Brusel 19. ledna – Evropský sbor pro ochranu osobních údajů přijal na svém posledním plenárním zasedání zprávu na podporu hodnocení směrnice o prosazování práva Evropskou komisí.

Komise musí předložit svou veřejnou zprávu* o hodnocení a přezkumu této směrnice Evropskému parlamentu a Radě do 6. května 2026. Před tím Komise shromáždila názory evropských orgánů pro ochranu údajů na uplatňování a fungování směrnice o prosazování práva v období od ledna 2022 do 31. srpna 2025.**

 „Vítáme pravidelná hodnocení Evropské komise týkající se uplatňování směrnice o prosazování práva a jsme odhodláni poskytovat naše odborné znalosti pro tato hodnocení, abychom zajistili, že směrnice o prosazování práva bude i nadále dodržovat vysoké standardy ochrany údajů v souvislosti s prosazováním práva.“  

předseda EDPB, Anu Talus

EDPB usnadňuje spolupráci a koordinaci mezi orgány pro ochranu údajů při dohledu nad zpracováváním údajů donucovacími orgány. Sekretariát EDPB rovněž zajišťuje sekretariát koordinovaného výboru pro dohled, který zajišťuje koordinovaný dohled nad rozsáhlými informačními systémy a orgány a agenturami EU v oblasti prosazování práva a trestního soudnictví. 

EDPB ve své zprávě zdůrazňuje klíčovou úlohu směrnice o prosazování práva při ochraně osobních údajů v kontextu prosazování práva. Orgány pro ochranu údajů ve stále větší míře poskytovaly příslušným vnitrostátním orgánům poradenství ohledně zmírňování případů porušení zabezpečení údajů, zatímco mnoho orgánů pro ochranu údajů rovněž provádělo osvětové činnosti a vydalo pokyny.

EDPB bere na vědomí žádost úřadů pro ochranu osobních údajů o větší jasnost ohledně oblasti působnosti směrnice o prosazování práva, zejména její hranice s obecným nařízením o ochraně osobních údajů, a o důkladnější řešení výzev, které představuje rostoucí využívání nových technologií, jako je umělá inteligence, v kontextu prosazování práva. EDPB zdůrazňuje, že je třeba, aby donucovací orgány používaly tyto nástroje v přísném souladu se směrnicí o prosazování práva a zajistily, aby jejich používání bylo nezbytné, přiměřené a podléhalo přiměřeným zárukám. 

Podle EDPB je v souvislosti s judikaturou, která se vyvinula od posledního hodnocení směrnice, nezbytné dále posílit vnitrostátní provádění směrnice o prosazování práva v celé Evropské unii. Kromě toho by měla být posílena úloha pověřenců pro ochranu osobních údajů, aby bylo zajištěno účinné a jednotné uplatňování pravidel ochrany údajů při činnostech v oblasti prosazování práva.

Zpráva rovněž poukazuje na potřebu lepší spolupráce, a to jak mezi příslušnými orgány odpovědnými za směrnici o prosazování práva, tak mezi donucovacími orgány obecně.

V neposlední řadě EDPB zdůrazňuje, že úřady pro ochranu osobních údajů i EDPB potřebují další finanční a lidské zdroje, aby mohly plnit nové úkoly vyplývající z nedávných právních aktů, včetně povinností souvisejících s CSC, jejíž činnosti nyní zahrnují také dohled nad systémy, jako je Vízový informační systém (VIS), Prüm II a Systém vstupu/výstupu (EES). 

EDPB dále přijal doporučení k žádosti o schválení a k prvkům a zásadám obsaženým v závazných podnikových pravidlech pro zpracovatele (BCR-P).

Tato doporučení představují aktualizaci stávajícího referenčního rámce BCR-P, který obsahuje kritéria pro schválení BCR-P, a slučují jej se standardním formulářem žádosti o BCR-P. 

BCR-P je nástroj pro předávání, který může skupina podniků nebo podniků použít k předávání osobních údajů mimo Evropský hospodářský prostor zpracovatelům v rámci stejné skupiny. Závazná podniková pravidla vytvářejí vymahatelná práva a stanoví závazky zavést úroveň ochrany údajů, která je v zásadě rovnocenná úrovni stanovené v obecném nařízení o ochraně osobních údajů.

Nová doporučení vycházejí z dohod, jichž bylo dosaženo, a ze zkušeností, které orgány pro ochranu údajů získaly v průběhu schvalovacích postupů týkajících se konkrétních žádostí o závazná podniková pravidla od vstupu obecného nařízení o ochraně osobních údajů v platnost, jakož i z práce provedené v souvislosti s aktualizovanými doporučeními o závazných podnikových pravidlech pro správce (BCR-C). 

Doporučení poskytují jasná kritéria a vysvětlení, aby bylo zajištěno, že závazná podniková pravidla-P vypracovaná skupinami podniků nebo podniků jsou v souladu s obecným nařízením o ochraně osobních údajů. Doporučení objasňují, kdy lze BCR-P použít, konkrétně pouze pro převody mezi zpracovateli v rámci skupiny, pokud správce není součástí skupiny. 

Doporučení navíc objasňují, že závazná podniková pravidla-P jsou navržena tak, aby splňovala požadavky čl. 28 odst. 4 obecného nařízení o ochraně osobních údajů. To znamená, že žádný zpracovatel v rámci skupiny používající BCR-P nemusí podepisovat samostatnou dohodu o dílčím zpracování s každým dílčím zpracovatelem ve skupině.  

Doporučení budou otevřena k veřejné konzultaci do 2. března 2026. 

Členové EDPB si rovněž vyměnili názory na připravované společné stanovisko k digitálnímu souhrnnému návrhu, jehož přijetí je plánováno na únorové plenární zasedání.

Poznámka pro editory

*Právním základem pro opatření Komise je článek 62 směrnice (EU) 2016/680 (směrnice o prosazování práva), který vyžaduje, aby Komise vyhodnotila uplatňování směrnice a podala o něm zprávu.

**Viz také zpráva Evropské komise o uplatňování směrnice o prosazování práva, COM(2022) 364 final, k níž EDPB přispěl.