Co dokładnie dostaję za 999 zł na start?

Jednorazowo 999 zł (brutto, 812,20 zł netto + VAT) i dostajesz komplet na wejście: (1) portal klienta z pełną dokumentacją RODO, (2) komplet gotowych dokumentów PDF z Twoimi danymi (Polityka Prywatności, Rejestr Czynności Przetwarzania, Polityka Bezpieczeństwa, klauzule dla pacjentów, pracowników, kontrahentów, rodziców małych pacjentów, monitoring CCTV jeśli masz) + „Komplet do segregatora" (jeden PDF ze spisem treści), (3) badge „RODO pod kontrolą". To Twój komplet startowy — bez zobowiązań abonamentowych. Aktualizacje przy zmianach prawa i obsługę eksperta dokupujesz w abonamencie.

Czym różni się abonament Utrzymanie (199 zł/mc) od Opieki (549 zł/mc)?

UTRZYMANIE (199 zł/mc) to sam software „żywego stanu": Twoje dokumenty są aktualizowane przy zmianach w prawie (robimy to za Ciebie), masz wskaźnik kondycji RODO, niezmienialny dziennik zgodności, terminarz obowiązków z przypomnieniami i paczkę dowodową na kontrolę UODO jednym kliknięciem. OPIEKA (549 zł/mc) to wszystko z Utrzymania PLUS człowiek: ekspert RODO do 2 godzin konsultacji w miesiącu (email/portal, SLA 24h) i pomoc przy incydentach.

Czy abonament jest obowiązkowy? Mogę zostać na samym starcie za 999 zł?

Abonament jest opcjonalny — po opłacie 999 zł komplet dokumentów jest Twój i zostaje w portalu. ALE RODO nie jest jednorazowe: co rok zmieniają się klauzule, wchodzą nowe wytyczne UODO, dodajesz usługę i dokumenty trzeba zaktualizować. Bez abonamentu Twój komplet z czasem się dezaktualizuje. Abonament (od 199 zł/mc) to różnica między „segregatorem w szufladzie" a żywą, aktualną dokumentacją.

Skąd wiem, czy jestem „praktyką zawodową", czy „podmiotem leczniczym"?

To zależy od formy prawnej, w jakiej działasz — nie od kontraktu z NFZ. Praktyka zawodowa to indywidualna lub grupowa praktyka (lekarska, pielęgniarska, fizjoterapeutyczna itp.) wpisana do rejestru praktyk. Podmiot leczniczy to wpis do RPWDL jako podmiot leczniczy (przychodnia, klinika, centrum medyczne). Status decyduje przede wszystkim o obowiązku formalnego IOD.

Czy muszę mieć formalnego Inspektora Ochrony Danych (IOD)?

Formalny obowiązek IOD wynika z art. 37 RODO — gdy główna działalność polega na przetwarzaniu danych o zdrowiu „na dużą skalę". W praktyce: podmioty lecznicze (przychodnie, kliniki) zwykle ten obowiązek mają, a indywidualne praktyki zawodowe zwykle nie. Bez obowiązku wystarczy tor praktyki zawodowej (komplet dokumentów + abonament). Jako podmiot leczniczy potrzebujący formalnego Inspektora zgłoszonego do UODO — tor „Podmiot leczniczy", wycena indywidualna.

Co jeśli zatrudnię pracownika lub zmienię adres?

Logujesz się do portalu, edytujesz dane (zaznaczasz „mam pracownika" lub zmieniasz adres), klikasz „Regeneruj dokumenty" — komplet z nowymi danymi gotowy w ~30 sekund. W torze praktyki zawodowej robisz to sam; jako podmiot leczniczy Inspektor sprawdza i potwierdza, czy customizacja klauzul jest zgodna.

Co jeśli UODO przyjedzie na kontrolę?

Z aktywnym abonamentem masz aktualną dokumentację, niezmienialny dziennik działań i paczkę dowodową gotową do okazania jednym kliknięciem — fundamentalne minimum, które chce zobaczyć kontroler. Jako podmiot leczniczy z formalnym IOD dochodzi wsparcie: dzwonisz do Inspektora, łączymy się zdalnie lub przyjeżdżamy, pomagamy przygotować odpowiedzi dla urzędu (administratorem pozostajesz Ty).

