Ikonka home dla okruszków Aktualności
photo
06.12.2024

Finał cyklu seminariów ZUS i UODO

28 listopada 2024 r. odbyło się ostatnie – i zarazem największe – spotkanie w ramach cyklu czterech wydarzeń, związanych z tematyką ochrony danych osobowych, jakie w tym roku zorganizował Zakład Ubezpieczeń Społecznych we współpracy z Urzędem Ochrony Danych Osobowych. Konferencja „Wyzwania związane z ochroną danych osobowych. Spojrzenie z perspektywy 2024 roku” stanowiła doskonalą okazję do zaakcentowania kluczowych zmian, jakie zaszły w prawodawstwie, w obszarze ochrony danych osobowych w ostatnim czasie.

Inspiracją do serii spotkań UODO z ZUS były liczne pytania dot. przetwarzania danych osobowych, jakie stawiano obydwu instytucjom. To właśnie na tej podstawie zrodził się pomysł tematów, które zostały poruszone podczas zrealizowanych wspólnie wydarzeń. Chodziło też o wymianę doświadczeń w zakresie prawidłowego i bezpiecznego przetwarzania danych osobowych, tak aby zagadnienia związane z tym obszarem wiedzy były zrozumiałe nie tylko dla specjalistów.

Wykłady i dyskusje, zorganizowane w ramach cyklu spotkań, zostały bardzo dobrze przyjęte, zarówno przez środowisko ekspertów, zajmujących się tematyką ochrony danych osobowych, jaki i przez obywateli, np. użytkowników Infolinii UODO.

Współpraca ZUS i UODO

Cykl debat rozpoczęliśmy 19 czerwca 2024 r. we Wrocławiu, seminarium „Przetwarzanie danych przez ZUS i płatników składek w związku z realizacją ustawowych obowiązków. Praktyczne aspekty”. Kolejnym wydarzeniem było „Wdrożenie ustawy o sygnalistach oraz ochrona danych osobowych w miejscu pracy” 16 września 2024 r. w Gdańsku. Trzecie seminarium „Czas wyzwań – projektowanie systemów AI oraz wdrożenie NIS2 w organizacji” miało miejsce 9 października 2024 r. w Chorzowie. Konferencja „Wyzwania związane z ochroną danych osobowych. Spojrzenie z perspektywy 2024 roku” z 28 listopada 2024 r. w Warszawie zamknęła sesję wspólnych spotkań UODO z ZUS.

Nowe regulacje prawne

– Dzisiaj ochrona danych w kontekście nowych technologii i przetwarzania danych jest czymś oczywistym. Zmian jest wyjątkowo dużo. Fala nowych przepisów, która przede wszystkim w systemie prawnym UE została przyjęta i która nas, jako państwo członkowskie, zaczyna obowiązywać, wymaga bardzo wielu wysiłków na różnym poziomie. To wysiłek legislacyjny, to wysiłek podmiotów zobowiązanych, wysiłek interpretacyjny. Dlatego te poglądy, doktryny, które kształtują późniejszą działalność instytucji, także organu nadzorczego, mają niezwykle istotne znaczenie – tymi słowami prezes UODO, Mirosław Wróblewski otworzył konferencję „Wyzwania związane z ochroną danych osobowych. Spojrzenie z perspektywy 2024 r.”. Jak zaznaczył, zmiany odnoszą się również do zadań nałożonych przez nowe regulacje na UODO, takie jak wyzwania związane z wdrożeniem DGA (Data Governance Act) czy AI Act.

Podczas wydarzenia skoncentrowano się na tym, jakie zadania stoją przed polskim organem nadzorczym w związku z postępującym rozwojem technologicznym oraz koniecznością wprowadzenia nowych regulacji prawnych Unii Europejskiej.

Wiodącym tematem było znaczenie nowych przepisów, takich jak AI Act czy dyrektywa NIS2, oraz ich wpływ na codzienną praktykę w administracji publicznej i pracę inspektorów ochrony danych (IOD).

