Politycy publikują akty notarialne na konferencjach prasowych, szkoły montują kamery w łazienkach, a w sieci krążą nagie wizerunki uczniów stworzone przez AI. Prezes Urzędu Ochrony Danych Osobowych mówi o granicach kampanijnej brutalności, bezradności prawa wobec deepfake’ów i o tym, dlaczego w starciu z cyfrowymi gigantami wciąż zbyt łatwo oddajemy własną prywatność.
Jakub Styczyński, Anna Wittenberg, Zero.pl: Nałożył pan 32 tys. zł kary na komitet wyborczy Karola Nawrockiego za naruszanie prywatności osoby fizycznej. Chodzi o sprawę ujawnienia informacji dotyczących Jerzego Ż., czyli mężczyzny, od którego Nawrocki przejął kawalerkę. Wcześniej upomniał pan zarówno komitet Nawrockiego, jak i Rafała Trzaskowskiego. Dlaczego teraz sięgnął pan po sankcję finansową i dlaczego tylko dla jednej strony?
Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych: Upomnienie nałożyłem na oba komitety, bo obie strony dopuściły się naruszenia prywatności pana Jerzego. Ujawniono informacje m.in. o jego miejscu zamieszkania, stanie zdrowia, finansach i problemach z prawem. O ile jednak komitet Rafała Trzaskowskiego nie popełnił kolejnego naruszenia, o tyle w przypadku komitetu Karola Nawrockiego doszło do recydywy. Uznałem, że kolejne naruszenie w tej samej sprawie musi się już spotkać z sankcją.
W jaki sposób doszło do drugiego naruszenia?
W trakcie konferencji prasowej, na której przemawiał przede wszystkim poseł Przemysław Czarnek. Przedstawił wówczas publicznie dokumenty notarialne zawierające dane osobowe pana Jerzego.
Poseł tłumaczył potem, że on nie dokonał naruszenia, lecz dziennikarze fotografujący pokazywane przez niego dokumenty.
Takiego samego argumentu użył kiedyś poseł Kazimierz Smoliński, po ujawnieniu danych o miejscu zamieszkania premiera Donalda Tuska – na niego także zmuszony byłem nałożyć upomnienie. O tym, że adres prywatny powinien być świętością, świadczy to, że nawet premierowi spod domu można było ukraść prywatny samochód.
Argumentacja posłów jest zupełnie chybiona. To tak, jakby ktoś kogoś bił na ulicy, a kara spotkała tego, kto na to patrzył. Oczywiście zachowując właściwe proporcje tego porównania.
Czemu komitet Nawrockiego dostał karę za działania posła Czarnka?
W toku postępowania poseł złożył wyjaśnienia, z których jasno wynikało, że to właśnie komitet wydawał mu instrukcje i polecenia, jak ma wyglądać konferencja prasowa. To oznaczało, że administratorem danych dokonującym naruszenia był komitet wyborczy, a nie poseł. Potwierdził to także sam komitet.
Poseł Przemysław Czarnek na konferencji, podczas której ujawnił dane osobowe Jerzego Ż. (fot. Tomasz Jedrzejowski/REPORTER / East News/Reporter)
32 tysiące złotych to niewysoka kara. Mógł pan nałożyć nawet do 20 mln euro.
Nie o wysokość kary chodzi w takich przypadkach, sankcja musi być proporcjonalna. Ważniejszy jest sygnał do komitetów wyborczych i polityków, aby traktowali prywatność obywateli z należytym szacunkiem.
To zresztą druga kara finansowa dla komitetu, którą nałożyłem. Wcześniej blisko 11 tys. zł musiał zapłacić Komitet Inicjatywy Ustawodawczej „Stop LGBT” za sposób, w jaki prowadził zbiórkę podpisów. Listy pod projektem zakazującym zgromadzeń w sprawie praw osób LGBT leżały niezabezpieczone w kościele.
Urząd zrobił wiele, by upowszechnić poradnik dotyczący ochrony danych osobowych w trakcie kampanii wyborczej. Przeprowadziliśmy szkolenia, zawarliśmy współpracę z Krajowym Biurem Wyborczym…
… ale chyba poradnik się nie przyjął?
Cały czas emocje wyborcze biorą górę albo – wręcz przeciwnie – chłodna kalkulacja. Komitet wyborczy Karola Nawrockiego w dyskusji z urzędem tłumaczył, że dbałość o dobre imię kandydata na prezydenta była ważniejsza niż prawo do prywatności osoby fizycznej. Moim zdaniem dało się osiągnąć ten cel bez wciągania obywatela w kocioł dużej gry politycznej i upubliczniania jego danych.
