EROD przedstawia wkład do raportu z ewaluacji dyrektywy policyjnej oraz wytyczne ws. wdrażania Wiążących Reguł Korporacyjnych
Europejska Rada Ochrony Danych wskazuje, że Dyrektywa policyjna ma kluczowe znaczenie dla ochrony danych osobowych w kontekście działań organów ścigania. Na posiedzeniu plenarnym 19 stycznia EROD przyjęła także zalecenia dotyczące wniosku o zatwierdzenie oraz elementów i zasad, które powinny się znaleźć w wiążących regułach korporacyjnych dla podmiotów przetwarzających (BCR-P).
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680, zwana Dyrektywą policyjną lub LED (Law Enforcement Directive), ustanawia gwarancje i zasady ochrony danych osobowych przez organy ścigania i egzekucji prawa w związku wykrywaniem, ściganiem czy zapobieganiem przestępstwom. Jej art. 62 zakłada sporządzanie przeglądu i oceny stosowania jej przepisów co 4 lata. Komisja Europejska ma przedstawić najbliższy taki raport Parlamentowi Europejskiemu i Radzie do 6 maja 2026 r.
– Z zadowoleniem przyjmujemy regularne oceny stosowania dyrektywy LED prowadzone przez Komisję Europejską i jesteśmy gotowi dzielić się naszą wiedzą ekspercką, aby zapewnić, że LED nadal będzie gwarantować wysoki poziom ochrony danych w kontekście działań organów ścigania – powiedziała Przewodnicząca EROD, Anu Talus.
EROD pyta organy krajowe o ocenę i stosowanie Dyrektywy policyjnej
W sporządzeniu wspomnianego przeglądu pomocy KE udziela EROD, do której zadań należy m.in. ułatwianie współpracy i koordynacji między organami ochrony danych podczas nadzorowania przetwarzania danych w sektorze egzekwowania prawa. Ponadto sekretariat EROD pełni funkcję sekretariatu Komitetu ds. Skoordynowanego Nadzoru (CSC), który zapewnia skoordynowany nadzór nad dużymi systemami teleinformatycznymi oraz organami i agencjami UE w obszarze egzekwowania prawa i wymiaru sprawiedliwości w sprawach karnych. Dlatego w ramach przygotowań do przeglądu Komisja za pośrednictwem EROD zebrała opinie europejskich organów ochrony danych na temat stosowania i funkcjonowania Dyrektywy policyjnej w okresie od stycznia 2022 do 31 sierpnia 2025 r.
W swoim raporcie EROD podkreśla kluczową rolę dyrektywy LED w ochronie danych osobowych w działalności organów ścigania. Jednocześnie zwraca uwagę, że w świetle orzecznictwa, które rozwinęło się od czasu ostatniej oceny dyrektywy (tj. od 2022 r.), kluczowa jest silniejsza implementacja przepisów dyrektywy w prawie krajowym państw członkowskich. Aby zaś zwiększyć spójność i skuteczność stosowania jej przepisów, należy wzmocnić pozycję IOD w tym sektorze.
Organy ochrony danych potrzebują więcej zasobów w związku z nowymi zadaniami
Z raportu EROD wynika ponadto, że organy ochrony danych coraz częściej doradzają właściwym organom krajowym w zakresie ograniczania skutków naruszeń ochrony danych, a wiele z nich prowadzi również działania edukacyjne i wydaje wytyczne. Jednocześnie organy nadzorcze same zgłaszają potrzebę większej jasności co do zakresu stosowania LED oraz tego, gdzie przebiega granica między nią a RODO. Wnioskują także o bardziej szczegółowe zajęcie się wyzwaniami wynikającymi z rosnącego wykorzystania nowych technologii, takich jak sztuczna inteligencja, w kontekście działań organów ścigania. EROD podkreśla konieczność stosowania tych narzędzi przez organy ścigania w ścisłej zgodności z dyrektywą policyjną, by zapewnić, że ich użycie jest niezbędne, proporcjonalne i objęte odpowiednimi zabezpieczeniami.
Raport wskazuje również na potrzebę poprawy współpracy – zarówno między właściwymi organami odpowiedzialnymi za stosowanie LED, jak i szerzej między organami ścigania. Wreszcie EROD podkreśla, że zarówno organy ochrony danych, jak i sam EROD potrzebują dodatkowych zasobów finansowych i kadrowych, aby realizować nowe zadania wynikające z ostatnich aktów prawnych, w tym obowiązki związane z CSC, którego działalność obejmuje obecnie również nadzór nad systemami takimi jak System Informacyjny Schengen (VIS), Prüm II oraz System Wjazdu/Wyjścia (EES).
Wytyczne dla podmiotów przetwarzających ws. Wiążących Reguł Korporacyjnych
Przyjęte w styczniu przez EROD wytyczne stanowią aktualizację istniejącego referencyjnego zestawu wymogów BCR-P, który zawiera kryteria zatwierdzania BCR-P, oraz łączą go ze standardowym formularzem wniosku o BCR-P. BCR-P są narzędziem transferowym, które może być stosowane przez grupę przedsiębiorstw do przekazywania danych osobowych poza Europejski Obszar Gospodarczy do podmiotów przetwarzających w ramach tej samej grupy. BCR tworzą możliwe do egzekwowania zasady oraz określają zobowiązania mające zapewnić poziom ochrony danych zasadniczo równoważny temu, który gwarantuje RODO.
Aktualne wytyczne ws. BCR-P: jasne kryteria i brak osobnych umów powierzenia
Nowe zalecenia opierają się na uzgodnieniach i doświadczeniach zdobytych przez organy ochrony danych w trakcie procedur zatwierdzania konkretnych wniosków BCR-P od czasu wejścia w życie RODO, a także na pracach prowadzonych w ramach zaktualizowanych zaleceń dotyczących wiążących reguł korporacyjnych dla administratorów (BCR-C).
Zalecenia zawierają jasne kryteria i wyjaśnienia, aby zapewnić, że BCR-P opracowywane przez grupy przedsiębiorstw są zgodne z RODO. Wyjaśniają również, kiedy BCR-P mogą być stosowane – mianowicie wyłącznie do transferów wewnątrzgrupowych między podmiotami przetwarzającymi, gdy administrator nie należy do grupy.
Ponadto zalecenia precyzują, że BCR-P są zaprojektowane tak, aby spełniać wymogi art. 28 ust. 4 RODO. Oznacza to, że każdy podmiot przetwarzający w grupie korzystający z BCR-P nie musi podpisywać odrębnej umowy powierzenia z każdym podwykonawcą przetwarzania w grupie.
Zalecenia będą poddane konsultacjom publicznym do 2 marca 2026 r. Członkowie EROD przeprowadzili także wymianę poglądów na temat nadchodzącej wspólnej opinii dotyczącej pakietu Digital Omnibus, której przyjęcie zaplanowano na lutowe posiedzenie plenarne.
Więcej informacji na temat wiążących reguł korporacyjnych (WRK) można znaleźć na stronie UODO: https://uodo.gov.pl/pl/638
Więcej informacji o Dyrektywie policyjnej dostępne na stronie UODO: https://uodo.gov.pl/pl/405
Źródło: Komunikat Europejskiej Rady Ochrony Danyc: EDPB contributes to the LED evaluation and adopts recommendations on the application for Processor BCR | European Data Protection Board
