(1)

I forordning (EU) 2016/679 fastsættes reglerne for overførsel af personoplysninger fra en dataansvarlig eller databehandler i Den Europæiske Union til tredjelande og internationale organisationer, i det omfang overførslen falder inden for forordningens anvendelsesområde. Reglerne om internationale overførsler af oplysninger er fastsat i kapitel V i nævnte forordning, dvs. i artikel 44-50. Strømmen af personoplysninger til og fra lande uden for Den Europæiske Union er afgørende for udvidelsen af det internationale samarbejde og den grænseoverskridende handel, men niveauet for beskyttelse af personoplysninger i Den Europæiske Union må ikke undermineres af overførsler til tredjelande (2).

(2)

I henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 kan Kommissionen ved hjælp af en gennemførelsesretsakt fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau. På denne betingelse kan overførsel af personoplysninger til et tredjeland finde sted uden yderligere godkendelse, jf. artikel 45, stk. 1, og betragtning 103 i nævnte forordning.

(3)

Som omhandlet i artikel 45, stk. 2, i forordning (EU) 2016/679 skal vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet finde sted på grundlag af en omfattende analyse af det pågældende tredjelands retsorden, både hvad angår de regler, der finder anvendelse på dataimportøren, og de begrænsninger og garantier, der gælder med hensyn til offentlige myndigheders adgang til personoplysninger. I sin vurdering skal Kommissionen fastslå, om det pågældende tredjeland sikrer et beskyttelsesniveau, som »i det væsentlige svarer« til det, der sikres i Den Europæiske Union (betragtning 104 i forordning (EU) 2016/679). Den standard, som dette væsentlighedskriterium vurderes på grundlag af, er den, der er fastsat i EU-lovgivningen, navnlig forordning (EU) 2016/679, samt Den Europæiske Unions Domstols retspraksis (3). Det Europæiske Databeskyttelsesråds reference vedrørende et tilstrækkeligt beskyttelsesniveau er også af betydning i denne henseende (4).

(4)

Som Den Europæiske Unions Domstol har præciseret, kræves der ikke et identisk beskyttelsesniveau (5). Det betyder navnlig, at de midler, som tredjelandet anvender til at beskytte personoplysninger, kan være forskellige fra de midler, som gennemføres inden for Den Europæiske Union, så længe de i praksis viser sig at være effektive med henblik på at sikre et tilstrækkeligt beskyttelsesniveau (6). Standarden for tilstrækkelighed er derfor ikke, at EU-reglerne duplikeres punkt for punkt. Testen består snarere i, om det pågældende udenlandske system som helhed sikrer det krævede beskyttelsesniveau gennem kerneindholdet i retten til databeskyttelse og den effektive gennemførelse, overvågning og håndhævelse heraf (7).

(5)

Kommissionen har gennemgået Det Forenede Kongeriges lovgivning og praksis omhyggeligt. På grundlag af konklusionerne i betragtning 8 til 270 konkluderer Kommissionen, at Det Forenede Kongerige sikrer tilstrækkelig beskyttelse af personoplysninger, som inden for rammerne af forordning (EU) 2016/679 overføres fra Den Europæiske Union til Det Forenede Kongerige.

(6)

Denne konklusion vedrører ikke personoplysninger, der videregives med henblik på indvandringskontrol i Det Forenede Kongerige, eller som på anden måde falder ind under anvendelsesområdet for undtagelsen fra visse registreredes rettigheder med henblik på opretholdelse af en effektiv indvandringskontrol (»den indvandringsrelaterede undtagelse«) i henhold til paragraph 4(1) i Schedule 2 til UK Data Protection Act. Gyldigheden og fortolkningen af den indvandringsrelaterede undtagelse i henhold til britisk ret er ikke fastlagt efter en afgørelse truffet af appelretten i England og Wales den 26. maj 2021. Selv om appeldomstolen anerkender, at registreredes rettigheder i princippet kan begrænses i forbindelse med indvandringskontrol af hensyn til vigtige samfundsinteresser, har den konkluderet, at den indvandringsrelaterede undtagelse i sin nuværende form er uforenelig med britisk ret, da den lovgivningsmæssige foranstaltning ikke er knyttet til specifikke bestemmelser, der fastsætter de garantier, der er anført i artikel 23, stk. 2, i Det Forenede Kongeriges generelle forordning om databeskyttelse (UK GDPR) (8). Under disse omstændigheder bør overførsel af personoplysninger fra Unionen til Det Forenede Kongerige som underlagt den indvandringsrelaterede undtagelse udelukkes fra denne afgørelses anvendelsesområde (9). Når uoverensstemmelsen med britisk ret er afhjulpet, bør den indvandringsrelaterede undtagelse tages op til fornyet vurdering, og det samme gælder behovet for at opretholde begrænsningen af denne afgørelses anvendelsesområde.

(7)

Denne afgørelse bør ikke berøre den direkte anvendelse af forordning (EU) 2016/679 på organisationer, der er etableret i Det Forenede Kongerige, hvis betingelserne vedrørende forordningens territoriale anvendelsesområde, jf. forordningens artikel 3, er opfyldt.

(8)

Det Forenede Kongerige er et parlamentarisk demokrati, der har en konstitutionel monark som statsoverhoved. Det har et suverænt parlament, som rangerer over alle andre statslige institutioner, en udøvende magt, der er udvalgt fra og ansvarlig over for parlamentet og et uafhængigt retsvæsen. Den udøvende magts myndighed bygger på tilliden til den i Underhuset, som er folkevalgt, og den er ansvarlig over for begge kamre i parlamentet, som har ansvaret for at kontrollere regeringen og drøfte og vedtage lovgivning.

(9)

Det Forenede Kongeriges parlament har givet det skotske parlament, det walisiske parlament (Senedd Cymru) og Nordirlands parlament ansvaret for lovgivning om nationale anliggender i henholdsvis Skotland, Wales og Nordirland, som Det Forenede Kongeriges parlament ikke har forbeholdt sig selv. Databeskyttelse er et forbeholdt anliggende, hvilket vil sige, at den samme lovgivning gælder i hele landet, mens andre politikområder af relevans for denne afgørelse er blevet overdraget. Eksempelvis er de strafferetlige systemer, herunder politiarbejdet, i Skotland og Nordirland blevet overdraget til henholdsvis det skotske parlament og Nordirlands forsamling. Det Forenede Kongerige har ikke en kodificeret forfatning i form af en grundfæstet retsakt om oprettelse. Der er med tiden opstået forfatningsmæssige principper, der navnlig er baseret på retspraksis og konventioner. Domstolene har anerkendt den forfatningsmæssige værdi, der ligger i visse love, såsom Magna Carta, Bill of Rights 1689 (lov om rettigheder) og Human Rights Act 1998 (lov om menneskerettigheder). Enkeltpersoners grundlæggende rettigheder er som en del af forfatningen blevet udviklet gennem sædvaneret, ovennævnte love og internationale traktater, navnlig den europæiske menneskerettighedskonvention (EMRK), som Det Forenede Kongerige ratificerede i 1951. I 1987 ratificerede Det Forenede Kongerige desuden Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (konvention 108) (10).

(10)

Med menneskerettighedsloven Human Rights Act 1998 blev rettighederne i den europæiske menneskerettighedskonvention indarbejdet i Det Forenede Kongeriges lovgivning. Loven indrømmer enhver person de grundlæggende rettigheder og friheder, der er fastsat i artikel 2-12 og artikel 14 i den europæiske menneskerettighedskonvention, i artikel 1, 2 og 3 i dens første protokol og i artikel 1 i dens trettende protokol, sammenholdt med konventionens artikel 16, 17 og 18. Disse rettigheder omfatter retten til respekt for privatliv og familieliv (og retten til databeskyttelse som en del af denne ret) samt retten til en retfærdig rettergang (11). I henhold til konventionens artikel 8 må en offentlig myndighed navnlig kun gribe ind i retten til privatlivets fred i overensstemmelse med loven, hvis det er nødvendigt i et demokratisk samfund af hensyn til statens sikkerhed, den offentlige sikkerhed eller landets økonomiske velfærd, for at forebygge uro eller forbrydelser, for at beskytte sundheden eller sædeligheden eller for at beskytte andres rettigheder og friheder.

(11)

I henhold til Human Rights Act 1998 skal enhver handling fra offentlige myndigheders side være forenelig med en konventionsrettighed (12). Desuden skal primær og underordnet lovgivning læses og gennemføres på en måde, der er forenelig med rettighederne i konventionen (13).

(12)

Det Forenede Kongerige udtrådte af Den Europæiske Union den 31. januar 2020. På grundlag af aftalen om Det Forenede Kongerige Storbritannien og Nordirlands udtræden af Den Europæiske Union og Det Europæiske Atomenergifællesskab (14) fandt EU-retten fortsat anvendelse i Det Forenede Kongerige i overgangsperioden frem til den 31. december 2020. Forud for udtrædelsen og i overgangsperioden bestod den lovgivningsmæssige ramme for beskyttelse af personoplysninger i Det Forenede Kongerige af den relevante EU-lovgivning (navnlig forordning (EU) 2016/679 og Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (15)) samt national lovgivning, navnlig Data Protection Act 2018 (DPA 2018) (16), som i det omfang, det var tilladt i henhold til forordning (EU) 2016/679, fastsatte nationale regler med præcisering og begrænsning af anvendelsen af bestemmelserne i forordning (EU) 2016/679 og gennemførte direktiv (EU) 2016/680.

(13)

Som forberedelse på Det Forenede Kongeriges udtræden af Den Europæiske Union har landets regering vedtaget European Union (Withdrawal) Act 2018 (17), som indarbejder umiddelbart gældende EU-ret i kongerigets lovgivning (18). Denne »bibeholdte EU-ret« omfatter forordning (EU) 2016/679 i sin helhed (herunder betragtningerne) (19). I overensstemmelse med denne retsakt skal domstolene i Det Forenede Kongerige fortolke den uændrede bibeholdte EU-ret i overensstemmelse med EU-Domstolens relevante retspraksis og de generelle principper i EU-retten, da de har virkning umiddelbart før overgangsperiodens udløb (henholdsvis »bibeholdt EU-retspraksis« og »bibeholdte generelle principper i EU-retten«) (20).

(14)

I henhold til European Union (Withdrawal) Act 2018 har Det Forenede Kongeriges ministre beføjelse til at indføre afledt ret gennem retsakter for at foretage de ændringer, der er nødvendige for at bibeholde EU-retten som følge af Det Forenede Kongeriges udtræden af Den Europæiske Union. De udøvede denne beføjelse ved at vedtage Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (bestemmelser om beskyttelse af data, personoplysninger og elektronisk kommunikation i forbindelse med udtræden af EU fra 2019) (DPPEC-bestemmelserne) (21). DPPEC-bestemmelserne ændrer forordning (EU) 2016/679 som introduceret i Det Forenede Kongeriges lovgivning gennem European Union (Withdrawal) Act 2018, databeskyttelsesloven (DPA 2018) og anden lovgivning om databeskyttelse af relevans for den indenlandske kontekst (22).

(15)

Efter overgangsperiodens udløb består de retlige rammer for beskyttelse af personoplysninger i Det Forenede Kongerige derfor af følgende:

(16)

Da UK GDPR er baseret på EU-ret, afspejler databeskyttelsesreglerne i Det Forenede Kongerige i mange henseender de tilsvarende regler, der gælder i Den Europæiske Union.

(17)

Ud over de beføjelser, der er tillagt Secretary of State ved European Union (Withdrawal) Act 2018, giver flere bestemmelser i DPA 2018 ministeriet beføjelse til at vedtage afledt ret med henblik på at ændre visse bestemmelser i loven eller fastsætte supplerende regler (25). Secretary of State har hidtil kun udøvet beføjelsen i henhold til Section 137 i DPA 2018 til at vedtage Data Protection (Charges and Information) (Amendment) Regulations 2019, som fastsætter de omstændigheder, hvorunder de dataansvarlige skal betale en årlig afgift til Det Forenede Kongeriges uafhængige databeskyttelsesmyndighed, Information Commissioner (ICO).

(18)

Endelig findes der yderligere vejledning om Det Forenede Kongeriges databeskyttelseslovgivning i de adfærdskodekser og andre retningslinjer, som Information Commissioner har vedtaget. Selv om denne vejledning rent formelt ikke er juridisk bindende, har den fortolkningsmæssig vægt, og den viser, hvordan databeskyttelseslovgivningen finder anvendelse og håndhæves af Information Commissioner i praksis. Navnlig gælder det, at Information Commissioner i henhold til Section 121 til 125 i DPA 2018 skal udarbejde adfærdskodekser for datadeling, direkte markedsføring, aldersmæssigt passende design samt databeskyttelse og journalistik.

(19)

Med hensyn til opbygning og hovedkomponenter svarer Det Forenede Kongeriges retlige ramme, der finder anvendelse på oplysninger, som overføres i henhold til denne afgørelse, således meget til den, der gælder i Den Europæiske Union. For eksempel er rammen ikke kun baseret på forpligtelser, der er fastsat i national ret, og som er formet af EU-retten, men også på forpligtelser, der er nedfældet i folkeretten, navnlig gennem Det Forenede Kongeriges tiltrædelse af EMRK og konvention 108. Desuden anerkendes Den Europæiske Menneskerettighedsdomstols kompetence. De nævnte forpligtelser, der følger af retligt bindende internationale instrumenter, navnlig vedrørende beskyttelse af personoplysninger, er derfor et særligt vigtigt element i de retlige rammer, der vurderes i denne afgørelse.

(20)

I lighed med forordning (EU) 2016/679 finder UK GDPR anvendelse på behandling af personoplysninger, der helt eller delvist foretages automatisk, eller på anden behandling, hvis personoplysningerne er en del af et register (26). Definitionerne af »personoplysninger«, »den registrerede« og »behandling« i UK GDPR er identiske med definitionerne i forordning (EU) 2016/679 (27). Desuden finder UK GDPR anvendelse på manuel behandling af ustrukturerede personoplysninger (28), som visse offentlige myndigheder i Det Forenede Kongerige er i besiddelse af (29), idet de principper og rettigheder i UK GDPR, der ikke er relevante for sådanne personoplysninger, ikke anvendes i henhold til Section 24 og 25 i DPA 2018. Ligesom det er fastsat i forordning (EU) 2016/679, finder UK GDPR ikke anvendelse på en persons behandling af personoplysninger i forbindelse med rent personlige eller familiemæssige aktiviteter (30).

(21)

UK GDPR's anvendelsesområde er blevet udvidet, så den også omfatter behandling i forbindelse med en aktivitet, der umiddelbart inden overgangsperiodens udløb faldt uden for EU-rettens anvendelsesområde (f.eks. national sikkerhed) (31), eller var omfattet af kapitel 2 i afsnit V i traktaten om Den Europæiske Union (aktiviteter under den fælles udenrigs- og sikkerhedspolitik) (32). Ligesom i Den Europæiske Unions system finder UK GDPR ikke anvendelse på en kompetent myndigheds behandling af personoplysninger med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed (de såkaldte »retshåndhævelsesformål«) — en sådan behandling er i stedet reguleret af Part 3 i DPA 2018, som det er tilfældet med direktiv (EU) 2016/680 i henhold til EU-retten — eller behandling af personoplysninger hos efterretningstjenesterne (Security Service (sikkerhedstjenesten), Secret Intelligence Service (efterretningstjenesten) og Government Communications Headquarters (det statslige kommunikationskontor)), som er omfattet af Part 4 i DPA 2018 (33).

(22)

UK GDPR's geografiske anvendelsesområde er beskrevet i artikel 3 i UK GDPR (34) og omfatter behandling af personoplysninger (uanset hvor den finder sted) i forbindelse med aktiviteter, der udføres af en dataansvarligs eller databehandlers virksomhed i Det Forenede Kongerige, samt behandling af personoplysninger om registrerede, der befinder sig i Det Forenede Kongerige, hvor behandlingsaktiviteterne vedrører udbud af varer eller tjenester til sådanne registrerede eller overvågning af deres adfærd (35). Dette afspejler tilgangen i artikel 3 i forordning (EU) 2016/679.

(23)

Definitionerne af personoplysninger, behandling, dataansvarlig og databehandler samt definitionen af pseudonymisering i forordning (EU) 2016/679 er blevet bibeholdt uden væsentlige ændringer i UK GDPR (36). Desuden defineres en række særlige kategorier af oplysninger i artikel 9, stk. 1, i UK GDPR på samme måde som i forordning (EU) 2016/679 (»personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering«). Section 205 i DPA 2018 indeholder definitionen af »biometriske data« (37), »helbredsoplysninger« (38) og »genetiske data« (39).

(24)

Personoplysninger bør behandles på lovlig og retfærdig vis.

(25)

Principperne om lovlighed, rimelighed og gennemsigtighed samt grundlaget for lovlig behandling er sikret i Det Forenede Kongeriges lovgivning ved artikel 5, stk. 1, litra a), og artikel 6, stk. 1, i UK GDPR, som er identiske med de respektive bestemmelser i forordning (EU) 2016/679 (40). Section 8 i DPA 2018 supplerer artikel 6, stk. 1, litra e), ved at fastsætte, at behandling af personoplysninger i henhold til artikel 6, stk. 1, litra e), i UK GDPR (som er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller som led i den dataansvarliges udøvelse af offentlig myndighed) omfatter behandling af personoplysninger, der er nødvendig for retsplejen, udøvelsen af en funktion i et af parlamentets kamre, udøvelsen af en funktion, der er tillagt en person ved en retsakt eller retsudøvelse, udøvelsen af en funktion, som varetages af Kronen, en minister under Kronen eller en offentlig instans, eller en aktivitet, der understøtter eller fremmer demokratisk engagement.

(26)

Med hensyn til samtykke (en af de legitime grunde til behandling) bibeholdes betingelserne i artikel 7 i forordning (EU) 2016/679 også uændret i UK GDPR, dvs. at den dataansvarlige skal kunne påvise, at den registrerede har givet sit samtykke, der skal indgives en skriftlig anmodning om samtykke i et klart og forståeligt sprog, den registrerede skal have ret til at trække sit samtykke tilbage til enhver tid, og når det vurderes, om samtykke gives frivilligt, bør der tages hensyn til, om opfyldelsen af en kontrakt er betinget af samtykke til den pågældende behandling af personoplysninger, som ikke er nødvendig for opfyldelsen af den pågældende kontrakt. I henhold til artikel 8 i UK GDPR er et barns samtykke i forbindelse med levering af informationssamfundstjenester desuden kun lovligt, når barnet er mindst 13 år gammelt. Dette falder inden for den aldersgruppe, der er fastsat i artikel 8 i forordning (EU) 2016/679.

(27)

Der bør være særlige garantier, når »særlige kategorier« af oplysninger behandles.

(28)

Både UK GDPR og DPA 2018 indeholder specifikke regler for behandling af særlige kategorier af personoplysninger, som er defineret i artikel 9, stk. 1, i UK GDPR på samme måde som i forordning (EU) 2016/679 (se betragtning 23 ovenfor). I henhold til artikel 9 i UK GDPR er behandling af særlige kategorier af oplysninger i princippet forbudt, medmindre der gælder en specifik undtagelse.

(29)

Disse undtagelser (som er anført i artikel 9, stk. 2 og 3, i UK GDPR) medfører ingen substansændringer i forhold til dem, der er omhandlet i artikel 9, stk. 2 og 3), i forordning (EU) 2016/679. Medmindre den registrerede udtrykkeligt har givet sit samtykke til behandlingen af disse personoplysninger, er behandling af særlige kategorier af personoplysninger kun tilladt under særlige og begrænsede omstændigheder. I de fleste tilfælde skal behandlingen af følsomme oplysninger være nødvendig til et specifikt formål, der er defineret i den relevante bestemmelse (se artikel 9, stk. 2, litra b), c), f), g), h), i) og j)).

(30)

Når en undtagelse i henhold til artikel 9, stk. 2, i UK GDPR kræver tilladelse ved lov, eller der henvises til den offentlige interesse, præciseres de betingelser, der skal være opfyldt, for at undtagelserne kan påberåbes, desuden i Section 10 i DPA 2018 sammen med Schedule 1 til samme lov. I tilfælde af behandling af følsomme oplysninger med det formål at beskytte »folkesundheden« (artikel 9, stk. 2, litra i), i UK GDPR) kræves det f.eks. i paragraph 3(b) i Part 1 i Schedule 1, at en sådan behandling ud over nødvendighedstesten foretages »af en sundhedsperson eller under dennes ansvar« eller »af en anden person, der har tavshedspligt i henhold til en retsakt eller retsudøvelse«, herunder i kraft af den veletablerede tavshedspligt i henhold til gældende sædvaneret.

(31)

I det tilfælde, at følsomme oplysninger behandles af hensyn til væsentlige samfundsinteresser (artikel 9, stk. 2, litra g), i UK GDPR), indeholder Part 2 i Schedule 1 til DPA 2018 en udtømmende liste over formål, der kan anses for at være væsentlige samfundsinteresser, ligesom der fastsættes yderligere specifikke betingelser for hvert af disse formål. For eksempel anerkendes fremme af racemæssig og etnisk mangfoldighed på ledelsesniveau i organisationer som en væsentlig samfundsinteresse. Behandling af følsomme oplysninger til dette specifikke formål er underlagt detaljerede krav, herunder at behandlingen skal foretages som led i en procedure for udpegelse af personer, der er egnede til at bestride ledende stillinger, at den er nødvendig for at fremme racemæssig og etnisk mangfoldighed, og at den sandsynligvis ikke vil forårsage væsentlig skade eller alvorlige problemer for den registrerede.

(32)

I Section 11(1) i DPA 2018 fastsættes betingelserne for behandling af personoplysninger under de omstændigheder, der er beskrevet i artikel 9, stk. 3, i UK GDPR vedrørende tavshedspligt. Der kan f.eks. være tale om omstændigheder, hvor behandlingen udføres af en sundhedsperson, en socialarbejder eller en anden person, der under omstændighederne har tavshedspligt i henhold til en retsakt eller retsudøvelse, eller på dennes ansvar.

(33)

Desuden kræver mange af de undtagelser, der er anført i artikel 9, stk. 2, i UK GDPR, at der træffes passende og specifikke beskyttelsesforanstaltninger, for at kunne anvendes. Afhængigt af behandlingens art og risikoniveauet for de registreredes rettigheder og frihedsrettigheder fastsættes der forskellige beskyttelsesforanstaltninger i betingelserne for behandling i Schedule 1 til DPA 2018. I Schedule 1 fastsættes betingelserne for hver enkelt behandlingssituation.

(34)

I nogle tilfælde regulerer og begrænser DPA 2018 de former for følsomme oplysninger, der kan behandles, for at overholde et bestemt retsgrundlag. Eksempelvis gives der i paragraph 8 i Schedule 1 mulighed for behandling af følsomme oplysninger med henblik på at fremme lige muligheder eller ligebehandling. Denne betingelse for behandling kan kun anvendes, hvis oplysningerne viser racemæssig eller etnisk oprindelse, religiøs eller filosofisk overbevisning eller seksuel orientering, eller hvis der er tale om helbredsoplysninger.

(35)

I nogle tilfælde begrænser DPA 2018 den type dataansvarlig, der kan anvende betingelsen for behandling. For eksempel indeholder paragraph 23 i Schedule 1 bestemmelser om behandling af følsomme oplysninger i forbindelse med valgte repræsentanters svar til offentligheden. Denne betingelse kan kun anvendes, hvis den dataansvarlige er den valgte repræsentant eller handler under deres myndighed.

(36)

I visse andre tilfælde fastsætter DPA 2018 grænser for, hvilke kategorier af registrerede betingelsen kan anvendes for. For eksempel regulerer paragraph 21 i Schedule 1 behandlingen af følsomme oplysninger i forbindelse med erhvervstilknyttede pensionsordninger. Denne betingelse kan kun anvendes, hvis den pågældende registrerede er søskende, forælder, bedsteforælder eller oldeforælder til brugeren af ordningen.

(37)

Desuden gælder det, at den dataansvarlige i de fleste tilfælde skal udarbejde et »Appropriate Policy Document«, når vedkommende påberåber sig de undtagelser i artikel 9, stk. 2, i UK GDPR, som er nærmere præciseret i Section 10 i DPA 2018 sammen med Schedule 1 til samme lov. Dette dokument skal beskrive den dataansvarliges procedurer for sikring af overholdelse af principperne i artikel 5 i UK GDPR. Desuden skal det fastlægge politikker for opbevaring og sletning, og den sandsynlige opbevaringsperiode skal angives. Den dataansvarlige skal gennemgå og ajourføre dette dokument, når det er relevant. Den dataansvarlige skal opbevare dokumentet i seks måneder efter behandlingens afslutning og efter anmodning stille det til rådighed for Information Commissioner (41).

(38)

I henhold til paragraph 41 i Schedule 1 til DPA 2018 skal ovennævnte »Appropriate Policy Document« altid ledsages af en udvidet fortegnelse over behandlingsaktiviteterne. Denne fortegnelse skal spore opfyldelsen af forpligtelserne i dokumentet, dvs. at det skal registreres, om oplysningerne slettes eller opbevares i overensstemmelse med politikkerne. Hvis politikkerne ikke er blevet fulgt, skal årsagerne hertil registreres i fortegnelsen. I fortegnelsen skal det også beskrives, hvordan behandlingen opfylder artikel 6 i UK GDPR (lovlig behandling) og den specifikke betingelse i Schedule 1 til DPA 2018, der lægges til grund.

(39)

Endelig indeholder UK GDPR ligesom forordning (EU) 2016/679 også en række generelle garantier for visse former for behandling af særlige kategorier af oplysninger. Artikel 35 i UK GDPR kræver en konsekvensanalyse vedrørende databeskyttelse, hvis særlige kategorier af oplysninger behandles i stort omfang. I henhold til artikel 37 i UK GDPR skal den dataansvarlige eller databehandleren udpege en databeskyttelsesrådgiver, hvis deres kerneaktiviteter består i at behandle særlige kategorier af oplysninger i stort omfang.

(40)

Med hensyn til personoplysninger vedrørende straffedomme og lovovertrædelser er artikel 10 i UK GDPR identisk med artikel 10 i forordning (EU) 2016/679. Artiklen giver kun mulighed for behandling af personoplysninger vedrørende straffedomme og lovovertrædelser under en offentlig myndigheds kontrol, eller hvis behandlingen er tilladt i henhold til national lovgivning, der giver passende garantier for de registreredes rettigheder og frihedsrettigheder.

(41)

Hvis behandlingen af oplysninger vedrørende straffedomme og lovovertrædelser ikke foretages under en offentlig myndigheds kontrol, fastsættes det i Section 10(5) i DPA 2018, at en sådan behandling kun må finde sted til de specifikke formål/i de specifikke situationer, der er fastsat i Part 1, 2 og 3 i Schedule 1 til DPA 2018, og at behandlingen er underlagt de specifikke krav, som er fastlagt for hvert/hver af disse formål/situationer. Oplysninger vedrørende straffedomme kan f.eks. behandles af nonprofitorganisationer, hvis behandlingen foretages a) som led i deres legitime aktiviteter, idet de fornødne garantier stilles af en fond, forening eller en anden nonprofitorganisation med et politisk, filosofisk, religiøst eller fagforeningsmæssigt formål, og b) på betingelse af i) at behandlingen udelukkende vedrører medlemmerne eller tidligere medlemmer af organisationen eller personer, der har regelmæssig kontakt med den i forbindelse med dens formål, og ii) at oplysningerne ikke videregives uden for organisationen uden de registreredes samtykke.

(42)

Desuden er der i Part 3 i Schedule 1 til DPA 2018 fastsat en række yderligere omstændigheder, hvor der kan anvendes oplysninger vedrørende straffedomme, som svarer til det retlige grundlag for behandling af følsomme oplysninger i artikel 9, stk. 2, i forordning (EU) 2016/679 og i UK GDPR (f.eks. den registreredes samtykke, en persons vitale interesser, hvis den registrerede retligt eller fysisk er ude af stand til at give sit samtykke, hvis oplysningerne allerede tydeligvis er blevet offentliggjort af den registrerede, hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares osv.).

(43)

Personoplysninger skal behandles til et specifikt formål og efterfølgende udelukkende anvendes, såfremt anvendelsen ikke er uforenelig med behandlingsformålet.

(44)

Dette princip er fastsat i artikel 5, stk. 1, litra b), i forordning (EU) 2016/679 og er bibeholdt uden ændringer i artikel 5, stk. 1, litra b), i UK GDPR. Betingelserne for yderligere forenelig behandling i henhold til artikel 6, stk. 4, i forordning (EU) 2016/679 er også bibeholdt uden væsentlige ændringer i artikel 6, stk. 4, litra a)-e), i UK GDPR.

(45)

Endvidere skal personoplysninger være korrekte og om nødvendigt ajourførte. De bør også være tilstrækkelige, relevante og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de behandles, og de bør i princippet ikke opbevares i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de behandles.

(46)

Disse principper om dataminimering, rigtighed og opbevaringsbegrænsning er fastsat i artikel 5, stk. 1, litra c)-e), i forordning (EU) 2016/679 og bibeholdes uden ændringer i artikel 5, stk. 1, litra c)-e), i UK GDPR.

(47)

Personoplysninger bør også behandles på en måde, der værner om deres sikkerhed, idet de bl.a. beskyttes mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse. Med henblik herpå bør virksomhedsledere træffe passende tekniske eller organisatoriske foranstaltninger for at beskytte personoplysninger mod mulige trusler. Disse foranstaltninger bør vurderes under hensyntagen til det aktuelle tekniske niveau og de relaterede omkostninger.

(48)

Datasikkerhed er forankret i Det Forenede Kongeriges lovgivning i kraft af princippet om integritet og fortrolighed i artikel 5, stk. 1, litra f), i UK GDPR og i samme retsakts artikel 32 om behandlingssikkerhed. Disse bestemmelser er identiske med de respektive bestemmelser i forordning (EU) 2016/679. Desuden kræver UK GDPR på samme betingelser som dem, der er fastsat i artikel 33 og 34 i forordning (EU) 2016/679, at både tilsynsmyndigheden og den registrerede underrettes om et brud på persondatasikkerheden (henholdsvis artikel 33 og 34 i UK GDPR).

(49)

Registrerede bør underrettes om de vigtigste dele af behandlingen af deres personoplysninger.

(50)

Dette sikres ved artikel 13 og 14 i UK GDPR, som ud over et generelt princip om gennemsigtighed fastsætter regler om de oplysninger, der skal gives til den registrerede (42). I UK GDPR er der ikke foretaget nogen væsentlige ændringer af disse regler i forhold til de tilsvarende artikler i forordning (EU) 2016/679. Ligesom i forordning (EU) 2016/679 er gennemsigtighedskravene i disse artikler imidlertid omfattet af en række undtagelser, der er fastsat i DPA 2018 (se betragtning 55 til 72).

(51)

Registrerede bør have visse rettigheder, som kan gøres gældende over for den dataansvarlige eller databehandleren, navnlig retten til indsigt i oplysninger, retten til at gøre indsigelse mod behandlingen og retten til at få oplysninger berigtiget og slettet. Samtidig kan sådanne rettigheder være underlagt begrænsninger, for så vidt som disse begrænsninger er nødvendige og forholdsmæssige for at beskytte den offentlige sikkerhed eller andre vigtige mål af almen interesse.

(52)

UK GDPR giver enkeltpersoner de samme rettigheder, der kan håndhæves, som forordning (EU) 2016/679. Bestemmelserne om enkeltpersoners rettigheder er blevet bibeholdt i UK GDPR uden væsentlige ændringer.

(53)

Disse rettigheder omfatter den registreredes ret til indsigt (artikel 15 i UK GDPR), retten til berigtigelse (artikel 16 i UK GDPR), retten til sletning (artikel 17 i UK GDPR), retten til begrænsning af behandling (artikel 18 i UK GDPR), en underretningspligt vedrørende berigtigelse eller sletning af personoplysninger eller begrænsning af behandling (artikel 19 i UK GDPR), retten til dataportabilitet (artikel 20 i UK GDPR) og retten til at gøre indsigelse (artikel 21 i UK GDPR) (43). Sidstnævnte omfatter også den registreredes ret til at gøre indsigelse mod behandling af personoplysninger med henblik på direkte markedsføring, jf. artikel 21, stk. 2 og 3, i forordning (EU) 2016/679. I henhold til Section 122 i DPA 2018 skal Information Commissioner desuden udarbejde en adfærdskodeks for direkte markedsføring i overensstemmelse med kravene i databeskyttelseslovgivningen (og bestemmelserne om databeskyttelse og elektronisk kommunikation i Privacy and Electronic Communications (EC Directive) Regulations 2003 samt andre retningslinjer til fremme af god praksis i forbindelse med direkte markedsføring, som Information Commissioner finder passende. Information Commissioners kontor er i færd med at udvikle kodeksen for direkte markedsføring (44).

(54)

Den registreredes ret til ikke at være genstand for en afgørelse, der udelukkende er baseret på automatisk behandling, og som har retsvirkning eller på tilsvarende vis påvirker den pågældende væsentligt, jf. artikel 22 i GDPR, er også blevet bevaret i UK GDPR uden væsentlige ændringer. Der er imidlertid tilføjet et nyt stk. 3A for at henvise til, at Section 14 i DPA 2018 fastsætter garantier for registreredes rettigheder, frihedsrettigheder og legitime interesser, når behandlingen foretages i henhold til artikel 22, stk. 2, litra b), i UK GDPR. Dette gælder kun, når grundlaget for en sådan afgørelse er en godkendelse eller et krav i henhold til Det Forenede Kongeriges lovgivning, og ikke hvis afgørelsen er nødvendig i henhold til en kontrakt eller er truffet med den registreredes udtrykkelige samtykke. Hvis Section 14 i DPA 2018 finder anvendelse, skal den dataansvarlige, så snart det er praktisk muligt, skriftligt underrette den registrerede om, at der er truffet en afgørelse udelukkende på grundlag af automatisk behandling. Den registrerede har ret til — senest en måned efter modtagelsen af underretningen — at anmode den dataansvarlige om at tage afgørelsen op til fornyet overvejelse eller træffe en ny afgørelse, der ikke udelukkende er baseret på automatisk behandling. Secretary of State har beføjelse til at vedtage yderligere sikkerhedsforanstaltninger med hensyn til automatisk beslutningstagning. Denne beføjelse er endnu ikke blevet udøvet.

(55)

DPA 2018 fastsætter en række begrænsninger for individuelle rettigheder i overensstemmelse med artikel 23 i UK GDPR. I denne artikel indføres der ingen begrænsninger vedrørende den ret til at gøre indsigelse mod direkte markedsføring, som er fastsat i artikel 21, stk. 2 og 3, i UK GDPR eller retten til ikke at være underlagt automatisk beslutningstagning som fastsat i artikel 22 i UK GDPR.

(56)

Begrænsningerne er nærmere beskrevet i Schedule 2-4 til DPA 2018. Myndigheder i Det Forenede Kongerige har forklaret, at de følger to principper, nemlig specialitetsprincippet (ved at anlægge en detaljeret tilgang, opdele overordnede begrænsninger i flere og mere specifikke bestemmelser) og konditionalitetsprincippet (hver bestemmelse suppleres af sikkerhedsforanstaltninger i form af begrænsninger eller betingelser for at forhindre misbrug) (45).

(57)

Ved formuleringen af de begrænsninger, der er beskrevet i artikel 23, stk. 1, i UK GDPR, sikres det, at de kun finder anvendelse under nærmere angivne omstændigheder, hvor det er nødvendigt i et demokratisk samfund og står i et rimeligt forhold til det legitime mål, de forfølger. I overensstemmelse med fast retspraksis om fortolkning af begrænsninger kan en undtagelse fra databeskyttelsesordningen desuden kun anvendes i særlige tilfælde, hvis det er nødvendigt og rimeligt at gøre det (46). Vurderingen af nødvendigheden skal være »streng, idet ethvert indgreb i den registreredes rettigheder skal stå i et rimeligt forhold til, hvor alvorlig truslen mod offentlighedens interesser er. Der er derfor tale om en klassisk proportionalitetsanalyse (47).«

(58)

Formålet med disse begrænsninger svarer til formålet med dem, der er anført i artikel 23 i forordning (EU) 2016/679, bortset fra begrænsningerne med hensyn til statens sikkerhed og forsvar, som i stedet er reguleret af Section 26 i DPA 2018, men som er underlagt de samme krav om nødvendighed og proportionalitet (se betragtning 63 til 66).

(59)

Nogle af begrænsningerne, f.eks. dem, der vedrører forebyggelse eller afsløring af kriminalitet, pågribelse eller retsforfølgning af lovovertrædere og fastsættelse eller opkrævning af skatter eller afgifter (48), gør det muligt at begrænse alle individuelle rettigheder og gennemsigtighedsforpligtelser (bortset fra rettigheder i henhold til artikel 21, stk. 2, og artikel 22). Andre begrænsninger finder kun anvendelse på gennemsigtighedsforpligtelser og adgangsrettigheder, såsom de begrænsninger, der vedrører fortroligheden mellem advokat og klient (49), retten til fritagelse fra et krav om at give oplysninger, som ville føre til selvinkriminering (50), og virksomhedsfinansiering, navnlig forebyggelse af insiderhandel (51). Kun få af begrænsningerne gør det muligt at begrænse den dataansvarliges forpligtelse til at underrette en registreret om et brud på datasikkerheden og principperne om formålsbegrænsning samt lovlighed, rimelighed og gennemsigtighed i behandlingen (52).

(60)

Nogle af begrænsningerne gælder automatisk »fuldt ud« for en bestemt slags behandling af personoplysninger (f.eks. er anvendelsen af gennemsigtighedsforpligtelser og individuelle rettigheder udelukket, når personoplysninger behandles med henblik på at vurdere en persons egnethed til et retligt embede, eller når personoplysninger behandles af en domstol eller en person, der handler som en domstol).

(61)

For de fleste tilfældes vedkommende præciseres det imidlertid i den relevante paragraph i Schedule 2 til DPA 2018, at begrænsningen kun finder anvendelse, når (og i det omfang) anvendelsen af bestemmelserne »sandsynligvis vil skade« det legitime formål, der forfølges med begrænsningen. For eksempel finder bestemmelserne i UK GDPR ikke anvendelse på personoplysninger, der behandles med henblik på forebyggelse eller afsløring af kriminalitet, pågribelse eller retsforfølgning af lovovertrædere eller ansættelse eller opkrævning af en skat eller afgift, »i det omfang anvendelsen af disse bestemmelser sandsynligvis vil skade« et af disse forhold (53).

(62)

De britiske domstole har fortolket ordlyden »sandsynligvis vil skade« som »en meget betydelig og tungtvejende risiko for at skade de udpegede offentlige interesser« (54). En begrænsning, som er omfattet af vurderingen af, om der forvoldes skade, kan derfor kun påberåbes, hvis og i det omfang der er en meget betydelig og tungtvejende chance for, at tildelingen af en bestemt rettighed vil skade den offentlige interesse. Den dataansvarlige er ansvarlig for fra sag til sag at vurdere, om disse betingelser er opfyldt (55).

(63)

Ud over begrænsningerne i Schedule 2 til DPA 2018 indeholder Section 26 i samme lov en undtagelse, der kan finde anvendelse på visse bestemmelser i UK GDPR og DPA 2018, hvis denne undtagelse er nødvendig af hensyn til beskyttelsen af statens sikkerhed eller det nationale forsvar. Denne undtagelse finder anvendelse på databeskyttelsesprincipperne (bortset fra princippet om lovlighed), gennemsigtighedsforpligtelserne, den registreredes rettigheder, forpligtelsen til at anmelde et brud på datasikkerheden, reglerne om internationale overførsler, nogle af de pligter og beføjelser, der påhviler Information Commissioner, og reglerne om retsmidler, ansvar og sanktioner, bortset fra bestemmelsen om de generelle betingelser for pålæggelse af administrative bøder i artikel 83 i UK GDPR og bestemmelsen om sanktioner i artikel 84 i UK GDPR. Desuden ændrer Section 28 i DPA 2018 anvendelsen af artikel 9, stk. 1, for at muliggøre behandling af særlige kategorier af oplysninger i artikel 9, stk. 1, i UK GDPR, i det omfang behandlingen foretages af hensyn til statens sikkerhed eller til forsvarsformål, og idet de fornødne garantier stilles med hensyn til registreredes rettigheder og frihedsrettigheder (56).

