Co dokładnie dostaję za 999 zł na start?

Jednorazowo 999 zł (brutto, 812,20 zł netto + VAT) i dostajesz komplet na wejście: (1) portal klienta z pełną dokumentacją RODO, (2) komplet gotowych dokumentów PDF z Twoimi danymi (Polityka Prywatności, Rejestr Czynności Przetwarzania, Polityka Bezpieczeństwa, klauzule dla pacjentów, pracowników, kontrahentów, rodziców małych pacjentów, monitoring CCTV jeśli masz) + „Komplet do segregatora" (jeden PDF ze spisem treści), (3) badge „RODO pod kontrolą". To Twój komplet startowy — bez zobowiązań abonamentowych. Aktualizacje przy zmianach prawa i obsługę eksperta dokupujesz w abonamencie.

Czym różni się abonament Utrzymanie (199 zł/mc) od Opieki (549 zł/mc)?

UTRZYMANIE (199 zł/mc) to sam software „żywego stanu": Twoje dokumenty są aktualizowane przy zmianach w prawie (robimy to za Ciebie), masz wskaźnik kondycji RODO, niezmienialny dziennik zgodności, terminarz obowiązków z przypomnieniami i paczkę dowodową na kontrolę UODO jednym kliknięciem. OPIEKA (549 zł/mc) to wszystko z Utrzymania PLUS człowiek: ekspert RODO do 2 godzin konsultacji w miesiącu (email/portal, SLA 24h) i pomoc przy incydentach.

Czy abonament jest obowiązkowy? Mogę zostać na samym starcie za 999 zł?

Abonament jest opcjonalny — po opłacie 999 zł komplet dokumentów jest Twój i zostaje w portalu. ALE RODO nie jest jednorazowe: co rok zmieniają się klauzule, wchodzą nowe wytyczne UODO, dodajesz usługę i dokumenty trzeba zaktualizować. Bez abonamentu Twój komplet z czasem się dezaktualizuje. Abonament (od 199 zł/mc) to różnica między „segregatorem w szufladzie" a żywą, aktualną dokumentacją.

Skąd wiem, czy jestem „praktyką zawodową", czy „podmiotem leczniczym"?

To zależy od formy prawnej, w jakiej działasz — nie od kontraktu z NFZ. Praktyka zawodowa to indywidualna lub grupowa praktyka (lekarska, pielęgniarska, fizjoterapeutyczna itp.) wpisana do rejestru praktyk. Podmiot leczniczy to wpis do RPWDL jako podmiot leczniczy (przychodnia, klinika, centrum medyczne). Status decyduje przede wszystkim o obowiązku formalnego IOD.

Czy muszę mieć formalnego Inspektora Ochrony Danych (IOD)?

Formalny obowiązek IOD wynika z art. 37 RODO — gdy główna działalność polega na przetwarzaniu danych o zdrowiu „na dużą skalę". W praktyce: podmioty lecznicze (przychodnie, kliniki) zwykle ten obowiązek mają, a indywidualne praktyki zawodowe zwykle nie. Bez obowiązku wystarczy tor praktyki zawodowej (komplet dokumentów + abonament). Jako podmiot leczniczy potrzebujący formalnego Inspektora zgłoszonego do UODO — tor „Podmiot leczniczy", wycena indywidualna.

Co jeśli zatrudnię pracownika lub zmienię adres?

Logujesz się do portalu, edytujesz dane (zaznaczasz „mam pracownika" lub zmieniasz adres), klikasz „Regeneruj dokumenty" — komplet z nowymi danymi gotowy w ~30 sekund. W torze praktyki zawodowej robisz to sam; jako podmiot leczniczy Inspektor sprawdza i potwierdza, czy customizacja klauzul jest zgodna.

Co jeśli UODO przyjedzie na kontrolę?

