Titlul 3 - EVOLUŢII RELEVANTE ÎN CEEA CE PRIVEŞTE ACCESAREA ŞI UTILIZAREA DE CĂTRE AUTORITĂŢILE PUBLICE DIN REGATUL UNIT A DATELOR CU CARACTER PERSONAL TRANSFERATE DIN UNIUNEA EUROPEANĂ - Decizia 2574/19-dec-2025 de modificare a Deciziei de punere în aplicare (UE) 2021/1772 a Comisiei în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia adecvată a datelor cu caracter personal de către Regatul Unit al Marii Britanii şi Irlandei de Nord
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 23 Decembrie 2025
TITLUL 3:EVOLUŢII RELEVANTE ÎN CEEA CE PRIVEŞTE ACCESAREA ŞI UTILIZAREA DE CĂTRE AUTORITĂŢILE PUBLICE DIN REGATUL UNIT A DATELOR CU CARACTER PERSONAL TRANSFERATE DIN UNIUNEA EUROPEANĂ
(70)Regatul Unit continuă să fie membru al Consiliului Europei, să adere la Convenţia europeană a drepturilor omului şi să fie supus jurisdicţiei Curţii Europene a Drepturilor Omului. Prin urmare, acesta continuă să facă obiectul obligaţiilor consacrate în dreptul internaţional, astfel cum sunt descrise în considerentele 116-119 din Decizia de punere în aplicare (UE) 2021/1772, care reglementează sistemul său de acces al autorităţilor publice la datele cu caracter personal pe baza unor principii, garanţii şi drepturi individuale identice cu cele care se aplică celor 27 de state membre ca părţi la CEDO şi care sunt, în mare măsură, reflectate în jurisprudenţa relevantă a Curţii de Justiţie a Uniunii Europene.
(71)Garanţiile şi drepturile specifice în materie de protecţie a datelor continuă să fie garantate de DPA din 2018 atunci când datele sunt prelucrate de autorităţile publice din Regatul Unit, inclusiv de organismele de asigurare a respectării legii şi de securitate naţională, astfel cum se analizează în considerentele 121-132 din Decizia de punere în aplicare (UE) 2021/1772. Legea în materie de (utilizare şi acces la) date a adus doar modificări limitate şi specifice acelor părţi din DPA din 2018 care prevăd normele pentru prelucrarea datelor cu caracter personal în contextul asigurării respectării dreptului penal (partea 3 din DPA din 2018) şi al securităţii naţionale (partea 4 din DPA din 2018).
(72)În ceea ce priveşte prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora, partea 3 din DPA din 2018 prevede în continuare principii, drepturi şi obligaţii similare celor prevăzute în Directiva (UE) 2016/680 (111).
(111)-Secţiunea 69 din Legea în materie de (utilizare şi acces la) date introduce definiţia consimţământului şi condiţiile pentru recurgerea la consimţământ, astfel cum sunt prevăzute la articolul 4 alineatul (11) şi la articolul 7 din RGPD al Regatului Unit [care reflectă dispoziţiile corespunzătoare din Regulamentul (UE) 2016/679], ca noi secţiuni 33(1A) şi 40A în DPA din 2018, clarificând astfel conceptul de consimţământ şi condiţiile pentru recurgerea la consimţământ atunci când este utilizat ca temei juridic pentru prelucrarea datelor cu caracter personal de către autorităţile competente în scopul asigurării respectării dreptului penal. În plus, secţiunea 71 alineatele (7) şi (8) din Legea în materie de (utilizare şi acces la) date clarifică într-o oarecare măsură formularea secţiunii 36 alineatul (1) din DPA din 2018. În fine, după caz, modificările aduse RGPD al Regatului Unit prin Legea în materie de (utilizare şi acces la) date, astfel cum sunt descrise în secţiunea 2, sunt reflectate, de asemenea, în partea 3 din DPA din 2018; a se vedea, de exemplu, secţiunea 74 alineatele (2)-(5) privind prelucrarea datelor sensibile, secţiunea 76 alineatele (4)-(6) în ceea ce priveşte termenele de răspuns la cererile persoanelor vizate, secţiunea 78 alineatele (2) şi (3) în ceea ce priveşte căutările ca răspuns la cererile persoanelor vizate şi secţiunea 80 alineatele (3)-(5) privind procesul decizional automatizat.
(73)În special, la aceeaşi dată cu prezenta decizie, Comisia a adoptat o decizie în temeiul articolului 36 alineatul (3) din Directiva (UE) 2016/680, prin care constata că regimul de protecţie a datelor aplicabil prelucrării de către autorităţile de aplicare a dreptului penal din Regatul Unit în scopul asigurării respectării dreptului penal continuă să asigure un nivel de protecţie echivalent în esenţă cu cel garantat de Directiva (UE) 2016/680.
(74)Legea în materie de (utilizare şi acces la) date a modificat şi a consolidat derogările existente din partea 3 din DPA din 2018 aflate la dispoziţia autorităţilor competente în scopuri legate de securitatea naţională. Derogarea în materie de securitate naţională permite autorităţilor competente să nu aplice anumite dispoziţii din partea 3 din DPA din 2018 dacă derogarea de la dispoziţiile respective este necesară în scopul protejării securităţii naţionale (112). Aceasta reflectă derogările în materie de securitate naţională prevăzute pentru prelucrarea datelor cu caracter personal în temeiul RGPD al Regatului Unit (prevăzute în secţiunea 26 din DPA din 2018) şi în temeiul părţii 4 din DPA din 2018 (prevăzute în secţiunea 110 din DPA din 2018).
(112)-Secţiunea 78A alineatul (1) din DPA din 2018, astfel cum a fost introdus prin secţiunea 88 din Legea în materie de (utilizare şi acces la) date. În temeiul secţiunii 78A alineatele (2)-(4) din DPA din 2018, derogarea permite neaplicarea principiilor de protecţie a datelor (cu excepţia principiului legalităţii şi a condiţiilor şi garanţiilor pentru prelucrarea datelor sensibile), a drepturilor individuale, a obligaţiilor operatorilor de date şi ale persoanelor împuternicite de operatori în ceea ce priveşte încălcările securităţii datelor, a anumitor părţi ale normelor privind transferurile internaţionale de date şi a unora dintre competenţele de intrare ale Comisarului pentru Informaţii de a efectua inspecţii şi de a lua măsuri de asigurare a respectării legii.
(75)Derogarea în materie de securitate naţională face obiectul aceloraşi limitări şi garanţii ca derogările în temeiul RGPD al Regatului Unit şi al părţii 4 din DPA din 2018, astfel cum sunt analizate în considerentele 64-67 şi 126 din Decizia de punere în aplicare (UE) 2021/1772. În special, derogarea poate fi aplicată numai în măsura în care şi dacă este necesară pentru a proteja securitatea naţională. Aceasta nu este o derogare generală şi trebuie să fie luată în considerare şi invocată de operator de la caz la caz (113). În plus, orice aplicare a derogării trebuie să fie în conformitate cu standardele privind drepturile omului (bazate pe Legea privind drepturile omului din 1998 şi pe Convenţia europeană a drepturilor omului), conform cărora orice ingerinţă în viaţa privată ar trebui să fie necesară şi proporţională într-o societate democratică (114). Acest lucru este confirmat, de asemenea, în orientările ICO privind aplicarea derogărilor în materie de securitate naţională (115).
