(1)

Uredba (EU) 2016/679 določa pravila o prenosu osebnih podatkov od upravljavcev ali obdelovalcev v Evropski uniji v tretje države in mednarodne organizacije, če taki prenosi spadajo na področje uporabe navedene uredbe. Pravila o mednarodnih prenosih podatkov so določena v poglavju V navedene uredbe, natančneje v členih 44 do 50. Pretok osebnih podatkov v države zunaj Evropske unije in iz njih je ključen za širitev mednarodnega sodelovanja in čezmejne trgovine, vendar je treba zagotoviti, da s takimi prenosi v tretje države ni ogrožena raven varstva osebnih podatkov, ki se zagotavlja v Evropski uniji (2).

(2)

V skladu s členom 45(3) Uredbe (EU) 2016/679 lahko Komisija z izvedbenim aktom odloči, da tretja država, ozemlje ali en oziroma več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija zagotavljajo ustrezno raven varstva. V skladu s temi pogoji se lahko osebni podatki v tretjo državo prenašajo brez dodatnega dovoljenja, kot je določeno v členu 45(1) in uvodni izjavi 103 navedene uredbe.

(3)

Kot je navedeno v členu 45(2) Uredbe (EU) 2016/679, mora sprejetje sklepa o ustreznosti temeljiti na celoviti analizi pravnega reda tretje države, kar vključuje pravila, ki se uporabljajo glede uvoznikov podatkov, ter omejitve in zaščitne ukrepe glede dostopa javnih organov do osebnih podatkov. Komisija mora v oceni opredeliti, ali zadevna tretja država zagotavlja raven varstva, ki je „v osnovi enakovredna“ tisti, zagotovljeni v Evropski uniji (uvodna izjava 104 Uredbe (EU) 2016/679). Standard, po katerem se ocenjuje dejstvo, da je „v osnovi enakovredna“, je določen v zakonodaji EU, zlasti v Uredbi (EU) 2016/679 in sodni praksi Sodišča Evropske unije (3). V tem pogledu je pomemben tudi referenčni dokument Evropskega odbora za varstvo podatkov o ustreznosti (4).

(4)

Kot je pojasnilo Sodišče Evropske unije, v ta namen ni treba zagotavljati identične ravni varstva (5). To pomeni zlasti, da se lahko sredstva, ki jih zadevna tretja država uporablja za varstvo osebnih podatkov, razlikujejo od tistih, ki jih uporablja Evropska unija, če se v praksi izkaže, da so učinkovita pri zagotavljanju ustrezne ravni varstva (6). Standard ustreznosti torej ne zahteva dobesednega prepisa pravil Unije. Bolj kot to preskus temelji na proučitvi, ali tuji sistem kot celota prek vsebine pravic do varstva podatkov ter njihovega učinkovitega izvajanja, nadzora in izvrševanja zagotavlja zahtevano raven varstva (7).

(5)

Komisija je skrbno analizirala zakonodajo in prakso Združenega kraljestva. Na podlagi ugotovitev iz uvodnih izjav (8) do (270) Komisija ugotavlja, da Združeno kraljestvo zagotavlja ustrezno raven varstva osebnih podatkov, ki se v okviru Uredbe (EU) 2016/679 prenašajo iz Evropske unije v Združeno kraljestvo.

(6)

Ta ugotovitev se ne nanaša na osebne podatke, ki se prenašajo za namene nadzora priseljevanja v Združeno kraljestvo ali ki sicer spadajo na področje uporabe izjeme glede nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, za namene vzdrževanja učinkovitega nadzora priseljevanja (v nadaljnjem besedilu: izjema glede priseljevanja) v skladu z odstavkom 4(1) dodatka 2 k zakonu Združenega kraljestva o varstvu podatkov. Veljavnost in razlaga izjeme glede priseljevanja v skladu s pravom Združenega kraljestva po odločbi sodišča England and Wales Court of Appeal z dne 26. maja 2021 nista določeni. Ob priznavanju, da se pravice posameznikov, na katere se nanašajo osebni podatki, načeloma lahko omejijo za namene nadzora priseljevanja kot „pomemben vidik javnega interesa“, je sodišče Court of Appeal odločilo, da je izjema glede priseljevanja v sedanji obliki nezdružljiva s pravom Združenega kraljestva, saj zakonodajni ukrep ne vsebuje posebnih določb, ki bi določale zaščitne ukrepe iz člena 23(2) splošne uredbe o varstvu podatkov, kakor se uporablja v Združenem kraljestvu (v nadaljnjem besedilu: UK GDPR) (8). Pod temi pogoji bi bilo treba prenose osebnih podatkov iz Unije v Združeno kraljestvo, za katere se lahko uporabi izjema glede priseljevanja, izključiti s področja uporabe tega sklepa (9). Ko bo nezdružljivost z zakonodajo Združenega kraljestva odpravljena, bi bilo treba ponovno oceniti izjemo glede priseljevanja in potrebo po ohranitvi omejitve področja uporabe te odločbe.

(7)

Ta sklep ne bi smel vplivati na neposredno uporabo Uredbe (EU) 2016/679 s strani organizacij, ustanovljenih v Združenem kraljestvu, če so izpolnjeni pogoji glede ozemeljske veljavnosti iz člena 3 navedene uredbe.

(8)

Združeno kraljestvo je parlamentarna demokracija, katere vodja je ustavni monarh. Ima neodvisen parlament, ki je nadrejen vsem drugim vladnim institucijam, izvršilno vejo oblasti, ki izhaja iz parlamenta in je temu tudi odgovorna, ter neodvisno sodstvo. Izvršilna veja oblasti, katere pristojnosti temeljijo na zmožnosti, da uživa zaupanje izvoljenega spodnjega doma parlamenta Združenega kraljestva, je odgovorna obema domovoma parlamenta, ki sta odgovorna za pregled dela vlade ter razpravo o zakonih in njihovo sprejemanje.

(9)

Parlament Združenega kraljestva je pravice za sprejemanje zakonodaje o lokalnih vprašanjih na Škotskem, v Walesu in na Severnem Irskem, ki jih ni zadržal zase, prenesel na škotski parlament, valižanski parlament (Senedd Cymru) in skupščino Severne Irske. Vprašanje varstva podatkov ni delegirano, tj. ista zakonodaja se uporablja po vsej državi, druga področja politike, ki se nanašajo na ta sklep, pa so delegirana. Urejanje sistemov kazenskega pravosodja na Škotskem in Severnem Irskem, vključno s policijskim delom, je na primer delegirano škotskemu parlamentu oziroma skupščini Severne Irske. Združeno kraljestvo nima kodificirane ustave v smislu uzakonjenega konstitutivnega dokumenta. Ustavna načela so se razvijala počasi, zlasti na podlagi sodne prakse in običajev. Sodišča so priznala ustavnopravno vrednost nekaterih listin, kot so Magna Carta, Bill of Rights iz leta 1689 in zakon o človekovih pravicah iz leta 1998 (Human Rights Act 1998). Kot del ustave so se z občim pravom, navedenimi listinami in mednarodnimi pogodbami, zlasti Evropsko konvencijo o varstvu človekovih pravic, ki jo je Združeno kraljestvo ratificiralo leta 1951, razvile temeljne pravice posameznikov. Združeno kraljestvo je leta 1987 ratificiralo tudi Konvencijo Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (Konvencija št. 108) (10).

(10)

Z zakonom o človekovih pravicah iz leta 1998 so pravice iz Evropske konvencije o varstvu človekovih pravic vključene v pravo Združenega kraljestva. Zakon o človekovih pravicah vsakemu posamezniku zagotavlja temeljne pravice in svoboščine iz členov 2 do 12 in člena 14 Evropske konvencije o varstvu človekovih pravic, iz členov 1, 2 in 3 Protokola št. 1 te konvencije ter člena 1 Protokola št. 13 te konvencije, v povezavi s členi 16, 17 in 18 navedene konvencije. To vključuje pravico do spoštovanja zasebnega in družinskega življenja (ter pravico do varstva podatkov, ki je del te pravice) in pravico do poštenega sojenja (11). Natančneje, v skladu s členom 8 navedene konvencije se lahko javna oblast vmešava v izvrševanje pravice do zasebnosti le, če je to določeno z zakonom, kadar je to nujno v demokratični družbi zaradi državne varnosti, javne varnosti ali ekonomske blaginje države, zato da se prepreči nered ali kaznivo dejanje, da se zavaruje zdravje ali morala ali da se zavarujejo pravice in svoboščine drugih ljudi.

(11)

V skladu z zakonom o človekovih pravicah iz leta 1998 mora biti vsak ukrep javnih organov združljiv s pravico, ki jo zagotavlja konvencija (12). Poleg tega je treba primarno in sekundarno zakonodajo razumeti in izvajati tako, da sta združljivi s pravicami iz konvencije (13).

(12)

Združeno kraljestvo je 31. januarja 2020 izstopilo iz Evropske unije. Na podlagi Sporazuma o izstopu Združenega kraljestva Velika Britanija in Severna Irska iz Evropske unije in Evropske skupnosti za atomsko energijo (14) se je v Združenem kraljestvu v prehodnem obdobju do 31. decembra 2020 še naprej uporabljalo pravo Unije. Pred izstopom in v prehodnem obdobju sta zakonodajni okvir o varstvu osebnih podatkov v Združenem kraljestvu sestavljali relevantna zakonodaja EU (zlasti Uredba (EU) 2016/679 in Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta (15)) in nacionalna zakonodaja, zlasti zakon o varstvu podatkov iz leta 2018 (DPA 2018) (16), ki vsebuje nacionalna pravila, kadar to omogoča Uredba (EU) 2016/679, pri čemer opredeljuje in omejuje uporabo pravil Uredbe (EU) 2016/679 ter prenaša Direktivo (EU) 2016/680 v nacionalno zakonodajo.

(13)

Za pripravo na izstop iz Evropske unije je vlada Združenega kraljestva sprejela zakon o izstopu iz Evropske unije iz leta 2018 (European Union (Withdrawal) Act 2018) (17), ki v zakonodajo Združenega kraljestva vključuje zakonodajo Unije, ki se neposredno uporablja (18). To ohranjeno pravo EU v celoti vključuje Uredbo (EU) 2016/679, vključno z uvodnimi določbami (19). V skladu z navedenim zakonom morajo sodišča v Združenem kraljestvu nespremenjeno ohranjeno pravo EU razlagati v skladu z relevantno sodno prakso Sodišča EU in splošnimi načeli prava Unije, kot ta učinkujejo tik pred iztekom prehodnega obdobja (tako imenovana ohranjena sodna praksa EU in ohranjena splošna načela prava EU) (20).

(14)

Na podlagi zakona o izstopu iz Evropske unije iz leta 2018 lahko nižji ministri Združenega kraljestva sprejemajo sekundarno zakonodajo v obliki aktov z zakonsko močjo, s katerimi se spreminja ohranjeno pravo EU, kot je potrebno zaradi izstopa Združenega kraljestva iz Evropske unije. To pooblastilo je bilo izvršeno s predpisi o varstvu podatkov, zasebnosti in elektronski komunikaciji (spremembe itd., izstop iz EU) iz leta 2019 (predpisi DPPEC) (21). Predpisi DPPEC spreminjajo Uredbo (EU) 2016/679, kakor je bila vključena v pravo Združenega kraljestva na podlagi zakona o izstopu iz Evropske unije iz leta 2018, zakona o varstvu podatkov iz leta 2018 in druge zakonodaje o varstvu podatkov, da ustreza nacionalnemu okviru (22).

(15)

Posledično po izteku prehodnega obdobja pravni okvir o varstvu osebnih podatkov v Združenem kraljestvu sestavljata:

(16)

Glede na to, da UK GDPR temelji na zakonodaji EU, so pravila o varstvu podatkov v Združenem kraljestvu v številnih primerih zelo podobna ustreznim pravilom, ki se uporabljajo v Evropski uniji.

(17)

Poleg pooblastil, ki jih ima pristojni minister na podlagi zakona o izstopu iz Evropske unije iz leta 2018, ima na podlagi več določb zakona o varstvu podatkov iz leta 2018 tudi pristojnost za sprejemanje sekundarne zakonodaje, s katero se spreminjajo nekatere določbe navedenega zakona ali s katero so določena dopolnilna in dodatna pravila (25). Pristojni minister je do zdaj uporabil le pooblastila na podlagi člena 137 zakona o varstvu podatkov iz leta 2018 in sprejel spremembo predpisov o varstvu podatkov, pristojbinah in informacijah iz leta 2019 (Data Protection (Charges and Information) (Amendment) Regulations 2019), ki določajo okoliščine, v katerih morajo upravljavci podatkov plačati letno pristojbino informacijskemu pooblaščencu (Information Commissioner), ki je neodvisni organ za varstvo podatkov v Združenem kraljestvu.

(18)

Nazadnje, nadaljnje smernice glede zakonodaje Združenega kraljestva o varstvu podatkov vsebujejo kodeks ravnanja in druge smernice, ki jih je sprejel informacijski pooblaščenec. Čeprav navedene smernice niso uradno pravno zavezujoče, pa so pomembne za razlago in prikazujejo, kako informacijski pooblaščenec v praksi uporablja in izvršuje zakonodajo o varstvu podatkov. Natančneje, na podlagi členov 121 do 125 zakona o varstvu podatkov iz leta 2018 mora informacijski pooblaščenec pripraviti kodekse ravnanja o izmenjavi podatkov, neposrednem trženju, starosti primernem oblikovanju, varstvu podatkov in novinarstvu.

(19)

Po svoji strukturi in glavnih sestavinah je pravni okvir Združenega kraljestva, ki se uporablja za podatke, ki se prenašajo na podlagi tega sklepa, torej zelo podoben tistemu, ki se uporablja v Evropski uniji. To vključuje dejstvo, da navedeni okvir ne temelji le na obveznostih iz notranjega prava, na katere je vplivalo pravo EU, temveč tudi na obveznostih, kot so določene v mednarodnem pravu, zlasti s pristopom Združenega kraljestva k EKČP in Konvenciji št. 108, ter njegovem priznavanju pristojnosti Evropskega sodišča za človekove pravice. Te obveznosti, ki izhajajo iz pravno zavezujočih mednarodnih instrumentov, ki se nanašajo zlasti na varstvo osebnih podatkov, so torej še posebno pomemben element pravnega okvira, ki se obravnava v tem sklepu.

(20)

Po vzoru Uredbe (EU) 2016/679 se UK GDPR uporablja za obdelavo osebnih podatkov, ki v celoti ali delno poteka avtomatizirano, ali za druge vrste obdelav, če so osebni podatki del zbirke (26). Opredelitve pojmov „osebni podatki“, „posameznik, na katerega se nanašajo osebni podatki“ in „obdelava“ so v UK GDPR enaki kot v Uredbi (EU) 2016/679 (27). Poleg tega se UK GDPR uporablja za obdelavo neavtomatiziranih in nestrukturiranih osebnih podatkov (28), ki jih hranijo nekateri javni organi v Združenem kraljestvu (29), čeprav se načela in pravice iz UK GDPR, ki se ne nanašajo na take osebne podatke, na podlagi členov 24 in 25 zakona o varstvu podatkov iz leta 2018 ne uporabljajo. Podobno kot na podlagi Uredbe (EU) 2016/679 tudi na podlagi UK GDPR velja, da se ta ne uporablja, kadar osebne podatke obdeluje fizična oseba zgolj med izvajanjem popolnoma osebne ali domače dejavnosti (30).

(21)

Področje uporabe UK GDPR vključuje tudi obdelavo v okviru dejavnosti, ki je bila tik pred iztekom prehodnega obdobja zunaj področja uporabe prava Evropske unije (npr. nacionalna varnost) (31) ali ki je spadala na področje uporabe poglavja 2 naslova 5 Pogodbe o Evropski uniji (dejavnosti skupne zunanje in varnostne politike) (32). Tako kot v sistemu Evropske unije se UK GDPR ne uporablja za obdelavo osebnih podatkov, ki jo izvaja pristojni organ z namenom preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem (tako imenovani namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj) – tako obdelavo ureja del 3 zakona o varstvu podatkov iz leta 2018, tako kot Direktiva (EU) 2016/680 v okviru prava Evropske unije – ali za obdelavo osebnih podatkov s strani obveščevalnih služb (varnostna služba (Security Service), tajna obveščevalna služba (Secret Intelligence Service) in vladna obveščevalna služba GCHQ), ki jo ureja del 4 zakona o varstvu podatkov iz leta 2018 (33).

(22)

Ozemeljska veljavnost UK GDPR je navedena v členu 3 UK GDPR (34) in vključuje obdelavo osebnih podatkov (ne glede na to, kje se ta izvaja) v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Združenem kraljestvu ter obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Združenem kraljestvu, kadar so dejavnosti obdelave povezane z nudenjem blaga ali storitev takim posameznikom ali s spremljanjem njihovega vedenja (35) To odraža pristop iz člena 3 Uredbe (EU) 2016/679.

(23)

V UK GDPR so brez bistvenih posegov ohranjene opredelitve pojmov osebni podatki, obdelava, upravljavec, obdelovalec ter psevdonimizacija iz Uredbe (EU) 2016/679 (36). Nadalje, posebne vrste podatkov so v členu 9(1) UK GDPR opredeljene enako kot v Uredbi (EU) 2016/679 („ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo“). Člen 205 zakona o varstvu podatkov iz leta 2018 vsebuje opredelitev pojma „biometričnih podatkov“ (37), „podatkov o zdravstvenem stanju“ (38) in „genetskih podatkov“ (39).

(24)

Osebni podatki se morajo obdelovati zakonito in pošteno.

(25)

Načela zakonitosti, poštenosti in preglednosti ter razlogi, na podlagi katerih je obdelava zakonita, so v zakonodaji Združenega kraljestva zagotovljeni na podlagi člena 5(1)(a) in člena 6(1) UK GDPR, ki sta enaka zadevnima določbama iz Uredbe (EU) 2016/679 (40). Člen 8 zakona o varstvu podatkov iz leta 2018 dopolnjuje člen 6(1)(e), saj določa, da obdelava osebnih podatkov na podlagi člena 6(1)(e) UK GDPR (ki je potrebna za izvajanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu) vključuje obdelavo osebnih podatkov, ki je potrebna za izvajanje sodne oblasti, izvrševanje nalog spodnjega ali zgornjega doma parlamenta, izvrševanje nalog, za katere je oseba pooblaščena na podlagi pravnega akta ali pravnega pravila, izvrševanje nalog države, nižjega ministra ali vladne službe, ali za izvajanje dejavnosti, ki podpira ali spodbuja demokratično udeležbo.

(26)

V zvezi s privolitvijo (enem od razlogov, na podlagi katerih je obdelava zakonita) UK GDPR prav tako ohranja pogoje iz člena 7 Uredbe (EU) 2016/679 nespremenjene, tj. upravljavec mora biti zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil, predložena mora biti pisna zahteva za privolitev v jasnem in preprostem jeziku, posameznik, na katerega se nanašajo osebni podatki, mora imeti pravico, da kadar koli prekliče privolitev, pri ugotavljanju, ali je bila privolitev dana prostovoljno, pa je treba upoštevati, ali je izvajanje pogodbe pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe. Poleg tega je v skladu s členom 8 UK GDPR v zvezi z zagotavljanjem storitev informacijske družbe privolitev otroka zakonita le, če je otrok star vsaj 13 let. To spada v starostno mejo iz člena 8 Uredbe (EU) 2016/679.

(27)

Glede obdelave posebnih vrst podatkov bi morali veljati posebni zaščitni ukrepi.

(28)

UK GDPR in zakon o varstvu podatkov iz leta 2018 vsebujeta posebna pravila glede obdelave posebnih vrst osebnih podatkov, ki so v členu 9(1) UK GDPR opredeljeni enako kot v Uredbi (EU) 2016/679 (glej uvodno izjavo (23) above). V skladu s členom 9 UK GDPR je obdelava posebnih vrst podatkov načeloma prepovedana, razen če se uporablja posebna izjema.

(29)

Te izjeme (navedene v členu 9(2) in (3) UK GDPR) nikakor ne spreminjajo vsebine člena 9(2) in (3) Uredbe (EU) 2016/679. Razen če je posameznik, na katerega se nanašajo osebni podatki, izrecno privolil v obdelavo navedenih osebnih podatkov, je obdelava posebnih vrst osebnih podatkov dovoljena le v specifičnih in omejenih okoliščinah. V večini primerov mora biti obdelava občutljivih podatkov potrebna zaradi posebnega namena, opredeljenega v zadevni določbi (glej člen 9(2)(b), (c), (f), (g), (h), (i) in (j)).

(30)

Poleg tega velja, da kadar izjema na podlagi člena 9(2) UK GDPR zahteva pooblastilo na podlagi zakona ali se nanaša na javni interes, člen 10 zakona o varstvu podatkov iz leta 2018 v povezavi z dodatkom 1 k navedenemu zakonu nadalje določa pogoje, ki morajo biti izpolnjeni za uporabo izjeme. Na primer pri obdelavi občutljivih podatkov za namen varstva javnega zdravja (glej člen 9(2)(i) UK GDPR) točka 3(b) dela 1 dodatka 1 zahteva, da je poleg pogoja preskusa potrebnosti izpolnjen tudi pogoj, da tako obdelavo izvaja „zdravstveni delavec ali da se izvaja v okviru njegove pristojnosti“ ali da jo izvaja „druga oseba, ki je dolžna varovati zaupnost na podlagi pravnega akta ali pravnega pravila“, tudi na podlagi uveljavljene obveznosti varovanja zaupnosti na podlagi občega prava.

(31)

Kadar se občutljivi podatki obdelujejo zaradi bistvenega javnega interesa (člen 9(2)(g) UK GDPR), del 2 dodatka 1 k zakonu o varstvu podatkov iz leta 2018 določa izčrpen seznam namenov, ki se lahko štejejo za bistven javni interes, ter za vsakega od navedenih namenov določa posebne dodatne pogoje. Na primer spodbujanje rasne in etnične raznolikosti v višjih ravneh organizacij se šteje za bistven javni interes. Glede obdelave občutljivih podatkov za ta specifični namen veljajo podrobne zahteve, vključno z zahtevo, da se obdelava izvaja kot del postopka identifikacije primernih posameznikov za najvišja mesta, če je treba spodbujati rasno in etnično raznolikost in če ni verjetno, da bi to posamezniku, na katerega se nanašajo osebni podatki, povzročilo znatno škodo ali stisko.

(32)

Člen 11(1) zakona o varstvu podatkov iz leta 2018 določa pogoje, na podlagi katerih je mogoče obdelovati osebne podatke v okoliščinah, opisanih v členu 9(3) UK GDPR), ki se nanašajo na ohranjanje tajnosti. To vključuje okoliščine, v katerih obdelavo izvaja zdravstveni ali socialni delavec ali druga oseba, ki mora v zadevnih okoliščinah varovati zaupnost na podlagi pravnega akta ali pravnega pravila, ali kadar se obdelava izvaja v okviru pristojnosti take osebe.

(33)

Poleg tega številne izjeme, navedene v členu 9(2) UK GDPR za uporabo zahtevajo ustrezne in specifične zaščitne ukrepe. Odvisno od vrste obdelave in stopnje tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, so s pogoji za obdelavo iz dodatka 1 k zakonu o varstvu podatkov iz leta 2018 vzpostavljeni različni zaščitni ukrepi. Dodatek 1 določa pogoje za vsak primer okoliščin obdelave posamezno.

(34)

V nekaterih primerih zakon o varstvu podatkov iz leta 2018 ureja in omejuje vrsto občutljivih podatkov, ki jih je mogoče obdelovati, da se zagotovi skladnost s specifično pravno podlago. Na primer točka 8 dodatka 1 dovoljuje obdelavo občutljivih podatkov za namene spodbujanja enakih možnosti ali enake obravnave. Ta pogoj za obdelavo je mogoče uporabiti le, če podatki razkrivajo raso ali narodnost, versko ali filozofsko prepričanje, spolno usmerjenost ali če gre za podatke o zdravstvenem stanju.

(35)

V nekaterih primerih zakon o varstvu podatkov iz leta 2018 omejuje vrsto upravljavca, ki lahko uporablja izjemo glede obdelave. Na primer točka 23 dodatka 1 določa obdelavo občutljivih podatkov v zvezi z odzivi izvoljenih predstavnikov javnosti. Ta izjema glede obdelave se lahko uporabi le, če je upravljavec izvoljeni predstavnik ali druga oseba, ki deluje na podlagi njegovih pristojnosti.

(36)

V nekaterih drugih primerih zakon o varstvu podatkov iz leta 2018 glede pogoja obdelave, ki se uporabi, določa omejitve glede kategorij posameznikov, na katere se nanašajo osebni podatki. Na primer točka 21 dodatka 1 ureja obdelavo občutljivih podatkov za namene shem poklicnih pokojnin. Ta pogoj je mogoče uporabiti le, če je zadevni posameznik, na katerega se nanašajo osebni podatki, sorojenec, starš, stari starš ali starš starega starša člana sheme.

(37)

Poleg tega velja, da kadar se uporabi izjema iz člena 9(2) UK GDPR, ki je nadalje opredeljena v členu 10 zakona o varstvu podatkov iz leta 2018, v povezavi z dodatkom 1 k navedenemu zakonu, mora upravljavec v večini primerov sestaviti dokument o ustrezni politiki (Appropriate Policy Document). V njem morajo biti orisani postopki upravljavca za zagotavljanje skladnosti z načeli iz člena 5 UK GDPR. Vsebovati mora tudi politike za hrambo in izbris ter navedbo verjetnega obdobja hrambe. Upravljavci morajo navedeni dokument po potrebi pregledati in posodobiti. Upravljavec mora dokument o politiki hraniti še šest mesecev po koncu obdelave in ga predložiti na zahtevo informacijskega pooblaščenca (41).

(38)

V skladu s točko 41 dodatka 1 k zakonu o varstvu podatkov iz leta 2018 mora biti dokumentu o politiki vedno priložena posodobljena evidenca obdelave. Ta evidenca mora vsebovati zaveze iz dokumenta o politiki, tj. ali se podatki brišejo oziroma hranijo v skladu s politikami. Če se politike ne upoštevajo, mora biti v dnevniku naveden razlog za to. V evidencah mora biti tudi opisano, kako se zagotavlja skladnost obdelave s členom 6 UK GDPR (zakonitost obdelave) in z zadevnimi posebnimi pogoji iz dodatka 1 k zakona o varstvu podatkov iz leta 2018.

(39)

Nazadnje, tako kot Uredba (EU) 2016/679 tudi UK GDPR določa splošne zaščitne ukrepe za nekatera dejanja obdelave posebnih vrst podatkov. Člen 35 UK GDPR določa, da mora biti izvedena ocena učinka v zvezi z varstvom podatkov, kadar se v velikem obsegu obdelujejo posebne vrste podatkov. V skladu s členom 37 UK GDPR mora upravljavec ali obdelovalec imenovati pooblaščeno osebo za varstvo podatkov, kadar njegova temeljna dejavnost vključuje obsežno obdelavo posebnih vrst podatkov.

(40)

Glede osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški je člen 10 UK GDPR enak členu 10 Uredbe (EU) 2016/679. Ta omogoča obdelavo osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški le pod nadzorom uradnega organa ali če obdelavo dovoljuje notranje pravo, ki zagotavlja ustrezne zaščitne ukrepe za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

(41)

Kadar se obdelava podatkov v zvezi s kazenskimi obsodbami in prekrški ne izvaja pod nadzorom uradnega organa, člen 10(5) zakona o varstvu podatkov iz leta 2018 določa, da je taka obdelava mogoča le za posebne namene oziroma v posebnih okoliščinah, navedenih v delih 1, 2 in 3 dodatka 1 k zakonu o varstvu podatkov iz leta 2018, zanjo pa veljajo posebne zahteve, ki so določene za vsakega od navedenih namenov oziroma okoliščin. Podatke o kazenskih obsodbah lahko na primer obdelujejo nepridobitni organi, če (a) obdelavo pri svojih zakonitih dejavnostih z ustreznimi zaščitnimi ukrepi izvaja ustanova, združenje ali drug nepridobitni organ s političnim, filozofskim, verskim ali sindikalnim ciljem in (b) pod pogojem, da (i) se obdelava nanaša samo na člane oziroma nekdanje člane organa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, in (ii) da se podatki ne posredujejo tretji osebi brez privolitve posameznikov, na katere se nanašajo.

(42)

Nadalje, del 3 dodatka 1 k zakonu o varstvu podatkov iz leta 2018 določa nadaljnje okoliščine, v katerih je mogoče uporabiti podatke o kazenskih obsodbah in ki ustrezajo pravnim razlogom za obdelavo občutljivih podatkov iz člena 9(2) Uredbe (EU) 2016/679 in UK GDPR (npr. privolitev posameznika, na katerega se nanašajo osebni podatki; življenjski interesi takega posameznika, če ta pravno ali fizično ne more izraziti privolitve; če je posameznik, na katerega se nanašajo osebni podatki, te že očitno sam objavil; če je obdelava potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov itd.).

