Ochrona małoletnich w sieci kosztem prywatności?

Uzasadnienie potrzeby ochrony dzieci w środowisku cyfrowym

Projekt ustawy o ochronie małoletnich przed dostępem do treści szkodliwych w internecie (nr UD179) został opracowany w odpowiedzi na rosnące zaniepokojenie społeczne związane z powszechnym dostępem najmłodszych użytkowników do treści pornograficznych oraz innych treści uznanych za szkodliwe dla ich rozwoju. Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski, w opinii (DPNT.401.59.2025) przekazanej Ministerstwu Cyfryzacji, przyznaje, iż inicjatywa ustawodawcza ma słuszne podstawy. Wskazuje, iż dzieci i młodzież są grupą szczególnie podatną na wpływ treści cyfrowych, często nieświadomą zagrożeń i nieposiadającą dostatecznych kompetencji cyfrowych, aby skutecznie się przed nimi chronić.

Nieograniczony dostęp do materiałów o charakterze pornograficznym lub drastycznym stanowi realne zagrożenie dla ich zdrowia psychicznego, rozwoju emocjonalnego oraz funkcjonowania społecznego. W tym kontekście, podjęcie działań ustawodawczych mających na celu ograniczenie ekspozycji dzieci na takie treści jest bez wątpienia konieczne. Prezes UODO także podejmuje regularne działania na rzecz ochrony najmłodszych, czego dowodzą liczne kampanie edukacyjne i priorytety kontrolne na rok 2025, dostępne w repozytorium działań Urzędu.

Braki systemowe i niekonstytucyjna konstrukcja przepisów

Mimo słusznego kierunku, projekt ustawy obarczony jest istotnymi mankamentami, które w ocenie Prezesa UODO mogą prowadzić do naruszenia podstawowych praw i wolności obywatelskich. W szczególności chodzi o prawa gwarantowane w art. 47 i 51 Konstytucji RP – prawo do prywatności oraz prawo do ochrony danych osobowych – jak również o wolność słowa, sumienia i komunikowania się.

Projekt zakłada ustanowienie ograniczeń w dostępie do określonych treści, co stanowi ingerencję w sferę wolności jednostki. Kluczowym problemem jest to, iż podstawowe elementy tego ograniczenia – sposób przeprowadzania weryfikacji wieku oraz szczegóły techniczne – mają zostać określone nie w samej ustawie, ale w formie „zaleceń”, które zgodnie z utrwalonym stanowiskiem doktryny i orzecznictwa, nie mają charakteru prawa powszechnie obowiązującego, a zatem nie mogą być podstawą legalnej ingerencji w konstytucyjne prawa jednostki.

Brakuje w projekcie nie tylko jednoznacznej podstawy prawnej do przetwarzania danych osobowych w związku z weryfikacją wieku, ale także definicji samego procesu weryfikacyjnego. Ustawodawca zobowiązuje dostawców treści do stosowania mechanizmu „uniemożliwiającego dostęp małoletnich do szkodliwych treści”, nie określając jednak, co dokładnie kryje się pod pojęciem „weryfikacji wieku”, na jakiej zasadzie miałaby ona działać, jakie dane miałyby być w jej ramach przetwarzane i jak długo miałyby być przechowywane.

Ryzyka związane z przetwarzaniem danych osobowych i profilowaniem

Z punktu widzenia przepisów RODO, proponowane rozwiązania mogą prowadzić do poważnych naruszeń zasad przetwarzania danych osobowych, w szczególności zasady legalności, minimalizacji danych, ograniczenia celu oraz rozliczalności. Weryfikacja wieku użytkownika internetu – zwłaszcza jeżeli miałaby być realizowana przez podmioty prywatne – będzie nieuchronnie wiązała się z przetwarzaniem danych identyfikujących, a potencjalnie również z zastosowaniem technik profilowania lub rozwiązań z zakresu sztucznej inteligencji.

Brak zapisów regulujących sposób przetwarzania tych danych sprawia, iż projekt narusza również zasadę privacy by design w myśl art. 25 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016 r. Nr 119, s. 1; dalej: RODO) oraz nie przewiduje obowiązkowej oceny skutków dla ochrony danych (art. 35 RODO), mimo iż skala planowanego przetwarzania oraz jego potencjalny wpływ na osoby fizyczne z pewnością spełnia przesłanki tych przepisów.

