Digital Omnibus: зміни у GDPR та інші тренди 2026
Нові програми, технології та можливості штучного інтелекту стали майже невід’ємною частиною нашого життя. Проте в такому стрімкому темпі питання захисту персональних даних стає як ніколи актуальним. Тут регуляторний вплив яскраво показує свої дві сторони медалі – чи хочемо ми зберегти безпеку своїх даних та потопити компанії в надмірних регуляціях, чи все ж дамо волю розвитку технологічного прогресу на європейському ринку і пожертвуємо контролем. Виклик золотої середини та балансу в цьому питанні став каталізатором створення Digital Omnibus – Пакету регуляцій, який має на меті досягти балансу між юзер френдлі прозорістю та зрозумілістю, водночас зберігаючи високий рівень захисту персональних даних.
Європейський підхід до data protection традиційно базується на ідеї, що людина повинна знати, хто і навіщо використовує її дані, мати можливість заперечити проти певних видів обробки та отримати захист від непрозорих автоматизованих рішень. Проте практика показала, що застосування GDPR, AI Act, Data Act, Data Governance Act, DSA та решти регуляцій є викликом для різних держав-членів, що створює фрагментацію і правову невизначеність. Навіть за наявності гармонізованого законодавства, відмінності в регуляторній культурі можуть суттєво впливати на його застосування, адже “culture eats strategy for breakfast”. Саме тому Digital Omnibus фокусується на практичному застосуванні на заміну завуальованому тексту.
Що таке Digital Omnibus?
19 листопада 2025 року Європейська Комісія анонсувала Digital Omnibus як пропозицію спрощення законодавства ЄС щодо даних, кібербезпеки та штучного інтелекту. Сам омнібус складається з двох частин: омнібус, що оптимізовує, окрім інших актів, GDPR, ePrivacy директиву, NIS2 директиву та Data Act, та регламент, що вносить зміни до AI Act.
Digital Omnibus має на меті подолати бар’єри в секторі технологій, які є особливо відчутними для молодих компаній. У звіті “The future of European competitiveness” такими перепонами вказані:
- законодавчий фреймворк: в Європейському Союзі існує близько 100 актів, що фокусуються на технологіях, та більш ніж 270 регуляторів країн-членів сукупно у цифровій сфері;
- превентивне обмеження бізнес-практик заради усунення ризиків постфактум;
- надлишкові обмеження для представників/дочірніх компаній, що ускладнює ведення бізнесу в ЄС через філії;
- високі витрати на комплаєнс, що особливо відзначається на малих та середніх підприємствах (SME).
Ключові зміни, що впроваджуються
Нижче ми розповімо про найголовніші зміни, які впроваджуються омнібусом. Як тільки в Офіційному Журналі ЄС буде опублікована угода між Європейським Парламентом та Європейською Радою, правила щодо систем ШІ високого ризику почнуть застосовуватися не пізніше 2 грудня 2027 року для автономних систем ШІ високого ризику та не пізніше 2 серпня 2028 року для систем ШІ високого ризику, вбудованих у продукти. Також в липні 2026 року планується публікація омнібусу в Офіційному Журналі ЄС.
Визначення персональних даних
Однією із найголовніших змін – є оновлене визначення персональних даних. Омнібус закріплює відносний, суб’єктно-специфічний підхід до ідентифікованості. ідея полягає в тому, щоб виключити певні псевдонімізовані дані зі сфери застосування GDPR на противагу існуючому розумінню, згідно з яким вони підпадають під дію GDPR. При оцінці персонального характеру даних потрібно враховувати лише засоби, які розумно можуть бути використані, конкретним контролером. Це означає, що один і той самий датасет може вважатися персональним для одного контролера, і псевдонімізованим – для іншого.
Файли cookies
Digital Omnibus пропонує зменшити кількість випадків, коли необхідно отримувати згоду на обробку персональних даних з низьким рівнем ризику, наприклад, для передачі електронних повідомлень через мережу електронного зв’язку, надання сервісів, вимірювання аудиторії, формування статистики використання веб-сайтів та додатків, а також для забезпечення безпеки сервісу.
Персональні дані, отримані для цих цілей, можуть оброблятися на підставі будь-якої з правових підстав GDPR, включаючи легітимний інтерес. Однак контролери повинні враховувати такі фактори, як те, чи є суб’єкти даних дітьми, розумні очікування суб’єктів даних, масштаб обробки та те, чи може обробка становити продовжуваний моніторинг приватного життя.
