Spośród wszystkich prawnych wymogów, jakie spoczywają na przedsiębiorcach, to właśnie RODO osiągnęło status „gwiazdy” – budzi respekt, a często i lęk. U niektórych wywołuje dreszcze, inni boją się go bardziej niż samej inspekcji. Ale czy naprawdę jest się czego bać?
Ochrona danych to przede wszystkim kwestia zdrowego rozsądku, a nie stosów dokumentów. Przestrzeganie kilku prostych zasad może uczynić RODO sprzymierzeńcem terapeuty, pomagając zbudować zaufanie pacjentów bez zbędnych komplikacji. Jedną z nich jest to, że bezpieczeństwo danych klienta zaczyna się od codziennych praktyk – a „szafy RODO” zostawmy na razie na półce.
RODO dla psychologa - co to są dane osobowe?
Dane osobowe to wszelkie informacje, które mogą prowadzić do zidentyfikowania konkretnej osoby. Nie ma co się oszukiwać, to nie tylko imię, nazwisko i PESEL. Czasem wystarczy adres e-mail, numer telefonu albo nawet to, jak w codziennych rozmowach opowiadamy o kimś, kogo znamy. RODO mówi jasno – jeśli da się kogoś zidentyfikować na podstawie informacji, to są to dane osobowe (art. 4 pkt 1 RODO).
Cała sztuka polega na tym, by nie gromadzić ich na wszelki wypadek. Zbieramy tylko to, co naprawdę jest potrzebne do prowadzenia terapii i nic ponadto. W gabinecie psychologicznym stosowanie RODO oznacza konieczność przestrzegania kilku zasad: minimalizacji, ograniczenia celu i poufności. Dane należy przetwarzać tylko w zakresie niezbędnym do realizacji usług i przechowywać je w sposób bezpieczny, dbając o to, aby były dostępne wyłącznie dla osób upoważnionych. Dzięki temu ochrona danych to realna praktyka, a nie formalny, smutny obowiązek.
RODO dla psychologa - klauzula informacyjna i dane zwykłe
Dane osobowe w gabinecie psychologicznym to nie tylko delikatne informacje o stanie zdrowia czy emocjach pacjenta. Są też te zwykłe dane – imię, nazwisko, numer telefonu, e-mail, czasem adres. Niby nic wielkiego, ale i one wymagają odpowiedniego podejścia. RODO mówi wprost: jeśli przetwarzamy dane, musimy poinformować pacjenta, dlaczego to robimy, co z tymi danymi się stanie i jakie prawa ma pacjent w związku z ich przetwarzaniem. To jest właśnie główny cel klauzuli informacyjnej.
Klauzula informacyjna to „must-have” każdego gabinetu psychologicznego, i to nie tylko dlatego, że jest wymagana przepisami. To również gest w stronę pacjenta, który widzi, że traktujemy jego dane poważnie. Klauzula powinna jasno określać, kto jest administratorem danych (czyli tutaj – psycholog), w jakim celu przetwarzane są dane (na przykład w celu umówienia wizyty, prowadzenia dokumentacji), oraz jakie prawa przysługują pacjentowi.
RODO (konkretnie art. 6 ust. 1) wskazuje konkretne podstawy prawne do przetwarzania danych osobowych. Należą do nich:
a) zgoda,
b) niezbędność do wykonania umowy,
c) obowiązek prawny,
d) zadanie realizowane w interesie publicznym,
e) ochrona żywotnych interesów osoby, oraz
f) prawnie uzasadniony interes administratora.
Jeśli spełniona jest jedna z tych przesłanek, administrator ma prawo do przetwarzania danych osobowych. W przypadku „zwykłych” danych, takich jak imię, nazwisko, adres czy telefon, które są potrzebne do zawarcia i realizacji umowy – np. umowy o świadczenie usług psychologicznych – zgoda nie jest wymagana, ponieważ dane te przetwarza się w celu realizacji umowy zawartej z pacjentem. Wystarczy, że psycholog poinformuje pacjenta o przetwarzaniu tych danych i celu ich użycia, co pozwala uniknąć nadmiaru formalności przy jednoczesnym zapewnieniu pacjentowi informacji o przetwarzaniu.
RODO dla psychologa - dane wrażliwe
Dane wrażliwe, znane również jako szczególne kategorie danych osobowych, to informacje, które wymagają szczególnej ochrony ze względu na ich charakter i potencjalne ryzyko naruszenia prywatności. RODO definiuje dane wrażliwe jako takie, które dotyczą m.in. zdrowia, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych, przynależności do związków zawodowych, orientacji seksualnej, a także danych genetycznych i biometrycznych używanych do identyfikacji osoby (art. 9 RODO).
