- Phishing odpowiada dziś za większość incydentów cyberbezpieczeństwa w UE, a w Polsce rośnie nie tylko liczba ataków ransomware i wycieków danych, lecz także skarg trafiających do Urzędu Ochrony Danych Osobowych. Wciąż w wielu organizacjach polityki bezpieczeństwa istnieją tylko „na papierze”.
- Jak prezes UODO patrzy na rosnącą skalę deepfake'ów w sieci, czy jego zdaniem należy uregulować sharenting i dlaczego domaga się nowych przepisów karnych oraz doprecyzowania polskiej wersji ustawy wdrażającej Akt o usługach cyfrowych (DSA)? O to wszystko pytamy Mirosława Wróblewskiego.
- O cyberbezpieczeństwie będziemy rozmawiać podczas XVIII Europejskiego Kongresu Gospodarczego w Katowicach (22-24 kwietnia). Trwa rejestracja na to wydarzenie.
Z roku na rok rośnie liczba skarg zgłaszanych do Urzędu Ochrony Danych Osobowych, podobnie jak naruszeń ochrony danych osobowych (zgłaszanych przez administratorów). W 2025 roku wniesiono 12 986 skarg (w 2024 roku było to 8056), nałożono 32 kary pieniężne (w 2024 – 27) na łączną sumę 64 440 097,25 zł (w 2024 r. było to 13 907 740,96 zł, w 2023 r. – 1 mln zł). Dodatkowo zgłoszono 22 435 naruszeń, podczas gdy w 2024 roku było ich 14 842.
W wywiadzie dla WNP prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski opowiada o wyzwaniach ochrony danych osobowych w kontekście rozwoju nowych technologii m.in. sztucznej inteligencji, ale i rosnącej skali cyberzagrożeń w sieci.
___________________________________________________________________
Phishing, ransomware, wycieki danych
Jakie z perspektywy UODO są najczęstsze błędy popełniane przez organizacje i firmy w obszarze ochrony danych osobowych?
- Jeżeli chodzi o ochronę danych osobowych, praktycznie w każdym obszarze zdarzają się nieprawidłowości. Są to obowiązki, które w szczególności kontrolujemy, zwłaszcza w zakresie zapewnienia bezpieczeństwa przetwarzanych danych, czyli dotyczące zabezpieczeń i organizacji całego procesu przetwarzania, w tym wymogi z artykułu 32, a także artykułów 24 i 25 RODO, dotyczących projektowania systemów i privacy by design. To poważne kwestie, bo wiele z tych spraw to jednocześnie incydenty cyberbezpieczeństwa. Analizujemy je pod kątem tego, czy administrator przeprowadził analizę ryzyka systemów, czy w ogóle ją wykonał, a jeśli tak – czy nie ma w niej braków lub nieprawidłowości. Te zaniedbania skutkują naruszeniami również w obszarach, o których wspomniałem.
Dochodzą do tego wszystkie kwestie związane z zapewnieniem bezpieczeństwa systemów informatycznych: utrzymywaniem ich aktualności, monitorowaniem i audytowaniem. To są sprawy, w których administratorzy często mają problemy systemowe. Braki w tym zakresie mogą umożliwiać, a przynajmniej znacząco zwiększać ryzyko skutecznych ataków typu ransomware.
Jakie typy ataków uważa pan dziś za największe zagrożenie: właśnie ransomware, a może jednak phishing czy wycieki danych spowodowane błędem ludzkim?
- Statystyki ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa - przyp. red.) pokazują, że 2/3 incydentów cyberbezpieczeństwa to wynik skutecznego phishingu. To oznacza, że głównym problemem jest nadużycie oparte na socjotechnice i nie chodzi tylko o klasyczny phishing, ale różne jego odmiany, włącznie z wykorzystaniem AI, w tym deepfake’ów.
