Titlul 2 - EVOLUŢII RELEVANTE ÎN CEEA CE PRIVEŞTE NORMELE APLICABILE PRELUCRĂRII DATELOR CU CARACTER PERSONAL - Decizia 2574/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1772 a Comisiei în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit al Marii Britanii şi Irlandei de Nord

Acte UE

Jurnalul Oficial seria L

În vigoare

Versiune de la: 23 Decembrie 2025

TITLUL 2:EVOLUŢII RELEVANTE ÎN CEEA CE PRIVEŞTE NORMELE APLICABILE PRELUCRĂRII DATELOR CU CARACTER PERSONAL

CAPITOLUL 1:2.1. Cadrul de protecţie a datelor din Regatul Unit

(9)La momentul adoptării Deciziei de punere în aplicare (UE) 2021/1772, cadrul juridic privind protecţia datelor cu caracter personal din Regatul Unit consta în:

(¹²)Legea din 2018 privind Uniunea Europeană (retragere), disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2018/16/contents, a încorporat legislaţia Uniunii care era direct aplicabilă în Regatul Unit la încheierea perioadei de tranziţie în legislaţia Regatului Unit. Acest aşa-numit "drept menţinut al Uniunii" include Regulamentul (UE) 2016/679 în întregime, inclusiv considerentele sale [a se vedea Notele explicative la Legea din 2018 privind Uniunea Europeană (retragere), punctul 83, disponibile la următoarea adresă: https://www.legislation.gov.uk/ukpga/2018/16/pdfs/ukpgaen_20180016_en.pdf]. În conformitate cu legea respectivă, dreptul UE menţinut nemodificat trebuia interpretat de instanţele din Regatul Unit în conformitate cu jurisprudenţa relevantă a Curţii de Justiţie a Uniunii Europene şi cu principiile generale ale dreptului Uniunii, întrucât acestea produceau efecte imediat înainte de încheierea perioadei de tranziţie (denumite "jurisprudenţa menţinută a Uniunii" şi, respectiv, "principiile generale menţinute ale dreptului UE").

(¹³)Regulamentele din 2019 privind protecţia datelor, a vieţii private şi comunicaţiile electronice (modificări etc.) (ieşirea din UE), disponibile la următoarea adresă: https://www.legislation.gov.uk/uksi/2019/419/contents/made, astfel cum au fost modificate prin Regulamentele DPPEC din 2020, disponibile la următoarea adresă: https://www.legislation.gov.uk/ukdsi/2020/9780348213522. Regulamentele DPPEC modifică Regulamentul (UE) 2016/679, astfel cum a fost introdus în legislaţia Regatului Unit prin Legea din 2018 privind Uniunea Europeană (retragere), prin DPA din 2018 şi prin alte acte legislative privind protecţia datelor pentru a îl adapta contextului naţional.

(¹⁴)Legea privind protecţia datelor din 2018, disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2018/12/contents. Înainte de retragerea Regatului Unit din Uniunea Europeană şi pe parcursul perioadei de tranziţie, DPA din 2018 a prevăzut norme de drept intern, în cazul în care Regulamentul (UE) 2016/679 permitea acest lucru, care specificau şi restricţionau aplicarea normelor din Regulamentul (UE) 2016/679, şi a transpus Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului(JO L 119, 4.5.2016, p. 89, ELI: http://data.europa.eu/eli/dir/2016/680/oj).

(11)În primul rând, Legea din 2023 privind dreptul UE menţinut în dreptul intern (revocare şi reformare) [Legea REUL (Retained EU Law)] (¹⁵) a clarificat faptul că principiile generale ale dreptului Uniunii nu mai făceau parte din dreptul intern al Regatului Unit după sfârşitul anului 2023 (¹⁶). În plus, instanţele din Regatul Unit nu mai trebuie să interpreteze "dreptul asimilat" nemodificat, denumit anterior "dreptul UE menţinut în dreptul intern", în conformitate cu principiile generale ale dreptului UE, însă acest drept asimilat trebuie să fie interpretat într-un mod care este compatibil cu dreptul intern al Regatului Unit (¹⁷). Cu toate acestea, dreptul asimilat nemodificat trebuie să fie interpretat în continuare de instanţele competente din Regatul Unit în conformitate cu jurisprudenţa relevantă a Curţii de Justiţie a Uniunii Europene emisă înainte de încheierea perioadei de tranziţie (¹⁸), astfel cum se menţionează şi în considerentul 13 din Decizia de punere în aplicare (UE) 2021/1772. DPA din 2018 a fost modificată prin Legea în materie de (utilizare şi acces la) date pentru a clarifica efectul Legii REUL asupra legislaţiei Regatului Unit privind protecţia datelor. De exemplu, secţiunea 183A alineatul (1) din DPA din 2018 prevede, ca regulă generală, că orice nouă legislaţie (adoptată la 20 august 2025 sau după această dată) care introduce noi obligaţii sau competenţe de prelucrare a datelor cu caracter personal se presupune că face obiectul legislaţiei Regatului Unit privind protecţia datelor. În consecinţă, cadrul de protecţie a datelor din Regatul Unit continuă să prevaleze asupra altor acte legislative. În temeiul secţiunii 183A alineatul (2) litera (b) din DPA din 2018, această prezumţie poate fi înlăturată în cazul în care Parlamentul Regatului Unit decide în mod deliberat să prevadă acest lucru în mod expres în legislaţie, menţinând suveranitatea parlamentară. În plus, secţiunea 186(2A) din DPA din 2018 clarifică faptul că restricţiile privind drepturile persoanelor vizate enumerate în secţiunea 186 alineatul (3) din DPA din 2018 nu sunt înlocuite de secţiunea 186 alineatul (1) din DPA din 2018, care prevede că dispoziţiile care interzic sau restricţionează divulgarea de informaţii nu prevalează asupra anumitor drepturi în materie de protecţie a datelor. Acest lucru asigură faptul că, de exemplu, restricţiile privind drepturile persoanelor vizate prevăzute în DPA din 2018 nu intră, ele însele, sub incidenţa derogării generale în materie de protecţie a datelor, prevăzută în secţiunea 186 alineatul (1) din DPA din 2018.

(12)În al doilea rând, de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, legislaţia Regatului Unit privind protecţia datelor a fost modificată prin Regulamentele din 2023 de modificare privind protecţia datelor (drepturi şi libertăţi fundamentale) (¹⁹). Aceste regulamente definesc trimiterile la drepturile sau libertăţile fundamentale din RGPD al Regatului Unit şi din DPA din 2018 [care au fost definite anterior pentru a acoperi drepturile fundamentale şi libertăţile fundamentale ale UE (²⁰)] ca trimiteri la drepturile prevăzute în Convenţia europeană a drepturilor omului, puse în aplicare în dreptul intern al Regatului Unit în temeiul Legii privind drepturile omului din 1998 (²¹). Legea privind drepturile omului din 1998 încorporează în legislaţia Regatului Unit drepturile cuprinse în Convenţia europeană a drepturilor omului. Legea privind drepturile omului acordă oricărei persoane drepturile şi libertăţile fundamentale prevăzute la articolele 2-12 şi la articolul 14 din Convenţia europeană a drepturilor omului, la articolele 1, 2 şi 3 din Protocolul nr. 1 şi la articolul 1 din Protocolul nr. 13, coroborate cu articolele 16, 17 şi 18 din convenţia menţionată. Aceasta include dreptul la respectarea vieţii private şi de familie (şi dreptul la protecţia datelor ca parte a acestui drept), precum şi dreptul la un proces echitabil (²²).

(13)În fine, RGPD al Regatului Unit şi DPA din 2018 au făcut obiectul unor reforme specifice prevăzute în părţile a cincea şi a şasea din Legea în materie de (utilizare şi acces la) date. Deşi domeniul de aplicare al Legii în materie de (utilizare şi acces la) date depăşeşte cu mult protecţia datelor cu caracter personal, aceasta prevede modificări limitate ale mai multor aspecte legate de regimul de protecţie a datelor, cum ar fi, printre altele, normele privind prelucrarea datelor în scopul cercetării ştiinţifice, temeiurile juridice pentru prelucrarea datelor, normele referitoare la principiul limitării scopului şi condiţiile pentru procesul decizional automatizat. În plus, Legea în materie de (utilizare şi acces la) date aduce modificări structurii de guvernanţă a ICO. Odată puse în aplicare, aceste măsuri vor înlocui ICO cu o nouă entitate, Comisia pentru Informaţii. Rolul şi funcţiile autorităţii de reglementare în calitate de autoritate independentă de supraveghere a protecţiei datelor în Regatul Unit vor rămâne neschimbate. Legea introduce, de asemenea, noi competenţe de asigurare a respectării legii pentru autoritatea de reglementare.

(14)Prezenta decizie evaluează evoluţiile legislative, de reglementare şi de altă natură care sunt relevante pentru concluzia privind nivelul de protecţie garantat de Regatul Unit, formulată în Decizia de punere în aplicare (UE) 2021/1772. Evaluarea efectuată în Decizia de punere în aplicare (UE) 2021/1772 rămâne valabilă pentru acele aspecte aferente cadrului de protecţie a datelor din Regatul Unit care nu au fost modificate sau afectate de alte evoluţii de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772.

