Titlul 2 - EVOLUŢII RELEVANTE ÎN CEEA CE PRIVEŞTE NORMELE APLICABILE PRELUCRĂRII DATELOR CU CARACTER PERSONAL - Decizia 2571/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1773 a Comisiei în temeiul Directivei (UE) 2016/680 a Parlamentului European şi a Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 23 Decembrie 2025
TITLUL 2:EVOLUŢII RELEVANTE ÎN CEEA CE PRIVEŞTE NORMELE APLICABILE PRELUCRĂRII DATELOR CU CARACTER PERSONAL
(8)La adoptarea Deciziei de punere în aplicare (UE) 2021/1773, cadrul juridic pentru prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, al depistării, al investigării sau al urmăririi penale a infracţiunilor sau în scopul executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora în Regatul Unit a fost stabilit în părţile relevante ale DPA din 2018 (8), astfel cum a fost modificată prin Regulamentele din 2019 privind protecţia datelor, a vieţii private şi comunicaţiile electronice (modificări etc.) (ieşirea din UE) [Regulamentele DPPEC (Data Protection, Privacy and Electronic Communications)] (9), în special în partea 3 din legea respectivă.
(8)Legea privind protecţia datelor din 2018, disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2018/12/contents. Înainte de retragerea Regatului Unit din Uniunea Europeană şi în cursul perioadei de tranziţie, DPA din 2018 a prevăzut norme naţionale, în cazul în care Regulamentul (UE) 2016/679 permitea acest lucru, specificând şi restricţionând aplicarea normelor Regulamentului (UE) 2016/679, şi a transpus Directiva (UE) 2016/680.
(9)Regulamentele din 2019 privind protecţia datelor, a vieţii private şi comunicaţiile electronice (modificări etc.) (ieşirea din UE), disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2019/419/contents/made, astfel cum au fost modificate prin Regulamentele DPPEC din 2020, disponibile la următoarea adresă: https://www.legislation.gov.uk/ukdsi/2020/9780348213522. Regulamentele DPPEC modifică Regulamentul (UE) 2016/679, astfel cum a fost introdus în legislaţia Regatului Unit prin Legea din 2018 privind Uniunea Europeană (retragere), prin DPA din 2018 şi prin alte acte legislative privind protecţia datelor pentru a îl adapta contextului naţional.
(9)Deşi această lege, care a reflectat îndeaproape normele corespunzătoare aplicabile în Uniunea Europeană, continuă să constituie legislaţia Regatului Unit privind protecţia datelor pentru activităţile de prelucrare relevante, ea a făcut, între timp, obiectul unor modificări limitate, reflectând faptul că Regatul Unit nu mai este supus dreptului Uniunii Europene.
(10)În primul rând, Legea din 2023 privind dreptul UE menţinut în dreptul intern (revocare şi reformare) [Legea REUL (Retained EU Law)] (10) a clarificat faptul că principiile generale ale dreptului UE nu mai erau prevăzute în dreptul intern al Regatului Unit după sfârşitul anului 2023 (11). În plus, instanţele din Regatul Unit nu mai au obligaţia să interpreteze "dreptul asimilat" nemodificat, denumit anterior "dreptul UE menţinut în dreptul intern", în conformitate cu principiile generale ale dreptului UE, însă acest drept asimilat trebuie în schimb să fie interpretat într-un mod care este compatibil cu dreptul intern al Regatului Unit (12). Cu toate acestea, dreptul asimilat nemodificat trebuie să fie interpretat în continuare de instanţele relevante din Regatul Unit în conformitate cu jurisprudenţa relevantă a Curţii de Justiţie a Uniunii Europene emisă înainte de încheierea perioadei de tranziţie (13), astfel cum se menţionează şi în considerentul 12 din Decizia de punere în aplicare (UE) 2021/1773. DPA din 2018 a fost modificată prin Legea în materie de (utilizare şi acces la) date pentru a clarifica efectul Legii REUL asupra legislaţiei Regatului Unit privind protecţia datelor. De exemplu, secţiunea 183A alineatul (1) din DPA din 2018 prevede, ca regulă generală, că orice act legislativ nou (adoptat la 20 august 2025 sau după această dată) care introduce noi obligaţii sau competenţe de prelucrare a datelor cu caracter personal se presupune că face obiectul legislaţiei Regatului Unit privind protecţia datelor. În consecinţă, cadrul de protecţie a datelor din Regatul Unit continuă să prevaleze asupra altor acte legislative. În temeiul secţiunii 183A alineatul (2) litera (b) din DPA din 2018, această prezumţie poate fi inaplicabilă în cazul în care Parlamentul Regatului Unit decide în mod deliberat să prevadă acest lucru în mod expres în legislaţie, menţinând suveranitatea parlamentară. În plus, secţiunea 186 alineatul (2A) din DPA din 2018 clarifică faptul că restricţiile privind drepturile persoanelor vizate enumerate în secţiunea 186 alineatul (3) din DPA din 2018 nu sunt anulate de secţiunea 186 alineatul (1) din DPA din 2018, care prevede că dispoziţiile care interzic sau restricţionează divulgarea de informaţii nu prevalează asupra anumitor drepturi în materie de protecţie a datelor. Acest lucru asigură faptul că, de exemplu, restricţiile privind drepturile persoanelor vizate prevăzute în DPA din 2018 nu intră, ele însele, sub incidenţa prevederii generale "de anulare a protecţiei datelor" din secţiunea 186 alineatul (1) din DPA din 2018.
(10)Legea din 2023 privind dreptul UE menţinut în dreptul intern (revocare şi reformare), disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2023/28.
(11)-Secţiunea 5 din Legea din 2018 privind Uniunea Europeană (retragere), astfel cum a fost modificată prin Legea REUL.
(12)-Secţiunea 5(A2) din Legea din 2018 privind Uniunea Europeană (retragere), astfel cum a fost modificată prin Legea REUL.
(13)-Secţiunea 6 alineatele (3) şi (7) din Legea din 2018 privind Uniunea Europeană (retragere), astfel cum au fost modificate prin Legea REUL.
(11)În al doilea rând, de la adoptarea Deciziei de punere în aplicare (UE) 2021/1773, legislaţia Regatului Unit privind protecţia datelor a fost modificată prin Regulamentele din 2023 privind protecţia datelor (drepturi şi libertăţi fundamentale) (modificare) (14). Aceste regulamente definesc trimiterile la drepturile sau libertăţile fundamentale din DPA din 2018 [care au fost definite anterior pentru a acoperi drepturile fundamentale şi libertăţile fundamentale ale UE (15)] ca trimiteri la drepturile prevăzute în Convenţia europeană a drepturilor omului, puse în aplicare în dreptul intern al Regatului Unit în temeiul Legii privind drepturile omului din 1998 (16). Legea privind drepturile omului din 1998 încorporează în legislaţia Regatului Unit drepturile cuprinse în Convenţia europeană a drepturilor omului. Legea privind drepturile omului acordă oricărei persoane drepturile şi libertăţile fundamentale prevăzute la articolele 2-12 şi la articolul 14 din Convenţia europeană a drepturilor omului, la articolele 1, 2 şi 3 din Protocolul nr. 1 şi la articolul 1 din Protocolul nr. 13, coroborate cu articolele 16, 17 şi 18 din convenţia menţionată. Aceasta include dreptul la respectarea vieţii private şi de familie (şi dreptul la protecţia datelor ca parte a acestui drept), precum şi dreptul la un proces echitabil (17).
(14)Disponibile la următoarea adresă: https://www.gov.uk/government/publications/the-data-protection-fundamental-rights-and-freedoms-amendment-regulations-2023.
(15)Drepturile fundamentale şi libertăţile fundamentale ale UE au fost menţinute în dreptul Regatului Unit prin secţiunea 4 din Legea din 2018 privind Uniunea Europeană (retragere), care a fost abrogată la sfârşitul anului 2023 prin Legea REUL.
(16)-Secţiunea 2 alineatul (3) din Regulamentele din 2023 privind protecţia datelor (drepturi şi libertăţi fundamentale) (modificare).
(17)-Articolele 6, 8, 10 şi 13 din CEDO (a se vedea, de asemenea, anexa 1 la Legea privind drepturile omului din 1998), disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/1998/42/contents).
