
Dzień Ochrony Danych Osobowych w 2025 roku
Poniższy materiał dostępny jest też w pliku PDF – Dzień ODO
Z okazji Dnia Ochrony Danych Osobowych przedstawiamy 6 tematów, które warto wziąć pod lupę w firmie w 2025 r.
Plan kontroli Prezesa UODO
Prezes UODO opublikował plan kontroli sektorowych na 2025 r. Na celowniku znalazły się podmioty, które przetwarzają
- dane o stanie zdrowia;
- wizerunki dzieci.
Wszystkie organizacje powinny liczyć się z możliwością kontroli regulatora dotyczącą dokumentowania naruszeń ochrony danych. Pamiętajmy, że nie chodzi tylko o zgłaszanie naruszeń, ale też o prowadzenie dokumentacji wewnętrznej (ocena naruszenia, podjęte działania zaradcze).
Co trzeba sprawdzić
- Czy przetwarzamy dane o stanie zdrowia (np. pracowników)? W jaki sposób zabezpieczamy te dane?
- Czy przetwarzamy wizerunki dzieci (np. dzieci pracowników podczas imprez firmowych)? Czy posiadamy na to zgody rodziców/opiekunów i czy spełniamy obowiązek informacyjny?
- Czy dokumentujemy naruszenia ochrony danych i podjęte działania związane z naruszeniem?
Inspektor ochrony danych (IOD)
Rok 2024 przyniósł istotne zmiany w podejściu do roli IOD w organizacjach.
W ubiegłym roku Prezes UODO wydał dwie decyzje nakładające kary pieniężne za naruszenia RODO dotyczące IOD:
- kara za brak wyznaczenia IOD;
- Kara za brak niezależności IOD ze względu na jego niewłaściwe usytuowanie w organizacji (IOD nie podlegał bezpośrednio najwyższemu kierownictwu).
Co trzeba sprawdzić
- Czy IOD został formalnie wyznaczony w naszej organizacji, a jego dane kontaktowe są zamieszczone na stronie internetowej?
- Jaka jest rola IOD w naszej organizacji (zadania i obowiązki IOD w praktyce)?
- Czy nie dochodzi do konfliktu interesów lub braku niezależności IOD?
Dostawcy usług (procesorzy danych)
Europejska Rada Ochrony Danych wydała pod koniec 2024 roku wydała opinię w sprawie obowiązków wynikających z korzystania z dostawców usług (procesorów danych). Kluczowe jest to, że organizacja jest odpowiedzialna za sposób i bezpieczeństwo przetwarzania tych danych przez dostawców i powinna ich weryfikować.
Co trzeba sprawdzić
- Czy nasz dostawca i jego podwykonawcy zapewniają odpowiednie standardy ochrony danych osobowych?
- Czy i jak weryfikujemy naszych dostawców usług pod kątem ochrony danych osobowych?
Zgody marketingowe
W listopadzie 2024 r. weszła w życie nowa ustawa – Prawo komunikacji elektronicznej (PKE), która wprowadziła zmiany dotyczące zgód na mailową lub telefoniczną komunikację marketingową. Takie zgody marketingowe muszą też spełniać wymagania przewidziane w RODO. To oznacza konieczność umożliwienia wyboru kanału komunikacji w ramach jednej zgody marketingowej, tj. osobno dla SMS/MMS, e-mail czy połączenia telefonicznego. Co ważne, zgody marketingowe trzeba zbierać nie tylko od konsumentów, ale także w tzw. relacjach B2B.
Co trzeba sprawdzić
- Jakie działania marketingowe prowadzimy (np. wysyłanie newslettera)?
- Jakie zbieramy zgody marketingowe i jak zarządzamy tymi zgodami (proces, systemy)?
- Czy nasze zgody marketingowe spełniają wymogi PKE oraz RODO?
Prawo do usunięcia danych (prawo do bycia zapomnianym)
Europejska Rada Ochrony Danych skupia się w 2025 r. na prawie do usunięcia danych i podejmuje skoordynowane działania w tym temacie. Regulatorzy będą oceniać, jak organizacje w praktyce realizują żądania usunięcia danych i jakie są dobre praktyki w tym zakresie. Można spodziewać się działań i kontroli polskiego regulatora (Prezesa UODO) w tym obszarze.
Co trzeba sprawdzić
- Czy mamy procedury i skuteczne procesy obsługi żądań usunięcia danych?
- Czy pracownicy zostali przeszkoleni w temacie usuwania danych i żądań usunięcia danych?
- Czy dokumentujemy obsługę żądań usunięcia danych?
AI
W sierpniu 2024 r. wszedł w życie AI Act, czyli rozporządzenie UE w sprawie sztucznej inteligencji. Nowe przepisy nakładają liczne obowiązki na dostawców systemów AI oraz na podmioty korzystające z narzędzi AI.
Przepisy AI Act zaczniemy stosować w pełni od 2 sierpnia 2026 r., ale już od 2 lutego 2025 r. zabronione będą niektóre praktyki z wykorzystaniem AI (np. używanie AI do wyciągania wniosków na temat emocji pracowników). Dodatkowo od 2 sierpnia 2025 r. zaczną obowiązywać przepisy dotyczące m.in. modeli AI ogólnego przeznaczenia oraz nakładania kar.
Niezależnie od AI Act, korzystanie z narzędzi AI musi spełniać wymogi RODO. Powinniśmy przeprowadzić analizę ryzyka oraz przygotować niezbędne informacje o ochronie danych.
Co trzeba sprawdzić
- Z jakich narzędzi AI korzystamy lub chcemy korzystać?
- Czy mamy polityki dotyczące korzystania z AI i weryfikacji dostawców narzędzi AI?
- Czy spełniamy wymogi RODO korzystając z narzędzi AI?