(15)Evoluţiile relevante legislative, de reglementare şi de altă natură sunt analizate în detaliu în secţiunile următoare, pe baza standardului caracterului adecvat, conform căruia Comisia trebuie să stabilească dacă ţara terţă în cauză garantează un nivel de protecţie "echivalent în esenţă" cu cel garantat în cadrul Uniunii Europene (²³). Conform clarificărilor aduse de Curtea de Justiţie a Uniunii Europene, aceasta nu impune constatarea unui nivel identic de protecţie (²⁴). În special, mijloacele la care ţara terţă în cauză recurge pentru protecţia datelor cu caracter personal pot fi diferite de cele puse în aplicare în Uniunea Europeană, cu condiţia ca acestea să se dovedească în practică efective în scopul de a asigura un nivel adecvat de protecţie (²⁵). Prin urmare, standardul caracterului adecvat nu necesită o reproducere punct cu punct a normelor Uniunii. Mai degrabă, testul constă în a stabili dacă, prin fondul drepturilor în materie de protecţie a datelor şi punerea în aplicare efectivă, supravegherea şi exercitarea acestora, sistemul juridic străin în cauză, în ansamblul său, asigură nivelul de protecţie necesar (²⁶).

SECŢIUNEA 1:2.1.1. Definiţii

(17)Deşi Legea în materie de (utilizare şi acces la) date lasă marea majoritate a definiţiilor neschimbate, aceasta a introdus definiţii specifice legate de prelucrarea datelor cu caracter personal în scopuri ştiinţifice, istorice şi statistice la articolul 4 alineatele (2), (3), (4) şi (5) din RGPD al Regatului Unit. Alineatul (2) defineşte "prelucrarea în scopuri ştiinţifice" ca fiind prelucrarea datelor cu caracter personal efectuată în scopul oricărei cercetări care poate fi descrisă în mod rezonabil ca fiind ştiinţifică. Această cercetare poate fi finanţată din fonduri publice sau private şi poate fi desfăşurată fie ca activitate comercială, fie ca activitate necomercială. Reflectând conţinutul considerentului 159 din Regulamentul (UE) 2016/679, alineatul (3) prevede o listă neexhaustivă de exemple de activităţi de cercetare care se califică drept activităţi de cercetare care urmăresc scopuri ştiinţifice şi care includ dezvoltarea tehnică, activităţile demonstrative, cercetarea fundamentală şi cercetarea aplicată. Alineatul (4) clarifică faptul că termenul "cercetare istorică" include cercetarea genealogică, care este recunoscută, de asemenea, ca scop istoric în considerentul 160 din Regulamentul (UE) 2016/679. În cele din urmă, alineatul (5) defineşte prelucrarea în scopuri statistice ca fiind prelucrarea datelor pentru anchete statistice sau pentru obţinerea de rezultate statistice, în cazul în care datele sunt agregate într-o astfel de măsură încât să nu mai constituie date cu caracter personal. În plus, datele prelucrate sau informaţiile rezultate nu trebuie utilizate pentru luarea de decizii sau de măsuri care vizează o persoană fizică. Această definiţie se aliniază la modul în care sunt înţelese scopurile statistice în considerentul 162 din Regulamentul (UE) 2016/679.

(19)Prin adăugarea alineatului (6) la articolul 4 din RGPD al Regatului Unit, Legea în materie de (utilizare şi acces la) date a stabilit, de asemenea, un cadru specific pentru obţinerea consimţământului persoanei vizate pentru prelucrarea datelor cu caracter personal în scopuri ştiinţifice. În termeni foarte similari celor din considerentul 33 din Regulamentul (UE) 2016/679, care recunoaşte că, în domeniul cercetării ştiinţifice, consimţământul nu poate fi obţinut întotdeauna pentru un scop specific de prelucrare, noua dispoziţie prevede forme mai ample de consimţământ, permiţând persoanelor vizate să îşi dea consimţământul valabil chiar şi atunci când scopurile exacte ale cercetării nu pot fi identificate pe deplin în momentul colectării datelor, cu condiţia ca solicitarea consimţământului să fie în concordanţă cu standardele etice general recunoscute relevante pentru domeniul de cercetare specific. În orice caz, persoanele vizate trebuie să aibă posibilitatea de a consimţi la prelucrarea datelor cu caracter personal numai pentru anumite părţi ale cercetării, atunci când este posibil.

(20)În fine, Legea în materie de (utilizare şi acces la) date a detaliat garanţiile prevăzute anterior la articolul 89 din RGPD al Regatului Unit şi în secţiunea 19 din DPA din 2018 pentru prelucrarea datelor în scopuri de arhivare în interes public şi în scopuri de cercetare ştiinţifică, istorică şi statistică într-un nou capitol 8A din RGPD al Regatului Unit (²⁷). Aceste garanţii sunt similare celor prevăzute la articolul 89 din Regulamentul (UE) 2016/679 şi includ cerinţa de a institui măsuri tehnice şi organizatorice pentru a se asigura respectarea principiului reducerii la minimum a datelor.

CAPITOLUL 2:2.2. Garanţii, drepturi şi obligaţii

SECŢIUNEA 1:2.2.1. Legalitatea şi echitatea prelucrării

(22)Principiile legalităţii şi echităţii, precum şi temeiurile prelucrării legale continuă să fie garantate în legislaţia Regatului Unit prin articolul 5 alineatul (1) litera (a) şi prin articolul 6 alineatul (1) din RGPD al Regatului Unit, astfel cum au fost evaluate în Decizia de punere în aplicare (UE) 2021/1772. Deşi dispoziţiile în cauză rămân în mare măsură identice (²⁸) cu dispoziţiile relevante din Regulamentul (UE) 2016/679, Legea în materie de (utilizare şi acces la) date modifică mai întâi articolul 6 alineatul (1) din RGPD al Regatului Unit prin introducerea unui temei legal suplimentar pentru prelucrarea datelor cu caracter personal în conformitate cu articolul 6 alineatul (1) litera (ea) (²⁹). În conformitate cu această dispoziţie, prelucrarea este legală dacă şi în măsura în care "este necesară în scopul unui interes legitim recunoscut". Spre deosebire de temeiul juridic al interesului legitim prevăzut la articolul 6 alineatul (1) litera (f) din RGPD al Regatului Unit, noul temei juridic al interesului legitim recunoscut nu impune o analiză de la caz la caz a echilibrului dintre interesele legitime ale operatorului şi interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, scopul fiind să se asigure o mai mare securitate juridică pentru operatorii din cadrul organismelor care nu sunt publice. Articolul 6 alineatul (5) nou introdus din RGPD al Regatului Unit precizează că prelucrarea este necesară în scopul unui interes legitim recunoscut numai dacă îndeplineşte o condiţie prevăzută în anexa 1 (³⁰), care enumeră situaţiile în care prelucrarea este considerată necesară în scopul unui interes legitim recunoscut, de exemplu, în cazul în care are loc ca răspuns la o cerere primită de o autoritate publică ce are nevoie de date în scopul îndeplinirii unei sarcini de interes public, cu un temei juridic care respectă articolul 6 alineatul (3) din RGPD al Regatului Unit, în cazul în care prelucrarea este necesară pentru a proteja securitatea naţională şi siguranţa publică sau în scopuri de apărare, pentru a răspunde unei situaţii de urgenţă, pentru a detecta, a investiga sau a preveni infracţiuni sau pentru a proteja persoanele vulnerabile (³¹).

(²⁸)Din dorinţa de clarificare, Legea în materie de (utilizare şi acces la) date introduce, de asemenea, la articolul 6 din RGPD al Regatului Unit, un nou alineat care oferă exemple de tipuri de prelucrare care pot fi considerate necesare în scopul interesului legitim în sensul articolului 6 alineatul (1) litera (f) din RGPD al Regatului Unit. Aceste exemple (marketingul direct, transmiterea datelor în interiorul grupului în scopuri administrative şi securitatea reţelelor şi a sistemelor informatice) sunt, de asemenea, menţionate în considerentele 47 şi 48 din Regulamentul (UE) 2016/679 ca situaţii în care prelucrarea ar fi considerată în interesul legitim al operatorului.

(³¹)A se vedea anexa 4 la Legea în materie de (utilizare şi acces la) date. Potrivit autorităţilor Regatului Unit, printre exemplele de situaţii în care organismele care nu sunt publice ar putea fi nevoite să prelucreze date cu caracter personal pentru a preveni sau a detecta infracţiuni se numără o societate care ia cunoştinţă de încercări de piratare ilegală a sistemele sale informatice sau o bancă sau o instituţie financiară care ia cunoştinţă de încercări frauduloase de deschidere a unui cont la acestea. Prelucrarea datelor cu caracter personal de către un organism care nu este public poate fi necesară, de exemplu, pentru a proteja securitatea sau apărarea naţională în cazul în care o organizaţie comercială suspectează că activitatea online a unui client a indicat implicarea în activităţi teroriste. ICO lucrează la elaborarea unor orientări specifice în această privinţă, inclusiv la definirea conceptelor relevante. De exemplu, acestea se referă la faptul că "securitatea naţională" este susceptibilă să acopere securitatea şi bunăstarea Regatului Unit în ansamblu, a populaţiei sale, a instituţiilor sale şi a sistemului său de guvernare. A se vedea proiectul de orientări ale ICO privind interesul legitim recunoscut, astfel cum a fost publicat pentru consultare publică, disponibil la următoarea adresă: https://ico.org.uk/for-organisations/recognised-legitimate-interest-guidance/.

