113. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 15 stycznia 2026 r.

Europejska Rada Ochrony Danych (EROD) wzięła udział w ocenie dyrektywy 2016/680 i przyjęła Zalecenia 1/2022 w sprawie wniosku o zatwierdzenie oraz dotyczące elementów i zasad, które powinny znaleźć się w wiążących regułach korporacyjnych dla podmiotów przetwarzających (art. 47 RODO).

Podczas 113. posiedzenia plenarnego, które odbyło się 15 stycznia 2026 r., EROD przyjęła sprawozdanie wspierające przeprowadzoną przez Komisję Europejską ocenę dyrektywy 2016/680.

Komisja musi przedłożyć Parlamentowi Europejskiemu i Radzie swoje publiczne sprawozdanie z oceny i przeglądu niniejszej dyrektywy do 6 maja 2026 r. Wcześniej Komisja zebrała opinie europejskich organów ochrony danych na temat stosowania i funkcjonowania dyrektywy (UE) 2016/680 w okresie od stycznia 2022 r. do 31 sierpnia 2025 r.

„Z zadowoleniem przyjmujemy regularne oceny Komisji Europejskiej dotyczące stosowania dyrektywy (UE) 2016/680 i zobowiązujemy się do zapewnienia naszej fachowej wiedzy na potrzeby tych ocen, aby zagwarantować, że dyrektywa (UE) 2016/680 nadal będzie gwarancją wysokich standardów ochrony danych w kontekście egzekwowania prawa” - powiedziała Przewodnicząca EROD, Anu Talus.

EROD ułatwia współpracę i koordynację między organami ochrony danych przy nadzorowaniu przetwarzania danych przez organy ścigania. Sekretariat EROD zapewnia również Sekretariat Komitetu Skoordynowanego Nadzoru, który zapewnia skoordynowany nadzór nad wielkoskalowymi systemami informatycznymi oraz organami i agencjami UE w dziedzinie egzekwowania prawa i wymiaru sprawiedliwości w sprawach karnych.

W swoim sprawozdaniu EROD podkreśla kluczową rolę dyrektywy (UE) 2016/680 w ochronie danych osobowych w kontekście egzekwowania prawa. Organy ochrony danych w coraz większym stopniu doradzały właściwym organom krajowym w zakresie łagodzenia naruszeń ochrony danych, podczas gdy wiele organów ochrony danych prowadziło również działania uświadamiające i wydało wytyczne.

EROD przyjmuje do wiadomości wniosek organów ochrony danych o większą przejrzystość co do zakresu dyrektywy (UE) 2016/680, w szczególności jej granic z RODO, oraz o dokładniejsze zajęcie się wyzwaniami związanymi z rosnącym wykorzystaniem nowych technologii, takich jak sztuczna inteligencja, w kontekście egzekwowania prawa. EROD podkreśla, że organy ścigania muszą korzystać z tych narzędzi w ścisłej zgodności z dyrektywą (UE) 2016/680, zapewniając, aby korzystanie z nich było konieczne, proporcjonalne i podlegało odpowiednim zabezpieczeniom.

Według EROD w kontekście orzecznictwa opracowanego od czasu ostatniej oceny dyrektywy (UE) 2016/680 zasadnicze znaczenie ma dalsze wzmocnienie wdrażania dyrektywy (UE) 2016/680 na szczeblu krajowym w całej Unii Europejskiej. Ponadto należy wzmocnić rolę inspektorów ochrony danych, aby zapewnić skuteczne i spójne stosowanie przepisów o ochronie danych w działaniach organów ścigania.

W sprawozdaniu wskazano również na potrzebę lepszej współpracy, zarówno między właściwymi organami odpowiedzialnymi za dyrektywę (UE) 2016/680, jak i między organami ścigania w szerszym ujęciu.

Ponadto EROD podkreśla, że zarówno organy ochrony danych, jak i EROD potrzebują dodatkowych zasobów finansowych i ludzkich, aby wykonywać nowe zadania wynikające z niedawnych aktów prawnych, w tym obowiązki związane z Sekretariatem Komitetu Skoordynowanego Nadzoru, którego działalność obejmuje obecnie również nadzór nad systemami takimi jak Wizowy System Informacyjny (VIS), Prüm II i system wjazdu/wyjazdu (EES).

Następnie EROD przyjęła zalecenia dotyczące wniosku o zatwierdzenie oraz elementów i zasad, które powinny znaleźć się w wiążących regułach korporacyjnych dla podmiotów przetwarzających.

Zalecenia te stanowią aktualizację istniejącego dokumentu dotyczącego wiążących reguł korporacyjnych dla podmiotów przetwarzających, który zawiera kryteria zatwierdzania wiążących reguł korporacyjnych dla podmiotów przetwarzających i łączą go ze standardowym formularzem wniosku dotyczącego wiążących reguł korporacyjnych dla podmiotów przetwarzających.

Wiążące reguły korporacyjne dla podmiotów przetwarzających to narzędzie przekazywania, które może być wykorzystywane przez grupy przedsiębiorstw lub przedsiębiorców do przekazywania danych osobowych poza Europejski Obszar Gospodarczy podmiotom przetwarzającym w ramach tej samej grupy. Wiążące reguły korporacyjne tworzą egzekwowalne prawa i określają zobowiązania do ustanowienia stopnia ochrony danych zasadniczo równoważnego stopniowi przewidzianemu w RODO.

Nowe zalecenia opierają się na porozumieniach osiągniętych przez organy ochrony danych i doświadczeniach zdobytych przez nie w trakcie procedur zatwierdzania konkretnych zastosowań wiążących reguł korporacyjnych dla podmiotów przetwarzających od czasu rozpoczęcia stosowania RODO, a także na pracach przeprowadzonych w kontekście zaktualizowanych zaleceń dotyczących wiążących reguł korporacyjnych dla administratorów.

Zalecenia zawierają jasne kryteria i wyjaśnienia w celu zapewnienia zgodności wiążących reguł korporacyjnych opracowanych przez grupy przedsiębiorstw lub przedsiębiorców z RODO. W zaleceniach wyjaśniono, kiedy można stosować wiążące reguły korporacyjne dla podmiotów przetwarzających, mianowicie wyłącznie w odniesieniu do wewnątrzgrupowych operacji przekazywania danych między podmiotami przetwarzającymi, gdy administrator nie należy do grupy.

Ponadto w zaleceniach wyjaśniono, że wiążące reguły korporacyjne mają na celu spełnienie wymogów art. 28 ust. 4 RODO. Oznacza to, że nie każdy podmiot przetwarzający w ramach grupy korzystający z wiążących reguł korporacyjnych dla podmiotów przetwarzających musi podpisywać odrębną umowę powierzenia przetwarzania z każdym podwykonawcą przetwarzania w grupie.

Zalecenia będą przedmiotem konsultacji publicznych do 2 marca 2026 r.

Członkowie EROD przeprowadzili również wymianę poglądów na temat przyszłej wspólnej opinii w sprawie Cyfrowego Omnibusa, która ma zostać przyjęta na lutowym posiedzeniu plenarnym.

Źródło: https://www.edpb.europa.eu/news/news/2026/edpb-contributes-led-evaluation-and-adopts-recommendations-application-processor-bcr_en