Bruselj, 19. januarja – Evropski odbor za varstvo podatkov je na zadnjem plenarnem zasedanju sprejel poročilo v podporo oceni direktive o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj, ki jo je opravila Evropska komisija.
Komisija mora do 6. maja 2026 Evropskemu parlamentu in Svetu predložiti javno poročilo* o oceni in pregledu te direktive. Pred tem je Komisija zbrala mnenja evropskih organov za varstvo podatkov o uporabi in delovanju Direktive (EU) 2016/680 v obdobju od januarja 2022 do 31. avgusta 2025.**
„Pozdravljamo redno ocenjevanje uporabe Direktive (EU) 2016/680, ki ga izvaja Evropska komisija, in smo zavezani zagotavljanju svojega strokovnega znanja za ta ocenjevanja, da bi zagotovili, da bo Direktiva (EU) 2016/680 še naprej ohranjala visoke standarde varstva podatkov v okviru preprečevanja, odkrivanja in preiskovanja kaznivih dejanj.“
predsednica Evropskega odbora za varstvo podatkov Anu Talus
EOVP olajšuje sodelovanje in usklajevanje med organi za varstvo podatkov pri nadzoru obdelave s strani organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj. Sekretariat EOVP zagotavlja tudi sekretariat usklajenega nadzornega odbora (CSC), ki zagotavlja usklajen nadzor nad obsežnimi informacijskimi sistemi ter organi in agencijami EU na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter kazenskega pravosodja.
EOVP v svojem poročilu poudarja ključno vlogo Direktive (EU) 2016/680 pri varstvu osebnih podatkov v okviru preprečevanja, odkrivanja in preiskovanja kaznivih dejanj. Organi za varstvo podatkov vse pogosteje svetujejo pristojnim nacionalnim organom pri zmanjševanju kršitev varstva podatkov, številni pa so izvedli tudi dejavnosti ozaveščanja in izdali smernice.
EOVP je seznanjen z zahtevo organov za varstvo podatkov po večji jasnosti glede področja uporabe Direktive (EU) 2016/680, zlasti njene meje s splošno uredbo o varstvu podatkov, in po temeljitejši obravnavi izzivov, ki jih prinaša vse večja uporaba novih tehnologij, kot je umetna inteligenca, v okviru preprečevanja, odkrivanja in preiskovanja kaznivih dejanj. EOVP poudarja, da morajo organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ta orodja uporabljati strogo v skladu z direktivo o kazenskem pregonu, pri čemer morajo zagotoviti, da je njihova uporaba potrebna, sorazmerna in da zanjo veljajo ustrezni zaščitni ukrepi.
Po mnenju EOVP je v okviru sodne prakse, ki se je razvila od zadnje ocene direktive, bistveno dodatno okrepiti nacionalno izvajanje Direktive (EU) 2016/680 po vsej Evropski uniji. Poleg tega bi bilo treba okrepiti vlogo pooblaščenih oseb za varstvo podatkov, da se zagotovi učinkovita in dosledna uporaba pravil o varstvu podatkov pri dejavnostih kazenskega pregona.
V poročilu je poudarjeno tudi, da je treba izboljšati sodelovanje, tako med pristojnimi organi, odgovornimi za direktivo o kazenskem pregonu, kot med organi kazenskega pregona na splošno.
Nazadnje EOVP poudarja, da organi za varstvo podatkov in EOVP potrebujejo dodatne finančne in človeške vire za izvajanje novih nalog, ki izhajajo iz nedavnih pravnih aktov, vključno s pristojnostmi, povezanimi s skupnim varnostnim centrom, katerega dejavnosti zdaj vključujejo tudi nadzor sistemov, kot so vizumski informacijski sistem (VIS), Prüm II in sistem vstopa/izstopa (SVI).
EOVP je nato sprejel priporočila o vlogi za odobritev ter elementih in načelih iz zavezujočih poslovnih pravil za obdelovalce (BCR-P).
Ta priporočila predstavljajo posodobitev obstoječega referenčnega dokumenta BCR-P, ki vsebuje merila za odobritev BCR-P, in ga združujejo s standardnim obrazcem vloge za BCR-P.
BCR-Ps so orodje za prenos, ki ga lahko skupina podjetij ali podjetij uporablja za prenos osebnih podatkov zunaj Evropskega gospodarskega prostora obdelovalcem v isti skupini. Z zavezujočimi poslovnimi pravili se ustvarjajo izvršljive pravice in določajo zaveze za vzpostavitev ravni varstva podatkov, ki je v bistvu enakovredna ravni iz splošne uredbe o varstvu podatkov.
Nova priporočila temeljijo na doseženih dogovorih in izkušnjah, ki so jih organi za varstvo podatkov pridobili med postopki odobritve konkretnih aplikacij BCR-P od začetka uporabe splošne uredbe o varstvu podatkov, ter na delu, opravljenem v okviru posodobljenih priporočil o zavezujočih poslovnih pravilih za upravljavce (BCR-C).
Priporočila vsebujejo jasna merila in pojasnila za zagotovitev, da so BCR-P, ki so jih razvile skupine podjetij ali podjetij, skladni s splošno uredbo o varstvu podatkov. V priporočilih je pojasnjeno, kdaj se lahko BCR-P uporablja, in sicer samo za prenose znotraj skupine med obdelovalci, kadar upravljavec ni del skupine.
Poleg tega je v priporočilih pojasnjeno, da so zavezujoča poslovna pravila-P zasnovana tako, da izpolnjujejo zahteve iz člena 28(4) splošne uredbe o varstvu podatkov. To pomeni, da nobenemu predelovalcu v skupini, ki uporablja BCR-P, ni treba podpisati ločene pogodbe o podobdelavi z vsakim podobdelovalcem v skupini.
Priporočila bodo na voljo za javno posvetovanje do 2. marca 2026.
Člani EOVP so izmenjali tudi mnenja o prihodnjem skupnem mnenju o digitalnem omnibusu, ki naj bi bilo sprejeto na februarskem plenarnem zasedanju.
Opomba urednikom
*Pravna podlaga za ukrepanje Komisije je člen 62 Direktive (EU) 2016/680 (direktiva o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj), v skladu s katerim mora Komisija oceniti uporabo Direktive in o njej poročati.
**Glej tudi Poročilo Evropske komisije o uporabi direktive o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj (COM(2022) 364 final), h kateremu je prispeval Evropski odbor za varstvo podatkov.
Sporočilo za javnost, objavljeno tukaj, je bilo samodejno prevedeno iz angleščine. EOVP ne zagotavlja točnosti prevoda. Če obstaja kakršen koli dvom, glejte uradno besedilo v angleški različici.