W 2026 roku przedsiębiorcy działający na rynku unijnym staną przed jednym z największych wyzwań ostatnich lat. Unijne przepisy dotyczące ochrony danych osobowych, obowiązujące od 2018 roku, mają zostać zaktualizowane w ramach pakietu reform znanego jako Digital Omnibus. Nowe regulacje niosą za sobą uproszczenia, ale jednocześnie zmieniają definicje i zasady postępowania z danymi, co może mieć ogromny wpływ na model prowadzenia biznesu i związane z tym ryzyko prawne.
Przedsiębiorcy będą musieli usprawnić swoje procedury i uwzględnić nowe wymogi dotyczące dokumentacji, zgłoszeń naruszeń oraz mechanizmów zgód użytkowników, aby uniknąć wysokich kar administracyjnych. I nie będą to zmiany kosmetyczne. Z jakimi modyfikacjami RODO muszą się liczyć przedsiębiorcy w 2026 roku?
Polska w czołówce naruszeń RODO
RODO obowiązuje od ładnych kilku lat, a jednak nasz kraj przoduje w zakresie niezgodności z tymi przepisami. Polska znajduje się wśród krajów europejskich odznaczających się najwyższą liczbą zgłoszonych naruszeń. Według dostępnych analiz w 2024 roku zarejestrowano 14 286 naruszeń, które obejmują przypadki nieprawidłowego przetwarzania danych, wycieków informacji lub niezgodności z zasadami minimalizacji i przejrzystości, zarówno w sektorze prywatnym, jak i publicznym. W tym rankingu wyprzedziły nas jedynie Niemcy i Holandia.
Podobne artykuły
2025 rok okazała się okresem nałożenia rekordowych kar ze strony Prezesa Urzędu Ochrony Danych Osobowych. Jeden z przypadków dotyczył banku ING, który został ukarany kwotą 18,4 miliona złotych za skanowanie dokumentów tożsamości bez właściwej oceny konieczności przetwarzania takich danych, natomiast w czerwcu 2025 roku na sieć restauracji McDonald’s nałożono grzywnę w wysokości niemal 17 milionów złotych za upublicznienie prywatnych danych pracowników.
Jakby tego było mało tendencja wzrostowa w liczbie zgłoszeń naruszeń ochrony danych obserwowana jest w Polsce od kilku lat. Od wejścia w życie RODO w 2018 roku do Urzędu Ochrony Danych Osobowych wpłynęło ponad 70 tys. zgłoszeń naruszeń. Wysoka liczba naruszeń ma bezpośrednie przełożenie na koszty ponoszone przez przedsiębiorstwa, ponieważ łączna suma kar nałożonych przez UODO na podmioty gospodarcze w latach 2018-2023 wyniosła około 3,48 mln euro, czyli blisko 14,78 mln zł, a w ciągu ostatnich dwunastu miesięcy tylko w 2024 roku grzywny osiągnęły poziom 3,43 mln euro, czyli około 14,59 mln zł, co oznacza niemal podwojenie dotychczasowego poziomu kar w zaledwie rok.
Najważniejsze zmiany w RODO 2.0 w 2026 roku
Po blisko 8 latach obowiązywania RODO instytucje Unii Europejskiej przygotowują zmiany, które mają zaktualizować system ochrony danych w obliczu nowych wyzwań technologicznych i społecznych. Chociaż formalna nowelizacja RODO jako rozporządzenia jeszcze nie została w pełni przyjęta, projekt kompleksowych zmian znany jako tzw. Digital Omnibus zakłada wprowadzenie istotnych modyfikacji, które mogą zacząć obowiązywać w 2026 roku i w kolejnych latach.
Zmiany proceduralne i egzekwowanie przepisów
Unia Europejska zmierza do usprawnienia współpracy między organami ochrony danych poszczególnych państw członkowskich w kontekście egzekwowania RODO. Na poziomie legislacyjnym zawarto wstępne porozumienie między Radą Unii Europejskiej a Parlamentem Europejskim w sprawie nowych zasad dotyczących koordynacji działań w sprawach transgranicznych. Ma to na celu przyspieszenie procedur rozpatrywania skarg i zwiększenie efektywności ochrony praw obywateli.
Jak twierdzi Krzysztof Gawkowski, wicepremier i minister ds. cyfryzacji:
Podjęliśmy znaczący krok w kierunku poprawy współpracy między krajowymi organami ochrony danych w zakresie egzekwowania praw obywateli wynikających z ogólnego rozporządzenia o ochronie danych. Jego celem jest przyspieszenie procesu rozpatrywania transgranicznych skarg dotyczących RODO składanych przez obywateli lub organizacje.
