Procedury RODO
Zasady pozyskiwania, przetwarzania i przechowywania danych
(ESENCJUM – Ewelina Główka – Usługi Psychologiczne, Prywatny Gabinet Psychoterapii)
obowiązujące od dnia 25.05.2018

§1 Słownik terminów

„Psychoterapeuta”: właściciel firmy ESENCJUM – Ewelina Główka – Usługi Psychologiczne, Prywatny Gabinet Psychoterapii.

„Pacjent”: osoba podejmująca decyzję o skorzystaniu z usług oferowanych przez psychoterapeutę.

„Gabinet” – miejsce realizacji usług udzielanych pacjentowi przez psychoterapeutę.

„Biuro”- miejsce pracy psychoterapeuty nad działaniami administracyjno–biurowymi i naukowymi; miejsce naukowych analiz pracy terapeutycznej oraz tworzenia opinii lub zaświadczeń na prośbę pacjenta.

„Osoby bliskie”- osoby pozostające w emocjonalnej i/lub prawnej relacji wobec pacjenta, których dane osobowe i/lub dane wrażliwe pozostają pozyskiwane, przechowywane i przetwarzane przez psychoterapeutę celem realizacji usług.

§2 Postanowienia ogólne

1. Uwzględniając obowiązki wynikające z art. 25 oraz art. 32 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1), celem zapewnienia, że dane osobowe w firmie ESENCJUM – Ewelina Główka – Usługi Psychologiczne, Prywatny Gabinet Psychoterapii, są przetwarzane i zabezpieczone zgodnie z postanowieniami prawa poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zaprojektowanych w celu skutecznej realizacji zasad ochrony danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń postanawia się stosować poniższe reguły do przetwarzania danych osobowych.

2. Dokument określa zasady przetwarzania oraz zabezpieczania Danych osobowych przez psychoterapeutę, celem zapewnienia zbieżności przetwarzania z wymaganiami RODO oraz przepisami bezwzględnie obowiązującego prawa polskiego w zakresie przetwarzania danych osobowych. Dokument zawiera:

  • opis zasad ochrony danych obowiązujących psychoterapeutę,
  • zbiór procedur i regulacji dotyczących przetwarzania danych osobowych przez psychoterapeutę,

3. Psychoterapeuta przetwarza dane osobowe. Jednocześnie nie podejmuje się działań, które mogą stanowić ryzyko dla praw oraz wolności osób, których dotyczą przetwarzane dane.

4. Obszar, w którym dane są przetwarzane, dotyczy dokumentacji papierowej, tj., kalendarza oraz osobistych notatek psychoterapeuty, jak i danych elektronicznych zapisanych w telefonie, komputerze, dyktafonie, kamerze, w poczcie elektronicznej.

§3 Ogólny poziom ochrony danych osobowych

1. Psychoterapeuta jest zobowiązany do przetwarzania danych osobowych pacjenta zgodnie z wymogami prawa oraz treścią niniejszego dokumentu.

2. Psychoterapeuta jest zobowiązany do zachowania danych osobowych pacjenta w tajemnicy, zgodnie z obowiązującymi przepisami prawa.

3. Psychoterapeuta jest zobowiązany do niezwłocznego zgłaszania wszelkich incydentów związanych z naruszeniem bezpieczeństwa danych osobowych pacjenta.

4. Dane osobowe pacjenta są przetwarzane zgodnie z prawem oraz w sposób przejrzysty dla pacjenta.

5. Dane osobowe pacjenta są przetwarzane tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach, związanych z realizacją usług psychoterapeutycznych przez psychoterapeutę.

6. Dane osobowe pacjenta, które umożliwiają jego identyfikację, nie są przetwarzane przez okres dłuższy, niż jest to niezbędne dla celów, w jakich są przetwarzane.

7. Dane osobowe pacjenta są przetwarzane w sposób zapewniający bezpieczeństwo danych, wliczając w to środki ochrony przed ich utratą, zniszczeniem lub uszkodzeniem.

