Cyfrowy omnibus: EROD i EIOD wspierają uproszczenie i konkurencyjność, zgłaszając jednocześnie obawy

Europejska Rada Ochrony Danych (EROD) oraz Europejski Inspektor Ochrony Danych (EIOD) przyjęły wspólną opinię na temat wniosku dotyczącego rozporządzenia w sprawie Cyfrowego Omnibusa.* Wniosek ten ma na celu uproszczenie cyfrowych ram regulacyjnych UE, zmniejszenie obciążeń administracyjnych oraz zwiększenie konkurencyjności organizacji europejskich.

EROD i EIOD koncentrują się na aspektach dotyczących RODO, Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (dalej EUDPR) oraz dyrektywy o prywatności i łączności elektronicznej oraz Data Aquis**. W szczególności organy oceniają, czy wniosek 1) prowadzi do rzeczywistego uproszczenia i ułatwia zgodność z przepisami, 2) zwiększa pewność prawną oraz 3) wpływa na podstawowe prawa osób fizycznych.

Zmiany w RODO i EUDPR

Zmiany budzące poważne obawy

Niektóre proponowane zmiany budzą poważne obawy, ponieważ mogą negatywnie wpływać na poziom ochrony przysługującej osobom fizycznym, tworzyć niepewność prawną i utrudniać stosowanie prawa o ochronie danych osobowych.

EROD i EIOD zdecydowanie wzywają współprawodawców, aby nie przyjmowali proponowanych zmian w definicji danych osobowych, ponieważ wykraczają one daleko poza celową lub techniczną zmianę RODO. Ponadto nie odzwierciedlają one dokładnie orzecznictwa TSUE i wyraźnie wykraczają poza jego zakres, co spowodowałoby znaczne zawężenie pojęcia danych osobowych. Komisja Europejska nie powinna mieć możliwości decydowania w drodze aktu wykonawczego o tym, co nie jest już danymi osobowymi po pseudonimizacji, ponieważ ma to bezpośredni wpływ na zakres stosowania unijnego prawa o ochronie danych.

„Uproszczenie jest niezbędne, aby ograniczyć biurokrację i wzmocnić konkurencyjność UE, ale nie może odbywać się to kosztem praw podstawowych. Z zadowoleniem przyjmujemy działania Komisji na rzecz większej harmonizacji, spójności i pewności prawnej. Jednakże zdecydowanie wzywamy współprawodawców, aby nie przyjmowali proponowanych zmian w definicji danych osobowych, ponieważ grożą one znacznym osłabieniem ochrony danych osobowych” – powiedziała Przewodnicząca EROD, Anu Talus.

"Zdecydowanie apelujemy do współprawodawców, aby nie przyjmowali proponowanych zmian w definicji danych osobowych. Te zmiany nie są zgodne z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej i znacznie zawęziłyby pojęcie danych osobowych.  Musimy zadbać o to, by wszelkie zmiany w RODO i EUDPR rzeczywiście wyjaśniały obowiązki i zapewniały pewność prawną, jednocześnie zachowując zaufanie oraz wysoki poziom ochrony praw i wolności jednostki." – powiedział Europejski Inspektor Ochrony Danych, Wojciech Wiewiórowski.

Kroki we właściwym kierunku

EROD i EIOD opowiadają się za podwyższeniem progu ryzyka powodującego obowiązek zgłoszenia naruszenia ochrony danych właściwemu organowi nadzorczemu oraz przedłużeniem terminu na złożenie takiego zgłoszenia. Znacznie zmniejszyłoby to obciążenia administracyjne dla organizacji, tym samym nie wpływając na ochronę danych osobowych osób fizycznych. Ponadto pozytywnie oceniono proponowane wspólne szablony i wykazy dotyczące naruszeń ochrony danych oraz ocen skutków dla ochrony danych.

ERIOD i EIOD z zadowoleniem przyjmują również proponowane wprowadzenie nowego odstępstwa dotyczącego przetwarzania szczególnych kategorii danych do uwierzytelniania biometrycznego, gdzie środki weryfikacji są pod wyłączną kontrolą danej osoby.

