Co dokładnie dostaję za 999 zł na start?

Jednorazowo 999 zł (brutto, 812,20 zł netto + VAT) i dostajesz komplet na wejście: (1) portal klienta z pełną dokumentacją RODO, (2) komplet gotowych dokumentów PDF z Twoimi danymi (Polityka Prywatności, Rejestr Czynności Przetwarzania, Polityka Bezpieczeństwa, klauzule dla pacjentów, pracowników, kontrahentów, rodziców małych pacjentów, monitoring CCTV jeśli masz) + „Komplet do segregatora" (jeden PDF ze spisem treści), (3) badge „RODO pod kontrolą". To Twój komplet startowy — bez zobowiązań abonamentowych. Aktualizacje przy zmianach prawa i obsługę eksperta dokupujesz w abonamencie.

Czym różni się abonament Utrzymanie (199 zł/mc) od Opieki (549 zł/mc)?

UTRZYMANIE (199 zł/mc) to sam software „żywego stanu": Twoje dokumenty są aktualizowane przy zmianach w prawie (robimy to za Ciebie), masz wskaźnik kondycji RODO, niezmienialny dziennik zgodności, terminarz obowiązków z przypomnieniami i paczkę dowodową na kontrolę UODO jednym kliknięciem. OPIEKA (549 zł/mc) to wszystko z Utrzymania PLUS człowiek: ekspert RODO do 2 godzin konsultacji w miesiącu (email/portal, SLA 24h) i pomoc przy incydentach.

Czy abonament jest obowiązkowy? Mogę zostać na samym starcie za 999 zł?

Abonament jest opcjonalny — po opłacie 999 zł komplet dokumentów jest Twój i zostaje w portalu. ALE RODO nie jest jednorazowe: co rok zmieniają się klauzule, wchodzą nowe wytyczne UODO, dodajesz usługę i dokumenty trzeba zaktualizować. Bez abonamentu Twój komplet z czasem się dezaktualizuje. Abonament (od 199 zł/mc) to różnica między „segregatorem w szufladzie" a żywą, aktualną dokumentacją.

Skąd wiem, czy jestem „praktyką zawodową", czy „podmiotem leczniczym"?

To zależy od formy prawnej, w jakiej działasz — nie od kontraktu z NFZ. Praktyka zawodowa to indywidualna lub grupowa praktyka (lekarska, pielęgniarska, fizjoterapeutyczna itp.) wpisana do rejestru praktyk. Podmiot leczniczy to wpis do RPWDL jako podmiot leczniczy (przychodnia, klinika, centrum medyczne). Status decyduje przede wszystkim o obowiązku formalnego IOD.

Czy muszę mieć formalnego Inspektora Ochrony Danych (IOD)?

Formalny obowiązek IOD wynika z art. 37 RODO — gdy główna działalność polega na przetwarzaniu danych o zdrowiu „na dużą skalę". W praktyce: podmioty lecznicze (przychodnie, kliniki) zwykle ten obowiązek mają, a indywidualne praktyki zawodowe zwykle nie. Bez obowiązku wystarczy tor praktyki zawodowej (komplet dokumentów + abonament). Jako podmiot leczniczy potrzebujący formalnego Inspektora zgłoszonego do UODO — tor „Podmiot leczniczy", wycena indywidualna.

Co jeśli zatrudnię pracownika lub zmienię adres?

Logujesz się do portalu, edytujesz dane (zaznaczasz „mam pracownika" lub zmieniasz adres), klikasz „Regeneruj dokumenty" — komplet z nowymi danymi gotowy w ~30 sekund. W torze praktyki zawodowej robisz to sam; jako podmiot leczniczy Inspektor sprawdza i potwierdza, czy customizacja klauzul jest zgodna.

Co jeśli UODO przyjedzie na kontrolę?

