Decizia 2574/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1772 a Comisiei în temeiul Regulamentului... - Decizia 2574/19-dec-2025

TITLUL 1:INTRODUCERE

(1)Decizia de punere în aplicare (UE) 2021/1772 a Comisiei (²) stabileşte că, în sensul articolului 45 din Regulamentul (UE) 2016/679, Regatul Unit asigură un nivel adecvat de protecţie a datelor cu caracter personal transferate din Uniunea Europeană către Regatul Unit în cadrul domeniului de aplicare al regulamentului respectiv (³).

(³)A se vedea articolul 1 alineatul (1) din Decizia de punere în aplicare (UE) 2021/1772. În temeiul articolului 1 alineatul (2) din decizia respectivă, decizia nu vizează datele cu caracter personal transferate în scopul controlului imigraţiei în Regatul Unit sau care, altfel, ar intra în domeniul de aplicare al derogării de la anumite drepturi ale persoanelor vizate în scopul menţinerii unui control eficace al imigraţiei în temeiul punctului 4 subpunctul 1 din anexa 2 la Legea privind protecţia datelor din Regatul Unit din 2018.

(2)La adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Comisia a ţinut seama de faptul că, după încheierea perioadei de tranziţie prevăzute de Acordul privind retragerea Regatului Unit al Marii Britanii şi Irlandei de Nord din Uniunea Europeană şi din Comunitatea Europeană a Energiei Atomice (⁴) şi odată ce dispoziţia provizorie prevăzută la articolul 782 din Acordul comercial şi de cooperare dintre Uniunea Europeană şi Comunitatea Europeană a Energiei Atomice, pe de o parte, şi Regatul Unit al Marii Britanii şi Irlandei de Nord, pe de altă parte (⁵), va fi încetat să se aplice, Regatul Unit ar urma să adopte, să aplice şi să asigure respectarea unui nou regim de protecţie a datelor, diferit de cel care era în vigoare atunci când avea obligaţii în temeiul dreptului Uniunii.

(3)Întrucât acest lucru ar fi putut implica modificări ale cadrului de protecţie a datelor evaluat în Decizia de punere în aplicare (UE) 2021/1772 sau alte evoluţii relevante, s-a considerat oportun să se prevadă că decizia respectivă se va aplica pentru o perioadă de patru ani de la intrarea sa în vigoare. Decizia de punere în aplicare (UE) 2021/1772 urma, aşadar, să expire la 27 iunie 2025, cu excepţia cazului în care ar fi fost prelungită în conformitate cu procedura menţionată la articolul 93 alineatul (2) din Regulamentul (UE) 2016/679.

(4)Pentru a decide cu privire la o posibilă prelungire a Deciziei de punere în aplicare (UE) 2021/1772, Comisia trebuie să evalueze dacă este în continuare justificată, din punct de vedere factual şi juridic, concluzia potrivit căreia Regatul Unit asigură un nivel adecvat de protecţie, având în vedere evoluţiile care au avut loc de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, în ceea ce priveşte elementele enumerate la articolul 45 alineatul (2) din Regulamentul (UE) 2016/679.

(5)În special, la 23 octombrie 2024, Guvernul Regatului Unit a prezentat Parlamentului Regatului Unit proiectul de lege în materie de (utilizare şi acces la) date (⁶), propunând modificări ale Regulamentului general privind protecţia datelor din Regatul Unit (RGPD al Regatului Unit) şi ale Legii privind protecţia datelor din 2018 (DPA din 2018), care sunt evaluate în Decizia de punere în aplicare (UE) 2021/1772. La 24 iunie 2025, Comisia a adoptat Decizia de punere în aplicare (UE) 2025/1226 (⁷), care a prelungit valabilitatea Deciziei de punere în aplicare (UE) 2021/1772 pentru o perioadă de şase luni, până la 27 decembrie 2025. Această prelungire tehnică limitată în timp i-a permis Comisiei să finalizeze evaluarea nivelului adecvat de protecţie a datelor cu caracter personal asigurat de Regatul Unit pe baza unui cadru juridic stabil, şi anume după încheierea procesului legislativ relevant (⁸).

(6)De la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Comisia a monitorizat în permanenţă evoluţiile relevante din Regatul Unit (⁹). În conformitate cu considerentul 281 din Decizia de punere în aplicare (UE) 2021/1772, s-a acordat o atenţie deosebită aplicării în practică a normelor Regatului Unit privind transferurile de date cu caracter personal către ţări terţe, impactului pe care aceasta l-ar putea avea asupra nivelului de protecţie acordat datelor transferate în temeiul Deciziei de punere în aplicare (UE) 2021/1772, eficacităţii exercitării drepturilor individuale, inclusiv oricărei evoluţii relevante a legislaţiei şi a practicii în ceea ce priveşte excepţiile sau restricţiile privind aceste drepturi (în special celei referitoare la menţinerea unui control eficace al imigraţiei), precum şi respectării limitărilor şi a garanţiilor în ceea ce priveşte accesul guvernului. La monitorizarea efectuată de Comisie au contribuit, printre alte elemente, evoluţiile jurisprudenţei şi supravegherea de către Biroul Comisarului pentru Informaţii (Information Commissioner’s Office - ICO) şi alte organisme independente.

(8)Comisia concluzionează, de asemenea, că, având în vedere modificările aduse dispoziţiilor relevante din legislaţia Regatului Unit (¹⁰), excluderea din domeniul de aplicare al Deciziei de punere în aplicare (UE) 2021/1772 a datelor cu caracter personal transferate în scopul controlului imigraţiei în Regatul Unit sau care, altfel, ar intra în domeniul de aplicare al derogării de la anumite drepturi ale persoanelor vizate în scopul menţinerii unui control eficace al imigraţiei ("derogarea în materie de imigraţie") în temeiul punctului 4 subpunctul 1 din anexa 2 la Legea privind protecţia datelor din Regatul Unit nu mai este justificată, astfel cum se explică în considerentul 37 din prezenta decizie.

(¹⁰)În mai 2021, Curtea de Apel din Anglia şi Ţara Galilor a constatat că derogarea în materie de imigraţie, astfel cum a fost formulată la momentul respectiv la punctul 4 subpunctul 1 din anexa 2 la Legea privind protecţia datelor din Regatul Unit, este incompatibilă cu legislaţia Regatului Unit, întrucât măsura legislativă nu conţinea dispoziţii specifice care să stabilească garanţiile enumerate la articolul 23 alineatul (2) din RGPD al Regatului Unit. Pentru a se conforma hotărârii, Guvernul Regatului Unit a revizuit derogarea în materie de imigraţie prin adoptarea Regulamentelor din 2022 referitoare la Legea privind protecţia datelor din 2018 (modificarea anexei 2 privind derogările). Cu toate acestea, derogarea revizuită a fost contestată din nou pe motiv că nu îndeplinea toate cerinţele de la articolul 23 alineatul (2) din RGPD al Regatului Unit. Printr-o hotărâre din 11 decembrie 2023, Curtea de Apel a declarat din nou derogarea revizuită în materie de imigraţie incompatibilă cu articolul 23 alineatul (2) din RGPD al Regatului Unit. Pentru a se conforma hotărârii, Guvernul Regatului Unit a adoptat ulterior Regulamentele din 2024 referitoare la Legea privind protecţia datelor din 2018 (modificarea anexei 2 privind derogările), care au intrat în vigoare la 8 martie 2024.

TITLUL 2:EVOLUŢII RELEVANTE ÎN CEEA CE PRIVEŞTE NORMELE APLICABILE PRELUCRĂRII DATELOR CU CARACTER PERSONAL

CAPITOLUL 1:2.1. Cadrul de protecţie a datelor din Regatul Unit

SECŢIUNEA 0:

(9)La momentul adoptării Deciziei de punere în aplicare (UE) 2021/1772, cadrul juridic privind protecţia datelor cu caracter personal din Regatul Unit consta în:

(¹²)Legea din 2018 privind Uniunea Europeană (retragere), disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2018/16/contents, a încorporat legislaţia Uniunii care era direct aplicabilă în Regatul Unit la încheierea perioadei de tranziţie în legislaţia Regatului Unit. Acest aşa-numit "drept menţinut al Uniunii" include Regulamentul (UE) 2016/679 în întregime, inclusiv considerentele sale [a se vedea Notele explicative la Legea din 2018 privind Uniunea Europeană (retragere), punctul 83, disponibile la următoarea adresă: https://www.legislation.gov.uk/ukpga/2018/16/pdfs/ukpgaen_20180016_en.pdf]. În conformitate cu legea respectivă, dreptul UE menţinut nemodificat trebuia interpretat de instanţele din Regatul Unit în conformitate cu jurisprudenţa relevantă a Curţii de Justiţie a Uniunii Europene şi cu principiile generale ale dreptului Uniunii, întrucât acestea produceau efecte imediat înainte de încheierea perioadei de tranziţie (denumite "jurisprudenţa menţinută a Uniunii" şi, respectiv, "principiile generale menţinute ale dreptului UE").

(¹³)Regulamentele din 2019 privind protecţia datelor, a vieţii private şi comunicaţiile electronice (modificări etc.) (ieşirea din UE), disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2019/419/contents/made, astfel cum au fost modificate prin Regulamentele DPPEC din 2020, disponibile la următoarea adresă: https://www.legislation.gov.uk/ukdsi/2020/9780348213522. Regulamentele DPPEC modifică Regulamentul (UE) 2016/679, astfel cum a fost introdus în legislaţia Regatului Unit prin Legea din 2018 privind Uniunea Europeană (retragere), prin DPA din 2018 şi prin alte acte legislative privind protecţia datelor pentru a îl adapta contextului naţional.

(¹⁴)Legea privind protecţia datelor din 2018, disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2018/12/contents. Înainte de retragerea Regatului Unit din Uniunea Europeană şi pe parcursul perioadei de tranziţie, DPA din 2018 a prevăzut norme de drept intern, în cazul în care Regulamentul (UE) 2016/679 permitea acest lucru, care specificau şi restricţionau aplicarea normelor din Regulamentul (UE) 2016/679, şi a transpus Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului(JO L 119, 4.5.2016, p. 89, ELI: http://data.europa.eu/eli/dir/2016/680/oj).

(11)În primul rând, Legea din 2023 privind dreptul UE menţinut în dreptul intern (revocare şi reformare) [Legea REUL (Retained EU Law)] (¹⁵) a clarificat faptul că principiile generale ale dreptului Uniunii nu mai făceau parte din dreptul intern al Regatului Unit după sfârşitul anului 2023 (¹⁶). În plus, instanţele din Regatul Unit nu mai trebuie să interpreteze "dreptul asimilat" nemodificat, denumit anterior "dreptul UE menţinut în dreptul intern", în conformitate cu principiile generale ale dreptului UE, însă acest drept asimilat trebuie să fie interpretat într-un mod care este compatibil cu dreptul intern al Regatului Unit (¹⁷). Cu toate acestea, dreptul asimilat nemodificat trebuie să fie interpretat în continuare de instanţele competente din Regatul Unit în conformitate cu jurisprudenţa relevantă a Curţii de Justiţie a Uniunii Europene emisă înainte de încheierea perioadei de tranziţie (¹⁸), astfel cum se menţionează şi în considerentul 13 din Decizia de punere în aplicare (UE) 2021/1772. DPA din 2018 a fost modificată prin Legea în materie de (utilizare şi acces la) date pentru a clarifica efectul Legii REUL asupra legislaţiei Regatului Unit privind protecţia datelor. De exemplu, secţiunea 183A alineatul (1) din DPA din 2018 prevede, ca regulă generală, că orice nouă legislaţie (adoptată la 20 august 2025 sau după această dată) care introduce noi obligaţii sau competenţe de prelucrare a datelor cu caracter personal se presupune că face obiectul legislaţiei Regatului Unit privind protecţia datelor. În consecinţă, cadrul de protecţie a datelor din Regatul Unit continuă să prevaleze asupra altor acte legislative. În temeiul secţiunii 183A alineatul (2) litera (b) din DPA din 2018, această prezumţie poate fi înlăturată în cazul în care Parlamentul Regatului Unit decide în mod deliberat să prevadă acest lucru în mod expres în legislaţie, menţinând suveranitatea parlamentară. În plus, secţiunea 186(2A) din DPA din 2018 clarifică faptul că restricţiile privind drepturile persoanelor vizate enumerate în secţiunea 186 alineatul (3) din DPA din 2018 nu sunt înlocuite de secţiunea 186 alineatul (1) din DPA din 2018, care prevede că dispoziţiile care interzic sau restricţionează divulgarea de informaţii nu prevalează asupra anumitor drepturi în materie de protecţie a datelor. Acest lucru asigură faptul că, de exemplu, restricţiile privind drepturile persoanelor vizate prevăzute în DPA din 2018 nu intră, ele însele, sub incidenţa derogării generale în materie de protecţie a datelor, prevăzută în secţiunea 186 alineatul (1) din DPA din 2018.

(12)În al doilea rând, de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, legislaţia Regatului Unit privind protecţia datelor a fost modificată prin Regulamentele din 2023 de modificare privind protecţia datelor (drepturi şi libertăţi fundamentale) (¹⁹). Aceste regulamente definesc trimiterile la drepturile sau libertăţile fundamentale din RGPD al Regatului Unit şi din DPA din 2018 [care au fost definite anterior pentru a acoperi drepturile fundamentale şi libertăţile fundamentale ale UE (²⁰)] ca trimiteri la drepturile prevăzute în Convenţia europeană a drepturilor omului, puse în aplicare în dreptul intern al Regatului Unit în temeiul Legii privind drepturile omului din 1998 (²¹). Legea privind drepturile omului din 1998 încorporează în legislaţia Regatului Unit drepturile cuprinse în Convenţia europeană a drepturilor omului. Legea privind drepturile omului acordă oricărei persoane drepturile şi libertăţile fundamentale prevăzute la articolele 2-12 şi la articolul 14 din Convenţia europeană a drepturilor omului, la articolele 1, 2 şi 3 din Protocolul nr. 1 şi la articolul 1 din Protocolul nr. 13, coroborate cu articolele 16, 17 şi 18 din convenţia menţionată. Aceasta include dreptul la respectarea vieţii private şi de familie (şi dreptul la protecţia datelor ca parte a acestui drept), precum şi dreptul la un proces echitabil (²²).

(13)În fine, RGPD al Regatului Unit şi DPA din 2018 au făcut obiectul unor reforme specifice prevăzute în părţile a cincea şi a şasea din Legea în materie de (utilizare şi acces la) date. Deşi domeniul de aplicare al Legii în materie de (utilizare şi acces la) date depăşeşte cu mult protecţia datelor cu caracter personal, aceasta prevede modificări limitate ale mai multor aspecte legate de regimul de protecţie a datelor, cum ar fi, printre altele, normele privind prelucrarea datelor în scopul cercetării ştiinţifice, temeiurile juridice pentru prelucrarea datelor, normele referitoare la principiul limitării scopului şi condiţiile pentru procesul decizional automatizat. În plus, Legea în materie de (utilizare şi acces la) date aduce modificări structurii de guvernanţă a ICO. Odată puse în aplicare, aceste măsuri vor înlocui ICO cu o nouă entitate, Comisia pentru Informaţii. Rolul şi funcţiile autorităţii de reglementare în calitate de autoritate independentă de supraveghere a protecţiei datelor în Regatul Unit vor rămâne neschimbate. Legea introduce, de asemenea, noi competenţe de asigurare a respectării legii pentru autoritatea de reglementare.

(14)Prezenta decizie evaluează evoluţiile legislative, de reglementare şi de altă natură care sunt relevante pentru concluzia privind nivelul de protecţie garantat de Regatul Unit, formulată în Decizia de punere în aplicare (UE) 2021/1772. Evaluarea efectuată în Decizia de punere în aplicare (UE) 2021/1772 rămâne valabilă pentru acele aspecte aferente cadrului de protecţie a datelor din Regatul Unit care nu au fost modificate sau afectate de alte evoluţii de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772.

(15)Evoluţiile relevante legislative, de reglementare şi de altă natură sunt analizate în detaliu în secţiunile următoare, pe baza standardului caracterului adecvat, conform căruia Comisia trebuie să stabilească dacă ţara terţă în cauză garantează un nivel de protecţie "echivalent în esenţă" cu cel garantat în cadrul Uniunii Europene (²³). Conform clarificărilor aduse de Curtea de Justiţie a Uniunii Europene, aceasta nu impune constatarea unui nivel identic de protecţie (²⁴). În special, mijloacele la care ţara terţă în cauză recurge pentru protecţia datelor cu caracter personal pot fi diferite de cele puse în aplicare în Uniunea Europeană, cu condiţia ca acestea să se dovedească în practică efective în scopul de a asigura un nivel adecvat de protecţie (²⁵). Prin urmare, standardul caracterului adecvat nu necesită o reproducere punct cu punct a normelor Uniunii. Mai degrabă, testul constă în a stabili dacă, prin fondul drepturilor în materie de protecţie a datelor şi punerea în aplicare efectivă, supravegherea şi exercitarea acestora, sistemul juridic străin în cauză, în ansamblul său, asigură nivelul de protecţie necesar (²⁶).

