Zadzwoń: +48 665 114 309

Napisz: o.zarzecka@kancelaria-oz.pl

Wdrożenie RODO w prywatnym gabinecie psychologa i psychoterapeuty

utworzone przez | 22 września 2022 | Prawo dla Psychologa i Psychoterapeuty, RODO i e-commerce | 0 komentarzy

Wdrożenie RODO w prywatnym gabinecie psychologa i psychoterapeuty

Wdrożenie RODO w gabinecie psychologa lub psychoterapeuty oraz odpowiednich dokumentów i procedur związanych z ochroną danych osobowych dla przedsiębiorcy, który nie ma w tym zakresie żadnej wiedzy, jest dużym wyzwaniem. Co ważne, przy wdrożeniu RODO w danej branży liczy się także znajomość jej specyfiki, czy też przeprowadzenie wnikliwego audytu i zdobycie wiedzy związanej z funkcjonowaniem biznesu. Sprawdź co musisz wiedzieć na temat wdrożenia RODO w Twoim gabinecie.

Wdrożenie RODO w prywatnym gabinecie psychologa i psychoterapeuty to niezwykle istotna rzecz. Branża psychologiczna i psychoterapeutyczna rządzi się swoimi prawami. Przy przygotowaniu dokumentów i wdrożeniu procedur z zakresu ochrony danych osobowych, wiele zależy od tego, na jakich warunkach i gdzie pracuje psycholog czy psychoterapeuta. W moim dzisiejszym artykule przedstawię Ci, na co zwrócić uwagę przy wdrażaniu RODO w prywatnym gabinecie psychologa i psychoterapeuty.

Podstawy prawne przetwarzania danych osobowych

Podczas wdrożenia RODO w prywatnym gabinecie psychologa i psychoterapeuty bardzo ważne jest określenie i posiadanie właściwych podstaw prawnych pozwalających na legalne przetwarzanie danych osobowych w prywatnym gabinecie.

Przykładowo:

  • dane osobowe w zakresie imienia, nazwiska, danych kontaktowych – przetwarzamy w celu realizacji usługi (art. 6 ust. 1 lit. b RODO) – przez okres realizacji tych usług;
  • dane osobowe w zakresie stanu zdrowia pacjenta/klienta – przetwarzamy w celu realizacji usługi (art. 9 ust. 2 lit. a RODO) – przez okres realizacji tych usług, aż do cofnięcia zgody na przetwarzanie tych danych.

W przypadku przetwarzania danych osobowych szczególnych kategorii (np. dane o stanie zdrowia klienta/pacjenta) trzeba pozyskać zgodę na przetwarzanie tych danych.

Klauzula informacyjna dot. przetwarzania danych osobowych klienta/pacjenta podczas wdrożenia RODO w gabinecie psychologa i psychoterapeuty

Zgodnie z art. 13 ust. 1 RODO, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator (w naszym przypadku psycholog i psychoterapeuta) podczas pozyskiwania danych osobowych podaje jej w szczególności następujące informacje:

a) swoją tożsamość i dane kontaktowe oraz gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b) dane kontaktowe IOD (w przypadku prywatnych gabinetów, nie ma obowiązku powoływania IOD);

c) cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;

d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, 47 lub 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

Zgodnie z art. 13 ust. 2 RODO, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzanialub o prawie do wniesienia sprzeciwuwobec przetwarzania, a także o prawie do przenoszenia danych;

c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

d) informacje o prawie wniesienia skargi do organu nadzorczego;

e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowyoraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Wdrożenie RODO w gabinecie psychologa i psychoterapeuty a dokumentacja 

Podmiotami obowiązanymi do opracowania dokumentacji ochrony danych osobowych są Administrator danych osobowychoraz Podmiot przetwarzający.

Regulacje z których wprost wynika obowiązek opracowania dokumentów:

Prezes Urzędu Ochrony Danych Osobowych przykładowo wskazuje na:

  • Prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania – art. 30 RODO;
  • Zgłaszanie naruszenia ochrony danych osobowych do organu nadzorczego – art. 33 ust. 3 RODO;
  • Prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych osobowych – art. 33 ust. 5 RODO;
  • Zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony zdrowia – art. 35 ust. 7 RODO.

