Capitolul 2 - 2.2. Garanţii, drepturi şi obligaţii - Decizia 2571/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1773 a Comisiei în temeiul Directivei (UE) 2016/680 a Parlamentului European şi a Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 23 Decembrie 2025
CAPITOLUL 2:2.2. Garanţii, drepturi şi obligaţii
(22)Cadrul de protecţie a datelor al Regatului Unit continuă să ofere garanţii specifice în cazul în care sunt implicate categorii speciale de date, potrivit evaluării prezentate în considerentele 38-42 din Decizia de punere în aplicare (UE) 2021/1773.
(23)Atât definiţia categoriilor speciale de date cu caracter personal, cât şi normele specifice care se aplică prelucrării acestor categorii de date din partea 3 a DPA din 2018 rămân în vigoare. În acelaşi timp, Legea în materie de (utilizare şi acces la) date îi conferă secretarului de stat noi competenţe în materie de elaborare a reglementărilor pentru a adăuga categorii speciale de date şi pentru a adapta condiţiile aplicabile utilizării acestora, dacă este necesar (27). Un aspect important îl reprezintă faptul că aceste competenţe nu îi permit secretarului de stat să elimine sau să modifice actualele categorii speciale de date sau să modifice condiţiile de prelucrare a acestor categorii (28).
(27)-Secţiunea 74 din Legea în materie de (utilizare şi acces la) date. Astfel de regulamente fac obiectul procedurii rezoluţiei afirmative, ceea ce înseamnă că necesită aprobarea activă a Parlamentului Regatului Unit.
(28)A se vedea noua secţiune 42A din DPA din 2018 introdusă prin secţiunea 74 din Legea în materie de (utilizare şi acces la) date, precum şi Notele explicative la Proiectul de lege în materie de (utilizare şi acces la) date, punctul 577, disponibile la următoarea adresă: https://publications.parliament.uk/pa/bills/cbill/59-01/0179/en/240179en.pdf.
(24)Prin urmare, aceste modificări nu afectează nivelul de protecţie pentru categoriile speciale de date cu caracter personal considerat echivalent în esenţă cu protecţia din cadrul UE în Decizia de punere în aplicare (UE) 2021/1773.
(25)Potrivit cadrului juridic al Regatului Unit, persoanele vizate continuă să beneficieze de aceleaşi drepturi individuale ca cele în temeiul Directivei (UE) 2016/680, drepturi care pot fi impuse operatorului sau persoanei împuternicite de operator, în special dreptul de acces la date, dreptul de a se opune prelucrării şi dreptul la rectificarea şi ştergerea datelor, potrivit evaluării prezentate în considerentele 57-65 din Decizia de punere în aplicare (UE) 2021/1773.
(26)Legea în materie de (utilizare şi acces la) date clarifică anumite modalităţi prin care pot fi exercitate aceste drepturi.
(27)În primul rând, în cadrul regimului actual, operatorii de date au dreptul de a refuza o cerere sau de a percepe o taxă rezonabilă în cazul în care o cerere este vădit nefondată sau excesivă (29). În acest sens, Legea în materie de (utilizare şi acces) la date conferă secretarului de stat o nouă competenţă în materie de reglementare, permiţându-i să emită regulamente care impun operatorilor de date să elaboreze şi să publice orientări privind taxele pe care le percep în astfel de împrejurări. În plus, atunci când operatorii de date refuză să dea curs unei cereri din motivul menţionat anterior, Legea în materie de (utilizare şi acces la) date a clarificat faptul că aceştia au în continuare obligaţia de a notifica persoanei vizate motivele refuzului şi faptul că aceasta are dreptul să depună o plângere la Comisarul pentru Informaţii. O astfel de notificare trebuie transmisă fără întârzieri nejustificate (30).
(29)-Secţiunea 53 alineatul (1) din DPA din 2018. A se vedea considerentul 64 din Decizia de punere în aplicare (UE) 2021/1773.
(30)-Secţiunea 53(4A) alineatele (6) şi (7) din DPA din 2018, astfel cum au fost introduse prin secţiunea 75 din Legea în materie de (utilizare şi acces la) date.