(12)În fine, DPA din 2018 a făcut obiectul unor reforme specifice prevăzute în părţile a cincea şi a şasea din Legea în materie de (utilizare şi acces la) date. Deşi domeniul de aplicare al Legii în materie de (utilizare şi acces la) date depăşeşte cu mult protecţia datelor cu caracter personal, acesta prevede modificări limitate ale mai multor aspecte ale regimului de protecţie a datelor, cum ar fi, printre altele, modalităţile de exercitare a drepturilor persoanelor vizate, condiţiile pentru procesul decizional automatizat şi sfera anumitor cerinţe în materie de responsabilitate. În plus, Legea în materie de (utilizare şi acces la) date aduce modificări structurii de guvernanţă a ICO. Odată puse în aplicare, aceste măsuri vor înlocui ICO cu o nouă entitate, Comisia pentru Informaţii. Rolul şi funcţiile autorităţii de reglementare în calitate de autoritate independentă de supraveghere a protecţiei datelor în Regatul Unit vor rămâne neschimbate. Legea introduce, de asemenea, noi competenţe de asigurare a respectării legii pentru autoritatea de reglementare.
(13)Prezenta decizie evaluează evoluţiile legislative, de reglementare şi de altă natură care sunt relevante pentru concluzia privind nivelul de protecţie garantat de Regatul Unit, formulată în Decizia de punere în aplicare (UE) 2021/1773. Evaluarea efectuată în Decizia de punere în aplicare (UE) 2021/1773 rămâne valabilă pentru acele aspecte aferente cadrului de protecţie a datelor din Regatul Unit care nu au fost modificate sau afectate de alte evoluţii de la adoptarea Deciziei de punere în aplicare (UE) 2021/1773.
(14)Evoluţiile legislative, de reglementare şi de altă natură relevante sunt analizate în detaliu în secţiunile următoare, pe baza standardului privind caracterul adecvat, conform căruia Comisia trebuie să stabilească dacă ţara terţă în cauză garantează un nivel de protecţie "echivalent în esenţă" cu cel garantat în cadrul Uniunii Europene (18). Conform clarificărilor aduse de Curtea de Justiţie a Uniunii Europene, aceasta nu impune constatarea unui nivel identic de protecţie (19). În special, mijloacele la care ţara terţă în cauză recurge pentru protecţia datelor cu caracter personal pot fi diferite de cele puse în aplicare în Uniunea Europeană, cu condiţia ca acestea să se dovedească, în practică, efective în scopul de a asigura un nivel adecvat de protecţie (20). Prin urmare, standardul privind caracterul adecvat nu necesită o reproducere punct cu punct a normelor Uniunii. Mai degrabă, testul constă în a stabili dacă, prin fondul drepturilor în materie de protecţie a datelor şi punerea în aplicare efectivă, supravegherea şi exercitarea acestora, sistemul juridic străin în cauză, în ansamblul său, asigură nivelul de protecţie necesar (21).
(18)Considerentul 67 din Directiva (UE) 2016/680.
(19)Cauza C-362/14, Schrems ("Schrems I"), ECLI:EU:C:2015:650, punctul 73.
(20)Schrems I, punctul 74.
(21)A se vedea Comunicarea Comisiei către Parlamentul European şi Consiliu intitulată "Schimbul de date cu caracter personal şi protecţia acestora într-o lume globalizată", COM(2017)7 din 10 ianuarie 2017, secţiunea 3.1, p. 6-7, disponibilă la următoarea adresă: https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=CELEX:52017DC0007.
(15)Conceptele de bază privind protecţia datelor care reflectă terminologia din Directiva (UE) 2016/680 continuă să se aplice regimului de protecţie a datelor din Regatul Unit. Aceste concepte au fost evaluate în considerentele 26 şi 27 din Decizia de punere în aplicare (UE) 2021/1773.
(16)În special, prin specificarea definiţiei şi a condiţiilor de obţinere a consimţământului, Legea în materie de (utilizare şi acces la) date confirmă cadrul juridic care reglementează utilizarea consimţământului ca temei juridic pentru prelucrarea datelor cu caracter personal (22). Dispoziţiile actualizate reproduc formularea din RGPD al Regatului Unit, sporind astfel coerenţa între regimurile de protecţie a datelor din Regatul Unit. Această aliniere facilitează o interpretare mai clară de către autorităţile competente atunci când se bazează pe consimţământ ca temei legal pentru prelucrare.
(22)-Secţiunile 33 şi 40A din DPA din 2018, astfel cum au fost introduse prin secţiunea 69 alineatele (1), (2) şi (4) din Legea în materie de (utilizare şi acces la) date.
(17)În primul rând, secţiunea 69 din Legea în materie de (utilizare şi acces la) date introduce o nouă subsecţiune 33(1A) în DPA din 2018, care defineşte "consimţământul" ca o manifestare liberă, specifică, informată şi lipsită de ambiguitate a dorinţelor persoanei vizate. Această manifestare trebuie să fie furnizată printr-o declaraţie sau printr-o acţiune afirmativă fără echivoc şi trebuie să exprime acordul persoanei cu privire la prelucrarea datelor sale cu caracter personal.
(18)În al doilea rând, aceeaşi secţiune adaugă secţiunea 40A în DPA din 2018, care stabileşte condiţiile care trebuie îndeplinite atunci când se invocă consimţământul. Operatorul trebuie să fie în măsură să demonstreze că persoana vizată şi-a dat consimţământul valabil. În cazul în care consimţământul este obţinut în scris ca parte a unui document mai larg, acesta trebuie prezentat într-un mod care să îl diferenţieze în mod clar de alte aspecte, utilizând un limbaj accesibil, inteligibil şi simplu. Orice dispoziţie a documentului care nu respectă aceste standarde nu va fi obligatorie (23).
(23)-Secţiunea 40A alineatele (2) şi (3) din DPA din 2018, astfel cum au fost introduse prin secţiunea 69 alineatul (4) din Legea în materie de (utilizare şi acces la) date.
(19)Operatorii sau persoanele împuternicite de operatori trebuie, de asemenea, să informeze persoana în cauză, înainte de a obţine consimţământul acesteia, cu privire la dreptul său de a şi-l retrage. Procesul de retragere trebuie să fie la fel de simplu ca cel de acordare a consimţământului. Acest lucru asigură faptul că persoana vizată păstrează în orice moment un control real asupra utilizării datelor sale cu caracter personal (24).
(24)-Secţiunea 40A alineatele (5) şi (6) din DPA din 2018, astfel cum au fost introduse prin secţiunea 69 alineatul (4) din Legea în materie de (utilizare şi acces la) date.
(20)În fine, Legea în materie de (utilizare şi acces la) date clarifică faptul că, atunci când se evaluează dacă consimţământul este "acordat în mod liber", este necesar să se analizeze dacă furnizarea unui serviciu a fost condiţionată de acordul persoanei vizate cu privire la prelucrarea datelor cu caracter personal care nu este obligatorie pentru furnizarea serviciului respectiv. În caz afirmativ, acest lucru poate submina valabilitatea consimţământului (25).
(25)-Secţiunea 40A alineatul (7) din DPA din 2018, astfel cum a fost introdus prin secţiunea 69 alineatul (4) din Legea în materie de (utilizare şi acces la) date.
(21)Este important de remarcat faptul că, în temeiul părţii 3 revizuite din DPA din 2018, consimţământul continuă să nu fie un temei juridic relevant pentru operaţiunile de prelucrare care intră în domeniul de aplicare al prezentei decizii, astfel cum se explică în considerentul 35 din Decizia de punere în aplicare (UE) 2021/1773. În plus, astfel cum se menţionează în considerentul 36 al Deciziei de punere în aplicare (UE) 2021/1773, prelucrarea într-un context de asigurare a respectării legii continuă să nu fie posibilă numai pe baza consimţământului, întrucât o autoritate competentă trebuie să aibă întotdeauna o competenţă subiacentă care să îi permită să prelucreze datele. Mai precis, şi în mod similar cu ceea ce este permis în temeiul Directivei (UE) 2016/680 (26), aceasta înseamnă că respectivul consimţământ serveşte drept condiţie suplimentară pentru a permite anumite operaţiuni de prelucrare limitate şi specifice care altfel nu ar putea fi efectuate, de exemplu colectarea şi prelucrarea unui eşantion de ADN al unei persoane fizice care nu are calitatea de suspect.
(26)A se vedea considerentele 35 şi 37 din Directiva (UE) 2016/680.
(22)Cadrul de protecţie a datelor al Regatului Unit continuă să ofere garanţii specifice în cazul în care sunt implicate categorii speciale de date, potrivit evaluării prezentate în considerentele 38-42 din Decizia de punere în aplicare (UE) 2021/1773.
