Co dokładnie dostaję za 999 zł na start?

Jednorazowo 999 zł (brutto, 812,20 zł netto + VAT) i dostajesz komplet na wejście: (1) portal klienta z pełną dokumentacją RODO, (2) komplet gotowych dokumentów PDF z Twoimi danymi (Polityka Prywatności, Rejestr Czynności Przetwarzania, Polityka Bezpieczeństwa, klauzule dla pacjentów, pracowników, kontrahentów, rodziców małych pacjentów, monitoring CCTV jeśli masz) + „Komplet do segregatora" (jeden PDF ze spisem treści), (3) badge „RODO pod kontrolą". To Twój komplet startowy — bez zobowiązań abonamentowych. Aktualizacje przy zmianach prawa i obsługę eksperta dokupujesz w abonamencie.

Czym różni się abonament Utrzymanie (199 zł/mc) od Opieki (549 zł/mc)?

UTRZYMANIE (199 zł/mc) to sam software „żywego stanu": Twoje dokumenty są aktualizowane przy zmianach w prawie (robimy to za Ciebie), masz wskaźnik kondycji RODO, niezmienialny dziennik zgodności, terminarz obowiązków z przypomnieniami i paczkę dowodową na kontrolę UODO jednym kliknięciem. OPIEKA (549 zł/mc) to wszystko z Utrzymania PLUS człowiek: ekspert RODO do 2 godzin konsultacji w miesiącu (email/portal, SLA 24h) i pomoc przy incydentach.

Czy abonament jest obowiązkowy? Mogę zostać na samym starcie za 999 zł?

Abonament jest opcjonalny — po opłacie 999 zł komplet dokumentów jest Twój i zostaje w portalu. ALE RODO nie jest jednorazowe: co rok zmieniają się klauzule, wchodzą nowe wytyczne UODO, dodajesz usługę i dokumenty trzeba zaktualizować. Bez abonamentu Twój komplet z czasem się dezaktualizuje. Abonament (od 199 zł/mc) to różnica między „segregatorem w szufladzie" a żywą, aktualną dokumentacją.

Skąd wiem, czy jestem „praktyką zawodową", czy „podmiotem leczniczym"?

To zależy od formy prawnej, w jakiej działasz — nie od kontraktu z NFZ. Praktyka zawodowa to indywidualna lub grupowa praktyka (lekarska, pielęgniarska, fizjoterapeutyczna itp.) wpisana do rejestru praktyk. Podmiot leczniczy to wpis do RPWDL jako podmiot leczniczy (przychodnia, klinika, centrum medyczne). Status decyduje przede wszystkim o obowiązku formalnego IOD.

Czy muszę mieć formalnego Inspektora Ochrony Danych (IOD)?

Formalny obowiązek IOD wynika z art. 37 RODO — gdy główna działalność polega na przetwarzaniu danych o zdrowiu „na dużą skalę". W praktyce: podmioty lecznicze (przychodnie, kliniki) zwykle ten obowiązek mają, a indywidualne praktyki zawodowe zwykle nie. Bez obowiązku wystarczy tor praktyki zawodowej (komplet dokumentów + abonament). Jako podmiot leczniczy potrzebujący formalnego Inspektora zgłoszonego do UODO — tor „Podmiot leczniczy", wycena indywidualna.

Co jeśli zatrudnię pracownika lub zmienię adres?

Logujesz się do portalu, edytujesz dane (zaznaczasz „mam pracownika" lub zmieniasz adres), klikasz „Regeneruj dokumenty" — komplet z nowymi danymi gotowy w ~30 sekund. W torze praktyki zawodowej robisz to sam; jako podmiot leczniczy Inspektor sprawdza i potwierdza, czy customizacja klauzul jest zgodna.

Co jeśli UODO przyjedzie na kontrolę?

