Capitolul 1 - 3.1. Cadrul juridic general - Decizia 2574/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1772 a Comisiei în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit al Marii Britanii şi Irlandei de Nord
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 23 Decembrie 2025
CAPITOLUL 1:3.1. Cadrul juridic general
(70)Regatul Unit continuă să fie membru al Consiliului Europei, să adere la Convenţia europeană a drepturilor omului şi să fie supus jurisdicţiei Curţii Europene a Drepturilor Omului. Prin urmare, acesta continuă să facă obiectul obligaţiilor consacrate în dreptul internaţional, astfel cum sunt descrise în considerentele 116-119 din Decizia de punere în aplicare (UE) 2021/1772, care reglementează sistemul său de acces al autorităţilor publice la datele cu caracter personal pe baza unor principii, garanţii şi drepturi individuale identice cu cele care se aplică celor 27 de state membre ca părţi la CEDO şi care sunt, în mare măsură, reflectate în jurisprudenţa relevantă a Curţii de Justiţie a Uniunii Europene.
(71)Garanţiile şi drepturile specifice în materie de protecţie a datelor continuă să fie garantate de DPA din 2018 atunci când datele sunt prelucrate de autorităţile publice din Regatul Unit, inclusiv de organismele de asigurare a respectării legii şi de securitate naţională, astfel cum se analizează în considerentele 121-132 din Decizia de punere în aplicare (UE) 2021/1772. Legea în materie de (utilizare şi acces la) date a adus doar modificări limitate şi specifice acelor părţi din DPA din 2018 care prevăd normele pentru prelucrarea datelor cu caracter personal în contextul asigurării respectării dreptului penal (partea 3 din DPA din 2018) şi al securităţii naţionale (partea 4 din DPA din 2018).
(72)În ceea ce priveşte prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora, partea 3 din DPA din 2018 prevede în continuare principii, drepturi şi obligaţii similare celor prevăzute în Directiva (UE) 2016/680 (111).
(111)-Secţiunea 69 din Legea în materie de (utilizare şi acces la) date introduce definiţia consimţământului şi condiţiile pentru recurgerea la consimţământ, astfel cum sunt prevăzute la articolul 4 alineatul (11) şi la articolul 7 din RGPD al Regatului Unit [care reflectă dispoziţiile corespunzătoare din Regulamentul (UE) 2016/679], ca noi secţiuni 33(1A) şi 40A în DPA din 2018, clarificând astfel conceptul de consimţământ şi condiţiile pentru recurgerea la consimţământ atunci când este utilizat ca temei juridic pentru prelucrarea datelor cu caracter personal de către autorităţile competente în scopul asigurării respectării dreptului penal. În plus, secţiunea 71 alineatele (7) şi (8) din Legea în materie de (utilizare şi acces la) date clarifică într-o oarecare măsură formularea secţiunii 36 alineatul (1) din DPA din 2018. În fine, după caz, modificările aduse RGPD al Regatului Unit prin Legea în materie de (utilizare şi acces la) date, astfel cum sunt descrise în secţiunea 2, sunt reflectate, de asemenea, în partea 3 din DPA din 2018; a se vedea, de exemplu, secţiunea 74 alineatele (2)-(5) privind prelucrarea datelor sensibile, secţiunea 76 alineatele (4)-(6) în ceea ce priveşte termenele de răspuns la cererile persoanelor vizate, secţiunea 78 alineatele (2) şi (3) în ceea ce priveşte căutările ca răspuns la cererile persoanelor vizate şi secţiunea 80 alineatele (3)-(5) privind procesul decizional automatizat.
(73)În special, la aceeaşi dată cu prezenta decizie, Comisia a adoptat o decizie în temeiul articolului 36 alineatul (3) din Directiva (UE) 2016/680, prin care constata că regimul de protecţie a datelor aplicabil prelucrării de către autorităţile de aplicare a dreptului penal din Regatul Unit în scopul asigurării respectării dreptului penal continuă să asigure un nivel de protecţie echivalent în esenţă cu cel garantat de Directiva (UE) 2016/680.
(74)Legea în materie de (utilizare şi acces la) date a modificat şi a consolidat derogările existente din partea 3 din DPA din 2018 aflate la dispoziţia autorităţilor competente în scopuri legate de securitatea naţională. Derogarea în materie de securitate naţională permite autorităţilor competente să nu aplice anumite dispoziţii din partea 3 din DPA din 2018 dacă derogarea de la dispoziţiile respective este necesară în scopul protejării securităţii naţionale (112). Aceasta reflectă derogările în materie de securitate naţională prevăzute pentru prelucrarea datelor cu caracter personal în temeiul RGPD al Regatului Unit (prevăzute în secţiunea 26 din DPA din 2018) şi în temeiul părţii 4 din DPA din 2018 (prevăzute în secţiunea 110 din DPA din 2018).