(113)A se vedea Baker/Secretary of State for the Home Department [2001] UKIT NSA2 ("Baker/Secretary of State").
(114)A se vedea, de asemenea, Guriev/Community Safety Development (United Kingdom) Ltd [2016] EWHC 643 (QB), punctul 45; Lin/Commissioner of the Police for the Metropolis [2015] EWHC 2484 (QB), punctul 80.
(115)A se vedea orientările ICO privind excepţia în materie de securitate şi apărare naţională, disponibile la următoarea adresă: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/exemptions/national-security-and-defence-exemption-a-guide.
(76)În plus, pe baza modificărilor introduse prin Legea în materie de (utilizare şi acces la) date (116), o activitate specifică de prelucrare de către autorităţile competente pentru asigurarea respectării dreptului penal poate fi, de asemenea, reglementată de dispoziţiile părţii 4 din DPA din 2018, care se aplică în mod normal numai prelucrării datelor de către autorităţile naţionale de securitate.
(116)-Secţiunile 89 şi 90 din Legea în materie de (utilizare şi acces la) date.
(77)Deşi regimul de protecţie a datelor pentru prelucrarea în scopuri de securitate naţională este, prin urmare, extins în anumite situaţii şi la prelucrarea datelor de către autorităţile de aplicare a dreptului penal, acest lucru este valabil numai în circumstanţe specifice şi sub rezerva unor condiţii şi garanţii stricte, şi anume în cazul în care (i) o autoritate competentă este specificată ca "autoritate competentă calificată" în regulamentele prezentate de secretarul de stat care necesită aprobare parlamentară (117) şi (ii) secretarul de stat desemnează, printr-o notificare, o anumită activitate de prelucrare efectuată de autoritatea competentă calificată. Un aspect important îl reprezintă faptul că o astfel de desemnare poate avea loc numai dacă secretarul de stat consideră că desemnarea activităţii de prelucrare este necesară în scopul protejării securităţii naţionale, şi anume în cazul în care o autoritate de aplicare a dreptului penal acţionează în scopuri de securitate naţională, iar activitatea de prelucrare este efectuată de autoritatea competentă calificată în calitate de operator asociat împreună cu cel puţin un serviciu de informaţii (118). Ca garanţii suplimentare, secretarul de stat trebuie să consulte Comisarul pentru Informaţii înainte de a emite o notificare de desemnare (119), textul notificării trebuie, în principiu, să fie publicat (120), iar o persoană direct afectată de o notificare de desemnare poate solicita controlul jurisdicţional (121). Prin urmare, această modificare urmăreşte, în esenţă, să clarifice faptul că, atunci când autorităţile Regatului Unit au competenţe atât în domeniul aplicării legii, cât şi în cel al securităţii naţionale şi prelucrează date în contextul acestor din urmă responsabilităţi, se poate aplica regimul de protecţie a datelor pentru serviciile de securitate naţională.
(117)-Secţiunea 82 alineatele (A1), (2A) şi (4) din DPA din 2018, astfel cum au fost introduse prin secţiunea 89 alineatul (2) din Legea în materie de (utilizare şi acces la) date.
(118)-Secţiunea 82A alineatele (1) şi (2), astfel cum au fost introduse prin secţiunea 89 alineatul (3) din Legea în materie de (utilizare şi acces la) date. Ca garanţii suplimentare, secretarul de stat trebuie să consulte comisarul înainte de a emite o notificare de desemnare - a se vedea noua secţiune 82A alineatul (8) din DPA din 2018, textul notificării trebuie, în principiu, să fie publicat - a se vedea noua secţiune 82D alineatul (1), sub rezerva derogărilor prevăzute în noua secţiune 82D alineatul (3) din DPA din 2018, iar o persoană direct afectată de o notificare de desemnare poate solicita controlul jurisdicţional - a se vedea noua secţiune 82E din DPA din 2018.
(119)-Secţiunea 182 alineatul (8) din DPA din 2018.
(120)-Secţiunea 82D alineatul (1), sub rezerva derogărilor prevăzute în noua secţiune 82D alineatul (3) din DPA din 2018.
(121)-Secţiunea 82E din DPA din 2018.
(78)- Partea 4 din DPA din 2018 reglementează prelucrarea datelor de către serviciile de informaţii din Regatul Unit. Aceasta continuă să stabilească principalele principii de protecţie a datelor, să impună condiţii privind prelucrarea categoriilor speciale de date, să prevadă drepturi ale persoanelor vizate, să solicite protecţia datelor începând cu momentul conceperii şi să reglementeze transferurile de date cu caracter personal, astfel cum se descrie în considerentele 125-132 din Decizia de punere în aplicare (UE) 2021/1772.
(79)Modificările aduse acestui regim prin Legea în materie de (utilizare şi acces la) date sunt limitate. În ceea ce priveşte dreptul de acces al persoanelor vizate prevăzut în secţiunea 94 din DPA din 2018, Legea în materie de (utilizare şi acces la) date introduce o nouă subsecţiune 2A, clarificând faptul că persoana vizată are dreptul la informaţiile relevante numai în măsura în care operatorul poate să le furnizeze pe baza unei căutări rezonabile şi proporţionale (122). Astfel cum se explică în considerentul 35, această modificare reglementează dreptul de acces pe baza unor standarde juridice stabilite, care iau în considerare, de asemenea, interesele persoanei vizate. În timp ce, în domeniul procesului decizional automatizat, operatorilor li se interzice în continuare să ia o decizie care afectează în mod semnificativ o persoană vizată şi care se bazează în întregime pe prelucrarea automată a datelor cu caracter personal referitoare la persoana vizată, cu excepţia cazului în care o astfel de decizie este impusă sau autorizată prin lege, persoana vizată şi-a dat consimţământul pentru luarea deciziei pe acest temei sau decizia este luată în contextul unui contract (123); Legea în materie de (utilizare şi acces la) date introduce în partea 4 din DPA din 2018 (124) aceeaşi definiţie a noţiunii de "decizii care se bazează în întregime pe prelucrarea automată" astfel cum figurează la articolul 22A din RGPD al Regatului Unit şi cum este analizată în considerentul 53 din prezenta decizie.
(122)-Secţiunea 78 alineatul (4) din Legea în materie de (utilizare şi acces la) date.
(123)-Secţiunea 96 din DPA din 2018.
(124)În temeiul noii secţiuni 96 alineatul (4) din DPA din 2018, o decizie se bazează în întregime pe prelucrarea automată în cazul în care procesul decizional nu include posibilitatea ca o fiinţă umană să accepte, să respingă sau să influenţeze decizia. A se vedea secţiunea 80 alineatul (4) litera (c) din Legea în materie de (utilizare şi acces la) date.
CAPITOLUL 2:3.2. Evoluţii relevante în ceea ce priveşte accesul şi utilizarea de către autorităţile publice din Regatul Unit în scopuri de asigurare a respectării dreptului penal
(80)Legislaţia Regatului Unit continuă să impună o serie de limitări importante privind accesul la datele cu caracter personal şi utilizarea acestora în scopul asigurării respectării dreptului penal şi prevede mecanisme de supraveghere şi de exercitare a unei căi de atac în acest domeniu, astfel cum sunt analizate în considerentele 134-174 din Decizia de punere în aplicare (UE) 2021/1772.
