Strach przed RODO hamuje gabinetów — ale nie musi
Rozmawiam z dentystami i prawnikami od miesięcy. Każdy drugi właściciel gabinetu, który słyszy "AI odbiera telefony", zadaje to samo pytanie: "Ale czy to jest legalne? Nie dostanę kary od UODO?"
To zdrowe pytanie. Gabinety stomatologiczne, kancelarie prawne i kliniki medyczne przetwarzają dane wrażliwe — a RODO nakłada na nich konkretne obowiązki. Nieostrożne wdrożenie jakiegokolwiek narzędzia do kontaktu z klientami może być realnym problemem prawnym.
Dlatego nie pytaj: "czy wolno mi użyć AI do obsługi telefonu?" Zapytaj zamiast tego: "czy to konkretne rozwiązanie zostało zaprojektowane tak, żebym był zgodny z prawem bez dodatkowej pracy?"
ZvonAI — tak. Oto dlaczego.
Podstawa prawna: Art. 6 RODO — skąd masz prawo przetwarzać dane?
Każde przetwarzanie danych osobowych musi mieć podstawę prawną. W kontekście obsługi telefonów w gabinecie mają zastosowanie dwie:
- Art. 6 ust. 1 lit. b — przetwarzanie niezbędne do wykonania umowy (lub do podjęcia kroków przed jej zawarciem). Gdy pacjent dzwoni, żeby umówić wizytę, zapis jego imienia i numeru telefonu jest niezbędny do wykonania tej usługi. Nie potrzebujesz osobnej zgody.
- Art. 6 ust. 1 lit. f — prawnie uzasadniony interes administratora. Odbiór telefonów i rejestracja podstawowych danych kontaktowych mieści się w ramach uzasadnionego interesu gabinetu.
Ważne: ZvonAI przetwarza tylko te dane, które pacjent dobrowolnie podaje w rozmowie (imię, numer telefonu, termin wizyty). AI nie sięga do kartotek, historii leczenia ani żadnych danych medycznych.
Art. 9 i dane zdrowotne — bramka DTMF jako tarcza
Dane o stanie zdrowia to dane szczególnej kategorii (Art. 9 RODO) — podlegają znacznie surowszej ochronie. Pytanie: co jeśli pacjent powie przez telefon, że ma ból zęba albo że jest zarejestrowany z powodu choroby przewlekłej?
ZvonAI stosuje mechanizm bramki DTMF (Dual-Tone Multi-Frequency) przed włączeniem nagrywania rozmowy:
"Informujemy, że ta rozmowa może zostać nagrana w celu poprawy jakości obsługi. Jeśli wyrażasz zgodę, naciśnij 1. Jeśli nie wyrażasz zgody, naciśnij 2 — rozmowa będzie kontynuowana bez nagrywania."
To oznacza:
- Pacjent aktywnie wyraża świadomą, jednoznaczną zgodę przed nagraniem (wymóg Art. 7 i Art. 9 ust. 2 lit. a RODO)
- Jeśli pacjent odmówi — rozmowa trwa normalnie, żadne nagranie nie jest tworzone
- Zgoda jest udokumentowana technicznie (log sygnału DTMF ze znacznikiem czasu)
Dla gabinetów dentystycznych, gdzie pacjent może spontanicznie wspomnieć o dolegliwości — ta bramka jest kluczową linią obrony.
EU AI Act Art. 52 — obowiązek ujawnienia, że rozmawiają z AI
Od 2025 roku obowiązuje Rozporządzenie EU AI Act (2024/1689). Dla systemów AI takich jak telefoniczny asystent głosowy — sklasyfikowanych jako "ograniczone ryzyko" (Limited Risk) — obowiązuje jeden konkretny nakaz:
AI musi ujawnić na początku każdej rozmowy, że jest AI.
ZvonAI robi to automatycznie w każdym powitaniu. Każdy skrypt głosowy zawiera formułę, np.:
"Dzień dobry, jestem wirtualną asystentką gabinetu [nazwa]. Czym mogę pomóc?"
Klienci ZvonAI są z automatu zgodni z Art. 52 EU AI Act — bez żadnej dodatkowej konfiguracji.
Art. 28 RODO — umowa powierzenia danych (DPA)
To jeden z najważniejszych, a jednocześnie najrzadziej rozumianych wymogów RODO.
Gdy korzystasz z zewnętrznego dostawcy IT, który przetwarza dane Twoich klientów — stajesz się administratorem danych, a dostawca staje się podmiotem przetwarzającym (procesorem). Musisz mieć z nim podpisaną umowę o powierzeniu przetwarzania danych (DPA).
Bez tej umowy — jesteś niezgodny z RODO, nawet jeśli wszystko inne robisz dobrze.
ZvonAI rozwiązuje to automatycznie: w momencie tworzenia konta każdy klient podpisuje umowę DPA. Nie trzeba nic negocjować, szukać prawnika ani czekać. Umowa jest gotowa, zgodna z RODO i dostępna w panelu konta.
Jeśli masz inspektora ochrony danych (IOD) — wystarczy, że pokaże mu tę umowę. Więcej nie jest potrzebne.
72-godzinne zgłoszenie naruszenia — Art. 33
RODO nakłada na administratora obowiązek zgłoszenia naruszenia ochrony danych osobowych do UODO w ciągu 72 godzin od jego wykrycia (Art. 33). To bardzo krótki czas.
Jako administrator danych, Ty jako właściciel gabinetu, musisz to zrobić. Ale żeby zgłosić naruszenie, musisz o nim wiedzieć.
ZvonAI utrzymuje wewnętrzne procedury wykrywania i zgłaszania incydentów:
- Monitoring infrastruktury w czasie rzeczywistym
- Automatyczne alerty przy nieautoryzowanym dostępie
- Obowiązek poinformowania klienta (administratora) niezwłocznie po wykryciu potencjalnego naruszenia, aby mógł dochować 72-godzinnego terminu
Art. 17 — prawo do usunięcia danych ("prawo do bycia zapomnianym")
Pacjent dzwoni i mówi: "Proszę usunąć wszystkie moje dane." Masz 30 dni na realizację tego żądania.
W ZvonAI zajmuje to dosłownie chwilę:
- Wejdź do panelu konta
- Wyszukaj kontakt po numerze telefonu lub imieniu
- Kliknij "Usuń dane kontaktu"
- Gotowe — wszystkie nagrania, transkrypcje i dane kontaktowe są trwale usunięte
Możesz potwierdzić pacjentowi usunięcie mailem. Żadnej korespondencji z prawnikami, żadnego odkopywania teczek.
Dane przechowywane wyłącznie w UE — serwery w Warszawie
Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy (EOG) wymaga dodatkowych gwarancji prawnych (Art. 44–49 RODO).
ZvonAI przechowuje wszystkie dane w Google Cloud Platform w regionie europe-central2 (Warszawa, Polska). Żadne dane Twoich pacjentów nie opuszczają UE.
Dla sub-procesorów (Deepgram — transkrypcja głosu, ElevenLabs — synteza mowy) ZvonAI stosuje Standardowe Klauzule Umowne (SCCs) wymagane przez RODO dla transferów danych. Dokumentacja SCC jest dostępna na żądanie pod adresem dpo@zvonai.ai.
Podsumowanie: lista zgodności RODO dla gabinetów korzystających z ZvonAI
| Wymóg RODO | Jak ZvonAI go spełnia |
|---|---|
| Art. 6 — podstawa prawna | Uzasadniony interes / wykonanie umowy |
| Art. 9 — dane zdrowotne | Bramka DTMF = zgoda przed nagraniem |
| Art. 13 — obowiązek informacyjny | Automatyczna formuła w powitaniu |
| Art. 17 — prawo do usunięcia | Jedno kliknięcie w panelu |
| Art. 28 — umowa DPA | Automatyczna przy rejestracji |
| Art. 33 — zgłoszenie naruszenia 72h | Procedury monitoringu po stronie ZvonAI |
| Art. 44–49 — transfer danych | Dane wyłącznie w UE + SCCs dla sub-procesorów |
| EU AI Act Art. 52 | Ujawnienie AI w każdym powitaniu |
Często zadawane pytania (FAQ)
Czy muszę aktualizować politykę prywatności gabinetu?
Tak — powinna wspominać o AI recepcjonistce jako narzędziu do obsługi połączeń telefonicznych. ZvonAI dostarcza gotowy szablon klauzuli, który możesz wkleić do swojej istniejącej polityki prywatności.
Czy muszę rejestrować AI recepcjonistkę w rejestrze czynności przetwarzania?
Tak — jako administrator danych prowadzisz rejestr czynności przetwarzania (Art. 30 RODO). ZvonAI to nowa czynność: "obsługa telefonicznych połączeń przychodzących". Cel: realizacja usług. Podstawa: Art. 6 ust. 1 lit. b. Procesor: ZvonAI (Expathia Sp. z o.o., NIP 5882532485, Gdynia).
Co jeśli mam IOD (Inspektora Ochrony Danych)?
Przekaż mu umowę DPA dostępną w panelu konta. IOD zazwyczaj nie ma dodatkowych pytań — to standardowa relacja administrator–procesor.
Czy EU AI Act nakłada na mój gabinet jakieś dodatkowe obowiązki?
Dla systemów "ograniczonego ryzyka" (do których należy ZvonAI) jedynym obowiązkiem dla użytkownika końcowego jest zapewnienie, że AI ujawnia się jako AI. ZvonAI robi to automatycznie. Jeśli nie modyfikujesz skryptów tak, żeby AI udawało człowieka — jesteś zgodny.
Gdzie mogę zadać pytania prawne dotyczące RODO i ZvonAI?
Pisz na dpo@zvonai.ai — obsługuje zapytania dotyczące ochrony danych osobowych. ZvonAI jest produktem Expathia Sp. z o.o., NIP 5882532485, ul. Bolesława Krzywoustego 8, 81-035 Gdynia.
Gotowy sprawdzić, jak ZvonAI odbiera telefony w Twoim gabinecie?
Tysiące minut obsługi miesięcznie. Zero naruszeń RODO. Umowa DPA gotowa od pierwszego dnia.
Zobacz jak działa ZvonAI → Dołącz do listy oczekujących →
Szczegóły dotyczące planów i cen znajdziesz na stronie cennika.