RODO po Omnibusie: zmiany dla administratorów i podmiotów danych?

przez
Wyślij link znajomemu

W dobie dynamicznych zmian technologicznych i rosnącej roli gospodarki cyfrowej, Unia Europejska podejmuje działania mające na celu zwiększenie spójności i przejrzystości obowiązujących ram prawnych. Komisja Europejska wskazuje, że konieczne są szybkie i widoczne ulepszenia odczuwalne zarówno przez obywateli, jak i przedsiębiorstwa. Jedną z najnowszych inicjatyw w tym zakresie jest cyfrowy pakiet legislacyjny „Omnibus”.

Zaprezentowana przez Komisję Europejską 19 listopada 2025 r. reforma stanowi kompleksowy projekt legislacyjny, który obejmuje trzy kluczowe obszary:

  • ochronę danych osobowych, w tym zasady stosowania technologii śledzących (np. cookies),
  • sztuczną inteligencję,
  • cyberbezpieczeństwo.

W praktyce segmentację rozpoczyna się od znalezienia osi, które naturalnie wykluczają się wzajemnie, ale łącznie wyczerpują cały obszar. Najpopularniejszy podział w projektach technologicznych to cztery domeny: Customer Experience, Operations, Infrastructure oraz Data & AI. Jeżeli dana inicjatywa dotyczy elementów frontendu, trafia do pierwszej domeny; jeżeli usprawnia backoffice, do drugiej; jeżeli obejmuje sprzęt lub chmurę, do trzeciej; a jeżeli dotyczy informacji i analityki, do czwartej. Dzięki temu unikamy sytuacji, w której jeden projekt „wisi” pomiędzy zespołami i nie ma jasnego właściciela, albo przeciwnie – kilka zespołów równolegle rozwiązuje ten sam problem różnymi środkami. Transparentność podziału MECE ułatwia również komunikację z zarządem, bo można w prosty sposób pokazać proporcje wydatków: ile procent budżetu idzie na klienta, ile na efektywność procesów, a ile na fundamenty techniczne i analitykę.

Pakiet Omnibus ma charakter porządkujący i korekcyjny – nie wprowadza rewolucji, lecz stanowi odpowiedź na potrzebę uproszczenia, doprecyzowania i ujednolicenia przepisów. Zmiany wynikają z doświadczeń praktycznych, zmieniających się uwarunkowań rynkowych oraz orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej.

Reforma uwzględnia postulaty środowisk branżowych oraz organów nadzorczych, którzy wskazywali na potrzebę większej przejrzystości, efektywności oraz spójności interpretacyjnej przepisów. Pakiet Omnibus stanowi próbę dostosowania europejskiego porządku prawnego do realiów gospodarki opartej na danych, w której coraz częściej wykorzystywane są zautomatyzowane systemy decyzyjne i narzędzia sztucznej inteligencji. Wśród planowanych reform w ramach Pakietu Omnibus, szczególne miejsce zajmują zmiany w przepisach ogólnego rozporządzenia o ochronie danych (RODO). To właśnie one stanowią jeden z najważniejszych elementów projektu. Zakres omawianej nowelizacji obejmuje przede wszystkim doprecyzowanie definicji, modyfikację podstaw przetwarzania oraz uproszczenie realizacji wybranych obowiązków administratorów danych. Istotnym novum jest również planowane włączenie do RODO regulacji dotyczących plików cookies („cookie law”).

Nowa definicja danych osobowych

Jedną z kluczowych zmian przewidzianych w Pakiecie Omnibus jest doprecyzowanie definicji danych osobowych zawartej w art. 4 pkt 1 RODO. Zmiana ta ma na celu rozwianie wątpliwości interpretacyjnych, które pojawiały się w praktyce. Zgodnie z projektowaną nowelizacją, informacje nie będą uznawane za dane osobowe w odniesieniu do danego podmiotu, jeżeli podmiot ten nie posiada środków umożliwiających identyfikację osoby fizycznej. Nowe brzmienie przepisu wprost wskazuje, że to, iż jeden podmiot może zidentyfikować osobę fizyczną na podstawie określonych informacji, nie oznacza automatycznie, że inny również będzie zobowiązany traktować te informacje jako dane osobowe. W praktyce oznacza to bardziej kontekstowe podejście do oceny, czy określony zestaw informacji mieści się w zakresie pojęcia danych osobowych. Ocena ta powinna uwzględniać dostępność środków identyfikacyjnych po stronie konkretnego administratora, a nie hipotetyczne możliwości innych podmiotów.

