Najczęstszy błąd prawny w konfiguracji voicebota: mylenie klauzuli nagrywania ze zgodą marketingową
Wiele klinik konfiguruje voicebota z jednym, zbiorczym komunikatem na początku rozmowy: "Ta rozmowa jest nagrywana. Wyrażasz zgodę na przetwarzanie Twoich danych w celach marketingowych."
To zdanie zawiera dwa odrębne instrumenty prawne połączone w jedno zdanie — i oba są w nim wadliwe.
Nagrywanie rozmowy i marketing to dwa różne procesy przetwarzania danych, opierające się na różnych podstawach prawnych, regulowane różnymi aktami prawnymi. Ich połączenie w jedną klauzulę narusza zasadę granularności zgody z art. 7 ust. 2 RODO oraz wymogi Prawa telekomunikacyjnego. UODO wielokrotnie kwestionował zbiorcze klauzule zgód w decyzjach administracyjnych — wskazując na ich nieważność.
Poniżej omawiamy każde z zagadnień osobno — i pokazujemy, jak poprawnie skonfigurować oba w voicebocie.
Część I: Nagrywanie rozmów przez voicebot
Podstawa prawna nagrywania — nie zgoda, lecz uzasadniony interes lub umowa
Nagrywanie rozmów telefonicznych przez podmiot świadczący usługi nie wymaga uzyskania zgody pacjenta w rozumieniu art. 7 RODO — wymaga jedynie poinformowania rozmówcy przed nagraniem.
Właściwa podstawa przetwarzania danych z nagrania rozmowy dla celów niemedycznych (jakość obsługi, szkolenie, archiwizacja administracyjna):
- Art. 6 ust. 1 lit. f RODO — uzasadniony interes administratora (zapewnienie jakości usług, bezpieczeństwo prawne w razie sporu)
- Art. 9 ust. 2 lit. h RODO — niezbędność do celów świadczenia opieki zdrowotnej i prowadzenia dokumentacji medycznej
Obowiązek informacyjny — Prawo telekomunikacyjne
Niezależnie od RODO, art. 61 ust. 4 Ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne nakłada obowiązek poinformowania rozmówcy o nagrywaniu przed jego rozpoczęciem. Brak takiej informacji czyni nagranie potencjalnie niedopuszczalnym dowodem i może stanowić podstawę roszczeń cywilnych.
Prawidłowy komunikat nagrywania w voicebocie:
"Witamy w Centrum Medycznym XYZ. Informujemy, że ta rozmowa może być nagrywana w celu zapewnienia jakości obsługi oraz archiwizacji zgodnie z przepisami prawa. Administratorem danych jest [nazwa kliniki]. Kontynuując rozmowę, przyjmuje Pan/Pani do wiadomości tę informację."
Zwróć uwagę: komunikat informuje o nagrywaniu — nie prosi o zgodę. Pacjent "przyjmuje do wiadomości", a nie "wyraża zgodę". To ważna różnica: zgoda musiałaby być dobrowolna, a jej brak nie może blokować dostępu do usługi medycznej.
Część II: Zgody marketingowe — zupełnie oddzielna kwestia
Dwa akty prawne regulujące marketing bezpośredni
Marketing kierowany do pacjentów przez klinikę podlega łącznie dwóm reżimom:
1. Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (art. 10) Zakazuje wysyłania niezamówionych informacji handlowych drogą elektroniczną (e-mail, SMS, push) bez uprzedniej zgody adresata. Zgoda musi być aktywna (opt-in) — brak odpowiedzi lub milczenie nie jest zgodą.
2. Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (art. 172) Zakazuje używania automatycznych systemów wywołujących, SMS i połączeń głosowych do celów marketingu bezpośredniego bez uprzedniej zgody abonenta. Dotyczy to voicebotów wysyłających kampanie marketingowe.
Oba przepisy wymagają zgody opt-in — nie wystarczy brak sprzeciwu.
Szczególna sytuacja kliniki: dane zdrowotne w marketingu
Klinika medyczna chcąca prowadzić marketing z wykorzystaniem danych o zdrowiu pacjentów (np. "Pamiętaj o kontroli stomatologicznej" lub "Nowe zabiegi w Twojej ulubionej specjalności") mierzy się z dodatkowym ograniczeniem:
Dane o zdrowiu to dane szczególnej kategorii (art. 9 ust. 1 RODO). Ich przetwarzanie do celów marketingowych nie mieści się w żadnej z podstaw art. 9 ust. 2 RODO poza wyraźną zgodą (art. 9 ust. 2 lit. a).
To oznacza, że:
- Klinika nie może powołać się na "uzasadniony interes" (art. 6 ust. 1 lit. f) dla marketingu opartego na historii wizyt lub specjalności lekarza
- Wymagana jest wyraźna, oddzielna zgoda na marketing — zgodna z art. 7 RODO
Stanowisko UODO: W decyzji z 2019 r. (sygnatura: ZSPR.440.775.2018) UODO wskazał, że przetwarzanie danych o zdrowiu pacjentów w celach marketingowych na podstawie "uzasadnionego interesu" jest niedopuszczalne. Wymagana jest zgoda wyrażona oddzielnie i dobrowolnie.
