Co dokładnie dostaję za 999 zł na start?

Jednorazowo 999 zł (brutto, 812,20 zł netto + VAT) i dostajesz komplet na wejście: (1) portal klienta z pełną dokumentacją RODO, (2) komplet gotowych dokumentów PDF z Twoimi danymi (Polityka Prywatności, Rejestr Czynności Przetwarzania, Polityka Bezpieczeństwa, klauzule dla pacjentów, pracowników, kontrahentów, rodziców małych pacjentów, monitoring CCTV jeśli masz) + „Komplet do segregatora" (jeden PDF ze spisem treści), (3) badge „RODO pod kontrolą". To Twój komplet startowy — bez zobowiązań abonamentowych. Aktualizacje przy zmianach prawa i obsługę eksperta dokupujesz w abonamencie.

Czym różni się abonament Utrzymanie (199 zł/mc) od Opieki (549 zł/mc)?

UTRZYMANIE (199 zł/mc) to sam software „żywego stanu": Twoje dokumenty są aktualizowane przy zmianach w prawie (robimy to za Ciebie), masz wskaźnik kondycji RODO, niezmienialny dziennik zgodności, terminarz obowiązków z przypomnieniami i paczkę dowodową na kontrolę UODO jednym kliknięciem. OPIEKA (549 zł/mc) to wszystko z Utrzymania PLUS człowiek: ekspert RODO do 2 godzin konsultacji w miesiącu (email/portal, SLA 24h) i pomoc przy incydentach.

Czy abonament jest obowiązkowy? Mogę zostać na samym starcie za 999 zł?

Abonament jest opcjonalny — po opłacie 999 zł komplet dokumentów jest Twój i zostaje w portalu. ALE RODO nie jest jednorazowe: co rok zmieniają się klauzule, wchodzą nowe wytyczne UODO, dodajesz usługę i dokumenty trzeba zaktualizować. Bez abonamentu Twój komplet z czasem się dezaktualizuje. Abonament (od 199 zł/mc) to różnica między „segregatorem w szufladzie" a żywą, aktualną dokumentacją.

Skąd wiem, czy jestem „praktyką zawodową", czy „podmiotem leczniczym"?

To zależy od formy prawnej, w jakiej działasz — nie od kontraktu z NFZ. Praktyka zawodowa to indywidualna lub grupowa praktyka (lekarska, pielęgniarska, fizjoterapeutyczna itp.) wpisana do rejestru praktyk. Podmiot leczniczy to wpis do RPWDL jako podmiot leczniczy (przychodnia, klinika, centrum medyczne). Status decyduje przede wszystkim o obowiązku formalnego IOD.

Czy muszę mieć formalnego Inspektora Ochrony Danych (IOD)?

Formalny obowiązek IOD wynika z art. 37 RODO — gdy główna działalność polega na przetwarzaniu danych o zdrowiu „na dużą skalę". W praktyce: podmioty lecznicze (przychodnie, kliniki) zwykle ten obowiązek mają, a indywidualne praktyki zawodowe zwykle nie. Bez obowiązku wystarczy tor praktyki zawodowej (komplet dokumentów + abonament). Jako podmiot leczniczy potrzebujący formalnego Inspektora zgłoszonego do UODO — tor „Podmiot leczniczy", wycena indywidualna.

Co jeśli zatrudnię pracownika lub zmienię adres?

Logujesz się do portalu, edytujesz dane (zaznaczasz „mam pracownika" lub zmieniasz adres), klikasz „Regeneruj dokumenty" — komplet z nowymi danymi gotowy w ~30 sekund. W torze praktyki zawodowej robisz to sam; jako podmiot leczniczy Inspektor sprawdza i potwierdza, czy customizacja klauzul jest zgodna.

Co jeśli UODO przyjedzie na kontrolę?

