# Voicebot RODO, checklista dla klinik

> Kara 1 145 891,25 zł dla CM Ujastek (WSA podtrzymał). Checklista RODO dla voicebota w klinice: stanowisko UODO 2025, DPIA art. 9, plan kontroli.

*Czas czytania: 13 minut · Opublikowano: 2026-04-23 · Ostatnia aktualizacja: 2026-05-06 · Kategoria: RODO*

UODO w piśmie DPNT.401.101.2025 z 30 kwietnia 2025 r. do Ministerstwa Zdrowia wprost zakwestionował projekt Centralnej Rejestracji Medycznej w części dotyczącej voicebotów i głosu jako potencjalnej biometrii (komunikat UODO opublikowany 16 maja 2025 r.). Centrum Medyczne Ujastek w 2025 r. zapłaciło 1 145 891,25 zł za niejawny monitoring wizyjny w neonatologii bez informowania pacjentek, a WSA podtrzymał decyzję UODO. Plan kontroli sektorowych UODO opublikowany 8 stycznia 2026 r. ma na celowniku monitoring wizyjny i ochronę danych dzieci w placówkach leczniczych. Ten raport tłumaczy, jak obronić wdrożenie voicebota w klinice w obliczu rzeczywistego nadzoru.

## TL;DR

- UODO publicznie zakwestionował voiceboty w sektorze medycznym w piśmie DPNT.401.101.2025 z 30 kwietnia 2025 r. skierowanym do Ministerstwa Zdrowia w sprawie projektu Centralnej Rejestracji Medycznej. Wskazał głos jako potencjalne dane biometryczne objęte art. 9 ust. 1 RODO.
- Decyzją z 17 stycznia 2025 r. (ogłoszoną 3 lutego 2025) [CM Ujastek otrzymało dwie kary łącznie 1 145 891,25 zł](https://uodo.gov.pl/pl/138/3941) za nagrywanie pacjentek na neonatologii bez informowania ich i bez zabezpieczeń. WSA w Warszawie podtrzymał obie decyzje UODO, oddalając skargę szpitala.
- Minimum dokumentacyjne dla voicebota w klinice: DPA z każdym podprocesorem, opis retencji i kategorii danych, scenariusz komunikatu AI zgodnego z art. 50, dziennik eskalacji, DPIA gdy obowiązkowa.

## Kluczowe liczby

| Pozycja | Wartość | Nota |
| --- | --- | --- |
| DPA | przed startem | Z każdym podprocesorem osobno: model, TTS, telefonia, hosting, integratorzy. |
| Art. 9 RODO | dane szczególne | Rozmowa pacjenta z reguły dotyka danych zdrowia. Reżim wzmocniony. |
| Retencja | 7 – 90 dni | Domyślna konfiguracja klinik w odbierze.ai: nagranie audio 7 dni, transkrypt 30 dni, metadane do 12 miesięcy. Branżowy zakres dopuszczalny: nagrania 30-90 dni, transkrypcje do 90 dni. Dłuższe okresy tylko z podstawą prawną. |
| Kary 2024-25 | 1 145 891,25 zł | Rekord medyczny RODO w PL: CM Ujastek (decyzja 17.01.2025, ogłoszenie 3.02.2025; dwie kary łącznie 1 145 891,25 zł). WSA oddalił skargę. |
| Plan UODO 2026 | kontrole sektorowe | Plan opublikowany 8.01.2026: monitoring wizyjny w podmiotach leczniczych, ze szczególnym uwzględnieniem danych dzieci. |

