AI jest w stanie przetwarzać dane osobowe, w tym może się tego podjąć nawet bez naszej wiedzy. Zakres przetwarzanych przez AI danych może wyjść wówczas poza zakładane przez nas cele przetwarzania. Co więcej, takie rozwiązanie może opracować i dostarczyć nam: zewnętrzny podmiot, w ramach systemu, w który nas zaopatruje albo nasz pracownik - i uruchomić je, nie informując nas o tym w sposób dostatecznie jasny. Poniższa lista sprawdzająca ma na celu udzielenie odpowiedzi na podstawowe pytania dotyczące zarówno zaistnienia AI w naszej organizacji, jak i aktualności naszych wewnętrznych procedur ochrony danych osobowych.
Czekając na definicję prawną, AI (Artificial Intelligence) można potocznie określić jako zespół różnych rozwiązań wyposażonych w umiejętność analizowania przypisanego im środowiska i reagowania na informacje, które stamtąd spływają. AI znajdzie zastosowanie na wielu szczeblach i etapach działalności przedsiębiorcy. Może ona mieć wpływ zarówno na naszych klientów, nasz personel, jak i na obie kategorie podmiotów danych. AI można bowiem – świadomie lub nieświadomie – wykorzystać do przetwarzania danych osobowych.
Analiza ryzyka związanego z przetwarzaniem danych osobowych przy użyciu sztucznej inteligencji (AI), może wskazać na konieczność sporządzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (OSOD). Stanowi ona „szczególny rodzaj szacowania ryzyka” w stosunku do ogólnej analizy ryzyka, a zasady i okoliczności jej sporządzania opisuje ogólne rozporządzenie o ochronie danych (RODO).
Wyliczając ryzyko związane z przetwarzaniem danych osobowych przy użyciu sztucznej inteligencji (AI), często należy brać pod uwagę nowe aktywa i czynności przetwarzania, a także nowe zagrożenia wraz z charakterystycznymi skutkami ich wystąpienia. Po wyliczeniu takiego ryzyka należy opracować metodę postępowania z ryzykiem.
YouTube to jeden z podstawowych kanałów komunikacji firm ze swoimi klientami. Konta w tym popularnym portalu streamingowych są subskrybowane są, a filmy oglądane i komentowane. W związku z tym dochodzi oczywiście do przetwarzania danych osobowych użytkowników. Profesjonalny youtuber niezależnie od tego, czy jest to jednoosobowy przedsiębiorca czy też korporacja, musi spełniać wymogi ochrony danych osobowych przewidziane w RODO.
W ostatnim czasie obserwujemy przyspieszone tempo rozwoju sztucznej inteligencji (AI) i zwiększenie zakresu jej stosowania w codziennej działalności firm. Wdrożenie AI ma też związek z pojawianiem się nowych zagrożeń, na które trzeba reagować odpowiednimi zabezpieczeniami, m.in. w zakresie ochrony danych osobowych. Celem znalezienia takich zabezpieczeń, należy przeprowadzić analizę ryzyka.
Kody QR, coraz popularniejsze w profesjonalnej działalności mogą niestety generować zagrożenie dla ich użytkowników. Kody te mogą bowiem być wykorzystywane w atakach phishingowych, ale też w działaniach o podłożu socjotechnicznym. Korzystający z kodu QR musi więc działać ze szczególną ostrożnością. Na zagrożenia musi zwracać uwagę także administrator danych osobowych tworzący kody QR i wykorzystujący je w swojej działalności.
RODO nie wskazuje jednoznacznie na to, jakie minimalne kryteria pozwolą zagwarantować zgodność oprogramowania komputerowego z przepisami. Ustanawia jednak wymogi, które należy wziąć pod uwagę w toku całego procesu tworzenia i stosowania oprogramowania, tak aby umożliwić osiągnięcie zgodności działań z przepisami.
Ustawodawca unijny, w ramach dyrektywy NIS2, nakłada na przedsiębiorców cały szereg nowych obowiązków z zakresu bezpieczeństwa informatycznego. Przy czym wybór szczegółowego sposobu realizowania tych obowiązków pozostawiony jest podmiotom kluczowym i ważnym. Z pewnością niezbędne będzie stworzenie szeregu dokumentów, polityk i procedur, które będą stanowiły fundament systemu cyberbezpieczeństwa w organizacji. Istotną pomocą dla przedsiębiorców mogą być wytyczne przygotowane przez Komisję Europejską. Na razie organizacje powinny zacząć przygotowywać się do dostosowania się do nowych obowiązków i śledzić proces implementacji przepisów dyrektywy do naszego krajowego porządku prawnego.
W związku z nieustającym rozwojem technologicznym, postępującą informatyzacją oraz rosnącą liczbą zagrożeń w zakresie cyberbezpieczeństwa, unijni urzędnicy uznali, że dyrektywa dotycząca cyberbezpieczeństwa, potocznie nazywana „NIS”, wymaga zmian. Dlatego też Parlament Europejski przyjął dyrektywę NIS2, która weszła w życie na początku 2023 r., a jej implementacja w krajach członkowskich musi nastąpić do połowy października 2024 r. Zmienia ona dotychczasowe podejście do tego, jakie podmioty muszą stosować zaostrzone rygory związane z bezpieczeństwem informatycznym. Przedstawiamy podstawowe informacje związane z funkcjonowaniem dyrektywy NIS2, czyli to jakie podmioty obejmuje i jakie są ich podstawowe obowiązki.
Przepisy krajowe mogą wprowadzać ułatwienia w wykonywaniu obowiązków wynikających z RODO np. obowiązku informacyjnego. W Polsce takim aktem prawnym jest ustawa z dnia 21 lutego 2019 r. nazywana popularnie ustawą wdrażającą RODO. Przewidziano w niej udogodnienia w realizacji obowiązku informacyjnego RODO dla mikroprzedsiębiorców. Jeśli masz mikro firmę, to ten artykuł jest właśnie dla Ciebie.
08.12.2022
© Portal Poradyodo.pl