EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32021D1772

Εκτελεστική απόφαση (ΕΕ) 2021/1772 της Επιτροπής, της 28ης Ιουνίου 2021, σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με την επάρκεια της παρεχόμενης από το Ηνωμένο Βασίλειο προστασίας των δεδομένων προσωπικού χαρακτήρα [κοινοποιηθείσα υπό τον αριθμό C(2021) 4800] (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

C/2021/4800

OJ L 360, 11.10.2021, p. 1–68 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec_impl/2021/1772/oj

11.10.2021   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 360/1


ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2021/1772 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 28ης Ιουνίου 2021

σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με την επάρκεια της παρεχόμενης από το Ηνωμένο Βασίλειο προστασίας των δεδομένων προσωπικού χαρακτήρα

[κοινοποιηθείσα υπό τον αριθμό C(2021) 4800]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (1), και ιδίως το άρθρο 45 παράγραφος 3,

Εκτιμώντας τα ακόλουθα:

1.   ΕΙΣΑΓΩΓΗ

(1)

Ο κανονισμός (ΕΕ) 2016/679 θεσπίζει τους κανόνες που διέπουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στην Ευρωπαϊκή Ένωση προς τρίτες χώρες και διεθνείς οργανισμούς, στον βαθμό που η εν λόγω διαβίβαση εμπίπτει στο πεδίο εφαρμογής του. Οι κανόνες για τις διεθνείς διαβιβάσεις δεδομένων καθορίζονται στο κεφάλαιο V του εν λόγω κανονισμού, δηλαδή στα άρθρα 44 έως 50. Μολονότι η ροή δεδομένων προσωπικού χαρακτήρα προς και από χώρες εκτός της Ευρωπαϊκής Ένωσης είναι απαραίτητη για την επέκταση της διεθνούς συνεργασίας και του διασυνοριακού εμπορίου, το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που παρέχεται στην Ευρωπαϊκή Ένωση δεν πρέπει να υπονομεύεται από διαβιβάσεις προς τρίτες χώρες (2).

(2)

Σύμφωνα με το άρθρο 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, η Επιτροπή μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Υπό την προϋπόθεση αυτή, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια, όπως προβλέπεται στο άρθρο 45 παράγραφος 1 και στην αιτιολογική σκέψη 103 του εν λόγω κανονισμού.

(3)

Όπως ορίζεται στο άρθρο 45 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679, η έκδοση απόφασης επάρκειας πρέπει να βασίζεται σε ολοκληρωμένη ανάλυση της έννομης τάξης της τρίτης χώρας, η οποία καλύπτει τόσο τους κανόνες στους οποίους υπάγονται οι εισαγωγείς δεδομένων όσο και τους περιορισμούς και τις εγγυήσεις σχετικά με την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα. Στην εκτίμησή της, η Επιτροπή πρέπει να προσδιορίζει αν η τρίτη χώρα εγγυάται επίπεδο προστασίας «ουσιωδώς ισοδύναμο» με αυτό που διασφαλίζεται εντός της Ευρωπαϊκής Ένωσης [αιτιολογική σκέψη 104 του κανονισμού (ΕΕ) 2016/679]. Το πρότυπο με βάση το οποίο αξιολογείται η «ουσιώδης ισοδυναμία» είναι εκείνο που καθορίζεται από τη νομοθεσία της Ευρωπαϊκής Ένωσης, ιδίως από τον κανονισμό (ΕΕ) 2016/679, καθώς και από τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (3). Σημαντικά από την άποψη αυτή είναι επίσης τα σημεία αναφοράς για την επάρκεια του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (στο εξής: ΕΣΠΔ) (4).

(4)

Όπως έχει διευκρινιστεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης, αυτό δεν συνεπάγεται απαίτηση για το ίδιο ακριβώς επίπεδο προστασίας (5). Ειδικότερα, τα μέσα που χρησιμοποιεί η τρίτη χώρα για την προστασία των δεδομένων προσωπικού χαρακτήρα μπορεί να διαφέρουν από αυτά που εφαρμόζονται εντός της Ευρωπαϊκής Ένωσης, εφόσον αποδεικνύονται στην πράξη αποτελεσματικά ώστε να διασφαλίζουν επαρκές επίπεδο προστασίας (6). Συνεπώς, το πρότυπο της επάρκειας δεν επιβάλλει πιστή αντιγραφή των κανόνων της Ένωσης. Το καθοριστικό στοιχείο είναι κυρίως αν, μέσω της ουσίας των δικαιωμάτων προστασίας των δεδομένων, της αποτελεσματικής εφαρμογής τους, καθώς και της δυνατότητας επιβολής και εποπτείας τους, το σύστημα της τρίτης χώρας ως σύνολο προσφέρει το απαιτούμενο επίπεδο προστασίας (7).

(5)

Η Επιτροπή έχει αναλύσει προσεκτικά τη νομοθεσία και την πρακτική του Ηνωμένου Βασιλείου. Με βάση τα πορίσματα που αναπτύσσονται στις αιτιολογικές σκέψεις 8 έως 270, η Επιτροπή καταλήγει στο συμπέρασμα ότι το Ηνωμένο Βασίλειο διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται εντός του πεδίου εφαρμογής του κανονισμού (ΕΕ) 2016/679 από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο.

(6)

Το συμπέρασμα αυτό δεν αφορά τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται για σκοπούς ελέγχου της μετανάστευσης στο Ηνωμένο Βασίλειο ή τα οποία εμπίπτουν άλλως στο πεδίο εφαρμογής της εξαίρεσης από ορισμένα δικαιώματα των υποκειμένων των δεδομένων για τους σκοπούς της διατήρησης αποτελεσματικού ελέγχου της μετανάστευσης (η επονομαζόμενη «εξαίρεση για τη μετανάστευση») σύμφωνα με την παράγραφο 4 σημείο (1) του παραρτήματος 2 του νόμου του Ηνωμένου Βασιλείου για την προστασία των δεδομένων (Data Protection Act). Κατόπιν μιας απόφασης του Εφετείου της Αγγλίας και Ουαλίας (England and Wales Court of Appeal) της 26ης Μαΐου 2021, το κύρος και η ερμηνεία της εξαίρεσης για τη μετανάστευση βάσει του δικαίου του Ηνωμένου Βασιλείου δεν αποτελούν διευθετημένα ζητήματα. Το Εφετείο, ενώ αναγνώρισε ότι τα δικαιώματα των υποκειμένων των δεδομένων μπορούν, καταρχήν, να περιοριστούν για σκοπούς ελέγχου της μετανάστευσης, ως «σημαντικής πτυχής του δημόσιου συμφέροντος», έκρινε ότι η εξαίρεση για τη μετανάστευση, υπό την παρούσα μορφή της, είναι ασυμβίβαστη με το δίκαιο του Ηνωμένου Βασιλείου, δεδομένου ότι το νομοθετικό μέτρο δεν περιλαμβάνει ειδικές διατάξεις που να καθορίζουν τις εγγυήσεις που απαριθμούνται στο άρθρο 23 παράγραφος 2 του γενικού κανονισμού του Ηνωμένου Βασιλείου για την προστασία των δεδομένων (United Kingdom General Data Protection Regulation) (στο εξής: ΓΚΠΔ του Ηνωμένου Βασιλείου) (8). Υπό τις συνθήκες αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την Ένωση προς το Ηνωμένο Βασίλειο για τις οποίες μπορεί να εφαρμοστεί η εξαίρεση για τη μετανάστευση θα πρέπει να εξαιρεθούν από το πεδίο εφαρμογής της παρούσας απόφασης (9). Μόλις αποκατασταθεί η ασυμβατότητα με το δίκαιο του Ηνωμένου Βασιλείου, η εξαίρεση για τη μετανάστευση θα πρέπει να επανεξεταστεί, όπως και η ανάγκη να διατηρηθεί ο περιορισμός του πεδίου εφαρμογής της παρούσας απόφασης.

(7)

Η παρούσα απόφαση δεν θα πρέπει να θίγει την άμεση εφαρμογή του κανονισμού (ΕΕ) 2016/679 σε οργανισμούς που είναι εγκατεστημένοι στο Ηνωμένο Βασίλειο, εφόσον πληρούνται οι προϋποθέσεις σχετικά με το εδαφικό πεδίο εφαρμογής του εν λόγω κανονισμού, όπως ορίζεται στο άρθρο 3 του εν λόγω κανονισμού.

2.   ΚΑΝΟΝΕΣ ΠΟΥ ΕΦΑΡΜΟΖΟΝΤΑΙ ΣΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

2.1   Το συνταγματικό πλαίσιο

(8)

Το Ηνωμένο Βασίλειο είναι κοινοβουλευτική δημοκρατία που έχει συνταγματικό μονάρχη ως αρχηγό του κράτους. Διαθέτει κυρίαρχο κοινοβούλιο, το οποίο είναι ανώτερο όλων των άλλων κυβερνητικών οργάνων, εκτελεστική εξουσία η οποία προέρχεται από το κοινοβούλιο και λογοδοτεί σε αυτό και ανεξάρτητη δικαστική εξουσία. Η εκτελεστική εξουσία αντλεί την εξουσία της από την ικανότητά της να απολαμβάνει την εμπιστοσύνη της εκλεγμένης Βουλής των Κοινοτήτων και λογοδοτεί και στα δύο σώματα του Κοινοβουλίου, που είναι αρμόδια για τον έλεγχο της κυβέρνησης και για τη συζήτηση και ψήφιση των νόμων.

(9)

Το Κοινοβούλιο του Ηνωμένου Βασιλείου έχει εκχωρήσει αρμοδιότητες στο Κοινοβούλιο της Σκωτίας, στο Κοινοβούλιο της Ουαλίας (Senedd Cymru) και στη Συνέλευση της Βόρειας Ιρλανδίας για τη θέσπιση νομοθεσίας σχετικά με εσωτερικά ζητήματα της Σκωτίας, της Ουαλίας και της Βόρειας Ιρλανδίας επί των οποίων το Κοινοβούλιο του Ηνωμένου Βασιλείου δεν έχει διατηρήσει την αποκλειστική αρμοδιότητα. Παρότι η προστασία των δεδομένων αποτελεί θέμα αποκλειστικής αρμοδιότητας, δηλαδή η ίδια νομοθεσία ισχύει σε ολόκληρη τη χώρα, άλλοι τομείς πολιτικής που σχετίζονται με την παρούσα απόφαση έχουν αποκεντρωθεί. Για παράδειγμα, τα συστήματα ποινικής δικαιοσύνης, συμπεριλαμβανομένης της αστυνόμευσης, της Σκωτίας και της Βόρειας Ιρλανδίας έχουν αποκεντρωθεί στο Κοινοβούλιο της Σκωτίας και στη Συνέλευση της Βόρειας Ιρλανδίας αντίστοιχα. Το Ηνωμένο Βασίλειο δεν διαθέτει κωδικοποιημένο σύνταγμα υπό την έννοια ενός παγιωμένου συνταγματικού εγγράφου. Οι συνταγματικές αρχές έχουν προκύψει με την πάροδο του χρόνου και προέρχονται από τη νομολογία και από συμβάσεις. Τα δικαστήρια έχουν αναγνωρίσει τη συνταγματική αξία ορισμένων νόμων, όπως η Magna Carta, η Διακήρυξη των Δικαιωμάτων του 1689 (Bill of Rights 1689) και ο νόμος του 1998 για τα ανθρώπινα δικαιώματα (Human Rights Act 1998). Τα θεμελιώδη δικαιώματα των ατόμων έχουν αναπτυχθεί, ως μέρος του συντάγματος, μέσω του κοινού δικαίου (common law), των ανωτέρω νόμων και διεθνών συνθηκών, ιδίως μέσω της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου, την οποία το Ηνωμένο Βασίλειο κύρωσε το 1951. Το Ηνωμένο Βασίλειο κύρωσε επίσης τη Σύμβαση του Συμβουλίου της Ευρώπης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα (Σύμβαση 108) το 1987 (10).

(10)

Ο νόμος του 1998 για τα ανθρώπινα δικαιώματα ενσωματώνει τα δικαιώματα που περιέχονται στην Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου στο δίκαιο του Ηνωμένου Βασιλείου. Ο νόμος για τα ανθρώπινα δικαιώματα παρέχει σε κάθε άτομο τα θεμελιώδη δικαιώματα και τις ελευθερίες που προβλέπονται στα άρθρα 2 έως 12 και 14 της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου, στα άρθρα 1, 2 και 3 του πρώτου πρωτοκόλλου της και στο άρθρο 1 του δέκατου τρίτου πρωτοκόλλου της, σε συνδυασμό με τα άρθρα 16, 17 και 18 της εν λόγω Σύμβασης. Μεταξύ αυτών περιλαμβάνεται το δικαίωμα στον σεβασμό της ιδιωτικής και οικογενειακής ζωής (και το δικαίωμα στην προστασία των δεδομένων ως μέρος του εν λόγω δικαιώματος) και το δικαίωμα στη χρηστή απονομή δικαιοσύνης (11). Συγκεκριμένα, σύμφωνα με το άρθρο 8 της εν λόγω Σύμβασης, δεν επιτρέπεται να υπάρξει επέμβαση δημόσιας αρχής κατά την άσκηση του δικαιώματος στην ιδιωτική ζωή, εκτός εάν η επέμβαση αυτή προβλέπεται βάσει νόμου και αποτελεί μέτρο το οποίο, σε μια δημοκρατική κοινωνία, είναι αναγκαίο για την εθνική ασφάλεια, τη δημόσια ασφάλεια, την οικονομική ευημερία της χώρας, την προάσπιση της τάξης και την πρόληψη ποινικών παραβάσεων, την προστασία της υγείας ή της ηθικής, ή την προστασία των δικαιωμάτων και ελευθεριών άλλων.

(11)

Σύμφωνα με τον νόμο του 1998 για τα ανθρώπινα δικαιώματα, όλες οι ενέργειες των δημόσιων αρχών πρέπει να είναι συμβατές με τα δικαιώματα που κατοχυρώνονται στη Σύμβαση (12). Επιπλέον, η πρωτογενής και η παράγωγη νομοθεσία πρέπει να ερμηνεύονται και να εφαρμόζονται με τρόπο που συνάδει με τα δικαιώματα που κατοχυρώνονται στη Σύμβαση (13).

2.2   Το πλαίσιο της προστασίας των δεδομένων στο Ηνωμένο Βασίλειο

(12)

Το Ηνωμένο Βασίλειο αποχώρησε από την Ευρωπαϊκή Ένωση στις 31 Ιανουαρίου 2020. Βάσει της συμφωνίας για την αποχώρηση του Ηνωμένου Βασιλείου της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας από την Ευρωπαϊκή Ένωση και την Ευρωπαϊκή Κοινότητα Ατομικής Ενέργειας (14), το ενωσιακό δίκαιο συνέχισε να εφαρμόζεται στο Ηνωμένο Βασίλειο κατά τη μεταβατική περίοδο έως τις 31 Δεκεμβρίου 2020. Πριν από την αποχώρηση και κατά τη μεταβατική περίοδο, το νομοθετικό πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα στο Ηνωμένο Βασίλειο περιλάμβανε τη σχετική νομοθεσία της ΕΕ [ιδίως τον κανονισμό (ΕΕ) 2016/679 και την οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (15)] και εθνική νομοθεσία, ιδίως τον νόμο του 2018 για την προστασία των δεδομένων (DPA 2018) (16), ο οποίος προβλέπει εθνικούς κανόνες, στις περιπτώσεις που το επιτρέπει ο κανονισμός (ΕΕ) 2016/679, με τους οποίους διευκρινίζεται και περιορίζεται η εφαρμογή των κανόνων του κανονισμού (ΕΕ) 2016/679 και μεταφέρεται στο εθνικό δίκαιο η οδηγία (ΕΕ) 2016/680.

(13)

Για να προετοιμαστεί για την αποχώρηση από την Ευρωπαϊκή Ένωση, η κυβέρνηση του Ηνωμένου Βασιλείου θέσπισε τον νόμο του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση (17), ο οποίος ενσωματώνει στο δίκαιο του Ηνωμένου Βασιλείου την άμεσα ισχύουσα νομοθεσία της Ένωσης (18). Αυτή η λεγόμενη «διατηρούμενη νομοθεσία της ΕΕ» περιλαμβάνει τον κανονισμό (ΕΕ) 2016/679 στο σύνολό του (συμπεριλαμβανομένων των αιτιολογικών του σκέψεων) (19). Σύμφωνα με τον εν λόγω νόμο, η μη τροποποιημένη διατηρούμενη νομοθεσία της ΕΕ πρέπει να ερμηνεύεται από τα δικαστήρια του Ηνωμένου Βασιλείου σύμφωνα με τη σχετική νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης και τις γενικές αρχές του δικαίου της Ένωσης όπως ίσχυαν αμέσως πριν από τη λήξη της μεταβατικής περιόδου (στο εξής: «διατηρούμενη νομολογία της ΕΕ» και «διατηρούμενες γενικές αρχές του δικαίου της ΕΕ» αντίστοιχα) (20).

(14)

Βάσει του νόμου του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση, οι υπουργοί του Ηνωμένου Βασιλείου έχουν την εξουσία να θεσπίζουν παράγωγο δίκαιο, μέσω νομοθετικών πράξεων, ώστε να επιφέρουν τις αναγκαίες τροποποιήσεις στη διατηρούμενη νομοθεσία της Ευρωπαϊκής Ένωσης ως συνέπεια της αποχώρησης του Ηνωμένου Βασιλείου από την Ευρωπαϊκή Ένωση. Οι κανονισμοί του 2019 για την προστασία των δεδομένων, την ιδιωτικότητα και τις ηλεκτρονικές επικοινωνίες (τροποποιήσεις, κ.λπ.) (έξοδος από την ΕΕ) (κανονισμοί DPPEC) (21) εκδόθηκαν κατ' ενάσκηση αυτής της εξουσίας. Οι κανονισμοί DPPEC τροποποιούν τον κανονισμό (ΕΕ) 2016/679, όπως ενσωματώθηκε στο δίκαιο του Ηνωμένου Βασιλείου μέσω του νόμου του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση, του DPA 2018 και άλλης νομοθεσίας για την προστασία των δεδομένων, ώστε να προσαρμοστεί στο εθνικό πλαίσιο (22).

(15)

Κατά συνέπεια, το νομικό πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα στο Ηνωμένο Βασίλειο μετά τη λήξη της μεταβατικής περιόδου αποτελείται από:

τον ΓΚΠΔ του Ηνωμένου Βασιλείου, όπως ενσωματώθηκε στο δίκαιο του Ηνωμένου Βασιλείου δυνάμει του νόμου του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση και τροποποιήθηκε με τους κανονισμούς DPPEC (23), και

τον DPA 2018 (24), όπως τροποποιήθηκε με τους κανονισμούς DPPEC.

(16)

Δεδομένου ότι ο ΓΚΠΔ του Ηνωμένου Βασιλείου βασίζεται σε νομοθεσία της ΕΕ, οι κανόνες για την προστασία των δεδομένων στο Ηνωμένο Βασίλειο σε πολλές πτυχές αντικατοπτρίζουν σε μεγάλο βαθμό τους αντίστοιχους κανόνες που ισχύουν στην Ευρωπαϊκή Ένωση.

(17)

Εκτός από τις εξουσίες που παρέχει ο νόμος του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση στον υπουργό, διάφορες διατάξεις του DPA 2018 παρέχουν στον υπουργό την εξουσία να θεσπίζει παράγωγο δίκαιο για την τροποποίηση ορισμένων διατάξεων του νόμου ή να θεσπίζει συμπληρωματικούς και πρόσθετους κανόνες (25). Μέχρι στιγμής, ο υπουργός έχει ασκήσει μόνο την εξουσία που του παρέχει το άρθρο 137 του DPA 2018 για την έκδοση των κανονισμών του 2019 για την προστασία των δεδομένων (τέλη και πληροφορίες) (τροποποίηση) [Data Protection (Charges and Information) (Amendment) Regulations 2019], οι οποίοι καθορίζουν τις περιστάσεις υπό τις οποίες οι υπεύθυνοι επεξεργασίας δεδομένων υποχρεούνται να καταβάλλουν ετήσιο τέλος στην ανεξάρτητη αρχή προστασίας δεδομένων του Ηνωμένου Βασιλείου, τον Επίτροπο Πληροφοριών.

(18)

Τέλος, περαιτέρω καθοδήγηση σχετικά με τη νομοθεσία του Ηνωμένου Βασιλείου για την προστασία των δεδομένων παρέχεται στους κώδικες ορθής πρακτικής και σε άλλες οδηγίες που εκδίδει ο Επίτροπος Πληροφοριών. Παρότι τυπικά δεν είναι νομικά δεσμευτικές, οι οδηγίες αυτές έχουν ερμηνευτική βαρύτητα και καταδεικνύουν τον τρόπο με τον οποίο εφαρμόζεται και επιβάλλεται στην πράξη η νομοθεσία για την προστασία των δεδομένων από τον Επίτροπο. Ειδικότερα, τα άρθρα 121 έως 125 του DPA 2018 απαιτούν από τον Επίτροπο να καταρτίσει κώδικες ορθής πρακτικής σχετικά με την ανταλλαγή δεδομένων, την άμεση εμπορική προώθηση, τον σχεδιασμό και την προστασία των δεδομένων ανάλογα με την ηλικία και τη δημοσιογραφία.

(19)

Ως εκ τούτου, όσον αφορά τη δομή και τις κύριες συνιστώσες του, το νομικό πλαίσιο του Ηνωμένου Βασιλείου που εφαρμόζεται στα δεδομένα που διαβιβάζονται βάσει της παρούσας απόφασης είναι σε μεγάλο βαθμό παρόμοιο με εκείνο που ισχύει στην Ευρωπαϊκή Ένωση. Στις ομοιότητες περιλαμβάνεται το γεγονός ότι το εν λόγω πλαίσιο δεν βασίζεται μόνο σε υποχρεώσεις που προβλέπονται στο εθνικό δίκαιο, το οποίο έχει διαμορφωθεί από το δίκαιο της ΕΕ, αλλά και σε υποχρεώσεις που κατοχυρώνονται στο διεθνές δίκαιο, ιδίως μέσω της προσχώρησης του Ηνωμένου Βασιλείου στην ΕΣΔΑ και στη Σύμβαση 108, καθώς και μέσω της υπαγωγής του στη δικαιοδοσία του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου. Οι υποχρεώσεις αυτές που απορρέουν από νομικά δεσμευτικές διεθνείς πράξεις, κυρίως όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα, αποτελούν, επομένως, ιδιαίτερα σημαντικό στοιχείο του νομικού πλαισίου που αξιολογείται στην παρούσα απόφαση.

2.3   Καθ’ ύλην και εδαφικό πεδίο εφαρμογής

(20)

Όπως και ο κανονισμός (ΕΕ) 2016/679, ο ΓΚΠΔ του Ηνωμένου Βασιλείου εφαρμόζεται στην εν όλω ή εν μέρει αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα ή σε άλλη επεξεργασία, εάν τα δεδομένα προσωπικού χαρακτήρα περιλαμβάνονται σε σύστημα αρχειοθέτησης (26). Οι ορισμοί των «δεδομένων προσωπικού χαρακτήρα», του «υποκειμένου των δεδομένων» και της «επεξεργασίας» στον ΓΚΠΔ του Ηνωμένου Βασιλείου είναι ταυτόσημοι με τους ορισμούς του κανονισμού (ΕΕ) 2016/679 (27). Επιπλέον, ο ΓΚΠΔ του Ηνωμένου Βασιλείου εφαρμόζεται στη χειροκίνητη μη διαρθρωμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα (28) που βρίσκονται στην κατοχή ορισμένων δημόσιων αρχών του Ηνωμένου Βασιλείου (29), αν και οι αρχές και τα δικαιώματα που κατοχυρώνονται στον ΓΚΠΔ του Ηνωμένου Βασιλείου και δεν σχετίζονται με τα εν λόγω δεδομένα προσωπικού χαρακτήρα δεν εφαρμόζονται, βάσει των άρθρων 24 και 25 του DPA 2018. Όπως προβλέπεται και στον κανονισμό (ΕΕ) 2016/679, ο ΓΚΠΔ του Ηνωμένου Βασιλείου δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας (30).

(21)

Ο ΓΚΠΔ του Ηνωμένου Βασιλείου επεκτείνει το πεδίο εφαρμογής του και στην επεξεργασία στο πλαίσιο δραστηριότητας η οποία, αμέσως πριν από τη λήξη της μεταβατικής περιόδου, ενέπιπτε εκτός του πεδίου εφαρμογής του δικαίου της Ευρωπαϊκής Ένωσης (π.χ. εθνική ασφάλεια) (31) ή εντός του πεδίου εφαρμογής του κεφαλαίου 2 του τίτλου 5 της Συνθήκης για την Ευρωπαϊκή Ένωση (δραστηριότητες στο πλαίσιο της κοινής εξωτερικής πολιτικής και πολιτικής ασφαλείας) (32). Όπως και στο σύστημα της Ευρωπαϊκής Ένωσης, ο ΓΚΠΔ του Ηνωμένου Βασιλείου δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδια αρχή για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους (τους λεγόμενους «σκοπούς επιβολής του νόμου») —η εν λόγω επεξεργασία διέπεται από το μέρος 3 του DPA 2018, όπως συμβαίνει στην περίπτωση της οδηγίας (ΕΕ) 2016/680 βάσει του δικαίου της Ευρωπαϊκής Ένωσης— ή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών [την Υπηρεσία Ασφαλείας (Security Service), τη Μυστική Υπηρεσία Πληροφοριών (Secret Intelligence Service) και την Κεντρική Κυβερνητική Υπηρεσία Επικοινωνιών (Government Communications Headquarters)], η οποία καλύπτεται από το μέρος 4 του DPA 2018 (33).

(22)

Το εδαφικό πεδίο εφαρμογής του ΓΚΠΔ του Ηνωμένου Βασιλείου περιγράφεται στο άρθρο 3 του ΓΚΠΔ του Ηνωμένου Βασιλείου (34) και περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα (ανεξάρτητα από το πού λαμβάνει χώρα) στο πλαίσιο των δραστηριοτήτων εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στο Ηνωμένο Βασίλειο, καθώς και την επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων δεδομένων που βρίσκονται στο Ηνωμένο Βασίλειο, όταν οι δραστηριότητες επεξεργασίας σχετίζονται με την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα δεδομένων ή την παρακολούθηση της συμπεριφοράς τους (35). Αυτό αντικατοπτρίζει την προσέγγιση που υιοθετήθηκε στο άρθρο 3 του κανονισμού (ΕΕ) 2016/679.

2.4   Ορισμοί των δεδομένων προσωπικού χαρακτήρα και έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία

(23)

Οι ορισμοί των δεδομένων προσωπικού χαρακτήρα, της επεξεργασίας, του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία, καθώς και ο ορισμός της ψευδωνυμοποίησης, όπως προβλέπονται στον κανονισμό (ΕΕ) 2016/679, διατηρήθηκαν χωρίς ουσιώδεις τροποποιήσεις στον ΓΚΠΔ του Ηνωμένου Βασιλείου (36). Επιπλέον, όπως και στον κανονισμό (ΕΕ) 2016/679, στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου ορίζονται ειδικές κατηγορίες δεδομένων («που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό»). Το άρθρο 205 του DPA 2018 παρέχει τον ορισμό των «βιομετρικών δεδομένων» (37), των «δεδομένων που αφορούν την υγεία» (38) και των «γενετικών δεδομένων» (39).

2.5   Εγγυήσεις, δικαιώματα και υποχρεώσεις

2.5.1   Νομιμότητα και αντικειμενικότητα της επεξεργασίας

(24)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη.

(25)

Οι αρχές της νομιμότητας, της αντικειμενικότητας και της διαφάνειας, καθώς και οι λόγοι της σύννομης επεξεργασίας κατοχυρώνονται στο δίκαιο του Ηνωμένου Βασιλείου μέσω του άρθρου 5 παράγραφος 1 στοιχείο (a) και του άρθρου 6 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου, τα οποία είναι πανομοιότυπα με τις αντίστοιχες διατάξεις του κανονισμού (ΕΕ) 2016/679 (40). Το άρθρο 8 του DPA 2018 συμπληρώνει το άρθρο 6 παράγραφος 1 στοιχείο (e), προβλέποντας ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει του άρθρου 6 παράγραφος 1 στοιχείο (e) του ΓΚΠΔ του Ηνωμένου Βασιλείου (απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση της δημόσιας εξουσίας του υπευθύνου επεξεργασίας) περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι απαραίτητη για την απονομή της δικαιοσύνης, την άσκηση καθήκοντος οποιουδήποτε από τα δύο σώματα του Κοινοβουλίου, την άσκηση καθήκοντος που ανατίθεται σε πρόσωπο από νομοθετική πράξη ή κανόνα δικαίου, την άσκηση καθήκοντος του Στέμματος, υπουργού του Στέμματος ή κυβερνητικής υπηρεσίας, ή δραστηριότητα που στηρίζει ή προωθεί τη συμμετοχή στις δημοκρατικές διαδικασίες.

(26)

Όσον αφορά τη συγκατάθεση (έναν από τους λόγους σύννομης επεξεργασίας), ο ΓΚΠΔ του Ηνωμένου Βασιλείου διατηρεί επίσης τις προϋποθέσεις που προβλέπονται στο άρθρο 7 του κανονισμού (ΕΕ) 2016/679 χωρίς τροποποιήσεις, δηλαδή ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του, πρέπει να υποβάλλεται γραπτό αίτημα συγκατάθεσης με σαφή και απλή διατύπωση, το υποκείμενο των δεδομένων πρέπει να έχει το δικαίωμα να ανακαλέσει τη συγκατάθεση ανά πάσα στιγμή και, κατά την εκτίμηση του κατά πόσον η συγκατάθεση παρέχεται ελεύθερα, θα πρέπει να λαμβάνεται υπόψη κατά πόσον, για την εκτέλεση σύμβασης, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης. Επιπλέον, σύμφωνα με το άρθρο 8 του ΓΚΠΔ του Ηνωμένου Βασιλείου, στο πλαίσιο της παροχής υπηρεσιών της κοινωνίας της πληροφορίας, η συγκατάθεση του παιδιού είναι σύννομη μόνο όταν το παιδί είναι τουλάχιστον 13 ετών. Το όριο αυτό εμπίπτει στην ηλικιακή ομάδα που ορίζεται στο άρθρο 8 του κανονισμού (ΕΕ) 2016/679.

2.5.2   Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

(27)

Θα πρέπει να προβλέπονται ειδικές εγγυήσεις για την επεξεργασία «ειδικών κατηγοριών» δεδομένων.

(28)

Ο ΓΚΠΔ του Ηνωμένου Βασιλείου και ο DPA 2018 περιέχουν ειδικούς κανόνες όσον αφορά την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, οι οποίοι ορίζονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου, με τον ίδιο τρόπο όπως και στον κανονισμό (ΕΕ) 2016/679 (βλ. αιτιολογική σκέψη 23 ανωτέρω). Σύμφωνα με το άρθρο 9 του ΓΚΠΔ του Ηνωμένου Βασιλείου, η επεξεργασία ειδικών κατηγοριών δεδομένων καταρχήν απαγορεύεται, εκτός εάν εφαρμόζεται ειδική εξαίρεση.

(29)

Οι εξαιρέσεις αυτές (που παρατίθενται στο άρθρο 9 παράγραφοι 2 και 3 του ΓΚΠΔ του Ηνωμένου Βασιλείου) δεν επιφέρουν ουσιαστικές αλλαγές σε εκείνες του άρθρου 9 παράγραφοι 2 και 3 του κανονισμού (ΕΕ) 2016/679. Εκτός εάν το υποκείμενο των δεδομένων έχει δώσει τη ρητή συγκατάθεσή του για την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα, η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο σε συγκεκριμένες και περιορισμένες περιπτώσεις. Στις περισσότερες περιπτώσεις, η επεξεργασία ευαίσθητων δεδομένων πρέπει να είναι απαραίτητη για συγκεκριμένο σκοπό που ορίζεται στη σχετική διάταξη [βλ. άρθρο 9 παράγραφος 2 στοιχεία (b), (c), (f), (g), (h), (i) και (j)].

(30)

Επιπλέον, όταν μια εξαίρεση βάσει του άρθρου 9 παράγραφος 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου απαιτεί άδεια βάσει νόμου ή αφορά το δημόσιο συμφέρον, το άρθρο 10 του DPA 2018 σε συνδυασμό με το παράρτημα 1 του εν λόγω νόμου διευκρινίζουν περαιτέρω τους όρους που πρέπει να πληρούνται για να εφαρμόζονται οι εξαιρέσεις. Για παράδειγμα, στην περίπτωση επεξεργασίας ευαίσθητων δεδομένων για την προστασία της «δημόσιας υγείας» [άρθρο 9 παράγραφος 2 στοιχείο (i) του ΓΚΠΔ του Ηνωμένου Βασιλείου], η παράγραφος 3 στοιχείο (b) του μέρους 1 του παραρτήματος 1 απαιτεί, εκτός από τον έλεγχο αναγκαιότητας, η εν λόγω επεξεργασία να διενεργείται «από επαγγελματία του τομέα της υγείας ή υπό την ευθύνη τέτοιου» ή «από άλλο πρόσωπο που υπέχει υποχρέωση εμπιστευτικότητας δυνάμει νομοθετικής πράξης ή κανόνα δικαίου», μεταξύ άλλων δυνάμει του παγιωμένου καθήκοντος εμπιστευτικότητας στο πλαίσιο του κοινού δικαίου.

(31)

Όταν τα ευαίσθητα δεδομένα υποβάλλονται σε επεξεργασία για λόγους ουσιαστικού δημόσιου συμφέροντος [άρθρο 9 παράγραφος 2 στοιχείο (g) του ΓΚΠΔ του Ηνωμένου Βασιλείου)], το μέρος 2 του παραρτήματος 1 του DPA 2018 προβλέπει εξαντλητικό κατάλογο των σκοπών που μπορούν να θεωρηθούν ως ουσιαστικού δημόσιου συμφέροντος και, για καθέναν από τους σκοπούς αυτούς, καθορίζει ειδικούς πρόσθετους όρους. Για παράδειγμα, η προώθηση της φυλετικής και εθνοτικής πολυμορφίας σε ανώτερα επίπεδα οργανισμών αναγνωρίζεται ως ουσιαστικό δημόσιο συμφέρον. Η επεξεργασία ευαίσθητων δεδομένων για τον συγκεκριμένο αυτό σκοπό υπόκειται σε λεπτομερείς απαιτήσεις, συμπεριλαμβανομένου του ότι η επεξεργασία διενεργείται στο πλαίσιο διαδικασίας εντοπισμού κατάλληλων προσώπων για την κατάληψη ανώτερων θέσεων, είναι απαραίτητη για την προώθηση της φυλετικής και εθνοτικής πολυμορφίας και δεν είναι πιθανό να προκαλέσει σημαντική ζημία ή οδύνη στο υποκείμενο των δεδομένων.

(32)

Το άρθρο 11 παράγραφος 1 του DPA 2018 καθορίζει όρους για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στις περιπτώσεις που περιγράφονται στο άρθρο 9 παράγραφος 3 του ΓΚΠΔ του Ηνωμένου Βασιλείου σχετικά με την υποχρέωση τήρησης του απορρήτου. Σ' αυτούς περιλαμβάνονται οι περιπτώσεις στις οποίες η επεξεργασία εκτελείται από επαγγελματία του τομέα της υγείας ή της κοινωνικής εργασίας ή υπό την ευθύνη τέτοιου ή από άλλο πρόσωπο το οποίο, υπό τις περιστάσεις αυτές, υπέχει υποχρέωση εμπιστευτικότητας δυνάμει νομοθετικής πράξης ή κανόνα δικαίου.

(33)

Επιπλέον, πολλές από τις εξαιρέσεις που απαριθμούνται στο άρθρο 9 παράγραφος 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου απαιτούν κατάλληλες και ειδικές εγγυήσεις προκειμένου να χρησιμοποιηθούν. Ανάλογα με τη φύση της επεξεργασίας και το επίπεδο κινδύνου για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, οι όροι για την επεξεργασία που προβλέπονται στο παράρτημα 1 του DPA 2018 θεσπίζουν διάφορες εγγυήσεις. Το παράρτημα 1 καθορίζει τους όρους για κάθε περίπτωση επεξεργασίας με τη σειρά.

(34)

Σε ορισμένες περιπτώσεις, ο DPA 2018 ρυθμίζει και περιορίζει το είδος των ευαίσθητων δεδομένων που μπορούν να υποβληθούν σε επεξεργασία προκειμένου να υπάρχει συμμόρφωση με συγκεκριμένη νομική βάση. Για παράδειγμα, η παράγραφος 8 του παραρτήματος 1 επιτρέπει την επεξεργασία ευαίσθητων δεδομένων με σκοπό την προώθηση της ισότητας ευκαιριών ή της ίσης μεταχείρισης. Αυτός ο όρος επεξεργασίας μπορεί να χρησιμοποιηθεί μόνο εάν τα δεδομένα αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, σεξουαλικό προσανατολισμό ή εάν πρόκειται για δεδομένα υγείας.

(35)

Σε ορισμένες περιπτώσεις, ο DPA 2018 περιορίζει το είδος των υπευθύνων επεξεργασίας που μπορούν να χρησιμοποιήσουν τον όρο επεξεργασίας. Για παράδειγμα, η παράγραφος 23 του παραρτήματος 1 προβλέπει την επεξεργασία ευαίσθητων δεδομένων σε σχέση με τις απαντήσεις εκλεγμένων αντιπροσώπων στο κοινό. Αυτός ο όρος επεξεργασίας μπορεί να χρησιμοποιηθεί μόνο εάν ο υπεύθυνος επεξεργασίας είναι ο εκλεγμένος αντιπρόσωπος ή ενεργεί για λογαριασμό του.

(36)

Σε ορισμένες άλλες περιπτώσεις, ο DPA 2018 θέτει όρια στις κατηγορίες των υποκειμένων των δεδομένων για να μπορεί να χρησιμοποιηθεί ο όρος επεξεργασίας. Για παράδειγμα, η παράγραφος 21 του παραρτήματος 1 ρυθμίζει την επεξεργασία ευαίσθητων δεδομένων για τα επαγγελματικά συνταξιοδοτικά συστήματα. Ο όρος αυτός μπορεί να χρησιμοποιηθεί μόνο εάν το οικείο υποκείμενο των δεδομένων είναι αδελφός/αδελφή, γονέας, παππούς/γιαγιά ή προγονός του μέλους του συστήματος.

(37)

Επιπλέον, όταν βασίζεται στις εξαιρέσεις του άρθρου 9 παράγραφος 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου που προσδιορίζονται περαιτέρω στο άρθρο 10 του DPA 2018 μαζί με το παράρτημα 1 του εν λόγω νόμου, ο υπεύθυνος επεξεργασίας, στις περισσότερες περιπτώσεις, υποχρεούται να συντάσσει «έγγραφο κατάλληλης πολιτικής». Αυτό πρέπει να περιγράφει τις διαδικασίες που ακολουθεί ο υπεύθυνος επεξεργασίας για τη διασφάλιση της συμμόρφωσης με τις αρχές του άρθρου 5 του ΓΚΠΔ του Ηνωμένου Βασιλείου. Πρέπει επίσης να καθορίζει πολιτικές για τη διατήρηση και τη διαγραφή, με ένδειξη της πιθανής περιόδου αποθήκευσης. Οι υπεύθυνοι επεξεργασίας πρέπει να επανεξετάζουν και να επικαιροποιούν το έγγραφο αυτό ανάλογα με τις ανάγκες. Ο υπεύθυνος επεξεργασίας πρέπει να διατηρεί το έγγραφο πολιτικής για έξι μήνες μετά την ολοκλήρωση της επεξεργασίας και να το θέτει στη διάθεση του Επιτρόπου Πληροφοριών, εφόσον του ζητηθεί (41).

(38)

Σύμφωνα με την παράγραφο 41 του παραρτήματος 1 του DPA 2018, το έγγραφο πολιτικής πρέπει πάντοτε να συνοδεύεται από επαυξημένο αρχείο επεξεργασίας. Το αρχείο αυτό πρέπει να παρακολουθεί τις δεσμεύσεις που περιλαμβάνονται στο έγγραφο πολιτικής, δηλαδή αν τα δεδομένα διαγράφονται ή διατηρούνται σύμφωνα με τις πολιτικές. Εάν δεν έχουν τηρηθεί οι πολιτικές, το αρχείο καταγραφής πρέπει να αναφέρει τους λόγους. Στο αρχείο πρέπει επίσης να περιγράφεται ο τρόπος με τον οποίο η επεξεργασία πληροί το άρθρο 6 του ΓΚΠΔ του Ηνωμένου Βασιλείου (νομιμότητα της επεξεργασίας) και τον ειδικό όρο του παραρτήματος 1 του DPA 2018 στον οποίο βασίστηκε.

(39)

Τέλος, όπως και ο κανονισμός (ΕΕ) 2016/679, ο ΓΚΠΔ του Ηνωμένου Βασιλείου προβλέπει επίσης γενικές εγγυήσεις για ορισμένες πράξεις επεξεργασίας ειδικών κατηγοριών δεδομένων. Το άρθρο 35 του ΓΚΠΔ του Ηνωμένου Βασιλείου απαιτεί εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων εάν υποβάλλονται σε επεξεργασία ειδικές κατηγορίες δεδομένων σε μεγάλη κλίμακα. Σύμφωνα με το άρθρο 37 του ΓΚΠΔ του Ηνωμένου Βασιλείου, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να ορίζει υπεύθυνο προστασίας δεδομένων όταν οι βασικές δραστηριότητές του συνίστανται στην επεξεργασία ειδικών κατηγοριών δεδομένων σε μεγάλη κλίμακα.

(40)

Όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα, το άρθρο 10 του ΓΚΠΔ του Ηνωμένου Βασιλείου είναι πανομοιότυπο με το άρθρο 10 του κανονισμού (ΕΕ) 2016/679. Επιτρέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα μόνο υπό τον έλεγχο επίσημης αρχής ή όταν η επεξεργασία επιτρέπεται από το εσωτερικό δίκαιο το οποίο προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

(41)

Όταν η επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα δεν διενεργείται υπό τον έλεγχο επίσημης αρχής, το άρθρο 10 παράγραφος 5 του DPA 2018 προβλέπει ότι η εν λόγω επεξεργασία μπορεί να πραγματοποιηθεί μόνο για τους συγκεκριμένους σκοπούς / στις ειδικές περιπτώσεις που ορίζονται στα μέρη 1, 2 και 3 του παραρτήματος 1 του DPA 2018 και υπόκειται στις ειδικές απαιτήσεις που καθορίζονται για κάθε σκοπό/περίπτωση. Για παράδειγμα, δεδομένα που αφορούν ποινικές καταδίκες μπορούν να υποβάλλονται σε επεξεργασία από μη κερδοσκοπικούς φορείς εάν η επεξεργασία διενεργείται α) με κατάλληλες εγγυήσεις, στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, σωματείου ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και β) υπό τον όρο ότι i) η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ii) ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων.

(42)

Επιπλέον, το μέρος 3 του παραρτήματος 1 του DPA 2018 ορίζει περαιτέρω περιπτώσεις στις οποίες μπορούν να χρησιμοποιούνται δεδομένα ποινικών καταδικών που αντιστοιχούν στους νόμιμους λόγους επεξεργασίας ευαίσθητων δεδομένων του άρθρου 9 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679 και του ΓΚΠΔ του Ηνωμένου Βασιλείου (π.χ. συγκατάθεση του υποκειμένου των δεδομένων, ζωτικά συμφέροντα φυσικού προσώπου εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να παράσχει συγκατάθεση, εάν τα δεδομένα έχουν ήδη δημοσιοποιηθεί προδήλως από το υποκείμενο των δεδομένων, εάν η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικής αξίωσης κ.λπ.).

2.5.3   Περιορισμός του σκοπού, ακρίβεια, ελαχιστοποίηση των δεδομένων, περιορισμός της αποθήκευσης και ασφάλεια των δεδομένων

(43)

Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία για συγκεκριμένο σκοπό και στη συνέχεια να χρησιμοποιούνται μόνο στο μέτρο που αυτό δεν είναι ασύμβατο με τον σκοπό της επεξεργασίας.

(44)

Η αρχή αυτή προβλέπεται στο άρθρο 5 παράγραφος 1 στοιχείο β) του κανονισμού (ΕΕ) 2016/679 και διατηρήθηκε χωρίς αλλαγές στο άρθρο 5 παράγραφος 1 στοιχείο (b) του ΓΚΠΔ του Ηνωμένου Βασιλείου. Οι όροι για την περαιτέρω συμβατή επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679 διατηρήθηκαν επίσης χωρίς ουσιώδεις τροποποιήσεις στο άρθρο 6 παράγραφος 4 στοιχεία (a) έως (e) του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(45)

Επιπλέον, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι ακριβή και, όταν χρειάζεται, να επικαιροποιούνται. Θα πρέπει επίσης να είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία και, καταρχήν, να μη διατηρούνται για διάστημα μεγαλύτερο από το αναγκαίο για τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία.

(46)

Οι εν λόγω αρχές της ελαχιστοποίησης, της ακρίβειας και του περιορισμού της αποθήκευσης των δεδομένων ορίζονται στο άρθρο 5 παράγραφος 1 στοιχεία γ) έως ε) του κανονισμού (ΕΕ) 2016/679 και διατηρούνται χωρίς τροποποιήσεις στο άρθρο 5 παράγραφος 1 στοιχεία (c) έως (e) του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(47)

Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει επίσης να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ασφάλειά τους, συμπεριλαμβανομένης της προστασίας τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά. Για τον σκοπό αυτό, οι επιχειρηματικοί φορείς θα πρέπει να λαμβάνουν τα κατάλληλα τεχνικά ή οργανωτικά μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα από πιθανές απειλές. Τα μέτρα αυτά θα πρέπει να αξιολογούνται με βάση την πιο προηγμένη τεχνολογία και το σχετικό κόστος.

(48)

Η ασφάλεια των δεδομένων κατοχυρώνεται στο δίκαιο του Ηνωμένου Βασιλείου μέσω της αρχής της ακεραιότητας και της εμπιστευτικότητας στο άρθρο 5 παράγραφος 1 στοιχείο (f) του ΓΚΠΔ του Ηνωμένου Βασιλείου και στο άρθρο 32 του ΓΚΠΔ του Ηνωμένου Βασιλείου σχετικά με την ασφάλεια της επεξεργασίας. Οι εν λόγω διατάξεις είναι πανομοιότυπες με τις αντίστοιχες διατάξεις του κανονισμού (ΕΕ) 2016/679. Επιπλέον, υπό τους ίδιους όρους με εκείνους που ορίζονται στα άρθρα 33 και 34 του κανονισμού (ΕΕ) 2016/679, ο ΓΚΠΔ του Ηνωμένου Βασιλείου απαιτεί τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή (άρθρο 33 του ΓΚΠΔ του Ηνωμένου Βασιλείου) και την ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων (άρθρο 34 του ΓΚΠΔ του Ηνωμένου Βασιλείου).

2.5.4   Διαφάνεια

(49)

Τα υποκείμενα των δεδομένων θα πρέπει να ενημερώνονται για τα βασικά χαρακτηριστικά της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα τους.

(50)

Αυτό διασφαλίζεται από τα άρθρα 13 και 14 του ΓΚΠΔ του Ηνωμένου Βασιλείου, τα οποία, πέραν της γενικής αρχής της διαφάνειας, προβλέπουν κανόνες σχετικά με τις πληροφορίες που πρέπει να παρέχονται στο υποκείμενο των δεδομένων (42). Ο ΓΚΠΔ του Ηνωμένου Βασιλείου δεν εισάγει ουσιώδεις τροποποιήσεις στους εν λόγω κανόνες σε σύγκριση με τα αντίστοιχα άρθρα του κανονισμού (ΕΕ) 2016/679. Ωστόσο, όπως και βάσει του κανονισμού (ΕΕ) 2016/679, οι απαιτήσεις διαφάνειας που προβλέπονται στα εν λόγω άρθρα υπόκεινται σε διάφορες εξαιρέσεις που ορίζονται στον DPA 2018 (βλ. αιτιολογικές σκέψεις 55 έως 72).

2.5.5   Ατομικά δικαιώματα

(51)

Τα υποκείμενα των δεδομένων θα πρέπει να έχουν ορισμένα δικαιώματα τα οποία μπορούν να ασκηθούν έναντι του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ιδίως το δικαίωμα πρόσβασης στα δεδομένα, το δικαίωμα να αντιταχθούν στην επεξεργασία και το δικαίωμα διόρθωσης και διαγραφής των δεδομένων. Ταυτόχρονα, τα δικαιώματα αυτά είναι δυνατόν να υπόκεινται σε περιορισμούς, εφόσον οι περιορισμοί αυτοί είναι αναγκαίοι και αναλογικοί για τη διαφύλαξη της δημόσιας ασφάλειας ή άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος.

2.5.5.1   Ουσιαστικά δικαιώματα

(52)

Ο ΓΚΠΔ του Ηνωμένου Βασιλείου παρέχει στα φυσικά πρόσωπα τα ίδια εκτελεστά δικαιώματα που παρέχει και ο κανονισμός (ΕΕ) 2016/679. Οι διατάξεις που προβλέπουν τα δικαιώματα των φυσικών προσώπων διατηρήθηκαν στον ΓΚΠΔ του Ηνωμένου Βασιλείου χωρίς ουσιώδεις αλλαγές.

(53)

Τα δικαιώματα περιλαμβάνουν το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων (άρθρο 15 του ΓΚΠΔ του Ηνωμένου Βασιλείου), το δικαίωμα διόρθωσης (άρθρο 16 του ΓΚΠΔ του Ηνωμένου Βασιλείου), το δικαίωμα διαγραφής (άρθρο 17 του ΓΚΠΔ του Ηνωμένου Βασιλείου), το δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18 του ΓΚΠΔ του Ηνωμένου Βασιλείου), μια υποχρέωση κοινοποίησης σχετικά με τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας (άρθρο 19 του ΓΚΠΔ του Ηνωμένου Βασιλείου), το δικαίωμα στη φορητότητα των δεδομένων (άρθρο 20 του ΓΚΠΔ του Ηνωμένου Βασιλείου) και το δικαίωμα εναντίωσης (άρθρο 21 του ΓΚΠΔ του Ηνωμένου Βασιλείου) (43). Το τελευταίο περιλαμβάνει επίσης το δικαίωμα του υποκειμένου των δεδομένων να αντιταχθεί στην επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς απευθείας εμπορικής προώθησης που προβλέπεται στο άρθρο 21 παράγραφοι 2 και 3 του κανονισμού (ΕΕ) 2016/679. Επιπλέον, σύμφωνα με το άρθρο 122 του DPA 2018, ο Επίτροπος Πληροφοριών πρέπει να καταρτίσει κώδικα ορθής πρακτικής σχετικά με τη διεξαγωγή απευθείας εμπορικής προώθησης σύμφωνα με τις απαιτήσεις της νομοθεσίας για την προστασία των δεδομένων [και των κανονισμών του 2003 για την προστασία της ιδιωτικότητας στις ηλεκτρονικές επικοινωνίες (οδηγία ΕΚ)] [Privacy and Electronic Communications (EC Directive) Regulations 2003] και κάθε άλλη καθοδήγηση που ο Επίτροπος θεωρεί κατάλληλη για την προώθηση ορθών πρακτικών στην απευθείας εμπορική προώθηση. Το Γραφείο του Επιτρόπου Πληροφοριών βρίσκεται σε διαδικασία κατάρτισης του κώδικα για την απευθείας εμπορική προώθηση (44).

(54)

Το δικαίωμα του υποκειμένου των δεδομένων να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο, όπως προβλέπεται στο άρθρο 22 του ΓΚΠΔ, διατηρήθηκε επίσης στον ΓΚΠΔ του Ηνωμένου Βασιλείου χωρίς ουσιαστικές αλλαγές. Ωστόσο, προστέθηκε νέα παράγραφος 3Α, στην οποία αναφέρεται ότι το άρθρο 14 του DPA 2018 ορίζει εγγυήσεις για τα δικαιώματα, τις ελευθερίες και τα έννομα συμφέροντα των υποκειμένων των δεδομένων όταν η επεξεργασία διενεργείται σύμφωνα με το άρθρο 22 παράγραφος 2 στοιχείο (b) του ΓΚΠΔ του Ηνωμένου Βασιλείου. Αυτό ισχύει μόνο όταν η σχετική απόφαση λαμβάνεται βάσει άδειας ή απαίτησης δυνάμει του δικαίου του Ηνωμένου Βασιλείου, ενώ δεν ισχύει όταν η απόφαση είναι αναγκαία βάσει σύμβασης ή λαμβάνεται με τη ρητή συγκατάθεση του υποκειμένου των δεδομένων. Όταν εφαρμόζεται το άρθρο 14 του DPA 2018, ο υπεύθυνος επεξεργασίας πρέπει, μόλις αυτό είναι ευλόγως εφικτό, να γνωστοποιήσει εγγράφως στο υποκείμενο των δεδομένων ότι η απόφαση έχει ληφθεί αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας —εντός ενός μήνα από την παραλαβή της γνωστοποίησης— να επανεξετάσει την απόφαση ή να λάβει νέα απόφαση που δεν θα βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία. Ο υπουργός έχει την εξουσία να θεσπίζει περαιτέρω εγγυήσεις όσον αφορά την αυτοματοποιημένη λήψη αποφάσεων. Η εξουσία αυτή δεν έχει ασκηθεί ακόμη.

2.5.5.2   Περιορισμοί στα ατομικά δικαιώματα και λοιπές διατάξεις

(55)

Ο DPA 2018 θέτει διάφορους περιορισμούς στα ατομικά δικαιώματα, στο πλαίσιο του άρθρου 23 του ΓΚΠΔ του Ηνωμένου Βασιλείου. Στο πλαίσιο αυτό δεν εισάγονται περιορισμοί όσον αφορά το δικαίωμα εναντίωσης στην απευθείας εμπορική προώθηση, όπως προβλέπεται στο άρθρο 21 παράγραφοι 2 και 3 του ΓΚΠΔ του Ηνωμένου Βασιλείου, ούτε όσον αφορά το δικαίωμα μη υπαγωγής σε αυτοματοποιημένη λήψη αποφάσεων, όπως προβλέπεται στο άρθρο 22 του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(56)

Οι περιορισμοί παρατίθενται λεπτομερώς στα παραρτήματα 2-4 του DPA 2018. Οι αρχές του Ηνωμένου Βασιλείου έχουν εξηγήσει ότι καθοδηγούνται από δύο αρχές: την αρχή της ειδικότητας (με βάση μια αναλυτική προσέγγιση για τον διαχωρισμό των ευρέων περιορισμών σε πολλαπλές, ειδικότερες διατάξεις) και την αρχή της αιρεσιμότητας (κάθε διάταξη συμπληρώνεται με εγγυήσεις υπό τη μορφή περιορισμών ή όρων για την πρόληψη των καταχρήσεων) (45).

(57)

Οι περιορισμοί που περιγράφονται στο άρθρο 23 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου έχουν ως στόχο να διασφαλίσουν ότι εφαρμόζονται μόνο σε συγκεκριμένες περιστάσεις, όταν είναι αναγκαίο σε μια δημοκρατική κοινωνία και ανάλογα προς τον θεμιτό σκοπό που επιδιώκουν. Επιπλέον, σύμφωνα με την πάγια νομολογία σχετικά με την ερμηνεία των περιορισμών, η εξαίρεση από το καθεστώς προστασίας των δεδομένων είναι δυνατή σε οποιαδήποτε συγκεκριμένη περίπτωση μόνο εφόσον αυτό είναι αναγκαίο και αναλογικό (46). Το κριτήριο της αναγκαιότητας πρέπει να είναι «αυστηρό και να απαιτεί οποιαδήποτε επέμβαση στα δικαιώματα του υποκειμένου των δεδομένων να είναι ανάλογη προς τη σοβαρότητα της απειλής για το δημόσιο συμφέρον. Ως εκ τούτου, η διαδικασία περιλαμβάνει κλασική ανάλυση της αναλογικότητας (47)».

(58)

Οι στόχοι που επιδιώκονται με τους περιορισμούς αυτούς αντιστοιχούν στους στόχους που αναφέρονται στο άρθρο 23 του κανονισμού (ΕΕ) 2016/679, εκτός από τους περιορισμούς για την εθνική ασφάλεια και άμυνα, που ρυθμίζονται από το άρθρο 26 του DPA 2018, αλλά υπόκεινται στις ίδιες απαιτήσεις αναγκαιότητας και αναλογικότητας (βλ. αιτιολογικές σκέψεις 63 έως 66).

(59)

Ορισμένοι από τους περιορισμούς, για παράδειγμα εκείνοι που σχετίζονται με την πρόληψη ή την ανίχνευση εγκλημάτων, με τη σύλληψη ή τη δίωξη παραβατών, καθώς και με τον προσδιορισμό ή την είσπραξη φόρων ή δασμών (48), επιτρέπουν περιορισμούς σε όλα τα ατομικά δικαιώματα και τις υποχρεώσεις διαφάνειας (με εξαίρεση τα δικαιώματα που κατοχυρώνονται στο άρθρο 21 παράγραφος 2 και στο άρθρο 22). Το πεδίο εφαρμογής άλλων περιορισμών περιορίζεται στις υποχρεώσεις διαφάνειας και στα δικαιώματα πρόσβασης, όπως οι περιορισμοί που σχετίζονται με το δικηγορικό απόρρητο (49), το δικαίωμα απαλλαγής από απαίτηση παροχής πληροφοριών που θα οδηγούσε σε αυτοενοχοποίηση (50) και τη χρηματοδότηση εταιρειών, κυρίως την πρόληψη της χρησιμοποίησης εμπιστευτικών πληροφοριών (51). Λίγοι από τους περιορισμούς επιτρέπουν τον περιορισμό της υποχρέωσης του υπευθύνου επεξεργασίας να γνωστοποιήσει παραβίαση δεδομένων στο υποκείμενο των δεδομένων και των αρχών του περιορισμού του σκοπού, καθώς και της νομιμότητας, της αντικειμενικότητας και της διαφάνειας της επεξεργασίας (52).

(60)

Κάποιοι από τους περιορισμούς εφαρμόζονται αυτόματα «πλήρως» σε ορισμένο είδος επεξεργασίας δεδομένων προσωπικού χαρακτήρα (για παράδειγμα, η εφαρμογή των υποχρεώσεων διαφάνειας και των ατομικών δικαιωμάτων αποκλείεται όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με σκοπό την αξιολόγηση της καταλληλότητας ενός προσώπου για δικαστικό αξίωμα ή τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από δικαστήριο, δικαιοδοτικό όργανο ή άτομο που ενεργεί υπό δικαστική ιδιότητα).

(61)

Ωστόσο, στις περισσότερες περιπτώσεις, η σχετική παράγραφος του παραρτήματος 2 του DPA 2018 ορίζει ότι ο περιορισμός εφαρμόζεται μόνο όταν (και στον βαθμό που) η εφαρμογή των διατάξεων «είναι πιθανόν να υπονομεύσει» τον νόμιμο σκοπό που επιδιώκει ο εν λόγω περιορισμός: για παράδειγμα, οι διατάξεις που παρατίθενται στον ΓΚΠΔ του Ηνωμένου Βασιλείου δεν εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για την πρόληψη ή την ανίχνευση εγκλημάτων, τη σύλληψη ή τη δίωξη παραβατών ή για τον προσδιορισμό ή την είσπραξη φόρου ή τέλους «στον βαθμό που η εφαρμογή των εν λόγω διατάξεων είναι πιθανόν να υπονομεύσει» οποιοδήποτε από τα ζητήματα αυτά (53).

(62)

Το κριτήριο του «είναι πιθανόν να υπονομεύσει» έχει ερμηνευθεί επανειλημμένα από τα δικαστήρια του Ηνωμένου Βασιλείου ως «πολύ σημαντική και σοβαρή πιθανότητα να υπονομεύσει το αναγνωρισμένο δημόσιο συμφέρον» (54). Ως εκ τούτου, επίκληση περιορισμού που υπόκειται στο κριτήριο της υπονόμευσης μπορεί να πραγματοποιηθεί μόνο εάν και στον βαθμό που υπάρχει πολύ σημαντική και βαρύνουσα πιθανότητα η χορήγηση συγκεκριμένου δικαιώματος να βλάψει το διακυβευόμενο δημόσιο συμφέρον. Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για την κατά περίπτωση αξιολόγηση του αν πληρούνται οι όροι αυτοί (55).

(63)

Εκτός από τους περιορισμούς που περιλαμβάνονται στο παράρτημα 2 του DPA 2018, το άρθρο 26 του DPA 2018 προβλέπει μια εξαίρεση η οποία μπορεί να εφαρμοστεί σε ορισμένες διατάξεις του ΓΚΠΔ του Ηνωμένου Βασιλείου και του DPA 2018, εάν η εν λόγω εξαίρεση απαιτείται για τη διαφύλαξη της εθνικής ασφάλειας ή για σκοπούς άμυνας. Η εξαίρεση αυτή εφαρμόζεται στις αρχές προστασίας των δεδομένων (εκτός από την αρχή της νομιμότητας), τις υποχρεώσεις διαφάνειας, τα δικαιώματα του υποκειμένου των δεδομένων, την υποχρέωση γνωστοποίησης παραβίασης δεδομένων, τους κανόνες για τις διεθνείς διαβιβάσεις, ορισμένα από τα καθήκοντα και τις εξουσίες του Επιτρόπου Πληροφοριών, καθώς και τους κανόνες για τα ένδικα βοηθήματα, τις ευθύνες και τις κυρώσεις, με εξαίρεση τη διάταξη σχετικά με τις γενικές προϋποθέσεις επιβολής διοικητικών προστίμων που ορίζονται στο άρθρο 83 του ΓΚΠΔ του Ηνωμένου Βασιλείου και τη διάταξη σχετικά με τις κυρώσεις στο άρθρο 84 του ΓΚΠΔ του Ηνωμένου Βασιλείου. Επιπλέον, το άρθρο 28 του DPA 2018 τροποποιεί την εφαρμογή του άρθρου 9 παράγραφος 1 προκειμένου να καταστεί δυνατή η επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου, στον βαθμό που η επεξεργασία διενεργείται για σκοπούς διασφάλισης της εθνικής ασφάλειας ή άμυνας και με κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων (56).

(64)

Η εξαίρεση μπορεί να εφαρμοστεί μόνο στον βαθμό που απαιτείται για τη διαφύλαξη της εθνικής ασφάλειας ή άμυνας. Όπως ισχύει και για τις άλλες εξαιρέσεις που προβλέπονται από τον DPA 2018, ο υπεύθυνος επεξεργασίας πρέπει να την εξετάζει και να την επικαλείται κατά περίπτωση. Επιπλέον, κάθε εφαρμογή της εξαίρεσης πρέπει να συνάδει με τα πρότυπα για τα ανθρώπινα δικαιώματα (που βασίζονται στον νόμο του 1998 για τα ανθρώπινα δικαιώματα), σύμφωνα με τα οποία κάθε επέμβαση στα δικαιώματα προστασίας της ιδιωτικότητας θα πρέπει να είναι αναγκαία και αναλογική σε μια δημοκρατική κοινωνία (57).

(65)

Αυτή η ερμηνεία της εξαίρεσης επιβεβαιώνεται από το ICO, το οποίο έχει εκδώσει λεπτομερείς κατευθυντήριες γραμμές σχετικά με την εφαρμογή της εξαίρεσης της εθνικής ασφάλειας και άμυνας, καθιστώντας σαφές ότι πρέπει να εξετάζεται και να εφαρμόζεται από τον υπεύθυνο επεξεργασίας κατά περίπτωση (58). Ειδικότερα, οι κατευθυντήριες γραμμές τονίζουν ότι «[δ]εν πρόκειται για γενική εξαίρεση» και ότι, για την επίκλησή της, «δεν αρκεί η επεξεργασία των δεδομένων να πραγματοποιείται για σκοπούς εθνικής ασφάλειας». Αντιθέτως, ο υπεύθυνος επεξεργασίας που βασίζεται στην εν λόγω εξαίρεση πρέπει να «αποδείξει ότι υπάρχει πραγματική πιθανότητα δυσμενών συνεπειών για την εθνική ασφάλεια» και, όταν είναι αναγκαίο, ο υπεύθυνος επεξεργασίας πρέπει να «υποβάλει [στο ICO] αποδεικτικά στοιχεία σχετικά με τους λόγους για τους οποίους χρησιμοποίησε την εν λόγω εξαίρεση». Οι κατευθυντήριες γραμμές περιλαμβάνουν κατάλογο ελέγχου και σειρά παραδειγμάτων για την περαιτέρω αποσαφήνιση των όρων υπό τους οποίους μπορεί να γίνει επίκληση της εν λόγω εξαίρεσης.

(66)

Επομένως, το γεγονός ότι τα δεδομένα υποβάλλονται σε επεξεργασία για σκοπούς εθνικής ασφάλειας ή άμυνας δεν αρκεί από μόνο του για την εφαρμογή της εξαίρεσης. Ο υπεύθυνος επεξεργασίας πρέπει να εξετάζει τις πραγματικές συνέπειες για την εθνική ασφάλεια εάν έπρεπε να συμμορφωθεί με τη συγκεκριμένη διάταξη περί προστασίας των δεδομένων. Η εξαίρεση μπορεί να εφαρμόζεται μόνο στις ειδικές διατάξεις που έχουν προσδιοριστεί ως ενέχουσες κίνδυνο και πρέπει να εφαρμόζεται όσο το δυνατόν πιο περιοριστικά (59).

(67)

Η προσέγγιση αυτή επιβεβαιώθηκε από το Ειδικό Δικαιοδοτικό Όργανο Υποθέσεων Πληροφοριών (Information Tribunal) (60). Στην υπόθεση Baker κατά Secretary of State for the Home Department (στο εξής: Baker κατά Secretary of State), έκρινε ότι ήταν παράνομη η εφαρμογή της εξαίρεσης για λόγους εθνικής ασφάλειας ως γενικής εξαίρεσης στα αιτήματα πρόσβασης που λαμβάνουν οι υπηρεσίες πληροφοριών. Αντιθέτως, η εξαίρεση έπρεπε να εφαρμόζεται κατά περίπτωση, με την εξέταση κάθε αιτήματος χωριστά και λαμβανομένου υπόψη του δικαιώματος των ατόμων στον σεβασμό της ιδιωτικότητάς τους (61).

2.5.6   Περιορισμοί για τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για δημοσιογραφικούς, καλλιτεχνικούς, ακαδημαϊκούς και λογοτεχνικούς σκοπούς, καθώς και για την αρχειοθέτηση και την έρευνα

(68)

Το άρθρο 85 παράγραφος 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου προβλέπει τη δυνατότητα θέσπισης διάταξης για την εξαίρεση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για δημοσιογραφικούς, καλλιτεχνικούς, ακαδημαϊκούς και λογοτεχνικούς σκοπούς από διάφορες διατάξεις του ΓΚΠΔ του Ηνωμένου Βασιλείου. Το μέρος 5 του παραρτήματος 2 του DPA 2018 καθορίζει τις εξαιρέσεις όσον αφορά την επεξεργασία για τους σκοπούς αυτούς. Προβλέπει εξαιρέσεις από τις αρχές προστασίας των δεδομένων (εκτός από την αρχή της ακεραιότητας και της εμπιστευτικότητας), τους νόμιμους λόγους επεξεργασίας (συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων και των δεδομένων που αφορούν ποινικές καταδίκες κ.λπ.), τους όρους της συγκατάθεσης, τις υποχρεώσεις διαφάνειας, τα δικαιώματα των υποκειμένων των δεδομένων, την υποχρέωση γνωστοποίησης των παραβιάσεων δεδομένων και την απαίτηση διαβούλευσης με τον Επίτροπο Πληροφοριών πριν από επεξεργασία υψηλού κινδύνου και τους κανόνες για τις διεθνείς διαβιβάσεις (62). Στο πλαίσιο αυτό, ο ΓΚΠΔ του Ηνωμένου Βασιλείου δεν παρεκκλίνει ουσιαστικά από τον κανονισμό (ΕΕ) 2016/679, ο οποίος στο άρθρο 85 επίσης προβλέπει τη δυνατότητα εξαίρεσης της επεξεργασίας που διενεργείται για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης από ορισμένες απαιτήσεις του κανονισμού (ΕΕ) 2016/679. Οι διατάξεις του DPA 2018, και ιδιαίτερα το παράρτημα 2 μέρος 5, είναι συμβατές με τον ΓΚΠΔ του Ηνωμένου Βασιλείου.

(69)

Η βασική στάθμιση που πρέπει να διενεργείται βάσει του άρθρου 85 του ΓΚΠΔ του Ηνωμένου Βασιλείου αφορά το κατά πόσον μια εξαίρεση από τους κανόνες προστασίας των δεδομένων που αναφέρονται στην αιτιολογική σκέψη 68 είναι «αναγκαία για τον συμβιβασμό του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα με την ελευθερία έκφρασης και πληροφόρησης» (63). Σύμφωνα με το παράρτημα 2 παράγραφος 26 σημεία (2) και (3) του DPA 2018, το Ηνωμένο Βασίλειο εφαρμόζει ένα κριτήριο «εύλογης πεποίθησης» προκειμένου να επιτευχθεί αυτή η ισορροπία. Για να δικαιολογείται μια εξαίρεση, ο υπεύθυνος επεξεργασίας πρέπει να έχει ευλόγως την πεποίθηση i) ότι η δημοσιοποίηση είναι προς το δημόσιο συμφέρον· και ii) ότι η εφαρμογή της σχετικής διάταξης του ΓΚΠΔ θα ήταν ασύμβατη με δημοσιογραφικούς, ακαδημαϊκούς, καλλιτεχνικούς ή λογοτεχνικούς σκοπούς. Όπως επιβεβαιώνεται από τη νομολογία (64), το κριτήριο της «εύλογης πεποίθησης» έχει τόσο υποκειμενική όσο και αντικειμενική συνιστώσα: δεν αρκεί ο υπεύθυνος επεξεργασίας να αποδείξει ότι ο ίδιος είχε την πεποίθηση ότι η συμμόρφωση ήταν ασύμβατη. Η πεποίθησή του πρέπει να είναι εύλογη, δηλαδή να μπορούσε να υιοθετηθεί από ένα λογικό πρόσωπο που γνωρίζει τα σχετικά γεγονότα. Επομένως, ο υπεύθυνος επεξεργασίας πρέπει να επιδεικνύει τη δέουσα επιμέλεια κατά τη διαμόρφωση της πεποίθησής του, προκειμένου να είναι σε θέση να αποδείξει τον εύλογο χαρακτήρα της. Σύμφωνα με τις εξηγήσεις που παρείχαν οι αρχές του Ηνωμένου Βασιλείου, το κριτήριο της «εύλογης πεποίθησης» πρέπει να εφαρμόζεται σε κάθε επιμέρους περίπτωση εξαίρεσης (65). Εάν πληρούνται οι όροι, η εξαίρεση θεωρείται αναγκαία και αναλογική βάσει της νομοθεσίας του Ηνωμένου Βασιλείου.

(70)

Σύμφωνα με το άρθρο 124 του DPA 2018, το ICO πρέπει να καταρτίσει κώδικα ορθής πρακτικής για την προστασία των δεδομένων και τη δημοσιογραφία. Η επεξεργασία του εν λόγω κώδικα βρίσκεται σε εξέλιξη. Έχουν εκδοθεί οδηγίες σχετικά με το θέμα βάσει του νόμου του 1998 για την προστασία των δεδομένων, στις οποίες τονίζεται ειδικότερα ότι, για να γίνει επίκληση αυτής της εξαίρεσης, δεν αρκεί να αναφέρεται απλώς ότι η συμμόρφωση θα δυσχέραινε δημοσιογραφικές δραστηριότητες, αλλά πρέπει να υπάρχει σαφής επιχειρηματολογία για το ότι η οικεία διάταξη αποτελεί εμπόδιο για την υπεύθυνη δημοσιογραφία (66). Οδηγίες σχετικά με την εφαρμογή του κριτηρίου του δημόσιου συμφέροντος και τη στάθμιση του δημόσιου συμφέροντος έναντι του συμφέροντος του ατόμου στην προστασία της ιδιωτικότητας έχουν επίσης δημοσιευθεί από την OFCOM, ρυθμιστική αρχή του τομέα των τηλεπικοινωνιών του Ηνωμένου Βασιλείου, και από το BBC στις κατευθυντήριες γραμμές του προς τους συντάκτες (67). Οι κατευθυντήριες γραμμές παρέχουν κυρίως παραδείγματα πληροφοριών η δημοσίευση των οποίων μπορεί να θεωρηθεί ότι είναι προς το δημόσιο συμφέρον και εξηγούν την ανάγκη της δυνατότητας απόδειξης ότι το δημόσιο συμφέρον υπερτερεί των δικαιωμάτων προστασίας της ιδιωτικότητας στις συγκεκριμένες περιστάσεις της υπόθεσης.

(71)

Όπως προβλέπεται και στο άρθρο 89 του ΓΚΠΔ, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς μπορούν επίσης να εξαιρεθούν από ορισμένες απαριθμούμενες διατάξεις του ΓΚΠΔ του Ηνωμένου Βασιλείου (68). Όσον αφορά την έρευνα και τις στατιστικές, υπάρχει δυνατότητα εξαίρεσης από τις διατάξεις του ΓΚΠΔ του Ηνωμένου Βασιλείου σχετικά με την επιβεβαίωση της επεξεργασίας και την πρόσβαση στα δεδομένα και τις εγγυήσεις για διαβιβάσεις σε τρίτες χώρες· το δικαίωμα διόρθωσης· τον περιορισμό της επεξεργασίας και την εναντίωση στην επεξεργασία. Όσον αφορά την αρχειοθέτηση για λόγους δημόσιου συμφέροντος, είναι επίσης δυνατή η εξαίρεση από την υποχρέωση κοινοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας και από το δικαίωμα στη φορητότητα των δεδομένων.

