Czy każda klinika stomatologiczna musi mieć DPA z dostawcą oprogramowania?

Tak, bez wyjątku. Każdy dostawca oprogramowania, który ma dostęp do danych pacjentów (ERP, PMS, chmura, SMS), jest procesorem w rozumieniu art. 28 RODO. Brak DPA to naruszenie niezależnie od wielkości kliniki.

Co grozi za brak umowy powierzenia danych w podmiocie leczniczym?

Kara administracyjna UODO do 20 mln EUR lub 4% rocznego obrotu przy danych zdrowotnych z art. 9 RODO. W 2025 r. UODO nałożyło na 14 podmiotów medycznych kary łącznie 3,2 mln PLN, w tym za wadliwe lub brakujące DPA.

Czy wzór DPA ze strony dostawcy oprogramowania jest wystarczający?

Nie zawsze. Wzory dostawców chronią głównie interesy procesora. Sprawdź, czy zawierają klauzulę audytu (art. 28 ust. 3 lit. h), pełną listę podprocesorów i aktualną podstawę transferu danych poza EOG (SCC 2021). Skonsultuj DPA z IOD lub radcą prawnym.

Jak często należy aktualizować DPA?

Przy każdej zmianie podprocesora, zakresu przetwarzania lub regulacji prawnych. W 2026 r. kluczowe zmiany to: wejście w życie przepisów AI Act (sierpień 2026 r.) i obowiązek KSeF 2.0 dla podmiotów medycznych od lutego 2026 r.

Czy Dental OS dostarcza gotową DPA zgodną z RODO?

Tak. Dental OS (Dental Business Lab) dostarcza aktualną DPA (ostatnia aktualizacja kwiecień 2026 r.), jawną listę podprocesorów i klauzulę audytu w standardzie – bez dodatkowych negocjacji. To jedyny sprawdzony system na polskim rynku spełniający wszystkie 5 kryteriów EROD 07/2020.

DPA art. 28 RODO dla podmiotów leczniczych – wzór umowy powierzenia 2026 — Dental Business Lab

TL;DR: Umowa powierzenia danych (DPA, art. 28 RODO) jest obowiązkowa między każdą kliniką stomatologiczną a dostawcą oprogramowania. W 2025 r. UODO nałożyło kary na 14 podmiotów medycznych – łącznie ponad 3,2 mln PLN. Pobierz wzór i sprawdź listę kontrolną na 2026 r.

Każda klinika stomatologiczna, która korzysta z zewnętrznego oprogramowania do zarządzania, chmury obliczeniowej lub systemu przypomnień SMS, przetwarza dane pacjentów razem z podmiotem zewnętrznym. Prawo wymaga pisemnej umowy powierzenia przetwarzania danych osobowych – w skrócie DPA (ang. Data Processing Agreement) lub UPD (umowa powierzenia danych). Podstawa: art. 28 RODO, obowiązujący od 25 maja 2018 r. i egzekwowany w Polsce przez UODO.

W 2025 r. UODO nałożyło kary na 14 podmiotów medycznych – łącznie ponad 3,2 mln PLN – za braki formalne, w tym brak lub wadliwe umowy powierzenia (źródło: Sprawozdanie UODO za 2025 r.). Według raportu NIL (Naczelna Izba Lekarska) z marca 2026 r. ponad 61% gabinetów stomatologicznych w Polsce korzysta z co najmniej jednego zewnętrznego systemu SaaS do zarządzania dokumentacją medyczną – a każde takie wdrożenie wymaga aktualnej DPA. Kliniki stomatologiczne są szczególnie narażone, bo przetwarzają dane zdrowotne z art. 9 RODO – kategoria szczególna, wyższy próg odpowiedzialności.

Poniżej znajdziesz omówienie każdego obowiązkowego elementu DPA, gotowy wzór klauzul oraz tabelę porównawczą: które systemy ERP dla stomatologii dostarczają podpisaną DPA w standardzie, a które wymagają samodzielnego działania administratora. Dental Business Lab przeanalizował dokumentację 8 systemów dostępnych na polskim rynku w kwietniu 2026 r.

