Mateusz Grosicki, adwokat i partner w kancelarii Graś i Wspólnicy, w komentarzu eksperckim czy Cyfrowy Omnibus UE to uderzenie w prywatność obywateli…
Cyfrowy Omnibus to zapowiadany pakiet zmian legislacyjnych na poziomie UE, który ma ambicję uporządkować i uprościć coraz bardziej złożony krajobraz regulacyjny wokół danych, sztucznej inteligencji i odpowiedzialności cyfrowej. Jego celem nie jest osłabienie ochrony danych osobowych, lecz zmniejszenie kosztów compliance, szczególnie dla mniejszych i średnich przedsiębiorstw, przy jednoczesnym zachowaniu wysokich standardów bezpieczeństwa.
Czym jest Cyfrowy Omnibus i skąd się wziął?
Cyfrowy Omnibus nie jest jedną nową ustawą, lecz pakietem skoordynowanych zmian do już obowiązujących i wchodzących w życie regulacji, takich jak RODO, AI Act czy Data Act.
Komisja Europejska dostrzegła, że te same pojęcia są różnie definiowane w różnych aktach prawnych, obowiązki sprawozdawcze często się dublują, a małe i średnie firmy ponoszą nieproporcjonalnie wysokie koszty dostosowania się do prawa. Omnibus ma więc pełnić rolę
„legislacyjnego uproszczenia” – bez rewolucji w fundamentach ochrony danych, ale z wyraźną korektą praktycznych obowiązków.
Jak zmieni się definicja „danych osobowych”?
Najważniejsza proponowana zmiana dotyczy doprecyzowania, kiedy dane rzeczywiście są
danymi osobowymi, a kiedy ryzyko identyfikacji osoby jest jedynie teoretyczne. Dziś za dane osobowe często uznaje się informacje, które potencjalnie mogą prowadzić do identyfikacji osoby, nawet jeśli administrator nie ma realnych środków, by tej identyfikacji dokonać. W praktyce prowadzi to do sytuacji, w której dane są silnie zagregowane, powstają pseudonimizowane zestawy danych, a dane techniczne (np. logi systemowe) są traktowane tak samo jak imię, nazwisko czy numer PESEL.
Co ma się zmienić?
Cyfrowy Omnibus zakłada przesunięcie akcentu na realistyczną możliwość identyfikacji, a nie czysto hipotetyczną. Oznacza to, że dane będą uznane za osobowe tylko wtedy, gdy przy użyciu rozsądnych środków możliwe jest przypisanie ich do konkretnej osoby, a ocena będzie uwzględniać skalę działalności administratora, dostępne technologie i koszty.
Dla MŚP to potencjalnie ogromna zmiana, bo oznacza mniej obowiązków dokumentacyjnych, mniej DPIA (ocen skutków dla ochrony danych), a także mniejsze ryzyko sankcji za „nadinterpretację” pojęcia danych osobowych. Jednym z najbardziej problematycznych elementów RODO jest dziś ocena ryzyka naruszenia praw lub wolności osób fizycznych. W praktyce wielu administratorów zgłasza niemal każdy incydent „na wszelki wypadek” i traktuje UODO jako „bezpiecznik” chroniący przed zarzutem zaniechania.
Nowe podejście w Cyfrowym Omnibusie
Pakiet zmian ma wprowadzić bardziej obiektywne kryteria oceny, kiedy ryzyko staje się
„prawdopodobnie wysokie”. Pod uwagę mają być brane m.in. rodzaj danych (zwykłe vs. szczególne kategorie), skala naruszenia (liczba osób, zakres danych), łatwość identyfikacji osoby, realne skutki (kradzież tożsamości, straty finansowe, dyskryminacja). W efekcie drobne incydenty techniczne, takie jak krótkotrwały dostęp pracownika do danych, czy błędnie zaadresowany e-mail bez danych wrażliwych nie będą automatycznie kwalifikowane jako wysokiego ryzyka.
Obecnie RODO przewiduje 72 godziny na zgłoszenie naruszenia od momentu jego stwierdzenia. W praktyce jednak termin ten bywa zbyt krótki na rzetelną analizę, trudny do dochowania w weekendy i święta i często stanowi źródło zgłoszeń niekompletnych lub przedwczesnych. Nowe podejście zakłada wydłużenie terminu do 96 godzin oraz większy nacisk na jakość zgłoszenia, a nie jego szybkość.
Cyfrowy Omnibus to sygnał, że UE dostrzega zmęczenie regulacyjne przedsiębiorców. Zmiany w definicji danych osobowych, ocenie ryzyka i terminach zgłoszeń mogą realnie:
obniżyć koszty compliance, zmniejszyć liczbę niepotrzebnych obowiązków, poprawić jakość ochrony danych zamiast jej pozorowania.
