24. člen
(razmejitev obveznosti skupnih upravljavcev)
(1)
Obveznosti skupnih upravljavcev iz tretjega do petega odstavka prejšnjega člena na področju varstva osebnih podatkov so določene s tem zakonom, podrobneje jih v skladu z zahtevami iz Splošne uredbe o varstvu podatkov na predlog Koordinacijskega odbora določi minister.
(2)
NIJZ je odgovoren za vzpostavitev informacijskega sistema, ki podpira obdelavo podatkov v zbirki CeZZ in zbirki DOS, njegovo vzdrževanje ter tehnične in organizacijske ukrepe za varnost sistema in podatkov.
(3)
NIJZ je odgovoren za:
(4)
Ministrstvo je odgovorno za:
(5)
NIJZ v imenu in za račun skupnih upravljavcev naroča storitve splošnega pomena na področju centralne informacijsko-komunikacijske infrastrukture v zdravstvu, ki jih v okviru pogodbene obdelave v skladu s petim odstavkom 7. člena tega zakona opravlja družba, in izvaja nadzor nad družbo kot pogodbenim obdelovalcem.
(6)
NIJZ upravlja s tveganji za incidente pri obdelavi podatkov v zbirkah CeZZ, VVZ in DOS, kar vključuje njihovo zaznavanje, odkrivanje in odzivanje nanje, ob sodelovanju družbe in ostalih skupnih upravljavcev posamezne zbirke podatkov iz tega odstavka.
(7)
ZZZS je za zbirko DOS odgovoren za vzpostavitev postopkov za preverjanje kakovosti podatkov, ki jih v zbirko DOS posredujejo izvajalci zdravstvene dejavnosti.
(8)
Informacije o obdelavi osebnih podatkov v zbirkah CeZZ, VVZ in DOS posameznikom v imenu in za račun vseh skupnih upravljavcev na svojih spletnih straneh zagotavlja NIJZ.
(9)
Posameznik lahko dostop do podatkov v zbirkah CeZZ, VVZ in DOS uveljavi pri NIJZ, za vse druge zahtevke posameznikov za uveljavljanje pravic iz naslova varstva osebnih podatkov pa je NIJZ kontaktna točka, kamor lahko posamezniki pošljejo svojo zahtevo, NIJZ pa jo posreduje v odločitev upravljavcu, ki je podatke, na katere se zahteva nanaša, posredoval v zbirko podatkov.
(10)
Za obravnavo sprotnih vprašanj skupnega upravljanja v skladu s tem zakonom skupni upravljavci ustanovijo Koordinacijski odbor. Način delovanja Koordinacijski odbor določi s poslovnikom. Koordinacijski odbor sestavljajo predstavniki vseh skupnih upravljavcev, in sicer:
(11)
Kadar je potrebna izdelava ocene učinka na varstvo podatkov oziroma predhodno posvetovanje z Informacijskim pooblaščencem, predlog ocene učinka za zbirko CeZZ izdela NIJZ, za zbirki VVZ in DOS pa NIJZ skupaj s skupnimi upravljavci posamezne zbirke, in ga predloži v mnenje Koordinacijskemu odboru. Po prejemu mnenja Koordinacijskega odbora NIJZ izdela končno oceno učinka in jo posreduje vsem skupnim upravljavcem.
(12)
Pooblastila notranjim uporabnikom za neposredni dostop do podatkov v zbirki CeZZ podelijo izvajalci zdravstvene dejavnosti, pooblastila notranjim uporabnikom za neposredni dostop do podatkov iz VVZ podeli NIJZ. Pooblastila za dostop do podatkov iz zbirke DOS podeli NIJZ oziroma ZZZS. Tehnično neposredni dostop do podatkov v zbirkah CeZZ, VVZ in DOS omogoča družba na podlagi podatkov upravljavcev, ki so pooblastila podelili.
(13)
Minister določi vrste in obseg pooblastil notranjih uporabnikov podatkov pri izvajalcih zdravstvene dejavnosti za dostop do podatkov v CeZZ iz prejšnjega odstavka.