Europeiska dataskyddsstyrelsen deltog i utvärderingen av dataskyddsdirektivet och gav rekommendationer om BCR-reglerna
Europeiska dataskyddsstyrelsen har gett en rapport om hur dataskyddsdirektivet fungerar och tillämpas som stöd för Europeiska kommissionens utvärdering. Dataskyddsstyrelsen har dessutom gett nya rekommendationer för personuppgiftsbiträden om hur BCR-reglerna tillämpas vid internationell dataöverföring. Rekommendationerna kan kommenteras i en offentlig samrådsrunda fram till den 2 mars 2026.
Europeiska kommissionen utarbetar sin andra utvärdering av hur EU:s dataskyddsdirektiv fungerar. För utvärderingen har kommissionen bett dataskyddsmyndigheterna om deras synpunkter på tillämpningen av direktivet 2022–2025. Dataskyddsrådet betonar att dataskyddsdirektivet har en central roll i skyddet av personuppgifter i samband med lagövervakning.
I rapporten lyfts fram EU-ländernas dataskyddsmyndigheters önskemål om att förtydliga gränserna för tillämpningsområdet för direktivet och EU:s dataskyddsförordning, det vill säga GDPR. Dessutom hoppas dataskyddsmyndigheterna att direktivet bättre ska svara på de utmaningar som den ökade användningen av ny teknik såsom artificiell intelligens medför i lagövervakningen. De lagövervakande myndigheterna bör använda dessa tekniker strikt i enlighet med direktivet samt säkerställa att det är nödvändigt och proportionerligt att använda tekniken och att lämpliga skyddsåtgärder vidtas.
I rapporten betonas också utvecklingen av myndighetssamarbetet, behovet av att fortsätta det nationella verkställandet av direktivet samt dataskyddsstyrelsens och dataskyddsmyndigheternas behov av resurser för att sköta de uppgifter som följer av de nya bestämmelserna. Dessutom efterlyser dataskyddsstyrelsen en förstärkning av de dataskyddsansvarigas roll så att dataskyddsbestämmelserna kan beaktas effektivt i lagövervakningen.
Rekommendationer för tillämpning av BCR-reglerna för personuppgiftsbiträden
Dataskyddsstyrelsen har för personuppgiftsbiträden utarbetat rekommendationer om processen för godkännande av och innehållet i de bindande företagsbestämmelserna (BCR-P).
BCR-reglerna för personuppgiftsbiträden är ett verktyg som företag eller bolag som hör till en företagsgrupp kan använda när de överför personuppgifter till personuppgiftsbiträden som hör till samma grupp utanför Europeiska ekonomiska samarbetsområdet. Reglerna kan endast användas för dataöverföring mellan personuppgiftsbiträden inom gruppen då den personuppgiftsansvarige inte hör till gruppen.
Med hjälp av rekommendationerna kan företagsgrupper och bolag säkerställa att deras BCR-regler följer EU:s dataskyddsförordning. BCR-reglerna för personuppgiftsbiträden har planerats så att de uppfyller de krav som berör underbiträden i artikel 28 i dataskyddsförordningen. Det här innebär att ett personuppgiftsbiträde inom gruppen inte behöver ingå ett separat avtal om behandling av personuppgifter med varje underbiträde i gruppen när de använder BCR-reglerna.
Det ordnas ett offentligt samråd om rekommendationerna fram till den 2 mars 2026 på Europeiska dataskyddsstyrelsens webbplats.
Rekommendationer om BCR-regler för personuppgiftsbiträden (på engelska): Recommendations on the application for approval and on the elements and principles to be found in Processor Binding Corporate Rules (BCR-P) (edpd.europa.eu)
Mer information:
Europeiska dataskyddstyrelsens meddelande 19.1.2026 (på engelska): EDPB contributes to the LED evaluation and adopts recommendations on the application for Processor BCR | European Data Protection Board (edpb.europa.eu)