Wróć do bloga
RODO & Prawo5 min czytania

Klauzule SCC i przenoszenie danych do USA — co to znaczy dla Twojej firmy?

Czy gabinet dentystyczny może legalnie używać AI obsługiwanej przez amerykańskie serwery? Tak — dzięki klauzulom SCC. Wyjaśniamy w prostym języku, co to oznacza i dlaczego nie musisz się tym martwić.

Twój gabinet dentystyczny używa ZvonAI. Kiedy pacjent dzwoni, AI odbiera połączenie, przetwarza jego głos i umawia wizytę. Wszystko działa — ale czy jest legalne z punktu widzenia RODO?

To pytanie dotyczy każdego przedsiębiorcy, który korzysta z nowoczesnego oprogramowania. Deepgram zamienia mowę na tekst. ElevenLabs tworzy naturalnie brzmiący głos. Obydwie firmy mają serwery w Stanach Zjednoczonych. Czy to problem?

Odpowiedź: nie — o ile stosowane są Standardowe Klauzule Umowne (SCC). ZvonAI podpisało je ze wszystkimi podwykonawcami. Ty nie musisz robić niczego. Ale warto rozumieć, dlaczego.

Problem: dane europejskie a serwery w USA

RODO (Rozporządzenie o Ochronie Danych Osobowych) zabrania przekazywania danych osobowych poza Europejski Obszar Gospodarczy (EOG), jeśli kraj docelowy nie gwarantuje odpowiedniego poziomu ochrony.

Stany Zjednoczone nie są krajem o "odpowiednim poziomie" w sensie automatycznym. Owszem — obowiązuje Data Privacy Framework (DPF), ale jest zaskarżany i niepewny prawnie. Bezpieczniejszym i bardziej stabilnym rozwiązaniem są Standardowe Klauzule Umowne.

Co to są Standardowe Klauzule Umowne (SCC)?

SCC to gotowe wzory umów zatwierdzone przez Komisję Europejską — Decyzja wykonawcza 2021/914 z 4 czerwca 2021 roku. Działają jak prawny most między RODO a firmami spoza UE.

W praktyce oznacza to:

  • Firma z USA podpisuje umowę, w której zobowiązuje się przestrzegać europejskich standardów ochrony danych
  • Umowa nakłada konkretne obowiązki: bezpieczeństwo danych, prawa podmiotów, ograniczenie dalszego przekazywania, obowiązek informowania o żądaniach rządowych
  • Europejski podmiot danych (Twój pacjent) ma prawa egzekwowalne nawet wobec amerykańskiej firmy
  • Komisja Europejska zatwierdziła treść klauzul — nie ma możliwości ich zmiany ani negocjacji

To nie jest teoria. To standardowe narzędzie, z którego korzystają tysiące europejskich firm — od małych gabinetów po korporacje.

Co faktycznie dzieje się z głosem Twojego pacjenta

Kiedy pacjent dzwoni do gabinetu i rozmawia z AI ZvonAI, mówi coś w stylu: "Dzień dobry, chciałbym umówić wizytę na piątek." Co się dzieje dalej?

Krok 1 — przesyłanie audio (milisekundy)

Głos pacjenta jest przesyłany strumieniowo do serwera Deepgram (STT — speech-to-text). Deepgram przetwarza dźwięk i zwraca tekst. Całość trwa około 300–500 milisekund.

Co "wylatuje" za granicę?

  • Surowy sygnał audio — przez ułamek sekundy
  • Nie: imię, PESEL, numer telefonu, historia leczenia — te dane nie są przesyłane do Deepgram w żadnej postaci

Krok 2 — generowanie odpowiedzi (w chmurze europejskiej)

Model językowy przetwarza tekst i generuje odpowiedź. Domyślnie używamy Google Gemini na serwerach GCP w regionie europejskim (Warszawa / Frankfurt).

Krok 3 — synteza mowy (ElevenLabs)

ElevenLabs zamienia tekst na mowę. Przesyłany jest wyłącznie tekst odpowiedzi AI — nie dane pacjenta.

Podsumowanie przepływu danych

Co jest przesyłane Dokąd Jak długo
Audio rozmowy Deepgram (USA, SCC) Milisekundy, nie jest zapisywane
Tekst odpowiedzi AI ElevenLabs (USA, SCC) Milisekundy, nie jest zapisywane
Dane pacjenta (imię, termin, numer) GCP Europa (Warszawa) Zgodnie z Twoją konfiguracją

Dane osobowe pacjenta — imię, numer telefonu, historia wizyt — nie opuszczają serwerów europejskich.

