Digital Omnibus, czyli RODO 2.0 — co naprawdę zmienia się w ochronie danych w 2026 roku

Bruksela, 7 maja 2026 — wieczór, w którym RODO przestało być nietykalne

Późnym wieczorem 7 maja 2026 r., po kilkunastu godzinach rozmów trójstronnych, negocjatorzy Rady Unii Europejskiej i Parlamentu Europejskiego ogłosili wstępne porozumienie w sprawie uproszczenia części przepisów o sztucznej inteligencji. Komunikat był techniczny, suchy, napisany językiem, który usypia po trzecim akapicie. A jednak właśnie wtedy — niemal niezauważalnie — pękł pewien dogmat, który towarzyszył nam od ośmiu lat: że ogólne rozporządzenie o ochronie danych jest aktem świętym, nietykalnym, w który nikt w Brukseli nie odważy się wsadzić palca.

Bo porozumienie z 7 maja to dopiero druga połowa znacznie większej operacji. Pierwsza ruszyła pół roku wcześniej. 19 listopada 2025 r. Komisja Europejska przedstawiła pakiet Digital Omnibus — zestaw projektów legislacyjnych, które po raz pierwszy od 2016 roku otwierają RODO do gruntownej rewizji, a przy okazji scalają, upraszczają i miejscami demontują niemal cały dorobek prawa cyfrowego Unii: dyrektywę ePrivacy, Data Act, Data Governance Act, przepisy o cyberbezpieczeństwie — NIS-2, DORA, CER — a także eIDAS i rozporządzenie P2B. Komisja obiecuje przedsiębiorcom oszczędności rzędu co najmniej pięciu miliardów euro w trzy lata. Austriacki aktywista Max Schrems i jego organizacja noyb odpowiadają, że to „uproszczenie" jest dalekie od rzeczywistych potrzeb biznesu, za to bardzo bliskie potrzebom wielkich platform — i że pod hasłem cięcia biurokracji odbywa się ciche osłabienie praw podstawowych.

Kto ma rację? Jak zwykle — obie strony po trochu. Poniżej rozkładamy Digital Omnibus na czynniki pierwsze: co dokładnie zmienia w RODO, co w przepisach o AI, co w cookies, a co w zgłaszaniu incydentów. I — co dla polskiego administratora najważniejsze — co z tego jest już prawem, a co dopiero politycznym sygnałem, na którym nie wolno opierać decyzji o demontażu własnej zgodności.

Czym jest Digital Omnibus i skąd się wziął

Nazwa „omnibus" w żargonie brukselskim oznacza akt, który jednym ruchem zmienia wiele innych aktów naraz — legislacyjny autobus, który zabiera po drodze kilkunastu pasażerów. Digital Omnibus to w istocie dwa równoległe projekty: jeden poświęcony danym i prywatności, drugi — sztucznej inteligencji. Komisja prezentuje go jako pierwszy etap szerszego programu „odchudzania" cyfrowego acquis, czyli całego zbioru regulacji przyjętych w gorączkowych latach 2016–2024, gdy Unia próbowała okiełznać technologię szybciej, niż technologia pozwalała się okiełznać.

Diagnoza, na której opiera się pakiet, jest trudna do podważenia. Regulacje wdrażano warstwami, niezależnie od siebie, bez wspólnego słownika pojęć. Przedsiębiorca przetwarzający dane i prowadzący usługę cyfrową musiał jednocześnie żonglować RODO, ePrivacy, Data Act, NIS-2 i — w sektorze finansowym — DORA, a każdy z tych aktów inaczej definiował te same zjawiska, inaczej rozkładał terminy i wymagał kontaktu z innym organem. Koszt tej fragmentacji ponosili wszyscy: firmy, organizacje społeczne i administracja publiczna, która w jednej gminie potrafi podlegać RODO jako administrator, KSC jako podmiot publiczny i przepisom o ponownym wykorzystaniu danych jako dysponent informacji sektora publicznego.

Digital Omnibus odpowiada na to czterema ruchami. Po pierwsze, konsoliduje prawo o danych w jeden One Data Act, wchłaniając Data Governance Act, dyrektywę o otwartych danych i rozporządzenie o swobodnym przepływie danych nieosobowych do zmienionego Data Act. Po drugie, modernizuje RODO i ePrivacy. Po trzecie, tworzy jeden punkt zgłaszania incydentów cyberbezpieczeństwa. Po czwarte, uchyla przepisy, które straciły rację bytu — jak rozporządzenie P2B, którego funkcje przejęły akty o usługach i rynkach cyfrowych, DSA i DMA. Brzmi rozsądnie. Diabeł, jak zwykle, mieszka w definicjach.

