Każdy administrator danych osobowych musi zapewnić inspektorowi ochrony danych niezależność w podejmowaniu decyzji, wykonywaniu przez niego zadań, czy prowadzenia odpowiedniej dokumentacji ODO, jak np. prowadzenia rejestru czynności przetwarzania czy zawierania umów powierzenia. Jest to szczególnie istotne dla zapewnienia maksimum bezpieczeństwa dla przetwarzanych danych w organizacji, również ze względu na cyberbezpieiczeństwo i ewentualne ataki hakerskie.

Mechanizmy stosowane w ramach ochrony sygnalistów wiążą się z nowymi czynności przetwarzania danych osobowych. Aby zapewnić sygnalistom poufność oraz spełnić inne obowiązki w zakresie ochrony ich danych osobowych administrator musi spełnić liczne wymogi przewidziane w przepisach RODO.

Pytanie:  Przyjęta w firmie polityka bezpieczeństwa nakazuje pracownikom szyfrować wszelkie e-maile zawierające dane osobowe? Czy nieprzestrzeganie takiej polityki przez pracownika należy uznać za naruszenie prawa?

Rozwój sztucznej inteligencji (AI) i jej wykorzystanie w działalności biznesowej przyspiesza. Do tego w życie wchodzi AI Act, a polski ustawodawca zapowiada nowe przepisy mające na celu dostosowanie krajowych regulacji do aktu o sztucznej inteligencji. Tym bardziej należy zwrócić uwagę na konieczność zapewnienia ochrony danych osobowych w świetle wdrażanych w firmach nowych rozwiązań wykorzystujących systemy sztucznej inteligencji.

Weryfikacja wieku online poprzez oświadczenie użytkownika nie stanowi skutecznej metody na sprawdzenie, czy mamy do czynienia z osobą uprawnioną do skorzystania z oferowanych towarów i usług. Urząd Ochrony Danych Osobowych przedstawił opracowanie dotyczące różnych metod weryfikacji wieku użytkowników w internecie np. zgoda rodzica, czy weryfikacja za pomocą specjalnej aplikacji. UODO przypomina również, że firmy powinny przygotować własne procedury weryfikacji.

Obowiązki w zakresie przejrzystości, opisane w Akcie AI dotyczą dostawców, jak również częściowo „podmiotów stosujących” niektóre systemy AI - firmy, bez względu na to czy są Systemami AI wysokiego ryzyka (SWR), czy nie. Sprawdźmy, na czym one dokładnie polegają. Ma to istotne znaczenie, choćby dla firm stosujących system AI, które generują obrazy, treści audio lub wideo stanowiące deepfake.

Dostawcy systemów AI wysokiego ryzyka (SWR) oraz ich importerzy i dystrybutorzy mają szereg obowiązków wskazanych przepisami Aktu takich jak np. obowiązek posiadania systemów zarządzania jakością w przypadku dostawców. Akt nakłada obowiązki również na podmioty stosujące SWR, którymi - jak wykazano we wcześniejszych artykułach z niniejszego cyklu - mogą być również prywatne firmy, które nabyły technologię od dostawcy systemów AI i stosują ja w ramach swej działalności zawodowej.

Na szpitalach i innych placówkach medycznych spoczywa obowiązek dbania o bezpieczeństwo danych osobowych pacjentów. Elektroniczne systemy medyczne (EMR/EHR), dokumentacja medyczna w postaci elektronicznej, przechowywanie danych osobowych w chmurze, sztuczna inteligencja to nowe możliwości ale także nowe ryzyka dla przetwarzanych danych. Nowe technologie to wyzwanie w kontekście danych ochrony danych osobowych pacjentów.  Skorzystaj z praktycznych rad dla sektora służby zdrowia, by mu sprostać.

Dobiegły końca prace legislacyjne dotyczące europejskiego Aktu o sztucznej inteligencji (Akt). Ma on wpływ na sposób przetwarzania danych osobowych zarówno przez twórców rozwiązań z zakresu sztucznej inteligencji (AI) jak i użytkowników takich rozwiązań. Warto się przyjrzeć wymaganym kompetencjom w zakresie AI, praktykom zakazanym przez przepisy Aktu oraz zagadnieniom dotyczącym SWR, tj. Systemów AI wysokiego ryzyka.