Z aktywnym abonamentem masz aktualną dokumentację, niezmienialny dziennik działań i paczkę dowodową gotową do okazania jednym kliknięciem — fundamentalne minimum, które chce zobaczyć kontroler. Jako podmiot leczniczy z formalnym IOD dochodzi wsparcie: dzwonisz do Inspektora, łączymy się zdalnie lub przyjeżdżamy, pomagamy przygotować odpowiedzi dla urzędu (administratorem pozostajesz Ty).

Czy mogę zrezygnować z abonamentu w każdej chwili?

Tak — rezygnujesz z abonamentu kiedy chcesz, bez wypowiedzeń i kar, z końcem opłaconego okresu. Opłata startowa 999 zł jest jednorazowa i nie wraca przy rezygnacji (pokrywa przygotowanie pełnej dokumentacji, którą zachowujesz). Po rezygnacji z abonamentu Twój komplet dokumentów zostaje — tracisz tylko aktualizacje, żywy stan i obsługę eksperta.

Ile to faktycznie trwa od zapisu do gotowych dokumentów?

Od wpisania NIP → płatność → ankieta do pobrania pierwszego PDF: ~30 minut. Większość czasu to ankieta (kilka pytań, ~5 minut). Generacja kompletu PDF to ~30 sekund. Przypisanie do konta i weryfikacja danych odbywają się tego samego dnia roboczego.

Czy moje dane są bezpieczne?

Tak. Aplikacja działa na infrastrukturze w UE, dane szyfrowane SSL, baza z Row Level Security (klient widzi tylko swoje dane — nawet my widzimy Twoje dane tylko gdy nam pozwolisz przez portal). Polityka Prywatności moje-rodo.pl + Regulamin opisują wszystko szczegółowo.

Poradnik RODO

Czy lekarz musi mieć Inspektora Ochrony Danych (IOD)?

Aktualizacja: 2026-06-16

TL;DR: Pojedynczy lekarz prowadzący własny gabinet zwykle nie ma obowiązku wyznaczenia Inspektora Ochrony Danych. Motyw 91 RODO wprost mówi, że przetwarzanie danych przez pojedynczego lekarza nie jest „przetwarzaniem na dużą skalę". Obowiązek pojawia się przy dużej skali — to większe podmioty lecznicze (przychodnie wieloosobowe, sieci, diagnostyka, szpitale). Uwaga: brak obowiązku IOD nie zwalnia z reszty RODO — dokumentację i tak musisz mieć.

To pytanie wraca u niemal każdego właściciela gabinetu. Intuicja podpowiada: „przetwarzam dane o zdrowiu, czyli te najbardziej wrażliwe — pewnie muszę mieć inspektora". Brzmi logicznie, ale prawo mówi inaczej. Sam fakt, że przetwarzasz dane medyczne, nie tworzy automatycznie obowiązku powołania IOD. Decyduje skala, a nie sama wrażliwość danych.

Poniżej rozkładamy to na czynniki pierwsze: kiedy MUSISZ, kiedy zwykle NIE musisz, oraz co zrobić, gdy jesteś gdzieś pośrodku.

Kiedy IOD jest obowiązkowy? — art. 37 RODO

Obowiązek wyznaczenia Inspektora Ochrony Danych reguluje art. 37 ust. 1 RODO. Wskazuje on trzy sytuacje, w których administrator (a także podmiot przetwarzający) musi powołać IOD:

gdy przetwarzania dokonuje organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości);
gdy główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób na dużą skalę;
gdy główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (o których mowa w art. 9 RODO — w tym dane o zdrowiu) lub danych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO).

Dla lekarza kluczowa jest przesłanka trzecia (lit. c). Dane o zdrowiu to „szczególne kategorie danych" z art. 9 RODO. Ale samo przetwarzanie tych danych nie wystarczy — muszą być spełnione łącznie dwa warunki: jest to Twoja główna działalność (a leczenie pacjentów nią jest) oraz odbywa się na dużą skalę.

