27 listopada w warszawskiej centrali Zakładu Ubezpieczeń Społecznych odbyła się konferencja „Nowe wyzwania prawne: Regulacje, zadania regulatorów i ochrona danych”, zorganizowana przez ZUS oraz Urząd Ochrony Danych Osobowych. Wydarzenie podsumowuje cykl spotkań zaproponowanych przez obie instytucje w 2025 r.

Konferencję otworzyła prof. Agnieszka Grzelak, zastępczyni Prezesa UODO.

Jak podkreśliła, inicjatywa tego spotkania dotyka kluczowych zagadnień związanych zarówno z funkcjonowaniem ZUS, jak i UODO, co wydaje się tym bardziej istotne, że współpraca obu tych instytucji od dwóch lat systematycznie się rozszerza. „Kiedy dwie autonomiczne instytucje się łączą, przynosi to rezultaty prowadzące do polepszenia jakości usług publicznych, jeśli chodzi o ochronę danych” – zwróciła uwagę.

Dodała też, że tego rodzaju spotkanie powinno się przysłużyć zrozumieniu nowych regulacji dotyczących ochrony danych osobowych, które przychodzą jako unijne akty prawne wymagające sprawnej implementacji, a ta z kolei wymaga szkolenia pracowników w organizacjach, opracowywania procedur oraz budowania odpowiedzialnych struktur nadzorczych. Potrzebna do tego jest również wiedza interdyscyplinarna.

Zastępczyni Prezesa UODO zauważyła także, iż wyzwaniem na zbliżające się lata dla Urzędu Ochrony Danych Osobowych będzie weryfikacja jakości przetwarzania danych przez systemy sztucznej inteligencji.

Konferencja została podzielona na trzy panele dyskusyjne, w których wzięli udział eksperci ds. cyberbezpieczeństwa ZUS, pracownicy UODO, członkowie Społecznego Zespołu Ekspertów przy Prezesie UODO oraz specjaliści w zakresie ochrony bezpieczeństwa.

Nowe regulacje: jak wpłyną na ochronę danych osobowych?

W panelu pierwszym pt. „Nowe regulacje: jak wpłyną na ochronę danych osobowych?” prof. Marlena Sakowska-Baryła – prawnik z Uniwersytetu Łódzkiego, członkini SZE – przypomniała, że wszystkie regulacje cyfrowe proponowane przez Komisję Europejską niezmiennie bazują na rozporządzeniu ogólnym o ochronie danych osobowych, i że samo w sobie stanowi to wartość, gdyż kolejne akty prawne dzięki temu nie powinny stanowić zbyt wielkiego novum.

Z kolei dr Mirosław Gumularz, radca prawny, przewodniczący Społecznego Zespołu Ekspertów przy Prezesie UODO, zaznaczył, że zawsze należy sprawdzić i zrozumieć, jaki jest kontekst ogólnospołeczny korzystania ze sztucznej inteligencji, w jakich procesach jest ona używana i jak są określane role jej użytkowników. Właśnie od tego będzie zależało to, czy nasze działania okażą się zgodne z Aktem o sztucznej inteligencji (AI Act), czy też wykroczą poza jego ramy.

Podczas dyskusji Arkadiusz Jurkiewicz – z-ca dyrektora Departamentu Bezpieczeństwa i Ryzyka Krajowej Izby Rozliczeniowej SA – wskazał na pewien paradoks: AI wcale nie oznacza ograniczania liczby pracowników, wręcz przeciwnie: będzie potrzebna większa rzesza ludzi zatrudnianych do zespołów weryfikujących systemy AI – i w ten sposób sztuczna inteligencja wprowadzi czynnik ludzki w zupełnie nowym rozumieniu.

