Mirosław Wróblewski, prezes UODO: Wyższe kary mają efekt prewencyjny

Minął rok od objęcia przez pana stanowiska prezesa UODO. Co było największym osiągnięciem w tym okresie?

Pierwsza kwestia to skuteczne egzekwowanie przepisów o ochronie danych osobowych. Oczywiście, ono najczęściej znajduje wyraz w nakładanych karach administracyjnych, które w 2024 r. wyniosły łącznie 13,3 mln zł, co stanowi ok. 44 proc. wszystkich kar wydanych od początku stosowania RODO w Polsce, czyli od 2018 r., ale także we wszystkich innych działaniach podejmowanych przez urząd. W tym także w obszarach, które do tej pory nie były objęte nadzorem, mianowicie kwestie fałszywych reklam, czyli dwóch wydanych postanowień zabezpieczających w stosunku do Mety. Wojewódzki Sąd Administracyjny podtrzymał moje decyzje. Egzekwowanie przepisów to jedna z nóg, na których stoi UODO, drugą jest edukacja i budowanie świadomości na temat ochrony danych osobowych.

Co się udało zrobić w tej drugiej kwestii?

Przede wszystkim poprawiła się komunikacja Urzędu – zarówno z administratorami danych, jak i z obywatelami. Wraz ze współpracownikami odbyłem wiele spotkań z organizacjami branżowymi, biznesowymi, czyli zrzeszającymi administratorów z różnych dziedzin i obszarów gospodarki, ale też z organami państwa, szeroko pojętą administracją publiczną oraz organizacjami inspektorów ochrony danych. Urząd Ochrony Danych Osobowych jest dzięki temu postrzegany jako aktywny regulator, który zna potrzeby rynku oraz obywateli i jest dla nich dostępny. Organizujemy wiele seminariów i konferencji. Zainteresowanie wydarzeniami dotyczącymi ustawy o sygnalistach, przekroczyło nawet nasze możliwości techniczne. W tych działaniach ważną rolę odgrywa też Społeczny Zespół Ekspertów przy prezesie UODO. Biorą oni m.in. udział w konsultowaniu i aktualizacji poradników UODO. Np. w sprawie zgłaszania naruszeń ochrony danych, który zostanie wkrótce zaprezentowany.

Podejmowaliśmy też działania edukacyjne dotyczące praw dzieci i młodzieży, np. na temat wykorzystywania wizerunku osób niepełnoletnich. Edukowaliśmy również seniorów. Zawarłem m.in. porozumienie z uniwersytetami trzeciego wieku. Do osiągnięć zaliczyłbym także realizację działań regionalnych. Pomimo że urząd nie posiada oddziałów w województwach, to jesteśmy mobilni w ramach programu „UODO rusza w kraj”. Cieszę się także, że wzrosło zaufanie do Urzędu.

Jakie są priorytety na drugi rok kadencji?

W kontekście nowych technologii jest to na pewno sztuczna inteligencja. Zamierzam powołać nową grupę roboczą w tym zakresie. Drugi ważny dla nas obszar to ochrona danych medycznych, co pokazały zarówno decyzje, które podjąłem w zeszłym roku, jak i skargi na administratorów w związku z naruszaniem przepisów o ochronie danych osobowych, które trafiają do Urzędu. Z tego powodu jednostki prowadzące działalność leczniczą stały się przedmiotem priorytetowych kontroli prezesa UODO w tym roku.

Na jakim etapie jest postępowanie w sprawie ChatGPT? Czy wdrażanie AI aktu pomoże lepiej kontrolować sztuczną inteligencję w zakresie ochrony danych osobowych?

Postępowanie w sprawie OpenAI wciąż trwa. Konieczne było zebranie nowych dowodów. Jest ono bardzo skomplikowane. Oczywiście musimy tu zachować spójność, tzn. uwzględniać decyzje innych organów nadzorczych w podobnych sprawach. Takie postępowania przeciągają się często, bo strony składają nowe wnioski dowodowe. Musimy je bardzo poważnie rozważać, ponieważ sądy administracyjne uchylają decyzje organu ze względu na „brak wszechstronnego wyjaśnienia sprawy”. Dlatego kładę duży nacisk, by wyjaśnienia były skompletowane w całości. Podobnie w tej sprawie, materiał był bliski zamknięcia postępowania, myślałem że wydamy decyzję w grudniu. Ale wtedy uaktywnili się pełnomocnicy i 7 stycznia OpenAI złożyło wniosek o przedstawienie dodatkowych wyjaśnień przed wydaniem decyzji. Przez takie działania pełnomocników, nakierowane być może na odsunięcie wydania decyzji, postępowanie trwa. Dbamy o to, by wszystkie prawa stron były skrupulatnie przestrzegane.