Co więcej, naruszono też prywatność pani Marty Nawrockiej – osoby niepełniącej żadnej funkcji publicznej. Komitet twierdził, że odbyło się to za jej zgodą, ale nie znaleźliśmy w toku postępowania potwierdzenia dla tej argumentacji.
Urząd niezależny, ale po budżet musi iść do polityków
Jakie właściwie to ma znaczenie?
Chcieliby państwo, żeby ktoś bez państwa wiedzy i zgody ujawnił publicznie wszystkie wasze dane z aktu notarialnego, na temat stanu zdrowia, sytuacji majątkowej, życiowej oraz miejsca zamieszkania?
Niekoniecznie byśmy sobie tego życzyli.
No właśnie. I chyba marnym uzasadnieniem byłoby, że dziennikarze dużych mediów muszą być transparentni, więc powinno się o nich publikować wszelkie możliwe informacje.
Każdy, na czyje dane zaciągnięto pożyczkę lub inne zobowiązanie finansowe przekonał się, że konsekwencje ujawnienia jego danych osobowych mogą być bolesne. Wspomniane przez państwa prawo do „nieżyczenia sobie” jest ważne.
Pan Jerzy jest osobą, której bardzo trudno było bronić swoich praw, gdy z dnia na dzień stał się przedmiotem debaty publicznej. Musi być jakaś instytucja państwowa jak Urząd Ochrony Danych Osobowych, który stanie po jego stronie i zapewni ochronę prawną.
Pytanie o siłę tego urzędu. W kampanii prezydenckiej wszczął pan też postępowania w sprawie posła Michała Wosia i europosła Waldemara Budy. W skrócie: nie odpowiadali na pana żądanie złożenia wyjaśnień.
Te postępowania nadal się toczą.
Zignorowali pana.
Tak było do czasu, gdy otrzymali informację o tym, że prezes UODO może nałożyć karę finansową. Wówczas otrzymałem pisma z biur poselskich obu panów, napisane w bardzo koncyliacyjnym tonie.
Widmo kary ich przekonało?
Mam nadzieję, że docenili wagę ochrony danych osobowych.
Albo wagę swoich portfeli.
W przypadku europosła Waldemara Budy ciekawostką jest to, że pierwsze pismo ode mnie zamieścił w internecie, obśmiewając je. Trudno zatem przyjąć wyjaśnienia, że jego biuro poselskie nie przekazywało korespondencji od UODO.
Pan raczej wadził politykom PiS do czasu, aż Gazeta Wyborcza ujawniła informację o lekach przyjmowanych przez szefa prezydenckiego BBN Sławomira Cenckiewicza. Wtedy zaczepiali pana na portalu X i żądali interwencji. A pan im odpisywał, że wcześniej wprowadzili przepisy, które uniemożliwiły działania.
Rzeczywiście w tej sprawie niestety nie mogłem zrobić wiele, bo w 2019 r. w przepisach ustawowych wpisano, że do informacji niejawnych nie stosuje się przepisów o ochronie danych osobowych. Protestowałem przeciwko temu jeszcze wtedy, gdy pracowałem w Biurze Rzecznika Praw Obywatelskich, ale bezskutecznie. Dziś okazuje się, że UODO powinien móc działać w przypadkach, gdy dochodzi do naruszenia najbardziej wrażliwych danych osobowych, np. tych o stanie zdrowia, również wtedy, gdy objęte są one rzekomo wyższą ochroną, jaką daje reżim informacji niejawnych.
Często jest tak, że politycy próbują pana wciągać w jakieś spory?
Chyba tylko w sprawach dobrze znanych opinii publicznej. Na szczęście niezbyt często.
Czuje pan na sobie presję ze strony rządzących? Może ich pan dociskać jako niezależny urząd, ale to oni ustalają budżet UODO.
Wszystkie nasze dotychczasowe działania pokazują, że traktujemy polityków wszystkich stron w taki sam sposób. Budżet urzędu jest niestety dość skromny, biorąc pod uwagę wyzwania, ale powoli budujemy zrozumienie potrzeb. Udało nam się uzyskać w tym roku większy budżet w związku z nowymi zadaniami. Tymczasem rok do roku rozpatrujemy o 40 proc. więcej skarg.