Najważniejsze zmiany w systemie prawnym w 2024 roku z perspektywy ochrony danych osobowych

Jak zauważono, wpływ tzw. „tsunami legislacyjnego”, czyli licznych regulacji unijnych, na codzienną praktykę ochrony danych jest niebagatelny. Stawia przed organami nowe wyzwania interpretacyjne, które wiążą się ze znaczącymi konsekwencjami dla instytucji i przedsiębiorstw.

Wskazano, że nowe unijne regulacje, takie jak Akt o Zarządzaniu Danymi – Data Governance Act (DGA) czy Akt o Danych – Data Act (DA), wymagają przełożenia na prawo krajowe, co często rodzi pytania o zachowanie balansu między ochroną praw jednostki a efektywnością przepisów. Takie problemy pojawiają się np. przy ochronie sygnalistów czy w przypadku AI. Zadaniem UODO jest m.in. sprawdzenie, czy projekty aktów prawnych są zgodne z poszanowaniem praw podstawowych.

Zwrócono uwagę na wyzwania związane z ustawą o ochronie sygnalistów i wpływie tej regulacji na rynek pracy. Trudności powoduje m.in. brak spójnych przepisów o grupach kapitałowych oraz implementacją systemów AI w miejscach pracy. Na gruncie prawa pracy pojawia się konieczność zapewnienia, by nie dochodziło do naruszenia praw pracowniczych. Aspekty AI nie powinny przy tym przysłaniać innych kwestii, takich jak ochrona sygnalistów, m.in. w zakresie zgłoszeń zewnętrznych czy kwestia monitoringu w zakładzie pracy, gdzie przepisy kodeksu pracy wymagają zmian.

Etyka to podstawa

Podkreślono znaczenie etyki w zarządzaniu danymi i wskazano na potrzebę zrozumienia technologicznych aspektów systemów AI przez inspektorów ochrony danych (IOD). Jednocześnie zaznaczono, że kwestie organizacyjne i techniczne muszą być oparte o pewne postawy etyczne, ujęte w tzw. systemy Corporate Social Responsibility (CSR) czy Economic Social Governance (ESG).

Konsekwencje nowych aktów prawnych

Prelegenci zastanawiali się nad potencjalnymi zagrożeniami związanymi z wykorzystywaniem AI w administracji publicznej, zaznaczając, że za każdym systemem AI stoi człowiek, który go stworzył, a rozwój i innowacje wymagają akceptacji pewnego ryzyka. Zaakcentowali konieczność wprowadzenia jasnych regulacji, zwłaszcza w kontekście decyzji administracyjnych podejmowanych na podstawie algorytmów – np. gdy algorytm typuje do kontroli lub blokuje dostęp do konta. W czasie spotkania wskazano również na konieczność kontynuowania dyskusji nad tym, kiedy, na jakich zasadach i z jakimi prawami algorytm może działać w granicach państwa.

W trakcie dyskusji powołano się na Komisję Europejską, która w Europejskiej Strategii Danych w 2020 r. zwróciła uwagę, że całe środowisko informacyjne człowieka tworzy infosferę z danymi osobowymi i nieosobowymi. Mamy już DGA i DA, które dotyczą bardzo różnych kwestii związanych z obrotem danymi. Oprócz tego Komisja Europejska zamierza uregulować branżowe przestrzenie danych, tak jak to zrobiła w przypadku EHDS (European Health Data Space – Europejskiej Przestrzeni Danych Dotyczących Zdrowia).Kolejnym regulacjom będą podlegać rynki finansowe, mobilność, administracja publiczna, transport. Cele tych regulacji to przede wszystkim wzmocnienie pozycji prawnej osób, których dane dotyczą oraz zwiększenie obrotu danymi.

Skomplikowany system

Z punktu widzenia instytucjonalnego będzie to skomplikowany system, który przyniesie wyzwania także dla UODO: podmiotom danych trzeba będzie wytłumaczyć ich nowe prawa, a administratorom jak mają wypełniać obowiązki. Wskazano, że projekty nowych aktów wdrażających niekonieczne uproszczą obowiązujący system.

