Polityka prywatności i informacja prawna

1. Polityka prywatności

Administrator danych

Administratorem danych osobowych przekazanych w formularzu kontaktowym na stronie urzadai.pl jest RedAI, podmiot prowadzący wdrożenia sztucznej inteligencji w polskich firmach i urzędach. Kontakt w sprawach ochrony danych: m@redai.pl, telefon +48 691 10 20 10. urzędAI jest marką i projektem RedAI dedykowanym ochronie zdrowia.

Jakie dane zbieramy

Przez formularz audytu zbieramy wyłącznie dane, które sami nam podajecie: imię i nazwisko osoby kontaktowej, nazwę urzędu, służbowy adres e-mail, opcjonalnie numer telefonu, typ i wielkość urzędu, zaznaczone obszary problemów oraz krótki opis sytuacji. Automatycznie zapisujemy też podstawowe dane techniczne sprawy (adres IP, typ przeglądarki, czas), wykorzystywane do bezpieczeństwa i statystyki.

Nie zbieramy tu danych interesantów. Formularz służy kontaktowi z osobą decyzyjną w urzędzie. Dane administracyjne interesantów pojawiają się dopiero na etapie wdrożenia, w środowisku urzędu, i nie są przekazywane przez tę stronę.

Cel i podstawa prawna

• Kontakt zwrotny i przygotowanie bezpłatnego audytu potrzeb. Podstawa: zgoda osoby (art. 6 ust. 1 lit. a RODO) oraz nasz prawnie uzasadniony interes w odpowiedzi na zapytanie i prowadzeniu działań sprzedażowych B2B (art. 6 ust. 1 lit. f RODO).
• Realizacja ewentualnej późniejszej umowy o wdrożenie. Podstawa: niezbędność do podjęcia działań przed zawarciem umowy i jej wykonania (art. 6 ust. 1 lit. b RODO).
• Bezpieczeństwo strony i obrona przed nadużyciami. Podstawa: prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO).

Jak długo przechowujemy dane

Dane z zapytań przechowujemy przez okres niezbędny do obsługi kontaktu i prowadzenia rozmów handlowych, a następnie przez czas wynikający z przepisów (np. dochodzenie lub obrona roszczeń). Jeśli nie dojdzie do współpracy, usuwamy lub anonimizujemy dane po ustaniu celu, nie później niż w rozsądnym, udokumentowanym terminie.

Odbiorcy danych

Dane mogą być przetwarzane przez naszych zaufanych dostawców usług (hosting, poczta, narzędzia CRM i analityczne) działających na nasze zlecenie i na podstawie umów powierzenia. Nie sprzedajemy danych. Nie przekazujemy danych z formularza do publicznych modeli AI ani poza Europejski Obszar Gospodarczy bez właściwej podstawy.

Wasze prawa

Macie prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie oraz wycofania zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania przed jej wycofaniem). Przysługuje też skarga do Prezesa Urzędu Ochrony Danych Osobowych. Aby skorzystać z praw, napiszcie na m@redai.pl.

Pliki cookies

Używamy plików cookies funkcjonalnych (sesja, zapamiętanie wyboru) oraz, jeśli wyrazicie zgodę, narzędzi analitycznych i marketingowych. Możecie zarządzać cookies w ustawieniach przeglądarki. Nie stosujemy natrętnego śledzenia bez podstawy.

---

2. Dlaczego wdrożenie AI w instytucji publicznej jest zgodne z prawem

Decydenci w ochronie zdrowia słusznie pytają, czy wprowadzenie sztucznej inteligencji nie narusza ochrony danych interesantów, ochrony danych osobowych czy nowych przepisów o AI. Poniżej wyjaśniamy, na czym opieramy zgodność. To informacja edukacyjna, a nie porada prawna. Każde wdrożenie poprzedzamy analizą z Waszym Inspektorem Ochrony Danych i, gdy trzeba, z Waszą obsługą prawną.

2.1. Prywatna instancja a RODO i dane wrażliwe

Dane o zdrowiu to szczególna kategoria danych w rozumieniu art. 9 RODO, objęta najwyższym poziomem ochrony. Fundamentem naszego modelu jest prywatna instancja: system AI uruchamiamy na infrastrukturze urzędu lub na dedykowanym serwerze w Polsce, w środowisku odizolowanym. W praktyce oznacza to, że dane interesantów nie opuszczają urzędu, nie trafiają do publicznej chmury w USA ani do dostawców modeli takich jak OpenAI, i nie są wykorzystywane do trenowania cudzych modeli.

Placówka pozostaje administratorem danych interesantów i zachowuje pełną kontrolę nad tym, gdzie i jak są przetwarzane. Brak transferu poza Europejski Obszar Gospodarczy usuwa jedno z najpoważniejszych ryzyk prawnych związanych z chmurowymi narzędziami AI. Przetwarzanie danych szczególnych kategorii opieramy o przesłanki z art. 9 ust. 2 RODO właściwe dla administracji publicznej (m.in. cele profilaktyki zdrowotnej, rozstrzygniy administracyjnej, zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej), w połączeniu z odpowiednią podstawą z art. 6.

