Jakie wyzwania w ochronie danych osobowych czekają nas 2025 roku?
W 2024 roku kluczowe zagadnienia dotyczące RODO w Polsce i UE obejmowały wzmożoną kontrolę zgodności z zasadami przetwarzania danych, szczególnie w kontekście rozwoju nowych technologii i sztucznej inteligencji, które zwiększają ryzyko naruszenia prywatności.
Istotnym aspektem było także zwiększenie świadomości w zakresie praw osób fizycznych, takich jak prawo do bycia zapomnianym. Zmiana ta zaowocowała większą liczbą wniosków od obywateli oraz obowiązkiem organizacji dostosowania swoich systemów do obsługi tych żądań.
Ponadto, organy ochrony danych w całej UE prowadziły intensywniejsze działania kontrolne, nakładając znaczące kary za naruszenia przepisów RODO, co podkreśliło konieczność wzmocnienia wewnętrznych polityk i procedur zgodności w organizacjach.
Akt o sztucznej inteligencji
W kontekście sztucznej inteligencji warto zwrócić uwagę na unijne rozporządzenie nazywane Aktem o sztucznej inteligencji (AI Act).
Jakkolwiek samo stosowanie tej regulacji zostało odsunięte w czasie do 2 sierpnia 2026 r., to Rozdział I (Przepisy ogólne) oraz Rozdział II (Zakazane praktyki) stosować się będą już od 2 lutego 2025 r. W związku z tym, niewątpliwie rok 2025 będzie ważnym etapem dla przedsiębiorców w implementowaniu rozwiązań mających na celu spełnienie obowiązków wynikających z Aktu o sztucznej inteligencji.
Przedsiębiorcy z branży IT, którzy opracowują własne rozwiązania wykorzystujące technologię sztucznej inteligencji zostaną obwarowani szeregiem wymogów dokumentacyjnych, w tym m.in.: opracowania:
- dokumentacji technicznej,
- dokumentacji testów w warunkach rzeczywistych,
- deklaracji zgodności.
Istotnym zagadnieniem o charakterze prawnym będzie klasyfikacja systemów pod kątem spełniania odpowiednich kryteriów określonych w Akcie o sztucznej inteligencji, np. czy model AI ogólnego przeznaczenia ma zdolności lub oddziaływanie równoważne z tymi, które określono w art. 51 ust. 1 lit. a) i b) lub czy model spełnia kryteria wysokiego ryzyka.
Akt o sztucznej inteligencji dotyczy nie tylko dostawców, ale również podmioty stosujące systemy AI. Nakłada na nich obowiązki z zakresu przejrzystości – a zatem konieczności informowania o stosowaniu odnośnych technologii.
Naturalnie, wzorem wypracowanych już unijnych standardów, za brak zgodności z AI Act przewidziano cały wachlarz sankcji, w tym kary pieniężne.
Czy należy spodziewać się interakcji Aktu o sztucznej inteligencji z regulacjami wprowadzonymi na gruncie RODO? Z pewnością! Europejska Rada Ochrony Danych Osobowych (EROD) wydała już nawet opinię, która adresuje pojawiające się zagadnienia, w tym kwestię:
- anonimowości modeli sztucznej inteligencji,
- stosowanie odpowiednich podstaw prawnych do przetwarzania danych osobowych w związku z rozwojem (development) i uruchamianiem (deployment) systemów sztucznej inteligencji,
- a także konsekwencji naruszeń w tym zakresie.
Akt o usługach cyfrowych
Digital Services Act (DSA), czyli Akt o Usługach Cyfrowych, to unijne rozporządzenie mające na celu uregulowanie funkcjonowania platform cyfrowych w Europie. Choć jego główny cel dotyczy ochrony użytkowników i transparentności w środowisku cyfrowym, wprowadza również szereg obowiązków, które pośrednio wpływają na ochronę danych osobowych.
