Polityka prywatności – RODO

Procedury RODO. Zasady pozyskiwania, przetwarzania i przechowywania danych (nazwa firmy: QPSYCHOLOGY Agnieszka Bożek) obowiązujące od dnia 25.05.2018

§1 Słownik terminów

„Psychoterapeuta”: właściciel firmy „QPSYCHOLOGY Agnieszka Bożek”.

„Pacjent”: osoba podejmująca decyzję o skorzystaniu z usług oferowanych przez psychoterapeutę.

„Gabinet” – miejsce realizacji usług udzielanych pacjentowi przez psychoterapeutę.

„Biuro”- miejsce pracy psychoterapeuty nad działaniami administracyjno–biurowymi i naukowymi; miejsce naukowych analiz pracy terapeutycznej oraz tworzenia opinii lub zaświadczeń na prośbę pacjenta.

„Osoby bliskie”- osoby pozostające w emocjonalnej i/lub prawnej relacji wobec pacjenta, których dane osobowe i/lub dane wrażliwe pozostają pozyskiwane, przechowywane i przetwarzane przez psychoterapeutę celem realizacji usług.

§2 Postanowienia ogólne

1. Uwzględniając obowiązki wynikające z art. 25 oraz art. 32 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1), celem zapewnienia, że dane osobowe w firmie QPSYCHOLOGY Agnieszka Bożek, są przetwarzane i zabezpieczone zgodnie z postanowieniami prawa poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zaprojektowanych w celu skutecznej realizacji zasad ochrony danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń postanawia się stosować poniższe reguły do przetwarzania danych osobowych.

2. Dokument określa zasady przetwarzania oraz zabezpieczania Danych osobowych przez psychoterapeutę, celem zapewnienia zbieżności przetwarzania z wymaganiami RODO oraz przepisami bezwzględnie obowiązującego prawa polskiego w zakresie przetwarzania danych osobowych. Dokument zawiera:

  • opis zasad ochrony danych obowiązujących psychoterapeutę,
  • zbiór procedur i regulacji dotyczących przetwarzania danych osobowych przez psychoterapeutę,

3. Psychoterapeuta przetwarza dane osobowe. Jednocześnie nie podejmuje się działań, które mogą stanowić ryzyko dla praw oraz wolności osób, których dotyczą przetwarzane dane.

4. Obszar, w którym dane są przetwarzane, dotyczy dokumentacji papierowej, tj., kalendarza oraz osobistych notatek psychoterapeuty, jak i danych elektronicznych zapisanych  w telefonie, komputerze, dyktafonie, kamerze, w poczcie elektronicznej.

§3 Ogólny poziom ochrony danych osobowych

1. Psychoterapeuta jest zobowiązany do przetwarzania danych osobowych pacjenta zgodnie z wymogami prawa oraz treścią niniejszego dokumentu.

2. Psychoterapeuta jest zobowiązany do zachowania danych osobowych pacjenta w tajemnicy, zgodnie z obowiązującymi przepisami prawa.

3. Psychoterapeuta jest zobowiązany do niezwłocznego zgłaszania wszelkich incydentów związanych z naruszeniem bezpieczeństwa danych osobowych pacjenta.

4. Dane osobowe pacjenta są przetwarzane zgodnie z prawem oraz w sposób przejrzysty dla pacjenta.

5. Dane osobowe pacjenta są przetwarzane tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach, związanych z realizacją usług psychoterapeutycznych przez psychoterapeutę.

6. Dane osobowe pacjenta, które umożliwiają jego identyfikację, nie są przetwarzane przez okres dłuższy, niż jest to niezbędne dla celów, w jakich są przetwarzane.

7. Dane osobowe pacjenta są przetwarzane w sposób zapewniający bezpieczeństwo danych, wliczając w to środki ochrony przed ich utratą, zniszczeniem lub uszkodzeniem.