To są sytuacje, w których użytkownicy, często pracownicy administratorów, upoważnieni do przetwarzania danych sami naruszają zasady bezpieczeństwa. W wielu przypadkach, szczególnie w instytucjach publicznych, mieliśmy też do czynienia z nadużyciem uprawnień. To dotyczy zwłaszcza służby zdrowia, w tym lekarzy i innych pracowników, gdzie przetwarza się najbardziej wrażliwe dane.
Ransomware oczywiście również pozostaje poważnym zagrożeniem. Często tzw. wycieki danych zgłaszane są w następstwie - jako naruszenia ochrony danych do UODO - dowiadujemy się o nich właśnie z takich zgłoszeń. Nasze działania polegają wówczas na analizie systemowej: urząd nie egzekwuje odpowiedzialności za błąd konkretnego człowieka, lecz ocenia przede wszystkim, jak administrator był przygotowany oraz jak zareagował po wystąpieniu wycieku. To prowadzi też do obowiązków w zakresie zawiadamiania organu nadzorczego i osób, których dane dotyczą. Nadal widzimy bardzo dużą liczbę naruszeń również na tym etapie.
Wciąż zdarzają się organizacje, które - z braku wiedzy lub z chęci uniknięcia odpowiedzialności - nie zawiadamiają was o naruszeniu, robią to z dużym opóźnieniem albo dowiadujecie się o incydencie zupełnie przy okazji?
- Każda z tych przyczyn się zdarza i czasem się łączą. Część pozostaje w sferze naszych przypuszczeń, bo administratorzy nie zawsze ujawniają prawdziwe motywy. Wciąż jest też wiele przypadków, gdy administratorzy próbują „zamieść sprawę pod dywan”. Często dowiadujemy się o naruszeniu z innych źródeł, na przykład ze skarg osób, których dane dotyczą. Zdarza się też, że administrator dokonuje błędnej analizy przypadku, stąd tak pilna była dla mnie potrzeba wydania poradnika dotyczącego zgłaszania naruszeń, bo wcześniej funkcjonowały bardzo różne interpretacje, kiedy należy zgłaszać dane naruszenie. Przyjęto interpretację, którą niektórzy uważają za restrykcyjną, ale dzięki temu jest większa jasność, a liczba zgłoszeń naruszeń wzrosła.
To zresztą tendencja ogólnoeuropejska: na ostatniej Europejskiej Radzie Ochrony Danych organy pokazywały, że wyraźnie rośnie liczba skarg oraz zgłaszanych naruszeń i to nie jest tylko przypadek Polski. Polska należy do czołówki: jesteśmy mniej więcej czwartym krajem po Francji, Niemczech i Holandii, jeśli chodzi o liczbę skarg i naruszeń.
Świadomość rośnie, ale jednocześnie administratorzy mierzą się z większą liczbą zagrożeń, bo skala cyberataków w Polsce jest ogromna. Widzę w tym też pozytywny aspekt: większa liczba zgłoszeń naruszeń oznacza rozwój gospodarki i usług cyfrowych. Z drugiej strony, za tym rozwojem idzie wzrost liczby przetwarzanych danych i proporcjonalny wzrost skali incydentów.
Wykonaliśmy dużą pracę, jeśli chodzi o selekcję naruszeń, aby obsługiwać je szybko i dawać administratorom jasną informację, co mają robić oraz zapewnić im wsparcie. Jednocześnie szacuję, że ok. 15 proc. najpoważniejszych spraw dotyczy wąskiej grupy administratorów, którzy mają problemy systemowe.
Polityki bezpieczeństwa na papierze
Ekspert, który pracuje przy obsłudze incydentów ransomware, w jednym z wywiadów powiedział mi, że choć większość organizacji ma polityki RODO i procedury bezpieczeństwa, to realnie stosuje je niewielka część z nich. Z państwa doświadczeń, rzeczywiście polityki istnieją tylko „na papierze”, a incydenty pokazują zupełnie inną praktykę stosowaną w organizacjach?