(28)În al doilea rând, Legea privind (utilizarea şi accesul la date) precizează termenele în care operatorii trebuie să răspundă cererilor persoanei vizate. Mai precis, aceasta aliniază perioadele de răspuns necesare la cele prevăzute în Regulamentul general privind protecţia datelor (RGPD) al Regatului Unit. Dispoziţiile revizuite permit, de asemenea, o prelungire a perioadei de răspuns cu până la două luni suplimentare în cazurile în care cererea este complexă sau atunci când se primesc mai multe cereri. În astfel de cazuri, operatorul trebuie să informeze persoana vizată cu privire la prelungire şi la motivele acesteia (31). Legea în materie de (utilizare şi acces la) date a introdus, de asemenea, un mecanism care permite operatorilor să suspende termenul de răspuns la o cerere în cazurile în care sunt necesare informaţii suplimentare din partea persoanei vizate pentru a identifica datele solicitate (32).
(31)-Secţiunile 54(3A) şi 54(b3) din DPA din 2018, astfel cum au fost introduse prin secţiunea 76 alineatul (6) din Legea în materie de (utilizare şi acces la) date.
(32)-Secţiunile 54(3C) şi (3D) din DPA din 2018, astfel cum au fost introduse prin secţiunea 76 alineatele (5) şi (6) din Legea în materie de (utilizare şi acces la) date.
(29)În al treilea rând, în ceea ce priveşte numai dreptul de acces la informaţii şi la date cu caracter personal, Legea în materie de (utilizare şi acces la) date modifică secţiunea 45 din DPA din 2018, pentru a include clarificarea formulată în temeiul jurisprudenţei interne existente, pe baza principiului proporţionalităţii în temeiul legislaţiei UE, potrivit căreia operatorii trebuie să efectueze numai căutări rezonabile şi proporţionale în ceea ce priveşte informaţiile şi datele cu caracter personal solicitate (33). Se preconizează că noua dispoziţie va fi interpretată în conformitate cu jurisprudenţa existentă, care prevede că "[... ] ceea ce se pune în balanţă în cadrul exerciţiului de proporţionalitate este obiectul final al căutării, şi anume beneficiul potenţial pe care furnizarea informaţiilor l-ar putea aduce persoanei vizate, în raport cu mijloacele prin care sunt obţinute informaţiile respective. Va fi necesar să se evalueze în fiecare caz în parte dacă vor fi necesare eforturi disproporţionate pentru găsirea şi furnizarea informaţiilor în raport cu beneficiile pe care acestea le-ar putea aduce persoanei vizate" (34).
(33)-Secţiunea 45(2A) din DPA din 2018, astfel cum a fost introdusă prin secţiunea 78 din Legea în materie de (utilizare şi acces la) date.
(34)Dawson-Damer/Taylor Wessing LLP [2017] EWCA Civ 74.
(30)Prin urmare, deşi modalităţile de răspuns la cererile persoanelor vizate fac obiectul unor norme mai detaliate, sistemul Regatului Unit continuă să asigure faptul că cererile persoanelor vizate sunt tratate în perioade de timp rezonabile, definite pe baza unor factori obiectivi. În plus, obligaţiile de fond ale operatorului, atunci când răspunde la cererile de acces, sunt încadrate pe baza unor standarde juridice stabilite, care iau în considerare, de asemenea, interesele persoanei vizate. În cele din urmă, în orientările actuale ale ICO se prevede deja că un operator nu are obligaţia să efectueze căutări care ar fi nerezonabile sau disproporţionate în raport cu importanţa acordării accesului la informaţii (35).
(35)Disponibile la următoarea adresă: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/right-of-access/how-do-we-find-and-retrieve-the-relevant-information/.
(31)În plus, Legea în materie de (utilizare şi acces la) date a introdus o nouă secţiune 45A în DPA din 2018, creând o derogare explicită de la obligaţia de a oferi acces sau informaţii unei persoane vizate în cazul în care informaţiile sunt protejate de secretul profesional al avocatului (36). Această derogare se aplică în mod specific obligaţiilor prevăzute în secţiunea 44 alineatul (2) şi în secţiunea 45 alineatul (1) din DPA din 2018, care impun operatorilor să informeze persoanele fizice cu privire la prelucrarea datelor lor cu caracter personal şi să le acorde acces la datele respective (37). Aceasta clarifică faptul că operatorii nu au obligaţia să divulge informaţii în cazul în care acest lucru ar încălca secretul profesional. O derogare similară există în temeiul RGPD al Regatului Unit (38).
