12 marca w ramach wydarzenia „Dzień Ochrony Danych Osobowych z Vizją” odbyła się seria wykładów oraz debata poświęcona aktualnym kwestiom związanym z ochroną danych osobowych w epoce gwałtownego rozwoju technologicznego, jak deepfake’i, rozpowszechnianie wizerunku małoletnich, czy sztuczna inteligencja. Swoje wystąpienia wygłosili prezes UODO Mirosław Wróblewski oraz Paulina Dawidczyk, dyrektor Departamentu Skarg w Urzędzie. Moderatorem debaty był Jakub Groszkowski, radca Prezesa UODO.

Mirosław Wróblewski podczas otwierającego wydarzenie wykładu przedstawił problem ochrony danych w kontekście nowych technologii na przykładzie zjawiska deepfake’ów. Wskazał, że jest to forma niewłaściwego wykorzystywania danych osobowych (np. wizerunku i głosu) najczęściej stosowana w celu oszustwa – a wzrost skali powoduje rosnącą presję na organy nadzorcze, by szybko reagowały. Prezes UODO przypomniał przebieg głośnej skargi na wykorzystywanie reklam deepfake z wizerunkiem polskich obywateli na platformach koncernu Meta. Sprawa ta zrodziła pytanie o to, czy platformy cyfrowe powinny być traktowane jako współadministratorzy danych we wszystkich płatnych reklamach zawierających dane osobowe.

Za ochronę wizerunku dzieci odpowiadają przede wszystkim dorośli

Ważnych wskazówek w tej mierze udzielił TSUE w wyroku Russmedia (C-492/23) który dotyczył fałszywego ogłoszenia na portalu internetowym. Trybunał wskazał w nim, że platforma ma obowiązek, jeszcze przed publikacją ogłoszenia, stosować odpowiednie środki techniczne i organizacyjne pozwalające na identyfikację treści zawierających dane wrażliwe w rozumieniu art. 9 RODO, w tym wizerunek osoby fizycznej w kontekście mogącym naruszać jej godność. Jeśli zamieszczający ogłoszenie nie ma zgody osoby, której dane dotyczą, na użycie jej danych, a w razie jej braku – platforma ma obowiązek blokować ogłoszenie.

Prezes Mirosław Wróblewski przypomniał także niedawną sprawę przerobienia wizerunku uczennicy na nagie zdjęcie przez jej kolegów. Niestety, organy ścigania nie znalazły tu podstaw do wszczęcia postępowania, a po interwencji Prokuratura Generalnego postępowanie zostało umorzone. Prezes UODO złożył w tej sprawie w marcu br. zażalenie. Przypadek ten pokazuje, że deepfake’i z udziałem małoletnich są poważnym zagrożeniem dla ich bezpieczeństwa, godności i prywatności. Obecne przepisy nie zapewniają zaś przed nimi skutecznej i szybkiej ochrony prawnej. Prezes UODO zaapelował z tych względów o uchwalenie nowych skutecznych przepisów

Paulina Dawidczyk, Dyrektor Departamentu Skarg w Urzędzie Ochrony Danych Osobowych, w wystąpieniu pt. Zgoda na przetwarzanie danych osobowych oraz zasady udostępniania wizerunku – jak być zgodnym z RODO? poruszyła kwestię publikowania wizerunku dzieci, m.in. przez szkoły czy przedszkola. Zwróciła przy tym uwagę, że zgoda na przetwarzanie wizerunku (niezależnie, czy dotyczy dziecka, czy dorosłego) musi określać warunki korzystania z niego (np. jakim komentarzem będzie opatrzone zdjęcie), być wyrażona na rzecz konkretnego podmiotu oraz na określony czas, a także mieć uprzedni charakter. Może być też w każdej chwili cofnięta. Forma zgody jest dowolna, ale dla celów dowodowych powinna ona być utrwalona w jakiejś postaci.

W przypadku dzieci, należy dodatkowo uwzględnić ich wiek i stopień dojrzałości. Młodsze dzieci mogą być niezdolne do wyrażenia zgody świadomie, ponadto zwykle działają w zaufaniu do rodzica, opiekuna czy innego dorosłego. W przypadku tych starszych, należy wysłuchać ich zdania przed podjęciem ważnej decyzji ich dotyczących – w tym o zgodzie na publikację wizerunku. Trzeba pamiętać, że taka publikacja stanowi bardzo poważną ingerencję w prywatność dzieci, a informacje o nich zamieszczone w internecie, mogą być użyte w celach przestępczych, także seksualnych.

Prywatność w dobie wszechobecnej sztucznej inteligencji

Ostatnie wystąpienie wygłosił Maciej Gawroński, radca prawny i partner w kancelarii GP Partners – dotyczyło ono prywatności w dobie wszechobecnej sztucznej inteligencji. Stwierdził w nim, że powinniśmy mówić raczej o śmierci prywatności, gdyż obecnie danych umieszczonych w sieci praktycznie nie da się już usunąć, nawet stosując tzw. prawo do bycia zapomnianym. Wymienił też różne metody i rodzaje inwigilacji, stosowane przez służby specjalne, inne organy państwa, oraz prywatne firmy. Zdaniem prelegenta, najlepszą metodą na ochronę prywatności obecnie, jest częstsze zasądzenie odszkodowań przez sądy cywilne na podstawie art. 82 RODO.

Debata ekspertów – ludzie wciąż nie łączą AI z ochroną danych osobowych

Mec. Gawroński w debacie ekspertów wskazał, że choć unijne ustawodawstwo w dużym stopniu nadąża za rozwojem technologii, to jest egzekwowane w bardzo ograniczonym zakresie. O ile samo RODO okazało się dobrą regulacją, to już AI Akt sprawia wrażenie systemu certyfikacyjnego, zawierającego listę formalnych wymagań do spełnienia. Zdaniem Mec. Gawrońskiego z jednej strony nie zapobiega więc szkodom powodowanym przez AI, z drugiej – pozwala dostawcom tych systemów unikać odpowiedzialności, jeśli wykażą, że spełnili formalne wymogi.

W debacie wypowiedziała się także Paulina Dawidczyk, wskazując, że przeciętny obywatel wciąż nie wiąże AI z ochroną danych osobowych. Nie ma powszechnej świadomości, że do takich systemów nie można „wrzucić” wszystkich informacji, a w wielu firmach brakuje zasad korzystania ze sztucznej inteligencji.

Anna Maria Biała-Malinowska z Ministerstwa Cyfryzacji opowiedziała o stworzonej przez resort aplikacji mOchrona. Przestrzega ona zasady privacy by design i pozwala rodzicom na kontrolowanie, jakie programy pobiera na smartfona ich dziecko. Ponadto, zainstalowanie tej aplikacji sprawia, iż system rozpoznaje, że użytkownik jest niepełnoletni i blokuje wiele nieodpowiednich dla niego treści. Z kolei Sławomir Jagieła, dyrektor Kolegium Kształcenia Podyplomowego Uniwersytetu Vizja, opowiedział o obecnych metodach stosowania AI w edukacji, a także o uwzględnianiu w edukacji, na różnych poziomach, kwestii ochrony danych osobowych.