Secţiunea 2 - 2.2.2. Drepturi individuale - Decizia 2571/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1773 a Comisiei în temeiul Directivei (UE) 2016/680 a Parlamentului European şi a Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit

Acte UE

Jurnalul Oficial seria L

În vigoare
Versiune de la: 23 Decembrie 2025
SECŢIUNEA 2:2.2.2. Drepturi individuale
(25)Potrivit cadrului juridic al Regatului Unit, persoanele vizate continuă să beneficieze de aceleaşi drepturi individuale ca cele în temeiul Directivei (UE) 2016/680, drepturi care pot fi impuse operatorului sau persoanei împuternicite de operator, în special dreptul de acces la date, dreptul de a se opune prelucrării şi dreptul la rectificarea şi ştergerea datelor, potrivit evaluării prezentate în considerentele 57-65 din Decizia de punere în aplicare (UE) 2021/1773.
(26)Legea în materie de (utilizare şi acces la) date clarifică anumite modalităţi prin care pot fi exercitate aceste drepturi.
(27)În primul rând, în cadrul regimului actual, operatorii de date au dreptul de a refuza o cerere sau de a percepe o taxă rezonabilă în cazul în care o cerere este vădit nefondată sau excesivă (29). În acest sens, Legea în materie de (utilizare şi acces) la date conferă secretarului de stat o nouă competenţă în materie de reglementare, permiţându-i să emită regulamente care impun operatorilor de date să elaboreze şi să publice orientări privind taxele pe care le percep în astfel de împrejurări. În plus, atunci când operatorii de date refuză să dea curs unei cereri din motivul menţionat anterior, Legea în materie de (utilizare şi acces la) date a clarificat faptul că aceştia au în continuare obligaţia de a notifica persoanei vizate motivele refuzului şi faptul că aceasta are dreptul să depună o plângere la Comisarul pentru Informaţii. O astfel de notificare trebuie transmisă fără întârzieri nejustificate (30).
(29)-Secţiunea 53 alineatul (1) din DPA din 2018. A se vedea considerentul 64 din Decizia de punere în aplicare (UE) 2021/1773.
(30)-Secţiunea 53(4A) alineatele (6) şi (7) din DPA din 2018, astfel cum au fost introduse prin secţiunea 75 din Legea în materie de (utilizare şi acces la) date.
(28)În al doilea rând, Legea privind (utilizarea şi accesul la date) precizează termenele în care operatorii trebuie să răspundă cererilor persoanei vizate. Mai precis, aceasta aliniază perioadele de răspuns necesare la cele prevăzute în Regulamentul general privind protecţia datelor (RGPD) al Regatului Unit. Dispoziţiile revizuite permit, de asemenea, o prelungire a perioadei de răspuns cu până la două luni suplimentare în cazurile în care cererea este complexă sau atunci când se primesc mai multe cereri. În astfel de cazuri, operatorul trebuie să informeze persoana vizată cu privire la prelungire şi la motivele acesteia (31). Legea în materie de (utilizare şi acces la) date a introdus, de asemenea, un mecanism care permite operatorilor să suspende termenul de răspuns la o cerere în cazurile în care sunt necesare informaţii suplimentare din partea persoanei vizate pentru a identifica datele solicitate (32).
(31)-Secţiunile 54(3A) şi 54(b3) din DPA din 2018, astfel cum au fost introduse prin secţiunea 76 alineatul (6) din Legea în materie de (utilizare şi acces la) date.
(32)-Secţiunile 54(3C) şi (3D) din DPA din 2018, astfel cum au fost introduse prin secţiunea 76 alineatele (5) şi (6) din Legea în materie de (utilizare şi acces la) date.