(43)

Osebni podatki bi se morali obdelovati za določen namen in se nato uporabljati samo, če to ni nezdružljivo z namenom obdelave.

(44)

To načelo je določeno v členu 5(1)(b) Uredbe (EU) 2016/679 in je nespremenjeno ohranjeno v členu 5(1)(b) UK GDPR. Pogoji nadaljnje združljive obdelave na podlagi člena 6(4) Uredbe (EU) 2016/679 so bili prav tako brez bistvenih sprememb ohranjeni v členu 6(4)(a) do (e) UK GDPR.

(45)

Še več, podatki morajo biti točni in po potrebi posodobljeni. Prav tako morajo biti osebni podatki ustrezni in relevantni ter ne smejo presegati namenov, za katere se obdelujejo; načeloma se jih ne sme hraniti dlje, kot je potrebno za namene, za katere se obdelujejo.

(46)

Ta načela najmanjšega obsega podatkov, točnosti in omejitve hrambe so opredeljena v členu 5(1)(c) do (e) Uredbe (EU) 2016/679 ter so brez sprememb ohranjena v členu 5(1)(c) do (e) UK GDPR.

(47)

Osebni podatki se morajo tudi obdelovati tako, da se zagotavlja njihovo varstvo, vključno z zaščito pred nepooblaščeno ali nezakonito obdelavo in pred nenamerno izgubo, uničenjem ali poškodovanjem. Zato morajo poslovni subjekti sprejeti ustrezne tehnične ali organizacijske ukrepe za varstvo osebnih podatkov pred morebitnimi grožnjami. Navedene ukrepe je treba presojati glede na najsodobnejšo tehnologijo in zadevne stroške.

(48)

Varstvo podatkov je v pravu Združenega kraljestva zagotovljeno na podlagi načela celovitosti in zaupnosti iz člena 5(1)(f) UK GDPR ter v členu 32 UK GDPR o varnosti obdelave. Navedene določbe so enake relevantnim določbam v Uredbi (EU) 2016/679. Poleg tega UK GDPR pod enakimi pogoji, kot so določeni v členih 33 in 34 Uredbe (EU) 2016/679, zahteva obveščanje nadzornega organa o kršitvi varstva osebnih podatkov (člen 33 UK GDPR) in sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov (člen 34 UK GDPR).

(49)

Posamezniki, na katere se nanašajo osebni podatki, morajo biti obveščeni o glavnih značilnostih obdelave svojih osebnih podatkov.

(50)

To zagotavljata člena 13 in 14 UK GDPR, ki poleg splošnega načela preglednosti določata pravila o informacijah, ki se morajo zagotoviti posamezniku, na katerega se nanašajo osebni podatki (42). UK GDPR ne uvaja nobenih bistvenih sprememb teh pravil v primerjavi z ustreznimi členi Uredbe (EU) 2016/679. Vendar pa za zahteve glede preglednosti v navedenih členih tako kot na podlagi Uredbe (EU) 2016/679 velja več izjem, ki so določene v zakona o varstvu podatkov iz leta 2018 (glej uvodne izjave (55) do (72)).

(51)

Posamezniki, na katere se nanašajo osebni podatki, bi morali imeti določene pravice, ki jih lahko uresničujejo zoper upravljavca ali obdelovalca, zlasti pravico do dostopa do podatkov, pravico ugovarjati obdelavi in pravico do popravka in izbrisa podatkov. Hkrati so te pravice lahko omejene, če so take omejitve potrebne in sorazmerne za zaščito javne varnosti ali za doseganje drugih pomembnih ciljev splošnega javnega interesa.

(52)

UK GDPR posameznikom priznava enake izvršljive pravice kot Uredba (EU) 2016/679. Določbe o pravicah posameznikov so v UK GDPR ohranjene brez bistvenih sprememb.

(53)

Navedene pravice vključujejo pravico posameznika, na katerega se nanašajo osebni podatki, do dostopa do takih podatkov (člen 15 UK GDPR), pravico do popravka (člen 16 UK GDPR), pravico do izbrisa (člen 17 UK GDPR), pravico do omejitve obdelave (člen 18 UK GDPR), obveznost obveščanja o popravku ali izbrisu osebnih podatkov ali o omejitvi obdelave (člen 19 UK GDPR), pravico do prenosljivosti podatkov (člen 20 UK GDPR) ter pravico do ugovora (člen 21 UK GDPR) (43). Slednja vključuje tudi pravico posameznika, na katerega se nanašajo osebni podatki, ugovarjati obdelavi osebnih podatkov za namene neposrednega trženja, kot je določeno v členu 21(2) in (3) Uredbe (EU) 2016/679. Nadalje, na podlagi člena 122 zakona o varstvu podatkov iz leta 2018 mora informacijski pooblaščenec pripraviti kodeks ravnanja v zvezi z izvajanjem neposrednega trženja v skladu z zahtevami zakonodaje o varstvu podatkov (ter predpisov o zasebnosti in elektronskih komunikacijah iz leta 2003 (direktiva ES) (Privacy and Electronic Communications (EC Directive) Regulations 2003)) ter druge smernice za spodbujanje dobrih praks pri neposrednem trženju, za katere informacijski pooblaščenec meni, da so ustrezne. Urad informacijskega pooblaščenca trenutno pripravlja kodeks neposrednega trženja (44).

(54)

V UK GDPR je bila brez vsebinskih sprememb ohranjena tudi pravica posameznika, na katerega se nanašajo osebni podatki, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva, kakor je določeno v členu 22 splošne uredbe o varstvu podatkov. Dodan pa je bil nov odstavek 3A s sklicem na člen 14 zakona o varstvu podatkov iz leta 2018, ki določa zaščitne ukrepe glede pravic, svoboščin in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, kadar se obdelava izvaja na podlagi člena 22(2)(b) UK GDPR. To se uporablja le, kadar je temelj za tako odločitev pooblastilo ali zahteva na podlagi prava Združenega kraljestva, ne uporablja pa se, kadar je odločitev potrebna na podlagi pogodbe ali sprejeta na podlagi izrecne privolitve posameznika, na katerega se nanašajo osebni podatki. Kadar se uporablja člen 14 zakona o varstvu podatkov iz leta 2018, mora upravljavec posameznika, na katerega se nanašajo osebni podatki, v najkrajšem možnem času pisno obvestiti, da je bila odločitev sprejeta le na podlagi avtomatizirane obdelave. Posameznik, na katerega se nanašajo osebni podatki, ima pravico zahtevati, da upravljavec v enem mesecu od prejema obvestila odločitev ponovno prouči, ali pa sprejme novo odločitev, ki ne temelji zgolj na podlagi avtomatizirane obdelave. Pristojni minister lahko sprejema nadaljnje zaščitne ukrepe glede avtomatiziranega odločanja. Ta pristojnost še ni bila izkoriščena.

(55)

Zakon o varstvu podatkov iz leta 2018 določa več omejitev pravic posameznikov, ki ustrezajo okviru člena 23 UK GDPR. Okvir ne vsebuje omejitev pravice do ugovora neposrednemu trženju, kot je določena v členu 21(2) in (3) UK GDPR, ali pravice, da za posameznika ne velja odločitev, ki bi temeljila zgolj na avtomatizirani obdelavi, kakor je določena v členu 22 UK GDPR.

(56)

Omejitve so navedene v dodatkih 2 do 4 k zakonu o varstvu podatkov iz leta 2018. Organi Združenega kraljestva so pojasnili, da morajo upoštevati dve načeli: načelo specifičnosti (vprašanja je treba obravnavati podrobno in razdeliti široke omejitve v več bolj specifičnih določb) ter načelo pogojenosti (vsako določbo spremljajo zaščitni ukrepi v obliki omejitev ali pogojev, da se preprečijo zlorabe) (45).

(57)

Namen omejitev iz člena 23(1) UK GDPR je zagotoviti, da se uporabljajo le v specifičnih okoliščinah, kadar je to v demokratični družbi potrebno in kadar je sorazmerno glede na zakoniti cilj omejitve. Poleg tega v skladu z uveljavljeno sodno prakso o razlagi omejitev velja, da se lahko izjema od ureditve varstva podatkov v posameznem primeru uporabi le, če je to potrebno in sorazmerno (46). Preskus, ali je izjema potrebna, mora biti „strog, saj mora biti vsak poseg v pravice posameznika sorazmeren resnosti grožnje javnemu interesu. To torej zahteva klasično analizo sorazmernosti (47).“

(58)

Cilj teh omejitev ustreza omejitvam v členu 23 Uredbe (EU) 2016/679, razen glede omejitev v zvezi z nacionalno varnostjo in obrambo, ki so urejene v členu 26 zakona o varstvu podatkov iz leta 2018, vendar zanje veljajo enake zahteve glede potrebnosti in sorazmernosti (glej uvodne izjave (63) do (66)).

(59)

Nekatere od omejitev, na primer tiste, ki se nanašajo na preprečevanje ali odkrivanje kaznivih dejanj, prijetje ali pregon storilcev ter izračun ali zbiranje davkov ali dajatev (48), dovoljujejo omejitve vseh pravic posameznikov in obveznosti glede preglednosti (razen pravic na podlagi člena 21(2) in člena 22). Obseg drugih omejitev je omejen na obveznosti glede preglednosti in pravic do dostopa, na primer omejitev, ki se nanašajo na varovanje zaupnosti sporazumevanja med odvetnikom in stranko (49), na pravico, da posamezniku ni treba izpovedati zoper sebe (50), in na financiranje podjetja, predvsem trgovanje na podlagi notranjih informacij (51). Nekaj omejitev omogoča omejevanje obveznosti upravljavca glede obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva podatkov ter načel omejevanja namena, zakonitosti, poštenosti in preglednosti obdelave (52).

(60)

Nekatere omejitve se samodejno v celoti uporabljajo za nekatere vrste obdelave osebnih podatkov (uporaba obveznosti v zvezi s preglednostjo in pravic posameznikov je na primer izključena, kadar se osebni podatki obdelujejo za namene presoje primernosti posameznika za sodno funkcijo ali kadar osebne podatke obdeluje sodišče ali posameznik, ki izvršuje sodno pristojnost).

(61)

Vendar pa v večini primerov zadevna točka v dodatku 2 k zakonu o varstvu podatkov iz leta 2018 določa, da se omejitve uporabljajo le, kadar in kolikor bi uporaba določb „verjetno posegala“ v zakoniti cilj zadevne omejitve: navedene določbe UK GDPR se na primer ne uporabljajo za osebne podatke, ki se obdelujejo zaradi preprečevanja ali odkrivanja kaznivih dejanj, prijetja ali pregona storilcev ali zaradi izračuna oziroma zbiranja davkov oziroma dajatev, „če bi uporaba navedenih določb verjetno posegala“ v katero koli od navedenih zadev (53).

(62)

Standard, „da bi verjetno posegalo“ so sodišča Združenega kraljestva razlagala tako, da obstaja „znatna in pomembna verjetnost poseganja v opredeljene javne interese“ (54). Na omejitev, za katero je treba izvesti preskus glede poseganja, se je torej mogoče sklicevati le, če je zelo verjetno, da bi podelitev določene pravice škodovala zadevnemu javnemu interesu. Upravljavec mora za vsak primer posebej oceniti, ali so ti pogoji izpolnjeni (55).

(63)

Poleg omejitev iz dodatka 2 k zakonu o varstvu podatkov iz leta 2018 člen 26 navedenega zakona določa izjemo, ki jo je mogoče uporabiti pri nekaterih določbah UK GDPR in zakona o varstvu podatkov iz leta 2018, če je taka izjema potrebna za zagotavljanje nacionalne varnosti ali v obrambne namene. Ta izjema se nanaša na načela o varstvu podatkov (razen na načelo zakonitosti), na obveznost preglednosti, pravice posameznikov, na katere se nanašajo osebni podatki, obveznost obveščanja o kršitvi varstva podatkov, pravila o mednarodnih prenosih, nekatere obveznosti in pristojnosti informacijskega pooblaščenca ter na pravila o pravnih sredstvih, odgovornosti in sankcijah, razen glede določbe o splošnih pogojih za uvedbo upravnih glob iz člena 83 UK GDPR in določbe o sankcijah iz člena 84 UK GDPR. Nadalje, člen 28 zakona o varstvu podatkov iz leta 2018 spreminja uporabo člena 9(1), da se omogoči obdelava posebnih vrst podatkov iz člena 9(1) UK GDPR, če se obdelava izvaja za zagotavljanje nacionalne varnosti ali v obrambne namene ter ob upoštevanju ustreznih zaščitnih ukrepov za varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki (56).

(64)

Izjema se lahko uporabi le, kolikor je potrebno za zagotavljanje nacionalne varnosti ali obrambe. Tako kot velja tudi pri drugih izjemah na podlagi zakona o varstvu podatkov iz leta 2018, mora upravljavec to izjemo proučiti in uporabiti za vsak primer posebej. Nadalje, vsaka uporaba izjeme mora biti v skladu s standardi, ki veljajo za človekove pravice (na podlagi zakona o človekovih pravicah iz leta 1998), v skladu s katerimi mora biti v demokratični družbi vsak poseg v pravice do zasebnosti potreben in sorazmeren (57).

(65)

To razlago izvzetja potrjuje urad informacijskega pooblaščenca, ki je izdal podrobne smernice o uporabi izjeme glede nacionalne varnosti in obrambe, pri čemer je jasno, da jo mora upravljavec obravnavati in uporabiti za vsak primer posebej (58). V smernicah je poudarjeno, da ne gre za splošno izjemo in da se nanjo ni mogoče sklicevati samo zato, ker se podatki obdelujejo za namene nacionalne varnosti. Upravljavec mora pri sklicevanju nanjo dokazati, da obstaja resnična možnost negativnega učinka za nacionalno varnost, in od njega se po po potrebi pričakuje, da bo [uradu informacijskega pooblaščenca] predložil dokaze o tem, zakaj jo je uporabil. Smernice vsebujejo kontrolni seznam in vrsto primerov za nadaljnjo pojasnitev pogojev, pod katerimi se to izvzetje lahko uveljavlja.

(66)

Zgolj dejstvo, da se podatki obdelujejo za namene nacionalne varnosti ali obrambe, torej samo po sebi ne zadošča za uporabo izjeme. Upravljavec mora proučiti dejanske posledice za nacionalno varnost, če bi moral upoštevati posamezno določbo o varstvu podatkov. Izjema se lahko uporabi le pri posebnih določbah, za katere je bilo ugotovljeno, da pomenijo tveganje, in jo je treba uporabiti kolikor je mogoče omejujoče (59).

(67)

Ta pristop je potrdilo tudi sodišče Information Tribunal (60). V zadevi Baker v Secretary of State for the Home Department (v nadaljnjem besedilu: Baker proti Secretary of State) je ugotovilo, da je nezakonito uporabiti izjemo zaradi nacionalne varnosti kar na splošno glede vseh zahtev za dostop do podatkov, ki jih prejmejo obveščevalne službe. Namesto tega je treba izjemo uporabiti v vsakem primeru posebej in vsako zahtevo vsebinsko proučiti, tudi z vidika pravice posameznikov do spoštovanja njihovega zasebnega življenja (61).

(68)

Člen 85(2) UK GDPR omogoča, da se obdelava osebnih podatkov za novinarske umetniške , akademske,in književne namene izvzame iz uporabe več določb UK GDPR. Del 5 dodatka 2 k zakonu o varstvu podatkov iz leta 2018 določa izjeme glede obdelave za navedene namene. Določa izjeme od načel o varstvu podatkov (razen od načela celovitosti in zaupnosti), pravno podlago za obdelavo (vključno s posebnimi vrstami podatkov in podatki v zvezi s kazenskimi obsodbami ipd.), pogoje privolitve, obveznosti glede preglednosti, pravice posameznikov, na katere se nanašajo osebni podatki, obveznost obveščanja o kršitvi varstva podatkov, zahtevo glede posvetovanja z informacijskim pooblaščencem pred izvedbo visoko tvegane obdelave podatkov in pravila o mednarodnih prenosih (62). V tem smislu se UK GDPR vsebinsko ne razlikuje od Uredbe (EU) 2016/679, ki v členu 85 prav tako omogoča izjemo glede obdelave v novinarske namene ali zaradi akademskega, umetniškega ali književnega izražanja od zahtev Uredbe (EU) 2016/679. Določbe zakona o varstvu podatkov iz leta 2018, predvsem del 5 dodatka 2, so skladne z UK GDPR.

(69)

Ključna presoja, ki jo je treba izvesti na podlagi člena 85 UK GDPR, se nanaša na vprašanje, ali je izjema od pravil o varstvu podatkov iz uvodne izjave (68) „potrebna za uravnoteženje pravice do varstva osebnih podatkov s svobodo izražanja in obveščanja“ (63). Na podlagi točke 26(2) in (3) dodatka 2 k zakonu o varstvu podatkov iz leta 2018 Združeno kraljestvo pri taki presoji uporablja preskus „razumne domneve“. Izjema je upravičena, če upravljavec razumno domneva (i) da je objava v javnem interesu, in (ii) da uporaba zadevnih določb UK GDPR ne bi bila skladna z obdelavo za novinarske, akademske, umetniške in književne namene. V skladu s sodno prakso (64) ima preskus „razumne domneve“ subjektivno in objektivno komponento: ne zadošča, če upravljavec dokaže, da je sam osebno domneval, da upoštevanje ne bi bilo skladno. Njegova domneva mora biti utemeljena, tj. enako mora domnevati vsaka razumna oseba, ki pozna zadevna dejstva. Upravljavec mora torej pri odločanju ravnati s potrebno skrbnostjo, da lahko dokaže razumnost. Iz pojasnil organov Združenega kraljestva izhaja, da je treba preskus „razumne domneve“ izvesti pri uporabi vsake izjeme posebej (65). Če so pogoji izpolnjeni, se šteje, da je izjema potrebna in sorazmerna na podlagi prava Združenega kraljestva.

(70)

Na podlagi člena 124 zakona o varstvu podatkov iz leta 2018 mora urad informacijskega pooblaščenca pripraviti kodeks ravnanja glede varstva podatkov na področju novinarstva. Navedeni kodeks je v pripravi. Izdane so bile smernice o vprašanjih v zvezi z zakonom o varstvu podatkov iz leta 1998, v katerih je poudarjeno predvsem, da za uporabo navedene izjeme ne zadošča zgolj navesti, da bi zagotavljanje skladnosti povzročalo nevšečnosti pri izvajanju novinarskih dejavnosti, ampak mora obstajati jasen argument, da zadevna določba pomeni oviro odgovornemu novinarstvu (66). Smernice glede uporabe preskusa javnega interesa in glede tehtanja javnega interesa z interesom posameznika do zasebnosti sta objavila tudi britanski regulator telekomunikacij OFCOM in BBC v okviru svojih uredniških smernic (67). Smernice vsebujejo predvsem primere informacij, za katere se lahko šteje, da so v javnem interesu, ter pojasnjujejo, da je treba dokazati, da v okviru posebnih okoliščin primera javni interes prevlada nas pravicami do zasebnosti.

(71)

Podobno kot na podlagi člena 89 UK GDPR je mogoče iz uporabe več določb UK GDPR izvzeti tudi osebne podatke, ki se obdelujejo za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene (68). V zvezi z raziskovalnimi in statističnimi nameni so izjeme mogoče glede določb UK GDPR, ki se nanašajo na potrditev obdelave, dostop do podatkov in zaščitne ukrepe za prenos v tretje države, pravico do popravka, omejitev obdelave in ugovor obdelavi. Glede arhiviranja v javnem interesu so izjeme mogoče tudi glede obveznosti obveščanja o popravku ali izbrisu osebnih podatkov ali glede omejitve obdelave, pa tudi glede pravice do prenosljivosti podatkov.

(72)

V skladu s točkama 27(1) in 28(1) dodatka 2 k zakonu o varstvu podatkov iz leta 2018 so izjeme od določb, navedenih v UK GDPR, mogoče, kadar bi uporaba določbe „onemogočila ali resno ovirala doseganje“ zadevnih namenov (69).

(73)

Glede na njihov pomen za učinkovito uveljavljanje pravic posameznikov se bodo v okviru stalnega spremljanja tega sklepa ustrezno upoštevale vse pomembne spremembe v zvezi z razlago in uporabo navedenih izjem v praksi (poleg tistih, ki se nanašajo na ohranjanje učinkovitega nadzora priseljevanja, kot je pojasnjeno v uvodni izjavi (6)), vključno z nadaljnjim razvojem sodne prakse ter smernic in izvršilnih ukrepov urada informacijskega pooblaščenca (70).

(74)

Raven varstva, ki se zagotavlja osebnim podatkom, prenesenim iz Evropske unije upravljavcem ali obdelovalcem v Združenem kraljestvu, se ne sme poslabšati z nadaljnjim prenosom takih podatkov prejemnikom v tretji državi. Taki „nadaljnji prenosi“ podatkov, ki z vidika upravljavca ali obdelovalca iz Združenega kraljestva pomenijo mednarodni prenos iz Združenega kraljestva, bi morali biti dovoljeni le, kadar tudi za nadaljnjega prejemnika zunaj Združenega kraljestva veljajo pravila, ki zagotavljajo podobno raven varstva, kot je zagotovljena v okviru pravnega reda Združenega kraljestva. Zato je uporaba pravil iz UK GDPR in iz zakona o varstvu podatkov iz leta 2018 o mednarodnih prenosih osebnih podatkov pomemben dejavnik za zagotavljanje nadaljnjega varstva v primeru, ko se na podlagi tega sklepa prenašajo osebni podatki iz Evropske unije v Združeno kraljestvo.

(75)

Ureditev mednarodnega prenosa osebnih podatkov iz Združenega kraljestva je določena v členih 44 do 49 UK GDPR, kakor je bila dopolnjena z zakonom o varstvu podatkov iz leta 2018, in odraža ureditev iz poglavja V Uredbe (EU) 2016/679 (71). Osebni podatki se lahko prenašajo v tretjo državo ali mednarodno organizacijo le na podlagi predpisov o ustreznosti (instrument, ki je v Združenem kraljestvu enak sklepu o ustreznosti na podlagi Uredbe (EU) 2016/679), če takih predpisov o ustreznosti ni, pa kadar upravljavec ali obdelovalec zagotovi ustrezne zaščitne ukrepe, v skladu s členom 46 UK GDPR. Če ne obstajajo niti predpisi o ustreznosti, niti ustrezni zaščitni ukrepi, se lahko podatki prenašajo le na podlagi odstopanj iz člena 49 UK GDPR.

(76)

Predpisi o ustreznosti, ki jih izda pristojni minister, lahko določajo, da tretja država (ali ozemlje oziroma področje znotraj tretje države), mednarodna organizacija ali opis (72) take države, ozemlja, področja ali organizacije zagotavlja ustrezno raven varstva osebnih podatkov. Pri presoji ustreznosti ravni varstva mora pristojni minister upoštevati iste elemente, kot jih mora proučiti Komisija na podlagi člena 45(2)(a) do (c) Uredbe (EU) 2016/679, v povezavi z uvodno izjavo 104 navedene uredbe, ter ohranjene sodne prakse EU. To pomeni, da je pri presoji ustrezne ravni varstva v tretji državi zadevni standard, ali zadevna tretja država zagotavlja raven varstva, ki je „v osnovi enakovredna“ tisti, ki se zagotavlja v Združenem kraljestvu.

(77)

Glede postopka se za predpise o ustreznosti uporabljajo „splošne“ procesne zahteve iz člena 182 zakona o varstvu podatkov iz leta 2018. V skladu s tem postopkom se mora pristojni minister pred sprejetjem predpisov Združenega kraljestva o ustreznosti posvetovati z informacijskim pooblaščencem (73). Ko pristojni minister sprejme navedene predpise, se jih predloži parlamentu, ki jih obravnava v postopku tako imenovane negativne potrditve, v katerem lahko oba domova parlamenta proučita predpise in jih v 40 dneh razveljavita (74).

(78)

V skladu s členom 17B(1) zakona o varstvu podatkov iz leta 2018 je treba predpise o ustreznosti preverjati na največ štiri leta, pristojni minister pa mora redno spremljati dogajanje v tretjih državah in mednarodnih organizacijah, ki bi lahko vplivalo na odločitve o sprejemanju predpisov o ustreznosti, njihovem spreminjanju ali odpravi. Če pristojni minister izve, da določena država ali organizacija ne zagotavlja več ustrezne ravni varstva osebnih podatkov, mora po potrebi spremeniti ali odpraviti navedene predpise ter se z zadevno tretjo državo ali mednarodno organizacijo posvetovati o izboljšanju ravni varstva. Ti procesni vidiki odražajo ustrezne zahteve iz Uredbe (EU) 2016/679.

(79)

Če predpisi o ustreznosti niso sprejeti, se lahko mednarodni prenosi podatkov izvajajo, če upravljavec ali obdelovalec zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 UK GDPR. Ti zaščitni ukrepi so podobni tistim iz člena 46 Uredbe (EU) 2016/679. Vključujejo pravno zavezujoče in izvršljive instrumente med javnimi organi ali telesi, zavezujoča poslovna pravila (75), standardne klavzule o varstvu podatkov, odobrene kodekse ravnanja, odobrene mehanizme certificiranja ter ob odobritvi informacijskega pooblaščenca pogodbene klavzule med upravljavci (ali obdelovalci) oziroma upravne dogovore med javnimi organi. Vendar pa so bila pravila s procesnega vidika spremenjena tako, da delujejo v okviru Združenega kraljestva; standardne klavzule o varstvu podatkov lahko sprejema pristojni minister (člen 17C) ali informacijski pooblaščenec (člen 119A), v skladu z zakonom o varstvu podatkov iz leta 2018.

(80)

Če ne obstajajo niti sklep o ustreznosti, niti ustrezni zaščitni ukrepi, se lahko podatki prenašajo le na podlagi odstopanj iz člena 49 UK GDPR (76). UK GDPR ne uvaja nobenih bistvenih sprememb teh odstopanj v primerjavi z ustreznimi pravili iz Uredbe (EU) 2016/679. V skladu z UK GDPR in Uredbo (EU) 2016/679 se nekatera odstopanja lahko uporabijo le, če je prenos občasen (77). Nadalje, urad informacijskega pooblaščenca v svojih smernicah o mednarodnih prenosih podatkov pojasnjuje: „Uporabiti jih je treba le kot dejanske ‚izjeme‘ od splošnega pravila, da je omejeni prenos prepovedan, razen če se izvede na podlagi sklepa o ustreznosti ali če obstajajo ustrezni zaščitni ukrepi“ (78). Pristojni minister lahko glede prenosov, ki so potrebni zaradi pomembnih razlogov javnega interesa (člen 49(1)(d)), izda predpise z opredelitvijo okoliščin, v katerih je prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo potreben oziroma ni potreben zaradi pomembnih razlogov javnega interesa. Nadalje, pristojni minister lahko s predpisi omeji prenos posamezne vrste osebnih podatkov v tretjo državo ali mednarodno organizacijo, kadar prenosa ni mogoče izvesti na podlagi predpisov o ustreznosti in pristojni minister meni, da je omejitev potrebna zaradi pomembnih razlogov javnega interesa. Tak predpis do zdaj še ni bil izdan.

(81)

Ta okvir glede mednarodnih prenosov podatkov se je začel uporabljati ob koncu prehodnega obdobja (79). Vendar pa točka 4 dodatka 21 k zakonu o varstvu podatkov iz leta 2018 (ki je bil uveden s predpisi DPPEC) določa, da se od konca prehodnega obdobja naprej nekateri prenosi osebnih podatkov obravnavajo, kot da temeljijo na predpisih o ustreznosti. Ti prenosi vključujejo prenose v države EGP, na ozemlje Gibraltarja, v institucije, organe, urade ali agencije Unije, ustanovljene s Pogodbo EU ali na njeni podlagi, in v tretje države, glede katerih je bil ob koncu prehodnega obdobja izdan sklep EU o ustreznosti. Posledično se prenosi v navedene države lahko nadaljujejo kot pred izstopom Združenega kraljestva iz EU. Po koncu prehodnega obdobja mora pristojni minister v štirih letih opraviti pregled teh ugotovitev glede ustreznosti, tj. do konca decembra 2024. Iz pojasnila organov Združenega kraljestva izhaja, da čeprav mora pristojni minister tak pregled opraviti do konca decembra 2024, pa prehodne določbe ne vključujejo samoderogacijske klavzule in zadevne prehodne določbe ne prenehajo samodejno veljati, če pregled ni opravljen do konca decembra 2024.

(82)

Kar zadeva prihodnji razvoj ureditve mednarodnega prenosa podatkov v Združenem kraljestvu – s sprejetjem novih predpisov o ustreznosti, sklepanjem mednarodnih sporazumov ali razvojem drugih mehanizmov za prenos – bo Komisija pozorno spremljala razmere, ocenila, ali se različni mehanizmi za prenos uporabljajo na način, ki zagotavlja neprekinjeno varstvo, in po potrebi sprejela ustrezne ukrepe za odpravo morebitnih škodljivih učinkov (glej uvodne izjave (278) do (287)). Ker imata EU in Združeno kraljestvo podobna pravila o mednarodnih prenosih, bi se problematičnim razlikam lahko izognili tudi s sodelovanjem ter izmenjavo informacij in izkušenj, tudi med uradom informacijskega pooblaščenca in Evropskim odborom za varstvo podatkov.

