Część pierwsza: INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH/ INFORMACJA RODO
Kiedy rozmawiam z psychologami czy psychoterapeutami, którzy prowadzą swoje prywatne gabinety albo planują rozpocząć taką działalność, zawsze na początku pada pytanie – jakich dokumentów potrzebuję. Zazwyczaj odpowiadam – jak na porządnego prawnika przystało – że to zależy. Zależy od tego, jakie usługi świadczysz, w jakiej formie, komu, jakie masz wykształcenie itp. Itd. Wszystko doprecyzowujemy zawsze przed rozpoczęciem współpracy.
Jednocześnie zauważyłam, że taka wstępna konsultacja przebiega sprawniej, jeżeli mój klient już trochę orientuje się w temacie. Dlatego właśnie postanowiłam krótko opisać dokumenty, których praktycznie wszyscy psychologowie i psychoterapeuci potrzebują w swoich gabinetach.
Czy mogłaby Pani przygotować mi RODO?
Jest taki dokument, o którym każdy wie, że musi się pojawić w gabinecie. Nie wszyscy jednak mają świadomość, dlaczego, po co i jaka powinna być jego treść.
Kiedy klient prosi mnie o „przygotowanie RODO” to wiem, że właśnie o ten dokument chodzi. (Przy okazji zawsze wyjaśniam, że wdrożenie RODO to znacznie więcej niż przygotowanie jednego dokumentu.)
Mam oczywiście na myśli tzw. informację RODO czyli informację (klauzulę informacyjną) o przetwarzaniu danych osobowych. Jeżeli oprócz danych osobowych klientów/pacjentów przetwarzasz też dane innych osób (współpracowników, kandydatów do pracy itp.), potrzebujesz więcej niż jednego wzoru informacji.
Oczywiście to RODO nakłada obowiązek przedstawiania takiej informacji. Obowiązek ten dotyczy wszystkich administratorów danych osobowych, a więc każdego kto przetwarza dane osobowe w ustalonych przez siebie celach (zbiera, przechowuje, modyfikuje, usuwa itd.). RODO mówi nie tylko o tym, że masz obowiązek informacyjny. Wskazuje też wyraźnie, jakie informacje musisz przekazać i kiedy.
Co napisać w informacji RODO?
W art. 13 RODO wskazane są informacje, które trzeba przekazać każdej osobie, której dane zbieramy.
Przepis ten brzmi następująco:
1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
To niestety jeszcze nie koniec przygody z RODO. Jeżeli dane osoby X przekazuje nam osoba Y, to musimy przekazać osobie X trochę więcej informacji – ich listę zawiera art. 14 RODO, który brzmi:
1. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
d) kategorie odnośnych danych osobowych;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
2. Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
e) informacje o prawie wniesienia skargi do organu nadzorczego;
f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3. Informacje, o których mowa w ust. 1 i 2, administrator podaje:
a) w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
b) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
c) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Brzmi nieco groźnie? Teoretycznie tak… Ale ważniejsze – co to oznacza w praktyce.
A w praktyce:
💡 Musisz przygotować dokument, w którym przekażesz wszystkie informacje wymagane przez RODO.
💡 Twój klient/pacjent musi mieć możliwość zapoznania się ze wskazanym dokumentem, zaraz po tym, kiedy przekaże Ci swoje dane osobowe. Czasami moi klienci nie zdają sobie sprawy, że ten moment następuje jeszcze przed pierwszą wizytą – w chwili, kiedy rezerwowany jest jej termin.
Jak przekazać informację RODO?
Przede wszystkim sprawdź, czy w swojej informacji RODO masz wszystko, co potrzeba i czy informacje są przekazane w sposób zrozumiały (to też wymóg prawny!).
Następnie zaplanuj „ścieżkę klienta/pacjenta” tak, aby w odpowiednim momencie przekazać informację RODO.
Taka ścieżka może wyglądać na przykład tak:
👉 Klient dzwoni, żeby umówić się na wizytę.
👉 Ustalacie termin, cenę i inne szczegóły, a pod koniec rozmowy prosisz go o podanie (albo przesłanie SMSem) adresu e-mail.
👉 Na podany adres wysyłasz podsumowanie ustaleń z prośbą o potwierdzenie, że wszystko się zgadza. Jako załącznik do swojej wiadomości przekazujesz informację RODO (jak plik w pdf albo link do informacji na Twojej stronie).
Albo tak:
👉 Klient umawia się na wizytę za pomocą kalendarza dostępnego na Twojej stronie.
👉 Przed potwierdzeniem rezerwacji klient widzi wzmiankę o tym, że będziesz przetwarzać jego dane i może kliknąć link, pod którym znajduje się pełna informacja RODO.
Albo jeszcze inaczej…
Moi klienci mają bardzo różnie zorganizowane zasady umawiania wizyt. Zawsze udaje nam się tak zaplanować cały proces, żeby informacja RODO została przekazana zgodnie z przepisami – a więc nie tylko w odpowiedniej formie, ale też w określonym czasie.
Przy okazji jeszcze jedna ważna uwaga – obowiązek informacyjny to nie to samo, co zbieranie zgód. Tutaj klient/pacjent nie musi niczego akceptować – informujesz go po prostu, co robisz. I w zasadzie ta informacja może być przekazana w dowolnej formie, nawet ustnie. Jest tylko jedno ale… a jest nim zasada rozliczalności. Jeżeli z jakiegokolwiek powodu Twoją działalność będzie kontrolował Prezes UODO, to na pewno zapyta o to, czy przekazuje informacje RODO. A wtedy musisz udowodnić, że tak właśnie jest – Prezes raczej nie uwierzy Ci na słowo…
💡PRAKTYCZNA WSKAZÓWKA 💡
Wrzuć informację RODO na swoją stronę internetową, a klientom/pacjentom przekazuj link. W ten sposób unikniesz ryzyka, że dokument w pdf się nie załączy, albo, że zwyczajnie zapomnisz go wysłać.
Mam nadzieję, że pigułka wiedzy, którą właśnie Ci przekazałam, będzie pomocna i nieco rozjaśni zawiłości związane z formalną stroną prowadzenia własnego gabinetu:)
***
Jeżeli potrzebujesz pomocy w przygotowaniu dokumentów – chcesz je ogarnąć raz a dobrze – możesz skorzystać z oferty, którą przygotowałam:
Jeżeli masz jakieś pytania lub potrzebujesz pomocy w przygotowaniu dokumentów, śmiało pisz do mnie na aneta@liszewskamadra.pl
👉 Tu znajdziesz inne teksty z cyklu Jakich dokumentów potrzebuje psycholog w swoim gabinecie?:
Jakich dokumentów potrzebuje psycholog w swoim gabinecie? Część druga: ZGODY