← Artykuły · 12.07.2026
Recepcja AI a RODO — przewodnik dla gabinetu
Telefoniczny asystent AI przetwarza dane pacjentów, więc RODO działa tu w pełnej krasie. Kto jest administratorem, co z danymi o zdrowiu i jaka dokumentacja jest potrzebna.
Voicebot w gabinecie to nie gadżet, tylko przetwarzanie danych osobowych pacjentów: imion, numerów telefonu, terminów wizyt — a czasem, mimowolnie, wypowiedzi o zdrowiu. RODO ma na to konkretne odpowiedzi. Dobra wiadomość: wszystkie da się spełnić, jeśli system był projektowany z myślą o nich.
Kto tu jest kim
Gabinet jest administratorem danych swoich pacjentów — to Ty decydujesz, że telefony obsługuje asystent AI. Dostawca usługi recepcji jest podmiotem przetwarzającym (procesorem) i działa na Twoje zlecenie. Z tego układu wynika pierwszy dokument, bez którego nie wolno ruszyć: umowa powierzenia przetwarzania (art. 28 RODO), z listą subprocesorów — czyli firm, z których technologii korzysta Twój dostawca.
Dane o zdrowiu — największa pułapka
Pacjent dzwoniący do dietetyka potrafi w jednym zdaniu opowiedzieć o swojej insulinooporności. To dane szczególnej kategorii (art. 9 RODO). Rozsądna architektura minimalizuje ten problem u źródła:
- brak nagrań audio — najlepiej chronione dane to te, które nie istnieją;
- transkrypcje tylko na krótko (np. 30 dni) i kasowane automatycznie, nie „ręcznie, jak ktoś pamięta";
- w bazie tylko to, co potrzebne do wizyty: imię, nazwisko, telefon, termin — bez pól na notatki zdrowotne;
- zero identyfikacji pacjenta po głosie — analiza głosu w celu rozpoznania osoby to biometria (art. 9), której w recepcji po prostu nie powinno być.
Obowiązek informacyjny — dwie warstwy
Pacjent ma wiedzieć, co się dzieje z jego danymi (art. 13 RODO). W telefonii sprawdza się model dwuwarstwowy: krótki komunikat na początku rozmowy (kto, że AI, że rozmowa jest rejestrowana, gdzie szczegóły) plus pełna klauzula informacyjna na stronie gabinetu. Wzór klauzuli powinien dostarczyć dostawca — to część usługi, nie Twoja praca domowa.
DPIA — brzmi groźnie, jest wykonalna
Ocena skutków dla ochrony danych (art. 35 RODO) jest wymagana, gdy przetwarzanie może powodować wysokie ryzyko — a zestaw „innowacyjna technologia + dane o zdrowiu" na listach organów nadzorczych zwykle się do tego kwalifikuje. W praktyce: dostawca powinien przyjść z gotowym szablonem DPIA wypełnianym danymi Twojego gabinetu, a nie odesłać Cię do internetu.
O co zapytać dostawcę (test 5 pytań)
- Gdzie fizycznie przetwarzane są dane? (Szukaj konkretów: „przetwarzanie i przechowywanie w UE", a nie ogólników.)
- Czy rozmowy są nagrywane? Jak długo żyją transkrypcje i co je kasuje?
- Czy dane moich pacjentów trenują czyjeś modele AI? (Prawidłowa odpowiedź: nie, umownie wykluczone.)
- Dostanę umowę powierzenia, listę subprocesorów, DPIA i klauzulę na stronę?
- Jak wygląda obsługa żądań pacjentów (dostęp, usunięcie) i zgłaszanie naruszeń?
Jeśli na którekolwiek z tych pytań pada „to po Państwa stronie" — policz, ile będzie Cię kosztowało zrobienie tego samemu.
Recepcja AI z wbudowaną zgodnością — bez własnego researchu prawnego
Ansora odbiera nieodebrane połączenia w Twoim gabinecie i dostarcza komplet dokumentów: DPIA, umowę powierzenia i klauzule.
Zostaw kontakt