I właśnie pojęcie „dużej skali" jest tu sercem sprawy.

Kiedy zwykle NIE musisz mieć IOD? — motyw 91 RODO

Tu pojawia się przepis, który najczęściej rozstrzyga sprawę na korzyść pojedynczego lekarza. Motyw 91 RODO stanowi wprost:

„Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika."

To zdanie ma realne konsekwencje. Skoro praca pojedynczego lekarza z definicji nie jest „dużą skalą", to:

nie spełniasz przesłanki z art. 37 ust. 1 lit. c RODO,
nie masz obowiązku wyznaczenia IOD,
nie masz też obowiązku przeprowadzenia oceny skutków dla ochrony danych (DPIA) z samego tylko tytułu przetwarzania danych pacjentów.

Dlatego typowy gabinet prowadzony przez jednego lekarza — także z rejestratorką, pielęgniarką czy asystentką — w praktyce nie musi powoływać Inspektora Ochrony Danych. Obowiązek nie rodzi się dlatego, że dane są wrażliwe. Rodzi się dopiero przy odpowiednio dużej skali działalności.

Warto dodać kontekst historyczny: dawniej funkcjonowała rola ABI (Administratora Bezpieczeństwa Informacji). Od 25 maja 2018 r. RODO zastąpiło ją funkcją IOD. Jeśli ktoś używa starego pojęcia „ABI" — mowa właśnie o dzisiejszym Inspektorze Ochrony Danych.

Strefa szara — placówki średnie

Najwięcej wątpliwości mają podmioty pomiędzy pojedynczym gabinetem a szpitalem: przychodnie z kilkoma lekarzami, centra stomatologiczne, kliniki medycyny estetycznej, pracownie diagnostyczne, sieci gabinetów. Czy to już „duża skala"?

Tu trzeba uczciwie powiedzieć: RODO nie podaje progu liczbowego. Nie ma magicznej liczby pacjentów, po której „włącza się" obowiązek IOD. Ostrzegamy przed treściami, które podają konkretne progi (np. „powyżej X pacjentów") jako pewnik — to nadinterpretacja. Ocena jest zawsze indywidualna.

Pomocne są wytyczne dawnej Grupy Roboczej Art. 29 (dokument WP243, dziś dorobek kontynuuje Europejska Rada Ochrony Danych — EROD). Wskazują one czynniki, które należy rozważyć przy ocenie „dużej skali":

liczba osób, których dane dotyczą — w wartościach bezwzględnych lub jako procent danej grupy ludności;
zakres (wolumen) przetwarzanych danych oraz różnorodność ich kategorii;
czas trwania (trwałość) przetwarzania danych;
zakres geograficzny przetwarzania.

Jak to czytać w praktyce? Im więcej pacjentów, im szerszy zakres danych, im dłużej je przechowujesz i im większy zasięg geograficzny (np. sieć w kilku miastach) — tym bliżej „dużej skali", a więc tym bardziej prawdopodobny obowiązek IOD. Duża przychodnia obsługująca tysiące pacjentów, prowadząca rozległą dokumentację medyczną, najpewniej przekroczy ten próg. Gabinet trzech lekarzy w jednym mieście — raczej nie, choć ocena pozostaje indywidualna.

W tej strefie szarej nie zgadujemy. Dokumentujemy decyzję. Jeśli uznajesz, że nie masz obowiązku — warto mieć spisaną, krótką analizę, dlaczego (na jakich kryteriach WP243 oparłeś wniosek). To dowód rozliczalności (zasada accountability z art. 5 ust. 2 RODO), który pokazuje, że świadomie oceniłeś sytuację. I odwrotnie — jeśli wniosek jest „raczej tak", bezpieczniej IOD wyznaczyć, niż ryzykować.

Wyznaczam IOD — formalności

Załóżmy, że Twoja placówka musi (albo świadomie chce) mieć Inspektora Ochrony Danych. Co dalej? Kluczowy jest jeden obowiązek formalny, o którym łatwo zapomnieć.

