(1)

Directiva (UE) 2016/680 stabilește normele privind transferul datelor cu caracter personal de la autoritățile competente din Uniune către țări terțe și organizații internaționale, în măsura în care astfel de transferuri intră în domeniul său de aplicare. Normele privind transferurile internaționale de date de către autoritățile competente sunt prevăzute în capitolul V din Directiva (UE) 2016/680, în special la articolele 35-40. Deși fluxul de date cu caracter personal către și dinspre țări situate în afara Uniunii Europene este esențial pentru o cooperare eficientă în materie de asigurare a respectării legii, se impune garantarea faptului că nivelul de protecție acordat datelor cu caracter personal din Uniunea Europeană nu este diminuat de astfel de transferuri (2).

(2)

În temeiul articolului 36 alineatul (3) din Regulamentul (UE) 2016/680, Comisia poate decide, prin intermediul unui act de punere în aplicare, că o țară terță, un teritoriu sau unul sau mai multe sectoare determinate dintr-o țară terță sau o organizație internațională asigură un nivel de protecție adecvat. În astfel de condiții, transferurile de date cu caracter personal către o țară terță pot avea loc fără a fi necesară obținerea unei autorizații suplimentare (cu excepția cazului în care un alt stat membru de la care au fost obținute datele trebuie să autorizeze efectuarea transferului), astfel cum se prevede la articolul 35 alineatul (1) și în considerentul 66 din Directiva (UE) 2016/680.

(3)

În conformitate cu articolul 36 alineatul (2) din Directiva (UE) 2016/680, adoptarea unei decizii privind caracterul adecvat al nivelului de protecție trebuie să se bazeze pe o analiză cuprinzătoare a ordinii juridice a țării terțe. În evaluare, Comisia trebuie să stabilească dacă țara terță în cauză garantează un nivel de protecție „echivalent în esență” celui asigurat în cadrul Uniunii Europene [considerentul 67 din Directiva (UE) 2016/680]. Standardul în raport cu care este evaluată „echivalența esențială” este cel stabilit de legislația UE, în special de Directiva (UE) 2016/680, precum și de jurisprudența Curții de Justiție a Uniunii Europene (3). Criteriile de referință privind caracterul adecvat al nivelului de protecție ale Comitetului european pentru protecția datelor sunt, de asemenea, importante în această privință (4).

(4)

Conform clarificărilor aduse de Curtea de Justiție a Uniunii Europene, aceasta nu necesită găsirea unui nivel identic de protecție (5). În special, mijloacele la care țara terță în cauză recurge pentru protecția datelor cu caracter personal pot fi diferite de cele utilizate în cadrul Uniunii Europene, cu condiția ca acestea să se dovedească, în practică, eficace pentru asigurarea unui nivel adecvat de protecție (6). Prin urmare, standardul caracterului adecvat nu necesită o reproducere punct cu punct a normelor Uniunii. Mai curând, testul constă în a stabili dacă, prin esența drepturilor la viață privată și punerea în aplicare efectivă, supravegherea și exercitarea acestora, sistemul străin în cauză, în ansamblul său, oferă nivelul de protecție necesar (7).

(5)

Comisia a analizat cu atenție legislația și practicile relevante din Regatul Unit al Marii Britanii și Irlandei de Nord (UK). Pe baza constatărilor prezentate în continuare, Comisia concluzionează că Regatul Unit asigură un nivel adecvat de protecție pentru datele cu caracter personal transferate de la autoritățile competente din Uniune, care intră în domeniul de aplicare al Directivei (UE) 2016/680, către autoritățile competente din Regatul Unit, care intră în domeniul de aplicare al Legii privind protecția datelor din 2018, partea 3 (DPA din 2018) (8).

(6)

Prezenta decizie are ca efect faptul că astfel de transferuri pot avea loc fără a fi necesară obținerea unei autorizații suplimentare pentru o perioadă de patru ani, sub rezerva unei eventuale reînnoiri și fără a aduce atingere condițiilor prevăzute la articolul 35 din Directiva (UE) 2016/680.

(7)

Regatul Unit este o democrație parlamentară. Acesta are un parlament suveran, care exercită o autoritate supremă asupra tuturor celorlalte instituții guvernamentale, un executiv ai cărui membri provin din parlament și care este responsabil în fața acestuia, precum și un sistem judiciar independent. Executivul își bazează autoritatea pe capacitatea sa de a atrage încrederea Camerei Comunelor alese și răspunde în fața ambelor camere ale Parlamentului (Camera Comunelor și Camera Lorzilor), care sunt responsabile de controlul Guvernului și de dezbaterea și adoptarea legilor. Parlamentul Regatului Unit a delegat Parlamentului scoțian, Parlamentului Țării Galilor (Senedd Cymru) și Adunării Irlandei de Nord responsabilitatea pentru legiferarea anumitor chestiuni interne din Scoția, Țara Galilor și Irlanda de Nord. În timp ce protecția datelor reprezintă o chestiune rezervată Parlamentului Regatului Unit, și anume aceeași legislație se aplică în întreaga țară, alte domenii de politică relevante pentru prezenta decizie sunt descentralizate. De exemplu, sistemele de justiție penală, inclusiv poliția (activitățile desfășurate de forțele de poliție) din Scoția și Irlanda de Nord sunt transferate Parlamentului scoțian și, respectiv, Adunării Irlandei de Nord (9).

(8)

Deși Regatul Unit nu are o constituție codificată în sensul unui document constitutiv cu vechime, principiile sale constituționale au apărut de-a lungul timpului, provenind în special din jurisprudență și din convenție. Valoarea constituțională a anumitor statute, cum ar fi Magna Carta, Declarația drepturilor din 1689 (Bill of Rights 1689) și Legea privind drepturile omului din 1998 (Human Rights Act 1998), a fost recunoscută. Drepturile fundamentale ale persoanelor au fost dezvoltate, ca parte a constituției, prin intermediul common law, al statutelor și al tratatelor internaționale, în special al Convenției europene a drepturilor omului (CEDO), pe care Regatul Unit a ratificat-o în 1951. În 1987, Regatul Unit a ratificat, de asemenea, Convenția Consiliului Europei pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal (Convenția 108) (10).

(9)

Legea privind drepturile omului din 1998 încorporează în legislația Regatului Unit drepturile cuprinse în CEDO. Legea respectivă acordă oricărei persoane drepturile și libertățile fundamentale prevăzute la articolele 2-12 și articolul 14 din Convenția europeană a drepturilor omului, la articolele 1-3 din Protocolul nr. 1 și la articolul 1 din Protocolul nr. 13, coroborate cu articolele 16-18 din CEDO. Aceasta include dreptul la respectarea vieții private și de familie, care, la rândul său, include și dreptul la protecția datelor, precum și dreptul la un proces echitabil (11). În special, în temeiul articolului 8 din Convenția europeană a drepturilor omului, nu este admis amestecul unei autorități publice în exercitarea dreptului la viață privată decât în măsura în care acest amestec este prevăzut de lege, dacă constituie o măsură care, într-o societate democratică, este necesară pentru siguranța națională, siguranța publică, bunăstarea economică a țării, apărarea ordinii și prevenirii faptelor penale, protejarea sănătății sau a moralei, ori protejarea drepturilor și libertăților altora.

(10)

În conformitate cu Legea privind drepturile omului din 1998, orice acțiune a autorităților publice trebuie să fie compatibilă cu un drept garantat de CEDO (12). În plus, legislația primară și cea secundară trebuie interpretate și puse în aplicare într-un mod compatibil cu respectivele drepturi (13). În măsura în care o persoană fizică consideră că drepturile sale, inclusiv dreptul la viață privată și la protecția datelor, au fost încălcate de autoritățile publice, aceasta poate obține reparații în fața instanțelor din Regatul Unit în temeiul Legii privind drepturile omului din 1998 și, în cele din urmă, după epuizarea căilor de atac naționale, poate obține reparații în fața Curții Europene a Drepturilor Omului pentru încălcarea drepturilor garantate de CEDO.

(11)

Regatul Unit s-a retras din Uniunea Europeană la 31 ianuarie 2020. Pe baza Acordului privind retragerea Regatului Unit al Marii Britanii și Irlandei de Nord din Uniunea Europeană și din Comunitatea Europeană a Energiei Atomice (14), dreptul Uniunii a continuat să se aplice pe teritoriul Regatului Unit pe parcursul perioadei de tranziție până la 31 decembrie 2020. Înainte de retragere și în cursul perioadei de tranziție, cadrul legislativ privind protecția datelor cu caracter personal în Regatul Unit care reglementează prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora, consta în părți relevante din Legea privind protecția datelor din 2018, care a transpus Directiva (UE) 2016/680.

(12)

Pentru a pregăti ieșirea din UE, Guvernul Regatului Unit a adoptat European Union (Withdrawal) Act 2018 (EUWA) [Legea din 2018 privind Uniunea Europeană (retragere)] (15), care încorporează legislația direct aplicabilă a Uniunii în legislația Regatului Unit și a prevăzut că așa-numita „legislație națională derivată din dreptul Uniunii” continuă să producă efecte după încheierea perioadei de tranziție. Partea 3 din DPA din 2018 (16) care transpune Directiva (UE) 2016/680 constituie „legislație națională derivată din dreptul Uniunii” în temeiul EUWA. Potrivit EUWA, „legislația națională derivată din dreptul Uniunii” nemodificată trebuie să fie interpretată de instanțele din Regatul Unit în conformitate cu jurisprudența relevantă a Curții de Justiție a Uniunii Europene (Curtea de Justiție) și cu principiile generale ale dreptului Uniunii, întrucât acestea au produs efecte imediat înainte de încheierea perioadei de tranziție (denumite „jurisprudența menținută a Uniunii” și, respectiv, „principiile generale menținute ale dreptului Uniunii”) (17).

(13)

În temeiul EUWA, miniștrii Regatului Unit au competența de a introduce legislație secundară, prin intermediul instrumentelor statutare, pentru a introduce modificările necesare ale dreptului menținut al Uniunii care rezultă din retragerea Regatului Unit din Uniune. Această competență a fost exercitată prin Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 [Regulamentele din 2019 privind protecția datelor, a vieții private și comunicațiile electronice (modificări etc.) (ieșirea din UE)] (Regulamentele DPPEC) (18). Acestea modifică legislația Regatului Unit privind protecția datelor, inclusiv DPA din 2018, pentru a fi adecvată contextului național (19).

(14)

În consecință, standardele juridice privind prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora în Regatul Unit după perioada de tranziție în temeiul Acordului de retragere vor fi stabilite în continuare în părțile relevante ale DPA din 2018, dar astfel cum au fost modificate prin regulamentele DPPEC, în special în partea 3 a actului respectiv. Regulamentul general privind protecția datelor în vigoare în Regatul Unit (RGPD al Regatului Unit) nu se aplică acestui tip de prelucrare.

(15)

Partea 3 din DPA din 2018 prevede normele privind prelucrarea datelor cu caracter personal în scopul asigurării respectării dreptului penal, inclusiv principiile privind protecția datelor, temeiurile juridice ale prelucrării (legalitatea), drepturile persoanelor vizate, obligațiile autorităților competente în calitate de operatori de date și restricțiile privind transferurile ulterioare. În același timp, normele aplicabile în materie de supraveghere, asigurare a respectării legii și măsuri de reparare aplicabile în sectorul asigurării respectării legii sunt prevăzute în părțile 5 și 6 din DPA din 2018.

(16)

În plus, având în vedere rolul important jucat de forțele de poliție în sectorul asigurării respectării legii, ar trebui avute în vedere normele care reglementează activitățile polițienești. Întrucât activitatea polițienească este o chestiune descentralizată, diferite acte legislative care prezintă totuși adesea similitudini în materie de conținut sunt aplicabile activităților polițienești din (a) Anglia și Țara Galilor, (b) Scoția și (c) Irlanda de Nord (20). În plus, diferite tipuri de documente de orientare oferă clarificări suplimentare cu privire la modul în care competențele poliției se impun a fi utilizate. Există trei forme principale de orientări pentru poliție: 1) orientări statutare emise în temeiul legislației, cum ar fi Codul deontologic (21) și Codul de bune practici privind gestionarea informațiilor cu caracter polițienesc (Codul de bune practici privind MoPI) (22), emise în temeiul Legii privind poliția din 1996 (23) sau al codurilor PACE (24) emise în temeiul Legii britanice privind funcționarea Poliției și administrarea probelor penale (Police and Criminal Evidence Act) (25), 2) practici profesionale autorizate privind gestionarea informațiilor cu caracter polițienesc (Orientările APP privind gestionarea informațiilor cu caracter polițienesc) (26), emise de Colegiul de Poliție, și 3) orientări operaționale (publicate chiar de poliție). Consiliul național al responsabililor serviciilor de poliție (National Police Chiefs Council) (un organism de coordonare pentru toate forțele de poliție din Regatul Unit) publică orientări operaționale pe care toate forțele de poliție le-au aprobat și care, prin urmare, se aplică la nivel național (27). Scopul acestor orientări este de a asigura coerența între forțe în ceea ce privește modul de gestionare a informațiilor (28).

(17)

Codul de bune practici privind gestionarea informațiilor cu caracter polițienesc a fost emis de secretarul de stat în 2005, făcând uz de competențele prevăzute la secțiunea 39A din Legea privind poliția din 1996 (29). Orice cod de bune practici emis în temeiul Legii privind poliția trebuie să fie aprobat de secretarul de stat și face obiectul consultării Agenției Naționale pentru Combaterea Criminalității înainte de a fi prezentat Parlamentului. Secțiunea 39A punctul 7 din Legea privind poliția prevede că poliția trebuie să țină seama în mod corespunzător de codurile emise în temeiul legii, prin urmare poliția ar trebui să o respecte (30). În plus, orientările nestatutare (cum ar fi Orientările APP privind gestionarea informațiilor cu caracter polițienesc) trebuie să fie întotdeauna în concordanță cu Codul de bune practici privind gestionarea informațiilor cu caracter polițienesc, care este mai presus de acestea (31). În orice caz, deși ar putea exista anumite situații operaționale în care funcționarii poliției trebuie să se abată de la respectivele orientări, aceștia trebuie totuși să respecte cerințele DPA din 2018, partea 3 (32).

(18)

Orientări suplimentare privind legislația Regatului Unit în materie de protecție a datelor în vederea prelucrării în sectorul asigurării respectării legii sunt furnizate de comisarul pentru informații („Information Commissioner” sau „ICO”) (33) (pentru detalii suplimentare privind ICO, a se vedea considerentele 93-109). Deși nu au caracter juridic obligatoriu, instanțele ar fi obligate în contextul unei cauze să ia în considerare orice încălcare a orientărilor, deoarece acestea au o pondere interpretativă și demonstrează modul în care legislația privind protecția datelor este interpretată și pusă în practică de către comisar (34).

(19)

În cele din urmă, astfel cum se menționează în considerentele 8-10, agențiile de aplicare a legii din Regatul Unit trebuie să asigure respectarea (CEDO) și a Convenției 108.

(20)

Prin urmare, în ceea ce privește structura și componentele sale principale, cadrul juridic care reglementează prelucrarea datelor de către autoritățile de aplicare a dreptului penal din Regatul Unit este foarte similar cu cel aplicabil în UE. Aceasta include faptul că acest cadru nu se bazează numai pe obligațiile prevăzute în dreptul intern, care au fost conturate de dreptul Uniunii, ci și pe obligațiile consacrate în dreptul internațional public, în special prin aderarea Regatului Unit la CEDO și la Convenția 108, precum și prin recunoașterea de către acesta a competenței Curții Europene a Drepturilor Omului. Aceste obligații care decurg din instrumentele internaționale obligatorii din punct de vedere juridic, în special în ceea ce privește protecția datelor cu caracter personal, reprezintă, prin urmare, un element deosebit de important al cadrului juridic evaluat în prezenta decizie.

