Dwa lata walki o świadomość ochrony danych – z prezesem UODO Mirosławem Wróblewskim rozmawia Karol Witowski

26 stycznia 2024 r. objął Pan stanowisko Prezesa UODO. Jakie osiągnięcia z pierwszej połowy swojej kadencji uważa Pan za kluczowe?

Trudno wyróżnić jedno takie osiągnięcie, ale przede wszystkim jestem zadowolony z tego, że przez ten czas udało nam się zwiększyć świadomość obywateli dotyczącą ochrony danych osobowych i zaufanie do Urzędu Ochrony Danych Osobowych – o czym świadczą też liczby: wzrosła liczba skarg zgłaszanych do Prezesa UODO. Jeszcze w 2023 r. było to niecałe 7 tys., natomiast w 2025 zgłoszono prawie 13 tys. skarg. Podobnie wzrosła liczba zgłaszanych przez administratorów danych naruszeń. W 2023 r. było to ponad 14 tys., a w 2025 r. zgłoszono ponad 22 tys. naruszeń ochrony danych osobowych. Tu znaczenie ma ogólna sytuacja na rynku, a także wypracowanie przejrzystej i jednoznacznej wykładni przepisów RODO, co znalazło swój wyraz w opublikowanym przez Urząd nowym poradniku.

Udało się także polepszyć i wzmocnić komunikację z obywatelami: UODO opublikował w 2025 r. ponad 300 komunikatów o swojej działalności (w porównaniu z rokiem 2023, kiedy było ich około 80). Zwiększyła się również nasza obecność w mediach społecznościowych. Znacznie częściej pisze się także o Urzędzie i o jego aktywnościach oraz ochronie danych osobowych w samych mediach: w 2025 r. było w publikacjach ponad 24 tys. wzmianek o UODO. Ważny jest też fakt, że wspomniane publikacje w ogromnej większości dotyczą spraw merytorycznych i tematów ważnych społecznie. Skierowano również do Urzędu znaczną liczbę zapytań dziennikarskich: prawie 650 w porównaniu np. z rokiem 2023, kiedy było ich ponad 400. To pokazuje skalę naszego działania i rosnącą rolę ochrony danych w życiu społeczno-gospodarczym.

Jedna ze spraw miała wyjątkowy oddźwięk społeczny i poruszała ważne kwestie. Mam na myśli przypadek wygenerowania, za pomocą sztucznej inteligencji, nagich zdjęć dziewczynki. Zrobili to jej koledzy ze szkoły. Sprawa jest skomplikowana, ponieważ organy ścigania odmówiły zajęcia się nią. Wykazał się Pan determinacją i ostatecznie doprowadził do tego, że prokuratura podjęła postępowanie. Czy jest to sprawa, którą postrzega Pan jako szczególnie istotną w kontekście działalności UODO w tym czasie?

Rzeczywiście udało się doprowadzić do tego, że prokuratura na nowo podjęła sprawę dotyczącą wygenerowania oraz upubliczniania nagiego wizerunku uczennicy; to sprawa, w której wcześniej organy ścigania odmówiły wszczęcia postępowania, mimo że zawiadomień do prokuratury było kilka, moje zawiadomienie nie było jedyne. Podjęcie przez prokuraturę czynności jest efektem działań, w których zwracałem uwagę na konieczność kompleksowego zbadania okoliczności zdarzenia oraz zapewnienia skutecznej ochrony praw osoby, której dane dotyczą.

Zresztą ta sprawa ma dla mnie i całego Urzędu wyjątkowy kontekst, bo bezpieczeństwo dzieci i młodzieży i ich ochrona przez niebezpieczeństwami związanymi z wykorzystywaniem nowoczesnych technologii, w tym zwłaszcza sztucznej inteligencji do tworzenia deepfake’ów, jest przedmiotem naszej wyjątkowej troski od początku mojej obecności w UODO.