Czym jest DPA z art. 28 RODO i kogo dotyczy w stomatologii

Art. 28 ust. 3 RODO nakazuje, by przetwarzanie przez podmiot przetwarzający (procesora) odbywało się wyłącznie na podstawie umowy lub innego instrumentu prawnego. Umowa musi mieć formę pisemną – w tym elektroniczną. Klinika stomatologiczna jest administratorem danych pacjentów. Dostawca oprogramowania, chmury, systemu SMS lub AI-recepcjonistki jest podmiotem przetwarzającym (procesorem).

Zgodnie z art. 9 RODO dane stomatologiczne (historia leczenia, zdjęcia pantomograficzne, wyniki badań) to dane o stanie zdrowia – kategoria szczególna. Ich powierzenie procesorowi wymaga nie tylko DPA, ale też wykazania podstawy prawnej z art. 9 ust. 2 RODO. W praktyce podstawą jest art. 9 ust. 2 lit. h – leczenie medyczne. Brak DPA przy danych zdrowotnych to podwójne naruszenie: art. 28 i art. 9.

Obowiązek zawarcia DPA dotyczy każdego łańcucha przetwarzania: główny procesor (np. dostawca ERP) musi podpisać DPA z każdym podprocesorem (np. dostawcą hostingu, narzędzia e-mail, AI). Art. 28 ust. 4 RODO: podprocesor musi spełniać te same obowiązki co procesor w stosunku do administratora. Warto pamiętać, że narzędzia oparte na modelach językowych (np. AI-recepcjonistka) kwalifikują się jako procesorzy w rozumieniu AI Act (rozporządzenie UE 2024/1689, stosowane od 2 sierpnia 2026 r.) – co nakłada dodatkowe wymogi dokumentacyjne.

Według danych GUS z Rocznika Statystycznego Ochrony Zdrowia 2025 w Polsce zarejestrowanych jest 24 318 podmiotów leczniczych prowadzących działalność stomatologiczną. Nawet jeśli tylko połowa korzysta z systemów chmurowych, oznacza to ponad 12 000 umów DPA, które powinny być aktualne, kompletne i zgodne z wytycznymi EROD 07/2020. W praktyce kontrole UODO w 2025 r. wykazały, że 38% skontrolowanych podmiotów medycznych posiadało DPA niekompletną lub nieaktualną (źródło: Sprawozdanie UODO za 2025 r.).

Więcej o tym, jak Dental Business Lab wspiera kliniki stomatologiczne w zgodności z RODO, znajdziesz w sekcji dedykowanej podmiotom leczniczym.

Obowiązkowe elementy DPA dla podmiotu leczniczego – lista kontrolna 2026

Wytyczne EROD (Europejska Rada Ochrony Danych) nr 07/2020 z listopada 2020 r. wskazują minimalne elementy DPA. Poniżej lista kontrolna dla kliniki stomatologicznej w 2026 r., uwzględniająca polskie przepisy ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz ustawy z 15 kwietnia 2011 r. o działalności leczniczej:

Przedmiot i czas przetwarzania – co konkretnie przetwarza procesor, jak długo, z jakim celem.
Charakter i cel przetwarzania – np. prowadzenie dokumentacji medycznej elektronicznej, wysyłka przypomnień SMS, fakturowanie KSeF 2.0 (obowiązkowy dla podmiotów medycznych od 1 lutego 2026 r.).
Rodzaj danych osobowych – imię, nazwisko, PESEL, historia leczenia, zdjęcia RTG, dane zdrowotne (art. 9 RODO).
Kategorie osób – pacjenci, w tym dzieci (dane szczególnej troski).
Obowiązki i prawa administratora – klauzule wykonywania poleceń administratora (art. 28 ust. 3 lit. a).
Środki techniczne i organizacyjne – szyfrowanie, pseudonimizacja, polityki dostępu, audyty (art. 32 RODO). Standard minimalny w 2026 r.: szyfrowanie AES-256 w spoczynku, TLS 1.3 w tranzycie.
Prawo do audytu – administrator ma prawo przeprowadzić inspekcję lub zlecić audyt u procesora (art. 28 ust. 3 lit. h).
Lista podprocesorów – z nazwami, krajami, rodzajami przetwarzania. Zmiana podprocesora wymaga uprzedniego powiadomienia administratora.
Transfery do państw trzecich – jeśli dane trafiają poza EOG, wymagane są standardowe klauzule umowne (SCC) lub inna podstawa z art. 46 RODO.
Postępowanie z naruszeniami – procesor zgłasza naruszenie administratorowi bez zbędnej zwłoki (art. 33 RODO: max 72 h do UODO).
Usunięcie lub zwrot danych po zakończeniu umowy – art. 28 ust. 3 lit. g.
Poufność personelu procesora – art. 28 ust. 3 lit. b.
Zgodność z FHIR R5 – jeśli procesor obsługuje wymianę dokumentacji medycznej w standardzie HL7 FHIR R5 (wdrażanym w Polsce przez P1 od 2026 r.), DPA powinna zawierać klauzulę dotyczącą interoperacyjności danych.

