Co dokładnie dostaję za 999 zł na start?

Jednorazowo 999 zł (brutto, 812,20 zł netto + VAT) i dostajesz komplet na wejście: (1) portal klienta z pełną dokumentacją RODO, (2) komplet gotowych dokumentów PDF z Twoimi danymi (Polityka Prywatności, Rejestr Czynności Przetwarzania, Polityka Bezpieczeństwa, klauzule dla pacjentów, pracowników, kontrahentów, rodziców małych pacjentów, monitoring CCTV jeśli masz) + „Komplet do segregatora" (jeden PDF ze spisem treści), (3) badge „RODO pod kontrolą". To Twój komplet startowy — bez zobowiązań abonamentowych. Aktualizacje przy zmianach prawa i obsługę eksperta dokupujesz w abonamencie.

Czym różni się abonament Utrzymanie (199 zł/mc) od Opieki (549 zł/mc)?

UTRZYMANIE (199 zł/mc) to sam software „żywego stanu": Twoje dokumenty są aktualizowane przy zmianach w prawie (robimy to za Ciebie), masz wskaźnik kondycji RODO, niezmienialny dziennik zgodności, terminarz obowiązków z przypomnieniami i paczkę dowodową na kontrolę UODO jednym kliknięciem. OPIEKA (549 zł/mc) to wszystko z Utrzymania PLUS człowiek: ekspert RODO do 2 godzin konsultacji w miesiącu (email/portal, SLA 24h) i pomoc przy incydentach.

Czy abonament jest obowiązkowy? Mogę zostać na samym starcie za 999 zł?

Abonament jest opcjonalny — po opłacie 999 zł komplet dokumentów jest Twój i zostaje w portalu. ALE RODO nie jest jednorazowe: co rok zmieniają się klauzule, wchodzą nowe wytyczne UODO, dodajesz usługę i dokumenty trzeba zaktualizować. Bez abonamentu Twój komplet z czasem się dezaktualizuje. Abonament (od 199 zł/mc) to różnica między „segregatorem w szufladzie" a żywą, aktualną dokumentacją.

Skąd wiem, czy jestem „praktyką zawodową", czy „podmiotem leczniczym"?

To zależy od formy prawnej, w jakiej działasz — nie od kontraktu z NFZ. Praktyka zawodowa to indywidualna lub grupowa praktyka (lekarska, pielęgniarska, fizjoterapeutyczna itp.) wpisana do rejestru praktyk. Podmiot leczniczy to wpis do RPWDL jako podmiot leczniczy (przychodnia, klinika, centrum medyczne). Status decyduje przede wszystkim o obowiązku formalnego IOD.

Czy muszę mieć formalnego Inspektora Ochrony Danych (IOD)?

Formalny obowiązek IOD wynika z art. 37 RODO — gdy główna działalność polega na przetwarzaniu danych o zdrowiu „na dużą skalę". W praktyce: podmioty lecznicze (przychodnie, kliniki) zwykle ten obowiązek mają, a indywidualne praktyki zawodowe zwykle nie. Bez obowiązku wystarczy tor praktyki zawodowej (komplet dokumentów + abonament). Jako podmiot leczniczy potrzebujący formalnego Inspektora zgłoszonego do UODO — tor „Podmiot leczniczy", wycena indywidualna.

Co jeśli zatrudnię pracownika lub zmienię adres?

Logujesz się do portalu, edytujesz dane (zaznaczasz „mam pracownika" lub zmieniasz adres), klikasz „Regeneruj dokumenty" — komplet z nowymi danymi gotowy w ~30 sekund. W torze praktyki zawodowej robisz to sam; jako podmiot leczniczy Inspektor sprawdza i potwierdza, czy customizacja klauzul jest zgodna.

Co jeśli UODO przyjedzie na kontrolę?