(72)

Σύμφωνα με την παράγραφο 27 σημείο (1) και την παράγραφο 28 σημείο (1) του παραρτήματος 2 του DPA 2018, οι εξαιρέσεις από τις απαριθμούμενες διατάξεις του ΓΚΠΔ του Ηνωμένου Βασιλείου είναι δυνατές όταν η εφαρμογή των διατάξεων «θα εμπόδιζε ή παρακώλυε σοβαρά την επίτευξη» των οικείων σκοπών (69).

(73)

Δεδομένης της σημασίας τους για την αποτελεσματική άσκηση των ατομικών δικαιωμάτων, κάθε σχετική εξέλιξη όσον αφορά την ερμηνεία και την εφαρμογή στην πράξη των προαναφερόμενων εξαιρέσεων (επιπλέον εκείνης που αφορά τη διατήρηση του αποτελεσματικού ελέγχου της μετανάστευσης, η οποία εξηγείται στην αιτιολογική σκέψη 6), συμπεριλαμβανομένης κάθε τυχόν περαιτέρω εξέλιξης της νομολογίας και των οδηγιών και των μέτρων επιβολής του ICO, θα λαμβάνεται δεόντως υπόψη στο πλαίσιο της συνεχούς παρακολούθησης της παρούσας απόφασης (70).

2.5.7   Περιορισμοί στις περαιτέρω διαβιβάσεις

(74)

Το επίπεδο προστασίας που παρέχεται στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση σε υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στο Ηνωμένο Βασίλειο δεν πρέπει να υποβαθμίζεται από την περαιτέρω διαβίβαση των εν λόγω δεδομένων σε αποδέκτες σε τρίτη χώρα. Αυτές οι «περαιτέρω διαβιβάσεις», οι οποίες από τη σκοπιά του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο Ηνωμένο Βασίλειο συνιστούν διεθνείς διαβιβάσεις από το Ηνωμένο Βασίλειο, θα πρέπει να επιτρέπονται μόνο όταν ο περαιτέρω αποδέκτης εκτός του Ηνωμένου Βασιλείου υπόκειται επίσης σε κανόνες που διασφαλίζουν ανάλογο επίπεδο προστασίας με εκείνο που εγγυάται η έννομη τάξη του Ηνωμένου Βασιλείου. Για τον λόγο αυτό, η εφαρμογή των κανόνων του ΓΚΠΔ του Ηνωμένου Βασιλείου και του DPA 2018 στις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα αποτελεί σημαντικό παράγοντα για τη διασφάλιση της συνέχειας της προστασίας στην περίπτωση δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο βάσει της παρούσας απόφασης.

(75)

Το καθεστώς για τις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από το Ηνωμένο Βασίλειο ορίζεται στα άρθρα 44-49 του ΓΚΠΔ του Ηνωμένου Βασιλείου, τα οποία συμπληρώνονται από τον DPA 2018, και είναι κατ’ ουσίαν ταυτόσημο με τους κανόνες που προβλέπονται στο κεφάλαιο V του κανονισμού (ΕΕ) 2016/679 (71). Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μπορούν να πραγματοποιούνται μόνο βάσει κανονισμού περί επάρκειας [το ισοδύναμο στο Ηνωμένο Βασίλειο της απόφασης επάρκειας του κανονισμού (ΕΕ) 2016/679] ή, ελλείψει κανονισμού περί επάρκειας, αν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 του ΓΚΠΔ του Ηνωμένου Βασιλείου. Ελλείψει κανονισμού περί επάρκειας ή κατάλληλων εγγυήσεων, διαβίβαση μπορεί να πραγματοποιηθεί μόνο βάσει των παρεκκλίσεων που προβλέπονται στο άρθρο 49 του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(76)

Οι κανονισμοί περί επάρκειας που εκδίδει ο υπουργός μπορούν να ορίζουν ότι τρίτη χώρα (ή έδαφος ή τομέας εντός τρίτης χώρας), διεθνής οργανισμός ή περιγραφή (72) τέτοιας χώρας, εδάφους, τομέα ή οργανισμού διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Κατά την αξιολόγηση της επάρκειας του επιπέδου προστασίας, ο υπουργός πρέπει να λαμβάνει υπόψη ακριβώς τα ίδια στοιχεία που οφείλει να αξιολογεί και η Επιτροπή βάσει του άρθρου 45 παράγραφος 2 στοιχεία α) έως γ) του κανονισμού (ΕΕ) 2016/679, ερμηνευόμενου σε συνδυασμό με την αιτιολογική σκέψη 104 του κανονισμού (ΕΕ) 2016/679 και τη διατηρούμενη νομολογία της ΕΕ. Αυτό σημαίνει ότι, κατά την αξιολόγηση της επάρκειας του επιπέδου προστασίας τρίτης χώρας, το σχετικό κριτήριο θα είναι κατά πόσο η εν λόγω τρίτη χώρα εξασφαλίζει επίπεδο προστασίας «ουσιωδώς ισοδύναμο» με εκείνο που εξασφαλίζεται στο Ηνωμένο Βασίλειο.

(77)

Όσον αφορά τη διαδικασία, οι κανονισμοί περί επάρκειας υπόκεινται στις «γενικές» διαδικαστικές απαιτήσεις που προβλέπονται στο άρθρο 182 του DPA 2018. Στο πλαίσιο της διαδικασίας αυτής, ο υπουργός πρέπει να συμβουλεύεται τον Επίτροπο Πληροφοριών όταν προτείνει τη θέσπιση κανονισμών περί επάρκειας στο Ηνωμένο Βασίλειο (73). Μόλις εγκριθούν από τον υπουργό, οι εν λόγω κανονισμοί υποβάλλονται στο Κοινοβούλιο και υπόκεινται στη διαδικασία «αρνητικής απόφασης», σύμφωνα με την οποία αμφότερα τα σώματα του Κοινοβουλίου μπορούν να εξετάσουν ενδελεχώς τους κανονισμούς και έχουν τη δυνατότητα να εγκρίνουν πρόταση ακύρωσής τους εντός προθεσμίας 40 ημερών (74).

(78)

Σύμφωνα με το άρθρο 17B παράγραφος 1 του DPA 2018, οι κανονισμοί περί επάρκειας πρέπει να επανεξετάζονται ανά τακτά χρονικά διαστήματα που να μην υπερβαίνουν τα τέσσερα έτη και ο υπουργός πρέπει, σε συνεχή βάση, να παρακολουθεί τις εξελίξεις στις τρίτες χώρες και τους διεθνείς οργανισμούς οι οποίες θα μπορούσαν να επηρεάσουν τις αποφάσεις για τη θέσπιση κανονισμών περί επάρκειας ή για την τροποποίηση ή την ανάκληση τέτοιων κανονισμών. Όταν ο υπουργός διαπιστώνει ότι μια χώρα ή ένας οργανισμός δεν εξασφαλίζει πλέον επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, πρέπει, στον βαθμό που είναι αναγκαίο, να τροποποιεί ή να ανακαλεί τους κανονισμούς και να αρχίζει διαβουλεύσεις με την οικεία τρίτη χώρα ή τον οικείο διεθνή οργανισμό για τη διόρθωση της έλλειψης επαρκούς επιπέδου προστασίας. Οι εν λόγω διαδικαστικές πτυχές επίσης αντικατοπτρίζουν τις αντίστοιχες απαιτήσεις του κανονισμού (ΕΕ) 2016/679.

(79)

Αν δεν υπάρχει κανονισμός περί επάρκειας, διεθνείς διαβιβάσεις μπορούν να πραγματοποιηθούν αν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 του ΓΚΠΔ του Ηνωμένου Βασιλείου. Οι εγγυήσεις αυτές είναι παρόμοιες με εκείνες που προβλέπονται στο άρθρο 46 του κανονισμού (ΕΕ) 2016/679. Περιλαμβάνουν τα νομικά δεσμευτικά και εκτελεστά μέσα μεταξύ δημόσιων αρχών ή φορέων, τους δεσμευτικούς εταιρικούς κανόνες (75), τις τυποποιημένες ρήτρες προστασίας δεδομένων, τους εγκεκριμένους κώδικες δεοντολογίας, τους εγκεκριμένους μηχανισμούς πιστοποίησης και, με άδεια από τον Επίτροπο Πληροφοριών, τις συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας (ή εκτελούντων την επεξεργασία) ή τις διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών. Ωστόσο, οι κανόνες έχουν τροποποιηθεί, από διαδικαστική άποψη, για να λειτουργήσουν στο πλαίσιο του Ηνωμένου Βασιλείου, ειδικότερα οι τυποποιημένες ρήτρες προστασίας δεδομένων μπορούν να εγκριθούν από τον υπουργό (άρθρο 17C) ή τον Επίτροπο Πληροφοριών (άρθρο 119A) σύμφωνα με τον DPA 2018.

(80)

Ελλείψει απόφασης επάρκειας ή κατάλληλων εγγυήσεων, διαβίβαση μπορεί να πραγματοποιηθεί μόνο βάσει των παρεκκλίσεων που προβλέπονται στο άρθρο 49 του ΓΚΠΔ του Ηνωμένου Βασιλείου (76). Ο ΓΚΠΔ του Ηνωμένου Βασιλείου δεν εισάγει ουσιώδεις αλλαγές στις παρεκκλίσεις σε σύγκριση με τους αντίστοιχους κανόνες του κανονισμού (ΕΕ) 2016/679. Σύμφωνα με τον ΓΚΠΔ του Ηνωμένου Βασιλείου, όπως και βάσει του κανονισμού (ΕΕ) 2016/679, ορισμένες παρεκκλίσεις μπορούν να χρησιμοποιηθούν μόνο εάν η διαβίβαση είναι περιστασιακή (77). Επιπλέον, το ICO, στον οδηγό που έχει εκδώσει σχετικά με τις διεθνείς διαβιβάσεις, διευκρινίζει ότι: «Θα πρέπει να τις χρησιμοποιείτε μόνο ως πραγματικές “εξαιρέσεις” από τον γενικό κανόνα ότι δεν θα πρέπει να πραγματοποιείτε περιορισμένη διαβίβαση, εκτός εάν καλύπτεται από απόφαση επάρκειας ή εάν υπάρχουν κατάλληλες εγγυήσεις» (78). Όσον αφορά τις διαβιβάσεις που είναι αναγκαίες για σημαντικούς λόγους δημόσιου συμφέροντος [άρθρο 49 παράγραφος 1 στοιχείο (d)], ο υπουργός μπορεί να θεσπίζει κανονισμούς για τον καθορισμό των περιστάσεων υπό τις οποίες η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό δεν είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος. Επιπλέον, ο υπουργός μπορεί με κανονισμούς να περιορίζει τη διαβίβαση μιας κατηγορίας δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, όταν η διαβίβαση δεν μπορεί να πραγματοποιηθεί βάσει κανονισμών περί επάρκειας και ο υπουργός θεωρεί ότι ο περιορισμός είναι αναγκαίος για σημαντικούς λόγους δημόσιου συμφέροντος. Δεν έχουν εκδοθεί ακόμη τέτοιοι κανονισμοί.

(81)

Αυτό το πλαίσιο για τις διεθνείς διαβιβάσεις άρχισε να ισχύει κατά τη λήξη της μεταβατικής περιόδου (79). Ωστόσο, η παράγραφος 4 του παραρτήματος 21 του DPA 2018 (που θεσπίστηκε με τους κανονισμούς DPPEC) προβλέπει ότι, από τη λήξη της μεταβατικής περιόδου, ορισμένες διαβιβάσεις δεδομένων προσωπικού χαρακτήρα αντιμετωπίζονται ως αν βασίζονταν σε κανονισμούς περί επάρκειας. Οι διαβιβάσεις αυτές περιλαμβάνουν τις διαβιβάσεις προς κράτος του ΕΟΧ, το έδαφος του Γιβραλτάρ, θεσμικό ή άλλο όργανο ή οργανισμό της Ένωσης που έχει συσταθεί από τη Συνθήκη ΕΕ ή βάσει αυτής, καθώς και προς τρίτες χώρες που αποτελούσαν αντικείμενο απόφασης επάρκειας της ΕΕ κατά τη λήξη της μεταβατικής περιόδου. Κατά συνέπεια, οι διαβιβάσεις προς τις χώρες αυτές μπορούν να συνεχιστούν όπως και πριν από την αποχώρηση του Ηνωμένου Βασιλείου από την ΕΕ. Μετά τη λήξη της μεταβατικής περιόδου, ο υπουργός πρέπει να επανεξετάσει τα εν λόγω πορίσματα περί επάρκειας σε χρονικό διάστημα τεσσάρων ετών, δηλαδή έως το τέλος Δεκεμβρίου του 2024. Σύμφωνα με την εξήγηση που έδωσαν οι αρχές του Ηνωμένου Βασιλείου, μολονότι ο υπουργός πρέπει να προβεί στην εν λόγω επανεξέταση έως το τέλος Δεκεμβρίου του 2024, οι μεταβατικές διατάξεις δεν περιλαμβάνουν διάταξη «λήξης ισχύος» και οι σχετικές μεταβατικές διατάξεις δεν θα παύσουν αυτομάτως να παράγουν αποτελέσματα εάν η επανεξέταση δεν ολοκληρωθεί έως το τέλος Δεκεμβρίου του 2024.

(82)

Τέλος, όσον αφορά τη μελλοντική εξέλιξη του καθεστώτος του Ηνωμένου Βασιλείου για τις διεθνείς διαβιβάσεις —μέσω της έκδοσης νέων κανονισμών περί επάρκειας, της σύναψης διεθνών συμφωνιών ή της ανάπτυξης άλλων μηχανισμών μεταφοράς— η Επιτροπή θα παρακολουθεί από κοντά την κατάσταση, θα αξιολογεί κατά πόσον οι διάφοροι μηχανισμοί διαβίβασης χρησιμοποιούνται κατά τρόπο που διασφαλίζει τη συνέχεια της προστασίας και, αν απαιτείται, θα λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση των πιθανών δυσμενών επιπτώσεων για τη συνέχεια αυτή (βλ. αιτιολογικές σκέψεις 278 έως 287). Δεδομένου ότι η ΕΕ και το Ηνωμένο Βασίλειο έχουν παρόμοιους κανόνες για τις διεθνείς διαβιβάσεις, αναμένεται ότι οι προβληματικές αποκλίσεις θα μπορούν επίσης να αποφευχθούν μέσω της συνεργασίας, της ανταλλαγής πληροφοριών και της ανταλλαγής εμπειριών, μεταξύ άλλων μεταξύ του ICO και του ΕΣΠΔ.

2.5.8   Λογοδοσία

(83)

Βάσει της αρχής της λογοδοσίας, οι οντότητες που υποβάλλουν σε επεξεργασία δεδομένα πρέπει να εφαρμόζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να συμμορφώνονται ουσιαστικά με τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων και να είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους, ιδίως στην αρμόδια εποπτική αρχή.

(84)

Η αρχή της λογοδοσίας που προβλέπεται στον κανονισμό (ΕΕ) 2016/679 έχει διατηρηθεί στο άρθρο 5 παράγραφος 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου χωρίς ουσιαστική αλλαγή, όπως και το άρθρο 24 σχετικά με την ευθύνη του υπευθύνου επεξεργασίας, το άρθρο 25 σχετικά με την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού και το άρθρο 30 σχετικά με τα αρχεία των δραστηριοτήτων επεξεργασίας. Έχουν διατηρηθεί επίσης τα άρθρα 35 και 36 για την εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και την προηγούμενη διαβούλευση με την εποπτική αρχή. Τα άρθρα 37-39 του κανονισμού (ΕΕ) 2016/679 σχετικά με τον ορισμό και τα καθήκοντα των υπευθύνων προστασίας δεδομένων έχουν επίσης διατηρηθεί στον ΓΚΠΔ του Ηνωμένου Βασιλείου χωρίς ουσιαστικές αλλαγές. Επιπλέον, οι διατάξεις των άρθρων 40 και 42 του κανονισμού (ΕΕ) 2016/679 σχετικά με τους κώδικες δεοντολογίας και την πιστοποίηση έχουν διατηρηθεί στον ΓΚΠΔ του Ηνωμένου Βασιλείου (80).

2.6   Εποπτεία και επιβολή

2.6.1   Ανεξάρτητη εποπτεία

(85)

Για να είναι εγγυημένη η διασφάλιση επαρκούς επιπέδου προστασίας των δεδομένων στην πράξη, είναι αναγκαία η ύπαρξη ανεξάρτητης εποπτικής αρχής με εξουσίες παρακολούθησης και επιβολής της συμμόρφωσης με τους κανόνες προστασίας των δεδομένων. Η αρχή αυτή θα πρέπει να ενεργεί με πλήρη ανεξαρτησία και αμεροληψία κατά την εκτέλεση των καθηκόντων και την άσκηση των εξουσιών της.

(86)

Στο Ηνωμένο Βασίλειο, η εποπτεία και η επιβολή της συμμόρφωσης με τον ΓΚΠΔ του Ηνωμένου Βασιλείου και τον DPA 2018 διενεργείται από τον Επίτροπο Πληροφοριών. Ο Επίτροπος Πληροφοριών είναι ειδικής μορφής νομικό πρόσωπο (Corporation Sole): χωριστή νομική οντότητα που αποτελείται από ένα μόνο πρόσωπο. Ο Επίτροπος Πληροφοριών υποστηρίζεται στο έργο του από γραφείο. Στις 31 Μαρτίου 2020 το Γραφείο του Επιτρόπου Πληροφοριών είχε 768 μόνιμους υπαλλήλους ως προσωπικό (81). Το υπουργείο που χρηματοδοτεί τον Επίτροπο Πληροφοριών είναι το Υπουργείο Ψηφιακής Πολιτικής, Πολιτισμού, Μέσων Μαζικής Ενημέρωσης και Αθλητισμού (82).

(87)

Η ανεξαρτησία του Επιτρόπου κατοχυρώνεται ρητά στο άρθρο 52 του ΓΚΠΔ του Ηνωμένου Βασιλείου, το οποίο δεν περιέχει ουσιαστικές αλλαγές σε σύγκριση με το άρθρο 52 παράγραφοι 1-3 του ΓΚΠΔ. Ο Επίτροπος πρέπει να εκτελεί τα καθήκοντά του και να ασκεί τις εξουσίες του με πλήρη ανεξαρτησία σύμφωνα με τον ΓΚΠΔ του Ηνωμένου Βασιλείου, χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, σε σχέση με τα εν λόγω καθήκοντα και εξουσίες, και να μη ζητεί ούτε να λαμβάνει οδηγίες από κανέναν. Ο Επίτροπος πρέπει επίσης να απέχει από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά του και, κατά τη διάρκεια της θητείας του, να μην ασκεί κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη.

(88)

Οι προϋποθέσεις για τον διορισμό και την παύση του Επιτρόπου Πληροφοριών καθορίζονται στο παράρτημα 12 του DPA 2018. Ο Επίτροπος Πληροφοριών διορίζεται από την Αυτής Μεγαλειότητα έπειτα από σύσταση της κυβέρνησης βάσει ενός δίκαιου και ανοικτού διαγωνισμού. Ο υποψήφιος πρέπει να διαθέτει τα κατάλληλα προσόντα, δεξιότητες και ικανότητες. Σύμφωνα με τον κώδικα διακυβέρνησης για τους δημόσιους διορισμούς (83), συμβουλευτική επιτροπή αξιολόγησης καταρτίζει κατάλογο με τους υποψήφιους που μπορούν να διοριστούν. Πριν από την οριστικοποίηση της απόφασης του υπουργού Ψηφιακής Πολιτικής, Πολιτισμού, Μέσων Ενημέρωσης και Αθλητισμού, η αρμόδια επιτροπή επιλογής του Κοινοβουλίου πρέπει να διενεργήσει έλεγχο πριν από τον διορισμό. Η θέση της επιτροπής δημοσιοποιείται (84).

(89)

Ο Επίτροπος Πληροφοριών ασκεί θητεία έως επτά ετών. Ένα πρόσωπο δεν μπορεί να διοριστεί Επίτροπος Πληροφοριών περισσότερες από μία φορές. Ο Επίτροπος Πληροφοριών μπορεί να παυθεί από τα καθήκοντά του από την Αυτής Μεγαλειότητα μετά από αναγγελία και των δύο σωμάτων του Κοινοβουλίου (85). Δεν μπορεί να υποβληθεί αίτηση παύσης του Επιτρόπου Πληροφοριών σε κανένα από τα δύο σώματα του Κοινοβουλίου, εκτός εάν ο υπουργός έχει υποβάλει έκθεση στην οποία αναφέρεται ότι είναι πεπεισμένος ότι ο Επίτροπος Πληροφοριών είναι ένοχος σοβαρού παραπτώματος και/ή ότι ο Επίτροπος δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του (86).

(90)

Η χρηματοδότηση του Επιτρόπου Πληροφοριών προέρχεται από τρεις πηγές: i) τέλη προστασίας δεδομένων που καταβάλλουν οι υπεύθυνοι επεξεργασίας, τα οποία καθορίζονται από κανονισμούς του υπουργού (87) [κανονισμοί του 2018 για την προστασία των δεδομένων (τέλη και πληροφορίες)] και αντιστοιχούν στο 85-90 % του ετήσιου προϋπολογισμού του Γραφείου (88)· ii) επιχορήγηση που καταβάλλεται από την κυβέρνηση προς τον Επίτροπο Πληροφοριών. Η επιχορήγηση χρησιμοποιείται κυρίως για τη χρηματοδότηση των λειτουργικών δαπανών του Επιτρόπου Πληροφοριών όσον αφορά καθήκοντα που δεν σχετίζονται με την προστασία των δεδομένων (89)· και iii) τέλη που χρεώνονται για υπηρεσίες (90). Επί του παρόντος, δεν χρεώνονται τέτοια τέλη.

(91)

Τα γενικά καθήκοντα του Επιτρόπου Πληροφοριών σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στην οποία εφαρμόζεται ο ΓΚΠΔ του Ηνωμένου Βασιλείου καθορίζονται στο άρθρο 57 του ΓΚΠΔ του Ηνωμένου Βασιλείου, το οποίο αντικατοπτρίζει σε μεγάλο βαθμό τους αντίστοιχους κανόνες του κανονισμού (ΕΕ) 2016/679. Στα καθήκοντά του περιλαμβάνονται η παρακολούθηση και η επιβολή του ΓΚΠΔ του Ηνωμένου Βασιλείου, η προώθηση της ευαισθητοποίησης του κοινού, ο χειρισμός καταγγελιών που υποβάλλονται από τα υποκείμενα των δεδομένων, η διεξαγωγή ερευνών κ.λπ. Επιπλέον, το άρθρο 115 του DPA 2018 ορίζει άλλα γενικά καθήκοντα του Επιτρόπου, στα οποία περιλαμβάνεται το καθήκον παροχής συμβουλών στο Κοινοβούλιο, την κυβέρνηση και άλλα θεσμικά όργανα και οργανισμούς σχετικά με νομοθετικά και διοικητικά μέτρα που αφορούν την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και η εξουσία να εκδίδει, με δική του πρωτοβουλία ή κατόπιν αιτήματος, γνωμοδοτήσεις προς το Κοινοβούλιο, την κυβέρνηση ή άλλα θεσμικά όργανα και οργανισμούς, καθώς και προς το κοινό για οποιοδήποτε θέμα σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα. Για τη διατήρηση της ανεξαρτησίας της δικαστικής εξουσίας, ο Επίτροπος Πληροφοριών δεν έχει την εξουσία να ασκεί τα καθήκοντά του σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από πρόσωπο που ενεργεί υπό δικαστική ιδιότητα ή από δικαστήριο που ενεργεί στο πλαίσιο της δικαιοδοτικής του αρμοδιότητας. Ωστόσο, η εποπτεία της δικαστικής εξουσίας εξασφαλίζεται από εξειδικευμένα όργανα (βλ. αιτιολογικές σκέψεις 99 έως 103).

2.6.2   Επιβολή, συμπεριλαμβανομένων των κυρώσεων

(92)

Οι εξουσίες του Επιτρόπου Πληροφοριών ορίζονται στο άρθρο 58 του ΓΚΠΔ του Ηνωμένου Βασιλείου, το οποίο δεν εισάγει ουσιαστικές αλλαγές στο αντίστοιχο άρθρο του κανονισμού (ΕΕ) 2016/679. Ο DPA 2018 θεσπίζει συμπληρωματικούς κανόνες σχετικά με τον τρόπο άσκησης των εν λόγω εξουσιών. Ειδικότερα, ο Επίτροπος έχει την εξουσία: α) να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία (και, σε ορισμένες περιπτώσεις, σε οποιοδήποτε άλλο πρόσωπο) να παράσχουν τις αναγκαίες πληροφορίες μέσω ειδοποίησης παροχής πληροφοριών (στο εξής: ειδοποίηση παροχής πληροφοριών) (91)· β) να διεξάγει έρευνες και ελέγχους μέσω ειδοποίησης διενέργειας αξιολόγησης, στο πλαίσιο της οποίας είναι δυνατόν να υποχρεώνεται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία να επιτρέψει στον Επίτροπο να εισέλθει σε συγκεκριμένες εγκαταστάσεις, να επιθεωρήσει ή να εξετάσει έγγραφα ή εξοπλισμό και να υποβάλει ερωτήσεις σε άτομα που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας κ.λπ. (στο εξής: ειδοποίηση διενέργειας αξιολόγησης) (92)· γ) να αποκτά με άλλον τρόπο πρόσβαση σε έγγραφα κ.λπ. των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, καθώς και πρόσβαση στις εγκαταστάσεις τους σύμφωνα με το άρθρο 154 του DPA 2018 (στο εξής: εξουσίες εισόδου και επιθεώρησης)· δ) να ασκεί διορθωτικές εξουσίες, μεταξύ άλλων μέσω προειδοποιήσεων και επιπλήξεων, ή να δίνει εντολές μέσω ειδοποίησης επιβολής μέτρων, η οποία απαιτεί από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία να λάβουν ή να απόσχουν από ορισμένα μέτρα, συμπεριλαμβανομένης της παροχής εντολής προς τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να κάνει οτιδήποτε προβλέπεται στο άρθρο 58παράγραφος 2 στοιχεία (c) έως (g) και (j) του ΓΚΠΔ του Ηνωμένου Βασιλείου (στο εξής: ειδοποίηση επιβολής μέτρων) (93)· ε) και να επιβάλλει διοικητικά πρόστιμα με τη μορφή ειδοποίησης επιβολής κυρώσεων (στο εξής: ειδοποίηση επιβολής κυρώσεων) (94). Τέτοια πρόστιμα μπορούν επίσης να επιβληθούν σε περίπτωση που δημόσια αρχή δεν έχει συμμορφωθεί με τις διατάξεις του ΓΚΠΔ του Ηνωμένου Βασιλείου (95).

(93)

Η πολιτική ρυθμιστικής δράσης του ICO καθορίζει τις συνθήκες υπό τις οποίες ο Επίτροπος θα εκδίδει ειδοποίηση παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων ή επιβολής κυρώσεων (96). Ειδοποίηση επιβολής μέτρων που εκδίδεται ως απάντηση σε παράλειψη του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία μπορεί να επιβάλει μόνο απαιτήσεις τις οποίες ο Επίτροπος θεωρεί κατάλληλες για την επανόρθωση της παράλειψης. Ειδοποιήσεις επιβολής μέτρων και επιβολής κυρώσεων μπορούν να εκδίδονται προς υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε σχέση με παραβιάσεις του κεφαλαίου II του ΓΚΠΔ του Ηνωμένου Βασιλείου (αρχές της επεξεργασίας), των άρθρων 12-22 (δικαιώματα του υποκειμένου των δεδομένων), των άρθρων 25-39 (υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία) και των άρθρων 44-49 (διεθνείς διαβιβάσεις) του ΓΚΠΔ του Ηνωμένου Βασιλείου. Ειδοποίηση επιβολής μέτρων μπορεί επίσης να εκδοθεί σε περίπτωση που ο υπεύθυνος επεξεργασίας δεν συμμορφώνεται με την απαίτηση καταβολής τέλους σύμφωνα με τους κανονισμούς που προβλέπονται στο άρθρο 137 του DPA 2018. Επιπλέον, ειδοποίηση επιβολής μέτρων μπορεί να εκδοθεί σε βάρος φορέα παρακολούθησης βάσει του άρθρου 41 ή παρόχου πιστοποίησης εάν δεν συμμορφώνεται με τις υποχρεώσεις του βάσει του ΓΚΠΔ του Ηνωμένου Βασιλείου. Ειδοποίηση επιβολής κυρώσεων μπορεί επίσης να εκδοθεί σε βάρος προσώπου που δεν έχει συμμορφωθεί με ειδοποίηση παροχής πληροφοριών, ειδοποίηση διενέργειας αξιολόγησης ή ειδοποίηση επιβολής μέτρων.

(94)

Η ειδοποίηση επιβολής κυρώσεων επιβάλλει στο πρόσωπο να καταβάλει στον Επίτροπο Πληροφοριών το ποσό που καθορίζεται στην ειδοποίηση. Για να αποφασίσει αν θα απευθύνει ειδοποίηση επιβολής κυρώσεων σε πρόσωπο και να καθορίσει το ποσό της κύρωσης, ο Επίτροπος Πληροφοριών πρέπει να λάβει υπόψη τα στοιχεία που απαριθμούνται στο άρθρο 83 παράγραφοι 1 και 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου, τα οποία είναι πανομοιότυπα με τους αντίστοιχους κανόνες του κανονισμού (ΕΕ) 2016/679 (97). Σύμφωνα με το άρθρο 83 παράγραφοι 4 και 5, τα ανώτατα ποσά των διοικητικών προστίμων σε περίπτωση μη συμμόρφωσης με τις υποχρεώσεις που αναφέρονται στις εν λόγω διατάξεις είναι 8 700 000 λίρες στερλίνες (GBP) ή 17 500 000 GBP αντίστοιχα. Στην περίπτωση επιχείρησης, ο Επίτροπος Πληροφοριών μπορεί επίσης να επιβάλει πρόστιμο ως ποσοστό του παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης, εάν είναι υψηλότερο. Όπως και στις αντίστοιχες διατάξεις του κανονισμού (ΕΕ) 2016/679, τα ποσά αυτά καθορίζονται στο άρθρο 83 παράγραφοι 4 και 5 αντίστοιχα σε 2 % και 4 %. Σε περίπτωση μη συμμόρφωσης με ειδοποίηση παροχής πληροφοριών, ειδοποίηση διενέργειας αξιολόγησης ή ειδοποίηση επιβολής μέτρων, το ανώτατο ποσό της ποινής που μπορεί να επιβληθεί μέσω ειδοποίησης επιβολής κυρώσεων ανέρχεται σε 17 500 000 GBP ή, στην περίπτωση επιχείρησης, σε 4 % του παγκόσμιου ετήσιου κύκλου εργασιών της.

(95)

Ο ΓΚΠΔ του Ηνωμένου Βασιλείου μαζί με τον DPA 2018 έχουν ενισχύσει και άλλες εξουσίες του Επιτρόπου Πληροφοριών. Για παράδειγμα, ο Επίτροπος μπορεί πλέον να διενεργεί υποχρεωτικούς ελέγχους σε σχέση με όλους τους υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία μέσω της χρήσης ειδοποιήσεων διενέργειας αξιολόγησης, ενώ σύμφωνα με την προηγούμενη νομοθεσία, τον νόμο του 1998 για την προστασία των δεδομένων, ο Επίτροπος είχε αυτή την εξουσία μόνο όσον αφορά την κεντρική κυβέρνηση και τους οργανισμούς υγείας, ενώ οι άλλοι φορείς έπρεπε να συμφωνήσουν για τη διενέργεια ελέγχου.

(96)

Από τότε που θεσπίστηκε ο κανονισμός (ΕΕ) 2016/679, το ICO χειρίζεται περίπου 40 000 καταγγελίες από υποκείμενα δεδομένων ετησίως (98) και, επιπλέον, διενεργεί περίπου 2 000 αυτεπάγγελτες έρευνες (99). Η πλειονότητα των καταγγελιών σχετίζεται με τα δικαιώματα πρόσβασης και γνωστοποίησης δεδομένων. Σε συνέχεια των ερευνών του, ο Επίτροπος λαμβάνει μέτρα επιβολής σε ευρύ φάσμα τομέων. Ειδικότερα, σύμφωνα με την τελευταία ετήσια έκθεση του Επιτρόπου Πληροφοριών (2019-2020) (100), ο Επίτροπος εξέδωσε 54 ειδοποιήσεις παροχής πληροφοριών, 8 ειδοποιήσεις διενέργειας αξιολόγησης, 7 ειδοποιήσεις επιβολής μέτρων, 4 προειδοποιήσεις, 8 διώξεις και 15 πρόστιμα κατά την περίοδο αναφοράς (101).

(97)

Στα παραπάνω περιλαμβάνεται και η επιβολή σημαντικών χρηματικών ποινών δυνάμει του κανονισμού (ΕΕ) 2016/679 και του DPA 2018. Ιδίως, τον Οκτώβριο του 2020 ο Επίτροπος Πληροφοριών επέβαλε πρόστιμο ύψους 20 εκατ. GBP σε βρετανική αεροπορική εταιρεία για παραβίαση δεδομένων που έθιξε περισσότερους από 400 000 πελάτες. Στο τέλος Οκτωβρίου του 2020, σε διεθνή αλυσίδα ξενοδοχείων επιβλήθηκε πρόστιμο ύψους 18,4 εκατ. GBP επειδή δεν τηρούσε ασφαλή τα προσωπικά δεδομένα εκατομμυρίων πελατών, ενώ τον Νοέμβριο του 2020 ένας Βρετανός πάροχος υπηρεσιών που πωλούσε εισιτήρια εκδηλώσεων μέσω διαδικτύου τιμωρήθηκε με πρόστιμο ύψους 1,25 εκατ. GBP για μη προστασία των στοιχείων πληρωμής των πελατών (102).

(98)

Εκτός από τις εξουσίες επιβολής του Επιτρόπου Πληροφοριών που περιγράφονται στην αιτιολογική σκέψη 92, ορισμένες παραβιάσεις της νομοθεσίας για την προστασία των δεδομένων συνιστούν αδικήματα και, ως εκ τούτου, είναι δυνατόν να επιφέρουν ποινικές κυρώσεις (άρθρο 196 του DPA 2018). Αυτό ισχύει, για παράδειγμα, στις περιπτώσεις της με πρόθεση ή από βαριά αμέλεια απόκτησης ή κοινοποίησης δεδομένων προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπευθύνου επεξεργασίας, της ηθικής αυτουργίας στην κοινοποίηση δεδομένων προσωπικού χαρακτήρα σε άλλο πρόσωπο χωρίς τη συγκατάθεση του υπευθύνου επεξεργασίας (103), της επαναταυτοποίησης πληροφοριών που αποτελούν αποταυτοποιημένα δεδομένα προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπεύθυνου για την αποταυτοποίηση των δεδομένων προσωπικού χαρακτήρα υπευθύνου επεξεργασίας (104), της με πρόθεση παρακώλυσης της εξουσίας του Επιτρόπου να ασκεί τις εξουσίες του όσον αφορά την επιθεώρηση δεδομένων προσωπικού χαρακτήρα σύμφωνα με διεθνείς υποχρεώσεις (105), της υποβολής ψευδών δηλώσεων σε απάντηση σε ειδοποίηση παροχής πληροφοριών ή της καταστροφής πληροφοριών σε σχέση με ειδοποιήσεις παροχής πληροφοριών και διενέργειας αξιολόγησης (106).

2.6.3   Εποπτεία της δικαστικής εξουσίας

(99)

Η εποπτεία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα δικαστήρια και το σύστημα δικαιοσύνης είναι διττή. Όταν κάτοχος δικαστικού αξιώματος ή δικαστήριο δεν ενεργεί υπό δικαστική ιδιότητα, η εποπτεία παρέχεται από το ICO. Όταν ο υπεύθυνος επεξεργασίας λειτουργεί υπό δικαστική ιδιότητα, το ICO δεν μπορεί να ασκήσει τα εποπτικά του καθήκοντα (107) και η εποπτεία διενεργείται από ειδικούς φορείς. Αυτό αντικατοπτρίζει την προσέγγιση που υιοθετήθηκε στον κανονισμό (ΕΕ) 2016/679 (άρθρο 55 παράγραφος 3).

(100)

Ειδικότερα, στη δεύτερη περίπτωση, όσον αφορά τα δικαστήρια της Αγγλίας και της Ουαλίας και τα πρωτοδικεία διοικητικών διαφορών και τα εφετεία διοικητικών διαφορών (Upper Tribunal) της Αγγλίας και της Ουαλίας, η εν λόγω εποπτεία παρέχεται από την Ειδική Ομάδα Προστασίας Δικαστικών Δεδομένων (Judicial Data Protection Panel) (108). Επιπλέον, ο λόρδος αρχιδικαστής (Lord Chief Justice) και o ανώτατος πρόεδρος των ειδικών δικαιοδοτικών οργάνων (Senior President of Tribunals) εξέδωσαν δήλωση περί προστασίας της ιδιωτικότητας (109), στην οποία περιγράφεται ο τρόπος με τον οποίο τα δικαστήρια της Αγγλίας και της Ουαλίας επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα για την άσκηση δικαστικών καθηκόντων. Παρόμοια δήλωση έχει εκδοθεί από το δικαστικό σώμα της Βόρειας Ιρλανδίας (110) και της Σκωτίας (111).

(101)

Επιπλέον, στη Βόρεια Ιρλανδία, ο λόρδος αρχιδικαστής της Βόρειας Ιρλανδίας έχει διορίσει δικαστή του Ανώτερου Δικαστηρίου (High Court) ως δικαστή εποπτείας δεδομένων (Data Supervisory Judge, DSJ) (112). Έχει επίσης εκδώσει οδηγίες προς το δικαστικό σώμα της Βόρειας Ιρλανδίας σχετικά με τις ενέργειες που πρέπει να πραγματοποιούνται σε περίπτωση απώλειας ή δυνητικής απώλειας δεδομένων και τη διαδικασία αντιμετώπισης τυχόν ζητημάτων που προκύπτουν συναφώς (113).

(102)

Στη Σκωτία, ο λόρδος πρόεδρος (Lord President) έχει διορίσει έναν δικαστή εποπτείας δεδομένων (Data Supervisory Judge) για τη διερεύνηση των καταγγελιών για λόγους προστασίας των δεδομένων. Ο εν λόγω διορισμός προβλέπεται από τους κανόνες για τις δικαστικές καταγγελίες, που αντικατοπτρίζουν εκείνους που θεσπίστηκαν για την Αγγλία και την Ουαλία (114).

(103)

Τέλος, στο Ανώτατο Δικαστήριο (Supreme Court), διορίζεται ένας από τους δικαστές του Ανώτατου Δικαστηρίου για την επίβλεψη της προστασίας των δεδομένων.

2.6.4   Μέσα προσφυγής

(104)

Για να διασφαλίζεται επαρκής προστασία και ιδίως η επιβολή των ατομικών δικαιωμάτων, το υποκείμενο των δεδομένων πρέπει να έχει στη διάθεση του αποτελεσματικά μέσα διοικητικής και δικαστικής προσφυγής, συμπεριλαμβανομένης της δυνατότητας να αξιώσει αποζημίωση.

(105)

Πρώτον, το υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στον Επίτροπο Πληροφοριών αν θεωρεί ότι έχει υπάρξει παράβαση του ΓΚΠΔ του Ηνωμένου Βασιλείου (115) σε σχέση με δεδομένα προσωπικού χαρακτήρα που το αφορούν. Ο ΓΚΠΔ του Ηνωμένου Βασιλείου διατηρεί τους κανόνες του άρθρου 77 του κανονισμού (ΕΕ) 2016/679 σχετικά με το εν λόγω δικαίωμα χωρίς ουσιώδεις τροποποιήσεις. Το ίδιο ισχύει για το άρθρο 57 παράγραφος 1 στοιχείο (f) και το άρθρο 57 παράγραφος 2 που καθορίζουν τα καθήκοντα του Επιτρόπου σε σχέση με τον χειρισμό των καταγγελιών. Όπως περιγράφεται στις αιτιολογικές σκέψεις 92 έως 98 ανωτέρω, ο Επίτροπος Πληροφοριών έχει την εξουσία να αξιολογεί τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τον ΓΚΠΔ του Ηνωμένου Βασιλείου και τον DPA 2018, να τους υποχρεώνει να λάβουν τα αναγκαία μέτρα ή να απόσχουν από συγκεκριμένες ενέργειες σε περίπτωση μη συμμόρφωσης και να επιβάλλει πρόστιμα.

(106)

Δεύτερον, ο ΓΚΠΔ του Ηνωμένου Βασιλείου και ο DPA 2018 παρέχουν το δικαίωμα προσφυγής κατά του Επιτρόπου Πληροφοριών. Σύμφωνα με το άρθρο 78 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου, τα φυσικά πρόσωπα έχουν δικαίωμα πραγματικής δικαστικής προσφυγής κατά των νομικά δεσμευτικών αποφάσεων του Επιτρόπου που τα αφορούν. Στο πλαίσιο του δικαστικού ελέγχου, ο δικαστής εξετάζει την απόφαση που προσβάλλεται με την προσφυγή και εξετάζει αν ο Επίτροπος Πληροφοριών έχει ενεργήσει νομίμως. Επιπλέον, σύμφωνα με το άρθρο 78 παράγραφος 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου, εάν ο Επίτροπος δεν χειριστεί δεόντως καταγγελία που έχει υποβληθεί από το υποκείμενο των δεδομένων (116), ο καταγγέλλων έχει πρόσβαση σε δικαστική προσφυγή. Μπορεί να ζητήσει από πρωτοδικείο διοικητικών διαφορών να διατάξει τον Επίτροπο να λάβει τα κατάλληλα μέτρα για να απαντήσει στην καταγγελία ή να ενημερώσει τον καταγγέλλοντα για την εξέλιξη της καταγγελίας (117). Επιπλέον, κάθε πρόσωπο στο οποίο έχει κοινοποιηθεί από τον Επίτροπο οποιαδήποτε από τις προαναφερθείσες ειδοποιήσεις (παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων ή επιβολής κυρώσεων) μπορεί να προσφύγει ενώπιον πρωτοδικείου διοικητικών διαφορών (118). Εάν το δικαστήριο κρίνει ότι η απόφαση του Επιτρόπου δεν είναι σύμφωνη με τον νόμο ή ότι ο Επίτροπος Πληροφοριών θα έπρεπε να είχε ασκήσει τη διακριτική του ευχέρεια με διαφορετικό τρόπο, το δικαστήριο πρέπει να κάνει δεκτή την προσφυγή ή να αντικαταστήσει την απόφαση του Επιτρόπου με άλλη ειδοποίηση ή απόφαση που θα μπορούσε να είχε εκδώσει ή λάβει ο Επίτροπος Πληροφοριών.

(107)

Τρίτον, τα φυσικά πρόσωπα μπορούν να ασκήσουν δικαστική προσφυγή κατά υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία απευθείας ενώπιον των δικαστηρίων σύμφωνα με το άρθρο 79 του ΓΚΠΔ του Ηνωμένου Βασιλείου και το άρθρο 167 του DPA 2018. Εάν, κατόπιν αίτησης υποκειμένου δεδομένων, το δικαστήριο κρίνει ότι υπήρξε προσβολή των δικαιωμάτων του εν λόγω υποκειμένου των δεδομένων βάσει της νομοθεσίας για την προστασία των δεδομένων, το δικαστήριο μπορεί να διατάξει τον υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία που ενεργεί για λογαριασμό του εν λόγω υπευθύνου επεξεργασίας να λάβει τα μέτρα που προσδιορίζονται στη διαταγή ή να απόσχει από τις ενέργειες που προσδιορίζονται στη διαταγή.

(108)

Επιπλέον, σύμφωνα με το άρθρο 82 του ΓΚΠΔ του Ηνωμένου Βασιλείου και το άρθρο 168 του DPA 2018, κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του ΓΚΠΔ του Ηνωμένου Βασιλείου δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη. Οι κανόνες για την αποζημίωση και την ευθύνη στο άρθρο 82 παράγραφοι 1 έως 5 του ΓΚΠΔ του Ηνωμένου Βασιλείου είναι πανομοιότυποι με τους αντίστοιχους κανόνες του κανονισμού (ΕΕ) 2016/679. Σύμφωνα με το άρθρο 168 του DPA 2018, η μη υλική ζημία περιλαμβάνει επίσης την πρόκληση οδύνης. Σύμφωνα με το άρθρο 80 του ΓΚΠΔ του Ηνωμένου Βασιλείου, το υποκείμενο των δεδομένων έχει επίσης το δικαίωμα να ζητήσει από φορέα ή οργανισμό εκπροσώπησης να υποβάλει την καταγγελία στον Επίτροπο για λογαριασμό του (σύμφωνα με το άρθρο 77 του ΓΚΠΔ του Ηνωμένου Βασιλείου) και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 78 (δικαίωμα πραγματικής δικαστικής προσφυγής κατά του Επιτρόπου), 79 (δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία) και 82 (δικαίωμα αποζημίωσης και ευθύνη) του ΓΚΠΔ του Ηνωμένου Βασιλείου για λογαριασμό του.

(109)

Τέταρτον, εκτός από τις παραπάνω δυνατότητες προσφυγής, οποιοδήποτε πρόσωπο θεωρεί ότι τα δικαιώματά του, συμπεριλαμβανομένων των δικαιωμάτων στην προστασία της ιδιωτικότητας και των δεδομένων, έχουν παραβιαστεί από δημόσιες αρχές, μπορεί να προσφύγει ενώπιον των δικαστηρίων του Ηνωμένου Βασιλείου βάσει του νόμου του 1998 για τα ανθρώπινα δικαιώματα (119). Φυσικό πρόσωπο που ισχυρίζεται ότι μια δημόσια αρχή ενήργησε (ή προτίθεται να ενεργήσει) κατά τρόπο ασυμβίβαστο με δικαίωμα της Σύμβασης, και, κατά συνέπεια, παράνομο βάσει του άρθρου 6 παράγραφος 1 του νόμου του 1998 για τα ανθρώπινα δικαιώματα, μπορεί να ασκήσει προσφυγή κατά της αρχής ενώπιον του αρμόδιου δικαστηρίου ή ειδικού δικαιοδοτικού οργάνου ή να επικαλεστεί τα σχετικά δικαιώματα σε οποιαδήποτε δικαστική διαδικασία, εφόσον είναι (ή θα ήταν) θύμα της παράνομης πράξης.

(110)

Εάν το δικαστήριο διαπιστώσει ότι οποιαδήποτε πράξη δημόσιας αρχής είναι παράνομη, μπορεί να χορηγήσει τη σχετική επανόρθωση ή αποκατάσταση, ή να εκδώσει τη διαταγή, στο πλαίσιο των αρμοδιοτήτων του, που κρίνει δίκαιη και κατάλληλη (120). Το δικαστήριο μπορεί επίσης να κηρύξει διάταξη πρωτογενούς δικαίου ασυμβίβαστη με δικαίωμα που κατοχυρώνεται από την ΕΣΔΑ.

(111)

Τέλος, αφού εξαντληθούν τα εθνικά ένδικα μέσα, ένα φυσικό πρόσωπο μπορεί να προσφύγει ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου για παραβιάσεις των δικαιωμάτων που κατοχυρώνει η Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου.

3.   ΠΡΟΣΒΑΣΗ ΚΑΙ ΧΡΗΣΗ ΑΠΟ ΔΗΜΟΣΙΕΣ ΑΡΧΕΣ ΣΤΟ ΗΝΩΜΕΝΟ ΒΑΣΙΛΕΙΟ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΟΥ ΕΧΟΥΝ ΔΙΑΒΙΒΑΣΤΕΙ ΑΠΟ ΤΗΝ ΕΥΡΩΠΑΪΚΗ ΕΝΩΣΗ

(112)

Η Επιτροπή αξιολόγησε επίσης το νομικό πλαίσιο του Ηνωμένου Βασιλείου για τη συλλογή και τη μετέπειτα χρήση δεδομένων προσωπικού χαρακτήρα που έχουν διαβιβαστεί σε επιχειρηματικούς φορείς στο Ηνωμένο Βασίλειο από δημόσιες αρχές του Ηνωμένου Βασιλείου προς το δημόσιο συμφέρον, ιδιαίτερα για σκοπούς επιβολής του ποινικού δικαίου και εθνικής ασφάλειας (στο εξής: πρόσβαση κρατικών αρχών). Κατά την αξιολόγηση του κατά πόσον οι όροι υπό τους οποίους οι κρατικές αρχές θα έχουν πρόσβαση στα δεδομένα που θα έχουν διαβιβαστεί στο Ηνωμένο Βασίλειο βάσει της παρούσας απόφασης θα πληρούσαν το κριτήριο της «ουσιώδους ισοδυναμίας» σύμφωνα με το άρθρο 45 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, όπως ερμηνεύεται από το Δικαστήριο της Ευρωπαϊκής Ένωσης υπό το πρίσμα του Χάρτη των Θεμελιωδών Δικαιωμάτων, η Επιτροπή έλαβε υπόψη ιδίως τα ακόλουθα κριτήρια.

(113)

Πρώτον, κάθε περιορισμός του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα πρέπει να προβλέπεται από τον νόμο και η νομική βάση που επιτρέπει την επέμβαση στο δικαίωμα αυτό πρέπει να καθορίζει η ίδια την έκταση του περιορισμού στην άσκηση του εν λόγω δικαιώματος (121).

(114)

Δεύτερον, προκειμένου να πληρούται η απαίτηση της αναλογικότητας, σύμφωνα με την οποία οι παρεκκλίσεις από την προστασία των δεδομένων προσωπικού χαρακτήρα και οι περιορισμοί της πρέπει να εφαρμόζονται μόνο στο μέτρο που είναι απολύτως αναγκαίο σε μια δημοκρατική κοινωνία για την επίτευξη συγκεκριμένων στόχων γενικού συμφέροντος ισοδύναμων με εκείνους που αναγνωρίζει η Ένωση, η επίμαχη ρύθμιση της τρίτης χώρας που συνεπάγεται την επέμβαση πρέπει να προβλέπει σαφείς και ακριβείς κανόνες που να διέπουν το περιεχόμενο και την εφαρμογή των σχετικών μέτρων και να επιβάλλουν ελάχιστες απαιτήσεις, ούτως ώστε τα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται να έχουν επαρκείς εγγυήσεις οι οποίες να καθιστούν δυνατή την αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα από τους κινδύνους κατάχρησης (122). Η ρύθμιση πρέπει, ειδικότερα, να ορίζει υπό ποιες περιστάσεις και υπό ποιες συνθήκες μπορεί να ληφθεί μέτρο το οποίο προβλέπει την επεξεργασία τέτοιων δεδομένων (123), καθώς και να υποβάλει την εκπλήρωση των εν λόγω απαιτήσεων σε ανεξάρτητη εποπτεία (124).

(115)

Τρίτον, η εν λόγω ρύθμιση πρέπει να είναι νομικά δεσμευτική βάσει του εσωτερικού δικαίου και οι εν λόγω νομικές απαιτήσεις πρέπει όχι μόνο να είναι δεσμευτικές για τις αρχές, αλλά και να μπορούν να προβληθούν έναντι των αρχών της οικείας τρίτης χώρας ενώπιον των δικαστηρίων (125). Ειδικότερα, τα υποκείμενα των δεδομένων πρέπει να έχουν τη δυνατότητα να ασκήσουν ένδικο βοήθημα ενώπιον ανεξάρτητου και αμερόληπτου δικαστηρίου προκειμένου να εξασφαλίσουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα τα οποία τα αφορούν, ή να επιτύχουν τη διόρθωση ή την απαλοιφή τέτοιων δεδομένων (126).

3.1   Γενικό νομικό πλαίσιο

(116)

Ως άσκηση εξουσίας από δημόσια αρχή, η πρόσβαση των κρατικών αρχών στο Ηνωμένο Βασίλειο πρέπει να πραγματοποιείται με πλήρη σεβασμό του νόμου. Το Ηνωμένο Βασίλειο έχει κυρώσει την Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου (βλ. αιτιολογική σκέψη 9) και όλες οι δημόσιες αρχές του Ηνωμένου Βασιλείου υποχρεούνται να ενεργούν σύμφωνα με τη Σύμβαση (127). Το άρθρο 8 της Σύμβασης ορίζει ότι κάθε επέμβαση στην ιδιωτική ζωή πρέπει να είναι σύμφωνη προς τον νόμο, προς το συμφέρον ενός από τους σκοπούς του άρθρου 8 παράγραφος 2 και ανάλογη προς τον σκοπό αυτό. Το άρθρο 8 απαιτεί επίσης η επέμβαση να «προβλέπεται», δηλαδή να έχει σαφή και προσβάσιμη νομική βάση και να περιέχει κατάλληλες εγγυήσεις για την πρόληψη των καταχρήσεων.

(117)

Επιπλέον, στη νομολογία του, το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου έχει διευκρινίσει ότι κάθε επέμβαση στο δικαίωμα στην ιδιωτική ζωή και στην προστασία των δεδομένων θα πρέπει να υπόκειται σε αποτελεσματικό, ανεξάρτητο και αμερόληπτο σύστημα εποπτείας, το οποίο πρέπει να παρέχεται είτε από δικαστή είτε από άλλο ανεξάρτητο όργανο (128) (π.χ. διοικητική αρχή ή κοινοβουλευτικό όργανο).

(118)

Επιπλέον, πρέπει να παρέχεται στους ιδιώτες πραγματική προσφυγή, ενώ το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου έχει διευκρινίσει ότι η προσφυγή πρέπει να παρέχεται από ανεξάρτητο και αμερόληπτο όργανο το οποίο έχει θεσπίσει τον εσωτερικό κανονισμό του, το οποίο αποτελείται από μέλη που πρέπει να κατέχουν ή να έχουν ασκήσει υψηλό δικαστικό αξίωμα ή να είναι έμπειροι δικηγόροι, και ότι δεν πρέπει να υπάρχει βάρος απόδειξης που πρέπει να ξεπεραστεί για την προσφυγή σ' αυτό. Στο πλαίσιο της εξέτασης καταγγελιών από ιδιώτες, το ανεξάρτητο και αμερόληπτο όργανο θα πρέπει να έχει πρόσβαση σε όλες τις συναφείς πληροφορίες, συμπεριλαμβανομένων των τυχόν απόρρητων στοιχείων. Τέλος, θα πρέπει να έχει εξουσίες λήψης διορθωτικών μέτρων σε περίπτωση μη συμμόρφωσης (129).

(119)

Το Ηνωμένο Βασίλειο κύρωσε επίσης τη Σύμβαση του Συμβουλίου της Ευρώπης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα (Σύμβαση 108) και υπέγραψε το πρωτόκολλο για την τροποποίηση της Σύμβασης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα (γνωστό ως Σύμβαση 108+) το 2018 (130). Το άρθρο 9 της Σύμβασης 108 προβλέπει ότι παρέκκλιση από τις γενικές αρχές προστασίας των δεδομένων (άρθρο 5 – Ποιότητα των πληροφοριών), τους κανόνες που διέπουν τις ειδικές κατηγορίες δεδομένων (άρθρο – 6 Ειδικές κατηγορίες πληροφοριών) και τα δικαιώματα των υποκειμένων των δεδομένων (άρθρο 8 – Συμπληρωματικές εγγυήσεις για το πρόσωπο το οποίο αφορούν οι πληροφορίες) είναι δυνατή μόνο όταν η παρέκκλιση αυτή προβλέπεται από το δίκαιο του συμβαλλόμενου μέρους και αποτελεί απαραίτητο μέτρο σε μια δημοκρατική κοινωνία για την προστασία της ασφάλειας του κράτους, της δημόσιας ασφάλειας, των νομισματικών συμφερόντων του κράτους ή την καταστολή ποινικών παραβάσεων, ή για την προστασία του υποκειμένου των δεδομένων, όπως και των δικαιωμάτων και ελευθεριών τρίτων (131).

(120)

Ως εκ τούτου, μέσω της ιδιότητάς του ως μέλους του Συμβουλίου της Ευρώπης, της προσχώρησής του στην Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου και της υπαγωγής του στη δικαιοδοσία του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου, το Ηνωμένο Βασίλειο υπόκειται σε σειρά υποχρεώσεων, οι οποίες κατοχυρώνονται στο διεθνές δίκαιο και πλαισιώνουν το σύστημα πρόσβασης του κράτους βάσει αρχών, εγγυήσεων και ατομικών δικαιωμάτων παρόμοιων με εκείνα που κατοχυρώνονται από το δίκαιο της ΕΕ και ισχύουν για τα κράτη μέλη. Όπως τονίζεται στην αιτιολογική σκέψη 19, η συνεχιζόμενη τήρηση των εν λόγω νομικών πράξεων αποτελεί επομένως ιδιαίτερα σημαντικό στοιχείο της αξιολόγησης στην οποία βασίζεται η παρούσα απόφαση.

(121)

Επιπλέον, ο DPA 2018 κατοχυρώνει συγκεκριμένες εγγυήσεις και δικαιώματα προστασίας των δεδομένων όταν τα δεδομένα υποβάλλονται σε επεξεργασία από δημόσιες αρχές, μεταξύ άλλων από φορείς επιβολής του νόμου και εθνικής ασφάλειας.

(122)

Ειδικότερα, το καθεστώς για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της επιβολής του ποινικού δικαίου καθορίζεται στο μέρος 3 του DPA 2018, το οποίο θεσπίστηκε για τη μεταφορά της οδηγίας (ΕΕ) 2016/680 στο εθνικό δίκαιο. Το μέρος 3 του DPA 2018 αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους (132).

(123)

Η έννοια της «αρμόδιας αρχής» ορίζεται στο άρθρο 30 του DPA ως πρόσωπο που περιλαμβάνεται στο παράρτημα 7 του DPA 2018, καθώς και ως οποιοδήποτε άλλο πρόσωπο στον βαθμό που το εν λόγω πρόσωπο έχει εκ του νόμου καθήκοντα για οποιονδήποτε από τους σκοπούς επιβολής του νόμου (133). Όπως εξηγείται κατωτέρω (βλ. αιτιολογική σκέψη 139), ορισμένες αρμόδιες αρχές (για παράδειγμα η Εθνική Υπηρεσία Δίωξης του Εγκλήματος) μπορούν να χρησιμοποιούν, υπό ορισμένους όρους, τις εξουσίες που προβλέπονται από τον νόμο του 2016 για τις ερευνητικές εξουσίες (Investigatory Powers Act 2016, IPA 2016). Στην περίπτωση αυτή, οι εγγυήσεις που προβλέπονται από τον IPA 2016 θα εφαρμόζονται επιπλέον εκείνων που προβλέπονται από το μέρος 3 του DPA 2018. Οι υπηρεσίες πληροφοριών [Μυστική Υπηρεσία Πληροφοριών (Secret Intelligence Service), Υπηρεσία Ασφάλειας (Security Service) και Κεντρική Κυβερνητική Υπηρεσία Επικοινωνιών (Government Communications Headquarters)] δεν αποτελούν αρμόδιες αρχές (134) που εμπίπτουν στο μέρος 3 του DPA 2018 και, επομένως, οι κανόνες που προβλέπονται στο εν λόγω μέρος 3 δεν εφαρμόζονται σε καμία από τις δραστηριότητές τους. Ένα ειδικό μέρος του DPA 2018 (το μέρος 4) διέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών (για περισσότερες λεπτομέρειες βλ. αιτιολογική σκέψη 125).

(124)

Όπως και η οδηγία (ΕΕ) 2016/680, το μέρος 3 του DPA 2018 καθορίζει τις αρχές της νομιμότητας και της αντικειμενικότητας (135), του περιορισμού του σκοπού (136), της ελαχιστοποίησης των δεδομένων (137), της ακρίβειας (138), του περιορισμού της περιόδου αποθήκευσης (139) και της ασφάλειας (140). Η νομοθεσία επιβάλλει ειδικές υποχρεώσεις διαφάνειας (141) και παρέχει στα άτομα το δικαίωμα πρόσβασης (142), διόρθωσης και διαγραφής (143), καθώς και το δικαίωμα να μην υπόκεινται σε αυτοματοποιημένη λήψη αποφάσεων (144). Οι αρμόδιες αρχές υποχρεούνται επίσης να εφαρμόζουν την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας και, για ορισμένες πράξεις επεξεργασίας, να διενεργούν εκτίμηση του αντικτύπου σχετικά με την προστασία των δεδομένων και να συμβουλεύονται εκ των προτέρων τον Επίτροπο Πληροφοριών (145). Σύμφωνα με το άρθρο 56 του DPA 2018, υποχρεούνται να αποδεικνύουν τη συμμόρφωση. Επιπλέον, υποχρεούνται να θέτουν σε εφαρμογή κατάλληλα μέτρα για τη διασφάλιση της ασφάλειας της επεξεργασίας (146) και υπόκεινται σε ειδικές υποχρεώσεις σε περίπτωση παραβίασης δεδομένων, συμπεριλαμβανομένης της γνωστοποίησης των εν λόγω παραβιάσεων στον Επίτροπο Πληροφοριών και στα υποκείμενα των δεδομένων (147). Όπως και στην περίπτωση της οδηγίας (ΕΕ) 2016/680, ο υπεύθυνος επεξεργασίας οφείλει επίσης (εκτός εάν πρόκειται για δικαστήριο ή άλλη δικαστική αρχή που ενεργεί υπό δικαστική ιδιότητα) να ορίσει υπεύθυνο προστασίας δεδομένων (ΥΠΔ) (148), ο οποίος επικουρεί τον υπεύθυνο επεξεργασίας στη συμμόρφωση με τις υποχρεώσεις του, καθώς και στην παρακολούθηση της εν λόγω συμμόρφωσης (149). Επιπλέον, η νομοθεσία επιβάλλει ειδικές απαιτήσεις για τις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του νόμου σε τρίτες χώρες ή διεθνείς οργανισμούς, ώστε να διασφαλίζεται η συνέχεια της προστασίας (150). Την ίδια ημερομηνία με την παρούσα απόφαση, η Επιτροπή εξέδωσε απόφαση επάρκειας βάσει του άρθρου 36 παράγραφος 3 της οδηγίας (ΕΕ) 2016/680, με την οποία διαπιστώθηκε ότι το καθεστώς προστασίας δεδομένων που εφαρμόζεται στην επεξεργασία από τις αρχές επιβολής του ποινικού δικαίου του Ηνωμένου Βασιλείου διασφαλίζει επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο που εγγυάται η οδηγία (ΕΕ) 2016/680.

(125)

Το μέρος 4 του DPA 2018 εφαρμόζεται σε κάθε επεξεργασία από τις υπηρεσίες πληροφοριών ή για λογαριασμό τους. Ειδικότερα, καθορίζει τις βασικές αρχές προστασίας των δεδομένων (νομιμότητα, αντικειμενικότητα και διαφάνεια (151)· περιορισμός του σκοπού (152)· ελαχιστοποίηση των δεδομένων (153)· ακρίβεια (154)· περιορισμός της περιόδου αποθήκευσης (155) και ασφάλεια (156)), επιβάλλει όρους για την επεξεργασία δεδομένων ειδικών κατηγοριών (157), προβλέπει τα δικαιώματα του υποκειμένου των δεδομένων (158), απαιτεί την προστασία των δεδομένων ήδη από τον σχεδιασμό (159) και ρυθμίζει τις διεθνείς διαβιβάσεις των δεδομένων προσωπικού χαρακτήρα (160). Το ICO εξέδωσε πρόσφατα λεπτομερείς κατευθυντήριες γραμμές σχετικά με την επεξεργασία από τις υπηρεσίες πληροφοριών βάσει του μέρους 4 DPA 2018 (161).

(126)

Ταυτόχρονα, το άρθρο 110 του DPA 2018 προβλέπει εξαίρεση από τις ειδικές διατάξεις του μέρους 4 του DPA 2018 (162), όταν η εξαίρεση αυτή απαιτείται για τη διαφύλαξη της εθνικής ασφάλειας. Η εξαίρεση αυτή μπορεί να χρησιμοποιηθεί στη βάση κατά περίπτωση ανάλυσης (163). Όπως εξήγησαν οι αρχές του Ηνωμένου Βασιλείου και επιβεβαιώνεται από τη νομολογία, «ο υπεύθυνος επεξεργασίας πρέπει να εξετάζει τις πραγματικές συνέπειες για την εθνική ασφάλεια ή άμυνα εάν χρειαζόταν να συμμορφωθεί με τη συγκεκριμένη διάταξη περί προστασίας των δεδομένων και εάν θα μπορούσε ευλόγως να συμμορφωθεί με τον συνήθη κανόνα χωρίς να θίγεται η εθνική ασφάλεια ή άμυνα» (164). Το κατά πόσον η εξαίρεση έχει χρησιμοποιηθεί κατάλληλα υπόκειται στην εποπτεία του ICO (165).

(127)

Επιπλέον, όσον αφορά τη δυνατότητα περιορισμού για την προστασία της «εθνικής ασφάλειας» και εφαρμογής των ανωτέρω ειδικών διατάξεων, σύμφωνα με το άρθρο 111 του DPA 2018, ο υπεύθυνος επεξεργασίας μπορεί να υποβάλει αίτηση για πιστοποιητικό υπογεγραμμένο από υπουργό ή από τον Γενικό Εισαγγελέα που πιστοποιεί ότι ο περιορισμός των εν λόγω δικαιωμάτων αποτελεί αναγκαίο και αναλογικό μέτρο για την προστασία της εθνικής ασφάλειας (166).

(128)

Η κυβέρνηση του Ηνωμένου Βασιλείου έχει εκδώσει οδηγίες για να βοηθήσει τους υπευθύνους επεξεργασίας όταν εξετάζουν αν θα υποβάλουν αίτηση για πιστοποιητικό εθνικής ασφάλειας βάσει του DPA 2018, οι οποίες τονίζουν κυρίως ότι κάθε περιορισμός των δικαιωμάτων των υποκειμένων των δεδομένων για τη διαφύλαξη της εθνικής ασφάλειας πρέπει να είναι αναλογικός και αναγκαίος (167). Όλα τα πιστοποιητικά εθνικής ασφάλειας πρέπει να δημοσιεύονται στον δικτυακό τόπο του ICO (168).

(129)

Το πιστοποιητικό θα πρέπει να έχει καθορισμένη διάρκεια που δεν υπερβαίνει τα πέντε έτη, ώστε να επανεξετάζεται τακτικά από την εκτελεστική εξουσία (169). Το πιστοποιητικό προσδιορίζει τα δεδομένα προσωπικού χαρακτήρα ή τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που υπόκεινται στην εξαίρεση, καθώς και τις διατάξεις του DPA 2018 στις οποίες εφαρμόζεται η εξαίρεση (170).

(130)

Είναι σημαντικό να σημειωθεί ότι τα πιστοποιητικά εθνικής ασφάλειας δεν παρέχουν πρόσθετο λόγο για τον περιορισμό των δικαιωμάτων προστασίας των δεδομένων για λόγους εθνικής ασφάλειας. Με άλλα λόγια, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να βασιστεί σε πιστοποιητικό μόνο εφόσον κρίνει ότι είναι αναγκαίο να βασιστεί στην εξαίρεση για λόγους εθνικής ασφάλειας η οποία, όπως εξηγείται ανωτέρω, πρέπει να εφαρμόζεται κατά περίπτωση (171). Ακόμη και αν ένα πιστοποιητικό εθνικής ασφάλειας εφαρμόζεται στο υπό εξέταση ζήτημα, το ICO μπορεί να διερευνήσει αν η επίκληση της εξαίρεσης της εθνικής ασφάλειας ήταν δικαιολογημένη σε συγκεκριμένη υπόθεση (172).

(131)

Κάθε πρόσωπο που θίγεται άμεσα από την έκδοση του πιστοποιητικού μπορεί να προσφύγει στο εφετείο διοικητικών διαφορών (173) κατά του πιστοποιητικού (174) ή, όταν το πιστοποιητικό προσδιορίζει δεδομένα μέσω γενικής περιγραφής, να προσβάλει την εφαρμογή του πιστοποιητικού σε συγκεκριμένα δεδομένα (175). Το δικαστήριο επανεξετάζει την απόφαση έκδοσης πιστοποιητικού και αποφασίζει αν υπήρχαν βάσιμοι λόγοι για την έκδοση του πιστοποιητικού (176). Μπορεί να εξετάσει ευρύ φάσμα θεμάτων, συμπεριλαμβανομένης της αναγκαιότητας, της αναλογικότητας και της νομιμότητας, λαμβάνοντας υπόψη τον αντίκτυπο στα δικαιώματα των υποκειμένων των δεδομένων και σταθμίζοντας την ανάγκη διαφύλαξης της εθνικής ασφάλειας. Ως εκ τούτου, το δικαστήριο μπορεί να αποφασίσει ότι το πιστοποιητικό δεν εφαρμόζεται σε συγκεκριμένα δεδομένα προσωπικού χαρακτήρα που αποτελούν το αντικείμενο της προσφυγής (177).

(132)

Ένα διαφορετικό σύνολο πιθανών περιορισμών αφορά εκείνους που εφαρμόζονται, σύμφωνα με το παράρτημα 11 του DPA 2018, σε ορισμένες διατάξεις του μέρους 4 του εν λόγω νόμου (178) για τη διασφάλιση άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος ή προστατευόμενων συμφερόντων, όπως, για παράδειγμα, τα κοινοβουλευτικά προνόμια, το δικηγορικό απόρρητο, η διεξαγωγή δικαστικών διαδικασιών ή η αποτελεσματικότητα των ενόπλων δυνάμεων στη μάχη (179). Η εφαρμογή των διατάξεων αυτών είτε εξαιρείται για ορισμένες κατηγορίες πληροφοριών («βάσει κατηγορίας») είτε εξαιρείται στον βαθμό που η εφαρμογή των εν λόγω διατάξεων ενδέχεται να βλάψει τα προστατευόμενα συμφέροντα («βάσει ζημίας») (180). Εξαιρέσεις βάσει ζημίας μπορούν να εφαρμοστούν μόνο εφόσον η εφαρμογή της παρατιθέμενης διάταξης περί προστασίας των δεδομένων ενδέχεται να βλάψει το συγκεκριμένο συμφέρον. Ως εκ τούτου, η χρήση της εξαίρεσης πρέπει πάντοτε να δικαιολογείται με αναφορά στη σχετική ζημία που θα ήταν πιθανόν να προκληθεί στη συγκεκριμένη περίπτωση. Η επίκληση εξαιρέσεων βάσει κατηγορίας μπορεί να πραγματοποιηθεί μόνο σε σχέση με τη συγκεκριμένη, στενά καθορισμένη κατηγορία πληροφοριών για την οποία χορηγείται η εξαίρεση. Οι εξαιρέσεις αυτές είναι παρόμοιες ως προς τον σκοπό και τα αποτελέσματα με αρκετές από τις εξαιρέσεις από τον ΓΚΠΔ του Ηνωμένου Βασιλείου (σύμφωνα με το παράρτημα 2 του DPA 2018), οι οποίες, με τη σειρά τους, αντικατοπτρίζουν εκείνες που προβλέπονται στο άρθρο 23 του ΓΚΠΔ.

(133)

Από τα ανωτέρω συνάγεται ότι οι περιορισμοί και οι όροι ισχύουν βάσει των εφαρμοστέων νομικών διατάξεων του Ηνωμένου Βασιλείου, όπως ερμηνεύονται επίσης από τα δικαστήρια και τον Επίτροπο Πληροφοριών, ώστε να διασφαλίζεται ότι οι εν λόγω εξαιρέσεις και οι εν λόγω περιορισμοί παραμένουν εντός των ορίων της αναγκαιότητας και αναλογικότητας για την προστασία της εθνικής ασφάλειας.

3.2   Πρόσβαση και χρήση από τις δημόσιες αρχές του Ηνωμένου Βασιλείου για σκοπούς επιβολής του ποινικού δικαίου

(134)

Το δίκαιο του Ηνωμένου Βασιλείου επιβάλλει σειρά περιορισμών στην πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του ποινικού δικαίου και προβλέπει μηχανισμούς εποπτείας και προσφυγής στον τομέα αυτόν, οι οποίοι συνάδουν με τις απαιτήσεις που αναφέρονται στις αιτιολογικές σκέψεις 113 έως 115 της παρούσας απόφασης. Οι όροι υπό τους οποίους μπορεί να πραγματοποιηθεί η πρόσβαση αυτή και οι εγγυήσεις που ισχύουν για τη χρήση αυτών των εξουσιών αξιολογούνται λεπτομερώς στις επόμενες ενότητες.

3.2.1   Νομικές βάσεις και εφαρμοστέοι περιορισμοί/εγγυήσεις

(135)

Βάσει της αρχής της νομιμότητας που κατοχυρώνεται με το άρθρο 35 του DPA 2018, η επεξεργασία δεδομένων προσωπικού χαρακτήρα για οποιονδήποτε από τους σκοπούς επιβολής του νόμου είναι σύννομη μόνο εφόσον βασίζεται στον νόμο και είτε το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία για τον σκοπό αυτό (181) είτε η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για τον σκοπό αυτό από αρμόδια αρχή.

3.2.1.1   Εντάλματα έρευνας και εντολές προσκόμισης αποδεικτικών στοιχείων

(136)

Στο νομικό πλαίσιο του Ηνωμένου Βασιλείου, η συλλογή δεδομένων προσωπικού χαρακτήρα από επιχειρηματικούς φορείς, συμπεριλαμβανομένων εκείνων που θα επεξεργάζονταν δεδομένα που θα έχουν διαβιβαστεί από την ΕΕ βάσει της παρούσας απόφασης επάρκειας, για σκοπούς επιβολής του ποινικού δικαίου επιτρέπεται βάσει ενταλμάτων έρευνας (182) και εντολών προσκόμισης αποδεικτικών στοιχείων (183).

