Co dokładnie dostaję za 999 zł na start?

Jednorazowo 999 zł (brutto, 812,20 zł netto + VAT) i dostajesz komplet na wejście: (1) portal klienta z pełną dokumentacją RODO, (2) komplet gotowych dokumentów PDF z Twoimi danymi (Polityka Prywatności, Rejestr Czynności Przetwarzania, Polityka Bezpieczeństwa, klauzule dla pacjentów, pracowników, kontrahentów, rodziców małych pacjentów, monitoring CCTV jeśli masz) + „Komplet do segregatora" (jeden PDF ze spisem treści), (3) badge „RODO pod kontrolą". To Twój komplet startowy — bez zobowiązań abonamentowych. Aktualizacje przy zmianach prawa i obsługę eksperta dokupujesz w abonamencie.

Czym różni się abonament Utrzymanie (199 zł/mc) od Opieki (549 zł/mc)?

UTRZYMANIE (199 zł/mc) to sam software „żywego stanu": Twoje dokumenty są aktualizowane przy zmianach w prawie (robimy to za Ciebie), masz wskaźnik kondycji RODO, niezmienialny dziennik zgodności, terminarz obowiązków z przypomnieniami i paczkę dowodową na kontrolę UODO jednym kliknięciem. OPIEKA (549 zł/mc) to wszystko z Utrzymania PLUS człowiek: ekspert RODO do 2 godzin konsultacji w miesiącu (email/portal, SLA 24h) i pomoc przy incydentach.

Czy abonament jest obowiązkowy? Mogę zostać na samym starcie za 999 zł?

Abonament jest opcjonalny — po opłacie 999 zł komplet dokumentów jest Twój i zostaje w portalu. ALE RODO nie jest jednorazowe: co rok zmieniają się klauzule, wchodzą nowe wytyczne UODO, dodajesz usługę i dokumenty trzeba zaktualizować. Bez abonamentu Twój komplet z czasem się dezaktualizuje. Abonament (od 199 zł/mc) to różnica między „segregatorem w szufladzie" a żywą, aktualną dokumentacją.

Skąd wiem, czy jestem „praktyką zawodową", czy „podmiotem leczniczym"?

To zależy od formy prawnej, w jakiej działasz — nie od kontraktu z NFZ. Praktyka zawodowa to indywidualna lub grupowa praktyka (lekarska, pielęgniarska, fizjoterapeutyczna itp.) wpisana do rejestru praktyk. Podmiot leczniczy to wpis do RPWDL jako podmiot leczniczy (przychodnia, klinika, centrum medyczne). Status decyduje przede wszystkim o obowiązku formalnego IOD.

Czy muszę mieć formalnego Inspektora Ochrony Danych (IOD)?

Formalny obowiązek IOD wynika z art. 37 RODO — gdy główna działalność polega na przetwarzaniu danych o zdrowiu „na dużą skalę". W praktyce: podmioty lecznicze (przychodnie, kliniki) zwykle ten obowiązek mają, a indywidualne praktyki zawodowe zwykle nie. Bez obowiązku wystarczy tor praktyki zawodowej (komplet dokumentów + abonament). Jako podmiot leczniczy potrzebujący formalnego Inspektora zgłoszonego do UODO — tor „Podmiot leczniczy", wycena indywidualna.

Co jeśli zatrudnię pracownika lub zmienię adres?

Logujesz się do portalu, edytujesz dane (zaznaczasz „mam pracownika" lub zmieniasz adres), klikasz „Regeneruj dokumenty" — komplet z nowymi danymi gotowy w ~30 sekund. W torze praktyki zawodowej robisz to sam; jako podmiot leczniczy Inspektor sprawdza i potwierdza, czy customizacja klauzul jest zgodna.

Co jeśli UODO przyjedzie na kontrolę?

Z aktywnym abonamentem masz aktualną dokumentację, niezmienialny dziennik działań i paczkę dowodową gotową do okazania jednym kliknięciem — fundamentalne minimum, które chce zobaczyć kontroler. Jako podmiot leczniczy z formalnym IOD dochodzi wsparcie: dzwonisz do Inspektora, łączymy się zdalnie lub przyjeżdżamy, pomagamy przygotować odpowiedzi dla urzędu (administratorem pozostajesz Ty).

Czy mogę zrezygnować z abonamentu w każdej chwili?

Tak — rezygnujesz z abonamentu kiedy chcesz, bez wypowiedzeń i kar, z końcem opłaconego okresu. Opłata startowa 999 zł jest jednorazowa i nie wraca przy rezygnacji (pokrywa przygotowanie pełnej dokumentacji, którą zachowujesz). Po rezygnacji z abonamentu Twój komplet dokumentów zostaje — tracisz tylko aktualizacje, żywy stan i obsługę eksperta.