Z aktywnym abonamentem masz aktualną dokumentację, niezmienialny dziennik działań i paczkę dowodową gotową do okazania jednym kliknięciem — fundamentalne minimum, które chce zobaczyć kontroler. Jako podmiot leczniczy z formalnym IOD dochodzi wsparcie: dzwonisz do Inspektora, łączymy się zdalnie lub przyjeżdżamy, pomagamy przygotować odpowiedzi dla urzędu (administratorem pozostajesz Ty).

Czy mogę zrezygnować z abonamentu w każdej chwili?

Tak — rezygnujesz z abonamentu kiedy chcesz, bez wypowiedzeń i kar, z końcem opłaconego okresu. Opłata startowa 999 zł jest jednorazowa i nie wraca przy rezygnacji (pokrywa przygotowanie pełnej dokumentacji, którą zachowujesz). Po rezygnacji z abonamentu Twój komplet dokumentów zostaje — tracisz tylko aktualizacje, żywy stan i obsługę eksperta.

Ile to faktycznie trwa od zapisu do gotowych dokumentów?

Od wpisania NIP → płatność → ankieta do pobrania pierwszego PDF: ~30 minut. Większość czasu to ankieta (kilka pytań, ~5 minut). Generacja kompletu PDF to ~30 sekund. Przypisanie do konta i weryfikacja danych odbywają się tego samego dnia roboczego.

Czy moje dane są bezpieczne?

Tak. Aplikacja działa na infrastrukturze w UE, dane szyfrowane SSL, baza z Row Level Security (klient widzi tylko swoje dane — nawet my widzimy Twoje dane tylko gdy nam pozwolisz przez portal). Polityka Prywatności moje-rodo.pl + Regulamin opisują wszystko szczegółowo.

Poradnik RODO

Kontrola UODO w gabinecie — spokojny przewodnik krok po kroku

Aktualizacja: 2026-06-16

Jeśli prowadzisz gabinet i słowo „kontrola UODO" przyspiesza Ci tętno — przeczytaj ten tekst do końca. Cel jest prosty: zamienić strach w gotowość. Kontrola nie jest pułapką ani egzaminem, którego nie da się zdać. To uporządkowane postępowanie, w którym urzędnik sprawdza, czy chronisz dane swoich pacjentów tak, jak wymaga tego prawo. A na to można się przygotować — spokojnie, krok po kroku.

Większość lęku bierze się z niewiedzy: nie wiadomo, kto przychodzi, czego chce, ile to trwa i co będzie, jeśli czegoś zabraknie. Rozłóżmy to na czynniki pierwsze.

Kto i kiedy może skontrolować gabinet

Organem nadzorczym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO). To on — przez upoważnionych pracowników Urzędu — prowadzi kontrole przestrzegania RODO. W praktyce do gabinetu przychodzi zespół kontrolujących, a nie „Prezes" osobiście.

Kontrola może mieć dwa główne źródła:

Kontrola planowa — wynika z rocznego planu kontroli sektorowych UODO. Urząd co roku wskazuje branże i tematy, którym przygląda się szczególnie. Sektor ochrony zdrowia regularnie pojawia się w obszarze zainteresowania organu, bo gabinety przetwarzają dane o stanie zdrowia, czyli szczególną kategorię danych (art. 9 RODO). Sektor ochrony zdrowia regularnie trafia do planów kontroli sektorowych UODO.
Kontrola na skutek skargi lub naruszenia — uruchamia ją skarga pacjenta (np. „udostępniono moje wyniki osobie trzeciej"), sygnał z mediów albo zgłoszone naruszenie ochrony danych. To najczęstszy realny scenariusz dla małego gabinetu.

Ważne: brak zgłoszenia kontroli z wyprzedzeniem jest dopuszczalny. W wielu przypadkach kontrolujący mogą pojawić się bez wcześniejszej zapowiedzi — zwłaszcza gdy uprzedzenie mogłoby wpłynąć na wynik. Dlatego gotowość to stan ciągły, a nie akcja na ostatnią chwilę.

