
Ogólne rozporządzenie o ochronie danych czyli RODO, które będzie obowiązywać od 25 maja 2018 r., wprowadza nowe prawa dla osób, których dane dotyczą, a także nowe obowiązki dla firm, które je przetwarzają. W tym artykule dowiesz się jak powinno wyglądać wdrożenie RODO w gabinecie psychologicznym.
RODO w gabinecie psychologicznym

Psycholog, terapeuta, coach – niewątpliwie w codziennej pracy będzie mieć do czynienia z danymi osobowymi klientów lub pacjentów.
Dane osobowe to bowiem wszelkie informacje, które bez nadmiernego czasu i kosztów pozwolą na zidentyfikowanie konkretnej osoby fizycznej.
Warto się temu bliżej przyjrzeć, gdyż w przypadku twojej specjalizacji mogą pojawić się dodatkowo dane wrażliwe, którym przyznano szczególną ochronę. Za takie szczególne kategorie danych zostanie uznana każda informacja, którą można powiązać ze stanem zdrowia psychicznego lub fizycznego, seksualnością lub orientacją seksualną danej osoby.
Ponadto, wśród danych wrażliwych znajdują się także informacje ujawniające pochodzenie rasowe lub etniczne, podglądy polityczne lub przynależność do związków zawodowych, przekonania religijne lub światopoglądowe, dane genetyczne, biometryczne, skazania lub naruszenia prawa.
W związku z tym, przeanalizowałam dla Ciebie te z nich, które są nowe i najistotniejsze w tym właśnie kontekście.
Kim jest Inspektor Ochrony Danych
Największe wątpliwości i zarazem obawy wzbudza obecnie obowiązek wyznaczenia Inspektora Ochrony Danych. Jest to nowa rola przewidziana przepisami rozporządzenia. Inspektor to inaczej osoba nadzorująca przestrzeganie RODO w firmie lub instytucji, w której została powołana.
Dlaczego ten wątek jest istotny w twojej praktyce? Jednym z przypadków, w którym będzie obowiązkowe jej powołanie dotyczy przetwarzania danych wrażliwych w sytuacji, gdy jest to niezbędne do prowadzenia działalności.
Inaczej mówiąc – bez danych wrażliwych nie moglibyście prowadzić praktyki, wykonywać zawodu. I tak może być w Twoim przypadku. Jednak to czy ten obowiązek faktycznie wystąpi, uzależnione jest jeszcze od jednego, najważniejszego kryterium – skali twojego działania.
Co oznacza duża skala działania? Jak to ocenić?
To już nieco trudniejsza sprawa, gdyż przepisy jasno tego nie precyzują. Zostały jedynie wypracowane pewne wskazówki, na których możemy się oprzeć dokonując indywidualnej analizy. Rozważając skalę działania, należy wziąć pod uwagę takie czynniki, jak:
- liczba osób, których dane dotyczą,
- zakres przetwarzanych danych,
- okres, przez jaki dane są przetwarzane,
- zakres geograficzny naszego działania.

Ocena podlegania obowiązkowi wyznaczenia Inspektora ma zostać dokonana indywidualnie. Musi być ona wykonana przez podmioty prowadzące działalność związaną z przetwarzaniem danych wrażliwych. I tak, przetwarzaniem na małą skalę uznaje się np. przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza, specjalistę.
Do dużej skali zaliczyć można natomiast przetwarzanie danych pacjentów przez szpital lub przychodnię. Jeśli w twojej praktyce bliżej jest Ci do przykładu małej skali – możesz spać spokojnie. Nie będzie w takim wypadku potrzeby wyznaczania Inspektora Ochrony Danych.
Jeśli jednak uznasz, że skala twojego działania jest zdecydowanie bliżej przychodni lub szpitala, to tutaj z pewnością musisz dokładnie przeanalizować czy ten obowiązek faktycznie wystąpi. Dodatkowo, analizę podlegania obowiązkowi wyznaczenia osoby do nadzorowania przepisów należy powtarzać. Należy to robić, ponieważ może zmienić się liczba osób, zasięg działania czy zakres danych, które przetwarzasz.
RODO w gabinecie psychologicznym – Rejestr czynności przetwarzania
Prowadzenie rejestru, w którym będziesz szczegółowo rozliczać się danych, jakie przetwarzasz, w jakim celu i komu mogą zostać udostępnione. Jest to kolejny nowy obowiązek z RODO.
Prowadzenie rejestru zastąpi obowiązek zgłaszania zbiorów do GIODO.

Teraz każdy podmiot ma samodzielnie prowadzić wykaz czynności. Wykaz taki dokonuje się na danych osobowych i należy okazać go na wypadek kontroli. Małe przedsiębiorstwa (wg RODO poniżej 250 osób zatrudnionych) są zwolnione z tego obowiązku. Niestety w przypadku przetwarzania danych wrażliwych takiej taryfy ulgowej już nie ma. Bez znaczenia jest wówczas liczba zatrudnionych. Rejestr będzie trzeba prowadzić zawsze, jeśli przetwarzasz w twojej działalności jakiekolwiek informacje, które będzie można uznać za dane wrażliwe.
Podejście oparte na ryzyku i ocena skutków
Teraz każdy podmiot ma samodzielnie oszacować to, jakie ryzyka związane z przetwarzaniem danych mogą u niego wystąpić. Następnie, powinien oszacować skutki i prawdopodobieństwo ich wystąpienia. A na sam koniec zastanowić się nad tym, jakie działania wprowadzić, aby zminimalizować to ryzyko. A tych, szczególnie ze względu na dane wrażliwe, w twojej praktyce nie brakuje.
Dlaczego?
Przetwarzanie danych wrażliwych, chociażby tych o stanie zdrowia psychicznego lub fizycznego, niesie za sobą dużo większe ryzyko naruszenia praw lub wolności osoby fizycznej, niż ma to miejsce w przypadku innych danych.
Analiza ryzyka ma przynieść odpowiedź na pytanie, jakie zabezpieczenia musisz wdrożyć, aby dane osobowe twoich klientów i pacjentów były u ciebie bezpieczne.
Środki organizacyjne we wdrażaniu RODO
Możesz stosować środki organizacyjne, czyli zasady postępowania, procedury lub instrukcje, a także środki techniczne – zabezpieczenia fizyczne, informatyczne.