(81)Colectarea datelor cu caracter personal de la operatorii economici din Regatul Unit în scopul asigurării respectării dreptului penal continuă să fie permisă în ordinea juridică a Regatului Unit pe baza mandatelor de percheziţie şi a ordinelor de divulgare, sub rezerva condiţiilor şi a garanţiilor descrise în considerentele 135-138 din Decizia de punere în aplicare (UE) 2021/1772.
(82)În plus, Legea privind securitatea naţională din 2023 (125), care urmăreşte abordarea ameninţărilor la adresa securităţii naţionale prin spionaj, sabotaj şi persoane care acţionează pentru puteri străine, a introdus noi competenţe în materie de acces, percheziţie şi confiscare pentru poliţia Regatului Unit, inclusiv posibilitatea de a obţine date cu caracter personal, în cazul în care există motive întemeiate să se suspecteze că vor fi obţinute materiale care vor constitui probabil dovezi că a fost săvârşită sau este pe cale să fie săvârşită una dintre infracţiunile cele mai grave sau activităţile de ameninţare din partea unei puteri străine prevăzute de Legea privind securitatea naţională din 2023 (126). Aceste competenţe fac obiectul unor condiţii şi garanţii similare celor analizate în Decizia de punere în aplicare (UE) 2021/1772 pentru competenţele existente la momentul respectiv. În special, utilizarea acestora trebuie să fie autorizată prin intermediul unui mandat, al unui ordin de divulgare sau al unui ordin de furnizare de explicaţii emis de o autoritate judiciară independentă, la cererea agentului de poliţie judiciară/anchetatorului (127). Există măsuri de protecţie specifice pentru materialele confidenţiale, cum ar fi materialele jurnalistice şi elementele care fac obiectul secretului profesional (128). În mod similar, emiterea de ordine de prezentare de informaţii (129), de ordine de prezentare a informaţiilor cu privire la clienţi (130) şi de ordine de monitorizare a conturilor (131), create, de asemenea, prin Legea privind securitatea naţională din 2023, trebuie să fie autorizată de un judecător la cererea unui anchetator competent şi face obiectul unor condiţii şi garanţii specifice, inclusiv faptul că ordinul este solicitat în ceea ce priveşte o anumită persoană, în scopul unei investigaţii privind o activitate de ameninţare din partea unei puteri străine, că ordinul va spori eficacitatea investigaţiei şi că nu este utilizat pentru a obţine informaţii care sunt privilegiate din punct de vedere juridic sau excluse în alt mod, cum ar fi materialele jurnalistice şi anumite evidenţe medicale (132).
(125)Disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2023/32/contents/enacted.
(126)-Anexa 2 la Legea privind securitatea naţională din 2023. Infracţiunile relevante în temeiul Legii privind securitatea naţională din 2023 sunt, de exemplu, obţinerea sau divulgarea de informaţii protejate (secţiunea 1), obţinerea sau divulgarea de secrete comerciale (secţiunea 3), sprijinirea unui serviciu de informaţii străin (secţiunea 4), sabotajul (secţiunea 12) sau desfăşurarea unui comportament specific interzis pentru o putere străină cu intenţia de a crea un efect de ingerinţă (secţiunea 13).
(127)A se vedea articolul 2 alineatul (1), articolul 3 alineatul (1), articolul 4 alineatul (1) şi articolul 10 alineatul (1) din anexa 2 la Legea privind securitatea naţională din 2023.
(128)A se vedea punctul 2 subpunctul 4 litera (b), punctul 3 subpunctul 4 literele (b) şi (c), punctul 4 subpunctul 4 literele (b) şi (c), precum şi punctul 10 subpunctul 1 din anexa 2 la Legea privind securitatea naţională din 2023.
(129)Prin ordinele de divulgare în temeiul anexei 3 la Legea privind securitatea naţională din 2023, un anchetator poate notifica o persoană punându-i în vedere să furnizeze informaţii, să prezinte documente şi/sau să răspundă la întrebări relevante pentru o investigaţie pentru a identifica bunurile legate de activităţile de ameninţare din partea unei puteri străine, inclusiv circulaţia sau utilizarea bunurilor.
(130)Prin intermediul ordinelor de prezentare de informaţii cu privire la clienţi în temeiul anexei 4 la Legea privind securitatea naţională din 2023, un anchetator poate notifica o instituţie financiară, solicitându-i să furnizeze orice informaţie cu privire la clienţi în legătură cu o anumită persoană.
(131)Prin ordinele de monitorizare a conturilor prevăzute în anexa 5, unei instituţii financiare i se poate solicita să furnizeze unui anchetator informaţiile specificate în ordin pentru perioada şi în modul prevăzute în ordin, o astfel de perioadă neputând depăşi 90 de zile.
(132)-Punctul 2 subpunctul 1 din anexa 3, punctul 1 din anexa 4, punctul 1 din anexa 5 la Legea privind securitatea naţională din 2023.
(83)Astfel cum se descrie în considerentele 139-141 din Decizia de punere în aplicare (UE) 2021/1772, în cadrul juridic al Regatului Unit, autorităţile specifice de aplicare a legii, de exemplu Agenţia Naţională pentru Combaterea Criminalităţii sau Serviciul de poliţie metropolitană (Metropolitan Police Service) pot utiliza, de asemenea, competenţe de investigare specifice în temeiul Legii privind competenţele de investigare (Investigatory Powers Act - IPA) din 2016 (133) în scopul prevenirii sau al depistării infracţiunilor grave. Competenţele specifice de investigare pe care se pot baza aceste autorităţi de aplicare a legii sunt: interceptările ţintite (partea 2 din IPA din 2016), achiziţia datelor privind comunicaţiile (partea 3 din IPA din 2016) şi intervenţia ţintită asupra echipamentelor (partea 5 din IPA din 2016). Atunci când secretarul de stat emite avize de păstrare a datelor în temeiul părţii 4 din IPA din 2016, autorităţile de aplicare a legii pot, de asemenea, accesa aceste date păstrate privind comunicaţiile în virtutea competenţelor de obţinere a datelor privind comunicaţiile în temeiul părţii 3 din IPA din 2016.
(133)Legea privind competenţele de investigare din 2016 (a se vedea: https://www.legislation.gov.uk/ukpga/2016/25/contents/enacted) a înlocuit o legislaţie diferită privind interceptarea comunicaţiilor, intervenţia asupra echipamentelor şi achiziţia de date ale comunicaţiilor, în special partea I din RIPA din 2000, care prevedea cadrul legislativ general anterior pentru utilizarea competenţelor de investigare de către autorităţile de aplicare a legii şi de securitate naţională.
(84)De la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Legea din 2016 privind competenţele de investigare, împreună cu Legea din 2000 de reglementare a competenţelor de investigare (Regulation of Investigatory Powers Act - RIPA) pentru Anglia, Ţara Galilor şi Irlanda de Nord şi Legea din 2000 de reglementare a competenţelor de investigare (din Scoţia) [Regulation of Investigatory Powers (Scotland) Act - RIPSA] pentru Scoţia, continuă să prevadă temeiul juridic şi să stabilească limitările şi garanţiile aplicabile pentru utilizarea acestor competenţe, astfel cum sunt descrise în Decizia de punere în aplicare (UE) 2021/1772. Este important de remarcat faptul că, pentru a exercita aceste competenţe, cadrul juridic continuă să prevadă că autorităţile trebuie să obţină un mandat (134) emis de o autoritate competentă (135) şi aprobat de un comisar judiciar independent (136) (aşa-numita procedură de protecţie dublă - "double-lock"). Obţinerea unui astfel de mandat continuă să fie supusă unui test de necesitate şi proporţionalitate (137).
