Z roku na rok rośnie skala zagrożeń związanych z ochroną danych osobowych. Z najnowszego raportu „Barometr Cyberbezpieczeństwa 2024”, przygotowanego przez KPMG, wynika, że aż 66% organizacji w Polsce doświadczyło co najmniej jednego incydentu związanego z cyberbezpieczeństwem w ciągu ostatnich 12 miesięcy. To wzrost o 8 punktów procentowych w porównaniu z rokiem 2022. Taka dynamika nie pozostawia złudzeń – administratorzy danych osobowych (ADO) oraz inspektorzy ochrony danych (IOD) muszą dziś podejmować aktywne działania w zakresie bezpieczeństwa informacji, za które odpowiadają.

Wdrożenie sztucznej inteligencji (AI) w firmie ma związek z pojawianiem się nowych zagrożeń, na które należy odpowiadać odpowiednimi zabezpieczeniami. Celem znalezienia takich zabezpieczeń, należy ponowić lub przeprowadzić analizę ryzyka, a czasem również jej zaawansowaną postać, tj. DPIA. To obowiązek wynikający z RODO, ale także kluczowy element dla bezpieczeństwa danych. Sprawdź, jak krok po kroku przeprowadzić analizę i właściwie zabezpieczyć dane w środowisku AI.

Ransomware to dziś jedno z najpoważniejszych zagrożeń dla bezpieczeństwa danych osobowych. Coraz częściej celem cyberprzestępców stają się instytucje publiczne i prywatne firmy przetwarzające dane wrażliwe – w tym dane klientów, pacjentów czy pracowników. Administratorzy danych osobowych (ADO) i inspektorzy ochrony danych (IOD) muszą nie tylko znać metody działania tego szkodliwego oprogramowania, ale też wdrażać skuteczne środki zapobiegawcze. W artykule omawiamy, jak działa ransomware, jakie są jego najczęstsze wektory ataku oraz co zrobić, aby ograniczyć ryzyko zaszyfrowania danych i przestoju w działalności firmy. Przedstawiamy także praktyczną checklistę działań, które pomogą zabezpieczyć Twoją organizację.

Systemy AI, zwłaszcza te klasyfikowane jako wysokiego ryzyka, mogą mieć istotny wpływ na prawa i wolności osób fizycznych. Wdrażanie takich technologii wymaga szczegółowej analizy, przeprowadzenia oceny skutków dla ochrony danych oraz wdrożenia odpowiednich środków zabezpieczających. Administratorzy i inspektorzy ochrony danych powinni na bieżąco śledzić zmiany prawne i wdrażać mechanizmy zarządzania ryzykiem, aby zapewnić zgodność z Akt w sprawie sztucznej inteligencji i RODO.

Bezpodstawne ujawnianie danych osobowych jest poważnym naruszeniem prawa. Prezes Urzędu Ochrony Danych Osobowych (UODO) skierował zawiadomienie do prokuratury w związku z publikacją w portalu X informacji pochodzących z kwestionariuszy paszportowych znanych osób publicznych i ich rodzin. Niedopuszczalne przetwarzanie danych osobowych może skutkować karami finansowymi, a nawet pozbawieniem wolności.

Dyrektywa NIS2 ustanawia pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych zarówno z sektora prywatnego, jak i publicznego, w tym także w samorządzie. Na co zatem uwagę powinny zwrócić osoby odpowiedzialne za cyberbezpieczeństwo jednostkach samorządowych w związku z dyrektywą NIS2?

Powszechną praktyką jest udostępnianie danych osobowych w chmurze. Administrator może udostępnić dane osobowe innemu ADO za pośrednictwem chmury. Konieczne jest w związku z tym określenie zasad udostępniania oraz zabezpieczania danych, co może wymagać zawarcia porozumienia lub regulacji wewnętrznych.

Dyrektywa NIS2 ustanawia pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych. Podmioty zaliczone do kategorii PKW mogą być podmiotami zarówno z sektora prywatnego, jak i publicznego, a więc także w jednostkach samorządu terytorialnego. Sprawdź, czy jednostka samorządu terytorialnego i samorządowe jednostki organizacyjne podlegają nowym przepisom dyrektywy NIS2.

Dyrektywa NIS-2 ustanawia pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych. Poważne incydenty związane z cyberbezpieczeństwem docelowo trzeba będzie obsługiwać na nowych zasadach, w tym zgłaszać wczesne ostrzeżenia o incydencie i prowadzić sprawozdawczość w tym zakresie. Szczegóły w temacie tygodnia.