Obecnie, zgodnie z podejściem opartym na ryzyku, to, co wybierzemy do ochrony danych ma być adekwatne, gdyż inne zabezpieczenia mogą być potrzebne w przypadku e-sklepu, inne w Twojej praktyce, a jeszcze inne w szpitalu. Dlatego taki nacisk kładzie się na analizowanie sytuacji i zagrożeń.
Z jednej strony jest to duża elastyczność, z drugiej jednak jednocześnie sprawia sporą trudność w ustaleniu tego, co jest w konkretnym przypadku faktycznie adekwatnym zabezpieczeniem. A jeśli zdarzy się, że dojdzie do naruszenia danych osobowych, pojawia się jeszcze dodatkowy obowiązek – zgłoszenie tego do GIODO.
Informowanie o naruszeniu ochrony danych
Każde zdarzenie ujawnienia, udostępnienia lub zabrania danych osobowych przez osoby nieupoważnione będzie naruszeniem. Nie ma przy tym znaczenia czy przetwarzanie odbywa się w sposób tradycyjny, czy w systemie informatycznym.
Teraz naruszenie będzie musiało zostać zgłoszone do GIODO w ciągu 72h od chwili jego stwierdzenie. Jednak tylko w przypadku, gdy będzie niosło za sobą wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Takim wysokim ryzykiem jest np. ujawnienie danych, w wyniku którego osoba poniesie szkodą fizyczną lub psychiczną, albo poprzez udostępnienie danych na temat jej stanu zdrowia innym osobom jej choroba pogłębi się, pojawią się dodatkowe problemy ze zdrowiem, zaburzenia lub depresja.
Wysokie ryzyko to również:
- naruszenie dobrego imienia,
- naruszenie poufności danych objętych tajemnicą zawodową
- kradzież tożsamości
- lub utrata kontroli nad własnymi danymi.

Jeśli choć jeden z tych przypadków się wydarzy, Twoim obowiązkiem będzie zgłoszenie tego faktu do GIODO i poinformowanie o tym także osoby, której dane dotyczą. Tutaj mogą pojawiać się także dodatkowe konsekwencje.
RODO – jakie kary
Oprócz kary grzywny (zgodnie z RODO nawet do 20 mln euro!), osobie tej będzie przysługiwać dodatkowo odszkodowanie za naruszenie. Nie tylko więc GIODO się o tym dowie, ale także inne osoby, przez co możliwe jest, że utracimy dobre imię lub markę, której klienci i pacjenci będą obawiać się ponownie zaufać.
Naruszenia nie zgłasza się GIODO, ani osobie której dane dotyczą, jeśli będziesz w stanie wykazać, że jest mało prawdopodobne, by doszło do naruszenia praw lub wolności osób fizycznych. Udowodnisz, że wprowadzono takie zabezpieczenia, które uniemożliwią zapoznanie się informacjami, nawet jeśli trafią w niepowołane ręce.
Na co jeszcze zwrócić uwagę w swojej praktyce
RODO wymaga od nas rozliczalności, transparentności działania, samodzielnego analizowania zagrożeń i metod zabezpieczenia.
- RODO w gabinecieProdukt w promocji497.00zł
RODO w gabinecie psychologicznym – podsumowanie
Mamy traktować ochronę danych jako nieodzowny element naszej działalności. Dlatego jednym z obowiązków jest nadal posiadanie polityk wewnętrznych, które będą opisywały to jakie środki organizacyjne i techniczne zastosowaliśmy. Mamy wykazać się nimi w praktyce. I na bieżąco aktualizować, analizować i wprowadzać kolejne zabezpieczenia, jeśli okaże się, że wcześniej nie były jednak wystarczające.

Sylwia Templin – Świtała.
Trener i wykładowca. Inspektor ochrony danych w branży farmaceutyczno-medycznej, a także audytor wiodący normy ISO/IEC 27001 związanej z bezpieczeństwem informacji. Pomaga przedsiębiorcom we wdrożeniu zasad ochrony danych osobowych. Uczy jak sprawnie i niewielkim kosztem dostosować biznes do RODO. Jej motto brzmi: „Ochrona danych nie musi być trudna, jeśli masz odpowiednie wsparcie”.
Dzień dobry,
mam pewną wątpliwośc dotyczącą konieczności zgłoszenia naruszenia do Organu nadzorczego. RODO mówi bowiem o obowiązku zgłoszenia w przypadku gdy prawdopodobieństwo naruszenia praw jest wyższe niż małe. Natomiast w przypadku poinformowania osoby, której uchybienie dotyczy RODO posługuje się pojęciem wysokiego ryzyka. Czy jednak oba te pojęcia nie są od siebie różne?
W artykule jest jednak mowa o konieczności zgłaszania do PUODO w przypadku wysokiego ryzyka. Uważam jednak, ze ten obowiązek jest również w przypadku niskiego i średniego ryzyka. Mam poczucie, że pojecie prawdopodobieństwa i ryzyka zostały uspójnione. Jeżeli się mylę, proszę o informację.
Pozdrawiam