12 maja 2026 roku EDPB i EDPS wydały wspólną opinię (Joint Opinion 1/2026) do propozycji rozporządzenia Komisji Europejskiej upraszczającego wdrożenie AI Act — tzw. Digital Omnibus on AI. To dokument, który bezpośrednio wpływa na organizacje wdrażające systemy AI w Unii Europejskiej.
Uproszczenie brzmi obiecująco. Ale EDPB i EDPS ostrzegają: uproszczenie nie może odbywać się kosztem ochrony danych osobowych.
O co chodzi w Digital Omnibus on AI
Komisja Europejska zaproponowała zmiany w AI Act mające na celu zmniejszenie obciążeń administracyjnych dla dostawców i użytkowników systemów AI. Propozycja zakłada uproszczenie procedur oceny zgodności, ograniczenie wymogów dokumentacyjnych i dostosowanie definicji do praktyki rynkowej.
EDPB i EDPS przeanalizowały propozycję pod kątem wpływu na ochronę danych osobowych i wydały opinię zawierającą zastrzeżenia i rekomendacje.
Kluczowe stanowisko EDPB/EDPS
Uproszczenie nie może osłabiać ochrony danych
EDPB podkreśla, że AI Act i RODO działają równolegle. Uproszczenie procedur AI Act nie może prowadzić do sytuacji, w której dostawcy systemów AI pomijają obowiązki wynikające z RODO — w szczególności przeprowadzanie DPIA, realizację praw podmiotów danych czy obowiązki informacyjne.
Spójność definicji
Opinia zwraca uwagę na konieczność spójności terminologicznej między AI Act a RODO. Pojęcia takie jak „profilowanie”, „zautomatyzowane podejmowanie decyzji” czy „dane osobowe” muszą być interpretowane jednolicie w obu aktach prawnych.
Rola organów ochrony danych
EDPB i EDPS podkreślają, że organy ochrony danych (takie jak UODO) muszą zachować pełną kompetencję w zakresie nadzoru nad przetwarzaniem danych osobowych przez systemy AI — niezależnie od tego, który organ będzie nadzorował zgodność z AI Act.
Ocena ryzyka jako punkt styku
Opinia wskazuje, że ocena ryzyka w rozumieniu AI Act (ocena zgodności dla systemów wysokiego ryzyka) i ocena skutków dla ochrony danych (DPIA z art. 35 RODO) powinny być realizowane w sposób skoordynowany. Dobrze przeprowadzona DPIA może częściowo spełniać wymagania AI Act.
Co to oznacza dla organizacji
Jeśli Twoja organizacja wdraża lub planuje wdrożenie systemów AI, powinieneś:
Śledzić prace legislacyjne nad Digital Omnibus on AI — finalna wersja zmieni zakres obowiązków.
Nie czekać na uproszczenie — obecne przepisy RODO dotyczące przetwarzania danych przez AI obowiązują już teraz.
Powiązać systemy IT i narzędzia AI z czynnościami przetwarzania w rejestrze — to podstawa zarówno dla RODO jak i dla AI Act.
Przeprowadzić DPIA dla systemów AI wysokiego ryzyka — niezależnie od zmian w AI Act, obowiązek z art. 35 RODO pozostaje.
Zaktualizować klauzule informacyjne o informacje dotyczące AI — art. 13 RODO w połączeniu z wymogami przejrzystości AI Act.
Źródło: EDPB
Nie. Digital Omnibus zmienia AI Act, nie RODO. Obowiązki wynikające z RODO — DPIA, prawa osób, obowiązki informacyjne — pozostają bez zmian. EDPB podkreśla, że uproszczenie AI Act nie może osłabiać ochrony danych.
Nie dla każdego — ale dla systemów AI, które przetwarzają dane osobowe w sposób mogący powodować wysokie ryzyko. W praktyce większość systemów AI wysokiego ryzyka w rozumieniu AI Act będzie wymagała DPIA na gruncie RODO.
Propozycja jest w fazie legislacyjnej. EDPB i EDPS wydały opinię w maju 2026. Finalne przepisy mogą wejść w życie w 2027 roku.
To jest przedmiotem dyskusji. EDPB i EDPS stanowczo podkreślają, że organy ochrony danych muszą zachować kompetencje w zakresie przetwarzania danych przez AI — niezależnie od tego który organ nadzoruje AI Act.
Zinwentaryzuj systemy AI w organizacji, powiąż je z czynnościami przetwarzania w rejestrze, przeprowadź DPIA i zaktualizuj klauzule informacyjne. To działania wymagane już teraz na gruncie RODO.
Powiąż systemy AI z rejestrem czynności przetwarzania
iGDPR pozwala przypisać systemy IT i narzędzia AI do czynności przetwarzania, przeprowadzić ocenę ryzyka DPIA i zarządzać dokumentacją w jednym rejestrze.
Testuj teraz — 21 dni bezpłatnie