Ta decyzja ws. ChatGPT może "wywrócić stolik". Prezes UODO zapowiada, kiedy rozstrzygnięcie

• - Gdyby u polityków pojawiła się refleksja, przepisy w obecnej formie umożliwiałyby zrealizowanie celów, które sobie postawili bez naruszania zasad ochrony danych osobowych - mówi w rozmowie z WNP Mirosław Wróblewski, prezes UODO o ujawnieniu danych Jerzego Ż. w kampanii wyborczej.
• Wróblewski krytykuje model biznesowy Facebooka. - W prywatności jest jakiś element ochrony naszej godności, to jest prawo podstawowe. Nie sądzę, żeby właściwe było pobieranie opłaty za ochronę naszych praw podstawowych - mówi.
• Prezes UODO zapowiada, że do grudnia zapadnie decyzja w przełomowej sprawie dotyczącej OpenAI. Dr Łukasz Olejnik, badacz cyberbezpieczeństwa, poskarżył się urzędowi, że twórca ChatGPT nielegalnie przetwarza jego dane.
• Wróblewski wyjaśnia też, jak niedługo może zmienić się RODO. Komisja Europejska przedstawiła niedawno swoje propozycje w tej sprawie.

Czy stanowisko Prezesa UODO jest polityczne?

- Co pani przez to rozumie?

Bardzo różni się pan w ocenach pewnych sytuacji od swojego poprzednika. Na przykład w sprawie wyborów kopertowych.

- Rzeczywiście różnimy się, natomiast moje oceny są oparte przede wszystkim o orzecznictwo sądowe Trybunału Sprawiedliwości i sądów administracyjnych. Wydaje mi się, że to nie ma nic wspólnego z politycznością.

Politycy będą ukarani za wykorzystanie danych w kampanii

A samo RODO jest narzędziem walki politycznej?

- Wiem, do czego pani zmierza. Kwestia przetwarzania danych osobowych pojawia się także w działalności publicznej. Ostatnie wydarzenia świadczą o tym, że niestety często emocje, pośpiech albo elementy walki wyborczej powodują, że politycy zapominają o konieczności poszanowania przepisów o ochronie danych osobowych.

A wcale nie musiałoby tak być – gdyby u polityków pojawiała się refleksja, przepisy w obecnej formie umożliwiałyby zrealizowanie celów, które sobie postawili bez naruszania zasad ochrony danych osobowych. Można pogodzić potrzebę transparentności, ujawnienia pewnych informacji oraz ochrony prywatności osób fizycznych. Niestety kampania wyborcza i emocje polityczne nie sprzyjają tej refleksji.

Mówimy o tym, że Przemysław Czarnek i Rafał Trzaskowski ujawnili szczegóły dotyczące osoby, od której kandydat na prezydenta Karol Nawrocki miał kupić kawalerkę. Jakie konsekwencje mogą czekać tych polityków ze strony Prezesa UODO?

- Jesteśmy w trakcie postępowania wyjaśniającego, teoretycznie więc możliwe są wszystkie konsekwencje. Dopóki postępowanie się nie zakończy, nie można tego przesądzać.

Czyli jakie kary im grożą?

- Maksymalna kara za naruszenie przepisów RODO dla administratorów niebędących przedsiębiorstwami to 20 mln euro. Nie spodziewam się oczywiście, żebyśmy mówili o takich kwotach. Póki co zastanawiam się, jak powinienem zareagować po przeprowadzeniu postępowania. Kary mają pełnić funkcję z jednej strony skutecznej sankcji, a z drugiej także rolę odstraszającą, ale ja chciałbym dodać do tego element edukacyjny.

