1 dzień temu
Ochrona danych osobowych stała się priorytetem dla liderów i menedżerów przedsiębiorstw od czasu wprowadzenia ogólnego rozporządzenia o ochronie danych (RODO) w maju 2018 r. Możliwość nałożenia wysokich kar pieniężnych w wysokości do 20 mln euro lub 4% globalnego obrotu wystarczyła zarządom i kadrom kierowniczym, aby zapewnić, iż kwestia ta pozostała wysoko na liście priorytetów korporacyjnych.
Od wejścia w życie RODO współczesna gospodarka stała się jeszcze bardziej zależna od przetwarzania danych. W tym krótkim artykule przyjrzymy się kluczowym trendom, na które managerowie powinni zwrócić uwagę w 2026 roku.
Sztuczna inteligencja
Wykorzystanie technologii sztucznej inteligencji (AI) oferuje ogromny potencjał wzrostu produktywności i wydajności. Niedawne badanie przeprowadzone przez PwC wykazało, iż 70% firm planuje zwiększyć swoje budżety na AI do 2026 roku. Wiele z tych narzędzi AI przetwarza dane osobowe i może stwarzać zagrożenia dla prywatności danych w obszarach takich jak przejrzystość i dokładność. „Czarna skrzynka” tej technologii oznacza, iż często nie jest jasne, jakie dane osobowe są przetwarzane i w jaki sposób podjęto konkretne decyzje lub osiągnięto wyniki. Jest to szczególnie istotne w przypadku decyzji, które mogą potencjalnie mieć skutki prawne dla osób fizycznych.
Jednym z najlepszych mechanizmów zapewniających zgodność z RODO jest przeprowadzenie oceny skutków dla ochrony danych (DPIA) dla wszystkich nowego projektu AI, który obejmuje przetwarzanie danych osobowych. RODO wymaga przeprowadzenia DPIA w określonych sytuacjach wysokiego ryzyka; jednak coraz częściej jest ona postrzegana jako narzędzie najlepszych praktyk, które pokazuje przejrzystość i rozliczalność firmy. Jest to zgodne z zasadą ochrony danych w fazie projektowania i domyślnej ochrony danych, zawartą w Rozporządzeniu, i zapewnia, iż prywatność danych jest uwzględniana od samego początku. Co ważne dla firm, przeprowadzenie DPIA często pozwala na wczesną identyfikację ryzyka. Pozwala to na rozważenie opcji minimalizujących ryzyko i może ograniczyć kosztowne opóźnienia i wycofania na późniejszym etapie projektu.
Nowe ustawodawstwo
Jednym z największych wyzwań dla irlandzkich firm w 2026 roku jest radzenie sobie z szeroką gamą nowych i niedawnych przepisów UE. Cyfrowa Dekada UE wprowadziła przepisy w takich obszarach jak sztuczna inteligencja, cyberbezpieczeństwo, odporność operacyjna i zarządzanie danymi. Firmy oraz ich zespoły ds. zgodności i prawne muszą ocenić swoje obowiązki i zrozumieć wzajemne powiązania między tymi przepisami. Na przykład, zarówno ustawa o sztucznej inteligencji, jak i RODO nakładają wymóg „przejrzystości”, jednak w kontekście każdego z tych przepisów może on mieć subtelnie różne znaczenie.
Zarządy i kadra kierownicza wyższego szczebla powinny regularnie oceniać swoje zespoły ds. zgodności z przepisami pod kątem zasobów i kompetencji. Zakres nowych przepisów nakłada na te zespoły znaczne obciążenie. Ryzyko wypalenia zawodowego lub nieefektywnego zarządzania jest znaczne. MŚP i mikroprzedsiębiorstwa, które zwykle polegają na niewielkiej grupie kadry kierowniczej wyższego szczebla, powinny rozważyć skorzystanie z pomocy ekspertów zewnętrznych w celu uzupełnienia posiadanych kompetencji.
Niepewność regulacyjna
Administracje USA i Wielkiej Brytanii przyjęły inne podejście regulacyjne niż Unia Europejska. Dążyły do zmniejszenia obciążeń administracyjnych firm, aby wspierać innowacyjność i silniejszą kulturę start-upów, szczególnie w obszarach o wysokim wzroście, takich jak sztuczna inteligencja. Dostrzegając to zagrożenie, UE zleciła w 2024 r. sporządzenie raportu Draghiego , aby zidentyfikować sposoby poprawy konkurencyjności. Jednym z rezultatów jest proponowany „Digital Omnibus” – zestaw środków mających na celu zmniejszenie presji regulacyjnej na mniejsze i średnie organizacje. jeżeli zostanie zatwierdzony, będzie miał wpływ na szereg przepisów UE, w tym na RODO i ustawę o sztucznej inteligencji. Liderzy biznesu powinni uważnie monitorować postępy prac nad „Omnibusem”; jego ukończenie jest mało prawdopodobne przed końcem 2026 r. lub początkiem 2027 r., a w międzyczasie może on ulec istotnym zmianom.
Firmy prowadzące działalność poza UE/EOG muszą również śledzić zmiany w lokalnych przepisach na tych rynkach międzynarodowych. Na przykład brytyjska ustawa o wykorzystaniu i dostępie do danych (Data (Use and Access)) wprowadziła szereg zmian w zakresie ochrony danych, które firmy będą musiały uwzględnić. Na szczęście dla irlandzkich firm prowadzących działalność w tej jurysdykcji, UE niedawno przedłużyła swoją decyzję o adekwatności o kolejne sześć lat, do grudnia 2031 r., uznając, iż Wielka Brytania posiada system ochrony danych zasadniczo równoważny z RODO.
Kary, grzywny i szkody niematerialne
Wprowadzenie RODO wywołało niepewność u wielu firm, które nie były pewne profilu ryzyka dla swojej branży i sektora. Od 2018 roku kary nakładane są na przedsiębiorstwa każdej wielkości. Jednak największe kary i główny cel działań regulacyjnych organów nadzorczych dotyczą przede wszystkim firm technologicznych przetwarzających dane osobowe na bardzo dużą skalę. Irlandzka Komisja Ochrony Danych (Data Protection Commission) jest w awangardzie tej działalności, a grzywna w wysokości 1,2 miliarda euro nałożona na Meta w 2023 roku była najwyższą jak dotąd grzywną nałożoną na mocy rozporządzenia.
RODO wprowadziło również prawo osób fizycznych do dochodzenia odszkodowania za szkodę niematerialną wynikającą z naruszenia Rozporządzenia. Kwoty odszkodowań były dotychczas bardzo niskie. Irlandzki Sąd Najwyższy stwierdził niedawno, iż osoby występujące z takimi roszczeniami nie mogą liczyć na nic innego niż bardzo skromne odszkodowanie.
Potencjalna odpowiedzialność dyrektorów
Unijne organy nadzorcze skrytykowały niedociągnięcia kadry kierowniczej wyższego szczebla w zakresie nadzoru nad prywatnością danych. W 2024 roku holenderski organ ogłosił, iż bada, czy dyrektorzy Clearview AI mogą ponosić osobistą odpowiedzialność za naruszenia RODO. Niedawny wyrok Sądu Najwyższego uznał dyrektora za osobiście odpowiedzialnego za naruszenie ustaw o ochronie danych osobowych z 1988 i 2003 roku. Zarządy i kadra kierownicza wyższego szczebla powinny uważnie monitorować rozwój sytuacji w tym obszarze.