(21)

Domeniul de aplicare material al DPA din 2018, partea 3, coincide cu domeniul de aplicare al Directivei (UE) 2016/680, astfel cum este prevăzut la articolul 2 alineatul (2) din aceasta. Partea 3 se aplică prelucrării de către o autoritate competentă a datelor cu caracter personal, realizate integral sau parțial prin mijloace automatizate, precum și prelucrării de către o autoritate competentă prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care urmează să facă parte dintr-un sistem de evidență a datelor.

(22)

În plus, pentru a se încadra în domeniul de aplicare al părții 3, operatorul trebuie să fie o „autoritate competentă”, iar prelucrarea trebuie efectuată într-un „scop de aplicare a legii”. Prin urmare, regimul de protecție a datelor care este evaluat în prezenta decizie se aplică tuturor activităților de asigurare a respectării legii desfășurate de aceste autorități competente.

(23)

Conceptul de „autoritate competentă” este definit în secțiunea 30 din DPA ca fiind o persoană prevăzută în anexa 7 la DPA din 2018, precum și orice altă persoană, în măsura în care persoana are funcții statutare în oricare dintre scopurile de asigurare a respectării legii. Printre autoritățile competente enumerate în anexa 7 se numără nu numai forțele de poliție, ci și toate departamentele ministeriale ale guvernului Regatului Unit, precum și alte autorități cu atribuții de investigare (de exemplu, Comisarul Administrației Fiscale și Vamale din Regatul Unit – Commissioner for Her Majesty’s Revenue and Customs, Autoritatea Fiscală din Țara Galilor, Autoritatea pentru Concurență și Piețe sau Registrul funciar al Majestății Sale – Her Majesty’s Land Register sau Agenția Națională pentru Combaterea Criminalității – National Crime Agency), agenții de urmărire penală, alte agenții de justiție penală și alți deținători sau organizații care desfășoară activități de asigurare a respectării legii (35). Partea 3 din DPA din 2018 se aplică în egală măsură instanțelor și tribunalelor atunci când acestea își exercită funcțiile judiciare, cu excepția părții referitoare la drepturile persoanei vizate și la supravegherea ICO (36). Lista autorităților competente prevăzută în anexa 7 nu este definitivă și poate fi actualizată de către secretarul de stat prin regulamente, ținând seama de modificările intervenite în materie de organizare a instituțiilor publice (37).

(24)

Prelucrarea în cauză trebuie să aibă, de asemenea, un „scop de asigurare a respectării legii”, definit ca fiind prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau executarea pedepselor, inclusiv protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora (38). Prelucrarea de către o autoritate competentă nu este reglementată de partea 3 din DPA din 2018 în cazul în care aceasta nu are loc în scopul asigurării respectării legii. Aceasta va fi situația, de exemplu, atunci când Autoritatea pentru Concurență și Piețe investighează cazuri care nu sunt incriminate (de exemplu, fuziuni între societăți). În acest caz se vor aplica RGPD al Regatului Unit, coroborat cu partea 2 din DPA din 2018, deoarece prelucrarea datelor cu caracter personal de către autoritățile competente se efectuează în alte scopuri decât cele de asigurare a respectării legii. Pentru a stabili regimul de protecție a datelor aplicabil (partea 3 sau partea 2 din DPA din 2018) în ceea ce privește prelucrarea datelor cu caracter personal în cauză, autoritatea competentă, și anume operatorul de date, trebuie să analizeze dacă „scopul principal” al unei astfel de prelucrări este unul dintre scopurile de asigurare a respectării legii în temeiul DPA din 2018.

(25)

În ceea ce privește domeniul de aplicare teritorial al părții 3 din DPA din 2018, secțiunea 207 punctul 2 prevede că DPA se aplică prelucrării datelor cu caracter personal în contextul activităților unei persoane care deține un sediu pe întreg teritoriul Regatului Unit. Aceasta include autoritățile publice ale teritoriilor Angliei, Țării Galilor, Scoției și Irlandei de Nord care intră în domeniul de aplicare material al părții 3 din DPA din 2018 (39).

(26)

Conceptele-cheie de date cu caracter personal și prelucrare sunt definite în secțiunea 3 din DPA din 2018 și se aplică în tot cuprinsul DPA. Definițiile respectă îndeaproape definițiile corespunzătoare prevăzute la articolul 3 din Directiva (UE) 2016/680. În temeiul DPA din 2018, date cu caracter personal înseamnă orice informații privind o persoană în viață identificată sau identificabilă (40). În temeiul secțiunii 3 punctul 3 din DPA din 2018, o persoană fizică este identificabilă dacă poate fi identificată, direct sau indirect, pe baza informațiilor, inclusiv prin referire la un nume sau la un element de identificare, sau prin referire la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Noțiunea de „prelucrare” este definită ca o operațiune sau un set de operațiuni efectuate asupra informațiilor, sau asupra seturilor de informații, cum ar fi (a) colectarea, înregistrarea, organizarea, structurarea sau stocarea; (b) adaptarea sau modificarea; (c) extragerea, consultarea sau utilizarea; (d) dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod; (e) alinierea sau combinarea; sau (f) restricționarea, ștergerea sau distrugerea. În plus, legea definește „prelucrarea datelor sensibile” ca fiind „(a) prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice sau apartenența la un sindicat; (b) prelucrarea datelor genetice sau a datelor biometrice, în scopul identificării unice a unei persoane fizice; (c) prelucrarea datelor cu caracter personal privind sănătatea; (d) prelucrarea datelor cu caracter personal privind viața sexuală sau orientarea sexuală a unei persoane fizice” (41). În acest sens, secțiunea 205 din DPA din 2018 prevede definiția „datelor biometrice” (42), a „datelor privind sănătatea” (43) și a „datelor genetice” (44).

(27)

Secțiunea 32 din DPA din 2018 clarifică definițiile termenilor „operator” și „persoană împuternicită de către operator” în contextul prelucrării datelor cu caracter personal în scopul asigurării respectării legii, urmând îndeaproape definițiile echivalente din Directiva (UE) 2016/680. Operator înseamnă autoritatea competentă care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. În cazul în care prelucrarea este prevăzută de lege, operatorul este autoritatea competentă căreia legea respectivă îi impune o astfel de obligație. O persoană împuternicită de către operator este definită ca fiind orice persoană care prelucrează datele cu caracter personal în numele operatorului (alta decât o persoană care este angajat al operatorului).

(28)

În conformitate cu secțiunea 35 din DPA din 2018, prelucrarea datelor cu caracter personal trebuie să aibă caracter legal și echitabil, într-un mod similar cu articolul 4 alineatul (1) litera (a) din Directiva (UE) 2016/680. În conformitate cu secțiunea 35 punctul 2 din DPA din 2018, prelucrarea datelor cu caracter personal în oricare dintre scopurile de asigurare a respectării legii este legală numai dacă se întemeiază pe lege și fie persoana vizată și-a dat consimțământul pentru prelucrare în acest scop, fie prelucrarea este necesară pentru îndeplinirea unei sarcini în acest scop de către o autoritate competentă.

(29)

În mod similar cu articolul 8 din Directiva (UE) 2016/680, pentru a se asigura legalitatea unei prelucrări care intră sub incidența DPA din 2018, partea 3, o astfel de prelucrare trebuie să fie „bazată pe lege”. Prelucrarea „legală” înseamnă prelucrarea autorizată fie prin lege, fie prin common law sau prin prerogative regale (45).

(30)

Competențele autorităților competente sunt, în general, reglementate prin statute, ceea ce înseamnă că funcțiile și competențele acestora sunt stabilite în mod clar în legislațiile adoptate de Parlament (46). În anumite cazuri, poliția, precum și alte autorități competente enumerate în anexa 7 la DPA din 2018 se pot baza pe common law pentru prelucrarea datelor (47). Common law s-a dezvoltat prin precedente stabilite prin hotărâri ale instanțelor. Common law este relevantă în contextul competențelor de care dispune poliția, care derivă din această sursă de drept datoria sa principală de a proteja publicul prin depistarea și prevenirea criminalității (48). Cu toate acestea, forțele de poliție au atât competențe în domeniul common law, cât și competențe legislative (49) pentru a îndeplini o astfel de obligație. În cazul în care poliția are o competență statutară, aceasta înlocuiește orice competență în domeniul common law (50).

(31)

Extinderea competențelor și obligațiilor în domeniul common law ale funcționarului de poliție a fost recunoscută de instanțe ca incluzând „toate măsurile care se dovedesc necesare pentru menținerea păcii, prevenirea infracțiunilor sau protejarea bunurilor împotriva vătămărilor cauzate de infracțiuni” (51). Competențele în domeniul common law nu sunt competențe necalificate. Acestea sunt supuse unei serii de limitări, inclusiv limitelor stabilite de instanțe (52) și de lege, în special Legea privind drepturile omului din 1998 (Human Rights Act) și Legea privind egalitatea din 2010 (Equality Act) (53). În plus, pentru autoritățile competente care prelucrează date în temeiul DPA din 2018, partea 3, aceasta include exercitarea competențelor în domeniul common law în conformitate cu cerințele prevăzute în DPA din 2018 (54). În plus, o decizie de a efectua orice tip de prelucrare a datelor trebuie să ia în considerare cerințele orientărilor aplicabile, cum ar fi Codul de bune practici privind MoPI, precum și orientările specifice uneia dintre țările din Regatul Unit (55). Guvernul și serviciile de poliție operaționale emit o serie de documente de orientare pentru a se asigura că funcționarii de poliție își exercită competențele în limitele stabilite de common law sau de statutul relevant (56).

(32)

Prerogativele regale reprezintă o altă componentă a „legii” și se referă la anumite competențe conferite Coroanei, care pot fi exercitate de puterea executivă și care nu se bazează pe statut, ci decurg din suveranitatea monarhului (57). Există foarte puține exemple de prerogative relevante în contextul asigurării respectării legii. Printre acestea se numără, de exemplu, cadrul de asistență judiciară reciprocă ce permite schimbul de date de către un secretar de stat cu țări terțe în scopul asigurării respectării aplicării legii, iar competența de a face schimb de date în acest mod nu este întotdeauna prevăzută în statut (58). Prerogativele regale sunt supuse principiilor common law (59) și sunt subordonate statutului, prin urmare, se află sub rezerva limitelor prevăzute de Legea privind drepturile omului din 1998 și de DPA din 2018 (60).

(33)

În mod similar cu articolul 8 din Directiva (UE) 2016/680, regimul din Regatul Unit prevede că, pentru a respecta principiul legalității, autoritățile competente ar trebui să se asigure că, atunci când prelucrarea se bazează pe lege, aceasta trebuie să fie, de asemenea, „necesară” pentru îndeplinirea unei sarcini în scopul asigurării respectării legii. ICO oferă orientări în acest sens, clarificând faptul că „trebuie să fie o modalitate specifică și proporțională de atingere a scopului. Temeiul legal nu se va aplica dacă puteți atinge obiectivul în mod rezonabil prin alte mijloace mai puțin intruzive. Nu este suficient să susțineți că prelucrarea este necesară deoarece ați ales să vă desfășurați activitatea într-un anumit mod. Întrebarea este dacă prelucrarea este necesară pentru scopul declarat” (61).

(34)

Astfel cum se menționează în considerentul 28, secțiunea 35 alineatul (2) din DPA din 2018 prevede posibilitatea prelucrării datelor cu caracter personal pe baza „consimțământului” persoanei fizice.

(35)

Cu toate acestea, consimțământul nu pare a fi un temei juridic relevant pentru operațiunile de prelucrare care intră în domeniul de aplicare al prezentei decizii. În fapt, operațiunile de prelucrare care fac obiectul prezentei decizii vor viza întotdeauna datele care au fost transferate în temeiul Directivei (UE) 2016/680 de către o autoritate competentă a unui stat membru către o autoritate competentă din Regatul Unit. Prin urmare, acestea nu vor implica, de regulă, tipul de interacțiune (colectare) directă între o autoritate publică și persoanele vizate care se poate baza pe consimțământ în temeiul secțiunii 35 punctul 2 litera (a) din DPA din 2018.

(36)

Deși recurgerea la consimțământ nu este, prin urmare, considerată relevantă pentru evaluarea efectuată în temeiul prezentei decizii, trebuie remarcat, din motive de exhaustivitate, faptul că, într-un context de asigurare a respectării legii, prelucrarea nu se bazează niciodată exclusiv pe consimțământ, întrucât o autoritate competentă trebuie să aibă întotdeauna o competență subiacentă care să îi permită să prelucreze datele (62). Mai precis, și în mod similar cu ceea ce este permis în temeiul Directivei (UE) 2016/680 (63), aceasta înseamnă că respectivul consimțământ servește drept condiție suplimentară pentru a permite anumite operațiuni de prelucrare limitate și specifice care altfel nu ar putea fi efectuate, de exemplu colectarea și prelucrarea unui eșantion de ADN al unei persoane fizice care nu are calitatea de suspect. În acest caz, prelucrarea nu ar fi efectuată în cazul în care consimțământul nu este acordat sau este retras (64).

(37)

În cazurile în care se impune consimțământul persoanei fizice, acest consimțământ trebuie să fie lipsit de ambiguitate și să implice o acțiune pozitivă fără echivoc (65). Forțele de poliție trebuie să aibă la dispoziție o declarație de confidențialitate care să includă, printre altele, informațiile necesare referitoare la utilizarea valabilă a consimțământului. În plus, unele dintre acestea publică materiale suplimentare privind modul în care respectă legislația privind protecția datelor, inclusiv modul și momentul în care ar utiliza consimțământul ca temei juridic (66).

(38)

Ar trebui să existe garanții specifice în cazul în care sunt prelucrate „categorii speciale” de date. În acest sens, în mod similar cu dispozițiile articolului 10 din Directiva (UE) 2016/680, partea 3 din DPA din 2018 prevede garanții mai solide pentru așa-numita „prelucrare a datelor sensibile” (67).

(39)

În conformitate cu secțiunea 35 punctul 3 din DPA din 1998, datele cu caracter sensibil pot fi prelucrate de autoritățile competente în scopul asigurării respectării legii numai în două cazuri: (1) persoana vizată și-a dat consimțământul pentru prelucrare în scopul asigurării respectării legii și, în momentul în care prelucrarea este efectuată, operatorul dispune de un document de politică adecvat (68) sau (2) prelucrarea este strict necesară în scopul asigurării respectării legii, prelucrarea îndeplinește cel puțin una dintre condițiile din anexa 8 la DPA din 2018 și, la momentul efectuării prelucrării, operatorul dispune de un document de politică adecvat (69).

(40)

În ceea ce privește primul caz și astfel cum se explică în considerentul 38, recurgerea la consimțământ nu este considerată relevantă în cazul transferului care face obiectul prezentei decizii (70).

(41)

Atunci când prelucrarea datelor cu caracter sensibil nu se bazează pe consimțământ, aceasta poate fi efectuată utilizând una dintre condițiile enumerate în anexa 8 la DPA din 2018. Aceste condiții se referă la prelucrarea necesară în scopuri prevăzute de lege; administrarea justiției; protecția intereselor vitale ale persoanei vizate sau ale altei persoane fizice; protejarea copiilor și a persoanelor expuse riscului; acțiuni în justiție; acte judiciare; prevenirea fraudei; arhivarea; în cazul în care datele cu caracter personal sunt făcute publice în mod manifest de către persoana vizată. Cu excepția cazului în care datele sunt făcute publice în mod manifest, toate condițiile prevăzute în anexa 8 sunt supuse unui test de „strictă necesitate”. Astfel cum a clarificat ICO, „strict necesar în acest context înseamnă că prelucrarea trebuie să corespundă unei nevoi sociale presante, pe care nu o puteți realiza în mod rezonabil prin mijloace mai puțin intruzive” (71). În plus, unele condiții fac obiectul unor restricții suplimentare. De exemplu, pentru a se baza pe condiția „scopurilor statutare” și pe „condiția de salvgardare” (anexa 8, punctul 1 și punctul 4), trebuie să fie îndeplinit un test suplimentar privind interesul public substanțial. În plus, în ceea ce privește condițiile referitoare la protecția copilului (anexa 8, punctul 4), persoana vizată trebuie, de asemenea, să aibă o anumită vârstă și să fie considerată ca fiind expusă riscului. În plus, operatorul poate aplica condiția prevăzută la punctul 4 din anexa 8 numai în cazul unor circumstanțe specifice (72). În mod similar, există restricții în ceea ce privește condițiile privind „actele judiciare” și „prevenirea fraudei” (punctele 7 și, respectiv, 8 din anexa 8). Ambele sunt aplicabile numai anumitor operatori. În cazul actelor judiciare, numai o instanță sau o altă autoritate judiciară poate utiliza o astfel de condiție, iar în cazul prevenirii fraudei numai operatorii care sunt organizații antifraudă se pot baza pe această condiție.

