BLOG

Dowiedz się co jest naprawdę ważne.

Zmiany w RODO 2025 – Digital Omnibus | Omówienie cz. 3. Zbieranie zgód na pliki cookies

przez

RODO 2025 – zbieranie zgód na pliki cookies, okienka dialogowe zgód, Digital Omnibus cz. 3

Pojęcia stosowane w cyklu artykułów

RODO – ogólne rozporządzenie o ochronie danych
TSUE – Trybunał Sprawiedliwości Unii Europejskiej
DPA – krajowe organy ochrony danych osobowych
Wniosek KE z 19 listopada 2025 – Komisja Europejska (KE) 19 listopada 2025 r. przedstawiła projekty zmian do aktów prawnych regulujących w UE rynek usług cyfrowych
Digital Omnibus – przewidziany we Wniosku KE z 19 listopada 2025 pakiet reform obejmujący modyfikacje w:

  1. rozporządzeniach (UE):
    1. 2016/679 (GDPR, RODO),
    2. 2018/1724 (o utworzeniu jednolitego portalu cyfrowego),
    3. 2018/1725 (rozporządzenie o ochronie danych osobowych w instytucjach UE),
    4. 2023/2854 (the Data Act; akt w sprawie danych),
  2. dyrektywach:
    1. 2002/58/WE (dyrektywa o prywatności i łączności elektronicznej),
    2. 2022/2555 (dyrektywa NIS 2),
    3. 2022/2557 (dyrektywa w sprawie odporności podmiotów krytycznych).

TFUE – Traktat o funkcjonowaniu Unii Europejskiej. Traktat o funkcjonowaniu Unii Europejskiej wszedł w życie w dniu 1 grudnia 2009 r.
PKE – ustawa z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej (Dz. U. poz. 1221 z późn. zm.)

Wprowadzenie

Niniejszy artykuł jest kolejnym w ramach cyklu prezentującego projekty zmian, w tym w RODO, wskazanych we Wniosku KE z 19 listopada 2025 r.1

Tym razem zajmiemy się zmianami, które – streszczając uzasadnienie KE zawarte we Wniosku – mają na celu zakończenie ery „zmęczenia zgodami” (consent fatigue) oraz uproszczenie skomplikowanych relacji między dyrektywą o prywatności i łączności elektronicznej a RODO.

KE przyznaje, że obecny system wyskakujących okienek nie spełnia swojej roli. Banery są często niezrozumiałe, nie dają realnej kontroli i stanowią uciążliwość dla użytkowników, a dla dostawców usług oznaczają wysokie koszty wdrożenia. Celem Digital Omnibus jest zastąpienie ich bardziej intuicyjnymi mechanizmami.

Obecnie mamy do czynienia z dualizmem: dostęp do urządzenia reguluje dyrektywa o prywatności i łączności elektronicznej, a dalsze przetwarzanie danych – RODO. Prowadzi to do niepewności prawnej i sporów o właściwość organów, czyli DPA i organów nadzoru nad rynkiem usług komunikacji elektronicznej; w Polsce – Prezes Urzędu Komunikacji Elektronicznej (UKE).

Zmiana: Przetwarzanie danych na urządzeniu końcowym i z tego urządzenia ma być regulowane wyłącznie przez RODO.
Skutek: Spójność nadzoru i jasność co do podstaw prawnych przetwarzania.

Wniosek wprowadza nowe sytuacje, w których uzyskanie zgody nie będzie wymagane. Dotyczy to operacji o niewielkim ryzyku dla prywatności lub technologii niezbędnych do świadczenia usługi wyraźnie żądanej przez użytkownika. Ma to odciążyć strony internetowe od konieczności pytania o zgodę na każdą techniczną drobnostkę.