Czy mogę zrezygnować z abonamentu w każdej chwili?

Tak — rezygnujesz z abonamentu kiedy chcesz, bez wypowiedzeń i kar, z końcem opłaconego okresu. Opłata startowa 999 zł jest jednorazowa i nie wraca przy rezygnacji (pokrywa przygotowanie pełnej dokumentacji, którą zachowujesz). Po rezygnacji z abonamentu Twój komplet dokumentów zostaje — tracisz tylko aktualizacje, żywy stan i obsługę eksperta.

Ile to faktycznie trwa od zapisu do gotowych dokumentów?

Od wpisania NIP → płatność → ankieta do pobrania pierwszego PDF: ~30 minut. Większość czasu to ankieta (kilka pytań, ~5 minut). Generacja kompletu PDF to ~30 sekund. Przypisanie do konta i weryfikacja danych odbywają się tego samego dnia roboczego.

Czy moje dane są bezpieczne?

Tak. Aplikacja działa na infrastrukturze w UE, dane szyfrowane SSL, baza z Row Level Security (klient widzi tylko swoje dane — nawet my widzimy Twoje dane tylko gdy nam pozwolisz przez portal). Polityka Prywatności moje-rodo.pl + Regulamin opisują wszystko szczegółowo.

Poradnik RODO

Rejestr czynności przetwarzania — wzór dla gabinetu (RCP wg art. 30 RODO)

Aktualizacja: 2026-06-16

Jeśli szukasz „wzoru RCP", prawdopodobnie wiesz już jedno: Twój gabinet musi taki rejestr prowadzić. Pytanie nie brzmi „czy", tylko „jak go poprawnie wypełnić, żeby przy kontroli UODO nie było problemu". Ten materiał daje Ci jedno i drugie: jasne wyjaśnienie, co musi się w rejestrze znaleźć, oraz gotową, przykładowo wypełnioną tabelę wpisów dla typowego gabinetu — z realnymi podstawami prawnymi, okresami przechowywania i odbiorcami danych.

Czym jest rejestr czynności przetwarzania (RCP)

Rejestr czynności przetwarzania (RCP) to wewnętrzny dokument administratora danych — czyli Twojego gabinetu — w którym spisujesz wszystkie sytuacje, w których przetwarzasz dane osobowe. Jedna „czynność przetwarzania" to jeden cel, dla którego zbierasz i wykorzystujesz dane: prowadzenie dokumentacji medycznej, umawianie wizyt, rozliczenia z NFZ, kadry, monitoring i tak dalej.

Podstawą prawną jest art. 30 RODO. Rejestr nie jest sprawozdaniem, które gdzieś wysyłasz — to dokument, który trzymasz u siebie i okazujesz organowi nadzorczemu (UODO) na żądanie (art. 30 ust. 4 RODO). W praktyce jest to pierwszy dokument, o który prosi inspektor podczas kontroli. Brak rejestru albo rejestr „na oko" to jeden z najczęstszych powodów uwag pokontrolnych.

Administrator i podmiot przetwarzający — kto prowadzi rejestr

Warto rozróżnić dwie role:

Administrator — podmiot, który decyduje o celach i sposobach przetwarzania. Twój gabinet jest administratorem danych pacjentów i pracowników. Administrator prowadzi rejestr czynności przetwarzania (art. 30 ust. 1).
Podmiot przetwarzający (procesor) — firma, która przetwarza dane w Twoim imieniu, np. zewnętrzna firma IT hostująca system gabinetowy, biuro rachunkowe, firma niszcząca dokumentację. Procesor prowadzi osobny rejestr kategorii czynności przetwarzania (art. 30 ust. 2).

Ten wzór dotyczy roli, w której jest gabinet na co dzień — administratora.

