Zgody RODO pacjenta

Cała ścieżka zbierania zgód RODO od pacjenta jest w pełni cyfrowa: jako specjalista wysyłasz pacjentowi e-mail z linkiem, pacjent w przeglądarce wypełnia formularz i składa podpis (na komputerze myszą, na telefonie palcem, albo przez handoff QR — zacznij na komputerze, podpisz na telefonie). System generuje PDF zgody z metadanymi dowodowymi (m.in. IP, kraj, czas, hash dokumentu) i wysyła kopię pacjentowi.

Skąd biorą się zgody RODO?

Każdy specjalista — jako administrator danych swoich pacjentów — musi mieć udokumentowaną zgodę pacjenta na przetwarzanie jego danych (RODO art. 7). MIND robi to za Ciebie:

1. Szablon zgód — przy pierwszym wejściu w Konfiguracja → Praktyka → Zgody RODO aplikacja generuje 8 standardowych klauzul (4 wymagane + 4 opcjonalne)
2. Wysyłka prośby — z poziomu Patient Insight klikasz „Wyślij prośbę o zgody”; pacjent dostaje e-mail z linkiem
3. Podpis pacjenta — pacjent przechodzi przez kreator (dane → klauzule → podpis → potwierdzenie)
4. PDF do dokumentacji — Ty masz dostęp do PDF z poziomu Patient Insight, pacjent dostaje kopię na e-mail

Konfiguracja szablonu zgód (jednorazowo)

Wejdź w Konfiguracja → Praktyka → Zgody RODO.

Domyślne klauzule (auto-generowane)

#	Klauzula	Typ
1	Przetwarzanie danych osobowych w celu realizacji usługi	Wymagana
2	Prowadzenie dokumentacji medycznej	Wymagana
3	Zachowanie tajemnicy zawodowej	Wymagana
4	Przechowywanie danych	Wymagana
5	Komunikacja w sprawie wizyt (SMS, e-mail, telefon, AI)	Opcjonalna
6	Wsparcie AI w prowadzeniu notatek z sesji	Opcjonalna
7	Materiały edukacyjne i marketingowe	Opcjonalna
8	Badania naukowe (dane anonimowe)	Opcjonalna

Każda klauzula zawiera: tytuł, treść (Markdown), podstawę prawną, czas retencji, listę odbiorców danych.

Co możesz zrobić z klauzulami

• ✏️ Edytować — ikona ołówka otwiera edytor Markdown z podglądem
• 🔄 Zmienić kolejność — drag & drop za uchwyt (≡)
• ➕ Dodać własną — przycisk „Dodaj klauzulę”, wybierasz typ (wymagana / opcjonalna)
• 🗑️ Usunąć — z confirm dialogiem (nie da się usunąć ostatniej wymaganej)
• 🔁 Załadować domyślne — przywraca aktualne brzmienia MIND i bumpuje wersję szablonu

Wersjonowanie szablonu

Każda zmiana w szablonie automatycznie tworzy nową wersję (v1 → v2 → v3…). Pacjenci, którzy podpisali poprzednią wersję, są oznaczani jako „zgody wymagają odświeżenia” (status outdated) — w Patient Insight widać żółtą ikonkę i możesz im wysłać nową prośbę o zgody.

Dane administratora danych

Pola „Administrator danych” (nazwa + adres + e-mail RODO) trafiają do każdego PDF zgody, do nagłówka i sekcji administratora. Uzupełnij je raz — to wymagana informacja z RODO art. 13.

Wysyłanie prośby o zgody

Z poziomu Patient Insight (klikasz pacjenta na liście):

W sidebarze pokazuje się karta „Zgody RODO” z aktualnym statusem:

Status	Co oznacza	Działanie
🛡️ Zgody RODO podpisane	Pacjent podpisał aktualną wersję	Pobierz PDF / Wycofaj zgodę
⚠️ Zgody wymagają odświeżenia	Pacjent ma starszą wersję — zaktualizowałeś szablon	„Wyślij nową wersję” / Pobierz PDF / Wycofaj
📧 Oczekuje na podpis	Wysłałeś link, pacjent jeszcze nie wypełnił	„Wyślij ponownie”
⊘ Zgoda wycofana	Pacjent wycofał zgodę (Ty zarejestrowałeś)	„Wyślij nową prośbę”
ℹ️ Brak zgód RODO	Pacjent nigdy nie dostał prośby	„Wyślij prośbę o zgody”

Kliknięcie przycisku otwiera potwierdzenie, a po zatwierdzeniu — pacjent dostaje e-mail z gradientowym przyciskiem „Wypełnij zgody RODO” prowadzącym do indywidualnego linka.

