Z uwagi na przetwarzanie danych o stanie zdrowia konsekwencje utraty nad nimi kontroli przez podmioty wykonujące działalność leczniczą (PWDL) zawsze będą poważne. Takie dane mogą bowiem nielegalnie trafić w niepowołane ręce, co może skutkować zarówno napiętnowaniem jak i przetwarzaniem informacji o stanie zdrowia w celach komercyjnych przez nieuprawnione do tego podmioty.

Dyrektywa NIS2 to nowe unijne przepisy dotyczące cyberbezpieczeństwa. Stanowi ona rewizję poprzedniej dyrektywy NIS, przyjętej w 2018 r.– biorąc pod uwagę rosnącą istotność dbania o bezpieczeństwo cyfrowe, ustawodawca unijny postanowił zmienić to, na jakie podmioty zostaną nałożone dodatkowe obowiązki, wliczając w to aktualizację tego, jak te obowiązki miałyby w ogóle wyglądać.

Mam pytanie odnośnie dawnej polityki bezpieczeństwa. Jak prawidłowo powinien obecnie nazywać się ten dokument? Jaką podstawę prawną w nim podać?

Od 23 maja 2024 r. obowiązuje nowe rozporządzenie dotyczące Krajowych Ram Interoperacyjności, nazywane także rozporządzeniem KRI. Ten akt prawny zastąpił uchylone rozporządzenie z dnia 12 kwietnia 2012 r. Sprawdzamy, kto podlega Krajowym Ramom Interoperacyjności i jakie obowiązki przewidują KRI w zakresie ochrony danych osobowych i cyberbezpieczeństwa.

Każdy administrator danych osobowych musi zapewnić inspektorowi ochrony danych niezależność w podejmowaniu decyzji, wykonywaniu przez niego zadań, czy prowadzenia odpowiedniej dokumentacji ODO, jak np. prowadzenia rejestru czynności przetwarzania czy zawierania umów powierzenia. Jest to szczególnie istotne dla zapewnienia maksimum bezpieczeństwa dla przetwarzanych danych w organizacji, również ze względu na cyberbezpieiczeństwo i ewentualne ataki hakerskie.

Mechanizmy stosowane w ramach ochrony sygnalistów wiążą się z nowymi czynności przetwarzania danych osobowych. Aby zapewnić sygnalistom poufność oraz spełnić inne obowiązki w zakresie ochrony ich danych osobowych administrator musi spełnić liczne wymogi przewidziane w przepisach RODO.

Pytanie:  Przyjęta w firmie polityka bezpieczeństwa nakazuje pracownikom szyfrować wszelkie e-maile zawierające dane osobowe? Czy nieprzestrzeganie takiej polityki przez pracownika należy uznać za naruszenie prawa?

Rozwój sztucznej inteligencji (AI) i jej wykorzystanie w działalności biznesowej przyspiesza. Do tego w życie wchodzi AI Act, a polski ustawodawca zapowiada nowe przepisy mające na celu dostosowanie krajowych regulacji do aktu o sztucznej inteligencji. Tym bardziej należy zwrócić uwagę na konieczność zapewnienia ochrony danych osobowych w świetle wdrażanych w firmach nowych rozwiązań wykorzystujących systemy sztucznej inteligencji.

Weryfikacja wieku online poprzez oświadczenie użytkownika nie stanowi skutecznej metody na sprawdzenie, czy mamy do czynienia z osobą uprawnioną do skorzystania z oferowanych towarów i usług. Urząd Ochrony Danych Osobowych przedstawił opracowanie dotyczące różnych metod weryfikacji wieku użytkowników w internecie np. zgoda rodzica, czy weryfikacja za pomocą specjalnej aplikacji. UODO przypomina również, że firmy powinny przygotować własne procedury weryfikacji.