(1)

Ο κανονισμός (ΕΕ) 2016/679 θεσπίζει τους κανόνες που διέπουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στην Ευρωπαϊκή Ένωση προς τρίτες χώρες και διεθνείς οργανισμούς, στον βαθμό που η εν λόγω διαβίβαση εμπίπτει στο πεδίο εφαρμογής του. Οι κανόνες για τις διεθνείς διαβιβάσεις δεδομένων καθορίζονται στο κεφάλαιο V του εν λόγω κανονισμού, δηλαδή στα άρθρα 44 έως 50. Μολονότι η ροή δεδομένων προσωπικού χαρακτήρα προς και από χώρες εκτός της Ευρωπαϊκής Ένωσης είναι απαραίτητη για την επέκταση της διεθνούς συνεργασίας και του διασυνοριακού εμπορίου, το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που παρέχεται στην Ευρωπαϊκή Ένωση δεν πρέπει να υπονομεύεται από διαβιβάσεις προς τρίτες χώρες (2).

(2)

Σύμφωνα με το άρθρο 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, η Επιτροπή μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Υπό την προϋπόθεση αυτή, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια, όπως προβλέπεται στο άρθρο 45 παράγραφος 1 και στην αιτιολογική σκέψη 103 του εν λόγω κανονισμού.

(3)

Όπως ορίζεται στο άρθρο 45 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679, η έκδοση απόφασης επάρκειας πρέπει να βασίζεται σε ολοκληρωμένη ανάλυση της έννομης τάξης της τρίτης χώρας, η οποία καλύπτει τόσο τους κανόνες στους οποίους υπάγονται οι εισαγωγείς δεδομένων όσο και τους περιορισμούς και τις εγγυήσεις σχετικά με την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα. Στην εκτίμησή της, η Επιτροπή πρέπει να προσδιορίζει αν η τρίτη χώρα εγγυάται επίπεδο προστασίας «ουσιωδώς ισοδύναμο» με αυτό που διασφαλίζεται εντός της Ευρωπαϊκής Ένωσης [αιτιολογική σκέψη 104 του κανονισμού (ΕΕ) 2016/679]. Το πρότυπο με βάση το οποίο αξιολογείται η «ουσιώδης ισοδυναμία» είναι εκείνο που καθορίζεται από τη νομοθεσία της Ευρωπαϊκής Ένωσης, ιδίως από τον κανονισμό (ΕΕ) 2016/679, καθώς και από τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (3). Σημαντικά από την άποψη αυτή είναι επίσης τα σημεία αναφοράς για την επάρκεια του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (στο εξής: ΕΣΠΔ) (4).

(4)

Όπως έχει διευκρινιστεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης, αυτό δεν συνεπάγεται απαίτηση για το ίδιο ακριβώς επίπεδο προστασίας (5). Ειδικότερα, τα μέσα που χρησιμοποιεί η τρίτη χώρα για την προστασία των δεδομένων προσωπικού χαρακτήρα μπορεί να διαφέρουν από αυτά που εφαρμόζονται εντός της Ευρωπαϊκής Ένωσης, εφόσον αποδεικνύονται στην πράξη αποτελεσματικά ώστε να διασφαλίζουν επαρκές επίπεδο προστασίας (6). Συνεπώς, το πρότυπο της επάρκειας δεν επιβάλλει πιστή αντιγραφή των κανόνων της Ένωσης. Το καθοριστικό στοιχείο είναι κυρίως αν, μέσω της ουσίας των δικαιωμάτων προστασίας των δεδομένων, της αποτελεσματικής εφαρμογής τους, καθώς και της δυνατότητας επιβολής και εποπτείας τους, το σύστημα της τρίτης χώρας ως σύνολο προσφέρει το απαιτούμενο επίπεδο προστασίας (7).

(5)

Η Επιτροπή έχει αναλύσει προσεκτικά τη νομοθεσία και την πρακτική του Ηνωμένου Βασιλείου. Με βάση τα πορίσματα που αναπτύσσονται στις αιτιολογικές σκέψεις 8 έως 270, η Επιτροπή καταλήγει στο συμπέρασμα ότι το Ηνωμένο Βασίλειο διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται εντός του πεδίου εφαρμογής του κανονισμού (ΕΕ) 2016/679 από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο.

(6)

Το συμπέρασμα αυτό δεν αφορά τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται για σκοπούς ελέγχου της μετανάστευσης στο Ηνωμένο Βασίλειο ή τα οποία εμπίπτουν άλλως στο πεδίο εφαρμογής της εξαίρεσης από ορισμένα δικαιώματα των υποκειμένων των δεδομένων για τους σκοπούς της διατήρησης αποτελεσματικού ελέγχου της μετανάστευσης (η επονομαζόμενη «εξαίρεση για τη μετανάστευση») σύμφωνα με την παράγραφο 4 σημείο (1) του παραρτήματος 2 του νόμου του Ηνωμένου Βασιλείου για την προστασία των δεδομένων (Data Protection Act). Κατόπιν μιας απόφασης του Εφετείου της Αγγλίας και Ουαλίας (England and Wales Court of Appeal) της 26ης Μαΐου 2021, το κύρος και η ερμηνεία της εξαίρεσης για τη μετανάστευση βάσει του δικαίου του Ηνωμένου Βασιλείου δεν αποτελούν διευθετημένα ζητήματα. Το Εφετείο, ενώ αναγνώρισε ότι τα δικαιώματα των υποκειμένων των δεδομένων μπορούν, καταρχήν, να περιοριστούν για σκοπούς ελέγχου της μετανάστευσης, ως «σημαντικής πτυχής του δημόσιου συμφέροντος», έκρινε ότι η εξαίρεση για τη μετανάστευση, υπό την παρούσα μορφή της, είναι ασυμβίβαστη με το δίκαιο του Ηνωμένου Βασιλείου, δεδομένου ότι το νομοθετικό μέτρο δεν περιλαμβάνει ειδικές διατάξεις που να καθορίζουν τις εγγυήσεις που απαριθμούνται στο άρθρο 23 παράγραφος 2 του γενικού κανονισμού του Ηνωμένου Βασιλείου για την προστασία των δεδομένων (United Kingdom General Data Protection Regulation) (στο εξής: ΓΚΠΔ του Ηνωμένου Βασιλείου) (8). Υπό τις συνθήκες αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την Ένωση προς το Ηνωμένο Βασίλειο για τις οποίες μπορεί να εφαρμοστεί η εξαίρεση για τη μετανάστευση θα πρέπει να εξαιρεθούν από το πεδίο εφαρμογής της παρούσας απόφασης (9). Μόλις αποκατασταθεί η ασυμβατότητα με το δίκαιο του Ηνωμένου Βασιλείου, η εξαίρεση για τη μετανάστευση θα πρέπει να επανεξεταστεί, όπως και η ανάγκη να διατηρηθεί ο περιορισμός του πεδίου εφαρμογής της παρούσας απόφασης.

(7)

Η παρούσα απόφαση δεν θα πρέπει να θίγει την άμεση εφαρμογή του κανονισμού (ΕΕ) 2016/679 σε οργανισμούς που είναι εγκατεστημένοι στο Ηνωμένο Βασίλειο, εφόσον πληρούνται οι προϋποθέσεις σχετικά με το εδαφικό πεδίο εφαρμογής του εν λόγω κανονισμού, όπως ορίζεται στο άρθρο 3 του εν λόγω κανονισμού.

(8)

Το Ηνωμένο Βασίλειο είναι κοινοβουλευτική δημοκρατία που έχει συνταγματικό μονάρχη ως αρχηγό του κράτους. Διαθέτει κυρίαρχο κοινοβούλιο, το οποίο είναι ανώτερο όλων των άλλων κυβερνητικών οργάνων, εκτελεστική εξουσία η οποία προέρχεται από το κοινοβούλιο και λογοδοτεί σε αυτό και ανεξάρτητη δικαστική εξουσία. Η εκτελεστική εξουσία αντλεί την εξουσία της από την ικανότητά της να απολαμβάνει την εμπιστοσύνη της εκλεγμένης Βουλής των Κοινοτήτων και λογοδοτεί και στα δύο σώματα του Κοινοβουλίου, που είναι αρμόδια για τον έλεγχο της κυβέρνησης και για τη συζήτηση και ψήφιση των νόμων.

(9)

Το Κοινοβούλιο του Ηνωμένου Βασιλείου έχει εκχωρήσει αρμοδιότητες στο Κοινοβούλιο της Σκωτίας, στο Κοινοβούλιο της Ουαλίας (Senedd Cymru) και στη Συνέλευση της Βόρειας Ιρλανδίας για τη θέσπιση νομοθεσίας σχετικά με εσωτερικά ζητήματα της Σκωτίας, της Ουαλίας και της Βόρειας Ιρλανδίας επί των οποίων το Κοινοβούλιο του Ηνωμένου Βασιλείου δεν έχει διατηρήσει την αποκλειστική αρμοδιότητα. Παρότι η προστασία των δεδομένων αποτελεί θέμα αποκλειστικής αρμοδιότητας, δηλαδή η ίδια νομοθεσία ισχύει σε ολόκληρη τη χώρα, άλλοι τομείς πολιτικής που σχετίζονται με την παρούσα απόφαση έχουν αποκεντρωθεί. Για παράδειγμα, τα συστήματα ποινικής δικαιοσύνης, συμπεριλαμβανομένης της αστυνόμευσης, της Σκωτίας και της Βόρειας Ιρλανδίας έχουν αποκεντρωθεί στο Κοινοβούλιο της Σκωτίας και στη Συνέλευση της Βόρειας Ιρλανδίας αντίστοιχα. Το Ηνωμένο Βασίλειο δεν διαθέτει κωδικοποιημένο σύνταγμα υπό την έννοια ενός παγιωμένου συνταγματικού εγγράφου. Οι συνταγματικές αρχές έχουν προκύψει με την πάροδο του χρόνου και προέρχονται από τη νομολογία και από συμβάσεις. Τα δικαστήρια έχουν αναγνωρίσει τη συνταγματική αξία ορισμένων νόμων, όπως η Magna Carta, η Διακήρυξη των Δικαιωμάτων του 1689 (Bill of Rights 1689) και ο νόμος του 1998 για τα ανθρώπινα δικαιώματα (Human Rights Act 1998). Τα θεμελιώδη δικαιώματα των ατόμων έχουν αναπτυχθεί, ως μέρος του συντάγματος, μέσω του κοινού δικαίου (common law), των ανωτέρω νόμων και διεθνών συνθηκών, ιδίως μέσω της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου, την οποία το Ηνωμένο Βασίλειο κύρωσε το 1951. Το Ηνωμένο Βασίλειο κύρωσε επίσης τη Σύμβαση του Συμβουλίου της Ευρώπης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα (Σύμβαση 108) το 1987 (10).

(10)

Ο νόμος του 1998 για τα ανθρώπινα δικαιώματα ενσωματώνει τα δικαιώματα που περιέχονται στην Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου στο δίκαιο του Ηνωμένου Βασιλείου. Ο νόμος για τα ανθρώπινα δικαιώματα παρέχει σε κάθε άτομο τα θεμελιώδη δικαιώματα και τις ελευθερίες που προβλέπονται στα άρθρα 2 έως 12 και 14 της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου, στα άρθρα 1, 2 και 3 του πρώτου πρωτοκόλλου της και στο άρθρο 1 του δέκατου τρίτου πρωτοκόλλου της, σε συνδυασμό με τα άρθρα 16, 17 και 18 της εν λόγω Σύμβασης. Μεταξύ αυτών περιλαμβάνεται το δικαίωμα στον σεβασμό της ιδιωτικής και οικογενειακής ζωής (και το δικαίωμα στην προστασία των δεδομένων ως μέρος του εν λόγω δικαιώματος) και το δικαίωμα στη χρηστή απονομή δικαιοσύνης (11). Συγκεκριμένα, σύμφωνα με το άρθρο 8 της εν λόγω Σύμβασης, δεν επιτρέπεται να υπάρξει επέμβαση δημόσιας αρχής κατά την άσκηση του δικαιώματος στην ιδιωτική ζωή, εκτός εάν η επέμβαση αυτή προβλέπεται βάσει νόμου και αποτελεί μέτρο το οποίο, σε μια δημοκρατική κοινωνία, είναι αναγκαίο για την εθνική ασφάλεια, τη δημόσια ασφάλεια, την οικονομική ευημερία της χώρας, την προάσπιση της τάξης και την πρόληψη ποινικών παραβάσεων, την προστασία της υγείας ή της ηθικής, ή την προστασία των δικαιωμάτων και ελευθεριών άλλων.

(11)

Σύμφωνα με τον νόμο του 1998 για τα ανθρώπινα δικαιώματα, όλες οι ενέργειες των δημόσιων αρχών πρέπει να είναι συμβατές με τα δικαιώματα που κατοχυρώνονται στη Σύμβαση (12). Επιπλέον, η πρωτογενής και η παράγωγη νομοθεσία πρέπει να ερμηνεύονται και να εφαρμόζονται με τρόπο που συνάδει με τα δικαιώματα που κατοχυρώνονται στη Σύμβαση (13).

(12)

Το Ηνωμένο Βασίλειο αποχώρησε από την Ευρωπαϊκή Ένωση στις 31 Ιανουαρίου 2020. Βάσει της συμφωνίας για την αποχώρηση του Ηνωμένου Βασιλείου της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας από την Ευρωπαϊκή Ένωση και την Ευρωπαϊκή Κοινότητα Ατομικής Ενέργειας (14), το ενωσιακό δίκαιο συνέχισε να εφαρμόζεται στο Ηνωμένο Βασίλειο κατά τη μεταβατική περίοδο έως τις 31 Δεκεμβρίου 2020. Πριν από την αποχώρηση και κατά τη μεταβατική περίοδο, το νομοθετικό πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα στο Ηνωμένο Βασίλειο περιλάμβανε τη σχετική νομοθεσία της ΕΕ [ιδίως τον κανονισμό (ΕΕ) 2016/679 και την οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (15)] και εθνική νομοθεσία, ιδίως τον νόμο του 2018 για την προστασία των δεδομένων (DPA 2018) (16), ο οποίος προβλέπει εθνικούς κανόνες, στις περιπτώσεις που το επιτρέπει ο κανονισμός (ΕΕ) 2016/679, με τους οποίους διευκρινίζεται και περιορίζεται η εφαρμογή των κανόνων του κανονισμού (ΕΕ) 2016/679 και μεταφέρεται στο εθνικό δίκαιο η οδηγία (ΕΕ) 2016/680.

(13)

Για να προετοιμαστεί για την αποχώρηση από την Ευρωπαϊκή Ένωση, η κυβέρνηση του Ηνωμένου Βασιλείου θέσπισε τον νόμο του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση (17), ο οποίος ενσωματώνει στο δίκαιο του Ηνωμένου Βασιλείου την άμεσα ισχύουσα νομοθεσία της Ένωσης (18). Αυτή η λεγόμενη «διατηρούμενη νομοθεσία της ΕΕ» περιλαμβάνει τον κανονισμό (ΕΕ) 2016/679 στο σύνολό του (συμπεριλαμβανομένων των αιτιολογικών του σκέψεων) (19). Σύμφωνα με τον εν λόγω νόμο, η μη τροποποιημένη διατηρούμενη νομοθεσία της ΕΕ πρέπει να ερμηνεύεται από τα δικαστήρια του Ηνωμένου Βασιλείου σύμφωνα με τη σχετική νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης και τις γενικές αρχές του δικαίου της Ένωσης όπως ίσχυαν αμέσως πριν από τη λήξη της μεταβατικής περιόδου (στο εξής: «διατηρούμενη νομολογία της ΕΕ» και «διατηρούμενες γενικές αρχές του δικαίου της ΕΕ» αντίστοιχα) (20).

(14)

Βάσει του νόμου του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση, οι υπουργοί του Ηνωμένου Βασιλείου έχουν την εξουσία να θεσπίζουν παράγωγο δίκαιο, μέσω νομοθετικών πράξεων, ώστε να επιφέρουν τις αναγκαίες τροποποιήσεις στη διατηρούμενη νομοθεσία της Ευρωπαϊκής Ένωσης ως συνέπεια της αποχώρησης του Ηνωμένου Βασιλείου από την Ευρωπαϊκή Ένωση. Οι κανονισμοί του 2019 για την προστασία των δεδομένων, την ιδιωτικότητα και τις ηλεκτρονικές επικοινωνίες (τροποποιήσεις, κ.λπ.) (έξοδος από την ΕΕ) (κανονισμοί DPPEC) (21) εκδόθηκαν κατ' ενάσκηση αυτής της εξουσίας. Οι κανονισμοί DPPEC τροποποιούν τον κανονισμό (ΕΕ) 2016/679, όπως ενσωματώθηκε στο δίκαιο του Ηνωμένου Βασιλείου μέσω του νόμου του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση, του DPA 2018 και άλλης νομοθεσίας για την προστασία των δεδομένων, ώστε να προσαρμοστεί στο εθνικό πλαίσιο (22).

(15)

Κατά συνέπεια, το νομικό πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα στο Ηνωμένο Βασίλειο μετά τη λήξη της μεταβατικής περιόδου αποτελείται από:

(16)

Δεδομένου ότι ο ΓΚΠΔ του Ηνωμένου Βασιλείου βασίζεται σε νομοθεσία της ΕΕ, οι κανόνες για την προστασία των δεδομένων στο Ηνωμένο Βασίλειο σε πολλές πτυχές αντικατοπτρίζουν σε μεγάλο βαθμό τους αντίστοιχους κανόνες που ισχύουν στην Ευρωπαϊκή Ένωση.

(17)

Εκτός από τις εξουσίες που παρέχει ο νόμος του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση στον υπουργό, διάφορες διατάξεις του DPA 2018 παρέχουν στον υπουργό την εξουσία να θεσπίζει παράγωγο δίκαιο για την τροποποίηση ορισμένων διατάξεων του νόμου ή να θεσπίζει συμπληρωματικούς και πρόσθετους κανόνες (25). Μέχρι στιγμής, ο υπουργός έχει ασκήσει μόνο την εξουσία που του παρέχει το άρθρο 137 του DPA 2018 για την έκδοση των κανονισμών του 2019 για την προστασία των δεδομένων (τέλη και πληροφορίες) (τροποποίηση) [Data Protection (Charges and Information) (Amendment) Regulations 2019], οι οποίοι καθορίζουν τις περιστάσεις υπό τις οποίες οι υπεύθυνοι επεξεργασίας δεδομένων υποχρεούνται να καταβάλλουν ετήσιο τέλος στην ανεξάρτητη αρχή προστασίας δεδομένων του Ηνωμένου Βασιλείου, τον Επίτροπο Πληροφοριών.

(18)

Τέλος, περαιτέρω καθοδήγηση σχετικά με τη νομοθεσία του Ηνωμένου Βασιλείου για την προστασία των δεδομένων παρέχεται στους κώδικες ορθής πρακτικής και σε άλλες οδηγίες που εκδίδει ο Επίτροπος Πληροφοριών. Παρότι τυπικά δεν είναι νομικά δεσμευτικές, οι οδηγίες αυτές έχουν ερμηνευτική βαρύτητα και καταδεικνύουν τον τρόπο με τον οποίο εφαρμόζεται και επιβάλλεται στην πράξη η νομοθεσία για την προστασία των δεδομένων από τον Επίτροπο. Ειδικότερα, τα άρθρα 121 έως 125 του DPA 2018 απαιτούν από τον Επίτροπο να καταρτίσει κώδικες ορθής πρακτικής σχετικά με την ανταλλαγή δεδομένων, την άμεση εμπορική προώθηση, τον σχεδιασμό και την προστασία των δεδομένων ανάλογα με την ηλικία και τη δημοσιογραφία.

(19)

Ως εκ τούτου, όσον αφορά τη δομή και τις κύριες συνιστώσες του, το νομικό πλαίσιο του Ηνωμένου Βασιλείου που εφαρμόζεται στα δεδομένα που διαβιβάζονται βάσει της παρούσας απόφασης είναι σε μεγάλο βαθμό παρόμοιο με εκείνο που ισχύει στην Ευρωπαϊκή Ένωση. Στις ομοιότητες περιλαμβάνεται το γεγονός ότι το εν λόγω πλαίσιο δεν βασίζεται μόνο σε υποχρεώσεις που προβλέπονται στο εθνικό δίκαιο, το οποίο έχει διαμορφωθεί από το δίκαιο της ΕΕ, αλλά και σε υποχρεώσεις που κατοχυρώνονται στο διεθνές δίκαιο, ιδίως μέσω της προσχώρησης του Ηνωμένου Βασιλείου στην ΕΣΔΑ και στη Σύμβαση 108, καθώς και μέσω της υπαγωγής του στη δικαιοδοσία του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου. Οι υποχρεώσεις αυτές που απορρέουν από νομικά δεσμευτικές διεθνείς πράξεις, κυρίως όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα, αποτελούν, επομένως, ιδιαίτερα σημαντικό στοιχείο του νομικού πλαισίου που αξιολογείται στην παρούσα απόφαση.

(20)

Όπως και ο κανονισμός (ΕΕ) 2016/679, ο ΓΚΠΔ του Ηνωμένου Βασιλείου εφαρμόζεται στην εν όλω ή εν μέρει αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα ή σε άλλη επεξεργασία, εάν τα δεδομένα προσωπικού χαρακτήρα περιλαμβάνονται σε σύστημα αρχειοθέτησης (26). Οι ορισμοί των «δεδομένων προσωπικού χαρακτήρα», του «υποκειμένου των δεδομένων» και της «επεξεργασίας» στον ΓΚΠΔ του Ηνωμένου Βασιλείου είναι ταυτόσημοι με τους ορισμούς του κανονισμού (ΕΕ) 2016/679 (27). Επιπλέον, ο ΓΚΠΔ του Ηνωμένου Βασιλείου εφαρμόζεται στη χειροκίνητη μη διαρθρωμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα (28) που βρίσκονται στην κατοχή ορισμένων δημόσιων αρχών του Ηνωμένου Βασιλείου (29), αν και οι αρχές και τα δικαιώματα που κατοχυρώνονται στον ΓΚΠΔ του Ηνωμένου Βασιλείου και δεν σχετίζονται με τα εν λόγω δεδομένα προσωπικού χαρακτήρα δεν εφαρμόζονται, βάσει των άρθρων 24 και 25 του DPA 2018. Όπως προβλέπεται και στον κανονισμό (ΕΕ) 2016/679, ο ΓΚΠΔ του Ηνωμένου Βασιλείου δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας (30).

(21)

Ο ΓΚΠΔ του Ηνωμένου Βασιλείου επεκτείνει το πεδίο εφαρμογής του και στην επεξεργασία στο πλαίσιο δραστηριότητας η οποία, αμέσως πριν από τη λήξη της μεταβατικής περιόδου, ενέπιπτε εκτός του πεδίου εφαρμογής του δικαίου της Ευρωπαϊκής Ένωσης (π.χ. εθνική ασφάλεια) (31) ή εντός του πεδίου εφαρμογής του κεφαλαίου 2 του τίτλου 5 της Συνθήκης για την Ευρωπαϊκή Ένωση (δραστηριότητες στο πλαίσιο της κοινής εξωτερικής πολιτικής και πολιτικής ασφαλείας) (32). Όπως και στο σύστημα της Ευρωπαϊκής Ένωσης, ο ΓΚΠΔ του Ηνωμένου Βασιλείου δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδια αρχή για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους (τους λεγόμενους «σκοπούς επιβολής του νόμου») —η εν λόγω επεξεργασία διέπεται από το μέρος 3 του DPA 2018, όπως συμβαίνει στην περίπτωση της οδηγίας (ΕΕ) 2016/680 βάσει του δικαίου της Ευρωπαϊκής Ένωσης— ή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών [την Υπηρεσία Ασφαλείας (Security Service), τη Μυστική Υπηρεσία Πληροφοριών (Secret Intelligence Service) και την Κεντρική Κυβερνητική Υπηρεσία Επικοινωνιών (Government Communications Headquarters)], η οποία καλύπτεται από το μέρος 4 του DPA 2018 (33).

(22)

Το εδαφικό πεδίο εφαρμογής του ΓΚΠΔ του Ηνωμένου Βασιλείου περιγράφεται στο άρθρο 3 του ΓΚΠΔ του Ηνωμένου Βασιλείου (34) και περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα (ανεξάρτητα από το πού λαμβάνει χώρα) στο πλαίσιο των δραστηριοτήτων εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στο Ηνωμένο Βασίλειο, καθώς και την επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων δεδομένων που βρίσκονται στο Ηνωμένο Βασίλειο, όταν οι δραστηριότητες επεξεργασίας σχετίζονται με την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα δεδομένων ή την παρακολούθηση της συμπεριφοράς τους (35). Αυτό αντικατοπτρίζει την προσέγγιση που υιοθετήθηκε στο άρθρο 3 του κανονισμού (ΕΕ) 2016/679.

(23)

Οι ορισμοί των δεδομένων προσωπικού χαρακτήρα, της επεξεργασίας, του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία, καθώς και ο ορισμός της ψευδωνυμοποίησης, όπως προβλέπονται στον κανονισμό (ΕΕ) 2016/679, διατηρήθηκαν χωρίς ουσιώδεις τροποποιήσεις στον ΓΚΠΔ του Ηνωμένου Βασιλείου (36). Επιπλέον, όπως και στον κανονισμό (ΕΕ) 2016/679, στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου ορίζονται ειδικές κατηγορίες δεδομένων («που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό»). Το άρθρο 205 του DPA 2018 παρέχει τον ορισμό των «βιομετρικών δεδομένων» (37), των «δεδομένων που αφορούν την υγεία» (38) και των «γενετικών δεδομένων» (39).

(24)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη.

(25)

Οι αρχές της νομιμότητας, της αντικειμενικότητας και της διαφάνειας, καθώς και οι λόγοι της σύννομης επεξεργασίας κατοχυρώνονται στο δίκαιο του Ηνωμένου Βασιλείου μέσω του άρθρου 5 παράγραφος 1 στοιχείο (a) και του άρθρου 6 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου, τα οποία είναι πανομοιότυπα με τις αντίστοιχες διατάξεις του κανονισμού (ΕΕ) 2016/679 (40). Το άρθρο 8 του DPA 2018 συμπληρώνει το άρθρο 6 παράγραφος 1 στοιχείο (e), προβλέποντας ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει του άρθρου 6 παράγραφος 1 στοιχείο (e) του ΓΚΠΔ του Ηνωμένου Βασιλείου (απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση της δημόσιας εξουσίας του υπευθύνου επεξεργασίας) περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι απαραίτητη για την απονομή της δικαιοσύνης, την άσκηση καθήκοντος οποιουδήποτε από τα δύο σώματα του Κοινοβουλίου, την άσκηση καθήκοντος που ανατίθεται σε πρόσωπο από νομοθετική πράξη ή κανόνα δικαίου, την άσκηση καθήκοντος του Στέμματος, υπουργού του Στέμματος ή κυβερνητικής υπηρεσίας, ή δραστηριότητα που στηρίζει ή προωθεί τη συμμετοχή στις δημοκρατικές διαδικασίες.

(26)

Όσον αφορά τη συγκατάθεση (έναν από τους λόγους σύννομης επεξεργασίας), ο ΓΚΠΔ του Ηνωμένου Βασιλείου διατηρεί επίσης τις προϋποθέσεις που προβλέπονται στο άρθρο 7 του κανονισμού (ΕΕ) 2016/679 χωρίς τροποποιήσεις, δηλαδή ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του, πρέπει να υποβάλλεται γραπτό αίτημα συγκατάθεσης με σαφή και απλή διατύπωση, το υποκείμενο των δεδομένων πρέπει να έχει το δικαίωμα να ανακαλέσει τη συγκατάθεση ανά πάσα στιγμή και, κατά την εκτίμηση του κατά πόσον η συγκατάθεση παρέχεται ελεύθερα, θα πρέπει να λαμβάνεται υπόψη κατά πόσον, για την εκτέλεση σύμβασης, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης. Επιπλέον, σύμφωνα με το άρθρο 8 του ΓΚΠΔ του Ηνωμένου Βασιλείου, στο πλαίσιο της παροχής υπηρεσιών της κοινωνίας της πληροφορίας, η συγκατάθεση του παιδιού είναι σύννομη μόνο όταν το παιδί είναι τουλάχιστον 13 ετών. Το όριο αυτό εμπίπτει στην ηλικιακή ομάδα που ορίζεται στο άρθρο 8 του κανονισμού (ΕΕ) 2016/679.

(27)

Θα πρέπει να προβλέπονται ειδικές εγγυήσεις για την επεξεργασία «ειδικών κατηγοριών» δεδομένων.

(28)

Ο ΓΚΠΔ του Ηνωμένου Βασιλείου και ο DPA 2018 περιέχουν ειδικούς κανόνες όσον αφορά την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, οι οποίοι ορίζονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου, με τον ίδιο τρόπο όπως και στον κανονισμό (ΕΕ) 2016/679 (βλ. αιτιολογική σκέψη 23 ανωτέρω). Σύμφωνα με το άρθρο 9 του ΓΚΠΔ του Ηνωμένου Βασιλείου, η επεξεργασία ειδικών κατηγοριών δεδομένων καταρχήν απαγορεύεται, εκτός εάν εφαρμόζεται ειδική εξαίρεση.

(29)

Οι εξαιρέσεις αυτές (που παρατίθενται στο άρθρο 9 παράγραφοι 2 και 3 του ΓΚΠΔ του Ηνωμένου Βασιλείου) δεν επιφέρουν ουσιαστικές αλλαγές σε εκείνες του άρθρου 9 παράγραφοι 2 και 3 του κανονισμού (ΕΕ) 2016/679. Εκτός εάν το υποκείμενο των δεδομένων έχει δώσει τη ρητή συγκατάθεσή του για την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα, η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο σε συγκεκριμένες και περιορισμένες περιπτώσεις. Στις περισσότερες περιπτώσεις, η επεξεργασία ευαίσθητων δεδομένων πρέπει να είναι απαραίτητη για συγκεκριμένο σκοπό που ορίζεται στη σχετική διάταξη [βλ. άρθρο 9 παράγραφος 2 στοιχεία (b), (c), (f), (g), (h), (i) και (j)].

(30)

Επιπλέον, όταν μια εξαίρεση βάσει του άρθρου 9 παράγραφος 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου απαιτεί άδεια βάσει νόμου ή αφορά το δημόσιο συμφέρον, το άρθρο 10 του DPA 2018 σε συνδυασμό με το παράρτημα 1 του εν λόγω νόμου διευκρινίζουν περαιτέρω τους όρους που πρέπει να πληρούνται για να εφαρμόζονται οι εξαιρέσεις. Για παράδειγμα, στην περίπτωση επεξεργασίας ευαίσθητων δεδομένων για την προστασία της «δημόσιας υγείας» [άρθρο 9 παράγραφος 2 στοιχείο (i) του ΓΚΠΔ του Ηνωμένου Βασιλείου], η παράγραφος 3 στοιχείο (b) του μέρους 1 του παραρτήματος 1 απαιτεί, εκτός από τον έλεγχο αναγκαιότητας, η εν λόγω επεξεργασία να διενεργείται «από επαγγελματία του τομέα της υγείας ή υπό την ευθύνη τέτοιου» ή «από άλλο πρόσωπο που υπέχει υποχρέωση εμπιστευτικότητας δυνάμει νομοθετικής πράξης ή κανόνα δικαίου», μεταξύ άλλων δυνάμει του παγιωμένου καθήκοντος εμπιστευτικότητας στο πλαίσιο του κοινού δικαίου.

(31)

Όταν τα ευαίσθητα δεδομένα υποβάλλονται σε επεξεργασία για λόγους ουσιαστικού δημόσιου συμφέροντος [άρθρο 9 παράγραφος 2 στοιχείο (g) του ΓΚΠΔ του Ηνωμένου Βασιλείου)], το μέρος 2 του παραρτήματος 1 του DPA 2018 προβλέπει εξαντλητικό κατάλογο των σκοπών που μπορούν να θεωρηθούν ως ουσιαστικού δημόσιου συμφέροντος και, για καθέναν από τους σκοπούς αυτούς, καθορίζει ειδικούς πρόσθετους όρους. Για παράδειγμα, η προώθηση της φυλετικής και εθνοτικής πολυμορφίας σε ανώτερα επίπεδα οργανισμών αναγνωρίζεται ως ουσιαστικό δημόσιο συμφέρον. Η επεξεργασία ευαίσθητων δεδομένων για τον συγκεκριμένο αυτό σκοπό υπόκειται σε λεπτομερείς απαιτήσεις, συμπεριλαμβανομένου του ότι η επεξεργασία διενεργείται στο πλαίσιο διαδικασίας εντοπισμού κατάλληλων προσώπων για την κατάληψη ανώτερων θέσεων, είναι απαραίτητη για την προώθηση της φυλετικής και εθνοτικής πολυμορφίας και δεν είναι πιθανό να προκαλέσει σημαντική ζημία ή οδύνη στο υποκείμενο των δεδομένων.

(32)

Το άρθρο 11 παράγραφος 1 του DPA 2018 καθορίζει όρους για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στις περιπτώσεις που περιγράφονται στο άρθρο 9 παράγραφος 3 του ΓΚΠΔ του Ηνωμένου Βασιλείου σχετικά με την υποχρέωση τήρησης του απορρήτου. Σ' αυτούς περιλαμβάνονται οι περιπτώσεις στις οποίες η επεξεργασία εκτελείται από επαγγελματία του τομέα της υγείας ή της κοινωνικής εργασίας ή υπό την ευθύνη τέτοιου ή από άλλο πρόσωπο το οποίο, υπό τις περιστάσεις αυτές, υπέχει υποχρέωση εμπιστευτικότητας δυνάμει νομοθετικής πράξης ή κανόνα δικαίου.

(33)

Επιπλέον, πολλές από τις εξαιρέσεις που απαριθμούνται στο άρθρο 9 παράγραφος 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου απαιτούν κατάλληλες και ειδικές εγγυήσεις προκειμένου να χρησιμοποιηθούν. Ανάλογα με τη φύση της επεξεργασίας και το επίπεδο κινδύνου για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, οι όροι για την επεξεργασία που προβλέπονται στο παράρτημα 1 του DPA 2018 θεσπίζουν διάφορες εγγυήσεις. Το παράρτημα 1 καθορίζει τους όρους για κάθε περίπτωση επεξεργασίας με τη σειρά.

(34)

Σε ορισμένες περιπτώσεις, ο DPA 2018 ρυθμίζει και περιορίζει το είδος των ευαίσθητων δεδομένων που μπορούν να υποβληθούν σε επεξεργασία προκειμένου να υπάρχει συμμόρφωση με συγκεκριμένη νομική βάση. Για παράδειγμα, η παράγραφος 8 του παραρτήματος 1 επιτρέπει την επεξεργασία ευαίσθητων δεδομένων με σκοπό την προώθηση της ισότητας ευκαιριών ή της ίσης μεταχείρισης. Αυτός ο όρος επεξεργασίας μπορεί να χρησιμοποιηθεί μόνο εάν τα δεδομένα αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, σεξουαλικό προσανατολισμό ή εάν πρόκειται για δεδομένα υγείας.

(35)

Σε ορισμένες περιπτώσεις, ο DPA 2018 περιορίζει το είδος των υπευθύνων επεξεργασίας που μπορούν να χρησιμοποιήσουν τον όρο επεξεργασίας. Για παράδειγμα, η παράγραφος 23 του παραρτήματος 1 προβλέπει την επεξεργασία ευαίσθητων δεδομένων σε σχέση με τις απαντήσεις εκλεγμένων αντιπροσώπων στο κοινό. Αυτός ο όρος επεξεργασίας μπορεί να χρησιμοποιηθεί μόνο εάν ο υπεύθυνος επεξεργασίας είναι ο εκλεγμένος αντιπρόσωπος ή ενεργεί για λογαριασμό του.

(36)

Σε ορισμένες άλλες περιπτώσεις, ο DPA 2018 θέτει όρια στις κατηγορίες των υποκειμένων των δεδομένων για να μπορεί να χρησιμοποιηθεί ο όρος επεξεργασίας. Για παράδειγμα, η παράγραφος 21 του παραρτήματος 1 ρυθμίζει την επεξεργασία ευαίσθητων δεδομένων για τα επαγγελματικά συνταξιοδοτικά συστήματα. Ο όρος αυτός μπορεί να χρησιμοποιηθεί μόνο εάν το οικείο υποκείμενο των δεδομένων είναι αδελφός/αδελφή, γονέας, παππούς/γιαγιά ή προγονός του μέλους του συστήματος.

(37)

Επιπλέον, όταν βασίζεται στις εξαιρέσεις του άρθρου 9 παράγραφος 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου που προσδιορίζονται περαιτέρω στο άρθρο 10 του DPA 2018 μαζί με το παράρτημα 1 του εν λόγω νόμου, ο υπεύθυνος επεξεργασίας, στις περισσότερες περιπτώσεις, υποχρεούται να συντάσσει «έγγραφο κατάλληλης πολιτικής». Αυτό πρέπει να περιγράφει τις διαδικασίες που ακολουθεί ο υπεύθυνος επεξεργασίας για τη διασφάλιση της συμμόρφωσης με τις αρχές του άρθρου 5 του ΓΚΠΔ του Ηνωμένου Βασιλείου. Πρέπει επίσης να καθορίζει πολιτικές για τη διατήρηση και τη διαγραφή, με ένδειξη της πιθανής περιόδου αποθήκευσης. Οι υπεύθυνοι επεξεργασίας πρέπει να επανεξετάζουν και να επικαιροποιούν το έγγραφο αυτό ανάλογα με τις ανάγκες. Ο υπεύθυνος επεξεργασίας πρέπει να διατηρεί το έγγραφο πολιτικής για έξι μήνες μετά την ολοκλήρωση της επεξεργασίας και να το θέτει στη διάθεση του Επιτρόπου Πληροφοριών, εφόσον του ζητηθεί (41).

(38)

Σύμφωνα με την παράγραφο 41 του παραρτήματος 1 του DPA 2018, το έγγραφο πολιτικής πρέπει πάντοτε να συνοδεύεται από επαυξημένο αρχείο επεξεργασίας. Το αρχείο αυτό πρέπει να παρακολουθεί τις δεσμεύσεις που περιλαμβάνονται στο έγγραφο πολιτικής, δηλαδή αν τα δεδομένα διαγράφονται ή διατηρούνται σύμφωνα με τις πολιτικές. Εάν δεν έχουν τηρηθεί οι πολιτικές, το αρχείο καταγραφής πρέπει να αναφέρει τους λόγους. Στο αρχείο πρέπει επίσης να περιγράφεται ο τρόπος με τον οποίο η επεξεργασία πληροί το άρθρο 6 του ΓΚΠΔ του Ηνωμένου Βασιλείου (νομιμότητα της επεξεργασίας) και τον ειδικό όρο του παραρτήματος 1 του DPA 2018 στον οποίο βασίστηκε.

(39)

Τέλος, όπως και ο κανονισμός (ΕΕ) 2016/679, ο ΓΚΠΔ του Ηνωμένου Βασιλείου προβλέπει επίσης γενικές εγγυήσεις για ορισμένες πράξεις επεξεργασίας ειδικών κατηγοριών δεδομένων. Το άρθρο 35 του ΓΚΠΔ του Ηνωμένου Βασιλείου απαιτεί εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων εάν υποβάλλονται σε επεξεργασία ειδικές κατηγορίες δεδομένων σε μεγάλη κλίμακα. Σύμφωνα με το άρθρο 37 του ΓΚΠΔ του Ηνωμένου Βασιλείου, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να ορίζει υπεύθυνο προστασίας δεδομένων όταν οι βασικές δραστηριότητές του συνίστανται στην επεξεργασία ειδικών κατηγοριών δεδομένων σε μεγάλη κλίμακα.

(40)

Όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα, το άρθρο 10 του ΓΚΠΔ του Ηνωμένου Βασιλείου είναι πανομοιότυπο με το άρθρο 10 του κανονισμού (ΕΕ) 2016/679. Επιτρέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα μόνο υπό τον έλεγχο επίσημης αρχής ή όταν η επεξεργασία επιτρέπεται από το εσωτερικό δίκαιο το οποίο προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

(41)

Όταν η επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα δεν διενεργείται υπό τον έλεγχο επίσημης αρχής, το άρθρο 10 παράγραφος 5 του DPA 2018 προβλέπει ότι η εν λόγω επεξεργασία μπορεί να πραγματοποιηθεί μόνο για τους συγκεκριμένους σκοπούς / στις ειδικές περιπτώσεις που ορίζονται στα μέρη 1, 2 και 3 του παραρτήματος 1 του DPA 2018 και υπόκειται στις ειδικές απαιτήσεις που καθορίζονται για κάθε σκοπό/περίπτωση. Για παράδειγμα, δεδομένα που αφορούν ποινικές καταδίκες μπορούν να υποβάλλονται σε επεξεργασία από μη κερδοσκοπικούς φορείς εάν η επεξεργασία διενεργείται α) με κατάλληλες εγγυήσεις, στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, σωματείου ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και β) υπό τον όρο ότι i) η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ii) ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων.

(42)

Επιπλέον, το μέρος 3 του παραρτήματος 1 του DPA 2018 ορίζει περαιτέρω περιπτώσεις στις οποίες μπορούν να χρησιμοποιούνται δεδομένα ποινικών καταδικών που αντιστοιχούν στους νόμιμους λόγους επεξεργασίας ευαίσθητων δεδομένων του άρθρου 9 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679 και του ΓΚΠΔ του Ηνωμένου Βασιλείου (π.χ. συγκατάθεση του υποκειμένου των δεδομένων, ζωτικά συμφέροντα φυσικού προσώπου εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να παράσχει συγκατάθεση, εάν τα δεδομένα έχουν ήδη δημοσιοποιηθεί προδήλως από το υποκείμενο των δεδομένων, εάν η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικής αξίωσης κ.λπ.).

(43)

Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία για συγκεκριμένο σκοπό και στη συνέχεια να χρησιμοποιούνται μόνο στο μέτρο που αυτό δεν είναι ασύμβατο με τον σκοπό της επεξεργασίας.

(44)

Η αρχή αυτή προβλέπεται στο άρθρο 5 παράγραφος 1 στοιχείο β) του κανονισμού (ΕΕ) 2016/679 και διατηρήθηκε χωρίς αλλαγές στο άρθρο 5 παράγραφος 1 στοιχείο (b) του ΓΚΠΔ του Ηνωμένου Βασιλείου. Οι όροι για την περαιτέρω συμβατή επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679 διατηρήθηκαν επίσης χωρίς ουσιώδεις τροποποιήσεις στο άρθρο 6 παράγραφος 4 στοιχεία (a) έως (e) του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(45)

Επιπλέον, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι ακριβή και, όταν χρειάζεται, να επικαιροποιούνται. Θα πρέπει επίσης να είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία και, καταρχήν, να μη διατηρούνται για διάστημα μεγαλύτερο από το αναγκαίο για τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία.

(46)

Οι εν λόγω αρχές της ελαχιστοποίησης, της ακρίβειας και του περιορισμού της αποθήκευσης των δεδομένων ορίζονται στο άρθρο 5 παράγραφος 1 στοιχεία γ) έως ε) του κανονισμού (ΕΕ) 2016/679 και διατηρούνται χωρίς τροποποιήσεις στο άρθρο 5 παράγραφος 1 στοιχεία (c) έως (e) του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(47)

Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει επίσης να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ασφάλειά τους, συμπεριλαμβανομένης της προστασίας τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά. Για τον σκοπό αυτό, οι επιχειρηματικοί φορείς θα πρέπει να λαμβάνουν τα κατάλληλα τεχνικά ή οργανωτικά μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα από πιθανές απειλές. Τα μέτρα αυτά θα πρέπει να αξιολογούνται με βάση την πιο προηγμένη τεχνολογία και το σχετικό κόστος.

(48)

Η ασφάλεια των δεδομένων κατοχυρώνεται στο δίκαιο του Ηνωμένου Βασιλείου μέσω της αρχής της ακεραιότητας και της εμπιστευτικότητας στο άρθρο 5 παράγραφος 1 στοιχείο (f) του ΓΚΠΔ του Ηνωμένου Βασιλείου και στο άρθρο 32 του ΓΚΠΔ του Ηνωμένου Βασιλείου σχετικά με την ασφάλεια της επεξεργασίας. Οι εν λόγω διατάξεις είναι πανομοιότυπες με τις αντίστοιχες διατάξεις του κανονισμού (ΕΕ) 2016/679. Επιπλέον, υπό τους ίδιους όρους με εκείνους που ορίζονται στα άρθρα 33 και 34 του κανονισμού (ΕΕ) 2016/679, ο ΓΚΠΔ του Ηνωμένου Βασιλείου απαιτεί τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή (άρθρο 33 του ΓΚΠΔ του Ηνωμένου Βασιλείου) και την ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων (άρθρο 34 του ΓΚΠΔ του Ηνωμένου Βασιλείου).

(49)

Τα υποκείμενα των δεδομένων θα πρέπει να ενημερώνονται για τα βασικά χαρακτηριστικά της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα τους.

(50)

Αυτό διασφαλίζεται από τα άρθρα 13 και 14 του ΓΚΠΔ του Ηνωμένου Βασιλείου, τα οποία, πέραν της γενικής αρχής της διαφάνειας, προβλέπουν κανόνες σχετικά με τις πληροφορίες που πρέπει να παρέχονται στο υποκείμενο των δεδομένων (42). Ο ΓΚΠΔ του Ηνωμένου Βασιλείου δεν εισάγει ουσιώδεις τροποποιήσεις στους εν λόγω κανόνες σε σύγκριση με τα αντίστοιχα άρθρα του κανονισμού (ΕΕ) 2016/679. Ωστόσο, όπως και βάσει του κανονισμού (ΕΕ) 2016/679, οι απαιτήσεις διαφάνειας που προβλέπονται στα εν λόγω άρθρα υπόκεινται σε διάφορες εξαιρέσεις που ορίζονται στον DPA 2018 (βλ. αιτιολογικές σκέψεις 55 έως 72).

(51)

Τα υποκείμενα των δεδομένων θα πρέπει να έχουν ορισμένα δικαιώματα τα οποία μπορούν να ασκηθούν έναντι του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ιδίως το δικαίωμα πρόσβασης στα δεδομένα, το δικαίωμα να αντιταχθούν στην επεξεργασία και το δικαίωμα διόρθωσης και διαγραφής των δεδομένων. Ταυτόχρονα, τα δικαιώματα αυτά είναι δυνατόν να υπόκεινται σε περιορισμούς, εφόσον οι περιορισμοί αυτοί είναι αναγκαίοι και αναλογικοί για τη διαφύλαξη της δημόσιας ασφάλειας ή άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος.

(52)

Ο ΓΚΠΔ του Ηνωμένου Βασιλείου παρέχει στα φυσικά πρόσωπα τα ίδια εκτελεστά δικαιώματα που παρέχει και ο κανονισμός (ΕΕ) 2016/679. Οι διατάξεις που προβλέπουν τα δικαιώματα των φυσικών προσώπων διατηρήθηκαν στον ΓΚΠΔ του Ηνωμένου Βασιλείου χωρίς ουσιώδεις αλλαγές.

(53)

Τα δικαιώματα περιλαμβάνουν το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων (άρθρο 15 του ΓΚΠΔ του Ηνωμένου Βασιλείου), το δικαίωμα διόρθωσης (άρθρο 16 του ΓΚΠΔ του Ηνωμένου Βασιλείου), το δικαίωμα διαγραφής (άρθρο 17 του ΓΚΠΔ του Ηνωμένου Βασιλείου), το δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18 του ΓΚΠΔ του Ηνωμένου Βασιλείου), μια υποχρέωση κοινοποίησης σχετικά με τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας (άρθρο 19 του ΓΚΠΔ του Ηνωμένου Βασιλείου), το δικαίωμα στη φορητότητα των δεδομένων (άρθρο 20 του ΓΚΠΔ του Ηνωμένου Βασιλείου) και το δικαίωμα εναντίωσης (άρθρο 21 του ΓΚΠΔ του Ηνωμένου Βασιλείου) (43). Το τελευταίο περιλαμβάνει επίσης το δικαίωμα του υποκειμένου των δεδομένων να αντιταχθεί στην επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς απευθείας εμπορικής προώθησης που προβλέπεται στο άρθρο 21 παράγραφοι 2 και 3 του κανονισμού (ΕΕ) 2016/679. Επιπλέον, σύμφωνα με το άρθρο 122 του DPA 2018, ο Επίτροπος Πληροφοριών πρέπει να καταρτίσει κώδικα ορθής πρακτικής σχετικά με τη διεξαγωγή απευθείας εμπορικής προώθησης σύμφωνα με τις απαιτήσεις της νομοθεσίας για την προστασία των δεδομένων [και των κανονισμών του 2003 για την προστασία της ιδιωτικότητας στις ηλεκτρονικές επικοινωνίες (οδηγία ΕΚ)] [Privacy and Electronic Communications (EC Directive) Regulations 2003] και κάθε άλλη καθοδήγηση που ο Επίτροπος θεωρεί κατάλληλη για την προώθηση ορθών πρακτικών στην απευθείας εμπορική προώθηση. Το Γραφείο του Επιτρόπου Πληροφοριών βρίσκεται σε διαδικασία κατάρτισης του κώδικα για την απευθείας εμπορική προώθηση (44).