(23)Atât definiţia categoriilor speciale de date cu caracter personal, cât şi normele specifice care se aplică prelucrării acestor categorii de date din partea 3 a DPA din 2018 rămân în vigoare. În acelaşi timp, Legea în materie de (utilizare şi acces la) date îi conferă secretarului de stat noi competenţe în materie de elaborare a reglementărilor pentru a adăuga categorii speciale de date şi pentru a adapta condiţiile aplicabile utilizării acestora, dacă este necesar (27). Un aspect important îl reprezintă faptul că aceste competenţe nu îi permit secretarului de stat să elimine sau să modifice actualele categorii speciale de date sau să modifice condiţiile de prelucrare a acestor categorii (28).
(27)-Secţiunea 74 din Legea în materie de (utilizare şi acces la) date. Astfel de regulamente fac obiectul procedurii rezoluţiei afirmative, ceea ce înseamnă că necesită aprobarea activă a Parlamentului Regatului Unit.
(28)A se vedea noua secţiune 42A din DPA din 2018 introdusă prin secţiunea 74 din Legea în materie de (utilizare şi acces la) date, precum şi Notele explicative la Proiectul de lege în materie de (utilizare şi acces la) date, punctul 577, disponibile la următoarea adresă: https://publications.parliament.uk/pa/bills/cbill/59-01/0179/en/240179en.pdf.
(24)Prin urmare, aceste modificări nu afectează nivelul de protecţie pentru categoriile speciale de date cu caracter personal considerat echivalent în esenţă cu protecţia din cadrul UE în Decizia de punere în aplicare (UE) 2021/1773.
(25)Potrivit cadrului juridic al Regatului Unit, persoanele vizate continuă să beneficieze de aceleaşi drepturi individuale ca cele în temeiul Directivei (UE) 2016/680, drepturi care pot fi impuse operatorului sau persoanei împuternicite de operator, în special dreptul de acces la date, dreptul de a se opune prelucrării şi dreptul la rectificarea şi ştergerea datelor, potrivit evaluării prezentate în considerentele 57-65 din Decizia de punere în aplicare (UE) 2021/1773.
(26)Legea în materie de (utilizare şi acces la) date clarifică anumite modalităţi prin care pot fi exercitate aceste drepturi.
(27)În primul rând, în cadrul regimului actual, operatorii de date au dreptul de a refuza o cerere sau de a percepe o taxă rezonabilă în cazul în care o cerere este vădit nefondată sau excesivă (29). În acest sens, Legea în materie de (utilizare şi acces) la date conferă secretarului de stat o nouă competenţă în materie de reglementare, permiţându-i să emită regulamente care impun operatorilor de date să elaboreze şi să publice orientări privind taxele pe care le percep în astfel de împrejurări. În plus, atunci când operatorii de date refuză să dea curs unei cereri din motivul menţionat anterior, Legea în materie de (utilizare şi acces la) date a clarificat faptul că aceştia au în continuare obligaţia de a notifica persoanei vizate motivele refuzului şi faptul că aceasta are dreptul să depună o plângere la Comisarul pentru Informaţii. O astfel de notificare trebuie transmisă fără întârzieri nejustificate (30).
(29)-Secţiunea 53 alineatul (1) din DPA din 2018. A se vedea considerentul 64 din Decizia de punere în aplicare (UE) 2021/1773.
(30)-Secţiunea 53(4A) alineatele (6) şi (7) din DPA din 2018, astfel cum au fost introduse prin secţiunea 75 din Legea în materie de (utilizare şi acces la) date.
(28)În al doilea rând, Legea privind (utilizarea şi accesul la date) precizează termenele în care operatorii trebuie să răspundă cererilor persoanei vizate. Mai precis, aceasta aliniază perioadele de răspuns necesare la cele prevăzute în Regulamentul general privind protecţia datelor (RGPD) al Regatului Unit. Dispoziţiile revizuite permit, de asemenea, o prelungire a perioadei de răspuns cu până la două luni suplimentare în cazurile în care cererea este complexă sau atunci când se primesc mai multe cereri. În astfel de cazuri, operatorul trebuie să informeze persoana vizată cu privire la prelungire şi la motivele acesteia (31). Legea în materie de (utilizare şi acces la) date a introdus, de asemenea, un mecanism care permite operatorilor să suspende termenul de răspuns la o cerere în cazurile în care sunt necesare informaţii suplimentare din partea persoanei vizate pentru a identifica datele solicitate (32).
(31)-Secţiunile 54(3A) şi 54(b3) din DPA din 2018, astfel cum au fost introduse prin secţiunea 76 alineatul (6) din Legea în materie de (utilizare şi acces la) date.
(32)-Secţiunile 54(3C) şi (3D) din DPA din 2018, astfel cum au fost introduse prin secţiunea 76 alineatele (5) şi (6) din Legea în materie de (utilizare şi acces la) date.
(29)În al treilea rând, în ceea ce priveşte numai dreptul de acces la informaţii şi la date cu caracter personal, Legea în materie de (utilizare şi acces la) date modifică secţiunea 45 din DPA din 2018, pentru a include clarificarea formulată în temeiul jurisprudenţei interne existente, pe baza principiului proporţionalităţii în temeiul legislaţiei UE, potrivit căreia operatorii trebuie să efectueze numai căutări rezonabile şi proporţionale în ceea ce priveşte informaţiile şi datele cu caracter personal solicitate (33). Se preconizează că noua dispoziţie va fi interpretată în conformitate cu jurisprudenţa existentă, care prevede că "[... ] ceea ce se pune în balanţă în cadrul exerciţiului de proporţionalitate este obiectul final al căutării, şi anume beneficiul potenţial pe care furnizarea informaţiilor l-ar putea aduce persoanei vizate, în raport cu mijloacele prin care sunt obţinute informaţiile respective. Va fi necesar să se evalueze în fiecare caz în parte dacă vor fi necesare eforturi disproporţionate pentru găsirea şi furnizarea informaţiilor în raport cu beneficiile pe care acestea le-ar putea aduce persoanei vizate" (34).
(33)-Secţiunea 45(2A) din DPA din 2018, astfel cum a fost introdusă prin secţiunea 78 din Legea în materie de (utilizare şi acces la) date.
(34)Dawson-Damer/Taylor Wessing LLP [2017] EWCA Civ 74.
(30)Prin urmare, deşi modalităţile de răspuns la cererile persoanelor vizate fac obiectul unor norme mai detaliate, sistemul Regatului Unit continuă să asigure faptul că cererile persoanelor vizate sunt tratate în perioade de timp rezonabile, definite pe baza unor factori obiectivi. În plus, obligaţiile de fond ale operatorului, atunci când răspunde la cererile de acces, sunt încadrate pe baza unor standarde juridice stabilite, care iau în considerare, de asemenea, interesele persoanei vizate. În cele din urmă, în orientările actuale ale ICO se prevede deja că un operator nu are obligaţia să efectueze căutări care ar fi nerezonabile sau disproporţionate în raport cu importanţa acordării accesului la informaţii (35).
(35)Disponibile la următoarea adresă: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/right-of-access/how-do-we-find-and-retrieve-the-relevant-information/.
(31)În plus, Legea în materie de (utilizare şi acces la) date a introdus o nouă secţiune 45A în DPA din 2018, creând o derogare explicită de la obligaţia de a oferi acces sau informaţii unei persoane vizate în cazul în care informaţiile sunt protejate de secretul profesional al avocatului (36). Această derogare se aplică în mod specific obligaţiilor prevăzute în secţiunea 44 alineatul (2) şi în secţiunea 45 alineatul (1) din DPA din 2018, care impun operatorilor să informeze persoanele fizice cu privire la prelucrarea datelor lor cu caracter personal şi să le acorde acces la datele respective (37). Aceasta clarifică faptul că operatorii nu au obligaţia să divulge informaţii în cazul în care acest lucru ar încălca secretul profesional. O derogare similară există în temeiul RGPD al Regatului Unit (38).
(36)-Secţiunea 45A, astfel cum a fost introdusă prin secţiunea 79 din Legea în materie de (utilizare şi acces la) date. În Regatul Unit, secretul profesional al avocatului este un drept juridic fundamental, care protejează comunicările confidenţiale specifice dintre un client şi consilierul său juridic împotriva divulgării fără consimţământul clientului. Aceasta include două categorii principale: privilegiul consultanţei juridice, care protejează schimburile efectuate în scopul obţinerii sau furnizării de consultanţă juridică, şi privilegiul în materie de litigii, aplicabil comunicărilor efectuate în contextul pregătirii procedurilor judiciare sau pe parcursul acestora.