(23)Deşi Legea în materie de (utilizare şi acces la) date extinde astfel lista temeiurilor juridice pentru prelucrarea datelor cu caracter personal de care dispune operatorul, noul temei juridic al interesului legitim recunoscut face obiectul mai multor limitări importante. În primul rând, interesele legitime recunoscute se limitează la situaţii specifice care sunt enumerate în mod exhaustiv în lege. În al doilea rând, acest temei juridic nu poate fi invocat de autorităţile publice în îndeplinirea atribuţiilor lor (³²). În al treilea rând, acesta se referă numai la domeniile în care există un interes public clar pentru activitatea de prelucrare (în conformitate cu condiţiile prevăzute în anexa 1), şi anume în cazul în care prelucrarea serveşte obiectivelor enumerate la articolul 23 din RGPD al Regatului Unit [care corespunde articolului 23 din Regulamentul (UE) 2016/679] şi, prin urmare, nu poate fi invocat în scopuri comerciale. În al patrulea rând, deşi Legea în materie de (utilizare şi acces la) date acordă secretarului de stat dreptul de a modifica lista din anexa 1 prin intermediul unui regulament (³³), secretarul de stat poate prezenta un astfel de regulament numai după consultarea ICO (³⁴) şi poate adăuga pe lista respectivă un interes legitim recunoscut numai în cazul în care prelucrarea respectivă este din nou necesară pentru a proteja un obiectiv de interes public enumerat la articolul 23 alineatul (1) literele (c)-(j) din RGPD al Regatului Unit (³⁵). În cele din urmă, astfel cum s-a confirmat şi în orientările ICO (³⁶), operatorii de date care se bazează pe un interes legitim recunoscut ca temei juridic trebuie să respecte toate celelalte cerinţe prevăzute în RGPD al Regatului Unit, inclusiv să se asigure că prelucrarea este necesară şi proporţională pentru realizarea interesului legitim.

(³³)Înainte de a prezenta regulamente, secretarul de stat trebuie să ţină seama de efectele oricăror modificări asupra intereselor şi drepturilor şi libertăţilor fundamentale ale persoanelor vizate, precum şi de faptul că, în ceea ce priveşte copiii (dacă este cazul), este necesară o protecţie specifică a datelor cu caracter personal. Regulamentele trebuie adoptate prin intermediul unui instrument statutar şi fac obiectul procedurii de rezoluţie afirmativă, ceea ce înseamnă că trebuie să fie aprobate în mod activ de Parlamentul Regatului Unit. Secţiunea 70 alineatul (4) al optulea paragraf din Legea în materie de (utilizare şi acces la) date.

(24)În al doilea rând, Legea în materie de (utilizare şi acces la) date clarifică, la articolul 6 alineatul (3), articolul 9 alineatul (2) litera (g) şi la articolul 10 alineatul (1) din RGPD al Regatului Unit, care corespund dispoziţiilor respective din Regulamentul (UE) 2016/679, că temeiul pentru prelucrarea datelor cu caracter personal, a categoriilor speciale de date cu caracter personal şi a datelor cu caracter personal referitoare la condamnări penale şi infracţiuni în conformitate cu o obligaţie legală sau pentru îndeplinirea unei sarcini de interes public se poate regăsi nu numai în dreptul intern, ci şi în dreptul internaţional relevant (³⁷). Dreptul internaţional relevant este în continuare limitat de articolul 9A nou introdus din RGPD al Regatului Unit, coroborat cu anexa A1, la un singur acord, şi anume Acordul dintre Guvernul Regatului Unit al Marii Britanii şi Irlandei de Nord şi Guvernul Statelor Unite ale Americii privind accesul la datele electronice în scopul combaterii criminalităţii grave, semnat la 3 octombrie 2019 (Acordul dintre Regatul Unit şi SUA) (³⁸). Garanţiile prevăzute de acordul respectiv au fost evaluate în considerentele 153-155 din Decizia de punere în aplicare (UE) 2021/1772, iar punerea lor în aplicare este analizată în considerentele 87-93 din prezenta decizie.

SECŢIUNEA 2:2.2.2. Prelucrarea categoriilor speciale de date cu caracter personal

(26)Atât definiţia categoriilor speciale de date cu caracter personal, cât şi normele specifice care se aplică prelucrării acestor categorii de date din RGPD al Regatului Unit şi din DPA din 2018 rămân în vigoare. În acelaşi timp, Legea în materie de (utilizare şi acces la) date îi conferă secretarului de stat noi competenţe de stabilire a unor regulamente pentru a adăuga categorii speciale de date, pentru a adapta condiţiile aplicabile utilizării acestora şi pentru a introduce noi definiţii, dacă este necesar (³⁹). Un aspect important îl reprezintă faptul că aceasta nu îi permite secretarului de stat să elimine sau să modifice categoriile speciale existente de date sau să modifice condiţiile de prelucrare a acestor categorii (⁴⁰). Prin urmare, puterea nou introdusă de stabilire a unor regulamente îi permite guvernului doar să adauge noi categorii de date sensibile şi să prevadă respectivele condiţii de prelucrare a acestor categorii, ceea ce este menit să îi permită guvernului să răspundă evoluţiilor tehnologice şi societale viitoare, în situaţiile în care acest lucru este necesar.

SECŢIUNEA 3:2.2.3. Limitarea scopului

(29)În primul rând, Legea în materie de (utilizare şi acces la) date aduce câteva modificări specifice principiului limitării scopului prevăzut la articolul 5 alineatul (1) litera (b) din RGPD al Regatului Unit. Aceste modificări clarifică aplicarea acestui principiu fără a implica schimbări de fond. Secţiunea 71 alineatele (1), (2) şi (3) din Legea în materie de (utilizare şi acces la) date precizează că principiul limitării scopului se aplică în cazul în care datele sunt colectate de la persoana vizată sau în alt mod, că acesta se aplică numai în cazul în care datele cu caracter personal sunt prelucrate ulterior de către acelaşi operator sau în numele acestuia (şi anume că nu se aplică în cazul în care are loc o schimbare a operatorului) şi că prelucrarea nu este legală doar prin faptul că este compatibilă cu scopurile în care au fost colectate datele cu caracter personal.

(30)În al doilea rând, Legea în materie de (utilizare şi acces la) date clarifică normele privind prelucrarea ulterioară a datelor cu caracter personal prin regruparea acestora în noul articol 8A adăugat la RGPD al Regatului Unit, care stabileşte regimul complet pentru prelucrarea ulterioară a datelor cu caracter personal. Articolul 8A alineatul (2) din RGPD al Regatului Unit enumeră elementele care trebuie luate în considerare atunci când se stabileşte dacă un scop nou de prelucrare este compatibil cu scopul iniţial. Aceste elemente au fost enumerate anterior la articolul 6 alineatul (4) din RGPD al Regatului Unit, care corespunde articolului 6 alineatul (4) din Regulamentul (UE) 2016/679 (⁴¹). Articolul 8A alineatul (3) din RGPD al Regatului Unit regrupează într-o singură dispoziţie situaţiile în care prelucrarea datelor cu caracter personal într-un scop nou trebuie tratată ca fiind compatibilă cu scopul iniţial. Aceasta acoperă situaţiile în care persoana vizată consimte la prelucrarea datelor cu caracter personal în noul scop sau în care prelucrarea este necesară pentru a proteja un obiectiv enumerat la articolul 23 alineatul (1) (⁴²), în cazul în care prelucrarea este efectuată în scopuri de cercetare ştiinţifică sau istorică, de arhivare în interes public sau în scopuri statistice (⁴³). În fine, Legea în materie de (utilizare şi acces la) date clarifică faptul că orice prelucrare efectuată pentru a se asigura că prelucrarea respectă principiile de protecţie a datelor prevăzute la articolul 5 alineatul (1) din RGPD al Regatului Unit sau care demonstrează că face acest lucru este considerată compatibilă cu scopul iniţial. Situaţiile menţionate mai sus continuă să corespundă cu ceea ce se consideră a fi o prelucrare ulterioară compatibilă şi în Regulamentul (UE) 2016/679.