SECŢIUNEA 1:2.1.1. Definiţii

(17)Deşi Legea în materie de (utilizare şi acces la) date lasă marea majoritate a definiţiilor neschimbate, aceasta a introdus definiţii specifice legate de prelucrarea datelor cu caracter personal în scopuri ştiinţifice, istorice şi statistice la articolul 4 alineatele (2), (3), (4) şi (5) din RGPD al Regatului Unit. Alineatul (2) defineşte "prelucrarea în scopuri ştiinţifice" ca fiind prelucrarea datelor cu caracter personal efectuată în scopul oricărei cercetări care poate fi descrisă în mod rezonabil ca fiind ştiinţifică. Această cercetare poate fi finanţată din fonduri publice sau private şi poate fi desfăşurată fie ca activitate comercială, fie ca activitate necomercială. Reflectând conţinutul considerentului 159 din Regulamentul (UE) 2016/679, alineatul (3) prevede o listă neexhaustivă de exemple de activităţi de cercetare care se califică drept activităţi de cercetare care urmăresc scopuri ştiinţifice şi care includ dezvoltarea tehnică, activităţile demonstrative, cercetarea fundamentală şi cercetarea aplicată. Alineatul (4) clarifică faptul că termenul "cercetare istorică" include cercetarea genealogică, care este recunoscută, de asemenea, ca scop istoric în considerentul 160 din Regulamentul (UE) 2016/679. În cele din urmă, alineatul (5) defineşte prelucrarea în scopuri statistice ca fiind prelucrarea datelor pentru anchete statistice sau pentru obţinerea de rezultate statistice, în cazul în care datele sunt agregate într-o astfel de măsură încât să nu mai constituie date cu caracter personal. În plus, datele prelucrate sau informaţiile rezultate nu trebuie utilizate pentru luarea de decizii sau de măsuri care vizează o persoană fizică. Această definiţie se aliniază la modul în care sunt înţelese scopurile statistice în considerentul 162 din Regulamentul (UE) 2016/679.

(19)Prin adăugarea alineatului (6) la articolul 4 din RGPD al Regatului Unit, Legea în materie de (utilizare şi acces la) date a stabilit, de asemenea, un cadru specific pentru obţinerea consimţământului persoanei vizate pentru prelucrarea datelor cu caracter personal în scopuri ştiinţifice. În termeni foarte similari celor din considerentul 33 din Regulamentul (UE) 2016/679, care recunoaşte că, în domeniul cercetării ştiinţifice, consimţământul nu poate fi obţinut întotdeauna pentru un scop specific de prelucrare, noua dispoziţie prevede forme mai ample de consimţământ, permiţând persoanelor vizate să îşi dea consimţământul valabil chiar şi atunci când scopurile exacte ale cercetării nu pot fi identificate pe deplin în momentul colectării datelor, cu condiţia ca solicitarea consimţământului să fie în concordanţă cu standardele etice general recunoscute relevante pentru domeniul de cercetare specific. În orice caz, persoanele vizate trebuie să aibă posibilitatea de a consimţi la prelucrarea datelor cu caracter personal numai pentru anumite părţi ale cercetării, atunci când este posibil.

(20)În fine, Legea în materie de (utilizare şi acces la) date a detaliat garanţiile prevăzute anterior la articolul 89 din RGPD al Regatului Unit şi în secţiunea 19 din DPA din 2018 pentru prelucrarea datelor în scopuri de arhivare în interes public şi în scopuri de cercetare ştiinţifică, istorică şi statistică într-un nou capitol 8A din RGPD al Regatului Unit (²⁷). Aceste garanţii sunt similare celor prevăzute la articolul 89 din Regulamentul (UE) 2016/679 şi includ cerinţa de a institui măsuri tehnice şi organizatorice pentru a se asigura respectarea principiului reducerii la minimum a datelor.

CAPITOLUL 2:2.2. Garanţii, drepturi şi obligaţii

SECŢIUNEA 1:2.2.1. Legalitatea şi echitatea prelucrării

(22)Principiile legalităţii şi echităţii, precum şi temeiurile prelucrării legale continuă să fie garantate în legislaţia Regatului Unit prin articolul 5 alineatul (1) litera (a) şi prin articolul 6 alineatul (1) din RGPD al Regatului Unit, astfel cum au fost evaluate în Decizia de punere în aplicare (UE) 2021/1772. Deşi dispoziţiile în cauză rămân în mare măsură identice (²⁸) cu dispoziţiile relevante din Regulamentul (UE) 2016/679, Legea în materie de (utilizare şi acces la) date modifică mai întâi articolul 6 alineatul (1) din RGPD al Regatului Unit prin introducerea unui temei legal suplimentar pentru prelucrarea datelor cu caracter personal în conformitate cu articolul 6 alineatul (1) litera (ea) (²⁹). În conformitate cu această dispoziţie, prelucrarea este legală dacă şi în măsura în care "este necesară în scopul unui interes legitim recunoscut". Spre deosebire de temeiul juridic al interesului legitim prevăzut la articolul 6 alineatul (1) litera (f) din RGPD al Regatului Unit, noul temei juridic al interesului legitim recunoscut nu impune o analiză de la caz la caz a echilibrului dintre interesele legitime ale operatorului şi interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, scopul fiind să se asigure o mai mare securitate juridică pentru operatorii din cadrul organismelor care nu sunt publice. Articolul 6 alineatul (5) nou introdus din RGPD al Regatului Unit precizează că prelucrarea este necesară în scopul unui interes legitim recunoscut numai dacă îndeplineşte o condiţie prevăzută în anexa 1 (³⁰), care enumeră situaţiile în care prelucrarea este considerată necesară în scopul unui interes legitim recunoscut, de exemplu, în cazul în care are loc ca răspuns la o cerere primită de o autoritate publică ce are nevoie de date în scopul îndeplinirii unei sarcini de interes public, cu un temei juridic care respectă articolul 6 alineatul (3) din RGPD al Regatului Unit, în cazul în care prelucrarea este necesară pentru a proteja securitatea naţională şi siguranţa publică sau în scopuri de apărare, pentru a răspunde unei situaţii de urgenţă, pentru a detecta, a investiga sau a preveni infracţiuni sau pentru a proteja persoanele vulnerabile (³¹).

(²⁸)Din dorinţa de clarificare, Legea în materie de (utilizare şi acces la) date introduce, de asemenea, la articolul 6 din RGPD al Regatului Unit, un nou alineat care oferă exemple de tipuri de prelucrare care pot fi considerate necesare în scopul interesului legitim în sensul articolului 6 alineatul (1) litera (f) din RGPD al Regatului Unit. Aceste exemple (marketingul direct, transmiterea datelor în interiorul grupului în scopuri administrative şi securitatea reţelelor şi a sistemelor informatice) sunt, de asemenea, menţionate în considerentele 47 şi 48 din Regulamentul (UE) 2016/679 ca situaţii în care prelucrarea ar fi considerată în interesul legitim al operatorului.

(³¹)A se vedea anexa 4 la Legea în materie de (utilizare şi acces la) date. Potrivit autorităţilor Regatului Unit, printre exemplele de situaţii în care organismele care nu sunt publice ar putea fi nevoite să prelucreze date cu caracter personal pentru a preveni sau a detecta infracţiuni se numără o societate care ia cunoştinţă de încercări de piratare ilegală a sistemele sale informatice sau o bancă sau o instituţie financiară care ia cunoştinţă de încercări frauduloase de deschidere a unui cont la acestea. Prelucrarea datelor cu caracter personal de către un organism care nu este public poate fi necesară, de exemplu, pentru a proteja securitatea sau apărarea naţională în cazul în care o organizaţie comercială suspectează că activitatea online a unui client a indicat implicarea în activităţi teroriste. ICO lucrează la elaborarea unor orientări specifice în această privinţă, inclusiv la definirea conceptelor relevante. De exemplu, acestea se referă la faptul că "securitatea naţională" este susceptibilă să acopere securitatea şi bunăstarea Regatului Unit în ansamblu, a populaţiei sale, a instituţiilor sale şi a sistemului său de guvernare. A se vedea proiectul de orientări ale ICO privind interesul legitim recunoscut, astfel cum a fost publicat pentru consultare publică, disponibil la următoarea adresă: https://ico.org.uk/for-organisations/recognised-legitimate-interest-guidance/.

(23)Deşi Legea în materie de (utilizare şi acces la) date extinde astfel lista temeiurilor juridice pentru prelucrarea datelor cu caracter personal de care dispune operatorul, noul temei juridic al interesului legitim recunoscut face obiectul mai multor limitări importante. În primul rând, interesele legitime recunoscute se limitează la situaţii specifice care sunt enumerate în mod exhaustiv în lege. În al doilea rând, acest temei juridic nu poate fi invocat de autorităţile publice în îndeplinirea atribuţiilor lor (³²). În al treilea rând, acesta se referă numai la domeniile în care există un interes public clar pentru activitatea de prelucrare (în conformitate cu condiţiile prevăzute în anexa 1), şi anume în cazul în care prelucrarea serveşte obiectivelor enumerate la articolul 23 din RGPD al Regatului Unit [care corespunde articolului 23 din Regulamentul (UE) 2016/679] şi, prin urmare, nu poate fi invocat în scopuri comerciale. În al patrulea rând, deşi Legea în materie de (utilizare şi acces la) date acordă secretarului de stat dreptul de a modifica lista din anexa 1 prin intermediul unui regulament (³³), secretarul de stat poate prezenta un astfel de regulament numai după consultarea ICO (³⁴) şi poate adăuga pe lista respectivă un interes legitim recunoscut numai în cazul în care prelucrarea respectivă este din nou necesară pentru a proteja un obiectiv de interes public enumerat la articolul 23 alineatul (1) literele (c)-(j) din RGPD al Regatului Unit (³⁵). În cele din urmă, astfel cum s-a confirmat şi în orientările ICO (³⁶), operatorii de date care se bazează pe un interes legitim recunoscut ca temei juridic trebuie să respecte toate celelalte cerinţe prevăzute în RGPD al Regatului Unit, inclusiv să se asigure că prelucrarea este necesară şi proporţională pentru realizarea interesului legitim.

(³³)Înainte de a prezenta regulamente, secretarul de stat trebuie să ţină seama de efectele oricăror modificări asupra intereselor şi drepturilor şi libertăţilor fundamentale ale persoanelor vizate, precum şi de faptul că, în ceea ce priveşte copiii (dacă este cazul), este necesară o protecţie specifică a datelor cu caracter personal. Regulamentele trebuie adoptate prin intermediul unui instrument statutar şi fac obiectul procedurii de rezoluţie afirmativă, ceea ce înseamnă că trebuie să fie aprobate în mod activ de Parlamentul Regatului Unit. Secţiunea 70 alineatul (4) al optulea paragraf din Legea în materie de (utilizare şi acces la) date.

(24)În al doilea rând, Legea în materie de (utilizare şi acces la) date clarifică, la articolul 6 alineatul (3), articolul 9 alineatul (2) litera (g) şi la articolul 10 alineatul (1) din RGPD al Regatului Unit, care corespund dispoziţiilor respective din Regulamentul (UE) 2016/679, că temeiul pentru prelucrarea datelor cu caracter personal, a categoriilor speciale de date cu caracter personal şi a datelor cu caracter personal referitoare la condamnări penale şi infracţiuni în conformitate cu o obligaţie legală sau pentru îndeplinirea unei sarcini de interes public se poate regăsi nu numai în dreptul intern, ci şi în dreptul internaţional relevant (³⁷). Dreptul internaţional relevant este în continuare limitat de articolul 9A nou introdus din RGPD al Regatului Unit, coroborat cu anexa A1, la un singur acord, şi anume Acordul dintre Guvernul Regatului Unit al Marii Britanii şi Irlandei de Nord şi Guvernul Statelor Unite ale Americii privind accesul la datele electronice în scopul combaterii criminalităţii grave, semnat la 3 octombrie 2019 (Acordul dintre Regatul Unit şi SUA) (³⁸). Garanţiile prevăzute de acordul respectiv au fost evaluate în considerentele 153-155 din Decizia de punere în aplicare (UE) 2021/1772, iar punerea lor în aplicare este analizată în considerentele 87-93 din prezenta decizie.

SECŢIUNEA 2:2.2.2. Prelucrarea categoriilor speciale de date cu caracter personal

(26)Atât definiţia categoriilor speciale de date cu caracter personal, cât şi normele specifice care se aplică prelucrării acestor categorii de date din RGPD al Regatului Unit şi din DPA din 2018 rămân în vigoare. În acelaşi timp, Legea în materie de (utilizare şi acces la) date îi conferă secretarului de stat noi competenţe de stabilire a unor regulamente pentru a adăuga categorii speciale de date, pentru a adapta condiţiile aplicabile utilizării acestora şi pentru a introduce noi definiţii, dacă este necesar (³⁹). Un aspect important îl reprezintă faptul că aceasta nu îi permite secretarului de stat să elimine sau să modifice categoriile speciale existente de date sau să modifice condiţiile de prelucrare a acestor categorii (⁴⁰). Prin urmare, puterea nou introdusă de stabilire a unor regulamente îi permite guvernului doar să adauge noi categorii de date sensibile şi să prevadă respectivele condiţii de prelucrare a acestor categorii, ceea ce este menit să îi permită guvernului să răspundă evoluţiilor tehnologice şi societale viitoare, în situaţiile în care acest lucru este necesar.

SECŢIUNEA 3:2.2.3. Limitarea scopului

(29)În primul rând, Legea în materie de (utilizare şi acces la) date aduce câteva modificări specifice principiului limitării scopului prevăzut la articolul 5 alineatul (1) litera (b) din RGPD al Regatului Unit. Aceste modificări clarifică aplicarea acestui principiu fără a implica schimbări de fond. Secţiunea 71 alineatele (1), (2) şi (3) din Legea în materie de (utilizare şi acces la) date precizează că principiul limitării scopului se aplică în cazul în care datele sunt colectate de la persoana vizată sau în alt mod, că acesta se aplică numai în cazul în care datele cu caracter personal sunt prelucrate ulterior de către acelaşi operator sau în numele acestuia (şi anume că nu se aplică în cazul în care are loc o schimbare a operatorului) şi că prelucrarea nu este legală doar prin faptul că este compatibilă cu scopurile în care au fost colectate datele cu caracter personal.

(30)În al doilea rând, Legea în materie de (utilizare şi acces la) date clarifică normele privind prelucrarea ulterioară a datelor cu caracter personal prin regruparea acestora în noul articol 8A adăugat la RGPD al Regatului Unit, care stabileşte regimul complet pentru prelucrarea ulterioară a datelor cu caracter personal. Articolul 8A alineatul (2) din RGPD al Regatului Unit enumeră elementele care trebuie luate în considerare atunci când se stabileşte dacă un scop nou de prelucrare este compatibil cu scopul iniţial. Aceste elemente au fost enumerate anterior la articolul 6 alineatul (4) din RGPD al Regatului Unit, care corespunde articolului 6 alineatul (4) din Regulamentul (UE) 2016/679 (⁴¹). Articolul 8A alineatul (3) din RGPD al Regatului Unit regrupează într-o singură dispoziţie situaţiile în care prelucrarea datelor cu caracter personal într-un scop nou trebuie tratată ca fiind compatibilă cu scopul iniţial. Aceasta acoperă situaţiile în care persoana vizată consimte la prelucrarea datelor cu caracter personal în noul scop sau în care prelucrarea este necesară pentru a proteja un obiectiv enumerat la articolul 23 alineatul (1) (⁴²), în cazul în care prelucrarea este efectuată în scopuri de cercetare ştiinţifică sau istorică, de arhivare în interes public sau în scopuri statistice (⁴³). În fine, Legea în materie de (utilizare şi acces la) date clarifică faptul că orice prelucrare efectuată pentru a se asigura că prelucrarea respectă principiile de protecţie a datelor prevăzute la articolul 5 alineatul (1) din RGPD al Regatului Unit sau care demonstrează că face acest lucru este considerată compatibilă cu scopul iniţial. Situaţiile menţionate mai sus continuă să corespundă cu ceea ce se consideră a fi o prelucrare ulterioară compatibilă şi în Regulamentul (UE) 2016/679.

