Co dokładnie dostaję za 999 zł na start?

Jednorazowo 999 zł (brutto, 812,20 zł netto + VAT) i dostajesz komplet na wejście: (1) portal klienta z pełną dokumentacją RODO, (2) komplet gotowych dokumentów PDF z Twoimi danymi (Polityka Prywatności, Rejestr Czynności Przetwarzania, Polityka Bezpieczeństwa, klauzule dla pacjentów, pracowników, kontrahentów, rodziców małych pacjentów, monitoring CCTV jeśli masz) + „Komplet do segregatora" (jeden PDF ze spisem treści), (3) badge „RODO pod kontrolą". To Twój komplet startowy — bez zobowiązań abonamentowych. Aktualizacje przy zmianach prawa i obsługę eksperta dokupujesz w abonamencie.

Czym różni się abonament Utrzymanie (199 zł/mc) od Opieki (549 zł/mc)?

UTRZYMANIE (199 zł/mc) to sam software „żywego stanu": Twoje dokumenty są aktualizowane przy zmianach w prawie (robimy to za Ciebie), masz wskaźnik kondycji RODO, niezmienialny dziennik zgodności, terminarz obowiązków z przypomnieniami i paczkę dowodową na kontrolę UODO jednym kliknięciem. OPIEKA (549 zł/mc) to wszystko z Utrzymania PLUS człowiek: ekspert RODO do 2 godzin konsultacji w miesiącu (email/portal, SLA 24h) i pomoc przy incydentach.

Czy abonament jest obowiązkowy? Mogę zostać na samym starcie za 999 zł?

Abonament jest opcjonalny — po opłacie 999 zł komplet dokumentów jest Twój i zostaje w portalu. ALE RODO nie jest jednorazowe: co rok zmieniają się klauzule, wchodzą nowe wytyczne UODO, dodajesz usługę i dokumenty trzeba zaktualizować. Bez abonamentu Twój komplet z czasem się dezaktualizuje. Abonament (od 199 zł/mc) to różnica między „segregatorem w szufladzie" a żywą, aktualną dokumentacją.

Skąd wiem, czy jestem „praktyką zawodową", czy „podmiotem leczniczym"?

To zależy od formy prawnej, w jakiej działasz — nie od kontraktu z NFZ. Praktyka zawodowa to indywidualna lub grupowa praktyka (lekarska, pielęgniarska, fizjoterapeutyczna itp.) wpisana do rejestru praktyk. Podmiot leczniczy to wpis do RPWDL jako podmiot leczniczy (przychodnia, klinika, centrum medyczne). Status decyduje przede wszystkim o obowiązku formalnego IOD.

Czy muszę mieć formalnego Inspektora Ochrony Danych (IOD)?

Formalny obowiązek IOD wynika z art. 37 RODO — gdy główna działalność polega na przetwarzaniu danych o zdrowiu „na dużą skalę". W praktyce: podmioty lecznicze (przychodnie, kliniki) zwykle ten obowiązek mają, a indywidualne praktyki zawodowe zwykle nie. Bez obowiązku wystarczy tor praktyki zawodowej (komplet dokumentów + abonament). Jako podmiot leczniczy potrzebujący formalnego Inspektora zgłoszonego do UODO — tor „Podmiot leczniczy", wycena indywidualna.

Co jeśli zatrudnię pracownika lub zmienię adres?

Logujesz się do portalu, edytujesz dane (zaznaczasz „mam pracownika" lub zmieniasz adres), klikasz „Regeneruj dokumenty" — komplet z nowymi danymi gotowy w ~30 sekund. W torze praktyki zawodowej robisz to sam; jako podmiot leczniczy Inspektor sprawdza i potwierdza, czy customizacja klauzul jest zgodna.

Co jeśli UODO przyjedzie na kontrolę?

Z aktywnym abonamentem masz aktualną dokumentację, niezmienialny dziennik działań i paczkę dowodową gotową do okazania jednym kliknięciem — fundamentalne minimum, które chce zobaczyć kontroler. Jako podmiot leczniczy z formalnym IOD dochodzi wsparcie: dzwonisz do Inspektora, łączymy się zdalnie lub przyjeżdżamy, pomagamy przygotować odpowiedzi dla urzędu (administratorem pozostajesz Ty).

Czy mogę zrezygnować z abonamentu w każdej chwili?

Tak — rezygnujesz z abonamentu kiedy chcesz, bez wypowiedzeń i kar, z końcem opłaconego okresu. Opłata startowa 999 zł jest jednorazowa i nie wraca przy rezygnacji (pokrywa przygotowanie pełnej dokumentacji, którą zachowujesz). Po rezygnacji z abonamentu Twój komplet dokumentów zostaje — tracisz tylko aktualizacje, żywy stan i obsługę eksperta.