Co musi zawierać wpis — pełna lista z art. 30 ust. 1 RODO

Każdy wpis (każda czynność) w rejestrze administratora powinien zawierać poniższe elementy. To dosłowna lista z art. 30 ust. 1 RODO:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także — gdy ma to zastosowanie — przedstawiciela administratora oraz inspektora ochrony danych (IOD);
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie — informacje o przekazaniach danych do państwa trzeciego lub organizacji międzynarodowej, wraz z odpowiednimi zabezpieczeniami;
f) jeżeli jest to możliwe — planowane terminy usunięcia poszczególnych kategorii danych (retencja);
g) jeżeli jest to możliwe — ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Punkty a–b i nazwa administratora powtarzają się w każdym wpisie (lub umieszcza się je w nagłówku rejestru). Sednem dokumentu są kolumny c–g wypełnione osobno dla każdej czynności.

Przykładowo wypełniony rejestr czynności przetwarzania — wzór dla gabinetu

Poniżej najważniejsza część: przykładowa tabela RCP dla typowego gabinetu lekarskiego/stomatologicznego. Pięć najczęstszych czynności, z realnymi podstawami i okresami. To wzór poglądowy — punkt wyjścia do dopasowania pod realia Twojego gabinetu, a nie gotowy dokument do skopiowania bez zmian. Twoja lista może być dłuższa (np. newsletter, fanpage, rekrutacja).

Czynność przetwarzania	Cel	Kategorie osób / danych	Podstawa prawna	Kategorie odbiorców	Retencja (planowany termin usunięcia)
Prowadzenie dokumentacji medycznej	Udzielanie świadczeń zdrowotnych, diagnostyka, leczenie	Pacjenci / dane identyfikacyjne, kontaktowe oraz dane o stanie zdrowia (szczególna kategoria)	art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. h RODO w zw. z ustawą o prawach pacjenta i ustawą o działalności leczniczej	Inni lekarze/podmioty kontynuujące leczenie, laboratoria, NFZ, organy uprawnione na żądanie	20 lat od końca roku ostatniego wpisu (z wyjątkami — patrz niżej)
Rejestracja i umawianie wizyt	Organizacja wizyt, kontakt z pacjentem, przypomnienia SMS	Pacjenci / imię, nazwisko, telefon, e-mail, termin	art. 6 ust. 1 lit. b (czynności przed zawarciem umowy) i/lub lit. f RODO; dane o zdrowiu objęte dokumentacją – jak wyżej	Dostawca systemu gabinetowego/SMS (procesor)	Do realizacji wizyty / włączenie do dokumentacji medycznej; dane czysto kontaktowe — krótko po wizycie
Kadry i akta pracownicze	Zatrudnienie, rozliczenie czasu pracy, BHP, medycyna pracy	Pracownicy, współpracownicy / dane osobowe, orzeczenia o zdolności do pracy	art. 6 ust. 1 lit. c, art. 9 ust. 2 lit. b RODO w zw. z Kodeksem pracy	ZUS, US, biuro rachunkowe (procesor), medycyna pracy	10 lat od końca roku ustania zatrudnienia — dla zatrudnionych od 1.01.2019. Dla wcześniejszych zwykle 50 lat (z możliwością skrócenia do 10 lat po złożeniu w ZUS raportów OSW/RIA — dotyczy zatrudnionych w latach 1999–2018)
Rozliczenia (NFZ, podatki, faktury)	Sprawozdawczość do NFZ, obowiązki podatkowe i księgowe	Pacjenci, kontrahenci / dane do rozliczeń, kwoty świadczeń	art. 6 ust. 1 lit. c RODO w zw. z przepisami podatkowymi i o świadczeniach z NFZ	NFZ, Urząd Skarbowy, biuro rachunkowe (procesor)	Faktury i księgi rachunkowe: 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku
Monitoring wizyjny	Bezpieczeństwo osób i mienia	Pacjenci, pracownicy, osoby wchodzące / wizerunek	art. 6 ust. 1 lit. f RODO (uzasadniony interes)	Firma ochrony (procesor), organy ścigania na żądanie	Nagrania do 3 miesięcy (art. 222 Kodeksu pracy), chyba że stanowią dowód w postępowaniu

Tabelę uzupełnij nagłówkiem z danymi administratora (nazwa gabinetu, NIP, adres, kontakt) oraz IOD, jeśli został wyznaczony — to realizacja lit. a z art. 30 ust. 1.

