Co Komisja faktycznie zaproponowała
19 listopada 2025 roku Komisja Europejska opublikowała Digital Omnibus, pakiet, który zmieniłby RODO obok przepisów o e-prywatności, aktu w sprawie danych oraz innych regulacji prawa cyfrowego. Jest to pierwsza poważna próba zrewidowania RODO od czasu wejścia rozporządzenia w życie w maju 2018 roku. Deklarowanym celem jest uproszczenie: mniej obowiązków administracyjnych dla przetwarzania o niższym ryzyku, jaśniejsze definicje oraz jeden punkt zgłaszania incydentów w ramach kilku instrumentów prawa unijnego.
Kilka zmian ma znaczenie dla firmy prowadzonej przez właściciela. Obowiązek powołania inspektora ochrony danych zostałby zawężony, tak aby mniej przedsiębiorstw było zobowiązanych do jego wyznaczenia. Definicja danych osobowych zostałaby doprecyzowana, ze szczególnym uwzględnieniem danych spseudonimizowanych, tak aby informacje mogły nie być uznawane za osobowe dla firmy, która nie ma rozsądnych środków, by zidentyfikować stojącą za nimi osobę. Zwolnienie z prowadzenia rejestru czynności przetwarzania wzrosłoby w stronę większej liczby pracowników, a zgłaszanie naruszeń przesunięto by z okna 72-godzinnego na 96-godzinne i obowiązywałoby wyłącznie tam, gdzie ryzyko dla osób jest wysokie.
Dlaczego jest to wniosek, a nie prawo
Nic z tego nie obowiązuje. Digital Omnibus to projekt rozporządzenia, który wszedł do zwykłej procedury ustawodawczej UE, co oznacza, że musi zostać wynegocjowany i uzgodniony przez Parlament Europejski oraz Radę Unii Europejskiej, zanim będzie mógł zostać przyjęty. Teksty wchodzące do tej procedury są rutynowo zmieniane, a część tego jest już przerabiana. Według obecnych harmonogramów ostatecznego przyjęcia należy spodziewać się najwcześniej pod koniec 2026 lub w 2027 roku, a wszelkie nowe obowiązki miałyby wówczas własne terminy przejściowe.
Reforma jest także kwestionowana przez instytucje, które nadzorują ochronę danych. We wspólnej opinii z 11 lutego 2026 roku Europejska Rada Ochrony Danych oraz Europejski Inspektor Ochrony Danych przyjęli z zadowoleniem część uproszczeń, w tym lżejszy reżim zgłaszania naruszeń, stanowczo sprzeciwiając się jednocześnie węższej definicji danych osobowych oraz uprawnieniu, które dałoby ono Komisji do rozstrzygania w drodze aktu wykonawczego, co uznaje się za dane osobowe po pseudonimizacji. Ta rozbieżność jest wyraźnym sygnałem, że ostateczne brzmienie nie zostało jeszcze ustalone.
Co właściciel powinien teraz zrobić
Błąd łatwo popełnić w obu kierunkach. Jeden polega na całkowitym zignorowaniu reformy i zostaniu nieprzygotowanym, gdy obowiązki w końcu się zmienią. Drugi, bardziej kosztowny, to rozpoczęcie demontażu własnego systemu ochrony danych już teraz, na podstawie samego wniosku: odwołanie inspektora ochrony danych, usuwanie rejestrów lub poluzowanie procedur naruszeń, podczas gdy obecne RODO pozostaje w pełni w mocy i w pełni egzekwowalne. Do czasu przyjęcia dzisiejsze przepisy obowiązują w całości, a organy nadzorcze wciąż mogą na ich podstawie działać.
Wyważona reakcja to śledzenie sprawy i planowanie z jej uwzględnieniem, a nie działanie na jej podstawie. Odnotuj, które z twoich obecnych obowiązków złagodziałyby, gdyby wniosek przeszedł w mniej więcej obecnej postaci, oraz gdzie zmiana rzeczywiście obniżyłaby realny koszt lub realne ryzyko dla twojej firmy. Utrzymaj obecną zgodność w nienaruszonym stanie, obserwuj etapy w Parlamencie i Radzie oraz opinie nadzoru i bądź gotowy, by zadziałać szybko, gdy znany będzie ostateczny tekst i jego terminy przejściowe. Zdyscyplinowana gotowość kosztuje niewiele. Przedwczesny demontaż naraża cię dla korzyści, która jeszcze nie istnieje.
Czytaj dalej: Kara na papierze nie jest ostateczna · Twój rachunek za AI nie ma już górnego limitu