(36)-Secţiunea 45A, astfel cum a fost introdusă prin secţiunea 79 din Legea în materie de (utilizare şi acces la) date. În Regatul Unit, secretul profesional al avocatului este un drept juridic fundamental, care protejează comunicările confidenţiale specifice dintre un client şi consilierul său juridic împotriva divulgării fără consimţământul clientului. Aceasta include două categorii principale: privilegiul consultanţei juridice, care protejează schimburile efectuate în scopul obţinerii sau furnizării de consultanţă juridică, şi privilegiul în materie de litigii, aplicabil comunicărilor efectuate în contextul pregătirii procedurilor judiciare sau pe parcursul acestora.
(37)Autorităţile competente în temeiul părţii 3 s-au bazat anterior pe alte derogări disponibile în temeiul secţiunii 44 alineatul (4) (Dreptul de a fi informat) şi al secţiunii 45 alineatul (4) (Dreptul de acces) din DPA din 2018.
(38)-Punctul 19 din anexa 2 la DPA din 2018.
(32)În ceea ce priveşte garanţiile, atunci când se bazează pe această derogare, operatorii trebuie să informeze în scris şi fără întârzieri nejustificate persoana vizată cu privire la faptul că derogarea a fost aplicată, să explice motivele acestei aplicări şi să îi aducă la cunoştinţă faptul că are dreptul de a solicita o reexaminare de către Comisia pentru Informaţii sau de a introduce căi de atac (39). Pentru a asigura responsabilitatea, secţiunea 45A alineatul (4) din DPA din 2018 impune operatorilor să ţină o evidenţă a motivului deciziei lor de a aplica derogarea şi să pună, la cerere, această evidenţă la dispoziţia Comisiei pentru Informaţii (40).
(39)-Secţiunea 45A alineatul (2) din DPA din 2018, astfel cum a fost introdus prin secţiunea 79 din Legea în materie de (utilizare şi acces la) date. Se aplică o excepţie de la această cerinţă de notificare în cazul în care furnizarea unei astfel de notificări ar submina natura privilegiată sau confidenţială a informaţiilor. În astfel de cazuri, operatorul nu are obligaţia de a dezvălui faptul că s-a recurs la derogarea respectivă sau să ofere explicaţii suplimentare.
(40)-Secţiunea 45A din DPA din 2018, astfel cum a fost introdusă prin secţiunea 79 din Legea în materie de (utilizare şi acces la) date.
(33)În fine, Legea în materie de (utilizare şi acces la) date a modificat şi a consolidat derogările existente prevăzute în partea 3 din DPA din 2018 aflate la dispoziţia autorităţilor competente în scopuri legate de securitate naţională. Derogarea în materie de securitate naţională permite autorităţilor competente să nu aplice anumite dispoziţii din partea 3 din DPA din 2018 dacă derogarea de la dispoziţiile respective este necesară în scopul protejării securităţii naţionale (41). Aceasta reflectă derogările în materie de securitate naţională prevăzute pentru prelucrarea datelor cu caracter personal în temeiul RGPD al Regatului Unit (prevăzute în secţiunea 26 din DPA din 2018) şi în partea 4 din DPA din 2018 (prevăzute în secţiunea 110 din DPA din 2018).
(41)-Secţiunea 78A alineatul (1) din DPA din 2018, astfel cum a fost introdus prin secţiunea 88 din Legea în materie de (utilizare şi acces la) date. În temeiul secţiunii 78A alineatele (2)-(4) din DPA din 2018, derogarea permite neaplicarea principiilor de protecţie a datelor (cu excepţia principiului legalităţii şi a condiţiilor şi garanţiilor pentru prelucrarea datelor sensibile), a drepturilor individuale, a obligaţiilor operatorilor de date şi ale persoanelor împuternicite de operatori în ceea ce priveşte încălcările securităţii datelor, a anumitor părţi ale normelor privind transferurile internaţionale de date şi a unora dintre competenţele de deplasare la faţa locului ale Comisarului pentru Informaţii în scopul de a efectua inspecţii şi de a lua măsuri de asigurare a respectării legii.
(34)Derogarea în materie de securitate naţională face obiectul aceloraşi limitări şi garanţii ca derogările prevăzute în temeiul RGPD al Regatului Unit şi în partea 4 din DPA din 2018, astfel cum sunt analizate în considerentele 64-67 şi 126 din Decizia de punere în aplicare (UE) 2021/1772. În special, derogarea poate fi aplicată numai în măsura în care şi dacă este necesară pentru a proteja securitatea naţională. Aceasta nu este o derogare generală şi trebuie să fie luată în considerare şi invocată de operator de la caz la caz (42). În plus, orice aplicare a derogării trebuie să fie în conformitate cu standardele privind drepturile omului (bazate pe Legea privind drepturile omului din 1998 şi pe Convenţia europeană a drepturilor omului), conform cărora orice ingerinţă în viaţa privată ar trebui să fie necesară şi proporţională într-o societate democratică (43). Acest lucru este confirmat, de asemenea, în orientările ICO privind aplicarea derogărilor în materie de securitate naţională (44).
