# Zgodność z RODO i AI Act

Każde wdrożenie projektujemy pod wymagania Rozporządzenia (UE) 2016/679 (RODO) i Rozporządzenia (UE) 2024/1689 (AI Act). Poniżej praktyczna lista tego, co dostarczamy przed startem produkcyjnym.

## Pakiet zgodności w cenie każdego pakietu

- **Umowa powierzenia (DPA)** zgodna z art. 28 RODO, podpisywana przed pierwszym połączeniem testowym. Klauzule sektorowe dla medycyny, finansów, ubezpieczeń na życzenie.
- **Klauzula informacyjna** zgodna z art. 13 i 14 RODO, wzór do umieszczenia w polityce prywatności klienta + skrypt telefoniczny na otwarciu rozmowy.
- **Transparentność AI Act art. 50**: agent informuje rozmówcę, że jest systemem AI, na początku każdej rozmowy. Stosowane już dziś, obowiązek formalnie stosowany od 2 sierpnia 2026 r.
- **Hosting w EU** dla warstwy modelu (LLM), TTS, ASR oraz orkiestracji. Dla wdrożeń wymagających szczególnej ostrożności (kliniki, kancelarie, sektor publiczny): konfiguracja zero retention, gdzie dostawca udostępnia tryb.
- **Szyfrowanie**: TLS 1.2+ w locie, AES-256 w spoczynku.
- **Retencja nagrań**: konfigurowalna od 0 do 365 dni, zapisywana w DPA, nie w panelu.

## Dane szczególne (art. 9 RODO)

Wdrożenia medyczne obsługujemy w standardzie, bez dopłaty. Podstawa prawna typowo art. 9 ust. 2 lit. h (realizacja świadczenia zdrowotnego). Minimalizacja danych: agent nie zbiera diagnoz, tylko dane organizacyjne wizyty. Pseudonimizacja transkryptów na życzenie.

## Prawa osoby

Dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie. Realizujemy w terminie miesiąca od otrzymania żądania (art. 12 ust. 3 RODO; w skomplikowanych sprawach z przedłużeniem o dwa miesiące i powiadomieniem wnioskodawcy). Konfigurujemy ścieżkę: e-mail klienta (typowo rodo@firma.pl) → ticket → realizacja w 72 godziny od potwierdzenia tożsamości.

## AI Act, klasyfikacja ryzyka

Typowe voicebota obsługi klienta klasyfikujemy jako **limited risk** w rozumieniu AI Act. Obowiązki: transparentność (art. 50), nie pełna ocena zgodności high-risk. Dla wdrożeń, które wkraczają w obszary regulowane (np. doradztwo medyczne, ocena ryzyka kredytowego), wykonujemy ocenę indywidualną z ewentualną reklasyfikacją.

## Organ nadzorczy

Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stanisława Moniuszki 1A, 00-014 Warszawa, https://uodo.gov.pl.

## DPIA

Dla wdrożeń sieciowych (multi-location), medycznych w skali enterprise, lub przetwarzających dane wrażliwe poza art. 9 (np. dzieci, art. 8 RODO), wykonujemy DPIA (Data Protection Impact Assessment) jako część pakietu ENTERPRISE. Wzór i opis metodyki na życzenie.