Dlaczego Twój chatbot stomatologiczny może łamać prawo — i co z tym zrobić

W tym artykule sprawdzimy, co mówi prawo, jakie ryzyka niesie obecna generacja chatbotów i co powinna zrobić klinika, żeby działać zgodnie z przepisami — zwłaszcza w kontekście RODO i nadchodzącego AI Act.

W październiku 2024 roku Trybunał Sprawiedliwości UE wydał przełomowy wyrok w sprawie C-21/23 (Lindenapotheke). W uproszczeniu: sąd orzekł, że dane dotyczące zamówień na produkty medyczne mogą być klasyfikowane jako dane wrażliwe w rozumieniu art. 9 RODO — nawet jeśli sam produkt nie ujawnia bezpośrednio stanu zdrowia.

Dla stomatologii oznacza to konkretną rzecz: sam fakt, że ktoś umawia się na wizytę do dentysty, może zostać uznany za daną o stanie zdrowia. Chatbot, który zbiera informacje o terminach wizyt, dolegliwościach czy historii leczenia, przetwarza dane szczególnej kategorii.

Konsekwencje są poważne. Przetwarzanie danych wrażliwych wymaga wyraźnej podstawy prawnej — najczęściej wyraźnej zgody pacjenta (art. 9 ust. 2 lit. a RODO). Wymaga też wdrożenia dodatkowych zabezpieczeń technicznych i organizacyjnych, których wiele popularnych narzędzi czatowych po prostu nie oferuje.

Typowe widgety czatowe ogólnego przeznaczenia — te, które można zainstalować na stronie w kilka minut — nie zostały zaprojektowane z myślą o danych zdrowotnych. Serwery często znajdują się w USA, a umowy powierzenia danych (DPA) nie uwzględniają specyfiki art. 9 RODO. Niektóre z nich wprost zabraniają przetwarzania danych szczególnych kategorii w swoich regulaminach.

Podobnie wygląda sytuacja z chatbotami wbudowanymi w narzędzia marketingowe i systemy CRM. Są projektowane pod sprzedaż i lead generation, nie pod ochronę danych medycznych. Brakuje im szyfrowania end-to-end, granularnej kontroli retencji i mechanizmów zgody dostosowanych do wymogów sektora zdrowia.

Największy problem polega na tym, że większość klinik nie zdaje sobie sprawy, że potrzebuje specjalnych zabezpieczeń. Chatbot 'po prostu działa' — ale z punktu widzenia prawa może generować ryzyko kary do 20 milionów EUR lub 4% rocznego obrotu.

W sierpniu 2026 roku w pełni wchodzą w życie obowiązki transparencji wynikające z rozporządzenia EU AI Act (Regulation (EU) 2024/1689). Art. 50 nakłada na dostawców systemów AI, które wchodzą w interakcję z ludźmi, obowiązek jednoznacznego poinformowania rozmówcy, że rozmawia z AI — nie z człowiekiem.

Kary za brak zgodności sięgają 15 milionów EUR lub 3% globalnego obrotu — w zależności od tego, która kwota jest wyższa. Większość chatbotów stomatologicznych nie identyfikuje się jako AI. Po sierpniu 2026 będzie to niezgodne z prawem.

Dodatkowy wymóg dotyczy syntetycznego audio: voiceboty i asystenci głosowi muszą być oznaczone jako generowane przez AI. Jeśli Twoja klinika korzysta z voicebota do odbierania telefonów, ten przepis dotyczy również Ciebie.

DPA (umowa powierzenia danych) z dostawcą chatbota zgodna z art. 28 RODO — to podstawowy dokument regulujący kto, jak i po co przetwarza dane Twoich pacjentów. DPIA (ocena skutków dla ochrony danych) powinna być przeprowadzona, jeśli chatbot przetwarza dane o wizytach, dolegliwościach lub historii leczenia.

Klauzula informacyjna RODO dla pacjentów korzystających z chatbota — pacjent musi wiedzieć, jakie dane są zbierane, w jakim celu i jak długo będą przechowywane. Serwery przetwarzające dane powinny znajdować się w EOG (nie w USA), chyba że istnieje ważna decyzja o adekwatności lub stosowane są standardowe klauzule umowne.

Mechanizm identyfikacji AI w rozmowie z pacjentem — chatbot powinien jasno komunikować, że rozmówca prowadzi konwersację ze sztuczną inteligencją. Polityka retencji danych — powinna określać, jak długo przechowywane są zapisy rozmów i kiedy są usuwane.

Flowright jest budowany od podstaw z myślą o zgodności z prawem UE. Infrastruktura opiera się wyłącznie na serwerach w Europejskim Obszarze Gospodarczym, a DPA jest częścią standardowej umowy z każdym klientem. Każda klinika otrzymuje również szablon DPIA dostosowany do specyfiki chatbota stomatologicznego.

Chatbot Flowright automatycznie identyfikuje się jako AI na początku każdej rozmowy, spełniając wymogi AI Act jeszcze przed ich wejściem w życie. Każdy klient otrzymuje pełny pakiet dokumentacji prawnej — gotowy do okazania w razie kontroli UODO. Informacje na tej stronie mają charakter ogólny i nie stanowią porady prawnej.

Nie jesteś pewien czy Twój obecny chatbot spełnia wymogi? Umów bezpłatną konsultację — sprawdzimy to razem. Przeanalizujemy Twoje obecne narzędzia, wskażemy luki w zgodności i zaproponujemy konkretne kroki naprawcze.