Prezes UODO jednoznacznie wskazuje, iż brak precyzyjnych przepisów może doprowadzić do wdrażania nieproporcjonalnych mechanizmów weryfikacyjnych, które będą skutkowały masowym, niekontrolowanym przetwarzaniem danych osobowych – często dzieci – bez odpowiednich zabezpieczeń technicznych i prawnych.

Wątpliwa rola Prezesa UODO jako opiniodawcy zaleceń

Projekt przewiduje, iż Prezes UODO będzie wydawał opinie do zaleceń określających metody weryfikacji wieku. Na pierwszy rzut oka może się to wydawać naturalne, biorąc pod uwagę jego kompetencje w zakresie ochrony danych. Jednak brak jakiejkolwiek procedury dotyczącej skutków takiej opinii rodzi ryzyko kolizji z jego podstawową rolą jako niezależnego organu nadzorczego.

Nie wiadomo, czy pozytywna opinia Prezesa UODO co do zaleceń nie będzie potem traktowana jako domniemanie zgodności z RODO, co mogłoby skutkować ograniczeniem jego możliwości kontrolnych i egzekucyjnych. Dodatkowo projekt nie przewiduje przyznania Urzędowi odpowiednich zasobów organizacyjnych i kadrowych, które umożliwiłyby rzetelną realizację tego nowego obowiązku opiniodawczego.

Unijne ramy prawne i możliwe rozwiązania zgodne z zasadą minimalizacji danych

Kwestia weryfikacji wieku w internecie była szeroko omawiana podczas konferencji zorganizowanej przez UODO 2.6.2025 r., poświęconej ramom eIDAS2 i cyfrowej tożsamości. Prezes UODO, a także przedstawiciele Departamentu Współpracy Międzynarodowej, podkreślali możliwość zastosowania nowoczesnych, bezpiecznych technologii pozwalających potwierdzić atrybut wieku bez konieczności ujawniania pełnych danych osobowych.

W szczególności powoływano się na art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 z 19.10.2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (Dz.Urz. UE L z 2022 r. Nr 277, str. 1; dalej: DSA), który dopuszcza ograniczanie dostępu do usług bez konieczności przetwarzania nowych danych oraz na rozporządzenie eIDAS2, które umożliwia weryfikację jednego atrybutu (np. pełnoletniości) przez zaufanego dostawcę tożsamości cyfrowej.

Zgodnie z tym podejściem, dostawca treści nie musi znać dokładnej daty urodzenia użytkownika, jego imienia, nazwiska czy innych danych – wystarczające jest potwierdzenie, iż użytkownik spełnia kryterium wiekowe. Takie podejście znacząco ogranicza ryzyko identyfikacji, lokalizacji czy profilowania użytkowników internetu.

Stanowisko EROD i rekomendacje na poziomie UE

W kontekście europejskim, zasadnicze znaczenie ma oświadczenie Europejskiej Rady Ochrony Danych z 11.2.2025 r. (1/2025), które dotyczy zapewnienia wieku w środowisku cyfrowym. Rada podkreśla, iż wszelkie mechanizmy weryfikacyjne powinny być projektowane w oparciu o analizę ryzyka, uwzględniać zasadę minimalizacji oraz stosować najbezpieczniejsze dostępne technologie z punktu widzenia ochrony prywatności.

Co istotne, EROD wskazuje, iż zapewnianie wieku nie może służyć jako pretekst do tworzenia dodatkowych narzędzi umożliwiających identyfikację, lokalizację czy śledzenie użytkowników. Mechanizmy te nie powinny też umożliwiać tworzenia profili użytkowników ani wykorzystywania ich danych w celach marketingowych czy statystycznych.

Podsumowanie i postulaty de lege ferenda

Projekt ustawy o ochronie małoletnich przed treściami szkodliwymi stanowi istotny krok w kierunku zwiększenia bezpieczeństwa dzieci i młodzieży w środowisku cyfrowym. Jednak jego obecny kształt budzi poważne wątpliwości konstytucyjne i systemowe, a także może prowadzić do naruszeń przepisów unijnych – zarówno RODO, jak i AI Act czy DSA.

W świetle opinii Prezesa UODO oraz unijnych wytycznych należy w szczególności:

Dopiero wtedy nowa ustawa będzie mogła stać się przykładem równowagi między potrzebą ochrony dzieci a poszanowaniem wolności i praw obywatelskich – czego wymagają zarówno przepisy konstytucyjne, jak i europejski porządek prawny.