Przybywa doniesień dotyczących zastosowania nowoczesnych technologii i powiązanych z nimi niebezpieczeństw dla intymności odbiorców. Według Mirosława Wróblewskiego, przewodniczącego Urzędu Ochrony Danych Osobowych, te zagadnienia stają się coraz bardziej skomplikowane i wymykają się regulacjom prawnym, zarówno na szczeblu krajowym, jak i europejskim. Przykładem mogą być nadużycia związane z deepfake’ami. Zatem, według opinii eksperta, konieczne są przepisy, które pozwolą efektywnie zwalczać to zjawisko.
– Należy oczekiwać powiększenia się liczby zażaleń związanych z wykorzystaniem innowacyjnych technologii. Dostrzegamy to już teraz. Co więcej, otrzymujemy więcej skarg bardzo zawiłych, dotyczących użycia takich nowoczesnych technologii, które nawet nie do końca są rozpoznane, np. biometrii, szyfrowania, a więc innych zabezpieczeń związanych z ochroną danych osobowych. Tych trudności jest coraz więcej – oznajmia agencji Newseria Mirosław Wróblewski. – Potrzebna jest wiedza fachowa i wzmacnianie zasobów Urzędu Ochrony Danych Osobowych, ponieważ te wyzwania już nie są wyłącznie prawne, ale również techniczne, technologiczne czy moralne.
Jednym z zakresów, który potrzebuje większej uwagi w odniesieniu do zagrożeń dla bezpieczeństwa danych osobowych i image’u, są deepfaki. Według prezesa UODO obecnie zarówno prawo polskie, jak i europejskie nie udostępnia narzędzi do konfrontacji z tym zjawiskiem i obrony przed następstwami nadużyć.
– Świadczy o tym jedna ze spraw, w których podejmowałem interwencję. Dotyczyło to użycia wizerunku uczennicy do utworzenia podobizny nagiej osoby i rozpowszechniania go w szkole i wśród przyjaciół – wspomina Mirosław Wróblewski.
Prezes UODO na początku czerwca 2025 roku w tej sprawie zawiadomił policję o możliwości popełnienia czynu zabronionego. Zaznaczył, że działanie kolegów nie tylko drastycznie naruszyło intymność 15-latki, ale też stworzyło niebezpieczeństwo naruszenia jej zasadniczych interesów życiowych w przyszłości. Istnieje bowiem spore prawdopodobieństwo możliwości jej identyfikacji. Policja odmówiła jednak rozpoczęcia postępowania, co następnie zostało zaakceptowane przez prokuraturę. Przyjęto m.in., że fotografia nie została uzyskana z chronionego zbioru danych, a jego przerobienie nie stanowi przetwarzania danych osobowych. Prezes UODO interweniował w tej sprawie u Prokuratora Generalnego i ostatecznie w styczniu br. prokuratura powiadomiła o ponownym zajęciu się sprawą.
– To przypadek bardzo krzywdzący dla tej dziewczyny. Teoretyczne dywagacje, że istnieją przepisy, które dopuszczają ściganie takich niegodziwych postępowań, potwierdzają to, że konieczne są tego typu rozwiązania. We Włoszech i Francji przyjęto rozwiązania, które mają na celu skuteczniejszą obronę naszego wizerunku i walkę z technikami, które wykorzystywane w niewłaściwy sposób mogą ranić ludzi. Takie regulacje prawne potrzebne są również w Polsce – podkreśla Mirosław Wróblewski.
Włosi wprowadzili prawo, które precyzuje wykroczenie polegające na nielegalnym upowszechnianiu spreparowanych lub zmodyfikowanych treści cyfrowych wygenerowanych z użyciem sztucznej inteligencji. Ustalili również odpowiedzialność cywilną i karną za te naruszenia. Według UODO szansą na zmianę sytuacji w Polsce jest ponowne podjęcie prac nad ustawami mającymi wdrożyć unijny Akt o usługach cyfrowych (DSA), po niedawnym wecie prezydenta. Chodzi o wprowadzenie rozwiązań, które systematycznie uregulują zagadnienia związane z przeciwdziałaniem i ochroną obywateli przed negatywnymi konsekwencjami tej technologii – zarówno na płaszczyźnie administracyjnej, karnej i skarbowej karnej, jak i sądowej.