Dzieci i młodzież nie mają dostatecznej świadomości wagi ochrony danych osobowych, nie przewidują też najczęściej w pełni wszystkich ryzyk, które dotyczą korzystania z internetu. W sprawie wprowadzenia do polskiego prawa przepisów uwzględniających takie zjawiska jak deepfake apelowałem już wielokrotnie, ostatnio nawet na Sejmowej Komisji ds. Dzieci i Młodzieży miałem wystąpienie, a posłowie przyjęli projekt dezyderatu ws. zwiększenia ochrony wizerunku małoletnich w przestrzeni cyfrowej, co dotyczy również takich praktyk w sieci jak sharenting.

Odnoszę wrażenie, że moje apele, a także wszelkie aktywności Urzędu skupiające się na ochronie dzieci i młodzieży odnoszą coraz większy skutek i coraz częściej mówi się o konieczności kompleksowej zmiany polskiego prawa. Ostatnia decyzja prokuratury też pokazuje, że organy ścigania powoli – pod naciskiem rzeczowych argumentów – przestają się wahać i podejmują te sprawy, mimo że nie są one łatwe właśnie z powodu luk w prawie. Wypada mi również podziękować organizacjom, które przez te dwa lata wspierały Urząd w działaniach na rzecz zapewnienia bezpieczeństwa najmłodszym w kontekście ochrony ich danych – np. wspólnie z Fundacją Orange wydaliśmy już wcześniej publikację „Wizerunek dziecka w internecie”. W tych działaniach wspiera nas także Społeczny Zespół Ekspertów przy Prezesie UODO.

Jakie inne sprawy z minionych dwóch lat są w Pana opinii szczególnie istotne?

Z innych ważnych dla ochrony danych kwestii chciałbym wskazać na sprawę, w której nałożyłem na firmę Meta zakaz wyświetlania oszukańczych reklam z wizerunkiem dwóch osób, pana Rafała Brzoski i pani Omeny Mensah. Gigant nie zgadzał się z moimi postanowieniami wydanymi w związku z działaniami oszustów na Facebooku i Instagramie i wystosował do sądu skargi, które jednak wycofał po czterech porażkach w sądzie pierwszej instancji. W związku z tym Wojewódzki Sąd Administracyjny zakończył postępowanie. Ma to donośne znaczenie, bo sprawa ta jest jednym z przykładów niebezpieczeństwa, jakim w ostatnich latach jest praktyka deepfake’ów oraz tzw. clickbaitu. Doceniam to, że Meta w późniejszym okresie nawiązała współpracę i wprowadziła systemowe rozwiązania techniczne dostępne dla każdego, pozwalające na szybsze rozpatrywanie zgłaszanych reklam tego typu, aczkolwiek skuteczność tego mechanizmu nie jest pewna i będzie przez nas monitorowana.

Na uwagę zasługują też wyroki Naczelnego Sądu Administracyjnego w sprawach skargowych, dotyczące przetwarzania danych osobowych niedoszłych lub byłych klientów banków. NSA podtrzymał stanowisko Prezesa UODO, że nie można przetwarzać danych wnioskodawcy o kredyt, jeżeli nie doszło do zawarcia umowy klienta z bankiem; podobnie ewentualne przyszłe roszczenia byłego klienta nie uzasadniają przetwarzania jego danych osobowych przez bank i Biuro Informacji Kredytowej. Ta sprawa miała również szeroki oddźwięk społeczny, bo w bardzo dużej skali dotyczy relacji obywateli z bankami.

Cieszę się też, że już z początkiem mojej kadencji udało mi się zmienić – uwzględniając orzecznictwo TSUE – stanowisko procesowe poprzedniego Prezesa UODO w postępowaniu przed Naczelnym Sądem Administracyjnym w sprawie ze skargi Rzecznika Praw Obywatelskich, dotyczącej przepisów tzw. ustawy kagańcowej nakazującej sędziom i prokuratorom ujawniać przynależność do zrzeszeń, co obejmować mogło także ujawnianie przynależności do kościoła lub związku wyznaniowego. W nowym stanowisku podkreśliłem konieczność ochrony prywatności sędziów i prokuratorów, a NSA przyznał rację zarówno mnie, jak i Rzecznikowi Praw Obywatelskich.