(31)În al treilea rând, Legea în materie de (utilizare şi acces la) date introduce, de asemenea, la articolul 8A alineatul (3) litera (d) din RGPD al Regatului Unit, noi situaţii suplimentare în care prelucrarea ulterioară a datelor cu caracter personal într-un scop nou este considerată compatibilă cu scopul iniţial. Aceste situaţii sunt enumerate în anexa 2 la RGPD al Regatului Unit (⁴⁴) şi includ, de exemplu, cazurile în care prelucrarea are loc ca răspuns la o cerere primită de o autoritate publică ce are nevoie de date în scopul îndeplinirii unei sarcini de interes public, cu un temei juridic care respectă articolul 6 alineatul (3) din RGPD al Regatului Unit, în cazul în care prelucrarea este necesară pentru a proteja securitatea publică, pentru a răspunde unei situaţii de urgenţă, pentru a detecta, a investiga sau a preveni infracţiuni, pentru a proteja interesele vitale ale persoanei vizate şi ale altor persoane, pentru a proteja persoanele vulnerabile, în scopuri fiscale sau dacă este necesar pentru respectarea unei obligaţii legale (⁴⁵).

(32)Deşi Legea în materie de (utilizare şi acces la) date extinde astfel lista situaţiilor în care prelucrarea ulterioară în alt scop este considerată compatibilă cu scopul prelucrării iniţiale, această extindere face obiectul unor limitări importante. În primul rând, aceasta se limitează la situaţii specifice care sunt enumerate în mod exhaustiv în lege. În al doilea rând, aceasta se referă numai la domeniile în care există un interes public clar pentru activitatea de prelucrare, şi anume în care prelucrarea ulterioară serveşte obiectivelor enumerate la articolul 23 din RGPD al Regatului Unit [care corespunde articolului 23 din Regulamentul (UE) 2016/679]. Prin urmare, această dispoziţie nu poate fi invocată în scopuri comerciale. În al treilea rând, deşi Legea în materie de (utilizare şi acces la) date acordă secretarului de stat dreptul de a modifica lista din anexa 2 prin intermediul unui regulament (⁴⁶), secretarul de stat poate adăuga pe lista respectivă tipuri de prelucrare numai în cazul în care prelucrarea respectivă este din nou necesară pentru a proteja un obiectiv de interes public enumerat la articolul 23 alineatul (1) literele (c)-(j) din RGPD al Regatului Unit (⁴⁷). În al patrulea rând, în cazul în care colectarea datelor cu caracter personal de către operator se bazează pe consimţământul persoanei vizate, prelucrarea într-un scop nou în situaţiile enumerate în anexa 2 este considerată compatibilă cu scopul iniţial numai dacă nu se poate aştepta în mod rezonabil ca operatorul să obţină un nou consimţământ din partea persoanei vizate (⁴⁸).

SECŢIUNEA 4:2.2.4. Drepturi individuale

(33)În temeiul cadrului pentru protecţia datelor cu caracter personal din Regatul Unit, persoanele vizate continuă să beneficieze de aceleaşi drepturi individuale precum în temeiul Regulamentului (UE) 2016/679 fără nicio modificare semnificativă (⁴⁹) care să poată fi opusă operatorului sau persoanei împuternicite de operator, în special de dreptul de acces la date, de dreptul de a se opune prelucrării şi de dreptul la rectificarea şi ştergerea datelor, astfel cum se evaluează în considerentele 51-54 din Decizia de punere în aplicare (UE) 2021/1772.

(⁴⁹)-Secţiunea 31 din Legea din 2024 privind victimele şi deţinuţii (Legea VAP) a introdus un temei suplimentar în dreptul la ştergerea datelor prevăzut la articolul 17 din RGPD al Regatului Unit, oferind persoanelor vizate dreptul de a solicita operatorilor de date să le şteargă datele cu caracter personal atunci când acestea au fost prelucrate ca urmare a unei afirmaţii nefondate cu privire la persoana vizată, formulată de o persoană răuvoitoare. O persoană este considerată "răuvoitoare" dacă a fost condamnată pentru o infracţiune specificată la articolul 31 alineatul (3) din Legea VAP (cum ar fi hărţuirea) sau face obiectul unui ordin de protecţie împotriva hărţuirii. Legea VAP este disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2024/21/contents. În plus, secţiunea 77 din Legea în materie de (utilizare şi acces la) date modifică dreptul la informare, astfel cum este prevăzut la articolul 13 din RGPD al Regatului Unit, astfel încât operatorul nu mai trebuie să informeze persoana vizată cu privire la prelucrarea ulterioară a datelor sale cu caracter personal în scopuri noi, în cazul în care scopurile respective sunt cercetarea ştiinţifică sau istorică, arhivarea în interes public sau un scop statistic, prelucrarea se efectuează în conformitate cu garanţiile specifice prevăzute la noul articol 84B din RGPD al Regatului Unit, iar furnizarea informaţiilor ar fi imposibilă sau disproporţionată.

(34)În primul rând, Legea în materie de (utilizare şi acces la) date clarifică anumite modalităţi prin care pot fi exercitate aceste drepturi. Pe de o parte, aceasta precizează, printr-o modificare a articolului 12 şi prin introducerea unui nou articol 12A din RGPD al Regatului Unit (⁵⁰), termenele în care operatorii trebuie să răspundă cererilor persoanei vizate. Mai precis, articolul 12 din RGPD al Regatului Unit se modifică în aşa fel încât operatorul să nu mai fie obligat să furnizeze informaţii cu privire la măsurile luate (sau cu privire la motivele pentru care nu a luat nicio măsură) ca răspuns la o cerere a persoanei vizate în conformitate cu articolele 15-22 din RGPD al Regatului Unit "în termen de o lună de la primirea cererii", ci mai degrabă "înainte de expirarea perioadei de timp aplicabile". Perioada de timp aplicabilă este definită în continuare la articolul 12A nou introdus din RGPD al Regatului Unit ca fiind o perioadă de o lună începând cu momentul relevant, şi anume momentul în care operatorul primeşte cererea, momentul în care operatorul primeşte orice informaţii solicitate în legătură cu o cerere în temeiul articolului 12 alineatul (6) din RGPD al Regatului Unit sau momentul în care a fost plătită o taxă percepută în legătură cu cererea în temeiul articolului 12 alineatul (5) din RGPD al Regatului Unit, luându-se în considerare data care survine mai târziu (⁵¹). Articolul 12A alineatul (3) permite, de asemenea, operatorului să prelungească perioada de timp aplicabilă cu încă două luni, în cazul în care acest lucru este necesar din cauza complexităţii cererilor formulate de persoana vizată sau a numărului de astfel de cereri. Pe de altă parte, în ceea ce priveşte numai dreptul de acces la informaţii şi la date cu caracter personal, Legea în materie de (utilizare şi acces la) date modifică articolul 15 din RGPD al Regatului Unit pentru a include clarificarea formulată în temeiul jurisprudenţei interne existente, pe baza principiului proporţionalităţii în temeiul legislaţiei UE, potrivit căreia operatorii trebuie să efectueze numai căutări rezonabile şi proporţionale în ceea ce priveşte informaţiile şi datele cu caracter personal solicitate (⁵²). Se preconizează că noua dispoziţie va fi interpretată în conformitate cu jurisprudenţa existentă, care prevede că "[... ] ceea ce se pune în balanţă în cadrul exerciţiului de proporţionalitate este obiectul final al căutării, şi anume beneficiul potenţial pe care furnizarea informaţiilor l-ar putea aduce persoanei vizate, în raport cu mijloacele prin care sunt obţinute informaţiile respective. Va fi necesar să se evalueze în fiecare caz în parte dacă vor fi necesare eforturi disproporţionate pentru găsirea şi furnizarea informaţiilor în raport cu beneficiile pe care acestea le-ar putea aduce persoanei vizate." (⁵³)

(35)Prin urmare, deşi termenele de răspuns la cererile persoanelor vizate şi obligaţiile specifice ale operatorilor de date în ceea ce priveşte dreptul de acces fac obiectul unor norme mai detaliate, sistemul Regatului Unit continuă să asigure faptul că respectivele cereri ale persoanelor vizate trebuie tratate în perioade de timp rezonabile definite pe baza unor factori obiectivi. În plus, obligaţiile de fond ale operatorului atunci când răspunde la cererile de acces sunt încadrate pe baza unor standarde juridice stabilite, care iau în considerare, de asemenea, interesele persoanei vizate. În cele din urmă, în orientările actuale ale ICO se prevede deja că un operator nu are obligaţia de a efectua căutări care ar fi nerezonabile sau disproporţionate în raport cu importanţa acordării accesului la informaţii (⁵⁴).

(36)Restricţiile privind aceste drepturi individuale care sunt prevăzute în DPA din 2018 şi care fac obiectul articolului 23 din RGPD al Regatului Unit, precum şi limitările şi garanţiile care reglementează aplicarea acestor restricţii continuă să fie în vigoare în Regatul Unit (⁵⁵), astfel cum se descrie în detaliu în considerentele 55-67 din Decizia de punere în aplicare (UE) 2021/1772.