źródło: https://polish-presidency.consilium.europa.eu/
Sztuczna inteligencja pod nadzorem regulacyjnym
Rozwój technologii opartych na sztucznej inteligencji stał się jednym z głównych motywatorów do przygotowania projektu Digital Omnibus. Dotychczasowe regulacje RODO nie były projektowane z myślą o specyfice przetwarzania danych w procesach trenowania modeli ani operacji na systemach opartych na sztucznej inteligencji.
Najważniejsze w tym zakresie jest dodanie artykułu 88c, określającego zasady przetwarzania danych osobowych na potrzeby tworzenia, uczenia oraz wykorzystywania systemów sztucznej inteligencji w oparciu o przesłankę uzasadnionego interesu administratora. Takie przetwarzanie będzie dopuszczalne wyłącznie przy spełnieniu restrykcyjnych warunków: musi być niezbędne, proporcjonalne oraz nie może naruszać przepisów wymagających uzyskania zgody. Projekt przewiduje również większą ochronę osób, których dane dotyczą, ze szczególnym uwzględnieniem ochrony dzieci.
Obowiązki administratorów systemów sztucznej inteligencji
Administratorzy danych zostaną objęci rozbudowanym katalogiem obowiązków o charakterze organizacyjnym i technicznym. Podstawowym wymogiem będzie minimalizacja zakresu danych osobowych już na etapie ich pozyskiwania. Konieczne będzie również stosowanie zabezpieczeń chroniących dane zawarte w modelach sztucznej inteligencji oraz zapewnienie przejrzystej i zrozumiałej komunikacji wobec osób, których dane są przetwarzane.
Szczególnie istotnym rozwiązaniem jest wprowadzenie bezwarunkowego prawa sprzeciwu wobec przetwarzania danych na potrzeby rozwoju systemów sztucznej inteligencji. Dany mechanizm znacząco poprawia pozycję użytkowników i stanowi realne narzędzie kontroli nad wykorzystaniem ich danych, przyczyniając się do zachowania równowagi pomiędzy innowacjami technologicznymi a ochroną praw jednostki.
Dane poszczególnych kategorii w kontekście sztucznej inteligencji
Projekt zakłada również rozszerzenie katalogu wyjątków przewidzianych w art. 9 ust. 2 RODO, dotyczących przetwarzania danych szczególnych kategorii, takich jak dane dotyczące zdrowia, przekonań religijnych czy orientacji seksualnej. Nowo dodany podpunkt k) umożliwia przetwarzanie takich danych w kontekście tworzenia, trenowania oraz funkcjonowania systemów lub modeli opartych na sztucznej inteligencji.
Równocześnie administratorzy będą zobowiązani do wdrożenia mechanizmów zapobiegających nieuzasadnionemu pozyskiwaniu danych wrażliwych oraz do ich niezwłocznego usuwania ze zbiorów treningowych lub testowych. Jeżeli usunięcie danych nie będzie możliwe bez poniesienia nieproporcjonalnego wysiłku, administrator musi zapewnić skuteczną ochronę przed ich ujawnieniem oraz jakimkolwiek dalszym wykorzystaniem.
Dane biometryczne i nowe ramy prawne weryfikacji tożsamości
Upowszechnienie technologii biometrycznych, takich jak czytniki linii papilarnych czy systemy rozpoznawania twarzy, sprawia, że przepisy regulujące przetwarzanie danych biometrycznych stały się koniecznością. Projekt Digital Omnibus wprowadza w tym zakresie jasne i precyzyjne zasady.
Nowa przesłanka zawarta w art. 9 ust. 2 lit. l) RODO dopuszcza przetwarzanie danych biometrycznych wyłącznie w celu weryfikacji tożsamości osoby, pod warunkiem że dane biometryczne lub klucze kryptograficzne pozostają pod wyłączną kontrolą tej osoby.
Uproszczenia dla przedsiębiorców i administratorów danych
Projekt Digital Omnibus nie ogranicza się wyłącznie do wprowadzania nowych obowiązków. Przewiduje on również istotne uproszczenia dla podmiotów przetwarzających dane osobowe, odpowiadając na krytykę dotyczącą nieproporcjonalności niektórych wymogów obecnego RODO.
Do zmian należeć mają:
- Kontekstowa ocena danych osobowych – pozwala oceniać status informacji jako danych osobowych z perspektywy konkretnego administratora i realnie dostępnych mu środków identyfikacji. To ogranicza stosowanie RODO tam, gdzie identyfikacja osoby jest faktycznie niemożliwa lub skrajnie nieprawdopodobna.
