Wróć do bloga
RODO & Prawo6 min czytania

Rejestr czynności przetwarzania (Art. 30 RODO) — czy Twój gabinet go prowadzi?

Większość polskich gabinetów i kancelarii nie wie, że prawo RODO wymaga prowadzenia rejestru czynności przetwarzania. Kary sięgają 10 mln EUR. Wyjaśniamy kogo dotyczy obowiązek, co musi zawierać rejestr i co zmienia używanie AI recepcjonistki.

Większość polskich dentystów, lekarzy i prawników słyszała o RODO. Wie, że trzeba mieć politykę prywatności i klauzule informacyjne dla pacjentów lub klientów. Ale o Rejestrze Czynności Przetwarzania — mimo że to jeden z konkretniejszych obowiązków wynikających z rozporządzenia — wie zdecydowanie mniej.

Tymczasem brak rejestru może skutkować karą od Urzędu Ochrony Danych Osobowych. Maksymalnie: 10 milionów euro lub 2% globalnego rocznego obrotu — dla organizacji niekomercyjnej i MŚP kara będzie proporcjonalna, ale realne przypadki kar w Polsce zaczynają się od kilkudziesięciu tysięcy złotych.

Ten artykuł wyjaśnia: kto musi prowadzić rejestr, co w nim umieścić i co konkretnie zmienia korzystanie z AI recepcjonistki ZvonAI.

Czym jest Rejestr Czynności Przetwarzania?

Rejestr Czynności Przetwarzania (RCP, z angielskiego: Records of Processing Activities — RoPA) to wewnętrzny dokument, który opisuje wszystkie operacje, w których Twoja firma przetwarza dane osobowe.

Art. 30 RODO mówi wprost: administrator danych musi taki rejestr prowadzić i udostępniać go na żądanie organu nadzorczego (w Polsce: UODO).

To nie jest dokument publiczny. Nie wysyłasz go nigdzie. Ale musisz go mieć — i musi być aktualny.

Kogo dotyczy obowiązek — czy mały gabinet też?

Art. 30 ust. 5 RODO przewiduje wyjątek dla firm zatrudniających mniej niż 250 pracowników. Ale wyjątek ten nie ma zastosowania, jeśli przetwarzanie:

  • nie ma charakteru sporadycznego (czyli odbywa się regularnie), lub
  • może powodować ryzyko dla praw i wolności osób, lub
  • obejmuje dane wrażliwe — w szczególności dane dotyczące zdrowia (art. 9 RODO)

Gabinet dentystyczny lub lekarski

Przetwarzasz dane zdrowotne każdego dnia. To dane szczególnych kategorii zgodnie z art. 9 RODO. Wyjątek dla małych firm nie obowiązuje. Musisz prowadzić rejestr, nawet jeśli zatrudniasz jedną osobę.

Kancelaria prawna

Dane klientów w sprawach karnych lub rodzinnych często obejmują dane zdrowotne, dane o wyrokach skazujących, dane wrażliwe politycznie lub majątkowo. Wyjątek nie obowiązuje. Musisz prowadzić rejestr.

Salon kosmetyczny lub gabinet fizjoterapii

Dane zdrowotne — wywiad, historia zabiegów, przeciwwskazania. Obowiązek istnieje.

Praktyczna zasada: jeśli Twoja firma regularnie przetwarza dane pacjentów lub klientów, niezależnie od liczby pracowników, prowadzenie rejestru jest obowiązkowe.

