Komisja Europejska wycofała się z prac nad aktami, które miały dostosować prawo do cyfrowej rzeczywistości. Do ochrony prywatności w sieci będą więc stosowane przepisy sprzed prawie ćwierćwiecza. . Nie będzie też łatwo dochodzić roszczeń za szkody spowodowane przez AI

Zdaniem KE dalsze prace nad tymi przepisami nie miały sensu, bo nie było szans na porozumienie wśród unijnych prawodawców w ramach negocjacji trójstronnych. Chodzi o projekty dyrektywy w sprawie odpowiedzialności cywilnej za sztuczną inteligencję (AILD) oraz rozporządzenia o prywatności i łączności elektronicznej (ePrivacy).

Program prac KE obejmujący zarzucenie tych projektów ogłoszono wśród haseł ograniczenia obciążenia administracyjnego i uproszczenia przepisów UE – oraz pobudzenia wzrostu gospodarczego. Stowarzyszenie CCIA Europe, do którego należą m.in. Apple, Google, X i Meta, uważa, że ruch Brukseli „odzwierciedla rosnącą świadomość, że UE może pozostać konkurencyjna tylko wtedy, gdy zadba o to, aby jej cyfrowe i technologiczne ramy nie stały się niepraktyczną gmatwaniną”.

Archaiczna dyrektywa nadal w mocy

Ministerstwo Cyfryzacji, które poprosiliśmy o komentarz, podkreśla, że odkąd w styczniu 2017 r. zaczęły się prace nad rozporządzeniem ePrivacy, powstały w UE akty o: usługach cyfrowych (DSA), rynkach cyfrowych (DMA), sztucznej inteligencji (AI Akt) oraz danych, „które również dotyczą ochrony użytkowników, w tym ochrony danych czy prywatności”, a ponadto w 2018 r. weszło w życie RODO. „Zrozumiałe może być zatem to, że Komisja Europejska skupi się teraz na obserwacji funkcjonowania tych nowych aktów” – stwierdza resort cyfryzacji.

Podkreśla, że nadal obowiązuje dyrektywa 2002/58 o prywatności i łączności elektronicznej (dyrektywa ePrivacy). „Zawiera ona gwarancje dla użytkowników w zakresie ochrony danych telekomunikacyjnych, danych osobowych, poufności komunikacji elektronicznej, zasady stosowania plików cookies i innych technik śledzących. Regulacje te dotyczą zarówno dostawców tradycyjnych usług telekomunikacyjnych, jak i usług takich jak komunikatory internetowe czy poczta elektroniczna, a także innych podmiotów stosujących pliki cookies i e-marketing” – wylicza MC, wskazując, że w Polsce te przepisy wdrożone są w ustawie – Prawo komunikacji elektronicznej(tj. Dz.U. z 2024 r., poz. 1221; dalej: PKE).

- Z wymienionych regulacji unijnych przepisy dotyczące ochrony przed niechcianą komunikacją zawiera tylko dyrektywa z 2002 r., implementowana u nas w PKE. A to oznacza, że bez rozporządzenia ePrivacy pozostajemy pod tym względem w rzeczywistości sprzed ponad 20 lat – komentuje dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński i członek Społecznego Zespołu Ekspertów przy prezesie Urzędu Ochrony Danych Osobowych. - Przepisy dyrektywy są archaiczne. Najlepszym przykładem jest kwestia ciasteczek – dodaje.

Internet jest regulowany jak telefonia głosowa

Dyrektywa ePrivacy zobowiązuje państwa członkowskie do zapewnienia, by przechowywanie informacji lub uzyskanie dostępu do informacji przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem wyrażenia zgody (art. 5 ust. 3).

- Odnosi się przy tym do nieistniejącej już dyrektywy (95/46/WE – red.) i zawartych tam warunków zgody, które się znacznie zmieniły. Co więcej, implementacja tego przepisu w niektórych krajach UE, w tym Polsce, dopuszcza tzw. zgodę przeglądarkową, tj. wyrażoną w ustawieniach przeglądarki – a to nie odpowiada standardom ochrony danych osobowych z RODO – mówi dr Litwiński.

Podkreśla, że duża część dyrektywy ePrivacy dotyczy telefonii głosowej, natomiast wcale nie wspomina ona o szyfrowaniu. - Poufność komunikacji, jeden z najważniejszych dziś tematów, została tam potraktowana jedną jednostką redakcyjną tekstu – stwierdza.

- Zarzucenie projektu rozporządzenia ePrivacy to klęska prawodawcy europejskiego. Trafnie ilustruje też europejski imposybilizm: od 2017 r. nie udało się wprowadzić tych przepisów, a za oceanem Donald Trump zmienia prawo jednym podpisem – zauważa Paweł Litwiński. - Szkoda, bo potrzeba regulacyjna jest w tym zakresie ogromna – podsumowuje.

