Trzy zdania, jeśli nie masz czasu
- 01UODO publicznie zakwestionował voiceboty w sektorze medycznym w piśmie DPNT.401.101.2025 z 30 kwietnia 2025 r. skierowanym do Ministerstwa Zdrowia w sprawie projektu Centralnej Rejestracji Medycznej. Wskazał głos jako potencjalne dane biometryczne objęte art. 9 ust. 1 RODO.
- 02Decyzją z 17 stycznia 2025 r. (ogłoszoną 3 lutego 2025) CM Ujastek otrzymało dwie kary łącznie 1 145 891,25 zł za nagrywanie pacjentek na neonatologii bez informowania ich i bez zabezpieczeń. WSA w Warszawie podtrzymał obie decyzje UODO, oddalając skargę szpitala.
- 03Minimum dokumentacyjne dla voicebota w klinice: DPA z każdym podprocesorem, opis retencji i kategorii danych, scenariusz komunikatu AI zgodnego z art. 50, dziennik eskalacji, DPIA gdy obowiązkowa.
01
Pisemne stanowisko UODO wobec voicebotów (2025)
Skutek tego stanowiska jest praktyczny. UODO patrzy na voicebota w klinice nie jak na infrastrukturę CRM, lecz jak na operację potencjalnie dotykającą art. 9 RODO. Decyzje projektowe (czy voicebot słucha objawów, czy tylko umawia, czy nagrywa, czy używa głosu do identyfikacji) są wprost regulacyjne, nie tylko techniczne.
Wniosek dla osoby zamawiającej wdrożenie: każda oferta voicebota dla podmiotu leczniczego musi mieć w cenie analizę, które dane są zbierane, jaką podstawę prawną ma to zbieranie i jak retencja jest wpisana w umowę. Bez tego wdrożenie startuje bez podstaw zgodności z RODO.
02
Trzy kategorie danych w rozmowie pacjenta
| Kategoria | Przykłady | Reżim prawny | Konsekwencja projektowa |
|---|---|---|---|
| Dane zwykłe | imię, nazwisko, numer telefonu, data wizyty | Art. 6 RODO, podstawa: umowa z pacjentem albo prawnie uzasadniony interes | Standardowa minimalizacja, przejrzysta klauzula informacyjna |
| Dane szczególne (art. 9) | objawy, diagnozy, leki, ciąża, choroby przewlekłe | Art. 9 ust. 2 lit. h RODO + ustawy zdrowotne (PL: tajemnica lekarska) | Wyraźna podstawa, ograniczenie zakresu, krótka retencja, audyt dostępu |
| Dane biometryczne (głos) | głos w stopniu pozwalającym na identyfikację (np. voiceprint) | Art. 9 + Art. 4 pkt 14 RODO. Domyślny zakaz identyfikacji bez wyraźnej zgody. | Co do zasady niedopuszczalne. Nagrywanie do treści rozmowy nie tworzy biometrii, ale klonowanie głosu lub identyfikacja głosowa już tak. |
Dane zwykłe
- Przykłady
- imię, nazwisko, numer telefonu, data wizyty
- Reżim prawny
- Art. 6 RODO, podstawa: umowa z pacjentem albo prawnie uzasadniony interes
- Konsekwencja projektowa
- Standardowa minimalizacja, przejrzysta klauzula informacyjna
Dane szczególne (art. 9)
- Przykłady
- objawy, diagnozy, leki, ciąża, choroby przewlekłe
- Reżim prawny
- Art. 9 ust. 2 lit. h RODO + ustawy zdrowotne (PL: tajemnica lekarska)
- Konsekwencja projektowa
- Wyraźna podstawa, ograniczenie zakresu, krótka retencja, audyt dostępu
Dane biometryczne (głos)
- Przykłady
- głos w stopniu pozwalającym na identyfikację (np. voiceprint)
- Reżim prawny
- Art. 9 + Art. 4 pkt 14 RODO. Domyślny zakaz identyfikacji bez wyraźnej zgody.