(54)

Το δικαίωμα του υποκειμένου των δεδομένων να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο, όπως προβλέπεται στο άρθρο 22 του ΓΚΠΔ, διατηρήθηκε επίσης στον ΓΚΠΔ του Ηνωμένου Βασιλείου χωρίς ουσιαστικές αλλαγές. Ωστόσο, προστέθηκε νέα παράγραφος 3Α, στην οποία αναφέρεται ότι το άρθρο 14 του DPA 2018 ορίζει εγγυήσεις για τα δικαιώματα, τις ελευθερίες και τα έννομα συμφέροντα των υποκειμένων των δεδομένων όταν η επεξεργασία διενεργείται σύμφωνα με το άρθρο 22 παράγραφος 2 στοιχείο (b) του ΓΚΠΔ του Ηνωμένου Βασιλείου. Αυτό ισχύει μόνο όταν η σχετική απόφαση λαμβάνεται βάσει άδειας ή απαίτησης δυνάμει του δικαίου του Ηνωμένου Βασιλείου, ενώ δεν ισχύει όταν η απόφαση είναι αναγκαία βάσει σύμβασης ή λαμβάνεται με τη ρητή συγκατάθεση του υποκειμένου των δεδομένων. Όταν εφαρμόζεται το άρθρο 14 του DPA 2018, ο υπεύθυνος επεξεργασίας πρέπει, μόλις αυτό είναι ευλόγως εφικτό, να γνωστοποιήσει εγγράφως στο υποκείμενο των δεδομένων ότι η απόφαση έχει ληφθεί αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας —εντός ενός μήνα από την παραλαβή της γνωστοποίησης— να επανεξετάσει την απόφαση ή να λάβει νέα απόφαση που δεν θα βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία. Ο υπουργός έχει την εξουσία να θεσπίζει περαιτέρω εγγυήσεις όσον αφορά την αυτοματοποιημένη λήψη αποφάσεων. Η εξουσία αυτή δεν έχει ασκηθεί ακόμη.

(55)

Ο DPA 2018 θέτει διάφορους περιορισμούς στα ατομικά δικαιώματα, στο πλαίσιο του άρθρου 23 του ΓΚΠΔ του Ηνωμένου Βασιλείου. Στο πλαίσιο αυτό δεν εισάγονται περιορισμοί όσον αφορά το δικαίωμα εναντίωσης στην απευθείας εμπορική προώθηση, όπως προβλέπεται στο άρθρο 21 παράγραφοι 2 και 3 του ΓΚΠΔ του Ηνωμένου Βασιλείου, ούτε όσον αφορά το δικαίωμα μη υπαγωγής σε αυτοματοποιημένη λήψη αποφάσεων, όπως προβλέπεται στο άρθρο 22 του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(56)

Οι περιορισμοί παρατίθενται λεπτομερώς στα παραρτήματα 2-4 του DPA 2018. Οι αρχές του Ηνωμένου Βασιλείου έχουν εξηγήσει ότι καθοδηγούνται από δύο αρχές: την αρχή της ειδικότητας (με βάση μια αναλυτική προσέγγιση για τον διαχωρισμό των ευρέων περιορισμών σε πολλαπλές, ειδικότερες διατάξεις) και την αρχή της αιρεσιμότητας (κάθε διάταξη συμπληρώνεται με εγγυήσεις υπό τη μορφή περιορισμών ή όρων για την πρόληψη των καταχρήσεων) (45).

(57)

Οι περιορισμοί που περιγράφονται στο άρθρο 23 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου έχουν ως στόχο να διασφαλίσουν ότι εφαρμόζονται μόνο σε συγκεκριμένες περιστάσεις, όταν είναι αναγκαίο σε μια δημοκρατική κοινωνία και ανάλογα προς τον θεμιτό σκοπό που επιδιώκουν. Επιπλέον, σύμφωνα με την πάγια νομολογία σχετικά με την ερμηνεία των περιορισμών, η εξαίρεση από το καθεστώς προστασίας των δεδομένων είναι δυνατή σε οποιαδήποτε συγκεκριμένη περίπτωση μόνο εφόσον αυτό είναι αναγκαίο και αναλογικό (46). Το κριτήριο της αναγκαιότητας πρέπει να είναι «αυστηρό και να απαιτεί οποιαδήποτε επέμβαση στα δικαιώματα του υποκειμένου των δεδομένων να είναι ανάλογη προς τη σοβαρότητα της απειλής για το δημόσιο συμφέρον. Ως εκ τούτου, η διαδικασία περιλαμβάνει κλασική ανάλυση της αναλογικότητας (47)».

(58)

Οι στόχοι που επιδιώκονται με τους περιορισμούς αυτούς αντιστοιχούν στους στόχους που αναφέρονται στο άρθρο 23 του κανονισμού (ΕΕ) 2016/679, εκτός από τους περιορισμούς για την εθνική ασφάλεια και άμυνα, που ρυθμίζονται από το άρθρο 26 του DPA 2018, αλλά υπόκεινται στις ίδιες απαιτήσεις αναγκαιότητας και αναλογικότητας (βλ. αιτιολογικές σκέψεις 63 έως 66).

(59)

Ορισμένοι από τους περιορισμούς, για παράδειγμα εκείνοι που σχετίζονται με την πρόληψη ή την ανίχνευση εγκλημάτων, με τη σύλληψη ή τη δίωξη παραβατών, καθώς και με τον προσδιορισμό ή την είσπραξη φόρων ή δασμών (48), επιτρέπουν περιορισμούς σε όλα τα ατομικά δικαιώματα και τις υποχρεώσεις διαφάνειας (με εξαίρεση τα δικαιώματα που κατοχυρώνονται στο άρθρο 21 παράγραφος 2 και στο άρθρο 22). Το πεδίο εφαρμογής άλλων περιορισμών περιορίζεται στις υποχρεώσεις διαφάνειας και στα δικαιώματα πρόσβασης, όπως οι περιορισμοί που σχετίζονται με το δικηγορικό απόρρητο (49), το δικαίωμα απαλλαγής από απαίτηση παροχής πληροφοριών που θα οδηγούσε σε αυτοενοχοποίηση (50) και τη χρηματοδότηση εταιρειών, κυρίως την πρόληψη της χρησιμοποίησης εμπιστευτικών πληροφοριών (51). Λίγοι από τους περιορισμούς επιτρέπουν τον περιορισμό της υποχρέωσης του υπευθύνου επεξεργασίας να γνωστοποιήσει παραβίαση δεδομένων στο υποκείμενο των δεδομένων και των αρχών του περιορισμού του σκοπού, καθώς και της νομιμότητας, της αντικειμενικότητας και της διαφάνειας της επεξεργασίας (52).

(60)

Κάποιοι από τους περιορισμούς εφαρμόζονται αυτόματα «πλήρως» σε ορισμένο είδος επεξεργασίας δεδομένων προσωπικού χαρακτήρα (για παράδειγμα, η εφαρμογή των υποχρεώσεων διαφάνειας και των ατομικών δικαιωμάτων αποκλείεται όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με σκοπό την αξιολόγηση της καταλληλότητας ενός προσώπου για δικαστικό αξίωμα ή τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από δικαστήριο, δικαιοδοτικό όργανο ή άτομο που ενεργεί υπό δικαστική ιδιότητα).

(61)

Ωστόσο, στις περισσότερες περιπτώσεις, η σχετική παράγραφος του παραρτήματος 2 του DPA 2018 ορίζει ότι ο περιορισμός εφαρμόζεται μόνο όταν (και στον βαθμό που) η εφαρμογή των διατάξεων «είναι πιθανόν να υπονομεύσει» τον νόμιμο σκοπό που επιδιώκει ο εν λόγω περιορισμός: για παράδειγμα, οι διατάξεις που παρατίθενται στον ΓΚΠΔ του Ηνωμένου Βασιλείου δεν εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για την πρόληψη ή την ανίχνευση εγκλημάτων, τη σύλληψη ή τη δίωξη παραβατών ή για τον προσδιορισμό ή την είσπραξη φόρου ή τέλους «στον βαθμό που η εφαρμογή των εν λόγω διατάξεων είναι πιθανόν να υπονομεύσει» οποιοδήποτε από τα ζητήματα αυτά (53).

(62)

Το κριτήριο του «είναι πιθανόν να υπονομεύσει» έχει ερμηνευθεί επανειλημμένα από τα δικαστήρια του Ηνωμένου Βασιλείου ως «πολύ σημαντική και σοβαρή πιθανότητα να υπονομεύσει το αναγνωρισμένο δημόσιο συμφέρον» (54). Ως εκ τούτου, επίκληση περιορισμού που υπόκειται στο κριτήριο της υπονόμευσης μπορεί να πραγματοποιηθεί μόνο εάν και στον βαθμό που υπάρχει πολύ σημαντική και βαρύνουσα πιθανότητα η χορήγηση συγκεκριμένου δικαιώματος να βλάψει το διακυβευόμενο δημόσιο συμφέρον. Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για την κατά περίπτωση αξιολόγηση του αν πληρούνται οι όροι αυτοί (55).

(63)

Εκτός από τους περιορισμούς που περιλαμβάνονται στο παράρτημα 2 του DPA 2018, το άρθρο 26 του DPA 2018 προβλέπει μια εξαίρεση η οποία μπορεί να εφαρμοστεί σε ορισμένες διατάξεις του ΓΚΠΔ του Ηνωμένου Βασιλείου και του DPA 2018, εάν η εν λόγω εξαίρεση απαιτείται για τη διαφύλαξη της εθνικής ασφάλειας ή για σκοπούς άμυνας. Η εξαίρεση αυτή εφαρμόζεται στις αρχές προστασίας των δεδομένων (εκτός από την αρχή της νομιμότητας), τις υποχρεώσεις διαφάνειας, τα δικαιώματα του υποκειμένου των δεδομένων, την υποχρέωση γνωστοποίησης παραβίασης δεδομένων, τους κανόνες για τις διεθνείς διαβιβάσεις, ορισμένα από τα καθήκοντα και τις εξουσίες του Επιτρόπου Πληροφοριών, καθώς και τους κανόνες για τα ένδικα βοηθήματα, τις ευθύνες και τις κυρώσεις, με εξαίρεση τη διάταξη σχετικά με τις γενικές προϋποθέσεις επιβολής διοικητικών προστίμων που ορίζονται στο άρθρο 83 του ΓΚΠΔ του Ηνωμένου Βασιλείου και τη διάταξη σχετικά με τις κυρώσεις στο άρθρο 84 του ΓΚΠΔ του Ηνωμένου Βασιλείου. Επιπλέον, το άρθρο 28 του DPA 2018 τροποποιεί την εφαρμογή του άρθρου 9 παράγραφος 1 προκειμένου να καταστεί δυνατή η επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου, στον βαθμό που η επεξεργασία διενεργείται για σκοπούς διασφάλισης της εθνικής ασφάλειας ή άμυνας και με κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων (56).

(64)

Η εξαίρεση μπορεί να εφαρμοστεί μόνο στον βαθμό που απαιτείται για τη διαφύλαξη της εθνικής ασφάλειας ή άμυνας. Όπως ισχύει και για τις άλλες εξαιρέσεις που προβλέπονται από τον DPA 2018, ο υπεύθυνος επεξεργασίας πρέπει να την εξετάζει και να την επικαλείται κατά περίπτωση. Επιπλέον, κάθε εφαρμογή της εξαίρεσης πρέπει να συνάδει με τα πρότυπα για τα ανθρώπινα δικαιώματα (που βασίζονται στον νόμο του 1998 για τα ανθρώπινα δικαιώματα), σύμφωνα με τα οποία κάθε επέμβαση στα δικαιώματα προστασίας της ιδιωτικότητας θα πρέπει να είναι αναγκαία και αναλογική σε μια δημοκρατική κοινωνία (57).

(65)

Αυτή η ερμηνεία της εξαίρεσης επιβεβαιώνεται από το ICO, το οποίο έχει εκδώσει λεπτομερείς κατευθυντήριες γραμμές σχετικά με την εφαρμογή της εξαίρεσης της εθνικής ασφάλειας και άμυνας, καθιστώντας σαφές ότι πρέπει να εξετάζεται και να εφαρμόζεται από τον υπεύθυνο επεξεργασίας κατά περίπτωση (58). Ειδικότερα, οι κατευθυντήριες γραμμές τονίζουν ότι «[δ]εν πρόκειται για γενική εξαίρεση» και ότι, για την επίκλησή της, «δεν αρκεί η επεξεργασία των δεδομένων να πραγματοποιείται για σκοπούς εθνικής ασφάλειας». Αντιθέτως, ο υπεύθυνος επεξεργασίας που βασίζεται στην εν λόγω εξαίρεση πρέπει να «αποδείξει ότι υπάρχει πραγματική πιθανότητα δυσμενών συνεπειών για την εθνική ασφάλεια» και, όταν είναι αναγκαίο, ο υπεύθυνος επεξεργασίας πρέπει να «υποβάλει [στο ICO] αποδεικτικά στοιχεία σχετικά με τους λόγους για τους οποίους χρησιμοποίησε την εν λόγω εξαίρεση». Οι κατευθυντήριες γραμμές περιλαμβάνουν κατάλογο ελέγχου και σειρά παραδειγμάτων για την περαιτέρω αποσαφήνιση των όρων υπό τους οποίους μπορεί να γίνει επίκληση της εν λόγω εξαίρεσης.

(66)

Επομένως, το γεγονός ότι τα δεδομένα υποβάλλονται σε επεξεργασία για σκοπούς εθνικής ασφάλειας ή άμυνας δεν αρκεί από μόνο του για την εφαρμογή της εξαίρεσης. Ο υπεύθυνος επεξεργασίας πρέπει να εξετάζει τις πραγματικές συνέπειες για την εθνική ασφάλεια εάν έπρεπε να συμμορφωθεί με τη συγκεκριμένη διάταξη περί προστασίας των δεδομένων. Η εξαίρεση μπορεί να εφαρμόζεται μόνο στις ειδικές διατάξεις που έχουν προσδιοριστεί ως ενέχουσες κίνδυνο και πρέπει να εφαρμόζεται όσο το δυνατόν πιο περιοριστικά (59).

(67)

Η προσέγγιση αυτή επιβεβαιώθηκε από το Ειδικό Δικαιοδοτικό Όργανο Υποθέσεων Πληροφοριών (Information Tribunal) (60). Στην υπόθεση Baker κατά Secretary of State for the Home Department (στο εξής: Baker κατά Secretary of State), έκρινε ότι ήταν παράνομη η εφαρμογή της εξαίρεσης για λόγους εθνικής ασφάλειας ως γενικής εξαίρεσης στα αιτήματα πρόσβασης που λαμβάνουν οι υπηρεσίες πληροφοριών. Αντιθέτως, η εξαίρεση έπρεπε να εφαρμόζεται κατά περίπτωση, με την εξέταση κάθε αιτήματος χωριστά και λαμβανομένου υπόψη του δικαιώματος των ατόμων στον σεβασμό της ιδιωτικότητάς τους (61).

(68)

Το άρθρο 85 παράγραφος 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου προβλέπει τη δυνατότητα θέσπισης διάταξης για την εξαίρεση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για δημοσιογραφικούς, καλλιτεχνικούς, ακαδημαϊκούς και λογοτεχνικούς σκοπούς από διάφορες διατάξεις του ΓΚΠΔ του Ηνωμένου Βασιλείου. Το μέρος 5 του παραρτήματος 2 του DPA 2018 καθορίζει τις εξαιρέσεις όσον αφορά την επεξεργασία για τους σκοπούς αυτούς. Προβλέπει εξαιρέσεις από τις αρχές προστασίας των δεδομένων (εκτός από την αρχή της ακεραιότητας και της εμπιστευτικότητας), τους νόμιμους λόγους επεξεργασίας (συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων και των δεδομένων που αφορούν ποινικές καταδίκες κ.λπ.), τους όρους της συγκατάθεσης, τις υποχρεώσεις διαφάνειας, τα δικαιώματα των υποκειμένων των δεδομένων, την υποχρέωση γνωστοποίησης των παραβιάσεων δεδομένων και την απαίτηση διαβούλευσης με τον Επίτροπο Πληροφοριών πριν από επεξεργασία υψηλού κινδύνου και τους κανόνες για τις διεθνείς διαβιβάσεις (62). Στο πλαίσιο αυτό, ο ΓΚΠΔ του Ηνωμένου Βασιλείου δεν παρεκκλίνει ουσιαστικά από τον κανονισμό (ΕΕ) 2016/679, ο οποίος στο άρθρο 85 επίσης προβλέπει τη δυνατότητα εξαίρεσης της επεξεργασίας που διενεργείται για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης από ορισμένες απαιτήσεις του κανονισμού (ΕΕ) 2016/679. Οι διατάξεις του DPA 2018, και ιδιαίτερα το παράρτημα 2 μέρος 5, είναι συμβατές με τον ΓΚΠΔ του Ηνωμένου Βασιλείου.

(69)

Η βασική στάθμιση που πρέπει να διενεργείται βάσει του άρθρου 85 του ΓΚΠΔ του Ηνωμένου Βασιλείου αφορά το κατά πόσον μια εξαίρεση από τους κανόνες προστασίας των δεδομένων που αναφέρονται στην αιτιολογική σκέψη 68 είναι «αναγκαία για τον συμβιβασμό του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα με την ελευθερία έκφρασης και πληροφόρησης» (63). Σύμφωνα με το παράρτημα 2 παράγραφος 26 σημεία (2) και (3) του DPA 2018, το Ηνωμένο Βασίλειο εφαρμόζει ένα κριτήριο «εύλογης πεποίθησης» προκειμένου να επιτευχθεί αυτή η ισορροπία. Για να δικαιολογείται μια εξαίρεση, ο υπεύθυνος επεξεργασίας πρέπει να έχει ευλόγως την πεποίθηση i) ότι η δημοσιοποίηση είναι προς το δημόσιο συμφέρον· και ii) ότι η εφαρμογή της σχετικής διάταξης του ΓΚΠΔ θα ήταν ασύμβατη με δημοσιογραφικούς, ακαδημαϊκούς, καλλιτεχνικούς ή λογοτεχνικούς σκοπούς. Όπως επιβεβαιώνεται από τη νομολογία (64), το κριτήριο της «εύλογης πεποίθησης» έχει τόσο υποκειμενική όσο και αντικειμενική συνιστώσα: δεν αρκεί ο υπεύθυνος επεξεργασίας να αποδείξει ότι ο ίδιος είχε την πεποίθηση ότι η συμμόρφωση ήταν ασύμβατη. Η πεποίθησή του πρέπει να είναι εύλογη, δηλαδή να μπορούσε να υιοθετηθεί από ένα λογικό πρόσωπο που γνωρίζει τα σχετικά γεγονότα. Επομένως, ο υπεύθυνος επεξεργασίας πρέπει να επιδεικνύει τη δέουσα επιμέλεια κατά τη διαμόρφωση της πεποίθησής του, προκειμένου να είναι σε θέση να αποδείξει τον εύλογο χαρακτήρα της. Σύμφωνα με τις εξηγήσεις που παρείχαν οι αρχές του Ηνωμένου Βασιλείου, το κριτήριο της «εύλογης πεποίθησης» πρέπει να εφαρμόζεται σε κάθε επιμέρους περίπτωση εξαίρεσης (65). Εάν πληρούνται οι όροι, η εξαίρεση θεωρείται αναγκαία και αναλογική βάσει της νομοθεσίας του Ηνωμένου Βασιλείου.

(70)

Σύμφωνα με το άρθρο 124 του DPA 2018, το ICO πρέπει να καταρτίσει κώδικα ορθής πρακτικής για την προστασία των δεδομένων και τη δημοσιογραφία. Η επεξεργασία του εν λόγω κώδικα βρίσκεται σε εξέλιξη. Έχουν εκδοθεί οδηγίες σχετικά με το θέμα βάσει του νόμου του 1998 για την προστασία των δεδομένων, στις οποίες τονίζεται ειδικότερα ότι, για να γίνει επίκληση αυτής της εξαίρεσης, δεν αρκεί να αναφέρεται απλώς ότι η συμμόρφωση θα δυσχέραινε δημοσιογραφικές δραστηριότητες, αλλά πρέπει να υπάρχει σαφής επιχειρηματολογία για το ότι η οικεία διάταξη αποτελεί εμπόδιο για την υπεύθυνη δημοσιογραφία (66). Οδηγίες σχετικά με την εφαρμογή του κριτηρίου του δημόσιου συμφέροντος και τη στάθμιση του δημόσιου συμφέροντος έναντι του συμφέροντος του ατόμου στην προστασία της ιδιωτικότητας έχουν επίσης δημοσιευθεί από την OFCOM, ρυθμιστική αρχή του τομέα των τηλεπικοινωνιών του Ηνωμένου Βασιλείου, και από το BBC στις κατευθυντήριες γραμμές του προς τους συντάκτες (67). Οι κατευθυντήριες γραμμές παρέχουν κυρίως παραδείγματα πληροφοριών η δημοσίευση των οποίων μπορεί να θεωρηθεί ότι είναι προς το δημόσιο συμφέρον και εξηγούν την ανάγκη της δυνατότητας απόδειξης ότι το δημόσιο συμφέρον υπερτερεί των δικαιωμάτων προστασίας της ιδιωτικότητας στις συγκεκριμένες περιστάσεις της υπόθεσης.

(71)

Όπως προβλέπεται και στο άρθρο 89 του ΓΚΠΔ, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς μπορούν επίσης να εξαιρεθούν από ορισμένες απαριθμούμενες διατάξεις του ΓΚΠΔ του Ηνωμένου Βασιλείου (68). Όσον αφορά την έρευνα και τις στατιστικές, υπάρχει δυνατότητα εξαίρεσης από τις διατάξεις του ΓΚΠΔ του Ηνωμένου Βασιλείου σχετικά με την επιβεβαίωση της επεξεργασίας και την πρόσβαση στα δεδομένα και τις εγγυήσεις για διαβιβάσεις σε τρίτες χώρες· το δικαίωμα διόρθωσης· τον περιορισμό της επεξεργασίας και την εναντίωση στην επεξεργασία. Όσον αφορά την αρχειοθέτηση για λόγους δημόσιου συμφέροντος, είναι επίσης δυνατή η εξαίρεση από την υποχρέωση κοινοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας και από το δικαίωμα στη φορητότητα των δεδομένων.

(72)

Σύμφωνα με την παράγραφο 27 σημείο (1) και την παράγραφο 28 σημείο (1) του παραρτήματος 2 του DPA 2018, οι εξαιρέσεις από τις απαριθμούμενες διατάξεις του ΓΚΠΔ του Ηνωμένου Βασιλείου είναι δυνατές όταν η εφαρμογή των διατάξεων «θα εμπόδιζε ή παρακώλυε σοβαρά την επίτευξη» των οικείων σκοπών (69).

(73)

Δεδομένης της σημασίας τους για την αποτελεσματική άσκηση των ατομικών δικαιωμάτων, κάθε σχετική εξέλιξη όσον αφορά την ερμηνεία και την εφαρμογή στην πράξη των προαναφερόμενων εξαιρέσεων (επιπλέον εκείνης που αφορά τη διατήρηση του αποτελεσματικού ελέγχου της μετανάστευσης, η οποία εξηγείται στην αιτιολογική σκέψη 6), συμπεριλαμβανομένης κάθε τυχόν περαιτέρω εξέλιξης της νομολογίας και των οδηγιών και των μέτρων επιβολής του ICO, θα λαμβάνεται δεόντως υπόψη στο πλαίσιο της συνεχούς παρακολούθησης της παρούσας απόφασης (70).

(74)

Το επίπεδο προστασίας που παρέχεται στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση σε υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στο Ηνωμένο Βασίλειο δεν πρέπει να υποβαθμίζεται από την περαιτέρω διαβίβαση των εν λόγω δεδομένων σε αποδέκτες σε τρίτη χώρα. Αυτές οι «περαιτέρω διαβιβάσεις», οι οποίες από τη σκοπιά του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο Ηνωμένο Βασίλειο συνιστούν διεθνείς διαβιβάσεις από το Ηνωμένο Βασίλειο, θα πρέπει να επιτρέπονται μόνο όταν ο περαιτέρω αποδέκτης εκτός του Ηνωμένου Βασιλείου υπόκειται επίσης σε κανόνες που διασφαλίζουν ανάλογο επίπεδο προστασίας με εκείνο που εγγυάται η έννομη τάξη του Ηνωμένου Βασιλείου. Για τον λόγο αυτό, η εφαρμογή των κανόνων του ΓΚΠΔ του Ηνωμένου Βασιλείου και του DPA 2018 στις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα αποτελεί σημαντικό παράγοντα για τη διασφάλιση της συνέχειας της προστασίας στην περίπτωση δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο βάσει της παρούσας απόφασης.

(75)

Το καθεστώς για τις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από το Ηνωμένο Βασίλειο ορίζεται στα άρθρα 44-49 του ΓΚΠΔ του Ηνωμένου Βασιλείου, τα οποία συμπληρώνονται από τον DPA 2018, και είναι κατ’ ουσίαν ταυτόσημο με τους κανόνες που προβλέπονται στο κεφάλαιο V του κανονισμού (ΕΕ) 2016/679 (71). Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μπορούν να πραγματοποιούνται μόνο βάσει κανονισμού περί επάρκειας [το ισοδύναμο στο Ηνωμένο Βασίλειο της απόφασης επάρκειας του κανονισμού (ΕΕ) 2016/679] ή, ελλείψει κανονισμού περί επάρκειας, αν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 του ΓΚΠΔ του Ηνωμένου Βασιλείου. Ελλείψει κανονισμού περί επάρκειας ή κατάλληλων εγγυήσεων, διαβίβαση μπορεί να πραγματοποιηθεί μόνο βάσει των παρεκκλίσεων που προβλέπονται στο άρθρο 49 του ΓΚΠΔ του Ηνωμένου Βασιλείου.

(76)

Οι κανονισμοί περί επάρκειας που εκδίδει ο υπουργός μπορούν να ορίζουν ότι τρίτη χώρα (ή έδαφος ή τομέας εντός τρίτης χώρας), διεθνής οργανισμός ή περιγραφή (72) τέτοιας χώρας, εδάφους, τομέα ή οργανισμού διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Κατά την αξιολόγηση της επάρκειας του επιπέδου προστασίας, ο υπουργός πρέπει να λαμβάνει υπόψη ακριβώς τα ίδια στοιχεία που οφείλει να αξιολογεί και η Επιτροπή βάσει του άρθρου 45 παράγραφος 2 στοιχεία α) έως γ) του κανονισμού (ΕΕ) 2016/679, ερμηνευόμενου σε συνδυασμό με την αιτιολογική σκέψη 104 του κανονισμού (ΕΕ) 2016/679 και τη διατηρούμενη νομολογία της ΕΕ. Αυτό σημαίνει ότι, κατά την αξιολόγηση της επάρκειας του επιπέδου προστασίας τρίτης χώρας, το σχετικό κριτήριο θα είναι κατά πόσο η εν λόγω τρίτη χώρα εξασφαλίζει επίπεδο προστασίας «ουσιωδώς ισοδύναμο» με εκείνο που εξασφαλίζεται στο Ηνωμένο Βασίλειο.

(77)

Όσον αφορά τη διαδικασία, οι κανονισμοί περί επάρκειας υπόκεινται στις «γενικές» διαδικαστικές απαιτήσεις που προβλέπονται στο άρθρο 182 του DPA 2018. Στο πλαίσιο της διαδικασίας αυτής, ο υπουργός πρέπει να συμβουλεύεται τον Επίτροπο Πληροφοριών όταν προτείνει τη θέσπιση κανονισμών περί επάρκειας στο Ηνωμένο Βασίλειο (73). Μόλις εγκριθούν από τον υπουργό, οι εν λόγω κανονισμοί υποβάλλονται στο Κοινοβούλιο και υπόκεινται στη διαδικασία «αρνητικής απόφασης», σύμφωνα με την οποία αμφότερα τα σώματα του Κοινοβουλίου μπορούν να εξετάσουν ενδελεχώς τους κανονισμούς και έχουν τη δυνατότητα να εγκρίνουν πρόταση ακύρωσής τους εντός προθεσμίας 40 ημερών (74).

(78)

Σύμφωνα με το άρθρο 17B παράγραφος 1 του DPA 2018, οι κανονισμοί περί επάρκειας πρέπει να επανεξετάζονται ανά τακτά χρονικά διαστήματα που να μην υπερβαίνουν τα τέσσερα έτη και ο υπουργός πρέπει, σε συνεχή βάση, να παρακολουθεί τις εξελίξεις στις τρίτες χώρες και τους διεθνείς οργανισμούς οι οποίες θα μπορούσαν να επηρεάσουν τις αποφάσεις για τη θέσπιση κανονισμών περί επάρκειας ή για την τροποποίηση ή την ανάκληση τέτοιων κανονισμών. Όταν ο υπουργός διαπιστώνει ότι μια χώρα ή ένας οργανισμός δεν εξασφαλίζει πλέον επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, πρέπει, στον βαθμό που είναι αναγκαίο, να τροποποιεί ή να ανακαλεί τους κανονισμούς και να αρχίζει διαβουλεύσεις με την οικεία τρίτη χώρα ή τον οικείο διεθνή οργανισμό για τη διόρθωση της έλλειψης επαρκούς επιπέδου προστασίας. Οι εν λόγω διαδικαστικές πτυχές επίσης αντικατοπτρίζουν τις αντίστοιχες απαιτήσεις του κανονισμού (ΕΕ) 2016/679.

(79)

Αν δεν υπάρχει κανονισμός περί επάρκειας, διεθνείς διαβιβάσεις μπορούν να πραγματοποιηθούν αν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 του ΓΚΠΔ του Ηνωμένου Βασιλείου. Οι εγγυήσεις αυτές είναι παρόμοιες με εκείνες που προβλέπονται στο άρθρο 46 του κανονισμού (ΕΕ) 2016/679. Περιλαμβάνουν τα νομικά δεσμευτικά και εκτελεστά μέσα μεταξύ δημόσιων αρχών ή φορέων, τους δεσμευτικούς εταιρικούς κανόνες (75), τις τυποποιημένες ρήτρες προστασίας δεδομένων, τους εγκεκριμένους κώδικες δεοντολογίας, τους εγκεκριμένους μηχανισμούς πιστοποίησης και, με άδεια από τον Επίτροπο Πληροφοριών, τις συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας (ή εκτελούντων την επεξεργασία) ή τις διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών. Ωστόσο, οι κανόνες έχουν τροποποιηθεί, από διαδικαστική άποψη, για να λειτουργήσουν στο πλαίσιο του Ηνωμένου Βασιλείου, ειδικότερα οι τυποποιημένες ρήτρες προστασίας δεδομένων μπορούν να εγκριθούν από τον υπουργό (άρθρο 17C) ή τον Επίτροπο Πληροφοριών (άρθρο 119A) σύμφωνα με τον DPA 2018.

(80)

Ελλείψει απόφασης επάρκειας ή κατάλληλων εγγυήσεων, διαβίβαση μπορεί να πραγματοποιηθεί μόνο βάσει των παρεκκλίσεων που προβλέπονται στο άρθρο 49 του ΓΚΠΔ του Ηνωμένου Βασιλείου (76). Ο ΓΚΠΔ του Ηνωμένου Βασιλείου δεν εισάγει ουσιώδεις αλλαγές στις παρεκκλίσεις σε σύγκριση με τους αντίστοιχους κανόνες του κανονισμού (ΕΕ) 2016/679. Σύμφωνα με τον ΓΚΠΔ του Ηνωμένου Βασιλείου, όπως και βάσει του κανονισμού (ΕΕ) 2016/679, ορισμένες παρεκκλίσεις μπορούν να χρησιμοποιηθούν μόνο εάν η διαβίβαση είναι περιστασιακή (77). Επιπλέον, το ICO, στον οδηγό που έχει εκδώσει σχετικά με τις διεθνείς διαβιβάσεις, διευκρινίζει ότι: «Θα πρέπει να τις χρησιμοποιείτε μόνο ως πραγματικές “εξαιρέσεις” από τον γενικό κανόνα ότι δεν θα πρέπει να πραγματοποιείτε περιορισμένη διαβίβαση, εκτός εάν καλύπτεται από απόφαση επάρκειας ή εάν υπάρχουν κατάλληλες εγγυήσεις» (78). Όσον αφορά τις διαβιβάσεις που είναι αναγκαίες για σημαντικούς λόγους δημόσιου συμφέροντος [άρθρο 49 παράγραφος 1 στοιχείο (d)], ο υπουργός μπορεί να θεσπίζει κανονισμούς για τον καθορισμό των περιστάσεων υπό τις οποίες η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό δεν είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος. Επιπλέον, ο υπουργός μπορεί με κανονισμούς να περιορίζει τη διαβίβαση μιας κατηγορίας δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, όταν η διαβίβαση δεν μπορεί να πραγματοποιηθεί βάσει κανονισμών περί επάρκειας και ο υπουργός θεωρεί ότι ο περιορισμός είναι αναγκαίος για σημαντικούς λόγους δημόσιου συμφέροντος. Δεν έχουν εκδοθεί ακόμη τέτοιοι κανονισμοί.

(81)

Αυτό το πλαίσιο για τις διεθνείς διαβιβάσεις άρχισε να ισχύει κατά τη λήξη της μεταβατικής περιόδου (79). Ωστόσο, η παράγραφος 4 του παραρτήματος 21 του DPA 2018 (που θεσπίστηκε με τους κανονισμούς DPPEC) προβλέπει ότι, από τη λήξη της μεταβατικής περιόδου, ορισμένες διαβιβάσεις δεδομένων προσωπικού χαρακτήρα αντιμετωπίζονται ως αν βασίζονταν σε κανονισμούς περί επάρκειας. Οι διαβιβάσεις αυτές περιλαμβάνουν τις διαβιβάσεις προς κράτος του ΕΟΧ, το έδαφος του Γιβραλτάρ, θεσμικό ή άλλο όργανο ή οργανισμό της Ένωσης που έχει συσταθεί από τη Συνθήκη ΕΕ ή βάσει αυτής, καθώς και προς τρίτες χώρες που αποτελούσαν αντικείμενο απόφασης επάρκειας της ΕΕ κατά τη λήξη της μεταβατικής περιόδου. Κατά συνέπεια, οι διαβιβάσεις προς τις χώρες αυτές μπορούν να συνεχιστούν όπως και πριν από την αποχώρηση του Ηνωμένου Βασιλείου από την ΕΕ. Μετά τη λήξη της μεταβατικής περιόδου, ο υπουργός πρέπει να επανεξετάσει τα εν λόγω πορίσματα περί επάρκειας σε χρονικό διάστημα τεσσάρων ετών, δηλαδή έως το τέλος Δεκεμβρίου του 2024. Σύμφωνα με την εξήγηση που έδωσαν οι αρχές του Ηνωμένου Βασιλείου, μολονότι ο υπουργός πρέπει να προβεί στην εν λόγω επανεξέταση έως το τέλος Δεκεμβρίου του 2024, οι μεταβατικές διατάξεις δεν περιλαμβάνουν διάταξη «λήξης ισχύος» και οι σχετικές μεταβατικές διατάξεις δεν θα παύσουν αυτομάτως να παράγουν αποτελέσματα εάν η επανεξέταση δεν ολοκληρωθεί έως το τέλος Δεκεμβρίου του 2024.

(82)

Τέλος, όσον αφορά τη μελλοντική εξέλιξη του καθεστώτος του Ηνωμένου Βασιλείου για τις διεθνείς διαβιβάσεις —μέσω της έκδοσης νέων κανονισμών περί επάρκειας, της σύναψης διεθνών συμφωνιών ή της ανάπτυξης άλλων μηχανισμών μεταφοράς— η Επιτροπή θα παρακολουθεί από κοντά την κατάσταση, θα αξιολογεί κατά πόσον οι διάφοροι μηχανισμοί διαβίβασης χρησιμοποιούνται κατά τρόπο που διασφαλίζει τη συνέχεια της προστασίας και, αν απαιτείται, θα λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση των πιθανών δυσμενών επιπτώσεων για τη συνέχεια αυτή (βλ. αιτιολογικές σκέψεις 278 έως 287). Δεδομένου ότι η ΕΕ και το Ηνωμένο Βασίλειο έχουν παρόμοιους κανόνες για τις διεθνείς διαβιβάσεις, αναμένεται ότι οι προβληματικές αποκλίσεις θα μπορούν επίσης να αποφευχθούν μέσω της συνεργασίας, της ανταλλαγής πληροφοριών και της ανταλλαγής εμπειριών, μεταξύ άλλων μεταξύ του ICO και του ΕΣΠΔ.

(83)

Βάσει της αρχής της λογοδοσίας, οι οντότητες που υποβάλλουν σε επεξεργασία δεδομένα πρέπει να εφαρμόζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να συμμορφώνονται ουσιαστικά με τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων και να είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους, ιδίως στην αρμόδια εποπτική αρχή.

(84)

Η αρχή της λογοδοσίας που προβλέπεται στον κανονισμό (ΕΕ) 2016/679 έχει διατηρηθεί στο άρθρο 5 παράγραφος 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου χωρίς ουσιαστική αλλαγή, όπως και το άρθρο 24 σχετικά με την ευθύνη του υπευθύνου επεξεργασίας, το άρθρο 25 σχετικά με την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού και το άρθρο 30 σχετικά με τα αρχεία των δραστηριοτήτων επεξεργασίας. Έχουν διατηρηθεί επίσης τα άρθρα 35 και 36 για την εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και την προηγούμενη διαβούλευση με την εποπτική αρχή. Τα άρθρα 37-39 του κανονισμού (ΕΕ) 2016/679 σχετικά με τον ορισμό και τα καθήκοντα των υπευθύνων προστασίας δεδομένων έχουν επίσης διατηρηθεί στον ΓΚΠΔ του Ηνωμένου Βασιλείου χωρίς ουσιαστικές αλλαγές. Επιπλέον, οι διατάξεις των άρθρων 40 και 42 του κανονισμού (ΕΕ) 2016/679 σχετικά με τους κώδικες δεοντολογίας και την πιστοποίηση έχουν διατηρηθεί στον ΓΚΠΔ του Ηνωμένου Βασιλείου (80).

(85)

Για να είναι εγγυημένη η διασφάλιση επαρκούς επιπέδου προστασίας των δεδομένων στην πράξη, είναι αναγκαία η ύπαρξη ανεξάρτητης εποπτικής αρχής με εξουσίες παρακολούθησης και επιβολής της συμμόρφωσης με τους κανόνες προστασίας των δεδομένων. Η αρχή αυτή θα πρέπει να ενεργεί με πλήρη ανεξαρτησία και αμεροληψία κατά την εκτέλεση των καθηκόντων και την άσκηση των εξουσιών της.

(86)

Στο Ηνωμένο Βασίλειο, η εποπτεία και η επιβολή της συμμόρφωσης με τον ΓΚΠΔ του Ηνωμένου Βασιλείου και τον DPA 2018 διενεργείται από τον Επίτροπο Πληροφοριών. Ο Επίτροπος Πληροφοριών είναι ειδικής μορφής νομικό πρόσωπο (Corporation Sole): χωριστή νομική οντότητα που αποτελείται από ένα μόνο πρόσωπο. Ο Επίτροπος Πληροφοριών υποστηρίζεται στο έργο του από γραφείο. Στις 31 Μαρτίου 2020 το Γραφείο του Επιτρόπου Πληροφοριών είχε 768 μόνιμους υπαλλήλους ως προσωπικό (81). Το υπουργείο που χρηματοδοτεί τον Επίτροπο Πληροφοριών είναι το Υπουργείο Ψηφιακής Πολιτικής, Πολιτισμού, Μέσων Μαζικής Ενημέρωσης και Αθλητισμού (82).

(87)

Η ανεξαρτησία του Επιτρόπου κατοχυρώνεται ρητά στο άρθρο 52 του ΓΚΠΔ του Ηνωμένου Βασιλείου, το οποίο δεν περιέχει ουσιαστικές αλλαγές σε σύγκριση με το άρθρο 52 παράγραφοι 1-3 του ΓΚΠΔ. Ο Επίτροπος πρέπει να εκτελεί τα καθήκοντά του και να ασκεί τις εξουσίες του με πλήρη ανεξαρτησία σύμφωνα με τον ΓΚΠΔ του Ηνωμένου Βασιλείου, χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, σε σχέση με τα εν λόγω καθήκοντα και εξουσίες, και να μη ζητεί ούτε να λαμβάνει οδηγίες από κανέναν. Ο Επίτροπος πρέπει επίσης να απέχει από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά του και, κατά τη διάρκεια της θητείας του, να μην ασκεί κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη.

(88)

Οι προϋποθέσεις για τον διορισμό και την παύση του Επιτρόπου Πληροφοριών καθορίζονται στο παράρτημα 12 του DPA 2018. Ο Επίτροπος Πληροφοριών διορίζεται από την Αυτής Μεγαλειότητα έπειτα από σύσταση της κυβέρνησης βάσει ενός δίκαιου και ανοικτού διαγωνισμού. Ο υποψήφιος πρέπει να διαθέτει τα κατάλληλα προσόντα, δεξιότητες και ικανότητες. Σύμφωνα με τον κώδικα διακυβέρνησης για τους δημόσιους διορισμούς (83), συμβουλευτική επιτροπή αξιολόγησης καταρτίζει κατάλογο με τους υποψήφιους που μπορούν να διοριστούν. Πριν από την οριστικοποίηση της απόφασης του υπουργού Ψηφιακής Πολιτικής, Πολιτισμού, Μέσων Ενημέρωσης και Αθλητισμού, η αρμόδια επιτροπή επιλογής του Κοινοβουλίου πρέπει να διενεργήσει έλεγχο πριν από τον διορισμό. Η θέση της επιτροπής δημοσιοποιείται (84).

(89)

Ο Επίτροπος Πληροφοριών ασκεί θητεία έως επτά ετών. Ένα πρόσωπο δεν μπορεί να διοριστεί Επίτροπος Πληροφοριών περισσότερες από μία φορές. Ο Επίτροπος Πληροφοριών μπορεί να παυθεί από τα καθήκοντά του από την Αυτής Μεγαλειότητα μετά από αναγγελία και των δύο σωμάτων του Κοινοβουλίου (85). Δεν μπορεί να υποβληθεί αίτηση παύσης του Επιτρόπου Πληροφοριών σε κανένα από τα δύο σώματα του Κοινοβουλίου, εκτός εάν ο υπουργός έχει υποβάλει έκθεση στην οποία αναφέρεται ότι είναι πεπεισμένος ότι ο Επίτροπος Πληροφοριών είναι ένοχος σοβαρού παραπτώματος και/ή ότι ο Επίτροπος δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του (86).

(90)

Η χρηματοδότηση του Επιτρόπου Πληροφοριών προέρχεται από τρεις πηγές: i) τέλη προστασίας δεδομένων που καταβάλλουν οι υπεύθυνοι επεξεργασίας, τα οποία καθορίζονται από κανονισμούς του υπουργού (87) [κανονισμοί του 2018 για την προστασία των δεδομένων (τέλη και πληροφορίες)] και αντιστοιχούν στο 85-90 % του ετήσιου προϋπολογισμού του Γραφείου (88)· ii) επιχορήγηση που καταβάλλεται από την κυβέρνηση προς τον Επίτροπο Πληροφοριών. Η επιχορήγηση χρησιμοποιείται κυρίως για τη χρηματοδότηση των λειτουργικών δαπανών του Επιτρόπου Πληροφοριών όσον αφορά καθήκοντα που δεν σχετίζονται με την προστασία των δεδομένων (89)· και iii) τέλη που χρεώνονται για υπηρεσίες (90). Επί του παρόντος, δεν χρεώνονται τέτοια τέλη.

(91)

Τα γενικά καθήκοντα του Επιτρόπου Πληροφοριών σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στην οποία εφαρμόζεται ο ΓΚΠΔ του Ηνωμένου Βασιλείου καθορίζονται στο άρθρο 57 του ΓΚΠΔ του Ηνωμένου Βασιλείου, το οποίο αντικατοπτρίζει σε μεγάλο βαθμό τους αντίστοιχους κανόνες του κανονισμού (ΕΕ) 2016/679. Στα καθήκοντά του περιλαμβάνονται η παρακολούθηση και η επιβολή του ΓΚΠΔ του Ηνωμένου Βασιλείου, η προώθηση της ευαισθητοποίησης του κοινού, ο χειρισμός καταγγελιών που υποβάλλονται από τα υποκείμενα των δεδομένων, η διεξαγωγή ερευνών κ.λπ. Επιπλέον, το άρθρο 115 του DPA 2018 ορίζει άλλα γενικά καθήκοντα του Επιτρόπου, στα οποία περιλαμβάνεται το καθήκον παροχής συμβουλών στο Κοινοβούλιο, την κυβέρνηση και άλλα θεσμικά όργανα και οργανισμούς σχετικά με νομοθετικά και διοικητικά μέτρα που αφορούν την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και η εξουσία να εκδίδει, με δική του πρωτοβουλία ή κατόπιν αιτήματος, γνωμοδοτήσεις προς το Κοινοβούλιο, την κυβέρνηση ή άλλα θεσμικά όργανα και οργανισμούς, καθώς και προς το κοινό για οποιοδήποτε θέμα σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα. Για τη διατήρηση της ανεξαρτησίας της δικαστικής εξουσίας, ο Επίτροπος Πληροφοριών δεν έχει την εξουσία να ασκεί τα καθήκοντά του σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από πρόσωπο που ενεργεί υπό δικαστική ιδιότητα ή από δικαστήριο που ενεργεί στο πλαίσιο της δικαιοδοτικής του αρμοδιότητας. Ωστόσο, η εποπτεία της δικαστικής εξουσίας εξασφαλίζεται από εξειδικευμένα όργανα (βλ. αιτιολογικές σκέψεις 99 έως 103).

(92)

Οι εξουσίες του Επιτρόπου Πληροφοριών ορίζονται στο άρθρο 58 του ΓΚΠΔ του Ηνωμένου Βασιλείου, το οποίο δεν εισάγει ουσιαστικές αλλαγές στο αντίστοιχο άρθρο του κανονισμού (ΕΕ) 2016/679. Ο DPA 2018 θεσπίζει συμπληρωματικούς κανόνες σχετικά με τον τρόπο άσκησης των εν λόγω εξουσιών. Ειδικότερα, ο Επίτροπος έχει την εξουσία: α) να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία (και, σε ορισμένες περιπτώσεις, σε οποιοδήποτε άλλο πρόσωπο) να παράσχουν τις αναγκαίες πληροφορίες μέσω ειδοποίησης παροχής πληροφοριών (στο εξής: ειδοποίηση παροχής πληροφοριών) (91)· β) να διεξάγει έρευνες και ελέγχους μέσω ειδοποίησης διενέργειας αξιολόγησης, στο πλαίσιο της οποίας είναι δυνατόν να υποχρεώνεται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία να επιτρέψει στον Επίτροπο να εισέλθει σε συγκεκριμένες εγκαταστάσεις, να επιθεωρήσει ή να εξετάσει έγγραφα ή εξοπλισμό και να υποβάλει ερωτήσεις σε άτομα που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας κ.λπ. (στο εξής: ειδοποίηση διενέργειας αξιολόγησης) (92)· γ) να αποκτά με άλλον τρόπο πρόσβαση σε έγγραφα κ.λπ. των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, καθώς και πρόσβαση στις εγκαταστάσεις τους σύμφωνα με το άρθρο 154 του DPA 2018 (στο εξής: εξουσίες εισόδου και επιθεώρησης)· δ) να ασκεί διορθωτικές εξουσίες, μεταξύ άλλων μέσω προειδοποιήσεων και επιπλήξεων, ή να δίνει εντολές μέσω ειδοποίησης επιβολής μέτρων, η οποία απαιτεί από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία να λάβουν ή να απόσχουν από ορισμένα μέτρα, συμπεριλαμβανομένης της παροχής εντολής προς τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να κάνει οτιδήποτε προβλέπεται στο άρθρο 58παράγραφος 2 στοιχεία (c) έως (g) και (j) του ΓΚΠΔ του Ηνωμένου Βασιλείου (στο εξής: ειδοποίηση επιβολής μέτρων) (93)· ε) και να επιβάλλει διοικητικά πρόστιμα με τη μορφή ειδοποίησης επιβολής κυρώσεων (στο εξής: ειδοποίηση επιβολής κυρώσεων) (94). Τέτοια πρόστιμα μπορούν επίσης να επιβληθούν σε περίπτωση που δημόσια αρχή δεν έχει συμμορφωθεί με τις διατάξεις του ΓΚΠΔ του Ηνωμένου Βασιλείου (95).

(93)

Η πολιτική ρυθμιστικής δράσης του ICO καθορίζει τις συνθήκες υπό τις οποίες ο Επίτροπος θα εκδίδει ειδοποίηση παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων ή επιβολής κυρώσεων (96). Ειδοποίηση επιβολής μέτρων που εκδίδεται ως απάντηση σε παράλειψη του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία μπορεί να επιβάλει μόνο απαιτήσεις τις οποίες ο Επίτροπος θεωρεί κατάλληλες για την επανόρθωση της παράλειψης. Ειδοποιήσεις επιβολής μέτρων και επιβολής κυρώσεων μπορούν να εκδίδονται προς υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε σχέση με παραβιάσεις του κεφαλαίου II του ΓΚΠΔ του Ηνωμένου Βασιλείου (αρχές της επεξεργασίας), των άρθρων 12-22 (δικαιώματα του υποκειμένου των δεδομένων), των άρθρων 25-39 (υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία) και των άρθρων 44-49 (διεθνείς διαβιβάσεις) του ΓΚΠΔ του Ηνωμένου Βασιλείου. Ειδοποίηση επιβολής μέτρων μπορεί επίσης να εκδοθεί σε περίπτωση που ο υπεύθυνος επεξεργασίας δεν συμμορφώνεται με την απαίτηση καταβολής τέλους σύμφωνα με τους κανονισμούς που προβλέπονται στο άρθρο 137 του DPA 2018. Επιπλέον, ειδοποίηση επιβολής μέτρων μπορεί να εκδοθεί σε βάρος φορέα παρακολούθησης βάσει του άρθρου 41 ή παρόχου πιστοποίησης εάν δεν συμμορφώνεται με τις υποχρεώσεις του βάσει του ΓΚΠΔ του Ηνωμένου Βασιλείου. Ειδοποίηση επιβολής κυρώσεων μπορεί επίσης να εκδοθεί σε βάρος προσώπου που δεν έχει συμμορφωθεί με ειδοποίηση παροχής πληροφοριών, ειδοποίηση διενέργειας αξιολόγησης ή ειδοποίηση επιβολής μέτρων.

