Należy ponownie podjąć prace nad przepisami wdrażającymi, aby chronić obywateli przed deepfake’ami

Zdaniem prezesa UODO Mirosława Wróblewskiego proponowane przez Ministerstwo Cyfryzacji rozwiązania w sprawie deepfake’ów idą w dobrą stronę, ale nie zapewniają pełnej ochrony. Warto zrobić więcej – tak jak robią to inne państwa.

Prezes UODO odpowiedział na pismo od sekretarza stanu w Ministerstwie Cyfryzacji Dariusza Standerskiego. Pismo to stanowi odpowiedź na wystąpienie Prezesa UODO o potrzebie wprowadzenia rozwiązań mających na celu skuteczną ochronę przed negatywnym wpływem deepfake’ów. W ocenie Prezesa UODO w obecnym porządku prawnym Unii Europejskiej, którego ramy określają między innymi rozporządzenia takie jak Akt w sprawie sztucznej inteligencji (AI Act) i Akt o usługach cyfrowych (DSA) oraz w naszych regulacjach krajowych, takich jak Kodeks cywilny, Kodeks karny czy prawo autorskie, mamy zapewnioną jedynie wybiórczą i niewystarczającą odpowiedź na wielopłaszczyznowe zagrożenia ze strony technologii deepfake. Można to jednak zmienić. Szansą na poprawę sytuacji jest m.in. ponowne podjęcie prac nad przepisami mającymi wdrożyć DSA – po niedawnym wecie Prezydenta RP.

Prezes UODO zauważa, że w materii zawetowanej ustawy nie było regulacji odnoszących się wprost do przeciwdziałania deepfake’om. Teraz można się tym zająć jeszcze lepiej, przeanalizować możliwe rozwiązania i wypracować bardziej spójne ramy prawne w celu skutecznej ochrony przed tą technologią i jej skutkami.

W piśmie z resortu cyfryzacji mowa jest też o działaniach podjętych na szczeblu unijnym:

• zgodnie z DSA Komisja Europejska odpowiada za wyznaczenie danego dostawcy jako bardzo dużą platformę internetową (VLOP) i bardzo dużą wyszukiwarkę internetową (VLOSE). Takie platformy i wyszukiwarki mają obowiązek m.in. oznaczania treści generowanych przez AI, które mogą wprowadzić w błąd użytkowników (deepfake). (wynika to z wytycznych KE z 26 marca 2025 r. w sprawie łagodzenia ryzyka systemowego dla procesów wyborczych);
• rozporządzenie AI Act (w art. 50 ust. 4 ) zobowiązuje podmioty generujące obrazy, treści audio lub wideo, stanowiące treści deepfake, do ujawniania, że takie treści zostały sztucznie wygenerowane lub zmanipulowane;
• w projekcie rozporządzenia Cyfrowy Omnibus w sprawie AI, COM(2025) 836 Komisja Europejska zaproponowała, żeby Europejskiemu Urzędowi ds. Sztucznej Inteligencji (AI Office) przy Komisji Europejskiej nadano uprawnienia, które ułatwią skuteczne wdrażanie obowiązków dotyczących wykrywania i oznaczania sztucznie generowanych lub zmanipulowanych treści;

W ocenie Prezesa UODO obecnie wymienione powyżej regulacje prawne i działania KE nie dają narzędzi do pełnej i skutecznej ochrony przed konsekwencjami nadużyć związanych z technologią deepfake. W porządku prawnym Unii Europejskiej brakuje kompleksowych przepisów odnośnie zwalczania nielegalnych treści wygenerowanych tą technologią. Dlatego też wiele krajów członkowskich UE (np. Francja, Dania, Włochy i Niemcy) oraz spoza UE (np. USA) decyduje się na wprowadzenie krajowych szczególnych rozwiązań prawnych gwarantujących ochronę przed deepfake’ami.

Ustawodawca włoski przyjął założenie, że sztuczna inteligencja nie jest neutralnym narzędziem technologicznym, lecz systemem zdolnym do wywierania realnych skutków w obszarze praw i wolności jednostek. Tym samym wymaga szczególnego nadzoru. W związku z tym włoska ustawa o sztucznej inteligencji została skonstruowana jako element szerszego systemu regulacyjnego, który obejmuje ochronę danych osobowych, określa odpowiedzialność cywilną oraz wpływa na odpowiedzialność karną i na ochronę praw konsumentów. Jednym z tych działań była nowelizacja włoskiej ustawy karnej, wprowadzająca definicję przestępstwa polegającego na nielegalnym rozpowszechnianiu sfałszowanych lub zmodyfikowanych treści cyfrowych wygenerowanych z wykorzystaniem sztucznej inteligencji..

Na konieczność zapewnienia podmiotom danych możliwie jak najszerszej ochrony ich danych osobowych, w szczególności wizerunku, zwrócił uwagę Trybunał Sprawiedliwości Unii Europejskiej. Trybunał w dniu 2 grudnia 2025 r. (C-492/23) w sprawie serwisu Russmedia orzekł, że operator internetowej platformy handlowej ma obowiązek sprawdzać, czy dane osobowe podawane w ogłoszeniach są danymi reklamodawcy czy ogłoszeniodawcy. W przeciwnym razie osoba zamieszczająca ogłoszenie na platformie musi wykazać, że dysponuje zgodą osoby, której te dane dotyczą.

Przyjęta przez Trybunał interpretacja chroni przed bezprawnym wykorzystywaniem wizerunku nie tylko znane osoby, ale i innych użytkowników internetu. Jest to szczególnie ważny wyrok w obliczu braku w porządku prawnym Unii Europejskiej przepisów dotyczących zwalczania deepfake’ów.

Niezbędne jest wprowadzenie, także do polskiego prawa, rozwiązań, które będą dostosowane do specyfiki technologii deepfake oraz będą definiować i bezpośrednio sankcjonować rozpowszechnianie szkodliwych treści wytworzonych przy jej pomocy. Chodzi też o wdrożenie rozwiązań, które systemowo uregulują kwestie związane z przeciwdziałaniem i ochroną obywateli przed negatywnymi skutkami tej technologii - zarówno na płaszczyźnie administracyjnej, karnej i skarbowej karnej, jak i sądowej - stwierdza Prezes UODO.

Tylko w ten sposób zostanie zapewniona realna ochrona nie tylko prywatności jednostki i jej danych osobowych, ale także ochrona interesu obywateli i samego państwa, a w szczególności zapewnienia gwarancji naszego bezpieczeństwa.

DPNT.413.31.2025