Ile to faktycznie trwa od zapisu do gotowych dokumentów?

Od wpisania NIP → płatność → ankieta do pobrania pierwszego PDF: ~30 minut. Większość czasu to ankieta (kilka pytań, ~5 minut). Generacja kompletu PDF to ~30 sekund. Przypisanie do konta i weryfikacja danych odbywają się tego samego dnia roboczego.

Czy moje dane są bezpieczne?

Tak. Aplikacja działa na infrastrukturze w UE, dane szyfrowane SSL, baza z Row Level Security (klient widzi tylko swoje dane — nawet my widzimy Twoje dane tylko gdy nam pozwolisz przez portal). Polityka Prywatności moje-rodo.pl + Regulamin opisują wszystko szczegółowo.

Poradnik RODO

RODO dla medycyny estetycznej i gabinetu kosmetycznego — co naprawdę musisz mieć

Aktualizacja: 2026-06-16

Pytanie „jakie RODO mam wdrożyć w gabinecie?" nie ma jednej odpowiedzi — i to jest sedno problemu. Bo wszystko zależy od tego, czy wykonujesz zabiegi medyczne, czy kosmetyczne. Te dwie ścieżki mają inny status prawny, przetwarzają inne kategorie danych i wymagają innego kompletu dokumentów. Większość gotowych „szablonów RODO z internetu" tego rozróżnienia nie robi — i dlatego albo dają ci za mało, albo straszą obowiązkami, których nie masz.

Rozłóżmy to spokojnie, na czynniki pierwsze.

Najpierw ustal: jesteś gabinetem medycznym czy kosmetycznym?

To nie jest pytanie o szyld nad drzwiami. To pytanie o kto i co robi.

Gabinet medycyny estetycznej (lekarz / lekarz dentysta). Od 8 lipca 2023 r. medycyna estetyczno-naprawcza została w Polsce uregulowana jako umiejętność zawodowa lekarza (rozporządzenie Ministra Zdrowia z 13 czerwca 2023 r. w sprawie umiejętności zawodowych, w związku z art. 17 ustawy o zawodach lekarza i lekarza dentysty). W praktyce oznacza to, że zabiegi naruszające ciągłość tkanek w sposób medyczny — iniekcje, toksyna botulinowa, wypełniacze, nici, lasery medyczne — traktuje się jako świadczenia zdrowotne, które zwykle wykonuje lekarz lub lekarz dentysta. To kierunek potwierdzony stanowiskiem Ministerstwa Zdrowia; dokładny zakres pojęcia bywa przedmiotem sporów branżowych, więc przy nietypowym profilu gabinetu warto go ustalić indywidualnie.

Gabinet kosmetyczny / kosmetolog (bez statusu podmiotu leczniczego). Peelingi, pielęgnacja, mezoterapia bezigłowa, aparatura kosmetyczna, makijaż permanentny, zabiegi profilaktyczne i upiększające. To usługi, a nie świadczenia zdrowotne — kosmetolog nie udziela świadczeń zdrowotnych w rozumieniu prawa.

Dlaczego to tak ważne dla RODO? Bo od tego zależy, jakie kategorie danych przetwarzasz — a od tego wszystko inne.

Co z tego wynika dla danych i dokumentów

Ścieżka A — gabinet medyczny (lekarz)

Jeśli jesteś podmiotem leczniczym (lub praktyką lekarską), przetwarzasz dane o zdrowiu — szczególną kategorię danych z art. 9 RODO. Podstawą jest tu art. 9 ust. 2 lit. h RODO w związku z przepisami o działalności leczniczej i o prawach pacjenta.

Co to oznacza konkretnie:

Dokumentacja medyczna — prowadzona i przechowywana według ustawy o prawach pacjenta. Co do zasady 20 lat od końca roku kalendarzowego ostatniego wpisu, bez możliwości usunięcia danych w tym okresie. To istotne: pacjent nie ma prawa żądać „usunięcia" dokumentacji medycznej w trybie RODO, bo przepis szczególny każe ci ją trzymać.
Klauzula informacyjna pacjenta — dostosowana do działalności leczniczej, nie generyczna.
Rejestr czynności przetwarzania (RCP) — obejmujący przetwarzanie danych o zdrowiu.
Polityka ochrony danych + procedury bezpieczeństwa (dostęp, hasła, zabezpieczenie kartotek papierowych, kopie).
Upoważnienia dla personelu i ewidencja osób upoważnionych.

