Łotewski Państwowy Inspektorat Danych publikuje raport za rok 2025: Regulacje AI i egzekwowanie przepisów w centrum uwagi

W miarę jak krajobraz cyfrowy przesuwa się z tradycyjnego przetwarzania danych w stronę złożonego świata zautomatyzowanego podejmowania decyzji, łotewski Państwowy Inspektorat Danych (DVI) opublikował swój kompleksowy roczny raport z działalności za rok 2025. Dokument ten przedstawia obraz organu regulacyjnego w okresie transformacji — takiego, który równoważy swoją tradycyjną rolę strażnika RODO z nowymi obowiązkami głównego nadzorcy unijnego aktu o sztucznej inteligencji (AI Act).

Dla firm działających w krajach bałtyckich raport ten służy jako coś więcej niż tylko retrospekcja; jest to mapa drogowa dla zapewnienia zgodności w erze, w której ochrona danych i odpowiedzialność algorytmiczna stają się nierozłączne. Przeprowadzenie blisko tysiąca inspekcji w ciągu ostatniego roku sygnalizuje, że era „miękkiego egzekwowania” przepisów przez DVI definitywnie odeszła w przeszłość.

Egzekwowanie w liczbach: Podejście celowane

W 2025 roku DVI wykazał znaczący wzrost aktywności nadzorczej. Organ przeprowadził łącznie 991 kontroli przetwarzania danych osobowych. Choć liczba ta odzwierciedla szeroki zasięg działań, wyniki sugerują skoncentrowaną strategię egzekwowania, a nie działania przypadkowe. Spośród blisko tysiąca kontroli, DVI zidentyfikował 178 konkretnych naruszeń.

Być może bardziej wymowne jest zastosowanie 49 środków naprawczych. Środki te często obejmują formalne ostrzeżenia, nakazy doprowadzenia operacji przetwarzania do stanu zgodności z przepisami lub nałożenie tymczasowych bądź ostatecznych ograniczeń w przetwarzaniu. Dla organizacji różnica między liczbą naruszeń a liczbą środków naprawczych sugeruje, że DVI pozostaje otwarty na dialog, często pozwalając firmom na naprawienie drobnych problemów, zanim przerodzą się one w formalne sankcje. Jednak 178 naruszeń stanowi wyraźne przypomnienie, że DVI skutecznie identyfikuje systemowe błędy w zarządzaniu danymi.

Granica AI: Nowy mandat DVI

Jednym z najważniejszych wydarzeń opisanych w raporcie za rok 2025 jest formalne wyznaczenie DVI jako łotewskiego organu nadzorczego w zakresie ochrony danych osobowych na mocy unijnego aktu o sztucznej inteligencji. Ruch ten wpisuje Łotwę w szerszy europejski trend centralizacji nadzoru cyfrowego w ramach istniejących struktur ochrony danych.

Logika stojąca za tym wyznaczeniem jest jasna: większość systemów AI wysokiego ryzyka — niezależnie od tego, czy są wykorzystywane w rekrutacji, ocenie zdolności kredytowej czy egzekwowaniu prawa — opiera się w dużej mierze na przetwarzaniu danych osobowych. Umieszczając nadzór nad AI pod parasolem DVI, łotewski rząd dąży do zapewnienia, że podstawowe prawa chronione przez RODO nie zostaną osłabione przez nieprzejrzystość modeli uczenia maszynowego.

Dla deweloperów technologii oznacza to, że zgodność z przepisami dotyczącymi AI nie jest już oddzielną dziedziną. DVI prawdopodobnie będzie oceniać systemy AI przez pryzmat „prywatności w fazie projektowania” (privacy by design), dbając o to, by minimalizacja danych i przejrzystość były wpisane w algorytmy od pierwszej linii kodu.

Edukacja i czynnik ludzki

Uznając, że sama regulacja nie zabezpieczy ekosystemu cyfrowego, DVI w 2025 roku zainwestował znaczne środki w kapitał ludzki. Główny nacisk położono na młodsze pokolenie, które często porusza się w świecie cyfrowym z wysoką biegłością techniczną, ale niską świadomością ryzyka. DVI dotarł do 30 szkół na całej Łotwie z ukierunkowaną kampanią edukacyjną, mającą na celu nauczenie uczniów o śladach cyfrowych, zgodzie oraz długofalowych skutkach udostępniania danych.

