O systemie informacji w ochronie zdrowia
Artykuł 20.

1. Tworzenie rejestrów medycznych, o których mowa w art. 19 ust. 1, następuje w drodze rozporządzenia. W rozporządzeniu minister właściwy do spraw zdrowia określa:
 

1. (uchylony)
    
2. podmiot prowadzący rejestr,
    
3. okres, na jaki utworzono rejestr – w przypadku rejestru tworzonego na czas oznaczony,
    
4. sposób prowadzenia rejestru,
    
5. zakres i rodzaj danych przetwarzanych w rejestrze spośród danych określonych w art. 4 ust. 3,
   
   5a) rodzaje identyfikatorów przetwarzanych w rejestrze spośród identyfikatorów określonych w art. 17c ust. 2–5,
    
6. sposób zabezpieczenia danych osobowych zawartych w rejestrze przed nieuprawnionym dostępem
    

 - mając na uwadze analizę potrzeb utworzenia rejestru, o której mowa w art. 19 ust. 3, oraz zapewnienie proporcjonalności zakresu i rodzaju danych przetwarzanych w rejestrze z celami utworzenia rejestru.
 

2. Likwidacja rejestrów medycznych, o których mowa w art. 19 ust. 1, następuje w drodze rozporządzenia. W rozporządzeniu minister właściwy do spraw zdrowia określa:
    
   1. termin likwidacji rejestru, jeżeli nie wynika on z przepisów o jego utworzeniu, oraz
       
   2. warunki organizacyjno-techniczne:
       
      1. zaprzestania przetwarzania danych zawartych w rejestrze,
          
      2. przechowywania danych zawartych w rejestrze lub przekazania tych danych wskazanym w rozporządzeniu podmiotom
          

 - mając na uwadze konieczność zabezpieczenia danych przed utratą i nieuprawnionym dostępem oraz to, że stanowią materiały archiwalne w rozumieniu przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2015 r. poz. 1446 oraz z 2016 r. poz. 352 i 1020).
 

3. Minister właściwy do spraw zdrowia prowadzi w Biuletynie Informacji Publicznej wykaz rejestrów medycznych, o których mowa w art. 19 ust. 1. Wykaz jest aktualizowany niezwłocznie po utworzeniu albo likwidacji rejestru na podstawie ust. 1 albo 2.
    
4. Administratorem danych gromadzonych w rejestrach medycznych, o których mowa w art. 19 ust. 1, jest minister właściwy do spraw zdrowia.
    
5. W celu zapewnienia bezpieczeństwa danych w czasie eksploatacji systemu teleinformatycznego administrator danych, o którym mowa w ust. 4, może upoważnić podmiot prowadzący rejestr medyczny do powierzenia przetwarzania danych zawartych w rejestrze podmiotom wyspecjalizowanym w utrzymywaniu infrastruktury techniczno-systemowej i zapewnianiu obsługi technicznej systemów teleinformatycznych.
    
6. Podmioty wyspecjalizowane w utrzymywaniu infrastruktury techniczno-systemowej i zapewnianiu obsługi technicznej systemów teleinformatycznych, o których mowa w ust. 5, są obowiązane do stworzenia warunków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych, w szczególności zabezpieczenia danych przed nieuprawnionym dostępem, nielegalnym ujawnieniem lub pozyskaniem, a także ich modyfikacją, uszkodzeniem, zniszczeniem lub utratą. Dane gromadzone w rejestrach medycznych podlegają ochronie na poziomie wysokim, o którym mowa w przepisach wydanych na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
    
7. Administrator danych, o którym mowa w ust. 4, może kontrolować podmioty wyspecjalizowane w zapewnianiu obsługi technicznej systemów teleinformatycznych, o których mowa w ust. 5, w zakresie realizacji wymagań, o których mowa w ust. 6, oraz sposobu realizacji celów powierzenia danych przetwarzanych w rejestrach medycznych.
    
8. Podmioty wyspecjalizowane w zapewnianiu obsługi technicznej systemów teleinformatycznych, o których mowa w ust. 5, nie mogą powierzać innym podmiotom przetwarzania danych zawartych w rejestrach medycznych.
    
9. W przypadku zaprzestania przetwarzania danych w rejestrach medycznych przez podmioty wyspecjalizowane w zapewnianiu obsługi technicznej systemów teleinformatycznych, o których mowa w ust. 5, lub podmioty prowadzące rejestry medyczne, w szczególności w związku z ich likwidacją, są one obowiązane do przekazania tych danych administratorowi danych, o którym mowa w ust. 4. Administrator danych, o którym mowa w ust. 4, może upoważnić podmiot prowadzący rejestr medyczny do przyjęcia tych danych.
    
10. Podmioty, o których mowa w ust. 6, są obowiązane do zachowania w tajemnicy informacji związanych ze świadczeniobiorcami uzyskanych w związku z powierzeniem przetwarzania danych, o którym mowa w ust. 1. Podmioty te są związane tajemnicą także po śmierci świadczeniobiorcy.