# Voicebot w klinice, praktyczna zgodność z art. 9 RODO > Dane pacjenta to art. 9 RODO. Jak wdrożyć voicebota w klinice zgodnie z tajemnicą lekarską, DPA i AI Act. 9-minutowy przewodnik dla managera. *Czas czytania: 9 minut · Opublikowano: 2026-04-16 · Ostatnia aktualizacja: 2026-05-14* Voicebot w klinice obsługuje rezerwacje, potwierdzenia i listy rezerwowe, a każda rozmowa to dane medyczne pacjenta. Art. 9 RODO traktuje je jako szczególną kategorię. Kara z RODO sięga 20 mln EUR lub 4% globalnego obrotu. Precedens UODO: CM Ujastek, 1 145 891,25 zł za nielegalny monitoring w salach neonatologii (decyzja z 17 stycznia 2025 r.). Od 2 sierpnia 2026 r. dochodzi art. 50 AI Act z wymogiem otwartej informacji o AI, plus tajemnica zawodowa lekarza (art. 40 ustawy z 5 grudnia 1996 r.). Pokazujemy konkretne kroki: co skonfigurować, podpisać i audytować, żeby klinika przeszła kontrolę bez przepisywania scenariusza. ## Kluczowe fakty - Art. 9 RODO klasyfikuje dane dotyczące zdrowia jako szczególną kategorię, ich przetwarzanie jest co do zasady zakazane, chyba że zachodzi podstawa z ust. 2 (dla klinik typowo lit. h, świadczenie opieki zdrowotnej). (źródło: [RODO art. 9, EUR-Lex](https://eur-lex.europa.eu/eli/reg/2016/679/oj)) - DPIA (ocena skutków, art. 35 RODO) jest zwykle wymagana dla wdrożenia voicebota w klinice, z uwagi na przetwarzanie danych zdrowotnych na dużą skalę i nową technologię. (źródło: [RODO art. 35, EUR-Lex](https://eur-lex.europa.eu/eli/reg/2016/679/oj)) - Art. 40 ust. 1 ustawy z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty nakłada bezwzględną tajemnicę zawodową; w DPA rozszerza się ją umownie na procesora (dostawcę voicebota) i wszystkich podprocesorów. (źródło: [Ustawa o zawodach lekarza, ISAP](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU19970280152)) - Nasza domyślna konfiguracja retencji dla klinik: transkrypt 30 dni, nagranie audio 7 dni. Opcja „zero data retention” (żadne nagranie nie jest przechowywane po zakończeniu rozmowy) jest dostępną konfiguracją, rekomendowaną dla klinik z zaostrzonymi wymogami poufności. - Prawo pacjenta do usunięcia danych (art. 17 RODO) realizujemy w 72 godziny od zgłoszenia na dedykowany adres (zwykle rodo@twoja-klinika.pl); termin formalny RODO: do 30 dni. (źródło: [RODO art. 17, EUR-Lex](https://eur-lex.europa.eu/eli/reg/2016/679/oj)) - Sankcje: RODO art. 83, do 20 mln EUR lub 4% globalnego rocznego obrotu (kwota wyższa). Polski precedens: CM Ujastek, dwie kary łącznie 1 145 891,25 zł (decyzja Prezesa UODO z 17 stycznia 2025 r., utrzymana wyrokiem WSA w Warszawie) za nielegalny monitoring wizyjny w salach neonatologii i niespełnienie obowiązku informacyjnego. (źródło: [UODO decyzja CM Ujastek, 17.01.2025](https://uodo.gov.pl/pl/138/3941)) ## 1. Dlaczego akurat art. 9 RODO Rozporządzenie (UE) 2016/679 (RODO) w art. 4 pkt 15 definiuje „dane dotyczące zdrowia” jako dane o stanie fizycznym lub psychicznym osoby, w tym o korzystaniu ze świadczeń zdrowotnych, ujawniające informacje o jej stanie zdrowia. Art. 9 ust. 1 co do zasady zakazuje przetwarzania takich danych, chyba że spełniona jest jedna z wyjątkowych podstaw z ust. 2. Dla typowej kliniki właściwa podstawa to art. 9 ust. 2 lit. h: przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki zdrowotnej lub świadczenia usług zdrowotnych, na podstawie prawa Unii lub prawa państwa członkowskiego. W Polsce uzupełnieniem tej podstawy są m.in. ustawa o działalności leczniczej i ustawa o prawach pacjenta. Wdrożenie voicebota oznacza, że te dane zaczyna przetwarzać nowy podmiot (my jako procesor) w nowym kontekście (rozmowa telefoniczna). Dlatego trzeba formalnie przenieść dotychczasową zgodność na nową ścieżkę przepływu, nie wystarczy „robiliśmy to samo przez telefon”. ## 2. Przepływ danych i rola procesora Twoja klinika pozostaje administratorem danych pacjenta (art. 4 pkt 7 RODO). My, jako dostawca voicebota, jesteśmy procesorem (pkt 8). Relację reguluje umowa powierzenia przetwarzania (DPA), którą zawieramy na podstawie art. 28 RODO przed pierwszym połączeniem. Dane, które voicebot realnie dotyka w klinice, to: dane identyfikacyjne pacjenta (imię i nazwisko, numer telefonu, data urodzenia), historia kontaktów, preferowany lekarz i typ wizyty, powód wizyty zebrany w rozmowie (często dane o zdrowiu, art. 9), nagranie rozmowy i jej transkrypt. PESEL i pełne dane wrażliwe agent zostawia kanałowi pisemnemu lub recepcji, nie zbiera ich przez telefon. Każda z tych kategorii wymaga odpowiedzi na cztery pytania: gdzie jest przechowywana, jak długo, kto ma do niej dostęp, jak jest usuwana na żądanie pacjenta (art. 17 RODO). Na te pytania odpowiada DPA, nie domniemanie „zakładamy, że jest ok”. ## 3. Co powinno znaleźć się w DPA z dostawcą voicebota Dobra DPA dla kliniki pokrywa co najmniej siedem obszarów: (1) zakres powierzonych danych (kategorie) i cele przetwarzania, (2) czas przetwarzania i retencja nagrań/transkryptów, (3) zabezpieczenia techniczne i organizacyjne (hosting EU, szyfrowanie TLS + AES, logowanie dostępu), (4) procedura zgłaszania naruszeń przez procesora do administratora w 24 godziny od wykrycia (margines, żeby administrator zdążył powiadomić UODO w 72 godziny zgodnie z art. 33 RODO), (5) prawo audytu, (6) lista podprocesorów (np. dostawca ASR/TTS/LLM) z wymogiem zgody administratora na zmianę, (7) zasady usuwania danych po zakończeniu współpracy. Dodatkowo dla klinik dokładamy klauzulę dotyczącą tajemnicy zawodowej lekarza (art. 40 ustawy o zawodach lekarza), zobowiązującą procesora i wszystkich podprocesorów do zachowania tajemnicy w tym samym zakresie, w jakim jest ona wiążąca dla personelu medycznego kliniki. DPA powinna być po polsku, z polską jurysdykcją i w formie, którą w razie kontroli UODO bez problemu można przedstawić. Wersji angielskiej z jurysdykcją Delaware praktycznie nie da się obronić przed polskim organem nadzorczym. ## 4. Obowiązek informacyjny na początku rozmowy Art. 13 RODO nakłada na administratora (Twoją klinikę) obowiązek poinformowania pacjenta o przetwarzaniu jego danych. Przy rozmowie telefonicznej realizujemy go na otwarciu rozmowy, w praktyce krótką klauzulą przed zebraniem danych. Klauzula obejmuje trzy bloki: tożsamość administratora oraz cel i podstawę prawną przetwarzania (dla kliniki typowo art. 9 ust. 2 lit. h), zakres czasowy (retencja) i krąg odbiorców, prawa pacjenta wraz z linkiem do pełnej polityki prywatności. Prawo nie określa sztywnego