(94)

Η ειδοποίηση επιβολής κυρώσεων επιβάλλει στο πρόσωπο να καταβάλει στον Επίτροπο Πληροφοριών το ποσό που καθορίζεται στην ειδοποίηση. Για να αποφασίσει αν θα απευθύνει ειδοποίηση επιβολής κυρώσεων σε πρόσωπο και να καθορίσει το ποσό της κύρωσης, ο Επίτροπος Πληροφοριών πρέπει να λάβει υπόψη τα στοιχεία που απαριθμούνται στο άρθρο 83 παράγραφοι 1 και 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου, τα οποία είναι πανομοιότυπα με τους αντίστοιχους κανόνες του κανονισμού (ΕΕ) 2016/679 (97). Σύμφωνα με το άρθρο 83 παράγραφοι 4 και 5, τα ανώτατα ποσά των διοικητικών προστίμων σε περίπτωση μη συμμόρφωσης με τις υποχρεώσεις που αναφέρονται στις εν λόγω διατάξεις είναι 8 700 000 λίρες στερλίνες (GBP) ή 17 500 000 GBP αντίστοιχα. Στην περίπτωση επιχείρησης, ο Επίτροπος Πληροφοριών μπορεί επίσης να επιβάλει πρόστιμο ως ποσοστό του παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης, εάν είναι υψηλότερο. Όπως και στις αντίστοιχες διατάξεις του κανονισμού (ΕΕ) 2016/679, τα ποσά αυτά καθορίζονται στο άρθρο 83 παράγραφοι 4 και 5 αντίστοιχα σε 2 % και 4 %. Σε περίπτωση μη συμμόρφωσης με ειδοποίηση παροχής πληροφοριών, ειδοποίηση διενέργειας αξιολόγησης ή ειδοποίηση επιβολής μέτρων, το ανώτατο ποσό της ποινής που μπορεί να επιβληθεί μέσω ειδοποίησης επιβολής κυρώσεων ανέρχεται σε 17 500 000 GBP ή, στην περίπτωση επιχείρησης, σε 4 % του παγκόσμιου ετήσιου κύκλου εργασιών της.

(95)

Ο ΓΚΠΔ του Ηνωμένου Βασιλείου μαζί με τον DPA 2018 έχουν ενισχύσει και άλλες εξουσίες του Επιτρόπου Πληροφοριών. Για παράδειγμα, ο Επίτροπος μπορεί πλέον να διενεργεί υποχρεωτικούς ελέγχους σε σχέση με όλους τους υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία μέσω της χρήσης ειδοποιήσεων διενέργειας αξιολόγησης, ενώ σύμφωνα με την προηγούμενη νομοθεσία, τον νόμο του 1998 για την προστασία των δεδομένων, ο Επίτροπος είχε αυτή την εξουσία μόνο όσον αφορά την κεντρική κυβέρνηση και τους οργανισμούς υγείας, ενώ οι άλλοι φορείς έπρεπε να συμφωνήσουν για τη διενέργεια ελέγχου.

(96)

Από τότε που θεσπίστηκε ο κανονισμός (ΕΕ) 2016/679, το ICO χειρίζεται περίπου 40 000 καταγγελίες από υποκείμενα δεδομένων ετησίως (98) και, επιπλέον, διενεργεί περίπου 2 000 αυτεπάγγελτες έρευνες (99). Η πλειονότητα των καταγγελιών σχετίζεται με τα δικαιώματα πρόσβασης και γνωστοποίησης δεδομένων. Σε συνέχεια των ερευνών του, ο Επίτροπος λαμβάνει μέτρα επιβολής σε ευρύ φάσμα τομέων. Ειδικότερα, σύμφωνα με την τελευταία ετήσια έκθεση του Επιτρόπου Πληροφοριών (2019-2020) (100), ο Επίτροπος εξέδωσε 54 ειδοποιήσεις παροχής πληροφοριών, 8 ειδοποιήσεις διενέργειας αξιολόγησης, 7 ειδοποιήσεις επιβολής μέτρων, 4 προειδοποιήσεις, 8 διώξεις και 15 πρόστιμα κατά την περίοδο αναφοράς (101).

(97)

Στα παραπάνω περιλαμβάνεται και η επιβολή σημαντικών χρηματικών ποινών δυνάμει του κανονισμού (ΕΕ) 2016/679 και του DPA 2018. Ιδίως, τον Οκτώβριο του 2020 ο Επίτροπος Πληροφοριών επέβαλε πρόστιμο ύψους 20 εκατ. GBP σε βρετανική αεροπορική εταιρεία για παραβίαση δεδομένων που έθιξε περισσότερους από 400 000 πελάτες. Στο τέλος Οκτωβρίου του 2020, σε διεθνή αλυσίδα ξενοδοχείων επιβλήθηκε πρόστιμο ύψους 18,4 εκατ. GBP επειδή δεν τηρούσε ασφαλή τα προσωπικά δεδομένα εκατομμυρίων πελατών, ενώ τον Νοέμβριο του 2020 ένας Βρετανός πάροχος υπηρεσιών που πωλούσε εισιτήρια εκδηλώσεων μέσω διαδικτύου τιμωρήθηκε με πρόστιμο ύψους 1,25 εκατ. GBP για μη προστασία των στοιχείων πληρωμής των πελατών (102).

(98)

Εκτός από τις εξουσίες επιβολής του Επιτρόπου Πληροφοριών που περιγράφονται στην αιτιολογική σκέψη 92, ορισμένες παραβιάσεις της νομοθεσίας για την προστασία των δεδομένων συνιστούν αδικήματα και, ως εκ τούτου, είναι δυνατόν να επιφέρουν ποινικές κυρώσεις (άρθρο 196 του DPA 2018). Αυτό ισχύει, για παράδειγμα, στις περιπτώσεις της με πρόθεση ή από βαριά αμέλεια απόκτησης ή κοινοποίησης δεδομένων προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπευθύνου επεξεργασίας, της ηθικής αυτουργίας στην κοινοποίηση δεδομένων προσωπικού χαρακτήρα σε άλλο πρόσωπο χωρίς τη συγκατάθεση του υπευθύνου επεξεργασίας (103), της επαναταυτοποίησης πληροφοριών που αποτελούν αποταυτοποιημένα δεδομένα προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπεύθυνου για την αποταυτοποίηση των δεδομένων προσωπικού χαρακτήρα υπευθύνου επεξεργασίας (104), της με πρόθεση παρακώλυσης της εξουσίας του Επιτρόπου να ασκεί τις εξουσίες του όσον αφορά την επιθεώρηση δεδομένων προσωπικού χαρακτήρα σύμφωνα με διεθνείς υποχρεώσεις (105), της υποβολής ψευδών δηλώσεων σε απάντηση σε ειδοποίηση παροχής πληροφοριών ή της καταστροφής πληροφοριών σε σχέση με ειδοποιήσεις παροχής πληροφοριών και διενέργειας αξιολόγησης (106).

(99)

Η εποπτεία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα δικαστήρια και το σύστημα δικαιοσύνης είναι διττή. Όταν κάτοχος δικαστικού αξιώματος ή δικαστήριο δεν ενεργεί υπό δικαστική ιδιότητα, η εποπτεία παρέχεται από το ICO. Όταν ο υπεύθυνος επεξεργασίας λειτουργεί υπό δικαστική ιδιότητα, το ICO δεν μπορεί να ασκήσει τα εποπτικά του καθήκοντα (107) και η εποπτεία διενεργείται από ειδικούς φορείς. Αυτό αντικατοπτρίζει την προσέγγιση που υιοθετήθηκε στον κανονισμό (ΕΕ) 2016/679 (άρθρο 55 παράγραφος 3).

(100)

Ειδικότερα, στη δεύτερη περίπτωση, όσον αφορά τα δικαστήρια της Αγγλίας και της Ουαλίας και τα πρωτοδικεία διοικητικών διαφορών και τα εφετεία διοικητικών διαφορών (Upper Tribunal) της Αγγλίας και της Ουαλίας, η εν λόγω εποπτεία παρέχεται από την Ειδική Ομάδα Προστασίας Δικαστικών Δεδομένων (Judicial Data Protection Panel) (108). Επιπλέον, ο λόρδος αρχιδικαστής (Lord Chief Justice) και o ανώτατος πρόεδρος των ειδικών δικαιοδοτικών οργάνων (Senior President of Tribunals) εξέδωσαν δήλωση περί προστασίας της ιδιωτικότητας (109), στην οποία περιγράφεται ο τρόπος με τον οποίο τα δικαστήρια της Αγγλίας και της Ουαλίας επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα για την άσκηση δικαστικών καθηκόντων. Παρόμοια δήλωση έχει εκδοθεί από το δικαστικό σώμα της Βόρειας Ιρλανδίας (110) και της Σκωτίας (111).

(101)

Επιπλέον, στη Βόρεια Ιρλανδία, ο λόρδος αρχιδικαστής της Βόρειας Ιρλανδίας έχει διορίσει δικαστή του Ανώτερου Δικαστηρίου (High Court) ως δικαστή εποπτείας δεδομένων (Data Supervisory Judge, DSJ) (112). Έχει επίσης εκδώσει οδηγίες προς το δικαστικό σώμα της Βόρειας Ιρλανδίας σχετικά με τις ενέργειες που πρέπει να πραγματοποιούνται σε περίπτωση απώλειας ή δυνητικής απώλειας δεδομένων και τη διαδικασία αντιμετώπισης τυχόν ζητημάτων που προκύπτουν συναφώς (113).

(102)

Στη Σκωτία, ο λόρδος πρόεδρος (Lord President) έχει διορίσει έναν δικαστή εποπτείας δεδομένων (Data Supervisory Judge) για τη διερεύνηση των καταγγελιών για λόγους προστασίας των δεδομένων. Ο εν λόγω διορισμός προβλέπεται από τους κανόνες για τις δικαστικές καταγγελίες, που αντικατοπτρίζουν εκείνους που θεσπίστηκαν για την Αγγλία και την Ουαλία (114).

(103)

Τέλος, στο Ανώτατο Δικαστήριο (Supreme Court), διορίζεται ένας από τους δικαστές του Ανώτατου Δικαστηρίου για την επίβλεψη της προστασίας των δεδομένων.

(104)

Για να διασφαλίζεται επαρκής προστασία και ιδίως η επιβολή των ατομικών δικαιωμάτων, το υποκείμενο των δεδομένων πρέπει να έχει στη διάθεση του αποτελεσματικά μέσα διοικητικής και δικαστικής προσφυγής, συμπεριλαμβανομένης της δυνατότητας να αξιώσει αποζημίωση.

(105)

Πρώτον, το υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στον Επίτροπο Πληροφοριών αν θεωρεί ότι έχει υπάρξει παράβαση του ΓΚΠΔ του Ηνωμένου Βασιλείου (115) σε σχέση με δεδομένα προσωπικού χαρακτήρα που το αφορούν. Ο ΓΚΠΔ του Ηνωμένου Βασιλείου διατηρεί τους κανόνες του άρθρου 77 του κανονισμού (ΕΕ) 2016/679 σχετικά με το εν λόγω δικαίωμα χωρίς ουσιώδεις τροποποιήσεις. Το ίδιο ισχύει για το άρθρο 57 παράγραφος 1 στοιχείο (f) και το άρθρο 57 παράγραφος 2 που καθορίζουν τα καθήκοντα του Επιτρόπου σε σχέση με τον χειρισμό των καταγγελιών. Όπως περιγράφεται στις αιτιολογικές σκέψεις 92 έως 98 ανωτέρω, ο Επίτροπος Πληροφοριών έχει την εξουσία να αξιολογεί τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τον ΓΚΠΔ του Ηνωμένου Βασιλείου και τον DPA 2018, να τους υποχρεώνει να λάβουν τα αναγκαία μέτρα ή να απόσχουν από συγκεκριμένες ενέργειες σε περίπτωση μη συμμόρφωσης και να επιβάλλει πρόστιμα.

(106)

Δεύτερον, ο ΓΚΠΔ του Ηνωμένου Βασιλείου και ο DPA 2018 παρέχουν το δικαίωμα προσφυγής κατά του Επιτρόπου Πληροφοριών. Σύμφωνα με το άρθρο 78 παράγραφος 1 του ΓΚΠΔ του Ηνωμένου Βασιλείου, τα φυσικά πρόσωπα έχουν δικαίωμα πραγματικής δικαστικής προσφυγής κατά των νομικά δεσμευτικών αποφάσεων του Επιτρόπου που τα αφορούν. Στο πλαίσιο του δικαστικού ελέγχου, ο δικαστής εξετάζει την απόφαση που προσβάλλεται με την προσφυγή και εξετάζει αν ο Επίτροπος Πληροφοριών έχει ενεργήσει νομίμως. Επιπλέον, σύμφωνα με το άρθρο 78 παράγραφος 2 του ΓΚΠΔ του Ηνωμένου Βασιλείου, εάν ο Επίτροπος δεν χειριστεί δεόντως καταγγελία που έχει υποβληθεί από το υποκείμενο των δεδομένων (116), ο καταγγέλλων έχει πρόσβαση σε δικαστική προσφυγή. Μπορεί να ζητήσει από πρωτοδικείο διοικητικών διαφορών να διατάξει τον Επίτροπο να λάβει τα κατάλληλα μέτρα για να απαντήσει στην καταγγελία ή να ενημερώσει τον καταγγέλλοντα για την εξέλιξη της καταγγελίας (117). Επιπλέον, κάθε πρόσωπο στο οποίο έχει κοινοποιηθεί από τον Επίτροπο οποιαδήποτε από τις προαναφερθείσες ειδοποιήσεις (παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων ή επιβολής κυρώσεων) μπορεί να προσφύγει ενώπιον πρωτοδικείου διοικητικών διαφορών (118). Εάν το δικαστήριο κρίνει ότι η απόφαση του Επιτρόπου δεν είναι σύμφωνη με τον νόμο ή ότι ο Επίτροπος Πληροφοριών θα έπρεπε να είχε ασκήσει τη διακριτική του ευχέρεια με διαφορετικό τρόπο, το δικαστήριο πρέπει να κάνει δεκτή την προσφυγή ή να αντικαταστήσει την απόφαση του Επιτρόπου με άλλη ειδοποίηση ή απόφαση που θα μπορούσε να είχε εκδώσει ή λάβει ο Επίτροπος Πληροφοριών.

(107)

Τρίτον, τα φυσικά πρόσωπα μπορούν να ασκήσουν δικαστική προσφυγή κατά υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία απευθείας ενώπιον των δικαστηρίων σύμφωνα με το άρθρο 79 του ΓΚΠΔ του Ηνωμένου Βασιλείου και το άρθρο 167 του DPA 2018. Εάν, κατόπιν αίτησης υποκειμένου δεδομένων, το δικαστήριο κρίνει ότι υπήρξε προσβολή των δικαιωμάτων του εν λόγω υποκειμένου των δεδομένων βάσει της νομοθεσίας για την προστασία των δεδομένων, το δικαστήριο μπορεί να διατάξει τον υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία που ενεργεί για λογαριασμό του εν λόγω υπευθύνου επεξεργασίας να λάβει τα μέτρα που προσδιορίζονται στη διαταγή ή να απόσχει από τις ενέργειες που προσδιορίζονται στη διαταγή.

(108)

Επιπλέον, σύμφωνα με το άρθρο 82 του ΓΚΠΔ του Ηνωμένου Βασιλείου και το άρθρο 168 του DPA 2018, κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του ΓΚΠΔ του Ηνωμένου Βασιλείου δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη. Οι κανόνες για την αποζημίωση και την ευθύνη στο άρθρο 82 παράγραφοι 1 έως 5 του ΓΚΠΔ του Ηνωμένου Βασιλείου είναι πανομοιότυποι με τους αντίστοιχους κανόνες του κανονισμού (ΕΕ) 2016/679. Σύμφωνα με το άρθρο 168 του DPA 2018, η μη υλική ζημία περιλαμβάνει επίσης την πρόκληση οδύνης. Σύμφωνα με το άρθρο 80 του ΓΚΠΔ του Ηνωμένου Βασιλείου, το υποκείμενο των δεδομένων έχει επίσης το δικαίωμα να ζητήσει από φορέα ή οργανισμό εκπροσώπησης να υποβάλει την καταγγελία στον Επίτροπο για λογαριασμό του (σύμφωνα με το άρθρο 77 του ΓΚΠΔ του Ηνωμένου Βασιλείου) και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 78 (δικαίωμα πραγματικής δικαστικής προσφυγής κατά του Επιτρόπου), 79 (δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία) και 82 (δικαίωμα αποζημίωσης και ευθύνη) του ΓΚΠΔ του Ηνωμένου Βασιλείου για λογαριασμό του.

(109)

Τέταρτον, εκτός από τις παραπάνω δυνατότητες προσφυγής, οποιοδήποτε πρόσωπο θεωρεί ότι τα δικαιώματά του, συμπεριλαμβανομένων των δικαιωμάτων στην προστασία της ιδιωτικότητας και των δεδομένων, έχουν παραβιαστεί από δημόσιες αρχές, μπορεί να προσφύγει ενώπιον των δικαστηρίων του Ηνωμένου Βασιλείου βάσει του νόμου του 1998 για τα ανθρώπινα δικαιώματα (119). Φυσικό πρόσωπο που ισχυρίζεται ότι μια δημόσια αρχή ενήργησε (ή προτίθεται να ενεργήσει) κατά τρόπο ασυμβίβαστο με δικαίωμα της Σύμβασης, και, κατά συνέπεια, παράνομο βάσει του άρθρου 6 παράγραφος 1 του νόμου του 1998 για τα ανθρώπινα δικαιώματα, μπορεί να ασκήσει προσφυγή κατά της αρχής ενώπιον του αρμόδιου δικαστηρίου ή ειδικού δικαιοδοτικού οργάνου ή να επικαλεστεί τα σχετικά δικαιώματα σε οποιαδήποτε δικαστική διαδικασία, εφόσον είναι (ή θα ήταν) θύμα της παράνομης πράξης.

(110)

Εάν το δικαστήριο διαπιστώσει ότι οποιαδήποτε πράξη δημόσιας αρχής είναι παράνομη, μπορεί να χορηγήσει τη σχετική επανόρθωση ή αποκατάσταση, ή να εκδώσει τη διαταγή, στο πλαίσιο των αρμοδιοτήτων του, που κρίνει δίκαιη και κατάλληλη (120). Το δικαστήριο μπορεί επίσης να κηρύξει διάταξη πρωτογενούς δικαίου ασυμβίβαστη με δικαίωμα που κατοχυρώνεται από την ΕΣΔΑ.

(111)

Τέλος, αφού εξαντληθούν τα εθνικά ένδικα μέσα, ένα φυσικό πρόσωπο μπορεί να προσφύγει ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου για παραβιάσεις των δικαιωμάτων που κατοχυρώνει η Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου.

(112)

Η Επιτροπή αξιολόγησε επίσης το νομικό πλαίσιο του Ηνωμένου Βασιλείου για τη συλλογή και τη μετέπειτα χρήση δεδομένων προσωπικού χαρακτήρα που έχουν διαβιβαστεί σε επιχειρηματικούς φορείς στο Ηνωμένο Βασίλειο από δημόσιες αρχές του Ηνωμένου Βασιλείου προς το δημόσιο συμφέρον, ιδιαίτερα για σκοπούς επιβολής του ποινικού δικαίου και εθνικής ασφάλειας (στο εξής: πρόσβαση κρατικών αρχών). Κατά την αξιολόγηση του κατά πόσον οι όροι υπό τους οποίους οι κρατικές αρχές θα έχουν πρόσβαση στα δεδομένα που θα έχουν διαβιβαστεί στο Ηνωμένο Βασίλειο βάσει της παρούσας απόφασης θα πληρούσαν το κριτήριο της «ουσιώδους ισοδυναμίας» σύμφωνα με το άρθρο 45 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, όπως ερμηνεύεται από το Δικαστήριο της Ευρωπαϊκής Ένωσης υπό το πρίσμα του Χάρτη των Θεμελιωδών Δικαιωμάτων, η Επιτροπή έλαβε υπόψη ιδίως τα ακόλουθα κριτήρια.

(113)

Πρώτον, κάθε περιορισμός του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα πρέπει να προβλέπεται από τον νόμο και η νομική βάση που επιτρέπει την επέμβαση στο δικαίωμα αυτό πρέπει να καθορίζει η ίδια την έκταση του περιορισμού στην άσκηση του εν λόγω δικαιώματος (121).

(114)

Δεύτερον, προκειμένου να πληρούται η απαίτηση της αναλογικότητας, σύμφωνα με την οποία οι παρεκκλίσεις από την προστασία των δεδομένων προσωπικού χαρακτήρα και οι περιορισμοί της πρέπει να εφαρμόζονται μόνο στο μέτρο που είναι απολύτως αναγκαίο σε μια δημοκρατική κοινωνία για την επίτευξη συγκεκριμένων στόχων γενικού συμφέροντος ισοδύναμων με εκείνους που αναγνωρίζει η Ένωση, η επίμαχη ρύθμιση της τρίτης χώρας που συνεπάγεται την επέμβαση πρέπει να προβλέπει σαφείς και ακριβείς κανόνες που να διέπουν το περιεχόμενο και την εφαρμογή των σχετικών μέτρων και να επιβάλλουν ελάχιστες απαιτήσεις, ούτως ώστε τα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται να έχουν επαρκείς εγγυήσεις οι οποίες να καθιστούν δυνατή την αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα από τους κινδύνους κατάχρησης (122). Η ρύθμιση πρέπει, ειδικότερα, να ορίζει υπό ποιες περιστάσεις και υπό ποιες συνθήκες μπορεί να ληφθεί μέτρο το οποίο προβλέπει την επεξεργασία τέτοιων δεδομένων (123), καθώς και να υποβάλει την εκπλήρωση των εν λόγω απαιτήσεων σε ανεξάρτητη εποπτεία (124).

(115)

Τρίτον, η εν λόγω ρύθμιση πρέπει να είναι νομικά δεσμευτική βάσει του εσωτερικού δικαίου και οι εν λόγω νομικές απαιτήσεις πρέπει όχι μόνο να είναι δεσμευτικές για τις αρχές, αλλά και να μπορούν να προβληθούν έναντι των αρχών της οικείας τρίτης χώρας ενώπιον των δικαστηρίων (125). Ειδικότερα, τα υποκείμενα των δεδομένων πρέπει να έχουν τη δυνατότητα να ασκήσουν ένδικο βοήθημα ενώπιον ανεξάρτητου και αμερόληπτου δικαστηρίου προκειμένου να εξασφαλίσουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα τα οποία τα αφορούν, ή να επιτύχουν τη διόρθωση ή την απαλοιφή τέτοιων δεδομένων (126).

(116)

Ως άσκηση εξουσίας από δημόσια αρχή, η πρόσβαση των κρατικών αρχών στο Ηνωμένο Βασίλειο πρέπει να πραγματοποιείται με πλήρη σεβασμό του νόμου. Το Ηνωμένο Βασίλειο έχει κυρώσει την Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου (βλ. αιτιολογική σκέψη 9) και όλες οι δημόσιες αρχές του Ηνωμένου Βασιλείου υποχρεούνται να ενεργούν σύμφωνα με τη Σύμβαση (127). Το άρθρο 8 της Σύμβασης ορίζει ότι κάθε επέμβαση στην ιδιωτική ζωή πρέπει να είναι σύμφωνη προς τον νόμο, προς το συμφέρον ενός από τους σκοπούς του άρθρου 8 παράγραφος 2 και ανάλογη προς τον σκοπό αυτό. Το άρθρο 8 απαιτεί επίσης η επέμβαση να «προβλέπεται», δηλαδή να έχει σαφή και προσβάσιμη νομική βάση και να περιέχει κατάλληλες εγγυήσεις για την πρόληψη των καταχρήσεων.

(117)

Επιπλέον, στη νομολογία του, το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου έχει διευκρινίσει ότι κάθε επέμβαση στο δικαίωμα στην ιδιωτική ζωή και στην προστασία των δεδομένων θα πρέπει να υπόκειται σε αποτελεσματικό, ανεξάρτητο και αμερόληπτο σύστημα εποπτείας, το οποίο πρέπει να παρέχεται είτε από δικαστή είτε από άλλο ανεξάρτητο όργανο (128) (π.χ. διοικητική αρχή ή κοινοβουλευτικό όργανο).

(118)

Επιπλέον, πρέπει να παρέχεται στους ιδιώτες πραγματική προσφυγή, ενώ το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου έχει διευκρινίσει ότι η προσφυγή πρέπει να παρέχεται από ανεξάρτητο και αμερόληπτο όργανο το οποίο έχει θεσπίσει τον εσωτερικό κανονισμό του, το οποίο αποτελείται από μέλη που πρέπει να κατέχουν ή να έχουν ασκήσει υψηλό δικαστικό αξίωμα ή να είναι έμπειροι δικηγόροι, και ότι δεν πρέπει να υπάρχει βάρος απόδειξης που πρέπει να ξεπεραστεί για την προσφυγή σ' αυτό. Στο πλαίσιο της εξέτασης καταγγελιών από ιδιώτες, το ανεξάρτητο και αμερόληπτο όργανο θα πρέπει να έχει πρόσβαση σε όλες τις συναφείς πληροφορίες, συμπεριλαμβανομένων των τυχόν απόρρητων στοιχείων. Τέλος, θα πρέπει να έχει εξουσίες λήψης διορθωτικών μέτρων σε περίπτωση μη συμμόρφωσης (129).

(119)

Το Ηνωμένο Βασίλειο κύρωσε επίσης τη Σύμβαση του Συμβουλίου της Ευρώπης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα (Σύμβαση 108) και υπέγραψε το πρωτόκολλο για την τροποποίηση της Σύμβασης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα (γνωστό ως Σύμβαση 108+) το 2018 (130). Το άρθρο 9 της Σύμβασης 108 προβλέπει ότι παρέκκλιση από τις γενικές αρχές προστασίας των δεδομένων (άρθρο 5 – Ποιότητα των πληροφοριών), τους κανόνες που διέπουν τις ειδικές κατηγορίες δεδομένων (άρθρο – 6 Ειδικές κατηγορίες πληροφοριών) και τα δικαιώματα των υποκειμένων των δεδομένων (άρθρο 8 – Συμπληρωματικές εγγυήσεις για το πρόσωπο το οποίο αφορούν οι πληροφορίες) είναι δυνατή μόνο όταν η παρέκκλιση αυτή προβλέπεται από το δίκαιο του συμβαλλόμενου μέρους και αποτελεί απαραίτητο μέτρο σε μια δημοκρατική κοινωνία για την προστασία της ασφάλειας του κράτους, της δημόσιας ασφάλειας, των νομισματικών συμφερόντων του κράτους ή την καταστολή ποινικών παραβάσεων, ή για την προστασία του υποκειμένου των δεδομένων, όπως και των δικαιωμάτων και ελευθεριών τρίτων (131).

(120)

Ως εκ τούτου, μέσω της ιδιότητάς του ως μέλους του Συμβουλίου της Ευρώπης, της προσχώρησής του στην Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου και της υπαγωγής του στη δικαιοδοσία του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου, το Ηνωμένο Βασίλειο υπόκειται σε σειρά υποχρεώσεων, οι οποίες κατοχυρώνονται στο διεθνές δίκαιο και πλαισιώνουν το σύστημα πρόσβασης του κράτους βάσει αρχών, εγγυήσεων και ατομικών δικαιωμάτων παρόμοιων με εκείνα που κατοχυρώνονται από το δίκαιο της ΕΕ και ισχύουν για τα κράτη μέλη. Όπως τονίζεται στην αιτιολογική σκέψη 19, η συνεχιζόμενη τήρηση των εν λόγω νομικών πράξεων αποτελεί επομένως ιδιαίτερα σημαντικό στοιχείο της αξιολόγησης στην οποία βασίζεται η παρούσα απόφαση.

(121)

Επιπλέον, ο DPA 2018 κατοχυρώνει συγκεκριμένες εγγυήσεις και δικαιώματα προστασίας των δεδομένων όταν τα δεδομένα υποβάλλονται σε επεξεργασία από δημόσιες αρχές, μεταξύ άλλων από φορείς επιβολής του νόμου και εθνικής ασφάλειας.

(122)

Ειδικότερα, το καθεστώς για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της επιβολής του ποινικού δικαίου καθορίζεται στο μέρος 3 του DPA 2018, το οποίο θεσπίστηκε για τη μεταφορά της οδηγίας (ΕΕ) 2016/680 στο εθνικό δίκαιο. Το μέρος 3 του DPA 2018 αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους (132).

(123)

Η έννοια της «αρμόδιας αρχής» ορίζεται στο άρθρο 30 του DPA ως πρόσωπο που περιλαμβάνεται στο παράρτημα 7 του DPA 2018, καθώς και ως οποιοδήποτε άλλο πρόσωπο στον βαθμό που το εν λόγω πρόσωπο έχει εκ του νόμου καθήκοντα για οποιονδήποτε από τους σκοπούς επιβολής του νόμου (133). Όπως εξηγείται κατωτέρω (βλ. αιτιολογική σκέψη 139), ορισμένες αρμόδιες αρχές (για παράδειγμα η Εθνική Υπηρεσία Δίωξης του Εγκλήματος) μπορούν να χρησιμοποιούν, υπό ορισμένους όρους, τις εξουσίες που προβλέπονται από τον νόμο του 2016 για τις ερευνητικές εξουσίες (Investigatory Powers Act 2016, IPA 2016). Στην περίπτωση αυτή, οι εγγυήσεις που προβλέπονται από τον IPA 2016 θα εφαρμόζονται επιπλέον εκείνων που προβλέπονται από το μέρος 3 του DPA 2018. Οι υπηρεσίες πληροφοριών [Μυστική Υπηρεσία Πληροφοριών (Secret Intelligence Service), Υπηρεσία Ασφάλειας (Security Service) και Κεντρική Κυβερνητική Υπηρεσία Επικοινωνιών (Government Communications Headquarters)] δεν αποτελούν αρμόδιες αρχές (134) που εμπίπτουν στο μέρος 3 του DPA 2018 και, επομένως, οι κανόνες που προβλέπονται στο εν λόγω μέρος 3 δεν εφαρμόζονται σε καμία από τις δραστηριότητές τους. Ένα ειδικό μέρος του DPA 2018 (το μέρος 4) διέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών (για περισσότερες λεπτομέρειες βλ. αιτιολογική σκέψη 125).

(124)

Όπως και η οδηγία (ΕΕ) 2016/680, το μέρος 3 του DPA 2018 καθορίζει τις αρχές της νομιμότητας και της αντικειμενικότητας (135), του περιορισμού του σκοπού (136), της ελαχιστοποίησης των δεδομένων (137), της ακρίβειας (138), του περιορισμού της περιόδου αποθήκευσης (139) και της ασφάλειας (140). Η νομοθεσία επιβάλλει ειδικές υποχρεώσεις διαφάνειας (141) και παρέχει στα άτομα το δικαίωμα πρόσβασης (142), διόρθωσης και διαγραφής (143), καθώς και το δικαίωμα να μην υπόκεινται σε αυτοματοποιημένη λήψη αποφάσεων (144). Οι αρμόδιες αρχές υποχρεούνται επίσης να εφαρμόζουν την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας και, για ορισμένες πράξεις επεξεργασίας, να διενεργούν εκτίμηση του αντικτύπου σχετικά με την προστασία των δεδομένων και να συμβουλεύονται εκ των προτέρων τον Επίτροπο Πληροφοριών (145). Σύμφωνα με το άρθρο 56 του DPA 2018, υποχρεούνται να αποδεικνύουν τη συμμόρφωση. Επιπλέον, υποχρεούνται να θέτουν σε εφαρμογή κατάλληλα μέτρα για τη διασφάλιση της ασφάλειας της επεξεργασίας (146) και υπόκεινται σε ειδικές υποχρεώσεις σε περίπτωση παραβίασης δεδομένων, συμπεριλαμβανομένης της γνωστοποίησης των εν λόγω παραβιάσεων στον Επίτροπο Πληροφοριών και στα υποκείμενα των δεδομένων (147). Όπως και στην περίπτωση της οδηγίας (ΕΕ) 2016/680, ο υπεύθυνος επεξεργασίας οφείλει επίσης (εκτός εάν πρόκειται για δικαστήριο ή άλλη δικαστική αρχή που ενεργεί υπό δικαστική ιδιότητα) να ορίσει υπεύθυνο προστασίας δεδομένων (ΥΠΔ) (148), ο οποίος επικουρεί τον υπεύθυνο επεξεργασίας στη συμμόρφωση με τις υποχρεώσεις του, καθώς και στην παρακολούθηση της εν λόγω συμμόρφωσης (149). Επιπλέον, η νομοθεσία επιβάλλει ειδικές απαιτήσεις για τις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του νόμου σε τρίτες χώρες ή διεθνείς οργανισμούς, ώστε να διασφαλίζεται η συνέχεια της προστασίας (150). Την ίδια ημερομηνία με την παρούσα απόφαση, η Επιτροπή εξέδωσε απόφαση επάρκειας βάσει του άρθρου 36 παράγραφος 3 της οδηγίας (ΕΕ) 2016/680, με την οποία διαπιστώθηκε ότι το καθεστώς προστασίας δεδομένων που εφαρμόζεται στην επεξεργασία από τις αρχές επιβολής του ποινικού δικαίου του Ηνωμένου Βασιλείου διασφαλίζει επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο που εγγυάται η οδηγία (ΕΕ) 2016/680.

(125)

Το μέρος 4 του DPA 2018 εφαρμόζεται σε κάθε επεξεργασία από τις υπηρεσίες πληροφοριών ή για λογαριασμό τους. Ειδικότερα, καθορίζει τις βασικές αρχές προστασίας των δεδομένων (νομιμότητα, αντικειμενικότητα και διαφάνεια (151)· περιορισμός του σκοπού (152)· ελαχιστοποίηση των δεδομένων (153)· ακρίβεια (154)· περιορισμός της περιόδου αποθήκευσης (155) και ασφάλεια (156)), επιβάλλει όρους για την επεξεργασία δεδομένων ειδικών κατηγοριών (157), προβλέπει τα δικαιώματα του υποκειμένου των δεδομένων (158), απαιτεί την προστασία των δεδομένων ήδη από τον σχεδιασμό (159) και ρυθμίζει τις διεθνείς διαβιβάσεις των δεδομένων προσωπικού χαρακτήρα (160). Το ICO εξέδωσε πρόσφατα λεπτομερείς κατευθυντήριες γραμμές σχετικά με την επεξεργασία από τις υπηρεσίες πληροφοριών βάσει του μέρους 4 DPA 2018 (161).

(126)

Ταυτόχρονα, το άρθρο 110 του DPA 2018 προβλέπει εξαίρεση από τις ειδικές διατάξεις του μέρους 4 του DPA 2018 (162), όταν η εξαίρεση αυτή απαιτείται για τη διαφύλαξη της εθνικής ασφάλειας. Η εξαίρεση αυτή μπορεί να χρησιμοποιηθεί στη βάση κατά περίπτωση ανάλυσης (163). Όπως εξήγησαν οι αρχές του Ηνωμένου Βασιλείου και επιβεβαιώνεται από τη νομολογία, «ο υπεύθυνος επεξεργασίας πρέπει να εξετάζει τις πραγματικές συνέπειες για την εθνική ασφάλεια ή άμυνα εάν χρειαζόταν να συμμορφωθεί με τη συγκεκριμένη διάταξη περί προστασίας των δεδομένων και εάν θα μπορούσε ευλόγως να συμμορφωθεί με τον συνήθη κανόνα χωρίς να θίγεται η εθνική ασφάλεια ή άμυνα» (164). Το κατά πόσον η εξαίρεση έχει χρησιμοποιηθεί κατάλληλα υπόκειται στην εποπτεία του ICO (165).

(127)

Επιπλέον, όσον αφορά τη δυνατότητα περιορισμού για την προστασία της «εθνικής ασφάλειας» και εφαρμογής των ανωτέρω ειδικών διατάξεων, σύμφωνα με το άρθρο 111 του DPA 2018, ο υπεύθυνος επεξεργασίας μπορεί να υποβάλει αίτηση για πιστοποιητικό υπογεγραμμένο από υπουργό ή από τον Γενικό Εισαγγελέα που πιστοποιεί ότι ο περιορισμός των εν λόγω δικαιωμάτων αποτελεί αναγκαίο και αναλογικό μέτρο για την προστασία της εθνικής ασφάλειας (166).

(128)

Η κυβέρνηση του Ηνωμένου Βασιλείου έχει εκδώσει οδηγίες για να βοηθήσει τους υπευθύνους επεξεργασίας όταν εξετάζουν αν θα υποβάλουν αίτηση για πιστοποιητικό εθνικής ασφάλειας βάσει του DPA 2018, οι οποίες τονίζουν κυρίως ότι κάθε περιορισμός των δικαιωμάτων των υποκειμένων των δεδομένων για τη διαφύλαξη της εθνικής ασφάλειας πρέπει να είναι αναλογικός και αναγκαίος (167). Όλα τα πιστοποιητικά εθνικής ασφάλειας πρέπει να δημοσιεύονται στον δικτυακό τόπο του ICO (168).

(129)

Το πιστοποιητικό θα πρέπει να έχει καθορισμένη διάρκεια που δεν υπερβαίνει τα πέντε έτη, ώστε να επανεξετάζεται τακτικά από την εκτελεστική εξουσία (169). Το πιστοποιητικό προσδιορίζει τα δεδομένα προσωπικού χαρακτήρα ή τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που υπόκεινται στην εξαίρεση, καθώς και τις διατάξεις του DPA 2018 στις οποίες εφαρμόζεται η εξαίρεση (170).

(130)

Είναι σημαντικό να σημειωθεί ότι τα πιστοποιητικά εθνικής ασφάλειας δεν παρέχουν πρόσθετο λόγο για τον περιορισμό των δικαιωμάτων προστασίας των δεδομένων για λόγους εθνικής ασφάλειας. Με άλλα λόγια, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να βασιστεί σε πιστοποιητικό μόνο εφόσον κρίνει ότι είναι αναγκαίο να βασιστεί στην εξαίρεση για λόγους εθνικής ασφάλειας η οποία, όπως εξηγείται ανωτέρω, πρέπει να εφαρμόζεται κατά περίπτωση (171). Ακόμη και αν ένα πιστοποιητικό εθνικής ασφάλειας εφαρμόζεται στο υπό εξέταση ζήτημα, το ICO μπορεί να διερευνήσει αν η επίκληση της εξαίρεσης της εθνικής ασφάλειας ήταν δικαιολογημένη σε συγκεκριμένη υπόθεση (172).

(131)

Κάθε πρόσωπο που θίγεται άμεσα από την έκδοση του πιστοποιητικού μπορεί να προσφύγει στο εφετείο διοικητικών διαφορών (173) κατά του πιστοποιητικού (174) ή, όταν το πιστοποιητικό προσδιορίζει δεδομένα μέσω γενικής περιγραφής, να προσβάλει την εφαρμογή του πιστοποιητικού σε συγκεκριμένα δεδομένα (175). Το δικαστήριο επανεξετάζει την απόφαση έκδοσης πιστοποιητικού και αποφασίζει αν υπήρχαν βάσιμοι λόγοι για την έκδοση του πιστοποιητικού (176). Μπορεί να εξετάσει ευρύ φάσμα θεμάτων, συμπεριλαμβανομένης της αναγκαιότητας, της αναλογικότητας και της νομιμότητας, λαμβάνοντας υπόψη τον αντίκτυπο στα δικαιώματα των υποκειμένων των δεδομένων και σταθμίζοντας την ανάγκη διαφύλαξης της εθνικής ασφάλειας. Ως εκ τούτου, το δικαστήριο μπορεί να αποφασίσει ότι το πιστοποιητικό δεν εφαρμόζεται σε συγκεκριμένα δεδομένα προσωπικού χαρακτήρα που αποτελούν το αντικείμενο της προσφυγής (177).

(132)

Ένα διαφορετικό σύνολο πιθανών περιορισμών αφορά εκείνους που εφαρμόζονται, σύμφωνα με το παράρτημα 11 του DPA 2018, σε ορισμένες διατάξεις του μέρους 4 του εν λόγω νόμου (178) για τη διασφάλιση άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος ή προστατευόμενων συμφερόντων, όπως, για παράδειγμα, τα κοινοβουλευτικά προνόμια, το δικηγορικό απόρρητο, η διεξαγωγή δικαστικών διαδικασιών ή η αποτελεσματικότητα των ενόπλων δυνάμεων στη μάχη (179). Η εφαρμογή των διατάξεων αυτών είτε εξαιρείται για ορισμένες κατηγορίες πληροφοριών («βάσει κατηγορίας») είτε εξαιρείται στον βαθμό που η εφαρμογή των εν λόγω διατάξεων ενδέχεται να βλάψει τα προστατευόμενα συμφέροντα («βάσει ζημίας») (180). Εξαιρέσεις βάσει ζημίας μπορούν να εφαρμοστούν μόνο εφόσον η εφαρμογή της παρατιθέμενης διάταξης περί προστασίας των δεδομένων ενδέχεται να βλάψει το συγκεκριμένο συμφέρον. Ως εκ τούτου, η χρήση της εξαίρεσης πρέπει πάντοτε να δικαιολογείται με αναφορά στη σχετική ζημία που θα ήταν πιθανόν να προκληθεί στη συγκεκριμένη περίπτωση. Η επίκληση εξαιρέσεων βάσει κατηγορίας μπορεί να πραγματοποιηθεί μόνο σε σχέση με τη συγκεκριμένη, στενά καθορισμένη κατηγορία πληροφοριών για την οποία χορηγείται η εξαίρεση. Οι εξαιρέσεις αυτές είναι παρόμοιες ως προς τον σκοπό και τα αποτελέσματα με αρκετές από τις εξαιρέσεις από τον ΓΚΠΔ του Ηνωμένου Βασιλείου (σύμφωνα με το παράρτημα 2 του DPA 2018), οι οποίες, με τη σειρά τους, αντικατοπτρίζουν εκείνες που προβλέπονται στο άρθρο 23 του ΓΚΠΔ.

(133)

Από τα ανωτέρω συνάγεται ότι οι περιορισμοί και οι όροι ισχύουν βάσει των εφαρμοστέων νομικών διατάξεων του Ηνωμένου Βασιλείου, όπως ερμηνεύονται επίσης από τα δικαστήρια και τον Επίτροπο Πληροφοριών, ώστε να διασφαλίζεται ότι οι εν λόγω εξαιρέσεις και οι εν λόγω περιορισμοί παραμένουν εντός των ορίων της αναγκαιότητας και αναλογικότητας για την προστασία της εθνικής ασφάλειας.

(134)

Το δίκαιο του Ηνωμένου Βασιλείου επιβάλλει σειρά περιορισμών στην πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του ποινικού δικαίου και προβλέπει μηχανισμούς εποπτείας και προσφυγής στον τομέα αυτόν, οι οποίοι συνάδουν με τις απαιτήσεις που αναφέρονται στις αιτιολογικές σκέψεις 113 έως 115 της παρούσας απόφασης. Οι όροι υπό τους οποίους μπορεί να πραγματοποιηθεί η πρόσβαση αυτή και οι εγγυήσεις που ισχύουν για τη χρήση αυτών των εξουσιών αξιολογούνται λεπτομερώς στις επόμενες ενότητες.

(135)

Βάσει της αρχής της νομιμότητας που κατοχυρώνεται με το άρθρο 35 του DPA 2018, η επεξεργασία δεδομένων προσωπικού χαρακτήρα για οποιονδήποτε από τους σκοπούς επιβολής του νόμου είναι σύννομη μόνο εφόσον βασίζεται στον νόμο και είτε το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία για τον σκοπό αυτό (181) είτε η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για τον σκοπό αυτό από αρμόδια αρχή.

(136)

Στο νομικό πλαίσιο του Ηνωμένου Βασιλείου, η συλλογή δεδομένων προσωπικού χαρακτήρα από επιχειρηματικούς φορείς, συμπεριλαμβανομένων εκείνων που θα επεξεργάζονταν δεδομένα που θα έχουν διαβιβαστεί από την ΕΕ βάσει της παρούσας απόφασης επάρκειας, για σκοπούς επιβολής του ποινικού δικαίου επιτρέπεται βάσει ενταλμάτων έρευνας (182) και εντολών προσκόμισης αποδεικτικών στοιχείων (183).

(137)

Τα εντάλματα έρευνας εκδίδονται από δικαστήριο, συνήθως κατόπιν αίτησης του ανακριτικού υπαλλήλου. Επιτρέπουν στον ανακριτικό υπάλληλο να εισέλθει σε χώρους για να αναζητήσει υλικό ή άτομα σχετικά με την έρευνά του και να διατηρήσει οτιδήποτε για το οποίο έχει επιτραπεί η έρευνα, συμπεριλαμβανομένων οποιωνδήποτε σχετικών εγγράφων ή υλικού που περιέχει δεδομένα προσωπικού χαρακτήρα (184). Η εντολή προσκόμισης αποδεικτικών στοιχείων, η οποία πρέπει επίσης να εκδοθεί από δικαστήριο, απαιτεί από το πρόσωπο που αναφέρεται σ' αυτήν να προσκομίσει ή να δώσει πρόσβαση σε υλικό το οποίο έχει υπό την κατοχή ή τον έλεγχό του. Ο αιτών πρέπει να εξηγήσει στο δικαστήριο τους λόγους για τους οποίους απαιτείται το ένταλμα ή η εντολή, καθώς και τους λόγους για τους οποίους εξυπηρετεί το δημόσιο συμφέρον. Υπάρχουν διάφορες εξουσίες που προβλέπονται από τον νόμο και επιτρέπουν την έκδοση ενταλμάτων έρευνας και εντολών προσκόμισης αποδεικτικών στοιχείων. Κάθε διάταξη έχει το δικό της σύνολο νομικών προϋποθέσεων οι οποίες πρέπει να πληρούνται για την έκδοση εντάλματος (185) ή εντολής προσκόμισης αποδεικτικών στοιχείων (186).

(138)

Οι εντολές προσκόμισης και τα εντάλματα έρευνας μπορούν να προσβληθούν με προσφυγή δικαστικού ελέγχου (187). Όσον αφορά τις εγγυήσεις, όλες οι αρχές επιβολής του ποινικού δικαίου που εμπίπτουν στο πεδίο εφαρμογής του μέρους 3 του DPA 2018 μπορούν να έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα —η οποία αποτελεί μορφή επεξεργασίας— μόνο σύμφωνα με τις αρχές και τις απαιτήσεις που ορίζονται στον DPA 2018 (βλ. αιτιολογικές σκέψεις 122 και 124 ανωτέρω). Ως εκ τούτου, αίτημα που υποβάλλεται από οποιαδήποτε αρχή επιβολής του νόμου θα πρέπει να συμμορφώνεται με την αρχή σύμφωνα με την οποία οι σκοποί της επεξεργασίας πρέπει να είναι καθορισμένοι, ρητοί και νόμιμοι (188) και τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από αρμόδια αρχή πρέπει να είναι συναφή προς τον σκοπό αυτό και όχι υπερβολικά (189).

(139)

Για την πρόληψη ή τον εντοπισμό σοβαρών μόνο εγκλημάτων (190), ορισμένες αρχές επιβολής του νόμου, για παράδειγμα η Εθνική Υπηρεσία Δίωξης του Εγκλήματος ή ο Αρχηγός της Αστυνομίας (191), μπορούν να χρησιμοποιούν στοχευμένες ερευνητικές εξουσίες βάσει του IPA 2016. Στην περίπτωση αυτή, οι εγγυήσεις που προβλέπονται από τον IPA 2016 θα εφαρμόζονται επιπλέον εκείνων που προβλέπονται από το μέρος 3 του DPA 2018. Οι συγκεκριμένες ερευνητικές έρευνας στις οποίες μπορούν να βασίζονται οι εν λόγω αρχές επιβολής του νόμου είναι οι εξής: στοχευμένη παρακολούθηση (μέρος 2 του IPA 2016), απόκτηση δεδομένων επικοινωνιών (μέρος 3 του IPA 2016), διατήρηση δεδομένων επικοινωνιών (μέρος 4 του IPA 2016) και στοχευμένη παρεμβολή σε εξοπλισμό (μέρος 5 του IPA 2016). Η παρακολούθηση καλύπτει την απόκτηση του περιεχομένου επικοινωνίας (192), ενώ η απόκτηση και διατήρηση δεδομένων επικοινωνιών δεν αποσκοπεί στην απόκτηση του περιεχομένου της επικοινωνίας, αλλά στο «ποιος», «πότε», «πού» και «πώς» της επικοινωνίας. Αυτό καλύπτει, για παράδειγμα, τον χρόνο και τη διάρκεια μιας επικοινωνίας, τον αριθμό τηλεφώνου ή τη διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα και του αποδέκτη της επικοινωνίας, και ορισμένες φορές τη θέση των συσκευών από τις οποίες πραγματοποιήθηκε η επικοινωνία, τον συνδρομητή μιας τηλεφωνικής υπηρεσίας ή αναλυτικό λογαριασμό (193). Η παρεμβολή σε εξοπλισμό είναι ένα σύνολο τεχνικών που χρησιμοποιούνται για την απόκτηση ποικίλων δεδομένων από εξοπλισμό, συμπεριλαμβανομένων των υπολογιστών, ταμπλετών και έξυπνων τηλεφώνων, καθώς και των καλωδίων, συρμάτων και συσκευών αποθήκευσης (194).