- Konsekwencja projektowa
- Co do zasady niedopuszczalne. Nagrywanie do treści rozmowy nie tworzy biometrii, ale klonowanie głosu lub identyfikacja głosowa już tak.
W projekcie voicebota dla kliniki domyślnie traktuj treść rozmowy jak art. 9, nawet jeśli scenariusz nie pyta o objawy. Pacjent może je samodzielnie zgłosić.
03
Kiedy DPIA jest obowiązkowa dla voicebota
Art. 35 RODO obliguje administratora do przeprowadzenia oceny skutków dla ochrony danych (DPIA) tam, gdzie ze względu na charakter, zakres, kontekst i cele przetwarzanie może powodować wysokie ryzyko dla praw osób fizycznych. UODO opublikował w 2019 r. wykaz operacji obowiązkowo wymagających DPIA, a w marcu 2025 r. zaktualizował komunikat „Kiedy trzeba przeprowadzić DPIA”.
Dla voicebota w klinice DPIA jest praktycznie obowiązkowa w większości scenariuszy operacyjnych, ze względu na łączenie nowych technologii z danymi szczególnymi. Brak DPIA nie tylko grozi karą sam w sobie, ale też tworzy ryzyko proceduralne w razie kontroli sektorowej.
- 01
Zautomatyzowane decyzje wpływające na dostęp do świadczeń medycznych
Np. priorytetyzacja kolejki triażowej. Wymaga DPIA i podstawy z art. 22 RODO.
- 02
Przetwarzanie danych szczególnych w skali kilku tysięcy pacjentów rocznie
Sieć klinik z kilkoma lokalizacjami praktycznie zawsze przekracza próg.
- 03
Identyfikacja głosowa pacjenta (biometria)
Zwykle nieuzasadniona, ryzyko wysokie nawet po zastosowaniu zabezpieczeń.
- 04
Łączenie danych z głosu z innymi źródłami
CRM, EHR, monitoring wizyjny. Każde dodatkowe źródło to dodatkowy element DPIA.
- 05
Transfer danych poza UE (nawet w trybie awaryjnym)
Wymaga SCC + dodatkowych środków po Schrems II. DPIA musi to uwzględnić.
- 06
Przetwarzanie danych dzieci w opiece zdrowotnej
Reżim podwyższony, zgodnie z planem kontroli sektorowych UODO na 2026 r. (oddziały pediatryczne, dane małoletnich pacjentów).
- 07
Nowy proces, którego placówka wcześniej nie prowadziła
Wprowadzenie voicebota do triażu, do przedpłat za wyceny, do ponowień recept.
04
Lista przed uruchomieniem voicebota w klinice
- 01wymagane
Zatwierdzona treść komunikatu AI
Zgodny z art. 50 AI Act (od 2 sierpnia 2026 r.) + art. 13 RODO (obowiązek informacyjny).
- 02wymagane
Lista scenariuszy z mapą eskalacji
Każdy scenariusz ma listę warunków, w których voicebot przekazuje rozmowę człowiekowi.
- 03wymagane
Mapa kategorii danych zbieranych w każdym scenariuszu
Tabela: scenariusz × dane zwykłe / art. 9 / biometria. Pomaga w DPIA i w briefie dla IOD.
- 04wymagane
Decyzja, czy voicebot przyjmuje objawy, czy tylko umawia
To jedna z najważniejszych decyzji projektowych. Zmienia zakres danych i reżim retencji.
- 05wymagane
DPA z każdym podprocesorem
Model AI, TTS, telefonia (dostawca SIP), hosting, integratorzy. Każdy ma osobny DPA i jest na liście.
- 06wymagane
Region przetwarzania danych w UE
Region UE zapisany w umowie powierzenia. Dla branż z wymogiem rezydencji wyłącznie w Polsce, alternatywne ścieżki w umowie powierzenia.
