Prawo unijne nadąża za cyfrową rzeczywistością, a zmiany zachodzą szybciej niż kiedykolwiek. Digital Omnibus to najnowsza propozycja Komisji Europejskiej, której celem jest uproszczenie i uporządkowanie przepisów w sektorze cyfrowym. W centrum uwagi znajduje się RODO – projekt przewiduje istotne zmiany, które mogą wpłynąć na sposób przetwarzania danych osobowych.
W niniejszym artykule przyglądamy się, co zawiera dyrektywa omnibus 2026 i jakie konsekwencje czekają przedsiębiorców oraz specjalistów do spraw ochrony danych.
Dyrektywa omnibus 2026
W dniu 19 listopada 2025 r. Komisja Europejska opublikowała wniosek legislacyjny dotyczący tzw. Digital Omnibus. Projekt wprowadza punktowe, lecz systemowo istotne modyfikacje w ogólnym rozporządzeniu o ochronie danych osobowych (RODO). Nie stanowi on odejścia od dotychczasowych fundamentów ochrony danych, lecz ma na celu doprecyzowanie i urealnienie przepisów, których stosowanie od lat budzi wątpliwości praktyczne. Relację „Digital Omnibus – RODO” należy więc postrzegać jako dostosowanie, a nie deregulację.
Na obecnym etapie Digital Omnibus ma charakter wniosku legislacyjnego Komisji Europejskiej i podlega dalszemu procedowaniu w ramach zwykłej procedury ustawodawczej UE. Ewentualne wejście w życie proponowanych zmian będzie możliwe dopiero po ich przyjęciu przez Parlament Europejski i Radę oraz po publikacji w Dzienniku Urzędowym UE. Już dziś warto zapoznać się z proponowanymi zmianami, ponieważ wskazują one kierunek dalszej interpretacji RODO i pozwalają odpowiednio wcześnie przygotować praktyki compliance.
Dyrektywa omnibus a zmiany w RODO
I DOPRECYZOWANIE DEFINICJI DANYCH OSOBOWYCH (ART. 4 RODO)
Jedną z kluczowych zmian jest modyfikacja definicji danych osobowych zawartej w art. 4 pkt 1 RODO. Projekt wprowadza wyraźne rozróżnienie pomiędzy możliwością identyfikacji osoby fizycznej w sposób czysto teoretyczny a identyfikacją możliwą przy użyciu środków, których zastosowanie jest w danych okolicznościach wystarczająco prawdopodobne.
Zgodnie z projektowanym brzmieniem:
informacja nie stanowi danych osobowych dla danego podmiotu, jeżeli ten podmiot nie dysponuje środkami pozwalającymi na identyfikację osoby fizycznej,
sama możliwość identyfikacji osoby przez inny podmiot, w tym potencjalnego dalszego odbiorcę danych, nie przesądza o kwalifikacji informacji jako danych osobowych po stronie pierwszego administratora.
Zmiana ta prowadzi do ograniczenia nadmiernie szerokiego zakresu stosowania RODO w odniesieniu do danych zanonimizowanych lub skutecznie pseudonimizowanych oraz wzmacnia znaczenie analizy ryzyka reidentyfikacji w procesach compliance.
II PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH NA POTRZEBY SYSTEMÓW I MODELI SZTUCZNEJ INTELIGENCJI
Projekt Digital Omnibus po raz pierwszy w sposób systemowy odnosi się do przetwarzania danych osobowych w kontekście rozwoju, trenowania i funkcjonowania systemów oraz modeli sztucznej inteligencji, tj.