Oczywiście te sprawy przychodzą mi do głowy pierwsze. Równie ważnych było całe mnóstwo, to np. także wiele ważnych i wygranych spraw dotyczących ochrony danych w związku ze stosowaniem monitoringu wizyjnego.

Powołał Pan Społeczny Zespół Ekspertów przy Prezesie UODO. Takich kroków nie podjął nikt wcześniej. Członkowie SZE są bardzo aktywni i zaangażowani. Jak z perspektywy czasu ocenia Pan pracę zespołu?

Społeczny Zespół Ekspertów powołałem w czerwcu 2024 r. Od tego momentu Zespół jest fenomenalnym ciałem doradczym, opiniującym i konsultującym społecznie działania Urzędu. Mapuje także bieżące problemy, które pojawiają się w przestrzeni publicznej, i stara się na nie reagować w sensie głosu eksperckiego. Wspólnie z SZE zorganizowaliśmy już wiele seminariów, konferencji i webinariów, podczas których omawiamy i wyjaśniamy palące kwestie dotyczące ochrony danych. Ostatnio takim tematem jest również sztuczna inteligencja – w obrębie SZE powołaliśmy oddzielną grupę, które zajmuje się tą tematyką.

Pragnę podkreślić, że praca Prezesa UODO, wspieranego przez dwóch znakomitych zastępców, dyrektorów, naczelników i innych ekspertów Urzędu, jest pracą zespołową. Kraje członkowskie tworząc organ ochrony danych, mogły decydować, czy tworzyć instytucje kolektywne (np. komisje), czy organy monokratyczne. W Polsce mamy organ jednoosobowy i wydaje mi się istotne, aby oprócz wsparcia urzędowego mógł on konsultować kierunki działań oraz wyjątkowo ważne obszary, jak np. styk ochrony danych z nowymi technologiami, z przedstawicielami różnych środowisk oraz ekspertami prawnymi i technicznymi.

Często mówi się o tym, że UODO w roku 2025 nałożył finansowe kary administracyjne w rekordowej kwocie ponad 64 mln zł. Niektórzy kojarzą Urząd właśnie z takich działań…

Kary finansowe nigdy nie są celem samym w sobie, nie stanową misji UODO. Organ nadzorczy nakłada je tylko wtedy, gdy nie widzi już innego narzędzia, by zmobilizować instytucję, firmę czy organizację do odpowiednich działań w obszarze ochrony danych. To najczęściej przypadki najpoważniejszych zaniedbań procedur bezpieczeństwa i braku analizy ryzyka. A wysokość łączna kar w roku 2025 wynika z tego, że kilka z nich zostało nałożonych na bardzo duże podmioty – a trzeba pamiętać, że kwoty kar są proporcjonalne do możliwości danego podmiotu. Samych kar było 32 – o kilka więcej niż we wcześniejszych latach – a zatem tym bardziej trzeba zwracać uwagę na wielkość podmiotów. Fundamentem misji UODO jest jednak zwiększanie świadomości w zakresie bezpieczeństwa i ochrony danych, a nie kary administracyjne, które, tak jak zaznaczyłem, są ostatecznością.

Wśród podmiotów ukaranych w 2025 r. znalazła się Poczta Polska. Sprawa dotyczy prezydenckich „wyborów kopertowych” z 2020 r. Pojawia się jednak argument, że wówczas PP podjęła się próby organizacji wyborów z powodu wyższej konieczności.