Tip

Link jest jednorazowy i ważny 30 dni. Jeśli wygaśnie — po prostu wyślij prośbę ponownie.

Pacjent musi mieć e-mail

Bez zapisanego e-maila pacjenta przycisk „Wyślij prośbę” jest nieaktywny — pokazuje się wtedy żółty banner: „Pacjent nie ma zapisanego e-maila — nie można wysłać linka.” Dodaj e-mail w profilu pacjenta i ponów próbę.

Co widzi pacjent

Po kliknięciu w link mind.synapsa.app/consent/{token} pacjent ląduje na ciemnej stronie z brandingiem Twojego gabinetu (nazwa + logo) i przechodzi przez 4 etapy:

Etap 1 — Dane osobowe

• Imię i nazwisko (wymagane)
• PESEL z walidacją sumy kontrolnej — lub fallback data urodzenia dla cudzoziemców/małoletnich
• Adres zamieszkania (opcjonalnie)
• Telefon, e-mail
• Opiekun prawny (jeśli dotyczy małoletnich)

Etap 2 — Klauzule RODO

Lista klauzul z checkboxami. Wymagane są wyróżnione badge „WYMAGANE” — bez ich zaznaczenia pacjent nie przejdzie dalej. Opcjonalne może zaznaczyć dowolnie.

Na górze listy jest przycisk „Zaznacz wszystkie zgody” — szybki wybór dla pacjentów, którzy akceptują cały zestaw.

Etap 3 — Podpis elektroniczny

Pacjent wybiera gdzie podpisze:

Opcja A — „Tutaj” (na bieżącym ekranie)

Rysuje podpis myszą (komputer) lub palcem (telefon/tablet) na białym polu z linią bazową i znacznikiem „X”. Można wyczyścić i narysować ponownie.

Opcja B — „Na telefonie (QR)”

Aplikacja generuje kod QR z indywidualnym 15-minutowym linkiem. Pacjent skanuje kod aparatem telefonu, otwiera link na mind.synapsa.app/sign/{token}, rysuje podpis palcem na większej, wygodnej kanwie, klika „Podpisz i wyślij”.

Komputer w tym czasie sprawdza co 2 sekundy stan podpisu — gdy pojawi się, pokazuje zielony preview „Podpis odebrany z telefonu” i automatycznie aktywuje przycisk „Podpisuję i wysyłam”.

Po co QR?

Pacjent, który przyszedł na pierwszą wizytę i ma do podpisania zgody na laptopie w gabinecie — myszą trudno narysować czytelny podpis. Skanuje QR, łapie własny telefon, podpisuje palcem (jak na poczcie/u kuriera), wraca do laptopa.

Etap 4 — Potwierdzenie

Zielony ✓, info o e-mailu z PDF („Kopia PDF została wysłana na e-mail…”), ID dokumentu (unikalny identyfikator zgody), informacja o możliwości wycofania zgody w przyszłości.

PDF zgody — co zawiera

PDF generowany jest po podpisie (server-side, jednolity layout) i zapisywany w prywatnym storage. Zawartość:

1. Nagłówek — „Zgody RODO i informacje o przetwarzaniu danych osobowych” + nazwa gabinetu
2. Dane osoby wyrażającej zgodę — imię, nazwisko, PESEL/data urodzenia, adres, kontakt, opiekun prawny
3. Administrator danych — nazwa, adres, e-mail RODO (z ustawień szablonu)
4. Wszystkie klauzule — z odpowiedzią pacjenta:
   • ✓ AKCEPTUJĘ (zielony) — zgoda wyrażona
   • ✗ ODMAWIAM (czerwony) — zgoda opcjonalna nie wyrażona
5. Podpis elektroniczny — obraz podpisu, data, ID dokumentu, wersja szablonu
6. Metadane techniczne (sekcja dowodowa) — patrz niżej
7. Stopka — disclaimer że to nie eIDAS-quallified signature, ale spełnia art. 7 RODO