Jak przebiega kontrola — krok po kroku

Okazanie upoważnienia i legitymacji. Kontrolujący na wstępie okazują imienne upoważnienie do kontroli oraz legitymację służbową (lub inny dokument tożsamości). Masz prawo spisać dane osób kontrolujących i zakres upoważnienia. Nie wpuszczaj „kontrolera" bez tych dokumentów.
Określenie zakresu. Z upoważnienia wynika, czego dotyczy kontrola — np. zgodności przetwarzania danych pacjentów, bezpieczeństwa dokumentacji medycznej, realizacji praw osób.
Czynności kontrolne. Kontrolujący mają prawo m.in.: wstępu do pomieszczeń, wglądu do dokumentów i danych objętych zakresem, oględzin urządzeń i nośników, żądania pisemnych i ustnych wyjaśnień oraz przesłuchania w charakterze świadka osób związanych z przetwarzaniem.
Protokół kontroli. Przebieg czynności kontrolujący opisują w protokole kontroli. To kluczowy dokument — na jego podstawie ocenia się stan faktyczny.
Twoje prawo do zastrzeżeń. Masz 7 dni na podpisanie protokołu albo zgłoszenie do niego umotywowanych zastrzeżeń. Nie musisz podpisywać „w ciemno".
Co dalej. Jeśli zebrany materiał wskazuje na możliwe naruszenie przepisów, Prezes UODO wszczyna odrębne postępowanie w sprawie naruszenia. Sama kontrola to etap ustalania faktów, jeszcze nie etap kar.

Ile może trwać kontrola UODO

Na gruncie ustawy o ochronie danych osobowych pojedyncza kontrola nie może trwać dłużej niż 30 dni od okazania upoważnienia i legitymacji. Do tego terminu nie wlicza się czasu na zgłoszenie zastrzeżeń ani na podpisanie i doręczenie protokołu.
Dodatkowo, ponieważ gabinet jest przedsiębiorcą, stosuje się limity z Prawa przedsiębiorców (art. 55). Czas trwania wszystkich kontroli jednego organu w roku kalendarzowym nie może przekroczyć: mikroprzedsiębiorca — 6 dni roboczych, mały — 18, średni — 24, pozostali — 48.

Większość gabinetów to mikroprzedsiębiorcy, więc w praktyce wiążący jest krótszy roczny limit z Prawa przedsiębiorców — realny czas kontroli liczony jest w dniach, nie tygodniach.

Co dokładnie sprawdza UODO w gabinecie

To pytanie pada najczęściej — i tu warto być konkretnym. Poniżej obszary, które realnie pojawiają się w kontrolach podmiotów medycznych:

Podstawy prawne przetwarzania — czy dane pacjentów (w tym dane o zdrowiu) przetwarzasz na właściwej podstawie z art. 6 i art. 9 RODO.
Obowiązek informacyjny — czy pacjent dostaje klauzulę informacyjną.
Rejestr czynności przetwarzania (RCP) — czy prowadzisz i aktualizujesz rejestr z art. 30 RODO.
Upoważnienia dla personelu — czy każda osoba z dostępem do danych ma nadane upoważnienie i czy prowadzisz ich ewidencję.
Umowy powierzenia — z podmiotami, którym powierzasz dane (system gabinetowy, laboratorium, księgowość, hosting, niszczenie dokumentów) — art. 28 RODO.
Bezpieczeństwo dokumentacji medycznej — zabezpieczenie kart i wyników przed dostępem nieuprawnionych (zamykane szafy, kontrola dostępu, polityka czystego biurka).
Bezpieczeństwo IT — hasła, uprawnienia w systemie, kopie zapasowe, szyfrowanie nośników.
Realizacja praw pacjentów — obsługa żądań dostępu, sprostowania, usunięcia, ograniczenia; procedura i terminy.
Procedura naruszeń — czy wiesz, jak rozpoznać i zgłosić naruszenie w 72 godziny (art. 33 RODO), i czy prowadzisz wewnętrzny rejestr naruszeń.
Retencja danych — czy przechowujesz dokumentację zgodnie z wymaganymi okresami.
Analiza ryzyka / DPIA — czy oceniłeś ryzyko; dla danych o zdrowiu może być wymagana ocena skutków (art. 35 RODO).
IOD — czy ustalono, że gabinet powinien (lub nie musi) wyznaczyć inspektora, i czy decyzja jest udokumentowana.

