W maju 2025 r. Komisja Europejska przedstawiła wniosek legislacyjny COM(2025) 501 final, znany jako Omnibus IV. Jest to kolejny etap unijnego programu „Lepszego stanowienia prawa”, którego celem jest zmniejszenie obciążeń administracyjnych przedsiębiorstw i wprowadzenie większej proporcjonalności obowiązków w prawie Unii.
Wniosek obejmuje zmiany w szeregu rozporządzeń sektorowych, w tym w RODO (2016/679), oraz w aktach dotyczących ochrony handlu, prospektów emisyjnych, baterii i gazów cieplarnianych.
Celem wniosku Omnibus IV nie jest pełne zrównanie małych spółek o średniej kapitalizacji z MŚP, lecz częściowe rozszerzenie na nie wybranych środków łagodzących, przewidzianych dotąd wyłącznie dla mniejszych podmiotów. Komisja Europejska dostrzega, że spółki te, mimo większej skali działalności, często napotykają podobne bariery regulacyjne i administracyjne jak MŚP, zwłaszcza w zakresie kosztów wdrażania przepisów unijnych.
Proponowane zmiany mają więc charakter technicznego doprecyzowania i umiarkowanego odciążenia, a nie zasadniczej zmiany statusu tych spółek w prawie UE. Ich celem jest zmniejszenie biurokratycznych obciążeń tam, gdzie nie wpływa to negatywnie na skuteczność regulacji, w szczególności w obszarze ochrony danych, raportowania i certyfikacji.
Zmiany w RODO (Rozporządzenie (UE) 2016/679)
Art. 30 Rejestr czynności przetwarzania danych osobowych
Artykuł 30 RODO nakłada na każdego administratora i podmiot przetwarzający obowiązek prowadzenia rejestru czynności przetwarzania danych. Zgodnie z art. 30 ust. 5 obecnego brzmienia, zwolnienie z tego obowiązku przysługuje MŚP oraz organizacjom zatrudniającym mniej niż 250 osób, o ile ich przetwarzanie nie jest regularne ani nie obejmuje danych wrażliwych.
Projekt Omnibus IV przewiduje istotne doprecyzowanie i rozszerzenie tego przepisu.
Po zmianach obowiązek prowadzenia rejestru będzie miał zastosowanie tylko wówczas, gdy czynności przetwarzania z dużym prawdopodobieństwem mogą powodować „wysokie ryzyko” naruszenia praw lub wolności osób, zgodnie z art. 35 RODO.
W konsekwencji kryterium liczby pracowników ustąpi miejsca ocenie faktycznego ryzyka przetwarzania. Z obowiązku prowadzenia rejestru będą zatem zwolnione nie tylko MŚP, lecz także małe spółki o średniej kapitalizacji, chyba że ich działalność wiąże się z wysokim ryzykiem.
W motywach projektu sprecyzowano również, że samo przetwarzanie danych szczególnych kategorii, o którym mowa w art. 9 ust. 2 lit. b) RODO, nie będzie automatycznie oznaczało obowiązku prowadzenia rejestru, jeśli nie stwarza wysokiego ryzyka dla osób, których dane dotyczą.
Z praktycznego punktu widzenia oznacza to znaczne uproszczenie obowiązków dokumentacyjnych dla tysięcy przedsiębiorstw, zwłaszcza tych, które przetwarzają dane osobowe w ograniczonym zakresie – np. w procesach HR, marketingu czy obsługi klienta.
Art. 40 Kodeksy postępowania
Artykuł 40 RODO zobowiązuje państwa członkowskie, organy nadzorcze i Komisję do promowania opracowywania kodeksów postępowania przez organizacje branżowe. Kodeksy te służą ujednoliceniu praktyk przetwarzania i uwzględnieniu potrzeb MŚP.
Omnibus IV proponuje rozszerzenie tego przepisu poprzez dodanie odniesienia do małych spółek o średniej kapitalizacji. Oznacza to, że przy tworzeniu i zatwierdzaniu kodeksów postępowania organy będą musiały uwzględniać również szczególne uwarunkowania organizacyjne i finansowe większych, ale wciąż niekorporacyjnych przedsiębiorstw.
W praktyce umożliwi to bardziej realistyczne podejście do wymagań w sektorach, które przetwarzają dane w sposób złożony technicznie, lecz bez rozbudowanych struktur compliance typowych dla dużych grup kapitałowych.
Art. 42 Certyfikacja zgodności z RODO
Certyfikacja, o której mowa w art. 42 RODO, ma na celu potwierdzenie zgodności procesów z zasadami ochrony danych poprzez akredytowane jednostki certyfikujące.
W projekcie Omnibus IV dodano wyraźne odniesienie do małych spółek o średniej kapitalizacji, których potrzeby mają być brane pod uwagę przy opracowywaniu i wdrażaniu mechanizmów certyfikacji.
To rozwiązanie ma zwiększyć dostępność certyfikatów zgodności dla firm średniej wielkości, które dotychczas często rezygnowały z tego narzędzia z powodu wysokich kosztów i złożonych procedur. W konsekwencji certyfikacja może stać się bardziej praktycznym narzędziem potwierdzającym zgodność z RODO także w segmencie spółek średnich.
