AI jest w stanie przetwarzać dane osobowe, w tym może się tego podjąć nawet bez naszej wiedzy. Zakres przetwarzanych przez AI danych może wyjść wówczas poza zakładane przez nas cele przetwarzania. Co więcej, takie rozwiązanie może opracować i dostarczyć nam: zewnętrzny podmiot, w ramach systemu, w który nas zaopatruje albo nasz pracownik - i uruchomić je, nie informując nas o tym w sposób dostatecznie jasny. Poniższa lista sprawdzająca ma na celu udzielenie odpowiedzi na podstawowe pytania dotyczące zarówno zaistnienia AI w naszej organizacji, jak i aktualności naszych wewnętrznych procedur ochrony danych osobowych.
Czekając na definicję prawną, AI (Artificial Intelligence) można potocznie określić jako zespół różnych rozwiązań wyposażonych w umiejętność analizowania przypisanego im środowiska i reagowania na informacje, które stamtąd spływają. AI znajdzie zastosowanie na wielu szczeblach i etapach działalności przedsiębiorcy. Może ona mieć wpływ zarówno na naszych klientów, nasz personel, jak i na obie kategorie podmiotów danych. AI można bowiem – świadomie lub nieświadomie – wykorzystać do przetwarzania danych osobowych.
Analiza ryzyka związanego z przetwarzaniem danych osobowych przy użyciu sztucznej inteligencji (AI), może wskazać na konieczność sporządzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (OSOD). Stanowi ona „szczególny rodzaj szacowania ryzyka” w stosunku do ogólnej analizy ryzyka, a zasady i okoliczności jej sporządzania opisuje ogólne rozporządzenie o ochronie danych (RODO).
Wyliczając ryzyko związane z przetwarzaniem danych osobowych przy użyciu sztucznej inteligencji (AI), często należy brać pod uwagę nowe aktywa i czynności przetwarzania, a także nowe zagrożenia wraz z charakterystycznymi skutkami ich wystąpienia. Po wyliczeniu takiego ryzyka należy opracować metodę postępowania z ryzykiem.
YouTube to jeden z podstawowych kanałów komunikacji firm ze swoimi klientami. Konta w tym popularnym portalu streamingowych są subskrybowane są, a filmy oglądane i komentowane. W związku z tym dochodzi oczywiście do przetwarzania danych osobowych użytkowników. Profesjonalny youtuber niezależnie od tego, czy jest to jednoosobowy przedsiębiorca czy też korporacja, musi spełniać wymogi ochrony danych osobowych przewidziane w RODO.
W ostatnim czasie obserwujemy przyspieszone tempo rozwoju sztucznej inteligencji (AI) i zwiększenie zakresu jej stosowania w codziennej działalności firm. Wdrożenie AI ma też związek z pojawianiem się nowych zagrożeń, na które trzeba reagować odpowiednimi zabezpieczeniami, m.in. w zakresie ochrony danych osobowych. Celem znalezienia takich zabezpieczeń, należy przeprowadzić analizę ryzyka.
Kody QR, coraz popularniejsze w profesjonalnej działalności mogą niestety generować zagrożenie dla ich użytkowników. Kody te mogą bowiem być wykorzystywane w atakach phishingowych, ale też w działaniach o podłożu socjotechnicznym. Korzystający z kodu QR musi więc działać ze szczególną ostrożnością. Na zagrożenia musi zwracać uwagę także administrator danych osobowych tworzący kody QR i wykorzystujący je w swojej działalności.
RODO nie wskazuje jednoznacznie na to, jakie minimalne kryteria pozwolą zagwarantować zgodność oprogramowania komputerowego z przepisami. Ustanawia jednak wymogi, które należy wziąć pod uwagę w toku całego procesu tworzenia i stosowania oprogramowania, tak aby umożliwić osiągnięcie zgodności działań z przepisami.
Ustawodawca unijny, w ramach dyrektywy NIS2, nakłada na przedsiębiorców cały szereg nowych obowiązków z zakresu bezpieczeństwa informatycznego. Przy czym wybór szczegółowego sposobu realizowania tych obowiązków pozostawiony jest podmiotom kluczowym i ważnym. Z pewnością niezbędne będzie stworzenie szeregu dokumentów, polityk i procedur, które będą stanowiły fundament systemu cyberbezpieczeństwa w organizacji. Istotną pomocą dla przedsiębiorców mogą być wytyczne przygotowane przez Komisję Europejską. Na razie organizacje powinny zacząć przygotowywać się do dostosowania się do nowych obowiązków i śledzić proces implementacji przepisów dyrektywy do naszego krajowego porządku prawnego.
Co oczywiste, najlepiej uczyć się na cudzych błędach. Warto zatem sięgnąć do orzecznictwa Prezesa Urzędu Ochrony Danych Osobowych ale też zagranicznych organów nadzorczych i wyciągnąć wnioski z naruszeń ukaranych administratorów. Przedstawiamy w związku z tym przegląd wybranych orzeczeń zagranicznych organów nadzorczych z 2023 i 2024 r.
08.12.2022
© Portal Poradyodo.pl