Art. 90. - Zmiana niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

"1. Dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia administruje SWD PRM, który umożliwia bezpieczne przetwarzanie danych, w tym kontrolę dostępu użytkowników do danych, oraz dokumentuje dokonywane przez nich zmiany, umożliwiając w szczególności odtworzenie historii każdego zgłoszenia alarmowego i powiadomienia o zdarzeniu.

2. Minister właściwy do spraw zdrowia, wojewodowie, dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia i dysponenci zespołów ratownictwa medycznego przetwarzają dane zarejestrowane w SWD PRM, w tym nagrania rozmów, dane osobowe osoby zgłaszającej, dane innych osób wskazanych w trakcie przyjmowania zgłoszenia, pozycje geograficzne, dane teleadresowe lub opis zdarzenia, i udostępniają je na wniosek sądu, prokuratury, Policji, Rzecznika Praw Pacjenta lub Narodowego Funduszu Zdrowia.";

"Art. 24c. 1. Minister właściwy do spraw zdrowia, wojewodowie, dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia i dysponenci zespołów ratownictwa medycznego są współadministratorami danych w SWD PRM oraz innych danych uzyskanych w związku z przyjmowaniem oraz obsługą zgłoszeń alarmowych i powiadomień o zdarzeniach z wykorzystaniem SWD PRM.

2. Minister właściwy do spraw zdrowia:

1) wydaje i cofa upoważnienia do przetwarzania danych osobowych w SWD PRM dla pracowników urzędu obsługującego ministra właściwego do spraw zdrowia oraz konsultantów krajowych i wojewódzkich, o których mowa w ustawie z dnia 6 listopada 2008 r. o konsultantach w ochronie zdrowia (Dz. U. z 2017 r. poz. 890 oraz z 2018 r. poz. 1669), w zakresie, o którym mowa w pkt 2;

2) określa zakres danych, które mogą być udostępniane konsultantom krajowym i wojewódzkim, o których mowa w ustawie z dnia 6 listopada 2008 r. o konsultantach w ochronie zdrowia, oraz podmiotom, o których mowa w art. 39;

3) określa uprawnienia w SWD PRM;

4) przetwarza dane w SWD PRM niezbędne do realizacji zadań, o których mowa w art. 19 ust. 1 oraz art. 24a ust. 1;

5) realizuje obowiązki wynikające z art. 19 i art. 34 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679".

3. Wojewodowie:

1) wydają i cofają upoważnienia do przetwarzania danych osobowych w SWD PRM dla pracowników urzędu wojewódzkiego;

2) nadają i cofają uprawnienia w SWD PRM;

3) przetwarzają dane w SWD PRM niezbędne do realizacji zadań, o których mowa w art. 19 ust. 2;

4) realizują obowiązki wynikające żart. 15 i art. 16 rozporządzenia 2016/679 w zakresie wprowadzonych przez nich danych do SWD PRM;

5) realizują obowiązki wynikające z art. 19 i art. 34 rozporządzenia 2016/679.

4. Dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia:

1) przetwarza w SWD PRM dane niezbędne do realizacji zadań, o których mowa w art. 27a ust. 2 i art. 48;

2) przetwarza dane w celu zapewnienia utrzymania, rozbudowy, modyfikacji i obsługi technicznej SWD PRM;

3) wydaje i cofa upoważnienia do przetwarzania danych osobowych w zakresie obejmującym zadania wynikające z administrowania SWD PRM;

4) nadaje i cofa uprawnienia w SWD PRM w ramach realizacji powierzonych zadań;

5) może powierzyć przetwarzanie danych przetwarzanych w SWD PRM podmiotom wyspecjalizowanym w zapewnianiu obsługi technicznej systemów teleinformatycznych, w zakresie niezbędnym do prawidłowej realizacji zadań związanych z utrzymaniem i funkcjonowaniem, rozbudową i modyfikacjami SWD PRM;

6) realizuje obowiązki wynikające żart. 15 i art. 16 rozporządzenia 2016/679 w zakresie wprowadzonych przez niego danych do SWD PRM;

7) realizuje obowiązki wynikające z art. 19 i art. 34 rozporządzenia 2016/679.

5. Dysponenci zespołów ratownictwa medycznego:

1) wydają i cofają upoważnienia do przetwarzania danych osobowych w SWD PRM dla pracowników;

2) nadają i cofają uprawnienia w SWD PRM;

3) przetwarzają dane w SWD PRM w celu i zakresie niezbędnym do prawidłowej realizacji zadań wynikających z przepisów ustawy;

4) realizują obowiązki wynikające żart. 15 i art. 16 rozporządzenia 2016/679 w zakresie wprowadzonych przez nich danych do SWD PRM;

5) realizują obowiązki wynikające z art. 19 i art. 34 rozporządzenia 2016/679.

6. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

7. Podmioty, o których mowa w ust. 2-5, podejmują działania mające na celu:

1) zapewnienie ochrony przed nieuprawnionym dostępem do SWD PRM;

2) zapewnienie integralności danych w SWD PRM;

3) zapewnienie dostępności SWD PRM dla podmiotów przetwarzających dane w tym systemie;

4) przeciwdziałanie uszkodzeniom SWD PRM;

5) określenie zasad bezpieczeństwa przetwarzanych danych, w tym danych osobowych;

6) określenie zasad zgłaszania naruszenia ochrony danych osobowych;

7) zapewnienie rozliczalności w SWD PRM;

8) zapewnienie poprawności danych przetwarzanych w SWD PRM.

8. Podmioty wyspecjalizowane w zapewnieniu obsługi technicznej systemów teleinformatycznych, którym powierzono przetwarzanie danych osobowych w SWD PRM, nie mogą powierzać przetwarzania danych innym podmiotom ani udostępniać danych innym podmiotom niż upoważnionym na podstawie przepisów prawa.

9. W przypadku zaistnienia konieczności udostępnienia danych osobowych podmiotom upoważnionym na podstawie przepisów prawa, podmiot wyspecjalizowany w zapewnieniu obsługi technicznej systemów teleinformatycznych, który udostępnił dane, informuje o tym fakcie administratora SWD PRM, nie później niż w terminie 3 dni od dnia zaistnienia tego faktu.

10. W przypadku zaistnienia okoliczności skutkujących zaprzestaniem przetwarzania danych przetwarzanych w SWD PRM przez podmioty wyspecjalizowane w zapewnianiu obsługi technicznej systemów teleinformatycznych, podmioty te są obowiązane, w terminie 3 dni od dnia zaistnienia okoliczności skutkujących zaprzestaniem przetwarzania danych, do przekazania przetwarzanych danych administratorowi SWD PRM.

11. Podmioty, o których mowa w ust. 2-5, realizują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w związku z przetwarzaniem danych osobowych w SWD PRM, przez udostępnienie informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej lub na swojej stronie internetowej.

12. Osoba zwracająca się z żądaniem na podstawie art. 15 rozporządzenia 2016/679 obowiązana jest do podania informacji o okolicznościach zdarzenia, którego to żądanie dotyczy, w tym daty i miejsca zdarzenia oraz numeru telefonu, z którego zostało wykonane połączenie dotyczące powiadomienia o zdarzeniu.

13. Podmioty, o których mowa w ust. 2-5, udostępniają informację o ograniczeniach, o których mowa w ust. 12, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej lub na swojej stronie internetowej.

14. Podmioty, o których mowa w ust. 2-5, prowadzą ewidencję osób upoważnionych do przetwarzania danych, którym wydały upoważnienia do przetwarzania danych osobowych w SWD PRM.";