UODO przygotowało już wcześniej poradnik dotyczący przetwarzania danych osobowych w kampanii wyborczej, przypominałem te zalecenia także tym razem. Jak widać, edukacji nigdy za wiele. Jak temperatura wokół wyborów już opadnie, to zaproponuję po wakacjach, co już zapowiedziałem, marszałkom Sejmu i Senatu we współpracy z organami wyborczymi szkolenia m.in. dla pracowników biur parlamentarzystów. Zakładam, że to oni często odpowiadają za kwestie danych osobowych, a zależy mi, żeby ta świadomość wzrosła tak, by podobne naruszenia już się nie powtarzały.

Pytałam o polityczność, bo obie strony sporu wzywały pana na arbitra, kiedy przeciwnik pokazał zbyt dużo danych. Nawet jeśli ci sami ludzie wcześniej krytykowali przepisy o ich ochronie.

- Z jednej strony to moja odpowiedzialność za badanie naruszeń jako prezesa urzędu, ale z drugiej też tak po ludzku bardzo bolą mnie sytuacje, kiedy publicznie przetwarzane są najbardziej wrażliwe informacje starszego człowieka, który zapewne nie chciałby, by tak szeroko o nim dyskutowano. Tu jednak ukłon w stronę wielu mediów, które wykazały się często dużo większą wrażliwością niż politycy i umiały dokonać anonimizacji najbardziej wrażliwych danych.

Wielkie zmiany w RODO? Dobry kierunek, ale jest kruczek

W najbliższym czasie przepisy o ochronie danych mają się zmienić. Rewizja RODO to potrzebny krok?

- Komisja Europejska wyszła z pomysłem ograniczenia obowiązków związanych z prowadzeniem rejestru czynności przetwarzania dla firm. Limit dla tego uproszczenia ma być podniesiony z 250 do 750 pracowników. Oceniam ten ruch co do zasady dobrze, mam jednak jedno zastrzeżenie.

Jakie?

- Ten limit nie może być traktowany zupełnie automatycznie. W sferze cyfrowej możemy mieć do czynienia także z małymi firmami, które zatrudniają niewielu pracowników, a przetwarzają bardzo wrażliwe dane osobowe. Zasady dla nich powinny być inaczej skonstruowane z uwagi na wysokie ryzyka przetwarzania dla praw i wolności osób. Zwróciliśmy zresztą na to uwagę we wspólnej opinii europejskich organów nadzorczych – Europejskiej Rady Ochrony Danych i Europejskiego Inspektora Ochrony Danych.

Czyli na przykład platformy internetowe do zakupów?

- Na przykład apteki internetowe. Nie potrzeba tam wielu pracowników, a przecież w sposób immanentny przetwarzają dane o stanie zdrowia.

Moim zdaniem uproszczenie powinno dotyczyć jeszcze jednej kategorii podmiotów – organizacji pozarządowych. Wymagania w stosunku do nich są takie same jak dla przedsiębiorstw, a przecież mają nieporównywalnie mniejsze możliwości. W połowie czerwca organizujemy konferencję europejskich organów ochrony danych osobowych, chcę tam poruszyć ten temat.

Czy widzi pan potrzebę jeszcze jakichś zmian w RODO?

- Uważam, że zmiany prawne w tej kwestii nie są najważniejsze. Przedsiębiorcy co do zasady potrzebują wsparcia w obszarze stosowania RODO, ale już się przyzwyczaili, że ta regulacja istnieje, kolejne zmiany prawne mogłyby powodować niepotrzebny chaos w ochronie danych. Zwłaszcza, że czekają nas pilniejsze wyzwania jak wdrożenie kolejnych unijnych regulacji, które już zaczęły obowiązywać, ale w Polsce nie ma dla nich jeszcze np. wyznaczonego aparatu instytucjonalnego.

Mówi pan o Akcie o usługach cyfrowych (DSA). Za brak jego wdrożenia zostaliśmy pozwani do TSUE.