(83)

V skladu z načelom odgovornosti morajo subjekti, ki obdelujejo podatke, sprejeti ustrezne tehnične in organizacijske ukrepe, da lahko uspešno izpolnjujejo svoje obveznosti glede varstva podatkov in dokažejo tako skladnost, predvsem pristojnim nadzornim organom.

(84)

Načelo odgovornosti iz Uredbe (EU) 2016/679 je ohranjeno v členu 5(2) UK GDPR brez bistvenih sprememb, enako pa velja glede člena 24 o odgovornosti upravljavca, člena 25 o vgrajenem in privzetem varstvu podatkov ter člena 30 o evidenci dejavnosti obdelave. Prav tako sta bila ohranjena člena 35 in 36 o oceni učinka v zvezi z varstvom podatkov in predhodnim posvetovanjem z nadzornim organom. Členi 37 do 39 Uredbe (EU) 2016/679 o imenovanju in nalogah pooblaščenih oseb za varstvo podatkov so bili v UK GDPR ohranjeni brez bistvenih sprememb. V UK GDPR so ohranjene tudi določbe členov 40 in 42 Uredbe (EU) 2016/679 o kodeksih ravnanja in certificiranju (80).

(85)

Vzpostaviti bi bilo treba neodvisen nadzorni organ s pristojnostjo spremljanja in zagotavljanja skladnosti s pravili o varstvu podatkov, da se tudi v praksi zagotovi ustrezna raven varstva podatkov. Pri izvajanju svojih obveznosti in pooblastil bi moral ta organ ravnati popolnoma neodvisno in nepristransko.

(86)

V Združenem kraljestvu nadzor in uveljavljanje skladnosti z UK GDPR in zakonom o varstvu podatkov iz leta 2018 izvaja informacijski pooblaščenec. Informacijski pooblaščenec je „Corporation Sole“, tj. ločen enoosebni pravni subjekt. Pri delu mu pomaga urad. Dne 31. marca 2020 je imel urad informacijskega pooblaščenca 768 stalnih članov osebja (81). Podporno ministrstvo informacijskega pooblaščenca je ministrstvo za digitalne tehnologije, kulturo, medije in šport (82).

(87)

Neodvisnost informacijskega pooblaščenca je izrecno določena v členu 52 UK GDPR, ki v ničemer bistveno ne spreminja člena 52(1) do (3) splošne uredbe o varstvu podatkov. Informacijski pooblaščenec mora pri opravljanju svojih nalog in izvajanju svojih pooblastil v skladu z UK GDPR ravnati popolnoma neodvisno, ne sme biti izpostavljen niti neposrednemu niti posrednemu zunanjemu vplivu ter ne sme nikogar prositi za navodila niti jih od nikogar sprejeti. Poleg tega se mora vzdržati vsakega delovanja, ki je nezdružljivo z njegovimi dolžnostmi, in se v času svojega mandata ne sme ukvarjati z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.

(88)

Pogoji za imenovanje in razrešitev informacijskega pooblaščenca so določeni v dodatku 12 k zakonu o varstvu podatkov iz leta 2018. Informacijskega pooblaščenca imenuje kraljica na podlagi priporočila vlade ter na podlagi poštenega in odprtega postopka izbire. Kandidat mora imeti ustrezne kvalifikacije, izkušnje in znanje. V skladu s kodeksom upravljanja v zvezi z javnimi imenovanji (83) seznam ustreznih kandidatov pripravi svetovalni ocenjevalni odbor. Preden minister za digitalne tehnologije, kulturo, medije in šport sprejme končno odločitev, mora zadevni izbrani parlamentarni odbor opraviti preverjanje pred imenovanjem. Mnenje odbora se javno objavi (84).

(89)

Mandat informacijskega pooblaščenca traja največ sedem let. Posameznik je lahko za informacijskega pooblaščenca imenovan le enkrat. Informacijskega pooblaščenca lahko s funkcije razreši kraljica, na podlagi nagovora obeh domov parlamenta (85). Predloga za razrešitev informacijskega pooblaščenca ni mogoče predložiti nobenemu od domov parlamenta brez poročila pristojnega nižjega ministra, iz katerega izhaja, da je po njegovem mnenju informacijski pooblaščenec kriv hujše kršitve dolžnega ravnanja uradnih oseb in/ali da ne izpolnjuje več pogojev za opravljanje svoje funkcije (86).

(90)

Financiranje informacijskega pooblaščenca temelji na treh virih: (i) pristojbinah za varstvo podatkov, ki jih plačujejo upravljavci in so določene s predpisi pristojnega ministra (87) (Data Protection (Charges and Information) Regulations 2018 (predpisi o varstvu podatkov, pristojbinah in informacijah iz leta 2018)); te znašajo od 85 % do 90 % letnega proračuna urada (88); (ii) nepovratnih sredstvih, ki jih informacijskemu pooblaščencu nameni vlada. Ta sredstva so namenjena predvsem financiranju operativnih stroškov informacijskega pooblaščenca v zvezi z nalogami, ki se ne nanašajo na varstvo podatkov (89), in (iii) pristojbinah, ki se zaračunavajo za opravljanje storitev (90). Trenutno se take pristojbine ne zaračunavajo.

(91)

Splošne naloge informacijskega pooblaščenca v zvezi z obdelavo osebnih podatkov, na katere se nanaša UK GDPR, so navedene v členu 57 UK GDPR, ki tesno odraža ustrezna pravila iz Uredbe (EU) 2016/679. Med njegovimi nalogami so spremljanje in izvrševanje UK GDPR, ozaveščanje javnosti, obravnava pritožb posameznikov, na katere se nanašajo osebni podatki, vodenje preiskav itd. Poleg tega so v členu 115 zakona o varstvu podatkov iz leta 2018 navedene druge splošne naloge informacijskega pooblaščenca, ki vključujejo obveznost svetovanja parlamentu, vladi ter drugim splošnim institucijam in organom o zakonodajnih in upravnih ukrepih, ki se nanašajo na varstvo pravic in svoboščin posameznikov glede obdelave osebnih podatkov, ter pristojnost izdati (na svojo pobudo ali na zahtevo) mnenje parlamentu, vladi ali drugim institucijam in organom ter javnosti o vseh zadevah, ki se nanašajo na varstvo osebnih podatkov. Informacijski pooblaščenec zaradi vzdrževanja neodvisnosti sodstva ne sme izvajati nalog v zvezi z obdelavo osebnih podatkov, ki jo izvaja posameznik ali sodišče v okviru svoje sodne pristojnosti. Vendar pa je nadzor nad sodstvom zagotovljen prek posebnih organov (glej uvodne izjave (99) do (103)).

(92)

Pristojnosti informacijskega pooblaščenca so določene v členu 58 UK GDPR, ki ne uvaja nobenih bistvenih sprememb glede na ustrezne člene Uredbe (EU) 2016/679. Zakon o varstvu podatkov iz leta 2018 določa dodatna pravila o izvrševanju teh pristojnosti. Informacijski pooblaščenec je pristojen zlasti za to, da: (a) upravljavcu in obdelovalcu (v nekaterih primerih pa kateri koli drugi osebi) odredi, naj predloži potrebne informacije, z izdajo obvestila o predložitvi informacij (v nadaljnjem besedilu: obvestilo o predložitvi informacij) (91); (b) izvaja preiskave in preglede z izdajo obvestila o preverjanju, na podlagi katerega mora upravljavec ali obdelovalec informacijskemu pooblaščencu morda dovoliti vstop v določene prostore, pregled ali proučitev dokumentov ali opreme, razgovore z osebami, ki obdelujejo osebne podatke v imenu upravljavca itd. (v nadaljnjem besedilu: obvestilo o preverjanju (92)); (c) na drug način pridobi dostop do dokumentov itd. upravljavcev in obdelovalcev ter dostop v njihove prostore, v skladu s členom 154 zakona o varstvu podatkov iz leta 2018 (v nadaljnjem besedilu: pooblastilo za vstop in pregled); (d) izvršuje popravne pristojnosti, tudi na podlagi opozoril in opominov ali z izdajo odločb v obliki obvestil o izvršitvi, s katerimi od upravljavcev/obdelovalcev zahteva določeno ukrepanje ali prenehanje izvajanja določenih ukrepov, vključno z odredbo, da mora upravljavec ali obdelovalec storiti kar koli, kar je navedeno v členu 58(2)(c) do (g) in (j) UK GDPR (v nadaljnjem besedilu: obvestilo o izvršitvi) (93), (e) ter izreče upravne globe v obliki obvestila o plačilnem nalogu (v nadaljnjem besedilu: obvestilo o plačilnem nalogu) (94). Slednje se lahko izda tudi, če javni organ ne ravna v skladu z določbami UK GDPR (95).

(93)

Politika urada informacijskega pooblaščenca o regulativnih ukrepih (Regulatory Action Policy) določa okoliščine, v katerih se izdajo obvestilo o predložitvi informacij, obvestilo o preverjanju, obvestilo o izvršitvi ali obvestilo o plačilnem nalogu (96). Z obvestilom o izvršitvi, ki se izda kot odziv na pomanjkljivost upravljavca ali obdelovalca, se lahko izrečejo le zahteve, za katere informacijski pooblaščenec meni, da so ustrezne glede na namen odprave pomanjkljivosti. Obvestilo o izvršitvi ali o plačilnem nalogu se lahko izda le upravljavcu ali obdelovalcu v zvezi s kršitvami poglavja II UK GDPR (načela obdelave), členov 12 do 22 UK GDPR (pravice posameznika, na katerega se nanašajo osebni podatki), členov 25 do 39 UK GDPR (obveznosti upravljavcev in obdelovalcev) in členov 44 do 49 UK GDPR (mednarodni prenosi). Obvestilo o izvršitvi se lahko izda tudi, če upravljavec ne zagotovi skladnosti z zahtevo za plačilo pristojbine, kakor je določena v predpisih, izdanih na podlagi člena 137 zakona o varstvu podatkov iz leta 2018. Poleg tega se lahko organu za spremljanje na podlagi člena 41 ali ponudniku certificiranja izda obvestilo o izvršitvi, če ne izpolnjujeta svojih obveznosti na podlagi UK GDPR. Obvestilo o plačilnem nalogu se lahko izda tudi osebi, ki ni izvršila obvestila o predložitvi informacij, obvestila o preverjanju ali obvestila o izvršitvi.

(94)

Na podlagi obvestila o plačilnem nalogu mora oseba informacijskemu pooblaščencu plačati znesek, naveden v obvestilu. Pri odločanju o tem, ali osebi izdati obvestilo o plačilnem nalogu in kako visoka naj bo globa, mora informacijski pooblaščenec upoštevati, kar je navedeno v členu 83(1) in (2) UK GDPR, ki je enak ustreznim pravilom iz Uredbe (EU) 2016/679 (97). V skladu s členom 83(4) in (5) sta najvišja zneska upravne globe v primeru neizpolnjevanja obveznosti iz navedenih določb 8700000 GBP oziroma 17500000 GBP. V primeru podjetij lahko informacijski pooblaščenec izreče globo tudi v obliki deleža svetovnega letnega prometa, če je ta višja. Tako kot pri enakovrednih določbah Uredbe (EU) 2016/679 so ti zneski v členu 83(4) in (5) določeni kot 2 % oziroma 4 %. V primeru neizpolnitve obvestila o predložitvi informacij, obvestila o preverjanju ali obvestila o izvršitvi je najvišji znesek kazni, ki se lahko izreče na podlagi obvestila o plačilnem nalogu, 17500000 GBP oziroma v primeru podjetja 4 % svetovnega letnega prometa, odvisno od tega, kateri znesek je višji.

(95)

Z UK GDPR in zakonom o varstvu podatkov iz leta 2018 so se okrepile tudi druge pristojnosti informacijskega pooblaščenca. Informacijski pooblaščenec lahko zdaj na primer izvaja obvezne preglede upravljavcev in obdelovalcev na podlagi obvestil o preverjanju, pri čemer je na podlagi predhodne zakonodaje (zakona o varstvu podatkov iz leta 1998) imel to pristojnost le glede osrednje vlade in zdravstvenih organizacij, ostali subjekti pa so morali s pregledi soglašati.

(96)

Od sprejetja Uredbe (EU) 2016/679 urad informacijskega pooblaščenca na leto obravnava približno 40000 pritožb posameznikov, na katere se nanašajo osebni podatki (98), poleg tega pa opravi tudi približno 2000 preiskav po uradni dolžnosti (99). Večina pritožb se nanaša na pravice do dostopa do podatkov in do razkritja podatkov. Na podlagi preiskav informacijski pooblaščenec sprejema izvršilne ukrepe v raznih sektorjih. Natančneje, iz zadnjega letnega poročila informacijskega pooblaščenca (2019–2020) (100) izhaja, da je v zadevnem obdobju poročanja izdal 54 obvestil o predložitvi informacij, 8 obvestil o preverjanju, 7 obvestil o izvršitvi, 4 opozorila, 8 pregonov in 15 glob (101).

(97)

To vključuje več pomembnih denarnih kazni, ki so bile izrečene na podlagi Uredbe (EU) 2016/679 in zakona o varstvu podatkov iz leta 2018. Natančneje, informacijski pooblaščenec je oktobra 2020 izrekel globo britanski letalski družbi v višini 20 milijonov GBP zaradi kršitve varstva podatkov, ki je prizadela več kot 400000 strank. Ob koncu oktobra 2020 je bila mednarodni hotelski verigi izrečena globa v višini 18,4 milijona GBP, ker ni zagotovila varstva osebnih podatkov milijonov strank, novembra 2020 pa je bila britanskemu ponudniku storitev, ki je prek spleta prodajal vstopnice za dogodke, izrečena globa v višini 1,25 milijona GBP, ker ni zagotovil varstva podatkov o plačilih strank (102).

(98)

Poleg pooblastil, ki jih ima informacijski pooblaščenec za izvrševanje in so opisana v uvodni izjavi (92), se nekatere kršitve zakonodaje o varstvu podatkov štejejo za kazniva dejanja, zato se lahko zanje izrečejo kazenske sankcije (člen 196 zakona o varstvu podatkov iz leta 2018). To se na primer nanaša na namerno ali malomarno pridobitev ali razkritje osebnih podatkov brez privolitve upravljavca, zagotovitev razkritja osebnih podatkov drugi osebi brez privolitve upravljavca (103), ponovno identifikacijo informacij v primeru anonimizacije osebnih podatkov brez privolitve upravljavca, ki je odgovoren za anonimizacijo osebnih podatkov (104), namerno oviranje informacijskega pooblaščenca pri izvrševanju njegovih pristojnosti v zvezi s preverjanjem osebnih podatkov v skladu z mednarodnimi obveznostmi (105), dajanje neresničnih izjav v odgovor na obvestilo o predložitvi informacij, ali uničenje informacij v zvezi z obvestilom o predložitvi informacij ali obvestilom o preverjanju (106).

(99)

Nadzor nad obdelavo osebnih podatkov, ki jo izvajajo sodišča in sodstvo, je dvostranski. Kadar nosilec sodne funkcije ali sodišče ne deluje v okviru svoje sodne pristojnosti, nadzor izvaja urad informacijskega pooblaščenca. Kadar pa upravljavec deluje v okviru svoje sodne pristojnosti, urad informacijskega pooblaščenca ne more izvajati svoje nadzorne funkcije (107), zato jo izvajajo posebni organi. To odraža pristop iz Uredbe (EU) 2016/679 (člen 55(3)).

(100)

Natančneje, v drugem primeru glede sodišč Anglije in Walesa ter glede prvostopenjskih in višjih sodišč Anglije in Walesa tak nadzor zagotavlja sodni svet za varstvo podatkov (Judicial Data Protection Panel) (108). Poleg tega sta vodja sodstva Anglije in Walesa (Lord Chief Justice) in vodja sodišč Tribunals (Senior President of Tribunals) izdala obvestilo o zasebnosti (109), ki določa, kako sodišča v Angliji in Walesu obdelujejo osebne podatke za namene opravljanja sodne funkcije. Podobni obvestili sta izdali tudi sodstvo Severne Irske (110) in sodstvo Škotske (111).

(101)

Še več, na Severnem Irskem je vodja sodstva Severne Irske sodnika sodišča High Court imenoval za sodnika, pristojnega za nadzor podatkov (Data Supervisory Judge) (112). Poleg tega so izdali smernice za sodstvo Severne Irske o tem, kako ravnati v primeru izgube ali potencialne izgube podatkov ter kako obravnavati vsa vprašanja, ki iz tega izhajajo (113).

(102)

Na Škotskem je vodja sodstva (Lord President) imenoval sodnika za nadzor podatkov (Data Supervisory Judge) za obravnavo vseh pritožb s področja varstva podatkov. Ta sistem je vzpostavljen na podlagi pravil o pritožbah v sodstvu, ki so podobna tistim v Angliji in Walesu (114).

(103)

Nazadnje, eden od sodnikov pri sodišču Supreme Court je pooblaščen za nadzor nad varstvom podatkov.

(104)

Posameznik, na katerega se nanašajo osebni podatki, mora imeti na voljo učinkovito upravno in sodno varstvo, vključno z odškodnino za škodo, da se zagotovita ustrezno varstvo in zlasti uresničevanje pravic posameznika.

(105)

Prvič, posameznik, na katerega se nanašajo osebni podatki, ima pravico vložiti pritožbo pri informacijskem pooblaščencu, če meni, da je v zvezi z osebnimi podatki, ki se nanašajo nanj, prišlo do kršitve UK GDPR (115). V UK GDPR so brez bistvenih sprememb ohranjena pravila iz člena 77 Uredbe (EU) 2016/679 o navedeni pravici. Enako velja za člen 57(1)(f) in (2), ki določa naloge informacijskega pooblaščenca v zvezi z obravnavo pritožb. Kot je opisano v uvodnih izjavah (92) do (98) above, lahko informacijski pooblaščenec preverja zagotavljanje skladnosti upravljavca in obdelovalca z UK GDPR in zakonom o varstvu podatkov iz leta 2018, od njiju zahteva, da v primeru neskladnosti sprejmeta potrebne ukrepe ali se vzdržita določenih ukrepov ter izreče globe.

(106)

Drugič, UK GDPR in zakon o varstvu podatkov iz leta 2018 določata pravico do pravnega sredstva zoper odločitev informacijskega pooblaščenca. Na podlagi člena 78(1) UK GDPR ima posameznik pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev informacijskega pooblaščenca v zvezi z njim. V okviru sodne presoje sodnik prouči v zahtevku izpodbijano odločbo in odloči, ali je informacijski pooblaščenec ravnal zakonito. Nadalje, iz člena 78(2) UK GDPR izhaja, da če informacijski pooblaščenec pritožbe posameznika, na katerega se nanašajo osebni podatki, ne obravnava ustrezno (116), ima pritožnik na voljo pravno sredstvo. Od sodišča prve stopnje lahko zahteva, naj informacijskemu pooblaščencu naloži ustrezne ukrepe v odgovor na pritožbo ali da pritožnika obvesti o stanju zadeve (117). Poleg tega se lahko vsakdo, ki mu informacijski pooblaščenec izda eno od zgoraj navedenih obvestil (o predložitvi informacij, o preverjanju, o izvršitvi ali o plačilnem nalogu), pritoži pri sodišču prve stopnje (First Tier Tribunal) (118). Če sodišče ugotovi, da odločba informacijskega pooblaščenca ni v skladu s pravom ali da bi moral informacijski pooblaščenec odločiti drugače, mora sodišče pritožbo dovoliti ali obvestilo oziroma odločbo informacijskega pooblaščenca nadomestiti z drugo.

(107)

Tretjič, posamezniki lahko pravna sredstva zoper upravljavce in obdelovalce uveljavljajo neposredno pred sodiščem v skladu s členom 79 UK GDPR in členom 167 zakona o varstvu podatkov iz leta 2018. Če sodišče na podlagi vloge posameznika, na katerega se nanašajo osebni podatki, ugotovi, da so bile kršene njegove pravice s področja zakonodaje o varstvu podatkov, lahko upravljavcu, ki je zadolžen za obdelavo takih podatkov, ali obdelovalcu, ki deluje v njegovem imenu, odredi sprejetje ali opustitev določenih ukrepov, navedenih v odločbi.

(108)

Poleg tega ima v skladu s členom 82 UK GDPR in členom 168 zakona o varstvu podatkov iz leta 2018 vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve UK GDPR, pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo. Pravila o odškodnini in odgovornosti iz člena 82(1) do (5) UK GDPR so enaka ustreznim pravilom iz Uredbe (EU) 2016/679. V skladu s členom 168 zakona o varstvu podatkov iz leta 2018 nepremoženjska škoda vključuje tudi stisko. V skladu s členom 80 UK GDPR ima posameznik, na katerega se nanašajo osebni podatki, tudi pravico, da pooblasti zastopnika ali organizacijo, da v njegovem imenu vloži pritožbo pri informacijskem pooblaščencu (v skladu s členom 77 UK GDPR) in pravico, da v njegovem imenu uresničuje pravice iz člena 78 (pravica do učinkovitega pravnega sredstva zoper informacijskega pooblaščenca), člena 79 (pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca) in člena 82 (pravica do odškodnine in odgovornost) UK GDPR.

(109)

Četrtič, poleg zgornjih možnosti za uveljavljanje pravnih sredstev lahko vsakdo, ki meni, da so javni organi kršili njegove pravice, vključno s pravico do zasebnosti in varstva podatkov, uveljavlja pravna sredstva pred sodišči Združenega kraljestva na podlagi zakona o človekovih pravicah iz leta 1998 (119). Posameznik, ki trdi, da je javni organ ravnal (ali predlaga ravnanje) neskladno s pravico iz konvencije, kar je posledično nezakonito na podlagi člena 6(1) zakona o človekovih pravicah iz leta 1998, lahko pri pristojnem sodišču začne postopek zoper tak organ ali se na zadevne pravice sklicuje v vsakem pravnem postopku, če je (ali bo postal) žrtev nezakonitega dejanja.

(110)

Če sodišče ugotovi, da je katero koli dejanje javnega organa nezakonito, lahko odobri odškodnino ali pravno sredstvo ali izda odločbo, kot meni, da je pravično in ustrezno ter v skladu s svojimi pristojnostmi (120). Sodišče lahko odloči tudi, da določba primarne zakonodaje ni skladna s pravico na podlagi konvencije.

(111)

Nazadnje, ko posameznik izčrpa nacionalna pravna sredstva, se lahko obrne na Evropsko sodišče za človekove pravice zaradi kršitev pravic, zagotovljenih na podlagi Evropske konvencije o varstvu človekovih pravic.

(112)

Komisija je presojala tudi pravni okvir Združenega kraljestva glede zbiranja in posledične uporabe osebnih podatkov, ki jih v javnem interesu javni organi v Združenem kraljestvu prenesejo poslovnim subjektom v Združenem kraljestvu, zlasti za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj in nacionalne varnosti (v nadaljnjem besedilu: vladni dostop). Komisija je pri oceni pogojev, na podlagi katerih vladni dostop do podatkov, prenesenih v Združeno kraljestvo, na podlagi tega sklepa izpolnjuje preskus „osnovne enakovrednosti“ na podlagi člena 45(1) Uredbe (EU) 2016/679, kakor ga razlaga Sodišče EU glede na Listino o temeljnih pravicah, upoštevala zlasti naslednja merila.

(113)

Prvič, vsaka omejitev pravice do varstva osebnih podatkov mora biti določena v zakonu, pravna podlaga, ki dovoljuje tak poseg v uresničevanje pravice, pa mora že sama opredeljevati obseg omejitve izvrševanja zadevne pravice (121).

(114)

Drugič, da se izpolni zahteva glede sorazmernosti, v skladu s katero se lahko odstopanja od in omejitve varstva osebnih podatkov uporabljajo le, kolikor je nujno potrebno v demokratični družbi, da se dosežejo specifični cilji splošnega interesa, ki so enakovredni interesom, priznanim v Uniji, morajo biti z zakonodajo zadevne tretje države, s katero se ureja poseg, določena jasna in natančna pravila, ki urejajo obseg in uporabo zadevnega ukrepa ter minimalne zahteve, tako da imajo osebe, katerih podatki so bili preneseni, na voljo zadostna jamstva, ki omogočajo učinkovito varovanje njihovih osebnih podatkov pred tveganjem zlorab (122). V zakonodaji mora biti zlasti navedeno, v kakšnih okoliščinah in pod katerimi pogoji je mogoče sprejeti ukrep, ki določa obdelavo takih podatkov (123), izpolnjevanje teh zahtev pa mora biti podvrženo neodvisnemu nadzoru (124).

(115)

Tretjič, navedena zakonodaja mora biti pravno zavezujoča na podlagi notranjega prava, za te pravne zahteve pa mora veljati, da ne zavezujejo le organov, ampak so tudi sodno izvršljive zoper organe zadevne tretje države (125). Posamezniki, na katere se nanašajo osebni podatki, morajo zlasti imeti možnost uveljavljanja pravnih sredstev pred neodvisnim in nepristranskim sodiščem, da bi si tako zagotovili dostop do osebnih podatkov, ki se nanje nanašajo, ali dosegli popravo oziroma izbris takih podatkov (126).

(116)

V okviru izvajanja pooblastil javnega organa mora biti vladni dostop v Združenem kraljestvu izveden ob popolnem upoštevanju zakona. Združeno kraljestvo je ratificiralo Evropsko konvencijo o varstvu človekovih pravic (glej uvodno izjavo (9)), zato morajo vsi javni organi v Združenem kraljestvu ravnati v skladu z navedeno konvencijo (127). Člen 8 konvencije določa, da mora biti vsak poseg v zasebnost v skladu s pravom, v interesu enega od ciljev iz člena 8(2) in sorazmeren glede na cilj. Člen 8 določa tudi, da mora biti poseg „predvidljiv“, tj. da ima jasno in dostopno pravno podlago in da pravo vsebuje ustrezne zaščitne ukrepe za preprečevanje zlorab.

(117)

Poleg tega je Sodišče EU v svoji sodni praksi navedlo, da mora biti vsak poseg v pravico do zasebnosti in varstva podatkov podvržen učinkovitemu, neodvisnemu in nepristranskemu nadzornemu sistemu, ki ga zagotavlja sodnik ali drug neodvisni organ (128) (na primer upravni ali parlamentarni organ).

(118)

Poleg tega morajo imeti posamezniki učinkovita pravna sredstva, Evropsko sodišče za človekove pravice pa je pojasnilo, da mora pravno sredstvo zagotavljati neodvisen in nepristranski organ, ki sprejme svoj poslovnik, sestavljati ga morajo člani, ki imajo ali so imeli visoko sodno funkcijo ali ki so izkušeni odvetniki, hkrati pa ne sme obstajati dokazno breme, ki bi ga bilo treba premagati za vložitev vloge pri takem organu. Pri obravnavi pritožb posameznikov mora imeti neodvisen in nepristranski organ dostop do vseh zadevnih informacij, vključno s tajnim gradivom. Nazadnje, organ mora imeti pristojnost odpraviti neskladnost (129).

(119)

Združeno kraljestvo je leta 2018 ratificiralo tudi Konvencijo Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (Konvencija št. 108) ter podpisalo protokol o spremembi navedene konvencije (znan kot Konvencija št. 108+) (130). Člen 9 Konvencije št. 108 določa, da so odstopanja od splošnih načel o varstvu podatkov (člen 5, Kakovost podatkov), pravil o posebnih vrstah podatkov (člen 6, Posebne vrste podatkov) in od pravic posameznikov, na katere se nanašajo osebni podatki (člen 8, Dodatni zaščitni ukrepi za posameznika, na katerega se nanašajo osebni podatki), dovoljena le, kadar je tako odstopanje določeno v zakonu podpisnice in če gre za ukrep, ki je v interesu zaščite nacionalne varnosti, javne varnosti, monetarnih interesov države, zatiranja kaznivih dejanj ali varstva posameznika, na katerega se nanašajo osebni podatki, oziroma pravic in svoboščin drugih potreben v demokratični družbi (131).

(120)

Združeno kraljestvo torej na podlagi članstva v Svetu Evrope, zavezanosti Evropski konvenciji o varstvu človekovih pravic ter priznanja pristojnosti Evropskega sodišča za človekove pravice zavezuje več obveznosti iz mednarodnega prava, ki oblikujejo njegov sistem vladnega dostopa na podlagi načel, zaščitnih ukrepov in pravic posameznikov, ki so podobni tistim, ki so zagotovljeni na podlagi prava EU in ki se uporabljajo v državah članicah. Kot je poudarjeno v uvodni izjavi (19), je nadaljnja zavezanost takim instrumentom posebno pomemben element ocene, na kateri temelji ta sklep.

