RODO i bezpieczeństwo

Jak chronić dane pacjentów zgodnie z RODO — przewodnik dla psychoterapeutów

27 czerwca 2026
7 min czytania

Prowadzenie dokumentacji pacjentów wiąże się z obowiązkami wynikającymi z RODO. Sprawdź, jak uporządkować je w swojej praktyce bez zbędnej biurokracji.

Terapeuta prowadzący własną praktykę zwykle sam ustala cele i sposoby przetwarzania danych pacjentów, a więc może być ich administratorem w rozumieniu RODO. Konkretna rola zależy jednak od modelu współpracy, zawodu i organizacji placówki.

Dane o zdrowiu psychicznym należą do szczególnej kategorii danych osobowych (art. 9 RODO), co oznacza, że wymagają wyjątkowo starannej ochrony. Naruszenie tych zasad może skutkować nie tylko karą finansową, ale też utratą zaufania pacjentów.

Co dokładnie musisz zrobić jako administrator danych?

Pierwszym krokiem jest poinformowanie pacjenta o tym, w jaki sposób przetwarzasz jego dane — klauzula informacyjna powinna być wręczona na pierwszej sesji lub przed jej rozpoczęciem. Musi zawierać m.in. cel przetwarzania, podstawę prawną, okres przechowywania oraz prawa pacjenta (dostęp, sprostowanie, usunięcie).

Warto także ustalić, czy w Twojej sytuacji trzeba prowadzić Rejestr Czynności Przetwarzania. Zakres dokumentacji i obowiązków należy ocenić dla konkretnej praktyki, zamiast zakładać jeden schemat dla wszystkich.

Jeśli korzystasz z aplikacji online, sprawdź, kto odpowiada za dane, czy dostępna jest umowa powierzenia, gdzie dane są przechowywane i komu mogą być przekazywane. Te informacje powinny być jasno opisane przez dostawcę.

Papier czy cyfrowe — co jest bezpieczniejsze?

To pytanie, które często zadają psychoterapeuci. Odpowiedź jest niejednoznaczna — zarówno notatki papierowe, jak i cyfrowe mogą być bezpieczne lub niebezpieczne, zależnie od tego, jak je przechowujesz.

Papierowe notatki w szufladzie bez zamka albo pliki na słabo zabezpieczonym komputerze zwiększają ryzyko nieuprawnionego dostępu. Dobór zabezpieczeń powinien odpowiadać realnemu ryzyku, miejscu pracy i używanym urządzeniom.

Dodatkowe zabezpieczenie treści może istotnie ograniczyć ryzyko ich ujawnienia, ale nie zastępuje bezpiecznego urządzenia, silnego hasła i jasnych zasad pracy w gabinecie.

Zgoda pacjenta — kiedy jest potrzebna, a kiedy nie?

Zgoda nie zawsze jest właściwą podstawą przetwarzania danych. Wybór podstawy z art. 6 i art. 9 RODO zależy od rodzaju usługi, statusu zawodowego terapeuty i celu przetwarzania, dlatego warto potwierdzić go dla swojej praktyki.

Przed udostępnieniem danych innemu specjaliście, użyciem opisu przypadku w superwizji lub kontaktem marketingowym trzeba osobno ocenić cel, minimalny zakres danych i właściwą podstawę prawną. Często pomocne jest też uprzednie ograniczenie danych identyfikujących.

Dobrą praktyką jest uporządkowanie procesu zgód dotyczących nagrywania sesji i udostępniania dokumentacji. OtterSafe pozwala zapisać zgodę razem z podpisem złożonym na ekranie; przed użyciem takiego rozwiązania zweryfikuj jego adekwatność dla swojej praktyki.

Jak długo przechowywać dokumentację?

Okres przechowywania dokumentacji nie ma jednej bezpiecznej, uniwersalnej liczby dla każdej praktyki terapeutycznej. Ustal go na podstawie przepisów dotyczących Twojej działalności, ewentualnych roszczeń oraz zasady ograniczenia przechowywania — najlepiej po konsultacji prawnej.

Po upływie ustalonego okresu dane należy bezpiecznie usunąć albo zanonimizować. W systemie cyfrowym warto wcześniej sprawdzić procedurę eksportu, usunięcia i obsługę kopii zapasowych.

OtterSafe

Uporządkuj dokumentację w swoim gabinecie

Zacznij od bezpłatnego konta i sprawdź, czy taki sposób pracy pasuje do Twojej praktyki.

Zarejestruj się za darmo