Kamera w kierunku łazienki sąsiadki
Z czego wynika tak duży wzrost?
Na pewno jest coraz większa świadomość obywateli w zakresie ochrony prywatności. Coraz więcej naruszeń dzieje się też w sferze cyfrowej, która stale się rozrasta. To taki trochę koszt rozwoju technologii.
Jesteśmy też państwem przyfrontowym i wiele sił pracuje nad tym, by uprzykrzyć nam wszystkim życie. Poza tym mam nadzieję, że widoczność działań UODO zwiększyła się i tym samym wiedza o ochronie danych trafia do znacznie szerszej liczby osób.
Na co najczęściej skarżą się panu obywatele?
Rośnie liczba zgłoszeń dotyczących fałszywych treści generowanych przy użyciu sztucznej inteligencji, coraz więcej naruszeń dotyczy mediów społecznościowych i upowszechniających się kamer monitoringu.
Co z tym monitoringiem? Kto go stosuje?
Najwięcej naruszeń związanych jest ze stosowaniem monitoringu sąsiedzkiego. Zgodnie z przepisami można nagrywać np. wejście do swojego mieszkania, ale już nie klatkę schodową czy cały korytarz. A już na pewno nie kierować kamery w kierunku łazienki sąsiadki – a to autentyczny przykład.
Coś więcej?
Mieliśmy np. dużą sprawę dotyczącą ukrytej kamery na oddziale neonatologicznym w jednej z placówek medycznych. Monitoring umieszczono w zegarach ściennych, więc pacjentki np. karmiące dzieci nie miały o nim pojęcia. Nałożyliśmy dwie kary o łącznej wartości ponad miliona złotych.
UODO prowadzi burzliwy dialog z Rzecznikiem Praw Pacjenta o instalowanie kamer w szpitalach. Jest pan przeciwny, podczas gdy RPP chce zapewnić monitoring na potrzeby postępowań o błędy medyczne. Oba urzędy chcą chyba dobrze?
Taka jest natura prywatności i ochrony danych osobowych, że nadmiarowość zawsze jest czymś niedobrym i trzeba dążyć do ograniczenia. Istnieją różnego rodzaju środki techniczne, umożliwiające szyfrowanie danych. Chodzi np. o pikselowanie (blurring) wizerunku osób pojawiających się na monitoringu. Jeśli służby potrzebują skorzystać z takiego materiału, administrator może bez trudu odkodować materiał i przekazać go jako dowód w sprawie.
Jakie jeszcze dostrzega pan nieprawidłowości w zakresie monitoringu wizyjnego?
Napotykamy też bezprawnie umieszczone kamery w szkołach. Nie tylko w salach dydaktycznych, ale i łazienkach. Niby po to, by łapać uczniów palących papierosy, ale cel jest wątpliwy, gdy zasięg kamer obejmuje pisuary. Monitoring musi być stosowany proporcjonalnie do celu i można wykorzystywać wspomniane wcześniej narzędzia do kodowania nagrań.
Deepfake nowym narzędziem przemocy
Skoro wspomniał pan już o prywatności dzieci i młodzieży... Musiał pan dopraszać się w prokuraturze, żeby zajęła się sprawą dotyczącą wygenerowania oraz upubliczniania nagiego wizerunku uczennicy (tzw. deepfake’u). Dlaczego śledczy nie chcieli się tym zająć?
Mieliśmy do czynienia z nieprawidłową interpretacją przepisów oraz niewłaściwie przeprowadzonym postępowaniem.
Śledczy stwierdzili, że nie doszło do żadnej szkody psychicznej u dziewczynki. Pomimo że zawiadomienia w tej sprawie trafiły do nich ode mnie, rodziców i od szkoły. Funkcjonariusze ocenili też, że zmanipulowane dane nie pochodziły z tzw. zbioru zastrzeżonego. Mówiąc prościej: doklejono prawdziwą twarz dziewczynki do wygenerowanego sztucznie ciała. Zupełnie się z taką interpretacją nie zgadzam.
Widzę konieczność wprowadzenia odpowiednich przepisów w tym zakresie. Liczę, że UODO zostanie zaproszone do prac nad nimi w ramach zespołu powołanego przez ministra sprawiedliwości Waldemara Żurka.
Czy przepisy implementujące unijny Akt o usługach cyfrowych (DSA), które zawetował prezydent Karol Nawrocki, pomogłyby – jak twierdzili autorzy ustawy – walczyć z tego typu przypadkami?
