(1)

I Europa-Parlamentets og Rådets direktiv (EU) 2016/680 fastsættes regler for overførsel af personoplysninger fra kompetente myndigheder i Unionen til tredjelande og internationale organisationer, i det omfang sådanne overførsler falder ind under dets anvendelsesområde. Reglerne om kompetente myndigheders internationale overførsler af oplysninger er fastsat i kapitel V i direktiv (EU) 2016/680, nærmere bestemt i artikel 35-40. Selv om strømmen af personoplysninger til og fra lande uden for Den Europæiske Union er afgørende for et effektivt retshåndhævelsessamarbejde, skal det sikres, at beskyttelsesniveauet for personoplysninger i Den Europæiske Union ikke undermineres af sådanne overførsler (2).

(2)

I henhold til artikel 36, stk. 3, i direktiv (EU) 2016/680 kan Kommissionen i form af en gennemførelsesretsakt beslutte, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland eller en international organisation har et tilstrækkeligt beskyttelsesniveau. På denne betingelse kan overførsler af personoplysninger til et tredjeland finde sted uden yderligere tilladelse (bortset fra tilfælde, hvor en anden medlemsstat, hvorfra oplysningerne er indsamlet, skal give sin tilladelse til overførslen), jf. artikel 35, stk. 1, og betragtning 66 i direktiv (EU) 2016/680.

(3)

Som anført i artikel 36, stk. 2, i direktiv (EU) 2016/680 skal vedtagelsen af en afgørelse om beskyttelsesniveauets tilstrækkelighed baseres på en omfattende analyse af tredjelandets retsorden. I sin vurdering skal Kommissionen afgøre, om det pågældende tredjeland giver garantier, der sikrer et beskyttelsesniveau, som »i det væsentlige svarer til« det, der sikres i Den Europæiske Union (betragtning 67 i direktiv (EU) 2016/680). Den standard, som den »væsentlige ækvivalens« vurderes i forhold til, er den, der er fastsat i EU-lovgivningen, navnlig direktiv (EU) 2016/680, samt Den Europæiske Unions Domstols retspraksis (3). Det Europæiske Databeskyttelsesråds reference vedrørende et tilstrækkeligt beskyttelsesniveau er også af betydning i denne henseende (4).

(4)

Som Den Europæiske Unions Domstol har præciseret, kræves der ikke et identisk beskyttelsesniveau (5). Det betyder navnlig, at de midler, som tredjelandet anvender til at beskytte personoplysninger, kan være forskellige fra de midler, som anvendes inden for Den Europæiske Union, så længe de i praksis viser sig at være effektive med henblik på at sikre et tilstrækkeligt beskyttelsesniveau (6). Standarden for tilstrækkelighed er derfor ikke, at EU-reglerne kopieres punkt for punkt. Testen består snarere i, om det udenlandske system som helhed på grundlag af indholdet af rettigheder vedrørende privatlivets fred og gennem effektiv gennemførelse, overvågning og håndhævelse heraf sikrer det krævede beskyttelsesniveau (7).

(5)

Kommissionen har nøje analyseret den relevante lovgivning og praksis i Det Forenede Kongerige (UK). På grundlag af nedenstående konklusioner konstaterer Kommissionen, at Det Forenede Kongerige sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres af kompetente myndigheder i Unionen og er omfattet af direktiv (EU) 2016/680, til kompetente myndigheder i Det Forenede Kongerige, der er omfattet af Part 3 i Data Protection Act 2018 (DPA 2018) (lov om databeskyttelse af 2018) (8).

(6)

Det fastsættes ved denne afgørelse, at sådanne overførsler kan finde sted for en periode på fire år, uden at der behøves yderligere tilladelser med forbehold af en eventuel forlængelse, jf. dog betingelserne i artikel 35 i direktiv (EU) 2016/680.

(7)

Det Forenede Kongerige er et parlamentarisk demokrati. Det har et suverænt parlament, som står over alle andre regeringsinstitutioner, en udøvende magt, der udgår fra og er ansvarlig over for parlamentet, og et uafhængigt retsvæsen. Den udøvende magts myndighed følger af dens evne til at opnå det valgte Underhus' tillid, og den er ansvarlig over for begge kamre i parlamentet (Underhuset og Overhuset), som har ansvar for at kontrollere regeringen og drøfte og vedtage love. Det Forenede Kongeriges parlament har overdraget ansvaret for lovgivning om visse nationale anliggender i Skotland, Wales og Nordirland til henholdsvis det skotske parlament, det walisiske parlament (Senedd Cymru) og Nordirlands parlament. Selv om databeskyttelse er et anliggende, der er forbeholdt Det Forenede Kongeriges parlament, dvs. at den samme lovgivning finder anvendelse i hele landet, er andre politikområder af relevans for denne afgørelse blevet decentraliseret. F.eks. er strafferetssystemerne, herunder politiets aktiviteter i Skotland og Nordirland, overdraget til henholdsvis det skotske parlament og Nordirlands parlament (9).

(8)

Selv om Det Forenede Kongerige ikke har en kodificeret forfatning i form af et permanent, konstituerende dokument, har landets forfatningsmæssige principper udviklet sig over tid, navnlig på grundlag af retspraksis og konventioner. Den forfatningsmæssige værdi af visse love, såsom Magna Carta, Bill of Rights 1689 (rettighedslov) og Human Rights Act 1998 (menneskerettighedslov), er blevet anerkendt. Den enkeltes grundlæggende rettigheder er som en del af forfatningen blevet udviklet gennem sædvaneret, love og internationale traktater, navnlig Den Europæiske Menneskerettighedskonvention (EMRK), som Det Forenede Kongerige ratificerede i 1951. I 1987 ratificerede Det Forenede Kongerige desuden Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (konvention 108) (10).

(9)

Human Rights Act 1998 indarbejder rettighederne fra EMRK i Det Forenede Kongeriges lovgivning. Loven indrømmer enhver person de grundlæggende rettigheder og frihedsrettigheder, der er fastsat i EMRK's artikel 2-12 og 14 samt i artikel 1-3 i den første protokol og i artikel 1 i den trettende protokol hertil, sammenholdt med EMRK's artikel 16-18. Dette omfatter retten til respekt for privatliv og familieliv, hvilket igen omfatter retten til databeskyttelse og retten til en retfærdig rettergang (11). I henhold til EMRK's artikel 8 må en offentlig myndighed navnlig kun lovmedholdeligt gribe ind i retten til privatlivets fred, hvis det er nødvendigt i et demokratisk samfund af hensyn til statens sikkerhed, den offentlige sikkerhed eller landets økonomiske velfærd, for at forebygge uro eller forbrydelse, for at beskytte sundheden eller sædeligheden eller for at beskytte andres rettigheder og frihedsrettigheder.

(10)

I henhold til Human Rights Act 1998 skal enhver handling fra offentlige myndigheders side være forenelig med en rettighed, der er sikret ved EMRK (12). Desuden skal primær og underordnet lovgivning fortolkes og gennemføres på en måde, der er forenelig med disse rettigheder (13). Hvis en person mener, at hans eller hendes rettigheder, herunder retten til privatlivets fred og databeskyttelse, er blevet krænket af offentlige myndigheder, kan vedkommende opnå erstatning ved de britiske domstole i henhold til Human Rights Act 1998 og i sidste instans, når de nationale retsmidler er udtømt, indbringe sagen for Den Europæiske Menneskerettighedsdomstol for krænkelser af de rettigheder, der er garanteret i henhold til EMRK.

(11)

Det Forenede Kongerige udtrådte af Den Europæiske Union den 31. januar 2020. På grundlag af aftalen om Det Forenede Kongerige Storbritannien og Nordirlands udtræden af Den Europæiske Union og Det Europæiske Atomenergifællesskab (14) fandt EU-retten fortsat anvendelse i Det Forenede Kongerige i overgangsperioden frem til den 31. december 2020. Inden udtrædelsen og i overgangsperioden bestod de lovgivningsmæssige rammer for beskyttelse af personoplysninger i Det Forenede Kongerige, for så vidt angår kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed, af relevante dele af Data Protection Act 2018, som gennemførte direktiv (EU) 2016/680.

(12)

Som forberedelse til udtrædelsen af EU vedtog Det Forenede Kongeriges regering European Union (Withdrawal) Act 2018 (EUWA) (lov om udtrædelse af Den Europæiske Union) (15), som indarbejdede umiddelbart gældende EU-lovgivning i Det Forenede Kongeriges lovgivning og bestemte, at den såkaldte »EU-afledte nationale lovgivning« fortsat har virkning efter overgangsperiodens udløb. Part 3 i DPA 2018 (16), som gennemfører direktiv (EU) 2016/680 i national lovgivning, udgør »afledt EU-lovgivning« i henhold til EUWA. I overensstemmelse med EUWA skal den uændrede nationale lovgivning, der er afledt af EU-retten, fortolkes af domstolene i Det Forenede Kongerige i overensstemmelse med den relevante retspraksis fra Den Europæiske Unions Domstol (EU-Domstolen) og de generelle principper i EU-retten, således som de havde virkning umiddelbart inden overgangsperiodens udløb (benævnt henholdsvis »bibeholdt EU-retspraksis« og »bibeholdte generelle principper fra EU-retten«) (17).

(13)

I henhold til EUWA har Det Forenede Kongeriges ministre beføjelse til at indføre afledt ret via bekendtgørelser med henblik på at indføre de nødvendige ændringer i den bibeholdte EU-ret, der følger af Det Forenede Kongeriges udtræden af Unionen. Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (DPPEC Regulations) (18) er et resultat af denne beføjelse. Disse love ændrer den britiske databeskyttelseslovgivning, herunder DPA 2018, så den passer til den nationale kontekst (19).

(14)

De retlige standarder for kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed i Det Forenede Kongerige efter overgangsperioden i henhold til udtrædelsesaftalen, vil derfor blive bibeholdt i relevante dele af DPA 2018, men som ændret ved DPPEC-lovene, navnlig i Part 3 i nævnte lov. United Kingdom General Data Protection Regulation (UK GDPR) finder ikke anvendelse på denne form for behandling.

(15)

Part 3 i DPA 2018 indeholder regler for behandling af personoplysninger med henblik på strafferetlig håndhævelse, herunder databeskyttelsesprincipper, retsgrundlag for behandling (lovlighed), de registreredes rettigheder, de kompetente myndigheders forpligtelser som dataansvarlige og begrænsninger for videreoverførsel. Samtidig findes de gældende regler om kontrol, håndhævelse og klageadgang i retshåndhævelsessektoren i Part 5 og 6 i DPA 2018.

(16)

Desuden bør der i lyset af politistyrkernes relevante rolle i retshåndhævelsessektoren tages hensyn til reglerne for politiarbejde. Da politiarbejde er et decentralt anliggende, finder forskellige retsakter, hvis indhold dog ofte ligner hinanden, anvendelse på politiarbejdet i a) England og Wales, b) Skotland og c) Nordirland (20). Desuden indeholder forskellige typer vejledninger yderligere præciseringer af, hvordan politiets beføjelser bør anvendes. Der findes tre hovedformer for politivejledning: 1) lovbestemt vejledning udstedt i henhold til lovgivning såsom Code of Ethics (etiske regler) (21) og Code of Practice on the Management of Police Information (MoPI Code of Practice) (adfærdskodeks for forvaltning af politioplysninger)) (22) udstedt i henhold til Police Act 1996 (politiloven af 1996) (23) eller PACE Codes (24) udstedt i henhold til Police and Criminal Evidence Act (lov om politiets og strafferettens bevismateriale) (25), 2) Authorised Professional Practice on the Management of Police Information (APP Guidance on the Management of Police Information) (autoriseret vejledning i forvaltning af politioplysninger, APP)) (26) udarbejdet af College of Policing (politiakademiet) og 3) operationel vejledning (offentliggjort af politiet selv). National Police Chiefs Council (det nationale politichefråd, et koordinerende organ for alle britiske politistyrker) offentliggør operationelle retningslinjer, som alle politistyrker har godkendt, og som derfor finder anvendelse på nationalt plan (27). Formålet med denne vejledning er at sikre sammenhæng i politistyrkernes behandling af information (28).

(17)

MoPI Code of Practice blev udstedt af Secretary of State i 2005 i medfør af de beføjelser, der er fastsat i Section 39A i Police Act 1996 (29). Enhver adfærdskodeks, der udstedes i henhold til Police Act, skal godkendes af Secretary of State og er genstand for en høring i National Crime Agency (det nationale kontor for kriminalitet), inden den forelægges parlamentet. I henhold til Section 39A(7) i Police Act skal politiet tage behørigt hensyn til kodekser udstedt i henhold til loven, og politiet forventes derfor at overholde sådanne (30). Desuden skal en ikke-lovfæstet vejledning (såsom APP Guidance on the Management of Police Information) altid være i overensstemmelse med MoPI Code of Practice, som har forrang for den (31).. Selv om der kan være visse konkrete situationer, hvor politiet er nødt til at afvige fra denne vejledning, er de under alle omstændigheder stadig forpligtet til at overholde kravene i Part 3 i DPA 2018 (32).

(18)

Yderligere vejledning om Det Forenede Kongeriges databeskyttelseslovgivning for behandling i retshåndhævelsessektoren gives af Information Commissioner (»Information Commissioner« eller »ICO«) (33) (yderligere oplysninger om ICO findes i betragtning (93) til (109)). Selv om vejledningen ikke er juridisk bindende, vil domstolene i en retssag være forpligtede til at tage hensyn til enhver overtrædelse af den, da den har fortolkningsmæssig betydning og viser, hvordan databeskyttelseslovgivningen fortolkes og håndhæves af Information Commissioner i praksis (34).

(19)

Endelig skal de britiske retshåndhævende myndigheder som nævnt i betragtning (8)-(10) sikre overholdelse af EMRK og konvention 108.

(20)

Med hensyn til struktur og hovedelementer er den retlige ramme for britiske strafferetlige myndigheders behandling af oplysninger således meget lig den, der gælder i EU. Dette vil blandt andet sige, at en sådan ramme ikke kun er baseret på forpligtelser, der er fastsat i national ret, som er formet af EU-retten, men også på forpligtelser, der er nedfældet i folkeretten, navnlig gennem Det Forenede Kongeriges tiltrædelse af EMRK og konvention 108, samt at den er underlagt Den Europæiske Menneskerettighedsdomstols jurisdiktion. Disse forpligtelser, der følger af retligt bindende internationale instrumenter, navnlig vedrørende beskyttelse af personoplysninger, er derfor et særligt vigtigt element i den retlige ramme, der vurderes i denne afgørelse.

(21)

Det materielle anvendelsesområde for DPA 2018, Part 3, falder sammen med anvendelsesområdet for direktiv 2016/680 som præciseret i direktivets artikel 2, stk. 2. Part 3 finder anvendelse på en kompetent myndigheds behandling af personoplysninger, der helt eller delvist sker automatisk, og en kompetent myndigheds behandling på anden måde end ved hjælp af elektronisk databehandling af personoplysninger, der er eller vil blive lagret i et register.