(37)Autorităţile competente în temeiul părţii 3 s-au bazat anterior pe alte derogări disponibile în temeiul secţiunii 44 alineatul (4) (Dreptul de a fi informat) şi al secţiunii 45 alineatul (4) (Dreptul de acces) din DPA din 2018.
(38)-Punctul 19 din anexa 2 la DPA din 2018.
(32)În ceea ce priveşte garanţiile, atunci când se bazează pe această derogare, operatorii trebuie să informeze în scris şi fără întârzieri nejustificate persoana vizată cu privire la faptul că derogarea a fost aplicată, să explice motivele acestei aplicări şi să îi aducă la cunoştinţă faptul că are dreptul de a solicita o reexaminare de către Comisia pentru Informaţii sau de a introduce căi de atac (39). Pentru a asigura responsabilitatea, secţiunea 45A alineatul (4) din DPA din 2018 impune operatorilor să ţină o evidenţă a motivului deciziei lor de a aplica derogarea şi să pună, la cerere, această evidenţă la dispoziţia Comisiei pentru Informaţii (40).
(39)-Secţiunea 45A alineatul (2) din DPA din 2018, astfel cum a fost introdus prin secţiunea 79 din Legea în materie de (utilizare şi acces la) date. Se aplică o excepţie de la această cerinţă de notificare în cazul în care furnizarea unei astfel de notificări ar submina natura privilegiată sau confidenţială a informaţiilor. În astfel de cazuri, operatorul nu are obligaţia de a dezvălui faptul că s-a recurs la derogarea respectivă sau să ofere explicaţii suplimentare.
(40)-Secţiunea 45A din DPA din 2018, astfel cum a fost introdusă prin secţiunea 79 din Legea în materie de (utilizare şi acces la) date.
(33)În fine, Legea în materie de (utilizare şi acces la) date a modificat şi a consolidat derogările existente prevăzute în partea 3 din DPA din 2018 aflate la dispoziţia autorităţilor competente în scopuri legate de securitate naţională. Derogarea în materie de securitate naţională permite autorităţilor competente să nu aplice anumite dispoziţii din partea 3 din DPA din 2018 dacă derogarea de la dispoziţiile respective este necesară în scopul protejării securităţii naţionale (41). Aceasta reflectă derogările în materie de securitate naţională prevăzute pentru prelucrarea datelor cu caracter personal în temeiul RGPD al Regatului Unit (prevăzute în secţiunea 26 din DPA din 2018) şi în partea 4 din DPA din 2018 (prevăzute în secţiunea 110 din DPA din 2018).
(41)-Secţiunea 78A alineatul (1) din DPA din 2018, astfel cum a fost introdus prin secţiunea 88 din Legea în materie de (utilizare şi acces la) date. În temeiul secţiunii 78A alineatele (2)-(4) din DPA din 2018, derogarea permite neaplicarea principiilor de protecţie a datelor (cu excepţia principiului legalităţii şi a condiţiilor şi garanţiilor pentru prelucrarea datelor sensibile), a drepturilor individuale, a obligaţiilor operatorilor de date şi ale persoanelor împuternicite de operatori în ceea ce priveşte încălcările securităţii datelor, a anumitor părţi ale normelor privind transferurile internaţionale de date şi a unora dintre competenţele de deplasare la faţa locului ale Comisarului pentru Informaţii în scopul de a efectua inspecţii şi de a lua măsuri de asigurare a respectării legii.
(34)Derogarea în materie de securitate naţională face obiectul aceloraşi limitări şi garanţii ca derogările prevăzute în temeiul RGPD al Regatului Unit şi în partea 4 din DPA din 2018, astfel cum sunt analizate în considerentele 64-67 şi 126 din Decizia de punere în aplicare (UE) 2021/1772. În special, derogarea poate fi aplicată numai în măsura în care şi dacă este necesară pentru a proteja securitatea naţională. Aceasta nu este o derogare generală şi trebuie să fie luată în considerare şi invocată de operator de la caz la caz (42). În plus, orice aplicare a derogării trebuie să fie în conformitate cu standardele privind drepturile omului (bazate pe Legea privind drepturile omului din 1998 şi pe Convenţia europeană a drepturilor omului), conform cărora orice ingerinţă în viaţa privată ar trebui să fie necesară şi proporţională într-o societate democratică (43). Acest lucru este confirmat, de asemenea, în orientările ICO privind aplicarea derogărilor în materie de securitate naţională (44).
(42)A se vedea Baker/Secretary of State for the Home Department [2001] UKIT NSA2 ("Baker/Secretary of State").
(43)A se vedea, de asemenea, Guriev/Community Safety Development (United Kingdom) Ltd [2016] EWHC 643 (QB), punctul 45; Lin/Commissioner of the Police for the Metropolis [2015] EWHC 2484 (QB), punctul 80.
(44)A se vedea orientările ICO privind derogarea în materie de securitate naţională şi apărare, disponibile la următoarea adresă: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/national-security-and-defence.
(35)Nivelul de protecţie oferit datelor cu caracter personal transferate din Uniunea Europeană către autorităţile de aplicare a legii din Regatul Unit continuă să nu fie compromis de transferul ulterior al acestor date către destinatari dintr-o ţară terţă. Regimul privind transferurile internaţionale de date cu caracter personal din Regatul Unit rămâne foarte apropiat de normele prevăzute în capitolul V din Directiva (UE) 2016/680, potrivit evaluării prezentate în considerentele 74-87 din Decizia de punere în aplicare (UE) 2021/1773.
(36)Deşi Legea în materie de (utilizare şi acces la) date a modificat partea 3 capitolul 5 din DPA din 2018 privind transferurile de date cu caracter personal către autorităţile competente din ţări terţe, aceasta menţine cerinţa de bază conform căreia (a) transferul trebuie să fie necesar în scopul asigurării respectării legii; (b) transferul trebuie (i) să se bazeze pe regulamentele de aprobare a transferului (care înlocuiesc regulamentele anterioare privind caracterul adecvat al nivelului de protecţie), (ii) să facă obiectul unor garanţii adecvate sau (iii) să se bazeze pe circumstanţe speciale şi (c) destinatarul transferului trebuie să fie: (i) o autoritate relevantă (şi anume echivalentul unei autorităţi competente) din ţara terţă; (ii) o organizaţie internaţională relevantă; (iii) un operator care prelucrează date în numele unei autorităţi competente sau (iv) o altă persoană decât o autoritate relevantă, dar numai în cazul în care transferul este strict necesar pentru îndeplinirea unuia dintre scopurile de asigurare a respectării legii (45). Aceste principii generale pentru transferurile de date se reflectă în secţiunea 73 din DPA din 2018, care precizează, de asemenea, că transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională sunt permise numai dacă transferul se efectuează în conformitate cu celelalte dispoziţii ale părţii 3 din DPA din 2018 (46).
(45)-Secţiunea 73 din DPA din 2018, astfel cum a fost modificată prin punctul 3 subpunctele 4 şi 5 din anexa 8 la Legea în materie de (utilizare şi acces la) date.
(46)-Secţiunea 73 din DPA din 2018, astfel cum a fost modificată prin punctul 3 subpunctul 3 din anexa 8 la Legea în materie de (utilizare şi acces la) date.
