(1)

Nařízení (EU) 2016/679 stanoví pravidla pro předávání osobních údajů správci nebo zpracovateli v Evropské unii do třetích zemí a mezinárodním organizacím, pokud toto předávání spadá do oblasti působnosti uvedeného nařízení. Pravidla pro mezinárodní předávání údajů stanoví kapitola V uvedeného nařízení, tzn. články 44 až 50. Jakkoli je tok osobních údajů do zemí a ze zemí mimo Evropskou unii nezbytný pro rozšiřování mezinárodní spolupráce a přeshraničního obchodu, úroveň ochrany osobních údajů v Evropské unii nesmí být oslabena předáváním těchto údajů do třetích zemí (2).

(2)

Podle čl. 45 odst. 3 nařízení (EU) 2016/679 může Komise prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany. Za této podmínky se může předávání osobních údajů do třetí země bez nutnosti získat další povolení uskutečnit, jak stanoví čl. 45 odst. 1 a 103. bod odůvodnění uvedeného nařízení.

(3)

Podle čl. 45 odst. 2 nařízení (EU) 2016/679 musí přijetí rozhodnutí o odpovídající ochraně vycházet z komplexní analýzy právního řádu dané třetí země, a to jak z hlediska pravidel použitelných pro dovozce údajů, tak z hlediska omezení a záruk vztahujících se k přístupu orgánů veřejné moci k osobním údajům. V tomto posouzení musí Komise určit, zda daná třetí země zaručí úroveň ochrany „v zásadě rovnocennou“ úrovni ochrany zajištěné v Evropské unii (104. bod odůvodnění nařízení (EU) 2016/679). Standard, vůči němuž je „zásadní rovnocennost“ posuzována, je stanoven právními předpisy Evropské unie, a to zejména nařízením (EU) 2016/679, jakož i judikaturou Soudního dvora Evropské unie (3). V tomto ohledu je významný i referenční rámec Evropského sboru pro ochranu osobních údajů (EDPB) pro odpovídající ochranu (4).

(4)

Jak objasnil Soudní dvůr Evropské unie, toto nevyžaduje zjištění stejné úrovně ochrany (5). Zejména prostředky, které dotyčná třetí země k ochraně osobních údajů využívá, se mohou lišit od prostředků zavedených v Evropské unii, pokud se v praxi ukážou jako účinné k zajištění odpovídající úrovně ochrany (6). Standard odpovídající ochrany tedy nevyžaduje opakování pravidel Unie slovo od slova. Kritériem je spíše to, zda zahraniční systém jako celek zajišťuje prostřednictvím podstaty práv na ochranu údajů a jejich účinného uplatňování, dozoru nad nimi a vymáhání těchto práv požadovanou úroveň ochrany (7).

(5)

Komise pečlivě analyzovala právo a praxi ve Spojeném království. Na základě zjištění uvedených v (8). až (270). bodě odůvodnění dospěla Komise k závěru, že Spojené království zajišťuje odpovídající úroveň ochrany osobních údajů předávaných v rámci oblasti působnosti nařízení (EU) 2016/679 z Evropské unie do Spojeného království.

(6)

Tento závěr se netýká osobních údajů předávaných pro účely kontroly imigrace ve Spojeném království nebo osobních údajů, které jinak spadají do oblasti působnosti výjimky z určitých práv subjektu údajů za účelem zachování účinné kontroly imigrace (dále jen „imigrační výjimka“) podle bodu 4 odst. 1 přílohy 2 britského zákona o ochraně údajů. Platnost a výklad imigrační výjimky podle právních předpisů Spojeného království nejsou v návaznosti na rozhodnutí Odvolacího soudu (Anglie a Wales) ze dne 26. května 2021 ustáleny. Ačkoli odvolací soud uznal, že práva subjektu údajů mohou být v zásadě omezena pro účely kontroly imigrace jako „důležitého aspektu veřejného zájmu“, zároveň konstatoval, že imigrační výjimka je ve své současné podobě neslučitelná s právem Spojeného království, neboť v legislativním opatření chybí konkrétní ustanovení stanovující záruky uvedené v čl. 23 odst. 2 britského obecného nařízení o ochraně údajů (dále jen „britské nařízení GDPR“) (8). Za těchto podmínek by měla být předání osobních údajů z Unie do Spojeného království, na která lze použít imigrační výjimku, vyloučena z oblasti působnosti tohoto rozhodnutí (9). Jakmile bude odstraněna neslučitelnost s právem Spojeného království, měly by být imigrační výjimka, jakož i potřeba zachovat omezení oblasti působnosti tohoto rozhodnutí znovu posouzeny.

(7)

Tímto rozhodnutím by nemělo být dotčeno přímé uplatňování nařízení (EU) 2016/679 na organizace usazené ve Spojeném království, pokud jsou splněny podmínky týkající se místní působnosti uvedeného nařízení, stanovené v jeho článku 3.

(8)

Spojené království je parlamentní demokracií, v níž je hlavou státu konstituční panovník. Stát má svrchovaný parlament nadřazený všem ostatním vládním institucím, vládu jako orgán výkonné moci, který je sestavován z členů parlamentu a tomuto parlamentu je také odpovědný, a nezávislé soudnictví. Vláda odvozuje své oprávnění ze své schopnosti získat důvěru zvolené Dolní sněmovny Spojeného království a zodpovídá se oběma komorám parlamentu Spojeného království, které nesou odpovědnost za kontrolu vlády a za projednávání a přijímání zákonů.

(9)

V oblasti přijímání právních předpisů týkajících se vnitrostátních záležitostí ve Skotsku, Walesu a Severním Irsku, které nevyhradil sám sobě, přenesl Parlament Spojeného království odpovědnost na Skotský parlament, Velšský parlament (Senedd Cymru) a na Shromáždění Severního Irska. Zatímco ochrana údajů je vyhrazenou oblastí, tj. v celé zemi platí stejné právní předpisy, jiné oblasti politiky významné pro toto rozhodnutí jsou decentralizované. Například systémy trestního soudnictví včetně činnosti policie ve Skotsku a Severním Irsku spadají do odpovědnosti přenesené na Skotský parlament, resp. Shromáždění Severního Irska. Spojené království nemá kodifikovanou ústavu ve smyslu pevně zakotveného ústavního dokumentu. Ústavní principy se vyvíjely postupně, a to zejména na základě judikatury a zvyklostí. Ústavní hodnota některých právních předpisů, jako je Magna Carta (Velká listina práv a svobod), Bill of Rights 1689 (Listina práv z roku 1689) a Human Rights Act 1998 (zákon o lidských právech z roku 1998), byla uznána soudy. Základní práva jednotlivců se jako součást ústavního rámce rozvíjela prostřednictvím zvykového práva (common law), uvedených právních předpisů a mezinárodních smluv, zejména Evropské úmluvy o lidských právech, kterou Spojené království ratifikovalo v roce 1951. Spojené království také v roce 1987 ratifikovalo Úmluvu Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat (úmluva č. 108) (10).

(10)

Zákon o lidských právech z roku 1998 začleňuje práva obsažená v Evropské úmluvě o lidských právech do práva Spojeného království. Zákon o lidských právech přiznává každému jednotlivci základní práva a svobody stanovené v článcích 2 až 12 a v článku 14 Evropské úmluvy o lidských právech, v článcích 1, 2 a 3 prvního protokolu této úmluvy a v článku 1 jejího třináctého protokolu ve spojení s články 16, 17 a 18 uvedené úmluvy. To zahrnuje právo na respektování soukromého a rodinného života (a právo na ochranu údajů jako součást tohoto práva) a právo na spravedlivý proces (11). Zejména, podle článku 8 úmluvy může orgán veřejné moci do práva na soukromí zasahovat pouze v souladu se zákonem, je-li to v demokratické společnosti nezbytné v zájmu národní bezpečnosti, veřejné bezpečnosti, hospodářského blahobytu země, předcházení nepokojům a trestné činnosti, ochrany zdraví nebo morálky nebo ochrany práv a svobod jiných.

(11)

V souladu se zákonem o lidských právech z roku 1998 musí být jakékoli opatření orgánů veřejné moci slučitelné s právem podle úmluvy (12). Kromě toho je třeba primární a podřízené právní předpisy vykládat a uplatňovat způsobem, který je slučitelný s právy podle úmluvy (13).

(12)

Spojené království dne 31. ledna 2020 vystoupilo z Evropské unie. Podle Dohody o vystoupení Spojeného království Velké Británie a Severního Irska z Evropské unie a Evropského společenství pro atomovou energii (14) se ve Spojeném království během přechodného období do 31. prosince 2020 nadále používalo právo Unie. Před vystoupením a během přechodného období tvořily legislativní rámec ochrany osobních údajů ve Spojeném království příslušné právní předpisy EU (zejména nařízení Evropského parlamentu a Rady (EU) 2016/679 a směrnice Evropského parlamentu a Rady (EU) 2016/680 (15)) a vnitrostátní právní předpisy, zejména zákon o ochraně údajů z roku 2018 (16), který stanovil vnitrostátní pravidla v případech, které umožňuje nařízení (EU) 2016/679, upřesňoval a omezoval použití pravidel podle nařízení (EU) 2016/679 a prováděl ve vnitrostátním právu směrnici (EU) 2016/680.

(13)

Aby se připravila na vystoupení z Evropské unie, přijala vláda Spojeného království zákon o Evropské unii (o vystoupení z Evropské unie) z roku 2018 (17), který začleňuje přímo použitelné právní předpisy Unie do práva Spojeného království (18). Tyto tzv. ponechané právní předpisy EU zahrnují nařízení (EU) 2016/679 v jeho plném rozsahu (včetně bodů odůvodnění) (19). V souladu s uvedeným zákonem musí soudy Spojeného království vykládat nepozměněné ponechané právní předpisy EU v souladu s příslušnou judikaturou Evropského soudního dvora a s obecnými zásadami práva Unie účinnými bezprostředně před koncem přechodného období (označovanými jako „ponechaná judikatura EU“, resp. „ponechané obecné zásady práva EU“) (20).

(14)

Podle zákona o Evropské unii (o vystoupení z Evropské unie) z roku 2018 mají ministři Spojeného království pravomoc zavádět prostřednictvím zákonných nástrojů sekundární právní předpisy, aby provedli nutné úpravy ponechaného práva Evropské unie po vystoupení Spojeného království z Evropské unie. V rámci výkonu této pravomoci přijali nařízení v oblasti ochrany údajů, soukromí a elektronických komunikací (změny atd.) (vystoupení z EU) z roku 2019 (dále jen „nařízení v oblasti ochrany údajů, soukromí a elektronických komunikací“) (21). Nařízení v oblasti ochrany údajů, soukromí a elektronických komunikací pozměňují nařízení (EU) 2016/679, které do práva Spojeného království začlenil zákon o Evropské unii (o vystoupení z Evropské unie) z roku 2018, zákon o ochraně údajů z roku 2018 a ostatní právní předpisy v oblasti ochrany údajů, aby odpovídaly vnitrostátním souvislostem (22).

(15)

Právní rámec ochrany osobních údajů ve Spojeném království po skončení přechodného období tedy tvoří:

(16)

Jelikož britské nařízení GDPR vychází z právních předpisů EU, pravidla ochrany údajů ve Spojeném království v mnoha ohledech velmi přesně odrážejí odpovídající pravidla platná v Evropské unii.

(17)

Kromě pravomocí, které ministrovi přiznává zákon o Evropské unii (o vystoupení z Evropské unie) z roku 2018, několik ustanovení zákona o ochraně údajů z roku 2018 uděluje ministrovi pravomoc přijímat sekundární právní předpisy, kterými se mění některá ustanovení zákona nebo stanoví doplňková a doplňující pravidla (25). Ministr dosud vykonával pouze pravomoc podle článku 137 zákona o ochraně údajů z roku 2018, a to přijmout nařízení o ochraně údajů (poplatky a informace) (změna) z roku 2019, které stanoví okolnosti, za nichž jsou správci údajů povinni platit roční poplatek nezávislému úřadu pro ochranu osobních údajů ve Spojeném království, tedy komisaři pro informace.

(18)

A v neposlední řadě jsou další pokyny k právním předpisům Spojeného království v oblasti ochrany údajů uvedeny v kodexech zásad a dalších pokynech přijatých komisařem pro informace. Ačkoli tyto pokyny nejsou formálně právně závazné, mají svou váhu z hlediska výkladu a ukazují, jak se právní předpisy o ochraně údajů používají a jak je komisař v praxi vymáhá. Zejména články 121 až 125 zákona o ochraně údajů z roku 2018 vyžadují, aby komisař vypracoval kodexy postupů pro sdílení údajů, přímý marketing, design odpovídající věku a pro ochranu údajů a žurnalistiku.

(19)

Právní rámec Spojeného království, který se použije na údaje předávané podle tohoto rozhodnutí, je tedy z hlediska své struktury a hlavních prvků velmi podobný právnímu rámci, který se používá v Evropské unii. Zahrnuje to skutečnost, že takový rámec se neopírá pouze o povinnosti stanovené ve vnitrostátním právu, které byly formovány právem EU, ale také o povinnosti zakotvené v mezinárodním právu, zejména prostřednictvím dodržování EÚLP a úmluvy č. 108 a podrobení se pravomoci Evropského soudu pro lidská práva ze strany Spojeného království. Tyto povinnosti vyplývají z právně závazných mezinárodních nástrojů, zejména pokud jde o ochranu osobních údajů, a jsou proto obzvláště důležitým prvkem právního rámce posuzovaného v tomto rozhodnutí.

(20)

Obdobně jako nařízení (EU) 2016/679 se i britské nařízení GDPR použije na zcela nebo částečně automatizované zpracování osobních údajů nebo na jiné zpracování osobních údajů, pokud jsou obsažena v evidenci (26). Definice „osobních údajů“, „subjektu údajů“ a „zpracování“ v britském nařízení GDPR jsou totožné s definicemi v nařízení (EU) 2016/679 (27). Kromě toho se britské nařízení GDPR použije na zpracování ručně zpracovávaných nestrukturovaných osobních údajů (28) v držení určitých orgánů veřejné moci Spojeného království (29), ačkoli články 24 a 25 zákona o ochraně údajů z roku 2018 ruší použití zásad a práv podle britského nařízení GDPR, které nejsou pro takové osobní údaje použitelné. Podobně, jako je stanoveno v nařízení (EU) 2016/679, se britské nařízení GDPR nepoužije na zpracování osobních údajů prováděné fyzickou osobou v průběhu výlučně osobních či domácích činností (30).

(21)

Britské nařízení GDPR rozšiřuje svou působnost také na zpracování v průběhu činnosti, která bezprostředně před koncem přechodného období nespadala do oblasti působnosti práva Evropské unie (např. národní bezpečnost) (31) nebo spadala do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii (činnosti v oblasti společné zahraniční a bezpečnostní politiky) (32). Stejně jako v systému Evropské unie se britské nařízení GDPR nepoužije na zpracování osobních údajů příslušným orgánem za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a předcházení těmto hrozbám (tzv. „účely prosazování práva“) (taková zpracování namísto toho upravuje část 3 zákona o ochraně údajů z roku 2018 podobně jako směrnice (EU) 2016/680 podle práva Evropské unie) nebo na zpracování osobních údajů zpravodajskými službami (Security Service (Bezpečnostní služba), Secret Intelligence Service (Tajná zpravodajská služba) a Government Communications Headquarters (Vládní ředitelství pro komunikace)), které upravuje část 4 zákona o ochraně údajů z roku 2018 (33).

(22)

Územní působnost britského nařízení GDPR je popsána v článku 3 britského nařízení GDPR (34) a zahrnuje zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele ve Spojeném království (bez ohledu na to, kde zpracování probíhá), jakož i zpracování osobních údajů subjektů údajů, které se nacházejí ve Spojeném království, pokud činnosti zpracování souvisejí s nabídkou zboží nebo služeb těmto subjektům údajů nebo s monitorováním jejich chování (35). To odráží přístup uplatněný v článku 3 nařízení (EU) 2016/679.

(23)

Definice osobních údajů, zpracování, správce, zpracovatele, jakož i definice pseudonymizace stanovené v nařízení (EU) 2016/679 jsou v britském nařízení GDPR (36) zachovány bez podstatných úprav. V čl. 9 odst. 1 britského nařízení GDPR jsou navíc stejným způsobem jako v nařízení (EU) 2016/679 definovány zvláštní kategorie údajů („osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby“). Článek 205 zákona o ochraně údajů z roku 2018 uvádí definici „biometrických údajů“ (37), „údajů o zdravotním stavu“ (38) a „genetických údajů“ (39).

(24)

Osobní údaje by měly být zpracovávány zákonným a korektním způsobem.

(25)

Zásady zákonnosti, korektnosti a transparentnosti a důvody pro zákonné zpracování jsou v právu Spojeného království zaručeny prostřednictvím čl. 5 odst. 1 písm. a) a čl. 6 odst. 1 britského nařízení GDPR, které jsou totožné s odpovídajícími ustanoveními nařízení (EU) 2016/679 (40). Článek 8 zákona o ochraně údajů z roku 2018 doplňuje čl. 6 odst. 1 písm. e) tím, že stanoví, že zpracování osobních údajů podle čl. 6 odst. 1 písm. e) britského nařízení GDPR (nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci správce), zahrnuje zpracování osobních údajů, které je nezbytné pro výkon spravedlnosti, výkon funkce kterékoli komory parlamentu Spojeného království, výkon funkce svěřené osobě na základě právního předpisu nebo v rámci právního státu, výkon funkce Koruny, ministra Koruny nebo vládního ministerstva nebo činnost, která podporuje nebo prosazuje demokratickou angažovanost.

(26)

Pokud jde o souhlas (jeden z důvodů pro zákonné zpracování), britské nařízení GDPR také beze změny zachovává podmínky stanovené v článku 7 nařízení (EU) 2016/679, to znamená, že správce musí být schopen prokázat, že subjekt údajů udělil souhlas, písemná žádost o vyjádření souhlasu musí být předložena jasně a srozumitelně, subjekt údajů musí mít právo svůj souhlas kdykoli odvolat a při posuzování toho, zda je souhlas svobodný, musí být zohledněna skutečnost, zda je plnění smlouvy podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné. Podle článku 8 britského nařízení GDPR je navíc v souvislosti s poskytováním služeb informační společnosti souhlas dítěte zákonný pouze v případě, že je dítě ve věku nejméně 13 let. To splňuje věkové rozmezí stanovené v článku 8 nařízení (EU) 2016/679.

(27)

Pokud se zpracovávají „zvláštní kategorie“ údajů, měly by existovat zvláštní záruky.

(28)

Britské nařízení GDPR a zákon o ochraně údajů z roku 2018 obsahují konkrétní pravidla týkající se zpracování zvláštních kategorií osobních údajů, které jsou v čl. 9 odst. 1 britského nařízení GDPR definovány stejným způsobem jako v nařízení (EU) 2016/679 (viz 23. bod odůvodnění výše). Podle článku 9 britského nařízení GDPR je zpracování zvláštních kategorií údajů v zásadě zakázáno, pokud se nepoužije zvláštní výjimka.

(29)

Tyto výjimky (vyjmenované v čl. 9 odst. 2 a 3 britského nařízení GDPR) neznamenají žádné podstatné změny oproti čl. 9 odst. 2 a 3 nařízení (EU) 2016/679. Pokud subjekt údajů neudělil výslovný souhlas se zpracováním těchto osobních údajů, je zpracování zvláštních kategorií osobních údajů povoleno pouze za konkrétních a omezených okolností. Zpracování citlivých údajů musí být ve většině případů nezbytné pro konkrétní účel vymezený v příslušném ustanovení (viz čl. 9 odst. 2 písm. b), c), f), g), h), i) a j)).

(30)

Kromě toho, pokud výjimka podle čl. 9 odst. 2 britského nařízení GDPR vyžaduje zmocnění ze zákona nebo odkazuje na veřejný zájem, článek 10 zákona o ochraně údajů z roku 2018 společně s přílohou 1 tohoto zákona blíže specifikuje podmínky, které musí být splněny, aby bylo možné výjimek využít. Například v případě zpracování citlivých údajů za účelem ochrany „veřejného zdraví“ (čl. 9 odst. 2 písm. i) britského nařízení GDPR) ustanovení čl. 3 písm. b) části 1 přílohy 1 vyžaduje, aby kromě splnění testu nezbytnosti bylo takové zpracování prováděno „zdravotnickým pracovníkem nebo na jeho odpovědnost“ nebo „jinou osobou, která je vázána povinností mlčenlivosti na základě právního předpisu nebo v rámci právního státu“, a to včetně řádně zavedené povinnosti mlčenlivosti podle zvykového práva.

(31)

Pokud jsou citlivé údaje zpracovávány z důvodu významného veřejného zájmu (čl. 9 odst. 2 písm. g) britského nařízení GDPR), část 2 přílohy 1 zákona o ochraně údajů z roku 2018 uvádí úplný seznam účelů, které lze považovat za podstatný veřejný zájem, a pro každý z těchto účelů stanoví zvláštní dodatečné podmínky. Za významný veřejný zájem je například považováno prosazování rasové a etnické rozmanitosti na vyšších úrovních struktury organizací. Zpracování citlivých údajů pro tento zvláštní účel podléhá podrobným požadavkům, včetně toho, že je prováděno v rámci postupu identifikace osob vhodných k zastávání vyšších funkcí, je nezbytné k prosazování rasové a etnické rozmanitosti a není pravděpodobné, že by subjektu údajů způsobilo podstatnou újmu nebo tíseň.

(32)

Ustanovení čl. 11 odst. 1 zákona o ochraně údajů z roku 2018 stanoví podmínky pro zpracování osobních údajů za okolností popsaných v čl. 9 odst. 3 britského nařízení GDPR v souvislosti s povinností mlčenlivosti. To zahrnuje situace, kdy je zpracování prováděno zdravotnickým nebo sociálním pracovníkem nebo na jeho odpovědnost nebo jinou osobou, která je za daných okolností vázána povinností mlčenlivosti ze zákona nebo v rámci právního státu.

(33)

Kromě toho použití mnoha výjimek vyjmenovaných v čl. 9 odst. 2 britského nařízení GDPR vyžaduje zvláštní a vhodné záruky. V závislosti na povaze zpracování a míře rizika z hlediska práv a svobod subjektů údajů stanoví podmínky zpracování uvedené v příloze 1 zákona o ochraně údajů z roku 2018 různé záruky. Příloha 1 pak stanoví podmínky pro každou situaci zpracování.

(34)

V některých případech zákon o ochraně údajů z roku 2018 upravuje a omezuje druh citlivých údajů, které lze zpracovávat pro účely dodržení konkrétního právního základu. Například článek 8 přílohy 1 povoluje zpracování citlivých údajů za účelem prosazování rovnosti příležitostí nebo zacházení. Tuto podmínku zpracování lze použít pouze v případě, že údaje vypovídají o rasovém či etnickém původu, náboženském vyznání či filozofickém přesvědčení, sexuální orientaci nebo se jedná o údaje o zdravotním stavu.

(35)

V některých případech zákon o ochraně údajů z roku 2018 omezuje druh správce údajů, který může podmínky zpracování využít. Například článek 23 přílohy 1 upravuje zpracování citlivých údajů v souvislosti s odpověďmi volených zástupců veřejnosti. Tuto podmínku zpracování lze použít pouze v případě, že správcem je volený zástupce nebo správce jedná z jeho pověření.

(36)

V některých jiných případech zákon o ochraně údajů z roku 2018 pro možnost použití podmínky zpracování stanoví meze kategorií subjektu údajů. Například článek 21 příloha 1 reguluje zpracování citlivých údajů pro systémy zaměstnaneckého penzijního pojištění. Tuto podmínku lze použít pouze v případě, že dotyčným subjektem údajů je sourozenec, rodič, prarodič nebo praprarodič účastníka systému.

(37)

Při využití výjimek podle čl. 9 odst. 2 britského nařízení GDPR, které jsou dále upřesněny v článku 10 zákona o ochraně údajů z roku 2018 a jeho příloze 1, je správce ve většině případů povinen vypracovat „dokument o vhodné politice“. Ten musí vymezovat postupy správce pro zajištění souladu se zásadami uvedenými v článku 5 britského nařízení GDPR. Musí také stanovit koncepce pro uchovávání a výmaz uvedením pravděpodobné doby uchovávání. Správci musí tento dokument podle potřeby revidovat a aktualizovat. Správce musí koncepční dokument uchovávat po dobu šesti měsíců po dokončení zpracování a na požádání jej musí zpřístupnit komisaři pro informace (41).

(38)

Podle článku 41 přílohy 1 zákona o ochraně údajů z roku 2018 musí být ke koncepčnímu dokumentu vždy přiložen rozšířený záznam o zpracování. Tento záznam musí sledovat závazky obsažené v koncepčním dokumentu, tj. zda jsou údaje mazány nebo uchovávány v souladu s koncepcí. Pokud koncepce není dodržena, musí protokol zaznamenat příslušné důvody. Záznam musí také popisovat, jak zpracování splňuje článek 6 britského nařízení GDPR (zákonnost zpracování) a uplatněnou zvláštní podmínku v příloze 1 zákona o ochraně údajů z roku 2018.

(39)

A v neposlední řadě britské nařízení GDPR stejně jako nařízení (EU) 2016/679 poskytuje obecné záruky pro určité operace zpracování zvláštních kategorií údajů. Článek 35 britského nařízení GDPR vyžaduje posouzení vlivu na ochranu osobních údajů, pokud jsou zvláštní kategorie údajů zpracovávány ve velkém rozsahu. Podle článku 37 britského nařízení GDPR musí správce nebo zpracovatel jmenovat pověřence pro ochranu osobních údajů, pokud jeho hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií údajů.

(40)

Pokud jde o osobní údaje týkající se rozsudků v trestních věcech a trestných činů, článek 10 britského nařízení GDPR je totožný s článkem 10 nařízení (EU) 2016/679. Povoluje zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů pouze pod dozorem orgánu veřejné moci nebo jestliže je oprávněné podle vnitrostátního práva poskytujícího vhodné záruky, pokud jde o práva a svobody subjektů údajů.

(41)

Pokud zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů neprobíhá pod dozorem orgánu veřejné moci, čl. 10 odst. 5 zákona o ochraně údajů z roku 2018 stanoví, že toto zpracování může probíhat pouze pro konkrétní účely / v konkrétních situacích stanovených v částech 1, 2 a 3 přílohy 1 zákona o ochraně údajů z roku 2018 a podléhá zvláštním požadavkům, které jsou stanoveny pro každý z těchto účelů / každou z těchto situací. Například údaje týkající se rozsudků v trestních věcech mohou zpracovávat neziskové subjekty, pokud a) zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, a b) za podmínky i) že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a ii) že tyto osobní údaje nejsou bez souhlasu subjektů údajů zpřístupňovány mimo tento subjekt.

(42)

Kromě toho část 3 přílohy 1 zákona o ochraně údajů z roku 2018 vymezuje další okolnosti, za nichž lze použít údaje týkající se rozsudků v trestních věcech, které odpovídají právním důvodům pro zpracování citlivých údajů podle čl. 9 odst. 2 nařízení (EU) 2016/679 a britského nařízení GDPR (např. souhlas subjektu údajů, životně důležité zájmy jednotlivce, pokud subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas, pokud již subjekt údajů údaje zjevně zveřejnil, pokud je zpracování nezbytné pro určení, výkon nebo obhajobu právního nároku atd.).

(43)

Osobní údaje by měly být zpracovávány za konkrétním účelem a následně používány, pouze pokud to není neslučitelné s účelem zpracování.

(44)

Tuto zásadu stanoví čl. 5 odst. 1 písm. b) nařízení (EU) 2016/679 a beze změn ji zachovává čl. 5 odst. 1 písm. b) britského nařízení GDPR. Podmínky dalšího slučitelného zpracování podle čl. 6 odst. 4 nařízení (EU) 2016/679 jsou rovněž bez podstatných úprav zachovány v čl. 6 odst. 4 písm. a) až e) britského nařízení GDPR.

(45)

Údaje by navíc měly být přesné a v případě potřeby aktualizované. Měly by být také přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelům, pro které jsou zpracovávány, a v zásadě by se neměly uchovávat déle, než je nezbytné pro účely, k nimž jsou dané osobní údaje zpracovávány.

(46)

Tyto zásady minimalizace údajů, přesnosti a omezení uložení vymezuje čl. 5 odst. 1 písm. c) až e) nařízení (EU) 2016/679 a beze změn je zachovává čl. 5 odst. 1 písm. c) až e) britského nařízení GDPR.

(47)

Osobní údaje by také měly být zpracovávány způsobem, který zajišťuje jejich zabezpečení, včetně ochrany před neoprávněným nebo protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Za tímto účelem by podnikatelské subjekty měly přijmout vhodná technická nebo organizační opatření na ochranu osobních údajů před možnými hrozbami. Tato opatření by měla být posuzována s přihlédnutím ke stavu techniky a k souvisejícím nákladům.

(48)

Zabezpečení údajů je v právu Spojeného království zakotveno prostřednictvím zásady celistvosti a důvěrnosti v čl. 5 odst. 1 písm. f) britského nařízení GDPR a v článku 32 britského nařízení GDPR, který se týká zabezpečení zpracování. Tato ustanovení jsou totožná s příslušnými ustanoveními nařízení (EU) 2016/679. Navíc britské nařízení GDPR vyžaduje za stejných podmínek, jaké jsou stanoveny v článcích 33 a 34 nařízení (EU) 2016/679, ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu (článek 33 britského nařízení GDPR) a oznamování případů porušení zabezpečení osobních údajů subjektu údajů (článek 34 britského nařízení GDPR).

(49)

Subjekty údajů by měly být informovány o hlavních znacích zpracování jejich osobních údajů.

(50)

To zajišťují články 13 a 14 britského nařízení GDPR, které kromě obecné zásady transparentnosti stanoví pravidla týkající se informací, které mají být poskytovány subjektu údajů (42). Britské nařízení GDPR nezavádí žádné podstatné úpravy těchto pravidel ve srovnání s odpovídajícími články nařízení (EU) 2016/679. Stejně jako v nařízení (EU) 2016/679 však požadavky těchto článků týkající se transparentnosti podléhají několika výjimkám stanoveným v zákoně o ochraně údajů z roku 2018 (viz 55. až 72. bod odůvodnění).

(51)

Subjekty údajů by měly mít určitá práva, která lze vůči správci nebo zpracovateli vymáhat, zejména právo na přístup k údajům, právo vznést námitku proti zpracování a právo na opravu a výmaz údajů. Tato práva mohou zároveň podléhat omezením, pokud jsou tato omezení nezbytná a přiměřená k zajištění veřejné bezpečnosti nebo jiných důležitých cílů obecného veřejného zájmu.

(52)

Britské nařízení GDPR uděluje jednotlivcům stejná vymahatelná práva jako nařízení (EU) 2016/679. Ustanovení, z nichž vyplývají práva jednotlivců, jsou v britském nařízení GDPR zachována bez podstatných změn.

(53)

Tato práva zahrnují právo subjektu údajů na přístup k osobním údajům (článek 15 britského nařízení GDPR), právo na opravu (článek 16 britského nařízení GDPR), právo na výmaz (článek 17 britského nařízení GDPR), právo na omezení zpracování (článek 18 britského nařízení GDPR), oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování (článek 19 britského nařízení GDPR), právo na přenositelnost údajů (článek 20 britského nařízení GDPR) a právo vznést námitku (článek 21 britského nařízení GDPR) (43). Poslední zmíněný článek obsahuje i právo subjektu údajů vznést námitku vůči zpracování osobních údajů pro účely přímého marketingu, které stanoví čl. 21 odst. 2 a 3 nařízení (EU) 2016/679. Podle článku 122 zákona o ochraně údajů z roku 2018 musí komisař pro informace vypracovat kodex zásad týkající se provádění přímého marketingu v souladu s požadavky právních předpisů v oblasti ochrany údajů (a nařízení o ochraně soukromí a elektronických komunikacích (směrnice ES) z roku 2003) a další pokyny k podpoře správné praxe v oblasti přímého marketingu, které bude komisař považovat za vhodné. Úřad komisaře pro informace v současné době připravuje kodex přímého marketingu (44).

(54)

Právo subjektu údajů nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, které má pro subjekt údajů právní účinky nebo se ho obdobným způsobem významně dotýká, jak je stanoveno v článku 22 obecného nařízení o ochraně osobních údajů, je bez podstatných změn zachováno i v britském nařízení GDPR. Byl však doplněn nový odstavec 3A, který uvádí, že článek 14 zákona o ochraně údajů z roku 2018 stanoví záruky pro práva, svobody a oprávněné zájmy subjektů údajů, pokud je zpracování prováděno podle čl. 22 odst. 2 písm. b) britského nařízení GDPR. Toto ustanovení platí pouze v případě, že základem takového rozhodnutí je povolení nebo požadavek podle práva Spojeného království, a nepoužije se v případech, kdy je rozhodnutí nezbytné na základě smlouvy nebo je učiněno s výslovným souhlasem subjektu údajů. Použije-li se článek 14 zákona o ochraně údajů z roku 2018, musí správce, jakmile je to přiměřeně proveditelné, písemně oznámit subjektu údajů, že bylo přijato rozhodnutí založené výhradně na automatizovaném zpracování. Subjekt údajů má právo požadovat, aby správce (do jednoho měsíce od obdržení oznámení) rozhodnutí znovu zvážil nebo aby přijal nové rozhodnutí, které nebude založeno výhradně na automatizovaném zpracování. Ministr je zmocněn přijmout další ochranná opatření, pokud jde o automatizované rozhodování. Tato pravomoc dosud nebyla využita.

(55)

Zákon o ochraně údajů z roku 2018 stanoví několik omezení individuálních práv, která odpovídají rámci článku 23 britského nařízení GDPR. V tomto rámci nejsou zavedena žádná omezení týkající se práva vznést námitku vůči přímému marketingu podle čl. 21 odst. 2 a 3 britského nařízení GDPR nebo práva nebýt předmětem automatizovaného rozhodování podle článku 22 britského nařízení GDPR.

(56)

Omezení jsou upřesněna v přílohách 2–4 zákona o ochraně údajů z roku 2018. Orgány Spojeného království vysvětlily, že se řídí dvěma zásadami: zásadou specifičnosti (uplatnění podrobného přístupu, rozdělení obecných omezení na více specifičtějších ustanovení) a zásadou podmíněnosti (každé ustanovení je doplněno zárukami v podobě omezení nebo podmínek zabraňujících zneužívání) (45).

(57)

Omezení popsaná v čl. 23 odst. 1 britského nařízení GDPR jsou formulována tak, aby bylo zajištěno jejich použití pouze za vymezených okolností, jsou-li v demokratické společnosti nutná, a jsou přiměřená sledovanému legitimnímu cíli. V souladu s ustálenou judikaturou týkající se výkladu omezení lze výjimku z režimu ochrany údajů použít v každém konkrétním případě pouze tehdy, je-li to nezbytné a přiměřené (46). Test nezbytnosti musí být „přísný a musí vyžadovat, aby jakýkoli zásah do práv subjektu údajů byl úměrný závažnosti ohrožení veřejného zájmu. Zahrnuje proto klasickou analýzu proporcionality“ (47).

(58)

Cíle sledované těmito omezeními odpovídají cílům uvedeným v článku 23 nařízení (EU) 2016/679, s výjimkou omezení týkajících se národní bezpečnosti a obrany, která jsou upravena v článku 26 zákona o ochraně údajů z roku 2018, ale podléhají stejným požadavkům na nezbytnost a přiměřenost (viz 63. až 66. bod odůvodnění).

(59)

Některá omezení, například ta, která se týkají prevence nebo odhalování trestné činnosti, zadržování nebo trestního stíhání pachatelů a vyměřování nebo výběru daní či cel (48), umožňují omezení veškerých individuálních práv a povinností transparentnosti (vyjma práv podle čl. 21 odst. 2 a článku 22). Rozsah dalších omezení se omezuje na povinnosti transparentnosti a práva na přístup, například omezení týkající se povinnosti mlčenlivosti advokáta (49), práva na osvobození od požadavku poskytovat informace k vlastnímu neprospěchu (50) a financování společností, zejména prevence obchodování zasvěcených osob (51). Malý počet omezení umožňuje omezit povinnost správce oznámit subjektu údajů porušení zabezpečení údajů a zásady účelového omezení a zákonnosti, korektnosti a transparentnosti zpracování (52).

(60)

Některá omezení se na určitý druh zpracování osobních údajů vztahují automaticky „v plném rozsahu“ (uplatnění povinností transparentnosti a individuálních práv je například vyloučeno při zpracování osobních údajů za účelem posouzení vhodnosti osoby pro soudní funkci nebo pro zpracování údajů soudem, tribunálem nebo jednotlivcem, který jedná v rámci soudních pravomocí).

(61)

Ve většině případů však příslušný bod přílohy 2 zákona o ochraně údajů z roku 2018 stanoví, že omezení se použije pouze tehdy (a do té míry), pokud by použití ustanovení „pravděpodobně bylo na újmu“ sledovaného legitimního cíle tohoto omezení: například uvedená ustanovení britského nařízení GDPR se nepoužijí na osobní údaje zpracovávané za účelem prevence nebo odhalování trestné činnosti, zadržení nebo trestního stíhání pachatelů nebo vyměření či výběru daní nebo cel „v rozsahu, v jakém by použití těchto ustanovení pravděpodobně bylo na újmu“ kterékoli z uvedených záležitostí (53).

(62)

Standardní formulaci „by pravděpodobně bylo na újmu“ soudy ve Spojeném království důsledně vykládají ve smyslu „velmi významné a závažné možnosti újmy na určených veřejných zájmech“ (54). Omezení, které podléhá testu újmy, se tedy lze dovolávat pouze v případě, že existuje velmi významná a závažná možnost, že by přiznání určitého práva ohrozilo dotčený veřejný zájem, a to v rozsahu, v jakém uvedená možnost existuje. Správce je povinen v každém jednotlivém případě posoudit, zda jsou tyto podmínky splněny (55).

(63)

Vedle omezení uvedených v příloze 2 zákona o ochraně údajů z roku 2018 stanoví článek 26 zákona o ochraně údajů z roku 2018 výjimku, kterou lze použít u určitých ustanovení britského nařízení GDPR a zákona o ochraně údajů z roku 2018, je-li tato výjimka nutná pro účely ochrany národní bezpečnosti nebo pro účely obrany. Tato výjimka se použije na zásady ochrany údajů (vyjma zásady zákonnosti), povinnosti transparentnosti, práva subjektu údajů, povinnost oznámit porušení zabezpečení údajů, pravidla pro mezinárodní předávání, některé povinnosti a pravomoci komisaře pro informace a pravidla o právní ochraně, odpovědnosti a sankcích, s výjimkou ustanovení o obecných podmínkách pro ukládání správních pokut stanovených v článku 83 britského GDPR a ustanovení o sankcích v článku 84 britského nařízení GDPR. Ustanovení článku 28 zákona o ochraně údajů z roku 2018 navíc upravuje použití čl. 9 odst. 1 tak, aby umožnil zpracování zvláštních kategorií údajů podle čl. 9 odst. 1 britského nařízení GDPR, pokud je zpracování prováděno z důvodu ochrany národní bezpečnosti nebo pro účely obrany, a to s příslušnými zárukami týkajícími se práv a svobod subjektů údajů (56).

(64)

Výjimku lze použít pouze v případě, že je to nezbytné k zajištění národní bezpečnosti nebo obrany. Stejně jako v případě ostatních výjimek stanovených zákonem o ochraně údajů z roku 2018 musí správce údajů výjimku posoudit a použít případ od případu. Jakékoli použití výjimky musí být navíc v souladu se standardy lidských práv (podle zákona o lidských právech z roku 1998), podle nichž by jakýkoli zásah do práv na soukromí měl být v demokratické společnosti nezbytný a přiměřený (57).

