Co dokładnie dostaję za 999 zł na start?

Jednorazowo 999 zł (brutto, 812,20 zł netto + VAT) i dostajesz komplet na wejście: (1) portal klienta z pełną dokumentacją RODO, (2) komplet gotowych dokumentów PDF z Twoimi danymi (Polityka Prywatności, Rejestr Czynności Przetwarzania, Polityka Bezpieczeństwa, klauzule dla pacjentów, pracowników, kontrahentów, rodziców małych pacjentów, monitoring CCTV jeśli masz) + „Komplet do segregatora" (jeden PDF ze spisem treści), (3) badge „RODO pod kontrolą". To Twój komplet startowy — bez zobowiązań abonamentowych. Aktualizacje przy zmianach prawa i obsługę eksperta dokupujesz w abonamencie.

Czym różni się abonament Utrzymanie (199 zł/mc) od Opieki (549 zł/mc)?

UTRZYMANIE (199 zł/mc) to sam software „żywego stanu": Twoje dokumenty są aktualizowane przy zmianach w prawie (robimy to za Ciebie), masz wskaźnik kondycji RODO, niezmienialny dziennik zgodności, terminarz obowiązków z przypomnieniami i paczkę dowodową na kontrolę UODO jednym kliknięciem. OPIEKA (549 zł/mc) to wszystko z Utrzymania PLUS człowiek: ekspert RODO do 2 godzin konsultacji w miesiącu (email/portal, SLA 24h) i pomoc przy incydentach.

Czy abonament jest obowiązkowy? Mogę zostać na samym starcie za 999 zł?

Abonament jest opcjonalny — po opłacie 999 zł komplet dokumentów jest Twój i zostaje w portalu. ALE RODO nie jest jednorazowe: co rok zmieniają się klauzule, wchodzą nowe wytyczne UODO, dodajesz usługę i dokumenty trzeba zaktualizować. Bez abonamentu Twój komplet z czasem się dezaktualizuje. Abonament (od 199 zł/mc) to różnica między „segregatorem w szufladzie" a żywą, aktualną dokumentacją.

Skąd wiem, czy jestem „praktyką zawodową", czy „podmiotem leczniczym"?

To zależy od formy prawnej, w jakiej działasz — nie od kontraktu z NFZ. Praktyka zawodowa to indywidualna lub grupowa praktyka (lekarska, pielęgniarska, fizjoterapeutyczna itp.) wpisana do rejestru praktyk. Podmiot leczniczy to wpis do RPWDL jako podmiot leczniczy (przychodnia, klinika, centrum medyczne). Status decyduje przede wszystkim o obowiązku formalnego IOD.

Czy muszę mieć formalnego Inspektora Ochrony Danych (IOD)?

Formalny obowiązek IOD wynika z art. 37 RODO — gdy główna działalność polega na przetwarzaniu danych o zdrowiu „na dużą skalę". W praktyce: podmioty lecznicze (przychodnie, kliniki) zwykle ten obowiązek mają, a indywidualne praktyki zawodowe zwykle nie. Bez obowiązku wystarczy tor praktyki zawodowej (komplet dokumentów + abonament). Jako podmiot leczniczy potrzebujący formalnego Inspektora zgłoszonego do UODO — tor „Podmiot leczniczy", wycena indywidualna.

Co jeśli zatrudnię pracownika lub zmienię adres?

Logujesz się do portalu, edytujesz dane (zaznaczasz „mam pracownika" lub zmieniasz adres), klikasz „Regeneruj dokumenty" — komplet z nowymi danymi gotowy w ~30 sekund. W torze praktyki zawodowej robisz to sam; jako podmiot leczniczy Inspektor sprawdza i potwierdza, czy customizacja klauzul jest zgodna.

Co jeśli UODO przyjedzie na kontrolę?