Niestety to się potwierdza – może nie tyle „w teorii”, co na papierze lub w pliku elektronicznym, który zapomniany „kurzy się”. Takie dokumenty często nie są stosowane, przeglądane ani aktualizowane i nie mają realnego wpływu na to, jak w organizacji przetwarza się i chroni dane. Trudno oceniać procentowo skalę zjawiska, ale prowadzone postępowania wyraźnie pokazują, że zdarza się to często.
Z drugiej strony mamy sporą grupę instytucji, co potwierdzają kontrole doraźne i sektorowe, których liczba rośnie, gdzie poziom przygotowania jest naprawdę dobry. Być może ogłoszenie tematu kontroli sektorowych mobilizuje organizacje do lepszego przygotowania, ale uważam, że to również dobry efekt prewencyjny.
To dobrze, bo poszczególne sektory mogą się przygotować. Oczywiście pozostaje pytanie, co z innymi sektorami, ale skala działań Urzędu: kontrole, postępowania, kary obejmuje już tak szerokie obszary, że ochrona danych stała się obowiązkiem horyzontalnym.
Trudno dziś znaleźć obszar, w którym można powiedzieć: „tu przetwarzamy dane osobowe, ale nigdy nie zostaniemy objęci nadzorem, nie musimy się tym martwić”. Myślę, że ostatnie dwa lata pokazały, że ochronę danych osobowych trzeba traktować poważnie, bo konsekwencje nieprzestrzegania przepisów stają się coraz bardziej realne. Widać to w naszych działaniach. Jednocześnie cały czas prowadzimy szerokie działania edukacyjne, szczególnie wobec małych i średnich firm, jednostek samorządu terytorialnego, mediów oraz organizacji pozarządowych. Postępowania zakończone karami pokazują jednak jasno, że polityk ochrony danych nie można traktować jako raz przygotowanych dokumentów, które odkłada się na półkę - to muszą być standardy wdrażane w praktyce.
Tsunami legislacyjne i inicjatywy omnibusowe
W kontekście często powtarzanego hasła „tsunami legislacyjne” i zarzutów nadregulacji - szczególnie w dyskusjach o innowacyjności i tempie rozwoju gospodarczego - jak pan patrzy na regulacje takie jak AI Act, DSA czy kwestie zwalczania deepfake’ów? Te regulacje są potrzebne, bo z perspektywy Urzędu wyzwań jest coraz więcej?
- Na pewno tak. Fala rozwiązań w sferze cyfrowej, przyjętych na poziomie Unii Europejskiej była ogromna. Jednocześnie Unia, m.in. na podstawie raportów takich jak raport Mario Draghiego i szerokich konsultacji, a także pod wpływem klimatu politycznego - coraz większą wagę przywiązuje do uproszczeń i zmniejszania obciążeń biurokratycznych. Wyrazem tego są kolejne inicjatywy omnibusowe - ostatnio piąta z nich, którą przedstawiła w ubiegłym roku Komisja Europejska. Są jednak środowiska, które chciałyby iść jeszcze dalej. Kierunek zaproponowany przez KE został poparty w ostatniej wspólnej opinii EROD (Europejska Rada Ochrony Danych - przyp. red.) i EDPS (Europejski Inspektor Ochrony Danych - przyp. red.), z pewnymi wyjątkami, które w mojej ocenie mogłyby obniżyć standard ochrony danych osobowych, jak np. propozycja zmiany samej definicji danych osobowych.
Patrząc na nasz kraj, jesteśmy dziś trzecim państwem w Unii Europejskiej pod względem wzrostu gospodarczego - po Irlandii i Cyprze, czyli krajach wyspiarskich, więc na kontynencie zajmujemy pierwsze miejsce, co pokazuje, że nie jest tak źle. Są też inicjatywy podejmowane przez rząd, we współpracy z zespołem pracującym pod przewodnictwem Rafała Brzoski, które wspieraliśmy, m.in. pozytywnie opiniując propozycję dotyczącą formy upoważnień do przetwarzania danych.
