Rada UE odrzuca zmiany w definicji „danych osobowych” RODO w wyciekłym projekcie Digital Omnibus

W znaczącym zwrocie dla europejskiej polityki cyfrowej, wyciekły tekst kompromisowy Rady Unii Europejskiej sugeruje, że państwa członkowskie dążą do zablokowania proponowanych zmian w definicji „danych osobowych” w ramach Ogólnego Rozporządzenia o Ochronie Danych (RODO). Dokument z dnia 20 lutego 2026 r., rozpowszechniony przez prezydencję cypryjską, wskazuje na zdecydowaną preferencję dla utrzymania status quo zamiast bardziej ekspansywnych — i kontrowersyjnych — rewizji Komisji Europejskiej.

Projekt, który pojawił się tuż przed spotkaniami dyplomatycznymi wysokiego szczebla w Brukseli, stanowi krytyczny punkt dla tak zwanego „Digital Omnibus”. Ten pakiet legislacyjny miał na celu usprawnienie cyfrowych przepisów UE i dostosowanie ich do ery zaawansowanej sztucznej inteligencji oraz wszechobecnego przetwarzania brzegowego (edge computing). Jednak decyzja o usunięciu zmienionej definicji danych osobowych sugeruje, że państwa członkowskie obawiają się ponownego otwarcia „puszki Pandory” w zakresie fundamentalnych definicji prywatności.

Stabilność status quo

Przez niemal dekadę definicja danych osobowych służyła jako fundament europejskiego prawa ochrony prywatności. Zgodnie z obecnym RODO, dane osobowe są definiowane jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Pierwotny wniosek Komisji Europejskiej dotyczący Digital Omnibus dążył do doprecyzowania tego zapisu, potencjalnie rozszerzając zakres o bardziej niuansowe kategorie metadanych i identyfikatorów behawioralnych, które są coraz częściej generowane przez systemy AI.

Decyzja Rady o wyeliminowaniu tych rewizji odzwierciedla podejście „bezpieczeństwo przede wszystkim”. Trzymając się istniejącego tekstu, państwa członkowskie unikają ogromnej niepewności prawnej, którą wywołałaby nowa definicja. Dla firm zmiana definicji oznaczałaby konieczność ponownej oceny każdej bazy danych, każdego formularza zgody i każdej obowiązującej umowy o przetwarzanie danych. Wydaje się, że Rada przedłożyła stabilność regulacyjną nad dążenie Komisji do precyzji technicznej.

Dlaczego definicja ma znaczenie

Aby zrozumieć, dlaczego ten krok jest tak istotny, można pomyśleć o definicji danych osobowych jako o „haku jurysdykcyjnym” RODO. Jeśli dana informacja mieści się w tej definicji, stosuje się do niej pełna moc unijnego prawa ochrony prywatności. Jeśli wykracza poza nią, dane mogą być przesyłane, sprzedawane lub analizowane przy znacznie mniejszej liczbie ograniczeń.

Krytycy proponowanego rozszerzenia argumentowali, że szersza definicja mogłaby nieumyślnie objąć dane „anonimizowane”, które są obecnie wykorzystywane w badaniach medycznych i planowaniu infrastruktury. Z drugiej strony, obrońcy prywatności obawiają się, że zachowując starą definicję, UE nie radzi sobie z ryzykiem „reidentyfikacji” stwarzanym przez nowoczesne uczenie maszynowe, gdzie pozornie anonimowe punkty danych mogą zostać połączone w celu ujawnienia tożsamości jednostki.

Balansowanie prezydencji cypryjskiej

Cypr, sprawujący obecnie rotacyjną prezydencję w Radzie, stoi przed niewdzięcznym zadaniem znalezienia złotego środka między dwudziestoma siedmioma państwami członkowskimi o rozbieżnych priorytetach cyfrowych. Wyciekły tekst kompromisowy sugeruje, że zespół cypryjski koncentruje się na „harmonii proceduralnej” zamiast na „przeglądzie definicyjnym”.

Usuwając sporne rewizje dotyczące danych osobowych, prezydencja prawdopodobnie próbuje utorować drogę dla pozostałej części pakietu Digital Omnibus. Pakiet ten obejmuje istotne aktualizacje dotyczące egzekwowania transgranicznego i współpracy między krajowymi organami ochrony danych (DPA). Gdyby definicja danych osobowych pozostała na stole, mogłoby to wstrzymać cały proces legislacyjny na lata.

Implikacje dla branży technologicznej

Dla sektora technologicznego ten wyciek jest w dużej mierze postrzegany jako wytchnienie. Branża od dawna argumentuje, że RODO jest już wystarczająco skomplikowane. Zmienna definicja jego najbardziej fundamentalnego pojęcia stworzyłaby „ruchomy cel zgodności”.

Co dalej?

Projekt był rzekomo omawiany przez dyplomatów państw członkowskich 27 lutego. Jeśli Rada utrzyma to stanowisko, kolejnym etapem będą negocjacje w ramach „trilogu” między Radą, Parlamentem Europejskim i Komisją Europejską. Parlament historycznie bardziej chronił prawa osób, których dane dotyczą, i może walczyć o przywrócenie niektórych szerszych zabezpieczeń, które pierwotnie przewidziała Komisja.

Jednak jednolity front Rady w tej kwestii wysyła silny sygnał: rządy krajowe Europy nie są obecnie w nastroju do radykalnego przeprojektowywania fundamentów prywatności. Chcą, aby zasady działały lepiej, a niekoniecznie były szersze.

Praktyczne wskazówki dla organizacji

Choć definicja danych osobowych może pozostać bez zmian, krajobraz egzekwowania przepisów wciąż ewoluuje. Oto na czym powinny skupić się organizacje w miarę postępów prac nad Digital Omnibus:

• Przeprowadź audyt mapowania danych: Nawet jeśli definicja się nie zmieni, interpretacja sądów (takich jak TSUE) nadal ewoluuje. Upewnij się, że Twój inwentarz danych jest aktualny.
• Skup się na zgodności proceduralnej: Digital Omnibus prawdopodobnie wprowadzi surowsze terminy odpowiadania na zapytania organów ochrony danych. Przejrzyj wewnętrzne procesy raportowania.
• Monitoruj trilog: Ostateczny tekst nie jest jeszcze przesądzony. Śledź uważnie reakcję Parlamentu Europejskiego na ten projekt Rady w nadchodzących miesiącach.
• Inwestuj w anonimizację: Niezależnie od definicji prawnej, najlepszym sposobem na zmniejszenie ryzyka jest zapewnienie, że dane są rzeczywiście anonimizowane przy użyciu najnowocześniejszych technik odpornych na reidentyfikację.

Źródła

• European Council: Council of the European Union Overview
• Euractiv: Digital & Media Policy Reports
• Politico Europe: Tech and Data Protection Coverage
• European Commission: GDPR Procedural Rules and Digital Omnibus Documentation
• Official Journal of the European Union: GDPR Text and Definitions