Capitolul 2 - 2.2. Garanţii, drepturi şi obligaţii - Decizia 2574/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1772 a Comisiei în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit al Marii Britanii şi Irlandei de Nord
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 23 Decembrie 2025
CAPITOLUL 2:2.2. Garanţii, drepturi şi obligaţii
(21)Cadrul de protecţie a datelor din Regatul Unit prevede în continuare că datele trebuie să fie prelucrate în mod legal, echitabil şi legitim, conform evaluării de la considerentele 24-26 din Decizia de punere în aplicare (UE) 2021/1772.
(22)Principiile legalităţii şi echităţii, precum şi temeiurile prelucrării legale continuă să fie garantate în legislaţia Regatului Unit prin articolul 5 alineatul (1) litera (a) şi prin articolul 6 alineatul (1) din RGPD al Regatului Unit, astfel cum au fost evaluate în Decizia de punere în aplicare (UE) 2021/1772. Deşi dispoziţiile în cauză rămân în mare măsură identice (28) cu dispoziţiile relevante din Regulamentul (UE) 2016/679, Legea în materie de (utilizare şi acces la) date modifică mai întâi articolul 6 alineatul (1) din RGPD al Regatului Unit prin introducerea unui temei legal suplimentar pentru prelucrarea datelor cu caracter personal în conformitate cu articolul 6 alineatul (1) litera (ea) (29). În conformitate cu această dispoziţie, prelucrarea este legală dacă şi în măsura în care "este necesară în scopul unui interes legitim recunoscut". Spre deosebire de temeiul juridic al interesului legitim prevăzut la articolul 6 alineatul (1) litera (f) din RGPD al Regatului Unit, noul temei juridic al interesului legitim recunoscut nu impune o analiză de la caz la caz a echilibrului dintre interesele legitime ale operatorului şi interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, scopul fiind să se asigure o mai mare securitate juridică pentru operatorii din cadrul organismelor care nu sunt publice. Articolul 6 alineatul (5) nou introdus din RGPD al Regatului Unit precizează că prelucrarea este necesară în scopul unui interes legitim recunoscut numai dacă îndeplineşte o condiţie prevăzută în anexa 1 (30), care enumeră situaţiile în care prelucrarea este considerată necesară în scopul unui interes legitim recunoscut, de exemplu, în cazul în care are loc ca răspuns la o cerere primită de o autoritate publică ce are nevoie de date în scopul îndeplinirii unei sarcini de interes public, cu un temei juridic care respectă articolul 6 alineatul (3) din RGPD al Regatului Unit, în cazul în care prelucrarea este necesară pentru a proteja securitatea naţională şi siguranţa publică sau în scopuri de apărare, pentru a răspunde unei situaţii de urgenţă, pentru a detecta, a investiga sau a preveni infracţiuni sau pentru a proteja persoanele vulnerabile (31).
(28)Din dorinţa de clarificare, Legea în materie de (utilizare şi acces la) date introduce, de asemenea, la articolul 6 din RGPD al Regatului Unit, un nou alineat care oferă exemple de tipuri de prelucrare care pot fi considerate necesare în scopul interesului legitim în sensul articolului 6 alineatul (1) litera (f) din RGPD al Regatului Unit. Aceste exemple (marketingul direct, transmiterea datelor în interiorul grupului în scopuri administrative şi securitatea reţelelor şi a sistemelor informatice) sunt, de asemenea, menţionate în considerentele 47 şi 48 din Regulamentul (UE) 2016/679 ca situaţii în care prelucrarea ar fi considerată în interesul legitim al operatorului.
(29)-Secţiunea 70 alineatul (2) litera (b) din Legea în materie de (utilizare şi acces la) date. Secţiunea 70 alineatul (5) din Legea în materie de (utilizare şi acces la) date a extins dreptul de opoziţie prevăzut la articolul 21 din RGPD al Regatului Unit la noul articol 6 alineatul (1) litera (ea) din RGPD al Regatului Unit.
(30)-Secţiunea 70 alineatul (4) din Legea în materie de (utilizare şi acces la) date.
(31)A se vedea anexa 4 la Legea în materie de (utilizare şi acces la) date. Potrivit autorităţilor Regatului Unit, printre exemplele de situaţii în care organismele care nu sunt publice ar putea fi nevoite să prelucreze date cu caracter personal pentru a preveni sau a detecta infracţiuni se numără o societate care ia cunoştinţă de încercări de piratare ilegală a sistemele sale informatice sau o bancă sau o instituţie financiară care ia cunoştinţă de încercări frauduloase de deschidere a unui cont la acestea. Prelucrarea datelor cu caracter personal de către un organism care nu este public poate fi necesară, de exemplu, pentru a proteja securitatea sau apărarea naţională în cazul în care o organizaţie comercială suspectează că activitatea online a unui client a indicat implicarea în activităţi teroriste. ICO lucrează la elaborarea unor orientări specifice în această privinţă, inclusiv la definirea conceptelor relevante. De exemplu, acestea se referă la faptul că "securitatea naţională" este susceptibilă să acopere securitatea şi bunăstarea Regatului Unit în ansamblu, a populaţiei sale, a instituţiilor sale şi a sistemului său de guvernare. A se vedea proiectul de orientări ale ICO privind interesul legitim recunoscut, astfel cum a fost publicat pentru consultare publică, disponibil la următoarea adresă: https://ico.org.uk/for-organisations/recognised-legitimate-interest-guidance/.
(23)Deşi Legea în materie de (utilizare şi acces la) date extinde astfel lista temeiurilor juridice pentru prelucrarea datelor cu caracter personal de care dispune operatorul, noul temei juridic al interesului legitim recunoscut face obiectul mai multor limitări importante. În primul rând, interesele legitime recunoscute se limitează la situaţii specifice care sunt enumerate în mod exhaustiv în lege. În al doilea rând, acest temei juridic nu poate fi invocat de autorităţile publice în îndeplinirea atribuţiilor lor (32). În al treilea rând, acesta se referă numai la domeniile în care există un interes public clar pentru activitatea de prelucrare (în conformitate cu condiţiile prevăzute în anexa 1), şi anume în cazul în care prelucrarea serveşte obiectivelor enumerate la articolul 23 din RGPD al Regatului Unit [care corespunde articolului 23 din Regulamentul (UE) 2016/679] şi, prin urmare, nu poate fi invocat în scopuri comerciale. În al patrulea rând, deşi Legea în materie de (utilizare şi acces la) date acordă secretarului de stat dreptul de a modifica lista din anexa 1 prin intermediul unui regulament (33), secretarul de stat poate prezenta un astfel de regulament numai după consultarea ICO (34) şi poate adăuga pe lista respectivă un interes legitim recunoscut numai în cazul în care prelucrarea respectivă este din nou necesară pentru a proteja un obiectiv de interes public enumerat la articolul 23 alineatul (1) literele (c)-(j) din RGPD al Regatului Unit (35). În cele din urmă, astfel cum s-a confirmat şi în orientările ICO (36), operatorii de date care se bazează pe un interes legitim recunoscut ca temei juridic trebuie să respecte toate celelalte cerinţe prevăzute în RGPD al Regatului Unit, inclusiv să se asigure că prelucrarea este necesară şi proporţională pentru realizarea interesului legitim.