(22)

For at falde ind under anvendelsesområdet for Part 3 skal den dataansvarlige desuden være en »kompetent myndighed«, og behandlingen skal foretages med henblik på retshåndhævelse. Den databeskyttelsesordning, der vurderes i denne afgørelse, finder derfor anvendelse på alle disse kompetente myndigheders retshåndhævelsesaktiviteter.

(23)

Begrebet »kompetent myndighed« er fastsat i Section 30, DPA, som en person, der er opført på fortegnelsen i DPA 2018, Schedule 7, samt enhver anden person, i det omfang personen har lovbestemte funktioner i forbindelse med et hvilket som helst retshåndhævelsesformål. De kompetente myndigheder, der er anført i Schedule 7, omfatter ikke kun politistyrker, men også alle ministerielle forvaltningsgrene i Det Forenede Kongerige samt andre myndigheder med undersøgelsesfunktioner (f.eks. Commissioner for Her Majesty's Revenue and Customs (toldvæsenet), Welsh Revenue Authority (Wales' afgiftsmyndighed), Competition and Markets Authority (konkurrence- og markedsmyndigheden) eller Her Majesty's Land Register (ejendomsregistret)), anklagemyndigheder, andre strafferetlige myndigheder og tilsvarende eller organisationer, der udfører retshåndhævelsesaktiviteter (35). Part 3 i DPA 2018 finder også anvendelse på retter og domstole, når de udøver deres judicielle funktioner, bortset fra den del, der vedrører den registreredes rettigheder og Information Commissioner's kontrol (36). Listen over kompetente myndigheder i Schedule 7 er ikke endelig og kan ajourføres af Secretary of State ved Regulations under hensyntagen til ændringerne i tilrettelæggelsen af offentlige kontorer (37).

(24)

Den pågældende behandling skal også have et »retshåndhævelsesformål«, der defineres som forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed (38). En kompetent myndigheds behandling er ikke omfattet af Part 3 i DPA 2018, hvis den ikke har et retshåndhævelsesformål. Dette vil f.eks. være tilfældet, når Competition and Markets Authority undersøger sager, der ikke er strafbare (f.eks. fusioner mellem virksomheder). I så fald vil UK GDPR og Part 2 i DPA 2018 finde anvendelse, da de kompetente myndigheders behandling af personoplysninger foretages til andre formål end retshåndhævelsesformål. For at afgøre, hvilken databeskyttelsesordning der finder anvendelse (Part 3 eller Part 2 i DPA 2018) på behandlingen af personoplysninger, skal den kompetente myndighed, dvs. den dataansvarlige, overveje, om det »primære formål« med en sådan behandling er et af retshåndhævelsesformålene i henhold til DPA 2018.

(25)

Hvad angår det territoriale anvendelsesområde for Part 3 i DPA 2018, bestemmes det i Section 207(2), at DPA finder anvendelse på behandling af personoplysninger i forbindelse med aktiviteter, der udføres af en person, som har et forretningssted i hele Det Forenede Kongeriges område. Dette omfatter offentlige myndigheder i England, Wales, Skotland og Nordirland, som er omfattet af det materielle anvendelsesområde for Part 3 i DPA 2018 (39).

(26)

Nøglebegreberne personoplysninger og behandling er defineret i Section 3 i DPA 2018 og gælder i hele DPA. Definitionerne følger nøje de tilsvarende definitioner i artikel 3 i direktiv 2016/680. I henhold til DPA 2018 forstås ved personoplysninger enhver form for oplysning om en identificeret eller identificerbar levende person (40). I henhold til Section 3(3) i DPA 2018 kan en person identificeres, hvis vedkommende direkte eller indirekte kan identificeres ud fra oplysningerne, herunder ved henvisning til et navn eller en identifikator eller ved henvisning til et eller flere elementer, der er særlige for personens fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet. Ved »behandling« forstås en eller flere operationer, der udføres på grundlag af oplysninger eller sæt af oplysninger, såsom a) indsamling, registrering, organisering, strukturering eller opbevaring, b) tilpasning eller ændring, c) udtræk, konsultation eller brug, d) offentliggørelse ved videregivelse, formidling eller tilgængeliggørelse på anden vis, e) justering eller kombination eller f) begrænsning, sletning eller tilintetgørelse. Desuden forstås ved »følsom behandling« i loven a) behandling af personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, b) behandling af genetiske eller biometriske data med det formål entydigt at identificere en fysisk person, c) behandling af helbredsoplysninger, d) behandling af oplysninger om en persons seksuelle forhold eller seksuelle orientering (41). I den forbindelse indeholder Section 205 i DPA 2018 en definition af »biometriske data« (42), »helbredsoplysninger (43)« og »genetiske data« (44).

(27)

I Section 32 i DPA 2018 præciseres definitionerne af »dataansvarlig« og »databehandler« i forbindelse med behandling af personoplysninger med henblik på retshåndhævelse, der nøje følger de tilsvarende definitioner i direktiv 2016/680. Den dataansvarlige er den kompetente myndighed, som afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Hvis behandlingen er påkrævet i henhold til lovgivningen, er den dataansvarlige den kompetente myndighed, som denne lov pålægger en sådan forpligtelse. En databehandler defineres som enhver person, der behandler personoplysninger på vegne af den dataansvarlige (bortset fra en person, der er ansat hos den dataansvarlige).

(28)

I henhold til Section 35 i DPA 2018 skal behandlingen af personoplysninger være lovlig og rimelig på en måde, der svarer til artikel 4, stk. 1, litra a), i direktiv (EU) 2016/680. I henhold til Section 35(2) i DPA 2018 er behandling af personoplysninger til et hvilket som helst retshåndhævelsesformål kun lovlig, hvis den er hjemlet ved lov, og enten den registrerede har givet sit samtykke til behandlingen til dette formål, eller behandlingen er nødvendig for, at en kompetent myndighed kan udføre en opgave med henblik herpå.

(29)

I lighed med artikel 8 i direktiv (EU) 2016/680 skal en sådan behandling, for at sikre lovligheden af en behandling, der er omfattet af Part 3 i DPA 2018, være »baseret på lov«. Ved »lovlig« behandling forstås behandling, der er tilladt i henhold til enten lov, sædvaneret eller kongelige beføjelser (45).

(30)

De kompetente myndigheders beføjelser er generelt reguleret ved lov, hvilket betyder, at deres funktioner og beføjelser er klart fastlagt i lovgivning vedtaget af parlamentet (46). I visse tilfælde kan politiet og andre kompetente myndigheder, der er opført i Schedule 7 til DPA 2018, basere sig på sædvaneret for at behandle data (47). Sædvaneret er udviklet gennem præcedens i form af domstolsafgørelser. Sædvaneretten er relevant i forbindelse med de beføjelser, som politiet har adgang til, idet politiet i henhold til denne retskilde har en central forpligtelse til at beskytte offentligheden ved at afsløre og forebygge kriminalitet (48). Politistyrkerne har dog beføjelser i henhold til både sædvaneret og lovgivning (49) til at udføre en sådan forpligtelse. Når politiet har lovfæstede beføjelser, træder dette i stedet for sædvaneretlige beføjelser (50).

(31)

Domstolene har anerkendt, at politibetjentes beføjelser og forpligtelser i henhold til sædvaneret omfatter »alle de skridt, som betjente finder nødvendige for at bevare freden, forebygge kriminalitet eller beskytte formuegoder mod kriminel skade« (51). Sædvaneretlige beføjelser er ikke uden forbehold. De er underlagt en række begrænsninger, herunder dem, der er fastsat af domstolene (52) og i lovgivningen, navnlig Human Rights Act 1998 og Equality Act 2010 (lov om ligeret) (53). For kompetente myndigheder, der behandler data i henhold til Part 3 i DPA 2018, omfatter dette desuden udøvelse af sædvaneretlige beføjelser i overensstemmelse med kravene i DPA 2018 (54). Desuden skal en beslutning om at gennemføre enhver form for databehandling tage hensyn til kravene i gældende vejledning, såsom MoPI Code of Practice samt vejledninger, der er specifikke for et af landene i Det Forenede Kongerige (55). Regeringen og politiet udsteder en række vejledninger for at sikre, at politibetjente udøver deres beføjelser inden for de grænser, der er fastsat i sædvaneret eller den relevante lov (56).

(32)

De kongelige prærogativer udgør en anden del af »loven« og henviser til visse beføjelser, der er tillagt Kronen og kan udøves af den udøvende magt, og som ikke er baseret på lov, men udspringer af monarkens suverænitet (57). Der er meget få eksempler på beføjelser, som er relevante i forbindelse med retshåndhævelse. De omfatter f.eks. rammen for gensidig retshjælp, der gør det muligt for Secretary of State at dele data med tredjelande med henblik på retshåndhævelse, og beføjelsen til at udveksle data på denne måde er ikke altid fastsat ved lov (58). Kongelige prærogativer er omfattet af sædvaneretlige principper (59) og underlagt loven og er derfor omfattet af de begrænsninger, der er fastsat i Human Rights Act 1998 og DPA 2018 (60).

(33)

I lighed med artikel 8 i direktiv (EU) 2016/680 kræver det britiske system, at de kompetente myndigheder for at overholde legalitetsprincippet skal sikre, at behandlingen, når den er baseret på loven, også er »nødvendig« for den opgave, der udføres med henblik på retshåndhævelse. ICO's vejledning i denne henseende præciserer, at »behandlingen skal være en målrettet og forholdsmæssig måde at opfylde formålet på. Retsgrundlaget gælder ikke, hvis man med rimelighed kan opfylde formålet med andre mindre indgribende midler. Det er ikke tilstrækkeligt at anføre, at behandling er nødvendig, fordi man har valgt at drive sin virksomhed på en bestemt måde. Spørgsmålet er, om behandlingen er nødvendig til det angivne formål« (61).

(34)

Som nævnt i betragtning (28) giver Section 35(2) i DPA 2018 mulighed for at behandle personoplysninger på grundlag af den fysiske persons »samtykke«.

(35)

Samtykke ser imidlertid ikke ud til at være et retsgrundlag, der er relevant for de behandlingsaktiviteter, som er omfattet af denne afgørelse. De behandlingsaktiviteter, der er omfattet af denne afgørelse, vil faktisk altid vedrøre data, som er overført i henhold til direktiv (EU) 2016/680 af en kompetent myndighed i en medlemsstat til en kompetent myndighed i Det Forenede Kongerige. De vil derfor typisk ikke omfatte den type direkte samspil (indsamling) mellem en offentlig myndighed og registrerede, som kan baseres på samtykke i henhold til Section 35(2)(a) i DPA 2018.

(36)

Selv om samtykke derfor ikke anses for at være relevant for den vurdering, der foretages i henhold til denne afgørelse, er det for fuldstændighedens skyld værd at bemærke, at behandling i en retshåndhævelsessammenhæng aldrig udelukkende er baseret på samtykke, da en kompetent myndighed altid skal have en underliggende beføjelse, der sætter den i stand til at behandle oplysningerne (62). Mere specifikt og i lighed med, hvad der er tilladt i henhold til direktiv (EU) 2016/680 (63) betyder dette, at samtykke fungerer som en yderligere betingelse for at muliggøre visse begrænsede og specifikke behandlingsaktiviteter, der ellers ikke ville kunne foretages, f.eks. indsamling og behandling af en DNA-prøve fra en person, der ikke er mistænkt. I så fald vil behandlingen ikke blive foretaget, hvis samtykket ikke er givet eller trækkes tilbage (64).

(37)

I tilfælde, hvor der kræves samtykke fra den pågældende, skal et sådant være utvetydigt og indeholde en klar bekræftelse (65). Politiet skal have en databeskyttelsesmeddelelse, der bl.a. skal indeholde de nødvendige oplysninger om gyldig brug af samtykke. Desuden offentliggør nogle politistyrker yderligere materiale om, hvordan de overholder databeskyttelseslovgivningen, herunder hvordan og hvornår de vil anvende samtykke som retsgrundlag (66).

(38)

Der bør være specifikke garantier, når »særlige kategorier« af oplysninger behandles. I lighed med hvad der er fastsat i artikel 10 i direktiv (EU) 2016/680, giver Part 3 i DPA 2018 i denne henseende stærkere garantier for såkaldt »følsom behandling« (67).

(39)

I henhold til Section 35(3) i DPA 1998 må de kompetente myndigheder kun behandle følsomme oplysninger til retshåndhævelsesformål i to tilfælde: 1) Den registrerede har givet sit samtykke til behandlingen med henblik på retshåndhævelse, og på det tidspunkt, hvor behandlingen foretages, har den dataansvarlige udarbejdet et passende politikdokument (68), eller 2) behandlingen er strengt nødvendig af hensyn til retshåndhævelsesformålet, behandlingen opfylder mindst en af betingelserne i Schedule 8 til DPA 2018, og på det tidspunkt, hvor behandlingen foretages, har den dataansvarlige udarbejdet et passende politikdokument (69).

(40)

For så vidt angår det første tilfælde og som forklaret i betragtning 38 anses anvendelsen af samtykke ikke for relevant i den type overførselssituation, der er omfattet af denne afgørelse (70).

(41)

Når behandlingen af følsomme oplysninger ikke er baseret på samtykke, kan den foretages på en af betingelserne i Schedule 8 til DPA 2018. Disse betingelser vedrører behandling, der er nødvendig i henhold til loven, retsplejen, beskyttelse af den registreredes eller en anden persons vitale interesser, beskyttelse af børn og udsatte personer, retskrav, retsakter, forebyggelse af svig, arkivering, og hvis personoplysninger åbenlyst offentliggøres af den registrerede. Bortset fra det tilfælde, hvor oplysningerne åbenlyst offentliggøres, er alle betingelserne i Schedule 8 underlagt en »streng nødvendighedstest«. Som præciseret af ICO betyder »strengt nødvendigt« i denne forbindelse, at behandlingen skal vedrøre et presserende socialt behov, og at man ikke med rimelighed kan opfylde formålet ved hjælp af mindre indgribende midler (71). Desuden er nogle af betingelserne underlagt yderligere begrænsninger. For at påberåbe sig betingelsen om »lovfæstede formål« og »beskyttelsesklausulen« (Schedule 8, paragraph 1 og paragraph 4) er der f.eks. et yderligere kriterium af væsentlig samfundsmæssig interesse, som skal opfyldes. Hvad angår betingelserne for beskyttelse af børn (Schedule 8, paragraph 4), skal den registrerede desuden have en bestemt alder og anses for at være i fare. Desuden kan den dataansvarlige kun anvende betingelsen i Schedule 8, paragraph 4, under særlige omstændigheder (72). Tilsvarende er der begrænsninger for betingelserne for »retslige handlinger« og »forebyggelse af svig« (Schedule 8, henholdsvis paragraph 7 og 8). Begge gælder kun for bestemte dataansvarlige. I tilfælde af retsakter kan kun en domstol eller en anden judiciel myndighed anvende en sådan betingelse, og i tilfælde af forebyggelse af svig kan kun dataansvarlige, der er organisationer til bekæmpelse af svig, påberåbe sig den.

