Capitolul 1 - 2.1. Cadrul de protecţie a datelor din Regatul Unit - Decizia 2571/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1773 a Comisiei în temeiul Directivei (UE) 2016/680 a Parlamentului European şi a Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 23 Decembrie 2025
CAPITOLUL 1:2.1. Cadrul de protecţie a datelor din Regatul Unit
(8)La adoptarea Deciziei de punere în aplicare (UE) 2021/1773, cadrul juridic pentru prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, al depistării, al investigării sau al urmăririi penale a infracţiunilor sau în scopul executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora în Regatul Unit a fost stabilit în părţile relevante ale DPA din 2018 (8), astfel cum a fost modificată prin Regulamentele din 2019 privind protecţia datelor, a vieţii private şi comunicaţiile electronice (modificări etc.) (ieşirea din UE) [Regulamentele DPPEC (Data Protection, Privacy and Electronic Communications)] (9), în special în partea 3 din legea respectivă.
(8)Legea privind protecţia datelor din 2018, disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2018/12/contents. Înainte de retragerea Regatului Unit din Uniunea Europeană şi în cursul perioadei de tranziţie, DPA din 2018 a prevăzut norme naţionale, în cazul în care Regulamentul (UE) 2016/679 permitea acest lucru, specificând şi restricţionând aplicarea normelor Regulamentului (UE) 2016/679, şi a transpus Directiva (UE) 2016/680.
(9)Regulamentele din 2019 privind protecţia datelor, a vieţii private şi comunicaţiile electronice (modificări etc.) (ieşirea din UE), disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2019/419/contents/made, astfel cum au fost modificate prin Regulamentele DPPEC din 2020, disponibile la următoarea adresă: https://www.legislation.gov.uk/ukdsi/2020/9780348213522. Regulamentele DPPEC modifică Regulamentul (UE) 2016/679, astfel cum a fost introdus în legislaţia Regatului Unit prin Legea din 2018 privind Uniunea Europeană (retragere), prin DPA din 2018 şi prin alte acte legislative privind protecţia datelor pentru a îl adapta contextului naţional.
(9)Deşi această lege, care a reflectat îndeaproape normele corespunzătoare aplicabile în Uniunea Europeană, continuă să constituie legislaţia Regatului Unit privind protecţia datelor pentru activităţile de prelucrare relevante, ea a făcut, între timp, obiectul unor modificări limitate, reflectând faptul că Regatul Unit nu mai este supus dreptului Uniunii Europene.
(10)În primul rând, Legea din 2023 privind dreptul UE menţinut în dreptul intern (revocare şi reformare) [Legea REUL (Retained EU Law)] (10) a clarificat faptul că principiile generale ale dreptului UE nu mai erau prevăzute în dreptul intern al Regatului Unit după sfârşitul anului 2023 (11). În plus, instanţele din Regatul Unit nu mai au obligaţia să interpreteze "dreptul asimilat" nemodificat, denumit anterior "dreptul UE menţinut în dreptul intern", în conformitate cu principiile generale ale dreptului UE, însă acest drept asimilat trebuie în schimb să fie interpretat într-un mod care este compatibil cu dreptul intern al Regatului Unit (12). Cu toate acestea, dreptul asimilat nemodificat trebuie să fie interpretat în continuare de instanţele relevante din Regatul Unit în conformitate cu jurisprudenţa relevantă a Curţii de Justiţie a Uniunii Europene emisă înainte de încheierea perioadei de tranziţie (13), astfel cum se menţionează şi în considerentul 12 din Decizia de punere în aplicare (UE) 2021/1773. DPA din 2018 a fost modificată prin Legea în materie de (utilizare şi acces la) date pentru a clarifica efectul Legii REUL asupra legislaţiei Regatului Unit privind protecţia datelor. De exemplu, secţiunea 183A alineatul (1) din DPA din 2018 prevede, ca regulă generală, că orice act legislativ nou (adoptat la 20 august 2025 sau după această dată) care introduce noi obligaţii sau competenţe de prelucrare a datelor cu caracter personal se presupune că face obiectul legislaţiei Regatului Unit privind protecţia datelor. În consecinţă, cadrul de protecţie a datelor din Regatul Unit continuă să prevaleze asupra altor acte legislative. În temeiul secţiunii 183A alineatul (2) litera (b) din DPA din 2018, această prezumţie poate fi inaplicabilă în cazul în care Parlamentul Regatului Unit decide în mod deliberat să prevadă acest lucru în mod expres în legislaţie, menţinând suveranitatea parlamentară. În plus, secţiunea 186 alineatul (2A) din DPA din 2018 clarifică faptul că restricţiile privind drepturile persoanelor vizate enumerate în secţiunea 186 alineatul (3) din DPA din 2018 nu sunt anulate de secţiunea 186 alineatul (1) din DPA din 2018, care prevede că dispoziţiile care interzic sau restricţionează divulgarea de informaţii nu prevalează asupra anumitor drepturi în materie de protecţie a datelor. Acest lucru asigură faptul că, de exemplu, restricţiile privind drepturile persoanelor vizate prevăzute în DPA din 2018 nu intră, ele însele, sub incidenţa prevederii generale "de anulare a protecţiei datelor" din secţiunea 186 alineatul (1) din DPA din 2018.
