Mostowik, Szymańska: Regulacje cyfrowe to równowaga ochrony użytkowników i innowacji

Jeszcze nigdy cyfrowa gospodarka nie była tak wysoko na liście priorytetów w polityce Unii Europejskich. Dowodem na to jest rosnąca liczba regulacji, dotyczących m.in. cyberbezpieczeństwa, ochrony użytkowników platform internetowych czy wprowadzania regulacji dotyczących danych. Część jest już zresztą elementem obowiązującego porządku prawnego, np. akt w sprawie zarządzania danymi (DGA), który wszedł w życie we wrześniu 2023 r.

Większość nowo wprowadzanych regulacji ma charakter rozporządzeń, dzięki czemu ich przepisy będą bezpośrednio i jednolicie obowiązywać we wszystkich państwach UE. Mogą stanowić zatem samodzielne źródło praw i obowiązków dla obywateli oraz nie wymagają implementacji do krajowych porządków prawnych. Na państwa członkowskie prawodawca unijny nakłada jednak obowiązek wyznaczenia organów odpowiedzialnych za nadzór nad przestrzeganiem tych przepisów.

Czytaj więcej:

Prawo w firmie

Rząd nadrabia szkodliwe zaległości we wdrażaniu dyrektyw. Na początek podatki [INFOGRAFIKA]

Pro

„Starzy” nadzorcy w nowych butach

Z perspektywy krajowych porządków prawnych wyznaczenie właściwych organów nadzorujących cyfrową gospodarkę nie jest zadaniem jednoznacznym. W niektórych obszarach swojej działalności przedsiębiorstwa technologiczne podlegały już kontroli w Unii Europejskiej (np. w zakresie ochrony danych osobowych czy przepisów o ochronie konkurencji i konsumentów), ale sektorowe regulacje cyfrowej gospodarki w modelu „nadzorczym” to relatywnie nowy obszar polityki unijnej. Równocześnie Bruksela w zdecydowanej większości przypadków postanowiła nie narzucać państwom członkowskim wyboru organów, które powinny zajmować się nadzorowaniem stosowania nowych przepisów.

Dla większości nowych regulacji Polska nie wyznaczyła jeszcze organu odpowiedzialnego za nadzór. W niektórych przypadkach wciąż mamy czas (np. akt w sprawie danych, tzw. Data Act, dla którego termin upływa dopiero 12 września 2025 r.). Niestety dla części regulacji – jak choćby dla wspomnianego aktu w sprawie zarządzania danymi – terminy te już upłynęły.

W ostatnim czasie sporo uwagi – również na łamach „Rzeczpospolitej” – zajmowała problematyka wyznaczenia koordynatora ds. usług cyfrowych, czyli organu właściwego w sprawie stosowania unijnego aktu o usługach cyfrowych (DSA). Zgodnie z propozycjami Ministerstwa Cyfryzacji rola ta zostanie najpewniej przypisana prezesowi Urzędu Komunikacji Elektronicznej (UKE). Zmiana tej decyzji wydaje się mało prawdopodobna, zwłaszcza biorąc pod uwagę czynnik czasu – termin na wyznaczenie organu właściwego upłynął 17 lutego 2024 r.

Z kolei projekt ustawy o zarządzaniu danymi, mający stanowić wdrożenie do prawa polskiego przepisów DGA, zawiera propozycję, aby większość uprawnień otrzymał prezes Urzędu Ochrony Konkurencji i Konsumentów (UOKIK); w tym w zakresie nadzoru nad usługami pośrednictwa danych i rejestracji organizacji altruizmu danych, choć ustawodawca rozdziela zadania również między Naukową i Akademicką Sieć Komputerową, prezesa GUS i ministra właściwego ds. informatyzacji. Dla aktu w sprawie danych nie znamy jeszcze nawet wstępnych propozycji ministerstwa – niewykluczone, że zgodnie z apelami Europejskiego Inspektora Ochrony Danych polski ustawodawca zdecyduje się na wyznaczenie do tej roli prezesa Urzędu Ochrony Danych Osobowych.