Sekcja „Metadane techniczne procesu wyrażenia zgody”

Dla celów dowodowych (RODO art. 7 wymaga możliwości udowodnienia, że pacjent wyraził zgodę) PDF zawiera tabelę z:

Pole	Co zawiera	Po co?
Adres IP	Pełne IP pacjenta w momencie podpisu	Dowód lokalizacji sieciowej
Lokalizacja (IP)	Miasto, region, kraj z geolokacji IP	Weryfikacja kraju podpisu
Urządzenie podpisu	desktop lub mobile-handoff	Czy podpis przez QR, czy bezpośrednio
Rodzaj wskaźnika	mouse / touch / stylus	Dowód że ktoś realnie rysował
System / platforma	OS pacjenta (z navigator.platform)	Identyfikacja urządzenia
Język przeglądarki	np. pl-PL	Lokalizacja preferencji
Ekran / Viewport	Rozdzielczość ekranu i okna	Charakterystyka urządzenia
Strefa czasowa	UTC offset (np. UTC+02:00)	Weryfikacja czasu lokalnego
Czas wypełniania	Sekundy od otwarcia formularza do submit	Dowód że pacjent przeczytał
Czas rysowania podpisu	Sekundy od pierwszego do ostatniego pociągnięcia	Anty-bot
Liczba pociągnięć	Ile odrębnych linii w podpisie	Anty-bot
User-Agent	Pełny UA przeglądarki	Identyfikacja browsera
Hash treści (SHA-256)	Hash treści klauzul + wersji + administratora	Dowód że ta konkretna treść została pacjentowi pokazana
Hash obrazu podpisu (SHA-256)	Hash pliku PNG podpisu	Dowód że podpis nie został później zmieniony

Dwa hashe na końcu są kluczowe — pozwalają udowodnić integralność dokumentu i podpisu w razie sporu.

Gdy pacjent użył QR handoff

Jeśli pacjent podpisał na telefonie (przez kod QR), tabela rozszerza się o dodatkowe wiersze: „Adres IP (telefon — podpis)”, „Kraj telefonu (IP)”, „System telefonu”, „Ekran telefonu”, „Wskaźnik (telefon)”, „Liczba pociągnięć (telefon)”, „User-Agent (telefon)”. Dzięki temu masz pełen dwustronny dowód — co działo się na komputerze (formularz) i co na telefonie (podpis).

Pobieranie i archiwizacja PDF

W Patient Insight → karta „Zgody RODO” dla pacjentów z podpisanymi zgodami pojawia się przycisk „Pobierz PDF”. Kliknięcie otwiera PDF w nowej zakładce (signed URL ważny 60 minut).

PDF jest też wysyłany do pacjenta jako załącznik do e-maila „Zgody RODO podpisane” zaraz po podpisie.

Tip

PDF przechowywany jest w prywatnym storage Twojego konta — nikt poza Tobą i pacjentem (przez kopię w e-mailu) nie ma do niego dostępu.

Dashboard — przypomnienie o zgodach

Na Dashboardzie (gdy są pacjenci wymagający akcji) wyświetla się żółty banner:

⚠️ X pacjentów wymaga zgód RODO 2 oczekuje na podpis • 3 z nieaktualną wersją: Jan Kowalski, Anna Nowak, Piotr Wiśniewski + 2 więcej [Zobacz pacjentów →]

Klik prowadzi do listy pacjentów, gdzie obok imienia każdego widać małą ikonkę statusu RODO (zielona tarcza / niebieska koperta / szara informacja). Tooltip wyjaśnia co dany kolor oznacza.

Bezpieczeństwo i prywatność

• ✅ Link jednorazowy — po podpisie token jest oznaczany jako użyty, dalsze próby zwracają błąd
• ✅ TTL 30 dni — niewykorzystany link wygasa, trzeba wysłać nowy
• ✅ TTL 15 min dla handoff QR — krótszy, bo flow jest natychmiastowy
• ✅ PDF prywatny — tylko Ty i pacjent (przez kopię w e-mailu) mają dostęp
• ✅ Audit log w consents_audit_log (RODO art. 30) zapisuje każdą akcję
• ✅ Hashing treści i podpisu — dowód integralności
• ✅ Brak fingerprintingu — zbieramy tylko podstawowe dane, które przeglądarka i tak ujawnia przy każdym requeście

Wycofanie zgody (RODO art. 7 ust. 3)

Zgodnie z RODO pacjent ma prawo wycofać zgodę w dowolnym momencie. Pacjent kontaktuje się z Tobą (e-mail, telefon, wizyta) — Ty jako administrator rejestrujesz wycofanie w systemie.