(42)

În cele din urmă, atunci când prelucrarea se bazează pe una dintre condițiile enumerate în anexa 8 și, respectiv, în conformitate cu secțiunea 42 din DPA din 2018, trebuie să existe un „document de politică adecvat” – care să explice procedurile operatorului de asigurare a conformității cu principiile privind protecția datelor și politicile operatorului în ceea ce privește păstrarea și ștergerea datelor cu caracter personal – și se aplică obligațiile privind ținerea unei evidențe consolidate.

(43)

Datele cu caracter personal ar trebui să fie prelucrate într-un scop anume și să fie utilizate ulterior numai în măsura în care acest lucru nu este incompatibil cu scopul prelucrării. Acest principiu privind protecția datelor este garantat de secțiunea 36 din DPA din 2018. Această dispoziție, în mod similar cu articolul 4 alineatul (1) litera (b) din Directiva (UE) 2016/680, prevede că (a) scopul asigurării respectării legii pentru care datele cu caracter personal sunt colectate în orice moment trebuie să fie determinat, explicit și legitim și (b) datele cu caracter personal colectate astfel nu trebuie să fie prelucrate într-un mod incompatibil cu scopul pentru care au fost colectate.

(44)

În cazul în care autoritățile competente prelucrează date în scopul asigurării respectării legii, acesta poate viza arhivarea, cercetarea științifică sau istorică și scopurile statistice (73). În aceste cazuri, DPA din 2018 clarifică, de asemenea, faptul că arhivarea (sau prelucrarea în scopuri de cercetare științifică sau istorică și în scopuri statistice) nu este permisă în cazul în care aceasta este efectuată cu privire la deciziile luate în legătură cu o anumită persoană vizată sau în cazul în care aceasta este susceptibilă să îi cauzeze prejudicii sau suferințe substanțiale (74).

(45)

Datele trebuie să fie exacte și, dacă este cazul, actualizate. De asemenea, trebuie să fie adecvate, relevante și neexcesive în raport cu scopurile în care sunt prelucrate. În mod similar cu articolul 4 alineatul (1) literele (c), (d) și (e) din Directiva (UE) 2016/680, aceste principii sunt asigurate în secțiunile 37 și 38 din DPA din 2018. Trebuie luate toate măsurile care se impun pentru a se asigura că datele cu caracter personal inexacte (75) sunt șterse sau rectificate fără întârziere (76), având în vedere scopul asigurării respectării legii pentru care sunt prelucrate (77), precum și pentru a se asigura că datele cu caracter personal inexacte, incomplete sau care nu mai sunt actualizate nu sunt transmise sau puse la dispoziție în oricare dintre scopurile de asigurare a respectării legii (78).

(46)

În plus, în mod similar cu articolul 7 din Directiva (UE) 2016/680, regimul de protecție a datelor din Regatul Unit prevede că, pe cât posibil, trebuie să se facă o distincție între datele cu caracter personal bazate pe fapte și datele cu caracter personal bazate pe evaluări personale (79). Atunci când este relevant și în măsura posibilului, trebuie făcută o distincție clară între datele cu caracter personal referitoare la diferite categorii de persoane vizate, cum ar fi suspecți, persoane condamnate pentru comiterea unei infracțiuni, victime ale unei infracțiuni și martori (80).

(47)

În conformitate cu articolul 5 din Directiva (UE) 2016/680, în principiu, datele ar trebui să fie păstrate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele cu caracter personal. În conformitate cu secțiunea 39 din DPA din 2018 și în mod similar cu articolul 5 din directiva menționată, este interzisă păstrarea datelor cu caracter personal prelucrate în oricare dintre scopurile de asigurare a respectării legii pe o perioadă care depășește perioada necesară îndeplinirii scopului pentru care sunt prelucrate. Regimul juridic din Regatul Unit impune stabilirea unor termene adecvate pentru revizuirea periodică a necesității de a continua stocarea datelor cu caracter personal pentru oricare dintre scopurile de asigurare a respectării legii. Norme suplimentare privind practicile legate de păstrarea datelor cu caracter personal și termenele aplicabile au fost stabilite în legislația relevantă și în orientările care reglementează competențele și funcționarea serviciului de poliție. De exemplu, în Anglia și Țara Galilor, Codul de bune practici privind MoPI al Colegiului de Poliție, împreună cu Orientările APP privind gestionarea informațiilor cu caracter polițienesc, oferă un cadru pentru a asigura un proces coerent de păstrare, revizuire și eliminare bazat pe riscuri pentru gestionarea informațiilor serviciilor de poliție operaționale (81). Acest cadru stabilește așteptări clare în cadrul serviciului cu privire la modul în care ar trebui create, partajate, utilizate și gestionate informațiile la nivelul și între forțele de poliție individuale și alte agenții (82). Poliția trebuie să respecte Codul de bune practici, iar conformitatea este verificată de Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services (83).

(48)

Serviciul de Poliție din Irlanda de Nord (PSNI) nu este obligat prin lege să respecte Codul de bune practici privind MoPI. Cu toate acestea, cadrul MoPI adoptat în 2011 este completat de un manual PSNI (84), care stabilește politici și proceduri privind modul în care Codul de bune practici privind MoPI este aplicat în Irlanda de Nord.

(49)

În Scoția, forțele de poliție se bazează pe procedura operațională standard privind păstrarea evidențelor (SOP) (85), care sprijină politica de gestionare a evidențelor (86) Serviciului de Poliție din Scoția. SOP stabilește norme specifice de păstrare a evidențelor deținute de serviciul de poliție din Scoția.

(50)

În plus față de cerința generală de revizuire a evidențelor care se aplică pe întreg teritoriul Regatului Unit, sunt furnizate detalii suplimentare în normele localizate. Pentru a da câteva exemple, în ceea ce privește Anglia și Țara Galilor, Legea privind funcționarea Poliției și administrarea probelor penale, astfel cum a fost modificată prin Legea din 2012 privind apărarea libertăților (PoFA), prevede păstrarea amprentelor digitale și a profilurilor ADN, precum și un regim specific pentru persoanele fizice care nu au fost condamnate (87). De asemenea, PoFA a creat funcția de comisar pentru păstrarea și utilizarea materialelor biometrice (denumit în continuare „comisarul pentru biometrie”) (88). Normele specifice privind imaginile de custodie sunt prevăzute în revista „Custody Image Review” din 2017 (89). În ceea ce privește Scoția, Legea scoțiană privind procedura penală din 1995 prevede normele pentru obținerea și păstrarea amprentelor digitale și a probelor biologice (90). La fel ca în cazul Angliei și Țării Galilor, legislația reglementează păstrarea datelor biometrice în diferite cazuri (91).

(51)

Datele cu caracter personal ar trebui prelucrate într-un mod care să le asigure securitatea, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale. În acest scop, autoritățile publice trebuie să ia măsurile tehnice sau organizatorice adecvate pentru a proteja datele cu caracter personal împotriva eventualelor amenințări. Aceste măsuri trebuie să fie evaluate luând în considerare cunoștințele actuale și costurile aferente.

(52)

Aceste principii sunt reflectate în secțiunea 40 din DPA din 2018, potrivit căreia, în mod similar cu articolul 4 alineatul (1) litera (f) din Directiva (UE) 2016/680, datele cu caracter personal prelucrate pentru oricare dintre scopurile de asigurare a respectării legii trebuie prelucrate într-un mod care să asigure securitatea adecvată a datelor cu caracter personal, prin luarea de măsuri tehnice sau organizatorice corespunzătoare. Aceasta include protecția datelor împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale (92). Secțiunea 66 din DPA din 2018 precizează în continuare că fiecare operator și fiecare persoană împuternicită de operator trebuie să pună în aplicare măsuri tehnice și organizatorice corespunzătoare pentru a asigura un nivel de securitate corespunzător riscurilor care decurg din prelucrarea datelor cu caracter personal. Conform notelor explicative, operatorul trebuie să evalueze riscurile și să pună în aplicare măsuri de securitate corespunzătoare pe baza acestei evaluări, de exemplu criptarea sau niveluri specifice de autorizare de securitate pentru personalul care prelucrează datele (93). De asemenea, evaluarea trebuie să țină seama, de exemplu, de natura datelor prelucrate și de orice alți factori sau circumstanțe relevante care ar putea afecta securitatea prelucrării.

(53)

Regimul care reglementează respectarea principiilor de securitate a datelor este foarte asemănător cu cel stabilit la articolele 29-31 din Directiva (UE) 2016/680. În special, în cazul unei încălcări a securității datelor cu caracter personal în legătură cu datele cu caracter personal pentru care operatorul este responsabil, în conformitate cu secțiunea 67 punctul 1 din DPA din 2018, operatorul trebuie, fără întârzieri nejustificate și, dacă este posibil, în termen de 72 de ore de la data la care a luat cunoștință de încălcare, să notifice încălcarea securității datelor cu caracter personal comisarului pentru informații (94). Obligația de notificare nu se aplică atunci când este puțin probabil ca încălcarea securității datelor cu caracter personal să genereze un risc pentru drepturile și libertățile persoanelor fizice (95). Operatorul trebuie să documenteze faptele referitoare la eventuale încălcări ale securității datelor cu caracter personal, efectele acesteia și măsurile de remediere adoptate într-un mod care să permită comisarului pentru informații să verifice conformitatea cu DPA (96). În cazul în care o persoană împuternicită de operator ia cunoștință de o încălcare a securității, aceasta trebuie să informeze operatorul fără întârzieri nejustificate (97).

(54)

În conformitate cu secțiunea 68 punctul 1 din DPA din 2018, în cazul în care o încălcare a securității datelor cu caracter personal este susceptibilă să prezinte un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul trebuie să informeze persoana vizată cu privire la încălcare, fără întârzieri nejustificate (98). Notificarea trebuie să includă aceleași informații ca și notificarea către comisarul pentru informații descrisă în considerentul 53. Această obligație nu se aplică în cazul în care operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcare. De asemenea, nu se aplică în cazul în care operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu mai este susceptibil să se materializeze. În cele din urmă, operatorul nu are obligația de a notifica persoana vizată în cazul în care acest lucru ar implica un efort disproporționat (99). În acest caz, informațiile trebuie puse la dispoziția persoanei vizate într-un alt mod la fel de eficient, de exemplu, prin intermediul unei comunicări publice (100). În cazul în care operatorul nu a informat persoana vizată cu privire la încălcare, comisarul pentru informații, după ce a fost notificat în temeiul secțiunii 67 din DPA și după analizarea probabilității încălcării care generează un risc ridicat, poate solicita operatorului să notifice persoana vizată cu privire la încălcare (101).

(55)

Persoanele vizate trebuie să fie informate cu privire la principalele caracteristici ale prelucrării datelor lor cu caracter personal. Acest principiu privind protecția datelor este reflectat în secțiunea 44 din DPA din 2018, care, în mod similar cu articolul 13 din Directiva (UE) 2016/680, prevede că operatorul are obligația generală de a pune la dispoziția persoanelor vizate informații privind prelucrarea datelor lor cu caracter personal (fie prin punerea informațiilor la dispoziția publicului larg, fie prin orice alt mijloc) (102). Printre informațiile care trebuie puse la dispoziție se numără (a) identitatea și datele de contact ale operatorului; (b) datele de contact ale responsabilului cu protecția datelor, după caz; (c) scopurile în care sunt prelucrate datele cu caracter personal; (d) existența drepturilor persoanelor vizate de a solicita operatorului acces la datele cu caracter personal, rectificarea datelor cu caracter personal și ștergerea datelor cu caracter personal sau restricționarea prelucrării acestora și (e) existența dreptului de a depune o plângere în fața comisarului pentru informații și datele de contact ale comisarului (103).

(56)

De asemenea, în cazuri specifice pentru a permite exercitarea drepturilor unei persoane vizate în temeiul DPA din 2018 (de exemplu, atunci când datele cu caracter personal care sunt prelucrate au fost colectate fără cunoștința persoanei vizate), operatorul trebuie să furnizeze persoanei vizate informații cu privire la (a) temeiul juridic al prelucrării; (b) informații cu privire la perioada pentru care vor fi stocate datele cu caracter personal sau, în cazul în care nu este posibil, criteriile utilizate pentru a stabili respectiva perioadă; (c) dacă este cazul, informații cu privire la categoriile de destinatari ai datelor cu caracter personal (inclusiv destinatarii din țări terțe sau organizații internaționale); (d) informații suplimentare necesare pentru a permite exercitarea drepturilor persoanei vizate în temeiul părții 3 din DPA din 2018 (104).

(57)

Persoanelor vizate trebuie să li se acorde o serie de drepturi opozabile. Partea 3 capitolul 3 din DPA din 2018 oferă persoanelor fizice drepturi de acces, de rectificare, de ștergere și de restricționare (105), care sunt comparabile cu cele prevăzute în capitolul 3 din Directiva (UE) 2016/680.

(58)

Dreptul de acces este prevăzut la secțiunea 45 din DPA din 2018. În primul rând, o persoană fizică are dreptul de a obține o confirmare din partea operatorului dacă datele sale cu caracter personal sunt prelucrate sau nu (106). În al doilea rând, în cazul în care datele cu caracter personal sunt prelucrate, persoana vizată are dreptul de a accesa datele respective și de a primi următoarele informații cu privire la prelucrare: (a) scopurile și temeiurile juridice ale prelucrării; (b) categoriile de date în cauză; (c) destinatarul căruia i-au fost divulgate datele; (d) perioada de stocare a datelor cu caracter personal; (e) existența dreptului persoanei vizate la rectificarea și ștergerea datelor cu caracter personal; (f) dreptul de a depune o plângere și (g) orice informație privind originea datelor cu caracter personal în cauză (107).

(59)

În conformitate cu secțiunea 46 din DPA din 2018, persoana vizată are dreptul de a solicita operatorului să rectifice datele cu caracter personal inexacte care o privesc. Operatorul trebuie să rectifice datele (sau, în cazul în care datele sunt inexacte deoarece sunt incomplete, să le completeze), fără întârzieri nejustificate. Dacă datele cu caracter personal trebuie să fie păstrate ca mijloace de probă, operatorul trebuie (în loc să rectifice datele cu caracter personal) să restricționeze prelucrarea acestora (108).

(60)

Secțiunea 47 din DPA din 2018 oferă persoanelor fizice dreptul la ștergerea datelor și la restricționarea prelucrării. Operatorul trebuie (109) să șteargă datele cu caracter personal fără întârzieri nejustificate în cazul în care prelucrarea datelor cu caracter personal ar încălca oricare dintre principiile privind protecția datelor, temeiurile juridice ale prelucrării sau garanțiile legate de arhivare și de prelucrarea datelor sensibile. De asemenea, operatorul trebuie să șteargă datele dacă are o obligație legală în acest sens. Dacă datele cu caracter personal trebuie să fie păstrate ca mijloace de probă, operatorul trebuie (în loc să șteargă datele cu caracter personal) să restricționeze prelucrarea acestora (110). Operatorul trebuie să restricționeze prelucrarea datelor cu caracter personal în cazul în care o persoană vizată contestă exactitatea datelor cu caracter personal, dar nu este posibil să se stabilească dacă datele sunt exacte sau nu (111).

