Atak ransomware nie tylko potrafi sparaliżować działalność organizacji, ale też narazić ją na poważne konsekwencje prawne związane z ochroną danych osobowych. Choć temat wydaje się domeną działów informatycznych, skutki tych ataków dotykają wszystkich — w tym inspektorów ochrony danych oraz zarząd firmy, którzy w obliczu cyberzagrożeń stają się pierwszą linią odpowiedzialności za właściwą reakcję i ograniczenie szkód. W tym artykule przedstawimy, czym jest ransomware, jak działa, na czym polega ochrona organizacji przed atakami ransomware i jaką rolę pełni IOD (Inspektor Ochrony Danych) w sytuacjach kryzysowych. 

 Wdrażanie Dyrektywy CER – a w szczególności projektowane przepisy krajowe – nakładają na podmioty krytyczne i operatorów infrastruktury krytycznej nowe obowiązki w zakresie przetwarzania danych osobowych.Jednym z kluczowych obszarów regulacji jest sprawdzanie przeszłości personelu mającego dostęp do kluczowych zasobów oraz dopuszczalność przetwarzania danych biometrycznych. IOD i ADO powinni już teraz przeanalizować projektowane przepisy, by opracować zgodne z prawem procedury i zabezpieczyć zgodność z RODO. Artykuł omawia szczegółowo zakres sprawdzenia, podstawy prawne oraz różnice między obowiązkami operatorów IK a pozostałymi podmiotami krytycznymi.

Szkolenie sztucznej inteligencji (AI) bez odpowiednich danych treningowych jest z góry skazane na porażkę. Właściciele dużych platform social media jak chociażby Facebook oraz Instagram mają ułatwione zadanie – ogromną bazę użytkowników i spore ilości danych do trenowania AI. Nasze dane zgromadzone na tych platformach stały się więc jeszcze bardziej pożądane, bowiem mogą być wykorzystywane nie tylko do celów marketingowych, ale również do trenowania sztucznej inteligencji. To właśnie dzięki tym danym modele AI uczą się, jak analizować informacje, tworzyć teksty i generować grafiki. Musimy jednak odpowiedzieć na pytanie, czy ten proces jest zgodny z prawem? W tym artykule skupię się na tematyce szkolenia modeli AI za pomocą danych zamieszczonych na Instagramie czy Facebooku, z perspektywy ochrony danych osobowych. 

Pytanie:  Mam zapytanie w sprawie generowania zdjęć, tworzenia szkiców przez sztuczną inteligencję. Jak jest w przypadku wygenerowania wizerunku osoby żyjącej i nieżyjącej oraz innych grafik (widok lasu) w świetle prawa autorskiego oraz ochrony danych osobowych w postaci wizerunku? Czy biblioteka może sztucznie wygenerowane zdjęcia upubliczniać (np. sztucznie wygenerowane zdjęcie Marii Konopnickiej - osoba nieżyjąca, autor zdjęcia nieznany).

Zapraszamy na webinar poświęcony dyrektywie NIS2, szczególnie wymaganiom prawnym w zakresie zarządzania ryzykiem na gruncie tej dyrektywy. Webinar prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partner, Szefowa Zespołu IT-Tech w TKP Przedstawiamy program szkolenia: 1.Obowiązki podmiotów kluczowych i ważnych wynikające  2. Bezpieczeństwo łańcucha dostaw 3. Zgłaszanie incydentów 4.Sankcje za niewdrożenie środków zarządzania ryzykiem i bezpieczeństwem 5. Jak przygotować się na zmiany?

Aż 26% placówek ochrony zdrowia nie posiada podstawowego zabezpieczenia, jakim jest firewall, a liczba incydentów cyberbezpieczeństwa wzrosła w 2024 roku o 60%. Tak wynika ze sprawozdania z cyberbezpieczeństwa za 2024 r. przygotowanego przez pełnomocnika Rządu ds. Cyberbezpieczeństwa. Ministerstwo Cyfryzacji odpowiada na te wyzwania, uruchamiając platformę CYBER.GOV.PL – centralny punkt zgłaszania incydentów, dostępu do ostrzeżeń i narzędzi wspierających ADO i IOD w zarządzaniu ryzykiem.

Na potrzeby wykonywania pracy zdalnej administratorzy danych osobowych muszą zmierzyć się z nowymi wyzwaniami w zakresie bezpieczeństwa i ochrony danych. Kluczowe jest nie tylko zapewnienie zgodności z RODO i kodeksem pracy, ale także wdrożenie rozwiązań technologicznych, które umożliwiają bezpieczne wykonywanie obowiązków zawodowych na odległość. Brak przygotowania może skutkować m.in. utratą danych, naruszeniami prywatności pracowników czy sankcjami ze strony Prezesa UODO.

Jak ocenić anonimowość modeli AI? Czy uzasadniony interes może stanowić podstawę przetwarzania danych do celów sztucznej inteligencji? Europejska Rada Ochrony Danych w swojej najnowszej opinii analizuje kluczowe zagadnienia związane z przetwarzaniem danych osobowych w procesach tworzenia i wdrażania modeli sztucznej inteligencji. Dokument zawiera m.in. kryteria oceny, czy dany model można uznać za anonimowy, zasady stosowania prawnie uzasadnionego interesu jako podstawy prawnej przetwarzania danych oraz wytyczne dotyczące testu równowagi i środków łagodzących ryzyko naruszenia praw osób fizycznych. Dla administratorów danych i inspektorów ochrony danych to cenna wskazówka, jak bezpiecznie i zgodnie z RODO projektować rozwiązania oparte na AI. Dzięki nieoficjalnemu tłumaczeniu UODO dokument jest teraz łatwiej dostępny dla polskich instytucji i organizacji.

Z roku na rok rośnie skala zagrożeń związanych z ochroną danych osobowych. Z najnowszego raportu „Barometr Cyberbezpieczeństwa 2024”, przygotowanego przez KPMG, wynika, że aż 66% organizacji w Polsce doświadczyło co najmniej jednego incydentu związanego z cyberbezpieczeństwem w ciągu ostatnich 12 miesięcy. To wzrost o 8 punktów procentowych w porównaniu z rokiem 2022. Taka dynamika nie pozostawia złudzeń – administratorzy danych osobowych (ADO) oraz inspektorzy ochrony danych (IOD) muszą dziś podejmować aktywne działania w zakresie bezpieczeństwa informacji, za które odpowiadają.

Wdrożenie sztucznej inteligencji (AI) w firmie ma związek z pojawianiem się nowych zagrożeń, na które należy odpowiadać odpowiednimi zabezpieczeniami. Celem znalezienia takich zabezpieczeń, należy ponowić lub przeprowadzić analizę ryzyka, a czasem również jej zaawansowaną postać, tj. DPIA. To obowiązek wynikający z RODO, ale także kluczowy element dla bezpieczeństwa danych. Sprawdź, jak krok po kroku przeprowadzić analizę i właściwie zabezpieczyć dane w środowisku AI.