Jak to zrobić:

1. Otwórz Patient Insight pacjenta
2. W karcie „Zgody RODO” (przy statusie signed lub outdated) kliknij „Wycofaj zgodę”
3. W dialogu podaj powód wycofania (opcjonalne pole, np. „pacjent prosił o wycofanie e-mailem 12.05.2026”) — przydatne do audytu
4. Checkbox „Wyślij pacjentowi e-mail z potwierdzeniem wycofania” — domyślnie zaznaczony
5. Klik „Wycofaj zgodę” — czerwony przycisk

Co się dzieje:

• Status pacjenta zmienia się na „Zgoda wycofana” (czerwony znak ⊘)
• Wycofanie jest zapisane w audit log (consents_audit_log, RODO art. 30) z datą, terapeutą i powodem
• Pacjent (jeśli notyfikacja włączona) dostaje e-mail z potwierdzeniem: tytuł „Zgoda RODO wycofana — [nazwa gabinetu]”, ID dokumentu, ewentualny powód
• Ikona w liście pacjentów zmienia się na czerwone ⊘

Po wycofaniu:

• W razie potrzeby kontynuowania współpracy wymagającej zgody — wyślij nową prośbę o zgody (przycisk wraca po wycofaniu)
• Pacjent może podpisać nową wersję zgód, status wraca do signed
• Pierwotny PDF i dane zgody pozostają w systemie (RODO art. 17 ust. 3 lit. b — dokumentacja medyczna ma obowiązkową retencję, nie kasujemy historii)

Caution

Wycofanie zgody nie kasuje danych pacjenta ani dokumentacji medycznej. Wpływa tylko na te przetwarzania, które opierały się na wycofanej zgodzie (np. po wycofaniu zgody na nagrywanie sesji — nie nagrywasz dalej, ale stare nagrania zostają w dokumentacji jeśli wymaga tego prawo).

Regeneracja PDF

Czasem może być potrzeba ponownego wygenerowania PDF (np. po poprawce bugu w generatorze, uszkodzony plik). Każda zgoda od maja 2026 ma zapisany snapshot klauzul (treść w momencie podpisu) oraz raw signature w Storage — pozwala to odtworzyć PDF jeden do jednego, bez prośby pacjenta o ponowne podpisanie.

Funkcja regeneracji wywoływana po stronie technicznej (CF regenerate_consent_pdf). UI w aplikacji pojawi się w razie potrzeby.

Tip

Zgody podpisane przed majem 2026 nie mają snapshotu — nie można ich automatycznie zregenerować. Jeśli masz uszkodzony PDF z tego okresu — najlepiej poproś pacjenta o ponowne podpisanie.

Czego MIND nie robi (ograniczenia)

• ❌ eIDAS qualified signature — to nie jest kwalifikowany podpis elektroniczny w rozumieniu eIDAS. To zwykły e-podpis (oświadczenie woli) zgodny z RODO art. 7. Wystarczający do większości zastosowań w terapii, ale jeśli potrzebujesz qualified signature (np. dla niektórych umów zdrowotnych) — musisz użyć osobnego rozwiązania (mSzafir, eDokumenta).
• ❌ Weryfikacja tożsamości pacjenta — nie sprawdzamy, czy podpisał faktycznie ten pacjent. PESEL jest walidowany checksum-em, ale nie konfrontowany z bazą państwową. W praktyce — jak każde oświadczenie woli, podpisujący odpowiada za prawdziwość danych.
• ❌ Self-service wycofania przez pacjenta z poziomu MIND — pacjent obecnie musi skontaktować się z Tobą jako administratorem. Funkcja samodzielnego wycofania przez link planowana w przyszłości.

Powiązane

• Konfiguracja profilu — uzupełnij dane administratora przed wysyłką zgód
• Profil pacjenta (360°) — gdzie zarządzasz zgodami konkretnego pacjenta
• RODO i prawa pacjenta — pełna dokumentacja RODO i Twoich obowiązków