AI recepcjonistka a RODO — nagrywanie rozmów i dane klientów

Tak — AI recepcjonistka może działać w pełni zgodnie z RODO. Warunki są dwa: dzwoniący musi zostać poinformowany o nagrywaniu i przetwarzaniu danych już na początku rozmowy (obowiązek informacyjny z art. 13 RODO), a firma korzystająca z voicebota musi zawrzeć z jego dostawcą umowę powierzenia przetwarzania danych (art. 28 RODO). W tym przewodniku wyjaśniamy, jak spełnić oba wymogi — także w gabinecie lekarskim, gdzie w grę wchodzą dane o zdrowiu.

Publikacja:

Jakie dane przetwarza AI recepcjonistka

Voicebot recepcyjny przetwarza kilka kategorii danych osobowych: głos dzwoniącego (nagranie rozmowy), numer telefonu, treść rozmowy wraz z jej transkrypcją oraz dane podawane przy umawianiu wizyty — imię i nazwisko, wybrany termin i rodzaj usługi.

W gabinecie medycznym ta lista może sięgać dalej. Sam fakt rezerwacji wizyty u lekarza określonej specjalizacji czy podany przez telefon powód wizyty może stanowić dane dotyczące zdrowia, czyli szczególną kategorię danych z art. 9 RODO. To podnosi wymagania wobec całego procesu — piszemy o tym niżej.

Podstawy prawne i obowiązek informacyjny przy nagrywaniu rozmów

Nagrywanie rozmów telefonicznych to przetwarzanie danych osobowych, więc zgodnie z art. 13 RODO dzwoniący musi otrzymać informację o nagrywaniu zanim rozmowa się rozpocznie. W praktyce realizuje to komunikat głosowy odtwarzany na początku połączenia: kto jest administratorem danych, że rozmowa jest nagrywana i w jakim celu. Pełną klauzulę informacyjną — z prawami osoby i okresem przechowywania — udostępnia się warstwowo, np. na stronie internetowej, do której komunikat odsyła. Dzwoniący, który nie akceptuje nagrywania, może się rozłączyć przed rozpoczęciem rozmowy.

Podstawą prawną przetwarzania danych z rozmowy jest najczęściej art. 6 ust. 1 lit. b RODO — gdy rozmowa służy umówieniu wizyty lub obsłudze umowy — albo art. 6 ust. 1 lit. f, czyli prawnie uzasadniony interes administratora, np. zabezpieczenie dowodów ustaleń czy kontrola jakości obsługi. Wybór podstawy należy do administratora i warto go udokumentować, a w przypadku prawnie uzasadnionego interesu przeprowadzić test równowagi. Za niespełnienie obowiązku informacyjnego grożą kary administracyjne — w skrajnych przypadkach do 20 mln euro lub 4% rocznego światowego obrotu.

Umowa powierzenia przetwarzania — dostawca voicebota jako procesor

W układzie z AI recepcjonistką to Twoja firma lub gabinet jest administratorem danych dzwoniących, a dostawca voicebota — podmiotem przetwarzającym (procesorem). Art. 28 RODO wymaga, aby powierzenie danych procesorowi odbywało się na podstawie umowy powierzenia przetwarzania (DPA). Korzystanie z voicebota bez takiej umowy jest naruszeniem RODO po obu stronach.

Zgodnie z art. 28 ust. 3 RODO umowa powierzenia musi określać: przedmiot i czas trwania przetwarzania, jego charakter i cel, rodzaj danych osobowych, kategorie osób, których dane dotyczą, oraz obowiązki i prawa administratora. Musi też zobowiązywać procesora m.in. do: przetwarzania danych wyłącznie na udokumentowane polecenie administratora, zapewnienia poufności personelu, stosowania środków bezpieczeństwa z art. 32 RODO, korzystania z podwykonawców (np. dostawcy syntezy mowy) tylko za zgodą administratora, pomocy w realizacji praw osób, których dane dotyczą, oraz usunięcia lub zwrotu danych po zakończeniu współpracy — wraz z prawem administratora do audytu.

Gabinet lekarski i dane o zdrowiu — art. 9 RODO

Dane dotyczące zdrowia to szczególna kategoria danych osobowych. Art. 9 ust. 1 RODO co do zasady zakazuje ich przetwarzania, chyba że zachodzi jeden z wyjątków z art. 9 ust. 2. W placówkach medycznych typową podstawą jest art. 9 ust. 2 lit. h — przetwarzanie niezbędne do profilaktyki zdrowotnej, diagnozy i zapewnienia opieki zdrowotnej. Oznacza to, że do samej rejestracji wizyty zwykle nie jest potrzebna odrębna zgoda pacjenta, ale rygor bezpieczeństwa rośnie.

Gabinet wdrażający voicebota powinien dodatkowo zadbać o: minimalizację danych (bot pyta tylko o informacje niezbędne do umówienia wizyty), umowę powierzenia wprost obejmującą dane szczególnej kategorii, podwyższone środki techniczne i organizacyjne, krótszy okres retencji nagrań oraz analizę ryzyka — a przy przetwarzaniu danych o zdrowiu na dużą skalę rozważyć ocenę skutków dla ochrony danych (DPIA).

Jak Smart Asystenci realizuje wymogi RODO

Zgodność z RODO jest wbudowana w standard wdrożenia AI recepcjonistki Smart Asystenci — od pierwszego komunikatu w słuchawce po politykę usuwania nagrań.

  • Komunikat o nagrywaniu i administratorze danych na początku każdej rozmowy
  • Umowa powierzenia przetwarzania (DPA) zgodna z art. 28 RODO w standardzie każdego wdrożenia
  • Szyfrowanie danych w transmisji i podczas przechowywania
  • Nagrania i transkrypcje przechowywane na serwerach w Unii Europejskiej
  • Okres retencji nagrań ustalany w umowie i egzekwowany automatycznie
  • Wsparcie w realizacji praw osób: dostęp do danych, sprostowanie i usunięcie na żądanie

Checklista RODO przed wdrożeniem voicebota

Niezależnie od tego, którego dostawcę rozważasz, przed podpisaniem umowy zadaj mu poniższe pytania. Rzetelny dostawca odpowie na każde z nich bez wahania.

Zastrzeżenie: ten artykuł ma charakter informacyjny i nie stanowi porady prawnej. W indywidualnych sprawach skonsultuj się z prawnikiem lub inspektorem ochrony danych.

  • Czy podpisujecie umowę powierzenia przetwarzania zgodną z art. 28 RODO?
  • Czy dzwoniący słyszy komunikat o nagrywaniu na początku każdej rozmowy?
  • Gdzie fizycznie przechowywane są nagrania i transkrypcje — czy serwery znajdują się w UE/EOG?
  • Czy dane są szyfrowane zarówno w transmisji, jak i w spoczynku?
  • Jaki jest okres retencji nagrań i czy mogę go określić w umowie?
  • Jak wygląda realizacja praw osób — dostęp, sprostowanie, usunięcie danych na żądanie?
  • Kim są podprocesorzy (np. dostawca syntezy mowy) i czy są wskazani w umowie?
  • Czy macie doświadczenie z danymi szczególnej kategorii, np. we wdrożeniach dla gabinetów medycznych?

Często zadawane pytania

Czy rozmowy z AI recepcjonistką muszą być nagrywane?

Nie ma ogólnego przepisu nakazującego nagrywanie rozmów w typowej firmie czy gabinecie — to decyzja administratora, zwykle uzasadniona kontrolą jakości i dokumentowaniem ustaleń z klientem. Jeśli jednak nagrywasz, musisz spełnić obowiązek informacyjny, określić podstawę prawną i okres przechowywania nagrań.

Czy klient musi być poinformowany o nagrywaniu rozmowy?

Tak. Art. 13 RODO wymaga przekazania informacji o przetwarzaniu danych w momencie ich pozyskiwania, więc komunikat o nagrywaniu musi wybrzmieć na początku połączenia, zanim rozmowa się zacznie. Dobrą praktyką — wzmacnianą przez unijne przepisy o sztucznej inteligencji — jest też jasne informowanie, że rozmowę prowadzi asystent AI.

Czy potrzebuję zgody pacjenta, żeby voicebot umawiał wizyty?

Co do zasady nie. Podstawą przetwarzania danych o zdrowiu przy rejestracji jest zwykle art. 9 ust. 2 lit. h RODO — niezbędność do zapewnienia opieki zdrowotnej — a nie zgoda. Odrębna zgoda byłaby potrzebna, gdyby dane z rozmów miały być wykorzystywane w innych celach, np. marketingowych.

Gdzie przechowywane są nagrania rozmów?

W Smart Asystenci nagrania i transkrypcje przechowywane są w formie zaszyfrowanej na serwerach zlokalizowanych w Unii Europejskiej, przez okres ustalony w umowie powierzenia. RODO nie narzuca sztywnego terminu — obowiązuje zasada ograniczenia przechowywania, czyli dane trzyma się tylko tak długo, jak wymaga tego cel przetwarzania.

Czy mogę usunąć dane dzwoniącego na jego żądanie?

Tak. Osoba, której dane dotyczą, ma prawo żądać dostępu do danych, ich sprostowania i usunięcia. Jako administrator realizujesz takie żądanie, a Smart Asystenci — jako podmiot przetwarzający — ma umowny obowiązek Cię w tym wspierać, w tym trwale usunąć nagrania i transkrypcje wskazanej osoby.

Wdroż AI recepcjonistkę zgodną z RODO

Komunikat o nagrywaniu, umowa powierzenia, szyfrowanie i serwery w UE — wszystko w standardzie wdrożenia. Umów rozmowę, a pokażemy Ci dokumentację RODO przed podjęciem decyzji.