Wchodząc w 2026 r., warto mieć z tyłu głowy jedną rzecz: RODO nie „kończy się” ani nie zostaje automatycznie poluzowane z Nowym Rokiem. To, co dziś bywa nazywane „deregulacją”, jest w praktyce zbiorem projektów zmian na poziomie UE, które dopiero przechodzą normalną ścieżkę legislacyjną. Oznacza to, że w 2026 r. najpewniej zobaczymy przede wszystkim negocjacje, poprawki i doprecyzowania, a nie jednorazową rewolucję.

Najbardziej konkretna i „przyziemna” propozycja dotyczy obszaru, który wiele organizacji odczuwa jako uciążliwy w codziennym compliance, czyli obowiązków dokumentacyjnych. Komisja Europejska w ramach tzw. czwartego pakietu uproszczeń (Omnibus IV) zaproponowała zmianę art. 30 ust. 5 RODO, czyli przepisu o zwolnieniu z prowadzenia rejestru czynności przetwarzania. Dziś zwolnienie to jest powiązane przede wszystkim z progiem 250 pracowników oraz dodatkowymi warunkami, które w praktyce sprawiają, że wyjątek bywa trudny do zastosowania (a większości przypadków z uwagi na dane wrażliwe dotyczące zatrudnienia wręcz niemożliwy do zastosowania). W projekcie pojawia się kierunek, aby zwolnienie mogło obejmować podmioty zatrudniające mniej niż 750 osób, przy czym jednocześnie ma działać istotne „bezpiecznikowe” ograniczenie: zwolnienie nie miałoby zastosowania, jeżeli dana operacja przetwarzania prawdopodobnie będzie skutkować wysokim ryzykiem dla praw i wolności osób w rozumieniu art. 35 RODO. W uproszczeniu można powiedzieć tak: mniej formalności dla części organizacji, ale tylko tam, gdzie nie wchodzimy w obszary o podwyższonym ryzyku.

Jak to może wyglądać w codziennym życiu organizacji? Wyobraźmy sobie firmę usługową zatrudniającą około 600 osób, która przetwarza typowe dane klientów i kontrahentów w CRM, prowadzi księgowość i obsługuje reklamacje. W takim profilu działalności przedsiębiorca może być kuszony myślą: „skoro będzie prościej, to po co nam rejestr?”. Problem w tym, że rejestr jest nie tylko „formularzem do odhaczenia”, ale też mapą, która pozwala szybko odpowiedzieć na pytania praktyczne: komu udostępniamy dane, jak długo je trzymamy, na jakiej podstawie prawnej działamy, czy mamy transfer poza EOG, gdzie są ryzyka. Dlatego nawet tam, gdzie formalnie pojawi się szerszy wyjątek, wiele firm i tak będzie trzymać rejestr w jakiejś formie, bo bez niego trudno sensownie zarządzać retencją, uprawnieniami dostępu i reakcją na incydenty. Ten argument podnoszą też europejskie organy ochrony danych, które co do zasady „widzą sens uproszczeń”, ale wskazują, że rejestry realnie wspierają rozliczalność i zgodność.

Najlepiej widać to na przykładzie działu HR. Nawet w średniej firmie przetwarzanie danych kadrowych zwykle obejmuje informacje o zdrowiu (zwolnienia lekarskie), dane o niekaralności w niektórych zawodach czy dokumentację wypadków przy pracy. To są obszary, w których bardzo łatwo zahaczyć o wyższe ryzyko dla pracowników, a wtedy logika „zwolnienia z rejestru” może po prostu nie znaleźć zastosowania. Innymi słowy, w 2026 r. możemy mówić raczej o ułatwieniu dla wycinka procesów o niższym ryzyku, a nie o generalnym zwolnieniu z porządkowania danych w organizacji.

Z perspektywy 2026 r. ważne jest też to, jak do tego pomysłu podchodzą instytucje odpowiedzialne za spójność ochrony danych w UE. EDPB i EDPS w swoich stanowiskach co do Omnibus IV zasadniczo dostrzegają sens upraszczania, ale równocześnie podkreślają, że rejestry są narzędziem realnej „rozliczalności” i pomagają spełniać szereg obowiązków RODO w praktyce. Wspólna opinia tych organów pokazuje także, że w 2026 r. możemy spodziewać się dalszych dyskusji o tym, czy próg „750” jest właściwie uzasadniony oraz jak w praktyce rozumieć kryterium „wysokiego ryzyka”.

Naruszenia danych – możliwe przestawienie progu i terminu

Druga część dyskusji, która może mocno wybrzmiewać w 2026 r., dotyczy planów określanych jako „Digital Omnibus”. W komentarzach do projektu pojawiają się propozycje, aby obowiązek zgłoszenia naruszenia do organu nadzorczego był powiązany z sytuacjami „wysokiego ryzyka”, a termin na zgłoszenie był dłuższy (w debacie przewija się 96 godzin).