Z aktywnym abonamentem masz aktualną dokumentację, niezmienialny dziennik działań i paczkę dowodową gotową do okazania jednym kliknięciem — fundamentalne minimum, które chce zobaczyć kontroler. Jako podmiot leczniczy z formalnym IOD dochodzi wsparcie: dzwonisz do Inspektora, łączymy się zdalnie lub przyjeżdżamy, pomagamy przygotować odpowiedzi dla urzędu (administratorem pozostajesz Ty).

Czy mogę zrezygnować z abonamentu w każdej chwili?

Tak — rezygnujesz z abonamentu kiedy chcesz, bez wypowiedzeń i kar, z końcem opłaconego okresu. Opłata startowa 999 zł jest jednorazowa i nie wraca przy rezygnacji (pokrywa przygotowanie pełnej dokumentacji, którą zachowujesz). Po rezygnacji z abonamentu Twój komplet dokumentów zostaje — tracisz tylko aktualizacje, żywy stan i obsługę eksperta.

Ile to faktycznie trwa od zapisu do gotowych dokumentów?

Od wpisania NIP → płatność → ankieta do pobrania pierwszego PDF: ~30 minut. Większość czasu to ankieta (kilka pytań, ~5 minut). Generacja kompletu PDF to ~30 sekund. Przypisanie do konta i weryfikacja danych odbywają się tego samego dnia roboczego.

Czy moje dane są bezpieczne?

Tak. Aplikacja działa na infrastrukturze w UE, dane szyfrowane SSL, baza z Row Level Security (klient widzi tylko swoje dane — nawet my widzimy Twoje dane tylko gdy nam pozwolisz przez portal). Polityka Prywatności moje-rodo.pl + Regulamin opisują wszystko szczegółowo.

Poradnik RODO

RODO dla praktyk medycznych — kompletny przewodnik dla właściciela gabinetu

Aktualizacja: 2026-06-16

W skrócie: każdy gabinet i każda praktyka medyczna przetwarza dane o zdrowiu pacjentów, a te należą do szczególnej kategorii danych (art. 9 ust. 1 RODO). Dlatego RODO dotyczy Cię w pełnym zakresie — nawet jeśli prowadzisz jednoosobową praktykę i jesteś jedynym pracownikiem. W praktyce oznacza to cztery rzeczy: musisz prowadzić rejestr czynności przetwarzania (RCP), mieć komplet dokumentacji i klauzul informacyjnych, wdrożyć adekwatne zabezpieczenia danych oraz wiedzieć, jak zareagować na naruszenie w ciągu 72 godzin. Inspektora ochrony danych (IOD) solo lekarz zwykle mieć nie musi — i to jedno z najczęstszych nieporozumień, które wyjaśniamy niżej.

Ten przewodnik to mapa całego tematu. Każdy wątek rozwijamy w osobnym, szczegółowym artykule — linki znajdziesz przy odpowiednich sekcjach.

Dlaczego RODO traktuje gabinet medyczny wyjątkowo poważnie?

Większość obowiązków RODO skaluje się z ryzykiem. Sklep, który zna tylko imię i e-mail klienta, ma lekko. Gabinet — nie, i to nie dlatego, że ktoś chce Cię gnębić, tylko dlatego, że przetwarzasz dane o zdrowiu.

Dane o zdrowiu, dane genetyczne i biometryczne to tzw. szczególne kategorie danych osobowych (potocznie: dane wrażliwe), wymienione w art. 9 ust. 1 RODO. Co do zasady ich przetwarzanie jest zakazane — chyba że zachodzi jeden z wyjątków z art. 9 ust. 2. Dla Ciebie kluczowy jest art. 9 ust. 2 lit. h RODO: wolno przetwarzać te dane, gdy jest to niezbędne do celów diagnostyki medycznej, zapewnienia opieki zdrowotnej i zarządzania systemami opieki zdrowotnej. To jest Twoja podstawa prawna — przetwarzasz dane pacjenta legalnie, bo leczysz.

