Art. 24c.
Ustawa z dnia 8 września 2006 r. o Państwowym Ratownictwie Medycznym
1. Minister właściwy do spraw zdrowia, wojewodowie, dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia i dysponenci zespołów ratownictwa medycznego są współadministratorami danych w SWD PRM oraz innych danych uzyskanych w związku z przyjmowaniem oraz obsługą zgłoszeń alarmowych i powiadomień o zdarzeniach z wykorzystaniem SWD PRM.
2. Minister właściwy do spraw zdrowia:
1) wydaje i cofa upoważnienia do przetwarzania danych osobowych w SWD PRM dla pracowników urzędu obsługującego ministra właściwego do spraw zdrowia oraz konsultantów krajowych i wojewódzkich, o których mowa w ustawie z dnia 6 listopada 2008 r. o konsultantach w ochronie zdrowia (Dz. U. z 2019 r. poz. 886) w zakresie, o którym mowa w pkt 2;
2) określa zakres danych, które mogą być udostępniane konsultantom krajowym i wojewódzkim, o których mowa w ustawie z dnia 6 listopada 2008 r. o konsultantach w ochronie zdrowia, oraz podmiotom, o których mowa w art. 39;
3) określa uprawnienia w SWD PRM;
4) przetwarza dane w SWD PRM niezbędne do realizacji zadań, o których mowa w art. 19 ust. 1 oraz art. 24a ust. 1;
5) realizuje obowiązki wynikające z art. 19 i art. 34 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej „rozporządzeniem 2016/679”.
3. Wojewodowie:
1) wydają i cofają upoważnienia do przetwarzania danych osobowych w SWD PRM dla pracowników urzędu wojewódzkiego;
2) nadają i cofają uprawnienia w SWD PRM;
3) przetwarzają dane w SWD PRM niezbędne do realizacji zadań, o których mowa w art. 19 ust. 2;
4) realizują obowiązki wynikające z art. 15 i art. 16 rozporządzenia 2016/679 w zakresie wprowadzonych przez nich danych do SWD PRM;
5) realizują obowiązki wynikające z art. 19 i art. 34 rozporządzenia 2016/679.
4. Dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia:
1) przetwarza w SWD PRM dane niezbędne do realizacji zadań, o których mowa w art. 27a ust. 2 i art. 48;
2) przetwarza dane w celu zapewnienia utrzymania, rozbudowy, modyfikacji i obsługi technicznej SWD PRM;
3) wydaje i cofa upoważnienia do przetwarzania danych osobowych w zakresie obejmującym zadania wynikające z administrowania SWD PRM;
4) nadaje i cofa uprawnienia w SWD PRM w ramach realizacji powierzonych zadań;
5) może powierzyć przetwarzanie danych przetwarzanych w SWD PRM podmiotom wyspecjalizowanym w zapewnianiu obsługi technicznej systemów teleinformatycznych, w zakresie niezbędnym do prawidłowej realizacji zadań związanych z utrzymaniem i funkcjonowaniem, rozbudową i modyfikacjami SWD PRM;
6) realizuje obowiązki wynikające z art. 15 i art. 16 rozporządzenia 2016/679 w zakresie wprowadzonych przez niego danych do SWD PRM;
7) realizuje obowiązki wynikające z art. 19 i art. 34 rozporządzenia 2016/679.
5. Dysponenci zespołów ratownictwa medycznego:
1) wydają i cofają upoważnienia do przetwarzania danych osobowych w SWD PRM dla pracowników;
2) nadają i cofają uprawnienia w SWD PRM;
3) przetwarzają dane w SWD PRM w celu i zakresie niezbędnym do prawidłowej realizacji zadań wynikających z przepisów ustawy;
4) realizują obowiązki wynikające z art. 15 i art. 16 rozporządzenia 2016/679 w zakresie wprowadzonych przez nich danych do SWD PRM;
5) realizują obowiązki wynikające z art. 19 i art. 34 rozporządzenia 2016/679.
6. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
7. Podmioty, o których mowa w ust. 2–5, podejmują działania mające na celu:
1) zapewnienie ochrony przed nieuprawnionym dostępem do SWD PRM;
2) zapewnienie integralności danych w SWD PRM;
3) zapewnienie dostępności SWD PRM dla podmiotów przetwarzających dane w tym systemie;
4) przeciwdziałanie uszkodzeniom SWD PRM;
5) określenie zasad bezpieczeństwa przetwarzanych danych, w tym danych osobowych;
6) określenie zasad zgłaszania naruszenia ochrony danych osobowych;
7) zapewnienie rozliczalności w SWD PRM;
8) zapewnienie poprawności danych przetwarzanych w SWD PRM.
8. Podmioty wyspecjalizowane w zapewnieniu obsługi technicznej systemów teleinformatycznych, którym powierzono przetwarzanie danych osobowych w SWD PRM, nie mogą powierzać przetwarzania danych innym podmiotom ani udostępniać danych innym podmiotom niż upoważnionym na podstawie przepisów prawa.
9. W przypadku zaistnienia konieczności udostępnienia danych osobowych podmiotom upoważnionym na podstawie przepisów prawa, podmiot wyspecjalizowany w zapewnieniu obsługi technicznej systemów teleinformatycznych, który udostępnił dane, informuje o tym fakcie administratora SWD PRM, nie później niż w terminie 3 dni od dnia zaistnienia tego faktu.
10. W przypadku zaistnienia okoliczności skutkujących zaprzestaniem przetwarzania danych przetwarzanych w SWD PRM przez podmioty wyspecjalizowane w zapewnianiu obsługi technicznej systemów teleinformatycznych, podmioty te są obowiązane, w terminie 3 dni od dnia zaistnienia okoliczności skutkujących zaprzestaniem przetwarzania danych, do przekazania przetwarzanych danych administratorowi SWD PRM.
11. Podmioty, o których mowa w ust. 2–5, realizują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w związku z przetwarzaniem danych osobowych w SWD PRM, przez udostępnienie informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej lub na swojej stronie internetowej.
12. Osoba zwracająca się z żądaniem na podstawie art. 15 rozporządzenia 2016/679 obowiązana jest do podania informacji o okolicznościach zdarzenia, którego to żądanie dotyczy, w tym daty i miejsca zdarzenia oraz numeru telefonu, z którego zostało wykonane połączenie dotyczące powiadomienia o zdarzeniu.
13. Podmioty, o których mowa w ust. 2–5, udostępniają informację o ograniczeniach, o których mowa w ust. 12, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej lub na swojej stronie internetowej.
14. Podmioty, o których mowa w ust. 2–5, prowadzą ewidencję osób upoważnionych do przetwarzania danych, którym wydały upoważnienia do przetwarzania danych osobowych w SWD PRM.