(65)

Tento výklad výjimky potvrzuje Úřad komisaře pro informace, který vydal podrobné pokyny k používání výjimky z důvodu národní bezpečnosti a obrany a objasnil, že správce musí výjimku posoudit a použít případ od případu (58). Pokyny zejména zdůrazňují, že „[n]ejde o plošnou výjimku“ a že pro její použití „nestačí, aby byly údaje zpracovávány pro účely národní bezpečnosti“. Správce, který výjimku využívá, musí naopak „prokázat, že existuje reálná možnost nepříznivého dopadu na národní bezpečnost“, a v případě potřeby se od něj očekává, že „poskytne [Úřadu komisaře pro informace] důkazy o důvodech, proč tuto výjimku použil“. Pokyny obsahují kontrolní seznam a řadu příkladů k dalšímu objasnění podmínek, za nichž se lze této výjimky dovolávat.

(66)

Skutečnost, že jsou údaje zpracovávány pro účely národní bezpečnosti nebo obrany, proto sama o sobě pro použití výjimky nestačí. Správce musí posoudit, jaké by byly skutečné důsledky pro národní bezpečnost, pokud by musel dodržet konkrétní ustanovení o ochraně údajů. Výjimku lze použít pouze na ta konkrétní ustanovení, u nichž bylo zjištěno, že představují riziko, a musí být uplatňována v co nejomezenější míře (59).

(67)

Tento přístup potvrdil Tribunál pro informace (60). Ve věci Baker v Secretary of State for the Home Department (dále jen „rozsudek ve věci Baker v Secretary of State“) dospěl k závěru, že bylo nezákonné použít výjimku z důvodu národní bezpečnosti jako plošnou výjimku pro přístup k žádostem přijatým zpravodajskými službami. Namísto toho bylo nutné používat výjimku individuálně, na základě posouzení každé žádosti z hlediska její podstaty a s ohledem na právo jednotlivců na respektování jejich soukromého života (61).

(68)

Ustanovení čl. 85 odst. 2 britského nařízení GDPR umožňuje přijmout ustanovení o vynětí osobních údajů zpracovávaných pro novinářské, umělecké, akademické a literární účely z působnosti několika ustanovení britského nařízení GDPR. Výjimky pro zpracování za uvedenými účely uvádí část 5 přílohy 2 zákona o ochraně údajů z roku 2018. Stanoví výjimky ze zásad ochrany údajů (vyjma zásady integrity a důvěrnosti), právní důvody zpracování (včetně zvláštních kategorií údajů a údajů týkajících se rozsudků v trestních věcech atd.), podmínky souhlasu, povinnosti transparentnosti, práva subjektů údajů, povinnost oznamovat případy porušení zabezpečení údajů, požadavek konzultovat s komisařem pro informace před vysoce rizikovým zpracováním a pravidla pro mezinárodní předávání údajů (62). V tomto ohledu se britské nařízení GDPR významně neodchyluje od nařízení (EU) 2016/679, které ve svém článku 85 rovněž stanoví možnost vyjmout zpracování prováděné pro novinářské účely a pro účely akademického, uměleckého či literárního projevu z řady požadavků nařízení (EU) 2016/679. Ustanovení zákona o ochraně údajů z roku 2018, jmenovitě části 5 přílohy 2, jsou slučitelná s britským nařízením GDPR.

(69)

Základní vyvažování, které má být provedeno podle článku 85 britského nařízení GDPR, se týká toho, zda je výjimka z pravidel ochrany údajů uvedená v 68. bodě odůvodnění „nutná k uvedení práva na ochranu osobních údajů do souladu se svobodou projevu a informací“ (63). Podle bodu 26 odst. 2 a 3 přílohy 2 zákona o ochraně údajů z roku 2018 Spojené království za účelem dosažení této vyváženosti uplatňuje test „důvodné domněnky“. Aby byla výjimka odůvodněná, musí se správce důvodně domnívat, i) že zveřejnění je ve veřejném zájmu a ii) že použití příslušného ustanovení nařízení GDPR by bylo neslučitelné s novinářskými, akademickými, uměleckými nebo literárními účely. Jak potvrzuje judikatura (64), test „důvodné domněnky“ obsahuje subjektivní i objektivní prvek: nestačí, aby správce prokázal, že byl sám přesvědčen, že dodržet ustanovení je neslučitelné s výše uvedenými účely. Jeho domněnka musí být důvodná, tj. taková, aby o ní mohla být přesvědčena rozumná osoba obeznámená s relevantními skutečnostmi. Správce proto musí při formování své domněnky postupovat s náležitou péčí, aby mohl prokázat její důvodnost. Podle vysvětlení poskytnutých orgány Spojeného království musí být test „důvodné domněnky“ uplatněn u každé jednotlivé výjimky (65). Jsou-li podmínky splněny, považuje se výjimka podle právních předpisů Spojeného království za nezbytnou a přiměřenou.

(70)

Podle článku 124 zákona o ochraně údajů z roku 2018 musí Úřad komisaře pro informace vypracovat kodex zásad v oblasti ochrany údajů a žurnalistiky. Práce na tomto kodexu pokračují. V této záležitosti byly vydány pokyny podle zákona o ochraně údajů z roku 1998, které zejména zdůrazňují, že k využití této výjimky nestačí pouze konstatovat, že dodržení ustanovení by pro novinářskou činnost znamenalo komplikace, ale musí existovat jasný argument, že dotčené ustanovení představuje překážku odpovědné žurnalistiky (66). Pokyny k uplatnění testu veřejného zájmu a vyvážení veřejného zájmu vůči zájmu jednotlivce na ochraně soukromí publikovaly i britský regulační úřad pro telekomunikace OFCOM a společnost BBC ve svých redakčních pokynech (67). Tyto pokyny zejména uvádějí příklady informací, které lze považovat za informace ve veřejném zájmu, a vysvětlují nutnost schopnosti prokázat, že veřejný zájem za konkrétních okolností daného případu převažuje nad právy na soukromí.

(71)

Po vzoru ustanovení článku 89 nařízení GDPR mohou být z řady vyjmenovaných ustanovení britského nařízení GDPR vyňaty i osobní údaje zpracovávané pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely (68). Pokud jde o výzkum a statistiku, jsou možné výjimky z ustanovení britského nařízení GDPR týkající se potvrzení zpracování, přístupu k údajům a záruk za předání do třetích zemí; práva na opravu; omezení zpracování a námitky vůči zpracování. Pokud jde o archivaci ve veřejném zájmu, jsou možné výjimky také z oznamovací povinnosti ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování a z práva na přenositelnost údajů.

(72)

Podle bodu 27 odst. 1 a bodu 28 odst. 1 přílohy 2 zákona o ochraně údajů z roku 2018 jsou výjimky z vyjmenovaných ustanovení britského nařízení GDPR možné, pokud by použití ustanovení „znemožnilo nebo vážně narušilo splnění“ dotčených účelů (69).

(73)

Vzhledem k jejich významu pro účinný výkon práv jednotlivce bude jakýkoli relevantní vývoj týkající se výkladu a používání výše uvedených výjimek v praxi (kromě výjimky týkající se zachování účinné kontroly imigrace, jak je vysvětlena v 6. bodě odůvodnění) včetně případného dalšího vývoje judikatury a pokynů Úřadu komisaře pro informace a donucovacích opatření, náležitě zohledněn v rámci nepřetržitého sledování tohoto rozhodnutí (70).

(74)

Úroveň ochrany osobních údajů předávaných z Evropské unie správcům nebo zpracovatelům ve Spojeném království nesmí být oslabena dalším předáváním těchto údajů příjemcům ve třetí zemi. Taková „další předání“, která z pohledu správce nebo zpracovatele ve Spojeném království představují mezinárodní předání ze Spojeného království, by měla být povolena pouze tehdy, pokud další příjemce mimo Spojené království sám podléhá pravidlům, která zajišťují úroveň ochrany obdobnou té, která je zaručena v právním řádu Spojeného království. Z tohoto důvodu je použití pravidel britského nařízení GDPR a zákona o ochraně údajů z roku 2018 pro mezinárodní předávání osobních údajů důležitým faktorem k zajištění kontinuity ochrany v případě osobních údajů předávaných z Evropské unie do Spojeného království podle tohoto rozhodnutí.

(75)

Režim mezinárodního předávání osobních údajů ze Spojeného království je stanoven v článcích 44–49 britského nařízení GDPR doplněných zákonem o ochraně údajů z roku 2018 a je v podstatě totožný s pravidly stanovenými v kapitole V nařízení (EU) 2016/679 (71). Předávání osobních údajů do třetí země nebo mezinárodní organizaci může probíhat pouze na základě nařízení o odpovídající ochraně (britský ekvivalent rozhodnutí o odpovídající ochraně podle nařízení (EU) 2016/679), nebo pokud nařízení o odpovídající ochraně neexistuje, jestliže správce nebo zpracovatel poskytl vhodné záruky v souladu s článkem 46 britského nařízení GDPR. Pokud nařízení o odpovídající ochraně nebo vhodné záruky neexistují, lze předání provést pouze na základě výjimek stanovených v článku 49 britského nařízení GDPR.

(76)

Nařízení o odpovídající ochraně vydaná ministrem mohou stanovit, že určitá třetí země (nebo území nebo odvětví ve třetí zemi), mezinárodní organizace nebo postavení (72) takové země, území, odvětví nebo organizace zajišťuje odpovídající úroveň ochrany osobních údajů. Při posuzování odpovídající úrovně ochrany musí ministr zohlednit naprosto tytéž aspekty, jaké má posoudit Komise podle čl. 45 odst. 2 písm. a) až c) nařízení (EU) 2016/679 vykládaného společně se 104. bodem odůvodnění nařízení (EU) 2016/679 a ponechanou judikaturou EU. To znamená, že při posuzování odpovídající úrovně ochrany ve třetí zemi bude příslušným standardem to, zda dotyčná třetí země zajišťuje úroveň ochrany „v zásadě rovnocennou“ úrovni ochrany zajištěné ve Spojeném království.

(77)

Pokud jde o postup, na nařízení o odpovídající ochraně se vztahují „obecné“ procedurální náležitosti stanovené v článku 182 zákona o ochraně údajů z roku 2018. V rámci tohoto postupu musí ministr při navrhování přijetí britských nařízení o odpovídající ochraně Spojeného království konzultovat komisaře pro informace (73). Jakmile ministr nařízení přijme, jsou předložena parlamentu Spojeného království a podléhají postupu „zamítavého rozhodnutí“, v němž mohou obě komory parlamentu tato nařízení přezkoumat a podat návrh na zrušení těchto nařízení ve lhůtě 40 dnů (74).

(78)

Podle čl. 17B odst. 1 zákona o ochraně údajů z roku 2018 musí být nařízení o odpovídající ochraně přezkoumávána v nejvýše čtyřletých intervalech a ministr musí průběžně sledovat vývoj ve třetích zemích a mezinárodních organizacích, který by mohl ovlivnit rozhodnutí vydat nařízení o odpovídající ochraně nebo tato nařízení pozměnit či zrušit. Pokud ministr zjistí, že určitá země nebo organizace již nezajišťuje odpovídající úroveň ochrany osobních údajů, musí v nezbytném rozsahu nařízení změnit nebo zrušit a zahájit konzultace s dotčenou třetí zemí nebo mezinárodní organizací ohledně nápravy nedostatečné úrovně ochrany. Tyto procedurální aspekty jsou rovněž odrazem odpovídajících požadavků nařízení (EU) 2016/679.

(79)

Pokud neexistují nařízení o odpovídající ochraně, lze mezinárodní předání provést, pokud správce nebo zpracovatel poskytl vhodné záruky v souladu s článkem 46 britského nařízení GDPR. Tyto záruky jsou obdobné jako záruky podle článku 46 nařízení (EU) 2016/679. Zahrnují právně závazné a vymahatelné nástroje mezi orgány veřejné moci nebo veřejnými subjekty, závazná podniková pravidla (75), standardní doložky o ochraně údajů, schválené kodexy chování, schválené mechanismy pro vydání osvědčení a se souhlasem komisaře pro informace smluvní doložky mezi správci (nebo zpracovateli) nebo správní ujednání mezi orgány veřejné moci. Pravidla však byla z procesního hlediska upravena tak, aby fungovala v rámci Spojeného království, zejména standardní doložky o ochraně údajů může přijmout ministr (článek 17C) nebo komisař pro informace (článek 119A) v souladu se zákonem o ochraně údajů z roku 2018.

(80)

Pokud neexistuje rozhodnutí o odpovídající ochraně nebo vhodné záruky, lze předání provést pouze na základě výjimek stanovených v článku 49 britského nařízení GDPR (76). Britské nařízení GDPR nezavádí žádné podstatné změny těchto pravidel ve srovnání s odpovídajícími pravidly nařízení (EU) 2016/679. Podle britského nařízení GDPR lze stejně jako podle nařízení (EU) 2016/679 některé výjimky využít pouze za předpokladu, že předání je příležitostné (77). Kromě toho Úřad komisaře pro informace ve svých pokynech k mezinárodním předáním vysvětluje: „Měli byste je používat pouze jako skutečné „výjimky“ z obecného pravidla, podle kterého byste neměli provádět omezená předání, pokud se na ně nevztahuje rozhodnutí o odpovídající ochraně nebo pokud neexistují vhodné záruky“ (78). Pokud jde o předání, která jsou nezbytná z důležitých důvodů veřejného zájmu (čl. 49 odst. 1 písm. d), může ministr vydat nařízení, která stanoví okolnosti, za nichž předání osobních údajů do třetí země nebo mezinárodní organizaci z důležitých důvodů veřejného zájmu není nezbytné. Kromě toho může ministr nařízeními předání určité kategorie osobních údajů do třetí země nebo mezinárodní organizaci omezit, pokud k předání nemůže dojít na základě nařízení o odpovídající ochraně a ministr považuje toto omezení za nezbytné z důležitých důvodů veřejného zájmu. Žádná taková nařízení dosud nebyla přijata.

(81)

Tento rámec pro mezinárodní předání se stal použitelným na konci přechodného období (79). Bod 4 přílohy 21 zákona o ochraně údajů z roku 2018 (zavedený nařízeními v oblasti ochrany údajů a soukromí) však stanoví, že ke konci přechodného období se k určitým předáním osobních údajů přistupuje tak, jako by se opírala o nařízení o odpovídající ochraně. Tato předání zahrnují předání do státu EHP, na území Gibraltaru, do orgánu, instituce, úřadu nebo agentury Unie zřízených Smlouvou o EU nebo na základě Smlouvy o EU a do třetích zemí, na které se na konci tohoto období vztahuje unijní rozhodnutí o odpovídající ochraně. V důsledku toho mohou předávání do těchto zemí pokračovat stejně jako před vystoupením Spojeného království z EU. Po skončení přechodného období musí ministr ve lhůtě čtyř let, tedy do konce prosince 2024, provést přezkum těchto zjištění o odpovídající úrovni ochrany. Podle vysvětlení, které poskytly orgány Spojeného království, ačkoli ministr musí tento přezkum provést do konce prosince 2024, přechodná ustanovení neobsahují ustanovení o „skončení platnosti“ a příslušná přechodná ustanovení automaticky nepřestanou být účinná, pokud přezkum nebude do konce prosince 2024 dokončen.

(82)

A konečně, pokud jde o budoucí vývoj režimu mezinárodního předávání osobních údajů ve Spojeném království (prostřednictvím přijetí nových předpisů o odpovídající ochraně, uzavření mezinárodních dohod nebo zřízení jiných mechanismů předávání), Komise bude situaci pozorně sledovat a posoudí, zda jsou jednotlivé mechanismy předávání osobních údajů používány způsobem, který zajišťuje kontinuitu ochrany, a v případě potřeby přijme vhodná opatření k řešení možných nepříznivých dopadů na tuto kontinuitu (viz 278. až 287. bod odůvodnění). Jelikož EU a Spojené království mají pro mezinárodní předávání osobních údajů podobná pravidla, předpokládá se, že problémovým rozdílům by se dalo předcházet také prostřednictvím spolupráce, výměny informací a sdílení zkušeností, a to i mezi Úřadem komisaře pro informace a Evropským sborem pro ochranu osobních údajů.

(83)

Podle zásady odpovědnosti se od subjektů zpracovávajících údaje vyžaduje zavedení vhodných technických a organizačních opatření, aby mohly účinně plnit své povinnosti v oblasti ochrany údajů a jejich plnění byly schopny prokázat, zejména příslušnému dozorovému úřadu.

(84)

Zásada odpovědnosti stanovená v nařízení (EU) 2016/679 je v čl. 5 odst. 2 britského nařízení GDPR zachována bez podstatných změn a totéž platí pro článek 24 o odpovědnosti správce, článek 25 o záměrné a standardní ochraně osobních údajů a článek 30 o záznamech o činnostech zpracování. Rovněž jsou zachovány články 35 a 36 o posouzení vlivu na ochranu osobních údajů a předchozích konzultacích s dozorovým úřadem. Články 37 až 39 nařízení (EU) 2016/679 o jmenování a úkolech pověřenců pro ochranu osobních údajů jsou v britském GDPR zachovány bez podstatných změn. Kromě toho jsou v britském nařízení GDPR zachována ustanovení článků 40 a 42 nařízení (EU) 2016/679 o kodexech chování a vydávání osvědčení (80).

(85)

Aby se zajistilo, že odpovídající úroveň ochrany údajů je zaručena v praxi, měl by být zřízen nezávislý dozorový úřad oprávněný monitorovat a vymáhat dodržování pravidel v oblasti ochrany údajů. Při plnění svých povinností a výkonu své pravomoci by tento úřad měl jednat zcela nezávisle a nestranně.

(86)

Ve Spojeném království provádí dohled a vymáhání v souvislosti s dodržováním britského nařízení GDPR a zákona o ochraně údajů z roku 2018 komisař pro informace. Komisař pro informace je tzv. výhradní korporace: samostatná právnická osoba, kterou tvoří jedna osoba. Komisaři pro informace je při práci nápomocen úřad. Ke dni 31. března 2020 měl Úřad komisaře pro informace 768 stálých zaměstnanců (81). Sponzorským ministerstvem komisaře pro informace je ministerstvo pro digitální oblast, kulturu, sdělovací prostředky a sport (82).

(87)

Nezávislost komisaře je výslovně stanovena v článku 52 britského nařízení GDPR, který podstatným způsobem nemění čl. 52 odst. 1 až 3 nařízení GDPR. Komisař musí při plnění svých úkolů a výkonu svých pravomocí podle britského nařízení GDPR jednat zcela nezávisle, nesmí podléhat vnějšímu vlivu, ať již přímému, nebo nepřímému, a nesmí od nikoho vyžadovat ani přijímat pokyny. Komisař se rovněž musí zdržet jakéhokoli jednání neslučitelného s jeho funkcí a během svého funkčního období nesmí vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí.

(88)

Podmínky jmenování a odvolání komisaře pro informace jsou stanoveny v příloze 12 zákona o ochraně údajů z roku 2018. Komisaře pro informace jmenuje Její Veličenstvo na doporučení vlády na základě spravedlivého a otevřeného výběrového řízení. Uchazeč musí mít odpovídající kvalifikaci, dovednosti a způsobilost. V souladu s Kodexem pro jmenování do veřejných funkcí (83) sestavuje poradní hodnotící panel seznam kandidátů, kteří pro jmenování přicházejí v úvahu. Nežli ministr pro digitální oblast, kulturu, sdělovací prostředky a sport vydá své konečné rozhodnutí, musí příslušná parlamentní výběrová komise provést prověření před jmenováním. Stanovisko komise se zveřejňuje (84).

(89)

Komisař pro informace vykonává svou funkci po dobu až sedmi let. Jednotlivec nemůže být komisařem pro informace jmenován vícekrát. Komisaře pro informace může z funkce odvolat Její Veličenstvo na návrh (address) obou komor parlamentu Spojeného království (85). Žádné komoře parlamentu Spojeného království nelze předložit žádost o odvolání komisaře pro informace, pokud ministr nepředloží zprávu, v níž uvede, že dle jeho přesvědčení je komisař pro informace vinen závažným pochybením nebo již nesplňuje podmínky požadované pro výkon jeho funkcí (86).

(90)

Financování komisaře pro informace pochází ze tří zdrojů: i) poplatky za ochranu údajů placené správci, které jsou stanoveny v nařízeních ministra (87) (nařízení o ochraně údajů (poplatky a informace) z roku 2018) a představují 85–90 % ročního rozpočtu úřadu (88); ii) podpůrný grant vyplácený vládou komisaři pro informace. Podpůrný grant se používá zejména k financování provozních nákladů komisaře pro informace, pokud jde o úkoly nesouvisející s ochranou údajů (89), a iii) poplatky účtované za služby (90). V současné době nejsou žádné takové poplatky účtovány.

(91)

Obecné funkce komisaře pro informace týkající se zpracování osobních údajů, na které se vztahuje britské nařízení GDPR, jsou stanoveny v článku 57 britského nařízení GDPR, který úzce odráží odpovídající pravidla nařízení (EU) 2016/679. Mezi jeho funkce patří sledování a vymáhání britského nařízení GDPR, zvyšování povědomí veřejnosti, vyřizování stížností podaných subjekty údajů, vedení vyšetřování atd. Kromě toho článek 115 zákona o ochraně údajů z roku 2018 vymezuje další obecné funkce komisaře, k nimž patří povinnost poskytovat poradenství parlamentu Spojeného království, vládě a ostatním orgánům a institucím ohledně legislativních a správních opatření týkajících se ochrany práv a svobod jednotlivců v souvislosti se zpracováním osobních údajů a pravomoc vydávat z vlastního podnětu komisaře nebo na požádání stanoviska pro parlament, vládu nebo jiné instituce a orgány i veřejnost k jakékoli otázce související s ochranou osobních údajů. V zájmu zachování nezávislosti soudnictví není komisař pro informace oprávněn vykonávat své funkce v souvislosti se zpracováním osobních údajů jednotlivcem, který jedná v rámci soudních pravomocí, nebo soudem či tribunálem jednajícím v rámci své soudní pravomoci. Dohled nad soudnictvím však vykonávají specializované úřady (viz 99. až 103. bod odůvodnění.)

(92)

Pravomoci komisaře pro informace stanoví článek 58 britského nařízení GDPR, který nezavádí žádné podstatné změny odpovídajícího článku nařízení (EU) 2016/679. Doplňková pravidla pro výkon těchto pravomocí stanoví zákon o ochraně údajů z roku 2018. Komisař má zejména pravomoc: a) nařídit správci a zpracovateli (a za určitých okolností kterékoli jiné osobě), aby poskytli nezbytné informace, výzvou k podání informací (dále jen „výzva k podání informací“) (91); b) provádět vyšetřování a audity na základě výzvy k posouzení, která může vyžadovat, aby správce nebo zpracovatel komisaři povolil vstoupit do určených prostor, nahlížet do dokumentů nebo zařízení nebo je kontrolovat, vyslechnout osoby zpracovávající osobní údaje jménem správce atd. (dále jen „oznámení o posouzení“) (92); c) získat jiným způsobem přístup k dokumentům atd. správců a zpracovatelů a přístup do jejich prostor v souladu s oddílem 154 zákona o ochraně údajů z roku 2018 (dále jen „pravomoci vstupu a inspekce“); d) vykonávat nápravné pravomoci, a to i formou varování a napomenutí, nebo vydávat příkazy prostřednictvím oznámení o vymáhání, které vyžaduje, aby správci/zpracovatelé provedli určité kroky nebo aby se určitých kroků zdrželi, včetně nařízení správci nebo zpracovateli, aby učinil cokoli podle čl. 58 odst. 2 písm. c) až g) a j) britského nařízení GDPR (dále jen „oznámení o vymáhání“) (93); e) a udělovat správní pokuty formou oznámení o sankci (dále jen „oznámení o sankci“) (94). Posledně jmenované oznámení lze vydat i v případě, že orgán veřejné moci nedodržel ustanovení britského nařízení GDPR (95).

(93)

Politika regulačních opatření Úřadu komisaře pro informace stanoví okolnosti, za kterých bude vydávat výzvu k podání informací, oznámení o posouzení, vymáhání nebo sankci (96). Oznámení o vymáhání vydané v reakci na selhání správce nebo zpracovatele může ukládat pouze požadavky, které komisař považuje za vhodné pro účely nápravy selhání. Oznámení o vymáhání a sankci mohou být správci nebo zpracovateli vydána v souvislosti s porušeními kapitoly II britského nařízení GDPR (zásady zpracování), článků 12–22 (práva subjektu údajů), článků 25–39 (povinnosti správců a zpracovatelů) a články 44–49 (mezinárodní předání) britského nařízení GDPR. Oznámení o vymáhání lze vydat i v případě, že správce nesplnil požadavek uhradit poplatek stanovený v nařízeních vydaných podle článku 137 zákona o ochraně údajů z roku 2018. Kromě toho může být kontrolnímu subjektu podle článku 41 nebo subjektu vydávajícímu osvědčení zasláno oznámení o vymáhání, pokud neplní své povinnosti podle britského nařízení GDPR. Oznámení o sankci lze rovněž vydat vůči osobě, která nesplnila výzvu k podání informací, oznámení o posouzení nebo oznámení o vymáhání.

(94)

Oznámení o sankci vyžaduje, aby daná osoba zaplatila komisaři pro informace částku uvedenou v oznámení. Při rozhodování o tom, zda vůči určité osobě vydat oznámení o sankci, a při určování výše sankce musí komisař pro informace vzít v úvahu záležitosti vyjmenované v čl. 83 odst. 1 a 2 britského nařízení GDPR, které jsou totožné s odpovídajícími pravidly nařízení (EU) 2016/679 (97). Podle čl. 83 odst. 4 a 5 činí maximální výše správních pokut v případě nesplnění povinností stanovených v uvedených ustanoveních 8 700 000 GBP, resp. 17 500 000 GBP. V případě podniku může komisař pro informace ukládat pokuty také jako procento celosvětového ročního obratu, pokud je tato částka vyšší. Stejně jako v rovnocenných ustanoveních nařízení (EU) 2016/679 jsou tyto částky v čl. 83 odst. 4 a 5 stanoveny na 2 %, resp. 4 %. V případě nesplnění výzvy k poskytnutí informací, oznámení o posouzení nebo oznámení o vymáhání je maximální výší pokuty, která může být uložena oznámením o sankci, částka 17 500 000 GBP, nebo v případě podniku 4 % celosvětového ročního obratu, podle toho, která z částek je vyšší.

(95)

Britské nařízení GDPR spolu se zákonem o ochraně údajů z roku 2018 posílilo i další pravomoci komisaře pro informace. Komisař například nyní může prostřednictvím oznámení o posouzení provádět povinné audity ve vztahu ke všem správcům a zpracovatelům, zatímco podle předchozí legislativy, zákona o ochraně údajů z roku 1998, měl komisař tuto pravomoc pouze vůči ústředním vládním institucím a organizacím v oblasti zdravotnictví a ostatní subjekty musely s auditem vyslovit souhlas.

(96)

Od zavedení nařízení (EU) 2016/679 vyřizuje Úřad komisaře pro informace přibližně 40 000 stížností subjektů údajů ročně (98) a kromě toho provádí přibližně 2 000 šetření z moci úřední (99). Většina stížností se týká práv přístupu k údajům a zveřejňování údajů. Po svém šetření přijímá komisař donucovací opatření v široké škále odvětví. Přesněji řečeno, podle poslední výroční zprávy Úřadu komisaře pro informace (2019–2020) (100) vydala stávající komisařka během sledovaného období 54 výzev k podání informací, osm oznámení o posouzení, sedm oznámení o vymáhání, čtyři výstrahy, osm návrhů na zahájení trestního stíhání a patnáct pokut (101).

(97)

To zahrnuje několik významných peněžních pokut uložených podle nařízení (EU) 2016/679 a zákona o ochraně údajů z roku 2018. Zejména stávající komisařka pro informace v říjnu 2020 uložila britské letecké společnosti pokutu ve výši 20 milionů GBP za porušení zabezpečení osobních údajů, které se dotklo více než 400 000 zákazníků. Na konci října 2020 byla mezinárodnímu hotelovému řetězci uložena pokuta ve výši 18,4 milionu GBP za to, že nezajistil bezpečnost osobních údajů milionů zákazníků, a v listopadu 2020 britský poskytovatel služeb prodávající na internetu lístky na akce dostal pokutu ve výši 1,25 milionu GBP za to, že nechránil platební údaje zákazníků (102).

(98)

Kromě donucovacích pravomocí komisaře pro informace popsaných v 92. bodě odůvodnění představují určitá porušení právních předpisů v oblasti ochrany údajů trestné činy, a proto mohou podléhat trestním sankcím (článek 196 zákona o ochraně údajů z roku 2018). Týká se to například vědomého nebo bezohledného získávání nebo zpřístupňování osobních údajů bez souhlasu správce, zajišťování zpřístupnění osobních údajů jiné osobě bez souhlasu správce (103), opětovné identifikace údajů, které jsou osobními údaji, jež byly anonymizovány bez souhlasu správce odpovědného za anonymizaci daných osobních údajů (104), záměrného maření výkonu pravomocí komisaře v souvislosti s inspekcí osobních údajů v souladu s mezinárodními závazky (105), vydávání nepravdivých prohlášení v reakci na výzvu k podání informací nebo ničení údajů v souvislosti s výzvami k podání informací a oznámeními o posouzení (106).

(99)

Dohled nad zpracováním osobních údajů soudy a soudní mocí je dvojí. Pokud osoba vykonávající funkci soudce nebo soud nejedná v rámci soudní pravomoci, zajišťuje dohled Úřad komisaře pro informace. Pokud správce jedná v rámci soudní pravomoci, nemůže Úřad komisaře pro informace vykonávat své dozorové funkce (107) a dohled provádějí zvláštní subjekty. To odráží přístup zvolený v nařízení (EU) 2016/679 (čl. 55 odst. 3).

(100)

Zejména ve druhém scénáři zajišťuje tento dohled nad soudy v Anglii a Walesu a tribunály prvního a vyššího stupně v Anglii a Walesu soudní komise pro ochranu údajů (108). Lord nejvyšší soudce (Lord Chief Justice) a vrchní předseda tribunálů vydali oznámení o ochraně osobních údajů (109), které stanoví, jak soudy v Anglii a Walesu zpracovávají osobní údaje v rámci soudní funkce. Obdobné oznámení bylo vydáno v rámci soudnictví Severního Irska (110) a Skotska (111).

(101)

Kromě toho v Severním Irsku jmenoval Lord nejvyšší soudce pro Severní Irsko soudce Vrchního soudu soudcem pověřeným dozorem nad ochranou údajů (Data Supervisory Judge) (112). Vydal rovněž pokyny pro soudnictví Severního Irska ve věci postupu v případě ztráty nebo potenciální ztráty údajů a řešení jakýchkoli problémů z toho vyplývajících (113).

(102)

Ve Skotsku jmenoval lord nejvyšší soudce (Lord President) soudce pro dozor nad ochranou údajů, který bude vyšetřovat jakékoli stížnosti z důvodu ochrany údajů. Je to stanoveno v pravidlech pro soudní stížnosti, která odrážejí pravidla stanovená pro Anglii a Wales (114).

(103)

A konečně, u Nejvyššího soudu je jmenován jeden ze soudců Nejvyššího soudu, aby dohlížel na ochranu údajů.

(104)

Aby se zajistila odpovídající ochrana, a zejména vymáhání individuálních práv, měla by být subjektu údajů poskytnuta účinná správní a soudní ochrana, včetně náhrady škody.

(105)

Zaprvé má subjekt údajů právo podat stížnost u komisaře pro informace, pokud má za to, že v souvislosti s jeho osobními údaji došlo k porušení britského nařízení GDPR (115). Britské nařízení GDPR zachovává pravidla článku 77 nařízení (EU) 2016/679 týkající se tohoto práva bez podstatných úprav. Totéž platí pro čl. 57 odst. 1 písm. f) a odst. 2, které stanoví úkoly komisaře v souvislosti s vyřizováním stížností. Jak je popsáno v 92. až 98. bodě odůvodnění výše, komisař pro informace má pravomoc posoudit, jak správce a zpracovatel dodržují britské nařízení GDPR a zákon o ochraně údajů z roku 2018, vyžadovat od nich, aby v případě nedodržení předpisů přijali nezbytné kroky nebo se takových kroků zdrželi, a ukládat pokuty.

(106)

Zadruhé britské nařízení GDPR a zákon o ochraně údajů z roku 2018 poskytují právo na soudní ochranu vůči komisaři pro informace. Podle čl. 78 odst. 1 britského nařízení GDPR má jednotlivec právo na účinnou soudní ochranu proti právně závaznému rozhodnutí komisaře, které se ho týká. V rámci soudního přezkumu zkoumá soudce rozhodnutí napadené ve stížnosti a zvažuje, zda komisař pro informace jednal zákonným způsobem. Kromě toho čl. 78 odst. 2 britského nařízení GDPR stanoví, že pokud komisař řádně nevyřídí stížnost podanou subjektem údajů (116), má stěžovatel přístup k soudní ochraně. Může se obrátit na tribunál prvního stupně, aby nařídil komisaři přijmout vhodná opatření v reakci na stížnost nebo aby stěžovatele informoval o pokroku při vyřizování stížnosti (117). Kromě toho se každá osoba, které je doručeno jedno z výše uvedených oznámení (výzva k podání informací, oznámení o posouzení, vymáhání nebo sankci), může odvolat k tribunálu prvního stupně (118). Pokud tribunál dospěje k závěru, že rozhodnutí komisaře není v souladu se zákonem, nebo že měl komisař pro informace uplatnit svou diskreční pravomoc jinak, musí tribunál vyhovět opravnému prostředku nebo vydat jiné oznámení nebo přijmout jiné rozhodnutí, které komisař pro informace mohl vydat nebo učinit.

(107)

Zatřetí podle článku 79 britského nařízení GDPR a článku 167 zákona o ochraně údajů z roku 2018 mohou jednotlivci získat soudní ochranu vůči správcům a zpracovatelům přímo u soudů. Pokud soud na základě žádosti subjektu údajů dospěje k závěru, že došlo k porušení práv subjektu údajů podle právních předpisů v oblasti ochrany údajů, může soud v souvislosti s daným zpracováním nařídit správci nebo zpracovateli jednajícímu v zastoupení tohoto správce, aby přijal kroky stanovené v soudním příkazu nebo aby se takových kroků zdržel.

(108)

Kromě toho článek 82 britského nařízení GDPR a článek 168 zákona o ochraně údajů z roku 2018 stanoví, že kdokoli, kdo v důsledku porušení britského nařízení GDPR utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. Pravidla pro náhradu újmy a odpovědnost v čl. 82 odst. 1–5 britského nařízení GDPR jsou totožná s odpovídajícími pravidly nařízení (EU) 2016/679. Podle článku 168 zákona o ochraně údajů z roku 2018 zahrnuje nehmotná újma i utrpení. Podle článku 80 britského nařízení GDPR má subjekt údajů také právo pověřit zastupující subjekt nebo organizaci, aby jeho jménem podal(a) stížnost komisaři (podle článku 77 britského nařízení GDPR) a aby jeho jménem uplatnil(a) práva uvedená v článku 78 (právo na účinnou soudní ochranu vůči komisaři), článku 79 (právo na účinnou soudní ochranu vůči správci nebo zpracovateli) a článku 82 (právo na náhradu újmy a odpovědnost) britského nařízení GDPR.

(109)

Začtvrté může kromě opravných prostředků popsaných výše každá osoba, která má za to, že orgány veřejné moci porušily její práva, včetně práv na soukromí a ochranu údajů, získat soudní ochranu u soudů Spojeného království podle zákona o lidských právech z roku 1998 (119). Jednotlivec, který tvrdí, že orgán veřejné moci jednal (nebo navrhuje jednat) způsobem, který je neslučitelný s právem podle úmluvy, a tudíž je podle čl. 6 odst. 1 zákona o lidských právech z roku 1998 protiprávní, může proti tomuto orgánu podat žalobu u příslušného soudu nebo tribunálu nebo se dovolávat dotčených práv v jakémkoli soudním řízení, pokud tento jednotlivec je (nebo by byl) obětí protiprávního jednání.

(110)

Pokud soud shledá jakýkoli akt orgánu veřejné moci protiprávním, může v rámci svých pravomocí poskytnout takový opravný prostředek nebo soudní ochranu nebo vydat takový příkaz, které považuje za spravedlivé a vhodné (120). Soud může rovněž prohlásit ustanovení primárního právního předpisu za neslučitelné s právem podle úmluvy.

(111)

A konečně může jednotlivec po vyčerpání vnitrostátních opravných prostředků dosáhnout nápravy u Evropského soudu pro lidská práva za porušení práv zaručených Evropskou úmluvou o lidských právech.

(112)

Komise také posuzovala právní rámec Spojeného království týkající se shromažďování a následného používání osobních údajů předávaných podnikatelským subjektům ve Spojeném království orgány veřejné moci Spojeného království pro účely veřejného zájmu, zejména pro účely prosazování trestního práva a národní bezpečnosti (dále jen „přístup vlády“). Při posuzování toho, zda by podmínky, za nichž by přístup vlády k údajům předávaným do Spojeného království podle tohoto rozhodnutí splňoval test „zásadní rovnocennosti“ podle čl. 45 odst. 1 nařízení (EU) 2016/679, jak je vykládán Soudním dvorem Evropské unie ve světle Listiny základních práv, Komise zohlednila zejména následující kritéria.

(113)

Zaprvé musí být jakékoli omezení práva na ochranu osobních údajů stanoveno zákonem a samotný právní základ, který umožňuje zásah do takového práva, musí vymezovat rozsah omezení výkonu dotčeného práva (121).

(114)

Zadruhé, za účelem splnění požadavku proporcionality, podle kterého musí být výjimky z ochrany osobních údajů a její omezení činěny v mezích toho, co je v demokratické společnosti nezbytně nutné pro splnění konkrétních cílů obecného zájmu rovnocenných cílům uznaným Unií, musí předmětná právní úprava třetí země, která daný zásah povoluje, stanovit jasná a přesná pravidla pro rozsah a použití předmětného opatření a stanovit minimální požadavky, tak aby osoby, jejichž údaje byly předány, měly dostatečné záruky umožňující účinně chránit své osobní údaje proti riziku zneužití (122). Právní úprava musí zejména vymezit okolnosti a podmínky, za nichž může být přijato opatření týkající se zpracovávání takových údajů (123), jakož i podřizovat plnění takových požadavků nezávislému dohledu (124).

(115)

Zatřetí musí být tato právní úprava podle vnitrostátního práva právně závazná a tyto právní požadavky musí být pro orgány nejen závazné, ale musí být vůči orgánům dotčené třetí země také vymahatelné u soudu (125). Subjekty údajů musí mít zejména možnost podat žalobu k nezávislému a nestrannému soudu pro získání přístupu ke svým osobním údajům nebo pro dosažení opravy nebo výmazu takovýchto údajů (126).

(116)

Jakožto výkon pravomoci orgánu veřejné moci musí být přístup vlády ve Spojeném království prováděn při plném dodržení zákona. Spojené království ratifikovalo Evropskou úmluvu o lidských právech (viz 9. bod odůvodnění) a všechny orgány veřejné moci ve Spojeném království jsou povinny jednat v souladu s úmluvou (127). Článek 8 úmluvy stanoví, že jakýkoli zásah do soukromí musí být v souladu se zákonem, v zájmu jednoho z cílů stanovených v čl. 8 odst. 2 a přiměřený s ohledem na tento cíl. Článek 8 rovněž vyžaduje, aby byl zásah „předvídatelný“, tj. aby měl jasný a přístupný právní základ, a aby právní předpis obsahoval vhodné záruky, které zabrání zneužití.

(117)

Kromě toho Evropský soud pro lidská práva ve své judikatuře upřesnil, že jakýkoli zásah do práva na soukromí a ochranu údajů by měl podléhat účinnému, nezávislému a nestrannému systému dohledu, který musí zajišťovat buď soudce, nebo jiný nezávislý subjekt (128) (např. správní orgán nebo parlamentní orgán).