Drugą warstwę dokłada prowadzenie dokumentacji medycznej, regulowane odrębnymi przepisami (ustawa o prawach pacjenta, ustawa o działalności leczniczej). RODO nie zastępuje tych przepisów — działa równolegle. Jako podmiot leczniczy albo praktyka zawodowa jesteś jednocześnie administratorem danych swoich pacjentów: to Ty decydujesz o celach i sposobach przetwarzania, więc to na Tobie spoczywa odpowiedzialność.

I tu wchodzi zasada, która spina całość — rozliczalność (art. 5 ust. 2 RODO). Nie wystarczy działać zgodnie z przepisami. Musisz umieć to udowodnić. W praktyce: jeśli przyjdzie kontrola, a Ty „przecież dbasz o dane", ale nie masz tego na papierze — z punktu widzenia RODO tego nie ma. Rozliczalność to powód, dla którego cała dokumentacja w ogóle istnieje.

Najczęstszy błąd właściciela gabinetu: „mam mały gabinet, więc RODO mnie nie dotyczy tak bardzo". Dotyczy. Próg 250 pracowników i inne ulgi dla małych firm nie obejmują przetwarzania danych wrażliwych. Skala nie zwalnia Cię z obowiązków — wpływa tylko na to, jak duży aparat dokumentacyjny budujesz.

Nie wiesz, od czego zacząć? Zrób darmowy 3-minutowy audyt zgodności gabinetu — dostaniesz listę konkretnych braków, bez zobowiązań → moje-rodo.pl

Jakie dokumenty RODO musi mieć gabinet lekarski?

To pytanie pada najczęściej, więc odpowiadamy wprost. Standardowy komplet dla praktyki medycznej obejmuje:

Rejestr czynności przetwarzania (RCP) — art. 30 RODO (szczegóły niżej).
Klauzule informacyjne dla pacjentów — art. 13 RODO; to, co pacjent dostaje/czyta przy pierwszej wizycie.
Polityka ochrony danych / polityka bezpieczeństwa — opis zasad i zabezpieczeń (powiązane z art. 32).
Upoważnienia do przetwarzania danych dla każdej osoby mającej dostęp (rejestratorka, asystentka, współpracownik).
Ewidencja osób upoważnionych.
Umowy powierzenia przetwarzania (art. 28 RODO) — z każdym dostawcą, który „dotyka" danych pacjentów: firma od oprogramowania medycznego, laboratorium, księgowość, hosting, niszczarka dokumentów.
Procedura postępowania z naruszeniami + wewnętrzny rejestr naruszeń (art. 33).
Procedura realizacji praw pacjenta (dostęp, sprostowanie, ograniczenie itd.).
Analiza ryzyka dla przetwarzanych danych.

Nie chodzi o to, żeby wygenerować stos papieru i włożyć go do szuflady. Dokumenty mają odpowiadać Twojemu realnemu profilowi — inny komplet potrzebuje solo stomatolog, inny przychodnia POZ z pięcioma osobami i teleporadami. Szablon z internetu, który nie pasuje do Twojej praktyki, bywa gorszy niż jego brak, bo deklarujesz w nim rzeczy, których nie robisz.

Pełną, omówioną listę z wzorami znajdziesz w artykule: dokumentacja RODO dla gabinetu lekarskiego — kompletna lista.

Czy gabinet musi prowadzić rejestr czynności przetwarzania (RCP)?

Tak. To jeden z punktów, w których właściciele gabinetów najczęściej się mylą — bo zasłyszeli o uldze dla małych firm.

Art. 30 ust. 5 RODO rzeczywiście zwalnia z obowiązku prowadzenia RCP podmioty zatrudniające mniej niż 250 osób. Ale to wyłączenie nie obowiązuje, jeżeli przetwarzanie obejmuje szczególne kategorie danych z art. 9 ust. 1 — a więc dane o zdrowiu. Leczenie pacjentów = przetwarzanie danych o zdrowiu = wyłączenie nie działa. Każda praktyka medyczna prowadzi RCP, niezależnie od wielkości.