Nowa definicja danych osobowych — najgłębsza zmiana, o której prawie nikt nie mówi

Gdyby z całego pakietu trzeba było wskazać jeden przepis, który zmieni codzienność administratorów najmocniej, byłaby to nowelizacja art. 4 pkt 1 RODO — definicji danych osobowych. Dziś obowiązuje wykładnia absolutna: informacja jest daną osobową, jeśli istnieje jakakolwiek, choćby teoretyczna, możliwość powiązania jej z osobą fizyczną przez kogokolwiek na świecie. To podejście, ugruntowane orzecznictwem Trybunału Sprawiedliwości UE, sprawia, że praktycznie każdy zaszyfrowany czy zhashowany identyfikator bywa traktowany jak dana osobowa, bo gdzieś, ktoś, dysponując odpowiednim kluczem, mógłby teoretycznie dokonać reidentyfikacji.

Digital Omnibus proponuje przejście na podejście względne, kontekstowe. Informacja ma być daną osobową wtedy i tylko wtedy, gdy konkretny podmiot, który ją przetwarza, jest w stanie realnie zidentyfikować osobę, której dotyczy — przy użyciu środków, po które rozsądnie rzecz biorąc mógłby sięgnąć w danych okolicznościach. Innymi słowy: ten sam zbiór danych może być daną osobową dla jednej firmy, która posiada klucz reidentyfikacji, a daną nieosobową dla drugiej, która tego klucza nie ma i nie może go zdobyć rozsądnym wysiłkiem. Komisja domyka to doprecyzowaniem zasad pseudonimizacji — wskazując, kiedy jest ona na tyle skuteczna, że dane można uznać za nieosobowe w rękach podmiotu pozbawionego dostępu do informacji dodatkowych.

Dla badań naukowych, projektów analitycznych i rozwoju sztucznej inteligencji to zmiana fundamentalna — nagle ogromne wolumeny danych wypadają spod reżimu RODO. Dla obrońców prywatności to dokładnie ten sam mechanizm widziany od ciemnej strony: definicja, która przez osiem lat wyznaczała szeroki, ochronny zakres rozporządzenia, zostaje zwężona, a wraz z nią — krąg sytuacji, w których obywatelowi przysługują jego prawa. Spór nie jest akademicki. Od tego, czy dany rekord jest „osobowy", zależy, czy trzeba spełnić obowiązek informacyjny, czy obywatel może żądać dostępu, sprostowania i usunięcia, i czy organ nadzoru może w ogóle interweniować.

Trenowanie AI na danych osobowych — uzasadniony interes wchodzi do gry

Drugi ciężar gatunkowy pakietu dotyczy sztucznej inteligencji. Od kiedy modele uczenia maszynowego zaczęły pożerać dane w skali internetu, europejscy administratorzy zadawali jedno, pozornie proste pytanie: na jakiej podstawie prawnej wolno wykorzystać dane osobowe do trenowania modelu? Zgoda jest w praktyce niewykonalna przy zbiorach liczonych w miliardach rekordów. Umowa — rzadko adekwatna. Pozostawał uzasadniony interes administratora z art. 6 ust. 1 lit. f RODO, ale bez wyraźnego potwierdzenia ze strony prawodawcy mało kto chciał na nim budować ryzykowny projekt.

Digital Omnibus to potwierdzenie wprost dostarcza. Przetwarzanie danych osobowych na potrzeby rozwoju i działania systemów sztucznej inteligencji może opierać się na uzasadnionym interesie — pod warunkiem przeprowadzenia rzetelnego testu równowagi, z osobnym uwzględnieniem praw i wolności osób, w tym dzieci. Część dotycząca AI idzie dalej: w odniesieniu do szczególnych kategorii danych — tych z art. 9, czyli między innymi danych o zdrowiu, pochodzeniu czy poglądach — utrzymano standard „absolutnej konieczności" dla przetwarzania ich w celu wykrywania i korygowania stronniczości modeli. To ukłon w stronę realiów: w dużych zbiorach treningowych dane wrażliwe pojawiają się mimochodem, a paradoksalnie ich kontrolowane użycie bywa konieczne, by model nie dyskryminował.