(64)

Undtagelsen kan kun anvendes i det omfang, den er nødvendig for at beskytte statens sikkerhed eller det nationale forsvar. Ligesom det gælder for de øvrige undtagelser, der er fastsat i DPA 2018, skal den dataansvarlige overveje og påberåbe sig den i hvert enkelt tilfælde. Desuden skal enhver anvendelse af undtagelsen være i overensstemmelse med standarderne for menneskerettigheder (understøttet af Human Rights Act 1998), ifølge hvilken ethvert indgreb i retten til privatlivets fred skal være nødvendig og forholdsmæssig i et demokratisk samfund (57).

(65)

Denne fortolkning af undtagelsen bekræftes af den ICO, der har udstedt detaljerede retningslinjer for anvendelsen af undtagelsen for national sikkerhed og forsvar, idet den gør det klart, at den skal overvejes og anvendes af den dataansvarlige fra sag til sag (58). Det understreges navnlig i vejledningen, at det ikke er »en generel undtagelse«, og at det for at kunne påberåbe sig den »ikke er tilstrækkeligt, at oplysningerne behandles af hensyn til den nationale sikkerhed«. Derimod skal den dataansvarlige, der påberåber sig den, »påvise, at der er en reel mulighed for at skade den nationale sikkerhed«, og den dataansvarlige forventes om nødvendigt at »forelægge [ICO] dokumentation for, hvorfor [den] har anvendt denne undtagelse«. Vejledningen indeholder en tjekliste og en række eksempler for yderligere at præcisere, under hvilke betingelser denne undtagelse kan påberåbes.

(66)

Den omstændighed, at oplysningerne behandles til nationale sikkerheds- eller forsvarsformål, er derfor ikke i sig selv tilstrækkelig til, at undtagelsen kan finde anvendelse. Den dataansvarlige skal overveje de faktiske konsekvenser for statens sikkerhed, hvis den pågældende databeskyttelsesbestemmelse skal overholdes. Undtagelsen kan kun anvendes på netop de bestemmelser, der anses for at udgøre risikoen, og skal anvendes så restriktivt som muligt (59).

(67)

Denne tilgang er blevet bekræftet af Information Tribunal (60). I sagen Baker mod Secretary of State for the Home Department (»Baker mod Secretary of State«) fastslog retten, at det var ulovligt at anvende undtagelsen vedrørende statens sikkerhed som en generel undtagelse for anmodninger om adgang, som efterretningstjenesterne modtager. I stedet skulle undtagelsen anvendes fra sag til sag under hensyntagen til den enkelte anmodnings berettigelse og i lyset af enkeltpersoners ret til respekt for deres privatliv (61).

(68)

Artikel 85, stk. 2, i UK GDPR giver mulighed for, at personoplysninger, der behandles til journalistiske, kunstneriske, akademiske og litterære formål, undtages fra flere bestemmelser i UK GDPR. I Part 5 i Schedule 2 til DPA 2018 fastsættes de undtagelser, der gælder for behandling til disse formål. Den indeholder undtagelser fra databeskyttelsesprincipperne (bortset fra princippet om integritet og fortrolighed), retsgrundlaget for behandlingen (herunder særlige kategorier af oplysninger om bl.a. straffedomme), betingelserne for samtykke, gennemsigtighedsforpligtelserne, de registreredes rettigheder, forpligtelsen til at anmelde brud på datasikkerheden og kravet om at høre Information Commissioner forud for behandling, der indebærer stor risiko, og reglerne om internationale overførsler (62). I denne henseende afviger UK GDPR rent indholdsmæssigt ikke væsentligt fra forordning (EU) 2016/679, som i artikel 85 også giver mulighed for at undtage behandling, der foretages i journalistisk øjemed eller med henblik på akademisk, kunstnerisk eller litterær virksomhed, fra en række krav i forordning (EU) 2016/679. Bestemmelserne i DPA 2018, navnlig Schedule 2, Part 5, er forenelige med UK GDPR.

(69)

Den centrale afvejning, der skal foretages i henhold til artikel 85 i UK GDPR, vedrører spørgsmålet om, hvorvidt en undtagelse fra de databeskyttelsesregler, der er nævnt i betragtning 68, er »nødvendig for at forene retten til beskyttelse af personoplysninger med ytrings- og informationsfriheden« (63). I henhold til paragraph 26(2) og (3) i Schedule 2 til DPA 2018 foretager Det Forenede Kongerige ved denne afvejning en vurdering baseret på en »rimelig antagelse«. For at en undtagelse kan begrundes, skal den dataansvarlige med rimelighed antage, i) at offentliggørelse er i offentlighedens interesse, og ii) at anvendelsen af den relevante bestemmelse i GDPR ville være uforenelig med journalistiske, akademiske, kunstneriske eller litterære formål. Som bekræftet i retspraksis (64) har vurderingen baseret på en »rimelig antagelse« både et subjektivt og et objektivt element: Det er ikke tilstrækkeligt, at den dataansvarlige kan påvise, at han selv mente, at overholdelsen var uforenelig med formålet. Hans antagelse skal også være rimelig, hvilket vil sige, at en fornuftig person, som havde kendskab til de relevante forhold, ville være enig i den. Den dataansvarlige skal derfor udvise rettidig omhu i forbindelse med sin antagelse for at kunne påvise, at den er rimelig. Ifølge de britiske myndigheders forklaringer skal vurderingen baseret på en »rimelig antagelse« foretages for hver enkelt undtagelse (65). Hvis betingelserne er opfyldt, anses undtagelsen for at være nødvendig og forholdsmæssig i henhold til Det Forenede Kongeriges lovgivning.

(70)

I henhold til Section 124 i DPA 2018 skal ICO udarbejde en adfærdskodeks for databeskyttelse og journalistik. Arbejdet med at udarbejde denne kodeks er i gang. I henhold til Data Protection Act 1998 er der udsendt retningslinjer på området, hvori det navnlig understreges, at det for at kunne påberåbe sig denne undtagelse ikke er tilstrækkeligt blot at anføre, at overholdelse ville være en ulempe for journalisters aktiviteter. Der skal også være et klart argument for, at den pågældende bestemmelse udgør en hindring for ansvarlig journalistik (66). Retningslinjer for anvendelsen af kriteriet om offentlig interesse og afvejningen af offentlighedens interesse med den enkeltes ret til privatlivets fred er også blevet offentliggjort af Det Forenede Kongeriges tilsynsmyndighed for telekommunikation OFCOM og af BBC i selskabets redaktionelle retningslinjer (67). I retningslinjerne gives der navnlig eksempler på oplysninger, der kan betragtes som værende i offentlighedens interesse, og samtidig anføres behovet for at kunne påvise, at offentlighedens interesse vejer tungere end retten til privatlivets fred under de særlige omstændigheder i sagen.

(71)

I lighed med hvad der er fastsat i artikel 89 i databeskyttelsesforordningen, kan personoplysninger, som behandles med henblik på arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, også undtages fra en række af bestemmelserne i UK GDPR (68). For så vidt angår forskning og statistik er der mulighed for undtagelser fra de bestemmelser i UK GDPR, der vedrører bekræftelse af behandling, og adgang til data og garantier i forbindelse med overførsler fra tredjelande, ret til berigtigelse, begrænsning af behandling og indsigelse mod behandling. Med hensyn til arkivering i samfundets interesse er der også mulighed for undtagelser fra underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling og i forbindelse med retten til dataportabilitet.

(72)

I henhold til paragraph 27(1) og 28(1) i Schedule 2 til DPA 2018 er der mulighed for at gøre brug af undtagelserne fra de anførte bestemmelser i UK GDPR, hvis anvendelsen af bestemmelserne ville »forhindre eller i alvorlig grad hæmme opfyldelsen« af de pågældende formål (69).

(73)

I betragtning af deres relevans for en effektiv udøvelse af individuelle rettigheder vil der blive taget behørigt hensyn til enhver relevant udvikling med hensyn til fortolkningen og den praktiske anvendelse af ovennævnte undtagelser (foruden den, der vedrører opretholdelse af en effektiv indvandringskontrol, jf. betragtning 6), herunder enhver yderligere udvikling af retspraksis og ICO's retningslinjer og håndhævelsesforanstaltninger i forbindelse med den løbende overvågning af denne afgørelse (70).

(74)

Beskyttelsesniveauet for personoplysninger, der overføres fra Den Europæiske Union til dataansvarlige eller databehandlere i Det Forenede Kongerige, må ikke undergraves af videreoverførsel af sådanne oplysninger til modtagere i et tredjeland. Sådanne »videreoverførsler«, som set fra den britiske dataansvarliges eller databehandlers synspunkt udgør internationale overførsler fra Det Forenede Kongerige, bør kun tillades, hvis den efterfølgende modtager uden for Det Forenede Kongerige selv er underlagt regler, der sikrer et beskyttelsesniveau svarende til det, som sikres i Det Forenede Kongeriges retsorden. Derfor er anvendelsen af reglerne i UK GDPR og DPA 2018 om internationale overførsler af personoplysninger en vigtig faktor for at sikre kontinuitet i beskyttelsen af personoplysninger, der overføres fra Den Europæiske Union til Det Forenede Kongerige i henhold til denne afgørelse.

(75)

Ordningen for internationale overførsler af personoplysninger fra Det Forenede Kongerige er fastsat i artikel 44-49 i UK GDPR suppleret med DPA 2018 og er grundlæggende identisk med de regler, der er fastsat i kapitel V i forordning (EU) 2016/679 (71). Overførsel af personoplysninger til et tredjeland eller en international organisation kan kun finde sted på grundlag af bestemmelser om beskyttelsesniveauets tilstrækkelighed (Det Forenede Kongeriges pendant til en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til forordning (EU) 2016/679), eller uden brug af sådanne bestemmelser, hvis den dataansvarlige eller databehandleren har givet de fornødne garantier i overensstemmelse med artikel 46 i UK GDPR. I mangel af bestemmelser om tilstrækkeligheden af beskyttelsesniveauet eller passende garantier kan en overførsel kun finde sted på grundlag af undtagelser, der er fastsat i artikel 49 i UK GDPR.

(76)

Det kan i Secretary of States bestemmelser om tilstrækkeligheden fastsættes, at et tredjeland (eller et område eller en sektor i et tredjeland), en international organisation eller en beskrivelse (72) af et sådant land eller område eller en sådan sektor eller organisation sikrer et tilstrækkeligt niveau for beskyttelse af personoplysninger. Ved vurderingen af beskyttelsesniveauets tilstrækkelighed skal Secretary of State tage hensyn til nøjagtig de samme elementer, som Kommissionen skal vurdere i henhold til artikel 45, stk. 2, litra a)-c), i forordning (EU) 2016/679, fortolket sammen med betragtning 104 i samme forordning og den bibeholdte EU-retspraksis. Det betyder, at den relevante standard i forbindelse med vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, vil være, om det pågældende tredjeland sikrer et beskyttelsesniveau, der »i det væsentlige svarer til« det, der sikres i Det Forenede Kongerige.

(77)

Med hensyn til procedurer er bestemmelserne om tilstrækkeligheden af beskyttelsesniveauet underlagt de »generelle« proceduremæssige krav, der er fastsat i Section 182 i DPA 2018. I henhold til denne procedure skal Secretary of State rådføre sig med Information Commissioner, når førstnævnte foreslår at vedtage britiske bestemmelser om tilstrækkelighed (73). Når Secretary of State har vedtaget disse bestemmelser, forelægges de for parlamentet, idet de er underlagt »den negative beslutningsprocedure«, i henhold til hvilken begge parlamentets kamre kan granske bestemmelserne og har mulighed for at vedtage et forslag om annullering af dem inden for en frist på 40 dage (74).

(78)

I henhold til Section 17B(1) i DPA 2018 skal bestemmelserne om tilstrækkelighed revideres med højst fire års mellemrum, og Secretary of State skal løbende overvåge udviklingen i tredjelande og internationale organisationer, der kan påvirke beslutninger om at fastsætte bestemmelser om tilstrækkelighed eller om at ændre eller tilbagekalde sådanne bestemmelser. Hvis Secretary of State bliver opmærksom på, at et sådant land eller en sådan organisation ikke længere sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, skal Secretary of State i det omfang, det er nødvendigt, ændre eller tilbagekalde bestemmelserne og indlede konsultationer med det pågældende tredjeland eller den pågældende organisation for at afhjælpe manglen på et tilstrækkeligt beskyttelsesniveau. Disse proceduremæssige aspekter afspejler også de tilsvarende krav i forordning (EU) 2016/679.

(79)

I mangel af bestemmelser om beskyttelsesniveauets tilstrækkelighed kan internationale overførsler finde sted, hvis den dataansvarlige eller databehandleren har givet de fornødne garantier i overensstemmelse med artikel 46 i UK GDPR. Disse garantier svarer til dem, der er fastsat i artikel 46 i forordning (EU) 2016/679. De omfatter juridisk bindende instrumenter, der kan håndhæves blandt offentlige myndigheder eller organer, bindende virksomhedsregler (75), standardbestemmelser om databeskyttelse, godkendte adfærdskodekser, godkendte certificeringsmekanismer og — med tilladelse fra Information Commissioner — kontraktlige aftaler mellem dataansvarlige (eller databehandlere) eller administrative ordninger mellem offentlige myndigheder. Ud fra et proceduremæssigt synspunkt er reglerne dog blevet ændret for at fungere i den britiske kontekst. Navnlig kan standardbestemmelserne om databeskyttelse vedtages af Secretary of State (Section 17C) eller Information Commissioner (Section 119A) i medfør af DPA 2018.

(80)

I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller passende garantier kan en overførsel kun finde sted på grundlag af undtagelser, der er fastsat i artikel 49 i UK GDPR (76). I UK GDPR er der ikke foretaget nogen væsentlige ændringer af undtagelserne i forhold til de tilsvarende bestemmelser i forordning (EU) 2016/679. I henhold til UK GDPR kan der — som i henhold til forordning (EU) 2016/679 — kun gøres brug af visse undtagelser, hvis overførslen er lejlighedsvis (77). Endvidere præciserer ICO i sine retningslinjer for internationale overførsler, at undtagelserne kun bør bruges som egentlige »undtagelser« fra den generelle regel om, at der ikke må foretages en begrænset overførsel, medmindre den er omfattet af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller der er stillet passende garantier (78). Med hensyn til overførsler, der er nødvendige af hensyn til vigtige samfundsinteresser (artikel 49, stk. 1, litra d)), kan Secretary of State fastsætte bestemmelser for at præcisere, under hvilke omstændigheder overførsel af personoplysninger til et tredjeland eller en international organisation ikke er nødvendig af hensyn til vigtige samfundsinteresser. Secretary of State kan desuden fastsætte bestemmelser, der begrænser overførslen af en kategori af personoplysninger til et tredjeland eller en international organisation, hvis overførslen ikke kan finde sted på grundlag af bestemmelser om tilstrækkeligheden af beskyttelsesniveauet, og Secretary of State anser begrænsningen for nødvendig af hensyn til vigtige samfundsinteresser. Der er endnu ikke vedtaget sådanne bestemmelser.

(81)

Disse rammer for internationale overførsler finder anvendelse fra og med overgangsperiodens udløb (79). Paragraph 4 i Schedule 21 til DPA 2018 (indført ved DPPEC-bestemmelserne) fastsætter imidlertid, at visse overførsler af personoplysninger fra overgangsperiodens udløb behandles, som om de er baseret på bestemmelser om tilstrækkelighed. Disse overførsler omfatter overførsler til en EØS-stat, Gibraltars territorium, en EU-institution, et organ, kontor eller agentur, der er oprettet af eller på grundlag af EU-traktaten, og tredjelande, der var genstand for en EU-afgørelse om beskyttelsesniveauets tilstrækkelighed ved overgangsperiodens udløb. Overførslerne til disse lande kan derfor fortsætte som før Det Forenede Kongeriges udtræden af EU. Efter overgangsperiodens udløb skal Secretary of State foretage en gennemgang af disse konklusioner om tilstrækkeligheden inden for en periode på fire år, dvs. senest ved udgangen af december 2024. Selv om Secretary of State skal foretage denne gennemgang inden udgangen af december 2024, indeholder overgangsbestemmelserne ifølge myndighederne i Det Forenede Kongerige ikke en »udløbsklausul«, og de relevante overgangsbestemmelser vil ikke automatisk ophøre med at have virkning, hvis en gennemgang ikke er afsluttet ved udgangen af december 2024.

(82)

Endelig vil Kommissionen med hensyn til den fremtidige udvikling af Det Forenede Kongeriges internationale overførselsordning — gennem vedtagelse af nye bestemmelser om tilstrækkelighed, indgåelse af internationale aftaler eller udvikling af andre overførselsmekanismer — nøje overvåge situationen, vurdere, om de forskellige overførselsmekanismer anvendes på en måde, der sikrer kontinuitet i beskyttelsen, og om nødvendigt træffe passende foranstaltninger til at imødegå eventuelle negative virkninger for en sådan kontinuitet (se betragtning 278 til 287). Da EU og Det Forenede Kongerige har lignende regler om internationale overførsler, forventes det, at problematiske forskelle også kan undgås gennem samarbejde, udveksling af oplysninger og udveksling af erfaringer, herunder mellem ICO og Det Europæiske Databeskyttelsesråd.

(83)

I henhold til princippet om ansvarlighed skal enheder, der behandler oplysninger, træffe passende organisatoriske foranstaltninger med henblik på effektiv overholdelse af deres databeskyttelsesforpligtelser, og de skal være i stand til at dokumentere denne overholdelse, navnlig over for den kompetente tilsynsmyndighed.

(84)

Princippet om ansvarlighed i forordning (EU) 2016/679 er bibeholdt i artikel 5, stk. 2, i UK GDPR uden væsentlige ændringer, og det samme gælder artikel 24 om den dataansvarliges ansvar, artikel 25 om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger og artikel 30 om fortegnelser over behandlingsaktiviteter. Artikel 35 og 36 om konsekvensanalyse vedrørende databeskyttelse og forudgående høring af tilsynsmyndigheden er også blevet bibeholdt. Artikel 37-39 i forordning (EU) 2016/679 om udpegelse af en databeskyttelsesrådgiver og dennes opgaver er blevet bibeholdt i UK GDPR uden væsentlige ændringer. Desuden er bestemmelserne i artikel 40 og 42 i forordning (EU) 2016/679 om adfærdskodekser og certificering bibeholdt i UK GDPR. (80)

(85)

For at sikre, at et tilstrækkeligt databeskyttelsesniveau garanteres i praksis, bør der være oprettet en uafhængig tilsynsmyndighed med beføjelser til at overvåge og sikre, at databeskyttelsesreglerne overholdes. Denne myndighed bør være fuldstændig uafhængig og upartisk i udførelsen af sine opgaver og udøvelsen af sine beføjelser.

(86)

I Det Forenede Kongerige varetages tilsynet med og håndhævelsen af UK GDPR og DPA 2018 af Information Commissioner. Information Commissioner er en »Corporation Sole«, dvs. en særskilt juridisk enhed, der består af en enkelt person. I sit arbejde bistås Information Commissioner af et kontor. Den 31. marts 2020 havde Information Commissioners kontor 768 fastansatte medarbejdere (81). Information Commissioner er underlagt Department for Digital, Culture, Media and Sport (82).

(87)

Information Commissioners uafhængighed er udtrykkeligt fastsat i artikel 52 i UK GDPR, hvor der ikke foretages væsentlige ændringer af databeskyttelsesforordningens artikel 52, stk. 1-3. Information Commissioner skal handle helt uafhængigt i forbindelse med varetagelsen af sine opgaver og udøvelsen af sine beføjelser i overensstemmelse med UK GDPR, være fri for udefrakommende indflydelse, hvad enten den er direkte eller indirekte, i forbindelse med disse opgaver og beføjelser og hverken søge eller modtage instrukser fra nogen. Desuden skal Information Commissioner afholde sig fra enhver handling, der er uforenelig med karakteren af dennes hverv, ligesom vedkommende under udøvelsen af sit hverv ikke må udøve nogen uforenelig lønnet eller ulønnet erhvervsmæssig virksomhed.

(88)

Betingelserne for udpegelse og afskedigelse af Information Commissioner er fastsat i Schedule 12 til DPA 2018. Information Commissioner udnævnes af Storbritanniens dronning efter indstilling fra regeringen i henhold til en fair og åben udvælgelsesprøve. Ansøgerne til stillingen skal have relevante kvalifikationer, færdigheder og kompetencer. I overensstemmelse med Governance Code on Public Appointments (forvaltningsloven om offentlige udnævnelser) (83) udarbejder et rådgivende vurderingsudvalg en liste over kandidater, der kan udnævnes. Inden Secretary of State at the Department for Digital, Culture, Media and Sport træffer sin endelige afgørelse, skal det relevante særlige udvalg i parlamentet foretage en kontrol forud for udnævnelsen. Udvalgets holdning offentliggøres (84).

(89)

Information Commissioner har en mandatperiode på op til syv år. Den samme person kan ikke udpeges til Information Commissioner mere end én gang. Information Commissioner kan afskediges af dronningen efter forslag (»Address«) fra begge parlamentets kamre (85). En anmodning om afskedigelse af Information Commissioner kan ikke indgives til nogen af parlamentets kamre, medmindre en minister har forelagt en rapport, hvoraf det fremgår, at han eller hun finder det godtgjort, at Information Commissioner har begået en alvorlig forseelse, og/eller at vedkommende ikke længere opfylder de betingelser, der er nødvendige for varetagelsen af vedkommendes opgaver (86).

(90)

Finansieringen af Information Commissioner kommer fra tre kilder, nemlig i) databeskyttelsesafgifter, der betales af dataansvarlige, og som er fastsatSecretary of States bestemmelser (87) (Data Protection (Charges and Information) Regulations 2018) og udgør 85-90 % af kontorets årlige budget (88), ii) tilskud i form af støtte, som regeringen yder til Information Commissioner, og som hovedsagelig anvendes til at finansiere Information Commissioners driftsomkostninger i forbindelse med opgaver, der ikke vedrører databeskyttelse (89), og iii) gebyrer for tjenesteydelser (90). På nuværende tidspunkt opkræves der ikke sådanne gebyrer.

(91)

Information Commissioners generelle opgaver i forbindelse med behandling af personoplysninger, som UK GDPR finder anvendelse på, er fastsat i artikel 57 i UK GDPR, som i høj grad afspejler de tilsvarende regler i forordning (EU) 2016/679. Disse opgaver omfatter overvågning og håndhævelse af UK GDPR, fremme af offentlighedens bevidsthed, behandling af klager indgivet af de registrerede, gennemførelse af undersøgelser osv. Derudover pålægger Section 115 i DPA 2018 Information Commissioner en række andre generelle opgaver, herunder en pligt til at rådgive parlamentet, regeringen og andre institutioner og organer om lovgivningsmæssige og administrative foranstaltninger vedrørende beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger og beføjelse til på Information Commissioners eget initiativ eller efter anmodning at afgive udtalelser til parlamentet, regeringen eller andre institutioner og organer samt til offentligheden om ethvert spørgsmål vedrørende beskyttelse af personoplysninger. Af hensyn til opretholdelsen af retsvæsenets uafhængighed har Information Commissioner ikke bemyndigelse til at udøve sine funktioner i forbindelse med behandling af personoplysninger, som foretages af en person, der handler i egenskab af domstol, eller en ret, som handler i sin egenskab af domstol. Tilsynet med retsvæsenet varetages imidlertid af specialiserede organer (se betragtning 99 til 103.

(92)

Information Commissioners beføjelser er fastsat i artikel 58 i UK GDPR, som ikke indfører væsentlige ændringer af den tilsvarende artikel i forordning (EU) 2016/679. I DPA 2018 er der fastsat supplerende regler for, hvordan disse beføjelser kan udøves. Information Commissioner har navnlig beføjelse til at a) pålægge den dataansvarlige og databehandleren (og under visse omstændigheder enhver anden person) at fremlægge nødvendige oplysninger ved at sende en anmodning om oplysninger (»information notice«) (91), b) gennemføre undersøgelser og revisioner ved at sende et vurderingsvarsel (»assessment notice«) (92), hvori det kan kræves, at den dataansvarlige eller databehandleren giver Information Commissioner tilladelse til at få adgang til bestemte lokaler, inspicere eller undersøge dokumenter eller udstyr, interviewe personer, der behandler personoplysninger på vegne af den dataansvarlige, osv.), c) på anden måde få adgang til dataansvarliges og databehandleres dokumenter m.v. og deres lokaler i overensstemmelse med Section 154 i DPA 2018 (»powers of entry and inspection« — adgangs- og undersøgelsesbeføjelser), d) udøve korrigerende beføjelser, bl.a. ved brug af advarsler og irettesættelser, eller udstede påbud ved hjælp af en »enforcement notice« (håndhævelsesmeddelelse), der pålægger dataansvarlige/databehandlere at tage eller undlade at tage bestemte skridt, herunder at gøre alt, hvad der er angivet i artikel 58, stk. 2, litra c)-g) og litra j), i UK GDPR (»enforcement notice«) (93), og e) udstede administrative bøder i form af en »penalty notice« (94) (bødeforlæg). Sidstnævnte kan også udstedes, hvis en offentlig myndighed ikke har overholdt bestemmelserne i UK GDPR (95).

(93)

I ICO's Regulatory Action Policy (politik for reguleringsmæssige foranstaltninger) fastsættes de omstændigheder, hvorunder organet vil udstede en »information notice«, »assessment notice«, »enforcement notice« eller »penalty notice« (96). Et »enforcement notice«, der gives som følge af en dataansvarligs eller databehandlers manglende overholdelse, må kun stille krav, som Information Commissioner finder passende med henblik på at afhjælpe fejlen. Der kan udstedes en »enforcement notice« og en »penalty notice« til en dataansvarlig eller databehandler vedrørende overtrædelser af kapitel II i UK GDPR (principper for behandling), artikel 12-22 (den registreredes rettigheder), artikel 25-39 (dataansvarliges og databehandleres forpligtelser) og artikel 44-49 (internationale overførsler) i UK GDPR. Der kan også gives en »enforcement notice«, hvis en dataansvarlig ikke har overholdt kravet om betaling af en afgift i henhold til Section 137 i DPA 2018. Desuden kan et kontrolorgan i henhold til artikel 41 eller et certificeringsorgan få en »enforcement notice«, hvis det ikke opfylder sine forpligtelser i henhold til UK GDPR. Der kan også gives en »penalty notice« til en person, der ikke har efterkommet en »information notice«, en »assessment notice« eller en »enforcement notice«.

(94)

I en »penalty notice« pålægges modtageren at betale Information Commissioner et beløb, der er anført i bødeforlægget. Når Information Commissioner vurderer, om der skal gives en »penalty notice« til en person, og fastsætter sanktionens størrelse, skal vedkommende tage hensyn til de forhold, der er anført i artikel 83, stk. 1 og 2, i UK GDPR, som er identiske med de tilsvarende regler i forordning (EU) 2016/679 (97). I henhold til artikel 83, stk. 4 og 5, kan de administrative bøder i tilfælde af manglende overholdelse af de forpligtelser, der er omhandlet i disse bestemmelser, højst udgøre henholdsvis 8 700 000 GBP og 17 500 000 GBP. Hvis der er tale om en virksomhed, kan Information Commissioner dog også pålægge bøder i procent af den årlige omsætning på verdensplan, hvis dette beløb er højere. Som i de tilsvarende bestemmelser i forordning (EU) 2016/679 er disse beløb fastsat til henholdsvis 2 % og 4 % i henholdsvis artikel 83, stk. 4 og 5. I tilfælde af manglende efterkommelse af en »information notice«, en »assessment notice« eller en »enforcement notice« er maksimumsbeløbet for den sanktion, der kan pålægges ved en »penalty notice«, 17 500 000 GBP eller for en virksomheds vedkommende 4 % af den årlige omsætning på verdensplan, afhængigt af hvilket beløb der er højest.

(95)

UK GDPR har sammen med DPA 2018 også styrket en række andre af Information Commissioners beføjelser. For eksempel kan Information Commissioner nu gennemføre obligatoriske revisioner af alle dataansvarlige og databehandlere ved hjælp af »assessment notices«, mens Information Commissioner i henhold til den tidligere lovgivning, Data Protection Act 1998, kun havde denne beføjelse med hensyn til centrale statslige organisationer, herunder sundhedsorganisationer, idet andre skulle acceptere en revision.

(96)

Siden indførelsen af forordning (EU) 2016/679 har ICO behandlet ca. 40 000 klager fra registrerede om året, (98) og desuden foretager ICO ca. 2 000 undersøgelser på eget initiativ (99). Størstedelen af klagerne vedrører retten til indsigt i og videregivelse af oplysninger. På baggrund af sine undersøgelser træffer Information Commissioner håndhævelsesforanstaltninger i en bred vifte af sektorer. Mere specifikt har Information Commissioner ifølge sin seneste årsberetning (2019-2020) (100) udsendt 54 »information notices«, otte »assessment notices«, syv »enforcement notices«, fire advarsler, otte meddelelser om retsforfølgning og 15 bøder i rapporteringsperioden (101).

(97)

Der er bl.a. tale om adskillige betydelige økonomiske sanktioner, som er pålagt i henhold til forordning (EU) 2016/679 og DPA 2018. Navnlig pålagde Information Commissioner i oktober 2020 et britisk luftfartsselskab en bøde på 20 mio. GBP for brud på datasikkerheden, der berørte mere end 400 000 kunder. Ved udgangen af oktober 2020 blev en international hotelkæde pålagt at betale en bøde på 18,4 mio. GBP for manglende sikker opbevaring af millioner af kunders personoplysninger, og i november 2020 blev en britisk forhandler af billetter til arrangementer online idømt en bøde på 1,25 mio. GBP for manglende beskyttelse af kundernes betalingsoplysninger (102).

(98)

Information Commissioner har en række håndhævelsesbeføjelser, som er beskrevet i betragtning 92. Derudover findes der visse overtrædelser af databeskyttelseslovgivningen, som udgør strafbare handlinger og derfor kan gøres til genstand for strafferetlige sanktioner (Section 196 i DPA 2018). Der kan f.eks. være tale om bevidst eller letsindig indhentning eller videregivelse af personoplysninger uden den dataansvarliges samtykke, videregivelse af personoplysninger til en anden person uden den dataansvarliges samtykke (103), fornyet identificering af anonymiserede personoplysninger uden samtykke fra den dataansvarlige, der er ansvarlig for at anonymisere oplysningerne (104), bevidst hindring af, at Information Commissioner udøver sine beføjelser med hensyn til gennemgang af personoplysninger i overensstemmelse med internationale forpligtelser (105), afgivelse af falske erklæringer som svar på en »information notice« eller tilintetgørelse af oplysninger i forbindelse med »information notices« eller »assessment notices« (106).

(99)

Tilsynet med domstolenes og retsvæsenets behandling af personoplysninger er dobbelt. Hvis en indehaver af et retsligt embede eller en ret ikke udøver retslig myndighed, fører ICO tilsyn. Hvis den dataansvarlige udøver retslig myndighed, kan ICO ikke udøve sine kontrolfunktioner (107), og kontrollen udføres af særlige organer. Dette afspejler tilgangen i forordning (EU) 2016/679 (artikel 55, stk. 3).

(100)

For så vidt angår det andet tilfælde vedrørende retterne i England og Wales og First Tier (ret i første instans) og Upper Tribunals (appeldomstole) i England og Wales udøves denne kontrol navnlig af Judicial Data Protection Panel (108). Desuden har Lord Chief Justice og Senior President of Tribunals udstedt en Privacy Notice (109), som beskriver, hvordan domstolene i England og Wales behandler personoplysninger med henblik på en judiciel funktion. En lignende notice er blevet udstedt af de nordirske (110) og skotske domstole (111).

(101)

I Nordirland har Lord Chief Justice i Nordirland desuden udnævnt en dommer ved High Court til Data Supervisory Judge (datatilsynsdommer, DSJ) (112). Der er også udsendt vejledninger til det nordirske retsvæsen om, hvad de skal gøre i tilfælde af tab eller potentielt tab af data, og om processen for håndtering af eventuelle problemer, der måtte opstå som følge heraf (113).

(102)

I Skotland har Lord President udnævnt en dommer med ansvar for datatilsyn, som skal undersøge eventuelle klager vedrørende databeskyttelse. Dette er fastsat i de judicielle klageregler, der svarer til reglerne for England og Wales (114).

(103)

Endelig bør det nævnes, at en af præsidenterne ved den øverste domstol udpeges til at føre tilsyn med databeskyttelsen.

(104)

Med henblik på at sikre tilstrækkelig beskyttelse og navnlig håndhævelse af individuelle rettigheder bør den registrerede have effektive muligheder for administrativ og retslig prøvelse, herunder skadeserstatning.

(105)

For det første har den registrerede ret til at indgive en klage til Information Commissioner, hvis han eller hun mener, at der i forbindelse med personoplysninger om vedkommende er tale om en overtrædelse af UK GDPR (115). UK GDPR bibeholder bestemmelserne i artikel 77 i forordning (EU) 2016/679 om denne ret uden væsentlige ændringer. Det samme gælder artikel 57, stk. 1, litra f), og stk. 2, der fastsætter Information Commissioners opgaver i forbindelse med behandling af klager. Som beskrevet i betragtning 92 til 98 ovenfor har Information Commissioner beføjelse til at vurdere den dataansvarliges og databehandlerens overholdelse af UK GDPR og DPA 2018, pålægge dem at træffe eller undlade at træffe bestemte foranstaltninger i tilfælde af manglende overholdelse og pålægge bøder.

(106)

For det andet sikrer UK GDPR og DPA 2018 adgang til retsmidler over for Information Commissioner. I henhold til artikel 78, stk. 1, i UK GDPR har en person ret til effektive retsmidler mod en juridisk bindende afgørelse truffet af Information Commissioner vedrørende vedkommende. I forbindelse med domstolsprøvelsen undersøger dommeren den afgørelse, der anfægtes i klagen, og undersøger, om Information Commissioner har handlet lovligt. Desuden har (116) klageren i henhold til artikel 78, stk. 2, i UK GDPR adgang til retsmidler, hvis Information Commissioner ikke behandler vedkommendes klage korrekt. Klageren kan anmode en First Tier Tribunal (førsteinstansret) om at pålægge Information Commissioner at træffe passende foranstaltninger til at besvare klagen eller underrette klageren om de fremskridt, der gøres i behandlingen af klagen (117). Desuden kan enhver person, som Information Commissioner forkynder en af ovennævnte meddelelser (»information notice«, »assessment notice«, »enforcement notice« eller »penalty notice«) over for, indbringe sagen for en First Tier Tribunal (118). Hvis denne First Tier Tribunal finder, at Information Commissioners afgørelse ikke er i overensstemmelse med loven, eller hvis Information Commissioner burde have udøvet sin skønsbeføjelse anderledes, skal retten tage appellen til følge eller erstatte en anden meddelelse eller afgørelse, som Information Commissioner måtte have forkyndt eller truffet.

(107)

For det tredje kan enkeltpersoner anlægge sag direkte mod dataansvarlige og databehandlere ved domstolene i henhold til artikel 79 i UK GDPR og Section 167 i DPA 2018. Hvis en domstol efter anmodning fra en registreret finder det godtgjort, at der er sket en krænkelse af den registreredes rettigheder i henhold til databeskyttelseslovgivningen, kan domstolen pålægge den dataansvarlige for så vidt angår behandlingen eller en databehandler, der handler på vegne af den dataansvarlige, at træffe de foranstaltninger, der er angivet i kendelsen, eller at undlade at træffe de foranstaltninger, der er angivet i kendelsen.

(108)

I henhold til artikel 82 i UK GDPR og Section 168 i DPA 2018 har enhver person, der har lidt materiel eller immateriel skade som følge af en overtrædelse af UK GDPR, desuden ret til erstatning for den lidte skade fra den dataansvarlige eller databehandleren. Reglerne om erstatning og ansvar i artikel 82, stk. 1-5, i UK GDPR er identiske med de tilsvarende regler i forordning (EU) 2016/679. I henhold til Section 168 i DPA 2018 omfatter ikkemateriel skade også overlast. I henhold til artikel 80 i UK GDPR har den registrerede også ret til at bemyndige et repræsentativt organ eller en organisation til at indgive klagen til Information Commissioner på dennes vegne (i henhold til artikel 77 i UK GDPR) og til at udøve de rettigheder, der er omhandlet i artikel 78 (ret til adgang til effektive retsmidler mod Information Commissioner), artikel 79 (ret til effektive retsmidler mod en dataansvarlig eller databehandler) og artikel 82 (ret til erstatning og ansvar) i UK GDPR på hans eller hendes vegne.

(109)

Ud over disse klagemuligheder kan enhver person, der mener, at vedkommendes rettigheder, herunder retten til privatlivets fred og beskrevet ovenfor databeskyttelse, er blevet krænket af offentlige myndigheder, indbringe sagen for domstolene i Det Forenede Kongerige i henhold til Human Rights Act 1998 (119). En person, der hævder, at en offentlig myndighed har handlet (eller agter at handle) på en måde, der er uforenelig med en konventionsbaseret rettighed og dermed ulovlig i henhold til Section 6(1) i Human Rights Act 1998, kan anlægge sag mod myndigheden ved den relevante domstol eller påberåbe sig de pågældende rettigheder i en retssag, hvis vedkommende er (eller ville være) offer for den ulovlige handling.

(110)

Hvis retten fastslår, at en handling fra en offentlig myndigheds side er ulovlig, kan den træffe en sådan foranstaltning, anvende et sådant retsmiddel eller træffe en sådan afgørelse inden for rammerne af sine beføjelser, som den finder passende (120). Retten kan også erklære en bestemmelse i den primære lovgivning uforenelig med en ret i henhold til en konvention.

(111)

Endelig kan en person efter at have udtømt mulighederne i de nationale retsmidler indbringe en klage for Den Europæiske Menneskerettighedsdomstol over krænkelser af de rettigheder, der er garanteret i henhold til den europæiske menneskerettighedskonvention.

(112)

Kommissionen har også vurderet Det Forenede Kongeriges retlige ramme for Det Forenede Kongeriges offentlige myndigheders indsamling og efterfølgende anvendelse af personoplysninger, der overføres til erhvervsdrivende i Det Forenede Kongerige, i offentlighedens interesse, navnlig med henblik på retshåndhævelse og national sikkerhed (i det følgende benævnt »myndighedsadgang«). Ved vurderingen af, om de betingelser, hvorunder myndighedsadgangen til oplysninger, der overføres til Det Forenede Kongerige i medfør af denne afgørelse, opfylder væsentlighedskriteriet i henhold til artikel 45, stk. 1, i forordning (EU) 2016/679, som fortolket af Den Europæiske Unions Domstol i lyset af chartret om grundlæggende rettigheder, har Kommissionen navnlig taget hensyn til følgende kriterier.

(113)

For det første skal enhver begrænsning af retten til beskyttelse af personoplysninger være fastsat ved lov, og det retsgrundlag, der gør det muligt at gribe ind i en sådan ret, skal selv fastlægge omfanget af begrænsningen af udøvelsen af den pågældende rettighed (121).