Z aktywnym abonamentem masz aktualną dokumentację, niezmienialny dziennik działań i paczkę dowodową gotową do okazania jednym kliknięciem — fundamentalne minimum, które chce zobaczyć kontroler. Jako podmiot leczniczy z formalnym IOD dochodzi wsparcie: dzwonisz do Inspektora, łączymy się zdalnie lub przyjeżdżamy, pomagamy przygotować odpowiedzi dla urzędu (administratorem pozostajesz Ty).

Czy mogę zrezygnować z abonamentu w każdej chwili?

Tak — rezygnujesz z abonamentu kiedy chcesz, bez wypowiedzeń i kar, z końcem opłaconego okresu. Opłata startowa 999 zł jest jednorazowa i nie wraca przy rezygnacji (pokrywa przygotowanie pełnej dokumentacji, którą zachowujesz). Po rezygnacji z abonamentu Twój komplet dokumentów zostaje — tracisz tylko aktualizacje, żywy stan i obsługę eksperta.

Ile to faktycznie trwa od zapisu do gotowych dokumentów?

Od wpisania NIP → płatność → ankieta do pobrania pierwszego PDF: ~30 minut. Większość czasu to ankieta (kilka pytań, ~5 minut). Generacja kompletu PDF to ~30 sekund. Przypisanie do konta i weryfikacja danych odbywają się tego samego dnia roboczego.

Czy moje dane są bezpieczne?

Tak. Aplikacja działa na infrastrukturze w UE, dane szyfrowane SSL, baza z Row Level Security (klient widzi tylko swoje dane — nawet my widzimy Twoje dane tylko gdy nam pozwolisz przez portal). Polityka Prywatności moje-rodo.pl + Regulamin opisują wszystko szczegółowo.

Poradnik RODO

Zgłoszenie naruszenia ochrony danych w 72h — co robić, gdy wyciekły dane w gabinecie

Aktualizacja: 2026-06-16

Zgubiony laptop z dokumentacją. Mail z wynikami wysłany do niewłaściwego pacjenta. Skradziona teczka. Zaszyfrowane przez ransomware dyski w rejestracji. To nie są scenariusze z filmu — to najczęstsze naruszenia ochrony danych w gabinetach medycznych. I w każdym z nich liczy się czas: od stwierdzenia naruszenia masz w miarę możliwości 72 godziny, by zgłosić je do Prezesa UODO (art. 33 RODO).

Ten przewodnik prowadzi Cię przez całą procedurę krok po kroku — spokojnie, bez paniki. Najważniejsze na start: nie każde naruszenie trzeba zgłaszać do UODO, ale każde trzeba odnotować u siebie.

Uwaga: w gabinecie przetwarzasz dane o zdrowiu — dane szczególnej kategorii (art. 9 RODO). Próg „wysokiego ryzyka" jest tu osiągany dużo łatwiej niż przy zwykłych danych kontaktowych. Traktuj każde zdarzenie poważnie.

Co liczy się jako naruszenie ochrony danych

Naruszenie to każde zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych. W praktyce gabinetu najczęściej:

Zgubiony lub skradziony nośnik — laptop, telefon, pendrive, dysk z dokumentacją.
Mail do złego adresata — wyniki albo lista pacjentów do niewłaściwej osoby (DW zamiast UDW).
Kradzież lub zagubienie dokumentacji papierowej — teczki, karty, skierowania.
Ransomware / atak — zaszyfrowanie albo wyciek bazy pacjentów.
Nieuprawniony dostęp — były pracownik z aktywnym loginem, podejrzenie kartoteki bez podstawy.
Wyrzucenie dokumentów bez zniszczenia — karty w koszu zamiast w niszczarce.

To, czy naruszenie trzeba zgłosić, rozstrzyga się dopiero po ocenie ryzyka, nie na oko.