Kontrola sprawdza jedno: czy to istnieje i czy potrafisz to pokazać.

Dlaczego liczą się dowody, a nie sam segregator

Najważniejsze zdanie tego tekstu: kontrola nie sprawdza Twoich dobrych intencji, tylko rozliczalność. Zasada rozliczalności (art. 5 ust. 2 RODO) oznacza, że to administrator musi wykazać, że przestrzega przepisów. Nie „twierdzić" — wykazać.

„Szkolimy personel z RODO" vs. lista obecności i podpisane oświadczenia z datą szkolenia.
„Mamy upoważnienia" vs. ewidencja upoważnień z datami nadania i zakresem.
„Reagujemy na incydenty" vs. rejestr naruszeń i procedura z opisem, kto, kiedy, co zrobił.
„Zabezpieczamy systemy" vs. polityka haseł, log nadania uprawnień, potwierdzenie wykonania kopii zapasowych.

Pusty, ładny segregator z politykami to za mało. Komplet dokumentów otwiera drzwi. Dowody wdrożenia przechodzą kontrolę.

Checklista gotowości na kontrolę UODO

Mam aktualny rejestr czynności przetwarzania (RCP).
Mam klauzule informacyjne dla pacjentów (recepcja, formularze, strona www).
Mam politykę ochrony danych i procedury dopasowane do gabinetu.
Każda osoba z dostępem do danych ma upoważnienie, a ja prowadzę ich ewidencję.
Mam umowy powierzenia z dostawcami (system gabinetowy, hosting, księgowość, laboratorium, niszczenie dokumentów).
Mam dowody szkolenia personelu (data, lista, oświadczenia).
Mam procedurę naruszeń i wiem, jak zgłosić naruszenie w 72 h; prowadzę rejestr naruszeń.
Dokumentacja medyczna jest fizycznie i cyfrowo zabezpieczona.
Mam procedurę obsługi praw pacjenta z terminami.
Mam analizę ryzyka (i w razie potrzeby DPIA) — udokumentowaną.
Mam terminarz przeglądów i aktualizacji dokumentów.
Wszystko jest uporządkowane w jednym miejscu i gotowe do pokazania.

Jeśli przy 3 lub więcej punktach się wahasz — to nie powód do paniki, tylko sygnał, że warto domknąć temat zawczasu.

Co grozi za braki — bez straszenia

Po kontroli Prezes UODO dysponuje środkami naprawczymi z art. 58 ust. 2 RODO — od najłagodniejszych do najpoważniejszych. Najczęściej w grze są te pierwsze: upomnienie, nakaz dostosowania przetwarzania do przepisów, nakaz spełnienia żądania osoby, a w cięższych przypadkach ograniczenie lub zakaz przetwarzania.

Odrębnie istnieje możliwość nałożenia administracyjnej kary pieniężnej (art. 83 RODO). Kara nie jest jednak automatyczna ani z góry przesądzona — organ ocenia m.in. charakter, wagę i czas trwania naruszenia, jego umyślność, podjęte działania naprawcze oraz stopień współpracy z organem. Gabinet, który ma uporządkowaną dokumentację i potrafi pokazać dowody wdrożenia, jest w zupełnie innej pozycji niż ten, który nie ma nic. (Świadomie nie podajemy konkretnych kwot — widełki z art. 83 to maksima ogólne, nie miara realnej kary dla małego gabinetu.)

Najgorszy scenariusz to nie kontrola. Najgorszy scenariusz to kontrola, która zastaje Cię nieprzygotowanym. A na to masz pełny wpływ już dziś.

Od strachu do gotowości — co zrobić teraz

Lęk przed kontrolą jest racjonalny tylko wtedy, gdy nie wiesz, jak stoisz. Gdy masz komplet dokumentów, żywy system z dowodami wdrożenia i terminarz przeglądów — kontrola przestaje być zagrożeniem, a staje się formalnością do odhaczenia.