Автоматизовані сигнали
Однією з найбільш практичних тем Digital Omnibus стали cookies і механізми отримання згоди. Поточна модель, заснована на повторюваних pop-up банерах, часто не враховує специфіку різних типів обробки даних і створює однакові вимоги для різних технологічних сценаріїв.
Підхід “one-size-fits-all” у сфері cookies створює труднощі як для користувачів, так і для компаній, оскільки не дозволяє гнучко адаптувати інтерфейси згоди залежно від ризиків обробки. Крім того, ePrivacy Directive часто характеризується як застарілий інструмент, який не повністю відповідає сучасним технологічним реаліям.
Розвиток automated signals може стати альтернативою традиційним cookie-банерам. Йдеться про можливість автоматичного передання налаштувань користувача через браузер або інший технічний інструмент, що дозволяє уникнути постійного повторення запитів на згоду.
Основна перевага такого підходу полягає у можливості зменшити втому від банерів і зробити вибір користувача більш послідовним. Але ефективність цієї моделі залежатиме від того, наскільки прозорими та зрозумілими будуть механізми встановлення таких налаштувань.
Повідомлення про витоки даних
Європейська Комісія також пропонує створити єдиний портал ЄС для подання повідомлень про витік даних та порушення кібербезпеки з метою гармонізації обов’язків щодо повідомлення згідно з GDPR, NIS2 Директивою, DORA та Cyber Resilience Act. Також EDPB повинна буде розробити та представити Комісії стандартний шаблон про витік даних, який буде імплементовано окремим актом.
Більш того, омнібус передбачає уніфікований підхід до порогу високого ризику для повідомлення про витік даних і суб’єкту даних, і регулюючому органу. Строк для повідомлення пропонується збільшити з 72 до 96 годин, що дасть більше часу для оцінки масштабів та деталей витоку.
Зміни до Privacy Policy
Digital Omnibus може вплинути на підхід до підготовки privacy policies, насамперед через прагнення зробити правила більш узгодженими та зменшити надмірну складність інформаційних повідомлень.
На практиці компанії часто стикаються з необхідністю одночасно враховувати вимоги кількох актів цифрового регулювання, що призводить до дублювання інформації та надмірно довгих privacy notices. Більша уніфікація підходів, зокрема через стандартизацію певних інструментів комплаєнсу, може покращити взаємодію між регуляторами та бізнесом.
Одним із інструментів досягнення такої мети може бути узгоджене використання DPIA templates, що може сприяти більш передбачуваному підходу до оцінки ризиків та полегшити міжнародну співпрацю між органами нагляду. У довгостроковій перспективі це може призвести до більш структурованих і зрозумілих privacy notices.
Водночас важливо, щоб спрощення не призвело до ситуації, коли суб’єкт даних отримує менше інформації про обробку своїх даних. Мета змін полягає не у зменшенні прозорості, а у підвищенні якості та зрозумілості політик.
Automated decision-making
Обговорення AI показало, що Digital Omnibus не обов’язково вирішує всі проблеми регулювання штучного інтелекту, а в деяких аспектах лише відкладає їх. Складність полягає не лише у змісті правил, але і в реалістичності строків їх імплементації.
Компаніям потрібен достатній час для адаптації внутрішніх процесів до нових вимог, оскільки впровадження compliance-змін часто потребує значних організаційних і технічних ресурсів. Надто короткі строки можуть створювати додаткову невизначеність і не призводити до реального спрощення.
Ще одним викликом є постійна еволюція самого поняття AI system. Якщо визначення продовжує змінюватися, компаніям складно оцінити, чи підпадають їхні технології під нові регулювання. Єдиний уніфікований підхід до регулювання всіх AI-систем може бути недостатньо ефективним, оскільки різні технології створюють різний рівень ризику. Саме тому деякі експерти виступають за більш диференційований підхід, який дозволяє приділяти більше уваги high-risk системам.
Checklist для компаній
З урахуванням можливих змін, компаніям варто вже зараз оцінити потенційний вплив Digital Omnibus на свої процеси обробки даних. Пропонуємо Вам чеклист, щоб перевірити свою готовність до нових змін, які несе Digital Omnibus:
- відстежувати розвиток законодавчої ініціативи та нових визначень у GDPR;
- оцінити, які дані можуть бути класифіковані як персональні у контексті нових підходів;
- переглянути використання анонімізації та псевдонімізації;
- перевірити, чи використовуються AI-системи під час обробки даних;
- оцінити вплив можливих змін до DPIA;
- проаналізувати механізми отримання згоди на cookies;
- підготуватися до можливого впровадження automated consent signals;
- забезпечити достатній час для адаптації внутрішніх політик.