Cyfrowy Omnibus to zapowiadany pakiet zmian legislacyjnych na poziomie UE, który ma ambicję uporządkować i uprościć coraz bardziej złożony krajobraz regulacyjny wokół danych, sztucznej inteligencji i odpowiedzialności cyfrowej. Jego celem nie jest osłabienie ochrony danych osobowych, lecz zmniejszenie kosztów compliance, szczególnie dla mniejszych i średnich przedsiębiorstw, przy jednoczesnym zachowaniu wysokich standardów bezpieczeństwa.
W tym artykule wyjaśniamy:
- jak może zmienić się definicja danych osobowych i dlaczego to dobra wiadomość dla mniejszych firm,
- kiedy incydent będzie uznany za „prawdopodobnie wysokiego ryzyka”,
- oraz czemu 96 godzin na zgłoszenie naruszenia może wkrótce stać się nowym standardem.
Czym jest Cyfrowy Omnibus i skąd się wziął?
Cyfrowy Omnibus nie jest jedną nową ustawą, lecz pakietem skoordynowanych zmian do już obowiązujących i wchodzących w życie regulacji, takich jak RODO, AI Act czy Data Act. Komisja Europejska dostrzegła, że:
- te same pojęcia są różnie definiowane w różnych aktach prawnych,
- obowiązki sprawozdawcze często się dublują,
- a małe i średnie firmy ponoszą nieproporcjonalnie wysokie koszty dostosowania się do prawa.
Omnibus ma więc pełnić rolę „legislacyjnego uproszczenia” – bez rewolucji w fundamentach ochrony danych, ale z wyraźną korektą praktycznych obowiązków.
Jak zmieni się definicja „danych osobowych”?
Najważniejsza proponowana zmiana dotyczy doprecyzowania, kiedy dane rzeczywiście są danymi osobowymi, a kiedy ryzyko identyfikacji osoby jest jedynie teoretyczne.
Stan obecny
Dziś za dane osobowe często uznaje się informacje, które:
- potencjalnie mogą prowadzić do identyfikacji osoby,
- nawet jeśli administrator nie ma realnych środków, by tej identyfikacji dokonać.
W praktyce prowadzi to do sytuacji, w której:
- dane silnie zagregowane,
- pseudonimizowane zestawy danych,
- dane techniczne (np. logi systemowe)
są traktowane tak samo jak imię, nazwisko czy numer PESEL.
Co ma się zmienić?
Cyfrowy Omnibus zakłada przesunięcie akcentu na realistyczną możliwość identyfikacji, a nie czysto hipotetyczną.
Oznacza to, że:
- dane będą uznane za osobowe tylko wtedy, gdy przy użyciu rozsądnych środków możliwe jest przypisanie ich do konkretnej osoby,
- ocena będzie uwzględniać skalę działalności administratora, dostępne technologie i koszty.
Co to oznacza dla mniejszych firm?
Dla MŚP to potencjalnie ogromna zmiana:
- mniej obowiązków dokumentacyjnych,
- mniej DPIA (ocen skutków dla ochrony danych),
- mniejsze ryzyko sankcji za „nadinterpretację” pojęcia danych osobowych.
Kiedy incydent stanie się „prawdopodobnie wysokiego ryzyka”?
Jednym z najbardziej problematycznych elementów RODO jest dziś ocena ryzyka naruszenia praw lub wolności osób fizycznych. W praktyce wielu administratorów:
- zgłasza niemal każdy incydent „na wszelki wypadek”,
- traktuje UODO jako „bezpiecznik” chroniący przed zarzutem zaniechania.
Nowe podejście w Cyfrowym Omnibusie
Pakiet zmian ma wprowadzić bardziej obiektywne kryteria oceny, kiedy ryzyko staje się „prawdopodobnie wysokie”.
Pod uwagę mają być brane m.in.:
- rodzaj danych (zwykłe vs. szczególne kategorie),
- skala naruszenia (liczba osób, zakres danych),
- łatwość identyfikacji osoby,
- realne skutki (kradzież tożsamości, straty finansowe, dyskryminacja).
Efekt praktyczny
Drobne incydenty techniczne, takie jak:
- krótkotrwały dostęp pracownika do danych,
- błędnie zaadresowany e-mail bez danych wrażliwych,
nie będą automatycznie kwalifikowane jako wysokiego ryzyka.
To oznacza mniej zgłoszeń „na zapas” i bardziej racjonalne podejście do naruszeń.
Dlaczego 96 godzin na zgłoszenie naruszenia może stać się normą?
Obecnie RODO przewiduje 72 godziny na zgłoszenie naruszenia od momentu jego stwierdzenia. W praktyce termin ten bywa:
- zbyt krótki na rzetelną analizę,
- trudny do dochowania w weekendy i święta,
- źródłem zgłoszeń niekompletnych lub przedwczesnych.
Propozycja Cyfrowego Omnibusa
Nowe podejście zakłada:
- wydłużenie terminu do 96 godzin,
- większy nacisk na jakość zgłoszenia, a nie jego szybkość.
Co to zmienia?
Administratorzy i IOD:
- zyskają czas na realną ocenę ryzyka,
- będą mogli zebrać pełniejsze informacje techniczne,
- ograniczą liczbę korekt i uzupełnień po zgłoszeniu.
Dla organów nadzorczych oznacza to z kolei mniej chaosu informacyjnego i lepszą jakość danych o incydentach.
Jak Cyfrowy Omnibus wpłynie na rolę administratora i IOD?
Pakiet zmian nie znosi odpowiedzialności, ale ją porządkuje.
Administrator danych:
- będzie podejmował decyzje w oparciu o bardziej precyzyjne kryteria,
- ograniczy nadmierną ostrożność generującą koszty,
- zyska większą pewność prawną.
Inspektor ochrony danych:
- skupi się na realnych zagrożeniach,
- zamiast „odhaczania” formalnych obowiązków,
- stanie się bardziej doradcą strategicznym niż strażnikiem procedur.
Podsumowanie – mniej formalizmu, więcej sensu
Cyfrowy Omnibus to sygnał, że UE dostrzega zmęczenie regulacyjne przedsiębiorców. Zmiany w definicji danych osobowych, ocenie ryzyka i terminach zgłoszeń mogą realnie:
- obniżyć koszty compliance,
- zmniejszyć liczbę niepotrzebnych obowiązków,
- poprawić jakość ochrony danych zamiast jej pozorowania.
Jeżeli jesteś administratorem danych lub inspektorem ochrony danych, warto już teraz przygotować się na te zmiany i przeanalizować, jak wpłyną one na Twoje procedury wewnętrzne.u ewentualnych postępowań.
Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna
Stan prawny na dzień 14 stycznia 2026 r.
Autor / Redaktor cyklu:
