Dokumentacja medyczna psychologa w Polsce – wymogi prawne

Patryk Malejka, mgr psychologii (specjalizacja kliniczna) · 26 maja 2026 · Źródła: ustawa o prawach pacjenta, rozporządzenie MZ 06.04.2020, RODO

Psycholog kliniczny prowadzący samodzielną praktykę w Polsce odpowiada za dokumentację medyczną na trzech poziomach: krajowym (ustawy i rozporządzenia MZ), unijnym (RODO) i etycznym (tajemnica zawodowa). Ten przewodnik porządkuje podstawę prawną, zawartość dokumentacji, okresy retencji oraz zasady udostępniania danych pacjenta.

Podstawa prawna prowadzenia dokumentacji

Dokumentację medyczną psychologa regulują równocześnie cztery akty prawne. Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta nakłada obowiązek prowadzenia, przechowywania i udostępniania dokumentacji (rozdział 7, art. 23–30). Rozporządzenie Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania precyzuje formę – obecnie obowiązuje pełna dopuszczalność dokumentacji elektronicznej. Rozporządzenie (UE) 2016/679 (RODO) nakłada obowiązki dotyczące danych szczególnych kategorii (art. 9 ust. 1 i 2 lit. h: świadczenie opieki zdrowotnej) i środków bezpieczeństwa (art. 32). Ustawa z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego wprowadza tryby szczególne dla obszaru zdrowia psychicznego.

Ustawa z dnia 8 czerwca 2001 r. o zawodzie psychologa zachowuje status szczególny: przepisy o samorządzie zawodowym nie weszły w pełni w życie, jednak obowiązki tajemnicy zawodowej oraz dotyczące dokumentowania własnych działań pozostają wiążące. Dodatkowo psycholog, który nie świadczy usług w ramach podmiotu leczniczego, lecz prowadzi działalność jako przedsiębiorca, podlega ogólnym regulacjom – CEIDG, podatkowym i RODO – jako administrator danych.

Co musi zawierać dokumentacja indywidualna pacjenta

Indywidualna dokumentacja pacjenta obejmuje minimum kilkanaście elementów. Najważniejsze z nich to:

  • Dane identyfikacyjne pacjenta: imię, nazwisko, PESEL (lub data urodzenia w razie braku), adres miejsca zamieszkania, w przypadku dziecka – dane opiekuna prawnego.
  • Dane podmiotu udzielającego świadczeń: nazwa, adres, identyfikator (REGON, NIP), dane psychologa wykonującego świadczenia (imię, nazwisko, numer prawa wykonywania zawodu jeśli dotyczy).
  • Daty kontaktów: pierwsza konsultacja, kolejne wizyty, planowane terminy, daty zakończenia.
  • Opis wywiadu i obserwacji klinicznych: zgłaszane skargi, historia objawów, czynniki wyzwalające, wcześniejsze leczenie, kontekst rodzinny i społeczny.
  • Wyniki testów psychologicznych z interpretacją: nazwy zastosowanych narzędzi, surowe wyniki, normy odniesienia, interpretacja kliniczna. Same arkusze testowe przechowuje się osobno w archiwum testowym z zachowaniem zasad poufności metod.
  • Sformułowanie diagnostyczne: kod ICD-11 (lub ICD-10 dla starszej dokumentacji), uzasadnienie wyboru jednostki, ewentualne rozpoznania współwystępujące.
  • Plan postępowania: cele psychoterapeutyczne lub psychologiczne, planowana częstotliwość spotkań, modalność (np. CBT, psychodynamiczna, systemowa), długość spodziewanego procesu.
  • Zalecenia i udostępnienia: wpisy o przekazaniu informacji innym specjalistom, instytucjom, na potrzeby procedur prawnych.

Każdy wpis musi być datowany, podpisany (w formie elektronicznej – podpisem kwalifikowanym lub Profilem Zaufanym), oraz opatrzony jednoznaczną identyfikacją autora. Niedopuszczalne są wpisy retrospektywne bez wyraźnego oznaczenia.

Okresy przechowywania dokumentacji

Art. 29 ust. 1 ustawy o prawach pacjenta wyznacza okresy retencji dokumentacji medycznej, liczone od końca roku kalendarzowego, w którym dokonano ostatniego wpisu:

  • 20 lat – zasada ogólna dla dokumentacji indywidualnej pacjenta.
  • 30 lat – w przypadku zgonu pacjenta w wyniku uszkodzenia ciała lub zatrucia.
  • 22 lata – dla dokumentacji dzieci do ukończenia 2. roku życia.
  • 10 lat – dla zdjęć rentgenowskich przechowywanych poza dokumentacją pacjenta.
  • 5 lat – dla skierowań na badania lub zleceń lekarza zrealizowanych.
  • 2 lata – dla skierowań niezrealizowanych.

Po upływie okresu retencji dokumentacja jest niszczona w sposób uniemożliwiający identyfikację pacjenta (zniszczenie fizyczne z protokołem, w formie elektronicznej – bezpieczne kasowanie zgodne z normami branżowymi). Przed zniszczeniem podmiot informuje pacjenta o możliwości odbioru, co w praktyce rzadko jest realizowane indywidualnie z uwagi na koszt.

