Projekt nowelizacji ustawy o świadczeniu usług drogą elektroniczną wymaga zmian

Mirosław Wróblewski, Prezes Urzędu Ochrony Danych Osobowych, w piśmie do sekretarza stanu w Ministerstwie Cyfryzacji, Dariusza Standerskiego, przedstawił swoje uwagi do jednego z projektów dotyczących nowelizacji ustawy o świadczeniu usług drogą elektroniczną służącego zapewnieniu stosowania aktu o usługach cyfrowych[1]. Uwzględnienie, w toku prac legislacyjnych, uwag zawartych w piśmie przyczyni się do podwyższenia poziomu ochrony danych osobowych i prywatności w Internecie.

Wyzwaniem dla naszego państwa jest między innymi zapewnienie skutecznej ochrony prawnej osób korzystających z Internetu przed nielegalnymi treściami, a także ograniczenie zjawisk związanych z nielegalnym przetwarzaniem danych osobowych w sieci, w tym w mediach społecznościowych. W tym celu konieczne jest wprowadzenie praktycznych regulacji umożliwiających skuteczną walkę z cyberzagrożeniami, polegającymi także na wykorzystywaniu danych osobowych i prowadzącymi do naruszania prywatności. Istotna jest też prewencja i zapobieganie stosowaniu technologii wykorzystującej dane oraz informacji o osobach fizycznych do popełniania czynów zabronionych nierzadko godzących w najistotniejsze dobra człowieka, jego prawa podstawowe. Szczególną uwagę należy zwrócić na zachowania dotykające dzieci, młodzież i osoby nieporadne, w tym polegające na wykorzystywaniu seksualnym.

Prezes UODO, dostrzegając szereg zjawisk związanych z przetwarzaniem danych osobowych w Internecie zagrażających osobom korzystającym z sieci, ze szczególnym niepokojem skutki niewłaściwego używania technologii deepfake. Rozwój technologii sprawia, że takie materiały są często niemożliwe do odróżnienia od prawdziwych, a dostępność narzędzi i łatwość ich obsługi sprawia, że materiały zawierające fałszywe dane i informacje może tworzyć lub publikować niemal każdy. Wykorzystanie technologii deepfake w ramach czynu zabronionego nierzadko może być katastrofalne dla życia i zdrowia osób, których wizerunek czy głos został wykorzystany. Należy zatem wdrożyć rozwiązania systemowe – w tym przyjąć regulacje przeciwdziałające  szkodliwemu wykorzystaniu technologii deepfake .

Prezes UODO apeluje o zsynchronizowanie tworzonych rozwiązań z innymi projektami legislacyjnymi, które mogą przyczynić się do zwalczania nielegalnych deepfake’ów oraz innych zagrożeń związanych z przetwarzaniem danych osobowych w Internecie. Prezes Urzędu Ochrony Danych Osobowych już wielokrotnie zwracał uwagę na niebezpieczeństwa związane z nielegalnym wykorzystywaniem danych osobowych - w tym wizerunku.
Wskazywane zagrożenia mają ogromne znaczenie również z uwagi na szerzenie zjawiska dezinformacji, które stanowi wyzwanie w świetle zapewnienia ochrony przed atakami ze strony podmiotów wrogo nastawionych do Rzeczypospolitej Polskiej.

Prezes UODO wniósł również o rozszerzenie wskazanego w ustawie o świadczeniu usług drogą elektroniczną katalogu czynów zabronionych, których ściganie będzie się wiązało z wykorzystaniem mechanizmu umożliwiającego uruchomienie procedury zastosowania nakazu podjęcia działań przeciwko nielegalnym treściom - polegającego na uniemożliwieniu do nich dostępu.