(32)-Articolul 6 alineatul (1) ultimul paragraf, astfel cum a fost modificat prin secţiunea 70 alineatul (2) litera (c) din Legea în materie de (utilizare şi acces la) date.
(33)Înainte de a prezenta regulamente, secretarul de stat trebuie să ţină seama de efectele oricăror modificări asupra intereselor şi drepturilor şi libertăţilor fundamentale ale persoanelor vizate, precum şi de faptul că, în ceea ce priveşte copiii (dacă este cazul), este necesară o protecţie specifică a datelor cu caracter personal. Regulamentele trebuie adoptate prin intermediul unui instrument statutar şi fac obiectul procedurii de rezoluţie afirmativă, ceea ce înseamnă că trebuie să fie aprobate în mod activ de Parlamentul Regatului Unit. Secţiunea 70 alineatul (4) al optulea paragraf din Legea în materie de (utilizare şi acces la) date.
(34)-Secţiunea 182 alineatul (2) din DPA din 2018.
(35)-Secţiunea 70 alineatul (4) al nouălea paragraf din Legea în materie de (utilizare şi acces la) date.
(36)A se vedea Orientările ICO privind interesele legitime, disponibile la următoarea adresă: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/a-guide-to-lawful-basis/legitimate-interests/?q=appropriate+policy.
(24)În al doilea rând, Legea în materie de (utilizare şi acces la) date clarifică, la articolul 6 alineatul (3), articolul 9 alineatul (2) litera (g) şi la articolul 10 alineatul (1) din RGPD al Regatului Unit, care corespund dispoziţiilor respective din Regulamentul (UE) 2016/679, că temeiul pentru prelucrarea datelor cu caracter personal, a categoriilor speciale de date cu caracter personal şi a datelor cu caracter personal referitoare la condamnări penale şi infracţiuni în conformitate cu o obligaţie legală sau pentru îndeplinirea unei sarcini de interes public se poate regăsi nu numai în dreptul intern, ci şi în dreptul internaţional relevant (37). Dreptul internaţional relevant este în continuare limitat de articolul 9A nou introdus din RGPD al Regatului Unit, coroborat cu anexa A1, la un singur acord, şi anume Acordul dintre Guvernul Regatului Unit al Marii Britanii şi Irlandei de Nord şi Guvernul Statelor Unite ale Americii privind accesul la datele electronice în scopul combaterii criminalităţii grave, semnat la 3 octombrie 2019 (Acordul dintre Regatul Unit şi SUA) (38). Garanţiile prevăzute de acordul respectiv au fost evaluate în considerentele 153-155 din Decizia de punere în aplicare (UE) 2021/1772, iar punerea lor în aplicare este analizată în considerentele 87-93 din prezenta decizie.
(37)-Secţiunea 72 din Legea în materie de (utilizare şi acces la) date.
(38)-Acordul dintre Guvernul Regatului Unit al Marii Britanii şi Irlandei de Nord şi Guvernul Statelor Unite ale Americii privind accesul la datele electronice în scopul combaterii formelor grave de criminalitate, disponibil la următoarea adresă: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/836969/CS_USA_6.2019_Agreement_between_the_United_Kingdom_and_the_USA_on_Access_to_Electronic_Data_for_the_Purpose_of_Countering_Serious_Crime.pdf.
(25)Cadrul de protecţie a datelor al Regatului Unit continuă să ofere garanţii specifice în cazul în care sunt implicate categorii speciale de date, conform evaluării de la considerentele 27-42 din Decizia de punere în aplicare (UE) 2021/1772.
(26)Atât definiţia categoriilor speciale de date cu caracter personal, cât şi normele specifice care se aplică prelucrării acestor categorii de date din RGPD al Regatului Unit şi din DPA din 2018 rămân în vigoare. În acelaşi timp, Legea în materie de (utilizare şi acces la) date îi conferă secretarului de stat noi competenţe de stabilire a unor regulamente pentru a adăuga categorii speciale de date, pentru a adapta condiţiile aplicabile utilizării acestora şi pentru a introduce noi definiţii, dacă este necesar (39). Un aspect important îl reprezintă faptul că aceasta nu îi permite secretarului de stat să elimine sau să modifice categoriile speciale existente de date sau să modifice condiţiile de prelucrare a acestor categorii (40). Prin urmare, puterea nou introdusă de stabilire a unor regulamente îi permite guvernului doar să adauge noi categorii de date sensibile şi să prevadă respectivele condiţii de prelucrare a acestor categorii, ceea ce este menit să îi permită guvernului să răspundă evoluţiilor tehnologice şi societale viitoare, în situaţiile în care acest lucru este necesar.
(39)-Secţiunea 74 din Legea în materie de (utilizare şi acces la) date. Astfel de regulamente fac obiectul procedurii de rezoluţie afirmativă, ceea ce înseamnă că ele necesită aprobarea activă a Parlamentului Regatului Unit.
(40)A se vedea noul articol 11A alineatul (1) litera (b) şi alineatul (2) din RGPD al Regatului Unit, precum şi Notele explicative la Proiectul de lege în materie de (utilizare şi acces la) date, punctul 571, disponibile la următoarea adresă: https://publications.parliament.uk/pa/bills/cbill/59-01/0179/en/240179en.pdf.
(27)Prin urmare, aceste modificări nu afectează nivelul de protecţie pentru categoriile speciale de date cu caracter personal considerat echivalent în esenţă cu protecţia din cadrul UE în Decizia de punere în aplicare (UE) 2021/1772.
(28)Regimul de protecţie a datelor cu caracter personal al Regatului Unit prevede în continuare că datele trebuie să fie prelucrate într-un scop specific şi utilizate ulterior numai în măsura în care acest lucru nu este incompatibil cu scopul iniţial al prelucrării, conform evaluării din considerentele 43-48 din Decizia de punere în aplicare (UE) 2021/1772.
(29)În primul rând, Legea în materie de (utilizare şi acces la) date aduce câteva modificări specifice principiului limitării scopului prevăzut la articolul 5 alineatul (1) litera (b) din RGPD al Regatului Unit. Aceste modificări clarifică aplicarea acestui principiu fără a implica schimbări de fond. Secţiunea 71 alineatele (1), (2) şi (3) din Legea în materie de (utilizare şi acces la) date precizează că principiul limitării scopului se aplică în cazul în care datele sunt colectate de la persoana vizată sau în alt mod, că acesta se aplică numai în cazul în care datele cu caracter personal sunt prelucrate ulterior de către acelaşi operator sau în numele acestuia (şi anume că nu se aplică în cazul în care are loc o schimbare a operatorului) şi că prelucrarea nu este legală doar prin faptul că este compatibilă cu scopurile în care au fost colectate datele cu caracter personal.