(134)-Partea 2 capitolul 2 din IPA din 2016 prevede un număr limitat de cazuri în care interceptările pot fi efectuate fără mandat. Acestea includ: interceptarea cu consimţământul expeditorului sau al destinatarului, interceptarea în scopuri administrative sau de asigurare a respectării legii, interceptarea care are loc în anumite instituţii (închisori, spitale psihiatrice şi centre de detenţie pentru imigranţi), precum şi interceptarea efectuată în conformitate cu un acord internaţional relevant.
(135)În majoritatea cazurilor, secretarul de stat este autoritatea care emite mandatele în temeiul IPA din 2016, în timp ce miniştrii din Scoţia sunt împuterniciţi să emită mandate de interceptare ţintită, mandate de asistenţă reciprocă şi mandate pentru intervenţia ţintită asupra echipamentelor atunci când persoanele sau incintele care urmează să fie interceptate şi echipamentele care urmează să fie exploatate sunt situate în Scoţia (a se vedea secţiunile 22 şi 103 din IPA din 2016). În cazul unei intervenţii ţintite asupra echipamentelor, un şef al autorităţii de aplicare a legii (descris în părţile 1 şi 2 din anexa 6 la IPA din 2016) poate emite mandatul în condiţiile prevăzute în secţiunea 106 din IPA din 2016.
(136)Comisarii judiciari acordă asistenţă Comisarului pentru Competenţe de Investigare, un organism independent care exercită funcţii de supraveghere a utilizării competenţelor de investigare de către serviciile de informaţii.
(137)A se vedea, în special, secţiunile 19 şi 23 din IPA din 2016.
(85)În acelaşi timp, de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Legea privind competenţele de investigare (modificare) din 2024, care a primit avizul regal în aprilie 2024, a modificat anumite elemente specifice ale IPA din 2016 (138). În măsura în care aceste modificări şi alte evoluţii relevante se referă la condiţiile, limitările şi garanţiile legate de utilizarea competenţelor de investigare specifice sus-menţionate de către autorităţile publice din Regatul Unit în scopul asigurării respectării dreptului penal, astfel cum au fost evaluate în considerentele 177-215 din Decizia de punere în aplicare (UE) 2021/1772, acestea sunt analizate în paragrafele următoare. În ceea ce priveşte elementele cadrului Regatului Unit care nu au fost modificate prin legea menţionată anterior sau care nu au fost afectate de alte evoluţii relevante, analiza efectuată în Decizia de punere în aplicare (UE) 2021/1772 continuă să fie valabilă.
(138)Disponibilă la următoarea adresă: https://www.legislation.gov.uk/ukpga/2024/9/contents/2025-04-25.
(86)În ceea ce priveşte achiziţionarea şi păstrarea ţintită a datelor privind comunicaţiile (139), condiţiile şi garanţiile care reglementează aceste competenţe, astfel cum au fost evaluate în Decizia de punere în aplicare (UE) 2021/1772, rămân în vigoare. Legea privind competenţele de investigare (modificare) din 2024 a clarificat garanţiile existente prin introducerea în secţiunea 11 din IPA din 2016 (care creează o infracţiune pentru obţinerea ilegală de date privind comunicaţiile de la un operator de telecomunicaţii) a unei liste de exemple privind ceea ce se înţelege ca fiind acoperit de "autoritatea legală" în dispoziţia respectivă (140). În plus, Legea privind competenţele de investigare (modificare) din 2024 a clarificat şi mai mult definiţia datelor privind comunicaţiile din secţiunea 261 din IPA din 2016, specificând în mod explicit că detaliile abonaţilor se califică drept date privind comunicaţiile (141).
(139)Termenul de "date privind comunicaţiile" se referă la "cine", "când", "unde" şi "cum" aferente unei comunicaţii, dar nu şi la conţinut, şi anume ceea ce s-a spus sau s-a scris. Datele privind comunicaţiile ar putea include ora şi durata comunicaţiei respective, numărul sau adresa de e-mail a emitentului şi a destinatarului şi, uneori, localizarea dispozitivelor de pe care s-a efectuat telecomunicaţia - a se vedea secţiunea 261 alineatul (5) din IPA din 2016. IPA din 2016 îi permite secretarului de stat să solicite operatorilor de telecomunicaţii să păstreze datele privind comunicaţiile în scopul accesului ţintit al unei serii de autorităţi publice, inclusiv al agenţiilor de aplicare a legii şi al serviciilor de informaţii. Partea 4 din Legea din 2016 privind competenţele de investigare prevede păstrarea datelor privind comunicaţiile, în timp ce partea 3 prevede obţinerea ţintită a datelor privind comunicaţiile. Partea 3 şi partea 4 din IPA din 2016 stabilesc, de asemenea, limitări specifice privind utilizarea acestor competenţe şi prevăd garanţii specifice.
(140)De exemplu, în cazul în care persoana relevantă obţine datele privind comunicaţiile prin exercitarea unei competenţe legale a autorităţii publice relevante sau în cazul în care datele privind comunicaţiile sunt obţinute în conformitate cu o hotărâre judecătorească sau cu o altă autorizaţie judiciară. Secţiunea 11 alineatul (3A) din IPA din 2016, astfel cum a fost introdus prin secţiunea 12 alineatul (3) din Legea privind competenţele de investigare (modificare) din 2024.
(141)-Secţiunea 261 alineatele (5A) şi (5B), astfel cum au fost introduse prin articolul 13 alineatul (3) din Legea privind competenţele de investigare (modificare) din 2024.
(87)Emiterea de notificări care impun păstrarea datelor privind comunicaţiile (142) continuă să facă obiectul unor limitări şi garanţii, astfel cum se descrie în considerentele 208 şi 209 din Decizia de punere în aplicare (UE) 2021/1772, în special al unor cerinţe privind necesitatea şi proporţionalitatea şi al aprobării de către un comisar judiciar independent. Deşi Legea privind competenţele de investigare (modificare) din 2024 a introdus posibilitatea de a reînnoi astfel de notificări, orice reînnoire este supusă aceloraşi condiţii de necesitate şi proporţionalitate, precum şi aprobării de către Comisarul judiciar (143).
(142)Emiterea de astfel de avize de păstrare în temeiul secţiunilor 87-89 din IPA 2016 are scopul de a garanta că operatorii de telecomunicaţii păstrează, pentru o perioadă maximă de 12 luni, datele relevante privind comunicaţiile, care altfel ar fi şterse în momentul în care nu ar mai fi necesare în scopuri comerciale. Datele păstrate trebuie să rămână disponibile pe perioada necesară în cazul în care, ulterior, este necesar ca o autoritate publică să le obţină în temeiul unei autorizaţii pentru obţinerea ţintită de date privind comunicaţiile, astfel cum este prevăzută în partea 3 din IPA din 2016.
(143)-Secţiunea 94A din IPA din 2016, astfel cum a fost introdusă prin secţiunea 20 alineatul (4) din Legea privind competenţele de investigare (modificare) din 2024.