(42)A se vedea Baker/Secretary of State for the Home Department [2001] UKIT NSA2 ("Baker/Secretary of State").
(43)A se vedea, de asemenea, Guriev/Community Safety Development (United Kingdom) Ltd [2016] EWHC 643 (QB), punctul 45; Lin/Commissioner of the Police for the Metropolis [2015] EWHC 2484 (QB), punctul 80.
(44)A se vedea orientările ICO privind derogarea în materie de securitate naţională şi apărare, disponibile la următoarea adresă: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/national-security-and-defence.
(35)Nivelul de protecţie oferit datelor cu caracter personal transferate din Uniunea Europeană către autorităţile de aplicare a legii din Regatul Unit continuă să nu fie compromis de transferul ulterior al acestor date către destinatari dintr-o ţară terţă. Regimul privind transferurile internaţionale de date cu caracter personal din Regatul Unit rămâne foarte apropiat de normele prevăzute în capitolul V din Directiva (UE) 2016/680, potrivit evaluării prezentate în considerentele 74-87 din Decizia de punere în aplicare (UE) 2021/1773.
(36)Deşi Legea în materie de (utilizare şi acces la) date a modificat partea 3 capitolul 5 din DPA din 2018 privind transferurile de date cu caracter personal către autorităţile competente din ţări terţe, aceasta menţine cerinţa de bază conform căreia (a) transferul trebuie să fie necesar în scopul asigurării respectării legii; (b) transferul trebuie (i) să se bazeze pe regulamentele de aprobare a transferului (care înlocuiesc regulamentele anterioare privind caracterul adecvat al nivelului de protecţie), (ii) să facă obiectul unor garanţii adecvate sau (iii) să se bazeze pe circumstanţe speciale şi (c) destinatarul transferului trebuie să fie: (i) o autoritate relevantă (şi anume echivalentul unei autorităţi competente) din ţara terţă; (ii) o organizaţie internaţională relevantă; (iii) un operator care prelucrează date în numele unei autorităţi competente sau (iv) o altă persoană decât o autoritate relevantă, dar numai în cazul în care transferul este strict necesar pentru îndeplinirea unuia dintre scopurile de asigurare a respectării legii (45). Aceste principii generale pentru transferurile de date se reflectă în secţiunea 73 din DPA din 2018, care precizează, de asemenea, că transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională sunt permise numai dacă transferul se efectuează în conformitate cu celelalte dispoziţii ale părţii 3 din DPA din 2018 (46).
(45)-Secţiunea 73 din DPA din 2018, astfel cum a fost modificată prin punctul 3 subpunctele 4 şi 5 din anexa 8 la Legea în materie de (utilizare şi acces la) date.
(46)-Secţiunea 73 din DPA din 2018, astfel cum a fost modificată prin punctul 3 subpunctul 3 din anexa 8 la Legea în materie de (utilizare şi acces la) date.