RCP to spis tego, co robisz z danymi: w jakich celach, jakie kategorie osób i danych, komu je przekazujesz, jak długo przechowujesz, jakie stosujesz zabezpieczenia. Brzmi formalnie, ale to po prostu uporządkowana inwentaryzacja — i fundament rozliczalności z art. 5 ust. 2.

Jak to wypełnić dla gabinetu, krok po kroku, pokazujemy tutaj: RCP — wzór dla gabinetu medycznego.

Czy lekarz musi mieć inspektora ochrony danych (IOD)?

Najczęściej solo lekarz nie musi — i to dobra wiadomość dla budżetu.

Art. 37 ust. 1 lit. c RODO nakazuje wyznaczyć IOD, gdy główna działalność administratora polega na przetwarzaniu danych wrażliwych na dużą skalę. I tu kluczowy jest motyw 91 RODO, który wprost mówi, że przetwarzania nie należy uznawać za prowadzone na dużą skalę, jeżeli dotyczy danych pacjentów i jest dokonywane przez pojedynczego lekarza lub innego pracownika służby zdrowia. Wniosek: jednoosobowa praktyka co do zasady nie ma obowiązku powoływania IOD.

Granica robi się płynna, gdy rośniesz: kilkoro lekarzy, przychodnia, większa placówka medyczna, sieć gabinetów — tam przesłanka „dużej skali" zwykle jest spełniona i IOD staje się obowiązkowy. „Duża skala" nie ma sztywnej liczby w przepisach; ocenia się ją m.in. po liczbie pacjentów, zakresie i czasie przetwarzania (pomocne są wytyczne EROD/dawnej Grupy Roboczej Art. 29).

Uwaga: brak obowiązku IOD nie znaczy braku obowiązków. RCP, dokumentację, zabezpieczenia i obsługę naruszeń masz tak czy inaczej. Możesz też powołać IOD dobrowolnie — wtedy obowiązują Cię wymogi z art. 38–39.

Pełną analizę z przykładami „kiedy próg się przekracza": czy lekarz musi mieć IOD — wyjaśniamy próg „dużej skali".

Solo praktyka vs. placówka wieloosobowa — co się zmienia

Obowiązek	Solo praktyka (jeden lekarz)	Placówka wieloosobowa / przychodnia
Rejestr czynności (RCP, art. 30)	Tak	Tak
Klauzule informacyjne (art. 13)	Tak	Tak
Zabezpieczenia danych (art. 32)	Tak	Tak, bardziej rozbudowane
Obsługa naruszeń (art. 33–34)	Tak	Tak
Umowy powierzenia (art. 28)	Tak	Tak
Upoważnienia dla personelu	Zwykle nie dotyczy	Tak, dla każdej osoby
Inspektor ochrony danych (IOD, art. 37)	Zwykle nie (motyw 91)	Zwykle tak (duża skala)

Jakie zabezpieczenia danych są wymagane w gabinecie?

Art. 32 RODO nie podaje listy „kup ten antywirus i masz spokój". Wymaga środków technicznych i organizacyjnych adekwatnych do ryzyka — a przy danych o zdrowiu ryzyko jest podwyższone. W praktyce gabinetu oznacza to zwykle:

kontrolę dostępu (loginy imienne, hasła, zasada wiedzy koniecznej — kto czego potrzebuje),
szyfrowanie nośników i kopie zapasowe,
zabezpieczenie dokumentacji papierowej (zamykane szafy, niszczenie zamiast wyrzucania),
zasady korzystania z poczty i teleporad,
przeszkolony personel, który wie, czego nie wolno (np. nie wysyłać wyników na prywatnego maila).

Sednem art. 32 nie jest „mieć najdroższe", tylko świadomie dobrać i udokumentować zabezpieczenia — znów rozliczalność z art. 5 ust. 2.