(114)

For at opfylde kravet om proportionalitet, som indebærer, at undtagelser fra og begrænsninger af beskyttelsen af personoplysninger kun finder anvendelse i det omfang, det er strengt nødvendigt i et demokratisk samfund for at opfylde specifikke mål af almen interesse svarende til dem, der er anerkendt af Unionen, skal den lovgivning i det pågældende tredjeland, der tillader dette indgreb, for det andet fastsætte klare og præcise regler for omfanget og anvendelsen af de pågældende foranstaltninger og fastsætte minimumsgarantier, således at de personer, hvis oplysninger er blevet videregivet, har tilstrækkelige garantier til effektivt at beskytte deres personoplysninger mod risikoen for misbrug (122). Lovgivningen skal navnlig angive, under hvilke omstændigheder og på hvilke betingelser der kan vedtages (123) en foranstaltning om behandling af sådanne oplysninger. Desuden skal den sikre et uafhængigt tilsyn med, at disse krav opfyldes (124).

(115)

For det tredje skal den pågældende lovgivning være retligt bindende i henhold til national ret, og disse retlige krav skal ikke blot være bindende for myndighederne, men også kunne håndhæves ved domstolene over for myndighederne i det pågældende tredjeland (125). De registrerede skal navnlig have mulighed for at anlægge sag ved en uafhængig og upartisk domstol for at få adgang til deres personoplysninger eller for at få dem berigtiget eller slettet (126).

(116)

Hvis offentlige myndigheder opnår adgang til oplysninger i forbindelse med udøvelse af beføjelser i Det Forenede Kongerige, skal det ske under fuld overholdelse af loven. Det Forenede Kongerige har ratificeret den europæiske menneskerettighedskonvention (se betragtning 9), og alle offentlige myndigheder i Det Forenede Kongerige skal handle i overensstemmelse med konventionen (127). Konventionens artikel 8 bestemmer, at ethvert indgreb i privatlivets fred skal være i overensstemmelse med loven, tjene et af formålene i artikel 8, stk. 2, og stå i rimeligt forhold til dette formål. Artikel 8 kræver også, at indgrebet skal være »forudsigeligt«, dvs. at det har et klart og tilgængeligt retsgrundlag, og at loven indeholder passende garantier til at forhindre misbrug.

(117)

Desuden har Den Europæiske Menneskerettighedsdomstol i sin retspraksis præciseret, at ethvert indgreb i retten til privatlivets fred og databeskyttelse bør være underlagt et effektivt, uafhængigt og upartisk tilsynssystem, som enten en dommer eller et andet uafhængigt organ (128) (f.eks. en administrativ myndighed eller et parlamentarisk organ) stiller til rådighed.

(118)

Desuden skal enkeltpersoner have adgang til effektive retsmidler, og Den Europæiske Menneskerettighedsdomstol har præciseret, at disse retsmidler skal tilbydes af et uafhængigt og upartisk organ, der har vedtaget sin egen forretningsorden, og som består af medlemmer, der skal have eller have haft et højt dommerembede, eller erfarne advokater, og at der ikke må være nogen bevisbyrde, der skal overvindes for at indgive en ansøgning til den. Når det uafhængige og upartiske organ foretager sin undersøgelse af klager fra enkeltpersoner, bør det have adgang til alle relevante oplysninger, herunder fortrolige oplysninger. Endelig bør organet have beføjelse til at afhjælpe manglende overholdelse (129).

(119)

Det Forenede Kongerige har også ratificeret Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (konvention 108) og undertegnet protokollen om ændring af konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (konvention 108+) i 2018 (130). Artikel 9 i konvention nr. 108 bestemmer, at undtagelser fra de generelle databeskyttelsesprincipper (artikel 5 om oplysningernes kvalitet), reglerne for særlige kategorier af oplysninger (artikel 6) og den registreredes rettigheder (artikel 8 om yderligere garantier for den registrerede) kun kan indrømmes, hvis en sådan undtagelse er fastsat i det pågældende lands lovgivning og udgør en nødvendig foranstaltning i et demokratisk samfund af hensyn til statens sikkerhed, den offentlige sikkerhed, statens monetære interesser eller bekæmpelsen af strafbare handlinger eller beskyttelsen af den registrerede eller andres rettigheder og frihedsrettigheder (131).

(120)

Som følge af medlemskabet af Europarådet, tilslutningen til den europæiske menneskerettighedskonvention og anerkendelse af Den Europæiske Menneskerettighedsdomstols kompetence er Det Forenede Kongerige derfor underlagt en række forpligtelser, der er fastsat i folkeretten, og som fastlægger landets system for myndighedsadgang på grundlag af principper, garantier og individuelle rettigheder svarende til dem, der er garanteret i henhold til EU-retten og finder anvendelse på medlemsstaterne. Som understreget i betragtning 19 er fortsat overholdelse af sådanne instrumenter derfor et særligt vigtigt element i den vurdering, som denne afgørelse er baseret på.

(121)

Endvidere sikrer DPA 2018 en række specifikke databeskyttelsesgarantier og -rettigheder, når data behandles af offentlige myndigheder, herunder retshåndhævende organer og organer med ansvar for statens sikkerhed.

(122)

Navnlig er ordningen for behandling af personoplysninger i forbindelse med strafferetlig håndhævelse fastsat i Part 3 i DPA 2018, som blev vedtaget for at gennemføre direktiv (EU) 2016/680. Part 3 i DPA 2018 finder anvendelse på kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed (132).

(123)

Begrebet »kompetent myndighed« er fastsat i Section 30, DPA, som en person, der er opført på fortegnelsen i DPA 2018, Schedule 7, samt enhver anden person, i det omfang personen har lovbestemte funktioner i forbindelse med et hvilket som helst retshåndhævelsesformål (133). Som forklaret nedenfor (se betragtning 139) kan visse kompetente myndigheder (f.eks. National Crime Agency (det nationale kontor for kriminalitet)) på visse betingelser gøre brug af de beføjelser, der er fastsat i Investigatory Power Act 2016 (IPA 2016). I dette tilfælde vil de garantier, der er fastsat i IPA 2016, finde anvendelse ud over dem, der er fastsat i Part 3 i DPA 2018. Efterretningstjenesterne (Secret Intelligence Service, Security Service og Government Communications Headquarters) er ikke »kompetente myndigheder« (134) henhørende under Part 3 i DPA 2018, og derfor finder reglerne ikke anvendelse på deres aktiviteter. En specifik del af DPA 2018 (Part 4) omhandler efterretningstjenesternes behandling af personoplysninger (se betragtning 125 for yderligere oplysninger).

(124)

Ligesom direktiv (EU) 2016/680 fastsætter Part 3 i DPA 2018 principperne om lovlighed og rimelighed (135), formålsbegrænsning (136), dataminimering (137), nøjagtighed (138), opbevaringsbegrænsning (139) og sikkerhed (140). Lovgivningen pålægger specifikke gennemsigtighedsforpligtelser (141) og giver enkeltpersoner ret til indsigt (142), berigtigelse og sletning (143) og ret til ikke at være genstand for automatisk beslutningstagning (144). De kompetente myndigheder skal også gennemføre databeskyttelse gennem design og databeskyttelse gennem standardindstillinger, føre fortegnelser over behandlingsaktiviteter og, i forbindelse med visse behandlingsaktiviteter, foretage konsekvensanalyser vedrørende databeskyttelse og på forhånd rådføre sig med Information Commissioner (145). I henhold til Section i DPA 2018 skal de påvise overensstemmelse. De er desuden forpligtet til at træffe passende foranstaltninger til at garantere behandlingssikkerheden (146), ligesom de er underlagt særlige forpligtelser i tilfælde af brud på datasikkerheden, bl.a. med hensyn til anmeldelse af sådanne brud til Information Commissioner og registrerede (147). Som det er tilfældet i direktiv (EU) 2016/680, er der også et krav om, at en dataansvarlig (medmindre der er tale om en domstol eller en anden retsmyndighed, der handler i sin egenskab af domstol) skal udpege en databeskyttelsesrådgiver (148), som bistår den dataansvarlige med at opfylde sine forpligtelser og overvåge ovennævnte overensstemmelse (149). Desuden indeholder lovgivningen særlige krav til internationale overførsler af personoplysninger til tredjelande eller internationale organisationer med henblik på retshåndhævelse for at sikre kontinuitet i beskyttelsen (150). På datoen for vedtagelse af denne afgørelse har Kommissionen vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet på grundlag af artikel 36, stk. 3, i direktiv (EU) 2016/680, hvori det fastslås, at den databeskyttelsesordning, der gælder for Det Forenede Kongeriges strafferetshåndhævende myndigheders behandling af oplysninger, sikrer et beskyttelsesniveau, som i det væsentlige svarer til det, der sikres ved direktiv (EU) 2016/680.

(125)

Part 4 i DPA 2018 finder anvendelse på al behandling, der foretages af eller på vegne af efterretningstjenesterne. Navnlig fastsætter denne del de vigtigste databeskyttelsesprincipper (lovlighed, rimelighed og gennemsigtighed (151), formålsbegrænsning (152), dataminimering (153), nøjagtighed (154), opbevaringsbegrænsning (155) og sikkerhed (156)). Derudover fastsætter den en række betingelser for behandling af særlige kategorier af oplysninger (157), ligesom den fastlægger de registreredes rettigheder (158), kræver databeskyttelse gennem design (159) og regulerer internationale overførsler af personoplysninger (160). ICO har for nylig udsendt detaljerede retningslinjer for efterretningstjenesternes behandling i henhold til Part 4 i DPA 2018 (161).

(126)

Samtidig indeholder Section 110 i DPA 2018 en undtagelse fra bestemte bestemmelser i Part 4 i DPA 2018 (162), når en sådan undtagelse er nødvendig af hensyn til statens sikkerhed. Denne undtagelse kan gøres gældende på grundlag af en vurdering af den konkrete sag (163). Som forklaret af Det Forenede Kongeriges myndigheder og bekræftet af retspraksis skal en »dataansvarlig overveje de faktiske konsekvenser for statens sikkerhed eller det nationale forsvar, hvis vedkommende skal overholde den særlige databeskyttelsesbestemmelse, og vurdere, om vedkommende med rimelighed kan overholde den sædvanlige regel uden at påvirke statens sikkerhed eller det nationale forsvar« (164). ICO fører tilsyn med, om undtagelser er blevet anvendt korrekt (165).

(127)

Hvad angår muligheden for at begrænse anvendelsen af ovenstående specifikke bestemmelser i henhold til Section 111 i DPA 2018 med henblik på beskyttelse af »statens sikkerhed«, gælder det desuden, at en dataansvarlig kan anmode om et certifikat underskrevet af en minister eller Attorney General (regeringens og statens øverste juridiske rådgiver), der bekræfter, at en begrænsning af sådanne rettigheder er en nødvendig og forholdsmæssig foranstaltning til beskyttelse af statens sikkerhed (166).

(128)

Det Forenede Kongeriges regering har udstedt retningslinjer for at hjælpe dataansvarlige, når de overvejer, om de skal ansøge om et certifikat vedrørende statens sikkerhed i henhold til DPA 2018. Heri fremhæves det navnlig, at enhver begrænsning af registreredes ret til beskyttelse af hensyn til statens sikkerhed skal være forholdsmæssig og nødvendig (167). Alle nationale sikkerhedscertifikater skal offentliggøres på ICO's websted (168).

(129)

Certifikatet bør have en fast gyldighedsperiode på højst fem år, så det regelmæssigt tages op til revision af den udøvende magt (169). Certifikatet skal identificere de personoplysninger eller kategorier af personoplysninger, der er omfattet af undtagelsen, samt bestemmelserne i DPA 2018, som undtagelsen finder anvendelse på (170).

(130)

Det er vigtigt at bemærke, at de nationale sikkerhedscertifikater ikke giver yderligere grund til at begrænse databeskyttelsesrettighederne af hensyn til den nationale sikkerhed. Med andre ord kan den dataansvarlige eller databehandleren kun gøre brug af et certifikat, hvis vedkommende har konkluderet, at det er nødvendigt at påberåbe sig undtagelsen af hensyn til statens sikkerhed, der som forklaret ovenfor skal anvendes fra sag til sag (171). Selv om et nationalt sikkerhedscertifikat finder anvendelse på den pågældende sag, kan ICO undersøge, hvorvidt det i et konkret tilfælde var berettiget at påberåbe sig undtagelsen vedrørende statens sikkerhed (172).

(131)

Enhver person, der berøres direkte af udstedelsen af certifikatet, kan appellere udstedelsen til Upper Tribunal (173) eller, hvis certifikatet (174) identificerer data ved brug af en generel beskrivelse, anfægte certifikatets anvendelse på specifikke data (175). Domstolen tager afgørelsen om at udstede et certifikat op til fornyet overvejelse og afgør, om der var rimelige grunde til at udstede certifikatet (176). Den kan tage stilling til en lang række spørgsmål om bl.a. nødvendighed, proportionalitet og lovlighed under hensyntagen til indvirkningen på de registreredes rettigheder og afvejningen af behovet for at beskytte statens sikkerhed. Som følge heraf kan domstolen fastslå, at certifikatet ikke finder anvendelse på specifikke personoplysninger, der er genstand for klagen (177).

(132)

Der findes en anden gruppe af mulige begrænsninger, som i henhold til Schedule 11 til DPA 2018 (178) finder anvendelse på visse bestemmelser i Part 4 i DPA 2018 for at beskytte andre vigtige mål af almen interesse eller beskyttede interesser såsom f.eks. parlamentarisk privilegium, beskyttelse af fortroligheden mellem advokat og klient, gennemførelse af retslige procedurer og sikring af de væbnede styrkers kampeffektivitet (179). Der findes undtagelser for anvendelsen af disse bestemmelser enten for visse kategorier af oplysninger (»klassebaseret«) eller i det omfang, at anvendelsen af disse bestemmelser vil kunne skade den beskyttede interesse (»forudsætningsbaseret«) (180). Skadebaserede undtagelser kan kun påberåbes, for så vidt anvendelsen af den pågældende databeskyttelsesbestemmelse sandsynligvis vil skade den pågældende specifikke interesse. Anvendelsen af en undtagelse skal derfor altid begrundes med henvisning til den relevante skade, der sandsynligvis vil forekomme i det enkelte tilfælde. En klassebaseret undtagelse kan kun påberåbes i forbindelse med den specifikke, snævert definerede kategori af oplysninger, for hvilken undtagelsen indrømmes. Med hensyn til formål og virkning svarer disse til flere af undtagelserne fra UK GDPR (i henhold til Schedule 2 til DPA 2018), som igen afspejler undtagelserne i artikel 23 i GDPR.

(133)

Det følger af ovenstående, at der er indført begrænsninger og betingelser i henhold til de gældende britiske lovbestemmelser, som også fortolket af domstolene og Information Commission, for at sikre, at disse undtagelser og restriktioner holdes inden for grænserne af, hvad der er nødvendigt og rimeligt for at beskytte statens sikkerhed.

(134)

Det Forenede Kongeriges lovgivning pålægger en række begrænsninger af adgangen til og brugen af personoplysninger til retshåndhævelsesformål på det strafferetlige område og indeholder en række kontrol- og klagemekanismer på dette område, som er i overensstemmelse med de krav, der er omhandlet i betragtning 113 til 115 i denne afgørelse. De betingelser, hvorunder en sådan adgang kan finde sted, og de garantier, der gælder for udøvelsen af disse beføjelser, vurderes nærmere i de følgende afsnit.

(135)

I henhold til det princip om lovlighed, der er sikret ved Section 35 i DPA 2018, er behandling af personoplysninger til et hvilket som helst retshåndhævelsesformål kun lovlig, hvis den er baseret på loven, og enten den registrerede har givet samtykke til behandlingen med henblik på dette formål (181), eller behandlingen er nødvendig for, at en kompetent myndighed kan udføre en opgave med henblik på formålet.

(136)

Det Forenede Kongeriges retlige ramme tillader indsamling af personoplysninger fra erhvervsdrivende med henblik på strafferetlig håndhævelse på grundlag af ransagningskendelser (182) og editionskendelser (183). Dette gælder også erhvervsdrivende, der behandler oplysninger, som overføres fra EU i henhold til denne afgørelse om tilstrækkeligheden af beskyttelsesniveauet.

(137)

Ransagningskendelser udstedes af en domstol, normalt efter anmodning fra efterforskeren. De gør det muligt for efterforskeren at få adgang til lokaler for at søge efter materiale eller personer, der er relevante for deres efterforskning, og tilbageholde alt, hvad der er tilladt at søge efter, herunder alle relevante dokumenter og materiale, der indeholder personoplysninger (184). En editionskendelse, som også skal udstedes af en domstol, pålægger den person, der er anført i den, at fremlægge eller give adgang til materiale, som vedkommende er i besiddelse af eller har kontrol over. Vedkommende, som ansøger om en ransagningskendelse eller editionskendelse, skal over for retten begrunde, hvorfor den er nødvendig, og hvorfor brugen af den er i almenhedens interesse. Der er flere lovfæstede beføjelser, der gør det muligt at udstede ransagningskendelser og editionskendelser. Hver bestemmelse har sine egne lovbestemte betingelser, som skal være opfyldt, for at der kan udstedes en ransagningskendelse (185) eller en editionskendelse (186).

(138)

Editionskendelser og ransagningskendelser kan anfægtes ved domstolsprøvelse (187). Af beskyttelseshensyn må strafferetshåndhævende myndigheder i henhold til Part 3 i DPA 2018 kun få adgang til personoplysninger — hvilket er en form for behandling — i overensstemmelse med principperne og kravene i DPA 2018 (se betragtning 122 og 124 ovenfor). En anmodning fra en retshåndhævende myndighed bør derfor være i overensstemmelse med princippet om, at formålet med behandlingen skal angives og være udtrykkeligt og legitimt (188), og at de personoplysninger, der behandles af en kompetent myndighed, skal være relevante for dette formål og ikke være uforholdsmæssige (189).

(139)

Med henblik på at forebygge eller afsløre alvorlig kriminalitet (190) kan visse retshåndhævende myndigheder, herunder National Crime Agency (det nationale kontor for kriminalitet) og Chief of Police (191) (politichefen), anvende målrettede efterforskningsbeføjelser i henhold til IPA 2016. I dette tilfælde vil de garantier, der er fastsat i IPA 2016, finde anvendelse ud over dem, der er fastsat i Part 3 i DPA 2018. De specifikke efterforskningsbeføjelser, som disse retshåndhævende myndigheder kan påberåbe sig, er: målrettet aflytning (Part 2 i IPA 2016), indsamling af kommunikationsdata (Part 3 i IPA 2016), opbevaring af kommunikationsdata (Part 4 i IPA 2016) og målrettet indgreb i udstyr (Part 5 i IPA 2016). Aflytning omfatter erhvervelse af indholdet af en kommunikation (192), mens indsamling og opbevaring af kommunikationsdata ikke har til formål at erhverve indholdet af kommunikationen, men at registrere »hvem«, »hvornår«, »hvor« og »hvordan« i forbindelse med kommunikationen. Dette omfatter f.eks. tidspunktet for kommunikationen og dens varighed, afsenderens og modtagerens telefonnummer eller e-mailadresse og nogle gange placeringen af det udstyr, hvorfra kommunikationen blev foretaget, abonnenten på en telefontjeneste eller en specificeret regning (193). Indgreb i udstyr omfatter en række teknikker, der anvendes til at indhente diverse data fra udstyr, herunder computere, tablets og smartphones samt kabler og lagringsenheder (194).

(140)

Beføjelser til at foretage målrettet aflytning kan også anvendes, når »det er nødvendigt for at gennemføre bestemmelserne i et EU-instrument for gensidig bistand eller en international aftale om gensidig bistand« (en såkaldt »kendelse om gensidig bistand« (195)). Kendelser om gensidig bistand gives kun i forbindelse med aflytning, ikke indsamling af kommunikationsdata eller indgreb i udstyr. Disse målrettede beføjelser er reguleret i Investigatory Powers Act 2016 (IPA 2016) (196), som sammen med Regulation of Investigatory Powers Act 2000 (RIPA) for England, Wales og Nordirland og Regulation of Investigatory Powers (Scotland) Act 2000 (RIPSA) for Skotland fastlægger retsgrundlaget og fastsætter de gældende begrænsninger og garantier for anvendelsen af sådanne beføjelser. IPA 2016 indeholder også bestemmelser om anvendelse af beføjelser til efterforskning af massedata, selv om disse ikke er til rådighed for de retshåndhævende myndigheder (kun efterretningstjenester kan gøre brug af dem) (197).

(141)

For at kunne udøve disse beføjelser skal myndighederne indhente en kendelse (198), der er afsagt af en kompetent myndighed (199) og godkendt af en uafhængig Judicial Commissioner (200) (den såkaldte »double-lock«-procedure). For at indhente en sådan kendelse skal der foretages en nødvendigheds- og proportionalitetstest (201). Eftersom disse målrettede efterforskningsbeføjelser, der er fastsat i IPA 2016, er de samme som dem, der er til rådighed for nationale sikkerhedsagenturer, behandles de betingelser, begrænsninger og garantier, der gælder for sådanne beføjelser, nærmere i afsnittet om Det Forenede Kongeriges offentlige myndigheders adgang til og brug af personoplysninger til nationale sikkerhedsformål (se betragtning 177 ff.).

(142)

En retshåndhævende myndigheds deling af oplysninger med en anden myndighed til andre formål end dem, hvortil de oprindeligt blev indsamlet (såkaldt »videredeling«), er underlagt visse betingelser.

(143)

I lighed med hvad der er fastsat i artikel 4, stk. 2, i direktiv (EU) 2016/680, giver Section 36, stk. 3, i DPA 2018 mulighed for, at personoplysninger, der indsamles af en kompetent myndighed med henblik på retshåndhævelse, efterfølgende kan behandles (enten af den oprindelige dataansvarlige eller af en anden dataansvarlig) med henblik på ethvert andet retshåndhævelsesformål, forudsat at den dataansvarlige ved lov er bemyndiget til at behandle oplysninger til det andet formål, og at behandlingen er nødvendig og står i et rimeligt forhold til dette formål (202). I dette tilfælde finder alle de garantier, der er fastsat i Part 3 i DPA 2018, og som er omhandlet i betragtning 122 og 124 anvendelse på den behandling, der foretages af den modtagende myndighed.

(144)

I Det Forenede Kongeriges retsorden tillader forskellige love udtrykkeligt en sådan videredeling. Navnlig giver Digital Economy Act 2017 (lov om den digitale økonomi) mulighed for deling mellem offentlige myndigheder til flere formål, f.eks. i tilfælde af svig mod den offentlige sektor, som ville medføre tab eller risiko for tab for offentlige myndigheder (203), eller i tilfælde af gæld til en offentlig myndighed eller Kronen (204). ii) Desuden tillader Crime and Courts Act 2013 (lov om kriminalitet og domstole) udveksling af oplysninger med National Crime Agency (205) med henblik på at bekæmpe, efterforske og retsforfølge grov og organiseret kriminalitet. iii) Endelig giver Serious Crime Act 2007 (lov om grov kriminalitet) offentlige myndigheder mulighed for at videregive oplysninger til organisationer, der bekæmper svig, med henblik på at forebygge svig (206).

(145)

Disse love fastsætter udtrykkeligt, at udvekslingen af oplysninger skal være i overensstemmelse med principperne i DPA 2018. Desuden har politiakademiet udarbejdet en vejledning i informationsudveksling (207) for at hjælpe politiet med at opfylde deres databeskyttelsesforpligtelser i henhold til UK GDPR, DPA og Human Rights Act 1998. Udvekslingens overensstemmelse med de gældende retlige rammer for databeskyttelse er naturligvis underlagt domstolskontrol (208).

(146)

I lighed med, hvad der er fastsat i artikel 9 i direktiv (EU) 2016/680, fastsætter DPA 2018 desuden, at personoplysninger, der indsamles med henblik på retshåndhævelse, kan behandles med henblik på et formål, der ikke er retshåndhævelse, når behandlingen er tilladt ved lov (209).

(147)

Denne slags deling omfatter to scenarier, nemlig 1) ét, hvor en retshåndhævende myndighed på det strafferetlige område deler oplysninger med en anden retshåndhævende myndighed end en efterretningsmyndighed (f.eks. en finans- eller skattemyndighed eller en myndighed på området for konkurrence, ungdomsforsorg osv.), og 2) ét, hvor en retshåndhævende myndighed på det strafferetlige område deler data med en efterretningstjeneste. I det første scenarie vil behandlingen af personoplysninger falde ind under anvendelsesområdet for UK GDPR og Part 2 i DPA 2018. Kommissionen har i betragtning 12 til 111 vurderet de garantier, der er fastsat i UK GDPR og Part 2 i DPA 2018, og er nået til den konklusion, at Det Forenede Kongerige sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres inden for anvendelsesområdet for forordning (EU) 2016/679 fra Den Europæiske Union til Det Forenede Kongerige.

(148)

I det andet scenarie vedrørende udveksling af oplysninger indsamlet af en retshåndhævende myndighed på det strafferetlige område med en efterretningstjeneste til formål, der vedrører statens sikkerhed, er retsgrundlaget for en sådan udveksling Section 19 i Counter Terrorism Act 2008 (lov om terrorbekæmpelse) (210). I henhold til denne lov kan enhver person videregive oplysninger til en hvilken som helst efterretningstjeneste med henblik på varetagelse af en hvilken som helst af denne tjenestes funktioner, herunder »statens sikkerhed«.

(149)

Med hensyn til betingelserne for udveksling af oplysninger af hensyn til statens sikkerhed begrænser Intelligence Services Act (211) og Security Service Act (212) efterretningstjenesternes mulighed for at indhente data til, hvad der er nødvendigt for at udføre deres lovbestemte funktioner. De retshåndhævende myndigheder, der ønsker at udveksle oplysninger med efterretningstjenesterne, vil skulle tage hensyn til en række faktorer/begrænsninger ud over de lovbestemte funktioner, der er fastsat i Intelligence Services Act og Security Service Act (213). Section 20 i Counter Terrorism Act 2008 præciserer, at enhver dataudveksling i henhold til Section 19 stadig skal være i overensstemmelse med databeskyttelseslovgivningen, hvilket indebærer, at alle begrænsninger og krav i Part 3 i DPA 2018 finder anvendelse. Da de kompetente myndigheder desuden er offentlige myndigheder i henhold til Human Rights Act 1998, skal de sikre, at de handler i overensstemmelse med rettighederne i konventionerne, herunder EMRK's artikel 8. Disse begrænsninger sikrer, at al dataudveksling mellem de retshåndhævende myndigheder og efterretningstjenesterne er i overensstemmelse med databeskyttelseslovgivningen og EMRK.

(150)

Når en kompetent myndighed har til hensigt at dele personoplysninger, der behandles i henhold til Part 3 i DPA 2018, med retshåndhævende myndigheder i et tredjeland, gælder der særlige krav (214). Sådanne delinger kan navnlig finde sted, når de er baseret på bestemmelser om et tilstrækkeligt beskyttelsesniveau, der er udstedt af Secretary of State. Hvis der ikke findes sådanne bestemmelser, skal der sikres passende garantier. Section 75 i DPA 2018 fastsætter, at de fornødne garantier er indført, når de er fastsat i en retsakt, der er bindende for den tiltænkte modtager, eller hvis den dataansvarlige efter at have vurderet alle omstændighederne i forbindelse med videregivelsen af denne type personoplysninger til tredjelandet eller den internationale organisation konkluderer, at de fornødne garantier for beskyttelse af oplysningerne findes.

(151)

Hvis en overførsel ikke er baseret på en bestemmelse om tilstrækkeligheden af beskyttelsesniveauet eller de fornødne garantier, kan den kun finde sted under visse nærmere angivne »særlige omstændigheder« (215). Dette er tilfældet, når overførslen er nødvendig a) for at beskytte den registreredes eller en anden persons vitale interesser, b) for at beskytte den registreredes legitime interesser, c) for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed, d) for at opnå et af retshåndhævelsesformålene i individuelle sager eller e) for at opnå et retligt formål i individuelle sager (f.eks. i forbindelse med retssager eller for at indhente juridisk rådgivning). Det skal bemærkes, at litra d) og e) ikke finder anvendelse, hvis den registreredes rettigheder og frihedsrettigheder går forud for samfundets interesse i overførslen. Disse omstændigheder svarer til de særlige situationer og betingelser, der kan betegnes som »undtagelser« i henhold til artikel 38 i direktiv (EU) 2016/680.

(152)

Når materiale, som de retshåndhævende myndigheder har erhvervet i henhold til en kendelse, der giver tilladelse til brug af aflytning eller indgreb i udstyr, overdrages til et tredjeland, pålægger IPA 2016 desuden yderligere sikkerhedsforanstaltninger. Navnlig er en sådan videregivelse, der defineres som »udenlandsk videregivelse«, kun tilladt, hvis udstedelsesmyndigheden finder, at der findes særlige passende ordninger, som begrænser antallet af personer, som oplysningerne videregives til, i hvilket omfang materiale videregives eller stilles til rådighed, samt i hvilket omfang materialet kopieres og antallet af kopier. Desuden kan den udstedende myndighed kræve, at der iværksættes passende foranstaltninger for at sikre, at alle kopier, der laves af en hvilken som helst del af materialet, skal destrueres, så snart der ikke længere er nogen relevante grunde til at opbevare det (hvis det ikke er destrueret tidligere) (216).

(153)

Endelig vil specifikke former for videreoverførsel fra Det Forenede Kongerige til USA i fremtiden kunne finde sted på grundlag af »Agreement between the Government of the United Kingdom of Great Britain and Northern Ireland and the Government of the United States of America on Access to Electronic Data for the Purpose of Countering Serious Crime« (aftale mellem regeringen for Det Forenede Kongerige Storbritannien og Nordirland og Amerikas Forenede Staters regering om adgang til elektroniske data med henblik på bekæmpelse af grov kriminalitet (»aftalen mellem Det Forenede Kongerige og USA« eller »aftalen«) (217), der blev indgået i oktober 2019 (218). Selv om aftalen endnu ikke er trådt i kraft på tidspunktet for vedtagelsen af denne afgørelse, kan dens forventede ikrafttræden påvirke videreoverførsler til USA af oplysninger, der først overføres til Det Forenede Kongerige på grundlag af afgørelsen. Mere specifikt kan oplysninger, der overføres fra EU til tjenesteudbydere i Det Forenede Kongerige, være genstand for kendelser om fremlæggelse af elektronisk bevismateriale udstedt af kompetente amerikanske retshåndhævende myndigheder og gjort anvendelige i Det Forenede Kongerige i henhold til denne aftale, når den er trådt i kraft. Af disse grunde er vurderingen af de betingelser og garantier, hvorunder sådanne kendelser kan udstedes og fuldbyrdes, relevant for denne afgørelse.

(154)

I denne forbindelse skal det for det første bemærkes, at aftalen for så vidt angår dens materielle anvendelsesområde kun finder anvendelse på forbrydelser, der kan straffes med fængsel med en strafferamme på mindst tre år (defineret som »grov kriminalitet«) (219), herunder »terrorvirksomhed«. For det andet må oplysninger, der behandles i den anden jurisdiktion, kun indhentes i henhold til denne aftale på baggrund af en »kendelse [...], der i henhold til udstedelsespartens nationale lovgivning er underlagt kontrol eller tilsyn af en domstol, dommer eller anden uafhængig myndighed forud for eller under procedurer vedrørende fuldbyrdelse af kendelsen« (220). For det tredje skal enhver kendelse »bygge på krav om en rimelig begrundelse baseret på håndgribelige og troværdige kendsgerninger, specificitet, lovlighed og grovhed vedrørende den adfærd, der undersøges« (221), og »være rettet mod specifikke konti samt identificere en bestemt person, konto, adresse eller form for personligt udstyr eller en anden specifik identifikator« (222). For det fjerde nyder data, der er indhentet i henhold til denne aftale, samme beskyttelse som de specifikke garantier i den såkaldte »paraplyaftale mellem EU og USA« (223) — en omfattende databeskyttelsesaftale, der blev indgået af EU og USA i december 2016, og som fastsætter de garantier og rettigheder, der gælder for dataoverførsler inden for retshåndhævelsessamarbejde — som alle er indarbejdet i denne aftale ved henvisning med de fornødne ændringer for navnlig at tage hensyn til overførslernes særlige karakter (dvs. overførsler fra private operatører til retshåndhævende myndigheder snarere end overførsler mellem retshåndhævende myndigheder) (224). Aftalen mellem Det Forenede Kongerige og USA fastsætter specifikt, at en tilsvarende beskyttelse som den, der er fastsat i paraplyaftalen mellem EU og USA, vil blive anvendt »på alle personoplysninger, der fremkommer i forbindelse med gennemførelsen af kendelser, der er omfattet af aftalen, med henblik på at frembringe tilsvarende beskyttelse« (225).

(155)

Oplysninger, der overføres til de amerikanske myndigheder i henhold til aftalen mellem Det Forenede Kongerige og USA, bør derfor nyde godt af den beskyttelse, der er fastsat i et EU-retligt instrument, med de tilpasninger, der er nødvendige for at afspejle de omhandlede overførslers art. Myndighederne i Det Forenede Kongerige har endvidere bekræftet, at den beskyttelse, som paraplyaftalen yder, vil finde anvendelse på alle personoplysninger, der frembringes eller opbevares i henhold til aftalen, uanset arten eller typen af det organ, der fremsætter anmodningen (f.eks. både føderale og statslige retshåndhævende myndigheder i USA), således at der i alle tilfælde skal ydes tilsvarende beskyttelse. Myndighederne i Det Forenede Kongerige har imidlertid også forklaret, at detaljerne vedrørende den konkrete gennemførelse af databeskyttelsesgarantierne stadig er genstand for drøftelser mellem Det Forenede Kongerige og USA. I forbindelse med drøftelserne med Kommissionens tjenestegrene om denne afgørelse har myndighederne i Det Forenede Kongerige bekræftet, at de først vil lade aftalen træde i kraft, når de finder det godtgjort, at dens gennemførelse er i overensstemmelse med de retlige forpligtelser, der er fastsat i den, bl.a. vedrørende klarhed med hensyn til overholdelse af databeskyttelsesstandarderne for alle oplysninger, der anmodes om i henhold til aftalen. Da en eventuel ikrafttrædelse af aftalen kan påvirke det beskyttelsesniveau, der vurderes i denne afgørelse, bør Det Forenede Kongerige give Kommissionen meddelelse om enhver information om og fremtidig afklaring af, hvordan USA vil opfylde sine forpligtelser i henhold til aftalen, så snart denne afklaring foreligger, under alle omstændigheder dog inden aftalens ikrafttræden, for at sikre korrekt overvågning af denne afgørelse i overensstemmelse med artikel 45, stk. 4, i forordning (EU) 2016/679. Der vil blive lagt særlig vægt på anvendelsen og tilpasningen af paraplyaftalens beskyttelse af den specifikke type overførsler, der er omfattet af aftalen mellem Det Forenede Kongerige og USA.

(156)

Mere generelt vil der blive taget behørigt hensyn til enhver relevant udvikling med hensyn til aftalens ikrafttræden og anvendelse i forbindelse med den løbende overvågning af denne afgørelse, herunder med hensyn til de nødvendige konsekvenser, der skal drages, hvis der er tegn på, at et i det væsentlige tilsvarende beskyttelsesniveau ikke længere er sikret.

(157)

Afhængigt af de beføjelser, som de kompetente myndigheder anvender i forbindelse med behandling af personoplysninger med henblik på retshåndhævelse (uanset om det er i henhold til DPA 2018 eller IPA 2016), sikrer forskellige organer tilsyn med anvendelsen af disse beføjelser. Navnlig fører Information Commissioner tilsyn med behandlingen af personoplysninger, når den falder ind under anvendelsesområdet for Part 3 i DPA 2018 (226). Uafhængigt og retligt tilsyn med anvendelsen af efterforskningsbeføjelser i henhold til IPA 2016 sikres af Investigatory Powers Commissioner's Office (IPCO) (227) (denne del behandles i betragtning 250 til 255). Parlamentet og andre organer sikrer desuden yderligere tilsyn.

(158)

De generelle opgaver, der påhviler Information Commissioner — hvis uafhængighed og organisation er forklaret i betragtning 87 — i forbindelse med behandling af personoplysninger, der er omfattet af Part 3 i DPA 2018, er fastlagt i Schedule 13 til DPA 2018. Information Commissioners hovedopgave er at overvåge og håndhæve Part 3 i DPA 2018 samt at fremme offentlighedens bevidsthed og rådgive parlamentet, regeringen og andre institutioner og organer. Af hensyn til opretholdelsen af retsvæsenets uafhængighed har Information Commissioner ikke bemyndigelse til at udøve sine funktioner i forbindelse med behandling af personoplysninger, som foretages af en person, der handler i egenskab af domstol, eller en ret, som handler i sin egenskab af domstol. Under sådanne omstændigheder vil andre organer varetage tilsynsfunktionerne som forklaret i betragtning 99 til 103.

(159)

Information Commissioner har generelle efterforsknings-, korrektions-, godkendelses- og rådgivningsbeføjelser i forbindelse med behandling af personoplysninger, som Part 3 finder anvendelse på. Information Commissioner har navnlig beføjelse til at underrette den dataansvarlige eller databehandleren om en angivelig overtrædelse af Part 3 i DPA 2018, til at give advarsler eller irettesættelser til en dataansvarlig eller databehandler, der har overtrådt bestemmelserne i Part 3 i loven, og til af egen drift eller efter anmodning at afgive udtalelser til parlamentet, regeringen eller andre institutioner og organer samt til offentligheden om ethvert spørgsmål vedrørende beskyttelse af personoplysninger (228).

(160)

Desuden har Information Commissioner beføjelser til at udstede »information notices« (229), »assessment notices« (230) og »enforcement notices« (231) samt til at få adgang til dataansvarliges og databehandleres dokumenter og lokaler (232) og til at udstede administrative bøder i form af »penalty notices (233)«. Information Commissioner's Regulatory Action Policy beskriver de omstændigheder, hvorunder ICO-kontoret udsteder henholdsvis »information notices«, »assessment notices«, »enforcement notices« og »penalty notices« (234) (se også betragtning 93 og betragtning 101-102 i direktiv (EU) 2016/680 vedrørende afgørelser om tilstrækkeligheden af beskyttelsesniveauet).

(161)

Information Commissioner har ifølge sine seneste årsberetninger (for 2018-2019 (235) og 2019-2020 (236)) gennemført en række undersøgelser og truffet håndhævelsesforanstaltninger med hensyn til retshåndhævende myndigheders databehandling. Eksempelvis har Information Commissioner gennemført en undersøgelse og i oktober 2019 offentliggjort en udtalelse om de retshåndhævende myndigheders anvendelse af ansigtsgenkendelsesteknologi på offentlige steder. Denne undersøgelse fokuserede navnlig på anvendelsen af ansigtsgenkendelse på stedet hos politiet i South Wales og Metropolitan Police Service (MPS) (politistyrken i Greater London). Information Commissioner har også undersøgt MPS's »Gangs Matrix« (237) (database over mistænkte bandemedlemmer i London) og konstateret en række alvorlige overtrædelser af databeskyttelseslovgivningen, som sandsynligvis ville undergrave offentlighedens tillid til databasen og den måde, som dataene blev anvendt på. I november 2018 udstedte Information Commissioner en »enforcement notice«, og MPS tog efterfølgende de nødvendige skridt til at øge sikkerheden og ansvarligheden og til at sikre, at dataene blev anvendt forholdsmæssigt. Et andet eksempel på en håndhævelsesforanstaltning på dette område er den bøde på 325 000 GBP, som Information Commissioner i maj 2018 udstedte mod Crown Prosecution Service (en uafhængig retsforfølgningstjeneste) for at have mistet ukrypterede dvd'er med optagelser af politiafhøringer. Information Commissioner har også gennemført undersøgelser af bredere emner. For eksempel undersøgte ICO i første halvdel af 2020 en praksis med at trække data ud af mobiltelefoner i forbindelse med politiarbejde og politiets behandling af ofrenes data. Desuden er Information Commissioner i øjeblikket i færd med at undersøge en sag, der involverer retshåndhævende myndigheders adgang til data, som en enhed i den private sektor, Clearview AI Inc. (238), er i besiddelse af.