Inicjatywy związane z uproszczeniami i zmniejszaniem obciążeń biurokratycznych uważam za dobre i wspieramy je zarówno na poziomie krajowym, jak i europejskim. Co więcej, planuję w najbliższym miesiącu zaproponować zmiany w ustawie o ochronie danych osobowych, tak aby w prostszych, bardziej oczywistych sprawach skargowych, gdy możliwy jest bezpośredni kontakt z administratorem, można było szybciej i mniej sformalizowanie doprowadzić do rozwiązania sprawy, bez wszczynania pełnego postępowania administracyjnego.
Uproszczenie i zmniejszenie obciążeń biurokratycznych jest ważne również w kontekście „zmęczenia zgodą”, gdzie wsparliśmy w opinii EROD inicjatywy zmian w dyrektywie e-privacy dotyczące cookies, choć z szeregiem bardziej szczegółowych zastrzeżeń. Ten kierunek trzeba kontynuować: ochrona praw podstawowych powinna być realizowana na wysokim poziomie, RODO jest ogromnym osiągnięciem w obszarze praw człowieka i prywatności w erze cyfrowej, ale cele można osiągać tak, by jednocześnie ograniczać nadmierne obciążenia prawne i formalne dla administratorów. Dopóki sprawuję ten urząd, taki kierunek będę wspierał.
Walka z deepfake'ami. Zmiany w DSA i prawie karnym
Wspomniał pan o Rafale Brzosce - to bardzo znany przykład kogoś, kto postanowił walczyć z deepfake’ami i scamami wykorzystującymi jego wizerunek oraz wizerunek jego żony. Jak dziś wygląda dialog w tej sprawie? Nadal prowadzicie rozmowy z Metą, widać zmianę w podejściu platformy?
- W indywidualnych sprawach doszło do pewnych pozytywnych, choć umiarkowanych zmian. W przypadku pani Omeny Mensah liczba scamowych reklam praktycznie spadła do zera, natomiast w odniesieniu do pana Brzoski takie treści niestety wciąż się pojawiają.
Doceniam to, że pan Rafał Brzoska działa w interesie publicznym, nie skupiając się wyłącznie na swojej sytuacji. Takie jest również moje podejście. Oprócz indywidualnych postępowań skargowych przed Prezesem UODO , oboje złożyli skargi do sądu, a Meta czterokrotnie przegrała w tej sprawie przed sądem administracyjnym. Pozostaje jeszcze kwestia systemowa. Niestety duże platformy zarabiają na oszukańczych reklamach bardzo duże pieniądze - Reuters podawał, że to około 10 proc. ich dochodu.
Obowiązek oznaczania treści syntetycznych miał wejść w życie dopiero w sierpniu tego roku, a i tak nie obejmie wszystkich tego rodzaju spraw. Wygląda na to, że UE przesunie ten termin jeszcze na grudzień. Cieszę się jednak, że do Omnibusa zaproponowano ostatnio dodanie ogólnoeuropejskiego zakazu dla treści typu deepporn i nudification. Niemniej póki ich nie ma, potrzebne są przepisy krajowe i o nie zabiegam. Sprawa nie dotyczy tylko osób znanych, chodzi także o deepfake’i i tzw. deepnude, które uderzają w dzieci i młodzież, prowadząc do kryzysów psychicznych, a czasem wręcz do samobójstw.
Teoretycy prawa karnego wskazują, że mamy już w Polsce kilkanaście przepisów, które mogłyby mieć zastosowanie, ale gdy proszę policję i prokuraturę o podjęcie działań, te organy twierdzą, że obecnych przepisów nie da się stosować do treści syntetycznych. W takiej sytuacji nie pozostaje nic innego, jak stworzyć nowe rozwiązania. Tu nie mamy do czynienia z nadregulacją, lecz z luką - chodzi o wąsko zakreśloną grupę bardzo precyzyjnych przepisów, podobnych do tych, które przyjęły Włochy czy Francja, aby poradzić sobie z najbardziej szkodliwymi treściami.
Ostatecznie jednak wprowadzenie tych przepisów na poziomie unijnym pozwoli na najbardziej systemowe rozwiązanie problemu, ale nie ma co na to spokojnie czekać, trzeba działać już teraz.
