Secţiunea 5 - 2.2.5. Restricţii privind transferurile ulterioare de date - Decizia 2574/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1772 a Comisiei în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit al Marii Britanii şi Irlandei de Nord
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 23 Decembrie 2025
SECŢIUNEA 5:2.2.5. Restricţii privind transferurile ulterioare de date
(40)Nivelul de protecţie oferit datelor cu caracter personal transferate din Uniunea Europeană către operatorii sau persoanele împuternicite de operatori din Regatul Unit continuă să nu fie subminat de transferul ulterior al acestor date către destinatari dintr-o ţară terţă. Regimul privind transferurile internaţionale de date cu caracter personal din Regatul Unit rămâne foarte apropiat de normele prevăzute în capitolul V din Regulamentul (UE) 2016/679, astfel cum au fost evaluate în considerentele 74-82 din Decizia de punere în aplicare (UE) 2021/1772.
(41)Deşi Legea în materie de (utilizare şi acces la) date a modificat capitolul 5 din RGPD al Regatului Unit privind transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale, aceasta menţine cerinţa de bază potrivit căreia datele cu caracter personal pot fi transferate numai către o ţară terţă sau o organizaţie internaţională în cazul în care transferul se bazează pe (i) regulamente de aprobare a transferului (noua terminologie pentru ceea ce era denumit anterior "regulamente privind caracterul adecvat al nivelului de protecţie"), (ii) garanţii adecvate sau (iii) o derogare pentru situaţii specifice. Aceste principii generale pentru transferurile de date se reflectă în noul articol 44A, care înlocuieşte articolul 44 din RGPD al Regatului Unit (66) şi care precizează, de asemenea, că transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională sunt permise numai dacă transferul se efectuează în conformitate cu celelalte dispoziţii ale RGPD al Regatului Unit.
(66)-Secţiunea 85 şi anexa 7 la Legea în materie de (utilizare şi acces la) date.
(42)În ceea ce priveşte în mod specific regulamentele de aprobare a unui transfer, articolul 45A alineatul (2) din RGPD al Regatului Unit precizează că secretarul de stat poate adopta astfel de regulamente numai în cazul în care consideră că este îndeplinit criteriul privind protecţia datelor. Aceasta înseamnă că posibilitatea [introdusă prin articolul 45A alineatul (3) din RGPD al Regatului Unit] ca secretarul de stat să ţină seama de oportunitatea facilitării fluxurilor de date atunci când adoptă astfel de regulamente este întotdeauna supusă condiţiei ca criteriul privind protecţia datelor să fie îndeplinit. Standardul juridic referitor la criteriul privind protecţia datelor care trebuie îndeplinit este prevăzut la noul articol 45B alineatul (1) din RGPD al Regatului Unit, care impune ca standardul de protecţie pentru persoanele vizate din ţările destinatare sau din cadrul organizaţiilor internaţionale să nu fie cu mult inferior standardului prevăzut pentru persoanele vizate în temeiul legislaţiei relevante a Regatului Unit privind protecţia datelor. Articolul 45B alineatul (2) din RGPD al Regatului Unit prevede şi o listă neexhaustivă de elemente care trebuie luate în considerare atunci când se evaluează dacă acest criteriu este îndeplinit, cum ar fi respectarea statului de drept şi a drepturilor omului, existenţa şi competenţele unei autorităţi pentru protecţia datelor, modalităţile de exercitare a căilor de atac judiciare sau extrajudiciare, normele privind transferul de date cu caracter personal din ţară sau de către organizaţie către alte ţări sau organizaţii internaţionale, obligaţiile internaţionale relevante ale ţării sau ale organizaţiei, precum şi structura, tradiţiile şi cultura ţării sau ale organizaţiei. Deşi reformulează lista elementelor relevante, astfel cum este prevăzută la fostul articol 45 din RGPD al Regatului Unit, noul articol 45B alineatul (2) păstrează elementele esenţiale ale listei respective şi, prin urmare, rămâne aproape de ceea ce se prevede în capitolul V din Regulamentul (UE) 2016/679. În plus, autorităţile Regatului Unit au confirmat că secretarul de stat va lua în considerare elemente care nu sunt enumerate la articolul 45B alineatul (2), cum ar fi legislaţia şi practicile dintr-o ţară terţă referitoare la modul în care autorităţile publice accesează datele cu caracter personal în scopuri precum securitatea naţională sau asigurarea respectării legii, în măsura în care acestea afectează standardul general de protecţie. În plus, autorităţile Regatului Unit consideră că jurisprudenţa relevantă din ţara terţă va fi o componentă esenţială atunci când se vor analiza aspectele enumerate neexhaustiv la articolul 45B alineatul (2) din RGPD al Regatului Unit.
