Digital Omnibus – czyli co ma się zmienić w RODO?

Ja dzisiaj króciotko – Aleksander Jarymowicz napisał tak świetny wpis, że nie chce nawet nic dodawać. Każda literka poniżej – to już pisał on.

Zawsze znajdą się ludzie, którzy czekają, by wkroczyć i wszystko odbudować
czyli o propozycjach Rozporządzenia Digital Omnibus słów kilka

Cześć!
Dawno mnie tu nie było, a szkoda, bo niczym nieodżałowany Zbyszek Wodecki lubię wracać tam, gdzie byłem. Kiedyś na blogu Tomka zajmowałem się starciami gier video z prawem. Mogliście tam przeczytać np.: o tym co ma wspólnego Zlatan Ibrahimovic z wizerunkiem, jak chronione są dane graczy czy też co łączy ze sobą Wersow, Manchester United i znaki towarowe. Można więc śmiało powiedzieć, że jestem trochę takim omnibusem w tych tematach. Nie bójcie się jednak – to nie jest wystrzał wody sodowej a jedynie część narracji. Dziś bowiem nieco o regulacyjnych propozycjach.

Wracając do tematu – omnibus pochodzi od łacińskiego… omnibus (szok!), oznaczającego „dla wszystkich”. Co istotne, jest to celownik liczby mnogiej słowa omnis, oznaczającego „wszystko”. Omnibusem nazwiemy też rodzaj pojazdu wieloosobowego, jak np.: dorożka, jak również człowieka o wszechstronnej wiedzy. Nas jednak dużo bardziej interesuje etymologiczna definicja, która została zawarta w pierwszych dwóch zdaniach. Zgadnijcie co zatem może dotyczyć każdego z nas i być takim łączącym naszym regulacyjnym spoiwem? Hmm…

Źródło: https://gloswielkopolski.pl/rodo-internauci-maja-dosc-zobacz-rodo-memy-i-posty-wysmiewajace-rozporzadzenie/gh/13206502

Dokładnie- jednym z największych spoiw w europejskim systemie prawnym jest RODO. Ochrona danych osobowych to temat, który jest na naszych ustach niemal od 10 lat, kiedy to uchwalono znane wszystkim regulacje w tym zakresie. Od momentu jej wejścia w życie (25 maja 2018 r.), do dziś, pojawiło się wiele innych regulacji, które ingerują w zakres danych osobowych, jednocześnie wpływając na świat cyfry, AI czy też e-commerce. Do najważniejszych z nich zaliczyłbym np.: Data Act, Dyrektywa NIS2, Data Governance Act czy też Rozporządzenie o sztucznej inteligencji (AI Act). Przyznajcie- całkiem opasły zakres aktów prawnych, w którym idzie się pogubić! Dlatego nasz unijny legislator (bardzo lubię to słowo) postanowił go uprościć i ujednolicić. 19 października 2025 r. na stronie Komisji Europejskiej umieszczono tekst zawierający propozycje zmian, jakie miałyby zostać wprowadzone w pakiecie Digital Omnibus. Link do tych zmian znajduje się na końcu tekstu.

Nie minęła chwila i już podniosły się jednoznaczne i zbieżne ze sobą opinie, takie jak: Akt jest za wąski; To jest za szeroka regulacja; To w sumie nic nie zmienia; To obalenie fundamentów RODO czy wreszcie: A w ogóle po co to komu? Nie chce więc zbytnio wchodzić w dyskusje o tym czy ta zmiana to lek na wszystkie bolączki związane z ochroną danych osobowych i obszarami AI oraz komunikacji elektronicznej. Nie mam zamiaru również stawiać jednoznacznych tez o tym czy zmiany te są pozytywne czy negatywne. Dlaczego? Po pierwsze – są to dopiero propozycje zmian. Po drugie – nie widzę potrzeby być wyrocznią w sprawie nieuchwalonych aktów. Postaram się więc streścić dla was te propozycje oraz wskazać co w mojej opinii jest dobre, co złe, jakie widzę plusy takich rozwiązań oraz ewentualne zagrożenia. Dodatkowo postaram się wymienić najważniejsze zmiany, jakie w mojej opinii mogą zostać wprowadzone. Jeżeli jednak coś zwróci Waszą uwagę lub chcecie z czymś polemizować – śmiało a wręcz do tego zachęcam! To co, zaczynamy?
 

