Cyfrowa transformacja a obowiązki prawne firm

Dynamiczny rozwój technologii, automatyzacja procesów, migracja do chmury oraz rosnące wykorzystanie sztucznej inteligencji powodują, że cyfrowa transformacja musi wiązać się ze ścisłym uregulowaniem prawnym. Firmy muszą dostosować swoje procesy do mnogich aktów normatywnych, a dokładniej – do wynikających z nich obowiązków. W szczególności dotyczyć one będą cyberbezpieczeństwa, ochrony danych, elektronicznego obiegu dokumentów czy kwalifikowanego podpisu elektronicznego. Ma to na celu zapewnienie bezpieczeństwa biznesu, które dla każdego przedsiębiorcy stanowić powinno wartość kluczową.

DYREKTYWA NIS2

W pierwszej kolejności warto przyjrzeć się unijnej dyrektywie NIS2 z 2022 roku, której celem jest przeciwdziałanie cyberprzestępczości. Zgodnie jej treścią każdy podmiot uznany za kluczowy lub ważny musi zadbać o wdrożenie adekwatnych środków technicznych, operacyjnych i organizacyjnych. Ponadto muszą być one należycie dostosowane do specyfiki jego działalności.

Zgodnie z treścią dyrektywy podmioty nią objęte powinny przede wszystkim zapewnić: prowadzenie analiz ryzyka i tworzenie polityk bezpieczeństwa systemów IT, procedury obsługi incydentów oraz utrzymania ciągłości działania. Firmy muszą zadbać o bezpieczeństwo łańcucha dostaw oraz kontrolować, czy ich dostawcy i usługodawcy spełniają odpowiednie standardy. Wymagane jest także bezpieczne projektowanie, rozwój i utrzymanie systemów informatycznych, reagowanie na podatności oraz regularne sprawdzanie skuteczności stosowanych zabezpieczeń. Dyrektywa podkreśla również znaczenie podstawowych zasad cyberhigieny, szkoleń pracowników, właściwego zarządzania dostępami, ochrony zasobów ludzkich oraz stosowania kryptografii i szyfrowania. W razie potrzeby firmy powinny korzystać z uwierzytelniania wieloskładnikowego oraz zabezpieczonych form komunikacji, zarówno na co dzień, jak i w sytuacjach nadzwyczajnych.

Jak widać, wymagania są liczne i złożone, a jednocześnie niedopełnienie obowiązków może skutkować dotkliwymi karami administracyjnymi sięgającymi nawet kilku milionów euro. Dyrektywa przewiduje także osobistą odpowiedzialność członków zarządu.

AI ACT

Kolejnym kluczowym aktem prawnym w obszarze cyberbezpieczeństwa jest AI Act (Akt o Sztucznej Inteligencji), który wszedł w życie 1 sierpnia 2024 roku, który wyznacza nowe standardy korzystania z rozwiązań opartych na sztucznej inteligencji w firmach. Definiuje on system AI jako maszynowy system działający z różnym poziomem autonomii, zdolny do adaptacji po wdrożeniu i generujący na podstawie danych wejściowych wyniki — takie jak predykcje, treści, rekomendacje czy decyzje — mogące oddziaływać na środowisko fizyczne lub wirtualne. Tak szeroka definicja sprawia, że regulacją objętych jest wiele narzędzi wykorzystywanych dziś w biznesie.

Centralnym elementem AI Act jest obowiązek identyfikowania i klasyfikowania systemów AI według poziomu ryzyka. Rozporządzenie wyróżnia cztery kategorie: systemy niedopuszczalne (zakazane), wysokiego ryzyka, ograniczonego ryzyka oraz minimalnego ryzyka. Od właściwej klasyfikacji zależeć będzie zakres obowiązków nakładanych na przedsiębiorcę.

W katalogu systemów niedopuszczalnych znajdują się:

  1. systemy sztucznej inteligencji wykorzystujące techniki podprogowe lub celowo manipulujące, lub wprowadzające w błąd;
  2. systemy sztucznej inteligencji wykorzystujące słabe punkty osoby lub określonej grupy osób;
  3. systemy oceny społecznej;
  4. systemy sztucznej inteligencji przeznaczone do oceny ryzyka w odniesieniu do prawdopodobieństwa przestępstwa;
  5. bazy danych rozpoznawania twarzy;
  6. rozpoznawanie emocji w miejscach pracy i instytucjach edukacyjnych;
  7. systemy kategoryzacji biometrycznej;
  8. zdalne systemy identyfikacji biometrycznej „w czasie rzeczywistym” w publicznie dostępnych przestrzeniach do celów egzekwowania prawa.

