Co dokładnie dostaję za 999 zł na start?

Jednorazowo 999 zł (brutto, 812,20 zł netto + VAT) i dostajesz komplet na wejście: (1) portal klienta z pełną dokumentacją RODO, (2) komplet gotowych dokumentów PDF z Twoimi danymi (Polityka Prywatności, Rejestr Czynności Przetwarzania, Polityka Bezpieczeństwa, klauzule dla pacjentów, pracowników, kontrahentów, rodziców małych pacjentów, monitoring CCTV jeśli masz) + „Komplet do segregatora" (jeden PDF ze spisem treści), (3) badge „RODO pod kontrolą". To Twój komplet startowy — bez zobowiązań abonamentowych. Aktualizacje przy zmianach prawa i obsługę eksperta dokupujesz w abonamencie.

Czym różni się abonament Utrzymanie (199 zł/mc) od Opieki (549 zł/mc)?

UTRZYMANIE (199 zł/mc) to sam software „żywego stanu": Twoje dokumenty są aktualizowane przy zmianach w prawie (robimy to za Ciebie), masz wskaźnik kondycji RODO, niezmienialny dziennik zgodności, terminarz obowiązków z przypomnieniami i paczkę dowodową na kontrolę UODO jednym kliknięciem. OPIEKA (549 zł/mc) to wszystko z Utrzymania PLUS człowiek: ekspert RODO do 2 godzin konsultacji w miesiącu (email/portal, SLA 24h) i pomoc przy incydentach.

Czy abonament jest obowiązkowy? Mogę zostać na samym starcie za 999 zł?

Abonament jest opcjonalny — po opłacie 999 zł komplet dokumentów jest Twój i zostaje w portalu. ALE RODO nie jest jednorazowe: co rok zmieniają się klauzule, wchodzą nowe wytyczne UODO, dodajesz usługę i dokumenty trzeba zaktualizować. Bez abonamentu Twój komplet z czasem się dezaktualizuje. Abonament (od 199 zł/mc) to różnica między „segregatorem w szufladzie" a żywą, aktualną dokumentacją.

Skąd wiem, czy jestem „praktyką zawodową", czy „podmiotem leczniczym"?

To zależy od formy prawnej, w jakiej działasz — nie od kontraktu z NFZ. Praktyka zawodowa to indywidualna lub grupowa praktyka (lekarska, pielęgniarska, fizjoterapeutyczna itp.) wpisana do rejestru praktyk. Podmiot leczniczy to wpis do RPWDL jako podmiot leczniczy (przychodnia, klinika, centrum medyczne). Status decyduje przede wszystkim o obowiązku formalnego IOD.

Czy muszę mieć formalnego Inspektora Ochrony Danych (IOD)?

Formalny obowiązek IOD wynika z art. 37 RODO — gdy główna działalność polega na przetwarzaniu danych o zdrowiu „na dużą skalę". W praktyce: podmioty lecznicze (przychodnie, kliniki) zwykle ten obowiązek mają, a indywidualne praktyki zawodowe zwykle nie. Bez obowiązku wystarczy tor praktyki zawodowej (komplet dokumentów + abonament). Jako podmiot leczniczy potrzebujący formalnego Inspektora zgłoszonego do UODO — tor „Podmiot leczniczy", wycena indywidualna.

Co jeśli zatrudnię pracownika lub zmienię adres?

Logujesz się do portalu, edytujesz dane (zaznaczasz „mam pracownika" lub zmieniasz adres), klikasz „Regeneruj dokumenty" — komplet z nowymi danymi gotowy w ~30 sekund. W torze praktyki zawodowej robisz to sam; jako podmiot leczniczy Inspektor sprawdza i potwierdza, czy customizacja klauzul jest zgodna.

Co jeśli UODO przyjedzie na kontrolę?

Z aktywnym abonamentem masz aktualną dokumentację, niezmienialny dziennik działań i paczkę dowodową gotową do okazania jednym kliknięciem — fundamentalne minimum, które chce zobaczyć kontroler. Jako podmiot leczniczy z formalnym IOD dochodzi wsparcie: dzwonisz do Inspektora, łączymy się zdalnie lub przyjeżdżamy, pomagamy przygotować odpowiedzi dla urzędu (administratorem pozostajesz Ty).

Czy mogę zrezygnować z abonamentu w każdej chwili?