8. Dane osobowe pacjenta na poziomie ogólnym chronione są w następujący sposób:

  • poprzez ograniczenie dostępu osób nieupoważnionych do obszaru przetwarzania danych, opisanego w §1 pkt. 5., co odbywa się poprzez zamykanie pomieszczeń, w których znajdują się nośniki danych oraz dokumentacja papierowa,
  • zapewnienie bezpieczeństwa technicznego, tj., ochrony nośników danych z pomocą oprogramowania ochronnego, aktualizację oprogramowania, ograniczenie dostępu osób nieupoważnionych do nośników danych oraz do dokumentacji, szyfrowanie dysków i nośników pamięci, również trwale zainstalowanych w komputerach stacjonarnych i przenośnych, stosowanie oprogramowania antywirusowego, ustawienie przeglądarki internetowej zapewniającej maksymalne bezpieczeństwo, zabezpieczenie hasłami indywidualnych kont na komputerach i ich nieudostępnianie innym osobom, automatyczne wygaszanie ekranu i blokowanie nieużywanego komputera po upływie określonego czasu,
  • przeprowadzenie analizy ryzyka związanego z przetwarzaniem danych osobowych.

§4 Zabezpieczenia

1. Rejestr czynności przetwarzania:

  • obejmuje czynności przetwarzania danych osobowych pacjenta,
  • opisuje on dla każdej czynności przetwarzania: a) nazwę czynności, b) cel przetwarzania, c) opis kategorii osób, których dane są przetwarzane, d) opis kategorii przetwarzanych danych osobowych, e) opis środków ochrony danych osobowych pacjenta zastosowanych podczas wybranej czynności przetwarzania.

2. Realizacja zobowiązań w stosunku do pacjenta w zakresie przetwarzania jego danych:

  • Psychoterapeuta stosuje się do formy pisemnej zgody pacjenta na przetwarzanie jego danych osobowych oraz możliwości pisemnego wycofania tejże zgody – o ile udzielenie takiej zgody jest wymagane przez obowiązujące przepisy,
  • Psychoterapeuta dba o czytelność zasad przetwarzania danych osobowych pacjenta,
  • Psychoterapeuta udostępnia pacjentowi klauzulę informacyjną o prawach pacjenta oraz zasadach przetwarzania jego danych osobowych, jak i metodach kontaktu z psychoterapeutą w sprawie danych pacjenta,
  • Psychoterapeuta zobowiązuje się do obowiązku informowania o pozyskiwaniu danych o pacjencie niebezpośrednio od niego, zmianie celu przetwarzania danych, uchyleniu prawa ograniczającego przetwarzanie, prawie do sprzeciwu względem przetwarzania danych osobowych pacjenta,
  • Psychoterapeuta usuwa dane, gdy nie są konieczne do realizacji usług psychoterapeutycznych lub innych celów, dla których były zgodnie z prawem przetwarzane, gdy zgoda na ich przetwarzanie została wycofana (o ile została uprzednio udzielona), dane były przetwarzane niezgodnie z zasadami prawa.

3. Zminimalizowanie procedur przetwarzania:

  • Psychoterapeuta działa w oparciu o zasadę minimalizacji procedur przetwarzania,
  • Psychoterapeuta przetwarza tylko dane wymagane do realizacji usługi psychoterapeutycznej,
  • Psychoterapeuta ogranicza dostęp osób nieupoważnionych do danych osobowych pacjenta,
  • Psychoterapeuta ogranicza czas przechowywania danych.

4. Fizyczne zabezpieczenia „Gabinetu” (opis technicznych i organizacyjnych środków bezpieczeństwa danych):

  • Drzwi zewnętrzne otwierane kluczem lub domofonem, posiadające zamek: każda osoba zamieszkująca lub wynajmująca lokal przynależący do budynku, posiada klucz do drzwi zewnętrznych (procedura przechowywania klucza opisana dalej),
  • Drzwi zewnętrzne II: prowadzące do korytarza, w którym znajduje się kilka lokali usługowych, posiadające jeden zamek antywłamaniowy; klucz posiada każdy najemca oraz właściciel lokalu (procedura opisana przechowywania klucza dalej),
  • Drzwi wewnętrzne: prowadzące do gabinetu, posiadające zamek, otwierane kluczem. Dostęp do klucza posiada kilku psychoterapeutów wynajmujących lokal oraz właściciel (procedura opisana przechowywania klucza dalej).
  • Przechowywanie klucza przez psychoterapeutę. Klucz przechowywany jest w biurze psychoterapeuty i nie mają do niego dostępu osoby trzecie. Klucz nie jest podpisany, co ma zabezpieczać przed identyfikacją lokalu, który otwiera.