SEKCJA Q&A

Po co komu ten akt?

Jego głównym celem jest uproszczenie, wyjaśnienie i skonsolidowanie unijnych aktów prawnych. Ma on harmonizować i upraszczać obowiązujące przepisy. Jest to jednocześnie akt mający realnie wpłynąć na m.in.: administracje publiczną czy też przedsiębiorców działających w Europejskim Obszarze Gospodarczym (EOG). O jakiej skali mówimy? Wstępne szacunki wskazywane w opublikowanej dokumentacji, przewidują oszczędności na poziomie co najmniej 1 mld euro rocznie!

Jakie akty prawne na ten moment obejmie pakiet?

Będą to m.in.: RODO, Data Act, NIS2, DGA, Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (FFDR) czy też Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1024 w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego (Open Data Directive).

Jakie akty prawne z nami pozostaną a jakie znikną?

Na pewno zostaną z nami RODO oraz Data Act, który wchłonie w swoje struktury przepisy z innych aktów prawnych, takich jak np.:
FFDR – kluczowym obszarem, który obejmie przeniesienie jest zakaz stosowania wymogów lokalizacji danych w Unii;
DGA – od niego Data Act otrzyma przede wszystkim przepisy tworzące ramy dla ponownego wykorzystywania danych sektora publicznego, dobrowolny system dla pośredników danych oraz zasady dotyczące altruizmu danych;
Open Data Directive – najważniejszymi przepisami jakie trafią do Data Act będą te obejmujące ponowne wykorzystywanie informacji sektora publicznego, w tym zasady dotyczące zbiorów danych o wysokiej wartości.
Wchłonięcie tych przepisów de facto uchyli obowiązywanie „oddających” swoje przepisy aktów.

No dobrze, ale od kiedy to będzie obowiązywać?!

Odpowiem na to pytanie filmowo, zgodnie z pełną wiedzą, jaką posiadam:

Dokument ten to na ten moment jedynie propozycje. Pamiętajmy więc, że aby wszedł w życie, musi zostać najpierw omówiony, poprawiony i przegłosowany a następnie musi jeszcze minąć pewien okres, po którym zacznie obowiązywać. Nie wydaje się więc aby nastąpiło to np.: za tydzień. W samym projekcie mamy jednak kilka podpowiedzi odnośnie do planowanego tempa prac. Już na stronie 3 i 4 możemy przeczytać:
„The ‘stress-test’ of the digital acquis will also continue through implementation dialogues, as well as with evaluations of all of the main legal instruments. In the current planning, among other initiatives, the Commission is expecting to publish in 2026 a review of the 11 As per separate proposal EN 4 EN Digital Markets Act, of the Digital Decade Policy Programme, the Chips Act, the Audiovisual Media Services Directive, and an evaluation of the Copyright Directive. For 2027, the acts expected to be evaluated include, among others, the Cyber Solidarity Act, the Open Internet Regulation, NIS2 and the Digital Services Act. In 2028, the Commission should evaluate the European Media Freedom Act and the Data Act, for example, followed by an evaluation of the AI Act in 2029 and an evaluation of the sunset clause of the Regulation establishing the European Cybersecurity Competence Centre and Network.”

Dodatkowo projekt Digital Omnibus trafił do zwykłej procedury legislacyjnej w Parlamencie Europejskim i Radzie, co oznacza, że będzie jeszcze podlegał negocjacjom i zmianom przed przyjęciem ostatecznego tekstu. Warto jednak już teraz zwrócić uwagę na kilka terminów wynikających z samego projektu:
– Samo rozporządzenie ma wejść w życie trzeciego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej (Article 11).
– Przepisy wprowadzane przez Omnibusa, co do zasady, mają wejść w życie natychmiast, z wyjątkiem reguł wymagających okresu przejściowego (punkt 1.5.1. FRAMEWORK OF THE PROPOSAL/INITIATIVE).
– Obszary szczególnie objęte okresami przejściowymi to zwłaszcza te dotyczące raportowania, plików cookies i AI.

