UODO: skarg na nowe technologie będzie coraz więcej
Rośnie liczba skarg dotyczących wykorzystania nowych technologii i związanych z nimi zagrożeń dla prywatności użytkowników. Jak wskazuje Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych, sprawy te są coraz bardziej złożone i wymykają się przepisom prawnym zarówno krajowym, jak i unijnym. Przykładem mogą być nadużycia związane z deepfake’ami. Dlatego, zdaniem eksperta, potrzebne są regulacje, które pozwolą skutecznie walczyć z tym zjawiskiem.
– Należy się spodziewać wzrostu skarg związanych z wykorzystaniem nowych technologii. Widzimy to już obecnie. Co więcej, wpływa do nas więcej skarg bardzo skomplikowanych, dotyczących zastosowania takich nowych technologii, które nawet nie do końca są rozpoznane, np. biometrii, szyfrowania, a więc innych zabezpieczeń związanych z ochroną danych osobowych. Tych wyzwań jest coraz więcej – mówi agencji Newseria Mirosław Wróblewski. – Potrzebna jest wiedza techniczna i wzmacnianie zasobów Urzędu Ochrony Danych Osobowych, ponieważ te wyzwania już nie są wyłącznie prawne, ale też techniczne, technologiczne czy etyczne.
Jednym z obszarów, który wymaga większej uwagi w kontekście zagrożeń dla ochrony danych osobowych i wizerunku, są deepfaki. Zdaniem prezesa UODO dziś zarówno prawo polskie, jak i unijne nie daje narzędzi do walki z tym zjawiskiem i ochrony przed konsekwencjami nadużyć.
– Dowodzi tego jedna ze spraw, w których podejmowałem interwencję. Chodziło o wykorzystanie wizerunku uczennicy do wytworzenia wizerunku nagiej osoby i kolportowanie go w szkole i wśród znajomych – przypomina Mirosław Wróblewski.
Prezes UODO na początku czerwca 2025 roku w tej sprawie zawiadomił policję o możliwości popełnienia przestępstwa. Podkreślił, że postępowanie kolegów nie tylko drastycznie naruszyło prywatność 15-latki, ale też zagroziło naruszeniem jej elementarnych interesów życiowych w przyszłości. Istnieje bowiem wysokie prawdopodobieństwo możliwości jej identyfikacji. Policja odmówiła jednak wszczęcia postępowania, co później zostało zatwierdzone przez prokuraturę. Uznano m.in., że zdjęcie nie zostało pozyskane z chronionego zbioru danych, a jego przerobienie nie stanowi przetwarzania danych osobowych. Prezes UODO interweniował w tej sprawie u Prokuratora Generalnego i ostatecznie w styczniu br. prokuratura poinformowała o ponownym podjęciu sprawy.
– To sprawa bardzo krzywdząca dla tej dziewczyny. Teoretyczne rozważania, że istnieją przepisy, które pozwalają na ściganie takich niegodnych zachowań, dowodzą tego, że potrzebne są tego typu rozwiązania. We Włoszech i Francji przyjęto rozwiązania, które mają na celu skuteczniejszą ochronę naszego wizerunku i walkę z technologiami, które wykorzystywane w niewłaściwy sposób mogą krzywdzić ludzi. Takie rozwiązania prawne potrzebne są także w Polsce – podkreśla Mirosław Wróblewski.
Włosi wprowadzili prawo, które definiuje przestępstwo polegające na nielegalnym rozpowszechnianiu sfałszowanych lub zmodyfikowanych treści cyfrowych wygenerowanych z wykorzystaniem sztucznej inteligencji. Określili także odpowiedzialność cywilną i karną za te nadużycia. Według UODO szansą na zmianę sytuacji w Polsce jest ponowne podjęcie prac nad przepisami mającymi wdrożyć unijny Akt o usługach cyfrowych (DSA), po niedawnym wecie prezydenta. Chodzi o wdrożenie rozwiązań, które systemowo uregulują kwestie związane z przeciwdziałaniem i ochroną obywateli przed negatywnymi skutkami tej technologii – zarówno na płaszczyźnie administracyjnej, karnej i skarbowej karnej, jak i sądowej.