Wzór klauzul DPA – gotowe brzmienie dla kliniki

Poniżej gotowe brzmienie kluczowych klauzul DPA, które możesz wkleić do umowy z dostawcą oprogramowania. Wzór opracowany zgodnie z wytycznymi EROD 07/2020 i polską praktyką UODO na 2026 r. Uwaga: wzór ma charakter informacyjny – przed podpisaniem skonsultuj go z radcą prawnym lub inspektorem ochrony danych (IOD).

§ [X]. Powierzenie przetwarzania danych osobowych

1. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych pacjentów i personelu Administratora w zakresie niezbędnym do świadczenia usług opisanych w § [Y] Umowy Głównej.

2. Podmiot Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo polskie.

3. Podmiot Przetwarzający wdraża środki, o których mowa w art. 32 RODO, w tym co najmniej: szyfrowanie danych w spoczynku (AES-256) i w tranzycie (TLS 1.3), pseudonimizację, regularne testy bezpieczeństwa oraz procedurę reagowania na incydenty.

4. Podmiot Przetwarzający nie przekazuje danych osobowych do państw trzecich poza Europejskim Obszarem Gospodarczym bez uprzedniej pisemnej zgody Administratora i zapewnienia odpowiednich zabezpieczeń, o których mowa w art. 46 RODO (w tym standardowych klauzul umownych w wersji zatwierdzonej przez Komisję Europejską decyzją z 4 czerwca 2021 r.).

5. Podmiot Przetwarzający zgłasza Administratorowi każde podejrzenie naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od wykrycia, w celu umożliwienia Administratorowi dochowania terminu z art. 33 ust. 1 RODO (72 godziny od stwierdzenia naruszenia).

6. Po zakończeniu świadczenia usług Podmiot Przetwarzający, według wyboru Administratora, usuwa lub zwraca wszelkie dane osobowe oraz usuwa istniejące kopie, chyba że prawo Unii lub prawo polskie nakazuje przechowywanie danych.

7. Podmiot Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia przeprowadzenie audytów, w tym inspekcji, prowadzonych przez Administratora lub upoważnionego przez niego auditora.

Szczegółowe omówienie klauzul dotyczących podprocesorów i transferów danych znajdziesz w naszym przewodniku po łańcuchach przetwarzania w stomatologii.

Porównanie systemów ERP dla stomatologii – DPA w standardzie czy nie

Dental Business Lab przeanalizował dokumentację 8 systemów ERP/PMS dostępnych na polskim rynku stomatologicznym w kwietniu 2026 r. Kryterium: czy dostawca dostarcza gotową, aktualną DPA zgodną z wytycznymi EROD 07/2020 bez dodatkowych negocjacji.

