Secţiunea 3 - 2.2.3. Restricţii privind transferurile ulterioare de date - Decizia 2571/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1773 a Comisiei în temeiul Directivei (UE) 2016/680 a Parlamentului European şi a Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit

Acte UE

Jurnalul Oficial seria L

În vigoare
Versiune de la: 23 Decembrie 2025
SECŢIUNEA 3:2.2.3. Restricţii privind transferurile ulterioare de date
(35)Nivelul de protecţie oferit datelor cu caracter personal transferate din Uniunea Europeană către autorităţile de aplicare a legii din Regatul Unit continuă să nu fie compromis de transferul ulterior al acestor date către destinatari dintr-o ţară terţă. Regimul privind transferurile internaţionale de date cu caracter personal din Regatul Unit rămâne foarte apropiat de normele prevăzute în capitolul V din Directiva (UE) 2016/680, potrivit evaluării prezentate în considerentele 74-87 din Decizia de punere în aplicare (UE) 2021/1773.
(36)Deşi Legea în materie de (utilizare şi acces la) date a modificat partea 3 capitolul 5 din DPA din 2018 privind transferurile de date cu caracter personal către autorităţile competente din ţări terţe, aceasta menţine cerinţa de bază conform căreia (a) transferul trebuie să fie necesar în scopul asigurării respectării legii; (b) transferul trebuie (i) să se bazeze pe regulamentele de aprobare a transferului (care înlocuiesc regulamentele anterioare privind caracterul adecvat al nivelului de protecţie), (ii) să facă obiectul unor garanţii adecvate sau (iii) să se bazeze pe circumstanţe speciale şi (c) destinatarul transferului trebuie să fie: (i) o autoritate relevantă (şi anume echivalentul unei autorităţi competente) din ţara terţă; (ii) o organizaţie internaţională relevantă; (iii) un operator care prelucrează date în numele unei autorităţi competente sau (iv) o altă persoană decât o autoritate relevantă, dar numai în cazul în care transferul este strict necesar pentru îndeplinirea unuia dintre scopurile de asigurare a respectării legii (45). Aceste principii generale pentru transferurile de date se reflectă în secţiunea 73 din DPA din 2018, care precizează, de asemenea, că transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională sunt permise numai dacă transferul se efectuează în conformitate cu celelalte dispoziţii ale părţii 3 din DPA din 2018 (46).
(45)-Secţiunea 73 din DPA din 2018, astfel cum a fost modificată prin punctul 3 subpunctele 4 şi 5 din anexa 8 la Legea în materie de (utilizare şi acces la) date.
(46)-Secţiunea 73 din DPA din 2018, astfel cum a fost modificată prin punctul 3 subpunctul 3 din anexa 8 la Legea în materie de (utilizare şi acces la) date.
(37)În ceea ce priveşte în mod specific regulamentele de aprobare a unui transfer, secţiunea 74AA alineatul (2) din DPA din 2018 precizează că secretarul de stat poate adopta astfel de regulamente numai în cazul în care consideră că este îndeplinit criteriul privind protecţia datelor. Aceasta înseamnă că posibilitatea [introdusă în secţiunea 74AA alineatul (3) din DPA din 2018] ca secretarul de stat să ţină seama de oportunitatea facilitării fluxurilor de date atunci când elaborează astfel de regulamente este întotdeauna condiţionată de îndeplinirea criteriului privind protecţia datelor. Noua secţiune 74AB (47) din DPA din 2018 formulează standardul juridic pentru îndeplinirea criteriului privind protecţia datelor, impunând obligaţia ca standardul de protecţie pentru persoanele vizate din ţările destinatare sau din organizaţiile internaţionale să nu fie cu mult inferior standardului prevăzut pentru persoanele vizate în temeiul legislaţiei relevante a Regatului Unit privind protecţia datelor. Secţiunea 74AB alineatul (2) din DPA din 2018 prevede şi o listă neexhaustivă de elemente care trebuie luate în considerare atunci când se evaluează dacă acest criteriu este îndeplinit, cum ar fi respectarea statului de drept şi a drepturilor omului, existenţa şi competenţele unei autorităţi pentru protecţia datelor, modalităţile de exercitare a căilor de atac judiciare sau extrajudiciare, normele privind transferul de date cu caracter personal din ţară sau de către organizaţie către alte ţări sau organizaţii internaţionale, obligaţiile internaţionale relevante ale ţării sau ale organizaţiei, precum şi structura, tradiţiile şi cultura ţării sau ale organizaţiei. Deşi reformulează lista elementelor relevante, astfel cum au fost prevăzute în fosta secţiune 74A din DPA din 2018, noua dispoziţie păstrează elementele esenţiale ale listei respective şi, prin urmare, rămâne aproape de ceea ce se prevede la articolul 36 din Directiva (UE) 2016/680. În plus, autorităţile Regatului Unit au confirmat că secretarul de stat va lua în considerare elemente care nu sunt enumerate în secţiunea 74AB alineatul (2), cum ar fi legislaţia şi practicile dintr-o ţară terţă referitoare la modul în care autorităţile publice accesează datele cu caracter personal în scopuri precum securitatea naţională sau asigurarea respectării legii, în măsura în care acestea afectează standardul general de protecţie. De asemenea, autorităţile Regatului Unit consideră că jurisprudenţa relevantă din ţara terţă va fi o componentă esenţială a examinării aspectelor enumerate neexhaustiv în secţiunea 74AB alineatul (2) din DPA din 2018.
