Artykuły eksperckie

Wdrożenie rozwiązań informatycznych w przedsiębiorstwie jest dokonywane na podstawie ustaleń między stronami zawartych w umowie. Takie kontrakty określa się zwykle jako umowy wdrożeniowe. Jakie elementy powinny znaleźć się w umowie wdrożeniowej i na co warto zwrócić szczególną uwagę?

Trenowanie modeli sztucznej inteligencji wymaga wykorzystania olbrzymiej ilości danych. Wiele z tych informacji można zaklasyfikować jako dane osobowe, co rodzi liczne pytania o legalność przetwarzania danych osobowych w kontekście unijnego rozporządzenia RODO. Co warto wiedzieć o wykorzystaniu danych osobowych w modelach AI?

W dobie postępującej cyfryzacji oraz rosnących zagrożeń związanych z cyberprzestępczością, regulacje dotyczące technologii informacyjno-komunikacyjnych (ICT) stają się kluczowe dla bezpieczeństwa sektora finansowego. Pełne stosowanie przepisów rozporządzenia DORA będzie miało miejsce już 17 stycznia 2025 r. Czym są więc tzw. usługi ICT w kontekście rozporządzenia DORA i jakie obowiązki wdrożeniowe powoduje identyfikacja usługi ICT w strukturze instytucji finansowej?

Powierzenie funkcji Inspektora Ochrony Danych (IOD) prezesowi zarządu lub innemu menedżerowi na stanowisku kierowniczym jest jednoznacznym naruszeniem RODO, prowadzącym do nieuniknionego konfliktu interesów. Zostało to ostatecznie potwierdzone przez Prezesa Urzędu Ochrony Danych Osobowych, który w swojej decyzji z 2025 roku (sygn. DKN.5131.7.2025) nałożył za to przewinienie na firmę z branży medycznej dotkliwą karę finansową. Dla każdej organizacji w Polsce oznacza to konieczność natychmiastowej weryfikacji swojej struktury i, w razie potrzeby, bezzwłocznego odwołania osoby na stanowisku decyzyjnym z funkcji IOD. Ignorowanie tego obowiązku to świadome narażanie firmy na sankcje sięgające nawet 10 milionów euro.

Tak, dyplom ukończenia studiów magisterskich, podyplomowych, a nawet doktoratu z cyberbezpieczeństwa może być uznany za „inny równoważny dokument”, otwierając drogę do uzyskania przez specjalistę ds. cyberbezpieczeństwa świadczenia teleinformatycznego. Kluczem nie jest jednak sam „papierek”, lecz umiejętne udowodnienie pracodawcy, że program Twoich studiów merytorycznie pokrywa się z zakresem wiedzy wymaganym przez najważniejsze branżowe certyfikaty. Decyzja ma charakter uznaniowy, dlatego jako ekspert musisz dostarczyć kierownictwu solidnych argumentów.

Europejska Rada Ochrony Danych (EROD) opublikowała długo oczekiwane wytyczne w sprawie relacji Aktu o Usługach Cyfrowych i RODO. Ten dokument kończy okres spekulacji, precyzując, jak dostawcy usług cyfrowych muszą pogodzić nowe obowiązki w zakresie moderacji treści, reklamy online i ochrony użytkowników z fundamentalnymi zasadami ochrony danych. Wytyczne EROD nr 3/2025 potwierdzają podstawową zasadę: DSA nie uchyla ani nie zastępuje RODO – oba akty prawne muszą być stosowane wspólnie. Zmusza to firmy do natychmiastowego przeglądu swoich procesów weryfikacji podstaw prawnych dla moderacji treści, wprowadzenia bezwzględnego zakazu wykorzystywania danych wrażliwych do profilowania w reklamach, nawet przy pozyskaniu zgody, oraz nałożenia nowych obowiązków na największe platformy. Pamiętajmy jednak, że to póki co jedynie wytyczne a diabeł, jak zwykle, tkwi w szczegółach.

Pojęcie administratora danych osobowych jest jednym z najczęściej przywoływanych terminów w kontekście przepisów RODO. Mimo to ustalenie podmiotu posiadającego status ADO nie zawsze będzie proste, a określenie zakresu obowiązków bywa jeszcze trudniejsze. Kim jest i za co odpowiada administrator danych osobowych?

Powołanie Inspektora Ochrony Danych jest obligatoryjne dla organów publicznych oraz firm, których główna działalność polega na operacjach przetwarzania wymagających regularnego monitorowania osób na dużą skalę lub przetwarzania szczególnych kategorii danych. Proces ten wymaga wyboru kompetentnej osoby bez konfliktu interesów, jej formalnego powołania oraz elektronicznego zgłoszenia do Prezesa UODO w terminie 14 dni. Zaniedbanie tego obowiązku lub jego nieprawidłowa realizacja grozi karą finansową sięgającą 10 milionów euro.

Możesz przechowywać CV kandydatów dłużej niż na czas jednej rekrutacji, ale wymaga to żelaznej dyscypliny proceduralnej. Najnowsze orzecznictwo daje Ci silny argument do retencji tych danych nawet przez trzy lata, jednak Prezes Urzędu Ochrony Danych Osobowych wciąż może ocenić Twoje działania inaczej. Kluczem do bezpieczeństwa jest posiadanie udokumentowanej podstawy prawnej – świadomej zgody kandydata lub precyzyjnie przeprowadzonego testu Twojego uzasadnionego interesu.