(121)

Nadalje, posebne zaščitne ukrepe in pravice za varstvo podatkov zagotavlja tudi zakon o varstvu podatkov iz leta 2018, če podatke obdelujejo javni organi, vključno z organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj in organi nacionalne varnosti.

(122)

Ureditev obdelave osebnih podatkov v okviru preprečevanja, odkrivanja in preiskovanja kaznivih dejanj je določena v delu 3 zakona o varstvu podatkov iz leta 2018, ki je bil sprejet za prenos Direktive (EU) 2016/680. Del 3 zakona o varstvu podatkov iz leta 2018 se nanaša na obdelavo osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem (132).

(123)

Pojem „pristojni organ“ je v členu 30 zakona o varstvu podatkov opredeljen kot oseba s seznama v dodatku 7 k zakonu o varstvu podatkov iz leta 2018 oziroma katera koli druga oseba, ki ima zakonsko predpisane naloge za kateri koli namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (133). Kot je pojasnjeno v nadaljevanju (glej uvodno izjavo (139)), lahko nekateri pristojni organi (na primer National Crime Agency) pod določenimi pogoji uporabijo pooblastila iz zakona o preiskovalnih pooblastilih iz leta 2016 (Investigatory Power Act 2016). V tem primeru se bodo poleg zaščitnih ukrepov iz dela 3 zakona o varstvu podatkov iz leta 2018 uporabljali tudi zaščitni ukrepi iz zakona o preiskovalnih pooblastilih iz leta 2016. Obveščevalne službe (tajna obveščevalna služba, varnostna služba in vladna obveščevalna služba) niso „pristojni organi“ (134) iz dela 3 zakona o varstvu podatkov iz leta 2018, zato se v njem določena pravila ne uporabljajo za nobeno od njihovih dejavnosti. Specifičen del zakona o varstvu podatkov iz leta 2018 (del 4) je namenjen obdelavi osebnih podatkov s strani obveščevalnih služb (za več podrobnosti glej uvodno izjavo (125)).

(124)

Po vzoru Direktive (EU) 2016/680 tudi del 3 zakona o varstvu podatkov iz leta 2018 določa načela zakonitosti in poštenosti (135), omejitve namena (136), najmanjšega obsega podatkov (137), točnosti (138), omejitve hrambe (139) in varstva (140). Zakonodaja določa posebne obveznosti glede preglednosti (141) ter posameznikom zagotavlja pravico do dostopa (142), popravka in izbrisa (143) ter pravico, da se zanje ne uporablja avtomatizirano sprejemanje odločitev (144) Pristojni organi morajo avtomatično zagotavljati varstvo podatkov, voditi evidenco dejavnosti obdelave ter glede nekaterih dejanj obdelave izvesti ocene učinka v zvezi z varstvom podatkov in se vnaprej posvetovati z informacijskim pooblaščencem (145). V skladu s členom 56 zakona o varstvu podatkov iz leta 2018 morajo dokazati skladnost. Poleg tega morajo vzpostaviti tudi ustrezne ukrepe za zagotovitev varnosti obdelave (146), v primeru kršitve varstva podatkov pa imajo tudi posebne obveznosti, vključno z obveščanjem informacijskega pooblaščenca in posameznika, na katerega se nanašajo osebni podatki, o taki kršitvi (147). Kot je navedeno v Direktivi (EU) 2016/680, mora upravljavec (razen če gre za sodišče ali drug pravosodni organ, ki izvršuje svojo sodno pristojnost) imenovati uradnika za varstvo podatkov (148), ki mu pomaga pri zagotavljanju skladnosti z obveznostmi ter pri spremljanju zagotavljanja skladnosti (149). Nadalje, zakonodaja določa posebne zahteve glede mednarodnih prenosov osebnih podatkov v tretje države ali mednarodne organizacije za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, da se zagotovi kontinuiteta varstva (150). Komisija je na isti datum sprejela ta sklep in sklep o ustreznosti na podlagi člena 36(3) Direktive (EU) 2016/680, v katerem je ugotovila, da ureditev varstva podatkov, ki se uporablja glede obdelave podatkov s strani organov Združenega kraljestva za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, zagotavlja raven varstva, ki je v osnovi enakovredna tisti, ki jo zagotavlja Direktiva (EU) 2016/680.

(125)

Del 4 zakona o varstvu podatkov iz leta 2018 se uporablja za vse primere obdelave, ki jih izvajajo obveščevalne službe ali ki se izvajajo v njihovem imenu. V njem so zlasti določena glavna načela o varstvu podatkov (zakonitost, poštenost in preglednost (151), omejitev namena (152), najmanjši obseg podatkov (153), točnost (154), omejitev hrambe (155) in varstva (156)), poleg tega določa pogoje glede obdelave posebnih vrst podatkov (157), določa pravice posameznikov, na katere se nanašajo osebni podatki (158), zahteva vgrajeno varstvo podatkov (159) in ureja mednarodni prenos osebnih podatkov (160). Urad informacijskega pooblaščenca je nedavno izdal podrobne smernice o obdelavi s strani obveščevalnih agencij v skladu z delom 4 zakona o varstvu podatkov iz leta 2018 (161).

(126)

Hkrati člen 110 zakona o varstvu podatkov iz leta 2018 določa izjemo od posebnih določb v delu 4 navedenega zakona (162), kadar je taka izjema potrebna za zaščito nacionalne varnosti. To izjemo je mogoče uporabiti le na podlagi analize vsakega primera posebej (163). Kot so pojasnili organi Združenega kraljestva in je bilo potrjeno s sodno prakso sodišč Združenega kraljestva, „mora upravljavec upoštevati dejanske posledice za nacionalno varnost ali obrambo, če bi moral zagotoviti skladnost s posamezno določbo za varstvo podatkov, ter ali bi razumno lahko zagotovil skladnost z običajnim pravilom brez ogrožanja nacionalne varnosti ali obrambe“ (164). O tem, ali je bila izjema ustrezno uporabljena, odloča urad informacijskega pooblaščenca (165).

(127)

Nadalje, v zvezi z možnostjo omejitve uporabe navedenih posebnih določb iz člena 111 zakona o varstvu podatkov iz leta 2018 zaradi zaščite nacionalne varnosti, lahko upravljavec zaprosi za izdajo potrdila, ki ga podpiše višji minister ali generalni državni tožilec in pravni svetovalec vlade (Attorney General) in ki potrjuje, da je omejitev take pravice potreben in sorazmeren ukrep za zaščito nacionalne varnosti (166).

(128)

Vlada Združenega kraljestva je izdala smernice v pomoč upravljavcem, kadar se ti odločajo, ali naj na podlagi zakona o varstvu podatkov iz leta 2018 zaprosijo za izdajo potrdila glede nacionalne varnosti; navedene smernice predvsem poudarjajo, da morajo biti vse omejitve pravic posameznikov, na katere se nanašajo osebni podatki, z namenom zaščite nacionalne varnosti sorazmerne in potrebne (167). Vsa potrdila glede nacionalne varnosti morajo biti objavljena na spletišču urada informacijskega pooblaščenca (168).

(129)

Potrdilo se izda za določen čas največ pet let, da ga lahko izvršilna oblast redno preverja (169). Potrdilo opredeljuje osebne podatke ali vrste osebnih podatkov, za katere se lahko uporabi izjema, ter določbe zakona o varstvu podatkov iz leta 2018, glede katerih se lahko uporabi izjema (170).

(130)

Treba je opozoriti, da potrdila glede nacionalne varnosti ne zagotavljajo dodatnega razloga za omejevanje pravic do varstva podatkov iz razlogov nacionalne varnosti. Povedano drugače se lahko upravljavec ali obdelovalec na potrdilo zanese le, če ugotovi, da je treba v posameznem primeru (kot je pojasnjeno zgoraj) uporabiti izjemo zaradi nacionalne varnosti (171). Tudi če se potrdilo glede nacionalne varnosti nanaša na posamezno zadevo, lahko urad informacijskega pooblaščenca prouči, ali je bilo v posameznem primeru sklicevanje na izjemo zaradi nacionalne varnosti upravičeno (172).

(131)

Neposredno prizadeti zaradi izdaje potrdila (173), se lahko pritožijo pri sodišču Upper Tribunal (174), če so v potrdilu podatki opredeljeni s splošnim opisom, pa lahko izpodbija uporabo potrdila glede posameznih podatkov (175). Sodišče prouči odločitev o izdaji potrdila in odloči, ali so za izdajo potrdila obstajali utemeljeni razlogi (176). Prouči lahko več vprašanj, vključno s potrebnostjo, sorazmernostjo in zakonitostjo, pri čemer upošteva vpliv na pravice posameznikov, na katere se nanašajo podatki, in pretehta potrebo po zaščiti nacionalne varnosti. Posledično lahko sodišče ugotovi, da se potrdilo ne nanaša na specifične osebne podatke, ki so predmet pritožbe (177).

(132)

Druga vrsta morebitnih omejitev se nanaša na tiste, ki se na podlagi dodatka 11 k zakonu o varstvu podatkov iz leta 2018 nanašajo na nekatere določbe dela 4 zakona o varstvu podatkov iz leta 2018 (178) za zaščito drugih pomembnih ciljev splošnega javnega interesa ali zaščitenih interesov, kot so na primer parlamentarni privilegij, varovanje zaupnosti sporazumevanja med odvetnikom in stranko, vodenje sodnega postopka ali bojna učinkovitost oboroženih sil (179). Uporaba teh določb je izključena glede nekaterih vrst informacij (izjema na podlagi vrste) ali v kolikor bi uporaba teh določb verjetno posegala v zaščitene interese (izjema na podlagi poseganja) (180). Na izjeme na podlagi poseganja se je mogoče sklicevati le, če je verjetno, da bi uporaba navedene določbe o varstvu podatkov posegala v zadevni interes. Uporaba izjeme mora biti torej vedno upravičena s sklicevanjem na zadevno poseganje, do katerega bi v posameznem primeru verjetno prišlo. Na izjeme na podlagi vrste se je mogoče sklicevati le glede specifičnih, ozko opredeljenih vrst informacij, glede katerih je uporaba izjeme mogoča. Te so glede na namen in učinek podobne več izjemam od UK GDPR (na podlagi dodatka 2 k zakonu o varstvu podatkov iz leta 2018), ki pa izražajo tiste iz člena 23 Splošne uredbe o varstvu podatkov.

(133)

Iz navedenega izhaja, da so na podlagi pravnih določb Združenega kraljestva, ki se uporabljajo, vzpostavljene omejitve in pogoji, kakor jih razlagajo tudi sodišča in informacijski pooblaščenec, ki zagotavljajo, da navedene izjeme in omejitve ostajajo znotraj okvirov tega, kar je potrebno in sorazmerno za zaščito nacionalne varnosti.

(134)

Pravo Združenega kraljestva določa več omejitev glede dostopa do in uporabe osebnih podatkov za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter na tem področju zagotavlja nadzorne mehanizme in mehanizme pravnih sredstev, ki so v skladu z zahtevami iz uvodnih izjav (113) do (115) tega sklepa. Pogoji, na podlagi katerih je tak dostop mogoč, in zaščitni ukrepi glede uporabe teh pooblastil so podrobneje ocenjeni v oddelkih v nadaljevanju.

(135)

V skladu z načelom zakonitosti iz člena 35 zakona o varstvu podatkov iz leta 2018 je obdelava osebnih podatkov za kateri koli namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj zakonita le, če temelji na pravu in je posameznik, na katerega se nanašajo osebni podatki, privolil v njihovo obdelavo za navedeni namen (181), ali pa je obdelava potrebna za opravljanje naloge, ki jo v ta namen izvaja pristojni organ.

(136)

V pravnem okviru Združenega kraljestva je zbiranje osebnih podatkov od poslovnih subjektov, tudi tistih, ki bodo obdelovali podatke, prenesene iz EU na podlagi tega sklepa o ustreznosti, za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, dovoljeno na podlagi odredbe o preiskavi (182) in odredbe o predložitvi dokazov (183).

(137)

Odredbe o preiskavi izdajajo sodišča, običajno na predlog preiskovalcev. Preiskovalcem omogočajo vstop v prostore z namenom iskanja gradiva ali posameznikov, ki so pomembni za zadevno preiskavo, ter zadržanje vsega, za kar je bila preiskava odobrena, vključno z vsemi zadevnimi dokumenti ali gradivom, ki vsebuje osebne podatke (184). Na podlagi odredbe o predložitvi dokazov, ki jo mora prav tako izdati sodišče, mora oseba, ki je v njej navedena, predložiti gradivo, ki ga ima v posesti ali pod svojim nadzorom, oziroma omogočiti dostop do njega. Predlagatelj mora sodišču utemeljiti, zakaj je odredba potrebna in zakaj je v javnem interesu. V veljavi je več zakonskih pooblastil, ki omogočajo izdajo odredb o preiskavi in o predložitvi dokazov. Vsaka določba vsebuje posebne zakonske pogoje, ki morajo biti izpolnjeni za izdajo odredbe o preiskavi (185) ali odredbe o predložitvi dokazov (186).

(138)

Odredbe o predložitvi dokazov in odredbe o preiskavi se lahko izpodbijajo v okviru sodne presoje (187). Glede zaščitnih ukrepov velja, da imajo vsi organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, ki spadajo na področje uporabe dela 3 zakona o varstvu podatkov iz leta 2018, dostop do osebnih podatkov (kar je oblika obdelave) le v skladu z načeli in zahtevami iz navedenega zakona (glej uvodni izjavi (122) in (124) above). Predlog katerega koli organa za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj mora biti torej v skladu z načelom, da mora biti namen obdelave opredeljen, izrecen in legitimen (188), ter da morajo biti osebni podatki, ki jih obdeluje pristojni organ, relevantni glede na namen in ne čezmerni (189).

(139)

Za namene preprečevanja ali odkrivanja hudih kaznivih dejanj (190) lahko nekateri organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, na primer National Crime Agency ali načelnik policije (191), uporabijo ciljna preiskovalna pooblastila v okviru zakona o preiskovalnih pooblastilih iz leta 2016. V tem primeru se bodo poleg zaščitnih ukrepov iz dela 3 zakona o varstvu podatkov iz leta 2018 uporabljali tudi zaščitni ukrepi iz zakona o preiskovalnih pooblastilih iz leta 2016. Preiskovalna pooblastila, ki se jih lahko poslužujejo organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, so: ciljno prestrezanje (del 2 zakona o preiskovalnih pooblastilih iz leta 2016), pridobivanje komunikacijskih podatkov (del 3 zakona o preiskovalnih pooblastilih iz leta 2016), hramba komunikacijskih podatkov (del 4 zakona o preiskovalnih pooblastilih iz leta 2016) in ciljno poseganje v opremo (del 5 zakona o preiskovalnih pooblastilih iz leta 2016). Prestrezanje vključuje pridobivanje vsebine komunikacije (192), pri čemer pridobivanje in hramba komunikacijskih podatkov nista namenjena pridobivanju vsebine komunikacije, ampak podatkov o tem, kdo, kdaj, kje in kako je komuniciral. To na primer vključuje čas in trajanje komunikacije, telefonsko številko ali elektronski naslov pošiljatelja in prejemnika ter včasih lokacijo naprav, ki so bile uporabljene za komunikacijo, in naročnika telefonskih storitev ali specifikacijo računa (193). Poseganje v opremo vključuje več tehnik, ki se uporabljajo za pridobivanje raznih podatkov z opreme, kar vključuje računalnike, tablice in pametne telefone ter kable, žice in naprave za shranjevanje podatkov (194).

(140)

Pooblastila za ciljno prestrezanje se lahko uporabijo tudi, kadar je to „potrebno zaradi izvrševanja določb instrumenta EU o medsebojni pomoči ali mednarodnega sporazuma o medsebojni pomoči“ (tako imenovana odredba na podlagi medsebojne pomoči (195)). Odredbe na podlagi medsebojne pomoči se izdajajo le v zvezi s prestrezanjem, ne pa tudi v zvezi s pridobivanjem komunikacijskih podatkov ali poseganjem v opremo. Ta ciljna pooblastila so urejena v zakonu o preiskovalnih pooblastilih iz leta 2016 (196), ki skupaj z zakonom o urejanju preiskovalnih pooblastil iz leta 2000, ki se uporablja v Angliji, Walesu in na Severnem Irskem (Regulation of Investigatory Powers Act 2000 (RIPA) for England, Wales and Northern Ireland), ter zakonom o urejanju preiskovalnih pooblastil iz leta 2000, ki se uporablja na Škotskem (Regulation of Investigatory Powers (Scotland) Act 2000 (RIPSA) for Scotland), pomeni pravno podlago ter določa omejitve in zaščitne ukrepe glede uporabe takih pooblastil. Zakon o preiskovalnih pooblastilih iz leta 2016 ureja tudi uporabo preiskovalnih pooblastil v večjem obsegu, čeprav ta niso na voljo organom za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj (uporabijo jih lahko le obveščevalne agencije) (197).

(141)

Za izvrševanje teh pooblastil morajo organi pridobiti odredbo (198), ki jo izda pristojni organ (199) in odobri neodvisni pravosodni pooblaščenec (Judicial Commissioner) (200) (tako imenovani postopek z dvojnim varovalom). Za pridobitev take odredbe je treba opraviti preskus potrebnosti in sorazmernosti (201). Ker so ta ciljna preiskovalna pooblastila, določena v zakonu o preiskovalnih pooblastilih iz leta 2016, enaka tistim, ki so na voljo agencijam za nacionalno varnost, so pogoji, omejitve in zaščitni ukrepi, ki se uporabljajo pri takih pooblastilih, podrobneje obravnavani v oddelku o dostopu do osebnih podatkov in njihovi uporabi s strani javnih organov Združenega kraljestva za namene nacionalne varnosti (glej uvodno izjavo (177) in naslednje).

(142)

Glede izmenjave podatkov med organom za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj in drugim organom za namene, ki se razlikujejo od tistih, za katere so bili podatki prvotno zbrani (tako imenovana nadaljnja izmenjava), veljajo določeni pogoji.

(143)

Podobno kot je določeno v členu 4(2) Direktive (EU) 2016/680 tudi člen 36(3) zakona o varstvu podatkov iz leta 2018 omogoča nadaljnjo obdelavo osebnih podatkov (s strani prvotnega ali drugega upravljavca), ki jih pristojni organ zbere za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, za kateri koli drug namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, če je upravljavec po zakonu pooblaščen za obdelavo podatkov za navedeni drug namen ter če je obdelava potrebna in sorazmerna glede na navedeni namen (202). V takem primeru se vsi zaščitni ukrepi iz dela 3 zakona o varstvu podatkov iz leta 2018, navedeni v uvodnih izjavah (122) in (124), uporabljajo za obdelavo, ki jo izvaja organ prejemnik.

(144)

V okviru pravnega reda Združenega kraljestva različni zakoni izrecno omogočajo tako nadaljnjo izmenjavo. Zlasti (i) zakon o digitalnem gospodarstvu iz leta 2017 (Digital Economy Act 2017) omogoča izmenjavo med javnimi organi za več namenov, na primer v primeru kakršne koli goljufije zoper javni sektor, ki vključuje izgubo ali tveganje izgube za javne organe (203), ali v primeru dolga javnemu organu ali državi (204); (ii) zakon o kriminalu in sodiščih iz leta 2013 (Crime and Courts Act 2013), ki omogoča izmenjavo informacij z nacionalno agencijo za boj proti kriminalu (National Crime Agency (NCA)) (205) za namene boja proti hudim kaznivim dejanjem in organiziranemu kriminalu ter preiskovanja in pregona hudih kaznivih dejanj in organiziranega kriminala; (iii) zakon o hudih kaznivih dejanjih iz leta 2007 (Serious Crime Act 2007), ki javnim organom omogoča razkritje informacij organizacijam za boj proti goljufijam za namene preprečevanja goljufij (206).

(145)

Ti zakoni izrecno določajo, da mora biti izmenjava informacij v skladu z načeli iz zakona o varstvu podatkov iz leta 2018. Poleg tega je strokovni organ uslužbencev policije (College of Policing) izdal dokument o odobreni strokovni praksi glede izmenjave informacij (207), ki je policiji v pomoč pri izpolnjevanju njenih obveznosti glede varstva podatkov na podlagi UK GDPR, zakona o varstvu podatkov in zakona o človekovih pravicah iz leta 1998. Skladnost izmenjave informacij s pravnim okvirom varstva podatkov, ki se uporablja, je seveda stvar sodne presoje (208).

(146)

Nadalje, podobno kot člen 9 Direktive (EU) 2016/680 tudi zakon o varstvu podatkov iz leta 2018 določa, da se lahko osebni podatki, zbrani za kateri koli namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, obdelujejo za namene, ki ne spadajo na področje preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, če tako obdelavo omogoča zakon (209).

(147)

Ta vrsta izmenjave vključuje dva primera: (1) ko organ za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj posreduje podatke organu z drugega področja, razen obveščevalni agenciji (na primer finančnemu ali davčnemu organu, organu za varstvo konkurence, socialnemu uradu za mladoletnike itd.), ter (2) ko organ za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj podatke posreduje obveščevalni agenciji. V prvem primeru obdelava osebnih podatkov spada na področje uporabe UK GDPR ter dela 2 zakona o varstvu podatkov iz leta 2018. Komisija je v uvodnih izjavah (12)–(111) ocenila zaščitne ukrepe iz UK GDPR in dela 2 zakona o varstvu podatkov iz leta 2018 ter ugotovila, da Združeno kraljestvo zagotavlja ustrezno raven varstva osebnih podatkov, ki se v okviru Uredbe (EU) 2016/679 prenašajo iz Evropske unije v Združeno kraljestvo.

(148)

V drugem primeru, tj. glede izmenjave podatkov, ki jih zbere organ za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter jih posreduje obveščevalni agenciji za namene nacionalne varnosti, je pravna podlaga za tako izmenjavo člen 19 zakona o boju proti terorizmu iz leta 2008 (Counter Terrorism Act 2008) (210). Na podlagi navedenega zakona lahko vsaka oseba daje informacije kateri koli obveščevalni službi za namene izvrševanja katere koli naloge take službe, vključno z nacionalno varnostjo.

(149)

Glede pogojev, na podlagi katerih je mogoča izmenjava podatkov za namene nacionalne varnosti, zakon o obveščevalnih službah (Intelligence Services Act) (211) in zakon o varnostnih službah (Security Services Act) (212) omejujeta zmožnost obveščevalnih služb za pridobivanje podatkov na tisto, kar je potrebno za izvrševanje njihovih zakonskih nalog. Agencije za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, ki želijo posredovati podatke obveščevalnim službam, morajo proučiti več dejavnikov oziroma upoštevati več omejitev, poleg zakonskih nalog agencij, ki so navedene v zakonu o obveščevalnih službah in zakonu o varnostnih službah (213). Člen 20 zakona o boju proti terorizmu iz leta 2008 jasno določa, da mora biti vsaka izmenjava podatkov na podlagi člena 19 v skladu z zakonodajo o varstvu podatkov; to pomeni, da se uporabljajo vse omejitve in zahteve iz dela 3 zakona o varstvu podatkov iz leta 2018. Nadalje, ker so pristojni organi javni organi za namene zakona o človekovih pravicah iz leta 1998, morajo zagotoviti skladnost s pravicami iz Konvencije, vključno s členom 8 EKČP. Te omejitve zagotavljajo, da je vsakršna izmenjava podatkov med agencijami za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj in obveščevalnimi službami skladna z zakonodajo o varstvu podatkov in z EKČP.

(150)

Kadar namerava pristojni organ posredovati osebne podatke, ki jih obdeluje na podlagi dela 3 zakona o varstvu podatkov iz leta 2018, organom za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj iz tretje države, se uporabljajo posebne zahteve (214). Taki prenosi lahko zlasti potekajo, kadar temeljijo na predpisih o ustreznosti, ki jih izda pristojni minister, ali če takih predpisov ni, če so zagotovljeni ustrezni zaščitni ukrepi. Člen 75 zakona o varstvu podatkov iz leta 2018 določa, da so ustrezni zaščitni ukrepi zagotovljeni, če so določeni v pravnem instrumentu, ki zavezuje prejemnika, ali če je upravljavec, po proučitvi vseh okoliščin prenosa zadevne vrste osebnih podatkov v tretjo državo ali mednarodno organizacijo, ugotovil, da obstajajo ustrezni zaščitni ukrepi za varstvo podatkov.

(151)

Če prenos ne temelji na predpisih o ustreznosti ali na ustreznih zaščitnih ukrepih, se lahko izvede le v določenih specifičnih okoliščinah, imenovanih „posebne okoliščine“ (215). Na primer, kadar je prenos potreben: (a) za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe; (b) za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki; (c) za preprečitev neposredne in resne grožnje javni varnosti države članice ali tretje države; (d) v posameznih primerih za kateri koli namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ali (e) v posameznih primerih iz pravnih razlogov (kot na primer v zvezi s sodnimi postopki ali za zagotavljanje pravnih nasvetov). Opozoriti je treba, da se točki (d) in (e) ne uporabljata, če pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, prevladajo nad javnim interesom pri prenosu. Te okoliščine ustrezajo posebnim razmeram in pogojem, ki so v skladu s členom 38 Direktive (EU) 2016/680 opredeljeni kot odstopanja.

(152)

Nadalje, kadar se gradivo, ki ga na podlagi odredbe o uporabi prestrezanja ali poseganja v opremo pridobijo organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, posreduje tretji državi, zakon o preiskovalnih pooblastilih iz leta 2016 določa dodatne zaščitne ukrepe. Natančneje, tako razkritje, t. i. razkritje v tujino, je dovoljeno le, če organ izdajatelj meni, da je vzpostavljena posebna ustrezna ureditev, v skladu s katero je omejeno število oseb, ki se jim podatki razkrijejo, omejen obseg razkritja gradiva oziroma dajanja gradiva na voljo, ter v kolikšnem obsegu se gradivo lahko kopira in koliko kopij se lahko izdela. Poleg tega lahko organ izdajatelj meni, da je ustrezna ureditev potrebna, da se zagotovi uničenje vsake kopije vsakega dela navedenega gradiva, takoj ko ne obstajajo več razlogi za njihovo hrambo (če niso bile uničene že prej) (216).

(153)

Nazadnje, posebne oblike nadaljnjega prenosa iz Združenega kraljestva v Združene države bi lahko v prihodnje potekale na podlagi sporazuma med vlado Združenega kraljestva Velika Britanija in Severna Irska ter vlado Združenih držav Amerike o dostopu do elektronskih podatkov za namene boja proti hudim kaznivim dejanjem (Agreement between the Government of the United Kingdom of Great Britain and Northern Ireland and the Government of the United States of America on Access to Electronic Data for the Purpose of Countering Serious Crime; v nadaljnjem besedilu: sporazum med Združenim kraljestvom in ZDA oziroma samo sporazum) (217), ki je bil sklenjen oktobra 2019 (218). Čeprav navedeni sporazum [v času sprejetja tega sklepa] še ni začel veljati, lahko njegov predvideni začetek veljavnosti vpliva na nadaljnje prenose podatkov, ki so bili najprej preneseni v Združeno kraljestvo na podlagi sklepa, naprej v ZDA. Natančneje, prenosi podatkov iz EU k ponudnikom storitev v Združenem kraljestvu bi lahko bili predmet odredb o predložitvi elektronskih dokazov, ki jih izdajajo pristojni organi ZDA za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, in take odredbe bi se v Združenem kraljestvu uporabljale na podlagi sporazuma med Združenim kraljestvom in ZDA, ko bi ta začel veljati. Zato je ocena pogojev in zaščitnih ukrepov, na podlagi katerih se take odredbe lahko izdajo in izvršijo, pomembna pri izdaji tega sklepa.

(154)

Glede tega je treba najprej poudariti, da se glede vsebinskega področja uporabe sporazum uporablja le za kazniva dejanja, pri katerih je najvišja zagrožena kazen zapora vsaj tri leta (kar je opredeljeno kot „hudo kaznivo dejanje“) (219), vključno s „teroristično dejavnostjo“. Drugič, podatki, ki se obdelujejo v drugih jurisdikcijah, se lahko na podlagi navedenega sporazuma pridobijo le na podlagi „odločbe […], ki je podvržena preverjanju ali nadzoru sodišča, sodnika, mirovnega sodnika ali drugega neodvisnega organa na podlagi notranjega prava pogodbenice izdajateljice, pred ali med postopkom v zvezi z izvršitvijo odredbe“ (220). Tretjič, vsaka odredba mora „temeljiti na zahtevah glede razumne utemeljitve na podlagi jasnih in tehtnih dokazov, posebnosti, zakonitosti in resnosti preiskovanega ravnanja“ (221) ter se mora „nanašati na specifične račune ter opredeliti specifično osebo, račun, naslov ali osebno napravo ali kateri koli drug natančen način opredelitve“ (222). Četrtič, podatki, pridobljeni na podlagi tega sporazuma, so zaščiteni enako kot na podlagi posebnih zaščitnih ukrepov iz tako imenovanega krovnega sporazuma med ZDA in EU (223) (celovit sporazum o varstvu podatkov, ki sta ga decembra 2016 sklenila EU in ZDA ter ki določa zaščitne ukrepe in pravice glede prenosa podatkov na področju sodelovanja pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj), ki so vsi vključeni v ta sporazum s sklicevanjem na smiselno upoštevanje posebne narave prenosa (tj. prenosi od zasebnih subjektov k organom za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, in ne prenosi med takimi organi) (224). Sporazum med Združenim kraljestvom in ZDA izrecno določa, da se „glede vseh osebnih podatkov, predloženih v okviru izvršitve odredb na podlagi sporazuma o zagotovitvi enakovredne zaščite“ uporablja enakovredna zaščita tisti, ki je določena v krovnem sporazumu med EU in ZDA (225).