(47)Astfel cum a fost introdusă prin punctul 4 subpunctul 2 din anexa 8 la Legea în materie de (utilizare şi acces la) date.
(38)Regulamentele de aprobare a unui transfer continuă să facă obiectul cerinţelor procedurale "generale" prevăzute în secţiunea 182 din DPA din 2018, astfel cum se precizează în considerentul 77 din Decizia de punere în aplicare (UE) 2021/1773. În cadrul acestei proceduri, secretarul de stat trebuie să consulte Comisarul pentru Informaţii atunci când propune adoptarea unor regulamente ale Regatului Unit privind caracterul adecvat al nivelului de protecţie (48). Odată adoptate de secretarul de stat, aceste regulamente sunt prezentate Parlamentului şi fac obiectul procedurii de "rezoluţie negativă", în cadrul căreia ambele camere ale Parlamentului pot examina regulamentele şi pot adopta o propunere de anulare a regulamentelor în termen de 40 de zile (49).
(48)A se vedea Memorandumul de înţelegere dintre secretarul de stat al Ministerului pentru Digitalizare, Cultură, Mass-Media şi Sport şi Biroul Comisarului pentru Informaţii privind rolul ICO în legătură cu noua evaluare privind caracterul adecvat al nivelului de protecţie din Regatul Unit, disponibil la următoarea adresă: https://www.gov.uk/government/publications/memorandum-of-understanding-mou-on-the-role-of-the-ico-in-relation-to-new-uk-adequacy-assessments.
(49)În cazul în care se adoptă un astfel de vot, regulamentele vor înceta, în cele din urmă, să mai producă efecte juridice.
(39)În ceea ce priveşte garanţiile adecvate, secţiunea 75 din DPA din 2018, astfel cum a fost modificată prin punctul 6 din anexa 8 la Legea în materie de (utilizare şi acces la) date, prevede că astfel de transferuri pot avea loc numai dacă: (a) un instrument juridic adecvat este obligatoriu pentru destinatarul preconizat al datelor, şi anume un instrument care îndeplineşte condiţiile prevăzute la punctul 4 nou introdus, în special faptul că fiecare autoritate competentă din Regatul Unit care este parte la instrument, acţionând în mod rezonabil şi proporţional, consideră că este îndeplinit criteriul privind protecţia datelor sau (b) operatorul, acţionând în mod rezonabil şi proporţional, consideră că este îndeplinit criteriul privind protecţia datelor în ceea ce priveşte transferul sau tipul respectiv de transfer. Alineatul (5) nou introdus al secţiunii 75 din DPA din 2018 clarifică faptul că este îndeplinit criteriul privind protecţia datelor în cazul în care, datorită garanţiilor necesare, standardul de protecţie prevăzut pentru persoanele vizate nu este cu mult inferior după transfer comparativ cu standardul prevăzut de legislaţia relevantă a Regatului Unit privind protecţia datelor. Acest lucru este similar cu măsurile prevăzute la articolul 37 din Directiva (UE) 2016/680. Prin urmare, în UE şi în Regatul Unit se aplică aceleaşi standarde juridice în ceea ce priveşte aprobarea unui transfer sub rezerva unor garanţii adecvate. În conformitate cu alineatul (6) nou introdus al secţiunii 75 din DPA din 2018, ceea ce este rezonabil şi proporţional trebuie stabilit în funcţie de toate circumstanţele sau circumstanţele probabile ale transferului sau ale tipului de transfer, inclusiv în funcţie de natura şi volumul datelor cu caracter personal transferate.
(40)În ceea ce priveşte transferurile bazate pe circumstanţe speciale în temeiul secţiunii 76 din DPA din 2018, sunt introduse mai multe modificări tehnice care conţin clarificări privind condiţiile în care pot avea loc astfel de transferuri, dar care nu afectează nivelul de protecţie a datelor cu caracter personal în Regatul Unit (50).
(50)-Punctul 7 din anexa 8 la Legea în materie de (utilizare şi acces la) date.
