Blog prawniczy

Poradnie psychologiczno-pedagogiczne zajmują się przede wszystkim wsparciem w ustaleniu i leczeniu trudności występujących u dzieci, jak ADHD, dysleksja czy autyzm. Prowadzą również różnego rodzaju zajęcia dla niepełnoletnich pacjentów oraz wydają orzeczenia medyczne wskazujące na potrzebę zastosowania specjalnego toku kształcenia. Czy w takiej placówce należy wdrożyć RODO i jak zrobić to prawidłowo?

Na jakiej podstawie przetwarzane są dane osobowe w poradni psychologicznej?

To, że placówki psychologiczno-pedagogiczne muszą wdrożyć RODO, wydaje się oczywiste. Bez dostępu do danych osobowych pacjentów świadczenie jakichkolwiek usług byłoby niemożliwe. Niestety prawidłowa ochrona tych informacji nie zawsze będzie prosta tym bardziej, że specjaliści wykonujący zawód psychologa, psychiatry czy neurologa mogą mieć trudności z uchwyceniem specyfiki RODO i zrozumieniem wymagań formalnych w tym zakresie.

Przede wszystkim trzeba pamiętać, że administrator danych osobowych musi być w stanie wskazać podstawę na jakiej przetwarza dane osobowe swoich pacjentów:

• w przypadku danych „zwykłych”, jak imię i nazwisko, adres e-mail czy numer PESEL będzie to art. 6 ust. 1 pkt b, czyli przetwarzanie w związku ze świadczeniem usług. W takim przypadku pacjent nie musi wyrażać zgody wprost, ale powinien zostać pouczony o przetwarzaniu jego danych, np. poprzez umieszczenie stosownej adnotacji na formularzu rejestracyjnym;
• w przypadku danych osobowych „szczególnych”, jak zdrowie, orientacja seksualna czy seksualność, a także wyniki badań genetycznych, niezbędne jest pozyskanie wyraźnej i jednoznacznej zgody pacjenta wyrażonej w trybie art. 9 ust. 2 lit. a.

Pominięcie obowiązku wskazania podstaw przetwarzania danych osobowych może doprowadzić do sytuacji, kiedy będą one przetwarzane bez żadnej podstawy, a to już niebezpieczna sytuacja, która rodzi ryzyko sankcji.

Sprawdź również: Outsourcing IOD do naszej kancelarii – czy sprawdzi się w Twojej firmie?

Jak zbudować klauzulę informacyjną dla pacjentów poradni?

Zbierając dane osobowe pacjentów administrator musi przekazać im tzw. klauzulę informacyjną RODO, czyli komplet danych wymienionych w art. 13 rozporządzenia. Klauzula RODO to źródło informacji o tym dlaczego dane osobowe są przetwarzane i kto tego przetwarzania dokonuje.

Klauzula powinna być napisana prostym, zrozumiałym językiem i wskazywać na:

• tożsamość i dane kontaktowe administratora;
• dane Inspektora Ochrony Danych, jeżeli został on powołany (nie dotyczy jednoosobowych gabinetów);
• cele oraz podstawy prawne przetwarzania danych osobowych;
• informacje o odbiorcach danych lub kategoriach tych odbiorców (np. dział IT prowadzący system informatyczny przychodni);
• informacje o zamiarze przekazania danych pacjenta do państwa trzeciego.

Dodatkowo pacjent powinien otrzymać informację o okresie retencji danych osobowych, czyli czasie przez jaki będą one przechowywane oraz przysługujących mu uprawnieniach, jak prawo do wniesienia skargi do organu nadzorczego czy też prawo do sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych.

Przygotowując klauzulę informacyjną administrator musi pamiętać, aby kierować się ogólnymi zasadami RODO. Danych nie należy zbierać na zapas, w zbyt szerokim zakresie, a także przechowywać, jeżeli nie są już niezbędne.

O jakiej dokumentacji muszą pamiętać poradnie psychologiczno-pedagogiczne?

Klauzula informacyjna to podstawowa, ale z pewnością nie jedyna dokumentacja, która powinna znaleźć się w poradni psychologicznej. O czym jeszcze trzeba pamiętać?

Przede wszystkim art. 30 RODO nakazuje prowadzenie rejestru czynności przetwarzania. To zbiór wszystkich procesów firmowych w wyniku których dochodzi do przetwarzania danych osobowych. Zmapowanie tych procesów powinien być regularnie aktualizowany za każdym razem, kiedy obieg informacji w firmie ulegnie zmianie, np. wskutek wprowadzenia nowej platformy CRM do obsługi pacjentów.