5. Fizyczne zabezpieczenia „Biura” (opis technicznych i organizacyjnych środków bezpieczeństwa danych):

  • otwierane kluczem lub domofonem, posiadające zamek: każda osoba zamieszkująca lub wynajmująca lokal przynależący do budynku, posiada klucz do drzwi zewnętrznych. drzwi wewnętrzne posiadające dwa zamki: normalny oraz antywłamaniowy. Klucze do biura posiada jedynie psychoterapeuta.

§5 Informacje ogólne na temat przechowywania danych i środków zabezpieczających

1. Pacjent może wyrazić zgodę na pozyskiwanie, przechowywanie i przetwarzanie jego danych wrażliwych. Przetwarzanie zwykłych danych osobowych następuje w związku z wykonywaniem umowy o świadczenie usług i nie wymaga udzielani zgody na przetwarzanie danych osobowych.

2. Pacjent dobrowolnie i świadomie przekazuje wszelkie dane osobowe i/lub dane wrażliwe istotne do możliwości realizacji przez psychoterapeutę ustalonych usług. Wszystkie dane osobowe i/lub wrażliwe podlegają  procedurom RODO obowiązującym od 25.05.2018, ponadto każdy pacjent może wyrazić stosowną zgodę na pozyskiwanie, przechowywanie i przetwarzanie danych wrażliwych w oparciu o procedury RODO obowiązujące od 25.05.2018.

3. Miejscem przechowywania danych osobowych oraz danych wrażliwych jest biuro, znajdujące się pod adresem:
ul. Kamienna 5A/14, 55-200 Oława. Dane osobowe mogą znajdować się również w innych miejscach, pozostających do dyspozycji podmiotów przetwarzających, jeżeli doszło do powierzenia przetwarzania danych tym podmiotom.

4. W sytuacji zagubienia i/lub kradzieży klucza i/lub kluczy do biura następuje wymiana zamka/zamków na nowy.

§6 Forma pozyskiwania, przechowywania i przetwarzania danych osobowych oraz danych wrażliwych.

1. Dokumentacja papierowa: może zawierać treści posiadające dane osobowe i/lub wrażliwe, zapis przebiegu realizacji usług (przy dokumentacji papierowej dotyczącej procesu psychoterapii nie jest konieczny każdorazowy zapis zrealizowanej sesji psychoterapii.

2. Psychoterapeuta nie podlega przepisom regulowanym przez NFZ, jednak na potrzeby zapewnienia wysokich standardów realizowa0nych usług, psychoterapeuta:

  1. dokonuje zapisu przebiegu zrealizowanej usługi (w momentach uznanych za istotne w procesie leczenia),
  2. przechowuje następujące dokumenty: kserokopie dokumentacji dostarczoną przez pacjenta, umowy, faktury, kontrakty terapeutyczne, zgody na realizację usług, zgody na pozyskiwanie, przechowywanie i przetwarzanie danych wrażliwych, zgody osób bliskich na kontakt, pozyskiwanie, przechowywanie i przetwarzanie danych osobowych i/lub wrażliwych, wszelkie inne, nieuwzględnione powyżej, formy dokumentacji papierowej.

§7 Nośniki danych, środki ochronne oraz procedury naprawcze

1. Dokumentacja papierowa przechowywana jest w biurze, przenoszona jest w zabezpieczonej teczce uniemożliwiającej wypadnięcie dokumentu. Dokumentacja jest narażona na ryzyko kradzieży lub zagubienia. Środki ochronne to, próba uniemożliwienia kradzieży, natychmiastowe zgłoszenie zdarzenia na policji, przekazanie pacjentowi informacji o kradzieży lub innej formie utraty danych osobowych, bądź danych wrażliwych, wraz z informacją o zastosowanych procedurach naprawczych.

