Sprawa roku dla ochrony danych osobowych?
Choć może to brzmieć zaskakująco, analizowany przypadek należy uznać za jedną z najistotniejszych spraw dotyczących materialnego sensu przepisów o ochronie danych osobowych w 2025 r. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), często oceniane jako nadmiernie sformalizowane i zbyt mocno koncentrujące się na dokumentacji i procedurach, zyskuje realne znaczenie w sytuacjach takich jak ta – gdy dane osobowe stają się środkiem wyrządzania szkody osobie fizycznej.
RODO nie ogranicza swojej ochrony wyłącznie do klasycznych danych identyfikujących, takich jak imię, nazwisko, numer PESEL czy adres. Zakres regulacji obejmuje wszelkie informacje, które – same lub w zestawieniu z innymi – umożliwiają identyfikację konkretnej osoby. Co istotne, ochrona dotyczy również danych nieprawdziwych, zniekształconych, ocennych, a nawet zmanipulowanych – jeżeli można je powiązać z konkretną osobą. To podejście potwierdził TSUE w wyroku z 20.12.2017 r. w sprawie C-434/16, Nowak, Legalis, uznając, że subiektywne i opracowane dane również mogą być danymi osobowymi, jeśli dotyczą możliwej do zidentyfikowania osoby.
Z perspektywy regulacyjnej, RODO nie chroni danych dla nich samych – chroni ludzi, których te dane dotyczą. W przypadku cyfrowo zmanipulowanego wizerunku dziecka, ochrona ta nabiera fundamentalnego znaczenia. Skutki emocjonalne, psychiczne i społeczne takiego naruszenia mogą być głębokie i długofalowe, co powinno skłaniać do priorytetowego traktowania takich incydentów przez organy nadzoru.
Działania Prezesa UODO: ocena prawna i systemowa
Zawiadomienie organów ścigania przez Prezesa UODO należy ocenić jako prawidłowe i w pełni uzasadnione. W świetle art. 107 ust. 1 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781; dalej: OchrDanychU), przetwarzanie danych osobowych bez podstawy prawnej może skutkować odpowiedzialnością karną – w tym karą ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeżeli przetwarzanie dotyczy danych wrażliwych, takich jak dane o seksualności, kara może wynosić nawet trzy lata (art. 107 ust. 2 OchrDanychU).
W omawianym przypadku mamy do czynienia z tzw. „deepfake” – syntetycznym wizerunkiem stworzonym przez aplikację AI na bazie realnego zdjęcia lub wizerunku osoby rzeczywistej. Mimo że obraz nie był efektem sesji fotograficznej, stanowił efekt przetworzenia wizerunku uczennicy – osoby możliwej do jednoznacznego zidentyfikowania w ramach społeczności szkolnej. Zatem dochodzi do przetwarzania danych osobowych w sposób nieuprawniony, bez podstawy z art. 6 lub art. 9 RODO.
Równocześnie zachowanie uczniów może również wypełniać znamiona przestępstwa z art. 202 § 3 KK, który penalizuje m.in. produkcję i rozpowszechnianie treści pornograficznych z udziałem małoletniego. W świetle orzecznictwa Sądu Najwyższego (zob. post. SN z 15.1.2020 r., V KK 655/19, Legalis; post. SN z 18.1.2021 r., IV KK 251/20, Legalis), definicja „pornografii dziecięcej” nie ogranicza się do treści dokumentujących rzeczywiste akty seksualne – obejmuje również materiały wizualne przedstawiające nagość dziecka w sposób seksualizujący lub sugerujący udział w czynnościach seksualnych, nawet w formie cyfrowo wygenerowanej.
Wizerunek jako dana osobowa a generatywna AI
Wizerunek, nawet zmodyfikowany przy pomocy AI, jeżeli pozwala na identyfikację osoby, pozostaje daną osobową w rozumieniu art. 4 pkt 1 RODO. Potwierdza to zarówno orzecznictwo TSUE, jak i polskie sądy administracyjne. Wykorzystanie narzędzi sztucznej inteligencji do wygenerowania treści przedstawiających osobę w sytuacji nacechowanej seksualnie – bez jej wiedzy i zgody – stanowi niedopuszczalne przetwarzanie danych osobowych oraz rażące naruszenie dóbr osobistych.
Jeśli materiał odnosi się do sfery seksualności (a taką kwalifikację sugeruje Prezes UODO), mamy do czynienia z danymi wrażliwymi w rozumieniu art. 9 ust. 1 RODO. Tego typu dane mogą być przetwarzane wyłącznie na podstawach szczególnych – a żadna z nich nie występuje w tym przypadku. W efekcie działania uczniów nie tylko naruszają przepisy o ochronie danych, ale potencjalnie wypełniają znamiona przestępstwa.
Znaczenie sprawy dla praktyki ochrony danych i edukacji cyfrowej
Omawiane zdarzenie stanowi ważny sygnał dla organów nadzorczych, instytucji edukacyjnych i rodziców. Technologia AI, w tym narzędzia umożliwiające tworzenie deepfake’ów, staje się dostępna powszechnie i bez jakiejkolwiek kontroli wiekowej. W rękach dzieci i młodzieży może stanowić narzędzie przemocy symbolicznej, psychicznej i reputacyjnej, której skutki trudno odwrócić.
Szkoły powinny nie tylko edukować w zakresie odpowiedzialności za korzystanie z technologii, ale również wdrażać polityki antymobbingowe i reagować niezwłocznie na sygnały przemocy rówieśniczej. Równie istotna jest edukacja cyfrowa rodziców, którzy muszą rozumieć, że nie każde „żarty z AI” to niewinna zabawa.
AIAct i potrzeba regulacji treści syntetycznych
W świetle stopniowo obowiązujących przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13.6.2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (Dz.Urz. UE L z 2024 r. Nr 131, s. 1689; dalej: AIAct), narzędzia zdolne do generowania realistycznych wizerunków osób fizycznych mogą zostać objęte dodatkowymi wymogami. Dotyczy to m.in. obowiązku oznaczania treści jako syntetycznych (art. 50 AIAct) oraz zakazu tworzenia materiałów z wykorzystaniem rzeczywistych danych bez zgody osoby, której one dotyczą. Sprawa z podwarszawskiej szkoły unaocznia, że ochrona dzieci przed wykorzystaniem ich danych przez AI nie jest zagadnieniem teoretycznym, ale realnym problemem wymagającym systemowej reakcji.
Działania Prezesa UODO należy ocenić jako nie tylko zgodne z literą prawa, ale przede wszystkim adekwatne wobec istoty naruszenia – ochrony godności, prywatności i bezpieczeństwa dziecka. Sprawa ta przypomina, że prawo ochrony danych osobowych, choć często kojarzone z formalizmami i obowiązkami rejestracyjnymi, w istocie pełni funkcję ochrony jednostki przed skutkami niewidocznych, ale destrukcyjnych procesów cyfrowego wykluczenia i przemocy.
Przypadek ten dobitnie pokazuje, że RODO to nie tylko zbiór technicznych wymogów, lecz przede wszystkim instrument służący ochronie praw jednostki. Jego prawdziwa rola ujawnia się wtedy, gdy dane – nawet w formie cyfrowo wygenerowanego obrazu – stają się źródłem realnego cierpienia.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