Nowe wyjątki od zakazu przetwarzania danych szczególnych kategorii – AI i biometryka

Pakiet Omnibus wprowadza również zmiany w art. 9 RODO, rozszerzając katalog wyjątków od ogólnego zakazu przetwarzania danych szczególnych kategorii. Nowelizacja uwzględnia dynamiczny rozwój technologii i potrzebę stworzenia ram umożliwiających zgodne z prawem wykorzystanie takich danych w określonych, ściśle regulowanych kontekstach. Pierwszy z nowych wyjątków dotyczy przetwarzania danych biometrycznych w celu potwierdzenia tożsamości osoby, której dane dotyczą. Przetwarzanie takie będzie dozwolone, o ile dane biometryczne lub środki weryfikacyjne znajdują się pod wyłączną kontrolą tej osoby. Celem tego przepisu jest umożliwienie stosowania rozwiązań biometrycznych opartych na zasadzie samokontroli użytkownika, bez angażowania podmiotów trzecich w proces weryfikacji. Drugi wyjątek został dodany z myślą o rozwoju i wykorzystaniu sztucznej inteligencji. Umożliwia on przetwarzanie szczególnych kategorii danych osobowych w kontekście opracowywania i eksploatacji systemów AI lub modeli AI. W tym przypadku ustawodawca przewidział jednak dodatkowe obowiązki ochronne, które muszą zostać spełnione przez administratora. Zgodnie z zaproponowanym ust. 5, administratorzy przetwarzający tego rodzaju dane są zobowiązani do wdrożenia odpowiednich środków technicznych i organizacyjnych, mających na celu uniknięcie niezamierzonego gromadzenia danych. Jeżeli mimo zastosowania takich środków administrator stwierdzi obecność tych danych w zbiorach, zobowiązany jest je niezwłocznie usunąć. W sytuacji, gdy usunięcie danych wiązałoby się z nieproporcjonalnym wysiłkiem, administrator musi zapewnić, że dane te zostaną skutecznie zabezpieczone przed jakimkolwiek wykorzystaniem.

Prawo dostępu – doprecyzowanie ograniczeń przy nadużyciu uprawnień

Zmodyfikowany został także art. 15 RODO w zakresie prawa dostępu do danych osobowych. Nowelizacja ma na celu doprecyzowanie sytuacji, w których administrator danych może ograniczyć realizację wniosku z uwagi na nadużycie uprawnienia. Zmieniony przepis jednoznacznie wskazuje, że informacje przekazywane na podstawie art. 15 (prawo dostępu), pozostają co do zasady bezpłatne. Jednakże administrator może pobrać rozsądną opłatę lub odmówić podjęcia działań, jeśli wniosek jest ewidentnie bezzasadny lub nadmierny. Powyższe odnosi się do sytuacji, w których żądania mają charakter powtarzalny lub służą celom innym niż ochrona danych osobowych. Nowelizacja wprowadza również jasne reguły dowodowe – to na administratorze danych ciąży obowiązek wykazania, że dany wniosek spełnia przesłanki bezzasadności lub nadmierności. Obowiązek informacyjny – nowe wyjątki i ograniczenia

Kolejnym z obszarów, w których zidentyfikowano potrzebę doprecyzowania przepisów, jest obowiązek informacyjny spoczywający na administratorach. Dotychczasowy model zakładał szerokie stosowanie obowiązku przekazywania informacji osobom, których dane są przetwarzane. Nowelizacja art. 13 RODO wprowadza podejście uwzględniające zarówno ryzyko przetwarzania, jak i charakter relacji z osobą, której dane dotyczą.

Zmieniony przepis przewiduje możliwość odstąpienia od obowiązku informacyjnego, jeśli spełnione są łącznie następujące warunki:

  • dane zostały zebrane w ramach jasnych i ograniczonych relacji między administratorem a osobą fizyczną,
  • działalność administratora nie wymaga intensywnego przetwarzania,
  • istnieją uzasadnione podstawy, by sądzić, że osoba, której dane dotyczą, już zna wymagane informacje.

Wyłączenie to nie ma jednak zastosowania, gdy przetwarzanie wiąże się z podwyższonym ryzykiem – na przykład w przypadku przekazywania danych innym odbiorcom, transferów do państw trzecich, zautomatyzowanego podejmowania decyzji (w tym profilowania), lub gdy konieczna jest ocena skutków przetwarzania.

