Capitolul 3 - 2.3. Supravegherea şi asigurarea respectării normelor - Decizia 2571/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1773 a Comisiei în temeiul Directivei (UE) 2016/680 a Parlamentului European şi a Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 23 Decembrie 2025
CAPITOLUL 3:2.3. Supravegherea şi asigurarea respectării normelor
(54)În Regatul Unit, supravegherea şi asigurarea respectării cadrului de protecţie a datelor continuă să fie efectuate de o autoritate independentă de supraveghere a protecţiei datelor, astfel cum se analizează în considerentele 93-99 din Decizia de punere în aplicare (UE) 2021/1773. Legea în materie de (utilizare şi acces la) date reformează structura de guvernanţă a acestei autorităţi prin înfiinţarea unui organism corporativ, Comisia pentru Informaţii, care va înlocui ICO, care a fost structurat ca o întreprindere individuală.
(55)Mai precis, măsurile de guvernanţă prevăzute în Legea privind (utilizarea şi accesul la) date, odată puse în aplicare, vor elimina Biroul Comisarului pentru Informaţii şi vor transfera funcţiile, personalul şi bunurile de la ICO la noul organism, Comisia pentru Informaţii. Comisia pentru Informaţii este formată din membri executivi şi neexecutivi (69). Legea prevede, de asemenea, transferarea, de la Comisarul pentru Informaţii, a rolului de preşedinte al Comisiei pentru Informaţii, care este unul dintre membrii neexecutivi (70). Legea în materie de (utilizare şi acces la) date prevede, de asemenea, că, în măsura în care acest lucru este adecvat ca urmare a transferului de funcţii, trimiterile la Comisarul pentru Informaţii din toate actele legislative sau din alte documente (ori de câte ori sunt adoptate sau emise) trebuie tratate ca trimiteri la Comisia pentru Informaţii. Pentru a-şi îndeplini funcţiile, Comisia poate institui comitete şi poate delega funcţii unui membru, unui angajat sau unui comitet al Comisiei (71) şi poate lua măsuri pentru reglementarea procedurii sale şi a procedurii comitetelor, inclusiv în ceea ce priveşte cvorumul şi luarea deciziilor cu majoritate de voturi. Aceste proceduri trebuie făcute publice (72).
(69)-Punctul 3 subpunctul 1 din anexa 12A la DPA din 2018.
(70)-Secţiunile 117, 118, 119 şi 120, împreună cu anexa 14 la Legea în materie de (utilizare şi acces la) date.
(71)-Punctele 13 şi 14 din anexa 12A la DPA din 2018.
(72)-Punctul 16 din anexa 12A la DPA din 2018.
(56)Un aspect important îl reprezintă faptul că independenţa Comisiei pentru Informaţii face obiectul aceloraşi garanţii, inclusiv în ceea ce priveşte normele privind numirea şi revocarea preşedintelui, precum cele evaluate în considerentele 95-98 din Decizia de punere în aplicare (UE) 2021/1773 (73). Măsuri de protecţie similare se aplică şi în cazul celorlalţi membri neexecutivi ai Comisiei pentru Informaţii. În special, preşedintele Comisiei pentru Informaţii este numit de Maiestatea Sa la recomandarea secretarului de stat. Preşedintele Comisiei pentru Informaţii este selectat pe baza meritelor şi în urma unei competiţii deschise şi echitabile (74). Ceilalţi membri neexecutivi sunt numiţi de secretarul de stat în urma consultărilor cu preşedintele. Candidaţii pot fi recomandaţi pentru numire sau pot fi numiţi numai dacă sunt selectaţi pe baza meritelor, în urma unui concurs echitabil şi deschis şi dacă secretarul de stat s-a asigurat că aceştia nu se află într-o situaţie de conflict de interese (75). Membrii executivi sunt angajaţi ai Comisiei pentru Informaţii, fiind încadraţi în muncă în conformitate cu termenele şi condiţiile stabilite de membrii neexecutivi (76). Directorul este numit de preşedinte şi de alţi membri neexecutivi, în urma consultărilor cu secretarul de stat. Numirile în funcţii de conducere fac, de asemenea, obiectul unei selecţii pe bază de merit, în urma unui concurs echitabil şi deschis (77).
