§ 1.[Zakres regulacji] Rozporządzenie określa:

1) podmiot prowadzący Krajowy Rejestr Operacji Kardiochirurgicznych, zwany dalej „rejestrem”, oraz sposób jego prowadzenia;

2) zakres i rodzaj danych przetwarzanych w rejestrze spośród danych określonych w art. 4 ust. 3 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, zwanej dalej „ustawą”;

3) rodzaje identyfikatorów przetwarzanych w rejestrze spośród identyfikatorów określonych w art. 17c ust. 2–5 ustawy;

4) sposób zabezpieczenia danych osobowych zawartych w rejestrze przed nieuprawnionym dostępem.

§ 2.[Podmiot prowadzący rejestr] 1. Podmiotem prowadzącym rejestr utworzony rozporządzeniem Ministra Zdrowia z dnia 17 października 2013 r. w sprawie Krajowego Rejestru Operacji Kardiochirurgicznych (Dz. U. poz. 1233) jest Instytut „Pomnik – Centrum Zdrowia Dziecka” w Warszawie.

2. Rejestr jest prowadzony z wykorzystaniem systemu teleinformatycznego.

§ 3.[Dane i identyfikatory przetwarzane w rejestrze] W rejestrze przetwarza się dane i identyfikatory obejmujące:

1) dane osobowe dotyczące usługobiorcy:

a) imię (imiona),

b) nazwisko,

c) numer PESEL, a w przypadku osób, które nie mają nadanego numeru PESEL – numer paszportu albo innego dokumentu stwierdzającego tożsamość,

d) numer PESEL matki w przypadku noworodków, a jeżeli matka nie ma nadanego numeru PESEL – numer paszportu albo innego dokumentu stwierdzającego tożsamość,

e) płeć,

f) obywatelstwo,

g) datę urodzenia,

h) adres miejsca zamieszkania,

i) datę zgonu,

j) przyczynę zgonu;

2) jednostkowe dane medyczne dotyczące usługobiorcy:

a) rozpoznanie wad wrodzonych serca EACTS/STS,

b) rozpoznanie wad wrodzonych niezwiązanych z sercem (NCA) EACTS/STS,

c) liczbę dni hospitalizacji,

d) informacje o udzielonych świadczeniach zdrowotnych z zakresu kardiochirurgii,

e) informacje o innych operacjach niedotyczących serca,

f) informacje o powikłaniach pooperacyjnych – wadach nabytych,

g) informacje o przedoperacyjnych czynnikach ryzyka,

h) informacje o procedurach dotyczących wad wrodzonych serca – lista EACTS/STS,

i) informacje o powikłaniach wad wrodzonych serca – lista EACTS/STS,

j) informacje o przeszczepach;

3) identyfikator usługodawcy, o którym mowa w art. 17c ust. 3 pkt 1 ustawy;

4) identyfikator miejsca udzielania świadczenia opieki zdrowotnej, o którym mowa w art. 17c ust. 4 pkt 1 ustawy;

5) identyfikator pracownika medycznego, o którym mowa w art. 17c ust. 5 ustawy, który wprowadza dane do rejestru.

§ 4.[Zabezpieczenie danych osobowych] 1. Podmiot prowadzący rejestr zapewnia zabezpieczenie danych osobowych zawartych w rejestrze przed nieuprawnionym dostępem na wysokim poziomie bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, o którym mowa w przepisach wydanych na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 i 2281 oraz z 2016 r. poz. 195).

2. Centrum Systemów Informacyjnych Ochrony Zdrowia opracowuje, wdraża, nadzoruje, utrzymuje oraz w uzasadnionych przypadkach modyfikuje system zarządzania bezpieczeństwem informacji, zgodnie z przepisami wydanymi na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114).

§ 5.[Wejście w życie] Rozporządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.³⁾