Zeszyt z historiami pacjentów, Excel z karnetami, zdjęcia zabiegów w telefonie. Tak wygląda dokumentacja w wielu gabinetach zoofizjoterapii — i długo nikt o tym nie myśli, aż pojawi się pytanie od klienta o jego dane albo kontrola. Ten tekst porządkuje, co w dokumentacji gabinetu podlega RODO, i podpowiada, od czego zacząć. Nie jest poradą prawną — w niejasnych sprawach skonsultuj się z prawnikiem.
Dane zwierzaka to nie dane osobowe. Ale…
RODO chroni dane osób, nie zwierząt — historia leczenia Reksa sama w sobie danymi osobowymi nie jest. Tyle teorii. W praktyce karta pacjenta zawsze ciągnie za sobą dane opiekuna: imię i nazwisko, telefon, adres, historię płatności, czasem notatki o sytuacji domowej. Skoro po karcie zwierzaka można zidentyfikować człowieka i czegoś się o nim dowiedzieć, w praktyce traktujesz całą dokumentację tak, jakby zawierała dane osobowe. Bo zawiera.
Co właściwie przetwarzasz
Zrób krótki spis — zwykle wychodzi więcej, niż się wydaje:
- dane kontaktowe opiekunów (także te w telefonie i w wątkach na Messengerze),
- dane do faktur i historia płatności,
- notatki z wizyt — często z informacjami o opiekunie, nie tylko o zwierzaku,
- zdjęcia i filmy z zabiegów, na których bywają też ludzie,
- terminy wizyt w kalendarzu — z nazwiskami w tytułach wydarzeń.
Na jakiej podstawie i jak długo
Dobra wiadomość: do prowadzenia dokumentacji klienta nie potrzebujesz zgody. Podstawą jest umowa, którą z nim realizujesz, obowiązki podatkowe przy fakturach i Twój uzasadniony interes, np. na wypadek roszczeń.
Gorsza wiadomość: „jak długo" nie ma jednej odpowiedzi. Dla zoofizjoterapii nie istnieje osobny przepis o okresie przechowywania dokumentacji, więc w praktyce ramy wyznaczają przepisy podatkowe (dokumenty rozliczeniowe trzymasz 5 lat) i terminy przedawnienia roszczeń. Zasada, którą łatwo zapamiętać: musisz umieć powiedzieć, po co trzymasz dane i kiedy je usuniesz. „Na zawsze, bo może się przydadzą" to dokładnie ta odpowiedź, której RODO zakazuje.
Gdzie to wszystko leży — i co na to RODO
Zeszyt nie wycieknie przez internet, ale nie ma kopii zapasowej, kontroli dostępu ani szans na „usunięcie danych na żądanie" inaczej niż nożyczkami.
Excel na laptopie ma te same problemy plus jeden dysk, który kiedyś odmówi posłuszeństwa.
Prywatny Kalendarz Google czy Messenger to przekazanie danych klientów zewnętrznej firmie bez umowy powierzenia — pisaliśmy o tym szerzej przy okazji Kalendarza Google.
Wniosek nie brzmi „chmura jest zła" — brzmi: każdy dostawca, któremu powierzasz dane klientów, powinien mieć z Tobą umowę powierzenia przetwarzania (DPA) i dać się rozliczyć z tego, gdzie i jak te dane trzyma.
Minimalna lista kontrolna
- wiesz, gdzie są wszystkie dane klientów (wszystkie miejsca, nie tylko główne),
- dostęp mają tylko osoby, które go potrzebują,
- istnieją kopie zapasowe — i ktoś kiedyś sprawdził, że działają,
- z każdym narzędziem przetwarzającym dane klientów masz umowę powierzenia,
- potrafisz znaleźć i usunąć dane konkretnej osoby, gdy o to poprosi,
- umiesz powiedzieć, jak długo trzymasz dane i dlaczego.
Jak to wygląda w Fiolo
Nie zbudujemy za Ciebie polityki ochrony danych, ale możemy zdjąć z Ciebie techniczną część tej listy: dane każdego gabinetu są izolowane, każda zmiana w dokumentacji trafia do dziennika zmian, kopie zapasowe powstają co najmniej co 24 godziny, a umowę powierzenia i wykaz podmiotów przetwarzających masz na piśmie — szczegóły na stronie Bezpieczeństwo i RODO.
Jeśli Twoja dokumentacja dziś mieszka w zeszycie, Excelu i telefonie naraz — przetestuj. Pierwsze 30 dni jest darmowe i nie wymaga karty.