(73)-Articolul 52 din RGPD al Regatului Unit, precum şi anexa 12A la DPA din 2018, astfel cum au fost introduse prin secţiunea 117 din Legea în materie de (utilizare şi acces la) date.
(74)-Punctul 5 subpunctul 1 din anexa 12A la DPA din 2018.
(75)-Punctul 3 subpunctul 2 şi punctele 5 şi 6 din anexa 12A la DPA din 2018.
(76)-Punctul 11 din anexa 12A la DPA din 2018.
(77)-Punctul 5 subpunctul 2 din anexa 12A la DPA din 2018.
(57)Preşedintele poate fi revocat din funcţie de Maiestatea Sa numai în urma unei cereri oficiale din partea ambelor camere ale Parlamentului şi numai dacă secretarul de stat a prezentat camerei respective un raport în care declară că secretarul de stat este convins că preşedintele se face vinovat de o abatere gravă, se află într-o situaţie de conflict de interese, nu a respectat cerinţele specifice de informare cu privire la potenţialele conflicte de interese sau nu este în măsură, nu este apt sau nu doreşte să exercite funcţiile care îi revin preşedintelui (78). Membrii neexecutivi pot fi revocaţi din funcţie de către secretarul de stat numai dacă acesta este convins că sunt îndeplinite condiţiile specifice prevăzute în legislaţie. Printre acestea se numără conflictele de interese, abaterile grave sau incapacitatea, refuzul sau inaptitudinea de a-şi îndeplini sarcinile. În ceea ce priveşte garanţiile suplimentare, secretarul de stat are obligaţia de a face publică decizia de revocare şi de a oferi membrului o motivare pentru revocare (79).
(78)-Punctul 7 subpunctele 6 şi 7 din anexa 12A la DPA din 2018.
(79)-Punctul 9 subpunctele 6, 7, 8 şi 9 din anexa 12A la DPA din 2018.
(58)Legea în materie de (utilizare şi acces la) date nu modifică responsabilităţile principale ale Comisiei pentru Informaţii, care va continua să îndeplinească funcţiile prevăzute în anexa 13 la DPA din 2018. Printre acestea se numără monitorizarea şi asigurarea respectării părţii 3 a DPA din 2018, acordarea de consiliere Parlamentului şi guvernului, sensibilizarea publicului, sprijinirea operatorilor de date şi a persoanelor împuternicite de operatori în îndeplinirea obligaţiilor care le revin şi informarea persoanelor fizice cu privire la drepturile lor (80). Legea în materie de (utilizare şi acces la) date clarifică faptul că, în exercitarea obligaţiei de a asigura un nivel adecvat de protecţie a datelor cu caracter personal, Comisia pentru Informaţii va trebui să ţină seama de interesele persoanelor vizate, ale operatorilor şi ale altor persoane, să ia în considerare interesul public mai larg şi să încurajeze încrederea publicului în prelucrarea datelor cu caracter personal (81).
(80)-Anexa 13 la DPA din 2018.
(81)-Secţiunea 91 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 120A în DPA din 2018.
(59)În plus, potrivit Legii în materie de (utilizare şi acces la) date, Comisia pentru Informaţii trebuie să ia în considerare, în măsura în care acest lucru este relevant în circumstanţele date, promovarea inovării şi a concurenţei, importanţa prevenirii, a investigării, a depistării şi a urmăririi penale a infracţiunilor, necesitatea de a proteja siguranţa publică şi securitatea naţională, precum şi nevoile specifice legate de protecţia copiilor, atunci când îşi exercită funcţia în temeiul legislaţiei privind protecţia datelor (82). Legislaţia UE privind protecţia datelor recunoaşte, de asemenea, necesitatea de a asigura un echilibru între protecţia datelor personale şi alte drepturi fundamentale şi obiective, precum securitatea şi justiţia (83).
(82)-Secţiunea 91 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 120B în DPA din 2018.
(83)-A se vedea, în special, considerentul 2 din Directiva (UE) 2016/680.
SECŢIUNEA 2:2.3.2. Asigurarea respectării normelor, inclusiv impunerea de sancţiuni, şi căile de atac
(60)Competenţele şi atribuţiile Comisiei pentru Informaţii continuă să corespundă celor ale autorităţilor de supraveghere a protecţiei datelor din statele membre în temeiul articolelor relevante din Directiva (UE) 2016/680 (84), potrivit evaluării prezentate în considerentele 100-109 din Decizia de punere în aplicare (UE) 2021/1773.