(118)

Kromě toho musí být jednotlivcům poskytnuta účinná právní ochrana a Evropský soud pro lidská práva objasnil, že tuto právní ochranu musí nabídnout nezávislý a nestranný subjekt, který přijal svůj vlastní jednací řád a je složen z členů, kteří musí v současnosti zastávat nebo v minulosti zastávali vysokou soudní funkci nebo být zkušenými právníky, a že k podání stížnosti u tohoto subjektu nesmí být zapotřebí splnit jakékoli důkazní břemeno. Při svém šetření stížnosti jednotlivce by měl mít nezávislý a nestranný subjekt přístup ke všem příslušným informacím, včetně uzavřených materiálů. A konečně by měl mít pravomoc napravit protiprávní jednání (129).

(119)

Spojené království také ratifikovalo úmluvu Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat (úmluva č. 108) a v roce 2018 podepsalo protokol o změně Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat (označovaný jako úmluva č. 108+) (130). Článek 9 úmluvy 108 stanoví, že odchylky od obecných zásad ochrany údajů (článek 5 Kvalita údajů), pravidel upravujících zvláštní skupiny údajů (článek 6 Zvláštní skupiny údajů) a práv subjektu údajů (článek 8 Dodatečné záruky pro subjekt údajů) jsou přípustné pouze v případě, že taková odchylka je stanovena zákonem smluvní strany a představuje nezbytné opatření v demokratické společnosti v zájmu ochrany bezpečnosti státu, veřejné bezpečnosti, měnových zájmů státu nebo potírání trestné činnosti nebo ochrany subjektu údajů nebo práv a svobod jiných osob (131).

(120)

Prostřednictvím členství v Radě Evropy, dodržování Evropské úmluvy o lidských právech a podrobení se soudní pravomoci Evropského soudu pro lidská práva proto Spojené království podléhá řadě povinností zakotvených v mezinárodním právu, které tvoří rámec jeho systému přístupu vlády na základě zásad, záruk a individuálních práv podobných těm, které jsou zaručeny právními předpisy EU a jsou použitelné v členských státech. Jak je zdůrazněno v 19. bodě odůvodnění, pokračující dodržování těchto nástrojů je proto obzvláště důležitým prvkem posouzení, na němž se zakládá toto rozhodnutí.

(121)

Specifické záruky a práva týkající se ochrany údajů dále zaručuje zákon o ochraně údajů z roku 2018 v případech, kdy jsou údaje zpracovávány orgány veřejné moci, včetně donucovacích orgánů a subjektů v oblasti národní bezpečnosti.

(122)

Zejména je v části 3 zákona o ochraně údajů z roku 2018, který byl přijat za účelem provedení směrnice (EU) 2016/680 do vnitrostátního práva, stanoven režim zpracování osobních údajů v rámci vymáhání trestního práva. Část 3 zákona o ochraně údajů z roku 2018 se použije na zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení (132).

(123)

Pojem „příslušný orgán“ je vymezen v článku 30 zákona o ochraně údajů jako osoba vyjmenovaná v příloze 7 zákona o ochraně údajů z roku 2018, jakož i kterákoli jiná osoba, která má zákonné funkce pro jakékoli účely prosazování práva (133). Jak je vysvětleno níže (viz 139. bod odůvodnění), některé příslušné orgány (například Národní kriminální agentura) mohou za určitých podmínek využívat pravomoci, které stanoví zákon o vyšetřovacích pravomocích z roku 2016. V takovém případě se kromě záruk stanovených částí 3 zákona o ochraně údajů z roku 2018 použijí i záruky stanovené zákonem o vyšetřovacích pravomocích z roku 2016. Zpravodajské služby (Tajná zpravodajská služba, Bezpečnostní služba a Vládní ředitelství pro komunikace) nejsou „příslušnými orgány“ (134) spadajícími do oblasti působnosti části 3 zákona o ochraně údajů z roku 2018, a proto se na žádnou z jejich činností nepoužijí pravidla stanovená v uvedené části zákona. Zvláštní část zákona o ochraně údajů z roku 2018 (část 4) je věnována zpracování osobních údajů zpravodajskými službami (další podrobnosti viz 125. bod odůvodnění).

(124)

Obdobně jako směrnice (EU) 2016/680 stanoví část 3 zákona o ochraně údajů z roku 2018 zásady zákonnosti a korektnosti (135), účelového omezení (136), minimalizace údajů (137), přesnosti (138), omezení uložení (139) a zabezpečení (140). Tento právní předpis ukládá konkrétní povinnosti týkající se transparentnosti (141) a poskytuje jednotlivcům právo na přístup (142), opravu a výmaz (143) a právo nebýt předmětem automatizovaného rozhodování (144). Od příslušných orgánů se rovněž požaduje, aby zavedly záměrnou a standardní ochranu údajů, vedly záznamy o činnostech zpracování a u některých operací zpracování prováděly posouzení vlivu na ochranu osobních údajů a předem konzultovaly komisaře pro informace (145). Podle článku 56 zákona o ochraně údajů z roku 2018 jsou povinny prokázat dodržování právních předpisů. Kromě toho jsou povinny zavést vhodná opatření k zajištění bezpečnosti zpracování (146) a vztahují se na ně zvláštní povinnosti v případě porušení zabezpečení údajů, včetně oznámení takových porušení komisaři pro informace a subjektům údajů (147). Stejně jako v případě směrnice (EU) 2016/680 je rovněž stanoven požadavek, aby správce (pokud se nejedná o soud nebo jiný soudní orgán jednající v rámci soudních pravomocí) jmenoval pověřence pro ochranu osobních údajů (148), který je správci nápomocen při dodržování jeho povinností a monitorování tohoto dodržování (149). Právní předpisy dále stanoví zvláštní požadavky na mezinárodní předávání osobních údajů třetím zemím nebo mezinárodním organizacím pro účely prosazování práva s cílem zajistit kontinuitu ochrany (150). Ke stejnému datu jako toto rozhodnutí Komise přijala rozhodnutí o odpovídající ochraně podle čl. 36 odst. 3 směrnice (EU) 2016/680, v němž konstatuje, že režim ochrany údajů použitelný na zpracování donucovacími orgány ve Spojeném království zajišťuje úroveň ochrany v zásadě rovnocennou úrovni ochrany, kterou zaručuje směrnice (EU) 2016/680.

(125)

Část 4 zákona o ochraně údajů z roku 2018 se použije na veškeré zpracování prováděné zpravodajskými službami nebo jejich jménem. Stanovuje zejména hlavní zásady ochrany údajů (zákonnost, korektnost a transparentnost (151); účelové omezení (152); minimalizaci údajů (153); přesnost (154); omezení uložení (155) a zabezpečení (156)), ukládá podmínky pro zpracování zvláštních kategorií údajů (157), stanoví práva subjektu údajů (158), vyžaduje záměrnou a standardní ochranu údajů (159) a reguluje mezinárodní předávání osobních údajů (160). Úřad komisaře pro informace nedávno vydal podrobné pokyny týkající se zpracování údajů zpravodajskými službami podle části 4 zákona o ochraně údajů z roku 2018 (161).

(126)

Zároveň článek 110 zákona o ochraně údajů z roku 2018 stanoví výjimku z konkrétních ustanovení části 4 zákona o ochraně údajů z roku 2018 (162), je-li taková výjimka požadována k zajištění národní bezpečnosti. Tuto výjimku lze využít na základě analýzy jednotlivých případů (163). Jak vysvětlily orgány Spojeného království a potvrdila judikatura, „správce musí zvážit, jaké by byly skutečné důsledky pro národní bezpečnost nebo obranu, pokud by musel dodržet konkrétní ustanovení o ochraně údajů, a zda by mohl přiměřeně dodržet obvyklé pravidlo, aniž by to ovlivnilo národní bezpečnost nebo obranu“ (164). Otázka toho, zda byla výjimka použita správně, podléhá dohledu Úřadu komisaře pro informace (165).

(127)

Kromě toho v souvislosti s možností omezit použití těchto výše specifikovaných ustanovení z důvodu ochrany „národní bezpečnosti“ může správce podle článku 111 zákona o ochraně údajů z roku 2018 požádat o osvědčení podepsané ministrem nebo generálním prokurátorem, které potvrzuje, že omezení těchto práv je nezbytným a přiměřeným opatřením k ochraně národní bezpečnosti (166).

(128)

Vláda Spojeného království vydala pokyny, které mají správcům pomoci při zvažování, zda požádat o osvědčení o omezení z důvodu národní bezpečnosti podle zákona o ochraně údajů z roku 2018, a tyto pokyny zejména zdůrazňují, že jakékoli omezení práv subjektů údajů z důvodu zajištění národní bezpečnosti musí být přiměřené a nezbytné (167). Všechna osvědčení o omezení z důvodu národní bezpečnosti musí být zveřejněna na webových stránkách Úřadu komisaře pro informace (168).

(129)

Osvědčení by mělo být vydáno na pevně stanovenou dobu nejvýše pěti let, aby orgán výkonné moci prováděl jeho pravidelný přezkum (169). Osvědčení uvádí osobní údaje nebo kategorie osobních údajů, na které se výjimka vztahuje, jakož i ustanovení zákona o ochraně údajů z roku 2018, kterých se výjimka týká (170).

(130)

Je důležité upozornit, že osvědčení o omezení z důvodu národní bezpečnosti neposkytují další důvod pro omezení práv na ochranu osobních údajů na základě národní bezpečnosti. Jinak řečeno správce nebo zpracovatel může osvědčení uplatnit, pouze pokud dospěl k závěru, že je nutné využít výjimku z důvodu národní bezpečnosti, která – jak je vysvětleno výše – musí být použita individuálně (171). I když se na dotčenou záležitost vztahuje osvědčení o omezení z důvodu národní bezpečnosti, může Úřad komisaře pro informace šetřit, zda bylo v konkrétním případě využití výjimky z důvodu národní bezpečnosti opodstatněné (172).

(131)

Kterákoli osoba, jíž se vydání osvědčení přímo dotýká, může proti osvědčení (173) podat opravný prostředek u Vrchního tribunálu (174), nebo pokud osvědčení identifikuje údaje prostřednictvím obecného popisu, může napadnout použití osvědčení pro konkrétní údaje (175). Tribunál přezkoumá rozhodnutí o vydání osvědčení a rozhodne, zda pro vydání osvědčení existovaly rozumné důvody (176). Může zvážit celou řadu otázek, včetně nezbytnosti, přiměřenosti a zákonnosti, pokud jde o dopad na práva subjektů údajů a vyvážení potřeby chránit národní bezpečnost. V důsledku toho může tribunál rozhodnout, že se osvědčení nevztahuje na konkrétní osobní údaje, které jsou předmětem opravného prostředku (177).

(132)

Jiný soubor možných omezení se týká omezení, která se podle přílohy 11 zákona o ochraně údajů z roku 2018 použijí na určitá ustanovení části 4 zákona o ochraně údajů z roku 2018 (178) za účelem ochrany jiných důležitých cílů obecného veřejného zájmu nebo chráněných zájmů, jako jsou například výsady parlamentu, povinnost mlčenlivosti, vedení soudních řízení nebo bojová účinnost ozbrojených sil (179). Tato ustanovení se na základě výjimky nepoužijí buď na určité kategorie informací („na základě skupiny“), nebo se nepoužijí v rozsahu, v jakém by jejich použití mohlo poškodit chráněný zájem („na základě újmy“) (180). Výjimek na základě újmy se lze domáhat, pouze pokud by použití uvedeného ustanovení o ochraně údajů pravděpodobně mohlo poškodit dotčený specifický zájem. Použití výjimky musí být proto vždy odůvodněno odkazem na příslušnou újmu, která by v jednotlivém případě pravděpodobně nastala. Výjimky na základě skupiny lze uplatnit pouze pro specifickou úzce definovanou kategorii informací, pro kterou je výjimka udělena. Svým účelem a účinkem jsou podobné několika výjimkám z britského nařízení GDPR (podle přílohy 2 zákona o ochraně údajů z roku 2018), které naopak odrážejí výjimky uvedené v článku 23 nařízení GDPR.

(133)

Z výše uvedeného vyplývá, že podle příslušných právních předpisů Spojeného království, jak jsou vykládány také soudy a Komisí pro informace, existují omezení a podmínky, které zajišťují, že tyto výjimky a omezení zůstanou v mezích toho, co je nezbytné a přiměřené k ochraně národní bezpečnosti.

(134)

Právo Spojeného království ukládá řadu omezení přístupu k osobním údajům a použití těchto údajů pro účely prosazování trestního práva a stanoví v této oblasti dozorové a ochranné mechanismy, které jsou v souladu s požadavky uvedenými v 113. až 115. bodě odůvodnění tohoto rozhodnutí. Podmínky, za kterých lze takový přístup uskutečnit, a záruky týkající se využívání těchto pravomocí jsou podrobně posouzeny v následujících oddílech.

(135)

Podle zásady zákonnosti zaručené článkem 35 zákona o ochraně údajů z roku 2018 je zpracování osobních údajů pro jakékoli účely prosazování práva zákonné, pouze pokud vychází ze zákona, přičemž buď subjekt údajů udělil souhlas se zpracováním pro daný účel (181), nebo je zpracování nezbytné pro plnění úkolu, který za tímto účelem provádí příslušný orgán.

(136)

V právním rámci Spojeného království je shromažďování osobních údajů od hospodářských subjektů, včetně těch, které by zpracovávaly údaje předané z EU na základě tohoto rozhodnutí o odpovídající ochraně, pro účely prosazování trestního práva přípustné na základě příkazů k domovní prohlídce (182) a příkazů k předání (183).

(137)

Příkazy k domovní prohlídce vydává soud, obvykle na návrh vyšetřovatele. Příkazy povolují vyšetřovateli, aby vstoupil do prostor za účelem hledání materiálů nebo osob významných z hlediska jeho vyšetřování a ponechal si cokoli, co spadá do povoleného rozsahu prohlídky, včetně veškerých příslušných dokumentů nebo materiálů obsahujících osobní údaje (184). Příkaz k předání, který musí být rovněž vydán soudem, vyžaduje, aby osoba v něm specifikovaná předložila nebo zpřístupnila materiály, které drží nebo ovládá. Navrhovatel musí soudu odůvodnit, proč je příkaz k domovní prohlídce nebo předložení informací nezbytný, a také proč je ve veřejném zájmu. Existuje několik zákonných pravomocí, které umožňují vydání příkazu k domovní prohlídce a příkazů k předání. Každé ustanovení má svůj vlastní soubor zákonných podmínek, které musí být splněny, aby mohl být příkaz k domovní prohlídce (185) nebo příkaz k předání (186) vydán.

(138)

Příkazy k předání a příkazy k domovní prohlídce mohou být napadeny formou soudního přezkumu (187). Pokud jde o záruky, všechny orgány činné v trestním řízení spadající do působnosti části 3 zákona o ochraně údajů z roku 2018 mají přístup k osobním údajům (který představuje formu zpracování) pouze v souladu se zásadami a požadavky stanovenými v zákoně o ochraně údajů z roku 2018 (viz 122. a 124. bod odůvodnění výše). Žádost donucovacího orgánu by proto měla být v souladu se zásadou, podle níž musí být účely zpracování určité, výslovně vyjádřené a legitimní (188) a osobní údaje zpracovávané příslušným orgánem musí být pro tento účel důležité a omezené na nezbytný rozsah (189).

(139)

Pouze za účelem prevence nebo odhalování závažných trestných činů (190) mohou určité donucovací orgány, například Národní kriminální agentura nebo policejní ředitel (191), použít cílené vyšetřovací pravomoci podle zákona o vyšetřovacích pravomocích z roku 2016. V takovém případě se kromě záruk stanovených částí 3 zákona o ochraně údajů z roku 2018 použijí i záruky stanovené zákonem o vyšetřovacích pravomocích z roku 2016. Zvláštní vyšetřovací pravomoci, které mohou tyto donucovací orgány využít, zahrnují: cílené odposlechy (část 2 zákona o vyšetřovacích pravomocích z roku 2016), získávání komunikačních údajů (část 3 zákona o vyšetřovacích pravomocích z roku 2016), uchovávání komunikačních údajů (část 4 zákona o vyšetřovacích pravomocích z roku 2016) a cílený vzdálený síťový přístup k zařízení (část 5 zákona o vyšetřovacích pravomocích z roku 2016). Odposlech zahrnuje získávání obsahu komunikace (192), zatímco získávání a uchovávání komunikačních údajů není zaměřeno na získání obsahu komunikace, ale na odpovědi na otázky „kdo“, „kdy“, „kde“ a „jak“ ve vztahu k dané komunikaci. Zahrnuje to například čas a dobu trvání komunikace, telefonní číslo nebo e-mailovou adresu původce a příjemce komunikace a někdy i umístění zařízení, z nichž byla komunikace uskutečněna, účastníka telefonní služby nebo vyúčtování rozepsané na jednotlivé položky (193). Vzdálený síťový přístup k zařízení je soubor technik používaných k získávání různých dat ze zařízení, která zahrnují počítače, tablety a chytré telefony, jakož i kabely, vodiče a paměťová zařízení (194).

(140)

Pravomoci cíleného odposlechu lze použít i v případě, že „je to nezbytné pro účely provedení ustanovení nástroje EU pro vzájemnou pomoc nebo mezinárodní dohody o vzájemné pomoci“ (tzv. příkaz ke vzájemné pomoci (195)). Příkazy ke vzájemné pomoci se vydávají pouze ve vztahu k odposlechu, nikoli k získávání komunikačních údajů nebo vzdálenému síťovému přístupu k zařízení. Tyto cílené pravomoci upravuje zákon o vyšetřovacích pravomocích z roku 2016 (196), který společně se zákonem o úpravě vyšetřovacích pravomocí z roku 2000 pro Anglii, Wales a Severní Irsko a zákonem o úpravě vyšetřovacích pravomocí (Skotsko) z roku 2000 pro Skotsko stanoví právní základ a stanoví příslušná omezení a záruky pro použití těchto pravomocí. Zákon o vyšetřovacích pravomocích z roku 2016 rovněž stanoví režim pro použití hromadných vyšetřovacích pravomocí, donucovací orgány však tyto pravomoci nemají (mohou je využívat pouze zpravodajské služby) (197).

(141)

K výkonu těchto pravomocí musí orgány získat příkaz (198) vydaný příslušným orgánem (199) a schválený nezávislým soudním komisařem (200) (tzv. postup dvojitého zámku). Získání takového příkazu podléhá testu nezbytnosti a přiměřenosti (201). Jelikož jsou tyto cílené vyšetřovací pravomoci poskytované zákonem o vyšetřovacích pravomocích z roku 2016 stejné jako ty, které mají k dispozici národní bezpečnostní služby, podrobně se podmínkám, omezením a zárukám použitelným na tyto pravomoci věnuje část týkající se přístupu a používání osobních údajů orgány veřejné moci Spojeného království pro účely národní bezpečnosti (viz 177. bod odůvodnění a násl.).

(142)

Sdílení údajů donucovacím orgánem s jiným orgánem pro jiné účely, než pro které byly údaje původně shromážděny (tzv. další sdílení), podléhá určitým podmínkám.

(143)

Obdobně jako čl. 4 odst. 2 směrnice (EU) 2016/680 umožňuje čl. 36 odst. 3 zákona o ochraně údajů z roku 2018, aby osobní údaje shromážděné příslušným orgánem pro účely vymáhání práva mohly být dále zpracovávány (ať už původním správcem, nebo jiným správcem) pro jakýkoli jiný účel vymáhání práva, pokud je správce ze zákona oprávněn zpracovávat údaje pro tento jiný účel a zpracování je nezbytné a přiměřené tomuto účelu (202). V tomto případě se na zpracování prováděné přijímajícím orgánem vztahují všechny záruky stanovené v části 3 zákona o ochraně údajů z roku 2018 uvedené ve 122. a 124. bodě odůvodnění.

(144)

V právním řádu Spojeného království takové další sdílení výslovně umožňují různé zákony. Zejména i) zákon o digitální ekonomice z roku 2017 umožňuje sdílení mezi orgány veřejné moci z několika důvodů, například v případě jakéhokoli podvodu vůči veřejnému sektoru, který by pro orgány veřejné moci znamenal ztrátu nebo riziko ztráty (203), nebo v případě dluhu vůči orgánu veřejné moci nebo Koruně (204); ii) zákon o trestní činnosti a soudech z roku 2013, který umožňuje sdílení informací s Národní kriminální agenturou (National Crime Agency) (205) pro účely boje proti závažné a organizované trestné činnosti, jejího vyšetřování a stíhání; iii) zákon o závažné trestné činnosti z roku 2007, který orgánům veřejné moci umožňuje zpřístupňovat informace organizacím pro boj proti podvodům za účelem předcházení podvodům (206).

(145)

Tyto zákony výslovně stanoví, že sdílení informací by mělo být v souladu se zásadami, které stanoví zákon o ochraně údajů z roku 2018. Kromě toho College of Policing (instituce pro vzdělávání policistů) vydala povolený odborný postup pro sdílení informací (207), který má policii pomoci při plnění jejích povinností v oblasti ochrany údajů podle britského nařízení GDPR, zákona o ochraně údajů a zákona o lidských právech z roku 1998. Soulad sdílení s platným právním rámcem pro ochranu údajů samozřejmě podléhá soudnímu přezkumu (208).

(146)

Kromě toho, podobně jako článek 9 směrnice (EU) 2016/680 stanoví zákon o ochraně údajů z roku 2018, že osobní údaje shromážděné pro jakékoli účely vymáhání práva mohou být zpracovávány za účelem, který nespočívá ve vymáhání práva, pokud je zpracování povoleno zákonem (209).

(147)

Tento typ sdílení zahrnuje dva scénáře: 1) když orgán činný v trestním řízení sdílí údaje s donucovacím orgánem činným v oblasti mimo trestní řízení, který není zpravodajskou službou (např. s finančním nebo daňovým úřadem, úřadem pro hospodářskou soutěž, úřadem pro péči o mládež atd.); 2) když orgán činný v trestním řízení sdílí údaje se zpravodajskou službou. V prvním scénáři bude zpracování osobních údajů spadat do oblasti působnosti britského nařízení GDPR, jakož i části 2 zákona o ochraně údajů z roku 2018. Ve 12. až 111. bodě odůvodnění posoudila Komise záruky poskytované britským nařízením GDPR a částí 2 zákona o ochraně údajů z roku 2018 a dospěla k závěru, že Spojené království zajišťuje odpovídající úroveň ochrany osobních údajů předávaných v rámci oblasti působnosti nařízení (EU) 2016/679 z Evropské unie do Spojeného království.

(148)

Ve druhém scénáři, pokud jde o sdílení údajů, které shromáždil orgán činný v trestním řízení, se zpravodajskou službou pro účely národní bezpečnosti, je právním základem, který takové sdílení povoluje, článek 19 zákona o boji proti terorismu z roku 2008 (210). Podle tohoto zákona může kterákoli osoba poskytovat informace kterékoli ze zpravodajských služeb za účelem výkonu kterékoli z funkcí této služby, včetně „národní bezpečnosti“.

(149)

Pokud jde o podmínky, za nichž lze údaje sdílet pro účely národní bezpečnosti, zákon o zpravodajských službách (211) a zákon o Bezpečnostní službě (212) omezují možnost zpravodajských služeb získávat údaje na to, co je nezbytné k výkonu jejich zákonem stanovených funkcí. Donucovací orgány, které chtějí sdílet údaje se zpravodajskými službami, budou muset kromě zákonných funkcí agentur stanovených zákonem o zpravodajských službách a zákonem o Bezpečnostní službě (213) zohlednit řadu faktorů/omezení. Článek 20 zákona o boji proti terorismu z roku 2008 objasňuje, že jakékoli sdílení údajů podle článku 19 musí splňovat i právní předpisy o ochraně údajů; což znamená, že se použijí všechna omezení a požadavky podle části 3 zákona o ochraně údajů z roku 2018. Kromě toho vzhledem k tomu, že příslušnými orgány jsou orgány veřejné moci pro účely zákona o lidských právech z roku 1998, musí tyto orgány zajistit, aby jednaly v souladu s právy podle úmluvy, včetně článku 8 EÚLP. Tato omezení zajišťují, že veškeré sdílení údajů mezi donucovacími orgány a zpravodajskými službami bude v souladu s právními předpisy o ochraně údajů a EÚLP.

(150)

Pokud příslušný orgán hodlá sdílet osobní údaje zpracovávané podle části 3 zákona o ochraně údajů z roku 2018 s donucovacími orgány třetí země, platí zvláštní požadavky (214). Zejména se tato předání mohou uskutečnit tehdy, jsou-li založena na nařízeních o odpovídající ochraně vydaných ministrem, nebo pokud taková nařízení neexistují, musí být zajištěny vhodné záruky. Článek 75 zákona o ochraně údajů z roku 2018 stanoví, že vhodné záruky jsou zavedeny tehdy, pokud jsou stanoveny právním nástrojem závazným pro zamýšleného příjemce nebo pokud správce po posouzení všech okolností souvisejících s předáním tohoto druhu osobních údajů třetí zemi nebo mezinárodní organizaci dojde k závěru, že k ochraně údajů existují vhodné záruky.

(151)

Pokud předání není založeno na nařízení o odpovídající ochraně, může k němu dojít pouze za určitých specifikovaných okolností, označovaných jako „zvláštní okolnosti“ (215). Ty existují v případě, že je předání nezbytné: a) k ochraně životně důležitých zájmů subjektu údajů nebo jiné osoby; b) k ochraně oprávněných zájmů subjektu údajů; c) aby se zabránilo bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v některém členském státě nebo třetí zemi; d) v jednotlivých případech pro jakékoli účely vymáhání práva nebo e) v jednotlivých případech pro právní účely (například v souvislosti se soudním řízením nebo s cílem získat právní poradenství). Lze upozornit, že písmena d) a e) se nepoužijí, pokud práva a svobody subjektu údajů převažují nad veřejným zájmem na předání. Tento soubor okolností odpovídá konkrétním situacím a podmínkám, které lze kvalifikovat jako „výjimky“ podle článku 38 směrnice (EU) 2016/680.

(152)

Kromě toho, pokud je do třetí země předáván materiál získaný donucovacími orgány na základě příkazu, který povoluje použití odposlechu nebo vzdáleného síťového přístupu k zařízení, ukládá zákon o vyšetřovacích pravomocích z roku 2016 další záruky. Zejména je takové zpřístupnění, definované jako „zahraniční zpřístupnění“, povoleno za předpokladu, že vydávající orgán má za to, že existuje zvláštní vhodný režim, který omezuje počet osob, kterým jsou údaje zpřístupněny, rozsah, v jakém je jakýkoli materiál poskytnut nebo zpřístupněn, stejně jako rozsah, v jakém je jakákoli část materiálu kopírována, a počet pořízených kopií. Vydávající orgán se také může domnívat, že jsou zapotřebí vhodná opatření k zajištění toho, aby každá kopie jakékoli části tohoto materiálu byla zničena, jakmile pominou příslušné důvody pro její uchování (pokud již nebyla zničena dříve) (216).

(153)

A v neposlední řadě by se v budoucnu mohly uskutečňovat zvláštní formy dalšího předávání ze Spojeného království do Spojených států na základě „Dohody mezi vládou Spojeného království Velké Británie a Severního Irska a vládou Spojených států amerických o přístupu k elektronickým údajům za účelem boje proti závažné trestné činnosti (dále jen „dohoda mezi Spojeným královstvím a USA“ nebo „dohoda“) (217), která byla uzavřena v říjnu 2019 (218). Zatímco dohoda mezi Spojeným královstvím a USA dosud nevstoupila v platnost v době přijetí tohoto rozhodnutí, její předvídatelný vstup v platnost může ovlivnit další předávání údajů, které byly nejprve předány do Spojeného království na základě tohoto rozhodnutí, do USA. Přesněji řečeno, jakmile dohoda vstoupí v platnost, mohly by údaje předané z EU poskytovatelům služeb ve Spojeném království podléhat příkazům k předání elektronických důkazů vydaným příslušnými donucovacími orgány v USA, které jsou na základě uvedené dohody použitelné ve Spojeném království. Z těchto důvodů je pro toto rozhodnutí významné posouzení podmínek a záruk, za nichž lze takové příkazy vydávat a vykonávat.

(154)

V tomto ohledu je třeba upozornit, že zaprvé je z hlediska věcné působnosti dohoda použitelná pouze na trestné činy, za které je možné uložit trest odnětí svobody v délce nejméně tří let (definované jako „závažné trestné činy“) (219), včetně „teroristické činnosti“. Zadruhé lze podle této dohody získat údaje zpracovávané v jiné jurisdikci pouze na základě „příkazu […] podléhajícího přezkumu nebo dohledu podle vnitrostátního práva vydávající strany zajištěného soudem, soudcem, smírčím soudcem nebo jiným nezávislým orgánem před řízením ve věci výkonu nařízení nebo v průběhu takového řízení“ (220). Zatřetí se musí jakýkoli příkaz „opírat o požadavky na přiměřené odůvodnění založené na pojmenovatelných a důvěryhodných skutečnostech, podrobnosti, zákonnosti a závažnosti, pokud jde o vyšetřované jednání“ (221) a musí „být zaměřen na konkrétní účty, jakož i určovat konkrétní osobu, účet, adresu nebo osobní zařízení nebo jakýkoli jiný specifický identifikátor“ (222). Začtvrté jsou údaje získané v rámci této dohody předmětem ochranných opatření rovnocenných zvláštním zárukám, která poskytuje tzv. zastřešující dohoda mezi EU a USA (223) (komplexní dohoda o ochraně údajů uzavřená v prosinci 2016 mezi EU a USA, která stanoví záruky a práva týkající se předávání údajů v oblasti spolupráce při vymáhání práva), jež jsou do této dohody obdobně začleněna odkazem, a zejména mají zohlednit specifickou povahu těchto předání (tj. předání od soukromých hospodářských subjektů donucovacím orgánům, nikoli předání mezi donucovacími orgány) (224). Dohoda mezi Spojeným královstvím a USA výslovně stanoví, že ochranná opatření rovnocenná těm, která poskytuje zastřešující dohoda mezi EU a USA, se použijí „na všechny osobní údaje předané v rámci výkonu příkazů, které jsou předmětem této dohody, aby zajistila rovnocennou ochranu“ (225).

(155)

Údaje předané orgánům USA podle dohody mezi Spojeným královstvím a USA by proto měly požívat ochrany poskytované nástrojem práva EU, a to s nezbytnými úpravami, které mají odrážet povahu dotčených předání. Orgány Spojeného království dále potvrdily, že ochranná opatření podle zastřešující dohody se budou vztahovat na všechny osobní údaje předané nebo uchovávané na základě této dohody, bez ohledu na povahu nebo druh dožadujícího orgánu (např. federální i státní donucovací orgány v USA), ve všech případech musí být tudíž poskytována rovnocenná ochrana. Orgány Spojeného království však rovněž vysvětlily, že podrobnosti konkrétního provádění záruk ochrany údajů jsou dosud předmětem jednání mezi Spojeným královstvím a USA. V souvislosti s rozhovory s útvary Evropské komise na téma tohoto rozhodnutí orgány Spojeného království potvrdily, že nechají dohodu vstoupit v platnost až poté, co se přesvědčí, že její provádění je v souladu s právními závazky, které jsou v ní stanoveny, včetně jasnosti ohledně dodržování standardů ochrany údajů, pokud jde o jakékoli údaje požadované podle této dohody. Jelikož případný vstup dohody v platnost může mít dopad na úroveň ochrany posuzovanou v tomto rozhodnutí, mělo by Spojené království Evropské komisi sdělit jakékoli informace a budoucí objasnění týkající se způsobu, jakým budou Spojené státy plnit své závazky vyplývající z dohody, jakmile bude toto objasnění k dispozici a v každém případě před vstupem dohody v platnost, aby bylo zajištěno řádné sledování tohoto rozhodnutí v souladu s čl. 45 odst. 4 nařízení (EU) 2016/679. Zvláštní pozornost bude věnována použití a přizpůsobení ochranných opatření v rámci zastřešující dohody pro konkrétní druhy předání, na které se vztahuje dohoda mezi Spojeným královstvím a USA.

(156)

Obecněji bude jakýkoli relevantní vývoj, pokud jde o vstup dohody v platnost a její uplatňování, náležitě zohledněn v rámci nepřetržitého sledování tohoto rozhodnutí, a to i s ohledem na nezbytné důsledky, které budou vyvozeny v případě jakékoli známky toho, že již není zajištěna v zásadě rovnocenná úroveň ochrany.

(157)

V závislosti na pravomocích, které příslušné orgány používají při zpracování osobních údajů pro účely vymáhání práva (ať už podle zákona o ochraně údajů z roku 2018, nebo podle zákona o vyšetřovacích pravomocích z roku 2016), zajišťují dohled nad využíváním těchto pravomocí různé subjekty. Zejména na zpracování osobních údajů dohlíží komisař pro informace, pokud zpracování spadá do oblasti působnosti části 3 zákona o ochraně údajů z roku 2018 (226). Nezávislý a soudní dohled nad využíváním vyšetřovacích pravomocí podle zákona o vyšetřovacích pravomocích z roku 2016 zajišťuje Úřad komisaře pro kontrolu vyšetřovacích pravomocí (227) (této části se věnují 250. až 255. bod odůvodnění). Kromě toho je další dohled zaručen ze strany parlamentu Spojeného království, jakož i jiných orgánů.

(158)

Obecné funkce komisaře pro informace (jehož nezávislost a organizace jsou vysvětleny v 87. bodě odůvodnění), pokud jde o zpracování osobních údajů spadajících do oblasti působnosti části 3 zákona o ochraně údajů z roku 2018, jsou stanoveny v příloze 13 zákona o ochraně údajů z roku 2018. Hlavním úkolem Úřadu komisaře pro informace je sledovat a vymáhat část 3 zákona o ochraně údajů z roku 2018 a také zvyšovat povědomí veřejnosti, poskytovat doporučení parlamentu Spojeného království, vládě a dalším institucím a subjektům. V zájmu zachování nezávislosti soudnictví není komisař pro informace oprávněn vykonávat své funkce v souvislosti se zpracováním osobních údajů jednotlivcem, který jedná v rámci soudních pravomocí, nebo soudem či tribunálem jednajícím v rámci své soudní pravomoci. Za těchto okolností by funkce dohledu vykonávaly jiné orgány, jak je vysvětleno v 99. až 103. bodě odůvodnění.

(159)

Pokud jde o zpracování osobních údajů, na které se použije část 3, má komisař obecné vyšetřovací, nápravné, povolovací a poradenské pravomoci. Komisař má zejména pravomoc oznamovat správci nebo zpracovateli údajné porušení části 3 zákona o ochraně údajů z roku 2018, vydávat varování nebo napomenutí správci nebo zpracovateli, který porušil ustanovení části 3 zákona, jakož i z vlastního podnětu nebo na žádost vydávat pro parlament Spojeného království, vládu nebo jiné instituce a subjekty, jakož i pro veřejnost stanoviska k jakékoli otázce týkající se ochrany osobních údajů (228).

(160)

Kromě toho má komisař pravomoc vydávat výzvy k podání informací (229), oznámení o posouzení (230) a oznámení o vymáhání (231), jakož i pravomoc získat přístup k dokumentům správců a zpracovatelů, vstupovat do jejich prostor (232) a udělovat správní pokuty formou oznámení o sankci (233). Politika regulačních opatření Úřadu komisaře pro informace stanoví okolnosti, za nichž komisař vydává výzvy k podání informací, oznámení o posouzení, vymáhání a o sankci (234) (viz také 93. bod odůvodnění a 101.–102. bod odůvodnění směrnice (EU) 2016/680 týkající se rozhodnutí o odpovídající ochraně).

(161)

Podle posledních výročních zpráv Úřadu (2018–2019 (235), 2019–2020 (236)) vedla komisařka pro informace řadu vyšetřování a přijala donucovací opatření v souvislosti se zpracováním údajů donucovacími orgány. Komisařka například provedla šetření a v říjnu 2019 zveřejnila stanovisko týkající se používání technologie rozpoznávání obličeje na veřejných místech pro účely vymáhání práva. Šetření se zaměřilo zejména na využití zařízení pro rozpoznávání obličeje v reálném čase policií jižního Walesu a metropolitní policií. Komisařka pro informace rovněž vyšetřovala tzv. matici gangů (237) metropolitní policie a zjistila řadu závažných porušení právních předpisů v oblasti ochrany údajů, která by mohla narušit důvěru veřejnosti v matici a ve způsob, jakým jsou údaje využívány. V listopadu 2018 vydala komisařka pro informace oznámení o vymáhání a metropolitní policie následně přijala potřebné kroky, aby zvýšila zabezpečení a odpovědnost zajistila přiměřené využívání údajů. Dalším příkladem opatření k vymáhání v této oblasti je pokuta ve výši 325 000 GBP, kterou komisařka uložila v květnu 2018 úřadu státního zástupce za ztrátu nezašifrovaných DVD obsahujících záznamy policejních výslechů. Komisařka pro informace rovněž vedla vyšetřování v rámci obecnějších témat, například v první polovině roku 2020 šetřila získávání údajů z mobilních telefonů pro policejní účely a zpracování údajů obětí ze strany policie. Kromě toho komisařka v současné době vyšetřuje případ, který zahrnuje přístup donucovacích orgánů k údajům uchovávaným subjektem soukromého sektoru, společností Clearview AI Inc (238).

(162)

Vedle donucovacích pravomocí komisaře pro informace popsaných ve 160. a 161. bodě odůvodnění představují určitá porušení právních předpisů v oblasti ochrany údajů trestné činy, a proto mohou podléhat trestním sankcím (článek 196 zákona o ochraně údajů z roku 2018). Jde například o získávání, zpřístupňování nebo uchovávání osobních údajů bez souhlasu správce a zajišťování zpřístupnění osobních údajů jiné osobě bez souhlasu správce (239); opětovnou identifikaci údajů, které jsou osobními údaji, jež byly anonymizovány, bez souhlasu správce odpovědného za anonymizaci daných osobních údajů (240); záměrné maření výkonu pravomocí komisaře v souvislosti s inspekcí osobních údajů v souladu s mezinárodními závazky (241), vydávání nepravdivých prohlášení v reakci na výzvu k podání informací nebo ničení údajů v souvislosti s výzvami k podání informací a oznámeními o posouzení (242).

(163)

Vedle komisaře pro informace existuje několik orgánů dohledu v oblasti vymáhání trestního práva se zvláštními mandáty relevantními pro otázky ochrany údajů. K nim patří například komisař pro uchovávání a používání biometrických materiálů (dále jen „komisař pro biometriku“) (243) a komisař pro sledovací kamerové systémy (244).

(164)

Zvláštní parlamentní výbor pro vnitřní záležitosti (Home Affairs Select Committee) zajišťuje parlamentní dohled v oblasti vymáhání práva. Výbor se skládá z jedenácti poslanců parlamentu Spojeného království vybraných ze tří největších politických stran. Úkolem výboru je zkoumat výdaje, správu a politiku Ministerstva vnitra a přidružených veřejných subjektů, tj. včetně policie a Národní kriminální agentury, jejichž práci může výbor výhradně zkoumat (245).

(165)

Výbor může v mezích svých pravomocí zvolit svůj vlastní předmět šetření, včetně konkrétních případů, pokud v dané věci není soudně rozhodnuto. Výbor může rovněž požadovat písemné a ústní důkazy od celé řady příslušných skupin a jednotlivců. Vypracovává zprávy o svých zjištěních a vydává doporučení vládě (246). Vláda by měla reagovat na každé z doporučení ve zprávě a musí odpovědět do 60 dnů (247).

(166)

V oblasti sledování výbor rovněž vypracoval zprávu týkající se zákona o úpravě vyšetřovacích pravomocí z roku 2000 (248), která došla k závěru, že zákon o úpravě vyšetřovacích pravomocí z roku 2000 neodpovídá svému účelu. Zpráva výboru byla zohledněna při nahrazování významných částí zákona o úpravě vyšetřovacích pravomocí z roku 2000 zákonem o vyšetřovacích pravomocích z roku 2016. Úplný seznam šetření lze nalézt na webových stránkách výboru (249).

(167)

Úkoly zvláštního parlamentního výboru pro vnitřní záležitosti ve Skotsku plní Justiční podvýbor pro činnost policie a v Severním Irsku Výbor pro spravedlnost (250).

