Co dokładnie dostaję za 999 zł na start?

Jednorazowo 999 zł (brutto, 812,20 zł netto + VAT) i dostajesz komplet na wejście: (1) portal klienta z pełną dokumentacją RODO, (2) komplet gotowych dokumentów PDF z Twoimi danymi (Polityka Prywatności, Rejestr Czynności Przetwarzania, Polityka Bezpieczeństwa, klauzule dla pacjentów, pracowników, kontrahentów, rodziców małych pacjentów, monitoring CCTV jeśli masz) + „Komplet do segregatora" (jeden PDF ze spisem treści), (3) badge „RODO pod kontrolą". To Twój komplet startowy — bez zobowiązań abonamentowych. Aktualizacje przy zmianach prawa i obsługę eksperta dokupujesz w abonamencie.

Czym różni się abonament Utrzymanie (199 zł/mc) od Opieki (549 zł/mc)?

UTRZYMANIE (199 zł/mc) to sam software „żywego stanu": Twoje dokumenty są aktualizowane przy zmianach w prawie (robimy to za Ciebie), masz wskaźnik kondycji RODO, niezmienialny dziennik zgodności, terminarz obowiązków z przypomnieniami i paczkę dowodową na kontrolę UODO jednym kliknięciem. OPIEKA (549 zł/mc) to wszystko z Utrzymania PLUS człowiek: ekspert RODO do 2 godzin konsultacji w miesiącu (email/portal, SLA 24h) i pomoc przy incydentach.

Czy abonament jest obowiązkowy? Mogę zostać na samym starcie za 999 zł?

Abonament jest opcjonalny — po opłacie 999 zł komplet dokumentów jest Twój i zostaje w portalu. ALE RODO nie jest jednorazowe: co rok zmieniają się klauzule, wchodzą nowe wytyczne UODO, dodajesz usługę i dokumenty trzeba zaktualizować. Bez abonamentu Twój komplet z czasem się dezaktualizuje. Abonament (od 199 zł/mc) to różnica między „segregatorem w szufladzie" a żywą, aktualną dokumentacją.

Skąd wiem, czy jestem „praktyką zawodową", czy „podmiotem leczniczym"?

To zależy od formy prawnej, w jakiej działasz — nie od kontraktu z NFZ. Praktyka zawodowa to indywidualna lub grupowa praktyka (lekarska, pielęgniarska, fizjoterapeutyczna itp.) wpisana do rejestru praktyk. Podmiot leczniczy to wpis do RPWDL jako podmiot leczniczy (przychodnia, klinika, centrum medyczne). Status decyduje przede wszystkim o obowiązku formalnego IOD.

Czy muszę mieć formalnego Inspektora Ochrony Danych (IOD)?

Formalny obowiązek IOD wynika z art. 37 RODO — gdy główna działalność polega na przetwarzaniu danych o zdrowiu „na dużą skalę". W praktyce: podmioty lecznicze (przychodnie, kliniki) zwykle ten obowiązek mają, a indywidualne praktyki zawodowe zwykle nie. Bez obowiązku wystarczy tor praktyki zawodowej (komplet dokumentów + abonament). Jako podmiot leczniczy potrzebujący formalnego Inspektora zgłoszonego do UODO — tor „Podmiot leczniczy", wycena indywidualna.

Co jeśli zatrudnię pracownika lub zmienię adres?

Logujesz się do portalu, edytujesz dane (zaznaczasz „mam pracownika" lub zmieniasz adres), klikasz „Regeneruj dokumenty" — komplet z nowymi danymi gotowy w ~30 sekund. W torze praktyki zawodowej robisz to sam; jako podmiot leczniczy Inspektor sprawdza i potwierdza, czy customizacja klauzul jest zgodna.

Co jeśli UODO przyjedzie na kontrolę?

Z aktywnym abonamentem masz aktualną dokumentację, niezmienialny dziennik działań i paczkę dowodową gotową do okazania jednym kliknięciem — fundamentalne minimum, które chce zobaczyć kontroler. Jako podmiot leczniczy z formalnym IOD dochodzi wsparcie: dzwonisz do Inspektora, łączymy się zdalnie lub przyjeżdżamy, pomagamy przygotować odpowiedzi dla urzędu (administratorem pozostajesz Ty).