Zawiadomienie Prezesa UODO reguluje art. 10 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (polska ustawa krajowa, nie samo RODO). Zgodnie z nim podmiot, który wyznaczył IOD, zawiadamia Prezesa UODO o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia.

Najważniejsze elementy:

Termin: 14 dni od dnia wyznaczenia inspektora.
Co zawiadamiasz: imię, nazwisko oraz adres e-mail lub numer telefonu IOD.
Forma: wyłącznie elektroniczna, opatrzona kwalifikowanym podpisem elektronicznym albo podpisem zaufanym (profil zaufany ePUAP).
Zmiany i odwołanie: o każdej zmianie danych IOD oraz o jego odwołaniu również zawiadamiasz UODO w terminie 14 dni od zaistnienia zmiany.
Dane kontaktowe IOD trzeba dodatkowo opublikować (np. na stronie WWW) i przekazać organowi nadzorczemu — tak, by pacjent mógł się z inspektorem skontaktować.

Inspektorem może być pracownik lub osoba/firma zewnętrzna na podstawie umowy o świadczenie usług (IOD outsourcingowy). Musi mieć fachową wiedzę z zakresu ochrony danych i działać niezależnie. W modelu abonamentowym formalnościami — w tym zawiadomieniem UODO w terminie — zajmuje się za Ciebie zewnętrzny IOD.

Ważne: brak obowiązku IOD ≠ brak obowiązków RODO

To najczęstsze i najbardziej kosztowne nieporozumienie. Jeśli z analizy wyszło, że nie musisz mieć inspektora — świetnie, oszczędzasz na tej funkcji. Ale nie jesteś zwolniony z RODO. Niezależnie od skali, jako administrator danych pacjentów nadal masz m.in. obowiązek:

prowadzić rejestr czynności przetwarzania (art. 30 RODO),
spełniać obowiązek informacyjny wobec pacjentów (klauzule informacyjne, art. 13–14),
zawierać umowy powierzenia z dostawcami (np. system gabinetowy, hosting, księgowość, laboratorium) — art. 28,
wdrożyć polityki i procedury bezpieczeństwa oraz zasady postępowania z naruszeniami,
zapewnić upoważnienia dla personelu i zarządzać dostępem do danych.

Innymi słowy: IOD jest opcjonalny przy małej skali, ale dokumentacja RODO — nie. Gabinet bez kompletu dokumentów jest narażony na zarzut braku rozliczalności, niezależnie od tego, czy ma inspektora.

I tu dochodzimy do sedna decyzji: zamiast zastanawiać się „czy muszę mieć IOD", lepiej zapytać „czy mam komplet dokumentacji RODO i czy ktoś rzetelnie ocenił moją skalę?".

Jak rozstrzygnąć to u siebie — w kilka minut

Nie musisz w tym tonąć ani zgadywać, po której stronie progu jesteś. Najprościej zacząć od darmowej oceny. W ramach bezpłatnego audytu gotowości RODO moje-rodo.pl sprawdza m.in., czy w Twoim przypadku IOD jest obowiązkowy — w oparciu o realne kryteria, nie zgadywanie — i pokazuje, czego brakuje w dokumentacji.

Jeśli zdecydujesz się domknąć temat, moje-rodo generuje komplet dokumentów RODO dla praktyki (treść przygotowana przez prawnika) w kilka minut. A gdy IOD okaże się potrzebny — albo chcesz go mieć dla spokoju — udostępnia formalnego IOD w abonamencie z obsługą zawiadomienia UODO w terminie 14 dni. Komplet dokumentów od 999 zł jednorazowo, IOD w abonamencie od 199 zł/mc — ale od tego nie zaczynasz.