Ok, ale czy ja jako mały podmiot, coś na tym zyskam?

Jeszcze jak! Uproszczenia w pewnym zakresie zostają rozszerzone na małe przedsiębiorstwa o średniej kapitalizacji (SMC) (Small Mid-Cap companies), które zostaną dodane do pakietu podmiotów uprawnionych do skorzystania z nich. Znajdą się tam tuż obok małych i średnich przedsiębiorstw (MŚP). Kto to ten cały SMC? Otóż, aby nim być, należy spełniać następujące kryteria:
– Nie jesteś MŚP w rozumieniu tych wytycznych,
– Zatrudniasz mniej niż 750 osób, i
– Twój roczny obrót nie przekracza 150 mln euro lub roczna suma bilansowa nie przekracza 129 mln euro.

Dodatkowo warto zwrócić na usługi chmurowe. Zmiany wprowadzają lżejsze, specyficzne wymogi dotyczące zmiany dostawcy (switching) dla usług tworzonych na zamówienie (custom-made) oraz dla usług świadczonych przez MŚP i SMC, jeśli umowy te zostały zawarte przed 12 września 2025 r.

Czy istnieją jakieś potencjalne zagrożenia?

Owszem! Po analizie propozycji rzuciło mi się w oczy wiele problemów, jakie muszą zostać moim zdaniem rozwiązane lub odpowiednio zabezpieczone. Poniżej opisał kilka z nich.
Po pierwsze głównym zagrożeniem wynikającym z Digital Omnibus w obszarze danych osobowych jest zachowanie balansu pomiędzy innowacyjnością (trenowaniem modeli AI) a zachowaniem wysokich standardów RODO. Istnieje obawa, że przesunięcie akcentu z aktywnej zgody na bierny sprzeciw może teoretycznie osłabić prawa obywateli. Ma to więc bezpośredni wpływ na poziom bezpieczeństwa naszych danych.

Następnie wskazałbym na to, że Digital Omnibus, który ma na celu ochronę danych osobowych, wprowadza pewien margines tolerancji dla sytuacji, w których śladowe ilości danych szczególnych kategorii (dane wrażliwe, np. o zdrowiu lub orientacji seksualnej) trafią do zbiorów treningowych, pomimo stosowania filtrów. Jest to uznawane za „śliski grunt” z perspektywy klasycznego odczytania RODO i rodzi pytania o to, czy prawo ma dostosować się do ograniczeń technologii.

Wreszcie Digital Omnibus wprowadza pakiet rozwiązań, które co do zasady zapewniają zwiększony poziom ochrony tajemnic handlowych. Istnieje ryzyko, że zawarty w nich mechanizm odmowy udostępnienia danych, zostanie użyty w sposób niezasadny i nagminny w odniesieniu do każdego państwa trzeciego. Istnieje bowiem obawa o brak zachowania proporcjonalności i indywidualności kosztem potencjalnie zaoszczędzonego czasu. Może to podważyć jeden z celi Data Act, jakim jest wspieranie innowacji opartych na danych
 

NAJWAŻNIEJSZE ZMIANY, JAKIE MOIM ZDANIEM ZOSTAŁY ZAPROPONOWANE

1. Doprecyzowanie Definicji Danych Osobowych w RODO

Co w praktyce oznacza takie rozszerzenie? Aby uznać informacje za daną osobową, to podmiot, który taką informacje uzyska, oprócz spełnienia pozostałych warunków, musi mieć realną możliwość zidentyfikowania osoby, której ta informacja dotyczy. Jeżeli jednak nie może tego zrobić, to nie uznajemy tych danych za dane osobowe. Co więcej, jeśli taki podmiot przesyłałby te informacje dalej do innego podmiotu a ten mógłby zidentyfikować te osobę, to nadal dla podmiotu przesyłającego nie będą to dane osobowe.
Moi zdaniem jest to ważna zmiana, którą oceniam pozytywnie. Ogranicza to bowiem sytuacje, gdy dojdzie do przypadkowej wysyłki danych, które musiały być zgłaszane do organu nadzorczego. Dodatkowo jest to definicja dużo bardziej oddająca codzienne realia pracy z danymi osobowymi. Daje klasyczną okejkę!