(42)

Endelig gælder det, at når behandlingen er baseret på en af betingelserne i Schedule 8 og i overensstemmelse med Section 42 i DPA 2018, skal der foreligge et »passende politikdokument«, som beskriver den dataansvarliges procedurer for at sikre overholdelse af databeskyttelsesprincipperne og den dataansvarliges politik med hensyn til opbevaring og sletning af personoplysninger, og en skærpet registreringspligt.

(43)

Personoplysninger skal behandles til et specifikt formål og efterfølgende udelukkende bruges, såfremt dette ikke er uforeneligt med behandlingsformålet. Dette databeskyttelsesprincip er sikret ved Section 36 i DPA 2018. I lighed med artikel 4, stk. 1, litra b), i direktiv (EU) 2016/680 kræver denne bestemmelse, at a) det retshåndhævelsesformål, hvortil personoplysninger indsamles, skal præciseres samt være udtrykkeligt og legitimt, og at b) de således indsamlede personoplysninger ikke må behandles på en måde, der er uforenelig med det formål, hvortil de blev indsamlet.

(44)

Hvis de kompetente myndigheder behandler data med henblik på retshåndhævelse, kan dette omfatte arkivering, videnskabelig eller historisk forskning og statistiske formål (73). I disse tilfælde præciseres det også i DPA 2018, at arkivering (eller behandling til videnskabelige eller historiske forskningsformål og statistiske formål) ikke er tilladt, hvis den foretages i forbindelse med afgørelser, der træffes vedrørende en bestemt registreret, eller hvis det kan forvolde den pågældende væsentlig skade eller lidelse (74).

(45)

Oplysningerne skal være nøjagtige og holdes ajour. De skal også være tilstrækkelige, relevante og ikke for omfattende i forhold til de formål, hvortil de behandles. I lighed med artikel 4, stk. 1, litra c), d) og e), i direktiv (EU) 2016/680 er disse principper sikret i Section 37 og 38 i DPA 2018. Der skal tages ethvert rimeligt skridt til at sikre, at urigtige personoplysninger (75) straks slettes eller berigtiges (76) under hensyntagen til det retshåndhævelsesformål, hvortil de behandles (77), og til at sikre, at personoplysninger, der er ukorrekte, ufuldstændige eller ikke længere ajourførte, ikke videregives eller stilles til rådighed med henblik på retshåndhævelse (78).

(46)

I lighed med artikel 7 i direktiv (EU) 2016/680 præciserer Det Forenede Kongeriges databeskyttelsesordning desuden, at der så vidt muligt skal sondres mellem personoplysninger baseret på fakta og personoplysninger baseret på personlige vurderinger (79). Hvor det er relevant og så vidt muligt, skal der skelnes klart mellem personoplysninger vedrørende forskellige kategorier af registrerede, såsom mistænkte, personer, der er dømt for en strafbar handling, ofre for en strafbar handling, og vidner (80).

(47)

I henhold til artikel 5 i direktiv (EU) 2016/680 må oplysningerne i princippet ikke opbevares i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles. I henhold til Section 39 i DPA 2018 og i lighed med direktivets artikel 5 er det forbudt at opbevare personoplysninger, der behandles til et hvilket som helst retshåndhævelsesformål, i et længere tidsrum end det, der er nødvendigt i forhold til det formål, hvortil de behandles. Det Forenede Kongeriges retssystem kræver, at der fastsættes passende tidsfrister for regelmæssig revision af behovet for fortsat opbevaring af personoplysninger med henblik på retshåndhævelse. Yderligere regler om praksis i forbindelse med opbevaring af personoplysninger og de gældende tidsfrister er fastsat i den relevante lovgivning og vejledning om politiets beføjelser og funktionsmåde. I England og Wales udgør College of Policings MoPI Code of Practice sammen med APP Guidance on the Management of Police Information f.eks. en ramme til sikring af en konsekvent risikobaseret opbevarings-, revisions- og bortskaffelsesproces i forbindelse med forvaltningen af operationelle politioplysninger (81). Denne ramme fastsætter klare forventninger på tværs af tjenesten til, hvordan oplysninger bør skabes, deles, anvendes og forvaltes inden for og mellem de enkelte politistyrker og andre agenturer (82). Politiet forventes at overholde adfærdskodeksen, og overholdelsen kontrolleres af Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services (83).

(48)

Police Service of Northern Ireland (PSNI) er ikke ved lov forpligtet til at følge MoPI Code of Practice. MoPI-rammen, der blev vedtaget i 2011, suppleres dog af en håndbog udarbejdet af PSNI (84), der beskriver politikker og procedurer for anvendelsen af adfærdskodeksen i Nordirland.

(49)

I Skotland baserer politiet sig på Record Retention Standard Operating Procedure (SOP) (standardprocedure for registrering) (85), som understøtter det skotske politis Records Management Policy (politik for forvaltning af registre) (86). SOP fastsætter specifikke opbevaringsregler for de registre, som føres af politiet i Skotland.

(50)

Ud over det overordnede krav om gennemgang af registre, der gælder i hele Det Forenede Kongerige, findes der yderligere oplysninger i lokale regler. For at give nogle få eksempler er det sådan, at for så vidt angår England og Wales indeholder Police and Criminal Evidence Act (PACE) (politiloven), som ændret ved Freedom Protection Act 2012 (PoFA) (lov om beskyttelse af frihedsrettigheder), bestemmelser om opbevaring af fingeraftryk og DNA-profiler samt en særlig ordning for personer, der ikke er dømt (87). Med PoFA oprettedes også stillingen som Commissioner for the Retention and Use of Biometric Material (»Biometrics Commissioner«) (kommissær for opbevaring af biomometrisk materiale) (88). Særlige regler om fotos af varetægtsfængslede findes i 2017 Custody Image Review (revision af bestemmelserne om fotos af varetægtsfængslede) (89). Med hensyn til Skotland indeholder Criminal Procedure (Scotland) Act 1995 (Skotlands strafferetsplejelov) regler for indsamling og opbevaring af fingeraftryk og biologiske prøver (90). Som for England og Wales regulerer lovgivningen opbevaring af biometriske data i forskellige situationer (91).

(51)

Personoplysninger skal behandles på en måde, der garanterer deres sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse. Med henblik herpå skal de offentlige myndigheder træffe passende tekniske eller organisatoriske foranstaltninger for at beskytte personoplysninger mod mulige trusler. Disse foranstaltninger skal vurderes under hensyntagen til det aktuelle tekniske niveau og de dermed forbundne omkostninger.

(52)

Disse principper afspejles i Section 40 i DPA 2018, der bestemmer, at personoplysninger, som behandles med henblik på retshåndhævelse, i lighed med artikel 4, stk. 1, litra f), i direktiv (EU) 2016/680 skal behandles på en måde, der garanterer en passende sikkerhed for personoplysningerne ved hjælp af passende tekniske eller organisatoriske foranstaltninger. Dette omfatter beskyttelse af oplysningerne mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse (92). I Section 66 i DPA 2018 præciseres endvidere, at hver dataansvarlig og hver databehandler skal gennemføre hensigtsmæssige tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, som er passende i forhold til de risici, der opstår som følge af behandlingen af personoplysninger. Ifølge de forklarende bemærkninger skal den dataansvarlige vurdere risiciene og gennemføre passende sikkerhedsforanstaltninger på grundlag af denne evaluering, f.eks. kryptering eller specifikke sikkerhedsgodkendelsesniveauer for personale, der behandler oplysningerne (93). I evalueringen skal der også tages hensyn til f.eks. arten af de behandlede oplysninger og andre relevante faktorer eller omstændigheder, der kan påvirke behandlingssikkerheden.

(53)

Ordningen for overholdelse af principperne for datasikkerhed svarer meget til den, der er fastsat i artikel 29-31 i direktiv (EU) 2016/680. Navnlig i tilfælde af brud på persondatasikkerheden i forbindelse med personoplysninger, som den dataansvarlige er ansvarlig for, skal denne i henhold til Section 67(1) i DPA 2018 uden unødig forsinkelse og om muligt inden for 72 timer efter at have fået kendskab til bruddet på persondatasikkerheden anmelde dette til Information Commissioner (94). Underretningspligten finder ikke anvendelse, når bruddet på persondatasikkerheden sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder (95). Den dataansvarlige skal dokumentere de faktiske omstændigheder i forbindelse med ethvert brud på persondatasikkerheden, dets virkninger og de afhjælpende foranstaltninger, der er truffet, på en sådan måde, at Information Commissioner kan kontrollere, at databeskyttelsesloven overholdes (96). Hvis en databehandler bliver opmærksom på et sikkerhedsbrud, skal denne underrette den dataansvarlige uden unødig forsinkelse (97).

(54)

I henhold til Section 68(1) i DPA 2018 skal den dataansvarlige, hvis et brud på persondatasikkerheden sandsynligvis udgør en høj risiko for fysiske personers rettigheder og frihedsrettigheder, uden unødig forsinkelse underrette den registrerede om bruddet (98). Underretningen skal indeholde de samme oplysninger som meddelelsen til Information Commissioner, der er beskrevet i betragtning (53). Denne forpligtelse gælder ikke, hvis den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, som er blevet anvendt på de personoplysninger, der er berørt af bruddet. Den finder heller ikke anvendelse, hvis den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for registreredes rettigheder og frihedsrettigheder sandsynligvis ikke længere vil bestå. Endelig er den dataansvarlige ikke forpligtet til at underrette den registrerede, hvis dette ville indebære en uforholdsmæssig stor indsats (99). I så fald skal oplysningerne stilles til rådighed for den registrerede på en anden lige så effektiv måde, f.eks. gennem en offentlig meddelelse (100). Hvis den dataansvarlige ikke har underrettet den registrerede om bruddet, kan Information Commissioner efter at være blevet underrettet i henhold til Section 67 i DPA og efter at have overvejet sandsynligheden for, at bruddet medfører en høj risiko, kræve, at den dataansvarlige underretter den registrerede om bruddet (101).

(55)

De registrerede skal informeres om de vigtigste elementer i behandlingen af deres personoplysninger. Dette databeskyttelsesprincip afspejles i Section 44 i DPA 2018, som i lighed med artikel 13 i direktiv (EU) 2016/680 bestemmer, at den dataansvarlige har en generel forpligtelse til at stille oplysninger om behandlingen af deres personoplysninger til rådighed for de registrerede (enten ved at gøre oplysningerne alment tilgængelige for offentligheden eller på anden måde) (102). De oplysninger, der skal stilles til rådighed, omfatter a) den dataansvarliges identitet og kontaktoplysninger, b) databeskyttelsesrådgiverens kontaktoplysninger, hvis det er relevant, c) de formål, hvortil den dataansvarlige behandler personoplysninger, d) de registreredes ret til at anmode den dataansvarlige om indsigt i personoplysninger, berigtigelse af personoplysninger og sletning af personoplysninger eller begrænsning af behandlingen heraf og e) retten til at indgive en klage til Information Commissioner og kontaktoplysninger for denne (103).

(56)

Den dataansvarlige skal også i særlige tilfælde med henblik på at gøre det muligt for en registreret at udøve sine rettigheder i henhold til DPA 2018 (f.eks. når de personoplysninger, der behandles, blev indsamlet uden den registreredes vidende) give den registrerede oplysninger om a) retsgrundlaget for behandlingen, b) oplysninger om det tidsrum, hvori personoplysningerne opbevares, eller, hvis dette ikke er muligt, om de kriterier, der anvendes til at fastsætte denne periode, c) i givet fald oplysninger om kategorierne af modtagere af personoplysningerne (herunder modtagere i tredjelande eller internationale organisationer), d) yderligere oplysninger, der er nødvendige for at gøre det muligt den registrerede at udøve sine rettigheder i henhold til Part 3 i DPA 2018 (104).

(57)

De registrerede skal have en række rettigheder, som kan håndhæves. Chapter 3, Part del 3 i DPA 2018 giver fysiske personer ret til indsigt, berigtigelse, sletning og begrænsning (105), som svarer til, hvad der er fastsat i kapitel 3 i direktiv (EU) 2016/680.

(58)

Retten til indsigt er fastsat i Section 45 i DPA 2018. For det første har en fysisk person ret til at få en bekræftelse fra den dataansvarlige om, hvorvidt vedkommendes personoplysninger behandles eller ikke (106). For det andet har den registrerede, når personoplysningerne behandles, ret til at få adgang til disse oplysninger og modtage følgende oplysninger om behandlingen: a) formålet med og retsgrundlaget for behandlingen, b) de pågældende kategorier af oplysninger, c) den modtager, som oplysningerne er videregivet til, d) det tidsrum, hvori personoplysningerne skal opbevares, e) den registreredes ret til berigtigelse og sletning af personoplysninger, f) retten til klageadgang og g) oplysninger om de pågældende personoplysningers oprindelse (107).

(59)

I henhold til Section 46 i DPA 2018 har den registrerede ret til at kræve, at den dataansvarlige berigtiger urigtige personoplysninger om vedkommende. Den dataansvarlige skal uden unødig forsinkelse berigtige (eller, hvis oplysningerne er ukorrekte, fordi de er ufuldstændige, supplere) oplysningerne. Hvis personoplysningerne skal opbevares med henblik på bevisførelse, skal den dataansvarlige (i stedet for at berigtige personoplysningerne) begrænse behandlingen heraf (108).

(60)

Section 47 i DPA 2018 giver fysiske personer ret til sletning og begrænsning af behandlingen. Den dataansvarlige skal (109) slette personoplysninger uden unødig forsinkelse, hvis behandlingen af personoplysningerne vil være i strid med databeskyttelsesprincipperne, retsgrundlaget for behandlingen eller garantierne i forbindelse med arkivering og følsom behandling. Den dataansvarlige skal slette oplysningerne, hvis der består en retlig forpligtelse hertil. Hvis personoplysningerne skal opbevares med henblik på bevisførelse, skal den dataansvarlige (i stedet for at berigtige personoplysningerne) begrænse behandlingen heraf (110). Den dataansvarlige skal begrænse behandlingen af personoplysninger, hvis en registreret anfægter rigtigheden af personoplysningerne, men det ikke er muligt at fastslå, om de er korrekte eller ej (111).

(61)

Hvis en registreret anmoder om berigtigelse eller sletning af personoplysninger eller begrænsning af behandlingen heraf, skal den dataansvarlige skriftligt underrette den registrerede om, hvorvidt anmodningen er imødekommet, og, hvis den er blevet afvist, oplyse den registrerede om årsagerne til afslaget og om tilgængelige klagemuligheder (den registreredes ret til at indgive en anmodning til Information Commissioner om at undersøge, om begrænsningen er blevet anvendt lovligt, retten til at indgive en klage til Information Commissioner og retten til at anmode en domstol om at efterkomme afgørelsen) (112).

