Secţiunea 2 - 2.3.2. Asigurarea respectării normelor, inclusiv sancţiunile - Decizia 2574/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1772 a Comisiei în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit al Marii Britanii şi Irlandei de Nord

Acte UE

Jurnalul Oficial seria L

În vigoare
Versiune de la: 23 Decembrie 2025
SECŢIUNEA 2:2.3.2. Asigurarea respectării normelor, inclusiv sancţiunile
(64)Competenţele şi atribuţiile Comisiei pentru Informaţii continuă să corespundă celor ale autorităţilor de supraveghere a protecţiei datelor din statele membre în temeiul articolelor relevante din Regulamentul (UE) 2016/679 (100), astfel cum au fost evaluate în considerentele 91-95 din Decizia de punere în aplicare (UE) 2021/1772.
(100)-Articolele 57 şi 58 din RGPD al Regatului Unit.
(65)Legea în materie de (utilizare şi acces la) date a introdus anumite clarificări cu privire la exercitarea unora dintre aceste competenţe.
(66)Pe de o parte, Legea în materie de (utilizare şi acces la) date clarifică faptul că Comisia pentru Informaţii poate solicita "documente" şi "informaţii" specifice atunci când îşi exercită competenţa referitoare la notificarea de informare (101). Pe de altă parte, Legea în materie de (utilizare şi acces la) date introduce două noi competenţe de investigare pentru Comisia pentru Informaţii: o nouă competenţă de a solicita un raport (102) şi o nouă competenţă de a emite "avize de prezentare la audiere" către operatori în cazul unei presupuse încălcări a RGPD al Regatului Unit sau a DPA din 2018 (103).
(101)-Secţiunea 97 din Legea în materie de (utilizare şi acces la) date, care modifică secţiunea 142 din DPA din 2018. Consideraţiile privind impactul tehnologiei şi rolul protecţiei datelor în crearea încrederii în economia digitală fac parte din activităţile autorităţilor de reglementare în domeniul protecţiei datelor, atât în Regatul Unit, cât şi în UE. A se vedea, de exemplu, raportul anual pe 2024 al Comitetului european pentru protecţia datelor, pagina 12: "CEPD este un organism dinamic şi de colaborare care joacă un rol esenţial în asigurarea aplicării consecvente a legislaţiei privind protecţia datelor în întreaga Europă. Din perspectiva mea în calitate de vicepreşedinte, consider că acesta este un gardian al drepturilor la viaţă privată ale persoanelor, asigurând un echilibru adecvat între nevoile de inovare şi de creştere economică."
(102)-Secţiunea 98 din Legea în materie de (utilizare şi acces la) date, care modifică secţiunea 146 din DPA din 2018.
(103)-Secţiunea 100 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 148A din DPA din 2018.
(67)În ceea ce priveşte exercitarea acestor competenţe de către Comisia pentru Informaţii, de la intrarea în vigoare a Deciziei de punere în aplicare (UE) 2021/1772, Comisarul pentru Informaţii a gestionat aproximativ 40 000 de plângeri din partea persoanelor vizate pe an, un număr similar cu numărul de plângeri gestionate atunci când Regatul Unit făcea încă parte din Uniune şi aplica Regulamentul (UE) 2016/679 (104). Biroul Comisarului pentru Informaţii a efectuat, de asemenea, investigaţii din oficiu, care au acoperit o gamă largă de aspecte sectoriale şi de conformitate, inclusiv drepturile persoanelor vizate (105).
(104)Rapoartele anuale ale Comisarului pentru Informaţii pentru 2021-2022, 2022-2023 şi 2023-2024. A se vedea Decizia de punere în aplicare (UE) 2021/1772, considerentul 96.
(105)Raportul anual al Comisarului pentru Informaţii pentru 2023-2024, pagina 41.
(68)În ceea ce priveşte măsurile de asigurare a respectării normelor, de la intrarea în vigoare a Deciziei de punere în aplicare (UE) 2021/1772, Comisarul pentru Informaţii a emis 120 de mustrări, 32 de notificări de informare, 3 notificări de evaluare, 12 notificări de executare, 2 avertismente şi 12 amenzi (106). Printre acestea se numără mai multe sancţiuni financiare semnificative impuse în temeiul RGPD al Regatului Unit şi al DPA din 2018. De exemplu, Comisarul pentru Informaţii a impus în aprilie 2023 o amendă de 12,7 milioane GBP unei platforme de comunicare socială pentru utilizarea abuzivă a datelor copiilor (107). În martie 2025, o companie de software a fost amendată cu 3,07 milioane GBP pentru deficienţe în materie de securitate care au pus în pericol informaţiile cu caracter personal a peste 70 000 de persoane (108). Foarte recent, în iunie 2025, Comisarul pentru Informaţii a aplicat unei societăţi de testare genetică o amendă în valoare de 2,31 milioane GBP pentru că nu a pus în aplicare măsuri de securitate adecvate pentru a proteja informaţiile cu caracter personal ale utilizatorilor din Regatul Unit, în urma unui atac cibernetic de mare amploare din 2023 (109).
(106)Rapoartele anuale ale Comisarului pentru Informaţii din 2021-2022, 2022-2023 şi 2023-2024.
(107)Pentru mai multe informaţii cu privire la aceste acţiuni şi la mai multe acţiuni de asigurare a respectării normelor, a se vedea site-ul Biroului Comisarului pentru Informaţii, disponibil la următoarea adresă: https://ico.org.uk/action-weve-taken/enforcement/.
(108)Mai multe informaţii sunt disponibile la următoarea adresă: https://ico.org.uk/action-weve-taken/enforcement/2025/03/advanced-computer-software-group-limited/.
(109)Mai multe informaţii sunt disponibile la următoarea adresă: https://ico.org.uk/action-weve-taken/enforcement/2025/06/23andme/.
(69)De la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Biroul Comisarului pentru Informaţii a elaborat şi a publicat, de asemenea, un număr semnificativ de orientări, avize şi alte documente de orientare, care clarifică aplicarea normelor de protecţie a datelor în domenii importante, cum ar fi recunoaşterea facială, echitatea în domeniul inteligenţei artificiale, datele copiilor, marketingul direct, supravegherea video, dreptul de acces, transparenţa în domeniul sănătăţii şi al asistenţei sociale etc., pentru diferite categorii de public, inclusiv pentru întreprinderile mici şi mijlocii, entităţi specifice precum şcolile, creşele sau autorităţile publice mici, precum şi pentru întreprinderi în general, publicul larg sau persoanele vizate (110).
(110)Disponibil la următoarea adresă: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/.