2. Zgłaszania naruszeń związanych z danymi osobowymi

Tutaj również większość zmian należy ocenić na plus. Wydłużenie terminu pozwala na lepsze przygotowanie się na ewentualne pytania ze strony organu. Z drugiej strony pozwala w końcu na mniej nerwowych piątków, a te przy pracy z danymi bywają… ciężkim doświadczeniem. Idąc dalej – podwyższenie stopnia ryzyka, od którego należy zgłaszać je do organu, również oceniam pozytywnie. Po pierwsze jest to podejście zdecydowanie probiznesowe. Po drugie z praktyki wiadomo, że organ często przy wyłącznym zgłoszeniu uznawał, że w tej sprawie jednak konieczne jest również zawiadomienie i stopień zagrożenia został źle oceniony przez administratora. Taka zmiana niweluje możliwość wystąpienia takiej pomyłki, bowiem zrównuje stopień zgłoszenia i zawiadomienia.
Największe obawy posiadam w zakresie formularza. Nie ukrywam, że ciężko będzie w mojej opinii dostosować go odpowiednio dla wszystkich państw. Pamiętajmy, że jest to zwiazane z różnymi przepisami, do jakich organy i podmioty muszą dostosować się w poszczególnych częściach UE. Z drugiej strony ujednolicony formularz przyśpieszy współpracę międzynarodową oraz może pomóc w ujednoliceniu pracy organów. Należy więc poczekać na publikacje wzoru.

3. Jeden punkt do zgłaszania wielu naruszeń?

Jak wskazano w projekcie:
„The proposal establishes the obligation on ENISA to develop the single entry-point, taking into account the single-reporting platform for notifications of actively exploited vulnerabilities and sever incidents under Regulation (EU) 2024/2847 (the Cyber Resilience Act (CRA)). It mandates specific requirements for the tool, as a secure conduit of information reported by entities and dispatched to the competent authorities. It leaves unchanged the underlying legal requirements for incident reporting but optimizes significantly the workflow and the resources required from entities.
The proposal also mandates the use of the single-entry point for a series of closely interconnected incident reporting obligations set in the Directive (EU) 2022/2555 (NIS2 Directive), Regulation (EU) 2016/679 (GDPR), Regulation (EU) 2022/2554 (DORA), Regulation (EU) 910/2014 (eIDAS Regulation), and Directive (EU) 2022/2557 (CER Directive). Other sectorial reporting obligations, such as those set out in the framework of the network code on cybersecurity aspects of cross-border electricity flows (NCCS) and the relevant instruments for the aviation sector, will also be brought under the single-entry point through amendments to the respective delegated and implementing acts that establish the reporting obligations under those frameworks.”.
Jeżeli faktycznie dojdzie do stworzenie jednolitej platformy, dzięki której można będzie zgłosić naruszenia związane z kilkoma obszarami, to byłoby to rozwiązanie niezwykle korzystne dla biznesu. Ułatwiłoby to pracę z naruszeniami, ograniczyło ilość pomyłek co do prawidłowych zgłoszeń oraz odciążyło kosztowo infrastrukturę. Minusem mogłyby być potencjalne awarie. Jeżeli padłaby jedna platforma, zgłoszenia byłyby niedostępne dla wszystkich spraw. Pozostają wtedy zgłoszenia w wersji analogowej, co może wydłużyć rozpatrywanie sprawy.