Z aktywnym abonamentem masz aktualną dokumentację, niezmienialny dziennik działań i paczkę dowodową gotową do okazania jednym kliknięciem — fundamentalne minimum, które chce zobaczyć kontroler. Jako podmiot leczniczy z formalnym IOD dochodzi wsparcie: dzwonisz do Inspektora, łączymy się zdalnie lub przyjeżdżamy, pomagamy przygotować odpowiedzi dla urzędu (administratorem pozostajesz Ty).

Czy mogę zrezygnować z abonamentu w każdej chwili?

Tak — rezygnujesz z abonamentu kiedy chcesz, bez wypowiedzeń i kar, z końcem opłaconego okresu. Opłata startowa 999 zł jest jednorazowa i nie wraca przy rezygnacji (pokrywa przygotowanie pełnej dokumentacji, którą zachowujesz). Po rezygnacji z abonamentu Twój komplet dokumentów zostaje — tracisz tylko aktualizacje, żywy stan i obsługę eksperta.

Ile to faktycznie trwa od zapisu do gotowych dokumentów?

Od wpisania NIP → płatność → ankieta do pobrania pierwszego PDF: ~30 minut. Większość czasu to ankieta (kilka pytań, ~5 minut). Generacja kompletu PDF to ~30 sekund. Przypisanie do konta i weryfikacja danych odbywają się tego samego dnia roboczego.

Czy moje dane są bezpieczne?

Tak. Aplikacja działa na infrastrukturze w UE, dane szyfrowane SSL, baza z Row Level Security (klient widzi tylko swoje dane — nawet my widzimy Twoje dane tylko gdy nam pozwolisz przez portal). Polityka Prywatności moje-rodo.pl + Regulamin opisują wszystko szczegółowo.

Poradnik RODO

Kary RODO dla gabinetu — co realnie grozi małej praktyce

Aktualizacja: 2026-06-16

„Słyszałem, że za RODO grożą kary do 20 milionów euro." To zdanie krąży po gabinetowych korytarzach i robi swoje — straszy. Problem w tym, że jest jednocześnie prawdziwe i mylące. Prawdziwe, bo taki próg faktycznie istnieje w przepisach. Mylące, bo nie tak działa to wobec jednoosobowej praktyki czy małego gabinetu.

Ta strona tłumaczy, jak naprawdę wyglądają kary RODO: skąd biorą się te kwoty, dlaczego kara nie jest automatyczna, co realnie grozi małemu podmiotowi medycznemu i — co najważniejsze — od czego zależy, czy w ogóle do niej dojdzie. Bez straszenia milionami, ale i bez udawania, że „nikomu nic się nie stało".

Skąd te słynne miliony — progi z art. 83 RODO

Wysokość administracyjnych kar pieniężnych reguluje art. 83 RODO. Przewiduje dwa progi, w zależności od tego, jaki obowiązek został naruszony:

Niższy próg — do 10 000 000 EUR lub do 2% rocznego światowego obrotu (zależnie od tego, która kwota jest wyższa). Dotyczy m.in. braku odpowiednich zabezpieczeń (art. 32), niezgłoszenia naruszenia (art. 33–34), braku rejestru czynności przetwarzania, braku DPIA tam gdzie była wymagana, braku IOD gdy obowiązkowy.
Wyższy próg — do 20 000 000 EUR lub do 4% rocznego światowego obrotu. Dotyczy cięższych naruszeń: podstawowych zasad przetwarzania, w tym warunków zgody (art. 5, 6, 9), praw osób (art. 12–22), niezastosowania się do nakazu organu.

Kluczowe: „do 10 mln / do 20 mln" to górne sufity ustawowe dla całej Unii, ustawione pod globalne koncerny. To nie cennik, z którego UODO wybiera kwotę dla gabinetu stomatologicznego. To granica, której nie wolno przekroczyć — a nie kwota, od której się zaczyna.

Próg „2% / 4% obrotu" liczony jest dla przedsiębiorstwa. Dla jednoosobowej praktyki realnym punktem odniesienia jest nie procent globalnego obrotu, lecz to, że kara musi być „skuteczna, proporcjonalna i odstraszająca" — proporcjonalna do skali konkretnego podmiotu i naruszenia.