(137)

Τα εντάλματα έρευνας εκδίδονται από δικαστήριο, συνήθως κατόπιν αίτησης του ανακριτικού υπαλλήλου. Επιτρέπουν στον ανακριτικό υπάλληλο να εισέλθει σε χώρους για να αναζητήσει υλικό ή άτομα σχετικά με την έρευνά του και να διατηρήσει οτιδήποτε για το οποίο έχει επιτραπεί η έρευνα, συμπεριλαμβανομένων οποιωνδήποτε σχετικών εγγράφων ή υλικού που περιέχει δεδομένα προσωπικού χαρακτήρα (184). Η εντολή προσκόμισης αποδεικτικών στοιχείων, η οποία πρέπει επίσης να εκδοθεί από δικαστήριο, απαιτεί από το πρόσωπο που αναφέρεται σ' αυτήν να προσκομίσει ή να δώσει πρόσβαση σε υλικό το οποίο έχει υπό την κατοχή ή τον έλεγχό του. Ο αιτών πρέπει να εξηγήσει στο δικαστήριο τους λόγους για τους οποίους απαιτείται το ένταλμα ή η εντολή, καθώς και τους λόγους για τους οποίους εξυπηρετεί το δημόσιο συμφέρον. Υπάρχουν διάφορες εξουσίες που προβλέπονται από τον νόμο και επιτρέπουν την έκδοση ενταλμάτων έρευνας και εντολών προσκόμισης αποδεικτικών στοιχείων. Κάθε διάταξη έχει το δικό της σύνολο νομικών προϋποθέσεων οι οποίες πρέπει να πληρούνται για την έκδοση εντάλματος (185) ή εντολής προσκόμισης αποδεικτικών στοιχείων (186).

(138)

Οι εντολές προσκόμισης και τα εντάλματα έρευνας μπορούν να προσβληθούν με προσφυγή δικαστικού ελέγχου (187). Όσον αφορά τις εγγυήσεις, όλες οι αρχές επιβολής του ποινικού δικαίου που εμπίπτουν στο πεδίο εφαρμογής του μέρους 3 του DPA 2018 μπορούν να έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα —η οποία αποτελεί μορφή επεξεργασίας— μόνο σύμφωνα με τις αρχές και τις απαιτήσεις που ορίζονται στον DPA 2018 (βλ. αιτιολογικές σκέψεις 122 και 124 ανωτέρω). Ως εκ τούτου, αίτημα που υποβάλλεται από οποιαδήποτε αρχή επιβολής του νόμου θα πρέπει να συμμορφώνεται με την αρχή σύμφωνα με την οποία οι σκοποί της επεξεργασίας πρέπει να είναι καθορισμένοι, ρητοί και νόμιμοι (188) και τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από αρμόδια αρχή πρέπει να είναι συναφή προς τον σκοπό αυτό και όχι υπερβολικά (189).

3.2.1.2   Ερευνητικές εξουσίες για σκοπούς επιβολής του νόμου

(139)

Για την πρόληψη ή τον εντοπισμό σοβαρών μόνο εγκλημάτων (190), ορισμένες αρχές επιβολής του νόμου, για παράδειγμα η Εθνική Υπηρεσία Δίωξης του Εγκλήματος ή ο Αρχηγός της Αστυνομίας (191), μπορούν να χρησιμοποιούν στοχευμένες ερευνητικές εξουσίες βάσει του IPA 2016. Στην περίπτωση αυτή, οι εγγυήσεις που προβλέπονται από τον IPA 2016 θα εφαρμόζονται επιπλέον εκείνων που προβλέπονται από το μέρος 3 του DPA 2018. Οι συγκεκριμένες ερευνητικές έρευνας στις οποίες μπορούν να βασίζονται οι εν λόγω αρχές επιβολής του νόμου είναι οι εξής: στοχευμένη παρακολούθηση (μέρος 2 του IPA 2016), απόκτηση δεδομένων επικοινωνιών (μέρος 3 του IPA 2016), διατήρηση δεδομένων επικοινωνιών (μέρος 4 του IPA 2016) και στοχευμένη παρεμβολή σε εξοπλισμό (μέρος 5 του IPA 2016). Η παρακολούθηση καλύπτει την απόκτηση του περιεχομένου επικοινωνίας (192), ενώ η απόκτηση και διατήρηση δεδομένων επικοινωνιών δεν αποσκοπεί στην απόκτηση του περιεχομένου της επικοινωνίας, αλλά στο «ποιος», «πότε», «πού» και «πώς» της επικοινωνίας. Αυτό καλύπτει, για παράδειγμα, τον χρόνο και τη διάρκεια μιας επικοινωνίας, τον αριθμό τηλεφώνου ή τη διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα και του αποδέκτη της επικοινωνίας, και ορισμένες φορές τη θέση των συσκευών από τις οποίες πραγματοποιήθηκε η επικοινωνία, τον συνδρομητή μιας τηλεφωνικής υπηρεσίας ή αναλυτικό λογαριασμό (193). Η παρεμβολή σε εξοπλισμό είναι ένα σύνολο τεχνικών που χρησιμοποιούνται για την απόκτηση ποικίλων δεδομένων από εξοπλισμό, συμπεριλαμβανομένων των υπολογιστών, ταμπλετών και έξυπνων τηλεφώνων, καθώς και των καλωδίων, συρμάτων και συσκευών αποθήκευσης (194).

(140)

Στοχευμένες εξουσίες παρακολούθησης μπορούν επίσης να χρησιμοποιούνται όταν «είναι αναγκαίες για την εφαρμογή των διατάξεων πράξης αμοιβαίας συνδρομής της ΕΕ ή διεθνούς συμφωνίας αμοιβαίας συνδρομής» (το λεγόμενο «ένταλμα αμοιβαίας συνδρομής» (195)). Εντάλματα αμοιβαίας συνδρομής παρέχονται μόνο σε σχέση με την παρακολούθηση και όχι με την απόκτηση δεδομένων επικοινωνιών ή με παρεμβολές σε εξοπλισμό. Αυτές οι στοχευμένες εξουσίες ρυθμίζονται με τον νόμο του 2016 για τις ερευνητικές εξουσίες (Investigatory Powers Act 2016, IPA 2016) (196), ο οποίος, σε συνδυασμό με τον νόμο του 2000 για τη ρύθμιση των ερευνητικών εξουσιών (Regulation of Investigatory Powers Act 2000, RIPA 2000) για την Αγγλία, την Ουαλία και τη Βόρεια Ιρλανδία και τον νόμο του 2000 για τη ρύθμιση στη Σκωτία των ερευνητικών εξουσιών [Regulation of Investigatory Powers (Scotland) Act 2000, RIPSA] για τη Σκωτία, παρέχει τη νομική βάση και καθορίζει τους εφαρμοστέους περιορισμούς και τις εγγυήσεις για τη χρήση των εν λόγω εξουσιών. Ο IPA 2016 προβλέπει επίσης το καθεστώς για τη χρήση μαζικών ερευνητικών εξουσιών, παρότι αυτές δεν είναι διαθέσιμες στις αρχές επιβολής του νόμου (μόνο οι υπηρεσίες πληροφοριών μπορούν να τις χρησιμοποιήσουν) (197).

(141)

Για την άσκηση αυτών των εξουσιών, οι αρχές πρέπει να λάβουν ένταλμα (198) που εκδίδεται από αρμόδια αρχή (199) και εγκρίνεται από ανεξάρτητο δικαστικό επίτροπο (200) (η λεγόμενη διαδικασία «διπλής διασφάλισης»). Η λήψη του εν λόγω εντάλματος υπόκειται σε έλεγχο αναγκαιότητας και αναλογικότητας (201). Δεδομένου ότι οι εν λόγω στοχευμένες ερευνητικές εξουσίες που παρέχονται από τον IPA 2016 είναι οι ίδιες με εκείνες που διαθέτουν οι υπηρεσίες εθνικής ασφάλειας, οι όροι, οι περιορισμοί και οι εγγυήσεις που ισχύουν για τις εν λόγω εξουσίες εξετάζονται λεπτομερώς στην ενότητα σχετικά με την πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα από τις δημόσιες αρχές του Ηνωμένου Βασιλείου για σκοπούς εθνικής ασφάλειας (βλ. αιτιολογικές σκέψεις 177 και επόμενες).

3.2.2   Περαιτέρω χρήση των συλλεγόμενων πληροφοριών

(142)

Η κοινοποίηση δεδομένων από αρχή επιβολής του νόμου σε άλλη αρχή για σκοπούς άλλους από εκείνους για τους οποίους συλλέχθηκαν αρχικά (η λεγόμενη «περαιτέρω κοινοποίηση») υπόκειται σε ορισμένους όρους.

(143)

Όπως προβλέπεται και στο άρθρο 4 παράγραφος 2 της οδηγίας (ΕΕ) 2016/680, το άρθρο 36 παράγραφος 3 του DPA 2018 επιτρέπει την περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα που συλλέχθηκαν από αρμόδια αρχή για σκοπούς επιβολής του νόμου (είτε από τον αρχικό υπεύθυνο επεξεργασίας είτε από άλλον υπεύθυνο επεξεργασίας) για οποιονδήποτε άλλο σκοπό επιβολής του νόμου, υπό την προϋπόθεση ότι ο υπεύθυνος επεξεργασίας είναι εκ του νόμου εξουσιοδοτημένος να επεξεργάζεται δεδομένα για αυτόν τον άλλον σκοπό και ότι η επεξεργασία είναι απαραίτητη και ανάλογη προς τον σκοπό αυτό (202). Στην περίπτωση αυτή, όλες οι εγγυήσεις που προβλέπονται στο μέρος 3 του DPA 2018, οι οποίες αναφέρονται στις αιτιολογικές σκέψεις 122 και 124, έχουν εφαρμογή στην επεξεργασία που διενεργείται από την αποδέκτρια αρχή.

(144)

Στην έννομη τάξη του Ηνωμένου Βασιλείου, η εν λόγω περαιτέρω κοινοποίηση επιτρέπεται ρητά από διάφορους νόμους. Ειδικότερα, i) ο νόμος του 2017 για την ψηφιακή οικονομία (Digital Economy Act 2017) επιτρέπει την ανταλλαγή δεδομένων μεταξύ δημόσιων αρχών για διάφορους σκοπούς, για παράδειγμα στην περίπτωση απάτης σε βάρος του δημόσιου τομέα η οποία συνεπάγεται ζημία ή κίνδυνο ζημίας για δημόσιες αρχές (203) ή σε περίπτωση χρέους προς δημόσια αρχή ή προς το Στέμμα (204)· ii) ο νόμος του 2013 για τη δίωξη του εγκλήματος και τα δικαστήρια (Crime and Courts Act 2013) επιτρέπει την κοινοποίηση πληροφοριών στην Εθνική Υπηρεσία Δίωξης του Εγκλήματος (National Crime Agency, NCA) (205) με σκοπό την καταπολέμηση, τη διερεύνηση και τη δίωξη του σοβαρού και του οργανωμένου εγκλήματος· iii) ο νόμος του 2007 για τη δίωξη σοβαρών εγκλημάτων (Serious Crime Act 2007) επιτρέπει στις δημόσιες αρχές να κοινοποιούν πληροφορίες σε οργανισμούς καταπολέμησης της απάτης με σκοπό την πρόληψη της απάτης (206).

(145)

Οι νόμοι αυτοί προβλέπουν ρητά ότι η κοινοποίηση πληροφοριών θα πρέπει να πραγματοποιείται σύμφωνα με τις αρχές που καθορίζονται στον DPA 2018. Επιπλέον, το Σώμα των Εργαζομένων στην Αστυνόμευση (College of Policing) έχει εκδώσει μια εγκεκριμένη επαγγελματική πρακτική σχετικά με την κοινοποίηση πληροφοριών (207) προκειμένου να συνδράμει την αστυνομία στη συμμόρφωση με τις υποχρεώσεις της όσον αφορά την προστασία δεδομένων βάσει του ΓΚΠΔ του Ηνωμένου Βασιλείου, του DPA και του νόμου του 1998 για τα ανθρώπινα δικαιώματα. Η συμμόρφωση της κοινοποίησης με το ισχύον νομικό πλαίσιο για την προστασία των δεδομένων υπόκειται, φυσικά, σε δικαστικό έλεγχο (208).

(146)

Επιπλέον, όπως προβλέπεται και στο άρθρο 9 της οδηγίας (ΕΕ) 2016/680, ο DPA 2018 προβλέπει ότι τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται για οποιονδήποτε σκοπό επιβολής του νόμου μπορούν να υποβάλλονται σε επεξεργασία για σκοπό που δεν ανάγεται στην επιβολή του νόμου, αν η επεξεργασία επιτρέπεται από τον νόμο (209).

(147)

Αυτού του είδους η κοινοποίηση καλύπτει δύο σενάρια: 1) την περίπτωση στην οποία μια αρχή επιβολής του ποινικού δικαίου κοινοποιεί δεδομένα σε αρχή επιβολής του νόμου σε τομείς εκτός του ποινικού δικαίου η οποία δεν είναι υπηρεσία πληροφοριών (όπως π.χ. οικονομική ή φορολογική αρχή, αρχή ανταγωνισμού, υπηρεσία κοινωνικής μέριμνας για τους νέους κ.λπ.). και 2) την περίπτωση στην οποία μια αρχή επιβολής του ποινικού δικαίου κοινοποιεί δεδομένα σε υπηρεσία πληροφοριών. Στο πρώτο σενάριο, η επεξεργασία δεδομένων προσωπικού χαρακτήρα εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ του Ηνωμένου Βασιλείου, καθώς και στο μέρος 2 του DPA 2018. Η Επιτροπή αξιολόγησε τις εγγυήσεις που παρέχουν ο ΓΚΠΔ του Ηνωμένου Βασιλείου και το μέρος 2 του DPA 2018 στις αιτιολογικές σκέψεις 12 έως 111 και κατέληξε στο συμπέρασμα ότι το Ηνωμένο Βασίλειο διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο του πεδίου εφαρμογής του κανονισμού (ΕΕ) 2016/679 από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο.

(148)

Στο δεύτερο σενάριο, όσον αφορά την κοινοποίηση δεδομένων που έχουν συλλεχθεί από αρχή επιβολής του ποινικού δικαίου σε υπηρεσία πληροφοριών για σκοπούς εθνικής ασφάλειας, η νομική βάση που επιτρέπει την κοινοποίηση αυτή είναι το άρθρο 19 του νόμου του 2008 για την καταπολέμηση της τρομοκρατίας (Counter Terrorism Act, CTA 2008) (210). Σύμφωνα με τον νόμο αυτό, κάθε πρόσωπο μπορεί να παρέχει πληροφορίες σε οποιαδήποτε υπηρεσία πληροφοριών με σκοπό την εκτέλεση οποιουδήποτε καθήκοντος της εν λόγω υπηρεσίας, μεταξύ άλλων για σκοπούς «εθνικής ασφάλειας».

(149)

Όσον αφορά τους όρους υπό τους οποίους μπορούν να κοινοποιούνται δεδομένα για σκοπούς εθνικής ασφάλειας, ο νόμος για τις υπηρεσίες πληροφοριών (Intelligence Services Act) (211) και ο νόμος για την Υπηρεσία Ασφάλειας (Security Service Act) (212) περιορίζουν τη δυνατότητα των υπηρεσιών πληροφοριών να λαμβάνουν δεδομένα σε ό,τι είναι αναγκαίο για την εκπλήρωση των εκ του νόμου καθηκόντων τους. Οι υπηρεσίες επιβολής του νόμου που επιθυμούν να κοινοποιήσουν δεδομένα σε υπηρεσίες πληροφοριών θα πρέπει να εξετάσουν διάφορους παράγοντες/περιορισμούς, επιπλέον των εκ του νόμου καθηκόντων των υπηρεσιών τα οποία καθορίζονται στον νόμο για τις υπηρεσίες πληροφοριών και στον νόμο για την Υπηρεσία Ασφάλειας (213). Το άρθρο 20 του CTA 2008 ορίζει σαφώς ότι κάθε κοινοποίηση δεδομένων που πραγματοποιείται σύμφωνα με το άρθρο 19 πρέπει να είναι σύμφωνη με τη νομοθεσία για την προστασία των δεδομένων· αυτό σημαίνει ότι εφαρμόζονται όλοι οι περιορισμοί και οι απαιτήσεις του μέρους 3 του DPA 2018. Επιπλέον, δεδομένου ότι οι αρμόδιες αρχές είναι δημόσιες αρχές για τους σκοπούς του νόμου του 1998 για τα ανθρώπινα δικαιώματα, οφείλουν να διασφαλίζουν ότι ενεργούν σύμφωνα με τα δικαιώματα της Σύμβασης, συμπεριλαμβανομένου του άρθρου 8 της ΕΣΔΑ. Τα όρια αυτά διασφαλίζουν ότι κάθε ανταλλαγή δεδομένων μεταξύ των υπηρεσιών επιβολής του νόμου και των υπηρεσιών πληροφοριών είναι σύμφωνη με τη νομοθεσία για την προστασία των δεδομένων και με την ΕΣΔΑ

(150)

Όταν αρμόδια αρχή προτίθεται να κοινοποιήσει δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία βάσει του μέρους 3 του DPA 2018 σε αρχές επιβολής του νόμου τρίτης χώρας, ισχύουν ειδικές απαιτήσεις (214). Ειδικότερα, οι διαβιβάσεις αυτές μπορούν να πραγματοποιούνται αν βασίζονται σε κανονισμούς περί επάρκειας που εκδίδει ο υπουργός ή, ελλείψει τέτοιων κανονισμών, αν εξασφαλίζονται κατάλληλες εγγυήσεις. Το άρθρο 75 του DPA 2018 ορίζει ότι κατάλληλες εγγυήσεις υπάρχουν εφόσον έχουν θεσπιστεί με νομική πράξη που δεσμεύει τον μελλοντικό αποδέκτη ή εφόσον ο υπεύθυνος επεξεργασίας, αφού αξιολογήσει όλες τις περιστάσεις που σχετίζονται με τις διαβιβάσεις αυτού του είδους δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό, καταλήγει στο συμπέρασμα ότι υπάρχουν κατάλληλες εγγυήσεις για την προστασία των δεδομένων.

(151)

Εάν διαβίβαση δεν βασίζεται σε κανονισμό περί επάρκειας ή σε κατάλληλες εγγυήσεις, μπορεί να πραγματοποιηθεί μόνο σε ορισμένες, ειδικές περιστάσεις, οι οποίες αναφέρονται ως «ειδικές περιστάσεις» (215). Αυτό συμβαίνει όταν η διαβίβαση είναι αναγκαία: α) για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου· β) για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων· γ) για την αποτροπή άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας κράτους μέλους ή τρίτης χώρας· δ) σε μεμονωμένες περιπτώσεις για οποιονδήποτε σκοπό επιβολής του νόμου· ή ε) σε μεμονωμένες περιπτώσεις για νόμιμο σκοπό (όπως στο πλαίσιο νομικής διαδικασίας ή για τη λήψη νομικών συμβουλών). Επισημαίνεται ότι τα στοιχεία δ) και ε) δεν εφαρμόζονται εάν τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων υπερισχύουν του δημόσιου συμφέροντος που εξυπηρετεί η διαβίβαση. Αυτό το σύνολο περιστάσεων αντιστοιχεί στις ειδικές καταστάσεις και προϋποθέσεις που χαρακτηρίζονται ως «παρεκκλίσεις» βάσει του άρθρου 38 της οδηγίας (ΕΕ) 2016/680.

(152)

Επιπλέον, όταν το υλικό που αποκτούν οι αρχές επιβολής του νόμου βάσει εντάλματος που επιτρέπει τη χρήση παρακολούθησης ή παρεμβολής σε εξοπλισμό διαβιβάζεται σε τρίτη χώρα, ο IPA 2016 προβλέπει πρόσθετες εγγυήσεις. Ειδικότερα, η κοινοποίηση αυτή, η οποία ορίζεται ως «κοινοποίηση στο εξωτερικό», επιτρέπεται μόνο εάν η αρχή έκδοσης του εντάλματος θεωρεί ότι υπάρχουν ειδικές κατάλληλες ρυθμίσεις που περιορίζουν τον αριθμό των προσώπων στα οποία κοινοποιούνται τα δεδομένα, τον βαθμό στο οποίον το υλικό κοινοποιείται ή καθίσταται διαθέσιμο, καθώς και τον βαθμό στον οποίο μπορεί να αντιγραφεί οποιοδήποτε τμήμα του υλικού και τον αριθμό των αντιγράφων. Επιπλέον, η αρχή έκδοσης μπορεί να κρίνει ότι απαιτούνται κατάλληλες ρυθμίσεις για να εξασφαλιστεί ότι όλα τα αντίγραφα οποιουδήποτε τμήματος του εν λόγω υλικού θα καταστραφούν αμέσως μόλις εκλείψουν οι λόγοι για τη διατήρησή τους (εάν δεν έχουν καταστραφεί νωρίτερα) (216).

(153)

Τέλος, ειδικές μορφές περαιτέρω διαβιβάσεων από το Ηνωμένο Βασίλειο προς τις Ηνωμένες Πολιτείες θα μπορούσαν να πραγματοποιούνται στο μέλλον βάσει της «συμφωνίας μεταξύ της κυβέρνησης του Ηνωμένου Βασιλείου της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας και της κυβέρνησης των Ηνωμένων Πολιτειών της Αμερικής για την πρόσβαση σε ηλεκτρονικά δεδομένα με σκοπό την αντιμετώπιση σοβαρών μορφών εγκλήματος (στο εξής: «συμφωνία Ηνωμένου Βασιλείου–ΗΠΑ» ή «συμφωνία») (217), η οποία συνάφθηκε στο τέλος Οκτωβρίου 2019 (218). Μολονότι η συμφωνία Ηνωμένου Βασιλείου–ΗΠΑ δεν έχει ακόμη τεθεί σε ισχύ κατά τον χρόνο έκδοσης της παρούσας απόφασης, η προβλεπόμενη θέση της σε ισχύ ενδέχεται να επηρεάσει τις περαιτέρω διαβιβάσεις στις ΗΠΑ δεδομένων τα οποία είχαν αρχικά διαβιβαστεί στο Ηνωμένο Βασίλειο βάσει της απόφασης. Ειδικότερα, δεδομένα που θα έχουν διαβιβαστεί από την ΕΕ σε παρόχους υπηρεσιών στο Ηνωμένο Βασίλειο θα μπορούσαν να αποτελέσουν το αντικείμενο εντολών προσκόμισης ηλεκτρονικών αποδεικτικών στοιχείων οι οποίες θα έχουν εκδοθεί από αρμόδιες αρχές επιβολής του νόμου των ΗΠΑ και οι οποίες εντολές θα καταστούν εφαρμοστές στο Ηνωμένο Βασίλειο, μόλις η εν λόγω συμφωνία τεθεί σε ισχύ. Για τους λόγους αυτούς, η αξιολόγηση των όρων και των εγγυήσεων υπό τις οποίες οι εντολές αυτές μπορούν να εκδοθούν και να εκτελεστούν είναι σημαντική για την παρούσα απόφαση.

(154)

Στο πλαίσιο αυτό, θα πρέπει να σημειωθεί ότι, πρώτον, όσον αφορά το καθ’ ύλην πεδίο εφαρμογής της, η συμφωνία εφαρμόζεται μόνο σε εγκλήματα που τιμωρούνται με ποινή φυλάκισης το ανώτατο όριο της οποίας ανέρχεται τουλάχιστον σε τρία έτη (και τα οποία ορίζονται ως «σοβαρά εγκλήματα») (219), συμπεριλαμβανομένης της «τρομοκρατικής δραστηριότητας». Δεύτερον, δεδομένα που υποβάλλονται σε επεξεργασία σε άλλη δικαιοδοσία μπορούν να ληφθούν βάσει της συμφωνίας αυτής μόνο κατόπιν «εντολής [...] που υπόκειται σε έλεγχο ή εποπτεία βάσει του εγχώριου δικαίου του μέρους έκδοσης από δικαστήριο, δικαστή, ειρηνοδίκη ή άλλη ανεξάρτητη αρχή πριν από ή στο πλαίσιο διαδικασίας που αφορά την εκτέλεση της εντολής» (220). Τρίτον, η εντολή πρέπει «να βασίζεται σε απαιτήσεις εύλογης δικαιολόγησης, με βάση σαφή και αξιόπιστα πραγματικά περιστατικά, την ιδιαιτερότητα των περιστάσεων, τη νομιμότητα και τη σοβαρότητα της συμπεριφοράς που τελεί υπό διερεύνηση» (221) και «να αφορά συγκεκριμένους λογαριασμούς, καθώς και να ταυτοποιεί συγκεκριμένο πρόσωπο, λογαριασμό, διεύθυνση ή προσωπική συσκευή ή οποιοδήποτε άλλο συγκεκριμένο αναγνωριστικό στοιχείο» (222). Τέταρτον, τα δεδομένα που λαμβάνονται στο πλαίσιο της συμφωνίας τυγχάνουν ισοδύναμης προστασίας με αυτήν που παρέχουν οι ειδικές εγγυήσεις που προβλέπει η λεγόμενη «συμφωνία-πλαίσιο ΕΕ–ΗΠΑ» (223) —μια συνολική συμφωνία για την προστασία των δεδομένων η οποία συνάφθηκε τον Δεκέμβριο του 2016 μεταξύ της ΕΕ και των ΗΠΑ και η οποία καθορίζει τις εγγυήσεις και τα δικαιώματα που ισχύουν για τις διαβιβάσεις δεδομένων στον τομέα της συνεργασίας για την επιβολή του νόμου—, οι οποίες ενσωματώνονται στο σύνολό τους στη συμφωνία μέσω παραπομπής, με αναλογική εφαρμογή, ώστε να λαμβάνεται ιδίως υπόψη η ειδική φύση των διαβιβάσεων (π.χ. διαβιβάσεις από ιδιωτικούς φορείς σε αρχές επιβολής του νόμου, αντί διαβιβάσεων μεταξύ αρχών επιβολής του νόμου) (224). Η συμφωνία Ηνωμένου Βασιλείου–ΗΠΑ προβλέπει ειδικά ότι εφαρμόζεται ισοδύναμη προστασία με αυτήν που παρέχει η συμφωνία-πλαίσιο ΕΕ–ΗΠΑ «σε όλες τις προσωπικές πληροφορίες που προσκομίζονται κατά την εκτέλεση εντολών που υπόκεινται στη συμφωνία, ώστε να εξασφαλίζεται ισοδύναμη προστασία» (225).

(155)

Ως εκ τούτου, τα δεδομένα που διαβιβάζονται στις αρχές των ΗΠΑ στο πλαίσιο της συμφωνίας Ηνωμένου Βασιλείου–ΗΠΑ θα πρέπει να τυγχάνουν της προστασίας που παρέχεται από νομική πράξη της ΕΕ, με τις αναγκαίες προσαρμογές ώστε να αντικατοπτρίζεται η φύση των επίμαχων διαβιβάσεων. Οι αρχές του Ηνωμένου Βασιλείου επιβεβαίωσαν επίσης ότι η προστασία που παρέχει η συμφωνία-πλαίσιο θα εφαρμόζεται σε όλες τις προσωπικές πληροφορίες που προσκομίζονται ή τηρούνται στο πλαίσιο της συμφωνίας, ανεξάρτητα από τη φύση ή το είδος του φορέα που υποβάλλει το αίτημα (π.χ. τόσο όταν το αίτημα υποβάλλεται από τις ομοσπονδιακές αρχές όσο και όταν υποβάλλεται από τις πολιτειακές αρχές επιβολής του νόμου στις ΗΠΑ), ώστε να παρέχεται ισοδύναμη προστασία σε όλες τις περιπτώσεις. Ωστόσο, οι αρχές του Ηνωμένου Βασιλείου εξήγησαν επίσης ότι οι λεπτομέρειες της συγκεκριμένης εφαρμογής των εγγυήσεων προστασίας των δεδομένων εξακολουθούν να αποτελούν αντικείμενο συζητήσεων μεταξύ του Ηνωμένου Βασιλείου και των ΗΠΑ. Στο πλαίσιο των συνομιλιών με τις υπηρεσίες της Ευρωπαϊκής Επιτροπής σχετικά με την παρούσα απόφαση, οι αρχές του Ηνωμένου Βασιλείου επιβεβαίωσαν ότι θα επιτρέψουν τη θέση της συμφωνίας σε ισχύ μόνο εφόσον βεβαιωθούν ότι η εφαρμογή της συνάδει με τις νομικές υποχρεώσεις που προβλέπονται σ' αυτή, συμπεριλαμβανομένης της σαφήνειας όσον αφορά τη συμμόρφωση με τα πρότυπα προστασίας των δεδομένων σε σχέση με οποιαδήποτε δεδομένα ζητούνται στο πλαίσιο της συμφωνίας. Δεδομένου ότι η πιθανή θέση της συμφωνίας σε ισχύ μπορεί να επηρεάσει το επίπεδο προστασίας που εξετάζεται στην παρούσα απόφαση, κάθε πληροφορία και μελλοντική διευκρίνιση σχετικά με τον τρόπο με τον οποίο οι ΗΠΑ θα συμμορφωθούν με τις υποχρεώσεις τους στο πλαίσιο της συμφωνίας θα πρέπει να κοινοποιηθεί από το Ηνωμένο Βασίλειο στην Ευρωπαϊκή Επιτροπή, αμέσως μόλις καταστεί διαθέσιμη και σε κάθε περίπτωση πριν από την έναρξη ισχύος της συμφωνίας, προκειμένου να εξασφαλιστεί η ορθή παρακολούθηση της παρούσας απόφασης σύμφωνα με το άρθρο 45 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679. Ιδιαίτερη προσοχή θα δοθεί στην εφαρμογή και την προσαρμογή της προστασίας που παρέχει η συμφωνία-πλαίσιο για το συγκεκριμένο είδος διαβιβάσεων που καλύπτεται από τη συμφωνία Ηνωμένου Βασιλείου–ΗΠΑ.

(156)

Γενικότερα, κάθε σχετική εξέλιξη όσον αφορά τη θέση της συμφωνίας σε ισχύ και την εφαρμογή της θα λαμβάνεται δεόντως υπόψη στο πλαίσιο της συνεχούς παρακολούθησης της παρούσας απόφασης, μεταξύ άλλων όσον αφορά τις αναγκαίες συνέπειες που πρέπει να συναχθούν σε περίπτωση ενδείξεων ότι δεν διασφαλίζεται πλέον ουσιωδώς ισοδύναμο επίπεδο προστασίας.

3.2.3   Εποπτεία

(157)

Ανάλογα με τις εξουσίες που ασκούν οι αρμόδιες αρχές κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του νόμου (στο πλαίσιο είτε του DPA 2018 είτε του IPA 2016), η εποπτεία της άσκησης των εν λόγω εξουσιών διασφαλίζεται από διάφορα όργανα. Ειδικότερα, ο Επίτροπος Πληροφοριών (Information Commissioner) εποπτεύει την επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν αυτή εμπίπτει στο πεδίο εφαρμογής του μέρους 3 του DPA 2018 (226). Η ανεξάρτητη και δικαστική εποπτεία της άσκησης των ερευνητικών εξουσιών στο πλαίσιο του IPA 2016 διασφαλίζεται από το Γραφείο του Επιτρόπου Ερευνητικών Εξουσιών (Investigatory Powers Commissioner’s Office, IPCO) (227) (το ζήτημα αυτό εξετάζεται στις αιτιολογικές σκέψεις 250 έως 255). Επιπλέον, διασφαλίζεται πρόσθετη εποπτεία τόσο από το Κοινοβούλιο όσο και από άλλα όργανα.

3.2.3.1   Εποπτεία στο πλαίσιο του μέρους 3 του DPA 2018

(158)

Τα γενικά καθήκοντα του Επιτρόπου Πληροφοριών —οργάνου του οποίου η ανεξαρτησία και η οργάνωση εξηγούνται στην αιτιολογική σκέψη 87— σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που εμπίπτει στο πεδίο εφαρμογής του μέρους 3 του DPA 2018 καθορίζονται στο παράρτημα 13 του εν λόγω νόμου. Κύριο καθήκον του Γραφείου του Επιτρόπου Πληροφοριών είναι η παρακολούθηση και η επιβολή του μέρους 3 του DPA 2018, καθώς και η προώθηση της ευαισθητοποίησης του κοινού και η παροχή συμβουλών στο Κοινοβούλιο, στην κυβέρνηση και σε άλλα όργανα και φορείς. Για τη διατήρηση της ανεξαρτησίας της δικαστικής εξουσίας, ο Επίτροπος Πληροφοριών δεν έχει την εξουσία να ασκεί τα καθήκοντά του σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από πρόσωπο που ενεργεί υπό δικαστική ιδιότητα ή από δικαστήριο που ενεργεί στο πλαίσιο της δικαιοδοτικής του αρμοδιότητας. Στις περιπτώσεις αυτές, τα καθήκοντα εποπτείας ασκούνται από άλλους φορείς, όπως εξηγείται στις αιτιολογικές σκέψεις 99 έως 103.

(159)

Ο Επίτροπος διαθέτει γενικές ερευνητικές, διορθωτικές, αδειοδοτικές και συμβουλευτικές εξουσίες σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που διέπεται από το μέρος 3. Ειδικότερα, ο Επίτροπος έχει την εξουσία να ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του μέρους 3 του DPA 2018, να απευθύνει προειδοποιήσεις ή επίπληξη σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία που παραβίασε τις διατάξεις του μέρους 3 του νόμου, καθώς και να εκδίδει γνώμες, με δική του πρωτοβουλία ή κατόπιν αιτήματος, προς το Κοινοβούλιο, την κυβέρνηση ή άλλα όργανα και οργανισμούς, καθώς και προς το κοινό, σχετικά με κάθε θέμα που σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα (228).

(160)

Επιπλέον, ο Επίτροπος έχει την εξουσία να εκδίδει ειδοποιήσεις παροχής πληροφοριών (229), ειδοποιήσεις διενέργειας αξιολόγησης (230) και ειδοποιήσεις επιβολής μέτρων (231), καθώς και την εξουσία να αποκτά πρόσβαση σε έγγραφα των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, να αποκτά πρόσβαση στις εγκαταστάσεις τους (232) και να επιβάλλει διοικητικά πρόστιμα με την μορφή ειδοποιήσεων επιβολής κυρώσεων (233). Η πολιτική ρυθμιστικής δράσης του Γραφείου του Επιτρόπου Πληροφοριών καθορίζει τις περιστάσεις υπό τις οποίες ο Επίτροπος εκδίδει ειδοποιήσεις παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων και επιβολής κυρώσεων (234) [βλ. επίσης αιτιολογική σκέψη 93 και τις αιτιολογικές σκέψεις 101-102 της απόφασης επάρκειας βάσει της οδηγίας (ΕΕ) 2016/680].

(161)

Σύμφωνα με τις τελευταίες ετήσιες εκθέσεις του (2018-2019 (235), 2019-2020 (236)), ο Επίτροπος Πληροφοριών έχει διεξαγάγει σειρά ερευνών και έχει λάβει μέτρα επιβολής όσον αφορά την επεξεργασία δεδομένων από τις αρχές επιβολής του νόμου. Για παράδειγμα, ο Επίτροπος διεξήγαγε έρευνα και δημοσίευσε γνώμη, τον Οκτώβριο του 2019, σχετικά με τη χρήση της τεχνολογίας αναγνώρισης προσώπου σε δημόσιους χώρους από τις αρχές επιβολής του νόμου. Η έρευνα αυτή επικεντρώθηκε κυρίως στη χρήση των δυνατοτήτων αναγνώρισης προσώπου σε ζωντανή σύνδεση από την αστυνομία της Νότιας Ουαλίας και τη Μητροπολιτική Αστυνομία (MPS). Ο Επίτροπος Πληροφοριών διερεύνησε επίσης το «μητρώο συμμοριών» («Gangs Matrix» (237)) της Μητροπολιτικής Αστυνομίας και διαπίστωσε σειρά σοβαρών παραβιάσεων της νομοθεσίας για την προστασία των δεδομένων οι οποίες ήταν πιθανόν να υπονομεύσουν την εμπιστοσύνη του κοινού στο εν λόγω μητρώο και τον τρόπο χρήσης των δεδομένων. Τον Νοέμβριο του 2018 ο Επίτροπος Πληροφοριών εξέδωσε ειδοποίηση επιβολής μέτρων και στη συνέχεια η Μητροπολιτική Αστυνομία έλαβε τα απαιτούμενα μέτρα για την ενίσχυση της ασφάλειας και της λογοδοσίας, καθώς και για τη διασφάλιση της αναλογικής χρήσης των δεδομένων. Άλλο ένα παράδειγμα επιβολής στον τομέα αυτό είναι το πρόστιμο των 325 000 GBP που επέβαλε ο Επίτροπος τον Μάιο του 2018 σε βάρος της Εισαγγελικής Αρχής του Στέμματος (Crown Prosecution Service, CPC) για την απώλεια μη κρυπτογραφημένων DVD που περιείχαν ηχογραφήσεις καταθέσεων στην αστυνομία. Ο Επίτροπος Πληροφοριών διεξήγαγε επίσης έρευνες για θέματα ευρύτερου ενδιαφέροντος, όπως, για παράδειγμα, έρευνα κατά το πρώτο εξάμηνο του 2020 σχετικά με τη χρήση της εξαγωγής δεδομένων από κινητά τηλέφωνα για σκοπούς αστυνόμευσης και σχετικά με την επεξεργασία δεδομένων θυμάτων από την αστυνομία. Επιπλέον, ο Επίτροπος διερευνά επί του παρόντος υπόθεση που αφορά την πρόσβαση των αρχών επιβολής του νόμου σε δεδομένα που βρίσκονται στην κατοχή οντότητας του ιδιωτικού τομέα, της Clearview AI Inc. (238)

(162)

Πέρα από τις εξουσίες επιβολής του Επιτρόπου Πληροφοριών που αναφέρονται στις αιτιολογικές σκέψεις 160 και 161, ορισμένες παραβιάσεις της νομοθεσίας για την προστασία των δεδομένων συνιστούν αδικήματα και, ως εκ τούτου, είναι δυνατόν να επιφέρουν ποινικές κυρώσεις (άρθρο 196 του DPA 2018). Αυτό ισχύει, για παράδειγμα, για την απόκτηση, την κοινοποίηση ή τη διατήρηση δεδομένων προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπευθύνου επεξεργασίας και για την ηθική αυτουργία στην κοινοποίηση δεδομένων προσωπικού χαρακτήρα σε άλλο πρόσωπο χωρίς τη συγκατάθεση του υπευθύνου επεξεργασίας (239)· για την επαναταυτοποίηση πληροφοριών που αποτελούν αποταυτοποιημένα δεδομένα προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπεύθυνου για την αποταυτοποίηση των δεδομένων προσωπικού χαρακτήρα υπευθύνου επεξεργασίας (240)· για τη με πρόθεση παρακώλυση της άσκησης των εξουσιών του Επιτρόπου όσον αφορά την επιθεώρηση δεδομένων προσωπικού χαρακτήρα σύμφωνα με διεθνείς υποχρεώσεις (241), την υποβολή ψευδών δηλώσεων σε απάντηση σε ειδοποίηση παροχής πληροφοριών ή την καταστροφή πληροφοριών σε σχέση με ειδοποιήσεις παροχής πληροφοριών και διενέργειας αξιολόγησης (242).

3.2.3.2   Άλλοι φορείς εποπτείας στον τομέα της επιβολής του ποινικού δικαίου

(163)

Εκτός από τον Επίτροπο Πληροφοριών, υπάρχουν διάφοροι φορείς εποπτείας στον τομέα της επιβολής του ποινικού δικαίου, με ειδική εντολή σχετική με ζητήματα προστασίας των δεδομένων. Σ' αυτούς περιλαμβάνονται, για παράδειγμα, ο Επίτροπος για τη Διατήρηση και Χρήση Βιομετρικού Υλικού (Commissioner for the Retention and Use of Biometric Material) (στο εξής: Επίτροπος Βιομετρικών Στοιχείων) (243) και ο Επίτροπος για τις Κάμερες Παρακολούθησης (Surveillance Camera Commissioner) (244).

3.2.3.3   Κοινοβουλευτική εποπτεία στον τομέα της επιβολής του ποινικού δικαίου

(164)

Η Ειδική Επιτροπή Εσωτερικών Υποθέσεων (Home Affairs Select Committee, HASC) εξασφαλίζει την κοινοβουλευτική εποπτεία στον τομέα της επιβολής του νόμου. Η επιτροπή αυτή αποτελείται από 11 βουλευτές, οι οποίοι προέρχονται από τα τρία μεγαλύτερα πολιτικά κόμματα. Καθήκον της είναι να εξετάζει τις δαπάνες, τη διοίκηση και την πολιτική του Υπουργείου Εσωτερικών (Home Office) και των συναφών δημόσιων φορέων, συμπεριλαμβανομένων, δηλαδή, της αστυνομίας και της Εθνικής Υπηρεσίας Δίωξης του Εγκλήματος (NCA) — της οποίας το έργο έχει ειδικά τη δυνατότητα να ελέγχει (245).

(165)

Η εν λόγω επιτροπή μπορεί, εντός των ορίων των αρμοδιοτήτων της, να επιλέξει το αντικείμενο επί του οποίου θα διενεργήσει έρευνα, συμπεριλαμβανομένων συγκεκριμένων υποθέσεων, υπό την προϋπόθεση ότι το ζήτημα δεν έχει ήδη υποβληθεί στην κρίση δικαστηρίου. Η επιτροπή μπορεί επίσης να ζητά γραπτές και προφορικές αποδείξεις από ευρύ φάσμα σχετικών ομάδων και ατόμων. Συντάσσει εκθέσεις σχετικά με τα πορίσματά της και εκδίδει συστάσεις προς την κυβέρνηση (246). Η κυβέρνηση οφείλει να απαντά σε όλες τις συστάσεις της έκθεσης, εντός 60 ημερών (247).

(166)

Στον τομέα της επιτήρησης, η επιτροπή συνέταξε επίσης έκθεση σχετικά με τον νόμο του 2000 για τη ρύθμιση των ερευνητικών εξουσιών (RIPA 2000) (248), στο πλαίσιο της οποίας κατέληξε στη διαπίστωση ότι ο RIPA 2000 δεν ήταν κατάλληλος για τους επιδιωκόμενους σκοπούς. Η έκθεση αυτή ελήφθη υπόψη κατά την αντικατάσταση σημαντικών τμημάτων του RIPA 2000 από τον IPA 2016. Πλήρης κατάλογος των ερευνών διατίθεται στον δικτυακό τόπο της επιτροπής (249).

(167)

Στη Σκωτία, τα καθήκοντα της Ειδικής Επιτροπής Εσωτερικών Υποθέσεων ασκούνται από την Υποεπιτροπή Δικαιοσύνης για την Αστυνόμευση (Justice Subcommittee on Policing), ενώ στη Βόρεια Ιρλανδία από την Επιτροπή Δικαιοσύνης (Committee for Justice) (250).

3.2.4   Μέσα προσφυγής

(168)

Όσον αφορά την επεξεργασία δεδομένων από τις αρχές επιβολής του νόμου, το μέρος 3 του DPA 2018 και ο IPA 2016, όπως και ο νόμος του 1998 για τα ανθρώπινα δικαιώματα, προβλέπουν μηχανισμούς προσφυγής.

(169)

Αυτή η σειρά μηχανισμών παρέχει στα υποκείμενα των δεδομένων αποτελεσματικά μέσα διοικητικής και δικαστικής έννομης προστασίας, με τα οποία τους παρέχεται ιδίως η δυνατότητα να διασφαλίζουν τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματος να αποκτούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν ή να επιτυγχάνουν τη διόρθωση ή τη διαγραφή των εν λόγω δεδομένων.

(170)

Πρώτον, σύμφωνα με το άρθρο 165 του DPA 2018, το υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στον Επίτροπο Πληροφοριών εάν θεωρεί ότι έχει υπάρξει παράβαση του μέρους 3 του εν λόγω νόμου, σε σχέση με δεδομένα προσωπικού χαρακτήρα που το αφορούν (251). Ο Επίτροπος Πληροφοριών έχει την εξουσία να αξιολογεί τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τον DPA 2018, να τους υποχρεώνει να λάβουν τα αναγκαία μέτρα σε περίπτωση μη συμμόρφωσης και να επιβάλλει πρόστιμα.

(171)

Δεύτερον, ο DPA 2018 προβλέπει δικαίωμα προσφυγής του υποκειμένου των δεδομένων κατά του Επιτρόπου Πληροφοριών σε περίπτωση που ο Επίτροπος δεν διεκπεραιώσει δεόντως καταγγελία που είχε υποβάλει το υποκείμενο των δεδομένων. Ειδικότερα, αν ο Επίτροπος δεν «προωθήσει» (252) τη διεκπεραίωση καταγγελίας που έχει υποβληθεί από το υποκείμενο των δεδομένων, o καταγγέλλων έχει δικαίωμα δικαστικής προσφυγής, καθώς έχει τη δυνατότητα να προσφύγει σε πρωτοδικείο διοικητικών διαφορών (First Tier Tribunal) (253) με αίτημα να διαταχθεί ο Επίτροπος να λάβει τα κατάλληλα μέτρα για να απαντήσει στην καταγγελία ή να ενημερώσει τον καταγγέλλοντα σχετικά με την πρόοδο της διαδικασίας διεκπεραίωσης της καταγγελίας (254). Επιπλέον, κάθε πρόσωπο το οποίο λαμβάνει από τον Επίτροπο οποιαδήποτε από τις προαναφερθείσες ειδοποιήσεις (παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων ή επιβολής κυρώσεων) μπορεί να προσφύγει ενώπιον πρωτοδικείου διοικητικών διαφορών (First Tier Tribunal). Εάν το δικαστήριο κρίνει ότι η απόφαση του Επιτρόπου δεν ήταν σύννομη ή ότι ο Επίτροπος Πληροφοριών θα έπρεπε να έχει ασκήσει τη διακριτική του ευχέρεια με διαφορετικό τρόπο, πρέπει να κάνει δεκτή την προσφυγή ή να αντικαταστήσει την ειδοποίηση με άλλη ειδοποίηση ή απόφαση την οποία θα μπορούσε να είχε απευθύνει ή να είχε εκδώσει ο Επίτροπος (255).

(172)

Τρίτον, τα φυσικά πρόσωπα μπορούν να ασκήσουν δικαστική προσφυγή σε βάρος υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία απευθείας ενώπιον των δικαστηρίων. Ειδικότερα, σύμφωνα με το άρθρο 167 του DPA 2018, το υποκείμενο των δεδομένων μπορεί να υποβάλει αίτηση στο δικαστήριο σε περίπτωση προσβολής του δικαιώματός του βάσει της νομοθεσίας για την προστασία των δεδομένων και το δικαστήριο μπορεί, με διαταγή, να διατάξει τον υπεύθυνο επεξεργασίας να προβεί σε (ή να απόσχει από) οποιαδήποτε ενέργεια σε σχέση με την επεξεργασία προκειμένου να συμμορφωθεί με τον DPA 2018. Επιπλέον, σύμφωνα με το άρθρο 169 του DPA 2018, κάθε πρόσωπο που έχει υποστεί ζημία λόγω παραβίασης απαίτησης της νομοθεσίας για την προστασία των δεδομένων (συμπεριλαμβανομένου του μέρους 3 του DPA 2018), εκτός από τον ΓΚΠΔ του Ηνωμένου Βασιλείου, δικαιούται αποζημίωση για τη ζημία αυτή από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αποδείξει ότι δεν ευθύνεται ο ίδιος με κανέναν τρόπο για το γεγονός που προκάλεσε τη ζημία. Η ζημία περιλαμβάνει τόσο την οικονομική ζημία όσο και τη μη οικονομική ζημία, όπως την πρόκληση οδύνης.

(173)

Τέλος, κάθε πρόσωπο, αν θεωρεί ότι τα δικαιώματά του, συμπεριλαμβανομένων των δικαιωμάτων του στην προστασία της ιδιωτικότητας και των δεδομένων, έχουν παραβιαστεί από δημόσια αρχή, μπορεί να ζητήσει έννομη προστασία προσφεύγοντας ενώπιον των δικαστηρίων του Ηνωμένου Βασιλείου βάσει του νόμου του 1998 για τα ανθρώπινα δικαιώματα (256), ενώ κάθε πρόσωπο, μη κυβερνητικός οργανισμός ή ομάδα ατόμων μπορεί, αφού εξαντλήσει τα εθνικά ένδικα μέσα, να ζητήσει έννομη προστασία ενώπιον του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου για παραβιάσεις των δικαιωμάτων που κατοχυρώνονται στην Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου (257) (βλ. αιτιολογική σκέψη 111).

3.2.4.1   Μηχανισμοί προσφυγής στο πλαίσιο του IPA 2016

(174)

Τα φυσικά πρόσωπα μπορούν να ασκήσουν προσφυγή για παραβιάσεις του IPA 2016 ενώπιον του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών (Investigatory Powers Tribunal). Οι δυνατότητες προσφυγής που παρέχονται στο πλαίσιο του IPA 2016 περιγράφονται στις αιτιολογικές σκέψεις 263 έως 269 κατωτέρω.

3.3   Πρόσβαση και χρήση από τις δημόσιες αρχές του Ηνωμένου Βασιλείου για σκοπούς εθνικής ασφάλειας

(175)

Στην έννομη τάξη του Ηνωμένου Βασιλείου, οι υπηρεσίες πληροφοριών που έχουν την εξουσία να συλλέγουν ηλεκτρονικές πληροφορίες που βρίσκονται στην κατοχή υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία για λόγους εθνικής ασφάλειας, σε περιπτώσεις οι οποίες είναι σημαντικές από την άποψη της επάρκειας, είναι η Υπηρεσία Ασφάλειας (Security Service, MI5) (258), η Μυστική Υπηρεσία Πληροφοριών (Secret Intelligence Service, SIS) (259) και η Κεντρική Κυβερνητική Υπηρεσία Επικοινωνιών (Government Communications Headquarters, (260) GCHQ) (261).

3.3.1   Νομικές βάσεις, περιορισμοί και εγγυήσεις

(176)

Στο Ηνωμένο Βασίλειο, οι εξουσίες των υπηρεσιών πληροφοριών καθορίζονται στον IPA 2016 και στον RIPA 2000, οι οποίοι, μαζί με τον DPA 2018, καθορίζουν το καθ’ ύλην και το προσωπικό πεδίο εφαρμογής των εν λόγω εξουσιών και προβλέπουν περιορισμούς και εγγυήσεις για την άσκησή τους. Οι εξουσίες αυτές, όπως και οι περιορισμοί και οι εγγυήσεις που ισχύουν για αυτές, εξετάζονται λεπτομερώς στις ενότητες που ακολουθούν.

3.3.1.1   Άσκηση ερευνητικών εξουσιών στο πλαίσιο της εθνικής ασφάλειας

(177)

Ο IPA 2016 παρέχει το νομικό πλαίσιο για την άσκηση των ερευνητικών εξουσιών, δηλαδή της εξουσίας παρακολούθησης, πρόσβασης σε δεδομένα επικοινωνίας και πραγματοποίησης παρεμβολής σε εξοπλισμό. Ο IPA 2016 θεσπίζει γενική απαγόρευση και ανάγει σε ποινικό αδίκημα τη χρήση τεχνικών που επιτρέπουν την πρόσβαση στο περιεχόμενο επικοινωνιών, την πρόσβαση σε δεδομένα επικοινωνίας ή τις παρεμβολές σε εξοπλισμό χωρίς νόμιμη εξουσιοδότηση (262). Αυτό αντικατοπτρίζεται στο γεγονός ότι η χρήση αυτών των ερευνητικών εξουσιών είναι νόμιμη μόνο όταν πραγματοποιείται βάσει εντάλματος ή άδειας (263).

(178)

Ο IPA 2016 θεσπίζει λεπτομερείς κανόνες που διέπουν το περιεχόμενο και την άσκηση κάθε ερευνητικής εξουσίας, καθώς και τους ειδικούς περιορισμούς και τις εγγυήσεις που ισχύουν συναφώς. Ανάλογα με το είδος της ερευνητικής εξουσίας (παρακολούθηση επικοινωνιών, απόκτηση και διατήρηση δεδομένων επικοινωνίας και παρεμβολή σε εξοπλισμό) (264), καθώς και ανάλογα με το αν η εξουσία ασκείται σε σχέση με συγκεκριμένο στόχο ή μαζικά, ισχύουν διαφορετικοί κανόνες. Λεπτομέρειες σχετικά με το πεδίο εφαρμογής, τις εγγυήσεις και τους περιορισμούς κάθε μέτρου που προβλέπεται από τον IPA 2016 περιγράφονται στην ειδική σχετική ενότητα κατωτέρω.

(179)

Επιπλέον, ο IPA 2016 συμπληρώνεται από διάφορους θεσμοθετημένους κώδικες ορθής πρακτικής που εκδίδονται από τον υπουργό, εγκρίνονται από αμφότερα τα σώματα του Κοινοβουλίου (265), ισχύουν σε ολόκληρη τη χώρα και παρέχουν περαιτέρω καθοδήγηση σχετικά με την άσκηση των εν λόγω εξουσιών (266). Ενώ τα υποκείμενα των δεδομένων μπορούν να επικαλούνται ευθέως τις διατάξεις του IPA 2016 για την άσκηση των δικαιωμάτων τους, το παράρτημα 7 παράγραφος 5 του IPA 2016 ορίζει ότι οι κώδικες ορθής πρακτικής γίνονται δεκτοί ως αποδεικτά στοιχεία σε αστικές και ποινικές διαδικασίες, και ότι το δικαστήριο, το ειδικό δικαιοδοτικό όργανο ή η εποπτική αρχή μπορεί να λάβει υπόψη τυχόν μη συμμόρφωση με τους κώδικες όταν καλείται να αποφασίσει επί σχετικού ζητήματος στο πλαίσιο δικαστικής διαδικασίας (267). Στο πλαίσιο της αξιολόγησης της «ποιότητας του δικαίου» της προηγούμενης νομοθεσίας του Ηνωμένου Βασιλείου στον τομέα της επιτήρησης, του RIPA 2000, το Τμήμα Μείζονος Συνθέσεως του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου αναγνώρισε ρητά τη σημασία των κωδίκων ορθής πρακτικής του Ηνωμένου Βασιλείου και δέχθηκε ότι οι διατάξεις τους θα μπορούσαν να ληφθούν υπόψη κατά την εκτίμηση της προβλεψιμότητας της νομοθεσίας που επιτρέπει την παρακολούθηση (268).

(180)

Επισημαίνεται συναφώς ότι οι υπηρεσίες εθνικής ασφάλειας και ορισμένες αρχές επιβολής του νόμου (269) έχουν στη διάθεσή τους εξουσίες που ασκούνται σε στοχευμένη βάση (στοχευμένη παρακολούθηση (270), απόκτηση δεδομένων επικοινωνίας (271), διατήρηση δεδομένων επικοινωνίας (272) και στοχευμένη παρεμβολή σε εξοπλισμό (273)), ενώ μόνο οι υπηρεσίες πληροφοριών μπορούν να ασκήσουν εξουσίες μαζικού χαρακτήρα (π.χ. μαζική παρακολούθηση (274), μαζική απόκτηση δεδομένων επικοινωνίας (275), μαζική παρεμβολή σε εξοπλισμό (276) και εξουσίες σε σχέση με μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα (277)).

(181)

Όταν αποφασίζει ποια ερευνητική εξουσία θα πρέπει να χρησιμοποιήσει, η υπηρεσία πληροφοριών πρέπει να συμμορφώνεται με τις «γενικές υποχρεώσεις σχετικά με την προστασία της ιδιωτικότητας» οι οποίες απαριθμούνται στο άρθρο 2 παράγραφος 2 στοιχείο (a) του IPA 2016, και στις οποίες περιλαμβάνεται ο έλεγχος αναγκαιότητας και αναλογικότητας. Ειδικότερα, σύμφωνα με την διάταξη αυτή, δημόσια αρχή που προτίθεται να κάνει χρήση ερευνητικής εξουσίας πρέπει να εξετάσει i) αν ο σκοπός που επιδιώκεται με το ένταλμα, την άδεια ή την ειδοποίηση θα μπορούσε εύλογα να επιτευχθεί με άλλα λιγότερο παρεμβατικά μέσα· ii) αν το επίπεδο προστασίας που πρέπει να εφαρμοστεί για την απόκτηση πληροφοριών δυνάμει εντάλματος, άδειας ή ειδοποίησης είναι υψηλότερο λόγω του ιδιαίτερα ευαίσθητου χαρακτήρα των συγκεκριμένων πληροφοριών· iii) το δημόσιο συμφέρον που έγκειται στη διαφύλαξη της ακεραιότητας και της ασφάλειας των συστημάτων τηλεπικοινωνιών και των ταχυδρομικών υπηρεσιών και iv) κάθε άλλη πτυχή δημόσιου συμφέροντος που έγκειται στην προστασία της ιδιωτικότητας (278).

(182)

Ο τρόπος με τον οποίο θα πρέπει να εφαρμόζονται αυτά τα κριτήρια —και ο τρόπος με τον οποίο αξιολογείται η συμμόρφωση των αρχών στο πλαίσιο της άδειας χρήσης των εν λόγω εξουσιών που χορηγείται από τον υπουργό και τους ανεξάρτητους δικαστικούς επιτρόπους— προσδιορίζεται περαιτέρω στους σχετικούς κώδικες ορθής πρακτικής. Ειδικότερα, η χρήση οποιασδήποτε από αυτές τις ερευνητικές εξουσίες πρέπει πάντοτε να είναι «ανάλογη προς τον επιδιωκόμενο σκοπό [το οποίο σημαίνει ότι κάθε εκτίμηση] συνεπάγεται στάθμιση της σοβαρότητας της επέμβασης στην ιδιωτικότητα (και των άλλων ζητημάτων που εκτίθενται στο άρθρο 2 παράγραφος 2) έναντι της ανάγκης για τη διεξαγωγή της δραστηριότητας από ερευνητική και επιχειρησιακή άποψη αλλά και από την άποψη της σχετικής ικανότητας». Αυτό κυρίως σημαίνει ότι «θα πρέπει να προσφέρει ρεαλιστικό ενδεχόμενο επίτευξης του αναμενόμενου οφέλους και δεν θα πρέπει να είναι δυσανάλογη ή αυθαίρετη» και ότι «καμία επέμβαση στην ιδιωτικότητα δεν θα πρέπει να θεωρείται αναλογική εάν οι ζητούμενες πληροφορίες θα μπορούσαν εύλογα να ληφθούν με λιγότερο παρεμβατικά μέσα» (279). Ειδικότερα, η τήρηση της αρχής της αναλογικότητας πρέπει να αξιολογείται με βάση τα ακόλουθα κριτήρια: «i) την έκταση της προτεινόμενης επέμβασης στην ιδιωτικότητα έναντι του επιδιωκόμενου σκοπού· ii) τον τρόπο και τους λόγους για τους οποίους οι μέθοδοι που θα εφαρμοστούν θα προκαλέσουν την ελάχιστη δυνατή επέμβαση στη ζωή του προσώπου και άλλων· iii) το αν η δραστηριότητα αποτελεί κατάλληλη και εύλογη χρήση του νόμου, λαμβανομένων υπόψη όλων των εύλογων εναλλακτικών δυνατοτήτων, για την επίτευξη του επιδιωκόμενου σκοπού· iv) ποιες άλλες μέθοδοι, κατά περίπτωση, είτε δεν εφαρμόστηκαν είτε χρησιμοποιήθηκαν αλλά κρίθηκε ότι θα ήταν ανεπαρκείς για την επίτευξη των επιχειρησιακών στόχων χωρίς τη χρήση της προτεινόμενης ερευνητικής εξουσίας» (280).

(183)

Στην πράξη, όπως εξήγησαν οι αρχές του Ηνωμένου Βασιλείου, με τον τρόπο αυτό διασφαλίζεται ότι η υπηρεσία πληροφοριών πρώτα θέτει τον επιχειρησιακό στόχο (οριοθετώντας, κατ’ αυτόν τον τρόπο, τη συλλογή πληροφοριών, π.χ. διεθνής αντιτρομοκρατικός σκοπός σε συγκεκριμένη γεωγραφική περιοχή) και, στη συνέχεια, με βάση τον επιχειρησιακό αυτόν στόχο, εξετάζει ποια τεχνική επιλογή (π.χ. στοχευμένη ή μαζική παρακολούθηση, παρεμβολή σε εξοπλισμό, απόκτηση δεδομένων επικοινωνίας) είναι η πλέον αναλογική (δηλαδή η λιγότερο παρεμβατική στην ιδιωτικότητα, πρβλ. άρθρο 2 παράγραφος 2 του IPA) προς τον επιδιωκόμενο σκοπό και μπορεί, ως εκ τούτου, να επιτραπεί δυνάμει μίας από τις διαθέσιμες νομικές βάσεις.

(184)

Αξίζει να σημειωθεί ότι αυτή η χρήση των κριτηρίων της αναγκαιότητας και της αναλογικότητας έχει επίσης επισημανθεί και επικροτηθεί από τον ειδικό εισηγητή των Ηνωμένων Εθνών για το δικαίωμα στην ιδιωτικότητα, κ. Joseph Cannataci, ο οποίος δήλωσε αναφορικά με το σύστημα που θεσπίστηκε με τον IPA 2016 ότι «[ο]ι διαδικασίες που εφαρμόζονται, τόσο εντός των υπηρεσιών πληροφοριών όσο και εντός των υπηρεσιών επιβολής του νόμου, φαίνεται να απαιτούν συστηματικά την εξέταση της αναγκαιότητας και της αναλογικότητας των μέτρων επιτήρησης ή των επιχειρήσεων προτού ζητηθεί η χορήγηση σχετικής άδειας, καθώς και επανεξέταση του μέτρου στην ίδια βάση» (281). Παρατήρησε επίσης ότι, κατά τη συνάντησή του με εκπροσώπους των υπηρεσιών επιβολής του νόμου και των υπηρεσιών εθνικής ασφάλειας «διαπίστωσ[ε] ότι χαίρει κοινής αποδοχής η άποψη ότι το δικαίωμα στην ιδιωτικότητα πρέπει να αποτελεί πρωταρχικό μέλημα κατά τη λήψη οποιασδήποτε απόφασης σχετικά με μέτρα επιτήρησης. Όλοι έδειξαν ότι αντιλαμβάνονται και θεωρούν την αναγκαιότητα και την αναλογικότητα ως τις βασικές αρχές που πρέπει να λαμβάνονται υπόψη».

(185)

Τα ειδικά κριτήρια για την έκδοση των διαφόρων ενταλμάτων, καθώς και οι περιορισμοί και οι εγγυήσεις που καθιερώνονται με τον IPA 2016 όσον αφορά κάθε επιμέρους ερευνητική εξουσία περιγράφονται λεπτομερώς στις αιτιολογικές σκέψεις 186 έως 243.

3.3.1.1.1   Στοχευμένη παρακολούθηση και εξέταση

(186)

Υπάρχουν τρία είδη εντάλματος για στοχευμένη παρακολούθηση: το ένταλμα στοχευμένης παρακολούθησης (282), το ένταλμα στοχευμένης εξέτασης και το ένταλμα αμοιβαίας συνδρομής (283). Οι όροι για την έκδοση των ενταλμάτων αυτών και οι σχετικές εγγυήσεις καθορίζονται στο μέρος 2 κεφάλαιο 1 του IPA 2016.

(187)

Το ένταλμα στοχευμένης παρακολούθησης επιτρέπει την παρακολούθηση των επικοινωνιών που περιγράφονται στο ένταλμα κατά τη διάρκεια της διαβίβασής τους και τη συλλογή άλλων δεδομένων σχετικών με τις εν λόγω επικοινωνίες (284), συμπεριλαμβανομένων των δευτερογενών δεδομένων (285). Το ένταλμα στοχευμένης εξέτασης επιτρέπει σε ένα πρόσωπο να προβεί σε επιλογή του παρακολουθούμενου περιεχομένου που αποκτήθηκε βάσει εντάλματος μαζικής παρακολούθησης, με σκοπό την εξέτασή του (286).

(188)

Όλα τα εντάλματα βάσει του μέρους 2 του IPA 2016 μπορούν να εκδίδονται από τον υπουργό (287) και να εγκρίνονται από δικαστικό επίτροπο (288). Σε όλες τις περιπτώσεις, η διάρκεια ισχύος των στοχευμένων ενταλμάτων κάθε είδους περιορίζεται σε 6 μήνες (289) και ισχύουν ειδικοί κανόνες σχετικά με την τροποποίηση (290) και την ανανέωσή τους (291).

(189)

Πριν από την έκδοση του εντάλματος, ο υπουργός πρέπει να προβεί σε εκτίμηση της αναγκαιότητας και της αναλογικότητας (292). Ειδικότερα, όσον αφορά τα εντάλματα στοχευμένης παρακολούθησης και τα εντάλματα στοχευμένης εξέτασης, ο υπουργός θα πρέπει να ελέγχει αν το μέτρο είναι αναγκαίο για έναν από τους ακόλουθους λόγους: για σκοπούς που ανάγονται στην εθνική ασφάλεια· για την πρόληψη ή την ανίχνευση σοβαρού εγκλήματος· ή για σκοπούς που ανάγονται στην εξασφάλιση της οικονομικής ευημερίας του Ηνωμένου Βασιλείου, (293) εφόσον οι εν λόγω σκοποί είναι συναφείς και για τους σκοπούς που ανάγονται στην εθνική ασφάλεια (294). Από την άλλη πλευρά, ένταλμα αμοιβαίας συνδρομής (βλ. αιτιολογική σκέψη 139 ανωτέρω) μπορεί να εκδοθεί μόνο εάν ο υπουργός θεωρεί ότι συντρέχουν περιστάσεις αντίστοιχες μ' αυτές στις οποίες θα εξέδιδε ένταλμα για την πρόληψη ή την ανίχνευση σοβαρού εγκλήματος (295).

(190)

Επιπλέον, ο υπουργός θα πρέπει να αξιολογεί αν το μέτρο είναι ανάλογο προς τον επιδιωκόμενο σκοπό (296). Η αξιολόγηση της αναλογικότητας των ζητούμενων μέτρων πρέπει να λαμβάνει υπόψη τις γενικές υποχρεώσεις σχετικά με την ιδιωτικότητα οι οποίες καθορίζονται στο άρθρο 2 παράγραφος 2 του IPA 2016, ιδίως την ανάγκη να αξιολογείται αν ο σκοπός που επιδιώκεται με το ένταλμα, την άδεια ή την ειδοποίηση θα μπορούσε εύλογα να επιτευχθεί με λιγότερο παρεμβατικά μέσα και αν το επίπεδο προστασίας που πρέπει να εφαρμοστεί για την απόκτηση πληροφοριών δυνάμει του εντάλματος είναι υψηλότερο λόγω του ιδιαίτερα ευαίσθητου χαρακτήρα των συγκεκριμένων πληροφοριών (βλ. αιτιολογική σκέψη 181 ανωτέρω).

(191)

Προς τον σκοπό αυτό, ο υπουργός θα πρέπει να λάβει υπόψη όλα τα στοιχεία της αίτησης τα οποία παρέχει η αιτούσα αρχή, κυρίως αυτά που σχετίζονται με τα πρόσωπα των οποίων οι επικοινωνίες θα αποτελέσουν αντικείμενο της παρακολούθησης και τη συνάφεια του μέτρου για τη διεξαγωγή της έρευνας. Τα στοιχεία αυτά καθορίζονται στον κώδικα ορθής πρακτικής για την παρακολούθηση επικοινωνιών και πρέπει να περιγράφονται με ορισμένο επίπεδο ακρίβειας (297). Επιπλέον, σύμφωνα με το άρθρο 17 του IPA 2016, σε κάθε ένταλμα που εκδίδεται βάσει του κεφαλαίου 2 πρέπει να κατονομάζεται ή να περιγράφεται το συγκεκριμένο πρόσωπο ή ομάδα προσώπων, ο οργανισμός ή οι χώροι που πρόκειται να αποτελέσουν αντικείμενο παρακολούθησης (δηλαδή ο «στόχος»). Τα εντάλματα στοχευμένης παρακολούθησης ή στοχευμένης εξέτασης μπορούν επίσης να αφορούν ομάδα προσώπων, περισσότερα από ένα πρόσωπα ή περισσότερους από έναν οργανισμούς ή περισσότερα από ένα σύνολα χώρων (τα εντάλματα αυτά καλούνται επίσης «θεματικά εντάλματα») (298). Στις περιπτώσεις αυτές, στο ένταλμα θα πρέπει να περιγράφεται ο κοινός σκοπός ή η κοινή δραστηριότητα της ομάδας προσώπων ή η επιχείρηση/έρευνες και να κατονομάζονται ή να περιγράφονται όσο το δυνατόν περισσότερα από αυτά τα πρόσωπα/οργανισμούς ή σύνολα χώρων, εφόσον αυτό είναι ευλόγως εφικτό (299). Τέλος, όλα τα εντάλματα που εκδίδονται βάσει του μέρους 2 του IPA 2016 πρέπει να προσδιορίζουν τις διευθύνσεις, τους αριθμούς, τις συσκευές και τους παράγοντες ή τον συνδυασμό παραγόντων που πρόκειται να χρησιμοποιηθούν για την ταυτοποίηση των επικοινωνιών (300). Σχετικά με το ζήτημα αυτό, ο κώδικας ορθής πρακτικής για την παρακολούθηση των επικοινωνιών ορίζει ότι, στην περίπτωση των ενταλμάτων στοχευμένης παρακολούθησης και στοχευμένης εξέτασης «το ένταλμα πρέπει να προσδιορίζει (ή να περιγράφει) τους παράγοντες ή τον συνδυασμό παραγόντων που πρόκειται να χρησιμοποιηθούν για την ταυτοποίηση των επικοινωνιών. Όταν οι επικοινωνίες πρόκειται να ταυτοποιηθούν μέσω αναφοράς σε αριθμό τηλεφώνου (για παράδειγμα), για τον προσδιορισμό του αριθμού απαιτείται η πλήρης αναγραφή του. Ωστόσο, όταν πρόκειται να χρησιμοποιηθούν πολύ περίπλοκοι ή συνεχώς μεταβαλλόμενοι επιλογείς διαδικτύου για την ταυτοποίηση των επικοινωνιών, οι επιλογείς αυτοί θα πρέπει να περιγράφονται στο μέτρο του δυνατού» (301).

(192)

Μια σημαντική εγγύηση που παρέχεται στο πλαίσιο αυτό είναι ότι η αξιολόγηση που διενεργεί ο υπουργός προκειμένου να εκδώσει ένταλμα πρέπει να εγκριθεί από ανεξάρτητο δικαστικό επίτροπο (302), ο οποίος ελέγχει ιδίως αν η απόφαση έκδοσης του εντάλματος συνάδει με τις αρχές της αναγκαιότητας και της αναλογικότητας (303) (σχετικά με το καθεστώς και τον ρόλο των δικαστικών επιτρόπων βλ. αιτιολογικές σκέψεις 251 έως 256 κατωτέρω). Ο IPA 2016 διευκρινίζει επίσης ότι, κατά τη διενέργεια του εν λόγω ελέγχου, ο δικαστικός επίτροπος πρέπει να εφαρμόζει τις ίδιες αρχές που θα εφαρμόζονταν από δικαστήριο επί αίτησης δικαστικού ελέγχου (304). Με τον τρόπο αυτό διασφαλίζεται ότι, σε κάθε περίπτωση και προτού αποκτηθεί πρόσβαση στα δεδομένα, η συμμόρφωση με τις αρχές της αναγκαιότητας και της αναλογικότητας ελέγχεται συστηματικά από ανεξάρτητο φορέα.

(193)

Ο IPA 2016 προβλέπει λίγες ειδικές και περιορισμένες εξαιρέσεις για τη διενέργεια στοχευμένων παρακολουθήσεων. Οι περιορισμένες περιπτώσεις περιγράφονται λεπτομερώς στον νόμο (305) και, εκτός από την περίπτωση που βασίζεται στη «συγκατάθεση» του αποστολέα/αποδέκτη, διενεργούνται από πρόσωπα (ιδιωτικούς ή δημόσιους φορείς) διαφορετικά από τις υπηρεσίες εθνικής ασφάλειας. Επιπλέον, αυτού του είδους οι παρακολουθήσεις πραγματοποιούνται για σκοπούς διαφορετικούς από τη συλλογή «πληροφοριών» (306) και, για ορισμένους από αυτούς, είναι πολύ απίθανο η συλλογή να πραγματοποιηθεί στο πλαίσιο περίπτωσης που είναι σημαντική από την άποψη της «διαβίβασης» (για παράδειγμα, σε περίπτωση παρακολούθησης σε ψυχιατρικό νοσοκομείο ή σε φυλακή). Λαμβανομένης υπόψη της φύσης του φορέα στον οποίο εφαρμόζονται οι ειδικές αυτές περιπτώσεις (διαφορετικός από τις υπηρεσίες εθνικής ασφάλειας), θα ισχύουν όλες οι εγγυήσεις που προβλέπονται στο μέρος 2 του DPA 2018 και στον ΓΚΠΔ του Ηνωμένου Βασιλείου, συμπεριλαμβανομένων της εποπτείας του ICO και των διαθέσιμων μηχανισμών προσφυγής. Επιπλέον, εκτός από τις εγγυήσεις που προβλέπονται από τον DPA 2018, σε ορισμένες περιπτώσεις, ο IPA 2016 προβλέπει επίσης εκ των υστέρων εποπτεία του IPCO (307).

(194)

Κατά τη διενέργεια παρακολούθησης, ισχύουν πρόσθετοι περιορισμοί και εγγυήσεις ανάλογα με το ειδικό καθεστώς του υπό παρακολούθηση προσώπου ή προσώπων (308). Για παράδειγμα, η παρακολούθηση στοιχείων που υπόκεινται σε νομικό προνόμιο επιτρέπεται μόνο σε εξαιρετικές και επιτακτικές περιστάσεις, ενώ το πρόσωπο που εκδίδει το ένταλμα πρέπει να λαμβάνει υπόψη το δημόσιο συμφέρον που εξυπηρετεί η τήρηση της εμπιστευτικότητας των στοιχείων που υπόκεινται σε νομικό προνόμιο, καθώς και το γεγονός ότι ισχύουν ειδικές απαιτήσεις για τον χειρισμό, τη διατήρηση και την κοινοποίηση του εν λόγω υλικού (309).