(31)În al treilea rând, Legea în materie de (utilizare şi acces la) date introduce, de asemenea, la articolul 8A alineatul (3) litera (d) din RGPD al Regatului Unit, noi situaţii suplimentare în care prelucrarea ulterioară a datelor cu caracter personal într-un scop nou este considerată compatibilă cu scopul iniţial. Aceste situaţii sunt enumerate în anexa 2 la RGPD al Regatului Unit (⁴⁴) şi includ, de exemplu, cazurile în care prelucrarea are loc ca răspuns la o cerere primită de o autoritate publică ce are nevoie de date în scopul îndeplinirii unei sarcini de interes public, cu un temei juridic care respectă articolul 6 alineatul (3) din RGPD al Regatului Unit, în cazul în care prelucrarea este necesară pentru a proteja securitatea publică, pentru a răspunde unei situaţii de urgenţă, pentru a detecta, a investiga sau a preveni infracţiuni, pentru a proteja interesele vitale ale persoanei vizate şi ale altor persoane, pentru a proteja persoanele vulnerabile, în scopuri fiscale sau dacă este necesar pentru respectarea unei obligaţii legale (⁴⁵).

(32)Deşi Legea în materie de (utilizare şi acces la) date extinde astfel lista situaţiilor în care prelucrarea ulterioară în alt scop este considerată compatibilă cu scopul prelucrării iniţiale, această extindere face obiectul unor limitări importante. În primul rând, aceasta se limitează la situaţii specifice care sunt enumerate în mod exhaustiv în lege. În al doilea rând, aceasta se referă numai la domeniile în care există un interes public clar pentru activitatea de prelucrare, şi anume în care prelucrarea ulterioară serveşte obiectivelor enumerate la articolul 23 din RGPD al Regatului Unit [care corespunde articolului 23 din Regulamentul (UE) 2016/679]. Prin urmare, această dispoziţie nu poate fi invocată în scopuri comerciale. În al treilea rând, deşi Legea în materie de (utilizare şi acces la) date acordă secretarului de stat dreptul de a modifica lista din anexa 2 prin intermediul unui regulament (⁴⁶), secretarul de stat poate adăuga pe lista respectivă tipuri de prelucrare numai în cazul în care prelucrarea respectivă este din nou necesară pentru a proteja un obiectiv de interes public enumerat la articolul 23 alineatul (1) literele (c)-(j) din RGPD al Regatului Unit (⁴⁷). În al patrulea rând, în cazul în care colectarea datelor cu caracter personal de către operator se bazează pe consimţământul persoanei vizate, prelucrarea într-un scop nou în situaţiile enumerate în anexa 2 este considerată compatibilă cu scopul iniţial numai dacă nu se poate aştepta în mod rezonabil ca operatorul să obţină un nou consimţământ din partea persoanei vizate (⁴⁸).

SECŢIUNEA 4:2.2.4. Drepturi individuale

(33)În temeiul cadrului pentru protecţia datelor cu caracter personal din Regatul Unit, persoanele vizate continuă să beneficieze de aceleaşi drepturi individuale precum în temeiul Regulamentului (UE) 2016/679 fără nicio modificare semnificativă (⁴⁹) care să poată fi opusă operatorului sau persoanei împuternicite de operator, în special de dreptul de acces la date, de dreptul de a se opune prelucrării şi de dreptul la rectificarea şi ştergerea datelor, astfel cum se evaluează în considerentele 51-54 din Decizia de punere în aplicare (UE) 2021/1772.

(⁴⁹)-Secţiunea 31 din Legea din 2024 privind victimele şi deţinuţii (Legea VAP) a introdus un temei suplimentar în dreptul la ştergerea datelor prevăzut la articolul 17 din RGPD al Regatului Unit, oferind persoanelor vizate dreptul de a solicita operatorilor de date să le şteargă datele cu caracter personal atunci când acestea au fost prelucrate ca urmare a unei afirmaţii nefondate cu privire la persoana vizată, formulată de o persoană răuvoitoare. O persoană este considerată "răuvoitoare" dacă a fost condamnată pentru o infracţiune specificată la articolul 31 alineatul (3) din Legea VAP (cum ar fi hărţuirea) sau face obiectul unui ordin de protecţie împotriva hărţuirii. Legea VAP este disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2024/21/contents. În plus, secţiunea 77 din Legea în materie de (utilizare şi acces la) date modifică dreptul la informare, astfel cum este prevăzut la articolul 13 din RGPD al Regatului Unit, astfel încât operatorul nu mai trebuie să informeze persoana vizată cu privire la prelucrarea ulterioară a datelor sale cu caracter personal în scopuri noi, în cazul în care scopurile respective sunt cercetarea ştiinţifică sau istorică, arhivarea în interes public sau un scop statistic, prelucrarea se efectuează în conformitate cu garanţiile specifice prevăzute la noul articol 84B din RGPD al Regatului Unit, iar furnizarea informaţiilor ar fi imposibilă sau disproporţionată.

(34)În primul rând, Legea în materie de (utilizare şi acces la) date clarifică anumite modalităţi prin care pot fi exercitate aceste drepturi. Pe de o parte, aceasta precizează, printr-o modificare a articolului 12 şi prin introducerea unui nou articol 12A din RGPD al Regatului Unit (⁵⁰), termenele în care operatorii trebuie să răspundă cererilor persoanei vizate. Mai precis, articolul 12 din RGPD al Regatului Unit se modifică în aşa fel încât operatorul să nu mai fie obligat să furnizeze informaţii cu privire la măsurile luate (sau cu privire la motivele pentru care nu a luat nicio măsură) ca răspuns la o cerere a persoanei vizate în conformitate cu articolele 15-22 din RGPD al Regatului Unit "în termen de o lună de la primirea cererii", ci mai degrabă "înainte de expirarea perioadei de timp aplicabile". Perioada de timp aplicabilă este definită în continuare la articolul 12A nou introdus din RGPD al Regatului Unit ca fiind o perioadă de o lună începând cu momentul relevant, şi anume momentul în care operatorul primeşte cererea, momentul în care operatorul primeşte orice informaţii solicitate în legătură cu o cerere în temeiul articolului 12 alineatul (6) din RGPD al Regatului Unit sau momentul în care a fost plătită o taxă percepută în legătură cu cererea în temeiul articolului 12 alineatul (5) din RGPD al Regatului Unit, luându-se în considerare data care survine mai târziu (⁵¹). Articolul 12A alineatul (3) permite, de asemenea, operatorului să prelungească perioada de timp aplicabilă cu încă două luni, în cazul în care acest lucru este necesar din cauza complexităţii cererilor formulate de persoana vizată sau a numărului de astfel de cereri. Pe de altă parte, în ceea ce priveşte numai dreptul de acces la informaţii şi la date cu caracter personal, Legea în materie de (utilizare şi acces la) date modifică articolul 15 din RGPD al Regatului Unit pentru a include clarificarea formulată în temeiul jurisprudenţei interne existente, pe baza principiului proporţionalităţii în temeiul legislaţiei UE, potrivit căreia operatorii trebuie să efectueze numai căutări rezonabile şi proporţionale în ceea ce priveşte informaţiile şi datele cu caracter personal solicitate (⁵²). Se preconizează că noua dispoziţie va fi interpretată în conformitate cu jurisprudenţa existentă, care prevede că "[... ] ceea ce se pune în balanţă în cadrul exerciţiului de proporţionalitate este obiectul final al căutării, şi anume beneficiul potenţial pe care furnizarea informaţiilor l-ar putea aduce persoanei vizate, în raport cu mijloacele prin care sunt obţinute informaţiile respective. Va fi necesar să se evalueze în fiecare caz în parte dacă vor fi necesare eforturi disproporţionate pentru găsirea şi furnizarea informaţiilor în raport cu beneficiile pe care acestea le-ar putea aduce persoanei vizate." (⁵³)

(35)Prin urmare, deşi termenele de răspuns la cererile persoanelor vizate şi obligaţiile specifice ale operatorilor de date în ceea ce priveşte dreptul de acces fac obiectul unor norme mai detaliate, sistemul Regatului Unit continuă să asigure faptul că respectivele cereri ale persoanelor vizate trebuie tratate în perioade de timp rezonabile definite pe baza unor factori obiectivi. În plus, obligaţiile de fond ale operatorului atunci când răspunde la cererile de acces sunt încadrate pe baza unor standarde juridice stabilite, care iau în considerare, de asemenea, interesele persoanei vizate. În cele din urmă, în orientările actuale ale ICO se prevede deja că un operator nu are obligaţia de a efectua căutări care ar fi nerezonabile sau disproporţionate în raport cu importanţa acordării accesului la informaţii (⁵⁴).

(36)Restricţiile privind aceste drepturi individuale care sunt prevăzute în DPA din 2018 şi care fac obiectul articolului 23 din RGPD al Regatului Unit, precum şi limitările şi garanţiile care reglementează aplicarea acestor restricţii continuă să fie în vigoare în Regatul Unit (⁵⁵), astfel cum se descrie în detaliu în considerentele 55-67 din Decizia de punere în aplicare (UE) 2021/1772.

(37)În ceea ce priveşte în mod specific restricţionarea datelor cu caracter personal prelucrate în scopul menţinerii unui control eficace al imigraţiei sau investigarea sau detectarea activităţilor care ar submina menţinerea unui control eficace al imigraţiei, în măsura în care aplicarea dispoziţiilor respective ar putea aduce atingere oricăreia dintre aceste aspecte (derogarea în materie de imigraţie) (⁵⁶), Guvernul Regatului Unit a modificat punctul 4 din anexa 2 la DPA din 2018 prin Regulamentele din 2022 referitoare la Legea privind protecţia datelor din 2018 (modificarea anexei 2 privind derogările) (⁵⁷) şi Regulamentele din 2024 referitoare la Legea privind protecţia datelor din 2018 (modificarea anexei 2 privind derogările) (⁵⁸), care completează Regulamentele din 2022 (⁵⁹). Modificările integrează în punctele 4A şi 4B din anexa 2 la DPA din 2018 garanţiile pentru exercitarea derogării în materie de imigraţie care sunt prevăzute la articolul 23 alineatul (2) din RGPD al Regatului Unit. În special, acestea prevăd (i) că derogarea în materie de imigraţie trebuie invocată numai de la caz la caz, separat pentru fiecare dintre dispoziţiile relevante din RGPD al Regatului Unit şi de fiecare dată când secretarul de stat are în vedere neaplicarea sau restricţionarea aplicării oricăreia dintre dispoziţiile relevante din RGPD al Regatului Unit (⁶⁰), (ii) că drepturile şi libertăţile persoanei vizate şi potenţialele vulnerabilităţi trebuie să fie luate în considerare atunci când se exercită derogarea în materie de imigraţie (⁶¹) şi (iii) că secretarul de stat trebuie să ţină o evidenţă a utilizării derogării în materie de imigraţie şi să informeze persoana vizată cu privire la utilizarea acesteia (cu excepţia unor circumstanţe specifice în care informaţiile respective ar aduce atingere obiectivului derogării) (⁶²) şi clarifică (iv) faptul că utilizarea derogării în materie de imigraţie este limitată la prelucrarea datelor cu caracter personal de către secretarul de stat, adică, în practică, de către Ministerul de Interne (Home Office) pentru funcţiile sale relevante în raport cu punctul 4 subpunctul 1 din anexa 2 la DPA din 2018 (⁶³). În plus, acestea explică, de asemenea, exerciţiul de echilibru care trebuie efectuat atunci când se stabileşte dacă exercitarea drepturilor persoanelor vizate este de natură să aducă atingere controlului eficace al imigraţiei şi dacă este necesar şi proporţional să se restricţioneze astfel de drepturi ca urmare a acestui fapt.

(⁵⁶)La momentul adoptării Deciziei de punere în aplicare (UE) 2021/1772, validitatea şi interpretarea derogării în materie de imigraţie în temeiul legislaţiei Regatului Unit nu fuseseră soluţionate, în urma unei decizii a Curţii de Apel din Anglia şi Ţara Galilor din 26 mai 2021, prin care s-a constatat că derogarea în materie de imigraţie, astfel cum era prezentă în DPA din 2018 la momentul respectiv, era incompatibilă cu legislaţia Regatului Unit, întrucât nu conţinea dispoziţii specifice care să stabilească garanţiile enumerate la articolul 23 alineatul (2) din RGPD al Regatului Unit, care reflectă articolul 23 alineatul (2) din Regulamentul (UE) 2016/679. Din acest motiv, datele cu caracter personal transferate în scopul controlului imigraţiei în Regatul Unit sau care intră în alt mod în domeniul de aplicare al derogării în materie de imigraţie au fost excluse din domeniul de aplicare al Deciziei de punere în aplicare (UE) 2021/1772.

(⁵⁹)Derogarea în materie de imigraţie, astfel cum a fost revizuită prin Regulamentele din 2022, a fost contestată din nou prin intermediul controlului jurisdicţional, pe motiv că nu îndeplinea încă toate cerinţele prevăzute la articolul 23 alineatul (2) din RGPD al Regatului Unit. În decembrie 2023, Curtea de Apel a constatat incompatibilitatea acesteia cu cerinţele articolului 23 alineatul (2) din RGPD al Regatului Unit. Ca urmare a acestei hotărâri, Regulamentul din 2024 completează Regulamentul din 2022 şi aduce modificări suplimentare derogării în materie de imigraţie.

(38)În plus, ICO din Regatul Unit a emis orientări detaliate privind utilizarea acestei restricţii specifice (⁶⁴). Orientările prevăd, în special, că "derogarea în materie de imigraţie nu ar trebui aplicată ca derogare generală pentru a limita [... ] drepturile pentru toate datele pe care le deţineţi. Domeniul de aplicare al derogării se limitează la acele drepturi care, dacă ar fi exercitate pentru datele deţinute, ar aduce atingere scopurilor identificate în materie de imigraţie. [... ]. Prin urmare, poziţia implicită a operatorului ar trebui să fie aceea de a respecta, pe cât posibil, cerinţele Regulamentului (UE) 2016/679 şi ale DPA. [... ] Testul de prejudiciu are un prag ridicat, iar derogarea nu ar trebui aplicată în mod generalizat. [... ] Trebuie să analizaţi dacă aplicarea derogării este un răspuns proporţional la cererea persoanei în cauză privind protecţia datelor. Puteţi considera că există o nevoie socială presantă de a aplica derogarea în materie de imigraţie, dar trebuie să analizaţi, de asemenea, dacă acest lucru prevalează asupra obligaţiei care vă revine faţă de persoane în temeiul Regulamentului (UE) 2016/679. Acestea au drepturi asupra datelor lor cu caracter personal, pe care trebuie să le aveţi în vedere în toate circumstanţele, în special dreptul de acces. Prin urmare, este important ca, în fiecare caz, să analizaţi dacă drepturile persoanei la protecţia datelor prevalează asupra riscului de prejudiciu identificat. Aplicarea derogării trebuie să se realizeze în mod proporţional cu circumstanţele, fiecare caz trebuind analizat şi documentat cu atenţie."

(39)În general, restricţia în materie de imigraţie prevăzută la punctul 4 din anexa 2 la DPA din 2018, astfel cum a fost revizuită de Guvernul Regatului Unit în 2022 şi 2024 şi astfel cum a fost interpretată de jurisprudenţă (⁶⁵) şi de orientările Biroului Comisarului pentru Informaţii, face obiectul unei serii de condiţii stricte care reglementează aplicarea sa şi care sunt foarte similare cu condiţiile stabilite în dreptul Uniunii, în special la articolul 23 din Regulamentul (UE) 2016/679, pentru restricţionarea drepturilor şi obligaţiilor în materie de protecţie a datelor pentru obiective importante de interes public, cum ar fi controlul imigraţiei.

SECŢIUNEA 5:2.2.5. Restricţii privind transferurile ulterioare de date

(40)Nivelul de protecţie oferit datelor cu caracter personal transferate din Uniunea Europeană către operatorii sau persoanele împuternicite de operatori din Regatul Unit continuă să nu fie subminat de transferul ulterior al acestor date către destinatari dintr-o ţară terţă. Regimul privind transferurile internaţionale de date cu caracter personal din Regatul Unit rămâne foarte apropiat de normele prevăzute în capitolul V din Regulamentul (UE) 2016/679, astfel cum au fost evaluate în considerentele 74-82 din Decizia de punere în aplicare (UE) 2021/1772.