(61)

În cazul în care o persoană vizată solicită rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării acestora, operatorul trebuie să informeze în scris persoana vizată dacă cererea a fost aprobată și, în cazul în care a fost refuzată, să informeze persoana vizată cu privire la motivele refuzului și căile de atac disponibile (dreptul persoanei vizate de a adresa o cerere comisarului pentru informații pentru a investiga dacă restricția a fost aplicată în mod legal, dreptul de a depune o plângere la comisarul pentru informații și dreptul de a solicita un ordin de conformitate unei instanțe) (112).

(62)

În cazul în care operatorul rectifică datele cu caracter personal primite de la o altă autoritate competentă, acesta trebuie să informeze cealaltă autoritate (113). În cazul în care operatorul rectifică, șterge sau restricționează prelucrarea datelor cu caracter personal care au fost dezvăluite de către operator, operatorul trebuie să informeze destinatarii, iar destinatarii trebuie, în mod similar, să rectifice, să șteargă sau să restricționeze prelucrarea datelor cu caracter personal (în măsura în care aceștia își păstrează responsabilitățile în acest sens) (114).

(63)

În plus, persoana vizată are dreptul de a fi informată fără întârzieri nejustificate de către operator cu privire la o încălcare a securității datelor cu caracter personal atunci când este posibil ca aceasta să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice (115).

(64)

În ceea ce privește toate aceste drepturi ale persoanei vizate și în mod similar cu ceea ce se prevede la articolul 12 din Directiva (UE) 2016/680, operatorul are obligația de a se asigura că orice informație adresată persoanei vizate este furnizată într-o formă concisă, inteligibilă și ușor accesibilă (116) și, dacă este posibil, că informațiile ar trebui transmise în același format în care a fost primită cererea (117). Operatorul trebuie să se conformeze unei cereri a persoanei vizate fără întârzieri nejustificate sau, în orice caz, înainte, în principiu, de sfârșitul unei perioade de o lună de la depunerea cererii (118). În cazul în care operatorul are îndoieli întemeiate cu privire la identitatea unei persoane fizice, acesta poate solicita informații suplimentare și poate întârzia tratarea cererii până la stabilirea identității. Operatorul poate solicita o taxă rezonabilă sau poate refuza să acționeze atunci când consideră cererea ca fiind vădit nefondată (119). ICO a furnizat orientări cu privire la momentul în care o cerere este considerată în mod evident nefondată sau excesivă și cu privire la momentul în care poate fi solicitată o taxă (120).

(65)

În plus, în temeiul secțiunii 53 punctul 4 din DPA din 2018, secretarul de stat poate stabili, prin reglementări, cuantumul maxim al unei taxe.

(66)

În anumite circumstanțe, o autoritate competentă poate restricționa anumite drepturi ale persoanei vizate: dreptul de acces (121), de a fi informat (122), de a avea cunoștință cu privire la o încălcare a securității datelor cu caracter personal (123) și de a fi informat cu privire la motivul respingerii unei cereri de rectificare sau de ștergere (124). În mod similar cu regimul prevăzut în capitolul III din Directiva (UE) 2016/680, autoritatea competentă poate aplica restricția numai în cazul în care, având în vedere drepturile fundamentale și interesele legitime ale persoanei vizate, aceasta este necesară și proporțională: (a) pentru a nu obstrucționa cercetări, investigații sau proceduri oficiale ori judiciare; (b) pentru a nu prejudicia prevenirea, detectarea, investigarea sau urmărirea penală a infracțiunilor sau executarea sancțiunilor penale; (c) pentru a proteja securitatea publică; (d) pentru a proteja securitatea națională; (e) pentru a proteja drepturile și libertățile celorlalți.

(67)

ICO a furnizat orientări cu privire la aplicarea acestor restricții. Potrivit acestor orientări, operatorii trebuie să efectueze o analiză de la caz la caz pentru a echilibra drepturile persoanei fizice cu prejudiciul cauzat de divulgare. În special, aceștia trebuie să justifice orice restricție aplicată ca fiind necesară și proporțională și pot limita ceea ce este prevăzut numai în cazul în care aceasta ar aduce atingere scopurilor menționate anterior (125).

(68)

Există, de asemenea, o serie de alte orientări emise de autoritățile competente care oferă informații detaliate cu privire la toate aspectele legislației privind protecția datelor, inclusiv cu privire la aplicarea restricțiilor privind drepturile persoanelor vizate (126). De exemplu, în ceea ce privește secțiunea 45 punctul 4, Manualul privind protecția datelor elaborat de Consiliul național al responsabililor serviciilor de poliție prevede: „Este important de remarcat faptul că restricțiile pot fi aplicate numai în măsura în care este necesar și pot fi aplicate numai atât timp cât este necesar. Prin urmare, nu este permisă o aplicare generalizată a restricției la toate datele cu caracter personal ale solicitantului sau aplicarea permanentă a restricției. În ceea ce privește acest din urmă punct, este adesea necesar ca datele cu caracter personal colectate fără cunoștința persoanei vizate care are calitatea de suspect în cadrul unei anchete să fie protejate inițial împotriva divulgării lor, pentru a evita prejudicierea anchetei în timpul desfășurării anchetei, dar la o dată ulterioară nu ar exista niciun prejudiciu din cauza divulgării în cazul în care datele cu caracter personal ar fi fost divulgate persoanei fizice în timpul interviului. Forțele de poliție trebuie să adopte proceduri care să asigure aplicarea acestor restricții numai în măsura necesară și numai pe durata necesară” (127). Aceste orientări oferă, de asemenea, exemple de situații în care este probabil ca fiecare dintre restricții să fie aplicată (128).

(69)

În plus, în ceea ce privește posibilitatea de a restricționa oricare dintre drepturile menționate mai sus pentru protecția „securității naționale”, un operator poate solicita un certificat semnat de un ministru din cadrul Cabinetului sau de procurorul general (sau de avocatul general pentru Scoția) care să ateste că restricționarea acestor drepturi este o măsură necesară și proporțională pentru protecția securității naționale (129). Guvernul Regatului Unit a emis orientări privind certificatele de securitate națională în temeiul DPA din 2018, care subliniază în special faptul că orice limitare a drepturilor persoanelor vizate în ceea ce privește protejarea securității naționale trebuie să fie proporțională și necesară (130) (pentru mai multe detalii privind certificatele de securitate națională, a se vedea considerentele 131-134).

(70)

În plus, în cazul în care se aplică o restricție a dreptului unei persoane vizate, autoritatea competentă trebuie să informeze persoana vizată, fără întârzieri nejustificate, că drepturile sale au fost restricționate, motivele restricționării și căile de atac disponibile, cu excepția cazului în care furnizarea informațiilor respective ar submina motivul aplicării restricției (131). Ca o garanție suplimentară împotriva utilizării abuzive a restricțiilor, operatorul trebuie să înregistreze motivele restricționării informațiilor și să pună evidențele la dispoziția comisarului pentru informații, la cerere (132).

(71)

În cazul în care operatorul refuză să furnizeze informații suplimentare privind transparența, sau accesul, ori refuză o cerere de rectificare, ștergere sau restricționare a prelucrării, persoana fizică poate solicita comisarului pentru informații să investigheze dacă operatorul a utilizat restricția în mod legal (133). De asemenea, persoana vizată poate depune o plângere la comisarul pentru informații sau poate sesiza o instanță să oblige operatorul să dea curs cererii (134).

(72)

Secțiunile 49 și 50 din DPA din 2018 reglementează drepturile legate de procesul decizional automatizat și, respectiv, garanțiile care trebuie aplicate (135). În mod similar cu articolul 11 din Directiva (UE) 2016/680, operatorul poate lua o decizie semnificativă bazată exclusiv pe prelucrarea automată a datelor cu caracter personal numai dacă acest lucru este prevăzut sau autorizat prin lege (136). O decizie este semnificativă dacă ar produce un efect juridic negativ asupra persoanei vizate sau ar afecta în mod semnificativ persoana vizată (137).

(73)

În cazul în care operatorul este obligat sau autorizat prin lege să ia o decizie semnificativă, secțiunea 50 din DPA din 2018 prevede garanțiile care se vor aplica unei astfel de decizii (care este definită ca o „decizie semnificativă eligibilă”). În cel mai scurt timp posibil din punct de vedere practic, operatorul trebuie să informeze persoana vizată cu privire la luarea unei astfel de decizii. Persoana vizată poate apoi, în termen de o lună, să solicite operatorului să reexamineze decizia sau să ia o nouă decizie care nu se bazează exclusiv pe prelucrarea automată. Operatorul trebuie să analizeze cererea și să informeze persoana vizată cu privire la rezultatul acestei analize. DPA din 2018 conferă secretarului de stat competența de a adopta regulamente pentru garanții suplimentare (138). Până în prezent nu au fost adoptate astfel de regulamente.

(74)

Nivelul de protecție acordat datelor cu caracter personal transferate de la o autoritate de aplicare a legii a unui stat membru către o autoritate de aplicare a legii din Regatul Unit nu trebuie să fie subminat de transferul suplimentar al acestor date către destinatari dintr-o țară terță. Astfel de „transferuri ulterioare”, care, din perspectiva unei autorități de aplicare a legii din Regatul Unit, constituie transferuri internaționale din Regatul Unit, ar trebui să fie permise numai în cazul în care destinatarul suplimentar din afara Regatului Unit intră el însuși sub incidența unor norme care asigură un nivel de protecție similar cu cel garantat în cadrul ordinii juridice a Regatului Unit.

(75)

Regimul din Regatul Unit privind transferurile internaționale este reglementat de partea 3 capitolul 5 din DPA din 2018 (139) și reflectă abordarea adoptată în capitolul V din Directiva (UE) 2016/680. În special, pentru a transfera date cu caracter personal către o țară terță, o autoritate competentă trebuie să îndeplinească trei condiții: (a) transferul trebuie să fie necesar în scopul asigurării respectării legii; (b) transferul trebuie să se bazeze pe: (i) un regulament privind caracterul adecvat al nivelului de protecție în ceea ce privește țara terță, (ii) dacă nu se bazează pe un regulament privind caracterul adecvat al nivelului de protecție, existența unor garanții adecvate sau (iii) dacă nu se bazează pe o decizie privind caracterul adecvat al nivelului de protecție sau pe garanții adecvate, acesta trebuie să se întemeieze pe circumstanțe speciale: și (c) destinatarul transferului trebuie să fie: (i) o autoritate relevantă (și anume echivalentul unei autorități competente) din țara terță; (ii) o „organizație internațională relevantă”, de exemplu un organism internațional care îndeplinește funcții corespunzătoare oricăruia dintre scopurile de asigurare a respectării legii; sau (iii) o persoană, alta decât o autoritate relevantă, dar numai în cazul în care transferul este strict necesar pentru îndeplinirea unuia dintre scopurile de asigurare a respectării legii; niciunul dintre drepturile și libertățile fundamentale ale persoanei vizate în cauză nu prevalează în fața interesului public care necesită transferul; transferul datelor cu caracter personal către o autoritate relevantă din țara terță ar fi ineficient sau inadecvat; iar destinatarul este informat cu privire la scopurile în care datele pot fi prelucrate (140).

(76)

Secretarul de stat adoptă reglementări privind caracterul adecvat al nivelului de protecție în ceea ce privește o țară terță, un teritoriu sau un sector dintr-o țară terță, o organizație internațională sau o descriere (141) a țării, teritoriului, sectorului sau organizației respective. În ceea ce privește standardul care trebuie îndeplinit, secretarul de stat trebuie să evalueze dacă un astfel de teritoriu/sector sau o astfel de organizație asigură un nivel adecvat de protecție a datelor cu caracter personal. Secțiunea 74A punctul 4 din DPA din 2018 prevede că, în acest scop, secretarul de stat trebuie să ia în considerare o serie de elemente care le reflectă pe cele enumerate la articolul 36 din Directiva (UE) 2016/680 (142). În acest sens, de la încheierea perioadei de tranziție, partea 3 din DPA din 2018 constituie „legislație națională derivată din dreptul Uniunii” care, astfel cum s-a explicat, va fi interpretată de instanțele din Regatul Unit în conformitate cu jurisprudența relevantă a Curții de Justiție din perioada anterioară ieșirii Regatului Unit din Uniune și cu principiile generale ale dreptului Uniunii, întrucât acestea au produs efecte imediat înainte de încheierea perioadei de tranziție. Aceasta include standardul „echivalenței esențiale” care se va aplica, prin urmare, evaluărilor privind caracterul adecvat al nivelului de protecție efectuate de autoritățile Regatului Unit.

(77)

În ceea ce privește procedura, regulamentele fac obiectul cerințelor de procedură „generale” prevăzute în secțiunea 182 din DPA din 2018. În cadrul acestei proceduri, secretarul de stat trebuie să consulte comisarul pentru informații atunci când propune elaborarea unor viitoare regulamente ale Regatului Unit privind caracterul adecvat al nivelului de protecție (143). Odată adoptate de secretarul de stat, aceste regulamente sunt prezentate Parlamentului și fac obiectul procedurii de „rezoluție negativă”, în cadrul căreia ambele camere ale Parlamentului pot examina regulamentul și pot adopta o propunere de anulare a regulamentului în termen de 40 de zile (144).

(78)

În conformitate cu secțiunea 74B punctul 1 din DPA din 2018, regulamentele privind caracterul adecvat al nivelului de protecție trebuie revizuite la intervale de cel mult patru ani, iar secretarul de stat trebuie să monitorizeze în permanență evoluțiile din țările terțe și la nivelul organizațiilor internaționale, care ar putea afecta deciziile de adoptare a unor regulamente privind caracterul adecvat al nivelului de protecție sau de modificare sau de revocare a unor astfel de regulamente. În cazul în care secretarul de stat constată că o anumită țară sau organizație nu mai asigură un nivel adecvat de protecție a datelor cu caracter personal, acesta trebuie, în măsura în care este necesar, să modifice sau să revoce regulamentele și să inițieze consultări cu țara terță sau cu organizația internațională în cauză pentru a remedia lipsa unui nivel adecvat de protecție.

(79)

În mod similar cu prevederile articolului 37 din Directiva (UE) 2016/680, în absența unui regulament privind caracterul adecvat al nivelului de protecție, un transfer de date cu caracter personal în contextul sectorului asigurării respectării legii ar fi posibil atunci când sunt instituite garanții adecvate. Aceste garanții sunt asigurate fie prin (a) un act juridic obligatoriu care conține garanții adecvate pentru protecția datelor cu caracter personal, fie prin (b) o evaluare efectuată de operator care, după evaluarea tuturor circumstanțelor legate de transfer, concluzionează că există garanții adecvate pentru protecția datelor (145). În plus, atunci când transferurile se bazează pe garanții adecvate, DPA din 2018 prevede că, pe lângă rolul normal de supraveghere al ICO, autoritățile competente trebuie să furnizeze informații specifice cu privire la transferurile către ICO (146).

(80)

În cazul în care un transfer nu se bazează pe o decizie privind caracterul adecvat al nivelului de protecție sau pe garanții adecvate, acesta poate avea loc numai în anumite circumstanțe specificate, denumite „circumstanțe speciale” (147). Acest lucru este valabil atunci când transferul este necesar: (a) pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane; (b) pentru protejarea intereselor legitime ale persoanei vizate; (c) pentru prevenirea unei amenințări imediate și grave la adresa securității publice a unei țări terțe; (d) în cazuri individuale, în oricare dintre scopurile de asigurare a respectării legii; sau (e) în cazuri individuale, în scopuri juridice (de exemplu, în legătură cu proceduri judiciare sau pentru obținerea de consultanță juridică) (148). Se poate observa că literele (d) și (e) nu se aplică dacă drepturile și libertățile persoanei vizate prevalează asupra interesului public în ceea ce privește transferul (149). Acest set de circumstanțe corespunde situațiilor și condițiilor specifice care se califică drept „derogări” în temeiul articolului 38 din Directiva (UE) 2016/680.