- 07wymagane
Czas retencji nagrań i transkrypcji
Standard odbierze.ai: nagrania audio 7 dni, transkrypcje 30 dni, metadane 12 mies. Dłuższe okresy (nagrania do 90, transkrypcje do 90) tylko z udokumentowaną podstawą (np. reklamacja, spór z pacjentem).
- 08wymagane
Lista osób z dostępem do transkrypcji
Zasada minimum (need to know). IOD klienta zatwierdza listę i jej rewizję co 6 mies.
- 09wymagane
Procedura realizacji praw osoby
Dostęp, sprostowanie, usunięcie, ograniczenie, przenoszalność. Czas realizacji do 30 dni (art. 12 RODO).
- 10wymagane
Procedura zgłoszenia naruszenia w 72h
Art. 33 RODO. Konkretne kanały, osoby, treść zgłoszenia, decyzja o powiadomieniu osób.
- 11wymagane
Plan przeglądu rozmów po starcie
1–3 procent rozmów miesięcznie, notatki z przeglądu, częstotliwość, kanał poprawek scenariusza.
- 12wymagane
Dziennik wersji scenariusza i komunikatu
Timestamp, autor, diff. Niezbędny w razie kontroli UODO i jako dowód operacyjny art. 50 AI Act.
- 13wymagane
Plan reakcji na sytuacje wrażliwe
Ból, agresja, kryzys psychiczny, dziecko, podejrzenie zagrożenia. Lista skryptowa + numer alarmowy.
- 14wymagane
Klauzula informacyjna na stronie + w komunikacie startowym
Wymagana art. 13 RODO przy zbieraniu danych od osoby.
- 15wymagane
Numer kontaktowy do IOD klienta i do IOD odbierze.ai
W komunikacie scenariusza i na stronie. Realny kanał, nie ogólny adres info@.
05
Retencja, podprocesorzy, transfer poza UE
| Element | Praktyka odbierze.ai | Notka prawna |
|---|---|---|
| Nagrania pełne | 7 dni (domyślnie), do 90 dni | Domyślna konfiguracja klinik: 7 dni. Dłuższy okres tylko z udokumentowaną podstawą (np. spór z pacjentem). Po terminie usunięcie automatyczne. |
| Transkrypcje pełne | 30 dni (domyślnie), do 90 dni | Domyślnie 30 dni. Dłużej tylko z konkretną podstawą. Po terminie tylko zanonimizowane metadane; zanonimizacja musi być nieodwracalna. |
| Metadane (czas, kierunek, status) | 12 miesięcy | Cele rozliczeniowe i kontrola jakości. Bez treści osobowej. |
| Logi modelu AI | 14 dni | Tylko do diagnostyki, bez treści osobowej. Filtrowanie na poziomie pipelinu. |
| Transfer poza UE | brak w standardzie | Domyślnie EU residency. Awaryjne przekierowanie do USA wymagałoby SCC i dodatkowej dokumentacji, której nie wprowadzamy. |
| Lista podprocesorów | załącznik nr 3 do umowy | Aktualizacja z 30-dniowym uprzedzeniem. Klient może wnieść uzasadniony sprzeciw. |
Nagrania pełne
- Praktyka odbierze.ai
- 7 dni (domyślnie), do 90 dni
- Notka prawna
- Domyślna konfiguracja klinik: 7 dni. Dłuższy okres tylko z udokumentowaną podstawą (np. spór z pacjentem). Po terminie usunięcie automatyczne.
Transkrypcje pełne
- Praktyka odbierze.ai
- 30 dni (domyślnie), do 90 dni
- Notka prawna
- Domyślnie 30 dni. Dłużej tylko z konkretną podstawą. Po terminie tylko zanonimizowane metadane; zanonimizacja musi być nieodwracalna.
Metadane (czas, kierunek, status)
- Praktyka odbierze.ai
- 12 miesięcy
- Notka prawna
- Cele rozliczeniowe i kontrola jakości. Bez treści osobowej.
