19.11.2025 r. Komisja Europejska przyjęła wniosek legislacyjny określany jako „Cyfrowy Omnibus”, którego celem jest uproszczenie i ujednolicenie unijnych ram regulacyjnych w zakresie danych i usług cyfrowych. Projekt przewiduje zmiany w szeregu aktów prawnych, w tym w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1725 z 23.10.2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE z 21.11.2018 r. (Dz.Urz. UE L z 2018 r. Nr 295, s. 39), dyrektywie 2002/58/WE Parlamentu Europejskiego i Rady z 12.7.2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.Urz. UE L z 2002 r. Nr 201, s. 37), a także w tzw. Data Acquis, obejmującym m.in. Akt w sprawie danych (Dz.Urz. UE L z 2023 r. Nr 300, s. 2854) i Akt w sprawie zarządzania danymi (Dz.Urz. UE L z 2022 r. Nr 152, s. 1). Komisja wskazuje, że proponowane zmiany mają ograniczyć obciążenia administracyjne, zwiększyć pewność prawa oraz poprawić konkurencyjność europejskich organizacji, w szczególności w kontekście rozwoju gospodarki opartej na danych i systemów sztucznej inteligencji.
W odpowiedzi na wniosek Komisji EROD i EIOD przyjęli wspólną opinię, w której dokonali szczegółowej oceny proponowanych zmian z perspektywy ochrony danych osobowych i praw podstawowych. Organy podkreśliły, że uproszczenie ram regulacyjnych jest uzasadnionym celem, jednak nie może ono prowadzić do obniżenia poziomu ochrony przewidzianego w Karcie praw podstawowych Unii Europejskiej oraz RODO.
Sprzeciw wobec zmiany definicji danych osobowych i rozszerzenia kompetencji Komisji
Najpoważniejsze zastrzeżenia EROD i EIOD dotyczą proponowanych zmian w definicji danych osobowych. Organy wskazują, że proponowane przepisy mogłyby prowadzić do istotnego zawężenia pojęcia danych osobowych, co w konsekwencji może wpłynąć na zakres stosowania przepisów o ochronie danych osobowych, w szczególności poprzez wprowadzenie regulacji sugerujących, że dane nie powinny być uznawane za dane osobowe w odniesieniu do określonego podmiotu wyłącznie z tego powodu, że inny podmiot może dysponować środkami umożliwiającymi identyfikację osoby fizycznej. Zdaniem organów rozwiązanie to nie odzwierciedla w pełni orzecznictwa TSUE i mogłoby prowadzić do niejednoznaczności interpretacyjnych oraz osłabienia ochrony danych.
Szczególne obawy budzi również propozycja przyznania Komisji Europejskiej kompetencji do określania, w drodze aktu wykonawczego, kryteriów pozwalających uznać dane spseudonimizowane za dane nieosobowe w odniesieniu do określonych podmiotów. EROD i EIOD podkreślają, że takie rozwiązanie miałoby bezpośredni wpływ na zakres stosowania przepisów o ochronie danych osobowych, a tym samym nie powinno być regulowane w drodze aktów wykonawczych. Organy wskazują, że mogłoby to prowadzić do zwiększenia niepewności prawnej oraz utrudnić jednolite stosowanie przepisów.
Zgłaszanie naruszeń i ocen skutków
Jednocześnie EROD i EIOD pozytywnie oceniły szereg proponowanych zmian mających na celu uproszczenie obowiązków administratorów. W szczególności organy popierają podwyższenie progu ryzyka powodującego obowiązek zgłoszenia naruszenia ochrony danych organowi nadzorczemu oraz wydłużenie terminu na dokonanie takiego zgłoszenia z 72 do 96 godzin. Zdaniem organów rozwiązanie to może przyczynić się do ograniczenia nadmiernych obciążeń administracyjnych, nie wpływając negatywnie na poziom ochrony danych osobowych.
Pozytywnie oceniono również wprowadzenie wspólnych wzorów zgłoszeń naruszeń oraz standardowych wykazów operacji przetwarzania wymagających przeprowadzenia oceny skutków dla ochrony danych (DPIA). Organy wskazują, że harmonizacja w tym zakresie może zwiększyć spójność stosowania przepisów w całej Unii Europejskiej oraz ułatwić organizacjom realizację obowiązków wynikających z RODO.
Badania naukowe, biometria i systemy AI
EROD i EIOD z zadowoleniem przyjęły także propozycje mające na celu doprecyzowanie pojęcia badań naukowych oraz harmonizację zasad dalszego przetwarzania danych w tym celu. Zdaniem organów zmiany te mogą zwiększyć pewność prawa i ułatwić wykorzystanie danych w działalności badawczej, przy jednoczesnym zachowaniu odpowiednich zabezpieczeń.
