Minął rok od naszego od naszej rozmowy, której opowiadał Pan o działaniach podjętych w związku ze sprawą fałszywych reklam wykorzystujących wizerunek Rafała Brzoski i Omeny Mensah. Latem 2024 r. wydał Pan zabezpieczenie zakazujące publikacji ich wizerunków na platformach Meta i powiadomił o sprawie Komisja Ochrony Danych w Irlandii, gdzie znajduje się europejska siedziba Mety.
Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych: Są dwa aspekty tej sprawy: indywidualny i generalny. W pierwszym przypadku pytanie dotyczy działań podejmowanych indywidualne przez pana Rafała Brzoskę.
Rozmawiałem z Rafałem Brzoską i on jest dobrej myśli. Generalnie.
Cóż, ja nie jestem tak bardzo optymistyczny, ale ufam w pozytywne zakończenie sprawy. Irlandzki organ nadzoru – Komisja Ochrony Danych (DPC) - działa, przy czym nie jest to prosta sprawa, a liczba postępowań jakimi się zajmuje urząd jest duża, gdyż w Dublinie europejskie siedziby ma kilka globalnych platform internetowych. Mechanizm spójności w UE działa w ten sposób, że, po zastosowaniu środka tymczasowego przeze mnie postępowanie dalej prowadzi organ właściwy dla siedziby firmy, którym jest w tym przypadku jest Irlandia. Mamy dobrą współpracę z DPC, przekazujemy potrzebne informacje i czekamy na wydanie decyzji merytorycznej.
Czyli na jakim etapie jest sprawa? Fałszywe reklamy z Rafałem Brzoską nadal są publikowane pomimo zakazu.
Trwa jeszcze postępowanie przed DPC.
Jaki jest termin zakończenia postępowania i wydania decyzji?
Zgodnie z rozporządzeniem ogólnym (RODO) organ ma podjąć działania w ciągu trzech miesięcy od otrzymania skargi. Natomiast wydanie decyzji zależy m.in. od stopnia złożoności postępowania. Mogę tylko potwierdzić, że w sprawie pojawiały nowe elementy związane z kolejnymi reklamami, które dotyczyły skarżących, o czym Pan już wspomniał. Z posiadanych przeze mnie informacji wynika, że reklamy z wizerunkiem Omeny Mensah przestały już się ukazywać. Nadal publikowane są reklamy z panem Rafałem Brzoską. Można powiedzieć, że środki tymczasowe, zarówno wydane przeze mnie, jak i zabezpieczenie wydane przez polski sąd w postępowaniu cywilnym z powództwa Rafała Brzoski przyniosły skutek. Czy to jest aż czy tylko połowa sukcesu? Zobaczymy.
Jak pan oceni skuteczność tego narzędzia, jakim jest prawo o ochronie danych osobowych w zwalczania fałszywych reklam, w którym bezprawnie wykorzystywane są wizerunki osób?
Tu przechodzimy do wątku generalnego, ponieważ w całej sprawie chodzi nie tylko o konkretny przypadek skarżących, ale również o uzyskanie efektu systemowego, jakim jest jeśli nie całkowita eliminacja lub przynajmniej ograniczenie zjawiska fałszywych reklam naruszających dobra osobiste różnych osób. To co udało się w ciągu tego roku zrobić, to skłonić Metę do wprowadzenia nowego narzędzia ułatwiającego raportowanie i blokownie fałszywych reklam. Mogą z niego skorzystać osoby, których wizerunek jest wykorzystywany w przestępczych celach. Za wcześnie jest jednak, żeby ocenić skuteczność tej szybkiej ścieżki zgłaszania nadużyć. Natomiast już sam fakt, że Meta wprowadziła takie rozwiązanie można uznać za krok w dobrą stronę. Poprosiłem ostatnio Metę o przedstawienie danych dotyczących funkcjonowania tego mechanizmu – monitorujemy więc skuteczność tego rozwiązania.
