Deepfake w reklamie nie jest wprost zakazany, ale każdy przypadek należy rozpatrywać w kontekście wielu: AI Act, ochrona wizerunku i dóbr osobistych, RODO oraz przepisów o reklamie wprowadzającej w błąd. W praktyce kluczowe jest, czy materiał nie daje wrażenia, że pokazuje rzeczywiste zdarzenie lub autentyczny wizerunek , nie narusza praw osoby ukazanej w tym materiale i nie wprowadza konsumenta w błąd.

Unijna dyrektywa PLD rozszerza odpowiedzialność za produkty wadliwe na oprogramowanie i dane cyfrowe, w tym osobowe, nakładając obowiązek ujawniania dowodów w sporach sądowych – co wpływa na procedury ochrony danych w firmach, choć nie zmienia bezpośrednio zasad RODO.

W kontekście powszechnego wdrażania sztucznej inteligencji w firmach, procedury ochrony sygnalistów wymagają przemyślanej aktualizacji – nie tylko pod kątem zgodności z ustawą o ochronie sygnalistów, ale także z wymogami RODO oraz Aktu w sprawie sztucznej inteligencji. Systemy AI mogą wspierać postępowanie, przyjmować i wstępnie weryfikować zgłoszenia, ale ich automatyka niesie wysokie ryzyko naruszenia poufności danych, działań odwetowych oraz decyzji podejmowanych bez udziału człowieka. W odpowiedzi na te wyzwania konieczne stało się wprowadzenie surowych ograniczeń, ludzkiej kontroli przy kluczowych decyzjach oraz jawne informowanie sygnalistów o roli AI w procedurze zgłoszeniowej.

Podmiot zatrudniający pracowników występuje niejako w podwójnej roli - zarówno pracodawcy w rozumieniu przepisów prawa pracy, jak również administratora danych osobowych w rozumieniu przepisów regulujących przetwarzanie oraz ochronę danych osobowych. Co to zasady dane osobowe pracowników są przetwarzane na potrzeby realizacji wzajemnych praw oraz obowiązków stron stosunku pracy. Bywają jednak przypadki, kiedy dane takie będą musiały wyjść poza tą relację.

Dynamiczny rozwój narzędzi opartych na sztucznej inteligencji w ostatnich latach wprowadził realne zmiany w funkcjonowaniu organizacji. Od prostych chatbotów po zaawansowane systemy analizujące ogromne zbiory danych – AI staje się coraz częściej codziennym elementem pracy. Jednocześnie, wraz z tymi możliwościami, pojawiają się nowe wyzwania i ryzyka, szczególnie w zakresie ochrony danych osobowych i bezpieczeństwa informacji, które każda organizacja musi świadomie uwzględniać.

Naczelny Sąd Administracyjny wyrokiem z 5 listopada 2025 r. oddalił skargę kasacyjną na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO). Zaskarżona decyzja nakładała karę finansową na właścicielkę kliniki stomatologicznej za niewykonanie nakazu orzeczonego prawomocną decyzją. Sprawa ma pokazać wszystkim administratorom danych osobowych, jak prawidłowo komunikować się w przypadku naruszenia ochrony danych osobowych, aby nie popełnić błędów, które wpłynęły na wysokość kary finansowej.

Privacy by design (ochrona danych w fazie projektowania) to prawny obowiązek nałożony na administratorów danych, który wymaga implementacji odpowiednich środków technicznych i organizacyjnych już na etapie projektowania procesów przetwarzania, systemów informatycznych czy usług. Celem jest wbudowanie ochrony prywatności w fundamentalną architekturę danego rozwiązania, a nie dodawanie jej jako zewnętrznej warstwy. Zasada ta, wraz z komplementarną zasadą privacy by default (domyślnej ochrony danych), ma na celu proaktywne minimalizowanie ryzyka naruszeń praw i wolności osób fizycznych. Podstawę prawną tej zasady stanowi art. 25 RODO.

Długi proces nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa dobiegł końca. Dlatego też warto zebrać w jednym miejscu, w formie listy sprawdzającej, obowiązki kierowników niektórych podmiotów, np. członka zarządu, wspólnika, dyrektora SP ZOZ, na których nowelizacja nałożyła szereg nowych obowiązków.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa implementująca dyrektywę NIS 2 wprowadza istotne zmiany w zarządzaniu incydentami cyberbezpieczeństwa, porządkując odpowiedzialność podmiotów kluczowych i ważnych, operatorów usług kluczowych oraz wzmacniając rolę zespołów CSIRT. Reagowanie na incydenty cyberbezpieczeństwa staje się integralnym elementem formalnego systemu bezpieczeństwa państwa, z jasno zdefiniowanymi kompetencjami, obowiązkami raportowania i kanałami współpracy zgodnymi z wymogami NIS 2.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2, ma wzmacniać odporność cyfrową państwa poprzez doprecyzowanie obowiązków podmiotów kluczowych i ważnych, w tym wymagań dotyczących sprzętu oraz infrastruktury teleinformatycznej. Zmiany będą miały istotne znaczenie dla wielu przedsiębiorstw w Polsce.