limitu czasowego. Równolegle art. 50 Rozporządzenia (UE) 2024/1689 (AI Act) wymaga poinformowania rozmówcy, że rozmawia z systemem AI. W praktyce łączymy oba obowiązki w jedną, krótką wypowiedź na początku rozmowy: „Dzień dobry, mówi asystent AI [nazwa kliniki]. Rozmowa jest nagrywana w celu rezerwacji wizyty. Pełna klauzula informacyjna jest dostępna na [adres]. Jeśli preferuje Pan/Pani rozmowę z recepcją, proszę powiedzieć »recepcja« i połączę.” Skrypt tej klauzuli przygotowujemy wspólnie i dołączamy do DPA. Pacjent ma prawo w dowolnym momencie zażądać przełączenia do człowieka, agent respektuje to bez pytań dodatkowych. ## 5. Retencja nagrań i transkryptów, praktyczne ustawienia Nasza domyślna konfiguracja retencji w klinice: transkrypt tekstowy przechowywany przez 30 dni (do rozstrzygnięcia ewentualnych sporów co do treści rezerwacji), nagranie audio przez 7 dni (weryfikacja brzmienia w przypadku wątpliwości), potem obie kategorie usuwane automatycznie. Dłuższą retencję stosujemy tylko, jeśli jest ku temu konkretna podstawa prawna (np. dochodzone roszczenie). Dla klinik, które preferują zero data retention, konfigurujemy tryb bez przechowywania nagrania po zakończeniu rozmowy, zapisywane są wyłącznie metadane transakcji (rezerwacja dokonana, czas, numer telefonu) niezbędne do wykonania usługi. To rozwiązanie rekomendujemy klinikom z zaostrzonymi wymogami poufności (np. onkologia, psychiatria, medycyna pracy) lub zobowiązaniami DPA zawartymi z pacjentem. Prawo pacjenta do usunięcia danych (art. 17 RODO) realizujemy w 72 godziny od zgłoszenia na dedykowany adres (zwykle rodo@twoja-klinika.pl). W praktyce oznacza to usunięcie rekordu pacjenta z naszego systemu agenta, wraz ze wszystkimi powiązanymi transkrypcjami i nagraniami. Potwierdzenie wykonania wysyłamy pacjentowi. ## 6. Kiedy agent musi eskalować do człowieka, lista minimalna Pięć sytuacji, w których agent bezwzględnie eskaluje rozmowę do osoby z personelu kliniki, bez względu na skomplikowanie scenariusza: (1) Pacjent zgłasza pilne objawy (ból w klatce piersiowej, silne krwawienie, podejrzenie zawału, podejrzenie udaru). Agent kończy interakcję: „Proszę natychmiast zadzwonić pod numer alarmowy 112. Łączę też z lekarzem dyżurnym”, i wykonuje eskalację. (2) Pacjent żąda rozmowy z konkretnym lekarzem lub recepcją. Agent nie próbuje przejąć rozmowy, tylko eskaluje lub zapisuje prośbę o oddzwonienie. (3) Pacjent zgłasza skargę lub reklamację (jakość usługi, zachowanie personelu). Agent zapisuje zgłoszenie i eskaluje do kierownika. Obsługa skarg medycznych należy wyłącznie do personelu kliniki. (4) Rozmowa dotyczy zmiany danych wrażliwych (np. zmiana diagnozy w kartotece). Dane wrażliwe modyfikuje wyłącznie upoważniony personel. (5) Pacjent prosi o informacje, których agent nie ma (np. wynik badania poza zakresem dostępu). Agent jasno mówi: „Nie mam dostępu do tej informacji, łączę z recepcją”, nie improwizuje odpowiedzi. ## 7. Jak audytujemy zgodność po starcie Zgodność to nie lista kontrolna wypełniona raz na zawsze. Klinikę prowadzimy w rytmie tygodniowym: przegląd 20 losowych rozmów pod kątem tego, czy (a) agent przedstawił się jako AI, (b) obowiązek informacyjny był spełniony, (c) nie pojawiły