwierdzenie double opt-in, na przykład „TAK” w SMS
• historię zmian, cofnięć i sprzeciwów

Przechowuj dane tylko tak długo, jak potrzebujesz do celu i rozliczalności. Ogranicz dostęp uprawnionym osobom. Regularnie testuj odzyskiwanie kopii zapasowych.

Jak umożliwić łatwe wycofanie zgody i obsługę komendy STOP?

Zapewnij rezygnację jednym krokiem, na przykład SMS „STOP”, i potwierdź ją od razu w automacie.

Dobre praktyki:

• obsługuj proste komendy, na przykład STOP, NIE, REZYGNUJ
• wysyłaj potwierdzenie rezygnacji i zapisuj ją w rejestrze
• przekaż jasną informację o innych sposobach zarządzania zgodami, na przykład centrum preferencji
• blokuj dalsze wysyłki marketingu natychmiast po rezygnacji
• nie dodawaj treści zdrowotnych do potwierdzeń rezygnacji

W komunikatach usługowych uwzględnij informację o prawie sprzeciwu oraz link do ustawień komunikacji.

Jak zabezpieczyć współpracę z dostawcą SMS i przetwarzanie danych?

Zawrzyj umowę powierzenia, sprawdź łańcuch podwykonawców i zastosuj środki techniczne oraz organizacyjne.

Zwróć uwagę na:

• umowę powierzenia i zakres przetwarzania, w tym zakaz użycia danych do celów własnych dostawcy
• szyfrowanie danych w spoczynku i w transmisji oraz kontrolę dostępu z uwierzytelnianiem wieloskładnikowym
• lokalizację serwerów i transfery poza Europejski Obszar Gospodarczy wraz z odpowiednimi zabezpieczeniami
• dzienniki zdarzeń, retencję i bezpieczne usuwanie
• testy odzyskiwania kopii zapasowych i plan ciągłości działania
• ocenę skutków dla ochrony danych, jeśli zakres lub ryzyko tego wymaga

Zadbaj, by treści SMS nie ujawniały danych o stanie zdrowia. Używaj neutralnych sformułowań, na przykład „przypomnienie wizyty”.

Jak poprosić o ponowną zgodę od istniejącej bazy pacjentów?

Proś o odnowienie zgody podczas kontaktu z pacjentem lub innym dozwolonym kanałem, unikając SMS bez wcześniejszej zgody marketingowej.

Najbezpieczniej zebrać ponowne zgody:

• przy rejestracji na wizytę lub zabieg
• w panelu pacjenta, w centrum preferencji
• w formularzu papierowym podczas pobytu na turnusie
• e‑mailem, jeśli pacjent wyraził wcześniej zgodę na ten kanał

Komunikat powinien krótko wyjaśniać, co zyska pacjent, jak często planujesz wysyłki i jak łatwo zrezygnuje. Nie wysyłaj prośby o zgodę marketingową przez SMS, jeśli nie masz już zgody na marketingowe użycie numeru.

Co zrobić dziś, by zbierać zgody SMS zgodnie z RODO?

Przygotuj krótkie, zrozumiałe treści zgód, rozdziel kanały i wdroż centrum preferencji oraz logowanie zdarzeń.

Lista działań na start:

• rozdziel komunikaty usługowe i marketingowe w procesie zapisu
• wprowadź checkboxy niezaznaczone domyślnie i double opt-in
• ustandaryzuj treści zgód i politykę prywatności, w tym informacje o częstotliwości i wycofaniu
• zbuduj rejestr zgód i procedurę obsługi „STOP”
• przeprowadź przegląd dostawcy SMS, podpisz umowę powierzenia i ustaw retencję
• przeszkol zespół rejestracji i recepcji, aby mówił jednym językiem

Zgodne i przejrzyste zgody porządkują komunikację w balneologii. Pacjenci otrzymują to, co potrzebne, w odpowiednim czasie, a zespół pracuje spokojnie i bez ryzyka.

Skonfiguruj zgody SMS i centrum preferencji już teraz, aby bezpiecznie przypominać o zabiegach i wysyłać tylko te treści, na które pacjenci się zgodzili.