BLOG

Dowiedz się co jest naprawdę ważne.

Zmiany w RODO 2025 – Digital Omnibus | Omówienie cz. 1

przez

Zmiany w RODO 2025 - Digital Omnibus

Wprowadzenie

Od 25 maja 2018 r., czyli dnia rozpoczęcia stosowania ogólnego rozporządzenia o ochronie danych (RODO), minęło już ponad siedem lat. Przepisy te stanowią fundament europejskiego ładu cyfrowego, wyznaczając standardy, które przeniknęły do niemal każdego aspektu prowadzenia biznesu w Unii Europejskiej i nie tylko[1]. Skalę oddziaływania tych regulacji najlepiej obrazuje dorobek orzeczniczy oraz statystyki organów nadzorczych.

Według stanu na drugą połowę 2025 roku, Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał już ponad 130 wyroków[2] bezpośrednio dotyczących interpretacji przepisów RODO, precyzując kluczowe pojęcia takie jak prawo do bycia zapomnianym, odszkodowanie za szkodę niemajątkową czy zasady odpowiedzialności administratorów. Równolegle, krajowe organy ochrony danych osobowych (DPA) opublikowały w tym okresie dziesiątki tysięcy decyzji i rozstrzygnięć[3], kształtując lokalne praktyki rynkowe.

Determinacja organów w egzekwowaniu prawa znajduje również odzwierciedlenie w statystykach finansowych – łączna kwota nałożonych administracyjnych kar pieniężnych w całej Unii Europejskiej przekroczyła już barierę 7 miliardów euro[4], co dobitnie świadczy o kosztach zaniechań w obszarze compliance[5]. To właśnie na fundamencie tych doświadczeń, po latach stabilizacji, Unia Europejska decyduje się na kolejny krok w ewolucji prawa cyfrowego.

Komisja Europejska (KE) 19 listopada 2025 r. przedstawiła projekty zmian do aktów prawnych regulujących w UE rynek usług cyfrowy (Wniosek KE z 19 listopada 2025).[6]

Zmiany mają na celu usprawnienie unijnych ram prawnych dotyczących sztucznej inteligencji, danych oraz cyberbezpieczeństwa, a także stworzenie fundamentów dla europejskich portfeli tożsamości biznesowej. Zmiany mają ułatwić firmom funkcjonowanie na jednolitym rynku cyfrowym oraz przyspieszyć wdrażanie innowacji zgodnie z unijnymi standardami.

Zmiany dotyczą 2 obszarów:

  1. „Digital Omnibus on AI” – to zmiany w rozporządzeniu 2024/1689 (AI Act, akt o sztucznej inteligencji)
  2. „Digital Omnibus” – obejmujący zmiany w:
    • rozporządzeniach (UE):
      1. 2016/679 (GDPR, RODO),
      2. 2018/1724 (o utworzeniu jednolitego portalu cyfrowego),
      3. 2018/1725 (rozporządzenie o ochronie danych osobowych w instytucjach UE),
      4. 2023/2854 (the Data Act; akt w sprawie danych),
    • dyrektywach:
      1. 2002/58/WE (dyrektywa o prywatności i łączności elektronicznej),
      2. 2022/2555 (dyrektywa NIS 2),
      3. 2022/2557 (dyrektywa w sprawie odporności podmiotów krytycznych).

Oprócz zmian przepisów Wniosek KE z 19 listopada 2025 zakłada uchylenie następujących aktów prawnych:

  1. rozporządzeń (UE):
    1. 2018/1807 (w sprawie ram swobodnego przepływu danych nieosobowych),
    2. 2019/1150 (w sprawie propagowania sprawiedliwości i przejrzystości dla użytkowników biznesowych),
    3. 2022/868 (akt w sprawie zarządzania danymi);
  2. dyrektywy 2019/1024 (w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego)

— i w większości przeniesienie postanowień tych aktów do postanowień zmienianego rozporządzenia w sprawie danych (2023/2854).

W kilkuczęściowym cyklu artykułów poświęconych omówieniu pakietu zmian legislacyjnych zajmiemy się przede wszystkim omówieniem propozycji zmian do przepisów RODO. Tłumaczenie wersji angielskiej zostało dokonane przez Auraco w oparciu o wstępne tłumaczenie przeprowadzone maszynowo.