(81)

În aceste condiții, data, ora și motivul transferului, numele și orice altă informație pertinentă cu privire la destinatar, precum și o descriere a datelor cu caracter personal transferate trebuie să fie documentate și furnizate, la cerere, comisarului pentru informații (150).

(82)

Secțiunea 78 din DPA din 2018 reglementează scenariul „transferurilor ulterioare”, și anume atunci când datele cu caracter personal care au fost transferate din Regatul Unit către o țară terță sunt transferate ulterior către o altă țară terță sau către o organizație internațională. În conformitate cu secțiunea 78 punctul 1, operatorul care efectuează transferul din Regatul Unit trebuie să impună în cadrul transferului o condiție ca datele să nu fie transferate ulterior către o țară terță fără autorizarea operatorului care efectuează transferul. În plus, în conformitate cu secțiunea 78 punctul 3 și în mod similar cu ceea ce se prevede la articolul 35 alineatul (1) litera (e) din Directiva (UE) 2016/680, în cazul în care o astfel de autorizație este necesară, se aplică o serie de cerințe de fond. Mai precis, atunci când decide dacă să autorizeze sau nu transferul, o autoritate competentă trebuie să se asigure că transferul ulterior este necesar în scopul asigurării respectării legii și ar trebui să ia în considerare, printre alți factori, (a) gravitatea circumstanțelor care au condus la cererea de autorizare, (b) scopul pentru care datele cu caracter personal au fost transferate inițial și (c) standardele de protecție a datelor cu caracter personal care se aplică în țara terță sau în organizația internațională către care ar urma să fie transferate datele cu caracter personal.

(83)

În plus, atunci când persoana vizată de un transfer ulterior din Regatul Unit a fost inițial transferată din Uniunea Europeană, se aplică garanții suplimentare.

(84)

În primul rând, secțiunea 73 punctul 1 litera (b) din DPA din 2018 prevede – în mod similar cu articolul 35 alineatul (1) litera (c) din Directiva (UE) 2016/680 – că, în cazul în care datele cu caracter personal au fost transmise inițial sau puse în alt mod la dispoziția operatorului sau a unei alte autorități competente de către un stat membru, acel stat membru sau orice persoană cu sediul în statul membru respectiv care este o autoritate competentă în sensul Directivei (UE) 2016/680 trebuie să fi autorizat transferul în conformitate cu legislația statului membru.

(85)

Cu toate acestea, în mod similar cu articolul 35 alineatul (2) din Directiva (UE) 2016/680, o astfel de autorizare nu este obligatorie atunci când (a) transferul este necesar pentru prevenirea unei amenințări imediate și grave la adresa securității publice a unui stat membru sau a unei țări terțe sau a intereselor fundamentale ale unui stat membru, iar (b) autorizarea nu poate fi obținută în timp util. În acest caz, autoritatea din statul membru care ar fi fost responsabilă de decizia de autorizare a transferului trebuie informată fără întârziere (151).

(86)

În al doilea rând, aceeași abordare se aplică în cazul datelor transferate inițial din Uniunea Europeană către Regatul Unit, apoi transferate ulterior de Regatul Unit către o țară terță care le-ar transfera ulterior unei alte țări terțe. În acest caz, în conformitate cu secțiunea 78 punctul 4, autoritatea competentă din Regatul Unit nu poate autoriza acest din urmă transfer, în temeiul articolului 78 alineatul (1), cu excepția cazului în care „statul membru [care a transferat inițial datele în cauză] sau orice persoană cu sediul în statul membru respectiv care este o autoritate competentă în sensul Directivei privind protecția datelor în materie de asigurare a respectării legii a autorizat transferul în conformitate cu dreptul statului membru”. Aceste garanții sunt importante, deoarece permit autorităților statelor membre să asigure continuitatea protecției, în conformitate cu legislația UE privind protecția datelor, de-a lungul „lanțului de transfer”.

(87)

Acest nou cadru pentru transferurile internaționale a devenit aplicabil la sfârșitul perioadei de tranziție (152). Cu toate acestea, punctele 10-12 din anexa 21 (introduse prin regulamentele DPPC) prevăd că, la sfârșitul perioadei de tranziție, anumite transferuri de date cu caracter personal sunt tratate ca și cum s-ar baza pe regulamente privind caracterul adecvat al nivelului de protecție. Aceste transferuri includ transferurile către un stat membru, un stat AELS, o țară terță care face obiectul unei decizii a UE privind caracterul adecvat al nivelului de protecție la încheierea perioadei de tranziție, precum și teritoriul Gibraltarului. În consecință, transferurile către aceste țări pot continua la fel ca înainte de retragerea Regatului Unit din Uniune. După încheierea perioadei de tranziție, secretarul de stat trebuie să efectueze o revizuire a acestor constatări privind caracterul adecvat al nivelului de protecție pe o perioadă de patru ani, și anume până la sfârșitul lunii decembrie 2024. Potrivit explicației furnizate de autoritățile Regatului Unit, deși secretarul de stat trebuie să efectueze o astfel de revizuire până la sfârșitul lunii decembrie 2024, dispozițiile tranzitorii nu includ o dispoziție de caducitate, iar dispozițiile tranzitorii relevante nu vor înceta în mod automat să producă efecte dacă revizuirea nu este finalizată până la sfârșitul lunii decembrie 2024.

(88)

Conform principiului responsabilității, autorităților publice care prelucrează date li se solicită să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a-și respecta în mod efectiv obligațiile în materie de protecție a datelor și pentru a putea demonstra această conformitate, în special autorității de supraveghere competente.

(89)

Acest principiu este reflectat în secțiunea 56 din DPA din 2018, care introduce o obligație generală de responsabilitate pentru operator, și anume obligația de a pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura și a fi în măsură să demonstreze că prelucrarea datelor cu caracter personal respectă cerințele părții 3 din DPA din 2018. Măsurile puse în aplicare trebuie să fie revizuite și actualizate atunci când este necesar și, în cazul în care sunt proporționale în materie de prelucrare, trebuie să includă politici adecvate de protecție a datelor.

(90)

În conformitate cu capitolul IV din Directiva (UE) 2016/680, secțiunile 55-71 din DPA din 2018 prevăd diferite mecanisme pentru a asigura responsabilitatea și pentru a permite operatorilor și persoanelor împuternicite de operatori să demonstreze conformitatea. În special, operatorii au obligația de a pune în aplicare măsuri de protecție a datelor începând cu momentul conceperii și în mod implicit, și anume de a se asigura că principiile privind protecția datelor sunt puse în aplicare în mod eficient și au obligația de a menține o evidență a tuturor categoriilor de activități de prelucrare aflate în responsabilitatea operatorului (inclusiv informații privind identitatea operatorului, datele de contact ale responsabilului cu protecția datelor, scopurile prelucrării, categoriile de destinatari ai divulgărilor și o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal), precum și de a păstra aceste evidențe la dispoziția comisarului pentru informații, la cerere. Operatorul și persoana împuternicită de operator trebuie, de asemenea, să înregistreze anumite operațiuni de prelucrare și să pună înregistrările la dispoziția comisarului pentru informații (153). De asemenea, operatorii au obligația specifică de a coopera cu comisarul pentru informații în vederea îndeplinirii sarcinilor acestuia.

(91)

De asemenea, DPA din 2018 stabilește cerințe suplimentare privind prelucrarea, care este posibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. Printre acestea se numără obligația de a efectua evaluări ale impactului asupra protecției datelor și de a consulta comisarul pentru informații înainte de prelucrare, în cazul în care o astfel de evaluare indică faptul că prelucrarea ar genera un risc ridicat la adresa drepturilor și libertăților persoanelor fizice (în absența unor măsuri de atenuare a riscului).

(92)

În plus, operatorii trebuie să numească un responsabil cu protecția datelor, cu excepția cazului în care operatorul este o instanță judecătorească sau o altă autoritate judiciară, care acționează în exercițiul funcției sale judiciare (154). Operatorul trebuie să se asigure că responsabilul cu protecția datelor este implicat în toate aspectele legate de protecția datelor cu caracter personal, are resursele necesare și are acces la datele cu caracter personal și la operațiunile de prelucrare și își poate îndeplini sarcinile în mod independent. Sarcinile responsabilului cu protecția datelor sunt prevăzute în secțiunea 71 din DPA din 2018, inclusiv furnizarea de informații și consiliere, monitorizarea conformității, precum și cooperarea cu comisarul pentru informații și îndeplinirea rolului de punct de contact al acestuia. În îndeplinirea sarcinilor sale, responsabilul cu protecția datelor trebuie să țină seama de riscurile asociate operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.

(93)

Pentru a garanta și în practică un nivel adecvat de protecție a datelor, trebuie instituită o autoritate de supraveghere independentă care să aibă competența de a monitoriza și de a asigura respectarea normelor de protecție a datelor. Această autoritate trebuie să acționeze cu deplină independență și imparțialitate în îndeplinirea sarcinilor sale și în exercitarea competențelor sale.

(94)

În Regatul Unit, supravegherea și asigurarea respectării RGPD al Regatului Unit și a DPA din 2018 sunt efectuate de comisarul pentru informații (155). De asemenea, comisarul pentru informații supraveghează prelucrarea datelor cu caracter personal de către autoritățile competente care intră sub incidența părții 3 din DPA din 2018 (156). Comisarul pentru informații este o „întreprindere individuală” (Corporation Sole): o entitate juridică separată constituită dintr-o singură persoană. Comisarul pentru informații este sprijinit în activitatea sa de un birou. La 31 martie 2020, Biroul comisarului pentru informații avea 768 de angajați permanenți (157). Ministerul finanțator al comisarului pentru informații este Ministerul pentru Digitalizare, Cultură, Mass-Media și Sport (158).

(95)

Independența comisarului este stabilită în mod explicit la articolul 52 din RGPD al Regatului Unit, care reflectă cerințele prevăzute la articolul 52 alineatele (1)-(3) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (159). Comisarul trebuie să beneficieze de independență deplină în îndeplinirea sarcinilor sale și exercitarea competențelor sale în conformitate cu RGPD al Regatului Unit, să rămână independent de orice influență externă directă sau indirectă în legătură cu aceste sarcini și competențe și să nu solicite, nici să nu accepte instrucțiuni de la o parte externă. De asemenea, comisarul trebuie să se abțină de la a întreprinde acțiuni incompatibile cu atribuțiile sale, iar pe durata mandatului, nu desfășoară activități incompatibile, remunerate sau nu.

(96)

Condițiile pentru numirea și revocarea comisarului pentru informații sunt prevăzute în anexa 12 la DPA din 2018. Comisarul pentru informații este numit de Regină la recomandarea Guvernului, în urma unui concurs general echitabil. Candidatul trebuie să dețină calificările, aptitudinile și competențele corespunzătoare. În conformitate cu Codul de guvernanță privind numirile publice (160), o listă de candidați care pot fi numiți este întocmită de un comitet consultativ de evaluare. Înainte ca secretarul de stat din cadrul Ministerului pentru Digitalizare, Cultură, Mass-Media și Sport să ia o decizie finală, comisia specială competentă din cadrul Parlamentului trebuie să efectueze un control prealabil numirii. Poziția Comitetului este făcută publică (161).

(97)

Comisarul pentru informații are un mandat de până la șapte ani. Comisarul pentru informații poate fi revocat din funcție de Majestatea Sa în urma unei propuneri („address”) formulate de ambele camere ale Parlamentului (162). Nicio cerere de revocare a comisarului pentru informații nu poate fi prezentată niciunei camere a Parlamentului decât în cazul în care un ministru a prezentat un raport camerei respective în care afirmă că este convins că comisarul pentru informații este vinovat de comiterea unei abateri grave și/sau comisarul nu mai îndeplinește condițiile necesare pentru exercitarea funcțiilor sale (163).

(98)

Finanțarea comisarului pentru informații provine din trei surse: (i) taxele pentru protecția datelor plătite de operatori, care sunt stabilite prin regulamentele secretarului de stat (164) și se ridică la 85-90 % din bugetul anual al Biroului (165); (ii) grantul sub formă de ajutor care poate fi plătit de guvern comisarului pentru informații și este utilizat în principal pentru finanțarea cheltuielilor de funcționare ale comisarului pentru informații în ceea ce privește sarcinile care nu au legătură cu protecția datelor (166) și (iii) taxele percepute pentru servicii (167). În prezent, nu se percep astfel de taxe.

(99)

Funcțiile generale ale comisarului pentru informații în ceea ce privește prelucrarea datelor cu caracter personal care intră sub incidența părții 3 din DPA din 2018 sunt prevăzute în anexa 13 la DPA din 2018. Sarcinile includ monitorizarea și punerea în aplicare a părții 3 din DPA din 2018, promovarea sensibilizării publicului, consilierea Parlamentului, a guvernului și a altor instituții cu privire la măsurile legislative și administrative, promovarea sensibilizării operatorilor și a persoanelor împuternicite de operatori cu privire la obligațiile ce le revin, furnizarea de informații unei persoane vizate cu privire la exercitarea drepturilor persoanei vizate și desfășurarea de anchete. Pentru a menține independența sistemului judiciar, comisarul pentru informații nu este autorizat să își exercite funcțiile în legătură cu prelucrarea datelor cu caracter personal de către o persoană care acționează în exercițiul unei funcții judiciare sau de către o instanță sau tribunal care acționează în exercițiul funcției sale judiciare. Cu toate acestea, supravegherea sistemului judiciar este asigurată de organisme specializate, abordate în continuare.

(100)

Comisarul are competențe generale de investigare, de corecție, de autorizare și de consiliere în ceea ce privește prelucrarea datelor cu caracter personal cărora li se aplică partea 3 din DPA din 2018. Comisarul are competența de a notifica operatorul sau persoana împuternicită de operator cu privire la o presupusă încălcare a părții 3, de a emite avertismente în atenția unui operator sau a unei persoane împuternicite de operator cu privire la posibilitatea ca operațiunile de prelucrare prevăzute să încalce dispozițiile părții 3, precum și de a emite mustrări adresate unui operator sau unei persoane împuternicite de operator în cazul în care operațiunile de prelucrare au încălcat dispozițiile părții 3. În plus, din proprie inițiativă sau la cerere, comisarul poate emite avize adresate Parlamentului Regatului Unit, guvernului sau altor instituții și organisme, precum și publicului, cu privire la orice aspect legat de protecția datelor cu caracter personal (168).

(101)

În plus, comisarul are competența de:

(102)

Politica ICO privind acțiunile de reglementare stabilește circumstanțele în care comisarul va emite o notificare de informare, de evaluare, de executare și, respectiv, de sancționare (173). O notificare de executare poate impune cerințe pe care comisarul le consideră adecvate în scopul remedierii neîndeplinirii obligațiilor. O notificare de sancționare impune persoanei în cauză să plătească comisarului pentru informații o sumă specificată în notificare. O notificare de sancționare poate fi transmisă în cazul nerespectării anumitor dispoziții ale DPA din 2018 (174) sau poate fi transmisă unui operator sau unei persoane împuternicite de operator care nu a respectat o notificare de informare, o notificare de evaluare sau o notificare de executare.