Kara nie jest automatyczna — to ważne

Najczęstsze nieporozumienie: „jak nie mam dokumentów, to dostanę karę". Nieprawda. Naruszenie RODO nie uruchamia automatycznie kary pieniężnej.

Po pierwsze, Prezes UODO ma do dyspozycji wachlarz środków naprawczych z art. 58 ust. 2 RODO, a kara finansowa to tylko jeden z nich: upomnienie, nakaz dostosowania przetwarzania (ze wskazaniem sposobu i terminu), nakaz spełnienia żądania osoby, nakaz zawiadomienia o naruszeniu, czasowe lub całkowite ograniczenie przetwarzania. Wobec mniejszych podmiotów, które współpracują i naprawiają sytuację, organ często sięga po środki naprawcze, a nie od razu po wysoką karę.

Po drugie — gdy już dochodzi do kary — jej wymiar nie jest „z sufitu". Art. 83 ust. 2 wymienia przesłanki, które UODO musi rozważyć, m.in.: charakter, wagę i czas trwania naruszenia; umyślność; działania podjęte, by zminimalizować szkodę; wdrożone środki techniczne i organizacyjne; wcześniejsze naruszenia; stopień współpracy z organem; sposób, w jaki organ się dowiedział (czy zgłosiłeś sam); stosowanie kodeksów postępowania.

Zauważ, ile z tych przesłanek leży po stronie gabinetu i jest do „odpracowania" zawczasu: współpraca, wdrożone zabezpieczenia, działania naprawcze, samodzielne zgłoszenie.

A w Polsce, dla mniejszych i publicznych podmiotów

Polska ustawa o ochronie danych osobowych z 10 maja 2018 r. wprowadza odrębny, niższy limit dla podmiotów publicznych — art. 102: kara do 100 000 zł na jednostki sektora finansów publicznych, instytuty badawcze i NBP. To istotne dla publicznych placówek medycznych (np. SP ZOZ).

Uwaga: prywatny gabinet nie korzysta z tego limitu — podlega ogólnym progom art. 83. Ale „podlega progowi 10/20 mln" nie znaczy „dostanie 10/20 mln".

Co realnie grozi małemu gabinetowi

Uczciwie: nie obiecujemy, że gabinet nigdy nie dostanie kary, i nie podajemy „typowej kwoty dla gabinetu" jako pewnika — każda decyzja zależy od konkretnego stanu faktycznego.

Z publicznych decyzji UODO w sektorze zdrowia wiadomo, że pojawiały się zarówno upomnienia, jak i kary finansowe — kwoty wobec podmiotów medycznych bywały rzędu kilkunastu–kilkudziesięciu tysięcy złotych, najczęściej za niezgłoszenie naruszenia i niezawiadomienie pacjentów. Dla przykładu: 10 000 zł dla uczelnianego centrum klinicznego za niezgłoszenie naruszenia i niezawiadomienie pacjenta, gdy w wyniku błędu lekarza skierowanie trafiło z danymi innej osoby (decyzja z 2022 r.), oraz ponad 85 000 zł dla podmiotu leczniczego za niewykonanie nakazu zawiadomienia pacjentów o wycieku ich danych (decyzja z 2021 r.). To kategorie, w które łatwo wpaść także małej praktyce — różni je zwykle przede wszystkim brak reakcji, nie sama skala podmiotu.

Kara to nie jedyny — często nie największy — koszt. Realne ryzyko małego gabinetu to także: koszt samego incydentu (odtworzenie danych, obsługa prawna, zgłoszenie w 72h, zawiadomienie pacjentów); skarga pacjenta uruchamiająca kontrolę; wizerunek i zaufanie (w gabinecie żyjącym z poleceń informacja „wyciekły dane" boli mocniej niż kara); roszczenia cywilne o zadośćuczynienie.

Ryzyko jest realne, ale nie apokaliptyczne. Najgroźniejszy scenariusz to nie „mityczne 20 mln", tylko incydent + brak dokumentacji + brak współpracy.