- W kolejce jest jeszcze AI Act, Akt o zarządzaniu danymi, związana z cyberbezpieczeństwem dyrektywa NIS2 i moglibyśmy tak wymieniać dalej. Tu jest dużo niepewności, bo często podmioty będą musiały stosować dwie, trzy takie wielkie regulacje i na nich skoncentrować swoje wysiłki. Ustawodawca unijny postawił przed nami wiele wyzwań. Dlatego równoczesna kolejna zmiana, tym razem w obszarze RODO, nie jest najbardziej oczekiwana.

Do końca roku będzie decyzja UODO w sprawie OpenAI

Panie prezesie, księgi wieczyste będą daną osobową, czy nie?

- Numery ksiąg wieczystych są daną osobową – wiemy to po prawomocnym wyroku Naczelnego Sądu Administracyjnego. Dzisiaj jest wyzwaniem jednoczesne zapewnienie jawności ksiąg wieczystych zgodnie z przepisami ustawy o księgach wieczystych i hipotece oraz ochrona prywatności.

To do pogodzenia?

- Oczekujemy, że zostanie wdrożony mechanizm pozwalający na dostęp do ksiąg, ale z uwierzytelnianiem osoby, która ma do nich wgląd. Chodzi o to, by uniemożliwić działanie systemów przeszukujących księgi za pomocą zautomatyzowanych narzędzi, które później sprzedają tę wiedzę w internecie. Projekt, który ma rozwiązać ten problem zadeklarowało opracować Ministerstwo Sprawiedliwości. Przed miesiącem pytałem o stan tych prac, ale nie otrzymałem jeszcze odpowiedzi co do postępów.

Osobiście bardzo chciałbym, żeby ten problem został rozwiązany. Natomiast to w ogóle jest jedna z odsłon problemów ze skutecznym stosowaniem przepisów UE w stosunku do podmiotów zarejestrowanych poza nią.

Odpowiedzialności nie dało się egzekwować od wielkich firm technologicznych. Za spory z nimi odpowiada pański irlandzki odpowiednik, który latami prowadził postępowania.

- To kwestia sposobu, w jaki skonstruowano RODO. Rzeczywiście, postępowania w sprawach, które musimy przekazywać do Irlandii trwają latami, przez to nie ma wrażenia, że jest tu jakiś efektywny system nadzorczy. Inaczej rozwiązano to już w Akcie o usługach cyfrowych, gdzie za egzekucję przepisów wobec wielkich firm odpowiada Komisja Europejska, a nie kraj w którym siedzibę ma firma. Nie oceniam tych rozwiązań jako idealnych, ale z pewnością mogą ułatwić i uprościć procedury procedowania w tego typu sprawach.

Ciągną się sprawy nie tylko przekazane do Irlandii. Od sierpnia 2023 r. nie ma decyzji w sprawie niezależnego badacza cyberbezpieczeństwa dr Łukasza Olejnika, który złożył skargę na OpenAI. Podnosił w niej, że spółka nielegalnie przetwarza jego dane.

- Chciałem, żeby ta sprawa została domknięta. Tylko że wtedy administrator się obudził i zaczął przedstawiać tak obszerną dokumentację, że jej analiza zajmuje bardzo dużo czasu.

Mówiąc po ludzku: OpenAI zalało was dokumentami?

- Nie używałbym takich słów.

Ja użyłam.

- Nie będę zaprzeczać. Poprosiłem współpracowników o to, by maksymalnie szybko się tym zajmowano, natomiast musimy zachować jednocześnie standardy i sprawiedliwość proceduralną, bo jeśli tego nie zrobimy, to każde najmniejsze niedopatrzenie czy pośpiech jest potem najprostszym sposobem na podważenie decyzji w sądzie administracyjnym. Wystarczy drobne uchybienie, żeby wielka merytoryczna praca poszła do kosza.

Kiedy dowiemy się, kto ma rację?

- Chciałbym zakończyć pracę najpóźniej w czasie wakacji. Nieprzekraczalny deadline to dla mnie koniec roku.

Pańska decyzja może wpłynąć na cały biznes OpenAI w Europie.

