Co dokładnie dostaję za 999 zł na start?

Jednorazowo 999 zł (brutto, 812,20 zł netto + VAT) i dostajesz komplet na wejście: (1) portal klienta z pełną dokumentacją RODO, (2) komplet gotowych dokumentów PDF z Twoimi danymi (Polityka Prywatności, Rejestr Czynności Przetwarzania, Polityka Bezpieczeństwa, klauzule dla pacjentów, pracowników, kontrahentów, rodziców małych pacjentów, monitoring CCTV jeśli masz) + „Komplet do segregatora" (jeden PDF ze spisem treści), (3) badge „RODO pod kontrolą". To Twój komplet startowy — bez zobowiązań abonamentowych. Aktualizacje przy zmianach prawa i obsługę eksperta dokupujesz w abonamencie.

Czym różni się abonament Utrzymanie (199 zł/mc) od Opieki (549 zł/mc)?

UTRZYMANIE (199 zł/mc) to sam software „żywego stanu": Twoje dokumenty są aktualizowane przy zmianach w prawie (robimy to za Ciebie), masz wskaźnik kondycji RODO, niezmienialny dziennik zgodności, terminarz obowiązków z przypomnieniami i paczkę dowodową na kontrolę UODO jednym kliknięciem. OPIEKA (549 zł/mc) to wszystko z Utrzymania PLUS człowiek: ekspert RODO do 2 godzin konsultacji w miesiącu (email/portal, SLA 24h) i pomoc przy incydentach.

Czy abonament jest obowiązkowy? Mogę zostać na samym starcie za 999 zł?

Abonament jest opcjonalny — po opłacie 999 zł komplet dokumentów jest Twój i zostaje w portalu. ALE RODO nie jest jednorazowe: co rok zmieniają się klauzule, wchodzą nowe wytyczne UODO, dodajesz usługę i dokumenty trzeba zaktualizować. Bez abonamentu Twój komplet z czasem się dezaktualizuje. Abonament (od 199 zł/mc) to różnica między „segregatorem w szufladzie" a żywą, aktualną dokumentacją.

Skąd wiem, czy jestem „praktyką zawodową", czy „podmiotem leczniczym"?

To zależy od formy prawnej, w jakiej działasz — nie od kontraktu z NFZ. Praktyka zawodowa to indywidualna lub grupowa praktyka (lekarska, pielęgniarska, fizjoterapeutyczna itp.) wpisana do rejestru praktyk. Podmiot leczniczy to wpis do RPWDL jako podmiot leczniczy (przychodnia, klinika, centrum medyczne). Status decyduje przede wszystkim o obowiązku formalnego IOD.

Czy muszę mieć formalnego Inspektora Ochrony Danych (IOD)?

Formalny obowiązek IOD wynika z art. 37 RODO — gdy główna działalność polega na przetwarzaniu danych o zdrowiu „na dużą skalę". W praktyce: podmioty lecznicze (przychodnie, kliniki) zwykle ten obowiązek mają, a indywidualne praktyki zawodowe zwykle nie. Bez obowiązku wystarczy tor praktyki zawodowej (komplet dokumentów + abonament). Jako podmiot leczniczy potrzebujący formalnego Inspektora zgłoszonego do UODO — tor „Podmiot leczniczy", wycena indywidualna.

Co jeśli zatrudnię pracownika lub zmienię adres?

Logujesz się do portalu, edytujesz dane (zaznaczasz „mam pracownika" lub zmieniasz adres), klikasz „Regeneruj dokumenty" — komplet z nowymi danymi gotowy w ~30 sekund. W torze praktyki zawodowej robisz to sam; jako podmiot leczniczy Inspektor sprawdza i potwierdza, czy customizacja klauzul jest zgodna.

Co jeśli UODO przyjedzie na kontrolę?

Z aktywnym abonamentem masz aktualną dokumentację, niezmienialny dziennik działań i paczkę dowodową gotową do okazania jednym kliknięciem — fundamentalne minimum, które chce zobaczyć kontroler. Jako podmiot leczniczy z formalnym IOD dochodzi wsparcie: dzwonisz do Inspektora, łączymy się zdalnie lub przyjeżdżamy, pomagamy przygotować odpowiedzi dla urzędu (administratorem pozostajesz Ty).

Czy mogę zrezygnować z abonamentu w każdej chwili?

Tak — rezygnujesz z abonamentu kiedy chcesz, bez wypowiedzeń i kar, z końcem opłaconego okresu. Opłata startowa 999 zł jest jednorazowa i nie wraca przy rezygnacji (pokrywa przygotowanie pełnej dokumentacji, którą zachowujesz). Po rezygnacji z abonamentu Twój komplet dokumentów zostaje — tracisz tylko aktualizacje, żywy stan i obsługę eksperta.

Ile to faktycznie trwa od zapisu do gotowych dokumentów?

