19 listopada 2025 r. Komisja Europejska opublikowała projekt rozporządzenia określany jako Digital Omnibus. Pakiet wprowadza zmiany w kilku unijnych aktach prawnych, RODO, dyrektywie e-Privacy, Akcie o AI, NIS2, DORA i Data Act. Celem deklarowanym przez Komisję jest uproszczenie wymogów regulacyjnych oraz zmniejszenie obciążeń administracyjnych, szacowane na 5 mld EUR do 2029 r.
Istotne zastrzeżenie: Digital Omnibus nie jest obowiązującym prawem. Projekt trafił do zwykłej procedury legislacyjnej UE, gdzie współprawodawcami są Parlament Europejski i Rada. Negocjacje trójstronne (trilog) trwają. W trakcie prac ostateczny tekst może zostać zmieniony, w tym istotnie. Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych w opinii z 20 stycznia 2026 r. zgłosili do projektu zastrzeżenia, domagając się rezygnacji z najdalej idących zmian w definicji danych osobowych.
Mimo tej niepewności warto wiedzieć, co przewiduje projekt, bo nawet w zmodyfikowanej postaci prawdopodobnie wpłynie na obowiązki administratorów w latach 2026-2027.
1. Nowa definicja danych osobowych (art. 4 pkt 1 RODO)
Propozycja najbardziej kontrowersyjna. Projekt różnicuje, kiedy informacja jest daną osobową, w zależności od tego, czy konkretny podmiot posiada środki techniczne i operacyjne umożliwiające identyfikację osoby fizycznej.
Zgodnie z projektowaną treścią, informacja nie stanowi danych osobowych dla danego administratora, jeśli ten nie dysponuje środkami, których użycie byłoby w danych okolicznościach wystarczająco prawdopodobne do zidentyfikowania osoby. Sama możliwość identyfikacji przez inny podmiot nie przesądza o kwalifikacji.
EROD i EIOD we wspólnej opinii z 20 stycznia 2026 r. „zdecydowanie wezwali współprawodawców, aby nie przyjmowali proponowanych zmian w definicji danych osobowych". Organy wskazały, że propozycja wykracza poza orzecznictwo TSUE (m.in. wyrok Breyer z 19 października 2016 r., C-582/14) i może w praktyce wyłączyć spod RODO szeroki zakres danych spseudonimizowanych. Stanowisko organu nadzorczego nie przesądza o treści finalnej regulacji, ale silnie wpływa na prace trilogu.
2. Wydłużenie terminu zgłoszenia naruszenia (art. 33 RODO)
Obecny art. 33 ust. 1 RODO wymaga zgłoszenia naruszenia ochrony danych Prezesowi UODO w terminie 72 godzin od stwierdzenia. Projekt proponuje wydłużenie tego terminu do 96 godzin.
Jednocześnie projekt ogranicza obowiązek zgłoszenia wyłącznie do naruszeń mogących powodować wysokie ryzyko dla praw lub wolności osób fizycznych. Obecnie zgłoszeniu podlegają wszystkie naruszenia, z wyjątkiem tych, które „raczej nie skutkują ryzykiem". Nowa formuła zwęża zakres obowiązku, pozostawiając przy administratorze większą odpowiedzialność za ocenę ryzyka.
3. Single Entry Point dla raportowania incydentów
Administrator prowadzący działalność, w której zdarzenie może jednocześnie stanowić naruszenie RODO, incydent NIS2 i incydent DORA, obecnie zgłasza go do trzech różnych organów w trzech różnych formatach. Projekt przewiduje utworzenie pojedynczego punktu kontaktowego, który pozwoli spełnić wszystkie obowiązki raportowe w ramach jednej notyfikacji.
W praktyce jest to istotne usprawnienie dla firm z sektora finansowego i krytycznej infrastruktury, mniej widoczne dla małych kancelarii czy MŚP, których nie dotykają równoległe reżimy.
4. Ujednolicenie oceny skutków ochrony danych (DPIA)
Projekt przewiduje zastąpienie krajowych list operacji wymagających DPIA, wspólną, unijną listą opracowaną przez Europejską Radę Ochrony Danych. Komisja miałaby przyjąć akty wykonawcze harmonizujące metodologię. Dla firm działających transgranicznie oznacza to mniejszą liczbę równoległych procedur DPIA.
5. Uproszczony obowiązek informacyjny (art. 13 RODO)
Projekt modyfikuje art. 13 RODO, dopuszczając uproszczony obowiązek informacyjny w przypadkach „prostego i mało intensywnego przetwarzania" realizowanego w ramach „jasnej i powszechnie zrozumiałej relacji". Wyłączenie nie obejmowałoby transferów danych do państw trzecich, zautomatyzowanego podejmowania decyzji ani przetwarzania podwyższonego ryzyka.
