wystąpienie do Wiceprezesa Rady Ministrów – Ministra Cyfryzacji w sprawie propozycji legislacyjnych Digital Omnibus oraz Digital Omnibus dotyczącej Aktu w sprawie sztucznej inteligencji z dnia 2025-12-06.
wystąpienie do Wiceprezesa Rady Ministrów – Ministra Cyfryzacji w sprawie propozycji legislacyjnych Digital Omnibus oraz Digital Omnibus dotyczącej Aktu w sprawie sztucznej inteligencji.
Rzecznik Praw Obywatelskich wyraził uwagi i rekomendacje dotyczące dyskutowanych na poziomie instytucji Unii Europejskiej propozycji legislacyjnych Digital Omnibus oraz Digital Omnibus dotyczącej Aktu w sprawie sztucznej inteligencji. Uwagi i rekomendacje Rzecznika są wstępnym wynikiem koordynacji prac i uzgodnień pośród organów ochrony praw podstawowych w ramach Europejskiej Sieci Krajowych Instytucji Praw Człowieka (European Network of National Human Rights Institutions).
Na wstępie RPO zasygnalizował zaniepokojenie organów współpracujących w ramach ENNHRI trybem wprowadzania przedmiotowych zmian, zwłaszcza do Aktu w sprawie sztucznej inteligencji. Brak odpowiedniej oceny skutków regulacji oraz konsultacji publicznych przy tak istotnych modyfikacjach regulacji rynku technologii budzi wątpliwości w zakresie proporcjonalności i niezbędności proponowanych rozwiązań.
Analizując proponowane w Digital Omnibus zmiany, zdaniem RPO należy przede wszystkim uznać, że potrzebne jest podejście zachowujące podstawowe zasady ochrony prywatności ustanowione przez RODO. Jednocześnie należy wprowadzić niezbędne dostosowania wynikające z doświadczeń ostatnich lat stosowania tego rozporządzenia oraz dynamicznego rozwoju technologii, szczególnie sztucznej inteligencji. Mając powyższe na względzie, na szczególną uwagę zasługuje linia rekomendacji ENNHRI dotycząca ochrony zabezpieczeń RODO w odniesieniu m.in. do art. 4 ust. 1 (szerokiego zakresu definicji danych osobowych), art. 13 (obowiązek informacyjny o przetwarzaniu danych), czy art. 33 ust. 1 RODO (procedura zgłaszania naruszeń organowi nadzorczemu przez administratora). Rzecznik dostrzegając potrzebę zniuansowanego podejścia do poszczególnych proponowanych zmian, zwrócił uwagę na kilka kwestii.
Po pierwsze – w odniesieniu do propozycji doprecyzowania definicji danych osobowych w art. 4 punkt 1 RODO, a przewidzianej w ramach art. 3 ust. 1 Digital Omnibus RPO wskazał, że wprowadzenie względnego kryterium w definicji danych osobowych – zgodnie z którym te same informacje mogą być danymi osobowymi z perspektywy jednego podmiotu, a anonimowymi z perspektywy innego, w zależności od posiadanych informacji, narzędzi i zasobów pozwalających (lub nie) na identyfikowanie osób w oparciu o dane pośrednie – odpowiada na rzeczywiste wyzwania praktyki i implementuje wnioski z orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej.
Po drugie – kwestia obowiązków informacyjnych określonych w art. 13 RODO również wymaga wyważonego podejścia. Proponowane zwolnienie w ramach art. 3 ust. 5 Digital Omnibus dla małych podmiotów działających w ramach jasnej i ściśle określonej relacji z osobami, których dane dotyczą, stanowi potrzebne uproszczenie, które może zmniejszyć formalizm w oczywistych przypadkach, takich jak działalność wytwórców czy niewielkich stowarzyszeń lokalnych. Proponowane brzmienie tego wyjątku opiera się jednak na bardzo niejasnym sformułowaniu „uzasadnionych podstaw do założenia [że dana osoba posiada już konieczne informacje]”.
Po trzecie – proponowane w ramach art. 3 ust. 8 Digital Omnibus zmiany w zakresie procedury zgłaszania naruszeń ochrony danych, określonej obecnie w art. 33 RODO, wymagają krytycznej i rzetelnej analizy. Podczas gdy wydłużenie terminu zgłoszenia do 96 godzin dla złożonych incydentów oraz wprowadzenie ujednoliconych procedur i wzorów może rzeczywiście usprawniać system, to już radykalne podniesienie progu zgłaszania z poziomu „ryzyka [naruszenia]” do „wysokiego ryzyka” może być nieuzasadnione z punktu widzenia skuteczności ochrony i nadzoru. W tym względzie możliwe do rozważenia jest utrzymanie procedury w przypadkach stwierdzenia zwykłego poziomu ryzyka poprzez stworzenie dwustopniowego systemu w zależności od określonego poziomu ryzyka i – odpowiednio – odrębnych gwarancji proceduralnych.
