Bruxelles, den 19. januar – Databeskyttelsesrådet vedtog på sit seneste plenarmøde en rapport til støtte for Europa-Kommissionens evaluering af retshåndhævelsesdirektivet.

Kommissionen skal forelægge sin offentlige rapport* om evalueringen og revisionen af dette direktiv for Europa-Parlamentet og Rådet senest den 6. maj 2026. Forud for dette indsamlede Kommissionen synspunkter fra de europæiske databeskyttelsesmyndigheder om anvendelsen og funktionen af retshåndhævelsesdirektivet i perioden fra januar 2022 til den 31. august 2025**.

 "Vi glæder os over Europa-Kommissionens regelmæssige evalueringer af anvendelsen af retshåndhævelsesdirektivet, og vi er fast besluttet på at stille vores ekspertise til rådighed for disse evalueringer for at sikre, at retshåndhævelsesdirektivet fortsat opretholder høje databeskyttelsesstandarder i retshåndhævelsessammenhæng."  

Formanden for Databeskyttelsesrådet, Anu Talus

Databeskyttelsesrådet letter samarbejdet og koordineringen mellem databeskyttelsesmyndighederne, når de fører tilsyn med retshåndhævelsesbehandling. Databeskyttelsesrådets sekretariat fungerer også som sekretariat for Udvalget for Koordineret Tilsyn, som sikrer koordineret tilsyn med store IT-systemer og EU-organer og -agenturer inden for retshåndhævelse og strafferet. 

I sin rapport fremhæver Databeskyttelsesrådet retshåndhævelsesdirektivets centrale rolle med hensyn til at beskytte personoplysninger i retshåndhævelsessammenhæng. Databeskyttelsesmyndighederne har i stigende grad rådgivet de kompetente nationale myndigheder om afbødning af brud på datasikkerheden, mens mange databeskyttelsesmyndigheder også har gennemført oplysningsaktiviteter og udsendt retningslinjer.

Databeskyttelsesrådet noterer sig databeskyttelsesmyndighedernes anmodning om at få mere klarhed over anvendelsesområdet for retshåndhævelsesdirektivet, navnlig dets grænse til GDPR, og om mere grundigt at tackle de udfordringer, der er forbundet med den stigende anvendelse af nye teknologier såsom kunstig intelligens i retshåndhævelsessammenhæng. Databeskyttelsesrådet fremhæver behovet for, at de retshåndhævende myndigheder anvender disse værktøjer i nøje overensstemmelse med retshåndhævelsesdirektivet og sikrer, at deres anvendelse er nødvendig, forholdsmæssig og underlagt passende garantier. 

Ifølge Databeskyttelsesrådet er det i forbindelse med den retspraksis, der er udviklet siden den seneste evaluering af direktivet, afgørende yderligere at styrke den nationale gennemførelse af retshåndhævelsesdirektivet i hele Den Europæiske Union. Desuden bør databeskyttelsesrådgivernes rolle styrkes for at sikre en effektiv og konsekvent anvendelse af databeskyttelsesreglerne i forbindelse med retshåndhævelsesaktiviteter.

Rapporten peger også på behovet for et forbedret samarbejde, både mellem de kompetente myndigheder med ansvar for retshåndhævelsesdirektivet og mellem de retshåndhævende myndigheder mere generelt.

Endelig understreger Databeskyttelsesrådet, at både databeskyttelsesmyndighederne og Databeskyttelsesrådet har brug for yderligere finansielle og menneskelige ressourcer til at udføre nye opgaver som følge af de seneste retsakter, herunder ansvarsområder i forbindelse med CSC, hvis aktiviteter nu også omfatter tilsyn med systemer såsom visuminformationssystemet (VIS), Prüm II og ind- og udrejsesystemet. 

Dernæst vedtog Databeskyttelsesrådet henstillinger om ansøgningen om godkendelse og om de elementer og principper, der findes i databehandlerens bindende virksomhedsregler (BCR-P).

Disse anbefalinger udgør en ajourføring af det eksisterende BCR-P-referencedokument, som indeholder kriterierne for BCR-P-godkendelse, og fusionerer det med standardansøgningsskemaet for BCR-P. 

BCR-P'er er et overførselsværktøj, der kan anvendes af en koncern eller virksomheder til at overføre personoplysninger uden for Det Europæiske Økonomiske Samarbejdsområde til databehandlere inden for samme koncern. De bindende virksomhedsregler skaber rettigheder, der kan håndhæves, og fastsætter forpligtelser til at fastsætte et databeskyttelsesniveau, der i det væsentlige svarer til det, der er fastsat i GDPR. 

De nye anbefalinger bygger på de aftaler, der er indgået, og de erfaringer, som databeskyttelsesmyndighederne har indhøstet i forbindelse med godkendelsesprocedurerne for konkrete BCR-P-ansøgninger siden ikrafttrædelsen af GDPR, samt på det arbejde, der er udført i forbindelse med de ajourførte anbefalinger om bindende virksomhedsregler for dataansvarlige (BCR-C). 

Henstillingerne indeholder klare kriterier og forklaringer for at sikre, at BCR-P, der er udviklet af koncerner eller virksomheder, er i overensstemmelse med GDPR. Henstillingerne præciserer, hvornår BCR-P kan anvendes, dvs. kun til koncerninterne overførsler mellem databehandlere, når den dataansvarlige ikke er en del af koncernen. 

Desuden præciseres det i anbefalingerne, at BCR-P er udformet med henblik på at opfylde kravene i artikel 28, stk. 4, i GDPR. Det betyder, at enhver databehandler i koncernen, der anvender BCR-P, ikke behøver at underskrive en særskilt udliciteringsaftale med hver enkelt underdatabehandler i koncernen.  

Henstillingerne vil være åbne for offentlig høring indtil den 2. marts 2026. 

Databeskyttelsesrådets medlemmer havde også en udveksling af synspunkter om den kommende fælles udtalelse om den digitale omnibus, som efter planen skal vedtages på plenarforsamlingen i februar.

Note til redaktørerne

*Retsgrundlaget for Kommissionens tiltag er artikel 62 i direktiv (EU) 2016/680 (retshåndhævelsesdirektivet), som kræver, at Kommissionen evaluerer og aflægger rapport om anvendelsen af direktivet.

**Se også Europa-Kommissionens rapport om anvendelsen af retshåndhævelsesdirektivet (COM(2022) 364 final), som Databeskyttelsesrådet bidrog til.