Coraz więcej zgłoszeń dotyczy użycia nowoczesnych technologii oraz niebezpieczeństw, które niosą one dla prywatności użytkowników. Jak zaznacza Mirosław Wróblewski, przewodniczący Urzędu Ochrony Danych Osobowych, te kwestie stają się bardziej skomplikowane i wymykają się regulacjom prawnym zarówno krajowym, jak i europejskim. Przykładem mogą być nadużycia powiązane z deepfake’ami. Dlatego, w opinii eksperta, niezbędne są uregulowania, które umożliwią skuteczne zwalczanie tego fenomenu.
– Należy oczekiwać wzrostu zażaleń związanych z użyciem nowoczesnych technologii. Dostrzegamy to już obecnie. Co więcej, wpływa do nas więcej zażaleń bardzo zawiłych, dotyczących wykorzystania takich nowoczesnych technologii, które nawet nie do końca są rozpoznane, np. biometrii, szyfrowania, a więc innych zabezpieczeń powiązanych z ochroną danych osobowych. Tych wyzwań jest coraz więcej – informuje agencję Newseria Mirosław Wróblewski. – Potrzebna jest wiedza techniczna oraz wzmacnianie zasobów Urzędu Ochrony Danych Osobowych, ponieważ te wyzwania już nie są jedynie prawne, ale także techniczne, technologiczne czy etyczne.
Jednym z obszarów, który potrzebuje większej uwagi w kontekście zagrożeń dla ochrony danych osobowych i wizerunku, są deepfake’i. W ocenie prezesa UODO dziś zarówno prawo polskie, jak i europejskie nie dostarcza narzędzi do batalii z tym zjawiskiem i zabezpieczenia przed skutkami nadużyć.
– Potwierdza to jedna ze spraw, w których interweniowałem. Mowa o wykorzystaniu wizerunku uczennicy do stworzenia wizerunku nagiej osoby i rozpowszechnianie go w szkole oraz wśród znajomych – wspomina Mirosław Wróblewski.
Przewodniczący UODO na początku czerwca 2025 roku w tej sprawie powiadomił policję o możliwości popełnienia przestępstwa. Zaznaczył, że postępowanie kolegów nie tylko drastycznie naruszyło prywatność 15-latki, ale też zagroziło naruszeniem jej podstawowych interesów życiowych w przyszłości. Istnieje bowiem duże prawdopodobieństwo możliwości jej identyfikacji. Policja odmówiła jednak rozpoczęcia dochodzenia, co następnie zostało zatwierdzone przez prokuraturę. Uznano m.in., że fotografia nie została uzyskana z chronionego zbioru danych, a jego obrobienie nie stanowi przetwarzania danych osobowych. Przewodniczący UODO interweniował w tej sprawie u Prokuratora Generalnego i ostatecznie w styczniu br. prokuratura poinformowała o ponownym podjęciu sprawy.
– To sprawa bardzo krzywdząca dla tej dziewczyny. Teoretyczne dywagacje, że istnieją przepisy, które pozwalają na ściganie takich niegodnych zachowań, dowodzą tego, że konieczne są tego typu rozwiązania. We Włoszech i Francji wprowadzono rozwiązania, które mają na celu skuteczniejszą obronę naszego wizerunku i walkę z technologiami, które wykorzystywane w niewłaściwy sposób mogą krzywdzić ludzi. Takie rozwiązania prawne potrzebne są także w Polsce – podkreśla Mirosław Wróblewski.
Włosi wprowadzili prawo, które definiuje przestępstwo polegające na nielegalnym szerzeniu sfałszowanych lub zmodyfikowanych treści cyfrowych wygenerowanych z użyciem sztucznej inteligencji. Ustalili również odpowiedzialność cywilną i karną za te nadużycia. Według UODO szansą na zmianę sytuacji w Polsce jest ponowne podjęcie prac nad przepisami mającymi wdrożyć unijny Akt o usługach cyfrowych (DSA), po niedawnym wecie prezydenta. Chodzi o implementację rozwiązań, które systemowo uregulują kwestie powiązane z przeciwdziałaniem i ochroną obywateli przed negatywnymi konsekwencjami tej technologii – zarówno na płaszczyźnie administracyjnej, karnej i skarbowej karnej, jak i sądowej.