8. Dane osobowe pacjenta na poziomie ogólnym chronione są w następujący sposób:

  • poprzez ograniczenie dostępu osób nieupoważnionych do obszaru przetwarzania danych, opisanego w §1 pkt. 5., co odbywa się poprzez zamykanie pomieszczeń, w których znajdują się nośniki danych oraz dokumentacja papierowa,
  • zapewnienie bezpieczeństwa technicznego, tj., ochrony nośników danych z pomocą oprogramowania ochronnego, aktualizację oprogramowania, ograniczenie dostępu osób nieupoważnionych do nośników danych oraz do dokumentacji, szyfrowanie dysków i nośników pamięci, również trwale zainstalowanych w komputerach stacjonarnych i przenośnych, stosowanie oprogramowania antywirusowego, ustawienie przeglądarki internetowej zapewniającej maksymalne bezpieczeństwo, zabezpieczenie hasłami indywidualnych kont na komputerach i ich nieudostępnianie innym osobom, automatyczne wygaszanie ekranu i blokowanie nieużywanego komputera po upływie określonego czasu,
  • przeprowadzenie analizy ryzyka związanego z przetwarzaniem danych osobowych.

§4 Zabezpieczenia

1. Rejestr czynności przetwarzania:

  • obejmuje czynności przetwarzania danych osobowych pacjenta,
  • opisuje on dla każdej czynności przetwarzania: a) nazwę czynności, b) cel przetwarzania, c) opis kategorii osób, których dane są przetwarzane, d) opis kategorii przetwarzanych danych osobowych, e) opis środków ochrony danych osobowych pacjenta zastosowanych podczas wybranej czynności przetwarzania.

2. Realizacja zobowiązań w stosunku do pacjenta w zakresie przetwarzania jego danych:

  • Psychoterapeuta stosuje się do formy pisemnej zgody pacjenta na przetwarzanie jego danych osobowych oraz możliwości pisemnego wycofania tejże zgody – o ile udzielenie takiej zgody jest wymagane przez obowiązujące przepisy,
  • Psychoterapeuta dba o czytelność zasad przetwarzania danych osobowych pacjenta,
  • Psychoterapeuta udostępnia pacjentowi klauzulę informacyjną o prawach pacjenta oraz zasadach przetwarzania jego danych osobowych, jak i metodach kontaktu z psychoterapeutą w sprawie danych pacjenta,
  • Psychoterapeuta zobowiązuje się do obowiązku informowania o pozyskiwaniu danych o pacjencie niebezpośrednio od niego, zmianie celu przetwarzania danych, uchyleniu prawa ograniczającego przetwarzanie, prawie do sprzeciwu względem przetwarzania danych osobowych pacjenta,
  • Psychoterapeuta usuwa dane, gdy nie są konieczne do realizacji usług psychoterapeutycznych lub innych celów, dla których były zgodnie z prawem przetwarzane, gdy zgoda na ich przetwarzanie została wycofana (o ile została uprzednio udzielona), dane były przetwarzane niezgodnie z zasadami prawa.

3. Zminimalizowanie procedur przetwarzania:

  • Psychoterapeuta działa w oparciu o zasadę minimalizacji procedur przetwarzania,
  • Psychoterapeuta przetwarza tylko dane wymagane do realizacji usługi psychoterapeutycznej,
  • Psychoterapeuta ogranicza dostęp osób nieupoważnionych do danych osobowych pacjenta,
  • Psychoterapeuta ogranicza czas przechowywania danych.