(168)

Pokud jde o zpracování údajů donucovacími orgány, jsou k dispozici ochranné mechanismy podle části 3 zákona o ochraně údajů z roku 2018 a podle zákona o vyšetřovacích pravomocích z roku 2016, jakož i podle zákona o lidských právech z roku 1998.

(169)

Tato série mechanismů poskytuje subjektům údajů účinné prostředky správní a soudní ochrany, které jim umožňují zejména zajistit jejich práva včetně práva na přístup k jejich osobním údajům nebo dosáhnout opravy nebo výmazu těchto údajů.

(170)

Zaprvé má podle článku 165 zákona o ochraně údajů z roku 2018 subjekt údajů právo podat stížnost u komisaře pro informace, pokud má za to, že v souvislosti s jeho osobními údaji došlo k porušení části 3 zákona o ochraně údajů z roku 2018 (251). Komisař pro informace má pravomoc posoudit, jak správce a zpracovatel dodržují zákon o ochraně údajů z roku 2018, vyžadovat od nich, aby v případě nedodržení předpisů přijali nezbytné kroky, a ukládat pokuty.

(171)

Zadruhé zákon o ochraně údajů z roku 2018 stanoví právo na nápravu vůči komisaři pro informace, pokud komisař řádně nevyřídí stížnost subjektu údajů. Přesněji řečeno, pokud komisař „nedosahuje pokroku“ (252) ve věci stížnosti podané subjektem údajů, má stěžovatel přístup k soudnímu opravnému prostředku, neboť se může obrátit na tribunál prvního stupně (253), aby ten komisaři nařídil přijmout vhodná opatření k vyřízení stížnosti nebo informovat stěžovatele o pokroku ve věci stížnosti (254). Kromě toho se každá osoba, které je doručeno jedno z výše uvedených oznámení komisaře (výzva k podání informací, oznámení o posouzení, vymáhání nebo sankci), může odvolat k tribunálu prvního stupně. Pokud tribunál dospěje k závěru, že rozhodnutí komisaře není v souladu se zákonem, nebo že měl komisař pro informace uplatnit svou diskreční pravomoc jinak, musí tribunál vyhovět opravnému prostředku nebo vydat jiné oznámení nebo přijmout jiné rozhodnutí, které komisař pro informace mohl vydat nebo učinit (255).

(172)

Zatřetí mohou jednotlivci soudní ochrany vůči správcům a zpracovatelům dosáhnout přímo u soudů. Zejména může subjekt údajů podle článku 167 zákona o ochraně údajů z roku 2018 podat u soudu žalobu pro porušení svých práv podle právních předpisů o ochraně údajů a soud může formou příkazu požádat správce, aby v zájmu souladu zpracování se zákonem o ochraně údajů z roku 2018 přijal jakékoli opatření (nebo se jakéhokoli opatření zdržel). Kromě toho podle článku 169 zákona o ochraně údajů z roku 2018 má každá osoba, která utrpěla škodu v důsledku porušení požadavku právních předpisů o ochraně údajů (včetně části 3 zákona o ochraně údajů z roku 2018), kromě britského nařízení GDPR, nárok na náhradu této škody od správce nebo zpracovatele, s výjimkou případů, kdy správce nebo zpracovatel prokáže, že správce nebo zpracovatel není nijak odpovědný za událost, která vedla ke vzniku škody. Škoda zahrnuje jak finanční ztrátu, tak nefinanční újmu, například utrpení.

(173)

A konečně kterákoli osoba, která se domnívá, že její práva včetně práv na ochranu soukromí a ochranu údajů byla porušena orgány veřejné moci, může dosáhnout nápravy u soudů Spojeného království podle zákona o lidských právech z roku 1998 (256) a osoba, nevládní organizace a skupiny jednotlivců mohou po vyčerpání vnitrostátních opravných prostředků dosáhnout nápravy u Evropského soudu pro lidská práva, pokud jde o porušení práv zaručených Evropskou úmluvou o lidských právech (257) (viz 111. bod odůvodnění).

(174)

Jednotlivci mohou dosáhnout nápravy v případě porušení zákona o vyšetřovacích pravomocích z roku 2016 u tribunálu pro kontrolu vyšetřovacích pravomocí. Možnosti nápravy dostupné podle zákona o vyšetřovacích pravomocích z roku 2016 jsou popsány ve 263. až 269. bodě odůvodnění níže.

(175)

V právním řádu Spojeného království jsou zpravodajskými službami zmocněnými ke shromažďování elektronických informací uchovávaných správci nebo zpracovateli z důvodů národní bezpečnosti v situacích, které jsou příslušné pro scénář odpovídající ochrany, Security Service (Bezpečnostní služba, MI5) (258), Secret Intelligence Service (Tajná zpravodajská služba, SIS) (259) a Government Communications Headquarters (Vládní ředitelství pro komunikace, GCHQ) (260) (261).

(176)

Ve Spojeném království jsou pravomoci zpravodajských služeb stanoveny v zákoně o vyšetřovacích pravomocích z roku 2016 a v zákoně o úpravě vyšetřovacích pravomocí z roku 2000 a tyto zákony spolu se zákonem o ochraně údajů z roku 2018 vymezují věcnou a osobní působnost těchto pravomocí, jakož i omezení a záruky pro jejich použití. V následujících oddílech jsou tyto pravomoci, jakož i omezení a záruky, které se na ně vztahují, podrobně posouzeny.

(177)

Zákon o vyšetřovacích pravomocích z roku 2016 poskytuje právní rámec pro použití vyšetřovacích pravomocí, tj. pravomoc odposlechů, přístupu ke komunikačním údajům a vzdáleného síťového přístupu k zařízení. Zákon o vyšetřovacích pravomocích z roku 2016 zavádí obecný zákaz použití technik, které umožňují přístup k obsahu komunikace, přístup ke komunikačním údajům nebo vzdálený síťový přístup k zařízení bez zákonného oprávnění, a toto jednání kvalifikuje jako trestný čin (262). To se odráží ve skutečnosti, že použití těchto vyšetřovacích pravomocí je zákonné pouze tehdy, je-li prováděno na základě příkazu nebo povolení (263).

(178)

Zákon o vyšetřovacích pravomocích z roku 2016 stanoví podrobná pravidla upravující oblast působnosti a použití každé z vyšetřovacích pravomocí, jakož i jejich zvláštní omezení a záruky. Platí různá pravidla v závislosti na druhu vyšetřovací pravomoci (odposlech komunikace, získávání a uchovávání komunikačních údajů a vzdálený síťový přístup k zařízení) (264), jakož i na tom, zda je pravomoc vykonávána vůči konkrétnímu cíli nebo hromadně. Podrobnosti o oblasti působnosti, zárukách a omezeních každého opatření podle zákona o vyšetřovacích pravomocích z roku 2016 jsou popsány ve zvláštním oddíle níže.

(179)

Zákon o vyšetřovacích pravomocích z roku 2016 je navíc doplněn řadou zákonných kodexů zásad, které vydal ministr a schválily obě komory Parlamentu Spojeného království (265) a které jsou použitelné v celé zemi a poskytují pokyny k využívání uvedených pravomocí (266). Zatímco subjekty údajů mohou při výkonu svých práv vycházet přímo z ustanovení zákona o vyšetřovacích pravomocích z roku 2016, bod 5 přílohy 7 zákona o vyšetřovacích pravomocích z roku 2016 stanoví, že kodexy zásad jsou přípustné jako důkazy v občanskoprávních a trestních řízeních a soud, tribunál nebo dozorčí orgán může vzít jakékoli nedodržení kodexů v úvahu při rozhodování o příslušné otázce v soudním řízení (267). V rámci svého posouzení „kvality práva“ týkajícího se předchozího právního předpisu Spojeného království v oblasti dozoru, zákona o úpravě vyšetřovacích pravomocí z roku 2000, velký senát Evropského soudu pro lidská práva výslovně uznal příslušnost britských kodexů zásad a připustil, že jejich ustanovení lze zohlednit při posuzování předvídatelnosti právních předpisů umožňujících sledování (268).

(180)

Je třeba také poznamenat, že cílené pravomoci (cílené odposlechy (269), získávání komunikačních údajů (270), uchovávání komunikačních údajů (271) a cílený vzdálený síťový přístup k zařízení (272)) jsou dostupné národním bezpečnostním službám a určitým donucovacím orgánům (273), zatímco hromadné pravomoci (tj. hromadný odposlech (274), hromadné získávání komunikačních údajů (275), hromadný vzdálený síťový přístup k zařízení (276) a hromadné soubory osobních údajů (277)) mohou využívat pouze zpravodajské služby.

(181)

Při rozhodování o tom, která vyšetřovací pravomoc by měla být použita, musí zpravodajská služba dodržovat „obecné povinnosti týkající se soukromí“ vyjmenované v čl. 2 odst. 2 písm. a) zákona o vyšetřovacích pravomocích z roku 2016, které zahrnují test nezbytnosti a přiměřenosti. Přesněji řečeno, podle tohoto ustanovení musí orgán veřejné moci, který má v úmyslu využít vyšetřovací pravomoc, zvážit: i) zda by bylo možné cíle, kterého má být příkazem, povolením nebo oznámením dosaženo, rozumně dosáhnout jinými, méně rušivými prostředky; ii) zda je úroveň ochrany, která se má uplatnit v souvislosti s jakýmkoli získáváním informací na základě příkazu, povolení nebo oznámení, vyšší z důvodu zvláštní citlivosti daných informací; iii) veřejný zájem na integritě a bezpečnosti telekomunikačních systémů a poštovních služeb a iv) jakékoli další aspekty veřejného zájmu na ochraně soukromí (278).

(182)

Způsob, jakým by měla být tato kritéria uplatňována (a způsob, jakým je jejich dodržování posuzováno v rámci povolení použití uvedených pravomocí ministrem a nezávislými soudními komisaři), je dále upřesněn v příslušných kodexech zásad. Zejména musí být použití kterékoli z těchto vyšetřovacích pravomocí vždy „přiměřené cíli, kterého má být dosaženo, [což] zahrnuje vyvážení závažnosti zásahu do soukromí (a dalších aspektů uvedených v čl. 2 odst. 2) vůči nezbytnosti dané činnosti z hlediska vyšetřovacího, operativního nebo kapacitního“. To zejména znamená, že „by mělo nabízet reálnou vyhlídku na dosažení očekávaného přínosu a nemělo by být nepřiměřené nebo svévolné“ a „[ž]ádný zásah do soukromí by neměl být považován za přiměřený, pokud by požadované informace mohly být rozumně získány jinými, méně rušivými prostředky“ (279). Přesněji řečeno, dodržování zásady přiměřenosti musí být posouzeno s ohledem na tato kritéria: „i) rozsah navrhovaného zásahu do soukromí v poměru k cíli, kterého má být dosaženo; ii) jak a proč metody, které mají být přijaty, způsobí co nejmenší možný zásah do soukromí dané osoby a ostatních; iii) zda činnost představuje odpovídající použití zákona a po zvážení všech rozumných alternativ i přiměřený způsob dosažení požadovaného cíle; iv) jaké případné další metody buď nebyly provedeny, nebo byly použity, ale bez použití navrhované vyšetřovací pravomoci jsou hodnoceny jako nedostatečné ke splnění operativních cílů“ (280).

(183)

Jak vysvětlily orgány Spojeného království, v praxi se tím zajišťuje, že zpravodajská služba nejprve stanoví operativní cíl (a tím vymezí rozsah shromažďování údajů, např. účel spočívající v mezinárodní protiteroristické činnosti v konkrétní zeměpisné oblasti) a následně na základě tohoto operativního cíle bude muset zvážit, která technická možnost (např. cílený nebo hromadný odposlech, vzdálený síťový přístup k zařízení, získávání komunikačních údajů) je nejpřiměřenější (tj. nejméně narušující soukromí, viz čl. 2 odst. 2 zákona o vyšetřovacích pravomocích) cíli, kterého má být dosaženo, a proto ji lze povolit podle jednoho z dostupných právních základů.

(184)

Stojí za zmínku, že toto využití standardů nezbytnosti a přiměřenosti zaznamenal a uvítal i Joseph Cannataci, zvláštní zpravodaj OSN pro právo na soukromí, který v souvislosti se systémem zavedeným zákonem o vyšetřovacích pravomocích z roku 2016 uvedl, že „[p]ostupy zavedené jak ve zpravodajských službách, tak v donucovacích orgánech zřejmě systematicky vyžadují posouzení nezbytnosti a přiměřenosti opatření nebo operace v oblasti sledování předtím, než je opatření nebo operace doporučena k povolení, jakož i přezkum opatření nebo operace z týchž důvodů“ (281). Rovněž poznamenal, že na svém setkání se zástupci donucovacích orgánů a národních bezpečnostních služeb „získal konsenzuální názor, že při každém rozhodování o opatřeních v oblasti sledování musí být primárně zohledněno právo na soukromí. Všichni chápali a oceňovali nezbytnost a přiměřenost jako základní zásady, které je třeba vzít v úvahu“.

(185)

Zvláštní kritéria pro vydávání jednotlivých příkazů, jakož i omezení a záruky stanovené zákonem o vyšetřovacích pravomocích z roku 2016 pro každou vyšetřovací pravomoc jsou podrobně uvedeny ve 186. až 243. bodě odůvodnění.

(186)

Existují tři druhy příkazů týkající se cíleného odposlechu: příkaz k cílenému odposlechu (282), příkaz k cílenému šetření a příkaz k vzájemné pomoci (283). Podmínky pro získání těchto příkazů i příslušné záruky jsou stanoveny v části 2 kapitole 1 zákona o vyšetřovacích pravomocích z roku 2016.

(187)

Příkaz k cílenému odposlechu povoluje odposlech komunikace popsané v příkazu během přenosu a získávání dalších údajů významných pro tuto komunikaci (284), včetně sekundárních údajů (285). Příkaz k cílenému šetření opravňuje určitou osobu k provedení výběru pro šetření obsahu odposlechu získaného na základě příkazu k hromadnému odposlechu (286).

(188)

Jakýkoli příkaz podle části 2 zákona o vyšetřovacích pravomocích z roku 2016 může vydat ministr (287) a schválit soudní komisař (288). Ve všech případech je doba platnosti jakéhokoli typu cíleného příkazu omezena na šest měsíců (289) a pro jeho úpravy (290) a prodloužení platí zvláštní pravidla (291).

(189)

Před vydáním příkazu musí ministr provést posouzení nezbytnosti a přiměřenosti (292). Zvláště v případě příkazu k cílenému odposlechu a příkazu k cílenému šetření by měl ministr ověřit, zda je opatření nezbytné z jednoho z těchto důvodů: zájem národní bezpečnosti; prevence nebo odhalování trestné činnosti nebo zájmy hospodářského blahobytu Spojeného království (293), pokud jsou tyto zájmy významné i z hlediska zájmů národní bezpečnosti (294). Na druhé straně příkaz k vzájemné pomoci (viz 139. bod odůvodnění výše) lze vydat pouze v případě, že má ministr za to, že existují okolnosti rovnocenné okolnostem, za nichž by vydal příkaz za účelem prevence a/nebo odhalování závažné trestné činnosti (295).

(190)

Ministr by měl navíc posoudit, zda je opatření přiměřené cíli, kterého má být dosaženo (296). Posouzení přiměřenosti požadovaných opatření musí zohledňovat obecné povinnosti týkající se soukromí stanovené v čl. 2 odst. 2 zákona o vyšetřovacích pravomocích z roku 2016, zejména potřebu posoudit, zda by bylo možné cíle, kterého má být příkazem, povolením nebo oznámením dosaženo, rozumně dosáhnout jinými, méně rušivými prostředky a zda je úroveň ochrany, která se má uplatnit v souvislosti s jakýmkoli získáváním informací na základě příkazu vyšší z důvodu zvláštní citlivosti daných informací (viz 181. bod odůvodnění výše).

(191)

Za tímto účelem bude ministr muset vzít v úvahu všechny prvky návrhu poskytnuté dožadujícím orgánem, a to zejména ty, které se týkají osob, které mají být odposlouchávány, a významu opatření pro vyšetřování. Tyto prvky jsou vyjmenovány v kodexu zásad pro odposlech komunikace a musí být popsány s určitou mírou specifičnosti (297). Kromě toho článek 17 zákona o vyšetřovacích pravomocích z roku 2016 vyžaduje, aby jakýkoli příkaz vydaný podle kapitoly 2 uvedeného zákona musel jmenovat nebo popisovat konkrétní osobu nebo skupinu osob, organizaci nebo prostory, které mají být odposlouchávány (tedy „cíl“). Příkaz k cílenému odposlechu nebo příkaz k cílenému šetření se může vztahovat také na skupinu osob, více než jednu osobu nebo organizaci nebo více než jeden soubor prostor (také označovaný jako „tematický příkaz“) (298). V těchto případech by měl příkaz popisovat společný účel nebo činnost sdílenou danou skupinou osob nebo operaci/vyšetřování a měl by pojmenovat nebo popsat co nejvíce z těchto osob/organizací nebo soubor prostor, je-li to přiměřeně proveditelné (299). A konečně také musí všechny příkazy vydané podle části 2 zákona o vyšetřovacích pravomocích z roku 2016 specifikovat adresy, čísla, přístroje, faktory nebo kombinaci faktorů, které mají být použity k identifikaci komunikace (300). V tomto ohledu kodex zásad pro odposlech komunikace stanoví, že v případě příkazu k cílenému odposlechu a příkazu k cílenému šetření „musí příkaz specifikovat (nebo popisovat) faktory nebo kombinaci faktorů, které mají být použity pro identifikaci komunikace. Pokud má být komunikace identifikována odkazem na telefonní číslo (například), musí být číslo specifikováno uvedením v celém rozsahu. Pokud však mají být k identifikaci komunikace použity velmi složité nebo neustále se měnící internetové selektory, měly by být tyto selektory popsány v maximálním možném rozsahu“ (301).

(192)

Důležitou zárukou v této souvislosti je to, že posouzení provedené ministrem pro účely vydání příkazu musí být schváleno nezávislým soudním komisařem (302), který zejména ověří, zda je rozhodnutí o vydání příkazu v souladu se zásadami nezbytnosti a přiměřenosti (303) (status a úloha soudních komisařů viz 251. až 256. bod odůvodnění níže). Zákon o vyšetřovacích pravomocích z roku 2016 rovněž objasňuje, že při provádění této kontroly musí soudní komisař uplatňovat stejné zásady, jaké by uplatňoval soud při podání návrhu na soudní přezkum (304). Tím je zajištěno, že v každém případě a před uskutečněním přístupu k údajům bude soulad se zásadou nezbytnosti a přiměřenosti systematicky kontrolován nezávislým subjektem.

(193)

Zákon o vyšetřovacích pravomocích z roku 2016 stanoví několik málo specifických a úzce vymezených výjimek pro provádění cílených odposlechů bez příkazu. Omezené případy jsou podrobně popsány v zákoně (305) a kromě případu založeného na „souhlasu“ odesílatele/příjemce provádějí odposlech jiné osoby (soukromé nebo veřejné subjekty) než národní bezpečnostní služby. Kromě toho se tento druh odposlechů provádí za jiným účelem, než je shromažďování „zpravodajských informací“ (306), a u některých z nich je velmi nepravděpodobné, že by shromažďování údajů mohlo probíhat v kontextu scénáře „předávání“ (například v případě odposlechu prováděného v psychiatrické léčebně nebo ve věznici). S ohledem na povahu subjektu, na který se tyto specifické případy vztahují (kterým nejsou národní bezpečnostní služby), použijí se všechny záruky stanovené v části 2 zákona o ochraně údajů z roku 2018 a v britském nařízení GDPR, včetně dohledu Úřadu komisaře pro informace a dostupných ochranných mechanismů. Kromě toho kromě záruk poskytnutých zákonem o ochraně údajů z roku 2018 zákon o vyšetřovacích pravomocích z roku 2016 v určitých případech stanoví také následný dohled ze strany Úřadu komisaře pro kontrolu vyšetřovacích pravomocí (307).

(194)

Při provádění odposlechu platí další omezení a záruky s ohledem na konkrétní status odposlouchávané osoby / odposlouchávaných osob (308). Například odposlech záležitostí podléhajících povinnosti mlčenlivosti je povolen pouze za výjimečných a naléhavých okolností, osoba vydávající příkaz musí brát ohled na veřejný zájem na důvěrnosti záležitostí podléhajících povinnosti mlčenlivosti a na to, že existují zvláštní požadavky týkající se manipulace s takovým materiálem, jeho uchovávání a zpřístupňování (309).

(195)

Zákon o vyšetřovacích pravomocích z roku 2016 dále stanoví specifické záruky týkající se zabezpečení, uchovávání a zpřístupňování, které by měl ministr vzít v úvahu před vydáním cíleného příkazu (310). Ustanovení čl. 53 odst. 5 zákona o vyšetřovacích pravomocích z roku 2016 zejména vyžaduje, aby každá kopie kteréhokoli z těchto materiálů shromážděných na základě příkazu byla uložena bezpečně a byla zničena, jakmile již nebudou existovat žádné relevantní důvody pro její uchovávání, zatímco čl. 53 odst. 2 zákona o vyšetřovacích pravomocích z roku 2016 vyžaduje, aby počet osob, kterým je materiál zpřístupněn, a rozsah, v jakém je jakýkoli materiál zveřejněn, zpřístupněn, zpřístupňován nebo kopírován, byl omezen na minimum, které je pro zákonné účely nezbytné.

(196)

A konečně, pokud má být materiál, který byl zachycen na základě příkazu k cílenému odposlechu nebo příkazu k vzájemné pomoci, předán třetí zemi („zahraniční zpřístupnění“), zákon o vyšetřovacích pravomocích z roku 2016 stanoví, že ministr se musí ujistit, že existuje vhodný režim, který zaručí, že v této třetí zemi budou existovat obdobné záruky zabezpečení, uchovávání a zpřístupňování (311). Kromě toho čl. 109 odst. 2 zákona o ochraně údajů z roku 2018 stanoví, že zpravodajské služby mohou předávat osobní údaje na území mimo Spojené království pouze v případě, že je předání nezbytné a přiměřené pro účely zákonných funkcí správce nebo pro jiné účely stanovené v čl. 2 odst. 2 písm. a) zákona o Bezpečnostní službě z roku 1989 nebo v čl. 2 odst. 2 písm. a) a čl. 4 odst. 2 písm. a) zákona o zpravodajských službách z roku 1994 (312). Důležité je, že tyto požadavky se použijí i v případech, v nichž je uplatněna výjimka z důvodu národní bezpečnosti podle článku 110 zákona o ochraně údajů z roku 2018, neboť článek 110 zákona o ochraně údajů z roku 2018 neuvádí článek 109 zákona o ochraně údajů z roku 2018 jako jedno z ustanovení, které se nemusí použít, pokud je pro účely ochrany národní bezpečnosti nutná výjimka z určitých ustanovení.

(197)

Zákon o vyšetřovacích pravomocích z roku 2016 umožňuje ministrovi požadovat, aby provozovatelé telekomunikačních služeb uchovávali komunikační údaje za účelem cíleného přístupu řady orgánů veřejné moci, včetně donucovacích orgánů a zpravodajských služeb. Část 4 zákona o vyšetřovacích pravomocích z roku 2016 stanoví uchovávání komunikačních údajů, zatímco část 3 upravuje cílené získávání komunikačních údajů. Část 3 a část 4 zákona o vyšetřovacích pravomocích z roku 2016 rovněž vymezují konkrétní omezení použití těchto pravomocí a stanoví zvláštní záruky.

(198)

Výraz „komunikační údaje“ v rámci určité komunikace zahrnuje „kdo“, „kdy“, „kde“ a „jak“, nikoli však obsah komunikace, tj. co bylo řečeno nebo napsáno. Na rozdíl od odposlechu není získávání a uchovávání komunikačních údajů zaměřeno na získání obsahu komunikace, ale na získání informací, například určení účastníka telefonní služby nebo vyúčtování rozepsaného na jednotlivé položky. Údaje by mohly zahrnovat čas a dobu trvání komunikace, telefonní číslo nebo e-mailovou adresu původce a příjemce a někdy i umístění zařízení, z nichž byla komunikace uskutečněna (313).

(199)

Je třeba upozornit, že uchovávání a získávání komunikačních údajů se obvykle nebude týkat osobních údajů subjektů údajů z EU předávaných podle tohoto rozhodnutí do Spojeného království. Povinnost uchovávat nebo zpřístupňovat komunikační údaje podle částí 3 a 4 zákona o vyšetřovacích pravomocích z roku 2016 zahrnuje údaje, které shromažďují provozovatelé telekomunikačních služeb ve Spojeném království přímo od uživatelů telekomunikační služby (314). Tento druh zpracování „v přímém vztahu k zákazníkovi“ obvykle nezahrnuje předání na základě tohoto rozhodnutí, tj. předání správcem/zpracovatelem v EU správci/zpracovateli ve Spojeném království.

(200)

Pro úplnost jsou však v následujících bodech odůvodnění analyzovány podmínky a záruky, kterými se tyto režimy získávání a uchovávání řídí.

(201)

Jako základní premisu je třeba uvést, že uchovávání a cílené získávání komunikačních údajů mohou využít jak národní bezpečnostní služby, tak některé donucovací orgány (315). Podmínky požadavku na uchovávání a/nebo získávání komunikačních údajů se mohou lišit v závislosti na důvodu pro požadování daného opatření, konkrétně na účelu týkajícího se národní bezpečnosti nebo vymáhání práva.

(202)

Zejména, zatímco nový režim zavedl obecný požadavek předem vydaného povolení nezávislého orgánu, který se použije ve všech případech, v nichž jsou uchovávány a/nebo získávány komunikační údaje (buď pro účely vymáhání práva, nebo pro účely národní bezpečnosti), v návaznosti na rozsudek Evropského soudního dvora ve věci Tele2/Watson (316) byly zavedeny zvláštní záruky v případech, v nichž je opatření požadováno pro účely vymáhání práva. Zejména, je-li uchování nebo získání komunikačních údajů požadováno pro účely vymáhání práva, musí předem vydané povolení vždy vystavit komisař pro kontrolu vyšetřovacích pravomocí. Není tomu tak vždy, pokud je opatření požadováno z důvodu národní bezpečnosti, neboť v určitých případech může být takový druh opatření povolen jinou „schvalující osobou“, jak je popsáno níže. Nový režim kromě toho zvýšil prahovou hodnotu, u níž lze povolit uchovávání a získávání komunikačních údajů, na „závažné trestné činy“ (317).

(203)

Podle části 3 zákona o vyšetřovacích pravomocích z roku 2016 jsou příslušné orgány veřejné moci oprávněny získávat komunikační údaje od poskytovatele telekomunikačních služeb nebo kterékoli osoby, která může takové údaje získat a zpřístupnit. Povolení nemusí umožňovat odposlech obsahu komunikace (318) a pozbývá účinnosti po uplynutí jednoho měsíce (319) s možností prodloužení, bude-li vydáno další povolení (320). Získání komunikačních údajů vyžaduje povolení komisaře pro kontrolu vyšetřovacích pravomocí (321) (status a pravomoci komisaře pro kontrolu vyšetřovacích pravomocí viz 250. až 251. bod odůvodnění níže). Je tomu tak ve všech případech, kdy o získání komunikačních údajů žádá příslušný donucovací orgán. Avšak jsou-li údaje získány v zájmu národní bezpečnosti nebo hospodářského blahobytu Spojeného království, pokud je to důležité pro národní bezpečnost nebo pokud žádost podá člen zpravodajské služby podle čl. 61 odst. 7 písm. b) (322), může podle článku 61 zákona o vyšetřovacích pravomocích z roku 2016 získání alternativně (323) povolit komisař pro kontrolu vyšetřovacích pravomocí nebo určený vyšší úředník (324). Určený úředník musí být nezávislý na dotčeném vyšetřování nebo dotčené operaci a musí mít pracovní znalost zásad a právních předpisech v oblasti lidských práv, zejména zásad nezbytnosti a přiměřenosti (325). Rozhodnutí určeného úředníka bude podléhat následnému dohledu ze strany komisaře pro kontrolu vyšetřovacích pravomocí (další podrobnosti o funkcích následného dohledu komisaře pro kontrolu vyšetřovacích pravomocí viz 254. bod odůvodnění níže).

(204)

Povolení k získání komunikačních údajů je založeno na posouzení nezbytnosti a přiměřenosti opatření. Přesněji řečeno, nezbytnost opatření se posuzuje s ohledem na důvody vyjmenované v právních předpisech (326). S ohledem na cílenou povahu tohoto opatření musí být opatření také nezbytné pro konkrétní vyšetřování nebo operaci (327). Další požadavky na posouzení nezbytnosti opatření jsou stanoveny v kodexu zásad pro komunikační údaje (328). Tento kodex zejména stanoví, že návrh podaný dožadujícím orgánem by měl identifikovat tři minimální prvky odůvodňující jeho nezbytnost: i) vyšetřovanou událost, jako je trestný čin nebo místo, kde se nachází zranitelná pohřešovaná osoba; ii) osobu, jejíž údaje jsou požadovány, například podezřelého, svědka nebo pohřešované osoby, a způsob, jakým je osoba s událostí spojena, a iii) požadovaná komunikační data, jako je telefonní číslo nebo IP adresa, a vztah těchto údajů k dané osobě a události (329).

(205)

Získání komunikačních údajů by navíc mělo být přiměřené cíli, kterého má být dosaženo (330). Kodex zásad pro komunikační údaje objasňuje, že při provádění takového posouzení by měl schvalující jednotlivec posoudit vyvážení „míry zásahu do práv a svobod jednotlivce vůči konkrétnímu prospěchu pro vyšetřování nebo operaci prováděnou příslušným orgánem veřejné moci ve veřejném zájmu“ a uvážit, že při zohlednění všech aspektů konkrétního případu „nemusí být zásah do práv jednotlivce přesto odůvodněn, neboť nepříznivý dopad na práva jiného jednotlivce nebo skupiny jednotlivců je příliš závažný“. Za účelem konkrétního posouzení přiměřenosti opatření kodex vyjmenovává řadu prvků, které by měl obsahovat návrh podaný dožadujícím orgánem (331). Dále je třeba věnovat zvláštní pozornost druhu komunikačních údajů (údaje týkající se „subjektu“ nebo „událostí“ (332)), které mají být získány, a musí být upřednostněno použití méně rušivé kategorie údajů (333). Kodex zásad pro komunikační údaje také obsahuje konkrétní pokyny pro povolení týkající se komunikačních údajů osob v určitých profesích (například lékařů, advokátů, novinářů, poslanců nebo kněží) (334), na které se vztahují další záruky (335).

(206)

Část 4 zákona o vyšetřovacích pravomocích z roku 2016 stanoví pravidla pro uchovávání komunikačních údajů, a zejména kritéria umožňující ministrovi vydat výzvu k uchovávání údajů (336). Záruky zavedené zákonem o vyšetřovacích pravomocích jsou stejné, pokud jsou údaje uchovávány buď pro účely vymáhání práva, nebo v zájmu národní bezpečnosti.

(207)

Vydání těchto výzev k uchovávání údajů má zajistit, aby provozovatelé telekomunikačních služeb po dobu maximálně 12 měsíců uchovávali relevantní komunikační údaje, které by jinak byly vymazány, jakmile již nebudou pro obchodní účely zapotřebí (337). Uchované údaje mají zůstat k dispozici po požadovanou dobu pro případ, že by bylo následně nezbytné, aby je orgán veřejné moci získal na základě povolení k cílenému získání komunikačních údajů podle části 3 zákona o vyšetřovacích pravomocích z roku 2016 a popisu ve 203. až 205. bodě odůvodnění.

(208)

Výkon pravomoci vyžadovat uchovávání určitých údajů podléhá řadě omezení a záruk. Ministr může výzvu k uchovávání údajů jednomu nebo více provozovatelům (338) vydat pouze v případě, že má za to, že požadavek na uchování údajů je nezbytný pro jeden ze zákonných účelů (339) a je přiměřený cíli, kterého má být dosaženo (340). Jak je objasněno v samotném zákoně o vyšetřovacích pravomocích z roku 2016 (341), ministr musí před vydáním výzvy k uchovávání údajů zohlednit: pravděpodobné přínosy výzvy (342); popis telekomunikačních služeb; vhodnost omezení údajů, které mají být uchovávány, s odkazem na místo nebo popisy osob, kterým jsou poskytovány telekomunikační služby (343); pravděpodobný počet uživatelů (je-li znám) jakékoli telekomunikační služby, které se výzva týká (344); technickou proveditelnost vyhovění výzvě; pravděpodobné náklady na vyhovění výzvě a jakýkoli jiný vliv výzvy na poskytovatele telekomunikačních služeb (nebo popis poskytovatelů), kterého se týká (345). Jak je dále upřesněno v kapitole 17 kodexu zásad pro komunikační údaje, všechny výzvy k uchovávání údajů musí specifikovat každý druh údajů, který má být uchováván, a to, jak daný druh údajů splňuje nezbytné testy pro uchování.

(209)

Ve všech případech (pro účely národní bezpečnosti i pro účely vymáhání práva) musí rozhodnutí ministra vydat výzvu k uchovávání údajů schválit nezávislý soudní komisař v rámci tzv. postupu dvojitého zámku, a tento komisař musí zejména přezkoumat, zda je výzva k uchovávání příslušných komunikačních údajů nezbytná a přiměřená pro jeden nebo více zákonných účelů (346).

(210)

Vzdálený síťový přístup k zařízení je soubor technik používaných k získávání různých údajů ze zařízení (347), která zahrnují počítače, tablety a chytré telefony, jakož i kabely, vodiče a paměťová zařízení (348). Vzdálený síťový přístup k zařízení umožňuje získat jak obsah komunikace, tak údaje týkající se zařízení (349).

(211)

V souladu s čl. 13 odst. 1 zákona o vyšetřovacích pravomocích z roku 2016 vyžaduje použití vzdáleného síťového přístupu k zařízení zpravodajskou službou povolení formou příkazu podle postupu „dvojitého zámku“ ve smyslu zákona o vyšetřovacích pravomocích z roku 2016, za předpokladu, že existuje „spojení s Britskými ostrovy“ (350). Podle vysvětlení, která poskytly orgány Spojeného království, by v situacích, kdy jsou údaje předávány z Evropské unie do Spojeného království v rámci působnosti tohoto rozhodnutí, vždy existovalo „spojení s Britskými ostrovy“ a jakýkoli vzdálený síťový přístup k zařízení zahrnující takové údaje by proto podléhal požadavku povinného příkazu podle čl. 13 odst. 1 zákona o vyšetřovacích pravomocích z roku 2016 (351).

(212)

Pravidla týkající se příkazů k cílenému vzdálenému síťovému přístupu k zařízení jsou stanovena v části 5 zákona o vyšetřovacích pravomocích z roku 2016. Podobně jako cílený odposlech se cílený vzdálený síťový přístup k zařízení musí vztahovat ke konkrétnímu „cíli“, který musí být v příkazu vymezen (352). Podrobnosti o tom, jak musí být „cíl“ identifikován, závisí na dané záležitosti a druhu zařízení, do něhož se má přístup uskutečnit. Zejména čl. 115 odst. 3 zákona o vyšetřovacích pravomocích specifikuje prvky, které by měly být v příkazu obsaženy (např. jméno osoby nebo organizace, popis místa), v závislosti například na tom, zda se přístup týká zařízení, které náleží určité osobě nebo organizaci nebo skupině osob, používá je určitá osoba nebo organizace nebo skupina osob nebo je zařízení v držení určité osoby nebo organizace nebo skupiny osob, nachází se na konkrétním místě atd. (353) Účely, pro které lze vydat příkazy k cílenému vzdálenému síťovému přístupu k zařízení, závisí na orgánu veřejné moci, který vydá návrh na vydání příkazu (354).

(213)

Obdobně jako u cíleného odposlechu musí vydávající orgán zvážit, zda je opatření nezbytné k dosažení konkrétního účelu a zda je přiměřené cíli, kterého má být dosaženo (355). Kromě toho by měl rovněž zvážit, zda existují záruky, pokud jde o zabezpečení, uchovávání a zpřístupňování, jakož i pokud jde o „zahraniční zpřístupnění“ (356)(viz 196. bod odůvodnění).

(214)

Pokud se nejedná o naléhavý případ, musí příkaz schválit soudní komisař (357). Pokud jde o naléhavý případ, musí být soudní komisař o vydání příkazu informován a musí jej schválit do tří pracovních dnů. Pokud soudní komisař odmítne příkaz schválit, pozbude příkaz účinnosti a nesmí být obnoven (358). Soudní komisař má také pravomoc vyžadovat, aby byly jakékoli údaje získané na základě příkazu vymazány (359). Skutečnost, že byl zatykač vydán za naléhavých okolností, nemá vliv na následný dohled (viz 244. až 255. bod odůvodnění), ani na možnosti jednotlivců požadovat nápravu (viz 260. až 270. bod odůvodnění). Jednotlivci mohou obvyklým způsobem podat stížnost u Úřadu komisaře pro informace nebo uplatnit nárok týkající se jakéhokoli údajného jednání u tribunálu pro kontrolu vyšetřovacích pravomocí. Ve všech případech soudní komisař při rozhodování o schválení či neschválení příkazu použije test nezbytnosti a přiměřenosti použitelný na žádosti o cílené odposlechy (360) (viz 192. bod odůvodnění výše).

(215)

A konečně se také na vzdálený síťový přístup k zařízení vztahují zvláštní záruky použitelné na cílené odposlechy, pokud jde o dobu platnosti, prodloužení a úpravu příkazu, jakož i o odposlech poslanců parlamentu Spojeného království, záležitostí podléhajících povinnosti mlčenlivosti a novinářských materiálů (další podrobnosti viz 193. bod odůvodnění).

(216)

Hromadné pravomoci upravuje část 6 zákona o vyšetřovacích pravomocích z roku 2016. Další podrobnosti týkající se použití hromadných pravomocí stanoví i kodexy zásad. Ačkoli v právu Spojeného království neexistuje definice „hromadné pravomoci“, v kontextu zákona o vyšetřovacích pravomocích z roku 2016 byla popsána jako shromažďování a uchovávání velkého množství údajů získaných vládou různými prostředky (tj. pravomoci hromadného odposlechu, hromadného získávání, hromadného vzdáleného síťového přístupu k zařízení a hromadných souborů osobních údajů), k nimž mohou mít následně orgány přístup. Tento popis je objasněn srovnáním s tím, co „hromadná pravomoc“ není: nerovná se „plošnému sledování“ bez omezení nebo záruk. Naopak, jak je vysvětleno níže, zahrnuje omezení a záruky, jejichž cílem je zajistit, aby přístup k údajům nebyl poskytován nerozlišujícím nebo neodůvodněným způsobem (361). Hromadné pravomoci lze použít pouze zejména v případě, že je stanoveno spojení mezi technickým opatřením, které národní zpravodajská služba hodlá použít, a operačním cílem, pro který je takové opatření požadováno.

(217)

Hromadné pravomoci jsou navíc k dispozici pouze zpravodajským službám a vždy vyžadují příkaz vydaný ministrem zahraničí a schválený soudním komisařem. Při volbě prostředků pro shromažďování zpravodajských informací je třeba zvážit, zda lze dotyčného cíle dosáhnout „méně rušivými prostředky“ (362). Tento přístup vyplývá z rámce právních předpisů, který se opírá o zásadu přiměřenosti, a proto upřednostňuje cílené shromažďování před hromadným.

(218)

Režim pro hromadný odposlech je uveden v kapitole 1 části 6 zákona o vyšetřovacích pravomocích z roku 2016, zatímco kapitola 3 téže části upravuje hromadný vzdálený síťový přístup k zařízení. Tyto režimy jsou v podstatě stejné, podmínky a další záruky použitelné na tyto příkazy jsou tudíž analyzovány společně.

(219)

Příkaz k hromadnému odposlechu se omezuje na odposlech komunikace v průběhu přenosu této komunikace odesílané nebo přijímané osobami mimo Britské ostrovy (363), tzv. komunikace související se zahraničím (364), jakož i další související údaje a následný výběr zachyceného materiálu pro šetření (365). Příkaz k hromadnému vzdálenému síťovému přístupu k zařízení (366) opravňuje adresáta k zajištění přístupu do jakéhokoli zařízení za účelem získání komunikací souvisejících se zahraničím (včetně čehokoli, co zahrnuje řeč, hudbu, zvuky, vizuální obrazy nebo data jakéhokoli popisu), údajů o zařízení (údajů, které umožňují nebo usnadňují fungování poštovní služby; telekomunikačního systému; telekomunikační služby) nebo jakékoli jiné informace (367).