(112)-Secţiunea 78A alineatul (1) din DPA din 2018, astfel cum a fost introdus prin secţiunea 88 din Legea în materie de (utilizare şi acces la) date. În temeiul secţiunii 78A alineatele (2)-(4) din DPA din 2018, derogarea permite neaplicarea principiilor de protecţie a datelor (cu excepţia principiului legalităţii şi a condiţiilor şi garanţiilor pentru prelucrarea datelor sensibile), a drepturilor individuale, a obligaţiilor operatorilor de date şi ale persoanelor împuternicite de operatori în ceea ce priveşte încălcările securităţii datelor, a anumitor părţi ale normelor privind transferurile internaţionale de date şi a unora dintre competenţele de intrare ale Comisarului pentru Informaţii de a efectua inspecţii şi de a lua măsuri de asigurare a respectării legii.
(75)Derogarea în materie de securitate naţională face obiectul aceloraşi limitări şi garanţii ca derogările în temeiul RGPD al Regatului Unit şi al părţii 4 din DPA din 2018, astfel cum sunt analizate în considerentele 64-67 şi 126 din Decizia de punere în aplicare (UE) 2021/1772. În special, derogarea poate fi aplicată numai în măsura în care şi dacă este necesară pentru a proteja securitatea naţională. Aceasta nu este o derogare generală şi trebuie să fie luată în considerare şi invocată de operator de la caz la caz (113). În plus, orice aplicare a derogării trebuie să fie în conformitate cu standardele privind drepturile omului (bazate pe Legea privind drepturile omului din 1998 şi pe Convenţia europeană a drepturilor omului), conform cărora orice ingerinţă în viaţa privată ar trebui să fie necesară şi proporţională într-o societate democratică (114). Acest lucru este confirmat, de asemenea, în orientările ICO privind aplicarea derogărilor în materie de securitate naţională (115).
(113)A se vedea Baker/Secretary of State for the Home Department [2001] UKIT NSA2 ("Baker/Secretary of State").
(114)A se vedea, de asemenea, Guriev/Community Safety Development (United Kingdom) Ltd [2016] EWHC 643 (QB), punctul 45; Lin/Commissioner of the Police for the Metropolis [2015] EWHC 2484 (QB), punctul 80.
(115)A se vedea orientările ICO privind excepţia în materie de securitate şi apărare naţională, disponibile la următoarea adresă: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/exemptions/national-security-and-defence-exemption-a-guide.
(76)În plus, pe baza modificărilor introduse prin Legea în materie de (utilizare şi acces la) date (116), o activitate specifică de prelucrare de către autorităţile competente pentru asigurarea respectării dreptului penal poate fi, de asemenea, reglementată de dispoziţiile părţii 4 din DPA din 2018, care se aplică în mod normal numai prelucrării datelor de către autorităţile naţionale de securitate.
(116)-Secţiunile 89 şi 90 din Legea în materie de (utilizare şi acces la) date.
(77)Deşi regimul de protecţie a datelor pentru prelucrarea în scopuri de securitate naţională este, prin urmare, extins în anumite situaţii şi la prelucrarea datelor de către autorităţile de aplicare a dreptului penal, acest lucru este valabil numai în circumstanţe specifice şi sub rezerva unor condiţii şi garanţii stricte, şi anume în cazul în care (i) o autoritate competentă este specificată ca "autoritate competentă calificată" în regulamentele prezentate de secretarul de stat care necesită aprobare parlamentară (117) şi (ii) secretarul de stat desemnează, printr-o notificare, o anumită activitate de prelucrare efectuată de autoritatea competentă calificată. Un aspect important îl reprezintă faptul că o astfel de desemnare poate avea loc numai dacă secretarul de stat consideră că desemnarea activităţii de prelucrare este necesară în scopul protejării securităţii naţionale, şi anume în cazul în care o autoritate de aplicare a dreptului penal acţionează în scopuri de securitate naţională, iar activitatea de prelucrare este efectuată de autoritatea competentă calificată în calitate de operator asociat împreună cu cel puţin un serviciu de informaţii (118). Ca garanţii suplimentare, secretarul de stat trebuie să consulte Comisarul pentru Informaţii înainte de a emite o notificare de desemnare (119), textul notificării trebuie, în principiu, să fie publicat (120), iar o persoană direct afectată de o notificare de desemnare poate solicita controlul jurisdicţional (121). Prin urmare, această modificare urmăreşte, în esenţă, să clarifice faptul că, atunci când autorităţile Regatului Unit au competenţe atât în domeniul aplicării legii, cât şi în cel al securităţii naţionale şi prelucrează date în contextul acestor din urmă responsabilităţi, se poate aplica regimul de protecţie a datelor pentru serviciile de securitate naţională.
