Secţiunea 1 - 2.2.1. Legalitatea şi echitatea prelucrării - Decizia 2574/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1772 a Comisiei în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit al Marii Britanii şi Irlandei de Nord
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 23 Decembrie 2025
SECŢIUNEA 1:2.2.1. Legalitatea şi echitatea prelucrării
(21)Cadrul de protecţie a datelor din Regatul Unit prevede în continuare că datele trebuie să fie prelucrate în mod legal, echitabil şi legitim, conform evaluării de la considerentele 24-26 din Decizia de punere în aplicare (UE) 2021/1772.
(22)Principiile legalităţii şi echităţii, precum şi temeiurile prelucrării legale continuă să fie garantate în legislaţia Regatului Unit prin articolul 5 alineatul (1) litera (a) şi prin articolul 6 alineatul (1) din RGPD al Regatului Unit, astfel cum au fost evaluate în Decizia de punere în aplicare (UE) 2021/1772. Deşi dispoziţiile în cauză rămân în mare măsură identice (28) cu dispoziţiile relevante din Regulamentul (UE) 2016/679, Legea în materie de (utilizare şi acces la) date modifică mai întâi articolul 6 alineatul (1) din RGPD al Regatului Unit prin introducerea unui temei legal suplimentar pentru prelucrarea datelor cu caracter personal în conformitate cu articolul 6 alineatul (1) litera (ea) (29). În conformitate cu această dispoziţie, prelucrarea este legală dacă şi în măsura în care "este necesară în scopul unui interes legitim recunoscut". Spre deosebire de temeiul juridic al interesului legitim prevăzut la articolul 6 alineatul (1) litera (f) din RGPD al Regatului Unit, noul temei juridic al interesului legitim recunoscut nu impune o analiză de la caz la caz a echilibrului dintre interesele legitime ale operatorului şi interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, scopul fiind să se asigure o mai mare securitate juridică pentru operatorii din cadrul organismelor care nu sunt publice. Articolul 6 alineatul (5) nou introdus din RGPD al Regatului Unit precizează că prelucrarea este necesară în scopul unui interes legitim recunoscut numai dacă îndeplineşte o condiţie prevăzută în anexa 1 (30), care enumeră situaţiile în care prelucrarea este considerată necesară în scopul unui interes legitim recunoscut, de exemplu, în cazul în care are loc ca răspuns la o cerere primită de o autoritate publică ce are nevoie de date în scopul îndeplinirii unei sarcini de interes public, cu un temei juridic care respectă articolul 6 alineatul (3) din RGPD al Regatului Unit, în cazul în care prelucrarea este necesară pentru a proteja securitatea naţională şi siguranţa publică sau în scopuri de apărare, pentru a răspunde unei situaţii de urgenţă, pentru a detecta, a investiga sau a preveni infracţiuni sau pentru a proteja persoanele vulnerabile (31).
(28)Din dorinţa de clarificare, Legea în materie de (utilizare şi acces la) date introduce, de asemenea, la articolul 6 din RGPD al Regatului Unit, un nou alineat care oferă exemple de tipuri de prelucrare care pot fi considerate necesare în scopul interesului legitim în sensul articolului 6 alineatul (1) litera (f) din RGPD al Regatului Unit. Aceste exemple (marketingul direct, transmiterea datelor în interiorul grupului în scopuri administrative şi securitatea reţelelor şi a sistemelor informatice) sunt, de asemenea, menţionate în considerentele 47 şi 48 din Regulamentul (UE) 2016/679 ca situaţii în care prelucrarea ar fi considerată în interesul legitim al operatorului.
(29)-Secţiunea 70 alineatul (2) litera (b) din Legea în materie de (utilizare şi acces la) date. Secţiunea 70 alineatul (5) din Legea în materie de (utilizare şi acces la) date a extins dreptul de opoziţie prevăzut la articolul 21 din RGPD al Regatului Unit la noul articol 6 alineatul (1) litera (ea) din RGPD al Regatului Unit.
(30)-Secţiunea 70 alineatul (4) din Legea în materie de (utilizare şi acces la) date.
(31)A se vedea anexa 4 la Legea în materie de (utilizare şi acces la) date. Potrivit autorităţilor Regatului Unit, printre exemplele de situaţii în care organismele care nu sunt publice ar putea fi nevoite să prelucreze date cu caracter personal pentru a preveni sau a detecta infracţiuni se numără o societate care ia cunoştinţă de încercări de piratare ilegală a sistemele sale informatice sau o bancă sau o instituţie financiară care ia cunoştinţă de încercări frauduloase de deschidere a unui cont la acestea. Prelucrarea datelor cu caracter personal de către un organism care nu este public poate fi necesară, de exemplu, pentru a proteja securitatea sau apărarea naţională în cazul în care o organizaţie comercială suspectează că activitatea online a unui client a indicat implicarea în activităţi teroriste. ICO lucrează la elaborarea unor orientări specifice în această privinţă, inclusiv la definirea conceptelor relevante. De exemplu, acestea se referă la faptul că "securitatea naţională" este susceptibilă să acopere securitatea şi bunăstarea Regatului Unit în ansamblu, a populaţiei sale, a instituţiilor sale şi a sistemului său de guvernare. A se vedea proiectul de orientări ale ICO privind interesul legitim recunoscut, astfel cum a fost publicat pentru consultare publică, disponibil la următoarea adresă: https://ico.org.uk/for-organisations/recognised-legitimate-interest-guidance/.