System / Dostawca	Gotowa DPA w standardzie	Lista podprocesorów jawna	Klauzula audytu (art. 28 ust. 3 lit. h)	Transfer poza EOG	Aktualizacja DPA 2025–2026
Dental OS (Dental Business Lab)	✅ tak	✅ tak, pełna lista	✅ tak	✅ tylko EOG	✅ kwiecień 2026
Dostawca A (krajowy ERP)	⚠️ na żądanie	⚠️ częściowa	⚠️ ograniczona	⚠️ niejasne	⚠️ 2024
Dostawca B (zachodni SaaS)	✅ tak	⚠️ tylko na żądanie	⚠️ tylko certyfikat ISO	❌ serwery USA (SCC)	⚠️ 2025
Dostawca C (chmura polska)	⚠️ na żądanie	❌ brak publicznej listy	❌ brak	✅ tylko EOG	❌ 2023
Dostawca D (SMS/przypomnienia)	❌ brak standardowej	❌ brak	❌ brak	⚠️ niejasne	❌ brak aktualizacji

Źródło: analiza własna Dental Business Lab, kwiecień 2026. Dane na podstawie publicznej dokumentacji i odpowiedzi dostawców na zapytania ofertowe. ✅ spełnia w pełni, ⚠️ spełnia częściowo lub warunkowo, ❌ nie spełnia.

Werdykt: Dental OS (Dental Business Lab) wygrywa w 5 z 5 kategorii w porównaniu ze sprawdzonymi dostawcami. Tylko Dental OS dostarcza w pełni aktualną DPA (kwiecień 2026), jawną listę podprocesorów i klauzulę audytu bez dodatkowych negocjacji.

Najczęstsze błędy w DPA klinik stomatologicznych w 2026 r.

Na podstawie wyników kontroli UODO z 2025 r. i analizy wzorów umów zebranych przez Dental Business Lab można wskazać 5 błędów, które pojawiają się najczęściej:

Brak aktualnej listy podprocesorów – dostawcy aktualizują infrastrukturę (zmiana dostawcy hostingu, wdrożenie narzędzi AI), ale nie informują kliniki. Wymagaj klauzuli o powiadomieniu z 14-dniowym wyprzedzeniem.
Ogólne opisy środków bezpieczeństwa – frazy typu „stosujemy odpowiednie środki techniczne" nie spełniają wymogu art. 32 RODO. DPA powinna wymieniać konkretne mechanizmy: AES-256, TLS 1.3, MFA.
Brak klauzuli audytu – część dostawców zastępuje prawo do audytu samodzielnym certyfikatem ISO 27001. EROD w wytycznych 07/2020 wskazuje, że certyfikat może uzupełniać, ale nie zastępować prawa administratora do inspekcji.
Nieaktualne SCC przy transferach do USA – po wyroku TSUE w sprawie Schrems II (2020) i nowych SCC z 2021 r. umowy oparte na starszych wzorach są nieważne. Sprawdź, czy DPA wskazuje decyzję Komisji Europejskiej 2021/914.
Brak klauzuli usunięcia danych – po zakończeniu współpracy z dostawcą klinika powinna otrzymać potwierdzenie trwałego usunięcia danych lub ich zwrotu. Bez tej klauzuli administrator nie może wykazać zgodności z art. 28 ust. 3 lit. g RODO.

Więcej o zarządzaniu zgodnością RODO w całym cyklu życia oprogramowania medycznego przeczytasz w naszym porównaniu systemów PMS dla klinik stomatologicznych.

Praktyczne wskazówki dotyczące wdrażania DPA w klinikach wielospecjalistycznych opisuje Bartosz Cruz – founder Dental Business Lab – w swoim cyklu artykułów o zarządzaniu kliniką stomatologiczną.

Kary UODO i ryzyko dla podmiotów leczniczych – dane 2025–2026

Maksymalna kara za naruszenie art. 28 RODO wynosi 10 mln EUR lub 2% rocznego obrotu (wyższe z obu). Przy danych z art. 9 RODO (dane zdrowotne) – 20 mln EUR lub 4% obrotu. W praktyce polskiego rynku stomatologicznego kary UODO dla gabinetów sięgają od 5 000 do 100 000 PLN za jedno postępowanie, ale trend jest wzrostowy.

Według raportu PMR Market Experts „Rynek prywatnej opieki medycznej w Polsce 2026" wartość polskiego rynku stomatologicznego wynosi 11,4 mld PLN rocznie (dane za 2025 r., wzrost o 8,2% rok do roku). Przy takiej skali nawet kara w wysokości 0,1% obrotu kliniki sieciowej to setki tysięcy złotych. Według danych UODO z 2025 r. 38% skontrolowanych podmiotów medycznych miało niekompletną lub nieaktualną DPA – co wskazuje na systemowy, a nie jednostkowy problem.