Czy w polskiej wersji ustawy - zwłaszcza po prezydenckim wecie do ustawy wdrażającej DSA - należałoby doprecyzować przepisy właśnie w obszarze deepfake’ów?
- Zdecydowanie tak. Skoro prezydent zawetował ustawę, zwróciłem się do Ministra Cyfryzacji i Ministerstwa Sprawiedliwości z prośbą, aby wykorzystać ponowne prace legislacyjne do wprowadzenia rozwiązań dotyczących zwalczania deepfake’ów.
Minister Waldemar Żurek ogłosił powstanie specjalnego zespołu przy Ministerstwie Sprawiedliwości. Powiem tak: nie jest kluczowe, w której ustawie te przepisy się znajdą - ważne, by w ogóle znalazły się w polskim prawie.
Uważam, że powinny funkcjonować obok przepisów wdrażających DSA, które zawierają dobre rozwiązania mogące wspierać ochronę prawną w tym obszarze. Być może to właśnie Ministerstwo Sprawiedliwości jest najlepszym miejscem do wypracowania przepisów karnych.
Czyli jednak w prawie karnym?
Tak, myślę, że rozwiązania administracyjne wdrażające DSA i przepisy karne mogą i powinny się uzupełniać. Trzeba się liczyć z tym, że wokół DSA będzie toczyła się dyskusja o charakterze politycznym, ale równolegle można pracować nad rozwiązaniami karnymi.
Jeśli Minister Sprawiedliwości zdecyduje się je przygotować, na pewno będziemy uczestniczyć w pracach - zapowiedziano, że zostanę zaproszony do tego zespołu. Jeśli z kolei na poziomie rządowym zapadnie decyzja, by wdrożyć je osobno, również będziemy gotowi współpracować.
Jednocześnie w indywidualnych sprawach staram się - przy zachowaniu wszystkich gwarancji - stosować już istniejące przepisy, bo moim zdaniem w części przypadków można je odpowiednio interpretować. Przykładem jest wyrok sądu w Bydgoszczy, gdzie skazano osoby, które stworzyły, wykorzystały i przerobiły cudzy wizerunek - to pokazuje, że obecne przepisy mogą być stosowane. Mogą one dawać częściową ochronę, a przy właściwej interpretacji stanowić swoistą tarczę.
Centralne Biuro Zwalczania Cyberprzestępczości stoi na stanowisku, że najlepszym wzorcem są przepisy włoskie. Skoro CBZC mówi, że mogłoby je spokojnie stosować, to uważam, że to bardzo ważny głos.
Jeśli chodzi o głośną sprawę dziewczynki, której wizerunek został wykorzystany w deepfake’u, zwrócił się pan do Prokuratora Generalnego o wsparcie. Jakiego finału tego postępowania by pan oczekiwał?
- Oczekiwałbym skutecznego ścigania tego zachowania, bo jest ono niewątpliwie naganne i społecznie szkodliwe. Po mojej prośbie Prokurator Generalny polecił podjęcie postępowania na nowo. Przekazałem prokuraturze wszystkie informacje, którymi dysponuje Urząd, ale niestety prokuratura tym razem umorzyła postępowanie, twierdząc, że nie doszło do spełnienia przesłanek czynu zabronionego. Postanowienie to zaskarżyłem do sądu i pozostaje nam czekać na wynik. Wydaje mi się, że jakieś konsekwencje powinny zostać wyciągnięte.
Chcę podkreślić, że nie chodzi o to, by nieletnich, bo tu mówimy o nieletnich, którzy przerobili zdjęcie swojej koleżanki, wsadzać do więzienia, ale o zastosowanie odpowiednich środków wychowawczych. Bezkarność sprawców sprawia, że po drugiej stronie są osoby pokrzywdzone, pozostawione same sobie.
