Polityka prywatności i informacja prawna

1. Polityka prywatności

Administrator danych

Administratorem danych osobowych przekazanych w formularzu kontaktowym na stronie szpitalai.pl jest RedAI, podmiot prowadzący wdrożenia sztucznej inteligencji w polskich firmach i placówkach. Kontakt w sprawach ochrony danych: [email protected], telefon +48 691 10 20 10. szpitalAI jest marką i projektem RedAI dedykowanym ochronie zdrowia.

Jakie dane zbieramy

Przez formularz audytu zbieramy wyłącznie dane, które sami nam podajecie: imię i nazwisko osoby kontaktowej, nazwę placówki, służbowy adres e-mail, opcjonalnie numer telefonu, typ i wielkość placówki, zaznaczone obszary problemów oraz krótki opis sytuacji. Automatycznie zapisujemy też podstawowe dane techniczne wizyty (adres IP, typ przeglądarki, czas), wykorzystywane do bezpieczeństwa i statystyki.

Nie zbieramy tu danych pacjentów. Formularz służy kontaktowi z osobą decyzyjną w placówce. Dane medyczne pacjentów pojawiają się dopiero na etapie wdrożenia, w środowisku placówki, i nie są przekazywane przez tę stronę.

Cel i podstawa prawna

• Kontakt zwrotny i przygotowanie bezpłatnego audytu potrzeb. Podstawa: zgoda osoby (art. 6 ust. 1 lit. a RODO) oraz nasz prawnie uzasadniony interes w odpowiedzi na zapytanie i prowadzeniu działań sprzedażowych B2B (art. 6 ust. 1 lit. f RODO).
• Realizacja ewentualnej późniejszej umowy o wdrożenie. Podstawa: niezbędność do podjęcia działań przed zawarciem umowy i jej wykonania (art. 6 ust. 1 lit. b RODO).
• Bezpieczeństwo strony i obrona przed nadużyciami. Podstawa: prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO).

Jak długo przechowujemy dane

Dane z zapytań przechowujemy przez okres niezbędny do obsługi kontaktu i prowadzenia rozmów handlowych, a następnie przez czas wynikający z przepisów (np. dochodzenie lub obrona roszczeń). Jeśli nie dojdzie do współpracy, usuwamy lub anonimizujemy dane po ustaniu celu, nie później niż w rozsądnym, udokumentowanym terminie.

Odbiorcy danych

Dane mogą być przetwarzane przez naszych zaufanych dostawców usług (hosting, poczta, narzędzia CRM i analityczne) działających na nasze zlecenie i na podstawie umów powierzenia. Nie sprzedajemy danych. Nie przekazujemy danych z formularza do publicznych modeli AI ani poza Europejski Obszar Gospodarczy bez właściwej podstawy.

Wasze prawa

Macie prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie oraz wycofania zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania przed jej wycofaniem). Przysługuje też skarga do Prezesa Urzędu Ochrony Danych Osobowych. Aby skorzystać z praw, napiszcie na [email protected].

Pliki cookies

Używamy plików cookies funkcjonalnych (sesja, zapamiętanie wyboru) oraz, jeśli wyrazicie zgodę, narzędzi analitycznych i marketingowych. Możecie zarządzać cookies w ustawieniach przeglądarki. Nie stosujemy natrętnego śledzenia bez podstawy.

---

2. Dlaczego wdrożenie AI w placówce medycznej jest zgodne z prawem

Decydenci w ochronie zdrowia słusznie pytają, czy wprowadzenie sztucznej inteligencji nie narusza ochrony danych pacjentów, tajemnicy lekarskiej czy nowych przepisów o AI. Poniżej wyjaśniamy, na czym opieramy zgodność. To informacja edukacyjna, a nie porada prawna. Każde wdrożenie poprzedzamy analizą z Waszym Inspektorem Ochrony Danych i, gdy trzeba, z Waszą obsługą prawną.

2.1. Prywatna instancja a RODO i dane wrażliwe

Dane o zdrowiu to szczególna kategoria danych w rozumieniu art. 9 RODO, objęta najwyższym poziomem ochrony. Fundamentem naszego modelu jest prywatna instancja: system AI uruchamiamy na infrastrukturze placówki lub na dedykowanym serwerze w Polsce, w środowisku odizolowanym. W praktyce oznacza to, że dane pacjentów nie opuszczają placówki, nie trafiają do publicznej chmury w USA ani do dostawców modeli takich jak OpenAI, i nie są wykorzystywane do trenowania cudzych modeli.

Placówka pozostaje administratorem danych pacjentów i zachowuje pełną kontrolę nad tym, gdzie i jak są przetwarzane. Brak transferu poza Europejski Obszar Gospodarczy usuwa jedno z najpoważniejszych ryzyk prawnych związanych z chmurowymi narzędziami AI. Przetwarzanie danych szczególnych kategorii opieramy o przesłanki z art. 9 ust. 2 RODO właściwe dla ochrony zdrowia (m.in. cele profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej), w połączeniu z odpowiednią podstawą z art. 6.