(155)

Za prenose podatkov organom ZDA na podlagi sporazuma med Združenim kraljestvom in ZDA bi morala torej veljati zaščita, ki izhaja iz instrumenta prava EU, ob ustreznih prilagoditvah, da se upošteva narava zadevnega prenosa. Organi Združenega kraljestva so nadalje potrdili, da se zaščita na podlagi krovnega sporazuma uporablja za vse osebne podatke, ki se predložijo ali zavarujejo na podlagi sporazuma, ne glede na naravo ali vrsto organa, ki predloži zahtevo (na primer zvezni organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter tisti na ravni posameznih zveznih držav v ZDA), tako da je treba enakovredno zaščito zagotoviti v vseh primerih. Vendar pa so organi Združenega kraljestva pojasnili tudi, da pogovori o podrobnostih konkretnega izvajanja zaščitnih ukrepov za varstvo podatkov med Združenim kraljestvom in ZDA še potekajo. V okviru pogovorov s službami Evropske komisije glede tega sklepa so organi Združenega kraljestva potrdili, da bodo začetek veljavnosti sporazuma omogočili le, ko bodo prepričani, da je njegovo izvrševanje skladno s pravnimi obveznostmi v njem, vključno z jasnostjo glede zagotavljanja skladnosti s standardi varstva podatkov glede katerih koli podatkov, ki se zahtevajo na podlagi sporazuma. Ker bi morebiten začetek veljavnosti sporazuma lahko vplival na raven varstva, ki se ocenjuje s tem sklepom, bi moralo Združeno kraljestvo Evropski komisiji posredovati vse informacije in prihodnja pojasnila glede tega, kako bodo ZDA izpolnjevale svoje obveznosti na podlagi sporazuma, takoj, ko so na voljo, v vsakem primeru pa pred začetkom veljavnosti sporazuma, da se zagotovi ustrezno spremljanje tega sklepa, v skladu s členom 45(4) Uredbe (EU) 2016/679. Posebna pozornost bo namenjena uporabi in prilagoditvi zaščit posebnih vrst prenosov iz krovnega sporazuma, kot so urejene v sporazumu med Združenim kraljestvom in ZDA.

(156)

Splošneje, vsak zadevni dogodek v zvezi z začetkom veljavnosti in uporabo sporazuma bo ustrezno upoštevan v okviru stalnega spremljanja izvajanja tega sklepa, tudi glede potrebnih posledic v primeru kakršnih koli indicev, da v osnovi enakovredna raven varstva ni več zagotovljena.

(157)

Različni organi zagotavljajo nadzor nad uporabo pooblastil, odvisno od pooblastil pristojnih organov pri obdelavi osebnih podatkov za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (na podlagi zakona o varstvu podatkov iz leta 2018 ali na podlagi zakona o preiskovalnih pooblastilih iz leta 2016). Informacijski pooblaščenec nadzira obdelavo osebnih podatkov, če ta spada na področje dela 3 zakona o varstvu podatkov iz leta 2018 (226). Neodvisen in sodni nadzor uporabe preiskovalnih pooblastil na podlagi zakona o preiskovalnih pooblastilih iz leta 2016 zagotavlja urad pooblaščenca za nadzor nad izvajanjem preiskovalnih pooblastil (Investigatory Powers Commissioner’s Office (IPCO)) (227) (ta del je obravnavan v uvodnih izjavah (250) do (255)). Dodaten nadzor zagotavljajo parlament ter drugi organi.

(158)

Splošne naloge informacijskega pooblaščenca (katerega neodvisnost in organizacija sta pojasnjeni v uvodni izjavi (87)) v zvezi z obdelavo osebnih podatkov, ki spadajo na področje dela 3 zakona o varstvu podatkov iz leta 2018, so določene v dodatku 13 k zakonu o varstvu podatkov iz leta 2018. Glavne naloge urada informacijskega pooblaščenca so spremljanje in izvrševanje dela 3 zakona o varstvu podatkov iz leta 2018, ozaveščanje javnosti ter svetovanje parlamentu, vladi in drugim institucijam in organom. Informacijski pooblaščenec zaradi vzdrževanja neodvisnosti sodstva ne sme izvajati nalog v zvezi z obdelavo osebnih podatkov, ki jo izvaja posameznik ali sodišče v okviru svoje sodne pristojnosti. V takih okoliščinah bi nadzorne naloge izvajali drugi organi, kot je pojasnjeno v uvodnih izjavah (99) do (103).

(159)

Informacijski pooblaščenec ima splošna preiskovalna in popravljalna pooblastila, pooblastila v zvezi z odobritvami in svetovalne pristojnosti, ki se nanašajo na obdelavo osebnih podatkov, za katero se uporablja del 3. Informacijski pooblaščenec lahko obvešča upravljavca ali obdelovalca o domnevnih kršitvah dela 3 zakona o varstvu podatkov iz leta 2018, izdaja opozorila ali opomine upravljavcem ali obdelovalcem, ki kršijo določbe dela 3 navedenega zakona, ter na lastno pobudo ali na zahtevo izdaja mnenja parlamentu, vladi ali drugim institucijam in organom ter javnosti o vseh vprašanjih, ki se nanašajo na varstvo podatkov (228).

(160)

Informacijski pooblaščenec lahko tudi izdaja obvestila o predložitvi informacij (229), obvestila o preverjanju (230) in obvestila o izvršitvi (231), ima pa tudi pravico do dostopa do dokumentov upravljavcev in obdelovalcev ter do njihovih prostorov (232) in lahko izdaja upravne globe v obliki obvestil o plačilnem nalogu (233). Politika urada informacijskega pooblaščenca o regulativnih ukrepih (Regulatory Action Policy) določa okoliščine, v katerih urad izdaja obvestila o predložitvi informacij, preverjanju, izvršitvi in plačilnem nalogu (234) (glej tudi uvodno izjavo (93) in uvodni izjavi 101 in 102 Direktive (EU) 2016/680, ki se nanašata na sklepe o ustreznosti).

(161)

Iz zadnjih letnih poročil informacijskega pooblaščenca (2018–2019 (235), 2019–2020 (236)) je razvidno, da je izvedel več preiskav in sprejel izvršilne ukrepe glede obdelave podatkov s strani organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj. Oktobra 2019 je na primer izvedel preiskavo in objavil mnenje v zvezi z uporabo tehnologije za prepoznavanje obrazov na javnih mestih za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj. Preiskava je bila usmerjena zlasti na uporabo zmogljivosti prepoznavanja obrazov v živo pri policiji južnega Walesa in londonski policiji (Metropolitan Police Service). Informacijski pooblaščenec je preiskoval tudi „Gangs matrix“ (matriko tolp) (237) londonske policije in ugotovil vrsto resnih kršitev zakonodaje o varstvu podatkov, ki bi lahko omajale zaupanje javnosti v matriko in uporabo podatkov. Novembra 2018 je informacijski pooblaščenec izdal obvestilo o izvršitvi, londonska policija pa je nato sprejela ukrepe, potrebne za povečanje varnosti in odgovornosti ter zagotovitev sorazmerne uporabe podatkov. Drug primer izvršilnega ukrepa na tem področju je globa v višini 325000 GBP, ki jo je informacijski pooblaščenec maja 2018 naložil državnemu tožilstvu zaradi izgube nešifriranega DVD-ja s posnetki informativnih razgovorov pri policiji. Informacijski pooblaščenec je izvajal tudi preiskave širših tem, na primer v prvi polovici leta 2020 o uporabi pridobivanja podatkov iz mobilnih telefonov za policijske namene ter obdelavi podatkov žrtev s strani policije. Poleg tega informacijski pooblaščenec trenutno preiskuje zadevo, ki se nanaša na dostop organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj do podatkov, ki jih hrani subjekt zasebnega prava, Clearview AI Inc (238).

(162)

Poleg pooblastil informacijskega pooblaščenca za izvrševanje, navedenih v uvodnih izjavah (160) in (161), se nekatere kršitve zakonodaje o varstvu podatkov štejejo za kazniva dejanja, zato so lahko zanje izrečejo kazenske sankcije (člen 196 zakona o varstvu podatkov iz leta 2018). To se na primer nanaša na pridobivanje, razkritje ali hrambo osebnih podatkov brez privolitve upravljavca ter zagotovitev razkritja osebnih podatkov drugi osebi brez privolitve upravljavca (239); ponovno identifikacijo informacij v primeru anonimizacije osebnih podatkov brez privolitve upravljavca, ki je odgovoren za anonimizacijo osebnih podatkov (240); namerno oviranje informacijskega pooblaščenca pri izvrševanju njegovih pooblastil v zvezi s preverjanjem osebnih podatkov v skladu z mednarodnimi obveznostmi (241), dajanje neresničnih izjav v odgovor na obvestilo o predložitvi informacij ali uničenje informacij v zvezi z obvestilom o predložitvi informacij ali obvestilom o preverjanju (242).

(163)

Poleg informacijskega pooblaščenca na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj obstaja več nadzornih organov s posebnimi pooblastili glede varstva podatkov. Med njimi so na primer pooblaščenec za hrambo in uporabo biometričnih podatkov (Commissioner for the Retention and Use of Biometric Material; v nadaljnjem besedilu: pooblaščenec za biometrične podatke) (243) in pooblaščenec za uporabo nadzornih kamer (Surveillance Camera Commissioner) (244).

(164)

Parlamentarni odbor za notranje zadeve (Home Affairs Select Committee (HASC)) zagotavlja parlamentarni nadzor na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj Sestavlja ga 11 poslancev iz treh največjih političnih strank. Naloga odbora je preverjati izdatke, upravljanje in politiko ministrstva za notranje zadeve ter zadevnih javnih organov, tj. tudi policije in nacionalne agencije za boj proti kriminalu (NCA), katerih delo lahko odbor posebej nadzira (245).

(165)

V okviru svojih pristojnosti lahko odbor sam izbere predmet obravnave, tudi posamezne zadeve, pod pogojem, da vprašanje ni predmet sodnega postopka. Odbor lahko zahteva tudi pisna ali ustna dokazila od različnih zadevnih skupin in posameznikov. O svojih ugotovitvah sestavi poročilo ter izdaja priporočila vladi (246). Vlada se mora na vsako priporočilo iz poročila odzvati v 60 dneh (247).

(166)

V zvezi z obveščevalno dejavnostjo je odbor izdal tudi poročilo o zakonu o urejanju preiskovalnih pooblastil iz leta 2000 (248), v katerem je bilo ugotovljeno, da navedeni zakon ne ustreza svojemu namenu. Navedeno poročilo je bilo upoštevano pri nadomeščanju pomembnih delov zakona o urejanju preiskovalnih pooblastil iz leta 2000 z zakonom o preiskovalnih pooblastilih iz leta 2016. Celoten seznam preiskav je na voljo na spletišču odbora (249),

(167)

Na Škotskem naloge parlamentarnega odbora za notranje zadeve opravlja pravosodni pododbor za področje policije (Justice Subcommittee on Policing), na Severnem Irskem pa odbor za pravosodje (Committee for Justice) (250).

(168)

V vezi z obdelavo podatkov s strani organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj so mehanizmi pravnih sredstev opredeljeni v delu 3 zakona o varstvu podatkov iz leta 2018, zakonu o preiskovalnih pooblastilih iz leta 2016 ter zakonu o človekovih pravicah iz leta 1998.

(169)

Ti mehanizmi posameznikom, na katere se nanašajo osebni podatki, zagotavljajo učinkovita upravna in sodna pravna sredstva, ki jim omogočajo zlasti uveljavljanje pravic, vključno s pravico do dostopa do svojih osebnih podatkov, njihovega popravka ali izbrisa.

(170)

Prvič, na podlagi člena 165 zakona o varstvu podatkov iz leta 2018 ima posameznik, na katerega se nanašajo osebni podatki, pravico vložiti pritožbo pri informacijskem pooblaščencu, če meni, da je v zvezi z osebnimi podatki, ki se nanašajo nanj, prišlo do kršitve dela 3 zakona o varstvu podatkov iz leta 2018 (251). Informacijski pooblaščenec lahko preveri, kako upravljavec in obdelovalec zagotavljata skladnost z zakonom o varstvu podatkov iz leta 2018, od njiju zahteva, da v primeru neskladnosti sprejmeta potrebne ukrepe, ter naloži globe.

(171)

Drugič, zakon o varstvu podatkov iz leta 2018 določa pravico do pravnega sredstva zoper informacijskega pooblaščenca, če ta ne obravnava ustrezno pritožbe posameznika, na katerega se nanašajo osebni podatki. Natančneje, če informacijski pooblaščenec ne obravnava (252) pritožbe posameznika, na katerega se nanašajo osebni podatki, lahko pritožnik zahteva sodno presojo, saj se lahko pritoži pri sodišču prve stopnje (253) in zahteva, naj se informacijskemu pooblaščencu odredi ustrezna obravnava pritožbe ali pa naj se pritožnika obvešča o obravnavi pritožbe (254). Poleg tega se lahko vsakdo, ki mu informacijski pooblaščenec izda katerega koli od navedenih obvestil (o predložitvi informacij, o preverjanju, o izvršitvi ali o plačilnem nalogu), pritoži pri sodišču prve stopnje. Če sodišče ugotovi, da odločba informacijskega pooblaščenca ni v skladu s pravom ali da bi moral informacijski pooblaščenec odločiti drugače, mora sodišče pritožbo dovoliti ali obvestilo oziroma odločbo informacijskega pooblaščenca nadomestiti z drugo (255).

(172)

Tretjič, posamezniki lahko pravna sredstva zoper upravljavce in obdelovalce uveljavljajo neposredno pred sodišči. Natančneje, na podlagi člena 167 zakona o varstvu podatkov iz leta 2018 lahko posameznik, na katerega se nanašajo osebni podatki, vloži vlogo pri sodišču zaradi kršitve svojih pravic na podlagi zakonodaje o varstvu podatkov, sodišče pa lahko z odločbo od upravljavca zahteva, da sprejme (ali se vzdrži) kakršnih koli ukrepov v zvezi z obdelavo, da se zagotovi skladnost z zakonom o varstvu podatkov iz leta 2018. Poleg tega lahko v skladu s členom 169 zakona o varstvu podatkov iz leta 2018 vsaka oseba, ki je utrpela škodo zaradi kršitve zahteve iz zakonodaje o varstvu podatkov (vključno z delom 3 zakona o varstvu podatkov iz leta 2018), razen na podlagi UK GDPR, upravičena do odškodnine za škodo, ki jo je povzročil upravljavec ali obdelovalec, razen če upravljavec ali obdelovalec dokaže, da nikakor ni odgovoren za dogodek, na podlagi katerega je nastala škoda. Škoda vključuje finančno in nefinančno izgubo, kot je na primer stiska.

(173)

Nazadnje, vsaka oseba, ki meni, da je kateri koli javni organ kršil njene pravice, vključno s pravico do zasebnosti in varstva podatkov, lahko vloži pravno sredstvo pri sodišču Združenega kraljestva na podlagi zakona o človekovih pravicah iz leta 1998 (256); ko izkoristi vsa notranja pravna sredstva, pa lahko oseba, nevladna organizacija in skupina posameznikov vloži pravno sredstvo pri Evropskem sodišču za človekove pravice zaradi kršitve pravic, zagotovljenih na podlagi Evropske konvencije o varstvu človekovih pravic (257) (glej uvodno izjavo (111)).

(174)

Posamezniki lahko zaradi kršitev zakona o preiskovalnih pooblastilih iz leta 2016 vložijo pravna sredstva pri sodišču, ki obravnava preiskovalna pooblastila (Investigatory Powers Tribunal). Pravna sredstva, ki so na voljo na podlagi zakona o preiskovalnih pooblastilih iz leta 2016, so opisana tudi v uvodnih izjavah (263)–(269) below.

(175)

V pravnem redu Združenega kraljestva velja, da so iz razlogov nacionalne varnosti, v okoliščinah, pomembnih za oceno ustreznosti, naslednje obveščevalne službe pristojne za zbiranje elektronskih podatkov, ki jih hranijo upravljavci ali obdelovalci: varnostna služba (Security Service, MI5) (258), tajna obveščevalna služba (Secret Intelligence Service, SIS) (259) in vladna obveščevalna služba (Government Communications Headquarters (260), GCHQ) (261).

(176)

V Združenem kraljestvu so pooblastila obveščevalnih služb opredeljena v zakonu o preiskovalnih pooblastilih iz leta 2016 in v zakonu o urejanju preiskovalnih pooblastil iz leta 2000, ki skupaj z zakonom o varstvu podatkov iz leta 2018 določata materialno in osebno področje uporabe teh pooblastil ter omejitve in zaščitne ukrepe za njihovo uporabo. Navedena pooblastila ter omejitve in zaščitni ukrepi, ki se nanašajo nanje, so podrobneje ocenjena v oddelkih v nadaljevanju.

(177)

Zakon o preiskovalnih pooblastilih iz leta 2016 določa pravni okvir za uporabo preiskovalnih pooblastil, tj. pooblastil za prestrezanje komunikacijskih podatkov, dostop do njih in poseganje v opremo. Navedeni zakon uvaja splošno prepoved in določa, da je uporaba tehnik, ki omogočajo dostop do vsebine komunikacij, dostop do komunikacijskih podatkov ali poseganje v opremo brez zakonitega pooblastila kaznivo dejanje (262). To se odraža v dejstvu, da je uporaba teh preiskovalnih pooblastil zakonita le, če se izvaja na podlagi odredbe ali pooblastila (263).

(178)

Zakon o preiskovalnih pooblastilih iz leta 2016 določa podrobna pravila, ki urejajo področje uporabe in uporabo posameznih preiskovalnih pooblastil ter njihove omejitve in zaščitne ukrepe. Uporabljajo se različna pravila, odvisno od vrste preiskovalnih pooblastil (prestrezanje komunikacij, pridobivanje in hramba komunikacijskih podatkov ter poseganje v opremo), pa tudi od tega, ali se pooblastilo izvršuje na specifičnem cilju (264) ali v večjem obsegu. Podrobnosti o področju uporabe, zaščitnih ukrepih in omejitvah vsakega ukrepa iz zakona o preiskovalnih pooblastilih iz leta 2016 so navedene v posebnem oddelku v nadaljevanju.

(179)

Poleg tega Zakon o preiskovalnih pooblastilih iz leta 2016 dopolnjuje več zakonskih kodeksov ravnanja, ki jih je izdal pristojni minister, odobrila pa oba domova parlamenta (265); uporabljajo se v vsej državi in zagotavljajo dodatne smernice glede uporabe navedenih pooblastil (266). Medtem ko se lahko posamezniki, na katere se nanašajo osebni podatki, pri uveljavljanju svojih pravic sklicujejo neposredno na določbe zakona o preiskovalnih pooblastilih iz leta 2016, točka 5 dodatka 7 k navedenemu zakonu določa, da je kodeks ravnanja dopusten kot dokaz v civilnih in kazenskih postopkih, sodišče ali nadzorni organ pa lahko vsako neskladnost s kodeksom upošteva pri obravnavi zadevnih vprašanj v sodnih postopkih (267). V okviru ocene „kakovosti zakonodaje“ prejšnje zakonodaje Združenega kraljestva na področju nadzora, tj. zakona o urejanju preiskovalnih pooblastil iz leta 2000, je veliki senat Evropskega sodišča za človekove pravice izrecno priznal pomembnost kodeksa ravnanja Združenega kraljestva in sprejel, da bi se njegove določbe lahko upoštevale pri ocenjevanju predvidljivosti zakonodaje, ki dovoljuje nadzor (268).

(180)

Opozoriti je treba, da so ciljna pooblastila (ciljno prestrezanje (269), pridobivanje komunikacijskih podatkov (270), hramba komunikacijskih podatkov (271) in ciljno poseganje v opremo (272)) na voljo agencijam za nacionalno varnost in nekaterim organom za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj (273), vendar pa lahko le obveščevalne službe navedena pooblastila izvršujejo neciljno (torej prestrezanje v večjem obsegu (274), pridobivanje komunikacijskih podatkov v večjem obsegu (275), poseganje v opremo v večjem obsegu (276) in nabori osebnih podatkov v večjem obsegu (277)).

(181)

Pri odločanju o tem, katera preiskovalna pooblastila naj se uporabijo, mora obveščevalna agencija zagotoviti skladnost s „splošnimi obveznostmi glede zasebnosti“ iz člena 2(2)(a) zakona o preiskovalnih pooblastilih iz leta 2016, ki vključujejo preskus potrebnosti in sorazmernosti. Natančneje, na podlagi te določbe mora javni organ, ki namerava uporabiti preiskovalno pooblastilo, preveriti, (i) ali bi bilo tisto, kar se želi doseči na podlagi odredbe, odobritve ali obvestila, razumno mogoče doseči z drugimi, manj intruzivnimi sredstvi; (ii) ali je raven varstva, ki se uporablja v zvezi s katerim koli pridobivanjem informacij na podlagi odredbe, odobritve ali obvestila, višja zaradi posebne občutljivosti navedenih informacij; (iii) javni interes v zvezi s celovitostjo in varnostjo telekomunikacijskih sistemov in poštnih storitev ter (iv) vse druge vidike javnega interesa v zvezi z varstvom zasebnosti (278).

(182)

V zadevnem kodeksu ravnanja je podrobneje določeno, kako je treba uporabiti navedena merila in kako se ocenjuje zagotavljanje skladnosti z njimi, kot del odobritve uporabe takih pooblastil s strani pristojnega ministra in neodvisnega pravosodnega pooblaščenca (Judicial Commissioner). Natančneje, uporaba katerega koli od navedenih preiskovalnih pooblastil mora vedno biti „sorazmerna s ciljem, ki vključuje tehtanje stopnje posega v zasebnost (in druge preudarke iz člena 2(2)) na eni strani ter potrebe po izvedbi dejavnosti v preiskovalnem in operativnem smislu ter v smislu zmogljivosti na drugi strani“. To predvsem pomeni, da „bi morala obstajati realna možnost doseganja pričakovane koristi in da ne bi smela biti nesorazmerna ali samovoljna“ ter „da se noben poseg v zasebnost ne more šteti za sorazmernega, če bi bilo razumno mogoče iskane informacije pridobiti z manj intruzivnimi sredstvi“ (279). Natančneje, skladnost z načelom sorazmernosti je treba presojati glede na ta merila: „(i) obseg predlaganega posega v zasebnost v primerjavi s ciljem posega; (ii) kako in zakaj bodo uporabljene metode čim manj posegale v osebo in druge; (iii) ali dejavnost pomeni ustrezno uporabo zakona in ali je uporaba razumna, ob upoštevanju vseh razumnih drugih možnosti, kako doseči cilj; (iv) katere druge metode, kot je ustrezno, niso bile uporabljene ali so bile uporabljene, vendar so bile ocenjene kot nezadostne za dosego ciljev operacije, brez uporabe predlaganih preiskovalnih pooblastil“ (280).

(183)

V skladu s pojasnili organov Združenega kraljestva v praksi to zagotavlja, da obveščevalna agencija najprej opredeli operativne cilje (s čimer opredeli zbiranje, npr. za namene boja proti mednarodnemu terorizmu na določenem geografskem območju), nato pa na podlagi teh operativnih ciljev določi, katera tehnična možnost (npr. ciljno prestrezanje ali prestrezanje v večjem obsegu, ciljni poseg v opremo ali poseg v opremo v večjem obsegu, ali ciljno pridobivanje komunikacijskih podatkov oziroma njihovo pridobivanje v večjem obsegu) je najustreznejša (npr. najmanj posega v zasebnost, v skladu s členom 2(2) zakona o preiskovalnih pooblastilih) glede na cilj in jo je torej mogoče odobriti na podlagi ene od razpoložljivih pravnih podlag.

(184)

Pomembno je poudariti, da je tako sklicevanje na standarde potrebnosti in sorazmernosti omenil in pozdravil tudi posebni poročevalec Združenih narodov za pravico do zasebnosti, Joseph Cannataci, ki je glede sistema, vzpostavljenega z zakonom o preiskovalnih pooblastilih iz leta 2016, navedel, da „je videti, da postopki, vzpostavljeni pri obveščevalnih službah in agencijah za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, sistematično zahtevajo preverjanje potrebnosti in sorazmernosti obveščevalnega ukrepa ali operacije, preden se ta predlaga v odobritev, ter njeno preverjanje iz istih razlogov“ (281). Navedel je tudi, da mu je bilo na sestanku s predstavniki agencij za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter agencij za nacionalno varnost „soglasno predstavljeno mnenje, da je treba pri vseh odločitvah glede obveščevalnih ukrepov upoštevati pravico do zasebnosti. Vsi so razumeli in upoštevali potrebnost in sorazmernost kot glavni načeli, ki ju je treba upoštevati“.

(185)

Posamezna merila za izdajo raznih odredb ter omejitve in zaščitni ukrepi iz zakona o preiskovalnih pooblastilih iz leta 2016 glede vsakega preiskovalnega pooblastila so podrobneje navedeni v uvodnih izjavah (186) do (243).

(186)

Obstajajo tri vrste odredb za ciljno prestrezanje: odredba o ciljnem prestrezanju (282), odredba o ciljnem pregledovanju in odredba na podlagi medsebojne pomoči (283). Pogoji za pridobitev takih odredb in relevantni zaščitni ukrepi so določeni v poglavju 1 dela 2 zakona o preiskovalnih pooblastilih iz leta 2016.

(187)

Odredba o ciljnem prestrezanju omogoča prestrezanje komunikacij, navedenih v odredbi, med njihovim prenosom ter pridobivanje drugih podatkov, ki so pomembni za navedeno komunikacijo (284), vključno s sekundarnimi podatki (285). Odredba o ciljnem pregledovanju omogoča osebi, da med prestreženo vsebino, pridobljeno na podlagi odredbe o prestrezanju v večjem obsegu (286), izbere tisto, ki bo pregledana.

(188)

Vsako odredbo na podlagi dela 2 zakona o preiskovalnih pooblastilih iz leta 2016 lahko izda pristojni minister (287), odobri pa jo pravosodni pooblaščenec (288). V vseh primerih je trajanje katere koli vrste ciljne odredbe omejeno na 6 mesecev (289), glede njene spremembe (290) ali podaljšanja (291) pa se uporabljajo posebna pravila.

(189)

Pristojni minister mora pred izdajo odredbe izvesti oceno potrebnosti in sorazmernosti (292). Natančneje, glede odredbe o ciljnem prestrezanju in odredbe o ciljnem pregledovanju mora pristojni minister preveriti, ali je ukrep potreben iz enega od teh razlogov: za namene nacionalne varnosti; za preprečevanje ali odkrivanje hudih kaznivih dejanj ali v interesu gospodarske blaginje Združenega kraljestva (293), če je ta interes relevanten tudi za nacionalno varnost (294). Po drugi strani pa je odredbo na podlagi medsebojne pomoči (glej uvodno izjavo (139) above) mogoče izdati le, če pristojni minister meni, da obstajajo okoliščine, ki so enakovredne tistim, v katerih bi izdal odredbo za namene preprečevanja in/ali odkrivanja hudih kaznivih dejanj (295).

(190)

Pristojni minister bi moral tudi oceniti, ali je ukrep sorazmeren s ciljem (296). Pri oceni sorazmernosti zahtevanih ukrepov je treba upoštevati splošne obveznosti glede zasebnosti iz člena 2(2) zakona o preiskovalnih pooblastilih iz leta 2016, predvsem, ali je cilj, ki se želi doseči z odredbo, odobritvijo ali obvestilom, mogoče razumno doseči z drugimi manj intruzivnimi sredstvi in ali je raven varstva, ki se uporablja v zvezi s kakršnim koli pridobivanjem informacij na podlagi odredbe, višja zaradi posebno občutljive narave takih informacij (glej uvodno izjavo (181) above).