(220)

Ministr může vydat hromadný příkaz pouze na návrh podaný ředitelem zpravodajské služby (368). Příkaz povolující hromadný odposlech nebo vzdálený síťový přístup k zařízení musí být vydán pouze v případě, že je to nezbytné v zájmu národní bezpečnosti a pro další účel prevence nebo odhalování závažné trestné činnosti nebo v zájmu hospodářského blahobytu Spojeného království, pokud je tento zájem významný pro národní bezpečnost (369). Kromě toho čl. 142 odst. 7 zákona o vyšetřovacích pravomocích z roku 2016 vyžaduje, aby byl příkaz k hromadnému odposlechu specifikován podrobněji než pouhým odkazem na „zájmy národní bezpečnosti“, „hospodářský blahobyt Spojeného království“ a „předcházení závažné trestné činnosti a její potírání“, ale aby byla stanovena spojitost mezi požadovaným opatřením a jedním nebo více operativními účely, které musí být v příkazu uvedeny.

(221)

Volba operativního účelu je výsledkem vícevrstvého procesu. Ustanovení čl. 142 odst. 4 stanoví, že operativní účely uvedené v příkazu musí být upřesněny v seznamu vedeném vedoucími představiteli zpravodajských služeb jakožto účely, které považují za operativní účely, pro které mohou být zachycený obsah nebo sekundární údaje získané na základě příkazů k hromadnému odposlechu vybrány k šetření. Seznam operativních účelů musí schválit ministr. Ministr může takový souhlas udělit pouze za předpokladu, že je přesvědčen, že operativní účel je specifikován podrobněji než obecné důvody pro povolení příkazu (národní bezpečnost nebo národní bezpečnost a hospodářský blahobyt nebo prevence závažné trestné činnosti) (370). Na konci každého příslušného tříměsíčního období musí ministr předat kopii seznamu operativních účelů parlamentnímu výboru pro zpravodajské služby a bezpečnost. A konečně také musí seznam operativních účelů alespoň jednou ročně přezkoumat předseda vlády (371). Jak uvedl Vrchní soud, „[t]ato opatření nelze považovat za nevýznamné záruky, protože společně vytvářejí složitý soubor režimů odpovědnosti, do nichž je zapojen Parlament Spojeného království i členové vlády na nejvyšší úrovni“ (372).

(222)

Tyto operativní účely také omezují rozsah výběru zachyceného materiálu pro fázi šetření. Výběr jakéhokoli materiálu shromážděného v rámci příkazu k hromadnému odposlechu k šetření musí být odůvodněn s ohledem na operativní účel(y). Jak vysvětlily orgány Spojeného království, znamená to, že ministr musí posoudit praktický režim šetření již ve fázi vydávání příkazu a musí být uvedeny dostatečné podrobnosti ke splnění zákonných povinností podle článků 152 a 193 zákona o vyšetřovacích pravomocích z roku 2016 (373). Podrobnosti poskytnuté ministrovi v souvislosti s těmito režimy by musely zahrnovat například (případné) informace o tom, jak se mohou měnit režimy filtrování v době účinnosti příkazu (374). Další podrobnosti o postupu a zárukách použitých pro fáze filtrování a šetření viz 229. bod odůvodnění níže.

(223)

Hromadnou pravomoc lze povolit, pouze pokud je přiměřená cíli, kterého má být dosaženo (375). Jak je stanoveno v kodexu zásad pro odposlech, každé posouzení přiměřenosti zahrnuje „vyvážení závažnosti zásahu do soukromí (a dalších aspektů uvedených v čl. 2 odst. 2) vůči nezbytnosti dané činnosti z hlediska vyšetřovacího, operativního nebo kapacitního. Povolené jednání by mělo nabízet reálnou vyhlídku na dosažení očekávaného přínosu a nemělo by být nepřiměřené nebo svévolné“ (376). Jak již bylo zmíněno, v praxi to znamená, že test přiměřenosti je založen na testu rovnováhy mezi tím, čeho má být dosaženo („operativní účel(y)“), a dostupnými technickými možnostmi (např. cílené nebo hromadné odposlechy, vzdálený síťový přístup k zařízení, získávání komunikačních údajů), přičemž se upřednostňují nejméně rušivé prostředky (viz 181. a 182. bod odůvodnění výše). Pokud je pro daný cíl vhodné více než jedno opatření, musí být upřednostněny méně rušivé prostředky.

(224)

Dodatečná záruka při posuzování přiměřenosti požadovaného opatření je zajištěna tím, že ministr musí obdržet příslušné informace potřebné k řádnému provedení jeho posouzení. Kodex zásad pro odposlech a kodex zásad pro vzdálený síťový přístup k zařízení zejména vyžadují, aby návrh podaný příslušným orgánem uváděl souvislosti žádosti, popis komunikace, která má být odposlouchávána, a poskytovatele telekomunikačních služeb, kteří mají být nápomocni, popis jednání, které má být povoleno, operativní účely a vysvětlení, proč je dané jednání nezbytné a přiměřené (377).

(225)

A v neposlední řadě je důležité, že rozhodnutí ministra vydat příkaz musí být schváleno nezávislým soudním komisařem, který posoudí hodnocení nezbytnosti a přiměřenosti navrhovaného opatření, a to za použití stejných zásad, jaké by použil soud u návrhu na soudní přezkum (378). Konkrétně soudní komisař přezkoumá závěry ministra z hlediska toho, zda je příkaz nezbytný a zda je jednání přiměřené z hlediska zásad stanovených v čl. 2 odst. 2 zákona o vyšetřovacích pravomocích z roku 2016 (obecné povinnosti týkající se soukromí). Soudní komisař rovněž přezkoumá závěry ministra, pokud jde o to, zda je každý z operativních účelů uvedených v příkazu účelem, který vyžaduje nebo může vyžadovat výběr. Pokud soudní komisař odmítne schválit rozhodnutí o vydání příkazu, může ministr buď: i) rozhodnutí přijmout, a tudíž nevydat příkaz, nebo ii) postoupit věc komisaři pro kontrolu vyšetřovacích pravomocí k rozhodnutí (pokud původní rozhodnutí nepřijal komisař pro kontrolu vyšetřovacích pravomocí) (379).

(226)

Zákon o vyšetřovacích pravomocích z roku 2016 zavedl další omezení doby platnosti, prodloužení a úpravy hromadného příkazu. Doba platnosti příkazu nesmí přesáhnout šest měsíců a jakékoli rozhodnutí o prodloužení nebo úpravě příkazu (s výjimkou nepodstatných úprav) musí rovněž schválit soudní komisař (380). Kodex zásad pro odposlech a kodex zásad pro vzdálený síťový přístup k zařízení specifikovaly, že změna operativních účelů příkazu se považuje za podstatnou změnu příkazu (381).

(227)

Obdobně tomu, co je stanoveno pro cílené odposlechy, stanoví část 6 zákona o vyšetřovacích pravomocích z roku 2016, že ministr musí zajistit, aby byla v platnosti opatření zajišťující záruky uchovávání a zpřístupňování materiálu získaného na základě příkazu (382), jakož i pro zahraniční zpřístupnění (383). Ustanovení čl. 150 odst. 5 a čl. 191 odst. 5 zákona o vyšetřovacích pravomocích z roku 2016 vyžadují zejména , aby každá kopie kteréhokoli z těchto materiálů shromážděných na základě příkazu byla uložena bezpečně a byla zničena, jakmile již nebudou existovat žádné podstatné důvody pro její uchovávání, zatímco ustanovení čl. 150 odst. 2 a čl. 191 odst. 2 vyžadují, aby počet osob, kterým je materiál zpřístupněn, a rozsah, v jakém je jakýkoli materiál zveřejněn, zpřístupněn, zpřístupňován nebo kopírován, byl omezen na minimum, které je pro zákonné účely nezbytné (384).

(228)

A konečně, pokud má být materiál, který byl zachycen prostřednictvím hromadného odposlechu nebo hromadného vzdáleného síťového přístupu k zařízení, předán třetí zemi („zahraniční zpřístupnění“), zákon o vyšetřovacích pravomocích z roku 2016 stanoví, že ministr se musí ujistit, že existuje zvláštní vhodný režim, který zaručí, že v této třetí zemi budou existovat obdobné záruky zabezpečení, uchovávání a zpřístupňování (385). Kromě toho článek 109 zákona o ochraně údajů z roku 2018 stanoví zvláštní požadavky na mezinárodní předávání osobních údajů zpravodajskými službami třetím zemím nebo mezinárodním organizacím a nepovoluje předávat osobní údaje do země nebo na území mimo Spojené království nebo mezinárodní organizaci, pokud není předání nezbytné a přiměřené pro účely zákonných funkcí správce nebo pro jiné účely stanovené v čl. 2 odst. 2 písm. a) zákona o Bezpečnostní službě z roku 1989 nebo v čl. 2 odst. 2 písm. a) a čl. 4 odst. 2 písm. a) zákona o zpravodajských službách z roku 1994 (386). Důležité je, že tyto požadavky se použijí i v případech, v nichž je uplatněna výjimka z důvodu národní bezpečnosti podle článku 110 zákona o ochraně údajů z roku 2018, neboť článek 110 zákona o ochraně údajů z roku 2018 neuvádí článek 109 zákona o ochraně údajů z roku 2018 jako jedno z ustanovení, které se nemusí použít, pokud je pro účely ochrany národní bezpečnosti nutná výjimka z určitých ustanovení.

(229)

Jakmile je příkaz schválen a údaje hromadně získány, budou údaje před prozkoumáním podrobeny výběru. Fáze výběru a šetření podléhá dalšímu testu přiměřenosti provedenému analytikem, který na základě operativních účelů uvedených v příkazu (a potenciálně existujících režimů filtrování) vymezí kritéria výběru. Jak stanoví články 152 a 193 zákona o vyšetřovacích pravomocích, ministr se musí při vydání příkazu ujistit, že existuje zvláštní vhodný režim, který zaručí, že výběr materiálu bude proveden pouze pro stanovené operativní účely a že bude za všech okolností nezbytný a přiměřený. V tomto ohledu orgány Spojeného království objasnily, že hromadně zachycený materiál se vybírá především automatizovaným filtrováním, které má vyřadit údaje, u nichž není pravděpodobné, že by měly význam z hlediska národní bezpečnosti. Filtry se budou dle potřeby lišit (podle průběžných změn vzorců, druhů a protokolů internetového provozu) a budou záviset na technologii a operativních souvislostech. Po této fázi lze údaje vybrat k šetření, pouze pokud jsou důležité pro operativní účely uvedené v příkazu (387). Záruky stanovené zákonem o vyšetřovacích pravomocích z roku 2016 pro šetření shromážděného materiálu se použijí pro jakýkoli druh údajů (odposlechnutý obsah i sekundární údaje) (388). Články 152 a 193 zákona o vyšetřovacích pravomocích z roku 2016 rovněž stanoví obecný zákaz vybírat k šetření materiál, který se týká rozhovorů zaslaných jednotlivci nebo určených jednotlivcům, kteří se nacházejí na Britských ostrovech. Pokud orgány chtějí takový materiál prozkoumat, podají žádost o vydání příkazu k cílenému šetření podle části 2 a části 4 zákona o vyšetřovacích pravomocích z roku 2016, který vydá ministr a schválí soudní komisař (389). Pokud určitá osoba záměrně vybere zachycený obsah k šetření v rozporu s požadavky stanovenými v právních předpisech (390), dopustí se trestného činu (391).

(230)

Posouzení provedené analytikem při výběru materiálu podléhá následnému dohledu komisaře pro kontrolu vyšetřovacích pravomocí, který hodnotí dodržování konkrétních záruk stanovených v zákoně o vyšetřovacích pravomocích z roku 2016 pro fázi šetření (392) (viz také 229. bod odůvodnění). Komisař pro kontrolu vyšetřovacích pravomocí musí průběžně kontrolovat (mimo jiné prostřednictvím auditu, inspekce a vyšetřování), jak orgány veřejné moci vykonávají vyšetřovací pravomoci uvedené v zákoně o vyšetřovacích pravomocích z roku 2016 (393). V tomto ohledu kodex zásad pro odposlech a kodex zásad pro vzdálený síťový přístup k zařízení objasňují, že služba musí vést záznamy pro účely následných šetření a auditů a tyto záznamy musí uvádět, proč je přístup oprávněných osob k materiálu nezbytný a přiměřený, a příslušné operativní účely (394). Například ve své výroční zprávě za rok 2018 dospěl Úřad komisaře pro kontrolu vyšetřovacích pravomocí (395) k závěru, že odůvodnění zaznamenaná analytiky pro šetření určitého materiálu shromážděného hromadně splňují požadovanou normu přiměřenosti, neboť uvádějí dostatečné podrobnosti o důvodech jejich „šetření“ ve vztahu k účelu, kterého má být dosaženo (396). Pokud jde o hromadné pravomoci, Úřad komisaře pro kontrolu vyšetřovacích pravomocí ve své zprávě za rok 2019 jasně deklaroval svůj záměr pokračovat v kontrolách hromadného odposlechu, včetně podrobného zkoumání selektorů a kritérií vyhledávání (397). Rovněž bude i nadále pečlivě a případ od případu zkoumat výběr opatření v oblasti sledování (cílené versus plošné), a to jak během posuzování návrhů na vydání příkazu v rámci postupu dvojitého zámku, tak při inspekcích (398). Toto další monitorování bude náležitě zohledněno v rámci sledování tohoto rozhodnutí Komisí podle 281.–284. bodu odůvodnění.

(231)

Kapitola 2 části 6 zákona o ochraně údajů z roku 2016 upravuje příkazy k hromadnému získávání údajů, které adresáta opravňují požadovat, aby provozovatel telekomunikační služby sdělil nebo získal jakékoli komunikační údaje, které má v držení. Tyto příkazy rovněž opravňují dožadující orgán k výběru údajů pro další fázi šetření. Stejně jako cílené uchovávání a získávání komunikačních údajů (viz 199. bod odůvodnění) se ani hromadné získávání komunikačních údajů obvykle nedotýká osobních údajů subjektů údajů z EU předávaných podle tohoto rozhodnutí do Spojeného království. Povinnost zpřístupňovat komunikační údaje podle kapitoly 2 části 6 zákona o vyšetřovacích pravomocích z roku 2016 zahrnuje údaje, které shromažďují provozovatelé telekomunikačních služeb ve Spojeném království přímo od uživatelů telekomunikační služby (399). Tento druh zpracování „v přímém vztahu k zákazníkovi“ obvykle nezahrnuje předání na základě tohoto rozhodnutí, tj. předání správcem/zpracovatelem v EU správci/zpracovateli ve Spojeném království.

(232)

Pro úplnost jsou však níže popsány podmínky a záruky, kterými se získávání hromadných komunikačních údajů řídí.

(233)

Zákon o vyšetřovacích pravomocích z roku 2016 nahrazuje právní předpisy týkající se získávání hromadných komunikačních údajů, kterých se týkal rozsudek SDEU ve věci Privacy International. Právní předpisy projednávané v uvedeném případu byly zrušeny a nový režim stanoví konkrétní podmínky a záruky, za nichž lze takové opatření povolit.

(234)

Na rozdíl od předchozího režimu, kdy měl ministr při schvalování opatření plnou možnost volného uvážení (400), zákon o vyšetřovacích pravomocích z roku 2016 požaduje, aby ministr vydal příkaz, pouze pokud je opatření nezbytné a přiměřené. V praxi to znamená, že by měla existovat souvislost mezi přístupem k údajům a sledovaným cílem (401). Přesněji řečeno, ministr bude muset posoudit existenci souvislosti mezi požadovaným opatřením a jedním nebo více „operativními účely“ uvedenými v příkazu (viz 219. bod odůvodnění). Pokud jde o posouzení přiměřenosti, příslušný kodex zásad stanoví, že „ministr musí vzít v úvahu, zda by bylo možné cíle, kterého má být příkazem dosaženo, rozumně dosáhnout jinými, méně rušivými prostředky (čl. 2 odst. 2 písm. a) zákona). Například získat požadované údaje na základě méně rušivé pravomoci, například cíleným získáváním komunikačních údajů“ (402).

(235)

Při provádění tohoto posouzení se ministr bude opírat o informace, které jsou povinni vedoucí představitelé zpravodajských služeb (403) ve svém návrhu uvádět, například důvody, proč je opatření považováno za nezbytné z jednoho ze zákonných důvodů, a důvody, proč nebylo možné cíle, kterého má být příkazem dosaženo, rozumně dosáhnout jinými, méně rušivými prostředky (404). Kromě toho operativní účely omezují rozsah, pro který lze údaje získané na základě příkazu vybrat k šetření (405). Jak je uvedeno v příslušném kodexu zásad, operativní účely musí popisovat jasný požadavek a musí obsahovat podrobnosti dostatečné k tomu, aby byl ministr přesvědčen, že získané údaje lze vybrat k šetření pouze ze specifických důvodů (406). Ministr se bude muset před schválením příkazu ujistit, že existuje zvláštní vhodný režim, který zaručí, že bude k šetření vybrán pouze materiál, který je pro operativní a zákonem stanovené účely považován pro šetření za nezbytný a který by měl být za všech okolností přiměřený a nezbytný. Tento specifický požadavek, který se odráží v článcích 158 a 172 (407) zákona o vyšetřovacích pravomocích z roku 2016, pokud jde o předchozí posouzení nezbytnosti a přiměřenosti kritérií použitých pro účely výběru, představuje další důležitou novinku režimu zavedeného zákonem o vyšetřovacích pravomocích z roku 2016 ve srovnání s režimem, který existoval dříve.

(236)

Zákon o vyšetřovacích pravomocích z roku 2016 rovněž zavedl povinnost ministra zajistit, aby před vydáním příkazu k hromadnému získávání komunikačních údajů byla zavedena zvláštní omezení týkající se zabezpečení, uchovávání a zpřístupňování shromážděných osobních údajů (408). V případě zahraničních zpřístupnění se pro hromadné odposlechy a hromadný vzdálený síťový přístup k zařízení v této souvislosti použijí také záruky popsané ve 227. bodě odůvodnění (409). Další omezení jsou stanovena v právních předpisech týkajících se doby platnosti (410), prodloužení (411) a úpravy hromadných příkazů (412).

(237)

Důležité je, že stejně jako u ostatních hromadných pravomocí musí ministr před vydáním příkazu získat souhlas soudního komisaře (413). Jedná se o klíčový prvek režimu zavedeného zákonem o vyšetřovacích pravomocích z roku 2016.

(238)

Komisař pro kontrolu vyšetřovacích pravomocí provádí následný dohled nad postupem šetření hromadně získaného materiálu (komunikačních údajů) (viz 254. bod odůvodnění níže). V tomto ohledu zákon o vyšetřovacích pravomocích z roku 2016 zavedl požadavek, aby zpravodajský analytik provádějící šetření před výběrem údajů k šetření zaznamenal důvod, proč je navrhované šetření nezbytné a přiměřené pro konkrétní operativní účel (414). Ve výroční zprávě Úřadu komisaře pro kontrolu vyšetřovacích pravomocí za rok 2019 bylo s ohledem na praxi GCHQ a MI5 zjištěno, že „kritická úloha hromadných komunikačních údajů ve vztahu k celé řadě činností prováděných GCHQ byla v kontrolovaných případech formulována řádně. Posuzovali jsme povahu požadovaných údajů a stanovené zpravodajské požadavky a dokumentace k naší spokojenosti prokázala, že přístup útvaru byl nezbytný a přiměřený.“ (415). „Odůvodnění zaznamenaná službou MI5 byla na dobré úrovni a splňovala zásady nezbytnosti a přiměřenosti“ (416).

(239)

Příkazy týkající se hromadných souborů osobních údajů (417) povolují zpravodajským službám uchovávat a šetřit soubory údajů, které obsahují osobní údaje týkající se více jednotlivců. Podle vysvětlení, které poskytly orgány Spojeného království, může být analýza těchto datových souborů „jediným způsobem, jak může agentura UKIC pokročit ve vyšetřování a identifikovat teroristy na základě velmi omezených zpravodajských poznatků nebo v případě, že jejich komunikace byla záměrně utajena“ (418). Existují dva typy příkazů: „skupinové příkazy pro hromadné soubory osobních údajů“ (419), které se týkají určité kategorie souborů údajů, tj. souborů údajů, které jsou si svým obsahem a navrhovaným použitím podobné a vzbuzují podobné úvahy například ohledně míry rušivosti a citlivosti a ohledně přiměřenosti použití údajů, a tudíž ministrovi umožňují posoudit nezbytnost a přiměřenost získání všech údajů v příslušné skupině najednou. Skupinový příkaz pro hromadný soubor osobních údajů může zahrnovat například soubory cestovních údajů, které se vztahují k podobným trasám (420). „Specifické příkazy pro hromadné soubory osobních údajů“ (421) se naopak týkají jednoho konkrétního souboru údajů, například souboru údajů nového nebo neobvyklého druhu, které nespadají do stávajícího skupinového příkazu pro soubor osobních údajů, nebo souboru údajů, který se týká zvláštních druhů osobních údajů (422), a proto vyžaduje dodatečné záruky (423). Ustanovení zákona o vyšetřovacích pravomocích z roku 2016 týkající se hromadných souborů osobních údajů umožňují šetření a uchovávání těchto souborů údajů, pouze pokud je nezbytné a přiměřené (424) a v souladu s obecnými povinnostmi týkajícími se ochrany soukromí (425).

(240)

Pravomoc vydat příkaz pro hromadný soubor osobních údajů podléhá postupu „dvojitého zámku“: posouzení nezbytnosti a přiměřenosti opatření provádí nejprve ministr a poté soudní komisař (426). Ministr je povinen posoudit povahu a rozsah požadovaného druhu příkazu, kategorii dotčených údajů a počet jednotlivých hromadných souborů osobních údajů, které pravděpodobně konkrétní druh příkazu zahrnuje (427). Jak uvádí kodex zásad týkajících se šetření a uchovávání hromadných souborů osobních údajů ve zpravodajských službách, musí být vedeny podrobné záznamy, které podléhají auditu ze strany komisaře pro kontrolu vyšetřovacích pravomocí (428). Uchovávání a šetření hromadných souborů osobních údajů mimo meze stanovené zákonem o vyšetřovacích pravomocích z roku 2016 je trestným činem (429).

(241)

Osobní údaje zpracovávané podle části 4 zákona o ochraně údajů z roku 2018 nesmí být zpracovávány způsobem, který je neslučitelný s účelem, pro který byly údaje shromážděny (430). Zákon o ochraně údajů z roku 2018 stanoví, že správce může zpracovávat údaje k jinému účelu, než je ten, pro který byly údaje shromážděny, pokud je slučitelný s původním účelem, pokud je správce ze zákona oprávněn zpracovávat údaje a pokud je zpracování nezbytné a přiměřené (431). Kromě toho zákon o Bezpečnostní službě z roku 1989 a zákon o zpravodajských službách z roku 1994 upřesňují, že vedoucí představitelé zpravodajských služeb jsou povinni zajistit, aby nebyly získávány ani zveřejňovány žádné informace, pokud to není nezbytné pro řádné plnění funkcí služby nebo pro ostatní omezené a konkrétní účely uvedené v příslušných ustanoveních (432).

(242)

Článek 109 zákona o ochraně údajů z roku 2018 také stanoví zvláštní požadavky na mezinárodní předávání osobních údajů zpravodajskými službami třetím zemím nebo mezinárodním organizacím. Podle tohoto ustanovení není povoleno předávat osobní údaje do země nebo na území mimo Spojené království nebo mezinárodní organizaci, pokud není předání nezbytné a přiměřené pro účely zákonných funkcí správce nebo pro jiné účely stanovené v čl. 2 odst. 2 písm. a) zákona o Bezpečnostní službě z roku 1989 nebo v čl. 2 odst. 2 písm. a) a čl. 4 odst. 2 písm. a) zákona o zpravodajských službách z roku 1994 (433). Důležité je, že tyto požadavky se použijí i v případech, v nichž je uplatněna výjimka z důvodu národní bezpečnosti podle článku 110 zákona o ochraně údajů z roku 2018, neboť článek 110 zákona o ochraně údajů z roku 2018 neuvádí článek 109 zákona o ochraně údajů z roku 2018 jako jedno z ustanovení, které se nemusí použít, pokud je pro účely ochrany národní bezpečnosti nutná výjimka z určitých ustanovení.

(243)

Kromě toho, jak zdůraznil Úřad komisaře pro informace ve svých pokynech ke zpracování osobních údajů zpravodajskými službami, kromě záruk stanovených v části 4 zákona o ochraně údajů z roku 2018 podléhá zpravodajská služba při sdílení údajů se zpravodajským subjektem třetí země také zárukám, jež stanoví jiná legislativní opatření vztahující se na danou službu, aby bylo zajištěno zákonné a zodpovědné získávání, sdílení a nakládání s osobními údaji (434). Například zákon o vyšetřovacích pravomocích z roku 2016 stanoví další záruky v souvislosti s předáváním materiálu shromážděného prostřednictvím cíleného odposlechu (435), cíleného vzdáleného síťového přístupu k zařízení (436), hromadného odposlechu (437), hromadného získávání komunikačních údajů (438) a hromadného vzdáleného síťového přístupu k zařízení (439) (tzv. zahraniční zpřístupnění) do třetí země. Orgán vydávající příkaz musí zejména zajistit, aby byl zaveden režim, který zaručí, že třetí země přijímající údaje omezí počet osob, které budou do materiálu nahlížet, a rozsah zpřístupnění a počet kopií jakéhokoli materiálu na minimum nezbytné pro povolené účely stanovené v zákoně o vyšetřovacích pravomocích z roku 2016 (440).

(244)

Dohled nad přístupem vládních institucí pro účely národní bezpečnosti vykonává řada různých subjektů. Komisař pro informace dohlíží na zpracování osobních údajů podle zákona o ochraně údajů z roku 2018 (další informace o nezávislosti, úloze při jmenování a pravomocích komisaře viz 85. až 98. bod odůvodnění), zatímco nezávislý a soudní dohled nad používáním vyšetřovacích pravomocí podle zákona o vyšetřovacích pravomocích z roku 2016 zajišťuje komisař pro kontrolu vyšetřovacích pravomocí. Komisař pro kontrolu vyšetřovacích pravomocí dohlíží na použití vyšetřovacích pravomocí podle zákona o vyšetřovacích pravomocích z roku 2016 ze strany donucovacích i vnitrostátních bezpečnostních orgánů. Politický dohled zaručuje Výbor parlamentu Spojeného království pro zpravodajské služby.

(245)

Na zpracování osobních údajů prováděné zpravodajskými službami podle části 4 zákona o ochraně údajů z roku 2018 dohlíží komisař pro informace (441).

(246)

Obecné funkce komisaře pro informace v souvislosti se zpracováním osobních údajů zpravodajskými službami podle části 4 zákona o ochraně údajů z roku 2018 jsou stanoveny v příloze 13 zákona o ochraně údajů z roku 2018. K těmto úkolům mimo jiné patří monitorování a prosazování části 4 zákona o ochraně údajů z roku 2018, zvyšování povědomí veřejnosti, poskytování doporučení parlamentu Spojeného království, vládě a dalším institucím ohledně legislativních a správních opatření, zvyšování povědomí správců a zpracovatelů o jejich povinnostech, poskytování informací subjektu údajů ohledně výkonu práv subjektu údajů, vedení vyšetřování atd.

(247)

Komisař má podle části 3 zákona o ochraně údajů z roku 2018 pravomoc upozorňovat správce na údajné porušení předpisů a vydávat napomenutí, že zpracování pravděpodobně porušuje pravidla, a uděluje výtky, pokud je porušení předpisů potvrzeno. Může také vydávat oznámení o vymáhání a sankci za porušení určitých ustanovení zákona (442). Na rozdíl od postupu podle jiných částí zákona o ochraně údajů z roku 2018 však komisař nemůže vydat oznámení o posouzení vůči vnitrostátnímu bezpečnostnímu orgánu (443).

(248)

Kromě toho článek 110 zákona o ochraně údajů z roku 2018 stanoví výjimku z použití určitých pravomocí komisaře, pokud je to nutné pro účely zajištění národní bezpečnosti. To zahrnuje pravomoc komisaře vydávat (jakýkoli druh) oznámení podle zákona o ochraně údajů (výzvu k podání informací, oznámení o posouzení, vymáhání a o sankci), pravomoc provádět inspekce v souladu s mezinárodními závazky, pravomoci vstupu a inspekce a pravidla pro trestné činy (444). Jak je vysvětleno ve 126. bodě odůvodnění, tyto výjimky se použijí, pouze pokud je to v konkrétním jednotlivém případě nutné a přiměřené.

(249)

Úřad komisaře pro informace a britské zpravodajské služby podepsaly memorandum o porozumění (445), které stanoví rámec spolupráce v řadě otázek, včetně oznámení o porušení zabezpečení údajů a vyřizování stížností subjektů údajů. Memorandum zejména stanoví, že po obdržení stížnosti Úřad komisaře pro informace posoudí, zda byla jakákoli výjimka z důvodu národní bezpečnosti použita řádně. Odpovědi na dotazy Úřadu komisaře pro informace v souvislosti s šetřením jednotlivých stížností musí dotčená zpravodajská služba poskytnout do 20 pracovních dnů, a to pomocí vhodných zabezpečených kanálů, pokud se jedná o utajované informace. Od dubna 2018 do dnešního dne obdržel Úřad komisaře pro informace 21 stížností od jednotlivců týkajících se zpravodajských služeb. Každá stížnost byla posouzena a výstup byl sdělen subjektu údajů (446).

(250)

Podle části 8 zákona o vyšetřovacích pravomocích z roku 2016 vykonává dohled nad využíváním vyšetřovacích pravomocí komisař pro kontrolu vyšetřovacích pravomocí. Komisaři pro kontrolu vyšetřovacích pravomocí jsou nápomocni další soudní komisaři, kteří se souhrnně označují jako soudní komisaři (447). Zákon o vyšetřovacích pravomocích z roku 2016 stanoví záruky, které chrání nezávislost soudních komisařů. Od soudních komisařů se vyžaduje, aby v současnosti nebo minulosti zastávali vysokou soudní funkci (tj. musí v současnosti nebo v minulosti být členy soudů nejvyššího stupně) (448), a jako každý člen soudnictví mají na vládě nezávislé postavení (449). Podle článku 227 zákona o vyšetřovacích pravomocích z roku 2016 jmenuje komisaře pro kontrolu vyšetřovacích pravomocí předseda vlády, který jmenuje tolik soudních komisařů, kolik považuje za nezbytné. Všichni komisaři, ať už jsou současnými nebo bývalými členy soudnictví, mohou být jmenováni pouze na základě společného doporučení tří nejvyšších soudců pro Anglii a Wales, Skotsko a Severní Irsko a lorda kancléře (450). Ministr musí komisaři pro kontrolu vyšetřovacích pravomocí zajistit personál, prostory, vybavení a další zařízení a služby (451). Funkční období komisařů je tříleté a komisaře lze jmenovat opakovaně (452). První zárukou jejich nezávislosti je skutečnost, že soudní komisaře lze z funkce odvolat pouze za přísných podmínek s vysokou prahovou hranicí: odvolat je může buď předseda vlády za specifických okolností taxativně vyjmenovaných v čl. 228 odst. 5 zákona o vyšetřovacích pravomocích z roku 2016 (např. úpadek nebo trest odnětí svobody), nebo mohou být odvoláni, pokud obě komory Parlamentu Spojeného království přijaly usnesení schvalující toto odvolání (453).

(251)

Komisaři pro kontrolu vyšetřovacích pravomocí a soudním komisařům je při výkonu jejich funkcí nápomocen Úřad komisaře pro kontrolu vyšetřovacích pravomocí. Zaměstnanci Úřadu komisaře pro kontrolu vyšetřovacích pravomocí zahrnují tým inspektorů, interní právní a technické odborníky a technologickou poradní komisi, která poskytuje odborné poradenství. Stejně jako nezávislost jednotlivých soudních komisařů je chráněna i nezávislost Úřadu komisaře pro kontrolu vyšetřovacích pravomocí. Úřad komisaře pro kontrolu vyšetřovacích pravomocí je „nezávislým subjektem“ Ministerstva vnitra, tj. získává finanční prostředky od Ministerstva vnitra, ale své funkce vykonává nezávisle (454).

(252)

Hlavní funkce soudních komisařů jsou stanoveny v článku 229 zákona o vyšetřovacích pravomocích z roku 2016 (455). Soudní komisaři mají zejména rozsáhlou pravomoc předchozího souhlasu, která je součástí záruk zavedených v právním rámci Spojeného království zákonem o vyšetřovacích pravomocích z roku 2016. Příkazy týkající se cíleného odposlechu, vzdáleného síťového přístupu k zařízení, hromadných souborů osobních údajů, hromadného získávání komunikačních údajů i výzvy k uchovávání komunikačních údajů musí být schváleny soudními komisaři (456). Komisař pro kontrolu vyšetřovacích pravomocí musí také vždy předem schválit získání komunikačních údajů pro účely vymáhání práva (457). Pokud komisař odmítne příkaz schválit, může ministr podat opravný prostředek ke komisaři pro kontrolu vyšetřovacích pravomocí, jehož rozhodnutí je konečné.

(253)

Zvláštní zpravodaj OSN pro právo na soukromí důrazně uvítal zřízení funkce soudních komisařů v rámci zákona o vyšetřovacích pravomocích z roku 2016, neboť „všechny citlivější nebo rušivější žádosti o sledování musí schválit jak ministr vlády, tak Úřad komisaře pro kontrolu vyšetřovacích pravomocí“. Zvláště zdůraznil, že „tento prvek soudního přezkumu [prostřednictvím úlohy komisaře pro kontrolu vyšetřovacích pravomocí], kterému je nápomocen tým zkušených inspektorů a technických odborníků s lepšími zdroji, je jednou z nejvýznamnějších nových záruk zavedených zákonem o vyšetřovacích pravomocích“, který nahradil dříve roztříštěný systém orgánů dohledu a doplňuje úlohu výboru Parlamentu Spojeného království pro zpravodajství a bezpečnost Parlamentu a tribunálu pro kontrolu vyšetřovacích pravomocí“ (458).

(254)

Komisař pro kontrolu vyšetřovacích pravomocí je navíc oprávněn provádět následný dohled (mimo jiné prostřednictvím auditu, inspekce a vyšetřování) nad využíváním vyšetřovacích pravomocí podle zákona o vyšetřovacích pravomocích z roku 2016 (459) a nad některými dalšími pravomocemi a funkcemi stanovenými v příslušných právních předpisech (460). Výsledky tohoto následného dohledu jsou zahrnuty ve zprávě, kterou musí komisař pro kontrolu vyšetřovacích pravomocí každoročně vypracovat a předložit předsedovi vlády (461) a která musí být zveřejněna a předložena Parlamentu Spojeného království (462). Zpráva obsahuje příslušné statistiky a informace o využívání vyšetřovacích pravomocí zpravodajskými službami a donucovacími orgány, jakož i o využití záruk ve vztahu k otázkám, na které se vztahuje povinnost mlčenlivosti, důvěrným novinářským materiálům a zdrojům novinářských informací a informace o přijatých režimech a operativních účelech použitých v souvislosti s hromadnými příkazy. A konečně je ve výroční zprávě Úřadu komisaře pro kontrolu vyšetřovacích pravomocí také upřesněno, ve které oblasti byla vydána doporučení orgánům veřejné moci a jaká byla reakce na tato doporučení (463).

(255)

Pokud se komisař pro kontrolu vyšetřovacích pravomocí dozví o jakékoli významné chybě, které se dopustily orgány veřejné moci při použití svých vyšetřovacích pravomocí, musí v souladu s článkem 231 zákona o vyšetřovacích pravomocích z roku 2016 informovat dotyčnou osobu, jestliže má za to, že je chyba závažná a je ve veřejném zájmu, aby tato osoba byla informována (464). Článek 231 zákona o vyšetřovacích pravomocích z roku 2016 zejména stanoví, že při informování osoby o chybě musí komisař pro kontrolu vyšetřovacích pravomocí poskytnout informace o jakémkoli právu dané osoby, které lze uplatnit u tribunálu pro kontrolu vyšetřovacích pravomocí, a uvést podrobnosti, které komisař považuje za nezbytné pro výkon těchto práv a jejichž zpřístupnění je ve veřejném zájmu (465).

(256)

Parlamentní dohled, který vykonává výbor pro bezpečnost a zpravodajskou činnost, odvozuje svůj zákonný základ ze zákona o spravedlnosti a bezpečnosti z roku 2013 (466). Zákon zřizuje výbor pro bezpečnost a zpravodajskou činnost jako výbor Parlamentu Spojeného království. Od roku 2013 má výbor pro bezpečnost a zpravodajskou činnost větší pravomoci, včetně dohledu nad operativními činnostmi bezpečnostních služeb. Podle článku 2 zákona o spravedlnosti a bezpečnosti z roku 2013 je úkolem výboru pro bezpečnost a zpravodajskou činnost dohlížet na výdaje, správu, politiku a operace národních bezpečnostních služeb. Zákon o spravedlnosti a bezpečnosti z roku 2013 stanoví, že výbor pro bezpečnost a zpravodajskou činnost může vést vyšetřování operativních záležitostí, pokud se netýkají probíhajících operací (467). Memorandum o porozumění dohodnuté mezi předsedou vlády a výborem pro bezpečnost a zpravodajskou činnost (468) podrobně stanoví prvky, které je třeba vzít v úvahu při posuzování toho, zda daná činnost není součástí probíhající operace (469). Výbor pro bezpečnost a zpravodajskou činnost může být o prošetření probíhajících operací také požádán předsedou vlády a může přezkoumávat informace, které služby poskytnou dobrovolně.

(257)

Podle přílohy 1 zákona o spravedlnosti a bezpečnosti z roku 2013 může výbor pro bezpečnost a zpravodajskou činnost požádat ředitele kterékoli ze tří zpravodajských služeb o sdělení jakýchkoli informací. Služba musí tyto informace zpřístupnit, pokud ministr neuplatní právo veta (470). Podle vysvětlení poskytnutých orgány Spojeného království je výboru pro bezpečnost a zpravodajskou činnost v praxi odepřeno jen velmi málo informací (471).

(258)

Výbor pro bezpečnost a zpravodajskou činnost se skládá z členů náležejících do kterékoli komory Parlamentu Spojeného království, které jmenuje předseda vlády po konzultaci s vedoucím představitelem opozice (472). Výbor pro bezpečnost a zpravodajskou činnost je povinen předkládat parlamentu Spojeného království výroční zprávu o výkonu svých funkcí a další zprávy, které považuje za vhodné (473). Kromě toho je výbor pro bezpečnost a zpravodajskou činnost oprávněn obdržet každé tři měsíce seznam operativních účelů, které se používají pro šetření hromadně získaného materiálu (474). Předseda vlády sdílí s výborem pro bezpečnost a zpravodajskou činnost kopie vyšetřování, inspekcí nebo auditů komisaře pro kontrolu vyšetřovacích pravomocí, pokud je předmět zpráv významný z hlediska zákonných kompetencí výboru (475). Výbor může také požádat komisaře pro kontrolu vyšetřovacích pravomocí o provedení vyšetřování a komisař musí výbor pro bezpečnost a zpravodajskou činnost informovat o rozhodnutí, zda takové vyšetřování provede (476).

(259)

Výbor pro bezpečnost a zpravodajskou činnost rovněž přispěl k návrhu zákona o vyšetřovacích pravomocích z roku 2016, což vyústilo v řadu pozměňovacích návrhů, které nyní zákon o vyšetřovacích pravomocích z roku 2016 zohledňuje (477). Výbor pro bezpečnost a zpravodajskou činnost doporučil zejména posílit ochranu soukromí zavedením souboru opatření k ochraně soukromí, která platí v celém rozsahu vyšetřovacích pravomocí (478). Rovněž předložil změny navrhovaných pravomocí týkajících vzdáleného síťového přístupu k zařízení, hromadných souborů osobních údajů a komunikačních údajů a vyžádal si další konkrétní změny s cílem posílit omezení a záruky pro použití vyšetřovacích pravomocí (479).

