Dzień Ochrony Danych Osobowych w 2025 roku

Poniższy materiał dostępny jest też w pliku PDF – Dzień ODO

 

Z okazji Dnia Ochrony Danych Osobowych przedstawiamy 6 tematów, które warto wziąć pod lupę w firmie w 2025 r.

Plan kontroli Prezesa UODO

Prezes UODO opublikował plan kontroli sektorowych na 2025 r. Na celowniku znalazły się podmioty, które przetwarzają

  • dane o stanie zdrowia;
  • wizerunki dzieci.

Wszystkie organizacje powinny liczyć się z możliwością kontroli regulatora dotyczącą dokumentowania naruszeń ochrony danych. Pamiętajmy, że nie chodzi tylko o zgłaszanie naruszeń, ale też o prowadzenie dokumentacji wewnętrznej (ocena naruszenia, podjęte działania zaradcze).

Co trzeba sprawdzić

  • Czy przetwarzamy dane o stanie zdrowia (np. pracowników)? W jaki sposób zabezpieczamy te dane?
  • Czy przetwarzamy wizerunki dzieci (np. dzieci pracowników podczas imprez firmowych)? Czy posiadamy na to zgody rodziców/opiekunów i czy spełniamy obowiązek informacyjny?
  • Czy dokumentujemy naruszenia ochrony danych i podjęte działania związane z naruszeniem?

Inspektor ochrony danych (IOD)

Rok 2024 przyniósł istotne zmiany w podejściu do roli IOD w organizacjach.

W ubiegłym roku Prezes UODO wydał dwie decyzje nakładające kary pieniężne za naruszenia RODO dotyczące IOD:

  • kara za brak wyznaczenia IOD;
  • Kara za brak niezależności IOD ze względu na jego niewłaściwe usytuowanie w organizacji (IOD nie podlegał bezpośrednio najwyższemu kierownictwu).

Co trzeba sprawdzić

  • Czy IOD został formalnie wyznaczony w naszej organizacji, a jego dane kontaktowe są zamieszczone na stronie internetowej?
  • Jaka jest rola IOD w naszej organizacji (zadania i obowiązki IOD w praktyce)?
  • Czy nie dochodzi do konfliktu interesów lub braku niezależności IOD?

Dostawcy usług (procesorzy danych)

Europejska Rada Ochrony Danych wydała pod koniec 2024 roku wydała opinię w sprawie obowiązków wynikających z korzystania z dostawców usług (procesorów danych). Kluczowe jest to, że organizacja jest odpowiedzialna za sposób i bezpieczeństwo przetwarzania tych danych przez dostawców i powinna ich weryfikować.

Co trzeba sprawdzić

  • Czy nasz dostawca i jego podwykonawcy zapewniają odpowiednie standardy ochrony danych osobowych?
  • Czy i jak weryfikujemy naszych dostawców usług pod kątem ochrony danych osobowych?

Zgody marketingowe

W listopadzie 2024 r. weszła w życie nowa ustawa – Prawo komunikacji elektronicznej (PKE), która wprowadziła zmiany dotyczące zgód na mailową lub telefoniczną komunikację marketingową. Takie zgody marketingowe muszą też spełniać wymagania przewidziane w RODO. To oznacza konieczność umożliwienia wyboru kanału komunikacji w ramach jednej zgody marketingowej, tj. osobno dla SMS/MMS, e-mail czy połączenia telefonicznego. Co ważne, zgody marketingowe trzeba zbierać nie tylko od konsumentów, ale także w tzw. relacjach B2B.

Co trzeba sprawdzić

  • Jakie działania marketingowe prowadzimy (np. wysyłanie newslettera)?
  • Jakie zbieramy zgody marketingowe i jak zarządzamy tymi zgodami (proces, systemy)?
  • Czy nasze zgody marketingowe spełniają wymogi PKE oraz RODO?

Prawo do usunięcia danych (prawo do bycia zapomnianym)

Europejska Rada Ochrony Danych skupia się w 2025 r. na prawie do usunięcia danych i podejmuje skoordynowane działania w tym temacie. Regulatorzy będą oceniać, jak organizacje w praktyce realizują żądania usunięcia danych i jakie są dobre praktyki w tym zakresie. Można spodziewać się działań i kontroli polskiego regulatora (Prezesa UODO) w tym obszarze.

Co trzeba sprawdzić

  • Czy mamy procedury i skuteczne procesy obsługi żądań usunięcia danych?
  • Czy pracownicy zostali przeszkoleni w temacie usuwania danych i żądań usunięcia danych?
  • Czy dokumentujemy obsługę żądań usunięcia danych?

AI

W sierpniu 2024 r. wszedł w życie AI Act, czyli rozporządzenie UE w sprawie sztucznej inteligencji. Nowe przepisy nakładają liczne obowiązki na dostawców systemów AI oraz na podmioty korzystające z narzędzi AI.

Przepisy AI Act zaczniemy stosować w pełni od 2 sierpnia 2026 r., ale już od 2 lutego 2025 r. zabronione będą niektóre praktyki z wykorzystaniem AI (np. używanie AI do wyciągania wniosków na temat emocji pracowników). Dodatkowo od 2 sierpnia 2025 r. zaczną obowiązywać przepisy dotyczące m.in. modeli AI ogólnego przeznaczenia oraz nakładania kar.

Niezależnie od AI Act, korzystanie z narzędzi AI musi spełniać wymogi RODO. Powinniśmy przeprowadzić analizę ryzyka oraz przygotować niezbędne informacje o ochronie danych.

Co trzeba sprawdzić

  • Z jakich narzędzi AI korzystamy lub chcemy korzystać?
  • Czy mamy polityki dotyczące korzystania z AI i weryfikacji dostawców narzędzi AI?
  • Czy spełniamy wymogi RODO korzystając z narzędzi AI?

Wróć do