Czy mogę zrezygnować z abonamentu w każdej chwili?

Tak — rezygnujesz z abonamentu kiedy chcesz, bez wypowiedzeń i kar, z końcem opłaconego okresu. Opłata startowa 999 zł jest jednorazowa i nie wraca przy rezygnacji (pokrywa przygotowanie pełnej dokumentacji, którą zachowujesz). Po rezygnacji z abonamentu Twój komplet dokumentów zostaje — tracisz tylko aktualizacje, żywy stan i obsługę eksperta.

Ile to faktycznie trwa od zapisu do gotowych dokumentów?

Od wpisania NIP → płatność → ankieta do pobrania pierwszego PDF: ~30 minut. Większość czasu to ankieta (kilka pytań, ~5 minut). Generacja kompletu PDF to ~30 sekund. Przypisanie do konta i weryfikacja danych odbywają się tego samego dnia roboczego.

Czy moje dane są bezpieczne?

Tak. Aplikacja działa na infrastrukturze w UE, dane szyfrowane SSL, baza z Row Level Security (klient widzi tylko swoje dane — nawet my widzimy Twoje dane tylko gdy nam pozwolisz przez portal). Polityka Prywatności moje-rodo.pl + Regulamin opisują wszystko szczegółowo.

Poradnik RODO

RODO dla fizjoterapeuty — dokumentacja zgodna z prawem w kilka minut

Aktualizacja: 2026-06-16

Prowadzisz gabinet fizjoterapii — sam albo z małym zespołem. Leczysz ludzi, prowadzisz dokumentację, umawiasz wizyty. A gdzieś z tyłu głowy siedzi pytanie: „czy moje RODO jest w porządku, czy tylko mam nadzieję, że jest?". Ta strona odpowiada na to pytanie konkretnie — i pokazuje, jak doprowadzić dokumentację do porządku bez kupowania trzydniowego szkolenia ani wynajmowania kancelarii na etat.

Zacznijmy od rzeczy, której wielu fizjoterapeutów nie ma poukładanej w głowie: z punktu widzenia prawa nie jesteś „zwykłą firmą usługową".

Twoja praktyka to podmiot wykonujący działalność leczniczą

Fizjoterapeuta, który prowadzi własną działalność, robi to najczęściej jako praktyka zawodowa fizjoterapeutyczna — indywidualna lub grupowa — wpisana do rejestru praktyk zawodowych prowadzonego przez Krajową Izbę Fizjoterapeutów. Możliwość prowadzenia takich praktyk wprowadziła nowelizacja przepisów o działalności leczniczej, a sam zawód reguluje ustawa z 25 września 2015 r. o zawodzie fizjoterapeuty. W rozumieniu ustawy o działalności leczniczej praktyka zawodowa jest podmiotem wykonującym działalność leczniczą.

Co to oznacza praktycznie? Że przepisy traktują Cię tak samo jak gabinet lekarski czy stomatologiczny — z całym pakietem obowiązków wokół danych pacjenta i dokumentacji medycznej. To nie jest „RODO jak w sklepie z butami". To RODO w wersji medycznej, gdzie stawka jest wyższa, bo przetwarzasz najbardziej wrażliwe dane, jakie istnieją.

Dane o zdrowiu pacjenta — szczególna kategoria danych

Wywiad, opis dolegliwości, plan terapii, postępy, zdjęcia postawy, notatki z badania funkcjonalnego — to wszystko są dane dotyczące zdrowia, czyli szczególna kategoria danych z art. 9 RODO. Ich przetwarzanie jest co do zasady zabronione, chyba że masz wyraźną podstawę z art. 9 ust. 2.

Dla gabinetu fizjoterapii tą podstawą jest najczęściej art. 9 ust. 2 lit. h RODO — przetwarzanie do celów profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki zdrowotnej oraz leczenia. Co ważne: ta podstawa działa łącznie z art. 9 ust. 3, czyli pod warunkiem zachowania tajemnicy zawodowej. Innymi słowy — prawo daje Ci legalną drogę do pracy z danymi pacjenta, ale dokumenty RODO muszą tę drogę poprawnie nazwać. Nie wystarczy „zgoda pacjenta" wpisana na zapas, bo przy leczeniu zgoda zwykle nie jest właściwą podstawą.