(41)Deşi Legea în materie de (utilizare şi acces la) date a modificat capitolul 5 din RGPD al Regatului Unit privind transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale, aceasta menţine cerinţa de bază potrivit căreia datele cu caracter personal pot fi transferate numai către o ţară terţă sau o organizaţie internaţională în cazul în care transferul se bazează pe (i) regulamente de aprobare a transferului (noua terminologie pentru ceea ce era denumit anterior "regulamente privind caracterul adecvat al nivelului de protecţie"), (ii) garanţii adecvate sau (iii) o derogare pentru situaţii specifice. Aceste principii generale pentru transferurile de date se reflectă în noul articol 44A, care înlocuieşte articolul 44 din RGPD al Regatului Unit (⁶⁶) şi care precizează, de asemenea, că transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională sunt permise numai dacă transferul se efectuează în conformitate cu celelalte dispoziţii ale RGPD al Regatului Unit.

(42)În ceea ce priveşte în mod specific regulamentele de aprobare a unui transfer, articolul 45A alineatul (2) din RGPD al Regatului Unit precizează că secretarul de stat poate adopta astfel de regulamente numai în cazul în care consideră că este îndeplinit criteriul privind protecţia datelor. Aceasta înseamnă că posibilitatea [introdusă prin articolul 45A alineatul (3) din RGPD al Regatului Unit] ca secretarul de stat să ţină seama de oportunitatea facilitării fluxurilor de date atunci când adoptă astfel de regulamente este întotdeauna supusă condiţiei ca criteriul privind protecţia datelor să fie îndeplinit. Standardul juridic referitor la criteriul privind protecţia datelor care trebuie îndeplinit este prevăzut la noul articol 45B alineatul (1) din RGPD al Regatului Unit, care impune ca standardul de protecţie pentru persoanele vizate din ţările destinatare sau din cadrul organizaţiilor internaţionale să nu fie cu mult inferior standardului prevăzut pentru persoanele vizate în temeiul legislaţiei relevante a Regatului Unit privind protecţia datelor. Articolul 45B alineatul (2) din RGPD al Regatului Unit prevede şi o listă neexhaustivă de elemente care trebuie luate în considerare atunci când se evaluează dacă acest criteriu este îndeplinit, cum ar fi respectarea statului de drept şi a drepturilor omului, existenţa şi competenţele unei autorităţi pentru protecţia datelor, modalităţile de exercitare a căilor de atac judiciare sau extrajudiciare, normele privind transferul de date cu caracter personal din ţară sau de către organizaţie către alte ţări sau organizaţii internaţionale, obligaţiile internaţionale relevante ale ţării sau ale organizaţiei, precum şi structura, tradiţiile şi cultura ţării sau ale organizaţiei. Deşi reformulează lista elementelor relevante, astfel cum este prevăzută la fostul articol 45 din RGPD al Regatului Unit, noul articol 45B alineatul (2) păstrează elementele esenţiale ale listei respective şi, prin urmare, rămâne aproape de ceea ce se prevede în capitolul V din Regulamentul (UE) 2016/679. În plus, autorităţile Regatului Unit au confirmat că secretarul de stat va lua în considerare elemente care nu sunt enumerate la articolul 45B alineatul (2), cum ar fi legislaţia şi practicile dintr-o ţară terţă referitoare la modul în care autorităţile publice accesează datele cu caracter personal în scopuri precum securitatea naţională sau asigurarea respectării legii, în măsura în care acestea afectează standardul general de protecţie. În plus, autorităţile Regatului Unit consideră că jurisprudenţa relevantă din ţara terţă va fi o componentă esenţială atunci când se vor analiza aspectele enumerate neexhaustiv la articolul 45B alineatul (2) din RGPD al Regatului Unit.

(43)Regulamentele de aprobare a unui transfer continuă să facă obiectul cerinţelor procedurale "generale" prevăzute în secţiunea 182 din DPA din 2018, astfel cum se prevede în considerentul 77 din Decizia de punere în aplicare (UE) 2021/1772. În temeiul acestei proceduri, secretarul de stat trebuie să consulte Comisarul pentru Informaţii atunci când propune adoptarea unor regulamente ale Regatului Unit privind caracterul adecvat al nivelului de protecţie (⁶⁷). Odată adoptate de secretarul de stat, aceste regulamente sunt prezentate Parlamentului şi fac obiectul procedurii de "rezoluţie negativă", în cadrul căreia ambele camere ale Parlamentului pot examina regulamentele şi pot adopta o propunere de anulare a acestora în termen de 40 de zile (⁶⁸).

(44)În ceea ce priveşte garanţiile adecvate, noul alineat (1A) de la articolul 46 din RGPD al Regatului Unit prevede că astfel de transferuri pot avea loc numai dacă sunt prevăzute garanţii relevante în instrumentele disponibile în temeiul articolului 46 alineatele (2) şi (3) (⁶⁹) din RGPD al Regatului Unit, iar operatorul, persoana împuternicită de operator sau organismele publice aplicabile, acţionând în mod rezonabil şi proporţional, consideră că este îndeplinit criteriul privind protecţia datelor. Alineatele (6) şi (7) nou introduse clarifică faptul că respectivul criteriu privind protecţia datelor este îndeplinit în cazul în care, datorită garanţiilor necesare, standardul de protecţie prevăzut pentru persoanele vizate nu este cu mult inferior după transfer comparativ cu standardul prevăzut de legislaţia relevantă privind protecţia datelor din Regatul Unit, şi anume astfel cum este cazul în temeiul Regulamentului (UE) 2016/679, aceleaşi standarde juridice se aplică ambelor regulamente de aprobare a unui transfer şi garanţiilor adecvate. În conformitate cu acelaşi alineat, ceea ce este rezonabil şi proporţional trebuie stabilit în funcţie de toate circumstanţele sau circumstanţele probabile ale transferului sau ale tipului de transfer, inclusiv în funcţie de natura şi volumul datelor cu caracter personal transferate.

(⁶⁹)Instrumentul de transfer disponibil în temeiul articolului 46 alineatele (2) şi (3) din RGPD al Regatului Unit sunt instrumente obligatorii din punct de vedere juridic şi executorii între autorităţi sau organisme publice, reguli corporatiste obligatorii în conformitate cu articolul 47 din RGPD al Regatului Unit, clauze standard de protecţie a datelor specificate în regulamentele adoptate de secretarul de stat sau specificate într-un document emis de Comisia pentru Informaţii, un cod de conduită aprobat şi un mecanism de certificare aprobat.

(45)În ceea ce priveşte derogările pentru situaţii specifice, la articolul 49 din RGPD al Regatului Unit privind condiţiile în care se pot aplica derogări pentru situaţii specifice, se introduc o serie de modificări de ordin tehnic, care aliniază dispoziţia la modificările aduse altor dispoziţii, dar care nu afectează nivelul de protecţie a datelor cu caracter personal în Regatul Unit. În plus, se introduce un nou alineat (4A) pentru a reproduce efectul secţiunii 18 alineatul (1) din DPA din 2018, care acordă secretarului de stat autoritatea de a preciza, prin regulamente, circumstanţele transferurilor de date considerate necesare din motive de interes public. În fine, un nou articol 49A reproduce efectul secţiunii 18 alineatul (2) din DPA din 2018, care permite secretarului de stat să impună, prin regulamente, restricţii asupra transferurilor de date în cazul în care acestea nu sunt aprobate în temeiul articolului 45A (transferuri aprobate prin regulamente) şi atunci când se consideră necesar din motive importante de interes public.

(47)În ceea ce priveşte regulamentele de aprobare a transferurilor, până în prezent, s-au adoptat două noi regulamente, care reflectă deciziile privind caracterul adecvat al nivelului de protecţie care sunt în vigoare şi în cadrul Uniunii, şi anume pentru transferurile către Republica Coreea şi pentru transferurile către entităţi comerciale care au aderat la extinderea aplicării Cadrului UE-SUA privind confidenţialitatea datelor la Regatul Unit. Regulamentele privind caracterul adecvat al nivelului de protecţie pentru Republica Coreea (⁷⁰) au intrat în vigoare la 19 decembrie 2022 şi permit transferul de date cu caracter personal din Regatul Unit către Republica Coreea. Extinderea aplicării Cadrului UE-SUA privind confidenţialitatea datelor la Regatul Unit, pentru care regulamentele relevante (⁷¹) au intrat în vigoare la 12 octombrie 2023, permite libera circulaţie a datelor cu caracter personal către organizaţii certificate din SUA.

(48)În ceea ce priveşte garanţiile adecvate, Regatul Unit a publicat propriile clauze contractuale standard privind protecţia datelor, Acordul internaţional privind transferul de date (International Data Transfer Agreement - IDTA) (⁷²) şi un addendum la clauzele contractuale standard ale UE (SCC), ambele intrând în vigoare în martie 2022. IDTA oferă un mecanism specific Regatului Unit pentru asigurarea unor garanţii adecvate pentru transferul de date cu caracter personal şi prezinte diverse asemănări cu clauzele contractuale standard ale UE. Addendumul, emis de Biroul Comisarului pentru Informaţii, permite operatorilor de date şi persoanelor împuternicite de operatori din Regatul Unit să se bazeze pe clauzele contractuale standard ale UE în temeiul RGPD al Regatului Unit pentru transferurile internaţionale. Biroul Comisarului pentru Informaţii a emis, de asemenea, un instrument de evaluare a riscurilor de transfer pentru a sprijini organizaţiile din Regatul Unit în evaluarea riscurilor asociate transferurilor internaţionale.

(49)Regatul Unit a simplificat, de asemenea, procesul de aprobare a regulilor corporatiste obligatorii (Binding Corporate Rules - BCR) prin noi orientări şi noi opţiuni de aprobare a BCR. În iulie 2022, Biroul Comisarului pentru Informaţii a publicat orientări şi tabele de referinţă pentru a explica abordarea Regatului Unit cu privire la BCR după Brexit şi, în decembrie 2023, a fost publicat un addendum la BCR ale UE pentru a se asigura că BCR aprobate în temeiul cadrului Uniunii sunt executorii în Regatul Unit (⁷³).

(⁷³)Biroul Comisarului pentru Informaţii a primit un număr semnificativ de cereri legate de BCR din Regatul Unit după Brexit. Multe BCR aprobate nu mai puteau fi utilizate, deoarece numai BCR în cazul cărora Biroul Comisarului pentru Informaţii a fost implicată în procesul de aprobare a BCR putea fi utilizate în continuare după Brexit, dar respectivii titulari ai BCR au fost obligaţi să prezinte Biroului Comisarului pentru Informaţii documentaţia BCR actualizată în conformitate cu RGPD al Regatului Unit.

(50)În fine, în iulie 2023, Regatul Unit a devenit membru asociat al Forumului mondial privind normele transfrontaliere în materie de protecţie a vieţii private (Forumul CBPR - Cross-Border Privacy Rules) (⁷⁴). Un aspect important îl reprezintă faptul că această aderare nu implică nicio facilitare a transferurilor de date din Regatul Unit către alţi membri ai Forumului CBPR. Regatul Unit a clarificat faptul că orice transfer de date cu caracter personal din Regatul Unit către ţări terţe sau organizaţii internaţionale trebuie să îndeplinească respectivele condiţii prevăzute în legislaţia Regatului Unit, astfel cum se descrie mai sus, în special criteriul privind protecţia datelor, care impune ca standardele de protecţie acordate să nu fie "semnificativ mai scăzute" decât cele prevăzute în RGPD al Regatului Unit.

(51)Astfel cum Comisia a explicat deja, CBPR nu asigură un nivel suficient de protecţie pentru datele cu caracter personal care provin din UE. În special, CBPR nu prevăd drepturi individuale exercitabile (⁷⁵). Prin urmare, este deosebit de important ca, chiar dacă Regatul Unit este membru asociat al Forumului mondial CBPR, CBPR să nu poată constitui un mecanism de transfer valabil în temeiul legislaţiei Regatului Unit privind protecţia datelor. Dacă circumstanţele menţionate s-ar schimba, acest lucru ar submina nivelul de protecţie garantat în prezent datelor cu caracter personal transferate din UE către Regatul Unit. Prin urmare, Comisia va continua să monitorizeze îndeaproape evoluţiile ulterioare în această privinţă.

(⁷⁵)A se vedea, de exemplu, analiza comparativă efectuată de autorităţile pentru protecţia datelor din cadrul G7 cu privire la elementele de bază ale sistemului de certificare RGPD şi ale sistemului CBPR, care a evidenţiat existenţa unor "diferenţe notabile" între sisteme, inclusiv în ceea ce priveşte "forţa executorie şi căile de atac, normele privind supravegherea independentă şi accesul administraţiei publice". Disponibilă la următoarea adresă: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10063165

SECŢIUNEA 6:2.2.6. Procesul decizional automatizat

(53)În primul rând, articolul 22B nou introdus din RGPD al Regatului Unit stabileşte o interdicţie generală privind prelucrarea categoriilor speciale de date cu caracter personal [definite la articolul 9 alineatul (1) din RGPD al Regatului Unit] pentru deciziile bazate exclusiv pe prelucrarea automată care au efecte juridice sau la fel de semnificative pentru persoana vizată. Totuşi, acesta prevede trei excepţii de la interdicţia menţionată: persoana vizată şi-a dat consimţământul explicit pentru o astfel de prelucrare sau decizia este necesară pentru încheierea sau executarea unui contract între operator şi persoana vizată sau prelucrarea este impusă sau autorizată prin lege. În cazul ultimelor două excepţii, prelucrarea automată trebuie să fie necesară din motive de interes public major (⁷⁶). Interdicţia generală nu se aplică deciziilor semnificative bazate pe prelucrarea automată a unor categorii nespeciale de date.

(54)În plus, noul articol 22A din RGPD al Regatului Unit clarifică definiţia unei decizii care se bazează "exclusiv pe prelucrarea automată", prevăzând că o astfel de decizie este una în care nu există o implicare umană semnificativă în procesul decizional. Un aspect important îl reprezintă faptul că operatorii trebuie să evalueze măsura în care crearea de profiluri contribuie la o decizie prin care se stabileşte dacă implicarea umană a fost semnificativă. Articolul 22A din RGPD al Regatului Unit clarifică, de asemenea, faptul că o "decizie semnificativă" este una care produce efecte juridice sau are un impact la fel de semnificativ asupra unei persoane vizate (⁷⁷).

(55)În al doilea rând, articolul 22C nou introdus din RGPD al Regatului Unit impune operatorilor să pună în aplicare măsuri care să ofere garanţiile relevante pentru orice decizie importantă bazată integral sau parţial pe date cu caracter personal şi întemeiată exclusiv pe prelucrarea automată (inclusiv pentru categoriile nespeciale de date cu caracter personal). Aceste garanţii trebuie să includă furnizarea de informaţii persoanei vizate cu privire la procesul decizional, permiţându-i persoanei vizate să conteste decizia şi să îşi prezinte observaţiile, precum şi asigurarea faptului că persoana vizată poate obţine o intervenţie umană în procesul decizional (⁷⁸).

(56)În cele din urmă, articolul 22D nou introdus din RGPD al Regatului Unit acordă secretarului de stat autoritatea de a prezenta legislaţie secundară pentru a descrie ce constituie şi ce nu constituie o implicare umană semnificativă şi ce decizii trebuie sau nu trebuie considerate ca având un impact la fel de semnificativ asupra persoanelor vizate. De asemenea, articolul permite secretarului de stat să prezinte legislaţie secundară pentru: (i) a adăuga noi garanţii; (ii) a impune cerinţe care să completeze garanţiile existente şi (iii) a defini măsuri care nu îndeplinesc garanţiile (⁷⁹). Este important de remarcat faptul că, înainte de a adopta regulamente în conformitate cu articolul 22D din RGPD al Regatului Unit, secretarul de stat trebuie să consulte ICO (⁸⁰), iar regulamentele nu pot modifica articolul 22C din RGPD al Regatului Unit (⁸¹) şi sunt supuse procedurii rezoluţiei afirmative (⁸²), ceea ce înseamnă că acestea trebuie să fie aprobate de ambele camere ale Parlamentului Regatului Unit înainte de a putea fi adoptate.

(57)Deşi Legea în materie de (utilizare şi acces la) date a modificat, prin urmare, cadrul pentru procesul decizional automatizat, este important de remarcat faptul că, în temeiul cadrului juridic al Regatului Unit, procesul decizional automatizat continuă să facă obiectul garanţiilor esenţiale care impun dreptul de a obţine intervenţie umană în toate cazurile de decizii semnificative bazate exclusiv pe prelucrarea automată, şi anume pe baza prelucrării datelor cu caracter personal sensibile şi nesensibile (⁸³). În plus, astfel cum a observat Comisia în deciziile anterioare privind caracterul adecvat al nivelului de protecţie (⁸⁴), este puţin probabil ca normele specifice privind procesul decizional automatizat din RGPD al Regatului Unit să afecteze nivelul de protecţie a datelor cu caracter personal transferate din Uniune către Regatul Unit. În ceea ce priveşte datele cu caracter personal care au fost colectate în Uniune, orice decizie bazată pe prelucrarea automată va fi luată de regulă de către operatorul din Uniune (care are o relaţie directă cu persoana vizată în cauză) şi, prin urmare, intră sub incidenţa normelor prevăzute de Regulamentul (UE) 2016/679.

