Bryssel den 19 januari – Vid sitt senaste plenarsammanträde antog Europeiska dataskyddsstyrelsen en rapport till stöd för Europeiska kommissionens utvärdering av direktivet om uppgiftsskydd vid brottsbekämpning.

Kommissionen ska överlämna sin offentliga rapport* om utvärderingen och översynen av detta direktiv till Europaparlamentet och rådet senast den 6 maj 2026. Inför detta samlade kommissionen in synpunkter från de europeiska dataskyddsmyndigheterna om tillämpningen och funktionen av brottsdatadirektivet under perioden januari 2022–31 augusti 2025**.

 ”Vi välkomnar kommissionens regelbundna utvärderingar av tillämpningen av brottsdatadirektivet, och vi är fast beslutna att tillhandahålla vår expertis för dessa utvärderingar för att säkerställa att brottsdatadirektivet fortsätter att upprätthålla höga dataskyddsstandarder i brottsbekämpningssammanhang.”  

EDPB:s ordförande, Anu Talus

EDPB underlättar samarbete och samordning mellan dataskyddsmyndigheter när de övervakar brottsbekämpningsbehandlingen. EDPB:s sekretariat tillhandahåller också sekretariatet för den samordnade tillsynskommittén, som säkerställer en samordnad tillsyn av stora it-system och EU:s organ och byråer på områdena brottsbekämpning och straffrätt. 

I sin rapport framhåller EDPB brottsdatadirektivets centrala roll när det gäller att skydda personuppgifter i brottsbekämpningssammanhang. Dataskyddsmyndigheterna har i allt högre grad gett råd till behöriga nationella myndigheter om hur man kan begränsa dataintrång, samtidigt som många dataskyddsmyndigheter också har genomfört medvetandehöjande åtgärder och utfärdat vägledning.

Dataskyddsstyrelsen noterar dataskyddsmyndigheternas begäran om att få större klarhet om brottsdatadirektivets tillämpningsområde, särskilt dess gräns mot den allmänna dataskyddsförordningen, och att mer ingående ta itu med de utmaningar som den ökande användningen av ny teknik, såsom AI, innebär i samband med brottsbekämpning. EDPB betonar att de brottsbekämpande myndigheterna måste använda dessa verktyg i strikt överensstämmelse med brottsdatadirektivet och säkerställa att användningen av dem är nödvändig, proportionell och omfattas av lämpliga skyddsåtgärder. 

Enligt Europeiska dataskyddsstyrelsen är det, mot bakgrund av den rättspraxis som utvecklats sedan den senaste utvärderingen av direktivet, viktigt att ytterligare stärka det nationella genomförandet av brottsdatadirektivet i hela Europeiska unionen. Dessutom bör dataskyddsombudens roll stärkas för att säkerställa en effektiv och konsekvent tillämpning av dataskyddsreglerna i brottsbekämpande verksamhet.

Rapporten pekar också på behovet av förbättrat samarbete, både mellan behöriga myndigheter med ansvar för brottsdatadirektivet och mellan brottsbekämpande myndigheter mer allmänt.

Slutligen understryker EDPB att både dataskyddsmyndigheter och EDPB behöver ytterligare ekonomiska resurser och personalresurser för att utföra nya uppgifter som följer av nyligen antagna rättsakter, inbegripet ansvarsområden kopplade till det gemensamma säkerhetscentrumet, vars verksamhet nu även omfattar övervakning av system såsom informationssystemet för viseringar (VIS), Prüm II och det befintliga in- och utresesystemet. 

Därefter antog dataskyddsstyrelsen rekommendationer om ansökan om godkännande och om de delar och principer som finns i bindande företagsregler för personuppgiftsbiträden (BCR-P).

Dessa rekommendationer utgör en uppdatering av den befintliga referensramen för bindande företagsbestämmelser för personuppgiftsansvariga, som innehåller kriterierna för godkännande av bindande företagsbestämmelser för personuppgiftsansvariga, och sammanfogar den med standardansökningsformuläret för bindande företagsbestämmelser för personuppgiftsansvariga. 

BCR-P är ett överföringsverktyg som kan användas av en koncern eller ett företag för att överföra personuppgifter utanför Europeiska ekonomiska samarbetsområdet till personuppgiftsbiträden inom samma koncern. De bindande företagsbestämmelserna skapar verkställbara rättigheter och innehåller åtaganden om att fastställa en dataskyddsnivå som i allt väsentligt är likvärdig med den som föreskrivs i den allmänna dataskyddsförordningen. 

De nya rekommendationerna bygger på de överenskommelser som nåtts och de erfarenheter som dataskyddsmyndigheterna gjort under godkännandeförfarandena för konkreta ansökningar om bindande företagsbestämmelser för personuppgiftsansvariga sedan den allmänna dataskyddsförordningen trädde i kraft, samt på det arbete som utförts inom ramen för de uppdaterade rekommendationerna om bindande företagsbestämmelser för personuppgiftsansvariga. 

Rekommendationerna innehåller tydliga kriterier och förklaringar för att säkerställa att bindande företagsbestämmelser för personuppgiftsansvariga som tagits fram av koncerner eller företag är förenliga med den allmänna dataskyddsförordningen. Rekommendationerna klargör när bindande företagsbestämmelser för personuppgiftsansvariga kan användas, dvs. endast för gruppinterna överföringar mellan personuppgiftsbiträden, när den personuppgiftsansvarige inte ingår i gruppen. 

I rekommendationerna klargörs dessutom att de bindande företagsbestämmelserna för personuppgiftsansvariga är utformade för att uppfylla kraven i artikel 28.4 i den allmänna dataskyddsförordningen. Detta innebär att ett personuppgiftsbiträde inom koncernen som använder BCR-P inte behöver underteckna ett separat underbiträdesavtal med varje underbiträde i koncernen.  

Rekommendationerna kommer att vara öppna för offentligt samråd till och med den 2 mars 2026. 

EDPB:s medlemmar diskuterade också det kommande gemensamma yttrandet om den digitala samlingsförordningen, som enligt planerna ska antas vid plenarsessionen i februari.

Anmärkning till redaktörer

*Den rättsliga grunden för kommissionens åtgärder är artikel 62 i direktiv (EU) 2016/680 (direktivet om brottsbekämpning), enligt vilken kommissionen ska utvärdera och rapportera om tillämpningen av direktivet.

**Se även Europeiska kommissionens rapport om tillämpningen av direktivet om brottsbekämpning, COM(2022) 364 final, till vilken Europeiska dataskyddsstyrelsen bidrog.