## Pisemne stanowisko UODO wobec voicebotów (2025)

> **Cytat, Z pisma Prezesa UODO ws. Centralnej Rejestracji Medycznej (30 kwietnia 2025 r.).**
> „Zautomatyzowane przetwarzanie danych biometrycznych, jak głos, który może ujawnić stan emocjonalny, choroby, wiek czy płeć, jest wyjątkowo inwazyjną formą przetwarzania danych osobowych, obarczoną bardzo wysokim ryzykiem naruszenia praw i wolności osób nagrywanych.”
> „Dane dotyczące zdrowia oraz dane biometryczne, zgodnie z art. 9 ust. 1 RODO, należą do danych szczególnych kategorii, należy więc pamiętać, że ich przetwarzanie wymaga stworzenia w regulacji i stosowania w praktyce szczególnego reżimu.”
> 
> *Źródło: Pismo Prezesa UODO DPNT.401.101.2025 z 30.04.2025 r. do Ministra Zdrowia ws. projektu Centralnej Rejestracji Medycznej; komunikat UODO opublikowany 16.05.2025 r. (Legalis, poradyodo, Rynek Zdrowia).*

Skutek tego stanowiska jest praktyczny. UODO patrzy na voicebota w klinice nie jak na infrastrukturę CRM, lecz jak na operację potencjalnie dotykającą art. 9 RODO. Decyzje projektowe (czy voicebot słucha objawów, czy tylko umawia, czy nagrywa, czy używa głosu do identyfikacji) są wprost regulacyjne, nie tylko techniczne.

Wniosek dla osoby zamawiającej wdrożenie: każda oferta voicebota dla podmiotu leczniczego musi mieć w cenie analizę, które dane są zbierane, jaką podstawę prawną ma to zbieranie i jak retencja jest wpisana w umowę. Bez tego wdrożenie startuje bez podstaw zgodności z RODO.

## Trzy kategorie danych w rozmowie pacjenta

**Kategorie danych w rozmowie pacjenta z voicebotem, reżim prawny i konsekwencja projektowa**

| Kategoria | Przykłady | Reżim prawny | Konsekwencja projektowa |
| --- | --- | --- | --- |
| Dane zwykłe | imię, nazwisko, numer telefonu, data wizyty | Art. 6 RODO, podstawa: umowa z pacjentem albo prawnie uzasadniony interes | Standardowa minimalizacja, przejrzysta klauzula informacyjna |
| Dane szczególne (art. 9) | objawy, diagnozy, leki, ciąża, choroby przewlekłe | Art. 9 ust. 2 lit. h RODO + ustawy zdrowotne (PL: tajemnica lekarska) | Wyraźna podstawa, ograniczenie zakresu, krótka retencja, audyt dostępu |
| Dane biometryczne (głos) | głos w stopniu pozwalającym na identyfikację (np. voiceprint) | Art. 9 + Art. 4 pkt 14 RODO. Domyślny zakaz identyfikacji bez wyraźnej zgody. | Co do zasady niedopuszczalne. Nagrywanie do treści rozmowy nie tworzy biometrii, ale klonowanie głosu lub identyfikacja głosowa już tak. |

*W projekcie voicebota dla kliniki domyślnie traktuj treść rozmowy jak art. 9, nawet jeśli scenariusz nie pyta o objawy. Pacjent może je samodzielnie zgłosić.*

## Kiedy DPIA jest obowiązkowa dla voicebota

Art. 35 RODO obliguje administratora do przeprowadzenia oceny skutków dla ochrony danych (DPIA) tam, gdzie ze względu na charakter, zakres, kontekst i cele przetwarzanie może powodować wysokie ryzyko dla praw osób fizycznych. UODO opublikował w 2019 r. wykaz operacji obowiązkowo wymagających DPIA, a w marcu 2025 r. zaktualizował komunikat „Kiedy trzeba przeprowadzić DPIA”.

Dla voicebota w klinice DPIA jest praktycznie obowiązkowa w większości scenariuszy operacyjnych, ze względu na łączenie nowych technologii z danymi szczególnymi. Brak DPIA nie tylko grozi karą sam w sobie, ale też tworzy ryzyko proceduralne w razie kontroli sektorowej.