(195)

Επιπλέον, ο νόμος IPA 2016 προβλέπει ειδικές εγγυήσεις σχετικά με την ασφάλεια, τη διατήρηση και την κοινοποίηση τις οποίες ο υπουργός θα πρέπει να λαμβάνει υπόψη πριν από την έκδοση στοχευμένου εντάλματος (310). Ειδικότερα, σύμφωνα με το άρθρο 53 παράγραφος 5 του IPA 2016, όλα τα αντίγραφα οποιουδήποτε μέρους του υλικού που συλλέγεται δυνάμει του εντάλματος πρέπει να αποθηκεύονται με ασφάλεια και να καταστρέφονται μόλις εκλείψουν οι σχετικοί λόγοι για τη διατήρησή τους, ενώ σύμφωνα με το άρθρο 53 παράγραφος 2 του IPA 2016, ο αριθμός των προσώπων στα οποία κοινοποιείται το υλικό και ο βαθμός στον οποίο το υλικό κοινοποιείται, διατίθεται ή αντιγράφεται πρέπει να περιορίζονται στο ελάχιστο αναγκαίο για την επίτευξη των νόμιμων σκοπών.

(196)

Τέλος, όταν το υλικό που ελήφθη κατόπιν παρακολούθησης, είτε βάσει εντάλματος στοχευμένης παρακολούθησης είτε βάσει εντάλματος αμοιβαίας συνδρομής, πρόκειται να παραδοθεί σε τρίτη χώρα (στο εξής: κοινοποίηση στο εξωτερικό), ο IPA 2016 ορίζει ότι ο υπουργός πρέπει να διασφαλίζει ότι υπάρχουν κατάλληλες ρυθμίσεις με τις οποίες διασφαλίζεται ότι στην τρίτη χώρα παρέχονται παρόμοιες εγγυήσεις για την ασφάλεια, τη διατήρηση και την κοινοποίηση (311). Επιπλέον, το άρθρο 109 παράγραφος 2 του DPA 2018 ορίζει ότι οι υπηρεσίες πληροφοριών επιτρέπεται να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα εκτός του εδάφους του Ηνωμένου Βασιλείου μόνο εάν η διαβίβαση αποτελεί μέτρο αναγκαίο και αναλογικό που εφαρμόζεται για την εκτέλεση των εκ του νόμου καθηκόντων του υπευθύνου επεξεργασίας ή για άλλους σκοπούς που προβλέπονται στο άρθρο 2 παράγραφος 2 στοιχείο (a) του νόμου του 1989 για την Υπηρεσία Ασφάλειας ή το άρθρο 2 παράγραφος 2 στοιχείο (a) και το άρθρο 4 παράγραφος 2 στοιχείο (a) του νόμου του 1994 για τις υπηρεσίες πληροφοριών (312). Σημαντικό είναι το γεγονός ότι οι απαιτήσεις αυτές ισχύουν και στις περιπτώσεις στις οποίες γίνεται επίκληση της εξαίρεσης της εθνικής ασφάλειας σύμφωνα με το άρθρο 110 του DPA 2018, δεδομένου ότι το άρθρο 110 του DPA 2018 δεν περιλαμβάνει το άρθρο 109 του DPA 2018 στις διατάξεις που είναι δυνατόν να μην εφαρμοστούν εάν ζητείται εξαίρεση από ορισμένες διατάξεις για τη διαφύλαξη της εθνικής ασφάλειας.

3.3.1.1.2   Στοχευμένη απόκτηση και διατήρηση δεδομένων επικοινωνιών

(197)

Ο IPA 2016 επιτρέπει στον υπουργό να επιβάλλει στους φορείς εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών την υποχρέωση να διατηρούν δεδομένα επικοινωνιών με σκοπό τη στοχευμένη πρόσβαση από διάφορες δημόσιες αρχές, συμπεριλαμβανομένων των υπηρεσιών επιβολής του νόμου και των υπηρεσιών πληροφοριών. Στο μέρος 4 του IPA 2016 προβλέπεται η διατήρηση των δεδομένων επικοινωνιών, ενώ στο μέρος 3 προβλέπεται η στοχευμένη απόκτηση δεδομένων επικοινωνιών. Στο μέρος 3 και στο μέρος 4 του IPA 2016 καθορίζονται επίσης ειδικοί περιορισμοί όσον αφορά τη χρήση των εν λόγω εξουσιών και παρέχονται ειδικές εγγυήσεις.

(198)

Ο όρος «δεδομένα επικοινωνιών» καλύπτει το «ποιος» συμμετείχε στην επικοινωνία και το «πότε», «πού» και «πώς» έλαβε χώρα η επικοινωνία, αλλά όχι το περιεχόμενο, δηλαδή το τι ειπώθηκε ή τι γράφτηκε. Αντίθετα με την παρακολούθηση, η απόκτηση και η διατήρηση δεδομένων επικοινωνιών δεν αποσκοπεί στην απόκτηση του περιεχομένου της επικοινωνίας, αλλά στην απόκτηση πληροφοριών όπως είναι τα στοιχεία συνδρομητή τηλεφωνικής υπηρεσίας ή ένας αναλυτικός λογαριασμός. Στα στοιχεία αυτά μπορούν να περιλαμβάνονται ο χρόνος και η διάρκεια μιας επικοινωνίας, ο αριθμός ή η διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα και του παραλήπτη και, ενίοτε, η θέση των συσκευών από τις οποίες πραγματοποιήθηκε η τηλεπικοινωνία (313).

(199)

Θα πρέπει να σημειωθεί ότι η διατήρηση και η απόκτηση δεδομένων επικοινωνιών κατά κανόνα δεν θα αφορούν τα δεδομένα προσωπικού χαρακτήρα υποκειμένων δεδομένων της ΕΕ που θα διαβιβάζονται στο Ηνωμένο Βασίλειο στο πλαίσιο της παρούσας απόφασης. Η υποχρέωση διατήρησης ή κοινοποίησης δεδομένων επικοινωνιών σύμφωνα με τα μέρη 3 και 4 του IPA 2016 καλύπτει τα δεδομένα που συλλέγουν οι φορείς εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών στο Ηνωμένο Βασίλειο απευθείας από τους χρήστες της τηλεπικοινωνιακής υπηρεσίας (314). Αυτό το είδος επεξεργασίας που περιλαμβάνει άμεση επαφή με τον πελάτη κατά κανόνα δεν περιλαμβάνει διαβίβαση βάσει της παρούσας απόφασης, δηλαδή διαβίβαση από υπεύθυνο επεξεργασίας / εκτελούντα την επεξεργασία στην ΕΕ προς υπεύθυνο επεξεργασίας / εκτελούντα την επεξεργασία στο Ηνωμένο Βασίλειο.

(200)

Ωστόσο, για λόγους πληρότητας, στις ακόλουθες αιτιολογικές σκέψεις αναλύονται οι όροι και οι εγγυήσεις που διέπουν αυτά τα καθεστώτα απόκτησης και διατήρησης .

(201)

Καταρχήν, πρέπει να σημειωθεί ότι η διατήρηση και η στοχευμένη απόκτηση δεδομένων επικοινωνιών είναι διαθέσιμες τόσο στις υπηρεσίες εθνικής ασφάλειας όσο και σε ορισμένες αρχές επιβολής του νόμου (315). Οι όροι για να ζητηθεί η διατήρηση και/ή η απόκτηση δεδομένων επικοινωνιών μπορεί να ποικίλλουν ανάλογα με τον λόγο για τον οποίο ζητείται το μέτρο, δηλαδή με το αν πρόκειται για σκοπό εθνικής ασφάλειας ή για σκοπό επιβολής του νόμου.

(202)

Ειδικότερα, ενώ το νέο καθεστώς εισήγαγε τη γενική απαίτηση για εκ των προτέρων άδεια από ανεξάρτητο φορέα, η οποία θα εφαρμόζεται σε όλες τις περιπτώσεις διατήρησης και/ή απόκτησης δεδομένων επικοινωνίας (είτε για σκοπό επιβολής του νόμου είτε για σκοπό εθνικής ασφάλειας), μετά την απόφαση Tele2/Watson του Δικαστηρίου της Ευρωπαϊκής Ένωσης (316), θεσπίστηκαν ειδικές εγγυήσεις για τις περιπτώσεις στις οποίες το μέτρο ζητείται για σκοπούς επιβολής του νόμου. Πιο συγκεκριμένα, όταν η διατήρηση ή η απόκτηση δεδομένων επικοινωνίας ζητείται για σκοπό επιβολής του νόμου, η εκ των προτέρων άδεια πρέπει πάντοτε να παρέχεται από τον Επίτροπο Ερευνητικών Εξουσιών. Αυτό δεν ισχύει πάντοτε όταν το μέτρο ζητείται για σκοπό εθνικής ασφάλειας, δεδομένου ότι, όπως περιγράφεται κατωτέρω, σε ορισμένες περιπτώσεις, αυτού του είδους τα μέτρα μπορούν να επιτραπούν από διαφορετικό «πρόσωπο που χορηγεί την άδεια». Επιπλέον, το νέο καθεστώς έχει αυστηροποιήσει το πλαίσιο ορίζοντας ότι η διατήρηση και η απόκτηση δεδομένων επικοινωνιών μπορούν να επιτραπούν μόνο για «σοβαρά εγκλήματα» (317).

i)   Άδεια για την απόκτηση δεδομένων επικοινωνιών

(203)

Το μέρος 3 του IPA 2016 προβλέπει τη χορήγηση άδειας στις αρμόδιες δημόσιες αρχές προκειμένου να αποκτήσουν δεδομένα επικοινωνιών από φορέα εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών ή από οποιοδήποτε πρόσωπο είναι σε θέση να αποκτήσει και να κοινοποιήσει δεδομένα αυτού του είδους. Η άδεια δεν μπορεί να επιτρέπει την παρακολούθηση του περιεχομένου των επικοινωνιών (318) και παύει να ισχύει μετά την παρέλευση ενός μηνός (319), ενώ μπορεί να ανανεωθεί με την έκδοση συμπληρωματικής άδειας (320). Για την απόκτηση δεδομένων επικοινωνιών απαιτείται άδεια από τον Επίτροπο Ερευνητικών Εξουσιών (Investigatory Powers Commissioner, IPC) (321) (για το καθεστώς και τις εξουσίες του IPC, βλ. αιτιολογικές σκέψεις 250-251 κατωτέρω). Αυτό ισχύει πάντοτε όταν η απόκτηση δεδομένων επικοινωνιών ζητείται από αρμόδια αρχή επιβολής του νόμου. Ωστόσο, σύμφωνα με το άρθρο 61 του IPA 2016, στην περίπτωση απόκτησης δεδομένων για σκοπούς που ανάγονται στην εθνική ασφάλεια ή στην εξασφάλιση της οικονομικής ευημερίας του Ηνωμένου Βασιλείου, εφόσον οι σκοποί αυτοί είναι συναφείς με την εθνική ασφάλεια, ή όταν η αίτηση υποβάλλεται από μέλος υπηρεσίας πληροφοριών βάσει του άρθρου 61 παράγραφος 7 στοιχείο (b) (322), η άδεια για την απόκτηση των δεδομένων μπορεί εναλλακτικά να δοθεί είτε (323) από τον Επίτροπο Ερευνητικών Εξουσιών είτε από εντεταλμένο ανώτερο υπάλληλο (324). Ο εντεταλμένος υπάλληλος πρέπει να είναι ανεξάρτητος από την επίμαχη έρευνα ή επιχείρηση και να διαθέτει γνώσεις σχετικά με τις αρχές και τη νομοθεσία για τα ανθρώπινα δικαιώματα, ιδίως τις αρχές της αναγκαιότητας και της αναλογικότητας (325). Η απόφαση που λαμβάνεται από τον εντεταλμένο υπάλληλο υπόκειται σε εκ των υστέρων εποπτεία που ασκεί ο Επίτροπος Ερευνητικών Εξουσιών (βλ. αιτιολογική σκέψη 254 κατωτέρω για περισσότερες λεπτομέρειες σχετικά με τις αρμοδιότητες εκ των υστέρων εποπτείας του Επιτρόπου Ερευνητικών Εξουσιών).

(204)

Η άδεια για την απόκτηση δεδομένων επικοινωνιών βασίζεται σε εκτίμηση της αναγκαιότητας και της αναλογικότητας του μέτρου. Ειδικότερα, η αναγκαιότητα του μέτρου αξιολογείται με βάση τους λόγους που απαριθμούνται στη νομοθεσία (326). Λαμβανομένου υπόψη του στοχευμένου χαρακτήρα αυτού του μέτρου, πρέπει επίσης να είναι αναγκαίο για συγκεκριμένη έρευνα ή επιχείρηση (327). Περαιτέρω απαιτήσεις σχετικά με την αξιολόγηση της αναγκαιότητας των μέτρων καθορίζονται στον κώδικα ορθής πρακτικής για τα δεδομένα επικοινωνιών (328). Ειδικότερα, ο κώδικας αυτός ορίζει ότι στην αίτηση που υποβάλλεται από την αιτούσα αρχή θα πρέπει να προσδιορίζονται τρία, κατ’ ελάχιστον, στοιχεία που δικαιολογούν την αναγκαιότητα της αίτησης: i) το υπό διερεύνηση συμβάν, για παράδειγμα ένα έγκλημα ή η τοποθεσία ευάλωτου αγνοούμενου προσώπου· ii) το πρόσωπο του οποίου τα δεδομένα ζητούνται, για παράδειγμα ένας ύποπτος, ένας μάρτυρας ή ένα αγνοούμενο πρόσωπο, και ο τρόπος με τον οποίο συνδέονται με το συμβάν· και iii) τα ζητούμενα δεδομένα επικοινωνίας, όπως ένας αριθμός τηλεφώνου ή μια διεύθυνση IP, και ο τρόπος με τον οποίο τα εν λόγω δεδομένα σχετίζονται με το πρόσωπο και το συμβάν (329).

(205)

Επιπλέον, η απόκτηση δεδομένων επικοινωνίας πρέπει να είναι ανάλογη προς τον επιδιωκόμενο σκοπό (330). Ο κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών διευκρινίζει ότι, κατά τη διενέργεια της εν λόγω αξιολόγησης, το πρόσωπο που χορηγεί την άδεια θα πρέπει να προβαίνει σε στάθμιση «της έκτασης της επέμβασης στα δικαιώματα και στις ελευθερίες του ατόμου έναντι συγκεκριμένου οφέλους για την έρευνα ή την επιχείρηση που έχει αναλάβει να διεκπεραιώσει η αρμόδια δημόσια αρχή προς το δημόσιο συμφέρον» και ότι, λαμβανομένων υπόψη όλων των παραμέτρων μιας συγκεκριμένης υπόθεσης, «η επέμβαση στα δικαιώματα του ατόμου ενδέχεται, παρόλα αυτά, να μη δικαιολογείται διότι οι δυσμενείς επιπτώσεις στα δικαιώματα άλλου ατόμου ή ομάδας ατόμων είναι υπερβολικά σοβαρές». Επιπλέον, ειδικά για την αξιολόγηση της αναλογικότητας του μέτρου, ο κώδικας απαριθμεί ορισμένα στοιχεία που θα πρέπει να περιέχει η αίτηση που υποβάλλει η αιτούσα αρχή (331). Επίσης, πρέπει να αποδίδεται ιδιαίτερη προσοχή στο είδος των δεδομένων επικοινωνίας (δεδομένα «οντότητας» ή δεδομένα «συμβάντων» (332)) που πρόκειται να ληφθούν και πρέπει να προκρίνεται η χρήση λιγότερο παρεμβατικών κατηγοριών δεδομένων (333). Ο κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών περιέχει επίσης ειδικές οδηγίες για τις άδειες που αφορούν τα δεδομένα επικοινωνιών προσώπων που ασκούν συγκεκριμένα επαγγέλματα (όπως ιατρών, δικηγόρων, δημοσιογράφων, βουλευτών η ιερέων) (334), οι οποίες υπόκεινται σε πρόσθετες εγγυήσεις (335).

ii)   Ειδοποίηση με την οποία ζητείται η διατήρηση δεδομένων επικοινωνιών

(206)

Το μέρος 4 του IPA 2016 καθορίζει τους κανόνες για τη διατήρηση των δεδομένων επικοινωνιών και ιδίως τα κριτήρια βάσει των οποίων ο υπουργός μπορεί να εκδώσει ειδοποίηση για τη διατήρηση δεδομένων (336). Οι εγγυήσεις που θεσπίζει ο IPA είναι οι ίδιες τόσο στην περίπτωση διατήρησης δεδομένων για σκοπούς επιβολής του νόμου όσο και για σκοπούς που ανάγονται στην εθνική ασφάλεια.

(207)

Η έκδοση αυτών των ειδοποιήσεων για τη διατήρηση δεδομένων αποσκοπεί στο να διασφαλίσει ότι οι φορείς εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών διατηρούν, για μέγιστη περίοδο 12 μηνών, τα σχετικά δεδομένα επικοινωνιών τα οποία διαφορετικά θα διαγράφονταν όταν δεν θα ήταν πλέον απαραίτητα για επαγγελματικούς σκοπούς (337). Τα διατηρούμενα δεδομένα πρέπει να παραμένουν διαθέσιμα για το απαιτούμενο χρονικό διάστημα, για την περίπτωση που η δημόσια αρχή χρειαστεί στη συνέχεια να τα αποκτήσει βάσει άδειας για στοχευμένη απόκτηση δεδομένων επικοινωνιών, σύμφωνα με το μέρος 3 του IPA 2016, όπως περιγράφεται στις αιτιολογικές σκέψεις 203 έως 205.

(208)

Η άσκηση της εξουσίας να ζητηθεί η διατήρηση ορισμένων δεδομένων υπόκειται σε ορισμένους περιορισμούς και εγγυήσεις. Ο υπουργός μπορεί να εκδώσει ειδοποίηση για τη διατήρηση δεδομένων προς έναν ή περισσότερους φορείς (338) μόνο όταν κρίνει ότι η απαίτηση διατήρησης των δεδομένων είναι αναγκαία για έναν από τους σκοπούς που προβλέπονται στον νόμο (339) και είναι ανάλογη προς τον επιδιωκόμενο σκοπό (340) Όπως διευκρινίζεται από τον ίδιο τον. IPA 2016 (341), πριν από την έκδοση ειδοποίησης για τη διατήρηση δεδομένων, ο υπουργός πρέπει να λαμβάνει υπόψη: τα πιθανά οφέλη της ειδοποίησης (342)· περιγραφή των τηλεπικοινωνιακών υπηρεσιών· τη σκοπιμότητα περιορισμού των προς διατήρηση δεδομένων μέσω αναφοράς στην τοποθεσία ή περιγραφής των προσώπων στα οποία παρέχονται οι τηλεπικοινωνιακές υπηρεσίες (343)· τον πιθανό αριθμό χρηστών (εφόσον είναι γνωστός) οποιασδήποτε τηλεπικοινωνιακής υπηρεσίας την οποία αφορά η ειδοποίηση (344)· την τεχνική εφικτότητα της συμμόρφωσης με την ειδοποίηση· το πιθανό κόστος της συμμόρφωσης με την ειδοποίηση, καθώς και κάθε άλλη συνέπεια της ειδοποίησης για τον φορέα εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών (ή περιγραφή των φορέων εκμετάλλευσης) τον οποίο αφορά (345). Όπως περιγράφεται αναλυτικότερα στο κεφάλαιο 17 του κώδικα ορθής πρακτικής για τα δεδομένα επικοινωνιών, όλες οι ειδοποιήσεις για τη διατήρηση δεδομένων πρέπει να προσδιορίζουν κάθε είδος δεδομένων που πρέπει να διατηρηθεί και τον τρόπο με τον οποίο το συγκεκριμένο είδος δεδομένων πληροί τα αναγκαία κριτήρια για τη διατήρηση.

(209)

Σε όλες τις περιπτώσεις (τόσο στην περίπτωση των σκοπών εθνικής ασφάλειας όσο και στην περίπτωση των σκοπών επιβολής του νόμου), η απόφαση του υπουργού να εκδώσει ειδοποίηση για τη διατήρηση δεδομένων πρέπει να εγκριθεί από ανεξάρτητο δικαστικό επίτροπο, βάσει της λεγόμενης διαδικασίας «διπλής διασφάλισης», ο οποίος πρέπει ιδίως να ελέγξει κατά πόσον η ειδοποίηση για τη διατήρηση των σχετικών δεδομένων επικοινωνιών είναι αναγκαία και αναλογική για έναν ή περισσότερους από τους σκοπούς που προβλέπονται από τον νόμο (346).

3.3.1.1.3   Παρεμβολή σε εξοπλισμό

(210)

Η παρεμβολή σε εξοπλισμό συνίσταται σε σύνολο τεχνικών που χρησιμοποιούνται για τη λήψη ποικίλων δεδομένων από εξοπλισμό (347), στην έννοια του οποίου περιλαμβάνονται οι ηλεκτρονικοί υπολογιστές, οι ταμπλέτες και τα έξυπνα τηλέφωνα, καθώς και τα καλώδια, τα σύρματα και οι συσκευές αποθήκευσης (348). Η παρεμβολή σε εξοπλισμό επιτρέπει την απόκτηση τόσο του περιεχομένου των επικοινωνιών όσο και των δεδομένων του εξοπλισμού (349).

(211)

Σύμφωνα με το άρθρο 13 παράγραφος 1 του IPA 2016, η χρήση της παρεμβολής σε εξοπλισμό από υπηρεσία πληροφοριών προϋποθέτει άδεια υπό τη μορφή εντάλματος που εκδίδεται σύμφωνα με τη διαδικασία «διπλής διασφάλισης» που προβλέπει ο IPA 2016, εφόσον υπάρχει «σύνδεση με τις Βρετανικές Νήσους» (350). Σύμφωνα με τις εξηγήσεις που δόθηκαν από τις αρχές του Ηνωμένου Βασιλείου, στις περιπτώσεις της διαβίβασης δεδομένων από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο στο πλαίσιο του πεδίου εφαρμογής της παρούσας απόφασης, πάντοτε θα υφίσταται «σύνδεση με τις Βρετανικές Νήσους» και, ως εκ τούτου, κάθε παρεμβολή σε εξοπλισμό που καλύπτει τέτοια δεδομένα θα υπόκειται στην υποχρεωτική απαίτηση έκδοσης εντάλματος του άρθρου 13 παράγραφος 1 του IPA 2016 (351).

(212)

Οι κανόνες για τα εντάλματα στοχευμένης παρεμβολής σε εξοπλισμό καθορίζονται στο μέρος 5 του IPA 2016. Όπως και στην περίπτωση της στοχευμένης παρακολούθησης, η στοχευμένη παρεμβολή σε εξοπλισμό πρέπει να αφορά συγκεκριμένο «στόχο», ο οποίος πρέπει να ορίζεται στο ένταλμα (352). Οι λεπτομέρειες σχετικά με τον τρόπο με τον οποίο πρέπει να προσδιορίζεται ο «στόχος» εξαρτώνται από το ζήτημα και από το είδος του εξοπλισμού στον οποίο πρόκειται να πραγματοποιηθεί η παρεμβολή. Ειδικότερα, το άρθρο 115 παράγραφος 3 του IPA καθορίζει τα στοιχεία που θα πρέπει να περιέχει το ένταλμα (π.χ. το όνομα του προσώπου ή του οργανισμού, περιγραφή της τοποθεσίας) ανάλογα, για παράδειγμα, με το αν η παρεμβολή αφορά εξοπλισμό που ανήκει, χρησιμοποιείται ή βρίσκεται στην κατοχή συγκεκριμένου προσώπου ή οργανισμού ή ομάδας προσώπων, αν βρίσκεται σε συγκεκριμένη τοποθεσία κ.λπ. (353) Οι σκοποί για τους οποίους μπορούν να εκδοθούν εντάλματα στοχευμένης παρεμβολής σε εξοπλισμό εξαρτώνται από τη δημόσια αρχή που υποβάλλει τη σχετική αίτηση (354).

(213)

Όπως και στην περίπτωση της στοχευμένης παρακολούθησης, η αρχή έκδοσης πρέπει να εξετάζει αν το μέτρο είναι αναγκαίο για την επίτευξη συγκεκριμένου σκοπού και αν είναι ανάλογο προς τον επιδιωκόμενο σκοπό (355). Επιπλέον, θα πρέπει επίσης να εξετάζει αν υπάρχουν εγγυήσεις όσον αφορά την ασφάλεια, τη διατήρηση και την κοινοποίηση, καθώς και όσον αφορά την «κοινοποίηση στο εξωτερικό» (356) (βλ. αιτιολογική σκέψη 196).

(214)

Το ένταλμα πρέπει να εγκριθεί από δικαστικό επίτροπο, εκτός από τις περιπτώσεις επείγουσας ανάγκης (357). Στις περιπτώσεις αυτές, ο δικαστικός επίτροπος πρέπει να ενημερωθεί για την έκδοση του εντάλματος και να το εγκρίνει εντός τριών εργάσιμων ημερών. Σε περίπτωση που ο δικαστικός επίτροπος αρνηθεί να το εγκρίνει, το ένταλμα παύει να ισχύει και δεν μπορεί να ανανεωθεί (358). Επιπλέον, ο δικαστικός επίτροπος έχει την εξουσία να απαιτήσει τη διαγραφή όλων των δεδομένων που αποκτήθηκαν βάσει του εντάλματος (359). Το γεγονός ότι ένα ένταλμα εκδόθηκε επειγόντως δεν επηρεάζει την εκ των υστέρων εποπτεία (βλ. αιτιολογικές σκέψεις 244 έως 255) ή τις δυνατότητες των οικείων προσώπων να ζητήσουν έννομη προστασία (βλ. αιτιολογικές σκέψεις 260 έως 270). Τα οικεία πρόσωπα μπορούν να υποβάλουν καταγγελία στο ICO ή να προσβάλουν με προσφυγή οποιαδήποτε εικαζόμενη συμπεριφορά ενώπιον του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών με τον συνήθη τρόπο. Σε όλες τις περιπτώσεις, το κριτήριο που εφαρμόζει ο δικαστικός επίτροπος όταν αποφασίζει αν θα εγκρίνει ή όχι ένταλμα είναι ο έλεγχος της αναγκαιότητας και της αναλογικότητας, ο οποίος διενεργείται σύμφωνα με όσα ισχύουν για τις αιτήσεις στοχευμένης παρακολούθησης (360) (βλ. αιτιολογική σκέψη 192 ανωτέρω)

(215)

Τέλος, οι ειδικές εγγυήσεις που εφαρμόζονται για τη στοχευμένη παρακολούθηση εφαρμόζονται και για την παρεμβολή σε εξοπλισμό, όσον αφορά τη διάρκεια ισχύος, την ανανέωση και την τροποποίηση του εντάλματος, καθώς και την παρακολούθηση των μελών του Κοινοβουλίου, στοιχείων που υπόκεινται σε νομικό προνόμιο και δημοσιογραφικού υλικού (βλ. αναλυτικότερα στην αιτιολογική σκέψη 193).

3.3.1.1.4   Άσκηση εξουσιών μαζικού χαρακτήρα

(216)

Οι εξουσίες μαζικού χαρακτήρα ρυθμίζονται από το μέρος 6 του IPA 2016. Επιπλέον, οι κώδικες ορθής πρακτικής προβλέπουν περισσότερες λεπτομέρειες σχετικά με τη χρήση εξουσιών μαζικού χαρακτήρα. Μολονότι στο δίκαιο του Ηνωμένου Βασιλείου δεν περιλαμβάνεται ορισμός της «εξουσίας μαζικού χαρακτήρα», στο πλαίσιο του IPA 2016 έχει περιγραφεί ως η συλλογή και η διατήρηση μεγάλων ποσοτήτων δεδομένων που αποκτώνται από την κυβέρνηση με διάφορα μέσα (δηλαδή με τις εξουσίες μαζικής παρακολούθησης, μαζικής απόκτησης και μαζικής παρεμβολής σε εξοπλισμό και τις εξουσίες σε σχέση με μαζικά σύνολα δεδομένων) και στα οποία μπορούν στη συνέχεια να έχουν πρόσβαση οι αρχές. Η περιγραφή αυτή αποσαφηνίζεται με αντιδιαστολή προς το τι δεν είναι η «εξουσία μαζικού χαρακτήρα»: δεν ισοδυναμεί με «μαζική επιτήρηση» χωρίς περιορισμούς ή εγγυήσεις. Αντιθέτως, όπως εξηγείται κατωτέρω, ενέχει περιορισμούς και εγγυήσεις που αποσκοπούν στο να διασφαλίσουν ότι η πρόσβαση στα δεδομένα δεν παρέχεται χωρίς διάκριση ή αδικαιολόγητα (361). Ειδικότερα, η χρήση των εξουσιών μαζικού χαρακτήρα είναι δυνατή μόνον εάν υπάρχει σύνδεση μεταξύ του τεχνικού μέτρου που προτίθεται να χρησιμοποιήσει η εθνική υπηρεσία πληροφοριών και του επιχειρησιακού στόχου για τον οποίο ζητείται η λήψη του εν λόγω μέτρου.

(217)

Επιπλέον, οι εξουσίες μαζικού χαρακτήρα είναι διαθέσιμες μόνο στις υπηρεσίες πληροφοριών και η άσκησή τους προϋποθέτει πάντοτε τη λήψη εντάλματος που εκδίδεται από τον υπουργό και εγκρίνεται από δικαστικό επίτροπο. Όταν επιλέγονται τα μέσα συλλογής πληροφοριών, πρέπει να εξετάζεται αν ο οικείος στόχος μπορεί να επιτευχθεί με «λιγότερο παρεμβατικά μέσα» (362). Η προσέγγιση αυτή απορρέει από το νομοθετικό πλαίσιο που βασίζεται στην αρχή της αναλογικότητας και, ως εκ τούτου, προκρίνει τη στοχευμένη συλλογή έναντι της μαζικής συλλογής.

3.3.1.1.4.1   Μαζική παρακολούθηση και μαζική παρεμβολή σε εξοπλισμό

(218)

Το καθεστώς για τη μαζική παρακολούθηση καθορίζεται στο μέρος 6 κεφάλαιο 1 του IPA 2016, ενώ το κεφάλαιο 3 του ίδιου μέρους ρυθμίζει τη μαζική παρεμβολή σε εξοπλισμό. Τα καθεστώτα αυτά είναι ίδια κατ’ ουσίαν, επομένως οι όροι και οι πρόσθετες εγγυήσεις που ισχύουν για αυτά τα εντάλματα αναλύονται από κοινού.

i)   Όροι και κριτήρια για την έκδοση του εντάλματος

(219)

Το ένταλμα μαζικής παρακολούθησης περιορίζεται στην παρακολούθηση, κατά τη διάρκεια της μετάδοσής τους, επικοινωνιών που αποστέλλονται ή λαμβάνονται από άτομα που βρίσκονται εκτός των Βρετανικών Νήσων (363) (οι επικοινωνίες αυτές καλούνται «επικοινωνίες που σχετίζονται με το εξωτερικό» (364)), καθώς και άλλων σχετικών δεδομένων, και στην ακόλουθη επιλογή προς εξέταση του υλικού που ελήφθη κατόπιν παρακολούθησης (365). Το ένταλμα μαζικής παρεμβολής σε εξοπλισμό (366) επιτρέπει στον αποδέκτη του εντάλματος να εξασφαλίσει την πραγματοποίηση παρεμβολής σε οποιονδήποτε εξοπλισμό με σκοπό την απόκτηση επικοινωνιών που σχετίζονται με το εξωτερικό (συμπεριλαμβανομένων οποιωνδήποτε επικοινωνιών περιλαμβάνουν ομιλία, μουσική, ήχους, οπτικές εικόνες ή δεδομένα κάθε είδους), δεδομένων εξοπλισμού (δεδομένα που καθιστούν δυνατή ή διευκολύνουν τη λειτουργία ταχυδρομικής υπηρεσίας· συστήματος τηλεπικοινωνιών· τηλεπικοινωνιακής υπηρεσίας) ή οποιασδήποτε άλλης πληροφορίας (367).

(220)

Ο υπουργός μπορεί να εκδώσει ένταλμα μαζικού χαρακτήρα μόνο κατόπιν αίτησης που υποβάλλεται από τον επικεφαλής υπηρεσίας πληροφοριών (368). Το ένταλμα που επιτρέπει τη μαζική παρακολούθηση ή τη μαζική παρεμβολή σε εξοπλισμό πρέπει να εκδίδεται μόνο εφόσον είναι αναγκαίο για σκοπούς που ανάγονται στην εθνική ασφάλεια ή για την επίτευξη περαιτέρω στόχου που συνίσταται στην πρόληψη ή την ανίχνευση σοβαρού εγκλήματος ή για σκοπούς που ανάγονται στην εξασφάλιση της οικονομικής ευημερίας του Ηνωμένου Βασιλείου, όταν είναι συναφείς για την εθνική ασφάλεια (369). Επιπλέον, σύμφωνα με το άρθρο 142 παράγραφος 7 του IPA 2016, το ένταλμα μαζικής παρακολούθησης πρέπει να εξειδικεύεται με βαθμό λεπτομέρειας μεγαλύτερο από την απλή αναφορά στους «σκοπούς που ανάγονται στην εθνική ασφάλεια», στην «οικονομική ευημερία του Ηνωμένου Βασιλείου» και στην «πρόληψη και ανίχνευση σοβαρού εγκλήματος», και πρέπει να στοιχειοθετείται σύνδεση μεταξύ του μέτρου του οποίου ζητείται η λήψη και ενός ή περισσότερων επιχειρησιακών σκοπών που πρέπει να περιλαμβάνονται στο ένταλμα.

(221)

Η επιλογή του επιχειρησιακού σκοπού είναι αποτέλεσμα πολυεπίπεδης διαδικασίας. Σύμφωνα με το άρθρο 142 παράγραφος 4, οι επιχειρησιακοί σκοποί που προσδιορίζονται στο ένταλμα πρέπει να απαριθμούνται σε κατάλογο που τηρούν οι επικεφαλής των υπηρεσιών πληροφοριών, ως σκοποί που οι εν λόγω επικεφαλής των υπηρεσιών πληροφοριών κρίνουν ότι συνιστούν επιχειρησιακούς σκοπούς για τους οποίους περιεχόμενο ή δευτερογενή δεδομένα που ελήφθησαν κατόπιν παρακολούθησης βάσει ενταλμάτων μαζικής παρακολούθησης μπορούν να επιλεγούν προς εξέταση. Ο κατάλογος επιχειρησιακών σκοπών πρέπει να εγκριθεί από τον υπουργό. Ο υπουργός μπορεί να χορηγήσει την έγκρισή του μόνο εφόσον βεβαιωθεί ότι ο επιχειρησιακός σκοπός καθορίζεται με βαθμό λεπτομέρειας μεγαλύτερο από την απλή αναφορά των γενικών λόγων χορήγησης του εντάλματος (εθνική ασφάλεια ή εθνική ασφάλεια και οικονομική ευημερία ή πρόληψη σοβαρού εγκλήματος) (370). Στο τέλος κάθε οικείας τρίμηνης περιόδου, ο υπουργός πρέπει να διαβιβάζει αντίγραφο του καταλόγου επιχειρησιακών σκοπών στην κοινοβουλευτική Επιτροπή Πληροφοριών και Ασφάλειας (ISC). Τέλος, ο πρωθυπουργός πρέπει να επανεξετάζει τον κατάλογο επιχειρησιακών σκοπών τουλάχιστον μία φορά ετησίως (371). Όπως επισήμανε το Ανώτερο Δικαστήριο «δεν πρέπει να υποτιμάται η σημασία αυτών των εγγυήσεων, καθώς συγκροτούν, από κοινού, ένα περίπλοκο σύνολο μέσων λογοδοσίας, τα οποία αφορούν τόσο το Κοινοβούλιο όσο και μέλη της κυβέρνησης στο ανώτατο επίπεδο» (372).

(222)

Αυτοί οι επιχειρησιακοί σκοποί περιορίζουν επίσης την έκταση της επιλογής του υλικού που ελήφθη κατόπιν παρακολούθησης για το στάδιο της εξέτασης. Η επιλογή προς εξέταση οποιουδήποτε υλικού που συλλέχθηκε βάσει εντάλματος μαζικού χαρακτήρα πρέπει να δικαιολογείται από τον επιχειρησιακό σκοπό ή τους επιχειρησιακούς σκοπούς. Όπως εξήγησαν οι αρχές του Ηνωμένου Βασιλείου, αυτό σημαίνει ότι ο υπουργός πρέπει να αξιολογεί τις πρακτικές ρυθμίσεις για την εξέταση ήδη από το στάδιο της έκδοσης του εντάλματος, στο πλαίσιο των οποίων παρέχονται επαρκείς λεπτομέρειες για την εκπλήρωση των εκ του νόμου υποχρεώσεων βάσει των άρθρων 152 και 193 του IPA 2016 (373). Οι λεπτομέρειες που παρέχονται στον υπουργό σχετικά με τις εν λόγω ρυθμίσεις πρέπει να περιλαμβάνουν, για παράδειγμα, πληροφορίες (αν συντρέχει τέτοια περίπτωση) σχετικά με τον τρόπο με τον οποίο οι ρυθμίσεις φιλτραρίσματος ενδέχεται να μεταβληθούν κατά την περίοδο ισχύος του εντάλματος (374). Για περισσότερες λεπτομέρειες σχετικά με τη διαδικασία και τις εγγυήσεις που εφαρμόζονται στα στάδια φιλτραρίσματος και εξέτασης, βλ. αιτιολογική σκέψη 229 κατωτέρω.

(223)

Η άσκηση εξουσίας μαζικού χαρακτήρα μπορεί να επιτραπεί μόνο εάν είναι ανάλογη προς τον επιδιωκόμενο σκοπό (375). Όπως διευκρινίζεται στον κώδικα ορθής πρακτικής για την παρακολούθηση, κάθε αξιολόγηση της αναλογικότητας συνεπάγεται «στάθμιση της σοβαρότητας της επέμβασης στην ιδιωτικότητα (και των άλλων ζητημάτων που εκτίθενται στο άρθρο 2 παράγραφος 2) έναντι της ανάγκης για τη διεξαγωγή της δραστηριότητας από ερευνητική ή επιχειρησιακή άποψη αλλά και από την άποψη της σχετικής ικανότητας. Η συμπεριφορά για την οποία χορηγείται η άδεια θα πρέπει να προσφέρει ρεαλιστικό ενδεχόμενο επίτευξης του αναμενόμενου οφέλους και δεν θα πρέπει να είναι δυσανάλογη ή αυθαίρετη» (376). Όπως προαναφέρθηκε, αυτό σημαίνει ότι, στην πράξη, ο έλεγχος της αναλογικότητας βασίζεται σε έλεγχο στάθμισης μεταξύ του επιδιωκόμενου σκοπού («του/των επιχειρησιακού/-ών σκοπού/-ών») και των διαθέσιμων τεχνικών επιλογών (π.χ. στοχευμένη ή μαζική παρακολούθηση, παρεμβολή σε εξοπλισμό, απόκτηση δεδομένων επικοινωνιών), βάσει του οποίου θα πρέπει προκρίνονται τα λιγότερο παρεμβατικά μέσα (βλ. αιτιολογικές σκέψεις 181 και 182 ανωτέρω) Όταν περισσότερα του ενός μέτρα είναι κατάλληλα για την επίτευξη του στόχου, πρέπει να προκρίνεται το λιγότερο παρεμβατικό μέσο.

(224)

Μια πρόσθετη εγγύηση για την αξιολόγηση της αναλογικότητας του ζητούμενου μέτρου διασφαλίζεται από το γεγονός ότι πρέπει να παρέχονται στον υπουργό οι σχετικές πληροφορίες που απαιτούνται για την ορθή διενέργεια της αξιολόγησής του. Ειδικότερα, σύμφωνα με τον κώδικα ορθής πρακτικής για την παρακολούθηση και τον κώδικα ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό, η αίτηση που υποβάλλεται από την αρμόδια αρχή θα πρέπει να αναφέρει το ιστορικό στο οποίο βασίζεται η αίτηση, περιγραφή των επικοινωνιών που πρόκειται να αποτελέσουν αντικείμενο παρακολούθησης και των φορέων εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών που καλούνται να συνδράμουν, περιγραφή της συμπεριφοράς για την οποία ζητείται άδεια, των επιχειρησιακών σκοπών, καθώς και εξήγηση των λόγων για τους οποίους η συμπεριφορά είναι αναγκαία και αναλογική (377).

(225)

Τέλος, σημαντικό είναι ότι η απόφαση του υπουργού για έκδοση του εντάλματος πρέπει να εγκριθεί από ανεξάρτητο δικαστικό επίτροπο ο οποίος αξιολογεί την αναγκαιότητα και την αναλογικότητα του προτεινόμενου μέτρου, εφαρμόζοντας τις ίδιες αρχές που θα εφάρμοζε το δικαστήριο επί αίτησης δικαστικού ελέγχου (378). Πιο συγκεκριμένα, ο δικαστικός επίτροπος επανεξετάζει τα συμπεράσματα του υπουργού ως προς το αν το ένταλμα είναι αναγκαίο και αν η συμπεριφορά είναι αναλογική υπό το πρίσμα των αρχών που καθορίζονται στο άρθρο 2 παράγραφος 2 του IPA 2016 (γενικές υποχρεώσεις σχετικά με την ιδιωτικότητα). Ο δικαστικός επίτροπος επανεξετάζει επίσης τα συμπεράσματα του υπουργού ως προς το αν καθένας από τους επιχειρησιακούς σκοπούς που προσδιορίζονται στο ένταλμα συνιστά σκοπό για τον οποίο η επιλογή είναι ή ενδέχεται να είναι αναγκαία. Εάν ο δικαστικός επίτροπος αρνηθεί να εγκρίνει την απόφαση για την έκδοση του εντάλματος, ο υπουργός μπορεί είτε: i) να αποδεχθεί την απόφαση και, ως εκ τούτου, να μην εκδώσει το ένταλμα· είτε ii) να παραπέμψει το θέμα στον Επίτροπο Ερευνητικών Εξουσιών για την έκδοση απόφασης (εκτός εάν η αρχική απόφαση είχε εκδοθεί από τον Επίτροπο Ερευνητικών Εξουσιών) (379).

ii)   Πρόσθετες εγγυήσεις

(226)

Ο IPA 2016 εισήγαγε περαιτέρω περιορισμούς όσον αφορά τη διάρκεια ισχύος, την ανανέωση και την τροποποίηση των ενταλμάτων μαζικού χαρακτήρα. Το ένταλμα πρέπει να έχει μέγιστη διάρκεια έξι μηνών και κάθε απόφαση ανανέωσης ή τροποποίησης (εκτός από τις ήσσονος σημασίας τροποποιήσεις) του εντάλματος πρέπει επίσης να εγκρίνεται από δικαστικό επίτροπο (380). Ο κώδικας ορθής πρακτικής για την παρακολούθηση και ο κώδικας ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό διευκρινίζουν ότι τυχόν μεταβολή των επιχειρησιακών σκοπών του εντάλματος θεωρείται σημαντική τροποποίηση του εντάλματος (381).

(227)

Όπως προβλέπεται και στην περίπτωση της στοχευμένης παρακολούθησης, το μέρος 6 του IPA 2016 ορίζει ότι ο υπουργός πρέπει να διασφαλίζει ότι ισχύουν ρυθμίσεις για την παροχή εγγυήσεων όσον αφορά τη διατήρηση και την κοινοποίηση υλικού που ελήφθη βάσει του εντάλματος (382), καθώς και για την κοινοποίηση στο εξωτερικό (383). Ειδικότερα, σύμφωνα με το άρθρο 150 παράγραφος 5 και το άρθρο 191 παράγραφος 5 του IPA 2016, όλα τα αντίγραφα οποιουδήποτε μέρους του υλικού που συλλέγεται δυνάμει του εντάλματος πρέπει να αποθηκεύονται με ασφάλεια και να καταστρέφονται μόλις εκλείψουν οι σχετικοί λόγοι για τη διατήρησή τους, ενώ σύμφωνα με το άρθρο 150 παράγραφος 2 και το άρθρο 191 παράγραφος 2, ο αριθμός των προσώπων στα οποία κοινοποιείται το υλικό και ο βαθμός στον οποίο το υλικό κοινοποιείται, διατίθεται ή αντιγράφεται πρέπει να περιορίζονται στο ελάχιστο αναγκαίο για την επίτευξη των νόμιμων σκοπών (384).

(228)

Τέλος, όταν το υλικό που ελήφθη κατόπιν παρακολούθησης, είτε βάσει εντάλματος μαζικής παρακολούθησης είτε βάσει εντάλματος μαζικής παρεμβολής σε εξοπλισμό, πρόκειται να παραδοθεί σε τρίτη χώρα (η περίπτωση της «κοινοποίησης στο εξωτερικό»), ο IPA 2016 ορίζει ότι ο υπουργός πρέπει να διασφαλίζει ότι υπάρχουν κατάλληλες ρυθμίσεις με τις οποίες διασφαλίζεται ότι στην τρίτη χώρα παρέχονται παρόμοιες εγγυήσεις όσον αφορά την ασφάλεια, τη διατήρηση και την κοινοποίηση (385). Επιπλέον, το άρθρο 109 του DPA 2018 θέτει συγκεκριμένες απαιτήσεις για τις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από υπηρεσίες πληροφοριών προς τρίτες χώρες ή διεθνείς οργανισμούς και δεν επιτρέπει να διαβιβαστούν δεδομένα σε χώρα ή έδαφος εκτός του Ηνωμένου Βασιλείου ή σε διεθνή οργανισμό, εκτός εάν η διαβίβαση είναι αναγκαία και αναλογική για την εκτέλεση των εκ του νόμου καθηκόντων του υπευθύνου επεξεργασίας ή για άλλους σκοπούς που προβλέπονται στο άρθρο 2 παράγραφος 2 στοιχείο (a) του νόμου του 1989 για την Υπηρεσία Ασφάλειας ή το άρθρο 2 παράγραφος 2 στοιχείο (a) και το άρθρο 4 παράγραφος 2 στοιχείο (a) του νόμου του 1994 για τις υπηρεσίες πληροφοριών (386). Σημαντικό είναι το γεγονός ότι οι απαιτήσεις αυτές ισχύουν και στις περιπτώσεις στις οποίες γίνεται επίκληση της εξαίρεσης της εθνικής ασφάλειας σύμφωνα με το άρθρο 110 του DPA 2018, δεδομένου ότι το άρθρο 110 του DPA 2018 δεν περιλαμβάνει το άρθρο 109 του DPA 2018 στις διατάξεις που είναι δυνατόν να μην εφαρμοστούν εάν ζητείται εξαίρεση από ορισμένες διατάξεις για τη διαφύλαξη της εθνικής ασφάλειας.

(229)

Μετά την έγκριση του εντάλματος και τη μαζική συλλογή των δεδομένων, τα δεδομένα υποβάλλονται σε διαδικασία επιλογής προτού εξεταστούν. Το στάδιο επιλογής και εξέτασης των δεδομένων υπόκειται σε περαιτέρω έλεγχο αναλογικότητας, ο οποίος διενεργείται από τον αναλυτή και στο πλαίσιο του οποίου καθορίζονται, βάσει των επιχειρησιακών σκοπών που προσδιορίζονται στο ένταλμα (και τυχόν υφιστάμενων ρυθμίσεων φιλτραρίσματος), τα κριτήρια επιλογής. Όπως προβλέπεται στα άρθρα 152 και 193 του IPA, όταν ο υπουργός εκδίδει το ένταλμα, πρέπει να διασφαλίζει ότι υπάρχουν ρυθμίσεις με τις οποίες διασφαλίζεται ότι η επιλογή του υλικού πραγματοποιείται μόνο για τους καθορισμένους επιχειρησιακούς σκοπούς και ότι είναι αναγκαία και αναλογική σε όλες τις περιπτώσεις. Στο πλαίσιο αυτό, οι αρχές του Ηνωμένου Βασιλείου διευκρίνισαν ότι το υλικό που λαμβάνεται μέσω μαζικής παρακολούθησης επιλέγεται πρωτίστως μέσω αυτοματοποιημένου φιλτραρίσματος με σκοπό την απόρριψη δεδομένων που είναι απίθανο να παρουσιάζουν ενδιαφέρον από την άποψη της εθνικής ασφάλειας. Τα φίλτρα διαφοροποιούνται κατά καιρούς (καθώς μεταβάλλονται οι τάσεις, οι τύποι και τα πρωτόκολλα της κίνησης στο διαδίκτυο) και τελούν σε συνάρτηση με την τεχνολογία και το επιχειρησιακό πλαίσιο. Μετά το στάδιο αυτό, τα δεδομένα μπορούν να επιλεγούν προς εξέταση μόνο αν είναι συναφή για τους επιχειρησιακούς σκοπούς που προσδιορίζονται στο ένταλμα (387). Οι εγγυήσεις που προβλέπονται από τον IPA 2016 για την εξέταση του συλλεγόμενου υλικού ισχύουν για κάθε τύπο δεδομένων (τόσο για το περιεχόμενο που συλλέγεται μέσω παρακολούθησης όσο και για τα δευτερογενή δεδομένα) (388). Τα άρθρα 152 και 193 του IPA 2016 προβλέπουν επίσης γενική απαγόρευση επιλογής προς εξέταση υλικού που αναφέρεται σε συζητήσεις που αποστέλλονται από ή προορίζονται για άτομα που βρίσκονται στις Βρετανικές Νήσους. Εάν οι αρχές επιθυμούν να εξετάσουν υλικό αυτού του είδους, υποβάλλουν αίτηση για την έκδοση εντάλματος στοχευμένης εξέτασης βάσει του μέρους 2 και του μέρους 4 του IPA 2016, το οποίο εκδίδεται από τον υπουργό και εγκρίνεται από δικαστικό επίτροπο (389). Εάν ένα πρόσωπο επιλέξει σκοπίμως προς εξέταση περιεχόμενο που ελήφθη μέσω παρακολούθησης κατά παράβαση των απαιτήσεων που ορίζονται στη νομοθεσία (390), διαπράττει ποινικό αδίκημα (391).

(230)

Η αξιολόγηση που διενεργείται από τον αναλυτή για την επιλογή του υλικού υπόκειται σε εκ των υστέρων εποπτεία που ασκείται από τον Επίτροπο Ερευνητικών Εξουσιών, ο οποίος αξιολογεί τη συμμόρφωση με τις ειδικές εγγυήσεις που καθορίζονται στον IPA 2016 για το στάδιο της εξέτασης (392) (βλ. επίσης αιτιολογική σκέψη 229). Ο Επίτροπος Ερευνητικών Εξουσιών πρέπει να παρακολουθεί (μεταξύ άλλων με τη διενέργεια ελέγχων, επιθεωρήσεων και ερευνών) την άσκηση από τις δημόσιες αρχές των ερευνητικών εξουσιών που αναφέρονται στον IPA 2016 (393). Σχετικά με το ζήτημα αυτό, ο κώδικας ορθής πρακτικής για την παρακολούθηση και ο κώδικας ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό διευκρινίζουν ότι η οικεία υπηρεσία πρέπει να τηρεί αρχεία για τους σκοπούς μεταγενέστερης εξέτασης και ελέγχου και ότι στα αρχεία αυτά πρέπει να περιγράφονται οι λόγοι για τους οποίους η πρόσβαση στο υλικό από εξουσιοδοτημένα πρόσωπα είναι αναγκαία και αναλογική, καθώς και οι εφαρμοστέοι επιχειρησιακοί σκοποί (394). Για παράδειγμα, στην ετήσια έκθεσή του για το 2018, το Γραφείο του Επιτρόπου Ερευνητικών Εξουσιών (395) κατέληξε στο συμπέρασμα ότι οι δικαιολογητικοί λόγοι για την εξέταση υλικού που είχε συλλεχθεί μαζικά, τους οποίους είχαν καταγράψει οι αναλυτές, πληρούσαν το απαιτούμενο πρότυπο για την αναλογικότητα, καθώς παρείχαν επαρκείς λεπτομέρειες σχετικά με τους λόγους για τους οποίους πραγματοποίησαν τις αναζητήσεις τους σε σχέση με τον επιδιωκόμενο σκοπό (396). Στην έκθεσή του τού 2019, το IPCO, όσον αφορά τις μαζικές εξουσίες, εξέφρασε σαφώς την πρόθεσή του να συνεχίσει τις επιθεωρήσεις των μαζικών παρακολουθήσεων, συμπεριλαμβανομένης ενδελεχούς εξέτασης των επιλογέων και των κριτηρίων αναζήτησης (397). Θα συνεχίσει επίσης να εξετάζει προσεκτικά, κατά περίπτωση, την επιλογή των μέτρων επιτήρησης (στοχευμένα έναντι μαζικών) τόσο κατά την εξέταση των αιτήσεων για ένταλμα στο πλαίσιο της διπλής διασφάλισης όσο και κατά τις επιθεωρήσεις (398). Η εν λόγω περαιτέρω παρακολούθηση θα λαμβάνεται δεόντως υπόψη στο πλαίσιο της παρακολούθησης της παρούσας απόφασης από την Επιτροπή που αναφέρεται στις αιτιολογικές σκέψεις 281 έως 284.

3.3.1.1.4.2   Μαζική απόκτηση δεδομένων επικοινωνιών

(231)

Το μέρος 6 κεφάλαιο 2 του IPA 2016 ρυθμίζει τα εντάλματα μαζικής απόκτησης δεδομένων, τα οποία επιτρέπουν στον αποδέκτη τους να υποχρεώσει φορέα εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών να του κοινοποιήσει δεδομένα επικοινωνιών που βρίσκονται στην κατοχή του ή να λάβει από τον φορέα εκμετάλλευσης δεδομένα επικοινωνιών που βρίσκονται στην κατοχή του. Τα εντάλματα αυτά επιτρέπουν επίσης στην αιτούσα αρχή να επιλέξει τα δεδομένα για το επόμενο στάδιο της εξέτασης. Όπως και στην περίπτωση της στοχευμένης διατήρησης και απόκτησης δεδομένων επικοινωνιών (βλ. αιτιολογική σκέψη 199), η μαζική απόκτηση δεδομένων επικοινωνιών κατά κανόνα δεν αφορά τα δεδομένα προσωπικού χαρακτήρα υποκειμένων δεδομένων της ΕΕ τα οποία θα διαβιβάζονται στο Ηνωμένο Βασίλειο βάσει της παρούσας απόφασης. Η υποχρέωση κοινοποίησης δεδομένων επικοινωνιών σύμφωνα με το μέρος 6 κεφάλαιο 2 του IPA 2016 καλύπτει τα δεδομένα που συλλέγουν οι φορείς εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών στο Ηνωμένο Βασίλειο απευθείας από τους χρήστες της τηλεπικοινωνιακής υπηρεσίας (399). Αυτό το είδος επεξεργασίας που περιλαμβάνει άμεση επαφή με τον πελάτη κατά κανόνα δεν περιλαμβάνει διαβίβαση βάσει της παρούσας απόφασης, δηλαδή διαβίβαση από υπεύθυνο επεξεργασίας / εκτελούντα την επεξεργασία στην ΕΕ προς υπεύθυνο επεξεργασίας / εκτελούντα την επεξεργασία στο Ηνωμένο Βασίλειο.

(232)

Ωστόσο, για λόγους πληρότητας, κατωτέρω περιγράφονται οι όροι και οι εγγυήσεις που διέπουν την απόκτηση μαζικών δεδομένων επικοινωνιών.

(233)

Ο IPA 2016 αντικαθιστά τη νομοθεσία σχετικά με την απόκτηση μαζικών δεδομένων επικοινωνιών η οποία αποτέλεσε το αντικείμενο της απόφασης του ΔΕΕ στην υπόθεση Privacy International. Η επίμαχη στην υπόθεση αυτή νομοθετική ρύθμιση καταργήθηκε και το νέο καθεστώς προβλέπει ειδικούς όρους και εγγυήσεις για να μπορεί να επιτραπεί το μέτρο αυτό.

(234)

Ειδικότερα, σε αντίθεση με το προηγούμενο καθεστώς, υπό το οποίο ο υπουργός είχε πλήρη διακριτική ευχέρεια όσον αφορά τη χορήγηση άδειας για το μέτρο (400), σύμφωνα με τον IPA 2016, ο υπουργός εκδίδει ένταλμα μόνο εάν το μέτρο είναι αναγκαίο και αναλογικό. Αυτό στην πράξη σημαίνει ότι θα πρέπει να υπάρχει σύνδεση μεταξύ της πρόσβασης στα δεδομένα και του επιδιωκόμενου σκοπού (401). Ειδικότερα, ο υπουργός πρέπει να αξιολογεί την ύπαρξη σύνδεσης μεταξύ του ζητούμενου μέτρου και ενός ή περισσότερων «επιχειρησιακών σκοπών» που αναφέρονται στο ένταλμα (βλ. αιτιολογική σκέψη 219), ενώ σε σχέση με την αξιολόγηση της αναλογικότητας, ο σχετικός κώδικας ορθής πρακτικής διευκρινίζει ότι «ο υπουργός πρέπει να λαμβάνει υπόψη αν ο σκοπός που επιδιώκεται με το ένταλμα θα μπορούσε εύλογα να επιτευχθεί με άλλα, λιγότερο παρεμβατικά μέσα [άρθρο 2 παράγραφος 2 στοιχείο (a) του νόμου]. Για παράδειγμα, η απόκτηση των απαιτούμενων πληροφοριών μέσω της άσκησης λιγότερο παρεμβατικής εξουσίας, όπως η στοχευμένη απόκτηση δεδομένων επικοινωνιών» (402).

(235)

Για τη διενέργεια αυτής της αξιολόγησης, ο υπουργός βασίζεται στις πληροφορίες τις οποίες υποχρεούνται να υποβάλλουν οι επικεφαλής των υπηρεσιών πληροφοριών (403) στο πλαίσιο της αίτησής τους, όπως οι λόγοι για τους οποίους το μέτρο θεωρείται αναγκαίο για έναν από τους λόγους που προβλέπονται στον νόμο και οι λόγοι για τους οποίους ο επιδιωκόμενος σκοπός δεν θα μπορούσε εύλογα να επιτευχθεί με άλλα, λιγότερο παρεμβατικά μέσα (404). Επιπλέον, οι επιχειρησιακοί σκοποί περιορίζουν το εύρος των λόγων για τους οποίους δεδομένα που ελήφθησαν βάσει του εντάλματος μπορούν να επιλεγούν προς εξέταση (405). Όπως ορίζεται στον σχετικό κώδικα ορθής πρακτικής, οι επιχειρησιακοί σκοποί πρέπει να συνίστανται σε σαφή απαίτηση και να περιέχουν επαρκείς λεπτομέρειες ώστε ο υπουργός να μπορεί να βεβαιωθεί ότι τα δεδομένα που αποκτώνται μπορούν να επιλεγούν προς εξέταση μόνο για συγκεκριμένους λόγους (406). Μάλιστα, ο υπουργός πρέπει να διασφαλίζει, προτού εγκρίνει το ένταλμα, ότι υπάρχουν ειδικές ρυθμίσεις με τις οποίες διασφαλίζεται ότι επιλέγεται προς εξέταση μόνο το υλικό που κρίθηκε αναγκαίο να εξεταστεί για την επίτευξη επιχειρησιακού και νόμιμου σκοπού και ότι θα πρέπει η εξέταση να είναι αναλογική και αναγκαία σε όλες τις περιπτώσεις. Αυτή η ειδική απαίτηση, η οποία αποτυπώνεται στα άρθρα 158 και 172 (407) του IPA 2016, σχετικά με την προηγούμενη αξιολόγηση της αναγκαιότητας και της αναλογικότητας των κριτηρίων που χρησιμοποιούνται για τους σκοπούς της επιλογής, αποτελεί άλλη μια σημαντική καινοτομία του καθεστώτος που θεσπίστηκε με τον IPA 2016 έναντι του καθεστώτος που ίσχυε προηγουμένως.

(236)

Ο IPA 2016 εισήγαγε επίσης την υποχρέωση του υπουργού να διασφαλίζει ότι, πριν από την έκδοση εντάλματος για τη μαζική απόκτηση δεδομένων επικοινωνιών, υφίστανται ειδικοί περιορισμοί όσον αφορά την ασφάλεια, τη διατήρηση και την κοινοποίηση των δεδομένων προσωπικού χαρακτήρα που έχουν συλλεχθεί (408). Στην περίπτωση κοινοποίησης στο εξωτερικό, οι εγγυήσεις που περιγράφονται στην αιτιολογική σκέψη 227 για τη μαζική παρακολούθηση και τη μαζική παρεμβολή σε εξοπλισμό ισχύουν και στο πλαίσιο αυτό (409). Στη νομοθεσία καθορίζονται περαιτέρω περιορισμοί όσον αφορά τη διάρκεια ισχύος (410), την ανανέωση (411) και την τροποποίηση των ενταλμάτων μαζικού χαρακτήρα (412).

(237)

Είναι σημαντικό ότι, όπως και στην περίπτωση των άλλων εξουσιών μαζικού χαρακτήρα, πριν από την έκδοση του εντάλματος ο υπουργός πρέπει να λάβει την έγκριση δικαστικού επιτρόπου (413). Αυτό αποτελεί βασικό χαρακτηριστικό του καθεστώτος που θεσπίστηκε με τον IPA 2016.

(238)

Ο Επίτροπος Ερευνητικών Εξουσιών ασκεί την εκ των υστέρων εποπτεία επί της διαδικασίας εξέτασης του υλικού (των δεδομένων επικοινωνιών) που αποκτήθηκαν μαζικά (βλ. αιτιολογική σκέψη 254 κατωτέρω) Στο πλαίσιο αυτό, ο IPA 2016 εισήγαγε υποχρέωση του αναλυτή πληροφοριών που διενεργεί την εξέταση να καταγράφει, πριν από την επιλογή των προς εξέταση δεδομένων, τον λόγο για τον οποίο η προτεινόμενη εξέταση είναι αναγκαία και αναλογική για συγκεκριμένο επιχειρησιακό σκοπό (414). Στην ετήσια έκθεση του Γραφείου του Επιτρόπου Ερευνητικών Εξουσιών για το 2019 διαπιστώθηκε, όσον αφορά την πρακτική της GCHQ και της MI5, ότι «ο κρίσιμος ρόλος των μαζικών δεδομένων επικοινωνιών για το εύρος των δραστηριοτήτων που διεξάγονται στην GCHQ είχε επεξηγηθεί δεόντως στις υποθέσεις που ελέγξαμε. Εξετάσαμε τη φύση των ζητούμενων δεδομένων και τις απαιτήσεις συλλογής πληροφοριών που δηλώθηκαν και βεβαιωθήκαμε ότι τα δικαιολογητικά έγγραφα καταδείκνυαν ότι η προσέγγιση που ακολουθήθηκε ήταν αναγκαία και αναλογική» (415). Οι δικαιολογητικοί λόγοι που είχε καταγράψει η MI5 ήταν ικανοποιητικού επιπέδου και πληρούσαν τις απαιτήσεις των αρχών της αναγκαιότητας και της αναλογικότητας» (416).

3.3.1.1.4.3   Διατήρηση και εξέταση μαζικών συνόλων δεδομένων προσωπικού χαρακτήρα

(239)

Τα εντάλματα που αφορούν τα μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα (Bulk Personal Dataset, BPD) (417) επιτρέπουν στις υπηρεσίες πληροφοριών να διατηρούν και να εξετάζουν σύνολα δεδομένων που περιέχουν δεδομένα προσωπικού χαρακτήρα τα οποία αφορούν αρκετά μεγάλο αριθμό ατόμων. Σύμφωνα με τις εξηγήσεις που παρείχαν οι αρχές του Ηνωμένου Βασιλείου, η ανάλυση τέτοιων συνόλων δεδομένων μπορεί να είναι «ο μόνος τρόπος με τον οποίο η Κοινότητα Πληροφοριών του Ηνωμένου Βασιλείου μπορεί να προχωρήσει τις έρευνες και να ταυτοποιήσει τρομοκράτες όταν κατέχει πολύ περιορισμένες ενδείξεις ή όταν οι επικοινωνίες των ατόμων αυτών έχουν σκόπιμα αποκρυφτεί» (418). Υπάρχουν δύο είδη ενταλμάτων: τα εντάλματα για μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα γενικής κατηγορίας («class BPD warrants») (419), τα οποία αφορούν ορισμένη κατηγορία συνόλων δεδομένων, δηλαδή σύνολα δεδομένων που είναι παρόμοια ως προς το περιεχόμενό τους και την προτεινόμενη χρήση τους και σε σχέση με τα οποία εγείρονται παρόμοιοι προβληματισμοί όσον αφορά, για παράδειγμα, τον βαθμό επέμβασης στην ιδιωτικότητα και ευαισθησίας των πληροφοριών και την αναλογικότητα της χρήσης των δεδομένων, με αποτέλεσμα να παρέχεται στον υπουργό η δυνατότητα να αξιολογήσει άπαξ και συνολικά την αναγκαιότητα και την αναλογικότητα της απόκτησης όλων των δεδομένων που εμπίπτουν στη σχετική κατηγορία. Για παράδειγμα, ένα ένταλμα για μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα γενικής κατηγορίας μπορεί να καλύπτει σύνολα δεδομένων ταξιδιού που σχετίζονται με παρόμοιες διαδρομές (420). Αντιθέτως, τα ειδικά εντάλματα για μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα («specific BPD warrants») (421) αφορούν ένα συγκεκριμένο σύνολο δεδομένων, όπως ένα σύνολο δεδομένων που αφορά ένα νέο ή ασύνηθες είδος πληροφοριών που δεν καλύπτονται από υφιστάμενο ένταλμα για μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα γενικής κατηγορίας ή ένα σύνολο δεδομένων που αφορά συγκεκριμένους τύπους δεδομένων προσωπικού χαρακτήρα (422) και, ως εκ τούτου, απαιτεί πρόσθετες εγγυήσεις (423). Οι διατάξεις του IPA 2016 σχετικά με τα μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα επιτρέπουν την εξέταση και τη διατήρηση τέτοιων συνόλων δεδομένων μόνο όταν αυτό είναι αναγκαίο και αναλογικό (424) και τηρούνται οι γενικές υποχρεώσεις που αφορούν την ιδιωτικότητα (425).

(240)

Η εξουσία έκδοσης εντάλματος για μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα υπόκειται στη διαδικασία «διπλής διασφάλισης»: η αξιολόγηση της αναγκαιότητας και της αναλογικότητας του μέτρου διενεργείται πρώτα από τον υπουργό και στη συνέχεια από τον δικαστικό επίτροπο (426). Ο υπουργός οφείλει να εξετάσει τη φύση και το πεδίο εφαρμογής του είδους του εντάλματος που ζητείται, την κατηγορία των σχετικών δεδομένων και τον αριθμό των επιμέρους μαζικών συνόλων δεδομένων προσωπικού χαρακτήρα που ενδέχεται να εμπίπτουν στο συγκεκριμένο είδος εντάλματος (427). Επίσης, όπως διευκρινίζεται στον κώδικα ορθής πρακτικής για τη διατήρηση και τη χρήση μαζικών συνόλων δεδομένων από τις υπηρεσίες πληροφοριών, πρέπει να τηρούνται λεπτομερή αρχεία, τα οποία υπόκεινται σε έλεγχο από τον Επίτροπο Ερευνητικών Εξουσιών (428). Η διατήρηση και η εξέταση μαζικών συνόλων δεδομένων προσωπικού χαρακτήρα εκτός των ορίων που καθορίζει ο IPA 2016 συνιστά ποινικό αδίκημα (429).

3.3.2   Περαιτέρω χρήση των συλλεγόμενων πληροφοριών

(241)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται βάσει του μέρους 4 του DPA 2018 δεν πρέπει να είναι ασύμβατη με τον σκοπό για τον οποίο συλλέχθηκαν τα δεδομένα (430). Ο DPA 2018 ορίζει ότι ο υπεύθυνος επεξεργασίας μπορεί να επεξεργάζεται τα δεδομένα για άλλο σκοπό, διαφορετικό από εκείνον για τον οποίο συλλέχθηκαν τα δεδομένα, όταν ο σκοπός αυτός είναι συμβατός με τον αρχικό και υπό την προϋπόθεση ότι ο υπεύθυνος επεξεργασίας είναι εκ του νόμου εξουσιοδοτημένος να επεξεργάζεται τα δεδομένα και ότι η επεξεργασία είναι αναγκαία και αναλογική (431). Επιπλέον, ο νόμος του 1989 για την Υπηρεσία Ασφάλειας και ο νόμος του 1994 για τις υπηρεσίες πληροφοριών ορίζουν ότι οι επικεφαλής των υπηρεσιών πληροφοριών έχουν καθήκον να διασφαλίζουν ότι καμία πληροφορία δεν λαμβάνεται και δεν κοινοποιείται παρά μόνο στον βαθμό που αυτό είναι αναγκαίο για την ορθή εκτέλεση των καθηκόντων της υπηρεσίας ή για την επίτευξη των λοιπών περιορισμένων και συγκεκριμένων σκοπών που απαριθμούνται στις σχετικές διατάξεις (432).

(242)

Επιπλέον, το άρθρο 109 του DPA 2018 καθορίζει ειδικές απαιτήσεις για τις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών σε τρίτες χώρες ή σε διεθνείς οργανισμούς. Σύμφωνα με τη διάταξη αυτή, δεδομένα προσωπικού χαρακτήρα δεν επιτρέπεται να διαβιβαστούν σε χώρα ή έδαφος εκτός του Ηνωμένου Βασιλείου ή σε διεθνή οργανισμό, εκτός εάν η διαβίβαση είναι αναγκαία και αναλογική για την εκτέλεση των εκ του νόμου καθηκόντων του υπευθύνου επεξεργασίας ή για άλλους σκοπούς που προβλέπονται στο άρθρο 2 παράγραφος 2 στοιχείο (a) του νόμου του 1989 για την Υπηρεσία Ασφάλειας ή το άρθρο 2 παράγραφος 2 στοιχείο (a) και το άρθρο 4 παράγραφος 2 στοιχείο (a) του νόμου του 1994 για τις υπηρεσίες πληροφοριών (433). Σημαντικό είναι το γεγονός ότι οι απαιτήσεις αυτές ισχύουν και στις περιπτώσεις στις οποίες γίνεται επίκληση της εξαίρεσης της εθνικής ασφάλειας σύμφωνα με το άρθρο 110 του DPA 2018, δεδομένου ότι το άρθρο 110 του DPA 2018 δεν περιλαμβάνει το άρθρο 109 του DPA 2018 στις διατάξεις που είναι δυνατόν να μην εφαρμοστούν εάν ζητείται εξαίρεση από ορισμένες διατάξεις για τη διαφύλαξη της εθνικής ασφάλειας.

(243)

Επιπλέον, όπως τονίζεται από το ICO στις κατευθυντήριες γραμμές του σχετικά με την επεξεργασία από τις υπηρεσίες πληροφοριών, εκτός από τις εγγυήσεις που προβλέπονται στο μέρος 4 του DPA 2018, μια υπηρεσία πληροφοριών, κατά την ανταλλαγή δεδομένων με υπηρεσία πληροφοριών τρίτης χώρας, υπόκειται επίσης στις εγγυήσεις που προβλέπονται από τα άλλα νομοθετικά μέτρα που εφαρμόζονται σε αυτές, ώστε να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα λαμβάνονται, κοινοποιούνται και αποτελούν αντικείμενο διαχείρισης με τρόπο νόμιμο και υπεύθυνο (434). Για παράδειγμα, ο IPA 2016 καθορίζει περαιτέρω εγγυήσεις όσον αφορά τις διαβιβάσεις προς τρίτη χώρα υλικού που συλλέχθηκε μέσω στοχευμένης παρακολούθησης (435), στοχευμένης παρεμβολής σε εξοπλισμό (436), μαζικής παρακολούθησης (437), μαζικής απόκτησης δεδομένων επικοινωνιών (438) και μαζικής παρεμβολής σε εξοπλισμό (439) (τις λεγόμενες «κοινοποιήσεις στο εξωτερικό»). Ειδικότερα, η αρχή που εκδίδει το ένταλμα πρέπει να διασφαλίζει ότι ισχύουν ρυθμίσεις που διασφαλίζουν ότι η τρίτη χώρα που λαμβάνει τα δεδομένα περιορίζει τον αριθμό των προσώπων που έχουν πρόσβαση στο υλικό, τον βαθμό στον οποίο αυτό κοινοποιείται και τον αριθμό των αντιγράφων οποιουδήποτε μέρους του υλικού στο ελάχιστο αναγκαίο για τους επιτρεπόμενους σκοπούς που ορίζονται στον IPA 2016 (440).

3.3.3   Εποπτεία

(244)

Η πρόσβαση των κρατικών φορέων για σκοπούς εθνικής ασφάλειας τελεί υπό την εποπτεία διαφόρων φορέων. Ο Επίτροπος Πληροφοριών επιβλέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα υπό το πρίσμα του DPA 2018 (για περισσότερες πληροφορίες σχετικά με την ανεξαρτησία, τον διορισμό, τον ρόλο και τις εξουσίες του Επιτρόπου, βλ. αιτιολογικές σκέψεις 85 έως 98), ενώ o Επίτροπος Ερευνητικών Εξουσιών είναι αρμόδιος για την ανεξάρτητη και δικαστική εποπτεία όσον αφορά την άσκηση των ερευνητικών εξουσιών βάσει του IPA 2016. Ο Επίτροπος Ερευνητικών Εξουσιών επιβλέπει την άσκηση των ερευνητικών εξουσιών που προβλέπονται στον IPA 2016 τόσο από τις αρχές επιβολής του νόμου όσο και από τις αρχές εθνικής ασφάλειας. Η πολιτική εποπτεία διασφαλίζεται από την κοινοβουλευτική Επιτροπή για τις Υπηρεσίες Πληροφοριών.

3.3.3.1   Εποπτεία στο πλαίσιο του μέρους 4 του DPA

(245)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται από τις υπηρεσίες πληροφοριών βάσει του μέρους 4 του DPA 2018 τελεί υπό την εποπτεία του Επιτρόπου Πληροφοριών (441).

(246)

Τα γενικά καθήκοντα του Επιτρόπου Πληροφοριών σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών βάσει του μέρους 4 του DPA 2018 καθορίζονται στο παράρτημα 13 του εν λόγω νόμου. Στα εν λόγω καθήκοντα περιλαμβάνονται, ενδεικτικά, η παρακολούθηση και η επιβολή της εφαρμογής του μέρους 4 του DPA 2018, η προώθηση της ευαισθητοποίησης του κοινού, η παροχή συμβουλών προς το Κοινοβούλιο, την κυβέρνηση και άλλα όργανα σε σχέση με νομοθετικά και διοικητικά μέτρα, η προώθηση της ευαισθητοποίησης των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους, η παροχή πληροφοριών στα υποκείμενα των δεδομένων σχετικά με την άσκηση των δικαιωμάτων τους, η διεξαγωγή ερευνών κ.λπ.