(30)În al doilea rând, Legea în materie de (utilizare şi acces la) date clarifică normele privind prelucrarea ulterioară a datelor cu caracter personal prin regruparea acestora în noul articol 8A adăugat la RGPD al Regatului Unit, care stabileşte regimul complet pentru prelucrarea ulterioară a datelor cu caracter personal. Articolul 8A alineatul (2) din RGPD al Regatului Unit enumeră elementele care trebuie luate în considerare atunci când se stabileşte dacă un scop nou de prelucrare este compatibil cu scopul iniţial. Aceste elemente au fost enumerate anterior la articolul 6 alineatul (4) din RGPD al Regatului Unit, care corespunde articolului 6 alineatul (4) din Regulamentul (UE) 2016/679 (41). Articolul 8A alineatul (3) din RGPD al Regatului Unit regrupează într-o singură dispoziţie situaţiile în care prelucrarea datelor cu caracter personal într-un scop nou trebuie tratată ca fiind compatibilă cu scopul iniţial. Aceasta acoperă situaţiile în care persoana vizată consimte la prelucrarea datelor cu caracter personal în noul scop sau în care prelucrarea este necesară pentru a proteja un obiectiv enumerat la articolul 23 alineatul (1) (42), în cazul în care prelucrarea este efectuată în scopuri de cercetare ştiinţifică sau istorică, de arhivare în interes public sau în scopuri statistice (43). În fine, Legea în materie de (utilizare şi acces la) date clarifică faptul că orice prelucrare efectuată pentru a se asigura că prelucrarea respectă principiile de protecţie a datelor prevăzute la articolul 5 alineatul (1) din RGPD al Regatului Unit sau care demonstrează că face acest lucru este considerată compatibilă cu scopul iniţial. Situaţiile menţionate mai sus continuă să corespundă cu ceea ce se consideră a fi o prelucrare ulterioară compatibilă şi în Regulamentul (UE) 2016/679.
(41)La fel ca în Regulamentul (UE) 2016/679, aceste elemente includ orice legătură între scopul iniţial şi noul scop, contextul în care au fost colectate datele cu caracter personal, inclusiv relaţia dintre persoana vizată şi operator, natura prelucrării şi eventualitatea ca aceasta să includă categorii speciale de date, posibilele consecinţe ale prelucrării preconizate pentru persoana vizată şi existenţa unor garanţii adecvate.
(42)A se vedea şi articolul 6 alineatul (4) din Regulamentul (UE) 2016/679.
(43)Considerentul 50 din Regulamentul (UE) 2016/679.
(31)În al treilea rând, Legea în materie de (utilizare şi acces la) date introduce, de asemenea, la articolul 8A alineatul (3) litera (d) din RGPD al Regatului Unit, noi situaţii suplimentare în care prelucrarea ulterioară a datelor cu caracter personal într-un scop nou este considerată compatibilă cu scopul iniţial. Aceste situaţii sunt enumerate în anexa 2 la RGPD al Regatului Unit (44) şi includ, de exemplu, cazurile în care prelucrarea are loc ca răspuns la o cerere primită de o autoritate publică ce are nevoie de date în scopul îndeplinirii unei sarcini de interes public, cu un temei juridic care respectă articolul 6 alineatul (3) din RGPD al Regatului Unit, în cazul în care prelucrarea este necesară pentru a proteja securitatea publică, pentru a răspunde unei situaţii de urgenţă, pentru a detecta, a investiga sau a preveni infracţiuni, pentru a proteja interesele vitale ale persoanei vizate şi ale altor persoane, pentru a proteja persoanele vulnerabile, în scopuri fiscale sau dacă este necesar pentru respectarea unei obligaţii legale (45).
(44)-Anexa 2 este introdusă în RGPD al Regatului Unit prin anexa 5 la Legea în materie de (utilizare şi acces la) date; a se vedea secţiunea 71 alineatul (6) din legea respectivă.
(45)A se vedea anexa 5 la Legea în materie de (utilizare şi acces la) date.
(32)Deşi Legea în materie de (utilizare şi acces la) date extinde astfel lista situaţiilor în care prelucrarea ulterioară în alt scop este considerată compatibilă cu scopul prelucrării iniţiale, această extindere face obiectul unor limitări importante. În primul rând, aceasta se limitează la situaţii specifice care sunt enumerate în mod exhaustiv în lege. În al doilea rând, aceasta se referă numai la domeniile în care există un interes public clar pentru activitatea de prelucrare, şi anume în care prelucrarea ulterioară serveşte obiectivelor enumerate la articolul 23 din RGPD al Regatului Unit [care corespunde articolului 23 din Regulamentul (UE) 2016/679]. Prin urmare, această dispoziţie nu poate fi invocată în scopuri comerciale. În al treilea rând, deşi Legea în materie de (utilizare şi acces la) date acordă secretarului de stat dreptul de a modifica lista din anexa 2 prin intermediul unui regulament (46), secretarul de stat poate adăuga pe lista respectivă tipuri de prelucrare numai în cazul în care prelucrarea respectivă este din nou necesară pentru a proteja un obiectiv de interes public enumerat la articolul 23 alineatul (1) literele (c)-(j) din RGPD al Regatului Unit (47). În al patrulea rând, în cazul în care colectarea datelor cu caracter personal de către operator se bazează pe consimţământul persoanei vizate, prelucrarea într-un scop nou în situaţiile enumerate în anexa 2 este considerată compatibilă cu scopul iniţial numai dacă nu se poate aştepta în mod rezonabil ca operatorul să obţină un nou consimţământ din partea persoanei vizate (48).
(46)-Articolul 8A alineatul (5) din RGPD al Regatului Unit, astfel cum a fost introdus prin secţiunea 71 alineatul (1) din Legea în materie de (utilizare şi acces la) date.
(47)-Articolul 8A alineatul (6) din RGPD al Regatului Unit, astfel cum a fost introdus prin secţiunea 71 alineatul (1) din Legea în materie de (utilizare şi acces la) date.
(48)-Articolul 8A alineatul (4) litera (b) din RGPD al Regatului Unit, astfel cum a fost introdus prin secţiunea 71 alineatul (1) din Legea în materie de (utilizare şi acces la) date.
(33)În temeiul cadrului pentru protecţia datelor cu caracter personal din Regatul Unit, persoanele vizate continuă să beneficieze de aceleaşi drepturi individuale precum în temeiul Regulamentului (UE) 2016/679 fără nicio modificare semnificativă (49) care să poată fi opusă operatorului sau persoanei împuternicite de operator, în special de dreptul de acces la date, de dreptul de a se opune prelucrării şi de dreptul la rectificarea şi ştergerea datelor, astfel cum se evaluează în considerentele 51-54 din Decizia de punere în aplicare (UE) 2021/1772.