Z aktywnym abonamentem masz aktualną dokumentację, niezmienialny dziennik działań i paczkę dowodową gotową do okazania jednym kliknięciem — fundamentalne minimum, które chce zobaczyć kontroler. Jako podmiot leczniczy z formalnym IOD dochodzi wsparcie: dzwonisz do Inspektora, łączymy się zdalnie lub przyjeżdżamy, pomagamy przygotować odpowiedzi dla urzędu (administratorem pozostajesz Ty).

Czy mogę zrezygnować z abonamentu w każdej chwili?

Tak — rezygnujesz z abonamentu kiedy chcesz, bez wypowiedzeń i kar, z końcem opłaconego okresu. Opłata startowa 999 zł jest jednorazowa i nie wraca przy rezygnacji (pokrywa przygotowanie pełnej dokumentacji, którą zachowujesz). Po rezygnacji z abonamentu Twój komplet dokumentów zostaje — tracisz tylko aktualizacje, żywy stan i obsługę eksperta.

Ile to faktycznie trwa od zapisu do gotowych dokumentów?

Od wpisania NIP → płatność → ankieta do pobrania pierwszego PDF: ~30 minut. Większość czasu to ankieta (kilka pytań, ~5 minut). Generacja kompletu PDF to ~30 sekund. Przypisanie do konta i weryfikacja danych odbywają się tego samego dnia roboczego.

Czy moje dane są bezpieczne?

Tak. Aplikacja działa na infrastrukturze w UE, dane szyfrowane SSL, baza z Row Level Security (klient widzi tylko swoje dane — nawet my widzimy Twoje dane tylko gdy nam pozwolisz przez portal). Polityka Prywatności moje-rodo.pl + Regulamin opisują wszystko szczegółowo.

Poradnik RODO

Dokumentacja RODO dla gabinetu lekarskiego — kompletna lista dokumentów

Aktualizacja: 2026-06-16

Prowadzisz gabinet lekarski i chcesz wiedzieć jedną, konkretną rzecz: jakie dokumenty RODO musisz mieć i jak szybko możesz je zdobyć. Bez teorii, bez straszenia karami. Ten artykuł odpowiada dokładnie na to pytanie — pokazuje pełną listę, tłumaczy po co jest każdy dokument i wskazuje, które pozycje zależą od tego, jak pracujesz (sam czy z personelem, z monitoringiem czy bez, z NFZ czy prywatnie).

Dane pacjenta to szczególna kategoria danych osobowych (dane o zdrowiu) w rozumieniu art. 9 RODO. Dlatego gabinet — nawet jednoosobowy — nie korzysta z większości uproszczeń przewidzianych dla „małych" administratorów. Podstawą prawną Twojego przetwarzania jako podmiotu wykonującego działalność leczniczą jest najczęściej art. 9 ust. 2 lit. h RODO (przetwarzanie do celów profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki zdrowotnej i leczenia), w połączeniu z obowiązkiem zachowania tajemnicy zawodowej.

Jako administrator danych odpowiadasz za zasadę rozliczalności (art. 5 ust. 2 RODO) — musisz nie tylko przestrzegać przepisów, ale też umieć to wykazać dokumentami. To właśnie dlatego dokumentacja jest obowiązkowa, a nie „dobrą praktyką".

Lista dokumentów RODO dla gabinetu lekarskiego

Oto komplet, który w praktyce powinien znaleźć się w teczce RODO typowego gabinetu:

Polityka ochrony danych osobowych (polityka bezpieczeństwa) — art. 24 i 32 RODO
Rejestr czynności przetwarzania (RCP) — art. 30 ust. 1 RODO
Klauzule informacyjne — dla pacjenta, dla pracownika, dla kontrahenta — art. 13 RODO
Upoważnienia do przetwarzania danych + ewidencja upoważnień — art. 29 RODO
Umowy powierzenia przetwarzania danych — art. 28 RODO
Procedura postępowania z naruszeniami (incydentami) — art. 33–34 RODO
Analiza ryzyka / ocena środków bezpieczeństwa — art. 32 RODO
Ocena skutków dla ochrony danych (DPIA) — art. 35 RODO (warunkowo — patrz niżej)
Rejestr kategorii czynności przetwarzania — art. 30 ust. 2 RODO (jeśli przetwarzasz dane w imieniu innego administratora)

Poniżej tłumaczę każdy z nich.

