Wiele organizacji przygotowujących się do wdrożenia wymogów NIS2 nadal traktuje cyberbezpieczeństwo i ochronę danych osobowych jako dwa odrębne światy. Za cyberbezpieczeństwo odpowiada dział IT lub zewnętrzny dostawca usług, za zgodność z RODO inspektor ochrony danych, a zarząd otrzymuje od czasu do czasu raport dotyczący jednego lub drugiego obszaru. Problem pojawia się w momencie wystąpienia realnego incydentu. Wówczas bardzo szybko okazuje się, że granice pomiędzy NIS2 a RODO są znacznie mniej oczywiste, niż mogłoby się wydawać.

Rezerwacja hotelu, wypożyczenie roweru, korzystanie z publicznej sieci Wi-Fi czy publikowanie zdjęć z urlopu mogą wiązać się z ryzykiem naruszenia prywatności i utraty kontroli nad danymi osobowymi. Przed wyjazdem warto wiedzieć, kiedy można okazać dokument tożsamości, dlaczego nie należy zostawiać dowodu osobistego jako kaucji oraz jak postępować w razie kradzieży dokumentów, telefonu lub danych.

Przez lata cyberbezpieczeństwo w firmach było traktowane jako domena działów IT, a odpowiedzialność za ochronę danych i systemów informatycznych delegowano do specjalistów lub zewnętrznych dostawców. Zarządy angażowały się najczęściej dopiero w sytuacjach kryzysowych, takich jak cyberatak, wyciek danych czy incydent ransomware. Obecnie, w związku z regulacjami takimi jak dyrektywa NIS2 oraz rosnącymi wymaganiami w zakresie zarządzania ryzykiem ICT, podejście to ulega zasadniczej zmianie. Cyberbezpieczeństwo staje się kluczowym elementem odpowiedzialności zarządu, a brak nadzoru i właściwych procedur może prowadzić do konsekwencji prawnych, finansowych i reputacyjnych.

Analiza ryzyka w RODO to jeden z podstawowych obowiązków każdego administratora danych osobowych, wynikający bezpośrednio z podejścia opartego na ryzyku (risk-based approach). W praktyce bywa jednak często mylona z oceną skutków dla ochrony danych (DPIA) z art. 35 RODO, która ma zastosowanie wyłącznie w określonych przypadkach. Prawidłowo przeprowadzona analiza ryzyka pozwala dobrać adekwatne środki techniczne i organizacyjne, uwzględniając charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw i wolności osób fizycznych oraz interesów administratora.

Strażnicy gminni, realizując zadania związane z porządkiem publicznym, przetwarzają dane osobowe na podstawie szczególnych przepisów prawa. Artykuł wyjaśnia, jakie dane mogą być legalnie gromadzone, kto pełni rolę administratora oraz jakie ograniczenia i obowiązki wynikają z regulacji.

Poczta e-mail pozostaje jednym z najczęstszych źródeł naruszeń ochrony danych osobowych. UODO wskazuje, że problemy wynikają głównie z włamań na skrzynki oraz przesyłania niezabezpieczonych informacji. To dobry moment, aby zweryfikować procedury, sposób przechowywania wiadomości oraz realny poziom bezpieczeństwa komunikacji w organizacji. Urząd Ochrony Danych Osobowych (UODO, urząd) opublikował w swoim biuletynie tekst pt. „Poczta elektroniczna jako środowisko przetwarzania danych i potencjalne źródło naruszeń”. Stanowi on podstawę do ponownej weryfikacji procedur dotyczących zabezpieczenia danych osobowych w ramach poczty elektronicznej.

Nowa dyrektywa PLD (Product Liability Directive) znacząco zmienia podejście do odpowiedzialności za produkty wadliwe, rozszerzając je także na systemy cyfrowe oraz dane. Choć nie modyfikuje bezpośrednio przepisów RODO, wprowadza istotne konsekwencje dla organizacji przetwarzających dane osobowe – zwłaszcza w kontekście szkód takich jak utrata czy uszkodzenie danych. Dla IOD i ADO oznacza to konieczność uwzględnienia PLD w analizach ryzyka, procedurach udostępniania danych oraz zarządzaniu incydentami, szczególnie w środowiskach wykorzystujących AI. Sprawdź, jakie działania warto zaplanować już teraz, aby przygotować organizację na zmiany obowiązujące od 9 grudnia 2026 r.

Deepfake w reklamie nie jest wprost zakazany, ale każdy przypadek należy rozpatrywać w kontekście wielu: AI Act, ochrona wizerunku i dóbr osobistych, RODO oraz przepisów o reklamie wprowadzającej w błąd. W praktyce kluczowe jest, czy materiał nie daje wrażenia, że pokazuje rzeczywiste zdarzenie lub autentyczny wizerunek , nie narusza praw osoby ukazanej w tym materiale i nie wprowadza konsumenta w błąd.

Unijna dyrektywa PLD rozszerza odpowiedzialność za produkty wadliwe na oprogramowanie i dane cyfrowe, w tym osobowe, nakładając obowiązek ujawniania dowodów w sporach sądowych – co wpływa na procedury ochrony danych w firmach, choć nie zmienia bezpośrednio zasad RODO.

W kontekście powszechnego wdrażania sztucznej inteligencji w firmach, procedury ochrony sygnalistów wymagają przemyślanej aktualizacji – nie tylko pod kątem zgodności z ustawą o ochronie sygnalistów, ale także z wymogami RODO oraz Aktu w sprawie sztucznej inteligencji. Systemy AI mogą wspierać postępowanie, przyjmować i wstępnie weryfikować zgłoszenia, ale ich automatyka niesie wysokie ryzyko naruszenia poufności danych, działań odwetowych oraz decyzji podejmowanych bez udziału człowieka. W odpowiedzi na te wyzwania konieczne stało się wprowadzenie surowych ograniczeń, ludzkiej kontroli przy kluczowych decyzjach oraz jawne informowanie sygnalistów o roli AI w procedurze zgłoszeniowej.