Logi modelu AI
- Praktyka odbierze.ai
- 14 dni
- Notka prawna
- Tylko do diagnostyki, bez treści osobowej. Filtrowanie na poziomie pipelinu.
Transfer poza UE
- Praktyka odbierze.ai
- brak w standardzie
- Notka prawna
- Domyślnie EU residency. Awaryjne przekierowanie do USA wymagałoby SCC i dodatkowej dokumentacji, której nie wprowadzamy.
Lista podprocesorów
- Praktyka odbierze.ai
- załącznik nr 3 do umowy
- Notka prawna
- Aktualizacja z 30-dniowym uprzedzeniem. Klient może wnieść uzasadniony sprzeciw.
06
Eskalacja człowieka, scenariusz minimum
Eskalacja w odbierze.ai jest projektowana jako pierwsze ogniwo, nie jako wyjątek. Brak ścieżki eskalacji oznacza, że scenariusz nie powinien być uruchomiony. W praktyce to: numer dyżurnego, kanał czatowy lub bezpośrednie połączenie z recepcją kliniki.
Komunikat w eskalacji powinien być zwięzły. „Przekazuję sprawę do zespołu, proszę o chwilę cierpliwości” jest wystarczające. Nie wolno udawać, że klient został wpisany do kolejki, jeśli realnie nie ma takiej kolejki.
07
Realne kary z 2024-2025 r.
17 stycznia 2025 r.
CM Ujastek (Kraków), pierwsza kara ~688 tys. zł
Decyzja Prezesa UODO za niejawny monitoring wizyjny w dwóch salach oddziału neonatologii (kamery ukryte w zegarach), brak informacji dla pacjentek i pracowników, naruszenie art. 23a ustawy o działalności leczniczej i RODO.
17 stycznia 2025 r.
CM Ujastek, druga kara ~458 tys. zł
Za brak odpowiednich środków bezpieczeństwa danych przetwarzanych na kartach pamięci w kontekście zgłoszonego przez szpital naruszenia (zagubienie/kradzież kart): nieszyfrowane nośniki, źle skonfigurowane urządzenia rejestrujące. Suma obu kar: 1 145 891,25 zł.
2025 r.
WSA w Warszawie oddalił skargę CM Ujastek
Sąd podtrzymał obie decyzje UODO i potwierdził, że ukryty monitoring narusza art. 23a ustawy o działalności leczniczej i RODO. Łącznie 1 145 891,25 zł utrzymane.
czerwiec 2025 r.
Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku, kara 66 500 zł
Po cyberataku ransomware blokującym dostęp do systemów; incydent dotknął ok. 2 tys. osób (dane pracowników i kontrahentów). UODO zakwestionował nierzetelną analizę ryzyka i niespójną dokumentację.
listopad 2025 r.
AEPD (Hiszpania), kara 10 043 002 EUR dla AENA
Za nieprawidłowo wykonaną DPIA przy systemach biometrycznego boardingu (rozpoznawanie twarzy) na ośmiu lotniskach hiszpańskich. AEPD nakazała tymczasowe zawieszenie przetwarzania biometrycznego. Sygnał regulacyjny dla biometrii w UE.
8 stycznia 2026 r.
Plan kontroli sektorowych UODO opublikowany
Priorytety: SIS/VIS, podmioty lecznicze (monitoring wizyjny, szczególnie dane dzieci na oddziałach pediatrycznych), BIP, marketing, internetowe platformy dostaw. Voiceboty w klinikach wpisują się w kontekst sektora leczniczego.
08
Czego NIE wolno robić
- 01unikać
Domniemana zgoda przez „kontynuując rozmowę zgadzasz się”
Nie spełnia art. 7 RODO dla danych szczególnych. Zgoda musi być wyraźna i jednoznaczna.