(62)

Hvis den dataansvarlige berigtiger personoplysninger, der er modtaget fra en anden kompetent myndighed, skal denne underrette den anden myndighed (113). Hvis den dataansvarlige berigtiger, sletter eller begrænser behandlingen af personoplysninger, der er videregivet af den dataansvarlige, skal den dataansvarlige underrette modtagerne, og modtagerne skal ligeledes berigtige, slette eller begrænse behandlingen af personoplysningerne (for så vidt de bevarer ansvaret for dem) (114).

(63)

Desuden har den registrerede ret til uden unødig forsinkelse at blive underrettet af den dataansvarlige om brud på persondatasikkerheden, når dette sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder (115).

(64)

I forbindelse med alle den registreredes rettigheder og i lighed med, hvad der er fastsat i artikel 12 i direktiv (EU) 2016/680, er den dataansvarlige forpligtet til at sikre, at alle oplysninger til den registrerede gives i en kortfattet, letforståelig og lettilgængelig form (116), og at de så vidt muligt gives i samme form som anmodningen (117). Den dataansvarlige skal efterkomme en anmodning fra den registrerede uden unødig forsinkelse eller under alle omstændigheder inden udløbet af en frist på en måned fra anmodningen (118). Hvis den dataansvarlige nærer rimelig tvivl om en persons identitet, kan vedkommende anmode om yderligere oplysninger og udsætte behandlingen af anmodningen, indtil identiteten er fastslået. Den dataansvarlige kan kræve et rimeligt gebyr eller nægte at handle, hvis den anser anmodningen for at være åbenbart grundløs (119). ICO har udarbejdet en vejledning om, hvornår en anmodning anses for at være åbenbart grundløs eller overdreven, og hvornår der kan anmodes om et gebyr (120).

(65)

I henhold til Section 53(4) i DPA 2018 kan Secretary of State desuden ved bekendtgørelse fastsætte det maksimale gebyrbeløb.

(66)

En kompetent myndighed kan under visse omstændigheder begrænse visse af den registreredes rettigheder: retten til indsigt (121), til at blive informeret (122), til at få kendskab til et brud på persondatasikkerheden (123) og til at blive informeret om årsagen til et afslag på en anmodning om berigtigelse eller sletning (124). I lighed med ordningen i kapitel III i direktiv (EU) 2016/680 kan den kompetente myndighed kun anvende begrænsningen, hvis den under hensyn til den registreredes grundlæggende rettigheder og legitime interesser er nødvendig og står i et rimeligt forhold til følgende: a) undgå at hindre en officiel eller retlig undersøgelse, efterforskning eller procedure, b) undgå at hindre forebyggelse, opdagelse, efterforskning eller retsforfølgning af strafbare handlinger, c) beskytte den offentlige sikkerhed, d) beskytte statens sikkerhed, e) beskytte andres rettigheder og frihedsrettigheder.

(67)

ICO har udarbejdet en vejledning om anvendelsen af disse begrænsninger. I henhold til denne vejledning skal dataansvarlige foretage en analyse fra sag til sag for at finde en balance mellem den enkeltes rettigheder og den skade, som videregivelse ville forårsage. De skal navnlig begrunde enhver begrænsning, der anvendes som nødvendig og forholdsmæssig, og må kun begrænse, hvad der er fastsat, hvis det ville skade ovennævnte formål (125).

(68)

Der findes også en række andre vejledninger fra kompetente myndigheder, som giver detaljerede oplysninger om alle aspekter af databeskyttelseslovgivningen, herunder om anvendelsen af begrænsningerne i de registreredes rettigheder (126). I forbindelse med Section 45(4) hedder det f.eks. i Data Protection Manual of the National Police Chief’s Counsel: »Det er vigtigt at bemærke, at begrænsningerne kun kan anvendes, i det omfang det er nødvendigt, og at de kun kan anvendes, så længe det er nødvendigt. Følgelig er en generel anvendelse af begrænsningen til alle en ansøgers personoplysninger eller permanent anvendelse af begrænsningen ikke tilladt. Med hensyn til sidstnævnte punkt er det ofte sådan, at personoplysninger, der er indsamlet uden den registreredes kendskab, og denne er mistænkt og indgår i en efterforskning, i første omgang skal beskyttes mod videregivelse til den registrerede for at undgå at skade efterforskningen, mens denne pågår, men på et senere tidspunkt vil der ikke være nogen skade ved videregivelsen, hvis personoplysningerne var blevet videregivet til den pågældende under en afhøring. Politiet skal indføre procedurer, der sikrer, at anvendelsen af disse begrænsninger kun sker, i det omfang det er nødvendigt, og kun så længe det er nødvendigt« (127). Denne vejledning indeholder også eksempler på, hvornår hver af begrænsningerne sandsynligvis vil blive anvendt (128).

(69)

Hvad angår muligheden for at begrænse en hvilken som helst af ovennævnte rettigheder med henblik på beskyttelse af »statens sikkerhed«, kan en dataansvarlig desuden anmode om et certifikat underskrevet af en Cabinet Minister eller af Attorney General (eller Advocate General for Scotland ), der bekræfter, at en begrænsning af sådanne rettigheder er en nødvendig og forholdsmæssig foranstaltning til beskyttelse af den nationale sikkerhed (129). Den britiske regering har udstedt retningslinjer for nationale sikkerhedscertifikater i henhold til DPA 2018, hvori det navnlig understreges, at enhver begrænsning af registreredes rettigheder med henblik på at beskytte statens sikkerhed skal være forholdsmæssig og nødvendig (130) (yderligere oplysninger om de nationale sikkerhedscertifikater findes i betragtning (131)-(134)).

(70)

Hvis en registrerets rettighed begrænses, skal den kompetente myndighed desuden uden unødig forsinkelse underrette den registrerede om, at vedkommendes rettigheder er blevet begrænset, om årsagerne til begrænsningen og om de tilgængelige klagemuligheder, medmindre det vil undergrave begrundelsen for at anvende begrænsningen, hvis denne oplysning blev meddelt (131). Som en yderligere garanti mod misbrug af begrænsninger skal den dataansvarlige registrere årsagerne til begrænsningen af oplysninger og efter anmodning stille registreringen til rådighed for Information Commissioner (132).

(71)

Hvis den dataansvarlige nægter at give yderligere oplysninger om gennemsigtighed eller indsigt eller afviser en anmodning om berigtigelse, sletning eller begrænsning af behandling, kan den pågældende anmode Information Commissioner om at undersøge, om den dataansvarlige har anvendt begrænsningen på lovlig vis (133). Den berørte person kan også indgive en klage til Information Commissioner eller anmode en domstol om at pålægge den dataansvarlige at efterkomme anmodningen (134).

(72)

Section 49 og 50 i DPA 2018 dækker henholdsvis rettighederne i forbindelse med automatiske afgørelser og de garantier, der skal anvendes (135). I lighed med artikel 11 i direktiv (EU) 2016/680 kan den dataansvarlige kun træffe en væsentlig afgørelse, der alene er baseret på automatisk behandling af personoplysninger, hvis det kræves eller er tilladt ved lov (136). En afgørelse er væsentlig, hvis den vil få en negativ retsvirkning for den registrerede eller i væsentlig grad påvirke den registrerede (137).

(73)

Hvis den dataansvarlige ved lov er forpligtet eller bemyndiget til at træffe en væsentlig afgørelse, fastsætter Section 50 i DPA 2018 de garantier, der gælder for en sådan afgørelse (der defineres som en »kvalificeret væsentlig afgørelse«). Så snart det er praktisk muligt, underretter den dataansvarlige den registrerede om, at der er truffet en sådan afgørelse. Den registrerede kan derefter inden for en måned anmode den dataansvarlige om at tage afgørelsen op til fornyet overvejelse eller træffe en ny afgørelse, der ikke udelukkende er baseret på automatisk behandling. Den dataansvarlige skal behandle anmodningen og underrette den registrerede om resultatet af denne overvejelse. DPA 2018 giver Secretary of State beføjelse til at vedtage bestemmelser om yderligere beskyttelsesforanstaltninger (138). Der er endnu ikke vedtaget sådanne bestemmelser.

(74)

Beskyttelsesniveauet for personoplysninger, der overføres fra en retshåndhævende myndighed i en medlemsstat til en retshåndhævende myndighed i Det Forenede Kongerige, må ikke undermineres af videreoverførslen af sådanne oplysninger til modtagere i et tredjeland. Sådanne »videreoverførsler«, som set fra en britisk retshåndhævelsesmyndigheds synspunkt udgør internationale overførsler fra Det Forenede Kongerige, bør kun tillades, hvis den efterfølgende modtager uden for Det Forenede Kongerige selv er underlagt regler, der sikrer et beskyttelsesniveau svarende til det, som sikres i Det Forenede Kongeriges retsorden.

(75)

Det Forenede Kongeriges ordning om internationale overførsler er reguleret i Chapter 5, Part 3 i DPA 2018 (139) og afspejler tilgangen i kapitel V i direktiv (EU) 2016/680. For at overføre personoplysninger til et tredjeland skal en kompetent myndighed navnlig opfylde tre betingelser: a) overførslen skal være nødvendig med henblik på retshåndhævelse, b) overførslen skal baseres på: i) en bestemmelse om beskyttelsesniveauets tilstrækkelighed i forhold til tredjelandet, ii) hvis den ikke er baseret på en bestemmelse om beskyttelsesniveauets tilstrækkelighed, tilstedeværelsen af passende garantier, eller iii) hvis den ikke er baseret på en afgørelse om beskyttelsesniveauets tilstrækkelighed eller de fornødne garantier, skal den være baseret på særlige omstændigheder, og c) modtageren af overførslen skal være: i) en relevant myndighed (dvs. svarende til en kompetent myndighed) i tredjelandet, ii) en »relevant international organisation«, f.eks. et internationalt organ, der varetager funktioner svarende til et hvilket som helst retshåndhævelsesformål eller iii) en anden person end en relevant myndighed, men kun hvis overførslen er strengt nødvendig for at opfylde et af retshåndhævelsesformålene, der ikke er nogen grundlæggende rettigheder og frihedsrettigheder for den pågældende registrerede, som vejer tungere end de samfundsinteresser, der nødvendiggør overførslen, en overførsel af personoplysninger til en relevant myndighed i tredjelandet ville være ineffektiv eller uhensigtsmæssig og modtageren underrettes om de formål, hvortil oplysningerne kan behandles (140).

(76)

Regler om beskyttelsesniveauets tilstrækkelighed med hensyn til et tredjeland, et område eller en sektor i et tredjeland, en international organisation eller en beskrivelse (141) af et sådant land, område, sektor eller organisation fastlægges af Secretary of State. Med hensyn til den standard, der skal opfyldes, skal Secretary of State vurdere, om et sådant område/en sådan sektor/organisation sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger. I Section 74A(4) i DPA 2018 præciseres det, at Secretary of State med henblik herpå skal tage hensyn til en række elementer, der afspejler dem, der er anført i artikel 36 i direktiv 2016/680/EU (142). I denne henseende har Part 3 i DPA 2018 siden overgangsperiodens udløb været »afledt national EU-lovgivning«, der som forklaret vil blive fortolket af de britiske domstole i overensstemmelse med relevant retspraksis fra EU-Domstolen, som ligger forud for Det Forenede Kongeriges udtræden af Unionen, og de generelle principper i EU-retten, som de havde virkning umiddelbart inden overgangsperiodens udløb. Dette omfatter standarden for »væsentlig ækvivalens«, som således vil finde anvendelse på de vurderinger af tilstrækkeligheden, der foretages af de britiske myndigheder.

(77)

Med hensyn til proceduren er bestemmelserne underlagt de »generelle« procedurekrav, der er fastsat i Section 182 i DPA 2018. I henhold til denne procedure skal Secretary of State rådføre sig med Information Commissioner, når han fremsætter forslag til udarbejdelse af fremtidige britiske bestemmelser om tilstrækkeligheden af beskyttelsesniveauet (143). Når disse bestemmelser er fastlagt af Secretary of State, forelægges de for parlamentet og er underlagt den »negative beslutningsprocedure«, i henhold til hvilken begge kamre i parlamentet kan gennemgå bestemmelserne og har mulighed for at vedtage et forslag om annullering af bestemmelserne inden for en frist på 40 dage (144).

(78)

I henhold til Section 74B(1) i DPA 2018 skal tilstrækkelighedsbestemmelserne revideres med højst fire års mellemrum, og Secretary of State skal løbende overvåge udviklingen i tredjelande og internationale organisationer, der kan påvirke beslutninger om at fastsætte bestemmelser om tilstrækkeligheden af beskyttelsesniveauet eller om at ændre eller ophæve sådanne bestemmelser. Hvis Secretary of State bliver opmærksom på, at et givet land eller en organisation ikke længere sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, skal han i det omfang, det er nødvendigt, ændre eller ophæve bestemmelserne og indlede drøftelser med det pågældende tredjeland eller den pågældende internationale organisation for at afhjælpe manglen på et tilstrækkeligt beskyttelsesniveau.

(79)

I lighed med, hvad der er fastsat i artikel 37 i direktiv (EU) 2016/680, vil det i mangel af bestemmelser om tilstrækkeligheden af beskyttelsesniveauet være muligt at overføre personoplysninger inden for rammerne af retshåndhævelsessektoren, når der er indført passende sikkerhedsforanstaltninger. Sådanne sikkerhedsforanstaltninger sikres ved hjælp af enten a) et retligt bindende instrument, der indeholder de fornødne garantier for beskyttelse af personoplysninger, eller b) en vurdering foretaget af den dataansvarlige, som efter at have vurderet alle omstændighederne i forbindelse med videregivelsen konkluderer, at der foreligger de fornødne sikkerhedsforanstaltninger til at beskytte oplysningerne (145). Når overførsler er baseret på passende sikkerhedsforanstaltninger, fastsættes det i DPA 2018 desuden, at de kompetente myndigheder ud over ICO's normale tilsynsrolle skal fremlægge specifikke oplysninger om overførslerne til ICO (146).

(80)

Hvis en overførsel ikke er baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller de fornødne sikkerhedsforanstaltninger, kan den kun finde sted under visse, nærmere angivne omstændigheder, benævnt »særlige omstændigheder« (147). Dette er tilfældet, når overførslen er nødvendig: a) for at beskytte den registreredes eller en anden persons vitale interesser, b) for at beskytte den registreredes legitime interesser, c) for at forebygge en umiddelbar og alvorlig trussel mod et tredjelands offentlige sikkerhed, d) i individuelle sager til et hvilket som helst retshåndhævelsesformål eller e) for at opnå et retligt formål i individuelle sager (f.eks. i forbindelse med retssager eller for at indhente juridisk rådgivning) (148). Det skal bemærkes, at litra d) og e) ikke finder anvendelse, hvis den registreredes rettigheder og frihedsrettigheder går forud for samfundets interesse i overførslen (149). Disse omstændigheder svarer til de særlige situationer og betingelser, der kan betegnes som »undtagelser« i henhold til artikel 38 i direktiv (EU) 2016/680.