Artykuł 33 ust. 5 nakazuje też dokumentować wszystkie przypadki naruszenia danych osobowych w przedsiębiorstwie. Taki rejestr naruszeń jest udostępniany na żądanie organu kontroli i musi zawierać przynajmniej:

• okoliczności naruszenia ochrony danych osobowych;
• skutki naruszenia;
• podjęte działania zaradcze.

Warto także pamiętać o polityce bezpieczeństwa informacji, którą można postrzegać jako swego rodzaju algorytm działania dla pracowników. Dobrze skonstruowana polityka RODO ma kluczowe znaczenie w wypracowaniu odpowiednio wysokich standardów ochrony danych osobowych.

W przypadku poradni psychologicznych, które dokonują przetwarzania danych osobowych na dużą skalę konieczne będzie też wdrożenie dokumentacji oceny skutków dla ochrony danych osobowych (czyli DPIA). Dokument Data Privacy Impact Assessment ma na celu ustalenie, w jakim stopniu poszczególne procesy ingerują w ochronę danych osobowych pacjentów, czy da się taką ingerencję ograniczyć i czy dany proces w ogóle jest niezbędny. O wdrożeniu DPIA mogą pomyśleć także organizacje, które nie mają takiego obowiązku, zwiększając tym samym swoje bezpieczeństwo.

Dodatkowo niezbędne może być przygotowanie umów o powierzenie przetwarzania danych osobowych, jeżeli za określone czynności ma odpowiadać podmiot inny niż administrator, jak również umów o przekazaniu danych osobowych do państw trzecich.

Jeżeli w przeszłości poradnia psychologiczna realizowała już audyty RODO, warto taką dokumentację przechowywać. Dzięki niej można łatwo ustalić, co dokładnie zostało zmienione i jakie działania podjęto, aby zmniejszyć ryzyko naruszenia ochrony danych osobowych.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Jak zwiększyć bezpieczeństwo dokumentacji medycznej?

Administrator danych osobowych jest zobowiązany do wdrożenia środków zapewniających bezpieczeństwo oraz integralność gromadzonych informacji. Każda placówka medyczna powinna dopasować stosowane rozwiązania do specyfiki i skali prowadzonej działalności, ale ma pod tym względem dużą swobodę, ponieważ unijny ustawodawca wskazuje jedynie na cel, jaki ma zostać osiągnięty. W praktyce wiele niewielkich gabinetów ogranicza się do ustawienia na zapleczu szafek zawierających dokumentację pacjentów.

O ile w przypadku działalności jednoosobowych takie działanie można uznać za wystarczające, duże placówki powinny poszukiwać rozwiązań przede wszystkim w cyfrowej warstwie zabezpieczeń. Do typowych barier zapewniających bezpieczeństwo danych można zaliczyć szyfrowanie i anonimizację danych pacjentów, stosowanie uwierzytelniania dwuskładnikowego, silnego szyfrowania AES, w przypadku zaś teleporad – zabezpieczeń typu end-to-end.

Choć oczywiście żadne bariery nie gwarantują 100-procentowego bezpieczeństwa danych, wykorzystanie nowoczesnych rozwiązań umożliwia w razie wycieku danych na skuteczne odwołanie się do zasady rozliczalności. Innymi słowy administrator będzie mógł w przypadku kontroli organu nadzorczego wskazać, że podjął wszelkie uzasadnione środki, aby uniknąć utraty kontroli nad danymi osobowymi, ale i tak doszło do incydentu.

Zasada rozliczalności stanowi główną linię obrony w RODO i nie należy o niej zapominać, planując wdrożenie unijnych przepisów!
Naturalnie zabezpieczenia informatyczne to nie wszystko. Placówka powinna pamiętać o regularnym szkoleniu personelu w kwestiach związanych z RODO, a także testowaniu i aktualizacji infrastruktury IT.

RODO w poradni psychologiczno-pedagogicznej – Kancelaria Linke Kulicki

Ochrona danych osobowych pacjentów ma kluczowe znaczenie dla poradni psychologiczno-pedagogicznej. Aby zrobić to prawidłowo, warto skorzystać z pomocy profesjonalistów, którzy nie tylko doskonale znają przepisy, ale też rozumieją specyfikę danego rodzaju działalności.

Kancelaria Linke Kulicki od lat świadczy wsparcie dla podmiotów z szeroko rozumianego sektora Healthcare. Nasi prawnicy przeprowadzą audyt RODO w poradni, przygotują niezbędną dokumentację, przeprowadzą szkolenia wśród pracowników i wezmą udział w postępowaniu kontrolnym prowadzonym przez organ nadzoru.