Ścieżka B — gabinet kosmetyczny (kosmetolog)

Tu domyślnie przetwarzasz zwykłe dane osobowe klienta (imię, nazwisko, kontakt, historia wizyt). Ale uwaga — i to jest pułapka, w którą wpada wielu: w momencie, gdy zbierasz wywiad o przeciwwskazaniach (alergie, ciąża, choroby przewlekłe, przyjmowane leki), zaczynasz przetwarzać dane o zdrowiu. Wtedy część obowiązków z kategorii szczególnej dotyczy także ciebie — mimo że nie jesteś podmiotem leczniczym.

Co potrzebujesz:

Klauzula informacyjna klienta + zgody tam, gdzie podstawą jest zgoda.
Karta zabiegowa / wywiad zdrowotny z odrębną podstawą dla danych o zdrowiu (najczęściej zgoda klienta).
RCP — tak, dotyczy też ciebie, jeśli przetwarzasz dane o zdrowiu w wywiadzie.
Polityka i procedury bezpieczeństwa adekwatne do skali.

To rozróżnienie — kto przetwarza dane o zdrowiu i na jakiej podstawie — jest dokładnie tym, co moje-rodo.pl ustala w intake'u, zanim wygeneruje komplet. Nie dostajesz „RODO dla wszystkich". Dostajesz dokumenty dopasowane do tego, czym faktycznie jest twój gabinet.

Zdjęcia „przed/po" — osobny temat, osobna zgoda

To pole, na którym wpadki zdarzają się najczęściej, niezależnie od ścieżki A czy B. Zdjęcie efektu zabiegu to wizerunek klienta. Jego publikacja na Instagramie, Facebooku, stronie czy w materiałach reklamowych wymaga osobnej, dobrowolnej zgody marketingowej — odrębnej od zgody na sam zabieg i od dokumentacji.

Zasady, które warto mieć spisane:

Zgoda na piśmie (nawet jeśli ktoś zgodził się ustnie — udokumentuj).
Zakres — co dokładnie publikujesz (sama twarz / sylwetka / fragment), gdzie (jakie konkretnie kanały), na jak długo.
Dobrowolność i rozdzielność — zgoda marketingowa nie może być warunkiem wykonania zabiegu. Klient może odmówić i nadal zostać obsłużony.
Wycofywalność — klient może zgodę cofnąć na przyszłość.

Brak udokumentowanej zgody na publikację wizerunku to jedno z częstszych źródeł roszczeń cywilnych i sporów z klientami. Mieć osobny, jasny formularz zgody marketingowej to nie biurokracja — to twoja ochrona.

Wywiad zdrowotny i przeciwwskazania

Karta zabiegowa z wywiadem to standard i w gabinecie medycznym, i w dobrze prowadzonym kosmetycznym. Z perspektywy RODO liczy się, na jakiej podstawie te dane zbierasz:

W gabinecie medycznym — element dokumentacji medycznej, podstawa: przepisy o działalności leczniczej (art. 9 ust. 2 lit. h).
W gabinecie kosmetycznym — najczęściej zgoda klienta na przetwarzanie danych o zdrowiu, bo nie masz statusu podmiotu leczniczego, który dawałby ci podstawę „medyczną".

Ta różnica decyduje o tym, jak formułujesz formularz i klauzulę. Wpisanie złej podstawy to klasyczny błąd kopiowanych szablonów.

Czy potrzebujesz IOD i umów powierzenia?

IOD (Inspektor Ochrony Danych). Obowiązek pojawia się, gdy podstawowa działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych. W praktyce pojedyncza praktyka lekarska czy mały gabinet zwykle IOD-a wyznaczać nie musi. Większa klinika obsługująca dziesiątki pacjentów dziennie — może już tak. Gabinet kosmetyczny standardowo nie. Granica „dużej skali" nie jest sztywno zdefiniowana liczbowo, więc ocena jest indywidualna — i warto ją udokumentować, a nie zgadywać.

Umowy powierzenia. Tu prawie każdy gabinet ma coś do uporządkowania, bo korzystasz z zewnętrznych narzędzi, które „dotykają" danych klientów:

system rezerwacji online (Booksy, Versum, Moment itp.),
narzędzia marketingowe i mailingowe,
księgowość / biuro rachunkowe,
hosting strony i formularzy.

Z każdym takim dostawcą powinieneś mieć umowę powierzenia przetwarzania. To nieefektowna, ale realna część zgodności — i często ta, o której się zapomina.