(140)

Στοχευμένες εξουσίες παρακολούθησης μπορούν επίσης να χρησιμοποιούνται όταν «είναι αναγκαίες για την εφαρμογή των διατάξεων πράξης αμοιβαίας συνδρομής της ΕΕ ή διεθνούς συμφωνίας αμοιβαίας συνδρομής» (το λεγόμενο «ένταλμα αμοιβαίας συνδρομής» (195)). Εντάλματα αμοιβαίας συνδρομής παρέχονται μόνο σε σχέση με την παρακολούθηση και όχι με την απόκτηση δεδομένων επικοινωνιών ή με παρεμβολές σε εξοπλισμό. Αυτές οι στοχευμένες εξουσίες ρυθμίζονται με τον νόμο του 2016 για τις ερευνητικές εξουσίες (Investigatory Powers Act 2016, IPA 2016) (196), ο οποίος, σε συνδυασμό με τον νόμο του 2000 για τη ρύθμιση των ερευνητικών εξουσιών (Regulation of Investigatory Powers Act 2000, RIPA 2000) για την Αγγλία, την Ουαλία και τη Βόρεια Ιρλανδία και τον νόμο του 2000 για τη ρύθμιση στη Σκωτία των ερευνητικών εξουσιών [Regulation of Investigatory Powers (Scotland) Act 2000, RIPSA] για τη Σκωτία, παρέχει τη νομική βάση και καθορίζει τους εφαρμοστέους περιορισμούς και τις εγγυήσεις για τη χρήση των εν λόγω εξουσιών. Ο IPA 2016 προβλέπει επίσης το καθεστώς για τη χρήση μαζικών ερευνητικών εξουσιών, παρότι αυτές δεν είναι διαθέσιμες στις αρχές επιβολής του νόμου (μόνο οι υπηρεσίες πληροφοριών μπορούν να τις χρησιμοποιήσουν) (197).

(141)

Για την άσκηση αυτών των εξουσιών, οι αρχές πρέπει να λάβουν ένταλμα (198) που εκδίδεται από αρμόδια αρχή (199) και εγκρίνεται από ανεξάρτητο δικαστικό επίτροπο (200) (η λεγόμενη διαδικασία «διπλής διασφάλισης»). Η λήψη του εν λόγω εντάλματος υπόκειται σε έλεγχο αναγκαιότητας και αναλογικότητας (201). Δεδομένου ότι οι εν λόγω στοχευμένες ερευνητικές εξουσίες που παρέχονται από τον IPA 2016 είναι οι ίδιες με εκείνες που διαθέτουν οι υπηρεσίες εθνικής ασφάλειας, οι όροι, οι περιορισμοί και οι εγγυήσεις που ισχύουν για τις εν λόγω εξουσίες εξετάζονται λεπτομερώς στην ενότητα σχετικά με την πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα από τις δημόσιες αρχές του Ηνωμένου Βασιλείου για σκοπούς εθνικής ασφάλειας (βλ. αιτιολογικές σκέψεις 177 και επόμενες).

(142)

Η κοινοποίηση δεδομένων από αρχή επιβολής του νόμου σε άλλη αρχή για σκοπούς άλλους από εκείνους για τους οποίους συλλέχθηκαν αρχικά (η λεγόμενη «περαιτέρω κοινοποίηση») υπόκειται σε ορισμένους όρους.

(143)

Όπως προβλέπεται και στο άρθρο 4 παράγραφος 2 της οδηγίας (ΕΕ) 2016/680, το άρθρο 36 παράγραφος 3 του DPA 2018 επιτρέπει την περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα που συλλέχθηκαν από αρμόδια αρχή για σκοπούς επιβολής του νόμου (είτε από τον αρχικό υπεύθυνο επεξεργασίας είτε από άλλον υπεύθυνο επεξεργασίας) για οποιονδήποτε άλλο σκοπό επιβολής του νόμου, υπό την προϋπόθεση ότι ο υπεύθυνος επεξεργασίας είναι εκ του νόμου εξουσιοδοτημένος να επεξεργάζεται δεδομένα για αυτόν τον άλλον σκοπό και ότι η επεξεργασία είναι απαραίτητη και ανάλογη προς τον σκοπό αυτό (202). Στην περίπτωση αυτή, όλες οι εγγυήσεις που προβλέπονται στο μέρος 3 του DPA 2018, οι οποίες αναφέρονται στις αιτιολογικές σκέψεις 122 και 124, έχουν εφαρμογή στην επεξεργασία που διενεργείται από την αποδέκτρια αρχή.

(144)

Στην έννομη τάξη του Ηνωμένου Βασιλείου, η εν λόγω περαιτέρω κοινοποίηση επιτρέπεται ρητά από διάφορους νόμους. Ειδικότερα, i) ο νόμος του 2017 για την ψηφιακή οικονομία (Digital Economy Act 2017) επιτρέπει την ανταλλαγή δεδομένων μεταξύ δημόσιων αρχών για διάφορους σκοπούς, για παράδειγμα στην περίπτωση απάτης σε βάρος του δημόσιου τομέα η οποία συνεπάγεται ζημία ή κίνδυνο ζημίας για δημόσιες αρχές (203) ή σε περίπτωση χρέους προς δημόσια αρχή ή προς το Στέμμα (204)· ii) ο νόμος του 2013 για τη δίωξη του εγκλήματος και τα δικαστήρια (Crime and Courts Act 2013) επιτρέπει την κοινοποίηση πληροφοριών στην Εθνική Υπηρεσία Δίωξης του Εγκλήματος (National Crime Agency, NCA) (205) με σκοπό την καταπολέμηση, τη διερεύνηση και τη δίωξη του σοβαρού και του οργανωμένου εγκλήματος· iii) ο νόμος του 2007 για τη δίωξη σοβαρών εγκλημάτων (Serious Crime Act 2007) επιτρέπει στις δημόσιες αρχές να κοινοποιούν πληροφορίες σε οργανισμούς καταπολέμησης της απάτης με σκοπό την πρόληψη της απάτης (206).

(145)

Οι νόμοι αυτοί προβλέπουν ρητά ότι η κοινοποίηση πληροφοριών θα πρέπει να πραγματοποιείται σύμφωνα με τις αρχές που καθορίζονται στον DPA 2018. Επιπλέον, το Σώμα των Εργαζομένων στην Αστυνόμευση (College of Policing) έχει εκδώσει μια εγκεκριμένη επαγγελματική πρακτική σχετικά με την κοινοποίηση πληροφοριών (207) προκειμένου να συνδράμει την αστυνομία στη συμμόρφωση με τις υποχρεώσεις της όσον αφορά την προστασία δεδομένων βάσει του ΓΚΠΔ του Ηνωμένου Βασιλείου, του DPA και του νόμου του 1998 για τα ανθρώπινα δικαιώματα. Η συμμόρφωση της κοινοποίησης με το ισχύον νομικό πλαίσιο για την προστασία των δεδομένων υπόκειται, φυσικά, σε δικαστικό έλεγχο (208).

(146)

Επιπλέον, όπως προβλέπεται και στο άρθρο 9 της οδηγίας (ΕΕ) 2016/680, ο DPA 2018 προβλέπει ότι τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται για οποιονδήποτε σκοπό επιβολής του νόμου μπορούν να υποβάλλονται σε επεξεργασία για σκοπό που δεν ανάγεται στην επιβολή του νόμου, αν η επεξεργασία επιτρέπεται από τον νόμο (209).

(147)

Αυτού του είδους η κοινοποίηση καλύπτει δύο σενάρια: 1) την περίπτωση στην οποία μια αρχή επιβολής του ποινικού δικαίου κοινοποιεί δεδομένα σε αρχή επιβολής του νόμου σε τομείς εκτός του ποινικού δικαίου η οποία δεν είναι υπηρεσία πληροφοριών (όπως π.χ. οικονομική ή φορολογική αρχή, αρχή ανταγωνισμού, υπηρεσία κοινωνικής μέριμνας για τους νέους κ.λπ.). και 2) την περίπτωση στην οποία μια αρχή επιβολής του ποινικού δικαίου κοινοποιεί δεδομένα σε υπηρεσία πληροφοριών. Στο πρώτο σενάριο, η επεξεργασία δεδομένων προσωπικού χαρακτήρα εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ του Ηνωμένου Βασιλείου, καθώς και στο μέρος 2 του DPA 2018. Η Επιτροπή αξιολόγησε τις εγγυήσεις που παρέχουν ο ΓΚΠΔ του Ηνωμένου Βασιλείου και το μέρος 2 του DPA 2018 στις αιτιολογικές σκέψεις 12 έως 111 και κατέληξε στο συμπέρασμα ότι το Ηνωμένο Βασίλειο διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο του πεδίου εφαρμογής του κανονισμού (ΕΕ) 2016/679 από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο.

(148)

Στο δεύτερο σενάριο, όσον αφορά την κοινοποίηση δεδομένων που έχουν συλλεχθεί από αρχή επιβολής του ποινικού δικαίου σε υπηρεσία πληροφοριών για σκοπούς εθνικής ασφάλειας, η νομική βάση που επιτρέπει την κοινοποίηση αυτή είναι το άρθρο 19 του νόμου του 2008 για την καταπολέμηση της τρομοκρατίας (Counter Terrorism Act, CTA 2008) (210). Σύμφωνα με τον νόμο αυτό, κάθε πρόσωπο μπορεί να παρέχει πληροφορίες σε οποιαδήποτε υπηρεσία πληροφοριών με σκοπό την εκτέλεση οποιουδήποτε καθήκοντος της εν λόγω υπηρεσίας, μεταξύ άλλων για σκοπούς «εθνικής ασφάλειας».

(149)

Όσον αφορά τους όρους υπό τους οποίους μπορούν να κοινοποιούνται δεδομένα για σκοπούς εθνικής ασφάλειας, ο νόμος για τις υπηρεσίες πληροφοριών (Intelligence Services Act) (211) και ο νόμος για την Υπηρεσία Ασφάλειας (Security Service Act) (212) περιορίζουν τη δυνατότητα των υπηρεσιών πληροφοριών να λαμβάνουν δεδομένα σε ό,τι είναι αναγκαίο για την εκπλήρωση των εκ του νόμου καθηκόντων τους. Οι υπηρεσίες επιβολής του νόμου που επιθυμούν να κοινοποιήσουν δεδομένα σε υπηρεσίες πληροφοριών θα πρέπει να εξετάσουν διάφορους παράγοντες/περιορισμούς, επιπλέον των εκ του νόμου καθηκόντων των υπηρεσιών τα οποία καθορίζονται στον νόμο για τις υπηρεσίες πληροφοριών και στον νόμο για την Υπηρεσία Ασφάλειας (213). Το άρθρο 20 του CTA 2008 ορίζει σαφώς ότι κάθε κοινοποίηση δεδομένων που πραγματοποιείται σύμφωνα με το άρθρο 19 πρέπει να είναι σύμφωνη με τη νομοθεσία για την προστασία των δεδομένων· αυτό σημαίνει ότι εφαρμόζονται όλοι οι περιορισμοί και οι απαιτήσεις του μέρους 3 του DPA 2018. Επιπλέον, δεδομένου ότι οι αρμόδιες αρχές είναι δημόσιες αρχές για τους σκοπούς του νόμου του 1998 για τα ανθρώπινα δικαιώματα, οφείλουν να διασφαλίζουν ότι ενεργούν σύμφωνα με τα δικαιώματα της Σύμβασης, συμπεριλαμβανομένου του άρθρου 8 της ΕΣΔΑ. Τα όρια αυτά διασφαλίζουν ότι κάθε ανταλλαγή δεδομένων μεταξύ των υπηρεσιών επιβολής του νόμου και των υπηρεσιών πληροφοριών είναι σύμφωνη με τη νομοθεσία για την προστασία των δεδομένων και με την ΕΣΔΑ

(150)

Όταν αρμόδια αρχή προτίθεται να κοινοποιήσει δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία βάσει του μέρους 3 του DPA 2018 σε αρχές επιβολής του νόμου τρίτης χώρας, ισχύουν ειδικές απαιτήσεις (214). Ειδικότερα, οι διαβιβάσεις αυτές μπορούν να πραγματοποιούνται αν βασίζονται σε κανονισμούς περί επάρκειας που εκδίδει ο υπουργός ή, ελλείψει τέτοιων κανονισμών, αν εξασφαλίζονται κατάλληλες εγγυήσεις. Το άρθρο 75 του DPA 2018 ορίζει ότι κατάλληλες εγγυήσεις υπάρχουν εφόσον έχουν θεσπιστεί με νομική πράξη που δεσμεύει τον μελλοντικό αποδέκτη ή εφόσον ο υπεύθυνος επεξεργασίας, αφού αξιολογήσει όλες τις περιστάσεις που σχετίζονται με τις διαβιβάσεις αυτού του είδους δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό, καταλήγει στο συμπέρασμα ότι υπάρχουν κατάλληλες εγγυήσεις για την προστασία των δεδομένων.

(151)

Εάν διαβίβαση δεν βασίζεται σε κανονισμό περί επάρκειας ή σε κατάλληλες εγγυήσεις, μπορεί να πραγματοποιηθεί μόνο σε ορισμένες, ειδικές περιστάσεις, οι οποίες αναφέρονται ως «ειδικές περιστάσεις» (215). Αυτό συμβαίνει όταν η διαβίβαση είναι αναγκαία: α) για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου· β) για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων· γ) για την αποτροπή άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας κράτους μέλους ή τρίτης χώρας· δ) σε μεμονωμένες περιπτώσεις για οποιονδήποτε σκοπό επιβολής του νόμου· ή ε) σε μεμονωμένες περιπτώσεις για νόμιμο σκοπό (όπως στο πλαίσιο νομικής διαδικασίας ή για τη λήψη νομικών συμβουλών). Επισημαίνεται ότι τα στοιχεία δ) και ε) δεν εφαρμόζονται εάν τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων υπερισχύουν του δημόσιου συμφέροντος που εξυπηρετεί η διαβίβαση. Αυτό το σύνολο περιστάσεων αντιστοιχεί στις ειδικές καταστάσεις και προϋποθέσεις που χαρακτηρίζονται ως «παρεκκλίσεις» βάσει του άρθρου 38 της οδηγίας (ΕΕ) 2016/680.

(152)

Επιπλέον, όταν το υλικό που αποκτούν οι αρχές επιβολής του νόμου βάσει εντάλματος που επιτρέπει τη χρήση παρακολούθησης ή παρεμβολής σε εξοπλισμό διαβιβάζεται σε τρίτη χώρα, ο IPA 2016 προβλέπει πρόσθετες εγγυήσεις. Ειδικότερα, η κοινοποίηση αυτή, η οποία ορίζεται ως «κοινοποίηση στο εξωτερικό», επιτρέπεται μόνο εάν η αρχή έκδοσης του εντάλματος θεωρεί ότι υπάρχουν ειδικές κατάλληλες ρυθμίσεις που περιορίζουν τον αριθμό των προσώπων στα οποία κοινοποιούνται τα δεδομένα, τον βαθμό στο οποίον το υλικό κοινοποιείται ή καθίσταται διαθέσιμο, καθώς και τον βαθμό στον οποίο μπορεί να αντιγραφεί οποιοδήποτε τμήμα του υλικού και τον αριθμό των αντιγράφων. Επιπλέον, η αρχή έκδοσης μπορεί να κρίνει ότι απαιτούνται κατάλληλες ρυθμίσεις για να εξασφαλιστεί ότι όλα τα αντίγραφα οποιουδήποτε τμήματος του εν λόγω υλικού θα καταστραφούν αμέσως μόλις εκλείψουν οι λόγοι για τη διατήρησή τους (εάν δεν έχουν καταστραφεί νωρίτερα) (216).

(153)

Τέλος, ειδικές μορφές περαιτέρω διαβιβάσεων από το Ηνωμένο Βασίλειο προς τις Ηνωμένες Πολιτείες θα μπορούσαν να πραγματοποιούνται στο μέλλον βάσει της «συμφωνίας μεταξύ της κυβέρνησης του Ηνωμένου Βασιλείου της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας και της κυβέρνησης των Ηνωμένων Πολιτειών της Αμερικής για την πρόσβαση σε ηλεκτρονικά δεδομένα με σκοπό την αντιμετώπιση σοβαρών μορφών εγκλήματος (στο εξής: «συμφωνία Ηνωμένου Βασιλείου–ΗΠΑ» ή «συμφωνία») (217), η οποία συνάφθηκε στο τέλος Οκτωβρίου 2019 (218). Μολονότι η συμφωνία Ηνωμένου Βασιλείου–ΗΠΑ δεν έχει ακόμη τεθεί σε ισχύ κατά τον χρόνο έκδοσης της παρούσας απόφασης, η προβλεπόμενη θέση της σε ισχύ ενδέχεται να επηρεάσει τις περαιτέρω διαβιβάσεις στις ΗΠΑ δεδομένων τα οποία είχαν αρχικά διαβιβαστεί στο Ηνωμένο Βασίλειο βάσει της απόφασης. Ειδικότερα, δεδομένα που θα έχουν διαβιβαστεί από την ΕΕ σε παρόχους υπηρεσιών στο Ηνωμένο Βασίλειο θα μπορούσαν να αποτελέσουν το αντικείμενο εντολών προσκόμισης ηλεκτρονικών αποδεικτικών στοιχείων οι οποίες θα έχουν εκδοθεί από αρμόδιες αρχές επιβολής του νόμου των ΗΠΑ και οι οποίες εντολές θα καταστούν εφαρμοστές στο Ηνωμένο Βασίλειο, μόλις η εν λόγω συμφωνία τεθεί σε ισχύ. Για τους λόγους αυτούς, η αξιολόγηση των όρων και των εγγυήσεων υπό τις οποίες οι εντολές αυτές μπορούν να εκδοθούν και να εκτελεστούν είναι σημαντική για την παρούσα απόφαση.

(154)

Στο πλαίσιο αυτό, θα πρέπει να σημειωθεί ότι, πρώτον, όσον αφορά το καθ’ ύλην πεδίο εφαρμογής της, η συμφωνία εφαρμόζεται μόνο σε εγκλήματα που τιμωρούνται με ποινή φυλάκισης το ανώτατο όριο της οποίας ανέρχεται τουλάχιστον σε τρία έτη (και τα οποία ορίζονται ως «σοβαρά εγκλήματα») (219), συμπεριλαμβανομένης της «τρομοκρατικής δραστηριότητας». Δεύτερον, δεδομένα που υποβάλλονται σε επεξεργασία σε άλλη δικαιοδοσία μπορούν να ληφθούν βάσει της συμφωνίας αυτής μόνο κατόπιν «εντολής [...] που υπόκειται σε έλεγχο ή εποπτεία βάσει του εγχώριου δικαίου του μέρους έκδοσης από δικαστήριο, δικαστή, ειρηνοδίκη ή άλλη ανεξάρτητη αρχή πριν από ή στο πλαίσιο διαδικασίας που αφορά την εκτέλεση της εντολής» (220). Τρίτον, η εντολή πρέπει «να βασίζεται σε απαιτήσεις εύλογης δικαιολόγησης, με βάση σαφή και αξιόπιστα πραγματικά περιστατικά, την ιδιαιτερότητα των περιστάσεων, τη νομιμότητα και τη σοβαρότητα της συμπεριφοράς που τελεί υπό διερεύνηση» (221) και «να αφορά συγκεκριμένους λογαριασμούς, καθώς και να ταυτοποιεί συγκεκριμένο πρόσωπο, λογαριασμό, διεύθυνση ή προσωπική συσκευή ή οποιοδήποτε άλλο συγκεκριμένο αναγνωριστικό στοιχείο» (222). Τέταρτον, τα δεδομένα που λαμβάνονται στο πλαίσιο της συμφωνίας τυγχάνουν ισοδύναμης προστασίας με αυτήν που παρέχουν οι ειδικές εγγυήσεις που προβλέπει η λεγόμενη «συμφωνία-πλαίσιο ΕΕ–ΗΠΑ» (223) —μια συνολική συμφωνία για την προστασία των δεδομένων η οποία συνάφθηκε τον Δεκέμβριο του 2016 μεταξύ της ΕΕ και των ΗΠΑ και η οποία καθορίζει τις εγγυήσεις και τα δικαιώματα που ισχύουν για τις διαβιβάσεις δεδομένων στον τομέα της συνεργασίας για την επιβολή του νόμου—, οι οποίες ενσωματώνονται στο σύνολό τους στη συμφωνία μέσω παραπομπής, με αναλογική εφαρμογή, ώστε να λαμβάνεται ιδίως υπόψη η ειδική φύση των διαβιβάσεων (π.χ. διαβιβάσεις από ιδιωτικούς φορείς σε αρχές επιβολής του νόμου, αντί διαβιβάσεων μεταξύ αρχών επιβολής του νόμου) (224). Η συμφωνία Ηνωμένου Βασιλείου–ΗΠΑ προβλέπει ειδικά ότι εφαρμόζεται ισοδύναμη προστασία με αυτήν που παρέχει η συμφωνία-πλαίσιο ΕΕ–ΗΠΑ «σε όλες τις προσωπικές πληροφορίες που προσκομίζονται κατά την εκτέλεση εντολών που υπόκεινται στη συμφωνία, ώστε να εξασφαλίζεται ισοδύναμη προστασία» (225).

(155)

Ως εκ τούτου, τα δεδομένα που διαβιβάζονται στις αρχές των ΗΠΑ στο πλαίσιο της συμφωνίας Ηνωμένου Βασιλείου–ΗΠΑ θα πρέπει να τυγχάνουν της προστασίας που παρέχεται από νομική πράξη της ΕΕ, με τις αναγκαίες προσαρμογές ώστε να αντικατοπτρίζεται η φύση των επίμαχων διαβιβάσεων. Οι αρχές του Ηνωμένου Βασιλείου επιβεβαίωσαν επίσης ότι η προστασία που παρέχει η συμφωνία-πλαίσιο θα εφαρμόζεται σε όλες τις προσωπικές πληροφορίες που προσκομίζονται ή τηρούνται στο πλαίσιο της συμφωνίας, ανεξάρτητα από τη φύση ή το είδος του φορέα που υποβάλλει το αίτημα (π.χ. τόσο όταν το αίτημα υποβάλλεται από τις ομοσπονδιακές αρχές όσο και όταν υποβάλλεται από τις πολιτειακές αρχές επιβολής του νόμου στις ΗΠΑ), ώστε να παρέχεται ισοδύναμη προστασία σε όλες τις περιπτώσεις. Ωστόσο, οι αρχές του Ηνωμένου Βασιλείου εξήγησαν επίσης ότι οι λεπτομέρειες της συγκεκριμένης εφαρμογής των εγγυήσεων προστασίας των δεδομένων εξακολουθούν να αποτελούν αντικείμενο συζητήσεων μεταξύ του Ηνωμένου Βασιλείου και των ΗΠΑ. Στο πλαίσιο των συνομιλιών με τις υπηρεσίες της Ευρωπαϊκής Επιτροπής σχετικά με την παρούσα απόφαση, οι αρχές του Ηνωμένου Βασιλείου επιβεβαίωσαν ότι θα επιτρέψουν τη θέση της συμφωνίας σε ισχύ μόνο εφόσον βεβαιωθούν ότι η εφαρμογή της συνάδει με τις νομικές υποχρεώσεις που προβλέπονται σ' αυτή, συμπεριλαμβανομένης της σαφήνειας όσον αφορά τη συμμόρφωση με τα πρότυπα προστασίας των δεδομένων σε σχέση με οποιαδήποτε δεδομένα ζητούνται στο πλαίσιο της συμφωνίας. Δεδομένου ότι η πιθανή θέση της συμφωνίας σε ισχύ μπορεί να επηρεάσει το επίπεδο προστασίας που εξετάζεται στην παρούσα απόφαση, κάθε πληροφορία και μελλοντική διευκρίνιση σχετικά με τον τρόπο με τον οποίο οι ΗΠΑ θα συμμορφωθούν με τις υποχρεώσεις τους στο πλαίσιο της συμφωνίας θα πρέπει να κοινοποιηθεί από το Ηνωμένο Βασίλειο στην Ευρωπαϊκή Επιτροπή, αμέσως μόλις καταστεί διαθέσιμη και σε κάθε περίπτωση πριν από την έναρξη ισχύος της συμφωνίας, προκειμένου να εξασφαλιστεί η ορθή παρακολούθηση της παρούσας απόφασης σύμφωνα με το άρθρο 45 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679. Ιδιαίτερη προσοχή θα δοθεί στην εφαρμογή και την προσαρμογή της προστασίας που παρέχει η συμφωνία-πλαίσιο για το συγκεκριμένο είδος διαβιβάσεων που καλύπτεται από τη συμφωνία Ηνωμένου Βασιλείου–ΗΠΑ.

(156)

Γενικότερα, κάθε σχετική εξέλιξη όσον αφορά τη θέση της συμφωνίας σε ισχύ και την εφαρμογή της θα λαμβάνεται δεόντως υπόψη στο πλαίσιο της συνεχούς παρακολούθησης της παρούσας απόφασης, μεταξύ άλλων όσον αφορά τις αναγκαίες συνέπειες που πρέπει να συναχθούν σε περίπτωση ενδείξεων ότι δεν διασφαλίζεται πλέον ουσιωδώς ισοδύναμο επίπεδο προστασίας.

(157)

Ανάλογα με τις εξουσίες που ασκούν οι αρμόδιες αρχές κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του νόμου (στο πλαίσιο είτε του DPA 2018 είτε του IPA 2016), η εποπτεία της άσκησης των εν λόγω εξουσιών διασφαλίζεται από διάφορα όργανα. Ειδικότερα, ο Επίτροπος Πληροφοριών (Information Commissioner) εποπτεύει την επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν αυτή εμπίπτει στο πεδίο εφαρμογής του μέρους 3 του DPA 2018 (226). Η ανεξάρτητη και δικαστική εποπτεία της άσκησης των ερευνητικών εξουσιών στο πλαίσιο του IPA 2016 διασφαλίζεται από το Γραφείο του Επιτρόπου Ερευνητικών Εξουσιών (Investigatory Powers Commissioner’s Office, IPCO) (227) (το ζήτημα αυτό εξετάζεται στις αιτιολογικές σκέψεις 250 έως 255). Επιπλέον, διασφαλίζεται πρόσθετη εποπτεία τόσο από το Κοινοβούλιο όσο και από άλλα όργανα.

(158)

Τα γενικά καθήκοντα του Επιτρόπου Πληροφοριών —οργάνου του οποίου η ανεξαρτησία και η οργάνωση εξηγούνται στην αιτιολογική σκέψη 87— σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που εμπίπτει στο πεδίο εφαρμογής του μέρους 3 του DPA 2018 καθορίζονται στο παράρτημα 13 του εν λόγω νόμου. Κύριο καθήκον του Γραφείου του Επιτρόπου Πληροφοριών είναι η παρακολούθηση και η επιβολή του μέρους 3 του DPA 2018, καθώς και η προώθηση της ευαισθητοποίησης του κοινού και η παροχή συμβουλών στο Κοινοβούλιο, στην κυβέρνηση και σε άλλα όργανα και φορείς. Για τη διατήρηση της ανεξαρτησίας της δικαστικής εξουσίας, ο Επίτροπος Πληροφοριών δεν έχει την εξουσία να ασκεί τα καθήκοντά του σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από πρόσωπο που ενεργεί υπό δικαστική ιδιότητα ή από δικαστήριο που ενεργεί στο πλαίσιο της δικαιοδοτικής του αρμοδιότητας. Στις περιπτώσεις αυτές, τα καθήκοντα εποπτείας ασκούνται από άλλους φορείς, όπως εξηγείται στις αιτιολογικές σκέψεις 99 έως 103.

(159)

Ο Επίτροπος διαθέτει γενικές ερευνητικές, διορθωτικές, αδειοδοτικές και συμβουλευτικές εξουσίες σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που διέπεται από το μέρος 3. Ειδικότερα, ο Επίτροπος έχει την εξουσία να ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του μέρους 3 του DPA 2018, να απευθύνει προειδοποιήσεις ή επίπληξη σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία που παραβίασε τις διατάξεις του μέρους 3 του νόμου, καθώς και να εκδίδει γνώμες, με δική του πρωτοβουλία ή κατόπιν αιτήματος, προς το Κοινοβούλιο, την κυβέρνηση ή άλλα όργανα και οργανισμούς, καθώς και προς το κοινό, σχετικά με κάθε θέμα που σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα (228).

(160)

Επιπλέον, ο Επίτροπος έχει την εξουσία να εκδίδει ειδοποιήσεις παροχής πληροφοριών (229), ειδοποιήσεις διενέργειας αξιολόγησης (230) και ειδοποιήσεις επιβολής μέτρων (231), καθώς και την εξουσία να αποκτά πρόσβαση σε έγγραφα των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, να αποκτά πρόσβαση στις εγκαταστάσεις τους (232) και να επιβάλλει διοικητικά πρόστιμα με την μορφή ειδοποιήσεων επιβολής κυρώσεων (233). Η πολιτική ρυθμιστικής δράσης του Γραφείου του Επιτρόπου Πληροφοριών καθορίζει τις περιστάσεις υπό τις οποίες ο Επίτροπος εκδίδει ειδοποιήσεις παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων και επιβολής κυρώσεων (234) [βλ. επίσης αιτιολογική σκέψη 93 και τις αιτιολογικές σκέψεις 101-102 της απόφασης επάρκειας βάσει της οδηγίας (ΕΕ) 2016/680].

(161)

Σύμφωνα με τις τελευταίες ετήσιες εκθέσεις του (2018-2019 (235), 2019-2020 (236)), ο Επίτροπος Πληροφοριών έχει διεξαγάγει σειρά ερευνών και έχει λάβει μέτρα επιβολής όσον αφορά την επεξεργασία δεδομένων από τις αρχές επιβολής του νόμου. Για παράδειγμα, ο Επίτροπος διεξήγαγε έρευνα και δημοσίευσε γνώμη, τον Οκτώβριο του 2019, σχετικά με τη χρήση της τεχνολογίας αναγνώρισης προσώπου σε δημόσιους χώρους από τις αρχές επιβολής του νόμου. Η έρευνα αυτή επικεντρώθηκε κυρίως στη χρήση των δυνατοτήτων αναγνώρισης προσώπου σε ζωντανή σύνδεση από την αστυνομία της Νότιας Ουαλίας και τη Μητροπολιτική Αστυνομία (MPS). Ο Επίτροπος Πληροφοριών διερεύνησε επίσης το «μητρώο συμμοριών» («Gangs Matrix» (237)) της Μητροπολιτικής Αστυνομίας και διαπίστωσε σειρά σοβαρών παραβιάσεων της νομοθεσίας για την προστασία των δεδομένων οι οποίες ήταν πιθανόν να υπονομεύσουν την εμπιστοσύνη του κοινού στο εν λόγω μητρώο και τον τρόπο χρήσης των δεδομένων. Τον Νοέμβριο του 2018 ο Επίτροπος Πληροφοριών εξέδωσε ειδοποίηση επιβολής μέτρων και στη συνέχεια η Μητροπολιτική Αστυνομία έλαβε τα απαιτούμενα μέτρα για την ενίσχυση της ασφάλειας και της λογοδοσίας, καθώς και για τη διασφάλιση της αναλογικής χρήσης των δεδομένων. Άλλο ένα παράδειγμα επιβολής στον τομέα αυτό είναι το πρόστιμο των 325 000 GBP που επέβαλε ο Επίτροπος τον Μάιο του 2018 σε βάρος της Εισαγγελικής Αρχής του Στέμματος (Crown Prosecution Service, CPC) για την απώλεια μη κρυπτογραφημένων DVD που περιείχαν ηχογραφήσεις καταθέσεων στην αστυνομία. Ο Επίτροπος Πληροφοριών διεξήγαγε επίσης έρευνες για θέματα ευρύτερου ενδιαφέροντος, όπως, για παράδειγμα, έρευνα κατά το πρώτο εξάμηνο του 2020 σχετικά με τη χρήση της εξαγωγής δεδομένων από κινητά τηλέφωνα για σκοπούς αστυνόμευσης και σχετικά με την επεξεργασία δεδομένων θυμάτων από την αστυνομία. Επιπλέον, ο Επίτροπος διερευνά επί του παρόντος υπόθεση που αφορά την πρόσβαση των αρχών επιβολής του νόμου σε δεδομένα που βρίσκονται στην κατοχή οντότητας του ιδιωτικού τομέα, της Clearview AI Inc. (238)

(162)

Πέρα από τις εξουσίες επιβολής του Επιτρόπου Πληροφοριών που αναφέρονται στις αιτιολογικές σκέψεις 160 και 161, ορισμένες παραβιάσεις της νομοθεσίας για την προστασία των δεδομένων συνιστούν αδικήματα και, ως εκ τούτου, είναι δυνατόν να επιφέρουν ποινικές κυρώσεις (άρθρο 196 του DPA 2018). Αυτό ισχύει, για παράδειγμα, για την απόκτηση, την κοινοποίηση ή τη διατήρηση δεδομένων προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπευθύνου επεξεργασίας και για την ηθική αυτουργία στην κοινοποίηση δεδομένων προσωπικού χαρακτήρα σε άλλο πρόσωπο χωρίς τη συγκατάθεση του υπευθύνου επεξεργασίας (239)· για την επαναταυτοποίηση πληροφοριών που αποτελούν αποταυτοποιημένα δεδομένα προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπεύθυνου για την αποταυτοποίηση των δεδομένων προσωπικού χαρακτήρα υπευθύνου επεξεργασίας (240)· για τη με πρόθεση παρακώλυση της άσκησης των εξουσιών του Επιτρόπου όσον αφορά την επιθεώρηση δεδομένων προσωπικού χαρακτήρα σύμφωνα με διεθνείς υποχρεώσεις (241), την υποβολή ψευδών δηλώσεων σε απάντηση σε ειδοποίηση παροχής πληροφοριών ή την καταστροφή πληροφοριών σε σχέση με ειδοποιήσεις παροχής πληροφοριών και διενέργειας αξιολόγησης (242).

(163)

Εκτός από τον Επίτροπο Πληροφοριών, υπάρχουν διάφοροι φορείς εποπτείας στον τομέα της επιβολής του ποινικού δικαίου, με ειδική εντολή σχετική με ζητήματα προστασίας των δεδομένων. Σ' αυτούς περιλαμβάνονται, για παράδειγμα, ο Επίτροπος για τη Διατήρηση και Χρήση Βιομετρικού Υλικού (Commissioner for the Retention and Use of Biometric Material) (στο εξής: Επίτροπος Βιομετρικών Στοιχείων) (243) και ο Επίτροπος για τις Κάμερες Παρακολούθησης (Surveillance Camera Commissioner) (244).

(164)

Η Ειδική Επιτροπή Εσωτερικών Υποθέσεων (Home Affairs Select Committee, HASC) εξασφαλίζει την κοινοβουλευτική εποπτεία στον τομέα της επιβολής του νόμου. Η επιτροπή αυτή αποτελείται από 11 βουλευτές, οι οποίοι προέρχονται από τα τρία μεγαλύτερα πολιτικά κόμματα. Καθήκον της είναι να εξετάζει τις δαπάνες, τη διοίκηση και την πολιτική του Υπουργείου Εσωτερικών (Home Office) και των συναφών δημόσιων φορέων, συμπεριλαμβανομένων, δηλαδή, της αστυνομίας και της Εθνικής Υπηρεσίας Δίωξης του Εγκλήματος (NCA) — της οποίας το έργο έχει ειδικά τη δυνατότητα να ελέγχει (245).

(165)

Η εν λόγω επιτροπή μπορεί, εντός των ορίων των αρμοδιοτήτων της, να επιλέξει το αντικείμενο επί του οποίου θα διενεργήσει έρευνα, συμπεριλαμβανομένων συγκεκριμένων υποθέσεων, υπό την προϋπόθεση ότι το ζήτημα δεν έχει ήδη υποβληθεί στην κρίση δικαστηρίου. Η επιτροπή μπορεί επίσης να ζητά γραπτές και προφορικές αποδείξεις από ευρύ φάσμα σχετικών ομάδων και ατόμων. Συντάσσει εκθέσεις σχετικά με τα πορίσματά της και εκδίδει συστάσεις προς την κυβέρνηση (246). Η κυβέρνηση οφείλει να απαντά σε όλες τις συστάσεις της έκθεσης, εντός 60 ημερών (247).

(166)

Στον τομέα της επιτήρησης, η επιτροπή συνέταξε επίσης έκθεση σχετικά με τον νόμο του 2000 για τη ρύθμιση των ερευνητικών εξουσιών (RIPA 2000) (248), στο πλαίσιο της οποίας κατέληξε στη διαπίστωση ότι ο RIPA 2000 δεν ήταν κατάλληλος για τους επιδιωκόμενους σκοπούς. Η έκθεση αυτή ελήφθη υπόψη κατά την αντικατάσταση σημαντικών τμημάτων του RIPA 2000 από τον IPA 2016. Πλήρης κατάλογος των ερευνών διατίθεται στον δικτυακό τόπο της επιτροπής (249).

(167)

Στη Σκωτία, τα καθήκοντα της Ειδικής Επιτροπής Εσωτερικών Υποθέσεων ασκούνται από την Υποεπιτροπή Δικαιοσύνης για την Αστυνόμευση (Justice Subcommittee on Policing), ενώ στη Βόρεια Ιρλανδία από την Επιτροπή Δικαιοσύνης (Committee for Justice) (250).

(168)

Όσον αφορά την επεξεργασία δεδομένων από τις αρχές επιβολής του νόμου, το μέρος 3 του DPA 2018 και ο IPA 2016, όπως και ο νόμος του 1998 για τα ανθρώπινα δικαιώματα, προβλέπουν μηχανισμούς προσφυγής.

(169)

Αυτή η σειρά μηχανισμών παρέχει στα υποκείμενα των δεδομένων αποτελεσματικά μέσα διοικητικής και δικαστικής έννομης προστασίας, με τα οποία τους παρέχεται ιδίως η δυνατότητα να διασφαλίζουν τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματος να αποκτούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν ή να επιτυγχάνουν τη διόρθωση ή τη διαγραφή των εν λόγω δεδομένων.

(170)

Πρώτον, σύμφωνα με το άρθρο 165 του DPA 2018, το υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στον Επίτροπο Πληροφοριών εάν θεωρεί ότι έχει υπάρξει παράβαση του μέρους 3 του εν λόγω νόμου, σε σχέση με δεδομένα προσωπικού χαρακτήρα που το αφορούν (251). Ο Επίτροπος Πληροφοριών έχει την εξουσία να αξιολογεί τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τον DPA 2018, να τους υποχρεώνει να λάβουν τα αναγκαία μέτρα σε περίπτωση μη συμμόρφωσης και να επιβάλλει πρόστιμα.

(171)

Δεύτερον, ο DPA 2018 προβλέπει δικαίωμα προσφυγής του υποκειμένου των δεδομένων κατά του Επιτρόπου Πληροφοριών σε περίπτωση που ο Επίτροπος δεν διεκπεραιώσει δεόντως καταγγελία που είχε υποβάλει το υποκείμενο των δεδομένων. Ειδικότερα, αν ο Επίτροπος δεν «προωθήσει» (252) τη διεκπεραίωση καταγγελίας που έχει υποβληθεί από το υποκείμενο των δεδομένων, o καταγγέλλων έχει δικαίωμα δικαστικής προσφυγής, καθώς έχει τη δυνατότητα να προσφύγει σε πρωτοδικείο διοικητικών διαφορών (First Tier Tribunal) (253) με αίτημα να διαταχθεί ο Επίτροπος να λάβει τα κατάλληλα μέτρα για να απαντήσει στην καταγγελία ή να ενημερώσει τον καταγγέλλοντα σχετικά με την πρόοδο της διαδικασίας διεκπεραίωσης της καταγγελίας (254). Επιπλέον, κάθε πρόσωπο το οποίο λαμβάνει από τον Επίτροπο οποιαδήποτε από τις προαναφερθείσες ειδοποιήσεις (παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων ή επιβολής κυρώσεων) μπορεί να προσφύγει ενώπιον πρωτοδικείου διοικητικών διαφορών (First Tier Tribunal). Εάν το δικαστήριο κρίνει ότι η απόφαση του Επιτρόπου δεν ήταν σύννομη ή ότι ο Επίτροπος Πληροφοριών θα έπρεπε να έχει ασκήσει τη διακριτική του ευχέρεια με διαφορετικό τρόπο, πρέπει να κάνει δεκτή την προσφυγή ή να αντικαταστήσει την ειδοποίηση με άλλη ειδοποίηση ή απόφαση την οποία θα μπορούσε να είχε απευθύνει ή να είχε εκδώσει ο Επίτροπος (255).

(172)

Τρίτον, τα φυσικά πρόσωπα μπορούν να ασκήσουν δικαστική προσφυγή σε βάρος υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία απευθείας ενώπιον των δικαστηρίων. Ειδικότερα, σύμφωνα με το άρθρο 167 του DPA 2018, το υποκείμενο των δεδομένων μπορεί να υποβάλει αίτηση στο δικαστήριο σε περίπτωση προσβολής του δικαιώματός του βάσει της νομοθεσίας για την προστασία των δεδομένων και το δικαστήριο μπορεί, με διαταγή, να διατάξει τον υπεύθυνο επεξεργασίας να προβεί σε (ή να απόσχει από) οποιαδήποτε ενέργεια σε σχέση με την επεξεργασία προκειμένου να συμμορφωθεί με τον DPA 2018. Επιπλέον, σύμφωνα με το άρθρο 169 του DPA 2018, κάθε πρόσωπο που έχει υποστεί ζημία λόγω παραβίασης απαίτησης της νομοθεσίας για την προστασία των δεδομένων (συμπεριλαμβανομένου του μέρους 3 του DPA 2018), εκτός από τον ΓΚΠΔ του Ηνωμένου Βασιλείου, δικαιούται αποζημίωση για τη ζημία αυτή από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αποδείξει ότι δεν ευθύνεται ο ίδιος με κανέναν τρόπο για το γεγονός που προκάλεσε τη ζημία. Η ζημία περιλαμβάνει τόσο την οικονομική ζημία όσο και τη μη οικονομική ζημία, όπως την πρόκληση οδύνης.

(173)

Τέλος, κάθε πρόσωπο, αν θεωρεί ότι τα δικαιώματά του, συμπεριλαμβανομένων των δικαιωμάτων του στην προστασία της ιδιωτικότητας και των δεδομένων, έχουν παραβιαστεί από δημόσια αρχή, μπορεί να ζητήσει έννομη προστασία προσφεύγοντας ενώπιον των δικαστηρίων του Ηνωμένου Βασιλείου βάσει του νόμου του 1998 για τα ανθρώπινα δικαιώματα (256), ενώ κάθε πρόσωπο, μη κυβερνητικός οργανισμός ή ομάδα ατόμων μπορεί, αφού εξαντλήσει τα εθνικά ένδικα μέσα, να ζητήσει έννομη προστασία ενώπιον του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου για παραβιάσεις των δικαιωμάτων που κατοχυρώνονται στην Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου (257) (βλ. αιτιολογική σκέψη 111).

(174)

Τα φυσικά πρόσωπα μπορούν να ασκήσουν προσφυγή για παραβιάσεις του IPA 2016 ενώπιον του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών (Investigatory Powers Tribunal). Οι δυνατότητες προσφυγής που παρέχονται στο πλαίσιο του IPA 2016 περιγράφονται στις αιτιολογικές σκέψεις 263 έως 269 κατωτέρω.

(175)

Στην έννομη τάξη του Ηνωμένου Βασιλείου, οι υπηρεσίες πληροφοριών που έχουν την εξουσία να συλλέγουν ηλεκτρονικές πληροφορίες που βρίσκονται στην κατοχή υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία για λόγους εθνικής ασφάλειας, σε περιπτώσεις οι οποίες είναι σημαντικές από την άποψη της επάρκειας, είναι η Υπηρεσία Ασφάλειας (Security Service, MI5) (258), η Μυστική Υπηρεσία Πληροφοριών (Secret Intelligence Service, SIS) (259) και η Κεντρική Κυβερνητική Υπηρεσία Επικοινωνιών (Government Communications Headquarters, (260) GCHQ) (261).

(176)

Στο Ηνωμένο Βασίλειο, οι εξουσίες των υπηρεσιών πληροφοριών καθορίζονται στον IPA 2016 και στον RIPA 2000, οι οποίοι, μαζί με τον DPA 2018, καθορίζουν το καθ’ ύλην και το προσωπικό πεδίο εφαρμογής των εν λόγω εξουσιών και προβλέπουν περιορισμούς και εγγυήσεις για την άσκησή τους. Οι εξουσίες αυτές, όπως και οι περιορισμοί και οι εγγυήσεις που ισχύουν για αυτές, εξετάζονται λεπτομερώς στις ενότητες που ακολουθούν.

(177)

Ο IPA 2016 παρέχει το νομικό πλαίσιο για την άσκηση των ερευνητικών εξουσιών, δηλαδή της εξουσίας παρακολούθησης, πρόσβασης σε δεδομένα επικοινωνίας και πραγματοποίησης παρεμβολής σε εξοπλισμό. Ο IPA 2016 θεσπίζει γενική απαγόρευση και ανάγει σε ποινικό αδίκημα τη χρήση τεχνικών που επιτρέπουν την πρόσβαση στο περιεχόμενο επικοινωνιών, την πρόσβαση σε δεδομένα επικοινωνίας ή τις παρεμβολές σε εξοπλισμό χωρίς νόμιμη εξουσιοδότηση (262). Αυτό αντικατοπτρίζεται στο γεγονός ότι η χρήση αυτών των ερευνητικών εξουσιών είναι νόμιμη μόνο όταν πραγματοποιείται βάσει εντάλματος ή άδειας (263).

(178)

Ο IPA 2016 θεσπίζει λεπτομερείς κανόνες που διέπουν το περιεχόμενο και την άσκηση κάθε ερευνητικής εξουσίας, καθώς και τους ειδικούς περιορισμούς και τις εγγυήσεις που ισχύουν συναφώς. Ανάλογα με το είδος της ερευνητικής εξουσίας (παρακολούθηση επικοινωνιών, απόκτηση και διατήρηση δεδομένων επικοινωνίας και παρεμβολή σε εξοπλισμό) (264), καθώς και ανάλογα με το αν η εξουσία ασκείται σε σχέση με συγκεκριμένο στόχο ή μαζικά, ισχύουν διαφορετικοί κανόνες. Λεπτομέρειες σχετικά με το πεδίο εφαρμογής, τις εγγυήσεις και τους περιορισμούς κάθε μέτρου που προβλέπεται από τον IPA 2016 περιγράφονται στην ειδική σχετική ενότητα κατωτέρω.

(179)

Επιπλέον, ο IPA 2016 συμπληρώνεται από διάφορους θεσμοθετημένους κώδικες ορθής πρακτικής που εκδίδονται από τον υπουργό, εγκρίνονται από αμφότερα τα σώματα του Κοινοβουλίου (265), ισχύουν σε ολόκληρη τη χώρα και παρέχουν περαιτέρω καθοδήγηση σχετικά με την άσκηση των εν λόγω εξουσιών (266). Ενώ τα υποκείμενα των δεδομένων μπορούν να επικαλούνται ευθέως τις διατάξεις του IPA 2016 για την άσκηση των δικαιωμάτων τους, το παράρτημα 7 παράγραφος 5 του IPA 2016 ορίζει ότι οι κώδικες ορθής πρακτικής γίνονται δεκτοί ως αποδεικτά στοιχεία σε αστικές και ποινικές διαδικασίες, και ότι το δικαστήριο, το ειδικό δικαιοδοτικό όργανο ή η εποπτική αρχή μπορεί να λάβει υπόψη τυχόν μη συμμόρφωση με τους κώδικες όταν καλείται να αποφασίσει επί σχετικού ζητήματος στο πλαίσιο δικαστικής διαδικασίας (267). Στο πλαίσιο της αξιολόγησης της «ποιότητας του δικαίου» της προηγούμενης νομοθεσίας του Ηνωμένου Βασιλείου στον τομέα της επιτήρησης, του RIPA 2000, το Τμήμα Μείζονος Συνθέσεως του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου αναγνώρισε ρητά τη σημασία των κωδίκων ορθής πρακτικής του Ηνωμένου Βασιλείου και δέχθηκε ότι οι διατάξεις τους θα μπορούσαν να ληφθούν υπόψη κατά την εκτίμηση της προβλεψιμότητας της νομοθεσίας που επιτρέπει την παρακολούθηση (268).

(180)

Επισημαίνεται συναφώς ότι οι υπηρεσίες εθνικής ασφάλειας και ορισμένες αρχές επιβολής του νόμου (269) έχουν στη διάθεσή τους εξουσίες που ασκούνται σε στοχευμένη βάση (στοχευμένη παρακολούθηση (270), απόκτηση δεδομένων επικοινωνίας (271), διατήρηση δεδομένων επικοινωνίας (272) και στοχευμένη παρεμβολή σε εξοπλισμό (273)), ενώ μόνο οι υπηρεσίες πληροφοριών μπορούν να ασκήσουν εξουσίες μαζικού χαρακτήρα (π.χ. μαζική παρακολούθηση (274), μαζική απόκτηση δεδομένων επικοινωνίας (275), μαζική παρεμβολή σε εξοπλισμό (276) και εξουσίες σε σχέση με μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα (277)).

(181)

Όταν αποφασίζει ποια ερευνητική εξουσία θα πρέπει να χρησιμοποιήσει, η υπηρεσία πληροφοριών πρέπει να συμμορφώνεται με τις «γενικές υποχρεώσεις σχετικά με την προστασία της ιδιωτικότητας» οι οποίες απαριθμούνται στο άρθρο 2 παράγραφος 2 στοιχείο (a) του IPA 2016, και στις οποίες περιλαμβάνεται ο έλεγχος αναγκαιότητας και αναλογικότητας. Ειδικότερα, σύμφωνα με την διάταξη αυτή, δημόσια αρχή που προτίθεται να κάνει χρήση ερευνητικής εξουσίας πρέπει να εξετάσει i) αν ο σκοπός που επιδιώκεται με το ένταλμα, την άδεια ή την ειδοποίηση θα μπορούσε εύλογα να επιτευχθεί με άλλα λιγότερο παρεμβατικά μέσα· ii) αν το επίπεδο προστασίας που πρέπει να εφαρμοστεί για την απόκτηση πληροφοριών δυνάμει εντάλματος, άδειας ή ειδοποίησης είναι υψηλότερο λόγω του ιδιαίτερα ευαίσθητου χαρακτήρα των συγκεκριμένων πληροφοριών· iii) το δημόσιο συμφέρον που έγκειται στη διαφύλαξη της ακεραιότητας και της ασφάλειας των συστημάτων τηλεπικοινωνιών και των ταχυδρομικών υπηρεσιών και iv) κάθε άλλη πτυχή δημόσιου συμφέροντος που έγκειται στην προστασία της ιδιωτικότητας (278).

