W ostatnim czasie obserwujemy przyspieszone tempo rozwoju sztucznej inteligencji (AI) i zwiększenie zakresu jej stosowania w codziennej działalności firm. Wdrożenie AI ma też związek z pojawianiem się nowych zagrożeń, na które trzeba reagować odpowiednimi zabezpieczeniami, m.in. w zakresie ochrony danych osobowych. Celem znalezienia takich zabezpieczeń, należy przeprowadzić analizę ryzyka.

Kody QR, coraz popularniejsze w profesjonalnej działalności mogą niestety generować zagrożenie dla ich użytkowników. Kody te mogą bowiem być wykorzystywane w atakach phishingowych, ale też w działaniach o podłożu socjotechnicznym. Korzystający z kodu QR musi więc działać ze szczególną ostrożnością. Na zagrożenia musi zwracać uwagę także administrator danych osobowych tworzący kody QR i wykorzystujący je w swojej działalności.

RODO nie wskazuje jednoznacznie na to, jakie minimalne kryteria pozwolą zagwarantować zgodność oprogramowania komputerowego z przepisami. Ustanawia jednak wymogi, które należy wziąć pod uwagę w toku całego procesu tworzenia i stosowania oprogramowania, tak aby umożliwić osiągnięcie zgodności działań z przepisami.

Ustawodawca unijny, w ramach dyrektywy NIS2, nakłada na przedsiębiorców cały szereg nowych obowiązków z zakresu bezpieczeństwa informatycznego. Przy czym wybór szczegółowego sposobu realizowania tych obowiązków pozostawiony jest podmiotom kluczowym i ważnym. Z pewnością niezbędne będzie stworzenie szeregu dokumentów, polityk i procedur, które będą stanowiły fundament systemu cyberbezpieczeństwa w organizacji. Istotną pomocą dla przedsiębiorców mogą być wytyczne przygotowane przez Komisję Europejską. Na razie organizacje powinny zacząć przygotowywać się do dostosowania się do nowych obowiązków i śledzić proces implementacji przepisów dyrektywy do naszego krajowego porządku prawnego.

W związku z nieustającym rozwojem technologicznym, postępującą informatyzacją oraz rosnącą liczbą zagrożeń w zakresie cyberbezpieczeństwa, unijni urzędnicy uznali, że dyrektywa dotycząca cyberbezpieczeństwa, potocznie nazywana „NIS”, wymaga zmian. Dlatego też Parlament Europejski przyjął dyrektywę NIS2, która weszła w życie na początku 2023 r., a jej implementacja w krajach członkowskich musi nastąpić do połowy października 2024 r. Zmienia ona dotychczasowe podejście do tego, jakie podmioty muszą stosować zaostrzone rygory związane z bezpieczeństwem informatycznym. Przedstawiamy podstawowe informacje związane z funkcjonowaniem dyrektywy NIS2, czyli to jakie podmioty obejmuje i jakie są ich podstawowe obowiązki.

Prezes UODO zwraca w swoich decyzjach szczególną uwagę na regularne przeglądy w kontekście już zaistniałych incydentów bezpieczeństwa. Stąd też, w przypadku kontroli organu nadzorczego urzędnicy również mogą nas poprosić o udowodnienie, że w przypadku aplikacji webowych takie przeglądy miały miejsce.

W zakresie przetwarzania danych na potrzeby aplikacji mobilnych należy zwrócić uwagę na kilka aspektów. Otóż co prawda administrator danych osobowych posiada pewną swobodę w zakresie kształtowania zabezpieczeń. Jednak nasze wymogi w tym zakresie musimy skonsultować z twórcami aplikacji. Adekwatne środki zabezpieczeń należy dobrać na podstawie wcześniej sporządzonej i udokumentowanej analizy ryzyka.

Akt o usługach cyfrowych ma bezpośrednie zastosowanie w krajach członkowskich UE od 17 lutego 2024 r. Każde z tych państw musi zapewnić jego skuteczne stosowanie w swoim porządku prawnym poprzez przyjęcie właściwych przepisów wewnętrznych. W związku z powyższym nowelizacji mają podlegać ustawa o świadczeniu usług drogą elektroniczną, Prawo telekomunikacyjne oraz „inne właściwe przepisy sektorowe”. Nowości jest m.in. określenie odpowiedzialności odszkodowawczej dostawcy usług pośrednich za szkody poniesione przez odbiorców usługi oraz doprecyzowanie zasad nakładania kar pieniężnych z tytułu naruszenia przepisów Aktu.

Polityka haseł to popularny dokument, który opisuje zasady posługiwania się hasłami jako środkiem bezpieczeństwa danych osobowych. Przepisy nie regulują kwestii, które powinny w niej się znaleźć. Wybór rozwiązań w polityce haseł zależy od samego administratora. Warto w tym zakresie posłużyć się rekomendacjami CNIL – francuskiego organu nadzorczego.

Zastosowanie Aktu o usługach cyfrowych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 (dalej zwane Aktem o usługach cyfrowych lub Aktem) znajdzie zastosowanie do usług pośrednich, które są oferowane odbiorcom usługi (w tym firmom), którzy mają siedzibę lub znajdują się w Unii, niezależnie od miejsca siedziby dostawców usług pośrednich (dalej zwanych DPU).