Prezes UODO podkreśla konieczność zmian prawa w celu walki z deepfake’ami

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski w odpowiedzi na pismo Kancelarii Prezesa Rady Ministrów dotyczące wyroku Trybunału Sprawiedliwości UE ws. Russmedia zwraca uwagę, że wyrok ten determinuje konieczność podjęcia działań legislacyjnych, zapewniających ochronę przed tzw. deepfake’ami.

Swoją odpowiedź Prezes UODO skierował do Sekretarza Stanu w KPRM, Ignacego Niemczyckiego.

W wyroku z dnia 2 grudnia 2025 r. w sprawie Russmedia Digital i Inform Media Press (C-492/23) Trybunał Sprawiedliwości Unii Europejskiej orzekł, że właściciel witryny internetowej jako administrator danych ponosi odpowiedzialność za dane osobowe zawarte w ogłoszeniach publikowanych na jego internetowej platformie handlowej. Natomiast jeżeli ogłoszenie czy reklama istotnie takie dane zawiera, to operator strony powinien zweryfikować (stosownie do art. 5 ust. 2, art. 24–26 rozporządzenia 2016/679) czy są to dane reklamodawcy lub ogłoszeniodawcy. Jeśli nie, to osoba zamieszczająca treść z danymi innej osoby musi wykazać, że dysponuje zgodą osoby, której te dane dotyczą. W przypadku, gdy oba te warunki nie będą spełnione, operator ma uniemożliwić publikację. O wyroku pisaliśmy tutaj: Administratorem danych osobowych w ogłoszeniach publikowanych na stronie WWW jest jej właściciel.

Takie działania mają zapobiec przypadkom ujawniania danych osoby bez jej wiedzy i zgody, jak to się stało w sprawie, do której odnosi się wyrok Trybunału, dotyczący odpowiedzialności rumuńskiego serwisu ogłoszeniowego Russmedia, w którym anonimowa osoba zamieściła ogłoszenie kobiety świadczącej usługi seksualne. Ogłoszenie zawierało jej zdjęcia, numer telefonu, i dane te opublikowano bez jej zgody. Kobieta wskazywała, że ogłoszenie przedstawiające ją jako osobę świadczącą usługi seksualne było nieprawdziwe i krzywdzące. Na jej żądanie serwis usunął ogłoszenie, jednak informacje pozostawały nadal dostępne w sieci, ponieważ od momentu jego publikacji zostały rozprzestrzenione na innych witrynach internetowych.

W ocenie Prezesa UODO wyrok TSUE ma istotne znaczenie dla oceny odpowiedzialności serwisów internetowych, w tym mediów społecznościowych, za treści publikowane na platformach w sieci. Interpretacja zawarta w wyroku Trybunału oznacza, że serwisy tego typu mają wpływ na treść ogłoszeń czy postów zawierających dane osobowe, a  nie jedynie, że świadczą usługę „hostowania” ogłoszeń. Serwisy te bowiem przetwarzają dane m.in poprzez ich przechowywanie oraz publicznie udostępnianie oraz dostarczają narzędzi do publikacji danych, a więc decydują o sposobach i celach ich przetwarzania.

Jak zauważył Prezes Urzędu stanowisko Trybunału ma na celu zapewnienie podmiotom danych możliwie jak najszerszej ochrony ich danych osobowych, w szczególności wizerunku – co bezpośrednio dotyczy kwestii bezpieczeństwa małoletnich w kontekście pojawiających się coraz częściej przypadków wykorzystywania technologii sztucznej inteligencji do generowania fałszywych zdjęć i nagrań z ich udziałem (Prezes UODO ostatnio interweniował w szeroko komentowanej sprawie z tym związanej). Stanowisko to odnosi się także do zjawiska tzw. celeb-bait’u, które polega na wykorzystywaniu danych, w tym wizerunku znanych osób, do tworzenia fałszywych reklam w internecie (organ nadzorczy prowadził już postępowanie w tego rodzaju głośnej społecznie sprawie).

Mając jednak na uwadze obowiązujące w Polsce przepisy prawa, Prezes UODO stwierdza, że nie zapewniają one dostatecznej ochrony przed nieprawdziwymi informacjami (tzw. deepfake’ami). Wynika to m.in. z tego, że polskie prawo nie odnosi się wprost do specyfiki i złożoności nowoczesnej technologii stosowanej w tym obszarze.

