Voicebot w klinice, praktyczna zgodność z art. 9 RODO

Twoja klinika pozostaje administratorem danych pacjenta (art. 4 pkt 7 RODO). My, jako dostawca voicebota, jesteśmy procesorem (pkt 8). Relację reguluje umowa powierzenia przetwarzania (DPA), którą zawieramy na podstawie art. 28 RODO przed pierwszym połączeniem.

Dane, które voicebot realnie dotyka w klinice, to: dane identyfikacyjne pacjenta (imię i nazwisko, numer telefonu, data urodzenia), historia kontaktów, preferowany lekarz i typ wizyty, powód wizyty zebrany w rozmowie (często dane o zdrowiu, art. 9), nagranie rozmowy i jej transkrypt. PESEL i pełne dane wrażliwe agent zostawia kanałowi pisemnemu lub recepcji, nie zbiera ich przez telefon.

Każda z tych kategorii wymaga odpowiedzi na cztery pytania: gdzie jest przechowywana, jak długo, kto ma do niej dostęp, jak jest usuwana na żądanie pacjenta (art. 17 RODO). Na te pytania odpowiada DPA, nie domniemanie „zakładamy, że jest ok”.

Dobra DPA dla kliniki pokrywa co najmniej siedem obszarów: (1) zakres powierzonych danych (kategorie) i cele przetwarzania, (2) czas przetwarzania i retencja nagrań/transkryptów, (3) zabezpieczenia techniczne i organizacyjne (hosting EU, szyfrowanie TLS + AES, logowanie dostępu), (4) procedura zgłaszania naruszeń przez procesora do administratora w 24 godziny od wykrycia (margines, żeby administrator zdążył powiadomić UODO w 72 godziny zgodnie z art. 33 RODO), (5) prawo audytu, (6) lista podprocesorów (np. dostawca ASR/TTS/LLM) z wymogiem zgody administratora na zmianę, (7) zasady usuwania danych po zakończeniu współpracy.

Dodatkowo dla klinik dokładamy klauzulę dotyczącą tajemnicy zawodowej lekarza (art. 40 ustawy o zawodach lekarza), zobowiązującą procesora i wszystkich podprocesorów do zachowania tajemnicy w tym samym zakresie, w jakim jest ona wiążąca dla personelu medycznego kliniki.

DPA powinna być po polsku, z polską jurysdykcją i w formie, którą w razie kontroli UODO bez problemu można przedstawić. Wersji angielskiej z jurysdykcją Delaware praktycznie nie da się obronić przed polskim organem nadzorczym.

Art. 13 RODO nakłada na administratora (Twoją klinikę) obowiązek poinformowania pacjenta o przetwarzaniu jego danych. Przy rozmowie telefonicznej realizujemy go na otwarciu rozmowy, w praktyce krótką klauzulą przed zebraniem danych. Klauzula obejmuje trzy bloki: tożsamość administratora oraz cel i podstawę prawną przetwarzania (dla kliniki typowo art. 9 ust. 2 lit. h), zakres czasowy (retencja) i krąg odbiorców, prawa pacjenta wraz z linkiem do pełnej polityki prywatności. Prawo nie określa sztywnego limitu czasowego.

Równolegle art. 50 Rozporządzenia (UE) 2024/1689 (AI Act) wymaga poinformowania rozmówcy, że rozmawia z systemem AI. W praktyce łączymy oba obowiązki w jedną, krótką wypowiedź na początku rozmowy: „Dzień dobry, mówi asystent AI [nazwa kliniki]. Rozmowa jest nagrywana w celu rezerwacji wizyty. Pełna klauzula informacyjna jest dostępna na [adres]. Jeśli preferuje Pan/Pani rozmowę z recepcją, proszę powiedzieć »recepcja« i połączę.”

Skrypt tej klauzuli przygotowujemy wspólnie i dołączamy do DPA. Pacjent ma prawo w dowolnym momencie zażądać przełączenia do człowieka, agent respektuje to bez pytań dodatkowych.

Nasza domyślna konfiguracja retencji w klinice: transkrypt tekstowy przechowywany przez 30 dni (do rozstrzygnięcia ewentualnych sporów co do treści rezerwacji), nagranie audio przez 7 dni (weryfikacja brzmienia w przypadku wątpliwości), potem obie kategorie usuwane automatycznie. Dłuższą retencję stosujemy tylko, jeśli jest ku temu konkretna podstawa prawna (np. dochodzone roszczenie).

Dla klinik, które preferują zero data retention, konfigurujemy tryb bez przechowywania nagrania po zakończeniu rozmowy, zapisywane są wyłącznie metadane transakcji (rezerwacja dokonana, czas, numer telefonu) niezbędne do wykonania usługi. To rozwiązanie rekomendujemy klinikom z zaostrzonymi wymogami poufności (np. onkologia, psychiatria, medycyna pracy) lub zobowiązaniami DPA zawartymi z pacjentem.