(49)-Secţiunea 31 din Legea din 2024 privind victimele şi deţinuţii (Legea VAP) a introdus un temei suplimentar în dreptul la ştergerea datelor prevăzut la articolul 17 din RGPD al Regatului Unit, oferind persoanelor vizate dreptul de a solicita operatorilor de date să le şteargă datele cu caracter personal atunci când acestea au fost prelucrate ca urmare a unei afirmaţii nefondate cu privire la persoana vizată, formulată de o persoană răuvoitoare. O persoană este considerată "răuvoitoare" dacă a fost condamnată pentru o infracţiune specificată la articolul 31 alineatul (3) din Legea VAP (cum ar fi hărţuirea) sau face obiectul unui ordin de protecţie împotriva hărţuirii. Legea VAP este disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2024/21/contents. În plus, secţiunea 77 din Legea în materie de (utilizare şi acces la) date modifică dreptul la informare, astfel cum este prevăzut la articolul 13 din RGPD al Regatului Unit, astfel încât operatorul nu mai trebuie să informeze persoana vizată cu privire la prelucrarea ulterioară a datelor sale cu caracter personal în scopuri noi, în cazul în care scopurile respective sunt cercetarea ştiinţifică sau istorică, arhivarea în interes public sau un scop statistic, prelucrarea se efectuează în conformitate cu garanţiile specifice prevăzute la noul articol 84B din RGPD al Regatului Unit, iar furnizarea informaţiilor ar fi imposibilă sau disproporţionată.
(34)În primul rând, Legea în materie de (utilizare şi acces la) date clarifică anumite modalităţi prin care pot fi exercitate aceste drepturi. Pe de o parte, aceasta precizează, printr-o modificare a articolului 12 şi prin introducerea unui nou articol 12A din RGPD al Regatului Unit (50), termenele în care operatorii trebuie să răspundă cererilor persoanei vizate. Mai precis, articolul 12 din RGPD al Regatului Unit se modifică în aşa fel încât operatorul să nu mai fie obligat să furnizeze informaţii cu privire la măsurile luate (sau cu privire la motivele pentru care nu a luat nicio măsură) ca răspuns la o cerere a persoanei vizate în conformitate cu articolele 15-22 din RGPD al Regatului Unit "în termen de o lună de la primirea cererii", ci mai degrabă "înainte de expirarea perioadei de timp aplicabile". Perioada de timp aplicabilă este definită în continuare la articolul 12A nou introdus din RGPD al Regatului Unit ca fiind o perioadă de o lună începând cu momentul relevant, şi anume momentul în care operatorul primeşte cererea, momentul în care operatorul primeşte orice informaţii solicitate în legătură cu o cerere în temeiul articolului 12 alineatul (6) din RGPD al Regatului Unit sau momentul în care a fost plătită o taxă percepută în legătură cu cererea în temeiul articolului 12 alineatul (5) din RGPD al Regatului Unit, luându-se în considerare data care survine mai târziu (51). Articolul 12A alineatul (3) permite, de asemenea, operatorului să prelungească perioada de timp aplicabilă cu încă două luni, în cazul în care acest lucru este necesar din cauza complexităţii cererilor formulate de persoana vizată sau a numărului de astfel de cereri. Pe de altă parte, în ceea ce priveşte numai dreptul de acces la informaţii şi la date cu caracter personal, Legea în materie de (utilizare şi acces la) date modifică articolul 15 din RGPD al Regatului Unit pentru a include clarificarea formulată în temeiul jurisprudenţei interne existente, pe baza principiului proporţionalităţii în temeiul legislaţiei UE, potrivit căreia operatorii trebuie să efectueze numai căutări rezonabile şi proporţionale în ceea ce priveşte informaţiile şi datele cu caracter personal solicitate (52). Se preconizează că noua dispoziţie va fi interpretată în conformitate cu jurisprudenţa existentă, care prevede că "[... ] ceea ce se pune în balanţă în cadrul exerciţiului de proporţionalitate este obiectul final al căutării, şi anume beneficiul potenţial pe care furnizarea informaţiilor l-ar putea aduce persoanei vizate, în raport cu mijloacele prin care sunt obţinute informaţiile respective. Va fi necesar să se evalueze în fiecare caz în parte dacă vor fi necesare eforturi disproporţionate pentru găsirea şi furnizarea informaţiilor în raport cu beneficiile pe care acestea le-ar putea aduce persoanei vizate." (53)
(50)-Secţiunea 76 din Legea în materie de (utilizare şi acces la) date.
(51)-Articolul 12A alineatele (1) şi (2) din RGPD al Regatului Unit, astfel cum au fost introduse prin secţiunea 76 din Legea în materie de (utilizare şi acces la) date.
(52)-Articolul 15 alineatul (1A) din RGPD al Regatului Unit, astfel cum a fost introdus prin secţiunea 78 din Legea în materie de (utilizare şi acces la) date.
(53)Dawson-Damer/Taylor Wessing LLP [2017] EWCA Civ 74.
(35)Prin urmare, deşi termenele de răspuns la cererile persoanelor vizate şi obligaţiile specifice ale operatorilor de date în ceea ce priveşte dreptul de acces fac obiectul unor norme mai detaliate, sistemul Regatului Unit continuă să asigure faptul că respectivele cereri ale persoanelor vizate trebuie tratate în perioade de timp rezonabile definite pe baza unor factori obiectivi. În plus, obligaţiile de fond ale operatorului atunci când răspunde la cererile de acces sunt încadrate pe baza unor standarde juridice stabilite, care iau în considerare, de asemenea, interesele persoanei vizate. În cele din urmă, în orientările actuale ale ICO se prevede deja că un operator nu are obligaţia de a efectua căutări care ar fi nerezonabile sau disproporţionate în raport cu importanţa acordării accesului la informaţii (54).
(54)Disponibile la următoarea adresă: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/right-of-access/how-do-we-find-and-retrieve-the-relevant-information/.
(36)Restricţiile privind aceste drepturi individuale care sunt prevăzute în DPA din 2018 şi care fac obiectul articolului 23 din RGPD al Regatului Unit, precum şi limitările şi garanţiile care reglementează aplicarea acestor restricţii continuă să fie în vigoare în Regatul Unit (55), astfel cum se descrie în detaliu în considerentele 55-67 din Decizia de punere în aplicare (UE) 2021/1772.
(55)-Secţiunea 88 alineatul (2) din Legea în materie de (utilizare şi acces la) date aduce o mică modificare a secţiunii 26 alineatul (2) litera (f) din DPA din 2018 (derogarea privind apărarea şi securitatea naţională), clarificând faptul că dreptul de a depune o plângere la comisar în temeiul articolului 77 din RGPD al Regatului Unit nu face parte din dispoziţiile a căror aplicare poate fi restricţionată în scopuri de apărare sau de securitate naţională.