(37)În ceea ce priveşte în mod specific regulamentele de aprobare a unui transfer, secţiunea 74AA alineatul (2) din DPA din 2018 precizează că secretarul de stat poate adopta astfel de regulamente numai în cazul în care consideră că este îndeplinit criteriul privind protecţia datelor. Aceasta înseamnă că posibilitatea [introdusă în secţiunea 74AA alineatul (3) din DPA din 2018] ca secretarul de stat să ţină seama de oportunitatea facilitării fluxurilor de date atunci când elaborează astfel de regulamente este întotdeauna condiţionată de îndeplinirea criteriului privind protecţia datelor. Noua secţiune 74AB (47) din DPA din 2018 formulează standardul juridic pentru îndeplinirea criteriului privind protecţia datelor, impunând obligaţia ca standardul de protecţie pentru persoanele vizate din ţările destinatare sau din organizaţiile internaţionale să nu fie cu mult inferior standardului prevăzut pentru persoanele vizate în temeiul legislaţiei relevante a Regatului Unit privind protecţia datelor. Secţiunea 74AB alineatul (2) din DPA din 2018 prevede şi o listă neexhaustivă de elemente care trebuie luate în considerare atunci când se evaluează dacă acest criteriu este îndeplinit, cum ar fi respectarea statului de drept şi a drepturilor omului, existenţa şi competenţele unei autorităţi pentru protecţia datelor, modalităţile de exercitare a căilor de atac judiciare sau extrajudiciare, normele privind transferul de date cu caracter personal din ţară sau de către organizaţie către alte ţări sau organizaţii internaţionale, obligaţiile internaţionale relevante ale ţării sau ale organizaţiei, precum şi structura, tradiţiile şi cultura ţării sau ale organizaţiei. Deşi reformulează lista elementelor relevante, astfel cum au fost prevăzute în fosta secţiune 74A din DPA din 2018, noua dispoziţie păstrează elementele esenţiale ale listei respective şi, prin urmare, rămâne aproape de ceea ce se prevede la articolul 36 din Directiva (UE) 2016/680. În plus, autorităţile Regatului Unit au confirmat că secretarul de stat va lua în considerare elemente care nu sunt enumerate în secţiunea 74AB alineatul (2), cum ar fi legislaţia şi practicile dintr-o ţară terţă referitoare la modul în care autorităţile publice accesează datele cu caracter personal în scopuri precum securitatea naţională sau asigurarea respectării legii, în măsura în care acestea afectează standardul general de protecţie. De asemenea, autorităţile Regatului Unit consideră că jurisprudenţa relevantă din ţara terţă va fi o componentă esenţială a examinării aspectelor enumerate neexhaustiv în secţiunea 74AB alineatul (2) din DPA din 2018.
(47)Astfel cum a fost introdusă prin punctul 4 subpunctul 2 din anexa 8 la Legea în materie de (utilizare şi acces la) date.
(38)Regulamentele de aprobare a unui transfer continuă să facă obiectul cerinţelor procedurale "generale" prevăzute în secţiunea 182 din DPA din 2018, astfel cum se precizează în considerentul 77 din Decizia de punere în aplicare (UE) 2021/1773. În cadrul acestei proceduri, secretarul de stat trebuie să consulte Comisarul pentru Informaţii atunci când propune adoptarea unor regulamente ale Regatului Unit privind caracterul adecvat al nivelului de protecţie (48). Odată adoptate de secretarul de stat, aceste regulamente sunt prezentate Parlamentului şi fac obiectul procedurii de "rezoluţie negativă", în cadrul căreia ambele camere ale Parlamentului pot examina regulamentele şi pot adopta o propunere de anulare a regulamentelor în termen de 40 de zile (49).
(48)A se vedea Memorandumul de înţelegere dintre secretarul de stat al Ministerului pentru Digitalizare, Cultură, Mass-Media şi Sport şi Biroul Comisarului pentru Informaţii privind rolul ICO în legătură cu noua evaluare privind caracterul adecvat al nivelului de protecţie din Regatul Unit, disponibil la următoarea adresă: https://www.gov.uk/government/publications/memorandum-of-understanding-mou-on-the-role-of-the-ico-in-relation-to-new-uk-adequacy-assessments.
(49)În cazul în care se adoptă un astfel de vot, regulamentele vor înceta, în cele din urmă, să mai producă efecte juridice.
(39)În ceea ce priveşte garanţiile adecvate, secţiunea 75 din DPA din 2018, astfel cum a fost modificată prin punctul 6 din anexa 8 la Legea în materie de (utilizare şi acces la) date, prevede că astfel de transferuri pot avea loc numai dacă: (a) un instrument juridic adecvat este obligatoriu pentru destinatarul preconizat al datelor, şi anume un instrument care îndeplineşte condiţiile prevăzute la punctul 4 nou introdus, în special faptul că fiecare autoritate competentă din Regatul Unit care este parte la instrument, acţionând în mod rezonabil şi proporţional, consideră că este îndeplinit criteriul privind protecţia datelor sau (b) operatorul, acţionând în mod rezonabil şi proporţional, consideră că este îndeplinit criteriul privind protecţia datelor în ceea ce priveşte transferul sau tipul respectiv de transfer. Alineatul (5) nou introdus al secţiunii 75 din DPA din 2018 clarifică faptul că este îndeplinit criteriul privind protecţia datelor în cazul în care, datorită garanţiilor necesare, standardul de protecţie prevăzut pentru persoanele vizate nu este cu mult inferior după transfer comparativ cu standardul prevăzut de legislaţia relevantă a Regatului Unit privind protecţia datelor. Acest lucru este similar cu măsurile prevăzute la articolul 37 din Directiva (UE) 2016/680. Prin urmare, în UE şi în Regatul Unit se aplică aceleaşi standarde juridice în ceea ce priveşte aprobarea unui transfer sub rezerva unor garanţii adecvate. În conformitate cu alineatul (6) nou introdus al secţiunii 75 din DPA din 2018, ceea ce este rezonabil şi proporţional trebuie stabilit în funcţie de toate circumstanţele sau circumstanţele probabile ale transferului sau ale tipului de transfer, inclusiv în funcţie de natura şi volumul datelor cu caracter personal transferate.
(40)În ceea ce priveşte transferurile bazate pe circumstanţe speciale în temeiul secţiunii 76 din DPA din 2018, sunt introduse mai multe modificări tehnice care conţin clarificări privind condiţiile în care pot avea loc astfel de transferuri, dar care nu afectează nivelul de protecţie a datelor cu caracter personal în Regatul Unit (50).
(50)-Punctul 7 din anexa 8 la Legea în materie de (utilizare şi acces la) date.
(41)În ceea ce priveşte punerea în aplicare a normelor Regatului Unit privind transferurile internaţionale, au existat mai multe evoluţii de la adoptarea Deciziei de punere în aplicare (UE) 2021/1773.
(42)În primul rând, în urma încheierii, în 2022, a unui memorandum de înţelegere între Ministerul de Interne şi ICO, care a definit rolurile acestora în ceea ce priveşte efectuarea de evaluări ale adecvării în materie de asigurare a respectării legii (51), Regatul Unit a efectuat evaluări ale cadrelor privind protecţia datelor în teritoriile Jersey şi Guernsey, precum şi în Insula Man. Prin urmare, Regatul Unit a adoptat regulamente privind caracterul adecvat al nivelului de protecţie pentru Guernsey în iulie 2023 (52), pentru Jersey în noiembrie 2023 (53) şi pentru Insula Man în ianuarie 2025 (54). Aceste regulamente confirmă faptul că fiecare jurisdicţie asigură un nivel adecvat de protecţie a datelor cu caracter personal transferate în temeiul părţii 3 din DPA din 2018. Deşi aceste regulamente au fost adoptate iniţial în temeiul cadrului juridic anterior, evaluarea care stă la baza lor rămâne valabilă în temeiul cadrului actualizat. Prin urmare, regulamentele continuă să faciliteze cooperarea internaţională în domeniul aplicării legii.
(51)Disponibil la următoarea adresă: https://ico.org.uk/media2/about-the-ico/mou/4025752/ico-ho-mou.pdf.
(52)Disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2023/1221/contents/made.
(53)Disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2023/744/made.
(54)Disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2025/89/contents/made.
(43)Comisia a evaluat, de asemenea, cadrele de protecţie a datelor pentru prelucrarea datelor cu caracter personal în contextul asigurării respectării dreptului penal, precum şi normele privind accesul autorităţilor publice la datele cu caracter personal în scopuri de securitate naţională în teritoriile Jersey şi Guernsey şi în Insula Man atunci când a analizat funcţionarea deciziilor privind caracterul adecvat al nivelului de protecţie adoptate în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE în conformitate cu articolul 97 din Regulamentul (UE) 2016/679. Pe baza, printre altele, a acestei evaluări, Comisia a concluzionat că toate cele trei jurisdicţii continuă să furnizeze un nivel adecvat de date cu caracter personal transferate din UE (55).
(55)Raport al Comisiei către Parlamentul European şi Consiliu privind prima revizuire a funcţionării deciziilor privind caracterul adecvat al nivelului de protecţie care au fost adoptate în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE din 15 ianuarie 2024, disponibil la următoarea adresă: https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=CELEX:52024DC0007 şi rapoartele de ţară având ca obiect funcţionarea deciziilor privind caracterul adecvat al nivelului de protecţie adoptate în temeiul Directivei 95/46/CE care însoţesc Raportul Comisiei către Parlamentul European şi Consiliu privind prima revizuire a funcţionării deciziilor privind caracterul adecvat al nivelului de protecţie adoptate în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE, disponibile la următoarea adresă:
(44)În al doilea rând, în 2022, Regatul Unit şi Statele Unite ale Americii au încheiat Acordul privind protecţia datelor şi a vieţii private dintre Regatul Unit şi SUA (56), care aplică mutatis mutandis condiţiile Acordului-cadru UE-SUA (57), asigurând o protecţie echivalentă în contextul schimburilor de date dintre Regatul Unit şi Statele Unite în scopul asigurării respectării legii.
