Uwagi do projektu ustawy o ochronie małoletnich przed dostępem do treści szkodliwych w internecie

Projekt zmierza w dobrym kierunku, zawiera jednak wady wpływające na ochronę podstawowych praw i wartości, a tym na prawo do ochrony danych osobowych i prawo do prywatności. Takie stanowisko Prezes UODO przedstawił Ministerstwu Cyfryzacji, które pracuje nad projektem (UD179).

Kierunek zmian legislacyjnych jest słuszny, a sama ustawa bardzo potrzebna – zauważa Prezes UODO. Osoby najmłodsze są mniej świadome zagrożeń związanych z korzystaniem z usług cyfrowych i często bezbronne. W zasadzie nieograniczony dostęp osób małoletnich do szkodliwych treści, zwłaszcza pornograficznych, w internecie stanowi poważny problem społeczny i wpływa negatywnie na zdrowie psychiczne i fizyczne młodzieży.

Kwestia ochrony praw dzieci i młodzieży jest szczególnie bliska Prezesowi UODO. Przykłady jego działań na rzecz nieletnich można znaleźć tu: https://uodo.gov.pl/tag/dzieci. Prezes UODO Mirosław Wróblewski postanowił także uczynić kwestie przestrzegania ochrony danych małoletnich przedmiotem priorytetowych kontroli sektorowych w 2025 r.

Prezes UODO zauważa jednocześnie, że projekt ustawy wnika głęboko ww sferę konstytucyjnych praw i wolności obywatelskich, w szczególności prawo do prywatności i prawo do ochrony danych osobowych. A także na konstytucyjnie chronione wolności: słowa, sumienia oraz komunikacji. Prawo dostępu do rozpowszechnianych w środkach masowego przekazu treści mieści się w zakresie tych praw i wolności, zaś projekt – poprzez ustanowienie ograniczeń w dostępie do określonych treści – stanowi ingerencję w konstytucyjne wolności i prawa. Projekt bowiem zasadniczą część tych ograniczeń pozostawia do uregulowania w zaleceniach, które nie są wiążące, podczas gdy – zgodnie z Konstytucją RP –wszelkie ingerencje w prawa i wolności obywatelskie powinny wynikać wyłącznie z ustawy.

Ustawodawca chce ograniczyć dostęp małoletnich do 18. roku życia do szkodliwych treści poprzez weryfikację ich wieku. Ma to poważne konsekwencje, gdyż wymaga identyfikacji osoby uzyskującej dostęp do określonych treści w internecie.

Zasady, na jakich ma się to odbywać, nie są wskazane w projekcie – mają się znaleźć w zaleceniach. Te jednak nie są źródłem prawa powszechnie obowiązującego w rozumieniu polskiej Konstytucji. Ponadto projekt nie odnosi się do przetwarzania danych osobowych w celu weryfikacji wieku i regulacje te również miałyby wynikać z zaleceń.

Co więcej, projekt nakłada na dostawców treści szkodliwych obowiązek stosowania „weryfikacji wieku uniemożliwiającej dostęp do tych treści przez małoletnich”. Tak ogólnie sformułowany obowiązek nie pozwoli na skuteczne osiągnięcie celu projektu. Projektodawca nie określa bowiem, co należy rozumieć przez tę weryfikację, na czym miałyby ona polegać, jak miałaby funkcjonować ani jakie kryteria spełniać.

Rozwiązania ustanawiane projektowaną ustawą będą się wiązać z przetwarzaniem znacznej ilości danych osobowych na dużą skalę. To także wiąże się z ryzykiem naruszenia szeroko rozumianych praw i wolności osób fizycznych. Wobec tego, przygotowując nowe prawo, należałoby przeprowadzić test prywatności i ocenę skutków nowej regulacji dla ochrony danych. To analiza ryzyk rozwiązań, którą Prezes UODO rekomenduje przy projektach, które spełniają warunki z art. 35 i art. 25 RODO, dotyczących danych osobowych.

Ponieważ projekt nie określa w żaden sposób mechanizmu weryfikacji wieku ani modelu przetwarzania danych osobowych w tym celu, nie można wykluczyć, że przetwarzanie to będzie się wiązało z profilowaniem użytkowników. Ma to szczególne znaczenie w przypadku, gdyby w celu weryfikacji wieku miały być stosowane algorytmy sztucznej inteligencji. Właściwe z punktu widzenia praw i wolności jednostki podejście jest wskazane w prawie UE, w tym w Akcie w sprawie sztucznej inteligencji (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689).

