Atak ransomware nie tylko potrafi sparaliżować działalność organizacji, ale też narazić ją na poważne konsekwencje prawne związane z ochroną danych osobowych. Choć temat wydaje się domeną działów informatycznych, skutki tych ataków dotykają wszystkich — w tym inspektorów ochrony danych oraz zarząd firmy, którzy w obliczu cyberzagrożeń stają się pierwszą linią odpowiedzialności za właściwą reakcję i ograniczenie szkód. W tym artykule przedstawimy, czym jest ransomware, jak działa, na czym polega ochrona organizacji przed atakami ransomware i jaką rolę pełni IOD (Inspektor Ochrony Danych) w sytuacjach kryzysowych. 

 Wdrażanie Dyrektywy CER – a w szczególności projektowane przepisy krajowe – nakładają na podmioty krytyczne i operatorów infrastruktury krytycznej nowe obowiązki w zakresie przetwarzania danych osobowych.Jednym z kluczowych obszarów regulacji jest sprawdzanie przeszłości personelu mającego dostęp do kluczowych zasobów oraz dopuszczalność przetwarzania danych biometrycznych. IOD i ADO powinni już teraz przeanalizować projektowane przepisy, by opracować zgodne z prawem procedury i zabezpieczyć zgodność z RODO. Artykuł omawia szczegółowo zakres sprawdzenia, podstawy prawne oraz różnice między obowiązkami operatorów IK a pozostałymi podmiotami krytycznymi.

Dyrektywa w sprawie odporności podmiotów krytycznych, zwana dyrektywą CER, pozostaje w cieniu wdrażanej obecnie w Polsce Dyrektywy NIS-2. Niemniej, zawiera ona pewne zasady dotyczące przetwarzania danych osobowych, z którymi muszą się przede wszystkim zapoznać tzw. podmioty krytyczne oraz operatorzy infrastruktury krytycznej.

Szkolenie sztucznej inteligencji (AI) bez odpowiednich danych treningowych jest z góry skazane na porażkę. Właściciele dużych platform social media jak chociażby Facebook oraz Instagram mają ułatwione zadanie – ogromną bazę użytkowników i spore ilości danych do trenowania AI. Nasze dane zgromadzone na tych platformach stały się więc jeszcze bardziej pożądane, bowiem mogą być wykorzystywane nie tylko do celów marketingowych, ale również do trenowania sztucznej inteligencji. To właśnie dzięki tym danym modele AI uczą się, jak analizować informacje, tworzyć teksty i generować grafiki. Musimy jednak odpowiedzieć na pytanie, czy ten proces jest zgodny z prawem? W tym artykule skupię się na tematyce szkolenia modeli AI za pomocą danych zamieszczonych na Instagramie czy Facebooku, z perspektywy ochrony danych osobowych. 

Numer PESEL (Powszechny Elektroniczny System Ewidencji Ludności) to unikalny identyfikator nadawany osobom fizycznym w Polsce. Numer ten służy nam w wielu sprawach życia codziennego – podajemy go u lekarza czy w banku, dzięki czemu możliwe jest szybkie sprawdzenie naszej tożsamości. W świadomości wielu osób, numer PESEL to jedna z tych najważniejszych informacji na nasz temat, którą trzeba chronić. Przestrzega się nas przed podawaniem go innym, wskazując, że nieuczciwe osoby mogą się pod nas podszyć. Czy to słuszne podejście? Ten artykuł ma na celu udzielenie odpowiedzi na to pytanie, a także omówienie tego, jak (i kiedy) powinniśmy weryfikować numery PESEL.

Administratorzy danych osobowych i inspektorzy ochrony danych powinni zwrócić szczególną uwagę na m.in. błędy w monitoringu wizyjnym, przetwarzaniu danych pracowników oraz funkcjonowaniu aplikacji webowych. Tak wynika z opublikowanego sprawozdania  Prezesa UODO za 2023 rok. UODO wskazuje też typowe naruszenia praw, które wciąż powtarzają się w zgłoszeniach- ich znajomość pozwoli uniknąć kar i postępowań.

Na potrzeby wykonywania pracy zdalnej administratorzy danych osobowych muszą zmierzyć się z nowymi wyzwaniami w zakresie bezpieczeństwa i ochrony danych. Kluczowe jest nie tylko zapewnienie zgodności z RODO i kodeksem pracy, ale także wdrożenie rozwiązań technologicznych, które umożliwiają bezpieczne wykonywanie obowiązków zawodowych na odległość. Brak przygotowania może skutkować m.in. utratą danych, naruszeniami prywatności pracowników czy sankcjami ze strony Prezesa UODO.

Urząd Ochrony Danych Osobowych opublikował nową wersję poradnika dotyczącego naruszeń ochrony danych osobowych. Dokument zawiera nie tylko zaktualizowane procedury, ale również szczegółowe wskazówki dotyczące klasyfikacji naruszeń oraz roli inspektora ochrony danych. Nowe zapisy wzbudziły dyskusje wśród specjalistów – część z nich uznała, że stanowisko UODO może oznaczać bardziej rygorystyczne podejście do obowiązku zgłaszania incydentów. Administratorzy danych osobowych powinni zweryfikować swoje procedury i dokumentację, aby dostosować je do nowych wytycznych zawartych w tzw. Poradniku’25. Artykuł omawia kluczowe zmiany w poradniku, interpretacje przepisów oraz praktyczne konsekwencje dla ADO i IOD – zarówno w zakresie analizy ryzyka, jak i obowiązków związanych z dokumentowaniem oraz zgłaszaniem naruszeń.

W 2025 roku Urząd Ochrony Danych Osobowych plan kontroli sektorowych dotyczy przetwarzania danych osobowych dzieci, w szczególności ich wizerunku. Na celowniku Prezesa UODO znajdą się m.in. szkoły, przedszkola, placówki edukacyjne oraz podmioty, które przetwarzają zdjęcia lub nagrania dzieci, także w internecie. Sprawdź, jakie obowiązki wynikają z RODO w zakresie przetwarzania wizerunku dzieci i jak przygotować swoją placówkę do kontroli, by uniknąć naruszeń i kar.

Wdrożenie sztucznej inteligencji (AI) w firmie ma związek z pojawianiem się nowych zagrożeń, na które należy odpowiadać odpowiednimi zabezpieczeniami. Celem znalezienia takich zabezpieczeń, należy ponowić lub przeprowadzić analizę ryzyka, a czasem również jej zaawansowaną postać, tj. DPIA. To obowiązek wynikający z RODO, ale także kluczowy element dla bezpieczeństwa danych. Sprawdź, jak krok po kroku przeprowadzić analizę i właściwie zabezpieczyć dane w środowisku AI.