(56)Disponibil la următoarea adresă: https://www.gov.uk/government/publications/ukusa-exchange-of-notes-on-the-protection-of-personal-information-relating-to-prevention-investigation-detection-and-prosecution-of-criminal-offe.
(57)Acordul dintre Statele Unite ale Americii şi Uniunea Europeană privind protecţia informaţiilor cu caracter personal în ceea ce priveşte prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor (JO L 336, 10.12.2016, p. 3), disponibil la următoarea adresă: https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:22016A1210(01)&from=RO.
(45)În al treilea rând, în 2023 şi 2025, ICO şi-a actualizat orientările privind transferurile internaţionale în temeiul părţii 3 capitolul 5 din DPA din 2018 (58). Actualizarea din 2023 a clarificat sensul cerinţei de "a fi strict necesare" pentru transferurile de date către alţi destinatari decât autorităţile relevante de aplicare a legii, oferind astfel o mai mare certitudine operatorilor de date care evaluează legalitatea unor astfel de transferuri. În 2025, lista ţărilor şi teritoriilor adecvate a fost actualizată în urma regulamentelor Regatului Unit privind caracterul adecvat al nivelului de protecţie pentru Insula Man.
(58)Disponibile la următoarea adresă: https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-processing/international-transfers/.
(46)Deşi a păstrat mai multe elemente ale normelor privind procesul decizional automatizat evaluat în considerentele 72 şi 73 din Decizia de punere în aplicare (UE) 2021/1773, Legea în materie de (utilizare şi acces la) date a modificat unele aspecte ale acestor norme.
(47)În primul rând, secţiunea 50B nou introdusă din DPA din 2018 stabileşte o interdicţie generală împotriva deciziilor semnificative bazate integral sau parţial pe prelucrarea unor categorii speciale de date cu caracter personal. Totuşi, acesta prezintă două excepţii de la această interdicţie: persoana vizată şi-a dat consimţământul explicit pentru o astfel de prelucrare sau decizia este impusă sau autorizată prin lege (59).
(59)-Secţiunea 50B din DPA din 2018, astfel cum a fost introdusă prin secţiunea 80 alineatul (3) din Legea în materie de (utilizare şi acces la) date.
(48)În al doilea rând, secţiunea 50C nou introdusă din DPA din 2018 impune operatorilor să pună în aplicare garanţii pentru orice decizie importantă bazată integral sau parţial pe date cu caracter personal care a fost luată exclusiv prin prelucrare automată. Aceste garanţii trebuie să includă oferirea de informaţii cu privire la procesul decizional persoanei vizate, permiţându-i să conteste decizia sau să îşi prezinte observaţiile şi asigurând faptul că aceasta poate solicita intervenţia umană în procesul decizional (60). Deşi secţiunea 50C alineatul (4) din DPA din 2018 creează o derogare de la aplicarea acestor garanţii în cazul în care o astfel de derogare este necesară pentru a evita obstrucţionarea unei anchete, investigaţii sau proceduri oficiale sau judiciare, pentru a evita prejudicierea prevenirii, a depistării, a investigării sau a urmăririi penale a infracţiunilor sau a executării pedepselor, pentru a proteja securitatea publică sau pentru a proteja securitatea naţională sau drepturile şi libertăţile altor persoane, aplicarea acestor garanţii este suspendată doar temporar, având în vedere că operatorul are obligaţia de a reexamina decizia cât mai curând posibil în mod rezonabil şi că există o implicare umană semnificativă în reexaminarea deciziei (61).
(60)-Secţiunea 50C din DPA din 2018, astfel cum a fost introdusă prin secţiunea 80 alineatul (3) din Legea în materie de (utilizare şi acces la) date.
(61)-Secţiunea 50C alineatele (3) şi (4) din DPA din 2018, astfel cum au fost introduse prin secţiunea 80 alineatul (3) din Legea în materie de (utilizare şi acces la) date.
(49)În plus, noua secţiune 50A din DPA din 2018 clarifică definiţia unei decizii care se bazează "exclusiv pe prelucrarea automată", prevăzând că o astfel de decizie este una în care nu există o implicare umană semnificativă în procesul decizional. Un aspect important îl reprezintă faptul că operatorii trebuie să evalueze măsura în care crearea de profiluri contribuie la o decizie prin care se stabileşte dacă implicarea umană a fost semnificativă. Secţiunea 50A din DPA din 2018 clarifică, de asemenea, faptul că o "decizie semnificativă" este una care produce efecte juridice negative sau efecte negative la fel de semnificative asupra unei persoane vizate (62). Această limitare la deciziile care au un efect negativ asupra persoanei vizate reflectă faptul că, spre deosebire de prelucrarea în temeiul RGPD al Regatului Unit, este puţin probabil ca autorităţile competente să ia decizii pe care persoanele vizate le consideră pozitive.
(62)-Secţiunea 50A din DPA din 2018, astfel cum a fost introdusă prin secţiunea 80 alineatul (3) din Legea în materie de (utilizare şi acces la) date.
(50)În fine, secţiunea 50D nou introdusă din DPA din 2018 acordă secretarului de stat autoritatea de a elabora legislaţie secundară pentru a descrie ce constituie şi ce nu constituie o implicare umană semnificativă, ce decizii trebuie sau nu trebuie considerate ca având un efect negativ la fel de semnificativ asupra persoanelor vizate. De asemenea, această secţiune permite secretarului de stat să elaboreze legislaţie secundară pentru (i) a adăuga noi garanţii; (ii) a impune cerinţe care să completeze garanţiile existente şi pentru (iii) a defini măsuri care nu îndeplinesc garanţiile (63). Este important de remarcat faptul că, înainte de a adopta regulamente în conformitate cu secţiunea 50D din DPA din 2018, secretarul de stat trebuie să consulte ICO (64), iar regulamentele fac obiectul procedurii rezoluţiei afirmative (65), ceea ce înseamnă că trebuie să fie aprobate de ambele camere ale Parlamentului Regatului Unit înainte de a putea fi adoptate.
(63)-Articolul 50D din DPA din 2018, astfel cum a fost introdus prin secţiunea 80 alineatul (3) din Legea în materie de (utilizare şi acces la) date. Toate regulamentele adoptate în temeiul acestor competenţe fac obiectul procedurii de rezoluţie afirmativă, asigurând controlul parlamentar. Regulamentele nu pot modifica cerinţele prevăzute în secţiunea 50C.
(64)-Secţiunea 182 alineatul (2) din DPA din 2018.
(65)-Secţiunea 50D alineatul (5) din DPA din 2018.
(51)Deşi Legea în materie de (utilizare şi acces la) date a modificat astfel cadrul pentru procesul decizional automatizat, este important de remarcat faptul că, în temeiul cadrului juridic al Regatului Unit, procesul decizional automatizat continuă să facă obiectul garanţiilor esenţiale care impun dreptul de a obţine o intervenţie umană în toate cazurile de procese decizionale automatizate, şi anume pe baza prelucrării datelor cu caracter personal sensibile şi nesensibile (66).
(66)-Secţiunea 50C alineatul (2) litera (c) din DPA din 2018.
(52)Cadrul juridic al Regatului Unit continuă să respecte principiul responsabilităţii consacrat în Directiva (UE) 2016/680, care impune autorităţilor publice să pună în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura şi a demonstra respectarea obligaţiilor în materie de protecţie a datelor, potrivit evaluării prezentate în considerentele 88-92 din Decizia de punere în aplicare (UE) 2021/1773.
(53)Una dintre măsurile incluse în DPA din 2018 pentru a asigura responsabilitatea şi pentru a permite operatorilor şi persoanelor împuternicite de operatori să demonstreze conformitatea este cerinţa ca autorităţile competente să ţină evidenţe ale activităţilor lor de prelucrare, inclusiv cu privire la colectarea, modificarea, consultarea, divulgarea, combinarea şi ştergerea datelor cu caracter personal (67). Legea în materie de (utilizare şi acces la) date modifică obligaţiile specifice ale operatorilor în temeiul dispoziţiei respective doar prin eliminarea, în secţiunea 62 din DPA din 2018, a cerinţei ca operatorii să înregistreze o justificare atunci când se consultă sau se divulgă date cu caracter personal (68). Este important de remarcat faptul că cerinţa ca operatorii să înregistreze activităţile de prelucrare ca atare rămâne în vigoare, ceea ce înseamnă că principalul mecanism de asigurare a responsabilităţii este menţinut.