(37)În ceea ce priveşte în mod specific regulamentele de aprobare a unui transfer, secţiunea 74AA alineatul (2) din DPA din 2018 precizează că secretarul de stat poate adopta astfel de regulamente numai în cazul în care consideră că este îndeplinit criteriul privind protecţia datelor. Aceasta înseamnă că posibilitatea [introdusă în secţiunea 74AA alineatul (3) din DPA din 2018] ca secretarul de stat să ţină seama de oportunitatea facilitării fluxurilor de date atunci când elaborează astfel de regulamente este întotdeauna condiţionată de îndeplinirea criteriului privind protecţia datelor. Noua secţiune 74AB (47) din DPA din 2018 formulează standardul juridic pentru îndeplinirea criteriului privind protecţia datelor, impunând obligaţia ca standardul de protecţie pentru persoanele vizate din ţările destinatare sau din organizaţiile internaţionale să nu fie cu mult inferior standardului prevăzut pentru persoanele vizate în temeiul legislaţiei relevante a Regatului Unit privind protecţia datelor. Secţiunea 74AB alineatul (2) din DPA din 2018 prevede şi o listă neexhaustivă de elemente care trebuie luate în considerare atunci când se evaluează dacă acest criteriu este îndeplinit, cum ar fi respectarea statului de drept şi a drepturilor omului, existenţa şi competenţele unei autorităţi pentru protecţia datelor, modalităţile de exercitare a căilor de atac judiciare sau extrajudiciare, normele privind transferul de date cu caracter personal din ţară sau de către organizaţie către alte ţări sau organizaţii internaţionale, obligaţiile internaţionale relevante ale ţării sau ale organizaţiei, precum şi structura, tradiţiile şi cultura ţării sau ale organizaţiei. Deşi reformulează lista elementelor relevante, astfel cum au fost prevăzute în fosta secţiune 74A din DPA din 2018, noua dispoziţie păstrează elementele esenţiale ale listei respective şi, prin urmare, rămâne aproape de ceea ce se prevede la articolul 36 din Directiva (UE) 2016/680. În plus, autorităţile Regatului Unit au confirmat că secretarul de stat va lua în considerare elemente care nu sunt enumerate în secţiunea 74AB alineatul (2), cum ar fi legislaţia şi practicile dintr-o ţară terţă referitoare la modul în care autorităţile publice accesează datele cu caracter personal în scopuri precum securitatea naţională sau asigurarea respectării legii, în măsura în care acestea afectează standardul general de protecţie. De asemenea, autorităţile Regatului Unit consideră că jurisprudenţa relevantă din ţara terţă va fi o componentă esenţială a examinării aspectelor enumerate neexhaustiv în secţiunea 74AB alineatul (2) din DPA din 2018.
(47)Astfel cum a fost introdusă prin punctul 4 subpunctul 2 din anexa 8 la Legea în materie de (utilizare şi acces la) date.
(38)Regulamentele de aprobare a unui transfer continuă să facă obiectul cerinţelor procedurale "generale" prevăzute în secţiunea 182 din DPA din 2018, astfel cum se precizează în considerentul 77 din Decizia de punere în aplicare (UE) 2021/1773. În cadrul acestei proceduri, secretarul de stat trebuie să consulte Comisarul pentru Informaţii atunci când propune adoptarea unor regulamente ale Regatului Unit privind caracterul adecvat al nivelului de protecţie (48). Odată adoptate de secretarul de stat, aceste regulamente sunt prezentate Parlamentului şi fac obiectul procedurii de "rezoluţie negativă", în cadrul căreia ambele camere ale Parlamentului pot examina regulamentele şi pot adopta o propunere de anulare a regulamentelor în termen de 40 de zile (49).
(48)A se vedea Memorandumul de înţelegere dintre secretarul de stat al Ministerului pentru Digitalizare, Cultură, Mass-Media şi Sport şi Biroul Comisarului pentru Informaţii privind rolul ICO în legătură cu noua evaluare privind caracterul adecvat al nivelului de protecţie din Regatul Unit, disponibil la următoarea adresă: https://www.gov.uk/government/publications/memorandum-of-understanding-mou-on-the-role-of-the-ico-in-relation-to-new-uk-adequacy-assessments.
(49)În cazul în care se adoptă un astfel de vot, regulamentele vor înceta, în cele din urmă, să mai producă efecte juridice.
(39)În ceea ce priveşte garanţiile adecvate, secţiunea 75 din DPA din 2018, astfel cum a fost modificată prin punctul 6 din anexa 8 la Legea în materie de (utilizare şi acces la) date, prevede că astfel de transferuri pot avea loc numai dacă: (a) un instrument juridic adecvat este obligatoriu pentru destinatarul preconizat al datelor, şi anume un instrument care îndeplineşte condiţiile prevăzute la punctul 4 nou introdus, în special faptul că fiecare autoritate competentă din Regatul Unit care este parte la instrument, acţionând în mod rezonabil şi proporţional, consideră că este îndeplinit criteriul privind protecţia datelor sau (b) operatorul, acţionând în mod rezonabil şi proporţional, consideră că este îndeplinit criteriul privind protecţia datelor în ceea ce priveşte transferul sau tipul respectiv de transfer. Alineatul (5) nou introdus al secţiunii 75 din DPA din 2018 clarifică faptul că este îndeplinit criteriul privind protecţia datelor în cazul în care, datorită garanţiilor necesare, standardul de protecţie prevăzut pentru persoanele vizate nu este cu mult inferior după transfer comparativ cu standardul prevăzut de legislaţia relevantă a Regatului Unit privind protecţia datelor. Acest lucru este similar cu măsurile prevăzute la articolul 37 din Directiva (UE) 2016/680. Prin urmare, în UE şi în Regatul Unit se aplică aceleaşi standarde juridice în ceea ce priveşte aprobarea unui transfer sub rezerva unor garanţii adecvate. În conformitate cu alineatul (6) nou introdus al secţiunii 75 din DPA din 2018, ceea ce este rezonabil şi proporţional trebuie stabilit în funcţie de toate circumstanţele sau circumstanţele probabile ale transferului sau ale tipului de transfer, inclusiv în funcţie de natura şi volumul datelor cu caracter personal transferate.
