RODO w gabinecie psychologicznym – wpis gościnny

Ogólne rozporządzenie o ochronie danych czyli RODO obowiązuje od 25 maja 2018 r., – RODO wprowadza nowe prawa dla osób, których dane dotyczą, a także nowe obowiązki dla firm, które je przetwarzają. W tym artykule dowiesz się jak powinno wyglądać wdrożenie RODO w gabinecie psychologicznym.

RODO w gabinecie psychologicznym

Psycholog, terapeuta, coach – niewątpliwie w codziennej pracy będzie mieć do czynienia z danymi osobowymi klientów lub pacjentów.
Dane osobowe to bowiem wszelkie informacje, które bez nadmiernego czasu i kosztów pozwolą na zidentyfikowanie konkretnej osoby fizycznej.

Warto się temu bliżej przyjrzeć, gdyż w przypadku twojej specjalizacji będą pojawiać się dodatkowo dane wrażliwe, którym przyznano szczególną ochronę. Za takie szczególne kategorie danych zostanie uznana każda informacja, którą można powiązać ze stanem zdrowia psychicznego lub fizycznego, seksualnością lub orientacją seksualną danej osoby.

Ponadto, wśród danych wrażliwych znajdują się także informacje ujawniające pochodzenie rasowe lub etniczne, podglądy polityczne lub przynależność do związków zawodowych, przekonania religijne lub światopoglądowe, dane genetyczne, biometryczne, skazania lub naruszenia prawa.

W związku z tym, przeanalizowałam dla Ciebie te z nich, które są nowe i najistotniejsze w tym właśnie kontekście.

Kim jest Inspektor Ochrony Danych

Największe wątpliwości  i zarazem obawy wzbudza obecnie obowiązek wyznaczenia Inspektora Ochrony Danych. Jest to nowa rola przewidziana przepisami rozporządzenia. Inspektor to inaczej osoba nadzorująca przestrzeganie RODO w firmie lub instytucji, w której została powołana.

Dlaczego ten wątek jest istotny w twojej praktyce? Jednym z przypadków, w którym będzie obowiązkowe jego powołanie jest przetwarzanie danych wrażliwych jako główna działalność .

Inaczej mówiąc – bez danych wrażliwych nie moglibyście prowadzić praktyki, wykonywać zawodu. I tak niewątpliwie jest w Twoim przypadku. Dane o stanie zdrowia psychicznego lub fizycznego pojawiają się w trakcie prowadzonej terapii. Jednak to czy obowiązek powołania inspektora faktycznie wystąpi, uzależnione jest jeszcze od jednego, dodatkowego kryterium – skali twojego działania.

Co oznacza duża skala działania? Jak to ocenić?

Obowiązek powołania IOD dotyczy bowiem tylko tych praktyk, które przetwarzają dane na dużą skalę. Jak więc ocenić skalę?

To już nieco trudniejsza sprawa, gdyż przepisy jasno tego nie precyzują. Zostały jedynie wypracowane pewne wskazówki, na których możemy się oprzeć dokonując indywidualnej analizy. Rozważając skalę działania, należy wziąć pod uwagę takie czynniki, jak:

• liczba osób, których dane dotyczą,
• zakres przetwarzanych danych, czyli jakie dane przetwarzasz,
• okres, przez jaki dane są przetwarzane,
• zakres geograficzny naszego działania.

Ocena podlegania obowiązkowi wyznaczenia Inspektora powinna zostać dokonana indywidualnie przez każdą osobę, która przetwarza dane wrażliwe w ramach swojej praktyki.  Dla przykładu – przetwarzaniem na małą skalę uznaje się przetwarzanie danych pacjentów przez pojedynczego lekarza, specjalistę.

Do dużej skali zaliczyć można natomiast przetwarzanie danych pacjentów przez szpital lub przychodnię. Jeśli w twojej praktyce bliżej jest Ci do przykładu małej skali – możesz spać spokojnie. Nie będzie w takim wypadku potrzeby wyznaczania Inspektora Ochrony Danych.