Dokładnie po to powstało moje-rodo.pl: komplet dokumentów RODO dopasowanych do gabinetu plus żywy system — rejestry, prowadzone wdrożenie z dowodami, terminarz zadań. Wszystko uporządkowane w jednym miejscu i gotowe do pokazania, gdy kontrola zapuka do drzwi. Od 999 zł za komplet, abonament od 199 zł/mc za utrzymanie systemu w aktualności.

➡️ Sprawdź swoją gotowość — zrób bezpłatny audyt RODO dla gabinetu. W kilka minut pokażemy Ci, gdzie masz luki i co konkretnie domknąć przed ewentualną kontrolą. → moje-rodo.pl

Najczęstsze pytania

Czy kontrola UODO przychodzi bez zapowiedzi? Najczęściej poprzedza ją informacja o zakresie kontroli, a kontrolujący działają na podstawie imiennego upoważnienia i legitymacji. Niezależnie od tego — najlepszą odpowiedzią jest stała gotowość, a nie reagowanie po fakcie.

Ile trwa kontrola UODO w gabinecie? Pojedyncza kontrola nie może trwać dłużej niż 30 dni od okazania upoważnienia i legitymacji. Dodatkowo dla gabinetu jako przedsiębiorcy obowiązują roczne limity z Prawa przedsiębiorców — dla mikroprzedsiębiorcy to 6 dni roboczych łącznie w roku.

Kto przeprowadza kontrolę? Kontrolę prowadzi Prezes UODO przez upoważnionych pracowników Urzędu. Na wstępie okazują imienne upoważnienie do kontroli oraz legitymację służbową. Bez tych dokumentów nie masz obowiązku wpuszczać osoby podającej się za kontrolera.

Co najczęściej sprawdza UODO w gabinecie lekarskim? Najczęściej: podstawy prawne przetwarzania danych o zdrowiu, rejestr czynności przetwarzania, upoważnienia personelu, umowy powierzenia, zabezpieczenie dokumentacji medycznej, realizację praw pacjentów oraz procedurę zgłaszania naruszeń w 72 godziny.

Czy sam komplet dokumentów RODO wystarczy na kontrolę? Nie. Liczy się rozliczalność (art. 5 ust. 2 RODO) — musisz wykazać, że przepisy są realnie stosowane. Poza dokumentami potrzebujesz dowodów wdrożenia: ewidencji upoważnień, list szkoleń z datami, rejestru naruszeń, logów uprawnień.

Co grozi gabinetowi po kontroli, jeśli wykryto braki? Prezes UODO dysponuje środkami naprawczymi z art. 58 RODO — od upomnienia, przez nakaz dostosowania przetwarzania, po dalej idące środki. Możliwa jest też kara pieniężna (art. 83 RODO), ale nie jest automatyczna — organ bierze pod uwagę m.in. współpracę i podjęte działania naprawcze.

Co zrobić, gdy nie zgadzam się z protokołem kontroli? Masz 7 dni na podpisanie protokołu albo zgłoszenie do niego umotywowanych zastrzeżeń. Możesz wnieść swoje uwagi na piśmie.

Czy mały, jednoosobowy gabinet też może być skontrolowany? Tak. Wielkość gabinetu nie wyłącza obowiązków RODO ani możliwości kontroli — przetwarzanie danych o zdrowiu dotyczy szczególnej kategorii danych niezależnie od skali.

Powiązane artykuły

Materiał edukacyjny, nie porada prawna. Stan prawny: czerwiec 2026. Decyzję o zgodności podejmuje administrator danych (gabinet) — w razie wątpliwości skonsultuj z IOD/prawnikiem albo skorzystaj z moje-rodo, gdzie dokumenty i dowody powstają pod Twój profil.

Roman Jońca · Lajf

Specjalista ds. ochrony danych dla podmiotów medycznych. Treść opracowana w oparciu o RODO, ustawę o prawach pacjenta i wytyczne UODO.