(43)Regulamentele de aprobare a unui transfer continuă să facă obiectul cerinţelor procedurale "generale" prevăzute în secţiunea 182 din DPA din 2018, astfel cum se prevede în considerentul 77 din Decizia de punere în aplicare (UE) 2021/1772. În temeiul acestei proceduri, secretarul de stat trebuie să consulte Comisarul pentru Informaţii atunci când propune adoptarea unor regulamente ale Regatului Unit privind caracterul adecvat al nivelului de protecţie (67). Odată adoptate de secretarul de stat, aceste regulamente sunt prezentate Parlamentului şi fac obiectul procedurii de "rezoluţie negativă", în cadrul căreia ambele camere ale Parlamentului pot examina regulamentele şi pot adopta o propunere de anulare a acestora în termen de 40 de zile (68).
(67)A se vedea Memorandumul de înţelegere dintre secretarul de stat al Ministerului pentru Digitalizare, Cultură, Mass-Media şi Sport şi Biroul Comisarului pentru Informaţii privind rolul ICO în legătură cu noua evaluare privind caracterul adecvat al nivelului de protecţie din Regatul Unit, disponibil la următoarea adresă: https://www.gov.uk/government/publications/memorandum-of-understanding-mou-on-the-role-of-the-ico-in-relation-to-new-uk-adequacy-assessments.
(68)În cazul în care se adoptă un astfel de vot, regulamentele vor înceta, în cele din urmă, să mai producă efecte juridice.
(44)În ceea ce priveşte garanţiile adecvate, noul alineat (1A) de la articolul 46 din RGPD al Regatului Unit prevede că astfel de transferuri pot avea loc numai dacă sunt prevăzute garanţii relevante în instrumentele disponibile în temeiul articolului 46 alineatele (2) şi (3) (69) din RGPD al Regatului Unit, iar operatorul, persoana împuternicită de operator sau organismele publice aplicabile, acţionând în mod rezonabil şi proporţional, consideră că este îndeplinit criteriul privind protecţia datelor. Alineatele (6) şi (7) nou introduse clarifică faptul că respectivul criteriu privind protecţia datelor este îndeplinit în cazul în care, datorită garanţiilor necesare, standardul de protecţie prevăzut pentru persoanele vizate nu este cu mult inferior după transfer comparativ cu standardul prevăzut de legislaţia relevantă privind protecţia datelor din Regatul Unit, şi anume astfel cum este cazul în temeiul Regulamentului (UE) 2016/679, aceleaşi standarde juridice se aplică ambelor regulamente de aprobare a unui transfer şi garanţiilor adecvate. În conformitate cu acelaşi alineat, ceea ce este rezonabil şi proporţional trebuie stabilit în funcţie de toate circumstanţele sau circumstanţele probabile ale transferului sau ale tipului de transfer, inclusiv în funcţie de natura şi volumul datelor cu caracter personal transferate.
(69)Instrumentul de transfer disponibil în temeiul articolului 46 alineatele (2) şi (3) din RGPD al Regatului Unit sunt instrumente obligatorii din punct de vedere juridic şi executorii între autorităţi sau organisme publice, reguli corporatiste obligatorii în conformitate cu articolul 47 din RGPD al Regatului Unit, clauze standard de protecţie a datelor specificate în regulamentele adoptate de secretarul de stat sau specificate într-un document emis de Comisia pentru Informaţii, un cod de conduită aprobat şi un mecanism de certificare aprobat.
(45)În ceea ce priveşte derogările pentru situaţii specifice, la articolul 49 din RGPD al Regatului Unit privind condiţiile în care se pot aplica derogări pentru situaţii specifice, se introduc o serie de modificări de ordin tehnic, care aliniază dispoziţia la modificările aduse altor dispoziţii, dar care nu afectează nivelul de protecţie a datelor cu caracter personal în Regatul Unit. În plus, se introduce un nou alineat (4A) pentru a reproduce efectul secţiunii 18 alineatul (1) din DPA din 2018, care acordă secretarului de stat autoritatea de a preciza, prin regulamente, circumstanţele transferurilor de date considerate necesare din motive de interes public. În fine, un nou articol 49A reproduce efectul secţiunii 18 alineatul (2) din DPA din 2018, care permite secretarului de stat să impună, prin regulamente, restricţii asupra transferurilor de date în cazul în care acestea nu sunt aprobate în temeiul articolului 45A (transferuri aprobate prin regulamente) şi atunci când se consideră necesar din motive importante de interes public.
(46)În ceea ce priveşte punerea în aplicare a normelor Regatului Unit privind transferurile internaţionale, au existat mai multe evoluţii de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772.
(47)În ceea ce priveşte regulamentele de aprobare a transferurilor, până în prezent, s-au adoptat două noi regulamente, care reflectă deciziile privind caracterul adecvat al nivelului de protecţie care sunt în vigoare şi în cadrul Uniunii, şi anume pentru transferurile către Republica Coreea şi pentru transferurile către entităţi comerciale care au aderat la extinderea aplicării Cadrului UE-SUA privind confidenţialitatea datelor la Regatul Unit. Regulamentele privind caracterul adecvat al nivelului de protecţie pentru Republica Coreea (70) au intrat în vigoare la 19 decembrie 2022 şi permit transferul de date cu caracter personal din Regatul Unit către Republica Coreea. Extinderea aplicării Cadrului UE-SUA privind confidenţialitatea datelor la Regatul Unit, pentru care regulamentele relevante (71) au intrat în vigoare la 12 octombrie 2023, permite libera circulaţie a datelor cu caracter personal către organizaţii certificate din SUA.
