19 listopada 2025 roku Komisja Europejska opublikowała pakiet legislacyjny znany jako Digital Omnibus (Cyfrowy Omnibus). To najbardziej kompleksowa propozycja zmian w RODO od momentu wejścia rozporządzenia w życie w 2018 roku. Pakiet obejmuje zmiany w RODO, dyrektywie ePrivacy, Akcie o danych (Data Act), Akcie o zarządzaniu danymi (DGA), dyrektywie NIS2 oraz Akcie o sztucznej inteligencji (AI Act).

11 lutego 2026 roku EROD (Europejska Rada Ochrony Danych) i EIOD (Europejski Inspektor Ochrony Danych) przyjęły Wspólną Opinię 2/2026 — oficjalne stanowisko wobec projektu. Wcześniej, 20 stycznia 2026 roku, obie instytucje przyjęły Wspólną Opinię 1/2026 dotyczącą zmian w AI Act w ramach tego samego pakietu.

Żadna ze zmian nie weszła jeszcze w życie. Projekt jest nadal procedowany w Parlamencie Europejskim i Radzie UE.

Co to jest Digital Omnibus i dlaczego dotyczy każdej organizacji

Digital Omnibus to pakiet dwóch rozporządzeń unijnych. Pierwsze — „zbiorczy akt cyfrowy” — modyfikuje kilkanaście obowiązujących aktów prawnych, w tym RODO. Drugie poświęcone jest wyłącznie zmianom w AI Act. Ponieważ oba mają formę rozporządzeń, po przyjęciu wejdą w życie bezpośrednio w całej UE — bez potrzeby implementacji w krajowych porządkach prawnych.

Cel Komisji jest dwojaki: uproszczenie przepisów i zmniejszenie obciążeń administracyjnych, szczególnie dla małych i średnich przedsiębiorstw. Szacowane oszczędności dla firm i administracji publicznej z tytułu redukcji biurokracji to według dokumentacji projektu co najmniej 1 mld euro rocznie.

Najważniejsze proponowane zmiany w RODO

1. Zmiana definicji danych osobowych — art. 4 pkt 1 RODO

To najdalej idąca i najbardziej kontrowersyjna propozycja w całym pakiecie. Komisja chce doprecyzować, że informacja nie stanowi danych osobowych dla danego podmiotu, jeżeli ten podmiot nie dysponuje środkami pozwalającymi na identyfikację osoby fizycznej. Innymi słowy — sama możliwość identyfikacji przez inny podmiot nie przesądzałaby o tym, że pierwszy administrator przetwarza dane osobowe.

Dodatkowo — nowy art. 41a — Komisja chciałaby upoważnienia do wydawania aktów wykonawczych określających, kiedy dane pseudonimizowane mogą być traktowane jako dane nieosobowe wobec określonych kategorii odbiorców.

W praktyce oznaczałoby to, że firma przetwarzająca zaszyfrowane lub spseudonimizowane dane, do których nie ma klucza deszyfrującego, mogłaby argumentować, że w ogóle nie przetwarza danych osobowych — i tym samym wyłączyć stosowanie RODO w tym zakresie.

2. Rejestr czynności przetwarzania — próg podniesiony do 750 pracowników

Obecne zwolnienie z obowiązku prowadzenia rejestru czynności przetwarzania (RCP) dotyczy organizacji zatrudniających mniej niż 250 pracowników — z wyjątkami m.in. dla podmiotów przetwarzających dane wrażliwe lub regularnie przetwarzających dane na dużą skalę. Digital Omnibus proponuje podniesienie tego progu do 750 pracowników.

Zmiana ta potencjalnie zwalniałaby z obowiązku prowadzenia RCP wiele małych i średnich firm, które dziś muszą go prowadzić niezależnie od rodzaju swojej działalności.

3. Zgłaszanie naruszeń ochrony danych — 96 godzin i wyższy próg ryzyka

Pakiet proponuje dwie zmiany w mechanizmie zgłaszania naruszeń danych:

• wydłużenie terminu na zgłoszenie naruszenia do organu nadzorczego z obecnych 72 do 96 godzin
• ograniczenie obowiązku zgłoszeniowego wyłącznie do naruszeń mogących powodować wysokie ryzyko dla praw lub wolności osób — zamiast obecnego szerszego progu „ryzyko naruszenia praw”
• wprowadzenie jednego punktu kontaktowego (Single Entry Point) do równoczesnego zgłaszania naruszeń wymaganych przez RODO, NIS2, DORA i inne akty unijne

4. Przetwarzanie danych na potrzeby AI — nowy art. 88c RODO

Digital Omnibus po raz pierwszy systemowo reguluje przetwarzanie danych osobowych przy trenowaniu i działaniu systemów AI. Projekt proponuje:

• potwierdzenie, że uzasadniony interes (art. 6 ust. 1 lit. f) może być podstawą prawną przetwarzania danych na potrzeby AI — przy rzetelnej ocenie równowagi interesów
• wyjątek umożliwiający przetwarzanie danych szczególnych kategorii (wrażliwych) przy trenowaniu AI — przy zastosowaniu środków technicznych minimalizujących ryzyko i obowiązku niezwłocznego usuwania tych danych po osiągnięciu celu

5. Klauzule informacyjne — uproszczony obowiązek informacyjny

Projekt przewiduje możliwość odstąpienia od obowiązku podawania pełnej klauzuli informacyjnej w pewnych ograniczonych sytuacjach — gdy relacja między administratorem a osobą jest jednoznaczna i osoba posiada już podstawowe informacje o przetwarzaniu. Wyjątek nie obejmuje transferów do państw trzecich, zautomatyzowanego podejmowania decyzji ani przetwarzania podwyższonego ryzyka.