AI Act wymusza również podniesienie standardów zarządzania technologią. Firmy korzystające z zaawansowanych systemów AI muszą opracować i wdrożyć kompleksowe polityki odpowiedzialnego korzystania z AI, procedury reagowania na incydenty algorytmiczne oraz mechanizmy zapewniające zgodność z regulacjami na każdym etapie życia systemu. Choć obowiązki są znaczące, to ich realizacja ma prowadzić do większego bezpieczeństwa technologicznego firmy, co stanowi przejaw coraz bardziej dojrzałego podejścia do wykorzystania sztucznej inteligencji.

RODO

Mówiąc o bezpiecznej cyfryzacji, nie można pominąć ochrony danych osobowych. Choć RODO obowiązuje już od 2018 roku, wciąż pozostaje jednym z najważniejszych filarów regulujących sposób, w jaki firmy podchodzą do cyberbezpieczeństwa i zarządzania informacjami. Rozporządzenie określa zasady przetwarzania danych osobowych, a także nakłada obowiązek wdrożenia skutecznych środków technicznych i organizacyjnych chroniących dane przed nieuprawnionym dostępem, utratą czy manipulacją. Liczne obowiązki dodatkowo rozszerzyła ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa.

Aby spełnić wymogi RODO i zapewnić odpowiedni poziom ochrony, firmy powinny inwestować w regularne audyty bezpieczeństwa, które pozwalają wykryć słabe punkty w systemach; w nowoczesne technologie, takie jak szyfrowanie, firewalle czy systemy wykrywania intruzów; oraz w jasne i spójne polityki bezpieczeństwa.

Kluczowe znaczenie mają też zasady wynikające wprost z RODO: przejrzystość przetwarzania danych; obowiązek informowania użytkowników o tym, jakie dane są zbierane i dlaczego; prawo dostępu i „prawo do bycia zapomnianym”; a także wymóg stosowania środków ochrony adekwatnych do poziomu ryzyka. Te elementy są nieodłącznym elementem odpowiedzialnej cyfryzacji.

EOD I KWALIFIKOWANY PODPIS ELEKTRONICZNY

Warto także zwrócić uwagę na nadchodzące zmiany legislacyjne, które dodatkowo przyspieszają cyfryzację. Od 1 stycznia 2026 roku w Polsce zaczną obowiązywać nowe przepisy dotyczące zarządzania dokumentacją w administracji publicznej. Nakładają one na wszystkie urzędy obowiązek wdrożenia systemu Elektronicznej Zintegrowanej Dokumentacji (EZD), który ma zrewolucjonizować sposób pracy z dokumentami w sektorze publicznym. Zmiana ta będzie znacząca także dla współpracujących z administracją podmiotów prywatnych, ponieważ i one będą musiały dostosować swoje procesy elektronicznego obiegu dokumentów (EOD) do nowych standardów. Ponieważ w firmowych systemach obiegu dokumentów przetwarzane są liczne istotne, a nierzadko także poufne informacje, zapewnienie wysokiego poziomu bezpieczeństwa jest absolutnym priorytetem. Dotyczy to zarówno zabezpieczeń technicznych, jak i rozwiązań organizacyjnych, które regulują sposób pracy z dokumentami.

Warto jednak podjąć organizacyjny trud i przeznaczyć środki na wdrożenie EOD ze względu na korzyści, jakie oferuje on dla firmy. Obejmują one chociażby automatyzację obiegu dokumentów i zadań, sprawny przepływ dokumentacji między użytkownikami, korzystanie z wewnętrznej poczty elektronicznej, OCR (optyczne rozpoznawanie znaków) czy podpisy elektroniczne.

Podpis kwalifikowany pełni podwójną funkcję: po pierwsze, chroni integralność dokumentu, gwarantując, że po jego podpisaniu nie został on w żaden sposób zmieniony; po drugie, pozwala jednoznacznie zidentyfikować osobę, która dokonała podpisu, co znacząco ogranicza ryzyko fałszerstw, nadużyć czy sporów dotyczących autentyczności dokumentów.

W obliczu rosnącej kreatywności cyberprzestępców podpis kwalifikowany jest znacznie trudniejszy do sfałszowania niż podpis odręczny. Wynika to z zaawansowanych zabezpieczeń i procedur kryptograficznych, które musiałby obejść potencjalny sprawca, aby podszyć się pod podpisującą osobę. W ten sposób kwalifikowany podpis elektroniczny staje się fundamentem bezpiecznej i wiarygodnej cyfryzacji dokumentów w firmach.

Podsumowanie

Podsumowując, cyfryzacja firm niesie ze sobą zarówno nowe możliwości, jak i liczne obowiązki prawne. Firmy, które chcą działać sprawnie i bezpiecznie, muszą zadbać o odpowiednie procedury, ochronę danych i zgodność z regulacjami takimi jak RODO czy AI Act. W takich sytuacjach nieocenione jest wsparcie profesjonalistów, którzy pomagają uporządkować procesy i zapewniają bezpieczeństwo prawne – na przykład w ramach obsługi prawnej dla firm w Katowicach, gdzie doświadczenie i wiedza prawników ułatwiają sprawne wdrożenie rozwiązań cyfrowych.