Co zagraża danym, czyli o analize ryzyka w Twoim gabinecie

Jeśli prowadzisz gabinet psychologiczny, psychoterapeutyczny, mentoringowy czy coachingowy – na co dzień pracujesz z danymi osobowymi swoich klientów i pacjentów.RODO dotyczy Cię więc bezpośrednio.

Dane osobowe to nie tylko imię, nazwisko czy adres. W Twojej praktyce pojawiają się też dane szczególnej kategorii, tzw. dane wrażliwe. To m.in.:

• informacje o stanie zdrowia psychicznego i fizycznego,

• dane dotyczące seksualności lub orientacji seksualnej,

• informacje o pochodzeniu etnicznym lub rasowym, poglądach politycznych, religii czy światopoglądzie,

• dane genetyczne, biometryczne, informacje o karalności.

To właśnie dlatego ochrona danych w Twojej działalności ma tak duże znaczenie.

Czy musisz mieć Inspektora Ochrony Danych?

Wielu specjalistów zastanawia się, czy muszą powołać Inspektora Ochrony Danych (IOD).IOD to osoba, która pilnuje, aby firma przestrzegała RODO.

W praktyce psychologa czy terapeuty pytanie brzmi: czy Twoja działalność opiera się głównie na przetwarzaniu danych wrażliwych i czy robisz to na dużą skalę?

Dane o zdrowiu są podstawą Twojej pracy – bez nich nie da się prowadzić terapii ani konsultacji.Ale obowiązek powołania IOD pojawia się tylko wtedy, gdy przetwarzasz dane na dużą skalę.

Co oznacza „duża skala”?

Przepisy nie podają konkretnej definicji, ale warto wziąć pod uwagę:

• ilu klientów/pacjentów obsługujesz,

• jakie dane zbierasz,

• jak długo je przechowujesz,

• jak szeroki jest Twój zasięg działania.

Jeśli prowadzisz jednoosobowy gabinet, najczęściej nie musisz powoływać IOD.Wymóg ten dotyczy raczej dużych przychodni czy szpitali.

Uwaga: sytuacja może się zmieniać – jeśli Twoja praktyka się rozrośnie, warto co jakiś czas sprawdzać, czy nie pojawił się obowiązek powołania IOD. Za brak inspektora, jeśli był wymagany, grozi kara nawet do 10 mln EUR albo 2% rocznego obrotu.

Rejestr czynności przetwarzania

Każdy, kto przetwarza dane wrażliwe, musi prowadzić rejestr czynności przetwarzania.To dokument, w którym zapisujesz:

• jakie dane zbierasz,

• w jakim celu,

• komu je udostępniasz.

Rejestr trzeba pokazać w razie kontroli z UODO. Dotyczy Cię to nawet wtedy, gdy prowadzisz gabinet samodzielnie.

Przykłady czynności, które wpisujesz do rejestru:

• prowadzenie terapii,

• umawianie wizyt,

• wystawianie rachunków i faktur.

  
  

Zgoda klienta/pacjenta

Dane o stanie zdrowia możesz przetwarzać tylko wtedy, gdy masz do tego podstawę prawną.Najczęściej jest nią zgoda klienta lub pacjenta.

Uwaga: nie zawsze potrzebujesz zgody – np. przy wystawieniu faktury podstawą są przepisy podatkowe. Podmioty lecznicze mają też jasne podstawy w ustawie o prawach pacjenta.

Ale jeśli prowadzisz prywatny gabinet psychologiczny czy coachingowy – zgoda klienta na przetwarzanie danych wrażliwych w celu prowadzenia terapii jest konieczna.

Nie ma wymogu, żeby była na piśmie, ale warto mieć zgodę w formie dokumentu – to najlepszy dowód w razie kontroli.

Klauzula informacyjna

Przed rozpoczęciem współpracy musisz poinformować klienta o:

• tym, kto przetwarza jego dane,

• w jakim celu,

• jakie prawa mu przysługują (np. prawo dostępu, sprzeciwu, usunięcia).

Taką klauzulę możesz udostępnić:

• na stronie internetowej,

• w gabinecie,

• mailowo.

Nie musisz zbierać podpisów, ale możesz – to dodatkowe zabezpieczenie dowodowe.

Jak wdrożyć RODO w gabinecie?

Wiem, że samodzielne ogarnięcie wszystkich dokumentów i procedur może być przytłaczające.Dlatego przygotowałam Pakiet RODO dla gabinetu psychologa, psychoterapeuty, coacha czy mentora.

Znajdziesz w nim m.in.:

• instrukcje wdrożenia i omówienie każdego dokumentu,

• politykę bezpieczeństwa,

• analizę ryzyka i opis środków bezpieczeństwa,

• rejestr czynności przetwarzania danych,

• rejestr umów powierzenia,

• umowy o powierzeniu danych (dla współpracowników i supervisora),

• upoważnienia do przetwarzania danych i rejestr upoważnień,

• klauzule informacyjne dla klientów,

• zgody na przetwarzanie danych.

Dzięki temu masz gotowy zestaw dokumentów i praktyczne wskazówki, jak wdrożyć RODO krok po kroku.

Analiza ryzyka i zabezpieczenia

RODO wymaga od Ciebie, żebyś oceniła, jakie ryzyka mogą wystąpić w Twojej praktyce – np. utrata laptopa, włamanie na skrzynkę mailową czy przypadkowe ujawnienie danych.

Twoim obowiązkiem jest wprowadzenie zabezpieczeń – organizacyjnych (np. procedury, upoważnienia) i technicznych (np. silne hasła, szyfrowanie).

Nie ma jednej listy obowiązkowych zabezpieczeń – dobierasz je do realiów swojej praktyki.

Co jeśli dojdzie do naruszenia danych?

Naruszeniem jest każda sytuacja, w której dane zostały ujawnione, zmienione, zgubione albo skradzione.

Jeśli istnieje ryzyko, że klient może przez to ucierpieć (np. ujawnienie danych o stanie zdrowia), masz obowiązek zgłosić naruszenie do UODO w ciągu 72 godzin.A jeśli ryzyko jest wysokie – dodatkowo musisz poinformować o tym klienta.

Jakie kary grożą za naruszenia?

Za złamanie RODO kary mogą sięgać nawet 20 mln EUR.Ale jeszcze poważniejsze są skutki wizerunkowe – utrata zaufania klientów i nadszarpnięcie reputacji gabinetu.

Podsumowanie

RODO to nie formalność. To codzienna praktyka, która ma chronić Twoich klientów i Ciebie.Twoim obowiązkiem jest:

• prowadzenie dokumentacji (np. rejestru czynności),

• zabezpieczenie danych,

• regularne aktualizowanie procedur,

• wykazanie, że dbasz o prywatność pacjentów i klientów.

Dzięki temu pracujesz bezpiecznie, zgodnie z prawem i z pełnym poszanowaniem osób, które Ci zaufały.

👉 Chcesz wdrożyć RODO w swoim gabinecie bez stresu? Skorzystaj z mojego

– znajdziesz tam wszystkie dokumenty i instrukcje, które przeprowadzą Cię krok po kroku.