(40)În ceea ce priveşte transferurile bazate pe circumstanţe speciale în temeiul secţiunii 76 din DPA din 2018, sunt introduse mai multe modificări tehnice care conţin clarificări privind condiţiile în care pot avea loc astfel de transferuri, dar care nu afectează nivelul de protecţie a datelor cu caracter personal în Regatul Unit (50).
(50)-Punctul 7 din anexa 8 la Legea în materie de (utilizare şi acces la) date.
(41)În ceea ce priveşte punerea în aplicare a normelor Regatului Unit privind transferurile internaţionale, au existat mai multe evoluţii de la adoptarea Deciziei de punere în aplicare (UE) 2021/1773.
(42)În primul rând, în urma încheierii, în 2022, a unui memorandum de înţelegere între Ministerul de Interne şi ICO, care a definit rolurile acestora în ceea ce priveşte efectuarea de evaluări ale adecvării în materie de asigurare a respectării legii (51), Regatul Unit a efectuat evaluări ale cadrelor privind protecţia datelor în teritoriile Jersey şi Guernsey, precum şi în Insula Man. Prin urmare, Regatul Unit a adoptat regulamente privind caracterul adecvat al nivelului de protecţie pentru Guernsey în iulie 2023 (52), pentru Jersey în noiembrie 2023 (53) şi pentru Insula Man în ianuarie 2025 (54). Aceste regulamente confirmă faptul că fiecare jurisdicţie asigură un nivel adecvat de protecţie a datelor cu caracter personal transferate în temeiul părţii 3 din DPA din 2018. Deşi aceste regulamente au fost adoptate iniţial în temeiul cadrului juridic anterior, evaluarea care stă la baza lor rămâne valabilă în temeiul cadrului actualizat. Prin urmare, regulamentele continuă să faciliteze cooperarea internaţională în domeniul aplicării legii.
(51)Disponibil la următoarea adresă: https://ico.org.uk/media2/about-the-ico/mou/4025752/ico-ho-mou.pdf.
(52)Disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2023/1221/contents/made.
(53)Disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2023/744/made.
(54)Disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2025/89/contents/made.
(43)Comisia a evaluat, de asemenea, cadrele de protecţie a datelor pentru prelucrarea datelor cu caracter personal în contextul asigurării respectării dreptului penal, precum şi normele privind accesul autorităţilor publice la datele cu caracter personal în scopuri de securitate naţională în teritoriile Jersey şi Guernsey şi în Insula Man atunci când a analizat funcţionarea deciziilor privind caracterul adecvat al nivelului de protecţie adoptate în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE în conformitate cu articolul 97 din Regulamentul (UE) 2016/679. Pe baza, printre altele, a acestei evaluări, Comisia a concluzionat că toate cele trei jurisdicţii continuă să furnizeze un nivel adecvat de date cu caracter personal transferate din UE (55).
(55)Raport al Comisiei către Parlamentul European şi Consiliu privind prima revizuire a funcţionării deciziilor privind caracterul adecvat al nivelului de protecţie care au fost adoptate în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE din 15 ianuarie 2024, disponibil la următoarea adresă: https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=CELEX:52024DC0007 şi rapoartele de ţară având ca obiect funcţionarea deciziilor privind caracterul adecvat al nivelului de protecţie adoptate în temeiul Directivei 95/46/CE care însoţesc Raportul Comisiei către Parlamentul European şi Consiliu privind prima revizuire a funcţionării deciziilor privind caracterul adecvat al nivelului de protecţie adoptate în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE, disponibile la următoarea adresă:
(44)În al doilea rând, în 2022, Regatul Unit şi Statele Unite ale Americii au încheiat Acordul privind protecţia datelor şi a vieţii private dintre Regatul Unit şi SUA (56), care aplică mutatis mutandis condiţiile Acordului-cadru UE-SUA (57), asigurând o protecţie echivalentă în contextul schimburilor de date dintre Regatul Unit şi Statele Unite în scopul asigurării respectării legii.