Tak — rezygnujesz z abonamentu kiedy chcesz, bez wypowiedzeń i kar, z końcem opłaconego okresu. Opłata startowa 999 zł jest jednorazowa i nie wraca przy rezygnacji (pokrywa przygotowanie pełnej dokumentacji, którą zachowujesz). Po rezygnacji z abonamentu Twój komplet dokumentów zostaje — tracisz tylko aktualizacje, żywy stan i obsługę eksperta.

Ile to faktycznie trwa od zapisu do gotowych dokumentów?

Od wpisania NIP → płatność → ankieta do pobrania pierwszego PDF: ~30 minut. Większość czasu to ankieta (kilka pytań, ~5 minut). Generacja kompletu PDF to ~30 sekund. Przypisanie do konta i weryfikacja danych odbywają się tego samego dnia roboczego.

Czy moje dane są bezpieczne?

Tak. Aplikacja działa na infrastrukturze w UE, dane szyfrowane SSL, baza z Row Level Security (klient widzi tylko swoje dane — nawet my widzimy Twoje dane tylko gdy nam pozwolisz przez portal). Polityka Prywatności moje-rodo.pl + Regulamin opisują wszystko szczegółowo.

Poradnik RODO

RODO dla gabinetu stomatologicznego — spokojnie i po kolei

Aktualizacja: 2026-06-16

Prowadzisz gabinet, a nie kancelarię prawną. Leczysz pacjentów, rozliczasz NFZ albo wizyty prywatne, dogadujesz się z laboratorium protetycznym i pilnujesz, żeby asysta i higienistka miały co robić. RODO jest gdzieś z tyłu głowy — wiesz, że „trzeba to mieć", ale nie wiesz dokładnie co i czy to, co masz, jest aktualne.

Ta strona porządkuje temat. Bez straszenia, bez prawniczego żargonu. Pokazujemy, czego naprawdę wymaga gabinet stomatologiczny, co jest specyficzne dla stomatologii (RTG, protetyka, asysta), i jak zamknąć to w kilka minut zamiast spędzać nad tym kolejne weekendy.

Dlaczego stomatologia to nie „zwykłe" RODO

Dane o zdrowiu pacjenta to tzw. szczególna kategoria danych (art. 9 RODO). To zmienia praktycznie wszystko. Gabinet, który przetwarza karty pacjentów, zdjęcia RTG i pantomogramy, plany leczenia czy informacje o lekach, działa na najbardziej wrażliwym typie danych, jaki RODO zna.

Podstawą, na której gabinet legalnie przetwarza te dane, jest najczęściej art. 9 ust. 2 lit. h RODO — przetwarzanie do celów profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki zdrowotnej oraz prowadzenia dokumentacji medycznej. To nie jest zgoda pacjenta (zgoda przy leczeniu bywa mitem — leczysz na podstawie przepisów o działalności leczniczej i prawach pacjenta, nie dlatego, że pacjent „kliknął zgodę"). Dokumenty gabinetu muszą tę podstawę poprawnie wskazywać — to jeden z najczęstszych błędów w gotowych szablonach pobranych z internetu.

Najczęstsze pytanie: „mam jedną osobę, czy muszę prowadzić rejestr?"

Tak. I to zaskakuje większość właścicieli gabinetów.

Owszem — art. 30 ust. 5 RODO zwalnia z obowiązku prowadzenia rejestru czynności przetwarzania (RCP) firmy poniżej 250 osób. Ale ten sam przepis ma wyjątek: zwolnienie nie działa, gdy przetwarzanie obejmuje szczególne kategorie danych. A dane o zdrowiu to dokładnie ta kategoria.

W praktyce: nawet jednoosobowy gabinet stomatologiczny ma obowiązek prowadzić rejestr czynności przetwarzania. Liczba zatrudnionych nie ma tu znaczenia — decyduje to, jakie dane przetwarzasz.

Co konkretnie potrzebuje gabinet stomatologiczny

To jest sedno. Poniżej minimum, które powinno być w każdym gabinecie — z naciskiem na rzeczy typowo stomatologiczne, których brakuje w uniwersalnych pakietach.

1. Rejestr czynności przetwarzania (RCP) — obowiązkowy niezależnie od wielkości gabinetu (patrz wyżej). Musi obejmować realne procesy: rejestrację pacjentów, prowadzenie dokumentacji, rozliczenia, RTG, kontakt z laboratorium, marketing przypomnień o wizytach.

