Capitolul 3 - 2.3. Supravegherea şi asigurarea respectării normelor - Decizia 2574/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1772 a Comisiei în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit al Marii Britanii şi Irlandei de Nord
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 23 Decembrie 2025
CAPITOLUL 3:2.3. Supravegherea şi asigurarea respectării normelor
(58)În Regatul Unit, supravegherea şi asigurarea respectării cadrului de protecţie a datelor continuă să fie efectuate de o autoritate independentă de supraveghere a protecţiei datelor, astfel cum se analizează în considerentele 85-91 din Decizia de punere în aplicare (UE) 2021/1772. Legea în materie de (utilizare şi acces la) date reformează structura de guvernanţă a acestei autorităţi prin înfiinţarea unui organism corporativ, Comisia pentru Informaţii, care va înlocui ICO, care a fost structurat ca o întreprindere individuală.
(59)Mai precis, măsurile de guvernanţă prevăzute în Legea în materie de (utilizare şi acces la) date, odată puse în aplicare, vor elimina Biroul Comisarului pentru Informaţii şi vor transfera funcţiile, personalul şi bunurile de la ICO către noul organism, Comisia pentru Informaţii. Comisia pentru Informaţii este formată din membri executivi şi neexecutivi (85). Legea prevede, de asemenea, transferarea, de la Comisarul pentru Informaţii, a rolului de preşedinte al Comisiei pentru Informaţii, care este unul dintre membrii neexecutivi (86). Legea în materie de (utilizare şi acces la) date prevede, de asemenea, că, în măsura în care acest lucru este adecvat ca urmare a transferului de funcţii, trimiterile la Comisarul pentru Informaţii din toate actele legislative sau din alte documente (ori de câte ori sunt adoptate sau emise) trebuie tratate ca trimiteri la Comisia pentru Informaţii. Pentru a-şi îndeplini funcţiile, Comisia pentru Informaţii poate institui comitete şi poate delega funcţii unui membru, unui angajat sau unui comitet al Comisiei (87) şi poate lua măsuri pentru reglementarea procedurii sale şi a procedurii comitetelor, inclusiv în ceea ce priveşte cvorumul şi luarea deciziilor cu majoritate de voturi. Aceste proceduri trebuie făcute publice (88).
(85)-Punctul 3 subpunctul 1 din anexa 12A la DPA din 2018.
(86)-Secţiunile 117, 118, 119 şi 120, împreună cu anexa 14 la Legea în materie de (utilizare şi acces la) date.
(87)-Punctele 13 şi 14 din anexa 12A la DPA din 2018.
(88)Punctul 16 din anexa 12A la DPA din 2018.
(60)Un aspect important îl reprezintă faptul că independenţa Comisiei pentru Informaţii face obiectul aceloraşi garanţii, inclusiv în ceea ce priveşte normele privind numirea şi revocarea preşedintelui, precum cele evaluate în considerentele 87-90 din Decizia de punere în aplicare (UE) 2021/1772 (89). Măsuri de protecţie similare se aplică şi în cazul celorlalţi membri neexecutivi ai Comisiei pentru Informaţii. În special, preşedintele Comisiei pentru Informaţii este numit de Majestatea Sa la recomandarea secretarului de stat. Acesta este selectat pe baza meritelor şi în urma unei competiţii deschise şi echitabile (90). Ceilalţi membri neexecutivi sunt numiţi de secretarul de stat, în urma consultărilor cu preşedintele. Candidaţii pot fi recomandaţi pentru numire sau pot fi numiţi numai dacă sunt selectaţi pe baza meritelor, în urma unui concurs echitabil şi deschis şi dacă secretarul de stat s-a asigurat că aceştia nu se află într-o situaţie de conflict de interese (91). Membrii executivi sunt angajaţi ai Comisiei pentru Informaţii în conformitate cu termenii şi condiţiile stabilite de membrii neexecutivi (92). Şeful executivului este numit de preşedinte şi de alţi membri neexecutivi, în urma consultărilor cu secretarul de stat. Numirile membrilor executivi fac, de asemenea, obiectul unei selecţii pe baza meritelor, în urma unui concurs echitabil şi deschis (93).
(89)-Articolul 52 din RGPD al Regatului Unit, precum şi anexa 12A la DPA din 2018, astfel cum au fost introduse prin secţiunea 114A din Proiectul de lege în materie de (utilizare şi acces la) date.
(90)-Punctul 5 subpunctul 1 şi punctul 3 subpunctul 2 din anexa 12A la DPA din 2018.
(91)-Punctul 3 subpunctul 2, punctul 5 şi punctul 6 din anexa 12A la DPA din 2018.
(92)-Punctul 11 din anexa 12A la DPA din 2018.
(93)-Punctul 5 subpunctul 2 din anexa 12A la DPA din 2018.