4. Fizyczne zabezpieczenia „Gabinetu” (opis technicznych i organizacyjnych środków bezpieczeństwa danych):

  • Drzwi zewnętrzne otwierane kluczem lub domofonem, posiadające zamek: każda osoba zamieszkująca lub wynajmująca lokal przynależący do budynku, posiada klucz do drzwi zewnętrznych (procedura przechowywania klucza opisana dalej),
  • Drzwi zewnętrzne II: prowadzące do korytarza, w którym znajduje się kilka lokali usługowych, posiadające jeden zamek antywłamaniowy; klucz posiada każdy najemca oraz właściciel lokalu (procedura opisana przechowywania klucza dalej),
  • Drzwi wewnętrzne: prowadzące do gabinetu, posiadające zamek, otwierane kluczem. Dostęp do klucza posiada kilku psychoterapeutów wynajmujących lokal oraz właściciel (procedura opisana przechowywania klucza dalej).
  • Przechowywanie klucza przez psychoterapeutę. Klucz przechowywany jest w biurze psychoterapeuty i nie mają do niego dostępu osoby trzecie. Klucz nie jest podpisany, co ma zabezpieczać przed identyfikacją lokalu, który otwiera.

5. Fizyczne zabezpieczenia „Biura” (opis technicznych i organizacyjnych środków bezpieczeństwa danych):

  • otwierane kluczem lub domofonem, posiadające zamek: każda osoba zamieszkująca lub wynajmująca lokal przynależący do budynku, posiada klucz do drzwi zewnętrznych. drzwi wewnętrzne posiadające dwa zamki: normalny oraz antywłamaniowy. Klucze do biura posiada jedynie psychoterapeuta.

§5 Informacje ogólne na temat przechowywania danych i środków zabezpieczających

1. Pacjent może wyrazić zgodę na pozyskiwanie, przechowywanie i przetwarzanie jego danych wrażliwych. Przetwarzanie zwykłych danych osobowych następuje w związku z wykonywaniem umowy o świadczenie usług i nie wymaga udzielani zgody na przetwarzanie danych osobowych.

2. Pacjent dobrowolnie i świadomie przekazuje wszelkie dane osobowe i/lub dane wrażliwe istotne do możliwości realizacji przez psychoterapeutę ustalonych usług. Wszystkie dane osobowe i/lub wrażliwe podlegają  procedurom RODO obowiązującym od 25.05.2018, ponadto każdy pacjent może wyrazić stosowną zgodę na pozyskiwanie, przechowywanie i przetwarzanie danych wrażliwych w oparciu o procedury RODO obowiązujące od 25.05.2018.

3. Miejscem przechowywania danych osobowych oraz danych wrażliwych jest biuro, znajdujące się pod adresem:
ul. Zamkowa 19/10, 30-301 Kraków. Dane osobowe mogą znajdować się również w innych miejscach, pozostających do dyspozycji podmiotów przetwarzających, jeżeli doszło do powierzenia przetwarzania danych tym podmiotom.

4. W sytuacji zagubienia i/lub kradzieży klucza i/lub kluczy do biura następuje wymiana zamka/zamków na nowy.

§6 Forma pozyskiwania, przechowywania i przetwarzania danych osobowych oraz danych wrażliwych.

1. Dokumentacja papierowa: może zawierać treści posiadające dane osobowe i/lub wrażliwe, zapis przebiegu realizacji usług (przy dokumentacji papierowej dotyczącej procesu psychoterapii nie jest konieczny każdorazowy zapis zrealizowanej sesji psychoterapii.

2. Psychoterapeuta nie podlega przepisom regulowanym przez NFZ, jednak na potrzeby zapewnienia wysokich standardów realizowanych usług, psychoterapeuta:

  1. dokonuje zapisu przebiegu zrealizowanej usługi (w momentach uznanych za istotne w procesie leczenia),
  2. przechowuje następujące dokumenty: kserokopie dokumentacji dostarczoną przez pacjenta, umowy, faktury, kontrakty terapeutyczne, zgody na realizację usług, zgody na pozyskiwanie, przechowywanie i przetwarzanie danych wrażliwych, zgody osób bliskich na kontakt, pozyskiwanie, przechowywanie i przetwarzanie danych osobowych i/lub wrażliwych, wszelkie inne, nieuwzględnione powyżej, formy dokumentacji papierowej.