Jak to ogarnąć w kilka minut zamiast w kilka tygodni

moje-rodo.pl działa odwrotnie niż paczka szablonów. Najpierw kilka pytań ustala twój profil — lekarz czy kosmetolog, czy robisz zdjęcia przed/po, jakich narzędzi używasz, ile osób pracuje. Na tej podstawie generuje komplet dokumentów dopasowanych do twojego gabinetu w kilka minut: klauzule, RCP, polityki, formularze zgód (w tym osobna zgoda marketingowa na wizerunek), wzory umów powierzenia.

I — co ważniejsze — to żywy system, nie plik PDF, który zestarzeje się za pół roku. Gdy zmienisz zakres usług albo dojdzie nowe narzędzie, aktualizujesz dokumenty, zamiast pisać je od zera.

Komplet startowy to od 999 zł, a abonament od 199 zł/mc za utrzymanie aktualności. To nie zastępuje rozmowy z prawnikiem przy nietypowym profilu — ale dla typowego gabinetu medycyny estetycznej lub kosmetologii daje solidny, dopasowany fundament bez przepłacania za audyt, którego nie potrzebujesz.

➡️ Zacznij od bezpłatnego audytu gotowości RODO dla gabinetu. W kilka minut pokażemy, czy jesteś gabinetem medycznym czy kosmetycznym w sensie RODO i jakich dokumentów potrzebujesz — bez zobowiązań. → moje-rodo.pl

Najczęstsze pytania

Czy gabinet kosmetyczny w ogóle podlega pod RODO? Tak. Już samo przechowywanie danych kontaktowych klientów i historii wizyt to przetwarzanie danych osobowych. A gdy zbierasz wywiad o przeciwwskazaniach (alergie, choroby, leki), wchodzą dane o zdrowiu i część obowiązków z kategorii szczególnej — mimo że nie jesteś podmiotem leczniczym.

Czym różni się RODO w gabinecie medycyny estetycznej od kosmetycznego? Gabinet medyczny (lekarz) przetwarza dane o zdrowiu jako dokumentację medyczną na podstawie art. 9 ust. 2 lit. h RODO i przepisów o prawach pacjenta — z obowiązkiem przechowywania co do zasady 20 lat. Gabinet kosmetyczny przetwarza głównie dane zwykłe, a dane o zdrowiu z wywiadu najczęściej na podstawie zgody klienta. Stąd inne klauzule i inne formularze.

Czy potrzebuję osobnej zgody na zdjęcia przed/po? Tak. Publikacja wizerunku w celach marketingowych wymaga odrębnej, dobrowolnej zgody — niezależnej od zgody na zabieg. Powinna określać zakres, kanały publikacji i czas, i nie może być warunkiem wykonania usługi. Klient może ją wycofać.

Czy mój gabinet musi mieć Inspektora Ochrony Danych (IOD)? Zwykle nie. Pojedyncza praktyka lekarska i mały gabinet kosmetyczny przeważnie nie wyznaczają IOD-a. Obowiązek dotyczy przetwarzania szczególnych danych na dużą skalę — np. większej kliniki z dużym dziennym ruchem pacjentów. Ocenę warto udokumentować.

Jak długo muszę przechowywać dokumentację? W działalności leczniczej dokumentacja medyczna co do zasady przez 20 lat od końca roku kalendarzowego ostatniego wpisu. Ustawa o prawach pacjenta przewiduje wyjątki, m.in.: 30 lat w razie zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia (oraz dla danych o losach krwi i jej składników), 22 lata dla dokumentacji dzieci do ukończenia 2. roku życia, 10 lat dla zdjęć rentgenowskich przechowywanych poza dokumentacją pacjenta oraz 5 lat dla skierowań i zleceń. W gabinecie kosmetycznym okresy zależą od podstawy przetwarzania i celu — przy zgodzie do jej wycofania / ustania celu.

Z kim muszę podpisać umowy powierzenia? Z każdym zewnętrznym dostawcą, który przetwarza dane twoich klientów: system rezerwacji online, narzędzia marketingowe i mailing, biuro rachunkowe, hosting strony i formularzy.

Powiązane artykuły

Materiał edukacyjny, nie porada prawna. Stan prawny: czerwiec 2026. Decyzję o zgodności podejmuje administrator danych (gabinet) — w razie wątpliwości skonsultuj z IOD/prawnikiem albo skorzystaj z moje-rodo, gdzie dokumenty i dowody powstają pod Twój profil.

Roman Jońca · Lajf

Specjalista ds. ochrony danych dla podmiotów medycznych. Treść opracowana w oparciu o RODO, ustawę o prawach pacjenta i wytyczne UODO.