(37)În ceea ce priveşte în mod specific restricţionarea datelor cu caracter personal prelucrate în scopul menţinerii unui control eficace al imigraţiei sau investigarea sau detectarea activităţilor care ar submina menţinerea unui control eficace al imigraţiei, în măsura în care aplicarea dispoziţiilor respective ar putea aduce atingere oricăreia dintre aceste aspecte (derogarea în materie de imigraţie) (56), Guvernul Regatului Unit a modificat punctul 4 din anexa 2 la DPA din 2018 prin Regulamentele din 2022 referitoare la Legea privind protecţia datelor din 2018 (modificarea anexei 2 privind derogările) (57) şi Regulamentele din 2024 referitoare la Legea privind protecţia datelor din 2018 (modificarea anexei 2 privind derogările) (58), care completează Regulamentele din 2022 (59). Modificările integrează în punctele 4A şi 4B din anexa 2 la DPA din 2018 garanţiile pentru exercitarea derogării în materie de imigraţie care sunt prevăzute la articolul 23 alineatul (2) din RGPD al Regatului Unit. În special, acestea prevăd (i) că derogarea în materie de imigraţie trebuie invocată numai de la caz la caz, separat pentru fiecare dintre dispoziţiile relevante din RGPD al Regatului Unit şi de fiecare dată când secretarul de stat are în vedere neaplicarea sau restricţionarea aplicării oricăreia dintre dispoziţiile relevante din RGPD al Regatului Unit (60), (ii) că drepturile şi libertăţile persoanei vizate şi potenţialele vulnerabilităţi trebuie să fie luate în considerare atunci când se exercită derogarea în materie de imigraţie (61) şi (iii) că secretarul de stat trebuie să ţină o evidenţă a utilizării derogării în materie de imigraţie şi să informeze persoana vizată cu privire la utilizarea acesteia (cu excepţia unor circumstanţe specifice în care informaţiile respective ar aduce atingere obiectivului derogării) (62) şi clarifică (iv) faptul că utilizarea derogării în materie de imigraţie este limitată la prelucrarea datelor cu caracter personal de către secretarul de stat, adică, în practică, de către Ministerul de Interne (Home Office) pentru funcţiile sale relevante în raport cu punctul 4 subpunctul 1 din anexa 2 la DPA din 2018 (63). În plus, acestea explică, de asemenea, exerciţiul de echilibru care trebuie efectuat atunci când se stabileşte dacă exercitarea drepturilor persoanelor vizate este de natură să aducă atingere controlului eficace al imigraţiei şi dacă este necesar şi proporţional să se restricţioneze astfel de drepturi ca urmare a acestui fapt.
(56)La momentul adoptării Deciziei de punere în aplicare (UE) 2021/1772, validitatea şi interpretarea derogării în materie de imigraţie în temeiul legislaţiei Regatului Unit nu fuseseră soluţionate, în urma unei decizii a Curţii de Apel din Anglia şi Ţara Galilor din 26 mai 2021, prin care s-a constatat că derogarea în materie de imigraţie, astfel cum era prezentă în DPA din 2018 la momentul respectiv, era incompatibilă cu legislaţia Regatului Unit, întrucât nu conţinea dispoziţii specifice care să stabilească garanţiile enumerate la articolul 23 alineatul (2) din RGPD al Regatului Unit, care reflectă articolul 23 alineatul (2) din Regulamentul (UE) 2016/679. Din acest motiv, datele cu caracter personal transferate în scopul controlului imigraţiei în Regatul Unit sau care intră în alt mod în domeniul de aplicare al derogării în materie de imigraţie au fost excluse din domeniul de aplicare al Deciziei de punere în aplicare (UE) 2021/1772.
(57)Regulamentele au intrat în vigoare la 31 ianuarie 2022 şi sunt disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2022/76/contents/made.
(58)Regulamentele au intrat în vigoare la 8 martie 2024 şi sunt disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2024/342/contents/made.
(59)Derogarea în materie de imigraţie, astfel cum a fost revizuită prin Regulamentele din 2022, a fost contestată din nou prin intermediul controlului jurisdicţional, pe motiv că nu îndeplinea încă toate cerinţele prevăzute la articolul 23 alineatul (2) din RGPD al Regatului Unit. În decembrie 2023, Curtea de Apel a constatat incompatibilitatea acesteia cu cerinţele articolului 23 alineatul (2) din RGPD al Regatului Unit. Ca urmare a acestei hotărâri, Regulamentul din 2024 completează Regulamentul din 2022 şi aduce modificări suplimentare derogării în materie de imigraţie.
(60)-Punctul 4A subpunctul 2 din anexa 2 la DPA din 2018.
(61)-Punctul 4AB subpunctele 3 şi 4 din anexa 2 la DPA din 2018. Biroul Comisarului pentru Informaţii a fost consultat cu privire la proiectul de regulamente din 2024 şi a declarat public conţinutul acestora. Scrisoarea publicată ca răspuns la consultare care confirmă opinia acestuia este disponibilă la următoarea adresă: https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/02/ico-responds-to-home-office-s-draft-regulations-to-the-immigration-exemption/.
(62)-Punctul 4B subpunctele 1 şi 2 din anexa 2 la DPA din 2018.
(63)-Punctul 4 subpunctul 1 din anexa 2 la DPA din 2018.
(38)În plus, ICO din Regatul Unit a emis orientări detaliate privind utilizarea acestei restricţii specifice (64). Orientările prevăd, în special, că "derogarea în materie de imigraţie nu ar trebui aplicată ca derogare generală pentru a limita [... ] drepturile pentru toate datele pe care le deţineţi. Domeniul de aplicare al derogării se limitează la acele drepturi care, dacă ar fi exercitate pentru datele deţinute, ar aduce atingere scopurilor identificate în materie de imigraţie. [... ]. Prin urmare, poziţia implicită a operatorului ar trebui să fie aceea de a respecta, pe cât posibil, cerinţele Regulamentului (UE) 2016/679 şi ale DPA. [... ] Testul de prejudiciu are un prag ridicat, iar derogarea nu ar trebui aplicată în mod generalizat. [... ] Trebuie să analizaţi dacă aplicarea derogării este un răspuns proporţional la cererea persoanei în cauză privind protecţia datelor. Puteţi considera că există o nevoie socială presantă de a aplica derogarea în materie de imigraţie, dar trebuie să analizaţi, de asemenea, dacă acest lucru prevalează asupra obligaţiei care vă revine faţă de persoane în temeiul Regulamentului (UE) 2016/679. Acestea au drepturi asupra datelor lor cu caracter personal, pe care trebuie să le aveţi în vedere în toate circumstanţele, în special dreptul de acces. Prin urmare, este important ca, în fiecare caz, să analizaţi dacă drepturile persoanei la protecţia datelor prevalează asupra riscului de prejudiciu identificat. Aplicarea derogării trebuie să se realizeze în mod proporţional cu circumstanţele, fiecare caz trebuind analizat şi documentat cu atenţie."
(64)Disponibile la următoarea adresă: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/exemptions/immigration-exemption-a-guide/.
(39)În general, restricţia în materie de imigraţie prevăzută la punctul 4 din anexa 2 la DPA din 2018, astfel cum a fost revizuită de Guvernul Regatului Unit în 2022 şi 2024 şi astfel cum a fost interpretată de jurisprudenţă (65) şi de orientările Biroului Comisarului pentru Informaţii, face obiectul unei serii de condiţii stricte care reglementează aplicarea sa şi care sunt foarte similare cu condiţiile stabilite în dreptul Uniunii, în special la articolul 23 din Regulamentul (UE) 2016/679, pentru restricţionarea drepturilor şi obligaţiilor în materie de protecţie a datelor pentru obiective importante de interes public, cum ar fi controlul imigraţiei.
(65)Open Rights Group & Anor, R (On the Application Of)/Secretary of State for the Home Department & Anor, [2019], Înalta Curte de Justiţie 2562 (Admin), punctele 40 şi 41.