(⁸⁴)A se vedea, de exemplu, considerentul 94 din Decizia de punere în aplicare (UE) 2019/419 şi considerentul 81 din Decizia de punere în aplicare (UE) 2022/254 a Comisiei din 17 decembrie 2021 de constatare, în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului, a nivelului adecvat de protecţie a datelor cu caracter personal asigurat de Republica Coreea în baza Legii privind protecţia informaţiilor cu caracter personal (JO L 44, 24.2.2022, p. 1, ELI: http://data.europa.eu/eli/dec_impl/2022/254/oj).

CAPITOLUL 3:2.3. Supravegherea şi asigurarea respectării normelor

SECŢIUNEA 1:2.3.1. Supravegherea independentă

(58)În Regatul Unit, supravegherea şi asigurarea respectării cadrului de protecţie a datelor continuă să fie efectuate de o autoritate independentă de supraveghere a protecţiei datelor, astfel cum se analizează în considerentele 85-91 din Decizia de punere în aplicare (UE) 2021/1772. Legea în materie de (utilizare şi acces la) date reformează structura de guvernanţă a acestei autorităţi prin înfiinţarea unui organism corporativ, Comisia pentru Informaţii, care va înlocui ICO, care a fost structurat ca o întreprindere individuală.

(59)Mai precis, măsurile de guvernanţă prevăzute în Legea în materie de (utilizare şi acces la) date, odată puse în aplicare, vor elimina Biroul Comisarului pentru Informaţii şi vor transfera funcţiile, personalul şi bunurile de la ICO către noul organism, Comisia pentru Informaţii. Comisia pentru Informaţii este formată din membri executivi şi neexecutivi (⁸⁵). Legea prevede, de asemenea, transferarea, de la Comisarul pentru Informaţii, a rolului de preşedinte al Comisiei pentru Informaţii, care este unul dintre membrii neexecutivi (⁸⁶). Legea în materie de (utilizare şi acces la) date prevede, de asemenea, că, în măsura în care acest lucru este adecvat ca urmare a transferului de funcţii, trimiterile la Comisarul pentru Informaţii din toate actele legislative sau din alte documente (ori de câte ori sunt adoptate sau emise) trebuie tratate ca trimiteri la Comisia pentru Informaţii. Pentru a-şi îndeplini funcţiile, Comisia pentru Informaţii poate institui comitete şi poate delega funcţii unui membru, unui angajat sau unui comitet al Comisiei (⁸⁷) şi poate lua măsuri pentru reglementarea procedurii sale şi a procedurii comitetelor, inclusiv în ceea ce priveşte cvorumul şi luarea deciziilor cu majoritate de voturi. Aceste proceduri trebuie făcute publice (⁸⁸).

(60)Un aspect important îl reprezintă faptul că independenţa Comisiei pentru Informaţii face obiectul aceloraşi garanţii, inclusiv în ceea ce priveşte normele privind numirea şi revocarea preşedintelui, precum cele evaluate în considerentele 87-90 din Decizia de punere în aplicare (UE) 2021/1772 (⁸⁹). Măsuri de protecţie similare se aplică şi în cazul celorlalţi membri neexecutivi ai Comisiei pentru Informaţii. În special, preşedintele Comisiei pentru Informaţii este numit de Majestatea Sa la recomandarea secretarului de stat. Acesta este selectat pe baza meritelor şi în urma unei competiţii deschise şi echitabile (⁹⁰). Ceilalţi membri neexecutivi sunt numiţi de secretarul de stat, în urma consultărilor cu preşedintele. Candidaţii pot fi recomandaţi pentru numire sau pot fi numiţi numai dacă sunt selectaţi pe baza meritelor, în urma unui concurs echitabil şi deschis şi dacă secretarul de stat s-a asigurat că aceştia nu se află într-o situaţie de conflict de interese (⁹¹). Membrii executivi sunt angajaţi ai Comisiei pentru Informaţii în conformitate cu termenii şi condiţiile stabilite de membrii neexecutivi (⁹²). Şeful executivului este numit de preşedinte şi de alţi membri neexecutivi, în urma consultărilor cu secretarul de stat. Numirile membrilor executivi fac, de asemenea, obiectul unei selecţii pe baza meritelor, în urma unui concurs echitabil şi deschis (⁹³).

(61)Preşedintele poate fi revocat din funcţie de Maiestatea Sa numai în urma unei cereri oficiale din partea ambelor camere ale Parlamentului şi numai dacă secretarul de stat a prezentat camerei respective un raport în care declară că secretarul de stat este convins că preşedintele se face vinovat de o abatere gravă, se află într-un conflict de interese, nu a respectat cerinţele specifice de informare cu privire la potenţialele conflicte de interese sau nu este în măsură, nu este apt sau nu doreşte să exercite funcţiile care îi revin preşedintelui (⁹⁴). Membrii neexecutivi pot fi revocaţi din funcţie de către secretarul de stat numai dacă acesta este convins că sunt îndeplinite condiţiile specifice prevăzute în legislaţie. Printre acestea se numără conflictele de interese, abaterile grave sau incapacitatea, refuzul sau inaptitudinea de a-şi îndeplini sarcinile. În ceea ce priveşte garanţiile suplimentare, secretarul de stat are obligaţia de a face publică decizia de a face acest lucru şi de a oferi membrului o motivare pentru revocare (⁹⁵).

(62)Rolul principal al Comisiei pentru Informaţii va consta în continuare în monitorizarea şi aplicarea cadrului de protecţie a datelor în Regatul Unit "pentru a proteja drepturile şi libertăţile fundamentale" ale persoanelor fizice (⁹⁶). În ceea ce priveşte funcţia Comisiei pentru Informaţii de a asigura un nivel adecvat de protecţie a datelor cu caracter personal, Legea în materie de (utilizare şi acces la) date prevede în mod specific obligaţia Comisiei pentru Informaţii de a ţine seama de interesele persoanelor vizate, ale operatorilor şi ale altor persoane şi de aspecte de interes public general, precum şi să promoveze încrederea publicului în prelucrarea datelor cu caracter personal (⁹⁷). Aceste obiective sunt menţionate, de asemenea, în considerentul 7 din Regulamentul (UE) 2016/679.

(63)În plus, Legea în materie de (utilizare şi acces la) date specifică faptul că, atunci când îşi exercită funcţia în temeiul legislaţiei privind protecţia datelor, Comisia pentru Informaţii trebuie să aibă în vedere promovarea inovării şi a concurenţei, importanţa prevenirii, a investigării, a depistării şi a urmăririi penale a infracţiunilor, necesitatea de a proteja siguranţa publică şi securitatea naţională, precum şi nevoile specifice legate de protecţia copiilor (⁹⁸). Legislaţia UE privind protecţia datelor recunoaşte, de asemenea, necesitatea de a asigura un echilibru între protecţia datelor personale şi alte drepturi fundamentale şi obiective, precum progresul economic şi social, securitatea şi justiţia şi libertatea de a desfăşura o activitate comercială (⁹⁹).

(⁹⁸)-Secţiunea 91 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 120B în DPA din 2018. Legea în materie de (utilizare şi acces la) date introduce, de asemenea, o nouă secţiune 120C în DPA din 2018, care prevede obligaţia Comisiei pentru Informaţii de a elabora şi de a publica o strategie care, printre altele, să reflecte modul în care aceasta va ţine seama, în exercitarea funcţiilor sale de reglementare, de aspectele menţionate mai sus şi de promovarea creşterii economice.

SECŢIUNEA 2:2.3.2. Asigurarea respectării normelor, inclusiv sancţiunile

(66)Pe de o parte, Legea în materie de (utilizare şi acces la) date clarifică faptul că Comisia pentru Informaţii poate solicita "documente" şi "informaţii" specifice atunci când îşi exercită competenţa referitoare la notificarea de informare (¹⁰¹). Pe de altă parte, Legea în materie de (utilizare şi acces la) date introduce două noi competenţe de investigare pentru Comisia pentru Informaţii: o nouă competenţă de a solicita un raport (¹⁰²) şi o nouă competenţă de a emite "avize de prezentare la audiere" către operatori în cazul unei presupuse încălcări a RGPD al Regatului Unit sau a DPA din 2018 (¹⁰³).

(¹⁰¹)-Secţiunea 97 din Legea în materie de (utilizare şi acces la) date, care modifică secţiunea 142 din DPA din 2018. Consideraţiile privind impactul tehnologiei şi rolul protecţiei datelor în crearea încrederii în economia digitală fac parte din activităţile autorităţilor de reglementare în domeniul protecţiei datelor, atât în Regatul Unit, cât şi în UE. A se vedea, de exemplu, raportul anual pe 2024 al Comitetului european pentru protecţia datelor, pagina 12: "CEPD este un organism dinamic şi de colaborare care joacă un rol esenţial în asigurarea aplicării consecvente a legislaţiei privind protecţia datelor în întreaga Europă. Din perspectiva mea în calitate de vicepreşedinte, consider că acesta este un gardian al drepturilor la viaţă privată ale persoanelor, asigurând un echilibru adecvat între nevoile de inovare şi de creştere economică."

(67)În ceea ce priveşte exercitarea acestor competenţe de către Comisia pentru Informaţii, de la intrarea în vigoare a Deciziei de punere în aplicare (UE) 2021/1772, Comisarul pentru Informaţii a gestionat aproximativ 40 000 de plângeri din partea persoanelor vizate pe an, un număr similar cu numărul de plângeri gestionate atunci când Regatul Unit făcea încă parte din Uniune şi aplica Regulamentul (UE) 2016/679 (¹⁰⁴). Biroul Comisarului pentru Informaţii a efectuat, de asemenea, investigaţii din oficiu, care au acoperit o gamă largă de aspecte sectoriale şi de conformitate, inclusiv drepturile persoanelor vizate (¹⁰⁵).

(68)În ceea ce priveşte măsurile de asigurare a respectării normelor, de la intrarea în vigoare a Deciziei de punere în aplicare (UE) 2021/1772, Comisarul pentru Informaţii a emis 120 de mustrări, 32 de notificări de informare, 3 notificări de evaluare, 12 notificări de executare, 2 avertismente şi 12 amenzi (¹⁰⁶). Printre acestea se numără mai multe sancţiuni financiare semnificative impuse în temeiul RGPD al Regatului Unit şi al DPA din 2018. De exemplu, Comisarul pentru Informaţii a impus în aprilie 2023 o amendă de 12,7 milioane GBP unei platforme de comunicare socială pentru utilizarea abuzivă a datelor copiilor (¹⁰⁷). În martie 2025, o companie de software a fost amendată cu 3,07 milioane GBP pentru deficienţe în materie de securitate care au pus în pericol informaţiile cu caracter personal a peste 70 000 de persoane (¹⁰⁸). Foarte recent, în iunie 2025, Comisarul pentru Informaţii a aplicat unei societăţi de testare genetică o amendă în valoare de 2,31 milioane GBP pentru că nu a pus în aplicare măsuri de securitate adecvate pentru a proteja informaţiile cu caracter personal ale utilizatorilor din Regatul Unit, în urma unui atac cibernetic de mare amploare din 2023 (¹⁰⁹).

(69)De la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Biroul Comisarului pentru Informaţii a elaborat şi a publicat, de asemenea, un număr semnificativ de orientări, avize şi alte documente de orientare, care clarifică aplicarea normelor de protecţie a datelor în domenii importante, cum ar fi recunoaşterea facială, echitatea în domeniul inteligenţei artificiale, datele copiilor, marketingul direct, supravegherea video, dreptul de acces, transparenţa în domeniul sănătăţii şi al asistenţei sociale etc., pentru diferite categorii de public, inclusiv pentru întreprinderile mici şi mijlocii, entităţi specifice precum şcolile, creşele sau autorităţile publice mici, precum şi pentru întreprinderi în general, publicul larg sau persoanele vizate (¹¹⁰).

TITLUL 3:EVOLUŢII RELEVANTE ÎN CEEA CE PRIVEŞTE ACCESAREA ŞI UTILIZAREA DE CĂTRE AUTORITĂŢILE PUBLICE DIN REGATUL UNIT A DATELOR CU CARACTER PERSONAL TRANSFERATE DIN UNIUNEA EUROPEANĂ

CAPITOLUL 1:3.1. Cadrul juridic general

(70)Regatul Unit continuă să fie membru al Consiliului Europei, să adere la Convenţia europeană a drepturilor omului şi să fie supus jurisdicţiei Curţii Europene a Drepturilor Omului. Prin urmare, acesta continuă să facă obiectul obligaţiilor consacrate în dreptul internaţional, astfel cum sunt descrise în considerentele 116-119 din Decizia de punere în aplicare (UE) 2021/1772, care reglementează sistemul său de acces al autorităţilor publice la datele cu caracter personal pe baza unor principii, garanţii şi drepturi individuale identice cu cele care se aplică celor 27 de state membre ca părţi la CEDO şi care sunt, în mare măsură, reflectate în jurisprudenţa relevantă a Curţii de Justiţie a Uniunii Europene.

(71)Garanţiile şi drepturile specifice în materie de protecţie a datelor continuă să fie garantate de DPA din 2018 atunci când datele sunt prelucrate de autorităţile publice din Regatul Unit, inclusiv de organismele de asigurare a respectării legii şi de securitate naţională, astfel cum se analizează în considerentele 121-132 din Decizia de punere în aplicare (UE) 2021/1772. Legea în materie de (utilizare şi acces la) date a adus doar modificări limitate şi specifice acelor părţi din DPA din 2018 care prevăd normele pentru prelucrarea datelor cu caracter personal în contextul asigurării respectării dreptului penal (partea 3 din DPA din 2018) şi al securităţii naţionale (partea 4 din DPA din 2018).

(72)În ceea ce priveşte prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora, partea 3 din DPA din 2018 prevede în continuare principii, drepturi şi obligaţii similare celor prevăzute în Directiva (UE) 2016/680 (¹¹¹).

(¹¹¹)-Secţiunea 69 din Legea în materie de (utilizare şi acces la) date introduce definiţia consimţământului şi condiţiile pentru recurgerea la consimţământ, astfel cum sunt prevăzute la articolul 4 alineatul (11) şi la articolul 7 din RGPD al Regatului Unit [care reflectă dispoziţiile corespunzătoare din Regulamentul (UE) 2016/679], ca noi secţiuni 33(1A) şi 40A în DPA din 2018, clarificând astfel conceptul de consimţământ şi condiţiile pentru recurgerea la consimţământ atunci când este utilizat ca temei juridic pentru prelucrarea datelor cu caracter personal de către autorităţile competente în scopul asigurării respectării dreptului penal. În plus, secţiunea 71 alineatele (7) şi (8) din Legea în materie de (utilizare şi acces la) date clarifică într-o oarecare măsură formularea secţiunii 36 alineatul (1) din DPA din 2018. În fine, după caz, modificările aduse RGPD al Regatului Unit prin Legea în materie de (utilizare şi acces la) date, astfel cum sunt descrise în secţiunea 2, sunt reflectate, de asemenea, în partea 3 din DPA din 2018; a se vedea, de exemplu, secţiunea 74 alineatele (2)-(5) privind prelucrarea datelor sensibile, secţiunea 76 alineatele (4)-(6) în ceea ce priveşte termenele de răspuns la cererile persoanelor vizate, secţiunea 78 alineatele (2) şi (3) în ceea ce priveşte căutările ca răspuns la cererile persoanelor vizate şi secţiunea 80 alineatele (3)-(5) privind procesul decizional automatizat.

(74)Legea în materie de (utilizare şi acces la) date a modificat şi a consolidat derogările existente din partea 3 din DPA din 2018 aflate la dispoziţia autorităţilor competente în scopuri legate de securitatea naţională. Derogarea în materie de securitate naţională permite autorităţilor competente să nu aplice anumite dispoziţii din partea 3 din DPA din 2018 dacă derogarea de la dispoziţiile respective este necesară în scopul protejării securităţii naţionale (¹¹²). Aceasta reflectă derogările în materie de securitate naţională prevăzute pentru prelucrarea datelor cu caracter personal în temeiul RGPD al Regatului Unit (prevăzute în secţiunea 26 din DPA din 2018) şi în temeiul părţii 4 din DPA din 2018 (prevăzute în secţiunea 110 din DPA din 2018).