Dla polskich firm wdrażających AI — od kancelarii budującej asystenta do analizy umów po spółkę komunalną testującą predykcję awarii sieci — to realne odblokowanie. Ale uwaga: potwierdzenie podstawy prawnej nie zwalnia z testu równowagi, z obowiązków informacyjnych ani z oceny skutków dla ochrony danych tam, gdzie ryzyko jest wysokie. O tym, jak AI Act i bezpieczeństwo informacji splatają się w jeden reżim, pisaliśmy szerzej w artykule o AI Act a bezpieczeństwie informacji — Digital Omnibus tę układankę nie tyle upraszcza, ile przestawia.

Dziewięćdziesiąt sześć godzin zamiast siedemdziesięciu dwóch — i tylko przy wysokim ryzyku

Każdy, kto choć raz zgłaszał naruszenie ochrony danych do Prezesa UODO, zna stres siedemdziesięciu dwóch godzin. Zegar rusza w chwili stwierdzenia naruszenia, a w weekend albo w czasie ataku ransomware, gdy połowa zespołu walczy o przywrócenie systemów, te trzy doby potrafią się rozpłynąć w godzinę. Digital Omnibus proponuje dwie korekty, które realnie ulżą zwłaszcza mniejszym podmiotom.

Po pierwsze, wydłużenie terminu zgłoszenia do organu nadzorczego z 72 do 96 godzin. Cztery doby zamiast trzech to nie luksus — to różnica między zgłoszeniem przemyślanym a zgłoszeniem panicznym, w którym administrator deklaruje rzeczy, których potem nie da się cofnąć. Po drugie — i to zmiana istotniejsza — zawężenie obowiązku zgłoszenia wyłącznie do naruszeń, które prawdopodobnie skutkują wysokim ryzykiem dla praw i wolności osób. Dziś próg jest niższy: zgłasza się każde naruszenie, które „może skutkować ryzykiem", a od oceny zwalnia jedynie sytuacja, gdy ryzyko jest mało prawdopodobne. Po zmianie znika obowiązek zgłaszania incydentów drobnych, o znikomych skutkach, których dziś organy nadzoru i tak nie są w stanie przerobić.

Komisja dorzuca do tego uproszczenie obowiązków informacyjnych dla przetwarzania niskiego ryzyka. Dla firmy o niewielkich zasobach, dla samorządowej jednostki budżetowej bez własnego działu prawnego, to oddech. Dla obrońcy prywatności — kolejne miejsce, w którym poprzeczka ochrony nieznacznie opada. Granica „wysokiego ryzyka" jest pojęciem ocennym, a każde pojęcie ocenne to przyszły spór z organem nadzoru i przyszłe orzeczenie sądu administracyjnego.

Koniec banerów cookies — ale nie od jutra i nie za darmo

Jeśli istnieje jeden element Digital Omnibus, który poczuje każdy internauta, to reforma zgód na operacje na urządzeniach końcowych — czyli, mówiąc po ludzku, koniec ery klikania „Akceptuję wszystkie" na każdej stronie. Komisja przyznaje wprost to, co użytkownicy wiedzą od lat: banery cookies nie realizują celu informacyjnego, nie dają realnej kontroli nad prywatnością, a jedynie męczą i przyzwyczajają do bezmyślnego klikania. Klasyczne „cookie fatigue".

Rozwiązanie ma dwa filary. Pierwszy: przeniesienie zasad dotyczących cookies i podobnych technologii z dyrektywy ePrivacy do RODO, co kończy wieloletni dualizm, w którym te same dane podlegały dwóm różnym reżimom. Drugi: stworzenie maszynowo odczytywalnych, ogólnoeuropejskich sygnałów preferencji — ustawień zgody generowanych raz, na poziomie przeglądarki lub systemu, które strony internetowe będą musiały automatycznie respektować. Użytkownik raz określa, czego sobie życzy, a banery przestają być potrzebne. Rozszerzono też katalog sytuacji, w których zgoda w ogóle nie jest wymagana — na przykład dla pomiarów statystycznych o niskiej ingerencji.