Pozytywnie oceniono również propozycję wprowadzenia nowego odstępstwa od zakazu przetwarzania szczególnych kategorii danych w kontekście uwierzytelniania biometrycznego, pod warunkiem że środki uwierzytelniania pozostają pod wyłączną kontrolą osoby, której dane dotyczą. Jednocześnie organy podkreśliły, że stosowanie takich rozwiązań powinno nadal podlegać zasadzie konieczności i proporcjonalności.
W odniesieniu do systemów sztucznej inteligencji organy poparły cel wprowadzenia szczególnego odstępstwa dotyczącego przypadkowego i resztkowego przetwarzania danych wrażliwych w procesie opracowywania i funkcjonowania modeli AI, wskazując jednocześnie na konieczność doprecyzowania zakresu tego odstępstwa oraz zapewnienia odpowiednich zabezpieczeń w całym cyklu życia systemu AI.
Przejrzystość, prawo dostępu i zautomatyzowane podejmowania decyzji
Opinia odnosi się również do propozycji uproszczenia obowiązków informacyjnych oraz wprowadzenia nowych zasad dotyczących nadużywania prawa dostępu do danych. EROD i EIOD zgadzają się co do potrzeby zapewnienia administratorom ochrony przed nadużyciami, jednak podkreślają, że wykonywanie prawa dostępu w celach innych niż ochrona danych osobowych nie powinno samo w sobie stanowić podstawy do uznania wniosku za nadużycie.
Organy zwróciły również uwagę na konieczność doprecyzowania proponowanych zmian dotyczących zautomatyzowanego podejmowania decyzji, aby zapewnić ich zgodność z dotychczasowym orzecznictwem TSUE oraz utrzymać wysoki poziom ochrony osób, których dane dotyczą.
ePrivacy i cookies
EROD i EIOD poparły proponowane rozwiązania mające na celu ograniczenie zjawiska tzw. consent fatigue, polegającego na nadmiernej liczbie komunikatów dotyczących zgody na przetwarzanie danych, w szczególności w kontekście plików cookie. Organy wskazują, że wykorzystanie automatycznych, nadających się do odczytu maszynowego sygnałów preferencji użytkowników może przyczynić się do zwiększenia skuteczności ochrony prywatności oraz ograniczenia obciążeń po stronie administratorów. Jednocześnie organy podkreślają konieczność zapewnienia spójności między przepisami dotyczącymi danych osobowych i nieosobowych oraz utrzymania odpowiednich mechanizmów nadzorczych.
Zmiany w Data Acquis i dostęp do danych publicznych
W odniesieniu do proponowanych zmian w Data Acquis organy poparły konsolidację przepisów dotyczących zarządzania danymi i ponownego wykorzystywania danych sektora publicznego w ramach Aktu w sprawie danych. Jednocześnie podkreślono, że nowe przepisy nie powinny być interpretowane jako wprowadzające obowiązek udostępniania danych przez organy publiczne ani jako samodzielna podstawa prawna dostępu do danych osobowych.
Organy zwróciły również uwagę na konieczność zapewnienia, aby w sytuacjach nadzwyczajnych dane osobowe były udostępniane organom publicznym wyłącznie w formie spseudonimizowanej, o ile dane anonimowe nie są wystarczające do realizacji określonego celu.
Znaczenie opinii dla dalszej praktyki
Wspólna opinia EROD i EIOD stanowi istotny element procesu legislacyjnego i może mieć znaczący wpływ na ostateczny kształt Cyfrowego Omnibusa. Organy jednoznacznie wskazują, że uproszczenie przepisów nie może prowadzić do ograniczenia zakresu ochrony danych osobowych ani podważenia dotychczasowego dorobku orzeczniczego TSUE.
Jednocześnie opinia potwierdza kierunek zmian zmierzających do zwiększenia harmonizacji i ograniczenia obciążeń administracyjnych, w szczególności w obszarach takich jak zgłaszanie naruszeń, prowadzenie ocen skutków czy przetwarzanie danych w celach badawczych. Proponowane zmiany mogą mieć duże znaczenie dla organizacji przetwarzających dane osobowe, ponieważ dotyczą kluczowych elementów systemu ochrony danych, takich jak obowiązki notyfikacyjne, przejrzystość oraz przetwarzanie danych w kontekście badań naukowych i systemów AI.
Opinia EROD i EIOD wskazuje jednak wyraźnie, że wszelkie zmiany powinny zachować fundamentalne założenie RODO, jakim jest zapewnienie wysokiego poziomu ochrony praw i wolności osób fizycznych w kontekście przetwarzania danych osobowych.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
