Skip to main content
  • Digital Omnibus i zmiany w RODO — co nowego czeka firmy i czy małe przedsiębiorstwa dostaną ulgę?
    16.06.2026

    Digital Omnibus i zmiany w RODO — co nowego czeka firmy i czy małe przedsiębiorstwa dostaną ulgę?

19 listopada 2025 roku Komisja Europejska opublikowała pakiet legislacyjny znany jako Digital Omnibus. Media natychmiast ochrzciły go „RODO 2.0", a nagłówki prześcigały się w straszeniu nadchodzącą rewolucją. Rzeczywistość jest spokojniejsza — ale też ciekawsza. Bo projekt rzeczywiście szykuje pierwszą tak poważną korektę RODO od jego uchwalenia w 2016 roku, a dla małych firm zawiera coś, czego brakowało od lat: realne uproszczenia.

Zanim jednak zaczniesz przepisywać dokumentację — jest jedna rzecz, którą musisz wiedzieć na samym początku.

Najpierw to, czego konkurencja często nie mówi: Digital Omnibus to nadal projekt

Na dzień publikacji tego artykułu Digital Omnibus jest wnioskiem legislacyjnym Komisji Europejskiej — nie obowiązującym prawem. Żeby weszło w życie, musi przejść przez Parlament Europejski i Radę UE, a następnie przebyć vacatio legis. Szacowany realny termin wejścia przepisów w życie: 2027–2028. Może wcześniej, może później — zależy od tempa prac i ewentualnych poprawek.

Obowiązujące RODO na dziś nie zmieniło się ani o przecinek.

Dlaczego to ważne? Bo część artykułów w sieci opisuje planowane zmiany jak fakty dokonane — co prowadzi właścicieli firm do niepotrzebnych działań albo, odwrotnie, do złudnego poczucia, że coś „już się uprościło". Żadne z tych przekonań nie jest uzasadnione.

Uwaga terminologiczna: Digital Omnibus to nie to samo, co Dyrektywa Omnibus z 2019 roku (dotycząca ochrony konsumentów i e-commerce). To odrębny, nowszy pakiet — i dwa różne dokumenty, które mylą się w wyszukiwaniach.

Skąd wziął się Digital Omnibus?

Krótka historia pomoże zrozumieć, dlaczego ten projekt w ogóle powstał.

RODO weszło w życie w 2018 roku. Od tego czasu Unia Europejska dołożyła do unijnego prawa cyfrowego: NIS2, AI Act, DORA, Data Act, Data Governance Act, ePrivacy (wciąż w toku), Cyber Resilience Act — i kilka kolejnych. Każda regulacja miała swoje własne definicje, własne terminy zgłoszeń, własne organy nadzorcze i własne sankcje.

Efekt? Firma z sektora finansowego objęta jednocześnie RODO, NIS2 i DORA może być zobowiązana do zgłoszenia tego samego cyberincydentu trzem różnym organom, z trzema różnymi terminami i trzema różnymi formularzami. Pisałam o tym dokładnie w artykule o nakładaniu się obowiązków RODO, NIS2 i DORA — i to właśnie ten chaos miał naprawić Digital Omnibus.

Cel pakietu, wprost ze strony Komisji Europejskiej: konsolidacja, uproszczenie i usunięcie sprzeczności między regulacjami — bez rezygnacji z fundamentów ochrony danych.

Co projekt proponuje — pięć zmian dla firm

1. Nowa definicja danych osobowych — doprecyzowanie, nie rewolucja

Obecne RODO zawiera już pewien element kontekstowy: motyw 26 rozporządzenia nakazuje przy ocenie identyfikowalności uwzględniać „wszystkie środki, jakie z dużym prawdopodobieństwem mogą być użyte" — biorąc pod uwagę koszty, czas i dostępną technologię. W praktyce jednak przepis ten budzi od lat poważne wątpliwości interpretacyjne: gdzie przebiega granica między danymi osobowymi a anonimowymi?

Projekt Digital Omnibus chce te wątpliwości ograniczyć, wprowadzając wyraźniejszą ocenę kontekstową z perspektywy konkretnego administratora. Jeśli podmiot nie ma „klucza" identyfikacyjnego i nie ma praktycznej drogi do jego zdobycia — dane mogłyby być traktowane jako nieosobowe u tego podmiotu, nawet jeśli ktoś inny mógłby je powiązać z konkretną osobą.

W praktyce: dane pseudonimizowane lub zanonimizowane zyskałyby wyraźniejszy status prawny u odbiorców bez dostępu do kluczy. To właśnie ta propozycja budzi największe kontrowersje — EROD i EIOD wprost wzywają, by jej nie przyjmować w obecnym kształcie, wskazując że „wykracza daleko poza ukierunkowaną zmianę" i może obniżyć poziom ochrony osób fizycznych.