(¹¹²)-Secţiunea 78A alineatul (1) din DPA din 2018, astfel cum a fost introdus prin secţiunea 88 din Legea în materie de (utilizare şi acces la) date. În temeiul secţiunii 78A alineatele (2)-(4) din DPA din 2018, derogarea permite neaplicarea principiilor de protecţie a datelor (cu excepţia principiului legalităţii şi a condiţiilor şi garanţiilor pentru prelucrarea datelor sensibile), a drepturilor individuale, a obligaţiilor operatorilor de date şi ale persoanelor împuternicite de operatori în ceea ce priveşte încălcările securităţii datelor, a anumitor părţi ale normelor privind transferurile internaţionale de date şi a unora dintre competenţele de intrare ale Comisarului pentru Informaţii de a efectua inspecţii şi de a lua măsuri de asigurare a respectării legii.

(75)Derogarea în materie de securitate naţională face obiectul aceloraşi limitări şi garanţii ca derogările în temeiul RGPD al Regatului Unit şi al părţii 4 din DPA din 2018, astfel cum sunt analizate în considerentele 64-67 şi 126 din Decizia de punere în aplicare (UE) 2021/1772. În special, derogarea poate fi aplicată numai în măsura în care şi dacă este necesară pentru a proteja securitatea naţională. Aceasta nu este o derogare generală şi trebuie să fie luată în considerare şi invocată de operator de la caz la caz (¹¹³). În plus, orice aplicare a derogării trebuie să fie în conformitate cu standardele privind drepturile omului (bazate pe Legea privind drepturile omului din 1998 şi pe Convenţia europeană a drepturilor omului), conform cărora orice ingerinţă în viaţa privată ar trebui să fie necesară şi proporţională într-o societate democratică (¹¹⁴). Acest lucru este confirmat, de asemenea, în orientările ICO privind aplicarea derogărilor în materie de securitate naţională (¹¹⁵).

(76)În plus, pe baza modificărilor introduse prin Legea în materie de (utilizare şi acces la) date (¹¹⁶), o activitate specifică de prelucrare de către autorităţile competente pentru asigurarea respectării dreptului penal poate fi, de asemenea, reglementată de dispoziţiile părţii 4 din DPA din 2018, care se aplică în mod normal numai prelucrării datelor de către autorităţile naţionale de securitate.

(77)Deşi regimul de protecţie a datelor pentru prelucrarea în scopuri de securitate naţională este, prin urmare, extins în anumite situaţii şi la prelucrarea datelor de către autorităţile de aplicare a dreptului penal, acest lucru este valabil numai în circumstanţe specifice şi sub rezerva unor condiţii şi garanţii stricte, şi anume în cazul în care (i) o autoritate competentă este specificată ca "autoritate competentă calificată" în regulamentele prezentate de secretarul de stat care necesită aprobare parlamentară (¹¹⁷) şi (ii) secretarul de stat desemnează, printr-o notificare, o anumită activitate de prelucrare efectuată de autoritatea competentă calificată. Un aspect important îl reprezintă faptul că o astfel de desemnare poate avea loc numai dacă secretarul de stat consideră că desemnarea activităţii de prelucrare este necesară în scopul protejării securităţii naţionale, şi anume în cazul în care o autoritate de aplicare a dreptului penal acţionează în scopuri de securitate naţională, iar activitatea de prelucrare este efectuată de autoritatea competentă calificată în calitate de operator asociat împreună cu cel puţin un serviciu de informaţii (¹¹⁸). Ca garanţii suplimentare, secretarul de stat trebuie să consulte Comisarul pentru Informaţii înainte de a emite o notificare de desemnare (¹¹⁹), textul notificării trebuie, în principiu, să fie publicat (¹²⁰), iar o persoană direct afectată de o notificare de desemnare poate solicita controlul jurisdicţional (¹²¹). Prin urmare, această modificare urmăreşte, în esenţă, să clarifice faptul că, atunci când autorităţile Regatului Unit au competenţe atât în domeniul aplicării legii, cât şi în cel al securităţii naţionale şi prelucrează date în contextul acestor din urmă responsabilităţi, se poate aplica regimul de protecţie a datelor pentru serviciile de securitate naţională.

(¹¹⁸)-Secţiunea 82A alineatele (1) şi (2), astfel cum au fost introduse prin secţiunea 89 alineatul (3) din Legea în materie de (utilizare şi acces la) date. Ca garanţii suplimentare, secretarul de stat trebuie să consulte comisarul înainte de a emite o notificare de desemnare - a se vedea noua secţiune 82A alineatul (8) din DPA din 2018, textul notificării trebuie, în principiu, să fie publicat - a se vedea noua secţiune 82D alineatul (1), sub rezerva derogărilor prevăzute în noua secţiune 82D alineatul (3) din DPA din 2018, iar o persoană direct afectată de o notificare de desemnare poate solicita controlul jurisdicţional - a se vedea noua secţiune 82E din DPA din 2018.

(78)- Partea 4 din DPA din 2018 reglementează prelucrarea datelor de către serviciile de informaţii din Regatul Unit. Aceasta continuă să stabilească principalele principii de protecţie a datelor, să impună condiţii privind prelucrarea categoriilor speciale de date, să prevadă drepturi ale persoanelor vizate, să solicite protecţia datelor începând cu momentul conceperii şi să reglementeze transferurile de date cu caracter personal, astfel cum se descrie în considerentele 125-132 din Decizia de punere în aplicare (UE) 2021/1772.

(79)Modificările aduse acestui regim prin Legea în materie de (utilizare şi acces la) date sunt limitate. În ceea ce priveşte dreptul de acces al persoanelor vizate prevăzut în secţiunea 94 din DPA din 2018, Legea în materie de (utilizare şi acces la) date introduce o nouă subsecţiune 2A, clarificând faptul că persoana vizată are dreptul la informaţiile relevante numai în măsura în care operatorul poate să le furnizeze pe baza unei căutări rezonabile şi proporţionale (¹²²). Astfel cum se explică în considerentul 35, această modificare reglementează dreptul de acces pe baza unor standarde juridice stabilite, care iau în considerare, de asemenea, interesele persoanei vizate. În timp ce, în domeniul procesului decizional automatizat, operatorilor li se interzice în continuare să ia o decizie care afectează în mod semnificativ o persoană vizată şi care se bazează în întregime pe prelucrarea automată a datelor cu caracter personal referitoare la persoana vizată, cu excepţia cazului în care o astfel de decizie este impusă sau autorizată prin lege, persoana vizată şi-a dat consimţământul pentru luarea deciziei pe acest temei sau decizia este luată în contextul unui contract (¹²³); Legea în materie de (utilizare şi acces la) date introduce în partea 4 din DPA din 2018 (¹²⁴) aceeaşi definiţie a noţiunii de "decizii care se bazează în întregime pe prelucrarea automată" astfel cum figurează la articolul 22A din RGPD al Regatului Unit şi cum este analizată în considerentul 53 din prezenta decizie.

CAPITOLUL 2:3.2. Evoluţii relevante în ceea ce priveşte accesul şi utilizarea de către autorităţile publice din Regatul Unit în scopuri de asigurare a respectării dreptului penal

SECŢIUNEA 1:3.2.1. Temeiurile juridice şi limitările/garanţiile aplicabile

(82)În plus, Legea privind securitatea naţională din 2023 (¹²⁵), care urmăreşte abordarea ameninţărilor la adresa securităţii naţionale prin spionaj, sabotaj şi persoane care acţionează pentru puteri străine, a introdus noi competenţe în materie de acces, percheziţie şi confiscare pentru poliţia Regatului Unit, inclusiv posibilitatea de a obţine date cu caracter personal, în cazul în care există motive întemeiate să se suspecteze că vor fi obţinute materiale care vor constitui probabil dovezi că a fost săvârşită sau este pe cale să fie săvârşită una dintre infracţiunile cele mai grave sau activităţile de ameninţare din partea unei puteri străine prevăzute de Legea privind securitatea naţională din 2023 (¹²⁶). Aceste competenţe fac obiectul unor condiţii şi garanţii similare celor analizate în Decizia de punere în aplicare (UE) 2021/1772 pentru competenţele existente la momentul respectiv. În special, utilizarea acestora trebuie să fie autorizată prin intermediul unui mandat, al unui ordin de divulgare sau al unui ordin de furnizare de explicaţii emis de o autoritate judiciară independentă, la cererea agentului de poliţie judiciară/anchetatorului (¹²⁷). Există măsuri de protecţie specifice pentru materialele confidenţiale, cum ar fi materialele jurnalistice şi elementele care fac obiectul secretului profesional (¹²⁸). În mod similar, emiterea de ordine de prezentare de informaţii (¹²⁹), de ordine de prezentare a informaţiilor cu privire la clienţi (¹³⁰) şi de ordine de monitorizare a conturilor (¹³¹), create, de asemenea, prin Legea privind securitatea naţională din 2023, trebuie să fie autorizată de un judecător la cererea unui anchetator competent şi face obiectul unor condiţii şi garanţii specifice, inclusiv faptul că ordinul este solicitat în ceea ce priveşte o anumită persoană, în scopul unei investigaţii privind o activitate de ameninţare din partea unei puteri străine, că ordinul va spori eficacitatea investigaţiei şi că nu este utilizat pentru a obţine informaţii care sunt privilegiate din punct de vedere juridic sau excluse în alt mod, cum ar fi materialele jurnalistice şi anumite evidenţe medicale (¹³²).

(¹²⁶)-Anexa 2 la Legea privind securitatea naţională din 2023. Infracţiunile relevante în temeiul Legii privind securitatea naţională din 2023 sunt, de exemplu, obţinerea sau divulgarea de informaţii protejate (secţiunea 1), obţinerea sau divulgarea de secrete comerciale (secţiunea 3), sprijinirea unui serviciu de informaţii străin (secţiunea 4), sabotajul (secţiunea 12) sau desfăşurarea unui comportament specific interzis pentru o putere străină cu intenţia de a crea un efect de ingerinţă (secţiunea 13).

(83)Astfel cum se descrie în considerentele 139-141 din Decizia de punere în aplicare (UE) 2021/1772, în cadrul juridic al Regatului Unit, autorităţile specifice de aplicare a legii, de exemplu Agenţia Naţională pentru Combaterea Criminalităţii sau Serviciul de poliţie metropolitană (Metropolitan Police Service) pot utiliza, de asemenea, competenţe de investigare specifice în temeiul Legii privind competenţele de investigare (Investigatory Powers Act - IPA) din 2016 (¹³³) în scopul prevenirii sau al depistării infracţiunilor grave. Competenţele specifice de investigare pe care se pot baza aceste autorităţi de aplicare a legii sunt: interceptările ţintite (partea 2 din IPA din 2016), achiziţia datelor privind comunicaţiile (partea 3 din IPA din 2016) şi intervenţia ţintită asupra echipamentelor (partea 5 din IPA din 2016). Atunci când secretarul de stat emite avize de păstrare a datelor în temeiul părţii 4 din IPA din 2016, autorităţile de aplicare a legii pot, de asemenea, accesa aceste date păstrate privind comunicaţiile în virtutea competenţelor de obţinere a datelor privind comunicaţiile în temeiul părţii 3 din IPA din 2016.

(84)De la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Legea din 2016 privind competenţele de investigare, împreună cu Legea din 2000 de reglementare a competenţelor de investigare (Regulation of Investigatory Powers Act - RIPA) pentru Anglia, Ţara Galilor şi Irlanda de Nord şi Legea din 2000 de reglementare a competenţelor de investigare (din Scoţia) [Regulation of Investigatory Powers (Scotland) Act - RIPSA] pentru Scoţia, continuă să prevadă temeiul juridic şi să stabilească limitările şi garanţiile aplicabile pentru utilizarea acestor competenţe, astfel cum sunt descrise în Decizia de punere în aplicare (UE) 2021/1772. Este important de remarcat faptul că, pentru a exercita aceste competenţe, cadrul juridic continuă să prevadă că autorităţile trebuie să obţină un mandat (¹³⁴) emis de o autoritate competentă (¹³⁵) şi aprobat de un comisar judiciar independent (¹³⁶) (aşa-numita procedură de protecţie dublă - "double-lock"). Obţinerea unui astfel de mandat continuă să fie supusă unui test de necesitate şi proporţionalitate (¹³⁷).

(¹³⁴)-Partea 2 capitolul 2 din IPA din 2016 prevede un număr limitat de cazuri în care interceptările pot fi efectuate fără mandat. Acestea includ: interceptarea cu consimţământul expeditorului sau al destinatarului, interceptarea în scopuri administrative sau de asigurare a respectării legii, interceptarea care are loc în anumite instituţii (închisori, spitale psihiatrice şi centre de detenţie pentru imigranţi), precum şi interceptarea efectuată în conformitate cu un acord internaţional relevant.

(¹³⁵)În majoritatea cazurilor, secretarul de stat este autoritatea care emite mandatele în temeiul IPA din 2016, în timp ce miniştrii din Scoţia sunt împuterniciţi să emită mandate de interceptare ţintită, mandate de asistenţă reciprocă şi mandate pentru intervenţia ţintită asupra echipamentelor atunci când persoanele sau incintele care urmează să fie interceptate şi echipamentele care urmează să fie exploatate sunt situate în Scoţia (a se vedea secţiunile 22 şi 103 din IPA din 2016). În cazul unei intervenţii ţintite asupra echipamentelor, un şef al autorităţii de aplicare a legii (descris în părţile 1 şi 2 din anexa 6 la IPA din 2016) poate emite mandatul în condiţiile prevăzute în secţiunea 106 din IPA din 2016.

(85)În acelaşi timp, de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Legea privind competenţele de investigare (modificare) din 2024, care a primit avizul regal în aprilie 2024, a modificat anumite elemente specifice ale IPA din 2016 (¹³⁸). În măsura în care aceste modificări şi alte evoluţii relevante se referă la condiţiile, limitările şi garanţiile legate de utilizarea competenţelor de investigare specifice sus-menţionate de către autorităţile publice din Regatul Unit în scopul asigurării respectării dreptului penal, astfel cum au fost evaluate în considerentele 177-215 din Decizia de punere în aplicare (UE) 2021/1772, acestea sunt analizate în paragrafele următoare. În ceea ce priveşte elementele cadrului Regatului Unit care nu au fost modificate prin legea menţionată anterior sau care nu au fost afectate de alte evoluţii relevante, analiza efectuată în Decizia de punere în aplicare (UE) 2021/1772 continuă să fie valabilă.

(86)În ceea ce priveşte achiziţionarea şi păstrarea ţintită a datelor privind comunicaţiile (¹³⁹), condiţiile şi garanţiile care reglementează aceste competenţe, astfel cum au fost evaluate în Decizia de punere în aplicare (UE) 2021/1772, rămân în vigoare. Legea privind competenţele de investigare (modificare) din 2024 a clarificat garanţiile existente prin introducerea în secţiunea 11 din IPA din 2016 (care creează o infracţiune pentru obţinerea ilegală de date privind comunicaţiile de la un operator de telecomunicaţii) a unei liste de exemple privind ceea ce se înţelege ca fiind acoperit de "autoritatea legală" în dispoziţia respectivă (¹⁴⁰). În plus, Legea privind competenţele de investigare (modificare) din 2024 a clarificat şi mai mult definiţia datelor privind comunicaţiile din secţiunea 261 din IPA din 2016, specificând în mod explicit că detaliile abonaţilor se califică drept date privind comunicaţiile (¹⁴¹).

(¹³⁹)Termenul de "date privind comunicaţiile" se referă la "cine", "când", "unde" şi "cum" aferente unei comunicaţii, dar nu şi la conţinut, şi anume ceea ce s-a spus sau s-a scris. Datele privind comunicaţiile ar putea include ora şi durata comunicaţiei respective, numărul sau adresa de e-mail a emitentului şi a destinatarului şi, uneori, localizarea dispozitivelor de pe care s-a efectuat telecomunicaţia - a se vedea secţiunea 261 alineatul (5) din IPA din 2016. IPA din 2016 îi permite secretarului de stat să solicite operatorilor de telecomunicaţii să păstreze datele privind comunicaţiile în scopul accesului ţintit al unei serii de autorităţi publice, inclusiv al agenţiilor de aplicare a legii şi al serviciilor de informaţii. Partea 4 din Legea din 2016 privind competenţele de investigare prevede păstrarea datelor privind comunicaţiile, în timp ce partea 3 prevede obţinerea ţintită a datelor privind comunicaţiile. Partea 3 şi partea 4 din IPA din 2016 stabilesc, de asemenea, limitări specifice privind utilizarea acestor competenţe şi prevăd garanţii specifice.

