Wróć do strony głównej bloga

RODO w Gabinecie Psychologicznym: Jak zadbać o ochronę danych osobowych bez „szaf RODO”?

Spośród wszystkich prawnych wymogów, jakie spoczywają na przedsiębiorcach, to właśnie RODO osiągnęło status „gwiazdy” – u niektórych wywołuje dreszcze, inni boją się go bardziej niż samej inspekcji. Ale czy naprawdę jest się czego bać?

W gabinecie psychologicznym ochrona danych to przede wszystkim kwestia zdrowego rozsądku, a nie stosów dokumentów. Przestrzeganie kilku prostych zasad może uczynić RODO sprzymierzeńcem terapeuty, pomagając zbudować zaufanie pacjentów bez zbędnych komplikacji. Jedną z nich jest to, że bezpieczeństwo danych klienta zaczyna się od codziennych praktyk – a „szafy RODO” zostawmy na razie na półce.

Co to są dane osobowe?

Dane osobowe to wszelkie informacje, które mogą prowadzić do zidentyfikowania konkretnej osoby. Nie ma co się oszukiwać, to nie musi być imię, nazwisko i PESEL. Czasem wystarczy adres e-mail, numer telefonu albo nawet to, jak w codziennych rozmowach opowiadamy o kimś, kogo znamy. RODO mówi jasno – jeśli da się kogoś zidentyfikować na podstawie informacji, to są to dane osobowe (art. 4 pkt 1 RODO). 

Cała sztuka polega na tym, by nie gromadzić ich na wszelki wypadek. Zbieramy tylko to, co naprawdę jest potrzebne do prowadzenia terapii i nic ponadto

W gabinecie psychologicznym stosowanie RODO oznacza konieczność przestrzegania kilku fundamentalnych zasad: 

  • minimalizacji, 

  • ograniczenia celu i poufności. 

Dane należy przetwarzać tylko w zakresie niezbędnym do realizacji usług i przechowywać je w sposób bezpieczny, dbając o to, aby były dostępne wyłącznie dla osób upoważnionych. Dzięki temu ochrona danych staje się realną praktyką, a nie wyłącznie formalnym obowiązkiem.

Klauzula informacyjna i dane zwykłe – co trzeba wiedzieć?

Dane osobowe w gabinecie psychologicznym to nie tylko delikatne informacje o stanie zdrowia czy emocjach pacjenta. Są też te zwykłe dane – imię, nazwisko, numer telefonu, e-mail, czasem adres. Niby nic wielkiego, ale i one wymagają odpowiedniego podejścia. 

RODO mówi wprost: jeśli przetwarzamy dane, musimy poinformować pacjenta:

- dlaczego to robimy, 

- co z tymi danymi się stanie,

- jakie prawa ma pacjent w związku z ich przetwarzaniem. 

Taki właśnie jest cel klauzuli informacyjnej.

Klauzula informacyjna to taki „must-have” każdego gabinetu psychologicznego i to nie tylko dlatego, że jest wymagana przepisami. To również gest w stronę pacjenta, który widzi, że traktujemy jego dane poważnie

Klauzula powinna jasno określać, kto jest administratorem danych (czyli tutaj – psycholog lub jego gabinet), w jakim celu przetwarzane są dane (na przykład w celu umówienia wizyty, prowadzenia dokumentacji), oraz jakie prawa przysługują pacjentowi. Ważne jest, aby klauzula była napisana prostym językiem, bez zbędnych prawniczych sformułowań, bo przecież chodzi o to, żeby pacjent zrozumiał, co się dzieje z jego danymi.

Dlaczego wystarczy klauzula, a nie zgoda?

RODO (art. 6 ust. 1) wskazuje sześć podstaw prawnych do przetwarzania danych osobowych, w tym: 

a) zgoda, 

b) niezbędność do wykonania umowy, 

c) obowiązek prawny, 

d) zadanie realizowane w interesie publicznym,

e) ochrona żywotnych interesów osoby, 

f) prawnie uzasadniony interes administratora. 

