Briuselis, sausio 19 d. Per paskutinę plenarinę sesiją EDAV priėmė ataskaitą, kuria siekiama paremti Europos Komisijos atliktą Teisėsaugos direktyvos vertinimą.

Komisija ne vėliau kaip 2026 m. gegužės 6 d. Europos Parlamentui ir Tarybai turi pateikti savo viešą šios direktyvos vertinimo ir peržiūros ataskaitą*. Prieš tai Komisija surinko Europos duomenų apsaugos institucijų (DAI) nuomones dėl Teisėsaugos direktyvos taikymo ir veikimo 2022 m. sausio mėn.–2025 m. rugpjūčio 31 d. laikotarpiu**.

 „Palankiai vertiname Europos Komisijos reguliariai atliekamus Teisėsaugos direktyvos taikymo vertinimus ir esame įsipareigoję teikti savo ekspertines žinias šiems vertinimams atlikti, siekdami užtikrinti, kad Teisėsaugos direktyva ir toliau atitiktų aukštus duomenų apsaugos standartus teisėsaugos  srityje.“

EDAV pirmininkė, Anu Talus

EDAV palengvina duomenų apsaugos institucijų bendradarbiavimą ir veiklos koordinavimą prižiūrint duomenų tvarkymą teisėsaugos tikslais. EDAV sekretoriatas taip pat teikia paslaugas Koordinuotos priežiūros komiteto sekretoriatui, kuris užtikrina koordinuotą didelės apimties IT sistemų ir ES įstaigų bei agentūrų teisėsaugos ir baudžiamosios teisenos srityse priežiūrą. 

Savo ataskaitoje EDAV pabrėžia esminį Teisėsaugos direktyvos vaidmenį apsaugant asmens duomenis teisėsaugos srityje. DAI vis dažniau konsultavo kompetentingas nacionalines institucijas dėl duomenų saugumo pažeidimų mažinimo, o daugelis DAI taip pat vykdė informuotumo didinimo veiklą ir paskelbė gaires.

EDAV atkreipia dėmesį į DAI prašymą suteikti daugiau aiškumo dėl Teisėsaugos direktyvos taikymo srities, visų pirma jos ribų su BDAR, ir nuodugniau spręsti problemas, kylančias dėl didėjančio naujų technologijų, pavyzdžiui, dirbtinio intelekto, naudojimo teisėsaugos srityje. EDAV pabrėžia, kad teisėsaugos institucijos turi naudoti šias priemones griežtai laikydamosi Teisėsaugos direktyvos, užtikrindamos, kad jų naudojimas būtų būtinas, proporcingas ir jam būtų taikomos tinkamos apsaugos priemonės. 

EDAV teigimu, atsižvelgiant į teismų praktiką, suformuotą po paskutinio direktyvos vertinimo, labai svarbu toliau stiprinti Teisėsaugos direktyvos įgyvendinimą nacionaliniu lygmeniu visoje Europos Sąjungoje. Be to, turėtų būti sustiprintas duomenų apsaugos pareigūnų (DAP) vaidmuo siekiant užtikrinti veiksmingą ir nuoseklų duomenų apsaugos taisyklių taikymą teisėsaugos veikloje.

Ataskaitoje taip pat nurodoma, kad reikia gerinti tiek už Teisėsaugos direktyvą atsakingų kompetentingų institucijų, tiek apskritai teisėsaugos institucijų bendradarbiavimą.

Galiausiai EDAV pabrėžia, kad tiek DAI, tiek EDAV reikia papildomų finansinių ir žmogiškųjų išteklių, kad galėtų vykdyti naujas užduotis, kylančias iš naujausių teisės aktų, įskaitant pareigas, susijusias su BPC, kurio veikla dabar taip pat apima tokių sistemų kaip Vizų informacinė sistema (VIS), Priumas II ir Atvykimo ir išvykimo sistema (AIS) priežiūrą. 

Be to, EDAV priėmė rekomendacijas dėl patvirtinimo paraiškos ir dėl duomenų tvarkytojui privalomose įmonės taisyklėse (BCR-P) esančių elementų ir principų.

Šiomis rekomendacijomis atnaujinamas esamas įmonei privalomų taisyklių-P orientacinis dokumentas, kuriame pateikiami įmonei privalomų taisyklių-P patvirtinimo kriterijai, ir jis sujungiamas su standartine įmonei privalomų taisyklių-P prašymo forma. 

Įmonei privalomos taisyklės yra duomenų perdavimo priemonė, kurią įmonių grupė arba įmonės gali naudoti asmens duomenims perduoti už Europos ekonominės erdvės ribų tos pačios grupės duomenų tvarkytojams. Įmonei privalomomis taisyklėmis sukuriamos įgyvendinamos teisės ir nustatomi įsipareigojimai nustatyti tokį duomenų apsaugos lygį, kuris iš esmės būtų lygiavertis BDAR numatytam lygiui. 

Naujosios rekomendacijos grindžiamos nuo BDAR taikymo pradžios pasiektais susitarimais ir patirtimi, kurią DAI įgijo vykdydamos konkrečių įmonei privalomų taisyklių taikymo patvirtinimo procedūras, taip pat darbu, atliktu įgyvendinant atnaujintas rekomendacijas dėl duomenų valdytojui privalomų įmonės taisyklių. 

Rekomendacijose pateikiami aiškūs kriterijai ir paaiškinimai, kuriais siekiama užtikrinti, kad įmonių grupių arba įmonių parengtos įmonei privalomos taisyklės atitiktų BDAR. Rekomendacijose paaiškinama, kada galima taikyti įmonei privalomas taisykles, t. y. tik duomenų perdavimui grupės viduje tarp duomenų tvarkytojų, kai duomenų valdytojas nepriklauso grupei. 

Be to, rekomendacijose paaiškinama, kad įmonei privalomos taisyklės parengtos taip, kad atitiktų BDAR 28 straipsnio 4 dalies reikalavimus. Tai reiškia, kad bet kuriam grupei priklausančiam duomenų tvarkytojui, naudojančiam įmonei privalomas taisykles (BCR-P), nereikia su kiekvienu grupės pagalbiniu duomenų tvarkytoju pasirašyti atskiro pagalbinio duomenų tvarkymo susitarimo.  

Dėl rekomendacijų viešos konsultacijos vyks iki 2026 m. kovo 2 d.  

EDAV nariai taip pat pasikeitė nuomonėmis dėl būsimos bendros nuomonės dėl skaitmeninio omnibuso, kurią numatyta priimti vasario mėn. plenariniame posėdyje.

Pastaba redaktoriams

*Komisijos veiksmų teisinis pagrindas yra Direktyvos (ES) 2016/680 (Teisėsaugos direktyva) 62 straipsnis, kuriame reikalaujama, kad Komisija įvertintų direktyvos taikymą ir pateiktų ataskaitą.

**Taip pat žr. Europos Komisijos ataskaitą dėl Teisėsaugos direktyvos taikymo, COM(2022) 364 final, prie kurios prisidėjo EDAV.