Procedura krok po kroku (art. 33–34 RODO)

Krok 1 — Wykryj i zabezpiecz (od razu)

Gdy dowiesz się o zdarzeniu, zatrzymaj szkodę i zanotuj moment stwierdzenia naruszenia — od tej chwili biegnie 72 godziny. „Stwierdzenie" to moment uzasadnionej pewności, że doszło do naruszenia, nie pierwszy sygnał. Konkretnie: odetnij źródło (zdalne czyszczenie laptopa, cofnięcie maila, zmiana haseł, odłączenie zainfekowanego komputera); zapisz fakty (co, kiedy, czyje dane, ile osób); nie kasuj śladów.

Krok 2 — Oceń ryzyko dla pacjentów

Pytasz: czy naruszenie może skutkować ryzykiem dla praw i wolności osób? Bierzesz pod uwagę rodzaj danych (dane o zdrowiu = wysoka waga), liczbę osób i rekordów, czy dane były zaszyfrowane/nieczytelne, realne skutki.

Poziom ryzyka	Zgłoszenie do UODO (art. 33)	Zawiadomienie pacjentów (art. 34)	Rejestr (art. 33 ust. 5)
Brak / mało prawdopodobne	Nie	Nie	Tak
Ryzyko	Tak (72h)	Nie (zwykle)	Tak
Wysokie ryzyko	Tak (72h)	Tak	Tak

Krok 3 — Zgłoś do UODO w 72 godzinach (jeśli jest ryzyko)

Zgłaszasz bez zbędnej zwłoki — w miarę możliwości w 72 godziny od stwierdzenia. Jeśli nie zdążysz, i tak zgłaszasz, ale dołączasz wyjaśnienie przyczyn opóźnienia (art. 33 ust. 1).

Co zawiera zgłoszenie (art. 33 ust. 3): opis charakteru naruszenia (kategorie i przybliżona liczba osób oraz rekordów); dane kontaktowe IOD lub punktu kontaktowego; opis możliwych konsekwencji; opis zastosowanych/proponowanych środków zaradczych. Brakujące informacje możesz przekazywać etapowo.

Jak zgłosić (kanały UODO): formularz na biznes.gov.pl, ePUAP (skrytka UODO/SkrytkaESP), „pismo ogólne", poczta. Elektronicznie podpisujesz profilem zaufanym lub podpisem kwalifikowanym.

Krok 4 — Zawiadom pacjentów (tylko przy wysokim ryzyku)

Przy wysokim ryzyku masz obowiązek z art. 34: zawiadomić bez zbędnej zwłoki same osoby, jasnym, prostym językiem (opis naruszenia, kontakt IOD, możliwe konsekwencje, podjęte środki).

Kiedy nie musisz zawiadamiać (art. 34 ust. 3): dane objęte środkami (np. szyfrowaniem) czyniącymi je nieczytelnymi; zastosowano środki eliminujące prawdopodobieństwo wysokiego ryzyka; zawiadomienie wymagałoby niewspółmiernie dużego wysiłku (wtedy komunikat publiczny). Stąd realna korzyść z szyfrowania nośników. W praktyce skuteczne szyfrowanie obniża też samo ryzyko naruszenia — a jeśli sprawia, że staje się ono mało prawdopodobne dla praw i wolności osób, może wpłynąć również na ocenę obowiązku zgłoszenia z art. 33. To jednak zawsze ocena konkretnego przypadku, nie automatyczna reguła — przy danych o zdrowiu traktuj zdarzenie poważnie i w razie wątpliwości zgłoś.

Krok 5 — Odnotuj w rejestrze naruszeń (zawsze)

Bezwzględnie obowiązkowy (art. 33 ust. 5). Dokumentujesz KAŻDE naruszenie — także niezgłaszane do UODO. Wpis: okoliczności, przebieg, skutki, działania zaradcze. Jeśli oceniłeś „niskie ryzyko" i nie zgłosiłeś — uzasadnienie tej decyzji też zapisujesz w rejestrze. Brak rejestru sam w sobie jest naruszeniem przepisów.

Krok 6 — Wyciągnij wnioski

Wróć do przyczyny: dlaczego do tego doszło i jak zapobiec (szyfrowanie dysków, polityka czystego biurka, szkolenie z wysyłki maili, kontrola dostępów).