(182)

Ο τρόπος με τον οποίο θα πρέπει να εφαρμόζονται αυτά τα κριτήρια —και ο τρόπος με τον οποίο αξιολογείται η συμμόρφωση των αρχών στο πλαίσιο της άδειας χρήσης των εν λόγω εξουσιών που χορηγείται από τον υπουργό και τους ανεξάρτητους δικαστικούς επιτρόπους— προσδιορίζεται περαιτέρω στους σχετικούς κώδικες ορθής πρακτικής. Ειδικότερα, η χρήση οποιασδήποτε από αυτές τις ερευνητικές εξουσίες πρέπει πάντοτε να είναι «ανάλογη προς τον επιδιωκόμενο σκοπό [το οποίο σημαίνει ότι κάθε εκτίμηση] συνεπάγεται στάθμιση της σοβαρότητας της επέμβασης στην ιδιωτικότητα (και των άλλων ζητημάτων που εκτίθενται στο άρθρο 2 παράγραφος 2) έναντι της ανάγκης για τη διεξαγωγή της δραστηριότητας από ερευνητική και επιχειρησιακή άποψη αλλά και από την άποψη της σχετικής ικανότητας». Αυτό κυρίως σημαίνει ότι «θα πρέπει να προσφέρει ρεαλιστικό ενδεχόμενο επίτευξης του αναμενόμενου οφέλους και δεν θα πρέπει να είναι δυσανάλογη ή αυθαίρετη» και ότι «καμία επέμβαση στην ιδιωτικότητα δεν θα πρέπει να θεωρείται αναλογική εάν οι ζητούμενες πληροφορίες θα μπορούσαν εύλογα να ληφθούν με λιγότερο παρεμβατικά μέσα» (279). Ειδικότερα, η τήρηση της αρχής της αναλογικότητας πρέπει να αξιολογείται με βάση τα ακόλουθα κριτήρια: «i) την έκταση της προτεινόμενης επέμβασης στην ιδιωτικότητα έναντι του επιδιωκόμενου σκοπού· ii) τον τρόπο και τους λόγους για τους οποίους οι μέθοδοι που θα εφαρμοστούν θα προκαλέσουν την ελάχιστη δυνατή επέμβαση στη ζωή του προσώπου και άλλων· iii) το αν η δραστηριότητα αποτελεί κατάλληλη και εύλογη χρήση του νόμου, λαμβανομένων υπόψη όλων των εύλογων εναλλακτικών δυνατοτήτων, για την επίτευξη του επιδιωκόμενου σκοπού· iv) ποιες άλλες μέθοδοι, κατά περίπτωση, είτε δεν εφαρμόστηκαν είτε χρησιμοποιήθηκαν αλλά κρίθηκε ότι θα ήταν ανεπαρκείς για την επίτευξη των επιχειρησιακών στόχων χωρίς τη χρήση της προτεινόμενης ερευνητικής εξουσίας» (280).

(183)

Στην πράξη, όπως εξήγησαν οι αρχές του Ηνωμένου Βασιλείου, με τον τρόπο αυτό διασφαλίζεται ότι η υπηρεσία πληροφοριών πρώτα θέτει τον επιχειρησιακό στόχο (οριοθετώντας, κατ’ αυτόν τον τρόπο, τη συλλογή πληροφοριών, π.χ. διεθνής αντιτρομοκρατικός σκοπός σε συγκεκριμένη γεωγραφική περιοχή) και, στη συνέχεια, με βάση τον επιχειρησιακό αυτόν στόχο, εξετάζει ποια τεχνική επιλογή (π.χ. στοχευμένη ή μαζική παρακολούθηση, παρεμβολή σε εξοπλισμό, απόκτηση δεδομένων επικοινωνίας) είναι η πλέον αναλογική (δηλαδή η λιγότερο παρεμβατική στην ιδιωτικότητα, πρβλ. άρθρο 2 παράγραφος 2 του IPA) προς τον επιδιωκόμενο σκοπό και μπορεί, ως εκ τούτου, να επιτραπεί δυνάμει μίας από τις διαθέσιμες νομικές βάσεις.

(184)

Αξίζει να σημειωθεί ότι αυτή η χρήση των κριτηρίων της αναγκαιότητας και της αναλογικότητας έχει επίσης επισημανθεί και επικροτηθεί από τον ειδικό εισηγητή των Ηνωμένων Εθνών για το δικαίωμα στην ιδιωτικότητα, κ. Joseph Cannataci, ο οποίος δήλωσε αναφορικά με το σύστημα που θεσπίστηκε με τον IPA 2016 ότι «[ο]ι διαδικασίες που εφαρμόζονται, τόσο εντός των υπηρεσιών πληροφοριών όσο και εντός των υπηρεσιών επιβολής του νόμου, φαίνεται να απαιτούν συστηματικά την εξέταση της αναγκαιότητας και της αναλογικότητας των μέτρων επιτήρησης ή των επιχειρήσεων προτού ζητηθεί η χορήγηση σχετικής άδειας, καθώς και επανεξέταση του μέτρου στην ίδια βάση» (281). Παρατήρησε επίσης ότι, κατά τη συνάντησή του με εκπροσώπους των υπηρεσιών επιβολής του νόμου και των υπηρεσιών εθνικής ασφάλειας «διαπίστωσ[ε] ότι χαίρει κοινής αποδοχής η άποψη ότι το δικαίωμα στην ιδιωτικότητα πρέπει να αποτελεί πρωταρχικό μέλημα κατά τη λήψη οποιασδήποτε απόφασης σχετικά με μέτρα επιτήρησης. Όλοι έδειξαν ότι αντιλαμβάνονται και θεωρούν την αναγκαιότητα και την αναλογικότητα ως τις βασικές αρχές που πρέπει να λαμβάνονται υπόψη».

(185)

Τα ειδικά κριτήρια για την έκδοση των διαφόρων ενταλμάτων, καθώς και οι περιορισμοί και οι εγγυήσεις που καθιερώνονται με τον IPA 2016 όσον αφορά κάθε επιμέρους ερευνητική εξουσία περιγράφονται λεπτομερώς στις αιτιολογικές σκέψεις 186 έως 243.

(186)

Υπάρχουν τρία είδη εντάλματος για στοχευμένη παρακολούθηση: το ένταλμα στοχευμένης παρακολούθησης (282), το ένταλμα στοχευμένης εξέτασης και το ένταλμα αμοιβαίας συνδρομής (283). Οι όροι για την έκδοση των ενταλμάτων αυτών και οι σχετικές εγγυήσεις καθορίζονται στο μέρος 2 κεφάλαιο 1 του IPA 2016.

(187)

Το ένταλμα στοχευμένης παρακολούθησης επιτρέπει την παρακολούθηση των επικοινωνιών που περιγράφονται στο ένταλμα κατά τη διάρκεια της διαβίβασής τους και τη συλλογή άλλων δεδομένων σχετικών με τις εν λόγω επικοινωνίες (284), συμπεριλαμβανομένων των δευτερογενών δεδομένων (285). Το ένταλμα στοχευμένης εξέτασης επιτρέπει σε ένα πρόσωπο να προβεί σε επιλογή του παρακολουθούμενου περιεχομένου που αποκτήθηκε βάσει εντάλματος μαζικής παρακολούθησης, με σκοπό την εξέτασή του (286).

(188)

Όλα τα εντάλματα βάσει του μέρους 2 του IPA 2016 μπορούν να εκδίδονται από τον υπουργό (287) και να εγκρίνονται από δικαστικό επίτροπο (288). Σε όλες τις περιπτώσεις, η διάρκεια ισχύος των στοχευμένων ενταλμάτων κάθε είδους περιορίζεται σε 6 μήνες (289) και ισχύουν ειδικοί κανόνες σχετικά με την τροποποίηση (290) και την ανανέωσή τους (291).

(189)

Πριν από την έκδοση του εντάλματος, ο υπουργός πρέπει να προβεί σε εκτίμηση της αναγκαιότητας και της αναλογικότητας (292). Ειδικότερα, όσον αφορά τα εντάλματα στοχευμένης παρακολούθησης και τα εντάλματα στοχευμένης εξέτασης, ο υπουργός θα πρέπει να ελέγχει αν το μέτρο είναι αναγκαίο για έναν από τους ακόλουθους λόγους: για σκοπούς που ανάγονται στην εθνική ασφάλεια· για την πρόληψη ή την ανίχνευση σοβαρού εγκλήματος· ή για σκοπούς που ανάγονται στην εξασφάλιση της οικονομικής ευημερίας του Ηνωμένου Βασιλείου, (293) εφόσον οι εν λόγω σκοποί είναι συναφείς και για τους σκοπούς που ανάγονται στην εθνική ασφάλεια (294). Από την άλλη πλευρά, ένταλμα αμοιβαίας συνδρομής (βλ. αιτιολογική σκέψη 139 ανωτέρω) μπορεί να εκδοθεί μόνο εάν ο υπουργός θεωρεί ότι συντρέχουν περιστάσεις αντίστοιχες μ' αυτές στις οποίες θα εξέδιδε ένταλμα για την πρόληψη ή την ανίχνευση σοβαρού εγκλήματος (295).

(190)

Επιπλέον, ο υπουργός θα πρέπει να αξιολογεί αν το μέτρο είναι ανάλογο προς τον επιδιωκόμενο σκοπό (296). Η αξιολόγηση της αναλογικότητας των ζητούμενων μέτρων πρέπει να λαμβάνει υπόψη τις γενικές υποχρεώσεις σχετικά με την ιδιωτικότητα οι οποίες καθορίζονται στο άρθρο 2 παράγραφος 2 του IPA 2016, ιδίως την ανάγκη να αξιολογείται αν ο σκοπός που επιδιώκεται με το ένταλμα, την άδεια ή την ειδοποίηση θα μπορούσε εύλογα να επιτευχθεί με λιγότερο παρεμβατικά μέσα και αν το επίπεδο προστασίας που πρέπει να εφαρμοστεί για την απόκτηση πληροφοριών δυνάμει του εντάλματος είναι υψηλότερο λόγω του ιδιαίτερα ευαίσθητου χαρακτήρα των συγκεκριμένων πληροφοριών (βλ. αιτιολογική σκέψη 181 ανωτέρω).

(191)

Προς τον σκοπό αυτό, ο υπουργός θα πρέπει να λάβει υπόψη όλα τα στοιχεία της αίτησης τα οποία παρέχει η αιτούσα αρχή, κυρίως αυτά που σχετίζονται με τα πρόσωπα των οποίων οι επικοινωνίες θα αποτελέσουν αντικείμενο της παρακολούθησης και τη συνάφεια του μέτρου για τη διεξαγωγή της έρευνας. Τα στοιχεία αυτά καθορίζονται στον κώδικα ορθής πρακτικής για την παρακολούθηση επικοινωνιών και πρέπει να περιγράφονται με ορισμένο επίπεδο ακρίβειας (297). Επιπλέον, σύμφωνα με το άρθρο 17 του IPA 2016, σε κάθε ένταλμα που εκδίδεται βάσει του κεφαλαίου 2 πρέπει να κατονομάζεται ή να περιγράφεται το συγκεκριμένο πρόσωπο ή ομάδα προσώπων, ο οργανισμός ή οι χώροι που πρόκειται να αποτελέσουν αντικείμενο παρακολούθησης (δηλαδή ο «στόχος»). Τα εντάλματα στοχευμένης παρακολούθησης ή στοχευμένης εξέτασης μπορούν επίσης να αφορούν ομάδα προσώπων, περισσότερα από ένα πρόσωπα ή περισσότερους από έναν οργανισμούς ή περισσότερα από ένα σύνολα χώρων (τα εντάλματα αυτά καλούνται επίσης «θεματικά εντάλματα») (298). Στις περιπτώσεις αυτές, στο ένταλμα θα πρέπει να περιγράφεται ο κοινός σκοπός ή η κοινή δραστηριότητα της ομάδας προσώπων ή η επιχείρηση/έρευνες και να κατονομάζονται ή να περιγράφονται όσο το δυνατόν περισσότερα από αυτά τα πρόσωπα/οργανισμούς ή σύνολα χώρων, εφόσον αυτό είναι ευλόγως εφικτό (299). Τέλος, όλα τα εντάλματα που εκδίδονται βάσει του μέρους 2 του IPA 2016 πρέπει να προσδιορίζουν τις διευθύνσεις, τους αριθμούς, τις συσκευές και τους παράγοντες ή τον συνδυασμό παραγόντων που πρόκειται να χρησιμοποιηθούν για την ταυτοποίηση των επικοινωνιών (300). Σχετικά με το ζήτημα αυτό, ο κώδικας ορθής πρακτικής για την παρακολούθηση των επικοινωνιών ορίζει ότι, στην περίπτωση των ενταλμάτων στοχευμένης παρακολούθησης και στοχευμένης εξέτασης «το ένταλμα πρέπει να προσδιορίζει (ή να περιγράφει) τους παράγοντες ή τον συνδυασμό παραγόντων που πρόκειται να χρησιμοποιηθούν για την ταυτοποίηση των επικοινωνιών. Όταν οι επικοινωνίες πρόκειται να ταυτοποιηθούν μέσω αναφοράς σε αριθμό τηλεφώνου (για παράδειγμα), για τον προσδιορισμό του αριθμού απαιτείται η πλήρης αναγραφή του. Ωστόσο, όταν πρόκειται να χρησιμοποιηθούν πολύ περίπλοκοι ή συνεχώς μεταβαλλόμενοι επιλογείς διαδικτύου για την ταυτοποίηση των επικοινωνιών, οι επιλογείς αυτοί θα πρέπει να περιγράφονται στο μέτρο του δυνατού» (301).

(192)

Μια σημαντική εγγύηση που παρέχεται στο πλαίσιο αυτό είναι ότι η αξιολόγηση που διενεργεί ο υπουργός προκειμένου να εκδώσει ένταλμα πρέπει να εγκριθεί από ανεξάρτητο δικαστικό επίτροπο (302), ο οποίος ελέγχει ιδίως αν η απόφαση έκδοσης του εντάλματος συνάδει με τις αρχές της αναγκαιότητας και της αναλογικότητας (303) (σχετικά με το καθεστώς και τον ρόλο των δικαστικών επιτρόπων βλ. αιτιολογικές σκέψεις 251 έως 256 κατωτέρω). Ο IPA 2016 διευκρινίζει επίσης ότι, κατά τη διενέργεια του εν λόγω ελέγχου, ο δικαστικός επίτροπος πρέπει να εφαρμόζει τις ίδιες αρχές που θα εφαρμόζονταν από δικαστήριο επί αίτησης δικαστικού ελέγχου (304). Με τον τρόπο αυτό διασφαλίζεται ότι, σε κάθε περίπτωση και προτού αποκτηθεί πρόσβαση στα δεδομένα, η συμμόρφωση με τις αρχές της αναγκαιότητας και της αναλογικότητας ελέγχεται συστηματικά από ανεξάρτητο φορέα.

(193)

Ο IPA 2016 προβλέπει λίγες ειδικές και περιορισμένες εξαιρέσεις για τη διενέργεια στοχευμένων παρακολουθήσεων. Οι περιορισμένες περιπτώσεις περιγράφονται λεπτομερώς στον νόμο (305) και, εκτός από την περίπτωση που βασίζεται στη «συγκατάθεση» του αποστολέα/αποδέκτη, διενεργούνται από πρόσωπα (ιδιωτικούς ή δημόσιους φορείς) διαφορετικά από τις υπηρεσίες εθνικής ασφάλειας. Επιπλέον, αυτού του είδους οι παρακολουθήσεις πραγματοποιούνται για σκοπούς διαφορετικούς από τη συλλογή «πληροφοριών» (306) και, για ορισμένους από αυτούς, είναι πολύ απίθανο η συλλογή να πραγματοποιηθεί στο πλαίσιο περίπτωσης που είναι σημαντική από την άποψη της «διαβίβασης» (για παράδειγμα, σε περίπτωση παρακολούθησης σε ψυχιατρικό νοσοκομείο ή σε φυλακή). Λαμβανομένης υπόψη της φύσης του φορέα στον οποίο εφαρμόζονται οι ειδικές αυτές περιπτώσεις (διαφορετικός από τις υπηρεσίες εθνικής ασφάλειας), θα ισχύουν όλες οι εγγυήσεις που προβλέπονται στο μέρος 2 του DPA 2018 και στον ΓΚΠΔ του Ηνωμένου Βασιλείου, συμπεριλαμβανομένων της εποπτείας του ICO και των διαθέσιμων μηχανισμών προσφυγής. Επιπλέον, εκτός από τις εγγυήσεις που προβλέπονται από τον DPA 2018, σε ορισμένες περιπτώσεις, ο IPA 2016 προβλέπει επίσης εκ των υστέρων εποπτεία του IPCO (307).

(194)

Κατά τη διενέργεια παρακολούθησης, ισχύουν πρόσθετοι περιορισμοί και εγγυήσεις ανάλογα με το ειδικό καθεστώς του υπό παρακολούθηση προσώπου ή προσώπων (308). Για παράδειγμα, η παρακολούθηση στοιχείων που υπόκεινται σε νομικό προνόμιο επιτρέπεται μόνο σε εξαιρετικές και επιτακτικές περιστάσεις, ενώ το πρόσωπο που εκδίδει το ένταλμα πρέπει να λαμβάνει υπόψη το δημόσιο συμφέρον που εξυπηρετεί η τήρηση της εμπιστευτικότητας των στοιχείων που υπόκεινται σε νομικό προνόμιο, καθώς και το γεγονός ότι ισχύουν ειδικές απαιτήσεις για τον χειρισμό, τη διατήρηση και την κοινοποίηση του εν λόγω υλικού (309).

(195)

Επιπλέον, ο νόμος IPA 2016 προβλέπει ειδικές εγγυήσεις σχετικά με την ασφάλεια, τη διατήρηση και την κοινοποίηση τις οποίες ο υπουργός θα πρέπει να λαμβάνει υπόψη πριν από την έκδοση στοχευμένου εντάλματος (310). Ειδικότερα, σύμφωνα με το άρθρο 53 παράγραφος 5 του IPA 2016, όλα τα αντίγραφα οποιουδήποτε μέρους του υλικού που συλλέγεται δυνάμει του εντάλματος πρέπει να αποθηκεύονται με ασφάλεια και να καταστρέφονται μόλις εκλείψουν οι σχετικοί λόγοι για τη διατήρησή τους, ενώ σύμφωνα με το άρθρο 53 παράγραφος 2 του IPA 2016, ο αριθμός των προσώπων στα οποία κοινοποιείται το υλικό και ο βαθμός στον οποίο το υλικό κοινοποιείται, διατίθεται ή αντιγράφεται πρέπει να περιορίζονται στο ελάχιστο αναγκαίο για την επίτευξη των νόμιμων σκοπών.

(196)

Τέλος, όταν το υλικό που ελήφθη κατόπιν παρακολούθησης, είτε βάσει εντάλματος στοχευμένης παρακολούθησης είτε βάσει εντάλματος αμοιβαίας συνδρομής, πρόκειται να παραδοθεί σε τρίτη χώρα (στο εξής: κοινοποίηση στο εξωτερικό), ο IPA 2016 ορίζει ότι ο υπουργός πρέπει να διασφαλίζει ότι υπάρχουν κατάλληλες ρυθμίσεις με τις οποίες διασφαλίζεται ότι στην τρίτη χώρα παρέχονται παρόμοιες εγγυήσεις για την ασφάλεια, τη διατήρηση και την κοινοποίηση (311). Επιπλέον, το άρθρο 109 παράγραφος 2 του DPA 2018 ορίζει ότι οι υπηρεσίες πληροφοριών επιτρέπεται να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα εκτός του εδάφους του Ηνωμένου Βασιλείου μόνο εάν η διαβίβαση αποτελεί μέτρο αναγκαίο και αναλογικό που εφαρμόζεται για την εκτέλεση των εκ του νόμου καθηκόντων του υπευθύνου επεξεργασίας ή για άλλους σκοπούς που προβλέπονται στο άρθρο 2 παράγραφος 2 στοιχείο (a) του νόμου του 1989 για την Υπηρεσία Ασφάλειας ή το άρθρο 2 παράγραφος 2 στοιχείο (a) και το άρθρο 4 παράγραφος 2 στοιχείο (a) του νόμου του 1994 για τις υπηρεσίες πληροφοριών (312). Σημαντικό είναι το γεγονός ότι οι απαιτήσεις αυτές ισχύουν και στις περιπτώσεις στις οποίες γίνεται επίκληση της εξαίρεσης της εθνικής ασφάλειας σύμφωνα με το άρθρο 110 του DPA 2018, δεδομένου ότι το άρθρο 110 του DPA 2018 δεν περιλαμβάνει το άρθρο 109 του DPA 2018 στις διατάξεις που είναι δυνατόν να μην εφαρμοστούν εάν ζητείται εξαίρεση από ορισμένες διατάξεις για τη διαφύλαξη της εθνικής ασφάλειας.

(197)

Ο IPA 2016 επιτρέπει στον υπουργό να επιβάλλει στους φορείς εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών την υποχρέωση να διατηρούν δεδομένα επικοινωνιών με σκοπό τη στοχευμένη πρόσβαση από διάφορες δημόσιες αρχές, συμπεριλαμβανομένων των υπηρεσιών επιβολής του νόμου και των υπηρεσιών πληροφοριών. Στο μέρος 4 του IPA 2016 προβλέπεται η διατήρηση των δεδομένων επικοινωνιών, ενώ στο μέρος 3 προβλέπεται η στοχευμένη απόκτηση δεδομένων επικοινωνιών. Στο μέρος 3 και στο μέρος 4 του IPA 2016 καθορίζονται επίσης ειδικοί περιορισμοί όσον αφορά τη χρήση των εν λόγω εξουσιών και παρέχονται ειδικές εγγυήσεις.

(198)

Ο όρος «δεδομένα επικοινωνιών» καλύπτει το «ποιος» συμμετείχε στην επικοινωνία και το «πότε», «πού» και «πώς» έλαβε χώρα η επικοινωνία, αλλά όχι το περιεχόμενο, δηλαδή το τι ειπώθηκε ή τι γράφτηκε. Αντίθετα με την παρακολούθηση, η απόκτηση και η διατήρηση δεδομένων επικοινωνιών δεν αποσκοπεί στην απόκτηση του περιεχομένου της επικοινωνίας, αλλά στην απόκτηση πληροφοριών όπως είναι τα στοιχεία συνδρομητή τηλεφωνικής υπηρεσίας ή ένας αναλυτικός λογαριασμός. Στα στοιχεία αυτά μπορούν να περιλαμβάνονται ο χρόνος και η διάρκεια μιας επικοινωνίας, ο αριθμός ή η διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα και του παραλήπτη και, ενίοτε, η θέση των συσκευών από τις οποίες πραγματοποιήθηκε η τηλεπικοινωνία (313).

(199)

Θα πρέπει να σημειωθεί ότι η διατήρηση και η απόκτηση δεδομένων επικοινωνιών κατά κανόνα δεν θα αφορούν τα δεδομένα προσωπικού χαρακτήρα υποκειμένων δεδομένων της ΕΕ που θα διαβιβάζονται στο Ηνωμένο Βασίλειο στο πλαίσιο της παρούσας απόφασης. Η υποχρέωση διατήρησης ή κοινοποίησης δεδομένων επικοινωνιών σύμφωνα με τα μέρη 3 και 4 του IPA 2016 καλύπτει τα δεδομένα που συλλέγουν οι φορείς εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών στο Ηνωμένο Βασίλειο απευθείας από τους χρήστες της τηλεπικοινωνιακής υπηρεσίας (314). Αυτό το είδος επεξεργασίας που περιλαμβάνει άμεση επαφή με τον πελάτη κατά κανόνα δεν περιλαμβάνει διαβίβαση βάσει της παρούσας απόφασης, δηλαδή διαβίβαση από υπεύθυνο επεξεργασίας / εκτελούντα την επεξεργασία στην ΕΕ προς υπεύθυνο επεξεργασίας / εκτελούντα την επεξεργασία στο Ηνωμένο Βασίλειο.

(200)

Ωστόσο, για λόγους πληρότητας, στις ακόλουθες αιτιολογικές σκέψεις αναλύονται οι όροι και οι εγγυήσεις που διέπουν αυτά τα καθεστώτα απόκτησης και διατήρησης .

(201)

Καταρχήν, πρέπει να σημειωθεί ότι η διατήρηση και η στοχευμένη απόκτηση δεδομένων επικοινωνιών είναι διαθέσιμες τόσο στις υπηρεσίες εθνικής ασφάλειας όσο και σε ορισμένες αρχές επιβολής του νόμου (315). Οι όροι για να ζητηθεί η διατήρηση και/ή η απόκτηση δεδομένων επικοινωνιών μπορεί να ποικίλλουν ανάλογα με τον λόγο για τον οποίο ζητείται το μέτρο, δηλαδή με το αν πρόκειται για σκοπό εθνικής ασφάλειας ή για σκοπό επιβολής του νόμου.

(202)

Ειδικότερα, ενώ το νέο καθεστώς εισήγαγε τη γενική απαίτηση για εκ των προτέρων άδεια από ανεξάρτητο φορέα, η οποία θα εφαρμόζεται σε όλες τις περιπτώσεις διατήρησης και/ή απόκτησης δεδομένων επικοινωνίας (είτε για σκοπό επιβολής του νόμου είτε για σκοπό εθνικής ασφάλειας), μετά την απόφαση Tele2/Watson του Δικαστηρίου της Ευρωπαϊκής Ένωσης (316), θεσπίστηκαν ειδικές εγγυήσεις για τις περιπτώσεις στις οποίες το μέτρο ζητείται για σκοπούς επιβολής του νόμου. Πιο συγκεκριμένα, όταν η διατήρηση ή η απόκτηση δεδομένων επικοινωνίας ζητείται για σκοπό επιβολής του νόμου, η εκ των προτέρων άδεια πρέπει πάντοτε να παρέχεται από τον Επίτροπο Ερευνητικών Εξουσιών. Αυτό δεν ισχύει πάντοτε όταν το μέτρο ζητείται για σκοπό εθνικής ασφάλειας, δεδομένου ότι, όπως περιγράφεται κατωτέρω, σε ορισμένες περιπτώσεις, αυτού του είδους τα μέτρα μπορούν να επιτραπούν από διαφορετικό «πρόσωπο που χορηγεί την άδεια». Επιπλέον, το νέο καθεστώς έχει αυστηροποιήσει το πλαίσιο ορίζοντας ότι η διατήρηση και η απόκτηση δεδομένων επικοινωνιών μπορούν να επιτραπούν μόνο για «σοβαρά εγκλήματα» (317).

(203)

Το μέρος 3 του IPA 2016 προβλέπει τη χορήγηση άδειας στις αρμόδιες δημόσιες αρχές προκειμένου να αποκτήσουν δεδομένα επικοινωνιών από φορέα εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών ή από οποιοδήποτε πρόσωπο είναι σε θέση να αποκτήσει και να κοινοποιήσει δεδομένα αυτού του είδους. Η άδεια δεν μπορεί να επιτρέπει την παρακολούθηση του περιεχομένου των επικοινωνιών (318) και παύει να ισχύει μετά την παρέλευση ενός μηνός (319), ενώ μπορεί να ανανεωθεί με την έκδοση συμπληρωματικής άδειας (320). Για την απόκτηση δεδομένων επικοινωνιών απαιτείται άδεια από τον Επίτροπο Ερευνητικών Εξουσιών (Investigatory Powers Commissioner, IPC) (321) (για το καθεστώς και τις εξουσίες του IPC, βλ. αιτιολογικές σκέψεις 250-251 κατωτέρω). Αυτό ισχύει πάντοτε όταν η απόκτηση δεδομένων επικοινωνιών ζητείται από αρμόδια αρχή επιβολής του νόμου. Ωστόσο, σύμφωνα με το άρθρο 61 του IPA 2016, στην περίπτωση απόκτησης δεδομένων για σκοπούς που ανάγονται στην εθνική ασφάλεια ή στην εξασφάλιση της οικονομικής ευημερίας του Ηνωμένου Βασιλείου, εφόσον οι σκοποί αυτοί είναι συναφείς με την εθνική ασφάλεια, ή όταν η αίτηση υποβάλλεται από μέλος υπηρεσίας πληροφοριών βάσει του άρθρου 61 παράγραφος 7 στοιχείο (b) (322), η άδεια για την απόκτηση των δεδομένων μπορεί εναλλακτικά να δοθεί είτε (323) από τον Επίτροπο Ερευνητικών Εξουσιών είτε από εντεταλμένο ανώτερο υπάλληλο (324). Ο εντεταλμένος υπάλληλος πρέπει να είναι ανεξάρτητος από την επίμαχη έρευνα ή επιχείρηση και να διαθέτει γνώσεις σχετικά με τις αρχές και τη νομοθεσία για τα ανθρώπινα δικαιώματα, ιδίως τις αρχές της αναγκαιότητας και της αναλογικότητας (325). Η απόφαση που λαμβάνεται από τον εντεταλμένο υπάλληλο υπόκειται σε εκ των υστέρων εποπτεία που ασκεί ο Επίτροπος Ερευνητικών Εξουσιών (βλ. αιτιολογική σκέψη 254 κατωτέρω για περισσότερες λεπτομέρειες σχετικά με τις αρμοδιότητες εκ των υστέρων εποπτείας του Επιτρόπου Ερευνητικών Εξουσιών).

(204)

Η άδεια για την απόκτηση δεδομένων επικοινωνιών βασίζεται σε εκτίμηση της αναγκαιότητας και της αναλογικότητας του μέτρου. Ειδικότερα, η αναγκαιότητα του μέτρου αξιολογείται με βάση τους λόγους που απαριθμούνται στη νομοθεσία (326). Λαμβανομένου υπόψη του στοχευμένου χαρακτήρα αυτού του μέτρου, πρέπει επίσης να είναι αναγκαίο για συγκεκριμένη έρευνα ή επιχείρηση (327). Περαιτέρω απαιτήσεις σχετικά με την αξιολόγηση της αναγκαιότητας των μέτρων καθορίζονται στον κώδικα ορθής πρακτικής για τα δεδομένα επικοινωνιών (328). Ειδικότερα, ο κώδικας αυτός ορίζει ότι στην αίτηση που υποβάλλεται από την αιτούσα αρχή θα πρέπει να προσδιορίζονται τρία, κατ’ ελάχιστον, στοιχεία που δικαιολογούν την αναγκαιότητα της αίτησης: i) το υπό διερεύνηση συμβάν, για παράδειγμα ένα έγκλημα ή η τοποθεσία ευάλωτου αγνοούμενου προσώπου· ii) το πρόσωπο του οποίου τα δεδομένα ζητούνται, για παράδειγμα ένας ύποπτος, ένας μάρτυρας ή ένα αγνοούμενο πρόσωπο, και ο τρόπος με τον οποίο συνδέονται με το συμβάν· και iii) τα ζητούμενα δεδομένα επικοινωνίας, όπως ένας αριθμός τηλεφώνου ή μια διεύθυνση IP, και ο τρόπος με τον οποίο τα εν λόγω δεδομένα σχετίζονται με το πρόσωπο και το συμβάν (329).

(205)

Επιπλέον, η απόκτηση δεδομένων επικοινωνίας πρέπει να είναι ανάλογη προς τον επιδιωκόμενο σκοπό (330). Ο κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών διευκρινίζει ότι, κατά τη διενέργεια της εν λόγω αξιολόγησης, το πρόσωπο που χορηγεί την άδεια θα πρέπει να προβαίνει σε στάθμιση «της έκτασης της επέμβασης στα δικαιώματα και στις ελευθερίες του ατόμου έναντι συγκεκριμένου οφέλους για την έρευνα ή την επιχείρηση που έχει αναλάβει να διεκπεραιώσει η αρμόδια δημόσια αρχή προς το δημόσιο συμφέρον» και ότι, λαμβανομένων υπόψη όλων των παραμέτρων μιας συγκεκριμένης υπόθεσης, «η επέμβαση στα δικαιώματα του ατόμου ενδέχεται, παρόλα αυτά, να μη δικαιολογείται διότι οι δυσμενείς επιπτώσεις στα δικαιώματα άλλου ατόμου ή ομάδας ατόμων είναι υπερβολικά σοβαρές». Επιπλέον, ειδικά για την αξιολόγηση της αναλογικότητας του μέτρου, ο κώδικας απαριθμεί ορισμένα στοιχεία που θα πρέπει να περιέχει η αίτηση που υποβάλλει η αιτούσα αρχή (331). Επίσης, πρέπει να αποδίδεται ιδιαίτερη προσοχή στο είδος των δεδομένων επικοινωνίας (δεδομένα «οντότητας» ή δεδομένα «συμβάντων» (332)) που πρόκειται να ληφθούν και πρέπει να προκρίνεται η χρήση λιγότερο παρεμβατικών κατηγοριών δεδομένων (333). Ο κώδικας ορθής πρακτικής για τα δεδομένα επικοινωνιών περιέχει επίσης ειδικές οδηγίες για τις άδειες που αφορούν τα δεδομένα επικοινωνιών προσώπων που ασκούν συγκεκριμένα επαγγέλματα (όπως ιατρών, δικηγόρων, δημοσιογράφων, βουλευτών η ιερέων) (334), οι οποίες υπόκεινται σε πρόσθετες εγγυήσεις (335).

(206)

Το μέρος 4 του IPA 2016 καθορίζει τους κανόνες για τη διατήρηση των δεδομένων επικοινωνιών και ιδίως τα κριτήρια βάσει των οποίων ο υπουργός μπορεί να εκδώσει ειδοποίηση για τη διατήρηση δεδομένων (336). Οι εγγυήσεις που θεσπίζει ο IPA είναι οι ίδιες τόσο στην περίπτωση διατήρησης δεδομένων για σκοπούς επιβολής του νόμου όσο και για σκοπούς που ανάγονται στην εθνική ασφάλεια.

(207)

Η έκδοση αυτών των ειδοποιήσεων για τη διατήρηση δεδομένων αποσκοπεί στο να διασφαλίσει ότι οι φορείς εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών διατηρούν, για μέγιστη περίοδο 12 μηνών, τα σχετικά δεδομένα επικοινωνιών τα οποία διαφορετικά θα διαγράφονταν όταν δεν θα ήταν πλέον απαραίτητα για επαγγελματικούς σκοπούς (337). Τα διατηρούμενα δεδομένα πρέπει να παραμένουν διαθέσιμα για το απαιτούμενο χρονικό διάστημα, για την περίπτωση που η δημόσια αρχή χρειαστεί στη συνέχεια να τα αποκτήσει βάσει άδειας για στοχευμένη απόκτηση δεδομένων επικοινωνιών, σύμφωνα με το μέρος 3 του IPA 2016, όπως περιγράφεται στις αιτιολογικές σκέψεις 203 έως 205.

(208)

Η άσκηση της εξουσίας να ζητηθεί η διατήρηση ορισμένων δεδομένων υπόκειται σε ορισμένους περιορισμούς και εγγυήσεις. Ο υπουργός μπορεί να εκδώσει ειδοποίηση για τη διατήρηση δεδομένων προς έναν ή περισσότερους φορείς (338) μόνο όταν κρίνει ότι η απαίτηση διατήρησης των δεδομένων είναι αναγκαία για έναν από τους σκοπούς που προβλέπονται στον νόμο (339) και είναι ανάλογη προς τον επιδιωκόμενο σκοπό (340) Όπως διευκρινίζεται από τον ίδιο τον. IPA 2016 (341), πριν από την έκδοση ειδοποίησης για τη διατήρηση δεδομένων, ο υπουργός πρέπει να λαμβάνει υπόψη: τα πιθανά οφέλη της ειδοποίησης (342)· περιγραφή των τηλεπικοινωνιακών υπηρεσιών· τη σκοπιμότητα περιορισμού των προς διατήρηση δεδομένων μέσω αναφοράς στην τοποθεσία ή περιγραφής των προσώπων στα οποία παρέχονται οι τηλεπικοινωνιακές υπηρεσίες (343)· τον πιθανό αριθμό χρηστών (εφόσον είναι γνωστός) οποιασδήποτε τηλεπικοινωνιακής υπηρεσίας την οποία αφορά η ειδοποίηση (344)· την τεχνική εφικτότητα της συμμόρφωσης με την ειδοποίηση· το πιθανό κόστος της συμμόρφωσης με την ειδοποίηση, καθώς και κάθε άλλη συνέπεια της ειδοποίησης για τον φορέα εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών (ή περιγραφή των φορέων εκμετάλλευσης) τον οποίο αφορά (345). Όπως περιγράφεται αναλυτικότερα στο κεφάλαιο 17 του κώδικα ορθής πρακτικής για τα δεδομένα επικοινωνιών, όλες οι ειδοποιήσεις για τη διατήρηση δεδομένων πρέπει να προσδιορίζουν κάθε είδος δεδομένων που πρέπει να διατηρηθεί και τον τρόπο με τον οποίο το συγκεκριμένο είδος δεδομένων πληροί τα αναγκαία κριτήρια για τη διατήρηση.

(209)

Σε όλες τις περιπτώσεις (τόσο στην περίπτωση των σκοπών εθνικής ασφάλειας όσο και στην περίπτωση των σκοπών επιβολής του νόμου), η απόφαση του υπουργού να εκδώσει ειδοποίηση για τη διατήρηση δεδομένων πρέπει να εγκριθεί από ανεξάρτητο δικαστικό επίτροπο, βάσει της λεγόμενης διαδικασίας «διπλής διασφάλισης», ο οποίος πρέπει ιδίως να ελέγξει κατά πόσον η ειδοποίηση για τη διατήρηση των σχετικών δεδομένων επικοινωνιών είναι αναγκαία και αναλογική για έναν ή περισσότερους από τους σκοπούς που προβλέπονται από τον νόμο (346).

(210)

Η παρεμβολή σε εξοπλισμό συνίσταται σε σύνολο τεχνικών που χρησιμοποιούνται για τη λήψη ποικίλων δεδομένων από εξοπλισμό (347), στην έννοια του οποίου περιλαμβάνονται οι ηλεκτρονικοί υπολογιστές, οι ταμπλέτες και τα έξυπνα τηλέφωνα, καθώς και τα καλώδια, τα σύρματα και οι συσκευές αποθήκευσης (348). Η παρεμβολή σε εξοπλισμό επιτρέπει την απόκτηση τόσο του περιεχομένου των επικοινωνιών όσο και των δεδομένων του εξοπλισμού (349).

(211)

Σύμφωνα με το άρθρο 13 παράγραφος 1 του IPA 2016, η χρήση της παρεμβολής σε εξοπλισμό από υπηρεσία πληροφοριών προϋποθέτει άδεια υπό τη μορφή εντάλματος που εκδίδεται σύμφωνα με τη διαδικασία «διπλής διασφάλισης» που προβλέπει ο IPA 2016, εφόσον υπάρχει «σύνδεση με τις Βρετανικές Νήσους» (350). Σύμφωνα με τις εξηγήσεις που δόθηκαν από τις αρχές του Ηνωμένου Βασιλείου, στις περιπτώσεις της διαβίβασης δεδομένων από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο στο πλαίσιο του πεδίου εφαρμογής της παρούσας απόφασης, πάντοτε θα υφίσταται «σύνδεση με τις Βρετανικές Νήσους» και, ως εκ τούτου, κάθε παρεμβολή σε εξοπλισμό που καλύπτει τέτοια δεδομένα θα υπόκειται στην υποχρεωτική απαίτηση έκδοσης εντάλματος του άρθρου 13 παράγραφος 1 του IPA 2016 (351).

(212)

Οι κανόνες για τα εντάλματα στοχευμένης παρεμβολής σε εξοπλισμό καθορίζονται στο μέρος 5 του IPA 2016. Όπως και στην περίπτωση της στοχευμένης παρακολούθησης, η στοχευμένη παρεμβολή σε εξοπλισμό πρέπει να αφορά συγκεκριμένο «στόχο», ο οποίος πρέπει να ορίζεται στο ένταλμα (352). Οι λεπτομέρειες σχετικά με τον τρόπο με τον οποίο πρέπει να προσδιορίζεται ο «στόχος» εξαρτώνται από το ζήτημα και από το είδος του εξοπλισμού στον οποίο πρόκειται να πραγματοποιηθεί η παρεμβολή. Ειδικότερα, το άρθρο 115 παράγραφος 3 του IPA καθορίζει τα στοιχεία που θα πρέπει να περιέχει το ένταλμα (π.χ. το όνομα του προσώπου ή του οργανισμού, περιγραφή της τοποθεσίας) ανάλογα, για παράδειγμα, με το αν η παρεμβολή αφορά εξοπλισμό που ανήκει, χρησιμοποιείται ή βρίσκεται στην κατοχή συγκεκριμένου προσώπου ή οργανισμού ή ομάδας προσώπων, αν βρίσκεται σε συγκεκριμένη τοποθεσία κ.λπ. (353) Οι σκοποί για τους οποίους μπορούν να εκδοθούν εντάλματα στοχευμένης παρεμβολής σε εξοπλισμό εξαρτώνται από τη δημόσια αρχή που υποβάλλει τη σχετική αίτηση (354).

(213)

Όπως και στην περίπτωση της στοχευμένης παρακολούθησης, η αρχή έκδοσης πρέπει να εξετάζει αν το μέτρο είναι αναγκαίο για την επίτευξη συγκεκριμένου σκοπού και αν είναι ανάλογο προς τον επιδιωκόμενο σκοπό (355). Επιπλέον, θα πρέπει επίσης να εξετάζει αν υπάρχουν εγγυήσεις όσον αφορά την ασφάλεια, τη διατήρηση και την κοινοποίηση, καθώς και όσον αφορά την «κοινοποίηση στο εξωτερικό» (356) (βλ. αιτιολογική σκέψη 196).

(214)

Το ένταλμα πρέπει να εγκριθεί από δικαστικό επίτροπο, εκτός από τις περιπτώσεις επείγουσας ανάγκης (357). Στις περιπτώσεις αυτές, ο δικαστικός επίτροπος πρέπει να ενημερωθεί για την έκδοση του εντάλματος και να το εγκρίνει εντός τριών εργάσιμων ημερών. Σε περίπτωση που ο δικαστικός επίτροπος αρνηθεί να το εγκρίνει, το ένταλμα παύει να ισχύει και δεν μπορεί να ανανεωθεί (358). Επιπλέον, ο δικαστικός επίτροπος έχει την εξουσία να απαιτήσει τη διαγραφή όλων των δεδομένων που αποκτήθηκαν βάσει του εντάλματος (359). Το γεγονός ότι ένα ένταλμα εκδόθηκε επειγόντως δεν επηρεάζει την εκ των υστέρων εποπτεία (βλ. αιτιολογικές σκέψεις 244 έως 255) ή τις δυνατότητες των οικείων προσώπων να ζητήσουν έννομη προστασία (βλ. αιτιολογικές σκέψεις 260 έως 270). Τα οικεία πρόσωπα μπορούν να υποβάλουν καταγγελία στο ICO ή να προσβάλουν με προσφυγή οποιαδήποτε εικαζόμενη συμπεριφορά ενώπιον του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών με τον συνήθη τρόπο. Σε όλες τις περιπτώσεις, το κριτήριο που εφαρμόζει ο δικαστικός επίτροπος όταν αποφασίζει αν θα εγκρίνει ή όχι ένταλμα είναι ο έλεγχος της αναγκαιότητας και της αναλογικότητας, ο οποίος διενεργείται σύμφωνα με όσα ισχύουν για τις αιτήσεις στοχευμένης παρακολούθησης (360) (βλ. αιτιολογική σκέψη 192 ανωτέρω)

(215)

Τέλος, οι ειδικές εγγυήσεις που εφαρμόζονται για τη στοχευμένη παρακολούθηση εφαρμόζονται και για την παρεμβολή σε εξοπλισμό, όσον αφορά τη διάρκεια ισχύος, την ανανέωση και την τροποποίηση του εντάλματος, καθώς και την παρακολούθηση των μελών του Κοινοβουλίου, στοιχείων που υπόκεινται σε νομικό προνόμιο και δημοσιογραφικού υλικού (βλ. αναλυτικότερα στην αιτιολογική σκέψη 193).

(216)

Οι εξουσίες μαζικού χαρακτήρα ρυθμίζονται από το μέρος 6 του IPA 2016. Επιπλέον, οι κώδικες ορθής πρακτικής προβλέπουν περισσότερες λεπτομέρειες σχετικά με τη χρήση εξουσιών μαζικού χαρακτήρα. Μολονότι στο δίκαιο του Ηνωμένου Βασιλείου δεν περιλαμβάνεται ορισμός της «εξουσίας μαζικού χαρακτήρα», στο πλαίσιο του IPA 2016 έχει περιγραφεί ως η συλλογή και η διατήρηση μεγάλων ποσοτήτων δεδομένων που αποκτώνται από την κυβέρνηση με διάφορα μέσα (δηλαδή με τις εξουσίες μαζικής παρακολούθησης, μαζικής απόκτησης και μαζικής παρεμβολής σε εξοπλισμό και τις εξουσίες σε σχέση με μαζικά σύνολα δεδομένων) και στα οποία μπορούν στη συνέχεια να έχουν πρόσβαση οι αρχές. Η περιγραφή αυτή αποσαφηνίζεται με αντιδιαστολή προς το τι δεν είναι η «εξουσία μαζικού χαρακτήρα»: δεν ισοδυναμεί με «μαζική επιτήρηση» χωρίς περιορισμούς ή εγγυήσεις. Αντιθέτως, όπως εξηγείται κατωτέρω, ενέχει περιορισμούς και εγγυήσεις που αποσκοπούν στο να διασφαλίσουν ότι η πρόσβαση στα δεδομένα δεν παρέχεται χωρίς διάκριση ή αδικαιολόγητα (361). Ειδικότερα, η χρήση των εξουσιών μαζικού χαρακτήρα είναι δυνατή μόνον εάν υπάρχει σύνδεση μεταξύ του τεχνικού μέτρου που προτίθεται να χρησιμοποιήσει η εθνική υπηρεσία πληροφοριών και του επιχειρησιακού στόχου για τον οποίο ζητείται η λήψη του εν λόγω μέτρου.

(217)

Επιπλέον, οι εξουσίες μαζικού χαρακτήρα είναι διαθέσιμες μόνο στις υπηρεσίες πληροφοριών και η άσκησή τους προϋποθέτει πάντοτε τη λήψη εντάλματος που εκδίδεται από τον υπουργό και εγκρίνεται από δικαστικό επίτροπο. Όταν επιλέγονται τα μέσα συλλογής πληροφοριών, πρέπει να εξετάζεται αν ο οικείος στόχος μπορεί να επιτευχθεί με «λιγότερο παρεμβατικά μέσα» (362). Η προσέγγιση αυτή απορρέει από το νομοθετικό πλαίσιο που βασίζεται στην αρχή της αναλογικότητας και, ως εκ τούτου, προκρίνει τη στοχευμένη συλλογή έναντι της μαζικής συλλογής.

(218)

Το καθεστώς για τη μαζική παρακολούθηση καθορίζεται στο μέρος 6 κεφάλαιο 1 του IPA 2016, ενώ το κεφάλαιο 3 του ίδιου μέρους ρυθμίζει τη μαζική παρεμβολή σε εξοπλισμό. Τα καθεστώτα αυτά είναι ίδια κατ’ ουσίαν, επομένως οι όροι και οι πρόσθετες εγγυήσεις που ισχύουν για αυτά τα εντάλματα αναλύονται από κοινού.

(219)

Το ένταλμα μαζικής παρακολούθησης περιορίζεται στην παρακολούθηση, κατά τη διάρκεια της μετάδοσής τους, επικοινωνιών που αποστέλλονται ή λαμβάνονται από άτομα που βρίσκονται εκτός των Βρετανικών Νήσων (363) (οι επικοινωνίες αυτές καλούνται «επικοινωνίες που σχετίζονται με το εξωτερικό» (364)), καθώς και άλλων σχετικών δεδομένων, και στην ακόλουθη επιλογή προς εξέταση του υλικού που ελήφθη κατόπιν παρακολούθησης (365). Το ένταλμα μαζικής παρεμβολής σε εξοπλισμό (366) επιτρέπει στον αποδέκτη του εντάλματος να εξασφαλίσει την πραγματοποίηση παρεμβολής σε οποιονδήποτε εξοπλισμό με σκοπό την απόκτηση επικοινωνιών που σχετίζονται με το εξωτερικό (συμπεριλαμβανομένων οποιωνδήποτε επικοινωνιών περιλαμβάνουν ομιλία, μουσική, ήχους, οπτικές εικόνες ή δεδομένα κάθε είδους), δεδομένων εξοπλισμού (δεδομένα που καθιστούν δυνατή ή διευκολύνουν τη λειτουργία ταχυδρομικής υπηρεσίας· συστήματος τηλεπικοινωνιών· τηλεπικοινωνιακής υπηρεσίας) ή οποιασδήποτε άλλης πληροφορίας (367).

(220)

Ο υπουργός μπορεί να εκδώσει ένταλμα μαζικού χαρακτήρα μόνο κατόπιν αίτησης που υποβάλλεται από τον επικεφαλής υπηρεσίας πληροφοριών (368). Το ένταλμα που επιτρέπει τη μαζική παρακολούθηση ή τη μαζική παρεμβολή σε εξοπλισμό πρέπει να εκδίδεται μόνο εφόσον είναι αναγκαίο για σκοπούς που ανάγονται στην εθνική ασφάλεια ή για την επίτευξη περαιτέρω στόχου που συνίσταται στην πρόληψη ή την ανίχνευση σοβαρού εγκλήματος ή για σκοπούς που ανάγονται στην εξασφάλιση της οικονομικής ευημερίας του Ηνωμένου Βασιλείου, όταν είναι συναφείς για την εθνική ασφάλεια (369). Επιπλέον, σύμφωνα με το άρθρο 142 παράγραφος 7 του IPA 2016, το ένταλμα μαζικής παρακολούθησης πρέπει να εξειδικεύεται με βαθμό λεπτομέρειας μεγαλύτερο από την απλή αναφορά στους «σκοπούς που ανάγονται στην εθνική ασφάλεια», στην «οικονομική ευημερία του Ηνωμένου Βασιλείου» και στην «πρόληψη και ανίχνευση σοβαρού εγκλήματος», και πρέπει να στοιχειοθετείται σύνδεση μεταξύ του μέτρου του οποίου ζητείται η λήψη και ενός ή περισσότερων επιχειρησιακών σκοπών που πρέπει να περιλαμβάνονται στο ένταλμα.