(37)În ceea ce priveşte în mod specific restricţionarea datelor cu caracter personal prelucrate în scopul menţinerii unui control eficace al imigraţiei sau investigarea sau detectarea activităţilor care ar submina menţinerea unui control eficace al imigraţiei, în măsura în care aplicarea dispoziţiilor respective ar putea aduce atingere oricăreia dintre aceste aspecte (derogarea în materie de imigraţie) (⁵⁶), Guvernul Regatului Unit a modificat punctul 4 din anexa 2 la DPA din 2018 prin Regulamentele din 2022 referitoare la Legea privind protecţia datelor din 2018 (modificarea anexei 2 privind derogările) (⁵⁷) şi Regulamentele din 2024 referitoare la Legea privind protecţia datelor din 2018 (modificarea anexei 2 privind derogările) (⁵⁸), care completează Regulamentele din 2022 (⁵⁹). Modificările integrează în punctele 4A şi 4B din anexa 2 la DPA din 2018 garanţiile pentru exercitarea derogării în materie de imigraţie care sunt prevăzute la articolul 23 alineatul (2) din RGPD al Regatului Unit. În special, acestea prevăd (i) că derogarea în materie de imigraţie trebuie invocată numai de la caz la caz, separat pentru fiecare dintre dispoziţiile relevante din RGPD al Regatului Unit şi de fiecare dată când secretarul de stat are în vedere neaplicarea sau restricţionarea aplicării oricăreia dintre dispoziţiile relevante din RGPD al Regatului Unit (⁶⁰), (ii) că drepturile şi libertăţile persoanei vizate şi potenţialele vulnerabilităţi trebuie să fie luate în considerare atunci când se exercită derogarea în materie de imigraţie (⁶¹) şi (iii) că secretarul de stat trebuie să ţină o evidenţă a utilizării derogării în materie de imigraţie şi să informeze persoana vizată cu privire la utilizarea acesteia (cu excepţia unor circumstanţe specifice în care informaţiile respective ar aduce atingere obiectivului derogării) (⁶²) şi clarifică (iv) faptul că utilizarea derogării în materie de imigraţie este limitată la prelucrarea datelor cu caracter personal de către secretarul de stat, adică, în practică, de către Ministerul de Interne (Home Office) pentru funcţiile sale relevante în raport cu punctul 4 subpunctul 1 din anexa 2 la DPA din 2018 (⁶³). În plus, acestea explică, de asemenea, exerciţiul de echilibru care trebuie efectuat atunci când se stabileşte dacă exercitarea drepturilor persoanelor vizate este de natură să aducă atingere controlului eficace al imigraţiei şi dacă este necesar şi proporţional să se restricţioneze astfel de drepturi ca urmare a acestui fapt.

(⁵⁶)La momentul adoptării Deciziei de punere în aplicare (UE) 2021/1772, validitatea şi interpretarea derogării în materie de imigraţie în temeiul legislaţiei Regatului Unit nu fuseseră soluţionate, în urma unei decizii a Curţii de Apel din Anglia şi Ţara Galilor din 26 mai 2021, prin care s-a constatat că derogarea în materie de imigraţie, astfel cum era prezentă în DPA din 2018 la momentul respectiv, era incompatibilă cu legislaţia Regatului Unit, întrucât nu conţinea dispoziţii specifice care să stabilească garanţiile enumerate la articolul 23 alineatul (2) din RGPD al Regatului Unit, care reflectă articolul 23 alineatul (2) din Regulamentul (UE) 2016/679. Din acest motiv, datele cu caracter personal transferate în scopul controlului imigraţiei în Regatul Unit sau care intră în alt mod în domeniul de aplicare al derogării în materie de imigraţie au fost excluse din domeniul de aplicare al Deciziei de punere în aplicare (UE) 2021/1772.

(⁵⁹)Derogarea în materie de imigraţie, astfel cum a fost revizuită prin Regulamentele din 2022, a fost contestată din nou prin intermediul controlului jurisdicţional, pe motiv că nu îndeplinea încă toate cerinţele prevăzute la articolul 23 alineatul (2) din RGPD al Regatului Unit. În decembrie 2023, Curtea de Apel a constatat incompatibilitatea acesteia cu cerinţele articolului 23 alineatul (2) din RGPD al Regatului Unit. Ca urmare a acestei hotărâri, Regulamentul din 2024 completează Regulamentul din 2022 şi aduce modificări suplimentare derogării în materie de imigraţie.

(38)În plus, ICO din Regatul Unit a emis orientări detaliate privind utilizarea acestei restricţii specifice (⁶⁴). Orientările prevăd, în special, că "derogarea în materie de imigraţie nu ar trebui aplicată ca derogare generală pentru a limita [... ] drepturile pentru toate datele pe care le deţineţi. Domeniul de aplicare al derogării se limitează la acele drepturi care, dacă ar fi exercitate pentru datele deţinute, ar aduce atingere scopurilor identificate în materie de imigraţie. [... ]. Prin urmare, poziţia implicită a operatorului ar trebui să fie aceea de a respecta, pe cât posibil, cerinţele Regulamentului (UE) 2016/679 şi ale DPA. [... ] Testul de prejudiciu are un prag ridicat, iar derogarea nu ar trebui aplicată în mod generalizat. [... ] Trebuie să analizaţi dacă aplicarea derogării este un răspuns proporţional la cererea persoanei în cauză privind protecţia datelor. Puteţi considera că există o nevoie socială presantă de a aplica derogarea în materie de imigraţie, dar trebuie să analizaţi, de asemenea, dacă acest lucru prevalează asupra obligaţiei care vă revine faţă de persoane în temeiul Regulamentului (UE) 2016/679. Acestea au drepturi asupra datelor lor cu caracter personal, pe care trebuie să le aveţi în vedere în toate circumstanţele, în special dreptul de acces. Prin urmare, este important ca, în fiecare caz, să analizaţi dacă drepturile persoanei la protecţia datelor prevalează asupra riscului de prejudiciu identificat. Aplicarea derogării trebuie să se realizeze în mod proporţional cu circumstanţele, fiecare caz trebuind analizat şi documentat cu atenţie."

(39)În general, restricţia în materie de imigraţie prevăzută la punctul 4 din anexa 2 la DPA din 2018, astfel cum a fost revizuită de Guvernul Regatului Unit în 2022 şi 2024 şi astfel cum a fost interpretată de jurisprudenţă (⁶⁵) şi de orientările Biroului Comisarului pentru Informaţii, face obiectul unei serii de condiţii stricte care reglementează aplicarea sa şi care sunt foarte similare cu condiţiile stabilite în dreptul Uniunii, în special la articolul 23 din Regulamentul (UE) 2016/679, pentru restricţionarea drepturilor şi obligaţiilor în materie de protecţie a datelor pentru obiective importante de interes public, cum ar fi controlul imigraţiei.

SECŢIUNEA 5:2.2.5. Restricţii privind transferurile ulterioare de date

(40)Nivelul de protecţie oferit datelor cu caracter personal transferate din Uniunea Europeană către operatorii sau persoanele împuternicite de operatori din Regatul Unit continuă să nu fie subminat de transferul ulterior al acestor date către destinatari dintr-o ţară terţă. Regimul privind transferurile internaţionale de date cu caracter personal din Regatul Unit rămâne foarte apropiat de normele prevăzute în capitolul V din Regulamentul (UE) 2016/679, astfel cum au fost evaluate în considerentele 74-82 din Decizia de punere în aplicare (UE) 2021/1772.

(41)Deşi Legea în materie de (utilizare şi acces la) date a modificat capitolul 5 din RGPD al Regatului Unit privind transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale, aceasta menţine cerinţa de bază potrivit căreia datele cu caracter personal pot fi transferate numai către o ţară terţă sau o organizaţie internaţională în cazul în care transferul se bazează pe (i) regulamente de aprobare a transferului (noua terminologie pentru ceea ce era denumit anterior "regulamente privind caracterul adecvat al nivelului de protecţie"), (ii) garanţii adecvate sau (iii) o derogare pentru situaţii specifice. Aceste principii generale pentru transferurile de date se reflectă în noul articol 44A, care înlocuieşte articolul 44 din RGPD al Regatului Unit (⁶⁶) şi care precizează, de asemenea, că transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională sunt permise numai dacă transferul se efectuează în conformitate cu celelalte dispoziţii ale RGPD al Regatului Unit.