Jeśli jednak uznasz, że skala twojego działania jest zdecydowanie bliżej przychodni lub szpitala, to tutaj z pewnością musisz dokładnie przeanalizować czy ten obowiązek faktycznie wystąpi. Dodatkowo, analizę podlegania obowiązkowi wyznaczenia osoby do nadzorowania przepisów należy powtarzać. Należy to robić, ponieważ może zmienić się liczba osób, zasięg działania czy zakres danych, które przetwarzasz. Za niepowołanie Inspektora Ochrony Danych, jeśli było się do tego zobowiązanym, grozi kara do 10 mln EUR lub 2% światowego obrotu za rok poprzedni, przy czym zastosowanie będzie miała zawsze wyższa kwota.

RODO w gabinecie psychologicznym – Rejestr czynności przetwarzania

Kolejny nowy obowiązek z RODO to prowadzenie rejestru czynności przetwarzania. W rejestrze będziesz szczegółowo rozliczać się z danych, jakie przetwarzasz, w jakim celu, a także komu mogą zostać udostępnione

Rejestr czynności wynika z art. 30 ust. 1 RODO i należy okazać go na wypadek kontroli z Urzędu Ochrony Danych Osobowych.  W przypadku przetwarzania danych wrażliwych taki obowiązek zawsze wystąpi. Bez znaczenia jest wówczas liczba zatrudnionych, czy skala działania. Rejestr będzie trzeba prowadzić zawsze, jeśli przetwarzasz w twojej działalności jakiekolwiek informacje, które będzie można uznać za dane osobowe.

Przykładowe czynności przetwarzana to np. prowadzenie psychoterapii pacjenta, umawianie wizyt lub konsultacji, wystawienie dokumentu księgowego, etc.

Zgoda pacjenta w gabinecie psychologicznym, a RODO.

Przetwarzanie danych osobowych o stanie zdrowia jest poddane szczególnym zasadom. Jedną z nich jest np. posiadanie odpowiedniej przesłanki prawnej, która to umożliwia. Jedną z najbardziej znanych przesłanek jest zgoda na przetwarzanie danych. Zgoda nie zawsze jest jednak potrzebna. Niektóre czynności wcale takiej zgody nie wymagają, np. wystawienie rachunku lub faktury z danymi zwykłymi klienta na jego żądanie (imię, nazwisko, adres zamieszkania). Te czynności bowiem regulują przepisy prawa krajowego – ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług. Zgody nie potrzebują też podmioty lecznicze, które przetwarzają dane pacjenta w celu prowadzenia dokumentacji medycznej na podstawie ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Jednak w przypadku osób prowadzących prywatne gabinety psychologiczne brak jest takiej jednoznacznej podstawy prawnej. W związku z tym taka zgoda na przetwarzanie danych wrażliwych w celu prowadzenia terapii pacjenta będzie Ci potrzeba.

Nie ma obowiązku pobierania zgody na piśmie. Warto jednak o to zadbać, ponieważ takie dokumenty potwierdzające zgodę, w razie kontroli UODO będą z pewnością działały na twoją korzyść.

Klauzula RODO dla pacjenta.

Klauzula RODO, zwana też informacją RODO to tak naprawdę wypełnienie przez ciebie obowiązku informacyjnego z art. 13 RODO. Ten przepis prawa nakłada bowiem na Ciebie obowiązek poinformowania pacjenta m.in. o twojej tożsamości, celu przetwarzania danych, konsekwencji niepodania danych, prawach, które przysługują tej osobie w związku z RODO, etc.

Informacja ta powinna zostać przekazana przed tym, jak pacjent przekaże Cię swoje dane. Można ten obowiązek wypełnić na stronie interetowej twojego gabinetu, w miejscu prowadzenia działalności, czy też przesyłając tę informację w mailu. Pacjent nie ma obowiązku podpisywania się pod tą informacją. Oczywiście jeśli chcesz to możesz każdą osobę poprosić o to, aby potwierdziła Ci zapoznanie się z nią. Może to być przydatne na cele dowodowe, jeśli np. dojdzie do skargi pacjenta do UODO, że taka informacja mu nie została przez ciebie udzielona.

Kurs RODO w gabinecie – wypełnienie obowiązków psychologa.