(162)

Som beskrevet i betragtning 160 og 161 har Information Commissioner en række håndhævelsesbeføjelser. Derudover udgør visse overtrædelser af databeskyttelseslovgivningen strafbare handlinger, som derfor kan gøres til genstand for strafferetlige sanktioner (Section 196 i DPA 2018). Dette gælder f.eks. indsamling, videregivelse og opbevaring af personoplysninger uden den dataansvarliges samtykke og formidling af videregivelse af personoplysninger til en anden person uden den dataansvarliges samtykke (239). genidentifikation af oplysninger, der er anonymiserede personoplysninger, uden samtykke fra den dataansvarlige, som er ansvarlig for anonymiseringen af personoplysningerne (240), forsætligt at hindre Information Commissioner i at udøve sine beføjelser i forbindelse med kontrol af personoplysninger i overensstemmelse med internationale forpligtelser (241), afgive urigtige erklæringer som svar på en »information notice« eller tilintetgøre oplysninger i forbindelse med »information notices« og »assessment notices« (242).

(163)

Ud over Information Commissioner findes der flere kontrolorganer inden for strafferetlig håndhævelse med specifikke mandater, der er relevante for databeskyttelsesspørgsmål. Det drejer sig om f.eks. Commissioner for the Retention and Use of Biometric Material (biometrikommissæren, »Biometrics Commissioner« (243)) og Surveillance Camera Commissioner (244) (kommissæren for overvågningskameraer).

(164)

Home Affairs Select Committee (det særlige udvalg for indre anliggender, HASC) sikrer parlamentarisk kontrol på retshåndhævelsesområdet. Dette udvalg består af 11 medlemmer af parlamentet, der kommer fra de tre største politiske partier. Udvalget har til opgave at gennemgå udgifter, administration og politik i Home Office og de dertil knyttede offentlige organer, herunder politiet og NCA — hvis arbejde udvalget specifikt kan undersøge (245).

(165)

Udvalget kan inden for rammerne af sit ansvarsområde vælge, hvad det vil undersøge, herunder konkrete sager, så længe spørgsmålet ikke er indbragt for en domstol. Udvalget kan også indhente skriftlig og mundtlig dokumentation fra en bred vifte af relevante grupper og enkeltpersoner. Det udarbejder rapporter om sine resultater og forelægger anbefalinger for regeringen (246). Regeringen forventes at reagere på alle rapportens anbefalinger og skal reagere inden for 60 dage (247).

(166)

På overvågningsområdet udarbejdede udvalget også en rapport om Regulation of Investigatory Powers Act 2000 (lov om efterforskningsbeføjelser fra 2000, RIPA 2000) (248), hvori det blev konstateret, at RIPA 2000 ikke var egnet til formålet. Deres rapport blev taget i betragtning, da betydelige dele af RIPA 2000 blev erstattet med IPA 2016. En fuldstændig liste over undersøgelser findes på udvalgets websted (249).

(167)

HASC's opgaver varetages i Skotland af Justice Subcommittee on Policing (underudvalget for politispørgsmål under retsudvalget) og i Nordirland af Committee for Justice (retsudvalget) (250).

(168)

Hvad angår de retshåndhævende myndigheders behandling af oplysninger findes der klagemekanismer i henhold til Part 3 i DPA 2018 og IPA 2016 samt i henhold til Human Rights Act 1998.

(169)

Denne række af mekanismer giver de registrerede effektive administrative og retslige klagemuligheder, der navnlig sætter dem i stand til at sikre deres rettigheder, herunder retten til at få adgang til deres personoplysninger eller til at opnå berigtigelse eller sletning af sådanne oplysninger.

(170)

For det første har den registrerede i henhold til Section 165 i DPA 2018 ret til at indgive en klage til Information Commissioner, hvis den registrerede mener, at der i forbindelse med personoplysninger, som vedrører vedkommende, foreligger en overtrædelse af Part 3 i DPA 2018 (251). Information Commissioner har beføjelse til at vurdere den dataansvarliges og databehandlerens overholdelse af DPA 2018, kræve, at de tager de nødvendige skridt i tilfælde af manglende overholdelse, og pålægge dem bøder.

(171)

For det andet giver DPA 2018 adgang til retsmidler over for Information Commissioner, hvis denne ikke behandler en klage fra den registrerede korrekt. Nærmere bestemt: Hvis Information Commissioner ikke »gør fremskridt« (252) med en klage indgivet af den registrerede, har klageren adgang til retsmidler, idet denne kan anmode First Tier Tribunal (253) (ret i første instans) om at pålægge Information Commissioner at træffe passende foranstaltninger til at besvare klagen eller underrette klageren om forløbet af klagen (254). Desuden kan enhver person, der modtager en af ovennævnte meddelelser (information, assessment, enforcement eller penalty notice) fra Information Commissioner, appellere til en First Tier Tribunal. Hvis denne First Tier Tribunal finder, at Information Commissioners afgørelse ikke er i overensstemmelse med loven, eller hvis Information Commissioner burde have udøvet sin skønsbeføjelse anderledes, skal retten tage appellen til følge eller erstatte meddelelsen med en anden meddelelse eller afgørelse, som Information Commissioner måtte have forkyndt eller truffet (255).

(172)

For det tredje kan enkeltpersoner anlægge sag direkte mod dataansvarlige og databehandlere ved domstolene. Navnlig kan en registreret i henhold til Section 167 i DPA 2018 anlægge sag ved domstolen om krænkelse af sine rettigheder i henhold til databeskyttelseslovgivningen, og domstolen kan ved kendelse anmode den dataansvarlige om at tage (eller undlade at tage) et hvilket som helst skridt med hensyn til behandlingen for at overholde DPA 2018. I henhold til Section 169 i DPA 2018 har enhver, der har lidt skade som følge af en overtrædelse af et krav i databeskyttelseslovgivningen (herunder Part 3 i DPA 2018), ud over UK GDPR, desuden ret til erstatning fra den dataansvarlige eller databehandleren for denne skade, medmindre den dataansvarlige eller databehandleren godtgør, at den dataansvarlige eller databehandleren ikke på nogen måde er ansvarlig for den begivenhed, der forårsagede skaden. Skader omfatter både økonomiske tab og skader, der ikke indebærer økonomiske tab, såsom overlast.

(173)

Endelig kan enhver person, for så vidt som de mener, at deres rettigheder, herunder retten til privatlivets fred og databeskyttelse, er blevet krænket af offentlige myndigheder, indbringe sagen for domstolene i Det Forenede Kongerige i henhold til Human Rights Act 1998 (256), og efter at have udtømt de nationale retsmidler kan en person, en ikkestatslig organisation og grupper af enkeltpersoner indbringe sager for Den Europæiske Menneskerettighedsdomstol for krænkelser af de rettigheder, der er garanteret i henhold til den europæiske menneskerettighedskonvention (257) (se betragtning 111).

(174)

Enkeltpersoner kan få erstatning for overtrædelser af IPA 2016 ved Investigatory Powers Tribunal. De klagemuligheder, der er tilgængelige under IPA 2016, er beskrevet i betragtning 263 til 269 nedenfor.

(175)

I Det Forenede Kongeriges retsorden har følgende efterretningstjenester beføjelse til at indsamle elektroniske oplysninger, som dataansvarlige eller databehandlere er i besiddelse af af hensyn til den nationale sikkerhed, i situationer, der er relevante for et tilstrækkelighedsscenarie: Security Service (258) (sikkerhedstjenesten, MI5), Secret Intelligence Service (259) (efterretningstjenesten, SIS) og Government Communications Headquarters (260) (regeringens hovedkvarter for kommunikation, GCHQ) (261).

(176)

I Det Forenede Kongerige er efterretningstjenesternes beføjelser fastlagt i IPA 2016 og RIPA 2000, som sammen med DPA 2018 fastsætter det fysiske og personlige anvendelsesområde for disse beføjelser samt begrænsninger og garantier med hensyn til anvendelsen heraf. Disse beføjelser samt de begrænsninger og garantier, der gælder for dem, vurderes i detaljer i de følgende afsnit.

(177)

IPA 2016 udgør den retlige ramme for anvendelsen af efterforskningsbeføjelser, dvs. beføjelsen til at aflytte og skaffe sig adgang til kommunikationsdata og foretage indgreb i udstyr. Med IPA 2016 indføres et generelt forbud, og det gøres til en strafbar handling at anvende teknikker, der giver adgang til indholdet af kommunikation eller til kommunikationsdata, eller at foretage indgreb i udstyr uden lovlig bemyndigelse (262). Dette afspejles i, at anvendelsen af disse efterforskningsbeføjelser kun er lovlig, når den finder sted på grundlag af en kendelse eller en tilladelse (263).

(178)

IPA 2016 fastsætter detaljerede regler for omfanget og anvendelsen af de enkelte efterretningsbeføjelser samt deres specifikke begrænsninger og garantier. Der gælder forskellige regler afhængigt af typen af efterforskningsbeføjelser (aflytning af kommunikation, indsamling og opbevaring af kommunikationsdata og indgreb i udstyr) (264) samt af, om beføjelsen udøves på et bestemt mål eller som masseaflytning. Nærmere oplysninger om anvendelsesområde, garantier og begrænsninger for hver foranstaltning under IPA 2016 er beskrevet i det specifikke afsnit nedenfor.

(179)

Desuden suppleres IPA 2016 med en række lovfæstede adfærdskodekser, der er udstedt af Secretary of State og godkendt af begge kamre i parlamentet (265), som gælder i hele landet, og som indeholder yderligere vejledning om anvendelsen af disse beføjelser (266). Selv om de registrerede direkte kan påberåbe sig bestemmelserne i IPA 2016 for at udøve deres rettigheder, præciseres det i Schedule 7, paragraph 5, til IPA 2016, at adfærdskodekserne kan anvendes som bevismateriale i civile sager og straffesager, og at domstolen, retten eller tilsynsmyndigheden kan tage hensyn til enhver manglende overholdelse af kodekserne, når de skal afgøre et relevant spørgsmål i retssager (267). I forbindelse med sin vurdering af »lovgivningens kvalitet« i Det Forenede Kongeriges tidligere lovgivning på tilsynsområdet, RIPA 2000, anerkendte Den Europæiske Menneskerettighedsdomstols Store Afdeling udtrykkeligt relevansen af Det Forenede Kongeriges adfærdskodeks og accepterede, at dens bestemmelser kunne tages i betragtning ved vurderingen af forudsigeligheden af den lovgivning, der tillader overvågning (268).

(180)

Det skal også bemærkes, at de nationale sikkerhedsagenturer og visse retshåndhævende myndigheder (269) har adgang til målrettede beføjelser (målrettet aflytning (270), indsamling af kommunikationsdata (271), opbevaring af kommunikationsdata (272) og målrettede indgreb i udstyr (273)), mens det kun er efterretningstjenesterne, der kan gøre brug af masseindsamling (f.eks. masseaflytning (274), masseindsamling af kommunikationsdata (275), masseindgreb i udstyr (276) og datasæt med massepersonoplysninger (277)).).

(181)

Ved afgørelsen af hvilken efterforskningsbeføjelse der skal anvendes, skal efterretningstjenesten opfylde de »generelle forpligtelser vedrørende privatlivets fred«, der er anført i Section 2(2)(a) i IPA 2016, som omfatter en nødvendigheds- og proportionalitetstest. Nærmere bestemt skal en offentlig myndighed, der har til hensigt at gøre brug af en undersøgelsesbeføjelse, i henhold til denne bestemmelse overveje, i) om det, der søges opnået med kendelsen, tilladelsen eller meddelelsen, med rimelighed kan opnås med andre, mindre indgribende midler, ii) om det beskyttelsesniveau, der skal anvendes i forbindelse med indsamling af oplysninger i medfør af kendelsen, tilladelsen eller meddelelsen, er højere på grund af disse oplysningers særligt følsomme karakter, iii) offentlighedens interesse i telekommunikationssystemernes og posttjenesternes integritet og sikkerhed og iv) alle andre aspekter af offentlighedens interesse i beskyttelsen af privatlivets fred (278).

(182)

Måden, hvorpå disse kriterier skal anvendes — og måden, hvorpå deres overholdelse vurderes som led i Secretary of States og de uafhængige Judicial Commissioners tilladelse til at anvende sådanne beføjelser — præciseres yderligere i de relevante adfærdskodekser. Navnlig skal anvendelsen af en af disse efterforskningsbeføjelser altid »stå i et rimeligt forhold til det, der søges opnået, [som] indebærer en afvejning af alvoren af krænkelsen af privatlivets fred (og andre hensyn, der er anført i Section 2(2)) i forhold til behovet for aktiviteten af efterforsknings-, drifts- eller kapacitetsmæssige grunde«. Dette betyder navnlig, at den »bør give en realistisk udsigt til at opnå den forventede fordel og ikke være uforholdsmæssig eller vilkårlig«, og at »[i]ntet indgreb i privatlivets fred bør anses for at stå i et rimeligt forhold til formålet, hvis de oplysninger, der efterspørges, med rimelighed kan fremskaffes ved andre, mindre indgribende midler« (279). Nærmere bestemt skal overholdelsen af proportionalitetsprincippet vurderes på grundlag af følgende kriterier: »i) omfanget af det foreslåede indgreb i privatlivets fred i forhold til, hvad der søges opnået, ii) hvordan og hvorfor de metoder, der skal anvendes, vil medføre det mindst mulige indgreb over for den pågældende person og andre, iii) om aktiviteten udgør en hensigtsmæssig anvendelse af loven og en rimelig metode efter at have overvejet alle rimelige alternativer til at opnå det, der søges opnået, iv) hvilke andre metoder, alt efter hvad der er relevant, der enten ikke er blevet indført eller ikke er blevet anvendt, men som vurderes at være utilstrækkelige til at opfylde operationelle mål uden brug af den foreslåede undersøgelsesbeføjelse« (280).

(183)

Som forklaret af Det Forenede Kongeriges myndigheder sikrer dette i praksis, at en efterretningstjeneste for det første fastsætter det operationelle mål (og dermed afgrænser indsamlingen, f.eks. et mål vedrørende international terrorbekæmpelse i et bestemt geografisk område), og for det andet på grundlag af dette operationelle mål skal overveje, hvilken teknisk mulighed (f.eks. målrettet aflytning eller masseaflytning, indgreb i udstyr, indsamling af kommunikationsdata) der er mest forholdsmæssig (dvs. udgør det mindste indgreb i privatlivets fred, jf. Section 2(2) i IPA), i forhold til, hvad der søges opnået, og som derfor kan godkendes i henhold til gældende lovgivning.

(184)

Det er værd at bemærke, at denne anvendelse af standarder for nødvendighed og proportionalitet også er blevet bemærket og hilst velkommen af FN's særlige rapportør om retten til privatlivets fred, Joseph Cannataci, som med hensyn til det system, der blev indført ved IPA 2016, anførte, at »[d]e procedurer, der er indført både inden for efterretningstjenesterne og inden for de retshåndhævende myndigheder, kræver tilsyneladende systematisk, at der tages hensyn til nødvendigheden og proportionaliteten af en overvågningsforanstaltning eller en overvågningsoperation, inden den anbefales til godkendelse, samt et tilsyn på det samme grundlag« (281). Han bemærkede også, at han på sit møde med repræsentanter for de retshåndhævende myndigheder og de nationale sikkerhedsagenturer »konstaterede, at der var enighed om, at retten til privatlivets fred skal komme i første række i forbindelse med enhver beslutning om overvågningsforanstaltninger. Alle forstod og påskønnede nødvendigheden og proportionaliteten som hovedprincipper, der skal tages i betragtning«.

(185)

De specifikke kriterier for udstedelse af de forskellige kendelser samt de begrænsninger og garantier, der er fastsat i IPA 2016 for hver undersøgelsesbeføjelse, er nærmere beskrevet i betragtning 186 til 243.

(186)

Der findes tre typer kendelser for målrettet aflytning: en kendelse om målrettet aflytning (282), en kendelse om målrettet undersøgelse og en kendelse om gensidig bistand (283). Betingelserne for at opnå disse kendelser og de relevante sikkerhedsforanstaltninger er fastsat i Part 2, Chapter 1, i IPA 2016.

(187)

En kendelse om målrettet aflytning giver mulighed for aflytning af den kommunikation, der er beskrevet i kendelsen, under transmission af denne og for indsamling af andre data, der er relevante for denne kommunikation (284), herunder sekundære data (285). En kendelse om målrettet undersøgelse gør det muligt for en person at udvælge og undersøge aflyttet indhold, der er indsamlet i henhold til en masseaflytningskendelse (286).

(188)

Enhver kendelse i henhold til Part 2 i IPA 2016 kan udstedes af Secretary of State (287) og godkendes af en Judicial Commissioner (288). Under alle omstændigheder er varigheden af enhver form for målrettet kendelse begrænset til seks måneder (289), og der gælder særlige regler for ændring (290) og fornyelse (291) heraf.

(189)

Inden udstedelsen af kendelsen skal Secretary of State foretage en vurdering af nødvendighed og proportionalitet (292). I forbindelse med en kendelse om målrettet aflytning og en kendelse om målrettet undersøgelse bør Secretary of State navnlig kontrollere, om foranstaltningen er nødvendig af en af følgende grunde: hensynet til den nationale sikkerhed forebyggelse eller afsløring af grov kriminalitet eller hensynet til Det Forenede Kongeriges økonomiske velfærd (293), for så vidt som disse interesser også er relevante for den nationale sikkerhed (294). På den anden side kan der kun udstedes en kendelse om gensidig bistand (se betragtning 139 ovenfor), hvis Secretary of State mener, at der foreligger omstændigheder svarende til dem, hvorunder han/hun ville udstede en kendelse med henblik på at forebygge og afsløre grov kriminalitet (295).

(190)

Desuden bør Secretary of State vurdere, om foranstaltningen står i rimeligt forhold til det, der søges opnået (296). Vurderingen af proportionaliteten af de foranstaltninger, der anmodes om, skal tage hensyn til de generelle forpligtelser vedrørende privatlivets fred, der er fastsat i Section 2(2) i IPA 2016, navnlig behovet for at vurdere, om det, der søges opnået med kendelsen, tilladelsen eller meddelelsen, med rimelighed kan opnås med andre, mindre indgribende midler, og om det beskyttelsesniveau, der skal anvendes i forbindelse med indsamling af oplysninger i henhold til kendelsen, er højere på grund af disse oplysningers særligt følsomme karakter (se betragtning 181 ovenfor).

(191)

Med henblik herpå skal Secretary of State tage hensyn til alle elementerne i ansøgningen fra den myndighed, der indgiver anmodningen, navnlig dem, der vedrører de personer, hvis kommunikation skal aflyttes, samt foranstaltningens relevans for undersøgelsen. Sådanne elementer er beskrevet i Code of Practice on Interception of Communications og skal beskrives med en vis detaljeringsgrad (297). Desuden kræves det i Section 17 i IPA 2016, at enhver kendelse udstedt i henhold til Chapter 2 skal angive eller beskrive den specifikke person eller gruppe af personer, eller de organisationer eller lokaliteter, der skal aflyttes (»målet«). I tilfælde af en kendelse om målrettet aflytning eller en kendelse om målrettet undersøgelse kan disse også vedrøre en gruppe personer, mere end én person eller organisation eller mere end ét sæt lokaler (også kaldet »thematic warrant« (tematisk kendelse)) (298). I disse tilfælde bør kendelsen beskrive det fælles formål eller den fælles aktivitet for gruppen af personer eller operationen/undersøgelserne og angive eller beskrive så mange af de personer/organisationer eller sæt af lokaliteter, som det med rimelighed er praktisk muligt (299). Endelig skal alle de kendelser, der afsiges i henhold til Part 2 i IPA 2016, indeholde oplysninger om adresser, numre, apparater, faktorer eller kombinationer af faktorer, der skal anvendes til at identificere meddelelserne (300). I denne forbindelse præciseres det i Code of Practice on Interception of Communications, at i tilfælde af en kendelse om målrettet aflytning og en kendelse om målrettet undersøgelse »skal kendelsen angive (eller beskrive) de faktorer eller en kombination af faktorer, der skal anvendes til at identificere kommunikationen. Hvis kommunikationen f.eks. skal identificeres ved henvisning til et telefonnummer, skal nummeret angives i sin helhed. Men hvis der skal anvendes meget komplekse eller konstant skiftende internetselektorer til at identificere kommunikationen, bør disse selektorer så vidt muligt beskrives« (301).

(192)

En vigtig garanti i denne forbindelse er, at den vurdering, som Secretary of State foretager med henblik på at udstede en kendelse, skal godkendes af en Judicial Commissioner (302), der navnlig vil kontrollere, om afgørelsen om at udstede kendelsen er i overensstemmelse med nødvendigheds- og proportionalitetsprincipperne (303) (om Judicial Commissioners status og rolle, se betragtning 251 til 256 nedenfor). I IPA 2016 præciseres det også, at Judicial Commissioner ved gennemførelsen af en sådan kontrol skal anvende de samme principper, som en domstol ville anvende i forbindelse med en anmodning om domstolsprøvelse (304). Dette sikrer, at overholdelsen af nødvendigheds- og proportionalitetsprincippet i hvert enkelt tilfælde, og inden der gives adgang til data, kontrolleres systematisk af et uafhængigt organ.

(193)

I IPA 2016 er der fastsat få specifikke og snævre undtagelser for målrettet aflytning uden retskendelse. De begrænsede tilfælde er nærmere beskrevet i loven (305), og bortset fra sager, der er baseret på afsenderens/modtagerens »samtykke«, gennemføres de af personer (private eller offentlige organer), der er forskellige fra de nationale sikkerhedsagenturer. Desuden foretages denne type aflytning til andre formål end indsamling af »efterretninger« (306), og for nogle af dem er det meget usandsynligt, at indsamlingen kan finde sted i forbindelse med et »overførselsscenarie« (f.eks. i tilfælde af aflytning på psykiatriske hospitaler eller i fængsler). I betragtning af karakteren af det organ, som disse specifikke sager finder anvendelse på (som er forskellige fra de nationale sikkerhedsagenturer), vil alle de garantier, der er fastsat i Part 2 i DPA 2018 og UK GDPR, finde anvendelse, herunder ICO's tilsyn og de tilgængelige klagemekanismer. Ud over de garantier, der er fastsat i DPA 2018, indeholder IPA 2016 desuden i visse tilfælde også bestemmelser om IPCO's efterfølgende tilsyn. (307)

(194)

Når der gennemføres en aflytning, gælder der yderligere begrænsninger og garantier i lyset af den specifikke status for den eller de personer, hvis kommunikation skal aflyttes (308). Opsnapning af materiale, der er omfattet af retten til fortrolighed mellem advokat og klient, er eksempelvis kun tilladt under ekstraordinære og tvingende omstændigheder, og den person, der udsteder kendelsen, skal tage hensyn til offentlighedens interesse i fortroligheden af materiale, der er omfattet af retten til fortrolighed mellem advokat og klient, og sikre, at der er fastsat særlige krav til håndtering, opbevaring og videregivelse af sådant materiale (309).

(195)

Desuden indeholder IPA 2016 specifikke garantier vedrørende sikkerhed, opbevaring og videregivelse, som Secretary of State bør tage hensyn til, inden han udsteder en målrettet kendelse (310). Navnlig kræver Section 53(5) i IPA 2016, at alle eksemplarer, der er fremstillet af alt dette materiale, der er indsamlet i henhold til kendelsen, skal opbevares sikkert og destrueres, så snart der ikke længere foreligger nogen relevante grunde til at beholde det, mens Section 53(2) i IPA 2016 kræver, at antallet af personer, som materialet videregives til, og omfanget i hvilket materiale videregives, stilles til rådighed eller kopieres, begrænses til det minimum, der er nødvendigt af hensyn til de lovbestemte formål.

(196)

Endelig fastsættes det i IPA 2016, at når det materiale, der er blevet opsnappet enten ved en kendelse om målrettet aflytning eller en kendelse om gensidig bistand, skal udleveres til et tredjeland (»oversøiske oplysninger«), fastsætter IPA, at Secretary of State skal sikre, at der er truffet passende foranstaltninger til at sikre, at der findes lignende garantier for sikkerhed, opbevaring og videregivelse i det pågældende tredjeland (311). I henhold til Section 109(2) i DPA 2018 må efterretningstjenesterne endvidere kun overføre personoplysninger til et territorium uden for Det Forenede Kongerige, hvis denne overførsel er nødvendig og står i et rimeligt forhold til formålet med den dataansvarliges lovbestemte funktioner eller til andre formål, der er fastsat i Section 2(2)(a) i Security Service Act 1989 eller Section 2(2)(a) og Section 4(2)(a) i Intelligence Services Act 1994 (312). Det er vigtigt at bemærke, at disse krav også gælder i tilfælde, hvor den nationale sikkerhedsundtagelse i henhold til Section 110 i DPA 2018 påberåbes, da Section 110 i DPA 2018 ikke opregner Section 109 i DPA 2018 som en af de bestemmelser, der kan fraviges, hvis en undtagelse fra visse bestemmelser er nødvendig for at beskytte den nationale sikkerhed.

(197)

IPA 2016 giver Secretary of State mulighed for at kræve, at teleoperatører opbevarer kommunikationsdata med henblik på målrettet adgang for en række offentlige myndigheder, herunder retshåndhævende myndigheder og efterretningstjenester. Part 4 i IPA 2016 indeholder bestemmelser om opbevaring af kommunikationsdata, mens Part 3 omhandler målrettet indsamling af kommunikationsdata. Part 3 og Part 4 i IPA 2016 fastsætter også specifikke begrænsninger for udøvelsen af disse beføjelser og fastsætter specifikke sikkerhedsforanstaltninger.

(198)

Udtrykket »kommunikationsdata« dækker »hvem«, »hvornår«, »hvor« og »hvordan« for kommunikation, men ikke indholdet, dvs. hvad der blev sagt eller skrevet. I modsætning til aflytning har indsamling og opbevaring af kommunikationsdata ikke til formål at få adgang til indholdet af kommunikationen, men derimod at indsamle oplysninger såsom abonnenten på en telefonitjeneste eller en udspecificeret regning. Dette kan omfatte tidspunkt og varighed af kommunikationen, afsenderens og modtagerens nummer eller e-mailadresse og undertiden placeringen af det udstyr, hvorfra telekommunikationen fandt sted (313).

(199)

Det bør bemærkes, at opbevaring og indsamling af kommunikationsdata normalt ikke vedrører personoplysninger om registrerede i EU, der overføres til Det Forenede Kongerige i henhold til denne afgørelse. Forpligtelsen til at opbevare eller videregive kommunikationsdata i henhold til Part 3 og 4 i IPA 2016 omfatter data, der indsamles af teleoperatører i Det Forenede Kongerige direkte fra brugerne af en telekommunikationstjeneste (314). Denne type »kundeorienterede« behandling indebærer typisk ikke en overførsel på grundlag af denne afgørelse, dvs. en overførsel fra en dataansvarlig/databehandler i EU til en dataansvarlig/databehandler i Det Forenede Kongerige.

(200)

For fuldstændighedens skyld analyseres betingelserne og garantierne for disse ordninger for indsamling og opbevaring i nedenstående betragtninger.

(201)

Det er en forudsætning, at både nationale sikkerhedsagenturer og visse retshåndhævende myndigheder har adgang til opbevaring og målrettet indsamling af kommunikationsdata (315). Betingelserne for at kræve opbevaring og/eller indsamling af kommunikationsdata kan variere afhængigt af grunden til at anmode om foranstaltningen, især af hensyn til den nationale sikkerhed eller til et retshåndhævelsesformål.

(202)

Selv om den nye ordning har indført det generelle krav om forudgående tilladelse fra et uafhængigt organ, som vil finde anvendelse i alle tilfælde, hvor kommunikationsdata opbevares og/eller indsamles (enten til retshåndhævelsesformål eller til af hensyn til den nationale sikkerhed), er der efter EU-Domstolens dom Tele2/Watson (316) blevet indført særlige garantier, når der anmodes om en foranstaltning med henblik på retshåndhævelse. Når der anmodes om opbevaring eller indsamling af kommunikationsdata med henblik på retshåndhævelse, skal forhåndsgodkendelsen altid gives af Investigatory Power Commissioner. Dette er ikke altid tilfældet, når der anmodes om en foranstaltning af hensyn til den nationale sikkerhed, da denne type foranstaltninger som beskrevet nedenfor i visse tilfælde kan godkendes af en anden »person, der giver tilladelse«. Desuden har den nye ordning hævet tærsklen for, hvornår opbevaring og indsamling af kommunikationsdata kan tillades, til »alvorlige forbrydelser« (317).

(203)

I henhold til Part 3 i IPA 2016 er relevante offentlige myndigheder bemyndiget til at indsamle kommunikationsdata fra en teleoperatør eller enhver person, der er i stand til at indsamle og videregive sådanne data. Tilladelsen må ikke tillade aflytning af kommunikationens indhold (318) og ophører med at have virkning efter en periode på en måned (319) med mulighed for forlængelse efter en yderligere tilladelse (320). Indsamling af kommunikationsdata kræver tilladelse fra Investigatory Powers Commissioner (kommissær for efterforskningsbeføjelser, IPC) (321) (om IPC's status og beføjelser, se betragtning 250 til 251 nedenfor). Dette er altid tilfældet, hvor en relevant retshåndhævende myndighed anmoder om indsamling af kommunikationsdata. I henhold til Section 61 i IPA 2016 fastsættes det imidlertid, at når der indsamles data til Det Forenede Kongeriges nationale sikkerhed eller økonomiske velfærd, så længe det er relevant for den nationale sikkerhed, eller hvis en ansøgning indgives af et medlem af en efterretningstjeneste i henhold til Section 61(7)(b) (322), kan indsamlingen alternativt (323) godkendes af IPC eller af en udpeget overordnet embedsmand (324). Den udpegede embedsmand skal være uafhængig af den pågældende efterforskning og have praktisk kendskab til menneskerettighedsprincipper og -lovgivning, navnlig principperne om nødvendighed og proportionalitet (325). Den afgørelse, der træffes af den udpegede embedsmand, vil være underlagt den efterfølgende kontrol, der udøves af IPC (se betragtning 254 nedenfor for yderligere oplysninger om IPC's efterfølgende kontrolfunktioner).

(204)

Tilladelsen til at indsamle kommunikationsdata er baseret på en vurdering af foranstaltningens nødvendighed og proportionalitet. Nærmere bestemt vurderes nødvendigheden af foranstaltningen i lyset af de grunde, der er anført i lovgivningen (326). I betragtning af denne foranstaltnings målrettede karakter skal den også være nødvendig for en specifik undersøgelse eller foranstaltning (327). Yderligere krav til vurderingen af, om foranstaltningerne er nødvendige, er fastsat i Code of Practice on Communications Data (328). Det fastsættes navnlig i denne kodeks, at den bistandssøgende myndighed i sin anmodning skal identificere mindst tre elementer for at begrunde nødvendigheden af en sådan anmodning: i) den hændelse, der efterforskes, såsom en forbrydelse eller lokalisering af en sårbar forsvundet person, ii) den person, hvis oplysninger der ønskes adgang til, såsom en mistænkt, et vidne eller en forsvundet person, og hvordan de er knyttet til hændelsen, og iii) de kommunikationsdata, der anmodes om, såsom telefonnummer eller IP-adresse, og hvordan disse data er relateret til personen og hændelsen (329).

(205)

Desuden skal indsamlingen af kommunikationsdata stå i et rimeligt forhold til, hvad der søges opnået (330). I Code of Practice on Communications Data præciseres det, at den godkendende fysiske person i forbindelse med en sådan vurdering bør foretage en afvejning mellem »omfanget af indgrebet i en persons rettigheder og frihedsrettigheder i forhold til en specifik fordel for den undersøgelse eller operation, der gennemføres af en relevant offentlig myndighed i offentlighedens interesse«, og at et indgreb i en persons rettigheder under hensyntagen til alle overvejelser i et konkret tilfælde stadig ikke nødvendigvis er berettiget, fordi den negative indvirkning på en anden enkeltpersons eller gruppe af personers rettigheder er for alvorlig. For specifikt at vurdere foranstaltningens proportionalitet opregner kodeksen desuden en række elementer, der bør indgå i den anmodning, der indgives af den bistandssøgende myndighed (331). Desuden skal der tages særligt hensyn til, hvilken type kommunikationsdata (»enhedsdata« eller »hændelsesdata« (332)) der skal indsamles, og der skal fortrinsvis benyttes mindre indgribende datakategorier (333). Code of Practice on Communications Data indeholder også specifikke instrukser for tilladelser, der omfatter kommunikationsdata om personer i bestemte erhverv (f.eks. læger, advokater, journalister, parlamentarikere eller præster) (334), som er underlagt yderligere sikkerhedsforanstaltninger (335).

(206)

Part 4 i IPA 2016 fastsætter reglerne for opbevaring af kommunikationsdata og navnlig de kriterier, der giver Secretary of State mulighed for at udstede en »retention notice« (opbevaringsmeddelelse) (336). De garantier, der indføres med IPA, gælder både, når dataene opbevares med henblik på retshåndhævelse og af hensyn til den nationale sikkerhed.

(207)

Udstedelsen af sådanne retention notices har til formål at sikre, at teleoperatører i en periode på højst 12 måneder opbevarer relevante kommunikationsdata, som ellers ville blive slettet, når de ikke længere er nødvendige til erhvervsmæssige formål (337). De opbevarede data skal forblive tilgængelige i den krævede periode, hvis det efterfølgende bliver nødvendigt for en offentlig myndighed at indsamle dem i henhold til en tilladelse til målrettet indsamling af kommunikationsdata ifølge Part 3 i IPA 2016 og som beskrevet i betragtning 203 til 205.

(208)

Udøvelsen af beføjelsen til at kræve opbevaring af visse oplysninger er underlagt en række begrænsninger og garantier. Secretary of State kan kun udstede en retention notice til en eller flere operatører (338), hvis han mener, at kravet om opbevaring af oplysningerne er nødvendigt af hensyn til en af de lovbestemte formål (339), og det står i rimeligt forhold til det, der søges opnået (340). Som præciseret i selve IPA 2016 (341) skal Secretary of State inden udstedelsen af en retention notice tage hensyn til: de sandsynlige fordele ved den pågældende retention notice (342), en beskrivelse af telekommunikationstjenesterne, det hensigtsmæssige ved at begrænse de data, der skal opbevares, under henvisning til placering eller beskrivelser af de personer, som telekommunikationstjenesterne leveres til (343), det sandsynlige antal brugere (hvis kendt) af de teletjenester, som den pågældende retention notice vedrører (344), den tekniske gennemførlighed af at efterkomme den pågældende retention notice, de sandsynlige omkostninger ved at efterkomme den pågældende retention notice og eventuelle andre virkninger af meddelelsen for den teleoperatør (eller beskrivelse af operatører), som den vedrører (345). Som nærmere beskrevet i Chapter 17 i Code of Practice on Communications Data skal alle retention notices angive hver enkelt datatype, der skal opbevares, og hvordan denne datatype opfylder de nødvendige krav for opbevaring.

(209)

I alle tilfælde (både af hensyn til den nationale sikkerhed og retshåndhævelse) skal Secretary of States afgørelse om at udstede opbevaringsmeddelelsen godkendes af en uafhængig Judicial Commissioner i henhold til den såkaldte »double-lock-procedure«, som navnlig skal kontrollere, om meddelelsen om opbevaring af relevante kommunikationsdata er nødvendig og står i rimeligt forhold til et eller flere af de lovbestemte formål (346).

(210)

Indgreb i udstyr er en række teknikker, der anvendes til at indsamle en række data fra udstyr (347), herunder computere, tablets og smartphones samt kabler, ledninger og lagringsenheder (348). Indgreb i udstyr gør det muligt at indsamle både indholdet af kommunikation og udstyrsdata (349).

(211)

I overensstemmelse med Section 13, stk. 1, i IPA 2016 kræver en efterretningstjenestes brug af udstyr en tilladelse i form af en kendelse i henhold til »double-lock-proceduren«, der er fastsat i IPA 2016, forudsat at der er en »forbindelse til De Britiske Øer« (350). Ifølge Det Forenede Kongeriges myndigheders forklaringer vil der i situationer, hvor data overføres fra Den Europæiske Union til Det Forenede Kongerige inden for rammerne af denne afgørelse, altid være en »forbindelse til De Britiske Øer«, og ethvert indgreb i udstyr, der omfatter sådanne data, vil derfor være underlagt det obligatoriske krav om en retskendelse i Section 13, stk. 1, i IPA 2016 (351).

(212)

Reglerne for kendelser om målrettede indgreb i udstyr er fastsat i Part 5 i IPA 2016. Ligesom målrettet aflytning skal målrettede indgreb i udstyr vedrøre et specifikt »mål«, som skal angives i kendelsen (352). Detaljerne for, hvordan et »mål« skal identificeres, afhænger af emnet og typen af udstyr, der skal aflyttes. Navnlig Section 115(3) i IPA specificerer de elementer, der skal fremgå af kendelsen (f.eks. personens eller organisationens navn, en beskrivelse af stedet), f.eks. afhængigt af om indgrebet vedrører udstyr, der tilhører eller anvendes til en bestemt person eller en organisation eller en gruppe af personer eller er i disses besiddelse, befinder sig på et bestemt sted osv. (353). Det er den offentlige myndighed, der anmoder om en kendelse, der afgør, til hvilke formål det er berettiget at foretage indgreb i det pågældende udstyr (354).

(213)

I lighed med målrettet aflytning skal udstedelsesmyndigheden overveje, om foranstaltningen er nødvendig for at opnå et specifikt formål, og om den står i rimeligt forhold til det, der søges opnået (355). Desuden bør den også overveje, om der findes beskyttelsesforanstaltninger i forbindelse med sikkerhed, opbevaring og videregivelse samt i forbindelse med »offentliggørelse i udlandet« (356) (se betragtning 196).

(214)

Kendelsen skal godkendes af en Judicial Commissioner, undtagen i hastetilfælde (357). I sidstnævnte tilfælde skal en Judicial Commissioner underrettes om, at der er udstedt en kendelse, og godkende den inden for tre hverdage. Hvis Judicial Commissioner nægter at godkende kendelsen, mister den sin virkning og kan ikke forlænges (358). Desuden har Judicial Commissioner beføjelse til at kræve, at alle oplysninger, der er indhentet i henhold til kendelsen, slettes (359). Det forhold, at en kendelse blev udstedt som en hastesag, påvirker ikke det efterfølgende tilsyn (se betragtning 244 til 255) eller enkeltpersoners muligheder for at klage (se betragtning 260 til 270). Enkeltpersoner kan klage til ICO eller fremsætte krav om påstået adfærd over for Investigatory Powers Tribunal på sædvanlig vis. I alle tilfælde skal den prøve, som Judicial Commissioner gennemfører, når det skal besluttes, hvorvidt en kendelse kan godkendes eller ej, være den nødvendigheds- og proportionalitetstest, som også finder anvendelse på anmodninger om målrettet aflytning (360) (se betragtning 192 ovenfor).

(215)

Endelig finder de specifikke garantier, der gælder for målrettet aflytning, også anvendelse på indgreb i udstyr for så vidt angår varigheden, fornyelsen og ændringen af kendelsen samt aflytning af parlamentsmedlemmer, af oplysninger, der er omfattet af retten til fortrolighed mellem advokat og klient, og af journalistisk materiale (se nærmere oplysninger i betragtning 193).