(81)

Under disse omstændigheder skal dato, klokkeslæt og begrundelse for overførslen, navnet på og alle andre relevante oplysninger om modtageren samt en beskrivelse af de overførte personoplysninger dokumenteres og på anmodning udleveres til Information Commissioner (150).

(82)

I Section 78 i DPA 2018 reguleres scenariet med »efterfølgende overførsler«, dvs. når personoplysninger, der er blevet overført fra Det Forenede Kongerige til et tredjeland, efterfølgende overføres til et andet tredjeland eller en international organisation. I overensstemmelse med Section 78) 1) skal den overførende dataansvarlige stille som betingelse, at oplysningerne ikke må videregives til et tredjeland uden den overførende dataansvarliges tilladelse. I overensstemmelse med Section 78(3) og svarende til bestemmelserne i artikel 35, stk. 1, litra e) i direktiv (EU) 2016/680 finder en række omfattende krav anvendelse, hvis en sådan tilladelse er påkrævet. Mere specifikt skal en kompetent myndighed, når den træffer afgørelse om, hvorvidt overførslen skal godkendes eller ej, sikre sig, at den videre overførsel er nødvendig til retshåndhævelsesformål, og bl.a. tage hensyn til a) alvoren af de omstændigheder, der førte til anmodningen om tilladelse, b) det formål, hvortil personoplysningerne oprindeligt blev overført, og c) de standarder for beskyttelse af personoplysninger, der gælder i det tredjeland eller den internationale organisation, som personoplysningerne overføres til.

(83)

Hvis de oplysninger, der overføres videre fra Det Forenede Kongerige, oprindeligt blev overført fra EU, finder yderligere beskyttelsesforanstaltninger anvendelse.

(84)

For det første fastsættes det i Section 73(1)(b) i DPA ) 2016/2018 — på samme måde som i artikel 35, stk. 1, litra c) i direktiv (EU) 2016/680 — at i tilfælde, hvor personoplysningerne oprindeligt blev videregivet eller på anden måde stillet til rådighed for den dataansvarlige eller en anden kompetent myndighed af en medlemsstat, skal den pågældende medlemsstat eller enhver person, der er etableret i den pågældende medlemsstat, og som er en kompetent myndighed i henhold til direktiv (EU) 2016/680, have givet tilladelse til videregivelsen i overensstemmelse med medlemsstatens lovgivning.

(85)

I lighed med artikel 35, stk. 2, i direktiv (EU) 2016/680 kræves der imidlertid ikke en sådan tilladelse, hvis a) overførslen er nødvendig for at forebygge en umiddelbar og alvorlig trussel mod enten en medlemsstats eller et tredjelands offentlige sikkerhed eller mod en medlemsstats væsentlige interesser, og b) godkendelsen ikke kan opnås i tide. I så fald skal den myndighed i medlemsstaten, som ville have været ansvarlig for at beslutte, om der skal gives tilladelse til overførslen, straks underrettes (151).

(86)

For det andet finder samme tilgang anvendelse, hvis oplysninger, som oprindeligt blev overført fra EU til Det Forenede Kongerige, overføres videre fra Det Forenede Kongerige til et tredjeland, som efterfølgende overfører dem videre til et tredjeland. I medfør af Section 78(4) kan Det Forenede Kongeriges myndighed i så fald ikke give sin tilladelse til sidstnævnte overførsel under Section 78(1), medmindre »den medlemsstat [som oprindeligt overførte de pågældende oplysninger], eller en person med hjemsted i den pågældende medlemsstat, som er en kompetent myndighed i overensstemmelse med retshåndhævelsesdirektivet, har givet tilladelse til overførslen i overensstemmelse med lovgivningen i denne medlemsstat«. Disse beskyttelsesforanstaltninger er vigtige, fordi de gør det muligt for medlemsstaternes myndigheder at sikre kontinuitet i beskyttelsen i overensstemmelse med EU's databeskyttelseslov i hele »overførselskæden«.

(87)

Denne nye ramme for internationale overførsler trådte i kraft ved overgangsperiodens udløb (152). Paragraph 10-12 i Schedule 21 (indført ved DPPC Regulations) fastsætter imidlertid, at visse overførsler af personoplysninger fra overgangsperiodens udløb behandles, som om de er baseret på bestemmelser om tilstrækkelighed. Disse overførsler omfatter overførsler til en medlemsstat, en EFTA-stat, et tredjeland, der er omfattet af en EU-afgørelse om tilstrækkeligheden af beskyttelsesniveauet ved overgangsperiodens udløb, og Gibraltar. Overførslerne til disse lande kan derfor fortsætte som før Det Forenede Kongeriges udtræden af Unionen. Efter overgangsperiodens udløb skal Secretary of State foretage en gennemgang af disse konklusioner om tilstrækkeligheden i en periode på fire år, dvs. inden udgangen af december 2024. Selv om ministeriet skal foretage denne gennemgang inden udgangen af december 2024, indeholder overgangsbestemmelserne ifølge de britiske myndigheder ikke en »udløbsklausul«, og de relevante overgangsbestemmelser vil ikke automatisk ophøre med at have virkning, hvis en gennemgang ikke er afsluttet ved udgangen af december 2024.

(88)

I henhold til ansvarlighedsprincippet skal offentlige myndigheder, der behandler data, indføre passende tekniske og organisatoriske foranstaltninger for effektivt at opfylde deres databeskyttelsesforpligtelser og kunne påvise en sådan overholdelse, navnlig over for den kompetente tilsynsmyndighed.

(89)

Dette princip afspejles i Section 56 i DPA 2018, som indfører en generel ansvarlighedsforpligtelse for den dataansvarlige, dvs. en forpligtelse til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og være i stand til at påvise, at behandlingen af personoplysninger er i overensstemmelse med kravene i Part 3 i DPA 2018. De gennemførte foranstaltninger skal revideres og ajourføres, hvor det er nødvendigt, og, hvis det står i rimeligt forhold til behandlingen, omfatte passende databeskyttelsespolitikker.

(90)

I overensstemmelse med kapitel IV i direktiv (EU) 2016/680 indeholder Section 55-71 i DPA 2018 forskellige mekanismer til at sikre ansvarlighed og give dataansvarlige og databehandlere mulighed for at påvise overensstemmelse. Dataansvarlige skal navnlig gennemføre databeskyttelsesforanstaltninger gennem design og gennem standardindstillinger, dvs. sikre, at databeskyttelsesprincipperne gennemføres effektivt, og de skal føre registre over alle kategorier af behandlingsaktiviteter, som den dataansvarlige er ansvarlig for (herunder oplysninger om den dataansvarliges identitet, kontaktoplysninger for databeskyttelsesrådgiver, formålene med behandlingen, kategorierne af modtagere af oplysninger og en beskrivelse af kategorierne af registrerede og personoplysninger), og efter anmodning stille disse registre til rådighed for Information Commissioner. Den dataansvarlige og databehandleren skal også føre logfiler for visse behandlingsaktiviteter og stille dem til rådighed for Information Commissioner (153). Dataansvarlige skal også specifikt samarbejde med Information Commissioner om udførelsen af dennes opgaver.

(91)

DPA 2018 fastsætter også yderligere krav til behandling, som sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Disse omfatter en forpligtelse til at foretage konsekvensanalyser vedrørende databeskyttelse og til at rådføre sig med Information Commissioner forud for behandlingen, hvis en sådan vurdering viser, at behandlingen vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder (hvis der ikke træffes foranstaltninger til at mindske risikoen).

(92)

Dataansvarlige skal endvidere udpege en databeskyttelsesrådgiver, medmindre den dataansvarlige er en domstol eller en anden judiciel myndighed, der handler i sin judicielle egenskab (154). Den dataansvarlige skal sikre, at den databeskyttelsesansvarlige er involveret i alle spørgsmål vedrørende beskyttelse af personoplysninger, har de nødvendige ressourcer og adgang til personoplysninger og behandlingsaktiviteter og kan udføre sine opgaver uafhængigt. Den databeskyttelsesansvarliges opgaver er beskrevet i Section 71 i DPA 2018, herunder information og rådgivning, overvågning af overholdelsen samt samarbejde med og varetagelse af funktionen som kontaktpunkt for Information Commissioner. Den databeskyttelsesansvarlige skal ved udførelsen af sine opgaver tage hensyn til de risici, der er forbundet med behandlingsaktiviteter, under hensyntagen til behandlingens art, omfang, kontekst og formål.

(93)

For at garantere, at der også i praksis sikres et tilstrækkeligt databeskyttelsesniveau, skal der oprettes en uafhængig tilsynsmyndighed, der har beføjelser til at overvåge og håndhæve overholdelsen af databeskyttelsesreglerne. Denne myndighed skal handle fuldstændig uafhængigt og upartisk ved udførelsen af sine opgaver og udøvelsen af sine beføjelser.

(94)

I Det Forenede Kongerige varetages tilsynet med og håndhævelsen af UK GDPR og DPA 2018 af Information Commissioner (155). Information Commissioner fører også kontrol med de kompetente myndigheders behandling af personoplysninger, der er omfattet af Part 3 i DPA 2018 (156). Information Commissioner er en »Corporation Sole«: en særskilt juridisk enhed, der består af en enkelt person. Information Commissioner bistås i sit arbejde af et kontor. Den 31. marts 2020 havde Information Commissioner's kontor 768 fastansatte medarbejdere (157). Information Commissioner er underlagt Department for Digital, Culture, Media and Sport (158).

(95)

Information Commissioners uafhængighed er udtrykkeligt fastsat i artikel 52 i UK GDPR, som afspejler kravene i artikel 52, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (159). Information Commissioner skal handle helt uafhængigt i forbindelse med varetagelsen af sine opgaver og udøvelsen af sine beføjelser i overensstemmelse med UK GDPR, være fri for udefrakommende indflydelse, hvad enten den er direkte eller indirekte, i forbindelse med disse opgaver og beføjelser og hverken søge eller modtage instrukser fra nogen. Information Commissioner skal også afholde sig fra enhver handling, der er uforenelig med hans eller hendes hverv, og vedkommende må under udøvelsen af sit hverv ikke udøve nogen form for lønnet eller ulønnet uforenelig beskæftigelse.

(96)

Betingelserne for udpegelse og afskedigelse af Information Commissioner er fastsat i Schedule 12 til DPA 2018. Information Commissioner udnævnes af dronningen efter indstilling fra regeringen efter en fair og åben udvælgelsesprøve. Ansøgeren skal have relevante kvalifikationer, færdigheder og kompetencer. I overensstemmelse med reglerne om offentlige udnævnelser (Governance Code on Public Appointments) (160) udarbejder et rådgivende vurderingsudvalg en liste over kandidater, der kan udnævnes. Inden Secretary of State for Digital, Culture, Media and Sport træffer sin endelige afgørelse, skal det relevante særlige udvalg i parlamentet foretage en kontrol forud for udnævnelsen. Udvalgets holdning offentliggøres (161).

(97)

Information Commissioner har en mandatperiode på op til syv år. Dronningen kan afskedige Information Commissioner på forslag fra begge parlamentets kamre. (162) En anmodning om afskedigelse af Information Commissioner kan ikke indgives til nogen af parlamentets kamre, medmindre en minister har forelagt det pågældende kammer en rapport, hvoraf det fremgår, at han eller hun finder det godtgjort, at Information Commissioner har begået en alvorlig forseelse, og/eller at Information Commissioner ikke længere opfylder de nødvendige betingelser for at varetage sine opgaver som Information Commissioner (163).

(98)

Finansieringen af Information Commissioner kommer fra tre kilder: i) gebyrer for databeskyttelse betalt af dataansvarlige, som er fastsat i en ministeriel bekendtgørelse (164), og som udgør 85-90 % af kontorets årlige budget (165), ii) tilskud, som regeringen kan udbetale til Information Commissioner, og som hovedsagelig anvendes til at finansiere Information Commissioners driftsomkostninger i forbindelse med opgaver, der ikke vedrører databeskyttelse (166), og iii) gebyrer for tjenesteydelser (167). På nuværende tidspunkt opkræves der ikke sådanne gebyrer.

(99)

Information Commissioners generelle opgaver i forbindelse med behandling af personoplysninger, der er omfattet af Part 3 i DPA 2018, er fastlagt i Schedule 13 til DPA 2018. Opgaverne omfatter overvågning og håndhævelse af Part 3 i DPA 2018, styrkelse af offentlighedens bevidsthed, rådgivning af parlamentet, regeringen og andre institutioner om lovgivningsmæssige og administrative foranstaltninger, fremme af de dataansvarliges og databehandlernes kendskab til deres forpligtelser, underretning af registrerede om udøvelsen af registreredes rettigheder og gennemførelse af undersøgelser. For at bevare retsvæsenets uafhængighed har Information Commissioner ikke bemyndigelse til at udøve sine funktioner i forbindelse med behandling af personoplysninger foretaget af en person, der handler i en judiciel egenskab, eller en ret eller en domstol, der handler i sin judicielle egenskab. Tilsynet med retsvæsenet varetages imidlertid af specialiserede organer, jf. nedenfor.

(100)

Information Commissioner har generelle undersøgelses-, korrektions-, godkendelses- og rådgivningsbeføjelser i forbindelse med behandling af personoplysninger, som Part 3 i DPA 2018 finder anvendelse på. Information Commissioner har beføjelse til at underrette den dataansvarlige eller databehandleren om en påstået overtrædelse af Part 3, til at udstede advarsler til en dataansvarlig eller databehandler om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med bestemmelserne i Part 3, og til at udstede irettesættelser til en dataansvarlig eller databehandler, hvis behandlingsaktiviteter har overtrådt bestemmelserne i Part 3. Desuden kan Information Commissioner på eget initiativ eller efter anmodning afgive udtalelser til Det Forenede Kongeriges parlament, regeringen eller andre institutioner og organer samt offentligheden om ethvert spørgsmål vedrørende beskyttelse af personoplysninger (168).

(101)

Desuden har Information Commissioner beføjelser til at:

(102)

ICO's Regulatory Action Policy fastsætter de omstændigheder, hvorunder Information Commissioner vil udstede henholdsvis en information, assessment, enforcement og penalty notice (173). Enforcement notice kan indeholde krav, som Information Commissioner finder hensigtsmæssige med henblik på at afhjælpe den manglende overholdelse. Penalty notice pålægger den pågældende at betale et beløb, der er angivet i afgørelsen, til Information Commissioner. Der kan udstedes en penalty notice, hvis visse bestemmelser i DPA 2018 (174) er blevet overtrådt, eller den kan rettes til en en dataansvarlig eller en databehandler der ikke har efterkommet en information notice, en assessment notice eller en enforcement notice.