Wniosek zawiera również propozycje regulacji dotyczących automatyzacji wyborów dokonywanych przez użytkownika oraz jego wsparcia w tym zakresie przez AI. To najbardziej rewolucyjny punkt zmian. KE chce przenieść ciężar zarządzania prywatnością z pojedynczych stron na narzędzia użytkownika:

  • Sygnały maszynowe: Decyzje o prywatności mają być kodowane w sposób zautomatyzowany (np. w ustawieniach przeglądarki).
  • Obowiązek respektowania: Po opracowaniu norm technicznych administratorzy będą zobowiązani do automatycznego respektowania sygnałów wysyłanych przez przeglądarkę lub aplikację użytkownika.
  • Neutralność technologiczna: Przepisy dopuszczają, aby w dokonywaniu wyborów wspierała nas agentowa AI.

W trosce o niezależne dziennikarstwo i jego źródła finansowania (reklamy) dostawcy usług medialnych (wg rozporządzenia 2024/1083) mają być zwolnieni z obowiązku automatycznego respektowania sygnałów maszynowych. Będą mogli nadal bezpośrednio wchodzić w interakcję z użytkownikiem, by prosić o zgodę na swoich zasadach.

KE dąży do świata, w którym to przeglądarka lub asystent AI „dogaduje się” ze stroną internetową w naszym imieniu, opierając się na naszych ogólnych preferencjach, zamiast zmuszać nas do klikania „Zgadzam się” na każdym odwiedzanym portalu.

Omówimy proponowane zmiany i spróbujemy przewidzieć, co mogą zmienić w praktyce.

Zmiana w art. 4 – uzupełnienie pojęć potrzebnych do wprowadzenia przepisów regulujących zapisywanie i wykorzystanie plików cookies

Zaproponowano uzupełnienie art. 4 RODO o następujące definicje pojęć:

Końcowe urządzenie – pkt 32

Pojęcie to zdefiniowano poprzez odwołanie do art. 1 pkt 1 dyrektywy 2008/63/WE2. Stosownie do treści tego przepisu:

„Końcowe urządzenie” oznacza:

a) urządzenie bezpośrednio lub pośrednio podłączone do interfejsu publicznej sieci telekomunikacyjnej w celu przesyłania, przetwarzania lub odbierania informacji; w obydwu przypadkach (połączenia bezpośredniego lub pośredniego), połączenie może być dokonane za pomocą przewodu, światłowodu lub elektromagnetycznie; połączenie jest pośrednie, jeżeli urządzenie jest umieszczone między końcowym urządzeniem telekomunikacyjnym a interfejsem sieci; lub

b) urządzenia naziemnych stacji satelitarnych.

Uzupełniając definicję pojęcia, do którego odsyła RODO, należy wskazać, że przez „urządzenia naziemnych stacji satelitarnych” rozumie się urządzenia, które mogą być wykorzystane jedynie dla celów transmisji lub transmisji i odbioru („nadawczo-odbiorcze”) lub jedynie do odbioru („odbiorcze”) sygnałów radiokomunikacyjnych przy pomocy satelitów lub innych systemów umieszczonych w przestrzeni kosmicznej3. Przykładem tego rodzaju urządzeń końcowych są anteny satelitarne czy dekodery/odbiorniki satelitarne (STB – Set-Top Box).

Przez publiczną sieć telekomunikacyjną należy rozumieć – zgodnie z art. 2 pkt 42 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej (Dz. U. poz. 1221 z późn. zm.) – „sieć telekomunikacyjną wykorzystywaną głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych”. Idąc dalej, przez „publicznie dostępną usługę telekomunikacyjną” należy rozumieć „usługę komunikacji elektronicznej dostępną dla ogółu użytkowników” (art. 2 pkt 43 ustawy – Prawo komunikacji elektronicznej).

Sieć łączności elektronicznej – pkt 33

W przypadku „sieci łączności elektronicznej” zastosowanie ma definicja zawarta w art. 2 pkt 1 dyrektywy (UE) 2018/19724. Oznacza to, że „sieć łączności elektronicznej” to systemy transmisyjne, niezależnie od tego, czy opierają się na stałej infrastrukturze lub scentralizowanym zarządzaniu zasobami, oraz – w stosownych przypadkach – urządzenia przełączające lub routingowe oraz inne zasoby, w tym nieaktywne elementy sieci, które umożliwiają przekazywanie sygnałów przewodowo, za pomocą radia, środków optycznych lub innych rozwiązań wykorzystujących fale, w tym sieci satelitarnych, stacjonarnych (komutowanych i pakietowych, w tym internetu) i sieci ruchomych, elektroenergetycznych systemów kablowych, w zakresie, w jakim są one wykorzystywane do przekazywania sygnałów, w sieciach nadawania radiowego i telewizyjnego oraz sieciach telewizji kablowej, niezależnie od rodzaju przekazywanej informacji.