2. Klauzule informacyjne dla pacjentów — z poprawną podstawą prawną (art. 9 ust. 2 lit. h), informacją o okresach przechowywania i odbiorcach danych (laboratorium, dostawca RTG, system gabinetowy). Osobno warto przygotować wersję uwzględniającą dzieci — przy pacjentach małoletnich informację i ewentualne zgody (np. marketingowe) realizuje opiekun prawny.

3. Umowy powierzenia przetwarzania — i tu stomatologia ma swoją specyfikę. Powierzasz dane wielu podmiotom:

laboratorium protetycznemu — wysyłasz wyciski, skany, dane pacjenta do wykonania pracy; laboratorium jest podmiotem przetwarzającym,
dostawcy systemu gabinetowego / oprogramowania do RTG (chmura, kopie zapasowe),
firmie serwisującej sprzęt RTG / radiologię opisywaną zdalnie,
księgowości, hostingowi, firmie niszczącej dokumenty.

Z każdym z nich potrzebujesz umowy powierzenia. Brak umowy z laboratorium protetycznym to jedna z najczęściej pomijanych rzeczy w gabinetach.

4. Upoważnienia do przetwarzania danych dla asysty stomatologicznej, higienistki, recepcji i każdej osoby mającej dostęp do kart pacjentów. Każda taka osoba musi mieć imienne upoważnienie i — w praktyce — podpisane zobowiązanie do poufności. To dotyczy też osób na umowach zlecenia i współpracowników.

5. Polityka retencji (okresy przechowywania) — dopasowana do przepisów o dokumentacji medycznej, nie wymyślona. Konkrety w sekcji niżej.

6. Dokumentacja monitoringu wizyjnego — jeśli masz kamery (a w gabinetach to częste: poczekalnia, wejście, rejestracja). Potrzebujesz klauzuli informacyjnej o monitoringu, oznaczenia stref i zasad retencji nagrań. Przy szerokim monitoringu obejmującym obszary, gdzie przetwarzane są dane o zdrowiu, w praktyce warto rozważyć ocenę skutków dla ochrony danych (DPIA) — zakres zależy od konkretnego ustawienia kamer i zwykle ocenia się go indywidualnie.

7. Procedury — reagowanie na naruszenia (zgłoszenie do UODO w 72 h), obsługa praw pacjenta (dostęp, kopia dokumentacji), zasady udostępniania dokumentacji medycznej.

Retencja: ile naprawdę trzymać dokumentację i zdjęcia RTG

To pytanie wraca w każdym gabinecie, bo intuicja podpowiada „RODO każe usuwać dane", a przepisy medyczne każą je trzymać. Pierwszeństwo mają przepisy o dokumentacji medycznej (art. 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta):

Dokumentacja medyczna — co do zasady 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu.
Zdjęcia RTG przechowywane poza dokumentacją medyczną pacjenta — 10 lat, licząc od końca roku kalendarzowego, w którym wykonano zdjęcie. To kluczowy, czysto stomatologiczno-radiologiczny niuans.
Skierowania / zlecenia — co do zasady 5 lat (z niuansami zależnymi od tego, czy świadczenie zostało zrealizowane).
Zgon pacjenta wskutek uszkodzenia ciała lub zatrucia — 30 lat.

To znaczy: dane o zdrowiu trzymasz tak długo, jak każą przepisy medyczne — a RODO pilnuje, byś nie trzymał ich dłużej bez podstawy i nie wykorzystywał do celów innych niż dozwolone (np. marketing). Dobra polityka retencji godzi jedno z drugim.

A IOD? Czy muszę zatrudniać inspektora?

Najczęściej nie — jeśli prowadzisz gabinet jako pojedynczy lekarz / indywidualną praktykę. Motyw 91 RODO wprost wskazuje, że przetwarzanie danych pacjentów przez pojedynczego lekarza nie jest przetwarzaniem „na dużą skalę", a to właśnie duża skala jest jedną z przesłanek obowiązkowego IOD.

Sytuacja zmienia się przy większych podmiotach — kilku lekarzy, rozbudowana sieć gabinetów, przetwarzanie na większą skalę. Wtedy obowiązek wyznaczenia inspektora trzeba przeanalizować indywidualnie. Jeśli nie masz pewności, do której grupy należysz — to dokładnie ten moment, w którym warto zacząć od audytu, a nie od zgadywania.