- [ ] Zautomatyzowane decyzje wpływające na dostęp do świadczeń medycznych. Np. priorytetyzacja kolejki triażowej. Wymaga DPIA i podstawy z art. 22 RODO.
- [ ] Przetwarzanie danych szczególnych w skali kilku tysięcy pacjentów rocznie. Sieć klinik z kilkoma lokalizacjami praktycznie zawsze przekracza próg.
- [ ] Identyfikacja głosowa pacjenta (biometria). Zwykle nieuzasadniona, ryzyko wysokie nawet po zastosowaniu zabezpieczeń.
- [ ] Łączenie danych z głosu z innymi źródłami. CRM, EHR, monitoring wizyjny. Każde dodatkowe źródło to dodatkowy element DPIA.
- [ ] Transfer danych poza UE (nawet w trybie awaryjnym). Wymaga SCC + dodatkowych środków po Schrems II. DPIA musi to uwzględnić.
- [ ] Przetwarzanie danych dzieci w opiece zdrowotnej. Reżim podwyższony, zgodnie z planem kontroli sektorowych UODO na 2026 r. (oddziały pediatryczne, dane małoletnich pacjentów).
- [ ] Nowy proces, którego placówka wcześniej nie prowadziła. Wprowadzenie voicebota do triażu, do przedpłat za wyceny, do ponowień recept.

> **Uwaga, Brak DPIA jest sam w sobie naruszeniem.**
> EROD i UODO nakładają kary za sam brak lub nieprawidłowo wykonaną DPIA, niezależnie od tego, czy doszło do wycieku. Toyota Bank Polska S.A. otrzymała w 2024-25 r. łączną karę 576 220 zł za pominięcie profilowania kredytowego w rejestrze czynności i w ocenie skutków dla ochrony danych (314 302 zł), a także za niewłaściwe usytuowanie IOD (261 918 zł); WSA podtrzymał. W listopadzie 2025 r. AEPD (hiszpański organ) nałożył 10 043 002 EUR na AENA (operator hiszpańskich lotnisk) za nieprawidłowo wykonaną DPIA przy systemach rozpoznawania twarzy biometrycznego boardingu na ośmiu lotniskach.
> 
> *Źródło: UODO (Toyota Bank, decyzje 2024-25), AEPD (AENA, listopad 2025)*

## Lista przed uruchomieniem voicebota w klinice

- [must] Zatwierdzona treść komunikatu AI. Zgodny z art. 50 AI Act (od 2 sierpnia 2026 r.) + art. 13 RODO (obowiązek informacyjny).
- [must] Lista scenariuszy z mapą eskalacji. Każdy scenariusz ma listę warunków, w których voicebot przekazuje rozmowę człowiekowi.
- [must] Mapa kategorii danych zbieranych w każdym scenariuszu. Tabela: scenariusz × dane zwykłe / art. 9 / biometria. Pomaga w DPIA i w briefie dla IOD.
- [must] Decyzja, czy voicebot przyjmuje objawy, czy tylko umawia. To jedna z najważniejszych decyzji projektowych. Zmienia zakres danych i reżim retencji.
- [must] DPA z każdym podprocesorem. Model AI, TTS, telefonia (dostawca SIP), hosting, integratorzy. Każdy ma osobny DPA i jest na liście.
- [must] Region przetwarzania danych w UE. Region UE zapisany w umowie powierzenia. Dla branż z wymogiem rezydencji wyłącznie w Polsce, alternatywne ścieżki w umowie powierzenia.
- [must] Czas retencji nagrań i transkrypcji. Standard odbierze.ai: nagrania audio 7 dni, transkrypcje 30 dni, metadane 12 mies. Dłuższe okresy (nagrania do 90, transkrypcje do 90) tylko z udokumentowaną podstawą (np. reklamacja, spór z pacjentem).
- [must] Lista osób z dostępem do transkrypcji. Zasada minimum (need to know). IOD klienta zatwierdza listę i jej rewizję co 6 mies.
- [must] Procedura realizacji praw osoby. Dostęp, sprostowanie, usunięcie, ograniczenie, przenoszalność. Czas realizacji do 30 dni (art. 12 RODO).
- [must] Procedura zgłoszenia naruszenia w 72h. Art. 33 RODO. Konkretne kanały, osoby, treść zgłoszenia, decyzja o powiadomieniu osób.
- [must] Plan przeglądu rozmów po starcie. 1–3 procent rozmów miesięcznie, notatki z przeglądu, częstotliwość, kanał poprawek scenariusza.
- [must] Dziennik wersji scenariusza i komunikatu. Timestamp, autor, diff. Niezbędny w razie kontroli UODO i jako dowód operacyjny art. 50 AI Act.
- [must] Plan reakcji na sytuacje wrażliwe. Ból, agresja, kryzys psychiczny, dziecko, podejrzenie zagrożenia. Lista skryptowa + numer alarmowy.
- [must] Klauzula informacyjna na stronie + w komunikacie startowym. Wymagana art. 13 RODO przy zbieraniu danych od osoby.
- [must] Numer kontaktowy do IOD klienta i do IOD odbierze.ai. W komunikacie scenariusza i na stronie. Realny kanał, nie ogólny adres info@.