Interpretacje tego rodzaju nie są przedmiotem analizy Urzędu, musielibyśmy zagłębiać się w cały kontekst polityczny, a dotyczy to wielu spraw. Decydujące jest przestrzeganie prawa i standardów ochrony danych. Istotne jest jedynie to, że Poczta Polska pozyskała z rejestru PESEL dane 30 mln obywateli do przeprowadzenia głosowania. Dane osobowe tak potężnej liczby obywateli RP zostały jednak udostępnione bez podstawy prawnej, co jednoznacznie przesądziły wyroki sądów administracyjnych, potwierdzając, że doszło do rażącego naruszenia prawa. Decyzje o karze były logiczną i konieczną konsekwencją tych wyroków. Mówię o decyzjach, ponieważ karę otrzymał także Minister Cyfryzacji, również za bezpodstawne przetwarzanie danych obywateli, który – co odebrałem z uznaniem – przyjął w pełni moją decyzję i wcześniejszy prawomocny wyrok NSA. Chcę też podkreślić, że działania UODO w tej sprawie zostały uruchomione z powodu setek skarg, które zaczęły napływać od obywateli, jednak ówczesny prezes UODO uznał je za bezpodstawne. Jednak w mojej opinii, ale także w opinii Rzecznika Praw Obywatelskich, działania związane z ochroną danych jak najbardziej należało podjąć.

Podobnie musiałem podjąć działania wobec jednego z banków, który przez ponad rok stosował praktykę powszechnego kopiowania dowodów tożsamości, a obejmowała ona każdego klienta niezależnie od charakteru sprawy. Kara była w tej sprawie konieczna, bo doszło do fundamentalnego złamania reguł legalności operacji na danych, ich ograniczenia do niezbędnego minimum. Przy tak znaczących naruszeniach prawa, niezależnie od wielkości podmiotu, których się ich dopuścił, reagowanie i egzekwowanie prawa jest konieczne.

Mówi Pan, że UODO stoi na dwóch nogach, jedną z nich jest egzekucja prawa, drugą edukacja. Jak przedstawia się działalność edukacyjna UODO za Pana kadencji?

Odbywa się w wielu obszarach. To rozwijanie ogólnopolskiego programu edukacyjnego „Twoje dane – Twoja sprawa”, który – co warto podkreślić – został wyróżniony w 2025 r. podczas gali finałowej konkursu Nauczyciela Roku „Głosu Nauczycielskiego” w kategorii Inicjatywa Edukacyjna. To także warsztaty dla seniorów dotyczące bezpieczeństwa ich danych, organizowane przez UODO od chwili podpisania przeze mnie porozumienia o współpracy z Ogólnopolską Federacją Stowarzyszeń Uniwersytetów Trzeciego Wieku.

Organizujemy również warsztaty dla studentów, konkursy dla studentów prawa, wizyty szkoleniowe dla studentów w Urzędzie. Bardzo ważny jest dla mnie program „UODO rusza w kraj”, w ramach którego spotykamy się z samorządem terytorialnym w danym regionie, biznesem i jego organizacjami, organizacjami społecznymi i wreszcie z ekspertami uczelni wyższych i ośrodków naukowych – dotychczas odwiedziliśmy już dziewięć województw. Chciałbym wspomnieć, że w listopadzie otworzyłem, dzięki gościnności Okręgowej Izby Radców Prawnych w Rzeszowie, pierwszy stały punkt konsultacyjny UODO poza Warszawą.

Wreszcie, od dwóch lat jesteśmy obecni na wielkim festiwalu „Pol’and’Rock”, na którym organizujemy własny program działań edukacyjnych, w warunkach nietypowych dla urzędu – uważam jednak, że z informacją o ochronie danych, prywatności i współczesnymi wyzwaniami trzeba docierać wszędzie tam, gdzie się da. A na takim festiwalu możemy dotrzeć z naszą misją do bardzo wielu osób.