Wreszcie, popierają harmonizację pojęcia "badań naukowych" i innych powiązanych zmian, ponieważ zwiększają one pewność prawną i pomagają w dalszej harmonizacji.

Zmiany wymagające dopracowywania

Jak stwierdzono w Opinii EROD 28/2024 w sprawie modeli AI, uzasadniony interesmoże być w niektórych przypadkach wykorzystywany jako podstawa prawna w kontekście rozwoju i wdrażania modeli lub systemów AI. Dlatego EROD i EIOD nie uważają za konieczne uwzględnianie szczególnego przepisu na ten temat w RODO.

ERIOD i EIOD z zadowoleniem przyjmują zawarty we wniosku cel wprowadzenia szczególnego odstępstwa od zakazu przetwarzania danych wrażliwych, pod pewnymi warunkami, obejmującego przypadkowe i resztkowe przetwarzanie takich danych w kontekście opracowywania i działania systemów lub modeli sztucznej inteligencji. Zalecają jednak kilka ulepszeń, takich jak wyjaśnienie zakresu odstępstwa i zapewnienie zabezpieczeń w całym cyklu życia.

EROD i EIOD zgadzają się z celem Komisji, jakim jest zapewnienie administratorom danych jasności prawnej w sytuacjach, gdy osoby, których dane dotyczą, nadużywają swoich praw. Uważają jednak, że wykonywanie prawa dostępu do danych w celach innych niż ochrona danych osobowych nie powinno być czynnikiem definiującym nadużycie. W odniesieniu do nowego odstępstwa dotyczącego przejrzystości EROD i EIOD popierają uproszczenie wymogów informacyjnych i zmniejszenie obciążeń administracyjnych, w szczególności dla MŚP, ale sugerują wprowadzenie wyjaśnień w celu zapewnienia pewności prawnej i zagwarantowania, że osoby fizyczne nadal będą mogły w razie potrzeby uzyskać odpowiednie informacje na temat swoich danych.

Wreszcie, zmiany wprowadzone do przepisów dotyczących zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach powinny zostać wyjaśnione, aby zmiany te były racjonalne i zgodne z prawem.

Zmiany w dyrektywie o prywatności i łączności elektronicznej

EROD i EIOD zdecydowanie popierają cel, jakim jest zapewnienie rozwiązania regulacyjnego w celu rozwiązania problemu przeciążenia prośbami o zgodę (ang. consent fatigue) i rozpowszechnienia banerów dotyczących wykorzystywania plików cookie. Odnosi się to na przykład do proponowanych wymogów dotyczących stosowania automatycznych i nadających się do odczytu maszynowego wskazań wyborów dokonywanych przez osoby fizyczne w odniesieniu do przetwarzania ich danych. Wykorzystanie środków technicznych może uprościć przestrzeganie przepisów przez administratorów danych i pomóc osobom fizycznym w skutecznym dokonywaniu wyborów w Internecie.

EROD i EIOD z zadowoleniem przyjmują również ograniczone dodatkowe odstępstwa od ogólnego zakazu przechowywania danych osobowych w urządzeniach końcowych lub uzyskiwania do nich dostępu i wzywają współprawodawców do promowania reklamy kontekstowej zamiast reklamy behawioralnej poprzez dodanie konkretnego wyjątku objętego pewnymi zabezpieczeniami.

EROD i EIOD z zadowoleniem przyjmują fakt, że nadzór nad tymi kwestiami zostanie powierzony organom nadzorczym. Jednocześnie EROD i EIOD zwracają uwagę na trudności prawne i techniczne wynikające ze współistnienia dwóch różnych systemów dotyczących danych osobowych i danych nieosobowych. Przedstawiają również dodatkowe zalecenia mające na celu zwiększenie pewności prawnej, zminimalizowanie ryzyka i wspieranie odpowiedzialnych innowacji.

