Bezpieczeństwo informacji i RODO – 8 tematów, o których warto pamiętać na przełomie roku
Koniec roku to dobry moment, aby zweryfikować realizację wymaganych działań z obszaru bezpieczeństwa informacji i ochrony danych osobowych oraz przygotować się na kolejny okres.
Aby w tym pomóc przygotowaliśmy checklistę 8 najważniejszych zagadnień, na które warto zwrócić uwagę, aby świadomie zaplanować nadchodzący rok.
1. Dane osobowe w ZFŚS – obowiązkowy przegląd minimum 1 raz w roku
Każdy pracodawca, u którego funkcjonuje Zakładowy Fundusz Świadczeń Socjalnych, jest zobowiązany co najmniej raz w roku dokonać przeglądu dokumentacji zawierającej dane osobowe, zgromadzonej na jego potrzeby. Ci, którzy nie przeprowadzili tego jeszcze w bieżącym roku – mają czas tylko do końca grudnia.
2. Poradnik dotyczący naruszeń ochrony danych osobowych – nowe wskazówki Prezesa UODO
W 2025 r. Prezes UODO opublikował zaktualizowany poradnik dotyczący naruszeń ochrony danych osobowych. Dokument zawiera m.in. nowe zasady dotyczące reagowania na naruszenia (w tym zgłaszania ich Prezesowi UODO) oraz rekomendowane metody przeprowadzania oceny ryzyka.
Koniec roku to dobry moment dla administratorów danych, aby zapoznać się z aktualnymi wytycznymi, zaktualizować dokumentację dotyczącą zarządzania naruszeniami oraz dostosować działania do wymagań UODO.
3. Data Act – nowe przepisy dla branży IoT
Przepisy Data Act, w tym wymogi dla dostawców usług przetwarzania danych (np. w modelu SaaS), obowiązują od 12 września 2025 r. Oznacza to, że przedsiębiorcy powinni być już w pełni gotowi na stosowanie tych regulacji oraz zapewnienie zgodności procesów z zasadami Data Act i RODO.
Data Act zobowiązuje dostawców do przekazania użytkownikowi jasnych i rzetelnych informacji o danych, jakie generuje produkt, jeszcze przed zawarciem umowy. Odbiorca usługi musi mieć realną możliwość korzystania ze swoich praw dotyczących tych danych.
Jeśli organizacja nie zastosuje się do wymogów Data Act, może się mierzyć z sankcjami od organów nadzorczych oraz stratami wizerunkowymi.
4. AI Act – nowe przepisy dotyczące sztucznej inteligencji
AI Act dotyczy większości organizacji. Tych, które tworzą systemy AI, oraz tych, które jedynie z nich korzystają. Część regulacji AI Act jest już w mocy – pierwsze obowiązki pojawiły się w 2025 r., w tym m.in. konieczność zapewnienia pracownikom niezbędnych kompetencji w zakresie AI, aby mogli prawidłowo wykonywać swoje zadania.
Od 2 sierpnia 2026 r. zaczną obowiązywać kolejne przepisy AI Act . Każda organizacja powinna zidentyfikować wykorzystywane systemy AI, określić zakres ich stosowania oraz wpływ przepisów AI Act na bieżące funkcjonowanie, aby zapewnić pełną zgodność z regulacją.
5. Dyrektywa NIS 2 – nowe obowiązki dla przedsiębiorców
Rok 2026 może okazać się przełomowy dla obszaru cyberbezpieczeństwa w Polsce, ponieważ to wtedy spodziewamy się wejścia w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), która wdroży dyrektywę NIS 2.
Nowe przepisy obejmą szeroki zakres podmiotów, w tym wiele organizacji, które dotychczas nie podlegały takim obowiązkom. Wprowadzą również dodatkowe wymagania dotyczące zarządzania ryzykiem, zgłaszania incydentów oraz nadzoru nad bezpieczeństwem informacji.