Pozostałe rozporządzenia objęte projektem Omnibus IV
Poza zmianami w RODO, Omnibus IV obejmuje również korekty w innych aktach prawnych, m.in. w rozporządzeniach dotyczących ochrony handlu, prospektów emisyjnych, baterii i fluorowanych gazów cieplarnianych. We wszystkich tych przypadkach celem jest rozszerzenie istniejących ułatwień i zwolnień przewidzianych dla MŚP na małe spółki o średniej kapitalizacji, m.in. poprzez uproszczenie procedur, rzadsze obowiązki sprawozdawcze i lepsze dopasowanie wymogów do ich skali działalności. Proponowane zmiany mają charakter techniczny i porządkujący, wpisując się w szerszy proces redukcji obciążeń administracyjnych w prawie Unii Europejskiej.
Głos z Polski w konsultacjach nad projektem Omnibus IV
W ramach konsultacji publicznych dotyczących wniosku COM(2025) 501 final, swoje stanowisko przekazała również Izba Gospodarcza Wodociągi Polskie (opinia nr F3593127 z dnia 25 sierpnia 2025 r.), reprezentująca przedsiębiorstwa wodociągowo-kanalizacyjne w Polsce.
W opinii wskazano, że jednym z kluczowych problemów praktycznego stosowania RODO pozostaje brak jednoznacznej definicji pojęcia „wysokiego ryzyka naruszenia praw lub wolności osób”. Izba zaproponowała, by w ramach zmian wprowadzanych przez Omnibus IV uzupełnić art. 4 RODO o legalną definicję ryzyka, powiązaną z obowiązkami wynikającymi z art. 24 (odpowiedzialność administratora), art. 33 (zgłaszanie naruszeń) i art. 35 (ocena skutków dla ochrony danych).
Stanowisko przedstawione przez Izbę Gospodarczą Wodociągi Polskie należy ocenić jako merytorycznie uzasadnione i istotne z punktu widzenia spójności stosowania RODO. Brak jednoznacznej definicji pojęcia „wysokiego ryzyka naruszenia praw lub wolności osób fizycznych” pozostaje jednym z najbardziej problematycznych obszarów praktyki stosowania rozporządzenia. Obecnie ocena poziomu ryzyka opiera się na uznaniowej interpretacji administratorów i organów nadzorczych, co prowadzi do niejednolitego stosowania art. 24, 33 i 35 RODO oraz znaczących rozbieżności w ocenie obowiązku przeprowadzenia oceny skutków dla ochrony danych (DPIA) czy zgłoszenia naruszenia organowi nadzorczemu.
Z perspektywy zasady pewności prawa i proporcjonalności, brak definicji legalnej „wysokiego ryzyka” stanowi istotną lukę systemową, która nie powinna być wypełniana wyłącznie przez wytyczne Europejskiej Rady Ochrony Danych lub praktykę krajowych organów. Ujednolicenie tego pojęcia na poziomie prawa pierwotnego lub poprzez załącznik metodyczny do RODO pozwoliłoby zredukować arbitralność interpretacyjną i zwiększyć przewidywalność działań administratorów danych.
Postulat wprowadzenia takiej definicji, czy to w art. 4 RODO, czy w formie załącznika wskazującego kryteria oceny ryzyka, należy uznać za propozycję spójną z duchem art. 35 ust. 1 RODO, który nakazuje dokonanie oceny ryzyka jeszcze przed rozpoczęciem przetwarzania. Wprowadzenie takiego rozwiązania byłoby zatem uzasadnione zarówno z punktu widzenia interesu administratorów, jak i skuteczności egzekwowania prawa przez organy nadzorcze.
Omnibus IV a realne potrzeby praktyki ochrony danych
Mimo, że projekt Omnibus IV obejmuje zmiany w RODO, jego zakres pozostaje ściśle techniczny i ograniczony do kwestii administracyjnych. Celem tych modyfikacji jest głównie uproszczenie obowiązków dla mikro, małych i średnich przedsiębiorstw oraz małych spółek o średniej kapitalizacji, w tym złagodzenie wymogów dotyczących prowadzenia rejestrów czynności przetwarzania. Projekt nie odnosi się jednak do problemów natury interpretacyjnej, takich jak właśnie brak jednoznacznej definicji pojęcia „wysokiego ryzyka naruszenia praw lub wolności osób”. Dodatkowo proponowane zmiany nie odnoszą się do rosnącego znaczenia oceny ryzyka w innych regulacjach unijnych dotyczących bezpieczeństwa informacji. Brak spójnej metodologii pomiędzy RODO, DORA i NIS2 może prowadzić do powielania obowiązków lub rozbieżnych standardów oceny ryzyka operacyjnego i ochrony danych. Należałoby zadbać o harmonizację definicji ryzyka i zasad jego szacowania między tymi aktami.
W rezultacie Omnibus IV, choć zmniejsza obciążenia formalne, nie dopełnia systemu ochrony danych osobowych w sensie merytorycznym. Kluczowe kwestie, takie jak ujednolicenie metodyki oceny ryzyka i zapewnienie spójności stosowania przepisów przez organy nadzorcze w całej Unii, pozostają nadal otwarte.