Jeśli chcesz samodzielnie wdrożyć RODO w swoim gabinecie to sprawdź koniecznie kurs online „RODO w gabinecie”, który przygotowałam z myślą o osobach, które w swojej działalności przetwarzają dane o stanie zdrowia. Znajdziesz w nim nie tylko kilkanaście lekcji online z wiedzą dedykowaną na usług z branży zdrowotnej, ale także aż 23 wzory RODO do pobrania, które pomogą Ci krok po kroku wdrożyć u siebie wszystkie wymogi.

W kursie do pobrania są między innymi takie wzory, jak:

• zgoda na przetwarzanie danych wrażliwych,
• klauzula RODO (informacja dla pacjenta) o przetwarzaniu jego danych,
• polityka prywatności na stronę internetową, dostosowana już do działalności gabinetu przetwarzającego dane o stanie zdrowia,
• trzy procedury bezpieczeństwa danych, m.in. procedura postępowania w przypadku naruszenia danych,
• arkusz analizy ryzyka dla danych wrażliwych z przykładami zagrożeń dla gabinetów działających na małą skalę,
• upoważnienia i oświadczenia dla pracowników, jeśli zatrudniasz dodatkowe osoby.

Autorem kursu online i wzorów do pobrania jest autorka artykułu.

Kurs znajdziesz u nas na stronie:

• https://mindness.pl/produkt/rodo-w-gabinecie/

Podejście oparte na ryzyku i ocena skutków

Teraz każdy podmiot ma samodzielnie oszacować to, jakie ryzyka związane z przetwarzaniem danych mogą u niego wystąpić. Następnie, powinien oszacować skutki i prawdopodobieństwo ich wystąpienia. A na sam koniec zastanowić się nad tym, jakie działania wprowadzić, aby zminimalizować to ryzyko. A tych, szczególnie ze względu na dane wrażliwe, w twojej praktyce nie brakuje.
Dlaczego?

Przetwarzanie danych wrażliwych, chociażby tych o stanie zdrowia psychicznego lub fizycznego, niesie za sobą dużo większe ryzyko naruszenia praw lub wolności osoby fizycznej, niż ma to miejsce w przypadku innych danych.

Analiza ryzyka ma przynieść odpowiedź na pytanie, jakie zabezpieczenia musisz wdrożyć, aby dane osobowe twoich klientów i pacjentów były u ciebie bezpieczne.

Środki organizacyjne we wdrażaniu RODO

Obecnie, zgodnie z podejściem opartym na ryzyku, to, co wybierzemy do ochrony danych ma być adekwatne, gdyż inne zabezpieczenia mogą być potrzebne w przypadku e-sklepu, inne w Twojej praktyce, a jeszcze inne w szpitalu. Dlatego taki nacisk kładzie się teraz na samodzielne analizowanie sytuacji i zagrożeń. Nie ma takiej jednej listy zabezpieczeń jakie każdy musi obowiązkowo posiadać. Dużo będzie zależeć od skali przetwarzania, narzędzi jakie wykorzystujesz do tego, czy nawet tego, czy działasz jednoosobowo czy zatrudniasz dodatkowe osoby.

Z jednej strony jest to duża elastyczność, z drugiej jednak jednocześnie sprawia sporą trudność w ustaleniu tego, co jest w konkretnym przypadku faktycznie adekwatnym zabezpieczeniem.

Środkami zabezpieczającymi są zarówno szkolenia, procedury i instrukcje, jak i środki techniczne i informatyczne. Najlepszym sposobem zabezpieczenia jest połączenie wszystkich tych elementów.

 A jeśli zdarzy się, że dojdzie do naruszenia danych osobowych, pojawia się jeszcze dodatkowy obowiązek – zgłoszenie tego do Urzędu Ochrony Danych Osobowych (UODO).

Informowanie o naruszeniu ochrony danych

Każde zdarzenie ujawnienia, udostępnienia, zmiany, zagubienia lub kradzieży danych osobowych będzie naruszeniem. Nie ma przy tym znaczenia czy przetwarzanie odbywa się w sposób tradycyjny, czy w systemie informatycznym.

Teraz naruszenie  musi zostać zgłoszone do UODO w ciągu 72h od chwili jego stwierdzenia. Nie dotyczy to jednak każdego naruszenia, a tylko tych, które mogą powodować ryzyko utraty praw i wolności dla osoby, której dane dotyczą.

