Streszczenie dla zabieganych

1. Digital Omnibus to kompleksowa reforma przepisów cyfrowych UE, która upraszcza i porządkuje dotychczasowe regulacje.
   
2. One Data Act scala Data Act, Data Governance Act, Open Data Directive i FFDR w jeden spójny akt, redukując chaos regulacyjny wokół danych.
   
3. RODO zostaje zmodernizowane o jaśniejsze definicje danych, zasady pseudonimizacji oraz uproszczone obowiązki informacyjne i zgłoszeniowe.
   
4. Cookies mają podlegać wyłącznie RODO, co oznacza koniec uciążliwych banerów i wprowadzenie automatycznych sygnałów preferencji.
   
5. Cyberbezpieczeństwo zyskuje jeden wspólny kanał zgłaszania incydentów dla wszystkich aktów prawnych, zamiast wielu równoległych procedur.
   
6. Regulacja P2B zostaje uchylona, ponieważ jej funkcję przejęły już DSA i DMA.
   
7. Koszty zgodności dla firm mają spaść nawet o 5 mld euro w ciągu trzech lat dzięki eliminacji duplikatów i uproszczeniu procesów pod warunkiem jednak, że Digital Omnibus zostanie uchwalony.

Spis treści

1. Wprowadzenie
   
2. Cele i motywacje powstania Digital Omnibus
   
3. Najważniejsze obszary interwencji legislacyjnej
   
4. „One Data Act” – konsolidacja prawa o danych
   
5. Zmiany w RODO
   
6. Reforma przepisów o cookies i walka z „cookie fatigue”
   
7. Jeden punkt zgłoszeń incydentów cyberbezpieczeństwa
   
8. Uchylenie regulacji P2B
   
9. Skutki gospodarcze i szacowane oszczędności
   

Podsumowanie

Wprowadzenie

Digital Omnibus to pakiet legislacyjny przedstawiony 19 listopada 2025 r. przez Komisję Europejską, który stanowi pierwszą część szerszego programu upraszczania unijnego prawa cyfrowego. Propozycja obejmuje zmiany w licznych aktach – od RODO i ePrivacy, przez Data Act oraz Data Governance Act, po przepisy dotyczące cyberbezpieczeństwa (NIS2, DORA, CER), usług cyfrowych oraz przepisów sektorowych. Dokumenty towarzyszące projektowi jasno wskazują, że celem nie jest tworzenie kolejnej warstwy regulacji, ale uporządkowanie, scalanie i wyjaśnienie istniejących zasad, które obecnie są zbyt rozproszone i trudne do praktycznego stosowania.

Cele i motywacje powstania Digital Omnibus

Z uzasadnienia Komisji wynika, że w ostatnich latach przedsiębiorcy, organizacje społeczne oraz administracja publiczna coraz częściej zgłaszały problemy związane z nakładaniem się przepisów, brakiem spójnych definicji oraz wysokimi kosztami zapewnienia zgodności. Regulacje przyjęte w latach 2016–2023 były wdrażane stopniowo, często niezależnie od siebie, co doprowadziło do niejednolitości prawnej i praktycznej. Jednocześnie sektor cyfrowy rozwija się szybciej, niż ustawodawcy są w stanie aktualizować poszczególne akty. Komisja uznała więc, że potrzebne jest całościowe „odświeżenie” cyfrowego acquis, tak aby wspierało ono rozwój sztucznej inteligencji, chmury obliczeniowej i gospodarki opartej na danych, a jednocześnie pozostawało stabilne, jasne i zgodne ze standardami ochrony praw podstawowych.

 Najważniejsze obszary interwencji legislacyjnej

Pakiet obejmuje cztery duże grupy zagadnień: konsolidację i uproszczenia w obszarze danych, modernizację RODO i ePrivacy, stworzenie jednolitego punktu zgłaszania incydentów cyberbezpieczeństwa oraz usunięcie przepisów, które utraciły znaczenie wobec nowszych regulacji dotyczących rynków i usług cyfrowych. Każdy z tych elementów odpowiada na realne problemy zgłaszane podczas konsultacji publicznych i dialogów prowadzonych w 2025 roku.

 „One Data Act” – konsolidacja prawa o danych

Jednym z najważniejszych i najbardziej ambitnych elementów reformy jest scalenie rozproszonego prawa o danych w jednym akcie – zmienionym Data Act. Komisja uznała, że obowiązujące dotąd równolegle regulacje (Data Governance Act, Open Data Directive, Free Flow of Non-Personal Data Regulation oraz Data Act) nakładają się i prowadzą do niejasności. Załącznik do projektu dokładnie pokazuje, które przepisy ODD oraz DGA zostają wchłonięte i w jakiej formie będą obowiązywać w Data Act, co kończy wieloletni okres rozproszenia regulacji o ponownym wykorzystaniu danych publicznych i zasadach udostępniania danych chronionych.

