Конфіденційність клієнтів психолога: конкретні вимоги і чеклист захисту даних

Психолог працює з найчутливішою інформацією, яку людина може розкрити: травми, діагнози, сімейні конфлікти, сексуальність, суїцидальні думки. Ця інформація не повинна витікати — ні через зламаний акаунт Google, ні через папку “Завантаження” на спільному комп’ютері, ні через незашифрований файл у хмарі.

У цій статті — конкретні вимоги і конкретні дії. Без загальних слів про “важливість конфіденційності”.

Що каже закон в Україні

Закон України “Про захист персональних даних” (№ 2297-VI) поширюється на всіх, хто обробляє персональні дані — включно з ФОП-психологами.

Що це означає на практиці:

Ім’я, телефон, email клієнта — персональні дані. Потрібна правова підстава для обробки (зазвичай — згода клієнта).

Інформація про психічний стан, діагнози, звернення до психолога — дані про здоров’я. Це особлива категорія — вищий рівень захисту. Обробка без явної письмової згоди заборонена.

Клієнт має право:

• Дізнатись які дані ви зберігаєте
• Вимагати виправлення або видалення своїх даних
• Відкликати згоду в будь-який момент

Що це означає для вас:

• Потрібна письмова згода на обробку ПД до початку роботи
• Потрібно знати де фізично зберігаються дані
• Потрібна процедура видалення даних після завершення роботи

GDPR: коли він застосовується

GDPR (загальний регламент ЄС про захист даних) застосовується якщо:

• Ваш клієнт є громадянином ЄС або перебуває на території ЄС під час сесії
• Ви використовуєте сервіси, що базуються в ЄС, для зберігання даних

Якщо ви працюєте з клієнтами з Польщі, Німеччини, Чехії, Нідерландів (що часто буває при онлайн-роботі з українською діаспорою) — GDPR застосовується до вас.

Додаткові вимоги GDPR:

• Зберігати дані тільки стільки, скільки необхідно (не “на всяк випадок назавжди”)
• Повідомити клієнта про витік даних протягом 72 годин якщо він стався
• Конкретно вказати в згоді хто є “контролером” і “обробником” даних

Які дані є найбільш чутливими

Рівень 1 — базові персональні дані: ім’я, вік, контакт. Потрібна згода, але захист стандартний.

Рівень 2 — дані про здоров’я: інформація про психічний стан, скарги, діагнози, медикаменти. Особлива категорія — потрібна явна письмова згода і підвищений захист.

Рівень 3 — надчутливі дані: суїцидальні думки, сексуальність, жертви насилля, інформація що може шкодити клієнту при розголошенні. Зберігати мінімально, окремо, з максимальним захистом.

Практичне правило: якби ця інформація опинилась у роботодавця клієнта або його родичів — яка б була шкода? Якщо відповідь “серйозна” — зберігати з максимальним захистом або не зберігати взагалі.

Де зберігати: порівняння варіантів

Google Docs / Google Drive (стандартний аккаунт)
Дані зберігаються на серверах Google у різних країнах. Без додаткового налаштування — не E2E зашифровані. При зламі акаунту або помилці з доступом — всі дані відкриті. Прийнятно для базових даних, не прийнятно для клінічних нотаток.

Notion
Дані на серверах у США. Аналогічні ризики. Використовувати з розумінням.

Локальне зберігання (комп’ютер)
Дані тільки у вас. Максимальна приватність. Мінус: при крадіжці або поломці — можна втратити все. Потрібне резервне копіювання і шифрування диску. Хороший варіант якщо налаштоване шифрування (BitLocker / FileVault).

Proton Drive
Хмара з E2E шифруванням, сервери у Швейцарії. Дані зашифровані — навіть Proton не може їх прочитати. Гарний варіант для хмарного зберігання.

Спеціалізований сервіс із шифруванням
Розроблений з урахуванням вимог конфіденційності для психологів. Шифрування, структура під клінічну документацію, доступ з будь-якого пристрою. Оптимальний баланс зручності і безпеки.

Щоб вибрати не лише безпечний, а й зручний інструмент для щоденної роботи, подивіться порівняння інструментів для психолога.