(247)

Όπως και για το μέρος 3 του DPA 2018, ο Επίτροπος έχει την εξουσία να ειδοποιεί τους υπευθύνους επεξεργασίας για εικαζόμενες παραβάσεις και να εκδίδει προειδοποιήσεις επισημαίνοντας ότι μια πράξη επεξεργασίας είναι πιθανόν να παραβιάζει τους κανόνες, καθώς και να απευθύνει επιπλήξεις σε περιπτώσεις που επιβεβαιωθεί η παράβαση. Μπορεί επίσης να εκδίδει ειδοποιήσεις επιβολής μέτρων και ειδοποιήσεις επιβολής κυρώσεων για παραβάσεις ορισμένων διατάξεων του νόμου (442). Ωστόσο, σε αντίθεση με όσα ισχύουν για άλλα μέρη του DPA 2018, o Επίτροπος δεν μπορεί να απευθύνει ειδοποίηση διενέργειας αξιολόγησης σε φορέα εθνικής ασφάλειας (443).

(248)

Επιπλέον, το άρθρο 110 του DPA 2018 προβλέπει εξαίρεση σε σχέση με την άσκηση ορισμένων εξουσιών του Επιτρόπου, όταν αυτό απαιτείται για τους σκοπούς της διαφύλαξης της εθνικής ασφάλειας. Αυτό περιλαμβάνει την εξουσία του Επιτρόπου να εκδίδει (οποιουδήποτε είδους) ειδοποιήσεις βάσει του DPA (ειδοποιήσεις παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων και επιβολής κυρώσεων), την εξουσία διενέργειας επιθεωρήσεων σύμφωνα με διεθνείς υποχρεώσεις, τις εξουσίες εισόδου και διενέργειας επιθεώρησης και τους κανόνες που αφορούν τα ποινικά αδικήματα (444). Όπως εξηγείται στην αιτιολογική σκέψη 126, οι εξαιρέσεις αυτές εφαρμόζονται μόνο εάν αυτό είναι αναγκαίο και αναλογικό και μόνο κατά περίπτωση.

(249)

Το ICO και οι υπηρεσίες πληροφοριών του Ηνωμένου Βασιλείου έχουν υπογράψει μνημόνιο συμφωνίας (445) με το οποίο θεσπίζεται πλαίσιο συνεργασίας για διάφορα θέματα, συμπεριλαμβανομένων των γνωστοποιήσεων παραβιάσεων δεδομένων και του χειρισμού των καταγγελιών των υποκειμένων των δεδομένων. Ειδικότερα, το μνημόνιο συμφωνίας προβλέπει ότι το ICO, μόλις λάβει καταγγελία, ελέγχει αν χρησιμοποιήθηκε ορθά οποιαδήποτε τυχόν εξαίρεση εθνικής ασφάλειας. Οι απαντήσεις σε ερωτήματα που υποβάλλονται από το ICO στο πλαίσιο της εξέτασης μεμονωμένων καταγγελιών πρέπει να παρέχονται από την οικεία υπηρεσία πληροφοριών εντός 20 εργάσιμων ημερών, μέσω κατάλληλων ασφαλών διαύλων εάν πρόκειται για διαβαθμισμένες πληροφορίες. Από τον Απρίλιο του 2018 έως σήμερα, το ICO έχει λάβει 21 καταγγελίες ατόμων οι οποίες αφορούσαν τις υπηρεσίες πληροφοριών. Όλες οι καταγγελίες εξετάστηκαν και το αποτέλεσμα κοινοποιήθηκε στο υποκείμενο των δεδομένων (446).

3.3.3.2   Εποπτεία της χρήσης ερευνητικών εξουσιών στο πλαίσιο του IPA 2016

(250)

Σύμφωνα με το μέρος 8 του IPA 2016, η εποπτεία της χρήσης των ερευνητικών εξουσιών ασκείται από τον Επίτροπο Ερευνητικών Εξουσιών (IPC). Ο Επίτροπος Ερευνητικών Εξουσιών επικουρείται από άλλους δικαστικούς επιτρόπους, οι οποίοι καλούνται συλλογικά δικαστικοί επίτροποι (447). Ο IPA 2016 καθορίζει τις εγγυήσεις που προστατεύουν την ανεξαρτησία των δικαστικών επιτρόπων. Οι δικαστικοί επίτροποι πρέπει να κατέχουν ή να κατείχαν στο παρελθόν υψηλό δικαστικό αξίωμα (δηλαδή πρέπει να είναι ή να ήταν μέλη των πλέον ανώτερων δικαστηρίων) (448) και, όπως ισχύει για κάθε μέλος του δικαστικού σώματος, να τελούν υπό καθεστώς ανεξαρτησίας από την κυβέρνηση (449). Σύμφωνα με το άρθρο 227 του IPA 2016, ο πρωθυπουργός διορίζει τον Επίτροπο Ερευνητικών Εξουσιών και όσους δικαστικούς επιτρόπους κρίνει απαραίτητους. Όλοι οι επίτροποι, είτε είναι εν ενεργεία είτε είναι πρώην μέλη του δικαστικού σώματος, μπορούν να διοριστούν μόνο βάσει κοινής σύστασης των τριών αρχιδικαστών, της Αγγλίας και Ουαλίας, της Σκωτίας και της Βόρειας Ιρλανδίας, και του υπουργού Δικαιοσύνης (450). Ο υπουργός πρέπει να εξασφαλίζει την παροχή προσωπικού, χώρων γραφείων, εξοπλισμού και άλλων εγκαταστάσεων και υπηρεσιών στον Επίτροπο Ερευνητικών Εξουσιών (451). Η θητεία των επιτρόπων είναι τριετής και μπορεί να ανανεωθεί (452). Ως περαιτέρω εγγύηση της ανεξαρτησίας τους, οι δικαστικοί επίτροποι μπορούν να παυθούν από τα καθήκοντά τους μόνο υπό αυστηρούς όρους και προϋποθέσεις: είτε από τον πρωθυπουργό, στις ειδικές περιπτώσεις που απαριθμούνται εξαντλητικά στο άρθρο 228 παράγραφος 5 του IPA 2016 (όπως η πτώχευση ή η φυλάκιση), είτε με απόφαση παύσης που έχει εγκριθεί από αμφότερα τα σώματα του Κοινοβουλίου (453).

(251)

Ο Επίτροπος Ερευνητικών Εξουσιών και οι δικαστικοί επίτροποι επικουρούνται στην άσκηση των καθηκόντων τους από το Γραφείο του Επιτρόπου Ερευνητικών Εξουσιών (IPCO). Το προσωπικό του IPCO αποτελείται από ομάδα επιθεωρητών, εσωτερικούς νομικούς και τεχνικούς εμπειρογνώμονες και μια συμβουλευτική επιτροπή σε θέματα τεχνολογίας, η οποία παρέχει εξειδικευμένες συμβουλές. Όπως ισχύει για τους μεμονωμένους δικαστικούς επιτρόπους, η ανεξαρτησία του IPCO προστατεύεται. Το IPCO αποτελεί φορέα ανεξάρτητο από το Υπουργείο Εσωτερικών, δηλαδή λαμβάνει χρηματοδότηση από το Υπουργείο Εσωτερικών, αλλά εκτελεί τα καθήκοντά του με ανεξαρτησία (454).

(252)

Τα κύρια καθήκοντα των δικαστικών επιτρόπων καθορίζονται στο άρθρο 229 του IPA 2016 (455). Ειδικότερα, οι δικαστικοί επίτροποι διαθέτουν ευρεία εξουσία προηγούμενης έγκρισης, η οποία αποτελεί μέρος των εγγυήσεων που εισήγαγε στο νομικό πλαίσιο του Ηνωμένου Βασιλείου ο IPA 2016. Τα εντάλματα που αφορούν στοχευμένη παρακολούθηση, παρεμβολή σε εξοπλισμό, μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα ή μαζική απόκτηση δεδομένων επικοινωνίας, καθώς και οι ειδοποιήσεις διατήρησης δεδομένων επικοινωνίας πρέπει να εγκρίνονται από τους δικαστικούς επιτρόπους (456). Ο Επίτροπος Ερευνητικών Εξουσιών πρέπει επίσης πάντοτε να εγκρίνει εκ των προτέρων την απόκτηση δεδομένων επικοινωνίας για σκοπούς επιβολής του νόμου (457). Εάν ένας επίτροπος αρνηθεί να εγκρίνει ένταλμα, ο υπουργός μπορεί να απευθυνθεί στον Επίτροπο Ερευνητικών Εξουσιών, του οποίου η απόφαση είναι οριστική.

(253)

Ο ειδικός εισηγητής των Ηνωμένων Εθνών για το δικαίωμα στην ιδιωτικότητα επικρότησε θερμά τη θέσπιση του θεσμού των δικαστικών επιτρόπων με τον IPA 2016, καθώς «όλα τα πιο ευαίσθητα ή παρεμβατικά αιτήματα για πράξεις επιτήρησης πρέπει να εγκρίνονται τόσο από υπουργό όσο και από το Γραφείο του Επιτρόπου Ερευνητικών Εξουσιών». Ειδικότερα, τόνισε ότι «αυτό το στοιχείο δικαστικού ελέγχου [μέσω του ρόλου του Επιτρόπου Διερευνητικών Εξουσιών] ο οποίος υποστηρίζεται από ομάδα πεπειραμένων επιθεωρητών και εμπειρογνωμόνων στον τομέα της τεχνολογίας που έχει στη διάθεσή της περισσότερους πόρους, αποτελεί μία από τις σημαντικότερες νέες εγγυήσεις που εισήγαγε ο IPA», ο οποίος «αντικατέστησε το προηγούμενο κατακερματισμένο σύστημα εποπτικών αρχών και συμπλήρωσε τον ρόλο της Επιτροπής Πληροφοριών και Ασφάλειας του Κοινοβουλίου και του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών» (458).

(254)

Επιπλέον, ο Επίτροπος Ερευνητικών Εξουσιών έχει την εξουσία να ασκεί εκ των υστέρων εποπτεία , μεταξύ άλλων με τη διενέργεια ελέγχων, επιθεωρήσεων και ερευνών, επί της χρήσης των ερευνητικών εξουσιών στο πλαίσιο του IPA 2016 (459), καθώς και επί άλλων εξουσιών και καθηκόντων που προβλέπονται στη σχετική νομοθεσία (460). Τα αποτελέσματα αυτής της εκ των υστέρων εποπτείας περιλαμβάνονται στην έκθεση την οποία ο Επίτροπος Ερευνητικών Εξουσιών πρέπει να εκπονεί ετησίως και να υποβάλλει στον πρωθυπουργό (461) και η οποία πρέπει να δημοσιεύεται και να υποβάλλεται στο Κοινοβούλιο (462). Η έκθεση περιέχει στατιστικά στοιχεία και πληροφορίες σχετικά με τη χρήση των ερευνητικών εξουσιών από τις υπηρεσίες πληροφοριών και τις αρχές επιβολής του νόμου, καθώς και σχετικά με την εφαρμογή των εγγυήσεων όσον αφορά τα στοιχεία που υπόκεινται σε νομικό προνόμιο, το εμπιστευτικό δημοσιογραφικό υλικό και τις πηγές δημοσιογραφικών πληροφοριών, όπως και πληροφορίες σχετικά με τις ρυθμίσεις που εφαρμόστηκαν και τους επιχειρησιακούς σκοπούς των οποίων έγινε επίκληση στο πλαίσιο των ενταλμάτων μαζικού χαρακτήρα. Τέλος, στην ετήσια έκθεση του IPCO προσδιορίζεται σε ποιους τομείς διατυπώθηκαν συστάσεις προς τις δημόσιες αρχές και ο τρόπος με τον οποίο αντιμετωπίστηκαν (463).

(255)

Σύμφωνα με το άρθρο 231 του IPA 2016, αν ο Επίτροπος Ερευνητικών Εξουσιών λάβει γνώση οποιουδήποτε σχετικού σφάλματος που έχουν διαπράξει οι δημόσιες αρχές κατά την άσκηση των ερευνητικών τους εξουσιών, πρέπει να ενημερώσει το οικείο πρόσωπο, όταν κρίνει ότι το σφάλμα είναι σοβαρό και ότι η ενημέρωση του οικείου προσώπου εξυπηρετεί το δημόσιο συμφέρον (464). Ειδικότερα, το άρθρο 231 του IPA 2016 ορίζει ότι ο Επίτροπος Ερευνητικών Εξουσιών, όταν ενημερώνει ένα πρόσωπο σχετικά με κάποιο σφάλμα, πρέπει να του παρέχει πληροφορίες σχετικά με τα τυχόν δικαιώματά του να προσφύγει ενώπιον του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών, καθώς και να του παρέχει τα στοιχεία που ο ίδιος θεωρεί αναγκαία για την άσκηση των εν λόγω δικαιωμάτων, εφόσον η γνωστοποίησή τους εξυπηρετεί το δημόσιο συμφέρον (465).

3.3.3.3   Κοινοβουλευτική εποπτεία των υπηρεσιών πληροφοριών

(256)

Η κοινοβουλευτική εποπτεία, η οποία ασκείται από την Επιτροπή Πληροφοριών και Ασφάλειας (Intelligence and Security Committee, ISC), έχει το νόμιμο έρεισμά της στον νόμο του 2013 για τη δικαιοσύνη και την ασφάλεια (Justice and Security Act 2013, JSA 2013) (466). Με τον νόμο αυτό συστάθηκε η ISC ως επιτροπή του Κοινοβουλίου του Ηνωμένου Βασιλείου. Από το 2013 έχουν ανατεθεί ευρύτερες εξουσίες στην ISC, συμπεριλαμβανομένης της εποπτείας επί των επιχειρησιακών δραστηριοτήτων των υπηρεσιών ασφάλειας. Σύμφωνα με το άρθρο 2 του JSA 2013, η ISC έχει καθήκον να εποπτεύει τις δαπάνες, τη διοίκηση, την πολιτική και τις επιχειρήσεις των υπηρεσιών εθνικής ασφάλειας. Ο JSA 2013 ορίζει ότι η ISC έχει τη δυνατότητα να διεξάγει έρευνες επί επιχειρησιακών θεμάτων, όταν δεν σχετίζονται με επιχειρήσεις που βρίσκονται σε εξέλιξη (467). Το μνημόνιο συμφωνίας που υπογράφηκε μεταξύ του πρωθυπουργού και της ISC (468) προσδιορίζει λεπτομερώς τα στοιχεία που πρέπει να λαμβάνονται υπόψη όταν εξετάζεται αν μια δραστηριότητα αποτελεί μέρος επιχείρησης που βρίσκεται σε εξέλιξη ή όχι (469). Ο πρωθυπουργός μπορεί επίσης να ζητήσει από την ISC να διερευνήσει επιχειρήσεις που βρίσκονται σε εξέλιξη, ενώ η ISC μπορεί να εξετάζει πληροφορίες που παρέχονται οικειοθελώς από τις υπηρεσίες.

(257)

Σύμφωνα με το παράρτημα 1 του νόμου του 2013 για τη δικαιοσύνη και την ασφάλεια, η ISC μπορεί να ζητήσει από τους επικεφαλής οποιασδήποτε από τις τρεις υπηρεσίες πληροφοριών να αποκαλύψουν οποιαδήποτε πληροφορία. Η υπηρεσία πρέπει να παράσχει τις πληροφορίες αυτές, εκτός αν ο υπουργός ασκήσει το δικαίωμα αρνησικυρίας (470). Σύμφωνα με τις εξηγήσεις που παρείχαν οι αρχές του Ηνωμένου Βασιλείου, στην πράξη είναι ελάχιστες οι πληροφορίες που δεν παρέχονται στην ISC (471).

(258)

Η ISC αποτελείται από μέλη που ανήκουν σε οποιοδήποτε από τα δύο σώματα του Κοινοβουλίου και διορίζονται από τον πρωθυπουργό αφού ζητηθεί η γνώμη του αρχηγού της αντιπολίτευσης (472). Η ISC υποχρεούται να υποβάλλει στο Κοινοβούλιο ετήσια έκθεση σχετικά με την εκτέλεση των καθηκόντων της, καθώς και άλλες εκθέσεις που θεωρεί σκόπιμο να υποβληθούν (473). Επιπλέον, η ISC δικαιούται να λαμβάνει ανά τρίμηνο τον κατάλογο των επιχειρησιακών σκοπών που χρησιμοποιείται για την εξέταση του υλικού που λαμβάνεται μαζικά (474). Ο πρωθυπουργός κοινοποιεί στην ISC αντίγραφα των εκθέσεων των ερευνών, των επιθεωρήσεων ή των ελέγχων που διενήργησε ο Επίτροπος Ερευνητικών Εξουσιών, όταν το αντικείμενο των σχετικών εκθέσεων είναι συναφές με τις εκ του νόμου αρμοδιότητες της ISC (475). Τέλος, η ISC μπορεί να ζητήσει από τον Επίτροπο Ερευνητικών Εξουσιών να διενεργήσει έρευνα και ο Επίτροπος πρέπει να ενημερώσει την ISC για την απόφασή του σχετικά με τη διεξαγωγή της εν λόγω έρευνας (476).

(259)

Η ISC υπέβαλε επίσης παρατηρήσεις σχετικά με το σχέδιο του IPA 2016, οι οποίες οδήγησαν σε αρκετές τροποποιήσεις που πλέον αποτυπώνονται στον IPA 2016 (477). Ειδικότερα, η ISC συνέστησε την ενίσχυση της προστασίας της ιδιωτικότητας με την εισαγωγή δέσμης μέτρων προστασίας της ιδιωτικότητας που να ισχύουν σε όλο το φάσμα των ερευνητικών εξουσιών (478). Συνέστησε επίσης αλλαγές στις προτεινόμενες δυνατότητες όσον αφορά τις παρεμβολές σε εξοπλισμό, τα μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα και τα δεδομένα επικοινωνιών, και ζήτησε την εισαγωγή άλλων ειδικών τροποποιήσεων για την ενίσχυση των περιορισμών και των εγγυήσεων όσον αφορά τη χρήση των ερευνητικών εξουσιών (479).

3.3.4   Μέσα προσφυγής

(260)

Στον τομέα της πρόσβασης των κρατικών φορέων για σκοπούς εθνικής ασφάλειας, τα υποκείμενα των δεδομένων πρέπει να έχουν τη δυνατότητα να ασκήσουν ένδικο βοήθημα ενώπιον ανεξάρτητου και αμερόληπτου δικαστηρίου προκειμένου να εξασφαλίσουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν ή να επιτύχουν τη διόρθωση ή τη διαγραφή τέτοιων δεδομένων (480). Το εν λόγω δικαιοδοτικό όργανο πρέπει ιδίως να έχει την εξουσία να εκδίδει αποφάσεις δεσμευτικές για την υπηρεσία πληροφοριών (481). Στο Ηνωμένο Βασίλειο, όπως εξηγείται στις αιτιολογικές σκέψεις 261 έως 271, τα διάφορα μέσα δικαστικής προσφυγής που προβλέπονται παρέχουν στα υποκείμενα των δεδομένων τη δυνατότητα να ασκήσουν τα εν λόγω ένδικα βοηθήματα και να λάβουν έννομη προστασία.

3.3.4.1   Μηχανισμοί προσφυγής στο πλαίσιο του μέρους 4 του νόμου για την προστασία των δεδομένων (DPA)

(261)

Σύμφωνα με το άρθρο 165 του DPA 2018, το υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στον Επίτροπο Πληροφοριών εάν θεωρεί ότι έχει υπάρξει παράβαση του μέρους 4 του εν λόγω νόμου, σε σχέση με δεδομένα προσωπικού χαρακτήρα που το αφορούν. Ο Επίτροπος Πληροφοριών έχει την εξουσία να αξιολογεί τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τον DPA 2018 και να τους υποχρεώνει να λάβουν τα αναγκαία μέτρα. Επιπλέον, σύμφωνα με το μέρος 4 του DPA 2018, κάθε πρόσωπο έχει το δικαίωμα να υποβάλει αίτηση στο Ανώτερο Δικαστήριο (High Court ή Court of Session στη Σκωτία) για την έκδοση διαταγής με την οποία ζητείται από τον υπεύθυνο επεξεργασίας να συμμορφωθεί με τα δικαιώματα πρόσβασης στα δεδομένα (482), αντίταξης στην επεξεργασία (483) και διόρθωσης ή διαγραφής (484).

(262)

Τα φυσικά πρόσωπα δικαιούνται επίσης να ζητήσουν αποζημίωση για τη ζημία που υπέστησαν λόγω παράβασης απαίτησης του μέρους 4 του DPA 2018 από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία (485). Η ζημία περιλαμβάνει τόσο την οικονομική ζημία όσο και τη μη οικονομική ζημία, όπως την πρόκληση οδύνης (486).

3.3.4.2   Μηχανισμοί προσφυγής στο πλαίσιο του IPA 2016

(263)

Τα φυσικά πρόσωπα μπορούν να ασκήσουν προσφυγή για παραβιάσεις του IPA 2016 ενώπιον του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών.

(264)

Το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών συστάθηκε με τον RIPA 2000 και είναι ανεξάρτητο από την εκτελεστική εξουσία (487). Σύμφωνα με το άρθρο 65 του RIPA 2000, τα μέλη αυτού του δικαιοδοτικού οργάνου διορίζονται από την Αυτής Μεγαλειότητα για πενταετή θητεία. Τα μέλη του οργάνου αυτού μπορούν να παυθούν από τα καθήκοντά τους από την Αυτής Μεγαλειότητα κατόπιν αναγγελίας (488) αμφότερων των σωμάτων του Κοινοβουλίου (489).

(265)

Σύμφωνα με το άρθρο 65 του RIPA 2000, το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών είναι το αρμόδιο δικαιοδοτικό όργανο για την εξέταση κάθε καταγγελίας που υποβάλλεται από πρόσωπο που έχει υποστεί ζημία από συμπεριφορά στο πλαίσιο του IPA 2016, του RIPA 2000 ή οποιαδήποτε συμπεριφορά των υπηρεσιών πληροφοριών (490).

(266)

Για την άσκηση προσφυγής ενώπιον του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών («απαίτηση ενεργητικής νομιμοποίησης»), σύμφωνα με το άρθρο 65 του RIPA 2000, το πρόσωπο πρέπει να έχει την πεποίθηση (491) ότι η συμπεριφορά της υπηρεσίας πληροφοριών έλαβε χώρα σε σχέση με αυτό, με οποιοδήποτε περιουσιακό του στοιχείο, με οποιαδήποτε επικοινωνία που εστάλη από ή στο εν λόγω πρόσωπο ή προοριζόταν για αυτό ή με τη χρήση οποιασδήποτε ταχυδρομικής ή τηλεπικοινωνιακής υπηρεσίας ή συστήματος τηλεπικοινωνιών από το εν λόγω πρόσωπο (492). Επιπλέον, ο καταγγέλλων πρέπει να έχει την πεποίθηση ότι η συμπεριφορά έλαβε χώρα σε «περιστάσεις δεκτικές προσφυγής» (493) ή «ασκήθηκε από ή για λογαριασμό των υπηρεσιών πληροφοριών» (494). Δεδομένου ότι το κριτήριο της «πεποίθησης» έχει ερμηνευθεί αρκετά ευρέως (495), η άσκηση προσφυγής ενώπιον του εν λόγω δικαιοδοτικού οργάνου υπόκειται σε σχετικά χαμηλές απαιτήσεις όσον αφορά την ενεργητική νομιμοποίηση.

(267)

Όταν το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών εξετάζει καταγγελία που έχει υποβληθεί ενώπιόν του, οφείλει να διερευνήσει αν τα πρόσωπα σε βάρος των οποίων προβάλλεται οποιοσδήποτε ισχυρισμός στο πλαίσιο της καταγγελίας έχουν εμπλακεί σε συμπεριφορά που αφορά τον καταγγέλλοντα, καθώς και να ερευνήσει την αρχή η οποία φέρεται να έχει εμπλακεί στις παραβιάσεις και αν η προβαλλόμενη συμπεριφορά έλαβε χώρα (496). Όταν το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών επιλαμβάνεται μιας υπόθεσης, οφείλει να εφαρμόζει στη διαδικασία τις ίδιες αρχές με εκείνες που θα εφαρμόζονταν από δικαστήριο επί αίτησης δικαστικού ελέγχου (497). Επιπλέον, οι αποδέκτες των ενταλμάτων ή ειδοποιήσεων στο πλαίσιο του IPA 2016, καθώς και κάθε άλλο πρόσωπο που κατέχει αξίωμα υπό την εποπτεία του Στέμματος, που απασχολείται στις αστυνομικές δυνάμεις, και ο Επίτροπος Διερεύνησης και Ελέγχου της Αστυνομίας (Police Investigations and Review Commissioner) έχουν την υποχρέωση να κοινοποιούν ή να προσκομίζουν στο εν λόγω δικαιοδοτικό όργανο όλα τα έγγραφα και τις πληροφορίες που τυχόν αυτό ζητήσει προκειμένου να μπορέσει να ασκήσει τη δικαιοδοσία του (498).

(268)

Το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών πρέπει να ενημερώσει τον καταγγέλλοντα αν εκδόθηκε απόφαση υπέρ του ή όχι (499). Σύμφωνα με το άρθρο 67 παράγραφοι 6 και 7 του RIPA 2000, το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών έχει την εξουσία να διατάσσει προσωρινά μέτρα και να επιδικάζει οποιαδήποτε αποζημίωση ή να εκδίδει οποιαδήποτε άλλη απόφαση κρίνει κατάλληλη. Οι αποφάσεις αυτές μπορούν να περιλαμβάνουν απόφαση αναίρεσης ή ακύρωσης οποιουδήποτε εντάλματος ή οποιασδήποτε άδειας ή απόφαση με την οποία διατάσσεται η καταστροφή αρχείων πληροφοριών που έχουν ληφθεί κατά την άσκηση οποιασδήποτε εξουσίας που έχει χορηγηθεί με ένταλμα, άδεια ή ειδοποίηση ή τα οποία βρίσκονται άλλως στην κατοχή δημόσιας αρχής σε σχέση με οποιοδήποτε πρόσωπο (500). Σύμφωνα με το άρθρο 67Α του RIPA 2000, είναι δυνατή η άσκηση έφεσης κατά απόφασης του Ειδικού Δικαιοδοτικού Οργάνου, υπό τον όρο της χορήγησης σχετικής άδειας, που χορηγείται από το εν λόγω όργανο ή το αρμόδιο εφετείο.

(269)

Τέλος, αξίζει να σημειωθεί ότι ο ρόλος του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου Ερευνητικών Εξουσιών έχει συζητηθεί, σε αρκετές περιπτώσεις, στο πλαίσιο προσφυγών ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου, ιδίως στην υπόθεση Kennedy κατά Ηνωμένου Βασιλείου (501) και, πιο πρόσφατα, στην υπόθεση Big Brother Watch και λοιποί κατά Ηνωμένου Βασιλείου (502), όπου το ΕΔΔΑ δήλωσε ότι «το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών προσέφερε ένα στιβαρό ένδικο βοήθημα σε όποιον υποπτευόταν ότι οι επικοινωνίες του είχαν υποκλαπεί από τις υπηρεσίες πληροφοριών» (503).

3.3.4.3   Άλλοι διαθέσιμοι μηχανισμοί προσφυγής

(270)

Όπως εξηγείται στις αιτιολογικές σκέψεις 109 έως 111, τα μέσα προσφυγής στο πλαίσιο του νόμου του 1998 για τα ανθρώπινα δικαιώματα και τα μέσα προσφυγής ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου (504) είναι επίσης διαθέσιμα στον τομέα της εθνικής ασφάλειας. Το άρθρο 65 παράγραφος 2 του RIPA 2000 απονέμει στο Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών αποκλειστική αρμοδιότητα για όλες τις αξιώσεις που εμπίπτουν στον νόμο για τα ανθρώπινα δικαιώματα σε σχέση με τις υπηρεσίες πληροφοριών (505). Όπως επισήμανε το Ανώτερο Δικαστήριο, αυτό σημαίνει ότι «το αν υπήρξε παραβίαση του νόμου για τα ανθρώπινα δικαιώματα, βάσει των πραγματικών περιστατικών μιας συγκεκριμένης υπόθεσης, είναι κάτι που μπορεί καταρχήν να προβληθεί και να κριθεί από ανεξάρτητο δικαιοδοτικό όργανο, το οποίο μπορεί να έχει πρόσβαση σε όλο το σχετικό υλικό, συμπεριλαμβανομένου του απόρρητου υλικού. [...] Στο πλαίσιο αυτό, έχουμε επίσης κατά νου ότι υπάρχει πλέον η δυνατότητα έφεσης κατά της απόφασης του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών, ενώπιον του αρμόδιου εφετειακού δικαστηρίου (για την Αγγλία και την Ουαλία, αυτό είναι το Court of Appeal)· και ότι το Ανώτατο Δικαστήριο έκρινε πρόσφατα ότι το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών υπόκειται καταρχήν σε δικαστικό έλεγχο: βλ. R (Privacy International) κατά Investigatory Powers Tribunal [2019] UKSC 22· [2019] 2 WLR 1219» (506).

(271)

Από τα ανωτέρω συνάγεται ότι όταν οι αρχές επιβολής του νόμου ή οι αρχές εθνικής ασφάλειας του Ηνωμένου Βασιλείου αποκτούν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που εμπίπτουν στο πεδίο εφαρμογής της παρούσας απόφασης, η εν λόγω πρόσβαση διέπεται από νόμους που καθορίζουν τους όρους υπό τους οποίους μπορεί να πραγματοποιηθεί η πρόσβαση και διασφαλίζουν ότι η πρόσβαση και η περαιτέρω χρήση των δεδομένων περιορίζονται στα όρια του αναγκαίου και του αναλογικού σε σχέση με τον επιδιωκόμενο σκοπό επιβολής του νόμου ή εθνικής ασφάλειας. Επιπλέον, στις περισσότερες περιπτώσεις, η πρόσβαση αυτή υπόκειται σε προηγούμενη έγκριση από δικαιοδοτικό όργανο, η οποία παρέχεται μέσω της έγκρισης εντάλματος ή εντολής προσκόμισης, και υπόκειται, σε κάθε περίπτωση, σε ανεξάρτητη εποπτεία. Από τη στιγμή που οι δημόσιες αρχές αποκτήσουν πρόσβαση στα δεδομένα, η επεξεργασία των δεδομένων αυτών, συμπεριλαμβανομένης της περαιτέρω κοινοποίησης και της περαιτέρω διαβίβασης, υπόκειται σε ειδικές εγγυήσεις προστασίας των δεδομένων βάσει του μέρους 3 του DPA 2018, του οποίου οι εγγυήσεις αντικατοπτρίζουν αυτές που παρέχει η οδηγία (ΕΕ) 2016/680, όσον αφορά την επεξεργασία από τις αρχές επιβολής του νόμου, και βάσει του μέρους 4 του DPA 2018 όσον αφορά την επεξεργασία από τις υπηρεσίες πληροφοριών. Τέλος, τα υποκείμενα των δεδομένων απολαμβάνουν στον τομέα αυτόν αποτελεσματικά δικαιώματα διοικητικής και δικαστικής προσφυγής, συμπεριλαμβανομένων δικαιωμάτων πρόσβασης στα δεδομένα που τα αφορούν, καθώς και διόρθωσης ή διαγραφής των δεδομένων αυτών.

(272)

Δεδομένης της σημασίας των εν λόγω όρων, περιορισμών και εγγυήσεων για τους σκοπούς της παρούσας απόφασης, η Επιτροπή θα παρακολουθεί στενά την εφαρμογή και την ερμηνεία των κανόνων του Ηνωμένου Βασιλείου που διέπουν την πρόσβαση του κράτους στα δεδομένα. Στο πλαίσιο αυτό θα συμπεριλαμβάνονται οι σχετικές νομοθετικές, κανονιστικές και νομολογιακές εξελίξεις, καθώς και οι δραστηριότητες του ICO και των άλλων εποπτικών αρχών στον τομέα αυτό. Θα δίδεται επίσης ιδιαίτερη προσοχή στην εφαρμογή από το Ηνωμένο Βασίλειο των σχετικών αποφάσεων του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου, συμπεριλαμβανομένων των μέτρων που προσδιορίζονται στα «σχέδια δράσης» και στις «εκθέσεις δράσης» που υποβάλλονται στην Επιτροπή Υπουργών στο πλαίσιο της εποπτείας της συμμόρφωσης με τις αποφάσεις του Δικαστηρίου.

4.   ΣΥΜΠΕΡΑΣΜΑ

(273)

Η Επιτροπή θεωρεί ότι ο ΓΚΠΔ του Ηνωμένου Βασιλείου και ο DPA 2018 διασφαλίζουν επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση το οποίο είναι ουσιωδώς ισοδύναμο μ' αυτό που εγγυάται ο κανονισμός (ΕΕ) 2016/679.

(274)

Επιπλέον, η Επιτροπή θεωρεί ότι, συνολικά, οι εποπτικοί μηχανισμοί και τα μέσα προσφυγής που προβλέπονται στη νομοθεσία του Ηνωμένου Βασιλείου επιτρέπουν τον εντοπισμό και την πραγματική τιμωρία των παραβάσεων και προσφέρουν μέσα έννομης προστασίας στα υποκείμενα δεδομένων προκειμένου να επιτυγχάνουν την πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν και, τελικώς, τη διόρθωση ή διαγραφή των εν λόγω δεδομένων.

(275)

Τέλος, βάσει των διαθέσιμων πληροφοριών σχετικά με την έννομη τάξη του Ηνωμένου Βασιλείου, η Επιτροπή θεωρεί ότι κάθε επέμβαση στα θεμελιώδη δικαιώματα των ατόμων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο από δημόσιες αρχές του Ηνωμένου Βασιλείου για σκοπούς δημοσίου συμφέροντος, ιδίως για σκοπούς επιβολής του νόμου και εθνικής ασφάλειας, θα περιορίζεται στο απολύτως αναγκαίο για την επίτευξη του οικείου νόμιμου σκοπού και ότι υφίσταται αποτελεσματική έννομη προστασία κατά των επεμβάσεων αυτού του είδους.

(276)

Ως εκ τούτου, υπό το φως των διαπιστώσεων της παρούσας απόφασης, θα πρέπει να αποφασιστεί ότι το Ηνωμένο Βασίλειο εξασφαλίζει επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 45 του κανονισμού (ΕΕ) 2016/679, ερμηνευόμενου υπό το πρίσμα του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.

(277)

Το συμπέρασμα αυτό βασίζεται τόσο στο σχετικό εσωτερικό καθεστώς του Ηνωμένου Βασιλείου όσο και στις διεθνείς δεσμεύσεις του, ιδίως τις δεσμεύσεις για την τήρηση της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου και την υπαγωγή του στη δικαιοδοσία του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου. Ως εκ τούτου, η συνεχιζόμενη τήρηση των εν λόγω διεθνών υποχρεώσεων αποτελεί ιδιαίτερα σημαντικό στοιχείο της αξιολόγησης στην οποία βασίζεται η παρούσα απόφαση.

5.   ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΗΣ ΠΑΡΟΥΣΑΣ ΑΠΟΦΑΣΗΣ ΚΑΙ ΔΡΑΣΗ ΤΩΝ ΑΡΧΩΝ ΠΡΟΣΤΑΣΙΑΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

(278)

Τα κράτη μέλη και τα όργανά τους υποχρεούνται να λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφώνονται με τις πράξεις των θεσμικών οργάνων της Ένωσης, καθώς αυτές τεκμαίρονται νόμιμες και, ως εκ τούτου, παράγουν έννομα αποτελέσματα έως ότου τυχόν λήξουν, ανακληθούν, ακυρωθούν κατόπιν προσφυγής ακύρωσης ή κριθούν ανίσχυρες κατόπιν προδικαστικής παραπομπής ή κατόπιν ένστασης έλλειψης νομιμότητας.

(279)

Κατά συνέπεια, απόφαση επάρκειας που εκδίδεται από την Επιτροπή βάσει του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 είναι δεσμευτική για όλα τα όργανα των κρατών μελών στα οποία απευθύνεται, συμπεριλαμβανομένων των ανεξάρτητων εποπτικών αρχών τους. Ιδίως, κατά τη διάρκεια της περιόδου εφαρμογής της παρούσας απόφασης, οι διαβιβάσεις από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία στην Ευρωπαϊκή Ένωση προς υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στο Ηνωμένο Βασίλειο μπορούν να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω άδεια.

(280)

Θα πρέπει να υπενθυμιστεί ότι, σύμφωνα με το άρθρο 58 παράγραφος 5 του κανονισμού (ΕΕ) 2016/679, και όπως εξήγησε το Δικαστήριο στην απόφαση Schrems (507), όταν μια εθνική αρχή προστασίας των δεδομένων αμφισβητεί, μεταξύ άλλων κατόπιν καταγγελίας, τη συμβατότητα μιας απόφασης περί επάρκειας την οποία έχει εκδώσει η Επιτροπή με τα θεμελιώδη δικαιώματα του προσώπου στην προστασία της ιδιωτικής ζωής και των δεδομένων, το εθνικό δίκαιο πρέπει να της παρέχει μέσα ένδικης προστασίας ώστε να μπορεί να προβάλει τις αιτιάσεις αυτές ενώπιον εθνικού δικαστηρίου, το οποίο μπορεί να χρειαστεί να υποβάλει προδικαστικό ερώτημα στο Δικαστήριο (508).

6.   ΠΑΡΑΚΟΛΟΥΘΗΣΗ, ΑΝΑΣΤΟΛΗ, ΚΑΤΑΡΓΗΣΗ Ή ΤΡΟΠΟΠΟΙΗΣΗ ΤΗΣ ΠΑΡΟΥΣΑΣ ΑΠΟΦΑΣΗΣ

(281)

Σύμφωνα με το άρθρο 45 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679, η Επιτροπή πρέπει να παρακολουθεί, σε συνεχή βάση, τις σχετικές εξελίξεις στο Ηνωμένο Βασίλειο μετά την έκδοση της παρούσας απόφασης, προκειμένου να αξιολογεί αν εξακολουθεί να διασφαλίζει ουσιωδώς ισοδύναμο επίπεδο προστασίας. Η παρακολούθηση αυτή είναι εξαιρετικά σημαντική στην προκείμενη περίπτωση, δεδομένου ότι το Ηνωμένο Βασίλειο θα διαχειρίζεται, θα εφαρμόζει και θα επιβάλλει ένα νέο καθεστώς προστασίας των δεδομένων, το οποίο δεν θα υπόκειται πλέον στο δίκαιο της Ευρωπαϊκής Ένωσης και το οποίο ενδέχεται να εξελιχθεί. Στο πλαίσιο αυτό, θα δοθεί ιδιαίτερη προσοχή στην εφαρμογή στην πράξη των κανόνων του Ηνωμένου Βασιλείου σχετικά με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, καθώς και στον αντίκτυπο που αυτή ενδέχεται να έχει στο επίπεδο προστασίας που παρέχεται στα δεδομένα που διαβιβάζονται βάσει της παρούσας απόφασης· στην αποτελεσματικότητα της άσκησης των ατομικών δικαιωμάτων, συμπεριλαμβανομένης κάθε σχετικής εξέλιξης στη νομοθεσία και την πρακτική σχετικά με τις εξαιρέσεις ή τους περιορισμούς των εν λόγω δικαιωμάτων (ιδίως εκείνων που αφορούν τη διατήρηση αποτελεσματικού ελέγχου της μετανάστευσης)· καθώς και στη συμμόρφωση με τους περιορισμούς και τις εγγυήσεις που αφορούν την πρόσβαση του κράτους. Μεταξύ των άλλων στοιχείων, η Επιτροπή θα λαμβάνει υπόψη κατά την παρακολούθησή της τις εξελίξεις στη νομολογία και την εποπτεία από το ICO και τους άλλους ανεξάρτητους φορείς.

(282)

Για τη διευκόλυνση αυτής της παρακολούθησης, οι αρχές του Ηνωμένου Βασιλείου θα πρέπει να ενημερώνουν αμέσως την Επιτροπή για κάθε ουσιαστική αλλαγή στην έννομη τάξη του Ηνωμένου Βασιλείου η οποία έχει αντίκτυπο στο νομικό πλαίσιο που αποτελεί το αντικείμενο της παρούσας απόφασης, καθώς και για κάθε εξέλιξη στις πρακτικές που σχετίζονται με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα οι οποίες αξιολογούνται στην παρούσα απόφαση, τόσο όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία βάσει του ΓΚΠΔ του Ηνωμένου Βασιλείου όσο και όσον αφορά τους περιορισμούς και τις εγγυήσεις που ισχύουν για την πρόσβαση δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα. Στην ενημέρωση αυτή θα πρέπει να συμπεριλαμβάνονται οι εξελίξεις όσον αφορά τα στοιχεία που αναφέρονται στην αιτιολογική σκέψη 281.

(283)

Επιπροσθέτως, για να μπορεί η Επιτροπή να εκτελέσει με αποτελεσματικότητα το καθήκον της παρακολούθησης, τα κράτη μέλη θα πρέπει να ενημερώνουν την Επιτροπή για κάθε συναφή δράση των εθνικών αρχών προστασίας δεδομένων, ιδίως σε σχέση με ερωτήσεις ή καταγγελίες από υποκείμενα δεδομένων της ΕΕ σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Ένωση σε υπευθύνους επεξεργασίας ή σε εκτελούντες την επεξεργασία στο Ηνωμένο Βασίλειο. Η Επιτροπή θα πρέπει επίσης να λαμβάνει γνώση κάθε τυχόν ένδειξης ότι οι ενέργειες των δημόσιων αρχών του Ηνωμένου Βασιλείου που είναι αρμόδιες για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων, ή για την εθνική ασφάλεια, συμπεριλαμβανομένων των εποπτικών φορέων, δεν διασφαλίζουν το απαιτούμενο επίπεδο προστασίας.

(284)

Σε περίπτωση που οι διαθέσιμες πληροφορίες, ιδίως οι πληροφορίες που προκύπτουν από την παρακολούθηση της παρούσας απόφασης ή που παρέχονται από τις αρχές του Ηνωμένου Βασιλείου ή των κρατών μελών, αποκαλύψουν ότι το επίπεδο προστασίας που παρέχει το Ηνωμένο Βασίλειο ενδέχεται να μην είναι πλέον επαρκές, η Επιτροπή θα πρέπει να ενημερώσει αμέσως σχετικά τις αρμόδιες αρχές του Ηνωμένου Βασιλείου και να ζητήσει τη λήψη κατάλληλων μέτρων εντός καθορισμένης προθεσμίας, η οποία δεν μπορεί να υπερβαίνει τους τρεις μήνες. Αν είναι αναγκαίο, το διάστημα αυτό μπορεί να παραταθεί για συγκεκριμένο χρονικό διάστημα, λαμβανομένης υπόψη της φύσης του επίμαχου ζητήματος και/ή των μέτρων που πρέπει να ληφθούν. Για παράδειγμα, τέτοια διαδικασία θα ενεργοποιηθεί σε περίπτωση που περαιτέρω διαβιβάσεις, συμπεριλαμβανομένων αυτών που τυχόν θα πραγματοποιούνται βάσει νέων κανονισμών περί επάρκειας που θα έχουν εκδοθεί από τον υπουργό ή διεθνών συμφωνιών που θα έχουν συναφθεί από το Ηνωμένο Βασίλειο, δεν θα πραγματοποιούνται πλέον βάσει εγγυήσεων που διασφαλίζουν τη συνέχεια της προστασίας κατά την έννοια του άρθρου 44 του κανονισμού (ΕΕ) 2016/679.

(285)

Εάν, κατά τη λήξη της εν λόγω καθορισμένης προθεσμίας, οι αρμόδιες αρχές του Ηνωμένου Βασιλείου δεν λάβουν τα εν λόγω μέτρα ή δεν αποδείξουν με άλλον τρόπο ικανοποιητικά ότι η παρούσα απόφαση εξακολουθεί να βασίζεται σε επαρκές επίπεδο προστασίας, η Επιτροπή θα κινήσει τη διαδικασία που αναφέρεται στο άρθρο 93 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679 με σκοπό τη μερική ή πλήρη αναστολή ή κατάργηση της παρούσας απόφασης.

(286)

Εναλλακτικά, η Επιτροπή θα κινήσει τη διαδικασία αυτή με σκοπό την τροποποίηση της παρούσας απόφασης, ιδίως διά της υποβολής των διαβιβάσεων δεδομένων σε πρόσθετους όρους ή του περιορισμού του πεδίου εφαρμογής της διαπίστωσης επάρκειας μόνο στις διαβιβάσεις δεδομένων για τις οποίες εξακολουθεί να διασφαλίζεται επαρκές επίπεδο προστασίας.

(287)

Όταν συντρέχουν δεόντως αιτιολογημένοι επιτακτικοί λόγοι επείγουσας ανάγκης, η Επιτροπή θα κάνει χρήση της δυνατότητας να εκδώσει, σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 93 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, εκτελεστικές πράξεις άμεσης εφαρμογής για την αναστολή, την κατάργηση ή την τροποποίηση της απόφασης.

7.   ΔΙΑΡΚΕΙΑ ΚΑΙ ΑΝΑΝΕΩΣΗ ΤΗΣ ΠΑΡΟΥΣΑΣ ΑΠΟΦΑΣΗΣ

(288)

Η Επιτροπή πρέπει να λάβει υπόψη ότι, με τη λήξη της μεταβατικής περιόδου που προβλέπεται από τη συμφωνία αποχώρησης και μόλις παύσει να ισχύει η μεταβατική διάταξη του άρθρου 782 της συμφωνίας εμπορίου και συνεργασίας ΕΕ–Ηνωμένου Βασιλείου, το Ηνωμένο Βασίλειο θα διαχειρίζεται, θα εφαρμόζει και θα επιβάλλει ένα νέο καθεστώς προστασίας δεδομένων αντί εκείνου που ίσχυε όταν δεσμευόταν από το δίκαιο της ΕΕ. Αυτό μπορεί να περιλαμβάνει τροποποιήσεις ή αλλαγές στο πλαίσιο προστασίας των δεδομένων το οποίο αξιολογείται στην παρούσα απόφαση, καθώς και άλλες σχετικές εξελίξεις.

(289)

Ως εκ τούτου, είναι σκόπιμο να προβλεφθεί ότι η παρούσα απόφαση θα εφαρμόζεται για περίοδο τεσσάρων ετών από την έναρξη ισχύος της.

(290)

Σε περίπτωση, ιδίως, που οι πληροφορίες που προκύπτουν από την παρακολούθηση της παρούσας απόφασης αποκαλύψουν ότι οι διαπιστώσεις σχετικά με την επάρκεια του επιπέδου προστασίας που εξασφαλίζεται στο Ηνωμένο Βασίλειο εξακολουθούν να είναι αντικειμενικά και νομικά δικαιολογημένες, η Επιτροπή θα πρέπει, το αργότερο έξι μήνες πριν από τη λήξη ισχύος της παρούσας απόφασης, να κινήσει τη διαδικασία τροποποίησης της παρούσας απόφασης επεκτείνοντας, καταρχήν, το χρονικό πεδίο εφαρμογής της για πρόσθετη περίοδο τεσσάρων ετών. Κάθε τέτοια εκτελεστική πράξη που τροποποιεί την παρούσα απόφαση πρέπει να εκδίδεται σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 93 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679.

8.   ΤΕΛΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ

(291)

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημοσίευσε τη γνώμη του (509), η οποία ελήφθη υπόψη κατά την εκπόνηση της παρούσας απόφασης.

(292)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που έχει συσταθεί βάσει του άρθρου 93 του κανονισμού (ΕΕ) 2016/679,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

1.   Για τους σκοπούς του άρθρου 45 του κανονισμού (ΕΕ) 2016/679, το Ηνωμένο Βασίλειο διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο του πεδίου εφαρμογής του κανονισμού (ΕΕ) 2016/679 από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο.

2.   Η παρούσα απόφαση δεν καλύπτει τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται για σκοπούς ελέγχου της μετανάστευσης στο Ηνωμένο Βασίλειο ή τα οποία εμπίπτουν άλλως στο πεδίο εφαρμογής της εξαίρεσης από ορισμένα δικαιώματα των υποκειμένων των δεδομένων για τους σκοπούς της διατήρησης αποτελεσματικού ελέγχου της μετανάστευσης σύμφωνα με την παράγραφο 4 σημείο (1) του παραρτήματος 2 του DPA 2018.

Άρθρο 2

Όταν οι αρμόδιες εποπτικές αρχές των κρατών μελών, με στόχο την προστασία φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα τους, ασκούν τις εξουσίες τους βάσει του άρθρου 58 του κανονισμού (ΕΕ) 2016/679 σε σχέση με διαβιβάσεις δεδομένων που εμπίπτουν στο πεδίο εφαρμογής που ορίζεται στο άρθρο 1, το οικείο κράτος μέλος ενημερώνει χωρίς καθυστέρηση την Επιτροπή.

Άρθρο 3

1.   Η Επιτροπή παρακολουθεί σε συνεχή βάση την εφαρμογή του νομικού πλαισίου στο οποίο βασίζεται η παρούσα απόφαση, συμπεριλαμβανομένων των όρων υπό τους οποίους πραγματοποιούνται οι περαιτέρω διαβιβάσεις, ασκούνται τα ατομικά δικαιώματα και αποκτούν οι αρχές του Ηνωμένου Βασιλείου πρόσβαση στα δεδομένα που διαβιβάζονται βάσει της παρούσας απόφασης, προκειμένου να αξιολογεί αν το Ηνωμένο Βασίλειο εξακολουθεί να διασφαλίζει επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 1.

2.   Τα κράτη μέλη ενημερώνουν την Επιτροπή, και αντιστρόφως, για περιπτώσεις στις οποίες ο Επίτροπος Πληροφοριών ή οποιαδήποτε άλλη αρμόδια αρχή του Ηνωμένου Βασιλείου δεν συμμορφώνεται με το νομικό πλαίσιο στο οποίο βασίζεται η παρούσα απόφαση.

3.   Τα κράτη μέλη ενημερώνουν την Επιτροπή, και αντιστρόφως, για κάθε ένδειξη ότι επεμβάσεις των δημόσιων αρχών του Ηνωμένου Βασιλείου στο δικαίωμα των φυσικών προσώπων για προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν υπερβαίνουν το απολύτως αναγκαίο ή ότι δεν παρέχεται αποτελεσματική έννομη προστασία κατά των εν λόγω επεμβάσεων.

4.   Αν η Επιτροπή έχει ενδείξεις ότι δεν διασφαλίζεται πλέον επαρκές επίπεδο προστασίας, ενημερώνει τις αρμόδιες αρχές του Ηνωμένου Βασιλείου και μπορεί να αναστείλει, να καταργήσει ή να τροποποιήσει την παρούσα απόφαση.

5.   Η Επιτροπή μπορεί επίσης να αναστείλει, να καταργήσει ή να τροποποιήσει την παρούσα απόφαση εάν η απροθυμία συνεργασίας της κυβέρνησης του Ηνωμένου Βασιλείου δεν επιτρέπει στην Επιτροπή να προσδιορίσει κατά πόσον επηρεάζεται η διαπίστωση του άρθρου 1 παράγραφος 1.

Άρθρο 4

Η παρούσα απόφαση λήγει στις 27 Ιουνίου 2025, εκτός εάν η ισχύς της παραταθεί σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 93 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679.

Άρθρο 5

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 28 Ιουνίου 2021.

Για την Επιτροπή

Didier REYNDERS

Μέλος της Επιτροπής


(1)  ΕΕ L 119 της 4.5.2016, σ. 1.

(2)  Βλ. αιτιολογική σκέψη 101 του κανονισμού (ΕΕ) 2016/679.

(3)  Βλ. πιο πρόσφατα, υπόθεση C-311/18, Facebook Ireland και Schrems (στο εξής: Schrems II), ECLI:EU:C:2020:559.

(4)  Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, Σημεία αναφοράς για την επάρκεια, WP 254 αναθ. 01, διαθέσιμο στον ακόλουθο σύνδεσμο: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108.

(5)  Υπόθεση C-362/14, Schrems (στο εξής: Schrems I), ECLI:EU:C:2015:650, σκέψη 73.

(6)  Schrems Ι, σκέψη 74.

(7)  Βλ. ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο «Ανταλλαγή και προστασία των δεδομένων προσωπικού χαρακτήρα σε έναν παγκοσμιοποιημένο κόσμο» [COM(2017) 7 της 10.1.2017], ενότητα 3.1, σ. 6-7, διαθέσιμη στον ακόλουθο σύνδεσμο: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52017DC0007&from=EN.

(8)  Εφετείο (Πολιτικό Τμήμα) [Court of Appeal (Civil Division)], Open Rights Group κατά Secretary of State for the Home Department και Secretary of State for Digital, Culture, Media and Sport, [2021] EWCA Civ 800, σκέψεις 53 έως 56. Το Εφετείο ανέτρεψε την απόφαση του Ανώτερου Δικαστηρίου (High Court of Justice), το οποίο είχε προηγουμένως αξιολογήσει την εξαίρεση υπό το πρίσμα του κανονισμού (ΕΕ) 2016/679 (ιδίως του άρθρου 23) και του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και την είχε κρίνει νόμιμη {Open Rights Group & Anor, R (On the Application Of) κατά Secretary of State for the Home Department & Anor, [2019] EWHC 2562}.

(9)  Αν πληρούνται οι ισχύουσες προϋποθέσεις, διαβιβάσεις για σκοπούς ελέγχου της μετανάστευσης στο Ηνωμένο Βασίλειο μπορούν να πραγματοποιηθούν βάσει των μηχανισμών διαβίβασης που προβλέπονται στα άρθρα 46 έως 49 του κανονισμού (ΕΕ) 2016/679.

(10)  Οι αρχές της Σύμβασης 108 μεταφέρθηκαν αρχικά στο δίκαιο του Ηνωμένου Βασιλείου μέσω του νόμου του 1984 για την προστασία των δεδομένων (Data Protection Act of 1984), ο οποίος αντικαταστάθηκε από τον νόμο του 1998 για την προστασία των δεδομένων (DPA 1998), και στη συνέχεια από τον αντίστοιχο νόμο του 2018 (DPA 2018) (σε συνδυασμό με τον ΓΚΠΔ του Ηνωμένου Βασιλείου). Το Ηνωμένο Βασίλειο υπέγραψε επίσης το πρωτόκολλο που τροποποιεί τη Σύμβαση για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα (γνωστό ως Σύμβαση 108+) το 2018 και επί του παρόντος βρίσκεται σε διαδικασία κύρωσης της Σύμβασης.

(11)  Άρθρα 6 και 8 της ΕΣΔΑ (βλ. επίσης παράρτημα 1 του νόμου του 1998 για τα ανθρώπινα δικαιώματα).

(12)  Άρθρο 6 του νόμου του 1998 για τα ανθρώπινα δικαιώματα.

(13)  Άρθρο 3 του νόμου του 1998 για τα ανθρώπινα δικαιώματα.

(14)  Συμφωνία για την αποχώρηση του Ηνωμένου Βασιλείου της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας από την Ευρωπαϊκή Ένωση και την Ευρωπαϊκή Κοινότητα Ατομικής Ενέργειας (2019/C 384 I/01, XT/21054/2019/INIT) (ΕΕ C 384I της 12.11.2019, σ. 1), διαθέσιμη στον ακόλουθο σύνδεσμο: https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:12019W/TXT(02)&from=EN.

(15)  Οδηγία (EE) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ L 119 της 4.5.2016, σ. 89), διαθέσιμη στον ακόλουθο σύνδεσμο: https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:32016L0680&from=EN.

(16)  Data Protection Act 2018, διαθέσιμος στον εξής σύνδεσμο: https://www.legislation.gov.uk/ukpga/2018/12/contents/enacted.

(17)  European Union (Withdrawal) Act 2018, διαθέσιμος στον ακόλουθο σύνδεσμο: https://www.legislation.gov.uk/ukpga/2018/16/contents.

(18)  Πρόθεση και αποτέλεσμα του νόμου του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση είναι η ενσωμάτωση στο δίκαιο του Ηνωμένου Βασιλείου του συνόλου της άμεσης νομοθεσίας της Ένωσης που ήταν ενσωματωμένη στο δίκαιο του Ηνωμένου Βασιλείου κατά τη λήξη της μεταβατικής περιόδου, όπως ισχύει στο δίκαιο της ΕΕ αμέσως πριν από τη λήξη της μεταβατικής περιόδου — βλ. άρθρο 3 του νόμου του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση.

(19)  Οι επεξηγηματικές σημειώσεις του νόμου του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση διευκρινίζουν ότι: «Όταν νομοθεσία μετατρέπεται σύμφωνα με το παρόν άρθρο, το κείμενο της ίδιας της νομοθεσίας θα αποτελεί μέρος της εσωτερικής νομοθεσίας. Αυτό θα περιλαμβάνει το πλήρες κείμενο κάθε πράξης της ΕΕ (συμπεριλαμβανομένων των αιτιολογικών της σκέψεων)». [Explanatory Notes to the European Union (Withdrawal) Act 2018, σημείο 83, διαθέσιμες στον ακόλουθο σύνδεσμο: https://www.legislation.gov.uk/ukpga/2018/16/pdfs/ukpgaen_20180016_en.pdf]. Σύμφωνα με τις πληροφορίες που παρασχέθηκαν από τις αρχές του Ηνωμένου Βασιλείου, δεδομένου ότι οι αιτιολογικές σκέψεις δεν έχουν τον χαρακτήρα δεσμευτικών νομικών κανόνων, δεν ήταν αναγκαίο να τροποποιηθούν με τον ίδιο τρόπο όπως τροποποιήθηκαν τα άρθρα του κανονισμού (ΕΕ) 2016/679 με τους κανονισμούς DPPEC.

(20)  Άρθρο 6 του νόμου του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση.

(21)  The Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019, διαθέσιμοι στον ακόλουθο σύνδεσμο: https://www.legislation.gov.uk/uksi/2019/419/contents/made, όπως τροποποιήθηκαν με τους κανονισμούς DPPEC 2020, οι οποίοι είναι διαθέσιμοι στον ακόλουθο σύνδεσμο: https://www.legislation.gov.uk/ukdsi/2020/9780348213522.

(22)  Οι εν λόγω τροποποιήσεις στον ΓΚΠΔ του Ηνωμένου Βασιλείου και στον DPA 2018 έχουν κυρίως τεχνικό χαρακτήρα, όπως η απαλοιφή των αναφορών στα «κράτη μέλη» ή η προσαρμογή της ορολογίας, π.χ. η αντικατάσταση των παραπομπών στον κανονισμό (ΕΕ) 2016/679 από παραπομπές στον ΓΚΠΔ του Ηνωμένου Βασιλείου. Σε ορισμένα σημεία απαιτήθηκαν αλλαγές προκειμένου να αντικατοπτρίζεται το αμιγώς εσωτερικό πλαίσιο των διατάξεων, για παράδειγμα, όσον αφορά το «ποιος» εκδίδει «κανονισμούς περί επάρκειας» για τους σκοπούς του νομοθετικού πλαισίου του Ηνωμένου Βασιλείου για την προστασία των δεδομένων (βλ. άρθρο 17Α του DPA 2018), δηλαδή ο υπουργός (Secretary of State) αντί της Ευρωπαϊκής Επιτροπής.

(23)  General Data Protection Regulation, Keeling Schedule, διαθέσιμος στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/946117/20201102_-_GDPR_-__MASTER__Keeling_Schedule__with_changes_highlighted__V3.pdf.

(24)  Data Protection Act 2018, Keeling Schedule, διαθέσιμος στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/946100/20201102_-_DPA_-__MASTER__Keeling_Schedule__with_changes_highlighted__V3.pdf.

(25)  Οι εξουσίες αυτές περιλαμβάνονται, για παράδειγμα, στα άρθρα 16 (εξουσία θέσπισης, σε συγκεκριμένες, στενά οριοθετημένες καταστάσεις, περαιτέρω εξαιρέσεων από συγκεκριμένες διατάξεις του ΓΚΠΔ του Ηνωμένου Βασιλείου), 17A (εξουσία έκδοσης κανονισμών περί επάρκειας), 212 και 213 (εξουσίες θέσης σε ισχύ νομοθεσίας και θέσπισης μεταβατικών διατάξεων), και 211 (εξουσία πραγματοποίησης ήσσονος σημασίας και επακόλουθων τροποποιήσεων) του DPA 2018.

(26)  Άρθρο 2 παράγραφοι 1 και 5 του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(27)  Άρθρο 4 σημεία (1) και (2) του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(28)  Η χειροκίνητη μη διαρθρωμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα ορίζεται στο άρθρο 2 παράγραφος 5 στοιχείο (b) ως η επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αυτοματοποιημένη ή διαρθρωμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα.

(29)  Το άρθρο 2 παράγραφος 1Α του ΓΚΠΔ του Ηνωμένου Βασιλείου προβλέπει ότι ο κανονισμός εφαρμόζεται επίσης στη χειροκίνητη μη διαρθρωμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα που βρίσκονται στην κατοχή δημόσιας αρχής που υπάγεται στον νόμο για την ελευθερία της πληροφόρησης. Η αναφορά σε δημόσιες αρχές που υπάγονται στον νόμο για την ελευθερία της πληροφόρησης αφορά κάθε δημόσια αρχή όπως ορίζεται στον νόμο του 2000 για την ελευθερία της πληροφόρησης (Freedom of Information Act 2000) ή κάθε δημόσια αρχή της Σκωτίας όπως ορίζεται στον νόμο του 2002 για την ελευθερία της πληροφόρησης (Σκωτία) (asp 13) [Freedom of Information (Scotland) Act 2002 (asp 13)]. Άρθρο 21 παράγραφος 5 του DPA 2018.

(30)  Άρθρο 2 παράγραφος 2 στοιχείο (a) του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(31)  Οι δραστηριότητες εθνικής ασφάλειας καλύπτονται από το πεδίο εφαρμογής του ΓΚΠΔ του Ηνωμένου Βασιλείου μόνο εφόσον δεν ασκούνται από αρμόδια αρχή για σκοπούς επιβολής του νόμου, οπότε εφαρμόζεται το μέρος 3 του DPA 2018, ή από υπηρεσία πληροφοριών ή για λογαριασμό υπηρεσίας πληροφοριών, οι δραστηριότητες των οποίων εξαιρούνται από το πεδίο εφαρμογής του ΓΚΠΔ του Ηνωμένου Βασιλείου και υπόκεινται στο μέρος 4 του DPA 2018, σύμφωνα με το άρθρο 2 παράγραφος 2 στοιχείο (c) του ΓΚΠΔ του Ηνωμένου Βασιλείου. Για παράδειγμα, μια αστυνομική δύναμη μπορεί να διενεργεί ελέγχους ασφαλείας σε υπάλληλο για να διασφαλίσει ότι είναι έμπιστος όσον αφορά την πρόσβασή του σε υλικό εθνικής ασφάλειας. Παρά το γεγονός ότι η αστυνομία είναι αρμόδια αρχή για σκοπούς επιβολής του νόμου, η εν λόγω επεξεργασία δεν εξυπηρετεί σκοπούς επιβολής του νόμου, οπότε εφαρμόζεται ο ΓΚΠΔ του Ηνωμένου Βασιλείου. Βλ. UK Explanatory Framework for Adequacy Discussions, section H: National Security Data Protection and Investigatory Powers Framework, σ. 8, διαθέσιμο στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/872239/H_-_National_Security.pdf.

(32)  Άρθρο 2 παράγραφος 1 στοιχεία (a) και (b) του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(33)  Άρθρο 2 παράγραφος 2 στοιχεία (b) και (c) του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(34)  Το ίδιο εδαφικό πεδίο εφαρμογής ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει του μέρους 2 του DPA 2018, που συμπληρώνει τον ΓΚΠΔ του Ηνωμένου Βασιλείου (άρθρο 207 παράγραφος 1Α).

(35)  Αυτό σημαίνει ιδίως ότι ο DPA 2018 και, ως εκ τούτου, η παρούσα απόφαση δεν εφαρμόζονται στις εξαρτήσεις του Στέμματος του Ηνωμένου Βασιλείου (Τζέρζι, Γκέρνζι και Νήσος του Μαν) και στα υπερπόντια εδάφη του Ηνωμένου Βασιλείου, όπως για παράδειγμα οι Νήσοι Φόκλαντ και το έδαφος του Γιβραλτάρ.

(36)  Άρθρο 4 σημεία (1), (2), (5), (7) και (8) του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(37)  «Βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα.

(38)  «Δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του.

(39)  «Γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου.

(40)  Σύμφωνα με το άρθρο 6 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου, η επεξεργασία είναι σύννομη μόνο εάν και στον βαθμό που: α) το υποκείμενο των δεδομένων έχει παράσχει συγκατάθεση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς· β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης· γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας· δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου· ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας· ή στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύουν το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

(41)  Παράγραφοι 38-40 του παραρτήματος 1 του DPA 2018.

(42)  Στο άρθρο 13 παράγραφος 1 στοιχείο (f) και στο άρθρο 14 παράγραφος 1 στοιχείο (f) οι αναφορές σε αποφάσεις επάρκειας που λαμβάνει η Επιτροπή έχουν αντικατασταθεί από αναφορές σε ισοδύναμη πράξη του Ηνωμένου Βασιλείου, δηλαδή σε κανονισμούς περί επάρκειας βάσει του DPA 2018. Επιπλέον, στο άρθρο 14 παράγραφος 5 στοιχεία (c)-(d) οι αναφορές στο δίκαιο της ΕΕ ή των κρατών μελών έχουν αντικατασταθεί από αναφορά στο εσωτερικό δίκαιο [ως παραδείγματα κανόνων εσωτερικού δικαίου που ενδέχεται να εμπίπτουν στο άρθρο 14 παράγραφος 5 στοιχείο (c), το Ηνωμένο Βασίλειο έχει αναφέρει το άρθρο 7 του νόμου του 2013 για τους εμπόρους παλαιών μετάλλων (Scrap Metal Dealers Act 2013), το οποίο προβλέπει κανόνες για μητρώο αδειών εκμετάλλευσης παλαιών μετάλλων, και το μέρος 35 του νόμου του 2006 για τις εταιρείες (Companies Act 2006), που προβλέπει τους κανόνες για το μητρώο εταιρειών. Ομοίως, στα παραδείγματα κανόνων εσωτερικού δικαίου που ενδέχεται να εμπίπτουν στο πεδίο εφαρμογής του άρθρου 14 παράγραφος 5 στοιχείο (d) θα μπορούσαν να συμπεριληφθούν η νομοθεσία που θεσπίζει κανόνες σχετικά με το επαγγελματικό απόρρητο ή υποχρεώσεις που αντικατοπτρίζονται στις συμβάσεις εργασίας ή η υποχρέωση εμπιστευτικότητας του κοινού δικαίου (π.χ. για τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από επαγγελματίες του τομέα της υγείας, τμήματα ανθρώπινων πόρων, κοινωνικούς λειτουργούς κ.λπ.)].

(43)  Στο άρθρο 17 παράγραφος 1 στοιχείο (e) και στο άρθρο 17 παράγραφος 3 στοιχείο (b) οι παραπομπές στο δίκαιο της ΕΕ ή των κρατών μελών αντικαταστάθηκαν από παραπομπή στο εσωτερικό δίκαιο {ως παραδείγματα τέτοιου εσωτερικού δικαίου στο πλαίσιο του άρθρου 17 παράγραφος 1 στοιχείο (e), το Ηνωμένο Βασίλειο έχει αναφέρει τους κανονισμούς του 2006 για την εκπαίδευση (πληροφορίες μαθητών) (Αγγλία) [Education (Pupil Information) (England) Regulations 2006], βάσει των οποίων απαιτείται η διαγραφή των ονομάτων των μαθητών από τα σχολικά μητρώα μετά την αποχώρησή τους από το σχολείο και τον ιατρικό νόμο του 1983 (Medical Act 1983), άρθρο 34F, με το οποίο θεσπίζονται οι κανόνες για τη διαγραφή των ονομάτων από το μητρώο γενικών ιατρών και το μητρώο ειδικευμένων ιατρών}.

(44)  Το σχέδιο κώδικα ορθής πρακτικής διατίθεται στον ακόλουθο σύνδεσμο: https://ico.org.uk/media/about-the-ico/consultations/2616882/direct-marketing-code-draft-guidance.pdf.

(45)  UK Explanatory Framework for Adequacy Discussions, Section E: Restrictions, σ. 1, διαθέσιμο στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/872232/E_-_Narrative_on_Restrictions.pdf.

(46)  Open Rights Group & Anor, R (On the Application Of) κατά Secretary of State for the Home Department & Anor [2019] EWHC 2562 (Admin), σκέψεις 40 και 41.

(47)  Guriev κατά Community Safety Development (United Kingdom) Ltd [2016] EWHC 643 (QB), σκέψη 43. Συναφώς, βλ. επίσης Lin κατά Commissioner of Police for the Metropolis [2015] EWHC 2484 (QB), σκέψη 80.

(48)  Παράγραφος 2 του παραρτήματος 2 του DPA 2018.

(49)  Παράγραφος 19 του παραρτήματος 2 του DPA 2018.

(50)  Παράγραφος 20 του παραρτήματος 2 του DPA 2018.

(51)  Παράγραφος 21 του παραρτήματος 2 του DPA 2018.

(52)  Για παράδειγμα, περιορισμοί στο δικαίωμα γνωστοποίησης των παραβιάσεων δεδομένων επιτρέπονται μόνο σε σχέση με το έγκλημα και τη φορολογία (παράγραφος 2 του παραρτήματος 2 του DPA 2018), τα κοινοβουλευτικά προνόμια (παράγραφος 13 του παραρτήματος 2 του DPA 2018) και την επεξεργασία για δημοσιογραφικούς, ακαδημαϊκούς, καλλιτεχνικούς και λογοτεχνικούς σκοπούς (παράγραφος 26 του παραρτήματος 2 του DPA 2018).

(53)  Παράγραφος 2 του παραρτήματος 2 του DPA 2018.

(54)  R (Lord) κατά Secretary of State for the Home Department [2003] EWHC 2073 (Admin), σκέψη 100, και Guriev κατά Community Safety Development (United Kingdom) Ltd [2016] EWHC 643 (QB), σκέψη 43.

(55)  Open Rights Group & Anor, R (On the Application Of) κατά Secretary of State for the Home Department & Anor, σκέψη 31.

(56)  Σύμφωνα με τις πληροφορίες που παρείχαν οι αρχές του Ηνωμένου Βασιλείου, όταν η επεξεργασία πραγματοποιείται στο πλαίσιο της εθνικής ασφάλειας, οι υπεύθυνοι επεξεργασίας θα εφαρμόζουν κατά κανόνα ενισχυμένες εγγυήσεις και μέτρα ασφαλείας στην επεξεργασία, ώστε να αντικατοπτρίζεται ο ευαίσθητος χαρακτήρας της επεξεργασίας. Ο προσδιορισμός των κατάλληλων εγγυήσεων θα εξαρτάται από τους κινδύνους που ενέχει η εκτελούμενη επεξεργασία. Οι εν λόγω εγγυήσεις θα μπορούσαν να περιλαμβάνουν περιορισμούς στην πρόσβαση στα δεδομένα, ώστε η πρόσβαση σ' αυτά να είναι δυνατή μόνο από εξουσιοδοτημένα πρόσωπα με κατάλληλη εξουσιοδότηση ασφαλείας, αυστηρούς περιορισμούς όσον αφορά τη διαβίβαση των δεδομένων και την εφαρμογή υψηλού επιπέδου ασφάλειας στις διαδικασίες αποθήκευσης και χειρισμού.

(57)  Βλ. επίσης Guriev κατά Community Safety Development (United Kingdom) Ltd [2016] EWHC 643 (QB), σκέψη 45· Lin κατά Commissioner of the Police for the Metropolis [2015] EWHC 2484 (QB), σκέψη 80.

(58)  Βλ. κατευθυντήριες γραμμές του ICO σχετικά με την εξαίρεση της εθνικής ασφάλειας και άμυνας, οι οποίες είναι διαθέσιμες στον ακόλουθο σύνδεσμο https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/national-security-and-defence/

(59)  Σύμφωνα με παράδειγμα που παρείχαν οι αρχές του Ηνωμένου Βασιλείου, εάν ένας ύποπτος ως τρομοκράτης που βρίσκεται υπό ενεργή έρευνα της MI5 υποβάλει αίτημα πρόσβασης στο Υπουργείο Εσωτερικών (για παράδειγμα, επειδή εμπλέκεται σε διαφορά με το Υπουργείο Εσωτερικών για θέματα μετανάστευσης), θα ήταν αναγκαίο να προστατευθούν από αποκάλυψη στο υποκείμενο των δεδομένων τα δεδομένα που η MI5 τυχόν έχει κοινοποιήσει στο Υπουργείο Εσωτερικών σχετικά με υπό εξέλιξη έρευνες και τα οποία θα μπορούσαν να υπονομεύσουν ευαίσθητες πηγές, μεθόδους ή τεχνικές και/ή να οδηγήσουν σε αύξηση της απειλής που συνιστά το εν λόγω άτομο. Υπό τις συνθήκες αυτές, είναι πιθανό να πληρούται το όριο για την εφαρμογή της εξαίρεσης του άρθρου 26 και να απαιτείται εξαίρεση από την κοινοποίηση των πληροφοριών προκειμένου να διαφυλαχθεί η εθνική ασφάλεια. Ωστόσο, εάν το Υπουργείο Εσωτερικών έχει επίσης στην κατοχή του δεδομένα προσωπικού χαρακτήρα σχετικά με το άτομο τα οποία δεν σχετίζονται με την έρευνα της MI5 και τα εν λόγω στοιχεία μπορούν να παρασχεθούν χωρίς κίνδυνο για την εθνική ασφάλεια, δεν μπορεί να εφαρμοστεί η εξαίρεση για λόγους εθνικής ασφάλειας όταν εξετάζεται το ενδεχόμενο κοινοποίησης πληροφοριών στο άτομο. Το ICO καταρτίζει επί του παρόντος οδηγό σχετικά με τον τρόπο με τον οποίο οι υπεύθυνοι επεξεργασίας θα πρέπει να προσεγγίζουν τη χρήση της εξαίρεσης του άρθρου 26. Ο οδηγός προβλέπεται να δημοσιευθεί έως το τέλος Μαρτίου του 2021.