- Na pewno spółka będzie ją kwestionować, jestem na to gotowy. Poczta Polska, która w związku ze sprawą wyborów kopertowych otrzymała najwyższą karę wymierzoną do tej pory przez urząd, także odwołała się do sądu administracyjnego. Ma do tego prawo, ale właśnie dlatego musimy przypilnować procedur.

Krytycy powiedzą, że ogranicza pan rozwój sztucznej inteligencji w Polsce.

- Oczywiście, ktoś może tak to traktować. Natomiast powiem tak: naszym celem nie jest blokowanie czegokolwiek. Nie chodzi o to, by komuś zabronić organizowania konferencji prasowych w kampanii, czy budowania użytecznych aplikacji opartych o AI. Chodzi o to, żeby móc zrealizować cel przy zachowaniu ochrony danych osobowych. I oczywiście to niejednokrotnie jest bardzo trudne - wymaga to pewnego wysiłku, wprowadzenia nowych rozwiązań technologicznych, prawnych. Ale naprawdę nie ma innej drogi jak realizować oba cele.

Chciałbym zwrócić uwagę jeszcze na jedną rzecz. Decyzje Prezesa UODO nie są nigdy pisane w formie "nie, bo RODO". Staramy się, żeby wskazywały kierunek, w jaki sposób osiągnąć zgodność z przepisami. To oczywiście wymaga, by nasi partnerzy znajdowali rozwiązania, o charakterze prawnym lub technicznym.

Ochrona prywatności to prawo podstawowe. Facebook nie może pobierać za to opłat

Facebook znalazł rozwiązanie zbytniej ingerencji w prywatność użytkowników wprowadzając opcję: "pay or ok", czyli – zgódź się na inwigilację, albo zapłać. I nadal nie podobało się prezesowi.

- Czasami znalezienie rozwiązania wymaga więcej wysiłku, czasami jest bardzo trudne. Ale bez tego nie ma postępu.

A co jest nie tak w tym modelu, że albo płacimy Facebookowi danymi, albo pieniędzmi za użytkowanie?

- Niektóre wyzwania mają charakter etyczny.

W prywatności jest jakiś element ochrony naszej godności, to jest prawo podstawowe. Nie sądzę, żeby właściwe było pobieranie opłaty za ochronę naszych praw podstawowych.

Meta pozwala też wyłączyć swoje dane z trenowania AI.

- Po doświadczeniach z tą firmą widzę, że potrafi się zmieniać i potrafi współpracować. Tak było w sprawie scamu, który dotykał m.in. pana Rafała Brzoskę. Stworzono narzędzie, które pozwalało na automatyczne wykrywanie takich oszukańczych reklam.

Które nie działa, co udowadniał CERT Polska przy NASK.

- Tak, ale podejmowane są próby rozwiązania problemu, a spółka jest responsywna, choć na początku zupełnie nie była. Uważam, że biznes będzie reagował w sprawach, na które wskazujemy, bo jest pragmatyczny, nie chce mieć kłopotów.

A czy to jest lekcja, którą mają do odrobienia też polscy przedsiębiorcy? Z każdym rokiem wzrasta liczba i wycena kar, które urząd przyznaje polskim przedsiębiorcom.

- Wynika to z faktu, że oczekiwania co do przestrzegania RODO po siedmiu latach obowiązywania regulacji są wyższe, niż były na początku. Po tym czasie trudno jest uzasadniać, że ktoś nie wie, jak wyglądają podstawowe obowiązki.

Nie ma zmiłuj?

- Zdecydowanie. UODO ma oczywiście misję edukacyjną – jeździmy po Polsce, spotykamy się z przedsiębiorcami, współpracujemy z samorządem terytorialnym. Natomiast jednocześnie, nie ma co ukrywać, trwają działania kontrolne, egzekucja i postępowania w sprawach naruszeń. Myślę, że to widać już po decyzjach z tego roku, że sektor publiczny także ma wiele do zrobienia, jeżeli chodzi o ochronę danych osobowych.