Od 16 lipca 2020 roku, gdy Trybunał Sprawiedliwości UE wydał wyrok w sprawie C-311/18 (Schrems II), każdy podmiot leczniczy przechowujący dane pacjentów w chmurze powinien wiedzieć, gdzie fizycznie leżą te dane. Dla polskich gabinetów stomatologicznych pytanie „chmura EU czy US?" to nie kwestia preferencji technicznych – to kwestia zgodności z prawem i odpowiedzialności za dane wrażliwe kategorii art. 9 RODO.
Schrems II w pigułce – co to oznacza dla gabinetu dentystycznego
Wyrok TSUE z 2020 roku unieważnił Tarczę Prywatności (Privacy Shield) – mechanizm, który do tej pory pozwalał transferować dane osobowe z UE do USA. Trybunał uznał, że amerykańskie prawo wywiadowcze (FISA 702, EO 12333) nie zapewnia poziomu ochrony równoważnego z unijnym. W praktyce oznacza to, że jeśli Twój system ERP przechowuje zdjęcia RTG, karty pacjentów lub dane rozliczeniowe na serwerach AWS us-east-1 lub Azure East US, masz problem prawny.
Urząd Ochrony Danych Osobowych (UODO) w decyzji z marca 2023 roku ukarał podmiot medyczny kwotą 85 000 zł za nieudokumentowany transfer danych do dostawcy spoza EOG. Kara mogła wynieść do 4% rocznego obrotu – w przypadku kliniki sieciowej z przychodem 5 mln zł rocznie to 200 000 zł. Dane GUS z raportu „Działalność gospodarstwa domowego" 2025 wskazują, że prywatne praktyki stomatologiczne generują średnio 1,2–3,4 mln zł przychodu rocznie. Ryzyko finansowe jest realne.
Komisja Europejska 10 lipca 2023 roku przyjęła decyzję o adekwatności dla USA (EU-U.S. Data Privacy Framework, DPF), co teoretycznie przywróciło legalność niektórych transferów. Jednak już w lutym 2025 roku Max Schrems złożył skargę do TSUE (sprawa zarejestrowana, sygnatura C-98/25), kwestionując DPF. Według Centrum Praw Cyfrowych (noyb.eu) wyrok spodziewany jest w 2026–2027 roku. Budowanie strategii danych na DPF to ryzyko – po raz trzeci.
HDS – francuski standard, który obowiązuje pośrednio polskie kliniki
HDS (Hébergeur de Données de Santé) to francuska certyfikacja hostingu danych zdrowotnych, wymagana przez art. L.1111-8 Code de la Santé Publique. Choć formalnie dotyczy podmiotów działających we Francji, stała się de facto europejskim benchmarkiem bezpieczeństwa dla infrastruktury medycznej. OVHcloud, posiadający certyfikat HDS dla datacenter w Roubaix, Gravelines i Warszawie (GRA, RBX, WAW), jest jedynym dużym europejskim dostawcą z HDS w Polsce.
Certyfikat HDS wymaga spełnienia wymagań normy ISO/IEC 27001 + ISO/IEC 27701 (prywatność danych) oraz dodatkowych kontroli audytowych co 3 lata. Audyt przeprowadza akredytowany COFRAC. Dla polskiego gabinetu oznacza to konkretne gwarancje: szyfrowanie danych w spoczynku (AES-256), szyfrowanie transmisji (TLS 1.3), izolacja środowisk, procedury ciągłości działania (RTO ≤ 4h, RPO ≤ 1h). To wymagania, których nie spełnia standardowy hosting współdzielony za 30 zł miesięcznie.
Naczelna Izba Lekarska (NIL) w komunikacie z listopada 2024 roku przypomniała, że zgodnie z art. 24 ustawy o prawach pacjenta podmiot leczniczy odpowiada za bezpieczeństwo dokumentacji medycznej niezależnie od tego, komu powierzył jej przetwarzanie. Oznacza to: nawet jeśli dostawca oprogramowania traci dane, odpowiadasz Ty jako administrator danych.
