Art. 90. - Zmiana niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Dz.U.2019.730
Akt obowiązującyW ustawie z dnia 8 września 2006 r. o Państwowym Ratownictwie Medycznym (Dz. U. z 2017 r. poz. 2195, z późn. zm.) wprowadza się następujące zmiany:
"1. Dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia administruje SWD PRM, który umożliwia bezpieczne przetwarzanie danych, w tym kontrolę dostępu użytkowników do danych, oraz dokumentuje dokonywane przez nich zmiany, umożliwiając w szczególności odtworzenie historii każdego zgłoszenia alarmowego i powiadomienia o zdarzeniu.
2. Minister właściwy do spraw zdrowia, wojewodowie, dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia i dysponenci zespołów ratownictwa medycznego przetwarzają dane zarejestrowane w SWD PRM, w tym nagrania rozmów, dane osobowe osoby zgłaszającej, dane innych osób wskazanych w trakcie przyjmowania zgłoszenia, pozycje geograficzne, dane teleadresowe lub opis zdarzenia, i udostępniają je na wniosek sądu, prokuratury, Policji, Rzecznika Praw Pacjenta lub Narodowego Funduszu Zdrowia.";
"Art. 24c. 1. Minister właściwy do spraw zdrowia, wojewodowie, dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia i dysponenci zespołów ratownictwa medycznego są współadministratorami danych w SWD PRM oraz innych danych uzyskanych w związku z przyjmowaniem oraz obsługą zgłoszeń alarmowych i powiadomień o zdarzeniach z wykorzystaniem SWD PRM.
2. Minister właściwy do spraw zdrowia:
1) wydaje i cofa upoważnienia do przetwarzania danych osobowych w SWD PRM dla pracowników urzędu obsługującego ministra właściwego do spraw zdrowia oraz konsultantów krajowych i wojewódzkich, o których mowa w ustawie z dnia 6 listopada 2008 r. o konsultantach w ochronie zdrowia (Dz. U. z 2017 r. poz. 890 oraz z 2018 r. poz. 1669), w zakresie, o którym mowa w pkt 2;
2) określa zakres danych, które mogą być udostępniane konsultantom krajowym i wojewódzkim, o których mowa w ustawie z dnia 6 listopada 2008 r. o konsultantach w ochronie zdrowia, oraz podmiotom, o których mowa w art. 39;
3) określa uprawnienia w SWD PRM;
4) przetwarza dane w SWD PRM niezbędne do realizacji zadań, o których mowa w art. 19 ust. 1 oraz art. 24a ust. 1;
5) realizuje obowiązki wynikające z art. 19 i art. 34 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679".
3. Wojewodowie:
1) wydają i cofają upoważnienia do przetwarzania danych osobowych w SWD PRM dla pracowników urzędu wojewódzkiego;
2) nadają i cofają uprawnienia w SWD PRM;
3) przetwarzają dane w SWD PRM niezbędne do realizacji zadań, o których mowa w art. 19 ust. 2;
4) realizują obowiązki wynikające żart. 15 i art. 16 rozporządzenia 2016/679 w zakresie wprowadzonych przez nich danych do SWD PRM;
5) realizują obowiązki wynikające z art. 19 i art. 34 rozporządzenia 2016/679.
4. Dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia:
1) przetwarza w SWD PRM dane niezbędne do realizacji zadań, o których mowa w art. 27a ust. 2 i art. 48;
2) przetwarza dane w celu zapewnienia utrzymania, rozbudowy, modyfikacji i obsługi technicznej SWD PRM;
3) wydaje i cofa upoważnienia do przetwarzania danych osobowych w zakresie obejmującym zadania wynikające z administrowania SWD PRM;
4) nadaje i cofa uprawnienia w SWD PRM w ramach realizacji powierzonych zadań;
5) może powierzyć przetwarzanie danych przetwarzanych w SWD PRM podmiotom wyspecjalizowanym w zapewnianiu obsługi technicznej systemów teleinformatycznych, w zakresie niezbędnym do prawidłowej realizacji zadań związanych z utrzymaniem i funkcjonowaniem, rozbudową i modyfikacjami SWD PRM;
6) realizuje obowiązki wynikające żart. 15 i art. 16 rozporządzenia 2016/679 w zakresie wprowadzonych przez niego danych do SWD PRM;
7) realizuje obowiązki wynikające z art. 19 i art. 34 rozporządzenia 2016/679.
5. Dysponenci zespołów ratownictwa medycznego:
1) wydają i cofają upoważnienia do przetwarzania danych osobowych w SWD PRM dla pracowników;
2) nadają i cofają uprawnienia w SWD PRM;
3) przetwarzają dane w SWD PRM w celu i zakresie niezbędnym do prawidłowej realizacji zadań wynikających z przepisów ustawy;
4) realizują obowiązki wynikające żart. 15 i art. 16 rozporządzenia 2016/679 w zakresie wprowadzonych przez nich danych do SWD PRM;
5) realizują obowiązki wynikające z art. 19 i art. 34 rozporządzenia 2016/679.
6. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
7. Podmioty, o których mowa w ust. 2-5, podejmują działania mające na celu:
1) zapewnienie ochrony przed nieuprawnionym dostępem do SWD PRM;
2) zapewnienie integralności danych w SWD PRM;
3) zapewnienie dostępności SWD PRM dla podmiotów przetwarzających dane w tym systemie;
4) przeciwdziałanie uszkodzeniom SWD PRM;
5) określenie zasad bezpieczeństwa przetwarzanych danych, w tym danych osobowych;
6) określenie zasad zgłaszania naruszenia ochrony danych osobowych;
7) zapewnienie rozliczalności w SWD PRM;
8) zapewnienie poprawności danych przetwarzanych w SWD PRM.
8. Podmioty wyspecjalizowane w zapewnieniu obsługi technicznej systemów teleinformatycznych, którym powierzono przetwarzanie danych osobowych w SWD PRM, nie mogą powierzać przetwarzania danych innym podmiotom ani udostępniać danych innym podmiotom niż upoważnionym na podstawie przepisów prawa.
9. W przypadku zaistnienia konieczności udostępnienia danych osobowych podmiotom upoważnionym na podstawie przepisów prawa, podmiot wyspecjalizowany w zapewnieniu obsługi technicznej systemów teleinformatycznych, który udostępnił dane, informuje o tym fakcie administratora SWD PRM, nie później niż w terminie 3 dni od dnia zaistnienia tego faktu.
10. W przypadku zaistnienia okoliczności skutkujących zaprzestaniem przetwarzania danych przetwarzanych w SWD PRM przez podmioty wyspecjalizowane w zapewnianiu obsługi technicznej systemów teleinformatycznych, podmioty te są obowiązane, w terminie 3 dni od dnia zaistnienia okoliczności skutkujących zaprzestaniem przetwarzania danych, do przekazania przetwarzanych danych administratorowi SWD PRM.
11. Podmioty, o których mowa w ust. 2-5, realizują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w związku z przetwarzaniem danych osobowych w SWD PRM, przez udostępnienie informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej lub na swojej stronie internetowej.
12. Osoba zwracająca się z żądaniem na podstawie art. 15 rozporządzenia 2016/679 obowiązana jest do podania informacji o okolicznościach zdarzenia, którego to żądanie dotyczy, w tym daty i miejsca zdarzenia oraz numeru telefonu, z którego zostało wykonane połączenie dotyczące powiadomienia o zdarzeniu.
13. Podmioty, o których mowa w ust. 2-5, udostępniają informację o ograniczeniach, o których mowa w ust. 12, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej lub na swojej stronie internetowej.
14. Podmioty, o których mowa w ust. 2-5, prowadzą ewidencję osób upoważnionych do przetwarzania danych, którym wydały upoważnienia do przetwarzania danych osobowych w SWD PRM.";
"2. Minister właściwy do spraw zdrowia, wojewodowie, dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia oraz dysponenci zespołów ratownictwa medycznego przy użyciu SWD PRM przetwarzają i udostępniają dane:
1) dotyczące usługobiorców w rozumieniu art. 2 pkt 16 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, w zakresie określonym w art. 4 ust. 3 tej ustawy;
2) obejmujące dane osobowe osób wykonujących zadania wojewódzkich koordynatorów ratownictwa medycznego;
3) obejmujące dane osobowe osób wykonujących zadania dyspozytora medycznego;
4) obejmujące dane osobowe osób wykonujących zadania członków zespołów ratownictwa medycznego;
5) obejmujące dane osobowe osób wykonujących wyłącznie zadania kierowców, o których mowa w art. 36 ust. 3;
6) obejmujące dane osobowe osób wykonujących na podstawie danych z SWD PRM zadania polegające na: zarządzaniu, kontroli, sporządzaniu raportów statystycznych i analiz;
7) obejmujące dane osobowe osób dokonujących zgłoszenia na numer alarmowy, numery ich telefonów oraz stopień pokrewieństwa z osobą w stanie nagłego zagrożenia zdrowotnego, jeżeli dotyczy;
8) umożliwiające wymianę dokumentów elektronicznych między usługodawcami oraz usługodawcami a płatnikami w rozumieniu art. 2 pkt 9 lit. a i pkt 15 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia.
3. Dane, o których mowa w ust. 2 pkt 1-5, 7 i 8, są udostępniane:
1) Narodowemu Funduszowi Zdrowia;
2) jednostce podległej ministrowi właściwemu do spraw zdrowia, właściwej w zakresie systemów informacyjnych ochrony zdrowia;
3) konsultantom krajowym i wojewódzkim, o których mowa w ustawie z dnia 6 listopada 2008 r. o konsultantach w ochronie zdrowia, w zakresie, o którym mowa w art. 24e ust. 2 pkt 2;
4) podmiotom, o których mowa w art. 39, w zakresie określonym w art. 24e ust. 2 pkt 2.",