(61)Preşedintele poate fi revocat din funcţie de Maiestatea Sa numai în urma unei cereri oficiale din partea ambelor camere ale Parlamentului şi numai dacă secretarul de stat a prezentat camerei respective un raport în care declară că secretarul de stat este convins că preşedintele se face vinovat de o abatere gravă, se află într-un conflict de interese, nu a respectat cerinţele specifice de informare cu privire la potenţialele conflicte de interese sau nu este în măsură, nu este apt sau nu doreşte să exercite funcţiile care îi revin preşedintelui (94). Membrii neexecutivi pot fi revocaţi din funcţie de către secretarul de stat numai dacă acesta este convins că sunt îndeplinite condiţiile specifice prevăzute în legislaţie. Printre acestea se numără conflictele de interese, abaterile grave sau incapacitatea, refuzul sau inaptitudinea de a-şi îndeplini sarcinile. În ceea ce priveşte garanţiile suplimentare, secretarul de stat are obligaţia de a face publică decizia de a face acest lucru şi de a oferi membrului o motivare pentru revocare (95).
(94)-Punctul 7 subpunctele 6 şi 7 din anexa 12A la DPA din 2018.
(95)-Punctul 9 subpunctele 6, 7, 8 şi 9 din anexa 12A la DPA din 2018.
(62)Rolul principal al Comisiei pentru Informaţii va consta în continuare în monitorizarea şi aplicarea cadrului de protecţie a datelor în Regatul Unit "pentru a proteja drepturile şi libertăţile fundamentale" ale persoanelor fizice (96). În ceea ce priveşte funcţia Comisiei pentru Informaţii de a asigura un nivel adecvat de protecţie a datelor cu caracter personal, Legea în materie de (utilizare şi acces la) date prevede în mod specific obligaţia Comisiei pentru Informaţii de a ţine seama de interesele persoanelor vizate, ale operatorilor şi ale altor persoane şi de aspecte de interes public general, precum şi să promoveze încrederea publicului în prelucrarea datelor cu caracter personal (97). Aceste obiective sunt menţionate, de asemenea, în considerentul 7 din Regulamentul (UE) 2016/679.
(96)-Articolul 51 din RGPD al Regatului Unit.
(97)-Secţiunea 91 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 120A în DPA din 2018.
(63)În plus, Legea în materie de (utilizare şi acces la) date specifică faptul că, atunci când îşi exercită funcţia în temeiul legislaţiei privind protecţia datelor, Comisia pentru Informaţii trebuie să aibă în vedere promovarea inovării şi a concurenţei, importanţa prevenirii, a investigării, a depistării şi a urmăririi penale a infracţiunilor, necesitatea de a proteja siguranţa publică şi securitatea naţională, precum şi nevoile specifice legate de protecţia copiilor (98). Legislaţia UE privind protecţia datelor recunoaşte, de asemenea, necesitatea de a asigura un echilibru între protecţia datelor personale şi alte drepturi fundamentale şi obiective, precum progresul economic şi social, securitatea şi justiţia şi libertatea de a desfăşura o activitate comercială (99).
(98)-Secţiunea 91 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 120B în DPA din 2018. Legea în materie de (utilizare şi acces la) date introduce, de asemenea, o nouă secţiune 120C în DPA din 2018, care prevede obligaţia Comisiei pentru Informaţii de a elabora şi de a publica o strategie care, printre altele, să reflecte modul în care aceasta va ţine seama, în exercitarea funcţiilor sale de reglementare, de aspectele menţionate mai sus şi de promovarea creşterii economice.
(99)A se vedea în special considerentele 2 şi 4, precum şi articolul 23 din Regulamentul (UE) 2016/679.
(64)Competenţele şi atribuţiile Comisiei pentru Informaţii continuă să corespundă celor ale autorităţilor de supraveghere a protecţiei datelor din statele membre în temeiul articolelor relevante din Regulamentul (UE) 2016/679 (100), astfel cum au fost evaluate în considerentele 91-95 din Decizia de punere în aplicare (UE) 2021/1772.
(100)-Articolele 57 şi 58 din RGPD al Regatului Unit.
(65)Legea în materie de (utilizare şi acces la) date a introdus anumite clarificări cu privire la exercitarea unora dintre aceste competenţe.
(66)Pe de o parte, Legea în materie de (utilizare şi acces la) date clarifică faptul că Comisia pentru Informaţii poate solicita "documente" şi "informaţii" specifice atunci când îşi exercită competenţa referitoare la notificarea de informare (101). Pe de altă parte, Legea în materie de (utilizare şi acces la) date introduce două noi competenţe de investigare pentru Comisia pentru Informaţii: o nouă competenţă de a solicita un raport (102) şi o nouă competenţă de a emite "avize de prezentare la audiere" către operatori în cazul unei presupuse încălcări a RGPD al Regatului Unit sau a DPA din 2018 (103).