Warunki skutecznej zgody marketingowej — art. 7 RODO
Zgoda zbierana przez voicebot na cele marketingowe jest ważna tylko wtedy, gdy spełnia warunki art. 7 RODO:
| Warunek | Co oznacza w praktyce voicebota |
|---|---|
| Dobrowolność | Odmowa zgody nie może wpłynąć na rejestrację wizyty — brak zgody = brak marketingu, nie brak usługi |
| Konkretność | Oddzielna zgoda na e-mail, oddzielna na SMS, oddzielna na telefon — nie jedno pytanie zbiorcze |
| Świadomość | Pacjent wie dokładnie, na co się zgadza i kto będzie nadawcą |
| Jednoznaczność | Aktywne działanie pacjenta (wypowiedzenie "tak") — nie milczenie, nie nagranie po pytaniu bez odpowiedzi |
| Odwołalność | Pacjent musi móc wycofać zgodę równie łatwo, jak jej udzielił — VoiceLink umożliwia wycofanie przez SMS STOP lub ponowne połączenie z botem |
Jak poprawnie zebrać zgodę marketingową przez voicebot
Zgoda marketingowa powinna być zbierana w osobnym module — najlepiej po zakończeniu rejestracji, gdy transakcja (umówienie wizyty) jest już zamknięta:
"Wizyta została umówiona. Mam teraz jedno dodatkowe pytanie — czy chciałby Pan/Pani otrzymywać od nas informacje o nowych specjalistach, promocjach i profilaktyce zdrowotnej?"
> "Jeśli tak — proszę powiedzieć 'TAK' lub nacisnąć 1."
> "Przez który kanał? Możemy wysyłać SMS-y, e-maile lub kontaktować telefonicznie. Proszę wymienić preferowany kanał."
Każdy wyrażony kanał jest rejestrowany osobno w CRM/HIS z datą, godziną i zapisem głosowym potwierdzenia.
Jak nie wolno zbierać zgody marketingowej — typowe błędy
- Zgoda ukryta w klauzuli nagrywania — nieważna, bo nie jest granularna i nie jest dobrowolna
- "Brak odpowiedzi = zgoda" — nieważna, opt-in wymaga aktywnego działania
- Jedna zbiorcza zgoda na "wszystkie cele marketingowe" — nieważna, wymagana konkretność per kanał
- Zgoda jako warunek rejestracji — nieważna, brak dobrowolności
- Formularz papierowy z gotowym zaznaczeniem "wyrażam zgodę" — nieważny, zgoda musi być aktywna, nie domyślna
Praktyczna tabela: dwa komunikaty w voicebocie
| Element | Klauzula nagrywania | Zgoda marketingowa |
|---|---|---|
| Kiedy | Na początku rozmowy, przed zebraniem danych | Po zakończeniu transakcji (rejestracja wizyty) |
| Forma | Informacja — nie pytanie | Pytanie z oczekiwaniem aktywnej odpowiedzi |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO + Art. 61 Prawa telekomunikacyjnego | Art. 7 RODO + Art. 10 Ustawy o usługach elektronicznych + Art. 172 Prawa telekomunikacyjnego |
| Skutek braku | Pacjent nadal korzysta z usługi | Pacjent nie otrzymuje marketingu — i tylko tyle |
| Retencja | Zgodna z polityką kliniki / 20 lat dla danych medycznych | Do czasu wycofania zgody |
FAQ — Nagrywanie rozmów i zgody marketingowe
Czy pacjent może zażądać usunięcia nagrania swojej rozmowy z voicebotem? Tak — przysługuje mu prawo do usunięcia danych (art. 17 RODO). Jeśli nagranie stanowi część dokumentacji medycznej, klinika może odmówić usunięcia przez wymagany okres retencji (20 lat). Jeśli nagranie dotyczy wyłącznie kwestii administracyjnych (np. rejestracja telefoniczna bez danych medycznych) — usunięcie powinno nastąpić na żądanie, jeśli minął uzasadniony okres przechowywania.
Czy mogę wysłać pacjentowi SMS z przypomnieniem o wizycie bez jego zgody marketingowej? Tak — przypomnienie o umówionej wizycie nie jest marketingiem. To komunikacja transakcyjna wynikająca z umowy (art. 6 ust. 1 lit. b RODO) i nie wymaga oddzielnej zgody marketingowej. Zgoda jest wymagana dopiero wtedy, gdy wychodzisz poza realizację konkretnej umówionej usługi — np. proponujesz nową wizytę, nowy produkt lub akcję promocyjną.
Jak długo ważna jest zgoda marketingowa zebrana przez bota? Ważna do czasu wycofania — nie ma "terminu ważności" zgody. Klinika powinna jednak cyklicznie (np. co 2 lata) weryfikować aktywność zgód i oferować pacjentom odnowienie lub wycofanie. Zbyt długie przechowywanie nieaktywnych zgód narusza zasadę minimalizacji danych (art. 5 ust. 1 lit. e RODO).
Podsumowanie: Dwa komunikaty, dwa reżimy prawne — jeden voicebot skonfigurowany prawidłowo
Prawidłowa konfiguracja klauzul informacyjnych w voicebocie nie jest skomplikowana — ale wymaga świadomego rozróżnienia między nagrywaniem (informacja, uzasadniony interes) a marketingiem (zgoda, opt-in, granularność). Pomylenie tych dwóch reżimów prowadzi do klauzul, które są formalnie nieważne — i które nie chronią kliniki w przypadku kontroli UODO.
Zamów audyt konfiguracji klauzul VoiceLink w Twojej klinice → Sprawdzimy poprawność wszystkich skryptów pod kątem RODO, Prawa telekomunikacyjnego i wymogów AI Act — i przygotujemy gotowe, zatwierdzone komunikaty.