Potrzeba zmian

Jak napisała KE uzasadniając potrzebę zmian w RODO:

„RODO jest fundamentem:

  • dla ochrony danych osobowych. Może być potężnym narzędziem wspierającym innowacje oparte na danych, jednocześnie zapewniając najwyższy poziom ochrony danych. Cyfrowy Omnibus zawiera szereg poprawek mających na celu zwiększenie jasności prawnej w tym zakresie oraz unowocześnienie zasad, gdzie jest to konieczne. To także praktyczne rozwiązania długo oczekiwanego problemu zmęczenia zgodą i kosztownych banerów ciasteczek. (…)[7]
  • unijnego ustawodawstwa cyfrowego. Jego podejście oparte na ryzyku, neutralne technologicznie oznacza, że obowiązki firm w zakresie ochrony danych są dostosowane do konkretnych ryzyk związanych z ich działalnością związaną z przetwarzaniem danych osobowych. Interesariusze w dużej mierze podzielają pogląd, że RODO stanowi zrównoważone i solidne ramy prawne dotyczące ochrony danych osobowych. Jednocześnie firmy uważają, że dalsze działania, w tym ukierunkowane przepisy legislacyjne, mogłyby poprawić stosowanie RODO.”[8]

Czyli jak wynika z przytoczonych wyżej fragmentów, nie chodzi, a tak przynajmniej deklaruje KE, w zmianach o zmianę paradygmatu ochrony danych osobowych gwarantowanych podmiotom danych, ale o większą prostotę, jasność i precyzję w stosowaniu przepisów RODO przez administratorów oraz podmioty przetwarzające.

Zakres zmian

Wniosek KE z 19 listopada 2025 r. przewiduje dokonanie zmian następujących przepisów RODO:

  1. Definicje – art. 4, przede wszystkim zmiana pojęcia „danych osobowych”;
  2. Zasada ograniczenia celu przetwarzania – art. 5 ust. 1 lit. b;
  3. Dane szczególne i zasady ich ochrony – art. 9 ust. 2;
  4. Dostęp do kopii danych – art. 12 ust. 5;
  5. Wyjątki od obowiązku informowania w przypadku bezpośredniego pozyskiwania danych – art. 13 ust. 4 i ust. 5 (nowy);
  6. Automatyzacja decyzji – art. 22 ust. 1;
  7. Zgłaszanie naruszeń – art. 33[9];
  8. Operacje wymagające DPIA – art. 35;
  9. Wskazówki dotyczące pseudonimizacji danych – art. 41a;
  10. Zakres działania EROD i organów nadzorczych – art. 57, 64, 70;
  11. Dane na urządzeniach użytkowników, ustawienia przeglądarek – art. 88a i art. 88b;
  12. Podstawy przetwarzania danych osobowych dla potrzeb „uczenia” modeli AI – art. 88c.

Zmiany w art. 4 RODO[10]

Przede wszystkim należy omówić zmianę art. 4 pkt 1, czyli pojęcia „danych osobowych” – kluczowego pojęcia, które określa zakres przedmiotowy ogólnego rozporządzenia o ochronie danych osobowych.

Projekt przewiduje uzupełnienie treści wskazanego przepisu i po zmianach będzie on miał następujące brzmienie (uzupełnienie zostało wyróżnione kursywą):

dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Informacje dotyczące osoby fizycznej nie muszą być danymi osobowymi dla każdego podmiotu, tylko dlatego, że inny podmiot może zidentyfikować tę osobę fizyczną. Informacje nie mogą być osobowe dla danego podmiotu, jeśli podmiot nie może zidentyfikować osoby fizycznej, do której dane się odnoszą, biorąc pod uwagę środki rozsądnie prawdopodobne do wykorzystania przez ten podmiot. Takie informacje nie stają się danymi osobowymi dla tej instytucji tylko dlatego, że potencjalny późniejszy odbiorca ma środki rozsądnie prawdopodobne, że zostaną użyte do identyfikacji osoby fizycznej, do której dane się odnoszą.