§7 Nośniki danych, środki ochronne oraz procedury naprawcze

1. Dokumentacja papierowa przechowywana jest w biurze, przenoszona jest w zabezpieczonej teczce uniemożliwiającej wypadnięcie dokumentu. Dokumentacja jest narażona na ryzyko kradzieży lub zagubienia. Środki ochronne to, próba uniemożliwienia kradzieży, natychmiastowe zgłoszenie zdarzenia na policji, przekazanie pacjentowi informacji o kradzieży lub innej formie utraty danych osobowych, bądź danych wrażliwych, wraz z informacją o zastosowanych procedurach naprawczych.

2. Kalendarz w wersji papierowej zawiera imię i nazwisko pacjenta,  jego numer telefonu, daty i godziny umówionych spotkań celem realizacji ustalonych usług. Kalendarz jest narażony na ryzyko kradzieży lub zagubienia. Środki ochronne to, przenoszenie kalendarza w zabezpieczonej teczce uniemożliwiającej wypadnięcie, próba uniemożliwienia kradzieży, natychmiastowe zgłoszenie zdarzenia na policji, przekazanie pacjentowi informacji o kradzieży lub innej formie utraty danych osobowych, bądź danych wrażliwych, wraz z informacją o zastosowanych procedurach naprawczych. Po zakończeniu roku kalendarzowego i konieczności użycia nowego kalendarza papierowego, kalendarz pozostaje przechowywany w zamkniętej na klucz szafce w „biurze” przez okres jednego roku. Po okresie jednego roku kalendarz zostaje zniszczony przy użyciu niszczarki.

3. Dokumentacja papierowa po zakończeniu realizacji usług przechowywana jest przez okres 3 lat (jeżeli nie została wystawiona faktura imienna na rzecz pacjenta) lub 5 lat (jeżeli została wystawiona faktura imienna na rzecz pacjenta) od zakończenia wykonania umowy, następnie jest niszczona w niszczarce lub w inny trwały sposób.

4. Komputer posiada dane oraz może posiadać dane wrażliwe zapisane na dysku. Komputer zabezpieczony jest hasłem, komputer posiada stosowne programy zabezpieczające antywłamaniowe i antywirusowe. Dyski, na których przechowywane są dane pacjenta, są szyfrowane, co uniemożliwia ich odczyt z zastosowaniem innego urządzenia, niż komputer, na którym się znajdują. Komputer narażony jest na ryzyko kradzieży, ryzyko zagubienia, ryzyko kradzieży danych osobowych/danych wrażliwych drogą elektroniczną. Środki naprawcze, to próba uniemożliwienia kradzieży, zgłoszenie zdarzenia na policji, przekazanie informacji pacjentowi o utracie danych osobowych i/lub danych wrażliwych i przekazanie informacji o zastosowanych procedurach naprawczych; w sytuacji uszkodzenia komputera oddanie go celem naprawy do firmy spełniającej wymogi RODO; w sytuacji niemożliwości naprawy komputera pozostawienie zepsutego sprzętu w „biurze” w zamkniętej na klucz szafce lub zniszczenie poprzez oddanie do firmy zajmującej się niszczeniem sprzętów elektronicznych i spełniającej wymogi RODO, potwierdzenie zniszczenia poprzez stosowny dokument, regularne sporządzanie kopii zapasowych dysków twardych i stosowne ich zabezpieczenie.

sprzętów elektronicznych i spełniającej wymogi RODO; potwierdzenie zniszczenia poprzez stosowny dokument.