(40)Nivelul de protecţie oferit datelor cu caracter personal transferate din Uniunea Europeană către operatorii sau persoanele împuternicite de operatori din Regatul Unit continuă să nu fie subminat de transferul ulterior al acestor date către destinatari dintr-o ţară terţă. Regimul privind transferurile internaţionale de date cu caracter personal din Regatul Unit rămâne foarte apropiat de normele prevăzute în capitolul V din Regulamentul (UE) 2016/679, astfel cum au fost evaluate în considerentele 74-82 din Decizia de punere în aplicare (UE) 2021/1772.
(41)Deşi Legea în materie de (utilizare şi acces la) date a modificat capitolul 5 din RGPD al Regatului Unit privind transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale, aceasta menţine cerinţa de bază potrivit căreia datele cu caracter personal pot fi transferate numai către o ţară terţă sau o organizaţie internaţională în cazul în care transferul se bazează pe (i) regulamente de aprobare a transferului (noua terminologie pentru ceea ce era denumit anterior "regulamente privind caracterul adecvat al nivelului de protecţie"), (ii) garanţii adecvate sau (iii) o derogare pentru situaţii specifice. Aceste principii generale pentru transferurile de date se reflectă în noul articol 44A, care înlocuieşte articolul 44 din RGPD al Regatului Unit (66) şi care precizează, de asemenea, că transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională sunt permise numai dacă transferul se efectuează în conformitate cu celelalte dispoziţii ale RGPD al Regatului Unit.
(66)-Secţiunea 85 şi anexa 7 la Legea în materie de (utilizare şi acces la) date.
(42)În ceea ce priveşte în mod specific regulamentele de aprobare a unui transfer, articolul 45A alineatul (2) din RGPD al Regatului Unit precizează că secretarul de stat poate adopta astfel de regulamente numai în cazul în care consideră că este îndeplinit criteriul privind protecţia datelor. Aceasta înseamnă că posibilitatea [introdusă prin articolul 45A alineatul (3) din RGPD al Regatului Unit] ca secretarul de stat să ţină seama de oportunitatea facilitării fluxurilor de date atunci când adoptă astfel de regulamente este întotdeauna supusă condiţiei ca criteriul privind protecţia datelor să fie îndeplinit. Standardul juridic referitor la criteriul privind protecţia datelor care trebuie îndeplinit este prevăzut la noul articol 45B alineatul (1) din RGPD al Regatului Unit, care impune ca standardul de protecţie pentru persoanele vizate din ţările destinatare sau din cadrul organizaţiilor internaţionale să nu fie cu mult inferior standardului prevăzut pentru persoanele vizate în temeiul legislaţiei relevante a Regatului Unit privind protecţia datelor. Articolul 45B alineatul (2) din RGPD al Regatului Unit prevede şi o listă neexhaustivă de elemente care trebuie luate în considerare atunci când se evaluează dacă acest criteriu este îndeplinit, cum ar fi respectarea statului de drept şi a drepturilor omului, existenţa şi competenţele unei autorităţi pentru protecţia datelor, modalităţile de exercitare a căilor de atac judiciare sau extrajudiciare, normele privind transferul de date cu caracter personal din ţară sau de către organizaţie către alte ţări sau organizaţii internaţionale, obligaţiile internaţionale relevante ale ţării sau ale organizaţiei, precum şi structura, tradiţiile şi cultura ţării sau ale organizaţiei. Deşi reformulează lista elementelor relevante, astfel cum este prevăzută la fostul articol 45 din RGPD al Regatului Unit, noul articol 45B alineatul (2) păstrează elementele esenţiale ale listei respective şi, prin urmare, rămâne aproape de ceea ce se prevede în capitolul V din Regulamentul (UE) 2016/679. În plus, autorităţile Regatului Unit au confirmat că secretarul de stat va lua în considerare elemente care nu sunt enumerate la articolul 45B alineatul (2), cum ar fi legislaţia şi practicile dintr-o ţară terţă referitoare la modul în care autorităţile publice accesează datele cu caracter personal în scopuri precum securitatea naţională sau asigurarea respectării legii, în măsura în care acestea afectează standardul general de protecţie. În plus, autorităţile Regatului Unit consideră că jurisprudenţa relevantă din ţara terţă va fi o componentă esenţială atunci când se vor analiza aspectele enumerate neexhaustiv la articolul 45B alineatul (2) din RGPD al Regatului Unit.
(43)Regulamentele de aprobare a unui transfer continuă să facă obiectul cerinţelor procedurale "generale" prevăzute în secţiunea 182 din DPA din 2018, astfel cum se prevede în considerentul 77 din Decizia de punere în aplicare (UE) 2021/1772. În temeiul acestei proceduri, secretarul de stat trebuie să consulte Comisarul pentru Informaţii atunci când propune adoptarea unor regulamente ale Regatului Unit privind caracterul adecvat al nivelului de protecţie (67). Odată adoptate de secretarul de stat, aceste regulamente sunt prezentate Parlamentului şi fac obiectul procedurii de "rezoluţie negativă", în cadrul căreia ambele camere ale Parlamentului pot examina regulamentele şi pot adopta o propunere de anulare a acestora în termen de 40 de zile (68).
(67)A se vedea Memorandumul de înţelegere dintre secretarul de stat al Ministerului pentru Digitalizare, Cultură, Mass-Media şi Sport şi Biroul Comisarului pentru Informaţii privind rolul ICO în legătură cu noua evaluare privind caracterul adecvat al nivelului de protecţie din Regatul Unit, disponibil la următoarea adresă: https://www.gov.uk/government/publications/memorandum-of-understanding-mou-on-the-role-of-the-ico-in-relation-to-new-uk-adequacy-assessments.
(68)În cazul în care se adoptă un astfel de vot, regulamentele vor înceta, în cele din urmă, să mai producă efecte juridice.
(44)În ceea ce priveşte garanţiile adecvate, noul alineat (1A) de la articolul 46 din RGPD al Regatului Unit prevede că astfel de transferuri pot avea loc numai dacă sunt prevăzute garanţii relevante în instrumentele disponibile în temeiul articolului 46 alineatele (2) şi (3) (69) din RGPD al Regatului Unit, iar operatorul, persoana împuternicită de operator sau organismele publice aplicabile, acţionând în mod rezonabil şi proporţional, consideră că este îndeplinit criteriul privind protecţia datelor. Alineatele (6) şi (7) nou introduse clarifică faptul că respectivul criteriu privind protecţia datelor este îndeplinit în cazul în care, datorită garanţiilor necesare, standardul de protecţie prevăzut pentru persoanele vizate nu este cu mult inferior după transfer comparativ cu standardul prevăzut de legislaţia relevantă privind protecţia datelor din Regatul Unit, şi anume astfel cum este cazul în temeiul Regulamentului (UE) 2016/679, aceleaşi standarde juridice se aplică ambelor regulamente de aprobare a unui transfer şi garanţiilor adecvate. În conformitate cu acelaşi alineat, ceea ce este rezonabil şi proporţional trebuie stabilit în funcţie de toate circumstanţele sau circumstanţele probabile ale transferului sau ale tipului de transfer, inclusiv în funcţie de natura şi volumul datelor cu caracter personal transferate.