(221)

Η επιλογή του επιχειρησιακού σκοπού είναι αποτέλεσμα πολυεπίπεδης διαδικασίας. Σύμφωνα με το άρθρο 142 παράγραφος 4, οι επιχειρησιακοί σκοποί που προσδιορίζονται στο ένταλμα πρέπει να απαριθμούνται σε κατάλογο που τηρούν οι επικεφαλής των υπηρεσιών πληροφοριών, ως σκοποί που οι εν λόγω επικεφαλής των υπηρεσιών πληροφοριών κρίνουν ότι συνιστούν επιχειρησιακούς σκοπούς για τους οποίους περιεχόμενο ή δευτερογενή δεδομένα που ελήφθησαν κατόπιν παρακολούθησης βάσει ενταλμάτων μαζικής παρακολούθησης μπορούν να επιλεγούν προς εξέταση. Ο κατάλογος επιχειρησιακών σκοπών πρέπει να εγκριθεί από τον υπουργό. Ο υπουργός μπορεί να χορηγήσει την έγκρισή του μόνο εφόσον βεβαιωθεί ότι ο επιχειρησιακός σκοπός καθορίζεται με βαθμό λεπτομέρειας μεγαλύτερο από την απλή αναφορά των γενικών λόγων χορήγησης του εντάλματος (εθνική ασφάλεια ή εθνική ασφάλεια και οικονομική ευημερία ή πρόληψη σοβαρού εγκλήματος) (370). Στο τέλος κάθε οικείας τρίμηνης περιόδου, ο υπουργός πρέπει να διαβιβάζει αντίγραφο του καταλόγου επιχειρησιακών σκοπών στην κοινοβουλευτική Επιτροπή Πληροφοριών και Ασφάλειας (ISC). Τέλος, ο πρωθυπουργός πρέπει να επανεξετάζει τον κατάλογο επιχειρησιακών σκοπών τουλάχιστον μία φορά ετησίως (371). Όπως επισήμανε το Ανώτερο Δικαστήριο «δεν πρέπει να υποτιμάται η σημασία αυτών των εγγυήσεων, καθώς συγκροτούν, από κοινού, ένα περίπλοκο σύνολο μέσων λογοδοσίας, τα οποία αφορούν τόσο το Κοινοβούλιο όσο και μέλη της κυβέρνησης στο ανώτατο επίπεδο» (372).

(222)

Αυτοί οι επιχειρησιακοί σκοποί περιορίζουν επίσης την έκταση της επιλογής του υλικού που ελήφθη κατόπιν παρακολούθησης για το στάδιο της εξέτασης. Η επιλογή προς εξέταση οποιουδήποτε υλικού που συλλέχθηκε βάσει εντάλματος μαζικού χαρακτήρα πρέπει να δικαιολογείται από τον επιχειρησιακό σκοπό ή τους επιχειρησιακούς σκοπούς. Όπως εξήγησαν οι αρχές του Ηνωμένου Βασιλείου, αυτό σημαίνει ότι ο υπουργός πρέπει να αξιολογεί τις πρακτικές ρυθμίσεις για την εξέταση ήδη από το στάδιο της έκδοσης του εντάλματος, στο πλαίσιο των οποίων παρέχονται επαρκείς λεπτομέρειες για την εκπλήρωση των εκ του νόμου υποχρεώσεων βάσει των άρθρων 152 και 193 του IPA 2016 (373). Οι λεπτομέρειες που παρέχονται στον υπουργό σχετικά με τις εν λόγω ρυθμίσεις πρέπει να περιλαμβάνουν, για παράδειγμα, πληροφορίες (αν συντρέχει τέτοια περίπτωση) σχετικά με τον τρόπο με τον οποίο οι ρυθμίσεις φιλτραρίσματος ενδέχεται να μεταβληθούν κατά την περίοδο ισχύος του εντάλματος (374). Για περισσότερες λεπτομέρειες σχετικά με τη διαδικασία και τις εγγυήσεις που εφαρμόζονται στα στάδια φιλτραρίσματος και εξέτασης, βλ. αιτιολογική σκέψη 229 κατωτέρω.

(223)

Η άσκηση εξουσίας μαζικού χαρακτήρα μπορεί να επιτραπεί μόνο εάν είναι ανάλογη προς τον επιδιωκόμενο σκοπό (375). Όπως διευκρινίζεται στον κώδικα ορθής πρακτικής για την παρακολούθηση, κάθε αξιολόγηση της αναλογικότητας συνεπάγεται «στάθμιση της σοβαρότητας της επέμβασης στην ιδιωτικότητα (και των άλλων ζητημάτων που εκτίθενται στο άρθρο 2 παράγραφος 2) έναντι της ανάγκης για τη διεξαγωγή της δραστηριότητας από ερευνητική ή επιχειρησιακή άποψη αλλά και από την άποψη της σχετικής ικανότητας. Η συμπεριφορά για την οποία χορηγείται η άδεια θα πρέπει να προσφέρει ρεαλιστικό ενδεχόμενο επίτευξης του αναμενόμενου οφέλους και δεν θα πρέπει να είναι δυσανάλογη ή αυθαίρετη» (376). Όπως προαναφέρθηκε, αυτό σημαίνει ότι, στην πράξη, ο έλεγχος της αναλογικότητας βασίζεται σε έλεγχο στάθμισης μεταξύ του επιδιωκόμενου σκοπού («του/των επιχειρησιακού/-ών σκοπού/-ών») και των διαθέσιμων τεχνικών επιλογών (π.χ. στοχευμένη ή μαζική παρακολούθηση, παρεμβολή σε εξοπλισμό, απόκτηση δεδομένων επικοινωνιών), βάσει του οποίου θα πρέπει προκρίνονται τα λιγότερο παρεμβατικά μέσα (βλ. αιτιολογικές σκέψεις 181 και 182 ανωτέρω) Όταν περισσότερα του ενός μέτρα είναι κατάλληλα για την επίτευξη του στόχου, πρέπει να προκρίνεται το λιγότερο παρεμβατικό μέσο.

(224)

Μια πρόσθετη εγγύηση για την αξιολόγηση της αναλογικότητας του ζητούμενου μέτρου διασφαλίζεται από το γεγονός ότι πρέπει να παρέχονται στον υπουργό οι σχετικές πληροφορίες που απαιτούνται για την ορθή διενέργεια της αξιολόγησής του. Ειδικότερα, σύμφωνα με τον κώδικα ορθής πρακτικής για την παρακολούθηση και τον κώδικα ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό, η αίτηση που υποβάλλεται από την αρμόδια αρχή θα πρέπει να αναφέρει το ιστορικό στο οποίο βασίζεται η αίτηση, περιγραφή των επικοινωνιών που πρόκειται να αποτελέσουν αντικείμενο παρακολούθησης και των φορέων εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών που καλούνται να συνδράμουν, περιγραφή της συμπεριφοράς για την οποία ζητείται άδεια, των επιχειρησιακών σκοπών, καθώς και εξήγηση των λόγων για τους οποίους η συμπεριφορά είναι αναγκαία και αναλογική (377).

(225)

Τέλος, σημαντικό είναι ότι η απόφαση του υπουργού για έκδοση του εντάλματος πρέπει να εγκριθεί από ανεξάρτητο δικαστικό επίτροπο ο οποίος αξιολογεί την αναγκαιότητα και την αναλογικότητα του προτεινόμενου μέτρου, εφαρμόζοντας τις ίδιες αρχές που θα εφάρμοζε το δικαστήριο επί αίτησης δικαστικού ελέγχου (378). Πιο συγκεκριμένα, ο δικαστικός επίτροπος επανεξετάζει τα συμπεράσματα του υπουργού ως προς το αν το ένταλμα είναι αναγκαίο και αν η συμπεριφορά είναι αναλογική υπό το πρίσμα των αρχών που καθορίζονται στο άρθρο 2 παράγραφος 2 του IPA 2016 (γενικές υποχρεώσεις σχετικά με την ιδιωτικότητα). Ο δικαστικός επίτροπος επανεξετάζει επίσης τα συμπεράσματα του υπουργού ως προς το αν καθένας από τους επιχειρησιακούς σκοπούς που προσδιορίζονται στο ένταλμα συνιστά σκοπό για τον οποίο η επιλογή είναι ή ενδέχεται να είναι αναγκαία. Εάν ο δικαστικός επίτροπος αρνηθεί να εγκρίνει την απόφαση για την έκδοση του εντάλματος, ο υπουργός μπορεί είτε: i) να αποδεχθεί την απόφαση και, ως εκ τούτου, να μην εκδώσει το ένταλμα· είτε ii) να παραπέμψει το θέμα στον Επίτροπο Ερευνητικών Εξουσιών για την έκδοση απόφασης (εκτός εάν η αρχική απόφαση είχε εκδοθεί από τον Επίτροπο Ερευνητικών Εξουσιών) (379).

(226)

Ο IPA 2016 εισήγαγε περαιτέρω περιορισμούς όσον αφορά τη διάρκεια ισχύος, την ανανέωση και την τροποποίηση των ενταλμάτων μαζικού χαρακτήρα. Το ένταλμα πρέπει να έχει μέγιστη διάρκεια έξι μηνών και κάθε απόφαση ανανέωσης ή τροποποίησης (εκτός από τις ήσσονος σημασίας τροποποιήσεις) του εντάλματος πρέπει επίσης να εγκρίνεται από δικαστικό επίτροπο (380). Ο κώδικας ορθής πρακτικής για την παρακολούθηση και ο κώδικας ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό διευκρινίζουν ότι τυχόν μεταβολή των επιχειρησιακών σκοπών του εντάλματος θεωρείται σημαντική τροποποίηση του εντάλματος (381).

(227)

Όπως προβλέπεται και στην περίπτωση της στοχευμένης παρακολούθησης, το μέρος 6 του IPA 2016 ορίζει ότι ο υπουργός πρέπει να διασφαλίζει ότι ισχύουν ρυθμίσεις για την παροχή εγγυήσεων όσον αφορά τη διατήρηση και την κοινοποίηση υλικού που ελήφθη βάσει του εντάλματος (382), καθώς και για την κοινοποίηση στο εξωτερικό (383). Ειδικότερα, σύμφωνα με το άρθρο 150 παράγραφος 5 και το άρθρο 191 παράγραφος 5 του IPA 2016, όλα τα αντίγραφα οποιουδήποτε μέρους του υλικού που συλλέγεται δυνάμει του εντάλματος πρέπει να αποθηκεύονται με ασφάλεια και να καταστρέφονται μόλις εκλείψουν οι σχετικοί λόγοι για τη διατήρησή τους, ενώ σύμφωνα με το άρθρο 150 παράγραφος 2 και το άρθρο 191 παράγραφος 2, ο αριθμός των προσώπων στα οποία κοινοποιείται το υλικό και ο βαθμός στον οποίο το υλικό κοινοποιείται, διατίθεται ή αντιγράφεται πρέπει να περιορίζονται στο ελάχιστο αναγκαίο για την επίτευξη των νόμιμων σκοπών (384).

(228)

Τέλος, όταν το υλικό που ελήφθη κατόπιν παρακολούθησης, είτε βάσει εντάλματος μαζικής παρακολούθησης είτε βάσει εντάλματος μαζικής παρεμβολής σε εξοπλισμό, πρόκειται να παραδοθεί σε τρίτη χώρα (η περίπτωση της «κοινοποίησης στο εξωτερικό»), ο IPA 2016 ορίζει ότι ο υπουργός πρέπει να διασφαλίζει ότι υπάρχουν κατάλληλες ρυθμίσεις με τις οποίες διασφαλίζεται ότι στην τρίτη χώρα παρέχονται παρόμοιες εγγυήσεις όσον αφορά την ασφάλεια, τη διατήρηση και την κοινοποίηση (385). Επιπλέον, το άρθρο 109 του DPA 2018 θέτει συγκεκριμένες απαιτήσεις για τις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από υπηρεσίες πληροφοριών προς τρίτες χώρες ή διεθνείς οργανισμούς και δεν επιτρέπει να διαβιβαστούν δεδομένα σε χώρα ή έδαφος εκτός του Ηνωμένου Βασιλείου ή σε διεθνή οργανισμό, εκτός εάν η διαβίβαση είναι αναγκαία και αναλογική για την εκτέλεση των εκ του νόμου καθηκόντων του υπευθύνου επεξεργασίας ή για άλλους σκοπούς που προβλέπονται στο άρθρο 2 παράγραφος 2 στοιχείο (a) του νόμου του 1989 για την Υπηρεσία Ασφάλειας ή το άρθρο 2 παράγραφος 2 στοιχείο (a) και το άρθρο 4 παράγραφος 2 στοιχείο (a) του νόμου του 1994 για τις υπηρεσίες πληροφοριών (386). Σημαντικό είναι το γεγονός ότι οι απαιτήσεις αυτές ισχύουν και στις περιπτώσεις στις οποίες γίνεται επίκληση της εξαίρεσης της εθνικής ασφάλειας σύμφωνα με το άρθρο 110 του DPA 2018, δεδομένου ότι το άρθρο 110 του DPA 2018 δεν περιλαμβάνει το άρθρο 109 του DPA 2018 στις διατάξεις που είναι δυνατόν να μην εφαρμοστούν εάν ζητείται εξαίρεση από ορισμένες διατάξεις για τη διαφύλαξη της εθνικής ασφάλειας.

(229)

Μετά την έγκριση του εντάλματος και τη μαζική συλλογή των δεδομένων, τα δεδομένα υποβάλλονται σε διαδικασία επιλογής προτού εξεταστούν. Το στάδιο επιλογής και εξέτασης των δεδομένων υπόκειται σε περαιτέρω έλεγχο αναλογικότητας, ο οποίος διενεργείται από τον αναλυτή και στο πλαίσιο του οποίου καθορίζονται, βάσει των επιχειρησιακών σκοπών που προσδιορίζονται στο ένταλμα (και τυχόν υφιστάμενων ρυθμίσεων φιλτραρίσματος), τα κριτήρια επιλογής. Όπως προβλέπεται στα άρθρα 152 και 193 του IPA, όταν ο υπουργός εκδίδει το ένταλμα, πρέπει να διασφαλίζει ότι υπάρχουν ρυθμίσεις με τις οποίες διασφαλίζεται ότι η επιλογή του υλικού πραγματοποιείται μόνο για τους καθορισμένους επιχειρησιακούς σκοπούς και ότι είναι αναγκαία και αναλογική σε όλες τις περιπτώσεις. Στο πλαίσιο αυτό, οι αρχές του Ηνωμένου Βασιλείου διευκρίνισαν ότι το υλικό που λαμβάνεται μέσω μαζικής παρακολούθησης επιλέγεται πρωτίστως μέσω αυτοματοποιημένου φιλτραρίσματος με σκοπό την απόρριψη δεδομένων που είναι απίθανο να παρουσιάζουν ενδιαφέρον από την άποψη της εθνικής ασφάλειας. Τα φίλτρα διαφοροποιούνται κατά καιρούς (καθώς μεταβάλλονται οι τάσεις, οι τύποι και τα πρωτόκολλα της κίνησης στο διαδίκτυο) και τελούν σε συνάρτηση με την τεχνολογία και το επιχειρησιακό πλαίσιο. Μετά το στάδιο αυτό, τα δεδομένα μπορούν να επιλεγούν προς εξέταση μόνο αν είναι συναφή για τους επιχειρησιακούς σκοπούς που προσδιορίζονται στο ένταλμα (387). Οι εγγυήσεις που προβλέπονται από τον IPA 2016 για την εξέταση του συλλεγόμενου υλικού ισχύουν για κάθε τύπο δεδομένων (τόσο για το περιεχόμενο που συλλέγεται μέσω παρακολούθησης όσο και για τα δευτερογενή δεδομένα) (388). Τα άρθρα 152 και 193 του IPA 2016 προβλέπουν επίσης γενική απαγόρευση επιλογής προς εξέταση υλικού που αναφέρεται σε συζητήσεις που αποστέλλονται από ή προορίζονται για άτομα που βρίσκονται στις Βρετανικές Νήσους. Εάν οι αρχές επιθυμούν να εξετάσουν υλικό αυτού του είδους, υποβάλλουν αίτηση για την έκδοση εντάλματος στοχευμένης εξέτασης βάσει του μέρους 2 και του μέρους 4 του IPA 2016, το οποίο εκδίδεται από τον υπουργό και εγκρίνεται από δικαστικό επίτροπο (389). Εάν ένα πρόσωπο επιλέξει σκοπίμως προς εξέταση περιεχόμενο που ελήφθη μέσω παρακολούθησης κατά παράβαση των απαιτήσεων που ορίζονται στη νομοθεσία (390), διαπράττει ποινικό αδίκημα (391).

(230)

Η αξιολόγηση που διενεργείται από τον αναλυτή για την επιλογή του υλικού υπόκειται σε εκ των υστέρων εποπτεία που ασκείται από τον Επίτροπο Ερευνητικών Εξουσιών, ο οποίος αξιολογεί τη συμμόρφωση με τις ειδικές εγγυήσεις που καθορίζονται στον IPA 2016 για το στάδιο της εξέτασης (392) (βλ. επίσης αιτιολογική σκέψη 229). Ο Επίτροπος Ερευνητικών Εξουσιών πρέπει να παρακολουθεί (μεταξύ άλλων με τη διενέργεια ελέγχων, επιθεωρήσεων και ερευνών) την άσκηση από τις δημόσιες αρχές των ερευνητικών εξουσιών που αναφέρονται στον IPA 2016 (393). Σχετικά με το ζήτημα αυτό, ο κώδικας ορθής πρακτικής για την παρακολούθηση και ο κώδικας ορθής πρακτικής για τις παρεμβολές σε εξοπλισμό διευκρινίζουν ότι η οικεία υπηρεσία πρέπει να τηρεί αρχεία για τους σκοπούς μεταγενέστερης εξέτασης και ελέγχου και ότι στα αρχεία αυτά πρέπει να περιγράφονται οι λόγοι για τους οποίους η πρόσβαση στο υλικό από εξουσιοδοτημένα πρόσωπα είναι αναγκαία και αναλογική, καθώς και οι εφαρμοστέοι επιχειρησιακοί σκοποί (394). Για παράδειγμα, στην ετήσια έκθεσή του για το 2018, το Γραφείο του Επιτρόπου Ερευνητικών Εξουσιών (395) κατέληξε στο συμπέρασμα ότι οι δικαιολογητικοί λόγοι για την εξέταση υλικού που είχε συλλεχθεί μαζικά, τους οποίους είχαν καταγράψει οι αναλυτές, πληρούσαν το απαιτούμενο πρότυπο για την αναλογικότητα, καθώς παρείχαν επαρκείς λεπτομέρειες σχετικά με τους λόγους για τους οποίους πραγματοποίησαν τις αναζητήσεις τους σε σχέση με τον επιδιωκόμενο σκοπό (396). Στην έκθεσή του τού 2019, το IPCO, όσον αφορά τις μαζικές εξουσίες, εξέφρασε σαφώς την πρόθεσή του να συνεχίσει τις επιθεωρήσεις των μαζικών παρακολουθήσεων, συμπεριλαμβανομένης ενδελεχούς εξέτασης των επιλογέων και των κριτηρίων αναζήτησης (397). Θα συνεχίσει επίσης να εξετάζει προσεκτικά, κατά περίπτωση, την επιλογή των μέτρων επιτήρησης (στοχευμένα έναντι μαζικών) τόσο κατά την εξέταση των αιτήσεων για ένταλμα στο πλαίσιο της διπλής διασφάλισης όσο και κατά τις επιθεωρήσεις (398). Η εν λόγω περαιτέρω παρακολούθηση θα λαμβάνεται δεόντως υπόψη στο πλαίσιο της παρακολούθησης της παρούσας απόφασης από την Επιτροπή που αναφέρεται στις αιτιολογικές σκέψεις 281 έως 284.

(231)

Το μέρος 6 κεφάλαιο 2 του IPA 2016 ρυθμίζει τα εντάλματα μαζικής απόκτησης δεδομένων, τα οποία επιτρέπουν στον αποδέκτη τους να υποχρεώσει φορέα εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών να του κοινοποιήσει δεδομένα επικοινωνιών που βρίσκονται στην κατοχή του ή να λάβει από τον φορέα εκμετάλλευσης δεδομένα επικοινωνιών που βρίσκονται στην κατοχή του. Τα εντάλματα αυτά επιτρέπουν επίσης στην αιτούσα αρχή να επιλέξει τα δεδομένα για το επόμενο στάδιο της εξέτασης. Όπως και στην περίπτωση της στοχευμένης διατήρησης και απόκτησης δεδομένων επικοινωνιών (βλ. αιτιολογική σκέψη 199), η μαζική απόκτηση δεδομένων επικοινωνιών κατά κανόνα δεν αφορά τα δεδομένα προσωπικού χαρακτήρα υποκειμένων δεδομένων της ΕΕ τα οποία θα διαβιβάζονται στο Ηνωμένο Βασίλειο βάσει της παρούσας απόφασης. Η υποχρέωση κοινοποίησης δεδομένων επικοινωνιών σύμφωνα με το μέρος 6 κεφάλαιο 2 του IPA 2016 καλύπτει τα δεδομένα που συλλέγουν οι φορείς εκμετάλλευσης τηλεπικοινωνιακών υπηρεσιών στο Ηνωμένο Βασίλειο απευθείας από τους χρήστες της τηλεπικοινωνιακής υπηρεσίας (399). Αυτό το είδος επεξεργασίας που περιλαμβάνει άμεση επαφή με τον πελάτη κατά κανόνα δεν περιλαμβάνει διαβίβαση βάσει της παρούσας απόφασης, δηλαδή διαβίβαση από υπεύθυνο επεξεργασίας / εκτελούντα την επεξεργασία στην ΕΕ προς υπεύθυνο επεξεργασίας / εκτελούντα την επεξεργασία στο Ηνωμένο Βασίλειο.

(232)

Ωστόσο, για λόγους πληρότητας, κατωτέρω περιγράφονται οι όροι και οι εγγυήσεις που διέπουν την απόκτηση μαζικών δεδομένων επικοινωνιών.

(233)

Ο IPA 2016 αντικαθιστά τη νομοθεσία σχετικά με την απόκτηση μαζικών δεδομένων επικοινωνιών η οποία αποτέλεσε το αντικείμενο της απόφασης του ΔΕΕ στην υπόθεση Privacy International. Η επίμαχη στην υπόθεση αυτή νομοθετική ρύθμιση καταργήθηκε και το νέο καθεστώς προβλέπει ειδικούς όρους και εγγυήσεις για να μπορεί να επιτραπεί το μέτρο αυτό.

(234)

Ειδικότερα, σε αντίθεση με το προηγούμενο καθεστώς, υπό το οποίο ο υπουργός είχε πλήρη διακριτική ευχέρεια όσον αφορά τη χορήγηση άδειας για το μέτρο (400), σύμφωνα με τον IPA 2016, ο υπουργός εκδίδει ένταλμα μόνο εάν το μέτρο είναι αναγκαίο και αναλογικό. Αυτό στην πράξη σημαίνει ότι θα πρέπει να υπάρχει σύνδεση μεταξύ της πρόσβασης στα δεδομένα και του επιδιωκόμενου σκοπού (401). Ειδικότερα, ο υπουργός πρέπει να αξιολογεί την ύπαρξη σύνδεσης μεταξύ του ζητούμενου μέτρου και ενός ή περισσότερων «επιχειρησιακών σκοπών» που αναφέρονται στο ένταλμα (βλ. αιτιολογική σκέψη 219), ενώ σε σχέση με την αξιολόγηση της αναλογικότητας, ο σχετικός κώδικας ορθής πρακτικής διευκρινίζει ότι «ο υπουργός πρέπει να λαμβάνει υπόψη αν ο σκοπός που επιδιώκεται με το ένταλμα θα μπορούσε εύλογα να επιτευχθεί με άλλα, λιγότερο παρεμβατικά μέσα [άρθρο 2 παράγραφος 2 στοιχείο (a) του νόμου]. Για παράδειγμα, η απόκτηση των απαιτούμενων πληροφοριών μέσω της άσκησης λιγότερο παρεμβατικής εξουσίας, όπως η στοχευμένη απόκτηση δεδομένων επικοινωνιών» (402).

(235)

Για τη διενέργεια αυτής της αξιολόγησης, ο υπουργός βασίζεται στις πληροφορίες τις οποίες υποχρεούνται να υποβάλλουν οι επικεφαλής των υπηρεσιών πληροφοριών (403) στο πλαίσιο της αίτησής τους, όπως οι λόγοι για τους οποίους το μέτρο θεωρείται αναγκαίο για έναν από τους λόγους που προβλέπονται στον νόμο και οι λόγοι για τους οποίους ο επιδιωκόμενος σκοπός δεν θα μπορούσε εύλογα να επιτευχθεί με άλλα, λιγότερο παρεμβατικά μέσα (404). Επιπλέον, οι επιχειρησιακοί σκοποί περιορίζουν το εύρος των λόγων για τους οποίους δεδομένα που ελήφθησαν βάσει του εντάλματος μπορούν να επιλεγούν προς εξέταση (405). Όπως ορίζεται στον σχετικό κώδικα ορθής πρακτικής, οι επιχειρησιακοί σκοποί πρέπει να συνίστανται σε σαφή απαίτηση και να περιέχουν επαρκείς λεπτομέρειες ώστε ο υπουργός να μπορεί να βεβαιωθεί ότι τα δεδομένα που αποκτώνται μπορούν να επιλεγούν προς εξέταση μόνο για συγκεκριμένους λόγους (406). Μάλιστα, ο υπουργός πρέπει να διασφαλίζει, προτού εγκρίνει το ένταλμα, ότι υπάρχουν ειδικές ρυθμίσεις με τις οποίες διασφαλίζεται ότι επιλέγεται προς εξέταση μόνο το υλικό που κρίθηκε αναγκαίο να εξεταστεί για την επίτευξη επιχειρησιακού και νόμιμου σκοπού και ότι θα πρέπει η εξέταση να είναι αναλογική και αναγκαία σε όλες τις περιπτώσεις. Αυτή η ειδική απαίτηση, η οποία αποτυπώνεται στα άρθρα 158 και 172 (407) του IPA 2016, σχετικά με την προηγούμενη αξιολόγηση της αναγκαιότητας και της αναλογικότητας των κριτηρίων που χρησιμοποιούνται για τους σκοπούς της επιλογής, αποτελεί άλλη μια σημαντική καινοτομία του καθεστώτος που θεσπίστηκε με τον IPA 2016 έναντι του καθεστώτος που ίσχυε προηγουμένως.

(236)

Ο IPA 2016 εισήγαγε επίσης την υποχρέωση του υπουργού να διασφαλίζει ότι, πριν από την έκδοση εντάλματος για τη μαζική απόκτηση δεδομένων επικοινωνιών, υφίστανται ειδικοί περιορισμοί όσον αφορά την ασφάλεια, τη διατήρηση και την κοινοποίηση των δεδομένων προσωπικού χαρακτήρα που έχουν συλλεχθεί (408). Στην περίπτωση κοινοποίησης στο εξωτερικό, οι εγγυήσεις που περιγράφονται στην αιτιολογική σκέψη 227 για τη μαζική παρακολούθηση και τη μαζική παρεμβολή σε εξοπλισμό ισχύουν και στο πλαίσιο αυτό (409). Στη νομοθεσία καθορίζονται περαιτέρω περιορισμοί όσον αφορά τη διάρκεια ισχύος (410), την ανανέωση (411) και την τροποποίηση των ενταλμάτων μαζικού χαρακτήρα (412).

(237)

Είναι σημαντικό ότι, όπως και στην περίπτωση των άλλων εξουσιών μαζικού χαρακτήρα, πριν από την έκδοση του εντάλματος ο υπουργός πρέπει να λάβει την έγκριση δικαστικού επιτρόπου (413). Αυτό αποτελεί βασικό χαρακτηριστικό του καθεστώτος που θεσπίστηκε με τον IPA 2016.

(238)

Ο Επίτροπος Ερευνητικών Εξουσιών ασκεί την εκ των υστέρων εποπτεία επί της διαδικασίας εξέτασης του υλικού (των δεδομένων επικοινωνιών) που αποκτήθηκαν μαζικά (βλ. αιτιολογική σκέψη 254 κατωτέρω) Στο πλαίσιο αυτό, ο IPA 2016 εισήγαγε υποχρέωση του αναλυτή πληροφοριών που διενεργεί την εξέταση να καταγράφει, πριν από την επιλογή των προς εξέταση δεδομένων, τον λόγο για τον οποίο η προτεινόμενη εξέταση είναι αναγκαία και αναλογική για συγκεκριμένο επιχειρησιακό σκοπό (414). Στην ετήσια έκθεση του Γραφείου του Επιτρόπου Ερευνητικών Εξουσιών για το 2019 διαπιστώθηκε, όσον αφορά την πρακτική της GCHQ και της MI5, ότι «ο κρίσιμος ρόλος των μαζικών δεδομένων επικοινωνιών για το εύρος των δραστηριοτήτων που διεξάγονται στην GCHQ είχε επεξηγηθεί δεόντως στις υποθέσεις που ελέγξαμε. Εξετάσαμε τη φύση των ζητούμενων δεδομένων και τις απαιτήσεις συλλογής πληροφοριών που δηλώθηκαν και βεβαιωθήκαμε ότι τα δικαιολογητικά έγγραφα καταδείκνυαν ότι η προσέγγιση που ακολουθήθηκε ήταν αναγκαία και αναλογική» (415). Οι δικαιολογητικοί λόγοι που είχε καταγράψει η MI5 ήταν ικανοποιητικού επιπέδου και πληρούσαν τις απαιτήσεις των αρχών της αναγκαιότητας και της αναλογικότητας» (416).

(239)

Τα εντάλματα που αφορούν τα μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα (Bulk Personal Dataset, BPD) (417) επιτρέπουν στις υπηρεσίες πληροφοριών να διατηρούν και να εξετάζουν σύνολα δεδομένων που περιέχουν δεδομένα προσωπικού χαρακτήρα τα οποία αφορούν αρκετά μεγάλο αριθμό ατόμων. Σύμφωνα με τις εξηγήσεις που παρείχαν οι αρχές του Ηνωμένου Βασιλείου, η ανάλυση τέτοιων συνόλων δεδομένων μπορεί να είναι «ο μόνος τρόπος με τον οποίο η Κοινότητα Πληροφοριών του Ηνωμένου Βασιλείου μπορεί να προχωρήσει τις έρευνες και να ταυτοποιήσει τρομοκράτες όταν κατέχει πολύ περιορισμένες ενδείξεις ή όταν οι επικοινωνίες των ατόμων αυτών έχουν σκόπιμα αποκρυφτεί» (418). Υπάρχουν δύο είδη ενταλμάτων: τα εντάλματα για μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα γενικής κατηγορίας («class BPD warrants») (419), τα οποία αφορούν ορισμένη κατηγορία συνόλων δεδομένων, δηλαδή σύνολα δεδομένων που είναι παρόμοια ως προς το περιεχόμενό τους και την προτεινόμενη χρήση τους και σε σχέση με τα οποία εγείρονται παρόμοιοι προβληματισμοί όσον αφορά, για παράδειγμα, τον βαθμό επέμβασης στην ιδιωτικότητα και ευαισθησίας των πληροφοριών και την αναλογικότητα της χρήσης των δεδομένων, με αποτέλεσμα να παρέχεται στον υπουργό η δυνατότητα να αξιολογήσει άπαξ και συνολικά την αναγκαιότητα και την αναλογικότητα της απόκτησης όλων των δεδομένων που εμπίπτουν στη σχετική κατηγορία. Για παράδειγμα, ένα ένταλμα για μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα γενικής κατηγορίας μπορεί να καλύπτει σύνολα δεδομένων ταξιδιού που σχετίζονται με παρόμοιες διαδρομές (420). Αντιθέτως, τα ειδικά εντάλματα για μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα («specific BPD warrants») (421) αφορούν ένα συγκεκριμένο σύνολο δεδομένων, όπως ένα σύνολο δεδομένων που αφορά ένα νέο ή ασύνηθες είδος πληροφοριών που δεν καλύπτονται από υφιστάμενο ένταλμα για μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα γενικής κατηγορίας ή ένα σύνολο δεδομένων που αφορά συγκεκριμένους τύπους δεδομένων προσωπικού χαρακτήρα (422) και, ως εκ τούτου, απαιτεί πρόσθετες εγγυήσεις (423). Οι διατάξεις του IPA 2016 σχετικά με τα μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα επιτρέπουν την εξέταση και τη διατήρηση τέτοιων συνόλων δεδομένων μόνο όταν αυτό είναι αναγκαίο και αναλογικό (424) και τηρούνται οι γενικές υποχρεώσεις που αφορούν την ιδιωτικότητα (425).

(240)

Η εξουσία έκδοσης εντάλματος για μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα υπόκειται στη διαδικασία «διπλής διασφάλισης»: η αξιολόγηση της αναγκαιότητας και της αναλογικότητας του μέτρου διενεργείται πρώτα από τον υπουργό και στη συνέχεια από τον δικαστικό επίτροπο (426). Ο υπουργός οφείλει να εξετάσει τη φύση και το πεδίο εφαρμογής του είδους του εντάλματος που ζητείται, την κατηγορία των σχετικών δεδομένων και τον αριθμό των επιμέρους μαζικών συνόλων δεδομένων προσωπικού χαρακτήρα που ενδέχεται να εμπίπτουν στο συγκεκριμένο είδος εντάλματος (427). Επίσης, όπως διευκρινίζεται στον κώδικα ορθής πρακτικής για τη διατήρηση και τη χρήση μαζικών συνόλων δεδομένων από τις υπηρεσίες πληροφοριών, πρέπει να τηρούνται λεπτομερή αρχεία, τα οποία υπόκεινται σε έλεγχο από τον Επίτροπο Ερευνητικών Εξουσιών (428). Η διατήρηση και η εξέταση μαζικών συνόλων δεδομένων προσωπικού χαρακτήρα εκτός των ορίων που καθορίζει ο IPA 2016 συνιστά ποινικό αδίκημα (429).

(241)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται βάσει του μέρους 4 του DPA 2018 δεν πρέπει να είναι ασύμβατη με τον σκοπό για τον οποίο συλλέχθηκαν τα δεδομένα (430). Ο DPA 2018 ορίζει ότι ο υπεύθυνος επεξεργασίας μπορεί να επεξεργάζεται τα δεδομένα για άλλο σκοπό, διαφορετικό από εκείνον για τον οποίο συλλέχθηκαν τα δεδομένα, όταν ο σκοπός αυτός είναι συμβατός με τον αρχικό και υπό την προϋπόθεση ότι ο υπεύθυνος επεξεργασίας είναι εκ του νόμου εξουσιοδοτημένος να επεξεργάζεται τα δεδομένα και ότι η επεξεργασία είναι αναγκαία και αναλογική (431). Επιπλέον, ο νόμος του 1989 για την Υπηρεσία Ασφάλειας και ο νόμος του 1994 για τις υπηρεσίες πληροφοριών ορίζουν ότι οι επικεφαλής των υπηρεσιών πληροφοριών έχουν καθήκον να διασφαλίζουν ότι καμία πληροφορία δεν λαμβάνεται και δεν κοινοποιείται παρά μόνο στον βαθμό που αυτό είναι αναγκαίο για την ορθή εκτέλεση των καθηκόντων της υπηρεσίας ή για την επίτευξη των λοιπών περιορισμένων και συγκεκριμένων σκοπών που απαριθμούνται στις σχετικές διατάξεις (432).

(242)

Επιπλέον, το άρθρο 109 του DPA 2018 καθορίζει ειδικές απαιτήσεις για τις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών σε τρίτες χώρες ή σε διεθνείς οργανισμούς. Σύμφωνα με τη διάταξη αυτή, δεδομένα προσωπικού χαρακτήρα δεν επιτρέπεται να διαβιβαστούν σε χώρα ή έδαφος εκτός του Ηνωμένου Βασιλείου ή σε διεθνή οργανισμό, εκτός εάν η διαβίβαση είναι αναγκαία και αναλογική για την εκτέλεση των εκ του νόμου καθηκόντων του υπευθύνου επεξεργασίας ή για άλλους σκοπούς που προβλέπονται στο άρθρο 2 παράγραφος 2 στοιχείο (a) του νόμου του 1989 για την Υπηρεσία Ασφάλειας ή το άρθρο 2 παράγραφος 2 στοιχείο (a) και το άρθρο 4 παράγραφος 2 στοιχείο (a) του νόμου του 1994 για τις υπηρεσίες πληροφοριών (433). Σημαντικό είναι το γεγονός ότι οι απαιτήσεις αυτές ισχύουν και στις περιπτώσεις στις οποίες γίνεται επίκληση της εξαίρεσης της εθνικής ασφάλειας σύμφωνα με το άρθρο 110 του DPA 2018, δεδομένου ότι το άρθρο 110 του DPA 2018 δεν περιλαμβάνει το άρθρο 109 του DPA 2018 στις διατάξεις που είναι δυνατόν να μην εφαρμοστούν εάν ζητείται εξαίρεση από ορισμένες διατάξεις για τη διαφύλαξη της εθνικής ασφάλειας.

(243)

Επιπλέον, όπως τονίζεται από το ICO στις κατευθυντήριες γραμμές του σχετικά με την επεξεργασία από τις υπηρεσίες πληροφοριών, εκτός από τις εγγυήσεις που προβλέπονται στο μέρος 4 του DPA 2018, μια υπηρεσία πληροφοριών, κατά την ανταλλαγή δεδομένων με υπηρεσία πληροφοριών τρίτης χώρας, υπόκειται επίσης στις εγγυήσεις που προβλέπονται από τα άλλα νομοθετικά μέτρα που εφαρμόζονται σε αυτές, ώστε να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα λαμβάνονται, κοινοποιούνται και αποτελούν αντικείμενο διαχείρισης με τρόπο νόμιμο και υπεύθυνο (434). Για παράδειγμα, ο IPA 2016 καθορίζει περαιτέρω εγγυήσεις όσον αφορά τις διαβιβάσεις προς τρίτη χώρα υλικού που συλλέχθηκε μέσω στοχευμένης παρακολούθησης (435), στοχευμένης παρεμβολής σε εξοπλισμό (436), μαζικής παρακολούθησης (437), μαζικής απόκτησης δεδομένων επικοινωνιών (438) και μαζικής παρεμβολής σε εξοπλισμό (439) (τις λεγόμενες «κοινοποιήσεις στο εξωτερικό»). Ειδικότερα, η αρχή που εκδίδει το ένταλμα πρέπει να διασφαλίζει ότι ισχύουν ρυθμίσεις που διασφαλίζουν ότι η τρίτη χώρα που λαμβάνει τα δεδομένα περιορίζει τον αριθμό των προσώπων που έχουν πρόσβαση στο υλικό, τον βαθμό στον οποίο αυτό κοινοποιείται και τον αριθμό των αντιγράφων οποιουδήποτε μέρους του υλικού στο ελάχιστο αναγκαίο για τους επιτρεπόμενους σκοπούς που ορίζονται στον IPA 2016 (440).

(244)

Η πρόσβαση των κρατικών φορέων για σκοπούς εθνικής ασφάλειας τελεί υπό την εποπτεία διαφόρων φορέων. Ο Επίτροπος Πληροφοριών επιβλέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα υπό το πρίσμα του DPA 2018 (για περισσότερες πληροφορίες σχετικά με την ανεξαρτησία, τον διορισμό, τον ρόλο και τις εξουσίες του Επιτρόπου, βλ. αιτιολογικές σκέψεις 85 έως 98), ενώ o Επίτροπος Ερευνητικών Εξουσιών είναι αρμόδιος για την ανεξάρτητη και δικαστική εποπτεία όσον αφορά την άσκηση των ερευνητικών εξουσιών βάσει του IPA 2016. Ο Επίτροπος Ερευνητικών Εξουσιών επιβλέπει την άσκηση των ερευνητικών εξουσιών που προβλέπονται στον IPA 2016 τόσο από τις αρχές επιβολής του νόμου όσο και από τις αρχές εθνικής ασφάλειας. Η πολιτική εποπτεία διασφαλίζεται από την κοινοβουλευτική Επιτροπή για τις Υπηρεσίες Πληροφοριών.

(245)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται από τις υπηρεσίες πληροφοριών βάσει του μέρους 4 του DPA 2018 τελεί υπό την εποπτεία του Επιτρόπου Πληροφοριών (441).

(246)

Τα γενικά καθήκοντα του Επιτρόπου Πληροφοριών σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών βάσει του μέρους 4 του DPA 2018 καθορίζονται στο παράρτημα 13 του εν λόγω νόμου. Στα εν λόγω καθήκοντα περιλαμβάνονται, ενδεικτικά, η παρακολούθηση και η επιβολή της εφαρμογής του μέρους 4 του DPA 2018, η προώθηση της ευαισθητοποίησης του κοινού, η παροχή συμβουλών προς το Κοινοβούλιο, την κυβέρνηση και άλλα όργανα σε σχέση με νομοθετικά και διοικητικά μέτρα, η προώθηση της ευαισθητοποίησης των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους, η παροχή πληροφοριών στα υποκείμενα των δεδομένων σχετικά με την άσκηση των δικαιωμάτων τους, η διεξαγωγή ερευνών κ.λπ.

(247)

Όπως και για το μέρος 3 του DPA 2018, ο Επίτροπος έχει την εξουσία να ειδοποιεί τους υπευθύνους επεξεργασίας για εικαζόμενες παραβάσεις και να εκδίδει προειδοποιήσεις επισημαίνοντας ότι μια πράξη επεξεργασίας είναι πιθανόν να παραβιάζει τους κανόνες, καθώς και να απευθύνει επιπλήξεις σε περιπτώσεις που επιβεβαιωθεί η παράβαση. Μπορεί επίσης να εκδίδει ειδοποιήσεις επιβολής μέτρων και ειδοποιήσεις επιβολής κυρώσεων για παραβάσεις ορισμένων διατάξεων του νόμου (442). Ωστόσο, σε αντίθεση με όσα ισχύουν για άλλα μέρη του DPA 2018, o Επίτροπος δεν μπορεί να απευθύνει ειδοποίηση διενέργειας αξιολόγησης σε φορέα εθνικής ασφάλειας (443).

(248)

Επιπλέον, το άρθρο 110 του DPA 2018 προβλέπει εξαίρεση σε σχέση με την άσκηση ορισμένων εξουσιών του Επιτρόπου, όταν αυτό απαιτείται για τους σκοπούς της διαφύλαξης της εθνικής ασφάλειας. Αυτό περιλαμβάνει την εξουσία του Επιτρόπου να εκδίδει (οποιουδήποτε είδους) ειδοποιήσεις βάσει του DPA (ειδοποιήσεις παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων και επιβολής κυρώσεων), την εξουσία διενέργειας επιθεωρήσεων σύμφωνα με διεθνείς υποχρεώσεις, τις εξουσίες εισόδου και διενέργειας επιθεώρησης και τους κανόνες που αφορούν τα ποινικά αδικήματα (444). Όπως εξηγείται στην αιτιολογική σκέψη 126, οι εξαιρέσεις αυτές εφαρμόζονται μόνο εάν αυτό είναι αναγκαίο και αναλογικό και μόνο κατά περίπτωση.

(249)

Το ICO και οι υπηρεσίες πληροφοριών του Ηνωμένου Βασιλείου έχουν υπογράψει μνημόνιο συμφωνίας (445) με το οποίο θεσπίζεται πλαίσιο συνεργασίας για διάφορα θέματα, συμπεριλαμβανομένων των γνωστοποιήσεων παραβιάσεων δεδομένων και του χειρισμού των καταγγελιών των υποκειμένων των δεδομένων. Ειδικότερα, το μνημόνιο συμφωνίας προβλέπει ότι το ICO, μόλις λάβει καταγγελία, ελέγχει αν χρησιμοποιήθηκε ορθά οποιαδήποτε τυχόν εξαίρεση εθνικής ασφάλειας. Οι απαντήσεις σε ερωτήματα που υποβάλλονται από το ICO στο πλαίσιο της εξέτασης μεμονωμένων καταγγελιών πρέπει να παρέχονται από την οικεία υπηρεσία πληροφοριών εντός 20 εργάσιμων ημερών, μέσω κατάλληλων ασφαλών διαύλων εάν πρόκειται για διαβαθμισμένες πληροφορίες. Από τον Απρίλιο του 2018 έως σήμερα, το ICO έχει λάβει 21 καταγγελίες ατόμων οι οποίες αφορούσαν τις υπηρεσίες πληροφοριών. Όλες οι καταγγελίες εξετάστηκαν και το αποτέλεσμα κοινοποιήθηκε στο υποκείμενο των δεδομένων (446).

(250)

Σύμφωνα με το μέρος 8 του IPA 2016, η εποπτεία της χρήσης των ερευνητικών εξουσιών ασκείται από τον Επίτροπο Ερευνητικών Εξουσιών (IPC). Ο Επίτροπος Ερευνητικών Εξουσιών επικουρείται από άλλους δικαστικούς επιτρόπους, οι οποίοι καλούνται συλλογικά δικαστικοί επίτροποι (447). Ο IPA 2016 καθορίζει τις εγγυήσεις που προστατεύουν την ανεξαρτησία των δικαστικών επιτρόπων. Οι δικαστικοί επίτροποι πρέπει να κατέχουν ή να κατείχαν στο παρελθόν υψηλό δικαστικό αξίωμα (δηλαδή πρέπει να είναι ή να ήταν μέλη των πλέον ανώτερων δικαστηρίων) (448) και, όπως ισχύει για κάθε μέλος του δικαστικού σώματος, να τελούν υπό καθεστώς ανεξαρτησίας από την κυβέρνηση (449). Σύμφωνα με το άρθρο 227 του IPA 2016, ο πρωθυπουργός διορίζει τον Επίτροπο Ερευνητικών Εξουσιών και όσους δικαστικούς επιτρόπους κρίνει απαραίτητους. Όλοι οι επίτροποι, είτε είναι εν ενεργεία είτε είναι πρώην μέλη του δικαστικού σώματος, μπορούν να διοριστούν μόνο βάσει κοινής σύστασης των τριών αρχιδικαστών, της Αγγλίας και Ουαλίας, της Σκωτίας και της Βόρειας Ιρλανδίας, και του υπουργού Δικαιοσύνης (450). Ο υπουργός πρέπει να εξασφαλίζει την παροχή προσωπικού, χώρων γραφείων, εξοπλισμού και άλλων εγκαταστάσεων και υπηρεσιών στον Επίτροπο Ερευνητικών Εξουσιών (451). Η θητεία των επιτρόπων είναι τριετής και μπορεί να ανανεωθεί (452). Ως περαιτέρω εγγύηση της ανεξαρτησίας τους, οι δικαστικοί επίτροποι μπορούν να παυθούν από τα καθήκοντά τους μόνο υπό αυστηρούς όρους και προϋποθέσεις: είτε από τον πρωθυπουργό, στις ειδικές περιπτώσεις που απαριθμούνται εξαντλητικά στο άρθρο 228 παράγραφος 5 του IPA 2016 (όπως η πτώχευση ή η φυλάκιση), είτε με απόφαση παύσης που έχει εγκριθεί από αμφότερα τα σώματα του Κοινοβουλίου (453).

(251)

Ο Επίτροπος Ερευνητικών Εξουσιών και οι δικαστικοί επίτροποι επικουρούνται στην άσκηση των καθηκόντων τους από το Γραφείο του Επιτρόπου Ερευνητικών Εξουσιών (IPCO). Το προσωπικό του IPCO αποτελείται από ομάδα επιθεωρητών, εσωτερικούς νομικούς και τεχνικούς εμπειρογνώμονες και μια συμβουλευτική επιτροπή σε θέματα τεχνολογίας, η οποία παρέχει εξειδικευμένες συμβουλές. Όπως ισχύει για τους μεμονωμένους δικαστικούς επιτρόπους, η ανεξαρτησία του IPCO προστατεύεται. Το IPCO αποτελεί φορέα ανεξάρτητο από το Υπουργείο Εσωτερικών, δηλαδή λαμβάνει χρηματοδότηση από το Υπουργείο Εσωτερικών, αλλά εκτελεί τα καθήκοντά του με ανεξαρτησία (454).

(252)

Τα κύρια καθήκοντα των δικαστικών επιτρόπων καθορίζονται στο άρθρο 229 του IPA 2016 (455). Ειδικότερα, οι δικαστικοί επίτροποι διαθέτουν ευρεία εξουσία προηγούμενης έγκρισης, η οποία αποτελεί μέρος των εγγυήσεων που εισήγαγε στο νομικό πλαίσιο του Ηνωμένου Βασιλείου ο IPA 2016. Τα εντάλματα που αφορούν στοχευμένη παρακολούθηση, παρεμβολή σε εξοπλισμό, μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα ή μαζική απόκτηση δεδομένων επικοινωνίας, καθώς και οι ειδοποιήσεις διατήρησης δεδομένων επικοινωνίας πρέπει να εγκρίνονται από τους δικαστικούς επιτρόπους (456). Ο Επίτροπος Ερευνητικών Εξουσιών πρέπει επίσης πάντοτε να εγκρίνει εκ των προτέρων την απόκτηση δεδομένων επικοινωνίας για σκοπούς επιβολής του νόμου (457). Εάν ένας επίτροπος αρνηθεί να εγκρίνει ένταλμα, ο υπουργός μπορεί να απευθυνθεί στον Επίτροπο Ερευνητικών Εξουσιών, του οποίου η απόφαση είναι οριστική.

