Rozwiązania chmurowe umożliwiają usprawnienie wielu wewnętrznych procesów nowoczesnego biznesu. Dostępnych rozwiązań jest mnóstwo, mogą one dotyczyć chociażby przechowywania danych, rozdzielania zadań w zespole lub też tworzenia estetycznych materiałów za pomocą chmurowego edytora. W praktyce, ten pierwszy przykład jest najczęstszym powodem wdrażania chmury, ponieważ dedykowane miejsce do przechowywania plików, dostępne z dowolnego miejsca świata zdecydowanie ułatwia funkcjonowanie przedsiębiorstwa. Z perspektywy praktycznej implementacji chmury, nie możemy zapominać o obowiązkach prawnych wynikających przede wszystkim z regulacji dotyczącej ochrony danych osobowych. Takiego rodzaju rozwiązania wdrażać należy z rozwagą, mając na względzie poszanowanie prawa do prywatności osób, których dane dotyczą oraz bezpieczeństwo danych. Sprawdźmy najważniejsze aspekty związane z przetwarzaniem danych osobowych za pomocą technologii cloud.
Na mapie świata mamy kraje, w których na lotniskach pasażerowie są odprawiani przy użyciu systemu rozpoznawania twarzy. Pionierem w tym zakresie były Zjednoczone Emiraty Arabskie. Technologia wykorzystana przez to państwo na lotnisku w Dubaju umożliwiła zastąpienie tradycyjnej odprawy połączonej z koniecznością okazania paszportu, spacerem tzw. ścieżką biometryczną. W związku z coraz większym zainteresowaniem tego rodzaju systemami w Europie (Europejska Rada Ochrony Danych (EROD) przyjęła opinię w sprawie stosowania technologii rozpoznawania twarzy przez operatorów portów lotniczych i przedsiębiorstwa lotnicze w celu usprawnienia przepływu pasażerów w portach lotniczych. Jakie są najważniejsze aspekty wynikające z tej opinii?
Tylko w ciągu jednego dnia, zespół CSIRT NASK, przyjął 1626 zgłoszeń zagrożeń cyberbezpieczeństwa, spośród których zidentyfikowano 461 nowych incydentów cyberbezpieczeństwa, które są obsługiwane przez CSIRT NASK. Natomiast 14 z nich to incydenty w podmiocie publicznym, a zatem mające wpływ na obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez organ.
Przepisy dotyczące zabezpieczenia danych mają dość ogólny charakter. Wynika to z konieczności dopasowania przyjętych rozwiązań w zakresie cyberbezpieczeństwa do indywidualnych potrzeb danej organizacji. Można jednak przytoczyć przykładowe działania służące zapewnieniu ochrony przed cyberatakami.
O wyciek dokumentacji medycznej z placówki nie jest trudno. Co oczywiste, dokumentacja ta zawiera dane osobowe, w tym dane wrażliwe o stanie zdrowia pacjentów. Dlatego kierownictwo placówki medycznej musi wdrożyć rozwiązania mające na celu minimalizację ryzyka wystąpienia tego typu incydentów. Wszak to placówka medyczna jako administrator, niezależnie od odpowiedzialności zawodowej jej personelu, odpowiada za ochronę danych osobowych pacjentów. Duża w tym rola personelu placówki medycznej. Sprawdź, jakie środki bezpieczeństwa wdrożyć względem personelu placówki medycznej, by zabezpieczyć dokumentację medyczną przed wyciekiem.
Dokonywanie oceny skutków dla ochrony danych powinno być realizowane w sytuacjach, gdy dany rodzaj przetwarzania danych może powodować duże prawdopodobieństwo zaistnienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Oceniając, czy takie ryzyko rzeczywiście istnieje, administrator powinien wziąć pod uwagę charakter, zakres, kontekst i cele przetwarzania danych. RODO wskazuje, że analiza tego, czy konieczne jest dokonanie oceny skutków dla ochrony danych powinna być przeprowadzona w szczególności, w sytuacji gdy przetwarzanie jest dokonywane z wykorzystaniem nowych technologii.
AI jest w stanie przetwarzać dane osobowe, w tym może się tego podjąć nawet bez naszej wiedzy. Zakres przetwarzanych przez AI danych może wyjść wówczas poza zakładane przez nas cele przetwarzania. Co więcej, takie rozwiązanie może opracować i dostarczyć nam: zewnętrzny podmiot, w ramach systemu, w który nas zaopatruje albo nasz pracownik - i uruchomić je, nie informując nas o tym w sposób dostatecznie jasny. Poniższa lista sprawdzająca ma na celu udzielenie odpowiedzi na podstawowe pytania dotyczące zarówno zaistnienia AI w naszej organizacji, jak i aktualności naszych wewnętrznych procedur ochrony danych osobowych.
Analiza ryzyka związanego z przetwarzaniem danych osobowych przy użyciu sztucznej inteligencji (AI), może wskazać na konieczność sporządzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (OSOD). Stanowi ona „szczególny rodzaj szacowania ryzyka” w stosunku do ogólnej analizy ryzyka, a zasady i okoliczności jej sporządzania opisuje ogólne rozporządzenie o ochronie danych (RODO).
Urząd Ochrony Danych Osobowych opublikował nową wersję poradnika dotyczącego naruszeń ochrony danych osobowych. Dokument zawiera nie tylko zaktualizowane procedury, ale również szczegółowe wskazówki dotyczące klasyfikacji naruszeń oraz roli inspektora ochrony danych. Nowe zapisy wzbudziły dyskusje wśród specjalistów – część z nich uznała, że stanowisko UODO może oznaczać bardziej rygorystyczne podejście do obowiązku zgłaszania incydentów. Administratorzy danych osobowych powinni zweryfikować swoje procedury i dokumentację, aby dostosować je do nowych wytycznych zawartych w tzw. Poradniku’25. Artykuł omawia kluczowe zmiany w poradniku, interpretacje przepisów oraz praktyczne konsekwencje dla ADO i IOD – zarówno w zakresie analizy ryzyka, jak i obowiązków związanych z dokumentowaniem oraz zgłaszaniem naruszeń.
04.03.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