Wspomniany przypadek jest głośny, ale można się domyślać, że w wielu szkołach mogły się zdarzać podobne sytuacje. Główną przyczyną był brak świadomości wśród dzieci? Z drugiej strony, gdy Grok wprowadził funkcję przerabiania zdjęć i możliwość nawet rozbierania osób, korzystali z niej masowo także dorośli.
- Być może czasem to po prostu bezmyślność. Bardzo często chodzi o zabawę - i o ile dorośli świadomie zgadzają się na udział w takiej zabawie, można mówić co najwyżej o przekraczaniu granic dobrego smaku.
Problem pojawia się wtedy, gdy przekraczane są granice prawa, naruszane są dobra osobiste i godność. W przypadku dzieci ten poziom wrażliwości musi być jeszcze wyższy, bo w grę wchodzą również przestępstwa związane z ochroną małoletnich.
Liczę, że po działaniach Państwowej Komisji ds. Przeciwdziałania Pedofilii i sejmowej Komisji ds. Dzieci i Młodzieży, która przyjęła dezyderat o potrzebie nowych przepisów, problem zostanie potraktowany poważnie i skutecznie rozwiązany.
Dodam, że dosłownie w ostatnich dniach złożyłem kolejne zawiadomienie, tym razem dotyczące wygenerowania syntetycznego nagiego zdjęcia nauczycielki. Ona w mediach społecznościowych głośno upomina się o swoje prawa i choćby dlatego nie mogłem przejść wokół tej sprawy obojętnie.
Sharenting do uregulowania?
Chciałabym też zapytać o sharenting, czyli publikowanie zdjęć dzieci online m.in. przez rodziców. Za każdym razem, gdy wraca ta dyskusja, słyszę argument: „to ja decyduję, czy moje dziecko będzie w sieci”. Często nawet ostrzeżenia dotyczące możliwości wykorzystania wizerunku dziecka przez pedofilów nie trafiają do części opiekunów. Czy to zjawisko pana zdaniem wymaga odrębnych regulacji?
- To problem, którym zajęliśmy się w granicach naszych kompetencji. Wydaliśmy m.in. podręcznik dotyczący wykorzystania wizerunku osoby, zawierający zalecenia i rekomendacje ograniczania publikacji wizerunku do sytuacji niezbędnych i uzasadnionych, z zastosowaniem odpowiednich środków technicznych. Mamy jednak do czynienia z różnymi nadużyciami, czasem wręcz niesmacznymi, jak reklamy przedszkola z dwudziestką przedszkolaków z zasłoniętymi twarzami, wygląda to bardzo dziwnie, wręcz fatalnie.
Z punktu widzenia UODO jest to jednak obszar, w którym wiele zależy od decyzji politycznych dotyczących tego, czy i jak wizerunek można wykorzystywać. Urząd nie może po prostu ogłosić, że wizerunku dzieci nie wolno wykorzystywać w ogóle - wyszlibyśmy poza naszą rolę i ustawowe uprawnienia.
Osobiście uważam wiele z tych praktyk za nieporozumienie. W ubiegłym roku, poza działaniami edukacyjnymi, przeprowadziliśmy serię kontroli w placówkach edukacyjnych. Wyniki nie były złe: w większości placówek istniały zgody na przetwarzanie danych i zwracaliśmy uwagę na nadmiarowość wykorzystania wizerunku; w kontrolowanych jednostkach standardy były przestrzegane. Duża liczba instytucji, organizacji, rodziców i działaczy społecznych mówi o tym i działa, co buduje wiedzę. Zgadzam się, że część rodziców nie jest wrażliwa na argumenty, ale liczę, że to kwestia czasu. Być może dziś rozmowa o nowych przepisach jest potrzebna, ale może za dwa - trzy lata świadomość będzie już tak duża, że sharenting stanie się marginesem.
Po mojej interwencji w sprawie jednej z organizacji, która wręcz promowała sharenting, minister pracy Agnieszka Dziemianowicz-Bąk zdecydowała o interwencji w sprawie statutu i ten przypadek trafił do sądu. Organy państwa reagują, a my musimy konsekwentnie prowadzić działania uświadamiające wobec rodziców. Choć skontrolowaliśmy tylko kilkadziesiąt placówek, a w skali kraju są ich tysiące, to przy każdym sygnale o możliwości naruszenia przepisów będziemy reagować. I reagujemy.