(10)Legea din 2023 privind dreptul UE menţinut în dreptul intern (revocare şi reformare), disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2023/28.
(11)-Secţiunea 5 din Legea din 2018 privind Uniunea Europeană (retragere), astfel cum a fost modificată prin Legea REUL.
(12)-Secţiunea 5(A2) din Legea din 2018 privind Uniunea Europeană (retragere), astfel cum a fost modificată prin Legea REUL.
(13)-Secţiunea 6 alineatele (3) şi (7) din Legea din 2018 privind Uniunea Europeană (retragere), astfel cum au fost modificate prin Legea REUL.
(11)În al doilea rând, de la adoptarea Deciziei de punere în aplicare (UE) 2021/1773, legislaţia Regatului Unit privind protecţia datelor a fost modificată prin Regulamentele din 2023 privind protecţia datelor (drepturi şi libertăţi fundamentale) (modificare) (14). Aceste regulamente definesc trimiterile la drepturile sau libertăţile fundamentale din DPA din 2018 [care au fost definite anterior pentru a acoperi drepturile fundamentale şi libertăţile fundamentale ale UE (15)] ca trimiteri la drepturile prevăzute în Convenţia europeană a drepturilor omului, puse în aplicare în dreptul intern al Regatului Unit în temeiul Legii privind drepturile omului din 1998 (16). Legea privind drepturile omului din 1998 încorporează în legislaţia Regatului Unit drepturile cuprinse în Convenţia europeană a drepturilor omului. Legea privind drepturile omului acordă oricărei persoane drepturile şi libertăţile fundamentale prevăzute la articolele 2-12 şi la articolul 14 din Convenţia europeană a drepturilor omului, la articolele 1, 2 şi 3 din Protocolul nr. 1 şi la articolul 1 din Protocolul nr. 13, coroborate cu articolele 16, 17 şi 18 din convenţia menţionată. Aceasta include dreptul la respectarea vieţii private şi de familie (şi dreptul la protecţia datelor ca parte a acestui drept), precum şi dreptul la un proces echitabil (17).
(14)Disponibile la următoarea adresă: https://www.gov.uk/government/publications/the-data-protection-fundamental-rights-and-freedoms-amendment-regulations-2023.
(15)Drepturile fundamentale şi libertăţile fundamentale ale UE au fost menţinute în dreptul Regatului Unit prin secţiunea 4 din Legea din 2018 privind Uniunea Europeană (retragere), care a fost abrogată la sfârşitul anului 2023 prin Legea REUL.
(16)-Secţiunea 2 alineatul (3) din Regulamentele din 2023 privind protecţia datelor (drepturi şi libertăţi fundamentale) (modificare).
(17)-Articolele 6, 8, 10 şi 13 din CEDO (a se vedea, de asemenea, anexa 1 la Legea privind drepturile omului din 1998), disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/1998/42/contents).
