Jak przygotować gabinet psychologiczny do wymogów RODO — kompletny poradnik
Praktyczny przewodnik po wdrożeniu RODO w gabinecie psychologicznym. Dowiedz się, jakie dokumenty musisz przygotować, jak zabezpieczyć dane pacjentów i na co zwraca uwagę UODO podczas kontroli.
Dlaczego RODO dotyczy każdego psychologa?
Od wejścia w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) w 2018 roku, każdy psycholog prowadzący praktykę prywatną lub zatrudniony w placówce stał się administratorem lub współadministratorem danych osobowych szczególnej kategorii. Dane dotyczące zdrowia psychicznego należą bowiem do tzw. danych wrażliwych (art. 9 RODO), co oznacza podwyższone wymagania w zakresie ich ochrony.
W praktyce oznacza to, że nawet jednoosobowy gabinet psychologiczny musi spełniać te same wymogi co duża klinika — z tą różnicą, że zakres dokumentacji i procedur może być proporcjonalnie mniejszy. Kluczowe jest jednak, aby te dokumenty istniały i były stosowane.
Jakie dokumenty RODO musisz przygotować?
Kompletna dokumentacja RODO dla gabinetu psychologicznego powinna obejmować:
- Politykę prywatności — dokument opisujący, jakie dane zbierasz, w jakim celu, na jakiej podstawie prawnej i jak długo je przechowujesz. Musi być dostępna dla pacjentów przed rozpoczęciem terapii.
- Klauzulę informacyjną — zwięzły dokument przekazywany pacjentowi przy pierwszej wizycie, spełniający wymogi art. 13 RODO. Zawiera informacje o administratorze, celach przetwarzania, prawach pacjenta i okresie przechowywania danych.
- Rejestr czynności przetwarzania — wewnętrzny dokument opisujący wszystkie procesy, w których przetwarzasz dane osobowe: od prowadzenia dokumentacji klinicznej, przez wystawianie faktur, po korespondencję mailową.
- Formularz zgody na przetwarzanie danych — osobna zgoda (niezależna od zgody informowanej na terapię) na przetwarzanie danych wrażliwych dotyczących zdrowia.
- Procedura reagowania na naruszenia — opis kroków, jakie podejmiesz w przypadku wycieku danych (np. zgubienie notesu z notatkami, włamanie na skrzynkę e-mail).
Wszystkie te dokumenty możesz wygenerować za darmo za pomocą naszego generatora dokumentów RODO, który jest dostosowany specjalnie do specyfiki gabinetów psychologicznych.
Jak zabezpieczyć dane pacjentów w praktyce?
Zabezpieczenia techniczne i organizacyjne powinny być proporcjonalne do ryzyka. Dla typowego gabinetu psychologicznego oznacza to:
Dokumentacja papierowa:
- Przechowywanie w zamykanej na klucz szafie, do której dostęp ma wyłącznie psycholog
- Niszczenie dokumentów za pomocą niszczarki o klasie bezpieczeństwa P-4 lub wyższej
- Brak pozostawiania dokumentów na biurku między sesjami
Dokumentacja elektroniczna:
- Szyfrowanie dysku komputera (BitLocker na Windows, FileVault na macOS)
- Silne, unikalne hasła do systemu i programów z danymi pacjentów
- Regularne kopie zapasowe na zaszyfrowanym nośniku zewnętrznym
- Aktualne oprogramowanie antywirusowe i system operacyjny
Komunikacja:
- Unikanie wysyłania danych wrażliwych zwykłym e-mailem (bez szyfrowania)
- Stosowanie komunikatorów szyfrowanych end-to-end do kontaktu z pacjentami
- Informowanie pacjentów o ryzykach związanych z komunikacją elektroniczną
Na co zwraca uwagę UODO podczas kontroli?
Urząd Ochrony Danych Osobowych (UODO) przeprowadza kontrole zarówno planowe, jak i w odpowiedzi na skargi pacjentów. Najczęstsze uchybienia wykrywane w gabinetach psychologicznych to:
- Brak klauzuli informacyjnej — pacjent nie został poinformowany o przetwarzaniu swoich danych.
- Brak rejestru czynności przetwarzania — psycholog nie potrafi wykazać, jakie dane przetwarza i w jakim celu.
- Nieprawidłowe zabezpieczenia — dokumentacja dostępna dla osób nieuprawnionych.
- Brak procedury usuwania danych — przechowywanie danych bez podstawy prawnej po zakończeniu terapii.
Sprawdź, czy Twój gabinet spełnia wszystkie wymogi, korzystając z naszej interaktywnej checklisty RODO.
Jak długo przechowywać dokumentację?
Okres przechowywania dokumentacji psychologicznej zależy od jej rodzaju:
- Dokumentacja medyczna (jeśli prowadzisz ją jako podmiot leczniczy) — 20 lat od końca roku kalendarzowego, w którym dokonano ostatniego wpisu
- Dokumentacja psychologiczna (praktyka niepodlegająca ustawie o działalności leczniczej) — brak jednoznacznego terminu ustawowego; rekomendacja to 10 lat od zakończenia terapii
- Faktury i dokumenty księgowe — 5 lat od końca roku podatkowego
- Korespondencja e-mail — przez czas trwania relacji terapeutycznej plus okres na ewentualne roszczenia (3-6 lat)
Po upływie tych terminów dane powinny zostać trwale usunięte lub zanonimizowane. Dotyczy to zarówno dokumentów papierowych (niszczenie), jak i elektronicznych (bezpieczne usuwanie plików).
Podsumowanie — RODO to nie biurokracja, to ochrona pacjenta
Wdrożenie RODO w gabinecie psychologicznym nie musi być skomplikowane ani kosztowne. Kluczowe jest przygotowanie podstawowej dokumentacji, wdrożenie rozsądnych zabezpieczeń i konsekwentne ich stosowanie. Pamiętaj, że RODO chroni nie tylko pacjentów — chroni również Ciebie przed odpowiedzialnością w przypadku wycieku danych.
Na psycholog.net przygotowaliśmy darmowe narzędzia, które pomogą Ci wdrożyć RODO krok po kroku: generator dokumentów RODO do stworzenia pełnej dokumentacji oraz interaktywną checklistę RODO do weryfikacji, czy nie pominąłeś żadnego wymagania.
dr Joanna Kowalska
Autorka artykułów na psycholog.net. Współpracuje z zespołem specjalistów, aby dostarczać rzetelną i praktyczną wiedzę psychologiczną opartą na aktualnych badaniach naukowych.
Szukasz profesjonalnej pomocy psychologicznej?
Jeśli potrzebujesz wsparcia psychologicznego lub psychoterapeutycznego, skontaktuj się ze sprawdzonym gabinetem. Sztuka Harmonii to gabinet psychoterapii w Warszawie z zespołem certyfikowanych specjalistów.