(103)

Mere specifikt skal Information Commissioner ved afgørelsen af, om der skal udstedes en penalty notice til en dataansvarlig eller en databehandler, og fastsættelsen af bødens størrelse, tage hensyn til de forhold, der er anført i Section 155(3) i DPA 2018, herunder arten og alvoren af den manglende overholdelse, den forsætlige eller uagtsomme karakter af den manglende overholdelse, enhver foranstaltning, som den dataansvarlige eller databehandleren har truffet for at begrænse den skade, som de registrerede har lidt, omfanget af den dataansvarliges eller databehandlerens ansvar (under hensyntagen til de tekniske og organisatoriske foranstaltninger, som den dataansvarlige eller databehandleren har gennemført), eventuelle relevante tidligere fejl fra den dataansvarliges eller databehandlerens side, de kategorier af personoplysninger, der berøres af den manglende overholdelse, og hvorvidt sanktionen vil være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

(104)

Maksimumsbeløbet for den sanktion, der kan pålægges ved en penalty notice, er a) 17 500 000 GBP for manglende overholdelse af databeskyttelsesprincipperne (Section 35, 36, 37, 38(1), 39(1) og 40 i DPA 2018), gennemsigtighedsforpligtelser og individuelle rettigheder (Section 44, 45, 46, 47, 48, 49 og 52 i DPA 53) og principper for internationale overførsler af personoplysninger (Section 73, 75, 76, 77 eller 77 i DPA 2018), og b) 8 700 000 GBP i øvrigt (175). For så vidt angår manglende efterkommelse af en information notice, en assessment notice eller en enforcement notice er maksimumsbeløbet for den sanktion, der kan pålægges ved en bødeafgørelse 17 500 000 GBP.

(105)

I henhold til sine seneste årsberetninger (2018-2019 (176), 2019-2020 (177)) har Information Commissioner gennemført en række undersøgelser i forbindelse med strafferetsretshåndhævende myndigheders behandling af personoplysninger. Information Commissioner gennemførte f.eks. en undersøgelse og offentliggjorde i oktober 2019 en udtalelse om brugen af ansigtsgenkendelsesteknologi på offentlige steder i forbindelse med retshåndhævelse. Undersøgelsen fokuserede især på brugen af live-ansigtsgenkendelse hos South Wales Police og Metropolitan Police Service (MPS). Desuden undersøgte Information Commissioner MPS's »Gangs matrix« (178) og konstaterede en række alvorlige overtrædelser af databeskyttelseslovgivningen, som sandsynligvis ville undergrave offentlighedens tillid til matricen og anvendelsen af dataene.

(106)

I november 2018 udstedte Information Commissioner en enforcement notice, og MPS tog efterfølgende de nødvendige skridt til at øge sikkerheden og ansvarligheden og sikre, at dataene blev anvendt forholdsmæssigt.

(107)

Et andet eksempel på en nylig håndhævelsesforanstaltning er den bøde på 325 000 GBP, som Information Commissioner udstedte i maj 2018 til Crown Prosecution Service for at have mistet ukrypterede DVD'er med optagelser af politiafhøringer. Desuden gennemførte Information Commissioner undersøgelser af bredere emner, f.eks. i første halvdel af 2020 om brugen af dataudtræk fra mobiltelefoner til politimæssige formål og politiets behandling af ofrenes data.

(108)

Ud over de håndhævelsesbeføjelser, som Information Commissioner har, udgør visse overtrædelser af databeskyttelseslovgivningen overtrædelser af straffeloven og kan derfor gøres til genstand for strafferetlige sanktioner (Section 196 i DPA 2018). Dette gælder f.eks. indsamling eller videregivelse af personoplysninger uden den dataansvarliges samtykke og videregivelse af personoplysninger til en anden person uden den dataansvarliges samtykke (179), genidentifikation af oplysninger, der er anonymiserede personoplysninger, uden samtykke fra den dataansvarlige, som er ansvarlig for anonymiseringen af personoplysningerne (180), forsætligt at hindre Information Commissioner i at udøve sine beføjelser i forbindelse med kontrol af personoplysninger i overensstemmelse med internationale forpligtelser (181), afgivelse af falske erklæringer i forbindelse med svar på en information notice eller tilintetgørelse af oplysninger i forbindelse med information og assessment notices (182).

(109)

I henhold til Section 139 i DPA 2018 har Information Commissioner også pligt til at forelægge hvert af parlamentets kamre en generel beretning om udøvelsen af sine funktioner i henhold til loven (183).

(110)

Domstolene og retsvæsenet fører dobbelt kontrol med behandlingen af personoplysninger. Hvis en indehaver af et judicielt embede eller en domstol ikke handler i en judiciel egenskab, sørger Information Commissioner for kontrollen. Hvis den dataansvarlige fungerer som retsmyndighed, kan ICO ikke udøve sine tilsynsfunktioner (184), og tilsynet udføres af særlige organer. Dette afspejler tilgangen i artikel 32 i direktiv (EU) 2016/680.

(111)

For så vidt angår det andet tilfælde vedrørende retterne i England og Wales og First Tier (ret i første instans) og Upper Tribunals (appeldomstole) i England og Wales udøves denne kontrol navnlig af Judicial Data Protection Panel (185). Desuden har Lord Chief Justice (retspræsidenten) og Senior President of Tribunals udstedt en »Privacy Notice« (meddelelse om beskyttelse af personoplysninger) (186) som beskriver, hvordan domstolene i England og Wales behandler personoplysninger i forbindelse med domstolsfunktioner. De nordirske (187) og skotske domstole (188) har udstedt en lignende meddelelse.

(112)

I Nordirland har Lord Chief Justice i Nordirland desuden udnævnt en dommer ved High Court til Data Supervisory Judge (datatilsynsdommer, DSJ) (189). De har også vejledt det nordirske retsvæsen om, hvad det skal gøre i tilfælde af tab eller potentielt tab af data, og om processen for håndtering af eventuelle problemer, der måtte opstå som følge heraf (190).

(113)

I Skotland har Lord President udpeget en tilsynsførende dommer til at undersøge eventuelle klager vedrørende databeskyttelse. Dette er fastsat i reglerne om retlige klager (judicial complaints), der afspejler reglerne for England og Wales (191).

(114)

Endelig udpeges der i Supreme Court en af Supreme Court Justices til at føre kontrol med databeskyttelsen.

(115)

Med henblik på at sikre tilstrækkelig beskyttelse og navnlig håndhævelse af individuelle rettigheder bør den registrerede have effektive muligheder for administrativ og retslig prøvelse, herunder skadeserstatning.

(116)

For det første har den registrerede ret til at indgive en klage til Information Commissioner, hvis den registrerede mener, at der i forbindelse med personoplysninger om vedkommende er sket en overtrædelse af Part 3 i DPA 2018 (192). Som beskrevet i betragtning (100) og (109) ovenfor har Information Commissioner beføjelse til at vurdere den dataansvarliges og databehandlerens overholdelse af DPA 2018, pålægge dem at træffe eller undlade at træffe bestemte foranstaltninger i tilfælde af manglende overholdelse og pålægge bøder.

(117)

For det andet giver DPA 2018 klageadgang over for Information Commissioner. Hvis Information Commissioner ikke »gør fremskridt« (193) med en klage indgivet af den registrerede, har klageren adgang til retsmidler, idet denne kan anmode First Tier Tribunal (194) om at pålægge Information Commissioner at træffe passende foranstaltninger til at reagere på klagen eller underrette klageren om forløbet af klagen (195). Desuden kan enhver person, der modtager en af ovennævnte notices (information, assessment, enforcement eller penalty notice) fra Information Commissioner, appellere til en First Tier Tribunal. Hvis First Tier Tribunal finder, at Information Commissioners afgørelse ikke er i overensstemmelse med loven, eller at Information Commissioner burde have udøvet sin skønsbeføjelse anderledes, skal retten tage appellen til følge eller erstatte den pågældende notice med en anden notice eller afgørelse, som Information Commissioner kunne have udstedt eller truffet (196).

(118)

For det tredje kan enkeltpersoner anlægge sag direkte mod dataansvarlige og databehandlere ved domstolene i henhold til Section 167 i DPA 2018. Hvis en domstol efter anmodning fra en registreret finder det godtgjort, at der er sket en krænkelse af den registreredes rettigheder i henhold til databeskyttelseslovgivningen, kan domstolen pålægge den dataansvarlige for så vidt angår behandlingen eller en databehandler, der handler på vegne af den dataansvarlige, at træffe de foranstaltninger, der er angivet i kendelsen, eller at undlade at træffe de foranstaltninger, der er angivet i kendelsen. I henhold til Section 169 i DPA 2018 har enhver, der lider skade som følge af en overtrædelse af et krav i databeskyttelseslovgivningen (herunder Part 3 i DPA 2018), ud over UK GDPR, desuden ret til erstatning fra den dataansvarlige eller databehandleren for denne skade, medmindre den dataansvarlige eller databehandleren godtgør, at den dataansvarlige eller databehandleren ikke på nogen måde er ansvarlig for den begivenhed, der forårsagede skaden. Skader omfatter både økonomiske tab og skader, der ikke indebærer økonomiske tab, såsom overlast.

(119)

For det fjerde kan enhver person, som mener, at vedkommendes rettigheder, herunder retten til privatlivets fred og databeskyttelse, er blevet krænket af offentlige myndigheder, indbringe sagen for domstolene i Det Forenede Kongerige i henhold til Human Rights Act 1998. De dataansvarlige i henhold til Part 3 i DPA 2018, dvs. de kompetente myndigheder, er altid offentlige myndigheder som omhandlet i Human Rights Act 1998. En person, der hævder, at en offentlig myndighed har handlet (eller agter at handle) på en måde, der er uforenelig med en konventionsrettighed og dermed ulovlig i henhold til Section 6(1) i Human Rights Act 1998, kan anlægge sag mod myndigheden ved den relevante domstol eller påberåbe sig de pågældende rettigheder i en retssag, når vedkommende er (eller ville være blevet) offer for den ulovlige handling (197).

(120)

Hvis retten fastslår, at en offentlig myndigheds handling er ulovlig, kan den inden for rammerne af sine beføjelser udstede den kendelse og give adgang til de retsmidler og den oprejsning, som den finder retfærdige og passende (198). Retten kan også erklære en primærretlig bestemmelse uforenelig med en rettighed, der er sikret ved EMRK.

(121)

Endelig kan en person efter at have udtømt de nationale retsmidler indbringe en klage for Den Europæiske Menneskerettighedsdomstol for krænkelser af de rettigheder, der er sikret i henhold til EMRK.

(122)

Det Forenede Kongeriges lovgivning tillader, at en retshåndhævende myndighed deler data med andre myndigheder til andre formål end dem, hvortil de oprindeligt blev indsamlet (såkaldt »videredeling«), på visse betingelser.

(123)

I lighed med hvad der er fastsat i artikel 4, stk. 2, i direktiv (EU) 2016/680, giver Section 36, stk. 3, i DPA 2018 mulighed for, at personoplysninger, der indsamles af en kompetent myndighed med henblik på retshåndhævelse, efterfølgende kan behandles (enten af den oprindelige dataansvarlige eller af en anden dataansvarlig) med henblik på ethvert andet retshåndhævelsesformål, forudsat at den dataansvarlige ved lov er bemyndiget til at behandle oplysninger til det andet formål, og at behandlingen er nødvendig og forholdsmæssig (199). I dette tilfælde finder alle de garantier, der er fastsat i Part 3 i DPA 2018 og analyseret ovenfor, anvendelse på den behandling, der foretages af den modtagende myndighed.

(124)

I Det Forenede Kongeriges retsorden tillader forskellige love udtrykkeligt videredeling. Navnlig giver i) Digital Economy Act 2017 (lov om den digitale økonomi) mulighed for deling mellem offentlige myndigheder til flere formål, f.eks. i tilfælde af svig mod den offentlige sektor, som ville medføre tab eller risiko for tab for offentlige myndigheder (200), eller i tilfælde af gæld til en offentlig myndighed eller Kronen (201), ii) Crime and Courts Act 2013 (lov om kriminalitet og domstole) tillader udveksling af oplysninger med National Crime Agency (NCA) (202) med henblik på at bekæmpe, efterforske og retsforfølge grov og organiseret kriminalitet, iii) Serious Crime Act 2007 (lov om grov kriminalitet) giver offentlige myndigheder mulighed for at videregive oplysninger til organisationer, der bekæmper svig, med henblik på at forebygge svig (203).

(125)

I disse love fastsættes det udtrykkeligt, at udvekslingen af oplysninger skal være i overensstemmelse med de regler, der er fastsat i DPA 2018. Desuden har College of Policing udstedt en vejledning i informationsudveksling, Authorised Professional Practice on Information Sharing (204), for at bistå politiet med at opfylde deres databeskyttelsesforpligtelser i henhold til UK GDPR, DPA og Human Rights Act 1998. Udvekslingens overensstemmelse med de gældende retlige rammer for databeskyttelse er naturligvis underlagt domstolskontrol (205).

(126)

I lighed med hvad der er fastsat i artikel 9 i direktiv (EU) 2016/680, fastsætter DPA 2018 desuden, at personoplysninger, der indsamles med henblik på retshåndhævelse, kan behandles med henblik på et formål, der ikke er et retshåndhævelsesformål, når behandlingen er tilladt ved lov (206). Denne type deling dækker to scenarier: 1) når en strafferetlig retshåndhævende myndighed deler oplysninger med en anden retshåndhævende myndighed end en efterretningsmyndighed (f.eks. en finans- eller skattemyndighed, en konkurrencemyndighed, ungdomsforsorgen), 2) når en strafferetlig retshåndhævende myndighed deler data med en efterretningstjeneste. I det første scenarie vil behandlingen af personoplysninger falde ind under anvendelsesområdet for UK GDPR og Part 2 i DPA 2018. Som anført i afgørelsen vedtaget i henhold til forordning (EU) 2016/679 sikrer de garantier, der er fastsat i UK GDPR og Part 2 i DPA 2018, et beskyttelsesniveau, der i det væsentlige svarer til det beskyttelsesniveau, som ydes i Unionen (207).

(127)

I det andet scenarie, for så vidt angår udveksling af data indsamlet af en strafferetlig retshåndhævende myndighed med en efterretningstjeneste af hensyn til statens sikkerhed, er retsgrundlaget for en sådan udveksling Counter Terrorism Act 2008 (lov om terrorbekæmpelse fra 2008, CTA 2008) (208). I henhold til CTA 2008 kan enhver person give oplysninger til en hvilken som helst efterretningstjeneste med henblik på varetagelse af en hvilken som helst af denne tjenestes funktioner, herunder »statens sikkerhed«.