Dlaczego procedurę i rejestr trzeba mieć PRZED naruszeniem

72 godziny to mało — a zegar rusza w najgorszym momencie. Jeśli teraz nie wiesz, gdzie jest formularz zgłoszenia, kto ocenia ryzyko i gdzie wpisać zdarzenie do rejestru, przepalisz pół terminu na szukanie. Procedura i rejestr to nie papier do szuflady — to instrukcja działania na kryzys.

moje-rodo.pl daje jedno i drugie jako żywy system: gotową procedurę naruszeń dopasowaną do gabinetu, rejestr naruszeń w aplikacji (z miejscem na ocenę ryzyka i decyzję o zgłoszeniu) oraz wdrożenie z dowodami pod kontrolę. Komplet od 999 zł, system w abonamencie od 199 zł/mc.

➡️ Sprawdź gotowość swojego gabinetu — zrób bezpłatny audyt RODO. W kilka minut zobaczysz, czy masz procedurę naruszeń i rejestr gotowe na kryzys, i co domknąć, zanim ruszy zegar 72h. → moje-rodo.pl

Najczęstsze pytania

Czy zawsze mam dokładnie 72 godziny na zgłoszenie? Termin to „bez zbędnej zwłoki, w miarę możliwości nie później niż 72 godziny od stwierdzenia naruszenia". Po przekroczeniu nadal zgłaszasz, ale z wyjaśnieniem opóźnienia (art. 33 ust. 1). Liczy się moment stwierdzenia, nie samego zdarzenia.

Zgubiłem laptopa z danymi pacjentów — co robić? Zabezpiecz (zdalne czyszczenie, zmiana haseł), zanotuj moment stwierdzenia, oceń ryzyko. Jeśli dysk był zaszyfrowany, dane są nieczytelne — to zmniejsza ryzyko i zwykle zwalnia z zawiadamiania pacjentów (art. 34 ust. 3). Niezależnie — odnotuj w rejestrze.

Wysłałem maila z wynikami do złego pacjenta — to naruszenie? Tak, to nieuprawnione ujawnienie danych o zdrowiu. Spróbuj wycofać wiadomość i poproś odbiorcę o usunięcie, oceń ryzyko i — przy danych medycznych — najczęściej zgłoś do UODO. Zawsze wpisz do rejestru.

Kiedy NIE muszę zgłaszać naruszenia do UODO? Gdy jest mało prawdopodobne, by skutkowało ryzykiem dla praw i wolności osób (np. drobne zdarzenie na danych zaszyfrowanych). Ale nawet wtedy odnotowujesz je w wewnętrznym rejestrze i zapisujesz uzasadnienie decyzji.

Co dokładnie musi zawierać zgłoszenie do UODO? Co najmniej: opis charakteru naruszenia (kategorie i przybliżona liczba osób oraz rekordów), dane kontaktowe IOD/punktu kontaktowego, opis możliwych konsekwencji, opis środków zaradczych (art. 33 ust. 3). Można uzupełniać etapowo.

Czym jest rejestr naruszeń i czy muszę go prowadzić? Tak — obowiązek z art. 33 ust. 5. Dokumentujesz każde naruszenie (okoliczności, przebieg, skutki, działania), niezależnie od zgłoszenia do UODO. Jego brak to samodzielne naruszenie, a UODO może go żądać przy kontroli.

Powiązane artykuły

Materiał edukacyjny, nie porada prawna. Stan prawny: czerwiec 2026. Decyzję o zgodności podejmuje administrator danych (gabinet) — w razie wątpliwości skonsultuj z IOD/prawnikiem albo skorzystaj z moje-rodo, gdzie dokumenty i dowody powstają pod Twój profil.

Roman Jońca · Lajf

Specjalista ds. ochrony danych dla podmiotów medycznych. Treść opracowana w oparciu o RODO, ustawę o prawach pacjenta i wytyczne UODO.