1. Polityka ochrony danych osobowych (art. 24, 32)

To dokument-fundament. Opisuje, jakie dane przetwarzasz, w jakim celu, jak je zabezpieczasz i kto ma do nich dostęp. RODO nie używa już sztywnej nazwy „polityka bezpieczeństwa" (to pojęcie ze starej ustawy), ale art. 24 wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, a art. 32 — zapewnienia bezpieczeństwa adekwatnego do ryzyka. Spisana polityka jest dowodem, że te środki realnie istnieją. Po co Ci to: bez niej nie wykażesz rozliczalności, a w razie kontroli to pierwszy dokument, o który poprosi UODO.

2. Rejestr czynności przetwarzania — RCP (art. 30 ust. 1)

Najważniejszy dokument operacyjny. To wykaz wszystkich procesów, w których przetwarzasz dane: prowadzenie dokumentacji medycznej, rejestracja pacjentów, rozliczenia z NFZ, kadry, monitoring. Art. 30 ust. 5 zwalnia z prowadzenia RCP firmy poniżej 250 osób — ale wyjątek od wyjątku obejmuje przetwarzanie szczególnych kategorii danych (art. 9). Ponieważ dane o zdrowiu przetwarzasz regularnie, ten obowiązek dotyczy Cię nawet jako jednoosobowej praktyki. Po co Ci to: to spis treści całego Twojego RODO — od niego zaczyna każda kontrola. Szczegóły i wzór znajdziesz w osobnym poradniku o RCP dla gabinetu.

3. Klauzule informacyjne (art. 13)

Obowiązek informacyjny: musisz powiedzieć pacjentowi, kto przetwarza jego dane, w jakim celu, jak długo je przechowujesz i jakie ma prawa. Klauzula informacyjna dla pacjenta to wersja wywieszana w rejestracji / na stronie. Potrzebujesz też klauzul dla pracowników (jeśli zatrudniasz) i dla kontrahentów. Art. 13 dotyczy danych zbieranych bezpośrednio od osoby — to typowa sytuacja w gabinecie. Po co Ci to: brak klauzuli to jedno z najczęściej wytykanych uchybień, a jednocześnie najłatwiejsze do naprawienia.

4. Upoważnienia do przetwarzania + ewidencja (art. 29)

Każda osoba, która ma dostęp do danych pacjentów — rejestratorka, pielęgniarka, asystentka, drugi lekarz — musi działać na podstawie pisemnego upoważnienia nadanego przez Ciebie jako administratora (art. 29). Do tego prowadzisz ewidencję upoważnień — kto, od kiedy, do jakiego zakresu danych. Po co Ci to: to dowód, że dostęp do danych wrażliwych jest kontrolowany. Jeśli pracujesz całkowicie sam — ta pozycja Cię nie dotyczy (nie masz kogo upoważniać).

5. Umowy powierzenia przetwarzania (art. 28)

Gdy ktoś przetwarza dane pacjentów w Twoim imieniu — staje się podmiotem przetwarzającym (procesorem) i musisz mieć z nim umowę powierzenia (art. 28). W gabinecie dotyczy to zwykle: dostawcy oprogramowania gabinetowego / systemu medycznego, firmy hostingowej, biura księgowego (w zakresie kadr), firmy IT, niekiedy laboratorium. Po co Ci to: bez umowy powierzenia każde przekazanie danych takiemu podmiotowi jest udostępnieniem bez podstawy prawnej. To pozycja, którą prawie wszyscy zaniedbują — a procesorów ma się więcej, niż się wydaje.

