# Checklist NIS2 / RODO - klinika medycyny estetycznej > **Materiał informacyjny, nie porada prawna.** Skonsultujcie z radcą prawnym, czy waszej kliniki dotyczą obowiązki NIS2. > **Data:** 2026-05-28 > **Wydawca:** CyberCerber (cybercerber.pl) ## Kontekst zakresu Klinika medycyny estetycznej **prawie zawsze nie podlega** NIS2. Procedury kosmetyczne nie kwalifikują się jako "świadczenia zdrowotne" w rozumieniu art. 3 ust. 2 ustawy o działalności leczniczej z 2011 r., więc klinika nie jest "podmiotem leczniczym" z załącznika I UKSC. Wyjątek: klinika z certyfikowanym personelem medycznym świadcząca procedury "z pogranicza" (laser medyczny pod nadzorem lekarza, podologia medyczna, chirurgia plastyczna) może być traktowana jako podmiot leczniczy. Wówczas decyduje próg ≥50 pracowników / ≥10 mln euro. Niezależnie od NIS2: zdjęcia przed/po są **danymi biometrycznymi** (art. 9 RODO) - art. 32 RODO dotyczy was z surowością. ## Dokumentacja (papier) - [ ] Pisemna polityka ochrony zdjęć przed/po (osobny dokument) - [ ] Rejestr czynności przetwarzania (art. 30 RODO) - szczegółowo dla danych biometrycznych - [ ] DPIA przed wdrożeniem każdego nowego systemu z danymi biometrycznymi (art. 35 RODO) - [ ] Klauzule informacyjne dla pacjentek (art. 13 RODO) - [ ] Zgoda na publikację wizerunku - oddzielnie od zgody na zabieg - [ ] Umowy powierzenia z dostawcami: Booksy/Estetii, CRM kliniki, system zarządzania - [ ] Procedura zgłoszenia incydentu: UODO 72h + decyzja o powiadomieniu pacjentek (art. 34 RODO) - [ ] Procedura wycieku zdjęć - jasna ścieżka decyzji "czy jest wysokie ryzyko = obowiązek powiadomienia" ## Środki techniczne (wdrożenie) - [ ] MFA na: booking online (Booksy, Estetii, Versum), CRM kliniki - [ ] MFA na: system zarządzania placówką, panel administracyjny strony - [ ] MFA na: e-mail biznesowy, hosting, dostawcy poczty - [ ] Szyfrowanie at-rest dla bazy pacjentek + galerii przed/po - [ ] Szyfrowanie nośników mobilnych (telefony służbowe z fotografiami pacjentek) - [ ] Backup z immutable dla zdjęć (ransomware celujący w wizerunek = podwójne wymuszenie) - [ ] Test odzysku galerii zdjęć raz na kwartał - [ ] Segmentacja: urządzenia diagnostyczne na osobnym VLAN - [ ] EDR na stacjach (Microsoft Defender for Endpoint minimum) - [ ] Blokada biometryczna na telefonach służbowych z fotografiami ## Ludzie - [ ] Szkolenie zarządu kliniki raz w roku - [ ] Szkolenie recepcji co miesiąc (recepcja widzi wszystkie zdjęcia + dane pacjentek) - [ ] Szkolenie zespołu medycznego raz w kwartale - [ ] Procedura "co robić, gdy pacjentka prosi o usunięcie zdjęcia" (art. 17 RODO - prawo do usunięcia) - [ ] Procedura offboardingu - natychmiastowe odebranie dostępu do galerii ## Wizerunek i social media - [ ] Polityka publikacji zdjęć: zgoda osobna, ograniczona w czasie, łatwo cofnąć - [ ] Procedura usunięcia zdjęć po cofnięciu zgody (z social, ze strony, z CRM) - [ ] Brak udostępnienia zdjęć w grupach społecznościowych lekarzy/kosmetyczek bez zgody ## Audyt zewnętrzny - [ ] Roczna zewnętrzna ocena podatności (CyberAudyt lub Pentest CyberCerber) - [ ] Raport po polsku z priorytetami CVSS - [ ] Naprawienie ustaleń krytycznych w 7 dni - [ ] Pełny pentest co 2 lata dla klinik z portfelem >5 000 pacjentek ## Następne kroki Jeśli powyższa lista zawiera braki: [zamów bezpłatne skanowanie wstępne](https://cybercerber.pl/prescan/) lub [zobacz cennik pełnego audytu](https://cybercerber.pl/cennik/). --- Wersja: 1.0 · Aktualizacja: 2026-05-28 · Następna planowana: 2026-08-28