(128)

Med hensyn til betingelserne for udveksling af oplysninger af hensyn til statens sikkerhed begrænser Intelligence Services Act og Security Services Act efterretningstjenesternes mulighed for at indhente data til, hvad der er nødvendigt for at udføre deres lovbestemte opgaver. De kompetente myndigheder, der er omfattet af Part 3 i DPA 2018, og som ønsker at dele data med efterretningstjenesterne, skal overveje en række faktorer/begrænsninger ud over de lovbestemte funktioner, der er fastsat i Intelligence Services Act og Security Services Act (209). Section 20 i CTA 2008 præciserer, at enhver datadeling i henhold til Section 19 i CTA 2008 stadig skal være i overensstemmelse med databeskyttelseslovgivningen Det betyder, at alle begrænsninger og krav i DPA 2018 finder anvendelse. Endvidere er de retshåndhævende myndigheder og efterretningstjenesterne offentlige myndigheder som omhandlet i Human Rights Act 1998 og skal således sikre, at de handler i overensstemmelse med de rettigheder, der er garanteret i henhold til EMRK, herunder dennes artikel 8. Med andre ord betyder disse krav, at al datadeling mellem retshåndhævende myndigheder og efterretningstjenester skal være i overensstemmelse med databeskyttelseslovgivningen og EMRK.

(129)

Efterretningstjenesternes behandling af personoplysninger, der er modtaget eller indhentet fra retshåndhævende myndigheder af hensyn til statens sikkerhed, er underlagt en række betingelser og garantier (210). Part 4 i DPA 2018 finder anvendelse på al behandling, der udføres af eller på vegne af efterretningstjenesterne. Den fastsætter de vigtigste databeskyttelsesprincipper (lovlighed, rimelighed og gennemsigtighed (211), formålsbegrænsning (212), dataminimering (213), nøjagtighed (214), opbevaringsbegrænsning (215) og -sikkerhed (216), fastsætter betingelser for behandlingen af særlige kategorier af oplysninger (217), fastsætter de registreredes rettigheder (218), kræver indbygget databeskyttelse (219) og regulerer international videreoverførsel af personoplysninger (220).

(130)

Samtidig indeholder Section 110 i DPA 2018 en undtagelse fra bestemte bestemmelser i Part 4 i DPA 2018, når en sådan undtagelse er nødvendig af hensyn til statens sikkerhed. I Section 110(2) i DPA 2018 opregnes de bestemmelser, som det er tilladt at gøre en undtagelse fra. Disse vedrører bl.a. databeskyttelsesprincipperne (bortset fra princippet om lovlighed), de registreredes rettigheder, forpligtelsen til at underrette Information Commissioner om et brud på datasikkerheden, Information Commissioner's undersøgelsesbeføjelser i overensstemmelse med internationale forpligtelser, visse af Information Commissioner's håndhævelsesbeføjelser, de bestemmelser, der gør visse overtrædelser af databeskyttelsesreglerne til en strafbar handling, og bestemmelserne vedrørende særlige formål med behandlingen, såsom journalistiske, akademiske eller kunstneriske formål. Denne undtagelse kan gøres gældende på grundlag af en vurdering af den konkrete sag (221). Som forklaret af de britiske myndigheder og bekræftet af retspraksis skal en »dataansvarlig overveje de faktiske konsekvenser for statens sikkerhed eller det nationale forsvar, hvis vedkommende skal overholde den særlige databeskyttelsesbestemmelse, og vurdere, om vedkommende med rimelighed kan overholde den sædvanlige regel uden at påvirke statens sikkerhed eller det nationale forsvar« (222). ICO fører tilsyn med, om undtagelser er blevet anvendt korrekt (223).

(131)

Hvad angår muligheden for at begrænse en hvilken som helst af ovennævnte rettigheder til beskyttelse af »statens sikkerhed«, fastsættes det endvidere i section 79 i DPA 2018, at en dataansvarlig kan anmode om et certifikat, der er underskrevet af en Cabinet Minister eller Attorney General, og som bekræfter, at en begrænsning af sådanne rettigheder til enhver tid er en nødvendig og forholdsmæssig foranstaltning til beskyttelse af statens sikkerhed (224). Den britiske regering har udstedt retningslinjer om nationale sikkerhedscertifikater i henhold til DPA 2018, som navnlig fremhæver, at enhver begrænsning af registreredes rettigheder med henblik på at beskytte statens sikkerhed skal være forholdsmæssig og nødvendig (225). Alle nationale sikkerhedscertifikater skal offentliggøres på ICO's websted (226).

(132)

Certifikatet bør have en fast gyldighedsperiode på højst fem år, så det regelmæssigt tages op til revision af den udøvende magt (227). Det enkelte certifikat skal angive de personoplysninger eller kategorier af personoplysninger, der er omfattet af undtagelsen, og de bestemmelser i DPA 2018, som undtagelsen finder anvendelse på (228).

(133)

Det er vigtigt at bemærke, at nationale sikkerhedscertifikater medfører en yderligere grund til at begrænse databeskyttelsesrettigheder af hensyn til den nationale sikkerhed. Med andre ord kan den dataansvarlige eller databehandleren kun basere sig på et certifikat, når de har konkluderet, at det er nødvendigt at påberåbe sig undtagelsen vedrørende statens sikkerhed, som skal anvendes fra sag til sag. Selv om et nationalt sikkerhedscertifikat finder anvendelse på den pågældende sag, kan ICO undersøge, om det i et konkret tilfælde var berettiget at påberåbe sig undtagelsen af hensyn til statens sikkerhed (229).

(134)

Enhver person, der berøres direkte af udstedelsen af certifikatet, kan appellere udstedelsen til Upper Tribunal (230), (231)eller, hvis certifikatet identificerer data ved brug af en generel beskrivelse, anfægte certifikatets anvendelse på specifikke data (232).

(135)

Upper Tribunal tager afgørelsen om at udstede et certifikat op til fornyet overvejelse og afgør, om der var rimelige grunde til at udstede certifikatet (233). Den kan tage stilling til en lang række spørgsmål om bl.a. nødvendighed, proportionalitet og lovlighed under hensyntagen til indvirkningen på de registreredes rettigheder og afvejningen af behovet for at beskytte statens sikkerhed. Som følge heraf kan den fastslå, at certifikatet ikke finder anvendelse på specifikke personoplysninger, der er genstand for klagen (234).

(136)

Der findes en anden gruppe af mulige begrænsninger, som i henhold til Schedule 11 til DPA 2018 finder anvendelse på visse bestemmelser i Part 4 i DPA 2018 (235) for at beskytte andre vigtige mål af almen interesse eller beskyttede interesser såsom f.eks. parlamentarisk privilegium, beskyttelse af fortroligheden mellem advokat og klient, gennemførelse af retslige procedurer og sikring af de væbnede styrkers kampeffektivitet. Anvendelsen af disse bestemmelser er enten undtaget for visse kategorier af oplysninger (»klassebaseret«) eller undtaget i det omfang, at anvendelsen sandsynligvis vil skade beskyttede interesser (»skadebaseret«) (236). Skadebaserede undtagelser kan kun påberåbes, for så vidt anvendelsen af den pågældende databeskyttelsesbestemmelse sandsynligvis vil skade den pågældende specifikke interesse. Anvendelsen af en undtagelse skal derfor altid begrundes med henvisning til den relevante skade, der sandsynligvis vil forekomme i det enkelte tilfælde. Klassebaserede undtagelser kan kun påberåbes i forbindelse med den specifikke, snævert definerede kategori af oplysninger, for hvilke undtagelsen indrømmes. Med hensyn til formål og virkning svarer disse til flere af undtagelserne fra UK GDPR (i henhold til Schedule 2 til DPA 2018), som igen afspejler undtagelserne i artikel 23 i GDPR.

(137)

Det følger af ovenstående, at der er indført begrænsninger og betingelser i henhold til de gældende britiske lovbestemmelser, som også fortolket af domstolene og Information Commission, for at sikre, at disse undtagelser og restriktioner holdes inden for grænserne af, hvad der er nødvendigt og rimeligt for at beskytte statens sikkerhed.

(138)

Den behandling af personoplysninger, der foretages af efterretningstjenesterne i henhold til Part 4 i DPA 2018, overvåges af Information Commissioner (237).

(139)

Information Commissioners generelle opgaver i forbindelse med efterretningstjenesternes behandling af personoplysninger i henhold til Part 4 i DPA 2018 er fastlagt i Schedule 13 til DPA 2018. Opgaverne omfatter, men er ikke begrænset til, navnlig overvågning og håndhævelse af Part 4 i DPA 2018, fremme af offentlighedens bevidsthed, rådgivning af parlamentet, regeringen og andre institutioner om lovgivningsmæssige og administrative foranstaltninger, fremme af dataansvarliges og databehandleres kendskab til deres forpligtelser, underretning af registrerede om udøvelsen af registreredes rettigheder og gennemførelse af undersøgelser.

(140)

Information Commissioner har ligesom for Part 3 i DPA 2018 beføjelse til at underrette de dataansvarlige om en formodet overtrædelse og udstede advarsler om, at en behandling sandsynligvis vil overtræde reglerne, og udstede irettesættelser, når overtrædelsen bekræftes. Denne kan også udstede enforcement og penalty notices for overtrædelser af visse bestemmelser i loven (238). I modsætning til for andre dele af DPA 2018 kan Information Commissioner imidlertid ikke udstede en assessment notice til et nationalt sikkerhedsagentur (239).

(141)

Desuden indeholder Section 110 i DPA 2018 en undtagelse fra anvendelsen af visse af Information Commissioners beføjelser, når dette er nødvendigt af hensyn til beskyttelsen af statens sikkerhed. Dette omfatter Information Commissioners beføjelse til at udstede (enhver form for) notices i henhold til DPA (information, assessment, enforcement og penalty notices), beføjelse til at foretage inspektioner i overensstemmelse med internationale forpligtelser, ransagnings- og inspektionsbeføjelser samt reglerne om lovovertrædelser (240). Som forklaret i betragtning (136) finder disse undtagelser kun anvendelse, hvis det er nødvendigt og forholdsmæssigt, og vurderes fra sag til sag. Anvendelsen af disse undtagelser kan underlægges domstolskontrol (241).

(142)

ICO og Det Forenede Kongeriges efterretningstjenester har undertegnet et aftalememorandum (242), der fastlægger en ramme for samarbejde om en række spørgsmål, herunder anmeldelser af brud på datasikkerheden og behandling af klager fra registrerede. Deri fastsættes navnlig, at ICO, når denne modtager en klage, vurderer, om en eventuel undtagelse som følge af statens sikkerhed er blevet anvendt korrekt. Svar på forespørgsler fra ICO i forbindelse med behandlingen af individuelle klager skal gives inden for 20 hverdage af den pågældende United Kingdom Government Guidance on National Security Certificates i henhold til Data Protection Act ved hjælp af passende sikre kanaler, hvis der er tale om klassificerede oplysninger. ICO har fra april 2018 til dato modtaget 21 klager over efterretningstjenesterne fra enkeltpersoner. Hver klage blev vurderet, og resultatet er meddelt den registrerede (243).

(143)

Desuden fører Intelligence and Security Committee (efterretnings- og sikkerhedsudvalget, ISC) parlamentarisk tilsyn med efterretningstjenesternes databehandling. Udvalget har sit retsgrundlag i Justice and Security Act 2013 (lov om retlige anliggender og sikkerhed, JSA 2013) (244). Ved loven oprettes ISC som et udvalg under Det Forenede Kongeriges parlament. ISC består af medlemmer, der tilhører parlamentets to kamre og udnævnes af premierministeren efter høring af oppositionslederen (245). ISC skal hvert år aflægge beretning til Parlamentet om udøvelsen af sine funktioner og andre rapporter, som det finder hensigtsmæssige (246).

(144)

Siden 2013 har ISC fået større beføjelser, herunder kontrol med sikkerhedstjenesternes operationelle aktiviteter. I henhold til Section 2 i JSA 2013 har ISC til opgave at føre kontrol med de nationale sikkerhedsagenturers udgifter, administration, politik og drift. JSA 2013 præciserer, at ISC kan foretage undersøgelser af operationelle spørgsmål, når de ikke vedrører igangværende operationer (247). I det Memorandum of Understanding, der er indgået mellem premierministeren og ISC (248), præciseres det nærmere, hvilke elementer der skal tages hensyn til, når det skal vurderes, hvorvidt en aktivitet ikke er en del af en igangværende operation (249). Premierministeren kan også anmode ISC om at undersøge igangværende operationer og gennemgå oplysninger, som agenturerne frivilligt fremlægger.

(145)

I henhold til Schedule 1 til JSA 2013 kan ISC anmode lederne af hver af de tre efterretningstjenester om at videregive alle oplysninger. Agenturet skal stille disse oplysninger til rådighed, medmindre Secretary of State nedlægger veto mod dette (250). De britiske myndigheder forklarede, at der i praksis kun tilbageholdes meget få oplysninger fra ISC (251).

(146)

Hvad angår klageadgang, kan en registreret i henhold til Section 165(2) i DPA 2018 indbringe en klage for ICO, hvis vedkommende mener, at der i forbindelse med personoplysninger om vedkommende er tale om en overtrædelse af Part 4 i DPA 2018, herunder misbrug af undtagelserne og begrænsningerne vedrørende statens sikkerhed.

(147)

I henhold til Part 4 i DPA 2018 har fysiske personer desuden ret til at anmode High Court (eller Court of Session i Skotland) om en kendelse, der pålægger den dataansvarlige at overholde retten til indsigt i oplysninger (252), at gøre indsigelse mod behandling (253) samt til berigtigelse eller sletning.

(148)

Fysiske personer har også ret til at kræve erstatning for den skade, de har lidt som følge af den dataansvarliges eller databehandlerens overtrædelse af et krav i Part 4 i DPA 2018 (254). Skader omfatter både økonomiske tab og skader, der ikke indebærer økonomiske tab, såsom overlast (255).

(149)

Endelig kan en person indgive en klage til Investigatory Powers Tribunal for enhver handling, der udføres af eller på vegne af Det Forenede Kongeriges efterretningstjenester (256). Investigatory Powers Tribunal (IPT) er oprettet ved Regulation of Investigatory Powers Act 2000 for England, Wales og Nordirland og Regulation of Investigatory Powers (Scotland) Act 2000 for Skotland (RIPA 2000) og er uafhængigt af den udøvende magt (257). I overensstemmelse med Section 65 i RIPA 2000 udnævnes medlemmerne af IPT af Kronen for en periode på fem år.

(150)

Et medlem af domstolen kan afskediges af Kronen efter et forslag (»Address«) (258) fra begge parlamentets kamre (259).

(151)

For at anlægge sag ved IPT (»standing requirement«, stående krav) skal en person i henhold til Section 65 i RIPA 2000 have en formodning om, i) at en efterretningstjeneste har udført aktiviteter vedrørende vedkommende, et hvilket som helst af dennes formuegoder, enhver kommunikation, der sendes af eller er bestemt for vedkommende, eller vedkommendes brug af en hvilken som helst posttjeneste, telekommunikationstjeneste eller telekommunikationssystem (260), og ii) at aktiviteten har fundet sted under »anfægtelige omstændigheder« (261) eller »er udført af eller på vegne af efterretningstjenesterne« (262). Da navnlig denne »formodnings«-standard er blevet fortolket ret bredt (263), er indbringelse af en sag for retten underlagt relativt lave krav til søgsmålskompetence.