(191)

Zato mora pristojni minister upoštevati vse elemente zahteve organa, zlasti tiste glede oseb, na katere se nanaša prestrezanje, in pomen ukrepa za preiskavo. Ti elementi so navedeni v kodeksu ravnanj glede prestrezanja komunikacij in morajo biti opisani z določeno mero natančnosti (297). Poleg tega člen 17 zakona o preiskovalnih pooblastilih iz leta 2016 določa, da mora biti v vsaki odredbi, izdani na podlagi poglavja 2 navedenega zakona, navedeno ime ali opis posamezne osebe ali skupine oseb, organizacije ali lokacije, na katero se nanaša prestrezanje (tako imenovana tarča). V primeru odredbe o ciljnem prestrezanju ali odredbe o ciljnem pregledovanju se to lahko nanaša tudi na skupino oseb, več kot eno osebo ali organizacijo ali več kot eno lokacijo (tudi tako imenovana tematska odredba) (298). V takih primerih mora biti v odredbi naveden namen ali dejavnost, ki je skupna skupini oseb ali operaciji/preiskavi, navedenih ali opisanih pa mora biti čim več takih oseb/organizacij ali lokacij, kot je razumno mogoče (299). Nazadnje, v vseh odredbah, izdanih na podlagi dela 2 zakona o preiskovalnih pooblastilih iz leta 2016, morajo biti navedeni naslovi, številke, oprema, dejavniki ali kombinacije dejavnikov, ki bodo uporabljeni za opredeljevanje komunikacij (300). V zvezi s tem kodeks ravnanja glede prestrezanja komunikacij določa, da je treba v primeru odredbe o ciljnem prestrezanju in odredbe o ciljnem pregledovanju „v odredbi opredeliti (ali opisati) dejavnike ali kombinacijo dejavnikov, ki bodo uporabljeni pri opredeljevanju komunikacij. Če bodo komunikacije (na primer) opredeljene glede na telefonsko številko, mora biti številka navedena v celoti. Kadar pa se bodo za opredeljevanje komunikacij uporabili zelo zapleteni ali stalno se spreminjajoči spletni izbirniki, je treba te opisati, kolikor je mogoče natančno“ (301).

(192)

Pomemben zaščitni ukrep v tem smislu je, da mora oceno pristojnega ministra glede izdaje odredbe odobriti neodvisni pravosodni pooblaščenec (302), ki preverja predvsem, ali je odločitev o izdaji odredbe skladna z načeli potrebnosti in sorazmernosti (303) (glede statusa in vloge pravosodnih pooblaščencev glej uvodne izjave (251) do (256) below). Zakon o preiskovalnih pooblastilih iz leta 2016 tudi določa, da mora pravosodni pooblaščenec pri takem preverjanju uporabiti ista načela, kot bi jih sodišče na podlagi zahteve za sodno presojo (304). Na ta način se zagotavlja, da neodvisni organ sistematično preverja skladnost z načelom potrebnosti in sorazmernosti v vsakem primeru posebej in še preden se omogoči dostop do podatkov.

(193)

Zakon o preiskovalnih pooblastilih iz leta 2016 določa nekaj posebnih in strogo opredeljenih izjem za izvajanje ciljnega prestrezanja brez odredbe. Omejeni primeri so podrobno opredeljeni v zakonu (305) in razen tistega, ki temelji na „soglasju“ pošiljatelja/prejemnika, jih izvajajo osebe (zasebni ali javni organi), ki niso nacionalne agencije za varnost. Poleg tega se ta vrsta prestrezanja izvaja za namene, ki se razlikujejo od zbiranja za namene obveščevalnih služb (306), in v nekaterih primerih je zelo malo verjetno, da bi se zbiranje lahko izvajalo v okviru prenosa (na primer v primeru prestrezanja v psihiatrični bolnišnici ali zaporu). Glede na naravo organa, na katerega se ti posebni primeri nanašajo (razen agencij za nacionalno varnost), se bodo uporabljali vsi zaščitni ukrepi iz dela 2 zakona o varstvu podatkov iz leta 2018 in UK GDPR, vključno z nadzorom urada informacijskega pooblaščenca in razpoložljivimi mehanizmi pravnih sredstev. Poleg zaščitnih ukrepov, določenih v zakonu o varstvu podatkov iz leta 2018, v nekaterih primerih tudi zakon o preiskovalnih pooblastilih iz leta 2016 določa naknadni nadzor, ki ga izvaja urad pooblaščenca za nadzor nad izvajanjem preiskovalnih pooblastil (307).

(194)

Pri prestrezanju se uporabljajo dodatne omejitve in zaščitni ukrepi glede na specifičen status osebe, katere osebni podatki se prestrezajo (308). Prestrezanje komunikacij, za katere velja varovanje zaupnosti sporazumevanja med odvetnikom in stranko, je na primer dovoljeno le v izrednih in prepričljivih okoliščinah, pri čemer mora oseba, ki izda odredbo, upoštevati javni interes v zvezi z zaupnostjo takih komunikacij, veljati pa morajo posebne zahteve glede ravnanja s takim gradivom, njegove hrambe in razkritja (309).

(195)

Nadalje, zakon o preiskovalnih pooblastilih iz leta 2016 določa posebne zaščitne ukrepe v zvezi z varstvom, hrambo in razkritjem, ki jih mora pristojni minister upoštevati pred izdajo ciljne odredbe (310). Člen 53(5) zakona o preiskovalnih pooblastilih iz leta 2016 določa, da je treba vsako kopijo katerega koli gradiva, zbranega na podlagi odredbe, varno shraniti in uničiti, takoj ko ne obstajajo več upoštevni razlogi za njegovo hrambo; člen 53(2) navedenega zakona pa določa, da je treba osebe, ki se jim gradivo razkrije, da na voljo ali kopira, omejiti le na tiste, za katere je to iz zakonskih razlogov potrebno.

(196)

Nazadnje, če je treba gradivo, prestreženo na podlagi odredbe o ciljnem prestrezanju ali odredbe na podlagi medsebojne pomoči, izročiti tretji državi („razkritje v tujino“), zakon o preiskovalnih pooblastilih iz leta 2016 določa, da mora pristojni minister zagotoviti ustrezne ukrepe, s katerimi se zagotovi, da v navedeni tretji državi veljajo podobni zaščitni ukrepi glede varstva, hrambe in razkritja (311). Poleg tega člen 109(2) zakona o varstvu podatkov iz leta 2018 določa, da lahko obveščevalne službe prenesejo osebne podatke z ozemlja Združenega kraljestva le, če je prenos nujen in sorazmeren ukrep, ki se izvede za namene zakonskih nalog upravljavca ali za drug namen iz člena 2(2)(a) zakona o varnostnih službah iz leta 1989 oziroma člena 2(2)(a) in 4(2)(a) zakona o obveščevalnih službah iz leta 1994 (312). Pomembno je, da se te zahteve uporabljajo tudi v primerih, ko se sklicuje na izjemo glede nacionalne varnosti v skladu s členom 110 zakona o varstvu podatkov iz leta 2018, saj v členu 110 zakona o varstvu podatkov iz leta 2018 ni naveden člen 109 zadevnega zakona kot ena od določb, ki se ne uporabijo, če je zaradi zaščite nacionalne varnosti potrebno izvzetje iz nekaterih določb.

(197)

Zakon o preiskovalnih pooblastilih iz leta 2016 pristojnemu ministru omogoča, da od telekomunikacijskih operaterjev zahteva hrambo komunikacijskih podatkov za namene ciljnega dostopa več javnih organov, vključno z organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj in obveščevalnimi agencijami. Del 4 zakona o preiskovalnih pooblastilih iz leta 2016 ureja hrambo komunikacijskih podatkov, del 3 pa ciljno pridobivanje komunikacijskih podatkov. Dela 3 in 4 zakona o preiskovalnih pooblastilih iz leta 2016 določata tudi posebne omejitve glede uporabe teh pooblastil in opredeljujeta posebne zaščitne ukrepe.

(198)

Izraz „komunikacijski podatki“ se nanaša na elemente „kdo“, „kdaj“, „kje“ in „kako“, ne pa na vsebino, tj. ne na to, kaj je bilo rečeno ali napisano. Za razliko od prestrezanja, cilj pridobivanja in hrambe komunikacijskih podatkov ni pridobivanje vsebine komunikacij, ampak pridobivanje informacij, kot so, kdo je naročnik telefonske storitve, ali specifikacija računa. To lahko vključuje čas in trajanje komunikacije, številko ali elektronski naslov pošiljatelja ali prejemnika, včasih pa tudi lokacijo naprave, ki je bila uporabljena (313).

(199)

Poudariti je treba, da se hramba in pridobivanje komunikacijskih podatkov običajno ne nanašata na osebne podatke posameznikov iz EU, na katere se nanašajo podatki, ki se prenašajo v Združeno kraljestvo na podlagi tega sklepa. Obveznost hrambe ali razkritja komunikacijskih podatkov na podlagi dela 3 in 4 zakona o preiskovalnih pooblastilih iz leta 2016 se nanaša na podatke, ki jih zbirajo telekomunikacijski operaterji v Združenem kraljestvu neposredno od uporabnikov telekomunikacijskih storitev (314). Te vrste obdelava, ki je usmerjena v stranke, običajno ne vključuje prenosov na podlagi tega sklepa, tj. prenosov od upravljavca/obdelovalca v EU k upravljavcu/obdelovalcu v Združenem kraljestvu.

(200)

Vendar pa so zaradi celovitosti pogoji in zaščitni ukrepi, ki se uporabljajo za navedene ureditve pridobivanja in hrambe, analizirani v naslednjih uvodnih izjavah.

(201)

Opozoriti je treba, da sta hramba in ciljno pridobivanje komunikacijskih podatkov na voljo tako agencijam za nacionalno varnost kot tudi nekaterim organom za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj (315). Pogoji za zahtevo po hrambi in/ali pridobitvi komunikacijskih podatkov se lahko razlikujejo glede na razlog za zahtevo za ukrep, tj. zaradi nacionalne varnosti ali preprečevanja, odkrivanja in preiskovanja kaznivih dejanj.

(202)

Medtem ko je nova ureditev uvedla splošno zahtevo po predhodni odobritvi s strani neodvisnega organa, ki se bo uporabljala v vseh primerih, ko se komunikacijski podatki hranijo in/ali pridobijo (za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ali nacionalne varnosti), so bili po sodbi Sodišča v zadevi Tele2/Watson (316) uvedeni posebni zaščitni ukrepi, kadar se ukrep zahteva za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj. Kadar se hramba ali pridobitev komunikacijskih podatkov zahteva za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, mora predhodno dovoljenje vedno dati pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil. To ne velja vedno, kadar se ukrep zahteva za namene nacionalne varnosti, saj lahko, kot je opisano v nadaljevanju, tako vrsto ukrepov v nekaterih primerih odobri drug „posameznik, ki izda odobritev“. Poleg tega je nova ureditev prag, za katerega se lahko dovolita hramba in pridobivanje komunikacijskih podatkov, dvignila na „huda kazniva dejanja“ (317).

(203)

V skladu z delom 3 zakona o preiskovalnih pooblastilih iz leta 2016 lahko zadevni javni organi pridobivajo komunikacijske podatke od telekomunikacijski operaterjev ali katere koli osebe, ki jih lahko pridobi in razkrije. Pooblastilo ne sme omogočati prestrezanja vsebine komunikacij (318) in preneha veljati po enem mesecu (319), lahko pa se podaljša na podlagi novega pooblastila (320). Za pridobitev komunikacijskih podatkov je potrebna odobritev pooblaščenca za nadzor nad izvajanjem preiskovalnih pooblastil (321) (glede njegovega statusa in pooblastil glej uvodne izjave (250) do (251) below). To velja vedno, kadar za pridobitev komunikacijskih podatkov zaprosi relevantni organ za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj. Vendar pa člen 61 zakona o preiskovalnih pooblastilih iz leta 2016 določa, da kadar se podatki pridobivajo v interesu nacionalne varnosti ali gospodarske blaginje Združenega kraljestva, če je to relevantno za nacionalno varnost, ali če zahtevek predloži član obveščevalne agencije na podlagi člena 61(7)(b) (322), lahko pridobitev odobri tudi (323) pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil ali pooblaščeni višji uslužbenec (324). Pooblaščeni uslužbenec mora biti neodvisen od zadevne preiskave ter imeti ustrezno znanje o načelih in zakonodaji s področja človekovih pravic, zlasti o načelih potrebnosti in sorazmernosti (325). Odločitev pooblaščenega uslužbenca naknadno preveri pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil (več informacij o naknadnem nadzoru navedenega pooblaščenca je navedenih v uvodni izjavi (254) below v nadaljevanju).

(204)

Pooblastilo za uporabo komunikacijskih podatkov temelji na oceni potrebnosti in sorazmernosti ukrepa. Natančneje, potrebnost ukrepa se ocenjuje glede na razloge, navedene v zakonodaji (326). Glede na ciljno naravo tega ukrepa mora biti ta potreben tudi za posamezno preiskavo ali operacijo (327). Več zahtev glede ocene potrebnosti ukrepov je navedenih v kodeksu ravnanja glede uporabe komunikacijskih podatkov (328). Navedeni kodeks določa zlasti, da morajo biti v vlogi, ki jo predloži organ prosilec, opredeljeni trije minimalni elementi za utemeljitev potrebnosti take zahteve: (i) preiskovani dogodek, na primer kaznivo dejanje ali lokacija ranljive pogrešane osebe; (ii) oseba, katere podatki se zahtevajo, na primer osumljenec, priča ali pogrešana oseba, ter kako je povezana z dogodkom, in (iii) zahtevani komunikacijski podatki, na primer telefonska številka ali naslov IP, ter kako se ti podatki nanašajo na osebo in dogodek (329).

(205)

Pridobivanje komunikacijskih podatkov mora biti sorazmerno s ciljem (330). Kodeks ravnanja glede uporabe komunikacijskih podatkov pojasnjuje, da mora posameznik, ki izdaja odobritev, pri izvajanju take ocene uravnotežiti „intenzivnost posega v pravice in svoboščine posameznika ter specifično korist za preiskavo ali operacijo, ki jo v javnem interesu izvaja zadevni javni organ“ ter da ob upoštevanju vseh okoliščin posameznega primera „morda poseg v pravice posameznika kljub temu ni upravičen, ker bi bil škodljiv vpliv na pravice drugega posameznika ali skupine posameznikov prevelik“. Za oceno sorazmernosti ukrepa kodeks navaja več elementov, ki jih mora organ prosilec navesti v svoji vlogi (331). Ob tem je treba posebno pozornost nameniti vrsti komunikacijskih podatkov, ki naj bi se pridobili (ali gre za podatke o subjektu ali za podatke o dogodku (332)), prednost pa je treba dati uporabi manj intruzivnih vrst podatkov (333). Kodeks ravnanja glede uporabe komunikacijskih podatkov vsebuje tudi specifična navodila glede odobritev, ki vključujejo komunikacijske podatke oseb v določenih poklicih (na primer zdravnikov, odvetnikov, novinarjev, poslancev ali duhovnikov) (334), za katere veljajo dodatni zaščitni ukrepi (335).

(206)

Del 4 zakona o preiskovalnih pooblastilih iz leta 2016 določa pravila o hrambi komunikacijskih podatkov in merila, na podlagi katerih lahko pristojni minister izda obvestilo o hrambi (336). Zaščitni ukrepi iz zakona o preiskovalnih pooblastilih so enaki, če se podatki hranijo za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ali če se uporabljajo za namene nacionalne varnosti.

(207)

Namen izdaje takih obvestil o hrambi podatkov je zagotoviti, da telekomunikacijski operaterji za največ 12 mesecev hranijo relevantne komunikacijske podatke, ki bi bili drugače izbrisani, ko ne bi bili več potrebni za poslovne namene (337). Hranjeni podatki morajo ostati na voljo v zahtevanem obdobju, če bi jih javni organ morda pozneje potreboval na podlagi odobritve ciljne pridobitve komunikacijskih podatkov iz dela 3 zakona o preiskovalnih pooblastilih iz leta 2016, kot je opisano v uvodnih izjavah (203) do (205).

(208)

Za izvajanje pooblastila, da se zahteva hramba nekaterih podatkov, veljajo številne omejitve in zaščitni ukrepi. Pristojni minister lahko izda obvestilo o hrambi podatkov enemu ali več operaterjem (338) samo, če meni, da je zahteva po hrambi podatkov nujna za enega od zakonskih namenov (339) in sorazmerna s tem, kar se želi doseči (340). Kot je pojasnjeno v zakonu o preiskovalnih pooblastilih iz leta 2016 (341), mora pristojni minister v ta namen pred izdajo obvestila o hrambi podatkov upoštevati: predvidene koristi obvestila (342); opis telekomunikacijskih storitev; ustreznost omejevanja podatkov, ki naj se shranijo, glede na lokacijo ali opise oseb, ki se jim zagotavljajo telekomunikacijske storitve (343); predvideno število uporabnikov katere koli telekomunikacijske storitve, na katero se nanaša obvestilo (če je znano) (344); tehnično izvedljivost izvršitve obvestila; predvidene stroške izvršitve obvestila in vse druge učinke obvestila na telekomunikacijskega operaterja (ali opis operaterjev), na katerega se nanaša (345). Kot je podrobneje pojasnjeno v poglavju 17 kodeksa ravnanja glede uporabe komunikacijskih podatkov, morajo biti v vseh obvestilih o hrambi podatkov opredeljene vse vrste podatkov, ki naj se shranijo, in pojasnjeno mora biti, zakaj jih je treba shraniti.

(209)

V vseh primerih (za namene nacionalne varnosti ter namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj) mora odločitev pristojnega ministra, da izda obvestilo o hrambi, odobriti neodvisni pravosodni pooblaščenec v okviru tako imenovanega „postopka z dvojnim varovalom“; ta mora zlasti preveriti, ali je obvestilo o hrambi zadevnih komunikacijskih podatkov potrebno in sorazmerno za enega ali več zakonskih namenov (346).

(210)

Poseganje v opremo vključuje več tehnik, ki se uporabljajo za pridobivanje raznih podatkov iz opreme (347), na primer z računalnika, tablice in pametnega telefona ter s kablov, žic in naprav za shranjevanje (348). Poseganje v opremo omogoča pridobivanje vsebine komunikacij in podatkov o opremi (349).

(211)

V skladu s členom 13(1) zakona o preiskovalnih pooblastilih iz leta 2016 mora obveščevalna služba za poseg v opremo pridobiti odobritev v obliki odredbe na podlagi postopka z dvojnim varovalom iz zakona o preiskovalnih pooblastilih iz leta 2016, če obstaja „povezava z Britanskim otočjem“ (350). Iz pojasnil organov Združenega kraljestva izhaja, da kadar se podatki prenašajo iz Evropske unije v Združeno kraljestvo v okviru tega sklepa, vedno obstaja „povezava z Britanskim otočjem“, zato je treba za vsak poseg v opremo, ki se nanaša na take podatke, pridobiti obvezno odredbo v skladu s členom 13(1) zakona o preiskovalnih pooblastilih iz leta 2016 (351).

(212)

Pravila glede odredb o ciljnem poseganju v opremo so določena v delu 5 zakona o preiskovalnih pooblastilih iz leta 2016. Podobno kot ciljno prestrezanje se mora tudi ciljno poseganje v opremo nanašati na specifično „tarčo“, ki jo je treba v odredbi opredeliti (352). Opredelitev „tarče“ je odvisna od zadeve in vrste opreme, v katero se posega. Zlasti člen 115(3) zakona o preiskovalnih pooblastilih določa elemente, ki jih je treba vključiti v odredbo (na primer ime osebe ali organizacije, opis lokacije), odvisno na primer od tega, ali se poseg nanaša na opremo, ki pripada določeni osebi ali organizaciji ali skupini oseb, ali na opremo, ki jo taka oseba, organizacija ali skupina uporablja ali jo ima v posesti, ter ali je taka oprema na zadevni lokaciji itd. (353). Nameni, za katere se lahko izda odredba o ciljnem poseganju v opremo, so odvisni od javnega organa, ki zanjo zaprosi (354).

(213)

Tako kot pri ciljnem prestrezanju mora organ izdajatelj proučiti, ali je ukrep potreben za doseganje specifičnega namena in ali je sorazmeren s ciljem (355). Proučiti mora tudi, ali obstajajo zaščitni ukrepi glede varstva, hrambe in razkritja ter glede „razkritja v tujino“ (356) (glej uvodno izjavo (196)).

(214)

Odredbo mora odobriti pravosodni pooblaščenec, razen če gre za nujno zadevo (357). V slednjem primeru je treba pravosodnega pooblaščenca obvestiti o izdaji odredbe, ta pa jo mora nato v treh delovnih dneh odobriti. Če pravosodni pooblaščenec odobritev zavrne, odredba ne učinkuje več in je ni mogoče podaljšati (358). Poleg tega lahko pravosodni pooblaščenec zahteva, da se vsi podatki, pridobljeni na podlagi odredbe, izbrišejo (359). Dejstvo, da je bila odredba izdana nujno, ne vpliva na naknadni nadzor (glej uvodne izjave (244) do (255)) ali na možnosti posameznikov, da vložijo pravno sredstvo (glej uvodne izjave (260) do (270)). Posamezniki se lahko v zvezi s kakršnim koli domnevnim ravnanjem na običajen način pritožijo pri uradu informacijskega pooblaščenca ali vložijo zahtevek pri sodišču, ki obravnava preiskovalna pooblastila. V vseh primerih je preskus, ki ga pravosodni pooblaščenec uporablja pri odločanju, ali se odredba odobri, preskus potrebnosti in sorazmernosti, kot se uporablja za zahtevke za ciljno prestrezanje (360) (glej uvodno izjavo (192) above).

(215)

Nazadnje, posebni zaščitni ukrepi, ki se uporabljajo glede ciljnega prestrezanja, se uporabljajo tudi glede poseganja v opremo, na primer glede trajanja, podaljševanja in spremembe odredbe ter glede prestrezanja podatkov poslancev, podatkov, za katere velja varovanje zaupnosti sporazumevanja med odvetnikom in stranko, in prestrezanje novinarskega gradiva (več o tem je navedeno v uvodni izjavi 193).

(216)

Izvrševanje pooblastil v večjem obsegu je urejeno v delu 6 zakona o preiskovalnih pooblastilih iz leta 2016. Ob tem kodeks ravnanja vsebuje več podrobnosti o uporabi pooblastil v večjem obsegu. Čeprav v zakonodaji Združenega kraljestva ni opredelitve pojma „pooblastila v večjem obsegu“, je ta pojem v okviru zakona o preiskovalnih pooblastilih iz leta 2016 opisan kot zbiranje in hramba večjih količin podatkov, ki jih vlada pridobi na različne načine (na primer pooblastilo za prestrezanje v večjem obsegu, pridobivanje v večjem obsegu, poseganje v opremo v večjem obsegu in nabori osebnih podatkov v večjem obsegu), do katerih imajo organi posledično dostop. Ta opis je natančneje opredeljen z naštevanjem, kaj pooblastila v večjem obsegu niso; ne gre na primer za množičen nadzor brez omejitev ali zaščitnih ukrepov. Nasprotno, kot je pojasnjeno v nadaljevanju, veljajo omejitve in zaščitni ukrepi, vzpostavljeni z namenom, da se prepreči nekritičen ali neupravičen dostop do podatkov (361). Pooblastila v večjem obsegu je mogoče uporabiti le, če je vzpostavljena povezava med tehničnim ukrepom, ki ga namerava uporabiti nacionalna obveščevalna agencija, in operativnim ciljem, za katerega se tak ukrep zahteva.

(217)

Nadalje, pooblastila v večjem obsegu so na voljo le obveščevalnim agencijam in zanje je vedno potrebna odredba pristojnega ministra ter odobritev pravosodnega pooblaščenca. Pri izbiri načina zbiranja podatkov je treba proučiti, ali je mogoče zadevni cilj doseči z „manj intruzivnimi sredstvi“ (362). Ta pristop izhaja iz zakonodajnega okvira, ki temelji na načelu sorazmernosti in zato daje prednost ciljnemu zbiranju pred zbiranjem v večjem obsegu.

(218)

Prestrezanje v večjem obsegu je urejeno v poglavju 1 dela 6 zakona o varstvu podatkov iz leta 2016, poglavje 3 istega dela pa ureja poseganje v opremo v večjem obsegu. Navedeni ureditvi sta vsebinsko enaki, zato so pogoji in dodatni zaščitni ukrepi, ki se uporabljajo glede takih odredb, analizirani skupaj.

(219)

Odredba o prestrezanju v večjem obsegu je omejena na prestrezanje komunikacij med njihovim prenosom, kadar jih pošlje ali prejme posameznik, ki ni na Britanskem otočju (363) (tako imenovana „komunikacija, povezana s tujino“ (364)), ter drugih zadevnih podatkov, vključuje pa tudi nadaljnjo izbiro za pregled prestreženega gradiva (365). Odredba o poseganju v opremo v večjem obsegu (366) naslovniku omogoča poseg v katero koli opremo za namene pridobivanja komunikacij, povezanih s tujino (vključno z vsem, kar je sestavljeno iz govora, glasbe, zvokov, vizualnih podob ali katerih koli podatkov), podatkov o opremi (podatkov, ki omogočajo ali lajšajo izvajanje poštnih storitev, telekomunikacijskega sistema, telekomunikacijskih storitev) ali katerih koli drugih informacij (367).

(220)

Pristojni minister lahko odredbo o ukrepih v večjem obsegu izda le na podlagi vloge vodje obveščevalne službe (368). Odredba o odobritvi prestrezanja v večjem obsegu ali poseganja v opremo v večjem obsegu se lahko izda le, če je to potrebno za nacionalno varnost ter za namen preprečevanja ali odkrivanja hudih kaznivih dejanj, ali v interesu gospodarske blaginje Združenega kraljestva, če je to pomembno za nacionalno varnost (369). Člen 142(7) zakona o preiskovalnih pooblastilih iz leta 2016 določa še, da mora biti odredba o prestrezanju v večjem obsegu natančno opredeljena in da ne zadošča zgolj sklicevanje na „interese nacionalne varnosti“, „ekonomsko blaginjo Združenega kraljestva“ ter „preprečevanje hudih kaznivih dejanj in boj zoper njih“, temveč mora biti vzpostavljena povezava med zahtevanim ukrepom in enim ali več operativnimi nameni, ki jih je treba vključiti v odredbo.

(221)

Izbira operativnega namena je rezultat večplastnega postopka. Člen 142(4) določa, da morajo biti operativni nameni, ki so opredeljeni v odredbi, opredeljeni tudi v seznamu operativnih namenov, ki ga vodijo vodje obveščevalnih služb in za katere menijo, da so lahko podlaga za izbiro prestrežene vsebine ali sekundarnih podatkov, pridobljenih na podlagi odredbe o prestrezanju v večjem obsegu, ki se nato pregledajo. Seznam operativnih namenov mora odobriti pristojni minister. Ta lahko tako odobritev izda le, če se prepriča, da je operativni namen opredeljen podrobneje kot le na podlagi splošnih razlogov za odobritev odredbe (nacionalna varnost ali nacionalna varnost in gospodarska blaginja ali preprečevanje hudih kaznivih dejanj) (370). Ob koncu vsakega zadevnega trimesečnega obdobja mora pristojni minister predložiti kopijo seznama operativnih namenov parlamentarnemu odboru za obveščevalno in varnostno dejavnost. Nazadnje, predsednik vlade mora vsaj enkrat letno preveriti seznam operativnih namenov (371). Kot je navedlo sodišče High Court, „teh ne gre podcenjevati kot nepomembnih zaščitnih ukrepov, saj sestavljajo zapleteno mrežo odgovornosti, ki vključuje parlament in najvišje člane vlade“ (372).

(222)

Taki operativni nameni tudi omejujejo obseg izbire prestreženega gradiva za pregled. Izbira gradiva za pregled, zbranega na podlagi odredbe o ukrepih v večjem obsegu, mora biti utemeljena glede na operativne namene. Kot so pojasnili organi Združenega kraljestva to pomeni, da mora pristojni minister oceniti praktično ureditev pregleda že ob izdaji odredbe, ko je treba navesti dovolj podrobnosti, da se izpolnijo zakonske obveznosti iz členov 152 in 193 zakona o preiskovalnih pooblastilih iz leta 2016 (373). Podrobnosti, ki se v zvezi s tako ureditvijo predložijo pristojnemu ministru, morajo vključevati na primer informacije o tem, kako se bo ureditev filtriranja morda spreminjala v času veljavnosti odredbe (če je ustrezno) (374). Več informacij o postopku in zaščitnih ukrepih, ki se uporabljajo v fazi filtriranja in pregleda, je na voljo v uvodni izjavi (229) below v nadaljevanju.

(223)

Pooblastila v večjem obsegu se lahko odobrijo le, če so sorazmerna s ciljem (375). Kot je navedeno v kodeksu ravnanja glede prestrezanja, vsaka ocena sorazmernosti vključuje „presojo stopnje posega v zasebnost (in druge preudarke iz člena 2(2)) glede na potrebo po izvedbi dejavnosti v preiskovalnem ali operativnem smislu in smislu zmogljivosti. Odobreno ravnanje bi moralo omogočiti realne možnosti za dosego pričakovanih koristi in ne sme biti nesorazmerno ali arbitrarno“ (376). Kot je že bilo navedeno, v praksi to pomeni, da preskus sorazmernosti temelji na preskusu uravnoteženosti med ciljem („operativni namen(i)“) in razpoložljivimi tehničnimi možnostmi (na primer ciljno prestrezanje, poseganje v opremo, pridobivanje komunikacijskih podatkov, ali prestrezanje, poseganje v opremo, pridobivanje komunikacijskih podatkov v večjem obsegu), pri čemer je treba dati prednost najmanj intruzivnim sredstvom (glej uvodni izjavi (181) in (182) above). Kadar je glede na cilj primernih več ukrepov, je treba izbrati manj intruzivna sredstva.