(103)

Mai precis, atunci când stabilește dacă să transmită o notificare de sancționare unui operator sau unei persoane împuternicite de operator și cuantumul sancțiunii, comisarul pentru informații trebuie să aibă în vedere aspectele enumerate în secțiunea 155 punctul 3 din DPA din 2018, inclusiv natura și gravitatea situației de nerespectare, caracterul intenționat sau neglijent al nerespectării, orice acțiuni întreprinse de operator sau de persoana împuternicită de operator pentru a reduce prejudiciile suferite de persoanele vizate, gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator (ținându-se seama de măsurile tehnice și organizatorice puse în aplicare de operator sau de persoana împuternicită de operator), eventuale încălcări anterioare relevante comise de operator sau de persoana împuternicită de operator; categoriile de date cu caracter personal afectate de situația de nerespectare și dacă sancțiunea ar fi eficace, proporțională și disuasivă.

(104)

Cuantumul maxim al sancțiunii care poate fi impusă printr-o notificare de sancționare este de (a) 17 500 000 GBP pentru nerespectarea principiilor privind protecția datelor (secțiunile 35, 36, 37, secțiunea 38 punctul 1, secțiunea 39 punctul 1 și secțiunea 40 din DPA din 2018), a obligațiilor de transparență și a drepturilor individuale (secțiunile 44, 45, 46, 47, 48, 49, 52 și 53 din DPA din 2018) și a principiilor privind transferurile internaționale de date cu caracter personal (secțiunile 73, 75, 76, 77 sau 78 din DPA din 2018); și (b) 8 700 000 GBP în caz contrar (175). În cazul nerespectării unei notificări de informare, a unei notificări de evaluare sau a unei notificări de executare, cuantumul maxim al sancțiunii care poate fi impusă printr-o notificare de sancționare este de 17 500 000 GBP.

(105)

Conform ultimelor sale rapoarte anuale [2018-2019 (176), 2019-2020 (177)], comisarul pentru informații a efectuat o serie de investigații în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile de asigurare a respectării dreptului penal. De exemplu, comisarul a efectuat o investigație și a publicat un aviz în octombrie 2019 în ceea ce privește utilizarea de către autoritățile de aplicare a legii a tehnologiei de recunoaștere facială în locuri publice. Investigația s-a axat cu precădere pe utilizarea capacităților de recunoaștere facială în direct de către poliția din sudul Țării Galilor și de către Serviciul de poliție metropolitană (MPS). În plus, comisarul a investigat „matricea Gangs” (178) a MPS și a constatat o serie de încălcări grave ale legislației privind protecția datelor, care erau de natură să submineze încrederea publicului în matrice și în utilizarea datelor.

(106)

În noiembrie 2018, comisarul pentru informații a emis o notificare de executare, iar ulterior MPS a luat măsurile necesare pentru a spori securitatea și responsabilitatea și pentru a se asigura că datele sunt utilizate în mod proporțional.

(107)

Un alt exemplu de acțiune recentă de asigurare a respectării legii este amenda de 325 000 GBP aplicată ministerului public de către comisar în luna mai 2018, pentru pierderea unor DVD-uri necriptate care conțineau înregistrări ale interogatoriilor efectuate de poliție. Pe lângă acestea, comisarul pentru informații a desfășurat investigații cu privire la subiecte mai ample, de exemplu în prima jumătate a anului 2020, cu privire la utilizarea criminalisticii mobile în scopuri polițienești și la prelucrarea datelor victimelor de către poliție.

(108)

Pe lângă competențele comisarului pentru informații în materie de asigurare a respectării legii, anumite încălcări ale legislației privind protecția datelor constituie infracțiuni și, prin urmare, pot face obiectul unor sancțiuni penale (secțiunea 196 din DPA din 2018). Acest lucru se aplică, de exemplu, obținerii sau divulgării datelor cu caracter personal fără consimțământul operatorului și permiterii divulgării datelor cu caracter personal unei alte persoane fără consimțământul operatorului (179); reidentificării informațiilor care sunt date cu caracter personal anonimizate fără consimțământul operatorului responsabil de anonimizarea datelor cu caracter personal (180); împiedicării intenționate a comisarului de a-și exercita competențele în ceea ce privește examinarea datelor cu caracter personal în conformitate cu obligațiile internaționale (181), prezentării de declarații false ca răspuns la o notificare de informare sau distrugerii informațiilor în legătură cu notificările de informare și de evaluare (182).

(109)

În temeiul secțiunii 139 din DPA din 2018, comisarul pentru informații are, de asemenea, obligația de a prezenta în fața fiecărei camere a Parlamentului un raport general privind exercitarea funcțiilor sale în temeiul legii (183).

(110)

Supravegherea prelucrării datelor cu caracter personal de către instanțe și sistemul judiciar este dublă. În cazul în care un titular al unei funcții judiciare sau o instanță nu acționează în exercițiul unei funcții judiciare, supravegherea este asigurată de comisarul pentru informații. În cazul în care operatorul își desfășoară activitatea în exercițiul unei funcții judiciare, ICO nu își poate exercita funcțiile de supraveghere (184), iar supravegherea este efectuată de organisme speciale. Aceasta reflectă abordarea adoptată la articolul 32 din Directiva (UE) 2016/680.

(111)

În special, în cel de al doilea scenariu, pentru instanțele din Anglia și Țara Galilor, precum și pentru Tribunalul de Primă Instanță și Tribunalul Superior din Anglia și Țara Galilor, această supraveghere este asigurată de Grupul pentru protecția datelor judiciare (185). În plus, președintele Curții Supreme (Lord Chief Justice) și președintele sistemului de tribunale (Senior President of Tribunals) au emis o declarație de confidențialitate (186) care stabilește modul în care instanțele din Anglia și Țara Galilor prelucrează datele cu caracter personal pentru o funcție judiciară. O declarație similară a fost emisă de autoritățile judiciare din Irlanda de Nord (187) și de cele din Scoția (188).

(112)

În plus, în Irlanda de Nord, președintele Curții Supreme din Irlanda de Nord a numit un judecător din cadrul Înaltei Curți în calitate de judecător în materie de supraveghere a datelor (DSJ – Data Supervisory Judge) (189). Aceștia au emis, de asemenea, orientări pentru sistemul judiciar din Irlanda de Nord cu privire la acțiunile care trebuie întreprinse în cazul unei pierderi sau potențiale pierderi de date și la procesul de abordare a oricăror probleme care decurg din acest fapt (190).

(113)

În Scoția, președintele Curții Supreme (Lord President) a numit un judecător în materie de supraveghere a datelor pentru a investiga orice plângeri pe motive de protecție a datelor. Acest fapt este prevăzut în normele privind plângerile judiciare, care le reflectă pe cele stabilite pentru Anglia și Țara Galilor (191).

(114)

În cele din urmă, în cadrul Curții Supreme, unul dintre judecătorii Curții Supreme este desemnat să supravegheze protecția datelor.

(115)

Pentru a asigura o protecție adecvată și, în special, asigurarea respectării drepturilor individuale, persoanei vizate ar trebui să i se ofere căi de atac administrative și judiciare eficace, inclusiv despăgubiri pentru prejudiciile suferite.

(116)

În primul rând, o persoană vizată are dreptul de a depune o plângere la comisarul pentru informații, în cazul în care consideră că, în ceea ce privește datele cu caracter personal care o vizează, există o încălcare a părții 3 din DPA din 2018 (192). Astfel cum se descrie în considerentele 100 și 109, comisarul pentru informații are competența de a evalua conformitatea operatorului și a persoanei împuternicite de operator cu DPA din 2018, de a le impune sau de a se abține de la luarea măsurilor necesare în caz de nerespectare și de a impune amenzi.

(117)

În al doilea rând, DPA din 2018 prevede dreptul la o cale de atac împotriva comisarului pentru informații. În cazul în care comisarul nu „înregistrează progrese” (193) în ceea ce privește o plângere depusă de persoana vizată, reclamantul are acces la o cale de atac judiciară, deoarece acesta se poate adresa unui tribunal de primă instanță (194) pentru a obliga comisarul să ia măsurile adecvate pentru a răspunde plângerii sau pentru a informa reclamantul în legătură cu progresele înregistrate cu privire la plângere (195). În plus, orice persoană căreia i se transmite oricare dintre notificările de mai sus (notificare de informare, de evaluare, de executare sau de sancționare) din partea comisarului poate introduce o cale de atac în fața unui tribunal de primă instanță. În cazul în care tribunalul consideră că decizia comisarului nu este conformă cu legea sau că, în ceea ce privește comisarul pentru informații, acesta ar fi trebuit să își exercite puterea de apreciere în mod diferit, tribunalul trebuie să admită calea de atac sau să înlocuiască o altă notificare sau decizie pe care comisarul pentru informații ar fi putut să o emită sau să o adopte (196).

(118)

În al treilea rând, persoanele fizice pot introduce o cale de atac împotriva operatorilor și a persoanelor împuternicite de operatori direct în fața instanțelor în temeiul secțiunii 167 din DPA din 2018. În cazul în care, la cererea unei persoane vizate, o instanță constată că a avut loc o încălcare a drepturilor persoanei vizate în temeiul legislației privind protecția datelor, instanța poate obliga operatorul în ceea ce privește prelucrarea, sau persoana împuternicită de operator care acționează în numele operatorului respectiv, să ia măsurile specificate în ordonanță sau să se abțină de la luarea măsurilor specificate în ordonanță. În plus, în temeiul secțiunii 169 din DPA din 2018, orice persoană care suferă un prejudiciu din cauza unei încălcări a unei cerințe prevăzute de legislația privind protecția datelor (inclusiv partea 3 din DPA din 2018), alta decât RGPD al Regatului Unit, are dreptul la despăgubiri din partea operatorului sau a persoanei împuternicite de operator pentru prejudiciul respectiv, cu excepția cazului în care operatorul sau persoana împuternicită de operator dovedește că operatorul sau persoana împuternicită de operator nu este responsabilă în niciun fel pentru evenimentul care a cauzat prejudiciul. Prejudiciul include atât pierderi financiare, cât și prejudicii care nu implică pierderi financiare, cum ar fi suferințele clinice.

(119)

În al patrulea rând, orice persoană care consideră că drepturile sale, inclusiv dreptul la viață privată și la protecția datelor, au fost încălcate de autoritățile publice, poate obține reparații în fața instanțelor din Regatul Unit în temeiul Legii privind drepturile omului din 1998. Operatorii în temeiul părții 3 din DPA din 2018, și anume autoritățile competente, sunt întotdeauna autorități publice în sensul Legii privind drepturile omului din 1998. O persoană care susține că o autoritate publică a acționat (sau propune să acționeze) într-un mod care este incompatibil cu un drept conferit prin convenție și, prin urmare, ilegal în temeiul secțiunii 6 punctul 1 din Legea privind drepturile omului din 1998 poate introduce o acțiune împotriva autorității respective în fața instanței sau a tribunalului competent(e) sau poate invoca drepturile în cauză în cadrul oricărei proceduri judiciare, atunci când este (sau ar fi) victimă a actului ilegal (197).

(120)

În cazul în care constată că un act al unei autorități publice este ilegal, instanța poate admite o astfel de reparație sau cale de atac sau poate dispune, în limitele competențelor sale, după cum consideră corect și adecvat (198). De asemenea, instanța poate declara că o dispoziție de drept primar este incompatibilă cu un drept garantat în temeiul CEDO.

(121)

În cele din urmă, după epuizarea căilor de atac naționale, o persoană poate obține reparații în fața Curții Europene a Drepturilor Omului pentru încălcarea drepturilor garantate de CEDO.

(122)

Legislația Regatului Unit autorizează schimbul de date dintre o autoritate de aplicare a legii și alte autorități ale Regatului Unit în alte scopuri decât cele pentru care au fost colectate inițial (așa-numita „comunicare ulterioară”), sub rezerva anumitor condiții.

(123)

În mod similar prevederilor de la articolul 4 alineatul (2) din Directiva (UE) 2016/680, secțiunea 36 punctul 3 din DPA din 2018 permite ca datele cu caracter personal colectate de o autoritate competentă în scopul asigurării respectării legii să poată fi prelucrate în continuare (fie de către operatorul inițial, fie de către un alt operator) în orice alt scop de asigurare a respectării legii, cu condiția ca operatorul să fie autorizat prin lege să prelucreze date în celălalt scop, iar prelucrarea să fie necesară și proporțională (199). În acest caz, toate garanțiile prevăzute în partea 3 din DPA din 2018 și analizate mai sus se aplică prelucrării efectuate de autoritatea destinatară.

(124)

În ordinea juridică a Regatului Unit, diferite legi permit în mod explicit transferul ulterior. În special, (i) Legea privind economia digitală din 2017 permite schimbul de informații între autoritățile publice în mai multe scopuri, de exemplu în cazul oricărei fraude asupra sectorului public care ar implica pierderi sau un risc de pierdere pentru autoritățile publice (200) sau în cazul unei datorii către o autoritate publică sau către Coroană (201); (ii) Legea privind criminalitatea și instanțele din 2013, care permite schimbul de informații cu Agenția Națională pentru Combaterea Criminalității (NCA – National Crime Agency) (202) pentru combaterea, investigarea și urmărirea penală a infracțiunilor grave și a criminalității organizate; (iii) Legea privind formele grave de criminalitate din 2007, care permite autorităților publice să divulge informații organizațiilor antifraudă în scopul prevenirii fraudei (203).

(125)

Aceste legi prevăd în mod explicit că schimbul de informații ar trebui să fie în conformitate cu principiile stabilite în DPA din 2018. În plus, Colegiul de Poliție (College of Policing) a emis practici profesionale autorizate privind schimbul de informații (Authorised Professional Practice on Information Sharing) (204) pentru a ajuta poliția să își respecte obligațiile în materie de protecție a datelor în temeiul RGPD al Regatului Unit, al DPA și al Legii privind drepturile omului din 1998. Conformitatea schimbului de informații cu cadrul juridic aplicabil în materie de protecție a datelor poate fi, desigur, supusă controlului jurisdicțional (205).

(126)

În plus, în mod similar prevederilor de la articolul 9 din Directiva (UE) 2016/680, DPA din 2018 prevede că datele cu caracter personal colectate în orice scop de asigurare a respectării legii pot fi prelucrate într-un scop care nu este unul de asigurare a respectării legii atunci când prelucrarea este autorizată prin lege (206). Acest tip de schimb de informații se referă la două scenarii: 1) atunci când o autoritate de asigurare a respectării dreptului penal face schimb de date cu o autoritate de asigurare a respectării dreptului nepenal, alta decât o agenție de informații (cum ar fi, de exemplu, o autoritate financiară sau fiscală, o autoritate de concurență, un oficiu de asistență pentru bunăstarea tinerilor); 2) atunci când o autoritate de asigurare a respectării dreptului penal face schimb de date cu o agenție de informații. În primul scenariu, prelucrarea datelor cu caracter personal va intra sub incidența RGPD al Regatului Unit, precum și a părții 2 din DPA din 2018. Astfel cum se specifică în decizia adoptată în temeiul Regulamentului (UE) 2016/679, garanțiile prevăzute de RGPD al Regatului Unit și de partea 2 din DPA din 2018 oferă un nivel de protecție care este în esență echivalent cu cel oferit în Uniune (207).

(127)

În al doilea scenariu, în ceea ce privește schimbul de date colectate între o autoritate de asigurare a respectării dreptului penal și o agenție de informații în scopuri de securitate națională, temeiul juridic care autorizează un astfel de schimb este Counter Terrorism Act 2008 (Legea privind combaterea terorismului din 2008) (CTA din 2008) (208). În temeiul CTA din 2008, orice persoană poate furniza informații oricărui serviciu de informații în scopul îndeplinirii oricăreia dintre funcțiile serviciului respectiv, inclusiv „securitatea națională”.