Od 2025 roku skutki tych aktów prawnych odczują podmioty prywatne i instytucje. Choć nowe regulacje prawne nie naruszają RODO, w niektórych miejscach modyfikują konstrukcje znane z rozporządzenia, wprowadzając dodatkowe środki prawne, uzupełniają je. W związku z tymi zmianami konieczne będzie podnoszenie kwalifikacji IOD-ów.

Prelegenci wykazali, że należy zastanowić się nad celami poszczególnych aktów prawnych, tak by sprecyzować, czy i w jakim zakresie dany akt stosuje się do danego podmiotu.

Nowa rola IOD

Jak zaznaczyli uczestnicy dyskusji, nie udało się wprowadzić w Polsce jednolitego standardu kontroli na gruncie nowych aktów prawnych. Istotnym momentem będzie pojawienie się nowych regulatorów – w przypadku większości aktów prawnych będzie to bowiem więcej niż jeden regulator na rynku. W konsekwencji wejdzie w życie wiele aktów, a za nadzór nad ich przestrzeganiem będą odpowiedzialne różne organy, co nie będzie łatwe w stosowaniu.

Rola IOD-ów staje się coraz bardziej złożona, a ich zadania obejmą nie tylko zgodność z RODO, ale także nowe obowiązki wynikające z aktów takich jak NIS2 i AI Act. Wzrośnie zapotrzebowanie na specjalistyczną wiedzę i umiejętności, zwłaszcza w obszarze zarządzania ryzykiem związanym ze sztuczną inteligencją i cyberbezpieczeństwem.

Technologia AI – szanse i ryzyka

Paneliści dyskutowali na temat zastosowania sztucznej inteligencji w instytucjach publicznych, etyki i zgodności z prawem oraz przyszłości AI w kontekście regulacji. Podkreślono, że użytkownicy AI muszą być świadomi wpływu swoich działań na bezpieczeństwo danych.

Eksperci z ZUS-u wskazali, że Zakład Ubezpieczeń Społecznych traktuje AI jako narzędzie wspierające, nie zastępujące pracowników. Zapewnili, że algorytmy nie będą podejmować decyzji o zdolności do pracy, lecz wspierać ludzi w ich podejmowaniu. Przedstawili również konieczność oznaczania treści generowanych przez AI oraz zgodności systemów z zasadami etyki. Jak podkreślono,  organizacje stosujące normy ISO mają większe szanse na wdrażanie AI w sposób spójny i bezpieczny.

Zwrócono także uwagę na problem reidentyfikacji danych podczas trenowania systemów AI. Systemy te powinny być tworzone z zachowaniem zasad minimalizacji przetwarzania danych oraz z uwzględnieniem odpowiednich środków zabezpieczających.

Zaznaczono, że rozwój AI to nie tylko szansa gospodarcza, ale także konieczność, jeśli Polska chce być konkurencyjna na arenie międzynarodowej. Problemem pozostaje jednak brak odpowiednich kadr i środowiska wspierającego rozwój technologii.

Czynnikiem decydującym o stosowaniu AI musi być prowadzenie analizy ryzyka na każdym etapie tworzenia systemów AI. Prawidłowe zarządzanie danymi w systemach AI wymaga też uwzględnienia zasad minimalizacji i retencji danych.

Tak więc, choć sztuczna inteligencja może stać się kluczowym narzędziem rozwoju organizacji, to jej wdrożenie musi odbywać się z poszanowaniem zasad etyki, zgodności z prawem oraz z odpowiedzialną oceną ryzyka.

Podsumowanie

Eksperci podkreślili, że dane osobowe są obecnie jednym z najważniejszych zasobów zarówno z perspektywy gospodarczej, jak i społecznej, co wiąże się z ogromna odpowiedzialnością podmiotów, które sprawują nad nimi pieczę. Bezpieczeństwo danych to podstawowy element budowy zaufania obywateli do instytucji.

Kluczowe wyzwania, przed którymi stoimy, to przede wszystkim:

  • rozwój standardów oceny skutków dla ochrony prywatności;
  • szeroko rozumiana edukacja: społeczeństwa, pracowników, IOD w zakresie nowych technologii;
  • inwestycje w kadry i stałe podnoszenie ich kompetencji;
  • otwarcie na współpracę między regulatorami, by uniknąć dublowania kompetencji.

