RODO na nowo - czyli jak Digital Omnibus ma zamiar zmienić europejskie prawa o ochronie danych osobowych?
przez ecommerce legal na May 26, 2026
Od ponad sześciu lat Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) kształtuje rzeczywistość europejskich przedsiębiorców. Choć jego fundamenty pozostają nienaruszone, praktyka pokazała, że niektóre przepisy stały się źródłem niepewności prawnej, a dla wielu przedsiębiorców – trudną do pokonania barierą biurokratyczną. Komisja Europejska dostrzegając skalę wyzwań, zaprezentowała projekt rozporządzenia Digital Omnibus. Należy podkreślić, że nie stanowi ono próby demontażu ochrony prywatności, lecz ambitny plan dostosowania jej do wymogów nowoczesnej, cyfrowej gospodarki.
Planowane zmiany
Jedną z najbardziej wyczekiwanych zmian jest doprecyzowanie samej definicji danych osobowych. Przez lata interpretacja tego, co czyni osobę ,,możliwą do zidentyfikowania”, stawała się coraz szersza, obejmując niemal każdy ślad cyfrowy. Digital omnibus, czerpiąc z najnowszego orzecznictwa Trybunału Sprawiedliwości UE, wprowadza kluczowe rozróżnienie – dane nie będą uznawane za osobowe z punktu widzenia danego podmiotu, jeśli ten nie dysponuje środkami, których wykorzystanie w celu identyfikacji osoby jest racjonalnie prawdopodobne. To fundamentalna zmiana perspektywy. Oznacza ona, że ten sam zestaw informacji może być daną osobową dla jednego podmiotu, a dla drugiego – niepodlegającym pod rygor RODO zbiorem danych technicznych. Takie podejście zdejmuje ogromny ciężar compliance z firm operujących na danych zanonimizowanych i pseudoanimizowanych, dając im jasność, której dotychczas brakowało.
Idąc o krok dalej, Komisja proponuje mechanizmy zwiększające pewność prawną w obszarze technik anonimizacji. Dotychczas przedsiębiorcy, zwłaszcza startupy i małe firmy, działali w pewnej próżni, obawiając się, czy stosowane przez nich metody ochrony danych osobowych zostaną uznane za wystarczające przez organy nadzorcze. Digital Omnibus zakłada wprowadzenie unijnych kryteriów i aktów wykonawczych, które wskażą konkretne standardy uznawania danych za nieosobowe. Choć administratorzy nadal będą ponosić ostateczną odpowiedzialność, te nowe wytyczne staną się dla nich bezpieczną przystanią, pozwalając na swobodniejszy rozwój innowacji bez ciągłego lęku przed sankcjami.
Szczególne miejsce w reformie zajmuje rozwój sztucznej inteligencji oraz badania naukowe. Europa chce stać się liderem technologicznym, co wymaga dostępu do ogromnych zbiorów danych. Projekt wyjaśnia, że trenowanie i eksploatacja modeli AI mogą opierać się na przesłance ,,prawnie uzasadnionego interesu” administratora. Co niezwykle istotne, przewidziano wyjątek dla tzw. danych szczególnych, które mogą pojawić się w zbiorach treningowych w sposób rezydualny, czyli przypadkowy. Jeśli firma nie dąży celowo do przetwarzania takich danych i wdraża mechanizmy ich usuwania, proces ten będzie mógł być uznany za zgodny z prawem. Podobne ułatwienia czekają sektor naukowy – nowa definicja badań naukowych i domniemanie zgodności z celami pierwotnymi mają sprawić, że wiedza i technologia będą rozwijać się w Unii znacznie swobodniej.
Co jeszcze się zmieni?
Reforma uderzy również w zjawisko, które stało się zmorą administratorów – nadużywanie prawa dostępu do danych osobowych. Art. 15 RODO, stworzony by chronić obywateli, bywa dzisiaj wykorzystywany jako narzędzie szantaży w sporach konsumenckich czy handlowych. Digital Omnibus wprost wskazuje, że w przypadku żądań o charakterze nadużycia, administrator będzie mógł odmówić ich realizacji lub pobrać za nie opłatę. Dodatkowo, ciężar dowodu wykazania, że wniosek jest nadmierny, zostanie obniżony, co pozwoli przedsiębiorcom efektywniej zarządzać swoimi zasobami i skupić się na rzetelnej obsłudze prawdziwych potrzeb osób, których dane dotyczą.
W codziennej operacyjności przedsiębiorstw odczuwalne będzie także uproszczenie obowiązków informacyjnych. Komisja uznała, że zarzucanie klientów setkami polityk prywatności i klauzul w sytuacjach oczywistych i niskiego ryzyka przynosi więcej szkody niż pożytku. Jeśli relacja z klientem jest klarowna, a przetwarzanie nie jest intensywne, obowiązek dostarczenia rozbudowanych klauzul zostanie znacząco ograniczony. Ma to na celu walkę z tak zwanym ,,zmęczeniem informacyjnym” obywateli i redukcję kosztów administracyjnych po stronie najmniejszych podmiotów.
Wreszcie, projekt porządkuje procesy związane z naruszeniami danych i oceną skutków dla ochrony danych (DPIA). Obecna fragmentacja, ma zostać zastąpiona jednym, wspólnym dla całej UE wykazem czynności wymagających DPIA. Zmieni się także próg zgłaszania wycieków do organów nadzorczych – zostanie on podniesiony i ujednolicony z progiem powiadamiania osób, których dane dotyczą. Projekt zakłada, że tylko incydenty niosące ,,wysokie ryzyko” będą wymagały raportowania przez jeden, centralny punkt zgłoszeniowy.
Podsumowanie
Podsumowując, Digital Omnibus to próba uczynienia z RODO przepisów bardziej dostosowanych do realiów współczesnego biznesu. Dla firm może oznaczać to mniej biurokracji, więcej narzędzi do walki z nadużyciami i co najważniejsze – jasne ramy prawne dla innowacji w obszarze sztucznej inteligencji. Chociaż droga do przyjęcia tych zmian jeszcze trwa, już teraz widać, że kierunek obrany przez Brukselę jest odpowiedzią na realne potrzeby rynku, dążącego do równowagi między ochroną prywatności a konkurencyjnością gospodarki.
Artykuł przygotowała Emilia Brzozowa, prawnik ecommerce.legal