(224)

Dodaten zaščitni ukrep pri oceni sorazmernosti zahtevanega ukrepa je tudi dejstvo, da mora pristojni minister prejeti zadevne informacije, ki jih potrebuje za ustrezno izvedbo ocene. Natančneje, kodeks ravnanja glede prestrezanja in kodeks ravnanja glede poseganja v opremo določata, da morajo biti v vlogi, ki jo predloži zadevni organ, navedeni ozadje vloge, opis komunikacij, ki se bodo prestrezale, ter telekomunikacijski operaterji, ki bodo morali pri tem sodelovati, opis ravnanja, ki se odobri, operativni nameni in pojasnilo, zakaj je tako ravnanje potrebno in sorazmerno (377).

(225)

Nazadnje je pomembno, da mora odločitev pristojnega ministra o izdaji odredbe odobriti neodvisni pravosodni pooblaščenec, ki oceni presojo potrebnosti in sorazmernosti predlaganega ukrepa ter pri tem uporabi enaka načela, kot bi jih uporabilo sodišče v postopku sodne presoje (378). Pravosodni pooblaščenec pregleda ugotovitve pristojnega ministra glede tega, ali je odredba potrebna in ali je ravnanje sorazmerno glede na načela iz člena 2(2) zakona o preiskovalnih pooblastilih iz leta 2016 (splošne obveznosti glede zasebnosti). Pravosodni pooblaščenec tudi preveri ugotovitve pristojnega ministra o tem, ali je vsak od operativnih namenov, navedenih v odredbi, eden od tistih, za katere je izbira potrebna ali bi lahko bila potrebna. Če pravosodni pooblaščenec zavrne odobritev odločitve o izdaji odredbe, lahko pristojni minister: (i) tako odločitev sprejme in ne izda odredbe ali (ii) zadevo preda v odločanje pooblaščencu za nadzor nad izvajanjem preiskovalnih pooblastil (razen če je ta že sprejel prvotno odločitev) (379).

(226)

Zakon o preiskovalnih pooblastilih iz leta 2016 uvaja nadaljnje omejitve glede trajanja, podaljšanja in spremembe odredb o ukrepih v večjem obsegu. Odredba lahko velja največ šest mesecev, vsako odločitev o podaljšanju ali spremembi odredbe (razen glede manjših sprememb) pa mora odobriti tudi pravosodni pooblaščenec (380). Kodeks ravnanja glede prestrezanja in kodeks ravnanja glede poseganja v opremo določata, da se sprememba operativnega namena odredbe šteje za večjo spremembo odredbe (381).

(227)

Podobno kot glede ciljnega prestrezanja, del 6 zakona o preiskovalnih pooblastilih iz leta 2016 določa, da mora pristojni minister zagotoviti zaščitne ukrepe glede hrambe in razkritja gradiva, pridobljenega na podlagi odredbe (382), ter glede razkritja v tujino (383). Zlasti člena 150(5) in 191(5) zakona o preiskovalnih pooblastilih iz leta 2016 določata, da je treba vsako kopijo katerega koli gradiva, zbranega na podlagi odredbe, varno hraniti in uničiti takoj, ko več ne obstajajo upoštevni razlogi za njegovo hrambo; člena 150(2) in 191(2) pa določata, da je treba število oseb, ki se jim gradivo razkrije, da na voljo ali kopira, omejiti na tiste, za katere je to iz zakonskih razlogov potrebno (384).

(228)

Nazadnje, če je treba gradivo, prestreženo na podlagi odredbe o prestrezanju v večjem obsegu ali odredbe o poseganju v opremo v večjem obsegu, izročiti tretji državi („razkritje v tujino“), zakon o preiskovalnih pooblastilih iz leta 2016 določa, da mora pristojni minister zagotoviti ustrezne ukrepe, s katerimi se zagotovi, da v navedeni tretji državi veljajo podobni zaščitni ukrepi glede varstva, hrambe in razkritja (385). Poleg tega člen 109 zakona o varstvu podatkov iz leta 2018 določa posebne zahteve za mednarodne prenose osebnih podatkov s strani obveščevalnih služb v tretje države ali mednarodnim organizacijam in ne dovoljuje prenosa podatkov v državo ali na ozemlje zunaj Združenega kraljestva ali mednarodni organizaciji, razen če je prenos potreben in sorazmeren za namene zakonskih nalog upravljavca ali za drug namen iz člena 2(2)(a) zakona o varnostnih službah iz leta 1989 oziroma člena 2(2)(a) in 4(2)(a) zakona o obveščevalnih službah iz leta 1994 (386). Pomembno je, da se te zahteve uporabljajo tudi v primerih, ko se sklicuje na izjemo glede nacionalne varnosti v skladu s členom 110 zakona o varstvu podatkov iz leta 2018, saj v členu 110 zakona o varstvu podatkov iz leta 2018 ni naveden člen 109 zadevnega zakona kot ena od določb, ki se ne uporabijo, če je zaradi zaščite nacionalne varnosti potrebno izvzetje iz nekaterih določb.

(229)

Ko je odredba odobrena in so podatki zbrani v večjem obsegu, se opravi izbira podatkov pred pregledom. Izbira in pregled se preverita z nadaljnjim preskusom sorazmernosti, ki ga opravi analitik; ta na podlagi operativnih namenov iz odredbe (in morebitne ureditve filtriranja) opredeli merila za izbiro. Kot je določeno v členih 152 in 193 zakona o preiskovalnih pooblastilih, mora pristojni minister pri izdaji odredbe zagotoviti, da se izbira gradiva opravi le za navedene operativne namene ter da je v vseh okoliščinah potrebna in sorazmerna. V tem smislu so organi Združenega kraljestva pojasnili, da se gradivo, prestreženo v večjem obsegu, najprej razvrsti prek samodejnega filtriranja, z namenom izločanja podatkov, za katere ni verjetno, da so koristni za nacionalno varnost. Filtri se s časom spreminjajo (v skladu s spremembami vzorcev spletnega prometa, vrst in protokolov), odvisni pa so od tehnologije in operativnega konteksta. Nato se lahko podatki izberejo za pregled le, če so relevantni za operativne namene, navedene v odredbi (387). Zaščitni ukrepi, ki jih določa zakon o preiskovalnih pooblastilih iz leta 2016 za proučevanje zbranega gradiva, se uporabljajo za vse vrste podatkov (prestrežene in sekundarne podatke) (388). Člena 152 in 193 zakona o preiskovalnih pooblastilih iz leta 2016 določata tudi splošno prepoved, da se za pregled izbere gradivo, ki se nanaša na pogovore, ki jih pošljejo posamezniki, ki so na Britanskem otočju, ali ki so namenjeni takim posameznikom. Če želijo organi pregledati tako gradivo, morajo vložiti zahtevo za izdajo odredbe o ciljnem pregledu na podlagi dela 2 in dela 4 zakona o preiskovalnih pooblastilih iz leta 2016, ki jo izda pristojni minister in odobri pravosodni pooblaščenec (389). Če oseba za pregled namenoma izbere prestreženo vsebino tako, da pri tem krši zahteve iz zakonodaje (390), stori kaznivo dejanje (391).

(230)

Oceno analitika glede izbire gradiva naknadno preveri pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil, ki oceni skladnost s posameznimi zaščitnimi ukrepi iz zakona o preiskovalnih pooblastilih iz leta 2016 v fazi pregleda (392) (glej tudi uvodno izjavo (229)). Pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil mora preverjati (tudi z revizijami, inšpekcijskimi pregledi in preiskavami), kako javni organi izvršujejo preiskovalna pooblastila iz zakona o preiskovalnih pooblastilih iz leta 2016 (393). V zvezi s tem kodeks ravnanja glede prestrezanja in kodeks ravnanja glede poseganja v opremo določata, da morajo agencije voditi evidence z namenom naknadnega preverjanja in revizij, v evidencah pa mora biti naveden ustrezen operativni namen in zakaj je dostop do gradiva s strani pooblaščenih oseb potreben in sorazmeren (394). Urad pooblaščenca za nadzor nad izvajanjem preiskovalnih pooblastil (IPCO) je v svojem letnem poročilu za leto 2018 (395) na primer ugotovil, da utemeljitve, ki jih glede pregleda nekaterega gradiva, zbranega v večjem obsegu, navajajo analitiki, ustrezajo zahtevanemu standardu sorazmernosti, saj je navedenih dovolj podrobnosti glede razlogov za poizvedbo glede na cilj (396). Urad pooblaščenca za nadzor nad izvajanjem preiskovalnih pooblastil je v poročilu za leto 2019 v zvezi s pooblastili v večjem obsegu jasno navedel, da namerava še naprej preverjati prestrezanja v večjem obsegu, vključno s podrobnim pregledom izbirnikov in iskalnih meril (397). Prav tako bo za vsak primer posebej še naprej podrobno preverjal izbiro nadzornih ukrepov (ciljni oziroma v večjem obsegu), in sicer tako pri obravnavi vlog za izdajo odredbe na podlagi postopka z dvojnim varovalom kot tudi med preverjanji (398). To nadaljnje spremljanje se bo ustrezno upoštevalo v okviru spremljanja tega sklepa, ki ga bo izvajala Komisija in je opredeljeno v uvodnih izjavah (281)–(284).

(231)

Poglavje 2 dela 6 zakona o preiskovalnih pooblastilih iz leta 2016 ureja odredbe o pridobivanju podatkov v večjem obsegu, na podlagi katerih lahko naslovnik od telekomunikacijskega operaterja zahteva razkritje ali pridobitev katerih koli komunikacijskih podatkov, ki jih ima v posesti. Na podlagi teh odredb lahko organ prosilec tudi izbere podatke za nadaljnjo fazo pregleda. Tako kot pri ciljni hrambi in pridobivanju komunikacijskih podatkov (glej uvodno izjavo (199)) tudi pri pridobivanju komunikacijskih podatkov v večjem obsegu velja, da se običajno ne nanaša na osebne podatke posameznikov iz EU, na katere se nanašajo in ki so preneseni v Združeno kraljestvo na podlagi tega sklepa. Obveznost razkritja komunikacijskih podatkov na podlagi poglavja 2 dela 6 zakona o preiskovalnih pooblastilih iz leta 2016 se nanaša na podatke, ki jih zbirajo telekomunikacijski operaterji v Združenem kraljestvu neposredno od uporabnikov telekomunikacijskih storitev (399). Te vrste obdelava, ki je usmerjena v stranke, običajno ne vključuje prenosov na podlagi tega sklepa, tj. prenosov od upravljavca/obdelovalca v EU k upravljavcu/obdelovalcu v Združenem kraljestvu.

(232)

Vendar pa so zaradi celovitosti v nadaljevanju opisani pogoji in zaščitni ukrepi, ki se uporabljajo za pridobivanje komunikacijskih podatkov v večjem obsegu.

(233)

Zakon o preiskovalnih pooblastilih iz leta 2016 nadomešča zakonodajo glede pridobivanja komunikacijskih podatkov v večjem obsegu, ki je bila predmet sodbe Sodišča EU v zadevi Privacy International. Navedena zakonodaja je bila razveljavljena, nova ureditev pa zagotavlja posebne pogoje in zaščitne ukrepe, na podlagi katerih je mogoče tak ukrep odobriti.

(234)

Razlika od prejšnje ureditve, na podlagi katere je imel pristojni minister prosto presojo glede odobritve ukrepa (400), je zlasti, da lahko pristojni minister na podlagi zakona o preiskovalnih pooblastilih iz leta 2016 odredbo izda le, če je ukrep potreben in sorazmeren. V praksi to pomeni, da mora obstajati povezava med dostopom do podatkov in ciljem (401). Natančneje, pristojni minister mora proučiti obstoj povezave med zahtevanim ukrepom in enim ali več „operativnimi nameni“, navedenimi v odredbi (glej uvodno izjavo 219). Glede presoje sorazmernosti zadevni kodeks ravnanja določa, da „mora pristojni minister upoštevati, ali bi bilo razumno mogoče cilj odredbe doseči z manj intruzivnimi sredstvi (člen 2(2)(a) zakona). Na primer s pridobitvijo zahtevanih informacij z manj intruzivnimi pooblastili, kot je ciljno pridobivanje komunikacijskih podatkov“ (402).

(235)

Pri izvajanju take ocene se mora pristojni minister zanesti na informacije, ki jih morajo v vlogi predložiti vodje obveščevalnih služb (403), kot so na primer razlogi, zakaj je ukrep potreben glede na enega od zakonskih razlogov, ter razlogi, zakaj cilja ni mogoče razumno doseči z drugimi, manj intruzivnimi sredstvi (404). Nadalje, operativni nameni omejujejo obseg podatkov, ki jih je na podlagi odredbe mogoče izbrati za pregled (405). Kot je navedeno v zadevnem kodeksu ravnanja, morajo operativni nameni opredeljevati jasno zahtevo in biti dovolj podrobno opredeljeni, da se pristojni minister lahko prepriča, da so lahko pridobljeni podatki izbrani za pregled le iz določenih razlogov (406). Pred odobritvijo odredbe mora pristojni minister zagotoviti ustrezno ureditev, ki zagotavlja, da se za pregled izbere le gradivo, ki ga je treba pregledati zaradi operativnih in zakonskih namenov, ter da je to v vseh okoliščinah sorazmerno in potrebno. Ta specifična zahteva, ki se odraža v členih 158 in 172 zakona o preiskovalnih pooblastilih iz leta 2016 (407) in se nanaša na predhodno oceno potrebnosti in sorazmernosti meril, ki se uporabljajo pri izbiri, je še ena pomembna novost ureditve, ki je bila uvedena z zakonom o preiskovalnih pooblastilih iz leta 2016, v primerjavi s predhodno ureditvijo.

(236)

Zakon o preiskovalnih pooblastilih iz leta 2016 tudi uvaja obveznost pristojnega ministra, ki mora pred izdajo odredbe o pridobivanju komunikacijskih podatkov v večjem obsegu zagotoviti posebne omejitve glede varstva, hrambe in razkritja zbranih osebnih podatkov (408). V primeru razkritja v tujino se v tem smislu uporabljajo tudi zaščitni ukrepi, opisani v uvodni izjavi (227) glede prestrezanja v večjem obsegu in poseganja v opremo v večjem obsegu (409). Zakonodaja določa tudi nadaljnje omejitve glede trajanja (410), podaljševanja (411) in glede sprememb odredb o ukrepih v večjem obsegu (412).

(237)

Pomembno je, da mora pristojni minister pred izdajo odredbe pridobiti odobritev pravosodna pooblaščenca, tako kot pri drugih pooblastilih v večjem obsegu (413). To je ključna značilnost ureditve, uvedene z zakonom o preiskovalnih pooblastilih iz leta 2016.

(238)

Pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil izvaja naknadni nadzor nad postopkom pregleda gradiva (komunikacijskih podatkov), pridobljenega v večjem obsegu (glej uvodno izjavo (254) below). V tem smislu je zakon o preiskovalnih pooblastilih iz leta 2016 uvedel zahtevo, da mora obveščevalni analitik, ki izvaja pregled, pred izbiro podatkov za pregled evidentirati razloge, zakaj je predlagani pregled potreben in sorazmeren za posamezni operativni namen (414). Glede prakse služb GCHQ in MI5 je bilo v letnem poročilu urada pooblaščenca za nadzor nad izvajanjem preiskovalnih pooblastil za leto 2019 ugotovljeno, da „iz spisov, ki smo jih proučili, izhaja, da je bila pri več dejavnostih službe GCHQ ključna vloga komunikacijskih podatkov v večjem obsegu dobro pojasnjena. Proučili smo naravo zahtevanih podatkov in navedene obveščevalne zahteve ter ugotovili, da iz dokumentacije izhaja, da je bil njihov pristop potreben in sorazmeren“ (415). Evidentirane utemeljitve agencije MI5 so dosegale dobre standarde in so upoštevale načeli potrebnosti in sorazmernosti“ (416).

(239)

Odredbe o naboru osebnih podatkov v večjem obsegu (417) obveščevalnim agencijam omogočajo hrambo in pregledovanje naborov podatkov, ki vsebujejo osebne podatke številnih posameznikov. V skladu s pojasnili organov Združenega kraljestva je lahko analiza takih naborov podatkov „edini način, da obveščevalna skupnost Združenega kraljestva izvede preiskave in identificira teroriste na podlagi zelo omejenih obveščevalnih indicev ali kadar namenoma prikrivajo svojo komunikacijo“ (418). Obstajata dve vrsti odredb. „Odredbe o kategorijah naborov osebnih podatkov v večjem obsegu“ (419) se nanašajo na določene kategorije naborov podatkov, tj. na tiste, ki so si podobni po vsebini in predlagani uporabi in sprožajo podobne pomisleke, na primer glede stopnje poseganja in občutljivosti ter sorazmernosti uporabe podatkov, zaradi česar lahko pristojni minister prouči potrebnost in sorazmernost pridobitve vseh podatkov v posamezni kategoriji naenkrat. Odredba o kategorijah naborov osebnih podatkov v večjem obsegu se lahko na primer nanaša na nabore podatkov o potovanju, ki se nanašajo na podobne poti (420). V nasprotju s tem se „odredbe o specifičnih naborih osebnih podatkov v večjem obsegu“ (421) nanašajo na en specifičen nabor podatkov, na primer na nabor podatkov o novi ali nenavadni vrsti informacij, ki ne spada v obstoječo odredbo o kategorijah naborov osebnih podatkov v večjem obsegu, ali nabor podatkov, ki se nanaša na posebno vrsto osebnih podatkov (422), zato je zanj treba zagotoviti dodatne zaščitne ukrepe (423). Določbe zakona o preiskovalnih pooblastilih iz leta 2016, ki se nanašajo na odredbe o naboru osebnih podatkov v večjem obsegu, omogočajo pregled in hrambo takih naborov podatkov le, kadar je to potrebno in sorazmerno (424), ter v skladu s splošnimi obveznostmi, ki se nanašajo na zasebnost (425).

(240)

Odredba o naboru osebnih podatkov v večjem obsegu se izdaja v postopku z dvojnim varovalom: najprej oceno potrebnosti in sorazmernosti ukrepa opravi pristojni minister, nato pa še pravosodni pooblaščenec (426). Pristojni minister mora proučiti naravo in obseg vrste odredbe, katere izdaja se zahteva, vrsto zadevnih podatkov in število posameznih naborov osebnih podatkov v večjem obsegu, ki bodo najverjetneje vključeni v posebno vrsto odredbe (427). Kot je opredeljeno v kodeksu ravnanja glede hrambe in uporabe naborov osebnih podatkov v večjem obsegu s strani obveščevalnih služb, je treba tudi voditi podrobne evidence, ki jih preverja pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil (428). Hramba in pregledovanje naborov osebnih podatkov v večjem obsegu v nasprotju z omejitvami zakona o preiskovalnih pooblastilih iz leta 2016 je kaznivo dejanje (429).

(241)

Osebni podatki, ki se obdelujejo na podlagi dela 4 zakona o varstvu podatkov iz leta 2018, se ne smejo obdelovati v nasprotju z namenom, za katerega so bili zbrani (430). Zakon o varstvu podatkov iz leta 2018 določa, da lahko upravljavec podatke obdeluje za drug namen od tistega, za katerega so bili zbrani, če je ta skladen s prvotnim namenom, če je upravljavec po zakonu pooblaščen za obdelavo podatkov in če je obdelava potrebna in sorazmerna (431). Poleg tega zakon o varnostnih službah iz leta 1989 (Security Services Act 1989) in zakon o obveščevalnih službah iz leta 1994 (Intelligence Services Act 1994) določata, da morajo vodje obveščevalnih agencij zagotoviti, da se informacije pridobijo ali razkrijejo le, če je to potrebno za ustrezno izvajanje nalog agencije ali za druge omejene in določene namene, navedene v ustreznih določbah (432).

(242)

Poleg tega člen 109 zakona o varstvu podatkov iz leta 2018 določa posebne zahteve glede mednarodnega prenosa osebnih podatkov s strani obveščevalnih služb v tretje države ali mednarodne organizacije. V skladu s to določbo se osebni podatki se smejo prenašati v državo ali na ozemlje zunaj Združenega kraljestva ali k mednarodni organizaciji, razen če je prenos potreben in sorazmeren za namene zakonskih nalog upravljavca ali za drug namen iz člena 2(2)(a) zakona o varnostnih službah iz leta 1989 oziroma člena 2(2)(a) in 4(2)(a) zakona o obveščevalnih službah iz leta 1994 (433). Pomembno je, da se te zahteve uporabljajo tudi v primerih, ko se sklicuje na izjemo glede nacionalne varnosti v skladu s členom 110 zakona o varstvu podatkov iz leta 2018, saj v členu 110 zakona o varstvu podatkov iz leta 2018 ni naveden člen 109 zadevnega zakona kot ena od določb, ki se ne uporabijo, če je zaradi zaščite nacionalne varnosti potrebno izvzetje iz nekaterih določb.

(243)

Prav tako, kot je urad informacijskega pooblaščenca poudaril v svojih smernicah o obdelavi s strani obveščevalnih služb, poleg zaščitnih ukrepov iz dela 4 zakona o varstvu podatkov iz leta 2018 za obveščevalne agencije pri posredovanju podatkov obveščevalnim organom tretje države veljajo tudi zaščitni ukrepi, ki jih določajo drugi zakonodajni ukrepi, ki se uporabljajo zanje, da se zagotovi, da se osebni podatki pridobijo, delijo in obdelujejo zakonito in odgovorno (434). Na primer, zakon o preiskovalnih pooblastilih iz leta 2016 določa nadaljnje zaščitne ukrepe glede prenosov gradiva, zbranega na podlagi ciljnega prestrezanja (435), ciljnega poseganja v opremo (436), prestrezanja v večjem obsegu (437), pridobivanja komunikacijskih podatkov v večjem obsegu (438) in poseganja v opremo v večjem obsegu (439) v tretje države (tako imenovana „razkritja v tujino“). Organ, ki izda odredbo mora predvsem zagotoviti, da tretja država, ki prejme podatke, omeji število oseb, ki vidijo gradivo, obseg razkritja in število kopij katerega koli gradiva, ki se izdelajo, in sicer le na toliko, kot je potrebno za odobrene namene iz zakona o preiskovalnih pooblastilih iz leta 2016 (440).

(244)

Vladni dostop za namene nacionalne varnosti je pod nadzorom več različnih organov. Informacijski pooblaščenec nadzoruje obdelavo osebnih podatkov v smislu zakona o varstvu podatkov iz leta 2018 (več informacij o neodvisnosti, imenovanju, vlogi in pooblastilih informacijskega pooblaščenca je na voljo v uvodnih izjavah (85) do (98)), pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil pa izvaja neodvisen in pravosodni nadzor nad uporabo preiskovalnih pooblastil na podlagi zakona o preiskovalnih pooblastilih iz leta 2016. Pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil nadzoruje uporabo preiskovalnih pooblastil s strani organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj in organov za nacionalno varnost na podlagi zakona o preiskovalnih pooblastilih iz leta 2016. Politični nadzor izvaja parlamentarni odbor za obveščevalne službe.

(245)

Obdelavo osebnih podatkov, ki jo izvajajo obveščevalne službe na podlagi dela 4 zakona o varstvu podatkov iz leta 2018, nadzoruje informacijski pooblaščenec (441).

(246)

Splošne naloge informacijskega pooblaščenca v zvezi z obdelavo osebnih podatkov, ki jo izvajajo obveščevalne službe na podlagi dela 4 zakona o varstvu podatkov iz leta 2018, so določene v dodatku 13 k zakonu o varstvu podatkov iz leta 2018. Naloge med drugim vključujejo spremljanje in izvrševanje dela 4 zakona o varstvu podatkov iz leta 2018, ozaveščanje javnosti, svetovanje parlamentu, vladi in drugim institucijam o zakonodajnih in upravnih ukrepih, ozaveščanje upravljavcev in obdelovalcev o njihovih obveznostih, zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, o uveljavljanju njihovih pravic, izvajanje preiskav itd.

(247)

Kot je določeno v delu 3 zakona o varstvu podatkov iz leta 2018, je informacijski pooblaščenec pristojen za obveščanje upravljavcev o domnevnih kršitvah, izdajanje opozoril, da obdelava verjetno krši pravila, in izrekanje opominov ob potrditvi kršitve. Izdaja lahko tudi obvestila o izvršitvi in o plačilnem nalogu za kršitve nekaterih določb akta (442). Informacijski pooblaščenec pa v nasprotju z drugimi deli zakona o varstvu podatkov iz leta 2018 ne more izdati obvestila o preverjanju organu za nacionalno varnost (443).

(248)

Poleg tega je v členu 110 zakona o varstvu podatkov iz leta 2018 določena izjema glede uporabe nekaterih pooblastil informacijskega pooblaščenca, ko je to potrebno zaradi zaščite nacionalne varnosti. To vključuje pristojnost informacijskega pooblaščenca, da lahko na podlagi zakona o varstvu podatkov izdaja obvestila vseh vrst (obvestilo o predložitvi informacij, obvestilo o preverjanju, obvestilo o izvršitvi in obvestilo o plačilnem nalogu), pristojnost za opravljanje inšpekcijskega nadzora v skladu z mednarodnimi obveznostmi, pristojnost za vstop in inšpekcijski pregled ter pravila o kaznivih dejanjih (444). Kot je pojasnjeno v uvodni izjavi (126), se te izjeme uporabljajo le, če je v vsakem primeru posebej to potrebno in sorazmerno.

(249)

Urad informacijskega pooblaščenca in obveščevalne službe Združenega kraljestva so podpisale memorandum o soglasju (445), ki vzpostavlja okvir za sodelovanje o številnih vprašanjih, vključno z obvestili o kršitvi varstva podatkov in obravnavanjem pritožb posameznikov, na katere se nanašajo osebni podatki. V njem je zlasti določeno, da urad informacijskega pooblaščenca ob prejetju pritožbe preveri, ali je bila izjema zaradi nacionalne varnosti ustrezno uporabljena. Zadevna obveščevalna agencija mora odgovor na poizvedbo urada informacijskega pooblaščenca v zvezi s pritožbo posameznika poslati v 20 delovnih dneh, in sicer prek ustreznih varnih kanalov, če gre za zaupne informacije. Urad informacijskega pooblaščenca je od aprila 2018 do danes prejel 21 pritožb posameznikov glede obveščevalnih služb. Vsako pritožbo je proučil in rezultat sporočil posamezniku, na katerega se nanašajo osebni podatki (446).

(250)

Na podlagi dela 8 zakona o preiskovalnih pooblastilih iz leta 2016 nadzor nad uporabo preiskovalnih pooblastil izvaja pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil. Pomagajo mu drugi pravosodni pooblaščenci, ki se skupaj imenujejo pravosodni pooblaščenci (447). Zakon o preiskovalnih pooblastilih iz leta 2016 določa jamstva, ki ščitijo neodvisnost pravosodnih pooblaščencev. Pravosodni pooblaščenci morajo imeti ali so imeli visoko sodno funkcijo (tj. biti morajo ali so bili člani najvišjih sodišč) (448) in so kot vsi člani sodstva neodvisni od vlade (449). V skladu s členom 227 zakona o preiskovalnih pooblastilih iz leta 2016 je predsednik vlade tisti, ki imenuje pooblaščenca za nadzor nad izvajanjem preiskovalnih pooblastil in toliko pravosodnih pooblaščencev, kot se mu zdi potrebno. Vsi pooblaščenci, ne glede na to, ali so sedanji ali nekdanji člani sodstva, so lahko imenovani le na podlagi skupnega priporočila treh vodij sodstva Anglije in Walesa, Škotske in Severne Irske ter lorda kanclerja (450). Pristojni minister mora pooblaščencu za nadzor nad izvajanjem preiskovalnih pooblastil zagotoviti osebje, prostore, opremo ter druge zmogljivosti in storitve (451). Pooblaščenec ima triletni mandat, po izteku katerega je lahko znova imenovan (452). Dodatno jamstvo za neodvisnost pravosodnih pooblaščencev je, da se lahko razrešijo s položaja le pod strogimi pogoji; odpokliče jih lahko predsednik vlade v posebnih okoliščinah, ki so izčrpno navedene v členu 228(5) zakona o preiskovalnih pooblastilih iz leta 2016 (na primer stečaj ali zaporna kazen), ali če oba domova parlamenta sprejmeta sklep o odpoklicu (453).