Kolejny problem to rola proponowanego wydawania opinii Prezesa UODO do zaleceń. Projekt zakłada, że miałby on je wydawać do zaleceń, jak kontrolować wiek użytkowników internetu. Cała procedura nie jest jasna. Nie wiadomo np. co miałoby nastąpić, jeśli UODO pozytywnie oceni zalecenia. Istnieje bowiem ryzyko interpretacji, która uniemożliwiałaby potem działania organu nadzorczego przewidziane przepisami RODO, dotyczące zgodności przetwarzania danych osobowych (wieku użytkownika internetu) z RODO.

Projekt pomija też fakt, że analiza zaleceń, czyli dodanie Prezesowi UODO nowych zadań i kompetencji, wymaga do ich realizacji przyznania odpowiednich zasobów – o tym projekt milczy.

W ślad za tą opinią UODO 2 czerwca br. zorganizował konferencję pt. „Europejskie Ramy Cyfrowej Tożsamości (eIDAS2) w praktyce – nowe możliwości identyfikacji i uwierzytelniania w służbie ochrony danych. Korzyści i potencjał rozwoju dla biznesu i sektora publicznego”, podczas której poruszono kwestię weryfikacji wieku w internecie. Omówione zagadnienia powinny być wskazówką dla polskiego ustawodawcy także przy okazji kształtowaniu przepisów mających chronić młode osoby przed szkodliwymi treściami. Mirosław Wróblewski, prezes UODO, przy tej okazji zwrócił uwagę, że możliwość potwierdzania atrybutu wieku daje szansę realizacji ważnego w społeczeństwie celu przy jednoczesnym zapewnieniu wysokiego poziomu bezpieczeństwa danych osobowych.

Do kwestii weryfikacji wieku przy zapewnieniu odpowiedniego poziomu ochrony danych osobowych odniósł się Krzysztof Król, zastępca dyrektorki Departamentu Współpracy Międzynarodowej. Przedstawił on przepisy prawa UE, które mogą służyć do skutecznej i proporcjonalnej realizacji celu projektu.

- "Art. 28 aktu o usługach cyfrowych, nie wymaga przetwarzania dodatkowych informacji o użytkowniku, niż posiadane przez dostawcę usługi cyfrowej. W połączeniu z eIDAS2 poprzez weryfikację jednego z atrybutów tożsamości użytkownika - zapewnienia odpowiedniego wieku - możliwe jest zachowanie prywatności. Dostawca nie musi znać daty urodzenia czy innych informacji identyfikujących, by umożliwić dostęp tylko uprawnionym osobom. Polega na potwierdzeniu wieku na zasadzie pełnoletni/nieletni przez dostawcę usługi zaufania, który chroni pozostałe dane swojego klienta” – wyjaśnił Krzysztof Król.

Nad tematem weryfikacji wieku przy dostępie do określonych usług w internecie wraz z poszanowaniem prawa ochrony danych pochyliła się również Europejska Rada Ochrony Danych. 11 lutego br. przyjęła oświadczenie 1/2025 w sprawie zapewnienia wieku. Dokument ten stanowi wytyczne, które mają pomóc chronić dzieci w środowisku cyfrowym. Zgodnie z tymi wytycznymi zapewnienie wieku, czyli stworzenie mechanizmów dostępu do określonych treści dla osób spełniających kryterium odpowiedniego wieku, powinno być m.in. poprzedzone odpowiednią analizą oraz być projektowane wdrażane i oceniane z uwzględnieniem najbardziej chroniących prywatność dostępnych metod i technologii w celu zapewnienia zgodności z RODO i skutecznej ochrony praw osób, których dane dotyczą. Ponadto zapewnienie wieku nie powinno dostarczać dostawcom usług dodatkowych środków identyfikacji, lokalizowania, profilowania lub śledzenia osób fizycznych. Polska wersja oraz dokument Departamentu Inicjatyw Edukacyjnych UODO wskazujący najważniejsze kwestie są dostępne na stronie Urzędu: https://uodo.gov.pl/pl/537/3624.

DPNT.401.59.2025