## Retencja, podprocesorzy, transfer poza UE

**Praktyka odbierze.ai vs notatka prawna, transparentność po stronie kliniki**

| Element | Praktyka odbierze.ai | Notka prawna |
| --- | --- | --- |
| Nagrania pełne | 7 dni (domyślnie), do 90 dni | Domyślna konfiguracja klinik: 7 dni. Dłuższy okres tylko z udokumentowaną podstawą (np. spór z pacjentem). Po terminie usunięcie automatyczne. |
| Transkrypcje pełne | 30 dni (domyślnie), do 90 dni | Domyślnie 30 dni. Dłużej tylko z konkretną podstawą. Po terminie tylko zanonimizowane metadane; zanonimizacja musi być nieodwracalna. |
| Metadane (czas, kierunek, status) | 12 miesięcy | Cele rozliczeniowe i kontrola jakości. Bez treści osobowej. |
| Logi modelu AI | 14 dni | Tylko do diagnostyki, bez treści osobowej. Filtrowanie na poziomie pipelinu. |
| Transfer poza UE | brak w standardzie | Domyślnie EU residency. Awaryjne przekierowanie do USA wymagałoby SCC i dodatkowej dokumentacji, której nie wprowadzamy. |
| Lista podprocesorów | załącznik nr 3 do umowy | Aktualizacja z 30-dniowym uprzedzeniem. Klient może wnieść uzasadniony sprzeciw. |

## Eskalacja człowieka, scenariusz minimum

> **Nota, Sytuacje, w których voicebot ma natychmiast przekazać rozmowę człowiekowi.**
> Wprost wyrażone żądanie rozmowy z człowiekiem („proszę o człowieka”, „chcę z kimś porozmawiać”).
> Treść medyczna wykraczająca poza scenariusz rezerwacji (objawy, ból, leki, ciąża).
> Reklamacja, podejrzenie błędu medycznego, konflikt z poprzednią obsługą.
> Sygnały kryzysu psychicznego, podejrzenie zagrożenia zdrowia lub życia.
> Dziecko jako rozmówca (RODO + AI Act ścisły reżim ochrony danych dzieci).
> Niska pewność modelu (confidence < ustalony próg), niezrozumiała wymowa, silne zakłócenia.

Eskalacja w odbierze.ai jest projektowana jako pierwsze ogniwo, nie jako wyjątek. Brak ścieżki eskalacji oznacza, że scenariusz nie powinien być uruchomiony. W praktyce to: numer dyżurnego, kanał czatowy lub bezpośrednie połączenie z recepcją kliniki.