prawnie uzasadniony interes administratora – projekt potwierdza, że przetwarzanie danych osobowych na potrzeby AI może stanowić realizację prawnie uzasadnionego interesu administratora w rozumieniu art. 6 ust. 1 lit. f RODO, pod warunkiem przeprowadzenia rzetelnej oceny równowagi interesów oraz uwzględnienia praw i wolności osób, których dane dotyczą
przetwarzanie szczególnych kategorii danych osobowych – dopuszcza się wyjątkowo przetwarzanie danych szczególnych kategorii w kontekście trenowania AI, jeżeli jest to niezbędne oraz towarzyszą temu odpowiednie środki techniczne i organizacyjne, w szczególności obowiązek niezwłocznego usuwania takich danych po osiągnięciu celu przetwarzania
prawo sprzeciwu – projekt wprowadza bezwarunkowe prawo sprzeciwu wobec przetwarzania danych osobowych na potrzeby trenowania modeli sztucznej inteligencji, co istotnie wzmacnia pozycję podmiotów danych w tym obszarze
III ZMIANY W ZAKRESIE ZGŁASZANIA NARUSZEŃ OCHRONY DANYCH OSOBOWYCH (ART. 33 RODO)
Projektowane zmiany obejmują również mechanizm zgłaszania naruszeń ochrony danych osobowych, tj.:
wydłużenie terminu zgłoszenia naruszenia do właściwego organu nadzorczego do 96 godzin,
ograniczenie obowiązku zgłoszeniowego wyłącznie do naruszeń, które mogą powodować wysokie ryzyko dla praw lub wolności osób fizycznych,
wprowadzenie pojedynczego punktu kontaktowego (Single Entry Point) umożliwiającego realizację obowiązków raportowych wynikających z RODO oraz innych aktów prawa unijnego (w szczególności NIS2 i DORA).
Zmiany te zmierzają do ujednolicenia praktyki zgłoszeniowej oraz ograniczenia nadmiernej liczby notyfikacji o charakterze prewencyjnym.
IV UREGULOWANIE ZASAD DOSTĘPU DO INFORMACJI PRZECHOWYWANYCH W URZĄDZENIACH KOŃCOWYCH UŻYTKOWNIKÓW (NOWE ART. 88A I 88B RODO)
Projekt przewiduje przeniesienie do RODO zasad dotyczących zapisywania informacji w urządzeniach końcowych użytkowników oraz uzyskiwania do nich dostępu, dotychczas regulowanych głównie przez dyrektywę ePrivacy.
Projektowane przepisy wprowadzają:
obowiązek uzyskania zgody użytkownika, z wyjątkiem ściśle określonych przypadków,
mechanizmy maszynowo odczytywalnego wyrażania zgód i sprzeciwów,
obowiązek respektowania tych sygnałów przez administratorów danych.
Rozwiązanie to ma na celu ujednolicenie standardów ochrony prywatności w środowisku cyfrowym oraz zapewnienie skuteczniejszego wykonywania praw osób fizycznych.
V MODYFIKACJE OBOWIĄZKÓW INFORMACYJNYCH ORAZ WYKONYWANIA PRAWA DOSTĘPU DO DANYCH
Projekt Digital Omnibus przewiduje również zmiany w zakresie praw informacyjnych podmiotów danych, w tym:
możliwość odstąpienia od realizacji obowiązku informacyjnego, jeżeli relacja pomiędzy administratorem a osobą, której dane dotyczą, jest jednoznaczna, a osoba ta posiada już podstawowe informacje o przetwarzaniu,
doprecyzowanie przesłanek pozwalających na odmowę realizacji prawa dostępu lub pobranie rozsądnej opłaty w przypadku nadużywania tego prawa.
Zmiany te mają na celu zachowanie równowagi pomiędzy ochroną praw jednostki a zasadą proporcjonalności obciążeń nakładanych na administratorów.
VI Ujednolicenie zasad przeprowadzania oceny skutków dla ochrony danych (DPIA)
Projekt przewiduje harmonizację podejścia do przeprowadzania ocen skutków dla ochrony danych poprzez:
opracowanie jednolitej, unijnej listy operacji wymagających przeprowadzenia DPIA,
wprowadzenie wspólnej metodologii oraz wzoru oceny skutków.
Rozwiązanie to ma zwiększyć przewidywalność obowiązków administratorów oraz ograniczyć rozbieżności interpretacyjne pomiędzy państwami członkowskimi.