Natomiast akt o sztucznej inteligencji nie narusza RODO. W zakresie wszystkich tych systemów, czy modeli sztucznej inteligencji, w których przetwarzane są dane osobowe, UODO zachowuje w pełni swoje kompetencje. Pracujemy w tym momencie także nad ułatwieniem funkcjonowania podmiotom wprowadzającym na rynek te narzędzia, pokazując dobre praktyki, np. odnoszące się do oceny skutków dla ochrony danych.

Czytaj więcej

Dane osobowe

Mirosław Wróblewski, prezes UODO: Nie dla „Pay or okey” w danych osobowych

Bardzo często godzimy się na przetwarzanie naszych danych, w tym biometrycznych, pod pretekstem korzystania z określonych usług – mówi Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych.

Wspomniał pan też o dwóch decyzjach wobec Mety. Przypomnijmy, że dotyczą one zakazu publikacji fałszywych treści (deep-fake) z wizerunkiem Rafała Brzoski i jego żony. Sprawa jest precedensowa, ale czy zmieni postawę gigantów cyfrowych w tej kwestii?

Jesteśmy jednym z kilkudziesięciu organów nadzorczych w UE, a mamy do czynienia z globalnym gigantem. Na pewno ta sprawa buduje świadomość praw, z jednej strony u obywateli (podmiotów danych), że jednak istnieją środki prawne, po których nawet Meta może podjąć intensywniejsze działanie. Mamy to udokumentowane, że firma starała się dosyć skrupulatnie wykonywać i usuwać linki do tych fałszywych reklam po wydaniu przeze mnie postanowień. Nie było to w mojej ocenie wystarczające, ale na pewno było widać mobilizację, czyli jednak to oddziaływanie jest.

11 grudnia spotkałem się z przedstawicielami Meta zarówno z siedziby w Dublinie, jak i w Warszawie. Na spotkaniu omawialiśmy m.in. kwestię scamu – fałszywych reklam. Chodzi o to, by ukrócić działania oszustów, wykorzystujących czyjeś dane osobowe, w tym wizerunek, by zachęcić do wpłacania pieniędzy. Meta pokazała wówczas rozwiązania służące eliminacji fałszywych reklam przy wykorzystaniu automatycznej analizy wizerunku. Można mieć wątpliwości co do skuteczności tego narzędzia. Meta prowadzi rozmowy w tej sprawie z organami Unii Europejskiej. Widać, że jest reakcja i pewne próby rozwiązań systemowych w tym zakresie. Sprawa na pewno nie jest zakończona.

Ostatnio nawiązałem współpracę także z prezesem Naczelnej Rady Lekarskiej. Okazuje się, że wykorzystywany jest wizerunek znanych lekarzy, autorytetów w branży, do reklamowania fałszywych leków, w szczególności na cukrzycę. Niestety, niektórzy pacjenci rezygnują z naukowo udowodnionych metod leczenia i lekarstw.

Mówił pan też o skutecznym egzekwowaniu RODO. Co udało w tym zakresie osiągnąć?

Wydałem blisko 30 decyzji o nałożeniu kar. Podobnie było rok wcześniej, ale dziesięciokrotnie wzrosła suma kwot kar. Najwyższa była nałożona na mBank, za niezawiadomienie osób poszkodowanych wyciekiem danych. W tej sprawie wysokość kary nie wynikała wyłącznie z wielkości obrotów tego podmiotu, ale także z działania, które miało charakter systemowy. Wielokrotnie upominany za podobne działania bank uczynił sobie z niezawiadamiania klientów swoistą politykę, mając pełną świadomość możliwych negatywnych dla klientów konsekwencji.

Dziesięciokrotny wzrost sumy kwot nałożonych kar nie wynika z rosnącej surowości, ale m.in. z wysokości obrotów ukaranych podmiotów i z tego, że chciałbym, aby do przestrzegania przepisów o ochronie danych osobowych administratorzy podchodzili odpowiedzialnie i poważnie. Czytając publiczne komentarze oraz odbywając spotkania, widzę, że te decyzje także są analizowane i wywierają efekt prewencyjny na innych administratorów.

Czytaj więcej

Dane osobowe

Nowy prezes UODO: Autorytet buduje się poprzez dialog

Sztuczna inteligencja daje fantastyczne rezultaty w wielu obszarach. Jednocześnie to zagrożenie, jeżeli chodzi o prywatność, ochronę danych osobowych, ale też potencjał algorytmicznej dyskryminacji przy przetwarzaniu danych jest bardzo duży – mówi Mirosław Wróblewski, nowo wybrany prezes Urzędu Ochrony Danych Osobowych.

A jak idzie prowadzenie bardziej politycznych spraw? Już przy pana wyborze było głośno o sprawie wyborów kopertowych i z tego, co wiem, to wciąż jest w toku. Druga głośna kwestia to zbieranie numerów PESEL przez Prawo i Sprawiedliwość przy okazji wpłat na tę partię. Na jakim etapie są te postępowania?

Zacznijmy od tej drugiej sprawy. Skierowałem dwa tygodnie temu pismo z dodatkowymi pytaniami do PiS, z uwagi na niewyjaśnienie wszystkich kwestii zawartych w pierwotnym zapytaniu.