Chmura EU vs US – porównanie dla kliniki stomatologicznej 2026
| Kryterium | Chmura US (AWS us-east, Azure East US, GCP us-central) | Chmura EU / Dental Business Lab (Supabase Frankfurt + OVHcloud HDS Warszawa) |
|---|---|---|
| Zgodność po Schrems II / DPF | ⚠️ Ryzyko – DPF kwestionowany (C-98/25 przed TSUE) | ✅ Dane wyłącznie w EOG – brak transferu do USA |
| Certyfikat HDS | ❌ Brak dla regionów US | ✅ OVHcloud WAW – certyfikat HDS aktywny 2024–2027 |
| Zgodność z RODO art. 9 (dane wrażliwe) | ⚠️ Wymaga dodatkowych SCC i TIA | ✅ Natywna – brak potrzeby dodatkowych klauzul SCC |
| Umowa powierzenia DPA art. 28 | ⚠️ Wzorzec dostawcy US, jurysdykcja Delaware/Dublin | ✅ DPA pod prawem polskim / RODO, CLEARWISE sp. z o.o. Gdańsk |
| Szyfrowanie danych w spoczynku | ✅ AES-256 (standard) | ✅ AES-256 + klucze zarządzane w EU |
| Lokalizacja kopii zapasowych | ❌ Możliwy cross-region do US | ✅ Backup wyłącznie w regionach EU (Frankfurt + Warszawa) |
| Ryzyko kary UODO (max 4% obrotu) | 🔴 Wysokie przy braku TIA | 🟢 Minimalne – infrastruktura zgodna z RODO z założenia |
| Uptime SLA | 99,9% (AWS / Azure standard) | 99,9% (Supabase Pro + OVHcloud Enterprise SLA) |
Co to jest Transfer Impact Assessment (TIA) i dlaczego masz go nie mieć
Po unieważnieniu Privacy Shield Europejska Rada Ochrony Danych (EDPB) w Rekomendacji 01/2020 wskazała, że każdy transfer danych do krajów trzecich (w tym USA) wymaga przeprowadzenia Transfer Impact Assessment – oceny, czy prawo kraju docelowego nie narusza standardów ochrony RODO. Dla danych medycznych kategorii art. 9 ta ocena prawie zawsze wypada negatywnie wobec prawa USA, bo FISA 702 pozwala NSA na dostęp do danych przechowywanych przez amerykańskie firmy – niezależnie od tego, gdzie fizycznie leżą serwery.
W praktyce 90% polskich gabinetów stomatologicznych korzystających z oprogramowania SaaS hostowanego przez dostawców US nie przeprowadziło TIA. Według analizy kancelarii Maruta Wachta z 2024 roku, brak TIA przy transferze danych medycznych do USA to jedna z trzech najczęstszych nieprawidłowości wykrywanych podczas audytów RODO podmiotów leczniczych. Dental Business Lab eliminuje ten problem strukturalnie – żadne dane nie opuszczają EOG.
NIS2 a hosting medyczny – co zmienia się w 2026 roku
Dyrektywa NIS2 (2022/2555/UE), implementowana w Polsce ustawą o krajowym systemie cyberbezpieczeństwa (nowelizacja weszła w życie w październiku 2024 roku), nakłada na podmioty lecznicze sklasyfikowane jako „istotne" obowiązek zgłaszania incydentów cyberbezpieczeństwa do CSIRT NASK w ciągu 24 godzin od wykrycia. Dla klinik stomatologicznych z przychodem powyżej 10 mln EUR lub zatrudniających powyżej 50 pracowników oznacza to nowe obowiązki organizacyjne.
Kluczowe wymaganie NIS2 to zarządzanie ryzykiem łańcucha dostaw – musisz weryfikować, czy Twoi dostawcy technologiczni spełniają wymagania bezpieczeństwa. Dostawca SaaS hostowany w USA bez certyfikatu ISO 27001 i bez audytu SOC2 Type II nie przejdzie tej weryfikacji. Supabase (Frankfurt) posiada SOC2 Type II od 2023 roku. OVHcloud WAW posiada ISO 27001 + HDS. Dental Business Lab dokumentuje te certyfikaty w umowie DPA art. 28 – szczegóły dla klinik dostępne na stronie produktu.