2. Realne uproszczenia dla małych i średnich firm

To jedna z bardziej istotnych zmian dla odbiorców tego bloga. Projekt rozszerza krąg beneficjentów uproszczeń na dwie kategorie:

  • MŚP — do 250 pracowników (bez zmian w definicji)
  • SMC (Small Mid-Cap) — firmy zatrudniające do 750 pracowników, z rocznym obrotem do 150 mln EUR lub sumą bilansową do 129 mln EUR

Co konkretnie miałoby się uprościć? Przede wszystkim:

— mniej rygorystyczny Rejestr Czynności Przetwarzania przy przetwarzaniu niskiego ryzyka (uproszczona forma zamiast pełnej dokumentacji),
— złagodzone wymogi informacyjne wobec osób przy prostych, przejrzystych relacjach przetwarzania,
— uproszczone procedury zgłaszania naruszeń, gdy incydent ma ograniczone skutki.

Uproszczenia nie oznaczają braku obowiązków — oznaczają, że wykonanie tych obowiązków ma być mniej obciążające administracyjnie. Różnica istotna: audyt RODO nadal będzie sensowną inwestycją, bo pozwala sprawdzić, które operacje faktycznie kwalifikują się do uproszczonego trybu — a które nie.

3. Koniec banerów cookies (jeśli projekt wejdzie w życie)

To zmiana widoczna nawet dla zwykłego użytkownika internetu. Projekt zakłada integrację zasad ePrivacy z RODO i przeniesienie zarządzania cookies z poziomu każdej strony na poziom przeglądarki lub systemu operacyjnego.

W praktyce: użytkownik raz ustawi preferencje w przeglądarce — i wszystkie strony respektują te preferencje bez wyskakujących banerów. Koniec „cookie fatigue", czyli zmęczenia ciągłymi prośbami o zgodę.

Dla firm prowadzących strony internetowe: jeśli projekt wejdzie w życie, mechanizmy zarządzania zgodami wymagają przebudowy po stronie technicznej. Na razie — żadnych zmian nie trzeba wprowadzać.

4. Obrona przed nadużywaniem praw podmiotów danych

Zmiana dotycząca art. 12 ust. 5 RODO — mniej spektakularna, ale istotna w praktyce. Projekt przyznaje administratorowi prawo do odmowy realizacji prawa dostępu lub pobrania rozsądnej opłaty, gdy wniosek jest oczywiście nadmierny lub zmierza wyraźnie do wywarcia presji ekonomicznej, a nie do faktycznej ochrony prywatności.

Zjawisko masowych, instrumentalnych wniosków o dostęp do danych jest znane — szczególnie w sporach pracowniczych i w e-commerce. Projekt dawałby narzędzie do obrony przed takimi nadużyciami bez konieczności bezkrytycznego realizowania każdego wniosku.

5. Jedno okienko dla zgłoszeń incydentów

Dziś firma objęta jednocześnie RODO, NIS2 i DORA może być zobowiązana do zgłoszenia tego samego incydentu do trzech różnych organów, każdemu w innym terminie i w innej formie. Projekt zakłada jedno centralne miejsce zgłoszenia — zamiast osobnych raportów do UODO, CSIRT i KNF. Według założeń pakietu przekazywaniem informacji między organami miałby zająć się jeden wyznaczony podmiot, choć szczegóły organizacyjne tego mechanizmu pozostają na etapie prac legislacyjnych.

To potencjalnie największe uproszczenie operacyjne dla compliance managerów i IOD.

Co EROD i NOYB mówią o projekcie?

Nie każdy jest entuzjastą Digital Omnibus. Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD) przyjęły 10–11 lutego 2026 roku wspólną opinię (Joint Opinion 2/2026): co do zasady popierają uproszczenia i wzmocnienie konkurencyjności, ale zgłaszają poważne zastrzeżenia wobec części zmian dotyczących danych osobowych. EROD i EIOD wprost wzywają współprawodawców, by nie przyjmowali zaproponowanych zmian w definicji danych osobowych, oceniając je jako wykraczające daleko poza „ukierunkowaną zmianę techniczną" i mogące zwiększyć — zamiast zmniejszyć — niepewność prawną.

Organizacja NOYB (znana z głośnych spraw przeciwko Facebookowi i Google w kwestii RODO) poszła dalej — oficjalnie określa Digital Omnibus jako „największy atak na prawa cyfrowe Europejczyków od lat", wskazując ryzyko osłabienia ochrony danych przy nowej definicji „danych osobowych".