RODO określa także ogólnie zasady i wymogi odpowiadające przetwarzaniu danych osobowych:

  • 5 ust. 2 RODO – ZASADA ROZLICZALNOŚCI:

Konieczność dokumentowania określonych treści, nie jest wyrażona wprost, ale wymóg umiejętności wykazania, że przestrzega się postanowienia RODO, najprościej zrealizować poprzez dokumentację podejmowanych działań i stosowania procedur.

  • 24 ust. 1 RODO – OBOWIĄZKI ADMINISTRATORA:

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

RODO w gabinecie psychoterapeuty i psychologa – przykłady dokumentów do wdrożenia

  • Polityka ochrony danych osobowych (inaczej Polityka Bezpieczeństwa Informacji).
  • Dokumentacja oceny (szacowania) ryzyka.
  • Dokumentacja oceny skutków dla ochrony danych osobowych.
  • Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania.
  • Dokumentacja naruszeń ochrony danych osobowych.
  • Dokumentacja audytów wewnętrznych.
  • Wzory zgód oraz klauzul informacyjnych (w przypadku psychologa, psychoterapeuty takim obowiązkowymi dokumentami będą zgoda na przetwarzanie danych os. szczególnych kategorii np. o stanie zdrowia oraz klauzula informacyjna dla klienta/pacjenta).
  • Transfer danych osobowych do państw trzecich.

Sesja online – o czym pamiętać przy wyborze platformy oraz jakie dokumenty przygotować?

Ważny jest wybór właściwej platformy do przeprowadzenia sesji online, a w tym celu:

  • Należy zapoznać się z Polityką Prywatności (Przetwarzania Danych Osobowych) dostawcy usługi, aby ustalić jakie środki zostały przez niego zastosowane w celu zapewnienia ochrony danych osobowych.
  • Korzystamy z rozwiązań w ramach płatnej usługi, ponieważ te nieodpłatne służą zazwyczaj wykorzystaniu ich w celach prywatnych, a nie do kontaktu z klientem/pacjentem.
  • Sprawdzamy, gdzie będą udostępniane dane osobowe w związku z wykorzystywaniem tego narzędzia – poza obszar UE, EOG, do Stanów Zjednoczonych, Wlk. Brytanii.
  • Należy pamiętać o zawarciu umowy powierzenia przetwarzania danych osobowych z dostawcą usługi.
  • W przypadku przekazywania danych poza obszar UE, EOG np. do Stanów Zjednoczonych – należy sprawdzić, na jakiej podstawie dochodzi do przekazania tych danych (tzw. transfer danych osobowych do państw trzecich).

Dokumenty ochrony danych osobowych w przypadku sesji online  to:

  • klauzula informacyjna dla pacjenta/klienta uczestniczącego w sesji online,
  • zgoda na przetwarzanie danych szczególnych kategorii (jeżeli jeszcze jej nie pozyskaliśmy), a w przypadku, gdy nagrywamy taką sesję to wtedy potrzebna jest zgoda na nagrywanie.

Dziękuję za Twoją uwagę:)

Jeżeli potrzebujesz porady prawnej związanej z problemami, które pojawiły się w związku z wykonywaniem zawodu psychologa czy psychoterapeuty, zapraszam na konsultacje online.

Jeżeli potrzebujesz porady prawnej związanej z problemami, które pojawiły się w związku z wykonywaniem zawodu psychologa czy psychoterapeuty, zapraszam na konsultacje online.

W tym krótkim wpisie, przedstawiłam oczywiście skrót najważniejszych informacji z zakresu wdrożenia RODO. Jeżeli potrzebujesz pomocy w takim lub podobnych tematach z branży, zachęcam do Kontakt.

Stan prawny na dzień: 22.09.2022 r. 

Wpis na blogu nie stanowi porady prawnej. Artykuł odnosi się do ogólnej sytuacji prawnej, dlatego nie może stanowić rozwiązania dla indywidualnego problemu. Jeżeli potrzebujesz indywidualnej konsultacji, zapraszam do kontaktu.

Udostępnij

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Udostępnij

Tagi wpisu

dokumentacja RODO | klauzula informacyjna RODO | prawnik dla psychologa | prawnik dla psychoterapeuty | RODO dla psychologa | RODO dla psychoterapeuty | RODO w prywatnym gabinecie | wdrożenie RODO | zgoda na przetwarzania danych szczególnych kategorii

Kategorie

Popularne wpisy