Myślę, że byłyby pomocne, jeżeli wyznaczony organ nadzoru – Urząd Komunikacji Elektronicznej – uznałby, że w sprawach deepfake’ów ma zastosowanie DSA.
UKE nigdy nie zajmowało się tego typu sprawami. Ten urząd organizował przetargi na częstotliwości i przypisywał numery telefonów.
Na pewno spadną na nich nowe, ważne obowiązki. Dobrze byłoby, gdyby w szeregach urzędu pojawiły się osoby dobrze poruszające się w gąszczu przepisów dotyczących wolności słowa, prywatności itp. Znalezienie równowagi między prawami jest często wyzwaniem.
Przykładowo w Grecji była partia polityczna dokonująca przekrętów finansowych. Powołała się na prawo do zapomnienia z RODO i wymagała od organu nadzorczego nałożenia „kagańca” na media. Na szczęście żądanie było nieskuteczne.
Interweniował pan w sprawie deepfake’u, bo wie pan, że potrzebny jest swoisty precedens, zanim spadnie na nas lawina podobnych przypadków?
Zgadza się. Widzę przykłady z innych krajów, w których zmanipulowane materiały prowadziły nawet do samobójstw np. w Wielkiej Brytanii czy Korei Południowej.
Nie ukrywam też, że inspirują mnie filmy. Widziałem jeden, gdzie rozprowadzono w szkole zmanipulowane wideo pokazujące, jak bohaterka odbywa stosunek z kolegą z klasy. Zanim się wytłumaczyła, że to manipulacja, zdążyła już wpaść w głęboką depresję.
Wyjaśnianie dezinformacji jest bardzo trudne, zwłaszcza gdy jest się nastolatkiem i w jednej chwili zawala ci się cały świat. Jak udowodnić, że to nie nasze ciało? Pokazać prawdziwe zdjęcie? Technologia jest już na tak wysokim poziomie, że czasem nie da się odróżnić fałszu od prawdy.
My już od dawna nie wierzymy w nic, co widzimy w internecie.
I to domyślne powątpiewanie jest chyba jedynym sposobem. Motywuje do poszukiwania lepszych źródeł informacji, dokonywania weryfikacji. Natomiast nie każdy tak ma – dlatego walka z deepfake’ami jest bardzo ważna.
Pałace wybudowane na naszej prywatności
Co dzisiaj najbardziej zagraża prywatności Polaków?
Odpowiem może trochę przewrotnie, ale w dużej mierze – my sami.
Sami sobie szkodzimy?
Tak, bo nie dbamy o swoje dane osobowe. Jeśli pojawia się rabat 10 proc. przy zakupach, w zamian za oddanie informacji, to 80 proc. Polaków się zgadza. Lekkomyślność w przekazywaniu danych, nad którymi tracimy kontrolę, jest bardzo duża.
I potem kapitalizacja dużych platform technologicznych puchnie, bo przecież one na tych danych zarabiają fortunę. Gdyby przeciętny obywatel wiedział, ile taki Elon Musk zarabia na przetwarzaniu i profilowaniu naszych danych, to może – przynajmniej z powodu zazdrości – zastanowiliby się dwa razy przed oddaniem dostępu do prywatnych informacji. Piękne pałace, prywatne odrzutowce – wszystko kupione dzięki nam.
Pan się od dłuższego czasu mocuje z dużymi firmami technologicznymi np. OpenAI czy Meta Platforms. Jakieś postępy?
Sprawy są bardzo skomplikowane i często wymagają współpracy z irlandzkim organem nadzorczym, bo to u niego zdecydowana większość Big Techów ma siedzibę.
Ale mamy pewne sukcesy w sprawach z Meta Platforms i one przynoszą konkretne korzyści. Doprowadziliśmy do stworzenia mechanizmu, dzięki któremu nie tylko celebryci, ale każdy obywatel, którego wizerunek został wykorzystany, może złożyć skargę do platformy. To te trzy kropeczki do kliknięcia przy reklamach. Nie jest to jeszcze wielki sukces, ale na pewno postęp.
Bardzo ważne dane Polaków znajdziemy też w placówkach medycznych. W planie kontroli sektorowych UODO drugi rok z rzędu chce pan je sprawdzać. Jest aż tak źle?
Nie jest dobrze. Wiele placówek wdrożyło mechanizmy ochrony danych osobowych jedynie na papierze. Ten sektor też ma duży kłopot z nadmiernie stosowanym monitoringiem wizyjnym. I przetwarza niezgodnie z zasadami bardzo wrażliwe dane pacjentów.