(216)

Beføjelser vedrørende masseindsamling er reguleret i Part 6 i IPA 2016. Desuden indeholder adfærdskodekserne flere detaljer om anvendelsen af beføjelser vedrørende masseindsamling. Selv om der i Det Forenede Kongeriges lovgivning ikke findes nogen definition af »beføjelser vedrørende masseindsamling«, er de i forbindelse med IPA 2016 blevet beskrevet som indsamling og opbevaring af store mængder data, som regeringen har indsamlet på forskellige måder (dvs. beføjelser til masseaflytning, masseindsamling, masseindgreb og massepersonoplysninger), og som myndighederne efterfølgende kan få adgang til. Denne beskrivelse præciseres ved at stille den over for, hvad »beføjelser vedrørende masseindsamling« ikke er: Der er ikke tale om såkaldt »masseovervågning« uden begrænsninger eller sikkerhedsforanstaltninger. Som forklaret nedenfor indeholder de tværtimod begrænsninger og garantier, der har til formål at sikre, at der ikke gives adgang til oplysninger på et vilkårligt eller uberettiget grundlag (361). Navnlig kan beføjelser vedrørende masseindsamling kun anvendes, hvis der etableres en forbindelse mellem den tekniske foranstaltning, som en national efterretningstjeneste har til hensigt at anvende, og det operationelle mål, som der anmodes om en sådan foranstaltning til.

(217)

Desuden har kun efterretningstjenesterne adgang til beføjelser til masseindsamling, og de er altid underlagt en kendelse, der er udstedt af Secretary of State og godkendt af en Judicial Commissioner. Ved valget af metoder til indsamling af efterretninger skal det undersøges, om det pågældende mål kan forfølges med »mindre indgribende midler« (362). Denne tilgang følger af rammerne for lovgivningen, som bygger på proportionalitetsprincippet og derfor prioriterer målrettet indsamling frem for masseindsamling.

(218)

Ordningen for masseaflytning er fastsat i Chapter 1 i Part 6 i IPA 2016, mens Chapter 3 i samme Part regulerer masseindgreb i udstyr. Disse ordninger er stort set de samme, så de betingelser og yderligere garantier, der gælder for disse kendelser, analyseres samlet.

(219)

En masseaflytningskendelse er begrænset til aflytning af kommunikation under dens transmission, hvor den sendes eller modtages af personer uden for De Britiske Øer (363), såkaldt »oversøisk kommunikation« (364), samt andre relevante data og den efterfølgende udvælgelse med henblik på undersøgelse af det aflyttede materiale (365). En kendelse om masseindgreb i udstyr (366) giver adressaten tilladelse til at skaffe sig adgang til alt udstyr med henblik på at indsamle oversøisk kommunikation (herunder alt, der omfatter tale, musik, lyd, visuelle billeder eller data af en hvilken som helst art), udstyrsdata (data, der muliggør eller letter en posttjenestes, et telekommunikationssystems eller en telekommunikationstjenestes funktion) eller andre oplysninger (367).

(220)

Secretary of State kan kun udstede en kendelse om masseindgreb efter anmodning fra lederen af en efterretningstjeneste (368). En kendelse, der tillader masseaflytning eller masseindgreb i udstyr, må kun udstedes, hvis det er nødvendigt af hensyn til den nationale sikkerhed og af hensyn til forebyggelsen eller afsløringen af grov kriminalitet eller af hensyn til Det Forenede Kongeriges økonomiske velfærd, når det er relevant for den nationale sikkerhed (369). Desuden kræves det i Section 142(7) i IPA 2016, at en kendelse om masseaflytning skal specificeres mere detaljeret end ved blot at henvise til »hensynet til den nationale sikkerhed«, »Det Forenede Kongeriges økonomiske velfærd« og »forebyggelse og bekæmpelse af grov kriminalitet«, og at der skal etableres en forbindelse mellem den foranstaltning, der søges om tilladelse til, og et eller flere operationelle formål, som skal indgå i kendelsen.

(221)

Valget af det operationelle formål er resultatet af en proces i flere tempi. Section 142(4) bestemmer, at de operationelle formål, der er angivet i kendelsen, skal være angivet på en liste, der føres af cheferne for efterretningstjenesterne, som formål, de anser for at være operationelle formål, som gør det muligt at udvælge aflyttet indhold eller sekundære data, der er indsamlet i henhold til kendelser om masseaflytning, til undersøgelse. Listen over operationelle formål skal godkendes af Secretary of State. Secretary of State kan kun give en sådan godkendelse, hvis han eller hun finder det godtgjort, at det operationelle formål er mere detaljeret end de generelle grunde til at udstede kendelsen (statens sikkerhed eller statens sikkerhed og økonomiske velfærd eller forebyggelse af grov kriminalitet) (370). Ved udløbet af hver relevant periode på tre måneder skal Secretary of State udlevere en kopi af listen over operationelle formål til parlamentets ISC. Endelig skal premierministeren revidere listen over operationelle formål mindst én gang om året (371). Som High Court bemærkede, må »[d]isse ikke [...] tilsidesættes som ubetydelige garantier, da de tilsammen udgør et avanceret system af ansvarlighedsformer, som involverer både parlamentet og medlemmer af regeringen på højeste niveau« (372).

(222)

Sådanne operationelle formål begrænser også omfanget af udvælgelsen af aflytningsmaterialet til undersøgelsesfasen. Udvælgelsen til undersøgelse af materiale, der indsamles i henhold til kendelsen om masseindsamling, skal begrundes i lyset af det/de operationelle formål. Som forklaret af Det Forenede Kongeriges myndigheder betyder dette, at Secretary of State skal vurdere de praktiske ordninger for undersøgelsen allerede på stadiet med kendelsen, idet den pågældende skal modtage tilstrækkelige oplysninger til at opfylde de lovbestemte forpligtelser i henhold til Section 152 og 193 i IPA 2016 (373). De oplysninger, der gives til Secretary of State i forbindelse med disse ordninger, skal f.eks. omfatte oplysninger (hvis det er relevant) om, hvordan filtreringsordningerne kan variere i den periode, hvor en kendelse har virkning (374). Yderligere oplysninger om processen og de sikkerhedsforanstaltninger, der anvendes i filtrerings- og undersøgelsesfaserne, findes i betragtning 229 nedenfor.

(223)

En beføjelse til masseindsamling kan kun godkendes, hvis den står i et rimeligt forhold til det, der søges opnået (375). Som anført i Code of Practice on Interception of Communications indebærer enhver proportionalitetsvurdering »en afvejning af alvoren af krænkelsen af privatlivets fred (og andre hensyn, der er anført i Section 2(2)) i forhold til behovet for aktiviteten med hensyn til efterforskning, drift eller kapacitet. Den godkendte handling bør have en realistisk udsigt til at opnå den forventede fordel og bør ikke være uforholdsmæssig eller vilkårlig« (376). Som allerede nævnt betyder dette i praksis, at proportionalitetstesten er baseret på en afvejning mellem det, der søges opnået (»operationelle formål«), og de tilgængelige tekniske muligheder (f.eks. målrettet aflytning eller masseaflytning, indgreb i udstyr, indsamling af kommunikationsdata), idet de mindst indgribende midler foretrækkes (se betragtning 181 og 182 ovenfor). Hvis mere end én foranstaltning er hensigtsmæssig i forhold til målet, skal de mindst indgribende midler foretrækkes.

(224)

En yderligere garanti for vurderingen af proportionaliteten af den foranstaltning, der anmodes om, ligger i, at Secretary of State skal modtage de relevante oplysninger, der er nødvendige for, at den pågældende kan foretage sin vurdering korrekt. Navnlig kræves det i Code of Practice on Interception of Communications og i Code of Practice on Equipment Interference, at anmodningen, der indgives af den relevante myndighed, skal indeholde baggrunden for anmodningen, en beskrivelse af den kommunikation, der skal aflyttes, og de teleoperatører, der skal bistå med aflytningen, en beskrivelse af de handlinger, der skal godkendes, de operationelle formål og en redegørelse for, hvorfor handlingerne er nødvendige og forholdsmæssige (377).

(225)

Endelig er det vigtigt, at Secretary of States afgørelse om at udstede kendelsen skal godkendes af en uafhængig Judicial Commissioner, der vurderer, om den foreslåede foranstaltning er nødvendig og forholdsmæssig, med anvendelse af de samme principper, som en domstol ville anvende i forbindelse med en anmodning om domstolsprøvelse (378). Mere specifikt vil Judicial Commissioner gennemgå Secretary of States konklusioner om, hvorvidt kendelsen er nødvendig, og om handlingerne er forholdsmæssige i lyset af principperne i Section 2(2) i IPA 2016 (generelle forpligtelser vedrørende privatlivets fred). Judicial Commissioner vil også gennemgå Secretary of States konklusioner med hensyn til, om hvert af de operationelle formål, der er angivet i kendelsen, er et formål, som udvælgelsen er eller kan være nødvendig for. Hvis Judicial Commissioner nægter at godkende afgørelsen om at udstede en kendelse, kan Secretary of State enten: i) acceptere afgørelsen og derfor undlade at udstede kendelsen eller ii) henvise sagen til Investigatory Powers Commissioner med henblik på en afgørelse (medmindre Investigatory Powers Commissioner har truffet den oprindelige afgørelse) (379).

(226)

Med IPA 2016 er der indført yderligere begrænsninger af varigheden, fornyelsen og ændringen af en kendelse om masseindsamling. Kendelsen skal have en varighed på højst seks måneder, og enhver afgørelse om forlængelse eller ændring (bortset fra mindre ændringer) af kendelsen skal også godkendes af en Judicial Commissioner (380). I Code of Practice on Interception og Code of Practice on Equipment Interference præciseredes det, at en ændring af kendelsens operationelle formål betragtes som en større ændring af kendelsen (381).

(227)

I lighed med hvad der er fastsat for målrettet aflytning, fastsætter Part 6 i IPA 2016, at Secretary of State skal sikre, at der er indført ordninger til sikring af opbevaring og videregivelse af materiale, der er fremskaffet i henhold til kendelsen (382), samt til offentliggørelse i udlandet (383). Navnlig kræver Section 150(5) og 191(5) i IPA 2016, at alle eksemplarer, der er fremstillet af det materiale, der er indsamlet i henhold til kendelsen, skal opbevares sikkert og destrueres, så snart der ikke længere foreligger nogen relevante grunde til at beholde dem, mens Section 150(2) og 191(2) kræver, at antallet af personer, som materialet videregives til, og omfanget i hvilket materialet videregives, stilles til rådighed eller kopieres, begrænses til det minimum, der er nødvendigt af hensyn til de lovbestemte formål (384).

(228)

Endelig fastsættes det i IPA 2016, at når det materiale, der er blevet opsnappet enten gennem masseaflytning eller masseindgreb i udstyr, skal overdrages til et tredjeland (»oversøiske oplysninger«), skal Secretary of State sikre, at der er truffet passende foranstaltninger til at sikre, at der findes lignende foranstaltninger vedrørende sikkerhed, opbevaring og videregivelse i det pågældende tredjeland (385). I henhold til Section 109 i DPA 2018 gælder der særlige krav for internationale overførsler af personoplysninger fra efterretningstjenester til tredjelande eller internationale organisationer, og oplysningerne må ikke overføres til et land eller territorium uden for Det Forenede Kongerige eller til en international organisation, medmindre overførslen er nødvendig og står i et rimeligt forhold til formålet med den dataansvarliges lovbestemte funktioner eller til andre formål, der er fastsat i Section 2(2)(a) i Security Service Act 1989 eller Section 2(2)(a) og 4(2)(a) i Intelligence Services Act 1994 (386). Det er vigtigt at bemærke, at disse krav også gælder i tilfælde, hvor den nationale sikkerhedsundtagelse i henhold til Section 110 i DPA 2018 påberåbes, da Section 110 i DPA 2018 ikke opregner Section 109 i DPA 2018 som en af de bestemmelser, der kan fraviges, hvis en undtagelse fra visse bestemmelser er nødvendig for at beskytte den nationale sikkerhed.

(229)

Når kendelsen er godkendt, og dataene er masseindsamlet, vil de blive gjort til genstand for en udvælgelse, inden de undersøges. Udvælgelses- og undersøgelsesfasen er genstand for en yderligere proportionalitetstest udført af analytikeren, som på grundlag af de operationelle formål, der indgår i kendelsen (og eventuelt eksisterende filtreringsordninger), definerer udvælgelseskriterierne. Som fastsat i Section 152 og 193 i IPA skal Secretary of State ved udstedelsen af kendelsen sikre, at der er truffet foranstaltninger til at sikre, at udvælgelsen af materialet kun sker til de angivne operationelle formål, og at dette er nødvendigt og rimeligt under alle omstændigheder. I den forbindelse præciserede Det Forenede Kongeriges myndigheder, at det materiale, der masseindsamles, først og fremmest udvælges via automatisk filtrering med henblik på at frasortere data, der sandsynligvis ikke vil være af interesse for den nationale sikkerhed. Filtrene vil variere fra tid til anden (efterhånden som internettrafikmønstre, -typer og -protokoller ændrer sig) og afhænger af teknologien og den operationelle sammenhæng. Efter denne fase kan dataene kun udvælges til undersøgelse, hvis de er relevante for de operationelle formål, der er angivet i kendelsen (387). De garantier, der er fastsat i IPA 2016 for undersøgelse af det indsamlede materiale, gælder for alle typer oplysninger (både tilbageholdt indhold og sekundære oplysninger) (388). Section 152 og 193 i IPA 2016 indeholder også et generelt forbud mod at udvælge materiale til undersøgelse, der henviser til samtaler, der sendes af eller er beregnet til personer, der befinder sig på De Britiske Øer. Hvis myndighederne ønsker at undersøge dette materiale, skal de indgive en anmodning om en kendelse om målrettet undersøgelse i henhold til Part 2 og Part 4 i IPA 2016, udstedt af Secretary of State og godkendt af en Judicial Commissioner (389). Hvis en person bevidst udvælger aflyttet indhold til undersøgelse i strid med kravene i lovgivningen (390), begår vedkommende en strafbar handling (391).

(230)

Den vurdering, som analytikeren foretager af udvælgelsen af materialet, er underlagt efterfølgende kontrol fra IPC's side, som evaluerer overholdelsen af de specifikke sikkerhedsforanstaltninger, der er fastsat i IPA 2016 for undersøgelsesfasen (392) (se også betragtning 229). IPC skal løbende overvåge (herunder gennem revision, undersøgelse og efterforskning) de offentlige myndigheders udøvelse af de efterforskningsbeføjelser, der er omhandlet i IPA 2016 (393). I denne forbindelse præciseres det i Code of Practice on Interception og Code of Practice on Equipment Interference, at agenturet skal føre fortegnelser med henblik på efterfølgende undersøgelser og revisioner, og i disse fortegnelser skal der redegøres for, hvorfor autoriserede personers adgang til materialet er nødvendig og forholdsmæssig, samt de gældende operationelle formål (394). For eksempel konkluderede Investigatory Powers Commissioner Office (IPCO) (395) i sin årsberetning for 2018, at de begrundelser, som analytikerne havde registreret for undersøgelse af visse typer af materiale, der var masseindsamlet, overholdt den krævede proportionalitetsstandard, idet de omfattede tilstrækkelige oplysninger om årsagerne til deres »forespørgsler« i forhold til det formål, der søgtes opfyldt (396). I sin rapport fra 2019 gav IPCO hvad massebeføjelser angår klart udtryk for, at hensigten var at fortsætte inspektionerne af masseaflytninger, herunder en detaljeret undersøgelse af selektorerne og søgekriterierne (397). IPCO vil endvidere i hvert enkelt tilfælde fortsat nøje undersøge valget af overvågningsforanstaltninger (målrettet mod masseaflytninger) både under behandlingen af ansøgninger om retskendelse under double-lock-proceduren og ved inspektioner (398). Der vil blive taget behørigt hensyn til denne yderligere overvågning i forbindelse med Kommissionens overvågning af denne afgørelse, jf. betragtning 281-284.

(231)

Chapter 2 i Part 6 i IPA 2016 regulerer kendelser om masseindsamling, der giver adressaten tilladelse til at kræve, at en teleoperatør videregiver eller indsamler kommunikationsdata, som operatøren er i besiddelse af. Disse kendelser giver også den anmodende myndighed tilladelse til at udvælge data til den videre fase af efterforskningen. Som det er tilfældet med målrettet opbevaring og indsamling af kommunikationsdata (se betragtning 199), vedrører masseindsamling af kommunikationsdata normalt ikke personoplysninger om registrerede i EU, der overføres til Det Forenede Kongerige i henhold til denne afgørelse. Forpligtelsen til at videregive kommunikationsdata i henhold til Chapter 2 i Part 6 i IPA 2016 omfatter data, der indsamles af teleoperatører i Det Forenede Kongerige direkte fra brugerne af en telekommunikationstjeneste (399). Denne type »kundeorienterede« behandling indebærer typisk ikke en overførsel på grundlag af denne afgørelse, dvs. en overførsel fra en dataansvarlig/databehandler i EU til en dataansvarlig/databehandler i Det Forenede Kongerige.

(232)

For fuldstændighedens skyld er betingelserne og garantierne for masseindsamling af kommunikationsdata imidlertid beskrevet nedenfor.

(233)

IPA 2016 erstatter lovgivningen om masseindsamling af kommunikationsdata, som var genstand for EU-Domstolens dom i sagen Privacy International. Den i denne sag omhandlede lovgivning blev ophævet, og den nye ordning fastsætter særlige betingelser og garantier for, hvornår en sådan foranstaltning kan tillades.

(234)

I modsætning til den tidligere ordning, i henhold til hvilken Secretary of State havde fuld skønsbeføjelse med hensyn til at godkende foranstaltningen (400), kræver IPA 2016 navnlig, at Secretary of State kun udsteder en kendelse, hvis foranstaltningen er nødvendig og forholdsmæssig. Dette betyder i praksis, at der skal være en sammenhæng mellem adgangen til oplysningerne og det tilstræbte mål (401). Mere specifikt skal Secretary of State vurdere, om der er en sammenhæng mellem den foranstaltning, der anmodes om, og et eller flere »operationelle formål«, der er anført i kendelsen (se betragtning 219), for så vidt angår vurderingen af proportionaliteten. I den relevante adfærdskodeks præciseres det, at »Secretary of State skal tage hensyn til, om det, der søges opnået med kendelsen, med rimelighed kan opnås med andre, mindre indgribende midler (Section 2(2)(a) i loven). For eksempel indsamling af de krævede oplysninger ved hjælp af en mindre indgribende foranstaltning såsom målrettet indsamling af kommunikationsdata (402).

(235)

Med henblik på at foretage en sådan vurdering vil Secretary of State tage udgangspunkt i oplysninger, som lederne af efterretningstjenesterne (403) skal fremlægge i deres ansøgning, såsom grundene til, at foranstaltningen anses for nødvendig af en af de lovbestemte grunde, og grundene til, at det, der søges opnået, ikke med rimelighed kan opnås med andre, mindre indgribende midler (404). Desuden begrænser de operationelle formål det omfang, hvortil data, der er indsamlet i henhold til kendelsen, kan udvælges til undersøgelse (405). Som anført i den relevante adfærdskodeks skal de operationelle formål beskrive et klart krav og indeholde tilstrækkeligt detaljerede oplysninger til, at Secretary of State har vished for, at de indsamlede oplysninger kun kan udvælges til undersøgelse af specifikke grunde (406). Secretary of State skal nemlig, inden kendelsen godkendes, sikre, at der er truffet særlige foranstaltninger for at sikre, at kun det materiale, der anses for nødvendigt med henblik på en undersøgelse med et operationelt formål og et lovbestemt formål, udvælges til undersøgelsen og skal under alle omstændigheder være forholdsmæssigt afpasset og nødvendigt. Dette specifikke krav, som fremgår af Section 158 og 172 (407) i IPA 2016, vedrørende den forudgående vurdering af nødvendigheden og proportionaliteten af de kriterier, der anvendes i forbindelse med udvælgelsen, udgør endnu en vigtig nyskabelse ved ordningen, der blev indført med IPA 2016, sammenlignet med den tidligere gældende ordning.

(236)

IPA 2016 indførte også en forpligtelse for Secretary of State til at sikre, at der, inden kendelsen til masseindsamling af kommunikationsdata udstedes, indføres specifikke begrænsninger for sikkerheden, opbevaringen og videregivelsen af de indsamlede personoplysninger (408). I tilfælde af offentliggørelse i udlandet finder de beskyttelsesforanstaltninger, der er beskrevet i betragtning 227, for masseaflytning og masseindgreb i udstyr også anvendelse i denne sammenhæng (409). Der er fastsat yderligere begrænsninger i lovgivningen om varighed (410), fornyelse (411) og ændring af kendelser om masseindsamling (412).

(237)

Det er vigtigt at bemærke, at Secretary of State, for så vidt angår de øvrige beføjelser vedrørende masseindsamling, inden han eller hun udsteder kendelsen, skal have en godkendelse fra en Judicial Commissioner (413). Dette er et centralt element i den ordning, der blev indført med IPA 2016.

(238)

IPC fører efterfølgende kontrol med undersøgelsesproceduren for det materiale (kommunikationsdata), der masseindsamles (se betragtning 254 nedenfor). I den forbindelse indførtes der med IPA 2016 et krav om, at den efterretningsanalytiker, der foretager undersøgelsen, inden udvælgelsen af de data, der skal undersøges, skal registrere årsagen til, at den foreslåede undersøgelse er nødvendig og står i et rimeligt forhold til et bestemt operationelt formål (414). I IPCO's årsberetning for 2019 blev det konstateret med hensyn til GCHQ's og MI5's praksis, at »den kritiske rolle, som massekommunikationsdata spiller for de forskellige aktiviteter, der udføres i GCHQ, var veldefineret i det sagsarbejde, vi kontrollerede. Vi vurderede arten af de ønskede data og de anførte efterretningsbehov og fandt det godtgjort, at dokumentationen viste, at deres tilgang var nødvendig og forholdsmæssig (415). MI5's registrerede begrundelser var af god standard og opfyldte principperne om nødvendighed og proportionalitet« (416).

(239)

Kendelser om datasæt med massepersonoplysninger (417) giver efterretningstjenesterne tilladelse til at opbevare og undersøge datasæt, der indeholder personoplysninger om en række personer. I henhold til Det Forenede Kongeriges myndigheders forklaringer kan analysen af sådanne datasæt være »den eneste måde, hvorpå UKIC kan komme videre i efterforskningen og identificere terrorister ud fra meget begrænsede efterretninger om de pågældende, eller når deres kommunikation bevidst er holdt skjult« (418). Der findes to typer kendelser: »Class BPD warrants« (419) (kendelser om en kategori af datasæt med massepersonoplysninger), der vedrører en bestemt kategori af datasæt, dvs. datasæt, der er ens med hensyn til indhold og tiltænkt anvendelse, og som giver anledning til overvejelser med hensyn til f.eks. graden af indgriben og følsomhed samt forholdsmæssigheden af at anvende dataene, således at Secretary of State kan overveje nødvendigheden og proportionaliteten af at indsamle alle data inden for den relevante kategori på én gang. For eksempel kan en class BPD warrant omfatte rejsedatasæt vedrørende ruter, der minder om hinanden (420). »Specific BPD warrants« (421) (kendelser om et specifikt datasæt med massepersonoplysninger) vedrører i stedet et specifikt datasæt, f.eks. et datasæt med en ny eller usædvanlig type oplysninger, som ikke falder ind under en eksisterende kategori af datasæt med massepersonoplysninger, eller et datasæt, der vedrører specifikke typer personoplysninger (422) og derfor kræver yderligere sikkerhedsforanstaltninger (423). Bestemmelserne i IPA 2016 vedrørende datasæt med massepersonoplysninger giver kun mulighed for at undersøge og opbevare sådanne datasæt, hvis det er nødvendigt og forholdsmæssigt (424), og i overensstemmelse med de generelle forpligtelser vedrørende privatlivets fred (425).

(240)

Beføjelsen til at udstede en kendelse om et datasæt med massepersonoplysninger er underlagt »double-lock-proceduren«: Vurderingen af, om foranstaltningen er nødvendig og forholdsmæssig, foretages først af Secretary of State og derefter af Judicial Commissioner (426). Secretary of State er forpligtet til at tage stilling til arten og omfanget af den type kendelse, der anmodes om, den pågældende kategori af oplysninger og antallet af individuelle datasæt med massepersonoplysninger, der kan tænkes at falde ind under den specifikke type kendelse (427). Som anført i Code of Practice on Intelligence Services' Retention and Use of Bulk Personal Datasets skal der føres detaljerede registre, som skal underkastes IPC-revision (428). Opbevaring og undersøgelse af datasæt med massepersonoplysninger uden for rammerne af IPA 2016 er en strafbar handling (429).

(241)

Personoplysninger, der behandles i henhold til Part 4 i DPA 2018, må ikke behandles på en måde, der er uforenelig med det formål, hvortil de blev indsamlet (430). DPA 2018 fastsætter, at den dataansvarlige kan behandle oplysningerne til et andet formål end det, hvortil oplysningerne blev indsamlet, når det er foreneligt med det oprindelige formål, og forudsat at den dataansvarlige ved lov er bemyndiget til at behandle oplysningerne, og at behandlingen er nødvendig og forholdsmæssig (431). Desuden præciseres det i Security Service Act 1989 og Intelligence Services Act 1994, at lederne af efterretningstjenesterne har pligt til at sikre, at ingen oplysninger indsamles eller videregives, medmindre det er nødvendigt for den korrekte varetagelse af agenturets funktioner eller til andre begrænsede og specifikke formål, der er anført i de relevante bestemmelser (432).

(242)

Desuden indeholder Section 109 i DPA 2018 specifikke krav til efterretningstjenesters internationale videregivelse af personoplysninger til tredjelande eller internationale organisationer. I henhold til denne bestemmelse må personoplysninger ikke videregives til et land eller territorium uden for Det Forenede Kongerige eller til en international organisation, medmindre videregivelsen er nødvendig og står i et rimeligt forhold til formålet med den dataansvarliges lovbestemte funktioner eller til andre formål, der er fastsat i Section 2(2)(a) i Security Service Act 1989 eller Section 2(2)(a) og 4(2)(a) i Intelligence Services Act 1994 (433). Det er vigtigt at bemærke, at disse krav også gælder i tilfælde, hvor den nationale sikkerhedsundtagelse i henhold til Section 110 i DPA 2018 påberåbes, da Section 110 i DPA 2018 ikke opregner Section 109 i DPA 2018 som en af de bestemmelser, der kan fraviges, hvis en undtagelse fra visse bestemmelser er nødvendig for at beskytte den nationale sikkerhed.

(243)

Som påpeget af ICO i sine retningslinjer om efterretningstjenesters behandling er en efterretningstjeneste, ud over de garantier, der er fastsat i Part 4 i DPA 2018, desuden, når den deler oplysninger med et tredjelands efterretningsenhed, også omfattet af garantier i henhold til andre lovgivningsmæssige foranstaltninger, der gælder for dem, for at sikre, at personoplysninger indsamles, deles og håndteres lovligt og ansvarligt (434). IPA 2016 indeholder eksempelvis yderligere garantier i forbindelse med overførsel til et tredjeland af materiale, der er indsamlet gennem målrettet aflytning (435), et målrettet indgreb i udstyr (436), masseaflytning (437), masseindsamling af kommunikationsdata (438) og masseindgreb i udstyr (439) (såkaldte »oversøiske oplysninger«). Den myndighed, der udsteder kendelsen, skal navnlig sikre, at der er truffet foranstaltninger til at sikre, at det tredjeland, der modtager oplysningerne, begrænser antallet af personer, der ser materialet, samt omfanget af videregivelsen og antallet af kopier af alt materiale til det minimum, som er nødvendigt til de godkendte formål, der er fastsat i IPA 2016 (440).

(244)

Myndighedsadgang af hensyn til den nationale sikkerhed overvåges af en række forskellige organer. Information Commissioner fører kontrol med behandlingen af personoplysninger i henhold til DPA 2018 (for yderligere oplysninger om Information Commissioners uafhængighed, rolle vedrørende udpegelser og beføjelser henvises til betragtning 85-98), mens IPC fører uafhængig og retlig kontrol med anvendelsen af efterforskningsbeføjelser i henhold til IPA 2016. IPC fører kontrol med, at både retshåndhævende myndigheder og nationale sikkerhedsmyndigheder anvender efterforskningsbeføjelserne i IPA 2016. Den politiske kontrol sikres af parlamentets Intelligence Service Committee (udvalg vedrørende efterretningstjenesterne).

(245)

Den behandling af personoplysninger, der foretages af efterretningstjenesterne i henhold til Part 4 i DPA 2018, overvåges af Information Commissioner (441).

(246)

Information Commissioners generelle opgaver i forbindelse med efterretningstjenesternes behandling af personoplysninger i henhold til Part 4 i DPA 2018 er fastlagt i Schedule 13 til DPA 2018. Opgaverne omfatter, men er ikke begrænset til, overvågning og håndhævelse af Part 4 i DPA 2018, fremme af offentlighedens bevidsthed, rådgivning af parlamentet, regeringen og andre institutioner om lovgivningsmæssige og administrative foranstaltninger, fremme af dataansvarliges og databehandleres kendskab til deres forpligtelser, underretning af den registrerede om udøvelsen af registreredes rettigheder og gennemførelse af undersøgelser osv.

(247)

Information Commissioner har ligesom for Part 3 i DPA 2018 beføjelse til at underrette de dataansvarlige om en påstået overtrædelse og udstede advarsler om, at en behandling sandsynligvis vil udgøre en overtrædelse af reglerne, og udstede irettesættelser, når overtrædelsen bekræftes. Den kan også udstede enforcement og penalty notices for overtrædelser af visse bestemmelser i loven (442). I modsætning til for andre dele af DPA 2018 kan Information Commissioner imidlertid ikke udstede en assessment notice til et nationalt sikkerhedsagentur (443).

(248)

Desuden indeholder Section 110 i DPA 2018 en undtagelse fra anvendelsen af visse af Information Commissioners beføjelser, når dette er nødvendigt af hensyn til beskyttelsen af den nationale sikkerhed. Dette omfatter Information Commissioners beføjelse til at udstede (enhver form for) notices i henhold til DPA (information, assessment, enforcement og penalty notices), beføjelse til at foretage inspektioner i overensstemmelse med internationale forpligtelser, ransagnings- og inspektionsbeføjelser samt reglerne om lovovertrædelser (444). Som forklaret i betragtning 126finder disse undtagelser kun anvendelse, hvis det er nødvendigt og forholdsmæssigt, og vurderes fra sag til sag.

(249)

ICO og Det Forenede Kongeriges efterretningstjenester har undertegnet et Memorandum of Understanding (445), der fastlægger en ramme for samarbejde om en række spørgsmål, herunder anmeldelser af brud på datasikkerheden og behandling af klager fra registrerede. Det fastsætter navnlig, at ICO efter modtagelse af en klage vurderer, at anvendelsen af en eventuel undtagelse vedrørende den nationale sikkerhed er blevet anvendt korrekt. Svar på forespørgsler fra ICO i forbindelse med behandlingen af individuelle klager skal gives inden for 20 arbejdsdage af den berørte efterretningstjeneste ved hjælp af passende sikre kanaler, hvis der er tale om fortrolige oplysninger. ICO har fra april 2018 til dato modtaget 21 klager over efterretningstjenesterne fra enkeltpersoner. Hver klage er blevet vurderet, og resultatet er meddelt den registrerede (446).

(250)

I henhold til Part 8 i IPA 2016 udøves kontrollen med anvendelsen af efterforskningsbeføjelserne af Investigatory Powers Commissioner (IPC). IPC bistås af andre Judicial Commissioners, der under ét benævnes »Judicial Commissioners« (447). IPA 2016 fastsætter de garantier, der beskytter Judicial Commissioners uafhængighed. Judicial Commissioners skal beklæde eller have varetaget en høj retslig funktion (dvs. de skal være eller have været medlem af de øverste domstole) (448), og som medlemmer af dommerstanden er de uafhængige af regeringen (449). I henhold til Section 227 i IPA 2016 skal premierministeren udnævne IPC og det antal Judicial Commissioners, som han anser for nødvendigt. Alle Commissioners, uanset om de er nuværende eller tidligere medlemmer af dommerstanden, kan kun udnævnes på grundlag af en fælles henstilling fra de tre Chief Justices for England & Wales, Skotland og Nordirland og Lord Chancellor (450). Secretary of State skal stille personale, indkvartering, udstyr og andre faciliteter og tjenester til rådighed for IPC (451). Judicial Commissioners' embedsperiode er tre år, og de kan genudnævnes (452). Judicial Commissioners kan som en yderligere garanti for deres uafhængighed kun afsættes fra embedet på strenge betingelser, der kræver en høj tærskel: enten af premierministeren under de særlige omstændigheder, der er anført udtømmende i Section 228(5) i IPA 2016 (såsom konkurs eller fængsling), eller hvis parlamentets to kamre har vedtaget en beslutning om godkendelse af afsættelsen (453).

(251)

IPC og Judicial Commissioners støttes i deres roller af Investigatory Powers Commissioner's Office (kontoret for efterforskningsbeføjelser, IPCO). IPCO's personale omfatter et team af efterforskere, interne juridiske og tekniske eksperter og et Technology Advisory Panel (rådgivende teknologipanel), der yder ekspertrådgivning. Som det er tilfældet for de enkelte Judicial Commissioners, er IPCO's uafhængighed beskyttet. IPCO er et »armslængde-organ« under Home Office (indenrigsministeriet), dvs. det modtager finansiering fra indenrigsministeriet, men udfører sine opgaver uafhængigt (454).

(252)

De vigtigste funktioner, som Judicial Commissioners varetager, er beskrevet i Section 229 i IPA 2016 (455). Navnlig har Judicial Commissioners en omfattende beføjelse til forudgående godkendelse, hvilket er en del af de garantier, der blev indført i Det Forenede Kongeriges retlige ramme med IPA 2016. Kendelser i forbindelse med målrettet aflytning, indgreb i udstyr, datasæt med massepersonoplysninger, masseindsamling af kommunikationsdata samt lagringsmeddelelser vedrørende kommunikationsdata skal alle godkendes af Judicial Commissioners (456). IPC skal også altid forhåndsgodkende indsamlingen af kommunikationsdata med henblik på retshåndhævelse (457). Hvis en Judicial Commissioner nægter at godkende en kendelse, kan Secretary of State appellere til Investigatory Powers Commissioner, hvis afgørelse er endelig.

(253)

FN's særlige rapportør om retten til privatlivets fred udtrykte stor tilfredshed med indførelsen af Judicial Commissioners med IPA 2016, da »alle de mere følsomme eller indgribende anmodninger om at gennemføre overvågning skal godkendes af både en minister fra kabinettet og Investigatory Powers Commissioner's Office«. Han understregede navnlig, at »dette element af domstolskontrol [gennem IPC's rolle] bistået af et hold af erfarne efterforskere og teknologieksperter med flere ressourcer er en af de vigtigste nye beskyttelsesforanstaltninger, der er indført med IPA, der erstattede et tidligere fragmenteret system af kontrolmyndigheder og supplerer den rolle, som Intelligence and Security Committee of Parliament og Investigatory Powers Tribunal spiller« (458).

(254)

IPC har desuden beføjelse til at føre efterfølgende kontrol, herunder ved hjælp af revision, inspektion og undersøgelse, med anvendelsen af efterforskningsbeføjelserne i henhold til IPA 2016 (459) og visse andre beføjelser og funktioner, der er fastsat i den relevante lovgivning (460). Resultaterne af en sådan efterfølgende kontrol indgår i den rapport, som IPC hvert år skal udarbejde og forelægge premierministeren (461), og som skal offentliggøres og forelægges parlamentet (462). Rapporten indeholder relevante statistikker og oplysninger om efterretningsagenturers og retshåndhævende myndigheders anvendelse af efterforskningsbeføjelserne samt anvendelsen af garantierne i forbindelse med materiale, der er omfattet af retten til fortrolighed mellem advokat og klient, fortroligt journalistisk materiale og kilder til journalistiske oplysninger, oplysninger om de foranstaltninger, der er truffet, og de operationelle formål, der anvendes i forbindelse med kendelser om masseindsamling. Endelig præciseres det i IPCO's årsberetning, på hvilket område der blev udstukket anbefalinger til de offentlige myndigheder, og hvordan de er blevet håndteret (463).

(255)

I overensstemmelse med Section 231 i IPA 2016 skal IPC, hvis han eller hun får kendskab til en relevant fejl begået af offentlige myndigheder i forbindelse med udøvelsen af deres efterforskningsbeføjelser, underrette den pågældende person, hvis vedkommende mener, at fejlen er alvorlig, og det er i offentlighedens interesse, at personen underrettes (464). Navnlig præciseres det i Section 231 i IPA 2016, at når en person underrettes om en fejl, skal IPC fremlægge oplysninger om eventuelle rettigheder, som vedkommende har til at indbringe spørgsmålet for Investigatory Powers Tribunal, og fremlægge de oplysninger, som han eller hun anser for nødvendige for udøvelsen af disse rettigheder, og der er en offentlig interesse i videregivelsen (465).

(256)

Den parlamentariske kontrol, der føres af Intelligence and Security Committee (ISC), har hjemmel i Justice and Security Act 2013 (JSA 2013) (466). Ved loven oprettes ISC som et udvalg under Det Forenede Kongeriges parlament. Siden 2013 har ISC fået større beføjelser, herunder kontrol med sikkerhedstjenesternes operationelle aktiviteter. I henhold til Section 2 i JSA 2013 har ISC til opgave at føre kontrol med de nationale sikkerhedsagenturers udgifter, administration, politik og drift. JSA 2013 præciserer, at ISC kan foretage undersøgelser af operationelle spørgsmål, når de ikke vedrører igangværende operationer (467). I det aftalememorandum, der er indgået mellem premierministeren og ISC (468), præciseres det nærmere, hvilke elementer der skal tages hensyn til, når det skal vurderes, hvorvidt en aktivitet ikke er en del af en igangværende operation (469). Premierministeren kan også anmode ISC om at undersøge igangværende operationer og gennemgå oplysninger, som agenturerne frivilligt fremlægger.

(257)

I henhold til bilag 1 til JSA 2013 kan ISC anmode lederne af en af de tre efterretningstjenester om at videregive alle oplysninger. Agenturet skal stille disse oplysninger til rådighed, medmindre Secretary of State nedlægger veto mod dette (470). Ifølge de britiske myndigheders forklaringer tilbageholdes der i praksis meget få oplysninger fra ISC (471).

(258)

ISC består af medlemmer, der tilhører parlamentets to kamre og udnævnes af premierministeren efter høring af oppositionslederen (472). ISC skal hvert år aflægge beretning til parlamentet om udøvelsen af sine funktioner og andre rapporter, som det finder hensigtsmæssige (473). Desuden har ISC ret til hver tredje måned at modtage listen over operationelle formål, der anvendes til at undersøge materiale, der er indsamlet som massedata (474). Premierministeren udveksler kopier af efterforskninger, inspektioner eller revisioner foretaget af Investigatory Power Commissioner med ISC, når emnet i rapporterne er relevant for udvalgets lovbestemte beføjelser (475). Endelig kan udvalget anmode IPC om at foretage en undersøgelse, og denne skal underrette ISC om sin beslutning om, hvorvidt der skal foretages en sådan undersøgelse (476).

(259)

ISC kom også med input til udkastet til IPA 2016, hvilket resulterede i en række ændringer, som nu er afspejlet i IPA 2016 (477). ISC anbefalede navnlig en styrkelse af beskyttelsen af privatlivets fred ved at indføre et sæt beskyttelsesforanstaltninger for privatlivets fred, der gælder for hele rækken af efterforskningsbeføjelser (478). ISC foreslog også ændringer af den foreslåede kapacitet vedrørende indgreb i udstyr, datasæt med massepersonoplysninger og kommunikationsdata og anmodede om andre specifikke ændringer for at styrke begrænsningerne og garantierne i forbindelse med anvendelsen af efterforskningsbeføjelser (479).