4. Zmiany w zakresie ciasteczek

Pliki cookies – każdy zna, każdy korzystał, każdy nienawidzi ciągłego klikania w banery informujące o nich.  W dodatku ciężko to zrozumieć, porozrzucane to po przepisach i jeszcze takie niepotrzebne. No, to również w tym zakresie planowane są zmiany. Przede wszystkim zasady dotyczące przechowywania i uzyskiwania dostępu do danych osobowych na urządzeniach końcowych (cookies i podobne technologie), zostają przeniesione z ePrivacy Directive do RODO (powstanie nowy art. 88a RODO). Dodatkowo administratorzy muszą zapewnić, że ich interfejs umożliwiają podmiotom danych automatyczne i maszynowo czytelne wyrażenie zgody lub odmowy/sprzeciwu. W tym celu powstanie nowy art. 88b RODO. UWAGA! Zgodnie z propozycjami, jeśli podmiot danych odmówi wyrażenia zgody, administrator nie może ponowić prośby o zgodę na ten sam cel przez okres co najmniej sześciu miesięcy!!! Jest to niezwykle poważna zmiana, która będzie wymagać od administratorów szeregu zmian w infrastrukturze cookies. Na szczęście zmiany te zaczną obowiązywać po upływie 6 miesięcy od dnia wejściu w życie omawianego Rozporządzenia.

5. Dodatkowa ochrona tajemnic handlowych

Zgodnie z projektem Rozporządzenia, do Data Act zostanie dodany przepis, na podstawie którego posiadacz danych może w wyjątkowych przypadkach odmówić ujawnienia tajemnic handlowych użytkownikowi. Dzieje się tak, jeżeli istnieje wysokie ryzyko bezprawnego pozyskania, wykorzystania lub ujawnienia tych danych państwom trzecim lub podmiotom pozostającym pod ich kontrolą, które podlegają jurysdykcjom zapewniającym słabszą ochronę niż jurysdykcje Unii. Jest to niewątpliwie krok w stronę walki z kradzieżami patentów, osłabianiem rynków oraz nielegalnym wykorzystywaniem przedsiębiorców i ich dorobku. Oczywiście pamiętajmy, że odmowa musi być należycie uzasadniona i proporcjonalna, a więc dostosowana każdorazowo do konkretnego przypadku. Dodatkowo podmiot odmawiający podania danych ma obowiązek powiadomić o tym właściwy organ.

Europejskie Portfele Biznesowe (European Business Wallets)
Kolejnym pomysłem są European Business Wallets (EBW). Jest to osobny projekt Rozporządzenia przedstawiony w ramach pakietu uproszczeń. EBW to w założeniu bezpieczne cyfrowe narzędzie przeznaczone dla przedsiębiorstw, służące jako jednolita, interoperacyjna platforma. Za jej pomocą możliwe będzie:
zdalne, cyfrowe potwierdzanie tożsamości;
podpisywanie i wysyłanie oficjalnych dokumentów; oraz
udostępniania licencji i certyfikatów w postaci cyfrowej z pełną mocą prawną.
Jeśli kojarzy Wam się to z wieloma rozwiązaniami z polskiej administracji, to witam w klubie! Jestem ciekawy czy rozwiązania te będą choć częściowo wzorowane na naszych e-urzędach lub portalach takich jak biznes.gov.pl. Osobiście kibicuje temu pomysłowi, choć mam nadzieję, że nie zepsuje one obecnej u nas infrastruktury.