Dokumentacja medyczna i jej przechowywanie — 20 lat

Jako podmiot leczniczy masz obowiązek prowadzenia dokumentacji medycznej pacjenta i jej przechowywania. Zasada główna z ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta: 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu.

Od tego są wyjątki, o których warto wiedzieć:

dokumentacja dziecka do ukończenia 2. roku życia — przechowywana 22 lata (art. 29 ust. 1 ustawy o prawach pacjenta),
w razie zgonu pacjenta wskutek uszkodzenia ciała lub zatrucia — 30 lat od końca roku, w którym nastąpił zgon.

Po upływie okresu przechowywania dokumentację trzeba trwale zniszczyć tak, by uniemożliwić identyfikację pacjenta. RODO nakłada na to dodatkową warstwę: zasadę ograniczenia przechowywania i bezpieczeństwa danych przez cały ten czas. Twoja polityka ochrony danych powinna jasno opisywać te terminy i sposób niszczenia — to jeden z pierwszych punktów, które sprawdza się przy kontroli.

Czego naprawdę potrzebujesz — i czego (raczej) nie

Rejestr czynności przetwarzania (RCP) — tak, obowiązkowy. Zwolnienie dla małych podmiotów z art. 30 ust. 5 RODO nie obejmuje sytuacji, w której przetwarzasz dane o zdrowiu w sposób stały (a tak właśnie robi gabinet). Czyli nawet jednoosobowa praktyka prowadzi RCP. To dokument, który najczęściej w gabinetach po prostu nie istnieje — a powinien.

Inspektor Ochrony Danych (IOD) — zwykle nie musisz go powoływać, jeśli prowadzisz praktykę solo lub w małej skali. Obowiązek z art. 37 ust. 1 lit. c RODO dotyczy przetwarzania szczególnych kategorii danych na dużą skalę, a motyw 91 RODO wprost wskazuje, że działalność pojedynczego pracownika służby zdrowia co do zasady nie jest przetwarzaniem na dużą skalę. W praktyce granica „dużej skali" jest ocenna, więc większy, wieloosobowy ośrodek z dużym wolumenem pacjentów zwykle warto przeanalizować indywidualnie.

Umowy powierzenia (art. 28 RODO) — tu fizjoterapeuci najczęściej mają lukę. Powierzasz dane pacjentów za każdym razem, gdy korzystasz z:

systemu do prowadzenia gabinetu / dokumentacji w chmurze,
modułu rejestracji online i przypomnień SMS/e-mail,
zewnętrznej księgowości czy biura rachunkowego,
hostingu, poczty, narzędzi do tworzenia kopii zapasowych.

Z każdym z tych dostawców powinna Cię łączyć umowa powierzenia. Brak takiej umowy to klasyczny błąd, który wychodzi dopiero przy kontroli albo skardze pacjenta.

Wymiana danych z lekarzem kierującym

Fizjoterapia rzadko działa w próżni. Pacjent przychodzi ze skierowaniem od ortopedy, neurologa, lekarza POZ — a Ty czasem odsyłasz informację zwrotną o przebiegu terapii. To wymiana danych o zdrowiu między dwoma odrębnymi administratorami, każdy działa na własnej podstawie z art. 9 ust. 2 lit. h. Twoje dokumenty (klauzule informacyjne, polityka, RCP) powinny tę wymianę uwzględniać: kto, komu, w jakim zakresie i na jakiej podstawie przekazuje dane. Tego prawie nigdy nie ma w gotowcach „RODO uniwersalne ze sklepu internetowego", bo te nie wiedzą, że jesteś podmiotem leczniczym.

Jak to ogarnąć bez utopienia weekendu

Masz trzy drogi:

Zostawić jak jest — czyli liczyć, że kontrola Cię ominie, a żaden pacjent się nie poskarży. Tanio dziś, drogo potencjalnie.
Kancelaria od zera — solidnie, ale kosztuje kilka tysięcy złotych i tygodnie korespondencji, a dla gabinetu solo to często armata na komara.
moje-rodo.pl — komplet dokumentów dopasowanych do profilu „gabinet fizjoterapii", przygotowany na podstawie treści napisanej przez prawnika, gotowy w kilka minut.