(29)În al treilea rând, în ceea ce priveşte numai dreptul de acces la informaţii şi la date cu caracter personal, Legea în materie de (utilizare şi acces la) date modifică secţiunea 45 din DPA din 2018, pentru a include clarificarea formulată în temeiul jurisprudenţei interne existente, pe baza principiului proporţionalităţii în temeiul legislaţiei UE, potrivit căreia operatorii trebuie să efectueze numai căutări rezonabile şi proporţionale în ceea ce priveşte informaţiile şi datele cu caracter personal solicitate (33). Se preconizează că noua dispoziţie va fi interpretată în conformitate cu jurisprudenţa existentă, care prevede că "[... ] ceea ce se pune în balanţă în cadrul exerciţiului de proporţionalitate este obiectul final al căutării, şi anume beneficiul potenţial pe care furnizarea informaţiilor l-ar putea aduce persoanei vizate, în raport cu mijloacele prin care sunt obţinute informaţiile respective. Va fi necesar să se evalueze în fiecare caz în parte dacă vor fi necesare eforturi disproporţionate pentru găsirea şi furnizarea informaţiilor în raport cu beneficiile pe care acestea le-ar putea aduce persoanei vizate" (34).
(33)-Secţiunea 45(2A) din DPA din 2018, astfel cum a fost introdusă prin secţiunea 78 din Legea în materie de (utilizare şi acces la) date.
(34)Dawson-Damer/Taylor Wessing LLP [2017] EWCA Civ 74.
(30)Prin urmare, deşi modalităţile de răspuns la cererile persoanelor vizate fac obiectul unor norme mai detaliate, sistemul Regatului Unit continuă să asigure faptul că cererile persoanelor vizate sunt tratate în perioade de timp rezonabile, definite pe baza unor factori obiectivi. În plus, obligaţiile de fond ale operatorului, atunci când răspunde la cererile de acces, sunt încadrate pe baza unor standarde juridice stabilite, care iau în considerare, de asemenea, interesele persoanei vizate. În cele din urmă, în orientările actuale ale ICO se prevede deja că un operator nu are obligaţia să efectueze căutări care ar fi nerezonabile sau disproporţionate în raport cu importanţa acordării accesului la informaţii (35).
(35)Disponibile la următoarea adresă: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/right-of-access/how-do-we-find-and-retrieve-the-relevant-information/.
(31)În plus, Legea în materie de (utilizare şi acces la) date a introdus o nouă secţiune 45A în DPA din 2018, creând o derogare explicită de la obligaţia de a oferi acces sau informaţii unei persoane vizate în cazul în care informaţiile sunt protejate de secretul profesional al avocatului (36). Această derogare se aplică în mod specific obligaţiilor prevăzute în secţiunea 44 alineatul (2) şi în secţiunea 45 alineatul (1) din DPA din 2018, care impun operatorilor să informeze persoanele fizice cu privire la prelucrarea datelor lor cu caracter personal şi să le acorde acces la datele respective (37). Aceasta clarifică faptul că operatorii nu au obligaţia să divulge informaţii în cazul în care acest lucru ar încălca secretul profesional. O derogare similară există în temeiul RGPD al Regatului Unit (38).
(36)-Secţiunea 45A, astfel cum a fost introdusă prin secţiunea 79 din Legea în materie de (utilizare şi acces la) date. În Regatul Unit, secretul profesional al avocatului este un drept juridic fundamental, care protejează comunicările confidenţiale specifice dintre un client şi consilierul său juridic împotriva divulgării fără consimţământul clientului. Aceasta include două categorii principale: privilegiul consultanţei juridice, care protejează schimburile efectuate în scopul obţinerii sau furnizării de consultanţă juridică, şi privilegiul în materie de litigii, aplicabil comunicărilor efectuate în contextul pregătirii procedurilor judiciare sau pe parcursul acestora.
(37)Autorităţile competente în temeiul părţii 3 s-au bazat anterior pe alte derogări disponibile în temeiul secţiunii 44 alineatul (4) (Dreptul de a fi informat) şi al secţiunii 45 alineatul (4) (Dreptul de acces) din DPA din 2018.
(38)-Punctul 19 din anexa 2 la DPA din 2018.
(32)În ceea ce priveşte garanţiile, atunci când se bazează pe această derogare, operatorii trebuie să informeze în scris şi fără întârzieri nejustificate persoana vizată cu privire la faptul că derogarea a fost aplicată, să explice motivele acestei aplicări şi să îi aducă la cunoştinţă faptul că are dreptul de a solicita o reexaminare de către Comisia pentru Informaţii sau de a introduce căi de atac (39). Pentru a asigura responsabilitatea, secţiunea 45A alineatul (4) din DPA din 2018 impune operatorilor să ţină o evidenţă a motivului deciziei lor de a aplica derogarea şi să pună, la cerere, această evidenţă la dispoziţia Comisiei pentru Informaţii (40).