(128)

În ceea ce privește condițiile în care datele pot fi partajate în scopuri de securitate națională, Intelligence Services Act (Legea privind serviciile de informații) și Security Services Act (Legea privind serviciile de securitate) limitează capacitatea serviciilor de informații de a obține date la ceea ce este necesar pentru îndeplinirea funcțiilor lor legale. Autoritățile competente, care intră sub incidența părții 3 din DPA din 2018 și care doresc să facă schimb de date cu serviciile de informații vor trebui să ia în considerare o serie de factori/limitări, pe lângă funcțiile statutare ale agențiilor prevăzute în Legea privind serviciile de informații și în Legea privind serviciile de securitate (209). Secțiunea 20 din CTA din 2008 clarifică faptul că orice schimb de date în temeiul secțiunii 19 din CTA din 2008 trebuie să respecte în continuare legislația privind protecția datelor, ceea ce înseamnă că se aplică toate limitările și cerințele prevăzute în DPA din 2018. În plus, autoritățile de aplicare a legii și serviciile de informații sunt autorități publice în sensul Legii privind drepturile omului din 1998, iar acestea trebuie să se asigure că acționează în conformitate cu drepturile conferite în temeiul CEDO, inclusiv cu articolul 8. Cu alte cuvinte, aceste cerințe înseamnă că toate schimburile de date între agențiile de aplicare a legii și serviciile de informații trebuie să respecte legislația privind protecția datelor și Convenția europeană a drepturilor omului.

(129)

Prelucrarea de către serviciile de informații a datelor cu caracter personal primite sau obținute de la autoritățile de aplicare a legii în scopuri de securitate națională face obiectul unei serii de condiții și garanții (210). Partea 4 din DPA din 2018 se aplică tuturor prelucrărilor efectuate de serviciile de informații sau în numele acestora. Aceasta stabilește principalele principii privind protecția datelor (legalitate, echitate și transparență (211); limitări legate de scop (212); reducerea la minimum a datelor (213); exactitate (214); limitări legate de stocare (215) și securitate (216), impune condiții pentru prelucrarea categoriilor speciale de date (217), prevede drepturi ale persoanelor vizate (218), impune protecția datelor începând cu momentul conceperii (219) și reglementează transferurile internaționale de date cu caracter personal (220).

(130)

În același timp, secțiunea 110 din DPA din 2018 prevede o derogare de la dispozițiile specificate în partea 4 din DPA din 2018, în cazul în care o astfel de derogare este necesară pentru protejarea securității naționale. Secțiunea 110 punctul 2 din DPA din 2018 enumeră dispozițiile de la care se permite o derogare. Aceasta include principiile privind protecția datelor (cu excepția principiului legalității), drepturile persoanei vizate, obligația de a informa comisarul pentru informații cu privire la o încălcare a securității datelor, competențele de inspecție ale comisarului pentru informații în conformitate cu obligațiile internaționale, anumite competențe ale comisarului pentru informații în materie de asigurare a respectării legii, dispozițiile care fac din anumite încălcări ale protecției datelor o infracțiune, precum și dispozițiile referitoare la scopurile speciale ale prelucrării, cum ar fi scopurile jurnalistice, academice sau artistice. Această derogare poate fi invocată pe baza unei analize de la caz la caz (221). Astfel cum au explicat autoritățile Regatului Unit și după cum este confirmat de jurisprudența instanțelor Regatului Unit, „(a) un operator trebuie să ia în considerare consecințele reale pentru securitatea națională sau apărare dacă ar trebui să respecte dispoziția specifică privind protecția datelor și dacă ar putea respecta în mod rezonabil regula obișnuită fără a afecta securitatea națională sau apărarea” (222). Utilizarea corespunzătoare sau necorespunzătoare a derogării face obiectul supravegherii ICO (223).

(131)

În plus, în ceea ce privește posibilitatea de a restricționa oricare dintre drepturile menționate anterior pentru protecția „securității naționale”, secțiunea 79 din DPA din 2018 prevede posibilitatea ca un operator să poată solicita un certificat semnat de un ministru din cadrul Cabinetului sau de procurorul general, care să ateste că restricționarea acestor drepturi este o măsură necesară și proporțională pentru protecția securității naționale (224). Guvernul Regatului Unit a emis orientări privind certificatele de securitate națională în temeiul DPA din 2018, care subliniază în special faptul că orice limitare a drepturilor persoanelor vizate în ceea ce privește protejarea securității naționale trebuie să fie proporțională și necesară (225). Toate certificatele de securitate națională trebuie publicate pe site-ul internet al ICO (226).

(132)

Certificatul ar trebui să fie emis pe o durată determinată de maximum cinci ani, astfel încât să fie revizuit periodic de către executiv (227). Certificatul identifică datele cu caracter personal sau categoriile de date cu caracter personal care fac obiectul derogării, precum și dispozițiile DPA din 2018 cărora li se aplică derogarea (228).

(133)

Este important de remarcat faptul că certificatele de securitate națională nu oferă un temei suplimentar pentru restricționarea drepturilor privind protecția datelor din motive de securitate națională. Cu alte cuvinte, operatorul sau persoana împuternicită de operator poate invoca un certificat numai atunci când a ajuns la concluzia că este necesar să invoce derogarea în materie de securitate națională care trebuie aplicată de la caz la caz. Chiar dacă un certificat de securitate națională se aplică chestiunii în cauză, ICO poate investiga dacă invocarea derogării în materie de securitate națională a fost sau nu justificată într-un caz specific (229).

(134)

Orice persoană direct afectată de emiterea certificatului poate introduce o cale de atac la Tribunalul Superior (230) împotriva certificatului (231) sau, în cazul în care certificatul identifică date prin intermediul unei descrieri generale, poate contesta aplicarea certificatului la o serie de date specifice (232).

(135)

Tribunalul va examina decizia de emitere a certificatului și va decide dacă au existat motive întemeiate pentru emiterea certificatului (233). Acesta poate lua în considerare o gamă largă de aspecte, printre care se numără și necesitatea, proporționalitatea și legalitatea, având în vedere impactul asupra drepturilor persoanelor vizate și punând în balanță necesitatea de a proteja securitatea națională. În consecință, tribunalul poate stabili că certificatul nu se aplică datelor cu caracter personal specifice care fac obiectul căii de atac (234).

(136)

Un set diferit de restricții posibile se referă la cele care se aplică, în temeiul anexei 11 la DPA din 2018, anumitor dispoziții ale părții 4 din DPA din 2018 (235) pentru a proteja alte obiective importante de interes public general sau interese protejate, cum ar fi, de exemplu, privilegiul parlamentar, secretul profesional al avocatului, desfășurarea procedurilor judiciare sau eficacitatea de luptă a forțelor armate. Aplicarea acestor dispoziții fie este exceptată pentru anumite categorii de informații („bazată pe categorii”), fie este exceptată în măsura în care aplicarea acestor dispoziții ar putea aduce atingere interesului protejat („bazată pe prejudicii”) (236). Derogările bazate pe prejudicii pot fi invocate numai în măsura în care aplicarea dispoziției enumerate privind protecția datelor ar putea aduce atingere interesului specific în cauză. Prin urmare, utilizarea unei derogări trebuie să fie întotdeauna justificată prin trimiterea la prejudiciul relevant care ar putea apărea în fiecare caz în parte. Derogările bazate pe categorii pot fi invocate numai în ceea ce privește categoria specifică, definită în mod strict, de informații pentru care se acordă derogarea. Acestea sunt similare, în ceea ce privește scopul și efectul, mai multor excepții de la RGPD al Regatului Unit (în temeiul anexei 2 la DPA din 2018) care, la rândul lor, reflectă cele prevăzute la articolul 23 din RGPD.

(137)

Din cele de mai sus rezultă că există limitări și condiții în temeiul dispozițiilor legale aplicabile din Regatul Unit, astfel cum sunt interpretate, de asemenea, de instanțe și de comisarul pentru informații, pentru a se asigura că aceste derogări și restricții rămân în limitele a ceea ce este necesar și proporțional pentru protejarea securității naționale.

(138)

Prelucrarea datelor cu caracter personal efectuată de serviciile de informații în temeiul părții 4 din DPA din 2018 este supravegheată de comisarul pentru informații (237).

(139)

Funcțiile generale ale comisarului pentru informații în ceea ce privește prelucrarea datelor cu caracter personal de către serviciile de informații în temeiul părții 4 din DPA din 2018 sunt prevăzute în anexa 13 la DPA din 2018. Sarcinile includ, însă nu se limitează, în special, la monitorizarea și punerea în aplicare a părții 4 din DPA din 2018, promovarea sensibilizării publicului, consilierea Parlamentului, a guvernului și a altor instituții cu privire la măsurile legislative și administrative, promovarea sensibilizării operatorilor și a persoanelor împuternicite de operatori cu privire la obligațiile ce le revin, furnizarea de informații unei persoane vizate cu privire la exercitarea drepturilor persoanei vizate și desfășurarea de anchete.

(140)

În ceea ce privește partea 3 din DPA din 2018, comisarul are competența de a informa operatorii cu privire la o presupusă încălcare și de a emite avertismente cu privire la probabilitatea ca o prelucrare să încalce normele și de a emite mustrări atunci când încălcarea este confirmată. De asemenea, acesta poate emite notificări de executare și de sancționare pentru încălcarea anumitor dispoziții ale legii (238). Cu toate acestea, spre deosebire de alte părți din DPA din 2018, comisarul nu poate emite o notificare de evaluare a securității naționale (239).

(141)

În plus, secțiunea 110 din DPA din 2018 prevede o excepție de la utilizarea anumitor competențe ale comisarului atunci când acest lucru este necesar în scopul protejării securității naționale. Aceasta include competența comisarului de a emite (orice tip de) notificări în temeiul DPA (notificări de informare, de evaluare, de executare și de sancționare), competența de a efectua inspecții în conformitate cu obligațiile internaționale, competențe de intrare și de inspecție, precum și norme privind infracțiunile (240). Astfel cum se explică în considerentul 136, aceste excepții se vor aplica numai dacă sunt necesare și proporționale și de la caz la caz. Aplicarea acestor excepții poate face obiectul unui control jurisdicțional (241).

(142)

ICO și serviciile de informații din Regatul Unit au semnat un memorandum de înțelegere (242) care stabilește un cadru de cooperare cu privire la o serie de aspecte, inclusiv notificări privind încălcarea securității datelor și tratarea plângerilor persoanelor vizate. În special, acesta prevede că, la primirea unei plângeri, ICO va evalua dacă a fost invocată în mod corespunzător vreo derogare în materie de securitate națională. Răspunsurile la întrebările adresate de ICO în contextul examinării plângerilor individuale trebuie să fie furnizate în termen de 20 de zile lucrătoare prin Orientările Guvernului Regatului Unit privind certificatele de securitate națională în temeiul Legii privind protecția datelor, utilizând canale securizate adecvate, în cazul în care acestea implică informații clasificate. Din aprilie 2018 până în prezent, ICO a primit 21 de plângeri de la persoane fizice cu privire la serviciile de informații. Fiecare plângere a fost evaluată, iar rezultatul a fost comunicat persoanei vizate (243).

(143)

În plus, Comisia pentru Informații și Securitate (ISC) exercită o supraveghere parlamentară asupra prelucrării datelor de către agențiile de informații. Această comisie își are temeiul juridic în Legea din 2013 privind justiția și securitatea (JSA din 2013) (244). Legea instituie ISC ca o comisie a Parlamentului Regatului Unit. ISC este alcătuită din membri care aparțin uneia dintre camerele Parlamentului și sunt numiți de prim-ministru după consultarea liderului opoziției (245). ISC trebuie să prezinte Parlamentului un raport anual privind îndeplinirea funcțiilor sale, precum și alte rapoarte pe care le consideră adecvate (246).

(144)

Începând din 2013, ISC a beneficiat de competențe sporite, inclusiv supravegherea activităților operaționale ale serviciilor de securitate. În temeiul secțiunii 2 din JSA din 2013, ISC are sarcina de a supraveghea cheltuielile, administrarea, politicile și operațiunile agențiilor de securitate națională. JSA din 2013 specifică faptul că ISC este în măsură să desfășoare investigații cu privire la aspecte operaționale atunci când acestea nu se referă la operațiuni în curs (247). Memorandumul de înțelegere convenit între prim-ministru și ISC (248) precizează în detaliu elementele care trebuie luate în considerare atunci când se analizează dacă o activitate nu face parte din nicio operațiune în curs (249). De asemenea, ISC poate fi invitată să investigheze operațiunile în curs de desfășurare de către prim-ministru și poate revizui informațiile furnizate în mod voluntar de agenții.

(145)

În conformitate cu anexa 1 la JSA din 2013, ISC poate solicita șefilor oricăruia dintre cele trei servicii de informații să divulge informații. Agenția trebuie să pună la dispoziție aceste informații, cu excepția cazului în care secretarul de stat își exercită un drept de veto în acest sens (250). Autoritățile Regatului Unit au explicat că, în practică, foarte puține informații nu sunt comunicate ISC (251).

(146)

În ceea ce privește căile de atac, în primul rând, în temeiul secțiunii 165 punctul 2 din DPA din 2018, o persoană vizată poate depune o plângere la ICO în cazul în care consideră că, în ceea ce privește datele cu caracter personal care o privesc, există o încălcare a părții 4 din DPA din 2018, inclusiv orice utilizare abuzivă a derogărilor și restricțiilor în materie de securitate națională.

(147)

În plus, în temeiul părții 4 din DPA din 2018, persoanele fizice au dreptul să solicite Înaltei Curți (sau Court of Session din Scoția) un ordin prin care să îi impună operatorului să respecte drepturile de acces la date (252), să se opună prelucrării (253) și să rectifice sau să șteargă datele.

(148)

De asemenea, persoanele fizice au dreptul să solicite operatorului sau unei persoane împuternicite de operator (254) despăgubiri pentru prejudiciile suferite ca urmare a încălcării unei cerințe prevăzute în partea 4 din DPA din 2018. Prejudiciul include atât pierderi financiare, cât și prejudicii care nu implică pierderi financiare, cum ar fi suferințele clinice (255).

(149)

În cele din urmă, o persoană fizică poate depune o plângere la Tribunalul cu competențe de investigare pentru orice comportament al agențiilor de informații din Regatul Unit (256) sau în numele acestora. Tribunalul cu competențe de investigare (Investigatory Powers Tribunal – IPT) este instituit prin Legea din 2000 de reglementare a competențelor de investigare pentru Anglia, Țara Galilor și Irlanda de Nord și prin Legea din 2000 de reglementare a competențelor de investigare (Scoția) pentru Scoția (RIPA din 2000) și este independent de puterea executivă (257). În conformitate cu secțiunea 65 din RIPA din 2000, membrii IPT sunt numiți de Majestatea Sa pentru o perioadă de cinci ani.

(150)

Un membru al Tribunalului poate fi revocat din funcție de Majestatea Sa în urma unei propuneri („address”) (258) formulate de ambele camere ale Parlamentului (259).

(151)

Pentru a introduce o acțiune în fața IPT („cerință privind calitatea procesuală”), în conformitate cu secțiunea 65 din RIPA din 2000, o persoană fizică trebuie să aibă convingerea (i) că a avut loc un serviciu de informații în legătură cu ea, cu privire la oricare dintre bunurile sale, cu privire la orice comunicare trimisă de sau către ea ori care îi este destinată sau utilizarea oricărui serviciu poștal, serviciu de telecomunicații sau sistem de telecomunicații (260) și (ii) comportamentul a avut loc în „circumstanțe atacabile” (261) sau „a fost efectuat de către sau în numele serviciilor de informații” (262). Întrucât, în special, acest standard în materie de „convingere” a fost interpretat în sens destul de larg (263), sesizarea Tribunalului face obiectul unui nivel relativ scăzut de cerințe privind calitatea procesuală.

(152)

În cazul în care Tribunalul examinează o plângere care îi este adresată, este de datoria Tribunalului să investigheze dacă persoanele împotriva cărora se face vreo acuzație în plângere au fost implicate în relații cu reclamantul, precum și să investigheze autoritatea care se presupune că a fost implicată în încălcări și dacă presupusul comportament a avut loc (264). În cazul în care Tribunalul judecă o procedură, acesta trebuie să aplice, în cadrul procedurii respective, aceleași principii care ar fi aplicate de o instanță cu privire la o cerere de control jurisdicțional (265).

