Działalność UODO

Ochrona dzieci i walka z deepfake’ami wymagają bardziej rygorystycznych przepisów. Prezes UODO apeluje w tej sprawie do Ministerstwa Cyfryzacji

Trwają prace nad dwoma projektami ustaw wdrażającymi do polskiego prawa przepisy Aktu o Usługach Cyfrowych (DSA). Proponowane przez resort cyfryzacji kompromisowe rozwiązania to krok w dobrym kierunku, ale ochrona najbardziej wrażliwych grup wymaga ściślejszych przepisów, np. możliwości nadania klauzuli natychmiastowej wykonalności decyzji o usunięciu nielegalnych treści. Takie zmiany w projektowanych przepisach postuluje Prezes Urzędu Ochrony Danych Osobowych, a także Fundacja Panoptykon.

Przypomnijmy, że ustawa z 21 listopada 2025 r. wdrażająca DSA do polskiego porządku prawnego, mimo iż przyjęta przez parlament, została zawetowana przez Prezydenta RP i nie weszła w życie. Dlatego rząd pracuje obecnie nad dwoma projektami mającymi wdrażać te przepisy – nadano im numery UC140 i UC141. Pierwszy z nich dostosowuje prawo krajowe do wymogów DSA, w tym powołuje Koordynatora Usług Cyfrowych. Drugi zaś ustanawia procedurę nakazania uniemożliwienia dostępu do nielegalnych treści (art. 11a ust. 1), jak również procedurę przywrócenia dostępu do treści niezasadnie usuniętych przez platformę (art. 11a ust. 2).

– Rozbicie wdrożenia DSA na dwa odrębne projekty aktów prawnych ma podłoże taktyczne: UC140 to przepisy proceduralne niezbędne do rozpoczęcia stosowania DSA w Polsce. UC141 to kwestie formalnie wykraczające poza minimum wymagane przez DSA — i bardziej kontrowersyjne. – tłumaczy dr Magdalena Piech, ekspertka Fundacji Panoptykon. – Błędne byłoby jednak myślenie, że przyjęcie jedynie pierwszego z nich umożliwi pełne, realne zastosowanie DSA, a przede wszystkim ochronę praw polskich obywateli, w tym osób małoletnich. U 140 i U 141 to dwa filary tej ochrony. Niewiele zmieni powołanie organu właściwego do egzekwowania DSA, jeśli organy powołane do egzekwowania prawa w Polsce nie będą miały szybkiej i skutecznej ścieżki, by żądać usunięcia nielegalnych treści (zgodnie z art. 9 DSA) – dodaje.

Postulaty zmian Prezesa UODO – uwzględnione tylko w części

W ramach trwających konsultacji społecznych, swoje uwagi do drugiego z projektów przedstawił także Prezes UODO Mirosław Wróblewski. Pierwsze pismo w tej sprawie wysłano do resortu jeszcze w lutym br. W najnowszej wersji projektu część uwag Prezesa UODO została uwzględniona. Chodzi tu o postulat sprecyzowania, jak przetwarzane będą dane osobowe uczestników procedury usuwania nielegalnych treści, a także przesądzenia, że w publikowanych decyzjach organów mogących zarządzić takie usunięcie (Prezes UKE oraz KRRiT) nie znajdą się dane osobowe. Nie uwzględniono jednak innych postulatów Prezesa UODO, dlatego skierował on do MC pismo w kolejnej fazie konsultacji, podkreślając jak duże znaczenia mają te propozycje.