(12)În fine, DPA din 2018 a făcut obiectul unor reforme specifice prevăzute în părţile a cincea şi a şasea din Legea în materie de (utilizare şi acces la) date. Deşi domeniul de aplicare al Legii în materie de (utilizare şi acces la) date depăşeşte cu mult protecţia datelor cu caracter personal, acesta prevede modificări limitate ale mai multor aspecte ale regimului de protecţie a datelor, cum ar fi, printre altele, modalităţile de exercitare a drepturilor persoanelor vizate, condiţiile pentru procesul decizional automatizat şi sfera anumitor cerinţe în materie de responsabilitate. În plus, Legea în materie de (utilizare şi acces la) date aduce modificări structurii de guvernanţă a ICO. Odată puse în aplicare, aceste măsuri vor înlocui ICO cu o nouă entitate, Comisia pentru Informaţii. Rolul şi funcţiile autorităţii de reglementare în calitate de autoritate independentă de supraveghere a protecţiei datelor în Regatul Unit vor rămâne neschimbate. Legea introduce, de asemenea, noi competenţe de asigurare a respectării legii pentru autoritatea de reglementare.
(13)Prezenta decizie evaluează evoluţiile legislative, de reglementare şi de altă natură care sunt relevante pentru concluzia privind nivelul de protecţie garantat de Regatul Unit, formulată în Decizia de punere în aplicare (UE) 2021/1773. Evaluarea efectuată în Decizia de punere în aplicare (UE) 2021/1773 rămâne valabilă pentru acele aspecte aferente cadrului de protecţie a datelor din Regatul Unit care nu au fost modificate sau afectate de alte evoluţii de la adoptarea Deciziei de punere în aplicare (UE) 2021/1773.
(14)Evoluţiile legislative, de reglementare şi de altă natură relevante sunt analizate în detaliu în secţiunile următoare, pe baza standardului privind caracterul adecvat, conform căruia Comisia trebuie să stabilească dacă ţara terţă în cauză garantează un nivel de protecţie "echivalent în esenţă" cu cel garantat în cadrul Uniunii Europene (18). Conform clarificărilor aduse de Curtea de Justiţie a Uniunii Europene, aceasta nu impune constatarea unui nivel identic de protecţie (19). În special, mijloacele la care ţara terţă în cauză recurge pentru protecţia datelor cu caracter personal pot fi diferite de cele puse în aplicare în Uniunea Europeană, cu condiţia ca acestea să se dovedească, în practică, efective în scopul de a asigura un nivel adecvat de protecţie (20). Prin urmare, standardul privind caracterul adecvat nu necesită o reproducere punct cu punct a normelor Uniunii. Mai degrabă, testul constă în a stabili dacă, prin fondul drepturilor în materie de protecţie a datelor şi punerea în aplicare efectivă, supravegherea şi exercitarea acestora, sistemul juridic străin în cauză, în ansamblul său, asigură nivelul de protecţie necesar (21).
(18)Considerentul 67 din Directiva (UE) 2016/680.
(19)Cauza C-362/14, Schrems ("Schrems I"), ECLI:EU:C:2015:650, punctul 73.
(20)Schrems I, punctul 74.
(21)A se vedea Comunicarea Comisiei către Parlamentul European şi Consiliu intitulată "Schimbul de date cu caracter personal şi protecţia acestora într-o lume globalizată", COM(2017)7 din 10 ianuarie 2017, secţiunea 3.1, p. 6-7, disponibilă la următoarea adresă: https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=CELEX:52017DC0007.
(15)Conceptele de bază privind protecţia datelor care reflectă terminologia din Directiva (UE) 2016/680 continuă să se aplice regimului de protecţie a datelor din Regatul Unit. Aceste concepte au fost evaluate în considerentele 26 şi 27 din Decizia de punere în aplicare (UE) 2021/1773.
(16)În special, prin specificarea definiţiei şi a condiţiilor de obţinere a consimţământului, Legea în materie de (utilizare şi acces la) date confirmă cadrul juridic care reglementează utilizarea consimţământului ca temei juridic pentru prelucrarea datelor cu caracter personal (22). Dispoziţiile actualizate reproduc formularea din RGPD al Regatului Unit, sporind astfel coerenţa între regimurile de protecţie a datelor din Regatul Unit. Această aliniere facilitează o interpretare mai clară de către autorităţile competente atunci când se bazează pe consimţământ ca temei legal pentru prelucrare.
