Art. 9a.

1. (uchylony)

2. Jeżeli administrator danych przetwarzanych w SIM, dziedzinowych systemach teleinformatycznych lub rejestrach medycznych lub podmiot przez niego upoważniony zawarł umowę o powierzeniu przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), podmiot, któremu powierzono przetwarzanie tych danych, jest obowiązany do stworzenia warunków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych, w szczególności zabezpieczenia danych przed nieuprawnionym dostępem, nielegalnym ujawnieniem lub pozyskaniem, a także ich modyfikacją, uszkodzeniem, zniszczeniem lub utratą.

3. Administrator danych, o którym mowa w ust. 2, lub podmiot przez niego upoważniony może kontrolować podmioty, którym powierzono przetwarzanie danych osobowych w zakresie realizacji wymagań, o których mowa w ust. 2, oraz sposobu realizacji celów powierzenia danych przetwarzanych w systemach, o których mowa w ust. 2.

4. (uchylony)

5. W przypadku zaprzestania przetwarzania danych przetwarzanych w systemach, o których mowa w ust. 2, przez podmioty, którym powierzono przetwarzanie tych danych, w szczególności w związku z ich likwidacją, są one obowiązane do przekazania tych danych administratorowi danych, o którym mowa w ust. 2, lub podmiotowi przez niego upoważnionemu.

6. Podmioty, którym powierzono przetwarzanie danych, o których mowa w ust. 2, są obowiązane do zachowania w tajemnicy informacji związanych z usługobiorcami uzyskanych w związku z powierzeniem przetwarzania danych osobowych przetwarzanych w systemach, o których mowa w ust. 2. Podmioty te są związane tajemnicą także po śmierci usługobiorcy.