(42)În ceea ce priveşte în mod specific regulamentele de aprobare a unui transfer, articolul 45A alineatul (2) din RGPD al Regatului Unit precizează că secretarul de stat poate adopta astfel de regulamente numai în cazul în care consideră că este îndeplinit criteriul privind protecţia datelor. Aceasta înseamnă că posibilitatea [introdusă prin articolul 45A alineatul (3) din RGPD al Regatului Unit] ca secretarul de stat să ţină seama de oportunitatea facilitării fluxurilor de date atunci când adoptă astfel de regulamente este întotdeauna supusă condiţiei ca criteriul privind protecţia datelor să fie îndeplinit. Standardul juridic referitor la criteriul privind protecţia datelor care trebuie îndeplinit este prevăzut la noul articol 45B alineatul (1) din RGPD al Regatului Unit, care impune ca standardul de protecţie pentru persoanele vizate din ţările destinatare sau din cadrul organizaţiilor internaţionale să nu fie cu mult inferior standardului prevăzut pentru persoanele vizate în temeiul legislaţiei relevante a Regatului Unit privind protecţia datelor. Articolul 45B alineatul (2) din RGPD al Regatului Unit prevede şi o listă neexhaustivă de elemente care trebuie luate în considerare atunci când se evaluează dacă acest criteriu este îndeplinit, cum ar fi respectarea statului de drept şi a drepturilor omului, existenţa şi competenţele unei autorităţi pentru protecţia datelor, modalităţile de exercitare a căilor de atac judiciare sau extrajudiciare, normele privind transferul de date cu caracter personal din ţară sau de către organizaţie către alte ţări sau organizaţii internaţionale, obligaţiile internaţionale relevante ale ţării sau ale organizaţiei, precum şi structura, tradiţiile şi cultura ţării sau ale organizaţiei. Deşi reformulează lista elementelor relevante, astfel cum este prevăzută la fostul articol 45 din RGPD al Regatului Unit, noul articol 45B alineatul (2) păstrează elementele esenţiale ale listei respective şi, prin urmare, rămâne aproape de ceea ce se prevede în capitolul V din Regulamentul (UE) 2016/679. În plus, autorităţile Regatului Unit au confirmat că secretarul de stat va lua în considerare elemente care nu sunt enumerate la articolul 45B alineatul (2), cum ar fi legislaţia şi practicile dintr-o ţară terţă referitoare la modul în care autorităţile publice accesează datele cu caracter personal în scopuri precum securitatea naţională sau asigurarea respectării legii, în măsura în care acestea afectează standardul general de protecţie. În plus, autorităţile Regatului Unit consideră că jurisprudenţa relevantă din ţara terţă va fi o componentă esenţială atunci când se vor analiza aspectele enumerate neexhaustiv la articolul 45B alineatul (2) din RGPD al Regatului Unit.

(43)Regulamentele de aprobare a unui transfer continuă să facă obiectul cerinţelor procedurale "generale" prevăzute în secţiunea 182 din DPA din 2018, astfel cum se prevede în considerentul 77 din Decizia de punere în aplicare (UE) 2021/1772. În temeiul acestei proceduri, secretarul de stat trebuie să consulte Comisarul pentru Informaţii atunci când propune adoptarea unor regulamente ale Regatului Unit privind caracterul adecvat al nivelului de protecţie (⁶⁷). Odată adoptate de secretarul de stat, aceste regulamente sunt prezentate Parlamentului şi fac obiectul procedurii de "rezoluţie negativă", în cadrul căreia ambele camere ale Parlamentului pot examina regulamentele şi pot adopta o propunere de anulare a acestora în termen de 40 de zile (⁶⁸).

(44)În ceea ce priveşte garanţiile adecvate, noul alineat (1A) de la articolul 46 din RGPD al Regatului Unit prevede că astfel de transferuri pot avea loc numai dacă sunt prevăzute garanţii relevante în instrumentele disponibile în temeiul articolului 46 alineatele (2) şi (3) (⁶⁹) din RGPD al Regatului Unit, iar operatorul, persoana împuternicită de operator sau organismele publice aplicabile, acţionând în mod rezonabil şi proporţional, consideră că este îndeplinit criteriul privind protecţia datelor. Alineatele (6) şi (7) nou introduse clarifică faptul că respectivul criteriu privind protecţia datelor este îndeplinit în cazul în care, datorită garanţiilor necesare, standardul de protecţie prevăzut pentru persoanele vizate nu este cu mult inferior după transfer comparativ cu standardul prevăzut de legislaţia relevantă privind protecţia datelor din Regatul Unit, şi anume astfel cum este cazul în temeiul Regulamentului (UE) 2016/679, aceleaşi standarde juridice se aplică ambelor regulamente de aprobare a unui transfer şi garanţiilor adecvate. În conformitate cu acelaşi alineat, ceea ce este rezonabil şi proporţional trebuie stabilit în funcţie de toate circumstanţele sau circumstanţele probabile ale transferului sau ale tipului de transfer, inclusiv în funcţie de natura şi volumul datelor cu caracter personal transferate.

(⁶⁹)Instrumentul de transfer disponibil în temeiul articolului 46 alineatele (2) şi (3) din RGPD al Regatului Unit sunt instrumente obligatorii din punct de vedere juridic şi executorii între autorităţi sau organisme publice, reguli corporatiste obligatorii în conformitate cu articolul 47 din RGPD al Regatului Unit, clauze standard de protecţie a datelor specificate în regulamentele adoptate de secretarul de stat sau specificate într-un document emis de Comisia pentru Informaţii, un cod de conduită aprobat şi un mecanism de certificare aprobat.

(45)În ceea ce priveşte derogările pentru situaţii specifice, la articolul 49 din RGPD al Regatului Unit privind condiţiile în care se pot aplica derogări pentru situaţii specifice, se introduc o serie de modificări de ordin tehnic, care aliniază dispoziţia la modificările aduse altor dispoziţii, dar care nu afectează nivelul de protecţie a datelor cu caracter personal în Regatul Unit. În plus, se introduce un nou alineat (4A) pentru a reproduce efectul secţiunii 18 alineatul (1) din DPA din 2018, care acordă secretarului de stat autoritatea de a preciza, prin regulamente, circumstanţele transferurilor de date considerate necesare din motive de interes public. În fine, un nou articol 49A reproduce efectul secţiunii 18 alineatul (2) din DPA din 2018, care permite secretarului de stat să impună, prin regulamente, restricţii asupra transferurilor de date în cazul în care acestea nu sunt aprobate în temeiul articolului 45A (transferuri aprobate prin regulamente) şi atunci când se consideră necesar din motive importante de interes public.

(47)În ceea ce priveşte regulamentele de aprobare a transferurilor, până în prezent, s-au adoptat două noi regulamente, care reflectă deciziile privind caracterul adecvat al nivelului de protecţie care sunt în vigoare şi în cadrul Uniunii, şi anume pentru transferurile către Republica Coreea şi pentru transferurile către entităţi comerciale care au aderat la extinderea aplicării Cadrului UE-SUA privind confidenţialitatea datelor la Regatul Unit. Regulamentele privind caracterul adecvat al nivelului de protecţie pentru Republica Coreea (⁷⁰) au intrat în vigoare la 19 decembrie 2022 şi permit transferul de date cu caracter personal din Regatul Unit către Republica Coreea. Extinderea aplicării Cadrului UE-SUA privind confidenţialitatea datelor la Regatul Unit, pentru care regulamentele relevante (⁷¹) au intrat în vigoare la 12 octombrie 2023, permite libera circulaţie a datelor cu caracter personal către organizaţii certificate din SUA.

(48)În ceea ce priveşte garanţiile adecvate, Regatul Unit a publicat propriile clauze contractuale standard privind protecţia datelor, Acordul internaţional privind transferul de date (International Data Transfer Agreement - IDTA) (⁷²) şi un addendum la clauzele contractuale standard ale UE (SCC), ambele intrând în vigoare în martie 2022. IDTA oferă un mecanism specific Regatului Unit pentru asigurarea unor garanţii adecvate pentru transferul de date cu caracter personal şi prezinte diverse asemănări cu clauzele contractuale standard ale UE. Addendumul, emis de Biroul Comisarului pentru Informaţii, permite operatorilor de date şi persoanelor împuternicite de operatori din Regatul Unit să se bazeze pe clauzele contractuale standard ale UE în temeiul RGPD al Regatului Unit pentru transferurile internaţionale. Biroul Comisarului pentru Informaţii a emis, de asemenea, un instrument de evaluare a riscurilor de transfer pentru a sprijini organizaţiile din Regatul Unit în evaluarea riscurilor asociate transferurilor internaţionale.

(49)Regatul Unit a simplificat, de asemenea, procesul de aprobare a regulilor corporatiste obligatorii (Binding Corporate Rules - BCR) prin noi orientări şi noi opţiuni de aprobare a BCR. În iulie 2022, Biroul Comisarului pentru Informaţii a publicat orientări şi tabele de referinţă pentru a explica abordarea Regatului Unit cu privire la BCR după Brexit şi, în decembrie 2023, a fost publicat un addendum la BCR ale UE pentru a se asigura că BCR aprobate în temeiul cadrului Uniunii sunt executorii în Regatul Unit (⁷³).

(⁷³)Biroul Comisarului pentru Informaţii a primit un număr semnificativ de cereri legate de BCR din Regatul Unit după Brexit. Multe BCR aprobate nu mai puteau fi utilizate, deoarece numai BCR în cazul cărora Biroul Comisarului pentru Informaţii a fost implicată în procesul de aprobare a BCR putea fi utilizate în continuare după Brexit, dar respectivii titulari ai BCR au fost obligaţi să prezinte Biroului Comisarului pentru Informaţii documentaţia BCR actualizată în conformitate cu RGPD al Regatului Unit.

(50)În fine, în iulie 2023, Regatul Unit a devenit membru asociat al Forumului mondial privind normele transfrontaliere în materie de protecţie a vieţii private (Forumul CBPR - Cross-Border Privacy Rules) (⁷⁴). Un aspect important îl reprezintă faptul că această aderare nu implică nicio facilitare a transferurilor de date din Regatul Unit către alţi membri ai Forumului CBPR. Regatul Unit a clarificat faptul că orice transfer de date cu caracter personal din Regatul Unit către ţări terţe sau organizaţii internaţionale trebuie să îndeplinească respectivele condiţii prevăzute în legislaţia Regatului Unit, astfel cum se descrie mai sus, în special criteriul privind protecţia datelor, care impune ca standardele de protecţie acordate să nu fie "semnificativ mai scăzute" decât cele prevăzute în RGPD al Regatului Unit.

