Euroopan tietosuojaneuvosto osallistui rikosasioiden tietosuojadirektiivin arviointiin ja antoi suosituksia BCR-säännöistä
Euroopan tietosuojaneuvosto on antanut raportin rikosasioiden tietosuojadirektiivin toimivuudesta ja soveltamisesta Euroopan komission tekemän arvioinnin tueksi. Tietosuojaneuvosto on lisäksi antanut uusia suosituksia henkilötietojen käsittelijöille tarkoitettujen BCR-sääntöjen soveltamista kansainvälisissä tiedonsiirroissa. Suositukset ovat kommentoitavana julkisella kuulemiskierroksella 2. maaliskuuta 2026 saakka.
Euroopan komissio laatii toista arviointiaan EU:n rikosasioiden tietosuojadirektiivin toimivuudesta. Arviointia varten komissio on pyytänyt tietosuojaviranomaisten näkemyksiä direktiivin soveltamisesta vuosina 2022–2025. Tietosuojaneuvosto korostaa rikosasioiden tietosuojadirektiivin keskeistä roolia henkilötietojen suojaamisessa lainvalvonnan yhteydessä.
Raportissa nostetaan esiin EU-maiden tietosuojaviranomaisten toive direktiivin ja EU:n tietosuoja-asetuksen eli GDPR:n soveltamisalojen rajojen selkeyttämisestä. Lisäksi tietosuojaviranomaiset toivovat direktiivin vastaavan paremmin haasteisiin, joita tekoälyn kaltaisten uusien teknologien lisääntyvä käyttö lainvalvonnassa tuo mukanaan. Lainvalvontaviranomaisten tulisi käyttää näitä teknologioita tiukasti direktiiviä noudattaen sekä varmistaa, että teknologioiden käyttö on välttämätöntä ja oikeasuhteista, ja että käytössä on asianmukaiset suojatoimet.
Raportissa korostetaan myös viranomaisyhteistyön kehittämistä, tarvetta jatkaa direktiivin kansallista täytäntöönpanoa, sekä tietosuojaneuvoston ja tietosuojaviranomaisten resurssitarvetta uusista säädöksistä tulevien tehtävien hoitamiseen. Lisäksi tietosuojaneuvosto peräänkuuluttaa tietosuojavastaavien roolin vahvistamista, jotta tietosuojasäännöt tulevat tehokkaasti huomioiduksi lainvalvonnassa.
Suosituksia henkilötietojen käsittelijöiden BCR-sääntöjen soveltamiseen
Tietosuojaneuvosto on laatinut suosituksia henkilötietojen käsittelijöille suunnattujen yritystä koskevien sitovien sääntöjen (BCR-P) hyväksymisprosessista ja sisällöstä.
Henkilötietojen käsittelijöiden BCR-säännöt on väline, jota yritysryhmään kuuluvat yritykset tai yhtiöt voivat käyttää, kun ne siirtävät henkilötietoja Euroopan talousalueen ulkopuolelle samaan ryhmään kuuluville henkilötietojen käsittelijöille. Sääntöjä voidaan käyttää ainoastaan henkilötietojen käsittelijöiden välisissä ryhmän sisäisissä tiedonsiirroissa, kun rekisterinpitäjä ei kuulu ryhmään.
Suositusten avulla yritysryhmät ja yhtiöt voivat varmistaa, että niiden laatimat BCR-säännöt ovat EU:n tietosuoja-asetuksen mukaisia. Henkilötietojen käsittelijöiden BCR-säännöt on suunniteltu täyttämään tietosuoja-asetuksen 28 artiklan alikäsittelijöitä koskevat vaatimukset. Tämä tarkoittaa, että ryhmän sisällä toimivan henkilötietojen käsittelijän ei tarvitse tehdä erillistä henkilötietojen käsittelysopimusta ryhmän kunkin alikäsittelijän kanssa, kun ne käyttävät BCR-sääntöjä.
Suosituksista järjestetään julkinen kuuleminen 2. maaliskuuta 2026 saakka Euroopan tietosuojaneuvoston verkkosivuilla (englanniksi): Recommendations on the application for approval and on the elements and principles to be found in Processor Binding Corporate Rules (BCR-P) (edpd.europa.eu)
Lisätietoja:
Euroopan tietosuojaneuvoston tiedote 19.1.2026 (englanniksi): EDPB contributes to the LED evaluation and adopts recommendations on the application for Processor BCR | European Data Protection Board (edpb.europa.eu)