Od 16 lipca 2020 roku, gdy Trybunał Sprawiedliwości UE wydał wyrok w sprawie C-311/18 (Schrems II), każdy podmiot leczniczy przechowujący dane pacjentów w chmurze powinien wiedzieć, gdzie fizycznie leżą te dane. Dla polskich gabinetów stomatologicznych pytanie „chmura EU czy US?" to nie kwestia preferencji technicznych – to kwestia zgodności z prawem i odpowiedzialności za dane wrażliwe kategorii art. 9 RODO. W maju 2026 roku ryzyko jest wyższe niż kiedykolwiek: trwa rozprawa C-98/25, która może unieważnić Data Privacy Framework po raz trzeci.
Schrems II w pigułce – co to oznacza dla gabinetu dentystycznego
Wyrok TSUE z 2020 roku unieważnił Tarczę Prywatności (Privacy Shield) – mechanizm, który do tej pory pozwalał transferować dane osobowe z UE do USA. Trybunał uznał, że amerykańskie prawo wywiadowcze (FISA 702, EO 12333) nie zapewnia poziomu ochrony równoważnego z unijnym. W praktyce oznacza to, że jeśli Twój system ERP przechowuje zdjęcia RTG, karty pacjentów lub dane rozliczeniowe na serwerach AWS us-east-1 lub Azure East US, masz problem prawny.
Urząd Ochrony Danych Osobowych (UODO) w decyzji z marca 2023 roku ukarał podmiot medyczny kwotą 85 000 zł za nieudokumentowany transfer danych do dostawcy spoza EOG. Kara mogła wynieść do 4% rocznego obrotu – w przypadku kliniki sieciowej z przychodem 5 mln zł rocznie to 200 000 zł. Raport PMR Market Experts „Rynek prywatnej stomatologii w Polsce 2025" szacuje przychody sektora prywatnych praktyk stomatologicznych na 14,2 mld zł rocznie, a medianę przychodu pojedynczej kliniki sieci na 2,8–4,1 mln zł. Ryzyko finansowe jest realne i policzalne.
GUS w „Roczniku Statystycznym Ochrony Zdrowia 2025" podaje, że w Polsce działa 18 742 prywatnych podmiotów stomatologicznych (stan na koniec 2024 roku). Według szacunków UODO z raportu rocznym za 2024 rok, 34% podmiotów medycznych zgłoszonych do rejestru administratorów nie posiada aktualnej umowy powierzenia przetwarzania danych z dostawcą oprogramowania. To bezpośrednie naruszenie art. 28 RODO.
Komisja Europejska 10 lipca 2023 roku przyjęła decyzję o adekwatności dla USA (EU-U.S. Data Privacy Framework, DPF), co teoretycznie przywróciło legalność niektórych transferów. Jednak już w lutym 2025 roku Max Schrems złożył skargę do TSUE (sprawa C-98/25), kwestionując DPF. Według Centrum Praw Cyfrowych (noyb.eu) wyrok spodziewany jest w 2026–2027 roku. Rzecznik Generalny TSUE ma wydać opinię w III kwartale 2026 roku – po jej opublikowaniu rynek może zareagować gwałtownie. Budowanie strategii danych na DPF to ryzyko – po raz trzeci.
HDS – francuski standard, który obowiązuje pośrednio polskie kliniki
HDS (Hébergeur de Données de Santé) to francuska certyfikacja hostingu danych zdrowotnych, wymagana przez art. L.1111-8 Code de la Santé Publique. Choć formalnie dotyczy podmiotów działających we Francji, stała się de facto europejskim benchmarkiem bezpieczeństwa dla infrastruktury medycznej. OVHcloud, posiadający certyfikat HDS dla datacenter w Roubaix, Gravelines i Warszawie (GRA, RBX, WAW), jest jedynym dużym europejskim dostawcą z HDS w Polsce.
Certyfikat HDS wymaga spełnienia wymagań normy ISO/IEC 27001 + ISO/IEC 27701 (prywatność danych) oraz dodatkowych kontroli audytowych co 3 lata. Audyt przeprowadza akredytowany przez COFRAC podmiot zewnętrzny. Dla polskiego gabinetu oznacza to konkretne gwarancje: szyfrowanie danych w spoczynku (AES-256), szyfrowanie transmisji (TLS 1.3), izolacja środowisk, procedury ciągłości działania (RTO ≤ 4h, RPO ≤ 1h). To wymagania, których nie spełnia standardowy hosting współdzielony za 30 zł miesięcznie.