(¹⁴⁰)De exemplu, în cazul în care persoana relevantă obţine datele privind comunicaţiile prin exercitarea unei competenţe legale a autorităţii publice relevante sau în cazul în care datele privind comunicaţiile sunt obţinute în conformitate cu o hotărâre judecătorească sau cu o altă autorizaţie judiciară. Secţiunea 11 alineatul (3A) din IPA din 2016, astfel cum a fost introdus prin secţiunea 12 alineatul (3) din Legea privind competenţele de investigare (modificare) din 2024.

(87)Emiterea de notificări care impun păstrarea datelor privind comunicaţiile (¹⁴²) continuă să facă obiectul unor limitări şi garanţii, astfel cum se descrie în considerentele 208 şi 209 din Decizia de punere în aplicare (UE) 2021/1772, în special al unor cerinţe privind necesitatea şi proporţionalitatea şi al aprobării de către un comisar judiciar independent. Deşi Legea privind competenţele de investigare (modificare) din 2024 a introdus posibilitatea de a reînnoi astfel de notificări, orice reînnoire este supusă aceloraşi condiţii de necesitate şi proporţionalitate, precum şi aprobării de către Comisarul judiciar (¹⁴³).

(¹⁴²)Emiterea de astfel de avize de păstrare în temeiul secţiunilor 87-89 din IPA 2016 are scopul de a garanta că operatorii de telecomunicaţii păstrează, pentru o perioadă maximă de 12 luni, datele relevante privind comunicaţiile, care altfel ar fi şterse în momentul în care nu ar mai fi necesare în scopuri comerciale. Datele păstrate trebuie să rămână disponibile pe perioada necesară în cazul în care, ulterior, este necesar ca o autoritate publică să le obţină în temeiul unei autorizaţii pentru obţinerea ţintită de date privind comunicaţiile, astfel cum este prevăzută în partea 3 din IPA din 2016.

(88)În ceea ce priveşte datele privind comunicaţiile, Legea privind competenţele de investigare (modificare) din 2024 a modificat, de asemenea, definiţia unui operator de telecomunicaţii, şi anume destinatarii posibili ai unui aviz de păstrare. Această definiţie include în prezent orice persoană care "controlează sau furnizează un sistem de telecomunicaţii care: (i) nu se află (integral sau parţial) în Regatul Unit sau nu este controlat din Regatul Unit şi (ii) este utilizat de o altă persoană pentru a oferi sau a furniza un serviciu de telecomunicaţii persoanelor din Regatul Unit" (¹⁴⁴). Este important de remarcat faptul că definiţia modificată continuă să impună întotdeauna o legătură strânsă cu piaţa Regatului Unit. Prin urmare, modificarea clarifică faptul că întreprinderile mari cu structuri corporative complexe sunt acoperite în totalitate de IPA din 2016, fără a extinde domeniul de aplicare al definiţiei la furnizorii de servicii de telecomunicaţii care nu vizează persoane din Regatul Unit. Acest lucru este confirmat şi de notele explicative la Legea privind competenţele de investigare (modificare) din 2024, care prevăd că modificarea nu este menită să includă şi alte întreprinderi în domeniul de aplicare al competenţelor relevante în temeiul IPA din 2016 (¹⁴⁵), ci are, în esenţă, o funcţie de clarificare.

(89)În fine, Legea privind competenţele de investigare (modificare) din 2024 a introdus unele modificări specifice ale procedurii de emitere a mandatelor, inclusiv în ceea ce priveşte interceptarea ţintită şi intervenţia ţintită asupra echipamentelor, şi anume competenţele care pot fi utilizate, de asemenea, de autorităţile specifice de aplicare a legii din Regatul Unit în scopul prevenirii sau depistării infracţiunilor grave. Modificările se referă numai la situaţia specifică în care aceste competenţe sunt utilizate pentru a obţine comunicări sau informaţii private cu privire la o persoană care este membră a unei legislaturi relevante (¹⁴⁶). Deşi mandatele în legătură cu interceptarea ţintită şi intervenţia ţintită asupra echipamentelor pot fi emise în mod normal de secretarul de stat şi sunt aprobate de un Comisar judiciar [a se vedea considerentele 186-196 şi 210-215 din Decizia de punere în aplicare (UE) 2021/1772], secţiunile 26 şi 111 din Legea privind competenţele de investigare necesită, în plus, aprobarea prim-ministrului atunci când mandatul se referă la un membru al parlamentului sau al unei alte legislaturi relevante (aşa-numita procedură de protecţie triplă - "triple-lock"). Legea din 2024 privind competenţele de investigare (modificare) îi permite în prezent prim-ministrului să numească cinci secretari de stat, care vor fi împuterniciţi să exercite competenţa prim-ministrului de a autoriza aceste mandate, cu condiţia ca necesitatea autorizării să fie urgentă, iar prim-ministrul să nu fie în măsură să furnizeze autorizarea respectivă ca urmare a incapacităţii medicale sau a lipsei accesului la comunicaţii securizate. Un aspect important îl reprezintă faptul că limitările şi garanţiile în ceea ce priveşte emiterea acestor mandate, astfel cum sunt descrise în considerentele menţionate mai sus ale Deciziei de punere în aplicare (UE) 2021/1772, rămân în vigoare.

SECŢIUNEA 2:3.2.2. Utilizarea ulterioară a informaţiilor colectate

(91)În ceea ce priveşte situaţia specifică a transferurilor ulterioare din Regatul Unit către Statele Unite, "Acordul dintre Guvernul Regatului Unit al Marii Britanii şi Irlandei de Nord şi Guvernul Statelor Unite ale Americii privind accesul la datele electronice în scopul combaterii formelor grave de criminalitate (Acordul dintre Regatul Unit şi SUA) (¹⁴⁷), care a fost încheiat în octombrie 2019, a intrat în vigoare şi a fost pus în aplicare din octombrie 2022. În temeiul Acordului dintre Regatul Unit şi SUA, datele transferate din UE către furnizorii de servicii din Regatul Unit ar putea face obiectul unor ordine de prezentare de probe emise de autorităţile competente de aplicare a legii din SUA şi puse în aplicare în Regatul Unit.

(92)Un aspect important îl reprezintă faptul că garanţiile şi condiţiile în temeiul cărora pot fi emise şi executate astfel de ordine, astfel cum au fost evaluate în considerentul 154 din Decizia de punere în aplicare (UE) 2021/1772, continuă să se aplice. În special, datele obţinute în temeiul acordului beneficiază de măsuri de protecţie echivalente cu garanţiile specifice prevăzute de aşa-numitul "Acord-cadru UE-SUA" (¹⁴⁸), care sunt în întregime încorporate mutatis mutandis în Acordul dintre Regatul Unit şi SUA (¹⁴⁹).

(93)De la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Regatul Unit a explicat că a clarificat, inclusiv prin colaborarea cu părţile relevante în contextul punerii în aplicare a Acordului dintre Regatul Unit şi SUA, modul în care garanţiile specifice ale acordului-cadru care au fost concepute pentru un context de cooperare în materie de asigurare a respectării legii sunt adaptate şi aplicate transferurilor specifice care fac obiectul Acordului dintre Regatul Unit şi SUA. În special, Regatul Unit a explicat că dispoziţiile acordului-cadru care prevăd un rol pentru autoritatea competentă relevantă (care nu există într-o situaţie de cooperare directă între un furnizor de servicii din Regatul Unit şi o autoritate de aplicare a legii din SUA) sunt interpretate mutatis mutandis pentru a se referi la autoritatea desemnată (astfel cum este definită în Acordul dintre Regatul Unit şi SUA) (¹⁵⁰) a părţii relevante.

(97)În ceea ce priveşte căile de atac judiciare, Regatul Unit a subliniat că transferurile efectuate în temeiul Acordului dintre Regatul Unit şi SUA vor implica întotdeauna autoritatea desemnată a fiecărei părţi. În cazul în care SUA este partea care primeşte date de la furnizorii de servicii din Regatul Unit, Departamentul de Justiţie al SUA va acţiona în calitate de autoritate desemnată. Prin urmare, în conformitate cu interpretarea Regatului Unit, în fiecare cerere emisă pe baza Acordului dintre Regatul Unit şi SUA, va fi implicat Departamentul de Justiţie, în calitate de autoritate federală desemnată în temeiul Legii privind căile de atac judiciare din SUA şi, prin urmare, pot fi exercitate căi de atac judiciare împotriva Departamentului de Justiţie în conformitate cu articolul 19 din acordul-cadru. În plus, Regatul Unit a confirmat serviciilor Comisiei că Legea privind căile de atac judiciare nu este singurul mecanism de exercitare a unei căi de atac. În funcţie de circumstanţele şi contextul fiecărui caz în parte, alte legi aplicabile din SUA prevăd exercitarea unor posibile căi alternative de atac judiciare.

SECŢIUNEA 3:3.2.3. Supravegherea şi căile de atac

(98)În funcţie de competenţele utilizate de autorităţile competente atunci când prelucrează date cu caracter personal în scopul asigurării respectării legii (fie în temeiul Legii privind protecţia datelor din 2018, fie în temeiul IPA din 2016), diferite organisme continuă să asigure supravegherea utilizării acestor competenţe, conform evaluării din considerentele 158-174 din Decizia de punere în aplicare (UE) 2021/1772, iar mecanismele de exercitare a unei căi de atac continuă să fie disponibile în temeiul părţii 3 din DPA din 2018, în temeiul IPA din 2016 şi în temeiul Legii privind drepturile omului din 1998, astfel cum au fost analizate în considerentele 250-269 din Decizia de punere în aplicare (UE) 2021/1772.

(100)În ceea ce priveşte punerea în aplicare a acestor competenţe, de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Comisarul pentru Informaţii a gestionat numeroase plângeri (¹⁵¹), a efectuat mai multe investigaţii şi a luat măsuri de asigurare a respectării legii în ceea ce priveşte prelucrarea datelor de către autorităţile de aplicare a legii. În perioada 2021-2025, Comisarul pentru Informaţii a efectuat investigaţii şi a emis mustrări împotriva mai multor organisme de poliţie pentru diferite încălcări ale obligaţiilor care le revin în materie de protecţie a datelor, de exemplu atunci când au răspuns la cereri de acces la date, când au instituit măsuri de securitate pentru datele de supraveghere video, când au tratat caziere judiciare sensibile, când au combinat datele unor persoane diferite sau când au divulgat date cu caracter personal unor părţi terţe (¹⁵²). Comisarul pentru Informaţii a emis, de asemenea, ghiduri, avize şi documente de orientare, de exemplu cu privire la dreptul de acces sau la modul de gestionare a cererilor vădit nefondate sau excesive în temeiul părţii 3 din DPA din 2018 (¹⁵³).

(101)În ceea ce priveşte utilizarea competenţelor de investigare în temeiul Legii din 2016 privind competenţele de investigare, supravegherea judiciară independentă continuă să fie asigurată de Comisarul pentru Competenţe de Investigare (Investigatory Powers Commissioner - IPC), asistat de alţi comisari judiciari, care sunt denumiţi în mod colectiv comisarii judiciari (¹⁵⁴). În acest domeniu, Legea din 2024 privind competenţele de investigare (modificări) a adus doar modificări limitate şi specifice, care nu afectează independenţa, atribuţiile şi competenţele Comisarilor judiciari, ci vizează consolidarea funcţionării în practică a regimului de supraveghere existent, în special prin introducerea unor Comisari adjuncţi pentru Competenţe de Investigare cărora Comisarul pentru Competenţe de Investigare le poate delega competenţe specifice atunci când aceştia nu sunt în măsură sau nu sunt disponibili pentru a-şi îndeplini funcţiile. Comisarii adjuncţi pentru Competenţe de Investigare trebuie să fie comisari judiciari şi sunt numiţi de Comisarul pentru Competenţe de Investigare (¹⁵⁵).

CAPITOLUL 3:3.3. Evoluţii relevante în ceea ce priveşte accesul şi utilizarea de către autorităţile publice din Regatul Unit în scopuri de securitate naţională

(102)În ceea ce priveşte competenţele de investigare exercitate în contextul securităţii naţionale, IPA din 2016 continuă să ofere cadrul juridic pentru utilizarea acestor competenţe. Pe lângă modificările privind competenţele de investigare specifice care, sub rezerva unor condiţii specifice, pot fi invocate şi de anumite autorităţi de aplicare a legii, astfel cum se descrie în considerentele 77-85 din prezenta decizie, Legea privind competenţele de investigare (modificare) din 2024 a adus, de asemenea, modificări în ceea ce priveşte una dintre competenţele prevăzute de IPA din 2016 care pot fi exercitate în masă.

(103)Mai precis, Legea privind competenţele de investigare (modificare) din 2024 a introdus în noua parte 7A din IPA din 2016 un regim specific pentru păstrarea şi examinarea unui subset specific de seturi de date cu caracter personal în masă (¹⁵⁶), şi anume pentru seturile de date în cazul cărora persoanele la care se referă datele cu caracter personal nu ar putea avea aşteptări rezonabile sau ar putea avea doar aşteptări rezonabile reduse în ceea ce priveşte confidenţialitatea datelor (¹⁵⁷). Şeful unui serviciu de informaţii stabileşte în ce măsură un set de date cu caracter personal în masă face sau nu parte din acest subset specific de seturi de date, ţinând cont de toate circumstanţele, cum ar fi, în special: (i) natura datelor; (ii) măsura în care datele au fost făcute publice de către persoanele fizice sau dacă persoanele fizice au consimţit ca datele să fie făcute publice; (iii) dacă datele au fost publicate, măsura în care au fost publicate sub control editorial sau de către o persoană care acţionează în conformitate cu standardele profesionale; (iv) dacă datele au fost publicate sau se află în alt mod în domeniul public, măsura în care datele sunt cunoscute pe scară largă şi (v) măsura în care datele au fost deja utilizate în domeniul public (¹⁵⁸).

(¹⁵⁶)Mandatele privind seturile de date cu caracter personal colectate în masă emise în temeiul secţiunii 200 din IPA din 2016 autorizează serviciile de informaţii să păstreze şi să examineze seturi de date care conţin date cu caracter personal referitoare la o serie de persoane, setul respectiv fiind de aşa natură încât majoritatea persoanelor nu prezintă interes şi este puţin probabil ca acestea să prezinte interes pentru serviciul de informaţii în exercitarea funcţiilor sale, şi care sunt păstrate electronic de un serviciu de informaţii şi deţinute pentru analiză în exercitarea funcţiilor sale statutare - a se vedea, de asemenea, secţiunea 199 din IPA din 2016.

(104)Este important de remarcat faptul că, pentru păstrarea şi examinarea seturilor de date cu caracter personal în masă care nu se încadrează în această categorie, şi anume cele care sunt mai sensibile şi, prin urmare, implică o aşteptare rezonabilă în ceea ce priveşte confidenţialitatea, regimul evaluat în considerentele 239 şi 240 din Decizia de punere în aplicare (UE) 2021/1772 rămâne în vigoare, în special necesitatea unui mandat care să fie aprobat mai întâi de secretarul de stat şi apoi de comisarul judiciar, sub rezerva cerinţelor privind necesitatea şi proporţionalitatea măsurii, astfel cum se prevede în partea 7 din IPA din 2016 (¹⁵⁹).

(105)- Partea 7A din IPA din 2016 prevede două tipuri de autorizaţii: autorizaţia individuală şi autorizaţia pe categorii. Păstrarea sau păstrarea şi examinarea fiecărui set de date cu caracter personal în masă deţinut în temeiul părţii 7A trebuie să fie autorizate în temeiul uneia dintre aceste autorizaţii. Ambele autorizaţii necesită, în principiu (¹⁶⁰), o autorizare din partea şefului serviciului de informaţii (sau a unei persoane care acţionează în numele acestuia) şi aprobarea de către un comisar judiciar independent (¹⁶¹). O autorizaţie individuală este acordată de şeful unui serviciu de informaţii sub rezerva condiţiilor prevăzute în secţiunea 226B alineatul (4) din IPA din 2016 şi sub rezerva aprobării prealabile de către comisarii judiciari. Comisarul judiciar trebuie să examineze concluziile referitoare la secţiunea 226A formulate de persoana care a acordat autorizaţia, mai precis dacă setul de date cu caracter personal în masă descris în autorizaţie face obiectul unor aşteptări rezonabile reduse sau nu face obiectul unor aşteptări rezonabile în ceea ce priveşte cerinţa de confidenţialitate a datelor (¹⁶²).

(¹⁶⁰)O autorizaţie individuală poate fi acordată fără aprobare judiciară prealabilă numai (i) dacă persoana care acordă autorizaţia individuală consideră că setul de date cu caracter personal în masă în cauză se încadrează într-o autorizaţie de categorie existentă sau (ii) în caz de urgenţă, a se vedea secţiunea 226B alineatul (6) din IPA din 2016. În acest din urmă caz, decizia de a acorda o autorizaţie individuală urgentă trebuie să fie revizuită de un comisar judiciar în termen de trei zile lucrătoare de la data emiterii, a se vedea secţiunea 226BC din IPA din 2016.