Od wpisania NIP → płatność → ankieta do pobrania pierwszego PDF: ~30 minut. Większość czasu to ankieta (kilka pytań, ~5 minut). Generacja kompletu PDF to ~30 sekund. Przypisanie do konta i weryfikacja danych odbywają się tego samego dnia roboczego.

Czy moje dane są bezpieczne?

Tak. Aplikacja działa na infrastrukturze w UE, dane szyfrowane SSL, baza z Row Level Security (klient widzi tylko swoje dane — nawet my widzimy Twoje dane tylko gdy nam pozwolisz przez portal). Polityka Prywatności moje-rodo.pl + Regulamin opisują wszystko szczegółowo.

Lista kontrolna RODO gabinet — sprawdź zgodność (2026)

Prowadzisz gabinet i nie wiesz, czy „masz RODO ogarnięte"? Nie musisz czytać rozporządzenia od deski do deski. Poniżej jest praktyczna lista kontrolna RODO dla gabinetu lekarskiego — przejdź ją punkt po punkcie i odhacz to, co naprawdę masz wdrożone (a nie tylko „gdzieś leży w segregatorze"). Na końcu podpowiadamy, jak czytać wynik.

Jedna uwaga na start: gabinet przetwarza dane o zdrowiu, czyli szczególną kategorię danych (art. 9 RODO). To podnosi poprzeczkę — część obowiązków, z których zwolnione są zwykłe firmy, Ciebie dotyczy bez wyjątku. Najważniejszy przykład: rejestr czynności przetwarzania (RCP) jest obowiązkowy niezależnie od liczby zatrudnionych (art. 30 ust. 5 RODO).

Jeśli potrzebujesz opisu, co dokładnie zawiera każdy dokument, mamy osobną stronę: Dokumentacja RODO dla gabinetu lekarskiego. Tutaj skupiamy się na działaniu — odhaczasz i wiesz, gdzie są dziury.

Checklista RODO gabinet lekarski

1. Dokumenty podstawowe

Klauzule informacyjne dla pacjentów (art. 13) — czy pacjent przy pierwszej wizycie dostaje informację, kto przetwarza jego dane, w jakim celu i jak długo?
Polityka ochrony danych / bezpieczeństwa (art. 24, 32) — czy masz spisany dokument opisujący zasady ochrony danych? Jeśli „wiem to w głowie" — to znaczy, że go nie ma.
Klauzule zgody (tam, gdzie potrzebne) — np. marketing, newsletter, zdjęcia „przed/po". Leczenie zgody nie wymaga, ale dodatkowe cele już tak.
Regulamin / informacja o monitoringu — jeśli masz kamery, czy jest tabliczka informacyjna i opis zasad nagrywania?

2. Rejestry

Rejestr czynności przetwarzania — RCP (art. 30) — obowiązkowy mimo małego zespołu (dane o zdrowiu). Czy wymienia realne procesy: kartoteka, rejestracja, rozliczenia, e-recepty?
Rejestr kategorii czynności (art. 30 ust. 2) — tylko jeśli przetwarzasz dane na zlecenie innego podmiotu. Jeśli nie — pomiń.
Rejestr umów powierzenia — lista firm, którym przekazujesz dane (system gabinetowy, hosting, księgowość, laboratorium).
Rejestr naruszeń ochrony danych (art. 33 ust. 5) — miejsce, gdzie zapisujesz każdy incydent (nawet niezgłoszony do UODO). Pusty rejestr to dobry znak — ale musi istnieć.

3. Personel

Upoważnienia do przetwarzania danych (art. 29) — czy każda osoba z dostępem do danych ma pisemne upoważnienie?
Ewidencja osób upoważnionych — lista, kto i od kiedy ma dostęp.
Zobowiązania do poufności — czy upoważnieni podpisali oświadczenie? Obowiązuje także po zakończeniu współpracy.
Szkolenie zespołu — czy ludzie wiedzą, co robić przy zagubionym dokumencie albo telefonie „z NFZ" proszącym o dane? Czy jest na to ślad?

4. Bezpieczeństwo

Analiza ryzyka (art. 32) — ocena, co może pójść nie tak i jak się zabezpieczasz.
Zabezpieczenia techniczne — hasła, szyfrowanie dysków, kopie zapasowe, kontrola dostępu. Sprawdź, czy kopia faktycznie się robi.
Zabezpieczenia fizyczne — zamykane szafy na kartoteki, kontrola dostępu, niszczarka.
Ocena obowiązku DPIA (art. 35) — dla danych o zdrowiu ocena skutków bywa wymagana; w praktyce warto sprawdzić, czy Twoje przetwarzanie odpowiada operacjom z wykazu UODO, i udokumentować swoją ocenę (nawet jeśli wyjdzie, że DPIA nie jest konieczna).

5. Naruszenia

Procedura na wypadek naruszenia (art. 33–34) — kto co robi, gdy dojdzie do wycieku.
Świadomość terminu 72 godzin — naruszenie zgłasza się do UODO w ciągu 72 godzin od stwierdzenia.
Ścieżka powiadomienia pacjentów (art. 34) — kiedy musisz poinformować samych pacjentów (wysokie ryzyko).