Co zrobić, gdy dojdzie do naruszenia ochrony danych?

Zgubiony laptop, mail z wynikami wysłany do złego pacjenta, włamanie do systemu — to są naruszenia ochrony danych. RODO nie karze za sam fakt, że się zdarzyło. Karze za to, że nie zareagowałeś prawidłowo.

Art. 33 RODO: naruszenie, które może powodować ryzyko dla praw i wolności osób, zgłaszasz organowi nadzorczemu (w Polsce: UODO) bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia. Jeśli ryzyko jest mało prawdopodobne — zgłaszać nie musisz, ale i tak odnotowujesz naruszenie w wewnętrznym rejestrze.
Art. 34 RODO: jeśli naruszenie może powodować wysokie ryzyko dla osób (a przy danych medycznych to realne), zawiadamiasz także samych pacjentów — prostym językiem: co się stało, jakie skutki, co robisz, co oni mogą zrobić.

72 godziny to mało, jeśli zaczynasz od zera i szukasz, „jak to się w ogóle zgłasza". Dlatego procedurę i gotowy rejestr przygotowuje się zawczasu, na spokojnie.

Jak wygląda kontrola UODO w gabinecie i jak się przygotować?

Kontrola Prezesa UODO najczęściej oznacza, że urzędnik poprosi o dokumenty: RCP, klauzule, polityki, dowody zabezpieczeń, rejestr naruszeń, umowy powierzenia. Gabinet, który ma to uporządkowane, przechodzi przez kontrolę bez dramatu. Gabinet, który „działa zgodnie, ale nie ma nic spisanego", ma problem — bo art. 5 ust. 2 wymaga wykazania zgodności.

Najgorsze podejście to robić dokumentację dopiero, gdy zawiadomienie o kontroli leży na biurku. Najlepsze — mieć żywy system, który aktualizuje się na bieżąco, zamiast jednorazowego pliku sprzed trzech lat.

Czego konkretnie żąda inspektor i jak się przygotować: kontrola UODO w gabinecie — jak się przygotować.

Skąd wziąć to wszystko, nie będąc prawnikiem?

Masz w praktyce trzy drogi. Samodzielnie ze wzorów z sieci — tanio, ale ryzykownie: łatwo o dokumenty, które nie pasują do profilu, są nieaktualne albo deklarują coś, czego nie robisz. Kancelaria/konsultant RODO — solidnie, ale kosztownie (często kilka tysięcy złotych za wdrożenie) i jednorazowo, więc po roku dokumentacja się dezaktualizuje. System dopasowany do praktyki medycznej — środek, który łączy oba światy.

Tak właśnie działa moje-rodo.pl. Odpowiadasz na pytania o profil gabinetu, a system generuje komplet dokumentów — polityki, RCP, klauzule, upoważnienia, procedury naruszeń, umowy powierzenia — dopasowanych do Twojej praktyki, na bazie treści przygotowanej przez prawnika, w kilka minut zamiast tygodni. Ale dokumenty to dopiero start: dostajesz żywy system — rejestry prowadzone na bieżąco, terminarz obowiązków, wdrożenie krok po kroku z dowodami (gotowymi pod rozliczalność i kontrolę) oraz szkolenia z certyfikatami dla personelu. Wejście od 999 zł, abonament od 199 zł/mc — ułamek kosztu klasycznego wdrożenia, a do tego stale aktualne.

Nie jest to porada prawna ani zamiennik konsultacji w nietypowej sytuacji — to narzędzie, które ogarnia 90% powtarzalnej roboty, żebyś Ty mógł zająć się pacjentami.