(260)

V oblasti přístupu vlády pro účely národní bezpečnosti musí mít subjekty údajů možnost podat žalobu k nezávislému a nestrannému soudu pro získání přístupu ke svým osobním údajům nebo pro dosažení opravy nebo výmazu takovýchto údajů (480). Tento soudní orgán musí mít zejména pravomoc přijímat závazná rozhodnutí týkající se zpravodajské služby (481). Ve Spojeném království, jak je vysvětleno ve 261–271. bodě odůvodnění, poskytuje řada soudních opravných prostředků subjektům údajů možnost o takové právní prostředky usilovat a získat je.

(261)

Podle článku 165 zákona o ochraně údajů z roku 2018 má subjekt údajů právo podat stížnost u komisaře pro informace, pokud má za to, že v souvislosti s jeho osobními údaji došlo k porušení části 4 zákona o ochraně údajů z roku 2018. Komisař pro informace má pravomoc posoudit, jak správce a zpracovatel dodržují zákon o ochraně údajů z roku 2018 a vyžadovat od nich nezbytné kroky. Kromě toho jsou podle části 4 zákona o ochraně údajů z roku 2018 jednotlivci oprávněni podat u Vrchního soudu (nebo soudu Court of Session ve Skotsku) návrh na vydání příkazu, který bude vyžadovat, aby správce dodržoval práva na přístup k údajům (482), podání námitky vůči zpracování (483) a na opravu nebo výmaz (484).

(262)

Jednotlivci jsou rovněž oprávněni požadovat od správce nebo zpracovatele náhradu škody způsobené porušením požadavku části 4 zákona o ochraně údajů z roku 2018 (485). Škoda zahrnuje jak finanční ztrátu, tak nefinanční újmu, například utrpení (486).

(263)

Jednotlivci mohou dosáhnout nápravy v případě porušení zákona o vyšetřovacích pravomocích z roku 2016 u tribunálu pro kontrolu vyšetřovacích pravomocí.

(264)

Tribunál pro kontrolu vyšetřovacích pravomocí je zřízen zákonem o úpravě vyšetřovacích pravomocí z roku 2000 a je nezávislý na výkonné moci (487). V souladu s článkem 65 zákona o úpravě vyšetřovacích pravomocí z roku 2000 jsou členové tohoto tribunálu jmenováni Jejím Veličenstvem na dobu pěti let. Člena tohoto tribunálu může z funkce odvolat Její Veličenstvo na návrh („address“) (488) obou komor Parlamentu Spojeného království (489).

(265)

Podle článku 65 zákona o úpravě vyšetřovacích pravomocí z roku 2000 je tribunál příslušným soudním orgánem pro jakoukoli stížnost osoby poškozené jednáním podle zákona o vyšetřovacích pravomocích z roku 2016, zákona o úpravě vyšetřovacích pravomocí z roku 2000 nebo jakýmkoli jednáním zpravodajských služeb (490).

(266)

K podání návrhu u tribunálu pro kontrolu vyšetřovacích pravomocí („vstupní požadavek“) musí být podle článku 65 zákona o úpravě vyšetřovacích pravomocí z roku 2000 jednotlivec přesvědčen (491), že došlo k jednání zpravodajské služby ve vztahu k němu, k jeho majetku, ke komunikaci zasílané jím nebo jemu nebo určené pro něj nebo k jeho využití jakékoli poštovní služby, telekomunikačních služeb nebo telekomunikačního systému“ (492). Kromě toho musí být stěžovatel přesvědčen, že k jednání došlo za „napadnutelných okolností“ (493) nebo „že bylo uskutečněno zpravodajskými službami nebo jejich jménem“ (494). Vzhledem k tomu, že zejména tento standard „přesvědčení“ je vykládán poměrně široce (495), je podání návrhu u tribunálu podmíněno nenáročnými vstupními požadavky.

(267)

Pokud tribunál pro kontrolu vyšetřovacích pravomocí projednává stížnost, která k němu byla podána, je jeho povinností vyšetřit, zda osoby, proti nimž je ve stížnosti vzneseno jakékoli obvinění, jednaly ve vztahu ke stěžovateli, a rovněž vyšetřit orgán, který se údajně podílel na porušování právních předpisů, a to, zda k tvrzenému jednání došlo (496). Pokud tribunál vede jakékoli řízení, musí při svém rozhodování v těchto řízeních uplatňovat stejné zásady, jaké by použil soud při návrhu na soudní přezkum (497). Kromě toho jsou adresáti příkazů nebo výzev podle zákona o vyšetřovacích pravomocích z roku 2016 a každá další osoba, která zastává funkci podléhající Koruně nebo je zaměstnancem policie, nebo policejní komisař pro vyšetřování a přezkum, povinni zpřístupnit nebo poskytnout tomuto tribunálu všechny dokumenty a informace, které může tribunál požadovat k tomu, aby mohl vykonávat svou soudní pravomoc (498).

(268)

Tribunál pro kontrolu vyšetřovacích pravomocí musí stěžovateli oznámit, zda bylo vydáno rozhodnutí v jeho prospěch, či nikoli (499). Podle čl. 67 odst. 6 a 7 zákona o úpravě vyšetřovacích pravomocí z roku 2000 má tribunál pravomoc vydávat předběžné příkazy a přiznávat jakékoli odškodnění nebo vydávat jiné příkazy, které uzná za vhodné. To může zahrnovat příkaz, kterým se anuluje nebo zruší jakýkoli příkaz nebo povolení, a příkaz vyžadující zničení jakýchkoli záznamů informací získaných při výkonu jakékoli pravomoci udělené příkazem, povolením nebo oznámením nebo jinak držené jakýmkoli orgánem veřejné moci ve vztahu k jakékoli osobě (500). Podle článku 67A zákona o úpravě vyšetřovacích pravomocí z roku 2000 lze proti rozhodnutí tribunálu podat opravný prostředek s výhradou povolení uděleného tribunálem nebo příslušným odvolacím soudem.

(269)

A konečně je třeba zmínit, že úloha tribunálu pro kontrolu vyšetřovacích pravomocí byla při několika příležitostech projednávána v rámci stížností podaných k Evropskému soudu pro lidská práva, jmenovitě v rámci věci Kennedy proti Spojenému království (501) a nověji ve věci Big Brother Watch and others v. United Kingdom (502), kde soud prohlásil, že „tribunál pro kontrolu vyšetřovacích pravomocí nabízel robustní opravné prostředky komukoli, kdo měl podezření, že jeho komunikace byla odposlouchávána zpravodajskými službami“ (503).

(270)

Jak je vysvětleno ve 109. až 111. bodě odůvodnění, prostředky nápravy podle zákona o lidských právech z roku 1998 a Evropského soudu pro lidská práva (504) jsou k dispozici také v oblasti národní bezpečnosti. Ustanovení čl. 65 odst. 2 zákona o úpravě vyšetřovacích pravomocí z roku 2000 poskytuje tribunálu pro kontrolu vyšetřovacích pravomocí výlučnou soudní pravomoc pro všechny nároky podle zákona o lidských právech ve vztahu ke zpravodajským službám (505). To znamená, jak uvedl Vrchní soud, „to, zda došlo k porušení zákona o lidských právech podle skutkových okolností konkrétního případu, v zásadě může projednat a rozhodnout nezávislý tribunál, který má přístup ke všem relevantním materiálům, včetně tajného materiálu. […] V této souvislosti máme také na paměti, že samotný tribunál nyní může podat opravný prostředek k příslušnému odvolacímu soudu (v Anglii a Walesu by jím byl odvolací soud) a že Nejvyšší soud nedávno rozhodl, že tribunál v zásadě podléhá soudnímu přezkumu: viz rozsudek ve věci R (Privacy International) v Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219” (506).

(271)

Z výše uvedeného vyplývá, že pokud donucovací orgány nebo národní bezpečnostní orgány Spojeného království přistupují k osobním údajům spadajícím do oblasti působnosti tohoto rozhodnutí, řídí se takový přístup zákony, které stanoví podmínky, za nichž může přístup probíhat, a je zajištěno, aby byly přístup a další využívání údajů omezeny na to, co je nezbytné a přiměřené sledovaným cílům v oblasti vymáhání práva nebo národní bezpečnosti. Kromě toho takový přístup ve většině případů podléhá předchozímu schválení soudním orgánem, prostřednictvím schválení příkazu nebo výzvy k předání a v každém případě i nezávislému dohledu. Jakmile orgány veřejné moci získají přístup k údajům, podléhá zpracování údajů včetně dalšího sdílení a dalšího předávání zvláštním zárukám ochrany údajů podle části 3 zákona o ochraně údajů z roku 2018, které odrážejí záruky stanovené směrnicí (EU) 2016/680, pokud jde o zpracování donucovacími orgány, a části 4 zákona o ochraně údajů z roku 2018, pokud jde o zpracování zpravodajskými službami. A konečně také subjekty údajů požívají v této oblasti práv účinné správní a soudní ochrany, včetně práva dosáhnout přístupu k údajům nebo opravy nebo výmazu těchto údajů.

(272)

Vzhledem k důležitosti těchto podmínek, omezení a záruk pro účely tohoto rozhodnutí bude Komise pečlivě sledovat uplatňování a výklad pravidel Spojeného království, která upravují přístup vlády k údajům. Tato činnost bude zahrnovat příslušný vývoj v oblasti právních předpisů, regulace a judikatury, jakož i aktivity Úřadu komisaře pro informace a dalších orgánů dohledu v této oblasti. Zvláštní pozornost bude rovněž věnována výkonu příslušných rozsudků Evropského soudu pro lidská práva ze strany Spojeného království, včetně opatření uvedených v „akčních plánech“ a „akčních zprávách“ předložených Výboru ministrů v rámci dohledu nad dodržováním rozhodnutí Soudního dvora.

(273)

Komise má za to, že britské nařízení GDPR a zákon o ochraně údajů z roku 2018 zajišťují úroveň ochrany osobních údajů předávaných z Evropské unie, která je v zásadě rovnocenná úrovni ochrany zaručené nařízením (EU) 2016/679.

(274)

Kromě toho má Komise za to, že jako celek mechanismy dohledu a způsoby ochrany v právních předpisech Spojeného království umožňují, aby porušení právních předpisů byla identifikována a v praxi potrestána, a subjektu údajů nabízejí právní prostředky pro získání přístupu k osobním údajům, které se ho týkají, a případně pro dosažení opravy nebo výmazu takovýchto údajů.

(275)

V neposlední řadě má Komise na základě dostupných informací o právním řádu Spojeného království za to, že jakýkoli zásah do základních práv fyzických osob, jejichž osobní údaje se předávají z Evropské unie do Spojeného království, ze strany orgánů veřejné moci Spojeného království pro účely veřejného zájmu, zejména pro účely vymáhání práva a národní bezpečnosti, bude omezen na rozsah nezbytný pro dosažení daného oprávněného cíle a že existuje účinná právní ochrana před takovým zásahem.

(276)

S ohledem na zjištění tohoto rozhodnutí by proto mělo být rozhodnuto, že Spojené království zajišťuje odpovídající úroveň ochrany ve smyslu článku 45 nařízení (EU) 2016/679 vykládaného ve světle Listiny základních práv Evropské unie.

(277)

Tento závěr se opírá o příslušný vnitrostátní režim i mezinárodní závazky Spojeného království, zejména o dodržování Evropské úmluvy o lidských právech a podrobení se soudní pravomoci Evropského soudu pro lidská práva. Pokračující dodržování těchto mezinárodních závazků je proto obzvláště důležitým prvkem posouzení, na němž se zakládá toto rozhodnutí.

(278)

Členské státy a jejich orgány musí přijmout opatření nezbytná k dosažení souladu s akty orgánů Unie, neboť jim v zásadě svědčí presumpce legality, a tudíž zakládají právní účinky tak dlouho, dokud nejsou vzaty zpět, zrušeny v rámci žaloby na neplatnost nebo prohlášeny za neplatné v návaznosti na žádost o rozhodnutí o předběžné otázce nebo na námitku protiprávnosti.

(279)

V důsledku toho je rozhodnutí Komise o odpovídající ochraně podle čl. 45 odst. 3 nařízení (EU) 2016/679 závazné pro všechny orgány členských států, kterým je určeno, a to i pro nezávislé dozorové úřady. Během období použitelnosti tohoto rozhodnutí může zejména docházet k předáním od správce nebo zpracovatele v Evropské unii správcům nebo zpracovatelům ve Spojeném království, aniž by bylo nutné získat další povolení.

(280)

Je třeba připomenout, že podle čl. 58 odst. 5 nařízení (EU) 2016/679 a podle vysvětlení Soudního dvora v rozsudku ve věci Schrems (507), jestliže vnitrostátní orgán pro ochranu údajů zpochybňuje, a to i na základě stížnosti, slučitelnost rozhodnutí Komise o odpovídající ochraně se základními právy fyzické osoby na soukromí a ochranu údajů, musí mu vnitrostátní právo poskytnout procesní prostředek, který mu umožní uplatnit tyto výtky před vnitrostátním soudem, který může být povinen předložit Soudnímu dvoru žádost o rozhodnutí o předběžné otázce (508).

(281)

Podle čl. 45 odst. 4 nařízení (EU) 2016/679 musí Komise po přijetí tohoto rozhodnutí průběžně sledovat příslušný vývoj ve Spojeném království, aby mohla posoudit, zda stále zajišťuje v zásadě rovnocennou úroveň ochrany. Takové sledování je v tomto případě obzvláště důležité, neboť Spojené království bude spravovat, uplatňovat a vymáhat nový režim ochrany údajů, který již nebude podléhat právu Evropské unie a který se může vyvíjet. V tomto ohledu bude zvláštní pozornost věnována uplatňování pravidel Spojeného království pro předávání osobních údajů do třetích zemí v praxi a možnému dopadu tohoto uplatňování na úroveň ochrany poskytovanou údajům předávaným podle tohoto rozhodnutí; účinnosti výkonu individuálních práv včetně případného příslušného vývoje v oblasti práva a praxe, pokud jde o výjimky z těchto práv nebo omezení těchto práv (zejména výjimky týkající se zachování účinné kontroly imigrace); jakož i dodržování omezení a záruk týkajících se přístupu vlády. V rámci sledování ze strany Komise bude kromě jiných prvků zohledňován vývoj judikatury a dohledu ze strany Úřadu komisaře pro informace a ostatních nezávislých subjektů.

(282)

Aby toto sledování usnadnily, měly by orgány Spojeného království neprodleně informovat Komisi o jakékoli podstatné změně právního řádu Spojeného království, která má dopad na právní rámec, který je předmětem tohoto rozhodnutí, jakož i o vývoji postupů souvisejících se zpracováním osobních údajů, které jsou posuzovány v tomto rozhodnutí, a to jak z hlediska zpracování osobních údajů správci a zpracovateli podle britského nařízení GDPR, tak z hlediska omezení a záruk použitelných na přístup orgánů veřejné moci k osobním údajům. Tyto informace by měly zahrnovat vývoj týkající se prvků uvedených ve 281. bodě odůvodnění.

(283)

Aby Komise navíc mohla účinně plnit svou kontrolní funkci, měly by ji členské státy informovat o veškerých příslušných krocích vnitrostátních úřadů pro ochranu údajů, zejména v souvislosti s dotazy nebo stížnostmi subjektů údajů z EU týkajícími se předávání osobních údajů z Unie správcům nebo zpracovatelům ve Spojeném království. Komise by rovněž měla být informována o jakýchkoli známkách toho, že kroky orgánů veřejné moci Spojeného království odpovědných za prevenci, vyšetřování, odhalování nebo stíhání trestných činů nebo za národní bezpečnost, včetně jakýchkoli dozorových úřadů, nezajišťují požadovanou úroveň ochrany.

(284)

Pokud z dostupných informací, zejména z informací vyplývajících ze sledování tohoto rozhodnutí nebo poskytnutých orgány Spojeného království nebo členských států, vyplyne, že úroveň ochrany poskytované Spojeným královstvím již nemusí být odpovídající, měla by Komise neprodleně informovat příslušné orgány Spojeného království a požadovat, aby byla ve stanovené lhůtě, která nesmí přesáhnout dobu tří měsíců, přijata vhodná opatření. V případě potřeby lze tuto lhůtu prodloužit o určitou dobu s přihlédnutím k povaze dané záležitosti a/nebo daných opatření, která mají být přijata. Takovýto postup by byl zahájen například v případech, kdy by se další předávání, včetně předávání na základě nových předpisů o přiměřené ochraně přijatých ministrem nebo mezinárodních dohod uzavřených Spojeným královstvím, již neuskutečňovalo v rámci záruk zajišťujících kontinuitu ochrany ve smyslu článku 44 nařízení (EU) 2016/679.

(285)

Pokud po uplynutí stanovené lhůty příslušné orgány Spojeného království tato opatření nepřijmou nebo jiným způsobem uspokojivě neprokážou, že toto rozhodnutí je nadále založeno na odpovídající úrovni ochrany, zahájí Komise postup podle čl. 93 odst. 2 nařízení (EU) 2016/679 s cílem částečně nebo úplně zrušit toho rozhodnutí nebo pozastavit jeho platnost.

(286)

Alternativně Komise tento postup zahájí s cílem změnit toto rozhodnutí, zejména tím, že se na předávání údajů budou vztahovat další podmínky, nebo že se omezí oblasti působnosti zjištění o odpovídající úrovni ochrany jen na předávání údajů, u nichž je odpovídající úroveň ochrany nadále zaručena.

(287)

V závažných, naléhavých a řádně odůvodněných případech Komise využije možnost postupem podle čl. 93 odst. 3 nařízení (EU) 2016/679 přijmout okamžitě použitelné prováděcí akty, kterými se rozhodnutí zruší, změní nebo se dočasně pozastaví jeho platnost.

(288)

Komise musí vzít v úvahu, že až skončí přechodné období stanovené v dohodě o vystoupení a jakmile přestane platit prozatímní ustanovení podle článku 782 dohody o obchodu a spolupráci mezi EU a Spojeným královstvím, bude Spojené království spravovat, uplatňovat a vymáhat nový režim ochrany údajů oproti režimu existujícímu v době, kdy bylo vázáno právem EU. To může zejména znamenat úpravy nebo změny rámce ochrany údajů posuzovaného v tomto rozhodnutí, jakož i další relevantní vývoj.

(289)

Je proto vhodné stanovit, že toto rozhodnutí bude použitelné po dobu čtyř let ode dne svého vstupu v platnost.

(290)

Pokud zejména z informací získaných při sledování tohoto rozhodnutí vyplyne, že zjištění týkající se odpovídající úrovně ochrany zajištěné ve Spojeném království jsou stále věcně a právně odůvodněná, měla by Komise nejpozději šest měsíců před koncem platnosti tohoto rozhodnutí zahájit postup pro změnu tohoto rozhodnutí prodloužením jeho časové působnosti v zásadě o další čtyřleté období. Jakýkoli takový prováděcí akt, kterým se mění toto rozhodnutí, se přijímá postupem podle čl. 93 odst. 2 nařízení (EU) 2016/679.

(291)

Evropský sbor pro ochranu osobních údajů zveřejnil své stanovisko (509), které bylo při přípravě tohoto rozhodnutí zohledněno.

(292)

Opatření stanovená tímto rozhodnutím jsou v souladu se stanoviskem výboru zřízeného podle článku 93 nařízení (EU) 2016/679,

(1)

Směrnice Evropského parlamentu a Rady (EU) 2016/680 stanoví pravidla pro předávání osobních údajů příslušnými orgány v Unii třetím zemím a mezinárodním organizacím, pokud toto předávání spadá do oblasti působnosti uvedené směrnice. Pravidla pro mezinárodní předávání údajů příslušnými orgány stanoví kapitola V směrnice (EU) 2016/680, konkrétně články 35 až 40. Jakkoli je tok osobních údajů do zemí a ze zemí mimo Evropskou unii nezbytný pro účinnou spolupráci v oblasti prosazování práva, musí být zaručeno, že úroveň ochrany poskytovaná osobním údajům v Evropské unii nebude takovým předáváním údajů znehodnocena (2).

(2)

Podle čl. 36 odst. 3 směrnice (EU) 2016/680 může Komise prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany. Za této podmínky se může uskutečnit předávání osobních údajů do třetí země bez nutnosti získat další povolení (s výjimkou případů, kdy musí s předáním souhlasit jiný členský stát, od něhož byly údaje získány), jak stanoví čl. 35 odst. 1 a 66. bod odůvodnění směrnice (EU) 2016/680.

(3)

Jak uvádí čl. 36 odst. 2 směrnice (EU) 2016/680, přijetí rozhodnutí o odpovídající ochraně musí vycházet z komplexní analýzy právního řádu dané třetí země. Ve svém posouzení musí Komise určit, zda daná třetí země zaručuje úroveň ochrany „v zásadě rovnocennou“ úrovni ochrany zajištěné v Evropské unii (67. bod odůvodnění směrnice (EU) 2016/680). Standard, vůči němuž je „zásadní rovnocennost“ posuzována, je stanoven právními předpisy EU, a to zejména směrnicí (EU) 2016/680, jakož i judikaturou Soudního dvora Evropské unie (3). V tomto ohledu je významný i referenční rámec Evropského sboru pro ochranu osobních údajů týkající se odpovídající ochrany (4).

(4)

Jak objasnil Soudní dvůr Evropské unie, nevyžaduje to zjištění stejné úrovně ochrany (5). Zejména prostředky, které dotyčná třetí země k ochraně osobních údajů využívá, se mohou lišit od prostředků zavedených v Evropské unii, pokud se v praxi ukážou jako účinné k zajištění odpovídající úrovně ochrany (6). Standard odpovídající ochrany tedy nevyžaduje opakování pravidel Unie slovo od slova. Kritériem je spíše to, zda zahraniční systém jako celek zajišťuje prostřednictvím podstaty práva na soukromí a jeho účinného uplatňování, dozoru a vymáhání požadovanou úroveň ochrany (7).

(5)

Komise pečlivě analyzovala relevantní právo a praxi ve Spojeném království. Na základě níže uvedených zjištění dospěla Komise k závěru, že Spojené království zajišťuje odpovídající úroveň ochrany osobních údajů předávaných příslušnými orgány v Unii, které spadají do oblasti působnosti směrnice (EU) 2016/680, příslušným orgánům ve Spojeném království v oblasti působnosti části 3 zákona o ochraně údajů z roku 2018 (8).

(6)

Toto rozhodnutí má účinek v tom smyslu, že uvedené předávání údajů se může uskutečnit bez nutnosti získat další povolení, a to po dobu čtyř let s výhradou možného prodloužení, a aniž by byly dotčeny podmínky stanovené v článku 35 směrnice (EU) 2016/680.

(7)

Spojené království je parlamentní demokracií. Má svrchovaný parlament nadřazený všem ostatním vládním institucím, vládu jako orgán výkonné moci, který je sestavován z členů parlamentu a tomuto parlamentu je také odpovědný, a nezávislé soudnictví. Vláda odvozuje své oprávnění ze své schopnosti získat důvěru zvolené Dolní sněmovny Spojeného království a zodpovídá se oběma komorám parlamentu Spojeného království (Dolní sněmovna a Horní sněmovna), které nesou odpovědnost za kontrolu vlády a za projednávání a přijímání zákonů. V oblasti přijímání právních předpisů týkajících se určitých vnitrostátních záležitostí ve Skotsku, Walesu a Severním Irsku přenesl parlament Spojeného království odpovědnost na Skotský parlament, Velšský parlament (Senedd Cymru) a na Shromáždění Severního Irska. Zatímco ochrana údajů je záležitostí vyhrazenou parlamentu Spojeného království, tj. v celé zemi platí stejné právní předpisy, jiné oblasti politiky významné pro toto rozhodnutí jsou decentralizované. Například systémy trestního soudnictví včetně činností policie (činností vykonávaných policejními silami) ve Skotsku a Severním Irsku spadají do odpovědnosti přenesené na Skotský parlament, resp. Shromáždění Severního Irska (9).

(8)

Spojené království nemá kodifikovanou ústavu ve smyslu pevně zakotveného ústavního dokumentu, ústavní principy se vyvíjely postupně, a to zejména na základě judikatury a zvyklostí. Je uznána ústavní hodnota některých právních předpisů, jako je Magna Carta (Velká listina práv a svobod), Bill of Rights 1689 (Listina práv z roku 1689) a Human Rights Act 1998 (zákon o lidských právech z roku 1998). Základní práva jednotlivců se jako součást ústavního rámce rozvíjela prostřednictvím zvykového práva (common law), uvedených právních předpisů a mezinárodních smluv, zejména Evropské úmluvy o lidských právech (dále jen „EÚLP“), kterou Spojené království ratifikovalo v roce 1951. Spojené království v roce 1987 také ratifikovalo Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat (úmluva č. 108), přijatou Radou Evropy (10).

(9)

Zákon o lidských právech z roku 1998 začleňuje práva obsažená v EÚLP do práva Spojeného království. Zákon přiznává každému jednotlivci základní práva a svobody stanovené v článcích 2 až 12 a v článku 14 EÚLP, v článcích 1 až 3 prvního protokolu této úmluvy a v článku 1 jejího třináctého protokolu ve spojení s články 16 až 18 EÚLP. To zahrnuje právo na respektování soukromého a rodinného života, které pak zahrnuje právo na ochranu údajů a právo na spravedlivý proces (11). Konkrétně podle článku 8 EÚLP může orgán veřejné moci do práva na soukromí zasahovat pouze v souladu se zákonem, je-li to v demokratické společnosti nezbytné v zájmu národní bezpečnosti, veřejné bezpečnosti, hospodářského blahobytu země, předcházení nepokojům a zločinnosti, ochrany zdraví nebo morálky nebo ochrany práv a svobod jiných.

(10)

V souladu se zákonem o lidských právech z roku 1998 musí být jakékoli opatření orgánů veřejné moci slučitelné s právem zaručeným podle EÚLP (12). Kromě toho je třeba primární a podřízené právní předpisy vykládat a uplatňovat způsobem, který je slučitelný s těmito právy (13). Pokud má určitý jednotlivec za to, že jeho práva včetně práv na ochranu soukromí a ochranu údajů byla orgány veřejné moci porušena, může dosáhnout nápravy u soudů Spojeného království podle zákona o lidských právech z roku 1998 a po vyčerpání vnitrostátních opravných prostředků může dosáhnout nápravy u Evropského soudu pro lidská práva, pokud jde o porušení práv zaručených podle EÚLP.

(11)

Spojené království dne 31. ledna 2020 vystoupilo z Unie. Podle Dohody o vystoupení Spojeného království Velké Británie a Severního Irska z Evropské unie a Evropského společenství pro atomovou energii (14) se ve Spojeném království během přechodného období do 31. prosince 2020 nadále používalo právo Unie. Před vystoupením a během přechodného období tvořily legislativní rámec ochrany osobních údajů ve Spojeném království upravující zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, příslušné části zákona o ochraně údajů z roku 2018, kterým byla ve vnitrostátním právu provedena směrnice (EU) 2016/680.

(12)

Aby se připravila na vystoupení z EU, přijala vláda Spojeného království zákon o Evropské unii (o vystoupení z Evropské unie) z roku 2018 (dále jen „zákon o vystoupení z EU“) (15), který začleňuje přímo použitelné právní předpisy Unie do práva Spojeného království a stanoví, že tzv. vnitrostátní právní předpisy odvozené z práva EU jsou účinné i po skončení přechodného období. Část 3 zákona o ochraně údajů z roku 2018 (16), kterým se ve vnitrostátním právu provádí směrnice (EU) 2016/680, představuje „vnitrostátní právní předpis odvozený z práva EU“ podle zákona o vystoupení z EU. V souladu se zákonem o vystoupení z EU musí soudy Spojeného království vykládat nepozměněné „vnitrostátní právní předpisy odvozené z práva EU“ v souladu s příslušnou judikaturou Soudního dvora Evropské unie a s obecnými zásadami práva Unie účinnými bezprostředně před koncem přechodného období (označovanými jako „ponechaná judikatura EU“, resp. „ponechané obecné zásady práva EU“) (17).

(13)

Podle zákona o vystoupení z EU mají ministři Spojeného království pravomoc zavádět prostřednictvím zákonných nástrojů sekundární právní předpisy, aby provedli nutné úpravy ponechaného práva Evropské unie po vystoupení Spojeného království z Unie. Výsledkem výkonu této pravomoci jsou nařízení (vystoupení z EU) z roku 2019 v oblasti ochrany údajů, soukromí a elektronických komunikací (změny atd.) (dále jen „nařízení v oblasti ochrany údajů, soukromí a elektronických komunikací“) (18). Ta pozměňují právní předpisy Spojeného království v oblasti ochrany údajů včetně zákona o ochraně údajů z roku 2018, aby odpovídaly vnitrostátním souvislostem (19).

(14)

V důsledku toho budou právní standardy pro zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení ve Spojeném království po skončení přechodného období podle dohody o vystoupení nadále vymezeny v příslušných částech zákona o ochraně údajů z roku 2018, avšak ve znění pozměněném nařízeními v oblasti ochrany údajů, soukromí a elektronických komunikací, zejména v části 3 uvedeného zákona. Obecné nařízení o ochraně osobních údajů ve Spojeném království (dále jen „britské nařízení GDPR“) se pro tento druh zpracování nepoužije.

(15)

Část 3 zákona o ochraně údajů z roku 2018 stanoví pravidla zpracování osobních údajů pro účely prosazování trestního práva včetně zásad ochrany údajů, právních důvodů (zákonnosti) zpracování, práv subjektů údajů, povinností příslušných orgánů jako správců a omezení dalšího předávání. Použitelná pravidla pro dohled, prosazování a nápravu použitelná v oblasti prosazování práva jsou zároveň uvedena v částech 5 a 6 zákona o ochraně údajů z roku 2018.

(16)

S ohledem na významnou úlohu, kterou v oblasti prosazování práva hrají policejní síly, by navíc měla být zvážena pravidla, která upravují činnost policie. Vzhledem k tomu, že činnost policie je decentralizovanou oblastí, jsou na činnost policie a) v Anglii a Walesu; b) ve Skotsku a c) v Severním Irsku použitelné různé právní předpisy, které jsou však z hlediska obsahu často podobné (20). Různé druhy pokynů navíc poskytují další objasnění, jak by měly být používány pravomoci policie. Existují tři hlavní druhy pokynů pro policii: 1) statutární pokyny vydané v rámci právních předpisů, jako je etický kodex (21) a kodex zásad pro správu údajů policie (22) vydaný podle zákona o policii z roku 1996 (23) nebo tzv. „kodexy PACE“ (24) vydané podle zákona o policii a důkazech v trestním řízení (25), 2) povolený odborný postup pro správu údajů policie (dále jen „povolený odborný postup“) (26), které vydala policejní akademie, a 3) operativní pokyny (zveřejněné samotnou policií). Národní rada policejních ředitelů (National Police Chiefs Council, koordinační orgán pro všechny policejní síly Spojeného království) zveřejňuje operativní pokyny, které všechny policejní síly schválily, a které proto platí na celostátní úrovni (27). Cílem těchto pokynů je zajistit soulad mezi silami z hlediska způsobu správy údajů (28).

(17)

Kodex zásad pro správu údajů policie vydal ministr v roce 2005 na základě pravomocí stanovených v článku 39 A zákona o policii z roku 1996 (29). Jakýkoli kodex zásad vydaný podle zákona o policii musí být schválen ministrem a před předložením parlamentu Spojeného království musí být konzultován s Národní kriminální agenturou. Ustanovení čl. 39 A odst. 7 zákona o policii vyžaduje, aby policie řádně zohledňovala kodexy vydané podle tohoto zákona, a tudíž se od policie očekává, že bude kodexy dodržovat (30). Pokyny, které nepředstavují zákonný právní předpis (například povolený odborný postup), musí být vždy v souladu s kodexem zásad pro správu údajů policie, který má vyšší právní sílu (31). V každém případě, ačkoli by mohlo dojít k určitým operativním situacím, kdy se policisté budou muset od těchto pokynů odchýlit, jsou stále povinni dodržovat požadavky části 3 zákona o ochraně údajů z roku 2018 (32).

(18)

Další pokyny k právním předpisům Spojeného království v oblasti ochrany údajů týkajícím se zpracování v oblasti prosazování práva poskytuje Úřad komisaře pro informace (33) (další podrobnosti o Úřadu komisaře pro informace viz 93. až 109. bod odůvodnění). Jakkoli tyto pokyny nejsou právně závazné, v soudním řízení by soudy byly povinny zohlednit jakékoli jejich porušení, neboť mají interpretační sílu a ukazují, jak komisař právní předpisy v oblasti ochrany údajů vykládá a prosazuje v praxi (34).

(19)

A v neposlední řadě musí donucovací orgány Spojeného království zajistit soulad s EÚLP a s úmluvou č. 108, jak uvádí 8. až 10. bod odůvodnění.

(20)

Svou strukturou a hlavními složkami je tedy právní rámec upravující zpracování údajů orgány činnými v trestním řízení ve Spojeném království velmi podobný právnímu rámci platnému v EU. Zahrnuje to skutečnost, že takový rámec se neopírá pouze o povinnosti stanovené ve vnitrostátním právu, které byly formovány právem EU, ale také o povinnosti zakotvené v mezinárodním právu, zejména prostřednictvím dodržování EÚLP a úmluvy č. 108 a podrobení se pravomoci Evropského soudu pro lidská práva ze strany Spojeného království. Tyto povinnosti vyplývají z právně závazných mezinárodních nástrojů, zejména pokud jde o ochranu osobních údajů, a jsou proto obzvláště důležitým prvkem právního rámce posuzovaného v tomto rozhodnutí.

(21)

Věcná působnost části 3 zákona o ochraně údajů z roku 2018 se shoduje s působností směrnice (EU) 2016/680, jak je uvedena v čl. 2 odst. 2 směrnice. Část 3 se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů příslušným orgánem a na neautomatizované zpracování příslušným orgánem týkající se osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

(22)

Kromě toho, aby správce spadal do oblasti působnosti části 3, musí být „příslušným orgánem“ a zpracování musí být prováděno pro „účely prosazování práva“. Režim ochrany údajů, který je posuzován v tomto rozhodnutí, se proto vztahuje na všechny činnosti těchto příslušných orgánů v oblasti prosazování práva.

(23)

Pojem „příslušný orgán“ je vymezen v článku 30 zákona o ochraně údajů jako osoba vyjmenovaná v příloze 7 zákona o ochraně údajů z roku 2018, jakož i kterákoli jiná osoba, která má zákonné funkce pro jakékoli účely prosazování práva. Příslušné orgány vyjmenované v příloze 7 zahrnují nejen policejní síly, ale i všechna ministerstva Spojeného království , jakož i jiné orgány s vyšetřovacími funkcemi (např. Commissioner for Her Majesty’s Revenue and Customs (komisař Daňové a celní správy Spojeného království), Welsh Revenue Authority (orgán daňové správy ve Walesu), Competition and Markets Authority (Úřad pro hospodářskou soutěž a trhy), Her Majesty’s Land Register (Katastrální úřad Spojeného království) nebo Národní kriminální agentura), státní zastupitelství, další orgány činné v trestním řízení a další držitele funkcí nebo organizace vykonávající činnosti v oblasti prosazování práva (35). Část 3 zákona o ochraně údajů z roku 2018 se vztahuje také na soudy při výkonu jejich soudních funkcí, s výjimkou části týkající se práv subjektu údajů a dohledu Úřadu komisaře pro informace (36). Seznam příslušných orgánů uvedený v příloze 7 není konečný a ministr jej může aktualizovat nařízeními s přihlédnutím ke změnám v organizaci veřejných úřadů (37).

(24)

Dotčené zpracování musí být také prováděno pro „účely prosazování práva“, které jsou vymezeny jako prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení (38). Zpracování příslušným orgánem se neřídí částí 3 zákona o ochraně údajů z roku 2018, pokud k němu nedochází pro účely prosazování práva. Bude tomu tak například v případě, kdy Úřad pro hospodářskou soutěž a trhy vyšetřuje případy, v nichž se nejedná o trestní stíhání (např. fúze společností). V takovém případě se použije britské nařízení GDPR společně s částí 2 zákona o ochraně údajů z roku 2018, protože zpracování osobních údajů příslušnými orgány se provádí pro jiné účely než prosazování práva. Aby určil, který režim ochrany údajů se na dotčené zpracování osobních údajů použije (část 3 nebo část 2 zákona o ochraně údajů z roku 2018), musí příslušný orgán, tj. správce, posoudit, zda je „primárním účelem“ takového zpracování jeden z účelů prosazování práva podle zákona o ochraně údajů z roku 2018.

(25)

Pokud jde o územní působnost části 3 zákona o ochraně údajů z roku 2018, čl. 207 odst. 2 stanoví, že zákon o ochraně údajů se použije na zpracování osobních údajů v rámci činností subjektu zřízeného pro celé území Spojeného království. To zahrnuje orgány veřejné moci na území Anglie, Walesu, Skotska a Severního Irska, která spadají do věcné působnosti části 3 zákona o ochraně údajů z roku 2018 (39).

(26)

Hlavní pojmy v oblasti osobních údajů a zpracování jsou vymezeny v článku 3 zákona o ochraně údajů z roku 2018 a používají se v celém tomto zákoně. Definice úzce navazují na odpovídající definice uvedené v článku 3 směrnice (EU) 2016/680. Podle zákona o ochraně údajů z roku 2018 se osobními údaji rozumí veškeré informace o identifikované nebo identifikovatelné žijící fyzické osobě (40). Podle čl. 3 odst. 3 zákona o ochraně údajů z roku 2018 je fyzická osoba identifikovatelná, pokud ji lze z daných informací přímo či nepřímo identifikovat, například s odkazem na jméno nebo určitý identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Pojem „zpracování“ je vymezen jako operace nebo soubor operací, které jsou prováděny s informacemi nebo soubory informací, jako je a) shromáždění, zaznamenání, uspořádání, strukturování nebo uložení; b) přizpůsobení nebo pozměnění; c) vyhledání, nahlédnutí nebo použití; d) zpřístupnění osobních údajů přenosem, šířením nebo jakýmkoliv jiným způsobem; e) seřazení nebo zkombinování nebo f) omezení, výmaz nebo zničení. Kromě toho zákon vymezuje „citlivé zpracování“ jako „a) zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech; b) zpracování genetických údajů nebo biometrických údajů za účelem jedinečné identifikace fyzické osoby; c) zpracování údajů o zdravotním stavu; d) zpracování údajů o sexuálním životě nebo sexuální orientaci fyzické osoby“ (41). V tomto ohledu článek 205 zákona o ochraně údajů z roku 2018 uvádí definici „biometrických údajů“ (42), „údajů o zdravotním stavu“ (43) a „genetických údajů“ (44).

(27)

Článek 32 zákona o ochraně údajů z roku 2018 objasňuje definice „správce“ a „zpracovatele“ v kontextu zpracování osobních údajů pro účely prosazování práva, přičemž úzce navazuje na rovnocenné definice ve směrnici (EU) 2016/680. Správcem se rozumí příslušný orgán, který určuje účely a prostředky zpracování osobních údajů. Je-li zpracování vyžadováno ze zákona, je správcem příslušný orgán, kterému daný právní předpis tuto povinnost ukládá. Zpracovatel je vymezen jako kterákoli osoba, která zpracovává osobní údaje pro správce (kromě zaměstnanců správce).

(28)

Podle článku 35 zákona o ochraně údajů z roku 2018 musí být zpracování osobních údajů zákonné a korektní, obdobně jako podle čl. 4 odst. 1 písm. a) směrnice (EU) 2016/680. V souladu s čl. 35 odst. 2 zákona o ochraně údajů z roku 2018 je zpracování osobních údajů pro jakékoli účely prosazování práva zákonné, pouze pokud má základ v právu, přičemž buď subjekt údajů udělil souhlas se zpracováním pro daný účel, nebo je zpracování nezbytné pro plnění úkolu, který za tímto účelem provádí příslušný orgán.