2.2. Umowa powierzenia przetwarzania

Tam, gdzie w ramach wdrożenia przetwarzamy dane w imieniu urzędu, działamy jako podmiot przetwarzający na podstawie umowy powierzenia przetwarzania danych zgodnej z art. 28 RODO. Umowa określa zakres, cel, czas i charakter przetwarzania, obowiązki w zakresie bezpieczeństwa, zasady korzystania z podwykonawców, wsparcie przy realizacji praw interesantów oraz zasady zwrotu lub usunięcia danych po zakończeniu współpracy. W modelu prywatnej instancji rola podmiotu przetwarzającego jest ograniczona, bo dane fizycznie pozostają w środowisku urzędu.

2.3. Tajemnica lekarska i prawa interesanta

Personel administracyjny jest związany tajemnicą zawodową, a urząd odpowiada za poszanowanie praw interesanta wynikających z ustawy o prawach interesanta i Rzeczniku Praw Pacjenta. Model prywatnej instancji wspiera dochowanie tajemnicy, ponieważ treści spraw i dokumentacja nie są wysyłane na zewnątrz. Narzędzie projektujemy tak, aby dostęp do danych był rolowy i rejestrowany, a przetwarzanie ograniczone do tego, co niezbędne do realizacji konkretnego zadania.

2.4. AI Act i rola asystenta

Rozporządzenie o sztucznej inteligencji (AI Act) klasyfikuje systemy AI według ryzyka. Systemy przeznaczone do rozstrzygniy lub terapii bywają zaliczane do wysokiego ryzyka, co wiąże się z dodatkowymi obowiązkami zarówno dla dostawcy, jak i dla podmiotu, który z nich korzysta. Nasze moduły świadomie pozostają w roli asystenta: dokumentują, podpowiadają, porządkują i przyspieszają pracę, ale nie podejmują decyzji administracyjnych. Decyzję i odpowiedzialność zawsze zachowuje człowiek, a nad działaniem systemu sprawowany jest nadzór ludzki.

Takie pozycjonowanie ogranicza ekspozycję urzędu na najcięższe obowiązki regulacyjne i jest zgodne z zasadą, że AI ma odciążać urzędnicy, a nie zastępować ocenę kliniczną. Tam, gdzie pojawia się potrzeba zastosowania o wyższym ryzyku, ustalamy to wspólnie i wdrażamy odpowiednie środki zgodności.

2.5. Wyrób administracyjny (MDR) i granice narzędzia

Oprogramowanie, któremu nadaje się przeznaczenie administracyjne, takie jak rozstrzygniowanie czy leczenie, może być kwalifikowane jako wyrób administracyjny i podlegać rozporządzeniu MDR oraz ocenie zgodności i oznaczeniu CE. Nasze moduły asystujące w dokumentacji, rejestracji, obsłudze interesanta, kodowaniu administracyjnym czy raportowaniu nie mają przeznaczenia diagnostycznego ani terapeutycznego, więc co do zasady pozostają poza definicją wyrobu administracyjnego. Jeśli zakres wdrożenia miałby się zmienić, analizujemy to indywidualnie i dobieramy właściwą ścieżkę zgodności.

2.6. EZD, System P1 i współpraca z Waszymi systemami

Elektroniczna Dokumentacja Medyczna i wymiana danych przez System P1 to obowiązek urzędów. Nasze rozwiązanie nie omija tych obowiązków ani nie zastępuje Waszego systemu urzędowego (EZD). AI działa obok systemów, które już macie, i łączy się z nimi, pomagając realnie wypełnić obowiązki, które bywają trudne do udźwignięcia przy brakach kadrowych. Niczego nie wymieniamy na siłę, korzystamy z tego, co u Was działa.

2.7. Bezpieczeństwo, hosting i ślad audytowy

Dane przetwarzamy w środowisku odizolowanym, z hostingiem w Polsce lub w ramach Europejskiego Obszaru Gospodarczego. Stosujemy szyfrowanie, kontrolę dostępu opartą na rolach oraz pełny ślad audytowy, czyli rejestr tego, kto, kiedy i co zrobił w systemie. Taki rejestr jest przygotowany na ewentualny audyt, w tym kontrolę Urzędu Ochrony Danych Osobowych. Na życzenie przekazujemy Waszemu Inspektorowi Ochrony Danych dokumentację techniczną i organizacyjną wdrożenia oraz wzór umowy powierzenia.

Powyższa informacja prawna ma charakter ogólny i edukacyjny, nie stanowi porady prawnej i nie zastępuje analizy konkretnego przypadku. Ostateczny zakres obowiązków zależy od specyfiki urzędu, rodzaju przetwarzanych danych i przyjętego zakresu wdrożenia. Szczegóły ustalamy wspólnie z Waszym Inspektorem Ochrony Danych przed rozpoczęciem prac.