Przede wszystkim, w projekcie przewidziano zamknięty katalog przestępstw, w przypadku których możliwe jest w ogóle zastosowanie procedury zablokowania dostępu do treści. Rozwiązanie to samo w sobie jest godne pochwały – jako że procedura taka rodzi poważne zagrożenia dla wolności wypowiedzi w internecie, warto, by była uregulowana tak precyzyjnie, jak to możliwe. Zasadne są też kryteria, na podstawie których wybrano te czyny zabronione. Po pierwsze więc, muszą być to „przestępstwa internetowe” tj. popełnione za pośrednictwem sieci, po drugie – muszą polegać na rozprzestrzenianiu treści online, a po trzecie – zablokowanie dostępu do tych treści nie może mieć negatywnych skutków dla dyskursu obywatelskiego i procesów wyborczych. Prezes UODO uważa jednak, że w katalogu przewidzianym w projekcie zabrakło art. 107 ustaw o ochronie danych osobowych oraz art. 54 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Zdaniem Mirosława Wróblewskiego przestępstwa te spełniają wskazane wyżej kryteria, a ich szkodliwość społeczna wymaga, by treści tego typu mogły być usuwane z sieci w ramach procedury z DSA.

Ponadto Prezes UODO proponuje, by w przypadku zagrożeń o największym ciężarze gatunkowym w cyberprzestrzeni, do których należą te dotykające dzieci i młodzież, zwłaszcza polegających na wykorzystywaniu w kontekście seksualności oraz niegodziwym traktowaniu w celach seksualnych, możliwe było nadanie decyzji o usunięciu danej treści klauzuli natychmiastowej wykonalności. Obecnie projekt nie przewiduje takiej możliwości, by zapewnić uprzednią kontrolę sądową nad decyzjami organów, które mogą w znacznym stopniu ograniczać wolność słowa. Jednak Mirosław Wróblewski zwraca uwagę, że w tych szczególnie drastycznych przypadkach niezbędna jest możliwość szybkiego usunięcia treści.

Panoptykon popiera kierunek zmian proponowanych przez Prezesa UODO

Jak wskazuje Katarzyna Szymlewicz, prezeska Fundacji Panoptykon, głos PUODO, podobnie jak rozwiązania kompromisowe zaproponowane przez Fundację, to sygnał, że jako społeczeństwo potrzebujemy pogłębionej, merytorycznej i apolitycznej dyskusji o tym:

  • jak upodmiotowić użytkowników platform internetowych w walce z treściami naruszającymi ich dobra chronione, w tym zdrowie i życie;
  • jak zaprojektować adekwatne i respektujące wolność wypowiedzi uprawnienia organów i sądów do usuwania treści naruszających prawo karne;
  • gdzie przebiega granica między nagłymi i niebudzącymi kontrowersji przypadkami (np. szczególnie szkodliwych deepfake’ów, obrazów seksualnego wykorzystywania małoletnich, poważnych gróźb), w których liczy się niezwłoczne działanie, a przypadkami, których ocena wymaga zbadania kontekstu i wysłuchania stron, a więc powinna raczej trafić do niezawisłego sądu.

Usuwanie nielegalnie publikowanych danych osobowych – czy zagraża wolności słowa?

Wspomniany art. 107 ustawy o ochronie danych osobowych stanowi, że: „kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. W przypadku danych szczególnych kategorii (danych wrażliwych) maksymalna kara wynosi nawet 3 lata więzienia. Bardzo podobnie brzmi art. 54 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, zgodnie z którym: „kto przetwarza dane osobowe, o których mowa w przepisach o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch” (albo trzech w przypadku danych wrażliwych).

Czy tak ogólne sformułowanie przepisów nie sprawia, że potencjalnie mogą odnosić się one do praktycznie każdej treści w internecie zawierającej dane osobowe, jeśli jej autor nie wykaże, że ma do tego podstawę prawną?

