Compliance

AI a RODO w placówce medycznej: jak wdrożyć sztuczną inteligencję zgodnie z przepisami

Jak wdrożyć AI w przychodni lub szpitalu i nie naruszyć RODO? Praktyczny przewodnik po obowiązkach prawnych i bezpiecznym wdrożeniu.

⏱ 7 min czytania · 📅 09.07.2026 · 👁 2 wyświetleń

Kiedy w placówce medycznej pada propozycja wdrożenia AI, jednym z pierwszych pytań jest niemal zawsze to samo: czy to w ogóle jest zgodne z RODO? To słuszna ostrożność. Dane medyczne należą do szczególnej kategorii danych osobowych i korzystają z najwyższej ochrony prawnej. Błąd przy wdrożeniu może skończyć się karą finansową, a przede wszystkim utratą zaufania pacjentów, którego nie da się szybko odbudować.

Dobra wiadomość jest taka, że AI w placówce medycznej można wdrożyć w pełni zgodnie z przepisami. Wymaga to jednak świadomego podejścia już na etapie planowania, a nie dopiero po uruchomieniu systemu. W tym artykule pokazujemy, na co zwrócić uwagę i jak przejść przez ten proces krok po kroku.

Dlaczego dane medyczne wymagają szczególnej ostrożności

RODO wyróżnia szczególne kategorie danych osobowych, które podlegają surowszemu reżimowi prawnemu. Wśród nich są dane dotyczące zdrowia. Każda informacja, która może ujawnić stan zdrowia pacjenta, diagnozę, przebyte choroby, stosowane leki czy wyniki badań, należy właśnie do tej kategorii.

W praktyce oznacza to, że systemy AI działające w placówce medycznej, niezależnie od tego, czy pomagają w rejestracji, analizują dokumentację czy wspierają diagnostykę, niemal zawsze przetwarzają dane szczególnie chronione. Nie można ich traktować tak jak zwykłych danych kontaktowych.

Co to konkretnie oznacza dla naszej placówki? Między innymi:

  • przetwarzanie danych zdrowotnych wymaga wyraźnej podstawy prawnej,
  • pacjent ma prawo wiedzieć, że jego dane są przetwarzane z udziałem systemu AI,
  • placówka musi być w stanie wykazać organowi nadzorczemu, że stosuje odpowiednie środki ochrony,
  • część wdrożeń wymaga przeprowadzenia formalnej oceny ryzyka przed uruchomieniem systemu.

Na jakiej podstawie prawnej można przetwarzać dane pacjentów przez AI

Zgoda pacjenta jest pierwszym skojarzeniem, ale rzadko jest najlepszym rozwiązaniem w środowisku medycznym. Zgoda musi być dobrowolna, a w relacji pacjent-placówka trudno mówić o pełnej dobrowolności, szczególnie gdy alternatywą jest brak dostępu do świadczeń. Opieranie całego wdrożenia AI na zgodzie to ryzykowna podstawa.

W praktyce placówki medyczne opierają się najczęściej na dwóch innych podstawach z art. 9 RODO:

  • Niezbędność do celów medycznych (art. 9 ust. 2 lit. h RODO) dotyczy sytuacji, gdy przetwarzanie jest konieczne do profilaktyki zdrowotnej, diagnozy medycznej lub leczenia. Jeśli AI wspiera bezpośrednio procesy kliniczne lub administracyjne związane z opieką nad pacjentem, ta podstawa może mieć zastosowanie.
  • Interes publiczny w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO) dotyczy przede wszystkim podmiotów publicznych oraz wybranych działań z zakresu ochrony zdrowia populacji.

Ważne: nawet gdy mamy właściwą podstawę z art. 9, przetwarzanie musi jednocześnie spełniać ogólne wymogi RODO, w tym zasadę minimalizacji danych i ograniczenia celu. Nie możemy zbierać więcej danych niż potrzeba, ani wykorzystywać ich do celów innych niż te, które podaliśmy pacjentowi.

Kluczowe obowiązki placówki przy wdrożeniu AI

Wdrożenie AI nie zmienia katalogu obowiązków wynikających z RODO, ale znacząco zwiększa złożoność ich realizacji. Na co zwrócić szczególną uwagę:

  • Aktualizacja rejestru czynności przetwarzania. Każdy nowy system AI przetwarzający dane osobowe musi znaleźć się w rejestrze. Opisujemy cel przetwarzania, kategorie danych, odbiorców, planowany czas przechowywania i zastosowane zabezpieczenia.
  • Klauzule informacyjne dla pacjentów. Pacjenci muszą zostać poinformowani o tym, że ich dane są przetwarzane z udziałem systemu AI. Klauzule na stronie internetowej, w rejestracji i dokumentacji wymagają aktualizacji.
  • Umowa powierzenia przetwarzania danych. Jeśli dostawca AI przetwarza dane pacjentów w imieniu placówki, konieczna jest pisemna umowa powierzenia. Bez niej placówka odpowiada za ewentualne naruszenia, nawet jeśli błąd powstał po stronie dostawcy.
  • Zasada privacy by design. AI powinno być konfigurowane tak, żeby domyślnie chronić prywatność. Oznacza to pseudonimizację lub anonimizację danych tam, gdzie to możliwe, ograniczenie dostępu do minimum i automatyczne usuwanie danych po upływie okresu retencji.

Ocena skutków dla ochrony danych (DPIA): kiedy jest obowiązkowa

DPIA, czyli ocena skutków dla ochrony danych, to formalna analiza ryzyka dla prywatności. Jej przeprowadzenie jest obowiązkowe, gdy przetwarzanie danych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.