(101)-Secţiunea 97 din Legea în materie de (utilizare şi acces la) date, care modifică secţiunea 142 din DPA din 2018. Consideraţiile privind impactul tehnologiei şi rolul protecţiei datelor în crearea încrederii în economia digitală fac parte din activităţile autorităţilor de reglementare în domeniul protecţiei datelor, atât în Regatul Unit, cât şi în UE. A se vedea, de exemplu, raportul anual pe 2024 al Comitetului european pentru protecţia datelor, pagina 12: "CEPD este un organism dinamic şi de colaborare care joacă un rol esenţial în asigurarea aplicării consecvente a legislaţiei privind protecţia datelor în întreaga Europă. Din perspectiva mea în calitate de vicepreşedinte, consider că acesta este un gardian al drepturilor la viaţă privată ale persoanelor, asigurând un echilibru adecvat între nevoile de inovare şi de creştere economică."
(102)-Secţiunea 98 din Legea în materie de (utilizare şi acces la) date, care modifică secţiunea 146 din DPA din 2018.
(103)-Secţiunea 100 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 148A din DPA din 2018.
(67)În ceea ce priveşte exercitarea acestor competenţe de către Comisia pentru Informaţii, de la intrarea în vigoare a Deciziei de punere în aplicare (UE) 2021/1772, Comisarul pentru Informaţii a gestionat aproximativ 40 000 de plângeri din partea persoanelor vizate pe an, un număr similar cu numărul de plângeri gestionate atunci când Regatul Unit făcea încă parte din Uniune şi aplica Regulamentul (UE) 2016/679 (104). Biroul Comisarului pentru Informaţii a efectuat, de asemenea, investigaţii din oficiu, care au acoperit o gamă largă de aspecte sectoriale şi de conformitate, inclusiv drepturile persoanelor vizate (105).
(104)Rapoartele anuale ale Comisarului pentru Informaţii pentru 2021-2022, 2022-2023 şi 2023-2024. A se vedea Decizia de punere în aplicare (UE) 2021/1772, considerentul 96.
(105)Raportul anual al Comisarului pentru Informaţii pentru 2023-2024, pagina 41.
(68)În ceea ce priveşte măsurile de asigurare a respectării normelor, de la intrarea în vigoare a Deciziei de punere în aplicare (UE) 2021/1772, Comisarul pentru Informaţii a emis 120 de mustrări, 32 de notificări de informare, 3 notificări de evaluare, 12 notificări de executare, 2 avertismente şi 12 amenzi (106). Printre acestea se numără mai multe sancţiuni financiare semnificative impuse în temeiul RGPD al Regatului Unit şi al DPA din 2018. De exemplu, Comisarul pentru Informaţii a impus în aprilie 2023 o amendă de 12,7 milioane GBP unei platforme de comunicare socială pentru utilizarea abuzivă a datelor copiilor (107). În martie 2025, o companie de software a fost amendată cu 3,07 milioane GBP pentru deficienţe în materie de securitate care au pus în pericol informaţiile cu caracter personal a peste 70 000 de persoane (108). Foarte recent, în iunie 2025, Comisarul pentru Informaţii a aplicat unei societăţi de testare genetică o amendă în valoare de 2,31 milioane GBP pentru că nu a pus în aplicare măsuri de securitate adecvate pentru a proteja informaţiile cu caracter personal ale utilizatorilor din Regatul Unit, în urma unui atac cibernetic de mare amploare din 2023 (109).
(106)Rapoartele anuale ale Comisarului pentru Informaţii din 2021-2022, 2022-2023 şi 2023-2024.
(107)Pentru mai multe informaţii cu privire la aceste acţiuni şi la mai multe acţiuni de asigurare a respectării normelor, a se vedea site-ul Biroului Comisarului pentru Informaţii, disponibil la următoarea adresă: https://ico.org.uk/action-weve-taken/enforcement/.
(108)Mai multe informaţii sunt disponibile la următoarea adresă: https://ico.org.uk/action-weve-taken/enforcement/2025/03/advanced-computer-software-group-limited/.
(109)Mai multe informaţii sunt disponibile la următoarea adresă: https://ico.org.uk/action-weve-taken/enforcement/2025/06/23andme/.
(69)De la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Biroul Comisarului pentru Informaţii a elaborat şi a publicat, de asemenea, un număr semnificativ de orientări, avize şi alte documente de orientare, care clarifică aplicarea normelor de protecţie a datelor în domenii importante, cum ar fi recunoaşterea facială, echitatea în domeniul inteligenţei artificiale, datele copiilor, marketingul direct, supravegherea video, dreptul de acces, transparenţa în domeniul sănătăţii şi al asistenţei sociale etc., pentru diferite categorii de public, inclusiv pentru întreprinderile mici şi mijlocii, entităţi specifice precum şcolile, creşele sau autorităţile publice mici, precum şi pentru întreprinderi în general, publicul larg sau persoanele vizate (110).
(110)Disponibil la următoarea adresă: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/.