2024 rok to czas intensywnych przygotowań do implementacji nowych regulacji, a ich skutki będą odczuwalne w kolejnych latach.

Pozostałe wydarzenia z cyklu:

„Przetwarzanie danych przez ZUS i płatników składek w związku z realizacją ustawowych obowiązków. Praktyczne aspekty”, 19 czerwca 2024 r., Wrocław.

W trakcie spotkania poruszono zagadnienia dotyczące kształtowania statusu podmiotów prowadzących rejestry publiczne i związane z tym konsekwencje, a także obowiązki. Omówiono temat wykorzystania sztucznej inteligencji w procesie kontroli płatników składek oraz wszelkie dylematy, które się z tym wiążą, odnoszące się do ochrony danych osobowych.  

 „Wdrożenie ustawy o sygnalistach oraz ochrona danych osobowych w miejscu pracy”, 16 września 2024 r., Gdańsk.

Podczas seminarium prelegenci zgłębili temat procedury zgłoszeń wewnętrznych i działań następczych – zgodnych z RODO, opowiedzieli o ryzykach naruszenia praw i wolności osób w procesie zgłaszania naruszeń prawa, a także przybliżyli słuchaczom kwestię wdrożenia zasad ochrony danych osobowych w przetwarzaniu danych o sygnalistach. Poruszony został również wątek dopuszczalności stosowania przez pracodawców testów psychometrycznych. Nie zabrakło dyskusji dotyczącej interpretacji przepisów ustawy.

„Czas wyzwań – projektowanie systemów AI oraz wdrożenie NIS2 w organizacji”, 9 października 2024 r.,Chorzów.

Podczas wydarzenia rozmawiano o obowiązkach administratorów danych w kontekście projektowania systemów sztucznej inteligencji (AI) oraz dostosowania organizacji w zakresie cyberbezpieczeństwa do wymogów dyrektywy NIS2. Seminarium było okazją do zaprezentowania możliwości i sposobów wykorzystania AI w administracji publicznej i innych instytucjach.

 

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2024-12-06
Wprowadził informację:
user Karolina Jastalska
date 2024-12-06 10:12:48
Ostatnio modyfikował:
user Karolina Jastalska
date 2024-12-06 13:05:23

Galeria zdjęć

Zdjęcie przedstawiające Annę Dudkowską, dyr. Departamentu Współpracy Międzynarodowej i Edukacji UODO oraz Karola Witowskiego, dyr. Departamentu Komunikacji Społecznej UODO. Zdjęcie przedstawiające Annę Dudkowską, dyr. Departamentu Współpracy Międzynarodowej i Edukacji UODO oraz Karola Witowskiego, dyr. Departamentu Komunikacji Społecznej UODO. Zdjęcie przedstawiające Artura Klepackiego, dyr. Departamentu Informatyki UODO. Zdjęcie przedstawiające prelegentów konferencji ZUS w trakcie dyskusji. Zdjęcie przedstawiające prelegentów konferencji ZUS w trakcie dyskusji. Zdjęcie przedstawiające prelegentów konferencji ZUS w trakcie dyskusji. Zdjęcie przedstawiające prelegentów konferencji ZUS w trakcie dyskusji. Zdjęcie przedstawiające prelegentów konferencji ZUS w trakcie dyskusji. Zdjęcie przedstawiające prelegentów konferencji ZUS w trakcie dyskusji. Zdjęcie przedstawiające prelegentów konferencji ZUS w trakcie dyskusji. W tle licznie zgromadzona, siedząca na krzesłach publiczność/ Zdjęcie przedstawiające Mirosława Wróblewskiego, prezesa UODO, rozmawiającego z Dominiką Doerre - Kolasa, radczynią prawną i członkinią Społecznego Zespołu Ekspertów przy prezesie UODO. Zdjęcie grupowe przedstawiające uczestników konferencji ZUS.