(260)

På området myndighedsadgang af hensyn til den nationale sikkerhed skal de registrerede have mulighed for at anlægge sag ved en uafhængig og upartisk domstol for at få adgang til deres personoplysninger eller for at få dem berigtiget eller slettet (480). En sådan retsinstans skal navnlig have beføjelse til at træffe bindende afgørelser om efterretningstjenesten (481). Som forklaret i betragtning 261 til 271 giver en række retsmidler i Det Forenede Kongerige de registrerede mulighed for at anvende og få adgang til sådanne retsmidler.

(261)

I henhold til Section 165 i DPA 2018 har den registrerede ret til at indgive en klage til Information Commissioner, hvis den registrerede mener, at der i forbindelse med vedkommendes personoplysninger foreligger en overtrædelse af Part 4 i DPA 2018. Information Commissioner har beføjelse til at vurdere den dataansvarliges og databehandlerens overholdelse af DPA 2018 og kræve, at de tager de nødvendige skridt. I henhold til Part 4 i DPA 2018 har fysiske personer desuden ret til at anmode High Court (eller Court of Session i Skotland) om en kendelse, der pålægger den dataansvarlige at overholde retten til indsigt i oplysninger (482), at gøre indsigelse mod behandling (483) samt til berigtigelse eller sletning (484).

(262)

Fysiske personer har også ret til at kræve erstatning for den skade, de har lidt som følge af den dataansvarliges eller databehandlerens overtrædelse af et krav i Part 4 i DPA 2018 (485). Skader omfatter både økonomiske tab og skader, der ikke indebærer økonomiske tab, såsom overlast (486).

(263)

Enkeltpersoner kan få erstatning for overtrædelser af IPA 2016 ved Investigatory Powers Tribunal.

(264)

Investigatory Powers Tribunal er oprettet ved RIPA 2000 og er uafhængig af den udøvende magt (487). I overensstemmelse med Section 65 i RIPA 2000 udnævnes medlemmerne af denne domstol af Kronen for en periode på fem år. Et medlem af domstolen kan afskediges af Kronen efter et forslag (»Address«) (488) fra begge parlamentets kamre (489).

(265)

I henhold til Section 65 i RIPA 2000 er Investigatory Powers Tribunal den rette retsinstans for enhver klage fra en person, der er blevet krænket som følge af handlinger i henhold til IPA 2016, RIPA 2000 eller efterretningstjenesternes handlinger (490).

(266)

For at anlægge sag ved Investigatory Powers Tribunal (opfylde kravet om søgsmålskompetence) skal en person i henhold til Section 65 i RIPA 2000 have en formodning om (491), at en efterretningstjeneste har udført aktiviteter vedrørende ham, et hvilket som helst af hans aktiver, enhver kommunikation, der er sendt af eller til ham eller er bestemt for ham, eller hans brug af en posttjeneste, en telekommunikationstjeneste eller et telekommunikationssystem (492). Desuden skal klageren have en formodning om, at aktiviteten har fundet sted under »anfægtelige omstændigheder« (493) eller »er udført af eller på vegne af efterretningstjenesterne« (494). Da navnlig denne »formodnings«-standard er blevet fortolket ret bredt (495), er indbringelse af en sag for retten underlagt lave krav til søgsmålskompetence.

(267)

Når Investigatory Powers Tribunal behandler en klage, som er indbragt for den, er det dens opgave at undersøge, om de personer, der er genstand for en påstand i klagen, har udført handlinger i forhold til klageren, og at undersøge, hvilken myndighed der angiveligt har begået overtrædelserne, og om de påståede handlinger har fundet sted (496). Når Investigatory Powers Tribunal behandler en sag, skal den anvende de samme principper for at træffe afgørelse i denne sag, som en domstol ville anvende i forbindelse med en anmodning om domstolsprøvelse (497). Desuden har modtagerne af kendelser eller meddelelser i henhold til IPA 2016 og enhver anden person, der er ansat under Kronen, og som er ansat af politiet eller Police Investigations and Review Commissioner, pligt til at videregive eller fremlægge alle de dokumenter og oplysninger, som retten måtte have brug for, for at sætte dem i stand til at udøve deres kompetence (498).

(268)

Investigatory Powers Tribunal skal underrette klageren om, hvorvidt vedkommende har fået medhold eller ej (499). I henhold til Section 67(6) og (7) i RIPA 2000 har Investigatory Powers Tribunal beføjelse til at udstede foreløbige kendelser og til at udstede enhver sådan tilkendelse af erstatning eller anden kendelse, som den finder passende. Dette kan omfatte en kendelse, der ophæver eller annullerer en kendelse eller tilladelse, og en kendelse om tilintetgørelse af ethvert register over oplysninger, der er indsamlet under udøvelse af beføjelser i henhold til en kendelse, tilladelse eller meddelelse, eller som en offentlig myndighed på anden måde er i besiddelse af over for en hvilken som helst person (500). I henhold til Section 67A i RIPA 2000 kan Investigatory Powers Tribunals afgørelse appelleres med forbehold af dens egen eller den relevante appeldomstols tilladelse.

(269)

Endelig er det værd at bemærke, at Investigatory Powers Tribunals rolle er blevet drøftet i forbindelse med retssager ved Den Europæiske Menneskerettighedsdomstol ved flere lejligheder, navnlig i sagen Kennedy mod Det Forenede Kongerige (501) og senest i sagen Big Brother Watch m.fl. (502) mod Det Forenede Kongerige, hvor retten fastslog, at »IPT sikrede en solid klageadgang for alle med en mistanke om, at vedkommendes kommunikation var blevet aflyttet af efterretningstjenesterne« (503).

(270)

Som forklaret i betragtning 109 til 111 findes der også klagemuligheder i henhold til Human Rights Act 1998 og Den Europæiske Menneskerettighedsdomstol (504) vedrørende statens sikkerhed. Section 65(2) i RIPA 2000 giver Investigatory Powers Tribunal enekompetence i forbindelse med alle krav i Human Rights Act i forhold til efterretningsagenturerne (505). Dette betyder, som High Court har bemærket, at »hvorvidt der er sket en overtrædelse af HRA på grundlag af de faktiske omstændigheder i en bestemt sag, er noget, der i princippet kan rejses og afgøres af en uafhængig domstol, som kan få adgang til alt relevant materiale, herunder hemmeligt materiale. [...] Vi skal i denne forbindelse også huske på, at IPT nu selv er omfattet af muligheden for at appellere til en passende appeldomstol (i England og Wales ville dette være Court of Appeal), og at Supreme Court for nylig har afgjort, at IPT i princippet kan gøres til genstand for domstolsprøvelse: Se R (Privacy International) mod Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219« (506).

(271)

Det følger af ovenstående, at når Det Forenede Kongeriges retshåndhævende myndigheder eller statslige sikkerhedsmyndigheder får adgang til personoplysninger, der er omfattet af denne afgørelse, er en sådan adgang underlagt love, der fastsætter betingelserne for adgang og sikrer, at adgangen til og den videre anvendelse af oplysningerne er begrænset til, hvad der er nødvendigt og står i et rimeligt forhold til det tilstræbte mål om retshåndhævelse eller statens sikkerhed. Desuden er en sådan adgang i de fleste tilfælde betinget af en forudgående tilladelse fra en retsinstans gennem godkendelse af en kendelse eller en editionskendelse og under alle omstændigheder uafhængig kontrol. Når de offentlige myndigheder har fået adgang til data, er behandlingen heraf, herunder videreformidling og videreoverførsel, omfattet af specifikke databeskyttelsesgarantier i henhold til Part 3 i DPA 2018, som afspejler dem, der er fastsat i direktiv (EU) 2016/680, med henblik på retshåndhævende myndigheders behandling og Part 4 i DPA 2018 med henblik på efterretningstjenesternes behandling. Endelig har registrerede på dette område ret til effektiv administrativ og retslig prøvelse, herunder adgang til deres oplysninger eller berigtigelse eller sletning af sådanne oplysninger.

(272)

I betragtning af betydningen af sådanne betingelser, begrænsninger og garantier i forbindelse med denne afgørelse vil Kommissionen nøje overvåge anvendelsen og fortolkningen af Det Forenede Kongeriges regler om statslig adgang til oplysninger. Dette vil omfatte relevant udvikling inden for lovgivning, regulering og retspraksis samt ICO's og andre tilsynsmyndigheders aktiviteter på dette område. Der vil også blive lagt stor vægt på Det Forenede Kongeriges gennemførelse af relevante domme fra Den Europæiske Menneskerettighedsdomstol, herunder foranstaltninger, der er angivet i de »handlingsplaner« og »handlingsrapporter«, der forelægges Ministerkomitéen i forbindelse med tilsynet med overholdelsen af Domstolens afgørelser.

(273)

Kommissionen mener, at UK GDRP og DPA 2018 sikrer et beskyttelsesniveau for personoplysninger, der overføres fra Den Europæiske Union, som i det væsentlige svarer til det, der er garanteret ved forordning (EU) 2016/679.

(274)

Kommissionen finder desuden ud fra en samlet betragtning, at kontrolmekanismerne og domstolsadgangen i det Forenede Kongerige i praksis gør det muligt at identificere og sanktionere overtrædelser, og at de sikrer den registrerede retsmidler til at opnå adgang til personoplysninger, som vedrører den pågældende, og til efterfølgende at få sådanne oplysninger berigtiget eller slettet.

(275)

Endelig finder Kommissionen på grundlag af de tilgængelige oplysninger om Det Forenede Kongeriges retsorden, at ethvert indgreb i de grundlæggende rettigheder for de personer, hvis personoplysninger overføres fra Den Europæiske Union til Det Forenede Kongerige af Det Forenede Kongeriges offentlige myndigheder af hensyn til den offentlige interesse, navnlig retshåndhævelse og statens sikkerhed, vil være begrænset til, hvad der er strengt nødvendigt for at nå det pågældende legitime mål, og at der findes en effektiv retsbeskyttelse mod et sådant indgreb.

(276)

I lyset af konklusionerne i denne afgørelse bør det derfor besluttes, at Det Forenede Kongerige sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 45 i forordning (EU) 2016/679, fortolket i lyset af Den Europæiske Unions charter om grundlæggende rettigheder.

(277)

Denne konklusion er baseret på både den relevante nationale ordning i Det Forenede Kongerige og dets internationale forpligtelser, navnlig overholdelsen af den europæiske menneskerettighedskonvention og Den Europæiske Menneskerettighedsdomstols jurisdiktion. Fortsat overholdelse af sådanne internationale forpligtelser er derfor et særligt vigtigt element i den vurdering, som denne afgørelse er baseret på.

(278)

Medlemsstaterne og deres organer er forpligtet til at træffe de nødvendige foranstaltninger for at efterkomme EU-institutionernes retsakter, idet sidstnævnte formodes at være lovlige og derfor afføder retsvirkninger, indtil de udløber, trækkes tilbage, annulleres som følge af et annullationssøgsmål eller erklæres ugyldige som følge af en præjudiciel forelæggelse eller en ulovlighedsindsigelse.

(279)

En afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 er således bindende for alle de organer i medlemsstaterne, som den er rettet til, herunder deres uafhængige tilsynsmyndigheder. I denne afgørelses gyldighedsperiode kan overførsler fra en dataansvarlig eller databehandler i Den Europæiske Union til dataansvarlige eller databehandlere i Det Forenede Kongerige finde sted uden yderligere godkendelse.

(280)

Det bør bemærkes, at i henhold til artikel 58, stk. 5, i forordning (EU) 2016/679, og som Domstolen forklarede i Schrems-dommen (507), skal den nationale lovgivning, når en national databeskyttelsesmyndighed, herunder efter en klage, sætter spørgsmålstegn ved, om en afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet er forenelig med den enkeltes grundlæggende ret til privatlivets fred og databeskyttelse, giver den pågældende mulighed for at indbringe disse indsigelser for en national domstol, som kan være forpligtet til at forelægge Domstolen et præjudicielt spørgsmål (508).

(281)

I henhold til artikel 45, stk. 4, i forordning (EU) 2016/679 skal Kommissionen løbende overvåge den relevante udvikling i Det Forenede Kongerige efter vedtagelsen af denne afgørelse for at vurdere, om den stadig sikrer et i det væsentlige tilsvarende beskyttelsesniveau. En sådan overvågning er særlig vigtig i dette tilfælde, da Det Forenede Kongerige vil forvalte, anvende og håndhæve en ny databeskyttelsesordning, som ikke længere er underlagt EU-retten og muligvis kan udvikle sig. I den forbindelse vil der blive lagt særlig vægt på den praktiske anvendelse af Det Forenede Kongeriges regler om overførsel af personoplysninger til tredjelande og den indvirkning, det kan have på beskyttelsesniveauet for oplysninger, der overføres i henhold til denne afgørelse, effektiviteten af udøvelsen af individuelle rettigheder, herunder enhver relevant udvikling inden for lovgivning og praksis vedrørende undtagelser fra eller begrænsninger af sådanne rettigheder (navnlig den undtagelse, der vedrører opretholdelse af en effektiv indvandringskontrol), samt overholdelse af begrænsningerne og garantierne med hensyn til statslig adgang. Blandt andre elementer vil udviklingen i retspraksis og ICO's og andre uafhængige organers tilsyn danne grundlag for Kommissionens tilsyn.

(282)

For at lette dette tilsyn bør Det Forenede Kongeriges myndigheder straks underrette Kommissionen om enhver væsentlig ændring af Det Forenede Kongeriges retsorden, som har indvirkning på den retlige ramme, der er genstand for denne afgørelse, samt enhver udvikling i praksis i forbindelse med behandling af personoplysninger, der vurderes i denne afgørelse, både hvad angår dataansvarliges og databehandleres behandling af personoplysninger i henhold til UK GDPR og de begrænsninger og garantier, der gælder for offentlige myndigheders adgang til personoplysninger. Dette bør omfatte udviklingen med hensyn til de elementer, der er nævnt i betragtning 281.

(283)

For at gøre det muligt for Kommissionen at udøve sin overvågningsfunktion effektivt bør medlemsstaterne desuden underrette Kommissionen om alle relevante foranstaltninger, der træffes af de nationale databeskyttelsesmyndigheder, navnlig vedrørende forespørgsler eller klager fra registrerede i EU vedrørende overførsel af personoplysninger fra Unionen til dataansvarlige eller databehandlere i Det Forenede Kongerige. Kommissionen bør også underrettes om eventuelle indikationer på, at Det Forenede Kongeriges myndigheder med ansvar for forebyggelse, efterforskning, afsløring og retsforfølgelse på det strafferetlige område eller for statens sikkerhed, herunder alle tilsynsmyndigheder, handler på en måde, der ikke sikrer det krævede beskyttelsesniveau.

(284)

Hvis tilgængelige oplysninger, navnlig oplysninger fra overvågningen af denne afgørelse eller fra Det Forenede Kongeriges eller medlemsstaternes myndigheder, viser, at det beskyttelsesniveau, som Det Forenede Kongerige yder, måske ikke længere er tilstrækkeligt, bør Kommissionen straks underrette de kompetente myndigheder i Det Forenede Kongerige herom og anmode om, at der træffes passende foranstaltninger inden for en nærmere fastsat tidsramme, som ikke må overstige tre måneder. Denne periode kan om nødvendigt forlænges med et nærmere fastsat tidsrum under hensyntagen til arten af det pågældende spørgsmål og/eller de foranstaltninger, der skal træffes. En sådan procedure vil f.eks. blive udløst i tilfælde, hvor videreoverførsler, herunder på grundlag af nye bestemmelser om tilstrækkeligheden af beskyttelsesniveauet vedtaget af Secretary of State eller internationale aftaler indgået af Det Forenede Kongerige, ikke længere gennemføres under garantier, der sikrer kontinuitet i beskyttelsen som omhandlet i artikel 44 i forordning (EU) 2016/679.

(285)

Hvis Det Forenede Kongeriges kompetente myndigheder ved udløbet af den fastsatte tidsramme ikke træffer disse foranstaltninger eller på anden måde på tilfredsstillende vis godtgør, at denne afgørelse fortsat er baseret på et passende beskyttelsesniveau, indleder Kommissionen proceduren i artikel 93, stk. 2, i forordning (EU) 2016/679 med henblik på helt eller delvis at suspendere eller ophæve denne afgørelse.

(286)

Alternativt vil Kommissionen indlede denne procedure med henblik på at ændre afgørelsen, navnlig ved at underkaste dataoverførsler yderligere betingelser eller ved at begrænse omfanget af konstateringen af et tilstrækkeligt beskyttelsesniveau til kun at omfatte dataoverførsler, for hvilke der fortsat sikres et tilstrækkeligt beskyttelsesniveau.

(287)

I behørigt begrundede særligt hastende tilfælde vil Kommissionen gøre brug af muligheden for efter proceduren i artikel 93, stk. 3, i forordning (EU) 2016/679 at vedtage gennemførelsesretsakter, der finder anvendelse straks, og som suspenderer, ophæver eller ændrer afgørelsen.

(288)

Kommissionen bør tage i betragtning, at Det Forenede Kongerige med udløbet af den overgangsperiode, der er fastsat i udtrædelsesaftalen, og så snart den midlertidige bestemmelse i artikel 782 i handels- og samarbejdsaftalen mellem EU og Det Forenede Kongerige ophører med at finde anvendelse, vil forvalte, anvende og håndhæve en ny databeskyttelsesordning, der kan sammenlignes med den, der var gældende, da landet var bundet af EU-retten. Dette kan navnlig indebære ændringer eller ændringer af den databeskyttelsesramme, der vurderes i denne afgørelse, samt andre relevante udviklinger.

(289)

Det bør derfor fastsættes, at denne afgørelse finder anvendelse i en periode på fire år fra dens ikrafttræden.

(290)

Hvis navnlig oplysninger som følge af overvågningen af denne afgørelse viser, at konklusionerne vedrørende tilstrækkeligheden af det beskyttelsesniveau, der sikres i Det Forenede Kongerige, stadig er faktuelt og retligt begrundede, bør Kommissionen senest seks måneder inden denne afgørelses ophør indlede proceduren for ændring af denne afgørelse ved i princippet at forlænge dens gyldighedsperiode med yderligere fire år. En sådan gennemførelsesretsakt om ændring af denne afgørelse skal vedtages efter proceduren i artikel 93, stk. 2, i direktiv (EU) 2016/679.

(291)

Det Europæiske Databeskyttelsesråd har offentliggjort sin udtalelse (509), som er blevet taget i betragtning ved udarbejdelsen af denne afgørelse.

(292)

Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelsen fra det udvalg, der er nedsat ved artikel 93 i forordning (EU) 2016/679 —

(1)

I Europa-Parlamentets og Rådets direktiv (EU) 2016/680 fastsættes regler for overførsel af personoplysninger fra kompetente myndigheder i Unionen til tredjelande og internationale organisationer, i det omfang sådanne overførsler falder ind under dets anvendelsesområde. Reglerne om kompetente myndigheders internationale overførsler af oplysninger er fastsat i kapitel V i direktiv (EU) 2016/680, nærmere bestemt i artikel 35-40. Selv om strømmen af personoplysninger til og fra lande uden for Den Europæiske Union er afgørende for et effektivt retshåndhævelsessamarbejde, skal det sikres, at beskyttelsesniveauet for personoplysninger i Den Europæiske Union ikke undermineres af sådanne overførsler (2).

(2)

I henhold til artikel 36, stk. 3, i direktiv (EU) 2016/680 kan Kommissionen i form af en gennemførelsesretsakt beslutte, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland eller en international organisation har et tilstrækkeligt beskyttelsesniveau. På denne betingelse kan overførsler af personoplysninger til et tredjeland finde sted uden yderligere tilladelse (bortset fra tilfælde, hvor en anden medlemsstat, hvorfra oplysningerne er indsamlet, skal give sin tilladelse til overførslen), jf. artikel 35, stk. 1, og betragtning 66 i direktiv (EU) 2016/680.

(3)

Som anført i artikel 36, stk. 2, i direktiv (EU) 2016/680 skal vedtagelsen af en afgørelse om beskyttelsesniveauets tilstrækkelighed baseres på en omfattende analyse af tredjelandets retsorden. I sin vurdering skal Kommissionen afgøre, om det pågældende tredjeland giver garantier, der sikrer et beskyttelsesniveau, som »i det væsentlige svarer til« det, der sikres i Den Europæiske Union (betragtning 67 i direktiv (EU) 2016/680). Den standard, som den »væsentlige ækvivalens« vurderes i forhold til, er den, der er fastsat i EU-lovgivningen, navnlig direktiv (EU) 2016/680, samt Den Europæiske Unions Domstols retspraksis (3). Det Europæiske Databeskyttelsesråds reference vedrørende et tilstrækkeligt beskyttelsesniveau er også af betydning i denne henseende (4).

(4)

Som Den Europæiske Unions Domstol har præciseret, kræves der ikke et identisk beskyttelsesniveau (5). Det betyder navnlig, at de midler, som tredjelandet anvender til at beskytte personoplysninger, kan være forskellige fra de midler, som anvendes inden for Den Europæiske Union, så længe de i praksis viser sig at være effektive med henblik på at sikre et tilstrækkeligt beskyttelsesniveau (6). Standarden for tilstrækkelighed er derfor ikke, at EU-reglerne kopieres punkt for punkt. Testen består snarere i, om det udenlandske system som helhed på grundlag af indholdet af rettigheder vedrørende privatlivets fred og gennem effektiv gennemførelse, overvågning og håndhævelse heraf sikrer det krævede beskyttelsesniveau (7).

(5)

Kommissionen har nøje analyseret den relevante lovgivning og praksis i Det Forenede Kongerige (UK). På grundlag af nedenstående konklusioner konstaterer Kommissionen, at Det Forenede Kongerige sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres af kompetente myndigheder i Unionen og er omfattet af direktiv (EU) 2016/680, til kompetente myndigheder i Det Forenede Kongerige, der er omfattet af Part 3 i Data Protection Act 2018 (DPA 2018) (lov om databeskyttelse af 2018) (8).

(6)

Det fastsættes ved denne afgørelse, at sådanne overførsler kan finde sted for en periode på fire år, uden at der behøves yderligere tilladelser med forbehold af en eventuel forlængelse, jf. dog betingelserne i artikel 35 i direktiv (EU) 2016/680.

(7)

Det Forenede Kongerige er et parlamentarisk demokrati. Det har et suverænt parlament, som står over alle andre regeringsinstitutioner, en udøvende magt, der udgår fra og er ansvarlig over for parlamentet, og et uafhængigt retsvæsen. Den udøvende magts myndighed følger af dens evne til at opnå det valgte Underhus' tillid, og den er ansvarlig over for begge kamre i parlamentet (Underhuset og Overhuset), som har ansvar for at kontrollere regeringen og drøfte og vedtage love. Det Forenede Kongeriges parlament har overdraget ansvaret for lovgivning om visse nationale anliggender i Skotland, Wales og Nordirland til henholdsvis det skotske parlament, det walisiske parlament (Senedd Cymru) og Nordirlands parlament. Selv om databeskyttelse er et anliggende, der er forbeholdt Det Forenede Kongeriges parlament, dvs. at den samme lovgivning finder anvendelse i hele landet, er andre politikområder af relevans for denne afgørelse blevet decentraliseret. F.eks. er strafferetssystemerne, herunder politiets aktiviteter i Skotland og Nordirland, overdraget til henholdsvis det skotske parlament og Nordirlands parlament (9).

(8)

Selv om Det Forenede Kongerige ikke har en kodificeret forfatning i form af et permanent, konstituerende dokument, har landets forfatningsmæssige principper udviklet sig over tid, navnlig på grundlag af retspraksis og konventioner. Den forfatningsmæssige værdi af visse love, såsom Magna Carta, Bill of Rights 1689 (rettighedslov) og Human Rights Act 1998 (menneskerettighedslov), er blevet anerkendt. Den enkeltes grundlæggende rettigheder er som en del af forfatningen blevet udviklet gennem sædvaneret, love og internationale traktater, navnlig Den Europæiske Menneskerettighedskonvention (EMRK), som Det Forenede Kongerige ratificerede i 1951. I 1987 ratificerede Det Forenede Kongerige desuden Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (konvention 108) (10).

(9)

Human Rights Act 1998 indarbejder rettighederne fra EMRK i Det Forenede Kongeriges lovgivning. Loven indrømmer enhver person de grundlæggende rettigheder og frihedsrettigheder, der er fastsat i EMRK's artikel 2-12 og 14 samt i artikel 1-3 i den første protokol og i artikel 1 i den trettende protokol hertil, sammenholdt med EMRK's artikel 16-18. Dette omfatter retten til respekt for privatliv og familieliv, hvilket igen omfatter retten til databeskyttelse og retten til en retfærdig rettergang (11). I henhold til EMRK's artikel 8 må en offentlig myndighed navnlig kun lovmedholdeligt gribe ind i retten til privatlivets fred, hvis det er nødvendigt i et demokratisk samfund af hensyn til statens sikkerhed, den offentlige sikkerhed eller landets økonomiske velfærd, for at forebygge uro eller forbrydelse, for at beskytte sundheden eller sædeligheden eller for at beskytte andres rettigheder og frihedsrettigheder.

(10)

I henhold til Human Rights Act 1998 skal enhver handling fra offentlige myndigheders side være forenelig med en rettighed, der er sikret ved EMRK (12). Desuden skal primær og underordnet lovgivning fortolkes og gennemføres på en måde, der er forenelig med disse rettigheder (13). Hvis en person mener, at hans eller hendes rettigheder, herunder retten til privatlivets fred og databeskyttelse, er blevet krænket af offentlige myndigheder, kan vedkommende opnå erstatning ved de britiske domstole i henhold til Human Rights Act 1998 og i sidste instans, når de nationale retsmidler er udtømt, indbringe sagen for Den Europæiske Menneskerettighedsdomstol for krænkelser af de rettigheder, der er garanteret i henhold til EMRK.

(11)

Det Forenede Kongerige udtrådte af Den Europæiske Union den 31. januar 2020. På grundlag af aftalen om Det Forenede Kongerige Storbritannien og Nordirlands udtræden af Den Europæiske Union og Det Europæiske Atomenergifællesskab (14) fandt EU-retten fortsat anvendelse i Det Forenede Kongerige i overgangsperioden frem til den 31. december 2020. Inden udtrædelsen og i overgangsperioden bestod de lovgivningsmæssige rammer for beskyttelse af personoplysninger i Det Forenede Kongerige, for så vidt angår kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed, af relevante dele af Data Protection Act 2018, som gennemførte direktiv (EU) 2016/680.

(12)

Som forberedelse til udtrædelsen af EU vedtog Det Forenede Kongeriges regering European Union (Withdrawal) Act 2018 (EUWA) (lov om udtrædelse af Den Europæiske Union) (15), som indarbejdede umiddelbart gældende EU-lovgivning i Det Forenede Kongeriges lovgivning og bestemte, at den såkaldte »EU-afledte nationale lovgivning« fortsat har virkning efter overgangsperiodens udløb. Part 3 i DPA 2018 (16), som gennemfører direktiv (EU) 2016/680 i national lovgivning, udgør »afledt EU-lovgivning« i henhold til EUWA. I overensstemmelse med EUWA skal den uændrede nationale lovgivning, der er afledt af EU-retten, fortolkes af domstolene i Det Forenede Kongerige i overensstemmelse med den relevante retspraksis fra Den Europæiske Unions Domstol (EU-Domstolen) og de generelle principper i EU-retten, således som de havde virkning umiddelbart inden overgangsperiodens udløb (benævnt henholdsvis »bibeholdt EU-retspraksis« og »bibeholdte generelle principper fra EU-retten«) (17).

(13)

I henhold til EUWA har Det Forenede Kongeriges ministre beføjelse til at indføre afledt ret via bekendtgørelser med henblik på at indføre de nødvendige ændringer i den bibeholdte EU-ret, der følger af Det Forenede Kongeriges udtræden af Unionen. Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (DPPEC Regulations) (18) er et resultat af denne beføjelse. Disse love ændrer den britiske databeskyttelseslovgivning, herunder DPA 2018, så den passer til den nationale kontekst (19).

(14)

De retlige standarder for kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed i Det Forenede Kongerige efter overgangsperioden i henhold til udtrædelsesaftalen, vil derfor blive bibeholdt i relevante dele af DPA 2018, men som ændret ved DPPEC-lovene, navnlig i Part 3 i nævnte lov. United Kingdom General Data Protection Regulation (UK GDPR) finder ikke anvendelse på denne form for behandling.

(15)

Part 3 i DPA 2018 indeholder regler for behandling af personoplysninger med henblik på strafferetlig håndhævelse, herunder databeskyttelsesprincipper, retsgrundlag for behandling (lovlighed), de registreredes rettigheder, de kompetente myndigheders forpligtelser som dataansvarlige og begrænsninger for videreoverførsel. Samtidig findes de gældende regler om kontrol, håndhævelse og klageadgang i retshåndhævelsessektoren i Part 5 og 6 i DPA 2018.

(16)

Desuden bør der i lyset af politistyrkernes relevante rolle i retshåndhævelsessektoren tages hensyn til reglerne for politiarbejde. Da politiarbejde er et decentralt anliggende, finder forskellige retsakter, hvis indhold dog ofte ligner hinanden, anvendelse på politiarbejdet i a) England og Wales, b) Skotland og c) Nordirland (20). Desuden indeholder forskellige typer vejledninger yderligere præciseringer af, hvordan politiets beføjelser bør anvendes. Der findes tre hovedformer for politivejledning: 1) lovbestemt vejledning udstedt i henhold til lovgivning såsom Code of Ethics (etiske regler) (21) og Code of Practice on the Management of Police Information (MoPI Code of Practice) (adfærdskodeks for forvaltning af politioplysninger)) (22) udstedt i henhold til Police Act 1996 (politiloven af 1996) (23) eller PACE Codes (24) udstedt i henhold til Police and Criminal Evidence Act (lov om politiets og strafferettens bevismateriale) (25), 2) Authorised Professional Practice on the Management of Police Information (APP Guidance on the Management of Police Information) (autoriseret vejledning i forvaltning af politioplysninger, APP)) (26) udarbejdet af College of Policing (politiakademiet) og 3) operationel vejledning (offentliggjort af politiet selv). National Police Chiefs Council (det nationale politichefråd, et koordinerende organ for alle britiske politistyrker) offentliggør operationelle retningslinjer, som alle politistyrker har godkendt, og som derfor finder anvendelse på nationalt plan (27). Formålet med denne vejledning er at sikre sammenhæng i politistyrkernes behandling af information (28).

(17)

MoPI Code of Practice blev udstedt af Secretary of State i 2005 i medfør af de beføjelser, der er fastsat i Section 39A i Police Act 1996 (29). Enhver adfærdskodeks, der udstedes i henhold til Police Act, skal godkendes af Secretary of State og er genstand for en høring i National Crime Agency (det nationale kontor for kriminalitet), inden den forelægges parlamentet. I henhold til Section 39A(7) i Police Act skal politiet tage behørigt hensyn til kodekser udstedt i henhold til loven, og politiet forventes derfor at overholde sådanne (30). Desuden skal en ikke-lovfæstet vejledning (såsom APP Guidance on the Management of Police Information) altid være i overensstemmelse med MoPI Code of Practice, som har forrang for den (31).. Selv om der kan være visse konkrete situationer, hvor politiet er nødt til at afvige fra denne vejledning, er de under alle omstændigheder stadig forpligtet til at overholde kravene i Part 3 i DPA 2018 (32).

(18)

Yderligere vejledning om Det Forenede Kongeriges databeskyttelseslovgivning for behandling i retshåndhævelsessektoren gives af Information Commissioner (»Information Commissioner« eller »ICO«) (33) (yderligere oplysninger om ICO findes i betragtning (93) til (109)). Selv om vejledningen ikke er juridisk bindende, vil domstolene i en retssag være forpligtede til at tage hensyn til enhver overtrædelse af den, da den har fortolkningsmæssig betydning og viser, hvordan databeskyttelseslovgivningen fortolkes og håndhæves af Information Commissioner i praksis (34).

(19)

Endelig skal de britiske retshåndhævende myndigheder som nævnt i betragtning (8)-(10) sikre overholdelse af EMRK og konvention 108.

(20)

Med hensyn til struktur og hovedelementer er den retlige ramme for britiske strafferetlige myndigheders behandling af oplysninger således meget lig den, der gælder i EU. Dette vil blandt andet sige, at en sådan ramme ikke kun er baseret på forpligtelser, der er fastsat i national ret, som er formet af EU-retten, men også på forpligtelser, der er nedfældet i folkeretten, navnlig gennem Det Forenede Kongeriges tiltrædelse af EMRK og konvention 108, samt at den er underlagt Den Europæiske Menneskerettighedsdomstols jurisdiktion. Disse forpligtelser, der følger af retligt bindende internationale instrumenter, navnlig vedrørende beskyttelse af personoplysninger, er derfor et særligt vigtigt element i den retlige ramme, der vurderes i denne afgørelse.

(21)

Det materielle anvendelsesområde for DPA 2018, Part 3, falder sammen med anvendelsesområdet for direktiv 2016/680 som præciseret i direktivets artikel 2, stk. 2. Part 3 finder anvendelse på en kompetent myndigheds behandling af personoplysninger, der helt eller delvist sker automatisk, og en kompetent myndigheds behandling på anden måde end ved hjælp af elektronisk databehandling af personoplysninger, der er eller vil blive lagret i et register.

(22)

For at falde ind under anvendelsesområdet for Part 3 skal den dataansvarlige desuden være en »kompetent myndighed«, og behandlingen skal foretages med henblik på retshåndhævelse. Den databeskyttelsesordning, der vurderes i denne afgørelse, finder derfor anvendelse på alle disse kompetente myndigheders retshåndhævelsesaktiviteter.

(23)

Begrebet »kompetent myndighed« er fastsat i Section 30, DPA, som en person, der er opført på fortegnelsen i DPA 2018, Schedule 7, samt enhver anden person, i det omfang personen har lovbestemte funktioner i forbindelse med et hvilket som helst retshåndhævelsesformål. De kompetente myndigheder, der er anført i Schedule 7, omfatter ikke kun politistyrker, men også alle ministerielle forvaltningsgrene i Det Forenede Kongerige samt andre myndigheder med undersøgelsesfunktioner (f.eks. Commissioner for Her Majesty's Revenue and Customs (toldvæsenet), Welsh Revenue Authority (Wales' afgiftsmyndighed), Competition and Markets Authority (konkurrence- og markedsmyndigheden) eller Her Majesty's Land Register (ejendomsregistret)), anklagemyndigheder, andre strafferetlige myndigheder og tilsvarende eller organisationer, der udfører retshåndhævelsesaktiviteter (35). Part 3 i DPA 2018 finder også anvendelse på retter og domstole, når de udøver deres judicielle funktioner, bortset fra den del, der vedrører den registreredes rettigheder og Information Commissioner's kontrol (36). Listen over kompetente myndigheder i Schedule 7 er ikke endelig og kan ajourføres af Secretary of State ved Regulations under hensyntagen til ændringerne i tilrettelæggelsen af offentlige kontorer (37).

(24)

Den pågældende behandling skal også have et »retshåndhævelsesformål«, der defineres som forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed (38). En kompetent myndigheds behandling er ikke omfattet af Part 3 i DPA 2018, hvis den ikke har et retshåndhævelsesformål. Dette vil f.eks. være tilfældet, når Competition and Markets Authority undersøger sager, der ikke er strafbare (f.eks. fusioner mellem virksomheder). I så fald vil UK GDPR og Part 2 i DPA 2018 finde anvendelse, da de kompetente myndigheders behandling af personoplysninger foretages til andre formål end retshåndhævelsesformål. For at afgøre, hvilken databeskyttelsesordning der finder anvendelse (Part 3 eller Part 2 i DPA 2018) på behandlingen af personoplysninger, skal den kompetente myndighed, dvs. den dataansvarlige, overveje, om det »primære formål« med en sådan behandling er et af retshåndhævelsesformålene i henhold til DPA 2018.

(25)

Hvad angår det territoriale anvendelsesområde for Part 3 i DPA 2018, bestemmes det i Section 207(2), at DPA finder anvendelse på behandling af personoplysninger i forbindelse med aktiviteter, der udføres af en person, som har et forretningssted i hele Det Forenede Kongeriges område. Dette omfatter offentlige myndigheder i England, Wales, Skotland og Nordirland, som er omfattet af det materielle anvendelsesområde for Part 3 i DPA 2018 (39).

(26)

Nøglebegreberne personoplysninger og behandling er defineret i Section 3 i DPA 2018 og gælder i hele DPA. Definitionerne følger nøje de tilsvarende definitioner i artikel 3 i direktiv 2016/680. I henhold til DPA 2018 forstås ved personoplysninger enhver form for oplysning om en identificeret eller identificerbar levende person (40). I henhold til Section 3(3) i DPA 2018 kan en person identificeres, hvis vedkommende direkte eller indirekte kan identificeres ud fra oplysningerne, herunder ved henvisning til et navn eller en identifikator eller ved henvisning til et eller flere elementer, der er særlige for personens fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet. Ved »behandling« forstås en eller flere operationer, der udføres på grundlag af oplysninger eller sæt af oplysninger, såsom a) indsamling, registrering, organisering, strukturering eller opbevaring, b) tilpasning eller ændring, c) udtræk, konsultation eller brug, d) offentliggørelse ved videregivelse, formidling eller tilgængeliggørelse på anden vis, e) justering eller kombination eller f) begrænsning, sletning eller tilintetgørelse. Desuden forstås ved »følsom behandling« i loven a) behandling af personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, b) behandling af genetiske eller biometriske data med det formål entydigt at identificere en fysisk person, c) behandling af helbredsoplysninger, d) behandling af oplysninger om en persons seksuelle forhold eller seksuelle orientering (41). I den forbindelse indeholder Section 205 i DPA 2018 en definition af »biometriske data« (42), »helbredsoplysninger (43)« og »genetiske data« (44).

(27)

I Section 32 i DPA 2018 præciseres definitionerne af »dataansvarlig« og »databehandler« i forbindelse med behandling af personoplysninger med henblik på retshåndhævelse, der nøje følger de tilsvarende definitioner i direktiv 2016/680. Den dataansvarlige er den kompetente myndighed, som afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Hvis behandlingen er påkrævet i henhold til lovgivningen, er den dataansvarlige den kompetente myndighed, som denne lov pålægger en sådan forpligtelse. En databehandler defineres som enhver person, der behandler personoplysninger på vegne af den dataansvarlige (bortset fra en person, der er ansat hos den dataansvarlige).

(28)

I henhold til Section 35 i DPA 2018 skal behandlingen af personoplysninger være lovlig og rimelig på en måde, der svarer til artikel 4, stk. 1, litra a), i direktiv (EU) 2016/680. I henhold til Section 35(2) i DPA 2018 er behandling af personoplysninger til et hvilket som helst retshåndhævelsesformål kun lovlig, hvis den er hjemlet ved lov, og enten den registrerede har givet sit samtykke til behandlingen til dette formål, eller behandlingen er nødvendig for, at en kompetent myndighed kan udføre en opgave med henblik herpå.

(29)

I lighed med artikel 8 i direktiv (EU) 2016/680 skal en sådan behandling, for at sikre lovligheden af en behandling, der er omfattet af Part 3 i DPA 2018, være »baseret på lov«. Ved »lovlig« behandling forstås behandling, der er tilladt i henhold til enten lov, sædvaneret eller kongelige beføjelser (45).