(51)Astfel cum Comisia a explicat deja, CBPR nu asigură un nivel suficient de protecţie pentru datele cu caracter personal care provin din UE. În special, CBPR nu prevăd drepturi individuale exercitabile (⁷⁵). Prin urmare, este deosebit de important ca, chiar dacă Regatul Unit este membru asociat al Forumului mondial CBPR, CBPR să nu poată constitui un mecanism de transfer valabil în temeiul legislaţiei Regatului Unit privind protecţia datelor. Dacă circumstanţele menţionate s-ar schimba, acest lucru ar submina nivelul de protecţie garantat în prezent datelor cu caracter personal transferate din UE către Regatul Unit. Prin urmare, Comisia va continua să monitorizeze îndeaproape evoluţiile ulterioare în această privinţă.

(⁷⁵)A se vedea, de exemplu, analiza comparativă efectuată de autorităţile pentru protecţia datelor din cadrul G7 cu privire la elementele de bază ale sistemului de certificare RGPD şi ale sistemului CBPR, care a evidenţiat existenţa unor "diferenţe notabile" între sisteme, inclusiv în ceea ce priveşte "forţa executorie şi căile de atac, normele privind supravegherea independentă şi accesul administraţiei publice". Disponibilă la următoarea adresă: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10063165

SECŢIUNEA 6:2.2.6. Procesul decizional automatizat

(53)În primul rând, articolul 22B nou introdus din RGPD al Regatului Unit stabileşte o interdicţie generală privind prelucrarea categoriilor speciale de date cu caracter personal [definite la articolul 9 alineatul (1) din RGPD al Regatului Unit] pentru deciziile bazate exclusiv pe prelucrarea automată care au efecte juridice sau la fel de semnificative pentru persoana vizată. Totuşi, acesta prevede trei excepţii de la interdicţia menţionată: persoana vizată şi-a dat consimţământul explicit pentru o astfel de prelucrare sau decizia este necesară pentru încheierea sau executarea unui contract între operator şi persoana vizată sau prelucrarea este impusă sau autorizată prin lege. În cazul ultimelor două excepţii, prelucrarea automată trebuie să fie necesară din motive de interes public major (⁷⁶). Interdicţia generală nu se aplică deciziilor semnificative bazate pe prelucrarea automată a unor categorii nespeciale de date.

(54)În plus, noul articol 22A din RGPD al Regatului Unit clarifică definiţia unei decizii care se bazează "exclusiv pe prelucrarea automată", prevăzând că o astfel de decizie este una în care nu există o implicare umană semnificativă în procesul decizional. Un aspect important îl reprezintă faptul că operatorii trebuie să evalueze măsura în care crearea de profiluri contribuie la o decizie prin care se stabileşte dacă implicarea umană a fost semnificativă. Articolul 22A din RGPD al Regatului Unit clarifică, de asemenea, faptul că o "decizie semnificativă" este una care produce efecte juridice sau are un impact la fel de semnificativ asupra unei persoane vizate (⁷⁷).

(55)În al doilea rând, articolul 22C nou introdus din RGPD al Regatului Unit impune operatorilor să pună în aplicare măsuri care să ofere garanţiile relevante pentru orice decizie importantă bazată integral sau parţial pe date cu caracter personal şi întemeiată exclusiv pe prelucrarea automată (inclusiv pentru categoriile nespeciale de date cu caracter personal). Aceste garanţii trebuie să includă furnizarea de informaţii persoanei vizate cu privire la procesul decizional, permiţându-i persoanei vizate să conteste decizia şi să îşi prezinte observaţiile, precum şi asigurarea faptului că persoana vizată poate obţine o intervenţie umană în procesul decizional (⁷⁸).

(56)În cele din urmă, articolul 22D nou introdus din RGPD al Regatului Unit acordă secretarului de stat autoritatea de a prezenta legislaţie secundară pentru a descrie ce constituie şi ce nu constituie o implicare umană semnificativă şi ce decizii trebuie sau nu trebuie considerate ca având un impact la fel de semnificativ asupra persoanelor vizate. De asemenea, articolul permite secretarului de stat să prezinte legislaţie secundară pentru: (i) a adăuga noi garanţii; (ii) a impune cerinţe care să completeze garanţiile existente şi (iii) a defini măsuri care nu îndeplinesc garanţiile (⁷⁹). Este important de remarcat faptul că, înainte de a adopta regulamente în conformitate cu articolul 22D din RGPD al Regatului Unit, secretarul de stat trebuie să consulte ICO (⁸⁰), iar regulamentele nu pot modifica articolul 22C din RGPD al Regatului Unit (⁸¹) şi sunt supuse procedurii rezoluţiei afirmative (⁸²), ceea ce înseamnă că acestea trebuie să fie aprobate de ambele camere ale Parlamentului Regatului Unit înainte de a putea fi adoptate.

(57)Deşi Legea în materie de (utilizare şi acces la) date a modificat, prin urmare, cadrul pentru procesul decizional automatizat, este important de remarcat faptul că, în temeiul cadrului juridic al Regatului Unit, procesul decizional automatizat continuă să facă obiectul garanţiilor esenţiale care impun dreptul de a obţine intervenţie umană în toate cazurile de decizii semnificative bazate exclusiv pe prelucrarea automată, şi anume pe baza prelucrării datelor cu caracter personal sensibile şi nesensibile (⁸³). În plus, astfel cum a observat Comisia în deciziile anterioare privind caracterul adecvat al nivelului de protecţie (⁸⁴), este puţin probabil ca normele specifice privind procesul decizional automatizat din RGPD al Regatului Unit să afecteze nivelul de protecţie a datelor cu caracter personal transferate din Uniune către Regatul Unit. În ceea ce priveşte datele cu caracter personal care au fost colectate în Uniune, orice decizie bazată pe prelucrarea automată va fi luată de regulă de către operatorul din Uniune (care are o relaţie directă cu persoana vizată în cauză) şi, prin urmare, intră sub incidenţa normelor prevăzute de Regulamentul (UE) 2016/679.

(⁸⁴)A se vedea, de exemplu, considerentul 94 din Decizia de punere în aplicare (UE) 2019/419 şi considerentul 81 din Decizia de punere în aplicare (UE) 2022/254 a Comisiei din 17 decembrie 2021 de constatare, în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului, a nivelului adecvat de protecţie a datelor cu caracter personal asigurat de Republica Coreea în baza Legii privind protecţia informaţiilor cu caracter personal (JO L 44, 24.2.2022, p. 1, ELI: http://data.europa.eu/eli/dec_impl/2022/254/oj).

CAPITOLUL 3:2.3. Supravegherea şi asigurarea respectării normelor

SECŢIUNEA 1:2.3.1. Supravegherea independentă

(58)În Regatul Unit, supravegherea şi asigurarea respectării cadrului de protecţie a datelor continuă să fie efectuate de o autoritate independentă de supraveghere a protecţiei datelor, astfel cum se analizează în considerentele 85-91 din Decizia de punere în aplicare (UE) 2021/1772. Legea în materie de (utilizare şi acces la) date reformează structura de guvernanţă a acestei autorităţi prin înfiinţarea unui organism corporativ, Comisia pentru Informaţii, care va înlocui ICO, care a fost structurat ca o întreprindere individuală.

(59)Mai precis, măsurile de guvernanţă prevăzute în Legea în materie de (utilizare şi acces la) date, odată puse în aplicare, vor elimina Biroul Comisarului pentru Informaţii şi vor transfera funcţiile, personalul şi bunurile de la ICO către noul organism, Comisia pentru Informaţii. Comisia pentru Informaţii este formată din membri executivi şi neexecutivi (⁸⁵). Legea prevede, de asemenea, transferarea, de la Comisarul pentru Informaţii, a rolului de preşedinte al Comisiei pentru Informaţii, care este unul dintre membrii neexecutivi (⁸⁶). Legea în materie de (utilizare şi acces la) date prevede, de asemenea, că, în măsura în care acest lucru este adecvat ca urmare a transferului de funcţii, trimiterile la Comisarul pentru Informaţii din toate actele legislative sau din alte documente (ori de câte ori sunt adoptate sau emise) trebuie tratate ca trimiteri la Comisia pentru Informaţii. Pentru a-şi îndeplini funcţiile, Comisia pentru Informaţii poate institui comitete şi poate delega funcţii unui membru, unui angajat sau unui comitet al Comisiei (⁸⁷) şi poate lua măsuri pentru reglementarea procedurii sale şi a procedurii comitetelor, inclusiv în ceea ce priveşte cvorumul şi luarea deciziilor cu majoritate de voturi. Aceste proceduri trebuie făcute publice (⁸⁸).