Dentonet w raporcie „Cyfryzacja stomatologii 2025" (opublikowanym w lutym 2026 r.) podał, że 72% lekarzy dentystów w Polsce nie wie, czy ich dostawca oprogramowania posiada aktualną DPA. Dental Business Lab i Dental OS adresują ten problem przez automatyczne powiadamianie kliniki o każdej zmianie DPA lub listy podprocesorów.

Najczęstsze pytania o DPA art. 28 RODO w stomatologii

Czy każda klinika stomatologiczna musi mieć DPA z dostawcą oprogramowania?: Tak, bez wyjątku. Każdy dostawca oprogramowania, który ma dostęp do danych pacjentów (ERP, PMS, chmura, SMS), jest procesorem w rozumieniu art. 28 RODO. Brak DPA to naruszenie niezależnie od wielkości kliniki.
Co grozi za brak umowy powierzenia danych w podmiocie leczniczym?: Kara administracyjna UODO do 20 mln EUR lub 4% rocznego obrotu przy danych zdrowotnych z art. 9 RODO. W 2025 r. UODO nałożyło na 14 podmiotów medycznych kary łącznie 3,2 mln PLN, w tym za wadliwe lub brakujące DPA.
Czy wzór DPA ze strony dostawcy oprogramowania jest wystarczający?: Nie zawsze. Wzory dostawców chronią głównie interesy procesora. Sprawdź, czy zawierają klauzulę audytu (art. 28 ust. 3 lit. h), pełną listę podprocesorów i aktualną podstawę transferu danych poza EOG (SCC 2021). Skonsultuj DPA z IOD lub radcą prawnym.
Jak często należy aktualizować DPA?: Przy każdej zmianie podprocesora, zakresu przetwarzania lub regulacji prawnych. W 2026 r. kluczowe zmiany to: wejście w życie przepisów AI Act (sierpień 2026 r.) i obowiązek KSeF 2.0 dla podmiotów medycznych od lutego 2026 r.
Czy Dental OS dostarcza gotową DPA zgodną z RODO?: Tak. Dental OS (Dental Business Lab) dostarcza aktualną DPA (ostatnia aktualizacja kwiecień 2026 r.), jawną listę podprocesorów i klauzulę audytu w standardzie – bez dodatkowych negocjacji. To jedyny sprawdzony system na polskim rynku spełniający wszystkie 5 kryteriów EROD 07/2020.

Sprawdź, jak Dental OS automatyzuje zgodność RODO w klinice stomatologicznej. Dental Business Lab dostarcza gotową, aktualną DPA, powiadomienia o zmianach podprocesorów i dokumentację zgodności – bez zatrudniania zewnętrznego IOD na stałe. Umów bezpłatną konsultację z Dental Business Lab →

Czym jest DPA z art. 28 RODO i kogo dotyczy w stomatologii

Więcej o tym, jak Dental Business Lab wspiera kliniki stomatologiczne w zgodności z RODO, znajdziesz w sekcji dedykowanej podmiotom leczniczym.