(30)

De kompetente myndigheders beføjelser er generelt reguleret ved lov, hvilket betyder, at deres funktioner og beføjelser er klart fastlagt i lovgivning vedtaget af parlamentet (46). I visse tilfælde kan politiet og andre kompetente myndigheder, der er opført i Schedule 7 til DPA 2018, basere sig på sædvaneret for at behandle data (47). Sædvaneret er udviklet gennem præcedens i form af domstolsafgørelser. Sædvaneretten er relevant i forbindelse med de beføjelser, som politiet har adgang til, idet politiet i henhold til denne retskilde har en central forpligtelse til at beskytte offentligheden ved at afsløre og forebygge kriminalitet (48). Politistyrkerne har dog beføjelser i henhold til både sædvaneret og lovgivning (49) til at udføre en sådan forpligtelse. Når politiet har lovfæstede beføjelser, træder dette i stedet for sædvaneretlige beføjelser (50).

(31)

Domstolene har anerkendt, at politibetjentes beføjelser og forpligtelser i henhold til sædvaneret omfatter »alle de skridt, som betjente finder nødvendige for at bevare freden, forebygge kriminalitet eller beskytte formuegoder mod kriminel skade« (51). Sædvaneretlige beføjelser er ikke uden forbehold. De er underlagt en række begrænsninger, herunder dem, der er fastsat af domstolene (52) og i lovgivningen, navnlig Human Rights Act 1998 og Equality Act 2010 (lov om ligeret) (53). For kompetente myndigheder, der behandler data i henhold til Part 3 i DPA 2018, omfatter dette desuden udøvelse af sædvaneretlige beføjelser i overensstemmelse med kravene i DPA 2018 (54). Desuden skal en beslutning om at gennemføre enhver form for databehandling tage hensyn til kravene i gældende vejledning, såsom MoPI Code of Practice samt vejledninger, der er specifikke for et af landene i Det Forenede Kongerige (55). Regeringen og politiet udsteder en række vejledninger for at sikre, at politibetjente udøver deres beføjelser inden for de grænser, der er fastsat i sædvaneret eller den relevante lov (56).

(32)

De kongelige prærogativer udgør en anden del af »loven« og henviser til visse beføjelser, der er tillagt Kronen og kan udøves af den udøvende magt, og som ikke er baseret på lov, men udspringer af monarkens suverænitet (57). Der er meget få eksempler på beføjelser, som er relevante i forbindelse med retshåndhævelse. De omfatter f.eks. rammen for gensidig retshjælp, der gør det muligt for Secretary of State at dele data med tredjelande med henblik på retshåndhævelse, og beføjelsen til at udveksle data på denne måde er ikke altid fastsat ved lov (58). Kongelige prærogativer er omfattet af sædvaneretlige principper (59) og underlagt loven og er derfor omfattet af de begrænsninger, der er fastsat i Human Rights Act 1998 og DPA 2018 (60).

(33)

I lighed med artikel 8 i direktiv (EU) 2016/680 kræver det britiske system, at de kompetente myndigheder for at overholde legalitetsprincippet skal sikre, at behandlingen, når den er baseret på loven, også er »nødvendig« for den opgave, der udføres med henblik på retshåndhævelse. ICO's vejledning i denne henseende præciserer, at »behandlingen skal være en målrettet og forholdsmæssig måde at opfylde formålet på. Retsgrundlaget gælder ikke, hvis man med rimelighed kan opfylde formålet med andre mindre indgribende midler. Det er ikke tilstrækkeligt at anføre, at behandling er nødvendig, fordi man har valgt at drive sin virksomhed på en bestemt måde. Spørgsmålet er, om behandlingen er nødvendig til det angivne formål« (61).

(34)

Som nævnt i betragtning (28) giver Section 35(2) i DPA 2018 mulighed for at behandle personoplysninger på grundlag af den fysiske persons »samtykke«.

(35)

Samtykke ser imidlertid ikke ud til at være et retsgrundlag, der er relevant for de behandlingsaktiviteter, som er omfattet af denne afgørelse. De behandlingsaktiviteter, der er omfattet af denne afgørelse, vil faktisk altid vedrøre data, som er overført i henhold til direktiv (EU) 2016/680 af en kompetent myndighed i en medlemsstat til en kompetent myndighed i Det Forenede Kongerige. De vil derfor typisk ikke omfatte den type direkte samspil (indsamling) mellem en offentlig myndighed og registrerede, som kan baseres på samtykke i henhold til Section 35(2)(a) i DPA 2018.

(36)

Selv om samtykke derfor ikke anses for at være relevant for den vurdering, der foretages i henhold til denne afgørelse, er det for fuldstændighedens skyld værd at bemærke, at behandling i en retshåndhævelsessammenhæng aldrig udelukkende er baseret på samtykke, da en kompetent myndighed altid skal have en underliggende beføjelse, der sætter den i stand til at behandle oplysningerne (62). Mere specifikt og i lighed med, hvad der er tilladt i henhold til direktiv (EU) 2016/680 (63) betyder dette, at samtykke fungerer som en yderligere betingelse for at muliggøre visse begrænsede og specifikke behandlingsaktiviteter, der ellers ikke ville kunne foretages, f.eks. indsamling og behandling af en DNA-prøve fra en person, der ikke er mistænkt. I så fald vil behandlingen ikke blive foretaget, hvis samtykket ikke er givet eller trækkes tilbage (64).

(37)

I tilfælde, hvor der kræves samtykke fra den pågældende, skal et sådant være utvetydigt og indeholde en klar bekræftelse (65). Politiet skal have en databeskyttelsesmeddelelse, der bl.a. skal indeholde de nødvendige oplysninger om gyldig brug af samtykke. Desuden offentliggør nogle politistyrker yderligere materiale om, hvordan de overholder databeskyttelseslovgivningen, herunder hvordan og hvornår de vil anvende samtykke som retsgrundlag (66).

(38)

Der bør være specifikke garantier, når »særlige kategorier« af oplysninger behandles. I lighed med hvad der er fastsat i artikel 10 i direktiv (EU) 2016/680, giver Part 3 i DPA 2018 i denne henseende stærkere garantier for såkaldt »følsom behandling« (67).

(39)

I henhold til Section 35(3) i DPA 1998 må de kompetente myndigheder kun behandle følsomme oplysninger til retshåndhævelsesformål i to tilfælde: 1) Den registrerede har givet sit samtykke til behandlingen med henblik på retshåndhævelse, og på det tidspunkt, hvor behandlingen foretages, har den dataansvarlige udarbejdet et passende politikdokument (68), eller 2) behandlingen er strengt nødvendig af hensyn til retshåndhævelsesformålet, behandlingen opfylder mindst en af betingelserne i Schedule 8 til DPA 2018, og på det tidspunkt, hvor behandlingen foretages, har den dataansvarlige udarbejdet et passende politikdokument (69).

(40)

For så vidt angår det første tilfælde og som forklaret i betragtning 38 anses anvendelsen af samtykke ikke for relevant i den type overførselssituation, der er omfattet af denne afgørelse (70).

(41)

Når behandlingen af følsomme oplysninger ikke er baseret på samtykke, kan den foretages på en af betingelserne i Schedule 8 til DPA 2018. Disse betingelser vedrører behandling, der er nødvendig i henhold til loven, retsplejen, beskyttelse af den registreredes eller en anden persons vitale interesser, beskyttelse af børn og udsatte personer, retskrav, retsakter, forebyggelse af svig, arkivering, og hvis personoplysninger åbenlyst offentliggøres af den registrerede. Bortset fra det tilfælde, hvor oplysningerne åbenlyst offentliggøres, er alle betingelserne i Schedule 8 underlagt en »streng nødvendighedstest«. Som præciseret af ICO betyder »strengt nødvendigt« i denne forbindelse, at behandlingen skal vedrøre et presserende socialt behov, og at man ikke med rimelighed kan opfylde formålet ved hjælp af mindre indgribende midler (71). Desuden er nogle af betingelserne underlagt yderligere begrænsninger. For at påberåbe sig betingelsen om »lovfæstede formål« og »beskyttelsesklausulen« (Schedule 8, paragraph 1 og paragraph 4) er der f.eks. et yderligere kriterium af væsentlig samfundsmæssig interesse, som skal opfyldes. Hvad angår betingelserne for beskyttelse af børn (Schedule 8, paragraph 4), skal den registrerede desuden have en bestemt alder og anses for at være i fare. Desuden kan den dataansvarlige kun anvende betingelsen i Schedule 8, paragraph 4, under særlige omstændigheder (72). Tilsvarende er der begrænsninger for betingelserne for »retslige handlinger« og »forebyggelse af svig« (Schedule 8, henholdsvis paragraph 7 og 8). Begge gælder kun for bestemte dataansvarlige. I tilfælde af retsakter kan kun en domstol eller en anden judiciel myndighed anvende en sådan betingelse, og i tilfælde af forebyggelse af svig kan kun dataansvarlige, der er organisationer til bekæmpelse af svig, påberåbe sig den.

(42)

Endelig gælder det, at når behandlingen er baseret på en af betingelserne i Schedule 8 og i overensstemmelse med Section 42 i DPA 2018, skal der foreligge et »passende politikdokument«, som beskriver den dataansvarliges procedurer for at sikre overholdelse af databeskyttelsesprincipperne og den dataansvarliges politik med hensyn til opbevaring og sletning af personoplysninger, og en skærpet registreringspligt.

(43)

Personoplysninger skal behandles til et specifikt formål og efterfølgende udelukkende bruges, såfremt dette ikke er uforeneligt med behandlingsformålet. Dette databeskyttelsesprincip er sikret ved Section 36 i DPA 2018. I lighed med artikel 4, stk. 1, litra b), i direktiv (EU) 2016/680 kræver denne bestemmelse, at a) det retshåndhævelsesformål, hvortil personoplysninger indsamles, skal præciseres samt være udtrykkeligt og legitimt, og at b) de således indsamlede personoplysninger ikke må behandles på en måde, der er uforenelig med det formål, hvortil de blev indsamlet.

(44)

Hvis de kompetente myndigheder behandler data med henblik på retshåndhævelse, kan dette omfatte arkivering, videnskabelig eller historisk forskning og statistiske formål (73). I disse tilfælde præciseres det også i DPA 2018, at arkivering (eller behandling til videnskabelige eller historiske forskningsformål og statistiske formål) ikke er tilladt, hvis den foretages i forbindelse med afgørelser, der træffes vedrørende en bestemt registreret, eller hvis det kan forvolde den pågældende væsentlig skade eller lidelse (74).

(45)

Oplysningerne skal være nøjagtige og holdes ajour. De skal også være tilstrækkelige, relevante og ikke for omfattende i forhold til de formål, hvortil de behandles. I lighed med artikel 4, stk. 1, litra c), d) og e), i direktiv (EU) 2016/680 er disse principper sikret i Section 37 og 38 i DPA 2018. Der skal tages ethvert rimeligt skridt til at sikre, at urigtige personoplysninger (75) straks slettes eller berigtiges (76) under hensyntagen til det retshåndhævelsesformål, hvortil de behandles (77), og til at sikre, at personoplysninger, der er ukorrekte, ufuldstændige eller ikke længere ajourførte, ikke videregives eller stilles til rådighed med henblik på retshåndhævelse (78).

(46)

I lighed med artikel 7 i direktiv (EU) 2016/680 præciserer Det Forenede Kongeriges databeskyttelsesordning desuden, at der så vidt muligt skal sondres mellem personoplysninger baseret på fakta og personoplysninger baseret på personlige vurderinger (79). Hvor det er relevant og så vidt muligt, skal der skelnes klart mellem personoplysninger vedrørende forskellige kategorier af registrerede, såsom mistænkte, personer, der er dømt for en strafbar handling, ofre for en strafbar handling, og vidner (80).

(47)

I henhold til artikel 5 i direktiv (EU) 2016/680 må oplysningerne i princippet ikke opbevares i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles. I henhold til Section 39 i DPA 2018 og i lighed med direktivets artikel 5 er det forbudt at opbevare personoplysninger, der behandles til et hvilket som helst retshåndhævelsesformål, i et længere tidsrum end det, der er nødvendigt i forhold til det formål, hvortil de behandles. Det Forenede Kongeriges retssystem kræver, at der fastsættes passende tidsfrister for regelmæssig revision af behovet for fortsat opbevaring af personoplysninger med henblik på retshåndhævelse. Yderligere regler om praksis i forbindelse med opbevaring af personoplysninger og de gældende tidsfrister er fastsat i den relevante lovgivning og vejledning om politiets beføjelser og funktionsmåde. I England og Wales udgør College of Policings MoPI Code of Practice sammen med APP Guidance on the Management of Police Information f.eks. en ramme til sikring af en konsekvent risikobaseret opbevarings-, revisions- og bortskaffelsesproces i forbindelse med forvaltningen af operationelle politioplysninger (81). Denne ramme fastsætter klare forventninger på tværs af tjenesten til, hvordan oplysninger bør skabes, deles, anvendes og forvaltes inden for og mellem de enkelte politistyrker og andre agenturer (82). Politiet forventes at overholde adfærdskodeksen, og overholdelsen kontrolleres af Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services (83).

(48)

Police Service of Northern Ireland (PSNI) er ikke ved lov forpligtet til at følge MoPI Code of Practice. MoPI-rammen, der blev vedtaget i 2011, suppleres dog af en håndbog udarbejdet af PSNI (84), der beskriver politikker og procedurer for anvendelsen af adfærdskodeksen i Nordirland.

(49)

I Skotland baserer politiet sig på Record Retention Standard Operating Procedure (SOP) (standardprocedure for registrering) (85), som understøtter det skotske politis Records Management Policy (politik for forvaltning af registre) (86). SOP fastsætter specifikke opbevaringsregler for de registre, som føres af politiet i Skotland.

(50)

Ud over det overordnede krav om gennemgang af registre, der gælder i hele Det Forenede Kongerige, findes der yderligere oplysninger i lokale regler. For at give nogle få eksempler er det sådan, at for så vidt angår England og Wales indeholder Police and Criminal Evidence Act (PACE) (politiloven), som ændret ved Freedom Protection Act 2012 (PoFA) (lov om beskyttelse af frihedsrettigheder), bestemmelser om opbevaring af fingeraftryk og DNA-profiler samt en særlig ordning for personer, der ikke er dømt (87). Med PoFA oprettedes også stillingen som Commissioner for the Retention and Use of Biometric Material (»Biometrics Commissioner«) (kommissær for opbevaring af biomometrisk materiale) (88). Særlige regler om fotos af varetægtsfængslede findes i 2017 Custody Image Review (revision af bestemmelserne om fotos af varetægtsfængslede) (89). Med hensyn til Skotland indeholder Criminal Procedure (Scotland) Act 1995 (Skotlands strafferetsplejelov) regler for indsamling og opbevaring af fingeraftryk og biologiske prøver (90). Som for England og Wales regulerer lovgivningen opbevaring af biometriske data i forskellige situationer (91).

(51)

Personoplysninger skal behandles på en måde, der garanterer deres sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse. Med henblik herpå skal de offentlige myndigheder træffe passende tekniske eller organisatoriske foranstaltninger for at beskytte personoplysninger mod mulige trusler. Disse foranstaltninger skal vurderes under hensyntagen til det aktuelle tekniske niveau og de dermed forbundne omkostninger.

(52)

Disse principper afspejles i Section 40 i DPA 2018, der bestemmer, at personoplysninger, som behandles med henblik på retshåndhævelse, i lighed med artikel 4, stk. 1, litra f), i direktiv (EU) 2016/680 skal behandles på en måde, der garanterer en passende sikkerhed for personoplysningerne ved hjælp af passende tekniske eller organisatoriske foranstaltninger. Dette omfatter beskyttelse af oplysningerne mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse (92). I Section 66 i DPA 2018 præciseres endvidere, at hver dataansvarlig og hver databehandler skal gennemføre hensigtsmæssige tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, som er passende i forhold til de risici, der opstår som følge af behandlingen af personoplysninger. Ifølge de forklarende bemærkninger skal den dataansvarlige vurdere risiciene og gennemføre passende sikkerhedsforanstaltninger på grundlag af denne evaluering, f.eks. kryptering eller specifikke sikkerhedsgodkendelsesniveauer for personale, der behandler oplysningerne (93). I evalueringen skal der også tages hensyn til f.eks. arten af de behandlede oplysninger og andre relevante faktorer eller omstændigheder, der kan påvirke behandlingssikkerheden.

(53)

Ordningen for overholdelse af principperne for datasikkerhed svarer meget til den, der er fastsat i artikel 29-31 i direktiv (EU) 2016/680. Navnlig i tilfælde af brud på persondatasikkerheden i forbindelse med personoplysninger, som den dataansvarlige er ansvarlig for, skal denne i henhold til Section 67(1) i DPA 2018 uden unødig forsinkelse og om muligt inden for 72 timer efter at have fået kendskab til bruddet på persondatasikkerheden anmelde dette til Information Commissioner (94). Underretningspligten finder ikke anvendelse, når bruddet på persondatasikkerheden sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder (95). Den dataansvarlige skal dokumentere de faktiske omstændigheder i forbindelse med ethvert brud på persondatasikkerheden, dets virkninger og de afhjælpende foranstaltninger, der er truffet, på en sådan måde, at Information Commissioner kan kontrollere, at databeskyttelsesloven overholdes (96). Hvis en databehandler bliver opmærksom på et sikkerhedsbrud, skal denne underrette den dataansvarlige uden unødig forsinkelse (97).

(54)

I henhold til Section 68(1) i DPA 2018 skal den dataansvarlige, hvis et brud på persondatasikkerheden sandsynligvis udgør en høj risiko for fysiske personers rettigheder og frihedsrettigheder, uden unødig forsinkelse underrette den registrerede om bruddet (98). Underretningen skal indeholde de samme oplysninger som meddelelsen til Information Commissioner, der er beskrevet i betragtning (53). Denne forpligtelse gælder ikke, hvis den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, som er blevet anvendt på de personoplysninger, der er berørt af bruddet. Den finder heller ikke anvendelse, hvis den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for registreredes rettigheder og frihedsrettigheder sandsynligvis ikke længere vil bestå. Endelig er den dataansvarlige ikke forpligtet til at underrette den registrerede, hvis dette ville indebære en uforholdsmæssig stor indsats (99). I så fald skal oplysningerne stilles til rådighed for den registrerede på en anden lige så effektiv måde, f.eks. gennem en offentlig meddelelse (100). Hvis den dataansvarlige ikke har underrettet den registrerede om bruddet, kan Information Commissioner efter at være blevet underrettet i henhold til Section 67 i DPA og efter at have overvejet sandsynligheden for, at bruddet medfører en høj risiko, kræve, at den dataansvarlige underretter den registrerede om bruddet (101).

(55)

De registrerede skal informeres om de vigtigste elementer i behandlingen af deres personoplysninger. Dette databeskyttelsesprincip afspejles i Section 44 i DPA 2018, som i lighed med artikel 13 i direktiv (EU) 2016/680 bestemmer, at den dataansvarlige har en generel forpligtelse til at stille oplysninger om behandlingen af deres personoplysninger til rådighed for de registrerede (enten ved at gøre oplysningerne alment tilgængelige for offentligheden eller på anden måde) (102). De oplysninger, der skal stilles til rådighed, omfatter a) den dataansvarliges identitet og kontaktoplysninger, b) databeskyttelsesrådgiverens kontaktoplysninger, hvis det er relevant, c) de formål, hvortil den dataansvarlige behandler personoplysninger, d) de registreredes ret til at anmode den dataansvarlige om indsigt i personoplysninger, berigtigelse af personoplysninger og sletning af personoplysninger eller begrænsning af behandlingen heraf og e) retten til at indgive en klage til Information Commissioner og kontaktoplysninger for denne (103).

(56)

Den dataansvarlige skal også i særlige tilfælde med henblik på at gøre det muligt for en registreret at udøve sine rettigheder i henhold til DPA 2018 (f.eks. når de personoplysninger, der behandles, blev indsamlet uden den registreredes vidende) give den registrerede oplysninger om a) retsgrundlaget for behandlingen, b) oplysninger om det tidsrum, hvori personoplysningerne opbevares, eller, hvis dette ikke er muligt, om de kriterier, der anvendes til at fastsætte denne periode, c) i givet fald oplysninger om kategorierne af modtagere af personoplysningerne (herunder modtagere i tredjelande eller internationale organisationer), d) yderligere oplysninger, der er nødvendige for at gøre det muligt den registrerede at udøve sine rettigheder i henhold til Part 3 i DPA 2018 (104).

(57)

De registrerede skal have en række rettigheder, som kan håndhæves. Chapter 3, Part del 3 i DPA 2018 giver fysiske personer ret til indsigt, berigtigelse, sletning og begrænsning (105), som svarer til, hvad der er fastsat i kapitel 3 i direktiv (EU) 2016/680.

(58)

Retten til indsigt er fastsat i Section 45 i DPA 2018. For det første har en fysisk person ret til at få en bekræftelse fra den dataansvarlige om, hvorvidt vedkommendes personoplysninger behandles eller ikke (106). For det andet har den registrerede, når personoplysningerne behandles, ret til at få adgang til disse oplysninger og modtage følgende oplysninger om behandlingen: a) formålet med og retsgrundlaget for behandlingen, b) de pågældende kategorier af oplysninger, c) den modtager, som oplysningerne er videregivet til, d) det tidsrum, hvori personoplysningerne skal opbevares, e) den registreredes ret til berigtigelse og sletning af personoplysninger, f) retten til klageadgang og g) oplysninger om de pågældende personoplysningers oprindelse (107).

(59)

I henhold til Section 46 i DPA 2018 har den registrerede ret til at kræve, at den dataansvarlige berigtiger urigtige personoplysninger om vedkommende. Den dataansvarlige skal uden unødig forsinkelse berigtige (eller, hvis oplysningerne er ukorrekte, fordi de er ufuldstændige, supplere) oplysningerne. Hvis personoplysningerne skal opbevares med henblik på bevisførelse, skal den dataansvarlige (i stedet for at berigtige personoplysningerne) begrænse behandlingen heraf (108).

(60)

Section 47 i DPA 2018 giver fysiske personer ret til sletning og begrænsning af behandlingen. Den dataansvarlige skal (109) slette personoplysninger uden unødig forsinkelse, hvis behandlingen af personoplysningerne vil være i strid med databeskyttelsesprincipperne, retsgrundlaget for behandlingen eller garantierne i forbindelse med arkivering og følsom behandling. Den dataansvarlige skal slette oplysningerne, hvis der består en retlig forpligtelse hertil. Hvis personoplysningerne skal opbevares med henblik på bevisførelse, skal den dataansvarlige (i stedet for at berigtige personoplysningerne) begrænse behandlingen heraf (110). Den dataansvarlige skal begrænse behandlingen af personoplysninger, hvis en registreret anfægter rigtigheden af personoplysningerne, men det ikke er muligt at fastslå, om de er korrekte eller ej (111).

(61)

Hvis en registreret anmoder om berigtigelse eller sletning af personoplysninger eller begrænsning af behandlingen heraf, skal den dataansvarlige skriftligt underrette den registrerede om, hvorvidt anmodningen er imødekommet, og, hvis den er blevet afvist, oplyse den registrerede om årsagerne til afslaget og om tilgængelige klagemuligheder (den registreredes ret til at indgive en anmodning til Information Commissioner om at undersøge, om begrænsningen er blevet anvendt lovligt, retten til at indgive en klage til Information Commissioner og retten til at anmode en domstol om at efterkomme afgørelsen) (112).

(62)

Hvis den dataansvarlige berigtiger personoplysninger, der er modtaget fra en anden kompetent myndighed, skal denne underrette den anden myndighed (113). Hvis den dataansvarlige berigtiger, sletter eller begrænser behandlingen af personoplysninger, der er videregivet af den dataansvarlige, skal den dataansvarlige underrette modtagerne, og modtagerne skal ligeledes berigtige, slette eller begrænse behandlingen af personoplysningerne (for så vidt de bevarer ansvaret for dem) (114).

(63)

Desuden har den registrerede ret til uden unødig forsinkelse at blive underrettet af den dataansvarlige om brud på persondatasikkerheden, når dette sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder (115).

(64)

I forbindelse med alle den registreredes rettigheder og i lighed med, hvad der er fastsat i artikel 12 i direktiv (EU) 2016/680, er den dataansvarlige forpligtet til at sikre, at alle oplysninger til den registrerede gives i en kortfattet, letforståelig og lettilgængelig form (116), og at de så vidt muligt gives i samme form som anmodningen (117). Den dataansvarlige skal efterkomme en anmodning fra den registrerede uden unødig forsinkelse eller under alle omstændigheder inden udløbet af en frist på en måned fra anmodningen (118). Hvis den dataansvarlige nærer rimelig tvivl om en persons identitet, kan vedkommende anmode om yderligere oplysninger og udsætte behandlingen af anmodningen, indtil identiteten er fastslået. Den dataansvarlige kan kræve et rimeligt gebyr eller nægte at handle, hvis den anser anmodningen for at være åbenbart grundløs (119). ICO har udarbejdet en vejledning om, hvornår en anmodning anses for at være åbenbart grundløs eller overdreven, og hvornår der kan anmodes om et gebyr (120).

(65)

I henhold til Section 53(4) i DPA 2018 kan Secretary of State desuden ved bekendtgørelse fastsætte det maksimale gebyrbeløb.

(66)

En kompetent myndighed kan under visse omstændigheder begrænse visse af den registreredes rettigheder: retten til indsigt (121), til at blive informeret (122), til at få kendskab til et brud på persondatasikkerheden (123) og til at blive informeret om årsagen til et afslag på en anmodning om berigtigelse eller sletning (124). I lighed med ordningen i kapitel III i direktiv (EU) 2016/680 kan den kompetente myndighed kun anvende begrænsningen, hvis den under hensyn til den registreredes grundlæggende rettigheder og legitime interesser er nødvendig og står i et rimeligt forhold til følgende: a) undgå at hindre en officiel eller retlig undersøgelse, efterforskning eller procedure, b) undgå at hindre forebyggelse, opdagelse, efterforskning eller retsforfølgning af strafbare handlinger, c) beskytte den offentlige sikkerhed, d) beskytte statens sikkerhed, e) beskytte andres rettigheder og frihedsrettigheder.

(67)

ICO har udarbejdet en vejledning om anvendelsen af disse begrænsninger. I henhold til denne vejledning skal dataansvarlige foretage en analyse fra sag til sag for at finde en balance mellem den enkeltes rettigheder og den skade, som videregivelse ville forårsage. De skal navnlig begrunde enhver begrænsning, der anvendes som nødvendig og forholdsmæssig, og må kun begrænse, hvad der er fastsat, hvis det ville skade ovennævnte formål (125).

(68)

Der findes også en række andre vejledninger fra kompetente myndigheder, som giver detaljerede oplysninger om alle aspekter af databeskyttelseslovgivningen, herunder om anvendelsen af begrænsningerne i de registreredes rettigheder (126). I forbindelse med Section 45(4) hedder det f.eks. i Data Protection Manual of the National Police Chief’s Counsel: »Det er vigtigt at bemærke, at begrænsningerne kun kan anvendes, i det omfang det er nødvendigt, og at de kun kan anvendes, så længe det er nødvendigt. Følgelig er en generel anvendelse af begrænsningen til alle en ansøgers personoplysninger eller permanent anvendelse af begrænsningen ikke tilladt. Med hensyn til sidstnævnte punkt er det ofte sådan, at personoplysninger, der er indsamlet uden den registreredes kendskab, og denne er mistænkt og indgår i en efterforskning, i første omgang skal beskyttes mod videregivelse til den registrerede for at undgå at skade efterforskningen, mens denne pågår, men på et senere tidspunkt vil der ikke være nogen skade ved videregivelsen, hvis personoplysningerne var blevet videregivet til den pågældende under en afhøring. Politiet skal indføre procedurer, der sikrer, at anvendelsen af disse begrænsninger kun sker, i det omfang det er nødvendigt, og kun så længe det er nødvendigt« (127). Denne vejledning indeholder også eksempler på, hvornår hver af begrænsningerne sandsynligvis vil blive anvendt (128).

(69)

Hvad angår muligheden for at begrænse en hvilken som helst af ovennævnte rettigheder med henblik på beskyttelse af »statens sikkerhed«, kan en dataansvarlig desuden anmode om et certifikat underskrevet af en Cabinet Minister eller af Attorney General (eller Advocate General for Scotland ), der bekræfter, at en begrænsning af sådanne rettigheder er en nødvendig og forholdsmæssig foranstaltning til beskyttelse af den nationale sikkerhed (129). Den britiske regering har udstedt retningslinjer for nationale sikkerhedscertifikater i henhold til DPA 2018, hvori det navnlig understreges, at enhver begrænsning af registreredes rettigheder med henblik på at beskytte statens sikkerhed skal være forholdsmæssig og nødvendig (130) (yderligere oplysninger om de nationale sikkerhedscertifikater findes i betragtning (131)-(134)).

(70)

Hvis en registrerets rettighed begrænses, skal den kompetente myndighed desuden uden unødig forsinkelse underrette den registrerede om, at vedkommendes rettigheder er blevet begrænset, om årsagerne til begrænsningen og om de tilgængelige klagemuligheder, medmindre det vil undergrave begrundelsen for at anvende begrænsningen, hvis denne oplysning blev meddelt (131). Som en yderligere garanti mod misbrug af begrænsninger skal den dataansvarlige registrere årsagerne til begrænsningen af oplysninger og efter anmodning stille registreringen til rådighed for Information Commissioner (132).

(71)

Hvis den dataansvarlige nægter at give yderligere oplysninger om gennemsigtighed eller indsigt eller afviser en anmodning om berigtigelse, sletning eller begrænsning af behandling, kan den pågældende anmode Information Commissioner om at undersøge, om den dataansvarlige har anvendt begrænsningen på lovlig vis (133). Den berørte person kan også indgive en klage til Information Commissioner eller anmode en domstol om at pålægge den dataansvarlige at efterkomme anmodningen (134).

(72)

Section 49 og 50 i DPA 2018 dækker henholdsvis rettighederne i forbindelse med automatiske afgørelser og de garantier, der skal anvendes (135). I lighed med artikel 11 i direktiv (EU) 2016/680 kan den dataansvarlige kun træffe en væsentlig afgørelse, der alene er baseret på automatisk behandling af personoplysninger, hvis det kræves eller er tilladt ved lov (136). En afgørelse er væsentlig, hvis den vil få en negativ retsvirkning for den registrerede eller i væsentlig grad påvirke den registrerede (137).

(73)

Hvis den dataansvarlige ved lov er forpligtet eller bemyndiget til at træffe en væsentlig afgørelse, fastsætter Section 50 i DPA 2018 de garantier, der gælder for en sådan afgørelse (der defineres som en »kvalificeret væsentlig afgørelse«). Så snart det er praktisk muligt, underretter den dataansvarlige den registrerede om, at der er truffet en sådan afgørelse. Den registrerede kan derefter inden for en måned anmode den dataansvarlige om at tage afgørelsen op til fornyet overvejelse eller træffe en ny afgørelse, der ikke udelukkende er baseret på automatisk behandling. Den dataansvarlige skal behandle anmodningen og underrette den registrerede om resultatet af denne overvejelse. DPA 2018 giver Secretary of State beføjelse til at vedtage bestemmelser om yderligere beskyttelsesforanstaltninger (138). Der er endnu ikke vedtaget sådanne bestemmelser.

(74)

Beskyttelsesniveauet for personoplysninger, der overføres fra en retshåndhævende myndighed i en medlemsstat til en retshåndhævende myndighed i Det Forenede Kongerige, må ikke undermineres af videreoverførslen af sådanne oplysninger til modtagere i et tredjeland. Sådanne »videreoverførsler«, som set fra en britisk retshåndhævelsesmyndigheds synspunkt udgør internationale overførsler fra Det Forenede Kongerige, bør kun tillades, hvis den efterfølgende modtager uden for Det Forenede Kongerige selv er underlagt regler, der sikrer et beskyttelsesniveau svarende til det, som sikres i Det Forenede Kongeriges retsorden.

(75)

Det Forenede Kongeriges ordning om internationale overførsler er reguleret i Chapter 5, Part 3 i DPA 2018 (139) og afspejler tilgangen i kapitel V i direktiv (EU) 2016/680. For at overføre personoplysninger til et tredjeland skal en kompetent myndighed navnlig opfylde tre betingelser: a) overførslen skal være nødvendig med henblik på retshåndhævelse, b) overførslen skal baseres på: i) en bestemmelse om beskyttelsesniveauets tilstrækkelighed i forhold til tredjelandet, ii) hvis den ikke er baseret på en bestemmelse om beskyttelsesniveauets tilstrækkelighed, tilstedeværelsen af passende garantier, eller iii) hvis den ikke er baseret på en afgørelse om beskyttelsesniveauets tilstrækkelighed eller de fornødne garantier, skal den være baseret på særlige omstændigheder, og c) modtageren af overførslen skal være: i) en relevant myndighed (dvs. svarende til en kompetent myndighed) i tredjelandet, ii) en »relevant international organisation«, f.eks. et internationalt organ, der varetager funktioner svarende til et hvilket som helst retshåndhævelsesformål eller iii) en anden person end en relevant myndighed, men kun hvis overførslen er strengt nødvendig for at opfylde et af retshåndhævelsesformålene, der ikke er nogen grundlæggende rettigheder og frihedsrettigheder for den pågældende registrerede, som vejer tungere end de samfundsinteresser, der nødvendiggør overførslen, en overførsel af personoplysninger til en relevant myndighed i tredjelandet ville være ineffektiv eller uhensigtsmæssig og modtageren underrettes om de formål, hvortil oplysningerne kan behandles (140).

(76)

Regler om beskyttelsesniveauets tilstrækkelighed med hensyn til et tredjeland, et område eller en sektor i et tredjeland, en international organisation eller en beskrivelse (141) af et sådant land, område, sektor eller organisation fastlægges af Secretary of State. Med hensyn til den standard, der skal opfyldes, skal Secretary of State vurdere, om et sådant område/en sådan sektor/organisation sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger. I Section 74A(4) i DPA 2018 præciseres det, at Secretary of State med henblik herpå skal tage hensyn til en række elementer, der afspejler dem, der er anført i artikel 36 i direktiv 2016/680/EU (142). I denne henseende har Part 3 i DPA 2018 siden overgangsperiodens udløb været »afledt national EU-lovgivning«, der som forklaret vil blive fortolket af de britiske domstole i overensstemmelse med relevant retspraksis fra EU-Domstolen, som ligger forud for Det Forenede Kongeriges udtræden af Unionen, og de generelle principper i EU-retten, som de havde virkning umiddelbart inden overgangsperiodens udløb. Dette omfatter standarden for »væsentlig ækvivalens«, som således vil finde anvendelse på de vurderinger af tilstrækkeligheden, der foretages af de britiske myndigheder.

(77)

Med hensyn til proceduren er bestemmelserne underlagt de »generelle« procedurekrav, der er fastsat i Section 182 i DPA 2018. I henhold til denne procedure skal Secretary of State rådføre sig med Information Commissioner, når han fremsætter forslag til udarbejdelse af fremtidige britiske bestemmelser om tilstrækkeligheden af beskyttelsesniveauet (143). Når disse bestemmelser er fastlagt af Secretary of State, forelægges de for parlamentet og er underlagt den »negative beslutningsprocedure«, i henhold til hvilken begge kamre i parlamentet kan gennemgå bestemmelserne og har mulighed for at vedtage et forslag om annullering af bestemmelserne inden for en frist på 40 dage (144).

(78)

I henhold til Section 74B(1) i DPA 2018 skal tilstrækkelighedsbestemmelserne revideres med højst fire års mellemrum, og Secretary of State skal løbende overvåge udviklingen i tredjelande og internationale organisationer, der kan påvirke beslutninger om at fastsætte bestemmelser om tilstrækkeligheden af beskyttelsesniveauet eller om at ændre eller ophæve sådanne bestemmelser. Hvis Secretary of State bliver opmærksom på, at et givet land eller en organisation ikke længere sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, skal han i det omfang, det er nødvendigt, ændre eller ophæve bestemmelserne og indlede drøftelser med det pågældende tredjeland eller den pågældende internationale organisation for at afhjælpe manglen på et tilstrækkeligt beskyttelsesniveau.

(79)

I lighed med, hvad der er fastsat i artikel 37 i direktiv (EU) 2016/680, vil det i mangel af bestemmelser om tilstrækkeligheden af beskyttelsesniveauet være muligt at overføre personoplysninger inden for rammerne af retshåndhævelsessektoren, når der er indført passende sikkerhedsforanstaltninger. Sådanne sikkerhedsforanstaltninger sikres ved hjælp af enten a) et retligt bindende instrument, der indeholder de fornødne garantier for beskyttelse af personoplysninger, eller b) en vurdering foretaget af den dataansvarlige, som efter at have vurderet alle omstændighederne i forbindelse med videregivelsen konkluderer, at der foreligger de fornødne sikkerhedsforanstaltninger til at beskytte oplysningerne (145). Når overførsler er baseret på passende sikkerhedsforanstaltninger, fastsættes det i DPA 2018 desuden, at de kompetente myndigheder ud over ICO's normale tilsynsrolle skal fremlægge specifikke oplysninger om overførslerne til ICO (146).

(80)

Hvis en overførsel ikke er baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller de fornødne sikkerhedsforanstaltninger, kan den kun finde sted under visse, nærmere angivne omstændigheder, benævnt »særlige omstændigheder« (147). Dette er tilfældet, når overførslen er nødvendig: a) for at beskytte den registreredes eller en anden persons vitale interesser, b) for at beskytte den registreredes legitime interesser, c) for at forebygge en umiddelbar og alvorlig trussel mod et tredjelands offentlige sikkerhed, d) i individuelle sager til et hvilket som helst retshåndhævelsesformål eller e) for at opnå et retligt formål i individuelle sager (f.eks. i forbindelse med retssager eller for at indhente juridisk rådgivning) (148). Det skal bemærkes, at litra d) og e) ikke finder anvendelse, hvis den registreredes rettigheder og frihedsrettigheder går forud for samfundets interesse i overførslen (149). Disse omstændigheder svarer til de særlige situationer og betingelser, der kan betegnes som »undtagelser« i henhold til artikel 38 i direktiv (EU) 2016/680.

(81)

Under disse omstændigheder skal dato, klokkeslæt og begrundelse for overførslen, navnet på og alle andre relevante oplysninger om modtageren samt en beskrivelse af de overførte personoplysninger dokumenteres og på anmodning udleveres til Information Commissioner (150).

(82)

I Section 78 i DPA 2018 reguleres scenariet med »efterfølgende overførsler«, dvs. når personoplysninger, der er blevet overført fra Det Forenede Kongerige til et tredjeland, efterfølgende overføres til et andet tredjeland eller en international organisation. I overensstemmelse med Section 78) 1) skal den overførende dataansvarlige stille som betingelse, at oplysningerne ikke må videregives til et tredjeland uden den overførende dataansvarliges tilladelse. I overensstemmelse med Section 78(3) og svarende til bestemmelserne i artikel 35, stk. 1, litra e) i direktiv (EU) 2016/680 finder en række omfattende krav anvendelse, hvis en sådan tilladelse er påkrævet. Mere specifikt skal en kompetent myndighed, når den træffer afgørelse om, hvorvidt overførslen skal godkendes eller ej, sikre sig, at den videre overførsel er nødvendig til retshåndhævelsesformål, og bl.a. tage hensyn til a) alvoren af de omstændigheder, der førte til anmodningen om tilladelse, b) det formål, hvortil personoplysningerne oprindeligt blev overført, og c) de standarder for beskyttelse af personoplysninger, der gælder i det tredjeland eller den internationale organisation, som personoplysningerne overføres til.

(83)

Hvis de oplysninger, der overføres videre fra Det Forenede Kongerige, oprindeligt blev overført fra EU, finder yderligere beskyttelsesforanstaltninger anvendelse.