Ile to faktycznie trwa od zapisu do gotowych dokumentów?

Od wpisania NIP → płatność → ankieta do pobrania pierwszego PDF: ~30 minut. Większość czasu to ankieta (kilka pytań, ~5 minut). Generacja kompletu PDF to ~30 sekund. Przypisanie do konta i weryfikacja danych odbywają się tego samego dnia roboczego.

Czy moje dane są bezpieczne?

Tak. Aplikacja działa na infrastrukturze w UE, dane szyfrowane SSL, baza z Row Level Security (klient widzi tylko swoje dane — nawet my widzimy Twoje dane tylko gdy nam pozwolisz przez portal). Polityka Prywatności moje-rodo.pl + Regulamin opisują wszystko szczegółowo.

Poradnik RODO

RODO dla psychologa i gabinetu psychoterapii — spokojnie i bez straszenia

Aktualizacja: 2026-06-16

To, co pacjent mówi na sesji, należy do najbardziej intymnych informacji, jakie człowiek komukolwiek powierza. Dane o zdrowiu psychicznym RODO traktuje jako szczególną kategorię danych osobowych (art. 9 RODO) — obok danych genetycznych czy o życiu seksualnym. To nie biurokratyczny szczegół: to po prostu lustrzane odbicie tego, co i tak jest sednem Twojej pracy — zaufania i poufności.

Ta strona tłumaczy, czego RODO realnie wymaga od gabinetu psychologicznego i psychoterapeutycznego, gdzie kryją się niuanse (bo jest ich tu kilka) i jak zamknąć temat dokumentów w kilka minut zamiast tygodni.

Uwaga merytoryczna. Status psychologa zmienia się w Polsce. Podpisano już ustawę z dnia 23 stycznia 2026 r. o zawodzie psychologa oraz samorządzie zawodowym psychologów (Dz. U. z 2026 r. poz. 187), która porządkuje m.in. tajemnicę zawodową, prawo wykonywania zawodu i dokumentację psychologiczną. Co do zasady wchodzi ona w życie 19 maja 2028 r., choć część przepisów zaczęła obowiązywać wcześniej (pierwsze od 5 marca 2026 r.). W praktyce oznacza to okres przejściowy: warto śledzić, które obowiązki dotyczą Cię już dziś, a które dopiero wejdą.

Dlaczego Twój gabinet to przypadek „podwyższonej staranności"

W zwykłej firmie przetwarza się imię, nazwisko, e-mail. U Ciebie — informacje o stanie psychicznym, relacjach, traumach, uzależnieniach, sytuacji rodzinnej. RODO mówi wprost: przetwarzanie danych o zdrowiu jest co do zasady zakazane, chyba że masz konkretną podstawę z art. 9 ust. 2. Stąd dwie praktyczne konsekwencje:

dokumenty muszą być precyzyjnie dopasowane do danych wrażliwych, a nie ogólne („formularz RODO z internetu" tu nie wystarczy),
środki bezpieczeństwa (dostęp do notatek, szyfrowanie, kłódka na szafie i na dysku) są oceniane surowiej, bo ryzyko dla pacjenta w razie wycieku jest ogromne.

Dobra wiadomość: to wszystko da się ułożyć w przewidywalny zestaw kilkunastu dokumentów i kilku nawyków. Nie potrzebujesz „szafy RODO" ani etatowego prawnika.

Psycholog czy psychoterapeuta? Tu zaczyna się najważniejszy niuans

To pytanie decyduje o tym, jakie dokumenty prowadzisz i na jakiej podstawie. A odpowiedź zależy od formy, w jakiej działasz:

1. Działasz jako podmiot leczniczy lub udzielasz świadczeń zdrowotnych. Wtedy Twoja dokumentacja jest dokumentacją medyczną w rozumieniu ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta — ze wszystkimi tego skutkami (zasady prowadzenia, udostępniania, dłuższa retencja). Podstawą przetwarzania danych o zdrowiu jest tu zwykle art. 9 ust. 2 lit. h RODO (cele zdrowotne / świadczenie opieki zdrowotnej), a nie zgoda.

