Evropska unija in zaščita podatkov: Kaj prinaša leto 2025?
Znanje
• DORA • NIS-2 • KIBERNETSKA VARNOST •
Evropska unija in zaščita podatkov: Kaj prinaša leto 2025?
Evropska unija (EU) je že dolgo vodilna v vzpostavljanju trdnih zakonodajnih okvirjev za zaščito podatkov, zaradi česar je pridobila naziv “Bruseljski učinek” – pojav, v katerem evropski predpisi oblikujejo globalne standarde. Na primer, Splošna uredba o varstvu podatkov (GDPR) je postavila visoke zahteve za zaščito podatkov, ki so navdihnile podobno zakonodajo v več kot 120 državah. Vendar pa EU ne počiva na svojih lovorikah. V tem članku bomo raziskali, kako bodo nedavne spremembe v zakonodaji, kot sta Uredba o umetni inteligenci (AI Act) in Uredba o digitalni operativni odpornosti (DORA), vplivale na prihodnost zasebnosti podatkov in kako se podjetja lahko pripravijo na zakonodajo, ki bo stopila v veljavo leta 2025.
GDPR in AI Act: Povečanje zahtev za zaščito podatkov
Od uvedbe GDPR leta 2018 je ta uredba postala zlati standard za zaščito podatkov. Njene zahteve po preglednosti, odgovornosti in pravicah posameznikov so postavile visoke standarde, ki so vplivali na celoten svet. Vendar pa hitri razvoj umetne inteligence (AI) ni mogel ostati brez pozornosti evropskih zakonodajalcev, zato je bil uveden AI Act, ki je začel veljati avgusta 2024. Ta zakonodaja ureja uporabo sistemov umetne inteligence na podlagi njihovega tveganja za temeljne pravice posameznikov, kot so zdravje, varnost in zasebnost.
AI Act uporablja pristop, temelječ na tveganjih, in prepoveduje uporabo nekaterih visoko tveganych AI aplikacij, kot so družbeni sistemi ocenjevanja in biometrična identifikacija v realnem času na javnih mestih. Za visoko tvegane sisteme AI so predpisane obveznosti, kot so vzpostavitev sistemov za upravljanje tveganj, preglednost, upravljanje podatkov in mehanizmi človeškega nadzora. Podjetja, ki uporabljajo AI, morajo te zahteve uskladiti z obveznostmi GDPR, kar ustvarja dvojni okvir skladnosti, ki zahteva trdne ukrepe za zaščito podatkov in natančno dokumentiranje procesov sistemov AI.
Upravljanje umetne inteligence: Kaj nas čaka?
AI Act vključuje tudi roke za postopno uskladitev, pri čemer najpomembnejši ukrepi stopijo v veljavo do avgusta 2026. Med ključnimi zahtevami so pobude za izobraževanje o umetni inteligenci, ki bodo pomagale uporabnikom in razvijalcem razumeti tveganja in koristi uporabe AI. Predvidene so tudi kodeks prakse za splošno uporabno umetno inteligenco (GPAI), ki bodo dokončane do maja 2025, in uvedba upravljavskih struktur za sisteme AI, ki povzročajo sistemska tveganja, kar vključuje testiranje, ocene tveganja in preučevanje potencialnih napadov.
EU tudi raziskuje dodatna pravila za harmonizacijo postopkov v okviru GDPR, kar bi lahko izboljšalo čezmejno izvrševanje zakonodaje in sodelovanje med organi za varstvo podatkov.
Novi obzorji za upravljanje podatkov: EU Data Act, DORA in NIS2
V letu 2025 stopi v veljavo tudi EU Data Act, ki prinaša nove predpise o dostopu do podatkov, delitvi in prenosljivosti podatkov, zlasti v zvezi s povezanimi napravami in internetom stvari (IoT). Data Act se osredotoča na tako osebne kot neosebne podatke in spodbuja inovacije, hkrati pa ureja poslovne in vladne delitve podatkov. Ključna določila vključujejo zagotavljanje dostopa uporabnikom do njihovih ustvarjenih podatkov, enostaven prenos podatkov med ponudniki storitev in zaščito intelektualne lastnine ter poslovnih skrivnosti podjetij.
Poleg tega bo januarja 2025 začela veljati DORA, uredba, ki zadeva finančni sektor in uvaja celovit okvir za upravljanje tveganj na področju informacijskih in komunikacijskih tehnologij (IKT). Z DORA se uvajajo stroge zahteve za poročanje o incidentih znotraj 24 ur od odkritja, redno testiranje odpornosti in obvladovanje tveganj, povezanih s tretjimi osebami. Za neizpolnjevanje teh zahtev so predvidene visoke kazni, ki lahko dosežejo do 10 milijonov evrov ali 2 % letnega globalnega prihodka podjetja.
Kaj nas čaka pri varovanju podatkov in umetni inteligenci?
Evropska zakonodaja o zasebnosti podatkov se torej hitro razvija in z letom 2025 vstopa v novo obdobje. Za podjetja to pomeni, da morajo aktivno spremljati spremembe in se pripraviti na uskladitev z novimi predpisi, kot so GDPR, AI Act, Data Act in DORA. To vključuje okrepitve v upravljanju podatkov, zagotavljanju transparentnosti in etičnosti pri uporabi umetne inteligence ter skrbnemu preučevanju vseh tveganj, povezanih z obdelavo podatkov.
Za uspešno prilagoditev tem spremembam morajo organizacije razviti celovite strategije, ki vključujejo izobraževanje zaposlenih, posodobitev politik in pogodbenih obveznosti ter redno spremljanje novih zakonodajnih usmeritev EU. Z ustreznim pristopom lahko podjetja ne le izpolnijo zakonodajne zahteve, ampak tudi okrepijo zaupanje svojih uporabnikov in utrdijo svojo konkurenčno prednost v vedno bolj digitaliziranem svetu.