(117)-Secţiunea 82 alineatele (A1), (2A) şi (4) din DPA din 2018, astfel cum au fost introduse prin secţiunea 89 alineatul (2) din Legea în materie de (utilizare şi acces la) date.
(118)-Secţiunea 82A alineatele (1) şi (2), astfel cum au fost introduse prin secţiunea 89 alineatul (3) din Legea în materie de (utilizare şi acces la) date. Ca garanţii suplimentare, secretarul de stat trebuie să consulte comisarul înainte de a emite o notificare de desemnare - a se vedea noua secţiune 82A alineatul (8) din DPA din 2018, textul notificării trebuie, în principiu, să fie publicat - a se vedea noua secţiune 82D alineatul (1), sub rezerva derogărilor prevăzute în noua secţiune 82D alineatul (3) din DPA din 2018, iar o persoană direct afectată de o notificare de desemnare poate solicita controlul jurisdicţional - a se vedea noua secţiune 82E din DPA din 2018.
(119)-Secţiunea 182 alineatul (8) din DPA din 2018.
(120)-Secţiunea 82D alineatul (1), sub rezerva derogărilor prevăzute în noua secţiune 82D alineatul (3) din DPA din 2018.
(121)-Secţiunea 82E din DPA din 2018.
(78)- Partea 4 din DPA din 2018 reglementează prelucrarea datelor de către serviciile de informaţii din Regatul Unit. Aceasta continuă să stabilească principalele principii de protecţie a datelor, să impună condiţii privind prelucrarea categoriilor speciale de date, să prevadă drepturi ale persoanelor vizate, să solicite protecţia datelor începând cu momentul conceperii şi să reglementeze transferurile de date cu caracter personal, astfel cum se descrie în considerentele 125-132 din Decizia de punere în aplicare (UE) 2021/1772.
(79)Modificările aduse acestui regim prin Legea în materie de (utilizare şi acces la) date sunt limitate. În ceea ce priveşte dreptul de acces al persoanelor vizate prevăzut în secţiunea 94 din DPA din 2018, Legea în materie de (utilizare şi acces la) date introduce o nouă subsecţiune 2A, clarificând faptul că persoana vizată are dreptul la informaţiile relevante numai în măsura în care operatorul poate să le furnizeze pe baza unei căutări rezonabile şi proporţionale (122). Astfel cum se explică în considerentul 35, această modificare reglementează dreptul de acces pe baza unor standarde juridice stabilite, care iau în considerare, de asemenea, interesele persoanei vizate. În timp ce, în domeniul procesului decizional automatizat, operatorilor li se interzice în continuare să ia o decizie care afectează în mod semnificativ o persoană vizată şi care se bazează în întregime pe prelucrarea automată a datelor cu caracter personal referitoare la persoana vizată, cu excepţia cazului în care o astfel de decizie este impusă sau autorizată prin lege, persoana vizată şi-a dat consimţământul pentru luarea deciziei pe acest temei sau decizia este luată în contextul unui contract (123); Legea în materie de (utilizare şi acces la) date introduce în partea 4 din DPA din 2018 (124) aceeaşi definiţie a noţiunii de "decizii care se bazează în întregime pe prelucrarea automată" astfel cum figurează la articolul 22A din RGPD al Regatului Unit şi cum este analizată în considerentul 53 din prezenta decizie.
(122)-Secţiunea 78 alineatul (4) din Legea în materie de (utilizare şi acces la) date.
(123)-Secţiunea 96 din DPA din 2018.
(124)În temeiul noii secţiuni 96 alineatul (4) din DPA din 2018, o decizie se bazează în întregime pe prelucrarea automată în cazul în care procesul decizional nu include posibilitatea ca o fiinţă umană să accepte, să respingă sau să influenţeze decizia. A se vedea secţiunea 80 alineatul (4) litera (c) din Legea în materie de (utilizare şi acces la) date.