Jak uregulować dostęp pracowników JST do danych osób szczepionych

PROBLEM Jednostki samorządu terytorialnego (starosta) tworzą punkty szczepień (pomieszczenie, wyposażenie) na COVID-19 i mają pilnować kolejek – otrzymywać listy osób zapisanych na szczepienie. Punkt szczepień obsługuje jednostka medyczna, a NFZ płaci jej za szczepienia. Kto w takim przypadku jest administratorem danych, kto procesorem i jaka będzie podstawa prawna przetwarzania danych osobowych? Kto ma zbierać zgody na przetwarzanie danych? A co z osobami (pracownicy JST) sprawdzającymi listy kolejkowe, jakie muszą mieć upoważnienia? Jeżeli jest potrzebna umowa powierzenia, to jak powinien wyglądać wzór umowy i między kim powinna być zawarta i w jakim zakresie danych?