EDPB: LED direktiva in priporočila o vlogah za BCR
Na zadnji plenarni seji je EDPB sprejel poročilo v podporo evalvaciji Direktive o preprečevanju kaznivih dejanj (LED) s strani Evropske komisije.
Komisija mora svoje javno poročilo o evalvaciji in pregledu te direktive predložiti Evropskemu parlamentu in Svetu do 6. maja 2026. Pred tem je Komisija zbrala mnenja evropskih organov za varstvo podatkov (DPA) o uporabi in delovanju LED v obdobju od januarja 2022 do 31. avgusta 2025.
“Pozdravljamo redne evalvacije Evropske komisije glede uporabe LED in smo zavezani, da za te evalvacije zagotovimo svoje strokovno znanje, da bi LED še naprej ohranjala visoke standarde varstva podatkov na področju kazenskega pregona.”
— Anu Talus, predsednica EDPB
Kazalo
Glavne ugotovitve poročila
EDPB v svojem poročilu poudarja ključno vlogo LED pri varstvu osebnih podatkov v kontekstu kazenskega pregona. Nadzorni organi so vse pogosteje svetovali pristojnim nacionalnim organom glede zmanjševanja posledic kršitev varstva podatkov, številni pa so izvajali tudi ozaveščevalne dejavnosti in izdajali smernice.
EDPB ugotavlja, da nadzorni organi zahtevajo večjo jasnost glede obsega LED, zlasti glede meje z Splošno uredbo o varstvu podatkov (GDPR), ter temeljitejšo obravnavo izzivov, ki jih prinaša naraščajoča uporaba novih tehnologij, kot je umetna inteligenca, na področju kazenskega pregona. EDPB poudarja potrebo, da organi pregona te tehnologije uporabljajo v strogem skladu z LED ter zagotovijo, da je njihova uporaba nujna, sorazmerna in predmet ustreznih zaščitnih ukrepov.
Po mnenju EDPB je glede na sodno prakso, ki se je razvila od zadnje evalvacije direktive, bistveno okrepiti nacionalno izvajanje LED po vsej Evropski uniji. Poleg tega bi bilo treba okrepiti vlogo pooblaščenih oseb za varstvo podatkov (DPO), da se zagotovi učinkovita in dosledna uporaba pravil o varstvu podatkov pri dejavnostih kazenskega pregona.
Poročilo opozarja tudi na potrebo po izboljšanem sodelovanju tako med pristojnimi organi za LED kot med organi kazenskega pregona na splošno.
EDPB poudarja, da tako nadzorni organi kot EDPB potrebujejo dodatne finančne in človeške vire za izvajanje novih nalog, ki izhajajo iz nedavnih pravnih aktov, vključno z odgovornostmi, povezanimi z Odborom za usklajeni nadzor (CSC), katerega dejavnosti zdaj vključujejo tudi nadzor sistemov, kot so vizumski informacijski sistem (VIS), Prüm II in sistem vstopa/izstopa (EES).
Priporočila o zavezujočih poslovnih pravilih za obdelovalce (BCR-P)
EDPB je sprejel tudi priporočila o vlogah za odobritev in o elementih ter načelih, ki jih morajo vsebovati zavezujoča poslovna pravila za obdelovalce (BCR-P).
Ta priporočila predstavljajo posodobitev obstoječega referenčnega dokumenta za BCR-P, ki vsebuje merila za odobritev, in ga združujejo s standardnim obrazcem vloge.
BCR-P so orodje za prenos podatkov, ki ga lahko skupina podjetij uporablja za prenos osebnih podatkov iz Evropskega gospodarskega prostora obdelovalcem znotraj iste skupine. Zavezujoča poslovna pravila ustvarjajo izvršljive pravice in določajo zaveze za vzpostavitev ravni varstva podatkov, ki je bistveno enakovredna ravni, ki jo zagotavlja GDPR.
Nova priporočila temeljijo na dogovorih in izkušnjah nadzornih organov pri postopkih odobritve konkretnih vlog za BCR-P od začetka uporabe GDPR ter na delu v okviru posodobljenih priporočil o zavezujočih poslovnih pravilih za upravljavce (BCR-C).
Priporočila pojasnjujejo, kdaj se lahko uporabljajo BCR-P – in sicer samo za prenose znotraj skupine med obdelovalci, kadar upravljavec ni del skupine.
Poleg tega priporočila pojasnjujejo, da so BCR-P zasnovana tako, da izpolnjujejo zahteve člena 28(4) GDPR. To pomeni, da obdelovalcu v skupini, ki uporablja BCR-P, ni treba podpisati ločene pogodbe o podobdelavi z vsakim podobdelovalcem v skupini.
Javno posvetovanje o priporočilih je odprto do 2. marca 2026.
Razprava o Digital Omnibus
Člani EDPB so opravili tudi izmenjavo mnenj o prihajajočem skupnem mnenju o paketu Digital Omnibus, katerega sprejetje je predvideno na plenarni seji februarja 2026.