(41)În ceea ce priveşte punerea în aplicare a normelor Regatului Unit privind transferurile internaţionale, au existat mai multe evoluţii de la adoptarea Deciziei de punere în aplicare (UE) 2021/1773.
(42)În primul rând, în urma încheierii, în 2022, a unui memorandum de înţelegere între Ministerul de Interne şi ICO, care a definit rolurile acestora în ceea ce priveşte efectuarea de evaluări ale adecvării în materie de asigurare a respectării legii (51), Regatul Unit a efectuat evaluări ale cadrelor privind protecţia datelor în teritoriile Jersey şi Guernsey, precum şi în Insula Man. Prin urmare, Regatul Unit a adoptat regulamente privind caracterul adecvat al nivelului de protecţie pentru Guernsey în iulie 2023 (52), pentru Jersey în noiembrie 2023 (53) şi pentru Insula Man în ianuarie 2025 (54). Aceste regulamente confirmă faptul că fiecare jurisdicţie asigură un nivel adecvat de protecţie a datelor cu caracter personal transferate în temeiul părţii 3 din DPA din 2018. Deşi aceste regulamente au fost adoptate iniţial în temeiul cadrului juridic anterior, evaluarea care stă la baza lor rămâne valabilă în temeiul cadrului actualizat. Prin urmare, regulamentele continuă să faciliteze cooperarea internaţională în domeniul aplicării legii.
(51)Disponibil la următoarea adresă: https://ico.org.uk/media2/about-the-ico/mou/4025752/ico-ho-mou.pdf.
(52)Disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2023/1221/contents/made.
(53)Disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2023/744/made.
(54)Disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2025/89/contents/made.
(43)Comisia a evaluat, de asemenea, cadrele de protecţie a datelor pentru prelucrarea datelor cu caracter personal în contextul asigurării respectării dreptului penal, precum şi normele privind accesul autorităţilor publice la datele cu caracter personal în scopuri de securitate naţională în teritoriile Jersey şi Guernsey şi în Insula Man atunci când a analizat funcţionarea deciziilor privind caracterul adecvat al nivelului de protecţie adoptate în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE în conformitate cu articolul 97 din Regulamentul (UE) 2016/679. Pe baza, printre altele, a acestei evaluări, Comisia a concluzionat că toate cele trei jurisdicţii continuă să furnizeze un nivel adecvat de date cu caracter personal transferate din UE (55).
(55)Raport al Comisiei către Parlamentul European şi Consiliu privind prima revizuire a funcţionării deciziilor privind caracterul adecvat al nivelului de protecţie care au fost adoptate în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE din 15 ianuarie 2024, disponibil la următoarea adresă: https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=CELEX:52024DC0007 şi rapoartele de ţară având ca obiect funcţionarea deciziilor privind caracterul adecvat al nivelului de protecţie adoptate în temeiul Directivei 95/46/CE care însoţesc Raportul Comisiei către Parlamentul European şi Consiliu privind prima revizuire a funcţionării deciziilor privind caracterul adecvat al nivelului de protecţie adoptate în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE, disponibile la următoarea adresă:
(44)În al doilea rând, în 2022, Regatul Unit şi Statele Unite ale Americii au încheiat Acordul privind protecţia datelor şi a vieţii private dintre Regatul Unit şi SUA (56), care aplică mutatis mutandis condiţiile Acordului-cadru UE-SUA (57), asigurând o protecţie echivalentă în contextul schimburilor de date dintre Regatul Unit şi Statele Unite în scopul asigurării respectării legii.
(56)Disponibil la următoarea adresă: https://www.gov.uk/government/publications/ukusa-exchange-of-notes-on-the-protection-of-personal-information-relating-to-prevention-investigation-detection-and-prosecution-of-criminal-offe.
(57)Acordul dintre Statele Unite ale Americii şi Uniunea Europeană privind protecţia informaţiilor cu caracter personal în ceea ce priveşte prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor (JO L 336, 10.12.2016, p. 3), disponibil la următoarea adresă: https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:22016A1210(01)&from=RO.
(45)În al treilea rând, în 2023 şi 2025, ICO şi-a actualizat orientările privind transferurile internaţionale în temeiul părţii 3 capitolul 5 din DPA din 2018 (58). Actualizarea din 2023 a clarificat sensul cerinţei de "a fi strict necesare" pentru transferurile de date către alţi destinatari decât autorităţile relevante de aplicare a legii, oferind astfel o mai mare certitudine operatorilor de date care evaluează legalitatea unor astfel de transferuri. În 2025, lista ţărilor şi teritoriilor adecvate a fost actualizată în urma regulamentelor Regatului Unit privind caracterul adecvat al nivelului de protecţie pentru Insula Man.
(58)Disponibile la următoarea adresă: https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-processing/international-transfers/.