Secţiunea 0 - La momentul adoptării Deciziei de punere în aplicare (UE) 2021/1772 , cadrul juridic privind protecţia datelor cu caracter personal din Regatul Unit consta în: - Decizia 2574/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1772 a Comisiei în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit al Marii Britanii şi Irlandei de Nord

Acte UE

Jurnalul Oficial seria L

În vigoare

Versiune de la: 23 Decembrie 2025

SECŢIUNEA 0:

(9)La momentul adoptării Deciziei de punere în aplicare (UE) 2021/1772, cadrul juridic privind protecţia datelor cu caracter personal din Regatul Unit consta în:

(¹²)Legea din 2018 privind Uniunea Europeană (retragere), disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2018/16/contents, a încorporat legislaţia Uniunii care era direct aplicabilă în Regatul Unit la încheierea perioadei de tranziţie în legislaţia Regatului Unit. Acest aşa-numit "drept menţinut al Uniunii" include Regulamentul (UE) 2016/679 în întregime, inclusiv considerentele sale [a se vedea Notele explicative la Legea din 2018 privind Uniunea Europeană (retragere), punctul 83, disponibile la următoarea adresă: https://www.legislation.gov.uk/ukpga/2018/16/pdfs/ukpgaen_20180016_en.pdf]. În conformitate cu legea respectivă, dreptul UE menţinut nemodificat trebuia interpretat de instanţele din Regatul Unit în conformitate cu jurisprudenţa relevantă a Curţii de Justiţie a Uniunii Europene şi cu principiile generale ale dreptului Uniunii, întrucât acestea produceau efecte imediat înainte de încheierea perioadei de tranziţie (denumite "jurisprudenţa menţinută a Uniunii" şi, respectiv, "principiile generale menţinute ale dreptului UE").

(¹³)Regulamentele din 2019 privind protecţia datelor, a vieţii private şi comunicaţiile electronice (modificări etc.) (ieşirea din UE), disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2019/419/contents/made, astfel cum au fost modificate prin Regulamentele DPPEC din 2020, disponibile la următoarea adresă: https://www.legislation.gov.uk/ukdsi/2020/9780348213522. Regulamentele DPPEC modifică Regulamentul (UE) 2016/679, astfel cum a fost introdus în legislaţia Regatului Unit prin Legea din 2018 privind Uniunea Europeană (retragere), prin DPA din 2018 şi prin alte acte legislative privind protecţia datelor pentru a îl adapta contextului naţional.

(¹⁴)Legea privind protecţia datelor din 2018, disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2018/12/contents. Înainte de retragerea Regatului Unit din Uniunea Europeană şi pe parcursul perioadei de tranziţie, DPA din 2018 a prevăzut norme de drept intern, în cazul în care Regulamentul (UE) 2016/679 permitea acest lucru, care specificau şi restricţionau aplicarea normelor din Regulamentul (UE) 2016/679, şi a transpus Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului(JO L 119, 4.5.2016, p. 89, ELI: http://data.europa.eu/eli/dir/2016/680/oj).

(11)În primul rând, Legea din 2023 privind dreptul UE menţinut în dreptul intern (revocare şi reformare) [Legea REUL (Retained EU Law)] (¹⁵) a clarificat faptul că principiile generale ale dreptului Uniunii nu mai făceau parte din dreptul intern al Regatului Unit după sfârşitul anului 2023 (¹⁶). În plus, instanţele din Regatul Unit nu mai trebuie să interpreteze "dreptul asimilat" nemodificat, denumit anterior "dreptul UE menţinut în dreptul intern", în conformitate cu principiile generale ale dreptului UE, însă acest drept asimilat trebuie să fie interpretat într-un mod care este compatibil cu dreptul intern al Regatului Unit (¹⁷). Cu toate acestea, dreptul asimilat nemodificat trebuie să fie interpretat în continuare de instanţele competente din Regatul Unit în conformitate cu jurisprudenţa relevantă a Curţii de Justiţie a Uniunii Europene emisă înainte de încheierea perioadei de tranziţie (¹⁸), astfel cum se menţionează şi în considerentul 13 din Decizia de punere în aplicare (UE) 2021/1772. DPA din 2018 a fost modificată prin Legea în materie de (utilizare şi acces la) date pentru a clarifica efectul Legii REUL asupra legislaţiei Regatului Unit privind protecţia datelor. De exemplu, secţiunea 183A alineatul (1) din DPA din 2018 prevede, ca regulă generală, că orice nouă legislaţie (adoptată la 20 august 2025 sau după această dată) care introduce noi obligaţii sau competenţe de prelucrare a datelor cu caracter personal se presupune că face obiectul legislaţiei Regatului Unit privind protecţia datelor. În consecinţă, cadrul de protecţie a datelor din Regatul Unit continuă să prevaleze asupra altor acte legislative. În temeiul secţiunii 183A alineatul (2) litera (b) din DPA din 2018, această prezumţie poate fi înlăturată în cazul în care Parlamentul Regatului Unit decide în mod deliberat să prevadă acest lucru în mod expres în legislaţie, menţinând suveranitatea parlamentară. În plus, secţiunea 186(2A) din DPA din 2018 clarifică faptul că restricţiile privind drepturile persoanelor vizate enumerate în secţiunea 186 alineatul (3) din DPA din 2018 nu sunt înlocuite de secţiunea 186 alineatul (1) din DPA din 2018, care prevede că dispoziţiile care interzic sau restricţionează divulgarea de informaţii nu prevalează asupra anumitor drepturi în materie de protecţie a datelor. Acest lucru asigură faptul că, de exemplu, restricţiile privind drepturile persoanelor vizate prevăzute în DPA din 2018 nu intră, ele însele, sub incidenţa derogării generale în materie de protecţie a datelor, prevăzută în secţiunea 186 alineatul (1) din DPA din 2018.