(88)În ceea ce priveşte datele privind comunicaţiile, Legea privind competenţele de investigare (modificare) din 2024 a modificat, de asemenea, definiţia unui operator de telecomunicaţii, şi anume destinatarii posibili ai unui aviz de păstrare. Această definiţie include în prezent orice persoană care "controlează sau furnizează un sistem de telecomunicaţii care: (i) nu se află (integral sau parţial) în Regatul Unit sau nu este controlat din Regatul Unit şi (ii) este utilizat de o altă persoană pentru a oferi sau a furniza un serviciu de telecomunicaţii persoanelor din Regatul Unit" (144). Este important de remarcat faptul că definiţia modificată continuă să impună întotdeauna o legătură strânsă cu piaţa Regatului Unit. Prin urmare, modificarea clarifică faptul că întreprinderile mari cu structuri corporative complexe sunt acoperite în totalitate de IPA din 2016, fără a extinde domeniul de aplicare al definiţiei la furnizorii de servicii de telecomunicaţii care nu vizează persoane din Regatul Unit. Acest lucru este confirmat şi de notele explicative la Legea privind competenţele de investigare (modificare) din 2024, care prevăd că modificarea nu este menită să includă şi alte întreprinderi în domeniul de aplicare al competenţelor relevante în temeiul IPA din 2016 (145), ci are, în esenţă, o funcţie de clarificare.
(144)-Secţiunea 261 alineatul (10) litera (c) din IPA din 2016, astfel cum a fost introdusă prin secţiunea 19 din Legea privind competenţele de investigare (modificare) din 2024.
(145)Notele explicative la Legea privind competenţele de investigare (modificare) din 2024, punctul 359, disponibile la următoarea adresă: https://www.legislation.gov.uk/ukpga/2024/9/pdfs/ukpgaen_20240009_en.pdf.
(89)În fine, Legea privind competenţele de investigare (modificare) din 2024 a introdus unele modificări specifice ale procedurii de emitere a mandatelor, inclusiv în ceea ce priveşte interceptarea ţintită şi intervenţia ţintită asupra echipamentelor, şi anume competenţele care pot fi utilizate, de asemenea, de autorităţile specifice de aplicare a legii din Regatul Unit în scopul prevenirii sau depistării infracţiunilor grave. Modificările se referă numai la situaţia specifică în care aceste competenţe sunt utilizate pentru a obţine comunicări sau informaţii private cu privire la o persoană care este membră a unei legislaturi relevante (146). Deşi mandatele în legătură cu interceptarea ţintită şi intervenţia ţintită asupra echipamentelor pot fi emise în mod normal de secretarul de stat şi sunt aprobate de un Comisar judiciar [a se vedea considerentele 186-196 şi 210-215 din Decizia de punere în aplicare (UE) 2021/1772], secţiunile 26 şi 111 din Legea privind competenţele de investigare necesită, în plus, aprobarea prim-ministrului atunci când mandatul se referă la un membru al parlamentului sau al unei alte legislaturi relevante (aşa-numita procedură de protecţie triplă - "triple-lock"). Legea din 2024 privind competenţele de investigare (modificare) îi permite în prezent prim-ministrului să numească cinci secretari de stat, care vor fi împuterniciţi să exercite competenţa prim-ministrului de a autoriza aceste mandate, cu condiţia ca necesitatea autorizării să fie urgentă, iar prim-ministrul să nu fie în măsură să furnizeze autorizarea respectivă ca urmare a incapacităţii medicale sau a lipsei accesului la comunicaţii securizate. Un aspect important îl reprezintă faptul că limitările şi garanţiile în ceea ce priveşte emiterea acestor mandate, astfel cum sunt descrise în considerentele menţionate mai sus ale Deciziei de punere în aplicare (UE) 2021/1772, rămân în vigoare.
(146)-Secţiunile 26 şi 111 din IPA din 2016.
(90)Schimbul de date dintre o autoritate de aplicare a legii şi o autoritate diferită în alte scopuri decât cele pentru care au fost colectate iniţial datele respective (aşa-numita "comunicare ulterioară") continuă să fie supusă condiţiilor analizate în considerentele 142-156 din Decizia de punere în aplicare (UE) 2021/1772.
(91)În ceea ce priveşte situaţia specifică a transferurilor ulterioare din Regatul Unit către Statele Unite, "Acordul dintre Guvernul Regatului Unit al Marii Britanii şi Irlandei de Nord şi Guvernul Statelor Unite ale Americii privind accesul la datele electronice în scopul combaterii formelor grave de criminalitate (Acordul dintre Regatul Unit şi SUA) (147), care a fost încheiat în octombrie 2019, a intrat în vigoare şi a fost pus în aplicare din octombrie 2022. În temeiul Acordului dintre Regatul Unit şi SUA, datele transferate din UE către furnizorii de servicii din Regatul Unit ar putea face obiectul unor ordine de prezentare de probe emise de autorităţile competente de aplicare a legii din SUA şi puse în aplicare în Regatul Unit.
(147)Acordul dintre Guvernul Regatului Unit al Marii Britanii şi Irlandei de Nord şi Guvernul Statelor Unite ale Americii privind accesul la datele electronice în scopul combaterii formelor grave de criminalitate, disponibil la următoarea adresă: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/836969/CS_USA_6.2019_Agreement_between_the_United_Kingdom_and_the_USA_on_Access_to_Electronic_Data_for_the_Purpose_of_Countering_Serious_Crime.pdf.
(92)Un aspect important îl reprezintă faptul că garanţiile şi condiţiile în temeiul cărora pot fi emise şi executate astfel de ordine, astfel cum au fost evaluate în considerentul 154 din Decizia de punere în aplicare (UE) 2021/1772, continuă să se aplice. În special, datele obţinute în temeiul acordului beneficiază de măsuri de protecţie echivalente cu garanţiile specifice prevăzute de aşa-numitul "Acord-cadru UE-SUA" (148), care sunt în întregime încorporate mutatis mutandis în Acordul dintre Regatul Unit şi SUA (149).
(148)Acordul dintre Statele Unite ale Americii şi Uniunea Europeană privind protecţia informaţiilor cu caracter personal în ceea ce priveşte prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor (JO L 336, 10.12.2016, p. 3, ELI: http://data.europa.eu/eli/agree_internation/2016/2220/oj).
(149)-Articolul 9 alineatul (1) din acord.
(93)De la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Regatul Unit a explicat că a clarificat, inclusiv prin colaborarea cu părţile relevante în contextul punerii în aplicare a Acordului dintre Regatul Unit şi SUA, modul în care garanţiile specifice ale acordului-cadru care au fost concepute pentru un context de cooperare în materie de asigurare a respectării legii sunt adaptate şi aplicate transferurilor specifice care fac obiectul Acordului dintre Regatul Unit şi SUA. În special, Regatul Unit a explicat că dispoziţiile acordului-cadru care prevăd un rol pentru autoritatea competentă relevantă (care nu există într-o situaţie de cooperare directă între un furnizor de servicii din Regatul Unit şi o autoritate de aplicare a legii din SUA) sunt interpretate mutatis mutandis pentru a se referi la autoritatea desemnată (astfel cum este definită în Acordul dintre Regatul Unit şi SUA) (150) a părţii relevante.
(150)În temeiul articolului 1 alineatul (8) din Acordul dintre Regatul Unit şi SUA, "autoritate desemnată" înseamnă entitatea guvernamentală desemnată, pentru Regatul Unit, de secretarul de stat al Departamentului de Interne, iar pentru Statele Unite, de procurorul general.