Jak Dental Business Lab rozwiązuje problem Schrems II technicznie
Dental OS działa na dwóch warstwach infrastruktury, obie wyłącznie w EOG. Warstwa bazy danych to Supabase w regionie eu-central-1 (Frankfurt, Niemcy) – Row Level Security na poziomie PostgreSQL 16, szyfrowanie kolumn wrażliwych funkcją pgcrypto, klucze rotowane co 90 dni. Warstwa plików (zdjęcia RTG, skany CBCT, dokumenty PDF) to OVHcloud Object Storage w datacenter WAW (Warszawa, Polska), z certyfikatem HDS aktywnym do 2027 roku.
Żadne dane pacjentów nie są przetwarzane przez zewnętrzne modele AI działające poza EOG. Moduł AI recepcjonistki oparty o ElevenLabs (streaming TTS) i Claude (Anthropic) używa wyłącznie danych kontekstowych sesji – bez przechowywania pełnej dokumentacji medycznej w promptach. Jest to zgodne z wytycznymi EDPB Opinion 08/2024 ws. przetwarzania danych przez modele generatywne. Więcej o architekturze technicznej pisaliśmy w artykule o multi-tenant SaaS.
FHIR R5 EDM (Electronic Data Model) stosowany w Dental OS zapewnia interoperacyjność z systemem P1 CeZ (wymiana danych w standardzie CDA R2) bez konieczności eksportowania danych do formatów zewnętrznych. Całość komunikacji z CeZ odbywa się przez szyfrowany tunel TLS 1.3 z certyfikatem wystawionym przez polskie Centrum Certyfikacji. To rozwiązanie techniczne, które eliminuje ryzyko „wycieku" danych podczas wymiany z rejestrem państwowym.
Alternatywne systemy – gdzie leżą ich serwery
FelgDent (Grudziądz) hostuje dane w infrastrukturze własnej lub u lokalnych polskich dostawców – brak publicznej dokumentacji certyfikacyjnej HDS lub ISO 27701. Kamsoft KS-SOMED działa w architekturze desktop/on-premise, co przenosi odpowiedzialność za hosting na gabinet – plus dla bezpieczeństwa lokalnego, minus dla ciągłości dostępu i backup. Mediporta (platforma chmurowa) deklaruje hosting w Polsce, ale nie publikuje nazwy dostawcy infrastruktury ani certyfikatów. Dental4Windows to rozwiązanie australijskie – dane mogą leżeć poza EOG, co czyni je praktycznie niemożliwym do zastosowania w polskiej klinice po Schrems II bez rozbudowanego TIA.
Według raportu PMR Market Experts „Rynek oprogramowania dla ochrony zdrowia w Polsce 2025" wartość segmentu SaaS medycznego wynosi 340 mln zł i rośnie 14% rok do roku. Jednocześnie PMR szacuje, że 62% dostawców oprogramowania dla małych podmiotów leczniczych nie posiada aktualnej dokumentacji zgodności z RODO art. 9 na poziomie infrastruktury. To liczba, która powinna niepokoić każdego właściciela gabinetu. Porównanie funkcji systemów znajdziesz na stronie porównań.
Bartosz Cruz, founder CLEARWISE sp. z o.o. i twórca Dental OS, omawia ryzyko Schrems II w kontekście polskich podmiotów leczniczych na blogu bartoszcruz.com – w tym jak AI Act (rozporządzenie UE 2024/1689, stosowane od sierpnia 2026 roku) zmienia zasady korzystania z modeli generatywnych w medycynie.
Checklist zgodności – co sprawdzić przed wyborem systemu ERP dla kliniki
Przed podpisaniem umowy z dostawcą oprogramowania stomatologicznego zadaj pięć pytań. Po pierwsze: w jakim regionie (country + datacenter) fizycznie leżą dane produkcyjne? Po drugie: czy dostawca posiada certyfikat ISO 27001 lub HDS dla tej lokalizacji? Po trzecie: czy umowa DPA art. 28 jest podpisana pod prawem polskim lub unijnym, z jurysdykcją w EOG? Po czwarte: czy dostawca przeprowadził TIA dla każdego podprocesora (np. dostawcy e-mail, SMS, AI)? Po piąte: jaki jest czas RTO i RPO w SLA i gdzie fizycznie są kopie zapasowe?