- 02unikać
Voicebot odpytujący o objawy bez wyraźnej podstawy z art. 9
Nawet w celu „przyjęcia zgłoszenia”. Zakres art. 9 ust. 2 lit. h wymaga konkretnej podstawy w przepisach o ochronie zdrowia.
- 03unikać
Brak komunikatu, że rozmówca rozmawia z systemem AI
Od 2 sierpnia 2026 r. art. 50 AI Act. Kara do 15 mln EUR / 3% obrotu.
- 04unikać
Brak listy podprocesorów lub jej aktualizacji
Art. 28 RODO. Lista musi być w umowie i aktualizowana.
- 05unikać
Transfer danych do USA bez SCC + dodatkowych środków
Po Schrems II. Klauzule SCC same nie wystarczą bez analizy poziomu ochrony.
- 06unikać
Retencja nagrań „na zawsze” bez podstawy
Art. 5 ust. 1 lit. e RODO. Każdy okres retencji musi mieć uzasadnienie.
- 07unikać
Wykorzystanie głosu pacjenta do trenowania modelu
Bez wyraźnej zgody i osobnej podstawy. EROD opinia 28/2024 doprecyzowuje.
- 08unikać
Voicebot diagnozujący, nawet w formie „to brzmi jak…”
Przekracza zakres umowy o dzieło, narusza ustawę o zawodach lekarza, ryzyko wprowadzenia w błąd.
- 09unikać
Brak procedury obsługi prawa do usunięcia
Art. 17 RODO. „Right to be forgotten” musi mieć ścieżkę w 30 dni.
09
Metodyka i dziennik aktualizacji
Treść raportu pochodzi z analizy decyzji UODO 2024-2025, wyroków WSA, planu kontroli sektorowych UODO 2026 r., komunikatów EROD (opinia 28/2024), aktów prawnych (RODO, AI Act, ustawa o działalności leczniczej, ustawa o zawodach lekarza). Praktyki retencyjne odbierze.ai (30/90/365 dni) odzwierciedlają standardowe pakiety LITE/GROWTH/ENTERPRISE i mogą być zmodyfikowane w umowie powierzenia w odpowiedzi na specyficzne wymagania klienta. Lista podprocesorów dla każdego klienta jest załącznikiem do DPA i nie jest publicznie ujawniana ze względów handlowych.
Dziennik aktualizacji
- 2026-04-23Pierwsza wersja raportu
- 2026-05-06Pełna restrukturyzacja: cytat ze stanowiska UODO, kara CM Ujastek z wyrokiem WSA, tabela kategorii danych art. 9 + biometria, lista 15+ pre-launch, retencja w tabeli, sytuacje eskalacji, antywzorce
10
Źródła i odniesienia
- 01UODO, stanowisko ws. centralnej rejestracji medycznej i voicebotów
- 02Rynek Zdrowia, „Voiceboty na celowniku UODO” (2024)
- 03EUR-Lex, RODO 2016/679 (art. 9, art. 28, art. 35)
- 04EUR-Lex, AI Act 2024/1689
- 05UODO, kiedy trzeba przeprowadzić DPIA (komunikat 03/2025)
- 06UODO, WSA oddalił skargę CM Ujastek
- 07Gazeta Prawna, „Ponad milion zł kary za nagrywanie pacjentów”
- 08GDPR.pl, kara dla USK Zamenhofa w Białymstoku
- 09EROD, opinia 28/2024 ws. modeli AI
- 10Ustawa o zawodach lekarza i lekarza dentysty (tajemnica lekarska)
- 11Ustawa o działalności leczniczej (art. 23a, monitoring)
- 12Lex.pl, kontrole UODO 2026 w podmiotach leczniczych
- 13Legalis, ochrona danych osobowych w centralnej rejestracji medycznej (UODO pismo DPNT.401.101.2025)
- 14PoradyODO, RODO a centralna rejestracja medyczna (uwagi UODO 2025)
- 15UODO, plan kontroli sektorowych na 2026 r. (8.01.2026)
- 16UODO, komunikat w sprawie wykazu DPIA (Komunikat z 17.06.2019, Monitor Polski 2019/666)
11
FAQ
01pyt · raportCzy voicebot zawsze przetwarza dane szczególne w klinice?