Ta działalność edukacyjna w moim przekonaniu stanowi zasadniczy obszar aktywności UODO na rzecz budowania świadomości ochrony danych i prawa do prywatności. W szeroko pojętym obszarze edukacyjnym należy też umieścić wszystkie konferencje i seminaria zorganizowane przez UODO przez dwa lata mojej kadencji. Do najważniejszych zaliczam konferencje dotyczące sztucznej inteligencji, biometrii, danych osobowych w działalności dziennikarskiej, dotyczące relacji pomiędzy Prezesem UODO a sądami powszechnymi, technologii kwantowych, ochrony danych osobowych w związku z procesem uzgodnienia płci, czy danych osobowych w medycynie i sektorze farmaceutycznym.

Urząd wykazał też szczególną aktywność, jeśli chodzi o podpisane porozumienia z instytucjami na rzecz ochrony danych w różnych obszarach.

To przede wszystkim porozumienia z Prezesem Naczelnej Rady Lekarskiej o współpracy w zakresie ochrony danych w działalności podmiotów medycznych, porozumienie z Rzeczniczką Praw Dziecka w zakresie inicjatyw edukacyjnych na rzecz ochrony danych osobowych dzieci i młodzieży, porozumienie z Naczelną Radą Adwokacką, Polskim Autokefalicznym Kościołem Prawosławnym, Rządowym Centrum Legislacji czy Głównym Inspektorem Sanitarnym. Taka koordynacja działań już przynosi znakomite efekty; działamy w synergii, wymieniając się pomysłami i uwagami, co sprawia, że wspólne zaangażowanie dla ochrony danych przebija się do świadomości także decydentów, i dzięki temu my wszyscy jako instytucje rządowe czy pozarządowe nie jesteśmy postrzegani jako samotne wyspy, kiedy apelujemy w konkretnej sprawie o poszanowanie standardów ochrony praw podstawowych czy odpowiednie wyważenie między interesami administratorów, najczęściej przedsiębiorców i praw osób, których dane dotyczą.

Nie da się nie zauważyć, że często pojawia się na konferencjach i seminariach sformułowanie „prawo nie nadąża za technologią”. Jak wygląda działalność UODO, jeśli chodzi o opiniowanie legislacji?

W 2024 r. Prezes UODO zaopiniował 779 projektów aktów prawnych, a w roku 2025 już 962. Liczba pytań dotyczących wykładni prawa ogółem to 2214 w 2024 r. i 2174 w 2025 r. W tym ostatnim obszarze wprowadzamy większość dostępność stanowisk Urzędu, uruchomiliśmy też nową wyszukiwarkę decyzji administracyjnych, pracujemy nad tym, by nasze zasoby skierować na obszary priorytetowe, w których oczekiwana jest większa aktywność Urzędu. Takie oczekiwania podczas komisji i posiedzeń plenarnych kierowali np. posłowie, deklarując chęć podjęcia inicjatyw ustawodawczych związanych z ochroną danych. Dlatego tylko w roku 2025 skierowałem kilkadziesiąt różnych wystąpień dotyczących potrzeby zmian prawnych z związku z zapewnieniem skutecznej ochrony danych, podczas gdy wcześniej rocznie było ich zaledwie kilka. W 2025 r. odpowiedzieliśmy także na 57 zapytań od organów nadzorczych innych państw.

Do najważniejszych tematów legislacyjnych należały na pewno: zwracanie uwagi na przeprowadzanie testów prywatności, w tym oceny skutków dla ochrony danych, czy analiza kolejnych wersji ustawy o systemach sztucznej inteligencji, opiniowanie ustawy o Krajowym Systemie Cyberbezpieczeństwa, a także odnoszenie się do EHDS w pracach Ministerstwa Zdrowia (Europejska Przestrzeń Danych dot. Zdrowia) w celu zapewnienia stosowania tego rozporządzenia, czy opinie odnośnie do stosowania i wykładni przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, także w kontekście monitoringu wizyjnego w placówkach medycznych.