Monika Krasińska, dyrektor Departamentu Prawa i Nowych Technologii UODO, zwróciła uwagę, że aby zachować standardy ochrony danych, szczególnie w kontekście wciąż przybywających regulacji cyfrowych, należy zapewnić niezależność w wydawaniu opinii i decyzji organowi nadzorczemu, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Jak wyjaśniła dyr. Krasińska, również Europejski Trybunał Sprawiedliwości wyraźnie akcentuje niezależną rolę organów nadzorczych w zakresie ochrony danych w Unii Europejskiej. Dodała także, iż rozporządzenia dot. sfery cyfrowej wymagają wyjątkowo efektywnej współpracy wszystkich organów pracujących na rzecz ochrony danych w Europie.

Agnieszka Gębicka, dyrektor Biura Ochrony Danych ZUS, podkreśliła zaś, że w ostatnich latach cała filozofia ochrony danych opiera się na naruszeniach wynikających z wycieków danych, natomiast w przyszłości problemy będą dotyczyć integralności i dostępności danych.

Piotr Rybicki, ekspert z Departamentu Bezpieczeństwa Centrum e-Zdrowia, stwierdził, że najważniejszym elementem ochrony danych w systemach cyfrowych pozostaje – i tak zapewne będzie także w kolejnych latach – zarządzanie ryzykiem; wg Piotra Rybickiego analiza ryzyka powinna przebiegać na bazie strategii „privacy by design” (uwzględnienie ochrony danych już na etapie projektowania rozwiązań).

Dr inż. Rafał Prabucki, specjalista ds. cyberbezpieczeństwa, członek SZE, zauważył, że poufność, integralność oraz dostępność są podstawowymi aspektami w kontekście administracji korzystającej ze sztucznej inteligencji. W jego opinii jednak zagrożeniem jest Shadow AI (wprowadzanie do organizacji systemów sztucznej inteligencji bez zgody kierownictwa oraz informatyków).

Rola regulatorów i współpracy międzynarodowej w erze nowych technologii

Panel drugi pt. „Rola regulatorów i współpracy międzynarodowej w erze nowych technologii” został zdominowany przez takie kwestie, jak transgraniczność w ochronie danych oraz konsekwencje wprowadzenia AI Act.

Prof. Agnieszka Gryszczyńska, prawnik z Uniwersytetu Kardynała Stefana Wyszyńskiego, mówiła o problemie cyberprzestępczości w perspektywie spraw transgranicznych; jak zaznaczyła, potrzebna jest współpraca na podstawie międzynarodowej pomocy prawnej, która jednak często opiera się na zasadzie dobrowolności. Z korzyścią działa za to Konwencja Budapeszteńska o wymianie danych w przypadku cyberprzestępstw.

Temat postępowań transgranicznych uzupełniła w trakcie dyskusji Maria Owczarek, dyrektorka Departamentu Współpracy Międzynarodowej UODO, która wskazała, że RODO oferuje zarówno ułatwienia, jak i ograniczenia w tym kontekście, ale z pewnością niezwykle pomocne okaże się rozporządzenie UE, którego celem jest usprawnienie działań transgranicznych w obszarze ochrony danych (projekt rozporządzenia został opracowany w 2023 r., ale sam akt nie wszedł jeszcze w życie).

Tomasz Izydorczyk, specjalista ds. ochrony danych, członek SZE, poruszył z kolei kwestię cyberprzestępczości i zauważył, że dziś kradzieże nie odbywają się już w klasyczny sposób, bo większość z nich jest dokonywanych w sieci – i jest to poważny kłopot dla wielu instytucji publicznych, które pod tym względem mają poważne zaległości, opierając się na metodach postępowania z dawnych czasów.

Sławomir Wichrowski zastępca dyrektora Biura Ochrony Danych ZUS, wskazał, że AI Act powoduje, iż w Polsce będzie konieczne wprowadzenie dwóch organów kontrolnych: pierwszy z nich będzie odpowiadał za certyfikację, drugim zaś będzie Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) – zasiądą w niej przewodniczący wielu instytucji, z tym że nieznana jest jeszcze rola Prezesa UODO.