Jeśli spełniona jest jedna z tych przesłanek, administrator ma prawo do przetwarzania danych osobowych.

W przypadku „zwykłych” danych, takich jak imię, nazwisko, adres czy telefon, które są potrzebne do zawarcia i realizacji umowy – np. umowy o świadczenie usług psychologicznych – zgoda nie jest wymagana, ponieważ dane te przetwarza się w celu realizacji umowy zawartej z pacjentem. Wystarczy, że psycholog poinformuje pacjenta o przetwarzaniu tych danych i celu ich użycia, co pozwala uniknąć nadmiaru formalności przy jednoczesnym zapewnieniu pacjentowi informacji o przetwarzaniu.

A co z przetwarzaniem danych wrażliwych?

Dane wrażliwe, znane również jako szczególne kategorie danych osobowych, to informacje, które wymagają szczególnej ochrony ze względu na ich charakter i potencjalne ryzyko naruszenia prywatności

RODO definiuje dane wrażliwe jako takie, które dotyczą m.in. zdrowia, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych, przynależności do związków zawodowych, orientacji seksualnej, a także danych genetycznych i biometrycznych używanych do identyfikacji osoby (art. 9 RODO).

Psychologowie i psychoterapeuci mają trochę trudniejsze zadanie. W końcu cała ich praca to rozmowy o zdrowiu, poglądach czy orientacji, często bardzo osobiste i intymne. RODO klasyfikuje takie informacje jako dane wrażliwe, czyli te, które wymagają wyjątkowej ostrożności. 

Dane te, ze względu na ich szczególny charakter, są objęte dodatkowymi wymogami ochrony. RODO z zasady zakazuje ich przetwarzania, chyba że istnieje wyraźna zgoda osoby, której dotyczą, lub zachodzą inne szczególne przesłanki (jak ochrona zdrowia, zapewnienie pomocy socjalnej). 

W gabinecie psychologicznym danymi wrażliwymi będą przede wszystkim informacje o stanie zdrowia pacjenta oraz szczegóły omawiane podczas sesji terapeutycznych. Tu standardowa klauzula informacyjna nie wystarczy. 

Ale jak uzyskać tę wyraźną zgodę?

Zgoda pacjenta na przetwarzanie danych wrażliwych nie musi być udzielona na piśmie – można ją uzyskać ustnie, przez e-mail czy formularz online

Liczy się tylko jedno: psycholog musi być w stanie wykazać w każdym momencie, że zgodę taką uzyskał. Ważne jest, aby psycholog mógł wykazać w każdej chwili, że zgoda rzeczywiście została udzielona. Administrator danych, czyli psycholog, ma obowiązek udowodnienia uzyskania zgody, dlatego warto zadbać o jej odpowiednią dokumentację.

W praktyce najwygodniej uzyskać zgodę na piśmie lub w formie elektronicznej, co ułatwia archiwizację i późniejsze wykazanie zgody podczas kontroli. W przypadku zgód udzielanych elektronicznie pomocne może być rejestrowanie szczegółów, takich jak data, godzina oraz adres IP, z którego zgoda została wyrażona. Taka dokumentacja stanowi ważny element zgodności z RODO i potwierdza, że zgoda została uzyskana zgodnie z przepisami.

Szafy RODO zostawmy na później - czy RODO naprawdę trzeba się bać?

Istnieje przekonanie, że wdrożenie RODO wiąże się z dużymi wydatkami na stosy dokumentacji. Warto jednak mierzyć siły na zamiary – i faktyczne potrzeby. Wdrożenie procedur RODO wygląda inaczej w małym gabinecie psychologicznym, a inaczej w dużym centrum medycznym. 