Dodatkowo wprowadzono nowy ustęp, który dotyczy przetwarzania danych w celach badań naukowych. W takich przypadkach administrator może zostać zwolniony z obowiązku informacyjnego, jeśli jego realizacja byłaby niemożliwa, wymagałaby nieproporcjonalnego wysiłku lub istotnie utrudniałaby osiągnięcie celu badania. Warunkiem skorzystania z tego wyjątku jest wdrożenie odpowiednich środków ochronnych, w tym publiczne udostępnienie odpowiednich informacji w sposób zapewniający minimalny poziom przejrzystości.

Zautomatyzowane podejmowanie decyzji

W ramach reformy dokonano również doprecyzowania warunków, w jakich dopuszczalne jest podejmowanie decyzji wyłącznie w sposób zautomatyzowany, w tym przy użyciu profilowania. Zgodnie z nowym brzmieniem przepisu, decyzja wywołująca skutki prawne wobec osoby fizycznej może opierać się na zautomatyzowanym przetwarzaniu (w tym profilowaniu) tylko wtedy, gdy:

  • jest to niezbędne do zawarcia lub wykonania umowy między osobą a administratorem danych,
  • jest dozwolona na mocy prawa Unii lub państwa członkowskiego, które przewiduje odpowiednie zabezpieczenia,
  • opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Zgłaszanie naruszeń – nowe progi ryzyka i wspólna procedura

Projektowane zmiany obejmują również dostosowanie przepisów dotyczących zgłaszania naruszeń ochrony danych osobowych. Nowelizacja art. 33 RODO zmierza do ujednolicenia kryteriów powiadamiania organów nadzorczych i osób, których dane dotyczą, a także do zwiększenia przejrzystości i efektywności tego procesu. Zgodnie z nowym brzmieniem obowiązek zgłoszenia naruszenia do właściwego organu nadzorczego będzie miał zastosowanie wtedy, gdy incydent może spowodować wysokie ryzyko dla praw i wolności osób fizycznych. Jednocześnie wydłużono termin na dokonanie zgłoszenia z 72 do 96 godzin od momentu uzyskania informacji o naruszeniu. Zgłoszenie powinno zostać dokonane za pośrednictwem pojedynczego punktu kontaktowego.

Reforma przewiduje również ujednolicenie formy zgłoszeń na poziomie całej Unii. Europejska Rada Ochrony Danych będzie zobowiązana do opracowania wspólnego wzoru zgłoszenia naruszenia oraz wykazu okoliczności, w których naruszenie może zostać uznane za powodujące wysokie ryzyko. Wzór oraz wykaz będą następnie regularnie przeglądane – co najmniej co trzy lata – i w razie potrzeby aktualizowane.

Ocena skutków dla ochrony danych – ujednolicenie wykazów i metodologii

Kolejna zmiana przewidziana w ramach reformy RODO dotyczy harmonizacji podejścia do oceny skutków dla ochrony danych osobowych (DPIA). Dotychczasowa praktyka krajowa wykazywała znaczne różnice w interpretacji, kiedy przeprowadzanie oceny jest wymagane, a kiedy nie – co bezpośrednio prowadziło do niepewności prawnej.

Znowelizowany art. 35 przewiduje, że na poziomie UE powstaną jednolite wykazy czynności przetwarzania: wymagających oceny skutków dla ochrony danych oraz niewymagających takiej oceny. Za opracowanie propozycji tych wykazów odpowiadać będzie Europejska Rada Ochrony Danych, która przedstawi je Komisji Europejskiej w ciągu dziewięciu miesięcy od rozpoczęcia stosowania nowych przepisów. Po dokonaniu przeglądu, Komisja będzie mogła przyjąć te wykazy w drodze aktu wykonawczego. Dodatkowo Rada zostanie zobowiązana do przygotowania wspólnego wzoru oraz wspólnej metodologii przeprowadzania oceny skutków, które również mają zostać zatwierdzone przez Komisję i aktualizowane co najmniej raz na trzy lata. Celem tych działań jest zapewnienie spójności stosowania pojęcia „wysokiego ryzyka” w całej Unii Europejskiej oraz ułatwienie administratorom danych spełniania obowiązków wynikających z art. 35 RODO.

Bezpłatna konsultacja – wypełnij formularz
bcm wdrożenie 

Pseudonimizacja

Wprowadzenie nowego art. 41a RODO stanowi odpowiedź na potrzebę praktycznego ujednolicenia podejścia do pseudonimizacji oraz oceny, kiedy dane przestają być uznawane za dane osobowe w kontekście konkretnego administratora lub odbiorcy. Nowy przepis przyznaje Komisji Europejskiej uprawnienie do przyjmowania aktów wykonawczych, których celem będzie określenie środków i kryteriów niezbędnych do oceny, czy dane pseudonimizowane przestały mieć charakter danych osobowych. Ocena ta ma uwzględniać nie tylko kontekst konkretnego przetwarzania, ale również dostępność środków technicznych, które mogłyby zostać racjonalnie użyte do ponownej identyfikacji.