(84)

For det første fastsættes det i Section 73(1)(b) i DPA ) 2016/2018 — på samme måde som i artikel 35, stk. 1, litra c) i direktiv (EU) 2016/680 — at i tilfælde, hvor personoplysningerne oprindeligt blev videregivet eller på anden måde stillet til rådighed for den dataansvarlige eller en anden kompetent myndighed af en medlemsstat, skal den pågældende medlemsstat eller enhver person, der er etableret i den pågældende medlemsstat, og som er en kompetent myndighed i henhold til direktiv (EU) 2016/680, have givet tilladelse til videregivelsen i overensstemmelse med medlemsstatens lovgivning.

(85)

I lighed med artikel 35, stk. 2, i direktiv (EU) 2016/680 kræves der imidlertid ikke en sådan tilladelse, hvis a) overførslen er nødvendig for at forebygge en umiddelbar og alvorlig trussel mod enten en medlemsstats eller et tredjelands offentlige sikkerhed eller mod en medlemsstats væsentlige interesser, og b) godkendelsen ikke kan opnås i tide. I så fald skal den myndighed i medlemsstaten, som ville have været ansvarlig for at beslutte, om der skal gives tilladelse til overførslen, straks underrettes (151).

(86)

For det andet finder samme tilgang anvendelse, hvis oplysninger, som oprindeligt blev overført fra EU til Det Forenede Kongerige, overføres videre fra Det Forenede Kongerige til et tredjeland, som efterfølgende overfører dem videre til et tredjeland. I medfør af Section 78(4) kan Det Forenede Kongeriges myndighed i så fald ikke give sin tilladelse til sidstnævnte overførsel under Section 78(1), medmindre »den medlemsstat [som oprindeligt overførte de pågældende oplysninger], eller en person med hjemsted i den pågældende medlemsstat, som er en kompetent myndighed i overensstemmelse med retshåndhævelsesdirektivet, har givet tilladelse til overførslen i overensstemmelse med lovgivningen i denne medlemsstat«. Disse beskyttelsesforanstaltninger er vigtige, fordi de gør det muligt for medlemsstaternes myndigheder at sikre kontinuitet i beskyttelsen i overensstemmelse med EU's databeskyttelseslov i hele »overførselskæden«.

(87)

Denne nye ramme for internationale overførsler trådte i kraft ved overgangsperiodens udløb (152). Paragraph 10-12 i Schedule 21 (indført ved DPPC Regulations) fastsætter imidlertid, at visse overførsler af personoplysninger fra overgangsperiodens udløb behandles, som om de er baseret på bestemmelser om tilstrækkelighed. Disse overførsler omfatter overførsler til en medlemsstat, en EFTA-stat, et tredjeland, der er omfattet af en EU-afgørelse om tilstrækkeligheden af beskyttelsesniveauet ved overgangsperiodens udløb, og Gibraltar. Overførslerne til disse lande kan derfor fortsætte som før Det Forenede Kongeriges udtræden af Unionen. Efter overgangsperiodens udløb skal Secretary of State foretage en gennemgang af disse konklusioner om tilstrækkeligheden i en periode på fire år, dvs. inden udgangen af december 2024. Selv om ministeriet skal foretage denne gennemgang inden udgangen af december 2024, indeholder overgangsbestemmelserne ifølge de britiske myndigheder ikke en »udløbsklausul«, og de relevante overgangsbestemmelser vil ikke automatisk ophøre med at have virkning, hvis en gennemgang ikke er afsluttet ved udgangen af december 2024.

(88)

I henhold til ansvarlighedsprincippet skal offentlige myndigheder, der behandler data, indføre passende tekniske og organisatoriske foranstaltninger for effektivt at opfylde deres databeskyttelsesforpligtelser og kunne påvise en sådan overholdelse, navnlig over for den kompetente tilsynsmyndighed.

(89)

Dette princip afspejles i Section 56 i DPA 2018, som indfører en generel ansvarlighedsforpligtelse for den dataansvarlige, dvs. en forpligtelse til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og være i stand til at påvise, at behandlingen af personoplysninger er i overensstemmelse med kravene i Part 3 i DPA 2018. De gennemførte foranstaltninger skal revideres og ajourføres, hvor det er nødvendigt, og, hvis det står i rimeligt forhold til behandlingen, omfatte passende databeskyttelsespolitikker.

(90)

I overensstemmelse med kapitel IV i direktiv (EU) 2016/680 indeholder Section 55-71 i DPA 2018 forskellige mekanismer til at sikre ansvarlighed og give dataansvarlige og databehandlere mulighed for at påvise overensstemmelse. Dataansvarlige skal navnlig gennemføre databeskyttelsesforanstaltninger gennem design og gennem standardindstillinger, dvs. sikre, at databeskyttelsesprincipperne gennemføres effektivt, og de skal føre registre over alle kategorier af behandlingsaktiviteter, som den dataansvarlige er ansvarlig for (herunder oplysninger om den dataansvarliges identitet, kontaktoplysninger for databeskyttelsesrådgiver, formålene med behandlingen, kategorierne af modtagere af oplysninger og en beskrivelse af kategorierne af registrerede og personoplysninger), og efter anmodning stille disse registre til rådighed for Information Commissioner. Den dataansvarlige og databehandleren skal også føre logfiler for visse behandlingsaktiviteter og stille dem til rådighed for Information Commissioner (153). Dataansvarlige skal også specifikt samarbejde med Information Commissioner om udførelsen af dennes opgaver.

(91)

DPA 2018 fastsætter også yderligere krav til behandling, som sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Disse omfatter en forpligtelse til at foretage konsekvensanalyser vedrørende databeskyttelse og til at rådføre sig med Information Commissioner forud for behandlingen, hvis en sådan vurdering viser, at behandlingen vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder (hvis der ikke træffes foranstaltninger til at mindske risikoen).

(92)

Dataansvarlige skal endvidere udpege en databeskyttelsesrådgiver, medmindre den dataansvarlige er en domstol eller en anden judiciel myndighed, der handler i sin judicielle egenskab (154). Den dataansvarlige skal sikre, at den databeskyttelsesansvarlige er involveret i alle spørgsmål vedrørende beskyttelse af personoplysninger, har de nødvendige ressourcer og adgang til personoplysninger og behandlingsaktiviteter og kan udføre sine opgaver uafhængigt. Den databeskyttelsesansvarliges opgaver er beskrevet i Section 71 i DPA 2018, herunder information og rådgivning, overvågning af overholdelsen samt samarbejde med og varetagelse af funktionen som kontaktpunkt for Information Commissioner. Den databeskyttelsesansvarlige skal ved udførelsen af sine opgaver tage hensyn til de risici, der er forbundet med behandlingsaktiviteter, under hensyntagen til behandlingens art, omfang, kontekst og formål.

(93)

For at garantere, at der også i praksis sikres et tilstrækkeligt databeskyttelsesniveau, skal der oprettes en uafhængig tilsynsmyndighed, der har beføjelser til at overvåge og håndhæve overholdelsen af databeskyttelsesreglerne. Denne myndighed skal handle fuldstændig uafhængigt og upartisk ved udførelsen af sine opgaver og udøvelsen af sine beføjelser.

(94)

I Det Forenede Kongerige varetages tilsynet med og håndhævelsen af UK GDPR og DPA 2018 af Information Commissioner (155). Information Commissioner fører også kontrol med de kompetente myndigheders behandling af personoplysninger, der er omfattet af Part 3 i DPA 2018 (156). Information Commissioner er en »Corporation Sole«: en særskilt juridisk enhed, der består af en enkelt person. Information Commissioner bistås i sit arbejde af et kontor. Den 31. marts 2020 havde Information Commissioner's kontor 768 fastansatte medarbejdere (157). Information Commissioner er underlagt Department for Digital, Culture, Media and Sport (158).

(95)

Information Commissioners uafhængighed er udtrykkeligt fastsat i artikel 52 i UK GDPR, som afspejler kravene i artikel 52, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (159). Information Commissioner skal handle helt uafhængigt i forbindelse med varetagelsen af sine opgaver og udøvelsen af sine beføjelser i overensstemmelse med UK GDPR, være fri for udefrakommende indflydelse, hvad enten den er direkte eller indirekte, i forbindelse med disse opgaver og beføjelser og hverken søge eller modtage instrukser fra nogen. Information Commissioner skal også afholde sig fra enhver handling, der er uforenelig med hans eller hendes hverv, og vedkommende må under udøvelsen af sit hverv ikke udøve nogen form for lønnet eller ulønnet uforenelig beskæftigelse.

(96)

Betingelserne for udpegelse og afskedigelse af Information Commissioner er fastsat i Schedule 12 til DPA 2018. Information Commissioner udnævnes af dronningen efter indstilling fra regeringen efter en fair og åben udvælgelsesprøve. Ansøgeren skal have relevante kvalifikationer, færdigheder og kompetencer. I overensstemmelse med reglerne om offentlige udnævnelser (Governance Code on Public Appointments) (160) udarbejder et rådgivende vurderingsudvalg en liste over kandidater, der kan udnævnes. Inden Secretary of State for Digital, Culture, Media and Sport træffer sin endelige afgørelse, skal det relevante særlige udvalg i parlamentet foretage en kontrol forud for udnævnelsen. Udvalgets holdning offentliggøres (161).

(97)

Information Commissioner har en mandatperiode på op til syv år. Dronningen kan afskedige Information Commissioner på forslag fra begge parlamentets kamre. (162) En anmodning om afskedigelse af Information Commissioner kan ikke indgives til nogen af parlamentets kamre, medmindre en minister har forelagt det pågældende kammer en rapport, hvoraf det fremgår, at han eller hun finder det godtgjort, at Information Commissioner har begået en alvorlig forseelse, og/eller at Information Commissioner ikke længere opfylder de nødvendige betingelser for at varetage sine opgaver som Information Commissioner (163).

(98)

Finansieringen af Information Commissioner kommer fra tre kilder: i) gebyrer for databeskyttelse betalt af dataansvarlige, som er fastsat i en ministeriel bekendtgørelse (164), og som udgør 85-90 % af kontorets årlige budget (165), ii) tilskud, som regeringen kan udbetale til Information Commissioner, og som hovedsagelig anvendes til at finansiere Information Commissioners driftsomkostninger i forbindelse med opgaver, der ikke vedrører databeskyttelse (166), og iii) gebyrer for tjenesteydelser (167). På nuværende tidspunkt opkræves der ikke sådanne gebyrer.

(99)

Information Commissioners generelle opgaver i forbindelse med behandling af personoplysninger, der er omfattet af Part 3 i DPA 2018, er fastlagt i Schedule 13 til DPA 2018. Opgaverne omfatter overvågning og håndhævelse af Part 3 i DPA 2018, styrkelse af offentlighedens bevidsthed, rådgivning af parlamentet, regeringen og andre institutioner om lovgivningsmæssige og administrative foranstaltninger, fremme af de dataansvarliges og databehandlernes kendskab til deres forpligtelser, underretning af registrerede om udøvelsen af registreredes rettigheder og gennemførelse af undersøgelser. For at bevare retsvæsenets uafhængighed har Information Commissioner ikke bemyndigelse til at udøve sine funktioner i forbindelse med behandling af personoplysninger foretaget af en person, der handler i en judiciel egenskab, eller en ret eller en domstol, der handler i sin judicielle egenskab. Tilsynet med retsvæsenet varetages imidlertid af specialiserede organer, jf. nedenfor.

(100)

Information Commissioner har generelle undersøgelses-, korrektions-, godkendelses- og rådgivningsbeføjelser i forbindelse med behandling af personoplysninger, som Part 3 i DPA 2018 finder anvendelse på. Information Commissioner har beføjelse til at underrette den dataansvarlige eller databehandleren om en påstået overtrædelse af Part 3, til at udstede advarsler til en dataansvarlig eller databehandler om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med bestemmelserne i Part 3, og til at udstede irettesættelser til en dataansvarlig eller databehandler, hvis behandlingsaktiviteter har overtrådt bestemmelserne i Part 3. Desuden kan Information Commissioner på eget initiativ eller efter anmodning afgive udtalelser til Det Forenede Kongeriges parlament, regeringen eller andre institutioner og organer samt offentligheden om ethvert spørgsmål vedrørende beskyttelse af personoplysninger (168).

(101)

Desuden har Information Commissioner beføjelser til at:

(102)

ICO's Regulatory Action Policy fastsætter de omstændigheder, hvorunder Information Commissioner vil udstede henholdsvis en information, assessment, enforcement og penalty notice (173). Enforcement notice kan indeholde krav, som Information Commissioner finder hensigtsmæssige med henblik på at afhjælpe den manglende overholdelse. Penalty notice pålægger den pågældende at betale et beløb, der er angivet i afgørelsen, til Information Commissioner. Der kan udstedes en penalty notice, hvis visse bestemmelser i DPA 2018 (174) er blevet overtrådt, eller den kan rettes til en en dataansvarlig eller en databehandler der ikke har efterkommet en information notice, en assessment notice eller en enforcement notice.

(103)

Mere specifikt skal Information Commissioner ved afgørelsen af, om der skal udstedes en penalty notice til en dataansvarlig eller en databehandler, og fastsættelsen af bødens størrelse, tage hensyn til de forhold, der er anført i Section 155(3) i DPA 2018, herunder arten og alvoren af den manglende overholdelse, den forsætlige eller uagtsomme karakter af den manglende overholdelse, enhver foranstaltning, som den dataansvarlige eller databehandleren har truffet for at begrænse den skade, som de registrerede har lidt, omfanget af den dataansvarliges eller databehandlerens ansvar (under hensyntagen til de tekniske og organisatoriske foranstaltninger, som den dataansvarlige eller databehandleren har gennemført), eventuelle relevante tidligere fejl fra den dataansvarliges eller databehandlerens side, de kategorier af personoplysninger, der berøres af den manglende overholdelse, og hvorvidt sanktionen vil være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

(104)

Maksimumsbeløbet for den sanktion, der kan pålægges ved en penalty notice, er a) 17 500 000 GBP for manglende overholdelse af databeskyttelsesprincipperne (Section 35, 36, 37, 38(1), 39(1) og 40 i DPA 2018), gennemsigtighedsforpligtelser og individuelle rettigheder (Section 44, 45, 46, 47, 48, 49 og 52 i DPA 53) og principper for internationale overførsler af personoplysninger (Section 73, 75, 76, 77 eller 77 i DPA 2018), og b) 8 700 000 GBP i øvrigt (175). For så vidt angår manglende efterkommelse af en information notice, en assessment notice eller en enforcement notice er maksimumsbeløbet for den sanktion, der kan pålægges ved en bødeafgørelse 17 500 000 GBP.

(105)

I henhold til sine seneste årsberetninger (2018-2019 (176), 2019-2020 (177)) har Information Commissioner gennemført en række undersøgelser i forbindelse med strafferetsretshåndhævende myndigheders behandling af personoplysninger. Information Commissioner gennemførte f.eks. en undersøgelse og offentliggjorde i oktober 2019 en udtalelse om brugen af ansigtsgenkendelsesteknologi på offentlige steder i forbindelse med retshåndhævelse. Undersøgelsen fokuserede især på brugen af live-ansigtsgenkendelse hos South Wales Police og Metropolitan Police Service (MPS). Desuden undersøgte Information Commissioner MPS's »Gangs matrix« (178) og konstaterede en række alvorlige overtrædelser af databeskyttelseslovgivningen, som sandsynligvis ville undergrave offentlighedens tillid til matricen og anvendelsen af dataene.

(106)

I november 2018 udstedte Information Commissioner en enforcement notice, og MPS tog efterfølgende de nødvendige skridt til at øge sikkerheden og ansvarligheden og sikre, at dataene blev anvendt forholdsmæssigt.

(107)

Et andet eksempel på en nylig håndhævelsesforanstaltning er den bøde på 325 000 GBP, som Information Commissioner udstedte i maj 2018 til Crown Prosecution Service for at have mistet ukrypterede DVD'er med optagelser af politiafhøringer. Desuden gennemførte Information Commissioner undersøgelser af bredere emner, f.eks. i første halvdel af 2020 om brugen af dataudtræk fra mobiltelefoner til politimæssige formål og politiets behandling af ofrenes data.

(108)

Ud over de håndhævelsesbeføjelser, som Information Commissioner har, udgør visse overtrædelser af databeskyttelseslovgivningen overtrædelser af straffeloven og kan derfor gøres til genstand for strafferetlige sanktioner (Section 196 i DPA 2018). Dette gælder f.eks. indsamling eller videregivelse af personoplysninger uden den dataansvarliges samtykke og videregivelse af personoplysninger til en anden person uden den dataansvarliges samtykke (179), genidentifikation af oplysninger, der er anonymiserede personoplysninger, uden samtykke fra den dataansvarlige, som er ansvarlig for anonymiseringen af personoplysningerne (180), forsætligt at hindre Information Commissioner i at udøve sine beføjelser i forbindelse med kontrol af personoplysninger i overensstemmelse med internationale forpligtelser (181), afgivelse af falske erklæringer i forbindelse med svar på en information notice eller tilintetgørelse af oplysninger i forbindelse med information og assessment notices (182).

(109)

I henhold til Section 139 i DPA 2018 har Information Commissioner også pligt til at forelægge hvert af parlamentets kamre en generel beretning om udøvelsen af sine funktioner i henhold til loven (183).

(110)

Domstolene og retsvæsenet fører dobbelt kontrol med behandlingen af personoplysninger. Hvis en indehaver af et judicielt embede eller en domstol ikke handler i en judiciel egenskab, sørger Information Commissioner for kontrollen. Hvis den dataansvarlige fungerer som retsmyndighed, kan ICO ikke udøve sine tilsynsfunktioner (184), og tilsynet udføres af særlige organer. Dette afspejler tilgangen i artikel 32 i direktiv (EU) 2016/680.

(111)

For så vidt angår det andet tilfælde vedrørende retterne i England og Wales og First Tier (ret i første instans) og Upper Tribunals (appeldomstole) i England og Wales udøves denne kontrol navnlig af Judicial Data Protection Panel (185). Desuden har Lord Chief Justice (retspræsidenten) og Senior President of Tribunals udstedt en »Privacy Notice« (meddelelse om beskyttelse af personoplysninger) (186) som beskriver, hvordan domstolene i England og Wales behandler personoplysninger i forbindelse med domstolsfunktioner. De nordirske (187) og skotske domstole (188) har udstedt en lignende meddelelse.

(112)

I Nordirland har Lord Chief Justice i Nordirland desuden udnævnt en dommer ved High Court til Data Supervisory Judge (datatilsynsdommer, DSJ) (189). De har også vejledt det nordirske retsvæsen om, hvad det skal gøre i tilfælde af tab eller potentielt tab af data, og om processen for håndtering af eventuelle problemer, der måtte opstå som følge heraf (190).

(113)

I Skotland har Lord President udpeget en tilsynsførende dommer til at undersøge eventuelle klager vedrørende databeskyttelse. Dette er fastsat i reglerne om retlige klager (judicial complaints), der afspejler reglerne for England og Wales (191).

(114)

Endelig udpeges der i Supreme Court en af Supreme Court Justices til at føre kontrol med databeskyttelsen.

(115)

Med henblik på at sikre tilstrækkelig beskyttelse og navnlig håndhævelse af individuelle rettigheder bør den registrerede have effektive muligheder for administrativ og retslig prøvelse, herunder skadeserstatning.

(116)

For det første har den registrerede ret til at indgive en klage til Information Commissioner, hvis den registrerede mener, at der i forbindelse med personoplysninger om vedkommende er sket en overtrædelse af Part 3 i DPA 2018 (192). Som beskrevet i betragtning (100) og (109) ovenfor har Information Commissioner beføjelse til at vurdere den dataansvarliges og databehandlerens overholdelse af DPA 2018, pålægge dem at træffe eller undlade at træffe bestemte foranstaltninger i tilfælde af manglende overholdelse og pålægge bøder.

(117)

For det andet giver DPA 2018 klageadgang over for Information Commissioner. Hvis Information Commissioner ikke »gør fremskridt« (193) med en klage indgivet af den registrerede, har klageren adgang til retsmidler, idet denne kan anmode First Tier Tribunal (194) om at pålægge Information Commissioner at træffe passende foranstaltninger til at reagere på klagen eller underrette klageren om forløbet af klagen (195). Desuden kan enhver person, der modtager en af ovennævnte notices (information, assessment, enforcement eller penalty notice) fra Information Commissioner, appellere til en First Tier Tribunal. Hvis First Tier Tribunal finder, at Information Commissioners afgørelse ikke er i overensstemmelse med loven, eller at Information Commissioner burde have udøvet sin skønsbeføjelse anderledes, skal retten tage appellen til følge eller erstatte den pågældende notice med en anden notice eller afgørelse, som Information Commissioner kunne have udstedt eller truffet (196).

(118)

For det tredje kan enkeltpersoner anlægge sag direkte mod dataansvarlige og databehandlere ved domstolene i henhold til Section 167 i DPA 2018. Hvis en domstol efter anmodning fra en registreret finder det godtgjort, at der er sket en krænkelse af den registreredes rettigheder i henhold til databeskyttelseslovgivningen, kan domstolen pålægge den dataansvarlige for så vidt angår behandlingen eller en databehandler, der handler på vegne af den dataansvarlige, at træffe de foranstaltninger, der er angivet i kendelsen, eller at undlade at træffe de foranstaltninger, der er angivet i kendelsen. I henhold til Section 169 i DPA 2018 har enhver, der lider skade som følge af en overtrædelse af et krav i databeskyttelseslovgivningen (herunder Part 3 i DPA 2018), ud over UK GDPR, desuden ret til erstatning fra den dataansvarlige eller databehandleren for denne skade, medmindre den dataansvarlige eller databehandleren godtgør, at den dataansvarlige eller databehandleren ikke på nogen måde er ansvarlig for den begivenhed, der forårsagede skaden. Skader omfatter både økonomiske tab og skader, der ikke indebærer økonomiske tab, såsom overlast.

(119)

For det fjerde kan enhver person, som mener, at vedkommendes rettigheder, herunder retten til privatlivets fred og databeskyttelse, er blevet krænket af offentlige myndigheder, indbringe sagen for domstolene i Det Forenede Kongerige i henhold til Human Rights Act 1998. De dataansvarlige i henhold til Part 3 i DPA 2018, dvs. de kompetente myndigheder, er altid offentlige myndigheder som omhandlet i Human Rights Act 1998. En person, der hævder, at en offentlig myndighed har handlet (eller agter at handle) på en måde, der er uforenelig med en konventionsrettighed og dermed ulovlig i henhold til Section 6(1) i Human Rights Act 1998, kan anlægge sag mod myndigheden ved den relevante domstol eller påberåbe sig de pågældende rettigheder i en retssag, når vedkommende er (eller ville være blevet) offer for den ulovlige handling (197).

(120)

Hvis retten fastslår, at en offentlig myndigheds handling er ulovlig, kan den inden for rammerne af sine beføjelser udstede den kendelse og give adgang til de retsmidler og den oprejsning, som den finder retfærdige og passende (198). Retten kan også erklære en primærretlig bestemmelse uforenelig med en rettighed, der er sikret ved EMRK.

(121)

Endelig kan en person efter at have udtømt de nationale retsmidler indbringe en klage for Den Europæiske Menneskerettighedsdomstol for krænkelser af de rettigheder, der er sikret i henhold til EMRK.

(122)

Det Forenede Kongeriges lovgivning tillader, at en retshåndhævende myndighed deler data med andre myndigheder til andre formål end dem, hvortil de oprindeligt blev indsamlet (såkaldt »videredeling«), på visse betingelser.

(123)

I lighed med hvad der er fastsat i artikel 4, stk. 2, i direktiv (EU) 2016/680, giver Section 36, stk. 3, i DPA 2018 mulighed for, at personoplysninger, der indsamles af en kompetent myndighed med henblik på retshåndhævelse, efterfølgende kan behandles (enten af den oprindelige dataansvarlige eller af en anden dataansvarlig) med henblik på ethvert andet retshåndhævelsesformål, forudsat at den dataansvarlige ved lov er bemyndiget til at behandle oplysninger til det andet formål, og at behandlingen er nødvendig og forholdsmæssig (199). I dette tilfælde finder alle de garantier, der er fastsat i Part 3 i DPA 2018 og analyseret ovenfor, anvendelse på den behandling, der foretages af den modtagende myndighed.

(124)

I Det Forenede Kongeriges retsorden tillader forskellige love udtrykkeligt videredeling. Navnlig giver i) Digital Economy Act 2017 (lov om den digitale økonomi) mulighed for deling mellem offentlige myndigheder til flere formål, f.eks. i tilfælde af svig mod den offentlige sektor, som ville medføre tab eller risiko for tab for offentlige myndigheder (200), eller i tilfælde af gæld til en offentlig myndighed eller Kronen (201), ii) Crime and Courts Act 2013 (lov om kriminalitet og domstole) tillader udveksling af oplysninger med National Crime Agency (NCA) (202) med henblik på at bekæmpe, efterforske og retsforfølge grov og organiseret kriminalitet, iii) Serious Crime Act 2007 (lov om grov kriminalitet) giver offentlige myndigheder mulighed for at videregive oplysninger til organisationer, der bekæmper svig, med henblik på at forebygge svig (203).

(125)

I disse love fastsættes det udtrykkeligt, at udvekslingen af oplysninger skal være i overensstemmelse med de regler, der er fastsat i DPA 2018. Desuden har College of Policing udstedt en vejledning i informationsudveksling, Authorised Professional Practice on Information Sharing (204), for at bistå politiet med at opfylde deres databeskyttelsesforpligtelser i henhold til UK GDPR, DPA og Human Rights Act 1998. Udvekslingens overensstemmelse med de gældende retlige rammer for databeskyttelse er naturligvis underlagt domstolskontrol (205).

(126)

I lighed med hvad der er fastsat i artikel 9 i direktiv (EU) 2016/680, fastsætter DPA 2018 desuden, at personoplysninger, der indsamles med henblik på retshåndhævelse, kan behandles med henblik på et formål, der ikke er et retshåndhævelsesformål, når behandlingen er tilladt ved lov (206). Denne type deling dækker to scenarier: 1) når en strafferetlig retshåndhævende myndighed deler oplysninger med en anden retshåndhævende myndighed end en efterretningsmyndighed (f.eks. en finans- eller skattemyndighed, en konkurrencemyndighed, ungdomsforsorgen), 2) når en strafferetlig retshåndhævende myndighed deler data med en efterretningstjeneste. I det første scenarie vil behandlingen af personoplysninger falde ind under anvendelsesområdet for UK GDPR og Part 2 i DPA 2018. Som anført i afgørelsen vedtaget i henhold til forordning (EU) 2016/679 sikrer de garantier, der er fastsat i UK GDPR og Part 2 i DPA 2018, et beskyttelsesniveau, der i det væsentlige svarer til det beskyttelsesniveau, som ydes i Unionen (207).

(127)

I det andet scenarie, for så vidt angår udveksling af data indsamlet af en strafferetlig retshåndhævende myndighed med en efterretningstjeneste af hensyn til statens sikkerhed, er retsgrundlaget for en sådan udveksling Counter Terrorism Act 2008 (lov om terrorbekæmpelse fra 2008, CTA 2008) (208). I henhold til CTA 2008 kan enhver person give oplysninger til en hvilken som helst efterretningstjeneste med henblik på varetagelse af en hvilken som helst af denne tjenestes funktioner, herunder »statens sikkerhed«.

(128)

Med hensyn til betingelserne for udveksling af oplysninger af hensyn til statens sikkerhed begrænser Intelligence Services Act og Security Services Act efterretningstjenesternes mulighed for at indhente data til, hvad der er nødvendigt for at udføre deres lovbestemte opgaver. De kompetente myndigheder, der er omfattet af Part 3 i DPA 2018, og som ønsker at dele data med efterretningstjenesterne, skal overveje en række faktorer/begrænsninger ud over de lovbestemte funktioner, der er fastsat i Intelligence Services Act og Security Services Act (209). Section 20 i CTA 2008 præciserer, at enhver datadeling i henhold til Section 19 i CTA 2008 stadig skal være i overensstemmelse med databeskyttelseslovgivningen Det betyder, at alle begrænsninger og krav i DPA 2018 finder anvendelse. Endvidere er de retshåndhævende myndigheder og efterretningstjenesterne offentlige myndigheder som omhandlet i Human Rights Act 1998 og skal således sikre, at de handler i overensstemmelse med de rettigheder, der er garanteret i henhold til EMRK, herunder dennes artikel 8. Med andre ord betyder disse krav, at al datadeling mellem retshåndhævende myndigheder og efterretningstjenester skal være i overensstemmelse med databeskyttelseslovgivningen og EMRK.

(129)

Efterretningstjenesternes behandling af personoplysninger, der er modtaget eller indhentet fra retshåndhævende myndigheder af hensyn til statens sikkerhed, er underlagt en række betingelser og garantier (210). Part 4 i DPA 2018 finder anvendelse på al behandling, der udføres af eller på vegne af efterretningstjenesterne. Den fastsætter de vigtigste databeskyttelsesprincipper (lovlighed, rimelighed og gennemsigtighed (211), formålsbegrænsning (212), dataminimering (213), nøjagtighed (214), opbevaringsbegrænsning (215) og -sikkerhed (216), fastsætter betingelser for behandlingen af særlige kategorier af oplysninger (217), fastsætter de registreredes rettigheder (218), kræver indbygget databeskyttelse (219) og regulerer international videreoverførsel af personoplysninger (220).

(130)

Samtidig indeholder Section 110 i DPA 2018 en undtagelse fra bestemte bestemmelser i Part 4 i DPA 2018, når en sådan undtagelse er nødvendig af hensyn til statens sikkerhed. I Section 110(2) i DPA 2018 opregnes de bestemmelser, som det er tilladt at gøre en undtagelse fra. Disse vedrører bl.a. databeskyttelsesprincipperne (bortset fra princippet om lovlighed), de registreredes rettigheder, forpligtelsen til at underrette Information Commissioner om et brud på datasikkerheden, Information Commissioner's undersøgelsesbeføjelser i overensstemmelse med internationale forpligtelser, visse af Information Commissioner's håndhævelsesbeføjelser, de bestemmelser, der gør visse overtrædelser af databeskyttelsesreglerne til en strafbar handling, og bestemmelserne vedrørende særlige formål med behandlingen, såsom journalistiske, akademiske eller kunstneriske formål. Denne undtagelse kan gøres gældende på grundlag af en vurdering af den konkrete sag (221). Som forklaret af de britiske myndigheder og bekræftet af retspraksis skal en »dataansvarlig overveje de faktiske konsekvenser for statens sikkerhed eller det nationale forsvar, hvis vedkommende skal overholde den særlige databeskyttelsesbestemmelse, og vurdere, om vedkommende med rimelighed kan overholde den sædvanlige regel uden at påvirke statens sikkerhed eller det nationale forsvar« (222). ICO fører tilsyn med, om undtagelser er blevet anvendt korrekt (223).

(131)

Hvad angår muligheden for at begrænse en hvilken som helst af ovennævnte rettigheder til beskyttelse af »statens sikkerhed«, fastsættes det endvidere i section 79 i DPA 2018, at en dataansvarlig kan anmode om et certifikat, der er underskrevet af en Cabinet Minister eller Attorney General, og som bekræfter, at en begrænsning af sådanne rettigheder til enhver tid er en nødvendig og forholdsmæssig foranstaltning til beskyttelse af statens sikkerhed (224). Den britiske regering har udstedt retningslinjer om nationale sikkerhedscertifikater i henhold til DPA 2018, som navnlig fremhæver, at enhver begrænsning af registreredes rettigheder med henblik på at beskytte statens sikkerhed skal være forholdsmæssig og nødvendig (225). Alle nationale sikkerhedscertifikater skal offentliggøres på ICO's websted (226).

(132)

Certifikatet bør have en fast gyldighedsperiode på højst fem år, så det regelmæssigt tages op til revision af den udøvende magt (227). Det enkelte certifikat skal angive de personoplysninger eller kategorier af personoplysninger, der er omfattet af undtagelsen, og de bestemmelser i DPA 2018, som undtagelsen finder anvendelse på (228).

(133)

Det er vigtigt at bemærke, at nationale sikkerhedscertifikater medfører en yderligere grund til at begrænse databeskyttelsesrettigheder af hensyn til den nationale sikkerhed. Med andre ord kan den dataansvarlige eller databehandleren kun basere sig på et certifikat, når de har konkluderet, at det er nødvendigt at påberåbe sig undtagelsen vedrørende statens sikkerhed, som skal anvendes fra sag til sag. Selv om et nationalt sikkerhedscertifikat finder anvendelse på den pågældende sag, kan ICO undersøge, om det i et konkret tilfælde var berettiget at påberåbe sig undtagelsen af hensyn til statens sikkerhed (229).

(134)

Enhver person, der berøres direkte af udstedelsen af certifikatet, kan appellere udstedelsen til Upper Tribunal (230), (231)eller, hvis certifikatet identificerer data ved brug af en generel beskrivelse, anfægte certifikatets anvendelse på specifikke data (232).

(135)

Upper Tribunal tager afgørelsen om at udstede et certifikat op til fornyet overvejelse og afgør, om der var rimelige grunde til at udstede certifikatet (233). Den kan tage stilling til en lang række spørgsmål om bl.a. nødvendighed, proportionalitet og lovlighed under hensyntagen til indvirkningen på de registreredes rettigheder og afvejningen af behovet for at beskytte statens sikkerhed. Som følge heraf kan den fastslå, at certifikatet ikke finder anvendelse på specifikke personoplysninger, der er genstand for klagen (234).

(136)

Der findes en anden gruppe af mulige begrænsninger, som i henhold til Schedule 11 til DPA 2018 finder anvendelse på visse bestemmelser i Part 4 i DPA 2018 (235) for at beskytte andre vigtige mål af almen interesse eller beskyttede interesser såsom f.eks. parlamentarisk privilegium, beskyttelse af fortroligheden mellem advokat og klient, gennemførelse af retslige procedurer og sikring af de væbnede styrkers kampeffektivitet. Anvendelsen af disse bestemmelser er enten undtaget for visse kategorier af oplysninger (»klassebaseret«) eller undtaget i det omfang, at anvendelsen sandsynligvis vil skade beskyttede interesser (»skadebaseret«) (236). Skadebaserede undtagelser kan kun påberåbes, for så vidt anvendelsen af den pågældende databeskyttelsesbestemmelse sandsynligvis vil skade den pågældende specifikke interesse. Anvendelsen af en undtagelse skal derfor altid begrundes med henvisning til den relevante skade, der sandsynligvis vil forekomme i det enkelte tilfælde. Klassebaserede undtagelser kan kun påberåbes i forbindelse med den specifikke, snævert definerede kategori af oplysninger, for hvilke undtagelsen indrømmes. Med hensyn til formål og virkning svarer disse til flere af undtagelserne fra UK GDPR (i henhold til Schedule 2 til DPA 2018), som igen afspejler undtagelserne i artikel 23 i GDPR.

(137)

Det følger af ovenstående, at der er indført begrænsninger og betingelser i henhold til de gældende britiske lovbestemmelser, som også fortolket af domstolene og Information Commission, for at sikre, at disse undtagelser og restriktioner holdes inden for grænserne af, hvad der er nødvendigt og rimeligt for at beskytte statens sikkerhed.

(138)

Den behandling af personoplysninger, der foretages af efterretningstjenesterne i henhold til Part 4 i DPA 2018, overvåges af Information Commissioner (237).

(139)

Information Commissioners generelle opgaver i forbindelse med efterretningstjenesternes behandling af personoplysninger i henhold til Part 4 i DPA 2018 er fastlagt i Schedule 13 til DPA 2018. Opgaverne omfatter, men er ikke begrænset til, navnlig overvågning og håndhævelse af Part 4 i DPA 2018, fremme af offentlighedens bevidsthed, rådgivning af parlamentet, regeringen og andre institutioner om lovgivningsmæssige og administrative foranstaltninger, fremme af dataansvarliges og databehandleres kendskab til deres forpligtelser, underretning af registrerede om udøvelsen af registreredes rettigheder og gennemførelse af undersøgelser.

(140)

Information Commissioner har ligesom for Part 3 i DPA 2018 beføjelse til at underrette de dataansvarlige om en formodet overtrædelse og udstede advarsler om, at en behandling sandsynligvis vil overtræde reglerne, og udstede irettesættelser, når overtrædelsen bekræftes. Denne kan også udstede enforcement og penalty notices for overtrædelser af visse bestemmelser i loven (238). I modsætning til for andre dele af DPA 2018 kan Information Commissioner imidlertid ikke udstede en assessment notice til et nationalt sikkerhedsagentur (239).

(141)

Desuden indeholder Section 110 i DPA 2018 en undtagelse fra anvendelsen af visse af Information Commissioners beføjelser, når dette er nødvendigt af hensyn til beskyttelsen af statens sikkerhed. Dette omfatter Information Commissioners beføjelse til at udstede (enhver form for) notices i henhold til DPA (information, assessment, enforcement og penalty notices), beføjelse til at foretage inspektioner i overensstemmelse med internationale forpligtelser, ransagnings- og inspektionsbeføjelser samt reglerne om lovovertrædelser (240). Som forklaret i betragtning (136) finder disse undtagelser kun anvendelse, hvis det er nødvendigt og forholdsmæssigt, og vurderes fra sag til sag. Anvendelsen af disse undtagelser kan underlægges domstolskontrol (241).

(142)

ICO og Det Forenede Kongeriges efterretningstjenester har undertegnet et aftalememorandum (242), der fastlægger en ramme for samarbejde om en række spørgsmål, herunder anmeldelser af brud på datasikkerheden og behandling af klager fra registrerede. Deri fastsættes navnlig, at ICO, når denne modtager en klage, vurderer, om en eventuel undtagelse som følge af statens sikkerhed er blevet anvendt korrekt. Svar på forespørgsler fra ICO i forbindelse med behandlingen af individuelle klager skal gives inden for 20 hverdage af den pågældende United Kingdom Government Guidance on National Security Certificates i henhold til Data Protection Act ved hjælp af passende sikre kanaler, hvis der er tale om klassificerede oplysninger. ICO har fra april 2018 til dato modtaget 21 klager over efterretningstjenesterne fra enkeltpersoner. Hver klage blev vurderet, og resultatet er meddelt den registrerede (243).

(143)

Desuden fører Intelligence and Security Committee (efterretnings- og sikkerhedsudvalget, ISC) parlamentarisk tilsyn med efterretningstjenesternes databehandling. Udvalget har sit retsgrundlag i Justice and Security Act 2013 (lov om retlige anliggender og sikkerhed, JSA 2013) (244). Ved loven oprettes ISC som et udvalg under Det Forenede Kongeriges parlament. ISC består af medlemmer, der tilhører parlamentets to kamre og udnævnes af premierministeren efter høring af oppositionslederen (245). ISC skal hvert år aflægge beretning til Parlamentet om udøvelsen af sine funktioner og andre rapporter, som det finder hensigtsmæssige (246).

(144)

Siden 2013 har ISC fået større beføjelser, herunder kontrol med sikkerhedstjenesternes operationelle aktiviteter. I henhold til Section 2 i JSA 2013 har ISC til opgave at føre kontrol med de nationale sikkerhedsagenturers udgifter, administration, politik og drift. JSA 2013 præciserer, at ISC kan foretage undersøgelser af operationelle spørgsmål, når de ikke vedrører igangværende operationer (247). I det Memorandum of Understanding, der er indgået mellem premierministeren og ISC (248), præciseres det nærmere, hvilke elementer der skal tages hensyn til, når det skal vurderes, hvorvidt en aktivitet ikke er en del af en igangværende operation (249). Premierministeren kan også anmode ISC om at undersøge igangværende operationer og gennemgå oplysninger, som agenturerne frivilligt fremlægger.

(145)

I henhold til Schedule 1 til JSA 2013 kan ISC anmode lederne af hver af de tre efterretningstjenester om at videregive alle oplysninger. Agenturet skal stille disse oplysninger til rådighed, medmindre Secretary of State nedlægger veto mod dette (250). De britiske myndigheder forklarede, at der i praksis kun tilbageholdes meget få oplysninger fra ISC (251).