Digital Omnibus – czy czekają nas duże zmiany w przepisach RODO?

W dniu 19 listopada 2025 r. Komisja Europejska przedstawiła pakiet legislacyjny nazywany „Digital Omnibus” – pierwszą od lat próbę systemowego uporządkowania skomplikowanego już dziś unijnego prawa cyfrowego. Impulsem do tej reformy jest kumulacja licznych regulacji oraz presja konkurencyjna.

Wniosek Komisji obejmuje m.in. znaczące zmiany w ogólnym rozporządzeniu o ochronie danych (RODO). Jest to pierwsza tak poważna nowelizacja RODO od roku 2016, skoncentrowana na zagadnieniach, które budziły największe spory w praktyce stosowania przepisów – przede wszystkim definicji danych osobowych, zasad przetwarzania danych na potrzeby sztucznej inteligencji, automatycznego podejmowania decyzji, zgłaszania naruszeń ochrony danych oraz obowiązków informacyjnych wobec osób, których dane dotyczą.

Nowe podejście do definicji danych osobowych

Jedna z najbardziej doniosłych zmian dotyczy definicji danych osobowych w art. 4 pkt 1 RODO. Projekt doprecyzowuje, że informacja odnosząca się do osoby fizycznej nie musi być danymi osobowymi dla każdego podmiotu tylko dlatego, że inny podmiot jest w stanie tę osobę zidentyfikować.

Dane nie będą osobowe z punktu widzenia danego administratora, jeśli w realnych warunkach nie jest on w stanie zidentyfikować osoby przy użyciu środków, których zastosowanie jest w jego sytuacji „wystarczająco prawdopodobne”. Sam fakt, że inne podmioty dysponują szerszymi możliwościami identyfikacji, nie przesądzi już o kwalifikacji danych po stronie konkretnego administratora.

Projekt przewiduje ponadto przyznanie Komisji Europejskiej kompetencji do przyjmowania aktów wykonawczych, określających środki i kryteria pseudonimizacji, po zastosowaniu których określone dane będą traktowane – z perspektywy danego podmiotu – jako nieosobowe. W praktyce oznacza to, że część danych obecnie kwalifikowanych jako osobowe mogłaby zostać wyłączona spod reżimu RODO, przy czym granica między danymi osobowymi a nieosobowymi będzie w jeszcze większym stopniu zależeć od techniki, organizacji i realnych możliwości administratora.

Przetwarzanie danych na potrzeby sztucznej inteligencji

Digital Omnibus wprowadza nowy art. 88c RODO, którego zadaniem jest uregulowanie przetwarzania danych osobowych na potrzeby trenowania systemów i modeli sztucznej inteligencji.

Projekt jasno potwierdza, że uczenie modeli AI nie dzieje się „poza RODO” – konieczne jest oparcie się na jednej z podstaw z art. 6 RODO (m.in. zgoda, umowa, obowiązek prawny, prawnie uzasadniony interes). Możliwa jest przy tym podstawa prawnie uzasadnionego interesu, ale tylko po przeprowadzeniu rzetelnego testu równowagi, w którym szczególny nacisk kładzie się na ochronę praw i wolności osób fizycznych, w tym dzieci.

Na administratora nakłada się dodatkowe, specyficzne obowiązki, takie jak: minimalizacja danych już na etapie doboru źródeł, podwyższony poziom transparentności wobec osób, których dane wykorzystano do trenowania, oraz przyznanie tym osobom prawa sprzeciwu wobec przetwarzania ich danych na potrzeby uczenia modeli AI.

W odniesieniu do szczególnych kategorii danych projekt przewiduje warunkowe dopuszczenie ich przetwarzania w kontekście sztucznej inteligencji, pod warunkiem wdrożenia środków technicznych i organizacyjnych pozwalających unikać takich danych i usuwać je po wykryciu. W przypadku danych biometrycznych dopuszcza się ich wykorzystanie do weryfikacji tożsamości, jeżeli kontrola nad procesem i kluczami (np. kryptograficznymi) pozostaje po stronie osoby, której dane dotyczą.

Obowiązki informacyjne i prawo dostępu

Projektowana zmiana art. 12 ust. 5 RODO ma umożliwić administratorom skuteczniejszą obronę przed nadużywaniem praw podmiotów danych. Administrator będzie mógł odmówić realizacji prawa dostępu lub pobrać rozsądną opłatę, gdy wniosek jest oczywiście nadmierny lub służy faktycznie wywarciu presji ekonomicznej, a nie ochronie danych.

Kolejna istotna nowość dotyczy art. 13 RODO. Przewiduje się rozszerzone zwolnienia z obowiązku informacyjnego w prostych, przejrzystych relacjach (np. niewielkie stowarzyszenia, lokalni usługodawcy), gdy osoba rozsądnie może przewidzieć, kto i w jakim celu przetwarza jej dane, a zakres przetwarzania jest ograniczony. Zwolnienie nie obejmie jednak profilowania, przekazywania danych dalej, transferów do państw trzecich ani przetwarzania wysokiego ryzyka.