2. Kalendarz w wersji papierowej zawiera imię i nazwisko pacjenta,  jego numer telefonu, daty i godziny umówionych spotkań celem realizacji ustalonych usług. Kalendarz jest narażony na ryzyko kradzieży lub zagubienia. Środki ochronne to, przenoszenie kalendarza w zabezpieczonej teczce uniemożliwiającej wypadnięcie, próba uniemożliwienia kradzieży, natychmiastowe zgłoszenie zdarzenia na policji, przekazanie pacjentowi informacji o kradzieży lub innej formie utraty danych osobowych, bądź danych wrażliwych, wraz z informacją o zastosowanych procedurach naprawczych. Po zakończeniu roku kalendarzowego i konieczności użycia nowego kalendarza papierowego, kalendarz pozostaje przechowywany w zamkniętej na klucz szafce w „biurze” przez okres jednego roku. Po okresie jednego roku kalendarz zostaje zniszczony przy użyciu niszczarki.

3. Dokumentacja papierowa po zakończeniu realizacji usług przechowywana jest przez okres 3 lat (jeżeli nie została wystawiona faktura imienna na rzecz pacjenta) lub 5 lat (jeżeli została wystawiona faktura imienna na rzecz pacjenta) od zakończenia wykonania umowy, następnie jest niszczona w niszczarce lub w inny trwały sposób.

4. Komputer posiada dane oraz może posiadać dane wrażliwe zapisane na dysku. Komputer zabezpieczony jest hasłem, komputer posiada stosowne programy zabezpieczające antywłamaniowe i antywirusowe. Dyski, na których przechowywane są dane pacjenta, są szyfrowane, co uniemożliwia ich odczyt z zastosowaniem innego urządzenia, niż komputer, na którym się znajdują. Komputer narażony jest na ryzyko kradzieży, ryzyko zagubienia, ryzyko kradzieży danych osobowych/danych wrażliwych drogą elektroniczną. Środki naprawcze, to próba uniemożliwienia kradzieży, zgłoszenie zdarzenia na policji, przekazanie informacji pacjentowi o utracie danych osobowych i/lub danych wrażliwych i przekazanie informacji
o zastosowanych procedurach naprawczych; w sytuacji uszkodzenia komputera oddanie go celem naprawy do firmy spełniającej wymogi RODO; w sytuacji niemożliwości naprawy komputera pozostawienie zepsutego sprzętu w „biurze”
w zamkniętej na klucz szafce lub zniszczenie poprzez oddanie do firmy zajmującej się niszczeniem sprzętów elektronicznych i spełniającej wymogi RODO, potwierdzenie zniszczenia poprzez stosowny dokument, regularne sporządzanie kopii zapasowych dysków twardych i stosowne ich zabezpieczenie.