Zmiany w Data Acquis

EROD i EIOD popierają uproszczenie dorobku prawnego w zakresie danych poprzez włączenie do Aktu w sprawie danych przepisów Aktu w sprawie zarządzania danymi oraz dyrektywy w sprawie otwartych danych dotyczących ponownego wykorzystywania danych i dokumentów będących w posiadaniu organów sektora publicznego.

W odniesieniu do dostępu udzielanego przez organy publiczne w celu ponownego wykorzystania, zalecają utrzymanie jasności obecnych ram prawnych, a mianowicie tego, że nie zobowiązują one organów sektora publicznego do zezwalania na ponowne wykorzystanie, ani nie stanowią podstawy prawnej do udzielania dostępu.

W odniesieniu do sytuacji nadzwyczajnych EROD i EIOD zalecają potwierdzenie, że dane osobowe mogą być udostępniane organom sektora publicznego wyłącznie w formie spseudonimizowanej, w przypadkach gdy dane anonimowe są niewystarczające do reagowania na sytuację nadzwyczajną.

W odniesieniu do usług pośrednictwa w zakresie danych i organizacji o altruistycznym podejściu do danych EROD i EIOD podkreślają znaczenie godnego zaufania i odpowiedzialnego udostępniania danych. Zalecają utrzymanie szczególnych zabezpieczeń, sprzyjających przejrzystości i nadzorowi.

EROD i EIOD zalecają dalsze usprawnienie przepisów dotyczących egzekwowania prawa (np. poprzez umożliwienie wymiany informacji między organami na temat egzekwowania prawa, w tym z organami nadzorczymi, oraz wyjaśnienie roli organów nadzorczych w egzekwowaniu Aktu w sprawie danych).

EROD i EIOD z zadowoleniem przyjmują potwierdzenie we wniosku roli Europejskiej Rady ds. Innowacji w zakresie Danych (EDIB) we wspieraniu spójnego stosowania Aktu w sprawie danych. W odniesieniu do opracowywania wytycznych zalecają one upoważnienie Komisji do wydawania wytycznych dotyczących wszelkich kwestii związanych z Aktem w sprawie danych oraz wyjaśnienie roli EDIB we wspieraniu Komisji w tym procesie. Umożliwiłoby to Komisji opracowanie wspólnych wytycznych z EROD, a EDIB mogłaby doradzać Komisji i wspierać ją w opracowywaniu takich wytycznych.

Uwaga dla redaktorów:

*19 listopada 2025 roku Komisja przyjęła wniosek w sprawie Cyfrowego Omnibusa, która zmienia obszerny korpus unijnego prawa cyfrowego, w tym RODO, EUDPR, Aktu w sprawie danych, dyrektywę o prywatności i łączności elektronicznej oraz dyrektywę NIS 2.

25 listopada 2025 roku Komisja formalnie skonsultowała się z EROD i EIOD zgodnie z artykułem 42(2) EUDPR i zwróciła się o opinię w kwestiach dotyczących RODO, EUDPR, dyrektywy o prywatności i łączności elektronicznej, Aktu w sprawie danych.

20 stycznia 2026 roku, na wniosek Komisji, EROD i EIOD przyjęły również wspólną opinię na temat "Cyfrowego Omnibusa w sprawie AI".

** "Acquis" danych, będący częścią wniosku w sprawie Cyfrowego Omnibusa, ma na celu uchylenie Aktu w sprawie zarządzania danymi ("DGA"), Dyrektywy w sprawie otwartych danych ("ODD") oraz Regulacji w sprawie swobodnego przepływu danych nieosobowych w UE ("FFNPR") i integruje zmienione odpowiednie przepisy tych ustaw z Aktem w sprawie danych.

Link do komunikatu EROD: Digital Omnibus: EDPB and EDPS support simplification and competitiveness while raising key concerns | European Data Protection Board

Link do opinii: EDPB-EDPS Joint opinion 2/2026 on the Proposal for a Regulation as regards the simplification of the digital legislative framework (Digital Omnibus) | European Data Protection Board