Co musi zawierać rejestr — wymagania Art. 30 RODO

Rejestr prowadzony przez administratora danych (czyli Twój gabinet) musi zawierać dla każdej czynności przetwarzania:

  1. Nazwa i dane administratora — Twoja firma, imię i nazwisko właściciela, dane kontaktowe
  2. Cel przetwarzania — po co zbierasz te dane (np. "umawianie wizyt", "prowadzenie dokumentacji medycznej")
  3. Kategorie osób — kogo dane przetwarzasz (np. pacjenci, pracownicy, kontrahenci)
  4. Kategorie danych — jakie dane (np. imię, nazwisko, PESEL, dane zdrowotne, numer telefonu)
  5. Podstawa prawna — na jakiej podstawie prawnej przetwarzasz (art. 6 lub art. 9 RODO)
  6. Odbiorcy danych — komu przekazujesz dane (np. lab diagnostyczne, ubezpieczyciel, NFZ)
  7. Transfery do krajów trzecich — czy dane trafiają poza EOG, na jakiej podstawie
  8. Planowane terminy usunięcia — jak długo przechowujesz dane
  9. Opis środków bezpieczeństwa — w zarysie, nie trzeba szczegółów technicznych

To naprawdę nie jest skomplikowany dokument. Dla małego gabinetu dentystycznego może mieć 3–5 stron i zawierać 5–8 czynności przetwarzania.

Jak ZvonAI wpływa na Twój rejestr

Jeśli korzystasz z ZvonAI jako AI recepcjonistki telefonicznej, musisz dodać do rejestru nową czynność przetwarzania. Poniżej gotowy szablon:

Szablon wpisu do rejestru: Obsługa połączeń telefonicznych przez AI

Nazwa czynności: Automatyczna obsługa połączeń telefonicznych przy użyciu AI

Cel przetwarzania: Obsługa przychodzących połączeń telefonicznych od pacjentów/klientów — udzielanie informacji, umawianie wizyt, zbieranie danych kontaktowych

Kategorie osób, których dane dotyczą: Pacjenci / klienci

Kategorie danych osobowych:

  • Imię i nazwisko (podane przez dzwoniącego)
  • Numer telefonu (CLI — automatycznie)
  • Treść rozmowy (transkrypt)
  • Data i godzina połączenia
  • Ewentualnie: żądany termin wizyty, opis sprawy

Podstawa prawna:

  • Art. 6 ust. 1 lit. b RODO (wykonanie umowy / podjęcie działań przed zawarciem umowy)
  • Dla danych zdrowotnych wymienionych w rozmowie: Art. 9 ust. 2 lit. h RODO (opieka zdrowotna)

Odbiorcy danych:

  • ZvonAI — Expathia Sp. z o.o., ul. Bolesława Krzywoustego 8, 81-035 Gdynia, NIP 5882532485 (podmiot przetwarzający, umowa powierzenia)
  • Deepgram Inc. (USA) — wyłącznie audio w czasie rzeczywistym, SCC Komisji Europejskiej 2021/914
  • ElevenLabs Inc. (USA) — wyłącznie tekst syntezy mowy, SCC Komisji Europejskiej 2021/914

Transfer do krajów trzecich: Tak (USA) — na podstawie SCC (patrz wpis powyżej)

Planowany termin usunięcia: Transkrypty rozmów — 90 dni od daty rozmowy (zgodnie z konfiguracją ZvonAI). Dane wizyt — zgodnie z zasadami przechowywania dokumentacji medycznej/kancelaryujnej.

Środki bezpieczeństwa: Szyfrowanie TLS w tranzycie, dostęp kontrolowany hasłem i rolami, serwery GCP w regionie europejskim

Możesz skopiować ten szablon bezpośrednio do swojego rejestru. Dostosuj punkty dotyczące danych zdrowotnych zależnie od branży.

Chcesz gotowy plik Word lub PDF z szablonem dla gabinetu dentystycznego lub kancelarii? Napisz na dpo@zvonai.ai — wyślemy go bezpłatnie.