6. IOD (Inspektor Ochrony Danych)

Ocena, czy musisz wyznaczyć IOD (art. 37, motyw 91) — pojedyncza praktyka zwykle nie musi; większa przychodnia działająca „na dużą skalę" zwykle już tak. Sprawdź i udokumentuj ocenę.
Zgłoszenie IOD do UODO (jeśli dotyczy) — czy zgłoszony i czy dane opublikowane.

7. Dowody wdrożenia (rozliczalność)

Daty i wersje dokumentów — czy wiadomo, która wersja obowiązuje?
Ślad przeglądów — czy widać, że dokumenty są okresowo aktualizowane, a nie z 2018 i zapomniane?
Realizacja praw pacjenta — czy potrafisz pokazać, jak obsługujesz wniosek o dostęp/usunięcie?
Retencja zgodna z prawem — dokumentację medyczną przechowuje się co do zasady 20 lat (22 lata dzieci do 2. r.ż., 30 lat w określonych przypadkach zgonu). Nie usuwaj za wcześnie ani nie trzymaj „w nieskończoność".

Jak interpretować wynik

Policz braki (puste pola) — to orientacyjny termometr, nie wyrok:

0–2 braki — dobre miejsce. Domknij pojedyncze punkty i zadbaj o cykliczny przegląd.
3–6 braków — masz fundamenty, ale są realne dziury. Uporządkuj w 2–4 tygodnie; zacznij od RCP, analizy ryzyka i procedury naruszeń.
7+ braków — to nie panika, to sygnał: zajmij się tym priorytetowo. Zacznij od dokumentów podstawowych i rejestrów.

Najważniejsze zastrzeżenie: sama checklista to za mało. RODO opiera się na zasadzie rozliczalności (art. 5 ust. 2) — musisz nie tylko mieć dokumenty, ale też udowodnić, że je stosujesz. Odhaczona „polityka bezpieczeństwa", która leży nieprzeczytana, w razie kontroli waży tyle co nic. Dlatego sekcja „Dowody wdrożenia" jest równie ważna jak posiadanie plików.

Jeśli martwi Cię sama kontrola, mamy osobny przewodnik: Kontrola UODO w gabinecie.

Zrób to szybciej — darmowy audyt ze score

Przejście tej listy ręcznie zajmuje kilkanaście minut i wymaga, żebyś sam ocenił każdy punkt. Możesz to zrobić za Ciebie: darmowy audyt moje-rodo.pl zadaje proste pytania i zwraca wynik (score) — czarno na białym widzisz, co masz, czego brakuje i co jest pilne.

Jeśli wyjdą braki, moje-rodo.pl dostarcza komplet dokumentów + żywy system, który aktualizuje się razem z gabinetem. Od 999 zł za komplet, abonament od 199 zł/mc.

➡️ Zrób darmowy audyt RODO i poznaj swój wynik → moje-rodo.pl

Najczęstsze pytania

Czy mały, jednoosobowy gabinet naprawdę musi mieć RODO? Tak. Wielkość nie zwalnia z obowiązków — a ponieważ przetwarzasz dane o zdrowiu, część wymogów (jak RCP) dotyczy Cię niezależnie od liczby pracowników.

Czy muszę mieć Inspektora Ochrony Danych (IOD)? Pojedyncza praktyka zwykle nie musi (motyw 91 RODO). Obowiązek pojawia się przy przetwarzaniu „na dużą skalę". Kluczowe jest udokumentowanie własnej oceny.

Mam dokumenty od kogoś sprzed lat — czy to wystarczy? Niekoniecznie. Liczy się, czy są aktualne i czy je stosujesz. Zasada rozliczalności (art. 5 ust. 2) wymaga dowodów wdrożenia, nie samego pliku.

Ile czasu mam na zgłoszenie wycieku danych? Bez zbędnej zwłoki, najpóźniej w ciągu 72 godzin od stwierdzenia naruszenia. Dlatego warto mieć gotową procedurę, zanim coś się wydarzy.

Jak długo przechowywać dokumentację pacjentów? Co do zasady 20 lat od końca roku ostatniego wpisu. Wyjątki: 22 lata (dzieci do 2. r.ż.), 30 lat (określone przypadki zgonu).

Czym ta lista różni się od strony z dokumentami? Ta strona to narzędzie do samodzielnego sprawdzenia zgodności. Opis poszczególnych dokumentów znajdziesz na stronie Dokumentacja RODO dla gabinetu lekarskiego.

Powiązane artykuły

Materiał edukacyjny, nie porada prawna. Stan prawny: czerwiec 2026. Decyzję o zgodności podejmuje administrator danych (gabinet) — w razie wątpliwości skonsultuj z IOD/prawnikiem albo skorzystaj z moje-rodo, gdzie dokumenty i dowody powstają pod Twój profil.