Prawo pacjenta do usunięcia danych (art. 17 RODO) realizujemy w 72 godziny od zgłoszenia na dedykowany adres (zwykle rodo@twoja-klinika.pl). W praktyce oznacza to usunięcie rekordu pacjenta z naszego systemu agenta, wraz ze wszystkimi powiązanymi transkrypcjami i nagraniami. Potwierdzenie wykonania wysyłamy pacjentowi.

Pięć sytuacji, w których agent bezwzględnie eskaluje rozmowę do osoby z personelu kliniki, bez względu na skomplikowanie scenariusza:

(1) Pacjent zgłasza pilne objawy (ból w klatce piersiowej, silne krwawienie, podejrzenie zawału, podejrzenie udaru). Agent kończy interakcję: „Proszę natychmiast zadzwonić pod numer alarmowy 112. Łączę też z lekarzem dyżurnym”, i wykonuje eskalację.

(2) Pacjent żąda rozmowy z konkretnym lekarzem lub recepcją. Agent nie próbuje przejąć rozmowy, tylko eskaluje lub zapisuje prośbę o oddzwonienie.

(3) Pacjent zgłasza skargę lub reklamację (jakość usługi, zachowanie personelu). Agent zapisuje zgłoszenie i eskaluje do kierownika. Obsługa skarg medycznych należy wyłącznie do personelu kliniki.

(4) Rozmowa dotyczy zmiany danych wrażliwych (np. zmiana diagnozy w kartotece). Dane wrażliwe modyfikuje wyłącznie upoważniony personel.

(5) Pacjent prosi o informacje, których agent nie ma (np. wynik badania poza zakresem dostępu). Agent jasno mówi: „Nie mam dostępu do tej informacji, łączę z recepcją”, nie improwizuje odpowiedzi.

Zgodność to nie lista kontrolna wypełniona raz na zawsze. Klinikę prowadzimy w rytmie tygodniowym: przegląd 20 losowych rozmów pod kątem tego, czy (a) agent przedstawił się jako AI, (b) obowiązek informacyjny był spełniony, (c) nie pojawiły się halucynacje w odpowiedziach medycznych, (d) eskalacje działały. Wyniki trafiają do wspólnego dokumentu, dostępnego po Twojej i naszej stronie.

Raz na kwartał wykonujemy audyt retencji: sprawdzamy, czy skonfigurowane limity są realizowane (transkrypty starsze niż 30 dni powinny być skasowane, nagrania starsze niż 7 dni również). Raport audytu zapisujemy jako dowód należytej staranności, materiał, który w razie kontroli UODO ma się pod ręką.

Raz w roku wykonujemy przegląd DPA i listy podprocesorów, by sprawdzić, czy nic się nie zmieniło w stosie technicznym bez Twojej wiedzy. Jeśli dodajemy nowego podprocesora (np. nowy model LLM), wymagamy Twojej pisemnej zgody przed uruchomieniem.

W razie kontroli Prezesa UODO pierwsza rzecz, której urzędnik oczekuje, to przedstawienie dokumentów: DPA z dostawcą, polityka prywatności kliniki, dokumentacja analizy ryzyka (DPIA, Data Protection Impact Assessment, jeśli była wymagana), rejestr czynności przetwarzania, rejestr naruszeń.

Dla voicebota DPIA jest zwykle wymagana, ponieważ dotyczy szczególnej kategorii danych i nowej technologii (art. 35 ust. 3 lit. b RODO). DPIA przygotowujemy wspólnie przed wdrożeniem i aktualizujemy przy istotnych zmianach. Ma charakter dokumentu wewnętrznego, nie jest publikowana, ale musi być dostępna na żądanie.

Jeśli UODO zgłasza konkretną nieprawidłowość (np. „pacjent twierdzi, że nie został poinformowany o AI”), procedura jest klarowna: my dostarczamy nagranie i transkrypt danej rozmowy (z identyfikatorem zgłoszonym przez UODO), Ty dostarczasz dokumentację kliniki. W większości przypadków analiza nagrań pokazuje, że obowiązek informacyjny był spełniony konsekwentnie, a skarga wynika z nieporozumienia, nie z braku informacji.

Jeśli planujesz wdrożenie voicebota w klinice i chcesz przejść tę checklistę punkt po punkcie na konkretnym scenariuszu (POZ, specjalistyka, stomatologia, kosmetologia medyczna), zostaw kontakt na /kontakt. Przed rozmową przygotujemy szkic DPA z klauzulą tajemnicy zawodowej, wzór otwarcia rozmowy zgodny z art. 13 RODO i art. 50 AI Act oraz orientacyjny zakres DPIA.