(56)Disponibil la următoarea adresă: https://www.gov.uk/government/publications/ukusa-exchange-of-notes-on-the-protection-of-personal-information-relating-to-prevention-investigation-detection-and-prosecution-of-criminal-offe.
(57)Acordul dintre Statele Unite ale Americii şi Uniunea Europeană privind protecţia informaţiilor cu caracter personal în ceea ce priveşte prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor (JO L 336, 10.12.2016, p. 3), disponibil la următoarea adresă: https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:22016A1210(01)&from=RO.
(45)În al treilea rând, în 2023 şi 2025, ICO şi-a actualizat orientările privind transferurile internaţionale în temeiul părţii 3 capitolul 5 din DPA din 2018 (58). Actualizarea din 2023 a clarificat sensul cerinţei de "a fi strict necesare" pentru transferurile de date către alţi destinatari decât autorităţile relevante de aplicare a legii, oferind astfel o mai mare certitudine operatorilor de date care evaluează legalitatea unor astfel de transferuri. În 2025, lista ţărilor şi teritoriilor adecvate a fost actualizată în urma regulamentelor Regatului Unit privind caracterul adecvat al nivelului de protecţie pentru Insula Man.
(58)Disponibile la următoarea adresă: https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-processing/international-transfers/.
(46)Deşi a păstrat mai multe elemente ale normelor privind procesul decizional automatizat evaluat în considerentele 72 şi 73 din Decizia de punere în aplicare (UE) 2021/1773, Legea în materie de (utilizare şi acces la) date a modificat unele aspecte ale acestor norme.
(47)În primul rând, secţiunea 50B nou introdusă din DPA din 2018 stabileşte o interdicţie generală împotriva deciziilor semnificative bazate integral sau parţial pe prelucrarea unor categorii speciale de date cu caracter personal. Totuşi, acesta prezintă două excepţii de la această interdicţie: persoana vizată şi-a dat consimţământul explicit pentru o astfel de prelucrare sau decizia este impusă sau autorizată prin lege (59).
(59)-Secţiunea 50B din DPA din 2018, astfel cum a fost introdusă prin secţiunea 80 alineatul (3) din Legea în materie de (utilizare şi acces la) date.
(48)În al doilea rând, secţiunea 50C nou introdusă din DPA din 2018 impune operatorilor să pună în aplicare garanţii pentru orice decizie importantă bazată integral sau parţial pe date cu caracter personal care a fost luată exclusiv prin prelucrare automată. Aceste garanţii trebuie să includă oferirea de informaţii cu privire la procesul decizional persoanei vizate, permiţându-i să conteste decizia sau să îşi prezinte observaţiile şi asigurând faptul că aceasta poate solicita intervenţia umană în procesul decizional (60). Deşi secţiunea 50C alineatul (4) din DPA din 2018 creează o derogare de la aplicarea acestor garanţii în cazul în care o astfel de derogare este necesară pentru a evita obstrucţionarea unei anchete, investigaţii sau proceduri oficiale sau judiciare, pentru a evita prejudicierea prevenirii, a depistării, a investigării sau a urmăririi penale a infracţiunilor sau a executării pedepselor, pentru a proteja securitatea publică sau pentru a proteja securitatea naţională sau drepturile şi libertăţile altor persoane, aplicarea acestor garanţii este suspendată doar temporar, având în vedere că operatorul are obligaţia de a reexamina decizia cât mai curând posibil în mod rezonabil şi că există o implicare umană semnificativă în reexaminarea deciziei (61).
(60)-Secţiunea 50C din DPA din 2018, astfel cum a fost introdusă prin secţiunea 80 alineatul (3) din Legea în materie de (utilizare şi acces la) date.
(61)-Secţiunea 50C alineatele (3) şi (4) din DPA din 2018, astfel cum au fost introduse prin secţiunea 80 alineatul (3) din Legea în materie de (utilizare şi acces la) date.