Zresztą ta ostatnia kwestia – z uwagi na coraz częściej pojawiające się incydenty w tym obszarze – stała się przedmiotem kontroli sektorowych UODO w tym roku: szczególnie ważne będzie dla nas sprawdzenie, na ile placówki medyczne radzą sobie ze stosowaniem monitoringu wizyjnego tam, gdzie może dojść do naruszeń ochrony danych osobowych najmłodszych.

Prezes UODO opiniował też Strategię Cyfryzacji Polski do 2035 r., Strategię informatyzacji Państwa, Strategię Cyberbezpieczeństwa RP do 2029 r.; wypowiadał się także na temat konieczności przeglądu regulacji dotyczących rejestrów publicznych, jawności ksiąg wieczystych i ustawy o ewidencji ludności. Niezwykle istotne mogą się też okazać, mam nadzieję, opinie organu nadzorczego na temat unijnego pakietu „Omnibus”.

Jednak nic nie jest idealne, więc muszę zapytać: co Pana zdaniem się nie udało podczas minionej połowy Pana kadencji?

Nadal, wydaje mi się, nie udaje się do końca przełamać błędnego postrzegania ochrony danych osobowych jako jakiejś formalnej procedury, praktyki urzędniczej, która nie ma przełożenia na ochronę prywatności i jest takim mało istotnym szczegółem w rzeczywistości. Na razie – ale nie tylko w polskiej rzeczywistości, bo dotyczy to także innych regionów – to zagadnienie jest odbierane w dość wąskim rozumieniu, co przekłada się również na deficyt świadomości o konieczności uwzględniania tematyki ochrony danych już na wczesnym etapie prac nad rozwiązaniami legislacyjnymi (organ nadzorczy nie musiałby wydawać tylu opinii, gdyby odbywało się to właśnie na wczesnym etapie). Gdyby przez kolejne dwa lata udało mi się przełamać ten rodzaj myślenia wśród obywateli i decydentów, uznałbym to za swój wielki sukces. Musimy pamiętać, że ochrona danych i prawo do prywatności do jedne z praw podstawowych, a same dane są dziś po prostu walutą. Pamiętajmy też – jakże to ważne w dzisiejszej geopolitycznej sytuacji – o znaczeniu ochrony danych dla bezpieczeństwa państwa w kontekście strategicznym i wojskowym.

Smutkiem napawa mnie również to, że z racji tempa, w jakim rozwijają się najnowsze technologie, nie jesteśmy w stanie jako państwo, ale także jako urząd, nadgonić rzeczywistości, i cierpią przez to choćby najmłodsi, których powinniśmy uwzględniać na pierwszym miejscu, jeśli chodzi o zapewnienie bezpieczeństwa. Dlatego też misję ochrony dzieci i młodzieży w dobie zagrożeń w sieci postrzegam jako fundamentalną dla mnie na czas najbliższych dwóch lat.

Jak ocenia Pan współpracę między UODO a Ministerstwem Edukacji Narodowej, skoro działalność edukacyjna Urzędu jest tak istotna?

Uważam, że obecny kierunek działań MEN odpowiada na realne potrzeby młodych ludzi i stanowi jeden z kluczowych elementów systemowej ochrony ich zdrowia w sensie psychicznym, ich prywatności i praw podstawowych. Dlatego też w apelu, który wystosowałem do dyrektorów szkół, nauczycieli i rodziców, wyraziłem poparcie dla wprowadzenia do szkół przedmiotów edukacja zdrowotna i obywatelska, które promują wiedzę o odpowiedzialnym funkcjonowaniu najmłodszych w sferze cyfrowej. Zresztą w tej sprawie apelowałem także do Pana Prezydenta. Edukacja cyfrowa od najmłodszych lat, pojmowana jako część wiedzy o świecie i własnych prawach, to absolutnie warunek kluczowy do tego, abyśmy w przyszłości żyli w świecie o wiele bezpieczniejszym, ponieważ będziemy mieli do tego znacznie więcej narzędzi, nie będziemy się bać. Przez cały czas organ nadzorczy znakomicie i efektywnie współpracuje też z MEN, jeśli chodzi np. o tak palące problemy, jak monitoring wizyjny w placówkach szkolnych – przekazujemy nasze uwagi do projektów zmian w tym kierunku – czy dostępność danych zdrowotnych uczniów, w tym momencie zbyt szeroko udostępnianych w przestrzeni szkolnej.

