W gabinecie psychologicznym ochrona danych to przede wszystkim kwestia zdrowego rozsądku, a nie stosów dokumentów. Przestrzeganie kilku prostych zasad może uczynić RODO sprzymierzeńcem terapeuty, pomagając zbudować zaufanie pacjentów bez zbędnych komplikacji. Jedną z nich jest to, że bezpieczeństwo danych klienta zaczyna się od codziennych praktyk – a „szafy RODO” zostawmy na razie na półce.
Dane osobowe to wszelkie informacje, które mogą prowadzić do zidentyfikowania konkretnej osoby. Nie ma co się oszukiwać, to nie musi być imię, nazwisko i PESEL. Czasem wystarczy adres e-mail, numer telefonu albo nawet to, jak w codziennych rozmowach opowiadamy o kimś, kogo znamy. RODO mówi jasno – jeśli da się kogoś zidentyfikować na podstawie informacji, to są to dane osobowe (art. 4 pkt 1 RODO).
Cała sztuka polega na tym, by nie gromadzić ich na wszelki wypadek. Zbieramy tylko to, co naprawdę jest potrzebne do prowadzenia terapii i nic ponadto.
W gabinecie psychologicznym stosowanie RODO oznacza konieczność przestrzegania kilku fundamentalnych zasad:
minimalizacji,
ograniczenia celu i poufności.
Dane należy przetwarzać tylko w zakresie niezbędnym do realizacji usług i przechowywać je w sposób bezpieczny, dbając o to, aby były dostępne wyłącznie dla osób upoważnionych. Dzięki temu ochrona danych staje się realną praktyką, a nie wyłącznie formalnym obowiązkiem.
Dane osobowe w gabinecie psychologicznym to nie tylko delikatne informacje o stanie zdrowia czy emocjach pacjenta. Są też te zwykłe dane – imię, nazwisko, numer telefonu, e-mail, czasem adres. Niby nic wielkiego, ale i one wymagają odpowiedniego podejścia.
RODO mówi wprost: jeśli przetwarzamy dane, musimy poinformować pacjenta:
- dlaczego to robimy,
- co z tymi danymi się stanie,
- jakie prawa ma pacjent w związku z ich przetwarzaniem.
Taki właśnie jest cel klauzuli informacyjnej.
Klauzula informacyjna to taki „must-have” każdego gabinetu psychologicznego i to nie tylko dlatego, że jest wymagana przepisami. To również gest w stronę pacjenta, który widzi, że traktujemy jego dane poważnie.
Klauzula powinna jasno określać, kto jest administratorem danych (czyli tutaj – psycholog lub jego gabinet), w jakim celu przetwarzane są dane (na przykład w celu umówienia wizyty, prowadzenia dokumentacji), oraz jakie prawa przysługują pacjentowi. Ważne jest, aby klauzula była napisana prostym językiem, bez zbędnych prawniczych sformułowań, bo przecież chodzi o to, żeby pacjent zrozumiał, co się dzieje z jego danymi.
RODO (art. 6 ust. 1) wskazuje sześć podstaw prawnych do przetwarzania danych osobowych, w tym:
a) zgoda,
b) niezbędność do wykonania umowy,
c) obowiązek prawny,
d) zadanie realizowane w interesie publicznym,
e) ochrona żywotnych interesów osoby,
f) prawnie uzasadniony interes administratora.
Jeśli spełniona jest jedna z tych przesłanek, administrator ma prawo do przetwarzania danych osobowych.
W przypadku „zwykłych” danych, takich jak imię, nazwisko, adres czy telefon, które są potrzebne do zawarcia i realizacji umowy – np. umowy o świadczenie usług psychologicznych – zgoda nie jest wymagana, ponieważ dane te przetwarza się w celu realizacji umowy zawartej z pacjentem. Wystarczy, że psycholog poinformuje pacjenta o przetwarzaniu tych danych i celu ich użycia, co pozwala uniknąć nadmiaru formalności przy jednoczesnym zapewnieniu pacjentowi informacji o przetwarzaniu.
Dane wrażliwe, znane również jako szczególne kategorie danych osobowych, to informacje, które wymagają szczególnej ochrony ze względu na ich charakter i potencjalne ryzyko naruszenia prywatności.
RODO definiuje dane wrażliwe jako takie, które dotyczą m.in. zdrowia, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych, przynależności do związków zawodowych, orientacji seksualnej, a także danych genetycznych i biometrycznych używanych do identyfikacji osoby (art. 9 RODO).
Psychologowie i psychoterapeuci mają trochę trudniejsze zadanie. W końcu cała ich praca to rozmowy o zdrowiu, poglądach czy orientacji, często bardzo osobiste i intymne. RODO klasyfikuje takie informacje jako dane wrażliwe, czyli te, które wymagają wyjątkowej ostrożności.
Dane te, ze względu na ich szczególny charakter, są objęte dodatkowymi wymogami ochrony. RODO z zasady zakazuje ich przetwarzania, chyba że istnieje wyraźna zgoda osoby, której dotyczą, lub zachodzą inne szczególne przesłanki (jak ochrona zdrowia, zapewnienie pomocy socjalnej).