(23)Deşi Legea în materie de (utilizare şi acces la) date extinde astfel lista temeiurilor juridice pentru prelucrarea datelor cu caracter personal de care dispune operatorul, noul temei juridic al interesului legitim recunoscut face obiectul mai multor limitări importante. În primul rând, interesele legitime recunoscute se limitează la situaţii specifice care sunt enumerate în mod exhaustiv în lege. În al doilea rând, acest temei juridic nu poate fi invocat de autorităţile publice în îndeplinirea atribuţiilor lor (32). În al treilea rând, acesta se referă numai la domeniile în care există un interes public clar pentru activitatea de prelucrare (în conformitate cu condiţiile prevăzute în anexa 1), şi anume în cazul în care prelucrarea serveşte obiectivelor enumerate la articolul 23 din RGPD al Regatului Unit [care corespunde articolului 23 din Regulamentul (UE) 2016/679] şi, prin urmare, nu poate fi invocat în scopuri comerciale. În al patrulea rând, deşi Legea în materie de (utilizare şi acces la) date acordă secretarului de stat dreptul de a modifica lista din anexa 1 prin intermediul unui regulament (33), secretarul de stat poate prezenta un astfel de regulament numai după consultarea ICO (34) şi poate adăuga pe lista respectivă un interes legitim recunoscut numai în cazul în care prelucrarea respectivă este din nou necesară pentru a proteja un obiectiv de interes public enumerat la articolul 23 alineatul (1) literele (c)-(j) din RGPD al Regatului Unit (35). În cele din urmă, astfel cum s-a confirmat şi în orientările ICO (36), operatorii de date care se bazează pe un interes legitim recunoscut ca temei juridic trebuie să respecte toate celelalte cerinţe prevăzute în RGPD al Regatului Unit, inclusiv să se asigure că prelucrarea este necesară şi proporţională pentru realizarea interesului legitim.
(32)-Articolul 6 alineatul (1) ultimul paragraf, astfel cum a fost modificat prin secţiunea 70 alineatul (2) litera (c) din Legea în materie de (utilizare şi acces la) date.
(33)Înainte de a prezenta regulamente, secretarul de stat trebuie să ţină seama de efectele oricăror modificări asupra intereselor şi drepturilor şi libertăţilor fundamentale ale persoanelor vizate, precum şi de faptul că, în ceea ce priveşte copiii (dacă este cazul), este necesară o protecţie specifică a datelor cu caracter personal. Regulamentele trebuie adoptate prin intermediul unui instrument statutar şi fac obiectul procedurii de rezoluţie afirmativă, ceea ce înseamnă că trebuie să fie aprobate în mod activ de Parlamentul Regatului Unit. Secţiunea 70 alineatul (4) al optulea paragraf din Legea în materie de (utilizare şi acces la) date.
(34)-Secţiunea 182 alineatul (2) din DPA din 2018.
(35)-Secţiunea 70 alineatul (4) al nouălea paragraf din Legea în materie de (utilizare şi acces la) date.
(36)A se vedea Orientările ICO privind interesele legitime, disponibile la următoarea adresă: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/a-guide-to-lawful-basis/legitimate-interests/?q=appropriate+policy.
(24)În al doilea rând, Legea în materie de (utilizare şi acces la) date clarifică, la articolul 6 alineatul (3), articolul 9 alineatul (2) litera (g) şi la articolul 10 alineatul (1) din RGPD al Regatului Unit, care corespund dispoziţiilor respective din Regulamentul (UE) 2016/679, că temeiul pentru prelucrarea datelor cu caracter personal, a categoriilor speciale de date cu caracter personal şi a datelor cu caracter personal referitoare la condamnări penale şi infracţiuni în conformitate cu o obligaţie legală sau pentru îndeplinirea unei sarcini de interes public se poate regăsi nu numai în dreptul intern, ci şi în dreptul internaţional relevant (37). Dreptul internaţional relevant este în continuare limitat de articolul 9A nou introdus din RGPD al Regatului Unit, coroborat cu anexa A1, la un singur acord, şi anume Acordul dintre Guvernul Regatului Unit al Marii Britanii şi Irlandei de Nord şi Guvernul Statelor Unite ale Americii privind accesul la datele electronice în scopul combaterii criminalităţii grave, semnat la 3 octombrie 2019 (Acordul dintre Regatul Unit şi SUA) (38). Garanţiile prevăzute de acordul respectiv au fost evaluate în considerentele 153-155 din Decizia de punere în aplicare (UE) 2021/1772, iar punerea lor în aplicare este analizată în considerentele 87-93 din prezenta decizie.
(37)-Secţiunea 72 din Legea în materie de (utilizare şi acces la) date.
(38)-Acordul dintre Guvernul Regatului Unit al Marii Britanii şi Irlandei de Nord şi Guvernul Statelor Unite ale Americii privind accesul la datele electronice în scopul combaterii formelor grave de criminalitate, disponibil la următoarea adresă: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/836969/CS_USA_6.2019_Agreement_between_the_United_Kingdom_and_the_USA_on_Access_to_Electronic_Data_for_the_Purpose_of_Countering_Serious_Crime.pdf.