(29)

Obdobně, jako je stanoveno v článku 8 směrnice (EU) 2016/680, musí být taková zpracování s cílem zajistit zákonnost zpracování podle části 3 zákona o ochraně údajů z roku 2018 „právně podložená“. „Zákonným“ zpracováním se rozumí zpracování povolené právním předpisem, zvykovým právem nebo královskými výsadami (45).

(30)

Pravomoci příslušných orgánů se obecně řídí zákonnými předpisy, což znamená, že jejich funkce a pravomoci jsou jasně stanoveny v právních předpisech přijatých Parlamentem (46). V některých případech se policie i další příslušné orgány vyjmenované v příloze 7 zákona o ochraně údajů z roku 2018 mohou při zpracování údajů opřít o zvykové právo (47). Zvykové právo postupně vznikalo v podobě precedentů stanovených rozhodnutími soudů. Zvykové právo je relevantní v kontextu pravomocí, které má k dispozici policie, jež z tohoto pramene práva odvozuje svou základní povinnost chránit veřejnost odhalováním a prevencí trestné činnosti (48). Policejní síly však mají k výkonu této povinnosti pravomoci na základě zvykového práva i právních předpisů (49). Pokud má policie pravomoc na základě zákonného právního předpisu, je tato pravomoc nadřazena jakékoli pravomoci podle zvykového práva (50).

(31)

Soudy uznaly, že šíře pravomocí a povinností policisty podle zvykového práva zahrnuje „všechny kroky, které se mu zdají nezbytné pro udržení klidu, předcházení trestné činnosti nebo ochranu majetku před újmou v důsledku trestného činu“ (51). Pravomoci podle zvykového práva nejsou bezvýhradnými pravomocemi. Podléhají řadě omezení, včetně omezení stanovených soudy (52) a právními předpisy, zejména zákonem o lidských právech z roku 1998 a zákonem o rovnosti z roku 2010 (53). U příslušných orgánů zpracovávajících údaje podle části 3 zákona o ochraně údajů z roku 2018 to navíc zahrnuje výkon pravomocí podle zvykového práva v souladu s požadavky stanovenými v zákoně o ochraně údajů z roku 2018 (54). Rozhodnutí o provedení jakéhokoli druhu zpracování údajů musí dále zohledňovat požadavky příslušných pokynů, jako je kodex zásad pro správu údajů policie, jakož i pokyny specifické pro jednu ze zemí Spojeného království (55). Vláda a operativní policejní složky vydávají řadu pokynů s cílem zajistit, aby policisté vykonávali své pravomoci zpracování v mezích stanovených zvykovým právem nebo příslušným zákonem (56).

(32)

Královské výsady představují další složku „práva“ a odkazují na určité pravomoci svěřené Koruně a vykonatelné výkonnou mocí, které se nezakládají na právním předpisu, nýbrž jsou odvozeny ze svrchovanosti panovníka (57). Existuje jen velmi málo příkladů výsadních pravomocí, které jsou relevantní v kontextu prosazování práva. Patří k nim například rámec vzájemné právní pomoci, který umožňuje sdílení údajů ze strany ministra se třetími zeměmi pro účely prosazování práva, a pravomoc sdílet údaje tímto způsobem není vždy stanovena v zákonném právním předpisu (58). Královské výsady jsou vázány zásadami zvykového práva (59) a jsou podřízeny obecnému právu, tudíž podléhají omezením stanoveným zákonem o lidských právech z roku 1998 a zákonem o ochraně údajů z roku 2018 (60).

(33)

Obdobně jako článek 8 směrnice (EU) 2016/680 režim Spojeného království vyžaduje, aby za účelem dodržení zásady zákonnosti měly příslušné orgány povinnost zajistit, aby v případech, kdy je zpracování právně podloženo, bylo rovněž „nezbytné“ provádět daný úkol za účelem prosazování práva. V tomto ohledu poskytuje Úřad komisaře pro informace pokyny, které objasňují, že „se musí jednat o cílený a přiměřený způsob dosažení daného účelu. Zákonný základ se nepoužije, pokud můžete účelu rozumně dosáhnout jinými, méně rušivými prostředky. Nestačí tvrdit, že zpracování je nezbytné, protože to tak nejvíce vyhovuje způsobu vašeho podnikání. Jde o to, zda je zpracování pro uvedený účel nezbytné.“ (61)

(34)

Jak uvádí 28. bod odůvodnění, čl. 35 odst. 2 zákona o ochraně údajů z roku 2018 stanoví možnost zpracovávat osobní údaje na základě „souhlasu“ fyzické osoby.

(35)

Souhlas však zřejmě není právním základem relevantním pro operace zpracování spadající do oblasti působnosti tohoto rozhodnutí. Operace zpracování, na které se vztahuje toto rozhodnutí, se ve skutečnosti budou vždy týkat údajů, které byly předány podle směrnice (EU) 2016/680 příslušným orgánem členského státu příslušnému orgánu Spojeného království. Obvykle tedy nebudou zahrnovat takový druh přímé interakce (shromažďování) mezi orgánem veřejné moci a subjekty údajů, který může být založen na souhlasu podle čl. 35 odst. 2 písm. a) zákona o ochraně údajů z roku 2018.

(36)

Ačkoli se tudíž využití souhlasu nepovažuje za relevantní pro posouzení prováděné podle tohoto rozhodnutí, pro úplnost je třeba uvést, že v kontextu prosazování práva není zpracování nikdy založeno pouze na souhlasu, neboť příslušný orgán musí mít vždy příslušnou pravomoc, která mu umožňuje zpracovávat údaje (62). To konkrétně znamená, že – podobně, jako je povoleno podle směrnice (EU) 2016/680 (63) – souhlas slouží jako další podmínka umožňující určité omezené a specifické operace zpracování, které by jinak nemohly být provedeny, například odběr a zpracování vzorku DNA jednotlivce, který není podezřelou osobou. V tomto případě by zpracování nebylo provedeno, pokud by souhlas nebyl udělen nebo byl vzat zpět (64).

(37)

V případech vyžadujících souhlas jednotlivce musí být takový souhlas jednoznačný a musí zahrnovat zjevné potvrzení (65). Policejní útvary jsou povinny mít oznámení o ochraně osobních údajů, mimo jiné včetně nezbytných informací souvisejících s platným použitím souhlasu. Některé z nich navíc zveřejňují další materiály o tom, jak dodržují právní předpisy v oblasti ochrany údajů, včetně toho, jak a kdy by použily souhlas jako právní základ (66).

(38)

Pokud se zpracovávají „zvláštní kategorie“ údajů, měly by existovat zvláštní záruky. V tomto ohledu, obdobně jako ustanovení článku 10 směrnice (EU) 2016/680, poskytuje část 3 zákona o ochraně údajů z roku 2018 silnější záruky pro tzv. citlivé zpracování (67).

(39)

Podle čl. 35 odst. 3 zákona o ochraně údajů z roku 1998 mohou příslušné orgány zpracovávat citlivé údaje pro účely prosazování práva pouze ve dvou případech: 1) subjekt údajů udělil souhlas se zpracováním pro daný účel prosazování práva a v době, kdy je zpracování prováděno, má správce zaveden příslušný dokument o vhodné politice (68), nebo 2) zpracování je nezbytně nutné pro účely prosazování práva, zpracování splňuje alespoň jednu z podmínek uvedených v příloze 8 zákona o ochraně údajů z roku 2018 a v době, kdy je zpracování prováděno, má správce zaveden příslušný dokument o vhodné politice (69).

(40)

Pokud jde o první případ a jak je vysvětleno v 38. bodě odůvodnění, využití souhlasu se nepovažuje za relevantní u takového druhu situace předání, na který se vztahuje toto rozhodnutí (70).

(41)

Pokud se zpracování citlivých údajů neopírá o souhlas, lze je provést na základě jedné z podmínek uvedených v příloze 8 zákona o ochraně údajů z roku z roku 2018. Tyto podmínky se týkají zpracování nezbytného pro zákonem stanovené účely; soudní správu; ochranu životních zájmů subjektu údajů nebo jiné osoby; ochranu dětí a ohrožených osob; právní nároky; soudní akty; předcházení podvodům; archivaci, pokud jsou osobní údaje zjevně zveřejněny subjektem údajů. Kromě případu, kdy jsou údaje zjevně zveřejněny, podléhají všechny podmínky uvedené v příloze 8 testu „nezbytné nutnosti“. Jak objasnil Úřad komisaře pro informace, „nezbytná nutnost v této souvislosti znamená, že zpracování musí souviset s naléhavou společenskou potřebou a nemůžete jej rozumně provést méně rušivými prostředky“ (71). Některé podmínky navíc podléhají dalším omezením. Například pro využití podmínky „zákonem stanovených účelů“ a „podmínky ochrany“ (body 1 a 4 přílohy 8) je třeba vyhovět dalšímu podstatnému testu veřejného zájmu. Kromě toho, pokud jde o podmínky týkající se ochrany dítěte (bod 4 přílohy 8), musí být subjekt údajů rovněž v určitém věku a musí být považován za ohrožený. Správce může navíc podmínku uvedenou v bodě 4 přílohy 8 použít pouze v případě konkrétních okolností (72). Podobně existují omezení týkající se podmínek „soudních aktů“ a „předcházení podvodům“ (bod 7, resp. bod 8 přílohy 8). Obě podmínky jsou použitelné pouze pro konkrétní správce. V případě soudních aktů může takovou podmínku použít pouze soud nebo jiný soudní orgán a v případě prevence podvodů se o tuto podmínku mohou opřít pouze správci, kteří jsou organizacemi činnými v oblasti boje proti podvodům.

(42)

A konečně, pokud se zpracování opírá o jednu z podmínek uvedených v příloze 8, resp. článek 42 zákona o ochraně údajů z roku z roku 2018, musí být zaveden „dokument o vhodné politice“, který vysvětluje postupy správce pro zajištění souladu se zásadami ochrany údajů a politikami správce týkajícími se uchovávání a výmazu osobních údajů, a platí povinnosti vedení rozšířené evidence.

(43)

Osobní údaje by měly být zpracovávány za konkrétním účelem a následně používány, pouze pokud to není neslučitelné s účelem zpracování. Tuto zásadu ochrany údajů zaručuje článek 36 zákona o ochraně údajů z roku 2018. Toto ustanovení obdobně jako čl. 4 odst. 1 písm. b) směrnice (EU) 2016/680 stanoví, že a) účel prosazování práva, pro který jsou osobní údaje při jakékoli příležitosti shromažďovány, musí být určitý, výslovně vyjádřený a legitimní a b) takto shromážděné osobní údaje nesmí být zpracovávány způsobem, který není slučitelný s účely, pro které byly údaje shromážděny.

(44)

Pokud příslušné orgány zpracovávají údaje pro účely prosazování práva, mohou účely zahrnovat archivaci, vědecký či historický výzkum a statistické účely (73). V těchto případech zákon o ochraně údajů z roku 2018 rovněž objasňuje, že archivace (nebo zpracování pro vědecký či historický výzkum a statistické účely) není povolena, pokud je prováděna u rozhodnutí vydaných ve vztahu ke konkrétnímu subjektu údajů nebo pokud je pravděpodobné, že archivace způsobí subjektu podstatnou újmu nebo tíseň (74).

(45)

Údaje musí být přesné a dle potřeby aktualizované. Musí být rovněž přiměřené, relevantní a nikoli přebytečné ve vztahu k účelům, pro které jsou zpracovávány. Obdobně, jako je stanoveno v čl. 4 odst. 1 písm. c), d) a e) směrnice (EU) 2016/680, jsou tyto zásady zajištěny v článcích 37 a 38 zákona o ochraně údajů z roku 2018. Musí být přijata veškerá rozumná opatření zajišťující, aby osobní údaje, které jsou nepřesné (75), byly bezodkladně vymazány nebo opraveny (76) s přihlédnutím k účelu, pro který jsou zpracovávány (77), a aby nebyly pro žádný účel prosazování práva předávány ani zpřístupňovány osobní údaje, které jsou nepřesné, neúplné nebo již nejsou aktuální (78).

(46)

Kromě toho britský režim ochrany údajů stanoví – obdobně, jako je stanoveno v článku 7 směrnice (EU) 2016/680 –, že osobní údaje založené na skutečnostech je třeba pokud možno rozlišovat od osobních údajů založených na osobních hodnoceních (79). V příslušných případech, a pokud je to možné, se musí jednoznačně rozlišovat mezi osobními údaji týkajícími se různých kategorií subjektů údajů, jako jsou podezřelé osoby, osoby odsouzené za trestný čin, oběti trestného činu a svědci (80).

(47)

Podle článku 5 směrnice (EU) 2016/680 by se údaje zásadně neměly uchovávat déle, než je nezbytné pro účely, k nimž jsou zpracovávány. Podle článku 39 zákona o ochraně údajů z roku 2018 a obdobně, jako je stanoveno v článku 5 uvedené směrnice, je zakázáno uchovávat osobní údaje zpracovávané pro jakékoli účely prosazování práva po dobu delší, než je nezbytné s ohledem na účel, pro který jsou zpracovávány. Právní režim Spojeného království vyžaduje, aby byly stanoveny přiměřené lhůty pro pravidelné přezkoumání nutnosti dalšího uchovávání osobních údajů pro jakékoli účely prosazování práva. Další pravidla pro postupy týkající se uchovávání osobních údajů a příslušné lhůty jsou stanovena v příslušných právních předpisech a pokynech upravujících pravomoci a fungování policie. Například v Anglii a Walesu poskytuje rámec pro zajištění jednotného a na riziku založeného procesu uchovávání, přezkumu a likvidace pro správu operačních policejních informací kodex zásad pro správu údajů policie, který vypracovala policejní akademie, společně s povoleným odborným postupem pro správu údajů policie (81). Tento rámec stanoví pro všechny složky policie jasná očekávání ohledně způsobu, jakým by měly být informace vytvářeny, sdíleny, používány a spravovány v rámci jednotlivých policejních útvarů a jiných agentur a mezi nimi (82). Očekává se, že policie bude kodex zásad dodržovat, a toto dodržování kontroluje Inspektorát policejního a hasičského a záchranného sboru Jejího Veličenstva (83).

(48)

Policejní sbor Severního Irska není ze zákona povinen dodržovat kodex zásad pro správu údajů policie. Rámec správy údajů policie přijatý v roce 2011 je však doplněn příručkou Policejního sboru Severního Irska (84), která stanoví zásady a postupy týkající se způsobu, jakým je v Severním Irsku kodex zásad pro správu údajů policie uplatňován.

(49)

Ve Skotsku policejní síly používají standardní operační postup pro uchovávání záznamů (85), který podporuje politiku správy záznamů policejního sboru ve Skotsku (86). Standardní operační postup pro uchovávání záznamů stanoví konkrétní pravidla pro uchovávání záznamů policií ve Skotsku.

(50)

Kromě všeobecného požadavku přezkumu záznamů, který platí v celém Spojeném království, jsou další podrobnosti uvedeny v lokalizovaných předpisech. K příkladům v Anglii a Walesu patří zákon o policii a důkazech v trestním řízení, ve znění zákona o ochraně svobod z roku 2012, který obsahuje ustanovení o uchovávání otisků prstů a profilů DNA, jakož i o zvláštním režimu pro osoby, které nebyly odsouzeny (87). Zákon o ochraně svobod rovněž zřídil funkci komisaře pro uchovávání a používání biometrických materiálů (dále jen „komisař pro biometriku“) (88). Zvláštní pravidla pro fotografie pořízené při zadržení jsou stanovena v pokynech pro přezkum fotografií pořízených při zadržení z roku 2017 (89). Pokud jde o Skotsko, zákon o trestním řízení (Skotsko) z roku 1995 stanoví pravidla pro získávání a uchovávání otisků prstů a biologických vzorků (90). Stejně jako v případě Anglie a Walesu upravují právní předpisy uchovávání biometrických údajů v různých případech (91).

(51)

Osobní údaje musí být zpracovávány způsobem, který zajišťuje jejich zabezpečení, včetně ochrany před neoprávněným nebo protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Za tímto účelem by orgány veřejné moci měly přijmout vhodná technická nebo organizační opatření na ochranu osobních údajů před možnými hrozbami. Tato opatření musí být posuzována s přihlédnutím ke stavu techniky a k souvisejícím nákladům.

(52)

Tyto zásady se odrážejí v článku 40 zákona o ochraně údajů z roku 2018, podle kterého musí být obdobně jako dle čl. 4 odst. 1 písm. f) směrnice (EU) 2016/680 osobní údaje zpracovávané pro jakýkoli účel prosazování práva zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, a to pomocí vhodných technických nebo organizačních opatření. To zahrnuje ochranu údajů před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením (92). Článek 66 zákona o ochraně údajů z roku 2018 dále stanoví, že každý správce a každý zpracovatel musí zavést vhodná technická a organizační opatření k zajištění úrovně bezpečnosti odpovídající rizikům vyplývajícím ze zpracování osobních údajů. Podle vysvětlivek musí správce vyhodnotit rizika a na základě tohoto vyhodnocení zavést vhodná bezpečnostní opatření, například šifrování nebo specifické úrovně bezpečnostní prověrky pro zaměstnance, kteří údaje zpracovávají (93). Hodnocení musí rovněž zohlednit například povahu zpracovávaných údajů a jakékoli další relevantní faktory nebo okolnosti, které by mohly mít vliv na zabezpečení zpracování.

(53)

Režim upravující dodržování zásad zabezpečení údajů je velmi podobný režimu stanovenému články 29 až 31 směrnice (EU) 2016/680. Konkrétně v případě porušení zabezpečení osobních údajů týkajícího se osobních údajů, za které nese odpovědnost, musí správce podle čl. 67 odst. 1 zákona o ochraně údajů z roku 2018 bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit toto porušení zabezpečení osobních údajů komisaři pro informace (94). Oznamovací povinnost neplatí, pokud není pravděpodobné, že by porušení zabezpečení osobních údajů vedlo k ohrožení práv a svobod jednotlivců (95). Správce musí zdokumentovat skutečnosti týkající se jakéhokoli porušení zabezpečení osobních údajů, jeho dopadů a přijatých nápravných opatření, a to způsobem, který komisaři pro informace umožní ověřit dodržování zákona o ochraně údajů (96). Pokud se o porušení zabezpečení dozví zpracovatel, musí bez zbytečného odkladu vyrozumět správce (97).

(54)

Je-li pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, musí to podle čl. 68 odst. 1 zákona o ochraně údajů z roku 2018 správce bez zbytečného odkladu oznámit subjektu údajů (98). Oznámení musí obsahovat stejné informace jako oznámení komisaři pro informace popsané v 53. bodě odůvodnění. Tato povinnost neplatí, pokud správce zavedl náležitá technická a organizační ochranná opatření, která byla použita u osobních údajů dotčených daným porušením zabezpečení. Povinnost také neplatí v případě, že správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví. A konečně správce není povinen uvědomit subjekt údajů, pokud by to vyžadovalo nepřiměřené úsilí (99). V takovém případě musí být informace subjektu údajů zpřístupněny jiným, stejně účinným způsobem, například veřejným oznámením (100). Jestliže správce subjektu údajů porušení zabezpečení údajů neoznámil, může komisař pro informace poté, co byl informován podle článku 67 zákona o ochraně údajů a posoudil pravděpodobnost toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby správce subjekt údajů o porušení zabezpečení informoval (101).

(55)

Subjekty údajů musí být informovány o hlavních znacích zpracování jejich osobních údajů. Tato zásada ochrany údajů se odráží v článku 44 zákona o ochraně údajů z roku z roku 2018, který podobně jako článek 13 směrnice (EU) 2016/680 stanoví, že správce má obecnou povinnost zpřístupnit subjektům údajů informace o zpracování jejich osobních údajů (ať už zveřejněním informací, nebo jakýmkoli jiným způsobem) (102). Informace, které mají být zpřístupněny, zahrnují a) údaje o totožnosti a kontaktní údaje správce; b) kontaktní údaje případného pověřence pro ochranu osobních údajů; c) informace o účelech, pro které správce osobní údaje zpracovává; d) informace o existenci práva subjektů údajů požadovat od správce přístup k osobním údajům, jejich opravu nebo výmaz anebo omezení jejich zpracování a e) informace o existenci práva podat stížnost u komisaře pro informace a kontaktní údaje komisaře (103).

(56)

Správce musí rovněž ve zvláštních případech, aby umožnil výkon práv subjektu údajů podle zákona o ochraně údajů z roku 2018 (například pokud byly zpracovávané osobní údaje shromážděny bez vědomí subjektu údajů), poskytnout subjektu údajů: a) informace o právním základu zpracování; b) informace o době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, o kritériích použitých ke stanovení této doby; c) informace o případných kategoriích příjemců daných osobních údajů (včetně příjemců ve třetích zemích nebo v mezinárodních organizacích); d) další informace nezbytné k umožnění výkonu práv subjektu údajů podle části 3 zákona o ochraně údajů z roku 2018 (104).

(57)

Subjektům údajů musí být přiznána řada vymahatelných práv. Kapitola 3 části 3 zákona o ochraně údajů z roku 2018 poskytuje jednotlivcům práva na přístup, opravu a výmaz a omezení (105), která jsou srovnatelná s právy stanovenými v kapitole 3 směrnice (EU) 2016/680.

(58)

Právo na přístup je stanoveno v článku 45 zákona o ochraně údajů z roku 2018. Zaprvé, jednotlivec je oprávněn získat od správce potvrzení, zda jeho osobní údaje jsou, či nejsou zpracovávány (106). Zadruhé, pokud jsou osobní údaje zpracovávány, má subjekt údajů právo na přístup k těmto údajům a na získání těchto informací o zpracování: a) účely a právní základy zpracování; b) kategorie dotčených údajů; c) příjemci, kterým byly údaje zpřístupněny; d) doba, po kterou se budou osobní údaje uchovávat; e) existence práva subjektu údajů na opravu a výmaz osobních údajů; f) právo podat stížnost; a g) veškeré informace o původu dotčených osobních údajů (107).

(59)

Podle článku 46 zákona o ochraně údajů z roku 2018 má subjekt údajů právo požadovat, aby správce opravil nepřesné osobní údaje, které se týkají subjektu údajů. Správce musí údaje opravit (nebo pokud jsou údaje nepřesné, protože jsou neúplné, doplnit) bez zbytečného odkladu. Pokud musí být osobní údaje uchovány pro účely dokazování, musí správce (namísto opravy osobních údajů) omezit jejich zpracování (108).

(60)

Článek 47 zákona o ochraně údajů z roku 2018 poskytuje jednotlivcům právo na výmaz a omezení zpracování. Správce musí (109) bez zbytečného odkladu vymazat osobní údaje, pokud by zpracování těchto osobních údajů porušovalo kteroukoli ze zásad ochrany údajů, kterýkoli z právních důvodů zpracování nebo kteroukoli záruku související s archivací a citlivým zpracováním. Správce musí také údaje vymazat, pokud je k tomu povinen ze zákona. Musí-li být dané osobní údaje uchovány pro účely dokazování, musí správce (namísto výmazu osobních údajů) omezit jejich zpracování (110). Správce musí omezit zpracování osobních údajů, pokud subjekt údajů zpochybňuje přesnost osobních údajů, ale není možné zjistit, zda jsou údaje přesné, či nikoli (111).

(61)

Pokud subjekt údajů požaduje opravu nebo výmaz osobních údajů nebo omezení jejich zpracování, musí správce subjekt údajů písemně informovat o tom, zda bylo žádosti vyhověno, a pokud byla zamítnuta, informovat subjekt údajů o důvodech zamítnutí a dostupných opravných prostředcích (právo subjektu údajů podat komisaři pro informace žádost o vyšetření toho, zda bylo omezení použito zákonně, právo podat stížnost u komisaře pro informace a právo podat k soudu návrh na vydání příkazu ke splnění povinnosti) (112).

(62)

Pokud správce opraví osobní údaje přijaté od jiného příslušného orgánu, musí to druhému orgánu oznámit (113). Pokud správce opraví či vymaže osobní údaje nebo omezí zpracování osobních údajů, které správce zpřístupnil, musí o tom vyrozumět příjemce a příjemci musí obdobně dané osobní údaje opravit, vymazat nebo omezit jejich zpracování (pokud si za ně ponechají odpovědnost) (114).

(63)

Subjekt údajů má navíc právo na to, aby jej správce bez zbytečného odkladu informoval o porušení zabezpečení osobních údajů, pokud je pravděpodobné, že povede k vysokému riziku pro práva a svobody osob (115).

(64)

Ve vztahu ke všem těmto právům subjektu údajů a obdobně právům, která jsou zajištěna podle článku 12 směrnice (EU) 2016/680, je správce povinen zajistit, aby veškeré informace byly subjektu údajů poskytovány stručným, srozumitelným a snadno přístupným způsobem (116), a pokud je to možné, měly by být poskytovány stejnou formou, jakou je podána žádost (117). Správce musí vyhovět žádosti subjektu údajů bez zbytečného odkladu nebo v každém případě v zásadě nejpozději jeden měsíc od data podání žádosti (118). Má-li správce důvodné pochybnosti o totožnosti jednotlivce, může požádat o další informace a odložit vyřízení žádosti, dokud nebude totožnost zjištěna. Správce může požadovat přiměřený poplatek nebo může odmítnout jednat, pokud žádost považuje za zjevně nedůvodnou (119). Úřad komisaře pro informace poskytl pokyny ohledně toho, kdy je žádost považována za zjevně nedůvodnou nebo nepřiměřenou a kdy lze požadovat poplatek (120).

(65)

Podle čl. 53 odst. 4 zákona o ochraně údajů z roku 2018 může maximální výši poplatku nařízeními stanovit také ministr.

(66)

Příslušný orgán může za určitých okolností omezit určitá práva subjektu údajů: právo na přístup (121), právo být informován (122), dozvědět se o porušení zabezpečení osobních údajů (123) a být informován o důvodu odmítnutí žádosti o opravu nebo výmaz (124). Obdobně, jako je upraveno v režimu uvedeném v kapitole III směrnice (EU) 2016/680, může příslušný orgán uplatnit omezení pouze v případě, že omezení s přihlédnutím k základním právům a oprávněným zájmům subjektu údajů představuje nezbytné a přiměřené opatření s cílem: a) zabránit maření úředních nebo právních šetření, vyšetřování nebo řízení; b) zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů; c) chránit veřejnou bezpečnost; d) chránit národní bezpečnost; e) chránit práva a svobody druhých.

(67)

Úřad komisaře pro informace poskytl pokyny k uplatňování těchto omezení. Podle těchto pokynů musí správci v každém jednotlivém případě provést analýzu, aby vyvážili práva jednotlivce vůči újmě, kterou by zpřístupnění osobních údajů způsobilo. Zejména musí odůvodnit jakékoli použité omezení jako nezbytné a přiměřené a poskytované informace mohou omezit pouze v případě, že by znamenaly újmu pro výše uvedené účely (125).

(68)

Existuje také řada dalších pokynů vydaných příslušnými orgány, které poskytují podrobné informace o všech aspektech právních předpisů v oblasti ochrany údajů, včetně uplatňování omezení práv subjektů údajů (126). Například v souvislosti s čl. 45 odst. 4 Příručka ochrany údajů Národní rady policejních ředitelů uvádí: „Je důležité si uvědomit, že omezení lze uplatnit, pouze pokud je nezbytné a pouze po nezbytnou dobu. V důsledku toho není povoleno plošné uplatňování omezení na veškeré osobní údaje žadatele nebo trvalé uplatňování omezení. Pokud jde o druhý bod, často se stává, že osobní údaje shromážděné bez vědomí subjektu údajů, který je ve vyšetřování podezřelou osobou, je třeba nejprve chránit před zpřístupněním tomuto subjektu údajů, aby nedošlo k narušení vyšetřování v jeho průběhu, k pozdějšímu datu by však zpřístupnění nezpůsobilo žádnou újmu, pokud by osobní údaje byly jednotlivci zpřístupněny během výslechu. Policejní útvary musí zavést postupy, které zajistí, že tato omezení budou uplatňována pouze v požadovaném rozsahu a pouze po nezbytně nutnou dobu.“ (127) Tyto pokyny také uvádějí příklady situací, v nichž je použití každého z omezení pravděpodobné (128).

(69)

Kromě toho může správce v souvislosti s možností omezit výše uvedená práva z důvodu ochrany „národní bezpečnosti“ požádat o osvědčení podepsané ministrem nebo generálním prokurátorem (nebo generálním advokátem pro Skotsko ), které potvrzuje, že omezení těchto práv je nezbytným a přiměřeným opatřením k ochraně národní bezpečnosti (129). Vláda Spojeného království vydala pokyny týkající se osvědčení o omezení z důvodu národní bezpečnosti podle zákona o ochraně údajů z roku 2018, které zejména zdůrazňují, že jakékoli omezení práv subjektů údajů z důvodu zajištění národní bezpečnosti musí být přiměřené a nezbytné (130) (další podrobnosti k osvědčením o omezení z důvodu národní bezpečnosti viz 131. až 134. bod odůvodnění).

(70)

Kromě toho, pokud je použito omezení práva subjektu údajů, musí příslušný orgán bez zbytečného odkladu informovat subjekt údajů o tom, že jeho práva byla omezena, o důvodech tohoto omezení a o dostupných opravných prostředcích, ledaže by poskytnutí těchto informací ohrozilo důvod pro použití omezení (131). Jako další záruku před zneužitím omezení musí správce zaznamenat důvody pro omezení informací a na požádání zpřístupnit záznam komisaři pro informace (132).

(71)

Pokud správce odmítne poskytnout další informace v rámci transparentnosti nebo poskytnout přístup nebo odmítne žádost o opravu, výmaz nebo omezení zpracování, může jednotlivec požádat komisaře pro informace, aby prošetřil, zda správce toto omezení použil zákonným způsobem (133). Dotčená osoba může také podat stížnost ke komisaři pro informace nebo se obrátit na soud, aby správci nařídil žádosti vyhovět (134).

(72)

Článek 49 zákona o ochraně údajů z roku 2018 upravuje práva související s automatizovaným rozhodováním a článek 50 záruky, které se mají uplatňovat (135). Obdobně, jako je stanoveno v článku 11 směrnice (EU) 2016/680, může správce přijmout významné rozhodnutí založené výlučně na automatizovaném zpracování osobních údajů, pouze pokud je vyžadováno nebo povoleno zákonem (136). Rozhodnutí je významné, pokud by mělo nepříznivý právní účinek na subjekt údajů nebo by subjekt údajů významně ovlivnilo (137).

(73)

V případech, kdy je správce povinen nebo ze zákona oprávněn přijmout významné rozhodnutí, stanoví článek 50 zákona o ochraně údajů z roku 2018 záruky, které se na takové rozhodnutí budou vztahovat (rozhodnutí je definováno jako „kvalifikované významné rozhodnutí“). Správce musí subjektu údajů oznámit, že takové rozhodnutí bylo učiněno, jakmile to bude rozumně proveditelné. Subjekt údajů pak může do jednoho měsíce požadovat, aby správce rozhodnutí znovu zvážil nebo aby přijal nové rozhodnutí, které nebude založeno výhradně na automatizovaném zpracování. Správce musí žádost posoudit a informovat subjekt údajů o výsledku tohoto posouzení. Zákon o ochraně údajů z roku 2018 dává ministrovi pravomoc přijmout nařízení pro dodatečné záruky (138). Žádná taková nařízení dosud nebyla přijata.

(74)

Úroveň ochrany poskytovaná osobním údajům, které jsou předávány z donucovacího orgánu členského státu donucovacímu orgánu ve Spojeném království, nesmí být oslabena dalším předáváním těchto údajů příjemcům ve třetí zemi. Toto „další předávání“, které z pohledu donucovacího orgánu ve Spojeném království představuje mezinárodní předání ze Spojeného království, by mělo být povoleno pouze v případě, že další příjemce mimo Spojené království sám podléhá pravidlům zajišťujícím obdobnou úroveň ochrany, jaká je zaručena v právním řádu Spojeného království.

(75)

Režim Spojeného království pro mezinárodní předávání je upraven kapitolou 5 části 3 zákona o ochraně údajů z roku 2018 (139) a odráží přístup uplatněný v kapitole V směrnice (EU) 2016/680. Pro předání osobních údajů do třetí země musí příslušný orgán zejména vyhovět třem podmínkám: a) předání musí být nezbytné pro účel prosazování práva; b) předání musí být založeno na: i) nařízení o odpovídající ochraně týkajícím se dané třetí země, ii) není-li založeno na nařízení o odpovídající ochraně, musí být založeno na existenci vhodných záruk, nebo iii) není-li založeno na nařízení o odpovídající ochraně nebo na vhodných zárukách, musí být založeno na zvláštních okolnostech a c) příjemcem předání musí být: i) relevantní orgán (tj. ekvivalent příslušného orgánu) ve třetí zemi; ii) „příslušná mezinárodní organizace“, např. mezinárodní subjekt, který vykonává funkce odpovídající jakémukoli účelu prosazování práva, nebo iii) jiná osoba než relevantní orgán, pouze však v případě, že je předání nezbytně nutné pro provedení některého z účelů prosazování práva; žádná základní práva a svobody dotčeného subjektu údajů nepřevažují nad veřejným zájmem vyžadujícím předání; předání osobních údajů relevantnímu orgánu ve třetí zemi by bylo neúčinné nebo nevhodné a příjemce je informován o účelech, pro které mohou být údaje zpracovány (140).

(76)

Nařízení o odpovídající ochraně týkající se třetí země, území nebo odvětví ve třetí zemi, mezinárodní organizace nebo popis (141) takové země, území, odvětví nebo organizace přijímá ministr. Pokud jde o standard, který má být splněn, musí ministr posoudit, zda takové území/odvětví/organizace zajišťuje (zajišťují) odpovídající úroveň ochrany osobních údajů. Ustanovení čl. 74 A odst. 4 zákona o ochraně údajů z roku 2018 stanoví, že za tímto účelem musí ministr zvážit řadu prvků, které odrážejí prvky uvedené v článku 36 směrnice (EU) 2016/680 (142). V tomto ohledu představuje od konce přechodného období část 3 zákona o ochraně údajů z roku 2018 „vnitrostátní právní předpis odvozený z práva EU“, který, jak bylo vysvětleno, budou soudy Spojeného království vykládat v souladu s příslušnou judikaturou Soudního dvora z doby před vystoupením Spojeného království z Unie a s obecnými zásadami práva Unie účinnými bezprostředně před koncem přechodného období. To zahrnuje i standard „zásadní rovnocennosti“, který se tudíž bude používat na posouzení odpovídající ochrany prováděná orgány Spojeného království.

(77)

Pokud jde o postup, na nařízení se vztahují „obecné“ procesní požadavky stanovené v článku 182 zákona o ochraně údajů z roku 2018. V rámci tohoto postupu musí ministr při navrhování budoucích britských nařízení o odpovídající ochraně Spojeného království konzultovat komisaře pro informace (143). Jakmile ministr nařízení přijme, jsou předložena parlamentu Spojeného království a podléhají postupu „zamítavého rozhodnutí“, v němž mohou obě komory parlamentu nařízení přezkoumat a podat návrh na jeho zrušení ve lhůtě 40 dnů (144).

(78)

Podle čl. 74B odst. 1 zákona o ochraně údajů z roku 2018 musí být nařízení o odpovídající ochraně přezkoumávána v nejvýše čtyřletých intervalech a ministr musí průběžně sledovat vývoj ve třetích zemích a mezinárodních organizacích, který by mohl ovlivnit rozhodnutí vydat nařízení o odpovídající ochraně nebo tato nařízení pozměnit či zrušit. Pokud ministr zjistí, že určitá země nebo organizace již nezajišťuje odpovídající úroveň ochrany osobních údajů, musí v nezbytném rozsahu nařízení změnit nebo zrušit a zahájit konzultace s dotčenou třetí zemí nebo mezinárodní organizací ohledně nápravy nedostatečné úrovně ochrany.

(79)

Obdobně, jako je stanoveno v článku 37 směrnice (EU) 2016/680, by v případě neexistence nařízení o odpovídající ochraně bylo předávání osobních údajů v oblasti prosazování práva možné, pokud budou zavedeny vhodné záruky. Tyto záruky jsou zajištěny buď a) právně závazným nástrojem obsahujícím příslušné záruky ochrany osobních údajů, nebo b) posouzením provedeným správcem, který po zvážení všech okolností daného předání dospěl k závěru, že existují vhodné záruky ochrany údajů (145). Navíc pokud jsou předání založena na vhodných zárukách, zákon o ochraně údajů z roku 2018 stanoví, že vedle běžné dozorové úlohy role komisaře pro informace musí příslušné orgány Úřadu komisaře pro informace poskytnout konkrétní informace o daných předáních (146).

(80)

Pokud předání není založeno na rozhodnutí o odpovídající ochraně nebo na vhodných zárukách, může k němu dojít pouze za určitých specifikovaných okolností, označovaných jako „zvláštní okolnosti“ (147). Ty existují v případě, že je předání nezbytné: a) k ochraně životně důležitých zájmů subjektu údajů nebo jiné osoby; b) k ochraně oprávněných zájmů subjektu údajů; c) aby se zabránilo bezprostřednímu a závažnému ohrožení veřejné bezpečnosti ve třetí zemi; d) v jednotlivých případech pro jakékoli účely prosazování práva; nebo e) v jednotlivých případech pro právní účely (například v souvislosti se soudním řízením nebo s cílem získat právní poradenství) (148). Lze upozornit, že písmena d) a e) se nepoužijí, pokud práva a svobody subjektu údajů převažují nad veřejným zájmem na předání (149). Tento soubor okolností odpovídá konkrétním situacím a podmínkám, které lze kvalifikovat jako „výjimky“ podle článku 38 směrnice (EU) 2016/680.

(81)

Za těchto okolností musí být zdokumentovány datum, čas a odůvodnění předání, jméno a jakékoli další relevantní informace týkající se příjemce a popis předaných osobních údajů a tyto informace musí být na požádání poskytnuty komisaři pro informace (150).

(82)

Článek 78 zákona o ochraně údajů z roku 2018 upravuje scénář „následných předání“, jmenovitě když jsou osobní údaje, které byly předány ze Spojeného království do třetí země, následně předány jiné třetí zemi nebo mezinárodní organizaci. Podle čl. 78 odst. 1 musí předávající správce ve Spojeném království podmínit předávání tím, že údaje se nesmí dále předávat do třetí země bez povolení předávajícího správce. Dále podle čl. 78 odst. 3 a obdobně, jako je stanoveno v čl. 35 odst. 1 písm. e) směrnice (EU) 2016/680, platí v případě, kdy je takové povolení požadováno, řada hmotněprávní požadavků. Konkrétně se příslušný orgán při rozhodování o tom, zda předání povolí, či nepovolí, musí ujistit, že je další předání nezbytné pro účely prosazování práva, přičemž by měl vzít mimo jiných faktorů v úvahu a) závažnost okolností, jež vedly k žádosti o povolení; b) účel, pro který byly osobní údaje původně předány, a c) normy ochrany osobních údajů platné ve třetí zemi nebo mezinárodní organizaci, jíž budou osobní údaje předány.

(83)

Dále pokud byly údaje, které jsou předmětem dalšího předání ze Spojeného království, původně předány z Evropské unie, použijí se další záruky.

(84)

Zaprvé, čl. 73 odst. 1 písm. b) zákona o ochraně údajů z roku 2018 stanoví obdobně jako čl. 35 odst. 1 písm. c) směrnice (EU) 2016/680, že v případě, kdy byly osobní údaje původně předány nebo jinak zpřístupněny správci nebo jinému příslušnému orgánu členským státem, musí tento členský stát nebo jakýkoli subjekt se sídlem v tomto členském státě, který je příslušným orgánem pro účely směrnice (EU) 2016/680, k předávání udělit předchozí povolení v souladu s právem tohoto členského státu.