Zasady przetwarzania danych a AI
Kiedy słyszymy hasło AI, to coraz rzadziej mamy przed oczami wizje rodem z Elektronicznego mordercy (tak, to polskie tłumaczenie… Terminatora) czy też fenomenalnego, lecz niezwykle paskudnego opowiadania Harlana Ellisona I Have No Mouth, and I Must Scream (ciekawostka – oprócz opowiadania, w 1995 r. wyszła również gra oparta na opowiadaniu. Można ją dorwać np.: na platformie Steam. Oba tytuły są jednak niezwykle brutalne i poruszają niezwykle trudne tematy, dlatego zalecam zachowanie ostrożności!). O wiele częściej widzimy w nim narzędzie, które pozwala na przyśpieszenie naszej pracy oraz ułatwienie jej na wielu płaszczyznach. Sam korzystam z tych produktów, np.: przy wyszukiwaniu inspiracji do zadań, jakie umieszczam w swojej grze planszowej.
Omawiane przez nas Rozporządzenie zajęło się również tematem przetwarzania danych przez AI. Najważniejszą i najszerzej dyskutowaną zmianą jest doprecyzowanie możliwości przetwarzania danych osobowych na potrzeby trenowania, testowania i walidacji modeli AI w oparciu o „prawnie uzasadniony interes” administratora. To olbrzymia zmiana z modelu opt-in (wymagającego aktywnej zgody podmiotu danych) na model kontrolowanego opt-out, który dopuszcza przetwarzanie do momentu wyrażenia sprzeciwu. Takie podejście ma w opinii legislatora urealnić zasady dot. trenowania modeli na ogromnych zbiorach danych, gdzie pozyskanie indywidualnej zgody jest technicznie i organizacyjnie niewykonalne. Zmiana ta rodzi jednak największe wątpliwości a jej krytycy określają ją jako próba „pełzającej rewizji RODO”. Sam osobiście widzę kilka zagrożeń związanych z tym modelem, np.: powstawanie kolejnych „farm” zbierających nasze dane do trenowania AI bez naszej wiedzy czy też zrobienie z naszych danych kolejnych wkładów do maszynki produkującej dla właścicieli portali społecznościowych kolejne miliardy dolarów/euro/jakiejkolwiek waluty.
Wprowadzono również zasady dotyczące „resztkowej” obecności danych wrażliwych (np. o zdrowiu czy poglądach politycznych) w zbiorach treningowych. Toleruje się ich śladowe ilości, pod warunkiem, że organizacja wdrożyła odpowiednie środki techniczne i organizacyjne w celu unikania ich gromadzenia, a ich usunięcie wiązałoby się z nieproporcjonalnym wysiłkiem. Jest to szczególne odstępstwo, zwłaszcza dla danych szczególnej kategorii, jednak powinno mieć zastosowanie wyłącznie w określonych przypadkach!
Istotne zmiany zachodzą również w zakresie przetwarzania danych dot. biometrii. Otóż dla przetwarzania danych biometrycznych wprowadza się zasadę, że mogą być one przetwarzane w celu potwierdzenia tożsamości (np.: weryfikacji użytkownika), o ile dane biometryczne lub środki weryfikacji znajdują się pod wyłączną kontrolą podmiotu danych. Oznacza to, jak wskazują Agnieszka Witaszek i Martyna Taciak-Jankowiak w swoim artykule, że aplikacja służąca do weryfikacji podmiotu, musiałaby znajdować się na jego urządzeniu. Zgadzam się z Paniami w tym zakresie i tak jak one wyrażam pogląd, że uniemożliwia to trzymania takich urządzeń w chmurach należących do administratorów.
Powyższe zmiany, zwłaszcza w zakresie omawianego prawnie uzasadnionego interesu, wymuszają na administratorach:
– Przeprowadzenie i udokumentowanie szczegółowego testu równowagi, wykazującego, że interes administratora nie narusza praw i wolności osób, których dane dotyczą.
– Zapewnienie realnej minimalizacji danych na każdym etapie cyklu życia modelu AI.
– Wdrożenie przejrzystych i łatwo dostępnych mechanizmów prawa do sprzeciwu (opt-out), które muszą być bezwarunkowe i skutecznie respektowane, w tym poprzez poszanowanie sygnałów technicznych osadzonych w usłudze, które ograniczają wykorzystanie danych do rozwoju AI.
Jak więc widać, administratorzy chcący korzystać z tych rozwiązań, mają przed sobą wiele pracy. Szczególnym obszarem na jaki powinni zwrócić uwagę muszą być zabezpieczenia techniczne oraz procedury wewnętrzne dot. bezpieczeństwa.