W szczególności Komisja, przy ścisłej współpracy z Europejską Radą Ochrony Danych (EROD), będzie zobowiązana do:

  • analizy aktualnego stanu wiedzy technicznej w zakresie dostępnych technik pseudonimizacji,
  • opracowania kategorii administratorów i odbiorców danych, dla których należy uwzględniać specyficzne ryzyko ponownej identyfikacji,
  • zdefiniowania kryteriów oceny ryzyka, które pomogą ocenić, czy dane pozostają danymi osobowymi w danym kontekście.

Wdrożenie tych kryteriów nie będzie obowiązkowe, ale może stanowić istotny element dowodowy, potwierdzający, że w określonych warunkach dane nie stwarzają już ryzyka identyfikacji osoby fizycznej.

Cookies i urządzenia końcowe – nowe zasady przechowywania danych i wyrażania zgody

Pakiet Omnibus wprowadza fundamentalną zmianę podejścia do przetwarzania danych osobowych na urządzeniach końcowych osób fizycznych. Nowe przepisy mająna celu zarówno uproszczenie, jak i ujednolicenie zasad dotyczących zgody na cookies i podobne technologie.

Zgodnie z proponowanym brzmieniem nowego art. 88a RODO, przechowywanie danych osobowych lub uzyskiwanie dostępu do danych w urządzeniu końcowym osoby fizycznej (np. komputerze, smartfonie) wymaga co do zasady zgody tej osoby, udzielonej zgodnie z warunkami określonymi w RODO. Wyjątki od tej zasady obejmują sytuacje, w których:

  • przetwarzanie jest konieczne do realizacji transmisji komunikacji elektronicznej,
  • osoba żąda konkretnej usługi, a przetwarzanie danych jest niezbędne do jej świadczenia,
  • dane są wykorzystywane wyłącznie przez administratora do pomiaru oglądalności usługi online,
  • celem jest zapewnienie bezpieczeństwa usługi lub urządzenia końcowego.

Przepisy wprowadzają również mechanizm „jednego kliknięcia” – osoby, których dane dotyczą, muszą mieć możliwość łatwego wyrażenia zgody lub jej odmowy. Odmowa obowiązuje przez minimum sześć miesięcy, a administrator nie może w tym czasie ponawiać prośby o zgodę w tym samym celu.

Dodatkowo Omnibus wprowadza nowy art. 88b wdrażający zautomatyzowany sposób wyrażania i odwoływania zgody, oparty na sygnałach możliwych do odczytu maszynowego.

Administratorzy będą zobowiązani do respektowania takich wskazań przekazywanych np. przez przeglądarki internetowe, jeśli zostały one wyrażone zgodnie z przepisami. W celu zapewnienia technicznej spójności systemów, Komisja Europejska zleci europejskim organizacjom normalizacyjnym opracowanie standardów dotyczących odczytu i interpretacji takich sygnałów zgody.

Należy pamiętać, że opisane zmiany mają na razie charakter propozycji legislacyjnej i nie stanowią obowiązującego prawa. Pakiet Omnibus pozostaje na etapie projektu i może jeszcze zostać istotnie zmodyfikowany w toku prac ustawodawczych. Zanim nowe przepisy zaczną obowiązywać, konieczne będzie ich szczegółowe przeanalizowanie, uzgodnienie i przyjęcie zgodnie z procedurami unijnymi. Następnie przewidziany zostanie okres przejściowy, pozwalający państwom członkowskim i podmiotom na dostosowanie się do nowych wymogów. Nie należy zatem oczekiwać ich szybkiego wejścia w życie. Choć harmonogram wdrożenia nie jest jeszcze przesądzony, już dziś propozycja ta wyraźnie wskazuje, w jakim kierunku zmierza unijne podejście do regulacji ochrony danych, technologii i cyberbezpieczeństwa.

ESG

Więcej

Cyberbezpieczeństwo

Więcej

Energetyka

Więcej

RODO

Więcej

ICT

Więcej


Kontakt
Audytel S.A.
ul. ks. I. Skorupki 5
00-546 Warszawa
(Stratos Office Center)
NIP 779-21-69-697
REGON 634288697
RODO
Polityka Prywatności
tel:+48 22 537 50 50
kontakt@audytel.pl