5. Telefon zawiera imię pacjenta, pierwszą literę jego nazwiska oraz jego numer telefonu, razem z korespondencją sms’ową, jeśli takowa istnieje. Telefon jest narażony na ryzyko kradzieży, ryzyko zagubienia. Środki zapobiegawcze, to podjęcie próby uniemożliwienia kradzieży,  zgłoszenie zdarzenia na policji, poinformowanie operatora sieci o zdarzeniu i prośba o zrealizowanie możliwych zabezpieczeń telefonu, zgłoszenie informacji do pacjenta o utracie danych osobowych i przekazanie informacji o zastosowanych procedurach naprawczych, szyfrowanie danych znajdujących się w telefonie, stosowanie biometrii lub kodu uniemożliwiające dostęp do telefonu osobie nieuprawnionej. W sytuacji uszkodzenia i/lub zniszczenia telefonu  – oddanie go celem naprawy do firmy spełniającej wymogi RODO. W sytuacji niemożliwości naprawy telefonu – pozostawienie zepsutego sprzętu w „biurze” w zamkniętej na klucz szafce lub zniszczenie poprzez oddanie do firmy zajmującej się niszczeniem sprzętów elektronicznych i spełniającej wymogi RODO; potwierdzenie zniszczenia poprzez stosowny dokument. W sytuacji potrzeby zmiany sprzętu elektronicznego na nowy i chęci odsprzedania dotychczas używanego sprzętu elektronicznego wszelkie dane osobowe i/lub dane wrażliwe zostają przekopiowane na nowy sprzęt, a następnie usunięte ze sprzętu elektronicznego przeznaczonego do wymiany na nowy.

6. Dokumentacja w formie elektronicznej przechowywana jest do 5 lat po zakończeniu realizacji usługi ustalonej z pacjentem. Następnie  jest usuwana z nośników elektronicznych lub poprzez zniszczenie sprzętu elektronicznego  poprzez oddanie go do firmy zajmującej się niszczeniem sprzętów elektronicznych i spełniającej wymogi RODO, potwierdzenie zniszczenia poprzez stosowny dokument.

§8 Drogi zbierania danych

1. Kiedy pacjent dzwoni do psychoterapeuty, dane osobowe zapisywane są w kalendarzu papierowym, tak jak zostało to opisane w §7 pkt. 6, wyłącznie w niezbędnym zakresie, w szczególności w celu umówienia wizyty.

2. Kiedy pacjenci w rozmowie przekazują informacje istotnych dla realizowania ustalonych usług, sporządzana jest notatka w dokumentacji papierowej.

3. Podczas osobistego spotkania z pacjentem w gabinecie, prowadzony jest zapis danych osobowych i/lub  danych wrażliwych w dokumentacji papierowej i/lub nośnikach elektronicznych, tak jak zostało to opisane w §7 pkt. 5.

§9 Procedura superwizyjna

1. Psychoterapeuta poddaje oferowane i zatwierdzone przez pacjenta usługi procesowi superwizji za wiedzą i pisemną zgodą pacjenta (zawartą w kontrakcie terapeutycznym), zapewniając pacjentowi anonimowość (w trakcie superwizji, superwizora obejmuje tajemnica zawodowa). W trakcie superwizji omawiany jest rodzaj zawartej usługi, jej przebieg oraz wszelkie inne informacje istotne dla procesu superwizji z zapewnieniem anonimowości (nieprzekazywania danych osobowych). Superwizja realizowana jest z zastosowaniem procedury kodowania, z wyłączeniem sytuacji zastosowania dyktafonu lub kamery. W superwizji opartej na papierowym spisie  rejestru dźwiękowego z dyktafonu, psychoterapeuta zobowiązuje się do ingerencji w zapis sesji w postaci zakodowania wszelkich danych osobowych, w tym imienia pacjenta, osób wspomnianych w zapisie, jak i lokalizacji, uniemożliwiając identyfikacje lub wyciek danych osobowych pacjenta, bądź jego identyfikację. Superwizja jest integralnym aspektem świadczonych usług. Superwizor i psychoterapeuta realizują swoje usługi w oparciu o przestrzegania wszelkich zasad tajemnicy i etyki zawodowej.