5. Dyktafon zawiera rejestr dźwiękowy zapisu z przebiegu realizowanej usługi (dokonywany za wiedzą i świadomą zgodą pacjenta). Rejestr dźwięku na dyktafonie za pisemną zgodą pacjenta, realizowany jest celem podnoszenia merytoryki i skuteczności realizowanych usług oraz poddawanie realizowanych usług procesowi superwizji w formie zapisu papierowego (przepisanie dialogu np. pacjenta- terapeuty)  i/lub dźwiękowego (odsłuchanie podczas superwizji zapisu rejestru dźwiękowego ze zrealizowanej usługi- np. całości sesji lub fragmentu sesji). Użycie dyktafonu w trakcie sesji wymaga świadomej wiedzy
i pisemnej zgody pacjenta. Dyktafon jest narażony na ryzyko kradzieży, ryzyko zagubienia. Procedury zapobiegawcze, to zabezpieczenie transportu (transport w torbie na dokumenty), próba uniemożliwienia kradzieży. Nazwy nagrań na dyktafonie są kodowane, co uniemożliwia identyfikację osoby nagrywanej oraz miejsca i daty nagrania. Nagrania przechowywane są na dyktafonie przez maksymalnie 7 dni, po czym zostają skasowane. Wyjątkiem są jedynie nagrania wykorzystywane do superwizji, które mogą być 1) przechowywane przez maksymalnie 14 dni na dyktafonie, celem ich odsłuchania, 2) zapisane na komputerze na szyfrowanym dysku oraz poddane procedurze szyfrowania danych, celem sporządzenia transkrypcji sesji. Transkrypcja sesji uniemożliwia identyfikację pacjenta poprzez zastąpienie oryginalnych danych przez dane losowe. Transkrypcje sesji są przechowywane razem z dokumentacją papierową i traktowane na tych samych zasadach. Środki zaradcze, to próba uniemożliwienia kradzieży w chwili jej zaistnienia, zgłoszenie zdarzenia na policji, przekazanie pacjentowi informacji o podjętych procedurach naprawczych. W sytuacji uszkodzenia dyktafonu – oddanie go celem naprawy do firmy spełniającej wymogi RODO. W sytuacji niemożliwości naprawy dyktafonu – pozostawienie zepsutego sprzętu w „biurze”
w zamkniętej na klucz szafce lub zniszczenie poprzez oddanie do firmy zajmującej się niszczeniem sprzętów elektronicznych i spełniającej wymogi RODO; potwierdzenie zniszczenia poprzez stosowny dokument.

6. Telefon zawiera imię i nazwisko pacjenta oraz jego numer telefonu, razem z korespondencją SMS-ową, jeśli takowa istnieje. Telefon jest narażony na ryzyko kradzieży, ryzyko zagubienia. Środki zapobiegawcze to: podjęcie próby uniemożliwienia kradzieży, zgłoszenie zdarzenia na policji, poinformowanie operatora sieci o zdarzeniu i prośba o zrealizowanie możliwych zabezpieczeń telefonu, zgłoszenie informacji do pacjenta o utracie danych osobowych i przekazanie informacji
o zastosowanych procedurach naprawczych, szyfrowanie danych znajdujących się w telefonie, stosowanie biometrii lub kodu uniemożliwiające dostęp do telefonu osobie nieuprawnionej. W sytuacji uszkodzenia i/lub zniszczenia telefonu  – oddanie go celem naprawy do firmy spełniającej wymogi RODO. W sytuacji niemożliwości naprawy telefonu – pozostawienie zepsutego sprzętu w „biurze” w zamkniętej na klucz szafce lub zniszczenie poprzez oddanie do firmy zajmującej się niszczeniem sprzętów elektronicznych i spełniającej wymogi RODO; potwierdzenie zniszczenia poprzez stosowny dokument. W sytuacji potrzeby zmiany sprzętu elektronicznego na nowy i chęci odsprzedania dotychczas używanego sprzętu elektronicznego wszelkie dane osobowe i/lub dane wrażliwe zostają przekopiowane na nowy sprzęt, a następnie usunięte ze sprzętu elektronicznego przeznaczonego do wymiany na nowy.