Tyle że — i tu kończy się sielanka — sygnałów tych jeszcze nie ma. Mają je dopiero wypracować organizacje normalizacyjne na wniosek Komisji. Dopiero po przyjęciu standardu i sześciomiesięcznym okresie przejściowym administratorzy stron będą zobowiązani je honorować. Do tego czasu banery zostają z nami. Przewidziano również wyjątek dla dostawców usług medialnych, którzy zachowają możliwość bezpośredniego kontaktu z użytkownikiem w sprawie reklamy i finansowania treści — co już dziś budzi pytania, czy reforma nie tworzy furtki dla największych wydawców.

Jeden punkt zgłoszeń incydentów — koniec wypełniania tych samych formularzy pięć razy

Dla podmiotów objętych jednocześnie kilkoma reżimami — a takich w Polsce po nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa przybywa lawinowo — Digital Omnibus przynosi zmianę czysto proceduralną, ale niezwykle praktyczną. Dziś poważny incydent bezpieczeństwa potrafi uruchomić obowiązek raportowania równolegle na podstawie NIS-2, DORA, RODO, CER i eIDAS — do różnych organów, w różnych terminach, na różnych formularzach, które w 80% pokrywają się treścią. Administrator, zamiast gasić pożar, wypełnia pięć razy te same rubryki.

Pakiet tworzy jeden europejski kanał zgłoszeniowy budowany przez ENISA. Zasada jest prosta: zgłaszasz incydent raz, a system automatycznie przekazuje informację właściwym organom zgodnie z ich kompetencją. Co ważne — przesłanki merytoryczne się nie zmieniają. To, co i kiedy należy zgłosić, pozostaje takie samo; zmienia się wyłącznie sposób, w jaki się to robi. To rzadki przykład uproszczenia, które niczego nie odbiera obywatelowi, a realnie odciąża zobowiązanego. Dla podmiotu, który dopiero układa swoje obowiązki po wejściu w życie znowelizowanego KSC — o czym pisaliśmy w analizie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa — to sygnał, by procedurę zgłaszania incydentów projektować z myślą o przyszłym, jednolitym punkcie, a nie kopiować pięciu odrębnych ścieżek.

Ścieżka AI Act — co dokładnie ustalono 7 maja 2026

Wróćmy do wieczoru, od którego zaczęliśmy. Wstępne porozumienie z 7 maja 2026 r. dotyczy nie RODO, lecz AI Act — i jest częścią tej samej operacji upraszczania. Najgłośniejszy jego element to odroczenie stosowania przepisów o systemach AI wysokiego ryzyka o nie więcej niż szesnaście miesięcy. Branża, która od miesięcy alarmowała, że nie zdąży przygotować się na pierwotne terminy, dostała oddech. Krytycy odpowiadają, że odraczanie ochrony to też forma jej osłabiania.

W porozumieniu znalazło się jednak kilka elementów, które idą w przeciwnym kierunku — zaostrzającym. Wprowadzono zakaz stosowania tak zwanych „nudifier apps" — aplikacji generujących nagie wizerunki bez zgody osoby — ze szczególnym uwzględnieniem materiałów przedstawiających wykorzystywanie seksualne dzieci. Przywrócono obowiązek rejestracji systemów AI wysokiego ryzyka w unijnej bazie także wtedy, gdy dostawca sam uznaje, że jego system jest z klasyfikacji wyłączony — to zamknięcie luki, przez którą można było wymknąć się spod nadzoru. Przedłużono termin na ustanowienie krajowych piaskownic regulacyjnych AI do 2 sierpnia 2027 r., a okres karencji na wdrożenie obowiązków przejrzystości wobec treści generowanych sztucznie skrócono do trzech miesięcy — z nowym terminem 2 grudnia 2026 r. Doprecyzowano wreszcie kompetencje Urzędu ds. AI wobec systemów opartych na modelach ogólnego przeznaczenia.

I tu uwaga kardynalna: wstępne porozumienie nie jest prawem. Ma charakter polityczny — wyznacza kierunek, ale nie wywołuje skutków prawnych, dopóki projekt nie zostanie formalnie zatwierdzony przez Radę i Parlament, a następnie opublikowany w Dzienniku Urzędowym UE. To samo dotyczy całej części RODO-wej Digital Omnibus, która wciąż jest projektem Komisji na początku drogi legislacyjnej. Kto dziś rozmontuje swoją zgodność, licząc na to, co „przecież już uzgodniono", popełni błąd kosztowny i — co gorsza — całkowicie własny.