Scalenie przepisów pozwoli na ujednolicenie definicji, w tym dotyczących danych, dokumentów oraz danych chronionych. Administracje publiczne nie będą musiały dłużej analizować, czy w danej sytuacji obowiązuje Open Data Directive czy Data Governance Act – każdy wniosek o ponowne wykorzystanie danych będzie rozpatrywany według jednego kodeksu zasad. Jednocześnie utrzymane zostają standardy niedyskryminacji, braku wyłączności i zasady równego dostępu. Nowością jest możliwość stosowania odmiennych, bardziej restrykcyjnych warunków wobec podmiotów o znaczącej sile rynkowej, w tym „gatekeeperów” z rozporządzenia DMA, tak aby nie dochodziło do dalszego pogłębiania nierówności konkurencyjnych wynikających z uprzywilejowanego dostępu do dużych zbiorów danych.

Kolejne ważne zmiany dotyczą uszczelnienia systemu ochrony tajemnicy przedsiębiorstwa. W obecnym stanie prawnym przedsiębiorcy obawiali się, że obowiązki udostępniania danych IoT mogą prowadzić do niekontrolowanego transferu tajemnicy przedsiębiorstwa do państw trzecich. Digital Omnibus wprowadza więc możliwość odmowy udostępnienia danych, jeżeli istnieje wysokie ryzyko ich ujawnienia podmiotom objętym słabszymi standardami ochrony, co ma przywrócić równowagę między otwartością danych a interesami innowacyjnych firm.

Istotnym uproszczeniem jest planowane ograniczenie mechanizmu B2G. Po zmianach dane prywatne mają być udostępniane administracji publicznej wyłącznie w sytuacjach „public emergency”, czyli w okolicznościach nagłych, często kryzysowych. Dotychczasowy, znacznie szerszy katalog „szczególnych potrzeb” (exceptional need) zostałby wykreślony, ponieważ jest oceniany jako potencjalnie nadmiernie obciążający przedsiębiorców oraz nieprecyzyjny.

Istotnej korekcie ulegają również przepisy Data Act dotyczące smart contracts. Komisja nie likwiduje możliwości stosowania inteligentnych kontraktów jako narzędzia automatyzującego udostępnianie danych, lecz proponuje usunięcie tzw. „essential requirements”, czyli obowiązkowych, technicznych wymogów projektowych. W praktyce oznacza to rezygnację z regulatorowego standardu, który – jak wskazywali przedsiębiorcy – mógłby nadmiernie ograniczać różnorodność modeli technologicznych i hamować innowacje. Smart contracts pozostaną dopuszczalne, ale ich projektowanie będzie bardziej elastyczne i dostosowane do realiów rynkowych.

Zmiany w RODO

Reforma RODO ma mieć charakter doprecyzowujący i modernizujący, a nie rewolucyjny. W licznych fragmentach uzasadnienia podkreślono, że sam akt wciąż jest oceniany jako stabilny, ale wymaga aktualizacji w obszarach, w których praktyka wywołała istotne wątpliwości. Proponowane zmiany mają obejmować m.in. definicję danych osobowych, aby lepiej odróżnić dane osobowe od danych nieosobowych, oraz doprecyzowanie zasad pseudonimizacji. Komisja zamierza ułatwić administratorom ocenę, kiedy pseudonimizacja jest na tyle skuteczna, że dane mogą zostać uznane za nieosobowe, co w wielu sektorach ma kluczowe znaczenie dla prowadzenia badań i projektów AI.

Dalej w projekcie doprecyzowano zasady przetwarzania danych w kontekście rozwoju i trenowania systemów AI. W dokumentach wskazano, że wiele organizacji nie było pewnych, w jakich warunkach można wykorzystać dane osobowe do tworzenia modeli uczenia maszynowego. Wprowadzenie jasnych podstaw ma umożliwić rozwój europejskiego AI, jednocześnie zapewniając poszanowanie zasad RODO. Wprowadzone mają być również ułatwienia w zakresie obowiązków informacyjnych dla przetwarzania niskiego ryzyka oraz uproszczenia procedur zgłaszania naruszeń, która już dziś bywa obciążająca dla podmiotów o niewielkich zasobach.

Reforma przepisów o cookies i walka z „cookie fatigue”

Jednym z najbardziej widocznych i odczuwalnych dla użytkownika obszarów planowanych zmian jest reforma mechanizmu zgód na operacje na urządzeniach końcowych. Komisja wprost stwierdziła, że obecny system banerów cookies nie realizują celów informacyjnych i nie daje realnej kontroli nad prywatnością, a jednocześnie są obciążające dla przedsiębiorców. Digital Omnibus przewiduje więc pełne przeniesienie zasad dotyczących przetwarzania danych z urządzeń końcowych (cookies i podobnych technologii) do RODO, tak aby uniknąć dualizmu między ePrivacy a RODO. Jednocześnie rozszerzono katalog sytuacji, w których zgoda nie jest wymagana, co ma usprawnić działanie stron i ograniczyć liczbę wyświetlanych komunikatów. 