(60)  Το Ειδικό Δικαιοδοτικό Όργανο Υποθέσεων Πληροφοριών συστάθηκε για να εκδικάζει προσφυγές σε υποθέσεις προστασίας των δεδομένων δυνάμει του νόμου του 1984 για την προστασία των δεδομένων (Data Protection Act 1984). Το 2010 το Ειδικό Δικαιοδοτικό Όργανο Υποθέσεων Πληροφοριών εντάχθηκε στο Τμήμα Γενικών Κανονιστικών Ρυθμίσεων (General Regulatory Chamber) του Πρωτοδικείου Διοικητικών Διαφορών (First Tier Tribunal), στο πλαίσιο της μεταρρύθμισης της δομής του συστήματος ειδικών δικαιοδοτικών οργάνων του Ηνωμένου Βασιλείου.

(61)  Βλ. Baker κατά Secretary of State for the Home Department [2001] UKIT NSA2.

(62)  Βλ. άρθρο 85 του ΓΚΠΔ του Ηνωμένου Βασιλείου και παράρτημα 2 μέρος 5 παράγραφος 26 σημείο (9) του DPA 2018.

(63)  Σύμφωνα με το παράρτημα 2 μέρος 5 παράγραφος 26 σημείο (2) του DPA 2018, η εξαίρεση εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται για ειδικούς σκοπούς (δημοσιογραφικούς, ακαδημαϊκούς, καλλιτεχνικούς και λογοτεχνικούς σκοπούς), εάν η επεξεργασία πραγματοποιείται με σκοπό τη δημοσίευση από πρόσωπο δημοσιογραφικού, ακαδημαϊκού, καλλιτεχνικού ή λογοτεχνικού υλικού και ο υπεύθυνος επεξεργασίας έχει ευλόγως την πεποίθηση ότι η δημοσίευση του εν λόγω υλικού θα ήταν προς το δημόσιο συμφέρον. Κατά τον καθορισμό του κατά πόσον η δημοσίευση θα ήταν προς το δημόσιο συμφέρον, ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει υπόψη την ιδιαίτερη σημασία του δημόσιου συμφέροντος στην ελευθερία έκφρασης και πληροφόρησης. Επιπλέον, ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει υπόψη κώδικες ορθής πρακτικής ή κατευθυντήριες γραμμές που αφορούν την οικεία δημοσίευση (BBC Editorial Guidelines, Ofcom Broadcasting Code και Editors’ Code of Practice). Επιπλέον, για την εφαρμογή εξαίρεσης, ο υπεύθυνος επεξεργασίας πρέπει να έχει ευλόγως την πεποίθηση ότι η συμμόρφωση με τη σχετική διάταξη θα ήταν ασύμβατη με τους ειδικούς σκοπούς [παράγραφος 26 σημείο (3) του παραρτήματος 2 του DPA 2018].

(64)  Στην απόφαση NT1 κατά Google [2018] EWHC 799 (QB), σκέψη 102, εξετάστηκε αν ο υπεύθυνος επεξεργασίας δεδομένων είχε εύλογη πεποίθηση ότι η δημοσίευση ήταν προς το δημόσιο συμφέρον και ότι η συμμόρφωση με τις σχετικές διατάξεις ήταν ασύμβατη με τους ειδικούς σκοπούς. Το δικαστήριο δήλωσε ότι το άρθρο 32 παράγραφος 1 στοιχεία (b) και (c) του νόμου του 1998 για την προστασία των δεδομένων έχουν μια υποκειμενική και μια αντικειμενική συνιστώσα: ο υπεύθυνος επεξεργασίας δεδομένων πρέπει να αποδείξει ότι είχε την πεποίθηση ότι η δημοσίευση θα ήταν προς το δημόσιο συμφέρον και ότι η πεποίθηση αυτή ήταν αντικειμενικά εύλογη· πρέπει να αποδείξει υποκειμενική πεποίθηση ότι η συμμόρφωση με τη διάταξη από την οποία ζητεί εξαίρεση δεν συνάδει με τον οικείο ειδικό σκοπό.

(65)  Ένα παράδειγμα του τρόπου με τον οποίο εφαρμόζεται το κριτήριο της «εύλογης πεποίθησης» περιλαμβάνεται στην απόφαση του ICO να επιβάλει πρόστιμο στην εταιρεία True Visions Productions, η οποία ελήφθη βάσει του νόμου του 1998 για την προστασία των δεδομένων. Το ICO δέχθηκε ότι ο υπεύθυνος επεξεργασίας του μέσου είχε την υποκειμενική πεποίθηση ότι η συμμόρφωση με την πρώτη αρχή της προστασίας των δεδομένων (αντικειμενικότητα και νομιμότητα) ήταν ασύμβατη με δημοσιογραφικούς σκοπούς. Ωστόσο, το ICO δεν δέχθηκε ότι αυτή η πεποίθηση ήταν αντικειμενικά εύλογη. Η απόφαση του ICO είναι διαθέσιμη στον ακόλουθο σύνδεσμο: https://ico.org.uk/media/action-weve-taken/mpns/2614746/true-visions-productions-20190408.pdf.

(66)  Σύμφωνα με τις οδηγίες, οι οργανισμοί πρέπει να είναι σε θέση να εξηγήσουν τους λόγους για τους οποίους η συμμόρφωση με τη σχετική διάταξη του νόμου του 1998 για την προστασία των δεδομένων είναι ασύμβατη με τους σκοπούς της δημοσιογραφίας. Ειδικότερα, οι υπεύθυνοι επεξεργασίας πρέπει να σταθμίζουν τις αρνητικές επιπτώσεις που θα είχε η συμμόρφωση στη δημοσιογραφία με τις αρνητικές επιπτώσεις που θα είχε η μη συμμόρφωση στα δικαιώματα του υποκειμένου των δεδομένων. Εάν ένας δημοσιογράφος μπορεί εύλογα να επιτύχει τους συντακτικούς του στόχους με τρόπο σύμφωνο με τις συνήθεις διατάξεις του DPA, πρέπει να το πράξει. Οι οργανισμοί πρέπει να είναι σε θέση να δικαιολογήσουν τη χρήση του περιορισμού όσον αφορά κάθε διάταξη με την οποία δεν έχουν συμμορφωθεί. «Data protection and journalism: a guide for the media», διαθέσιμο στον ακόλουθο σύνδεσμο: https://ico.org.uk/media/for-organisations/documents/1552/data-protection-and-journalism-media-guidance.pdf.

(67)  Παραδείγματα δημόσιου συμφέροντος είναι η αποκάλυψη ή ανίχνευση εγκλημάτων, η προστασία της δημόσιας υγείας ή ασφάλειας, η αποκάλυψη παραπλανητικών ισχυρισμών από άτομα ή οργανισμούς ή η αποκάλυψη ανικανότητας που επηρεάζει το κοινό. Βλ. τις οδηγίες της OFCOM στον ακόλουθο σύνδεσμο: https://www.ofcom.org.uk/__data/assets/pdf_file/0017/132083/Broadcast-Code-Section-8.pdf και τις κατευθυντήριες γραμμές του BBC προς τους συντάκτες στον ακόλουθο σύνδεσμο: https://www.bbc.com/editorialguidelines/guidelines/privacy.

(68)  Βλ. άρθρο 89 του ΓΚΠΔ του Ηνωμένου Βασιλείου και παράρτημα 2 μέρος 6 παράγραφος 27 σημείο (2) και παράγραφος 28 σημείο (2) του DPA 2018.

(69)  Αυτό υπόκειται στην απαίτηση ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σύμφωνα με το άρθρο 89 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου, όπως συμπληρώνεται από το άρθρο 19 του DPA 2018.

(70)  Βλ. αιτιολογικές σκέψεις 281 έως 287.

(71)  Με εξαίρεση το άρθρο 48 του κανονισμού (ΕΕ) 2016/679, το οποίο το Ηνωμένο Βασίλειο επέλεξε να μη συμπεριλάβει στον ΓΚΠΔ του Ηνωμένου Βασιλείου. Στο πλαίσιο αυτό, θα πρέπει, καταρχάς, να υπομνησθεί ότι το πρότυπο που πρέπει να θεωρείται ότι παρέχει επαρκές επίπεδο προστασίας είναι ένα πρότυπο «ουσιαστικής ισοδυναμίας» και όχι πλήρους ταύτισης, όπως διευκρινίστηκε από το ΔΕΕ (Schrems I, σκέψεις 73-74) και αναγνωρίστηκε από το ΕΣΠΔ (σημεία αναφοράς για την επάρκεια, σελίδα 4). Ως εκ τούτου, όπως εξήγησε το ΕΣΠΔ στο έγγραφο για τα σημεία αναφοράς για την επάρκεια, «στόχος δεν είναι να αντικατοπτριστεί σημείο προς σημείο η ευρωπαϊκή νομοθεσία, αλλά να θεσπιστούν οι ουσιώδεις — βασικές απαιτήσεις της εν λόγω νομοθεσίας». Συναφώς, είναι σημαντικό να σημειωθεί ότι, ενώ η έννομη τάξη του Ηνωμένου Βασιλείου δεν περιέχει τυπικά όμοια διάταξη με το άρθρο 48, το ίδιο αποτέλεσμα διασφαλίζεται από άλλες νομικές διατάξεις και αρχές, δηλαδή από το ότι, σε απάντηση σε αίτημα για δεδομένα προσωπικού χαρακτήρα από δικαστήριο ή διοικητική αρχή τρίτης χώρας, δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβαστούν στην εν λόγω τρίτη χώρα μόνο εάν υπάρχει διεθνής συμφωνία —βάσει της οποίας η δικαστική απόφαση ή η διοικητική απόφαση της οικείας τρίτης χώρας αναγνωρίζεται ή εκτελείται στο Ηνωμένο Βασίλειο— ή εάν η διαβίβαση στηρίζεται σε έναν από τους μηχανισμούς διαβίβασης του κεφαλαίου V του ΓΚΠΔ του Ηνωμένου Βασιλείου. Ειδικότερα, για την εκτέλεση αλλοδαπής δικαστικής απόφασης, τα δικαστήρια του Ηνωμένου Βασιλείου πρέπει να είναι σε θέση να παραπέμψουν σε κανόνα του κοινού δικαίου ή σε νόμο που επιτρέπει την εκτελεστότητά της. Ωστόσο, ούτε το κοινό δίκαιο (βλ. Adams and Others κατά Cape Industries Plc., [1990] 2 W.L.R. 657) ούτε η νομοθεσία προβλέπουν την εκτέλεση αλλοδαπών δικαστικών αποφάσεων που απαιτούν τη διαβίβαση δεδομένων χωρίς να υπάρχει διεθνής συμφωνία. Κατά συνέπεια, ελλείψει τέτοιας διεθνούς συμφωνίας, τα αιτήματα παροχής δεδομένων δεν είναι εκτελεστά βάσει του δικαίου του Ηνωμένου Βασιλείου. Επιπλέον, κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες —συμπεριλαμβανομένων των περιπτώσεων αιτήματος αλλοδαπού δικαστηρίου ή διοικητικής αρχής— εξακολουθεί να υπόκειται στους περιορισμούς που προβλέπονται στο κεφάλαιο V του ΓΚΠΔ του Ηνωμένου Βασιλείου, οι οποίοι είναι ταυτόσημοι με τις αντίστοιχες διατάξεις του κανονισμού (ΕΕ) 2016/679, και, ως εκ τούτου, απαιτούν η διαβίβαση να βασίζεται σε μία από τις βάσεις διαβίβασης που προβλέπονται στο κεφάλαιο V σύμφωνα με τις ειδικές προϋποθέσεις στις οποίες υπόκειται βάσει του εν λόγω κεφαλαίου.

(72)  Οι αρχές του Ηνωμένου Βασιλείου έχουν εξηγήσει ότι η περιγραφή μιας χώρας ή ενός διεθνούς οργανισμού αναφέρεται σε μια κατάσταση στην οποία θα ήταν αναγκαίο να πραγματοποιηθεί ειδικός και μερικός προσδιορισμός της επάρκειας με εστιασμένους περιορισμούς (για παράδειγμα, κανονισμοί περί επάρκειας σε σχέση με συγκεκριμένα μόνο είδη διαβίβασης δεδομένων).

(73)  Βλ. το μνημόνιο συμφωνίας μεταξύ του υπουργού Ψηφιακής Πολιτικής, Πολιτισμού, Μέσων Μαζικής Ενημέρωσης και Αθλητισμού (Department for Digital, Culture, Media and Sport, DCMS) και του Γραφείου του Επιτρόπου Πληροφοριών σχετικά με τον ρόλο του ICO όσον αφορά τη νέα αξιολόγηση επάρκειας του Ηνωμένου Βασιλείου, το οποίο είναι διαθέσιμο στον σύνδεσμο https://www.gov.uk/government/publications/memorandum-of-understanding-mou-on-the-role-of-the-ico-in-relation-to-new-uk-adequacy-assessments.

(74)  Σε περίπτωση υπερψήφισης της εν λόγω πρότασης, οι κανονισμοί θα παύσουν τελικά να παράγουν οποιοδήποτε περαιτέρω έννομο αποτέλεσμα.

(75)  Ο ΓΚΠΔ του Ηνωμένου Βασιλείου διατηρεί τους κανόνες του άρθρου 47 του κανονισμού (ΕΕ) 2016/679, με τροποποιήσεις μόνο για την προσαρμογή των κανόνων στο εσωτερικό πλαίσιο, για παράδειγμα με την αντικατάσταση των αναφορών στην αρμόδια εποπτική αρχή με αναφορές στον Επίτροπο Πληροφοριών, την απαλοιφή της αναφοράς στον μηχανισμό συνεκτικότητας από την παράγραφο 1 και την απαλοιφή ολόκληρης της παραγράφου 3.

(76)  Σύμφωνα με το άρθρο 49 του ΓΚΠΔ του Ηνωμένου Βασιλείου, οι διαβιβάσεις είναι δυνατές εάν πληρούται μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση, αφού ενημερώθηκε για τους πιθανούς κινδύνους που εγκυμονούν τέτοιες διαβιβάσεις για το υποκείμενο των δεδομένων λόγω απουσίας απόφασης επάρκειας και κατάλληλων εγγυήσεων· β) η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων· γ) η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης η οποία συνήφθη προς όφελος του υποκειμένου των δεδομένων μεταξύ του υπευθύνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου· δ) η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος· ε) η διαβίβαση είναι απαραίτητη για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων· στ) η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, εφόσον το υποκείμενο των δεδομένων δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του· ζ) η διαβίβαση πραγματοποιείται από μητρώο το οποίο, σύμφωνα με το εσωτερικό δίκαιο, προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε στο ευρύ κοινό είτε σε οποιοδήποτε πρόσωπο μπορεί να επικαλεστεί έννομο συμφέρον, αλλά μόνο εφόσον πληρούνται στην εκάστοτε περίπτωση οι προϋποθέσεις που προβλέπονται στο εσωτερικό δίκαιο για την αναζήτηση πληροφοριών. Επιπλέον, όταν δεν πληρούται καμία από τις ανωτέρω προϋποθέσεις, η διαβίβαση μπορεί να πραγματοποιηθεί μόνον εάν δεν είναι επαναλαμβανόμενη, αφορά μόνο περιορισμένο αριθμό υποκειμένων των δεδομένων, είναι απαραίτητη για τους σκοπούς επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας των οποίων δεν υπερισχύουν τα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων και ο υπεύθυνος επεξεργασίας έχει εκτιμήσει όλες τις περιστάσεις που σχετίζονται με τη διαβίβαση των δεδομένων και έχει παράσχει, βάσει της εν λόγω εκτίμησης, τις δέουσες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα.

(77)  Η αιτιολογική σκέψη 111 του ΓΚΠΔ του Ηνωμένου Βασιλείου διευκρινίζει ότι διαβιβάσεις σε σχέση με σύμβαση ή νομική αξίωση μπορούν να πραγματοποιηθούν μόνον όταν είναι περιστασιακές.

(78)  ICO guidance on international transfers, διατίθεται στον ακόλουθο σύνδεσμο: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-transfers/#ib7.

(79)  Για μέγιστη περίοδο έξι μηνών που λήγει το αργότερο στις 30 Ιουνίου 2021, η δυνατότητα εφαρμογής αυτού του νέου πλαισίου πρέπει να εξεταστεί υπό το πρίσμα του άρθρου 782 της συμφωνίας εμπορίου και συνεργασίας μεταξύ της Ευρωπαϊκής Ένωσης και της Ευρωπαϊκής Κοινότητας Ατομικής Ενέργειας, αφενός, και του Ηνωμένου Βασιλείου της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας, αφετέρου (L 444/14 της 31.12.2020) (στο εξής: ΣΕΣ ΕΕ-Ηνωμένου Βασιλείου), που διατίθεται στον ακόλουθο σύνδεσμο: https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:22020A1231(01)&from=EL.

(80)  Όπου απαιτείται, οι αναφορές αυτές αντικαθίστανται με αναφορές στις αρχές του Ηνωμένου Βασιλείου. Για παράδειγμα, σύμφωνα με το άρθρο 17 του DPA 2018, ο Επίτροπος Πληροφοριών ή ο εθνικός οργανισμός διαπίστευσης του Ηνωμένου Βασιλείου μπορούν να διαπιστεύουν πρόσωπο που πληροί τις απαιτήσεις του άρθρου 43 του ΓΚΠΔ του Ηνωμένου Βασιλείου για την παρακολούθηση της συμμόρφωσης με πιστοποίηση.

(81)  Information Commissioner’s Annual Report and Financial Statements 2019-2020, διατίθεται στον ακόλουθο σύνδεσμο: https://ico.org.uk/media/about-the-ico/documents/2618021/annual-report-2019-20-v83-certified.pdf.

(82)  Μια συμφωνία διαχείρισης ρυθμίζει τη σχέση μεταξύ Επιτρόπου και υπουργείου. Ειδικότερα, οι βασικές αρμοδιότητες του Υπουργείου Ψηφιακής Πολιτικής, Πολιτισμού, Μέσων Μαζικής Ενημέρωσης και Αθλητισμού, ως χρηματοδοτούντος υπουργείου, περιλαμβάνουν τα εξής: τη διασφάλιση της παροχής επαρκούς χρηματοδότησης και επαρκών πόρων στον Επίτροπο Πληροφοριών· την εκπροσώπηση των συμφερόντων του Επιτρόπου Πληροφοριών στο Κοινοβούλιο και σε άλλες κυβερνητικές υπηρεσίες· τη διασφάλιση της ύπαρξης ενός ισχυρού εθνικού πλαισίου προστασίας των δεδομένων· και την παροχή καθοδήγησης και στήριξης στο Γραφείο του Επιτρόπου Πληροφοριών σχετικά με επιχειρησιακά ζητήματα, όπως ζητήματα ακινήτων, μισθώσεων και δημόσιων συμβάσεων [η συμφωνία διαχείρισης (Management Agreement) 2018-2021 είναι διαθέσιμη στον ακόλουθο σύνδεσμο: https://ico.org.uk/media/about-the-ico/documents/2259800/management-agreement-2018-2021.pdf]

(83)  Governance Code on Public Appointments, διατίθεται στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/578498/governance_code_on_public_appointments_16_12_2016.pdf.

(84)  Second Report of Session 2015-2016 of the Culture, Media and Sports Committee at the House of Commons, διατίθεται στον ακόλουθο σύνδεσμο: https://publications.parliament.uk/pa/cm201516/cmselect/cmcumeds/990/990.pdf.

(85)  Η «αναγγελία» (address) είναι αίτηση που κατατίθεται στο Κοινοβούλιο με την οποία ζητείται να ενημερωθεί ο μονάρχης σχετικά με τη γνώμη του Κοινοβουλίου για συγκεκριμένο ζήτημα.

(86)  Παράγραφος 3 σημείο (3) του παραρτήματος 12 του DPA 2018.

(87)  Άρθρο 137 του DPA 2018, βλ. αιτιολογική σκέψη 17.

(88)  Τα άρθρα 137 και 138 του DPA 2018 περιέχουν ορισμένες εγγυήσεις για τη διασφάλιση του καθορισμού των τελών σε κατάλληλο επίπεδο. Ειδικότερα, το άρθρο 137 παράγραφος 4 απαριθμεί τα θέματα που πρέπει να λαμβάνει υπόψη του ο υπουργός κατά τη θέσπιση κανονισμών που καθορίζουν το ποσό που πρέπει να καταβάλλουν οι διάφοροι οργανισμοί. Δεύτερον, το άρθρο 138 παράγραφος 1 και το άρθρο 182 του DPA 2018 περιλαμβάνουν επίσης νομική υποχρέωση του υπουργού να διαβουλεύεται με τον Επίτροπο Πληροφοριών και άλλους εκπροσώπους των προσώπων που ενδέχεται να θιγούν από τους κανονισμούς πριν από τη θέσπισή τους, προκειμένου να ληφθούν υπόψη οι απόψεις τους. Επιπλέον, σύμφωνα με το άρθρο 138 παράγραφος 2 του DPA 2018, ο Επίτροπος Πληροφοριών υποχρεούται να εξετάζει τη λειτουργία των κανονισμών περί τελών και μπορεί να υποβάλλει προτάσεις στον υπουργό για τροποποιήσεις των κανονισμών. Τέλος, εκτός από τις περιπτώσεις όπου οι κανονισμοί εκδίδονται απλώς για να ληφθεί υπόψη η αύξηση του δείκτη τιμών λιανικής (οπότε θα υπόκεινται στη διαδικασία αρνητικής απόφασης), οι κανονισμοί υπόκεινται στη διαδικασία θετικής απόφασης και μπορούν να θεσπιστούν μόνο μετά την έγκρισή τους με απόφαση κάθε σώματος του Κοινοβουλίου.

(89)  Στη συμφωνία διαχείρισης διευκρινίζεται ότι «Ο υπουργός μπορεί να πραγματοποιεί πληρωμές στον Επίτροπο Πληροφοριών από κονδύλια χορηγούμενα από το Κοινοβούλιο σύμφωνα με το παράρτημα 12 παράγραφος 9 του DPA 2018. Έπειτα από διαβούλευση με τον Επίτροπο Πληροφοριών, το Υπουργείο Ψηφιακής Πολιτικής, Πολιτισμού, Μέσων Μαζικής Ενημέρωσης και Αθλητισμού καταβάλλει στον Επίτροπο Πληροφοριών τα κατάλληλα ποσά (επιχορήγηση) για τις διοικητικές δαπάνες του ICO και την άσκηση των καθηκόντων του Επιτρόπου Πληροφοριών σε σχέση με ορισμένα ειδικά καθήκοντα, συμπεριλαμβανομένης της ελευθερίας της πληροφόρησης» (συμφωνία διαχείρισης 2018-2021, παράγραφος 1.12, βλ. υποσημείωση 82).

(90)  Βλ. άρθρο 134 του DPA 2018.

(91)  Άρθρο 142 του DPA 2018 (με την επιφύλαξη των περιορισμών του άρθρου 143 του DPA 2018).

(92)  Άρθρο 146 του DPA 2018 (με την επιφύλαξη των περιορισμών του άρθρου 147 του DPA 2018).

(93)  Άρθρα 149 έως 151 του DPA 2018 (με την επιφύλαξη των περιορισμών του άρθρου 152 του DPA 2018).

(94)  Άρθρο 155 του DPA 2018 και άρθρο 83 του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(95)  Αυτό προκύπτει από το άρθρο 155 παράγραφος 1 του DPA 2018 σε συνδυασμό με το άρθρο 149 παράγραφοι 2 και 5 του DPA 2018, και από το άρθρο 156 παράγραφος 4 του DPA 2018, το οποίο περιορίζει την έκδοση ειδοποιήσεων επιβολής κυρώσεων μόνο σε σχέση με τους επίτροπους της Περιουσίας του Στέμματος (Crown Estate Commissioners) και τους ελεγκτές της Βασιλικής Αυλής (Royal Household), σύμφωνα με το άρθρο 209 παράγραφος 4 του DPA 2018.

(96)  Regulatory Action Policy, διατίθεται στον ακόλουθο σύνδεσμο: https://ico.org.uk/media/about-the-ico/documents/2259467/regulatory-action-policy.pdf.

(97)  Συμπεριλαμβάνονται η φύση και η βαρύτητα της παράβασης (λαμβανομένων υπόψη της φύσης, της έκτασης ή του σκοπού της σχετικής επεξεργασίας, καθώς και του αριθμού των υποκειμένων των δεδομένων που έθιξε η παράβαση και του βαθμού της ζημίας που υπέστησαν), ο δόλος ή η αμέλεια που προκάλεσε την παράβαση, οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων, ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία (λαμβανομένων υπόψη των τεχνικών και οργανωτικών μέτρων που εφαρμόζει ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία), τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία· ο βαθμός συνεργασίας με τον Επίτροπο, οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση, κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή οι ζημίες που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

(98)  Σύμφωνα με τις πληροφορίες που παρείχαν οι αρχές του Ηνωμένου Βασιλείου, κατά τη διάρκεια της περιόδου που καλύπτεται από την ετήσια έκθεση του Επιτρόπου Πληροφοριών 2019-2020, δεν διαπιστώθηκε καμία παράβαση στο 25 % περίπου των υποθέσεων, στο 29 % περίπου των υποθέσεων ζητήθηκε από το υποκείμενο των δεδομένων να εκφράσει τις ανησυχίες του στον υπεύθυνο επεξεργασίας των δεδομένων για πρώτη φορά, να αναμείνει την απάντηση του υπευθύνου επεξεργασίας ή να συνεχίσει εν εξελίξει διάλογο με τον υπεύθυνο επεξεργασίας δεδομένων, στο 17 % περίπου των υποθέσεων δεν διαπιστώθηκε καμία παράβαση αλλά παρασχέθηκαν συμβουλές στον υπεύθυνο επεξεργασίας δεδομένων, στο 25 % περίπου των υποθέσεων ο Επίτροπος Πληροφοριών διαπίστωσε παράβαση και είτε παρείχε συμβουλές στον υπεύθυνο επεξεργασίας δεδομένων είτε ο υπεύθυνος επεξεργασίας υποχρεώθηκε να λάβει ορισμένα μέτρα, στο 3 % περίπου των υποθέσεων διαπιστώθηκε ότι η καταγγελία δεν ενέπιπτε στον κανονισμό (ΕΕ) 2016/679, ενώ το 1 % περίπου των υποθέσεων παραπέμφθηκε σε άλλη αρχή προστασίας δεδομένων στο πλαίσιο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

(99)  Το ICO μπορεί να κινήσει τέτοιες έρευνες βάσει πληροφοριών που έχει λάβει από διάφορες πηγές, συμπεριλαμβανομένων γνωστοποιήσεων παραβίασης δεδομένων προσωπικού χαρακτήρα, παραπομπών από άλλες δημόσιες αρχές του Ηνωμένου Βασιλείου ή από αλλοδαπές αρχές προστασίας δεδομένων και καταγγελιών από φυσικά πρόσωπα ή οργανώσεις της κοινωνίας των πολιτών.

(100)  Information Commissioner’s Annual Report and Financial Statements 2019-2020 (βλ. υποσημείωση 81).

(101)  Σύμφωνα με την προηγούμενη ετήσια έκθεση για την περίοδο 2018-2019, ο Επίτροπος Πληροφοριών εξέδωσε 22 ειδοποιήσεις επιβολής κυρώσεων βάσει του DPA 1998 κατά την περίοδο αναφοράς, με πρόστιμα συνολικού ύψους 3 010 610 GBP, συμπεριλαμβανομένων δύο προστίμων ύψους 500 000 GBP (το ανώτατο επιτρεπόμενο ποσό βάσει του DPA 1998). Το 2018 ο Επίτροπος Πληροφοριών διεξήγαγε έρευνα σχετικά με τη χρήση της ανάλυσης δεδομένων για πολιτικούς σκοπούς μετά τις αποκαλύψεις που αφορούσαν την Cambridge Analytica. Η έρευνα κατέληξε στην κατάρτιση έκθεσης πολιτικής, στη διατύπωση σειράς συστάσεων, στην επιβολή προστίμου ύψους 500 000 GBP στη Facebook και στην έκδοση ειδοποίησης επιβολής μέτρων σε βάρος της Aggregate IQ, μεσίτη δεδομένων με έδρα τον Καναδά, με την οποία διατάχθηκε η εταιρεία να διαγράψει τα δεδομένα προσωπικού χαρακτήρα που είχε στην κατοχή της σχετικά με πολίτες και κατοίκους του Ηνωμένου Βασιλείου (βλ. την ετήσια έκθεση και τη χρηματοοικονομική κατάσταση 2018-2019 του Επιτρόπου Πληροφοριών, που διατίθενται στον ακόλουθο σύνδεσμο: https://ico.org.uk/media/about-the-ico/documents/2615262/annual-report-201819.pdf).

(102)  Για συνοπτική παρουσίαση των μέτρων επιβολής που έχουν ληφθεί, βλ. τον δικτυακό τόπο του ICO, ο οποίος είναι διαθέσιμος στον ακόλουθο σύνδεσμο: https://ico.org.uk/action-weve-taken/enforcement/.

(103)  Άρθρο 170 του DPA 2018.

(104)  Άρθρο 171 του DPA 2018.

(105)  Άρθρο 119 του DPA 2018.

(106)  Άρθρα 144 και 148 του DPA 2018.

(107)  Άρθρο 117 του DPA 2018.

(108)  Η Ειδική Ομάδα είναι αρμόδια για την παροχή καθοδήγησης και κατάρτισης στο δικαστικό σώμα. Ασχολείται επίσης με καταγγελίες από υποκείμενα δεδομένων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικαστήρια, ειδικά δικαιοδοτικά όργανα και φυσικά πρόσωπα που ενεργούν υπό δικαστική ιδιότητα. Στόχος της Ειδικής Ομάδας είναι να παρέχει τα μέσα με τα οποία θα μπορούσε να επιλυθεί κάθε καταγγελία. Εάν ένας καταγγέλλων δεν είναι ικανοποιημένος με απόφαση της Ειδικής Ομάδας και προσκομίσει πρόσθετα αποδεικτικά στοιχεία, η Ειδική Ομάδα θα μπορούσε να επανεξετάσει την απόφασή της. Μολονότι η ίδια η Ειδική Ομάδα δεν επιβάλλει οικονομικές κυρώσεις, εάν κρίνει ότι υπάρχει επαρκώς σοβαρή παραβίαση του DPA 2018, μπορεί να την παραπέμψει στην Υπηρεσία Διερεύνησης Καταγγελιών κατά Δικαστικών Λειτουργών (Judicial Conduct Investigation Office, JCIO), η οποία θα διερευνήσει την καταγγελία. Εάν η καταγγελία γίνει δεκτή, εναπόκειται στον υπουργό Δικαιοσύνης (Lord Chancellor) και στον λόρδο αρχιδικαστή (ή σε ανώτερο δικαστή που έχει εξουσιοδοτηθεί να ενεργεί εξ ονόματός του) να αποφασίσουν ποια μέτρα πρέπει να ληφθούν κατά του κατόχου δικαστικού αξιώματος. Αυτά θα μπορούσαν να περιλαμβάνουν, κατά σειρά σοβαρότητας, τα εξής: επίσημη σύσταση, επίσημη προειδοποίηση, επίπληξη και, εν τέλει, παύση από τα καθήκοντα. Εάν ένα άτομο δεν είναι ικανοποιημένο με τον τρόπο με τον οποίο διερευνήθηκε η καταγγελία από την JCIO, μπορεί να υποβάλει περαιτέρω καταγγελία στον διαμεσολαβητή για τους διορισμούς δικαστών και τη δικαστική δεοντολογία (Judicial Appointments and Conduct Ombudsman) (βλ. https://www.gov.uk/government/organisations/judicial-appointments-and-conduct-ombudsman). Ο διαμεσολαβητής έχει την εξουσία να ζητήσει από την JCIO να διερευνήσει εκ νέου μια καταγγελία και μπορεί να προτείνει την καταβολή αποζημίωσης στον καταγγέλλοντα, όταν θεωρεί ότι έχει υποστεί ζημία ως αποτέλεσμα κακοδιοίκησης.

(109)  Η δήλωση περί προστασίας της ιδιωτικότητας του λόρδου αρχιδικαστή και του ανώτατου προέδρου των ειδικών δικαιοδοτικών οργάνων είναι διαθέσιμη στον ακόλουθο σύνδεσμο: https://www.judiciary.uk/about-the-judiciary/judiciary-and-data-protection-privacy-notice

(110)  Η δήλωση περί προστασίας της ιδιωτικότητας του λόρδου αρχιδικαστή της Βόρειας Ιρλανδίας είναι διαθέσιμη στον ακόλουθο σύνδεσμο: https://judiciaryni.uk/data-privacy.

(111)  Η δήλωση περί προστασίας της ιδιωτικότητας για τα δικαστήρια και τα ειδικά δικαιοδοτικά όργανα της Σκωτίας είναι διαθέσιμη στον ακόλουθο σύνδεσμο: https://www.judiciary.uk/about-the-judiciary/judiciary-and-data-protection-privacy-notice

(112)  Ο δικαστής εποπτείας δεδομένων παρέχει καθοδήγηση στο δικαστικό σώμα και διερευνά παραβάσεις και/ή καταγγελίες σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικαστήρια ή φυσικά πρόσωπα που ενεργούν υπό δικαστική ιδιότητα.

(113)  Όταν η καταγγελία ή η παράβαση θεωρείται σοβαρή, παραπέμπεται στον υπεύθυνο δικαστικών καταγγελιών (Judicial Complaints Officer) για περαιτέρω διερεύνηση σύμφωνα με τον κώδικα ορθής πρακτικής σχετικά με τις καταγγελίες του λόρδου αρχιδικαστή της Βόρειας Ιρλανδίας. Η έκβαση μιας τέτοιας καταγγελίας θα μπορούσε να περιλαμβάνει: καμία περαιτέρω ενέργεια, παροχή συμβουλών, κατάρτιση ή καθοδήγηση, άτυπη προειδοποίηση, επίσημη προειδοποίηση, τελική προειδοποίηση, περιορισμός άσκησης καθηκόντων ή παραπομπή σε νόμιμο δικαιοδοτικό όργανο. Ο κώδικας ορθής πρακτικής σχετικά με τις καταγγελίες του λόρδου αρχιδικαστή της Βόρειας Ιρλανδίας είναι διαθέσιμος στον ακόλουθο σύνδεσμο: https://judiciaryni.uk/sites/judiciary/files/media-files/14G.%20CODE%20OF%20PRACTICE%20Judicial%20~%2028%20Feb%2013%20%28Final%29%20updated%20with%20new%20comp..__1.pdf.

(114)  Κάθε καταγγελία που είναι βάσιμη διερευνάται από τον δικαστή εποπτείας δεδομένων και παραπέμπεται στον λόρδο πρόεδρο, ο οποίος έχει την εξουσία να εκδίδει συμβουλές, επίσημη προειδοποίηση ή επίπληξη, εφόσον το κρίνει αναγκαίο (αντίστοιχοι κανόνες υπάρχουν για τα μέλη των ειδικών δικαιοδοτικών οργάνων και είναι διαθέσιμοι στον ακόλουθο σύνδεσμο: https://www.judiciary.scot/docs/librariesprovider3/judiciarydocuments/complaints/complaintsaboutthejudiciaryscotlandrules2017_1d392ab6e14f6425aa0c7f48d062f5cc5.pdf?sfvrsn=5d3eb9a1_2).

(115)  Άρθρο 77 του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(116)  Το άρθρο 166 του DPA 2018 αναφέρεται συγκεκριμένα στις ακόλουθες περιπτώσεις: α) ο Επίτροπος δεν λαμβάνει τα κατάλληλα μέτρα για να απαντήσει στην καταγγελία, β) ο Επίτροπος δεν παρέχει στον καταγγέλλοντα πληροφορίες σχετικά με την πρόοδο της καταγγελίας ή την έκβαση της καταγγελίας πριν από την πάροδο προθεσμίας 3 μηνών που αρχίζει με την παραλαβή της καταγγελίας από τον Επίτροπο, ή γ) εάν η εξέταση της καταγγελίας από τον Επίτροπο δεν ολοκληρωθεί εντός της εν λόγω προθεσμίας, δεν παρέχει στον καταγγέλλοντα τις πληροφορίες αυτές εντός ακόλουθης προθεσμίας 3 μηνών.

(117)  Άρθρο 78 παράγραφος 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου και άρθρο 166 του DPA 2018.

(118)  Άρθρο 78 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου και άρθρο 162 του DPA 2018.

(119)  Άρθρο 7 παράγραφος 1 του νόμου του 1998 για τα ανθρώπινα δικαιώματα. Σύμφωνα με το άρθρο 7 παράγραφος 7, ένα πρόσωπο είναι θύμα παράνομης πράξης μόνο εάν θα ήταν θύμα κατά την έννοια του άρθρου 34 της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου, εάν είχε κινηθεί διαδικασία ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου για την εν λόγω πράξη.

(120)  Άρθρο 8 παράγραφος 1 του νόμου του 1998 για τα ανθρώπινα δικαιώματα.

(121)  Βλ. Schrems II, σκέψεις 174-175 και εκεί παρατιθέμενη νομολογία. Βλ. επίσης, όσον αφορά την πρόσβαση των δημόσιων αρχών των κρατών μελών, την υπόθεση C-623/17, Privacy International, ECLI:EU:C:2020:790, σκέψη 65· και τις συνεκδικασθείσες υποθέσεις C-511/18, C-512/18 και C-520/18, La Quadrature du Net κ.λπ., ECLI:EU:C:2020:791, σκέψη 175.

(122)  Βλ. Schrems II, σκέψεις 176 και 181 και την εκεί παρατιθέμενη νομολογία. Βλ. επίσης, όσον αφορά την πρόσβαση των δημόσιων αρχών των κρατών μελών, Privacy International, σκέψη 68· και La Quadrature du Net κ.λπ., σκέψη 132.

(123)  Βλ. Schrems ΙΙ, σκέψη 176. Βλ. επίσης, όσον αφορά την πρόσβαση των δημόσιων αρχών των κρατών μελών, Privacy International, σκέψη 68· και La Quadrature du Net κ.λπ., σκέψη 132.

(124)  Βλ. Schrems ΙΙ, σκέψη 179.

(125)  Βλ. Schrems ΙΙ, σκέψεις 181-182.

(126)  Βλ. Schrems I, σκέψη 95, και Schrems II, σκέψη 194. Στο πλαίσιο αυτό, το ΔΕΕ έχει τονίσει ειδικότερα ότι η συμμόρφωση με το άρθρο 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων, το οποίο εγγυάται το δικαίωμα πραγματικής προσφυγής ενώπιον ανεξάρτητου και αμερόληπτου δικαστηρίου, «συμβάλλει επίσης στην επίτευξη του απαιτούμενου επιπέδου προστασίας εντός της Ένωσης και του οποίου την τήρηση οφείλει να διαπιστώσει η Επιτροπή πριν εκδώσει απόφαση επάρκειας δυνάμει του άρθρου 45, παράγραφος 1, του ΓΚΠΔ» (Schrems II, σκέψη 186).

(127)  Άρθρο 6 του νόμου του 1998 για τα ανθρώπινα δικαιώματα.

(128)  ΕΔΔΑ, Klass και λοιποί κατά Γερμανίας, προσφυγή αριθ. 5029/71, σκέψεις 17-51.

(129)  ΕΔΔΑ, Kennedy κατά Ηνωμένου Βασιλείου, προσφυγή αριθ. 26839/05 (στο εξής: Kennedy), σκέψεις 167 και 190.

(130)  Για περισσότερες πληροφορίες σχετικά με την Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου και την ενσωμάτωσή της στο δίκαιο του Ηνωμένου Βασιλείου μέσω του νόμου του 1998 για τα ανθρώπινα δικαιώματα, καθώς και σχετικά με τη Σύμβαση 108, βλ. αιτιολογική σκέψη 9.

(131)  Ομοίως, σύμφωνα με το άρθρο 11 της Σύμβασης 108+, περιορισμοί σε ορισμένα ειδικά δικαιώματα και υποχρεώσεις της Σύμβασης για σκοπούς εθνικής ασφάλειας ή για την πρόληψη, διερεύνηση και δίωξη ποινικών παραβάσεων και την εκτέλεση ποινικών κυρώσεων επιτρέπονται μόνο εφόσον ο περιορισμός προβλέπεται από τον νόμο, σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία. Οι δραστηριότητες επεξεργασίας για σκοπούς εθνικής ασφάλειας και άμυνας πρέπει επίσης να υπόκεινται σε ανεξάρτητο και αποτελεσματικό έλεγχο και εποπτεία βάσει της εσωτερικής νομοθεσίας του αντίστοιχου συμβαλλόμενου μέρους της Σύμβασης.

(132)  Άρθρο 31 του DPA 2018.

(133)  Οι αρμόδιες αρχές που παρατίθενται στο παράρτημα 7 δεν περιλαμβάνουν μόνο αστυνομικές δυνάμεις, αλλά και όλες τις υπουργικές κρατικές υπηρεσίες, καθώς και άλλες αρχές του Ηνωμένου Βασιλείου με ερευνητικά καθήκοντα [π.χ. τον επίτροπο της Βασιλικής Υπηρεσίας Δημόσιων Εσόδων και Τελωνείων (Commissioner for Her Majesty’s Revenue and Customs),την Εθνική Υπηρεσία Δίωξης του Εγκλήματος (National Crime Agency), την Αρχή Εσόδων της Ουαλίας (Welsh Revenue Authority), την Αρχή Ανταγωνισμού και Αγορών (Competition and Markets Authority) ή το Κτηματολόγιο του Ηνωμένου Βασιλείου (Her Majesty’s Land Register)], εισαγγελικές υπηρεσίες, άλλες υπηρεσίες ποινικής δικαιοσύνης και άλλους κατόχους αξιωμάτων ή φορείς που ασκούν δραστηριότητες επιβολής του νόμου (μεταξύ αυτών, το παράρτημα 7 του DPA 2018 κατονομάζει τους διευθυντές εισαγγελικών αρχών, τον διευθυντή εισαγγελικών αρχών της Βόρειας Ιρλανδίας ή τον Επίτροπο Πληροφοριών).

(134)  Άρθρο 30 παράγραφος 2 του DPA 2018.

(135)  Άρθρο 35 του DPA 2018.

(136)  Άρθρο 36 του DPA 2018.

(137)  Άρθρο 37 του DPA 2018.

(138)  Άρθρο 38 του DPA 2018.

(139)  Άρθρο 39 του DPA 2018.

(140)  Άρθρο 40 του DPA 2018.

(141)  Άρθρο 44 του DPA 2018.

(142)  Άρθρο 45 του DPA 2018.

(143)  Άρθρα 46 και 47 του DPA 2018.

(144)  Άρθρα 49 και 50 του DPA 2018.

(145)  Άρθρα 56-65 του DPA 2018.

(146)  Άρθρο 66 του DPA 2018.

(147)  Άρθρα 67-68 του DPA 2018.

(148)  Άρθρα 69-71 του DPA 2018.

(149)  Άρθρα 67-68 του DPA 2018.

(150)  Μέρος 3 κεφάλαιο 5 του DPA 2018.

(151)  Σύμφωνα με το άρθρο 86 παράγραφος 6 του DPA 2018, για τον καθορισμό της αντικειμενικότητας και της διαφάνειας της επεξεργασίας, πρέπει να εξετάζεται η μέθοδος με την οποία λαμβάνονται τα δεδομένα. Υπό την έννοια αυτή, η απαίτηση περί αντικειμενικότητας και διαφάνειας πληρούται όταν τα δεδομένα λαμβάνονται από πρόσωπο το οποίο έχει νομίμως εξουσιοδοτηθεί ή υποχρεούται να τα παράσχει.

(152)  Σύμφωνα με το άρθρο 87 του DPA 2018, οι σκοποί της επεξεργασίας πρέπει να είναι καθορισμένοι, ρητοί και νόμιμοι. Τα δεδομένα δεν πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο ασύμβατο με τους σκοπούς για τους οποίους συλλέγονται. Σύμφωνα με το άρθρο 87 παράγραφος 3 του DPA 2018, η περαιτέρω συμβατή επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να επιτρέπεται μόνο εάν ο υπεύθυνος επεξεργασίας είναι εξουσιοδοτημένος από τον νόμο να επεξεργάζεται τα δεδομένα για τον σκοπό αυτό και η επεξεργασία είναι αναγκαία και ανάλογη προς τον εν λόγω σκοπό. Η επεξεργασία θα πρέπει να θεωρείται συμβατή, εάν συνίσταται σε επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, και υπόκειται σε κατάλληλες εγγυήσεις (άρθρο 87 παράγραφος 4 του DPA 2018).

(153)  Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα, συναφή και όχι υπερβολικά (άρθρο 88 του DPA 2018).

(154)  Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι ακριβή και να επικαιροποιούνται (άρθρο 89 του DPA 2018).

(155)  Τα δεδομένα προσωπικού χαρακτήρα δεν πρέπει να διατηρούνται για μεγαλύτερο χρονικό διάστημα απ’ ό,τι είναι αναγκαίο (άρθρο 90 του DPA 2018).

(156)  Η έκτη αρχή προστασίας των δεδομένων είναι ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που να περιλαμβάνει τη λήψη κατάλληλων μέτρων ασφαλείας όσον αφορά τους κινδύνους που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Οι κίνδυνοι περιλαμβάνουν (μεταξύ άλλων) την τυχαία ή μη εξουσιοδοτημένη πρόσβαση σε δεδομένα προσωπικού χαρακτήρα ή την καταστροφή, την απώλεια, τη χρήση, την τροποποίηση ή τη γνωστοποίησή τους (άρθρο 91 του DPA 2018). Το άρθρο 107 ορίζει επίσης ότι 1) κάθε υπεύθυνος επεξεργασίας πρέπει να εφαρμόζει κατάλληλα μέτρα ασφαλείας ανάλογα με τους κινδύνους που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα και 2) στην περίπτωση αυτοματοποιημένης επεξεργασίας, κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία εφαρμόζει μέτρα πρόληψης ή μετριασμού βάσει αξιολόγησης του κινδύνου.

(157)  Άρθρο 86 παράγραφος 2 στοιχείο (b) και παράρτημα 10 του DPA 2018.

(158)  Μέρος 4 κεφάλαιο 3 του DPA 2018, κυρίως τα δικαιώματα: πρόσβασης, διόρθωσης και διαγραφής, εναντίωσης στην επεξεργασία και μη υπαγωγής σε αυτοματοποιημένη λήψη αποφάσεων, παρέμβασης στην αυτοματοποιημένη λήψη αποφάσεων και ενημέρωσης σχετικά με τη λήψη αποφάσεων. Επιπλέον, ο υπεύθυνος επεξεργασίας πρέπει να παρέχει στο υποκείμενο των δεδομένων πληροφορίες σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Όπως εξηγείται στις κατευθυντήριες γραμμές του ICO σχετικά με την επεξεργασία από τις υπηρεσίες πληροφοριών, τα φυσικά πρόσωπα μπορούν να ασκήσουν όλα τα δικαιώματά τους (συμπεριλαμβανομένου του αιτήματος διόρθωσης) υποβάλλοντας καταγγελία στο ICO ή προσφεύγοντας στο δικαστήριο (βλ. κατευθυντήριες γραμμές του ICO για την επεξεργασία από τις υπηρεσίες πληροφοριών, διαθέσιμες στον σύνδεσμο https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-intelligence-services-processing/).

(159)  Άρθρο 103 του DPA 2018.

(160)  Άρθρο 109 του DPA 2018. Οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε διεθνείς οργανισμούς ή χώρες εκτός του Ηνωμένου Βασιλείου είναι δυνατές εάν η διαβίβαση αποτελεί αναγκαίο και αναλογικό μέτρο που διενεργείται για τους σκοπούς των εκ του νόμου καθηκόντων του υπευθύνου επεξεργασίας ή για άλλους σκοπούς που προβλέπονται σε συγκεκριμένα άρθρα του νόμου του 1989 για τις υπηρεσίες ασφάλειας (Security Service Act 1989) και του νόμου του 1994 για τις υπηρεσίες πληροφοριών (Intelligence Services Act 1994).

(161)  Κατευθυντήριες γραμμές του ICO, βλ. υποσημείωση 158.

Άρθρο 30 του DPA 2018 και παράρτημα 7 του DPA 2018.

(162)  Το άρθρο 110 παράγραφος 2 του DPA 2018 απαριθμεί τις διατάξεις από τις οποίες επιτρέπεται εξαίρεση. Περιλαμβάνει τις αρχές προστασίας των δεδομένων (εκτός από την αρχή της νομιμότητας), τα δικαιώματα του υποκειμένου των δεδομένων, την υποχρέωση ενημέρωσης του Επιτρόπου Πληροφοριών για τις παραβιάσεις δεδομένων, τις εξουσίες επιθεώρησης του Επιτρόπου Πληροφοριών σύμφωνα με τις διεθνείς υποχρεώσεις, ορισμένες από τις εξουσίες επιβολής του Επιτρόπου Πληροφοριών, τις διατάξεις που καθιστούν ορισμένες παραβιάσεις της προστασίας δεδομένων ποινικό αδίκημα, καθώς και τις διατάξεις που αφορούν ειδικούς σκοπούς επεξεργασίας, όπως δημοσιογραφικούς, ακαδημαϊκούς ή καλλιτεχνικούς σκοπούς.

(163)  Βλ. Baker κατά Secretary of State, βλ. υποσημείωση 61.

(164)  UK Explanatory Framework for Adequacy Discussions, section H: National Security Data Protection and Investigatory Powers Framework, σ. 15-16 (βλ. υποσημείωση 31). Βλ. επίσης Baker κατά Secretary of State (βλ. υποσημείωση 61), στην οποία το δικαστήριο ακύρωσε πιστοποιητικό εθνικής ασφάλειας το οποίο εξέδωσε ο υπουργός Εσωτερικών και επιβεβαίωσε την εφαρμογή της εξαίρεσης περί εθνικής ασφάλειας, κρίνοντας ότι δεν υπήρχε λόγος να προβλεφθεί εξαίρεση γενικού χαρακτήρα από την υποχρέωση απάντησης σε αιτήματα πρόσβασης και ότι η χορήγηση της εξαίρεσής αυτής σε όλες τις περιπτώσεις, χωρίς κατά περίπτωση ανάλυση, υπερέβαινε το αναγκαίο και αναλογικό για την προστασία της εθνικής ασφάλειας.

(165)  Βλ. μνημόνιο συμφωνίας μεταξύ του ICO και της Κοινότητας Πληροφοριών του Ηνωμένου Βασιλείου (UK Intelligence Community, UKIC) σύμφωνα με το οποίο: «Με την υποβολή καταγγελίας από υποκείμενο των δεδομένων, το Γραφείο του Επιτρόπου Πληροφοριών θα θέλει να βεβαιωθεί ότι το ζήτημα έχει αντιμετωπιστεί σωστά και, κατά περίπτωση, ότι η εφαρμογή οποιασδήποτε εξαίρεσης έχει χρησιμοποιηθεί κατάλληλα». Memorandum of Understandings between Information Commission’s Office and the UK Intelligence Community, παράγραφος 16, διαθέσιμο στον ακόλουθο σύνδεσμο: https://ico.org.uk/media/about-the-ico/mou/2617438/uk-intelligence-community-ico-mou.pdf.

(166)  Ο DPA 2018 κατάργησε τη δυνατότητα έκδοσης πιστοποιητικών βάσει του άρθρου 28 παράγραφος 2 του νόμου του 1998 για την προστασία των δεδομένων. Ωστόσο, η δυνατότητα έκδοσης «παλαιών πιστοποιητικών» εξακολουθεί να υφίσταται στον βαθμό που υπάρχει ιστορική προσφυγή βάσει του νόμου του 1998 (βλ. παράρτημα 20 μέρος 5 παράγραφος 17 του DPA 2018). Ωστόσο, η εφαρμογή της δυνατότητας αυτής φαίνεται πολύ σπάνια και θα εφαρμόζεται μόνο σε περιορισμένες περιπτώσεις, όπως, για παράδειγμα, όταν ένα υποκείμενο δεδομένων προσφεύγει κατά της χρήσης της εξαίρεσης της εθνικής ασφάλειας σε σχέση με επεξεργασία από δημόσια αρχή που έχει πραγματοποιήσει την επεξεργασία βάσει του νόμου του 1998. Πρέπει να σημειωθεί ότι στις περιπτώσεις αυτές το άρθρο 28 του DPA 1998 θα εφαρμόζεται στο σύνολό του, συμπεριλαμβανομένης, ως εκ τούτου, της δυνατότητας του υποκειμένου των δεδομένων να προσβάλει το πιστοποιητικό ενώπιον του δικαστηρίου.

(167)  UK Government Guidance on National Security Certificates under the Data Protection Act 2018, διατίθεται στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/910279/Data_Protection_Act_2018_-_National_Security_Certificates_Guidance.pdfΣύμφωνα με την εξήγηση που δόθηκε από τις αρχές του Ηνωμένου Βασιλείου, παρότι το πιστοποιητικό αποτελεί αδιαμφισβήτητη απόδειξη ότι, όσον αφορά τα δεδομένα ή την επεξεργασία που περιγράφονται σ' αυτό, η εξαίρεση εφαρμόζεται, δεν αναιρεί την απαίτηση να εξετάζει ο υπεύθυνος επεξεργασίας αν υπάρχει ανάγκη να βασίζεται στην εξαίρεση κατά περίπτωση.

(168)  Σύμφωνα με το άρθρο 130 του DPA 2018, το ICO μπορεί να αποφασίσει να μη δημοσιεύσει το κείμενο ή μέρος του κειμένου του πιστοποιητικού, εάν η δημοσίευση αντίκειται στο συμφέρον της εθνικής ασφάλειας ή αντίκειται στο δημόσιο συμφέρον ή ενδέχεται να θέσει σε κίνδυνο την ασφάλεια οποιουδήποτε προσώπου. Στις περιπτώσεις αυτές, ωστόσο, το ICO δημοσιεύει το γεγονός ότι το πιστοποιητικό έχει εκδοθεί.

(169)  UK Government Guidance on National Security Certificates, παράγραφος 15, βλ. υποσημείωση 167.

(170)  UK Government Guidance on National Security Certificates, παράγραφος 5, βλ. υποσημείωση 167.

(171)  Βλ. υποσημείωση 164.

(172)  Το άρθρο 102 του DPA 2018 απαιτεί ο υπεύθυνος επεξεργασίας να είναι σε θέση να αποδείξει ότι έχει συμμορφωθεί με τον DPA 2018. Αυτό σημαίνει ότι μια υπηρεσία πληροφοριών θα πρέπει να αποδείξει στο ICO ότι, όταν βασίζεται στην εξαίρεση, έχει λάβει υπόψη τις ειδικές περιστάσεις της υπόθεσης. Το ICO δημοσιεύει επίσης αρχείο των πιστοποιητικών εθνικής ασφάλειας, το οποίο διατίθεται στον ακόλουθο σύνδεσμο: διατίθεται στον ακόλουθο σύνδεσμο: https://ico.org.uk/about-the-ico/our-information/national-security-certificates/.

(173)  Το εφετείο διοικητικών διαφορών είναι το δικαστήριο που είναι αρμόδιο να εκδικάζει εφέσεις κατά αποφάσεων κατώτερων διοικητικών δικαστηρίων και έχει ειδική αρμοδιότητα για τις απευθείας προσφυγές κατά αποφάσεων ορισμένων κυβερνητικών οργάνων.

(174)  Άρθρο 111 παράγραφος 3 του DPA 2018.

(175)  Άρθρο 111 παράγραφος 5 του DPA 2018.

(176)  Στην υπόθεση Baker κατά Secretary of State (βλ. υποσημείωση 61), το Ειδικό Δικαιοδοτικό Όργανο Υποθέσεων Πληροφοριών (Information Tribunal) ακύρωσε πιστοποιητικό εθνικής ασφάλειας το οποίο εξέδωσε ο υπουργός Εσωτερικών, κρίνοντας ότι δεν υπήρχε λόγος να προβλεφθεί εξαίρεση γενικού χαρακτήρα από την υποχρέωση απάντησης σε αιτήματα πρόσβασης και ότι η χορήγηση της εξαίρεσής αυτής σε όλες τις περιπτώσεις, χωρίς κατά περίπτωση ανάλυση, υπερέβαινε το αναγκαίο και αναλογικό για την προστασία της εθνικής ασφάλειας.

(177)  UK Government Guidance on National Security Certificates, παράγραφος 25, βλ. υποσημείωση 167.

(178)  Μεταξύ αυτών περιλαμβάνονται: i) οι αρχές προστασίας των δεδομένων του μέρους 4, εκτός από την απαίτηση νομιμότητας της επεξεργασίας βάσει της πρώτης αρχής και το γεγονός ότι η επεξεργασία πρέπει να πληροί έναν από τους σχετικούς όρους που ορίζονται στα παραρτήματα 9 και 10· ii) τα δικαιώματα των υποκειμένων των δεδομένων· και iii) τα καθήκοντα που σχετίζονται με την καταγγελία παραβάσεων στο ICO.

(179)  Το μέρος 4 του DPA 2018 παρέχει το νομικό πλαίσιο που εφαρμόζεται για όλα τα είδη επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών (και όχι μόνο για την άσκηση των καθηκόντων τους στον τομέα της εθνικής ασφάλειας). Ως εκ τούτου, το μέρος 4 εφαρμόζεται επίσης όταν οι υπηρεσίες πληροφοριών επεξεργάζονται δεδομένα, για παράδειγμα, για σκοπούς διαχείρισης ανθρώπινων πόρων, στο πλαίσιο δικαστικών διαφορών ή στο πλαίσιο δημόσιων συμβάσεων. Οι περιορισμοί που απαριθμούνται στο παράρτημα 11 εφαρμόζονται κυρίως σε αυτά τα άλλα πλαίσια. Για παράδειγμα, στο πλαίσιο ένδικης διαφοράς με εργαζόμενο, μπορεί να γίνει επίκληση του περιορισμού για τους σκοπούς «δικαστικής διαδικασίας» ή στο πλαίσιο δημόσιας σύμβασης μπορεί να γίνει επίκληση του περιορισμού για σκοπούς «διαπραγμάτευσης» κ.λπ. Αυτό αντικατοπτρίζεται στις κατευθυντήριες γραμμές του ICO σχετικά με την επεξεργασία από τις υπηρεσίες πληροφοριών, στις οποίες αναφέρεται η διαπραγμάτευση συμβιβασμού μεταξύ υπηρεσίας πληροφοριών και πρώην εργαζομένου ο οποίος προβάλλει εργασιακή αξίωση ως παράδειγμα για την εφαρμογή των περιορισμών του παραρτήματος 11 (βλ. υποσημείωση 161). Θα πρέπει επίσης να σημειωθεί ότι οι ίδιοι περιορισμοί μπορούν να χρησιμοποιηθούν και από άλλες δημόσιες αρχές σύμφωνα με το παράρτημα 2 του μέρους 2 του DPA 2018.

(180)  Σύμφωνα με το επεξηγηματικό πλαίσιο του Ηνωμένου Βασιλείου, οι εξαιρέσεις «βάσει κατηγορίας» είναι οι εξής: i) οι πληροφορίες σχετικά με την απονομή τιμητικών τίτλων του Στέμματος· ii) το δικηγορικό απόρρητο· iii) οι εμπιστευτικές πληροφορίες σχετικά με την απασχόληση, την κατάρτιση ή την εκπαίδευση· και iv) τα γραπτά εξετάσεων και οι βαθμολογίες. Οι εξαιρέσεις «βάσει ζημίας» αφορούν τα ακόλουθα θέματα: i) πρόληψη ή ανίχνευση αξιόποινων πράξεων· σύλληψη και δίωξη παραβατών· ii) κοινοβουλευτικά προνόμια· iii) δικαστικές διαδικασίες· iv) αποτελεσματικότητα των ενόπλων δυνάμεων του Στέμματος στη μάχη· v) οικονομική ευημερία του Ηνωμένου Βασιλείου· vi) διαπραγματεύσεις με το υποκείμενο των δεδομένων· vii) επιστημονική ή ιστορική έρευνα ή στατιστικούς σκοπούς· viii) αρχειοθέτηση προς το δημόσιο συμφέρον. UK Explanatory Framework for Adequacy Discussions, section H: National Security, σ. 13, βλ. υποσημείωση 31.

(181)  Η χρήση της συγκατάθεσης δεν φαίνεται να είναι συναφής σε ένα σενάριο επάρκειας, καθώς σε περίπτωση διαβίβασης τα δεδομένα δεν θα έχουν συλλεχθεί απευθείας από υποκείμενο δεδομένων που βρίσκεται στην ΕΕ από αρχή επιβολής του νόμου του Ηνωμένου Βασιλείου βάσει συγκατάθεσης.

(182)  Για τη σχετική νομική βάση, βλ. τα άρθρα 8 και επόμενα του νόμου PACE 1984 (για την Αγγλία και την Ουαλία), τα άρθρα 10 και επόμενα του διατάγματος του 1989 για την αστυνομία και τα αποδεικτικά στοιχεία σε ποινικές διαδικασίες (Βόρεια Ιρλανδία) [Police and Criminal Evidence Order (Northern Ireland) 1989], ενώ για τη Σκωτία λαμβάνεται βάσει του κοινού δικαίου [βλ. άρθρο 46 του νόμου του 2016 για την ποινική δικαιοσύνη (Σκωτία)] [Criminal Justice (Scotland) Act 2016] και του άρθρου 23B του ποινικού νόμου (ενοποίηση) (Σκωτία) [Criminal Law (Consolidation) (Scotland)]. Για τα εντάλματα έρευνας που εκδίδονται μετά τη σύλληψη, η νομική βάση είναι το άρθρο 18 του νόμου PACE 1984 (για την Αγγλία και την Ουαλία), τα άρθρα 20 και επόμενα του διατάγματος του 1989 για την αστυνομία και τα αποδεικτικά στοιχεία σε ποινικές διαδικασίες (Βόρεια Ιρλανδία), ενώ για τη Σκωτία τα εντάλματα αυτά λαμβάνονται βάσει του κοινού δικαίου [βλ. άρθρο 46 του νόμου του 2016 για την ποινική δικαιοσύνη (Σκωτία)]. Οι αρχές του Ηνωμένου Βασιλείου διευκρίνισαν ότι τα εντάλματα έρευνας εκδίδονται από δικαστήριο, κατόπιν αίτησης του ανακριτικού υπαλλήλου. Επιτρέπουν στον ανακριτικό υπάλληλο να εισέλθει σε χώρους για να αναζητήσει υλικό ή άτομα σχετικά με την έρευνά του· η εκτέλεση του εντάλματος συχνά απαιτεί τη συνδρομή αστυνομικού.

(183)  Όταν η έρευνα αφορά νομιμοποίηση εσόδων από παράνομες δραστηριότητες (συμπεριλαμβανομένης της διαδικασίας δήμευσης και ανάκτησης βάσει του αστικού δικαίου), η σχετική νομική βάση για την υποβολή αίτησης για την έκδοση εντολής προσκόμισης αποδεικτικών στοιχείων είναι τα άρθρα 345 και επόμενα για την Αγγλία, την Ουαλία και τη Βόρεια Ιρλανδία και τα άρθρα 380 και επόμενα του νόμου του 2002 για τα προϊόντα εγκλήματος (Proceeds of Crime Act 2002) για τη Σκωτία. Όταν η έρευνα αφορά άλλα ζητήματα εκτός της νομιμοποίησης εσόδων από παράνομες δραστηριότητες, μπορεί να υποβληθεί αίτηση για την έκδοση εντολής προσκόμισης αποδεικτικών στοιχείων σύμφωνα με το άρθρο 9 και το παράρτημα 1 του νόμου PACE 1984 για την Αγγλία και την Ουαλία, και τα άρθρα 10 και επόμενα του διατάγματος του 1989 για την αστυνομία και τα αποδεικτικά στοιχεία σε ποινικές διαδικασίες (Βόρεια Ιρλανδία) για τη Βόρεια Ιρλανδία. Για τη Σκωτία, λαμβάνεται βάσει του κοινού δικαίου [βλ. άρθρο 46 του νόμου του 2016 για την ποινική δικαιοσύνη (Σκωτία)] και του άρθρου 23B του ποινικού νόμου (ενοποίηση) (Σκωτία). Οι αρχές του Ηνωμένου Βασιλείου διευκρίνισαν ότι η εντολή προσκόμισης αποδεικτικών στοιχείων απαιτεί από το πρόσωπο που προσδιορίζεται σ’ αυτήν να προσκομίσει ή να δώσει πρόσβαση στο υλικό που έχει υπό την κατοχή ή τον έλεγχό του (βλ. παράγραφο 4 του παραρτήματος 1 του νόμου PACE 1984).

(184)  Για παράδειγμα, στα άρθρα 8 και 18 του νόμου PACE 1984 περιέχονται εξουσίες δήμευσης και διατήρησης οποιουδήποτε στοιχείου για το οποίο έχει εγκριθεί έρευνα.

(185)  Για παράδειγμα, το άρθρο 8 και το άρθρο 18 του νόμου PACE ρυθμίζουν αντίστοιχα την εξουσία ειρηνοδίκη να επιτρέπει την έκδοση εντάλματος και την εξουσία αστυνομικού να ερευνά ιδιοκτησία. Στην πρώτη περίπτωση (άρθρο 8), πριν από την έκδοση εντάλματος, ο ειρηνοδίκης πρέπει πρώτα να βεβαιωθεί ότι υπάρχουν βάσιμοι λόγοι να πιστεύεται ότι: i) έχει διαπραχθεί αξιόποινη πράξη· ii) μέσα στους χώρους υπάρχει υλικό που ενδέχεται να έχει ουσιαστική αξία (είτε από μόνο του είτε από κοινού με άλλο υλικό) για τη διερεύνηση της αξιόποινης πράξης· iii) το υλικό είναι πιθανό να αποτελεί σημαντικό αποδεικτικό στοιχείο· iv) δεν αποτελείται ούτε περιλαμβάνει αντικείμενα που υπόκεινται σε νομικό προνόμιο, εξαιρούμενο υλικό ή υλικό ειδικής διαδικασίας· και v) δεν θα ήταν δυνατή η είσοδος χωρίς τη χρήση εντάλματος. Στη δεύτερη περίπτωση, το άρθρο 18 επιτρέπει σε αστυνομικό να ερευνήσει τους χώρους προσώπου που έχει συλληφθεί για αξιόποινη πράξη για υλικό εκτός από υλικό που υπόκειται σε νομικό προνόμιο, εάν έχει βάσιμες υποψίες ότι στους χώρους υπάρχουν αποδεικτικά στοιχεία που σχετίζονται με την εν λόγω αξιόποινη πράξη ή άλλη παρόμοια ή συναφή αξιόποινη πράξη. Η έρευνα πρέπει να περιορίζεται στην αποκάλυψη του υλικού αυτού και να έχει εγκριθεί εγγράφως από αστυνομικό τουλάχιστον βαθμού επιθεωρητή, εκτός εάν είναι αναγκαία για τη διερεύνηση της αξιόποινης πράξης. Στην περίπτωση αυτή, αξιωματικός τουλάχιστον βαθμού επιθεωρητή πρέπει να ενημερώνεται το συντομότερο δυνατόν μετά τη διεξαγωγή της έρευνας. Οι λόγοι της έρευνας και η φύση των ζητούμενων αποδεικτικών στοιχείων πρέπει να καταγράφονται. Επιπλέον, τα άρθρα 15 και 16 του νόμου PACE 1984 προβλέπουν νόμιμες εγγυήσεις που πρέπει να τηρούνται κατά την υποβολή αίτησης για ένταλμα έρευνας. Το άρθρο 15 καθορίζει τις απαιτήσεις που ισχύουν για την έκδοση εντάλματος έρευνας (συμπεριλαμβανομένου του περιεχομένου της αίτησης που υποβάλλεται από τον αστυνομικό και του γεγονότος ότι το ένταλμα πρέπει να διευκρινίζει, μεταξύ άλλων, την πράξη βάσει της οποίας εκδίδεται και να προσδιορίζει, στο μέτρο του δυνατού, τα αντικείμενα και τα πρόσωπα που πρόκειται να αναζητηθούν, καθώς και τους χώρους που πρόκειται να ερευνηθούν). Το άρθρο 16 ρυθμίζει τον τρόπο με τον οποίο πρέπει να εκτελείται το ένταλμα (για παράδειγμα: το άρθρο 16 παράγραφος 5 προβλέπει ότι ο αστυνομικός που εκτελεί το ένταλμα παρέχει στον ένοικο αντίγραφο του εντάλματος· το άρθρο 16 παράγραφος 11 προβλέπει ότι το ένταλμα, μετά την εκτέλεσή του, θα πρέπει να διατηρείται για περίοδο 12 μηνών· το άρθρο 16 παράγραφος 12 παρέχει στον ένοικο το δικαίωμα να ελέγξει το ένταλμα κατά τη διάρκεια της εν λόγω περιόδου, εφόσον το επιθυμεί). Τα άρθρα αυτά συμβάλλουν στη διασφάλιση της συμμόρφωσης με το άρθρο 8 της ΕΣΔΑ (βλ. για παράδειγμα Kent Pharmaceuticals κατά Director of the Serious Fraud Office [2002] EWHC 3023 (QB) at [30] του Lord Woolf CJ). Η μη συμμόρφωση με τις εν λόγω εγγυήσεις μπορεί να έχει ως αποτέλεσμα να κηρυχθεί παράνομη η έρευνα [π.χ. R (Brook) κατά Preston Crown Court [2018] EWHC 2024 (Admin), [2018] ACD 95· R (Superior Import / Export Ltd) κατά Revenue and Customs Commissioners [2017] EWHC 3172 (Admin), [2018] Lloyd’s Rep FC 115· και R (F) κατά Blackfriars Crown Court [2014] EWHC 1541 (Admin)]. Τα άρθρα 15 και 16 του νόμου PACE 1984 συμπληρώνονται από τον κώδικα Β του PACE, έναν κώδικα ορθής πρακτικής που διέπει την άσκηση των εξουσιών της αστυνομίας να ερευνά χώρους.

(186)  Για παράδειγμα, για την έκδοση εντολής προσκόμισης αποδεικτικών στοιχείων βάσει του νόμου του 2002 για τα προϊόντα εγκλήματος, εκτός από την ανάγκη ύπαρξης βάσιμων λόγων για την εκπλήρωση των όρων που ορίζονται στο άρθρο 346 παράγραφος 2 του νόμου για τα προϊόντα εγκλήματος, θα πρέπει να υπάρχουν βάσιμοι λόγοι να πιστεύεται ότι το πρόσωπο έχει υπό την κατοχή ή τον έλεγχό του υλικό που προσδιορίζεται ως προϊόν εγκλήματος και ότι το υλικό αυτό είναι πιθανό να έχει ουσιαστική αξία. Επιπλέον, μια άλλη απαίτηση για την έκδοση εντολής προσκόμισης αποδεικτικών στοιχείων είναι ότι πρέπει να υπάρχουν βάσιμοι λόγοι να πιστεύεται ότι η προσκόμιση του υλικού ή η παροχή πρόσβασης σ' αυτό είναι προς το δημόσιο συμφέρον, λαμβανομένων υπόψη: α) του οφέλους που είναι πιθανόν να προκύψει για την έρευνα εάν συλλεχθεί το υλικό· και β) των περιστάσεων υπό τις οποίες το πρόσωπο που κατά την αίτηση φαίνεται να έχει το υλικό υπό την κατοχή ή τον έλεγχό του κατέχει το υλικό. Ομοίως, το δικαστήριο που εξετάζει αίτηση για την έκδοση εντολής προσκόμισης αποδεικτικών στοιχείων βάσει του παραρτήματος 1 του νόμου PACE 1984 πρέπει να έχει πεισθεί ότι πληρούνται συγκεκριμένοι όροι. Ειδικότερα, το παράρτημα 1 του PACE προβλέπει δύο χωριστές εναλλακτικές δέσμες όρων, μία από τις οποίες πρέπει να πληρούται για να μπορεί ο δικαστής να εκδώσει εντολή προσκόμισης. Η πρώτη δέσμη απαιτεί ο δικαστής να έχει βάσιμους λόγους να πιστεύει ότι i) έχει διαπραχθεί αξιόποινη πράξη για την οποία μπορεί να απαγγελθεί κατηγορία· ii) το υλικό που αναζητείται στους χώρους αποτελείται από ή περιλαμβάνει υλικό που υπόκειται σε ειδική διαδικασία, αλλά όχι εξαιρούμενο υλικό· iii) είναι πιθανό να έχει ουσιαστική αξία για την έρευνα, είτε μόνο του είτε μαζί με άλλο υλικό· iv) και ότι είναι πιθανό να αποτελεί σημαντικό αποδεικτικό στοιχείο· v) έχουν επιχειρηθεί άλλες μέθοδοι απόκτησης του υλικού ή δεν έχουν επιχειρηθεί επειδή θα είχαν αποτύχει· και vi) λαμβανομένων υπόψη του οφέλους για την και των περιστάσεων υπό τις οποίες το άτομο έχει το υλικό υπό την κατοχή του, η προσκόμιση του υλικού ή η παροχή πρόσβασης σ' αυτό είναι προς το δημόσιο συμφέρον. Η δεύτερη δέσμη όρων απαιτεί τα εξής: i) στους χώρους υπάρχει υλικό το οποίο είναι υλικό που υπόκειται σε ειδική διαδικασία ή εξαιρούμενο υλικό· ii) εάν δεν υπήρχε απαγόρευση των ερευνών που πραγματοποιούνται βάσει νομοθεσίας που ψηφίστηκε πριν από τον PACE για εξαιρούμενο υλικό ή υλικό που υπόκειται σε ειδική διαδικασία ή σε νομικό προνόμιο, θα μπορούσε να είχε εκδοθεί ένταλμα έρευνας για το υλικό αυτό· και iii) θα ήταν σκόπιμη αυτή η ενέργεια.