Jak inne urzędy w Europie zajmujące się ochroną danych zareagowały na działania UODO?
Nie było zaskoczenia, choć nigdy wcześniej w UE nie wykorzystywano przepisów RODO w takim kontekście. Większość Europy patrzy na oszukańcze reklamy przez pryzmat Aktu o usługach cyfrowych (DSA), która daje narzędzia do reakcji względem działalności platform internetowych. Taka zresztą była pierwsza reakcja organu irlandzkiego na informację o moim zabezpieczeniu w sprawie Rafała Brzoski i Omeny Mensah. Urząd argumentował, że skarga dotyczy materii regulowanej aktem o usługach cyfrowych. My zwracaliśmy uwagę, że w Polsce regulacja jeszcze nie została wdrożona i nie możemy czekać na DSA w sytuacji, gdy szkody dla osób występują już teraz. Dlatego sięgnąłem po dostępne narzędzia, czyli RODO.
Czy oprócz przepisów zawartych w DSA RODO może być wykorzystywana do zwalczania oszustw na platformach społecznościowych?
Dzisiaj ścieżka prawna przez nas zastosowana nie jest kwestionowana i w sumie można powiedzieć mamy nowy element praktyki prawnej w przypadku szkód powodowanych przez fałszywe reklamy.
Punktem wyjścia do rozważań jakie narzędzia zastosować powinno być kryterium skutecznej ochrony prawnej. Mogą być sytuacje, gdy przepisy RODO okażą się bardziej przydatne. Natomiast, gdy zostaną przyjęte przepisy ustawowe do DSA (a obecnie toczy się proces legislacyjny w parlamencie), wówczas wszelkie działania w zakresie oszustw powinny być podejmowane we współpracy organów regulacyjnych. I mogę zadeklarować, że będę dążył do nawiązania współpracy z prezesem Urzędu komunikacji Elektronicznej.
Natomiast kluczowe znacznie ma przyjęcie ustawy, bo to ona umożliwi dopiero działanie UKE względem platform. Chciałbym, aby prezydent, pomimo pewnych obiekcji, podpisał tę ustawę, ponieważ zwalczanie oszukańczych reklam oraz generalnie – deep fejków będzie z jej wykorzystaniem skuteczniejsze.
Nie będzie skutecznego zwalczania treści, które naruszają prawa i wolności na platformach internetowych bez przyjęcia tej ustawy. Oczywiście możemy się posiłkować przepisami RODO, jednak pełnią one funkcję pomostową w sytuacji braku ustawy wdrażającej Akt o usługach cyfrowych.
Czy do UODO trafiło więcej skarg dotyczących oszukańczych reklam w związku z nagłośnieniem przypadku Rafała Brzoski?
Tak, mamy więcej spraw dotyczących fałszywych reklam. Skarżący na razie zdecydowali się skorzystać z nowego mechanizmu Mety, czyli szybkiej ścieżki zgłaszania nadużyć.
Czy postępowanie administracyjne w związku z tym zostało wstrzymywane?
Nie, ono się cały czas się jednocześnie toczy. Natomiast gospodarzem postępowania skargowego jest skarżący, on formułuje roszczenia i niejako współdecyduje o tym, jak postępowanie jest prowadzone.
Jaka jest ścieżka procedowania sprawy po wydaniu orzeczenia przez organ irlandzki – czy strony mogą się od niej odwołać i do kogo?
Tak, przysługuje im ochrona prawna, czyli skarga do sądu w Irlandii.
Decyzja sądu kończy sprawę?
Tak.
Irlandia uchodzi za kraj liberalny wobec big techów. W trakcie prezydencji Polski w UE to jednak Dublin proponował zaostrzenie regulacji wobec platform internetowych jeśli nie chronią użytkowników w odpowiedni sposób. Pomysł ostatecznie nie przeszedł. Czy zauważa Pan w Europie zmianę stanowiska wobec big techów?