się halucynacje w odpowiedziach medycznych, (d) eskalacje działały. Wyniki trafiają do wspólnego dokumentu, dostępnego po Twojej i naszej stronie. Raz na kwartał wykonujemy audyt retencji: sprawdzamy, czy skonfigurowane limity są realizowane (transkrypty starsze niż 30 dni powinny być skasowane, nagrania starsze niż 7 dni również). Raport audytu zapisujemy jako dowód należytej staranności, materiał, który w razie kontroli UODO ma się pod ręką. Raz w roku wykonujemy przegląd DPA i listy podprocesorów, by sprawdzić, czy nic się nie zmieniło w stosie technicznym bez Twojej wiedzy. Jeśli dodajemy nowego podprocesora (np. nowy model LLM), wymagamy Twojej pisemnej zgody przed uruchomieniem. ## 8. Co zrobić, gdy UODO kontaktuje się w sprawie kontroli W razie kontroli Prezesa UODO pierwsza rzecz, której urzędnik oczekuje, to przedstawienie dokumentów: DPA z dostawcą, polityka prywatności kliniki, dokumentacja analizy ryzyka (DPIA, Data Protection Impact Assessment, jeśli była wymagana), rejestr czynności przetwarzania, rejestr naruszeń. Dla voicebota DPIA jest zwykle wymagana, ponieważ dotyczy szczególnej kategorii danych i nowej technologii (art. 35 ust. 3 lit. b RODO). DPIA przygotowujemy wspólnie przed wdrożeniem i aktualizujemy przy istotnych zmianach. Ma charakter dokumentu wewnętrznego, nie jest publikowana, ale musi być dostępna na żądanie. Jeśli UODO zgłasza konkretną nieprawidłowość (np. „pacjent twierdzi, że nie został poinformowany o AI”), procedura jest klarowna: my dostarczamy nagranie i transkrypt danej rozmowy (z identyfikatorem zgłoszonym przez UODO), Ty dostarczasz dokumentację kliniki. W większości przypadków analiza nagrań pokazuje, że obowiązek informacyjny był spełniony konsekwentnie, a skarga wynika z nieporozumienia, nie z braku informacji. Jeśli planujesz wdrożenie voicebota w klinice i chcesz przejść tę checklistę punkt po punkcie na konkretnym scenariuszu (POZ, specjalistyka, stomatologia, kosmetologia medyczna), zostaw kontakt na /kontakt. Przed rozmową przygotujemy szkic DPA z klauzulą tajemnicy zawodowej, wzór otwarcia rozmowy zgodny z art. 13 RODO i art. 50 AI Act oraz orientacyjny zakres DPIA. ## FAQ ### Czy wdrożenie voicebota w klinice wymaga DPIA? Zwykle tak. Art. 35 ust. 3 lit. b RODO wymaga DPIA m.in. dla przetwarzania na dużą skalę szczególnych kategorii danych (art. 9). Voicebot obsługujący pacjentów kwalifikuje się do tej kategorii. Przygotowujemy DPIA wspólnie przed startem wdrożenia. ### Czy zgoda pacjenta na rozmowę z AI jest wymagana? Nie zgoda w rozumieniu art. 6 ust. 1 lit. a RODO (jako podstawa prawna), bo podstawą jest art. 9 ust. 2 lit. h (świadczenie opieki zdrowotnej). Wymagana jest natomiast informacja o tym, że rozmawia z AI (art. 50 AI Act) i możliwość w każdej chwili przełączenia do człowieka. ### Co z tajemnicą lekarską? Czy dostawca voicebota nie narusza jej, mając dostęp do rozmów? Tajemnica lekarska z art. 40 ust. 1 ustawy z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty wiąże osobiście lekarza. Art. 13–14 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta rozszerza obowiązek zachowania tajemnicy na wszystkie osoby wykonujące zawód medyczny, biorące udział w udzielaniu świadczeń