(69)Instrumentul de transfer disponibil în temeiul articolului 46 alineatele (2) şi (3) din RGPD al Regatului Unit sunt instrumente obligatorii din punct de vedere juridic şi executorii între autorităţi sau organisme publice, reguli corporatiste obligatorii în conformitate cu articolul 47 din RGPD al Regatului Unit, clauze standard de protecţie a datelor specificate în regulamentele adoptate de secretarul de stat sau specificate într-un document emis de Comisia pentru Informaţii, un cod de conduită aprobat şi un mecanism de certificare aprobat.
(45)În ceea ce priveşte derogările pentru situaţii specifice, la articolul 49 din RGPD al Regatului Unit privind condiţiile în care se pot aplica derogări pentru situaţii specifice, se introduc o serie de modificări de ordin tehnic, care aliniază dispoziţia la modificările aduse altor dispoziţii, dar care nu afectează nivelul de protecţie a datelor cu caracter personal în Regatul Unit. În plus, se introduce un nou alineat (4A) pentru a reproduce efectul secţiunii 18 alineatul (1) din DPA din 2018, care acordă secretarului de stat autoritatea de a preciza, prin regulamente, circumstanţele transferurilor de date considerate necesare din motive de interes public. În fine, un nou articol 49A reproduce efectul secţiunii 18 alineatul (2) din DPA din 2018, care permite secretarului de stat să impună, prin regulamente, restricţii asupra transferurilor de date în cazul în care acestea nu sunt aprobate în temeiul articolului 45A (transferuri aprobate prin regulamente) şi atunci când se consideră necesar din motive importante de interes public.
(46)În ceea ce priveşte punerea în aplicare a normelor Regatului Unit privind transferurile internaţionale, au existat mai multe evoluţii de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772.
(47)În ceea ce priveşte regulamentele de aprobare a transferurilor, până în prezent, s-au adoptat două noi regulamente, care reflectă deciziile privind caracterul adecvat al nivelului de protecţie care sunt în vigoare şi în cadrul Uniunii, şi anume pentru transferurile către Republica Coreea şi pentru transferurile către entităţi comerciale care au aderat la extinderea aplicării Cadrului UE-SUA privind confidenţialitatea datelor la Regatul Unit. Regulamentele privind caracterul adecvat al nivelului de protecţie pentru Republica Coreea (70) au intrat în vigoare la 19 decembrie 2022 şi permit transferul de date cu caracter personal din Regatul Unit către Republica Coreea. Extinderea aplicării Cadrului UE-SUA privind confidenţialitatea datelor la Regatul Unit, pentru care regulamentele relevante (71) au intrat în vigoare la 12 octombrie 2023, permite libera circulaţie a datelor cu caracter personal către organizaţii certificate din SUA.
(70)Disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2022/1213/made.
(71)Disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2023/1028/made.
(48)În ceea ce priveşte garanţiile adecvate, Regatul Unit a publicat propriile clauze contractuale standard privind protecţia datelor, Acordul internaţional privind transferul de date (International Data Transfer Agreement - IDTA) (72) şi un addendum la clauzele contractuale standard ale UE (SCC), ambele intrând în vigoare în martie 2022. IDTA oferă un mecanism specific Regatului Unit pentru asigurarea unor garanţii adecvate pentru transferul de date cu caracter personal şi prezinte diverse asemănări cu clauzele contractuale standard ale UE. Addendumul, emis de Biroul Comisarului pentru Informaţii, permite operatorilor de date şi persoanelor împuternicite de operatori din Regatul Unit să se bazeze pe clauzele contractuale standard ale UE în temeiul RGPD al Regatului Unit pentru transferurile internaţionale. Biroul Comisarului pentru Informaţii a emis, de asemenea, un instrument de evaluare a riscurilor de transfer pentru a sprijini organizaţiile din Regatul Unit în evaluarea riscurilor asociate transferurilor internaţionale.
(72)Disponibil la următoarea adresă: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/.
(49)Regatul Unit a simplificat, de asemenea, procesul de aprobare a regulilor corporatiste obligatorii (Binding Corporate Rules - BCR) prin noi orientări şi noi opţiuni de aprobare a BCR. În iulie 2022, Biroul Comisarului pentru Informaţii a publicat orientări şi tabele de referinţă pentru a explica abordarea Regatului Unit cu privire la BCR după Brexit şi, în decembrie 2023, a fost publicat un addendum la BCR ale UE pentru a se asigura că BCR aprobate în temeiul cadrului Uniunii sunt executorii în Regatul Unit (73).
(73)Biroul Comisarului pentru Informaţii a primit un număr semnificativ de cereri legate de BCR din Regatul Unit după Brexit. Multe BCR aprobate nu mai puteau fi utilizate, deoarece numai BCR în cazul cărora Biroul Comisarului pentru Informaţii a fost implicată în procesul de aprobare a BCR putea fi utilizate în continuare după Brexit, dar respectivii titulari ai BCR au fost obligaţi să prezinte Biroului Comisarului pentru Informaţii documentaţia BCR actualizată în conformitate cu RGPD al Regatului Unit.
(50)În fine, în iulie 2023, Regatul Unit a devenit membru asociat al Forumului mondial privind normele transfrontaliere în materie de protecţie a vieţii private (Forumul CBPR - Cross-Border Privacy Rules) (74). Un aspect important îl reprezintă faptul că această aderare nu implică nicio facilitare a transferurilor de date din Regatul Unit către alţi membri ai Forumului CBPR. Regatul Unit a clarificat faptul că orice transfer de date cu caracter personal din Regatul Unit către ţări terţe sau organizaţii internaţionale trebuie să îndeplinească respectivele condiţii prevăzute în legislaţia Regatului Unit, astfel cum se descrie mai sus, în special criteriul privind protecţia datelor, care impune ca standardele de protecţie acordate să nu fie "semnificativ mai scăzute" decât cele prevăzute în RGPD al Regatului Unit.
(74)Forumul CBPR este format din Statele Unite ale Americii, Canada, Japonia, Republica Coreea, Filipine, Singapore, Taiwan şi Australia, Mauritius, Centrul financiar internaţional din Dubai şi Bermuda sunt membri asociaţi, la fel ca Regatul Unit.
(51)Astfel cum Comisia a explicat deja, CBPR nu asigură un nivel suficient de protecţie pentru datele cu caracter personal care provin din UE. În special, CBPR nu prevăd drepturi individuale exercitabile (75). Prin urmare, este deosebit de important ca, chiar dacă Regatul Unit este membru asociat al Forumului mondial CBPR, CBPR să nu poată constitui un mecanism de transfer valabil în temeiul legislaţiei Regatului Unit privind protecţia datelor. Dacă circumstanţele menţionate s-ar schimba, acest lucru ar submina nivelul de protecţie garantat în prezent datelor cu caracter personal transferate din UE către Regatul Unit. Prin urmare, Comisia va continua să monitorizeze îndeaproape evoluţiile ulterioare în această privinţă.