Bezpieczeństwo danych szczególnych kategorii

Dane o stanie zdrowia psychicznego są danymi szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO. Wymaga to wzmocnionych środków bezpieczeństwa zgodnie z art. 32 RODO:

  • Szyfrowanie w trakcie przesyłu: TLS 1.3 dla każdej transmisji danych (formularze, e-mail z załącznikiem, eksport).
  • Szyfrowanie w spoczynku: pełne szyfrowanie dysku (BitLocker, FileVault) dla urządzeń lokalnych oraz szyfrowanie kopii zapasowych.
  • Kontrola dostępu: silne hasła (minimum 12 znaków, mieszane), uwierzytelnianie dwuskładnikowe (2FA), ograniczenie dostępu do osób upoważnionych pisemnie.
  • Dziennik zdarzeń: rejestrowanie operacji na dokumentacji (kto, kiedy, jaką operację wykonał) z okresem retencji zgodnym z dokumentacją.
  • Procedury kopii zapasowych: minimum trzy kopie w dwóch różnych lokalizacjach, regularna weryfikacja możliwości odtworzenia.
  • Procedura zgłaszania naruszeń: 72-godzinny termin zgłoszenia do Prezesa UODO (art. 33 RODO), procedura zawiadomienia pacjenta jeśli naruszenie powoduje wysokie ryzyko (art. 34 RODO).

Psycholog prowadzący samodzielną praktykę jako administrator danych odpowiada osobiście za wdrożenie tych środków, niezależnie od skali działalności.

Najczęściej zadawane pytania

Jakie są wymogi prawne dotyczące prowadzenia dokumentacji medycznej psychologa w Polsce?
Psycholog prowadzący samodzielną praktykę kliniczną w Polsce podlega kilku aktom prawnym jednocześnie: ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (obowiązek prowadzenia, przechowywania i udostępniania dokumentacji), rozporządzeniu Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej (forma i sposób przetwarzania), rozporządzeniu (UE) 2016/679 (RODO) — szczególnie art. 9 (dane szczególnych kategorii) i art. 32 (środki bezpieczeństwa), ustawie z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (tryby szczególne) oraz ustawie z dnia 8 czerwca 2001 r. o zawodzie psychologa (tajemnica zawodowa).
Jak długo psycholog musi przechowywać dokumentację pacjenta?
Zgodnie z art. 29 ust. 1 ustawy o prawach pacjenta okresy retencji wynoszą: 20 lat licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu (zasada ogólna); 30 lat w przypadku zgonu pacjenta w wyniku uszkodzenia ciała lub zatrucia; 22 lata w odniesieniu do dokumentacji dotyczącej dzieci do ukończenia 2 roku życia; 10 lat dla zdjęć rentgenowskich przechowywanych poza dokumentacją; 5 lat dla skierowań zrealizowanych. Po upływie okresu dokumentacja jest niszczona w sposób uniemożliwiający identyfikację pacjenta.
Czy dokumentacja może być prowadzona elektronicznie?
Tak. Rozporządzenie MZ z 6 kwietnia 2020 r. dopuszcza prowadzenie dokumentacji w postaci elektronicznej jako równoważnej z papierową. System musi spełniać wymagania: integralność wpisów (zabezpieczenie przed modyfikacją po podpisaniu), autentyczność (jednoznaczna identyfikacja autora — najczęściej przez podpis kwalifikowany lub Profil Zaufany), dostępność danych przez cały okres retencji, możliwość wydruku oraz eksport w formacie umożliwiającym odczyt na innych systemach. Dane szczególnych kategorii muszą być szyfrowane w trakcie przesyłu (TLS 1.3) i w spoczynku zgodnie z art. 32 RODO.
Komu psycholog może udostępnić dokumentację pacjenta?
Zgodnie z art. 26 ustawy o prawach pacjenta dokumentację udostępnia się: pacjentowi lub jego przedstawicielowi ustawowemu, osobie upoważnionej pisemnie przez pacjenta, podmiotom udzielającym świadczeń zdrowotnych przy kontynuacji leczenia, sądom (na podstawie postanowienia), prokuratorom, organom rentowym (ZUS, KRUS), NIK i innym uprawnionym organom kontrolnym. Po śmierci pacjenta dokumentację udostępnia się osobie upoważnionej za życia oraz osobie bliskiej, chyba że pacjent za życia wyraził sprzeciw. Każde udostępnienie wymaga zapisu w dokumentacji wraz z określeniem podstawy prawnej i odbiorcy.
Jakie są kary za naruszenie obowiązków dokumentacyjnych?
Naruszenie może skutkować odpowiedzialnością kilku rodzajów. Administracyjna w trybie RODO — Prezes UODO może nałożyć karę do 20 mln EUR lub 4% rocznego światowego obrotu (art. 83 RODO); w praktyce stosowane są kary niższe, ale dotkliwe. Cywilna — odpowiedzialność odszkodowawcza wobec pacjenta za naruszenie dóbr osobistych. Karna — w przypadku świadomego ujawnienia tajemnicy zawodowej (art. 266 Kodeksu karnego: grzywna, ograniczenie wolności lub pozbawienie wolności do 2 lat). Zawodowa — jeśli psycholog należy do izby zawodowej lub stowarzyszenia, postępowanie dyscyplinarne.
Zastrzeżenie. Tekst ma charakter informacyjny i nie stanowi porady prawnej. Stan prawny aktualny na maj 2026. W razie wątpliwości należy konsultować się z prawnikiem lub Inspektorem Ochrony Danych. ICD Diagnostica jest niezależną platformą wspomagającą diagnostykę kliniczną ICD-11 — zob. zastrzeżenie medyczne.
Powiązane: Jak działa diagnoza według ICD-11 · Skale i kwestionariusze w ICD-11 · Katalog zaburzeń ICD-11