Komunikat w eskalacji powinien być zwięzły. „Przekazuję sprawę do zespołu, proszę o chwilę cierpliwości” jest wystarczające. Nie wolno udawać, że klient został wpisany do kolejki, jeśli realnie nie ma takiej kolejki.

## Realne kary z 2024-2025 r.

- **17 stycznia 2025 r.**: CM Ujastek (Kraków), pierwsza kara ~688 tys. zł. Decyzja Prezesa UODO za niejawny monitoring wizyjny w dwóch salach oddziału neonatologii (kamery ukryte w zegarach), brak informacji dla pacjentek i pracowników, naruszenie art. 23a ustawy o działalności leczniczej i RODO.
- **17 stycznia 2025 r.**: CM Ujastek, druga kara ~458 tys. zł. Za brak odpowiednich środków bezpieczeństwa danych przetwarzanych na kartach pamięci w kontekście zgłoszonego przez szpital naruszenia (zagubienie/kradzież kart): nieszyfrowane nośniki, źle skonfigurowane urządzenia rejestrujące. Suma obu kar: 1 145 891,25 zł.
- **2025 r.**: WSA w Warszawie oddalił skargę CM Ujastek. Sąd podtrzymał obie decyzje UODO i potwierdził, że ukryty monitoring narusza art. 23a ustawy o działalności leczniczej i RODO. Łącznie 1 145 891,25 zł utrzymane.
- **czerwiec 2025 r.**: Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku, kara 66 500 zł. Po cyberataku ransomware blokującym dostęp do systemów; incydent dotknął ok. 2 tys. osób (dane pracowników i kontrahentów). UODO zakwestionował nierzetelną analizę ryzyka i niespójną dokumentację.
- **listopad 2025 r.**: AEPD (Hiszpania), kara 10 043 002 EUR dla AENA. Za nieprawidłowo wykonaną DPIA przy systemach biometrycznego boardingu (rozpoznawanie twarzy) na ośmiu lotniskach hiszpańskich. AEPD nakazała tymczasowe zawieszenie przetwarzania biometrycznego. Sygnał regulacyjny dla biometrii w UE.
- **8 stycznia 2026 r.**: Plan kontroli sektorowych UODO opublikowany. Priorytety: SIS/VIS, podmioty lecznicze (monitoring wizyjny, szczególnie dane dzieci na oddziałach pediatrycznych), BIP, marketing, internetowe platformy dostaw. Voiceboty w klinikach wpisują się w kontekst sektora leczniczego.

## Czego NIE wolno robić

- [avoid] Domniemana zgoda przez „kontynuując rozmowę zgadzasz się”. Nie spełnia art. 7 RODO dla danych szczególnych. Zgoda musi być wyraźna i jednoznaczna.
- [avoid] Voicebot odpytujący o objawy bez wyraźnej podstawy z art. 9. Nawet w celu „przyjęcia zgłoszenia”. Zakres art. 9 ust. 2 lit. h wymaga konkretnej podstawy w przepisach o ochronie zdrowia.
- [avoid] Brak komunikatu, że rozmówca rozmawia z systemem AI. Od 2 sierpnia 2026 r. art. 50 AI Act. Kara do 15 mln EUR / 3% obrotu.
- [avoid] Brak listy podprocesorów lub jej aktualizacji. Art. 28 RODO. Lista musi być w umowie i aktualizowana.
- [avoid] Transfer danych do USA bez SCC + dodatkowych środków. Po Schrems II. Klauzule SCC same nie wystarczą bez analizy poziomu ochrony.
- [avoid] Retencja nagrań „na zawsze” bez podstawy. Art. 5 ust. 1 lit. e RODO. Każdy okres retencji musi mieć uzasadnienie.
- [avoid] Wykorzystanie głosu pacjenta do trenowania modelu. Bez wyraźnej zgody i osobnej podstawy. EROD opinia 28/2024 doprecyzowuje.
- [avoid] Voicebot diagnozujący, nawet w formie „to brzmi jak…”. Przekracza zakres umowy o dzieło, narusza ustawę o zawodach lekarza, ryzyko wprowadzenia w błąd.
- [avoid] Brak procedury obsługi prawa do usunięcia. Art. 17 RODO. „Right to be forgotten” musi mieć ścieżkę w 30 dni.