(12)În al doilea rând, de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, legislaţia Regatului Unit privind protecţia datelor a fost modificată prin Regulamentele din 2023 de modificare privind protecţia datelor (drepturi şi libertăţi fundamentale) (¹⁹). Aceste regulamente definesc trimiterile la drepturile sau libertăţile fundamentale din RGPD al Regatului Unit şi din DPA din 2018 [care au fost definite anterior pentru a acoperi drepturile fundamentale şi libertăţile fundamentale ale UE (²⁰)] ca trimiteri la drepturile prevăzute în Convenţia europeană a drepturilor omului, puse în aplicare în dreptul intern al Regatului Unit în temeiul Legii privind drepturile omului din 1998 (²¹). Legea privind drepturile omului din 1998 încorporează în legislaţia Regatului Unit drepturile cuprinse în Convenţia europeană a drepturilor omului. Legea privind drepturile omului acordă oricărei persoane drepturile şi libertăţile fundamentale prevăzute la articolele 2-12 şi la articolul 14 din Convenţia europeană a drepturilor omului, la articolele 1, 2 şi 3 din Protocolul nr. 1 şi la articolul 1 din Protocolul nr. 13, coroborate cu articolele 16, 17 şi 18 din convenţia menţionată. Aceasta include dreptul la respectarea vieţii private şi de familie (şi dreptul la protecţia datelor ca parte a acestui drept), precum şi dreptul la un proces echitabil (²²).

(13)În fine, RGPD al Regatului Unit şi DPA din 2018 au făcut obiectul unor reforme specifice prevăzute în părţile a cincea şi a şasea din Legea în materie de (utilizare şi acces la) date. Deşi domeniul de aplicare al Legii în materie de (utilizare şi acces la) date depăşeşte cu mult protecţia datelor cu caracter personal, aceasta prevede modificări limitate ale mai multor aspecte legate de regimul de protecţie a datelor, cum ar fi, printre altele, normele privind prelucrarea datelor în scopul cercetării ştiinţifice, temeiurile juridice pentru prelucrarea datelor, normele referitoare la principiul limitării scopului şi condiţiile pentru procesul decizional automatizat. În plus, Legea în materie de (utilizare şi acces la) date aduce modificări structurii de guvernanţă a ICO. Odată puse în aplicare, aceste măsuri vor înlocui ICO cu o nouă entitate, Comisia pentru Informaţii. Rolul şi funcţiile autorităţii de reglementare în calitate de autoritate independentă de supraveghere a protecţiei datelor în Regatul Unit vor rămâne neschimbate. Legea introduce, de asemenea, noi competenţe de asigurare a respectării legii pentru autoritatea de reglementare.

(14)Prezenta decizie evaluează evoluţiile legislative, de reglementare şi de altă natură care sunt relevante pentru concluzia privind nivelul de protecţie garantat de Regatul Unit, formulată în Decizia de punere în aplicare (UE) 2021/1772. Evaluarea efectuată în Decizia de punere în aplicare (UE) 2021/1772 rămâne valabilă pentru acele aspecte aferente cadrului de protecţie a datelor din Regatul Unit care nu au fost modificate sau afectate de alte evoluţii de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772.

(15)Evoluţiile relevante legislative, de reglementare şi de altă natură sunt analizate în detaliu în secţiunile următoare, pe baza standardului caracterului adecvat, conform căruia Comisia trebuie să stabilească dacă ţara terţă în cauză garantează un nivel de protecţie "echivalent în esenţă" cu cel garantat în cadrul Uniunii Europene (²³). Conform clarificărilor aduse de Curtea de Justiţie a Uniunii Europene, aceasta nu impune constatarea unui nivel identic de protecţie (²⁴). În special, mijloacele la care ţara terţă în cauză recurge pentru protecţia datelor cu caracter personal pot fi diferite de cele puse în aplicare în Uniunea Europeană, cu condiţia ca acestea să se dovedească în practică efective în scopul de a asigura un nivel adecvat de protecţie (²⁵). Prin urmare, standardul caracterului adecvat nu necesită o reproducere punct cu punct a normelor Uniunii. Mai degrabă, testul constă în a stabili dacă, prin fondul drepturilor în materie de protecţie a datelor şi punerea în aplicare efectivă, supravegherea şi exercitarea acestora, sistemul juridic străin în cauză, în ansamblul său, asigură nivelul de protecţie necesar (²⁶).