6. Procedura naruszeń / incydentów (art. 33–34)

Plan na czarną godzinę: zgubiony laptop, wyciek z systemu, e-mail z dokumentacją wysłany pod zły adres, ransomware. Art. 33 daje Ci 72 godziny na zgłoszenie naruszenia do UODO, a art. 34 — obowiązek powiadomienia pacjentów, gdy ryzyko jest wysokie. Procedura opisuje, jak rozpoznać incydent, jak go ocenić i komu zgłosić; dochodzi do niej rejestr naruszeń. Po co Ci to: w stresie po wycieku nikt nie czyta RODO od zera — działa się według gotowej procedury.

7. Analiza ryzyka (art. 32)

Krótki dokument, w którym oceniasz zagrożenia dla danych (utrata, kradzież, nieuprawniony dostęp) i dobierasz do nich środki — szyfrowanie, kontrola dostępu, kopie zapasowe, zamykane szafy na dokumentację papierową. Art. 32 wymaga, by środki były adekwatne do ryzyka — a żeby to ocenić, trzeba ryzyko najpierw nazwać. Po co Ci to: to uzasadnienie dla Twojej polityki bezpieczeństwa i dowód świadomego doboru zabezpieczeń.

8. Ocena skutków dla ochrony danych — DPIA (art. 35) — warunkowo

Tu trzeba uczciwie. DPIA (art. 35) jest wymagana, gdy przetwarzanie może powodować wysokie ryzyko dla praw i wolności osób — w szczególności przy przetwarzaniu danych szczególnych kategorii na dużą skalę. UODO opublikował wykaz rodzajów operacji wymagających DPIA (komunikat Prezesa UODO z 17 czerwca 2019 r., 12 kategorii), w którym znajduje się m.in. przetwarzanie danych o zdrowiu na dużą skalę oraz monitoring wizyjny.

Kluczowy niuans: zgodnie z motywem 91 RODO przetwarzania danych pacjentów przez pojedynczego lekarza zasadniczo nie uznaje się za przetwarzanie na dużą skalę. Dlatego typowy gabinet solo najczęściej nie ma obowiązku DPIA. Sytuacja zmienia się, gdy: jesteś większą placówką z personelem i dużą liczbą pacjentów, prowadzisz monitoring wizyjny, używasz systemów profilujących albo łączysz dane z wielu źródeł. Po co Ci to: żeby świadomie ocenić, czy DPIA Cię dotyczy — i mieć udokumentowaną decyzję, nawet jeśli wyszło, że nie musisz. Warto pamiętać, że granica „dużej skali" jest w praktyce ocenna — przy nietypowym profilu placówki (np. duża liczba pacjentów, monitoring, profilowanie) kwalifikację najlepiej potwierdzić indywidualnie.

9. Rejestr kategorii czynności przetwarzania (art. 30 ust. 2)

Dotyczy sytuacji, gdy przetwarzasz dane w imieniu innego administratora (jesteś procesorem) — np. wykonujesz badania na zlecenie innego podmiotu. Wtedy prowadzisz osobny rejestr kategorii czynności. Większości gabinetów działających jako samodzielny administrator ta pozycja nie dotyczy.

Solo gabinet a większa placówka — co jest warunkowe

Nie każdy gabinet potrzebuje dokładnie tego samego kompletu. Co się zmienia wraz z profilem placówki:

Pracujesz całkowicie sam → odpadają upoważnienia i ewidencja (art. 29) oraz, najczęściej, DPIA (motyw 91). Zostaje rdzeń: polityka, RCP, klauzule, umowy powierzenia, procedura naruszeń, analiza ryzyka.
Zatrudniasz personel → dochodzą upoważnienia + ewidencja, klauzule informacyjne dla pracowników, a przy większej skali — realne pytanie o DPIA i o inspektora ochrony danych (IOD).
Masz monitoring wizyjny → osobna czynność w RCP, klauzula informacyjna o monitoringu i — często — DPIA (monitoring jest na liście UODO).
Rozliczasz się z NFZ → dodatkowa czynność przetwarzania w RCP (cel: rozliczenia ze świadczeniodawcą publicznym).
Leczysz dzieci → klauzule i zgody muszą uwzględniać reprezentację przez opiekuna; to wpływa na treść, nie na listę dokumentów.
Używasz zewnętrznych systemów (oprogramowanie gabinetowe, chmura, e-rejestracja) → każdy taki dostawca to procesor i osobna umowa powierzenia (art. 28).

