105 Ochrona danych pacjenta (RODO w praktyce gabinetu lekarskiego) co najmniej jednego z dwóch wspomnianych wyżej obowiązków administratora, polegających na: • zgłoszeniu naruszenia ochrony danych osobowych organowi nadzorczemu (na zasadach opisanych w art. 33 RODO); • zawiadomieniu podmiotów danych (w przypadkach opisanych w art. 34 RODO). Rozporządzenie nie wskazuje na konkretny sposób przeprowadzenia oceny naruszenia. Decyzję dotyczącą wyboru metodyki oraz kryteriów weryfikacji obowiązków wynikających z art. 33 i 34 RODO podejmuje samodzielnie administrator, mając w tym zakresie pełną swobodę. W jednej ze swoich decyzji organ nadzorczy stwierdził, że „przedstawiona [...] analiza ryzyka stanowiąca załącznik do [...] wyjaśnień to w rzeczywistości wydruk z kalkulatora wagi naruszeń ochrony danych osobowych udostępnianego na stronie internetowej jednego z podmiotów świadczących usługi wsparcia w zakresie ochrony danych osobowych. Prezes UODO nie ocenia w tym miejscu poprawności działania wskazanego kalkulatora, zaznaczając jednak, że wydruk, zgodnie zresztą z zastrzeżeniem dostawcy na nim zawartym, może mieć zatem jedynie pomocniczy charakter i nie może stanowić podstawy dokonania oceny ryzyka naruszenia praw lub wolności osób fizycznych”5. OCENA OKOLICZNOŚCI NARUSZENIA Oceny należy dokonać pod kątem rodzaju naruszenia prywatności (poufności/integralności/dostępności), dopasowując odpowiednie wartości: • naruszenie poufności: +0,25 – gdy ujawniono dane znanym odbiorcom, +0,5 – gdy ujawniono dane nieznanym odbiorcom, • naruszenie integralności: +0,25 – gdy zmieniono dane, ale możliwe jest ich odzyskanie, +0,5 – gdy zmieniono dane i nie ma możliwości ich odzyskania, • naruszenie dostępności: +0,25 – gdy zachodzi czasowa niedostępność danych, +0,5 – gdy dane zostały utracone bez możliwości ich odzyskania, • jeśli naruszenie było wywołane intencjonalnym działaniem sprawcy, należy do uzyskanego wyniku dodać wartość +0,5.
RkJQdWJsaXNoZXIy MTMwMjc0Nw==