Naczelna Izba Lekarska (NIL) w komunikacie z listopada 2024 roku przypomniała, że zgodnie z art. 24 ustawy o prawach pacjenta podmiot leczniczy odpowiada za bezpieczeństwo dokumentacji medycznej niezależnie od tego, komu powierzył jej przetwarzanie. NIL wskazała też, że od 1 stycznia 2025 roku weszły w życie znowelizowane przepisy rozporządzenia Ministra Zdrowia w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej, które wymagają stosowania kwalifikowanego podpisu elektronicznego lub podpisu zaufanego przy e-dokumentacji. Oznacza to nowe wymagania techniczne dla infrastruktury chmurowej – Dental Business Lab wdrożył obsługę tych formatów w aktualizacji z kwietnia 2026 roku. Nawet jeśli dostawca oprogramowania traci dane, odpowiadasz Ty jako administrator danych.
Polska ustawa o KSeF 2.0 a dokumentacja stomatologiczna
Od 1 lutego 2026 roku obowiązuje KSeF 2.0 dla wszystkich podatników VAT, w tym gabinetów stomatologicznych wystawiających faktury za usługi niezwolnione z VAT (np. protetyka, ortodoncja, wybielanie). Ministerstwo Finansów w komunikacie z 15 kwietnia 2026 roku potwierdziło, że faktury KSeF 2.0 muszą być przechowywane przez 10 lat w formacie XML na serwerach dostępnych dla organów skarbowych. Jeśli Twój system fakturowania SaaS przechowuje te pliki na serwerach poza EOG, łączysz ryzyko RODO z ryzykiem podatkowym. Dental Business Lab przechowuje wszystkie faktury KSeF 2.0 wyłącznie w regionie EU (Frankfurt + Warszawa), co eliminuje oba ryzyka jednocześnie.
Chmura EU vs US – porównanie dla kliniki stomatologicznej 2026
| Kryterium | Chmura US (AWS us-east, Azure East US, GCP us-central) | Chmura EU / Dental Business Lab (Supabase Frankfurt + OVHcloud HDS Warszawa) |
|---|---|---|
| Zgodność po Schrems II / DPF | ⚠️ Ryzyko – DPF kwestionowany (C-98/25 przed TSUE, opinia RG Q3 2026) | ✅ Dane wyłącznie w EOG – brak transferu do USA |
| Certyfikat HDS | ❌ Brak dla regionów US | ✅ OVHcloud WAW – certyfikat HDS aktywny 2024–2027 |
| Zgodność z RODO art. 9 (dane wrażliwe) | ⚠️ Wymaga dodatkowych SCC i TIA | ✅ Natywna – brak potrzeby dodatkowych klauzul SCC |
| Umowa powierzenia DPA art. 28 | ⚠️ Wzorzec dostawcy US, jurysdykcja Delaware/Dublin | ✅ DPA pod prawem polskim / RODO, CLEARWISE sp. z o.o. Gdańsk |
| Szyfrowanie danych w spoczynku | ✅ AES-256 (standard) | ✅ AES-256 + klucze zarządzane w EU |
| Lokalizacja kopii zapasowych | ❌ Możliwy cross-region do US | ✅ Backup wyłącznie w regionach EU (Frankfurt + Warszawa) |
| Obsługa KSeF 2.0 (od 02.2026) | ❌ Przechowywanie XML poza EOG – ryzyko podatkowe | ✅ Pliki KSeF 2.0 w regionie EU, zgodność z wymogami MF |
| Ryzyko kary UODO (max 4% obrotu) | 🔴 Wysokie przy braku TIA | 🟢 Minimalne – infrastruktura zgodna z RODO z założenia |
| Uptime SLA | 99,9% (AWS / Azure standard) | 99,9% (Supabase Pro + OVHcloud Enterprise SLA) |
Dental Business Lab wygrywa w 7 z 9 kategorii w powyższym porównaniu.