Okresy przechowywania (retencja) — to muszą być prawdziwe terminy

Kolumna „retencja" to miejsce, w którym najczęściej pojawiają się błędy z przepisanego z internetu wzoru. Dla gabinetu kluczowy jest art. 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Zasada i wyjątki:

Zasada: 20 lat — dokumentację medyczną przechowuje się przez 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu.
30 lat — w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia (licząc od końca roku, w którym nastąpił zgon).
30 lat — dokumentacja zawierająca dane niezbędne do monitorowania losów krwi i jej składników.
10 lat — zdjęcia rentgenowskie przechowywane poza dokumentacją medyczną pacjenta (od końca roku wykonania zdjęcia).
5 lat — skierowania na badania lub zlecenia lekarza (od końca roku, w którym udzielono świadczenia); 2 lata, jeśli świadczenie nie zostało udzielone z powodu niezgłoszenia się pacjenta.
22 lata — dokumentacja medyczna dzieci do ukończenia 2. roku życia.

Po upływie terminu dokumentację niszczy się w sposób uniemożliwiający identyfikację pacjenta. Dla pozostałych czynności (kadry, podatki) terminy wynikają z odrębnych ustaw — akta pracownicze co do zasady 10 lat (dla zatrudnionych od 2019 r.), dokumenty podatkowe i księgi rachunkowe 5 lat. W praktyce warto potwierdzić je z księgowym i kadrami, bo zależą od dat zatrudnienia i rodzaju dokumentu.

Najczęstsze błędy w rejestrze gabinetu

„Mam mniej niż 250 osób, więc rejestru nie muszę prowadzić" — najgroźniejszy mit. Art. 30 ust. 5 RODO faktycznie zwalnia podmioty zatrudniające poniżej 250 osób, ale wyłączenie NIE działa, gdy spełniony jest którykolwiek z warunków: przetwarzanie może powodować ryzyko naruszenia praw osób, nie ma charakteru sporadycznego, albo obejmuje szczególne kategorie danych (art. 9) lub dane o wyrokach (art. 10). Gabinet przetwarza dane o zdrowiu (szczególna kategoria) w sposób ciągły (nie sporadyczny) — czyli prowadzi RCP niezależnie od liczby pracowników. Praktycznie każdy podmiot leczniczy to obowiązek.
Mylenie podstawy prawnej — przy dokumentacji medycznej nie wystarczy „zgoda pacjenta". Podstawą jest obowiązek prawny (lit. c) i art. 9 ust. 2 lit. h, a nie zgoda.
Wpisanie błędnych okresów retencji — przepisanie „5 lat" z ogólnego wzoru zamiast 20 lat z ustawy o prawach pacjenta.
Pominięcie procesorów w kolumnie odbiorców — firma IT, biuro rachunkowe, dostawca SMS to odbiorcy/procesorzy, z którymi powinna być zawarta umowa powierzenia.
Rejestr „raz i na zawsze" — patrz niżej.

RCP to dokument żywy

Rejestr nie jest jednorazowym PDF-em do segregatora. Za każdym razem, gdy dochodzi nowa czynność (nowy system, newsletter, badania kliniczne, monitoring), powinieneś dopisać wpis. Gdy zmienia się dostawca lub okres przechowywania — zaktualizować. UODO ocenia, czy rejestr odzwierciedla rzeczywistość gabinetu, a nie czy istnieje ładny plik sprzed trzech lat. Dlatego ręcznie wypełniany wzór w Wordzie szybko się dezaktualizuje — i to jest realny problem.

Zamiast wypełniać wzór ręcznie — wygeneruj i prowadź RCP automatycznie

Wzór z tabelą wyżej pozwala zrozumieć strukturę. Ale „zrozumieć" to nie to samo co „mieć aktualny, zgodny rejestr w każdym momencie". Ręczne pilnowanie podstaw prawnych, okresów retencji i nowych czynności to dokładnie ten obszar, w którym gabinety robią błędy.

moje-rodo.pl prowadzi rejestr czynności przetwarzania na żywo i eksportuje go do PDF zgodnie z art. 30 — odpowiadasz na pytania o swój gabinet, a system sam dobiera czynności, podstawy prawne i okresy przechowywania. Do tego generuje komplet dokumentów RODO dopasowanych do gabinetu, więc rejestr nie jest oderwanym plikiem, tylko częścią spójnej dokumentacji.