Kontrola nad sztuczną inteligencją

Prawdopodobnie żadna z nowych regulacji nie rozgrzewa jednak wyobraźni komentatorów bardziej niż rozporządzenie w sprawie sztucznej inteligencji (tzw. AI Act). W tym przypadku nie ma nawet znaczenia, że rozporządzenie nie zostało jeszcze oficjalnie uchwalone przez Unię Europejską. Wszystko wskazuje, że przyjęcie przepisów o sztucznej inteligencji – a tym samym konieczność zapewnienia krajowej struktury nadzoru w tym zakresie – to jednak wyłącznie kwestia czasu.

Ramy nadzorcze przewidziane w nowych przepisach są dość złożone i obejmują m.in. ustanowienie na poziomie unijnym Europejskiej Rady ds. AI oraz nowego centralnego urzędu nadzorczego – Europejskiego Urzędu ds. Sztucznej Inteligencji (AI Office). Na poziomie krajowym obowiązkowe będzie wyznaczenie m.in. organów nadzoru rynku. W pewnym stopniu projektowane rozporządzenie narzuca decyzje krajowym ustawodawcom. Przykładowo, dla instytucji finansowych funkcję organu nadzoru rynku pełnić ma organ właściwy do nadzoru nad tymi instytucjami. W Polsce zatem będzie to Komisja Nadzoru Finansowego. Odgórne przypisanie tej roli dotyczy jednak głównie sektorów, w których na poziomie unijnym istnieją już ramy nadzoru. Polski ustawodawca nadal zatem stoi przed kluczową decyzją dotyczącą wyznaczenia i wskazania „głównego” organu nadzoru rynku, który będzie m.in. reprezentować Polskę w pracach Europejskiej Rady ds. Sztucznej Inteligencji.

Warianty nadzoru

Identyfikacja głównych opcji regulacyjnych dla Polski była przedmiotem prac odrębnego zespołu Grupy Roboczej ds. Sztucznej Inteligencji, powołanej przy Ministerstwie Cyfryzacji. Spośród wielu możliwych rozwiązań zidentyfikowano trzy główne scenariusze regulacyjne:

- wyznaczenie organu spośród istniejących urzędów nadzorczych (np. prezesa UOKIK lub prezesa UODO),

- ustanowienie nowego organu zajmującego się nadzorem nad AI – specjalnego „regulatora AI”,

- ustanowienie organu kolegialnego (na wzór np. Komisji Nadzoru Finansowego, KNF), który mógłby zrzeszać przedstawicieli m.in. UOKIK, KNF czy UODO.

Warto pochylić się zwłaszcza nad propozycją pierwszą i ostatnią. Tym bardziej że pomysł powołania odrębnego „regulatora AI” jeszcze kilka miesięcy temu wydawał się atrakcyjny, ale obecnie – w świetle planowanego utworzenia takiego specjalnego urzędu (AI Office) na poziomie unijnym – raczej należy go ocenić jako mało realny.

Pierwsze rozwiązanie wydaje się faworyzowane, zwłaszcza uwzględniając podejście Ministerstwa Cyfryzacji do innych regulacji „cyfrowych”. Punktowe wyznaczanie organów nadzoru dla każdej z nowych regulacji (w tym dla AI Act) spośród istniejących już instytucji jest rozwiązaniem najłatwiejszym (przynajmniej na poziomie projektowania przepisów), a jednocześnie wydaje się korzystne ekonomicznie i czasowo. Nie wymaga ono bowiem tworzenia od podstaw odrębnego podmiotu z własną strukturą i personelem.

Kłopotliwy wielogłos organów

AI Act to jednak szczególnie interdyscyplinarna regulacja, dotykająca m.in. problematyki zarządzania danymi, ochrony konsumenta, bezpieczeństwa infrastruktury kluczowej czy stabilności sektora finansowego. Niełatwo zatem wskazać jeden organ, który z całą pewnością sprawdziłby się w tej roli. Choć prezesi UKE, UOKIK czy UODO z pewnością dobrze rozumieją wyzwania technologiczne, naturalnie każdy z tych organów będzie zdecydowanie ukierunkowany na jeden aspekt tej technologii.

