Art. 20 O systemie informacji w ochronie zdrowia
O systemie informacji w ochronie zdrowia
Artykuł 20.
1. Tworzenie rejestrów medycznych, o których mowa w art. 19 ust. 1, następuje w drodze rozporządzenia. W rozporządzeniu minister właściwy do spraw zdrowia określa:
- (uchylony)
- podmiot prowadzący rejestr,
- okres, na jaki utworzono rejestr – w przypadku rejestru tworzonego na czas oznaczony,
- sposób prowadzenia rejestru,
- zakres i rodzaj danych przetwarzanych w rejestrze spośród danych określonych w art. 4 ust. 3,
5a) rodzaje identyfikatorów przetwarzanych w rejestrze spośród identyfikatorów określonych w art. 17c ust. 2–5,
- sposób zabezpieczenia danych osobowych zawartych w rejestrze przed nieuprawnionym dostępem
- mając na uwadze analizę potrzeb utworzenia rejestru, o której mowa w art. 19 ust. 3, oraz zapewnienie proporcjonalności zakresu i rodzaju danych przetwarzanych w rejestrze z celami utworzenia rejestru.
- Likwidacja rejestrów medycznych, o których mowa w art. 19 ust. 1, następuje w drodze rozporządzenia. W rozporządzeniu minister właściwy do spraw zdrowia określa:
- termin likwidacji rejestru, jeżeli nie wynika on z przepisów o jego utworzeniu, oraz
- warunki organizacyjno-techniczne:
- zaprzestania przetwarzania danych zawartych w rejestrze,
- przechowywania danych zawartych w rejestrze lub przekazania tych danych wskazanym w rozporządzeniu podmiotom
- zaprzestania przetwarzania danych zawartych w rejestrze,
- termin likwidacji rejestru, jeżeli nie wynika on z przepisów o jego utworzeniu, oraz
- mając na uwadze konieczność zabezpieczenia danych przed utratą i nieuprawnionym dostępem oraz to, że stanowią materiały archiwalne w rozumieniu przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2015 r. poz. 1446 oraz z 2016 r. poz. 352 i 1020).
- Minister właściwy do spraw zdrowia prowadzi w Biuletynie Informacji Publicznej wykaz rejestrów medycznych, o których mowa w art. 19 ust. 1. Wykaz jest aktualizowany niezwłocznie po utworzeniu albo likwidacji rejestru na podstawie ust. 1 albo 2.
- Administratorem danych gromadzonych w rejestrach medycznych, o których mowa w art. 19 ust. 1, jest minister właściwy do spraw zdrowia.
- W celu zapewnienia bezpieczeństwa danych w czasie eksploatacji systemu teleinformatycznego administrator danych, o którym mowa w ust. 4, może upoważnić podmiot prowadzący rejestr medyczny do powierzenia przetwarzania danych zawartych w rejestrze podmiotom wyspecjalizowanym w utrzymywaniu infrastruktury techniczno-systemowej i zapewnianiu obsługi technicznej systemów teleinformatycznych.
- Podmioty wyspecjalizowane w utrzymywaniu infrastruktury techniczno-systemowej i zapewnianiu obsługi technicznej systemów teleinformatycznych, o których mowa w ust. 5, są obowiązane do stworzenia warunków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych, w szczególności zabezpieczenia danych przed nieuprawnionym dostępem, nielegalnym ujawnieniem lub pozyskaniem, a także ich modyfikacją, uszkodzeniem, zniszczeniem lub utratą. Dane gromadzone w rejestrach medycznych podlegają ochronie na poziomie wysokim, o którym mowa w przepisach wydanych na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
- Administrator danych, o którym mowa w ust. 4, może kontrolować podmioty wyspecjalizowane w zapewnianiu obsługi technicznej systemów teleinformatycznych, o których mowa w ust. 5, w zakresie realizacji wymagań, o których mowa w ust. 6, oraz sposobu realizacji celów powierzenia danych przetwarzanych w rejestrach medycznych.
- Podmioty wyspecjalizowane w zapewnianiu obsługi technicznej systemów teleinformatycznych, o których mowa w ust. 5, nie mogą powierzać innym podmiotom przetwarzania danych zawartych w rejestrach medycznych.
- W przypadku zaprzestania przetwarzania danych w rejestrach medycznych przez podmioty wyspecjalizowane w zapewnianiu obsługi technicznej systemów teleinformatycznych, o których mowa w ust. 5, lub podmioty prowadzące rejestry medyczne, w szczególności w związku z ich likwidacją, są one obowiązane do przekazania tych danych administratorowi danych, o którym mowa w ust. 4. Administrator danych, o którym mowa w ust. 4, może upoważnić podmiot prowadzący rejestr medyczny do przyjęcia tych danych.
- Podmioty, o których mowa w ust. 6, są obowiązane do zachowania w tajemnicy informacji związanych ze świadczeniobiorcami uzyskanych w związku z powierzeniem przetwarzania danych, o którym mowa w ust. 1. Podmioty te są związane tajemnicą także po śmierci świadczeniobiorcy.