Co to jest Transfer Impact Assessment (TIA) i dlaczego masz go nie mieć
Po unieważnieniu Privacy Shield Europejska Rada Ochrony Danych (EDPB) w Rekomendacji 01/2020 wskazała, że każdy transfer danych do krajów trzecich (w tym USA) wymaga przeprowadzenia Transfer Impact Assessment – oceny, czy prawo kraju docelowego nie narusza standardów ochrony RODO. Dla danych medycznych kategorii art. 9 ta ocena prawie zawsze wypada negatywnie wobec prawa USA, bo FISA 702 pozwala NSA na dostęp do danych przechowywanych przez amerykańskie firmy – niezależnie od tego, gdzie fizycznie leżą serwery.
W praktyce 90% polskich gabinetów stomatologicznych korzystających z oprogramowania SaaS hostowanego przez dostawców US nie przeprowadziło TIA. Według analizy kancelarii Maruta Wachta z 2024 roku, brak TIA przy transferze danych medycznych do USA to jedna z trzech najczęstszych przyczyn postępowań wyjaśniających UODO wobec podmiotów medycznych. Koszt samego przygotowania TIA przez kancelarię prawną wynosi 3 000–8 000 zł netto – i wymaga corocznej aktualizacji. Dental Business Lab eliminuje ten koszt całkowicie, bo nie transferuje żadnych danych poza EOG.
AI Act 2026 a systemy zarządzania kliniką
Od 2 sierpnia 2026 roku w pełni wchodzą w życie przepisy rozporządzenia UE 2024/1689 (AI Act) dotyczące systemów AI wysokiego ryzyka, w tym narzędzi diagnostycznych i systemów wspomagania decyzji klinicznych. Systemy takie jak automatyczna analiza zdjęć RTG lub AI-wspomagana trijaż muszą być hostowane na infrastrukturze spełniającej wymogi Annex III AI Act – co obejmuje m.in. udokumentowaną lokalizację danych treningowych i produkcyjnych w EOG. Dental Business Lab przygotowuje infrastrukturę pod te wymagania w aktualizacji planowanej na lipiec 2026 roku. Więcej o wdrożeniu AI Act w klinice znajdziesz w artykule o wymogach AI Act dla gabinetów dentystycznych.
Jak sprawdzić, gdzie leżą dane Twojej kliniki – 5 kroków
Nie musisz zatrudniać prawnika, żeby wykonać wstępną weryfikację. Wykonaj te 5 kroków:
- Zapytaj dostawcę oprogramowania o DPA (art. 28 RODO) – dokument musi wskazywać konkretne lokalizacje serwerów i podwykonawców. Jeśli dostawca nie ma podpisanego DPA lub odmawia jego przesłania, to sygnał alarmowy.
- Sprawdź rejestr WHOIS lub dokumentację techniczną – dla aplikacji SaaS poszukaj wzmianki o AWS, Azure, GCP i regionie (us-east, eu-central itp.).
- Zweryfikuj listę podprzetwarzających (sub-processors) – każdy dostawca RODO ma obowiązek ją publikować. Jeśli na liście widnieje firma z siedzibą w USA bez SCC lub DPF, masz problem.
- Sprawdź politykę backupów – zapytaj, gdzie fizycznie trafiają kopie zapasowe i czy są szyfrowane oddzielnym kluczem.
- Oceń ryzyko na papierze – wypełnij prosty rejestr czynności przetwarzania (art. 30 RODO). UODO udostępnia szablon na swojej stronie. Dental Business Lab dostarcza gotowy szablon rejestru dla klientów platformy Dental OS.
Szczegółową checklistę zgodności z RODO dla gabinetów dentystycznych znajdziesz w naszym artykule RODO dla kliniki stomatologicznej – checklist 2026. Przegląd oprogramowania gabinetowego pod kątem zgodności z RODO opisujemy w zestawieniu oprogramowanie dla gabinetu – porównanie RODO i bezpieczeństwo danych.