(253)

Ο ειδικός εισηγητής των Ηνωμένων Εθνών για το δικαίωμα στην ιδιωτικότητα επικρότησε θερμά τη θέσπιση του θεσμού των δικαστικών επιτρόπων με τον IPA 2016, καθώς «όλα τα πιο ευαίσθητα ή παρεμβατικά αιτήματα για πράξεις επιτήρησης πρέπει να εγκρίνονται τόσο από υπουργό όσο και από το Γραφείο του Επιτρόπου Ερευνητικών Εξουσιών». Ειδικότερα, τόνισε ότι «αυτό το στοιχείο δικαστικού ελέγχου [μέσω του ρόλου του Επιτρόπου Διερευνητικών Εξουσιών] ο οποίος υποστηρίζεται από ομάδα πεπειραμένων επιθεωρητών και εμπειρογνωμόνων στον τομέα της τεχνολογίας που έχει στη διάθεσή της περισσότερους πόρους, αποτελεί μία από τις σημαντικότερες νέες εγγυήσεις που εισήγαγε ο IPA», ο οποίος «αντικατέστησε το προηγούμενο κατακερματισμένο σύστημα εποπτικών αρχών και συμπλήρωσε τον ρόλο της Επιτροπής Πληροφοριών και Ασφάλειας του Κοινοβουλίου και του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών» (458).

(254)

Επιπλέον, ο Επίτροπος Ερευνητικών Εξουσιών έχει την εξουσία να ασκεί εκ των υστέρων εποπτεία , μεταξύ άλλων με τη διενέργεια ελέγχων, επιθεωρήσεων και ερευνών, επί της χρήσης των ερευνητικών εξουσιών στο πλαίσιο του IPA 2016 (459), καθώς και επί άλλων εξουσιών και καθηκόντων που προβλέπονται στη σχετική νομοθεσία (460). Τα αποτελέσματα αυτής της εκ των υστέρων εποπτείας περιλαμβάνονται στην έκθεση την οποία ο Επίτροπος Ερευνητικών Εξουσιών πρέπει να εκπονεί ετησίως και να υποβάλλει στον πρωθυπουργό (461) και η οποία πρέπει να δημοσιεύεται και να υποβάλλεται στο Κοινοβούλιο (462). Η έκθεση περιέχει στατιστικά στοιχεία και πληροφορίες σχετικά με τη χρήση των ερευνητικών εξουσιών από τις υπηρεσίες πληροφοριών και τις αρχές επιβολής του νόμου, καθώς και σχετικά με την εφαρμογή των εγγυήσεων όσον αφορά τα στοιχεία που υπόκεινται σε νομικό προνόμιο, το εμπιστευτικό δημοσιογραφικό υλικό και τις πηγές δημοσιογραφικών πληροφοριών, όπως και πληροφορίες σχετικά με τις ρυθμίσεις που εφαρμόστηκαν και τους επιχειρησιακούς σκοπούς των οποίων έγινε επίκληση στο πλαίσιο των ενταλμάτων μαζικού χαρακτήρα. Τέλος, στην ετήσια έκθεση του IPCO προσδιορίζεται σε ποιους τομείς διατυπώθηκαν συστάσεις προς τις δημόσιες αρχές και ο τρόπος με τον οποίο αντιμετωπίστηκαν (463).

(255)

Σύμφωνα με το άρθρο 231 του IPA 2016, αν ο Επίτροπος Ερευνητικών Εξουσιών λάβει γνώση οποιουδήποτε σχετικού σφάλματος που έχουν διαπράξει οι δημόσιες αρχές κατά την άσκηση των ερευνητικών τους εξουσιών, πρέπει να ενημερώσει το οικείο πρόσωπο, όταν κρίνει ότι το σφάλμα είναι σοβαρό και ότι η ενημέρωση του οικείου προσώπου εξυπηρετεί το δημόσιο συμφέρον (464). Ειδικότερα, το άρθρο 231 του IPA 2016 ορίζει ότι ο Επίτροπος Ερευνητικών Εξουσιών, όταν ενημερώνει ένα πρόσωπο σχετικά με κάποιο σφάλμα, πρέπει να του παρέχει πληροφορίες σχετικά με τα τυχόν δικαιώματά του να προσφύγει ενώπιον του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών, καθώς και να του παρέχει τα στοιχεία που ο ίδιος θεωρεί αναγκαία για την άσκηση των εν λόγω δικαιωμάτων, εφόσον η γνωστοποίησή τους εξυπηρετεί το δημόσιο συμφέρον (465).

(256)

Η κοινοβουλευτική εποπτεία, η οποία ασκείται από την Επιτροπή Πληροφοριών και Ασφάλειας (Intelligence and Security Committee, ISC), έχει το νόμιμο έρεισμά της στον νόμο του 2013 για τη δικαιοσύνη και την ασφάλεια (Justice and Security Act 2013, JSA 2013) (466). Με τον νόμο αυτό συστάθηκε η ISC ως επιτροπή του Κοινοβουλίου του Ηνωμένου Βασιλείου. Από το 2013 έχουν ανατεθεί ευρύτερες εξουσίες στην ISC, συμπεριλαμβανομένης της εποπτείας επί των επιχειρησιακών δραστηριοτήτων των υπηρεσιών ασφάλειας. Σύμφωνα με το άρθρο 2 του JSA 2013, η ISC έχει καθήκον να εποπτεύει τις δαπάνες, τη διοίκηση, την πολιτική και τις επιχειρήσεις των υπηρεσιών εθνικής ασφάλειας. Ο JSA 2013 ορίζει ότι η ISC έχει τη δυνατότητα να διεξάγει έρευνες επί επιχειρησιακών θεμάτων, όταν δεν σχετίζονται με επιχειρήσεις που βρίσκονται σε εξέλιξη (467). Το μνημόνιο συμφωνίας που υπογράφηκε μεταξύ του πρωθυπουργού και της ISC (468) προσδιορίζει λεπτομερώς τα στοιχεία που πρέπει να λαμβάνονται υπόψη όταν εξετάζεται αν μια δραστηριότητα αποτελεί μέρος επιχείρησης που βρίσκεται σε εξέλιξη ή όχι (469). Ο πρωθυπουργός μπορεί επίσης να ζητήσει από την ISC να διερευνήσει επιχειρήσεις που βρίσκονται σε εξέλιξη, ενώ η ISC μπορεί να εξετάζει πληροφορίες που παρέχονται οικειοθελώς από τις υπηρεσίες.

(257)

Σύμφωνα με το παράρτημα 1 του νόμου του 2013 για τη δικαιοσύνη και την ασφάλεια, η ISC μπορεί να ζητήσει από τους επικεφαλής οποιασδήποτε από τις τρεις υπηρεσίες πληροφοριών να αποκαλύψουν οποιαδήποτε πληροφορία. Η υπηρεσία πρέπει να παράσχει τις πληροφορίες αυτές, εκτός αν ο υπουργός ασκήσει το δικαίωμα αρνησικυρίας (470). Σύμφωνα με τις εξηγήσεις που παρείχαν οι αρχές του Ηνωμένου Βασιλείου, στην πράξη είναι ελάχιστες οι πληροφορίες που δεν παρέχονται στην ISC (471).

(258)

Η ISC αποτελείται από μέλη που ανήκουν σε οποιοδήποτε από τα δύο σώματα του Κοινοβουλίου και διορίζονται από τον πρωθυπουργό αφού ζητηθεί η γνώμη του αρχηγού της αντιπολίτευσης (472). Η ISC υποχρεούται να υποβάλλει στο Κοινοβούλιο ετήσια έκθεση σχετικά με την εκτέλεση των καθηκόντων της, καθώς και άλλες εκθέσεις που θεωρεί σκόπιμο να υποβληθούν (473). Επιπλέον, η ISC δικαιούται να λαμβάνει ανά τρίμηνο τον κατάλογο των επιχειρησιακών σκοπών που χρησιμοποιείται για την εξέταση του υλικού που λαμβάνεται μαζικά (474). Ο πρωθυπουργός κοινοποιεί στην ISC αντίγραφα των εκθέσεων των ερευνών, των επιθεωρήσεων ή των ελέγχων που διενήργησε ο Επίτροπος Ερευνητικών Εξουσιών, όταν το αντικείμενο των σχετικών εκθέσεων είναι συναφές με τις εκ του νόμου αρμοδιότητες της ISC (475). Τέλος, η ISC μπορεί να ζητήσει από τον Επίτροπο Ερευνητικών Εξουσιών να διενεργήσει έρευνα και ο Επίτροπος πρέπει να ενημερώσει την ISC για την απόφασή του σχετικά με τη διεξαγωγή της εν λόγω έρευνας (476).

(259)

Η ISC υπέβαλε επίσης παρατηρήσεις σχετικά με το σχέδιο του IPA 2016, οι οποίες οδήγησαν σε αρκετές τροποποιήσεις που πλέον αποτυπώνονται στον IPA 2016 (477). Ειδικότερα, η ISC συνέστησε την ενίσχυση της προστασίας της ιδιωτικότητας με την εισαγωγή δέσμης μέτρων προστασίας της ιδιωτικότητας που να ισχύουν σε όλο το φάσμα των ερευνητικών εξουσιών (478). Συνέστησε επίσης αλλαγές στις προτεινόμενες δυνατότητες όσον αφορά τις παρεμβολές σε εξοπλισμό, τα μαζικά σύνολα δεδομένων προσωπικού χαρακτήρα και τα δεδομένα επικοινωνιών, και ζήτησε την εισαγωγή άλλων ειδικών τροποποιήσεων για την ενίσχυση των περιορισμών και των εγγυήσεων όσον αφορά τη χρήση των ερευνητικών εξουσιών (479).

(260)

Στον τομέα της πρόσβασης των κρατικών φορέων για σκοπούς εθνικής ασφάλειας, τα υποκείμενα των δεδομένων πρέπει να έχουν τη δυνατότητα να ασκήσουν ένδικο βοήθημα ενώπιον ανεξάρτητου και αμερόληπτου δικαστηρίου προκειμένου να εξασφαλίσουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν ή να επιτύχουν τη διόρθωση ή τη διαγραφή τέτοιων δεδομένων (480). Το εν λόγω δικαιοδοτικό όργανο πρέπει ιδίως να έχει την εξουσία να εκδίδει αποφάσεις δεσμευτικές για την υπηρεσία πληροφοριών (481). Στο Ηνωμένο Βασίλειο, όπως εξηγείται στις αιτιολογικές σκέψεις 261 έως 271, τα διάφορα μέσα δικαστικής προσφυγής που προβλέπονται παρέχουν στα υποκείμενα των δεδομένων τη δυνατότητα να ασκήσουν τα εν λόγω ένδικα βοηθήματα και να λάβουν έννομη προστασία.

(261)

Σύμφωνα με το άρθρο 165 του DPA 2018, το υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στον Επίτροπο Πληροφοριών εάν θεωρεί ότι έχει υπάρξει παράβαση του μέρους 4 του εν λόγω νόμου, σε σχέση με δεδομένα προσωπικού χαρακτήρα που το αφορούν. Ο Επίτροπος Πληροφοριών έχει την εξουσία να αξιολογεί τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τον DPA 2018 και να τους υποχρεώνει να λάβουν τα αναγκαία μέτρα. Επιπλέον, σύμφωνα με το μέρος 4 του DPA 2018, κάθε πρόσωπο έχει το δικαίωμα να υποβάλει αίτηση στο Ανώτερο Δικαστήριο (High Court ή Court of Session στη Σκωτία) για την έκδοση διαταγής με την οποία ζητείται από τον υπεύθυνο επεξεργασίας να συμμορφωθεί με τα δικαιώματα πρόσβασης στα δεδομένα (482), αντίταξης στην επεξεργασία (483) και διόρθωσης ή διαγραφής (484).

(262)

Τα φυσικά πρόσωπα δικαιούνται επίσης να ζητήσουν αποζημίωση για τη ζημία που υπέστησαν λόγω παράβασης απαίτησης του μέρους 4 του DPA 2018 από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία (485). Η ζημία περιλαμβάνει τόσο την οικονομική ζημία όσο και τη μη οικονομική ζημία, όπως την πρόκληση οδύνης (486).

(263)

Τα φυσικά πρόσωπα μπορούν να ασκήσουν προσφυγή για παραβιάσεις του IPA 2016 ενώπιον του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών.

(264)

Το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών συστάθηκε με τον RIPA 2000 και είναι ανεξάρτητο από την εκτελεστική εξουσία (487). Σύμφωνα με το άρθρο 65 του RIPA 2000, τα μέλη αυτού του δικαιοδοτικού οργάνου διορίζονται από την Αυτής Μεγαλειότητα για πενταετή θητεία. Τα μέλη του οργάνου αυτού μπορούν να παυθούν από τα καθήκοντά τους από την Αυτής Μεγαλειότητα κατόπιν αναγγελίας (488) αμφότερων των σωμάτων του Κοινοβουλίου (489).

(265)

Σύμφωνα με το άρθρο 65 του RIPA 2000, το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών είναι το αρμόδιο δικαιοδοτικό όργανο για την εξέταση κάθε καταγγελίας που υποβάλλεται από πρόσωπο που έχει υποστεί ζημία από συμπεριφορά στο πλαίσιο του IPA 2016, του RIPA 2000 ή οποιαδήποτε συμπεριφορά των υπηρεσιών πληροφοριών (490).

(266)

Για την άσκηση προσφυγής ενώπιον του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών («απαίτηση ενεργητικής νομιμοποίησης»), σύμφωνα με το άρθρο 65 του RIPA 2000, το πρόσωπο πρέπει να έχει την πεποίθηση (491) ότι η συμπεριφορά της υπηρεσίας πληροφοριών έλαβε χώρα σε σχέση με αυτό, με οποιοδήποτε περιουσιακό του στοιχείο, με οποιαδήποτε επικοινωνία που εστάλη από ή στο εν λόγω πρόσωπο ή προοριζόταν για αυτό ή με τη χρήση οποιασδήποτε ταχυδρομικής ή τηλεπικοινωνιακής υπηρεσίας ή συστήματος τηλεπικοινωνιών από το εν λόγω πρόσωπο (492). Επιπλέον, ο καταγγέλλων πρέπει να έχει την πεποίθηση ότι η συμπεριφορά έλαβε χώρα σε «περιστάσεις δεκτικές προσφυγής» (493) ή «ασκήθηκε από ή για λογαριασμό των υπηρεσιών πληροφοριών» (494). Δεδομένου ότι το κριτήριο της «πεποίθησης» έχει ερμηνευθεί αρκετά ευρέως (495), η άσκηση προσφυγής ενώπιον του εν λόγω δικαιοδοτικού οργάνου υπόκειται σε σχετικά χαμηλές απαιτήσεις όσον αφορά την ενεργητική νομιμοποίηση.

(267)

Όταν το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών εξετάζει καταγγελία που έχει υποβληθεί ενώπιόν του, οφείλει να διερευνήσει αν τα πρόσωπα σε βάρος των οποίων προβάλλεται οποιοσδήποτε ισχυρισμός στο πλαίσιο της καταγγελίας έχουν εμπλακεί σε συμπεριφορά που αφορά τον καταγγέλλοντα, καθώς και να ερευνήσει την αρχή η οποία φέρεται να έχει εμπλακεί στις παραβιάσεις και αν η προβαλλόμενη συμπεριφορά έλαβε χώρα (496). Όταν το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών επιλαμβάνεται μιας υπόθεσης, οφείλει να εφαρμόζει στη διαδικασία τις ίδιες αρχές με εκείνες που θα εφαρμόζονταν από δικαστήριο επί αίτησης δικαστικού ελέγχου (497). Επιπλέον, οι αποδέκτες των ενταλμάτων ή ειδοποιήσεων στο πλαίσιο του IPA 2016, καθώς και κάθε άλλο πρόσωπο που κατέχει αξίωμα υπό την εποπτεία του Στέμματος, που απασχολείται στις αστυνομικές δυνάμεις, και ο Επίτροπος Διερεύνησης και Ελέγχου της Αστυνομίας (Police Investigations and Review Commissioner) έχουν την υποχρέωση να κοινοποιούν ή να προσκομίζουν στο εν λόγω δικαιοδοτικό όργανο όλα τα έγγραφα και τις πληροφορίες που τυχόν αυτό ζητήσει προκειμένου να μπορέσει να ασκήσει τη δικαιοδοσία του (498).

(268)

Το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών πρέπει να ενημερώσει τον καταγγέλλοντα αν εκδόθηκε απόφαση υπέρ του ή όχι (499). Σύμφωνα με το άρθρο 67 παράγραφοι 6 και 7 του RIPA 2000, το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών έχει την εξουσία να διατάσσει προσωρινά μέτρα και να επιδικάζει οποιαδήποτε αποζημίωση ή να εκδίδει οποιαδήποτε άλλη απόφαση κρίνει κατάλληλη. Οι αποφάσεις αυτές μπορούν να περιλαμβάνουν απόφαση αναίρεσης ή ακύρωσης οποιουδήποτε εντάλματος ή οποιασδήποτε άδειας ή απόφαση με την οποία διατάσσεται η καταστροφή αρχείων πληροφοριών που έχουν ληφθεί κατά την άσκηση οποιασδήποτε εξουσίας που έχει χορηγηθεί με ένταλμα, άδεια ή ειδοποίηση ή τα οποία βρίσκονται άλλως στην κατοχή δημόσιας αρχής σε σχέση με οποιοδήποτε πρόσωπο (500). Σύμφωνα με το άρθρο 67Α του RIPA 2000, είναι δυνατή η άσκηση έφεσης κατά απόφασης του Ειδικού Δικαιοδοτικού Οργάνου, υπό τον όρο της χορήγησης σχετικής άδειας, που χορηγείται από το εν λόγω όργανο ή το αρμόδιο εφετείο.

(269)

Τέλος, αξίζει να σημειωθεί ότι ο ρόλος του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου Ερευνητικών Εξουσιών έχει συζητηθεί, σε αρκετές περιπτώσεις, στο πλαίσιο προσφυγών ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου, ιδίως στην υπόθεση Kennedy κατά Ηνωμένου Βασιλείου (501) και, πιο πρόσφατα, στην υπόθεση Big Brother Watch και λοιποί κατά Ηνωμένου Βασιλείου (502), όπου το ΕΔΔΑ δήλωσε ότι «το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών προσέφερε ένα στιβαρό ένδικο βοήθημα σε όποιον υποπτευόταν ότι οι επικοινωνίες του είχαν υποκλαπεί από τις υπηρεσίες πληροφοριών» (503).

(270)

Όπως εξηγείται στις αιτιολογικές σκέψεις 109 έως 111, τα μέσα προσφυγής στο πλαίσιο του νόμου του 1998 για τα ανθρώπινα δικαιώματα και τα μέσα προσφυγής ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου (504) είναι επίσης διαθέσιμα στον τομέα της εθνικής ασφάλειας. Το άρθρο 65 παράγραφος 2 του RIPA 2000 απονέμει στο Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών αποκλειστική αρμοδιότητα για όλες τις αξιώσεις που εμπίπτουν στον νόμο για τα ανθρώπινα δικαιώματα σε σχέση με τις υπηρεσίες πληροφοριών (505). Όπως επισήμανε το Ανώτερο Δικαστήριο, αυτό σημαίνει ότι «το αν υπήρξε παραβίαση του νόμου για τα ανθρώπινα δικαιώματα, βάσει των πραγματικών περιστατικών μιας συγκεκριμένης υπόθεσης, είναι κάτι που μπορεί καταρχήν να προβληθεί και να κριθεί από ανεξάρτητο δικαιοδοτικό όργανο, το οποίο μπορεί να έχει πρόσβαση σε όλο το σχετικό υλικό, συμπεριλαμβανομένου του απόρρητου υλικού. [...] Στο πλαίσιο αυτό, έχουμε επίσης κατά νου ότι υπάρχει πλέον η δυνατότητα έφεσης κατά της απόφασης του Ειδικού Δικαιοδοτικού Οργάνου Ελέγχου των Ερευνητικών Εξουσιών, ενώπιον του αρμόδιου εφετειακού δικαστηρίου (για την Αγγλία και την Ουαλία, αυτό είναι το Court of Appeal)· και ότι το Ανώτατο Δικαστήριο έκρινε πρόσφατα ότι το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών υπόκειται καταρχήν σε δικαστικό έλεγχο: βλ. R (Privacy International) κατά Investigatory Powers Tribunal [2019] UKSC 22· [2019] 2 WLR 1219» (506).

(271)

Από τα ανωτέρω συνάγεται ότι όταν οι αρχές επιβολής του νόμου ή οι αρχές εθνικής ασφάλειας του Ηνωμένου Βασιλείου αποκτούν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που εμπίπτουν στο πεδίο εφαρμογής της παρούσας απόφασης, η εν λόγω πρόσβαση διέπεται από νόμους που καθορίζουν τους όρους υπό τους οποίους μπορεί να πραγματοποιηθεί η πρόσβαση και διασφαλίζουν ότι η πρόσβαση και η περαιτέρω χρήση των δεδομένων περιορίζονται στα όρια του αναγκαίου και του αναλογικού σε σχέση με τον επιδιωκόμενο σκοπό επιβολής του νόμου ή εθνικής ασφάλειας. Επιπλέον, στις περισσότερες περιπτώσεις, η πρόσβαση αυτή υπόκειται σε προηγούμενη έγκριση από δικαιοδοτικό όργανο, η οποία παρέχεται μέσω της έγκρισης εντάλματος ή εντολής προσκόμισης, και υπόκειται, σε κάθε περίπτωση, σε ανεξάρτητη εποπτεία. Από τη στιγμή που οι δημόσιες αρχές αποκτήσουν πρόσβαση στα δεδομένα, η επεξεργασία των δεδομένων αυτών, συμπεριλαμβανομένης της περαιτέρω κοινοποίησης και της περαιτέρω διαβίβασης, υπόκειται σε ειδικές εγγυήσεις προστασίας των δεδομένων βάσει του μέρους 3 του DPA 2018, του οποίου οι εγγυήσεις αντικατοπτρίζουν αυτές που παρέχει η οδηγία (ΕΕ) 2016/680, όσον αφορά την επεξεργασία από τις αρχές επιβολής του νόμου, και βάσει του μέρους 4 του DPA 2018 όσον αφορά την επεξεργασία από τις υπηρεσίες πληροφοριών. Τέλος, τα υποκείμενα των δεδομένων απολαμβάνουν στον τομέα αυτόν αποτελεσματικά δικαιώματα διοικητικής και δικαστικής προσφυγής, συμπεριλαμβανομένων δικαιωμάτων πρόσβασης στα δεδομένα που τα αφορούν, καθώς και διόρθωσης ή διαγραφής των δεδομένων αυτών.

(272)

Δεδομένης της σημασίας των εν λόγω όρων, περιορισμών και εγγυήσεων για τους σκοπούς της παρούσας απόφασης, η Επιτροπή θα παρακολουθεί στενά την εφαρμογή και την ερμηνεία των κανόνων του Ηνωμένου Βασιλείου που διέπουν την πρόσβαση του κράτους στα δεδομένα. Στο πλαίσιο αυτό θα συμπεριλαμβάνονται οι σχετικές νομοθετικές, κανονιστικές και νομολογιακές εξελίξεις, καθώς και οι δραστηριότητες του ICO και των άλλων εποπτικών αρχών στον τομέα αυτό. Θα δίδεται επίσης ιδιαίτερη προσοχή στην εφαρμογή από το Ηνωμένο Βασίλειο των σχετικών αποφάσεων του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου, συμπεριλαμβανομένων των μέτρων που προσδιορίζονται στα «σχέδια δράσης» και στις «εκθέσεις δράσης» που υποβάλλονται στην Επιτροπή Υπουργών στο πλαίσιο της εποπτείας της συμμόρφωσης με τις αποφάσεις του Δικαστηρίου.

(273)

Η Επιτροπή θεωρεί ότι ο ΓΚΠΔ του Ηνωμένου Βασιλείου και ο DPA 2018 διασφαλίζουν επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση το οποίο είναι ουσιωδώς ισοδύναμο μ' αυτό που εγγυάται ο κανονισμός (ΕΕ) 2016/679.

(274)

Επιπλέον, η Επιτροπή θεωρεί ότι, συνολικά, οι εποπτικοί μηχανισμοί και τα μέσα προσφυγής που προβλέπονται στη νομοθεσία του Ηνωμένου Βασιλείου επιτρέπουν τον εντοπισμό και την πραγματική τιμωρία των παραβάσεων και προσφέρουν μέσα έννομης προστασίας στα υποκείμενα δεδομένων προκειμένου να επιτυγχάνουν την πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν και, τελικώς, τη διόρθωση ή διαγραφή των εν λόγω δεδομένων.

(275)

Τέλος, βάσει των διαθέσιμων πληροφοριών σχετικά με την έννομη τάξη του Ηνωμένου Βασιλείου, η Επιτροπή θεωρεί ότι κάθε επέμβαση στα θεμελιώδη δικαιώματα των ατόμων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο από δημόσιες αρχές του Ηνωμένου Βασιλείου για σκοπούς δημοσίου συμφέροντος, ιδίως για σκοπούς επιβολής του νόμου και εθνικής ασφάλειας, θα περιορίζεται στο απολύτως αναγκαίο για την επίτευξη του οικείου νόμιμου σκοπού και ότι υφίσταται αποτελεσματική έννομη προστασία κατά των επεμβάσεων αυτού του είδους.

(276)

Ως εκ τούτου, υπό το φως των διαπιστώσεων της παρούσας απόφασης, θα πρέπει να αποφασιστεί ότι το Ηνωμένο Βασίλειο εξασφαλίζει επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 45 του κανονισμού (ΕΕ) 2016/679, ερμηνευόμενου υπό το πρίσμα του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.

(277)

Το συμπέρασμα αυτό βασίζεται τόσο στο σχετικό εσωτερικό καθεστώς του Ηνωμένου Βασιλείου όσο και στις διεθνείς δεσμεύσεις του, ιδίως τις δεσμεύσεις για την τήρηση της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου και την υπαγωγή του στη δικαιοδοσία του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου. Ως εκ τούτου, η συνεχιζόμενη τήρηση των εν λόγω διεθνών υποχρεώσεων αποτελεί ιδιαίτερα σημαντικό στοιχείο της αξιολόγησης στην οποία βασίζεται η παρούσα απόφαση.

(278)

Τα κράτη μέλη και τα όργανά τους υποχρεούνται να λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφώνονται με τις πράξεις των θεσμικών οργάνων της Ένωσης, καθώς αυτές τεκμαίρονται νόμιμες και, ως εκ τούτου, παράγουν έννομα αποτελέσματα έως ότου τυχόν λήξουν, ανακληθούν, ακυρωθούν κατόπιν προσφυγής ακύρωσης ή κριθούν ανίσχυρες κατόπιν προδικαστικής παραπομπής ή κατόπιν ένστασης έλλειψης νομιμότητας.

(279)

Κατά συνέπεια, απόφαση επάρκειας που εκδίδεται από την Επιτροπή βάσει του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 είναι δεσμευτική για όλα τα όργανα των κρατών μελών στα οποία απευθύνεται, συμπεριλαμβανομένων των ανεξάρτητων εποπτικών αρχών τους. Ιδίως, κατά τη διάρκεια της περιόδου εφαρμογής της παρούσας απόφασης, οι διαβιβάσεις από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία στην Ευρωπαϊκή Ένωση προς υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στο Ηνωμένο Βασίλειο μπορούν να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω άδεια.

(280)

Θα πρέπει να υπενθυμιστεί ότι, σύμφωνα με το άρθρο 58 παράγραφος 5 του κανονισμού (ΕΕ) 2016/679, και όπως εξήγησε το Δικαστήριο στην απόφαση Schrems (507), όταν μια εθνική αρχή προστασίας των δεδομένων αμφισβητεί, μεταξύ άλλων κατόπιν καταγγελίας, τη συμβατότητα μιας απόφασης περί επάρκειας την οποία έχει εκδώσει η Επιτροπή με τα θεμελιώδη δικαιώματα του προσώπου στην προστασία της ιδιωτικής ζωής και των δεδομένων, το εθνικό δίκαιο πρέπει να της παρέχει μέσα ένδικης προστασίας ώστε να μπορεί να προβάλει τις αιτιάσεις αυτές ενώπιον εθνικού δικαστηρίου, το οποίο μπορεί να χρειαστεί να υποβάλει προδικαστικό ερώτημα στο Δικαστήριο (508).

(281)

Σύμφωνα με το άρθρο 45 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679, η Επιτροπή πρέπει να παρακολουθεί, σε συνεχή βάση, τις σχετικές εξελίξεις στο Ηνωμένο Βασίλειο μετά την έκδοση της παρούσας απόφασης, προκειμένου να αξιολογεί αν εξακολουθεί να διασφαλίζει ουσιωδώς ισοδύναμο επίπεδο προστασίας. Η παρακολούθηση αυτή είναι εξαιρετικά σημαντική στην προκείμενη περίπτωση, δεδομένου ότι το Ηνωμένο Βασίλειο θα διαχειρίζεται, θα εφαρμόζει και θα επιβάλλει ένα νέο καθεστώς προστασίας των δεδομένων, το οποίο δεν θα υπόκειται πλέον στο δίκαιο της Ευρωπαϊκής Ένωσης και το οποίο ενδέχεται να εξελιχθεί. Στο πλαίσιο αυτό, θα δοθεί ιδιαίτερη προσοχή στην εφαρμογή στην πράξη των κανόνων του Ηνωμένου Βασιλείου σχετικά με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, καθώς και στον αντίκτυπο που αυτή ενδέχεται να έχει στο επίπεδο προστασίας που παρέχεται στα δεδομένα που διαβιβάζονται βάσει της παρούσας απόφασης· στην αποτελεσματικότητα της άσκησης των ατομικών δικαιωμάτων, συμπεριλαμβανομένης κάθε σχετικής εξέλιξης στη νομοθεσία και την πρακτική σχετικά με τις εξαιρέσεις ή τους περιορισμούς των εν λόγω δικαιωμάτων (ιδίως εκείνων που αφορούν τη διατήρηση αποτελεσματικού ελέγχου της μετανάστευσης)· καθώς και στη συμμόρφωση με τους περιορισμούς και τις εγγυήσεις που αφορούν την πρόσβαση του κράτους. Μεταξύ των άλλων στοιχείων, η Επιτροπή θα λαμβάνει υπόψη κατά την παρακολούθησή της τις εξελίξεις στη νομολογία και την εποπτεία από το ICO και τους άλλους ανεξάρτητους φορείς.

(282)

Για τη διευκόλυνση αυτής της παρακολούθησης, οι αρχές του Ηνωμένου Βασιλείου θα πρέπει να ενημερώνουν αμέσως την Επιτροπή για κάθε ουσιαστική αλλαγή στην έννομη τάξη του Ηνωμένου Βασιλείου η οποία έχει αντίκτυπο στο νομικό πλαίσιο που αποτελεί το αντικείμενο της παρούσας απόφασης, καθώς και για κάθε εξέλιξη στις πρακτικές που σχετίζονται με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα οι οποίες αξιολογούνται στην παρούσα απόφαση, τόσο όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία βάσει του ΓΚΠΔ του Ηνωμένου Βασιλείου όσο και όσον αφορά τους περιορισμούς και τις εγγυήσεις που ισχύουν για την πρόσβαση δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα. Στην ενημέρωση αυτή θα πρέπει να συμπεριλαμβάνονται οι εξελίξεις όσον αφορά τα στοιχεία που αναφέρονται στην αιτιολογική σκέψη 281.

(283)

Επιπροσθέτως, για να μπορεί η Επιτροπή να εκτελέσει με αποτελεσματικότητα το καθήκον της παρακολούθησης, τα κράτη μέλη θα πρέπει να ενημερώνουν την Επιτροπή για κάθε συναφή δράση των εθνικών αρχών προστασίας δεδομένων, ιδίως σε σχέση με ερωτήσεις ή καταγγελίες από υποκείμενα δεδομένων της ΕΕ σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Ένωση σε υπευθύνους επεξεργασίας ή σε εκτελούντες την επεξεργασία στο Ηνωμένο Βασίλειο. Η Επιτροπή θα πρέπει επίσης να λαμβάνει γνώση κάθε τυχόν ένδειξης ότι οι ενέργειες των δημόσιων αρχών του Ηνωμένου Βασιλείου που είναι αρμόδιες για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων, ή για την εθνική ασφάλεια, συμπεριλαμβανομένων των εποπτικών φορέων, δεν διασφαλίζουν το απαιτούμενο επίπεδο προστασίας.

(284)

Σε περίπτωση που οι διαθέσιμες πληροφορίες, ιδίως οι πληροφορίες που προκύπτουν από την παρακολούθηση της παρούσας απόφασης ή που παρέχονται από τις αρχές του Ηνωμένου Βασιλείου ή των κρατών μελών, αποκαλύψουν ότι το επίπεδο προστασίας που παρέχει το Ηνωμένο Βασίλειο ενδέχεται να μην είναι πλέον επαρκές, η Επιτροπή θα πρέπει να ενημερώσει αμέσως σχετικά τις αρμόδιες αρχές του Ηνωμένου Βασιλείου και να ζητήσει τη λήψη κατάλληλων μέτρων εντός καθορισμένης προθεσμίας, η οποία δεν μπορεί να υπερβαίνει τους τρεις μήνες. Αν είναι αναγκαίο, το διάστημα αυτό μπορεί να παραταθεί για συγκεκριμένο χρονικό διάστημα, λαμβανομένης υπόψη της φύσης του επίμαχου ζητήματος και/ή των μέτρων που πρέπει να ληφθούν. Για παράδειγμα, τέτοια διαδικασία θα ενεργοποιηθεί σε περίπτωση που περαιτέρω διαβιβάσεις, συμπεριλαμβανομένων αυτών που τυχόν θα πραγματοποιούνται βάσει νέων κανονισμών περί επάρκειας που θα έχουν εκδοθεί από τον υπουργό ή διεθνών συμφωνιών που θα έχουν συναφθεί από το Ηνωμένο Βασίλειο, δεν θα πραγματοποιούνται πλέον βάσει εγγυήσεων που διασφαλίζουν τη συνέχεια της προστασίας κατά την έννοια του άρθρου 44 του κανονισμού (ΕΕ) 2016/679.

(285)

Εάν, κατά τη λήξη της εν λόγω καθορισμένης προθεσμίας, οι αρμόδιες αρχές του Ηνωμένου Βασιλείου δεν λάβουν τα εν λόγω μέτρα ή δεν αποδείξουν με άλλον τρόπο ικανοποιητικά ότι η παρούσα απόφαση εξακολουθεί να βασίζεται σε επαρκές επίπεδο προστασίας, η Επιτροπή θα κινήσει τη διαδικασία που αναφέρεται στο άρθρο 93 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679 με σκοπό τη μερική ή πλήρη αναστολή ή κατάργηση της παρούσας απόφασης.

(286)

Εναλλακτικά, η Επιτροπή θα κινήσει τη διαδικασία αυτή με σκοπό την τροποποίηση της παρούσας απόφασης, ιδίως διά της υποβολής των διαβιβάσεων δεδομένων σε πρόσθετους όρους ή του περιορισμού του πεδίου εφαρμογής της διαπίστωσης επάρκειας μόνο στις διαβιβάσεις δεδομένων για τις οποίες εξακολουθεί να διασφαλίζεται επαρκές επίπεδο προστασίας.

(287)

Όταν συντρέχουν δεόντως αιτιολογημένοι επιτακτικοί λόγοι επείγουσας ανάγκης, η Επιτροπή θα κάνει χρήση της δυνατότητας να εκδώσει, σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 93 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, εκτελεστικές πράξεις άμεσης εφαρμογής για την αναστολή, την κατάργηση ή την τροποποίηση της απόφασης.

(288)

Η Επιτροπή πρέπει να λάβει υπόψη ότι, με τη λήξη της μεταβατικής περιόδου που προβλέπεται από τη συμφωνία αποχώρησης και μόλις παύσει να ισχύει η μεταβατική διάταξη του άρθρου 782 της συμφωνίας εμπορίου και συνεργασίας ΕΕ–Ηνωμένου Βασιλείου, το Ηνωμένο Βασίλειο θα διαχειρίζεται, θα εφαρμόζει και θα επιβάλλει ένα νέο καθεστώς προστασίας δεδομένων αντί εκείνου που ίσχυε όταν δεσμευόταν από το δίκαιο της ΕΕ. Αυτό μπορεί να περιλαμβάνει τροποποιήσεις ή αλλαγές στο πλαίσιο προστασίας των δεδομένων το οποίο αξιολογείται στην παρούσα απόφαση, καθώς και άλλες σχετικές εξελίξεις.

(289)

Ως εκ τούτου, είναι σκόπιμο να προβλεφθεί ότι η παρούσα απόφαση θα εφαρμόζεται για περίοδο τεσσάρων ετών από την έναρξη ισχύος της.

(290)

Σε περίπτωση, ιδίως, που οι πληροφορίες που προκύπτουν από την παρακολούθηση της παρούσας απόφασης αποκαλύψουν ότι οι διαπιστώσεις σχετικά με την επάρκεια του επιπέδου προστασίας που εξασφαλίζεται στο Ηνωμένο Βασίλειο εξακολουθούν να είναι αντικειμενικά και νομικά δικαιολογημένες, η Επιτροπή θα πρέπει, το αργότερο έξι μήνες πριν από τη λήξη ισχύος της παρούσας απόφασης, να κινήσει τη διαδικασία τροποποίησης της παρούσας απόφασης επεκτείνοντας, καταρχήν, το χρονικό πεδίο εφαρμογής της για πρόσθετη περίοδο τεσσάρων ετών. Κάθε τέτοια εκτελεστική πράξη που τροποποιεί την παρούσα απόφαση πρέπει να εκδίδεται σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 93 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679.

(291)

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημοσίευσε τη γνώμη του (509), η οποία ελήφθη υπόψη κατά την εκπόνηση της παρούσας απόφασης.

(292)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που έχει συσταθεί βάσει του άρθρου 93 του κανονισμού (ΕΕ) 2016/679,

(1)

Η οδηγία (ΕΕ) 2016/680 θεσπίζει τους κανόνες που διέπουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές στην Ένωση προς τρίτες χώρες και διεθνείς οργανισμούς, εφόσον η εν λόγω διαβίβαση εμπίπτει στο πεδίο εφαρμογής της. Οι κανόνες για τις διεθνείς διαβιβάσεις δεδομένων από αρμόδιες αρχές καθορίζονται στο κεφάλαιο V της οδηγίας (ΕΕ) 2016/680, και ειδικότερα στα άρθρα 35 έως 40. Μολονότι η ροή δεδομένων προσωπικού χαρακτήρα προς και από χώρες εκτός της Ευρωπαϊκής Ένωσης είναι απαραίτητη για την αποτελεσματική συνεργασία στον τομέα της επιβολής του νόμου, θα πρέπει να διασφαλίζεται ότι το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση δεν υπονομεύεται από τις διαβιβάσεις αυτές (2).

(2)

Σύμφωνα με το άρθρο 36 παράγραφος 3 της οδηγίας (ΕΕ) 2016/680, η Επιτροπή μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας από τρίτη χώρα, έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Υπό την προϋπόθεση αυτή, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μπορούν να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω έγκριση (εκτός εάν χρειάζεται να δώσει την έγκρισή του για τη διαβίβαση άλλο κράτος μέλος από το οποίο παρελήφθησαν τα δεδομένα), όπως προβλέπεται στο άρθρο 35 παράγραφος 1 και στην αιτιολογική σκέψη 66 της οδηγίας (ΕΕ) 2016/680.

(3)

Όπως ορίζεται στο άρθρο 36 παράγραφος 2 της οδηγίας (ΕΕ) 2016/680, για την έκδοση απόφασης περί επάρκειας απαιτείται διεξοδική ανάλυση της έννομης τάξης της τρίτης χώρας. Στην εκτίμησή της, η Επιτροπή πρέπει να προσδιορίζει αν η εν λόγω τρίτη χώρα εγγυάται επίπεδο προστασίας «κατ’ ουσίαν ισοδύναμο» μ’ αυτό που προβλέπει η Ευρωπαϊκή Ένωση [αιτιολογική σκέψη 67 της οδηγίας (ΕΕ) 2016/680]. Το πρότυπο με βάση το οποίο αξιολογείται η «κατ’ ουσίαν ισοδυναμία» είναι εκείνο που καθορίζεται από τη νομοθεσία της ΕΕ, ειδικότερα από την οδηγία (ΕΕ) 2016/680, καθώς και από τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (3). Σημαντικά από την άποψη αυτή είναι επίσης τα σημεία αναφοράς για την επάρκεια του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (4).

(4)

Όπως έχει διευκρινιστεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης, αυτό δεν συνεπάγεται απαίτηση για ίδιο ακριβώς επίπεδο προστασίας (5). Ειδικότερα, τα μέσα που χρησιμοποιεί η τρίτη χώρα για την προστασία των δεδομένων προσωπικού χαρακτήρα μπορούν να διαφέρουν από αυτά που εφαρμόζονται εντός της Ευρωπαϊκής Ένωσης, εφόσον αποδεικνύονται στην πράξη αποτελεσματικά ώστε να διασφαλίζουν επαρκές επίπεδο προστασίας (6). Συνεπώς, το κριτήριο της επάρκειας δεν επιβάλλει πιστή αντιγραφή των κανόνων της Ένωσης. Το καθοριστικό στοιχείο είναι κυρίως αν, μέσω της ουσίας των δικαιωμάτων περί προστασίας της ιδιωτικής ζωής, της αποτελεσματικής εφαρμογής τους, καθώς και της δυνατότητας επιβολής και εποπτείας τους, το σύστημα της τρίτης χώρας ως σύνολο προσφέρει το απαιτούμενο επίπεδο προστασίας (7).

(5)

Η Επιτροπή έχει αναλύσει προσεκτικά τη σχετική νομοθεσία και την πρακτική του Ηνωμένου Βασιλείου. Με βάση τα πορίσματά της, όπως αναφέρονται κατωτέρω, η Επιτροπή καταλήγει στο συμπέρασμα ότι το Ηνωμένο Βασίλειο διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από αρμόδιες αρχές στην Ένωση, οι οποίες εμπίπτουν στο πεδίο εφαρμογής της οδηγίας (ΕΕ) 2016/680, σε αρμόδιες αρχές του Ηνωμένου Βασιλείου που εμπίπτουν στο πεδίο εφαρμογής του μέρους 3 του νόμου του 2018 για την προστασία των δεδομένων (Data Protection Act 2018 – DPA 2018) (8).

(6)

Η παρούσα απόφαση έχει ως αποτέλεσμα οι εν λόγω διαβιβάσεις να μπορούν να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω έγκριση για περίοδο τεσσάρων ετών, η οποία υπόκειται σε πιθανή ανανέωση, και με την επιφύλαξη των προϋποθέσεων που ορίζονται στο άρθρο 35 της οδηγίας (ΕΕ) 2016/680.

(7)

Το πολίτευμα του Ηνωμένου Βασιλείου είναι κοινοβουλευτική δημοκρατία. Διαθέτει κυρίαρχο κοινοβούλιο, το οποίο είναι ανώτερο όλων των άλλων κρατικών οργάνων, εκτελεστική εξουσία η οποία προέρχεται από το κοινοβούλιο και λογοδοτεί σ’ αυτό, και ανεξάρτητη δικαστική εξουσία. Η εκτελεστική εξουσία αντλεί την εξουσία της από την ικανότητά της να διαχειρίζεται την εμπιστοσύνη της εκλεγμένης Βουλής των Κοινοτήτων και λογοδοτεί σε αμφότερα τα σώματα του Κοινοβουλίου [Βουλή των Κοινοτήτων (House of Commons) και Βουλή των Λόρδων (House of Lords)] που είναι αρμόδια για τον έλεγχο της κυβέρνησης και για τη συζήτηση και ψήφιση των νόμων. Το κοινοβούλιο του Ηνωμένου Βασιλείου έχει εκχωρήσει αρμοδιότητες στο Κοινοβούλιο της Σκωτίας, στο Κοινοβούλιο της Ουαλίας (Senedd Cymru) και στη Συνέλευση της Βόρειας Ιρλανδίας για τη θέσπιση νομοθεσίας σχετικά με ορισμένα εσωτερικά ζητήματα της Σκωτίας, της Ουαλίας και της Βόρειας Ιρλανδίας. Παρότι η προστασία των δεδομένων αποτελεί θέμα που εμπίπτει στην αποκλειστική αρμοδιότητα του Κοινοβουλίου του Ηνωμένου Βασιλείου, δηλαδή η ίδια νομοθεσία ισχύει σε ολόκληρη τη χώρα, άλλοι τομείς πολιτικής που σχετίζονται με την παρούσα απόφαση έχουν αποκεντρωθεί. Για παράδειγμα, τα συστήματα ποινικής δικαιοσύνης, συμπεριλαμβανομένης της αστυνόμευσης (δηλαδή των δραστηριοτήτων που ασκούνται από τις αστυνομικές δυνάμεις) της Σκωτίας και της Βόρειας Ιρλανδίας έχουν αποκεντρωθεί στο Κοινοβούλιο της Σκωτίας και στη Συνέλευση της Βόρειας Ιρλανδίας, αντίστοιχα (9).

(8)

Παρότι το Ηνωμένο Βασίλειο δεν διαθέτει κωδικοποιημένο σύνταγμα υπό την έννοια ενός παγιωμένου συνταγματικού εγγράφου, οι συνταγματικές του αρχές έχουν προκύψει με την πάροδο του χρόνου από τη νομολογία και από συμβάσεις. Έχει αναγνωριστεί η συνταγματική αξία ορισμένων νόμων, όπως η Magna Carta, η Διακήρυξη των Δικαιωμάτων του 1689 (Bill of Rights 1689) και ο νόμος του 1998 για τα ανθρώπινα δικαιώματα (Human Rights Act 1998). Τα θεμελιώδη δικαιώματα των προσώπων έχουν αναπτυχθεί, ως μέρος του συντάγματος, μέσω του κοινοδικαίου, των νόμων και διεθνών συνθηκών, ειδικότερα μέσω της Ευρωπαϊκής σύμβασης Δικαιωμάτων του Ανθρώπου (ΕΣΔΑ), την οποία το Ηνωμένο Βασίλειο κύρωσε το 1951. Το Ηνωμένο Βασίλειο κύρωσε επίσης τη σύμβαση του Συμβουλίου της Ευρώπης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα (σύμβαση 108) το 1987 (10).

(9)

Ο νόμος του 1998 για τα ανθρώπινα δικαιώματα ενσωματώνει, στο δίκαιο του Ηνωμένου Βασιλείου, τα δικαιώματα που περιέχονται στην ΕΣΔΑ. Ο εν λόγω νόμος παρέχει σε κάθε πρόσωπο τα θεμελιώδη δικαιώματα και τις ελευθερίες που κατοχυρώνονται στα άρθρα 2 έως 12 και στο άρθρο 14 της ΕΣΔΑ και στα άρθρα 1 έως 3 του πρώτου πρωτοκόλλου της, καθώς και στο άρθρο 1 του δέκατου τρίτου πρωτοκόλλου της, σε συνδυασμό με τα άρθρα 16 έως 18 της ΕΣΔΑ. Μεταξύ αυτών περιλαμβάνεται το δικαίωμα στον σεβασμό της ιδιωτικής και οικογενειακής ζωής, το οποίο με τη σειρά του περιλαμβάνει το δικαίωμα στην προστασία των δεδομένων και το δικαίωμα στη χρηστή απονομή δικαιοσύνης (11). Συγκεκριμένα, σύμφωνα με το άρθρο 8 της ΕΣΔΑ, δεν επιτρέπεται να υπάρξει επέμβαση δημόσιας αρχής κατά την άσκηση του δικαιώματος στην ιδιωτική ζωή, εκτός εάν η επέμβαση αυτή προβλέπεται από τον νόμο και αποτελεί μέτρο το οποίο, σε μια δημοκρατική κοινωνία, είναι αναγκαίο για την εθνική ασφάλεια, τη δημόσια ασφάλεια, την οικονομική ευημερία της χώρας, την προάσπιση της τάξης και την πρόληψη ποινικών παραβάσεων, την προστασία της υγείας ή της ηθικής, ή την προστασία των δικαιωμάτων και ελευθεριών άλλων.

(10)

Σύμφωνα με τον νόμο του 1998 για τα ανθρώπινα δικαιώματα, οποιαδήποτε ενέργεια των δημόσιων αρχών πρέπει να είναι συμβατή με δικαίωμα που κατοχυρώνεται από την ΕΣΔΑ (12). Επιπλέον, η πρωτογενής και η παράγωγη νομοθεσία πρέπει να ερμηνεύονται και να εφαρμόζονται με τρόπο που συνάδει με τα δικαιώματα αυτά (13). Εφόσον ένα πρόσωπο θεωρεί ότι τα δικαιώματά του, συμπεριλαμβανομένων των δικαιωμάτων στην προστασία της ιδιωτικής ζωής και των δεδομένων, έχουν παραβιαστεί από δημόσιες αρχές, μπορεί να ζητήσει έννομη προστασία προσφεύγοντας ενώπιον των δικαστηρίων του Ηνωμένου Βασιλείου βάσει του νόμου του 1998 για τα ανθρώπινα δικαιώματα και εντέλει, αφού εξαντλήσει τα εθνικά ένδικα βοηθήματα και μέσα, να ζητήσει έννομη προστασία ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου για παραβιάσεις των δικαιωμάτων που κατοχυρώνονται στην ΕΣΔΑ.

(11)

Το Ηνωμένο Βασίλειο αποχώρησε από την Ευρωπαϊκή Ένωση στις 31 Ιανουαρίου 2020. Βάσει της συμφωνίας για την αποχώρηση του Ηνωμένου Βασιλείου της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας από την Ευρωπαϊκή Ένωση και την Ευρωπαϊκή Κοινότητα Ατομικής Ενέργειας (14), το ενωσιακό δίκαιο συνέχισε να εφαρμόζεται στο Ηνωμένο Βασίλειο κατά τη μεταβατική περίοδο έως τις 31 Ιανουαρίου 2020. Πριν από την αποχώρηση και κατά τη διάρκεια της μεταβατικής περιόδου, το νομοθετικό πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα στο Ηνωμένο Βασίλειο που διέπει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, απαρτιζόταν από τα σχετικά μέρη του νόμου του 2018 για την προστασία των δεδομένων, με τον οποίο μεταφέρθηκε στο εθνικό δίκαιο η οδηγία (ΕΕ) 2016/680.