Planowane rozwiązanie obejmuje stworzenie europejskich, maszynowo odczytywalnych standardów sygnałów preferencji dotyczących zgód, które będą generowane przez przeglądarki lub inne aplikacje. Standardy te mają zostać dopiero wypracowane przez organizacje normalizacyjne na wniosek Komisji. Dopiero po ich przyjęciu oraz po sześciomiesięcznym okresie przejściowym administratorzy stron internetowych będą zobowiązani do ich automatycznego respektowania. Jednocześnie przewidziano wyjątek dla dostawców usług medialnych, aby umożliwić im bezpośredni kontakt z użytkownikiem w zakresie wyborów dotyczących reklam i finansowania treści.

Jeden punkt zgłoszeń incydentów cyberbezpieczeństwa

W obecnym stanie prawnym przedsiębiorcy muszą raportować incydenty na podstawie wielu różnych aktów prawnych – NIS2, DORA, RODO, CER czy eIDAS. Powoduje to konieczność wielokrotnego wypełniania zbliżonych formularzy i kontaktu z różnymi organami, co jest źródłem niepewności i obciążeń. Digital Omnibus ma stworzyć jeden europejski kanał zgłoszeniowy, budowany przez ENISA. Raportowanie incydentu ma odbywać się tylko raz, a informacje będą automatycznie przekazywane odpowiednim organom zgodnie z właściwością. Zasady merytoryczne dotyczące tego, co należy zgłosić, nie ulegają zmianie – zmienia się wyłącznie proces, który ma stać się mniej obciążający i bardziej przejrzysty.

Uchylenie regulacji P2B

Komisja wskazała, że po wejściu w życie DSA i DMA regulacja P2B utraciła swoje znaczenie, ponieważ jej najważniejsze cele zostały przejęte przez nowe akty. Utrzymywanie jej w mocy prowadziłoby do powielania obowiązków i dezorientacji przedsiębiorców. Dlatego rozporządzenie P2B miałoby zostać uchylone, z pozostawieniem jedynie niezbędnych przepisów, które są powiązane z innymi aktami prawnymi.

Skutki gospodarcze i szacowane oszczędności

Komisja oszacowała, że uproszczenia i konsolidacja przepisów przełożą się na co najmniej pięć miliardów euro oszczędności dla przedsiębiorców w okresie trzech lat od wejścia w życie pakietu, oraz dodatkowy miliard oszczędności po stronie administracji publicznej. Wynika to głównie ze zmniejszenia liczby obowiązków powtarzalnych, redukcji kosztów związanych z obsługą incydentów, likwidacji duplikujących się regulacji oraz uproszczenia obowiązków informacyjnych i proceduralnych. Choć nie są to prawdopodobnie kwoty, które odczuje każdy przedsiębiorca indywidualnie to z całą pewnością będzie to uwolnienie znaczących środków, które być może zostaną przez biznes zainwestowane w rozwój rynku. Z drugiej strony, można założyć, że skoro znacząca kwota zostanie też uwolniona z biurokratycznej części budżetów państwa członkowskich to będzie ona mogła zostać przeznaczona w inne obszary wymagające doinwestowania.

W przypadku uchwalenia nowych przepisów dla przedsiębiorców będzie to jednak oznaczać przede wszystkim bardziej przewidywalne i mniej obciążające środowisko regulacyjne — szczególnie w obszarze danych i prywatności. Administracja publiczna zyska jasną strukturę zasad dotyczących udostępniania i pozyskiwania danych oraz mniej skomplikowane obowiązki raportowe. Użytkownicy natomiast skorzystają na uproszczeniu procesów wyrażania zgód oraz większej transparentności przetwarzania danych.

Podsumowanie

Praca nad Digital Omnibus jest pierwszym i bardzo istotnym krokiem na drodze do stworzenia bardziej spójnych, nowocześniejszych i przyjaznych dla innowacji ram prawnych dla gospodarki cyfrowej w Unii Europejskiej. Dzięki konsolidacji regulacji o danych, modernizacji RODO, uproszczeniu zasad cookies oraz utworzeniu jednolitego punktu zgłoszeń incydentów, UE zbliża się do modelu, który łączy wysoki poziom ochrony praw podstawowych z realnym wsparciem dla konkurencyjności przedsiębiorstw. Pakiet nie burzy dotychczasowych standardów, lecz porządkuje i uelastycznia cyfrowy pejzaż regulacyjny, czyniąc go bardziej spójnym i odpornym na dalszy rozwój technologiczny.