Transfer Impact Assessment — co to i dlaczego ważne

Sam podpis SCC to nie wszystko. RODO wymaga, żeby eksporter danych (ZvonAI) ocenił, czy prawo obowiązujące w kraju docelowym (USA) nie uniemożliwia w praktyce wykonania gwarancji z SCC. To właśnie jest Transfer Impact Assessment (TIA) — ocena wpływu transferu.

ZvonAI przeprowadził TIA dla każdego podwykonawcy przetwarzającego dane poza EOG. W ocenach wzięliśmy pod uwagę:

  • Zakres danych: wyłącznie techniczne dane głosowe, bez danych wrażliwych w rozumieniu Art. 9 RODO
  • Czas przetwarzania: milisekundy — brak przechowywania
  • Ryzyko dostępu przez rządy: niskie — dane nie są identyfikowalne bez kontekstu systemu ZvonAI
  • Środki uzupełniające: szyfrowanie w tranzycie (TLS 1.3), separacja logiczna per tenant

Wnioski TIA: transfer jest dopuszczalny i spełnia wymogi RODO.

Co to oznacza dla Twojego gabinetu

Krótko: nie musisz nic robić.

Kiedy podpisujesz umowę z ZvonAI, podpisujesz też Umowę Powierzenia Danych Osobowych (DPA — Data Processing Agreement). Ta umowa:

  • Określa, że ZvonAI jest podmiotem przetwarzającym, a Twój gabinet — administratorem
  • Wymienia wszystkich podwykonawców (sub-procesorów) z ich lokalizacją i zakresem przetwarzania
  • Zawiera referencje do podpisanych klauzul SCC
  • Zobowiązuje ZvonAI do aktualizowania listy podwykonawców i informowania Cię o zmianach

Jako gabinet — administrator danych — masz dokumentację, która pokazuje regulatorowi, że transfer odbywa się legalnie. Nie potrzebujesz do tego prawnika ani specjalisty RODO.

Co powinieneś zrobić

  1. Podpisz DPA z ZvonAI — jest częścią standardowego procesu onboardingu
  2. Zaktualizuj swój Rejestr Czynności Przetwarzania (art. 30 RODO) o nową czynność: "obsługa połączeń telefonicznych przez AI" — o tym piszemy w osobnym artykule
  3. Zaktualizuj politykę prywatności gabinetu, jeśli nie ma jeszcze wzmianki o przetwarzaniu głosu dla celów obsługi połączeń

To naprawdę trzy proste kroki. Zajmą Ci jedno popołudnie.

Najczęstsze pytania

"Czy mogę informować pacjentów o przekazywaniu danych do USA?"

Tak — i powinieneś. W polityce prywatności wystarczy dodać zdanie w stylu: "W celu obsługi połączeń głosowych korzystamy z usług ZvonAI (Expathia Sp. z o.o.), który może przekazywać dane techniczne (audio głosu) do podmiotów przetwarzających w USA na podstawie Standardowych Klauzul Umownych zatwierdzonych przez Komisję Europejską."

"Co jeśli UODO przeprowadzi kontrolę?"

ZvonAI może dostarczyć Ci pełną dokumentację: listę podwykonawców, podpisane SCC, wyniki TIA, rejestr czynności przetwarzania. Masz wszystko, czego potrzebujesz do wykazania zgodności.

"Deepgram czy ElevenLabs mogą przechowywać dane moich pacjentów?"

Zgodnie z podpisanymi SCC i DPA między ZvonAI a tymi dostawcami: nie. Dane audio są przetwarzane w czasie rzeczywistym i nie są przechowywane na serwerach podwykonawców. To element naszej oceny TIA.

Podsumowanie

Klauzule SCC to sprawdzony, zatwierdzony przez Komisję Europejską mechanizm legalnego transferu danych do USA. ZvonAI korzysta z nich w odniesieniu do każdego podwykonawcy przetwarzającego dane poza EOG.

Jako właściciel gabinetu:

  • Nie musisz samodzielnie negocjować żadnych umów z Deepgram ani ElevenLabs
  • Masz DPA z ZvonAI, który pokrywa całą ścieżkę przetwarzania
  • Dane osobowe pacjentów (imię, termin, telefon) pozostają na serwerach europejskich
  • Transfer audio trwa milisekundy i nie jest związany z identyfikacją konkretnej osoby

Masz pytania dotyczące danych osobowych i RODO w kontekście ZvonAI? Napisz do nas: dpo@zvonai.ai

Sprawdź, jak działa ZvonAIjak-dziala

Zarezerwuj dostęp — dołącz do listy oczekujących: waitlist

Gotowy, żeby przestać tracić połączenia?

Wypróbuj AI recepcjonistkę ZvonAI przez 14 dni za darmo — bez karty.

Zacznij za darmo

Powiązane artykuły

Klauzule SCC i przenoszenie danych do USA — co to znaczy dla Twojej firmy? — ZvonAI Blog | ZvonAI