(39)-Secţiunea 45A alineatul (2) din DPA din 2018, astfel cum a fost introdus prin secţiunea 79 din Legea în materie de (utilizare şi acces la) date. Se aplică o excepţie de la această cerinţă de notificare în cazul în care furnizarea unei astfel de notificări ar submina natura privilegiată sau confidenţială a informaţiilor. În astfel de cazuri, operatorul nu are obligaţia de a dezvălui faptul că s-a recurs la derogarea respectivă sau să ofere explicaţii suplimentare.
(40)-Secţiunea 45A din DPA din 2018, astfel cum a fost introdusă prin secţiunea 79 din Legea în materie de (utilizare şi acces la) date.
(33)În fine, Legea în materie de (utilizare şi acces la) date a modificat şi a consolidat derogările existente prevăzute în partea 3 din DPA din 2018 aflate la dispoziţia autorităţilor competente în scopuri legate de securitate naţională. Derogarea în materie de securitate naţională permite autorităţilor competente să nu aplice anumite dispoziţii din partea 3 din DPA din 2018 dacă derogarea de la dispoziţiile respective este necesară în scopul protejării securităţii naţionale (41). Aceasta reflectă derogările în materie de securitate naţională prevăzute pentru prelucrarea datelor cu caracter personal în temeiul RGPD al Regatului Unit (prevăzute în secţiunea 26 din DPA din 2018) şi în partea 4 din DPA din 2018 (prevăzute în secţiunea 110 din DPA din 2018).
(41)-Secţiunea 78A alineatul (1) din DPA din 2018, astfel cum a fost introdus prin secţiunea 88 din Legea în materie de (utilizare şi acces la) date. În temeiul secţiunii 78A alineatele (2)-(4) din DPA din 2018, derogarea permite neaplicarea principiilor de protecţie a datelor (cu excepţia principiului legalităţii şi a condiţiilor şi garanţiilor pentru prelucrarea datelor sensibile), a drepturilor individuale, a obligaţiilor operatorilor de date şi ale persoanelor împuternicite de operatori în ceea ce priveşte încălcările securităţii datelor, a anumitor părţi ale normelor privind transferurile internaţionale de date şi a unora dintre competenţele de deplasare la faţa locului ale Comisarului pentru Informaţii în scopul de a efectua inspecţii şi de a lua măsuri de asigurare a respectării legii.
(34)Derogarea în materie de securitate naţională face obiectul aceloraşi limitări şi garanţii ca derogările prevăzute în temeiul RGPD al Regatului Unit şi în partea 4 din DPA din 2018, astfel cum sunt analizate în considerentele 64-67 şi 126 din Decizia de punere în aplicare (UE) 2021/1772. În special, derogarea poate fi aplicată numai în măsura în care şi dacă este necesară pentru a proteja securitatea naţională. Aceasta nu este o derogare generală şi trebuie să fie luată în considerare şi invocată de operator de la caz la caz (42). În plus, orice aplicare a derogării trebuie să fie în conformitate cu standardele privind drepturile omului (bazate pe Legea privind drepturile omului din 1998 şi pe Convenţia europeană a drepturilor omului), conform cărora orice ingerinţă în viaţa privată ar trebui să fie necesară şi proporţională într-o societate democratică (43). Acest lucru este confirmat, de asemenea, în orientările ICO privind aplicarea derogărilor în materie de securitate naţională (44).
(42)A se vedea Baker/Secretary of State for the Home Department [2001] UKIT NSA2 ("Baker/Secretary of State").
(43)A se vedea, de asemenea, Guriev/Community Safety Development (United Kingdom) Ltd [2016] EWHC 643 (QB), punctul 45; Lin/Commissioner of the Police for the Metropolis [2015] EWHC 2484 (QB), punctul 80.
(44)A se vedea orientările ICO privind derogarea în materie de securitate naţională şi apărare, disponibile la următoarea adresă: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/national-security-and-defence.