7. Kamera zawiera rejestr obrazu i dźwięku, związany z przebiegiem realizowanej usługi (dokonywany za wiedzą i świadomą zgodą pacjenta). Rejestr za pisemną zgodą pacjenta, realizowany jest celem podnoszenia merytoryki i skuteczności realizowanych usług oraz poddawanie realizowanych usług procesowi superwizji w formie zapisu video (zapoznanie się podczas superwizji z zapisem audio-video ze zrealizowanej usługi – całości sesji lub fragmentu). Użycie kamery w trakcie sesji wymaga świadomej wiedzy i pisemnej zgody pacjenta. Kamera jest narażona na ryzyko kradzieży, ryzyko zagubienia. Procedury zapobiegawcze, to zabezpieczenie transportu (transport w torbie na dokumenty), próba uniemożliwienia kradzieży. Nagrania nie są przechowywane na kamerze – są kasowane zaraz po sesji. Wyjątkiem są jedynie nagrania wykorzystywane do superwizji, które mogą być 1) przechowywane przez maksymalnie 7 dni na kamerze, celem ich odsłuchania, 2) zapisane na komputerze na szyfrowanym dysku oraz poddane procedurze szyfrowania danych, celem odsłuchania ich z komputera, gdzie mogą być przechowywane maksymalnie 14 dni. Środki zaradcze, to kasowanie nagrań, które nie zostały wybrane do superwizji, próba uniemożliwienia kradzieży w chwili jej zaistnienia, zgłoszenie zdarzenia na policji, przekazanie pacjentowi informacji o podjętych procedurach naprawczych. W sytuacji uszkodzenia dyktafonu – oddanie go celem naprawy do firmy spełniającej wymogi RODO. W sytuacji niemożliwości naprawy dyktafonu – pozostawienie zepsutego sprzętu w „biurze” w zamkniętej na klucz szafce lub zniszczenie poprzez oddanie do firmy zajmującej się niszczeniem sprzętów elektronicznych i spełniającej wymogi RODO; potwierdzenie zniszczenia poprzez stosowny dokument.

8. Dokumentacja w formie elektronicznej przechowywana jest do 5 lat po zakończeniu realizacji usługi ustalonej z pacjentem. Następnie jest usuwana z nośników elektronicznych lub poprzez zniszczenie sprzętu elektronicznego poprzez oddanie go do firmy zajmującej się niszczeniem sprzętów elektronicznych i spełniającej wymogi RODO, potwierdzenie zniszczenia poprzez stosowny dokument.

§8 Drogi zbierania danych

1. Kiedy pacjent dzwoni do psychoterapeuty, dane osobowe zapisywane są w kalendarzu papierowym, tak jak zostało to opisane w §7 pkt. 6, wyłącznie w niezbędnym zakresie, w szczególności w celu umówienia wizyty.

2. Kiedy pacjenci w rozmowie przekazują informacje istotnych dla realizowania ustalonych usług, sporządzana jest notatka w dokumentacji papierowej.

3. Podczas osobistego spotkania z pacjentem w gabinecie, prowadzony jest zapis danych osobowych i/lub danych wrażliwych w dokumentacji papierowej i/lub nośnikach elektronicznych, tak jak zostało to opisane w §7 pkt. 5.

§9 Procedura superwizyjna

1. Psychoterapeuta poddaje oferowane i zatwierdzone przez pacjenta usługi procesowi superwizji za wiedzą i pisemną zgodą pacjenta (zawartą w kontrakcie terapeutycznym), zapewniając pacjentowi anonimowość (w trakcie superwizji, superwizora obejmuje tajemnica zawodowa). W trakcie superwizji omawiany jest rodzaj zawartej usługi, jej przebieg oraz wszelkie inne informacje istotne dla procesu superwizji z zapewnieniem anonimowości (nieprzekazywania danych osobowych). Superwizja realizowana jest z zastosowaniem procedury kodowania, z wyłączeniem sytuacji zastosowania dyktafonu lub kamery. W superwizji opartej na papierowym spisie  rejestru dźwiękowego z dyktafonu, psychoterapeuta zobowiązuje się do ingerencji w zapis sesji w postaci zakodowania wszelkich danych osobowych, w tym imienia pacjenta, osób wspomnianych w zapisie, jak i lokalizacji, uniemożliwiając identyfikacje lub wyciek danych osobowych pacjenta, bądź jego identyfikację. Superwizja jest integralnym aspektem świadczonych usług. Superwizor i psychoterapeuta realizują swoje usługi w oparciu o przestrzegania wszelkich zasad tajemnicy i etyki zawodowej.

2. Celem zapewnienia najwyższych standardów realizowanych usług psychoterapeuta realizuje konsultacje z innymi specjalistami prowadzącymi leczenie pacjenta. Konsultacje realizowane są w oparciu o wiedzę i pisemną zgodę pacjenta, celem zapewnienia najwyższych standardów realizacji usług. Konsultacje oparte są o zachowanie wszelkich standardów tajemnicy
i etyki zawodowej.