„Uproszczenie" czy ciche osłabienie ochrony? Spór, który dopiero się rozkręca

Wokół Digital Omnibus uformowały się dwa obozy i warto znać argumenty obu, bo to one ukształtują ostateczny kształt przepisów. Zwolennicy — z Komisją na czele i sporą częścią środowiska biznesowego — wskazują, że RODO w wersji z 2016 roku powstało w świecie sprzed eksplozji generatywnej AI, że jego absolutna definicja danych osobowych prowadzi do absurdów, a fragmentacja obowiązków raportowych realnie hamuje europejską konkurencyjność. Pięć miliardów euro oszczędności w trzy lata to, w ich narracji, środki, które firmy zainwestują w rozwój zamiast w wypełnianie formularzy.

Obóz przeciwny — z noyb i Maxem Schremsem na czele, ale też z częścią europejskich organów ochrony danych — ostrzega, że pod hasłem „uproszczenia" przemyca się zmiany systemowe. Względna definicja danych osobowych zawęża zakres ochrony. Uzasadniony interes jako podstawa trenowania AI otwiera drogę do przetwarzania danych milionów osób bez ich wiedzy. Zawężenie obowiązku zgłaszania naruszeń zmniejsza przejrzystość. Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych wydali wspólną opinię, w której — to istotny niuans — popierają cel upraszczania i wzmacniania konkurencyjności, jednocześnie zgłaszając konkretne obawy co do niektórych rozwiązań, zwłaszcza dotyczących definicji danych i podstaw przetwarzania na potrzeby AI. To stanowisko wyważone, dalekie od jednoznacznego potępienia, ale i dalekie od entuzjazmu.

Nasza ocena jako praktyków jest prozaiczna: w Digital Omnibus jest i dobre, i ryzykowne, a ostateczny bilans zależy od szczegółów, które dopiero powstaną w toku negocjacji w Parlamencie i Radzie. Jeden punkt zgłoszeń to czyste dobro. Wydłużenie terminu na zgłoszenie naruszenia — rozsądna korekta. Względna definicja danych osobowych — narzędzie obosieczne, które w rękach uczciwego administratora porządkuje, a w rękach nieuczciwego daje pretekst, by zrzucić z siebie obowiązki. Dlatego dla administratora liczy się dziś nie ocena moralna pakietu, lecz chłodne pytanie: co z tego mnie dotyczy i kiedy.

Co Digital Omnibus znaczy dla polskiego administratora — samorządu, spółki komunalnej, MŚP

Zacznijmy od najważniejszego: na dziś nic się nie zmieniło i nic zmienić nie musisz. RODO obowiązuje w wersji z 2016 roku, ePrivacy obowiązuje, terminy 72 godzin obowiązują, banery cookies trzeba utrzymywać. Digital Omnibus to projekt — w części AI z wstępnym porozumieniem, w części RODO dopiero na starcie ścieżki legislacyjnej. Pierwsza i najważniejsza rekomendacja brzmi więc: nie demontuj zgodności na podstawie zapowiedzi. Administrator, który dziś zlikwiduje rejestr czynności przetwarzania albo przestanie zgłaszać naruszenia, „bo Bruksela i tak to luzuje", naraża się na karę za stan obecny — a Prezes UODO orzeka według prawa dziś obowiązującego, nie według projektów.

Co jednak warto zrobić już teraz, to mapowanie ekspozycji. Samorząd, który prowadzi dziesiątki czynności przetwarzania i podlega jednocześnie KSC, powinien wiedzieć, które z jego procesów zyskają na jednym punkcie zgłoszeń i na wydłużonym terminie naruszeń. Spółka komunalna testująca analitykę predykcyjną na danych mieszkańców powinna już teraz porządkować podstawy prawne, bo gdy uzasadniony interes dla AI stanie się prawem, wygra ten, kto ma gotowy test równowagi, a nie ten, kto zaczyna go pisać po publikacji w Dzienniku Urzędowym. Firma z sektora MŚP, która utrzymuje stronę z dziesięcioma skryptami śledzącymi, powinna obserwować prace nad standardem sygnałów preferencji, bo sześciomiesięczny okres przejściowy minie szybciej, niż się wydaje.