(152)

Når Investigatory Powers Tribunal behandler en klage, som er indbragt for den, er det dens opgave at undersøge, om de personer, der er genstand for en påstand i klagen, har udført handlinger i forhold til klageren, og at undersøge, hvilken myndighed der angiveligt har begået overtrædelserne, og om de påståede handlinger har fundet sted (264). Når Investigatory Powers Tribunal behandler en sag, skal den anvende de samme principper for at træffe afgørelse i denne sag, som en domstol ville anvende i forbindelse med en anmodning om domstolsprøvelse (265).

(153)

Investigatory Powers Tribunal skal underrette klageren om, hvorvidt vedkommende har fået medhold eller ikke (266). I henhold til Section 67(6) og (7) i RIPA 2000 har Investigatory Powers Tribunal beføjelse til at udstede foreløbige kendelser og til at udstede enhver sådan tilkendelse af erstatning eller anden kendelse, som den finder passende (267). I henhold til Section 67A i RIPA 2000 kan Investigatory Powers Tribunals afgørelse appelleres med forbehold af dens egen eller den relevante appeldomstols tilladelse.

(154)

Enkeltpersoner kan navnlig indbringe et krav — og opnå erstatning — for IPT, hvis de mener, at en offentlig myndighed har handlet (eller agter at handle) på en måde, der er uforenelig med rettighederne i EMRK, herunder retten til privatlivets fred og databeskyttelse, og som derfor er ulovlig i henhold til Section 6(1) i Human Rights Act 1998. IPT har fået enekompetence i forbindelse med alle krav i henhold til Human Rights Act i forbindelse med efterretningstjenesterne. Dette betyder, som High Court har bemærket, at »hvorvidt der er sket en overtrædelse af HRA på grundlag af de faktiske omstændigheder i en bestemt sag, er noget, der i princippet kan rejses og afgøres af en uafhængig domstol, som kan få adgang til alt relevant materiale, herunder hemmeligt materiale. […] Vi skal i denne forbindelse også huske på, at IPT nu selv er omfattet af muligheden for appel til en passende appelret (i England og Wales ville dette være Court of Appeal), og at Supreme Court for nylig har afgjort, at IPT i princippet kan gøres til genstand for domstolsprøvelse: Se R (Privacy International) v Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219« (268). Hvis IPT fastslår, at en handling fra en offentlig myndighed er ulovlig, kan den træffe en sådan foranstaltning, anvende et sådant retsmiddel eller træffe en sådan afgørelse inden for rammerne af sine beføjelser, som den finder passende (269).

(155)

Når de nationale retsmidler er udtømt, kan en person indbringe sagen for Den Europæiske Menneskerettighedsdomstol med påstand om krænkelse af de rettigheder, der er garanteret i henhold til EMRK, herunder retten til privatlivets fred og databeskyttelse.

(156)

Det følger af ovenstående, at Det Forenede Kongeriges strafferetlige myndigheders deling af oplysninger, der overføres i henhold til denne afgørelse til andre offentlige myndigheder, herunder efterretningstjenester, er underlagt begrænsninger og betingelser, der sikrer, at en sådan videredeling skal være nødvendig og forholdsmæssig og underlagt specifikke databeskyttelsesgarantier i henhold til DPA 2018. Desuden overvåges de berørte offentlige myndigheders behandling af oplysninger af uafhængige organer, og berørte personer har adgang til effektive retsmidler.

(157)

Kommissionen mener, at Part 3 i DPA 2018 sikrer et beskyttelsesniveau for personoplysninger, der overføres med henblik på retshåndhævelse på det strafferetlige område fra kompetente myndigheder i Unionen til Det Forenede Kongeriges kompetente myndigheder, som i det væsentlige svarer til det, der er garanteret ved direktiv (EU) 2016/680.

(158)

Kommissionen finder desuden ud fra en samlet betragtning, at kontrolmekanismerne og domstolsadgangen i det Forenede Kongerige i praksis gør det muligt at identificere og sanktionere overtrædelser, og at de sikrer den registrerede retsmidler til at opnå adgang til personoplysninger, som vedrører den pågældende, og til efterfølgende at få sådanne oplysninger berigtiget eller slettet.

(159)

Endelig finder Kommissionen på grundlag af de tilgængelige oplysninger om Det Forenede Kongeriges retsorden, at ethvert indgreb i de grundlæggende rettigheder for de personer, hvis personoplysninger overføres fra Den Europæiske Union til Det Forenede Kongerige af Det Forenede Kongeriges offentlige myndigheder i almenhedens interesse, herunder i forbindelse med udveksling af personoplysninger mellem retshåndhævende myndigheder og andre offentlige myndigheder såsom nationale sikkerhedsorganer, vil være begrænset til, hvad der er strengt nødvendigt for at nå det pågældende legitime mål, og at der findes en effektiv retlig beskyttelse mod et sådant indgreb.

(160)

Det bør derfor besluttes, at Det Forenede Kongerige sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 36, stk. 2, i direktiv (EU) 2016/680, fortolket i lyset af chartret om grundlæggende rettigheder.

(161)

Denne konklusion er baseret på både den relevante nationale ordning i Det Forenede Kongerige og dets internationale forpligtelser, navnlig overholdelsen af den europæiske menneskerettighedskonvention og Den Europæiske Menneskerettighedsdomstols jurisdiktion. Fortsat overholdelse af sådanne internationale forpligtelser er derfor et særligt vigtigt element i den vurdering, som denne afgørelse er baseret på.

(162)

Medlemsstaterne og deres organer er forpligtet til at træffe de nødvendige foranstaltninger for at efterkomme EU-institutionernes retsakter, idet sidstnævnte formodes at være lovlige og derfor afføder retsvirkninger, indtil de udløber, trækkes tilbage, annulleres under et annullationssøgsmål eller erklæres ugyldige som følge af en præjudiciel forelæggelse eller en ulovlighedsindsigelse.

(163)

En afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet i medfør af artikel 36, stk. 3, i direktiv (EU) 2016/680 er således bindende for alle de organer i medlemsstaterne, som den er rettet til, herunder deres uafhængige tilsynsmyndigheder. I denne afgørelses gyldighedsperiode kan overførsler fra en dataansvarlig eller databehandler i Den Europæiske Union til dataansvarlige eller databehandlere i Det Forenede Kongerige finde sted uden yderligere godkendelse.

(164)

Det skal samtidig bemærkes, at i henhold til artikel 47, stk. 5, i direktiv (EU) 2016/680, og som Domstolen forklarede i Schrems-dommen, skal den nationale lovgivning, når en national databeskyttelsesmyndighed, herunder efter en klage, sætter spørgsmålstegn ved, om en afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet er forenelig med den enkeltes grundlæggende ret til privatlivets fred og databeskyttelse, giver den pågældende mulighed for at indbringe disse indsigelser for en national domstol, som kan være forpligtet til at forelægge Domstolen et præjudicielt spørgsmål (270).

(165)

I henhold til artikel 36, stk. 4, i direktiv (EU) 2016/680 skal Kommissionen løbende overvåge den relevante udvikling i Det Forenede Kongerige efter vedtagelsen af denne afgørelse for at vurdere, om den stadig sikrer et i det væsentlige tilsvarende beskyttelsesniveau. En sådan overvågning er særlig vigtig i dette tilfælde, da Det Forenede Kongerige vil forvalte, anvende og håndhæve en ny databeskyttelsesordning, der ikke længere er underlagt EU-retten, og som muligvis kan udvikle sig. I den henseende vil der blive lagt særlig vægt på anvendelsen i praksis af Det Forenede Kongeriges regler for overførsel af personoplysninger til tredjelande, herunder gennem indgåelse af internationale aftaler, og den indvirkning det kan få for beskyttelsesniveauet for de oplysninger, der overføres under denne afgørelse samt hvor effektivt individuelle rettigheder udøves på de områder, der er omfattet af afgørelsen. Blandt andre elementer vil Kommissionen kunne basere sin overvågning på oplysninger om udviklingen af sædvaneret samt ICO's og andre uafhængige organers tilsyn.

(166)

For at lette denne overvågning bør Det Forenede Kongeriges myndigheder øjeblikkeligt og regelmæssigt underrette Kommissionen om enhver væsentlig ændring af Det Forenede Kongeriges retsorden, der har indvirkning på den retlige ramme, der er genstand for denne afgørelse, samt enhver udvikling i praksis i forbindelse med behandling af personoplysninger, der vurderes i denne afgørelse, navnlig med hensyn til de elementer, der er anført i betragtning (165).

(167)

For at gøre det muligt for Kommissionen at udøve sin overvågningsfunktion effektivt bør medlemsstaterne desuden underrette Kommissionen om alle relevante foranstaltninger, der træffes af de nationale databeskyttelsesmyndigheder, navnlig vedrørende forespørgsler eller klager fra registrerede i EU vedrørende overførsel af personoplysninger fra Unionen til kompetente myndigheder Det Forenede Kongerige. Kommissionen bør også underrettes om eventuelle tegn på, at de foranstaltninger, der træffes af Det Forenede Kongeriges offentlige myndigheder med ansvar for forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger, herunder eventuelle tilsynsorganer, ikke sikrer det krævede beskyttelsesniveau.

(168)

Hvis tilgængelige oplysninger, navnlig oplysninger fra overvågningen af denne afgørelse eller fra Det Forenede Kongeriges eller medlemsstaternes myndigheder, viser, at det beskyttelsesniveau, som Det Forenede Kongerige yder, måske ikke længere er tilstrækkeligt, bør Kommissionen øjeblikkeligt underrette de kompetente britiske myndigheder herom og anmode om, at der træffes passende foranstaltninger inden for en nærmere fastsat tidsramme, der ikke må overstige tre måneder. Hvor det er nødvendigt, kan denne tidsramme forlænges med en nærmere fastsat periode, idet der tages hensyn til de pågældende forholds karakter og/eller de foranstaltninger, der skal træffes.

(169)

Hvis Det Forenede Kongeriges kompetente myndigheder ved udløbet af den fastsatte tidsramme ikke træffer disse foranstaltninger eller på anden måde på tilfredsstillende vis godtgør, at denne afgørelse fortsat er baseret på et passende beskyttelsesniveau, indleder Kommissionen proceduren i artikel 58, stk. 2, i direktiv (EU) 2016/680 med henblik på helt eller delvis at suspendere eller ophæve denne afgørelse.

(170)

Alternativt vil Kommissionen indlede denne procedure med henblik på at ændre afgørelsen, navnlig ved at underkaste dataoverførsler yderligere betingelser eller ved at begrænse omfanget af konstateringen af et tilstrækkeligt beskyttelsesniveau til kun at omfatte dataoverførsler, for hvilke der fortsat sikres et tilstrækkeligt beskyttelsesniveau.

(171)

I behørigt begrundede særligt hastende tilfælde vil Kommissionen gøre brug af muligheden for efter proceduren i artikel 58, stk. 3, i direktiv (EU) 2016/680 at vedtage gennemførelsesretsakter, der finder anvendelse straks, og som suspenderer, ophæver eller ændrer afgørelsen.

(172)

Det bør tages i betragtning, at Det Forenede Kongerige med udløbet af den overgangsperiode, der er fastsat i udtrædelsesaftalen, og så snart den midlertidige bestemmelse i artikel 782 i handels- og samarbejdsaftalen mellem EU og Det Forenede Kongerige ophører med at finde anvendelse, vil forvalte, anvende og håndhæve en ny databeskyttelsesordning, der kan sammenlignes med den, der var gældende, da landet var bundet af EU-retten. Dette kan navnlig indebære ændringer af den databeskyttelsesramme, der vurderes i denne afgørelse, samt andre relevante udviklinger.

(173)

Det bør derfor fastsættes, at denne afgørelse finder anvendelse i en periode på fire år fra dens ikrafttræden.

(174)

Hvis navnlig oplysninger som følge af overvågningen i henhold til denne afgørelse viser, at konklusionerne vedrørende tilstrækkeligheden af det beskyttelsesniveau, der sikres i Det Forenede Kongerige, stadig er faktuelt og retligt begrundede, bør Kommissionen senest seks måneder inden denne afgørelses ophør indlede proceduren for ændring af denne afgørelse ved i princippet at forlænge dens anvendelsesperiode med yderligere fire år. En sådan gennemførelsesretsakt om ændring af denne afgørelse skal vedtages efter proceduren i artikel 58, stk. 2, i direktiv (EU) 2016/680.

(175)

Det Europæiske Databeskyttelsesråd har offentliggjort sin udtalelse (271), som er blevet taget i betragtning ved udarbejdelsen af denne afgørelse.

(176)

Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelsen fra det udvalg, der er nedsat ved artikel 58 i direktiv (EU) 2016/680.

(177)

I medfør af artikel 6a i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til TEU og til TEUF, er Irland ikke bundet af reglerne i direktiv (EU) 2016/680 og dermed denne gennemførelsesafgørelse, der vedrører medlemsstaternes behandling af personoplysninger, når de udfører aktiviteter, som henhører under tredje del, afsnit V, kapitel 4 eller 5, i TEUF, hvor Irland ikke er bundet af de regler om formerne for retligt samarbejde, der er fastsat i artikel 16 i TEUF. I henhold til Rådets gennemførelsesafgørelse (EU) 2020/1745 (272) skal direktiv (EU) 2016/680 desuden iværksættes og anvendes midlertidigt i Irland fra den 1. januar 2021. Irland er derfor bundet af denne gennemførelsesafgørelse på de betingelser, der gælder for anvendelsen af direktiv (EU) 2016/680 i Irland, jf. gennemførelsesafgørelse (EU) 2020/1745, for så vidt angår de Schengenregler, som Irland deltager i.

(178)

I medfør af artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, er Danmark ikke bundet af reglerne i direktiv (EU) 2016/680 og dermed denne gennemførelsesafgørelse og er heller ikke omfattet af deres anvendelse i forbindelse med medlemsstaternes behandling af personoplysninger i forbindelse med aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5 i TEUF. Da direktiv (EU) 2016/680 imidlertid er baseret på Schengenreglerne, meddelte Danmark i overensstemmelse med artikel 4 i nævnte protokol den 26. oktober 2016 sin beslutning om at gennemføre direktiv (EU) 2016/680. Danmark er derfor i henhold til folkeretten forpligtet til at gennemføre denne gennemførelsesafgørelse.

(179)

For så vidt angår Island og Norge udgør denne gennemførelsesafgørelse en udvikling af bestemmelser i Schengenreglerne, jf. aftalen indgået mellem Rådet for Den Europæiske Union og Republikken Island og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (273).

(180)

For så vidt angår Schweiz udgør denne gennemførelsesafgørelse en udvikling af bestemmelser i Schengenreglerne, jf. aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (274).

(181)

For så vidt angår Liechtenstein udgør denne gennemførelsesafgørelse en udvikling af bestemmelser i Schengenreglerne, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om dette lands associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (275) —