Stanowisko Komisji Europejskiej i sprawa Groka
– Akt o sztucznej inteligencji w przepisie art. 50 nakazuje oznaczanie wizerunków czy materiałów, treści syntetycznych, wytworzonych z użyciem algorytmów sztucznej inteligencji. Ale to za mało, ponieważ, po pierwsze, ten przepis nie ma pełnego zastosowania do każdej sytuacji, a po drugie, pomysły ludzi na wykorzystanie technologii wymykają się tym definicjom albo te rozwiązania są zbyt nieskuteczne – oznajmia prezesa UODO. – Na poziomie Unii Europejskiej rozpoczęła się debata na temat potrzeby rozwiązań do zwalczania negatywnych zachowań powiązanych z wykorzystywaniem deepfake’ów czy fenomenu deep porn. Chociaż wiemy, że istnieją także inne przepisy, które mogą być do tego wykorzystywane: Komisja Europejska wszczęła postępowanie przeciwko Grokowi za używanie aplikacji tego typu. Zobaczymy, czy przyniosą one oczekiwany efekt.
Komisja Europejska 26 stycznia br. wszczęła kolejne postępowanie przeciwko platformie X na podstawie DSA, by zbadać, czy serwis społecznościowy poprawnie ocenił i zminimalizował ryzyko powiązane z wdrożeniem Groka, czyli chatbota sztucznej inteligencji, na terenie Unii Europejskiej. Mowa między innymi o kolportowaniu zmanipulowanych obrazów o charakterze seksualnym, w tym takich, które mogą ukazywać wykorzystywanie dzieci.
Jak wynika z raportu WeProtect „Global Threat Assessment 2025” i danych CyberTipline, czyli scentralizowanego systemu zgłaszania przypadków wykorzystywania dzieci w internecie, to zjawisko niebezpiecznie przybiera na sile. Między 2023 a 2024 rokiem system zarejestrował wzrost o 1325 proc. liczby zgłoszeń powiązanych z generatywną sztuczną inteligencją. Zagrożeń jest jednak dużo więcej i są one wielowymiarowe.
– Bardzo ważnym niebezpieczeństwem ze strony sztucznej inteligencji jest to, że wiele z systemów zostało wytrenowanych na podstawie analizy danych, które wcześniej wprowadziliśmy do sieci internetowej. Nie spodziewaliśmy się tego, że będą one potem wykorzystane do innych celów niż te, dla których je umieściliśmy. Dlatego trzeba się upewnić, że te systemy nie ujawniają naszych danych, że ryzyko ich udostępnienia jest znikome, a dostawcy systemów robią wszystko, żeby zagwarantować ochronę naszej prywatności. Temu służy chociażby opinia Europejskiej Rady Ochrony Danych Osobowych wypracowana z udziałem Urzędu Ochrony Danych Osobowych – mówi Mirosław Wróblewski.
Użycie danych osobowych przez AI
Mowa o opinii EROD w kwestii użycia danych osobowych do tworzenia i wdrażania modeli sztucznej inteligencji, która została przyjęta w grudniu 2024 roku. Zawiera ona zbiór kryteriów, które wspomagają organom ochrony danych ocenić, czy osoby fizyczne mogą w sposób uzasadniony oczekiwać określonego wykorzystania ich danych osobowych. Mowa m.in. o tym, czy dane te były publicznie dostępne, jaki był związek z administratorem, jaki był charakter usługi oraz kontekst, w jakim dane osobowe zostały zebrane. Do kryteriów należy również to, z jakiego źródła dane zostały zebrane, a także kwestia tego, czy osoby fizyczne są świadome dostępności ich danych osobowych online.
– Są także inne niebezpieczeństwa, na które UODO będzie reagować. Na przykład te powiązane z dyskryminacją, a więc z przetwarzaniem danych osobowych w sposób naruszający prywatność. To są także niebezpieczeństwa powiązane z halucynacjami. Wiemy, że systemy sztucznej inteligencji często przetwarzają dane osobowe i podają rezultaty w taki sposób, który wprowadza ludzi w błąd, manipuluje czy dezinformuje – wyjaśnia prezes UODO.
Z badania opublikowanego przez UODO „Raport Strategiczny – Badanie potrzeb organizacji w zakresie wykorzystania sztucznej inteligencji i ochrony danych osobowych” wynika, że według 41 proc. spośród prawie 500 organizacji opracowywanie AI nie wiąże się u nich z przetwarzaniem danych osobowych lub nie potrafią one ocenić tej kwestii. Poziom świadomości na ten temat jest silnie zróżnicowany w zależności od wielkości i typu organizacji. Największe braki występują u podmiotów, które tradycyjnie przetwarzają dużą ilość danych osobowych: samorządy, uczelnie i ośrodki edukacyjne, zdrowie, kultura, a także u mniejszych przedsiębiorców. Wielu przedsiębiorców deklaruje znajomość obowiązków powiązanych z RODO, jednak rzeczywista zgodność z przepisami jest trudna do osiągnięcia, a obawy dotyczące bezpieczeństwa danych są jednym z głównych powodów niewdrażania AI.