– Akt o sztucznej inteligencji w przepisie art. 50 nakazuje oznakowywanie wizerunków czy materiałów, treści syntetycznych, wytworzonych z użyciem algorytmów sztucznej inteligencji. Ale to za mało, ponieważ, po pierwsze, ten przepis nie ma pełnego zastosowania do każdej sytuacji, a po drugie, pomysły ludzi na wykorzystanie technologii wymykają się tym definicjom albo te rozwiązania są zbyt nieskuteczne – mówi prezesa UODO. – Na poziomie Unii Europejskiej rozpoczęła się dyskusja na temat potrzeby rozwiązań do zwalczania negatywnych zachowań związanych z wykorzystywaniem deepfake’ów czy zjawiska deep porn. Chociaż wiemy, że istnieją także inne przepisy, które mogą być do tego wykorzystywane: Komisja Europejska wszczęła postępowanie przeciwko Grokowi za stosowanie aplikacji tego typu. Zobaczymy, czy przyniosą one oczekiwany rezultat.
Komisja Europejska 26 stycznia br. wszczęła nowe postępowanie przeciwko platformie X na podstawie DSA, by zbadać, czy serwis społecznościowy prawidłowo ocenił i zminimalizował ryzyko związane z wdrożeniem Groka, czyli chatbota sztucznej inteligencji, na terenie Unii Europejskiej. Mowa między innymi o rozpowszechnianiu zmanipulowanych obrazów o charakterze seksualnym, w tym takich, które mogą przedstawiać wykorzystywanie dzieci.
Jak wynika z raportu WeProtect „Global Threat Assessment 2025” i danych CyberTipline, czyli scentralizowanego systemu zgłaszania przypadków wykorzystywania dzieci w internecie, to zjawisko niebezpiecznie nabiera na sile. Między 2023 a 2024 rokiem system odnotował wzrost o 1325 proc. liczby zgłoszeń związanych z generatywną sztuczną inteligencją. Zagrożeń jest jednak dużo więcej i są one wielowymiarowe.
– Bardzo istotnym zagrożeniem ze strony sztucznej inteligencji jest to, że wiele z systemów zostało wytrenowanych na podstawie analizy danych, które wcześniej wprowadziliśmy do sieci internetowej. Nie spodziewaliśmy się tego, że będą one potem wykorzystane do innych celów niż te, dla których je zamieściliśmy. Dlatego trzeba się upewnić, że te systemy nie ujawniają naszych danych, że ryzyko ich udostępnienia jest znikome, a dostawcy systemów robią wszystko, aby zapewnić ochronę naszej prywatności. Temu służy chociażby opinia Europejskiej Rady Ochrony Danych Osobowych wypracowana z udziałem Urzędu Ochrony Danych Osobowych – mówi Mirosław Wróblewski.
Chodzi o opinię EROD w sprawie wykorzystywania danych osobowych do opracowywania i wdrażania modeli sztucznej inteligencji, która została przyjęta w grudniu 2024 roku. Zawiera ona zestaw kryteriów, które pomagają organom ochrony danych ocenić, czy osoby fizyczne mogą w sposób uzasadniony oczekiwać określonego wykorzystania ich danych osobowych. Mowa m.in. o tym, czy dane te były publicznie dostępne, jaka była relacja z administratorem, jaki był charakter usługi oraz kontekst, w którym dane osobowe zostały zebrane. Do kryteriów należy również to, z jakiego źródła dane zostały zebrane, a także kwestia tego, czy osoby fizyczne są świadome dostępności ich danych osobowych online.
– Są także inne zagrożenia, na które UODO będzie reagować. Na przykład te związane z dyskryminacją, a więc z przetwarzaniem danych osobowych w sposób naruszający prywatność. To są także zagrożenia związane z halucynacjami. Wiemy, że systemy sztucznej inteligencji często przetwarzają dane osobowe i podają wyniki w taki sposób, który wprowadza ludzi w błąd, manipuluje czy dezinformuje – tłumaczy prezes UODO.
Z badania opublikowanego przez UODO „Raport Strategiczny – Badanie potrzeb organizacji w zakresie wykorzystania sztucznej inteligencji i ochrony danych osobowych” wynika, że według 41 proc. spośród prawie 500 organizacji opracowywanie AI nie wiąże się u nich z przetwarzaniem danych osobowych lub nie potrafią one ocenić tej kwestii. Poziom świadomości na ten temat jest silnie zróżnicowany w zależności od wielkości i typu organizacji. Największe luki występują u podmiotów, które tradycyjnie przetwarzają dużą ilość danych osobowych: samorządy, uczelnie i ośrodki edukacyjne, zdrowie, kultura, a także u mniejszych przedsiębiorców. Wielu przedsiębiorców deklaruje znajomość obowiązków związanych z RODO, jednak rzeczywista zgodność z przepisami jest trudna do osiągnięcia, a obawy dotyczące bezpieczeństwa danych są jednym z głównych powodów niewdrażania AI.