Jeżeli chodzi o sprawę wyborów kopertowych, to przypomnę, że cofnąłem skargi kasacyjne poprzedniego prezesa, nie zgadzając się z przyjętą przez niego linią. Mój pogląd został także potwierdzony prawomocnymi wyrokami sądów administracyjnych, przede wszystkim NSA, stwierdzającymi naruszenia ochrony danych osobowych ze strony zarówno ministra cyfryzacji, jak i Poczty Polskiej. Mając na względzie te wyroki, konieczne jest przeprowadzenie postępowania administracyjnego, które zamierzam w ciągu najbliższych miesięcy zakończyć wydaniem decyzji administracyjnej. Nie ma wątpliwości, że w tej sprawie doszło do naruszenia ochrony danych.

Dlaczego postępowania tak się ciągną?

Jeśli chodzi o wybory kopertowe, to niestety przez cztery lata poprzedni piastun organu odmawiał w ogóle podjęcia działań. Cofnąłem skargi kasacyjne poprzedniego prezesa niedługo po wyborze, ale kilka miesięcy czekaliśmy na rozstrzygnięcia sądu.

Natomiast w sprawie ChatGPT, to tak jak mówiłem, wydanie decyzji bez wysłuchania strony mogłoby spowodować uchylenie decyzji przez sąd z powodów proceduralnych. Przyspieszanie postępowań z naruszeniem praw stron postępowania nie byłoby zgodne z zasadą praworządności, która w moich działaniach jest kluczowa.

Jakie jeszcze widzi pan wyzwania na resztę kadencji?

Na pewno to kontynuacja tych działań, o których już mówiłem, tzn. skuteczne wdrażanie przepisów o ochronie danych osobowych. Ale także wzmacnianie „drugiej nogi”, czyli budowanie świadomości i edukacja w zakresie ochrony danych. Nie ma ważniejszej kwestii niż wiedza na temat tego, jak samemu na co dzień chronić swoje dane. Przede wszystkim chcemy dotrzeć do osób najmłodszych i najstarszych, które są szczególnie zagrożone w świecie cyfrowym. Na pewno sprostanie kwestiom związanym z przetwarzaniem danych osobowych w kontekście nowych technologii, przede wszystkim sztucznej inteligencji jest największym wyzwaniem – także w kontekście zagrożeń związanych z cyberprzestępczością.

Duże znaczenie ma intensyfikacja skuteczności działań w sprawach transgranicznych. Dlatego postanowiłem wyodrębnić Departament Współpracy Międzynarodowej, żeby te zadania nie były rozproszone po całym urzędzie. Chodzi tu o kwestię np. chińskich platform sprzedażowych czy transferu danych poza Unię Europejską – to na pewno będzie jednym z ważnych punktów działalności UODO. To sprawy wielowątkowe, w których współpracujemy z innymi organami państwa, na przykład z Ministerstwem Technologii i Rozwoju, z partnerami społecznymi, czyli z Polską Izbą Gospodarki Elektronicznej, a także z organami nadzorczymi z innych państw unijnych i z Europejską Radą Ochrony Danych Osobowych. Dochodzą nowe zadania urzędu. Lista nowych kompetencji zajmuje ponad 20 stron.

Jakie są konieczne zmiany w przepisach? O co urząd będzie zabiegał?

W ubiegłym roku wydaliśmy bardzo dużo ważnych opinii, które dotyczą zarówno ustawy o środkach komunikacji elektronicznej, prawa komunikacji elektronicznej, jak i kodeksu postępowania karnego. Współpraca z Ministerstwem Sprawiedliwości na wielu płaszczyznach, m.in. w kwestii pieczy zastępczej jest bardzo dobra. Zgłosiliśmy też uwagi do tzw. ustawy Kamilka. Dzięki wsparciu resortu sprawiedliwości i UODO udało się stworzyć nowe stowarzyszenie inspektorów ochrony danych osobowych w sądownictwie. Takiej organizacji nie było, a wdrażanie ochrony danych w sądach jest niezwykle istotne. Chciałbym też podkreślić, że priorytetem jest również lepsze uwzględnienie ochrony danych w legislacji. Potrzebujemy tego, ponieważ w wielu sprawach, takich jak np. zatrzymywanie danych telekomunikacyjnych, jest wiele do poprawy w zakresie ochrony prawa do prywatności.

Niedawno wydał pan kolejną opinię dotyczącą tego problemu…

Tak, Polska ma do wykonania wyroki Trybunału Sprawiedliwości UE oraz Europejskiego Trybunału Praw Człowieka w sprawie Pietrzak, Bychawska-Siniarska przeciw Polsce. Liczę na to, że kropla drąży skałę. Moje doświadczenie z pracy w Biurze Rzecznika Praw Obywatelskich dowodzi, że wieloletnie problemy czasem udaje się rozwiązywać. Nie należy odpuszczać i ja na pewno nie zamierzam.