Osobna, częsta wątpliwość: czy lekarz musi mieć IOD? Co do zasady jednoosobowa praktyka — nie. Większa placówka przetwarzająca dane o zdrowiu na dużą skalę — tak. Rozkładamy to na czynniki pierwsze w tekście czy lekarz musi mieć IOD.

Tabela: dokument → artykuł → po co

Dokument	Podstawa prawna	Po co Ci to
Polityka ochrony danych	art. 24, 32 RODO	Fundament — opis środków bezpieczeństwa, dowód rozliczalności
Rejestr czynności przetwarzania (RCP)	art. 30 ust. 1	Spis wszystkich procesów na danych; pierwszy dokument w kontroli
Klauzule informacyjne	art. 13	Spełnienie obowiązku informacyjnego wobec pacjenta/pracownika
Upoważnienia + ewidencja	art. 29	Kontrola, kto ma dostęp do danych pacjentów
Umowy powierzenia	art. 28	Legalne przekazanie danych dostawcom (IT, księgowość)
Procedura naruszeń + rejestr	art. 33–34	Plan działania na wyciek; zgłoszenie do UODO w 72 h
Analiza ryzyka	art. 32	Dobór zabezpieczeń adekwatnych do zagrożeń
DPIA (warunkowo)	art. 35	Ocena skutków przy wysokim ryzyku / dużej skali / monitoringu
Rejestr kategorii czynności	art. 30 ust. 2	Tylko gdy działasz jako podmiot przetwarzający

Dlaczego wzór RODO z internetu nie wystarcza

Pokusa jest zrozumiała: wpisać w wyszukiwarkę „wzór polityki RODO gabinet", pobrać PDF i odhaczyć temat. Problem w tym, że darmowy wzór rozwiązuje 30% problemu — i to nie tę trudniejszą część.

Dopasowanie. Twój RCP musi opisywać Twoje czynności: czy masz personel, monitoring, NFZ, dzieci, jaki system gabinetowy. Wzór opisuje placówkę abstrakcyjną. Inspektor UODO nie ocenia, czy masz „jakiś" dokument — ocenia, czy odpowiada rzeczywistości. Dokument niezgodny ze stanem faktycznym bywa gorszy niż jego brak, bo dowodzi, że przepisujesz bez zrozumienia.
Aktualność. Wzory krążące w sieci bywają sprzed lat — z pojęciami ze starej ustawy o ochronie danych, nieaktualnymi terminami, błędną podstawą prawną. RODO i wytyczne UODO ewoluują; dokumentacja musi za tym nadążać.
Spójność. To nie jest 9 niezależnych plików. RCP musi się zgadzać z klauzulami, klauzule z umowami powierzenia, procedura naruszeń z analizą ryzyka. Sklejony z różnych wzorów komplet wewnętrznie sobie przeczy — i to widać od pierwszej strony.

Dlatego zbudowaliśmy moje-rodo.pl. Odpowiadasz na kilka pytań o profil placówki (personel / monitoring / NFZ / dzieci / systemy), a system generuje komplet spójnych dokumentów dopasowanych do Twojego gabinetu — w kilka minut. Treść przygotowana przez prawnika, nie wygenerowana przez anonimowy szablon. A ponieważ RODO to nie jednorazowy projekt, dostajesz też żywy system: aktualizacje, ewidencje i rejestr naruszeń w jednym miejscu.

Zanim cokolwiek kupisz — sprawdź, na czym stoisz. (Dla orientacji: komplet dokumentów od 999 zł, żywy system w abonamencie od 199 zł/mc — ale od tego nie zaczynasz.)