Wiele naruszeń niestety się powtarza po stronie platform internetowych. Europejskie wytyczne nakazują uwzględnianie recydywy w przypadku powtarzalnych naruszeń, co może skutkować wyższymi karami pieniężnymi. Osobiście uważam za niezwykle istotny fakt, że na czele DPC w Irlandii stoi Des Hogan i Dale Sunderland. Są to bardzo doświadczeni prawnicy. Bardzo szanuję ich pracę i podejście do ochrony praw podstawowych.
Mam nadzieję, że na postępowanie organów nadzorczych w Irlandii będzie miała wpływ kampania fałszywych reklam jaka się przetoczyła przez Irlandię w trakcie wyborów prezydenckich, w których przestępcy wykorzystywali wizerunek ówczesnej kandydatki, a obecnie prezydent kraju, Catherine Connolly.
Pani premier Meloni również była „bohaterką” reklam i dlatego nie dziwi mnie, że Włochy przyjęły restrykcyjne przepisy dotyczące ochrony przed deep fejkami. Uważam, że podobne przepisy mogłyby zostać przyjęte także w Polsce. W ostatnich dniach taki zresztą dezyderat przyjęła sejmowa Komisja ds. Dzieci i Młodzież pod przewodnictwem posłanki Moniki Rosy. Trzeba bowiem pamiętać, że technologia przetwarzania wizerunku czy głosu w wykorzystaniem algorytmów AI przyczynia się niestety także do krzywdzenia nieletnich.
Minister obrony Niemiec. Prezydent Karol Nawrocki. Przykłady osób, których wizerunki wykorzystano w fałszywych reklamach można mnożyć.
Podczas niedawnych warsztatów organów nadzoru danych osobowych w Prisztinie w Kosowie odbyła się sesja dotycząca deep fejków i celeb baitu, czyli oszukańczych reklam takich, jak z udziałem Rafała Brzoski. Przedstawiliśmy tam organom nadzorczym z całej Europy nasze działanie i podejście. Problem ma charakter międzynarodowy, choć w Polsce wydaje się występować z dużym natężeniem.
Dlatego m.in. mechanizm flagowania reklam przez osoby bezpośrednio dotknięte musi być skuteczniejszy. Ale potrzebne są także zmiany prawne.
Data Protect Commision, czyli odpowiednik naszego UODO w Irlandii nie ma ostatnio dobrej passy. We wrześniu tego roku okazało się, że nominację na nowego komisarza w trzyosobowym składzie komisji uzyskała Niamh Sweeney, wieloletnia lobbystka Mety w Europie. Pracowała dla Marka Zucerberga od 2015 r . do 2021 r. Pikanterii sprawie dodaje fakt, że w komisji rekrutacyjnej zasiada prawnik od lat pracujący dla big techów. Reprezentował m.in. Apple w sporze z Komisją Europejską o zapłatę 14 mln EUR zaniżonych podatków.
Nominacja wywołała oburzenie organizacji społecznych w Europie. 42 organizacje zajmujące się ochroną prywatności obywateli podpisało się pod petycją protestacyjną do rządu w Dublinie. W grudniu Komisja Europejska zażądała wyjaśnień w tej sprawie. Rząd w Dublinie uważa jednak, że wybór został przeprowadzony zgodnie z procedurami i nie widzi konfliktu interesów nowej komisarz.
Słaby PR to odwieczna bolączka DPC. Kiedy urząd powstawał w 2019 r. miał stać się flagowym nadzorcą nowych przepisów o RODO. Tymczasem DPC jest krytykowana za opieszałość, przeciąganie procedur i łagodne traktowanie big techów, których spora liczba ma europejskie siedziby w Dublinie - Meta, Microsoft, X, Google. W latach 2019-21 komisja wydała tylko cztery wiążące decyzje. Żadnej w 2023 r., 19 w 2023 r. i 11 w 2024 r. Trzeba też jednak dodać, że w latach 2019-2023 DPC odebrała 23 tys. skarg od osób indywidualnych i firm. W 2024 r. doszły kolejne 11 tys. spraw.