2.2. Umowa powierzenia przetwarzania

Tam, gdzie w ramach wdrożenia przetwarzamy dane w imieniu placówki, działamy jako podmiot przetwarzający na podstawie umowy powierzenia przetwarzania danych zgodnej z art. 28 RODO. Umowa określa zakres, cel, czas i charakter przetwarzania, obowiązki w zakresie bezpieczeństwa, zasady korzystania z podwykonawców, wsparcie przy realizacji praw pacjentów oraz zasady zwrotu lub usunięcia danych po zakończeniu współpracy. W modelu prywatnej instancji rola podmiotu przetwarzającego jest ograniczona, bo dane fizycznie pozostają w środowisku placówki.

2.3. Tajemnica lekarska i prawa pacjenta

Personel medyczny jest związany tajemnicą zawodową, a placówka odpowiada za poszanowanie praw pacjenta wynikających z ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Model prywatnej instancji wspiera dochowanie tajemnicy, ponieważ treści wizyt i dokumentacja nie są wysyłane na zewnątrz. Narzędzie projektujemy tak, aby dostęp do danych był rolowy i rejestrowany, a przetwarzanie ograniczone do tego, co niezbędne do realizacji konkretnego zadania.

2.4. AI Act i rola asystenta

Rozporządzenie o sztucznej inteligencji (AI Act) klasyfikuje systemy AI według ryzyka. Systemy przeznaczone do diagnozy lub terapii bywają zaliczane do wysokiego ryzyka, co wiąże się z dodatkowymi obowiązkami zarówno dla dostawcy, jak i dla podmiotu, który z nich korzysta. Nasze moduły świadomie pozostają w roli asystenta: dokumentują, podpowiadają, porządkują i przyspieszają pracę, ale nie podejmują decyzji medycznych. Decyzję i odpowiedzialność zawsze zachowuje człowiek, a nad działaniem systemu sprawowany jest nadzór ludzki.

Takie pozycjonowanie ogranicza ekspozycję placówki na najcięższe obowiązki regulacyjne i jest zgodne z zasadą, że AI ma odciążać personel, a nie zastępować ocenę kliniczną. Tam, gdzie pojawia się potrzeba zastosowania o wyższym ryzyku, ustalamy to wspólnie i wdrażamy odpowiednie środki zgodności.

2.5. Wyrób medyczny (MDR) i granice narzędzia

Oprogramowanie, któremu nadaje się przeznaczenie medyczne, takie jak diagnozowanie czy leczenie, może być kwalifikowane jako wyrób medyczny i podlegać rozporządzeniu MDR oraz ocenie zgodności i oznaczeniu CE. Nasze moduły asystujące w dokumentacji, rejestracji, obsłudze pacjenta, kodowaniu administracyjnym czy raportowaniu nie mają przeznaczenia diagnostycznego ani terapeutycznego, więc co do zasady pozostają poza definicją wyrobu medycznego. Jeśli zakres wdrożenia miałby się zmienić, analizujemy to indywidualnie i dobieramy właściwą ścieżkę zgodności.

2.6. EDM, System P1 i współpraca z Waszymi systemami

Elektroniczna Dokumentacja Medyczna i wymiana danych przez System P1 to obowiązek placówek. Nasze rozwiązanie nie omija tych obowiązków ani nie zastępuje Waszego systemu szpitalnego (HIS). AI działa obok systemów, które już macie, i łączy się z nimi, pomagając realnie wypełnić obowiązki, które bywają trudne do udźwignięcia przy brakach kadrowych. Niczego nie wymieniamy na siłę, korzystamy z tego, co u Was działa.

2.7. Bezpieczeństwo, hosting i ślad audytowy

Dane przetwarzamy w środowisku odizolowanym, z hostingiem w Polsce lub w ramach Europejskiego Obszaru Gospodarczego. Stosujemy szyfrowanie, kontrolę dostępu opartą na rolach oraz pełny ślad audytowy, czyli rejestr tego, kto, kiedy i co zrobił w systemie. Taki rejestr jest przygotowany na ewentualny audyt, w tym kontrolę Urzędu Ochrony Danych Osobowych. Na życzenie przekazujemy Waszemu Inspektorowi Ochrony Danych dokumentację techniczną i organizacyjną wdrożenia oraz wzór umowy powierzenia.

Powyższa informacja prawna ma charakter ogólny i edukacyjny, nie stanowi porady prawnej i nie zastępuje analizy konkretnego przypadku. Ostateczny zakres obowiązków zależy od specyfiki placówki, rodzaju przetwarzanych danych i przyjętego zakresu wdrożenia. Szczegóły ustalamy wspólnie z Waszym Inspektorem Ochrony Danych przed rozpoczęciem prac.