BLOG

Dowiedz się co jest naprawdę ważne.

RODO / GDPR – Czym żył sektor ochrony danych osobowych (ODO) w 2024 roku oraz jakie są przewidywania na rok 2025?

rodo, gdpr, odo, dane osobowe, auraco, 2025

RODO / GDPR – Czym żył sektor ochrony danych osobowych w 2024 roku oraz jakie są przewidywania na rok 2025?

RODO / GDPR – Czym żył sektor ochrony danych osobowych (ODO) w 2024 roku oraz jakie są przewidywania na rok 2025?

Rok 2024 był dla ochrony danych osobowych okresem pełnym wyzwań, dynamicznych zmian regulacyjnych oraz technologicznych innowacji. W poniższym artykule spróbuję podsumować najważniejsze wydarzenia i trendy, które kształtowały ten sektor, a także przewidzieć, co czeka nas w 2025 roku.

Rola Inspektora Ochrony Danych (IOD)

Początek 2024 roku poświęcony był debacie na temat roli i zadań Inspektora Ochrony Danych. Już na początku roku opublikowane zostało sprawozdanie w ramach skoordynowanego egzekwowania prawa (Coordinated Enforcement Framework – CEF) oraz sprawozdania krajowe przygotowane przez poszczególne organy nadzorcze dotyczące wyznaczenia i pozycji IOD. Zapoczątkowało to długą i burzliwą debatę na temat roli IOD w organizacji. 9 kwietnia 2024 odbyła się konferencja „Niezależność inspektora ochrony danych w świetle skoordynowanego działania EROD CEF DPO”. Istotą sporu jest przyjęcie jednej z rywalizujących ze sobą koncepcji – IOD jako niezależnego strażnika zgodności z przepisami, pełniącego funkcję doradczą i nadzorczą, oraz aktywnego IOD, wspierającego organizację w realizowaniu na nią założonych zadań. Podstawowymi zagadnieniami, które były omawiane w ramach debaty było: obciążanie inspektorów obowiązkami administratora, zawieranie umowy powierzenia pomiędzy administratorem a IOD, a także udzielanie IOD pełnomocnictwa do reprezentowania administratora w sprawach z zakresu ochrony danych osobowych. Pomimo intensywnych rozmów i wielu deklaracji wydaje się, że temat nie został wyczerpany i nie należy się szybko spodziewać jego rozstrzygnięcia.

Aktywność nowego Prezesa UODO.

Nowa kadencja Prezesa UODO zaowocowała serią spotkań i konsultacji z organizacjami związanymi z branżą ochrony danych osobowych oraz organizacjami zrzeszającymi osoby ze środowiska. Pod tym względem marzec był bardzo intensywnym miesiącem, podczas którego PUODO odbył spotkania mi. In. z SABI (Stowarzyszenie Inspektorów Ochrony Danych SABI), SPOD ( Stowarzyszenie Praktyków Ochrony Danych SPOD), ZFODO (Związek Firm Ochrony Danych Osobowych) czy Konfederacją Lewiatan. Samą aktywność i konsultacje należy ocenić pozytywnie, w tym zwrócić uwagę na liczne możliwości zgłaszania indywidualnych uwag np. do projektów poradników. Niemniej w minionym roku nie doczekaliśmy się jeszcze praktycznych efektów prowadzonych współprac. Liczymy, że w 2025 roku zobaczymy pozytywne owoce konsultacji i odniesienie się do bieżących problemów związanych z przetwarzaniem danych osobowych.

Wzmożone ataki hakerskie.

Rok 2024 był kolejnym rokiem który przyniósł rekordową liczbę ataków hakerskich na polskie firmy i organizacje. Zgodnie z przewidywaniami, ilość ataków w porównaniu do roku 2023 miała wzrosnąć o 25%. Zgodnie z komunikatami Ministerstwa Cyfryzacji Polska jest jednym z najczęściej atakowanych w cyberprzestrzeni krajów na świecie. Przykładem był wyciek danych z laboratoriów medycznych czy zakłócenia transmisji podczas Euro 2024. Z uwagi na napiętą sytuację na świecie, jednym z głównych kierunków ataków są elementy infrastruktury krytycznej oraz instytucje państwowe. Niemniej również firmy nie zostają oszczędzone przez działalność cyberprzestępców, co szczególnie mogły odczuć w tym roku organizacje z branży medycznej. Wydaje się, że polskie organizacje powoli dostosowują się do nowej rzeczywistości a poziom świadomości w zakresie cyberbezpieczeństwa wzrasta. Oczywiście nie można w tym zakresie opisać jednoznacznego trendu, bowiem w zależności od rodzaju organizacji czy sektora nadal widać duże nierówności w zakresie poszanowania cyberbezpieczeństwa. Wystarczy przypomnieć w tym zakresie wyniki badań przeprowadzonych na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych, z których wynika, że aż 23 proc. ankietowanych z MŚP, wskazało że przekazuje wrażliwe dane zatrudnionych osób w sposób zupełnie niezabezpieczony.

