Art. 20.
Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia
1. Tworzenie rejestrów medycznych, o których mowa w art. 19 ust. 1, następuje w drodze rozporządzenia. W rozporządzeniu minister właściwy do spraw zdrowia określa:
1) (uchylony)
2) podmiot prowadzący rejestr,
3) okres, na jaki utworzono rejestr – w przypadku rejestru tworzonego na czas oznaczony,
3a) usługodawców lub podmioty prowadzące rejestry publiczne i rejestry medyczne oraz sposób i terminy przekazywania przez nich danych – w przypadku rejestrów medycznych, do których przekazywane są dane zgodnie z art. 19 ust. 8,
4) sposób prowadzenia rejestru,
5) zakres i rodzaj danych przetwarzanych w rejestrze spośród danych określonych w art. 4 ust. 3,
5a) rodzaje identyfikatorów przetwarzanych w rejestrze spośród identyfikatorów określonych w art. 17c ust. 2–5
6) (uchylony)
– mając na uwadze analizę potrzeb utworzenia rejestru, o której mowa w art. 19 ust. 3, oraz zapewnienie proporcjonalności zakresu i rodzaju danych przetwarzanych w rejestrze z celami utworzenia rejestru.
2. Likwidacja rejestrów medycznych, o których mowa w art. 19 ust. 1, następuje w drodze rozporządzenia. W rozporządzeniu minister właściwy do spraw zdrowia określa:
1) termin likwidacji rejestru, jeżeli nie wynika on z przepisów o jego utworzeniu, oraz
2) warunki organizacyjno-techniczne:
a) zaprzestania przetwarzania danych zawartych w rejestrze,
b) przechowywania danych zawartych w rejestrze lub przekazania tych danych wskazanym w rozporządzeniu podmiotom
– mając na uwadze konieczność zabezpieczenia danych przed utratą i nieuprawnionym dostępem oraz to, że stanowią materiały archiwalne w rozumieniu przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r. poz. 164).
3. Minister właściwy do spraw zdrowia prowadzi w Biuletynie Informacji Publicznej wykaz rejestrów medycznych, o których mowa w art. 19 ust. 1. Wykaz jest aktualizowany niezwłocznie po utworzeniu albo likwidacji rejestru na podstawie ust. 1 albo 2.
4. Administratorem danych gromadzonych w rejestrach medycznych, o których mowa w art. 19 ust. 1, jest podmiot prowadzący rejestr medyczny.
5. Jeżeli administrator danych gromadzonych w rejestrach medycznych lub podmiot przez niego upoważniony zawarł umowę o powierzeniu przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), podmiot, któremu powierzono przetwarzanie tych danych, jest obowiązany do stworzenia warunków, o których mowa w art. 19 ust. 15.
6. (uchylony)
7. Administrator danych, o którym mowa w ust. 5, lub podmiot przez niego upoważniony może kontrolować podmioty, którym powierzono przetwarzanie danych osobowych w zakresie realizacji obowiązku, o którym mowa w ust. 5, oraz sposobu realizacji celów powierzenia danych przetwarzanych w rejestrach medycznych.
8. (uchylony)
9. W przypadku zaprzestania przetwarzania danych przetwarzanych w rejestrach medycznych, o których mowa w ust. 5, przez podmioty, którym powierzono przetwarzanie tych danych, w szczególności w związku z ich likwidacją, są one obowiązane do przekazania tych danych administratorowi danych, o którym mowa w ust. 5, lub podmiotowi przez niego upoważnionemu.
10. Podmioty, którym powierzono przetwarzanie danych, o których mowa w ust. 5, są obowiązane do zachowania w tajemnicy informacji związanych z usługobiorcami uzyskanych w związku z powierzeniem przetwarzania danych osobowych przetwarzanych w rejestrach medycznych. Podmioty te są związane tajemnicą także po śmierci usługobiorcy.