Wskazana definicja obejmuje sieci takie jak5:

  • Sieci mobilne (ruchome) – np. sieć 5G/LTE operatora komórkowego (Play, Orange, Plus, T-Mobile, INEA)
  • Sieci stacjonarne szerokopasmowe – np. światłowód do domu (FTTH) lub sieć telewizji kablowej
  • Sieci elektroenergetyczne wykorzystywane do transmisji (PLC – Power Line Communication) – przykładem jest przesyłanie sygnału internetowego za pomocą domowej instalacji elektrycznej (adaptery PLC) lub inteligentne liczniki (smart metering) przesyłające dane zużycia energii liniami energetycznymi
  • Sieci nadawcze radiowe i telewizyjne
  • Sieci satelitarne
  • Infrastruktura „nieaktywna” (pasywna) – przykładem są: puste rury (mikrokanalizacja), ciemne włókna światłowodowe (niepodłączone do urządzeń aktywnych), maszty, na których inni operatorzy mogą zawiesić swoje anteny

Przeglądarka internetowa – pkt 34

Pojęcie to zdefiniowano poprzez odwołanie do art. 2 pkt 11 rozporządzenia (UE) 2022/19256. Zgodnie z przywołanym przepisem „przeglądarka internetowa” oznacza aplikację, która umożliwia użytkownikom końcowym uzyskanie dostępu do treści internetowych znajdujących się na serwerach podłączonych do sieci, takich jak internet, oraz interakcję z takimi treściami, w tym autonomiczne przeglądarki internetowe, a także przeglądarki internetowe zintegrowane z oprogramowaniem, wbudowane w oprogramowanie lub podobne.

Innymi słowy przeglądarka internetowa to oprogramowanie służące do pobierania, interpretowania i wyświetlania treści z serwerów WWW. W szerokim znaczeniu obejmuje ona zarówno samodzielne aplikacje, jak i komponenty wbudowane w inne programy.

Usługa medialna – pkt 35

„Usługa medialna” oznacza usługę medialną zdefiniowaną w art. 2 pkt 1 rozporządzenia (UE) 2024/10837. Stosownie do treści tego przepisu „usługa medialna” oznacza usługę w rozumieniu art. 56 i 57 TFUE, przy czym podstawowym celem tej usługi lub jej dającej się oddzielić części jest dostarczanie dowolnymi środkami ogółowi odbiorców audycji lub publikacji prasowych, za które odpowiedzialność redakcyjną ponosi dostawca usług medialnych, w celach informacyjnych, rozrywkowych lub edukacyjnych.

Stosownie do art. 57 TFUE usługami w rozumieniu Traktatów są świadczenia wykonywane zwykle za wynagrodzeniem w zakresie, w jakim nie są objęte postanowieniami o swobodnym przepływie towarów, kapitału i osób. Usługi obejmują zwłaszcza:

  • działalność o charakterze przemysłowym,
  • działalność o charakterze handlowym,
  • działalność rzemieślniczą,
  • wykonywanie wolnych zawodów.

Z zastrzeżeniem postanowień rozdziału dotyczącego prawa przedsiębiorczości świadczący usługę może, w celu spełnienia świadczenia, wykonywać przejściowo działalność w państwie członkowskim świadczenia na tych samych warunkach, jakie państwo to nakłada na własnych obywateli.

Dostawca usług medialnych – pkt 36

Dostawca usług medialnych to dostawca usług medialnych zdefiniowany w art. 2 pkt 2 rozporządzenia (UE) 2024/1083, czyli usług, których celem lub ich dającej się oddzielić części jest dostarczanie dowolnymi środkami ogółowi odbiorców audycji lub publikacji prasowych, za które odpowiedzialność redakcyjną ponosi dostawca usług medialnych, w celach informacyjnych, rozrywkowych lub edukacyjnych.