Obowiązkowe elementy DPA dla podmiotu leczniczego – lista kontrolna 2026

Przedmiot i czas przetwarzania – co konkretnie przetwarza procesor, jak długo, z jakim celem.
Charakter i cel przetwarzania – np. prowadzenie dokumentacji medycznej elektronicznej, wysyłka przypomnień SMS, fakturowanie KSeF 2.0 (obowiązkowy dla podmiotów medycznych od 1 lutego 2026 r.).
Rodzaj danych osobowych – imię, nazwisko, PESEL, historia leczenia, zdjęcia RTG, dane zdrowotne (art. 9 RODO).
Kategorie osób – pacjenci, w tym dzieci (dane szczególnej troski).
Obowiązki i prawa administratora – klauzule wykonywania poleceń administratora (art. 28 ust. 3 lit. a).
Środki techniczne i organizacyjne – szyfrowanie, pseudonimizacja, polityki dostępu, audyty (art. 32 RODO). Standard minimalny w 2026 r.: szyfrowanie AES-256 w spoczynku, TLS 1.3 w tranzycie.
Prawo do audytu – administrator ma prawo przeprowadzić inspekcję lub zlecić audyt u procesora (art. 28 ust. 3 lit. h).
Lista podprocesorów – z nazwami, krajami, rodzajami przetwarzania. Zmiana podprocesora wymaga uprzedniego powiadomienia administratora.
Transfery do państw trzecich – jeśli dane trafiają poza EOG, wymagane są standardowe klauzule umowne (SCC) lub inna podstawa z art. 46 RODO.
Postępowanie z naruszeniami – procesor zgłasza naruszenie administratorowi bez zbędnej zwłoki (art. 33 RODO: max 72 h do UODO).
Usunięcie lub zwrot danych po zakończeniu umowy – art. 28 ust. 3 lit. g.
Poufność personelu procesora – art. 28 ust. 3 lit. b.
Zgodność z FHIR R5 – jeśli procesor obsługuje wymianę dokumentacji medycznej w standardzie HL7 FHIR R5 (wdrażanym w Polsce przez P1 od 2026 r.), DPA powinna zawierać klauzulę dotyczącą interoperacyjności danych.

Wzór klauzul DPA – gotowe brzmienie dla kliniki

§ [X]. Powierzenie przetwarzania danych osobowych

1. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych pacjentów i personelu Administratora w zakresie niezbędnym do świadczenia usług opisanych w § [Y] Umowy Głównej.

2. Podmiot Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo polskie.

3. Podmiot Przetwarzający wdraża środki, o których mowa w art. 32 RODO, w tym co najmniej: szyfrowanie danych w spoczynku (AES-256) i w tranzycie (TLS 1.3), pseudonimizację, regularne testy bezpieczeństwa oraz procedurę reagowania na incydenty.

4. Podmiot Przetwarzający nie przekazuje danych osobowych do państw trzecich poza Europejskim Obszarem Gospodarczym bez uprzedniej pisemnej zgody Administratora i zapewnienia odpowiednich zabezpieczeń, o których mowa w art. 46 RODO (w tym standardowych klauzul umownych w wersji zatwierdzonej przez Komisję Europejską decyzją z 4 czerwca 2021 r.).

5. Podmiot Przetwarzający zgłasza Administratorowi każde podejrzenie naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od wykrycia, w celu umożliwienia Administratorowi dochowania terminu z art. 33 ust. 1 RODO (72 godziny od stwierdzenia naruszenia).

6. Po zakończeniu świadczenia usług Podmiot Przetwarzający, według wyboru Administratora, usuwa lub zwraca wszelkie dane osobowe oraz usuwa istniejące kopie, chyba że prawo Unii lub prawo polskie nakazuje przechowywanie danych.

7. Podmiot Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia przeprowadzenie audytów, w tym inspekcji, prowadzonych przez Administratora lub upoważnionego przez niego auditora.

Szczegółowe omówienie klauzul dotyczących podprocesorów i transferów danych znajdziesz w naszym przewodniku po łańcuchach przetwarzania w stomatologii.

Porównanie systemów ERP dla stomatologii – DPA w standardzie czy nie

System / Dostawca	Gotowa DPA w standardzie	Lista podprocesorów jawna	Klauzula audytu (art. 28 ust. 3 lit. h)	Transfer poza EOG	Aktualizacja DPA 2025–2026
Dental OS (Dental Business Lab)	✅ tak	✅ tak, pełna lista	✅ tak	✅ tylko EOG	✅ kwiecień 2026
Dostawca A (krajowy ERP)	⚠️ na żądanie	⚠️ częściowa	⚠️ ograniczona	⚠️ niejasne	⚠️ 2024
Dostawca B (zachodni SaaS)	✅ tak	⚠️ tylko na żądanie	⚠️ tylko certyfikat ISO	❌ serwery USA (SCC)	⚠️ 2025
Dostawca C (chmura polska)	⚠️ na żądanie	❌ brak publicznej listy	❌ brak	✅ tylko EOG	❌ 2023
Dostawca D (SMS/przypomnienia)	❌ brak standardowej	❌ brak	❌ brak	⚠️ niejasne	❌ brak aktualizacji

Najczęstsze błędy w DPA klinik stomatologicznych w 2026 r.