(60)Un aspect important îl reprezintă faptul că independenţa Comisiei pentru Informaţii face obiectul aceloraşi garanţii, inclusiv în ceea ce priveşte normele privind numirea şi revocarea preşedintelui, precum cele evaluate în considerentele 87-90 din Decizia de punere în aplicare (UE) 2021/1772 (⁸⁹). Măsuri de protecţie similare se aplică şi în cazul celorlalţi membri neexecutivi ai Comisiei pentru Informaţii. În special, preşedintele Comisiei pentru Informaţii este numit de Majestatea Sa la recomandarea secretarului de stat. Acesta este selectat pe baza meritelor şi în urma unei competiţii deschise şi echitabile (⁹⁰). Ceilalţi membri neexecutivi sunt numiţi de secretarul de stat, în urma consultărilor cu preşedintele. Candidaţii pot fi recomandaţi pentru numire sau pot fi numiţi numai dacă sunt selectaţi pe baza meritelor, în urma unui concurs echitabil şi deschis şi dacă secretarul de stat s-a asigurat că aceştia nu se află într-o situaţie de conflict de interese (⁹¹). Membrii executivi sunt angajaţi ai Comisiei pentru Informaţii în conformitate cu termenii şi condiţiile stabilite de membrii neexecutivi (⁹²). Şeful executivului este numit de preşedinte şi de alţi membri neexecutivi, în urma consultărilor cu secretarul de stat. Numirile membrilor executivi fac, de asemenea, obiectul unei selecţii pe baza meritelor, în urma unui concurs echitabil şi deschis (⁹³).

(61)Preşedintele poate fi revocat din funcţie de Maiestatea Sa numai în urma unei cereri oficiale din partea ambelor camere ale Parlamentului şi numai dacă secretarul de stat a prezentat camerei respective un raport în care declară că secretarul de stat este convins că preşedintele se face vinovat de o abatere gravă, se află într-un conflict de interese, nu a respectat cerinţele specifice de informare cu privire la potenţialele conflicte de interese sau nu este în măsură, nu este apt sau nu doreşte să exercite funcţiile care îi revin preşedintelui (⁹⁴). Membrii neexecutivi pot fi revocaţi din funcţie de către secretarul de stat numai dacă acesta este convins că sunt îndeplinite condiţiile specifice prevăzute în legislaţie. Printre acestea se numără conflictele de interese, abaterile grave sau incapacitatea, refuzul sau inaptitudinea de a-şi îndeplini sarcinile. În ceea ce priveşte garanţiile suplimentare, secretarul de stat are obligaţia de a face publică decizia de a face acest lucru şi de a oferi membrului o motivare pentru revocare (⁹⁵).

(62)Rolul principal al Comisiei pentru Informaţii va consta în continuare în monitorizarea şi aplicarea cadrului de protecţie a datelor în Regatul Unit "pentru a proteja drepturile şi libertăţile fundamentale" ale persoanelor fizice (⁹⁶). În ceea ce priveşte funcţia Comisiei pentru Informaţii de a asigura un nivel adecvat de protecţie a datelor cu caracter personal, Legea în materie de (utilizare şi acces la) date prevede în mod specific obligaţia Comisiei pentru Informaţii de a ţine seama de interesele persoanelor vizate, ale operatorilor şi ale altor persoane şi de aspecte de interes public general, precum şi să promoveze încrederea publicului în prelucrarea datelor cu caracter personal (⁹⁷). Aceste obiective sunt menţionate, de asemenea, în considerentul 7 din Regulamentul (UE) 2016/679.

(63)În plus, Legea în materie de (utilizare şi acces la) date specifică faptul că, atunci când îşi exercită funcţia în temeiul legislaţiei privind protecţia datelor, Comisia pentru Informaţii trebuie să aibă în vedere promovarea inovării şi a concurenţei, importanţa prevenirii, a investigării, a depistării şi a urmăririi penale a infracţiunilor, necesitatea de a proteja siguranţa publică şi securitatea naţională, precum şi nevoile specifice legate de protecţia copiilor (⁹⁸). Legislaţia UE privind protecţia datelor recunoaşte, de asemenea, necesitatea de a asigura un echilibru între protecţia datelor personale şi alte drepturi fundamentale şi obiective, precum progresul economic şi social, securitatea şi justiţia şi libertatea de a desfăşura o activitate comercială (⁹⁹).

(⁹⁸)-Secţiunea 91 din Legea în materie de (utilizare şi acces la) date, care introduce secţiunea 120B în DPA din 2018. Legea în materie de (utilizare şi acces la) date introduce, de asemenea, o nouă secţiune 120C în DPA din 2018, care prevede obligaţia Comisiei pentru Informaţii de a elabora şi de a publica o strategie care, printre altele, să reflecte modul în care aceasta va ţine seama, în exercitarea funcţiilor sale de reglementare, de aspectele menţionate mai sus şi de promovarea creşterii economice.

SECŢIUNEA 2:2.3.2. Asigurarea respectării normelor, inclusiv sancţiunile

(66)Pe de o parte, Legea în materie de (utilizare şi acces la) date clarifică faptul că Comisia pentru Informaţii poate solicita "documente" şi "informaţii" specifice atunci când îşi exercită competenţa referitoare la notificarea de informare (¹⁰¹). Pe de altă parte, Legea în materie de (utilizare şi acces la) date introduce două noi competenţe de investigare pentru Comisia pentru Informaţii: o nouă competenţă de a solicita un raport (¹⁰²) şi o nouă competenţă de a emite "avize de prezentare la audiere" către operatori în cazul unei presupuse încălcări a RGPD al Regatului Unit sau a DPA din 2018 (¹⁰³).

(¹⁰¹)-Secţiunea 97 din Legea în materie de (utilizare şi acces la) date, care modifică secţiunea 142 din DPA din 2018. Consideraţiile privind impactul tehnologiei şi rolul protecţiei datelor în crearea încrederii în economia digitală fac parte din activităţile autorităţilor de reglementare în domeniul protecţiei datelor, atât în Regatul Unit, cât şi în UE. A se vedea, de exemplu, raportul anual pe 2024 al Comitetului european pentru protecţia datelor, pagina 12: "CEPD este un organism dinamic şi de colaborare care joacă un rol esenţial în asigurarea aplicării consecvente a legislaţiei privind protecţia datelor în întreaga Europă. Din perspectiva mea în calitate de vicepreşedinte, consider că acesta este un gardian al drepturilor la viaţă privată ale persoanelor, asigurând un echilibru adecvat între nevoile de inovare şi de creştere economică."

(67)În ceea ce priveşte exercitarea acestor competenţe de către Comisia pentru Informaţii, de la intrarea în vigoare a Deciziei de punere în aplicare (UE) 2021/1772, Comisarul pentru Informaţii a gestionat aproximativ 40 000 de plângeri din partea persoanelor vizate pe an, un număr similar cu numărul de plângeri gestionate atunci când Regatul Unit făcea încă parte din Uniune şi aplica Regulamentul (UE) 2016/679 (¹⁰⁴). Biroul Comisarului pentru Informaţii a efectuat, de asemenea, investigaţii din oficiu, care au acoperit o gamă largă de aspecte sectoriale şi de conformitate, inclusiv drepturile persoanelor vizate (¹⁰⁵).

(68)În ceea ce priveşte măsurile de asigurare a respectării normelor, de la intrarea în vigoare a Deciziei de punere în aplicare (UE) 2021/1772, Comisarul pentru Informaţii a emis 120 de mustrări, 32 de notificări de informare, 3 notificări de evaluare, 12 notificări de executare, 2 avertismente şi 12 amenzi (¹⁰⁶). Printre acestea se numără mai multe sancţiuni financiare semnificative impuse în temeiul RGPD al Regatului Unit şi al DPA din 2018. De exemplu, Comisarul pentru Informaţii a impus în aprilie 2023 o amendă de 12,7 milioane GBP unei platforme de comunicare socială pentru utilizarea abuzivă a datelor copiilor (¹⁰⁷). În martie 2025, o companie de software a fost amendată cu 3,07 milioane GBP pentru deficienţe în materie de securitate care au pus în pericol informaţiile cu caracter personal a peste 70 000 de persoane (¹⁰⁸). Foarte recent, în iunie 2025, Comisarul pentru Informaţii a aplicat unei societăţi de testare genetică o amendă în valoare de 2,31 milioane GBP pentru că nu a pus în aplicare măsuri de securitate adecvate pentru a proteja informaţiile cu caracter personal ale utilizatorilor din Regatul Unit, în urma unui atac cibernetic de mare amploare din 2023 (¹⁰⁹).

(69)De la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Biroul Comisarului pentru Informaţii a elaborat şi a publicat, de asemenea, un număr semnificativ de orientări, avize şi alte documente de orientare, care clarifică aplicarea normelor de protecţie a datelor în domenii importante, cum ar fi recunoaşterea facială, echitatea în domeniul inteligenţei artificiale, datele copiilor, marketingul direct, supravegherea video, dreptul de acces, transparenţa în domeniul sănătăţii şi al asistenţei sociale etc., pentru diferite categorii de public, inclusiv pentru întreprinderile mici şi mijlocii, entităţi specifice precum şcolile, creşele sau autorităţile publice mici, precum şi pentru întreprinderi în general, publicul larg sau persoanele vizate (¹¹⁰).