Zanim cokolwiek kupisz — sprawdź, jak stoisz. Najprostszy pierwszy krok to bezpłatny audyt: pokaże, czy Twój rejestr czynności jest kompletny i co domknąć przed ewentualną kontrolą.

➡️ Zrób bezpłatny audyt gotowości RODO dla swojego gabinetu — w kilka minut zobaczysz luki, w tym braki w RCP. → moje-rodo.pl

Jeśli zechcesz, system poprowadzi rejestr i komplet dokumentów dalej — od 999 zł za komplet, abonament od 199 zł/mc z aktualizacją przy zmianie przepisów (taniej niż jeden audyt po kontroli). Ale od audytu nic nie musisz.

Zobacz, co wchodzi w komplet dokumentów RODO → /dokumentacja-rodo-gabinet-lekarski

Najczęstsze pytania

Czy gabinet poniżej 250 pracowników musi prowadzić RCP? Tak. Wyłączenie z art. 30 ust. 5 RODO nie obejmuje podmiotów, które przetwarzają szczególne kategorie danych (art. 9, m.in. dane o zdrowiu) lub robią to w sposób niesporadyczny. Gabinet spełnia oba warunki, więc prowadzi rejestr niezależnie od liczby zatrudnionych.

Co dokładnie musi zawierać wpis w rejestrze? Zgodnie z art. 30 ust. 1 RODO: dane administratora (i IOD, jeśli jest), cele przetwarzania, kategorie osób i danych, kategorie odbiorców, ewentualne przekazania do państw trzecich, planowane terminy usunięcia oraz ogólny opis środków bezpieczeństwa.

Czy rejestr czynności przetwarzania wysyła się do UODO? Nie. Rejestr prowadzi się i przechowuje u siebie. Udostępnia się go organowi nadzorczemu (UODO) wyłącznie na jego żądanie, np. podczas kontroli (art. 30 ust. 4).

Jak długo gabinet przechowuje dokumentację medyczną? Co do zasady 20 lat od końca roku ostatniego wpisu. Wyjątki: 30 lat (zgon wskutek uszkodzenia ciała/zatrucia, monitorowanie krwi), 10 lat (zdjęcia rtg poza dokumentacją), 5 lat (skierowania/zlecenia; 2 lata, gdy świadczenia nie udzielono), 22 lata (dzieci do ukończenia 2. roku życia).

Czym różni się rejestr administratora od rejestru kategorii czynności? Rejestr czynności (art. 30 ust. 1) prowadzi administrator — czyli gabinet. Rejestr kategorii czynności (art. 30 ust. 2) prowadzi podmiot przetwarzający dane w cudzym imieniu, np. firma IT czy biuro rachunkowe.

Czy wystarczy raz wypełnić wzór i odłożyć? Nie. RCP to dokument żywy — aktualizuje się przy każdej nowej czynności przetwarzania, zmianie dostawcy, celu czy okresu przechowywania. Nieaktualny rejestr jest traktowany jak jego brak.

Czy do RCP potrzebny jest inspektor ochrony danych (IOD)? Rejestr należy prowadzić niezależnie od tego, czy wyznaczono IOD. Jeśli IOD jest powołany, jego dane kontaktowe wpisuje się do rejestru (art. 30 ust. 1 lit. a). Obowiązek wyznaczenia IOD to odrębna kwestia (art. 37 RODO).

Jakiej podstawy prawnej użyć dla dokumentacji medycznej? art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. h RODO w związku z ustawą o prawach pacjenta i ustawą o działalności leczniczej — a nie zgoda pacjenta.

Powiązane artykuły

Materiał edukacyjny, nie porada prawna. Stan prawny: czerwiec 2026. Decyzję o zgodności podejmuje administrator danych (gabinet) — w razie wątpliwości skonsultuj z IOD/prawnikiem albo skorzystaj z moje-rodo, gdzie dokumenty i dowody powstają pod Twój profil.

Roman Jońca · Lajf

Specjalista ds. ochrony danych dla podmiotów medycznych. Treść opracowana w oparciu o RODO, ustawę o prawach pacjenta i wytyczne UODO.