Praktyczne zastosowanie zależy od tego, jak Komisja i organy krajowe doprecyzują pojęcia „prostego" przetwarzania i „powszechnie zrozumiałej relacji".
6. Zmiany w AI Act, odroczenie obowiązków high-risk
Komisja proponuje opóźnienie stosowania przepisów AI Act dotyczących systemów wysokiego ryzyka o maksymalnie 16 miesięcy. Obecny termin, 2 sierpnia 2026 r., mógłby zostać przesunięty nawet do grudnia 2027 r. Warunkiem miałoby być uzależnienie terminu od dostępności standardów technicznych i narzędzi wsparcia wdrożenia.
Dla kancelarii i firm przygotowujących się do 2 sierpnia 2026 r. zmiana oznaczałaby wydłużenie okresu przejściowego, ale projektu nie można traktować jako gwarancji. Dopóki trilog nie zakończy się formalną publikacją w Dzienniku Urzędowym UE, termin sierpniowy obowiązuje.
Praktyczne stanowisko: Traktuj Digital Omnibus jako informację o kierunku, a nie o gotowym rozwiązaniu. Plany compliance układaj nadal na podstawie obowiązujących przepisów. Dostosowanie do Digital Omnibus będzie sensowne dopiero po publikacji tekstu ostatecznego, szacunkowo koniec 2026 lub 2027 r.
7. Zmiany w zakresie cookies i e-Privacy
Projekt integruje wybrane przepisy dyrektywy e-Privacy z RODO, co ma ograniczyć „zmęczenie zgodami" (cookie fatigue). Użytkownik miałby uzyskać możliwość wyrażania (lub odmowy) zgód bezpośrednio w ustawieniach przeglądarki lub systemu operacyjnego, z mocą wiążącą dla stron internetowych. Banery cookies, jakie znamy, straciłyby znaczenie.
Co to oznacza dla firm i kancelarii
Pakiet ma charakter punktowy, nie zastępuje RODO, a modyfikuje wybrane jego przepisy. Nawet po wejściu w życie większość dotychczasowych obowiązków pozostanie bez zmian. Zmieniają się szczegóły: terminy, zakres obowiązków informacyjnych, sposób raportowania.
Szczególnie istotne dla branży prawniczej mogą być:
- Nowa definicja danych osobowych, jeśli zostanie przyjęta w obecnej formie, wymagana będzie aktualizacja polityk ochrony danych, rejestrów czynności przetwarzania oraz ocen ryzyka. Niezależnie od tego, anonimizacja dokumentów zachowuje swoje znaczenie.
- Wydłużenie terminu zgłoszenia do 96 godzin, więcej czasu na uporządkowanie oceny ryzyka, ale nie znika sam obowiązek.
- Odroczenie AI Act high-risk, możliwe, lecz niepewne. Przygotowania do 2 sierpnia 2026 r. lepiej kontynuować.
Anonimizacja pozostaje sensowna niezależnie od kierunku zmian
Nawet przy najbardziej liberalnej wersji Digital Omnibus, dane niezanonimizowane nadal będą danymi osobowymi. Beznazwisk.pl pozwala wyeliminować dane jeszcze przed rozpoczęciem przetwarzania.
Pobierz bezpłatnieHarmonogram prac
Projekt trafił do zwykłej procedury legislacyjnej w Parlamencie Europejskim i Radzie 19 listopada 2025 r. Parlament Europejski zatwierdził kluczowe elementy pakietu w marcu 2026 r. Obecnie trwa trilog, negocjacje trójstronne Komisji, Parlamentu i Rady zmierzające do uzgodnienia wspólnego tekstu. Po uzgodnieniu projekt musi zostać formalnie przyjęty przez PE i Radę, a następnie opublikowany w Dzienniku Urzędowym UE.
Jak pokazują poprzednie pakiety omnibus UE (w obszarze ESG z 2025 r.), cały proces może zająć od 6 do 18 miesięcy. Wcześniejsze szacunki zakładały publikację w Dzienniku Urzędowym do końca 2026 r., ale zastrzeżenia EROD, EIOD oraz organizacji pozarządowych (m.in. noyb) wydłużają prawdopodobny harmonogram.
Źródła
- Wniosek KE dotyczący Digital Omnibus z 19 listopada 2025 r.: digital-strategy.ec.europa.eu
- Wspólna opinia EROD i EIOD z 20 stycznia 2026 r.: edpb.europa.eu
- Komunikat UODO z lutego 2026 r.: uodo.gov.pl/pl/138/4071
- Rozporządzenie (UE) 2016/679 (RODO), art. 4 pkt 1, art. 12 ust. 5, art. 13, art. 33, art. 35
- Wyrok TSUE z 19 października 2016 r., C-582/14 (Breyer)
Przeczytaj również
Autor: Zespół Beznazwisk.pl. Tekst ma charakter informacyjny i nie stanowi porady prawnej.