Po czwarte – sprzeciwu wymagają zmiany w ramach art. 3 ust. 7 Digital Omnibus dotyczące automatycznego podejmowania decyzji (obecnie art. 22 RODO). W przypadku tych zmian osoba, której dane dotyczą, straci w praktyce prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, którego wyłączenie możliwe jest obecnie w oparciu o ścisły test niezbędności. Art. 22 ust. 1 RODO stanie się natomiast przepisem wyznaczającym podstawy prawne do automatycznego podejmowania decyzji, tworząc jednocześnie katalog sytuacji dopuszczalnych dla takich decyzji. Stwarza to istotne ryzyko normalizacji korzystania z algorytmów podatne na uprzedzenia bez uzasadnienia, szczególnie szkodząc wrażliwym grupom już doświadczającym dyskryminacji w tych obszarach. Natomiast uprawnienia jednostki objętej taką automatyczną decyzją mają sprowadzać się wyłącznie do żądania interwencji ludzkiej, możliwości przedstawienia własnego stanowiska i podważenia decyzji (zgodnie z art. 22 ust. 3 RODO).
Po piąte – zmiany w zakresie przetwarzania danych wrażliwych dla potrzeb rozwoju systemów sztucznej inteligencji ujęte w ramach art. 3 ust. 3 Digital Omnibus jako zmiana brzmienia art. 9 RODO poprzez rozszerzenie możliwości wykorzystywania tych danych, jeżeli uzyskuje się je pośrednio w ramach wnioskowania na podstawie innych danych osobowych (np. aktywności w Internecie). Propozycja wyłączenia danych wywnioskowanych z zakresu ochrony art. 9 RODO jest bardzo trudna do zaakceptowania, gdyż to właśnie w obszarze wnioskowania algorytmicznego kryje się największe ryzyko dyskryminacji i automatycznego powielania wykluczeń osób z grup narażonych, a także naruszeń prywatności.
Rzecznik przedstawił także uwagi do propozycji Digital Omnibus dotyczącej Aktu w sprawie sztucznej inteligencji. Po pierwsze – w odniesieniu do zachowania wymogów rejestracji systemów AI niskiego ryzyka określonych w art. 49 ust. 2 i art. 6 ust. 3 i 4 Aktu w sprawie sztucznej inteligencji, RPO zdecydowanie zarekomendował ich zachowanie. Wymogi te stanowią minimalny mechanizm transparentności i odpowiedzialności publicznej dostawców systemów AI, a publiczny rejestr jest przy tym niezbędnym narzędziem dla organów nadzorczych, badaczy i społeczeństwa obywatelskiego. Bez tego wymogu niemożliwe będzie weryfikowanie prawidłowości stosowania zwolnień regulacyjnych przez dostawców.
Po drugie – Rzecznik poparł rekomendację dotyczącą zachowania zakresu bezpośrednich uprawnień organów ds. ochrony praw podstawowych, o których mowa w art. 77 Aktu w sprawie sztucznej inteligencji, oraz odrzucenia proponowanego mechanizmu pośredniczenia w procedurze kontroli przez organy nadzoru rynku. Proponowane zmiany mogą zdaniem Rzecznika podważać niezależność i skuteczność właściwych krajowych organów ochrony praw podstawowych, w tym organów ochrony danych osobowych. Wymuszenie dostępu do informacji wyłącznie poprzez organ nadzoru rynku może pociągać za sobą opóźnienia czasowe w reagowaniu na naruszenia, ryzyko filtrowania lub ograniczania dostępu do informacji, dodatkowe obciążenia biurokratyczne, zależność od zdolności operacyjnych oraz podważenie konstytucyjnej niezależności tych organów.
RPO dostrzega przy tym potrzebę koordynacji działań różnych organów dla uniknięcia powielania czynności kontrolnych obciążających te same podmioty. Dlatego należy rozważyć ustanowienie dobrowolnych mechanizmów współpracy i wymiany informacji między organami z art. 77 Aktu w sprawie sztucznej inteligencji, a organem nadzoru rynku. W ocenie Rzecznika organy z art. 77 tego rozporządzenia powinny zachować jednakże pełną autonomię w decydowaniu, kiedy i jak korzystają ze swoich uprawnień, a jednocześnie należy wprowadzić wspólne platformy wymiany informacji dotyczących działań tych organów.