-Sankcja karna to taka trochę broń ostateczna w przypadku ochrony danych osobowych – np. w 2020 r. mamy 16 skazań z art. 107 uodo, co stanowi niewielki ułamek liczby spraw, w których w tym samym roku wydano decyzję nakazową Prezesa UODO (wszystkich decyzji było 1866). – tłumaczy dr Paweł Litwiński, adwokat i członek Społecznego Zespołu Ekspertów przy Prezesie UODO -Stąd, po pierwsze, wyraźnie widać, że nie każdy przypadek naruszenia RODO oznacza sankcję karną. Będą to przypadki najbardziej drastyczne – w kontekście Internetu mogę sobie wyobrazić np. publikowanie szczególnie wrażliwych danych osobowych, czy tworzenie i publikowanie treści o charakterze deepfake. Po drugie, oczywiście nie będzie tak, że sankcja karna będzie mogła objąć „każdy wpis w sieci zawierający dane osobowe” – mamy przecież choćby wyłączenie stosowania RODO do celów osobistych lub domowych, a także w związku z działalnością dziennikarską; ogromna większość danych osobowych, które pojawiają się w przeróżnych wpisach, będzie więc pozostawać poza reżimem RODO, a zatem ich publikacja nie może stanowić przestępstwa z art. 107 uodo – dodaje.

Zwraca przy tym uwagę, że i w przypadku art. 54 ustawy policyjnej, zakres ew. penalizacji będzie jeszcze mniejszy, a to ze względu na mocno ograniczony zakres zastosowania tej ustawy. Dodaje też, że obowiązujące obecnie prawo do bycia zapomnianym nie jest wystarczające dla sprawnego usuwania tych najbardziej drastycznych przypadków.

-Prawo do bycia zapomnianym realizuje się w relacji poziomej, a więc między osobą, której dane dotyczą, a administratorem danych. – tłumaczy ekspert. -Dopiero jeżeli administrator odmawia uwzględnienia wniosku, możemy złożyć skargę do organu nadzorczego, a to wszystko trwa. Tymczasem przypadki, których dotyczy ustawa, są tego rodzaju, że wymagają szybkiej reakcji, od razu ze strony organów państwa – stąd właśnie pomysł, aby pewne szczególne przypadki, w jakimś sensie kwalifikowane, były objęte tą ustawą – podsumowuje Paweł Litwiński.

-Przekładając te przepisy na realia internetu, mówimy o częstych i bardzo dotkliwych naruszeniach prywatności. Za „upublicznienie cudzych danych osobowych bez podstawy prawnej” należy uznać między innymi, deepfake’i wykorzystujące wizerunek pokrzywdzonej osoby – mówi dr Magdalena Piech, podkreślając, że Prezes UODO trafnie wskazuje, że projekt zawiera lukę w katalogu czynów zabronionych.

Natychmiastowe usuwanie treści – tylko w najbardziej drastycznych przypadkach

Panoptykon zgadza się też z uwagami Prezesa UODO dotyczącymi możliwości nadawania rygoru natychmiastowej wykonalności w przypadkach niecierpiących zwłoki.

-Gdy nielegalna treść przedstawia np. seksualne wykorzystanie dziecka albo spreparowany obraz kompromitujący przedstawioną osobę, każda kolejna godzina w sieci pogłębia krzywdę i zmniejsza szanse na skuteczne usunięcie (powielanego) obrazu. – podkreśla Katarzyna Szymlewicz. – Fundacja Panoptykon również rekomenduje uproszczenie i przyspieszenie procedury w pilnych i nie budzących społecznych kontrowersji przypadkach, szczególnie, kiedy stawką jest bezpieczeństwo i prawa dzieci. Jednocześnie proponujemy różne ścieżki postępowania, w zależności od tego, jak pilny jest dany przypadek i czy wchodzi w grę ryzyko ograniczenia wolności słowa – dodaje.

Propozycja Panoptykonu dzieli katalog przestępstw na dwie grupy. Pierwsza obejmuje czyny, których społeczna szkodliwość nie budzi wątpliwości, a ryzyko nieuprawnionej ingerencji w wolność słowa zasadniczo nie istnieje: przestępstwa dotyczące dzieci (CSAM, grooming, propagowanie pedofilii), stalking, handel ludźmi i oszustwa internetowe.