Zanim zainwestujemy w „szafy RODO” i złożone procedury, skupmy się na podstawach: silne hasła, dobry menedżer haseł, dwustopniowe uwierzytelnianie, bezpieczne zapisywanie danych. Dla większości gabinetów psychologicznych to nie muszą być duże inwestycje – prosta i skuteczna ochrona wystarczy.

RODO może czasem przerażać, ale nie jest złe. Dla gabinetu psychologicznego to narzędzie budowania zaufania i zapewnienia pacjentom bezpieczeństwa. Jeśli skoncentrujemy się na podstawach – jasnych zgodach, bezpiecznych hasłach i przemyślanym przetwarzaniu danychRODO okaże się sprzymierzeńcem, a nie przeszkodą.

Pigułka wiedzy po przeczytaniu artykułu:

  • Dane zwykłe a dane wrażliwe: Dane kontaktowe, takie jak imię, nazwisko i numer telefonu, są danymi zwykłymi, natomiast informacje o stanie zdrowia psychicznego czy historii leczenia to dane wrażliwe i wymagają szczególnej ochrony.

  • Klauzula informacyjna: Przy przetwarzaniu danych zwykłych wystarczy klauzula informacyjna, która informuje pacjenta o zakresie i celu przetwarzania danych.

  • Wyraźna zgoda na dane wrażliwe: Przetwarzanie danych wrażliwych, takich jak stan zdrowia pacjenta, wymaga wyraźnej, świadomej zgody pacjenta, która musi być dobrowolna i jednoznaczna.

  • Prawo do wycofania zgody: Pacjent ma prawo w dowolnym momencie wycofać swoją zgodę na przetwarzanie danych, bez wpływu na zgodność z prawem wcześniejszego przetwarzania.

  • Zasada proporcjonalności i adekwatności: RODO wymaga, aby przetwarzanie danych było dostosowane do skali i specyfiki działalności, co oznacza, że jednoosobowy gabinet psychologiczny nie potrzebuje rozbudowanych procedur – wystarczą podstawowe dokumenty i środki ochrony.

  • Budowanie zaufania: Przestrzeganie zasad RODO nie tylko spełnia wymogi prawne, ale także wzmacnia relację z pacjentem, budując zaufanie i zapewniając poczucie bezpieczeństwa.

Lista „to-do” dla psychologa w zakresie RODO:

  • Przygotuj klauzulę informacyjną – w jasny sposób określ, kto jest administratorem danych, w jakim celu przetwarzasz dane zwykłe (kontaktowe) pacjenta oraz jakie prawa mu przysługują.

  • Uzyskaj wyraźną zgodę na przetwarzanie danych wrażliwych – przy rozpoczęciu konsultacji poinformuj pacjenta o celu przetwarzania danych dotyczących jego zdrowia psychicznego i historii leczenia, a następnie uzyskaj pisemną zgodę.

  • Ogranicz gromadzenie danych do minimum – zbieraj i przechowuj tylko te dane, które są absolutnie niezbędne do prowadzenia terapii i kontaktu z pacjentem.

  • Zabezpiecz dane pacjentów – zadbaj o to, aby dane były przechowywane w sposób bezpieczny i dostępne wyłącznie dla osób upoważnionych.

  • Stosuj zasadę proporcjonalności – dopasuj zakres działań w zakresie RODO do wielkości gabinetu; nie potrzebujesz od razu rozbudowanych procedur, lecz podstawowych zabezpieczeń i klarownych informacji dla pacjentów.

Udostępnij

Spis treści

  1. Co to są dane osobowe?
  2. Klauzula informacyjna i dane zwykłe – co trzeba wiedzieć?
  3. Dlaczego wystarczy klauzula, a nie zgoda?
  4. A co z przetwarzaniem danych wrażliwych?
  5. Ale jak uzyskać tę wyraźną zgodę?
  6. Szafy RODO zostawmy na później - czy RODO naprawdę trzeba się bać?
Opublikowano22.11.2024
Udostępnij

Komentarze (0)