Interfejs internetowy – pkt 37

Interfejs internetowy oznacza interfejs internetowy zgodnie z definicją w art. 3 lit. m) rozporządzenia (UE) 2022/20658, czyli „oprogramowanie komputerowe, w tym stronę internetową lub jej część, oraz aplikacje, w tym aplikacje mobilne”.

Zmiana w rozdziale IX RODO – nowe zasady zapisywania i odtwarzania danych osobowych na urządzeniach końcowych

W RODO dodano:

  • art. 88a, który ustanawia wymóg uzyskania zgody na przechowywanie danych osobowych na końcowym urządzeniu osób fizycznych lub na dostęp do takich danych i który włącza przetwarzanie danych osobowych na końcowym urządzeniu i z takiego urządzenia do przepisów RODO;
  • art. 88b, który dotyczy zautomatyzowanych i nadających się do odczytu maszynowego wskazań indywidualnych wyborów przez użytkownika przeglądarki internetowej i stosowania się do tych wskazań przez dostawców stron internetowych po udostępnieniu norm.

Zmiany w dyrektywie 2002/58/WE o prywatności i łączności elektronicznej

Konsekwentnie KE we Wniosku z 19.11.2025 r. zaproponowała zmiany w dyrektywie 2002/58/WE o prywatności i łączności elektronicznej.

Zaproponowano dodanie po art. 5 ust. 3 nowego akapitu. Po zmianach przepis ten miałby następujące brzmienie (dodany akapit zapisano pogrubioną czcionką – przyp. autora):

„3. Państwa Członkowskie zapewniają, że korzystanie z sieci łączności elektronicznej w celu przechowywania informacji lub uzyskania dostępu do informacji przechowanej na terminalu abonenta lub użytkownika jest dozwolone wyłącznie pod warunkiem że abonent lub użytkownik otrzyma jasną i wyczerpującą informację zgodnie z dyrektywą 95/46/WE, między innymi o celach przetwarzania, oraz zostanie zaoferowane mu prawo do odmówienia zgody na takie przetwarzanie przez kontrolera danych. Nie stanowi to przeszkody dla technicznego przechowywania danych lub dostępu do danych jedynie w celu wykonania lub ułatwiania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej lub gdy jest to szczególnie niezbędne w celu dostarczania usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika. Niniejszy ustęp nie ma zastosowania, jeżeli abonent lub użytkownik jest osobą fizyczną, a przechowywane informacje lub informacje, do których uzyskuje się dostęp, stanowią przetwarzanie danych osobowych lub do niego prowadzą.

Skutki proponowanych zmian

Zmiany o charakterze formalnym (strukturalno-prawnym)

1. Wprowadzenie nowego art. 88a RODO

Art. 88a tworzy całkowicie nowy reżim prawny dotyczący wyłącznie plików cookies będących danymi osobowymi. Oznacza to, że ochrona cookies „osobowych” zostaje przeniesiona z dyrektywy o prywatności i łączności elektronicznej bezpośrednio do RODO, podczas gdy dotychczas podstawową regulacją był art. 5 ust. 3 tej dyrektywy.

2. Odróżnienie dwóch kategorii cookies

Projekt ustanawia rozróżnienie plików cookies na: dane osobowe (objęte art. 88a RODO) oraz dane nieosobowe (pozostające pod dyrektywą o prywatności i łączności elektronicznej i art. 399 PKE). Jest to zmiana o charakterze porządkującym – projekt wyraźnie nie przesądza, że każdy cookie jest daną osobową.

3. Zmiana zakresu stosowania art. 399 PKE

Art. 399 PKE (implementacja dyrektywy o prywatności i łączności elektronicznej) będzie miał zastosowanie wyłącznie do cookies niebędących danymi osobowymi. W konsekwencji obecne brzmienie art. 399 wymaga nowelizacji, gdyż większość cookies obecnie stosowanych na rynku stanie się regulowana przez RODO.