W przypadku wdrożeń AI w placówkach medycznych DPIA jest wymagana praktycznie zawsze, gdy:

  • system AI przetwarza dane zdrowotne na dużą skalę,
  • AI podejmuje lub wspiera decyzje mogące znacząco wpłynąć na sytuację pacjenta,
  • system profiluje pacjentów lub przewiduje ich stan zdrowia bądź zachowania,
  • dane są przetwarzane z użyciem nowych technologii lub w innowacyjny sposób.

DPIA to nie formalność do odhaczenia. To dokument, który pomaga zidentyfikować ryzyka i wdrożyć środki je ograniczające, zanim system zacznie działać produkcyjnie. Prezes UODO opublikował wytyczne wskazujące kategorie przetwarzania wymagające DPIA na gruncie polskich przepisów, warto się z nimi zapoznać przed startem projektu.

Jeśli po DPIA okaże się, że ryzyko jest wysokie i nie można go ograniczyć do akceptowalnego poziomu przy zastosowaniu dostępnych środków, placówka ma obowiązek skonsultować się z Prezesem UODO przed uruchomieniem systemu.

Gdzie mogą być przetwarzane dane: lokalizacja serwerów a RODO

To pytanie szczególnie istotne przy rozwiązaniach chmurowych. Dane pacjentów mogą być przetwarzane poza Unią Europejską tylko wtedy, gdy kraj docelowy zapewnia odpowiedni poziom ochrony lub dostawca zastosował właściwe zabezpieczenia, na przykład standardowe klauzule umowne.

Przy wyborze dostawcy AI sprawdzamy zatem:

  • gdzie fizycznie są przechowywane dane — centrum danych zlokalizowane w UE eliminuje większość problemów z transferem,
  • czy dostawca oferuje opcję przetwarzania wyłącznie w Europie lub możliwość wdrożenia on-premise na infrastrukturze placówki,
  • jakie mechanizmy ochrony stosuje przy transferach danych poza EOG, jeśli taka sytuacja w ogóle zachodzi.

W sektorze medycznym wdrożenie on-premise lub w prywatnej chmurze lokalnego dostawcy bywa uzasadnione właśnie ze względu na wrażliwość przetwarzanych danych. Rozmowa z dostawcą o architekturze danych powinna być jednym z pierwszych kroków każdego projektu.

Od czego zacząć: praktyczna ścieżka wdrożenia

Najczęstszy błąd to zostawienie kwestii prawnych na koniec projektu, gdy system jest już prawie gotowy do uruchomienia. Tymczasem RODO powinno być uwzględnione od pierwszego spotkania z dostawcą. Proponujemy następującą kolejność kroków:

  • Krok 1: Zaangażuj Inspektora Ochrony Danych (IOD) od początku. Jeśli placówka ma IOD, a podmioty lecznicze zazwyczaj są do tego zobowiązane, powinien uczestniczyć w projekcie od etapu analizy. IOD wskaże ryzyka, zanim wdrożenie zajdzie za daleko.
  • Krok 2: Zinwentaryzuj, jakie dane przetwarza system AI. Pełna lista kategorii danych, zakres dostępu systemu i sposób przechowywania wyników pozwolą ocenić ryzyko i wybrać właściwą podstawę prawną.
  • Krok 3: Przeprowadź DPIA. Nawet jeśli nie jest formalnie wymagana w konkretnym przypadku, jej wykonanie to dobra praktyka, która chroni placówkę i pomaga lepiej zaprojektować wdrożenie.
  • Krok 4: Zweryfikuj dostawcę pod kątem RODO. Poproś o wzór umowy powierzenia przetwarzania danych, zapytaj o lokalizację serwerów, posiadane certyfikaty bezpieczeństwa i politykę retencji danych. Odpowiedzi wiele powiedzą o dojrzałości dostawcy.
  • Krok 5: Zaktualizuj dokumentację wewnętrzną. Rejestr czynności przetwarzania, klauzule informacyjne, procedury obsługi incydentów, wszystkie te dokumenty muszą uwzględniać nowy system.
  • Krok 6: Przeszkól personel. Pracownicy korzystający z systemu AI muszą wiedzieć, jakie dane przetwarzają, jakie mają obowiązki i jak postąpić w razie naruszenia ochrony danych.

Podsumowanie

Wdrożenie AI w placówce medycznej jest możliwe i zgodne z RODO, ale wymaga przemyślanego podejścia od samego początku. Właściwa podstawa prawna, starannie dobrana umowa z dostawcą, przeprowadzona DPIA i zaktualizowana dokumentacja wewnętrzna to nie biurokracja, a realna ochrona placówki i jej pacjentów.

Placówki, które przeprowadziły wdrożenia AI z pełnym poszanowaniem wymogów RODO, często podkreślają dodatkową korzyść: ten proces pomógł im lepiej zrozumieć, jakie dane w ogóle przetwarzają i jak faktycznie są zabezpieczone. To wartość, która zostaje na długo po zakończeniu projektu.

Jeśli chcesz sprawdzić, jak wdrożyć AI w swojej placówce w sposób bezpieczny i zgodny z przepisami, zapraszamy na bezpłatny audyt. Razem przejdziemy przez procesy, ryzyka i możliwości konkretnie dla Twojej organizacji. Możesz też zobaczyć, jak z podobnymi wyzwaniami poradziły sobie inne placówki w Polsce, na stronie z realnymi wdrożeniami.

Treść przygotowana z udziałem AI i zredagowana przez zespół RedAI.

Chcesz sprawdzić, jak AI rozwiąże to u Ciebie?

Bezpłatny audyt potrzeb i pokaz działającego wdrożenia. Bez zobowiązań.

Umów bezpłatny audyt