Co więcej, już dziś bolączką wielu przedsiębiorców, m.in. w sektorze finansowym czy telekomunikacyjnym, jest niespójne podejście różnych organów do tych samych zagadnień. Nie sposób oprzeć się wrażeniu, że takie punktowe wyznaczanie nadzorców dla poszczególnych regulacji może jedynie powiększyć problem tego „wielogłosu”.

Tym bardziej warto pochylić się nad trzecim z przytoczonych scenariuszy, który zakłada powołanie organu kolegialnego, na wzór np. KNF. Mógłby składać się z przedstawicieli kluczowych interesariuszy, a tym samym łączyć różne perspektywy regulacyjne dotyczące sztucznej inteligencji. W pracach takiej komisji celowe byłoby uczestnictwo przedstawicieli przynajmniej kilku instytucji, m.in. UODO (już dziś podkreślających zagrożenia dla prywatności związane z rozwojem AI), UOKIK (szczególnie odpowiedzialnych za perspektywę konsumencką) czy organów sektorowych takich jak KNF, UKE czy Urząd Regulacji Energetyki (URE). Korzyści z powołania takiej interdyscyplinarnej komisji dla cyfrowej gospodarki wykraczałyby jednak poza regulacje dotyczące AI. W praktyce taki organ mógłby pełnić funkcję „cyfrowego regulatora” dla Polski, przejmując rolę organu nadzorczego również innych regulacji w obszarze cyfrowej gospodarki. Stosowanie tych regulacji wymaga bowiem interdyscyplinarnego podejścia, a powołanie komisji z pewnością ułatwiłoby nadzór nad stosowaniem przepisów aktu o rynkach cyfrowych czy unijnych regulacji dotyczących zarządzania danymi (DGA, Data Act).

Jednocześnie – biorąc pod uwagę czas niezbędny na powołanie nowego urzędu – obsługę takiego organu mogłaby zapewnić odrębna komórka organizacyjna w jednym z istniejących już urzędów – np. w UODO lub UOKIK. Pozwoliłoby to na kompromis pomiędzy potrzebą szybkiego przyjmowania przepisów krajowych a innowacyjnym i interdyscyplinarnym podejściem, koniecznym do właściwego zrozumienia oraz stosowania przyjmowanych regulacji unijnych.

Najważniejsza jakość, a nie czas

Obecnie największym wyzwaniem związanym z powołaniem cyfrowego regulatora (lub regulatorów) w Polsce staje się czas. Wielu ekspertów podkreśla jednak, że nie warto dążyć do jak najszybszego wdrożenia nowych regulacji, jeżeli miałoby się to dokonać kosztem jakości przepisów. Z pewnością decyzja o stworzeniu nowej struktury nadzorczej w Polsce będzie wymagać m.in. przygotowania rozwiązań ustawowych, a także skompletowania odpowiednio wykwalifikowanej kadry oraz infrastrukturalnego „osadzenia” nowego organu. Są to jednak działania konieczne do ustanowienia oraz przygotowania nowoczesnego i wyspecjalizowanego nadzoru nad cyfrową gospodarką, który zrównoważy potrzebę ochrony użytkowników nowych technologii, przy jednoczesnym wspieraniu innowacji w polskiej gospodarce.

Odważmy się spróbować.

dr Michał Mostowik jest adwokatem i menedżerem w zespole doradztwa regulacyjnego dla sektora finansowego i FinTech kancelarii Deloitte Legal

Paulina Szymańska jest aplikantką adwokacką i associate w zespole doradztwa regulacyjnego dla sektora finansowego i FinTech kancelarii Deloitte Legal

Unia Europejska (UE) Publicystyka Technologie Sztuczna Inteligencja Organizacje Komisja Nadzoru Finansowego (KNF) Urząd Komunikacji Elektronicznej (UKE) Urząd Ochrony Konkurencji i Konsumentów (UOKiK) Nowe Prawo Rzecz o prawie Urząd Ochrony Danych Osobowych (UODO)