I jeszcze jedno, o czym łatwo zapomnieć w euforii „uproszczenia": mniej formalności nie oznacza mniej odpowiedzialności. Kary UODO rosną niezależnie od brukselskich reform — przypomnijmy choćby ponad jedenastomilionową grzywnę dla jednego z operatorów kurierskich za brak umów powierzenia z podwykonawcami, czy serię kontroli sektorowych, o których pisaliśmy przy okazji kary dla gminy Myślenice za zaniedbania w BIP. Digital Omnibus zmieni reguły gry, ale nie zniesie samej gry. Organizacja, która traktuje ochronę danych jako żywy proces, a nie jako stos papierów do odhaczenia, przejdzie przez tę zmianę spokojnie. Ta, która liczy na to, że reforma rozwiąże za nią problem zaniedbań — boleśnie się rozczaruje.

Dlaczego z Fib.Code

Digital Omnibus to nie jedna regulacja, którą da się obsłużyć jednym szkoleniem. To splot prawa o ochronie danych, prawa nowych technologii, cyberbezpieczeństwa i — coraz częściej — etyki algorytmów. Żeby doradzać przy nim sensownie, trzeba jednocześnie czytać projekt rozporządzenia w oryginale, rozumieć orzecznictwo Trybunału Sprawiedliwości UE wokół definicji danych osobowych, znać realia trenowania modeli uczenia maszynowego i wiedzieć, jak Prezes UODO faktycznie prowadzi postępowania. Pojedynczy prawnik tego nie obejmie, pojedynczy inżynier też nie.

Zespół Fib.Code łączy te kompetencje na co dzień — pełnimy funkcję inspektora ochrony danych i pełnomocnika ds. bezpieczeństwa informacji u klientów z sektora samorządowego, komunalnego i prywatnego, prowadzimy audyty RODO i wdrożenia systemów zarządzania bezpieczeństwem informacji według ISO/IEC 27001, a regulacje cyfrowe Unii śledzimy na etapie projektów, nie dopiero po publikacji. Nasze podejście trzyma się trzech zasad. Po pierwsze, obserwujemy projekt, ale doradzamy według prawa obowiązującego — nie pozwalamy klientowi rozmontować zgodności na podstawie zapowiedzi. Po drugie, przygotowujemy organizację na zmianę z wyprzedzeniem — kiedy uzasadniony interes dla AI czy jeden punkt zgłoszeń staną się prawem, nasi klienci mają gotowe procedury, a nie czystą kartkę. Po trzecie, integrujemy reżimy zamiast je mnożyć — RODO, KSC, AI Act i przyszły Digital Omnibus muszą tworzyć jeden rejestr ryzyka i jeden zestaw polityk, a nie cztery konkurujące systemy.

Efektem jest organizacja, która nie boi się ani kontroli organu nadzoru dziś, ani wejścia w życie nowych przepisów jutro — bo jedno i drugie ma przemyślane, opisane i przećwiczone.

Co zrobić w najbliższym tygodniu

Jedna rzecz, wykonalna w godzinę. Zwołaj krótkie spotkanie inspektora ochrony danych, osoby odpowiedzialnej za IT i — jeśli jest — pełnomocnika ds. bezpieczeństwa informacji, i zadaj cztery pytania. Po pierwsze: które z naszych procesów przetwarzania opierają się dziś na podstawach prawnych, które Digital Omnibus może zmienić — zwłaszcza tam, gdzie używamy lub planujemy AI? Po drugie: czy nasza procedura zgłaszania naruszeń jest gotowa zadziałać w realnym kryzysie w 72 godzinach — bo dopóki nie zmieni się prawo, obowiązują 72, nie 96? Po trzecie: ile skryptów śledzących i banerów cookies utrzymujemy i kto u nas obserwuje prace nad europejskim standardem sygnałów preferencji? Po czwarte: czy nasz rejestr ryzyka spina RODO, KSC i AI Act w jedną całość, czy prowadzimy trzy osobne zeszyty?

Jeśli na którekolwiek z tych pytań pada odpowiedź „nie wiem" — to jest dokładnie ta luka, którą warto zamknąć teraz, w spokoju, a nie pod presją kontroli albo pod presją terminu wdrożeniowego, gdy projekt stanie się rozporządzeniem.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: AI Act a bezpieczeństwo informacji — co łączą nowe regulacje, Nowelizacja KSC 2026 — co musisz wiedzieć po 3 kwietnia oraz Kara UODO dla Myślenic — BIP, kontrole sektorowe i samorząd 2026 — Digital Omnibus splata się z każdym z tych wątków bezpośrednio.