Jak postrzega Pan swój Urząd w perspektywie dwóch najbliższych lat i możliwie ciągle trwającej wojny za wschodnią granicą, w związku z tym w perspektywie wciąż nasilających się ataków na sferę cyberbezpieczeństwa? Czy ma Pan w tej kwestii jakiś strategiczny pomysł? Mówimy również o wykradaniu podstawowych danych obywateli, takich jak PESEL.

Najbliższe dwa lata to okres zasadniczej zmiany roli Prezesa UODO – od organu koncentrującego się na stosowaniu RODO ku instytucji osadzającej i stabilizującej nową architekturę prawa cyfrowego UE. Wdrożenie AI Act, DGA, EHDS czy DSA wymaga nie tylko transpozycji kompetencji, lecz także spójnego wpisania tych aktów w krajowy model instytucjonalny oraz ścisłej koordynacji z innymi regulatorami rynku cyfrowego.

Priorytetem jest i będzie przeciwdziałanie fragmentaryzacji wdrożeń, nakładaniu się kompetencji i rozbieżnym interpretacjom, które mogłyby osłabić ochronę praw jednostki i sprawne funkcjonowanie biznesu oraz państwa. Dynamiczny rozwój AI, big data, biometrii czy Internetu Rzeczy powoduje, że formalna zgodność z przepisami przestaje wystarczać. Najważniejsze będzie podejmowanie działań (we współpracy z właściwymi resortami i ekspertami) prowadzących do rozumienia technologii jako warunku skutecznej ochrony praw podstawowych oraz przesunięcie ciężaru ochrony na etap projektowania systemów.

Z kolei coraz częstsze wykorzystywanie systemów AI wymaga jednolitych, horyzontalnych standardów stosowania prawa, zwłaszcza dla mniejszych podmiotów. Priorytetem tutaj będzie zapewnienie przewidywalności regulacyjnej, uzyskiwanej poprzez wspólne kryteria oceny ryzyka, jakości danych, przejrzystości algorytmów i odpowiedzialności, tak aby rozwój AI nie prowadził do fragmentaryzacji ochrony praw. W tym celu już teraz bierzemy aktywny udział w europejskich pracach w tym zakresie, ale także prowadzimy we współpracy z ekspertami działania na poziomie krajowym.

Cyberbezpieczeństwo musi być traktowane nie jako problem czysto techniczny, lecz jako integralny element ochrony praw i wolności osób. Doświadczenia z ransomware i naruszeniami w sektorze publicznym pokazują, że analiza ryzyka musi uwzględniać perspektywę osób, których dane dotyczą, a nie wyłącznie interesy organizacji. Kluczowe znaczenie ma regularne testowanie środków bezpieczeństwa i ocena ich skuteczności. Dane osobowe stały się zasobem wykorzystywanym w cyberprzestępczości i działaniach hybrydowych – stąd m.in. tak liczne „wycieki” danych. Moim priorytetem jest dlatego konsekwentne wpisywanie ochrony danych w szerszą koncepcję bezpieczeństwa państwa i odporności instytucji demokratycznych.

Wreszcie, obok reform systemowych będę kłaść silny nacisk na działania edukacyjne w zakresie ochrony danych osobowych i przygotowywania wytycznych oraz poradników dla administratorów danych. Kluczową rolę odgrywają tu również inspektorzy ochrony danych, których pozycja powinna być wzmacniana przy jednoczesnym jasnym podkreśleniu, że odpowiedzialność za zgodność z prawem spoczywa na administratorach.

Dziękuję bardzo za rozmowę.