Dlaczego warto to wiedzieć? Bo projekt może istotnie zmienić kształt w trakcie procedury legislacyjnej. To, co trafiło do Parlamentu Europejskiego w listopadzie 2025 roku, może wyglądać zupełnie inaczej po przyjęciu. Finalna wersja będzie wypadkową propozycji Komisji i poprawek posłów oraz państw członkowskich.

Kiedy to wejdzie w życie?

Uczciwa odpowiedź: nie wiadomo. Zwykła procedura ustawodawcza UE trwa zazwyczaj od roku do kilku lat. Po uchwaleniu dochodzi vacatio legis — zazwyczaj 6–24 miesiące.

Optymistyczny scenariusz: jeśli prace pójdą sprawnie, przepisy mogłyby obowiązywać od 2027 roku. Realistyczny scenariusz: 2028 lub później, z możliwymi istotnymi zmianami w treści.

Na czerwiec 2026 roku żadna z opisanych tu zmian nie obowiązuje.

Co zrobić już teraz?

Skoro zmiany jeszcze nie obowiązują, czy artykuł o Digital Omnibus jest tylko akademickim ćwiczeniem? Niekoniecznie.

Przejrzyj aktualną dokumentację RODO. Niezależnie od Omnibusa — obecne RODO obowiązuje. Wiele firm, które wdrożyły RODO w 2018 roku, nie aktualizowało dokumentacji od lat. Nowe systemy, nowi pracownicy, nowi dostawcy — a Rejestr Czynności Przetwarzania i klauzule informacyjne wciąż z epoki wdrożenia. To ryzyko teraz, nie dopiero po reformie. Na blogu znajdziesz szczegółowy opis jak przebiega wdrożenie RODO i co warto sprawdzić.

Sprawdź, czy nie zalegasz z DPIA. Jeśli wprowadzasz nowe narzędzia, systemy AI, monitoring pracowników lub przetwarzasz dane na dużą skalę — ocena skutków dla ochrony danych (DPIA) może być już teraz obowiązkowa. Digital Omnibus tego obowiązku nie zmienia.

Zaplanuj czas na wdrożenie zmian. Gdy Omnibus zostanie uchwalony, firmy będą miały ograniczony czas na dostosowanie. Lepiej wiedzieć wcześniej, które procesy będą wymagały zmian — niż zaczynać od zera pod presją terminu. Warto też śledzić kary nakładane przez UODO: w podsumowaniu kar RODO za rok 2025 widać wyraźnie, które naruszenia są dziś na celowniku.

Monitoruj postępy prac legislacyjnych. Projekt jest dostępny publicznie — Komisja Europejska publikuje wszystkie etapy procedury. Śledzę te prace na bieżąco i informuję klientów o każdej istotnej zmianie.

Masz pytania o to, jak Digital Omnibus wpłynie na dokumentację RODO w Twojej firmie? Albo chcesz po prostu sprawdzić, czy obecne wdrożenie RODO jest aktualne i zgodne z obowiązującymi przepisami? Zapraszam do kontaktu — przeprowadzam audyty RODO dla firm z Poznania i Wielkopolski i nie tylko, zdalnie lub stacjonarnie.

Źródła

  1. Komisja Europejska, wniosek legislacyjny Digital Omnibus, 19 listopada 2025 r. — ec.europa.eu
  2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), motyw 26 — EUR-Lex
  3. EROD i EIOD, Joint Opinion 2/2026 w sprawie Digital Omnibus (część RODO/ePrivacy), przyjęta 10–11 lutego 2026 r. — uodo.gov.pl
  4. UODO, komunikat o 115. posiedzeniu plenarnym EROD (10–11 lutego 2026) — uodo.gov.pl
  5. UODO, komunikat o konsultacji KE z EROD/EIOD z 25 listopada 2025 r. i opinii z 20 stycznia 2026 r. (część AI) — uodo.gov.pl
  6. EDPB, Joint Opinion na temat uproszczenia RCP dla MŚP i SMC (art. 30 ust. 5 RODO), lipiec 2025 — edpb.europa.eu
  7. NOYB, Digital Omnibus Report V3 (analiza zmian w RODO i ePrivacy), 24 lutego 2026 r. — noyb.eu
  8. NOYB, oficjalne stanowisko: Digital Omnibus jako „the biggest attack on Europeans' digital rights in years" — cadeproject.org
  9. Tomasz Palak, analiza rozszerzenia uproszczeń na SMC — tomaszpalak.pl
  10. gdpr.pl, omówienie posiedzeń plenarnych EROD w 2026 r. — gdpr.pl
Kategorie na blogu
Ostatnie wpisy
Najciekawsze