Sprawdź, czego brakuje w Twoim gabinecie — zrób darmowy audyt zgodności RODO (3 minuty, bez zobowiązań). Dostaniesz konkretną listę braków i wiesz, co dalej → Zrób darmowy audyt na moje-rodo.pl

Najczęstsze pytania

Czy RODO dotyczy jednoosobowej praktyki lekarskiej? Tak, w pełnym zakresie. Przetwarzasz dane o zdrowiu (art. 9 ust. 1 RODO), więc obowiązki takie jak RCP, klauzule informacyjne, zabezpieczenia i obsługa naruszeń dotyczą Cię niezależnie od tego, że jesteś jedynym pracownikiem. Ulgi dla małych firm nie obejmują danych wrażliwych.

Czy lekarz prowadzący gabinet musi mieć inspektora ochrony danych (IOD)? Solo lekarz zwykle nie. Motyw 91 RODO wskazuje, że przetwarzanie danych pacjentów przez pojedynczego lekarza nie jest przetwarzaniem „na dużą skalę" z art. 37 ust. 1 lit. c, więc obowiązek wyznaczenia IOD co do zasady nie powstaje. Przy placówkach wieloosobowych próg „dużej skali" zwykle jest przekroczony i IOD staje się obowiązkowy.

Czy gabinet musi prowadzić rejestr czynności przetwarzania (RCP)? Tak. Zwolnienie z art. 30 ust. 5 RODO dla podmiotów poniżej 250 osób nie obejmuje przetwarzania szczególnych kategorii danych (zdrowie). Każda praktyka medyczna prowadzi RCP niezależnie od wielkości.

Jaka jest podstawa prawna przetwarzania danych pacjentów? Najczęściej art. 9 ust. 2 lit. h RODO — przetwarzanie niezbędne do diagnostyki medycznej i świadczenia opieki zdrowotnej — w połączeniu z przepisami o dokumentacji medycznej. Zgoda pacjenta zwykle nie jest do tego potrzebna jako podstawa leczenia.

W jakim czasie trzeba zgłosić naruszenie ochrony danych? Naruszenie powodujące ryzyko dla praw i wolności osób zgłasza się do UODO bez zbędnej zwłoki, najpóźniej w ciągu 72 godzin od stwierdzenia (art. 33 RODO). Jeśli ryzyko jest wysokie, dodatkowo zawiadamiasz pacjentów (art. 34 RODO). Naruszenia o niskim ryzyku i tak odnotowujesz w wewnętrznym rejestrze.

Czy potrzebuję umowy powierzenia z firmą IT albo laboratorium? Tak. Z każdym podmiotem, który przetwarza dane pacjentów w Twoim imieniu — dostawca oprogramowania medycznego, hosting, laboratorium, księgowość, firma niszcząca dokumenty — zawierasz umowę powierzenia przetwarzania (art. 28 RODO).

Ile kosztuje uporządkowanie RODO w gabinecie? Klasyczne wdrożenie przez kancelarię to często kilka tysięcy złotych jednorazowo. System taki jak moje-rodo.pl zaczyna się od 999 zł na wejście i od 199 zł/mc abonamentu, dając w zamian dokumenty dopasowane do profilu plus stale aktualizowany, żywy system z dowodami pod kontrolę.

Czy gotowe wzory z internetu wystarczą? Rzadko. Wzór, który nie pasuje do realnego profilu praktyki albo jest nieaktualny, potrafi zaszkodzić — deklarujesz w nim zasady, których nie stosujesz, co przy kontroli działa przeciwko Tobie. Dokumentacja musi odpowiadać temu, co faktycznie robisz z danymi.

Powiązane artykuły

Materiał edukacyjny, nie porada prawna. Stan prawny: czerwiec 2026. Decyzję o zgodności podejmuje administrator danych (gabinet) — w razie wątpliwości skonsultuj z IOD/prawnikiem albo skorzystaj z moje-rodo, gdzie dokumenty i dowody powstają pod Twój profil.

Roman Jońca · Lajf

Specjalista ds. ochrony danych dla podmiotów medycznych. Treść opracowana w oparciu o RODO, ustawę o prawach pacjenta i wytyczne UODO.