§10 Udostępnianie danych pacjenta

1. Dane pacjenta mogą zostać udostępnione podmiotom i organom (np. sądy, organy ścigania), którym Administrator jest zobowiązany  i/lub upoważniony udostępnić dane osobowe na podstawie powszechnie obowiązujących przepisów prawa.

2. Dane pacjenta mogą zostać udostępnione w sytuacji zagrożenia życia lub zdrowia pacjenta, bądź jego otoczenia, tylko w sytuacji odmowy podjęcia przez pacjenta kroków interwencyjnych zapisanych w kontrakcie terapeutycznym lub zawartych ustnie na czas konsultacji diagnostycznych. W tych sytuacjach dane będą przekazane upoważnionej przez pacjenta osobie do kontaktu i/lub policji i/lub pogotowiu ratunkowemu. Dotyczy sytuacji w których pacjent stanowi zagrożenie dla życia i zdrowia, swojego lub innych, a jednocześnie odmawia zgłoszenia się do lekarza psychiatry lub na izbę przyjęć. W takiej sytuacji psychoterapeuta zostaje zwolniony z tajemnicy zawodowej. Równocześnie psychoterapeuta jest zobowiązany do poinformowania o tym fakcie pacjenta oraz osoby bliskiej o zaistniałej sytuacji lub wezwaniu stosownych służb (dotyczy sytuacji odmowy przez pacjenta dobrowolnego zgłoszenia się na konsultację lekarską lub izbę przyjęć). Procedura realizowana w oparciu o stosowane  ustawy.

§ 11 Pracownicy, współpracownicy i inne podmioty przetwarzające

  1. Psychoterapeuta zatrudniający pracowników lub stale współpracujący z innymi podmiotami, które mają dostęp do danych osobowych pacjentów, zapoznaje ich z zasadami dotyczącymi przetwarzania danych osobowych określonymi w tym dokumencie oraz zobowiązuje ich do przestrzegania tych zasad.
  2. Osoby zatrudnione przez psychoterapeutę, które będą miały dostęp do danych osobowych pacjentów, otrzymają pisemne upoważnienie do przetwarzania danych osobowych.
  3. Osoby niezatrudnione przez psychoterapeutę, a w szczególności podmioty zewnętrzne, np. biuro księgowe przetwarzające dane osobowe na zlecenie administratora, będą dopuszczone do przetwarzania danych osobowych po uprzednim zawarciu na piśmie umowy o powierzeniu przetwarzania danych osobowych.
  4. Dokumenty, o których mowa w ust. 2 i ust. 3, określają w szczególności zakres dostępu do danych osobowych oraz czas trwania upoważnienia lub umowy, nie dłuższy niż czas trwania stosunku pracy lub innego stosunku, na podstawie którego strony współpracują.
  5. Umowa powierzenia przetwarzania danych osobowych zawiera wszystkie elementy wskazane w art. 28 ust. 3 rozporządzenia RODO.
  6. Z chwilą wygaśnięcia stosunku prawnego, w szczególności zatrudnienia, psychoterapeuta cofa wydane upoważnienie do przetwarzania danych osobowych oraz doprowadza do zakończenia obowiązywania umowy o powierzeniu przetwarzania danych osobowych. Psychoterapeuta jest w szczególności zobowiązany do uniemożliwienia dalszego dostępu do danych osobowych, w tym w szczególności do zablokowania dostępu do systemów informatycznych i miejsc, gdzie znajdują się dane osobowe.

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

1. Zgodnie z art. 13 ust. 1 Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE z 4.5.2016 L119) (RODO, zwane dalej „RODO”) informuję, iż: Administratorem danych osobowych pacjenta jest (Imię, nazwisko, nazwa firmy oraz adres) ESESNCJUM – Ewelina Główka – Usługi Psychologiczne, Prywatny Gabinet Psychoterapii, ul. Kamienna 5A/14, 55-200 Oława, zwany dalej „psychoterapeutą”.