Stanowisko Komisji Europejskiej i kwestia Groka
– Akt o sztucznej inteligencji w art. 50 nakazuje znakowanie wizerunków czy materiałów, treści syntetycznych, wytworzonych z użyciem algorytmów sztucznej inteligencji. Ale to za mało, ponieważ, po pierwsze, ten przepis nie ma pełnego zastosowania do każdej sytuacji, a po drugie, koncepcje ludzi na zastosowanie technologii wymykają się tym definicjom albo te rozwiązania są zbyt mało skuteczne – mówi prezesa UODO. – Na poziomie Unii Europejskiej rozpoczęła się debata na temat potrzeby rozwiązań do eliminowania negatywnych zachowań powiązanych z używaniem deepfake’ów czy zjawiska deep porn. Aczkolwiek wiemy, że istnieją również inne przepisy, które mogą być do tego używane: Komisja Europejska zainicjowała postępowanie przeciwko Grokowi za korzystanie z aplikacji tego typu. Zobaczymy, czy przyniosą one oczekiwany efekt.
Komisja Europejska 26 stycznia br. zainicjowała nowe dochodzenie przeciwko platformie X na bazie DSA, by sprawdzić, czy serwis społecznościowy właściwie oszacował i zminimalizował ryzyko związane z wdrożeniem Groka, czyli chatbota sztucznej inteligencji, na obszarze Unii Europejskiej. Mowa między innymi o szerzeniu zmanipulowanych obrazów o charakterze seksualnym, w tym takich, które mogą ukazywać wykorzystywanie dzieci.
Jak wynika z raportu WeProtect „Global Threat Assessment 2025” i danych CyberTipline, czyli scentralizowanego systemu zgłaszania przypadków wykorzystywania dzieci w internecie, to zjawisko niebezpiecznie zyskuje na sile. Pomiędzy 2023 a 2024 rokiem system odnotował wzrost o 1325 proc. liczby doniesień związanych z generatywną sztuczną inteligencją. Zagrożeń jest jednak znacznie więcej i są one wielopłaszczyznowe.
– Bardzo istotnym zagrożeniem ze strony sztucznej inteligencji jest to, że wiele z systemów zostało przeszkolonych na podstawie analizy danych, które wcześniej umieściliśmy w sieci internetowej. Nie spodziewaliśmy się tego, że będą one potem wykorzystane do innych celów niż te, dla których je zamieściliśmy. Dlatego trzeba się upewnić, że te systemy nie ujawniają naszych danych, że ryzyko ich udostępnienia jest znikome, a dostawcy systemów robią wszystko, aby zagwarantować obronę naszej prywatności. Temu służy chociażby opinia Europejskiej Rady Ochrony Danych Osobowych wypracowana z udziałem Urzędu Ochrony Danych Osobowych – mówi Mirosław Wróblewski.
Użycie danych osobowych przez AI
Chodzi o opinię EROD w temacie wykorzystywania danych osobowych do opracowywania i wdrażania modeli sztucznej inteligencji, która została przyjęta w grudniu 2024 roku. Zawiera ona zestaw kryteriów, które pomagają organom ochrony danych ocenić, czy osoby fizyczne mogą w sposób usprawiedliwiony oczekiwać określonego użycia ich danych osobowych. Mowa m.in. o tym, czy dane te były publicznie dostępne, jaka była relacja z administratorem, jaki był charakter usługi oraz kontekst, w którym dane osobowe zostały zebrane. Do kryteriów należy również to, z jakiego źródła dane zostały zebrane, a także kwestia tego, czy osoby fizyczne są świadome dostępności ich danych osobowych online.
– Są również inne zagrożenia, na które UODO będzie reagować. Na przykład te związane z dyskryminacją, a więc z przetwarzaniem danych osobowych w sposób naruszający prywatność. To są również zagrożenia związane z halucynacjami. Wiemy, że systemy sztucznej inteligencji często przetwarzają dane osobowe i podają wyniki w taki sposób, który wprowadza ludzi w błąd, manipuluje czy dezinformuje – wyjaśnia prezes UODO.
Z badania opublikowanego przez UODO „Raport Strategiczny – Badanie potrzeb organizacji w zakresie wykorzystania sztucznej inteligencji i ochrony danych osobowych” wynika, że według 41 proc. spośród blisko 500 organizacji opracowywanie AI nie wiąże się u nich z przetwarzaniem danych osobowych lub nie są one w stanie ocenić tej sprawy. Poziom wiedzy na ten temat jest silnie zróżnicowany w zależności od rozmiaru i typu organizacji. Największe braki występują u podmiotów, które tradycyjnie przetwarzają dużą ilość danych osobowych: samorządy, uczelnie i placówki edukacyjne, służba zdrowia, kultura, a także u mniejszych przedsiębiorców. Wielu przedsiębiorców deklaruje znajomość zobowiązań związanych z RODO, jednak faktyczne przestrzeganie przepisów jest trudne do zrealizowania, a obawy odnośnie bezpieczeństwa danych są jednym z głównych powodów nieimplementowania AI.