Zmiany w zakresie realizacji praw podmiotów, który dane osobowe przetwarzamy

Zmiany mają zajść również w obszarze spełniania żądań podmiotów danych. Przede wszystkim uproszczono prawo do odmowy realizacji wniosku wynikającego z art. 12 RODO. Zmiany zakładają, że jeżeli wniosek wynikający z art. 15 RODO (treść przepisu znajdziecie tutaj,) byłby ewidentnie bezzasadny lub nadmierny, to administrator może odmówić jego spełnienia lub zażądać rozsądnej opłaty. Ciężar udowodnienia tego, że wniosek był obarczony przynajmniej jedną z tych wad, leży po stronie administratora.
Uproszczona również ma zostać procedura realizacji obowiązku informacji wobec osób, od których bezpośrednio pozyskaliśmy ich dane osobowe (art. 13 RODO). Uproszczenie to ma zastosowanie w sytuacjach, w których powstaną pewne uzasadnione podstawy. Jakie? Przede wszystkim należy móc faktycznie oczekiwać, że podmiot danych już posiada informacje o administratorze, któremu przekazuje swoje dane osobowe. Wyjątki, kiedy zasada ta nie będzie obowiązywać? Proszę:
administrator przekazuje dane innym odbiorcom lub kategoriom odbiorcom,
administrator będzie przekazywać dane do państwa trzeciego
administrator będzie podejmował zautomatyzowane decyzje; lub
przetwarzanie danych może spowodować wysokie ryzyko dla praw osoby, której dane dotyczą.
Wreszcie zmianami ma zostać dotknięty art. 22 RODO. Zostaną wyjaśnione wymogi dotyczące zautomatyzowanego podejmowania decyzji indywidualnych w kontekście zawierania lub wykonywania umowy między osobą, której dane dotyczą, a administratorem danych. Kiedy taka decyzja może zostać podjęta? Oto trzy sytuacje:
wymóg tak zwanej konieczności jest niezależny od tego, czy decyzja mogłaby zostać podjęta w inny sposób niż wyłącznie za pomocą środków zautomatyzowanych;
jej podjęcie jest zgodne z prawem UE lub państwa członkowskiego, któremu podlega administrator; lub
opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

PODSUMOWANIE

Zmiany są nieuniknione i dotykają nawet biedne RODO – nie pomyślał nikt, nigdy, gdy musiał gasić pożar z danymi w piątek o godzinie 17. Proponowane zmiany jednak musiały nadejść. Od lat praktycy wskazują na liczne problemy regulacyjne i interpretacyjne, jakie powstają w związku z ochroną danych, marketingiem elektronicznym, AI czy też chmurami. Choć proponowane rozwiązania nie są idealne, tak myślę, że jest to na wielu płaszczyznach raczej krok w dobrą stronę. Jednocześnie rozumiem część obaw, które zostały wskazane chociażby w tym tekście. Sam uważam, że dzisiejszy świat to targ, w którym walutą jest każda informacja o nas (niezmiennie polecam w tym miejscu Shoshana Zuboff i jej książkę „Wiek kapitalizmu inwigilacji”). Co najważniejsze – istnieje jeszcze możliwość zgłaszania uwag i zmian treści zaproponowanych przepisów. Możemy więc realnie wpłynąć na ich brzmienie i pokazać, że jako społeczeństwo interesujemy się tym tematem. Możecie je wyrazić klikając w ten odnośnik. Jak zatem będzie wyglądać cyfrowy świat w przyszłości? To pokaże czas. Czas również na mnie. Mam nadzieję, że uda mi się szybko tutaj wrócić. Do następnego!
 
Źródła
Tytułowy cytat pochodzi z książki Dana Browna, Kod Leonarda da Vinci, Wydawca: SONIA DRAGA spółka z o.o., Katowice, 2023, ISBN: 9788382306361;
Digital Omnibus Regulation Proposal, https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal, dostęp na 26.11.2025 r.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji)
Simpler EU digital rules and new digital wallets to save billions for businesses and boost innovation, https://ec.europa.eu/commission/presscorner/detail/en/ip_25_2718, dostęp na 26.11.2025 r.
Zalecenie Komisji z dnia 6 maja 2003 r. w sprawie definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (notyfikowane jako dokument nr C (2003) 1422) (Dz.U. L 124 z 20.05.2003, s. 36–41)
Mikroprzedsiębiorstwa oraz małe i średnie przedsiębiorstwa – definicja i zakres, https://eur-lex.europa.eu/PL/legal-content/summary/micro-small-and-medium-sized-enterprises-definition-and-scope.html, dostęp na 26.11.2025 r.
Anna Witaszek, Martyna Taciak-Jankowska, Digital Omnibus – Komisja chce zmienić RODO, https://ssw.solutions/digital-omnibus-komisja-chce-zmienic-rodo/, dostęp na 27.11.2025 r.
Digital Omnibus – pierwsza analiza prawna, https://noyb.eu/pl/digital-omnibus-first-legal-analysis, dostęp na 26.11.2025