2. W sprawach związanych z danymi należy kontaktować się osobiście lub telefonicznie pod numerem 790804466 lub za pośrednictwem poczty elektronicznej esencjum@gmail.com.

3. Dane pacjenta będą przetwarzane:

    1. w celu zawarcia  i  wykonywania  umowy  o prowadzenie  psychoterapii lub innych usług świadczonych przez psychoterapeutę, co jest niezbędne do wykonania umowy, której stroną jest pacjent lub do podjęcia działań na jego żądanie, przed zawarciem umowy – podstawą prawną przetwarzania jest art. 6 ust. 1 lit. b RODO;
    2. w celu ewentualnego ustalenia,  dochodzenia  lub  obrony  przed  roszczeniami,  co  jest  prawnie uzasadnionym interesem administratora – podstawą prawną przetwarzania jest art. 6 ust. 1 lit. f RODO;
    3. dane szczególnych kategorii (tzw. dane wrażliwe, w tym takie jak dane o stanie zdrowia, stosowanej obecnie lub w przeszłości farmakoterapii, informacje o korzystaniu obecnie lub w przeszłości
      z konsultacji u specjalistów z różnych dziedzin, informacje biograficzne dotyczące pacjenta oraz jego rodziny, istotne dla powodzenia realizacji ustalonych usług – np.: o pochodzeniu, rodzinie,) będą przetwarzane na podstawie udzielonej przez pacjenta zgody, zgodnie z art. 9 ust. 2 lit. a RODO, w celu należytej realizacji usługi przez psychoterapeutę.

4. Dane osobowe pacjenta mogą zostać udostępnione:

  • podmiotom przetwarzającym dane na zlecenie administratora, np. zewnętrznemu podmiotowi prowadzącemu księgowość na rzecz administratora, dostawcy usług hostingowych w zakresie poczty elektronicznej, innym podmiotom świadczący usługi na rzecz administratora;
  • innym ustalonym z pacjentem specjalistom prowadzącym leczenie pacjenta (np.: psychiatra) lub podmiotom – również w zakresie danych wrażliwych, o ile została wyrażona zgoda w tym zakresie.

5. Dane osobowe pacjenta nie będą przekazywane do państwa trzeciego, ani organizacji międzynarodowej.

6. Dane będą przechowywane przez okres 3 (jeżeli nie została wystawiona faktura imienna na rzecz pacjenta) lub 5 lat (jeżeli została wystawiona faktura imienna na rzecz pacjenta) od zakończenia wykonania umowy.

7. Pacjent posiada prawo dostępu do swoich danych oraz prawo do ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania (jeżeli przetwarzanie odbywa się na podstawie zgody), którego dokonano na podstawie zgody przed jej cofnięciem. Prawa te przysługują w sytuacjach określonych przez przepisy RODO oraz ustaw krajowych.

8. Pacjent ma prawo wniesienia skargi, gdy uzna że przetwarzanie jego danych narusza przepisy rozporządzenia. Psychoterapeuta ma obowiązek do ustosunkowania się do skargi w ciągu 30 dni od momentu wniesienia skargi. W sytuacji, gdy psychoterapeuta uzna ją za uzasadnioną z punktu widzenia rozporządzenia, albo pacjent to udowodni, psychoterapeuta ma obowiązek dostosować uzasadnione nieprawidłowości w procedurach przetwarzania danych, zgodnie z wytycznymi rozporządzenia.

9. Pacjent ma prawo wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych, gdy uzna, że przetwarzanie jego danych narusza przepisy.

10. Podanie przez pacjenta danych jest dobrowolne, aczkolwiek odmowa ich podania jest równoznaczna z brakiem możliwości rzetelnego wykonania stosownej usługi oraz z brakiem możliwości realizacji usługi przez psychoterapeutę. Odmowa podania danych wrażliwych może mieć wpływ na jakość świadczonej usługi.

11. Pacjent może wycofać zgodę poprzez osobiste złożenie wycofania zgody lub poprzez przesłanie jej na adres korespondencyjny psychoterapeuty.

12. Podane dane nie będą profilowane ani poddawane procesom automatyzowanego podejmowania decyzji.