Proponowana zmiana dotyczy przede wszystkim takich sytuacji, w których przekazanie danych osobowych do podmiotu, który wykonuje na nich czynności przetwarzania, czyli obiektywnie je przetwarza i ma do nich dostęp, nie sprowadza się do ich ujawnienia. Czyli np. do sytuacji, w których dane osobowe są zmienione w taki sposób, że podmiot do którego one trafiają nie jest w stanie „biorąc pod uwagę środki rozsądnie prawdopodobne do wykorzystania przez ten podmiot” w sposób pośredni zidentyfikować osoby, których dane te dotyczą.

W tym miejscu pojawia się pytanie, w jaki sposób dysponent danych będzie w stanie wykazać, że on sam lub odbiorca danych ma albo nie ma „rozsądnie prawdopodobne do wykorzystania przez ten podmiot” środki pozwalające w sposób pośredni zidentyfikować osoby, których te dane dotyczą. Dodatkowo, czy środki te powinny opierać się na legalnych podstawach, które jest w stanie do tych informacji zastosować, żeby ustalić tożsamości tych osób, czy też należy uwzględniać także środki, które można obiektywnie zastosować, nawet jeśli mają charakter nielegalny (np. oprogramowanie do łamania haseł).

Wskazówki dotyczące pseudonimizacji danych – art. 41a[11]

W zakresie ustalenia, czy odbiorca danych ma rozsądnie prawdopodobne do wykorzystania przez ten podmiot środki w celu ustalenia tożsamości osób fizycznych, których dane są mu przekazywane, istotną rolę mogą odegrać akty wykonawcze, które na podstawie nowego, dodanego art. 41a KE może wydać po konsultacji z EROD. Poniżej treść proponowanego przepisu:

Artykuł 41a

  1. Komisja może przyjmować akty wykonawcze określające środki i kryteria określające, czy dane wynikające z pseudonimizacji nie stanowią już danych osobowych dla niektórych podmiotów.
  2. Na potrzeby ustępu 1 Komisja powinna:
    1. ocenić stan wiedzy technicznej w zakresie pseudonimizacji;
    2. opracowywać kryteria lub kategorie dla administratorów i odbiorców, aby ocenić ryzyko ponownej identyfikacji w odniesieniu do typowych odbiorców danych.
  3. Wdrożenie środków i kryteriów określonych w aktach wykonawczych może być użyte jako sposób na wykazanie, że dane nie mogą prowadzić do ponownej identyfikacji podmiotów danych.
  4. Komisja będzie ściśle angażować EDPB w przygotowania aktów wykonawczych. EDPB wyda opinię na temat projektów aktów wykonawczych w terminie 8 tygodni od momentu otrzymania projektu od Komisji.
  5. Akty wykonawcze, o których mowa w ust. 1, będą przyjmowane zgodnie z procedurą sprawdzającą opisaną w artykule 93(3).

Szczególnie ważny jest tutaj art. 41a ust. 3, z którego wynika, że zastosowanie środków i kryteriów wskazanych w art. 41a ust. 1 może służyć jako sposób na wykazanie, że odbiorca danych nie może zidentyfikować osoby fizycznej, do której dane się odnoszą, biorąc pod uwagę środki rozsądnie prawdopodobne do wykorzystania przez ten podmiot.

Skutki dla praktyki

W ocenie Auraco przyjęcie proponowanej zmiany art. 4 pkt 1:

  1. Ograniczyłoby obowiązek zawierania umów powierzenia przetwarzania danych osobowych (w tym nakładania kar umownych za naruszenie RODO) z podmiotami, które przewożą, przechowują lub rozsyłają zaszyfrowane dane osobowe lub dane spseudonimizowane, czyli dane, których treść dla takiego podmiotu pozostaje tajemnicą. Sytuacja taka nie zwalnia jednak z obowiązku stosowania przepisów RODO przez podmiot, który ma dostęp do treści danych przed ich zaszyfrowaniem;
  2. Ułatwiłoby transfer zaszyfrowanych lub spseudonimizowanych danych osobowych do państw trzecich, bo nie byłoby konieczne zawieranie umów powierzenia przetwarzania danych osobowych czy też przeprowadzenia analizy DTIA (analiz skutków dla ochrony danych osobowych transferu ich do państwa trzeciego);
  3. Co do zasady wyłączyłoby stosowanie przepisów RODO odnośnie czynności przekazania przez właściciela portalu informacji z logów serwera strony www, np. o adresie IP komputera użytkownika blogu, który wpisał na stronie danego portalu np. treści obraźliwe na temat innego jego użytkownika na wniosek tego ostatniego (nie byłoby to traktowane jako udostępnienie danych osobowych)[12];
  4. Mogłoby otworzyć dyskusję, czy wysłanie listem poleconym np. PIT-u 11 do pracownika, to przekazanie danych osobowych zawartych w wysyłanej przesyłce do operatora pocztowego, który nie byłby w stanie „biorąc pod uwagę środki rozsądnie prawdopodobne do wykorzystania przez ten podmiot” legalnie otworzyć tej przesyłki i zapoznać się z jego treścią.