6. Cookies bez banera — przepisy ePrivacy do RODO

Zasady dotyczące cookies i podobnych technologii miałyby zostać przeniesione z dyrektywy ePrivacy do RODO — do nowych art. 88a i 88b. Projekt przewiduje możliwość automatycznej obsługi preferencji użytkownika za pomocą środków technicznych (np. ustawień przeglądarki), co w określonych przypadkach eliminowałoby potrzebę wyświetlania banera. Kontrowersja: jeśli użytkownik globalnie odmówi zgody przez ustawienia przeglądarki, administrator nie będzie mógł ponowić prośby o zgodę na ten sam cel przez co najmniej 6 miesięcy.

7. Harmonizacja DPIA na poziomie całej UE

Digital Omnibus zakłada jedną ogólnounijną listę operacji wymagających i niewymagających oceny skutków dla ochrony danych (DPIA) oraz wspólny szablon i metodykę opracowane przez EROD — zamiast obecnych 27 różnych krajowych list. To bezpośrednio powiązane z trwającymi konsultacjami nad szablonem DPIA EDPB, których termin upływa 9 czerwca 2026 roku.

Stanowisko EROD — co popierają, czemu się stanowczo sprzeciwiają

EROD stanowczo sprzeciwia się zmianie definicji danych osobowych

To najsilniejszy sprzeciw w Opinii 2/2026. EROD i EIOD wskazują, że propozycja wykracza daleko poza techniczną zmianę RODO, nie odzwierciedla orzecznictwa Trybunału Sprawiedliwości UE i prowadziłaby do znacznego zawężenia pojęcia danych osobowych. Szczególnie krytykują przekazanie Komisji Europejskiej kompetencji do decydowania aktami wykonawczymi o tym, co nie jest już daną osobową po pseudonimizacji.

Przewodnicząca EROD Anu Talus: „Uproszczenie jest niezbędne, ale nie może odbywać się kosztem praw podstawowych.”

EIOD Wojciech Wiewiórowski: „Zdecydowanie apelujemy do współprawodawców, aby nie przyjmowali proponowanych zmian w definicji danych osobowych.”

EROD popiera lub ostrożnie popiera

• Uproszczenie obowiązku informacyjnego dla MŚP — z zachowaniem praw podmiotów danych
• Podniesienie progu zwolnienia z RCP do 750 pracowników — z zastrzeżeniami dot. wyłączenia organów publicznych
• Harmonizację DPIA — pod warunkiem zachowania centralnej roli EROD
• Wydłużenie terminu zgłoszenia naruszenia do 96 godzin i podniesienie progu ryzyka
• Wprowadzenie Single Entry Point dla zgłoszeń naruszeń
• Derogację dla danych wrażliwych przy trenowaniu AI — z zastrzeżeniami dot. zakresu
• Możliwość obsługi cookies bez banera w ograniczonych przypadkach

Co to oznacza dla Twojej organizacji dziś

Digital Omnibus to nadal projekt. Żadna zmiana nie obowiązuje. Proces legislacyjny w Parlamencie Europejskim i Radzie UE jest w toku — i może przynieść istotne modyfikacje proponowanych przepisów, szczególnie w kwestii definicji danych osobowych, gdzie sprzeciw EROD jest jednoznaczny.

Trzy rzeczy warte zrobienia już teraz:

Prowadź rejestr czynności przetwarzania — nawet jeśli Twoja firma zatrudnia poniżej 250 pracowników i technicznie kwalifikuje się do zwolnienia, RCP jest podstawowym narzędziem zarządzania zgodnością. Zmiana progu do 750 pracowników (jeśli wejdzie w życie) nie oznacza że rejestr przestaje być potrzebny — tylko że przestaje być formalnie wymagany.

Dokumentuj przetwarzanie danych w procesach AI — podstawa prawna, cel, kategorie danych, ocena równowagi interesów. Nowe przepisy dot. AI mogą wejść w życie szybciej niż zmiany dot. definicji danych osobowych.

Nie traktuj pseudonimizacji jako narzędzia wyłączającego RODO — EROD wyraźnie sprzeciwia się tej interpretacji i jest mało prawdopodobne, żeby propozycja KE w tym kształcie przetrwała negocjacje parlamentarne.

Kolejny ważny punkt na mapie procesu legislacyjnego: konferencja EDPS, BfDI i BayLfD poświęcona implikacjom Digital Omnibus odbędzie się 8 czerwca 2026 roku.

Źródła: Komunikat EROD, 11 lutego 2026 | Wspólna Opinia 2/2026 EROD i EIOD | Komunikat UODO (PL)