Skoro jesteśmy przy temacie ochrony dzieci, jaka jest pana opinia w sprawie pomysłu ograniczenia dostępu dzieci i młodzieży do 16. roku życia do mediów społecznościowych?
- Patrząc na doświadczenia nie tylko polskie, ale i międzynarodowe, zdecydowanie opowiadam się za skuteczną weryfikacją wieku użytkowników i zapewnieniem, że jest on respektowany w sieci, czyli za urealnieniem istniejących reguł. Bez tego wszelkie rozwiązania opierające się wyłącznie na dobrej woli platform będą niewystarczające.
Dlatego tak bardzo zależy mi na skutecznym wdrożeniu rozporządzenia eIDAS 2.0, Europejskiego Portfela Tożsamości Cyfrowej. Cieszę się z ostatnich wypowiedzi premiera Krzysztofa Gawkowskiego i ministra Dariusza Standerskiego, którzy wskazali ten kierunek. UODO będzie wspierać Ministerstwo Cyfryzacji w tej sprawie. Skierowaliśmy już stosowne wystąpienia i widzę, że ministerstwo wsłuchuje się w te głosy. Uważam, że to właściwy kierunek.
Sztuczna inteligencja pogłębia problemy
Zmienię temat i dopytam jeszcze o sztuczną inteligencję. Czy obserwujecie wzrost liczby skarg na nieprawidłowe przetwarzanie danych osobowych z wykorzystaniem systemów AI, czy raczej firmy dopiero ostrożnie wchodzą w ten obszar, mimo że dużo się o nim mówi? W raporcie UODO zwróciła moją uwagę liczba: 95,9 proc. organizacji ocenia, że są nieprzygotowane lub niepewne w zakresie stosowania RODO w kontekście AI. Jakie widzi pan główne zagrożenia w tym obszarze?
- Dodam jeszcze jedną ważną informację: 46 proc. organizacji uważa, że nie przetwarza danych osobowych, ani nie będzie ich przetwarzać z wykorzystaniem AI, co przy rodzaju usług i działalności, które prowadzą, jest po prostu niemożliwe, jeśli rzeczywiście chcą stosować sztuczną inteligencję.
Ten wysoki poziom braku świadomości może być jednak dobrą informacją - pokazuje ogromne zapotrzebowanie na wiedzę. I taką funkcję chcę, by pełnił Urząd Ochrony Danych Osobowych. Poza uczestnictwem w pracach na poziomie europejskim - w tym przy opinii wydanej w grudniu 2024 r. i przy pracach nad wytycznymi dotyczącymi stosowania RODO w kontekście sztucznej inteligencji, prowadzimy również działania krajowe. Badania przeprowadzone wśród polskich organizacji będą kontynuowane poprzez prace nad wypracowaniem wzorców i konkretnych przykładów dobrego zastosowania systemów AI w działalności różnych typów instytucji.
Rozmawiałem już o tym ze Społecznym Zespołem Ekspertów przy Prezesie UODO - właśnie po to w czerwcu ubiegłego roku powstała grupa robocza ds. AI, złożona z kilkunastu wybitnych ekspertów. Dzięki współpracy z nimi chcemy realizować przyjęty plan i w tym roku pokazać efekty - tak, by nie tylko egzekwować ochronę danych, ale też wspierać innowacyjność, czyli korzystanie z nowych narzędzi technologicznych przy zachowaniu wysokiego poziomu ochrony danych. Rola Urzędu łączy egzekucję, edukację oraz wspieranie administratorów w dobrym stosowaniu przepisów w świecie nowych technologii.
Jakie są priorytety na ten rok, w kontekście nadchodzących regulacji i wyzwań związanych choćby ze sztuczną inteligencją?
