EDPB přispívá k hodnocení směrnice o prosazování práva a přijímá doporučení k žádosti o závazná podniková pravidla pro zpracovatele

Komise musí do 6. května 2026 předložit Evropskému parlamentu a Radě svou veřejnou zprávu o hodnocení a přezkumu této směrnice. Předtím Komise shromáždila názory evropských úřadů pro ochranu osobních údajů na uplatňování a fungování směrnice o prosazování práva v období od ledna 2022 do 31. srpna 2025.

„Vítáme pravidelná hodnocení Evropské komise týkající se uplatňování směrnice o prosazování práva a jsme odhodláni poskytnout pro tato hodnocení naše odborné znalosti, abychom zajistili, že směrnice o prosazování práva bude i nadále dodržovat vysoké standardy ochrany údajů v souvislosti s prosazováním práva,“ 

dodala předsedkyně EDPB Anu Talusová.

EDPB usnadňuje spolupráci a koordinaci mezi úřady pro ochranu osobních údajů při dohledu nad zpracováním údajů pro účely vymáhání práva. Sekretariát EDPB rovněž spravuje sekretariát Výboru pro koordinovaný dohled, který zajišťuje koordinovaný dohled nad rozsáhlými informačními systémy a orgány a agenturami EU v oblasti prosazování práva a trestního soudnictví.

EDPB ve své zprávě zdůrazňuje klíčovou úlohu směrnice o prosazování práva při ochraně osobních údajů. Úřady pro ochranu osobních údajů stále častěji poskytovaly příslušným vnitrostátním orgánům poradenství ohledně zmírňování případů porušení ochrany údajů, přičemž mnoho úřadů pro ochranu osobních údajů rovněž provádělo osvětové činnosti a vydalo pokyny.

EDPB bere na vědomí žádost úřadů pro ochranu osobních údajů o vyjasnění oblasti působnosti směrnice o prosazování práva, zejména její hranice s obecným nařízením o ochraně osobních údajů, a o důkladnější řešení výzev, které představuje rostoucí využívání nových technologií (AI a další), v souvislosti s prosazováním práva. EDPB zdůrazňuje, že je třeba, aby donucovací orgány používaly tyto nástroje v přísném souladu se směrnicí o prosazování práva a zajistily, aby jejich používání bylo nezbytné, přiměřené a podléhalo odpovídajícím zárukám.

Posílení vnitrostátní směrnice a úloh pověřenců

Podle EDPB je v souvislosti s judikaturou, která se vyvinula od posledního hodnocení směrnice, nezbytné dále posílit vnitrostátní provádění směrnice o prosazování práva v celé Evropské unii. Kromě toho by měla být posílena úloha pověřenců pro ochranu osobních údajů, aby se zajistilo účinné a jednotné uplatňování pravidel ochrany údajů při činnostech v oblasti prosazování práva.

Zpráva rovněž poukazuje na potřebu lepší spolupráce, a to jak mezi příslušnými orgány odpovědnými za směrnici o prosazování práva, tak mezi donucovacími orgány v širším smyslu.

V neposlední řadě EDPB zdůrazňuje, že úřady pro ochranu osobních údajů i EDPB potřebují dodatečné finanční a lidské zdroje, aby mohly plnit nové úkoly vyplývající z nedávných právních aktů, včetně povinností spojených s CSC, jehož činnosti nyní zahrnují také dohled nad systémy jako je Vízový informační systém (VIS), Prüm II a Systém vstupu/výstupu (EES).

Závazná podniková pravidla pro zpracovatele (BCR-P)

EDPB dále přijal doporučení k žádosti o schválení a k prvkům a zásadám, které mají být obsaženy v závazných podnikových pravidlech pro zpracovatele (BCR-P).

Tato doporučení tvoří aktualizaci stávajícího referenčního rámce pro závazná podniková pravidla-P, který obsahuje kritéria pro schválení závazných podnikových pravidel-P, a slučují jej se standardním formulářem žádosti o závazná podniková pravidla-P.

BCR-P jsou nástroj pro předávání údajů, který může skupina podniků použít k předávání osobních údajů mimo Evropský hospodářský prostor zpracovatelům v rámci téže skupiny. Závazná podniková pravidla vytvářejí vymahatelná práva a stanoví závazky ke stanovení úrovně ochrany údajů, která jsou v zásadě rovnocenná úrovni stanovené v obecném nařízení o ochraně osobních údajů.

Nová doporučení vycházejí z dohod, jichž bylo dosaženo, a ze zkušeností, které úřady pro ochranu osobních údajů získaly v průběhu schvalovacích postupů u konkrétních žádostí o závazná podniková pravidla od vstupu GDPR v platnost, jakož i z práce vykonané v souvislosti s aktualizovanými doporučeními týkajícími se závazných podnikových pravidel pro správce.

Doporučení obsahují jasná kritéria a vysvětlení, která mají zajistit, aby závazná podniková pravidla vypracovaná skupinami podniků byla v souladu s obecným nařízením o ochraně osobních údajů. Doporučení objasňují, kdy lze závazná podniková pravidla-P použít, zejména pro předávání v rámci skupiny mezi zpracovateli, pokud správce není součástí skupiny.

Doporučení dále objasňují, že závazná podniková pravidla pro zpracovatele jsou navržena tak, aby splňovala požadavky čl. 28 odst. 4 GDPR. To znamená, že žádný zpracovatel ve skupině, který používá závazná podniková pravidla-P, nemusí s každým dílčím zpracovatelem ve skupině podepsat samostatnou dohodu o dílčím zpracování.  

Doporučení budou otevřena veřejné konzultaci do 2. března 2026.

Členové Evropského sboru pro ochranu osobních údajů si rovněž vyměnili názory na připravované společné stanovisko k souhrnnému nařízení o digitálních službách, které má být přijato na únorovém plenárním zasedání.

Původní tiskovou zprávu v angličtině najdete zde.