Детальніше про організацію зберігання: Організація онлайн-практики психолога.

Шаблон інформованої згоди на обробку персональних даних

Скопіюйте і адаптуйте під себе:

ІНФОРМОВАНА ЗГОДА НА ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ

Я, ________________ (ПІБ), даю згоду психологу ________________
(ПІБ, ФОП) на обробку таких персональних даних:

— ПІБ, дата народження, контактний телефон, email
— Інформація, повідомлена в ході психологічних консультацій
  (включаючи дані про психічний стан і здоров'я)

Мета обробки: надання психологічної допомоги.

Де зберігаються дані: _________________________ (вкажіть конкретно:
назву сервісу, країну або "зашифрований локальний носій").

Строк зберігання: _____ років з дати останньої консультації.

Я маю право:
— Дізнатися які мої дані зберігаються
— Вимагати виправлення або видалення своїх даних
— Відкликати цю згоду в будь-який момент письмово

Підпис: ________________  Дата: ________________

Повний перелік документів для практики: Документація психолога у приватній практиці.

Нотатки після сесій: що не варто записувати

Зберігати треба те, що допомагає в роботі. Не все підряд.

Не записуйте (або записуйте окремо з максимальним захистом):

• Прізвища третіх осіб, яких згадував клієнт
• Конкретні факти, що можуть ідентифікувати інших людей
• Детальні описи злочинів або насилля якщо вони не потрібні для роботи
• Суїцидальні плани з конкретними деталями — якщо це не активний кризовий стан, що потребує документування

Записуйте узагальнено: “клієнт описував конфліктні стосунки з батьками” замість імен і деталей.

Система ведення нотаток із шаблоном: Як вести нотатки після психологічної сесії.

Процедура при завершенні роботи з клієнтом

Коли робота завершена, потрібно вирішити що робити з даними. Рекомендований порядок:

1. Архівуйте карточку клієнта і нотатки — окрема папка або архівний розділ
2. Встановіть строк — наприклад, 3 роки — після якого дані видаляються
3. Видалення на запит — якщо клієнт просить видалити його дані, зробіть це і підтвердіть письмово
4. Видаліть з усіх місць — не тільки з основного сховища, а й з резервних копій, email, месенджерів

Чеклист безпеки: перевірте прямо зараз

Акаунти і доступ:

• Двофакторна автентифікація увімкнена на всіх акаунтах із даними клієнтів
• Унікальний пароль для кожного сервісу (використовую менеджер паролів)
• Ніхто крім мене не має доступу до файлів із даними клієнтів

Зберігання:

• Знаю конкретно де фізично зберігаються дані кожного клієнта
• Зберігання відповідає рівню чутливості даних
• Є резервна копія (і вона теж захищена)

Документи:

• Є підписана інформована згода від кожного активного клієнта
• У згоді вказано де зберігаються дані і строк зберігання
• Є процедура що робити при запиті клієнта на видалення даних

Пристрої:

• Екран автоматично блокується через 1-2 хвилини
• Шифрування диску увімкнено (FileVault на Mac, BitLocker на Windows)
• На спільних пристроях — окремий профіль для роботи

Як TheraMemory підходить до захисту даних

TheraMemory розроблений з принципом privacy-first:

• Аудіо не зберігається — голосовий чорновик обробляється і видаляється
• Дані зашифровані — навіть при зламі бази, дані нечитабельні без ключа
• Ніяких третіх сторін — дані не передаються рекламним мережам або аналітичним сервісам
• Ви контролюєте видалення — можна видалити дані клієнта в будь-який момент

Спробувати TheraMemory безкоштовно — 30 днів

Якщо ви хочете працювати з клієнтськими даними більш безпечно і без хаосу між сервісами, спробуйте TheraMemory.

Це спосіб тримати нотатки, карточку клієнта і контроль доступу в одному захищеному середовищі.

Спробувати TheraMemory

Читайте також

• Документація психолога у приватній практиці
• Організація онлайн-практики психолога
• Як вести нотатки після психологічної сесії
• Робота з ветеранами і ПТСР: документування
• Порівняння інструментів для психолога