Unia Europejska zapowiada kolejne zmiany w obszarze regulacji cyfrowych. Jedną z nich jest tzw. Cyfrowy Omnibus – pakiet modyfikacji istniejących przepisów dotyczących ochrony danych, sztucznej inteligencji i odpowiedzialności cyfrowej.
Jak podkreśla adwokat Mateusz Grosicki, partner w kancelarii Graś i Wspólnicy, „Cyfrowy Omnibus nie jest jedną nową ustawą, lecz pakietem skoordynowanych zmian” mających uporządkować istniejące przepisy.
REKLAMA
REKLAMA
Zwraca uwagę, że obecny krajobraz regulacyjny stał się trudny do stosowania, zwłaszcza dla mniejszych firm. Jego zdaniem Cyfrowy Omnibus ma pełnić rolę „legislacyjnego uproszczenia”, które pozwoli ograniczyć koszty dostosowania się do prawa bez rezygnacji z wysokich standardów bezpieczeństwa.
Ekspert zaznacza, że Cyfrowy Omnibus nie jest jednym aktem prawnym, lecz zestawem skoordynowanych korekt do już obowiązujących regulacji, takich jak RODO, AI Act czy Data Act. Komisja Europejska dostrzegła bowiem, że wiele pojęć jest definiowanych w różny sposób, a obowiązki sprawozdawcze często się powielają.
W praktyce ma to oznaczać mniejszą biurokrację i bardziej spójne podejście do regulacji cyfrowych.
Cyfrowy Omnibus. Nowe spojrzenie na dane osobowe
Jednym z kluczowych obszarów zmian jest definicja danych osobowych. Obecnie bardzo szeroka interpretacja sprawia, że niemal każda informacja potencjalnie umożliwiająca identyfikację osoby jest traktowana jak dane wrażliwe.
Grosicki zauważa, że dziś za dane osobowe często uznaje się informacje, które „potencjalnie mogą prowadzić do identyfikacji osoby, nawet jeśli administrator nie ma realnych środków, by tej identyfikacji dokonać”.
W efekcie nawet dane techniczne, takie jak logi systemowe, bywają traktowane na równi z numerem PESEL czy adresem zamieszkania. Cyfrowy Omnibus ma to zmienić, kładąc nacisk na rzeczywistą, a nie hipotetyczną możliwość identyfikacji użytkownika.
Nowe podejście zakłada, że dane będą uznawane za osobowe tylko wtedy, gdy ich powiązanie z konkretną osobą jest realnie możliwe przy użyciu „rozsądnych środków”.
Omnibus. Korzyści dla małych i średnich firm
Zmiana definicji danych osobowych może szczególnie mocno wpłynąć na sektor MŚP. Mniejsze przedsiębiorstwa często nie dysponują rozbudowanymi działami prawnymi czy compliance, a koszty dostosowania do przepisów bywają dla nich dużym obciążeniem.
Zdaniem eksperta nowe regulacje mogą oznaczać mniej obowiązków dokumentacyjnych, mniej ocen skutków dla ochrony danych (DPIA) oraz mniejsze ryzyko kar za nadmiernie ostrożną interpretację przepisów.
W praktyce firmy będą mogły skupić się na realnych zagrożeniach, zamiast na formalnościach.
Bardziej racjonalna ocena ryzyka
Kolejnym problemem obecnego systemu jest sposób oceny ryzyka naruszenia praw i wolności osób fizycznych. Wielu administratorów danych zgłasza dziś niemal każdy incydent, nawet drobny, „na wszelki wypadek”.
Jak zauważa Grosicki, UODO bywa traktowane jako „bezpiecznik” chroniący przed zarzutem zaniechania.
Cyfrowy Omnibus ma wprowadzić bardziej obiektywne kryteria oceny ryzyka. Pod uwagę będą brane m.in. rodzaj danych, skala naruszenia, łatwość identyfikacji osoby i możliwe skutki dla poszkodowanych.
Dzięki temu drobne błędy techniczne, takie jak omyłkowo wysłany e-mail bez wrażliwych informacji, nie będą automatycznie uznawane za incydenty wysokiego ryzyka.
Więcej czasu na zgłoszenie naruszeń
Obecnie RODO przewiduje 72 godziny na zgłoszenie naruszenia danych. W praktyce termin ten często okazuje się zbyt krótki, zwłaszcza w weekendy czy dni wolne.
Ekspert podkreśla, że prowadzi to do składania zgłoszeń „niekompletnych lub przedwczesnych”.
Nowe przepisy mają wydłużyć ten czas do 96 godzin i położyć większy nacisk na jakość przekazywanych informacji, a nie wyłącznie na szybkość reakcji.
Zmęczenie regulacyjne i próba równowagi
Mateusz Grosicki zwraca też uwagę, że Cyfrowy Omnibus jest odpowiedzią na narastające zmęczenie regulacyjne przedsiębiorców. Jego zdaniem Unia Europejska dostrzegła, że nadmiar przepisów może osłabiać innowacyjność i rozwój gospodarczy.
Jak pisze ekspert, zmiany „mogą realnie: obniżyć koszty compliance, zmniejszyć liczbę niepotrzebnych obowiązków, poprawić jakość ochrony danych zamiast jej pozorowania”.