W ocenie Prezesa UODO poważną luką jest brak w projektowanym katalogu czynów zabronionych w postaci nielegalnego przetwarzania danych osobowych (art. 107  ustawy o ochronie danych osobowych) oraz niedopuszczalnego lub nieuprawnionego przetwarzania danych osobowych (art. 54 ustawy o  ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości). Zauważyć bowiem należy, że czyny te mogą wiązać się z poważnym ryzykiem wykorzystania przez sprawcę pozyskanych danych osoby fizycznej i ich dalszego nielegalnego przetwarzania, w tym upubliczniania lub przesyłania tych danych za pośrednictwem Internetu. Jednocześnie - odnośnie do obu ww. przepisów karnych - w ocenie Prezesa UODO organy ścigania prowadząc postępowanie powinny zatem mieć możliwość wnioskowania o zastosowanie procedury umożliwiającej podjęcie działań przeciwko treściom nielegalnym i skutkujących uniemożliwieniem do nich dostępu.

Kierując się troską o osoby poszkodowane na skutek przestępstw, Prezes UODO poddał także pod rozwagę by w przypadku zagrożeń o największym ciężarze gatunkowym w cyberprzestrzeni, do których należą te dotykające dzieci i młodzież - zwłaszcza polegających na wykorzystywaniu w kontekście seksualności oraz niegodziwym traktowaniu w celach seksualnych - projektodawca rozważył wprowadzenie odrębnego trybu postępowania w tworzonej procedurze i możliwości niezwłocznego blokowania nielegalnych treści. Wskazał przy tym, że w przypadku takich czynów zabronionych zbyt długie procedury mogą prowadzić do nieodwracalnych konsekwencji dla małoletniej ofiary przestępstwa.

Jednocześnie w opinii Prezesa UODO podkreślono, że przepisy na podstawie, których dane będą przetwarzane muszą zapewnić odpowiednie i konkretne środki ochrony praw podstawowych i interesów osób, których dane dotyczą. Procedura stworzona mocą projektowanych przepisów wiązać się bowiem będzie z przetwarzaniem na ogromną skalę danych osobowych podmiotów danych będących osobami fizycznymi, których dane będą przetwarzane w związku z procedurami kontroli i usuwania nielegalnych treści z Internetu. Będą to zarówno tzw. dane zwykłe mogące jednak dotyczyć szczególnie wrażliwych dla prywatności i istotnej życiowo problematyki spraw  w związku z postępowaniami prokuratorskimi i sprawami sądowymi, jak i dane wprost w przepisach prawa określone jako szczególne kategorie danych, np. dane dotyczące poglądów politycznych, dane światopoglądowe, dane dotyczące zdrowia, dane biometryczne (dane pozyskane w ramach weryfikacji osób uczestniczących w rozpatrzeniu wniosków i wdawaniu decyzji w projektowanej procedurze, fotografie załączone do wniosków, dane ofiar przestępstw przetwarzane w projektowanej procedurze).

Jednocześnie projektowane zmiany - w związku z przetwarzaniem w procedurze danych potencjalnych sprawców przestępstw - z samej swojej istoty będą się wiązać  z przetwarzaniem na ogromną skalę informacji dotyczących danych podlegających wzmocnionemu reżimowi ochrony w rozumieniu art. 10 RODO (dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa). Jednocześnie, oprócz ww. danych, na podstawie projektowanej ustawy będą przetwarzane dane objęte tajemnicami prawnie chronionymi, których przetwarzanie podlega wzmocnionej ochronie prawnej.

Przetwarzanie tych danych musi być więc zgodne ze standardami i zasadami dotyczącymi przetwarzania danych osobowych ukształtowanymi mocą art. 5 RODO, ale i objęte testem prywatności wraz z oceną skutków dla ochrony danych (art. 25i 35 ust. 1 i 10 RODO). Projektodawca powinien bowiem ocenić czy projektowane rozwiązania ustawy nie powinny zostać rozbudowane tak, by w pełni realizowały zasady ochrony danych osobowych, a także zawierały rozwiązania gwarantujące środki ochrony praw i wolności osób, których dane dotyczą.

DPNT.401.41.2026