zdrowotnych. Personel rejestracji medycznej (recepcjonistka, rejestratorka telefoniczna) w polskim systemie prawa nie jest zazwyczaj „osobą wykonującą zawód medyczny” w rozumieniu tych przepisów; jego obowiązek poufności wynika z upoważnienia administratora (art. 29 RODO) oraz klauzul poufności w umowie o pracę i regulaminie pracy (art. 100 § 2 pkt 4 Kodeksu pracy). Voicebot AI jako narzędzie używane w procesie rejestracji medycznej technicznie zastępuje rejestratorkę, a dostawca (my jako procesor) jest objęty tajemnicą umownie, na podstawie art. 28 RODO i klauzuli tajemnicy w DPA. Klauzula rozszerza obowiązek zachowania tajemnicy na nas i wszystkich podprocesorów, w zakresie analogicznym do tego, jakim w klinice wiązane są osoby wykonujące zawód medyczny i personel rejestracji. Wyjątki z art. 40 ust. 2 ustawy o zawodach lekarza (zgoda pacjenta, przekazanie informacji innym osobom uczestniczącym w udzielaniu świadczeń itd.) dotyczą lekarza, nie dostawcy IT. ### Ile kosztuje zgodność, audyty, DPIA, DPA? DPA i klauzule w DPIA są częścią każdego wdrożenia, bez dopłaty. Cyklicznie (kwartalny audyt retencji, roczny przegląd DPA) mieści się w opiece miesięcznej pakietu GROWTH i ENTERPRISE. W pakiecie LITE audyt jest coroczny. ### Czy nagrania są udostępniane lekarzowi lub pacjentowi na żądanie? Lekarzowi prowadzącemu, tak, w zakresie przydatnym do opieki nad pacjentem. Pacjentowi, tak, na podstawie prawa do dostępu (art. 15 RODO) w terminie miesiąca od otrzymania żądania (art. 12 ust. 3 RODO; w skomplikowanych sprawach termin można przedłużyć o kolejne dwa miesiące, informując wnioskodawcę w ciągu pierwszego miesiąca). Procedurę udostępniania mamy opisaną w DPA. ### Co jeśli pacjent chce całkowicie wykluczyć voicebota z obsługi swojego kontaktu z kliniką? Szanujemy takie żądanie, konfigurujemy listę numerów / pacjentów, których rozmowy agent zawsze eskaluje do recepcji bez wchodzenia w scenariusz. Zgłoszenia trafiają na adres rodo@twoja-klinika.pl. ## Źródła - [Rozporządzenie (UE) 2016/679, RODO (art. 4, 9, 13, 17, 28, 35)](https://eur-lex.europa.eu/eli/reg/2016/679/oj) - [Rozporządzenie (UE) 2024/1689, AI Act (art. 50)](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) - [Ustawa z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz.U. 1997 nr 28 poz. 152, tekst jednolity Dz.U. 2023 poz. 1516 z późn. zm.)](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU19970280152) - [Art. 40 ustawy o zawodach lekarza i lekarza dentysty (lexlege)](https://lexlege.pl/ustawa-o-zawodach-lekarza-i-lekarza-dentysty/art-40/) - [Ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20090520417) - [Ustawa z 15 kwietnia 2011 r. o działalności leczniczej](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20111120654) - [UODO, plan kontroli sektorowych na 2026 r. (monitoring wizyjny w podmiotach leczniczych)](https://uodo.gov.pl/pl/138/4029) - [UODO, decyzja ws. CM Ujastek z 17.01.2025, 1 145 891,25 zł (precedens dot. monitoringu wizyjnego, relewantny przez analogię dla mishandlingu danych medycznych)](https://uodo.gov.pl/pl/138/3941) - [Urząd Ochrony Danych Osobowych (UODO)](https://uodo.gov.pl) Strona oryginalna: https://odbierze.ai/przewodniki/voicebot-w-klinice-art-9-rodo.