4. Wprowadzenie nowego art. 88b RODO – architektura techniczna obsługi zgód

Art. 88b wprowadza formalnie:

  • zautomatyzowane, maszynowo odczytywalne sygnały zgody i odmowy,
  • obowiązek standaryzacji (normy EN) – Komisja Europejska ma zlecić opracowanie standardów organizacjom CEN/CENELEC,
  • domniemanie zgodności dla interfejsów spełniających normy EN,
  • nowe obowiązki dostawców przeglądarek internetowych, którzy będą musieli umożliwiać wysyłanie maszynowych sygnałów opt-in i opt-out,
  • wyłączenie usług medialnych, aby uniknąć kolizji z zasadami przyjętymi w regulacji usług medialnych.

Zmiany te mają charakter systemowy i nie dotyczą bezpośrednio działań administratorów na stronach.

Zmiany wpływające na praktykę stosowania przepisów

1. Doprecyzowanie, kiedy cookies stają się danymi osobowymi

Pod dyrektywę o prywatności i łączności elektronicznej nie będą podlegały pliki cookies zawierające dane osobowe, np.:

  • tracking cookies (first-party i third-party),
  • cookies z unikalnym identyfikatorem użytkownika,
  • cookies do logowania / uwierzytelniania,
  • cookies analityczne z unikalnym ID urządzenia,
  • adtech / RTB.

2. Rozszerzenie wyjątków od obowiązku uzyskania zgody

W przypadku cookies będących danymi osobowymi zgoda nie będzie wymagana, jeśli celem jest:

  • audyt lub pomiar odbiorców na własny użytek administratora (first-party analytics),
  • utrzymanie lub przywrócenie bezpieczeństwa usługi lub urządzenia.

To realnie zmienia praktykę, bo zakres dozwolonego first-party analytics bez zgody będzie większy niż obecnie.

3. Możliwość zapisywania odmowy zgody przez administratora

Administrator będzie mógł:

  • zapisać cookie potwierdzające odmowę zgody użytkownika na instalację plików cookies,
  • robić to na podstawie art. 6 ust. 1 lit. c RODO w związku z art. 88a ust. 4 lit. c.

4. Nowy mechanizm zarządzania zgodami – w tym „6-miesięczny” opt-out

Projekt wprowadza:

  • formalną regulację mechanizmu zgody i odmowy,
  • zasadę blokady na 6 miesięcy – użytkownik, który odmówił zgody, nie powinien być proszony o nią ponownie przez pół roku (chyba że zmienia się podmiot albo cel).

To będzie wymagało:

  • zmian w CMP (Consent Management Platforms),
  • innych praktyk UX,
  • zmian „ciemnych wzorców” (dark patterns).

Warto na koniec dodać, że EROD oraz EIOD pozytywnie zaopiniowały Wniosek KE w zakresie przedstawionych powyżej zmian.9

Przypisy:

1 Komisja Europejska (KE) 19 listopada 2025 r. przedstawiła projekty zmian do aktów prawnych regulujących w UE rynek usług cyfrowych – zob. Omówienie cz. 1, Omówienie cz. 2.

2 Dyrektywa Komisji 2008/63/WE z dnia 20 czerwca 2008 r. w sprawie konkurencji na rynkach końcowych urządzeń telekomunikacyjnych.

3 Art. 1 pkt 1 lit. b dyrektywy 2008/63/WE w związku z definicją urządzeń naziemnych stacji satelitarnych.

4 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej.

5 Opracowanie własne na podstawie definicji z dyrektywy (UE) 2018/1972.

6 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/1925 z dnia 14 września 2022 r. w sprawie kontestowalnych i sprawiedliwych rynków w sektorze cyfrowym (akt o rynkach cyfrowych – DMA).

7 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1083 z dnia 11 kwietnia 2024 r. ustanawiające wspólne ramy dla usług medialnych na rynku wewnętrznym (Europejski akt o wolności mediów – EMFA).

8 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych (akt o usługach cyfrowych – DSA).

9 Wspólna opinia EROD i EIOD w sprawie Wniosku KE z 19 listopada 2025 r.