Po trzecie – w zakresie propozycji dalszego opóźnienia wejścia w życie wymogów z Rozdziału III Aktu w sprawie sztucznej inteligencji harmonogramu dla systemów AI wysokiego ryzyka, należy według RPO rozważyć możliwe negatywne skutki dla ochrony praw podstawowych takiej decyzji. Opóźnienie skutecznego stosowania uchwalonych już i oczekiwanych regulacji o kolejne dwa lata (2028) pozwoli systemom wpływającym na obszary takie jak zatrudnienie, edukacja czy bankowość na dalsze funkcjonowanie bez odpowiednich zabezpieczeń przez ryzykiem dyskryminacji, naruszenia prywatności i innych praw podstawowych. Rzecznik wyraził przy tym zrozumienie dla pewnych obaw, które mogą pojawić się ze strony sektora małych i średnich przedsiębiorstw dotyczących gotowości do wdrożenia wszystkich wymogów. Ewentualne rozwiązanie kompromisowe wymaga jednak odpowiedniego uzasadnienia i ścisłej proporcjonalności.
Po czwarte – Rzecznik wyraźnie poparł rekomendację zachowania wiążącego charakteru obowiązków w zakresie zwiększania kompetencji pracowników dostawców systemów sztucznej inteligencji z zakresu ich rozumienia i posługiwania się nimi, w szczególności w odniesieniu do analizy ich potencjalnego wpływu na prawa podstawowe (AI literacy). Zgodnie z propozycją zmian planowane jest zamienienie określonego obecnie w art. 4 Aktu w sprawie sztucznej inteligencji obowiązku na „zachęcanie” do podejmowania przez podmioty prywatne takich działań przez Państwa Członkowskie i Komisje. Znajomość zasad funkcjonowania systemów sztucznej inteligencji wśród personelu należy jednak uznać za fundamentalny warunek odpowiedzialnego rozwoju i wdrażania tych systemów. Rzecznik wyraził przypuszczenie, że uzasadnione byłoby raczej wzmacnianie tego rodzaju gwarancji poprzez ustanowienie np. minimalnych standardów programów szkoleniowych, wymogu certyfikacji dla kluczowego personelu w systemach wysokiego ryzyka itp.
Na koniec wystąpienia Rzecznik podkreślił, że powyższa opinia nie jest w pełni tożsama ze wspólnym stanowiskiem wypracowanym w ramach sieci ENNHRI. Nie zmienia to jednak uwspólnionego przekonania podzielanego przez podobne do Rzecznika instytucje prawno-człowiecze poszczególnych Państw Członkowskich, że zmiany proponowane na poziomie legislacji Unii Europejskiej mogą spowodować negatywny skutek dla ochrony praw podstawowych w kontekście ochrony danych osobowych i działania systemów sztucznej inteligencji, jeżeli perspektywa wymogów wynikających z tych praw nie zostanie odpowiednio uwzględniona.
Europejski model ochrony danych, zamiast być postrzegany jako przeszkoda dla innowacji, powinien zdaniem Rzecznika być promowany jako istotny dorobek rozwoju ochrony prawa do prywatności, który przyciąga konsumentów i przedsiębiorstwa właśnie dlatego, że gwarantuje bezpieczeństwo, transparentność i odpowiedzialność, jedne z kluczowych cechy europejskiej kultury prawnej, zorientowanej na wolności i prawa jednostki, stanowiące fundament tej kultury.
W ocenie Rzecznika zasadą przewodnią, która powinna kierować procesem wprowadzania zmian w RODO oraz Akcie w sprawie sztucznej inteligencji, jest umożliwienie innowacji i elastyczności tam, gdzie jest to racjonalnie uzasadnione, ale jednocześnie utrzymanie istniejących lub ustanowienie dodatkowych, dostosowanych mechanizmów rzeczywistej, nie zaś pozornej kontroli i odpowiedzialności. Każde uproszczenie procedur, każde rozszerzenie możliwości przetwarzania danych, każde zwolnienie z obowiązków musi być równoważone konkretnymi, egzekwowalnymi mechanizmami weryfikacji, bezpieczeństwa, transparentności i odpowiedzialności. Nie można dopuścić do sytuacji, w której uproszczenie prawa w imię deregulacji oznaczać będzie w praktyce osłabienie ochrony ze względu na niemożność skutecznego nadzoru, a w efekcie brak rozliczalności i odpowiedzialności za wspólny krajobraz świata cyfrowego, którego jedynie jedną z wielu części stanowi gospodarka cyfrowa.
Rzecznik zwrócił się z prośbą o uwzględnienie powyższych uwagi i rekomendacji w toku prac na poziomie europejskim dotyczących propozycji Digital Omnibus oraz Digital Omnibus dotyczącej Aktu w sprawie sztucznej inteligencji. Poprosił także o poinformowanie o wyniku negocjacji i wypracowanych stanowiskach w kluczowych momentach procesu legislacyjnego dotyczącego zaproponowanych zmian.