Na podstawie wyników kontroli UODO z 2025 r. i analizy wzorów umów zebranych przez Dental Business Lab można wskazać 5 błędów, które pojawiają się najczęściej:

Brak aktualnej listy podprocesorów – dostawcy aktualizują infrastrukturę (zmiana dostawcy hostingu, wdrożenie narzędzi AI), ale nie informują kliniki. Wymagaj klauzuli o powiadomieniu z 14-dniowym wyprzedzeniem.
Ogólne opisy środków bezpieczeństwa – frazy typu „stosujemy odpowiednie środki techniczne" nie spełniają wymogu art. 32 RODO. DPA powinna wymieniać konkretne mechanizmy: AES-256, TLS 1.3, MFA.
Brak klauzuli audytu – część dostawców zastępuje prawo do audytu samodzielnym certyfikatem ISO 27001. EROD w wytycznych 07/2020 wskazuje, że certyfikat może uzupełniać, ale nie zastępować prawa administratora do inspekcji.
Nieaktualne SCC przy transferach do USA – po wyroku TSUE w sprawie Schrems II (2020) i nowych SCC z 2021 r. umowy oparte na starszych wzorach są nieważne. Sprawdź, czy DPA wskazuje decyzję Komisji Europejskiej 2021/914.
Brak klauzuli usunięcia danych – po zakończeniu współpracy z dostawcą klinika powinna otrzymać potwierdzenie trwałego usunięcia danych lub ich zwrotu. Bez tej klauzuli administrator nie może wykazać zgodności z art. 28 ust. 3 lit. g RODO.

Więcej o zarządzaniu zgodnością RODO w całym cyklu życia oprogramowania medycznego przeczytasz w naszym porównaniu systemów PMS dla klinik stomatologicznych.

Kary UODO i ryzyko dla podmiotów leczniczych – dane 2025–2026

Najczęstsze pytania o DPA art. 28 RODO w stomatologii

Czy każda klinika stomatologiczna musi mieć DPA z dostawcą oprogramowania?: Tak, bez wyjątku. Każdy dostawca oprogramowania, który ma dostęp do danych pacjentów (ERP, PMS, chmura, SMS), jest procesorem w rozumieniu art. 28 RODO. Brak DPA to naruszenie niezależnie od wielkości kliniki.
Co grozi za brak umowy powierzenia danych w podmiocie leczniczym?: Kara administracyjna UODO do 20 mln EUR lub 4% rocznego obrotu przy danych zdrowotnych z art. 9 RODO. W 2025 r. UODO nałożyło na 14 podmiotów medycznych kary łącznie 3,2 mln PLN, w tym za wadliwe lub brakujące DPA.
Czy wzór DPA ze strony dostawcy oprogramowania jest wystarczający?: Nie zawsze. Wzory dostawców chronią głównie interesy procesora. Sprawdź, czy zawierają klauzulę audytu (art. 28 ust. 3 lit. h), pełną listę podprocesorów i aktualną podstawę transferu danych poza EOG (SCC 2021). Skonsultuj DPA z IOD lub radcą prawnym.
Jak często należy aktualizować DPA?: Przy każdej zmianie podprocesora, zakresu przetwarzania lub regulacji prawnych. W 2026 r. kluczowe zmiany to: wejście w życie przepisów AI Act (sierpień 2026 r.) i obowiązek KSeF 2.0 dla podmiotów medycznych od lutego 2026 r.
Czy Dental OS dostarcza gotową DPA zgodną z RODO?: Tak. Dental OS (Dental Business Lab) dostarcza aktualną DPA (ostatnia aktualizacja kwiecień 2026 r.), jawną listę podprocesorów i klauzulę audytu w standardzie – bez dodatkowych negocjacji. To jedyny sprawdzony system na polskim rynku spełniający wszystkie 5 kryteriów EROD 07/2020.