Podsumowanie
Digital Omnibus to pierwszy od lat projekt mający na celu uporządkowanie unijnego prawa cyfrowego i dostosowanie RODO do współczesnych wyzwań technologicznych, w tym rozwoju sztucznej inteligencji. Choć propozycja wciąż znajduje się na etapie wniosku legislacyjnego, wskazuje kierunki przyszłych zmian, takich jak doprecyzowanie definicji danych osobowych, ułatwienia w przetwarzaniu danych dla potrzeb AI, zmiany w zgłaszaniu naruszeń czy harmonizacja obowiązków informacyjnych. Już teraz warto poznać te propozycje, aby odpowiednio wcześniej przygotować praktyki compliance i zrozumieć potencjalne skutki dla działalności gospodarczej.
Autorka tekstów prawnych na ifirma.pl. Prawnik posiadająca wieloletnie doświadczenie w doradztwie prawnym oraz podatkowym. Na co dzień swoją wiedzę i doświadczenie poszerza dzięki pracy jako specjalista do spraw prawnych, a czas wolny poświęca na podnoszeniu kwalifikacji w zakresie aspektów prawnych w e-commerce i social mediach oraz szeroko pojętym prawie autorskim.
Zachęcamy do komentowania naszych artykułów. Wyraź swoje zdanie i włącz się w dyskusje z innymi czytelnikami. Na indywidualne pytania (z zakresu podatków i księgowości) użytkowników ifirma.pl odpowiadamy przez e-mail, czat lub telefon – skontaktuj się z nami.
Administratorem Twoich danych osobowych jest IFIRMA S.A. z siedzibą we Wrocławiu. Dodając komentarz na blogu, przekazujesz nam swoje dane: imię i nazwisko, adres e-mail oraz treść komentarza. W systemie odnotowywany jest także adres IP, z wykorzystaniem którego dodałeś komentarz. Dane zostają zapisane w bazie systemu WordPress. Twoje dane są przetwarzane na podstawie Twojej zgody, wynikającej z dodania komentarza. Dane są przetwarzane w celu opublikowania komentarza na blogu, jak również w celu obrony lub dochodzenia roszczeń. Dane w bazie systemu WordPress są w niej przechowywane przez okres funkcjonowania bloga.
O szczegółach przetwarzania danych przez IFIRMA S.A dowiesz się ze strony polityki prywatności serwisu ifirma.pl.
Trudno prowadzić efektywną sprzedaż, gdy wiele czasu i energii trzeba poświęcać na rozwiązywanie problemów wywołanych przez łamiących regulamin klientów. Allegro oferuje wachlarz możliwości rozwiązywania sporów, nawet z wyjątkowo problematycznymi kupującymi. Zobacz, czym jest Czarna Lista Allegro.
Rozporządzeniami z dnia 23 grudnia 2024 r. Minister Sprawiedliwości zmienił rozporządzenia w sprawie opłat za czynności radców prawnych oraz adwokatów. Zmiany zawarte w rozporządzeniach odnoszą się do opłat za niektóre usługi adwokatów i radców prawnych pełniących funkcję reprezentantów swoich klientów w postępowaniach sądowych.
Sprzedaż na platformach internetowych, takich jak Allegro, staje się coraz popularniejszą formą prowadzenia działalności lub dorabiania w wolnym czasie.
Klauzula informacyjna –
kontakt
telefoniczny marketing
Jeżeli wyrazisz zgodę, zadzwonimy do Ciebie, aby przybliżyć Ci naszą
ofertę. Wyrażoną zgodę możesz wycofać w dowolnym momencie, wysyłając
wiadomość e-mail na adres iod@ifirma.pl. Administratorem Twoich
danych
osobowych będzie IFIRMA SA z siedzibą we Wrocławiu przy ul.
Grabiszyńskiej 241G, 53-234 Wrocław. Więcej o tym, jak chronimy
Twoje
dane dowiesz się na stronie: https://www.ifirma.pl/rodo
Adrianna Glapiak 
Czarna Lista na Allegro. Co to jest? Jak z niej korzystać?
Małgorzata Góra
Nowe opłaty za czynności adwokatów i radców prawnych – zmiany 2025!
Obowiązek podatkowy sprzedawcy a sprzedaż na Allegro. Czy i kiedy muszę wystawiać faktury?
Oliwia Józefowiak
Przejęcie przedsiębiorstwa i likwidacja firmy a pracownicy, co należy wiedzieć?
Małgorzata Jagusiak