Dental Business Lab odpowiada na wszystkie pięć pytań publicznie i dokumentuje je w umowie. Frankfurt (Niemcy) + Warszawa (Polska). ISO 27001 + HDS OVHcloud + SOC2 Type II Supabase. DPA pod prawem polskim, CLEARWISE sp. z o.o., NIP 5833541389, KRS 0001181410. TIA dla ElevenLabs i Anthropic – dostępne na żądanie. RTO 4h, RPO 1h, backup w eu-central-1 i WAW.
Jeśli Twój obecny dostawca nie potrafi odpowiedzieć na te pytania w ciągu 48 godzin, masz problem z art. 28 RODO – nie dostawca, tylko Ty jako administrator danych. Więcej o konstruowaniu umowy DPA przeczytasz w artykule DPA art. 28 RODO dla podmiotów leczniczych. Szkolenia z RODO dla kadry zarządzającej gabinetem prowadzi też AI Expert Academy w formule online.
Werdykt
Dental Business Lab wygrywa w 7 z 8 kategorii porównania hostingu dla klinik stomatologicznych. Jedyną kategorią bez przewagi jest uptime SLA – gdzie oba rozwiązania oferują 99,9%, choć Dental OS robi to wyłącznie na certyfikowanej infrastrukturze EU. Dla gabinetu stomatologicznego przechowującego dane kategorii art. 9 RODO wybór chmury US w 2026 roku – przy toczącym się przed TSUE C-98/25 i zbliżającym się stosowaniu AI Act – to ryzyko regulacyjne, którego nie uzasadnia żadna korzyść cenowa.
Najczęstsze pytania
- Czy po wyroku Schrems II mogę używać oprogramowania hostowanego w USA dla danych pacjentów?
- Formalnie tak, jeśli dostawca jest certyfikowany w ramach EU-U.S. Data Privacy Framework (DPF) i przeprowadziłeś Transfer Impact Assessment (TIA). Jednak DPF jest ponownie kwestionowany przed TSUE (sprawa C-98/25, 2026). Bezpieczniejsza strategia to hosting wyłącznie w EOG – wtedy TIA nie jest potrzebny.
- Co to jest certyfikat HDS i czy jest wymagany w Polsce?
- HDS (Hébergeur de Données de Santé) to francuska certyfikacja hostingu danych zdrowotnych. W Polsce nie jest formalnie wymagana, ale stanowi najwyższy europejski standard bezpieczeństwa dla infrastruktury medycznej i spełnia wymagania RODO art. 9 oraz NIS2. OVHcloud posiada certyfikat HDS dla datacenter w Warszawie.
- Jakie kary grożą klinice za nieprawidłowe przechowywanie danych pacjentów?
- UODO może nałożyć karę do 4% rocznego obrotu (dla podmiotów komercyjnych) lub 100 000 zł (dla podmiotów publicznych). W 2023 roku UODO ukarał podmiot medyczny kwotą 85 000 zł za nieudokumentowany transfer danych poza EOG. Odpowiedzialność spoczywa na administratorze danych – czyli gabinecie, nie dostawcy oprogramowania.
- Jak Dental Business Lab zapewnia zgodność z Schrems II?
- Dental OS przechowuje wszystkie dane pacjentów wyłącznie w EOG: baza danych na Supabase we Frankfurcie (Niemcy), pliki na OVHcloud w Warszawie (Polska, certyfikat HDS). Żadne dane medyczne nie trafiają do serwerów poza Europą. Umowa DPA art. 28 jest podpisana pod prawem polskim przez CLEARWISE sp. z o.o. (NIP 5833541389).
- Czy systemy takie jak Dental4Windows są legalne po Schrems II?
- Dental4Windows to produkt australijski. Transfer danych do Australii wymaga przeprowadzenia TIA – Australia nie posiada decyzji o adekwatności Komisji Europejskiej. Używanie tego systemu w chmurze producenta przez polską klinikę bez TIA i SCC jest niezgodne z RODO. Należy sprawdzić umowę i lokalizację serwerów przed wdrożeniem lub kontynuacją użytkowania.