Digital Omnibus – Komisja chce zmienić RODO

Poniższe podsumowanie projektu Digital Omnibus jest również dostępne w formacie PDF: Digital Omnibus_RODO

 

Komisja Europejska opublikowała wczoraj, 19 listopada 2025 r., Digital Omnibus, czyli pakiet propozycji zmian do różnych unijnych regulacji cyfrowych, w tym RODO.

Zmiany są częścią aktualnej polityki UE w zakresie deregulacji i upraszczania licznych wymagań, jakie muszą spełniać przedsiębiorcy.

Co ma się zmienić w RODO?

Incydenty – naruszenia ochrony danych

  • Zgłaszane do regulatora (UODO) mają być tylko naruszenia o wysokim ryzyku dla osób dotkniętych takim naruszeniem. To zdecydowanie duża zmiana. Obecnie zgłaszamy wszystkie naruszenia, jeżeli naruszenie może skutkować ryzykiem;
  • Czas na zgłoszenie ma być wydłużony z 72 h do 96 h;
  • Ma być przygotowana lista przykładów, gdzie naruszenie prawdopodobnie skutkuje wysokim ryzykiem i trzeba je zgłosić. Ma być też jeden wzór zgłoszenia dla wszystkich krajów członkowskich.

Definicja danych osobowych

  • Definicja danych osobowych ma być zmieniona tak, że określona informacja będzie uznana za dane osobowe tylko wtedy, gdy dany podmiot może realnie zidentyfikować osobę, której ta informacja dotyczy. Jeśli nie ma on takich możliwości, to dla niego ta informacja nie będzie danymi osobowymi, nawet jeśli ktoś inny mógłby tę osobę zidentyfikować. Jest to spora zmiana, bo w niektórych przypadkach informacje o osobie mogą być wyłączone z zastosowania RODO.

Żądania osób, których dane dotyczą

  • Ma być wprowadzona możliwość odmowy dostępu do danych na podstawie art. 15 RODO (wydanie kopii danych) przez administratora, jeżeli osoba ewidentnie nadużywa tego prawa w celach innych niż ochrona jej danych (np. powtarzające się wnioski bez uzasadnienia).

Obowiązki informacyjne

  • Nie zawsze będzie trzeba przekazywać osobom informację o przetwarzaniu ich danych osobowych. Nie będzie takiego obowiązku, jeśli dane będą zbierane bezpośrednio od tej osoby, a jej relacja z administratorem będzie oczywista i przewidywalna (np. przetwarzanie danych przedstawicieli kontrahenta przy wykonywaniu umowy). Będzie jednak trzeba spełnić określone warunki, by z takiego wyłączenia skorzystać.

Ocena skutków dla ochrony danych

  • Ma powstać wspólny dla wszystkich państw członkowskich wykaz sytuacji, w których będzie trzeba przeprowadzić pogłębioną analizę ryzyka, tj. ocenę skutków dla ochrony danych, tzw. DPIA (obecnie każdy regulator wydaje taki wykaz osobno).

Podstawy prawne wykorzystania danych wrażliwych

  • Mają zostać dodane dwie nowe sytuacje, w których będzie można przetwarzać dane wrażliwe (np. dane dotyczące zdrowia):
    • w ramach systemów AI, pod warunkiem, że firma wdroży środki, aby nie zbierać takich danych, a jeśli mimo to takie dane się pojawią, wtedy powinna je usunąć, a jak nie będzie to możliwe, to będzie musiała zabezpieczyć je tak, by nie były używane np. do generowania wyników AI (tzw. outputów);
    • przy weryfikacji tożsamości za pomocą danych biometrycznych, np. odcisku palca czy rozpoznawania twarzy, ale tylko wtedy, gdy te dane lub narzędzia do weryfikacji są pod pełną kontrolą osoby (czyli np. na jej urządzeniu, a nie w chmurze firmy).

Przetwarzanie danych w urządzeniach typu smartfon, komputer

  • Ograniczenie przypadków, w których trzeba uzyskać zgodę użytkownika na pliki cookie. Dane zapisane na urządzeniu użytkownika będzie można wykorzystać bez jego zgody, jeśli będzie to niezbędne do np. realizacji komunikacji, wykonania usługi, zapewnienia bezpieczeństwa lub tworzenia statystyk dla potrzeb dostawcy. W praktyce oznacza to mniej uciążliwych banerów cookie na stronach internetowych.

Komisja tymi zmianami chce uprościć wymogi RODO, zmniejszyć formalności, odciążyć regulatorów i obniżyć koszty zgłaszania naruszeń. Zmiany mają przy tym otworzyć przepisy na nowe technologie i ujednolicić procedury.

Co z tego wyniknie? Będziemy informować o dalszych krokach w tym temacie.

Wróć do

Bazy wiedzyprzekierowanie