Przyszłość ochrony danych osobowych: co nas czeka po 2025 r.?

W czasie panelu trzeciego pt. „Przyszłość ochrony danych osobowych: co nas czeka po 2025 r.?” dyskutanci podzielili się refleksjami wokół kierunków praktyki ochrony danych w nadchodzących latach oraz przedstawili działania swoich organizacji, jeśli chodzi o ochronę danych.

Milena Wilkowska, radczyni prawna, specjalistka ds. danych osobowych, zaznaczyła, że regulacje prawne wcale nie ograniczają jakiejkolwiek działalności – zwłaszcza biznesowej – i nic nie wskazuje na to, że będą ją ograniczać. Według ekspertki regulacje pomagają choćby w kreatywności i zmuszają do myślenia o tym, jak unikać gromadzenia danych osobowych: nie trzeba bowiem np. personalizować reklam na bazie danych osobowych; co więcej, rynek związany z ograniczaniem danych się powiększa i przynosi już zyski.

Jan Kostrzewa, menedżer cyberbezpieczeństwa, co-founder B3 CyberSecurity, stwierdził zaś, że dzisiaj w zasadzie nie ma już czegoś takiego, jak jeden internet, jedna sieć, która jest wspólna dla wszystkich regionów świata. Od dłuższego czasu powstają oddzielne strefy internetowe i zaczęło być to zauważalne w rzeczywistości postpandemicznej, która wymusiła, aby każdy kontynent był niezależny pod względem produkcji komponentów informatycznych.

W trakcie dyskusji Karol Witowski, rzecznik prasowy UODO, zwrócił się z apelem, aby ułatwić pracownikom firm i organizacji publicznych wykorzystywanie zabezpieczeń, które nierzadko są łatwe i przyjazne w użyciu, z tym że brak informacji i edukacji ze strony menedżerów powoduje deficyt wiedzy w tej sprawie. Jak również zaakcentował, komunikacja – także medialna – o danych osobowych musi wyjść poza wąską grupę ekspertów. Karol Witowski opisał w tym kontekście działalność UODO, który stara się – w granicach możliwości, które w swej precyzji wyznacza język prawniczy – używać w przekazach prostego języka – i jest to strategia, którą Urząd ma zamiar kontynuować. Nawet informacje UODO o karach administracyjnych są komunikowane w taki sposób, aby wszyscy obywatele mogli sami wyciągać wnioski i nie musieli się skupiać na skomplikowanych detalach.

Damian Bielecki, z-ca Inspektora Ochrony Danych Osobowych XTB SA, w tej perspektywie zgodził się z rzecznikiem prasowym UODO i przyznał, że jeśli chodzi o świadomość ochrony danych, stawia właśnie na przyjazną komunikację.

Agnieszka Rapcewicz – adwokat, compliance officer, specjalista ds. regulacji dot. sztucznej inteligencji – dodała, że z pewnością możemy przyjąć, iż sztuczna inteligencja nie zastąpi ani prawników, ani Inspektorów Ochrony Danych.

Wszyscy uczestnicy dyskusji zwrócili też uwagę, że wyzwaniem mogą być nowe definicje danych osobowych, które wprowadzą rozporządzenia cyfrowe UE, oraz kontrowersje wokół rozbieżności, która prawdopodobnie będzie zachodzić pomiędzy wymaganiami wynikającymi z przepisów a wykorzystywaniem narzędzi technologicznych, które mogą się okazać trudne do zdefiniowania przez prawo.

Pozostałe wydarzenia zorganizowane przez UODO i ZUS w 2025 r.:

Seminarium „Rewolucja technologiczna w relacji z klientami. Jak budować rozwiązania technologiczne zgodne z zasadami ochrony danych osobowych”

Seminarium „Wyzwania w udzieleniu informacji publicznej”

Seminarium „Automatyzacja procesów administracyjnych z wykorzystaniem sztucznej inteligencji: jak zapewnić zgodność z ochroną danych osobowych?”