➡️ Zacznij od bezpłatnego audytu gotowości na kontrolę. W kilka minut pokażemy Ci, których dokumentów brakuje w Twoim gabinecie i co konkretnie domknąć w pierwszej kolejności — bez zobowiązań. → moje-rodo.pl

Najczęstsze pytania

Jakie dokumenty RODO musi mieć gabinet lekarski? Minimum to: polityka ochrony danych, rejestr czynności przetwarzania (RCP), klauzule informacyjne, umowy powierzenia oraz procedura naruszeń. Gdy zatrudniasz personel, dochodzą upoważnienia i ewidencja, a przy dużej skali lub monitoringu — ocena skutków (DPIA).

Czy jednoosobowy gabinet też musi prowadzić rejestr czynności przetwarzania? Tak. Zwolnienie z art. 30 ust. 5 RODO dla podmiotów poniżej 250 osób nie obejmuje regularnego przetwarzania danych szczególnych kategorii — a dane o zdrowiu nimi są. Dlatego RCP dotyczy nawet praktyki solo.

Czy gabinet lekarski musi przeprowadzać DPIA? Niekoniecznie. Zgodnie z motywem 91 RODO przetwarzania przez pojedynczego lekarza zasadniczo nie uznaje się za „dużą skalę", więc typowy gabinet solo nie ma takiego obowiązku. DPIA staje się realna przy większej placówce, monitoringu wizyjnym lub przetwarzaniu na dużą skalę — operacjach z wykazu UODO. Warto udokumentować samą decyzję, nawet jeśli wyszło, że DPIA nie jest wymagana.

Czy lekarz musi powołać inspektora ochrony danych (IOD)? Jednoosobowa praktyka co do zasady nie. Obowiązek z art. 37 RODO dotyczy podmiotów przetwarzających dane o zdrowiu na dużą skalę — czyli większości placówek zatrudniających personel. Szczegóły: czy lekarz musi mieć IOD.

Co grozi za brak dokumentacji RODO w gabinecie? Brak rozliczalności (art. 5 ust. 2) i wymaganych dokumentów to naruszenie, które UODO może zakwestionować w kontroli i obłożyć karą administracyjną. Większym ryzykiem bywa jednak realny incydent bez procedury — gdy nie wiesz, jak i kiedy zgłosić naruszenie.

Czy potrzebuję umowy z dostawcą oprogramowania gabinetowego? Tak. Dostawca, który przetwarza dane pacjentów w Twoim imieniu, jest podmiotem przetwarzającym — wymagana jest umowa powierzenia (art. 28 RODO). To samo dotyczy hostingu, e-rejestracji czy biura księgowego w zakresie kadr.

Ile czasu zajmuje skompletowanie dokumentacji RODO? Ręcznie, od zera — od kilku dni do tygodni, zwłaszcza gdy dopasowujesz wzory do realiów placówki. W moje-rodo.pl odpowiadasz na pytania o profil gabinetu i otrzymujesz dopasowany komplet w kilka minut.

Jak często trzeba aktualizować dokumentację RODO? Zawsze, gdy zmienia się sposób przetwarzania — nowy system, monitoring, zatrudnienie personelu, nowy zakres usług — oraz okresowo, bo wytyczne UODO i orzecznictwo się zmieniają. Dlatego dokumentacja to żywy proces, a nie jednorazowy plik.

Powiązane artykuły

Materiał edukacyjny, nie porada prawna. Stan prawny: czerwiec 2026. Decyzję o zgodności podejmuje administrator danych (gabinet) — w razie wątpliwości skonsultuj z IOD/prawnikiem albo skorzystaj z moje-rodo, gdzie dokumenty i dowody powstają pod Twój profil.

Roman Jońca · Lajf

Specjalista ds. ochrony danych dla podmiotów medycznych. Treść opracowana w oparciu o RODO, ustawę o prawach pacjenta i wytyczne UODO.