Dlatego dla organizacji istotne będzie:
- ocenienie, czy podlega pod nowe obowiązki,
- zgłoszenie do rejestru podmiotów kluczowych lub ważnych,
- wdrożenie w organizacji systemu zarządzania cyberbezpieczeństwem.
6. Digital Omnibus Package – propozycja zmian w prawie cyfrowym
Komisja Europejska opublikowała niedawno Digital Omnibus Package, która zakłada m.in. nowelizację przepisów RODO. Dotyczy ona obszarów, które często budzą wątpliwości administratorów:
- definicji danych osobowych i pseudonimizacji,
- podstaw prawnych przetwarzania danych szczególnej kategorii,
- prawa dostępu do danych i realizacji obowiązku informacyjnego czy zgłaszania naruszeń ochrony danych.
Planowane zmiany mają zwiększyć konkurencyjność krajów UE, zmniejszyć obciążenie regulacyjne przedsiębiorstw oraz zagwarantować wysoki poziom ochrony praw podstawowych.
Nie znamy jeszcze ostatecznego kształtu nowych przepisów, ale wiele wskazuje, że 2026 rok przyniesie spore zmiany w obowiązkach z zakresu ochrony danych osobowych.
7. Kontrola zwolnień lekarskich w 2026 r.
Przepisy umożliwią niektórym płatnikom składek kontrolowanie zasadności zwolnień lekarskich, co wiąże się z przetwarzaniem danych szczególnej kategorii. W 2026 r. najprawdopodobniej zaczną obowiązywać nowe regulacje - kontrola zwolnień lekarskich będzie musiała być przeprowadzana z poszanowaniem prywatności, a z jej przebiegu zostanie sporządzony protokół.
Dlatego należy pamiętać o kwestiach związanych z ochroną danych osobowych, w tym o:
- przeprowadzeniu analizy ryzyka,
- ewentualnej ocenie skutków dla ochrony danych (DPIA),
- nadaniu upoważnień do przetwarzania danych osobowych osobom przeprowadzającym kontrolę w imieniu pracodawcy.
W przypadku zlecenia kontroli podmiotowi zewnętrznemu, niezbędne jest powierzenie przetwarzania danych osobowych. Z tym wiąże się konieczność weryfikacji podmiotu przetwarzającego oraz zawarcie umowy powierzenia przetwarzania danych osobowych.
8. KSeF – nowa rzeczywistość dla danych księgowych
Rok 2026 przyniesie zmiany w zakresie danych księgowych – zaczną obowiązywać nowe przepisy wymagające stosowania Krajowego Systemu e-Faktur. Z perspektywy bezpieczeństwa informacji i ochrony danych osobowych ważne jest, aby przed rozpoczęciem korzystania z KSeF:
- zweryfikować aktualność upoważnień do przetwarzania danych osobowych oraz system gradacji dostępu,
- w razie potrzeby zaktualizować rejestr czynności przetwarzania,
- przeprowadzić lub zaktualizować analizę ryzyka – z uwzględnieniem nowego narzędzia KSeF,
- w przypadku korzystania z usług zewnętrznych dostawców (np. programy lub nakładki zapewniające integrację z KSeF) – przeprowadzić weryfikację podmiotu przetwarzającego oraz zawrzeć umowę powierzenia przetwarzania danych osobowych.
Przy tej okazji warto również zmapować obieg dokumentów w organizacji lub w ramach grupy kapitałowej oraz zabezpieczyć kwestie dotyczące transferu danych osobowych.
Od lat wspieramy przedsiębiorców w zakresie bezpieczeństwa informacji i RODO. W razie pytań związanych z przedstawionymi zagadnieniami – zapraszamy do kontaktu z naszym zespołem.
Bezpłatny webinar
Bezpieczeństwo informacji – podsumowanie 2025 i wyzwania na 2026 rok | 15 stycznia w godz. 10:00-12:00