Jak dokumentacja i dowody wdrożenia obniżają ryzyko

Rozliczalność (art. 5 ust. 2 RODO) to obowiązek wykazania, że przestrzegasz przepisów — w razie kontroli czy incydentu nie mówisz „przestrzegam RODO", tylko pokazujesz dowody: rejestr czynności, analizę ryzyka, politykę, upoważnienia, rejestr szkoleń, umowy powierzenia, procedurę naruszeń z datami.

Co to zmienia w wymiarze kary (przesłanki z art. 83 ust. 2):

wdrożone i udokumentowane zabezpieczenia = czynnik łagodzący,
gotowa procedura reagowania = działanie w 72h zamiast paniki = minimalizacja szkody,
uporządkowane dokumenty = sprawna, wiarygodna współpraca z organem,
samodzielne zgłoszenie naruszenia działa na Twoją korzyść.

Różnica między gabinetem „papierowo zgodnym" a „rzeczywiście wdrożonym" jest właśnie tu. Żywy system — dokumenty + dowody, że są stosowane (daty, podpisy, log szkoleń, historia aktualizacji) — to materializacja rozliczalności, najmocniejszy argument łagodzący.

Po to powstało moje-rodo.pl: nie kolejny PDF do szuflady, lecz komplet dokumentacji + system gromadzący dowody wdrożenia. Pakiet startowy od 999 zł, utrzymanie i aktualizacje od 199 zł/mc. To nie polisa „od kary" — takiej nie ma. To realne podniesienie pozycji gabinetu na każdej z przesłanek, które decydują o tym, czy i jaka kara w ogóle padnie.

Najczęstsze pytania

Czy mój gabinet na pewno dostanie karę, jeśli nie mam dokumentacji RODO? Nie ma takiego automatu. Brak dokumentacji to naruszenie, ale UODO może zareagować upomnieniem lub nakazem dostosowania (art. 58 ust. 2), a nie od razu karą. Brak dokumentacji działa jednak na Twoją niekorzyść, jeśli dojdzie do incydentu lub kontroli.

Ile wynosi maksymalna kara RODO? Art. 83 przewiduje dwa progi: do 10 mln EUR / 2% obrotu (niższy) oraz do 20 mln EUR / 4% obrotu (wyższy). To górne sufity dla całej UE, pod największe firmy — nie kwoty startowe dla małej praktyki.

Czy małe praktyki mają niższy limit kar? Prywatny gabinet podlega ogólnym progom RODO — nie ma osobnego niższego limitu. Limit do 100 000 zł (art. 102 ustawy) dotyczy podmiotów publicznych. Kara dla małego podmiotu musi być proporcjonalna do jego skali.

Od czego zależy wysokość kary? Od przesłanek z art. 83 ust. 2: charakteru/wagi/czasu naruszenia, liczby poszkodowanych, umyślności, wdrożonych zabezpieczeń, działań naprawczych, współpracy z UODO i tego, czy zgłosiłeś naruszenie sam.

Czy posiadanie dokumentacji RODO chroni przed karą? Nie daje gwarancji „zero kary". Ale udokumentowane wdrożenie i dowody jego stosowania to konkretne czynniki łagodzące w art. 83 ust. 2 — realnie obniżają ryzyko i wysokość ewentualnej kary.

Co poza karą grozi gabinetowi za naruszenie danych pacjentów? Koszt obsługi incydentu, kontrola UODO po skardze, roszczenia cywilne o zadośćuczynienie oraz utrata zaufania i reputacji — często dotkliwsza dla małej praktyki niż sama kara.

Powiązane artykuły

Materiał edukacyjny, nie porada prawna. Stan prawny: czerwiec 2026. Decyzję o zgodności podejmuje administrator danych (gabinet) — w razie wątpliwości skonsultuj z IOD/prawnikiem albo skorzystaj z moje-rodo, gdzie dokumenty i dowody powstają pod Twój profil.

Roman Jońca · Lajf

Specjalista ds. ochrony danych dla podmiotów medycznych. Treść opracowana w oparciu o RODO, ustawę o prawach pacjenta i wytyczne UODO.