W gabinecie psychologicznym danymi wrażliwymi będą przede wszystkim informacje o stanie zdrowia pacjenta oraz szczegóły omawiane podczas sesji terapeutycznych. Tu standardowa klauzula informacyjna nie wystarczy.
Zgoda pacjenta na przetwarzanie danych wrażliwych nie musi być udzielona na piśmie – można ją uzyskać ustnie, przez e-mail czy formularz online.
Liczy się tylko jedno: psycholog musi być w stanie wykazać w każdym momencie, że zgodę taką uzyskał. Ważne jest, aby psycholog mógł wykazać w każdej chwili, że zgoda rzeczywiście została udzielona. Administrator danych, czyli psycholog, ma obowiązek udowodnienia uzyskania zgody, dlatego warto zadbać o jej odpowiednią dokumentację.
W praktyce najwygodniej uzyskać zgodę na piśmie lub w formie elektronicznej, co ułatwia archiwizację i późniejsze wykazanie zgody podczas kontroli. W przypadku zgód udzielanych elektronicznie pomocne może być rejestrowanie szczegółów, takich jak data, godzina oraz adres IP, z którego zgoda została wyrażona. Taka dokumentacja stanowi ważny element zgodności z RODO i potwierdza, że zgoda została uzyskana zgodnie z przepisami.
Istnieje przekonanie, że wdrożenie RODO wiąże się z dużymi wydatkami na stosy dokumentacji. Warto jednak mierzyć siły na zamiary – i faktyczne potrzeby. Wdrożenie procedur RODO wygląda inaczej w małym gabinecie psychologicznym, a inaczej w dużym centrum medycznym.
Zanim zainwestujemy w „szafy RODO” i złożone procedury, skupmy się na podstawach: silne hasła, dobry menedżer haseł, dwustopniowe uwierzytelnianie, bezpieczne zapisywanie danych. Dla większości gabinetów psychologicznych to nie muszą być duże inwestycje – prosta i skuteczna ochrona wystarczy.
RODO może czasem przerażać, ale nie jest złe. Dla gabinetu psychologicznego to narzędzie budowania zaufania i zapewnienia pacjentom bezpieczeństwa. Jeśli skoncentrujemy się na podstawach – jasnych zgodach, bezpiecznych hasłach i przemyślanym przetwarzaniu danych – RODO okaże się sprzymierzeńcem, a nie przeszkodą.
Dane zwykłe a dane wrażliwe: Dane kontaktowe, takie jak imię, nazwisko i numer telefonu, są danymi zwykłymi, natomiast informacje o stanie zdrowia psychicznego czy historii leczenia to dane wrażliwe i wymagają szczególnej ochrony.
Klauzula informacyjna: Przy przetwarzaniu danych zwykłych wystarczy klauzula informacyjna, która informuje pacjenta o zakresie i celu przetwarzania danych.
Wyraźna zgoda na dane wrażliwe: Przetwarzanie danych wrażliwych, takich jak stan zdrowia pacjenta, wymaga wyraźnej, świadomej zgody pacjenta, która musi być dobrowolna i jednoznaczna.
Prawo do wycofania zgody: Pacjent ma prawo w dowolnym momencie wycofać swoją zgodę na przetwarzanie danych, bez wpływu na zgodność z prawem wcześniejszego przetwarzania.
Zasada proporcjonalności i adekwatności: RODO wymaga, aby przetwarzanie danych było dostosowane do skali i specyfiki działalności, co oznacza, że jednoosobowy gabinet psychologiczny nie potrzebuje rozbudowanych procedur – wystarczą podstawowe dokumenty i środki ochrony.
Budowanie zaufania: Przestrzeganie zasad RODO nie tylko spełnia wymogi prawne, ale także wzmacnia relację z pacjentem, budując zaufanie i zapewniając poczucie bezpieczeństwa.
Przygotuj klauzulę informacyjną – w jasny sposób określ, kto jest administratorem danych, w jakim celu przetwarzasz dane zwykłe (kontaktowe) pacjenta oraz jakie prawa mu przysługują.
Uzyskaj wyraźną zgodę na przetwarzanie danych wrażliwych – przy rozpoczęciu konsultacji poinformuj pacjenta o celu przetwarzania danych dotyczących jego zdrowia psychicznego i historii leczenia, a następnie uzyskaj pisemną zgodę.
Ogranicz gromadzenie danych do minimum – zbieraj i przechowuj tylko te dane, które są absolutnie niezbędne do prowadzenia terapii i kontaktu z pacjentem.
Zabezpiecz dane pacjentów – zadbaj o to, aby dane były przechowywane w sposób bezpieczny i dostępne wyłącznie dla osób upoważnionych.
Stosuj zasadę proporcjonalności – dopasuj zakres działań w zakresie RODO do wielkości gabinetu; nie potrzebujesz od razu rozbudowanych procedur, lecz podstawowych zabezpieczeń i klarownych informacji dla pacjentów.
Komentarze (0)