Art. 20.

1. Tworzenie rejestrów medycznych, o których mowa w art. 19 ust. 1, następuje w drodze rozporządzenia. W rozporządzeniu minister właściwy do spraw zdrowia określa:

1) (uchylony)

2) podmiot prowadzący rejestr,

3) okres, na jaki utworzono rejestr – w przypadku rejestru tworzonego na czas oznaczony,

3a) usługodawców lub podmioty prowadzące rejestry publiczne i rejestry medyczne oraz sposób i terminy przekazywania przez nich danych – w przypadku rejestrów medycznych, do których przekazywane są dane zgodnie z art. 19 ust. 8,

4) sposób prowadzenia rejestru,

5) zakres i rodzaj danych przetwarzanych w rejestrze spośród danych określonych w art. 4 ust. 3,

5a) rodzaje identyfikatorów przetwarzanych w rejestrze spośród identyfikatorów określonych w art. 17c ust. 2–5

6) (uchylony)

– mając na uwadze analizę potrzeb utworzenia rejestru, o której mowa w art. 19 ust. 3, oraz zapewnienie proporcjonalności zakresu i rodzaju danych przetwarzanych w rejestrze z celami utworzenia rejestru.

2. Likwidacja rejestrów medycznych, o których mowa w art. 19 ust. 1, następuje w drodze rozporządzenia. W rozporządzeniu minister właściwy do spraw zdrowia określa:

1) termin likwidacji rejestru, jeżeli nie wynika on z przepisów o jego utworzeniu, oraz

2) warunki organizacyjno-techniczne:

a) zaprzestania przetwarzania danych zawartych w rejestrze,

b) przechowywania danych zawartych w rejestrze lub przekazania tych danych wskazanym w rozporządzeniu podmiotom

– mając na uwadze konieczność zabezpieczenia danych przed utratą i nieuprawnionym dostępem oraz to, że stanowią materiały archiwalne w rozumieniu przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r. poz. 164).

3. Minister właściwy do spraw zdrowia prowadzi w Biuletynie Informacji Publicznej wykaz rejestrów medycznych, o których mowa w art. 19 ust. 1. Wykaz jest aktualizowany niezwłocznie po utworzeniu albo likwidacji rejestru na podstawie ust. 1 albo 2.

4. Administratorem danych gromadzonych w rejestrach medycznych, o których mowa w art. 19 ust. 1, jest podmiot prowadzący rejestr medyczny.

5. Jeżeli administrator danych gromadzonych w rejestrach medycznych lub podmiot przez niego upoważniony zawarł umowę o powierzeniu przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), podmiot, któremu powierzono przetwarzanie tych danych, jest obowiązany do stworzenia warunków, o których mowa w art. 19 ust. 15.

6. (uchylony)

7. Administrator danych, o którym mowa w ust. 5, lub podmiot przez niego upoważniony może kontrolować podmioty, którym powierzono przetwarzanie danych osobowych w zakresie realizacji obowiązku, o którym mowa w ust. 5, oraz sposobu realizacji celów powierzenia danych przetwarzanych w rejestrach medycznych.

8. (uchylony)

9. W przypadku zaprzestania przetwarzania danych przetwarzanych w rejestrach medycznych, o których mowa w ust. 5, przez podmioty, którym powierzono przetwarzanie tych danych, w szczególności w związku z ich likwidacją, są one obowiązane do przekazania tych danych administratorowi danych, o którym mowa w ust. 5, lub podmiotowi przez niego upoważnionemu.

10. Podmioty, którym powierzono przetwarzanie danych, o których mowa w ust. 5, są obowiązane do zachowania w tajemnicy informacji związanych z usługobiorcami uzyskanych w związku z powierzeniem przetwarzania danych osobowych przetwarzanych w rejestrach medycznych. Podmioty te są związane tajemnicą także po śmierci usługobiorcy.