- Priorytetów jest wiele, ale kontekst nowych technologii jest najważniejszy. Dotyczy różnych obszarów, jak prawo pracy i wykorzystanie systemów AI w rekrutacji - nad tym również pracujemy. Przygotowujemy Urząd do nowych ról wynikających z kolejnych aktów prawnych, nie tylko AI Act, ale także Data Act, eIDAS oraz Aktu o zarządzaniu danymi (DGA), który przewiduje nową rolę Urzędu.
Poza tym będziemy kontynuować inicjatywy edukacyjne i działania podnoszące świadomość, które są zawsze potrzebne, szczególnie w kontekście nowych technologii. Kluczowe jest też skuteczne działanie Urzędu – egzekwowanie prawa i realizacja praw osób, których dane dotyczą. Liczba skarg rośnie o ponad 40 proc. rok do roku, podczas gdy nasze zasoby rosną bardzo powoli.
Naturalnie nasuwa mi się pytanie o wyzwania budżetowe i kadrowe.
- Staramy się jak najlepiej układać zasoby, ale jeśli tendencja wzrostu skarg się utrzyma, będę przedstawiał te dane rządowi i parlamentowi. W dobie różnorodnych zagrożeń obywatele zasługują na skuteczną ochronę swoich danych w rozsądnym czasie. Po raz pierwszy przekroczyliśmy o 40 proc. liczbę wydawanych decyzji administracyjnych, co odbywa się ogromnym wysiłkiem pracowników Urzędu i bardzo im za to dziękuję.
Szacowaliście, jakie większe zasoby kadrowe i budżetowe byłyby pożądane w obliczu nowych wyzwań i obowiązków?
- Skoro liczba skarg wzrosła o 40 proc., to Departament Skarg liczący dziś 60 osób powinien wzrosnąć o podobny odsetek. Wiem jednak, że w realiach budżetowych jest to trudne. Każda dodatkowa para rąk jest jednak na wagę złota, bo oznacza dodatkowe postępowania i konkretną ochronę dla konkretnych osób.
Staramy się wprowadzać usprawnienia i automatyzację systemów, by jak najlepiej wykorzystywać zasoby, ale też są granice takich działań. Ostateczne decyzje co do zapewnienia odpowiedniej ochrony prawnej obywatelom należą do decydentów politycznych.
PLLuM w Urzędzie Ochrony Danych Osobowych?
Czy były zatem rozmowy na temat wykorzystania polskiego modelu językowego PLLuM w administracji? Czy w waszym przypadku zastosowanie systemu AI jest wykluczone?
- Tak, takie rozmowy były. Proszę pamiętać, że musimy zachować niezależność: chodzi o konkretne systemy, w których mogą być przetwarzane dane osobowe, a my musimy zachować niezależność, której wymaga od nas rola organu nadzorczego. Nie jesteśmy typowym urzędem administracji państwowej.
Jednak różne rozmowy i prace przygotowawcze prowadzimy, może nie jesteśmy technicznie bardzo zaawansowani, ale będziemy wykorzystywać to, co możliwe. Planujemy warsztaty, robiliśmy studia nad własnymi rozwiązaniami i pewne rzeczy będziemy aplikować, zarówno w obsłudze klientów zewnętrznych, jak i wewnętrznych. Specyfika niezależnego Urzędu Ochrony Danych Osobowych wymaga szczególnej ostrożności, ale chcemy to zrobić tak, żeby „mieć ciastko i zjeść ciastko”, zapewniając efektywność rozwiązań i niezależność pozycji.
Czyli można przyspieszyć tę pracę, ale trzeba mieć na uwadze bezpieczeństwo i rolę nadzorczą.
- Dokładnie, bezpieczeństwo, naszą rolę nadzorczą i fakt, że Urząd może później rozstrzygać sporne kwestie związane z działalnością tych systemów. Zrobimy to tak, aby zapewnić poszanowanie wszystkich standardów i usprawnić naszą pracę dla skutecznej ochrony praw podstawowych i wykorzystania potencjału danych.
Dziękuję za rozmowę.