Jeżeli taki kierunek utrzymałby się w finalnym tekście, to w praktyce mogłoby oznaczać mniej zgłoszeń „na wszelki wypadek”, ale jednocześnie większą wagę rzetelnej oceny ryzyka i dowodów, że ta ocena została wykonana porządnie. Dla zobrazowania: przy klasycznym incydencie phishingowym, w którym pracownik kliknie w link, a atakujący uzyska dostęp do skrzynki pocztowej, firma zwykle musi szybko ustalić, czy doszło do naruszenia poufności danych, jakiego rodzaju dane wyciekły i czy realnie może to przełożyć się na szkody po stronie osób (np. podszywanie się, wyłudzenia). W podejściu „wysokiego ryzyka” kluczowe staje się to, czy w skrzynce były np. skany dokumentów, dane płacowe, informacje zdrowotne albo komplet danych umożliwiający łatwe przejęcie kont, bo wtedy ryzyko rośnie. Niezależnie od tego, czy progi zostaną kiedyś przesunięte, w 2026 r. na pewno pozostanie aktualne jedno: brak zgłoszenia będzie trzeba umieć uzasadnić i udokumentować, bo „mniej formalności” nie znaczy „mniej odpowiedzialności”.

„Cookies” i zgody – możliwe nowe mechanizmy preferencji

Trzeci obszar, który przyciąga uwagę mediów i praktyków, dotyczy tak zwanych „cookies”. Wokół Digital Omnibus pojawiają się analizy, że Komisja chce „zintegrować” część zasad kojarzonych dotąd z ePrivacy z reżimem RODO, a jednocześnie zająć się problemem zmęczenia użytkowników ciągłymi komunikatami o zgodach.

Co to może oznaczać w praktyce? Jednym ze scenariuszy, o którym mówi się w analizach, jest większa rola sygnałów preferencji użytkownika ustawianych w narzędziu lub przeglądarce. Wyobraźmy sobie osobę, która w przeglądarce ustawia preferencję „nie zgadzam się na śledzenie reklamowe”. Jeśli prawo pójdzie w stronę takich mechanizmów, firmy prowadzące serwisy będą musiały dostosować narzędzia analityczne i marketingowe tak, aby „czytać” i respektować te sygnały, zamiast za każdym razem wymuszać klikanie w baner. To mogłoby uprościć doświadczenie użytkownika, ale jednocześnie wymagałoby od organizacji porządku integracjach i umowach z dostawcami narzędzi, bo inaczej w praktyce łatwo o chaos.

Jednocześnie warto studzić oczekiwania, że „banery znikną”. Jeżeli model pozostanie oparty na zgodzie dla pewnych zastosowań, to komunikacja z użytkownikiem w jakiejś formie będzie nadal potrzebna, tylko być może będzie działała inaczej i bardziej „systemowo”.

Dane i AI

W 2026 r. mocno będzie też żył spór o to, czy i w jakim zakresie zmiany mają ułatwić korzystanie z danych przy trenowaniu modeli AI. W doniesieniach prasowych pojawiają się tezy o ryzyku osłabienia standardów i o tym, że duże podmioty technologiczne mogłyby zyskać większą swobodę wykorzystywania danych do celów rozwoju AI. To jest jednak obszar, w którym różnice stanowisk są szczególnie ostre, więc 2026 r. może przynieść bardziej „polityczną przepychankę” i poprawki niż szybkie domknięcie tematu w stabilnej formie.

Jaki jest kierunek zmian i czego można się spodziewać w 2026 r.?

Kierunek proponowanych zmian można opisać jako „uproszczenie selektywne, oparte na ryzyku”, a nie jako odejście od standardu ochrony danych. W pakiecie Omnibus IV akcent pada przede wszystkim na zmniejszenie obowiązków administracyjnych w obszarze rejestrów czynności przetwarzania, przy jednoczesnym pozostawieniu wyraźnego „hamulca bezpieczeństwa” dla operacji mogących powodować wysokie ryzyko. Równolegle Digital Omnibus jest przedstawiany przez Komisję jako zestaw technicznych zmian mających przynieść „szybką ulgę” i poprawić konkurencyjność, ale obejmuje też propozycje, które w praktyce mogą przełożyć się na odczuwalne przestawienie niektórych mechanizmów RODO, zwłaszcza w obszarze incydentów i rozwiązań „zgodowych” w środowisku online.

W 2026 r. najbardziej realistyczny scenariusz to nie natychmiastowe nowe obowiązki „od stycznia”, tylko kolejne etapy prac legislacyjnych. Na początku roku temat będzie żył w konsultacjach, analizach oraz pracach roboczych w instytucjach UE.

Na tym tle warto zakładać, że rok 2026 będzie przede wszystkim czasem doprecyzowań i negocjacji, a nie „odkręcenia” RODO, przy czym najbardziej intensywne spory mogą dotyczyć tego, jak daleko mają iść zmiany w zakresie zgłaszania naruszeń oraz wykorzystywania danych w kontekście rozwoju AI.