Nie zawsze, ale projekt należy analizować tak, jakby taka możliwość istniała. Treść rozmowy pacjenta może ujawnić dane dotyczące zdrowia w rozumieniu art. 9 RODO, nawet jeśli scenariusz pyta tylko o termin wizyty. Dlatego w odbierze.ai domyślnie traktujemy każde wdrożenie medyczne jako objęte reżimem art. 9.
02pyt · raportKiedy DPIA jest obowiązkowa, a kiedy wystarczy ocena ryzyka?
Ocena ryzyka jest obowiązkowa zawsze (art. 32 RODO). DPIA jest obowiązkowa, gdy operacja może powodować wysokie ryzyko, w szczególności przy nowych technologiach + danych szczególnych. Wykaz UODO z 2019 r. + komunikat z marca 2025 r. precyzują kryteria. Voicebot w klinice praktycznie zawsze spełnia te kryteria.
03pyt · raportCzy IOD musi być po stronie kliniki, czy może być po stronie agencji?
Każda placówka medyczna ma obowiązek mieć własnego IOD (art. 37 RODO). Agencja wdrożeniowa odbierze.ai ma własnego IOD, który koordynuje DPA i listę podprocesorów po naszej stronie. Te dwie role współpracują, nie zastępują się.
04pyt · raportCzy mogę używać voicebota do umawiania wizyt w POZ z NFZ?
Tak, pod warunkiem że scenariusz ogranicza się do umawiania, przekładania i potwierdzania, bez gromadzenia danych medycznych. Centralna Rejestracja Medyczna (projekt nowelizacji ustawy o świadczeniach opieki zdrowotnej, MZ) ma własne wymagania, do których UODO zgłosił zastrzeżenia w piśmie DPNT.401.101.2025 z 30 kwietnia 2025 r. (m.in. ws. nadmiarowości i ryzyka biometrii głosu). Przed wdrożeniem warto skonsultować scenariusz z IOD placówki i z umową z NFZ.
05pyt · raportJak długo przechowywać nagrania rozmów medycznych?
Nie ma ustawowego minimum dla nagrań voicebota. Stosujemy zasadę minimalizacji: nagrania audio 7 dni, transkrypcje 30 dni, metadane do 12 miesięcy. Dłużej (nagrania do 90 dni, transkrypcje do 90 dni) tylko z udokumentowaną podstawą, np. reklamacja lub spór z pacjentem. Dane umowne (faktury, zwroty) są przechowywane osobno zgodnie z ustawą o rachunkowości. Każdy termin musi być świadomą decyzją administratora i wpisany do polityki retencji.
06pyt · raportCo zrobić, gdy pacjent zażąda usunięcia nagrania?
Art. 17 RODO daje prawo do usunięcia. Procedura w odbierze.ai: pacjent zgłasza żądanie do IOD kliniki, klinika weryfikuje, odbierze.ai usuwa nagranie i transkrypcję w 30 dni, potwierdzenie pisemne. Dane rozliczeniowe (faktura, jeśli wystąpiła) są usuwane osobno z wyjątkami z art. 17 ust. 3.
07pyt · raportCo podlega obowiązkowi zgłoszenia w 72h, a co nie?
Art. 33 RODO wymaga zgłoszenia naruszenia ochrony danych w 72h, jeśli istnieje ryzyko dla praw i wolności osób. Wyciek transkrypcji, niewłaściwy dostęp, kompromitacja konta administracyjnego, awaria z utratą integralności – wszystkie podlegają. Zwykła awaria techniczna bez utraty/ujawnienia danych nie wymaga zgłoszenia, ale powinna być w wewnętrznym dzienniku.