(94)De exemplu, în ceea ce priveşte notificarea unui incident de securitate a informaţiilor în temeiul articolului 10 din Acordul-cadru UE-SUA, care impune transmiterea unei notificări către autoritatea competentă care efectuează transferul, Regatul Unit a explicat că această dispoziţie se aplică mutatis mutandis pentru a însemna că notificarea ar trebui transmisă autorităţii desemnate a părţii respective de la care au fost transferate datele.
(95)În ceea ce priveşte autorizarea din partea autorităţii competente care transferă datele înainte de orice transfer ulterior de informaţii cu caracter personal în temeiul articolului 7 din acordul-cadru, Regatul Unit a clarificat faptul că va aplica dispoziţia respectivă mutatis mutandis, în sensul că autoritatea desemnată a părţii de la care s-au transferat datele va trebui să autorizeze orice transfer ulterior.
(96)În ceea ce priveşte obligaţiile prevăzute la articolul 8 din acordul-cadru privind păstrarea calităţii şi a integrităţii informaţiilor, o interpretare mutatis mutandis a dispoziţiei ar face ca autoritatea desemnată a părţii care primeşte datele să fie responsabilă de asigurarea legăturii cu furnizorul care a transferat datele în cazul oricăror probleme legate de calitatea şi integritatea datelor.
(97)În ceea ce priveşte căile de atac judiciare, Regatul Unit a subliniat că transferurile efectuate în temeiul Acordului dintre Regatul Unit şi SUA vor implica întotdeauna autoritatea desemnată a fiecărei părţi. În cazul în care SUA este partea care primeşte date de la furnizorii de servicii din Regatul Unit, Departamentul de Justiţie al SUA va acţiona în calitate de autoritate desemnată. Prin urmare, în conformitate cu interpretarea Regatului Unit, în fiecare cerere emisă pe baza Acordului dintre Regatul Unit şi SUA, va fi implicat Departamentul de Justiţie, în calitate de autoritate federală desemnată în temeiul Legii privind căile de atac judiciare din SUA şi, prin urmare, pot fi exercitate căi de atac judiciare împotriva Departamentului de Justiţie în conformitate cu articolul 19 din acordul-cadru. În plus, Regatul Unit a confirmat serviciilor Comisiei că Legea privind căile de atac judiciare nu este singurul mecanism de exercitare a unei căi de atac. În funcţie de circumstanţele şi contextul fiecărui caz în parte, alte legi aplicabile din SUA prevăd exercitarea unor posibile căi alternative de atac judiciare.
(98)În funcţie de competenţele utilizate de autorităţile competente atunci când prelucrează date cu caracter personal în scopul asigurării respectării legii (fie în temeiul Legii privind protecţia datelor din 2018, fie în temeiul IPA din 2016), diferite organisme continuă să asigure supravegherea utilizării acestor competenţe, conform evaluării din considerentele 158-174 din Decizia de punere în aplicare (UE) 2021/1772, iar mecanismele de exercitare a unei căi de atac continuă să fie disponibile în temeiul părţii 3 din DPA din 2018, în temeiul IPA din 2016 şi în temeiul Legii privind drepturile omului din 1998, astfel cum au fost analizate în considerentele 250-269 din Decizia de punere în aplicare (UE) 2021/1772.
(99)În ceea ce priveşte supravegherea în temeiul părţii 3 din DPA din 2018, funcţiile şi competenţele Comisiei pentru Informaţii sunt analizate în considerentele 158-160 şi 162 din Decizia de punere în aplicare (UE) 2021/1772, sub rezerva modificărilor introduse prin Legea în materie de (utilizare şi acces la) date descrise în secţiunile 2.3.1 şi 2.3.2 din prezenta decizie.
(100)În ceea ce priveşte punerea în aplicare a acestor competenţe, de la adoptarea Deciziei de punere în aplicare (UE) 2021/1772, Comisarul pentru Informaţii a gestionat numeroase plângeri (151), a efectuat mai multe investigaţii şi a luat măsuri de asigurare a respectării legii în ceea ce priveşte prelucrarea datelor de către autorităţile de aplicare a legii. În perioada 2021-2025, Comisarul pentru Informaţii a efectuat investigaţii şi a emis mustrări împotriva mai multor organisme de poliţie pentru diferite încălcări ale obligaţiilor care le revin în materie de protecţie a datelor, de exemplu atunci când au răspuns la cereri de acces la date, când au instituit măsuri de securitate pentru datele de supraveghere video, când au tratat caziere judiciare sensibile, când au combinat datele unor persoane diferite sau când au divulgat date cu caracter personal unor părţi terţe (152). Comisarul pentru Informaţii a emis, de asemenea, ghiduri, avize şi documente de orientare, de exemplu cu privire la dreptul de acces sau la modul de gestionare a cererilor vădit nefondate sau excesive în temeiul părţii 3 din DPA din 2018 (153).
(151)De exemplu, în perioada 2023-2024, Comisia pentru Informaţii a primit 1 890 de plângeri în temeiul RGPD şi/sau al DPA din 2018 cu privire la organizaţii din subsectoarele "autoritate poliţienească", "forţe de poliţie" şi "comisari de poliţie". A se vedea, de asemenea, Raportul anual şi situaţiile financiare pe 2023/2024 ale Comisarului pentru Informaţii, disponibile la următoarea adresă: https://ico.org.uk/media2/migrated/4030348/annual-report-2023-24.pdf.
(152)Informaţii suplimentare sunt disponibile la următoarea adresă: https://ico.org.uk/action-weve-taken/enforcement/?ensector=criminal-justice.
(153)Disponibile la următoarea adresă: https://ico.org.uk/for-organisations/law-enforcement/the-right-of-access-part-3-of-the-dpa-2018/ şi https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-processing/individual-rights/manifestly-unfounded-and-excessive-requests/.
(101)În ceea ce priveşte utilizarea competenţelor de investigare în temeiul Legii din 2016 privind competenţele de investigare, supravegherea judiciară independentă continuă să fie asigurată de Comisarul pentru Competenţe de Investigare (Investigatory Powers Commissioner - IPC), asistat de alţi comisari judiciari, care sunt denumiţi în mod colectiv comisarii judiciari (154). În acest domeniu, Legea din 2024 privind competenţele de investigare (modificări) a adus doar modificări limitate şi specifice, care nu afectează independenţa, atribuţiile şi competenţele Comisarilor judiciari, ci vizează consolidarea funcţionării în practică a regimului de supraveghere existent, în special prin introducerea unor Comisari adjuncţi pentru Competenţe de Investigare cărora Comisarul pentru Competenţe de Investigare le poate delega competenţe specifice atunci când aceştia nu sunt în măsură sau nu sunt disponibili pentru a-şi îndeplini funcţiile. Comisarii adjuncţi pentru Competenţe de Investigare trebuie să fie comisari judiciari şi sunt numiţi de Comisarul pentru Competenţe de Investigare (155).
(154)A se vedea considerentul 250 din Decizia de punere în aplicare (UE) 2021/1772.
(155)-Secţiunea 227 din IPA din 2016, astfel cum a fost introdusă prin secţiunea 7 din Legea privind competenţele de investigare (modificare) din 2024.