Nasze działania przynoszą skutek, bo już widzę, że kontrole wychodzą korzystniej, na rynku pojawiają się oferty wsparcia dla administratorów, a medyczne periodyki informują o planowanych działaniach UODO.
Czy jest lepiej, bo po prostu wszyscy lepiej przygotowali się do kontroli? Mam nadzieję, że poważne traktowanie ochrony danych staje się standardem.
Jawność kontra prywatność w samorządach
W tym roku planuje pan też zamach na jawność w Biuletynach Informacji Publicznej.
To znaczy?
„Obawiam się, że to będzie rzeź dla jawności funkcjonowania samorządu lokalnego” – mówi w rozmowie z Zero.pl Szymon Osowski, prezes zarządu Sieci Obywatelskiej Watchdog Polska.
Watchdog mnie już skrytykował, gdy nałożyłem karę administracyjną na Pocztę Polską za sprawę nielegalnego przetwarzania danych 30 milionów Polaków na potrzeby wyborów korespondencyjnych. Bo przeze mnie listonosze stracą pracę. Mimo że wcześniej ta organizacja domagała się podjęcia działań. Krytyka w sferze publicznej jest jednak czymś normalnym.
Absolutnie nie ma mowy o zamachu na jawność w BIP-ach. Reagujemy na liczne skargi, które wpływają do UODO. O podawaniu do wiadomości publicznej informacji, np. o autorach wnoszonych petycji, którzy na to nie wyrazili zgody.
Osowski argumentuje, że kontrole będą też dotyczyły sesji rad gmin na YouTube.
Tak, oczywiście. Taka sesja musi być zorganizowana w sposób odpowiedni. Zwłaszcza gdy dyskutowane są sprawy osób fizycznych i ujawnia się jej sytuację rodzinną, majątkową, itp. Można tych danych nie transmitować publicznie lub przygotować w taki sposób, aby była możliwa jej skuteczna anonimizacja.
Wyłączać transmisję na czas podawania danych osobowych albo rozdawać informacje radnym na piśmie?
Właśnie. Wiem, że są organizacje zajmujące się jawnością, ale UODO jest organem, który musi chronić dane przy zapewnieniu realizacji innych przepisów, np. tych dotyczących informacji publicznych. Przy dzisiejszych środkach technicznych te interesy da się pogodzić, choć wymaga to dodatkowego wysiłku.
Watchdog twierdzi, że to przyniesie więcej szkody niż pożytku.
Może trzeba zatem powiedzieć setkom obywateli, którzy zgłaszają się po pomoc do UODO, że prawa konstytucyjne, prawa człowieka i prawo do prywatności nie będą chronione? Zapewniam, że celem kontroli jest zapewnienie ochrony prywatności bez szkody dla zasady jawności.
Przestrzeganie RODO poza UE to fikcja
Czy są sprawy, w których czuje się pan bezradny jako prezes UODO? Wynika to z braku odpowiednich przepisów czy niedostatków finansowania?
Może nie czuję się bezradny, ale często trudno mi wytłumaczyć rolę UODO. Ten urząd jest nierzadko postrzegany jako „hamulcowy” dla innowacji i jawności. Tymczasem my naprawdę staramy się, zarówno w legislacji, jak i działalności praktycznej, pokazywać, że można realizować cele publiczne i prywatne, przy zachowaniu ochrony danych osobowych.
A bardziej praktyczne kwestie?
Na pewno szybki rozwój technologii wiąże się z naruszeniem fundamentalnych zasad ochrony danych osobowych. Przykładem niech będzie tzw. web scraping, czyli proces automatycznego pobierania danych z internetu. On jest całkowicie niezgodny z zasadą minimalizacji. A jednak dla firm technologicznych stał się koniecznością w walce o trenowanie jak najlepszych modeli sztucznej inteligencji. Tymczasem chyba nikt z nas nie publikował tekstów i zdjęć z myślą o tym, że zasilą one kiedyś algorytmy AI?
Bardzo dużym wyzwaniem jest też egzekwowanie praw wobec firm spoza Unii Europejskiej – głównie krajów dalekiej Azji. Dobrze wiemy, że naruszają przepisy w świecie cyfrowym, ale w dużej mierze pozostają bezkarni. Życzyłbym sobie, aby UE, jako duży gracz na arenie międzynarodowej, była w stanie lepiej chronić prywatność swoich obywateli.