-Wobec tej grupy Panoptykon, co do zasady, akceptuje proponowaną procedurę administracyjną, postulując jednak wprowadzenie możliwości nadania decyzji rygoru natychmiastowej wykonalności w sytuacjach wyjątkowych, w połączeniu z następczą, a nie uprzednią, kontrolą sądową. To postulat zbieżny ze stanowiskiem Prezesa UODO – mówi Katarzyna Szymlewicz.

Do drugiej grupy Panoptykon zalicza przestępstwa potencjalnie wrażliwe z perspektywy wolności słowa: nawoływanie do nienawiści i propagowanie totalitaryzmu (art. 256 KK), znieważanie grup (art. 257 KK), stosowanie przemocy lub groźby ze względu na przynależność narodową czy polityczną (art. 119 KK) oraz groźby karalne (art. 190 KK).

-Tu Panoptykon postuluje, żeby decyzję merytoryczną podejmował sąd działający w ramach szybkiej ścieżki — z terminem 3 lub 14 dni. Wniosek trafiałby do sądu bezpośrednio od podmiotu uprawnionego albo za pośrednictwem Prezesa UKE lub Przewodniczącego KRRiT, który dokonywałby wstępnej analizy sprawy, nie wydając jednak własnego nakazu blokowania tylko kierując sprawę do sądu. Nawiązuje to do projektu Ministerstwa Cyfryzacji z lipca 2024 r. – tłumaczy z kolei dr Magdalena Piech

Paweł Litwiński wskazuje natomiast, że jego zdaniem możliwość nadania klauzuli natychmiastowej wykonalności decyzji o usunięciu danych, powinna ograniczać się do przepadków postulowanych przez Prezesa UODO.

-To jednak miałaby być szczególna ścieżka, przyspieszona – a jako taka, wiąże się z podwyższonym ryzykiem pomyłki. Dlatego tą ścieżką trzeba objąć takie przypadki, w których dobro chronione (tutaj: dobro dziecka) przeważa nad ew. dobrem naruszonym (tutaj: swoboda wypowiedzi), z uwzględnieniem ryzyka pomyłki (czyli nieuzasadnionego nakazu usunięcia danych). Stąd moim zdaniem katalog takich przypadków nie powinien być szczególne obszerny– podsumowuje członek Społecznego Zespołu Ekspertów przy Prezesie UODO.

Wdrażanie DSA to szansa na kompleksową regulację tej kwestii

Stanowiska UODO i Panoptykon wskazują kierunek możliwego porozumienia ponad podziałami.

-Zaproponowane przez nas rozwiązania – w tym nowy podział kompetencji między organem administracyjnym i sądami, oraz możliwość nadania rygoru natychmiastowej wykonalności w przypadkach niekontrowersyjnych, a zarazem niecierpiących zwłoki — zasługują na konstruktywny, ponadpartyjny finał. Oby trzecia próba się udała. – mówi Katarzyna Szymlewicz.

Z kolei Mirosław Wróblewski podkreślił, że rozumie pilną potrzebę wdrożenia przepisów mających zapewnić stosowanie w Polsce aktu o usługach cyfrowych. Jednocześnie jednak zwrócił uwagę, że prace nad nimi stanowią najlepszą okazję do przyjęcia w polskim porządku prawnym instytucji, które pozwolą przeciwdziałać zjawiskom zagrażającym osobom potrzebującym szczególnej opieki państwa. A zagrożenia te, ze względu na szybki postęp techniczny, rosną z każdym dniem. Zmiany, które proponuje UODO nie wymagają jednak szczególnie inwazyjnych modyfikacji struktury projektu.

Ostatnim postulatem UODO jest zapewnienie zgodności projektowanych przepisów z rozwiązaniami przyjętymi w innych aktach dotyczących nowych technologii i cyberprzestrzeni. W szczególności chodzi tu o regulacje dotyczące zwalczania nielegalnych deepfake’ów, a także innych zagrożeń związanych z naruszeniami prywatności czy bezprawnym przetwarzaniem danych osobowych internautów – zwłaszcza tych niepełnoletnich.