CAPITOLUL 3:3.3. Evoluţii relevante în ceea ce priveşte accesul şi utilizarea de către autorităţile publice din Regatul Unit în scopuri de securitate naţională
(102)În ceea ce priveşte competenţele de investigare exercitate în contextul securităţii naţionale, IPA din 2016 continuă să ofere cadrul juridic pentru utilizarea acestor competenţe. Pe lângă modificările privind competenţele de investigare specifice care, sub rezerva unor condiţii specifice, pot fi invocate şi de anumite autorităţi de aplicare a legii, astfel cum se descrie în considerentele 77-85 din prezenta decizie, Legea privind competenţele de investigare (modificare) din 2024 a adus, de asemenea, modificări în ceea ce priveşte una dintre competenţele prevăzute de IPA din 2016 care pot fi exercitate în masă.
(103)Mai precis, Legea privind competenţele de investigare (modificare) din 2024 a introdus în noua parte 7A din IPA din 2016 un regim specific pentru păstrarea şi examinarea unui subset specific de seturi de date cu caracter personal în masă (156), şi anume pentru seturile de date în cazul cărora persoanele la care se referă datele cu caracter personal nu ar putea avea aşteptări rezonabile sau ar putea avea doar aşteptări rezonabile reduse în ceea ce priveşte confidenţialitatea datelor (157). Şeful unui serviciu de informaţii stabileşte în ce măsură un set de date cu caracter personal în masă face sau nu parte din acest subset specific de seturi de date, ţinând cont de toate circumstanţele, cum ar fi, în special: (i) natura datelor; (ii) măsura în care datele au fost făcute publice de către persoanele fizice sau dacă persoanele fizice au consimţit ca datele să fie făcute publice; (iii) dacă datele au fost publicate, măsura în care au fost publicate sub control editorial sau de către o persoană care acţionează în conformitate cu standardele profesionale; (iv) dacă datele au fost publicate sau se află în alt mod în domeniul public, măsura în care datele sunt cunoscute pe scară largă şi (v) măsura în care datele au fost deja utilizate în domeniul public (158).
(156)Mandatele privind seturile de date cu caracter personal colectate în masă emise în temeiul secţiunii 200 din IPA din 2016 autorizează serviciile de informaţii să păstreze şi să examineze seturi de date care conţin date cu caracter personal referitoare la o serie de persoane, setul respectiv fiind de aşa natură încât majoritatea persoanelor nu prezintă interes şi este puţin probabil ca acestea să prezinte interes pentru serviciul de informaţii în exercitarea funcţiilor sale, şi care sunt păstrate electronic de un serviciu de informaţii şi deţinute pentru analiză în exercitarea funcţiilor sale statutare - a se vedea, de asemenea, secţiunea 199 din IPA din 2016.
(157)-Secţiunea 226A alineatul (1) din IPA din 2016, astfel cum a fost introdus prin secţiunea 2 din Legea privind competenţele de investigare (modificare) din 2024.
(158)-Secţiunea 226A alineatul (3) din IPA din 2016, astfel cum a fost introdus prin secţiunea 2 din Legea privind competenţele de investigare (modificare) din 2024.
(104)Este important de remarcat faptul că, pentru păstrarea şi examinarea seturilor de date cu caracter personal în masă care nu se încadrează în această categorie, şi anume cele care sunt mai sensibile şi, prin urmare, implică o aşteptare rezonabilă în ceea ce priveşte confidenţialitatea, regimul evaluat în considerentele 239 şi 240 din Decizia de punere în aplicare (UE) 2021/1772 rămâne în vigoare, în special necesitatea unui mandat care să fie aprobat mai întâi de secretarul de stat şi apoi de comisarul judiciar, sub rezerva cerinţelor privind necesitatea şi proporţionalitatea măsurii, astfel cum se prevede în partea 7 din IPA din 2016 (159).
(159)Legea privind competenţele de investigare (modificare) din 2024 a modificat secţiunea 213 din IPA din 2016 în sensul că mandatele privind seturile de date cu caracter personal colectate în masă încetează să mai producă efecte la 12 luni de la emiterea lor. Anterior, astfel de mandate trebuiau reînnoite o dată la şase luni. A se vedea secţiunea 3 din Legea privind competenţele de investigare(modificare) din 2024.
(105)- Partea 7A din IPA din 2016 prevede două tipuri de autorizaţii: autorizaţia individuală şi autorizaţia pe categorii. Păstrarea sau păstrarea şi examinarea fiecărui set de date cu caracter personal în masă deţinut în temeiul părţii 7A trebuie să fie autorizate în temeiul uneia dintre aceste autorizaţii. Ambele autorizaţii necesită, în principiu (160), o autorizare din partea şefului serviciului de informaţii (sau a unei persoane care acţionează în numele acestuia) şi aprobarea de către un comisar judiciar independent (161). O autorizaţie individuală este acordată de şeful unui serviciu de informaţii sub rezerva condiţiilor prevăzute în secţiunea 226B alineatul (4) din IPA din 2016 şi sub rezerva aprobării prealabile de către comisarii judiciari. Comisarul judiciar trebuie să examineze concluziile referitoare la secţiunea 226A formulate de persoana care a acordat autorizaţia, mai precis dacă setul de date cu caracter personal în masă descris în autorizaţie face obiectul unor aşteptări rezonabile reduse sau nu face obiectul unor aşteptări rezonabile în ceea ce priveşte cerinţa de confidenţialitate a datelor (162).
(160)O autorizaţie individuală poate fi acordată fără aprobare judiciară prealabilă numai (i) dacă persoana care acordă autorizaţia individuală consideră că setul de date cu caracter personal în masă în cauză se încadrează într-o autorizaţie de categorie existentă sau (ii) în caz de urgenţă, a se vedea secţiunea 226B alineatul (6) din IPA din 2016. În acest din urmă caz, decizia de a acorda o autorizaţie individuală urgentă trebuie să fie revizuită de un comisar judiciar în termen de trei zile lucrătoare de la data emiterii, a se vedea secţiunea 226BC din IPA din 2016.
(161)-Secţiunea 226B alineatul (1) din IPA din 2016, astfel cum a fost introdus prin secţiunea 2 din Legea privind competenţele de investigare (modificare).
(162)-Secţiunea 226BB alineatul (1) litera (a) din IPA din 2016, astfel cum a fost introdusă prin secţiunea 2 din Legea privind competenţele de investigare (modificare) din 2024.
(106)O autorizaţie de categorie autorizează păstrarea sau păstrarea şi examinarea unei categorii de seturi de date cu caracter personal în masă descrise în autorizaţie.
(107)Decizia de acordare a autorizaţiei de categorie este luată de şeful serviciului de informaţii atunci când acesta consideră că secţiunea 226A se aplică oricărui set de date din categoria în cauză şi în cazul în care decizia de acordare a autorizaţiei a fost aprobată de un comisar judiciar independent (163). Acesta din urmă trebuie să analizeze dacă secţiunea 226A, şi anume existenţa unor aşteptări rezonabile reduse sau inexistenţa unor aşteptări rezonabile privind cerinţa de confidenţialitate, se aplică oricărui set de date care se încadrează în categoria seturilor de date descrise în autorizaţie (164).
(163)-Secţiunea 226BA din IPA din 2016, astfel cum a fost introdusă prin secţiunea 2 din Legea privind competenţele de investigare (modificare).
(164)-Secţiunea 226BB alineatul (1) litera (b) din IPA din 2016, astfel cum a fost introdusă prin secţiunea 2 din Legea privind competenţele de investigare (modificare).