(49)În plus, noua secţiune 50A din DPA din 2018 clarifică definiţia unei decizii care se bazează "exclusiv pe prelucrarea automată", prevăzând că o astfel de decizie este una în care nu există o implicare umană semnificativă în procesul decizional. Un aspect important îl reprezintă faptul că operatorii trebuie să evalueze măsura în care crearea de profiluri contribuie la o decizie prin care se stabileşte dacă implicarea umană a fost semnificativă. Secţiunea 50A din DPA din 2018 clarifică, de asemenea, faptul că o "decizie semnificativă" este una care produce efecte juridice negative sau efecte negative la fel de semnificative asupra unei persoane vizate (62). Această limitare la deciziile care au un efect negativ asupra persoanei vizate reflectă faptul că, spre deosebire de prelucrarea în temeiul RGPD al Regatului Unit, este puţin probabil ca autorităţile competente să ia decizii pe care persoanele vizate le consideră pozitive.
(62)-Secţiunea 50A din DPA din 2018, astfel cum a fost introdusă prin secţiunea 80 alineatul (3) din Legea în materie de (utilizare şi acces la) date.
(50)În fine, secţiunea 50D nou introdusă din DPA din 2018 acordă secretarului de stat autoritatea de a elabora legislaţie secundară pentru a descrie ce constituie şi ce nu constituie o implicare umană semnificativă, ce decizii trebuie sau nu trebuie considerate ca având un efect negativ la fel de semnificativ asupra persoanelor vizate. De asemenea, această secţiune permite secretarului de stat să elaboreze legislaţie secundară pentru (i) a adăuga noi garanţii; (ii) a impune cerinţe care să completeze garanţiile existente şi pentru (iii) a defini măsuri care nu îndeplinesc garanţiile (63). Este important de remarcat faptul că, înainte de a adopta regulamente în conformitate cu secţiunea 50D din DPA din 2018, secretarul de stat trebuie să consulte ICO (64), iar regulamentele fac obiectul procedurii rezoluţiei afirmative (65), ceea ce înseamnă că trebuie să fie aprobate de ambele camere ale Parlamentului Regatului Unit înainte de a putea fi adoptate.
(63)-Articolul 50D din DPA din 2018, astfel cum a fost introdus prin secţiunea 80 alineatul (3) din Legea în materie de (utilizare şi acces la) date. Toate regulamentele adoptate în temeiul acestor competenţe fac obiectul procedurii de rezoluţie afirmativă, asigurând controlul parlamentar. Regulamentele nu pot modifica cerinţele prevăzute în secţiunea 50C.
(64)-Secţiunea 182 alineatul (2) din DPA din 2018.
(65)-Secţiunea 50D alineatul (5) din DPA din 2018.
(51)Deşi Legea în materie de (utilizare şi acces la) date a modificat astfel cadrul pentru procesul decizional automatizat, este important de remarcat faptul că, în temeiul cadrului juridic al Regatului Unit, procesul decizional automatizat continuă să facă obiectul garanţiilor esenţiale care impun dreptul de a obţine o intervenţie umană în toate cazurile de procese decizionale automatizate, şi anume pe baza prelucrării datelor cu caracter personal sensibile şi nesensibile (66).
(66)-Secţiunea 50C alineatul (2) litera (c) din DPA din 2018.
(52)Cadrul juridic al Regatului Unit continuă să respecte principiul responsabilităţii consacrat în Directiva (UE) 2016/680, care impune autorităţilor publice să pună în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura şi a demonstra respectarea obligaţiilor în materie de protecţie a datelor, potrivit evaluării prezentate în considerentele 88-92 din Decizia de punere în aplicare (UE) 2021/1773.
(53)Una dintre măsurile incluse în DPA din 2018 pentru a asigura responsabilitatea şi pentru a permite operatorilor şi persoanelor împuternicite de operatori să demonstreze conformitatea este cerinţa ca autorităţile competente să ţină evidenţe ale activităţilor lor de prelucrare, inclusiv cu privire la colectarea, modificarea, consultarea, divulgarea, combinarea şi ştergerea datelor cu caracter personal (67). Legea în materie de (utilizare şi acces la) date modifică obligaţiile specifice ale operatorilor în temeiul dispoziţiei respective doar prin eliminarea, în secţiunea 62 din DPA din 2018, a cerinţei ca operatorii să înregistreze o justificare atunci când se consultă sau se divulgă date cu caracter personal (68). Este important de remarcat faptul că cerinţa ca operatorii să înregistreze activităţile de prelucrare ca atare rămâne în vigoare, ceea ce înseamnă că principalul mecanism de asigurare a responsabilităţii este menţinut.
(67)-Secţiunea 62 din DPA din 2018. A se vedea, de asemenea, considerentul 90 din Decizia de punere în aplicare (UE) 2021/1773.
(68)-Secţiunea 82 din Legea în materie de (utilizare şi acces la) date.