Przepisy ustawy z dnia 4 lutego 1994  o prawie autorskim i prawach pokrewnych (Dz.U. 2025 poz. 24) wymagają zezwolenia osoby na rozpowszechnianie jej wizerunku, natomiast ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U. 2025 poz. 1071) reguluje m.in. ochronę dóbr osobistych, w tym m.in. wizerunku i głosu jako jego elementu. W rozumieniu RODO należy zaś traktować wizerunek i głos jako dane osobowe, jeśli oznaczają one informacje o zidentyfikowanej lub możliwej do zidentyfikowania osoby. Natomiast wykorzystanie deepfake’ów należy również rozpatrywać w kontekście ustawy z dnia 6 czerwca 1997 r. - Kodeksu karnego jako działanie wypełniające znamiona czynu zabronionego.

Brak jest również kompleksowych przepisów dotyczących zwalczania deefake’ów w prawie Unii Europejskiej, mimo że w Akcie o sztucznej inteligencji (DAI) i Akcie o usługach cyfrowych (DSA) ten problem jest poruszany, to jednak żaden z przepisów prawa nie przewiduje choćby możliwości usuwania nielegalnych materiałów z serwisów internetowych. Według Prezesa Urzędu rozwiązaniem byłoby uchwalenie przepisów nowelizujących ustawę z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2024 poz. 1513) w procesie legislacyjnym, którego celem jest zapewnienie stosowania przepisów Aktu o usługach cyfrowych (DSA) w krajowym porządku prawnym.

Jak dodaje Prezes UODO, we wrześniu 2025 r. skierował do Ministra Cyfryzacji wystąpienie z prośbą o rozważenie rozwiązań ustawowych, które zapewniłyby efektywną ochronę przed negatywnym wpływem deepfake’ów. Z odpowiedzi Ministra z grudnia 2025 r. wynika, że nowelizacja ustawy o świadczeniu usług drogą elektroniczną przewiduje m.in. procedurę wydawania nakazów podjęcia działań przeciw nielegalnym treściom, polegających na uniemożliwieniu dostępu do nielegalnych treści występujących w usłudze świadczonej przez dostawcę. Jak jednak zaznacza Prezes Urzędu, planowana nowelizacja nie przewiduje regulacji skonstruowanych specjalnie do walki z deepfake’ami, a zatem jest niewystarczająca do realnej ochrony prawa do prywatności i innych praw podstawowych (zdaniem organu nadzorczego warto odnieść się w tej kwestii do regulacji przyjętych na gruncie innych systemów prawnych, np. w Danii, Francji lub w Stanach Zjednoczonych).

Prezes UODO podkreśla ponadto, że problem braku rozwiązań prawnych pozwalających przeciwdziałać deepfake’om był niedawno przedmiotem posiedzenia sejmowej Komisji ds. Dzieci i Młodzieży, a postulaty organu nadzorczego spotkały się z poparciem uczestników debaty, którzy przyjęli w tej sprawie dezyderat. Ochrona małoletnich przed nieprawdziwymi treściami także mocą przepisów RODO jest uznana za wyjątkowo istotną, zwłaszcza w odniesieniu do celów marketingowych czy profili użytkowników.

Art. 28 ust. 1 unijnego Aktu o usługach cyfrowych wymaga od dostawców platform internetowych zapewnienia szczególnej ochrony małoletnich. W tym zakresie również Komisja Europejska podjęła ostatnio działania poprzez wydanie wytycznych dotyczących środków zapewniania wysokiego poziomu prywatności, bezpieczeństwa i ochrony małoletnich w internecie. Z kolei Europejska Rada Ochrony Danych (EROD) w lutym 2025 r. przyjęła oświadczenie ws. zapewnienia wieku wzywające do zwiększonej ochrony dzieci w środowisku cyfrowym.

Prezes Urzędu zauważa też, że na znaczenie działań w tym obszarze wskazują podmioty i organizacje stojące na straży ochrony dzieci i młodzieży: wg raportu WeProtect, skupiającego się na ochronie małoletnich przed przemocą seksualną w sieci, w 2024 r. odnotowano wzrost aż o 1300 % liczby materiałów prezentujących seksualne wykorzystanie dziecka, stworzonych z użyciem sztucznej inteligencji; ponadto został dostrzeżony wzrost o 192 % skali przypadków uwodzenia w internecie (tzw. grooming).

Mając powyższe na uwadze, Prezes UODO ocenia, że wyrok TSUE determinuje konieczność niezbędnych zmian w przepisach polskiego prawa, niezależnie od działań na podstawie RODO już obecnie prowadzonych przez organ nadzorczy wobec operatorów serwisów internetowych.

DOL.0623.28.2023