Jak to ogarnąć bez poświęcania weekendów

Masz dwie drogi. Pierwsza: zlecasz pełną obsługę kancelarii i płacisz kilka tysięcy złotych plus stały abonament za IOD, którego — jak właśnie przeczytałeś — najpewniej wcale nie musisz mieć. Druga: bierzesz gotowy, dopasowany do profilu gabinetu komplet dokumentów i żywy system, który pilnuje terminów za Ciebie.

moje-rodo.pl robi to drugie. Odpowiadasz na kilka pytań o swój gabinet (solo czy zespół, RTG, laboratorium, monitoring, NFZ, pacjenci małoletni) i w kilka minut dostajesz komplet dokumentów dopasowanych do Twojej sytuacji — rejestr, klauzule, umowy powierzenia, upoważnienia, polityki. Treść przygotowana przez prawnika, nie wygenerowana na ślepo.

Dalej to nie martwy plik w szufladzie, tylko żywy system: rejestry, terminarz przeglądów, wdrożenie z dowodami (kto, co i kiedy zrobił), szkolenia dla asysty i recepcji. Gdyby kiedyś przyszła kontrola — masz wszystko w jednym miejscu, z datami.

Ceny: od 999 zł za komplet startowy, abonament od 199 zł/mc za utrzymanie systemu i aktualizacje. Najlepszy pierwszy krok to nie zakup, tylko zobaczenie, gdzie naprawdę jesteś. Zacznij od bezpłatnego, krótkiego audytu — pokaże, co masz, czego brakuje i co jest nieaktualne. Bez zobowiązań → moje-rodo.pl

Najczęstsze pytania

Czy jednoosobowy gabinet stomatologiczny musi prowadzić rejestr czynności przetwarzania? Tak. Zwolnienie z art. 30 ust. 5 RODO dla podmiotów poniżej 250 osób nie obejmuje przetwarzania szczególnych kategorii danych — a dane o zdrowiu pacjentów nimi są. Liczba pracowników nie zwalnia gabinetu z tego obowiązku.

Czy jako solo dentysta muszę wyznaczyć inspektora ochrony danych (IOD)? Zazwyczaj nie. Motyw 91 RODO wskazuje, że przetwarzanie danych pacjentów przez pojedynczego lekarza nie jest przetwarzaniem „na dużą skalę", które rodzi obowiązek wyznaczenia IOD. Przy większych, wieloosobowych podmiotach kwestię trzeba ocenić indywidualnie.

Jak długo muszę przechowywać dokumentację medyczną i zdjęcia RTG? Dokumentację medyczną co do zasady 20 lat od końca roku ostatniego wpisu. Zdjęcia RTG przechowywane poza dokumentacją pacjenta — 10 lat od końca roku, w którym je wykonano. Skierowania zwykle 5 lat. Wynika to z art. 29 ustawy o prawach pacjenta.

Czy potrzebuję umowy z laboratorium protetycznym? Tak. Wysyłając dane pacjenta i wyciski do laboratorium, powierzasz przetwarzanie danych podmiotowi zewnętrznemu — potrzebna jest umowa powierzenia przetwarzania (art. 28 RODO). To samo dotyczy dostawcy systemu gabinetowego, serwisu RTG, księgowości i hostingu.

Czy asysta i higienistka muszą mieć upoważnienia? Tak. Każda osoba mająca dostęp do danych pacjentów — asysta stomatologiczna, higienistka, recepcja, osoby na zleceniu — powinna mieć imienne upoważnienie do przetwarzania danych oraz zobowiązanie do zachowania poufności.

Mam monitoring w poczekalni — co muszę zrobić? Potrzebujesz klauzuli informacyjnej o monitoringu, oznaczenia stref objętych kamerami i określonego okresu przechowywania nagrań. Przy szerokim monitoringu obejmującym obszary przetwarzania danych o zdrowiu może być potrzebna ocena skutków (DPIA) — zakres warto ocenić indywidualnie.

Powiązane artykuły

Materiał edukacyjny, nie porada prawna. Stan prawny: czerwiec 2026. Decyzję o zgodności podejmuje administrator danych (gabinet) — w razie wątpliwości skonsultuj z IOD/prawnikiem albo skorzystaj z moje-rodo, gdzie dokumenty i dowody powstają pod Twój profil.

Roman Jońca · Lajf

Specjalista ds. ochrony danych dla podmiotów medycznych. Treść opracowana w oparciu o RODO, ustawę o prawach pacjenta i wytyczne UODO.