Psychologowie i psychoterapeuci mają trochę trudniejsze zadanie. W końcu cała ich praca to rozmowy o zdrowiu, poglądach czy orientacji często bardzo osobiste i intymne. RODO klasyfikuje takie informacje jako dane wrażliwe czyli te, które wymagają wyjątkowej ostrożności. Dane te, ze względu na ich szczególny charakter, są objęte dodatkowymi wymogami ochrony. RODO z zasady zakazuje ich przetwarzania, chyba że istnieje wyraźna zgoda osoby, której dotyczą, lub zachodzą inne szczególne przesłanki (jak ochrona zdrowia, zapewnienie pomocy socjalnej). W gabinecie psychologicznym danymi wrażliwymi będą przede wszystkim informacje o stanie zdrowia pacjenta oraz szczegóły omawiane podczas sesji terapeutycznych. Tu standardowa klauzula informacyjna nie wystarczy
Jak uzyskać zgodę na przetwarzanie danych wrażliwych?
Zgoda pacjenta na przetwarzanie danych wrażliwych nie musi być udzielona na piśmie – można ją uzyskać ustnie, przez e-mail czy formularz online. Liczy się tylko jedno: psycholog musi być w stanie wykazać w każdym momencie, że zgodę taką uzyskał. Administrator danych (w tym wypadku psycholog) , ma obowiązek udowodnienia uzyskania zgody, dlatego warto zadbać o jej odpowiednią dokumentację.
W praktyce najwygodniej uzyskać zgodę na piśmie lub w formie elektronicznej, co ułatwia archiwizację i późniejsze wykazanie zgody podczas kontroli. W przypadku zgód udzielanych elektronicznie pomocne może być rejestrowanie szczegółów, takich jak data, godzina oraz adres IP, z którego zgoda została wyrażona. Taka dokumentacja stanowi ważny element zgodności z RODO i potwierdza, że zgoda została uzyskana zgodnie z przepisami.
Czy RODO dla psychologa należy się bać?
Istnieje przekonanie, że wdrożenie RODO wiąże się z dużymi wydatkami na stosy dokumentacji. Warto jednak mierzyć siły na zamiary – i faktyczne potrzeby. Wdrożenie procedur RODO wygląda inaczej w małym gabinecie psychologicznym, a inaczej w dużym centrum medycznym. Zanim zainwestujemy w „szafy RODO” i złożone procedury, skupmy się na podstawach: silne hasła, dobry menedżer haseł, dwustopniowe uwierzytelnianie, bezpieczne zapisywanie danych. Dla większości gabinetów psychologicznych to nie muszą być duże inwestycje – prosta i skuteczna ochrona wystarczy.
RODO może czasem przerażać, ale nie jest złe. Dla gabinetu psychologicznego to narzędzie budowania zaufania i zapewnienia pacjentom bezpieczeństwa. Jeśli skoncentrujemy się na podstawach – jasnych zgodach, bezpiecznych hasłach i przemyślanym przetwarzaniu danych – RODO okaże się sprzymierzeńcem, a nie przeszkodą.
RODO dla psychologa - lista "to do"
Przygotuj klauzulę informacyjną – w jasny sposób określ, kto jest administratorem danych, w jakim celu przetwarzasz dane zwykłe (kontaktowe) pacjenta, oraz jakie prawa mu przysługują.
Uzyskaj wyraźną zgodę na przetwarzanie danych wrażliwych – przy rozpoczęciu terapii poinformuj pacjenta o celu przetwarzania danych dotyczących jego zdrowia psychicznego i historii leczenia, a następnie uzyskaj pisemną zgodę.
Ogranicz gromadzenie danych do minimum – zbieraj i przechowuj tylko te dane, które są absolutnie niezbędne do prowadzenia terapii i kontaktu z pacjentem.
Zabezpiecz dane pacjentów – zadbaj o to, aby dane były przechowywane w sposób bezpieczny i dostępne wyłącznie dla osób upoważnionych.
Stosuj zasadę proporcjonalności – dopasuj zakres działań w zakresie RODO do wielkości gabinetu; nie potrzebujesz od razu rozbudowanych procedur, lecz podstawowych zabezpieczeń i klarownych informacji dla pacjentów.