(108)Este important de remarcat faptul că, atunci când aprobă o decizie de acordare a unei autorizaţii individuale sau de categorie, comisarul judiciar trebuie "să aplice aceleaşi principii care ar fi aplicate de o instanţă cu privire la o cerere de control jurisdicţional" (165) şi să analizeze aceste aspecte cu un grad suficient de atenţie pentru a se asigura că comisarul judiciar respectă obligaţiile impuse de secţiunea 2 din IPA din 2016 (obligaţii generale în ceea ce priveşte viaţa privată) (166). În plus, eliberarea autorizaţiilor face obiectul unei supravegheri ex post stricte, în special prin raportarea anuală către secretarul de stat şi către Comisia pentru Informaţii şi Securitate a Parlamentului (167) şi prin inspecţii periodice ale Biroului IPC (168).
(165)-Secţiunea 226BB alineatul (2) litera (a) din IPA din 2016, astfel cum a fost introdusă prin secţiunea 2 din Legea privind competenţele de investigare (modificare) din 2024.
(166)-Secţiunea 226BB alineatul (2) litera (b) din IPA din 2016, astfel cum a fost introdusă prin secţiunea 2 din Legea privind competenţele de investigare (modificare) din 2024. În conformitate cu obligaţiile generale în ceea ce priveşte viaţa privată, astfel cum sunt prevăzute în secţiunea 2 din IPA din 2016, o autoritate publică trebuie să aibă în vedere: (a) dacă ceea ce se urmăreşte a fi obţinut prin mandat, autorizaţie sau notificare ar putea fi obţinut în mod rezonabil prin alte mijloace mai puţin intruzive; (b) dacă nivelul de protecţie care urmează să fie aplicat în legătură cu orice obţinere de informaţii în temeiul mandatului, al autorizaţiei sau al notificării este mai ridicat din cauza sensibilităţii deosebite a informaţiilor respective; (c) interesul public pentru integritatea şi securitatea sistemelor de telecomunicaţii şi a serviciilor poştale şi (d) orice alte aspecte ale interesului public pentru protecţia vieţii private.
(167)-Secţiunile 226DA şi 226DB din IPA din 2016, astfel cum au fost introduse prin secţiunea 2 din Legea privind competenţele de investigare (modificare) din 2024.
(168)A se vedea Raportul anual pe 2023 al Comisarului pentru Competenţe de Investigare, disponibil la următoarea adresă: https://ipco-wpmedia-prod-s3.s3.eu-west-2.amazonaws.com/E03270100-HC_603-IPCO-Annual-Report-2023-Web_Accessible.pdf, p. 3.
(109)În ceea ce priveşte evoluţiile relevante în domeniul supravegherii, Biroul Comisarului pentru Competenţe de Investigare a publicat rapoarte anuale pentru anii 2021, 2022 şi 2023, care furnizează statistici şi informaţii detaliate cu privire la utilizarea competenţelor de investigare de către serviciile de informaţii şi autorităţile de aplicare a legii din Regatul Unit (169). Rapoartele descriu, de asemenea, auditurile şi investigaţiile desfăşurate de acest birou, precum şi constatările aferente, confirmând că IPC continuă să îşi asigure funcţia de supraveghere foarte importantă în cadrul regimului competenţelor de investigare ale Regatului Unit. De exemplu, în 2023, acesta a examinat justificările necesităţii şi proporţionalităţii pentru utilizarea competenţelor de interceptare în masă [astfel cum au fost evaluate în considerentele 218-225 din Decizia de punere în aplicare (UE) 2021/1772] de către Cartierul General pentru Comunicaţii (GCHQ), concluzionând că o majoritate semnificativă a afirmaţiilor în cauză au fost articulate cu o justificare solidă, în timp ce, în unele cazuri, proporţionalitatea nu a fost bine exprimată. Aceste constatări au fost discutate cu echipa de conformitate a GCHQ, care s-a angajat să asigure cursuri interne de formare suplimentare în scopuri de conştientizare a acestor aspecte pentru a aborda problema respectivă (170).
(169)Rapoartele anuale sunt disponibile la următoarea adresă: https://www.ipco.org.uk/publications/annual-reports/.
(170)A se vedea punctele 6.39-6.43 din raportul anual pentru 2023, disponibil la următoarea adresă: https://ipco-wpmedia-prod-s3.s3.eu-west-2.amazonaws.com/E03270100-HC_603-IPCO-Annual-Report-2023-Web_Accessible.pdf.
(110)În plus, Tribunalul pentru competenţe de investigare a emis un raport public privind activităţile sale şi jurisprudenţa sa pentru perioada 2021-2023 (171). Raportul arată că numărul de cauze primite de Tribunal a crescut de peste două ori din 2017, cu peste 400 de cauze primite în 2023 (172). Majoritatea plângerilor au fost împotriva agenţiilor de aplicare a legii, urmate îndeaproape de plângerile împotriva autorităţilor de securitate şi de informaţii (173). Este important de remarcat faptul că, în 2022 şi 2023, tribunalul a pronunţat hotărâri în cauze primite înainte de 2021 în care a constatat că autorităţile publice din Regatul Unit [Police Scotland (174), Greater Manchester Police (175), Surrey Police (176) şi, respectiv, MI5 şi ministrul de interne (177)] au acţionat în mod ilegal. În ceea ce priveşte căile de atac, Tribunalul pentru competenţe de investigare a dispus, printre altele, distrugerea oricărui material obţinut în mod ilegal şi, într-un caz, şi plata sumei de 12 000 GBP ca reparaţie echitabilă pentru încălcările identificate. Prin urmare, raportul anual confirmă faptul că Tribunalul pentru competenţe de investigare îşi îndeplineşte în mod eficace rolul important în garantarea supravegherii şi a căilor de atac în domeniul asigurării respectării dreptului penal şi al securităţii naţionale în ceea ce priveşte accesul la datele cu caracter personal.
(171)Raportul pentru perioada 2021-2023 al Tribunalului pentru competenţe de investigare, disponibil la următoarea adresă: https://investigatorypowerstribunal.org.uk/wp-content/uploads/2024/11/Investigatory-Powers-Tribunal-Report-2024.pdf.
(172)Raportul pentru perioada 2021-2023 al Tribunalului pentru competenţe de investigare, p. 5.
(173)Raportul pentru perioada 2021-2023 al Tribunalului pentru competenţe de investigare, p. 12.
(174)Wilson/Police Scotland [2022] UKIPTrib 5.
(175)Pendlebury/Greater Manchester Police [2023] UKIPTrib 2.
(176)Hill v Metropolitan Police Service & Independent Office for Police Conduct [2022] UKIPTrib 6.
(177)Liberty & Privacy International v Security Service and Secretary of State for the Home Department [2023] UKIPTrib 1.
(111)În plus, raportul evidenţiază, de asemenea, evoluţii importante, cum ar fi o hotărâre a Curţii Europene a Drepturilor Omului în care Curtea a statuat că persoanele fizice din întreaga lume pot introduce la Tribunalul pentru competenţe de investigare o acţiune cu privire la funcţionarea sistemului de interceptare în masă din Regatul Unit, în cazul în care operaţiunea în cauză a fost efectuată de un organism public din Regatul Unit şi a avut loc în Regatul Unit (178).
(178)Wieder şi Guarnieri/Regatul Unit, [2023] CEDO 668, a se vedea, de asemenea, Raportul pentru perioada 2021-2023 al Tribunalului pentru competenţe de investigare, p. 6.