(22)-Secţiunile 33 şi 40A din DPA din 2018, astfel cum au fost introduse prin secţiunea 69 alineatele (1), (2) şi (4) din Legea în materie de (utilizare şi acces la) date.
(17)În primul rând, secţiunea 69 din Legea în materie de (utilizare şi acces la) date introduce o nouă subsecţiune 33(1A) în DPA din 2018, care defineşte "consimţământul" ca o manifestare liberă, specifică, informată şi lipsită de ambiguitate a dorinţelor persoanei vizate. Această manifestare trebuie să fie furnizată printr-o declaraţie sau printr-o acţiune afirmativă fără echivoc şi trebuie să exprime acordul persoanei cu privire la prelucrarea datelor sale cu caracter personal.
(18)În al doilea rând, aceeaşi secţiune adaugă secţiunea 40A în DPA din 2018, care stabileşte condiţiile care trebuie îndeplinite atunci când se invocă consimţământul. Operatorul trebuie să fie în măsură să demonstreze că persoana vizată şi-a dat consimţământul valabil. În cazul în care consimţământul este obţinut în scris ca parte a unui document mai larg, acesta trebuie prezentat într-un mod care să îl diferenţieze în mod clar de alte aspecte, utilizând un limbaj accesibil, inteligibil şi simplu. Orice dispoziţie a documentului care nu respectă aceste standarde nu va fi obligatorie (23).
(23)-Secţiunea 40A alineatele (2) şi (3) din DPA din 2018, astfel cum au fost introduse prin secţiunea 69 alineatul (4) din Legea în materie de (utilizare şi acces la) date.
(19)Operatorii sau persoanele împuternicite de operatori trebuie, de asemenea, să informeze persoana în cauză, înainte de a obţine consimţământul acesteia, cu privire la dreptul său de a şi-l retrage. Procesul de retragere trebuie să fie la fel de simplu ca cel de acordare a consimţământului. Acest lucru asigură faptul că persoana vizată păstrează în orice moment un control real asupra utilizării datelor sale cu caracter personal (24).
(24)-Secţiunea 40A alineatele (5) şi (6) din DPA din 2018, astfel cum au fost introduse prin secţiunea 69 alineatul (4) din Legea în materie de (utilizare şi acces la) date.
(20)În fine, Legea în materie de (utilizare şi acces la) date clarifică faptul că, atunci când se evaluează dacă consimţământul este "acordat în mod liber", este necesar să se analizeze dacă furnizarea unui serviciu a fost condiţionată de acordul persoanei vizate cu privire la prelucrarea datelor cu caracter personal care nu este obligatorie pentru furnizarea serviciului respectiv. În caz afirmativ, acest lucru poate submina valabilitatea consimţământului (25).
(25)-Secţiunea 40A alineatul (7) din DPA din 2018, astfel cum a fost introdus prin secţiunea 69 alineatul (4) din Legea în materie de (utilizare şi acces la) date.
(21)Este important de remarcat faptul că, în temeiul părţii 3 revizuite din DPA din 2018, consimţământul continuă să nu fie un temei juridic relevant pentru operaţiunile de prelucrare care intră în domeniul de aplicare al prezentei decizii, astfel cum se explică în considerentul 35 din Decizia de punere în aplicare (UE) 2021/1773. În plus, astfel cum se menţionează în considerentul 36 al Deciziei de punere în aplicare (UE) 2021/1773, prelucrarea într-un context de asigurare a respectării legii continuă să nu fie posibilă numai pe baza consimţământului, întrucât o autoritate competentă trebuie să aibă întotdeauna o competenţă subiacentă care să îi permită să prelucreze datele. Mai precis, şi în mod similar cu ceea ce este permis în temeiul Directivei (UE) 2016/680 (26), aceasta înseamnă că respectivul consimţământ serveşte drept condiţie suplimentară pentru a permite anumite operaţiuni de prelucrare limitate şi specifice care altfel nu ar putea fi efectuate, de exemplu colectarea şi prelucrarea unui eşantion de ADN al unei persoane fizice care nu are calitatea de suspect.
(26)A se vedea considerentele 35 şi 37 din Directiva (UE) 2016/680.