Wypełniasz krótki formularz o swojej praktyce (forma działalności, czy masz rejestrację online, z jakich systemów korzystasz, czy współpracujesz z lekarzami). Na tej podstawie system składa komplet dokumentów RODO dopasowanych do fizjoterapii: politykę ochrony danych, klauzule informacyjne dla pacjentów, rejestr czynności przetwarzania, wzory umów powierzenia, upoważnienia, analizę ryzyka i ewidencje. Treść merytoryczną przygotował prawnik.

A potem to żyje. Zmienisz system do gabinetu, dojdzie nowy podwykonawca, zmienią się przepisy — aktualizujesz dane i pobierasz nową wersję dokumentów. Nie zostajesz z teczką PDF-ów, które za rok są nieaktualne.

Najlepszy pierwszy krok nic nie kosztuje: zrób bezpłatny audyt gotowości RODO dla swojego gabinetu. W kilka minut zobaczysz, gdzie masz luki i co konkretnie domknąć — bez zobowiązań. Dopiero jeśli zechcesz złożyć komplet dokumentów, jest to od 999 zł za komplet, a abonament za żywy system i aktualizacje od 199 zł/mc.

➡️ Sprawdź swoją gotowość — zrób bezpłatny audyt RODO dla gabinetu fizjoterapii. → moje-rodo.pl

Najczęstsze pytania

Czy fizjoterapeuta prowadzący jednoosobowy gabinet w ogóle podlega RODO? Tak. Praktyka zawodowa fizjoterapeutyczna jest podmiotem wykonującym działalność leczniczą i przetwarza dane o zdrowiu pacjentów (szczególna kategoria danych z art. 9 RODO). RODO obowiązuje niezależnie od wielkości gabinetu — różni się tylko zakres niektórych obowiązków.

Czy muszę powołać Inspektora Ochrony Danych (IOD)? Zwykle nie, jeśli prowadzisz praktykę solo lub w małej skali. Motyw 91 RODO wskazuje, że działalność pojedynczego pracownika ochrony zdrowia co do zasady nie jest przetwarzaniem „na dużą skalę", które wymusza powołanie IOD. Przy większym, wieloosobowym ośrodku warto to ocenić indywidualnie.

Jak długo muszę przechowywać dokumentację pacjenta? Zasada główna to 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu. Są wyjątki — m.in. 30 lat w razie zgonu wskutek uszkodzenia ciała lub zatrucia oraz dłuższy termin dla dokumentacji małych dzieci.

Czy potrzebuję umowy z firmą obsługującą rejestrację online? Tak. Dostawca systemu rejestracji online przetwarza dane Twoich pacjentów w Twoim imieniu, więc powinna Cię z nim łączyć umowa powierzenia przetwarzania (art. 28 RODO). To samo dotyczy systemu do gabinetu, hostingu czy biura rachunkowego.

Na jakiej podstawie wymieniam dane z lekarzem kierującym pacjenta? Zarówno Ty, jak i lekarz działacie jako odrębni administratorzy, najczęściej na podstawie art. 9 ust. 2 lit. h RODO (cele zdrowotne, opieka i leczenie) przy zachowaniu tajemnicy zawodowej. Dokumenty RODO gabinetu powinny tę wymianę opisywać.

Czy dokumenty z moje-rodo.pl wystarczą do kontroli? Dostajesz komplet przygotowany na podstawie treści prawnika i dopasowany do profilu gabinetu fizjoterapii, łącznie z rejestrem czynności przetwarzania i wzorami umów powierzenia. To pokrywa rdzeń dokumentacji wymaganej od podmiotu leczniczego. Dokumenty są punktem wyjścia, który dostosowujesz do realiów swojej praktyki przez formularz.

Powiązane artykuły

Materiał edukacyjny, nie porada prawna. Stan prawny: czerwiec 2026. Decyzję o zgodności podejmuje administrator danych (gabinet) — w razie wątpliwości skonsultuj z IOD/prawnikiem albo skorzystaj z moje-rodo, gdzie dokumenty i dowody powstają pod Twój profil.

Roman Jońca · Lajf

Specjalista ds. ochrony danych dla podmiotów medycznych. Treść opracowana w oparciu o RODO, ustawę o prawach pacjenta i wytyczne UODO.