Takim ryzykiem jest np. ujawnienie danych, w wyniku którego osoba poniesie szkodą fizyczną lub psychiczną, albo poprzez udostępnienie danych na temat jej stanu zdrowia innym osobom pojawią się dodatkowe problemy ze zdrowiem, zaburzenia lub depresja.

Ryzyko utraty praw i wolności to również:

• naruszenie dobrego imienia,
• naruszenie poufności danych objętych tajemnicą zawodową
• kradzież tożsamości
• lub utrata kontroli nad własnymi danymi.

Jeśli takie ryzyko w wyniku naruszenia danych u Ciebie wystąpi to Twoim obowiązkiem będzie natychmiastowe zgłoszenie tego faktu do UODO.  Natomiast, jeśli to ryzyko będzie wysokie to dodatkowo należy poinformować o tym także osoby, których te dane dotyczą.  W związku z tym, że granica pomiędzy ryzykiem, a wysokim ryzykiem utraty praw i wolności jest bardzo cienka, to rekomenduje zwykle moim klientom prowadzącym gabinety lekarskie i psychologiczne, by zgłaszali od razu naruszenie danych zarówno do UODO, jak i swoim pacjentom. Coraz częściej też UODO w swoich decyzjach wskazuje, że w przypadku danych o stanie zdrowia niemalże zawsze pojawia się wysokie ryzyko dla osób, których te dane dotyczą. A jak już sobie wyżej powiedzieliśmy w branży pomocowej nie da się uniknąć przetwarzania tak wrażliwych danych.

RODO – jakie kary

Oprócz kary grzywny (zgodnie z RODO nawet do 20 mln euro!) dla Ciebie jako administratora danych, osobie, które dane zostaną naruszone przysługuje dodatkowo odszkodowanie Takie zdarzenie to także ryzyko dla nas. Naruszenie danych może spowodować, że utracimy dobre imię lub markę, zaufanie klientów i pacjentów.

Na co jeszcze zwrócić uwagę w swojej praktyce

RODO w gabinecie psychologicznym – podsumowanie

Mamy traktować ochronę danych jako nieodzowny element naszej działalności. Dlatego jednym z obowiązków jest nadal posiadanie polityk wewnętrznych, które będą opisywały to jakie środki organizacyjne i techniczne zastosowaliśmy. Mamy wykazać się nimi w praktyce. I na bieżąco aktualizować, analizować i wprowadzać kolejne zabezpieczenia, jeśli okaże się, że wcześniej nie były jednak wystarczające.

Sylwia Templin – Świtała.

www.bezpieczniwbiznesie.pl

Trener i wykładowca. Inspektor ochrony danych w branży farmaceutyczno-medycznej, a także audytor wiodący normy ISO/IEC 27001 związanej z bezpieczeństwem informacji. Pomaga przedsiębiorcom we wdrożeniu zasad ochrony danych osobowych. Uczy jak sprawnie i niewielkim kosztem dostosować biznes do RODO. Jej motto brzmi: „Ochrona danych nie musi być trudna, jeśli masz odpowiednie wsparcie”.

Dziękujemy!

Zanim zamkniesz tę stronę, sprawdź swoją pocztę e-mail i zobacz, czy dotarło do Ciebie potwierdzenie z linkiem.

Jeśli nie ma, zobacz foldery: Spam, Promocje, Oferty itp.

Jeśli nigdzie nie ma tej wiadomości, może oznaczać, że Twoja poczta blokuje takie maile.

W takiej sytuacji napisz o tym na adres kontakt@mindness.pl

Zasługujesz na kalendarz wypełniony zapisami! I co najważniejsze? Spraw, by było to lekkie i łatwe...

***

Do zobaczenia po drugiej stronie,

Jesteśmy tu, by ci pomóc

Zapisz się na newsletter, by otrzymywać powiadomienia o kolejnych artykułach:

Chcę otrzymywać e-mail newsletter – informacje o nowościach, promocjach, produktach lub usługach Agencji Marketingowej Agnieszka Gajewska – na zasadach określonych w polityce prywatności.

Zapisuję się