(75)A se vedea, de exemplu, analiza comparativă efectuată de autorităţile pentru protecţia datelor din cadrul G7 cu privire la elementele de bază ale sistemului de certificare RGPD şi ale sistemului CBPR, care a evidenţiat existenţa unor "diferenţe notabile" între sisteme, inclusiv în ceea ce priveşte "forţa executorie şi căile de atac, normele privind supravegherea independentă şi accesul administraţiei publice". Disponibilă la următoarea adresă: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10063165
(52)Deşi a păstrat mai multe elemente ale normelor privind procesul decizional automatizat evaluat în considerentul 54 din Decizia de punere în aplicare (UE) 2021/1772, Legea în materie de (utilizare şi acces la) date a modificat unele aspecte ale acestor norme.
(53)În primul rând, articolul 22B nou introdus din RGPD al Regatului Unit stabileşte o interdicţie generală privind prelucrarea categoriilor speciale de date cu caracter personal [definite la articolul 9 alineatul (1) din RGPD al Regatului Unit] pentru deciziile bazate exclusiv pe prelucrarea automată care au efecte juridice sau la fel de semnificative pentru persoana vizată. Totuşi, acesta prevede trei excepţii de la interdicţia menţionată: persoana vizată şi-a dat consimţământul explicit pentru o astfel de prelucrare sau decizia este necesară pentru încheierea sau executarea unui contract între operator şi persoana vizată sau prelucrarea este impusă sau autorizată prin lege. În cazul ultimelor două excepţii, prelucrarea automată trebuie să fie necesară din motive de interes public major (76). Interdicţia generală nu se aplică deciziilor semnificative bazate pe prelucrarea automată a unor categorii nespeciale de date.
(76)-Articolul 22B din RGPD al Regatului Unit, astfel cum a fost introdus prin secţiunea 80 alineatul (1) din Legea în materie de (utilizare şi acces la) date.
(54)În plus, noul articol 22A din RGPD al Regatului Unit clarifică definiţia unei decizii care se bazează "exclusiv pe prelucrarea automată", prevăzând că o astfel de decizie este una în care nu există o implicare umană semnificativă în procesul decizional. Un aspect important îl reprezintă faptul că operatorii trebuie să evalueze măsura în care crearea de profiluri contribuie la o decizie prin care se stabileşte dacă implicarea umană a fost semnificativă. Articolul 22A din RGPD al Regatului Unit clarifică, de asemenea, faptul că o "decizie semnificativă" este una care produce efecte juridice sau are un impact la fel de semnificativ asupra unei persoane vizate (77).
(77)-Articolul 22A din RGPD al Regatului Unit, astfel cum a fost introdus prin secţiunea 80 alineatul (1) din Legea în materie de (utilizare şi acces la) date.
(55)În al doilea rând, articolul 22C nou introdus din RGPD al Regatului Unit impune operatorilor să pună în aplicare măsuri care să ofere garanţiile relevante pentru orice decizie importantă bazată integral sau parţial pe date cu caracter personal şi întemeiată exclusiv pe prelucrarea automată (inclusiv pentru categoriile nespeciale de date cu caracter personal). Aceste garanţii trebuie să includă furnizarea de informaţii persoanei vizate cu privire la procesul decizional, permiţându-i persoanei vizate să conteste decizia şi să îşi prezinte observaţiile, precum şi asigurarea faptului că persoana vizată poate obţine o intervenţie umană în procesul decizional (78).
(78)-Articolul 22C din RGPD al Regatului Unit, astfel cum a fost introdus prin secţiunea 80 alineatul (1) din Legea în materie de (utilizare şi acces la) date.
(56)În cele din urmă, articolul 22D nou introdus din RGPD al Regatului Unit acordă secretarului de stat autoritatea de a prezenta legislaţie secundară pentru a descrie ce constituie şi ce nu constituie o implicare umană semnificativă şi ce decizii trebuie sau nu trebuie considerate ca având un impact la fel de semnificativ asupra persoanelor vizate. De asemenea, articolul permite secretarului de stat să prezinte legislaţie secundară pentru: (i) a adăuga noi garanţii; (ii) a impune cerinţe care să completeze garanţiile existente şi (iii) a defini măsuri care nu îndeplinesc garanţiile (79). Este important de remarcat faptul că, înainte de a adopta regulamente în conformitate cu articolul 22D din RGPD al Regatului Unit, secretarul de stat trebuie să consulte ICO (80), iar regulamentele nu pot modifica articolul 22C din RGPD al Regatului Unit (81) şi sunt supuse procedurii rezoluţiei afirmative (82), ceea ce înseamnă că acestea trebuie să fie aprobate de ambele camere ale Parlamentului Regatului Unit înainte de a putea fi adoptate.
(79)-Articolul 22D din RGPD al Regatului Unit, astfel cum a fost introdus prin secţiunea 80 alineatul (1) din Legea în materie de (utilizare şi acces la) date. Toate regulamentele adoptate în temeiul acestor competenţe fac obiectul procedurii de rezoluţie afirmativă, asigurând controlul parlamentar. Regulamentele nu pot modifica cerinţele prevăzute la articolul 22C.
(80)-Secţiunea 182 alineatul (2) din DPA din 2018.
(81)-Articolul 22D alineatul (4) din RGPD al Regatului Unit.
(82)-Articolul 22D alineatul (5) din RGPD al Regatului Unit.
(57)Deşi Legea în materie de (utilizare şi acces la) date a modificat, prin urmare, cadrul pentru procesul decizional automatizat, este important de remarcat faptul că, în temeiul cadrului juridic al Regatului Unit, procesul decizional automatizat continuă să facă obiectul garanţiilor esenţiale care impun dreptul de a obţine intervenţie umană în toate cazurile de decizii semnificative bazate exclusiv pe prelucrarea automată, şi anume pe baza prelucrării datelor cu caracter personal sensibile şi nesensibile (83). În plus, astfel cum a observat Comisia în deciziile anterioare privind caracterul adecvat al nivelului de protecţie (84), este puţin probabil ca normele specifice privind procesul decizional automatizat din RGPD al Regatului Unit să afecteze nivelul de protecţie a datelor cu caracter personal transferate din Uniune către Regatul Unit. În ceea ce priveşte datele cu caracter personal care au fost colectate în Uniune, orice decizie bazată pe prelucrarea automată va fi luată de regulă de către operatorul din Uniune (care are o relaţie directă cu persoana vizată în cauză) şi, prin urmare, intră sub incidenţa normelor prevăzute de Regulamentul (UE) 2016/679.
(83)-Articolul 22C alineatul (2) din RGPD al Regatului Unit, astfel cum a fost introdus prin secţiunea 80 alineatul (1) din Legea în materie de (utilizare şi acces la) date.
(84)A se vedea, de exemplu, considerentul 94 din Decizia de punere în aplicare (UE) 2019/419 şi considerentul 81 din Decizia de punere în aplicare (UE) 2022/254 a Comisiei din 17 decembrie 2021 de constatare, în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului, a nivelului adecvat de protecţie a datelor cu caracter personal asigurat de Republica Coreea în baza Legii privind protecţia informaţiilor cu caracter personal (JO L 44, 24.2.2022, p. 1, ELI: http://data.europa.eu/eli/dec_impl/2022/254/oj).