## Metodyka

Treść raportu pochodzi z analizy decyzji UODO 2024-2025, wyroków WSA, planu kontroli sektorowych UODO 2026 r., komunikatów EROD (opinia 28/2024), aktów prawnych (RODO, AI Act, ustawa o działalności leczniczej, ustawa o zawodach lekarza). Praktyki retencyjne odbierze.ai (30/90/365 dni) odzwierciedlają standardowe pakiety LITE/GROWTH/ENTERPRISE i mogą być zmodyfikowane w umowie powierzenia w odpowiedzi na specyficzne wymagania klienta. Lista podprocesorów dla każdego klienta jest załącznikiem do DPA i nie jest publicznie ujawniana ze względów handlowych.

## Historia zmian

- **2026-04-23**: Pierwsza wersja raportu
- **2026-05-06**: Pełna restrukturyzacja: cytat ze stanowiska UODO, kara CM Ujastek z wyrokiem WSA, tabela kategorii danych art. 9 + biometria, lista 15+ pre-launch, retencja w tabeli, sytuacje eskalacji, antywzorce

## FAQ

### Czy voicebot zawsze przetwarza dane szczególne w klinice?

Nie zawsze, ale projekt należy analizować tak, jakby taka możliwość istniała. Treść rozmowy pacjenta może ujawnić dane dotyczące zdrowia w rozumieniu art. 9 RODO, nawet jeśli scenariusz pyta tylko o termin wizyty. Dlatego w odbierze.ai domyślnie traktujemy każde wdrożenie medyczne jako objęte reżimem art. 9.

### Kiedy DPIA jest obowiązkowa, a kiedy wystarczy ocena ryzyka?

Ocena ryzyka jest obowiązkowa zawsze (art. 32 RODO). DPIA jest obowiązkowa, gdy operacja może powodować wysokie ryzyko, w szczególności przy nowych technologiach + danych szczególnych. Wykaz UODO z 2019 r. + komunikat z marca 2025 r. precyzują kryteria. Voicebot w klinice praktycznie zawsze spełnia te kryteria.

### Czy IOD musi być po stronie kliniki, czy może być po stronie agencji?

Każda placówka medyczna ma obowiązek mieć własnego IOD (art. 37 RODO). Agencja wdrożeniowa odbierze.ai ma własnego IOD, który koordynuje DPA i listę podprocesorów po naszej stronie. Te dwie role współpracują, nie zastępują się.

### Czy mogę używać voicebota do umawiania wizyt w POZ z NFZ?

Tak, pod warunkiem że scenariusz ogranicza się do umawiania, przekładania i potwierdzania, bez gromadzenia danych medycznych. Centralna Rejestracja Medyczna (projekt nowelizacji ustawy o świadczeniach opieki zdrowotnej, MZ) ma własne wymagania, do których UODO zgłosił zastrzeżenia w piśmie DPNT.401.101.2025 z 30 kwietnia 2025 r. (m.in. ws. nadmiarowości i ryzyka biometrii głosu). Przed wdrożeniem warto skonsultować scenariusz z IOD placówki i z umową z NFZ.

### Jak długo przechowywać nagrania rozmów medycznych?

Nie ma ustawowego minimum dla nagrań voicebota. Stosujemy zasadę minimalizacji: nagrania audio 7 dni, transkrypcje 30 dni, metadane do 12 miesięcy. Dłużej (nagrania do 90 dni, transkrypcje do 90 dni) tylko z udokumentowaną podstawą, np. reklamacja lub spór z pacjentem. Dane umowne (faktury, zwroty) są przechowywane osobno zgodnie z ustawą o rachunkowości. Każdy termin musi być świadomą decyzją administratora i wpisany do polityki retencji.