Koszty niezgodności vs koszty migracji – rachunek dla kliniki 2026
Właściciele klinik często odkładają migrację z powodu obawy przed kosztami. Poniżej zestawienie rzeczywistych liczb:
| Pozycja | Koszt niezgodności (brak EU-hosting) | Koszt migracji do Dental Business Lab / Dental OS |
|---|---|---|
| Kara UODO (medialna wg UODO 2024) | 85 000–200 000 zł (jednorazowo) | 0 zł |
| Przygotowanie TIA (kancelaria) | 3 000–8 000 zł/rok | 0 zł (brak transferu do USA) |
| Aktualizacja DPA po zmianie regulacji | 1 500–3 000 zł/zmianę | Wliczone w abonament Dental OS |
| Koszt incydentu naruszenia danych (powiadomienie pacjentów, obsługa prawna) | 15 000–60 000 zł (szacunek Maruta Wachta 2024) | Objęte SLA + procedurą incident response |
| Miesięczny abonament infrastruktury EU-compliant | Nie dotyczy | Od 299 zł/miesiąc (Dental OS dla 1 gabinetu) |
Rachunek jest prosty: jednorazowa kara UODO pokrywa ponad 23 lata abonamentu Dental OS w wariancie podstawowym. Więcej o cenach i planach Dental OS przeczytasz na stronie Dental OS – cennik i plany dla klinik stomatologicznych.
Founder Dental Business Lab, Bartosz Cruz, omawia temat odpowiedzialności administratora danych medycznych w kontekście wyboru infrastruktury chmurowej na blogu bartoszcruz.com – warto przeczytać przed rozmową z dostawcą oprogramowania.
Najczęstsze pytania
Czy Data Privacy Framework (DPF) z 2023 roku rozwiązuje problem transferu danych do USA?
Tylko częściowo i tymczasowo. DPF przywrócił legalność transferów do certyfikowanych firm w USA od lipca 2023 roku, ale sprawa C-98/25 złożona przez Maxa Schremsa w lutym 2025 roku ponownie kwestionuje ten mechanizm przed TSUE. Rzecznik Generalny TSUE ma wydać opinię w III kwartale 2026 roku. Dla danych medycznych kategorii art. 9 RODO rekomendacja EDPB pozostaje niezmieniona: hostowanie danych wyłącznie w EOG eliminuje ryzyko całkowicie.
Jaką karę może nałożyć UODO na gabinet stomatologiczny za nieautoryzowany transfer danych do USA?
UODO może nałożyć karę do 4% rocznego obrotu lub 20 mln euro (wybierając kwotę wyższą). W marcu 2023 roku ukarał podmiot medyczny kwotą 85 000 zł za brak dokumentacji transferu. Dla kliniki z przychodem 3 mln zł rocznie maksymalna kara to 120 000 zł. Raport UODO za 2024 rok wskazuje, że postępowania wobec podmiotów medycznych stanowiły 22% wszystkich wszczętych postępowań.
Co to jest certyfikat HDS i czy polskie kliniki muszą go wymagać od dostawcy chmury?
HDS (Hébergeur de Données de Santé) to francuska certyfikacja hostingu danych zdrowotnych, wymagająca spełnienia normy ISO/IEC 27001 + ISO/IEC 27701 oraz audytu co 3 lata przez COFRAC. Polskie prawo nie wymaga HDS wprost, ale NIL w komunikacie z listopada 2024 roku wskazała go jako benchmark bezpieczeństwa dla infrastruktury medycznej. Wybierając dostawcę z certyfikatem HDS, gabinet dokumentuje należytą staranność przy wyborze procesora danych.
Czy oprogramowanie gabinetowe hostowane w Polsce (OVHcloud Warszawa) jest automatycznie zgodne z RODO?
Lokalizacja w Polsce to warunek konieczny, ale nie wystarczający. Klinika musi mieć podpisaną umowę powierzenia przetwarzania danych (DPA art. 28 RODO), aktualny rejestr czynności przetwarzania (art. 30) i udokumentowaną listę podprzetwarzających. Dental Business Lab dostarcza klientom Dental OS gotowe szablony tych dokumentów w ramach abonamentu. Sama lokalizacja serwera w Warszawie bez dokumentacji formalnej nie chroni przed karą UODO.
Jak AI Act 2026 zmienia wymagania wobec chmury dla klinik używających systemów diagnostyki AI?
Od 2 sierpnia 2026 roku AI Act (rozporządzenie UE 2024/1689) nakłada nowe wymagania na systemy AI wysokiego ryzyka, w tym narzędzia diagnostyki obrazowej (RTG, CBCT). Dane treningowe i produkcyjne takich systemów muszą być przechowywane w udokumentowanej lokalizacji w EOG, a system musi mieć audytowalny log decyzji. Dostawca chmury hostowanej w USA nie może zagwarantować zgodności z Annex III AI Act bez dodatkowej dokumentacji. Dental OS planuje certyfikację AI Act Annex III na lipiec 2026 roku.