(187)  Ο δικαστικός έλεγχος (judicial review) είναι η νομική διαδικασία με την οποία οι αποφάσεις δημόσιου φορέα μπορούν να προσβληθούν ενώπιον του Ανώτερου Δικαστηρίου. Τα δικαστήρια «ελέγχουν» την προσβαλλόμενη απόφαση και αποφασίζουν αν μπορεί να υποστηριχθεί ότι η απόφαση πάσχει από νομικό σφάλμα, λαμβάνοντας υπόψη έννοιες/αρχές δημοσίου δικαίου. Οι βασικοί λόγοι της προσφυγής δικαστικού ελέγχου είναι συγκεκριμένα η παράβαση νόμου, ο ανορθολογισμός, η διαδικαστική παρατυπία, η δικαιολογημένη εμπιστοσύνη και τα ανθρώπινα δικαιώματα. Αν γίνει δεκτή η προσφυγή δικαστικού ελέγχου, το δικαστήριο είναι σε θέση να διατάξει διάφορα μέσα έννομης προστασίας· το συνηθέστερο από αυτά είναι η διαταγή ακύρωσης (η οποία ακυρώνει την αρχική απόφαση — δηλαδή την απόφαση έκδοσης εντάλματος έρευνας), ενώ σε ορισμένες περιπτώσεις μπορεί επίσης να διαταχθεί η καταβολή αποζημίωσης. Πρόσθετες λεπτομέρειες σχετικά με τον δικαστικό έλεγχο στο Ηνωμένο Βασίλειο διατίθενται στην έκδοση της Νομικής Υπηρεσίας της Κυβέρνησης, με τίτλο «Judge Over Your Shoulder – a guide to good decision-making», η οποία διατίθεται στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/746170/JOYS-OCT-2018.pdf.

(188)  Άρθρο 36 παράγραφος 1 του DPA 2018.

(189)  Άρθρο 37 του DPA 2018.

(190)  Το άρθρο 263 παράγραφος 1 του IPA 2016 προβλέπει ότι ως «σοβαρό έγκλημα» νοείται αδίκημα για το οποίο ένας ενήλικας ο οποίος δεν έχει προηγούμενη καταδίκη θα μπορούσε ευλόγως να αναμένεται ότι θα καταδικαστεί σε φυλάκιση 3 ετών και άνω ή αδίκημα το οποίο περιλαμβάνει τη χρήση βίας, έχει ως αποτέλεσμα σημαντικό οικονομικό όφελος ή συνιστά συμπεριφορά από μεγάλο αριθμό προσώπων. Επιπλέον, για τους σκοπούς της απόκτησης δεδομένων επικοινωνιών βάσει του μέρους 4 του IPA 2016, το άρθρο 87 παράγραφος 10B προβλέπει ότι ως «σοβαρό έγκλημα» νοείται αδίκημα για το οποίο μπορεί να επιβληθεί ποινή φυλάκισης 12 μηνών και άνω ή αδίκημα που διαπράττεται από πρόσωπο που δεν είναι φυσικό πρόσωπο ή το οποίο περιλαμβάνει, ως αναπόσπαστο μέρος του, την αποστολή επικοινωνίας ή την παραβίαση της ιδιωτικότητας ενός προσώπου.

(191)  Ιδίως οι ακόλουθες αρχές επιβολής του νόμου μπορούν να υποβάλουν αίτηση για ένταλμα στοχευμένης παρακολούθησης: ο γενικός διευθυντής της Εθνικής Υπηρεσίας Δίωξης του Εγκλήματος (Director General of the National Crime Agency), ο διοικητής της Μητροπολιτικής Αστυνομίας του Λονδίνου (Commissioner of Police of the Metropolis), ο αρχηγός της Αστυνομικής Υπηρεσίας της Βόρειας Ιρλανδίας (Chief Constable of the Police Service of Northern Ireland), ο αρχηγός της Αστυνομίας της Σκωτίας (Chief Constable of the Police Service of Scotland), ο επίτροπος της Βασιλικής Υπηρεσίας Δημόσιων Εσόδων και Τελωνείων (Commissioner for Her Majesty’s Revenue and Customs), ο αρχηγός της Υπηρεσίας Πληροφοριών Άμυνας (Chief of Defence Intelligence) και πρόσωπο που είναι αρμόδια αρχή χώρας ή εδάφους εκτός του Ηνωμένου Βασιλείου για τους σκοπούς πράξης αμοιβαίας συνδρομής της ΕΕ ή διεθνούς συμφωνίας αμοιβαίας συνδρομής (άρθρο 18 παράγραφος 1 του IPA 2016).

(192)  Βλ. άρθρο 4 του IPA 2016.

(193)  Βλ. άρθρο 261 παράγραφος 5 του IPA 2016 και κώδικα ορθής πρακτικής για τη μαζική απόκτηση δεδομένων επικοινωνιών (Code of Practice on Bulk Acquisition of Communications Data), που διατίθεται στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/715477/Bulk_Communications_Data_Code_of_Practice.pdf, παράγραφος 2.9.

(194)  Κώδικας ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό, διαθέσιμος στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/715479/Equipment_Interference_Code_of_Practice.pdf, παράγραφος 2.2.

(195)  Το ένταλμα αμοιβαίας συνδρομής επιτρέπει σε αρχή του Ηνωμένου Βασιλείου να παράσχει συνδρομή σε αρχή εκτός του εδάφους του Ηνωμένου Βασιλείου για την παρακολούθηση και την κοινοποίηση του υλικού που έχει υποκλαπεί στην εν λόγω αρχή, σύμφωνα με διεθνή πράξη αμοιβαίας συνδρομής (άρθρο 15 παράγραφος 4 του IPA 2016).

(196)  Ο νόμος του 2016 για τις ερευνητικές εξουσίες (βλ.: https://www.legislation.gov.uk/ukpga/2016/25/contents/enacted) αντικατέστησε διάφορους νόμους σχετικά με την παρακολούθηση επικοινωνιών, τις παρεμβολές σε εξοπλισμό και την απόκτηση δεδομένων επικοινωνίας, ιδίως το μέρος I του RIPA 2000, που παρείχε το προηγούμενο γενικό νομοθετικό πλαίσιο για τη χρήση ερευνητικών εξουσιών από τις αρχές επιβολής του νόμου και τις αρχές εθνικής ασφάλειας.

(197)  Άρθρο 138 παράγραφος 1, άρθρο158 παράγραφος 1, άρθρο 178 παράγραφος 1, άρθρο 199 παράγραφος 1 του IPA 2016.

(198)  Το κεφάλαιο 2 του μέρους 2 του IPA 2016 προβλέπει περιορισμένο αριθμό περιπτώσεων στις οποίες μπορούν να πραγματοποιηθούν παρακολουθήσεις χωρίς ένταλμα. Οι περιπτώσεις αυτές περιλαμβάνουν: την παρακολούθηση με τη συγκατάθεση του αποστολέα ή του αποδέκτη, την παρακολούθηση για διοικητικούς σκοπούς ή σκοπούς επιβολής του νόμου, την παρακολούθηση που πραγματοποιείται σε ορισμένα ιδρύματα (φυλακές, ψυχιατρικά νοσοκομεία και κέντρα κράτησης μεταναστών), καθώς και την παρακολούθηση που πραγματοποιείται σύμφωνα με σχετική διεθνή συμφωνία.

(199)  Στις περισσότερες περιπτώσεις, ο υπουργός είναι η αρχή που εκδίδει τα εντάλματα βάσει του IPA 2016, ενώ οι υπουργοί της Σκωτίας είναι εξουσιοδοτημένοι να εκδίδουν εντάλματα στοχευμένης παρακολούθησης, ένταλμα αμοιβαίας συνδρομής και εντάλματα στοχευμένης παρεμβολής σε εξοπλισμό όταν τα πρόσωπα ή οι χώροι προς παρακολούθηση και ο εξοπλισμός στον οποίο πρόκειται να πραγματοποιηθεί παρεμβολή βρίσκονται στη Σκωτία (βλ. άρθρα 22 και 103 του IPA 2016). Στην περίπτωση της στοχευμένης παρεμβολής σε εξοπλισμό, το ένταλμα μπορεί να εκδοθεί από επικεφαλής αρχής επιβολής του νόμου (που περιγράφεται στα μέρη 1 και 2 του παραρτήματος 6 του IPA 2016) υπό τους όρους του άρθρου 106 του IPA 2016.

(200)  Οι δικαστικοί επίτροποι επικουρούν τον Επίτροπο Ερευνητικών Εξουσιών (IPC), ένα ανεξάρτητο όργανο που ασκεί εποπτικά καθήκοντα όσον αφορά τη χρήση των ερευνητικών εξουσιών από τις υπηρεσίες πληροφοριών (για περισσότερες λεπτομέρειες, βλ. αιτιολογικές σκέψεις 162 και επόμενες).

(201)  Βλ., ειδικότερα, τα άρθρα 19 και 23 του IPA 2016.

(202)  Άρθρο 36 παράγραφος 3 του DPA 2018.

(203)  Άρθρο 56 του νόμου του 2017 για την ψηφιακή οικονομία (Digital Economy Act 2017), διαθέσιμο στον ακόλουθο σύνδεσμο: https://www.legislation.gov.uk/ukpga/2017/30/section/56.

(204)  Άρθρο 48 του νόμου του 2017 για την ψηφιακή οικονομία (Digital Economy Act 2017).

(205)  Άρθρο 7 του νόμου του 2013 για τη δίωξη του εγκλήματος και τα δικαστήρια (Crime and Courts Act 2013), διαθέσιμο στον ακόλουθο σύνδεσμο: https://www.legislation.gov.uk/ukpga/2013/22/section/7.

(206)  Άρθρο 68 του νόμου του 2007 για τη δίωξη σοβαρών εγκλημάτων (Serious Crime Act 2007), διαθέσιμο στον ακόλουθο σύνδεσμο: https://www.legislation.gov.uk/ukpga/2007/27/contents.

(207)  Εγκεκριμένη επαγγελματική πρακτική σχετικά με την κοινοποίηση πληροφοριών (Authorised Professional Practice on Information Sharing), διαθέσιμη στον ακόλουθο σύνδεσμο: https://www.app.college.police.uk/app-content/information-management/sharing-police-information.

(208)  Βλ. για παράδειγμα την υπόθεση M, R κατά Chief Constable of Sussex Police [2019] EWHC 975 (Admin), στην οποία το Ανώτερο Δικαστήριο κλήθηκε να εξετάσει την ανταλλαγή δεδομένων μεταξύ της αστυνομίας και μιας σύμπραξης για τη μείωση του εταιρικού εγκλήματος (Business Crime Reduction Partnership, BCRP), οργανισμού o οποίος είναι εξουσιοδοτημένος για τη διαχείριση συστημάτων ειδοποίησης αποκλεισμού, με τα οποία επιβάλλεται σε πρόσωπα η απαγόρευση εισόδου στις εμπορικές εγκαταστάσεις των μελών του. Το δικαστήριο εξέτασε την ανταλλαγή των δεδομένων, η οποία βασιζόταν σε συμφωνία που αποσκοπούσε στην προστασία του κοινού και την πρόληψη του εγκλήματος, και κατέληξε στον συμπέρασμα ότι οι περισσότερες πτυχές της ανταλλαγής δεδομένων ήταν σύννομες, με εξαίρεση την περίπτωση ορισμένων ευαίσθητων πληροφοριών που ανταλλάσσονταν μεταξύ της αστυνομίας και της BCRP. Άλλο παράδειγμα είναι η υπόθεση Cooper κατά NCA [2019] EWCA Civ 16, στην οποία το Εφετείο (Court of Appeal) έκρινε νόμιμη την ανταλλαγή δεδομένων μεταξύ της αστυνομίας και της Υπηρεσίας Δίωξης Σοβαρού Οργανωμένου Εγκλήματος (Serious Organised Crime Agency, SOCA), υπηρεσίας επιβολής του νόμου που αποτελεί επί του παρόντος τμήμα της NCA.

(209)  Άρθρο 36 παράγραφος 4 του DPA 2018.

(210)  Counter Terrorism Act 2008, διατίθεται στον ακόλουθο σύνδεσμο: https://www.legislation.gov.uk/ukpga/2008/28/section/19.

(211)  Intelligence Services Act 1994, διατίθεται στον ακόλουθο σύνδεσμο: https://www.legislation.gov.uk/ukpga/1994/13/contents.

(212)  Security Service Act 1989, διατίθεται στον ακόλουθο σύνδεσμο: https://www.legislation.gov.uk/ukpga/1989/5/contents.

(213)  Το άρθρο 2 παράγραφος 2 του νόμου του 1994 για τις υπηρεσίες πληροφοριών ορίζει ότι ο «διοικητής της Υπηρεσίας Πληροφοριών είναι υπεύθυνος για την αποτελεσματικότητα της Υπηρεσίας και έχει καθήκον να διασφαλίζει — α) ότι υπάρχουν ρυθμίσεις που διασφαλίζουν ότι η Υπηρεσία Πληροφοριών δεν λαμβάνει πληροφορίες παρά μόνο στον βαθμό που είναι αναγκαίος για την ορθή εκτέλεση των καθηκόντων της και ότι δεν κοινοποιεί πληροφορίες παρά μόνο στον βαθμό που είναι αναγκαίος — i) για τον σκοπό αυτό· ii) για λόγους εθνικής ασφάλειας· iii) για τους σκοπούς της πρόληψης ή της ανίχνευσης σοβαρού εγκλήματος· ή iv) για τους σκοπούς οποιασδήποτε ποινικής διαδικασίας· και β) ότι η Υπηρεσία Πληροφοριών δεν προβαίνει σε καμία ενέργεια για την προώθηση των συμφερόντων οποιουδήποτε πολιτικού κόμματος του Ηνωμένου Βασιλείου», ενώ το άρθρο 2 παράγραφος 2 του νόμου του 1989 για την Υπηρεσία Ασφάλειας ορίζει ότι «ο γενικός διευθυντής είναι υπεύθυνος για την αποτελεσματικότητα της Υπηρεσίας και έχει καθήκον να διασφαλίζει — α) ότι υπάρχουν ρυθμίσεις που διασφαλίζουν ότι η Υπηρεσία δεν λαμβάνει πληροφορίες παρά μόνο στον βαθμό που είναι αναγκαίος για την ορθή εκτέλεση των καθηκόντων της και ότι δεν κοινοποιεί πληροφορίες παρά μόνο στον βαθμό που είναι αναγκαίος για τον σκοπό αυτό ή για τους σκοπούς της πρόληψης ή ανίχνευσης σοβαρού εγκλήματος ή για τους σκοπούς οποιασδήποτε ποινικής διαδικασίας· και β) ότι η Υπηρεσία δεν προβαίνει σε καμία ενέργεια για την προώθηση των συμφερόντων οποιουδήποτε πολιτικού κόμματος· και γ) ότι υπάρχουν ρυθμίσεις, οι οποίες συμφωνούνται με τον γενικό διευθυντή της Εθνικής Υπηρεσίας Δίωξης του Εγκλήματος, για τον συντονισμό των δραστηριοτήτων της Υπηρεσίας σύμφωνα με το άρθρο 1 παράγραφος 4 του παρόντος νόμου με τις δραστηριότητες των αστυνομικών δυνάμεων, της Εθνικής Υπηρεσίας Δίωξης του Εγκλήματος και άλλων υπηρεσιών επιβολής του νόμου».

(214)  Βλ. μέρος 3 κεφάλαιο 5 του DPA 2018.

(215)  Άρθρο 76 του DPA 2018.

(216)  Άρθρα 54 και 130 του IPA 2016. Οι αρχές έκδοσης του εντάλματος πρέπει να εξετάζουν την ανάγκη πρόβλεψης ειδικών εγγυήσεων όσον αφορά το υλικό που διαβιβάζεται σε αλλοδαπές αρχές, ώστε να διασφαλίζεται ότι τα δεδομένα υπόκεινται σε εγγυήσεις όσον αφορά τη διατήρηση, την καταστροφή και την κοινοποίησή τους παρόμοιες με εκείνες που προβλέπονται στο άρθρο 53 και στο άρθρο 129 του IPA 2016.

(217)  Agreement between the Government of the United Kingdom of Great Britain and Northern Ireland and the Government of the United States of America on Access to Electronic Data for the Purpose of Countering Serious Crime, διαθέσιμη στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/836969/CS_USA_6.2019_Agreement_between_the_United_Kingdom_and_the_USA_on_Access_to_Electronic_Data_for_the_Purpose_of_Countering_Serious_Crime.pdf.

(218)  Πρόκειται για την πρώτη συμφωνία που επιτεύχθηκε στο πλαίσιο του νόμου των ΗΠΑ για την αποσαφήνιση της νόμιμης χρήσης δεδομένων στο εξωτερικό [Clarifying Lawful Overseas Use of Data (CLOUD) Act]). Ο νόμος CLOUD των Ηνωμένων Πολιτειών της Αμερικής είναι ομοσπονδιακός νόμος των ΗΠΑ που θεσπίστηκε στις 23 Μαρτίου 2018 και διευκρινίζει, μέσω τροποποίησης του νόμου του 1986 για τις αποθηκευμένες επικοινωνίες (Stored Communications Act), ότι οι πάροχοι υπηρεσιών των ΗΠΑ υποχρεούνται να συμμορφώνονται με εντολές που εκδίδονται στις ΗΠΑ για την κοινοποίηση δεδομένων περιεχομένου και δεδομένων που δεν αφορούν περιεχόμενο, ανεξάρτητα από το πού είναι αποθηκευμένα τα δεδομένα αυτά. Ο νόμος CLOUD επιτρέπει επίσης τη σύναψη εκτελεστικών συμφωνιών με αλλοδαπές κυβερνήσεις βάσει των οποίων οι πάροχοι υπηρεσιών των ΗΠΑ θα μπορούν να παρέχουν δεδομένα περιεχομένου απευθείας στις οικείες αλλοδαπές κυβερνήσεις (το κείμενο του νόμου CLOUD είναι διαθέσιμο στον ακόλουθο σύνδεσμο: https://www.congress.gov/115/bills/s2383/BILLS-115s2383is.pdf).

(219)  Άρθρο 1 παράγραφος 14 της συμφωνίας.

(220)  Άρθρο 5 παράγραφος 2 της συμφωνίας.

(221)  Άρθρο 5 παράγραφος 1 της συμφωνίας.

(222)  Άρθρο 4 παράγραφος 5 της συμφωνίας. Όσον αφορά την παρακολούθηση επικοινωνιών σε πραγματικό χρόνο, εφαρμόζεται ένα πρόσθετο και αυστηρότερο κριτήριο: οι εντολές πρέπει να είναι περιορισμένης διάρκειας, η οποία δεν υπερβαίνει την ευλόγως αναγκαία για την επίτευξη των σκοπών της εντολής, και μπορούν να εκδίδονται μόνο εάν οι ίδιες πληροφορίες δεν θα μπορούσαν εύλογα να αποκτηθούν με λιγότερο παρεμβατική μέθοδο (άρθρο 5 παράγραφος 3 της συμφωνίας).

(223)  Συμφωνία μεταξύ των Ηνωμένων Πολιτειών της Αμερικής και της Ευρωπαϊκής Ένωσης σχετικά με την προστασία των πληροφοριών προσωπικού χαρακτήρα για την πρόληψη, τη διερεύνηση, την ανίχνευση και τη δίωξη ποινικών αδικημάτων (ΕΕ L 336 της 10.12.2016, σ. 3), διαθέσιμη στον ακόλουθο σύνδεσμο: https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:22016A1210(01)&from=EN.

(224)  Άρθρο 9 παράγραφος 1 της συμφωνίας.

(225)  Άρθρο 9 παράγραφος 1 της συμφωνίας.

(226)  Άρθρο 116 του DPA 2018.

(227)  Βλ. IPA 2016 και ειδικότερα το μέρος 8 κεφάλαιο 1.

(228)  Παράρτημα 13 παράγραφος 2 του DPA 2018.

(229)  Με την οποία δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία (και, σε ορισμένες περιπτώσεις, σε οποιοδήποτε άλλο πρόσωπο) να παράσχουν απαραίτητες πληροφορίες (άρθρο 142 του DPA 2018).

(230)  Με την οποία επιτρέπει τη διεξαγωγή ερευνών και ελέγχων, στο πλαίσιο των οποίων μπορεί να υποχρεώνεται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία να επιτρέψει στον Επίτροπο να εισέλθει σε συγκεκριμένες εγκαταστάσεις, να επιθεωρήσει ή να εξετάσει έγγραφα ή εξοπλισμό και να υποβάλει ερωτήσεις σε άτομα που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας (άρθρο 146 του DPA 2018).

(231)  Η οποία επιτρέπει την άσκηση διορθωτικών εξουσιών, στο πλαίσιο των οποίων οι υπεύθυνοι επεξεργασίας/εκτελούντες την επεξεργασία υποχρεώνονται να λάβουν συγκεκριμένα μέτρα ή να απόσχουν από συγκεκριμένες ενέργειες (άρθρο 149 του DPA 2018).

(232)  Άρθρο 154 του DPA 2018.

(233)  Άρθρο 155 του DPA 2018.

(234)  Regulatory Action Policy, βλ. υποσημείωση 96.

(235)  Information Commissioner’s Annual Report and Financial Statements 2018-19, βλ. υποσημείωση 101.

(236)  Information Commissioner’s Annual Report and Financial Statements 2019-20, βλ. υποσημείωση 82.

(237)  Βάση δεδομένων στην οποία καταγράφονται πληροφορίες σχετικά με φερόμενα μέλη συμμοριών και θύματα εγκλημάτων που σχετίζονται με συμμορίες.

(238)  Βλ. δήλωση του Γραφείου του Επιτρόπου Πληροφοριών, διαθέσιμη στον ακόλουθο σύνδεσμο: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/07/oaic-and-ico-open-joint-investigation-into-clearview-ai-inc/.

(239)  Άρθρο 170 του DPA 2018.

(240)  Άρθρο 171 του DPA 2018.

(241)  Άρθρο 119 παράγραφος 6 του DPA 2018.

(242)  Κατά τη διάρκεια του οικονομικού έτους που κάλυπτε την περίοδο από την 1η Απριλίου 2019 έως τις 31 Μαρτίου 2020, οι έρευνες του Γραφείου του Επιτρόπου Πληροφοριών οδήγησαν στην έκδοση τεσσάρων προειδοποιήσεων και την κίνηση οκτώ διώξεων. Η δίωξη στις υποθέσεις αυτές ασκήθηκε βάσει του άρθρου 55 του νόμου του 1998 για την προστασία των δεδομένων, του άρθρου 77 του νόμου του 2000 για την ελευθερία της πληροφόρησης και του άρθρου 170 του νόμου του 2018 για την προστασία των δεδομένων. Στο 75 % των περιπτώσεων, οι κατηγορούμενοι αποδέχθηκαν το κατηγορητήριο, με αποτέλεσμα να μη χρειαστούν δίκες παρατεταμένης διάρκειας και να αποφευχθούν τα σχετικά έξοδα. (Information Commissioner’s Annual Report and Financial Statements 2019/2020, βλ. υποσημείωση 87, σελίδα 40).

(243)  Ο θεσμός του Επιτρόπου Βιομετρικών Στοιχείων συστάθηκε με τον νόμο του 2012 για την προστασία των ελευθεριών (Protection of Freedoms Act 2012, PoFA) (βλ.: https://www.legislation.gov.uk/ukpga/2012/9/contents). Μεταξύ άλλων καθηκόντων, ο Επίτροπος Βιομετρικών Στοιχείων αποφασίζει αν η αστυνομία μπορεί να διατηρεί αρχεία προφίλ DNA και δακτυλικά αποτυπώματα που λαμβάνονται από πρόσωπα που έχουν συλληφθεί αλλά δεν τους έχουν απαγγελθεί κατηγορίες για αδίκημα που πληροί τις προϋποθέσεις (άρθρο 63G του PACE 1984). Επιπλέον, ο Επίτροπος Βιομετρικών Στοιχείων έχει γενική ευθύνη να ελέγχει τη διατήρηση και τη χρήση DNA και δακτυλικών αποτυπωμάτων, καθώς και τη διατήρηση για λόγους εθνικής ασφάλειας (άρθρο 20 παράγραφος 2 του PoFA 2012). Ο Επίτροπος Βιομετρικών Στοιχείων διορίζεται βάσει του κώδικα για τους δημόσιους διορισμούς (ο κώδικας είναι διαθέσιμος στον ακόλουθο σύνδεσμο: https://www.gov.uk/government/publications/governance-code-for-public-appointments ) και οι όροι του διορισμού του καθιστούν σαφές ότι μπορεί να παυθεί από τα καθήκοντά του από τον υπουργό Εσωτερικών μόνο σε αυστηρά καθορισμένες περιπτώσεις· σ’ αυτές περιλαμβάνονται η μη εκτέλεση των καθηκόντων του για διάστημα τριών μηνών, η καταδίκη του για ποινικό αδίκημα ή η μη συμμόρφωσή του με τους όρους του διορισμού του.

(244)  Ο θεσμός του Επιτρόπου για τις Κάμερες Παρακολούθησης συστάθηκε με τον νόμο του 2012 για την προστασία των ελευθεριών, ο δε Επίτροπος για τις Κάμερες Παρακολούθησης είναι αρμόδιος για την προώθηση της συμμόρφωσης με τον κώδικα ορθής πρακτικής για τη χρήση καμερών παρακολούθησης· για τον έλεγχο της λειτουργίας του εν λόγω κώδικα· και για την παροχή συμβουλών στους υπουργούς σχετικά με το αν ο εν λόγω κώδικας πρέπει να τροποποιηθεί. Ο Επίτροπος για τις Κάμερες Παρακολούθησης διορίζεται βάσει των ίδιων κανόνων που ισχύουν για τους Επιτρόπους Βιομετρικών Στοιχείων και διαθέτει παρόμοιες εξουσίες, πόρους και προστασία έναντι της παύσης.

(245)  Βλ. https://committees.parliament.uk/committee/83/home-affairs-committee/news/100537/work-of-the-national-crime-agency-scrutinised/.

(246)  Οι ειδικές επιτροπές, συμπεριλαμβανομένης της Ειδικής Επιτροπής Εσωτερικών Υποθέσεων, υπόκεινται στους πάγιους κανονισμούς της Βουλής των Κοινοτήτων. Οι πάγιοι κανονισμοί είναι οι κανόνες που έχουν συμφωνηθεί από τη Βουλή των Κοινοτήτων και διέπουν τον τρόπο λειτουργίας του Κοινοβουλίου. Το πεδίο των αρμοδιοτήτων των ειδικών επιτροπών είναι ευρύ, καθώς ο πάγιος κανονισμός 152 παράγραφος 1 προβλέπει ότι «ειδικές επιτροπές συστήνονται για να εξετάζουν τις δαπάνες, τη διοίκηση και την πολιτική των κύριων υπουργείων της κυβέρνησης που ορίζονται στην παράγραφο 2 του παρόντος κανονισμού, καθώς και των συναφών δημόσιων οργάνων.» Αυτό επιτρέπει στην Ειδική Επιτροπή Εσωτερικών Υποθέσεων να εξετάζει οποιαδήποτε πολιτική του Υπουργείου Εσωτερικών, συμπεριλαμβανομένων των πολιτικών (και της σχετικής νομοθεσίας) για τις ερευνητικές εξουσίες. Επιπλέον, ο πάγιος κανονισμός 152 παράγραφος 4 καθιστά σαφές ότι οι επιτροπές διαθέτουν διάφορες εξουσίες, στις οποίες περιλαμβάνεται η δυνατότητα να ζητούν από πρόσωπα να καταθέσουν ή να υποβάλουν έγγραφα σχετικά με συγκεκριμένο ζήτημα, καθώς και η εκπόνηση εκθέσεων. Οι τρέχουσες και προηγούμενες έρευνες της επιτροπής είναι διαθέσιμες στον ακόλουθο σύνδεσμο: https://committees.parliament.uk/committee/83/home-affairs-committee/.

(247)  Οι εξουσίες της Ειδικής Επιτροπής Εσωτερικών Υποθέσεων στην Αγγλία και την Ουαλία καθορίζονται στους πάγιους κανονισμούς της Βουλής των Κοινοτήτων, οι οποίοι είναι διαθέσιμοι στον ακόλουθο σύνδεσμο: https://www.parliament.uk/business/publications/commons/standing-orders-public11/.

(248)  Διατίθεται στην ακόλουθη διεύθυνση: https://publications.parliament.uk/pa/cm201415/cmselect/cmhaff/711/71103.htm

(249)  Διατίθεται στην ακόλουθη διεύθυνση: https://committees.parliament.uk/committee/83/home-affairs-committee.

(250)  Οι κανόνες που διέπουν τη λειτουργία της Υποεπιτροπής Δικαιοσύνης για την Αστυνόμευση στη Σκωτία διατίθενται στον ακόλουθο σύνδεσμο https://www.parliament.scot/parliamentarybusiness/CurrentCommittees/justice-committee.aspx,ενώ οι κανόνες που διέπουν τη λειτουργία της Επιτροπής Δικαιοσύνης στη Βόρεια Ιρλανδία διατίθενται στον ακόλουθο σύνδεσμο: http://www.niassembly.gov.uk/assembly-business/standing-orders/.

(251)  Η τελευταία ετήσια έκθεση του ICO παρουσιάζει αναλυτικά τη φύση των καταγγελιών που ελήφθησαν και περατώθηκαν. Ειδικότερα, ο αριθμός των καταγγελιών που ελήφθησαν σχετικά με «την αστυνόμευση και το ποινικό μητρώο» ανέρχεται στο 6 % του συνολικού αριθμού καταγγελιών που ελήφθησαν (με αύξηση κατά 1 % σε σχέση με το προηγούμενο οικονομικό έτος). Από την ετήσια έκθεση προκύπτει επίσης ότι οι καταγγελίες που αφορούν αιτήματα πρόσβασης των υποκειμένων των δεδομένων αντιπροσωπεύουν τον υψηλότερο αριθμό (46 % του συνολικού αριθμού καταγγελιών, με αύξηση κατά 8 % σε σχέση με το προηγούμενο έτος) (ετήσια έκθεση του ICO 2019-2020, σ. 55· βλ. υποσημείωση 88).

(252)  Το άρθρο 166 του DPA 2018 αναφέρεται συγκεκριμένα στις ακόλουθες περιπτώσεις: α) ο Επίτροπος δεν λαμβάνει τα κατάλληλα μέτρα για να απαντήσει στην καταγγελία, β) ο Επίτροπος δεν παρέχει στον καταγγέλλοντα πληροφορίες σχετικά με την πρόοδο της καταγγελίας ή την έκβαση της καταγγελίας πριν από την πάροδο προθεσμίας 3 μηνών που αρχίζει με την παραλαβή της καταγγελίας από τον Επίτροπο, ή γ) εάν η εξέταση της καταγγελίας από τον Επίτροπο δεν ολοκληρωθεί εντός της εν λόγω προθεσμίας, δεν παρέχει στον καταγγέλλοντα τις πληροφορίες αυτές εντός ακόλουθης προθεσμίας 3 μηνών.

(253)  Το πρωτοδικείο διοικητικών διαφορών (First Tier Tribunal) είναι αρμόδιο για την εξέταση των προσφυγών κατά των αποφάσεων που λαμβάνονται από κρατικούς ρυθμιστικούς φορείς. Στην περίπτωση απόφασης του Επιτρόπου Πληροφοριών, αρμόδιο είναι το Τμήμα Γενικής Αρμοδιότητας (General Regulatory Chamber), το οποίο έχει δικαιοδοσία σε ολόκληρο το Ηνωμένο Βασίλειο.

(254)  Άρθρο 166 του DPA 2018. Ως παραδείγματα ευδοκίμησης προσφυγής κατά του ICO ενώπιον του πρωτοδικείου διοικητικών διαφορών μπορούν να αναφερθούν μια υπόθεση στην οποία το ICO επιβεβαίωσε την παραλαβή καταγγελίας από υποκείμενο δεδομένων, αλλά δεν ανέφερε τις ενέργειες στις οποίες σκόπευε να προβεί και, ως εκ τούτου, διατάχθηκε να επιβεβαιώσει, εντός 21 ημερολογιακών ημερών, αν επρόκειτο να διερευνήσει τις καταγγελίες και, εάν ναι, να ενημερώνει τον καταγγέλλοντα σχετικά με την πρόοδο της έρευνας τουλάχιστον κάθε 21 ημερολογιακές ημέρες στη συνέχεια (η απόφαση δεν έχει ακόμη δημοσιευθεί), και μια υπόθεση στην οποία το πρωτοδικείο διοικητικών διαφορών έκρινε ότι δεν ήταν σαφές αν η απάντηση του ICO σε καταγγέλλοντα συνιστούσε την «έκβαση» της καταγγελίας (βλ. Susan Milne κατά The Information Commissioner [2020], η απόφαση είναι διαθέσιμη στον ακόλουθο σύνδεσμο: https://informationrights.decisions.tribunals.gov.uk/DBFiles/Decision/i2730/Milne,%20S%20-%20QJ2020-0296-GDPR-V,%20051220%20Section%20166%20DPA%20-DECISION.pdf)

(255)  Άρθρα 162 και 163 του DPA 2018.

(256)  Βλ., για παράδειγμα, τις υποθέσεις Brown κατά Commissioner of Police of the Metropolis & Anor [2019] EWCA Civ 1724, όπου επιδικάστηκε αποζημίωση ύψους 9 000 GBP βάσει του DPA 1998 και του νόμου του 1998 για τα ανθρώπινα δικαιώματα λόγω παράνομης απόκτησης και κατάχρησης πληροφοριών προσωπικού χαρακτήρα, και R (on the application of Bridges) κατά Chief Constable of South Wales [2020] EWCA Civ 1058, όπου το Εφετείο κήρυξε παράνομη την ανάπτυξη συστήματος αναγνώρισης προσώπου από την αστυνομία της Ουαλίας, διότι παραβίαζε το άρθρο 8 της ΕΣΔΑ και η εκτίμηση του αντικτύπου σχετικά με την προστασία των δεδομένων που προσκόμισε ο υπεύθυνος επεξεργασίας δεν πληρούσε τις απαιτήσεις του DPA 2018.

(257)  Το άρθρο 34 της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου ορίζει ότι «[τ]ο Δικαστήριο μπορεί να επιληφθεί της εξέτασης προσφυγής που υποβάλλεται από κάθε φυσικό πρόσωπο, μη κυβερνητικό οργανισμό ή ομάδα ατόμων, που ισχυρίζεται ότι είναι θύμα παραβίασης, από ένα από τα Υψηλά Συμβαλλόμενα Μέρη, των δικαιωμάτων που αναγνωρίζονται στη Σύμβαση ή στα Πρωτόκολλά της. Τα Υψηλά Συμβαλλόμενα Μέρη αναλαμβάνουν την υποχρέωση να μην παρεμποδίζουν με κανένα μέτρο την αποτελεσματική άσκηση του δικαιώματος αυτού».

(258)  H ΜΙ5 υπάγεται στον υπουργό Εσωτερικών. Ο νόμος του 1989 για την Υπηρεσία Ασφάλειας καθορίζει τα καθήκοντα της MI5: προστασία της εθνικής ασφάλειας (συμπεριλαμβανομένης της προστασίας από απειλές από κατασκοπεία, τρομοκρατία και δολιοφθορά, από δραστηριότητες πρακτόρων ξένων δυνάμεων και από ενέργειες που αποσκοπούν στην ανατροπή ή υπονόμευση της κοινοβουλευτικής δημοκρατίας με πολιτικά, βιομηχανικά ή βίαια μέσα), προστασία της οικονομικής ευημερίας του Ηνωμένου Βασιλείου από εξωτερικές απειλές και στήριξη των δραστηριοτήτων των αστυνομικών δυνάμεων και των άλλων υπηρεσιών επιβολής του νόμου για την πρόληψη και την ανίχνευση σοβαρών εγκλημάτων.

(259)  Η SIS υπάγεται στον υπουργό Εξωτερικών και τα καθήκοντά της καθορίζονται στον νόμο του 1994 για τις υπηρεσίες πληροφοριών. Αποστολή της είναι η συλλογή και η παροχή πληροφοριών σχετικά με τις ενέργειες ή τις προθέσεις προσώπων εκτός των Βρετανικών Νήσων, καθώς και η εκτέλεση άλλων καθηκόντων σχετικών με τις ενέργειες ή τις προθέσεις των προσώπων αυτών. Τα καθήκοντα αυτά μπορούν να ασκούνται μόνο για σκοπούς που ανάγονται στην εθνική ασφάλεια, σκοπούς που ανάγονται στην εξασφάλιση της οικονομικής ευημερίας του Ηνωμένου Βασιλείου ή προς στήριξη των δραστηριοτήτων πρόληψης ή ανίχνευσης σοβαρών εγκλημάτων.

(260)  Η GCHQ υπάγεται στον υπουργό Εξωτερικών και τα καθήκοντά της καθορίζονται στον νόμο του 1994 για τις υπηρεσίες πληροφοριών. Αυτά είναι α) η παρακολούθηση, η χρήση ή η παρεμβολή σε ηλεκτρομαγνητικές και άλλες εκπομπές και στον εξοπλισμό μετάδοσης τέτοιων εκπομπών, η απόκτηση και η παροχή πληροφοριών που προέρχονται από ή σχετίζονται με τέτοιες εκπομπές ή εξοπλισμό και πληροφοριών που προέρχονται από κρυπτογραφημένο υλικό· β) η παροχή συμβουλών και συνδρομής σχετικά με τις γλώσσες, συμπεριλαμβανομένης της ορολογίας που χρησιμοποιείται για τεχνικά θέματα και κρυπτογράφηση, και άλλα ζητήματα που σχετίζονται με την προστασία των πληροφοριών προς τις ένοπλες δυνάμεις, την κυβέρνηση ή άλλους οργανισμούς ή πρόσωπα που κρίνονται κατάλληλα. Τα καθήκοντα αυτά μπορούν να ασκούνται μόνο για σκοπούς που ανάγονται στην εθνική ασφάλεια, σκοπούς που ανάγονται στην εξασφάλιση της οικονομικής ευημερίας του Ηνωμένου Βασιλείου σε σχέση με τις ενέργειες ή τις προθέσεις ατόμων που βρίσκονται εκτός των Βρετανικών Νήσων ή προς στήριξη των δραστηριοτήτων πρόληψης ή ανίχνευσης σοβαρών εγκλημάτων.

(261)  Άλλοι δημόσιοι φορείς που ασκούν καθήκοντα σχετικά με την εθνική ασφάλεια είναι η Υπηρεσία Πληροφοριών Άμυνας (Defence Intelligence, DI), το Εθνικό Συμβούλιο και η Γραμματεία Εθνικής Ασφάλειας (National Security Council and Secretariat), ο Κοινός Οργανισμός Πληροφοριών (Joint Intelligence Organisation) και η Κοινή Επιτροπή Πληροφοριών (Joint Intelligence Committee). Ωστόσο, ούτε η Κοινή Επιτροπή Πληροφοριών ούτε ο Κοινός Οργανισμός Πληροφοριών έχουν τη δυνατότητα να κάνουν χρήση ερευνητικών εξουσιών βάσει του IPA 2016, ενώ το πεδίο άσκησης των αρμοδιοτήτων της Υπηρεσίας Πληροφοριών Άμυνας είναι περιορισμένο.

(262)  Η απαγόρευση ισχύει τόσο για τα δημόσια όσο και για ιδιωτικά δίκτυα επικοινωνιών, καθώς και για τη δημόσια ταχυδρομική υπηρεσία όταν η παρακολούθηση πραγματοποιείται στο Ηνωμένο Βασίλειο. Η απαγόρευση δεν ισχύει για τον υπεύθυνο επεξεργασίας του ιδιωτικού δικτύου εάν έχει δώσει ρητή ή σιωπηρή συγκατάθεση για τη διενέργεια της παρακολούθησης (άρθρο 3 του IPA 2016).

(263)  Σε συγκεκριμένες, περιορισμένες περιπτώσεις, είναι δυνατή η διενέργεια νόμιμης παρακολούθησης χωρίς ένταλμα, δηλαδή όταν η παρακολούθηση πραγματοποιείται με τη συγκατάθεση του αποστολέα ή του αποδέκτη (άρθρο 44 του IPA 2016), στην περίπτωση ορισμένων διοικητικών σκοπών ή σκοπών επιβολής (άρθρα 45 έως 48 του IPA), σε ορισμένους ειδικούς οργανισμούς (άρθρα 49 έως 51 του IPA 2016) και σύμφωνα με αιτήσεις που λαμβάνονται από το εξωτερικό (άρθρο 52 του IPA 2016).

(264)  Όσον αφορά, για παράδειγμα, το πεδίο εφαρμογής των μέτρων αυτών, στο μέρος 3 και στο μέρος 4 (διατήρηση και απόκτηση δεδομένων επικοινωνίας), το πεδίο εφαρμογής του μέτρου συνδέεται στενά με τον ορισμό των «φορέων εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών» των οποίων χρηστών δεδομένα υπόκεινται στο μέτρο. Ένα άλλο παράδειγμα μπορεί να δοθεί σε σχέση με τη χρήση «μαζικών» εξουσιών. Στην περίπτωση αυτή, το πεδίο εφαρμογής των εν λόγω εξουσιών περιορίζεται στις «επικοινωνίες που αποστέλλονται ή λαμβάνονται από άτομα που βρίσκονται εκτός των Βρετανικών Νήσων».

(265)  Το παράρτημα 7 του IPA 2016 καθορίζει το πεδίο εφαρμογής των κωδίκων ορθής πρακτικής, τη διαδικασία που πρέπει να ακολουθείται κατά την έκδοσή τους, τους κανόνες για την αναθεώρησή τους και τα έννομα αποτελέσματά τους.

(266)  Οι κώδικες ορθής πρακτικής που έχουν εκδοθεί για τον IPA 2016 διατίθενται στον ακόλουθο σύνδεσμο: https://www.gov.uk/government/publications/investigatory-powers-act-2016-codes-of-practice.

(267)  Τα δικαστήρια και τα ειδικά δικαιοδοτικά όργανα χρησιμοποιούν τους κώδικες ορθής πρακτικής για να εκτιμήσουν τη νομιμότητα της συμπεριφοράς των αρχών. Βλ., για παράδειγμα, την απόφαση Dias κατά Cleveland Police, [2017] UKIPTrib15_586-CH, όπου το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών ανέτρεξε σε συγκεκριμένα χωρία του κώδικα ορθής πρακτικής για τα δεδομένα επικοινωνιών προκειμένου να κατανοήσει πώς ορίζεται ο λόγος «της πρόληψης ή ανίχνευσης εγκλημάτων ή της αποτροπής της διατάραξης της δημόσιας τάξης», του οποίου γινόταν επίκληση στην αίτηση για την απόκτηση δεδομένων επικοινωνίας. Στο σκεπτικό της απόφασης έγινε αναφορά στον κώδικα, προκειμένου να διαπιστωθεί αν η χρήση του λόγου αυτού ήταν εσφαλμένη. Το δικαστήριο κατέληξε στο συμπέρασμα ότι οι προσβαλλόμενες πράξεις ήταν παράνομες. Τα δικαστήρια έχουν επίσης αξιολογήσει το επίπεδο των εγγυήσεων που προβλέπονται στους κώδικες — βλ., για παράδειγμα, την απόφαση Just for Law Kids κατά Secretary of State for the Home Department [2019] EWHC 1772 (Admin), όπου το Ανώτερο Δικαστήριο έκρινε ότι η πρωτογενής και η παράγωγη νομοθεσία, σε συνδυασμό με τις εσωτερικές κατευθυντήριες γραμμές, παρέχουν επαρκείς εγγυήσεις· ή την απόφαση R (National Council for Civil Liberties) κατά Secretary of State for the Home Department & Others [2019] EWHC 2057 (Admin), όπου το δικαστήριο αποφάνθηκε ότι τόσο ο IPA 2016 όσο και ο κώδικας ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό περιέχουν επαρκείς διατάξεις όσον αφορά την ανάγκη εξατομίκευσης των ενταλμάτων.

(268)  Στην υπόθεση Big Brother Watch, το Τμήμα Μείζονος Συνθέσεως του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου επισήμανε ότι «Ο κώδικας για την παρακολούθηση επικοινωνιών είναι δημόσιο έγγραφο, που υπόκειται στην έγκριση αμφότερων των σωμάτων του Κοινοβουλίου, δημοσιεύεται από την κυβέρνηση τόσο σε ηλεκτρονική όσο και σε έντυπη μορφή, και πρέπει να λαμβάνεται υπόψη τόσο από εκείνους που ασκούν καθήκοντα παρακολούθησης όσο και από τα δικαστήρια (βλ. σκέψεις 93-94 ανωτέρω). Κατά συνέπεια, το παρόν Δικαστήριο δέχθηκε ότι οι διατάξεις του θα μπορούσαν να ληφθούν υπόψη κατά την εκτίμηση της προβλεψιμότητας του RIPA (βλ. προπαρατεθείσα απόφαση Kennedy, σκέψη 157). Ως εκ τούτου, το Δικαστήριο δέχεται ότι το εθνικό δίκαιο ήταν επαρκώς “προσβάσιμο”.» [βλ. Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (Τμήμα Μείζονος Συνθέσεως), Big Brother Watch και λοιποί κατά Ηνωμένου Βασιλείου, προσφυγές αριθ. 58170/13, 62322/14 και 24960/15, της 25ης Μαΐου 2021, σκέψη 366].

(269)  Για τον κατάλογο των αρμόδιων αρχών επιβολής του νόμου που μπορούν να ασκούν ερευνητικές εξουσίες σε στοχευμένη βάση δυνάμει του IPA 2016, βλ. υποσημείωση 139.

(270)  Μέρος 2 του IPA 2016.

(271)  Μέρος 3 του IPA 2016.

(272)  Μέρος 4 του IPA 2016.

(273)  Μέρος 5 του IPA 2016.

(274)  Άρθρο 136 του IPA 2016.

(275)  Άρθρο 158 του IPA 2016.

(276)  Άρθρο 176 του IPA 2016.

(277)  Άρθρο 199 του IPA 2016.

(278)  Ο κώδικας ορθής πρακτικής για την παρακολούθηση επικοινωνιών ορίζει ότι τα υπόλοιπα στοιχεία του ελέγχου αναλογικότητας είναι τα εξής: «i) η έκταση της προτεινόμενης επέμβασης στην ιδιωτικότητα έναντι του επιδιωκόμενου σκοπού· ii) ο τρόπος και οι λόγοι για τους οποίους οι μέθοδοι που θα εφαρμοστούν θα προκαλέσουν την ελάχιστη δυνατή επέμβαση στη ζωή του προσώπου και άλλων· iii) αν η δραστηριότητα αποτελεί κατάλληλη και εύλογη χρήση του νόμου, λαμβανομένων υπόψη όλων των εύλογων εναλλακτικών δυνατοτήτων, για την επίτευξη του επιδιωκόμενου σκοπού· iv) ποιες άλλες μέθοδοι, κατά περίπτωση, είτε δεν εφαρμόστηκαν είτε χρησιμοποιήθηκαν αλλά κρίθηκε ότι θα ήταν ανεπαρκείς για την επίτευξη των επιχειρησιακών στόχων χωρίς τη χρήση της προτεινόμενης ερευνητικής εξουσίας». Κώδικας ορθής πρακτικής για την παρακολούθηση επικοινωνιών, παράγραφος 4.16, διαθέσιμος στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/715480/Interception_of_Communications_Code_of_Practice.pdf .

(279)  Βλ. κώδικα ορθής πρακτικής για την παρακολούθηση επικοινωνιών, παράγραφοι 4.12 και 4.15, διαθέσιμος: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/715480/Interception_of_Communications_Code_of_Practice.pdf .

(280)  Βλ. κώδικα ορθής πρακτικής για την παρακολούθηση επικοινωνιών παράγραφος 4.16.

(281)  End of Mission Statement of the Special Rapporteur on the Right to Privacy at the Conclusion Of his Mission to the United Kingdom of Great Britain and Northern Ireland, διατίθεται στον ακόλουθο σύνδεσμο: https://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=23296&LangID=E, παράγραφος 1.a.

(282)  Άρθρο 15 παράγραφος 2 του IPA 2016.

(283)  Άρθρο 15 παράγραφος 4 του IPA 2016.

(284)  Άρθρο 15 παράγραφος 2 του IPA 2016.

(285)  Δευτερογενή δεδομένα είναι τα δεδομένα που συνδέονται ή σχετίζονται λογικά με την παρακολουθούμενη επικοινωνία, τα οποία μπορούν να διαχωριστούν λογικά από αυτή και τα οποία, εάν διαχωρίζονταν από αυτήν, δεν θα αποκάλυπταν τίποτα που να μπορούσε εύλογα να θεωρηθεί ότι συνιστά το νόημα (εάν υπάρχει) της επικοινωνίας. Παραδείγματα δευτερογενών δεδομένων αποτελούν οι ρυθμίσεις του δρομολογητή ή τα τείχη προστασίας ή το χρονικό διάστημα κατά το οποίο ο δρομολογητής παρέμεινε ενεργός σε ένα δίκτυο, όταν τα δεδομένα αυτά αποτελούν μέρος της παρακολουθούμενης επικοινωνίας ή συνδέονται ή σχετίζονται λογικά μ' αυτήν. Για περισσότερες λεπτομέρειες βλ. τον ορισμό στο άρθρο 16 του IPA 2016 και τον κώδικα ορθής πρακτικής για την παρακολούθηση επικοινωνιών, παράγραφος 2.19, βλ. υποσημείωση 278.

(286)  Η εξέταση αυτή διενεργείται ως εξαίρεση από το άρθρο 152 παράγραφος 4 του IPA 2016, το οποίο ορίζει ότι απαγορεύεται να επιδιώκεται να εντοπιστεί επικοινωνία ατόμων που βρίσκονται στις Βρετανικές Νήσους. Βλ. αιτιολογική σκέψη 229.

(287)  Όταν το ένταλμα αφορά σοβαρή εγκληματική δραστηριότητα στη Σκωτία, αρμόδιοι για την έγκρισή του είναι οι υπουργοί της κυβέρνησης της Σκωτίας (βλ. άρθρα 21 και 22 του IPA 2016), ενώ ο υπουργός μπορεί να αναθέσει σε ανώτερο υπάλληλο την έκδοση εντάλματος αμοιβαίας συνδρομής όταν διαφαίνεται ότι η παρακολούθηση θα αφορά πρόσωπο ή χώρους που βρίσκονται εκτός του Ηνωμένου Βασιλείου (άρθρο 40 του IPA 2016).

(288)  Άρθρα 19 και 23 του IPA 2016.

(289)  Άρθρο 32 του IPA 2016.

(290)  Άρθρο 39 του IPA 2016. Μπορούν να γίνουν περιορισμένες τροποποιήσεις στα εντάλματα, από τα πρόσωπα που ορίζονται σύμφωνα με τους όρους που καθορίζει ο IPA 2016. Το πρόσωπο που εξέδωσε το ένταλμα μπορεί ανά πάσα στιγμή να το ακυρώσει. Το ένταλμα πρέπει να ακυρωθεί όταν δεν είναι πλέον αναγκαίο για οποιονδήποτε συναφή λόγο ή εάν η συμπεριφορά η οποία επιτρέπεται από το ένταλμα δεν είναι πλέον αναλογική προς τον επιδιωκόμενο σκοπό.

(291)  Άρθρο 33 του IPA 2016. Η απόφαση ανανέωσης του εντάλματος πρέπει να εγκριθεί από δικαστικό επίτροπο.

(292)  Άρθρο 19 του IPA 2016.

(293)  Σχετικά με την έννοια «των σκοπών που ανάγονται στην εξασφάλιση της οικονομικής ευημερίας του Ηνωμένου Βασιλείου, εφόσον οι σκοποί αυτοί είναι συναφείς και για την εθνική ασφάλεια», το Τμήμα Μείζονος Συνθέσεως του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου έκρινε στην υπόθεση Big Brother Watch και λοιποί κατά Ηνωμένου Βασιλείου (βλ. υποσημείωση 268 ανωτέρω) (σκέψη 371) ότι η έννοια αυτή ήταν επαρκώς εστιασμένη στην εθνική ασφάλεια. Μολονότι η διαπίστωση του Δικαστηρίου στην υπόθεση αυτή αφορούσε τη χρήση της εν λόγω έννοιας στον RIPA 2000, η ίδια έννοια χρησιμοποιείται και στον IPA 2016.

(294)  Άρθρο 20 παράγραφος 2 του IPA 2016.

(295)  Άρθρο 20 παράγραφος 3 του IPA 2016.

(296)  Άρθρο 19 παράγραφος 1 στοιχείο (b), άρθρο 19 παράγραφος 2 στοιχείο (b) και άρθρο 19 παράγραφος 3 στοιχείο (b) του IPA 2016.

(297)  Στις ζητούμενες πληροφορίες περιλαμβάνονται λεπτομέρειες σχετικά με το ιστορικό (περιγραφή των προσώπων / οργανισμών /συνόλων χώρων, της επικοινωνίας που θα αποτελέσει το αντικείμενο παρακολούθησης) και τον τρόπο με τον οποίο η λήψη των πληροφοριών αυτών θα ωφελήσει την έρευνα, καθώς και περιγραφή της συμπεριφοράς για την οποία ζητείται η άδεια. Σε περίπτωση που δεν είναι δυνατόν να περιγραφούν τα πρόσωπα / ο οργανισμός / οι χώροι, πρέπει να συμπεριληφθεί επεξήγηση σχετικά με τους λόγους για τους οποίους η περιγραφή δεν ήταν δυνατή ή για τους οποίους παρασχέθηκε μόνο γενική περιγραφή (κώδικας ορθής πρακτικής για την παρακολούθηση επικοινωνιών, παράγραφοι 5.32 και 5.34, βλ. υποσημείωση 278).

(298)  Άρθρο 17 παράγραφος 2 του IPA 2016. Βλ. επίσης κώδικα ορθής πρακτικής για την παρακολούθηση επικοινωνιών, παράγραφοι 5.11 και επόμενες, βλ. υποσημείωση 278.

(299)  Άρθρο 31 παράγραφοι 4 και 5 του IPA 2016.

(300)  Άρθρο 31 παράγραφος 8 του IPA 2016.

(301)  Κώδικας ορθής πρακτικής για την παρακολούθηση επικοινωνιών, παράγραφοι 5.37 και 5.38, βλ. υποσημείωση 278.

(302)  Δεν απαιτείται έγκριση από δικαστικό επίτροπο όταν ο υπουργός θεωρεί ότι υπάρχει επείγουσα ανάγκη έκδοσης του εντάλματος (άρθρο 19 παράγραφος 1 του IPA). Ωστόσο, ο δικαστικός επίτροπος πρέπει να ενημερωθεί εντός σύντομου χρονικού διαστήματος και πρέπει να αποφασίσει αν θα εγκρίνει το ένταλμα ή όχι. Εάν δεν το εγκρίνει, το ένταλμα παύει να ισχύει (άρθρα 24 και 25 του IPA 2016).

(303)  Άρθρο 23 παράγραφος 1 του IPA 2016.

(304)  Άρθρο 23 παράγραφος 2 του IPA 2016.

(305)  Βλ. άρθρα 44-51 του IPA 2016 και άρθρο 12 του κώδικα ορθής πρακτικής για την παρακολούθηση επικοινωνιών (βλ. υποσημείωση 278).

(306)  Τέτοια περίπτωση συντρέχει, για παράδειγμα, όταν απαιτείται παρακολούθηση σε φυλακή ή σε ψυχιατρικό νοσοκομείο (για τον έλεγχο της συμπεριφοράς κρατουμένου ή ασθενούς) ή από φορέα εκμετάλλευσης ταχυδρομικών ή τηλεπικοινωνιακών υπηρεσιών, για παράδειγμα για τον εντοπισμό προσβλητικού περιεχομένου.

(307)  Βλ. a contrario άρθρο 229 παράγραφος 4 του IPA.

(308)  Τα άρθρα 26 έως 29 του IPA 2016 εισάγουν περιορισμούς όσον αφορά την έκδοση ενταλμάτων στοχευμένης παρακολούθησης και εξέτασης για την παρακολούθηση επικοινωνιών που αποστέλλονται από ή που προορίζονται για πρόσωπο που είναι μέλος του Κοινοβουλίου (οποιουδήποτε σώματος του Κοινοβουλίου του Ηνωμένου Βασιλείου), την παρακολούθηση στοιχείων που υπόκεινται σε νομικό προνόμιο, την παρακολούθηση επικοινωνιών ως προς τις οποίες η αρχή που προβαίνει στην παρακολούθηση θεωρεί ότι θα περιέχουν εμπιστευτικό δημοσιογραφικό υλικό και όταν σκοπός του εντάλματος είναι η ταυτοποίηση ή η επιβεβαίωση πηγής δημοσιογραφικών πληροφοριών.

(309)  Άρθρο 26 του IPA 2016.

(310)  Άρθρο 19 παράγραφος 1 του IPA 2016.

(311)  Άρθρο 54 του IPA 2016. Οι εγγυήσεις σχετικά με την κοινοποίηση υλικού σε αλλοδαπές αρχές προσδιορίζονται περαιτέρω στους κώδικες ορθής πρακτικής: βλ., ιδίως, τις παραγράφους 9.26 και επόμενες και 9.87 του κώδικα ορθής πρακτικής για την παρακολούθηση επικοινωνιών και τις παραγράφους 9.33 και επόμενες και 9.41 του κώδικα ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό (βλ. υποσημείωση 278).

(312)  Οι σκοποί αυτοί είναι οι εξής: για την Υπηρεσία Ασφάλειας, η πρόληψη ή η ανίχνευση σοβαρού εγκλήματος ή σκοποί που ανάγονται στη διεξαγωγή οποιασδήποτε ποινικής διαδικασίας [άρθρο 2 παράγραφος 2 στοιχείο (a) του νόμου του 1989 για την Υπηρεσία Ασφάλειας], για την Υπηρεσία Πληροφοριών σκοποί που ανάγονται στην εθνική ασφάλεια, η πρόληψη ή ανίχνευση σοβαρού εγκλήματος ή σκοποί που ανάγονται στη διεξαγωγή οποιασδήποτε ποινικής διαδικασίας [άρθρο 2 παράγραφος 2 στοιχείο (a) του νόμου του 1994 για τις υπηρεσίες πληροφοριών] και για την GCHQ σκοποί που ανάγονται στη διεξαγωγή οποιασδήποτε ποινικής διαδικασίας [άρθρο 4 παράγραφος 2 στοιχείο (a) του νόμου του 1994 για τις υπηρεσίες πληροφοριών]. Βλ. επίσης επεξηγηματικές σημειώσεις του σχετικά με την DPA 2018, διαθέσιμες στον ακόλουθο σύνδεσμο: https://www.legislation.gov.uk/ukpga/2018/12/contents/enacted.

(313)  Τα δεδομένα επικοινωνιών ορίζονται στο άρθρο 261 παράγραφος 5 του IPA 2016. Τα δεδομένα επικοινωνιών διακρίνονται σε «δεδομένα συμβάντων» (δεδομένα τα οποία ταυτοποιούν ή περιγράφουν ένα συμβάν, ανεξάρτητα από το αν αυτό γίνεται μέσω αναφοράς στον τόπο όπου αυτό έλαβε χώρα ή όχι, εντός ή μέσω συστήματος τηλεπικοινωνιών, όταν το συμβάν συνίσταται στη συμμετοχή μίας ή περισσότερων οντοτήτων σε συγκεκριμένη δραστηριότητα σε συγκεκριμένη χρονική στιγμή) και «δεδομένα οντότητας» [δεδομένα τα οποία α) αφορούν i) μια οντότητα, ii) τη σύνδεση μεταξύ μιας τηλεπικοινωνιακής υπηρεσίας και μιας οντότητας ή iii) τη σύνδεση μεταξύ τμήματος ενός συστήματος τηλεπικοινωνιών και μιας οντότητας, β) αποτελούνται από ή περιλαμβάνουν δεδομένα που ταυτοποιούν ή περιγράφουν την οντότητα (ανεξάρτητα από το αν αυτό γίνεται μέσω αναφοράς στην τοποθεσία στην οποία βρίσκεται ή όχι) και γ) δεν είναι δεδομένα συμβάντων].

(314)  Αυτό προκύπτει από τον ορισμό των δεδομένων επικοινωνιών που παρέχεται στο άρθρο 261 παράγραφος 5 του IPA 2016, σύμφωνα με τον οποίο τα δεδομένα επικοινωνιών τηρούνται ή αποκτώνται από φορέα εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών και είτε αφορούν τον χρήστη της τηλεπικοινωνιακής υπηρεσίας και σχετίζονται με την παροχή της εν λόγω υπηρεσίας είτε περιέχονται, περιλαμβάνονται ως τμήμα, συνδέονται ή σχετίζονται λογικά με την επικοινωνία (βλ. επίσης κώδικα ορθής πρακτικής για τα δεδομένα επικοινωνιών, ο οποίος διατίθεται στον ακόλουθο σύνδεσμο https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/757850/Communications_Data_Code_of_Practice.pdf, παράγραφοι 2.22 έως 2.33). Επιπλέον, σύμφωνα με τον ορισμό του φορέα εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών που παρέχεται στο άρθρο 261 παράγραφος 10 του IPA 2016, ο φορέας εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών είναι πρόσωπο το οποίο προσφέρει ή παρέχει τηλεπικοινωνιακή υπηρεσία σε πρόσωπα στο Ηνωμένο Βασίλειο ή το οποίο ελέγχει ή παρέχει σύστημα τηλεπικοινωνιών το οποίο (εξ ολοκλήρου ή εν μέρει) βρίσκεται στο Ηνωμένο Βασίλειο ή ελέγχεται από το Ηνωμένο Βασίλειο. Οι ορισμοί αυτοί καθιστούν σαφές ότι οι υποχρεώσεις που απορρέουν από τον IPA 2016 δεν μπορούν να επιβληθούν σε φορείς εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών των οποίων ο εξοπλισμός δεν βρίσκεται στο Ηνωμένο Βασίλειο ή δεν ελέγχεται από το Ηνωμένο Βασίλειο και οι οποίοι δεν προσφέρουν ή δεν παρέχουν υπηρεσίες σε πρόσωπα που βρίσκονται στο Ηνωμένο Βασίλειο (βλ. επίσης κώδικα ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφος 2.1) Εάν συνδρομητές από την ΕΕ (ανεξάρτητα από το αν βρίσκονται στην ΕΕ ή στο Ηνωμένο Βασίλειο) κάνουν χρήση υπηρεσιών στο Ηνωμένο Βασίλειο, τα δεδομένα επικοινωνιών που σχετίζονται με την παροχή αυτής της υπηρεσίας θα συλλεχθούν απευθείας από τον πάροχο υπηρεσιών στο Ηνωμένο Βασίλειο και δεν θα αποτελούν αντικείμενο διαβίβασης από την ΕΕ.

(315)  Οι αρμόδιες αρχές απαριθμούνται στο παράρτημα 4 του IPA 2016 και περιλαμβάνουν τις αστυνομικές δυνάμεις, τις υπηρεσίες πληροφοριών, ορισμένα υπουργεία και κυβερνητικές υπηρεσίες, την Εθνική Υπηρεσία Δίωξης του Εγκλήματος, τη Βασιλική Υπηρεσία Δημόσιων Εσόδων και Τελωνείων, την Αρχή Ανταγωνισμού και Αγορών, τον Επίτροπο Πληροφοριών, τις υπηρεσίες διακομιδής με ασθενοφόρο, πυροσβεστικές υπηρεσίες και υπηρεσίες διάσωσης, και άλλες αρχές, για παράδειγμα στους τομείς της υγείας και της ασφάλειας των τροφίμων.

(316)  Συνεκδικασθείσες υποθέσεις C-203/15 και C-698/15, Tele2/Watson, ECLI:EU:C:2016:970.

(317)  Βλ. παράγραφο 61.7 στοιχείο (b) για την απόκτηση δεδομένων επικοινωνιών και παράγραφο 87.10A για τη διατήρηση δεδομένων επικοινωνιών.

(318)  Άρθρο 60Α παράγραφος 6 του IPA 2016.

(319)  Η περίοδος αυτή μειώνεται σε τρεις ημέρες όταν η άδεια χορηγείται για λόγους επείγοντος (άρθρο 65 παράγραφος 3Α του IPA 2016).

(320)  Σύμφωνα με το άρθρο 65 του IPA 2016, η διάρκεια ισχύος της ανανεωμένης άδειας είναι ένας μήνας από την ημερομηνία λήξης ισχύος της ισχύουσας άδειας. Το πρόσωπο που χορήγησε την άδεια μπορεί ανά πάσα στιγμή να την ακυρώσει, εάν κρίνει ότι δεν πληρούνται πλέον οι απαιτήσεις.

(321)  Άρθρο 60Α παράγραφος 1 του IPA 2016. Η Υπηρεσία Αδειών για Δεδομένα Επικοινωνιών (Office for Communications Data Authorisations, OCDA) εκτελεί το καθήκον αυτό για λογαριασμό του Επιτρόπου Ερευνητικών Εξουσιών (βλ. κώδικα ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφος 5.6)

(322)  Η αίτηση βάσει του άρθρου 61 παράγραφος 7 στοιχείο (b) του IPA 2016 υποβάλλεται για «συντρέχοντα σκοπό καταπολέμησης του εγκλήματος», ο οποίος, σύμφωνα με το άρθρο 61 παράγραφος 7Α του IPA 2016, μπορεί να είναι: «όταν τα δεδομένα επικοινωνιών αποτελούνται εν όλω ή εν μέρει από δεδομένα συμβάντων, ο σκοπός της πρόληψης ή της ανίχνευσης σοβαρού εγκλήματος· σε κάθε άλλη περίπτωση, ο σκοπός της πρόληψης ή της ανίχνευσης εγκλήματος ή ο σκοπός της αποτροπής της διατάραξης της δημόσιας τάξης».

(323)  Ο κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών ορίζει ότι «[ό]ταν αίτηση που αφορά την εθνική ασφάλεια μπορεί να υποβληθεί είτε βάσει του άρθρου 60Α είτε βάσει του άρθρου 61, η απόφαση σχετικά με το ποια διαδικασία χορήγησης άδειας είναι η πλέον ενδεδειγμένη σε κάθε συγκεκριμένη περίπτωση εναπόκειται στην κρίση κάθε επιμέρους δημόσιας αρχής. Οι αρμόδιες αρχές που επιθυμούν να ακολουθούν τη διαδικασία χορήγησης άδειας από εντεταλμένο ανώτερο υπάλληλο θα πρέπει να έχουν καταρτίσει σαφείς κατευθυντήριες γραμμές σχετικά με τις περιπτώσεις στις οποίες η διαδικασία αυτή θεωρείται ενδεδειγμένη» (κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφος 5.19, διαθέσιμος στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/822817/Communications_Data_Code_of_Practice.pdf).

(324)  Το άρθρο 70 παράγραφος 3 του IPA 2016 παρέχει ορισμό του «εντεταλμένου υπαλλήλου», ο οποίος διαφοροποιείται ανάλογα με την αρμόδια δημόσια αρχή (όπως ορίζεται στο παράρτημα 4 του IPA 2016).

(325)  Περισσότερες λεπτομέρειες σχετικά με την ανεξαρτησία του εντεταλμένου ανώτερου υπαλλήλου παρέχονται στον κώδικα ορθής πρακτικής για τα δεδομένα επικοινωνιών (Code of Practice on Communications Data, παράγραφοι 4.12-4.17, βλ. υποσημείωση 323).

(326)  Οι λόγοι είναι: i) η εθνική ασφάλεια· ii) η πρόληψη ή ανίχνευση εγκλήματος ή η αποτροπή της διατάραξης της δημόσιας τάξης (στην περίπτωση «δεδομένων συμβάντων» πρέπει να πρόκειται για σοβαρό έγκλημα)· iii) σκοποί που ανάγονται στην εξασφάλιση της οικονομικής ευημερίας του Ηνωμένου Βασιλείου, εφόσον οι εν λόγω σκοποί είναι συναφείς και για σκοπούς που ανάγονται στην εθνική ασφάλεια· iv) σκοποί που ανάγονται στη δημόσια ασφάλεια· v) η αποτροπή του θανάτου ή τραυματισμού ή οποιασδήποτε βλάβης της σωματικής ή ψυχικής υγείας προσώπου, ή η άμβλυνση τραυματισμού ή βλάβης της σωματικής ή ψυχικής υγείας προσώπου· vi) η διευκόλυνση ερευνών σχετικά με εικαζόμενες περιπτώσεις δικαστικής πλάνης ή vii) η ταυτοποίηση νεκρού ή προσώπου που δεν είναι σε θέση να δώσει στοιχεία για την ταυτοποίησή του λόγω της κατάστασης της υγείας του (άρθρο 61 παράγραφος 7 του IPA 2016).

(327)  Άρθρο 60Α παράγραφος 1 στοιχείο (b) του IPA 2016.

(328)  Κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφοι 3.3 και επόμενες, βλ. υποσημείωση 323.

(329)  Κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφος 3.13, βλ. υποσημείωση 323.

(330)  Άρθρο 60 παράγραφος 1 στοιχείο (c) του IPA 2016.

(331)  Τα στοιχεία αυτά πρέπει να περιλαμβάνουν: i) περιγραφή του τρόπου με τον οποίο η απόκτηση των δεδομένων θα ωφελήσει την έρευνα ή την επιχείρηση· ii) επεξήγηση της σημασίας των ζητούμενων χρονικών περιόδων, συμπεριλαμβανομένου του τρόπου με τον οποίο οι εν λόγω περίοδοι είναι ανάλογες προς το υπό διερεύνηση συμβάν· iii) επεξήγηση του πώς δικαιολογείται το επίπεδο της επέμβασης λαμβανομένου υπόψη του οφέλους που θα αποφέρουν τα δεδομένα για την έρευνα (η δικαιολόγηση αυτή θα πρέπει να περιλαμβάνει εξέταση του αν θα μπορούσαν να πραγματοποιηθούν λιγότερο παρεμβατικές έρευνες για την επίτευξη του στόχου)· iv) εξέταση των δικαιωμάτων (ιδίως του δικαιώματος ιδιωτικότητας και, στις σχετικές περιπτώσεις, της ελευθερίας έκφρασης) του ατόμου και στάθμιση των δικαιωμάτων αυτών έναντι του οφέλους για την έρευνα· v) λεπτομέρειες σχετικά με τις παράπλευρες επεμβάσεις που ενδέχεται να προκύψουν και τον τρόπο με τον οποίο οι ζητούμενες χρονικές περίοδοι επηρεάζουν τις παράπλευρες επεμβάσεις (κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφοι 3.22-3.26, βλ. υποσημείωση 323).

(332)  Βλ. υποσημείωση 313.

(333)  Όταν επιδιώκεται η απόκτηση πιο παρεμβατικών δεδομένων επικοινωνιών (δηλαδή δεδομένων συμβάντων), ο κώδικας ορίζει ότι είναι σκοπιμότερο να αποκτώνται πρώτα δεδομένα οντότητας ή τα δεδομένα συμβάντων να αποκτώνται απευθείας μόνο σε περιορισμένες ειδικές περιπτώσεις επείγοντος (κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφοι 6.10-6.14, βλ. υποσημείωση 323).

(334)  Κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφοι 8.8-8.44, βλ. υποσημείωση 323.

(335)  Ο κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών διευκρινίζει ότι «κατά την εξέταση αυτών των αιτήσεων, το πρόσωπο που χορηγεί την άδεια πρέπει να επιδεικνύει ιδιαίτερη προσοχή και, μεταξύ των άλλων, να εξετάζει επιπλέον αν ενδέχεται οι αιτήσεις αυτές να έχουν ακούσιες συνέπειες και αν η αίτηση εξυπηρετεί με τον καλύτερο τρόπο το δημόσιο συμφέρον» (κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφος 8.8). Επιπλέον, για τις αιτήσεις αυτού του είδους πρέπει να τηρούνται αρχεία και, κατά την επόμενη επιθεώρηση, οι αιτήσεις αυτές θα πρέπει να επισημαίνονται ώστε να τίθενται υπόψη του Επιτρόπου Ερευνητικών Εξουσιών (κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφος 8.10, βλ. υποσημείωση 323).

(336)  Άρθρα 87 έως 89 του IPA 2016.

(337)  Σύμφωνα με το άρθρο 90 του IPA 2016, ο φορέας τηλεπικοινωνιακών υπηρεσιών στον οποίο απευθύνεται ειδοποίηση για τη διατήρηση δεδομένων μπορεί να ζητήσει επανεξέταση από τον υπουργό που την εξέδωσε.

(338)  Σύμφωνα με το άρθρο 87 παράγραφος 2 στοιχείο (a) του IPA 2016, η ειδοποίηση για τη διατήρηση δεδομένων μπορεί να αφορά «συγκεκριμένο φορέα εκμετάλλευσης ή οποιαδήποτε περιγραφή φορέων εκμετάλλευσης».

(339)  Οι σκοποί είναι i) σκοποί που ανάγονται στην εθνική ασφάλεια· ii) ο συντρέχων σκοπός καταπολέμησης του εγκλήματος (όπως ορίζεται στο άρθρο 87 παράγραφος10Α του IPA 2016)· iii) σκοποί που ανάγονται στην εξασφάλιση της οικονομικής ευημερίας του Ηνωμένου Βασιλείου, εφόσον οι εν λόγω σκοποί είναι επίσης συναφείς για τους σκοπούς που ανάγονται στην εθνική ασφάλεια· iv) σκοποί που ανάγονται στη δημόσια ασφάλεια· v) η αποτροπή του θανάτου ή τραυματισμού ή οποιασδήποτε βλάβης της σωματικής ή ψυχικής υγείας προσώπου, ή η άμβλυνση τραυματισμού ή βλάβης της σωματικής ή ψυχικής υγείας προσώπου· ή vi) η διευκόλυνση ερευνών σχετικά με εικαζόμενες περιπτώσεις δικαστικής πλάνης (άρθρο 87 του IPA).