Poza edukacją młodzieży, DVI zajął się sektorem zawodowym, organizując trzy egzaminy kwalifikacyjne na Inspektora Ochrony Danych (IOD). Wraz ze wzrostem zapotrzebowania na wykwalifikowanych IOD — napędzanym zarówno przez RODO, jak i nowe wymogi aktu o AI — DVI pozycjonuje się jako strażnik standardów zawodowych w regionie.

Globalna współpraca w gospodarce bez granic

Dane nie zatrzymują się na granicy Łotwy, podobnie jak praca DVI. Raport za rok 2025 podkreśla wzrost współpracy międzynarodowej, w szczególności z organami szwedzkimi i rumuńskimi. Partnerstwa te często obejmują wspólne dochodzenia w sprawie transgranicznego transferu danych oraz wymianę najlepszych praktyk w zakresie regulacji międzynarodowych platform technologicznych.

Ponadto DVI kontynuował aktywny udział w spotkaniach państw bałtyckich. Ta regionalna współpraca jest kluczowa dla tworzenia zharmonizowanego środowiska regulacyjnego w Estonii, na Łotwie i Litwie, co czyni region bałtycki bardziej przewidywalnym i stabilnym rynkiem dla inwestycji międzynarodowych.

Patrząc w przyszłość: 11 priorytetów na rok 2026

Raport kończy się strategią wybiegającą w przyszłość, nakreślającą 11 kluczowych priorytetów na rok 2026. Cele te sugerują, że agencja przygotowuje się na większe obciążenie pracą i bardziej złożone wyzwania techniczne. Kluczowe priorytety obejmują:

• Budowanie potencjału: Zwiększenie wiedzy technicznej personelu w celu obsługi audytów AI i złożonej informatyki śledczej w przypadku naruszeń danych.
• Rozwój regulacji: Pomoc w tworzeniu krajowych aktów prawnych, które wypełnią lukę między prawem łotewskim a nowymi cyfrowymi regulacjami UE.
• Świadomość społeczna: Wyjście poza szkoły w celu promowania umiejętności ochrony danych wśród ogółu społeczeństwa i seniorów.

Praktyczne wnioski dla organizacji

W oparciu o wyniki DVI za rok 2025 i cele na rok 2026, organizacje powinny podjąć następujące kroki, aby pozostać w zgodzie z regulatorem:

1. Przeprowadź audyt systemów AI już teraz: Jeśli używasz zautomatyzowanych narzędzi do podejmowania decyzji, natychmiast oceń je pod kątem standardów unijnego aktu o AI. DVI będzie zwracać uwagę na przejrzystość i dokładność danych.
2. Zweryfikuj kwalifikacje IOD: Upewnij się, że Twój Inspektor Ochrony Danych posiada nie tylko certyfikat, ale jest również na bieżąco z najnowszymi wytycznymi DVI i precedensami międzynarodowymi.
3. Dokumentuj wszystko: Wysoka liczba inspekcji w 2025 roku sugeruje, że posiadanie jasnej ścieżki dokumentacji działań związanych z przetwarzaniem danych jest najlepszą obroną podczas rutynowej kontroli.
4. Priorytetyzuj szkolenia pracowników: Ponieważ DVI koncentruje się na edukacji, prawdopodobnie będzie oczekiwać od firm posiadania solidnych wewnętrznych programów szkoleniowych dla własnego personelu.

W miarę jak DVI dojrzewa do roli nadzorcy AI, przesłanie na rok 2026 jest jasne: zgodność nie jest już jednorazową listą kontrolną, lecz ciągłym procesem technicznego i etycznego doskonalenia.

Źródła

• Datu valsts inspekcija (DVI) Official Website
• European Union AI Act Official Text
• Latvian Ministry of Justice - Data Protection Reports
• European Data Protection Board (EDPB) - National Reports