- Większa pewność prawna przy pseudonimizacji – umożliwia Komisji Europejskiej określanie, kiedy dane pseudonimizowane mogą być traktowane jako dane nieosobowe wobec określonych odbiorców. Takie rozwiązanie ma na celu ujednolicenie tej praktyki w całej Unii Europejskiej i zmniejszenie ryzyko sporów z organami nadzorczymi.
- Uproszczony obowiązek informacyjny – daje możliwość ograniczenia zakresu informacji przekazywanych osobom fizycznym przy prostym przetwarzaniu danych.
- Ochrona przed nadużywaniem praw przez osoby fizyczne – pozwala administratorom odmówić realizacji wniosków oczywiście bezzasadnych lub nadmiernych, w szczególności składanych w sposób instrumentalny.
- Wyższy próg zgłaszania naruszeń danych – obowiązek notyfikacji do organu nadzorczego dotyczy wyłącznie naruszeń mogących prowadzić do wysokiego ryzyka dla praw i wolności osób fizycznych.
- Wydłużony termin zgłoszenia naruszenia – pozwala na dokładniejszą analizę incydentu i przygotowanie kompletnej dokumentacji, ponieważ termin zgłoszenia naruszenia został wydłużony z 72 do 96 godzin.
- Jednolity unijny system zgłaszania naruszeń – umożliwia składanie zgłoszeń naruszeń za pośrednictwem jednego systemu obowiązującego w całej Unii Europejskiej.
- Ujednolicone zasady przeprowadzania DPIA – wspólne unijne listy operacji wymagających i niewymagających oceny skutków dla ochrony danych oraz jednolitą metodologię. To eliminuje rozbieżności między państwami członkowskimi.
Doprecyzowanie pojęcia danych osobowych
Zgodnie z projektem niezbędna jest ocena, czy dana informacja stanowi dane osobowe, powinna być dokonywana z perspektywy konkretnego administratora oraz realnie dostępnych mu środków identyfikacji. W praktyce oznacza to, że jeżeli administrator nie dysponuje środkami pozwalającymi na identyfikację osoby fizycznej, dane te nie powinny być uznawane za dane osobowe w jego przypadku, nawet jeśli inny podmiot mógłby takiej identyfikacji dokonać. Rozwiązanie to ma ograniczyć stosowanie RODO w sytuacjach, w których ryzyko dla osób fizycznych jest znikome lub czysto teoretyczne.
Pseudonimizacja – jednolite kryteria oceny
Nowy artykuł 41a przewiduje możliwość wydawania przez Komisję Europejską aktów wykonawczych określających kryteria oceny, kiedy dane pseudonimizowane mogą zostać uznane za dane nieosobowe w relacji do określonych kategorii odbiorców. Celem tego rozwiązania jest ujednolicenie praktyki stosowania pseudonimizacji w całej Unii Europejskiej oraz ograniczenie rozbieżności interpretacyjnych dotyczących ryzyka ponownej identyfikacji.
Uproszczony obowiązek informacyjny
Zmodyfikowane brzmienie art. 13 RODO umożliwia stosowanie uproszczonego obowiązku informacyjnego w przypadkach prostego i mało intensywnego przetwarzania danych, realizowanego w ramach jasnej i powszechnie zrozumiałej relacji. Zwolnienie to nie ma jednak zastosowania w sytuacjach obejmujących przekazywanie danych do państw trzecich, zautomatyzowane podejmowanie decyzji lub podwyższone ryzyko dla praw i wolności osób fizycznych.
Ochrona administratorów przed nadużywaniem praw
Zmiana art. 12 ust. 5 RODO wzmacnia pozycję administratorów w przypadkach, gdy żądania osób, których dane dotyczą, mają charakter bezzasadny lub niewspółmierny. Nadmierność może polegać na instrumentalnym korzystaniu z praw w sposób prowadzący do ich nadużywania lub do generowania nieuzasadnionych obciążeń organizacyjnych po stronie administratora.
Nowe zasady zgłaszania naruszeń ochrony danych osobowych
Projekt w istotny sposób modyfikuje obowiązki notyfikacyjne wynikające z art. 33 RODO, wprowadzając trzy zasadnicze zmiany. Po pierwsze, zgłoszeniu do organu nadzorczego będą podlegały wyłącznie te naruszenia, które mogą prowadzić do wysokiego ryzyka dla praw i wolności osób fizycznych. Podniesienie progu zgłoszeniowego ma na celu ograniczenie liczby notyfikacji dotyczących incydentów o marginalnym znaczeniu.
