Pytanie:  Przyjęta w firmie polityka bezpieczeństwa nakazuje pracownikom szyfrować wszelkie e-maile zawierające dane osobowe? Czy nieprzestrzeganie takiej polityki przez pracownika należy uznać za naruszenie prawa?

Rozwój sztucznej inteligencji (AI) i jej wykorzystanie w działalności biznesowej przyspiesza. Do tego w życie wchodzi AI Act, a polski ustawodawca zapowiada nowe przepisy mające na celu dostosowanie krajowych regulacji do aktu o sztucznej inteligencji. Tym bardziej należy zwrócić uwagę na konieczność zapewnienia ochrony danych osobowych w świetle wdrażanych w firmach nowych rozwiązań wykorzystujących systemy sztucznej inteligencji.

Weryfikacja wieku online poprzez oświadczenie użytkownika nie stanowi skutecznej metody na sprawdzenie, czy mamy do czynienia z osobą uprawnioną do skorzystania z oferowanych towarów i usług. Urząd Ochrony Danych Osobowych przedstawił opracowanie dotyczące różnych metod weryfikacji wieku użytkowników w internecie np. zgoda rodzica, czy weryfikacja za pomocą specjalnej aplikacji. UODO przypomina również, że firmy powinny przygotować własne procedury weryfikacji.

Obowiązki w zakresie przejrzystości, opisane w Akcie AI dotyczą dostawców, jak również częściowo „podmiotów stosujących” niektóre systemy AI - firmy, bez względu na to czy są Systemami AI wysokiego ryzyka (SWR), czy nie. Sprawdźmy, na czym one dokładnie polegają. Ma to istotne znaczenie, choćby dla firm stosujących system AI, które generują obrazy, treści audio lub wideo stanowiące deepfake.

Dostawcy systemów AI wysokiego ryzyka (SWR) oraz ich importerzy i dystrybutorzy mają szereg obowiązków wskazanych przepisami Aktu takich jak np. obowiązek posiadania systemów zarządzania jakością w przypadku dostawców. Akt nakłada obowiązki również na podmioty stosujące SWR, którymi - jak wykazano we wcześniejszych artykułach z niniejszego cyklu - mogą być również prywatne firmy, które nabyły technologię od dostawcy systemów AI i stosują ja w ramach swej działalności zawodowej.

Na szpitalach i innych placówkach medycznych spoczywa obowiązek dbania o bezpieczeństwo danych osobowych pacjentów. Elektroniczne systemy medyczne (EMR/EHR), dokumentacja medyczna w postaci elektronicznej, przechowywanie danych osobowych w chmurze, sztuczna inteligencja to nowe możliwości ale także nowe ryzyka dla przetwarzanych danych. Nowe technologie to wyzwanie w kontekście danych ochrony danych osobowych pacjentów.  Skorzystaj z praktycznych rad dla sektora służby zdrowia, by mu sprostać.

Dobiegły końca prace legislacyjne dotyczące europejskiego Aktu o sztucznej inteligencji (Akt). Ma on wpływ na sposób przetwarzania danych osobowych zarówno przez twórców rozwiązań z zakresu sztucznej inteligencji (AI) jak i użytkowników takich rozwiązań. Warto się przyjrzeć wymaganym kompetencjom w zakresie AI, praktykom zakazanym przez przepisy Aktu oraz zagadnieniom dotyczącym SWR, tj. Systemów AI wysokiego ryzyka.

Obecnie czekamy na oficjalne uchwalenie ostatecznej wersji przepisów europejskiego Aktu o sztucznej inteligencji. Akt ten ma wpływ na sposób wykonywania obowiązków w zakresie przetwarzania danych osobowych zarówno przez twórców rozwiązań z zakresu sztucznej inteligencji (AI) jak i użytkowników takich rozwiązań, zwłaszcza firm, które swoją działalność choćby częściowo o takie rozwiązania oprą.

Przedsiębiorcy powszechnie korzystają z usługi przetwarzania danych osobowych w chmurze (cloud computing). Rozwiązanie to umożliwia redukcję kosztów działalności przedsiębiorstwa z uwagi na jednoczesny outsourcing części usług IT, a jednocześnie pozwala na poprawę jakości ich działania.  Z drugiej strony nie należy zapominać o konieczności zapewnienia bezpieczeństwa przetwarzanych danych osobowych. Sprawdź, o czym pamiętać, przechowując dane osobowe w chmurze.

Jak wynika z RODO, inspektor ochrony danych powinien posiadać wiedzę nie tylko na temat prawa, ale i praktyk w dziedzinie ochrony danych osobowych. Może ona obejmować np. wiedzę o sposobie tworzenia dokumentacji dotyczącej ochrony danych osobowych, sposobach realizacji uprawnień osób, których dane dotyczą (po tym, gdy zgłoszą odpowiednie żądania), umiejętność dokonywania analizy ryzyka, jak również dobierania odpowiednich zabezpieczeń związanych z ochroną informacji. W tym zakresie wymagana jest również wiedza z zakresu cyberbezpieczeństwa.