(85)

Obdobně jako v čl. 35 odst. 2 směrnice (EU) 2016/680 se však takové povolení nevyžaduje, pokud a) je předání nezbytné, aby se zabránilo bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v určitém členském státě nebo třetí zemi nebo podstatných zájmů členského státu, a b) povolení nelze získat včas. V takovém případě musí být neprodleně informován orgán v členském státě, který by byl povinen rozhodnout, zda bude předání povoleno (151).

(86)

Zadruhé, stejný přístup platí v případě údajů původně předaných z Evropské unie do Spojeného království, poté dále předaných Spojeným královstvím do třetí země, která je následně dále předá třetí zemi. V takovém případě podle čl. 78 odst. 4 příslušný orgán Spojeného království nemůže posledně uvedené předání v souladu s čl. 78 odst. 1 povolit, ledaže „členský stát [který provedl původní předání daných údajů] nebo jakýkoli subjekt se sídlem v tomto členském státě, který je pro účely směrnice o prosazování práva příslušným orgánem, předání v souladu s právem tohoto členského státu povolil“. Tyto záruky jsou důležité, neboť umožňují orgánům členských států v souladu s právními předpisy EU o ochraně údajů zajistit kontinuitu ochrany v celém řetězci předávání údajů.

(87)

Tento nový rámec pro mezinárodní předání se stal použitelným na konci přechodného období (152). Články 10 až 12 přílohy 21 (zavedené nařízeními v oblasti ochrany údajů a soukromí) však stanoví, že ke konci přechodného období se k určitým předáním osobních údajů přistupuje tak, jako by se opírala o nařízení o odpovídající ochraně. Tato předávání zahrnují předání do členského státu, státu ESVO, do třetí země, na kterou se na konci přechodného období vztahuje rozhodnutí EU o odpovídající ochraně, a na území Gibraltaru. V důsledku toho mohou předávání do těchto zemí pokračovat stejně jako před vystoupením Spojeného království z Unie. Po skončení přechodného období musí ministr ve lhůtě čtyř let, tedy do konce prosince 2024, provést přezkum těchto zjištění o odpovídající úrovni ochrany. Podle vysvětlení, které poskytly orgány Spojeného království, ačkoli ministr musí tento přezkum provést do konce prosince 2024, přechodná ustanovení neobsahují ustanovení o „skončení platnosti“ a příslušná přechodná ustanovení automaticky nepřestanou být účinná, pokud přezkum nebude do konce prosince 2024 dokončen.

(88)

Podle zásady odpovědnosti se od orgánů veřejné moci zpracovávajících údaje vyžaduje zavedení vhodných technických a organizačních opatření, aby mohly účinně plnit své povinnosti v oblasti ochrany údajů a jejich plnění byly schopny prokázat, zejména příslušnému dozorovému úřadu.

(89)

Tato zásada se odráží v článku 56 zákona o ochraně údajů z roku 2018, který zavádí obecnou povinnost odpovědnosti správce, tj. povinnost zavést vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování osobních údajů je v souladu s požadavky části 3 zákona o ochraně údajů z roku 2018. Zavedená opatření musí být podle potřeby revidována a aktualizována, a pokud je to s ohledem na zpracování přiměřené, musí zahrnovat vhodné politiky v oblasti ochrany údajů.

(90)

V souladu s kapitolou IV směrnice (EU) 2016/680 stanoví články 55 až 71 zákona o ochraně údajů z roku 2018 různé mechanismy, které zajistí odpovědnost a umožní správcům a zpracovatelům prokazovat soulad s předpisy. Správci jsou zejména povinni zavádět opatření záměrné a standardní ochrany osobních údajů, tj. zajistit, aby byly zásady ochrany údajů prováděny účinným způsobem, a musí vést záznamy o všech kategoriích činností zpracování, za které daný správce odpovídá (včetně informací o totožnosti správce, kontaktních údajů pověřence pro ochranu osobních údajů, účelů zpracování, kategorií příjemců zpřístupněných údajů a popisu kategorií subjektů údajů a osobních údajů), a na požádání tyto záznamy zpřístupnit komisaři pro informace. Správce a zpracovatel musí také pro určité operace zpracování uchovávat protokoly a zpřístupňovat je komisaři pro informace (153). Správci jsou také konkrétně povinni spolupracovat s komisařem pro informace při plnění jeho úkolů.

(91)

Zákon o ochraně údajů z roku 2018 také stanoví další požadavky na zpracování, které může mít za následek vysoké riziko pro práva a svobody jednotlivců. Ty zahrnují povinnost provést posouzení vlivu na ochranu osobních údajů a před zpracováním konzultovat komisaře pro informace, pokud z tohoto posouzení vyplývá, že by dané zpracování mělo za následek vysoké riziko pro práva a svobody jednotlivců (pokud neexistují opatření ke zmírnění rizika).

(92)

Správci musí dále jmenovat pověřence pro ochranu osobních údajů, pokud správcem není soud nebo jiný soudní orgán jednající v rámci soudních pravomocí (154). Správce musí zajistit, aby se pověřenec pro ochranu osobních údajů podílel na všech záležitostech, které se týkají ochrany osobních údajů, měl náležité zdroje a přístup k osobním údajům a operacím zpracování a mohl své úkoly plnit nezávisle. Úkoly pověřence pro ochranu osobních údajů stanoví článek 71 zákona o ochraně údajů z roku 2018, včetně poskytování informací a poradenství, sledování dodržování předpisů, spolupráce s komisařem pro informace a poskytování služeb kontaktního místa komisaře pro informace. Pověřenec pro ochranu osobních údajů musí při plnění svých úkolů brát patřičný ohled na rizika spojená s operacemi zpracování a současně přihlížet k povaze, rozsahu, kontextu a účelům zpracování.

(93)

Aby se zajistilo, že odpovídající úroveň ochrany údajů bude zaručena i v praxi, musí být zřízen nezávislý dozorový úřad oprávněný monitorovat a vymáhat dodržování pravidel v oblasti ochrany údajů. Při plnění svých povinností a výkonu svých pravomocí musí tento úřad jednat zcela nezávisle a nestranně.

(94)

Ve Spojeném království provádí dohled a vymáhání v souvislosti s dodržováním britského nařízení GDPR a zákona o ochraně údajů z roku 2018 komisař pro informace (155). Komisař pro informace také dohlíží na zpracování osobních údajů příslušnými orgány, které spadají do oblasti působnosti části 3 zákona o ochraně údajů z roku 2018 (156). Komisař pro informace je tzv. výhradní korporace: samostatná právnická osoba, kterou tvoří jedna osoba. Komisaři pro informace je při práci nápomocen úřad. Ke dni 31. března 2020 měl Úřad komisaře pro informace 768 stálých zaměstnanců (157). Sponzorským ministerstvem komisaře pro informace je Ministerstvo pro digitální oblast, kulturu, sdělovací prostředky a sport (158).

(95)

Nezávislost komisaře je výslovně stanovena v článku 52 britského nařízení GDPR, který odráží požadavky stanovené v čl. 52 odst. 1 až 3 nařízení Evropského parlamentu a Rady (EU) 2016/679 (159). Komisař musí při plnění svých úkolů a výkonu svých pravomocí podle britského nařízení GDPR jednat zcela nezávisle, nesmí v souvislosti s těmito úkoly a pravomocemi podléhat vnějšímu vlivu, ať již přímému, nebo nepřímému, a nesmí od nikoho vyžadovat ani přijímat pokyny. Komisař se rovněž musí zdržet jakéhokoli jednání neslučitelného s jeho funkcí a během svého funkčního období nesmí vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí.

(96)

Podmínky jmenování a odvolání komisaře pro informace jsou stanoveny v příloze 12 zákona o ochraně údajů z roku 2018. Komisaře pro informace jmenuje královna na doporučení vlády na základě spravedlivého a otevřeného výběrového řízení. Uchazeč musí mít odpovídající kvalifikaci, dovednosti a způsobilost. V souladu s kodexem pro jmenování do veřejných funkcí (160) sestavuje poradní hodnotící panel seznam kandidátů, kteří pro jmenování přicházejí v úvahu. Než ministr pro digitální oblast, kulturu, sdělovací prostředky a sport vydá své konečné rozhodnutí, musí příslušná parlamentní výběrová komise provést prověření před jmenováním. Stanovisko komise se zveřejňuje (161).

(97)

Komisař pro informace vykonává svou funkci po dobu až sedmi let. Komisaře pro informace může z funkce odvolat Její Veličenstvo na návrh (address) obou komor parlamentu Spojeného království (162). Žádné komoře parlamentu Spojeného království nelze předložit žádost o odvolání komisaře pro informace, pokud jí ministr nepředloží zprávu, v níž uvede, že dle jeho přesvědčení je komisař pro informace vinen závažným pochybením a/nebo již nesplňuje podmínky požadované pro výkon jeho funkcí (163).

(98)

Financování komisaře pro informace pochází ze tří zdrojů: i) poplatky za ochranu údajů placené správci, které jsou stanoveny v nařízeních ministra (164) a představují 85–90 % ročního rozpočtu úřadu (165); ii) podpůrný grant, který může komisaři pro informace vyplatit vláda a používá se zejména k financování provozních nákladů komisaře pro informace, pokud jde o úkoly nesouvisející s ochranou údajů (166); iii) poplatky účtované za služby (167). V současné době nejsou žádné takové poplatky účtovány.

(99)

Obecné funkce komisaře pro informace v souvislosti se zpracováním osobních údajů spadajících do oblasti působnosti části 3 zákona o ochraně údajů z roku 2018 jsou stanoveny v příloze 13 zákona o ochraně údajů z roku 2018. K těmto úkolům patří monitorování a prosazování části 3 zákona o ochraně údajů z roku 2018, zvyšování povědomí veřejnosti, poskytování doporučení parlamentu Spojeného království, vládě a dalším institucím ohledně legislativních a správních opatření, zvyšování povědomí správců a zpracovatelů o jejich povinnostech, poskytování informací subjektu údajů ohledně výkonu práv subjektu údajů a vedení vyšetřování. V zájmu zachování nezávislosti soudnictví není komisař pro informace oprávněn vykonávat své funkce v souvislosti se zpracováním osobních údajů jednotlivcem, který jedná v rámci soudních pravomocí, nebo soudem či tribunálem jednajícím v rámci své soudní pravomoci. Dohled nad soudnictvím však vykonávají specializované subjekty, viz níže.

(100)

Pokud jde o zpracování osobních údajů, na které se použije část 3 zákona o ochraně údajů z roku 2018, má komisař obecné vyšetřovací, nápravné, povolovací a poradenské pravomoci. Komisař má pravomoc ohlásit správci či zpracovateli údajné porušení části 3, upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují ustanovení části 3, a udělit napomenutí správci či zpracovateli, pokud operace zpracování ustanovení části 3 porušily. Kromě toho může komisař z vlastního podnětu nebo na žádost vydávat pro parlament Spojeného království, vládu nebo jiné instituce a subjekty, jakož i pro veřejnost stanoviska k jakékoli otázce týkající se ochrany osobních údajů (168).

(101)

Komisař má také pravomoc:

(102)

Politika regulačních opatření Úřadu komisaře pro informace stanoví okolnosti, za kterých komisař vydá výzvu k podání informací, oznámení o posouzení, vymáhání, resp. sankci (173). Oznámení o vymáhání může ukládat pouze požadavky, které komisař považuje za vhodné pro účely nápravy selhání. Oznámení o sankci vyžaduje, aby daná osoba zaplatila komisaři pro informace částku uvedenou v oznámení. Oznámení o sankci lze vydat, pokud došlo k nedodržení určitých ustanovení zákona o ochraně údajů z roku 2018 (174), nebo vůči správci nebo zpracovateli, který nejednal v souladu s výzvou k podání informací, s oznámením o posouzení nebo oznámením o vymáhání.

(103)

Při rozhodování o tom, zda vůči správci nebo zpracovateli vydat oznámení o sankci, a při určování výše sankce musí komisař pro informace vzít v úvahu záležitosti vyjmenované v čl. 155 odst. 3 zákona o ochraně údajů z roku 2018, včetně povahy a závažnosti nedodržení předpisů, záměrné nebo nedbalostní povahy nedodržení předpisů, případných kroků podniknutých správcem či zpracovatelem ke zmírnění škod způsobených subjektům údajů, míry odpovědnosti správce či zpracovatele (s přihlédnutím k technickým a organizačním opatřením, která správce nebo zpracovatel zavedl), veškerých relevantních předchozích nedodržení předpisů správcem či zpracovatelem, kategorie osobních údajů dotčených nedodržením předpisů a to, zda by byla sankce účinná, přiměřená a odrazující.

(104)

Maximální výše pokuty, která může být uložena oznámením o sankci, činí a) 17 500 000 GBP za nedodržení zásad ochrany údajů (články 35, 36, 37, čl. 38 odst. 1, čl. 39 odst. 1 a článek 40 zákona o ochraně údajů z roku 2018), povinností transparentnosti a individuálních práv (články 44, 45, 46, 47, 48, 49, 52 a 53 zákona o ochraně údajů z roku 2018), zásad pro mezinárodní předávání osobních údajů (články 73, 75, 76, 77 nebo 78 zákona o ochraně údajů z roku 2018) a b) 8 700 000 GBP v ostatních případech (175). Při nesplnění výzvy k podání informací, oznámení o posouzení nebo oznámení o vymáhání je maximální výší pokuty, která může být uložena oznámením o sankci, částka 17 500 000 GBP.

(105)

Podle posledních výročních zpráv Úřadu pro informace (2018–2019 (176), 2019–2020 (177)) vedl tento úřad řadu vyšetřování v souvislosti se zpracováním údajů orgány činnými v trestním řízení. Například provedl šetření a v říjnu 2019 zveřejnil stanovisko týkající se používání technologie rozpoznávání obličeje na veřejných místech pro účely prosazování práva. Šetření se zaměřilo zejména na využití zařízení pro rozpoznávání obličeje v reálném čase policií jižního Walesu a metropolitní policií. Úřad komisaře pro informace rovněž vyšetřoval tzv. matici gangů (178) metropolitní policie a zjistil řadu závažných porušení právních předpisů v oblasti ochrany údajů, která by mohla narušit důvěru veřejnosti v matici a ve způsob, jakým jsou údaje využívány.

(106)

V listopadu 2018 vydal Úřad komisaře pro informace oznámení o vymáhání a metropolitní policie následně přijala potřebné kroky, aby zvýšila zabezpečení a odpovědnost a zajistila přiměřené využívání údajů.

(107)

Dalším příkladem nedávného opatření k vymáhání je pokuta ve výši 325 000 GBP, kterou Úřad komisaře uložil v květnu 2018 úřadu státního zástupce za ztrátu nezašifrovaných DVD obsahujících záznamy policejních výslechů. Úřad komisaře pro informace také vedl vyšetřování v rámci obecnějších témat, například v první polovině roku 2020 šetřil získávání údajů z mobilních telefonů pro policejní účely a zpracování údajů obětí ze strany policie.

(108)

Vedle těchto donucovacích pravomocí komisaře pro informace představují určitá porušení právních předpisů v oblasti ochrany údajů trestné činy, a proto mohou podléhat trestním sankcím (článek 196 zákona o ochraně údajů z roku 2018). Jde například o získávání nebo zpřístupnění osobních údajů jiné osobě bez souhlasu správce a zajišťování zpřístupnění osobních údajů jiné osobě bez souhlasu správce (179); opětovnou identifikaci údajů, které jsou osobními údaji, jež byly anonymizovány, bez souhlasu správce odpovědného za anonymizaci daných osobních údajů (180); záměrné maření výkonu pravomocí komisaře v souvislosti s inspekcí osobních údajů v souladu s mezinárodními závazky (181), vydávání nepravdivých prohlášení v reakci na výzvu k podání informací nebo ničení údajů v souvislosti s výzvami k podání informací a oznámeními o posouzení (182).

(109)

Komisař pro informace je také podle článku 139 zákona o ochraně údajů z roku 2018 povinen každé komoře parlamentu Spojeného království předložit obecnou zprávu o výkonu svých funkcí podle zákona (183).

(110)

Dohled nad zpracováním osobních údajů soudy a soudní mocí je dvojí. Pokud osoba vykonávající funkci soudce nebo soud nejedná v rámci soudní pravomoci, zajišťuje dohled Úřad komisaře pro informace. Pokud správce jedná v rámci soudní pravomoci, nemůže Úřad komisaře pro informace vykonávat své dozorové funkce (184) a dohled provádějí zvláštní subjekty. To odráží přístup uplatněný v článku 32 směrnice (EU) 2016/680.

(111)

Konkrétně ve druhém scénáři zajišťuje tento dohled nad soudy v Anglii a Walesu a soudy prvního a vyššího stupně v Anglii a Walesu soudní komise pro ochranu údajů (185). Lord nejvyšší soudce (Lord Chief Justice) a vrchní předseda tribunálů vydali oznámení o ochraně osobních údajů (186), které stanoví, jak soudy v Anglii a Walesu zpracovávají osobní údaje v rámci soudní funkce. Obdobné oznámení bylo vydáno v rámci soudnictví Severního Irska (187) a Skotska (188).

(112)

Kromě toho v Severním Irsku jmenoval lord nejvyšší soudce pro Severní Irsko soudce Vrchního soudu soudcem pověřeným dozorem nad ochranou údajů (Data Supervisory Judge) (189). Vydal rovněž pokyny pro soudnictví Severního Irska ve věci postupu v případě ztráty nebo potenciální ztráty údajů a řešení jakýchkoli problémů z toho vyplývajících (190).

(113)

Ve Skotsku jmenoval lord nejvyšší soudce (Lord Prezident) soudce pro dozor nad ochranou údajů, který bude vyšetřovat jakékoli stížnosti z důvodu ochrany údajů. Je to stanoveno v pravidlech pro soudní stížnosti, která odrážejí pravidla stanovená pro Anglii a Wales (191).

(114)

A konečně, u Nejvyššího soudu je jmenován jeden ze soudců Nejvyššího soudu, aby dohlížel na ochranu údajů.

(115)

Aby se zajistila odpovídající ochrana, a zejména vymáhání individuálních práv, měla by být subjektu údajů poskytnuta účinná správní a soudní ochrana, včetně náhrady škody.

(116)

Zaprvé má subjekt údajů právo podat stížnost u komisaře pro informace, pokud má za to, že v souvislosti s jeho osobními údaji došlo k porušení části 3 zákona o ochraně údajů z roku 2018 (192). Jak je popsáno ve 100. a 109. bodě odůvodnění výše, komisař pro informace má pravomoc posoudit, jak správce a zpracovatel dodržují zákon o ochraně údajů z roku 2018, vyžadovat od nich, aby v případě nedodržení předpisů přijali nezbytné kroky nebo se takových kroků zdrželi, a ukládat pokuty.

(117)

Zadruhé zákon o ochraně údajů z roku 2018 poskytuje právo na soudní ochranu vůči komisaři pro informace. Pokud komisař „nedosahuje pokroku“ (193) ve věci stížnosti podané subjektem údajů, má stěžovatel přístup k soudnímu opravnému prostředku, neboť se může obrátit na tribunál prvního stupně (194), aby ten komisaři nařídil přijmout vhodná opatření k vyřízení stížnosti nebo informovat stěžovatele o pokroku ve věci stížnosti (195). Kromě toho se každá osoba, které je doručeno jedno z výše uvedených oznámení komisaře (výzva k podání informací, oznámení o posouzení, vymáhání nebo sankci), může odvolat k tribunálu prvního stupně. Pokud tribunál dospěje k závěru, že rozhodnutí komisaře není v souladu se zákonem, nebo že měl komisař pro informace uplatnit svou diskreční pravomoc jinak, musí tribunál vyhovět opravnému prostředku nebo vydat jiné oznámení nebo přijmout jiné rozhodnutí, které komisař pro informace mohl vydat nebo učinit (196).

(118)

Zatřetí mohou jednotlivci získat soudní ochranu vůči správcům a zpracovatelům přímo u soudů podle článku 167 zákona o ochraně údajů z roku 2018. Pokud soud na základě žádosti subjektu údajů dospěje k závěru, že došlo k porušení práv subjektu údajů podle právních předpisů v oblasti ochrany údajů, může soud v souvislosti s daným zpracováním nařídit správci nebo zpracovateli jednajícímu v zastoupení tohoto správce, aby přijal kroky stanovené v soudním příkazu nebo aby se takových kroků zdržel. Kromě toho podle článku 169 zákona o ochraně údajů z roku 2018 má každá osoba, která utrpěla škodu v důsledku porušení požadavku právních předpisů o ochraně údajů (včetně části 3 zákona o ochraně údajů z roku 2018), kromě britského nařízení GDPR, nárok na náhradu této škody od správce nebo zpracovatele, s výjimkou případů, kdy správce nebo zpracovatel prokáže, že správce nebo zpracovatel není nijak odpovědný za událost, která vedla ke vzniku škody. Škoda zahrnuje jak finanční ztrátu, tak nefinanční újmu, například utrpení.

(119)

Začtvrté, pokud má kdokoli za to, že orgány veřejné moci porušily jeho práva, včetně práv na soukromí a ochranu údajů, může získat soudní ochranu u soudů Spojeného království podle zákona o lidských právech z roku 1998. Správci podle části 3 zákona o ochraně údajů z roku 2018, tj. příslušnými orgány, jsou vždy orgány veřejné moci ve smyslu zákona o lidských právech z roku 1998. Jednotlivec, který tvrdí, že orgán veřejné moci jednal (nebo navrhuje jednat) způsobem, který je neslučitelný s právem podle úmluvy, a tudíž je podle čl. 6 odst. 1 zákona o lidských právech z roku 1998 protiprávní, může proti tomuto orgánu podat žalobu u příslušného soudu nebo tribunálu nebo se dovolávat dotčených práv v jakémkoli soudním řízení, pokud tento jednotlivec je (nebo by byl) obětí protiprávního jednání (197).

(120)

Pokud soud shledá jakýkoli akt orgánu veřejné moci protiprávním, může v rámci svých pravomocí poskytnout takový opravný prostředek nebo soudní ochranu nebo vydat takový příkaz, které považuje za spravedlivé a vhodné (198). Soud může rovněž prohlásit ustanovení primárního právního předpisu za neslučitelné s právem podle EÚLP.

(121)

A konečně může jednotlivec po vyčerpání vnitrostátních opravných prostředků dosáhnout nápravy u Evropského soudu pro lidská práva za porušení práv zaručených EÚLP.

(122)

Právo Spojeného království povoluje sdílení údajů donucovacím orgánem s jinými orgány pro jiné účely, než pro které byly údaje původně shromážděny (tzv. další sdílení), s výhradou určitých podmínek.

(123)

Obdobně jako čl. 4 odst. 2 směrnice (EU) 2016/680 umožňuje čl. 36 odst. 3 zákona o ochraně údajů z roku 2018, aby osobní údaje shromážděné příslušným orgánem pro určitý účel prosazování práva mohly být dále zpracovávány (ať už původním správcem, nebo jiným správcem) pro jakýkoli jiný účel prosazování práva, pokud je správce ze zákona oprávněn zpracovávat údaje pro tento jiný účel a zpracování je nezbytné a přiměřené (199). V tomto případě se na zpracování prováděné přijímajícím orgánem vztahují všechny záruky stanovené v části 3 zákona o ochraně údajů z roku 2018 a analyzované výše.

(124)

V právním řádu Spojeného království další sdílení výslovně umožňují různé zákony. Zejména i) zákon o digitální ekonomice z roku 2017 umožňuje sdílení mezi orgány veřejné moci z několika důvodů, například v případě podvodu vůči veřejnému sektoru, který by pro orgán veřejné moci znamenal ztrátu nebo riziko ztráty (200), nebo v případě dluhu vůči orgánu veřejné moci nebo Koruně (201); ii) zákon o trestní činnosti a soudech z roku 2013 umožňuje sdílení informací s Národní kriminální agenturou (National Crime Agency) (202) pro účely boje proti závažné a organizované trestné činnosti, jejího vyšetřování a stíhání; iii) zákon o závažné trestné činnosti z roku 2007 orgánům veřejné moci umožňuje zpřístupňovat informace organizacím pro boj proti podvodům za účelem předcházení podvodům (203).

(125)

Tyto zákony výslovně uvádějí, že sdílení informací by mělo být v souladu se zásadami stanovenými v zákoně o ochraně údajů z roku 2018. Kromě toho zveřejnila policejní akademie povolený odborný postup pro sdílení informací (204), který má policii pomoci při plnění jejích povinností v oblasti ochrany údajů podle britského nařízení GDPR, zákona o ochraně údajů a zákona o lidských právech z roku 1998. Soulad sdílení s platným právním rámcem pro ochranu údajů samozřejmě může být předmětem soudního přezkumu (205).

(126)

Kromě toho zákon o ochraně údajů z roku 2018 podobně jako článek 9 směrnice (EU) 2016/680 stanoví, že osobní údaje shromážděné pro jakékoli účely prosazování práva mohou být zpracovávány za účelem, který nespočívá v prosazování práva, pokud je zpracování povoleno zákonem (206). Tento typ sdílení zahrnuje dva scénáře: 1) když orgán činný v trestním řízení sdílí údaje s jiným donucovacím orgánem činným v oblasti mimo trestní řízení než se zpravodajskou službou (např. s finančním nebo daňovým úřadem, úřadem pro hospodářskou soutěž, úřadem pro péči o mládež); 2) když orgán činný v trestním řízení sdílí údaje se zpravodajskou službou. V prvním scénáři bude zpracování osobních údajů spadat do oblasti působnosti britského nařízení GDPR, jakož i části 2 zákona o ochraně údajů z roku 2018. Jak upřesňuje rozhodnutí přijaté podle nařízení (EU) 2016/679, záruky poskytované britským nařízením GDPR a částí 2 zákona o ochraně údajů z roku 2018 zajišťují úroveň ochrany údajů, která je v zásadě rovnocenná úrovni ochrany v Unii (207).

(127)

Ve druhém scénáři, pokud jde o sdílení údajů, které shromáždil orgán činný v trestním řízení, se zpravodajskou službou pro účely národní bezpečnosti, je právním základem, který takové sdílení povoluje, zákon o boji proti terorismu z roku 2008 (208). Podle zákona o boji proti terorismu z roku 2008 může kterákoli osoba poskytovat informace kterékoli ze zpravodajských služeb za účelem výkonu kterékoli z funkcí této služby, včetně „národní bezpečnosti“.

(128)

Pokud jde o podmínky, za nichž lze údaje sdílet pro účely národní bezpečnosti, zákon o zpravodajských službách a zákon o bezpečnostních službách omezují možnost zpravodajských služeb získávat údaje na to, co je nezbytné k výkonu jejich zákonem stanovených funkcí. Příslušné orgány, které spadají do oblasti působnosti části 3 zákona o ochraně údajů z roku 2018 a které chtějí sdílet údaje se zpravodajskými službami, budou muset kromě zákonných funkcí agentur stanovených zákonem o zpravodajských službách a zákonem o bezpečnostních službách (209) zohlednit řadu faktorů/omezení. Článek 20 zákona o boji proti terorismu z roku 2008 objasňuje, že jakékoli sdílení údajů podle článku 19 tohoto zákona musí splňovat i právní předpisy o ochraně údajů; což znamená, že se použijí všechna omezení a požadavky zákona o ochraně údajů z roku 2018. Kromě toho jsou donucovací orgány a zpravodajské služby pro účely zákona o lidských právech z roku 1998 orgány veřejné moci, a musí tudíž zajistit, že budou jednat v souladu s právy zaručenými v EÚLP, včetně článku 8 úmluvy. Jinými slovy, tyto požadavky zajišťují, že veškeré sdílení údajů mezi donucovacími orgány a zpravodajskými službami bude v souladu s právními předpisy o ochraně údajů a s EÚLP.

(129)

Zpravodajskými službami prováděné zpracování osobních údajů obdržených nebo získaných od donucovacích orgánů pro účely národní bezpečnosti podléhá řadě podmínek a záruk (210). Část 4 zákona o ochraně údajů z roku 2018 se použije na veškeré zpracování prováděné zpravodajskými službami nebo jejich jménem. Stanovuje hlavní zásady ochrany údajů (zákonnost, korektnost a transparentnost (211), účelové omezení (212), minimalizace údajů (213), přesnost (214), omezení uložení (215) a zabezpečení (216)), ukládá podmínky pro zpracování zvláštních kategorií údajů (217), stanoví práva subjektu údajů (218), vyžaduje záměrnou a standardní ochranu údajů (219) a reguluje mezinárodní předávání osobních údajů (220).

(130)

Zároveň článek 110 zákona o ochraně údajů z roku 2018 stanoví výjimku z konkrétních ustanovení části 4 zákona o ochraně údajů z roku 2018, je-li taková výjimka požadována k zajištění národní bezpečnosti. V čl. 110 odst. 2 zákona o ochraně údajů z roku 2018 jsou vyjmenována ustanovení, z nichž je přípustná výjimka. Zahrnují zásady ochrany údajů (vyjma zásady zákonnosti), práva subjektu údajů, povinnost informovat komisaře pro informace o porušení zabezpečení údajů, inspekční pravomoci komisaře pro informace v souladu mezinárodními závazky, určité donucovací pravomoci komisaře pro informace, ustanovení, podle nichž některá porušení ochrany údajů zakládají trestný čin, a ustanovení týkající se zvláštních účelů zpracování, například novinářské, akademické nebo umělecké účely. Tuto výjimku lze využít na základě analýzy jednotlivých případů (221). Jak vysvětlily orgány Spojeného království a potvrdila judikatura soudů Spojeného království, „a) správce musí zvážit, jaké by byly skutečné důsledky pro národní bezpečnost nebo obranu, pokud by musel dodržet konkrétní ustanovení o ochraně údajů, a zda by mohl přiměřeně dodržet obvyklé pravidlo, aniž by to ovlivnilo národní bezpečnost nebo obranu“ (222). Otázka toho, zda byla výjimka použita správně, podléhá dohledu ze strany Úřadu komisaře pro informace (223).

(131)

Kromě toho v souvislosti s možností omezit výše uvedená práva z důvodu ochrany „národní bezpečnosti“ článek 79 zákona o ochraně údajů z roku 2018 stanoví, že správce může požádat o osvědčení podepsané ministrem nebo generálním prokurátorem, které potvrzuje, že omezení těchto práv je nebo někdy bylo nezbytným a přiměřeným opatřením k ochraně národní bezpečnosti (224). Vláda Spojeného království vydala pokyny týkající se osvědčení o národní bezpečnosti podle zákona o ochraně údajů z roku 2018, které zejména zdůrazňují, že jakékoli omezení práv subjektů údajů z důvodu zajištění národní bezpečnosti musí být přiměřené a nezbytné (225). Všechna osvědčení o omezení z důvodu národní bezpečnosti musí být zveřejněna na internetových stránkách Úřadu komisaře pro informace (226).

(132)

Osvědčení by mělo být vydáno na pevně stanovenou dobu nejvýše pěti let, aby mohl orgán výkonné moci provádět jeho pravidelný přezkum (227). Osvědčení uvádí osobní údaje nebo kategorie osobních údajů, na které se výjimka vztahuje, jakož i ustanovení zákona o ochraně údajů z roku 2018, kterých se výjimka týká (228).

(133)

Je důležité poznamenat, že osvědčení o omezení z důvodu národní bezpečnosti nestanoví další důvod pro omezení práv na ochranu údajů z důvodů národní bezpečnosti. Jinými slovy, správce nebo zpracovatel může osvědčení uplatnit, pouze pokud dospěl k závěru, že je nutné využít výjimku z důvodu národní bezpečnosti, která musí být použita individuálně. I když se na dotčenou záležitost vztahuje osvědčení o omezení z důvodu národní bezpečnosti, může Úřad komisaře pro informace šetřit, zda bylo v konkrétním případě využití výjimky z důvodu národní bezpečnosti opodstatněné (229).

(134)

Kterákoli osoba, jíž se vydání osvědčení přímo dotýká, může proti osvědčení (230) podat opravný prostředek u Vrchního tribunálu (231), nebo pokud osvědčení identifikuje údaje prostřednictvím obecného popisu, může napadnout použití osvědčení pro konkrétní údaje (232).

(135)

Tribunál přezkoumá rozhodnutí o vydání osvědčení a rozhodne, zda pro vydání osvědčení existovaly rozumné důvody (233). Může zvážit celou řadu otázek, včetně nezbytnosti, přiměřenosti a zákonnosti, pokud jde o dopad na práva subjektů údajů a vyvážení potřeby chránit národní bezpečnost. V důsledku toho může tribunál rozhodnout, že osvědčení se nevztahuje na konkrétní osobní údaje, které jsou předmětem opravného prostředku (234).

(136)

Jiný soubor možných omezení se týká omezení, která se podle přílohy 11 zákona o ochraně údajů z roku 2018 použijí na určitá ustanovení části 4 zákona o ochraně údajů z roku 2018 (235) za účelem ochrany jiných důležitých cílů obecného veřejného zájmu nebo chráněných zájmů, jako jsou například výsady parlamentu, povinnost mlčenlivosti, vedení soudních řízení nebo bojová účinnost ozbrojených sil. Tato ustanovení se na základě výjimky nepoužijí buď na určité kategorie informací („na základě skupiny“), nebo se nepoužijí v rozsahu, v jakém by jejich použití mohlo poškodit chráněný zájem („na základě újmy“) (236). Výjimek na základě újmy se lze domáhat, pouze pokud by použití uvedeného ustanovení o ochraně údajů pravděpodobně mohlo poškodit dotčený konkrétní zájem. Použití výjimky proto musí být vždy odůvodněno odkazem na příslušnou újmu, která by v konkrétním případě pravděpodobně nastala. Výjimky na základě skupiny lze uplatnit pouze pro konkrétní úzce definovanou kategorii informací, pro kterou je výjimka udělena. Svým účelem a účinkem jsou podobné několika výjimkám z britského nařízení GDPR (podle přílohy 2 zákona o ochraně údajů z roku 2018), které naopak odrážejí výjimky uvedené v článku 23 nařízení GDPR.

(137)

Z výše uvedeného vyplývá, že podle příslušných právních předpisů Spojeného království, jak jsou vykládány také soudy a komisí pro informace, existují omezení a podmínky, které zajišťují, že tyto výjimky a omezení zůstanou v mezích toho, co je nezbytné a přiměřené k ochraně národní bezpečnosti.

(138)

Na zpracování osobních údajů prováděné zpravodajskými službami podle části 4 zákona o ochraně údajů z roku 2018 dohlíží komisař pro informace (237).

(139)

Obecné funkce komisaře pro informace v souvislosti se zpracováním osobních údajů zpravodajskými službami podle části 4 zákona o ochraně údajů z roku 2018 jsou stanoveny v příloze 13 zákona o ochraně údajů z roku 2018. K těmto úkolům mimo jiné patří zejména monitorování a prosazování části 4 zákona o ochraně údajů z roku 2018, zvyšování povědomí veřejnosti, poskytování doporučení parlamentu Spojeného království, vládě a dalším institucím ohledně legislativních a správních opatření, zvyšování povědomí správců a zpracovatelů o jejich povinnostech, poskytování informací subjektu údajů ohledně výkonu práv subjektu údajů a vedení vyšetřování.

(140)

Komisař má podle části 3 zákona o ochraně údajů z roku 2018 pravomoc upozorňovat správce na údajné porušení předpisů a vydávat napomenutí, že zpracování pravděpodobně porušuje pravidla, a uděluje výtky, pokud je porušení předpisů potvrzeno. Může také vydávat oznámení o vymáhání a sankci za porušení určitých ustanovení zákona (238). Na rozdíl od postupu podle jiných částí zákona o ochraně údajů z roku 2018 však komisař nemůže vydat oznámení o posouzení vůči vnitrostátnímu bezpečnostnímu orgánu (239).

(141)

Kromě toho článek 110 zákona o ochraně údajů z roku 2018 stanoví výjimku z použití určitých pravomocí komisaře, pokud je to nutné pro účely zajištění národní bezpečnosti. To zahrnuje pravomoc komisaře vydávat (jakýkoli druh) oznámení podle zákona o ochraně údajů (výzvu k podání informací, oznámení o posouzení, vymáhání a o sankci), pravomoc provádět inspekce v souladu s mezinárodními závazky, pravomoci vstupu a inspekce a pravidla pro trestné činy (240). Jak je vysvětleno ve (136). bodě odůvodnění, tyto výjimky se použijí, pouze pokud je to v konkrétním jednotlivém případě nutné a přiměřené. Použití těchto výjimek může podléhat soudnímu přezkumu (241).

(142)

Úřad komisaře pro informace a britské zpravodajské služby podepsaly memorandum o porozumění (242), které stanoví rámec spolupráce v řadě otázek, včetně oznámení o porušení zabezpečení údajů a vyřizování stížností subjektů údajů. Memorandum zejména stanoví, že po obdržení stížnosti Úřad komisaře pro informace posoudí, zda byla jakákoli výjimka z důvodu národní bezpečnosti použita řádně. Odpovědi na dotazy Úřadu komisaře pro informace v souvislosti s šetřením jednotlivých stížností musí dotčená služba podle pokynů vlády Spojeného království týkajících se osvědčení o národní bezpečnosti podle zákona o ochraně údajů poskytnout do 20 pracovních dnů, a to pomocí vhodných zabezpečených kanálů, pokud se jedná o utajované informace. Od dubna 2018 do dnešního dne obdržel Úřad komisaře pro informace 21 stížností od jednotlivců týkajících se zpravodajských služeb. Každá stížnost byla posouzena a výstup byl sdělen subjektu údajů (243).

(143)

Kromě toho provádí parlamentní dohled nad zpracováním údajů zpravodajskými službami Výbor pro bezpečnost a zpravodajskou činnost. Právní základ tohoto výboru stanoví zákon o spravedlnosti a bezpečnosti z roku 2013 (244). Zákon zřizuje Výbor pro bezpečnost a zpravodajskou činnost jako výbor parlamentu Spojeného království. Výbor pro bezpečnost a zpravodajskou činnost se skládá z členů náležejících do kterékoli komory parlamentu Spojeného království, které jmenuje předseda vlády po konzultaci s vedoucím představitelem opozice (245). Výbor je povinen předkládat parlamentu Spojeného království výroční zprávu o výkonu svých funkcí a další zprávy, které považuje za vhodné (246).

(144)

Od roku 2013 má Výbor pro bezpečnost a zpravodajskou činnost větší pravomoci, včetně dohledu nad operativními činnostmi bezpečnostních služeb. Podle článku 2 zákona o spravedlnosti a bezpečnosti z roku 2013 je úkolem Výboru pro bezpečnost a zpravodajskou činnost dohlížet na výdaje, správu, politiku a operace národních bezpečnostních služeb. Zákon o spravedlnosti a bezpečnosti z roku 2013 stanoví, že Výbor pro bezpečnost a zpravodajskou činnost může vést vyšetřování operačních záležitostí, pokud se netýkají probíhajících operací (247). Memorandum o porozumění dohodnuté mezi předsedou vlády a Výborem pro bezpečnost a zpravodajskou činnost (248) podrobně stanoví prvky, které je třeba vzít v úvahu při posuzování toho, zda daná činnost není součástí probíhající operace (249). Výbor pro bezpečnost a zpravodajskou činnost může být také požádán o prošetření probíhajících operací předsedou vlády a může přezkoumávat informace, které služby poskytnou dobrovolně.

(145)

Podle přílohy 1 zákona o spravedlnosti a bezpečnosti z roku 2013 může Výbor pro bezpečnost a zpravodajskou činnost požádat ředitele kterékoli ze tří zpravodajských služeb o zpřístupnění jakýchkoli informací. Tato služba musí tyto informace zpřístupnit, pokud ministr neuplatní právo veta (250). Orgány Spojeného království vysvětlily, že v praxi je Výboru pro bezpečnost a zpravodajskou činnost odepřeno jen velmi málo informací (251).

(146)

Pokud jde o nápravu, subjekt údajů může především podle čl. 165 odst. 2 zákona o ochraně údajů z roku 2018 podat stížnost Úřadu komisaře pro informace, pokud je přesvědčen, že v souvislosti s jeho osobními údaji došlo k porušení části 4 zákona o ochraně údajů z roku 2018, včetně zneužití výjimek a omezení z důvodu národní bezpečnosti.