Bruxelles, 19 ianuarie – În cursul ultimei sale sesiuni plenare, CEPD a adoptat un raport pentru a sprijini evaluarea de către Comisia Europeană a Directivei privind protecția datelor în materie de asigurare a respectării legii (LED).
Comisia trebuie să prezinte Parlamentului European și Consiliului raportul său public* privind evaluarea și revizuirea prezentei directive până la 6 mai 2026. Înainte de aceasta, Comisia a colectat opiniile autorităților europene pentru protecția datelor (APD) cu privire la aplicarea și funcționarea LED în perioada ianuarie 2022-31 august 2025.**
„Salutăm evaluările periodice ale Comisiei Europene cu privire la aplicarea LED și ne angajăm să ne punem la dispoziție expertiza pentru aceste evaluări, pentru a ne asigura că LED continuă să mențină standarde ridicate de protecție a datelor în contextul asigurării respectării legii.”
Președintele CEPD, Anu Talus
CEPD facilitează cooperarea și coordonarea dintre APD atunci când supraveghează prelucrarea în scopul asigurării respectării legii. Secretariatul CEPD asigură, de asemenea, secretariatul Comitetului coordonat de supraveghere (CSC), care asigură supravegherea coordonată a sistemelor informatice la scară largă și a organismelor și agențiilor UE în domeniul asigurării respectării legii și al justiției penale.
În raportul său, CEPD subliniază rolul-cheie al LED în protejarea datelor cu caracter personal în contextul asigurării respectării legii. APD au consiliat din ce în ce mai mult autoritățile naționale competente cu privire la atenuarea încălcărilor securității datelor, în timp ce multe APD au desfășurat, de asemenea, activități de sensibilizare și au emis orientări.
CEPD ia act de solicitarea APD de a obține mai multă claritate cu privire la domeniul de aplicare al LED, în special cu privire la limita sa cu RGPD, și de a aborda mai în detaliu provocările generate de utilizarea tot mai frecventă a noilor tehnologii, cum ar fi IA, în contextul asigurării respectării legii. CEPD subliniază necesitatea ca autoritățile de aplicare a legii să utilizeze aceste instrumente în strictă conformitate cu LED, asigurându-se că utilizarea lor este necesară, proporțională și supusă unor garanții adecvate.
Potrivit CEPD, în contextul jurisprudenței care s-a dezvoltat de la ultima evaluare a directivei, este esențial să se consolideze în continuare punerea în aplicare la nivel național a LED în întreaga Uniune Europeană. În plus, rolul responsabililor cu protecția datelor (RPD) ar trebui consolidat pentru a asigura aplicarea eficace și consecventă a normelor de protecție a datelor în activitățile de asigurare a respectării legii.
Raportul subliniază, de asemenea, necesitatea unei cooperări îmbunătățite, atât între autoritățile competente responsabile de LED, cât și între autoritățile de aplicare a legii în sens mai larg.
În cele din urmă, CEPD subliniază că atât APD, cât și CEPD au nevoie de resurse financiare și umane suplimentare pentru a îndeplini noi sarcini care decurg din acte juridice recente, inclusiv responsabilități legate de CSC, ale căror activități includ în prezent și supravegherea unor sisteme precum Sistemul de informații privind vizele (VIS), Prüm II și Sistemul de intrare/ieșire existent (EES).
În continuare, CEPD a adoptat recomandări cu privire la cererea de aprobare și la elementele și principiile care se regăsesc în regulile corporatiste obligatorii pentru persoanele împuternicite de operator (BCR-P).
Aceste recomandări constituie o actualizare a referențialului BCR-P existent, care conține criteriile pentru aprobarea BCR-P, și îl fuzionează cu formularul standard de cerere pentru BCR-P.
BCR-P-urile sunt un instrument de transfer care poate fi utilizat de un grup de întreprinderi sau de întreprinderi pentru a transfera date cu caracter personal în afara Spațiului Economic European către persoane împuternicite de operatori din cadrul aceluiași grup. RCO creează drepturi opozabile și stabilesc angajamente de stabilire a unui nivel de protecție a datelor în esență echivalent cu cel prevăzut de RGPD.
Noile recomandări se bazează pe acordurile la care s-a ajuns și pe experiența dobândită de APD în cursul procedurilor de aprobare a aplicațiilor concrete BCR-P de la intrarea în vigoare a RGPD, precum și pe activitatea desfășurată în contextul recomandărilor actualizate privind regulile corporatiste obligatorii pentru operatori (BCR-C).
Recomandările oferă criterii și explicații clare pentru a se asigura că BCR-P elaborate de grupuri de întreprinderi sau întreprinderi respectă RGPD. Recomandările clarifică situațiile în care BCR-P poate fi utilizată, și anume numai pentru transferurile intragrup între persoanele împuternicite de operatori, atunci când operatorul nu face parte din grup.
În plus, recomandările clarifică faptul că BCR-P sunt concepute pentru a îndeplini cerințele prevăzute la articolul 28 alineatul (4) din RGPD. Aceasta înseamnă că orice persoană împuternicită de operator din cadrul grupului care utilizează BCR-P nu trebuie să semneze un acord separat de subprocesare cu fiecare subcontractant din cadrul grupului.
Recomandările vor fi deschise consultării publice până la 2 martie 2026.
Membrii CEPD au desfășurat, de asemenea, un schimb de opinii cu privire la viitorul aviz comun privind Omnibusul digital, care este programat pentru adoptare în cadrul reuniunii plenare din februarie.
Notă către editori
*Temeiul juridic al acțiunii Comisiei este articolul 62 din Directiva (UE) 2016/680 (Directiva privind protecția datelor în materie de asigurare a respectării legii), care impune Comisiei să evalueze și să raporteze cu privire la aplicarea directivei.
**A se vedea, de asemenea, Raportul Comisiei Europene privind aplicarea Directivei privind protecția datelor în materie de asigurare a respectării legii, COM(2022) 364 final, la care CEPD a contribuit.
Comunicatul de presă publicat aici a fost tradus automat din limba engleză. CEPD nu garantează acuratețea traducerii. Vă rugăm să consultați textul oficial în versiunea sa în limba engleză, în cazul în care există îndoieli.