### Co zrobić, gdy pacjent zażąda usunięcia nagrania?

Art. 17 RODO daje prawo do usunięcia. Procedura w odbierze.ai: pacjent zgłasza żądanie do IOD kliniki, klinika weryfikuje, odbierze.ai usuwa nagranie i transkrypcję w 30 dni, potwierdzenie pisemne. Dane rozliczeniowe (faktura, jeśli wystąpiła) są usuwane osobno z wyjątkami z art. 17 ust. 3.

### Co podlega obowiązkowi zgłoszenia w 72h, a co nie?

Art. 33 RODO wymaga zgłoszenia naruszenia ochrony danych w 72h, jeśli istnieje ryzyko dla praw i wolności osób. Wyciek transkrypcji, niewłaściwy dostęp, kompromitacja konta administracyjnego, awaria z utratą integralności – wszystkie podlegają. Zwykła awaria techniczna bez utraty/ujawnienia danych nie wymaga zgłoszenia, ale powinna być w wewnętrznym dzienniku.

## Źródła

- [UODO, stanowisko ws. centralnej rejestracji medycznej i voicebotów](https://uodo.gov.pl/pl/138/3691)
- [Rynek Zdrowia, „Voiceboty na celowniku UODO” (2024)](https://www.rynekzdrowia.pl/E-zdrowie/Voiceboty-i-AI-na-celowniku-UODO-Jest-obawa-o-bezpieczenstwo-danych-pacjentow,271727,7.html)
- [EUR-Lex, RODO 2016/679 (art. 9, art. 28, art. 35)](https://eur-lex.europa.eu/eli/reg/2016/679/oj)
- [EUR-Lex, AI Act 2024/1689](https://eur-lex.europa.eu/eli/reg/2024/1689/oj)
- [UODO, kiedy trzeba przeprowadzić DPIA (komunikat 03/2025)](https://uodo.gov.pl/pl/598/3617)
- [UODO, WSA oddalił skargę CM Ujastek](https://uodo.gov.pl/pl/138/3941)
- [Gazeta Prawna, „Ponad milion zł kary za nagrywanie pacjentów”](https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/10572902,ponad-milion-zl-kary-za-nagrywanie-pacjentow-bez-ich-wiedzy-centrum-m.html)
- [GDPR.pl, kara dla USK Zamenhofa w Białymstoku](https://gdpr.pl/kolejna-placowka-medyczna-ukarana-przez-organ-nadzorczy)
- [EROD, opinia 28/2024 ws. modeli AI](https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en)
- [Ustawa o zawodach lekarza i lekarza dentysty (tajemnica lekarska)](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU19970280152)
- [Ustawa o działalności leczniczej (art. 23a, monitoring)](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20111120654)
- [Lex.pl, kontrole UODO 2026 w podmiotach leczniczych](https://www.lex.pl/kontrola-uodo-monitoring-i-ochrona-danych-dzieci-w-podmiotach-leczniczych,45109.html)
- [Legalis, ochrona danych osobowych w centralnej rejestracji medycznej (UODO pismo DPNT.401.101.2025)](https://legalis.pl/ochrona-danych-osobowych-w-centralnej-rejestracji-medycznej/)
- [PoradyODO, RODO a centralna rejestracja medyczna (uwagi UODO 2025)](https://www.poradyodo.pl/top-temat/centralna-rejestracja-medyczna-a-rodo-uwaga-na-ryzyko-przetwarzania-danych-biometrycznych-13121.html)
- [UODO, plan kontroli sektorowych na 2026 r. (8.01.2026)](https://uodo.gov.pl/pl/138/4029)
- [UODO, komunikat w sprawie wykazu DPIA (Komunikat z 17.06.2019, Monitor Polski 2019/666)](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WMP20190000666)

Strona oryginalna: https://odbierze.ai/raporty/voicebot-rodo-checklista-dla-klinik.