Podstawowym zagadnieniem z tego zakresu jest przejrzystość reklam ukierunkowanych (targetowanie reklam). Ciekawym pod tym względem jest zakaz kierunkowania reklam opartych na profilowaniu zgodnie z wykorzystaniem szczególnych kategorii danych osobowych w rozumieniu RODO. Choć katalog szczególnych kategorii danych osobowych został enumeratywnie określony w RODO, postępująca interpretacja tego pojęcia przez TSUE będzie stopniowo rozszerzać zakres zakazu na coraz szersze obszary tematyczne.
Szczególna ochrona małoletnich zagwarantowana przez DSA będzie wymagała wprowadzenia odpowiednich mechanizmów przez dostawców platform internetowych, co wpłynie na obowiązki wynikające z RODO. Co więcej, DSA wprost zakazuje profilowania reklam z wykorzystaniem danych osobowych użytkowników małoletnich, co stanowi istotną ingerencję w mechanizmy targetowania reklam.
Rozwiązania wprowadzone przez DSA z dużą dozą prawdopodobieństwa wpłyną na sposób funkcjonowania całej branży marketingu internetowego.
Akt w sprawie danych
Akt w sprawie danych (Data Act) to unijna propozycja legislacyjna mająca na celu uregulowanie dostępu, udostępniania i wykorzystania danych w Unii Europejskiej. Jego głównym celem jest umożliwienie sprawiedliwego podziału wartości generowanej przez dane pomiędzy przedsiębiorstwa, konsumentów i administrację publiczną, wspierając jednocześnie innowacje i konkurencyjność gospodarki cyfrowej. Rozporządzenie stosować się będzie od dnia 12 września 2025 r.
Data Act obejmuje dane osobowe i nieosobowe, o ile są generowane w ramach użytkowania produktów lub usług opartych na technologii IoT. Data Act w istotny sposób wpływa na zarządzanie danymi osobowymi i nieosobowymi, mimo że jego głównym celem jest uregulowanie wykorzystania danych generowanych przez urządzenia IoT i inne systemy. Jego przepisy są komplementarne wobec RODO, które pozostaje kluczowym aktem prawnym regulującym ochronę danych osobowych.
Nowością wprowadzoną przez Akt w sprawie danych jest określenie kto ma prawo dostępu do danych (zarówno osobowych, jak i nieosobowych) i jakie warunki muszą być spełnione przy ich udostępnianiu. Gdy dane osobowe są udostępniane w ramach Data Act, muszą być przetwarzane zgodnie z zasadami RODO, takimi jak zgoda użytkownika, przejrzystość i celowość przetwarzania. Data Act rozszerza ochronę na dane nieosobowe, które nie są objęte RODO, ale mogą być krytyczne z punktu widzenia prywatności (np. dane dotyczące urządzeń IoT używanych w domu).
W przypadku technologii i urządzeń IoT rozróżnienie między danymi osobowymi a danymi nieosobowymi może nastręczać problemów, co będzie stanowić wyzwanie dla podmiotów zobowiązanych na gruncie Aktu w sprawie danych. Dla przedsiębiorców znajdujących się w kręgu adresatów Data Act oznaczać to będzie konieczność dostosowania praktyk udostępniania danych do zasad minimalizacji i anonimizacji oraz rozwijania narzędzi umożliwiających łatwe zarządzanie dostępem do danych i ich wymianą zgodnie z przepisami.
Gotowy na zmiany w 2025?
Dynamicznie zmieniające się otoczenie prawne stanowi wyzwanie dla przedsiębiorców, którym stawiane są coraz to nowe obowiązki, wymuszając zmianę sposobu funkcjonowania, modelu biznesowego czy zasad obsługi klienta. Wspierając przedsiębiorców w tych złożonych zadaniach jako doradcy prawni zawsze staramy się szukać rozwiązań optymalnych regulacyjnie i biznesowo. W celu współpracy, zapraszamy do kontaktu.
Skontaktuj się z nami

65-071 Zielona Góra +48 61 853 56 48kancelaria@dudkowiak.com