2. Celem zapewnienia najwyższych standardów realizowanych usług psychoterapeuta realizuje konsultacje z innymi specjalistami prowadzącymi leczenie pacjenta. Konsultacje realizowane są w oparciu o wiedzę i pisemną zgodę pacjenta, celem zapewnienia najwyższych standardów realizacji usług. Konsultacje oparte są o zachowanie wszelkich standardów tajemnicy i etyki zawodowej.

§10 Udostępnianie danych pacjenta

1. Dane pacjenta mogą zostać udostępnione podmiotom i organom (np. sądy, organy ścigania), którym Administrator jest zobowiązany  i/ lub upoważniony udostępnić dane osobowe na podstawie powszechnie obowiązujących przepisów prawa.

2. Dane pacjenta mogą zostać udostępnione w sytuacji zagrożenia życia lub zdrowia pacjenta, bądź jego otoczenia, tylko w sytuacji odmowy podjęcia przez pacjenta kroków interwencyjnych zapisanych w kontrakcie terapeutycznym lub zawartych ustnie na czas konsultacji diagnostycznych. W tych sytuacjach dane będą przekazane upoważnionej przez pacjenta osobie do kontaktu i/lub policji i/lub pogotowiu ratunkowemu. Dotyczy sytuacji w których pacjent stanowi zagrożenie dla życia i zdrowia, swojego lub innych, a jednocześnie odmawia zgłoszenia się do lekarza psychiatry lub na izbę przyjęć. W takiej sytuacji psychoterapeuta zostaje zwolniony z tajemnicy zawodowej. Równocześnie psychoterapeuta jest zobowiązany do poinformowania o tym fakcie pacjenta oraz osoby bliskie o zaistniałej sytuacji lub wezwaniu stosownych służb (dotyczy sytuacji odmowy przez pacjenta dobrowolnego zgłoszenia się na konsultację lekarską lub izbę przyjęć). Procedura realizowana w oparciu o stosowane  ustawy.

§ 11 Pracownicy, współpracownicy i inne podmioty przetwarzające

  1. Psychoterapeuta zatrudniający pracowników lub stale współpracujący z innymi podmiotami, które mają dostęp do danych osobowych pacjentów, zapoznaje ich z zasadami dotyczącymi przetwarzania danych osobowych określonymi w tym dokumencie oraz zobowiązuje ich do przestrzegania tych zasad.
  2. Osoby zatrudnione przez psychoterapeutę, które będą miały dostęp do danych osobowych pacjentów, otrzymają pisemne upoważnienie do przetwarzania danych osobowych.
  3. Osoby niezatrudnione przez psychoterapeutę, a w szczególności podmioty zewnętrzne, np. biuro księgowe przetwarzające dane osobowe na zlecenie administratora, będą dopuszczone do przetwarzania danych osobowych po uprzednim zawarciu na piśmie umowy o powierzeniu przetwarzania danych osobowych.
  4. Dokumenty, o których mowa w ust. 2 i ust. 3, określają w szczególności zakres dostępu do danych osobowych oraz czas trwania upoważnienia lub umowy, nie dłuższy niż czas trwania stosunku pracy lub innego stosunku, na podstawie którego strony współpracują.
  5. Umowa powierzenia przetwarzania danych osobowych zawiera wszystkie elementy wskazane w art. 28 ust. 3 rozporządzenia RODO.
  6. Z chwilą wygaśnięcia stosunku prawnego, w szczególności zatrudnienia, psychoterapeuta cofa wydane upoważnienie do przetwarzania danych osobowych oraz doprowadza do zakończenia obowiązywania umowy o powierzeniu przetwarzania danych osobowych. Psychoterapeuta jest w szczególności zobowiązany do uniemożliwienia dalszego dostępu do danych osobowych, w tym w szczególności do zablokowania dostępu do systemów informatycznych i miejsc, gdzie znajdują się dane osobowe.