Po drugie, termin na dokonanie zgłoszenia zostaje wydłużony z 72 do 96 godzin, co pozwala administratorom na rzetelniejszą ocenę incydentu i przygotowanie kompletnego zgłoszenia. Po trzecie, system zgłaszania naruszeń ma zostać oparty na jednolitym unijnym punkcie kontaktowym, co zapewni większą spójność z regulacjami w zakresie cyberbezpieczeństwa oraz uprości procedury dla podmiotów działających w wielu państwach członkowskich.
Harmonizacja zasad przeprowadzania oceny skutków dla ochrony danych
W myśl projektu przewidziano ujednolicenie zasad przeprowadzania oceny skutków ochrony danych w całej Unii Europejskiej. Zamiast krajowych list operacji wymagających przeprowadzenia oceny powstaną wspólne, unijne wykazy czynności przetwarzania wymagających oraz niewymagających takiej oceny. Opracowana zostanie również jednolita metodologia. Zadania te zostaną powierzone Europejskiej Radzie Ochrony Danych, natomiast akty wykonawcze przyjmie Komisja Europejska.
Ułatwienia w zakresie badań naukowych i działalności archiwalnej
Projekt Digital Omnibus przewiduje również rozwiązania korzystne dla działalności naukowej i archiwalnej. W ramach projektu przetwarzanie danych w celach archiwalnych, naukowych, statystycznych lub historycznych jest zgodne z pierwotnym celem ich zgromadzenia.
Jak przygotować się na zmiany jako przedsiębiorca
Zmiany w systemie ochrony danych osobowych, które mają wejść w życie w 2026 roku, wymagają od przedsiębiorców kompleksowego podejścia do zarządzania zgodnością z przepisami. Oto kluczowe działania, które organizacje powinny podjąć, aby przygotować się adekwatnie do nowych wymogów prawnych i praktyk nadzorczych.
Analiza dokumentacji i audytów wewnętrznych
Przedsiębiorcy powinni przeprowadzić szczegółowy przegląd dokumentacji związanej z ochroną danych osobowych, które obejmują aktualizacje rejestru czynności przetwarzania danych, polityk prywatności, procedur reagowania na naruszenia oraz rejestrów ryzyka.
Regularne audyty zgodności stanowią fundament zarządzania ryzykiem związanym z ochroną danych. Audyty muszą być planowane cyklicznie i dokumentowane w sposób umożliwiający wykazanie zgodności z RODO oraz ewentualnych zmian wynikających z projektów legislacyjnych.
Modernizacja procedur reagowania na naruszenia
Przedsiębiorstwa powinni przemyśleć swoje procedury reagowania na incydenty naruszenia danych osobowych, co oznacza konieczność opracowania wewnętrznych procedur identyfikacji, analizy i zgłaszania naruszeń.
Szkolenia pracowników
Pracownicy wszystkich szczebli organizacji muszą być świadomi zasad ochrony danych osobowych. Szkolenia dotyczące obowiązków wynikających z RODO oraz planowanych zmian legislacyjnych powinny być przeprowadzane regularnie. Dotyczy to zarówno zespołów technicznych odpowiedzialnych za systemy IT, jak i działów marketingu, sprzedaży czy HR.
Analiza ryzyka i minimalizacja obróbki danych
Należy również wdrożyć praktyki minimalizacji danych, które polegają na ograniczeniu zakresu przetwarzanych informacji do niezbędnego minimum. Procesy business intelligence, e-commerce czy obsługi klientów muszą brać pod uwagę zasadę minimalizacji danych. Weryfikacja zbieranych danych, ich aktualizacji i usuwania danych niepotrzebnych to kluczowe elementy zgodności.
Analiza ryzyka powinna obejmować identyfikację potencjalnych źródeł naruszeń oraz ocenę ich wpływu na prawa i wolności osób, których dane dotyczą. Na tej podstawie przedsiębiorcy mogą wdrażać adekwatne środki zabezpieczeń.
Nadciągają zmiany
Pakiet modyfikacji Digital Omnibus otwiera nową erę ochrony danych, której przedsiębiorcy nie mogą lekceważyć. Spełnianie wymogów RODO to obowiązek oraz przewaga konkurencyjna, która buduje zaufanie klientów i partnerów. Uproszczone procedury informacyjne oraz jednolity system zgłaszania naruszeń ułatwiają wdrażanie regulacji. Włączenie tych zasad w codzienne procesy swojej działalności pozwala prowadzić innowacyjne działania bez ryzyka kar i problemów prawnych, dlatego warto zaplanować to zawczasu.