Szczególny wyjątek przewidziano także dla badań naukowych – gdy indywidualne spełnienie obowiązku informacyjnego jest niemożliwe lub wymagałoby niewspółmiernego wysiłku, a jednocześnie mogłoby zagrozić celom badania, przy zastosowaniu określonych mechanizmów kompensacyjnych (np. upublicznienie ogólnych informacji o przetwarzaniu).

Automatyczne podejmowanie decyzji

Szczególne znaczenie ma proponowana modyfikacja art. 22 RODO, dotyczącego decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Dotychczas przepis ten był postrzegany głównie jako gwarancja prawa do niepodlegania takiej decyzji, z wyjątkami interpretowanymi ściśle.

W projekcie art. 22 ust. 1 ma przede wszystkim wymieniać przesłanki, przy których automatyczne podejmowanie decyzji jest dopuszczalne. Akcent przesuwa się więc z generalnego zakazu z wyjątkami na generalne dopuszczenie w określonych warunkach. Prawa osoby, której dotyczy automatyczna decyzja, sprowadzają się zasadniczo do żądania interwencji człowieka, wyrażenia własnego stanowiska i zakwestionowania decyzji.

Dodatkowo projekt określa, że decyzja może być uznana za niezbędną do zawarcia lub wykonania umowy nawet wtedy, gdy technicznie można byłoby ją podjąć w sposób niezautomatyzowany. W praktyce wzmacnia to argumentację administratorów na rzecz stosowania automatyzacji w wielu procesach.

Naruszenia ochrony danych i DPIA

Projekt przewiduje także zmiany w obszarze zgłaszania naruszeń ochrony danych oraz oceny skutków dla ochrony danych (DPIA). Proponuje się wydłużenie terminu zgłoszenia naruszenia organowi nadzorczemu do 96 godzin oraz ograniczenie obowiązku zgłaszania do naruszeń, które prawdopodobnie powodują wysokie ryzyko dla praw lub wolności osób fizycznych. Zgłoszenia mają być dokonywane za pośrednictwem jednego, unijnego punktu kontaktowego z wykorzystaniem wspólnego wzoru.

W zakresie DPIA istotne jest planowane zharmonizowanie oceny skutków poprzez ustanowienie na poziomie UE list operacji przetwarzania wymagających oraz niewymagających przeprowadzenia DPIA, przyjęcie jednolitej metodologii oceny oraz ujednoliconego wzoru dokumentu. Projekty tych rozwiązań ma przygotować Europejska Rada Ochrony Danych, a następnie zostaną one przyjęte przez Komisję w formie aktów wykonawczych.

RODO a pliki cookies

Digital Omnibus przewiduje włączenie do RODO zasad dotyczących zapisywania informacji na urządzeniach użytkowników oraz dostępu do nich, dotychczas wynikających przede wszystkim z dyrektywy e-privacy i przepisów krajowych. Proponowany art. 88a ma ujednolicić te zasady na poziomie unijnym.

Nowa regulacja zakłada, że zapisanie informacji w urządzeniu końcowym użytkownika lub uzyskanie dostępu do informacji już zapisanych wymaga jego zgody, z wyjątkami obejmującymi m.in. operacje niezbędne do transmisji komunikacji, konieczne do świadczenia usługi wyraźnie żądanej przez użytkownika, służące pomiarowi oglądalności przez dostawcę na własne potrzeby oraz związane z bezpieczeństwem usługi lub urządzenia.

Po odmowie zgody administrator nie będzie mógł ponownie pytać o nią w tym samym celu przez co najmniej 6 miesięcy. Administratorzy mają zapewnić interfejsy zdolne do odczytu maszynowych sygnałów zgody i sprzeciwu (w tym sprzeciwu wobec marketingu bezpośredniego), a dostawcy przeglądarek – po upływie przewidzianego okresu – umożliwiać użytkownikom konfigurację globalnych ustawień prywatności automatycznie przekazywanych serwisom internetowym.

Znaczenie projektu

Pakiet Digital Omnibus znajduje się na początku ścieżki legislacyjnej – przed nim prace w Parlamencie Europejskim, Radzie UE oraz szeroka debata z udziałem organów nadzorczych, przedstawicieli biznesu, organizacji społecznych i środowiska akademickiego.

Fundamenty RODO pozostają zachowane, jednak proponowane zmiany mają charakter głębokiej korekty. Szczególne znaczenie ma redefinicja praktycznego rozumienia danych osobowych oraz zmiana funkcji art. 22 RODO. Nowelizacja w istotny sposób wzmacnia też rolę Komisji Europejskiej w obszarze ochrony danych, przekazując jej liczne kompetencje do wydawania aktów wykonawczych w newralgicznych obszarach (pseudonimizacja, DPIA, zgłaszanie naruszeń, sygnały zgody i sprzeciwu).

W przypadku przyjęcia zmian przedsiębiorący muszą mieć świadomości, iż konieczne będzie dostosowanie polityk prywatności, procedur obsługi praw osób, sposobu dokumentowania DPIA i obsługi naruszeń, a także praktyk związanych z wykorzystaniem sztucznej inteligencji oraz mechanizmami cookies i podobnymi technologiami.