(67)-Secţiunea 62 din DPA din 2018. A se vedea, de asemenea, considerentul 90 din Decizia de punere în aplicare (UE) 2021/1773.
(68)-Secţiunea 82 din Legea în materie de (utilizare şi acces la) date.
(54)În Regatul Unit, supravegherea şi asigurarea respectării cadrului de protecţie a datelor continuă să fie efectuate de o autoritate independentă de supraveghere a protecţiei datelor, astfel cum se analizează în considerentele 93-99 din Decizia de punere în aplicare (UE) 2021/1773. Legea în materie de (utilizare şi acces la) date reformează structura de guvernanţă a acestei autorităţi prin înfiinţarea unui organism corporativ, Comisia pentru Informaţii, care va înlocui ICO, care a fost structurat ca o întreprindere individuală.
(55)Mai precis, măsurile de guvernanţă prevăzute în Legea privind (utilizarea şi accesul la) date, odată puse în aplicare, vor elimina Biroul Comisarului pentru Informaţii şi vor transfera funcţiile, personalul şi bunurile de la ICO la noul organism, Comisia pentru Informaţii. Comisia pentru Informaţii este formată din membri executivi şi neexecutivi (69). Legea prevede, de asemenea, transferarea, de la Comisarul pentru Informaţii, a rolului de preşedinte al Comisiei pentru Informaţii, care este unul dintre membrii neexecutivi (70). Legea în materie de (utilizare şi acces la) date prevede, de asemenea, că, în măsura în care acest lucru este adecvat ca urmare a transferului de funcţii, trimiterile la Comisarul pentru Informaţii din toate actele legislative sau din alte documente (ori de câte ori sunt adoptate sau emise) trebuie tratate ca trimiteri la Comisia pentru Informaţii. Pentru a-şi îndeplini funcţiile, Comisia poate institui comitete şi poate delega funcţii unui membru, unui angajat sau unui comitet al Comisiei (71) şi poate lua măsuri pentru reglementarea procedurii sale şi a procedurii comitetelor, inclusiv în ceea ce priveşte cvorumul şi luarea deciziilor cu majoritate de voturi. Aceste proceduri trebuie făcute publice (72).
(69)-Punctul 3 subpunctul 1 din anexa 12A la DPA din 2018.
(70)-Secţiunile 117, 118, 119 şi 120, împreună cu anexa 14 la Legea în materie de (utilizare şi acces la) date.
(71)-Punctele 13 şi 14 din anexa 12A la DPA din 2018.
(72)-Punctul 16 din anexa 12A la DPA din 2018.
(56)Un aspect important îl reprezintă faptul că independenţa Comisiei pentru Informaţii face obiectul aceloraşi garanţii, inclusiv în ceea ce priveşte normele privind numirea şi revocarea preşedintelui, precum cele evaluate în considerentele 95-98 din Decizia de punere în aplicare (UE) 2021/1773 (73). Măsuri de protecţie similare se aplică şi în cazul celorlalţi membri neexecutivi ai Comisiei pentru Informaţii. În special, preşedintele Comisiei pentru Informaţii este numit de Maiestatea Sa la recomandarea secretarului de stat. Preşedintele Comisiei pentru Informaţii este selectat pe baza meritelor şi în urma unei competiţii deschise şi echitabile (74). Ceilalţi membri neexecutivi sunt numiţi de secretarul de stat în urma consultărilor cu preşedintele. Candidaţii pot fi recomandaţi pentru numire sau pot fi numiţi numai dacă sunt selectaţi pe baza meritelor, în urma unui concurs echitabil şi deschis şi dacă secretarul de stat s-a asigurat că aceştia nu se află într-o situaţie de conflict de interese (75). Membrii executivi sunt angajaţi ai Comisiei pentru Informaţii, fiind încadraţi în muncă în conformitate cu termenele şi condiţiile stabilite de membrii neexecutivi (76). Directorul este numit de preşedinte şi de alţi membri neexecutivi, în urma consultărilor cu secretarul de stat. Numirile în funcţii de conducere fac, de asemenea, obiectul unei selecţii pe bază de merit, în urma unui concurs echitabil şi deschis (77).
(73)-Articolul 52 din RGPD al Regatului Unit, precum şi anexa 12A la DPA din 2018, astfel cum au fost introduse prin secţiunea 117 din Legea în materie de (utilizare şi acces la) date.
(74)-Punctul 5 subpunctul 1 din anexa 12A la DPA din 2018.
(75)-Punctul 3 subpunctul 2 şi punctele 5 şi 6 din anexa 12A la DPA din 2018.
(76)-Punctul 11 din anexa 12A la DPA din 2018.
(77)-Punctul 5 subpunctul 2 din anexa 12A la DPA din 2018.
(57)Preşedintele poate fi revocat din funcţie de Maiestatea Sa numai în urma unei cereri oficiale din partea ambelor camere ale Parlamentului şi numai dacă secretarul de stat a prezentat camerei respective un raport în care declară că secretarul de stat este convins că preşedintele se face vinovat de o abatere gravă, se află într-o situaţie de conflict de interese, nu a respectat cerinţele specifice de informare cu privire la potenţialele conflicte de interese sau nu este în măsură, nu este apt sau nu doreşte să exercite funcţiile care îi revin preşedintelui (78). Membrii neexecutivi pot fi revocaţi din funcţie de către secretarul de stat numai dacă acesta este convins că sunt îndeplinite condiţiile specifice prevăzute în legislaţie. Printre acestea se numără conflictele de interese, abaterile grave sau incapacitatea, refuzul sau inaptitudinea de a-şi îndeplini sarcinile. În ceea ce priveşte garanţiile suplimentare, secretarul de stat are obligaţia de a face publică decizia de revocare şi de a oferi membrului o motivare pentru revocare (79).
(78)-Punctul 7 subpunctele 6 şi 7 din anexa 12A la DPA din 2018.
(79)-Punctul 9 subpunctele 6, 7, 8 şi 9 din anexa 12A la DPA din 2018.
(58)Legea în materie de (utilizare şi acces la) date nu modifică responsabilităţile principale ale Comisiei pentru Informaţii, care va continua să îndeplinească funcţiile prevăzute în anexa 13 la DPA din 2018. Printre acestea se numără monitorizarea şi asigurarea respectării părţii 3 a DPA din 2018, acordarea de consiliere Parlamentului şi guvernului, sensibilizarea publicului, sprijinirea operatorilor de date şi a persoanelor împuternicite de operatori în îndeplinirea obligaţiilor care le revin şi informarea persoanelor fizice cu privire la drepturile lor (80). Legea în materie de (utilizare şi acces la) date clarifică faptul că, în exercitarea obligaţiei de a asigura un nivel adecvat de protecţie a datelor cu caracter personal, Comisia pentru Informaţii va trebui să ţină seama de interesele persoanelor vizate, ale operatorilor şi ale altor persoane, să ia în considerare interesul public mai larg şi să încurajeze încrederea publicului în prelucrarea datelor cu caracter personal (81).
(80)-Anexa 13 la DPA din 2018.
(81)-Secţiunea 91 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 120A în DPA din 2018.
(59)În plus, potrivit Legii în materie de (utilizare şi acces la) date, Comisia pentru Informaţii trebuie să ia în considerare, în măsura în care acest lucru este relevant în circumstanţele date, promovarea inovării şi a concurenţei, importanţa prevenirii, a investigării, a depistării şi a urmăririi penale a infracţiunilor, necesitatea de a proteja siguranţa publică şi securitatea naţională, precum şi nevoile specifice legate de protecţia copiilor, atunci când îşi exercită funcţia în temeiul legislaţiei privind protecţia datelor (82). Legislaţia UE privind protecţia datelor recunoaşte, de asemenea, necesitatea de a asigura un echilibru între protecţia datelor personale şi alte drepturi fundamentale şi obiective, precum securitatea şi justiţia (83).
(82)-Secţiunea 91 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 120B în DPA din 2018.
(83)-A se vedea, în special, considerentul 2 din Directiva (UE) 2016/680.
SECŢIUNEA 2:2.3.2. Asigurarea respectării normelor, inclusiv impunerea de sancţiuni, şi căile de atac
(60)Competenţele şi atribuţiile Comisiei pentru Informaţii continuă să corespundă celor ale autorităţilor de supraveghere a protecţiei datelor din statele membre în temeiul articolelor relevante din Directiva (UE) 2016/680 (84), potrivit evaluării prezentate în considerentele 100-109 din Decizia de punere în aplicare (UE) 2021/1773.