2. Prowadzisz prywatny gabinet poza systemem ochrony zdrowia. Jeśli nie jesteś podmiotem leczniczym, w wielu interpretacjach nie masz obowiązku prowadzenia dokumentacji medycznej (historii zdrowia pacjenta). Ale uwaga: w chwili, gdy robisz notatki z sesji zawierające dane pacjenta — i tak podlegasz RODO. W tym modelu jako podstawę przetwarzania danych wrażliwych w praktyce zwykle wskazuje się zgodę (art. 9 ust. 2 lit. a RODO). To jeden z punktów, w których interpretacje bywają różne: część prawników traktuje zgodę jako podstawę praktycznie jedyną w gabinecie pozamedycznym, inni dopuszczają lit. h także poza formalnym podmiotem leczniczym. W razie wątpliwości warto przesądzić podstawę dla Twojego konkretnego modelu działania z prawnikiem lub IOD — bo od niej zależy m.in. to, czy pacjent może „cofnąć zgodę" i żądać usunięcia notatek.

Dla psychoterapeuty bez tytułu psychologa, działającego prywatnie, przepisy zawodowe zwykle nie nakładają wprost obowiązku dokumentacji — ale gdy taką dokumentację faktycznie prowadzisz, jesteś administratorem danych ze wszystkimi obowiązkami RODO.

Notatki z sesji — najczulszy punkt całego gabinetu

Notatki to serce dokumentacji terapeutycznej i jednocześnie największe ryzyko. Kilka zasad, które warto mieć ułożone:

Minimalizacja. Zapisuj tyle, ile potrzebujesz do prowadzenia procesu — nie spowiedź słowo w słowo. Im mniej danych wrażliwych „na zapas", tym mniejsze ryzyko.
Bezpieczne przechowywanie. Notatki papierowe pod zamknięciem, cyfrowe — szyfrowane i z kontrolą dostępu. To realizacja zasady „integralności i poufności" z art. 5 RODO.
Retencja. Trzeba z góry ustalić, jak długo trzymasz notatki, protokoły sesji i materiały diagnostyczne, i po tym czasie je usuwać. W prywatnym gabinecie poza systemem ochrony zdrowia dokumentację psychologiczną przechowuje się zwykle 5 lat — licząc od końca roku kalendarzowego, w którym zakończyłeś udzielanie świadczeń. Gdy działasz jako podmiot leczniczy, Twoja dokumentacja jest dokumentacją medyczną i obowiązuje co do zasady 20 lat (z wyjątkami przewidzianymi w ustawie o prawach pacjenta). Dokładny okres zależy od Twojego modelu, a kierunek tych zasad potwierdza ustawa o zawodzie psychologa z 2026 r.
Prawo do bycia zapomnianym ma granice. Jeśli prowadzisz dokumentację medyczną, pacjent nie może po prostu zażądać jej skasowania przed upływem okresu retencji — przepisy szczególne mają tu pierwszeństwo przed art. 17 RODO.

Tajemnica zawodowa a RODO — to nie to samo, ale grają w jednej drużynie

Tajemnica zawodowa psychologa (obowiązek poufności wobec klienta) i RODO (ochrona danych osobowych) to dwa różne reżimy, które się uzupełniają. Tajemnica obejmuje wszystko, czego dowiadujesz się w związku z wykonywaniem zawodu — także sytuację rodzinną czy majątkową klienta. RODO dokłada do tego wymóg legalnej podstawy, dokumentacji i bezpieczeństwa. Wyjątki od tajemnicy (np. realne, poważne zagrożenie życia lub zdrowia, albo gdy inne przepisy tego wymagają) trzeba mieć opisane w procedurach — żeby w trudnym momencie wiedzieć, co wolno.

Teleporady i wideo — Twoja platforma to procesor, nie „tylko narzędzie"

Coraz więcej sesji odbywa się online. Jeśli korzystasz z platformy do wideokonsultacji, systemu rezerwacji online albo kalendarza w chmurze, to ten dostawca przetwarza dane Twoich pacjentów w Twoim imieniu — jest podmiotem przetwarzającym (procesorem). Stąd:

musisz mieć z nim umowę powierzenia przetwarzania (art. 28 RODO),
wybieraj rozwiązania płatne, profesjonalne, z jasną polityką prywatności i, w miarę możliwości, danymi w EOG,
jeśli nagrywasz sesję — potrzebujesz osobnej, wyraźnej zgody pacjenta,
darmowy komunikator „bo wygodny" to klasyczna pułapka — często brak umowy powierzenia i transfer danych poza EOG.

Czego najczęściej brakuje w gabinecie

Zestaw, który w praktyce powinien być na miejscu:

polityka ochrony danych osobowych,
klauzule informacyjne i (w zależności od modelu) zgody pacjenta dot. danych o zdrowiu,
Rejestr Czynności Przetwarzania (RCP, art. 30) — przy regularnym przetwarzaniu danych wrażliwych wyłączenie dla małych podmiotów zwykle nie ma zastosowania, więc RCP traktuj jako obowiązkowy,
analiza ryzyka,
rejestr naruszeń (art. 33),
umowy powierzenia z dostawcami (rejestracja online, teleporady, księgowość, hosting).

