17 godzin temu
- Projekt UC141 ma stworzyć krajową procedurę wydawania nakazów podjęcia działań przeciwko nielegalnym treściom udostępnianym w Internecie w wykonaniu art. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 z 19.10.2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) (Dz.Urz. UE L z 2022 r. Nr 277, s. 1; dalej: DSA).
- Prezes UODO postuluje rozszerzenie katalogu czynów objętych procedurą o przestępstwa z art. 107 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781; dalej: OchrDanychU) oraz art. 54 ustawy z 14.12.0218 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (t.j. Dz.U. z 2023 r. poz. 1206; dalej: OchrDanychZwPrzestU).
- Organ nadzorczy wskazuje również na potrzebę przeprowadzenia „testu prywatności”, doprecyzowania zasad przetwarzania danych w procedurze oraz rozważenia szybszego trybu blokowania treści w najpoważniejszych sprawach, zwłaszcza dotyczących dzieci i młodzieży.
Projekt wdrażający art. 9 DSA
Przedłożony projekt ustawy o zmianie ustawy o świadczeniu usług drogą elektroniczną oraz niektórych innych ustaw (UC141) ma zapewnić stosowanie art. 9 DSA. Z uzasadnienia projektu, przywołanego również w piśmie Prezesa UODO, wynika, iż w prawie polskim przez cały czas brak jest ogólnej podstawy umożliwiającej wystąpienie o wydanie nakazu podjęcia działań przeciwko nielegalnym treściom w Internecie. Projekt ma tę lukę usunąć przez dodanie do ustawy z 18.7.2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2024 r. poz. 1513; dalej: ŚwiadUsłElektU) nowego rozdziału 2a.
Prezes UODO nie kwestionuje kierunku zmian. Wskazuje, iż skuteczna ochrona użytkowników przed nielegalnymi treściami stanowi istotne wyzwanie, a brak odpowiedniej procedury osłabia ochronę prawną obywateli. Uwagi organu mają charakter korekcyjny i dotyczą sposobu ukształtowania mechanizmu, tak aby nie obniżyć standardu ochrony danych osobowych.
W porównaniu ze stanem sprzed nowelizacji projekt ma wypełnić lukę proceduralną i wprowadzić ogólny mechanizm nakazowy wobec nielegalnych treści rozpowszechnianych przez usługi pośrednie, podczas gdy dotychczas funkcjonowały jedynie rozwiązania szczególne. Powstaje jednak pytanie, czy przyjęta konstrukcja w wystarczającym stopniu uwzględnia związek takich treści z przetwarzaniem danych osobowych?
Ochrona dzieci, prywatności i bezpieczeństwa informacyjnego
Najbardziej konkretny postulat legislacyjny dotyczy projektowanego art. 11a ŚwiadUsłElektU. Projekt zakłada możliwość wydania nakazu podjęcia działań przeciwko nielegalnym treściom, gdy ich rozpowszechnianie wyczerpuje znamiona czynu zabronionego lub do niego nawołuje.
Prezes UODO wskazuje jednak na istotną lukę w katalogu tych czynów. Pominięto przestępstwo nielegalnego przetwarzania danych osobowych z art. 107 OchrDanychU oraz przestępstwo niedopuszczalnego lub nieuprawnionego przetwarzania danych osobowych z art. 54 OchrDanychZwPrzestU. Zdaniem organu czyny te wiążą się z ryzykiem dalszego nielegalnego wykorzystania danych, w tym ich rozpowszechniania w Internecie.
W porównaniu ze stanem sprzed nowelizacji jest to kwestia kluczowa. Mechanizm ochrony nie powinien pomijać treści wynikających z bezprawnego przetwarzania danych. W piśmie wskazano, iż organy ścigania powinny mieć możliwość uruchamiania procedury nakazowej także w takich przypadkach, co zwiększyłoby skuteczność ochrony ofiar.
Test prywatności i ocena skutków dla ochrony danych
Jednym z głównych elementów pisma DPNT.401.41.2026 jest postulat objęcia projektowanych rozwiązań rzeczywistą analizą z perspektywy ochrony danych osobowych. Prezes UODO wskazuje, iż w ramach procedury będą przetwarzane znaczne ilości danych, w tym dane szczególnych kategorii (art. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 2016 Nr 119, s. 1; dalej: RODO), dane dotyczące wyroków i czynów zabronionych (art. 10 RODO) oraz dane objęte tajemnicami prawnie chronionymi.