(153)

Tribunalul trebuie să informeze reclamantul dacă a fost luată o hotărâre în favoarea sa sau nu (266). În temeiul secțiunii 67 punctele 6 și 7 din RIPA din 2000, Tribunalul are competența de a emite ordine provizorii și de a pronunța orice hotărâre de despăgubire sau orice altă ordonanță pe care o consideră adecvată (267). În conformitate cu secțiunea 67A din RIPA din 2000, o hotărâre a Tribunalului poate fi atacată, sub rezerva autorizării de către Tribunal sau de către instanța de apel competentă.

(154)

În special, persoanele fizice pot introduce o acțiune – și pot obține reparații – în fața IPT în cazul în care consideră că o autoritate publică a acționat (sau propune să acționeze) într-un mod care este incompatibil cu un drept conferit prin Convenția europeană a drepturilor omului, inclusiv dreptul la viață privată și protecția datelor cu caracter personal și, prin urmare, este ilegal în temeiul secțiunii 6 punctul 1 din Legea privind drepturile omului din 1998. IPT i s-a acordat competență judiciară exclusivă pentru toate cererile în baza Legii privind drepturile omului în legătură cu agențiile de informații. Astfel cum a remarcat High Court (Înalta Curte), aceasta înseamnă că „dacă a existat o încălcare a HRA cu privire la situația de fapt dintr-o anumită cauză, acest fapt poate fi invocat și soluționat, în principiu, de către un tribunal independent care poate avea acces la toate elementele relevante, inclusiv la materiale secrete. […] De asemenea, în acest context, avem în vedere faptul că IPT este în prezent supus posibilității de a introduce o cale de atac la o instanță de apel adecvată (în Anglia și Țara Galilor, aceasta este Curtea de Apel); iar Curtea Supremă a decis recent că IPT poate, în principiu, să facă obiectul unui control jurisdicțional: a se vedea R (Privacy International)/Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219” (268). În cazul în care constată că un act al unei autorități publice este ilegal, IPT poate admite o astfel de reparație sau cale de atac sau poate dispune, în limitele competențelor sale, după cum consideră corect și adecvat (269).

(155)

După epuizarea căilor de atac naționale, o persoană poate obține reparații în fața Curții Europene a Drepturilor Omului pentru încălcarea drepturilor garantate de CEDO, inclusiv a dreptului la viață privată și la protecția datelor.

(156)

Din cele de mai sus rezultă că partajarea de către autoritățile de aplicare a dreptului penal din Regatul Unit a datelor transferate în temeiul prezentei decizii cu alte autorități publice, inclusiv cu agențiile de informații, este încadrată de limitări și condiții care asigură faptul că o astfel de partajare ulterioară va fi necesară și proporțională și va face obiectul unor garanții specifice privind protecția datelor în temeiul DPA din 2018. În plus, prelucrarea datelor de către autoritățile publice în cauză este supravegheată de organisme independente, iar persoanele afectate au acces la căi de atac judiciare eficace.

(157)

Comisia consideră că partea 3 din DPA din 2018 asigură un nivel de protecție a datelor cu caracter personal transferate în scopul asigurării respectării dreptului penal de la autoritățile competente din Uniune către autoritățile competente din Regatul Unit care este în esență echivalent cu cel garantat de Directiva (UE) 2016/680.

(158)

În plus, Comisia consideră că, în ansamblu, mecanismele de supraveghere și căile de atac prevăzute în legislația Regatului Unit permit detectarea și pedepsirea în practică a încălcărilor comise și pun la dispoziția persoanelor vizate căile de atac juridice necesare pentru a obține accesul la datele cu caracter personal care le privesc și, în cele din urmă, rectificarea sau ștergerea datelor respective.

(159)

În cele din urmă, pe baza informațiilor disponibile cu privire la ordinea juridică a Regatului Unit, Comisia consideră că orice atingere adusă, în scopuri de interes public, inclusiv în contextul schimbului de date cu caracter personal între autoritățile de aplicare a legii și alte autorități publice, cum ar fi organismele de securitate națională, de autoritățile publice ale Regatului Unit drepturilor fundamentale ale persoanelor fizice ale căror date cu caracter personal sunt transferate din Uniunea Europeană în Regatul Unit, se va limita la ceea ce este strict necesar pentru îndeplinirea obiectivului legitim în cauză, cât și că există o protecție juridică eficace împotriva unor astfel de atingeri.

(160)

Prin urmare, ar trebui să se decidă că Regatul Unit asigură un nivel adecvat de protecție în sensul articolului 36 alineatul (2) din Directiva (UE) 2016/680, interpretat în lumina Cartei drepturilor fundamentale.

(161)

Această concluzie se bazează atât pe regimul intern relevant al Regatului Unit, cât și pe angajamentele sale internaționale, în special aderarea la Convenția europeană a drepturilor omului și recunoașterea competenței Curții Europene a Drepturilor Omului. Respectarea în continuare a acestor obligații internaționale este, prin urmare, un element deosebit de important al evaluării pe care se bazează prezenta decizie.

(162)

Statele membre și organele acestora au obligația de a lua măsurile necesare pentru a se conforma actelor instituțiilor Uniunii, întrucât se presupune că aceste acte sunt legale și, prin urmare, produc efecte juridice atât timp cât nu expiră, sunt retrase, anulate în cadrul unei acțiuni în anulare sau declarate nule ca urmare a unei trimiteri preliminare sau a unei excepții de nelegalitate.

(163)

În consecință, o decizie a Comisiei privind caracterul adecvat al nivelului de protecție, adoptată în temeiul articolului 36 alineatul (3) din Directiva (UE) 2016/680, este obligatorie pentru toate organele statelor membre cărora li se adresează, inclusiv pentru autoritățile de supraveghere independente ale acestora. În special, în cursul perioadei de aplicare a prezentei decizii, transferurile de la un operator sau de la o persoană împuternicită de operator din Uniune către operatori sau persoane împuternicite de operatori din Regatul Unit pot avea loc fără a fi necesară obținerea unei autorizații suplimentare.

(164)

În același timp, ar trebui reamintit faptul că, în temeiul articolului 47 alineatul (5) din Directiva (UE) 2016/680 și astfel cum este explicat de Curtea de Justiție în hotărârea pronunțată în cauza Schrems, în cazul în care o autoritate națională de protecție a datelor pune sub semnul întrebării, inclusiv în urma primirii unei plângeri, compatibilitatea unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție cu dreptul fundamental al unei persoane la viață privată și la protecția datelor, legislația națională trebuie să prevadă o cale de atac pentru a prezenta obiecțiile respective în fața unei instanțe naționale, care poate fi obligată să efectueze o trimitere preliminară către Curtea de Justiție (270).

(165)

În temeiul articolului 36 alineatul (4) din Directiva (UE) 2016/680, Comisia trebuie să monitorizeze în permanență evoluțiile relevante din Regatul Unit după adoptarea prezentei decizii pentru a evalua dacă aceasta garantează în continuare un nivel de protecție echivalent în esență. O astfel de monitorizare este deosebit de importantă în acest caz, întrucât Regatul Unit va administra, va aplica și va asigura respectarea unui nou regim de protecție a datelor ce nu mai intră sub incidența dreptului Uniunii, care ar putea evolua. În acest sens, se va acorda o atenție deosebită aplicării în practică a normelor Regatului Unit privind transferurile de date cu caracter personal către țări terțe, inclusiv prin încheierea de acorduri internaționale, impactului pe care aceasta l-ar putea avea asupra nivelului de protecție acordat datelor transferate în temeiul prezentei decizii, precum și eficacității exercitării drepturilor individuale în domeniile reglementate de prezenta decizie. Printre alte elemente, evoluțiile jurisprudenței și supravegherea de către ICO și alte organisme independente vor contribui la monitorizarea efectuată de Comisie.

(166)

Pentru a facilita această monitorizare, autoritățile Regatului Unit ar trebui să informeze cu promptitudine și cu regularitate Comisia cu privire la orice modificare substanțială a ordinii juridice a Regatului Unit care are un impact asupra cadrului juridic care face obiectul prezentei decizii, precum și cu privire la orice evoluție a practicilor legate de prelucrarea datelor cu caracter personal evaluate în prezenta decizie, în special în ceea ce privește elementele menționate în considerentul 165.

(167)

În plus, pentru a permite Comisiei să își exercite în mod eficace funcția de monitorizare, statele membre ar trebui să informeze Comisia cu privire la orice acțiune relevantă întreprinsă de autoritățile naționale de protecție a datelor, în special în ceea ce privește solicitările sau plângerile formulate de persoanele vizate din UE cu privire la transferul de date cu caracter personal din Uniunea Europeană către autorități competente din Regatul Unit. De asemenea, Comisia ar trebui să fie informată cu privire la orice indiciu potrivit căruia acțiunile autorităților publice ale Regatului Unit responsabile cu prevenirea, investigarea, detectarea sau aducerea în fața instanței a infracțiunilor, inclusiv acțiunile oricărui organism de supraveghere, nu asigură nivelul de protecție necesar.

(168)

În cazul în care informațiile disponibile, în special informațiile care rezultă din monitorizarea prezentei decizii sau cele furnizate de autoritățile Regatului Unit sau ale statelor membre, arată că nivelul de protecție oferit de Regatul Unit ar putea să nu mai fie adecvat, Comisia ar trebui să informeze autoritățile Regatului Unit competente în acest sens și să solicite luarea unor măsuri adecvate într-un termen rezonabil specificat, care nu poate depăși trei luni. Dacă este necesar, acest termen poate fi prelungit cu o anumită perioadă de timp, ținând seama de natura problemei în cauză și/sau de măsurile care trebuie luate.

(169)

În cazul în care, la expirarea termenului specificat, autoritățile competente ale Regatului Unit nu iau măsurile respective sau nu demonstrează în mod satisfăcător că prezenta decizie continuă să se bazeze pe un nivel adecvat de protecție, Comisia va iniția procedura menționată la articolul 58 alineatul (2) din Directiva (UE) 2016/680 în vederea suspendării sau abrogării parțiale sau integrale a prezentei decizii.

(170)

Ca alternativă, Comisia va iniția această procedură în vederea modificării prezentei decizii, în special prin aplicarea unor condiții suplimentare transferurilor de date sau prin limitarea domeniului de aplicare al constatării referitoare la caracterul adecvat numai la transferurile de date pentru care se asigură în continuare un nivel adecvat de protecție.

(171)

Din motive imperioase de urgență justificate corespunzător, Comisia va face uz de posibilitatea de a adopta, în conformitate cu procedura menționată la articolul 58 alineatul (3) din Directiva (UE) 2016/680, acte de punere în aplicare imediat aplicabile de suspendare, abrogare sau modificare a deciziei.

(172)

Ar trebui să se țină seama de faptul că, odată cu încheierea perioadei de tranziție prevăzute în Acordul de retragere și de îndată ce dispoziția provizorie prevăzută la articolul 782 din Acordul comercial și de cooperare UE- Regatul Unit va înceta să se aplice, Regatul Unit va administra, va aplica și va asigura respectarea unui nou regim de protecție a datelor în raport cu cel în vigoare în perioada în care avea obligații în temeiul dreptului Uniunii Europene. Acest lucru poate implica, în special, amendamente sau modificări ale cadrului de protecție a datelor evaluat în prezenta decizie, precum și alte evoluții relevante.

(173)

Prin urmare, este oportun să se prevadă că prezenta decizie se va aplica pentru o perioadă de patru ani de la intrarea sa în vigoare.

(174)

În cazul în care, în special, informațiile obținute în urma monitorizării prezentei decizii arată că respectivele constatări referitoare la caracterul adecvat al nivelului de protecție asigurat în Regatul Unit sunt încă justificate de fapt și de drept, Comisia ar trebui, cel târziu cu șase luni înainte de încetarea aplicării prezentei decizii, să inițieze procedura de modificare a prezentei decizii prin extinderea domeniului său de aplicare temporal, în principiu, pentru o perioadă suplimentară de patru ani. Orice act de punere în aplicare de modificare a prezentei decizii urmează să fie adoptat în conformitate cu procedura menționată la articolul 58 alineatul (2) din Directiva (UE) 2016/680.

(175)

Comitetul european pentru protecția datelor și-a publicat avizul (271), care a fost luat în considerare la pregătirea prezentei decizii.

(176)

Măsurile prevăzute de prezenta decizie sunt conforme cu avizul comitetului instituit în temeiul articolului 58 din Directiva (UE) 2016/680.

(177)

În conformitate cu articolul 6a din Protocolul nr. 21 privind poziția Regatului Unit și a Irlandei în ceea ce privește spațiul de libertate, securitate și justiție, anexat la TUE și la TFUE, Irlandei nu îi revin obligații în temeiul normelor stabilite în Directiva (UE) 2016/680 și, prin urmare, în temeiul prezentei decizii de punere în aplicare, referitoare la prelucrarea datelor cu caracter personal de către statele membre în exercitarea activităților care intră în domeniul de aplicare al părții a treia titlul V capitolul 4 sau 5 din TFUE, atât timp cât Irlandei nu îi revin obligații în temeiul normelor Uniunii privind formele de cooperare judiciară în materie penală sau de cooperare polițienească care necesită respectarea dispozițiilor stabilite în temeiul articolului 16 din TFUE. În plus, în temeiul Deciziei de punere în aplicare (UE) 2020/1745 a Consiliului (272), Directiva (UE) 2016/680 urmează să fie pusă în aplicare și aplicată cu titlu provizoriu în Irlanda începând cu 1 ianuarie 2021. Prin urmare, Irlandei îi revin obligații în temeiul prezentei decizii de punere în aplicare, în aceleași condiții valabile în cazul aplicării Directivei (UE) 2016/680 în Irlanda, astfel cum se prevede în decizia de punere în aplicare (UE) 2020/1745, în ceea ce privește acquis-ul Schengen la care participă.

(178)

În conformitate cu articolele 2 și 2a din Protocolul nr. 22 privind poziția Danemarcei, anexat la Tratatul privind Uniunea Europeană și la Tratatul privind funcționarea Uniunii Europene, Danemarca nu este obligată să aplice normele prevăzute în Directiva (UE) 2016/680 și, prin urmare, în prezenta decizie de punere în aplicare și nici nu face obiectul aplicării lor care se referă la prelucrarea datelor cu caracter personal de către statele membre atunci când desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE. Cu toate acestea, având în vedere faptul că Directiva (UE) 2016/680 se întemeiază pe acquis-ul Schengen, Danemarca, în conformitate cu articolul 4 din protocolul respectiv, a notificat la data de 26 octombrie 2016 decizia sa de a pune în aplicare Directiva (UE) 2016/680. Prin urmare, Danemarca are obligația, în temeiul dreptului internațional, să pună în aplicare prezenta decizie de punere în aplicare.

(179)

În ceea ce privește Islanda și Norvegia, prezenta decizie de punere în aplicare constituie o dezvoltare a dispozițiilor acquis-ului Schengen, astfel cum prevede Acordul încheiat de Consiliul Uniunii Europene și Republica Islanda și Regatul Norvegiei privind asocierea acestor două state la implementarea, aplicarea și dezvoltarea acquis-ului Schengen (273).

(180)

În ceea ce privește Elveția, prezenta decizie de punere în aplicare constituie o dezvoltare a dispozițiilor acquis-ului Schengen, astfel cum prevede Acordul între Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană cu privire la asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen (274).

(181)

În ceea ce privește Liechtenstein, prezenta decizie de punere în aplicare constituie o dezvoltare a dispozițiilor acquis-ului Schengen, astfel cum se prevede în Protocolul dintre Uniunea Europeană, Comunitatea Europeană, Confederația Elvețiană și Principatul Liechtenstein privind aderarea Principatului Liechtenstein la Acordul dintre Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană privind asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen (275),