A czy potrzebujesz IOD (inspektora ochrony danych)? W typowym, jednoosobowym gabinecie — zwykle nie. Solowa praktyka nie przetwarza danych „na dużą skalę" w rozumieniu RODO (por. motyw 91). Inaczej może być w większej, wieloosobowej placówce — wtedy temat IOD warto przeanalizować indywidualnie.

Jak to spina moje-rodo

Zamiast składać dokumenty z internetowych szablonów (które nie rozróżniają podmiotu leczniczego od gabinetu prywatnego), odpowiadasz na kilka pytań o swój gabinet — formę działania, teleporady, rejestrację online, pracę z małoletnimi — a system w kilka minut generuje komplet dokumentów dopasowany do Twojego profilu. Potem to żywy system: gdy zmienisz narzędzie do wideosesji albo dojdzie nowy współpracownik, aktualizujesz dokumenty, zamiast pisać od zera.

Cena: od 999 zł za komplet startowy, abonament od 199 zł/mc za utrzymanie aktualności i wsparcie. To ułamek kosztu wdrożenia „z kancelarii" i wielokrotnie mniej niż ryzyko związane z wyciekiem danych wrażliwych.

moje-rodo porządkuje dokumenty i system. Nie zastępuje indywidualnej porady prawnej tam, gdzie Twój model działania wymaga rozstrzygnięcia (np. podstawa przetwarzania w gabinecie pozamedycznym).

Najczęstsze pytania

Czy psycholog w prywatnym gabinecie musi mieć IOD? Zwykle nie. Jednoosobowa praktyka co do zasady nie przetwarza danych „na dużą skalę", więc obowiązek powołania inspektora ochrony danych zwykle nie powstaje (por. motyw 91 RODO). W większej, wieloosobowej placówce sprawę warto ocenić indywidualnie.

Na jakiej podstawie przetwarzam dane o zdrowiu pacjenta? Gdy działasz jako podmiot leczniczy / udzielasz świadczeń zdrowotnych — zwykle art. 9 ust. 2 lit. h RODO (cele zdrowotne). W gabinecie poza systemem ochrony zdrowia w praktyce częściej wskazuje się zgodę (art. 9 ust. 2 lit. a). To realny niuans, w którym interpretacje bywają różne — podstawę dla Twojego modelu warto przesądzić z prawnikiem lub IOD.

Czy muszę prowadzić dokumentację medyczną? Zależy od formy działania. W podmiocie leczniczym dokumentacja psychologa jest dokumentacją medyczną (ustawa o prawach pacjenta). W prywatnym gabinecie poza systemem ochrony zdrowia w wielu interpretacjach takiego obowiązku nie ma — ale notatki, które mimo to prowadzisz, i tak podlegają RODO.

Czy zgoda pacjenta na dane wrażliwe musi być na piśmie? Nie musi mieć formy pisemnej — może być wyrażona ustnie, mailem czy przez formularz online. Kluczowe, by była dobrowolna, konkretna, świadoma i żebyś potrafił ją wykazać. Jeśli to Twoja podstawa przetwarzania — zadbaj o dowód jej udzielenia.

Jak długo przechowywać notatki z sesji? Trzeba ustalić okres z góry i po nim dane usuwać. W prywatnym gabinecie dokumentację psychologiczną przechowuje się zwykle 5 lat od końca roku, w którym zakończyłeś świadczenia; w podmiocie leczniczym obowiązuje co do zasady 20 lat (dokumentacja medyczna). Konkretny termin zależy od Twojego modelu działania.

Korzystam z platformy do teleporad — co muszę zrobić? Podpisać z dostawcą umowę powierzenia przetwarzania (art. 28 RODO), wybrać rozwiązanie profesjonalne z jasną polityką prywatności (najlepiej dane w EOG), a przy nagrywaniu sesji — pobrać osobną, wyraźną zgodę pacjenta. Te same zasady dotyczą systemu rezerwacji online.

Powiązane artykuły

Materiał edukacyjny, nie porada prawna. Stan prawny: czerwiec 2026. Decyzję o zgodności podejmuje administrator danych (gabinet) — w razie wątpliwości skonsultuj z IOD/prawnikiem albo skorzystaj z moje-rodo, gdzie dokumenty i dowody powstają pod Twój profil.

Roman Jońca · Lajf

Specjalista ds. ochrony danych dla podmiotów medycznych. Treść opracowana w oparciu o RODO, ustawę o prawach pacjenta i wytyczne UODO.