Prezes Urzędu Ochrony Danych Osobowych (UODO) Mirosław Wróblewski ocenia, że kierunek działań proponowanych przez Ministerstwo Cyfryzacji w sprawie deepfake’ów jest zasadniczo właściwy, jednak nie zapewnia on obywatelom pełnej i systemowej ochrony. W jego opinii obecne przepisy – zarówno unijne, jak i krajowe – reagują na zagrożenia związane z deepfake’ami tylko fragmentarycznie, a skala i wielowymiarowość problemu wymaga szerszych narzędzi.
Dlaczego deepfake’y wymykają się obecnym regulacjom?
UODO wskazuje, że dziś funkcjonuje raczej „mozaika” przepisów, które czasem da się zastosować do konkretnych przypadków (np. naruszenia dóbr osobistych, oszustwa, zniesławienia, naruszenia praw autorskich), ale brakuje rozwiązań „szytych” pod realia deepfake’ów: szybkość rozpowszechniania, masowość, trudność w wykryciu, szkody reputacyjne i emocjonalne, a także ryzyka dla bezpieczeństwa publicznego.
W praktyce oznacza to, że poszkodowany często musi dopasowywać swój problem do istniejących kategorii prawnych, zamiast korzystać z jasnych, dedykowanych mechanizmów przeciwdziałania i sankcjonowania.
Unijne ramy: DSA i AI Act – ważne, ale niewystarczające
W korespondencji, do której odnosi się UODO, przywołano unijne instrumenty, które dotykają tematu deepfake’ów, w szczególności:
- DSA (Akt o usługach cyfrowych) – w przypadku największych platform i wyszukiwarek (VLOP/VLOSE) nacisk kładzie się m.in. na ograniczanie ryzyk systemowych. W kontekście procesów wyborczych wskazuje się także obowiązek reagowania na zmanipulowane treści mogące wprowadzać odbiorców w błąd (w tym deepfake), w tym ich oznaczanie.
- AI Act – przewiduje obowiązek ujawniania, że obrazy, nagrania audio lub wideo stanowią deepfake (czyli są sztucznie wygenerowane lub zmanipulowane), co ma wspierać przejrzystość i ograniczać wprowadzanie odbiorców w błąd.
- „Cyfrowy Omnibus” (COM(2025) 836) – Komisja Europejska zaproponowała wzmocnienie roli Europejskiego Urzędu ds. Sztucznej Inteligencji (AI Office) tak, aby łatwiej egzekwować obowiązki wykrywania i oznaczania treści generowanych lub modyfikowanych przez AI.
Jednocześnie UODO podkreśla, że powyższe rozwiązania nadal nie tworzą kompletnego systemu walki z nielegalnymi i szkodliwymi treściami deepfake – zwłaszcza jeśli chodzi o szybkie usuwanie, odpowiedzialność za rozpowszechnianie oraz sankcje przypisane wprost do tego typu nadużyć.
Weto do ustawy wdrażającej DSA jako „moment na poprawę”
Prezes UODO wskazuje też na krajowy kontekst: po prezydenckim wecie ustawy wdrażającej DSA pojawia się możliwość ponownego podjęcia prac legislacyjnych i uzupełnienia ich o spójne rozwiązania odnoszące się bezpośrednio do deepfake’ów (w zawetowanej ustawie takich regulacji wprost nie było).
W praktyce chodzi o to, by przy okazji prac nad krajowym „oporządzeniem” DSA doprojektować mechanizmy, które:
- szybciej i skuteczniej ograniczają rozpowszechnianie szkodliwych deepfake’ów,
- zapewniają jasną ścieżkę reakcji dla obywateli i instytucji,
- porządkują odpowiedzialność (administracyjną, cywilną i karną).
Inne państwa robią więcej – przykład Włoch
UODO zwraca uwagę, że część państw UE i spoza UE decyduje się na krajowe, szczególne regulacje dotyczące deepfake’ów. Wśród wskazywanych kierunków pojawia się przykład włoski: założenie, że AI nie jest „neutralnym narzędziem”, lecz systemem zdolnym realnie wpływać na prawa i wolności, co uzasadnia dodatkowy nadzór oraz dostosowanie odpowiedzialności cywilnej i karnej.
Jednym z elementów takiego podejścia ma być również wprowadzenie do prawa karnego definicji przestępstwa polegającego na nielegalnym rozpowszechnianiu sfałszowanych lub zmodyfikowanych treści cyfrowych wygenerowanych z wykorzystaniem sztucznej inteligencji.
Ważny sygnał z TSUE: obowiązki platform i ochrona wizerunku
W argumentacji UODO istotną rolę pełni również wyrok Trybunału Sprawiedliwości UE z 2 grudnia 2025 r. (C-492/23, sprawa Russmedia). Trybunał wskazał, że operator internetowej platformy handlowej ma obowiązek sprawdzać, czy dane osobowe podawane w ogłoszeniach są danymi reklamodawcy/ogłoszeniodawcy. Jeśli nie jest to jasne, osoba zamieszczająca ogłoszenie musi wykazać, że posiada zgodę osoby, której dane dotyczą.
UODO podkreśla, że taka interpretacja wzmacnia ochronę przed bezprawnym wykorzystywaniem wizerunku nie tylko osób publicznych, ale i innych użytkowników internetu. To nabiera szczególnego znaczenia w kontekście deepfake’ów, które ułatwiają masowe podszywanie się pod inne osoby i „podkładanie” im wizerunku lub głosu.
Co – zdaniem UODO – powinno pojawić się w polskim prawie?
Sedno postulatu jest następujące: potrzebne są regulacje, które uwzględniają specyfikę deepfake’ów, definiują problem i bezpośrednio sankcjonują rozpowszechnianie szkodliwych treści wytwarzanych tą technologią. Prezes UODO mówi o podejściu systemowym – obejmującym reakcje administracyjne, cywilne i karne (w tym skarbowe karne), a także realnie działające ścieżki sądowe.
W ocenie UODO tylko takie podejście może zapewnić realną ochronę nie tylko prywatności i danych osobowych jednostki, ale też interesu publicznego – w tym bezpieczeństwa państwa oraz odporności społeczeństwa na manipulację.