Z tego względu organ akcentuje konieczność zastosowania standardów z art. 5, 25 i 35 RODO, w tym oceny proporcjonalności, minimalizacji danych, ograniczenia celu i zapewnienia bezpieczeństwa przetwarzania. Wskazuje również na potrzebę przeprowadzenia „testu prywatności” oraz oceny skutków dla ochrony danych.
Nie chodzi przy tym jedynie o ogólne stosowanie RODO. Prezes UODO oczekuje doprecyzowania przepisów tak, aby gwarancje ochrony danych były wyraźnie ujęte już na poziomie ustawy.
Deepfake i potrzeba koordynacji z innymi projektami
W materiałach źródłowych podkreślono, iż problematyka deepfake’ów jest równolegle analizowana po stronie administracji rządowej, w tym przez Ministerstwo Sprawiedliwości. Prezes UODO odwołuje się do wcześniejszych wystąpień w tej sprawie oraz do informacji, iż resort sprawiedliwości zwrócił się do Komisji Kodyfikacyjnej Prawa Karnego o opinię, czy obecne przepisy wystarczająco penalizują rozpowszechnianie deepfake’ów przy użyciu sztucznej inteligencji.
Na tle projektu UC141 organ nadzorczy formułuje więc istotny postulat systemowy. Wnosi, aby rozwiązania procedowane w ramach nowelizacji ŚwiadUsłElektU zostały zsynchronizowane z innymi projektowanymi regulacjami, które mają przyczynić się do zwalczania nielegalnych deepfake’ów. Oznacza to, iż projekt wdrażający DSA nie powinien być tworzony w oderwaniu od innych zmian służących ochronie prywatności i danych osobowych w sieci.
Bezstronność, publikacja decyzji i tryb pilny
Istotna część uwag dotyczy projektowanych art. 11c, 11m i 11n ŚwiadUsłElektU. W odniesieniu do art. 11c Prezes UODO wskazuje, iż projekt nie określa zasad badania przynależności partyjnej i poglądów politycznych osób uczestniczących w procedurze, mimo iż są to dane szczególnych kategorii wymagające wyraźnych podstaw i gwarancji przetwarzania.
Kolejna uwaga dotyczy art. 11m ust. 3 ŚwiadUsłElektU, przewidującego publikację decyzji. Prezes UODO postuluje doprecyzowanie, iż nie będą one zawierały danych osób fizycznych, a w razie ich ujawniania, określenie zakresu danych i okresu ich przechowywania.
W odniesieniu do art. 11n ŚwiadUsłElektU wskazano natomiast, iż brak rygoru natychmiastowej wykonalności może prowadzić do nieodwracalnych skutków dla ofiar, zwłaszcza małoletnich. Z tego względu pod rozwagę poddano wprowadzenie szczególnego trybu dla najpoważniejszych spraw, umożliwiającego niezwłoczne blokowanie treści.
Znaczenie uwag UODO dla dalszych prac nad UC141
Zestawienie komunikatu prasowego z pełnym pismem Prezesa UODO prowadzi do wniosku, iż uwagi organu mają charakter ściśle legislacyjny. Obejmują konkretne postulaty zmian w projekcie: rozszerzenie katalogu czynów objętych procedurą nakazową, doprecyzowanie zasad przetwarzania danych osób uczestniczących w rozpatrywaniu wniosków, uregulowanie zakresu publikacji decyzji i retencji danych oraz rozważenie szybkiego trybu blokowania treści w sprawach najpoważniejszych.
W porównaniu z dotychczasowym stanem prawnym projekt UC141 ma stworzyć instrument, którego w polskim porządku prawnym dotąd brakowało. Stanowisko UODO pokazuje jednak, iż sam fakt wprowadzenia takiego mechanizmu nie będzie wystarczający, o ile równolegle nie zostaną zapewnione odpowiednie gwarancje ochrony danych osobowych i prywatności.