(340)  Άρθρο 87 του IPA 2016. Επιπλέον, σύμφωνα με τον σχετικό κώδικα ορθής πρακτικής, προκειμένου να αξιολογηθεί η αναλογικότητα της ειδοποίησης για τη διατήρηση δεδομένων, εφαρμόζονται τα κριτήρια που προβλέπονται στο άρθρο 2 παράγραφος 2 του IPA 2016, ιδίως η απαίτηση να αξιολογείται αν ο σκοπός που επιδιώκεται με την ειδοποίηση θα μπορούσε εύλογα να επιτευχθεί με λιγότερο παρεμβατικά μέσα. Όπως και στην περίπτωση της αξιολόγησης της αναλογικότητας που διενεργείται για την απόκτηση δεδομένων επικοινωνιών, ο κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών διευκρινίζει ότι η εν λόγω αξιολόγηση συνεπάγεται «στάθμιση της έκτασης της επέμβασης στο δικαίωμα του ατόμου για σεβασμό της ιδιωτικής του ζωής έναντι συγκεκριμένου οφέλους για την έρευνα» (κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφος 16.3, βλ. υποσημείωση 323).

(341)  Βλ. άρθρο 88 του IPA 2016.

(342)  Τα οφέλη μπορεί να υφίστανται ήδη ή να προβλέπεται ότι θα προκύψουν στο μέλλον και πρέπει να αφορούν τους νόμιμους σκοπούς για τους οποίους μπορούν να διατηρηθούν τα δεδομένα (κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφος 17.17, βλ. υποσημείωση 323).

(343)  Οι εκτιμήσεις αυτές περιλαμβάνουν τον καθορισμό του αν η γεωγραφική εμβέλεια της ειδοποίησης για τη διατήρηση δεδομένων είναι στο σύνολό της αναγκαία και αναλογική και του αν είναι αναγκαίο και αναλογικό να συμπεριληφθούν ή να μη συμπεριληφθούν οποιεσδήποτε ειδικότερες περιγραφές προσώπων (κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφος 17.17, βλ. υποσημείωση 323).

(344)  Αυτό θα βοηθήσει τον υπουργό να εκτιμήσει τόσο το επίπεδο της επέμβασης στη ζωή των πελατών όσο και τα πιθανά οφέλη των προς διατήρηση δεδομένων (κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών, παράγραφος 17.17, βλ. υποσημείωση 323).

(345)  Άρθρο 88 του IPA 2016.

(346)  Άρθρο 89 του IPA 2016.

(347)  Σύμφωνα με το άρθρο 135 παράγραφος 1 και το άρθρο 198 παράγραφος 1 του IPA 2016, ο «εξοπλισμός» περιλαμβάνει τον εξοπλισμό που παράγει ηλεκτρομαγνητικές, ακουστικές ή άλλες εκπομπών, καθώς και κάθε συσκευή που μπορεί να χρησιμοποιηθεί σε συνδυασμό με τέτοιον εξοπλισμό.

(348)  Κώδικας ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό, διαθέσιμος στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/715479/Equipment_Interference_Code_of_Practice.pdf, παράγραφος 2.2.

(349)  Τα δεδομένα εξοπλισμού ορίζονται στο άρθρο 100 του IPA 2016 ως δεδομένα συστήματος και δεδομένα τα οποία α) περιέχονται ή περιλαμβάνονται ως τμήμα ή συνδέονται ή σχετίζονται λογικά με μια επικοινωνία (είτε από τον αποστολέα είτε με άλλον τρόπο) ή οποιαδήποτε άλλη πληροφορία· β) μπορούν να διαχωριστούν λογικά από την υπόλοιπη επικοινωνία ή από την πληροφορία και γ) αν διαχωρίζονταν κατ’ αυτόν τον τρόπο, δεν θα αποκάλυπταν τίποτα που θα μπορούσε εύλογα να θεωρηθεί ότι συνιστά το νόημα (εάν υπάρχει) της επικοινωνίας ή της πληροφορίας.

(350)  Για να είναι υποχρεωτική η απαίτηση έκδοσης εντάλματος, σύμφωνα με το άρθρο 13 παράγραφος 1 του IPA 2016, η συμπεριφορά της υπηρεσίας πληροφοριών πρέπει να συνιστά ένα ή περισσότερα από τα αδικήματα των άρθρων 1 έως 3Α του νόμου του 1990 για την αθέμιτη χρήση ηλεκτρονικών υπολογιστών (Computer Misuse Act 1990), όρος που θα συντρέχει στη συντριπτική πλειονότητα των περιπτώσεων, βλ. κώδικα ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό, παράγραφοι 3.32 και 3.6 έως 3.9. Σύμφωνα με το άρθρο 13 παράγραφος 2 του IPA 2016, «σύνδεση με τις Βρετανικές Νήσους» υπάρχει εάν α) οποιοδήποτε στοιχείο της συμπεριφοράς λαμβάνει χώρα στις Βρετανικές Νήσους (ανεξάρτητα από τη θέση του εξοπλισμού στον οποίο θα πραγματοποιηθεί ή ενδέχεται να πραγματοποιηθεί η παρεμβολή), β) η υπηρεσία πληροφοριών θεωρεί ότι οποιοσδήποτε εξοπλισμός στον οποίο θα πραγματοποιηθεί ή ενδέχεται να πραγματοποιηθεί η παρεμβολή θα βρίσκεται στις Βρετανικές Νήσους σε οποιαδήποτε χρονική στιγμή κατά τη διάρκεια της παρεμβολής ή γ) ο σκοπός της παρεμβολής είναι η απόκτηση i) επικοινωνιών που αποστέλλονται από ή προς πρόσωπο το οποίο βρίσκεται ή το οποίο η υπηρεσία πληροφοριών θεωρεί ότι βρίσκεται, κατά τον χρόνο αυτόν, στις Βρετανικές Νήσους, ii) ιδιωτικών πληροφοριών που αφορούν πρόσωπο το οποίο βρίσκεται ή το οποίο η υπηρεσία πληροφοριών θεωρεί ότι βρίσκεται, κατά τον χρόνο αυτόν, στις Βρετανικές Νήσους ή iii) δεδομένων εξοπλισμού τα οποία περιλαμβάνονται ή συνδέονται με επικοινωνίες ή ιδιωτικές πληροφορίες που εμπίπτουν στο σημείο i) ή ii).

(351)  Για λόγους πληρότητας, θα πρέπει να σημειωθεί ότι ακόμη και στις περιπτώσεις όπου δεν υπάρχει «σύνδεση με τις Βρετανικές Νήσους» και, ως εκ τούτου, η χρήση της παρεμβολής σε εξοπλισμό δεν υπόκειται στην υποχρεωτική απαίτηση έκδοσης εντάλματος σύμφωνα με το άρθρο 13 παράγραφος 1 του IPA 2016, υπηρεσία πληροφοριών που προτίθεται να διεξαγάγει δραστηριότητα για την οποία μπορεί να λάβει ένταλμα μαζικής παρεμβολής σε εξοπλισμό θα πρέπει να λάβει τέτοιο ένταλμα για λόγους πολιτικής (βλ. κώδικα ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό, παράγραφος 3.24). Ακόμη και όταν δεν υπάρχει εκ του νόμου υποχρέωση λήψης εντάλματος παρεμβολής σε εξοπλισμό βάσει του IPA 2016 και βάσει της ακολουθούμενης πολιτικής δεν ζητείται η έκδοση τέτοιου εντάλματος, οι ενέργειες των υπηρεσιών πληροφοριών υπόκεινται σε σειρά όρων και περιορισμών σύμφωνα με το άρθρο 7 του νόμου του 1994 για τις υπηρεσίες πληροφοριών. Οι εν λόγω όροι και περιορισμοί περιλαμβάνουν ιδίως την απαίτηση χορήγησης άδειας από τον υπουργό, ο οποίος πρέπει να βεβαιωθεί ότι καμία ενέργεια δεν υπερβαίνει τα αναγκαία όρια για την ορθή εκτέλεση των καθηκόντων της υπηρεσίας πληροφοριών.

(352)  Το άρθρο 115 του IPA 2016 καθορίζει το περιεχόμενο του εντάλματος, διευκρινίζοντας ότι πρέπει να περιέχει το όνομα ή περιγραφή των προσώπων, των οργανισμών, της τοποθεσίας ή της ομάδας προσώπων που αποτελούν τον «στόχο», περιγραφή της φύσης της έρευνας και περιγραφή των δραστηριοτήτων για τις οποίες χρησιμοποιείται ο εξοπλισμός. Θα πρέπει επίσης να περιγράφει το είδος του εξοπλισμού και τη συμπεριφορά στην οποία επιτρέπεται να προβεί το πρόσωπο στο οποίο απευθύνεται το ένταλμα.

(353)  Βλ. επίσης τον κώδικα ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό, παράγραφος 5.7., βλ. υποσημείωση 348.

(354)  Οι υπηρεσίες εθνικής ασφάλειας μπορούν να υποβάλουν αίτηση για την έκδοση εντάλματος παρεμβολής σε εξοπλισμό όταν αυτό είναι αναγκαίο για σκοπούς που ανάγονται στην εθνική ασφάλεια, για την ανίχνευση σοβαρού εγκλήματος και/ή για σκοπούς που ανάγονται στην εξασφάλιση της οικονομικής ευημερίας του Ηνωμένου Βασιλείου, εφόσον οι σκοποί αυτοί είναι συναφείς και για σκοπούς που ανάγονται στην εθνική ασφάλεια (άρθρα 102-103 του IPA 2016). Ανάλογα με την υπηρεσία, ένταλμα παρεμβολής σε εξοπλισμό μπορεί να ζητηθεί για σκοπούς επιβολής του νόμου, όταν είναι αναγκαίο για την ανίχνευση ή την πρόληψη σοβαρού εγκλήματος ή για την αποτροπή του θανάτου ή τραυματισμού ή βλάβης στη σωματική ή ψυχική υγεία προσώπου ή για την άμβλυνση τραυματισμού ή βλάβης στη σωματική ή ψυχική υγεία προσώπου (βλ. άρθρο 106 παράγραφοι 1 και 3 του IPA 2016).

(355)  Άρθρο 102 παράγραφος 1 του IPA 2016.

(356)  Άρθρα 129 έως 131 του IPA 2016.

(357)  Άρθρο 109 του IPA 2016.

(358)  Άρθρο 109 παράγραφος 4 του IPA 2016.

(359)  Άρθρο 110 παράγραφος 3 στοιχείο (b) του IPA 2016. Σύμφωνα με την παράγραφο 5.67 του κώδικα ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό, ο επείγων χαρακτήρας καθορίζεται από το κατά πόσον θα ήταν ευλόγως εφικτό να ζητηθεί η έγκριση του δικαστικού επιτρόπου για την έκδοση του εντάλματος εντός του διαθέσιμου χρόνου για την κάλυψη επιχειρησιακής ή ερευνητικής ανάγκης. Τα επείγοντα εντάλματα θα πρέπει να εμπίπτουν σε μία ή και στις δύο από τις ακόλουθες κατηγορίες: i) επικείμενη απειλή για τη ζωή ή για σοβαρή βλάβη — για παράδειγμα, εάν κάποιο πρόσωπο έχει απαχθεί και εκτιμάται ότι η ζωή του βρίσκεται σε άμεσο κίνδυνο· ή ii) ευκαιρία συλλογής πληροφοριών ή διενέργειας έρευνας με περιορισμένο χρόνο για την ανάληψη δράσης — για παράδειγμα, μια αποστολή ναρκωτικών της κατηγορίας Α πρόκειται να εισέλθει στο Ηνωμένο Βασίλειο και οι υπηρεσίες επιβολής του νόμου επιθυμούν να έχουν κάλυψη των δραστών σοβαρών εγκλημάτων προκειμένου να πραγματοποιήσουν συλλήψεις. Βλ. υποσημείωση 348.

(360)  Άρθρο 108 του IPA 2016.

(361)  Σύμφωνα με την έκθεση που παρουσίασε o Λόρδος David Anderson, ανεξάρτητος ελεγκτής της αντιτρομοκρατικής νομοθεσίας κατά την περίοδο πριν από την έγκριση του IPA 2016, «θα πρέπει να είναι σαφές ότι η μαζική συλλογή και διατήρηση δεδομένων δεν ισοδυναμεί με τη λεγόμενη “μαζική επιτήρηση”. Κάθε ακέραιο νομικό σύστημα περιλαμβάνει περιορισμούς και εγγυήσεις που αποσκοπούν ακριβώς στο να διασφαλίζουν ότι η πρόσβαση σε αποθηκευμένα ευαίσθητα δεδομένα (...) δεν παρέχεται χωρίς διάκριση ή αδικαιολόγητα. Τέτοιοι περιορισμοί και εγγυήσεις σαφώς προβλέπονται στο νομοσχέδιο Λόρδος David Anderson, Report of the bulk power review, Αύγουστος 2016, παράγραφος 1.9 (υπογράμμιση των συντακτών), διατίθεται στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/546925/56730_Cm9326_WEB.PDF.

(362)  Άρθρο 2.2 του IPA 2016. Βλ., για παράδειγμα, τον κώδικα ορθής πρακτικής για τη μαζική απόκτηση δεδομένων επικοινωνιών, παράγραφος 4.11, ο οποίος διατίθεται στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/715477/Bulk_Communications_Data_Code_of_Practice.pdf.

(363)  Οι «Βρετανικές Νήσοι» αποτελούνται από το Ηνωμένο Βασίλειο, τις Νήσους της Μάγχης και τη Νήσο του Μαν και ορίζονται στο παράρτημα 1 του νόμου περί ερμηνείας του 1978 (Interpretation Act 1978), ο οποίος διατίθεται στον ακόλουθο σύνδεσμο: https://www.legislation.gov.uk/ukpga/1978/30/schedule/1.

(364)  Σύμφωνα με το άρθρο 136 του IPA 2016, ως «επικοινωνίες που σχετίζονται με το εξωτερικό» νοούνται: i) επικοινωνίες που αποστέλλονται από άτομα που βρίσκονται εκτός των Βρετανικών Νήσων ή ii) επικοινωνίες που λαμβάνονται από άτομα που βρίσκονται εκτός των Βρετανικών Νήσων. Το καθεστώς αυτό, όπως επιβεβαίωσαν οι αρχές του Ηνωμένου Βασιλείου, καλύπτει επίσης τις επικοινωνίες μεταξύ δύο προσώπων που βρίσκονται αμφότερα εκτός των Βρετανικών Νήσων. Το Τμήμα Μείζονος Συνθέσεως του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου, στην υπόθεση Big Brother Watch και λοιποί κατά Ηνωμένου Βασιλείου (βλ. υποσημείωση 279 ανωτέρω), έκρινε (σκέψη 376), όσον αφορά παρόμοιο περιορισμό (αναφερόμενο στις «εξωτερικές επικοινωνίες») των επικοινωνιών που μπορούν να υποκλαπούν με μαζική παρακολούθηση βάσει του RIPA 2000, ότι ήταν επαρκώς οριοθετημένος και προβλέψιμος.

(365)  Άρθρο 136 παράγραφος 4 του IPA 2016. Σύμφωνα με τις εξηγήσεις που ελήφθησαν από την κυβέρνηση του Ηνωμένου Βασιλείου, η μαζική παρακολούθηση μπορεί να χρησιμοποιηθεί, για παράδειγμα, για τον εντοπισμό μέχρι πρότινος άγνωστων απειλών για την εθνική ασφάλεια του Ηνωμένου Βασιλείου, μέσω φιλτραρίσματος και ανάλυσης του παρακολουθούμενου υλικού με σκοπό τον εντοπισμό επικοινωνιών που έχουν αξία από την άποψη της συλλογής πληροφοριών (The UK Explanatory Framework section H: National security, σ. 27-28, βλ. υποσημείωση 29). Όπως εξήγησαν οι αρχές του Ηνωμένου Βασιλείου, τα εν λόγω μέσα μπορούν να χρησιμοποιηθούν για τη στοιχειοθέτηση σύνδεσης μεταξύ γνωστών υποκειμένων που ενδιαφέρουν τις αρχές και για την αναζήτηση ιχνών δραστηριότητας ατόμων που μπορεί να μην είναι ακόμη γνωστά αλλά τα οποία εμφανίζονται κατά τη διάρκεια έρευνας, καθώς και για τον εντοπισμό μορφών δραστηριότητας που ενδέχεται να υποδηλώνουν την ύπαρξη απειλής για το Ηνωμένο Βασίλειο.

(366)  Σύμφωνα με το άρθρο 13 παράγραφος 1 του IPA 2016, η χρήση της παρεμβολής σε εξοπλισμό από υπηρεσία πληροφοριών προϋποθέτει άδεια υπό τη μορφή εντάλματος που εκδίδεται σύμφωνα με τον IPA 2016, εφόσον υπάρχει «σύνδεση με τις Βρετανικές Νήσους», βλ. αιτιολογική σκέψη 211.

(367)  Άρθρο 176 του IPA 2016. Το ένταλμα μαζικής παρεμβολής σε εξοπλισμό δεν μπορεί να επιτρέπει πράξεις οι οποίες θα συνιστούσαν (εκτός από την περίπτωση που διενεργούνται βάσει νόμιμης εξουσιοδότησης) παράνομη παρακολούθηση (εκτός εάν πρόκειται για αποθηκευμένη επικοινωνία). Σύμφωνα με το επεξηγηματικό πλαίσιο του Ηνωμένου Βασιλείου, οι πληροφορίες που λαμβάνονται θα μπορούσαν να είναι αναγκαίες για την ταυτοποίηση υποκειμένων που ενδιαφέρουν τις αρχές και τα εντάλματα αυτά ενδείκνυνται κατά κανόνα για επιχειρήσεις μεγάλης κλίμακας (The UK Explanatory Framework, section H: National security, σ. 28, βλ. υποσημείωση 29).

(368)  Άρθρο 138 παράγραφος 1 και άρθρο 178 παράγραφος 1 του IPA 2016.

(369)  Άρθρο 138 παράγραφος 2 και άρθρο 178 παράγραφος 2 του IPA 2016.

(370)  Σύμφωνα με τις εξηγήσεις που παρείχαν οι αρχές του Ηνωμένου Βασιλείου, ένας επιχειρησιακός σκοπός μπορεί, για παράδειγμα, να περιορίσει το πεδίο εφαρμογής του μέτρου στην ύπαρξη απειλής σε μια συγκεκριμένη γεωγραφική περιοχή.

(371)  Άρθρο 142 παράγραφοι 4 έως 10 του IPA 2016.

(372)  Ανώτερο Δικαστήριο (High Court of Justice), Liberty, [2019] EWHC 2057 (Admin), σκέψη 167.

(373)  Σύμφωνα με τα άρθρα 152 και 193 του IPA 2016: α) η επιλογή προς εξέταση πραγματοποιείται μόνο για τους επιχειρησιακούς σκοπούς που καθορίζονται στο ένταλμα, β) η επιλογή προς εξέταση είναι αναγκαία και αναλογική σε όλες τις περιπτώσεις και γ) η επιλογή προς εξέταση δεν παραβιάζει την απαγόρευση επιλογής υλικού και ταυτοποίησης επικοινωνιών που εστάλησαν ή προορίζονται για άτομα για τα οποία ήταν γνωστό ότι βρίσκονταν στις Βρετανικές Νήσους κατά το επίμαχο χρονικό διάστημα.

(374)  Βλ. κώδικα ορθής πρακτικής για την παρακολούθηση επικοινωνιών, παράγραφος 6.6, βλ. υποσημείωση 278.

(375)  Άρθρο 138 παράγραφος 1 στοιχεία (b) και (c) και άρθρο 178 στοιχεία (b) και (c) του IPA 2016.

(376)  Κώδικας ορθής πρακτικής για την παρακολούθηση επικοινωνιών, παράγραφος 4.10, βλ. υποσημείωση 278.

(377)  Κώδικας ορθής πρακτικής για την παρακολούθηση επικοινωνιών, παράγραφος 6.20, βλ. υποσημείωση 278, και κώδικας ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό, παράγραφος 6.13, βλ. υποσημείωση 348.

(378)  Άρθρο 138 παράγραφος 1 στοιχείο (g) και άρθρο 178 παράγραφος 1 στοιχείο (f) του IPA 2016. Η προηγούμενη άδεια από ανεξάρτητο φορέα έχει χαρακτηριστεί από το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου ως σημαντική εγγύηση έναντι των καταχρήσεων στο πλαίσιο μαζικών παρακολουθήσεων. Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (Τμήμα Μείζονος Συνθέσεως), Big Brother Watch και λοιποί κατά Ηνωμένου Βασιλείου (βλ. υποσημείωση 269 ανωτέρω), σκέψεις 351 και 352. Είναι σημαντικό να ληφθεί υπόψη ότι η απόφαση αυτή αφορούσε το προηγούμενο νομικό πλαίσιο (RIPA 2000), το οποίο δεν περιείχε ορισμένες από τις εγγυήσεις (συμπεριλαμβανομένης της προηγούμενης άδειας από ανεξάρτητο δικαστικό επίτροπο) που θεσπίστηκαν με τον IPA 2016.

(379)  Άρθρο 159 παράγραφοι 3 και 4 του IPA 2016.

(380)  Άρθρα 143 έως 146 και 184 έως 188 του IPA 2016. Σε περίπτωση επείγουσας τροποποίησης, ο υπουργός μπορεί να προβεί στην τροποποίηση χωρίς έγκριση, αλλά πρέπει να ενημερώσει τον επίτροπο, ο οποίος στη συνέχεια πρέπει να αποφασίσει αν θα εγκρίνει ή θα απορρίψει την τροποποίηση (άρθρο 147 του IPA 2016). Τα εντάλματα πρέπει να ακυρώνονται αν δεν είναι πλέον αναγκαία ή αναλογικά ή αν η εξέταση του περιεχομένου, των μεταδεδομένων ή άλλων δεδομένων που ελήφθησαν κατόπιν παρακολούθησης, βάσει του εντάλματος, δεν είναι πλέον αναγκαία για κανέναν από τους επιχειρησιακούς σκοπούς που προσδιορίζονται στο ένταλμα (άρθρα 148 και 189 του IPA 2016).

(381)  Κώδικας ορθής πρακτικής για την παρακολούθηση επικοινωνιών, παράγραφοι 6.44 έως 6.47, βλ. υποσημείωση 278, και κώδικας ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό, παράγραφος 6.48, βλ. υποσημείωση 348.

(382)  Άρθρο 156 του IPA 2016.

(383)  Άρθρα 150 και 191 του IPA 2016.

(384)  Το Τμήμα Μείζονος Συνθέσεως του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου, στην υπόθεση Big Brother Watch και λοιποί κατά Ηνωμένου Βασιλείου (βλ. υποσημείωση 268 ανωτέρω), επικύρωσε το σύστημα των πρόσθετων εγγυήσεων για τη διατήρηση, την πρόσβαση και την κοινοποίηση που προβλεπόταν στο πλαίσιο του RIPA 2000 (βλ. σκέψεις 392-394 και 402-405). Το ίδιο σύστημα εγγυήσεων προβλέπεται από τον IPA 2016.

(385)  Άρθρα 151 και 192 του IPA 2016.

(386)  Για περισσότερες πληροφορίες σχετικά με τους σκοπούς αυτούς, βλ. υποσημείωση 312.

(387)  Ο κώδικας για την παρακολούθηση επικοινωνιών διευκρινίζει συναφώς ότι «αυτά τα συστήματα επεξεργασίας επεξεργάζονται δεδομένα από συνδέσεις επικοινωνίας ή σήματα τα οποία επέλεξε να παρακολουθήσει η αρχή που διενήργησε την παρακολούθηση. Στη συνέχεια, εφαρμόζεται κάποιος βαθμός φιλτραρίσματος στην κίνηση των εν λόγω συνδέσεων και σημάτων, ώστε να επιλεγούν τα είδη των επικοινωνιών που ενδέχεται να έχουν αξία από την άποψη της συλλογής πληροφοριών, με ταυτόχρονη απόρριψη αυτών που είναι λιγότερο πιθανό να έχουν αξία από αυτήν την άποψη. Ως αποτέλεσμα αυτού του φιλτραρίσματος, το οποίο διαφέρει ανάλογα με το σύστημα επεξεργασίας, σημαντικό μέρος των επικοινωνιών βάσει των εν λόγω συνδέσεων και σημάτων απορρίπτεται αυτόματα. Στη συνέχεια, είναι δυνατόν να πραγματοποιηθούν περαιτέρω σύνθετες αναζητήσεις ώστε να συλλεχθούν περαιτέρω επικοινωνίες που είναι πιθανότερο να έχουν τη μεγαλύτερη αξία από πλευράς συλλογής πληροφοριών και οι οποίες σχετίζονται με τα εκ του νόμου καθήκοντα της υπηρεσίας. Οι επικοινωνίες αυτές μπορούν στη συνέχεια να επιλεγούν προς εξέταση για έναν ή περισσότερους από τους επιχειρησιακούς σκοπούς που προσδιορίζονται στο ένταλμα, εφόσον πληρούνται οι προϋποθέσεις της αναγκαιότητας και της αναλογικότητας. Μόνο τα στοιχεία που δεν έχουν αποκλειστεί με το φιλτράρισμα μπορούν να επιλεγούν προς εξέταση από εξουσιοδοτημένα πρόσωπα» (κώδικας πρακτικής για την παρακολούθηση επικοινωνιών, παράγραφος 6.6, βλ. υποσημείωση 278).

(388)  Βλ. άρθρο 152 παράγραφος 1 στοιχεία (a) και (b) του IPA 2016, σύμφωνα με το οποίο η εξέταση και των δύο ειδών δεδομένων (περιεχόμενο που έχει συλλεχθεί μέσω παρακολούθησης και δευτερογενή) πρέπει να διενεργείται μόνο για τον καθορισμένο σκοπό και να είναι αναγκαία και αναλογική σε όλες τις περιπτώσεις.

(389)  Αυτό το είδος εντάλματος δεν απαιτείται όταν τα δεδομένα που αφορούν άτομα που βρίσκονται στις Βρετανικές Νήσους είναι «δευτερογενή δεδομένα» [βλ. άρθρο 152 παράγραφος 1 στοιχείο (c) του IPA 2016].

(390)  Άρθρα 152 και 193 του IPA 2016.

(391)  Άρθρα 155 και 196 του IPA 2016.

(392)  Άρθρα 152 και 193 του IPA 2016.

(393)  Άρθρο 229 του IPA 2016.

(394)  Κώδικας ορθής πρακτικής για την παρακολούθηση επικοινωνιών, παράγραφος 6.74, βλ. υποσημείωση 278, και κώδικας ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό, παράγραφος 6.78, βλ. υποσημείωση 348.

(395)  Το Γραφείο του Επιτρόπου Ερευνητικών Εξουσιών (IPCO) συστάθηκε δυνάμει του άρθρου 238 του IPA 2016 ώστε να παρασχεθούν στον Επίτροπο Ερευνητικών Εξουσιών το αναγκαίο προσωπικό, τα γραφεία, ο εξοπλισμός και οι άλλες εγκαταστάσεις και υπηρεσίες που απαιτούνται για την εκτέλεση των καθηκόντων του (βλ. αιτιολογική σκέψη 251).

(396)  Η ετήσια έκθεση του IPCO για το 2018 ανέφερε ότι οι δικαιολογητικοί λόγοι που είχαν καταγραφεί από τους αναλυτές της GCHQ «πληρούσαν το απαιτούμενο πρότυπο και οι αναλυτές παρείχαν επαρκώς λεπτομερείς εξηγήσεις σχετικά με την αναλογικότητα των αναζητήσεών τους σε μαζικά δεδομένα». Ετήσια έκθεση του Επιτρόπου Ερευνητικών Εξουσιών για το 2018, παράγραφος 6.22, βλ. υποσημείωση 464.

(397)  Ετήσια έκθεση του Επιτρόπου Ερευνητικών Εξουσιών για το 2019, παράγραφος 7.6, βλ. υποσημείωση 463.

(398)  Ετήσια έκθεση του Επιτρόπου Ερευνητικών Εξουσιών για το 2019, παράγραφος 10.22, βλ. υποσημείωση 463.

(399)  Αυτό προκύπτει από τον ορισμό των δεδομένων επικοινωνιών που παρέχεται στο άρθρο 261 παράγραφος 5 του IPA 2016, σύμφωνα με τον οποίο τα δεδομένα επικοινωνιών τηρούνται ή αποκτώνται από φορέα εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών και είτε αφορούν τον χρήστη της τηλεπικοινωνιακής υπηρεσίας και σχετίζονται με την παροχή της εν λόγω υπηρεσίας είτε περιέχονται, περιλαμβάνονται ως τμήμα ή συνδέονται ή σχετίζονται λογικά με την επικοινωνία (βλ. επίσης κώδικα ορθής πρακτικής για τη μαζική απόκτηση δεδομένων επικοινωνιών, ο οποίος διατίθεται στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/715477/Bulk_Communications_Data_Code_of_Practice.pdf παράγραφοι 2.15 έως 2.22). Επιπλέον, σύμφωνα με τον ορισμό του φορέα εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών που παρέχεται στο άρθρο 261 παράγραφος 10 του IPA 2016, ο φορέας εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών είναι πρόσωπο το οποίο προσφέρει ή παρέχει τηλεπικοινωνιακή υπηρεσία σε πρόσωπα στο Ηνωμένο Βασίλειο ή το οποίο ελέγχει ή παρέχει σύστημα τηλεπικοινωνιών το οποίο (εξ ολοκλήρου ή εν μέρει) βρίσκεται στο Ηνωμένο Βασίλειο ή ελέγχεται από το Ηνωμένο Βασίλειο. Οι ορισμοί αυτοί καθιστούν σαφές ότι οι υποχρεώσεις που προβλέπονται στον IPA 2016 δεν μπορούν να επιβληθούν σε φορείς εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών των οποίων ο εξοπλισμός δεν βρίσκεται στο Ηνωμένο Βασίλειο ή δεν ελέγχεται από το Ηνωμένο Βασίλειο και οι οποίοι δεν προσφέρουν ή δεν παρέχουν υπηρεσίες σε πρόσωπα που βρίσκονται στο Ηνωμένο Βασίλειο (βλ. επίσης κώδικα ορθής πρακτικής για τη μαζική απόκτηση δεδομένων επικοινωνιών, παράγραφος 2.2). Εάν συνδρομητές από την ΕΕ (ανεξάρτητα από το αν βρίσκονται στην ΕΕ ή στο Ηνωμένο Βασίλειο) κάνουν χρήση υπηρεσιών στο Ηνωμένο Βασίλειο, τα δεδομένα επικοινωνιών που σχετίζονται με την παροχή αυτής της υπηρεσίας θα συλλεχθούν απευθείας από τον πάροχο υπηρεσιών στο Ηνωμένο Βασίλειο και δεν θα αποτελούν αντικείμενο διαβίβασης από την ΕΕ.

(400)  Το άρθρο 94 παράγραφος 1 του νόμου του 1984 για τις τηλεπικοινωνίες (Telecommunication Act 1984) προέβλεπε ότι ο υπουργός μπορούσε να εκδίδει «οδηγίες γενικού χαρακτήρα, εφόσον κρίνει ότι είναι αναγκαίες ή σκόπιμες για σκοπούς που ανάγονται στην εθνική ασφάλεια (...)» (βλ. υποσημείωση 451).

(401)  Βλ. απόφαση Privacy International, σκέψη 78.

(402)  Βλ. κώδικα ορθής πρακτικής για τη μαζική απόκτηση δεδομένων επικοινωνιών, παράγραφος 4.11 (βλ. υποσημείωση 399414).

(403)  Ένταλμα μαζικής απόκτησης μπορεί να ζητηθεί μόνο από τους επικεφαλής των υπηρεσιών πληροφοριών δηλαδή από τα εξής πρόσωπα: i) τον γενικό διευθυντή της Υπηρεσίας Ασφάλειας· ii) τον διοικητή της Μυστικής Υπηρεσίας Πληροφοριών· ή iii) τον διευθυντή της GCHQ (βλ. άρθρα 158 και 263 του IPA 2016).

(404)  Κώδικας ορθής πρακτικής για τη μαζική απόκτηση δεδομένων επικοινωνιών, παράγραφος 4.5 (βλ. υποσημείωση 399).

(405)  Σύμφωνα με το άρθρο 161 του IPA 2016, οι επιχειρησιακοί σκοποί που προσδιορίζονται στο ένταλμα πρέπει είναι αυτοί που προσδιορίζονται, σε κατάλογο που τηρούν οι επικεφαλής των υπηρεσιών πληροφοριών (στο εξής: κατάλογος επιχειρησιακών σκοπών), ως σκοποί που οι επικεφαλής των υπηρεσιών πληροφοριών κρίνουν ότι συνιστούν επιχειρησιακούς σκοπούς για τους οποίους δεδομένα επικοινωνιών που λαμβάνονται βάσει ενταλμάτων μαζικής απόκτησης μπορούν να επιλεγούν προς εξέταση.

(406)  Κώδικας ορθής πρακτικής για τη μαζική απόκτηση δεδομένων επικοινωνιών, παράγραφος 6.6 (βλ. υποσημείωση 399).

(407)  Το άρθρο 172 του IPA 2016 απαιτεί τη θέσπιση ειδικών εγγυήσεων για το στάδιο του φιλτραρίσματος και της επιλογής προς εξέταση των επικοινωνιών που αποκτώνται μαζικά. Επιπλέον, η εσκεμμένη εξέταση κατά παράβαση των εγγυήσεων αυτών συνιστά επίσης ποινικό αδίκημα (βλ. άρθρο 173 του IPA 2016).

(408)  Άρθρο 171 του IPA 2016.

(409)  Άρθρο 171 παράγραφος 9 του IPA 2016.

(410)  Άρθρο 162 του IPA 2016.

(411)  Άρθρο 163 του IPA 2016.

(412)  Άρθρα 164-166 του IPA 2016.

(413)  Άρθρο 159 του IPA 2016.

(414)  Ετήσια έκθεση του Γραφείου του Επιτρόπου Ερευνητικών Εξουσιών για το 2019, παράγραφος 8.6, βλ. υποσημείωση 463.

(415)  Ετήσια έκθεση του Γραφείου του Επιτρόπου Ερευνητικών Εξουσιών για το 2019, παράγραφος 10.4, βλ. υποσημείωση 463.

(416)  Ετήσια έκθεση του Γραφείου του Επιτρόπου Ερευνητικών Εξουσιών για το 2019, παράγραφος 8.37, βλ. υποσημείωση 463.

(417)  Άρθρο 200 του IPA 2016.

(418)  The UK Explanatory Framework for Adequacy Discussions, section H: National Security, σ. 34, βλ. υποσημείωση 29.

(419)  Άρθρο 204 του IPA 2016.

(420)  Κώδικας ορθής πρακτικής για τη διατήρηση και χρήση μαζικών συνόλων δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών, παράγραφος 4.7, διαθέσιμος στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/715478/Bulk_Personal_Datasets_Code_of_Practice.pdf.

(421)  Άρθρο 205 του IPA 2016.

(422)  Όπως, για παράδειγμα, ευαίσθητα δεδομένα προσωπικού χαρακτήρα, βλ. άρθρο 202 του IPA 2016 και κώδικα ορθής πρακτικής για τη διατήρηση και χρήση μαζικών συνόλων δεδομένων προσωπικού χαρακτήρα, παράγραφοι 4.21 και 4.12, βλ. υποσημείωση 469.

(423)  Η αίτηση για ειδικό ένταλμα για μαζικό σύνολο δεδομένων προσωπικού χαρακτήρα πρέπει να εξετάζεται από τον υπουργό σε μεμονωμένη βάση, δηλαδή σε σχέση με ένα συγκεκριμένο σύνολο δεδομένων. Το άρθρο 205 του IPA απαιτεί από την υπηρεσία πληροφοριών να συμπεριλάβει στην αίτησή της για την έκδοση ειδικού εντάλματος για μαζικό σύνολο δεδομένων προσωπικού χαρακτήρα αναλυτική επεξήγηση της φύσης και της έκτασης του επίμαχου υλικού και κατάλογο των «επιχειρησιακών σκοπών» για τους οποίους η οικεία υπηρεσία πληροφοριών επιθυμεί να εξετάσει το μαζικό σύνολο δεδομένων προσωπικού χαρακτήρα (όταν η υπηρεσία πληροφοριών ζητεί ένταλμα διατήρησης και εξέτασης και όχι μόνο εξέτασης). Αντιθέτως, στην περίπτωση έκδοσης εντάλματος για μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα γενικής κατηγορίας, ο υπουργός εξετάζει άπαξ και συνολικά ολόκληρη την κατηγορία των συνόλων δεδομένων.

(424)  Άρθρα 204 και 205 του IPA 2016.

(425)  Άρθρο 2 του IPA 2016.

(426)  Άρθρα 204 και 205 του IPA 2016.

(427)  Κώδικας ορθής πρακτικής για τη διατήρηση και χρήση μαζικών συνόλων δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών, παράγραφος 5.2, βλ. υποσημείωση 420.

(428)  Κώδικας ορθής πρακτικής για τη διατήρηση και χρήση μαζικών συνόλων δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών, παράγραφοι 8.1 έως 8.15, βλ. υποσημείωση 420.

(429)  The UK Explanatory Framework for Adequacy Discussions, section H: National Security, σ. 34, βλ. υποσημείωση 29.

(430)  Άρθρο 87 παράγραφος 1 του DPA 2018.

(431)  Άρθρο 87 παράγραφος 3 του DPA 2018. Αν και οι υπεύθυνοι επεξεργασίας μπορούν να εξαιρεθούν από την εν λόγω αρχή σύμφωνα με το άρθρο 110 του DPA 2018 στον βαθμό που απαιτείται η εν λόγω εξαίρεση για τη διαφύλαξη της εθνικής ασφάλειας, η εξαίρεση αυτή πρέπει να αξιολογείται κατά περίπτωση και μπορεί να χρησιμοποιηθεί μόνο εφόσον η εφαρμογή συγκεκριμένης διάταξης θα είχε αρνητικές συνέπειες για την εθνική ασφάλεια (βλ. αιτιολογική σκέψη 132). Τα πιστοποιητικά εθνικής ασφάλειας για τις υπηρεσίες πληροφοριών του Ηνωμένου Βασιλείου (πληροφορίες για τα οποία διατίθενται στον ακόλουθο σύνδεσμο: https://ico.org.uk/about-the-ico/our-information/national-security-certificates/) δεν καλύπτουν το άρθρο 87 παράγραφος 3 του DPA 2018. Επίσης, δεδομένου ότι κάθε επεξεργασία για άλλο σκοπό πρέπει να επιτρέπεται από τον νόμο, οι υπηρεσίες πληροφοριών πρέπει να διαθέτουν σαφή νομική βάση για την περαιτέρω επεξεργασία.

(432)  Για περισσότερες πληροφορίες σχετικά με τους σκοπούς αυτούς, βλ. υποσημείωση 312.

(433)  Βλ. υποσημείωση 312.

(434)  Κατευθυντήριες γραμμές του ICO σχετικά με την επεξεργασία από τις υπηρεσίες πληροφοριών (βλ. υποσημείωση 161).

(435)  Άρθρο 54 του IPA 2016.

(436)  Άρθρο 130 του IPA 2016.

(437)  Άρθρο 151 του IPA 2016.

(438)  Άρθρο 171 παράγραφος 9 του IPA 2016.

(439)  Άρθρο 192 του IPA 2016.

(440)  Οι ρυθμίσεις πρέπει να περιλαμβάνουν μέτρα τα οποία διασφαλίζουν ότι κάθε αντίγραφο οποιουδήποτε μέρους του εν λόγω υλικού αποθηκεύεται, για όσο διάστημα διατηρείται, με ασφάλεια. Το υλικό που λαμβάνεται βάσει εντάλματος και κάθε αντίγραφο οποιουδήποτε μέρους του υλικού αυτού πρέπει να καταστρέφονται αμέσως μόλις εκλείψουν οι σχετικοί λόγοι για τη διατήρησή τους (βλ. άρθρο 150 παράγραφοι 2 και 5 και άρθρο 151 παράγραφος 2 του IPA 2016). Αξίζει να σημειωθεί ότι παρόμοιες εγγυήσεις, οι οποίες προβλέπονταν στο προηγούμενο νομικό πλαίσιο (RIPA 2000), κρίθηκαν σύμφωνες με τις απαιτήσεις που έθεσε το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου για την ανταλλαγή υλικού που αποκτήθηκε με μαζικές παρακολουθήσεις με αλλοδαπά κράτη ή διεθνείς οργανισμούς [Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (Τμήμα Μείζονος Συνθέσεως), Big Brother Watch και λοιποί κατά Ηνωμένου Βασιλείου, (βλ. υποσημείωση 279 ανωτέρω), σκέψεις 362 και 399].

(441)  Άρθρο 116 του DPA 2018.

(442)  Σύμφωνα με το παράρτημα 13 παράγραφος 2 του DPA 2018, ο Επίτροπος μπορεί να απευθύνει σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία ειδοποιήσεις επιβολής μέτρων και ειδοποιήσεις επιβολής κυρώσεων για παραβιάσεις του μέρους 4 κεφάλαιο 2 του DPA 2018 (αρχές της επεξεργασίας), διάταξης του μέρους 4 του DPA 2018 με την οποία παρέχονται δικαιώματα σε υποκείμενο δεδομένων, της απαίτησης γνωστοποίησης παραβίασης που αφορά δεδομένα προσωπικού χαρακτήρα στον Επίτροπο σύμφωνα με το άρθρο 108 του DPA 2018, και των αρχών που διέπουν τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, χώρες που δεν είναι συμβαλλόμενα μέρη της Σύμβασης και διεθνείς οργανισμούς δυνάμει του άρθρου 109 του DPA 2018 (για περισσότερες λεπτομέρειες για τις ειδοποιήσεις επιβολής μέτρων και επιβολής κυρώσεων, βλ. αιτιολογική σκέψη 92).

(443)  Σύμφωνα με το άρθρο 147 παράγραφος 6 του DPA 2018, ο Επίτροπος Πληροφοριών δεν μπορεί να απευθύνει ειδοποίηση διενέργειας αξιολόγησης σε φορέα που καθορίζεται στο άρθρο 23 παράγραφος 3 του νόμου του 2000 για την ελευθερία της πληροφόρησης. Στους φορείς αυτούς περιλαμβάνονται η Υπηρεσία Ασφάλειας (MI5), η Μυστική Υπηρεσία Πληροφοριών (MI6) και η Κεντρική Κυβερνητική Υπηρεσία Επικοινωνιών (GCHQ).

(444)  Οι διατάξεις από την εφαρμογή των οποίων χωρεί εξαίρεση είναι: το άρθρο 108 (γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στον Επίτροπο), το άρθρο 119 (επιθεώρηση σύμφωνα με διεθνείς υποχρεώσεις)· τα άρθρα 142 έως 154 και το παράρτημα 15 (ειδοποιήσεις του Επιτρόπου και εξουσίες εισόδου και διενέργειας επιθεώρησης)· και τα άρθρα 170 έως 173 (αδικήματα σχετικά με δεδομένα προσωπικού χαρακτήρα). Επιπλέον, όσον αφορά την επεξεργασία από τις υπηρεσίες πληροφοριών, στο παράρτημα 13 (άλλα γενικά καθήκοντα του Επιτρόπου), η παράγραφος 1 στοιχεία (a) και (g) και η παράγραφος 2.

(445)  Memorandum of Understandings between Information Commission’s Office and the UK Intelligence Community, βλ. υποσημείωση 165.

(446)  Σε επτά από αυτές τις περιπτώσεις, το ICO συμβούλευσε τον καταγγέλλοντα να αναφέρει το ζήτημα στον υπεύθυνο επεξεργασίας δεδομένων (πρόκειται για την περίπτωση στην οποία ένα πρόσωπο έχει αναφέρει το ζήτημα στο ICO, αλλά θα έπρεπε πρώτα να είχε απευθυνθεί στον υπεύθυνο επεξεργασίας δεδομένων), σε μία από τις περιπτώσεις αυτές, το ICO παρείχε γενικές συμβουλές στον υπεύθυνο επεξεργασίας δεδομένων (αυτό εφαρμόζεται όταν οι ενέργειες του υπευθύνου επεξεργασίας δεν φαίνεται να έχουν γίνει κατά παράβαση της νομοθεσίας, αλλά με τη βελτίωση των πρακτικών θα μπορούσε να είχε αποφευχθεί το ζήτημα που αναφέρθηκε στο ICO), και στις υπόλοιπες 13 περιπτώσεις, δεν χρειάστηκε να αναληφθεί καμία ενέργεια από τον υπεύθυνο επεξεργασίας δεδομένων (αυτό συμβαίνει στις περιπτώσεις όπου τα ζητήματα που αναφέρει το πρόσωπο εμπίπτουν μεν στον νόμο του 2018 για την προστασία των δεδομένων, καθώς αφορούν την επεξεργασία πληροφοριών προσωπικού χαρακτήρα, πλην όμως βάσει των πληροφοριών που παρέχονται, ο υπεύθυνος επεξεργασίας δεν φαίνεται να έχει παραβεί τη νομοθεσία).

(447)  Σύμφωνα με το άρθρο 227 παράγραφοι 7 και 8 του IPA 2016, ο Επίτροπος Ερευνητικών Εξουσιών είναι δικαστικός επίτροπος, ενώ ο Επίτροπος Ερευνητικών Εξουσιών και οι άλλοι δικαστικοί επίτροποι καλούνται συλλογικά δικαστικοί επίτροποι. Επί του παρόντος υπάρχουν 15 δικαστικοί επίτροποι.

(448)  Σύμφωνα με το άρθρο 60 παράγραφος 2 του μέρους 3 του νόμου του 2005 περί συνταγματικής μεταρρύθμισης (Constitutional Reform Act 2005), ως «ανώτερο δικαστικό αξίωμα» νοείται το αξίωμα του δικαστή σε οποιοδήποτε από τα ακόλουθα δικαστήρια: i) το Ανώτατο Δικαστήριο (Supreme Court)· ii ) το Εφετείο Αγγλίας και Ουαλίας (Court of Appeal in England and Wales)· iii) το Ανώτερο Δικαστήριο Αγγλίας και Ουαλίας (High Court in England and Wales)· iv) το Ανώτατο Πολιτικό Δικαστήριο της Σκωτίας (Court of Session)· v) το Εφετείο Βόρειας Ιρλανδίας (Court of Appeal in Northern Ireland)· vi) το Ανώτερο Δικαστήριο Βόρειας Ιρλανδίας (High Court in Northern Ireland)· ή το αξίωμα του λόρδου δικαστή της Βουλής των Λόρδων (Lord of Appeal in Ordinary.)

(449)  Η ανεξαρτησία της δικαστικής εξουσίας βασίζεται σε εθιμικό κανόνα και αναγνωρίζεται ευρέως ήδη από τον νόμο του 1701 περί διαδοχής (1701 Act of Settlement).

(450)  Άρθρο 227 παράγραφος 3 του IPA 2016. Οι δικαστικοί επίτροποι πρέπει επίσης να προταθούν από τον Επίτροπο Ερευνητικών Εξουσιών — άρθρο 227 παράγραφος 4 του IPA 2016.

(451)  Άρθρο 238 του IPA 2016.

(452)  Άρθρο 227 παράγραφος 2 του IPA 2016.

(453)  Η διαδικασία παύσης είναι όμοια με τη διαδικασία παύσης των άλλων δικαστών στο Ηνωμένο Βασίλειο [βλ., για παράδειγμα, το άρθρο 11 παράγραφος 3 του νόμου του 1981 για τα ανώτερα δικαστήρια (Senior Courts Act 1981) και το άρθρο 33 του νόμου του 2005 περί συνταγματικής μεταρρύθμισης, τα οποία επίσης απαιτούν απόφαση που εγκρίνεται από αμφότερα τα σώματα του Κοινοβουλίου]. Μέχρι σήμερα, κανένας δικαστικός επίτροπος δεν έχει παυθεί από τα καθήκοντά του.

(454)  Ανεξάρτητος φορέας («arm’s-length body») είναι ο οργανισμός ή η υπηρεσία που λαμβάνει χρηματοδότηση από την κυβέρνηση, αλλά είναι σε θέση να ενεργεί ανεξάρτητα [για τον ορισμό και περισσότερες πληροφορίες σχετικά με τους ανεξάρτητους φορείς, βλ. το εγχειρίδιο του Υπουργικού Συμβουλίου σχετικά με την ταξινόμηση των δημόσιων φορέων, διαθέσιμο στον ακόλουθο σύνδεσμο: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/519571/Classification-of-Public_Bodies-Guidance-for-Departments.pdf, και την πρώτη έκθεση της συνόδου 2014-2015 της Ειδικής Επιτροπής Δημόσιας Διοίκησης της Βουλής των Κοινοτήτων (Public Administration Select Committee of the House of Commons), διαθέσιμη στον ακόλουθο σύνδεσμο: https://publications.parliament.uk/pa/cm201415/cmselect/cmpubadm/110/110.pdf].

(455)  Σύμφωνα με το άρθρο 229 του IPA 2016, ο δικαστικός επίτροπος διαθέτει εκτεταμένες εποπτικές εξουσίες, οι οποίες καλύπτουν επίσης την εποπτεία της διατήρησης και της κοινοποίησης των δεδομένων που συλλέγονται από τις υπηρεσίες πληροφοριών.

(456)  Εναπόκειται στους δικαστικούς επιτρόπους να αποφασίσουν αν θα εγκρίνουν απόφαση του υπουργού για την έκδοση εντάλματος. Εάν ένας επίτροπος αρνηθεί να εγκρίνει ένταλμα, ο υπουργός μπορεί να απευθυνθεί στον Επίτροπο Ερευνητικών Εξουσιών, του οποίου η απόφαση είναι οριστική.

(457)  Για την απόκτηση δεδομένων επικοινωνίας για σκοπούς επιβολής του νόμου ζητείται πάντοτε η άδεια του Επιτρόπου Ερευνητικών Εξουσιών (άρθρο 60A του IPA 2016). Στην περίπτωση απόκτησης δεδομένων επικοινωνίας για σκοπούς εθνικής ασφάλειας, η άδεια μπορεί να χορηγηθεί από τον Επίτροπο Ερευνητικών Εξουσιών ή, εναλλακτικά, από εντεταλμένο ανώτερο υπάλληλο της οικείας δημόσιας αρχής (βλ. άρθρα 61 και 61Α του IPA 2016 και αιτιολογική σκέψη 203).

(458)  End of Mission Statement of the Special Rapporteur on the Right to Privacy at the Conclusion Of his Mission to the United Kingdom of Great Britain and Northern Ireland, (βλ. υποσημείωση:281).

(459)  Άρθρο 229 του IPA 2016. Οι εξουσίες και ενημέρωσης των δικαστικών επιτρόπων καθορίζονται στο άρθρο 235 του IPA 2016.

(460)  Αυτά περιλαμβάνουν τα μέτρα επιτήρησης στο πλαίσιο του RIPA 2000, την άσκηση των καθηκόντων του μέρους 3 του νόμου του 1997 για την αστυνομία (Police Act 1997) (έγκριση ενεργειών σε σχέση με ακίνητα) και την άσκηση από τον υπουργό των καθηκόντων που προβλέπονται στα άρθρα 5 έως 7 του νόμου του 1994 για τις υπηρεσίες πληροφοριών (εντάλματα για παρεμβολές σε ασύρματη τηλεγραφία, είσοδος και επέμβαση σε ακίνητο (άρθρο 229 του IPA 2016).

(461)  Άρθρο 230 του IPA 2016. Ο Επίτροπος Ερευνητικών Εξουσιών μπορεί επίσης, με δική του πρωτοβουλία, να αναφέρει στον πρωθυπουργό οποιοδήποτε ζήτημα σχετικό με τα καθήκοντά του. Ο Επίτροπος Ερευνητικών Εξουσιών έχει επίσης την υποχρέωση να λογοδοτεί στον πρωθυπουργό κατόπιν αιτήματος του τελευταίου, ενώ ο πρωθυπουργός μπορεί να ζητήσει από τον Επίτροπο Ερευνητικών Εξουσιών να ελέγξει τον τρόπο άσκησης οποιωνδήποτε καθηκόντων των υπηρεσιών πληροφοριών.

(462)  Ορισμένα τμήματα μπορούν να απαλειφθούν εάν η δημοσίευσή τους θα αντίκειτο στην εθνική ασφάλεια.

(463)  Για παράδειγμα, στην ετήσια έκθεση του IPCO για το 2019 (παράγραφος 6.38) αναφέρεται ότι απευθύνθηκε σύσταση προς την MI5 να τροποποιήσει την πολιτική της για τη διατήρηση μαζικών συνόλων δεδομένων προσωπικού χαρακτήρα, διότι θα έπρεπε να είχε υιοθετήσει μια προσέγγιση στο πλαίσιο της οποίας να λαμβάνεται υπόψη η αναλογικότητα της διατήρησης σε όλα τα πεδία σε σχέση με τα οποία διατηρούνται μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα και για κάθε μαζικό σύνολο δεδομένων προσωπικού χαρακτήρα που διατηρείται. Στο τέλος του 2018 το IPCO δεν είχε λάβει διαβεβαίωση ότι η σύσταση αυτή εφαρμόστηκε και στην έκθεση του 2019 ανέφερε ότι η MI5 εισήγαγε κατά τον χρόνο εκείνο νέα διαδικασία για την εκπλήρωση αυτής της απαίτησης. Η ετήσια έκθεση για το 2019 (παράγραφος 8.22) αναφέρει επίσης ότι η GHCQ έλαβε σειρά συστάσεων σχετικά με τα αρχεία στα οποία γίνεται καταγραφή των λόγων που εξηγούν την αναλογικότητα των αναζητήσεων που διενεργεί σε μαζικά δεδομένα. Η έκθεση επιβεβαιώνει ότι, από το τέλος του 2018, έχουν επέλθει βελτιώσεις στον τομέα αυτόν. Annual Report of the Investigatory Powers Commissioner Office 2019, διαθέσιμη στον ακόλουθο σύνδεσμο: https://www.ipco.org.uk/docs/IPC%20Annual%20Report%202019_Web%20Accessible%20version_final.pdf. Επιπλέον, κάθε επιθεώρηση του IPCO σε δημόσια αρχή ολοκληρώνεται με έκθεση που υποβάλλεται στην αρχή και περιλαμβάνει τις τυχόν συστάσεις που προκύπτουν από την εν λόγω επιθεώρηση. Στη συνέχεια, το IPCO ξεκινά κάθε επόμενη επιθεώρηση με επανεξέταση των τυχόν προηγούμενων συστάσεων από την τελευταία επιθεώρηση και στη νέα έκθεση επιθεώρησης αποτυπώνεται το κατά πόσον οι προηγούμενες συστάσεις ελήφθησαν υπόψη ή απομένει να εφαρμοστούν.

(464)  Ένα σφάλμα θεωρείται «σοβαρό» όταν ο Επίτροπος Ερευνητικών Εξουσιών θεωρεί ότι έχει προκαλέσει σημαντική ζημία ή βλάβη στο οικείο πρόσωπο (άρθρο 231 παράγραφος 2 του IPA 2016). Το 2018 αναφέρθηκαν 22 σφάλματα, από τα οποία τα οκτώ θεωρήθηκαν σοβαρά και οδήγησαν στην ενημέρωση του οικείου προσώπου. Βλ. Annual Report of the Investigatory Powers Commissioner Office 2018, παράρτημα C, (βλ. https://www.ipco.org.uk/docs/IPCO%20Annual%20Report%202018%20final.pdf). Το 2019 14 σφάλματα θεωρήθηκαν σοβαρά. Βλ. Annual Report of the Investigatory Powers Commissioner Office 2019, παράρτημα C, βλ. υποσημείωση 463.

(465)  Το άρθρο 231 του IPA 2016 ορίζει ότι ο Επίτροπος Ερευνητικών Εξουσιών, όταν ενημερώνει ένα πρόσωπο σχετικά με κάποιο σφάλμα, πρέπει να του παρέχει τα στοιχεία που ο ίδιος θεωρεί αναγκαία για την άσκηση των εν λόγω δικαιωμάτων, λαμβανομένου ιδίως υπόψη του βαθμού στον οποίο η γνωστοποίηση των στοιχείων αυτών θα αντίκειτο στο δημόσιο συμφέρον ή θα μπορούσε να αποβεί σε βάρος της πρόληψης ή της ανίχνευσης σοβαρού εγκλήματος, της οικονομικής ευημερίας του Ηνωμένου Βασιλείου ή της αδιάλειπτης άσκησης των καθηκόντων οποιασδήποτε υπηρεσίας πληροφοριών.

(466)  Όπως εξήγησαν οι αρχές του Ηνωμένου Βασιλείου, ο νόμος για τη δικαιοσύνη και την ασφάλεια διεύρυνε το πεδίο αρμοδιοτήτων της ISC, ώστε να επεκταθεί ο ρόλος της εποπτείας της Κοινότητας Πληροφοριών πέραν των τριών υπηρεσιών και να επιτραπεί η αναδρομική εποπτεία των επιχειρησιακών δραστηριοτήτων των υπηρεσιών σε θέματα σημαντικού εθνικού ενδιαφέροντος.

(467)  Άρθρο 2 του JSA 2013.

(468)  Μνημόνιο συμφωνίας μεταξύ του πρωθυπουργού και της ISC, διαθέσιμο στον ακόλουθο σύνδεσμο: http://data.parliament.uk/DepositedPapers/Files/DEP2013-0415/AnnexA-JSBill-summaryofISCMoU.pdf.

(469)  Μνημόνιο συμφωνίας μεταξύ του πρωθυπουργού και της ISC, παράγραφος 14, βλ. υποσημείωση 468.

(470)  Ο υπουργός μπορεί να ασκήσει δικαίωμα αρνησικυρίας έναντι της κοινολόγησης πληροφοριών μόνο για δύο λόγους: οι πληροφορίες είναι ευαίσθητες και δεν θα πρέπει να κοινολογηθούν στην ISC για λόγους εθνικής ασφάλειας· ή ο χαρακτήρας των πληροφοριών είναι τέτοιος που, σε περίπτωση που υποβαλλόταν αίτημα στον υπουργό να τις προσκομίσει ενώπιον ειδικής επιτροπής ελέγχου των εργασιών των υπουργείων (Departmental Select Committee) της Βουλής των Κοινοτήτων, ο υπουργός θα θεωρούσε ορθό να μην τις προσκομίσει (για λόγους που δεν περιορίζονται στην εθνική ασφάλεια). [Παράρτημα 1 παράγραφος 4 σημείο 2) του JSA 2013].

(471)  The UK Explanatory Framework for Adequacy Discussions, section H: National Security, σ. 43, βλ. υποσημείωση 31.

(472)  Άρθρο 1 του JSA 2013. Υπουργοί δεν μπορούν να διοριστούν μέλη της ISC. Η θητεία των μελών της ISC διαρκεί όσο και η θητεία του Κοινοβουλίου κατά τη διάρκεια της οποίας διορίστηκαν. Μπορούν να παυθούν από τα καθήκοντά τους με απόφαση του σώματος του Κοινοβουλίου από το οποίο διορίστηκαν ή εάν παύσουν να είναι βουλευτές ή αναλάβουν το αξίωμα του υπουργού. Τα μέλη μπορούν επίσης να παραιτηθούν.

(473)  Οι εκθέσεις και οι δηλώσεις της ISC διατίθενται ηλεκτρονικά στον ακόλουθο σύνδεσμο: https://isc.independent.gov.uk/publications/. Το 2015 η ISC εξέδωσε έκθεση με τίτλο: «Privacy and Security: A modern and transparent legal framework» (βλ.: https://isc.independent.gov.uk/wp-content/uploads/2021/01/20150312_ISC_PSRptweb.pdf), στο πλαίσιο της οποίας εξέτασε το νομικό πλαίσιο για τις τεχνικές επιτήρησης που χρησιμοποιούν οι υπηρεσίες πληροφοριών και εξέδωσε σειρά συστάσεων οι οποίες στη συνέχεια εξετάστηκαν και ενσωματώθηκαν στο νομοσχέδιο για τις ερευνητικές εξουσίες, το οποίο μετατράπηκε σε νόμο, και συγκεκριμένα στον IPA 2016. Η απάντηση της κυβέρνησης στην έκθεση για την ιδιωτικότητα και την ασφάλεια διατίθεται στον ακόλουθο σύνδεσμο: https://b1cba9b3-a-5e6631fd-s-sites.googlegroups.com/a/independent.gov.uk/isc/files/20151208_Privacy_and_Security_Government_Response.pdf.

(474)  Άρθρα 142, 161 και 183 του IPA 2016.

(475)  Άρθρο 234 του IPA 2016.

(476)  Άρθρο 236 του IPA 2016.

(477)  Intelligence and Security Committee of Parliament, Report on the draft Investigatory Powers Bill, διαθέσιμη στον ακόλουθο σύνδεσμο: https://isc.independent.gov.uk/wp-content/uploads/2021/01/20160209_ISC_Rpt_IPBillweb.pdf

(478)  Αυτές οι γενικές υποχρεώσεις σε σχέση με την ιδιωτικότητα καθορίζονται πλέον στο άρθρο 2 παράγραφος 2 του IPA 2016, σύμφωνα με το οποίο, η δημόσια αρχή που ενεργεί στο πλαίσιο του IPA 2016 πρέπει να εξετάζει αν ο σκοπός που επιδιώκεται με το ένταλμα, την άδεια ή την ειδοποίηση θα μπορούσε εύλογα να επιτευχθεί με άλλα, λιγότερο παρεμβατικά μέσα, αν το επίπεδο προστασίας που πρέπει να εφαρμοστεί για την απόκτηση πληροφοριών δυνάμει εντάλματος, άδειας ή ειδοποίησης είναι υψηλότερο λόγω του ιδιαίτερα ευαίσθητου χαρακτήρα των συγκεκριμένων πληροφοριών, το δημόσιο συμφέρον που έγκειται στη διαφύλαξη της ακεραιότητας και της ασφάλειας των συστημάτων τηλεπικοινωνιών και των ταχυδρομικών υπηρεσιών, καθώς και οποιεσδήποτε άλλες πτυχές δημόσιου συμφέροντος που έγκειται στην προστασία της ιδιωτικότητας.

(479)  Για παράδειγμα, κατόπιν αιτήματος της ISC, ο αριθμός των ημερών κατά τις οποίες ένα «επείγον» ένταλμα μπορεί να βρίσκεται σε ισχύ προτού εγκριθεί από τον δικαστικό επίτροπο μειώθηκε από πέντε σε τρεις εργάσιμες ημέρες, ενώ ανατέθηκε στην ISC η εξουσία να παραπέμπει υποθέσεις στον Επίτροπο Ερευνητικών Εξουσιών προς διερεύνηση.

(480)  Schrems ΙI, σκέψη 194.

(481)  Schrems II, σκέψη 197.

(482)  Άρθρο 94 παράγραφος 11 του DPA 2018.

(483)  Άρθρο 99 παράγραφος 4 του DPA 2018.

(484)  Άρθρο 100 παράγραφος 1 του DPA 2018.

(485)  Το άρθρο 169 του DPA 2018 επιτρέπει την άσκηση αξιώσεων από «πρόσωπο που υφίσταται ζημία λόγω παραβίασης απαίτησης της νομοθεσίας για την προστασία των δεδομένων». Σύμφωνα με τις πληροφορίες που παρείχαν οι αρχές του Ηνωμένου Βασιλείου, στην πράξη, μια αξίωση ή καταγγελία κατά των υπηρεσιών πληροφοριών είναι πιθανό να υποβληθεί στο Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών, το οποίο διαθέτει ευρεία δικαιοδοσία και μπορεί να επιδικάσει αποζημίωση, ενώ η άσκηση της αξίωσης ενώπιον του εν λόγω οργάνου δεν συνεπάγεται έξοδα.

(486)  Άρθρο 169 παράγραφος 5 του DPA 2018.

(487)  Σύμφωνα με το παράρτημα 3 του RIPA 2000, τα μέλη πρέπει να διαθέτουν ειδική δικαστική πείρα και η θητεία τους μπορεί να ανανεωθεί.

(488)  Η «αναγγελία» (address) είναι αίτηση που κατατίθεται στο Κοινοβούλιο με την οποία ζητείται να ενημερωθεί ο μονάρχης σχετικά με τη γνώμη του Κοινοβουλίου για συγκεκριμένο ζήτημα.

(489)  Παράρτημα 3 παράγραφος 1 σημείο 5 του RIPA 2000.

(490)  Άρθρο 65 παράγραφος 5 του RIPA 2000.

(491)  Όσον αφορά τον έλεγχο του κριτηρίου της «πεποίθησης» βλ. την υπόθεση Human Rights Watch κατά Secretary of State [2016] UKIPTrib15_165-CH, σκέψη 41. Στην υπόθεση αυτή, το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών, παραπέμποντας στη νομολογία του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου, έκρινε ότι το κατάλληλο κριτήριο είναι αν, όσον αφορά την προβαλλόμενη πεποίθηση ότι οποιαδήποτε συμπεριφορά που εμπίπτει στο άρθρο 68 παράγραφος 5 του RIPA 2000 ασκήθηκε από ή για λογαριασμό οποιασδήποτε από τις υπηρεσίες πληροφοριών, υπάρχει οποιοδήποτε έρεισμα για την πεποίθηση αυτή, πράγμα το οποίο σημαίνει ότι το άτομο μπορεί να ισχυριστεί ότι υπήρξε θύμα παραβίασης που προκλήθηκε από την ύπαρξη και μόνο μυστικών μέτρων ή νομοθεσίας που επιτρέπει τη λήψη μυστικών μέτρων, μόνον εφόσον είναι σε θέση να αποδείξει ότι, λόγω της προσωπικής του κατάστασης, διατρέχει ενδεχομένως τον κίνδυνο να υποβληθεί σε αυτά τα μέτρα.

(492)  Άρθρο 65 παράγραφος 4 στοιχείο (a) του RIPA 2000.

(493)  Οι περιστάσεις αυτές αναφέρονται σε συμπεριφορά δημόσιων αρχών που λαμβάνει χώρα κατόπιν εξουσιοδότησης (π.χ. ένταλμα, άδεια/ειδοποίηση για την απόκτηση δεδομένων επικοινωνιών κ.λπ.), ή εάν οι περιστάσεις είναι τέτοιες ώστε (ανεξάρτητα από το αν υπάρχει ή όχι τέτοια εξουσιοδότηση) δεν θα ήταν ενδεδειγμένο η συμπεριφορά να λάβει χώρα χωρίς αυτή την εξουσιοδότηση, ή τουλάχιστον χωρίς να έχει εξεταστεί δεόντως αν θα έπρεπε να ζητηθεί η εν λόγω εξουσιοδότηση. Συμπεριφορές που έχουν εγκριθεί από δικαστικό επίτροπο θεωρείται ότι έλαβαν χώρα υπό περιστάσεις δεκτικές προσφυγής (άρθρο 67 παράγραφος 7ΖΑ του RIPA 2000), ενώ άλλες συμπεριφορές που λαμβάνουν χώρα με την άδεια προσώπου που κατέχει δικαστικό αξίωμα θεωρείται ότι δεν έλαβαν χώρα υπό περιστάσεις δεκτικές προσφυγής (άρθρο 65 παράγραφοι 7 και 8 του RIPA 2000).

(494)  Σύμφωνα με τις πληροφορίες που παρασχέθηκαν από τις αρχές του Ηνωμένου Βασιλείου, το χαμηλό όριο όσον αφορά την ελάχιστη προϋπόθεση για την υποβολή καταγγελίας έχει ως αποτέλεσμα να μην είναι ασυνήθεις οι περιπτώσεις στις οποίες το IPT διαπιστώνει, στο πλαίσιο της διερεύνησης της υπόθεσης, ότι στην πραγματικότητα ο καταγγέλλων ουδέποτε υποβλήθηκε σε έρευνα από δημόσια αρχή. Στην πλέον πρόσφατη στατιστική έκθεση του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών αναφέρεται ότι το 2016 υποβλήθηκαν στο εν λόγω όργανο 209 καταγγελίες, από τις οποίες το 52 % θεωρήθηκαν αβάσιμες ή κακόβουλες, ενώ για το 25 % κρίθηκε ότι δεν ήταν δυνατή η έκδοση απόφασης. Οι αρχές του Ηνωμένου Βασιλείου εξήγησαν ότι αυτό σημαίνει είτε ότι δεν έγινε χρήση μυστικής δραστηριότητας/εξουσίας σε σχέση με τον καταγγέλλοντα είτε ότι έγινε χρήση μυστικών τεχνικών και το Ειδικό Δικαιοδοτικό Όργανο έκρινε ότι η δραστηριότητα ήταν νόμιμη. Επιπλέον, το 11 % των καταγγελιών κρίθηκαν ότι είχαν ασκηθεί αναρμοδίως, αποσύρθηκαν ή δεν ήταν έγκυρες, το 5 % κρίθηκαν εκπρόθεσμες, ενώ για το 7 % των καταγγελιών εκδόθηκε απόφαση υπέρ του καταγγέλλοντος. Statistical Report of the Investigatory Powers Tribunal 2016, διαθέσιμη: https://www.ipt-uk.com/docs/IPT%20Statisical%20Report%202016.pdf.

(495)  Βλ. υπόθεση Human Rights Watch κατά Secretary of State, [2016] UKIPTrib15_165-CH. Στην υπόθεση αυτή, το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών, παραπέμποντας στη νομολογία του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου, έκρινε ότι το κατάλληλο κριτήριο όσον αφορά την πεποίθηση ότι οποιαδήποτε συμπεριφορά που εμπίπτει στο άρθρο 68 παράγραφος 5 του RIPA 2000 ασκήθηκε από ή για λογαριασμό οποιασδήποτε από τις υπηρεσίες πληροφοριών είναι αν υπάρχει οποιοδήποτε έρεισμα για την πεποίθηση αυτή, συμπεριλαμβανομένου του γεγονότος ότι το άτομο μπορεί να ισχυριστεί ότι υπήρξε θύμα παραβίασης που προκλήθηκε από την ύπαρξη και μόνο μυστικών μέτρων ή νομοθεσίας που επιτρέπει τη λήψη μυστικών μέτρων, μόνο εφόσον είναι σε θέση να αποδείξει ότι, λόγω της προσωπικής του κατάστασης, διατρέχει ενδεχομένως τον κίνδυνο να υποβληθεί σε αυτά τα μέτρα (βλ. Human Rights Watch κατά Secretary of State, σκέψη 41).

(496)  Άρθρο 67 παράγραφος 3 του RIPA 2000.

(497)  Άρθρο 67 παράγραφος 2 του RIPA 2000.

(498)  Άρθρο 68 παράγραφοι 6-7 του RIPA 2000.

(499)  Άρθρο 68 παράγραφος 4 του RIPA 2000.

(500)  Παράδειγμα άσκησης των εξουσιών αυτών αποτελεί η υπόθεση Liberty & Others κατά the Security Service, SIS, GCHQ, [2015] UKIP Trib 13_77-H_2. Το Ειδικό Δικαιοδοτικό Όργανο αποφάνθηκε υπέρ δύο καταγγελλόντων διότι η επικοινωνία, στη μία περίπτωση, διατηρήθηκε πέραν των ορίων που είχαν τεθεί και, στην άλλη περίπτωση, διότι δεν τηρήθηκε η διαδικασία εξέτασης που καθορίζεται στον εσωτερικό κανονισμό της GCHQ. Στην πρώτη περίπτωση, το Ειδικό Δικαιοδοτικό Όργανο διέταξε τις υπηρεσίες πληροφοριών να καταστρέψουν τις επικοινωνίες που είχαν διατηρηθεί για διάστημα μεγαλύτερο από το σχετικό χρονικό όριο. Στη δεύτερη περίπτωση, δεν εκδόθηκε εντολή καταστροφής διότι δεν υπήρχε διατήρηση της επικοινωνίας.

(501)  Kennedy, βλ. υποσημείωση 129.

(502)  Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου, Big Brother Watch και λοιποί κατά Ηνωμένου Βασιλείου (βλ. υποσημείωση 268 ανωτέρω), σκέψεις 413-415.

(503)  Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου, Big Brother Watch, σκέψη 425.

(504)  Όπως προκύπτει, για παράδειγμα, από την πρόσφατη απόφαση του Τμήματος Μείζονος Συνθέσεως του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου στην υπόθεση Big Brother Watch και λοιποί κατά Ηνωμένου Βασιλείου (βλ. υποσημείωση 279 ανωτέρω), αυτό επιτρέπει αποτελεσματικό δικαστικό έλεγχο —παρόμοιο με εκείνον στον οποίο υπόκεινται τα κράτη μέλη της ΕΕ— από διεθνές δικαστήριο όσον αφορά τη συμμόρφωση των δημόσιων αρχών με τα θεμελιώδη δικαιώματα κατά την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα. Επιπλέον, η εφαρμογή των αποφάσεων του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου υπόκειται σε ειδική εποπτεία από το Συμβούλιο της Ευρώπης.

(505)  Στην υπόθεση Belhaj & others [2017] UKSC 3 η διαπίστωση του παράνομου χαρακτήρα της παρακολούθησης υλικού που υπόκειται σε νομικό προνόμιο βασίστηκε απευθείας στο άρθρο 8 της ΕΣΔΑ (βλ. σημείο 11).

(506)  High Court of Justice, Liberty, [2019] EWHC 2057 (Admin), σκέψη 170.

(507)  Schrems, σκέψη 65.

(508)  Schrems, σκέψη 65: «Ως προς το ζήτημα αυτό απόκειται στον εθνικό νομοθέτη να προβλέψει μέσα παροχής ενδίκου προστασίας παρέχοντα τη δυνατότητα στην οικεία εθνική αρχή ελέγχου να προβάλει τις αιτιάσεις που κρίνει βάσιμες ενώπιον των εθνικών δικαστηρίων, ώστε αυτά, αν συμφωνούν ότι υπάρχουν αμφιβολίες ως προς το κύρος της αποφάσεως της Επιτροπής, να υποβάλουν προδικαστικό ερώτημα προς έλεγχο του κύρους της συγκεκριμένης αποφάσεως».

(509)  Γνώμη 14/2021 σχετικά με το σχέδιο εκτελεστικής απόφασης της Ευρωπαϊκής Επιτροπής σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 σχετικά με την επάρκεια της προστασίας των δεδομένων προσωπικού χαρακτήρα στο Ηνωμένο Βασίλειο, διαθέσιμη στον ακόλουθο σύνδεσμο: https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-142021-regarding-european-commission-draft_el.


Top