(251)

Pooblaščencu za nadzor nad izvajanjem preiskovalnih pooblastil in pravosodnim pooblaščencem pri delu pomaga urad pooblaščenca za nadzor nad izvajanjem preiskovalnih pooblastil. Osebje navedenega urada vključuje skupino inšpektorjev, internih pravnih in tehničnih strokovnjakov ter tehnološki svetovalni odbor (Technology Advisory Panel), ki zagotavlja strokovne nasvete. Tudi neodvisnost urada pooblaščenca za nadzor nad izvajanjem preiskovalnih pooblastil je zaščitena, tako kot neodvisnost pravosodnih pooblaščencev. Urad je samostojen organ (arm’s-length body) v okviru ministrstva za notranje zadeve, kar pomeni, da prejema sredstva navedenega ministrstva, vendar svoje naloge opravlja neodvisno (454).

(252)

Glavne naloge pravosodnih pooblaščencev so določene v členu 229 zakona o preiskovalnih pooblastilih iz leta 2016 (455). Pravosodni pooblaščenci imajo predvsem obsežna pooblastila v zvezi s predhodnimi odobritvami, kar je del zaščitnih ukrepov, uvedenih s pravnim okvirom Združenega kraljestva na podlagi zakona o preiskovalnih pooblastilih iz leta 2016. Pravosodni pooblaščenci morajo odobriti odredbe o ciljnem prestrezanju, poseganju v opremo, naborih osebnih podatkov v večjem obsegu, pridobivanju komunikacijskih podatkov v večjem obsegu ter obvestila o hrambi komunikacijskih podatkov (456). Poleg tega mora pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil vedno vnaprej odobriti pridobitev komunikacijskih podatkov za namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (457). Če pooblaščenec zavrne odobritev odredbe, se lahko pristojni minister pri pooblaščencu za nadzor pritoži nad izvajanjem preiskovalnih pooblastil, njegova odločitev pa je dokončna.

(253)

Posebni poročevalec ZN za pravico do zasebnosti je pozdravil vzpostavitev funkcije pravosodnega pooblaščenca na podlagi zakona o preiskovalnih pooblastilih iz leta 2016, v skladu s katerim „morata vse bolj občutljive ali intruzivne zahteve za izvedbo nadzora odobriti višji minister in urad pooblaščenca za nadzor nad izvajanjem preiskovalnih pooblastil“. Poudaril je zlasti, da je „ta element sodne presoje [v okviru vloge pooblaščenca za nadzor nad izvajanjem preiskovalnih pooblastil], ob pomoči skupine inšpektorjev in strokovnjakov za tehnologijo, ki ima na voljo boljše zmogljivosti, eden najpomembnejših novih zaščitnih ukrepov, ki jih je uvedel zakon o preiskovalnih pooblastilih“, saj nadomešča predhodni razdrobljeni sistem organov za nadzor in dopolnjuje vlogo parlamentarnega odbora za obveščevalno in varnostno dejavnost (Intelligence and Security Committee) ter sodišča, ki obravnava preiskovalna pooblastila (Investigatory Powers Tribunal)“ (458).

(254)

Poleg tega je pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil pooblaščen za izvajanje naknadnega nadzora nad uporabo preiskovalnih pooblastil na podlagi zakona o preiskovalnih pooblastilih iz leta 2016 (459), tudi z revizijami, inšpekcijskimi pregledi in preiskavami, ima pa tudi nekatera druga pooblastila in naloge na podlagi ustrezne zakonodaje (460) Rezultati takega naknadnega nadzora se vključijo v poročilo, ki ga mora letno pripraviti pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil in ga predložiti predsedniku vlade (461), nato pa objaviti in predložiti parlamentu (462). Poročilo vsebuje relevantne statistične podatke in informacije o uporabi preiskovalnih pooblastil s strani obveščevalnih agencij in organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter o uporabi zaščitnih ukrepov v zvezi z informacijami, za katere velja varovanje zaupnosti sporazumevanja med odvetnikom in stranko, v zvezi z zaupnim novinarskim gradivom in viri novinarskih informacij, v zvezi z informacijami o sprejeti ureditvi ter v zvezi z operativnimi nameni, ki se uporabljajo glede odredb o ukrepih večjem obsegu. V letnem poročilu urada je navedeno tudi, na katerih področjih so bila javnim organom dana priporočila in kako so jih ti obravnavali (463).

(255)

V skladu s členom 231 zakona o preiskovalnih pooblastilih iz leta 2016 velja, da če pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil izve za kakršno koli napako, ki jo javni organ stori pri uporabi preiskovalnih pooblastil, mora o tem obvestiti zadevno osebo, če meni, da gre za hudo napako in da je obveščanje osebe v javnem interesu (464). Natančneje, člen 231 zakona o preiskovalnih pooblastilih iz leta 2016 določa, da kadar pooblaščenec za nadzor nad izvajanjem preiskovalnih pooblastil osebo obvesti o napaki, jo mora obvestiti tudi o vseh pravicah, ki jih ima v zvezi s pritožbo pri sodišču, ki obravnava preiskovalna pooblastila (Investigatory Powers Tribunal), ter zagotoviti vse informacije, ki se pooblaščencu zdijo potrebne za izvrševanje navedenih pravic, če obstaja javni interes za razkritje (465).

(256)

Parlamentarni nadzor parlamentarnega odbora za obveščevalno in varnostno dejavnost temelji na zakonu o pravosodju in varnosti iz leta 2013 (Justice and Security Act 2013) (466). Z zakonom je bil ustanovljen odbor parlamenta Združenega kraljestva za obveščevalno in varnostno dejavnost. Odboru za obveščevalno in varnostno dejavnost so bila od leta 2013 podeljena večja pooblastila, vključno z nadzorom nad operativnimi dejavnostmi varnostnih služb. V skladu s členom 2 zakona o pravosodju in varnosti iz leta 2013 je naloga tega odbora nadzor nad odhodki, upravljanjem, politiko in operacijami agencij za nacionalno varnost. Zakon o pravosodju in varnosti iz leta 2013 določa, da lahko ta odbor izvaja preiskave o operativnih zadevah, kadar se te ne nanašajo na tekoče operacije (467). Memorandum o soglasju, sklenjen med predsednikom vlade ter odborom za obveščevalno in varnostno dejavnost (468) podrobno določa elemente, ki jih je treba upoštevati pri presoji, ali je dejavnost del tekoče operacije (469). Predsednik vlade lahko navedenemu odboru naroči tudi preiskavo tekočih operacij, poleg tega lahko odbor prouči informacije, ki jih agencije predložijo prostovoljno.

(257)

Odbor za obveščevalno in varnostno dejavnost lahko v skladu z dodatkom 1 k zakonu o pravosodju in varnosti iz leta 2013 prosi vodjo katere koli od treh obveščevalnih služb, da razkrije informacije. Služba mora take informacije dati na voljo, razen če pristojni minister vloži veto (470). V skladu s pojasnili organov Združenega kraljestva se v praksi odboru za obveščevalno in varnostno dejavnost zelo redko odreče dostop do informacij (471).

(258)

Odbor za obveščevalno in varnostno dejavnost sestavljajo poslanci zgornjega ali spodnjega doma parlamenta Združenega kraljestva, ki jih imenuje predsednik vlade po posvetovanju z vodjem opozicije (472). Pripraviti mora letno poročilo za parlament o izvajanju svojih nalog in druga poročila, ki se mu zdijo ustrezna (473). Poleg tega je odbor upravičen, da vsake tri mesece prejme seznam operativnih namenov, ki se uporabljajo za pregled gradiva, pridobljenega v večjem obsegu (474). Predsednik vlade odboru za obveščevalno in varnostno dejavnost predloži kopije preiskav, inšpekcijskih ali drugih pregledov pooblaščenca za nadzor nad izvajanjem preiskovalnih pooblastil, če se tema poročil nanaša na zakonska pooblastila odbora (475). Odbor lahko pooblaščenca za nadzor nad izvajanjem preiskovalnih pooblastil tudi prosi, naj izvede preiskavo, pooblaščenec pa mora odbor obvestiti o tem, ali se je odločil izvesti tako preiskavo ali ne (476).

(259)

Odbor za obveščevalno in varnostno dejavnost je zagotovil tudi vrsto predlogov glede osnutka zakona o preiskovalnih pooblastilih iz leta 2016, ki so bili upoštevani v nazadnje sprejetem besedilu navedenega zakona (477). Predlagal je krepitev varstva zasebnosti z uvedbo več zaščitnih ukrepov, ki se uporabljajo pri vseh preiskovalnih pooblastilih (478). Predlagal je tudi spremembe predlaganih zmogljivosti glede poseganja v opremo, naborov osebnih podatkov v večjem obsegu in komunikacijskih podatkov, ter zahteval druge specifične spremembe za krepitev omejitev in zaščitnih ukrepov pri uporabi preiskovalnih pooblastil (479).

(260)

V zvezi z dostopom vlade zaradi nacionalne varnosti morajo imeti posamezniki, na katere se nanašajo osebni podatki, možnost uveljavljanja pravnih sredstev pred neodvisnim in nepristranskim sodiščem, da si zagotovijo dostop do svojih osebnih podatkov ali da dosežejo popravo oziroma izbris takih podatkov (480). Tak pravosodni organ mora predvsem imeti pristojnost za sprejemanje zavezujočih odločitev glede obveščevalnih služb (481). Kot je pojasnjeno v uvodnih izjavah (261) do (271), je v Združenem kraljestvu posameznikom, na katere se nanašajo osebni podatki, na voljo več poti sodnega varstva, v okviru katerih lahko uveljavljajo taka pravna sredstva.

(261)

Na podlagi člena 165 zakona o varstvu podatkov iz leta 2018 ima posameznik, na katerega se nanašajo osebni podatki, pravico vložiti pritožbo pri informacijskem pooblaščencu, če meni, da je v zvezi z osebnimi podatki, ki se nanašajo nanj, prišlo do kršitve dela 4 zakona o varstvu podatkov iz leta 2018. Informacijski pooblaščenec lahko preveri, kako upravljavec in obdelovalec zagotavljata skladnost z zakonom o varstvu podatkov iz leta 2018 in od njiju zahteva, da sprejmeta potrebne ukrepe. Poleg tega so posamezniki v skladu z delom 4 zakona o varstvu podatkov iz leta 2018 upravičeni, da pri sodišču High Court (ali sodišču Court of Session na Škotskem) vložijo predlog za izdajo odločbe, ki od upravljavca zahteva, da upošteva pravice do dostopa do podatkov (482), do ugovora obdelavi (483) in do popravka ali izbrisa (484).

(262)

Posamezniki so prav tako upravičeni zahtevati odškodnino za škodo, ki nastane zaradi kršitve zahteve iz dela 4 zakona o varstvu podatkov iz leta 2018 s strani upravljavca ali obdelovalca (485). Škoda vključuje finančno in nefinančno izgubo, kot je na primer stiska (486).

(263)

Posamezniki lahko zaradi kršitev zakona o preiskovalnih pooblastilih iz leta 2016 vložijo pravna sredstva pri sodišču, ki obravnava preiskovalna pooblastila (Investigatory Powers Tribunal).

(264)

Navedeno sodišče je bilo vzpostavljeno na podlagi zakona o urejanju preiskovalnih pooblastil iz leta 2000 in je neodvisno od izvršilne veje oblasti (487). V skladu s členom 65 navedenega zakona člane tega sodišča imenuje kraljica za obdobje petih let. Člana tega sodišča lahko s funkcije razreši kraljica, na podlagi nagovora (488) obeh domov parlamenta (489).

(265)

V skladu s členom 65 zakona o urejanju preiskovalnih pooblastil iz leta 2000 je sodišče ustrezen pravosodni organ za vse pritožbe oseb, ki jih je prizadelo ravnanje na podlagi zakona o preiskovalnih pooblastilih iz leta 2016, zakona o urejanju preiskovalnih pooblastil iz leta 2000 ali katero koli ravnanje obveščevalnih služb (490).

(266)

Da lahko posameznik vloži tožbo pri sodišču, ki obravnava preiskovalna pooblastila („procesno upravičenje“), mora biti v skladu s členom 65 zakona o urejanju preiskovalnih pooblastil iz leta 2000 prepričan (491), da je obveščevalna služba izvajala dejavnosti v zvezi z njim, njegovim premoženjem, komunikacijami, ki jih je poslal ali so mu bile poslane ali namenjene, ali njegovo uporabo poštnih storitev, telekomunikacijskih storitev ali telekomunikacijskega sistema (492). Poleg tega mora biti tožnik prepričan, da je bilo ravnanje izvedeno v „spornih okoliščinah“ (493) ali „da ga je izvedla obveščevalna služba ali je bilo izvedeno v njenem imenu“ (494). Ker se je zlasti ta standard prepričanja razlagal precej široko (495), se za predložitev zadeve navedenemu sodišču zahteva nizek prag procesnega upravičenja.

(267)

Sodišče, ki obravnava preiskovalna pooblastila, mora pri obravnavanju vložene tožbe proučiti, ali so imele osebe, zoper katere je vložena tožba, odnos s tožnikom ter kako je ravnal organ, ki je domnevno vpleten v kršitve, in ali je bilo domnevno ravnanje storjeno (496). Kadar sodišče, ki obravnava preiskovalna pooblastila, vodi postopek, mora pri sprejemanju odločitve v tem postopku uporabiti ista načela, kot bi jih uporabilo sodišče na podlagi zahteve za sodno presojo (497). Poleg tega morajo naslovniki odredb ali obvestil na podlagi zakona o preiskovalnih pooblastilih iz leta 2016 ter vse druge osebe, ki imajo državno funkcijo, so zaposlene pri policiji ali pri pooblaščencu za obravnavo pritožb zoper policijo (Police Investigations and Review Commissioner), navedenemu sodišču razkriti ali predložiti vse dokumente in informacije, ki jih sodišče zahteva z namenom izvajanja svojih pristojnosti (498).

(268)

Sodišče, ki obravnava preiskovalna pooblastila, mora tožnika obvestiti, ali je bila sprejeta odločitev v njegovo korist ali ne (499). Sodišče, ki obravnava preiskovalna pooblastila, lahko v skladu s členom 67(6) in (7) zakona o urejanju preiskovalnih pooblastil iz leta 2000 izdaja začasne odločbe in priznava odškodnine ali izdaja druge odločbe, ki se mu zdijo primerne. To lahko vključuje odločbo o razveljavitvi ali odpravi vsake odredbe ali pooblastila ter odločbo o uničenju vseh evidenc informacij, pridobljenih pri izvrševanju katerih koli pooblastil na podlagi odredbe, odobritve ali obvestila, ali informacij, ki jih ima o kateri koli osebi kateri koli javni organ na drugi podlagi (500). V skladu s členom 67A zakona o urejanju preiskovalnih pooblastil iz leta 2000 se je mogoče pritožiti zoper odločitev sodišča, ki obravnava preiskovalna pooblastila, in sicer na podlagi dovoljenja tega sodišča ali ustreznega pritožbenega sodišča.

(269)

Treba je tudi omeniti, da se je o vlogi sodišča, ki obravnava preiskovalna pooblastila, večkrat razpravljalo v okviru tožb pred Evropskim sodiščem za človekove pravice, zlasti v zadevi Kennedy v. the United Kingdom (501) in nedavno v zadevi Big Brother Watch and others v. United Kingdom (502), v kateri je Sodišče navedlo, da je „sodišče, ki obravnava preiskovalna pooblastila, vsem, ki so sumili, da so obveščevalne službe prestregle njegovo komunikacijo, ponudilo zanesljiva pravna sredstva“ (503).

(270)

Kot je pojasnjeno v uvodnih izjavah (109) do (111), so pravna sredstva na podlagi zakona o človekovih pravicah iz leta 1998 in Sodišča za človekove pravice (504) na voljo tudi na področju nacionalne varnosti. Na podlagi člena 65(2) zakona o urejanju preiskovalnih pooblastil iz leta 2000 je sodišče, ki obravnava preiskovalna pooblastila, izključno pristojno za obravnavo vseh zahtevkov na podlagi zakona o človekovih pravicah v zvezi z obveščevalnimi agencijami (505). Kot je navedlo sodišče High Court, to pomeni, da „lahko o tem, ali je bil na podlagi dejstev v posamezni zadevi kršen zakon o človekovih pravicah, načeloma odloča neodvisno sodišče, ki lahko ima dostop do vsega ustreznega gradiva, tudi tajnega. […] Pri tem upoštevamo tudi, da se je zoper odločitev sodišča, ki obravnava preiskovalna pooblastila, zdaj mogoče pritožiti pri ustreznem pritožbenem sodišču (v Angliji in Walesu je to sodišče Court of Appeal); sodišče Supreme Court pa je pred kratkim ugotovilo, da je načeloma mogoče zahtevati sodno presojo zoper odločitve sodišča, ki obravnava preiskovalna pooblastila: glej sodbo v zadevi R (Privacy International) v Investigatory Powers Tribunal [2019] UKSC 22, [2019] 2 WLR 1219“ (506).

(271)

Iz zgoraj navedenega izhaja, da kadar organi Združenega kraljestva za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ali za nacionalno varnost izvajajo dostop do osebnih podatkov, ki spadajo na področje uporabe tega sklepa, tak dostop ureja zakonodaja, ki določa pogoje, na podlagi katerih je dostop mogoč, pri tem pa omejuje dostop in nadaljnjo uporabo podatkov na tisto, kar je potrebno in sorazmerno glede na cilj preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ali nacionalne varnosti. Nadalje, za tak dostop je v več primerih potrebna predhodna odobritev pravosodnega organa v obliki odobritve odredbe ali odredbe o predložitvi dokazov, v vsakem primeru pa je podvržen neodvisnemu nadzoru. Ko javni organi pridobijo dostop do podatkov, za vso obdelavo, vključno z nadaljnjo izmenjavo in pošiljanjem, veljajo posebni zaščitni ukrepi glede varstva podatkov, in sicer glede obdelave s strani organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj na podlagi dela 3 zakona o varstvu podatkov iz leta 2018, ki odražajo tiste iz Direktive (EU) 2016/680, in glede obdelave s strani obveščevalnih agencij na podlagi dela 4 zakona o varstvu podatkov iz leta 2018. Nazadnje, posamezniki, na katere se nanašajo osebni podatki, imajo na tem področju učinkovito upravno in sodno varstvo, vključno s pravico do dostopa do svojih podatkov ter pravico do popravka ali izbrisa podatkov.

(272)

Glede na pomen takih pogojev, omejitev in zaščitnih ukrepov za namene tega sklepa bo Komisija pozorno spremljala uporabo in razlago pravil Združenega kraljestva, ki določajo vladni dostop do podatkov. To bo vključevalo ustrezen razvoj zakonodaje, predpisov in sodne prakse ter dejavnosti urada informacijskega pooblaščenca in drugih nadzornih organov na tem področju. Posebna pozornost bo namenjena tudi izvajanju relevantnih sodb Evropskega sodišča za človekove pravice s strani Združenega kraljestva, vključno z ukrepi, opredeljenimi v „akcijskih načrtih“ in „poročilih o ukrepih“, predloženih odboru ministrov v okviru nadzora nad spoštovanjem sodb Sodišča.

(273)

Komisija meni, da UK GDPR in zakon o varstvu podatkov iz leta 2018 zagotavljata raven varstva osebnih podatkov, ki se prenašajo iz Evropske unije, ki je v osnovi enakovredna ravni, ki jo zagotavlja Uredba (EU) 2016/679.

(274)

Poleg tega Komisija meni, da gledano v celoti nadzorni mehanizmi in pravna sredstva v pravu Združenega kraljestva v praksi omogočajo, da se kršitve ugotovijo in kaznujejo, ter da so posameznikom, na katere se nanašajo osebni podatki, na voljo pravna sredstva, s katerimi lahko pridobijo dostop do osebnih podatkov, ki se nanašajo nanje, in po potrebi zagotovijo popravek ali izbris takih podatkov.

(275)

Komisija glede na razpoložljive informacije o pravnem redu Združenega kraljestva nazadnje meni, da so vsi posegi v temeljne pravice posameznikov, katerih osebne podatke iz Evropske unije v Združeno kraljestvo prenašajo javni organi Združenega kraljestva v imenu javnega interesa, zlasti za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj in namene nacionalne varnosti, omejeni na tisto, kar je nujno potrebno za doseganje zadevnega zakonitega cilja, ter da obstaja učinkovita pravna zaščita zoper take posege.

(276)

Zato bi bilo treba glede na ugotovitve iz tega sklepa odločiti, da Združeno kraljestvo zagotavlja ustrezno raven varstva v smislu člena 45 Uredbe (EU) 2016/679, kot se razlaga glede na Listino EU o temeljnih pravicah.

(277)

Ta ugotovitev temelji na ustrezni nacionalni ureditvi Združenega kraljestva in njegovih mednarodnih zavezah, zlasti zavezanosti Evropski konvenciji o varstvu človekovih pravic ter priznanju pristojnosti Evropskega sodišča za človekove pravice. Nadaljnja zavezanost takim mednarodnim obveznostim je torej posebej pomemben element ocene, na kateri temelji ta sklep.

(278)

Države članice in njihovi organi morajo sprejeti ukrepe, potrebne za zagotavljanje skladnosti z akti institucij Unije, saj se domneva, da so ti zakoniti in imajo pravne učinke, dokler njihova veljavnost ne poteče, dokler niso umaknjeni, razveljavljeni na podlagi izpodbojne tožbe ali razglašeni za neveljavne na podlagi predloga za sprejetje predhodne odločbe ali sklicevanja na nezakonitost.

(279)

Zato je sklep Evropske komisije o ustreznosti varstva, sprejet na podlagi člena 45(3) Uredbe (EU) 2016/679, zavezujoč za vse organe držav članic, na katere je naslovljen, vključno z njihovimi neodvisnimi nadzornimi organi. V obdobju uporabe tega sklepa prenosi med upravljavcem ali obdelovalcem v Evropski uniji in upravljavci ali obdelovalci v Združenem kraljestvu lahko potekajo, ne da bi bilo treba pridobiti nadaljnje dovoljenje.

(280)

V skladu s členom 58(5) Uredbe (EU) 2016/679 in glede na pojasnila Sodišča EU v sodbi v zadevi Schrems (507) je treba opozoriti, da če ima nacionalni organ za varstvo podatkov, tudi po prejemu pritožbe, pomisleke o skladnosti sklepa Komisije o ustreznosti s temeljnimi pravicami posameznika do zasebnosti in varstva podatkov, mu mora nacionalno pravo zagotavljati pravno sredstvo za predložitev teh ugovorov nacionalnemu sodišču, od katerega se lahko zahteva, da v primeru dvomov prekine postopek in Sodišču EU predloži predlog za sprejetje predhodne odločbe (508).

(281)

Komisija v skladu s členom 45(4) Uredbe (EU) 2016/679 redno spremlja razvoj dogodkov v Združenem kraljestvu po sprejetju tega sklepa, da lahko presodi, ali še vedno zagotavlja v osnovi enakovredno raven varstva. Tako spremljanje je pomembno zlasti v tem primeru, saj bo Združeno kraljestvo upravljalo, uporabljalo in izvajalo novo ureditev varstva podatkov, za katero se ne uporablja več pravo Evropske unije in se bo morda spremenilo. V zvezi s tem bo posebna pozornost namenjena praktični uporabi pravil Združenega kraljestva o prenosu osebnih podatkov v tretje države in vplivu, ki ga lahko ima na raven varstva podatkov, prenesenih v skladu s tem sklepom, učinkovitost uveljavljanja pravic posameznikov, vključno z vsemi relevantnimi spremembami v zakonodaji in praksi v zvezi z izjemami ali omejitvami teh pravic (zlasti tiste, ki se nanaša na ohranjanje učinkovitega nadzora priseljevanja), ter spoštovanje omejitev in zaščitnih ukrepov v zvezi z vladnim dostopom. Spremljanje s strani Komisije bosta med drugim odvisna od razvoja sodne prakse in nadzora s strani urada informacijskega pooblaščenca in drugih neodvisnih organov.

(282)

Da bi olajšali to spremljanje, bi morali organi Združenega kraljestva Komisijo nemudoma obvestiti o vseh bistvenih spremembah pravnega reda Združenega kraljestva, ki vplivajo na pravni okvir, ki je predmet tega sklepa, ter o razvoju praks v zvezi z obdelavo osebnih podatkov, ocenjenih v tem sklepu, in sicer tako glede obdelave osebnih podatkov s strani upravljavcev in obdelovalcev v skladu z UK GDPR kot tudi glede omejitev in zaščitnih ukrepov, ki se uporabljajo za dostop javnih organov do osebnih podatkov. To bi moralo vključevati razvoj elementov iz uvodne izjave (281).

(283)

Poleg tega bi morale države članice Komisijo obveščati o vseh pomembnih ukrepih nacionalnih organov za varstvo podatkov, zlasti glede poizvedb ali pritožb posameznikov iz EU, na katere se nanašajo osebni podatki, v zvezi s prenosom osebnih podatkov iz Unije upravljavcem ali obdelovalcem v Združenem kraljestvu, da lahko Komisija učinkovito izvaja naloge spremljanja. Evropska komisija bi morala biti obveščena tudi o vseh indicih, da ukrepi javnih organov Združenega kraljestva, odgovornih za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj oziroma za nacionalno varnost, vključno z vsemi nadzornimi organi, ne zagotavljajo zahtevane ravni varnosti.

(284)

Kadar razpoložljive informacije, zlasti informacije, ki izhajajo iz spremljanja tega sklepa ali ki jih zagotovijo organi Združenega kraljestva ali držav članic, pokažejo, da raven varstva, ki jo zagotavlja Združeno kraljestvo, morda ni več ustrezna, bi morala Komisija o tem nemudoma obvestiti pristojne organe Združenega kraljestva in zahtevati, da se sprejmejo ustrezni ukrepi v določenem roku, ki ne sme biti daljši od treh mesecev. Po potrebi se lahko to obdobje podaljša za določeno obdobje ob upoštevanju narave posamezne zadeve in/ali ukrepov, ki naj bi se sprejeli. Tak postopek bi se na primer sprožil v primerih, ko nadaljnji prenosi, tudi na podlagi novih predpisov o ustreznosti, ki jih sprejme pristojni minister, ali mednarodnih sporazumov, ki jih sklene Združeno kraljestvo, ne bi bili več izvedeni v okviru zaščitnih ukrepov, ki zagotavljajo neprekinjeno varstvo v smislu člena 44 Uredbe (EU) 2016/679.

(285)

Če pristojni organi Združenega kraljestva ob preteku tega določenega roka ne sprejmejo navedenih ukrepov ali drugače zadovoljivo dokažejo, da ta sklep še temelji na ustrezni ravni varnosti, bo Komisija začela postopek iz člena 93(2) Uredbe (EU) 2016/679 za začasno zadržanje izvajanja ali za razveljavitev dela ali celotnega tega sklepa.

(286)

Druga možnost je, da bo Komisija začela postopek za spremembo tega sklepa, in sicer uvedbo dodatnih pogojev za prenos podatkov ali z omejitvijo področja uporabe ugotovitve o ustreznosti varstva samo na prenose podatkov, za katere je še naprej zagotovljena ustrezna raven varstva.

(287)

Komisija bo v nujnih ustrezno utemeljenih primerih uporabila možnost, da v skladu s postopkom iz člena 93(3) Uredbe (EU) 2016/679 sprejme izvedbene akte, ki se začnejo uporabljati takoj in s katerimi se začasno zadrži izvajanje tega sklepa oziroma se sklep razveljavi ali spremeni.

(288)

Komisija mora upoštevati, da bo Združeno kraljestvo ob izteku prehodnega obdobja, določenega v sporazumu o izstopu, in takoj po prenehanju uporabe začasne določbe iz člena 782 sporazuma o trgovini in sodelovanju med EU in Združenim kraljestvom uveljavilo, uporabljalo in izvajalo novo ureditev varstva podatkov, ne pa več ureditve, ki je bila vzpostavljena, ko ga je še zavezovalo pravo Evropske unije. To lahko vključuje zlasti dopolnitve ali spremembe okvira varstva podatkov, ki se ocenjuje v tem sklepu, ter druge spremembe.

(289)

Zato je primerno določiti, da ta sklep velja štiri leta od začetka njegove veljavnosti.

(290)

Kadar zlasti iz informacij, ki izhajajo iz spremljanja izvajanja tega sklepa, izhaja, da so ugotovitve, ki se nanašajo na ustreznost ravni varstva, ki se zagotavlja v Združenem kraljestvu, še vedno dejansko in pravno upravičene, bi morala Komisija najpozneje šest mesecev pred prenehanjem uporabe tega sklepa začeti postopek za spremembo tega sklepa, tako da se veljavnost načeloma podaljša za dodatna štiri leta. Vsak tak izvedbeni akt, ki spreminja ta sklep, mora biti sprejet v skladu s postopkom iz člena 93(2) Uredbe (EU) 2016/679.

(291)

Evropski odbor za varstvo podatkov je objavil svoje mnenje (509), ki je bilo upoštevano pri pripravi tega sklepa.

(292)

Ukrepi iz tega sklepa so v skladu z mnenjem odbora, ustanovljenega na podlagi člena 93 Uredbe (EU) 2016/679 –