Bruksela, 19 stycznia – Na ostatnim posiedzeniu plenarnym EROD przyjęła sprawozdanie wspierające przeprowadzoną przez Komisję Europejską ocenę dyrektywy o ochronie danych w sprawach karnych.
Komisja musi przedłożyć Parlamentowi Europejskiemu i Radzie swoje publiczne sprawozdanie* z oceny i przeglądu niniejszej dyrektywy do dnia 6 maja 2026 r. Wcześniej Komisja zebrała opinie europejskich organów ochrony danych na temat stosowania i funkcjonowania dyrektywy o ochronie danych w sprawach karnych w okresie od stycznia 2022 r. do 31 sierpnia 2025 r.**
„Z zadowoleniem przyjmujemy regularne oceny Komisji Europejskiej dotyczące stosowania dyrektywy o ochronie danych w sprawach karnych i zobowiązujemy się do zapewnienia naszej wiedzy fachowej na potrzeby tych ocen, aby zagwarantować, że dyrektywa o ochronie danych w sprawach karnych nadal będzie przestrzegać wysokich standardów ochrony danych w kontekście egzekwowania prawa”.
Przewodnicząca EROD Anu Talus
EROD ułatwia współpracę i koordynację między organami ochrony danych przy nadzorowaniu przetwarzania danych przez organy ścigania. Sekretariat EROD zapewnia również sekretariat skoordynowanego komitetu nadzoru, który zapewnia skoordynowany nadzór nad wielkoskalowymi systemami informatycznymi oraz organami i agencjami UE w dziedzinie egzekwowania prawa i wymiaru sprawiedliwości w sprawach karnych.
W swoim sprawozdaniu EROD podkreśla kluczową rolę dyrektywy o ochronie danych w sprawach karnych w ochronie danych osobowych w kontekście egzekwowania prawa. Organy ochrony danych w coraz większym stopniu doradzały właściwym organom krajowym w zakresie łagodzenia naruszeń ochrony danych, podczas gdy wiele organów ochrony danych prowadziło również działania uświadamiające i wydało wytyczne.
EROD przyjmuje do wiadomości wniosek organów ochrony danych o większą jasność co do zakresu dyrektywy o ochronie danych w sprawach karnych, w szczególności jej granic z RODO, oraz o dokładniejsze zajęcie się wyzwaniami związanymi z rosnącym wykorzystaniem nowych technologii, takich jak sztuczna inteligencja, w kontekście egzekwowania prawa. EROD podkreśla, że organy ścigania muszą korzystać z tych narzędzi w ścisłej zgodności z dyrektywą o ochronie danych w sprawach karnych, zapewniając, aby korzystanie z nich było konieczne, proporcjonalne i podlegało odpowiednim zabezpieczeniom.
Według EROD w kontekście orzecznictwa opracowanego od czasu ostatniej oceny dyrektywy zasadnicze znaczenie ma dalsze wzmocnienie wdrażania dyrektywy o ochronie danych w sprawach karnych na szczeblu krajowym w całej Unii Europejskiej. Ponadto należy wzmocnić rolę inspektorów ochrony danych, aby zapewnić skuteczne i spójne stosowanie przepisów o ochronie danych w działaniach organów ścigania.
W sprawozdaniu wskazano również na potrzebę lepszej współpracy, zarówno między właściwymi organami odpowiedzialnymi za dyrektywę o ochronie danych w sprawach karnych, jak i między organami ścigania w szerszym ujęciu.
Ponadto EROD podkreśla, że zarówno organy ochrony danych, jak i EROD potrzebują dodatkowych zasobów finansowych i ludzkich, aby wykonywać nowe zadania wynikające z niedawnych aktów prawnych, w tym obowiązki związane z CSC, którego działalność obejmuje obecnie również nadzór nad systemami takimi jak wizowy system informacyjny (VIS), Prüm II i system wjazdu/wyjazdu (EES).
Następnie EROD przyjęła zalecenia dotyczące wniosku o zatwierdzenie oraz elementów i zasad zawartych w wiążących regułach korporacyjnych dla podmiotów przetwarzających dane (BCR-P).
Zalecenia te stanowią aktualizację istniejącego dokumentu referencyjnego BCR-P, który zawiera kryteria zatwierdzania BCR-P, i łączą go ze standardowym formularzem wniosku dotyczącego BCR-P.
BCR-P to narzędzie przekazywania, które może być wykorzystywane przez grupę przedsiębiorstw lub przedsiębiorstw do przekazywania danych osobowych poza Europejski Obszar Gospodarczy podmiotom przetwarzającym w ramach tej samej grupy. Wiążące reguły korporacyjne tworzą egzekwowalne prawa i określają zobowiązania do ustanowienia poziomu ochrony danych zasadniczo równoważnego poziomowi przewidzianemu w RODO.
Nowe zalecenia opierają się na porozumieniach osiągniętych przez organy ochrony danych i doświadczeniach zdobytych przez nie w trakcie procedur zatwierdzania konkretnych zastosowań wiążących reguł korporacyjnych od czasu rozpoczęcia stosowania RODO, a także na pracach przeprowadzonych w kontekście zaktualizowanych zaleceń w sprawie wiążących reguł korporacyjnych dla administratorów (BCR-C).
Zalecenia zawierają jasne kryteria i wyjaśnienia w celu zapewnienia zgodności wiążących reguł korporacyjnych opracowanych przez grupy przedsiębiorstw lub przedsiębiorstw z RODO. W zaleceniach wyjaśniono, kiedy można stosować BCR-P, a mianowicie wyłącznie w odniesieniu do transferów wewnątrzgrupowych między podmiotami przetwarzającymi, gdy administrator nie jest częścią grupy.
Ponadto w zaleceniach wyjaśniono, że wiążące reguły korporacyjne-P mają na celu spełnienie wymogów art. 28 ust. 4 RODO. Oznacza to, że każdy podmiot przetwarzający w ramach Grupy korzystający z BCR-P nie musi podpisywać odrębnej umowy o podwykonawstwo przetwarzania z każdym podwykonawcą przetwarzania w Grupie.
Zalecenia będą dostępne do konsultacji publicznych do 2 marca 2026 r.
Członkowie EROD przeprowadzili również wymianę poglądów na temat przyszłej wspólnej opinii w sprawie cyfrowego zbiorczego aktu prawnego, która ma zostać przyjęta na lutowym posiedzeniu plenarnym.
Uwaga dla redaktorów
*Podstawę prawną działania Komisji stanowi art. 62 dyrektywy (UE) 2016/680 (dyrektywa o egzekwowaniu prawa), który zobowiązuje Komisję do oceny stosowania dyrektywy i składania sprawozdań na jej temat.
**Zob. również sprawozdanie Komisji Europejskiej w sprawie stosowania dyrektywy o ochronie danych w sprawach karnych, COM(2022) 364 final, do którego EROD się przyczyniła.
Opublikowany tutaj komunikat prasowy został automatycznie przetłumaczony z języka angielskiego. EROD nie gwarantuje dokładności tłumaczenia. Proszę odnieść się do oficjalnego tekstu w wersji angielskiej, jeśli istnieją jakiekolwiek wątpliwości.