Ochrona danych osobowych dotyczy wielu aspektów naszego życia, w tym prowadzenia działalności gospodarczej. Z tego względu zgodność z RODO jest kwestią istotną m.in. dla psychologów i psychoterapeutów. Co warto wiedzieć na ten temat?
Przetwarzanie danych wrażliwych
W gabinetach psychologicznych i psychoterapeutycznych ma miejsce przetwarzanie danych wrażliwych. Wynika to ze specyfiki pracy psychologów i psychoterapeutów, czyli świadczenia pomocy pacjentom.
Być może zastanawiasz się, czym są dane wrażliwe. Odpowiedź na to pytanie znajduje się w art. 9 ust. 1 RODO. Otóż zgodnie z tym przepisem są to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej danej osoby.
Dane, o których mowa powyżej, muszą być przetwarzane na określonej podstawie. Może nią być przepis prawa bądź zgoda osoby, której dane te dotyczą. Taką zgodę trzeba uzyskać od pacjenta jeszcze przed rozpoczęciem terapii.
Zgoda na przetwarzanie danych w gabinecie
Zgoda pacjenta jest w przypadku gabinetów psychologicznych i psychoterapeutycznych jedyną podstawą do przetwarzania danych wrażliwych. W tym kontekście warto zwrócić uwagę na jedną rzecz. Otóż placówki medyczne takie jak przychodnie, szpitale i gabinety lekarskie nie pobierają od pacjentów takich zgód. Praktyka ta jest zgodna z przepisami RODO. Podobna zasada nie istnieje w przypadku prywatnych gabinetów psychologicznych i psychoterapeutycznych. Z tego względu pamiętaj, aby od każdego nowego pacjenta pobierać zgodę na przetwarzanie danych wrażliwych. W ten sposób zabezpieczysz się nie tylko przed ewentualną skargą ze strony pacjenta, ale i przed negatywnymi skutkami kontroli Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
Bezpieczeństwo i poufność danych
Będąc psychologiem lub psychoterapeutą, powinieneś zadbać nie tylko o komfort swoich pacjentów, ale i o bezpieczeństwo oraz poufność pozyskanych danych osobowych. Jak to zrobić?
Przede wszystkim zadbaj o to, aby dane były przechowywane w odpowiedni sposób, aby zapobiec naruszeniu. Może ono polegać np. na kradzieży, zgubieniu bądź udostępnieniu danych osobom nieupoważnionym. Z tego względu warto zainwestować w metalowe i ognioodporne szafki, niszczarkę do dokumentów klasy co najmniej P3 (DIN4), firmową pocztę e-mail oraz bezpieczne narzędzia do prowadzenia sesji online. W przypadku dwóch ostatnich elementów warto zadbać o to, aby były to płatne wersje. Warto pamiętać, że popularne bezpłatne komunikatory oferowane przez nieodpłatne serwisy, platformy i social media w większości nie są uznawane przez ekspertów bezpieczeństwa sieci za zapewniające poufność w sytuacjach profesjonalnych. Darmowe narzędzia pozwalają zaoszczędzić na kosztach prowadzenia działalności, jednakże mają istotne ograniczenia. Przede wszystkim zwykle wyłączają one odpowiedzialność dostawcy w razie naruszenia.
Obowiązek informacyjny
Zgodnie z art. 13 RODO niezbędne jest poinformowanie pacjentów o fakcie przetwarzania danych osobowych. Chodzi tutaj o tzw. klauzulę RODO, która powinna zawierać takie informacje jak np. imię i nazwisko psychologa lub psychoterapeuty, cele przetwarzania danych, a także prawa pacjenta wynikające z RODO.
Jeżeli masz swoją stronę internetową, to należy przygotować politykę prywatności oraz politykę cookies, z którymi każdy pacjent będzie mógł się zapoznać. Ponadto powinieneś przygotować wersję polityki w tradycyjnej, papierowej formie dostępną dla pacjentów w gabinecie.
O czym jeszcze należy pamiętać?
Zarówno psycholog, jak i psychoterapeuta, powinien mieć przygotowane również inne dokumenty niż tylko polityka prywatności i zgoda na przetwarzanie danych osobowych. Niektórzy jednak o nich zapominają, ponieważ nie są one przedkładane pacjentom, a sporządza się je na wypadek kontroli. O czym więc jeszcze musisz pamiętać?
W kontekście powyższego wskazać należy na następujące dokumenty:
- rejestr czynności przetwarzania danych – w dokumencie tym prowadzone jest zestawienie czynności, które dotyczą danych pacjentów oraz pracowników lub współpracowników;
- analiza ryzyka dotycząca danych pacjentów i pracowników lub współpracowników;
- procedury bezpieczeństwa danych, instrukcje IT, a także postępowanie w przypadku naruszenia danych;
- upoważnienia do przetwarzania danych dla pracowników oraz współpracowników;
- umowy powierzenia przetwarzania danych, np. z biurem rachunkowym.
Zaniedbania w tym zakresie mogą skutkować karami nałożonymi przez PUODO. Niekiedy bywają one naprawdę dotkliwe, z tego względu warto więc zadbać o to, aby wszystkie formalności zostały dopełnione.
Ochrona danych osobowych to niezwykle ważna rzecz w gabinecie każdego psychologa i psychoterapeuty. Zapewnienie odpowiednich standardów pomaga pacjentom poczuć się pewniej i bezpieczniej. Co więcej, jeżeli przestrzegasz wszystkich procedur i wymogów RODO, wówczas nie musisz obawiać się ewentualnej kontroli.
Jeśli potrzebujesz konsultacji prawnej, przygotowania lub zaopiniowania dokumentacji lub wsparcia w sprawach roszczeń lub kontroli w zakresie RODO skontaktuj się ze mną. Oferuję kompleksową pomoc prawną dla przedsiębiorców, w tym dla psychologów i psychoterapeutów prowadzących działalność gospodarczą lub własne ośrodki. Reprezentuję również moich klientów przed sądami i organami administracji na każdym etapie postępowania.
Treści zamieszczone na blogu maja charakter informacyjno-edukacyjny i nie można ich traktować jako porady prawnej w Twojej konkretnej sprawie. Każdy konkretny przypadek powinien być bowiem przeanalizowany indywidualnie, z uwzględnieniem szczegółowych jego okoliczności i związanych z nim faktów, które mogą mieć istotny wpływ na wybór najbardziej adekwatnego w danym przypadku sposobu postępowania.