➡️ Nie wiesz, po której stronie progu jesteś? Zrób bezpłatny audyt gotowości RODO i sprawdź obowiązek IOD. W kilka minut pokażemy, czy potrzebujesz inspektora i czego konkretnie brakuje w dokumentacji. → moje-rodo.pl

Najczęstsze pytania

Czy lekarz musi mieć IOD? Pojedynczy lekarz prowadzący własny gabinet zwykle nie musi. Motyw 91 RODO wprost stwierdza, że przetwarzanie danych pacjentów przez pojedynczego lekarza nie jest „przetwarzaniem na dużą skalę", a to ona warunkuje obowiązek z art. 37 ust. 1 lit. c RODO. Obowiązek dotyczy głównie większych podmiotów leczniczych.

Skoro przetwarzam dane o zdrowiu, to chyba muszę mieć inspektora? Nie automatycznie. Sama wrażliwość danych (szczególna kategoria z art. 9 RODO) nie tworzy obowiązku. Musi dojść drugi warunek — przetwarzanie na dużą skalę. Pojedynczy gabinet tego progu zwykle nie osiąga.

Ilu pacjentów oznacza „dużą skalę"? RODO nie podaje progu liczbowego. Ocena jest indywidualna i opiera się na kryteriach z wytycznych WP243 (liczba osób, zakres danych, czas trwania, zasięg geograficzny). Każdy, kto podaje konkretną liczbę pacjentów jako pewnik, nadinterpretuje przepisy.

Czy przychodnia z kilkoma lekarzami musi mieć IOD? To strefa szara. Im więcej pacjentów, im szerszy zakres danych i większy zasięg, tym bliżej „dużej skali" i obowiązku IOD. Decyzję trzeba ocenić indywidualnie i — co ważne — udokumentować jej uzasadnienie (zasada rozliczalności).

Czym różni się IOD od ABI? ABI (Administrator Bezpieczeństwa Informacji) to funkcja sprzed RODO. Od 25 maja 2018 r. zastąpił ją IOD (Inspektor Ochrony Danych) o szerszych zadaniach i niezależnej pozycji wynikającej z art. 37–39 RODO.

W jakim terminie trzeba zgłosić IOD do UODO? W terminie 14 dni od dnia wyznaczenia, na podstawie art. 10 ustawy o ochronie danych osobowych. Zawiadomienie składa się wyłącznie elektronicznie (kwalifikowany podpis lub profil zaufany ePUAP) i podaje się imię, nazwisko oraz e-mail lub telefon inspektora.

Jeśli nie muszę mieć IOD, to czy jestem zwolniony z RODO? Nie. Brak obowiązku wyznaczenia IOD nie zwalnia z reszty RODO. Nadal musisz prowadzić rejestr czynności przetwarzania, spełniać obowiązek informacyjny, zawierać umowy powierzenia i wdrożyć dokumentację bezpieczeństwa.

Czy IOD może być osobą z zewnątrz? Tak. Inspektorem może być pracownik albo podmiot zewnętrzny na podstawie umowy o świadczenie usług (IOD outsourcingowy). Musi mieć odpowiednią wiedzę fachową i działać niezależnie. To popularne rozwiązanie w mniejszych placówkach.

Powiązane artykuły

RODO dla praktyk medycznych — kompletny przewodnik → /rodo-dla-praktyk-medycznych (strona filarowa)
Dokumentacja RODO dla gabinetu lekarskiego — co musisz mieć
Formalny IOD w abonamencie dla podmiotu leczniczego → /iod-w-abonamencie (jeśli strona istnieje)

Materiał edukacyjny, nie porada prawna. Stan prawny: czerwiec 2026. Decyzję o zgodności podejmuje administrator danych (gabinet) — w razie wątpliwości skonsultuj z IOD/prawnikiem albo skorzystaj z moje-rodo, gdzie dokumenty i dowody powstają pod Twój profil.

Roman Jońca · Lajf

Specjalista ds. ochrony danych dla podmiotów medycznych. Treść opracowana w oparciu o RODO, ustawę o prawach pacjenta i wytyczne UODO.