(84)-Punctul 2 din anexa 13 la DPA din 2018.
(61)Legea în materie de (utilizare şi acces la) date a introdus anumite clarificări cu privire la exercitarea unora dintre aceste competenţe.
(62)- Secţiunea 97 din Legea în materie de (utilizare şi acces la) date modifică secţiunea 142 din DPA din 2018 pentru a permite în mod expres Comisiei pentru Informaţii să solicite nu numai informaţii, ci şi documente specifice, îmbunătăţind capacitatea acesteia de a investiga şi de a verifica asigurarea conformităţii.
(63)- Secţiunea 98 din Legea în materie de (utilizare şi acces la) date consolidează competenţele Comisiei pentru Informaţii în temeiul secţiunii 146 din DPA din 2018, permiţând Comisiei pentru Informaţii să solicite unui operator de date sau unei persoane împuternicite de operator să mandateze elaborarea unui raport independent cu privire la o anumită chestiune. Raportul trebuie să fie întocmit de o "persoană agreată", Comisia pentru Informaţii având autoritatea finală de a aproba persoana desemnată sau de a desemna o persoană în acest scop, în cazul în care nu a fost propus un candidat adecvat sau operatorul de date nu acţionează în acest sens (85). Anunţul de evaluare poate specifica formatul, conţinutul şi termenul raportului (86). Toate costurile aferente, inclusiv onorariile persoanei agreate, trebuie să fie acoperite de operator sau de persoana împuternicită de operator (87).
(85)-Secţiunea 98 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 146A în DPA din 2018.
(86)-Secţiunea 98 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 146 alineatul (3A) în DPA din 2018.
(87)-Secţiunea 98 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 146 alineatul (11A) în DPA din 2018.
(64)- Secţiunea 100 din Legea în materie de (utilizare şi acces la) date stabileşte avizele de prezentare la audiere ca un nou instrument de asigurare a respectării normelor în temeiul secţiunii 148A din DPA din 2018. Comisia pentru Informaţii poate cere unei persoane să se prezinte la audieri, asigurându-i garanţii, cum ar fi protecţia împotriva autoincriminării şi privilegiul juridic (88).
(88)-Secţiunea 98 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 146 alineatul (8B) în DPA din 2018.
(65)- Secţiunea 101 din Legea în materie de (utilizare şi acces la) date modifică anexa 16 la DPA din 2018 pentru a oferi Comisiei pentru Informaţii o mai mare flexibilitate în ceea ce priveşte emiterea notificărilor de sancţionare. Deşi termenul actual de şase luni pentru emiterea unei notificări finale de sancţionare în urma unei notificări de intenţie rămâne regula generală, secţiunea permite Comisiei pentru Informaţii să emită o notificare de sancţionare după acest termen, atunci când termenul nu poate fi respectat într-un mod rezonabil. În astfel de cazuri, notificarea trebuie emisă cât mai curând posibil din punct de vedere practic. În plus, în cazul în care Comisia pentru Informaţii decide să nu emită o notificare de sancţionare, aceasta trebuie să informeze în scris persoana în cauză în termen de şase luni sau cât mai curând posibil din punct de vedere practic după acest termen. Secţiunea introduce, de asemenea, o nouă cerinţă pentru Comisia pentru Informaţii de a publica orientări cu privire la împrejurările în care poate fi nevoie de un termen mai mare de şase luni pentru a emite o notificare de sancţionare.
(66)-Secţiunea 102 din Legea în materie de (utilizare şi acces la) date a introdus noi obligaţii de raportare pentru Comisia pentru Informaţii. Aceasta modifică secţiunea 139 şi introduce o nouă secţiune 161A în DPA din 2018, solicitând Comisiei pentru Informaţii să publice un raport anual privind măsurile de reglementare. Raportul trebuie să prezinte în detaliu modul în care au fost exercitate competenţele de investigare şi de asigurare a respectării normelor în temeiul RGPD al Regatului Unit şi al părţilor 3 şi 4 din DPA din 2018. De asemenea, raportul trebuie să prezinte numărul de notificări de sancţionare emise după expirarea intervalului de şase luni în urma unei notificări de intenţie şi să ofere justificări pentru întârzierile în cauză. În plus, raportul trebuie să explice modul în care Comisia pentru Informaţii a urmat propriile orientări atunci când a luat decizii de reglementare.