(107)Decizia de acordare a autorizaţiei de categorie este luată de şeful serviciului de informaţii atunci când acesta consideră că secţiunea 226A se aplică oricărui set de date din categoria în cauză şi în cazul în care decizia de acordare a autorizaţiei a fost aprobată de un comisar judiciar independent (¹⁶³). Acesta din urmă trebuie să analizeze dacă secţiunea 226A, şi anume existenţa unor aşteptări rezonabile reduse sau inexistenţa unor aşteptări rezonabile privind cerinţa de confidenţialitate, se aplică oricărui set de date care se încadrează în categoria seturilor de date descrise în autorizaţie (¹⁶⁴).

(108)Este important de remarcat faptul că, atunci când aprobă o decizie de acordare a unei autorizaţii individuale sau de categorie, comisarul judiciar trebuie "să aplice aceleaşi principii care ar fi aplicate de o instanţă cu privire la o cerere de control jurisdicţional" (¹⁶⁵) şi să analizeze aceste aspecte cu un grad suficient de atenţie pentru a se asigura că comisarul judiciar respectă obligaţiile impuse de secţiunea 2 din IPA din 2016 (obligaţii generale în ceea ce priveşte viaţa privată) (¹⁶⁶). În plus, eliberarea autorizaţiilor face obiectul unei supravegheri ex post stricte, în special prin raportarea anuală către secretarul de stat şi către Comisia pentru Informaţii şi Securitate a Parlamentului (¹⁶⁷) şi prin inspecţii periodice ale Biroului IPC (¹⁶⁸).

(¹⁶⁶)-Secţiunea 226BB alineatul (2) litera (b) din IPA din 2016, astfel cum a fost introdusă prin secţiunea 2 din Legea privind competenţele de investigare (modificare) din 2024. În conformitate cu obligaţiile generale în ceea ce priveşte viaţa privată, astfel cum sunt prevăzute în secţiunea 2 din IPA din 2016, o autoritate publică trebuie să aibă în vedere: (a) dacă ceea ce se urmăreşte a fi obţinut prin mandat, autorizaţie sau notificare ar putea fi obţinut în mod rezonabil prin alte mijloace mai puţin intruzive; (b) dacă nivelul de protecţie care urmează să fie aplicat în legătură cu orice obţinere de informaţii în temeiul mandatului, al autorizaţiei sau al notificării este mai ridicat din cauza sensibilităţii deosebite a informaţiilor respective; (c) interesul public pentru integritatea şi securitatea sistemelor de telecomunicaţii şi a serviciilor poştale şi (d) orice alte aspecte ale interesului public pentru protecţia vieţii private.

(109)În ceea ce priveşte evoluţiile relevante în domeniul supravegherii, Biroul Comisarului pentru Competenţe de Investigare a publicat rapoarte anuale pentru anii 2021, 2022 şi 2023, care furnizează statistici şi informaţii detaliate cu privire la utilizarea competenţelor de investigare de către serviciile de informaţii şi autorităţile de aplicare a legii din Regatul Unit (¹⁶⁹). Rapoartele descriu, de asemenea, auditurile şi investigaţiile desfăşurate de acest birou, precum şi constatările aferente, confirmând că IPC continuă să îşi asigure funcţia de supraveghere foarte importantă în cadrul regimului competenţelor de investigare ale Regatului Unit. De exemplu, în 2023, acesta a examinat justificările necesităţii şi proporţionalităţii pentru utilizarea competenţelor de interceptare în masă [astfel cum au fost evaluate în considerentele 218-225 din Decizia de punere în aplicare (UE) 2021/1772] de către Cartierul General pentru Comunicaţii (GCHQ), concluzionând că o majoritate semnificativă a afirmaţiilor în cauză au fost articulate cu o justificare solidă, în timp ce, în unele cazuri, proporţionalitatea nu a fost bine exprimată. Aceste constatări au fost discutate cu echipa de conformitate a GCHQ, care s-a angajat să asigure cursuri interne de formare suplimentare în scopuri de conştientizare a acestor aspecte pentru a aborda problema respectivă (¹⁷⁰).

(110)În plus, Tribunalul pentru competenţe de investigare a emis un raport public privind activităţile sale şi jurisprudenţa sa pentru perioada 2021-2023 (¹⁷¹). Raportul arată că numărul de cauze primite de Tribunal a crescut de peste două ori din 2017, cu peste 400 de cauze primite în 2023 (¹⁷²). Majoritatea plângerilor au fost împotriva agenţiilor de aplicare a legii, urmate îndeaproape de plângerile împotriva autorităţilor de securitate şi de informaţii (¹⁷³). Este important de remarcat faptul că, în 2022 şi 2023, tribunalul a pronunţat hotărâri în cauze primite înainte de 2021 în care a constatat că autorităţile publice din Regatul Unit [Police Scotland (¹⁷⁴), Greater Manchester Police (¹⁷⁵), Surrey Police (¹⁷⁶) şi, respectiv, MI5 şi ministrul de interne (¹⁷⁷)] au acţionat în mod ilegal. În ceea ce priveşte căile de atac, Tribunalul pentru competenţe de investigare a dispus, printre altele, distrugerea oricărui material obţinut în mod ilegal şi, într-un caz, şi plata sumei de 12 000 GBP ca reparaţie echitabilă pentru încălcările identificate. Prin urmare, raportul anual confirmă faptul că Tribunalul pentru competenţe de investigare îşi îndeplineşte în mod eficace rolul important în garantarea supravegherii şi a căilor de atac în domeniul asigurării respectării dreptului penal şi al securităţii naţionale în ceea ce priveşte accesul la datele cu caracter personal.

(111)În plus, raportul evidenţiază, de asemenea, evoluţii importante, cum ar fi o hotărâre a Curţii Europene a Drepturilor Omului în care Curtea a statuat că persoanele fizice din întreaga lume pot introduce la Tribunalul pentru competenţe de investigare o acţiune cu privire la funcţionarea sistemului de interceptare în masă din Regatul Unit, în cazul în care operaţiunea în cauză a fost efectuată de un organism public din Regatul Unit şi a avut loc în Regatul Unit (¹⁷⁸).

TITLUL 4:CONCLUZIE

(114)În cele din urmă, pe baza informaţiilor disponibile cu privire la ordinea juridică a Regatului Unit, Comisia consideră că orice atingere adusă, în scopuri de interes public, în special în scopul asigurării respectării legii şi al securităţii naţionale, de autorităţile publice ale Regatului Unit drepturilor fundamentale ale persoanelor fizice ale căror date cu caracter personal sunt transferate din Uniunea Europeană în Regatul Unit, continuă să se limiteze la ceea ce este strict necesar pentru îndeplinirea obiectivului legitim în cauză, precum şi că există o protecţie juridică eficace împotriva unor astfel de atingeri.

(116)Această concluzie se bazează atât pe regimul intern relevant al Regatului Unit, astfel cum a evoluat de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, cât şi pe angajamentele sale internaţionale, în special pe aderarea continuă a Regatului Unit la Convenţia europeană a drepturilor omului şi pe recunoaşterea în continuare a competenţei Curţii Europene a Drepturilor Omului. Respectarea în continuare a acestor obligaţii internaţionale este, prin urmare, un element deosebit de important al evaluării pe care se bazează prezenta decizie.

TITLUL 5:EFECTELE PREZENTEI DECIZII ŞI ACŢIUNILE AUTORITĂŢILOR PENTRU PROTECŢIA DATELOR

(118)În consecinţă, o decizie a Comisiei privind caracterul adecvat al nivelului de protecţie, adoptată în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679, este obligatorie pentru toate organele statelor membre cărora li se adresează, inclusiv pentru autorităţile de supraveghere independente ale respectivelor state membre. În special, în perioada de aplicare a Deciziei de punere în aplicare (UE) 2021/1772, astfel cum este modificată prin prezenta decizie, transferurile de la un operator sau o persoană împuternicită de operator din Uniunea Europeană către operatori sau persoane împuternicite de operatori din Regatul Unit pot avea loc fără a fi necesară obţinerea unei autorizaţii suplimentare.

(119)Ar trebui reamintit faptul că, în temeiul articolului 58 alineatul (5) din Regulamentul (UE) 2016/679 şi astfel cum a explicat Curtea de Justiţie în hotărârea Schrems I (¹⁷⁹), în cazul în care o autoritate naţională pentru protecţia datelor pune sub semnul întrebării, inclusiv în urma unei plângeri, compatibilitatea unei decizii a Comisiei privind caracterul adecvat al nivelului de protecţie cu drepturile fundamentale ale persoanei la viaţă privată şi la protecţia datelor cu caracter personal, legislaţia naţională trebuie să prevadă o cale de atac pentru a permite autorităţii în cauză să prezinte obiecţiile respective în faţa unei instanţe naţionale, căreia i se poate solicita să adreseze o cerere de decizie preliminară Curţii de Justiţie (¹⁸⁰).

(¹⁸⁰)Schrems I, punctul 65: "În această privinţă, revine legiuitorului naţional sarcina de a prevedea căi de atac care să permită autorităţii naţionale de supraveghere în cauză să invoce motivele pe care le consideră întemeiate în faţa instanţelor naţionale, astfel încât acestea din urmă să efectueze, dacă împărtăşesc îndoielile acestei autorităţi în ceea ce priveşte validitatea deciziei Comisiei, o trimitere preliminară în vederea examinării validităţii acestei decizii".

TITLUL 6:MONITORIZAREA

(120)În temeiul articolului 45 alineatul (4) din Regulamentul (UE) 2016/679, Comisia trebuie să monitorizeze în permanenţă evoluţiile relevante din Regatul Unit, pentru a evalua dacă acesta asigură în continuare un nivel de protecţie în esenţă echivalent. O astfel de monitorizare este deosebit de importantă, deoarece Regatul Unit va aplica şi va asigura respectarea unui regim modificat de protecţie a datelor. În plus, cadrul modificat de protecţie a datelor din Regatul Unit conferă secretarului de stat competenţa de a detalia acest cadru prin intermediul legislaţiei secundare. În acest sens, ar trebui să se acorde o atenţie deosebită: acestor specificaţii suplimentare, precum şi aplicării în practică a normelor modificate ale Regatului Unit privind transferurile de date cu caracter personal către ţări terţe; eficacităţii exercitării drepturilor individuale, inclusiv oricăror evoluţii relevante în drept şi în practică în ceea ce priveşte excepţiile sau restricţiile nou-introduse referitoare la acestor drepturi, funcţionării ICO restructurat, inclusiv în ceea ce priveşte tratarea plângerilor şi aplicarea competenţelor corective, precum şi respectării limitărilor şi garanţiilor în ceea ce priveşte accesul administraţiei publice, în special în ceea ce priveşte partea 7A nou introdusă din IPA din 2016. Monitorizarea efectuată de Comisie ar trebui să se bazeze, printre alte elemente, pe evoluţiile jurisprudenţei şi supravegherea de către ICO şi alte organisme independente.

(121)Pentru a facilita această monitorizare, autorităţile Regatului Unit ar trebui să informeze prompt Comisia cu privire la orice modificare substanţială a ordinii juridice a Regatului Unit care are un impact asupra cadrului juridic care face obiectul Deciziei de punere în aplicare (UE) 2021/1772, astfel cum este modificată prin prezenta decizie, precum şi cu privire la orice evoluţie a practicilor legate de prelucrarea datelor cu caracter personal evaluate în Decizia de punere în aplicare (UE) 2021/1772, astfel cum este modificată prin prezenta decizie, în ceea ce priveşte atât prelucrarea datelor cu caracter personal de către operatori şi persoanele împuternicite de operatori în temeiul RGPD al Regatului Unit, cât şi limitările şi garanţiile aplicabile accesului autorităţilor publice la datele cu caracter personal. Acest demers ar trebui să includă evoluţiile privind elementele menţionate în considerentul 120.

(122)În plus, pentru a permite Comisiei să îşi exercite în mod eficace funcţia de monitorizare, statele membre ar trebui să informeze Comisia cu privire la orice acţiune relevantă întreprinsă de autorităţile naţionale de protecţie a datelor, în special în ceea ce priveşte solicitările sau plângerile formulate de persoanele vizate din UE cu privire la transferul de date cu caracter personal din Uniunea Europeană către operatori sau persoane împuternicite de operatori din Regatul Unit. De asemenea, Comisia ar trebui să fie informată cu privire la orice indiciu că acţiunile autorităţilor publice din Regatul Unit responsabile cu prevenirea, investigarea, detectarea sau urmărirea penală a infracţiunilor sau cu securitatea naţională, inclusiv acţiunile oricărui organism de supraveghere, nu asigură nivelul de protecţie necesar.

(123)În cazul în care informaţiile disponibile, în special informaţiile obţinute în urma monitorizării Deciziei de punere în aplicare (UE) 2021/1772, astfel cum este modificată prin prezenta decizie, sau informaţiile furnizate de autorităţile Regatului Unit sau ale statelor membre, arată că nivelul de protecţie oferit de Regatul Unit ar putea să nu mai fie adecvat, Comisia ar trebui să informeze prompt autorităţile competente din Regatul Unit cu privire la acest aspect şi să solicite luarea de măsuri adecvate într-un anumit interval de timp, care nu poate depăşi trei luni. Dacă este necesar, acest termen poate fi prelungit cu o anumită perioadă de timp, ţinând seama de natura problemei în cauză şi/sau de măsurile care trebuie luate. De exemplu, o astfel de procedură ar fi declanşată în cazurile în care transferurile ulterioare, inclusiv pe baza noilor regulamente privind caracterul adecvat al nivelului de protecţie adoptate de secretarul de stat sau a acordurilor internaţionale încheiate de Regatul Unit, nu ar mai fi efectuate cu respectarea unor garanţii care să asigure continuitatea protecţiei în sensul articolului 44 din Regulamentul (UE) 2016/679.

TITLUL 7:REEVALUAREA, DURATA ŞI REÎNNOIREA PREZENTEI DECIZII

(127)În aplicarea articolului 45 alineatul (3) din Regulamentul (UE) 2016/679 şi având în vedere faptul că nivelul de protecţie oferit de cadrul juridic al Regatului Unit poate suferi modificări, Comisia, în urma adoptării prezentei decizii, ar trebui să reevalueze periodic dacă constatările referitoare la caracterul adecvat al nivelului de protecţie asigurat de Regatul Unit sunt în continuare justificate în fapt şi în drept, ţinând seama de elementele enumerate la articolul 45 alineatul (2) din Regulamentul (UE) 2016/679. Astfel de evaluări ar trebui să aibă loc cel puţin o dată la patru ani şi ar trebui să acopere toate aspectele legate de funcţionarea prezentei decizii, inclusiv funcţionarea mecanismelor relevante de supraveghere şi de asigurare a respectării legii.

(128)Pentru a efectua reevaluarea, Comisia ar trebui să se întâlnească cu reprezentanţi relevanţi ai autorităţilor britanice, inclusiv ai Comisiei pentru Informaţii. Participarea la reuniunea respectivă ar trebui să fie deschisă reprezentanţilor membrilor Comitetului european pentru protecţia datelor. În cadrul reevaluării, Comisia ar trebui să solicite autorităţilor Regatului Unit să furnizeze informaţii cuprinzătoare cu privire la toate aspectele relevante pentru constatarea referitoare la caracterul adecvat. Comisia ar trebui, de asemenea, să solicite explicaţii cu privire la orice informaţie relevantă pentru prezenta decizie pe care a primit-o, inclusiv din partea CEPD, a autorităţilor individuale pentru protecţia datelor şi a grupurilor societăţii civile, precum şi din cadrul rapoartelor publice sau ale mass-mediei sau din orice altă sursă de informaţii disponibilă.

(132)În cazul în care, în special, informaţiile obţinute în urma monitorizării prezentei decizii arată că respectivele constatări referitoare la caracterul adecvat al nivelului de protecţie asigurat în Regatul Unit sunt încă justificate de fapt şi de drept, Comisia ar trebui, cel târziu cu şase luni înainte de încetarea aplicării prezentei decizii, să iniţieze procedura de modificare a prezentei decizii prin extinderea domeniului său de aplicare temporal, în principiu, pentru o perioadă suplimentară de patru ani. Orice act de punere în aplicare de modificare a prezentei decizii urmează să fie adoptat în conformitate cu procedura menţionată la articolul 93 alineatul (2) din Regulamentul (UE) 2016/679.

TITLUL 8:CONSIDERAŢII FINALE

Jurnalul Oficial seria L