(84)-Punctul 2 din anexa 13 la DPA din 2018.
(61)Legea în materie de (utilizare şi acces la) date a introdus anumite clarificări cu privire la exercitarea unora dintre aceste competenţe.
(62)- Secţiunea 97 din Legea în materie de (utilizare şi acces la) date modifică secţiunea 142 din DPA din 2018 pentru a permite în mod expres Comisiei pentru Informaţii să solicite nu numai informaţii, ci şi documente specifice, îmbunătăţind capacitatea acesteia de a investiga şi de a verifica asigurarea conformităţii.
(63)- Secţiunea 98 din Legea în materie de (utilizare şi acces la) date consolidează competenţele Comisiei pentru Informaţii în temeiul secţiunii 146 din DPA din 2018, permiţând Comisiei pentru Informaţii să solicite unui operator de date sau unei persoane împuternicite de operator să mandateze elaborarea unui raport independent cu privire la o anumită chestiune. Raportul trebuie să fie întocmit de o "persoană agreată", Comisia pentru Informaţii având autoritatea finală de a aproba persoana desemnată sau de a desemna o persoană în acest scop, în cazul în care nu a fost propus un candidat adecvat sau operatorul de date nu acţionează în acest sens (85). Anunţul de evaluare poate specifica formatul, conţinutul şi termenul raportului (86). Toate costurile aferente, inclusiv onorariile persoanei agreate, trebuie să fie acoperite de operator sau de persoana împuternicită de operator (87).
(85)-Secţiunea 98 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 146A în DPA din 2018.
(86)-Secţiunea 98 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 146 alineatul (3A) în DPA din 2018.
(87)-Secţiunea 98 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 146 alineatul (11A) în DPA din 2018.
(64)- Secţiunea 100 din Legea în materie de (utilizare şi acces la) date stabileşte avizele de prezentare la audiere ca un nou instrument de asigurare a respectării normelor în temeiul secţiunii 148A din DPA din 2018. Comisia pentru Informaţii poate cere unei persoane să se prezinte la audieri, asigurându-i garanţii, cum ar fi protecţia împotriva autoincriminării şi privilegiul juridic (88).
(88)-Secţiunea 98 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 146 alineatul (8B) în DPA din 2018.
(65)- Secţiunea 101 din Legea în materie de (utilizare şi acces la) date modifică anexa 16 la DPA din 2018 pentru a oferi Comisiei pentru Informaţii o mai mare flexibilitate în ceea ce priveşte emiterea notificărilor de sancţionare. Deşi termenul actual de şase luni pentru emiterea unei notificări finale de sancţionare în urma unei notificări de intenţie rămâne regula generală, secţiunea permite Comisiei pentru Informaţii să emită o notificare de sancţionare după acest termen, atunci când termenul nu poate fi respectat într-un mod rezonabil. În astfel de cazuri, notificarea trebuie emisă cât mai curând posibil din punct de vedere practic. În plus, în cazul în care Comisia pentru Informaţii decide să nu emită o notificare de sancţionare, aceasta trebuie să informeze în scris persoana în cauză în termen de şase luni sau cât mai curând posibil din punct de vedere practic după acest termen. Secţiunea introduce, de asemenea, o nouă cerinţă pentru Comisia pentru Informaţii de a publica orientări cu privire la împrejurările în care poate fi nevoie de un termen mai mare de şase luni pentru a emite o notificare de sancţionare.
(66)-Secţiunea 102 din Legea în materie de (utilizare şi acces la) date a introdus noi obligaţii de raportare pentru Comisia pentru Informaţii. Aceasta modifică secţiunea 139 şi introduce o nouă secţiune 161A în DPA din 2018, solicitând Comisiei pentru Informaţii să publice un raport anual privind măsurile de reglementare. Raportul trebuie să prezinte în detaliu modul în care au fost exercitate competenţele de investigare şi de asigurare a respectării normelor în temeiul RGPD al Regatului Unit şi al părţilor 3 şi 4 din DPA din 2018. De asemenea, raportul trebuie să prezinte numărul de notificări de sancţionare emise după expirarea intervalului de şase luni în urma unei notificări de intenţie şi să ofere justificări pentru întârzierile în cauză. În plus, raportul trebuie să explice modul în care Comisia pentru Informaţii a urmat propriile orientări atunci când a luat decizii de reglementare.
(67)- Secţiunea 103 din Legea în materie de (utilizare şi acces la) date consolidează procedura de depunere a plângerilor aflată la dispoziţia persoanelor vizate. Aceasta introduce noi secţiuni - 164A şi 164B - în DPA din 2018. Secţiunea 164A prevede că persoanele vizate au dreptul de a depune plângeri direct la operatorii de date în cazul în care consideră că le-au fost încălcate drepturile de care beneficiază în temeiul RGPD al Regatului Unit sau al părţii 3 din DPA din 2018. Operatorii trebuie să faciliteze acest proces, să confirme primirea plângerilor în termen de 30 de zile şi să răspundă fără întârzieri nejustificate. De asemenea, aceştia trebuie să informeze reclamanţii cu privire la progresele înregistrate şi la rezultate. Secţiunea 164B conferă secretarului de stat competenţa de a adopta regulamente care să impună operatorilor să raporteze numărul de plângeri primite.
(68)- Secţiunea 104 din Legea în materie de (utilizare şi acces la) date a introdus o nouă secţiune 180A în DPA din 2018, pentru a clarifica competenţele instanţei în cadrul procedurilor privind cererile de acces ale persoanelor vizate. În temeiul acestei dispoziţii, instanţele pot solicita operatorilor de date să le transmită, spre examinare, informaţiile contestate, atunci când decid dacă o persoană vizată are dreptul la acestea. Cu toate acestea, informaţiile nu pot fi divulgate persoanei vizate decât dacă instanţa stabileşte că aceasta are drept de acces la acestea. Această secţiune clarifică faptul că instanţele pot examina materialele contestate fără a le divulga prematur reclamantului, restabilind o garanţie care exista anterior în temeiul Legii privind protecţia datelor din 1998.
(69)În ceea ce priveşte punerea în aplicare a acestor competenţe, de la adoptarea Deciziei de punere în aplicare (UE) 2021/1773, Comisarul pentru Informaţii a tratat numeroase plângeri (89), a efectuat mai multe investigaţii şi a luat măsuri de asigurare a respectării normelor în ceea ce priveşte prelucrarea datelor de către autorităţile de aplicare a legii. În perioada 2021-2025, Comisarul pentru Informaţii a desfăşurat anchete şi a emis mustrări adresate diverselor organe de poliţie pentru diferite încălcări ale obligaţiilor care le revin în materie de protecţie a datelor, de exemplu atunci când răspund la cererile de acces la date, atunci când pun în aplicare măsuri de securitate pentru datele de supraveghere video, atunci când gestionează caziere judiciare sensibile, atunci când fuzionează datele unor persoane diferite sau atunci când divulgă date cu caracter personal unor părţi terţe (90). De asemenea, Comisarul pentru Informaţii a emis şi a actualizat orientări, avize şi documente de orientare, de exemplu cu privire la dreptul de acces sau la modul de gestionare a cererilor vădit nefondate sau excesive în temeiul părţii 3 din DPA din 2018 (91) sau a actualizat orientările existente, cum ar fi Ghidul privind prelucrarea în scopul asigurării respectării legii (92).
(89)De exemplu, în perioada 2023-2024, Comisia pentru Informaţii a primit 1 890 de plângeri în temeiul RGPD şi/sau al DPA din 2018 cu privire la organizaţii din subsectoarele "autoritate poliţienească", "forţe de poliţie" şi "comisari de poliţie". A se vedea, de asemenea, Raportul anual şi situaţiile financiare pe 2023/2024 ale Comisarului pentru Informaţii, disponibile la următoarea adresă: https://ico.org.uk/media2/migrated/4030348/annual-report-2023-24.pdf.
(90)Informaţii suplimentare sunt disponibile la următoarea adresă: https://ico.org.uk/action-weve-taken/enforcement/?ensector=criminal-justice.
(91)Disponibile la următoarele adrese: https://ico.org.uk/for-organisations/law-enforcement/the-right-of-access-part-3-of-the-dpa-2018/ şi https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-processing/individual-rights/manifestly-unfounded-and-excessive-requests/.
(92)Disponibile la următoarea adresă: https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-processing/.