(67)- Secţiunea 103 din Legea în materie de (utilizare şi acces la) date consolidează procedura de depunere a plângerilor aflată la dispoziţia persoanelor vizate. Aceasta introduce noi secţiuni - 164A şi 164B - în DPA din 2018. Secţiunea 164A prevede că persoanele vizate au dreptul de a depune plângeri direct la operatorii de date în cazul în care consideră că le-au fost încălcate drepturile de care beneficiază în temeiul RGPD al Regatului Unit sau al părţii 3 din DPA din 2018. Operatorii trebuie să faciliteze acest proces, să confirme primirea plângerilor în termen de 30 de zile şi să răspundă fără întârzieri nejustificate. De asemenea, aceştia trebuie să informeze reclamanţii cu privire la progresele înregistrate şi la rezultate. Secţiunea 164B conferă secretarului de stat competenţa de a adopta regulamente care să impună operatorilor să raporteze numărul de plângeri primite.
(68)- Secţiunea 104 din Legea în materie de (utilizare şi acces la) date a introdus o nouă secţiune 180A în DPA din 2018, pentru a clarifica competenţele instanţei în cadrul procedurilor privind cererile de acces ale persoanelor vizate. În temeiul acestei dispoziţii, instanţele pot solicita operatorilor de date să le transmită, spre examinare, informaţiile contestate, atunci când decid dacă o persoană vizată are dreptul la acestea. Cu toate acestea, informaţiile nu pot fi divulgate persoanei vizate decât dacă instanţa stabileşte că aceasta are drept de acces la acestea. Această secţiune clarifică faptul că instanţele pot examina materialele contestate fără a le divulga prematur reclamantului, restabilind o garanţie care exista anterior în temeiul Legii privind protecţia datelor din 1998.
(69)În ceea ce priveşte punerea în aplicare a acestor competenţe, de la adoptarea Deciziei de punere în aplicare (UE) 2021/1773, Comisarul pentru Informaţii a tratat numeroase plângeri (89), a efectuat mai multe investigaţii şi a luat măsuri de asigurare a respectării normelor în ceea ce priveşte prelucrarea datelor de către autorităţile de aplicare a legii. În perioada 2021-2025, Comisarul pentru Informaţii a desfăşurat anchete şi a emis mustrări adresate diverselor organe de poliţie pentru diferite încălcări ale obligaţiilor care le revin în materie de protecţie a datelor, de exemplu atunci când răspund la cererile de acces la date, atunci când pun în aplicare măsuri de securitate pentru datele de supraveghere video, atunci când gestionează caziere judiciare sensibile, atunci când fuzionează datele unor persoane diferite sau atunci când divulgă date cu caracter personal unor părţi terţe (90). De asemenea, Comisarul pentru Informaţii a emis şi a actualizat orientări, avize şi documente de orientare, de exemplu cu privire la dreptul de acces sau la modul de gestionare a cererilor vădit nefondate sau excesive în temeiul părţii 3 din DPA din 2018 (91) sau a actualizat orientările existente, cum ar fi Ghidul privind prelucrarea în scopul asigurării respectării legii (92).
(89)De exemplu, în perioada 2023-2024, Comisia pentru Informaţii a primit 1 890 de plângeri în temeiul RGPD şi/sau al DPA din 2018 cu privire la organizaţii din subsectoarele "autoritate poliţienească", "forţe de poliţie" şi "comisari de poliţie". A se vedea, de asemenea, Raportul anual şi situaţiile financiare pe 2023/2024 ale Comisarului pentru Informaţii, disponibile la următoarea adresă: https://ico.org.uk/media2/migrated/4030348/annual-report-2023-24.pdf.
(90)Informaţii suplimentare sunt disponibile la următoarea adresă: https://ico.org.uk/action-weve-taken/enforcement/?ensector=criminal-justice.
(91)Disponibile la următoarele adrese: https://ico.org.uk/for-organisations/law-enforcement/the-right-of-access-part-3-of-the-dpa-2018/ şi https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-processing/individual-rights/manifestly-unfounded-and-excessive-requests/.
(92)Disponibile la următoarea adresă: https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-processing/.