Fiasko ePrivacy nie zaskakuje Sławomira Kowalskiego, adwokata, partnera w kancelarii _Just_LAW. - Wypracowane modele biznesowe i sposoby wykorzystania danych w łączności elektronicznej są obecnie ugruntowane i zmiana warunków gry w tym momencie nie byłaby dobrym ruchem – komentuje.

Komisja Europejska mogła połączyć ePrivacy z pracami nad RODO

Doktor Łukasz Olejnik, niezależny konsultant, badacz związany z King's College London, zwraca uwagę, że choć projekt ePrivacy był przestarzały już w momencie finalizacji, jednak polepszał ochronę prywatności w świecie nowych technologii.

- Niestety, nie dało się przepchnąć tej regulacji, a w obecnej kadencji już w ogóle nie ma mowy o tym, by doszło do porozumienia. To wina KE, że nie wysunięto propozycji aktualizacji w momencie prac nad RODO. Ten proces to piękna katastrofa i mówię to jako optymista, który konsultował projekt na poziomie prac w PE – stwierdzaŁukasz Olejnik. - To, że ePrivacy idzie na dno, to przykra sprawa, ale i doskonały ruch – dodaje.

Jak wyjaśnia, dalsze obstawanie przy ePrivacy mogłoby zaszkodzić RODO. - W każdej grupie politycznej są ludzie, którzy chcieliby wysłać RODO do niszczarki. Także wiceprezydent J.D. Vance w Paryżu niepochlebnie wypowiadał się o RODO. Szkoda by było, gdyby wywalić przez okno ochronę danych osobowych, którą w Polsce mamy przecież od około 30 lat. Nie znamy świata bez takich praw i nie polecam doświadczać tego z autopsji – argumentuje dr Olejnik.

Poszkodowany przez system AI stanie przed sądem bez atutów

Z kolei dyrektywa AILD jego zdaniem padła ofiarą agresywnego oporu przed dalszymi regulacjami. - Zmiana administracji w USA tylko zmotywowała KE, by pomysł pogrzebać – uważa Łukasz Olejnik.

– Wielka szkoda, że akurat ta dyrektywa padła ofiarą słusznego skądinąd postulatu deregulacyjnego – mówi dr Damian Flisak, radca prawny. - To nie był gargantuiczny akt. Akurat on nie nakładał ogromnych obowiązków na podmioty wdrażające AI. Miał natomiast zharmonizować podstawowe procesowe aspekty dochodzenia roszczeń za szkody wyrządzone przez systemy sztucznej inteligencji – wyjaśnia.

- W tym momencie w przypadku szkód wyrządzonych przez system AI, np. w dziedzinie własności intelektualnej, pozostajemy dość bezradni – podkreśla. W takiej sytuacji bowiem jedna strona (dostawca AI) dysponuje pełnymi informacjami i wiedzą ekspercką, natomiast druga (poszkodowany) nie ma tych atutów. Typowe dla własności intelektualnej żądania udzielenia informacji nie są wystarczające.

- Ogólne narzędzia prawa cywilnego nie uwzględniają specyfiki AI, bo powstały w czasach przed jej rozwojem. To stawia osoby pokrzywdzone w arcytrudnej sytuacji. Klasycznie idąc ze swoim roszczeniem do sądu, trzeba przede wszystkim wykazać poniesioną szkodę. To się jeszcze może jakoś udać. Ale trzeba też dowieść, że przyczyna szkody leży po stronie dostawcy systemu AI, który nie dopilnował, by system działał należycie. A to już bez znajomości zasad działania systemu AI jest bardzo trudne, jeśli nie całkiem niemożliwe – argumentuje Damian Flisak.

AILD miała przerzucić ciężar dowodowy na dostawcę systemu AI. - Jemu łatwiej wykazać, czy system jest wadliwy, czy nie. Bez tych przepisów sytuacja powoda będzie ciężka – co sprawia, że AI Akt w takich sprawach pozostanie bezzębny – stwierdza Damian Flisak. - Pytanie, czy bez dyrektywy sądy spojrzą łaskawszym okiem na poszkodowanych przez systemy AI i odpowiednio zaadaptują tradycyjne narzędzia cywilne – zastanawia się.

Sławomir Kowalski wskazuje, że lukę regulacyjną po AILD będą musiały wypełnić przepisy krajowe. - Nie będzie to łatwe, bo pytania o AI mają bardzo szczególny charakter i trudno jest na nie odpowiedzieć na podstawie istniejących przepisów. Przepisy regulujące odpowiedzialność w poszczególnych krajach członkowskich nie są też zharmonizowane, co będzie stanowić wyzwanie dla podmiotów tworzących, dostarczających i stosujących AI – uważa Sławomir Kowalski.