Przypisy

  1. Tzw. efekt brukselski, efekt Brukseli – https://pl.wikipedia.org/wiki/Efekt_brukselski
  2. Statystyki opracowane na podstawie bazy orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej (CURIA) oraz agregatora GDPRhub prowadzonego przez NOYB. Liczba spraw, w których TSUE wydał wyrok lub postanowienie dotyczące interpretacji przepisów rozporządzenia 2016/679 (RODO), na dzień 19 listopada 2025 r. wynosi 134.
  3. Dane dotyczące aktywności krajowych organów nadzorczych pochodzą z rocznych sprawozdań organów zrzeszonych w Europejskiej Radzie Ochrony Danych (EROD). Liczba publicznie ogłoszonych decyzji merytorycznych i administracyjnych kar pieniężnych jest monitorowana przez GDPR Enforcement Tracker.
  4. Zob. raport DLA Piper GDPR Fines and Data Breach Survey 2025, styczeń 2025 r. oraz bieżące zestawienia CMS GDPR Enforcement Tracker (dostęp: 19.11.2025 r.). Łączna kwota kar nałożonych w UE od 25 maja 2018 r. przekroczyła 7 miliardów euro, z czego znacząca część przypadła na lata 2023–2025.
  5. W kontekście krajowym zob. Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych za rok 2024 oraz bieżące komunikaty UODO dotyczące statystyk skargowych za pierwsze trzy kwartały 2025 r.
  6. Na marginesie warto wspomnieć, że od maja 2025 r. toczy się zwykła procedura ustawodawcza, której przedmiotem jest wniosek Komisji Europejskiej zawierający projekt rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenia (UE) 2016/679, (UE) 2016/1036, (UE) 2016/1037, (UE) 2017/1129, (UE) 2023/1542 i (UE) 2024/573 w odniesieniu do rozszerzenia niektórych środków łagodzących dostępnych dla małych i średnich przedsiębiorstw na małe spółki o średniej kapitalizacji oraz w odniesieniu do dalszych środków upraszczających. Odnośnie przepisów RODO planuje się przede wszystkim zmiany art. 30 ust. 5 RODO.
  7. DOKUMENT ROBOCZY PERSONELU KOMISJI, SWD(2025) 836 ostateczny, link, s. 10.
  8. Op. cit., s. 33.
  9. Łączna liczba zgłoszeń naruszeń danych między 25 maja 2018 r. a 27 stycznia 2025 r.: Holandia – 171 140, Niemcy – 167 454, Polska – 70 204, Dania – 53 802, Irlandia – 42 334, Szwecja – 35 827, Finlandia – 34 355, Francja – 24 329, Hiszpania – 11 711, Włochy – 11 096. DLA Piper GDPR fines and data breach survey, January 2025.
  10. Artykuł 3 ust. 1 lit. a projektu Rozporządzenia zmieniającego.
  11. Art. 3 ust. 10 Rozporządzenia zmieniającego.
  12. W październiku 2025 r. NSA wydał wyrok oddalający skargę kasacyjną PUODO na wyrok WSA w Warszawie z lipca 2022 r. dotyczący generalnie sprawy „czy adres IP oraz sztucznie nadany ID z cookies, w istocie stanowią dane osobowe” (wyrok z 16.10.2025 r., III OSK 2595/22). Uzupełnienie definicji „danych osobowych” stanowiłoby swego rodzaju potwierdzenie wniosków, które sąd przedstawił w niniejszej sprawie. Przy czym zmiana definicji danych osobowych prowadziłaby do wyłączenia stosowania przepisów RODO co do zasady w takich przypadkach. Zobacz też ciekawą dyskusję na ten temat: Lege Artis [dostęp 7.01.2026].