(70)Disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2022/1213/made.
(71)Disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2023/1028/made.
(48)În ceea ce priveşte garanţiile adecvate, Regatul Unit a publicat propriile clauze contractuale standard privind protecţia datelor, Acordul internaţional privind transferul de date (International Data Transfer Agreement - IDTA) (72) şi un addendum la clauzele contractuale standard ale UE (SCC), ambele intrând în vigoare în martie 2022. IDTA oferă un mecanism specific Regatului Unit pentru asigurarea unor garanţii adecvate pentru transferul de date cu caracter personal şi prezinte diverse asemănări cu clauzele contractuale standard ale UE. Addendumul, emis de Biroul Comisarului pentru Informaţii, permite operatorilor de date şi persoanelor împuternicite de operatori din Regatul Unit să se bazeze pe clauzele contractuale standard ale UE în temeiul RGPD al Regatului Unit pentru transferurile internaţionale. Biroul Comisarului pentru Informaţii a emis, de asemenea, un instrument de evaluare a riscurilor de transfer pentru a sprijini organizaţiile din Regatul Unit în evaluarea riscurilor asociate transferurilor internaţionale.
(72)Disponibil la următoarea adresă: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/.
(49)Regatul Unit a simplificat, de asemenea, procesul de aprobare a regulilor corporatiste obligatorii (Binding Corporate Rules - BCR) prin noi orientări şi noi opţiuni de aprobare a BCR. În iulie 2022, Biroul Comisarului pentru Informaţii a publicat orientări şi tabele de referinţă pentru a explica abordarea Regatului Unit cu privire la BCR după Brexit şi, în decembrie 2023, a fost publicat un addendum la BCR ale UE pentru a se asigura că BCR aprobate în temeiul cadrului Uniunii sunt executorii în Regatul Unit (73).
(73)Biroul Comisarului pentru Informaţii a primit un număr semnificativ de cereri legate de BCR din Regatul Unit după Brexit. Multe BCR aprobate nu mai puteau fi utilizate, deoarece numai BCR în cazul cărora Biroul Comisarului pentru Informaţii a fost implicată în procesul de aprobare a BCR putea fi utilizate în continuare după Brexit, dar respectivii titulari ai BCR au fost obligaţi să prezinte Biroului Comisarului pentru Informaţii documentaţia BCR actualizată în conformitate cu RGPD al Regatului Unit.
(50)În fine, în iulie 2023, Regatul Unit a devenit membru asociat al Forumului mondial privind normele transfrontaliere în materie de protecţie a vieţii private (Forumul CBPR - Cross-Border Privacy Rules) (74). Un aspect important îl reprezintă faptul că această aderare nu implică nicio facilitare a transferurilor de date din Regatul Unit către alţi membri ai Forumului CBPR. Regatul Unit a clarificat faptul că orice transfer de date cu caracter personal din Regatul Unit către ţări terţe sau organizaţii internaţionale trebuie să îndeplinească respectivele condiţii prevăzute în legislaţia Regatului Unit, astfel cum se descrie mai sus, în special criteriul privind protecţia datelor, care impune ca standardele de protecţie acordate să nu fie "semnificativ mai scăzute" decât cele prevăzute în RGPD al Regatului Unit.
(74)Forumul CBPR este format din Statele Unite ale Americii, Canada, Japonia, Republica Coreea, Filipine, Singapore, Taiwan şi Australia, Mauritius, Centrul financiar internaţional din Dubai şi Bermuda sunt membri asociaţi, la fel ca Regatul Unit.
(51)Astfel cum Comisia a explicat deja, CBPR nu asigură un nivel suficient de protecţie pentru datele cu caracter personal care provin din UE. În special, CBPR nu prevăd drepturi individuale exercitabile (75). Prin urmare, este deosebit de important ca, chiar dacă Regatul Unit este membru asociat al Forumului mondial CBPR, CBPR să nu poată constitui un mecanism de transfer valabil în temeiul legislaţiei Regatului Unit privind protecţia datelor. Dacă circumstanţele menţionate s-ar schimba, acest lucru ar submina nivelul de protecţie garantat în prezent datelor cu caracter personal transferate din UE către Regatul Unit. Prin urmare, Comisia va continua să monitorizeze îndeaproape evoluţiile ulterioare în această privinţă.
(75)A se vedea, de exemplu, analiza comparativă efectuată de autorităţile pentru protecţia datelor din cadrul G7 cu privire la elementele de bază ale sistemului de certificare RGPD şi ale sistemului CBPR, care a evidenţiat existenţa unor "diferenţe notabile" între sisteme, inclusiv în ceea ce priveşte "forţa executorie şi căile de atac, normele privind supravegherea independentă şi accesul administraţiei publice". Disponibilă la următoarea adresă: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10063165