Jak stworzyć minimalny rejestr w jedno popołudnie

Jeśli Twoja firma nie ma jeszcze żadnego rejestru, oto szybka ścieżka dla gabinetu z 1–5 pracownikami:

Krok 1: Lista wszystkich procesów (30 minut)

Wypisz wszystkie sytuacje, w których zbierasz dane osobowe:

  • Rejestracja pacjentów / klientów
  • Dokumentacja medyczna / prawna
  • Pracownicy (umowy, listy płac)
  • Marketing (newsletter, SMS)
  • Monitorowanie wizyjne (jeśli jest)
  • Obsługa połączeń telefonicznych przez AI

Krok 2: Dla każdego procesu uzupełnij 9 punktów z Art. 30 (2 godziny)

Nie musisz pisać elaboratów. Jedno zdanie na punkt wystarczy. Dla małego gabinetu cały rejestr to 3–5 stron.

Krok 3: Zapisz jako dokument z datą (15 minut)

Rejestr powinien być datowany. Każda aktualizacja — nowa wersja z datą. Przechowuj wszystkie wersje (np. jako plik Excel lub Google Sheets z historią zmian).

Krok 4: Wskaż osobę odpowiedzialną

Nawet jeśli to właściciel gabinetu — wskaż konkretną osobę, która jest odpowiedzialna za aktualizowanie rejestru. Przy nowym systemie, nowym pracowniku, nowym podwykonawcy — rejestr musi być zaktualizowany.

Rejestr ZvonAI — co Expathia prowadzi po swojej stronie

ZvonAI (Expathia Sp. z o.o.) jako podmiot przetwarzający jest zobowiązany na mocy Art. 30 ust. 2 RODO do prowadzenia własnego rejestru czynności przetwarzania — z perspektywy podmiotu przetwarzającego.

Nasz rejestr obejmuje:

  • Przetwarzanie danych klientów platformy (administratorzy kont)
  • Przetwarzanie danych użytkowników końcowych (dzwoniący do gabinetów)
  • Przetwarzanie danych bilingowych i fakturowych
  • Dane techniczne infrastruktury

Rejestr jest dostępny do wglądu dla naszych klientów na żądanie — jako część przeglądu DPA. Skontaktuj się z dpo@zvonai.ai.

Konsekwencje braku rejestru

UODO może przeprowadzić kontrolę z własnej inicjatywy lub w wyniku skargi. Podczas kontroli jednym z pierwszych dokumentów, o które poprosi inspektor, jest właśnie rejestr czynności przetwarzania.

Brak rejestru to naruszenie Art. 30 RODO. Nawet jeśli rzeczywiście nie doszło do naruszenia bezpieczeństwa danych, sama nieobecność dokumentacji jest podstawą do nałożenia kary administracyjnej.

W polskiej praktyce UODO karał już:

  • Małe firmy — kwoty od 5 000 do 50 000 PLN za braki dokumentacyjne
  • Placówki medyczne — za brak polityk i rejestrów, nawet bez naruszenia bezpieczeństwa

Prowadzenie rejestru zajmuje jedno popołudnie. Kara może kosztować wielokrotność rocznego abonamentu ZvonAI.

Podsumowanie

Rejestr Czynności Przetwarzania z Art. 30 RODO to obowiązek, który dotyczy praktycznie każdego gabinetu medycznego, dentystycznego i kancelarii prawnej w Polsce — niezależnie od wielkości.

Używanie ZvonAI nie narusza RODO — ale wymaga dodania jednego wpisu do rejestru. Szablon znajdziesz powyżej lub możesz go pobrać, pisząc na dpo@zvonai.ai.

Nie czekaj na kontrolę UODO, żeby stworzyć ten dokument. Zrób to dziś.

Sprawdź, jak działa ZvonAIjak-dziala

Zarezerwuj dostęp — dołącz do listy oczekujących: waitlist

Gotowy, żeby przestać tracić połączenia?

Wypróbuj AI recepcjonistkę ZvonAI przez 14 dni za darmo — bez karty.

Zacznij za darmo

Powiązane artykuły

Rejestr czynności przetwarzania (Art. 30 RODO) — czy Twój gabinet go prowadzi? — ZvonAI Blog | ZvonAI