Sygnaliści

Druga połowa roku 2024 zdecydowanie zdominowana była przez temat związany z obsługą zgłoszeń sygnalistów. Organizacje wdrażające systemy zgłoszeniowe często miały trudności z pogodzeniem wymogów ustawy o sygnalistach z przepisami RODO oraz jak praktycznie zabezpieczyć dane zgłaszających. Problemem było również określenie zasad przetwarzania danych w ramach grup kapitałowych, możliwości outsourcowania przetwarzania danych czy sposobu spełnienia obowiązków informacyjnych. Zapewnienie ograniczonego dostępu do danych wrażliwych zawartych w zgłoszeniach było kolejnym wyzwaniem. Organizacje musiały stworzyć procedury, które minimalizowały ryzyko nieautoryzowanego dostępu, a jednocześnie umożliwiały skuteczne rozpatrywanie zgłoszeń. Ochrona danych osobowych w tym kontekście pozostaje kluczowym wyzwaniem, wymagającym dalszych inwestycji w edukację, technologie i procedury. Rok 2025 może przynieść większą standaryzację i lepsze praktyki w tym obszarze.

NIS 2 i ustawa o Krajowym Systemie Cyberbezpieczeństwa

Rok 2024 był kluczowy dla przygotowań Polski do implementacji Dyrektywy NIS2 (Network and Information Systems Directive). Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC), mająca na celu wdrożenie tej dyrektywy, była na etapie prac legislacyjnych, a termin jej pełnego wprowadzenia przesunięto na 2025 rok. Mimo upływu terminu implementacji Dyrektywy NIS2 (17 października 2024 r.), nowelizacja ustawy nie została jeszcze przyjęta. Proces legislacyjny wciąż trwa, co budziło obawy wśród przedsiębiorców i instytucji publicznych, które czekały na ostateczny kształt przepisów. Dyrektywa NIS2 znacznie rozszerza zakres podmiotów objętych obowiązkami cyberbezpieczeństwa. Dyrektywa NIS2 wprowadza wysokie kary finansowe za brak zgodności z jej wymogami, co ma na celu zwiększenie poziomu cyberbezpieczeństwa w Unii Europejskiej. NIS2 dzieli przedsiębiorców, którzy działają w sektorach krytycznych i których dotyczą obowiązki z zakresu cyberbezpieczeństwa, na podmioty kluczowe i podmioty ważne. Te grupy różnią się poziomem nadzoru, tym w jaki sposób są egzekwowane wymagania z zakresu cyberbezpieczeństwa, oraz wysokością kar. Z pewnością rok 2025 przyniesie regulacje w zakresie UKSC. Rok 2025 będzie również czasem intensywnego dostosowywania się polskich podmiotów do nowych regulacji, co wymusi większe inwestycje w cyberbezpieczeństwo oraz współpracę między sektorem publicznym i prywatnym.

Przegląd kar za naruszenie RODO w Polsce w 2024 roku

W 2024 roku Prezes UODO nałożył kilka istotnych kar za naruszenia przepisów RODO. Tradycyjnie kary były nakładane za takie naruszenia jak: brak poinformowania organu nadzorczego i osób o naruszeniu, brak zastosowała środków technicznych i organizacyjnych odpowiadających ryzyku dla przetwarzanych danych, brak przeprowadzenia prawidłowej analizy ryzyka. Te kary stanowią przypomnienie o znaczeniu zgodności z przepisami RODO, a także o odpowiedzialności za niedopełnienie obowiązków związanych z ochroną danych osobowych. Zgodnie z przewidywaniami, firmy, które zaniedbały przeprowadzanie rzetelnej analizy ryzyka, były narażone w 2024 roku na poważne sankcje. Przewidywania na 2025 rok wskazują, że w Polsce i na całym świecie możemy spodziewać się dalszego zaostrzenia wymogów związanych z ochroną danych osobowych. Oczekuje się, że po wprowadzeniu dyrektywy NIS2 oraz implementacji nowych regulacji dotyczących sztucznej inteligencji, firmy będą musiały dostosować swoje praktyki ochrony danych do bardziej rygorystycznych standardów. Możliwe jest również, że Prezes UODO będzie jeszcze częściej interweniował w przypadkach niewłaściwego przetwarzania danych osobowych, szczególnie w kontekście rosnącej liczby incydentów związanych z cyberatakami, które mają bezpośredni wpływ na bezpieczeństwo danych. Dla przedsiębiorców oznacza to konieczność nie tylko przestrzegania przepisów RODO, ale również wprowadzenia w swoich organizacjach kulturę ochrony danych na każdym etapie działalności.

Źródło:

https://www.rp.pl/biznes/art41120171-polskie-firmy-sa-bombardowane-przez-hakerow-tak-zle-jeszcze-nie-bylo

https://pro.rp.pl/biznes/art41411961-dyrektywa-nis-2-poczatek-nowej-ery-cyberbezpieczenstwa-w-ue