(12)

Για να προετοιμαστεί για την αποχώρηση από την ΕΕ, η κυβέρνηση του Ηνωμένου Βασιλείου θέσπισε τον νόμο του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση [European Union (Withdrawal) Act – EUWA] (15), στον οποίο ενσωματώνεται η άμεσα εφαρμοστέα νομοθεσία της Ένωσης στο δίκαιο του Ηνωμένου Βασιλείου και προβλέπεται ότι η λεγόμενη «εσωτερική νομοθεσία που προέρχεται από την ΕΕ» εξακολουθεί να παράγει αποτελέσματα μετά τη λήξη της μεταβατικής περιόδου. Το μέρος 3 του DPA 2018 (16) για τη μεταφορά της οδηγίας (ΕΕ) 2016/680 στο εθνικό δίκαιο αποτελεί «εσωτερική νομοθεσία που προέρχεται από την ΕΕ» στο πλαίσιο του νόμου του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση. Σύμφωνα με τον νόμο του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση, η μη τροποποιημένη «εσωτερική νομοθεσία που προέρχεται από την ΕΕ» πρέπει να ερμηνεύεται από τα δικαστήρια του Ηνωμένου Βασιλείου σύμφωνα με τη σχετική νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (στο εξής: Δικαστήριο) και τις γενικές αρχές του δικαίου της Ένωσης όπως ίσχυαν αμέσως πριν από τη λήξη της μεταβατικής περιόδου (στο εξής: «διατηρούμενη νομολογία της ΕΕ» και «διατηρούμενες γενικές αρχές του δικαίου της ΕΕ», αντίστοιχα) (17).

(13)

Βάσει του νόμου του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση, οι υπουργοί του Ηνωμένου Βασιλείου έχουν την εξουσία να θεσπίζουν παράγωγο δίκαιο, μέσω νομοθετικών πράξεων, ώστε να επιφέρουν τις αναγκαίες τροποποιήσεις στη διατηρούμενη νομοθεσία της ΕΕ ως συνέπεια της αποχώρησης του Ηνωμένου Βασιλείου από την Ένωση. Η εξουσία αυτή ασκήθηκε μέσω των κανονισμών του 2019 για την προστασία των δεδομένων, την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες (τροποποιήσεις κ.λπ.) (αποχώρηση από την ΕΕ) (κανονισμοί DPPEC) (18). Οι κανονισμοί αυτοί τροποποιούν τη νομοθεσία του Ηνωμένου Βασιλείου για την προστασία των δεδομένων, συμπεριλαμβανομένου του DPA 2018, ώστε να ανταποκρίνεται στο εθνικό πλαίσιο (19).

(14)

Κατά συνέπεια, τα νομικά πρότυπα για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους στο Ηνωμένο Βασίλειο μετά τη μεταβατική περίοδο βάσει της συμφωνίας αποχώρησης θα εξακολουθήσουν να καθορίζονται στα σχετικά μέρη του DPA 2018, όπως όμως τροποποιήθηκαν με τους κανονισμούς DPPEC, ειδικότερα στο μέρος 3 του εν λόγω νόμου. Ο γενικός κανονισμός του Ηνωμένου Βασιλείου για την προστασία των δεδομένων (στο εξής: ΓΚΠΔ του Ηνωμένου Βασιλείου) δεν εφαρμόζεται σ’ αυτό το είδος επεξεργασίας.

(15)

Στο μέρος 3 του DPA 2018 προβλέπονται οι κανόνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του ποινικού δικαίου, συμπεριλαμβανομένων των αρχών προστασίας των δεδομένων, των νόμιμων λόγων επεξεργασίας (νομιμότητα), των δικαιωμάτων των υποκειμένων των δεδομένων, των υποχρεώσεων των αρμόδιων αρχών ως υπευθύνων επεξεργασίας και των περιορισμών στις περαιτέρω διαβιβάσεις. Ταυτόχρονα, οι εφαρμοστέοι κανόνες σχετικά με την εποπτεία, την επιβολή και την έννομη προστασία που εφαρμόζονται στον τομέα της επιβολής του νόμου προβλέπονται στα μέρη 5 και 6 του DPA 2018.

(16)

Επιπλέον, δεδομένου του σχετικού ρόλου που διαδραματίζουν οι αστυνομικές δυνάμεις στον τομέα της επιβολής του νόμου, θα πρέπει να ληφθούν υπόψη οι κανόνες που διέπουν την αστυνόμευση. Καθώς η αστυνόμευση αποτελεί αποκεντρωμένο ζήτημα, υπάρχουν διάφορες νομοθετικές πράξεις, οι οποίες ωστόσο είναι συχνά παρόμοιες ως προς το περιεχόμενό τους, που εφαρμόζονται στον τομέα της αστυνόμευσης α) στην Αγγλία και την Ουαλία, β) στη Σκωτία και γ) στη Βόρεια Ιρλανδία (20). Επιπλέον, υπάρχουν διάφορα είδη εγγράφων καθοδήγησης που παρέχουν πρόσθετες διευκρινίσεις σχετικά με τον τρόπο με τον οποίο θα πρέπει να ασκούνται οι εξουσίες της αστυνομίας. Υπάρχουν τρεις βασικές μορφές καθοδήγησης της αστυνομίας: 1) θεσμοθετημένη καθοδήγηση που εκδίδεται βάσει νομοθεσίας, όπως ο κώδικας δεοντολογίας (21) και ο κώδικας ορθής πρακτικής για τη διαχείριση πληροφοριών της αστυνομίας (κώδικας ορθής πρακτικής MoPI) (22) ο οποίος έχει εκδοθεί βάσει του νόμου του 1996 για την αστυνομία (Police Act 1996) (23) ή οι κώδικες PACE (24) που έχουν εκδοθεί στο πλαίσιο του νόμου για την αστυνομία και τα αποδεικτικά στοιχεία σε ποινικές διαδικασίες (Police and Criminal Evidence Act) (25), 2) εγκεκριμένη επαγγελματική πρακτική για τη διαχείριση πληροφοριών της αστυνομίας (APP Guidance on the Management of Police Information) (26), η οποία έχει εκδοθεί από το Σώμα των Εργαζομένων στην Αστυνόμευση (College of Policing) και 3) επιχειρησιακές οδηγίες (οι οποίες δημοσιεύονται από την ίδια την αστυνομία). Το Εθνικό Συμβούλιο Αρχηγών της Αστυνομίας (National Police Chiefs Council) (συντονιστικό όργανο για το σύνολο των αστυνομικών δυνάμεων του Ηνωμένου Βασιλείου) δημοσιεύει επιχειρησιακές οδηγίες τις οποίες έχουν υιοθετήσει όλες οι αστυνομικές δυνάμεις και οι οποίες εφαρμόζονται, ως εκ τούτου, σε εθνικό επίπεδο (27). Σκοπός αυτής της καθοδήγησης είναι να διασφαλίσει τη συνέπεια μεταξύ των δυνάμεων όσον αφορά τον τρόπο διαχείρισης των πληροφοριών (28).

(17)

Ο κώδικας ορθής πρακτικής ΜοΡΙ εκδόθηκε από τον ανώτερο υπουργό το 2005, με χρήση των εξουσιών που προβλέπονται στο άρθρο 39Α του νόμου του 1996 για την αστυνομία (29). Κάθε κώδικας ορθής πρακτικής που εκδίδεται δυνάμει του νόμου για την αστυνομία πρέπει να έχει την έγκριση του ανώτερου υπουργού και υπόκειται σε διαβούλευση με την Εθνική Υπηρεσία Δίωξης του Εγκλήματος (National Crime Agency, NCA) πριν υποβληθεί στο Κοινοβούλιο. Βάσει του άρθρου 39Α παράγραφος 7 του νόμου για την αστυνομία, η αστυνομία είναι υποχρεωμένη να λαμβάνει δεόντως υπόψη τους κώδικες που εκδίδονται δυνάμει του συγκεκριμένου νόμου, και ως εκ τούτου, αναμένεται να συμμορφώνεται μ’ αυτόν (30). Επιπλέον, η μη θεσμοθετημένη καθοδήγηση [όπως το έγγραφο καθοδήγησης εγκεκριμένης επαγγελματικής πρακτικής (APP) για τη διαχείριση πληροφοριών της αστυνομίας] πρέπει να συνάδει πάντοτε με τον κώδικα ορθής πρακτικής ΜοΡΙ ο οποίος υπερισχύει (31).. Σε κάθε περίπτωση, παρότι ενδέχεται να υπάρχουν ορισμένες επιχειρησιακές καταστάσεις στις οποίες χρειάζεται οι αστυνομικοί να παρεκκλίνουν από αυτή την καθοδήγηση, υποχρεούνται παρ’ όλα αυτά να συμμορφώνονται με τις απαιτήσεις του μέρους 3 του DPA 2018 (32).

(18)

Περαιτέρω καθοδήγηση σχετικά με τη νομοθεσία για την προστασία των δεδομένων στο Ηνωμένο Βασίλειο όσον αφορά την επεξεργασία στον τομέα της επιβολής του νόμου παρέχεται από τον Επίτροπο Πληροφοριών [στο εξής: «Επίτροπος Πληροφοριών» (Information Commissioner) ή «Γραφείο Επιτρόπου Πληροφοριών» (Information Commissioner’s Office, ICO)] (33) (για περισσότερες λεπτομέρειες σχετικά με το ICO, βλέπε αιτιολογικές σκέψεις (93) έως (109)). Παρότι ο σχετικός οδηγός δεν είναι νομικά δεσμευτικός, σε μια δικαστική υπόθεση, τα δικαστήρια θα πρέπει να λαμβάνουν υπόψη τυχόν παράβασή του, καθώς έχει ερμηνευτική βαρύτητα και καταδεικνύει τον τρόπο με τον οποίο ερμηνεύεται και εφαρμόζεται η νομοθεσία από τον Επίτροπο στην πράξη (34).

(19)

Τέλος, όπως αναφέρεται στις αιτιολογικές σκέψεις (8) έως (10), οι υπηρεσίες επιβολής του νόμου του Ηνωμένου Βασιλείου πρέπει να διασφαλίζουν τη συμμόρφωση με την ΕΣΔΑ και τη σύμβαση 108.

(20)

Ως εκ τούτου, όσον αφορά τη δομή και τις κύριες συνιστώσες του, το νομικό πλαίσιο που διέπει την επεξεργασία δεδομένων από τις αρχές επιβολής του ποινικού δικαίου στο Ηνωμένο Βασίλειο, είναι σε μεγάλο βαθμό παρόμοιο με εκείνο που ισχύει στην ΕΕ. Στις ομοιότητες περιλαμβάνεται το γεγονός ότι το εν λόγω πλαίσιο δεν βασίζεται μόνο σε υποχρεώσεις που προβλέπονται στο εθνικό δίκαιο, το οποίο έχει διαμορφωθεί από το δίκαιο της ΕΕ, αλλά και σε υποχρεώσεις που κατοχυρώνονται στο διεθνές δίκαιο, ιδίως μέσω της προσχώρησης του Ηνωμένου Βασιλείου στην ΕΣΔΑ και στη σύμβαση 108, καθώς και μέσω της υπαγωγής του στη δικαιοδοσία του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου. Οι υποχρεώσεις αυτές που απορρέουν από νομικά δεσμευτικές διεθνείς πράξεις, κυρίως όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα, αποτελούν, ως εκ τούτου, ιδιαίτερα σημαντικό στοιχείο του νομικού πλαισίου που αξιολογείται στην παρούσα απόφαση.

(21)

Το καθ’ ύλην πεδίο εφαρμογής του μέρους 3 του DPA 2018 συμπίπτει με το πεδίο εφαρμογής της οδηγίας 2016/680, όπως προσδιορίζεται στο άρθρο 2 παράγραφος 2 αυτής. Το μέρος 3 εφαρμόζεται στην αυτοματοποιημένη, εν όλω ή εν μέρει, επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδια αρχή, καθώς και στη μη αυτοματοποιημένη επεξεργασία, από αρμόδια αρχή, δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο.

(22)

Επιπλέον, προκειμένου να εμπίπτει στο πεδίο εφαρμογής του εν λόγω μέρους 3, ο υπεύθυνος επεξεργασίας πρέπει να είναι «αρμόδια αρχή» και η επεξεργασία πρέπει να διενεργείται για «σκοπό επιβολής του νόμου». Ως εκ τούτου, το καθεστώς προστασίας δεδομένων που αξιολογείται στην παρούσα απόφαση εφαρμόζεται σε όλες τις δραστηριότητες επιβολής του νόμου των εν λόγω αρμόδιων αρχών.

(23)

Η έννοια της «αρμόδιας αρχής» ορίζεται στο άρθρο 30 του DPA ως πρόσωπο που περιλαμβάνεται στο παράρτημα 7 του DPA 2018, καθώς και ως οποιοδήποτε άλλο πρόσωπο στον βαθμό που το εν λόγω πρόσωπο έχει εκ του νόμου καθήκοντα για οποιονδήποτε από τους σκοπούς επιβολής του νόμου. Οι αρμόδιες αρχές που παρατίθενται στο παράρτημα 7 δεν περιλαμβάνουν μόνο αστυνομικές δυνάμεις, αλλά και όλες τις υπουργικές κρατικές υπηρεσίες, καθώς και άλλες αρχές με ερευνητικά καθήκοντα [π.χ. ο Επίτροπος της Φορολογικής και Τελωνειακής Αρχής του Ηνωμένου Βασιλείου (Commissioner for Her Majesty’s Revenue and Customs), η Αρχή Εσόδων της Ουαλίας (Welsh Revenue Authority), η Αρχή Ανταγωνισμού και Αγορών (Competition and Markets Authority) ή το Κτηματολόγιο του Ηνωμένου Βασιλείου (Her Majesty’s Land Register) ή η Εθνική Υπηρεσία Δίωξης του Εγκλήματος], εισαγγελικές υπηρεσίες, άλλες υπηρεσίες ποινικής δικαιοσύνης και άλλοι κάτοχοι αξιωμάτων ή φορείς που ασκούν δραστηριότητες επιβολής του νόμου (35). Το μέρος 3 του DPA 2018 εφαρμόζεται επίσης στα δικαστήρια και στα δικαιοδοτικά όργανα όταν ασκούν τα δικαστικά τους καθήκοντα, με εξαίρεση το μέρος που αφορά τα δικαιώματα του υποκειμένου των δεδομένων και την εποπτεία του ICO (36). Ο κατάλογος των αρμόδιων αρχών που παρατίθεται στο παράρτημα 7 δεν είναι οριστικός και μπορεί να επικαιροποιείται από τον ανώτερο υπουργό με κανονισμούς λαμβανομένων υπόψη των αλλαγών στην οργάνωση των δημόσιων αξιωμάτων (37).

(24)

Η εν λόγω επεξεργασία πρέπει επίσης να έχει «σκοπό επιβολής του νόμου», ο οποίος ορίζεται ως η πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων ή η εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους (38). Η επεξεργασία από αρμόδια αρχή δεν διέπεται από το μέρος 3 του DPA 2018, όταν δεν πραγματοποιείται για σκοπούς επιβολής του νόμου. Αυτό ισχύει, για παράδειγμα, στην περίπτωση που η Αρχή Ανταγωνισμού και Αγορών ερευνά υποθέσεις που δεν έχουν ποινικοποιηθεί (π.χ. συγχωνεύσεις μεταξύ εταιρειών). Στην περίπτωση αυτή, εφαρμόζεται ο ΓΚΠΔ του Ηνωμένου Βασιλείου, μαζί με το μέρος 2 του DPA 2018, καθώς η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές πραγματοποιείται για άλλους σκοπούς, και όχι για σκοπούς επιβολής του νόμου. Προκειμένου να καθοριστεί ποιο καθεστώς προστασίας δεδομένων εφαρμόζεται (μέρος 3 ή μέρος 2 του DPA 2018) στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, η αρμόδια αρχή, δηλαδή ο υπεύθυνος επεξεργασίας, πρέπει να εξετάσει αν ο «πρωταρχικός σκοπός» της εν λόγω επεξεργασίας είναι ένας από τους σκοπούς επιβολής του νόμου που προβλέπονται στον DPA 2018.

(25)

Όσον αφορά το εδαφικό πεδίο εφαρμογής του μέρους 3 του DPA 2018, το άρθρο 207 παράγραφος 2 προβλέπει ότι ο DPA εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων προσώπου που διαθέτει εγκατάσταση σε ολόκληρο το έδαφος του Ηνωμένου Βασιλείου. Μεταξύ αυτών περιλαμβάνονται οι δημόσιες αρχές των εδαφών της Αγγλίας, της Ουαλίας, της Σκωτίας και της Βόρειας Ιρλανδίας οι οποίες εμπίπτουν στο καθ’ ύλην πεδίο εφαρμογής του μέρους 3 του DPA 2018 (39).

(26)

Οι βασικές έννοιες των δεδομένων προσωπικού χαρακτήρα και της επεξεργασίας ορίζονται στο άρθρο 3 του DPA 2018 και εφαρμόζονται σε ολόκληρη την έκταση του εν λόγω νόμου. Οι ορισμοί ακολουθούν πιστά τους αντίστοιχους ορισμούς που παρατίθενται στο άρθρο 3 της οδηγίας 2016/680. Βάσει του DPA 2018, ως δεδομένα προσωπικού χαρακτήρα νοείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή πρόσωπο (40). Σύμφωνα με το άρθρο 3 παράγραφος 3 του DPA 2018, ένα πρόσωπο είναι ταυτοποιήσιμο εάν η ταυτότητά του μπορεί να εξακριβωθεί άμεσα ή έμμεσα από τις πληροφορίες, μεταξύ άλλων μέσω αναφοράς σε όνομα ή αναγνωριστικό στοιχείο ταυτότητας ή μέσω αναφοράς σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του προσώπου. Η έννοια της «επεξεργασίας» ορίζεται ως πράξη ή σειρά πράξεων που πραγματοποιείται σε πληροφορίες ή σε σύνολα πληροφοριών, όπως α) η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση ή η αποθήκευση· β) η προσαρμογή ή η μεταβολή· γ) η ανάκτηση, η αναζήτηση πληροφοριών ή η χρήση· δ) η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης· ε) η συσχέτιση ή ο συνδυασμός· ή στ) ο περιορισμός, η διαγραφή ή η καταστροφή. Επιπλέον, στον νόμο ορίζεται η «επεξεργασία ευαίσθητων δεδομένων» ως «α) η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση· β) η επεξεργασία γενετικών δεδομένων ή βιομετρικών δεδομένων, με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου· γ) η επεξεργασία δεδομένων που αφορούν την υγεία· δ) η επεξεργασία δεδομένων που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό ενός προσώπου» (41). Στο πλαίσιο αυτό, στο άρθρο 205 του DPA 2018 παρατίθεται ο ορισμός των «βιομετρικών δεδομένων» (42), των «δεδομένων που αφορούν την υγεία» (43) και των «γενετικών δεδομένων» (44).

(27)

Το άρθρο 32 του DPA 2018 αποσαφηνίζει τους ορισμένους του «υπεύθυνου επεξεργασίας» και του «εκτελούντος την επεξεργασία» στο πλαίσιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του νόμου, ακολουθώντας πιστά τους αντίστοιχους ορισμούς της οδηγίας 2016/680. Ο υπεύθυνος επεξεργασίας είναι η αρμόδια αρχή που καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν η επεξεργασία απαιτείται από τον νόμο, ο υπεύθυνος επεξεργασίας είναι η αρμόδια αρχή στην οποία επιβάλλεται η υποχρέωση αυτή από τον εν λόγω νόμο. Ο εκτελών την επεξεργασία ορίζεται ως κάθε πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας (εκτός από πρόσωπο που είναι υπάλληλος του υπευθύνου επεξεργασίας).

(28)

Σύμφωνα με το άρθρο 35 του DPA 2018, η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι σύννομη και δίκαιη, κατά τρόπο παρόμοιο με το άρθρο 4 παράγραφος 1 στοιχείο α) της οδηγίας (ΕΕ) 2016/680. Σύμφωνα με το άρθρο 35 παράγραφος 2 του DPA 2018, η επεξεργασία δεδομένων προσωπικού χαρακτήρα για οποιονδήποτε από τους σκοπούς επιβολής του νόμου είναι σύννομη μόνον εφόσον βασίζεται στο δίκαιο και είτε το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία για τον σκοπό αυτόν, είτε η επεξεργασία είναι αναγκαία για την εκτέλεση καθήκοντος που ασκείται για τον σκοπό αυτόν από αρμόδια αρχή.

(29)

Όπως ορίζεται και στο άρθρο 8 της οδηγίας (ΕΕ) 2016/680, προκειμένου να διασφαλίζεται η νομιμότητα της επεξεργασίας που εμπίπτει στο μέρος 3 του DPA 2018, η εν λόγω επεξεργασία πρέπει να «βασίζεται στο δίκαιο». «Σύννομη» είναι η επεξεργασία που επιτρέπεται είτε εκ του νόμου είτε βάσει του κοινοδικαίου είτε βάσει βασιλικών προνομίων (45).

(30)

Οι εξουσίες των αρμόδιων αρχών διέπονται κατά κανόνα από νόμους, που σημαίνει ότι τα καθήκοντα και οι εξουσίες τους καθορίζονται σαφώς σε νομοθετικές πράξεις που εγκρίνονται από το Κοινοβούλιο (46). Σε ορισμένες περιπτώσεις, η αστυνομία, καθώς και άλλες αρμόδιες αρχές που παρατίθενται στο παράρτημα 7 του DPA 2018 μπορούν να βασίζονται στο κοινοδίκαιο για την επεξεργασία δεδομένων (47). Το κοινοδίκαιο έχει οικοδομηθεί μέσω των προηγουμένων που θέτουν οι αποφάσεις των δικαστηρίων. Το κοινοδίκαιο έχει σημασία στο πλαίσιο των εξουσιών που διαθέτει η αστυνομία η οποία αντλεί από τη συγκεκριμένη πηγή δικαίου το βασικό της καθήκον να προστατεύει το κοινό μέσω της ανίχνευσης και της πρόληψης των εγκλημάτων (48). Ωστόσο, οι αστυνομικές δυνάμεις διαθέτουν εξουσίες που απορρέουν τόσο από το κοινοδίκαιο όσο και από νομοθετικές πράξεις (49) για την εκτέλεση αυτού του καθήκοντος. Όταν η αστυνομία διαθέτει εξουσία εκ του νόμου, αυτή υπερισχύει έναντι κάθε εξουσίας που απορρέει από το κοινοδίκαιο (50).

(31)

Έχει αναγνωριστεί από τα δικαστήρια ότι το εύρος των εξουσιών και υποχρεώσεων του αστυνομικού, όπως απορρέουν από το κοινοδίκαιο, περιλαμβάνει «όλα τα μέτρα που θεωρεί αναγκαία για τη διατήρηση της ειρήνης, την πρόληψη του εγκλήματος ή την προστασία της περιουσίας από ζημία λόγω εγκληματικής πράξης» (51). Οι εξουσίες που απορρέουν από το κοινοδίκαιο δεν είναι ανεπιφύλακτες. Υπόκεινται σε σειρά περιορισμών, συμπεριλαμβανομένων των ορίων που έχουν καθοριστεί από τα δικαστήρια (52) και από τη νομοθεσία, και ειδικότερα από τον νόμο του 1998 για τα ανθρώπινα δικαιώματα και τον νόμο του 2010 για την ισότητα (Equality Act 2010) (53). Επιπλέον, για τις αρμόδιες αρχές που επεξεργάζονται δεδομένα βάσει του μέρους 3 του DPA 2018, στο πλαίσιο αυτό περιλαμβάνεται και η άσκηση των εξουσιών που απορρέουν από το κοινοδίκαιο σύμφωνα με τις απαιτήσεις που ορίζονται στον DPA 2018 (54). Επίσης, κάθε απόφαση για την εκτέλεση κάθε είδους επεξεργασίας δεδομένων πρέπει να λαμβάνει υπόψη τις απαιτήσεις των εφαρμοστέων οδηγιών, όπως ο κώδικας ορθής πρακτικής ΜοΡΙ, καθώς και τις ειδικές οδηγίες για μία από τις χώρες του Ηνωμένου Βασιλείου (55). Η κυβέρνηση και η επιχειρησιακή αστυνομία εκδίδουν σειρά εγγράφων καθοδήγησης για να διασφαλίσουν ότι οι αστυνομικοί ασκούν τις αρμοδιότητές τους εντός των ορίων που θέτει το κοινοδίκαιο ή ο σχετικός νόμος (56).

(32)

Τα βασιλικά προνόμια αποτελούν μια άλλη συνιστώσα του «δικαίου» και αναφέρονται σε ορισμένες εξουσίες που έχουν ανατεθεί στο Στέμμα και μπορούν να ασκούνται από την εκτελεστική εξουσία και τα οποία δεν βασίζονται στον νόμο, αλλά απορρέουν από την κυριαρχία του μονάρχη (57). Υπάρχουν ελάχιστα παραδείγματα εξουσιών που απορρέουν από τα βασιλικά προνόμια και είναι συναφή στο πλαίσιο της επιβολής του νόμου. Περιλαμβάνουν, για παράδειγμα, το πλαίσιο αμοιβαίας δικαστικής συνδρομής που επιτρέπει την κοινοποίηση δεδομένων από ανώτερο υπουργό σε τρίτες χώρες για σκοπούς επιβολής του νόμου και η εξουσία κοινοποίησης δεδομένων μ’ αυτόν τον τρόπο δεν ορίζεται πάντα με νόμο (58). Τα βασιλικά προνόμια δεσμεύονται από τις αρχές του κοινοδικαίου (59) και υπάγονται στον νόμο, ως εκ τούτου υπόκεινται στα όρια που προβλέπονται από τον νόμο του 1998 για τα ανθρώπινα δικαιώματα και από τον DPA 2018 (60).

(33)

Όπως και στο άρθρο 8 της οδηγίας (ΕΕ) 2016/680, το καθεστώς του Ηνωμένου Βασιλείου απαιτεί από τις αρμόδιες αρχές, προκειμένου να συμμορφώνονται με την αρχή της νομιμότητας, να διασφαλίζουν ότι όταν η επεξεργασία βασίζεται στον νόμο, πρέπει να είναι επίσης «απαραίτητο» να εκτελούν το καθήκον που ασκείται για σκοπούς επιβολής του νόμου. Το ICO παρέχει καθοδήγηση σχετικά με το θέμα αυτό διευκρινίζοντας ότι «πρέπει να είναι ένας στοχευμένος και αναλογικός τρόπος για την επίτευξη του σκοπού. Η νόμιμη βάση δεν ισχύει εάν μπορείτε να επιτύχετε εύλογα τον σκοπό με άλλα λιγότερο παρεμβατικά μέσα. Δεν αρκεί το επιχείρημα ότι η επεξεργασία είναι αναγκαία επειδή έχετε επιλέξει να ασκήσετε τα καθήκοντά σας με συγκεκριμένο τρόπο. Το ερώτημα είναι αν η επεξεργασία είναι αναγκαία για τον δηλωθέντα σκοπό» (61).

(34)

Όπως αναφέρεται στην αιτιολογική σκέψη (28), το άρθρο 35 παράγραφος 2 του DPA 2018 προβλέπει τη δυνατότητα επεξεργασίας δεδομένων προσωπικού χαρακτήρα βάσει της «συγκατάθεσης» του προσώπου.

(35)

Ωστόσο, η συγκατάθεση δεν φαίνεται να αποτελεί συναφή νομική βάση για τις πράξεις επεξεργασίας που εμπίπτουν στο πεδίο της παρούσας απόφασης. Μάλιστα, οι πράξεις επεξεργασίας που καλύπτονται από την παρούσα απόφαση θα αφορούν πάντα δεδομένα που έχουν διαβιβαστεί βάσει της οδηγίας (ΕΕ) 2016/680 από αρμόδια αρχή κράτους μέλους σε αρμόδια αρχή του Ηνωμένου Βασιλείου. Ως εκ τούτου, κατά κανόνα δεν περιλαμβάνουν το είδος άμεσης αλληλεπίδρασης (συλλογή) μεταξύ δημόσιας αρχής και των υποκειμένων των δεδομένων που μπορεί να βασίζεται στη συγκατάθεση σύμφωνα με το άρθρο 35 παράγραφος 2 στοιχείο a) του DPA 2018.

(36)

Παρότι η βάση της συγκατάθεσης δεν θεωρείται, συνεπώς, συναφής για την αξιολόγηση που διενεργείται στο πλαίσιο της παρούσας απόφασης, αξίζει να σημειωθεί, χάριν πληρότητας, ότι στο πλαίσιο της επιβολής του νόμου η επεξεργασία δεν βασίζεται ποτέ αποκλειστικά στη συγκατάθεση, καθώς η αρμόδια αρχή πρέπει πάντοτε να βασίζεται σε υποκείμενη εξουσία η οποία της επιτρέπει να επεξεργάζεται τα δεδομένα (62). Πιο συγκεκριμένα, όπως προβλέπεται επίσης στην οδηγία (ΕΕ) 2016/680 (63), αυτό σημαίνει ότι η συγκατάθεση χρησιμεύει ως πρόσθετη προϋπόθεση για να καταστούν δυνατές ορισμένες περιορισμένες και συγκεκριμένες πράξεις επεξεργασίας οι οποίες σε διαφορετική περίπτωση δεν θα μπορούσαν να πραγματοποιηθούν, για παράδειγμα η συλλογή και επεξεργασία δείγματος DNA προσώπου που δεν είναι ύποπτο. Στην περίπτωση αυτή, η επεξεργασία δεν πραγματοποιείται εάν δεν παρασχεθεί συγκατάθεση ή εάν αυτή ανακληθεί (64).

(37)

Σε περιπτώσεις όπου απαιτείται η συγκατάθεση του προσώπου, η εν λόγω συγκατάθεση πρέπει να είναι αδιαμφισβήτητη και να περιλαμβάνει σαφή θετική ενέργεια (65). Οι αστυνομικές δυνάμεις υποχρεούνται να διαθέτουν δήλωση περί προστασίας της ιδιωτικότητας, η οποία περιλαμβάνει, μεταξύ άλλων, τις απαραίτητες πληροφορίες σχετικά με την έγκυρη χρήση της συγκατάθεσης. Επιπλέον, κάποιες από αυτές δημοσιεύουν πρόσθετο υλικό σχετικά με τον τρόπο με τον οποίο συμμορφώνονται με τη νομοθεσία για την προστασία των δεδομένων, συμπεριλαμβανομένου του τρόπου και του χρόνου χρήσης της συγκατάθεσης ως νομικής βάσης (66).

(38)

Θα πρέπει να προβλέπονται ειδικές εγγυήσεις για την επεξεργασία «ειδικών κατηγοριών δεδομένων». Στο πλαίσιο αυτό, όπως προβλέπεται και στο άρθρο 10 της οδηγίας (ΕΕ) 2016/680, το μέρος 3 του DPA 2018 προβλέπει ισχυρότερες εγγυήσεις για τη λεγόμενη «επεξεργασία ευαίσθητων δεδομένων» (67).

(39)

Σύμφωνα με το άρθρο 35 παράγραφος 3 του DPA 1998, τα ευαίσθητα δεδομένα μπορούν να υποβάλλονται σε επεξεργασία από αρμόδιες αρχές για σκοπούς επιβολής του νόμου μόνο σε δύο περιπτώσεις: 1) το υποκείμενο των δεδομένων έχει παράσχει τη συγκατάθεσή του για την επεξεργασία για σκοπούς επιβολής του νόμου και τη στιγμή κατά την οποία πραγματοποιείται η επεξεργασία, ο υπεύθυνος επεξεργασίας διαθέτει έγγραφο κατάλληλης πολιτικής (appropriate policy document, APD) (68)· ή 2) η επεξεργασία είναι απολύτως απαραίτητη για τον σκοπό της επιβολής του νόμου, η επεξεργασία πληροί τουλάχιστον μία από τις προϋποθέσεις του παραρτήματος 8 του DPA 2018, και τη στιγμή κατά την οποία πραγματοποιείται η επεξεργασία, ο υπεύθυνος επεξεργασίας διαθέτει έγγραφο κατάλληλης πολιτικής (69).

(40)

Όσον αφορά την πρώτη περίπτωση και όπως εξηγείται στην αιτιολογική σκέψη 38, η βάση της συγκατάθεσης δεν θεωρείται συναφής στο είδος της κατάστασης διαβίβασης που υπόκειται στην παρούσα απόφαση (70).

(41)

Όταν η επεξεργασία ευαίσθητων δεδομένων δεν βασίζεται στη συγκατάθεση, μπορεί να διεξάγεται με τη χρήση μίας από τις προϋποθέσεις που απαριθμούνται στο παράρτημα 8 του DPA 2018. Οι προϋποθέσεις αυτές αφορούν την επεξεργασία που είναι απαραίτητη για νόμιμους σκοπούς· για την απονομή δικαιοσύνης· για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου· για την προστασία παιδιών και προσώπων που διατρέχουν κίνδυνο· για νομικές αξιώσεις· για δικαστικές πράξεις· για την πρόληψη της απάτης· για σκοπούς αρχειοθέτησης· όταν τα δεδομένα προσωπικού χαρακτήρα έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων. Εκτός από την περίπτωση κατά την οποία τα δεδομένα έχουν προδήλως δημοσιοποιηθεί, όλες οι προϋποθέσεις που προβλέπονται στο παράρτημα 8 υπόκεινται σε έλεγχο «αυστηρώς αναγκαίου χαρακτήρα». Όπως διευκρινίζει το ICO, «ο αυστηρώς αναγκαίος χαρακτήρας σ’ αυτό το πλαίσιο σημαίνει ότι η επεξεργασία πρέπει να σχετίζεται με επιτακτική κοινωνική ανάγκη, και δεν είναι ευλόγως δυνατή η επίτευξή της με λιγότερο παρεμβατικά μέσα» (71). Επιπλέον, κάποιες από τις προϋποθέσεις υπόκεινται σε πρόσθετους περιορισμούς. Για παράδειγμα, για να γίνει επίκληση της προϋπόθεσης των «νόμιμων σκοπών» και της «προϋπόθεσης προστασίας» (παράρτημα 8 παράγραφος 1 και παράγραφος 4), πρέπει να πληρούται ένα πρόσθετο κριτήριο ουσιαστικού δημόσιου συμφέροντος. Επιπλέον, σε σχέση με τις προϋποθέσεις που αφορούν την προστασία του παιδιού (παράρτημα 8 παράγραφος 4), το υποκείμενο των δεδομένων πρέπει επίσης να είναι συγκεκριμένης ηλικίας και να θεωρείται ότι διατρέχει κίνδυνο. Επιπλέον, ο υπεύθυνος επεξεργασίας μπορεί να εφαρμόσει την προϋπόθεση που προβλέπεται στο παράρτημα 8 παράγραφος 4 μόνο σε ειδικές περιστάσεις (72). Ομοίως, υπάρχουν περιορισμοί για τις προϋποθέσεις των «δικαστικών πράξεων» και της «πρόληψης της απάτης» (παράρτημα 8 παράγραφοι 7 και 8, αντίστοιχα). Και οι δύο ισχύουν μόνο για συγκεκριμένους υπευθύνους επεξεργασίας. Στην περίπτωση των δικαστικών πράξεων, μόνο δικαστήριο ή άλλη δικαστική αρχή μπορεί να χρησιμοποιήσει την προϋπόθεση αυτή, ενώ στην περίπτωση της πρόληψης της απάτης μόνον οι υπεύθυνοι επεξεργασίας που είναι οργανώσεις καταπολέμησης της απάτης μπορούν να βασίζονται στην προϋπόθεση αυτή.

(42)

Τέλος, όταν η επεξεργασία βασίζεται σε μία από τις προϋποθέσεις που απαριθμούνται στο παράρτημα 8 και, αντίστοιχα, σύμφωνα με το άρθρο 42 του DPA 2018, θα πρέπει να υπάρχει «έγγραφο κατάλληλης πολιτικής» —το οποίο επεξηγεί τις διαδικασίες που ακολουθεί ο υπεύθυνος επεξεργασίας για τη διασφάλιση της συμμόρφωσης με τις αρχές προστασίας των δεδομένων και τις πολιτικές που ακολουθεί όσον αφορά τη διατήρηση και τη διαγραφή δεδομένων— ενώ εφαρμόζονται επίσης υποχρεώσεις τήρησης επαυξημένου αρχείου.

(43)

Τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία για συγκεκριμένο σκοπό και στη συνέχεια να χρησιμοποιούνται μόνο στο μέτρο που αυτό δεν είναι ασύμβατο με τον σκοπό της επεξεργασίας. Αυτή η αρχή προστασίας των δεδομένων κατοχυρώνεται στο άρθρο 36 του DPA 2018. Η διάταξη αυτή, όπως και το άρθρο 4 παράγραφος 1 στοιχείο β) της οδηγίας (ΕΕ) 2016/680, προβλέπει ότι α) ο σκοπός επιβολής του νόμου για τον οποίο συλλέγονται σε κάθε περίσταση τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι καθορισμένος, ρητός και νόμιμος, και β) τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται με τον τρόπο αυτό δεν πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο ασύμβατο προς τον σκοπό για τον οποίο συλλέχθηκαν.

(44)

Όταν οι αρμόδιες αρχές επεξεργάζονται δεδομένα για σκοπούς επιβολής του νόμου, η επεξεργασία αυτή μπορεί να περιλαμβάνει σκοπούς αρχειοθέτησης, επιστημονικής ή ιστορικής έρευνας και στατιστικούς σκοπούς (73). Σ’ αυτές τις περιπτώσεις, ο DPA 2018 διευκρινίζει επίσης ότι η αρχειοθέτηση (ή η επεξεργασία για επιστημονική ή ιστορική έρευνα και στατιστικούς σκοπούς) δεν επιτρέπεται όταν πραγματοποιείται σε σχέση με αποφάσεις που λαμβάνονται για συγκεκριμένο υποκείμενο δεδομένων ή εάν αυτή ενδέχεται να του προκαλέσει σημαντική ζημία ή οδύνη (74).

(45)

Τα δεδομένα πρέπει να είναι ακριβή και, όταν χρειάζεται, να επικαιροποιούνται. Πρέπει επίσης να είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Όπως και στο άρθρο 4 παράγραφος 1 στοιχεία γ), δ) και ε) της οδηγίας (ΕΕ) 2016/680, οι αρχές αυτές διασφαλίζονται στα άρθρα 37 και 38 του DPA 2018. Θα πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε να διασφαλίζεται ότι δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή (75) διαγράφονται ή διορθώνονται χωρίς καθυστέρηση (76), λαμβανομένου υπόψη του σκοπού επιβολής του νόμου για τον οποίο υποβάλλονται σε επεξεργασία (77), καθώς και να διασφαλίζεται ότι δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή, ελλιπή ή δεν είναι πλέον επικαιροποιημένα δεν διαβιβάζονται ούτε καθίστανται διαθέσιμα για κανέναν από τους σκοπούς επιβολής του νόμου (78).

(46)

Επιπλέον, όπως και στο άρθρο 7 της οδηγίας (ΕΕ) 2016/680, το καθεστώς προστασίας δεδομένων του Ηνωμένου Βασιλείου προβλέπει ότι τα δεδομένα προσωπικού χαρακτήρα που βασίζονται σε πραγματικά περιστατικά πρέπει, στο μέτρο του δυνατού, να διακρίνονται από τα δεδομένα προσωπικού χαρακτήρα που βασίζονται σε προσωπικές εκτιμήσεις (79). Κατά περίπτωση και στο μέτρο του δυνατού, πρέπει να γίνεται σαφής διάκριση μεταξύ των δεδομένων προσωπικού χαρακτήρα που αφορούν διαφορετικές κατηγορίες υποκειμένων των δεδομένων, όπως υπόπτους, πρόσωπα που έχουν καταδικαστεί για ποινικό αδίκημα, θύματα ποινικών αδικημάτων και μάρτυρες (80).

(47)

Σύμφωνα με το άρθρο 5 της οδηγίας (ΕΕ) 2016/680, τα δεδομένα θα πρέπει, καταρχήν, να διατηρούνται μόνο για χρονικό διάστημα που δεν υπερβαίνει τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα. Σύμφωνα με το άρθρο 39 του DPA 2018, και όπως προβλέπεται και στο άρθρο 5 της εν λόγω οδηγίας, απαγορεύεται η διατήρηση δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για οποιονδήποτε από τους σκοπούς επιβολής του νόμου για διάστημα που υπερβαίνει το αναγκαίο σε σχέση με τον σκοπό για τον οποίο υποβάλλονται σε επεξεργασία. Το νομικό καθεστώς του Ηνωμένου Βασιλείου απαιτεί τη θέσπιση κατάλληλων προθεσμιών για την περιοδική επανεξέταση της αναγκαιότητας συνεχούς αποθήκευσης δεδομένων προσωπικού χαρακτήρα για οποιονδήποτε από τους σκοπούς επιβολής του νόμου. Στη σχετική νομοθεσία και στις οδηγίες που διέπουν τις εξουσίες και τη λειτουργία της αστυνομίας έχουν θεσπιστεί περαιτέρω κανόνες σχετικά με τις πρακτικές που αφορούν τη διατήρηση δεδομένων προσωπικού χαρακτήρα και τις εφαρμοστέες προθεσμίες. Για παράδειγμα, στην Αγγλία και την Ουαλία, ο κώδικας ορθής πρακτικής ΜοΡΙ του Σώματος των Εργαζομένων στην Αστυνόμευση, μαζί με το έγγραφο καθοδήγησης APP για τη διαχείριση πληροφοριών της αστυνομίας, παρέχουν ένα πλαίσιο για τη διασφάλιση μιας συνεπούς διαδικασίας διατήρησης, επανεξέτασης και διάθεσης βάσει κινδύνου για τη διαχείριση των επιχειρησιακών πληροφοριών αστυνόμευσης (81). Το πλαίσιο αυτό δημιουργεί σαφείς προσδοκίες σε ολόκληρη την υπηρεσία όσον αφορά τον τρόπο με τον οποίο οι πληροφορίες θα πρέπει να δημιουργούνται, να ανταλλάσσονται, να χρησιμοποιούνται και να αποτελούν αντικείμενο διαχείρισης εντός και μεταξύ των επιμέρους αστυνομικών δυνάμεων και άλλων υπηρεσιών (82). Η αστυνομία θα πρέπει να συμμορφώνεται με τον κώδικα ορθής πρακτικής και η συμμόρφωσή της επαληθεύεται από την Επιθεώρηση Αστυνομικών, Πυροσβεστικών και Διασωστικών Υπηρεσιών του Ηνωμένου Βασιλείου (83).

(48)

Η Αστυνομική Υπηρεσία της Βόρειας Ιρλανδίας (PSNI) δεν έχει εκ του νόμου υποχρέωση να τηρεί τον κώδικα ορθής πρακτικής ΜοΡΙ. Ωστόσο, το πλαίσιο MoPI που εγκρίθηκε το 2011 συμπληρώνεται με εγχειρίδιο της PSNI (84), το οποίο καθορίζει τις πολιτικές και τις διαδικασίες σχετικά με τον τρόπο εφαρμογής του κώδικα ορθής πρακτικής ΜοΡI στη Βόρεια Ιρλανδία.

(49)

Στη Σκωτία, οι αστυνομικές δυνάμεις βασίζονται στην τυποποιημένη διαδικασία λειτουργίας για τη διατήρηση αρχείων (Record Retention Standard Operating Procedure, SOP) (85) η οποία υποστηρίζει την πολιτική διαχείρισης αρχείων (Records Management Policy) (86) της Αστυνομικής Υπηρεσίας της Σκωτίας. Η SOP ορίζει ειδικούς κανόνες διατήρησης για τα αρχεία που τηρεί η αστυνομία της Σκωτίας.

(50)

Εκτός από τη γενική απαίτηση επανεξέτασης των αρχείων, η οποία ισχύει σε ολόκληρο το Ηνωμένο Βασίλειο, στους τοπικούς κανόνες παρέχονται περισσότερες λεπτομέρειες. Για παράδειγμα, όσον αφορά την Αγγλία και την Ουαλία, ο νόμος για την αστυνομία και τα αποδεικτικά στοιχεία σε ποινικές διαδικασίες, όπως τροποποιήθηκε με τον νόμο του 2012 για την προστασία των ελευθεριών (PoFA), προβλέπει τη διατήρηση δακτυλικών αποτυπωμάτων και προφίλ DNA, καθώς και ειδικό καθεστώς για τα πρόσωπα που δεν έχουν καταδικαστεί (87). Με τον PoFA δημιουργήθηκε επίσης η θέση του Επιτρόπου για τη Διατήρηση και Χρήση Βιομετρικού Υλικού (στο εξής: Επίτροπος Βιομετρικών Στοιχείων) (88). Στην επισκόπηση εικόνων κράτησης του 2017 ορίζονται ειδικοί κανόνες σχετικά με τις εικόνες κράτησης (89). Όσον αφορά τη Σκωτία, ο νόμος του 1995 για την ποινική δικονομία (Σκωτία) προβλέπει τους κανόνες για τη λήψη και τη διατήρηση δακτυλικών αποτυπωμάτων και βιολογικών δειγμάτων (90). Όπως και στην περίπτωση της Αγγλίας και της Ουαλίας, η νομοθεσία ρυθμίζει τη διατήρηση των βιομετρικών δεδομένων σε διάφορες περιπτώσεις (91).

(51)

Τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ασφάλειά τους, συμπεριλαμβανομένης της προστασίας τους από μη εγκεκριμένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά. Για τον σκοπό αυτό, οι δημόσιες αρχές πρέπει να λαμβάνουν τα κατάλληλα τεχνικά ή οργανωτικά μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα από πιθανές απειλές. Τα μέτρα αυτά πρέπει να αξιολογούνται με βάση την πιο προηγμένη τεχνολογία και το σχετικό κόστος.

(52)

Οι αρχές αυτές αντικατοπτρίζονται στο άρθρο 40 του DPA 2018, σύμφωνα με το οποίο, όπως προβλέπεται και στο άρθρο 4 παράγραφος 1 στοιχείο στ) της οδηγίας (ΕΕ) 2016/680, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για οποιονδήποτε από τους σκοπούς επιβολής του νόμου πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που να εγγυάται τη δέουσα ασφάλεια των δεδομένων προσωπικού χαρακτήρα, με χρήση κατάλληλων τεχνικών ή οργανωτικών μέτρων. Μεταξύ αυτών περιλαμβάνεται η προστασία των δεδομένων από μη εγκεκριμένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά (92). Το άρθρο 66 του DPA 2018 ορίζει περαιτέρω ότι κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία πρέπει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει επίπεδο ασφάλειας κατάλληλο για τους κινδύνους που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με τις επεξηγηματικές σημειώσεις, ο υπεύθυνος επεξεργασίας πρέπει να αξιολογεί τους κινδύνους και να εφαρμόζει κατάλληλα μέτρα ασφαλείας με βάση αυτή την αξιολόγηση, για παράδειγμα, κρυπτογράφηση ή συγκεκριμένα επίπεδα ελέγχου για το προσωπικό που επεξεργάζεται τα δεδομένα (93). Η αξιολόγηση πρέπει επίσης να λαμβάνει υπόψη, για παράδειγμα, τη φύση των δεδομένων που υποβάλλονται σε επεξεργασία και άλλους σχετικούς παράγοντες ή περιστάσεις που θα μπορούσαν να επηρεάσουν την ασφάλεια της επεξεργασίας.

(53)

Το καθεστώς που διέπει τη συμμόρφωση με τις αρχές ασφάλειας των δεδομένων είναι παρόμοιο με εκείνο που θεσπίζεται στα άρθρα 29 έως 31 της οδηγίας (ΕΕ) 2016/680. Ειδικότερα, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα για τα οποία έχει ευθύνη ο υπεύθυνος επεξεργασίας, σύμφωνα με το άρθρο 67 παράγραφος 1 του DPA 2018, ο υπεύθυνος επεξεργασίας πρέπει, χωρίς αδικαιολόγητη καθυστέρηση και στο μέτρο του εφικτού, εντός 72 ωρών από τη στιγμή που έλαβε γνώση της παραβίασης, να κοινοποιήσει την παραβίαση δεδομένων προσωπικού χαρακτήρα στον Επίτροπο Πληροφοριών (94). Η υποχρέωση κοινοποίησης δεν ισχύει όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι απίθανο να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των προσώπων (95). Ο υπεύθυνος επεξεργασίας πρέπει να τεκμηριώνει τα πραγματικά περιστατικά που σχετίζονται με οποιαδήποτε παραβίαση δεδομένων προσωπικού χαρακτήρα, τις επιπτώσεις της και τα διορθωτικά μέτρα που λαμβάνονται κατά τρόπο που να επιτρέπει στον Επίτροπο Πληροφοριών να επαληθεύσει τη συμμόρφωση με τον νόμο για την προστασία των δεδομένων (96). Εάν ο εκτελών την επεξεργασία αντιληφθεί παραβίαση της ασφάλειας, πρέπει να ενημερώσει τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση (97).

(54)

Σύμφωνα με το άρθρο 68 παράγραφος 1 του DPA 2018, εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες προσώπων, ο υπεύθυνος επεξεργασίας πρέπει να ενημερώσει το υποκείμενο των δεδομένων σχετικά με την παραβίαση χωρίς αδικαιολόγητη καθυστέρηση (98). Η ειδοποίηση πρέπει να περιλαμβάνει τις ίδιες πληροφορίες που περιλαμβάνει και η κοινοποίηση στον Επίτροπο Πληροφοριών, όπως περιγράφεται στην αιτιολογική σκέψη (53). Η υποχρέωση αυτή δεν ισχύει εάν ο υπεύθυνος επεξεργασίας έχει εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, τα οποία εφαρμόστηκαν στα δεδομένα προσωπικού χαρακτήρα που επηρεάστηκαν από την παραβίαση. Δεν ισχύει επίσης εάν ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανόν να προκύψει ο υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Τέλος, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να ενημερώσει το υποκείμενο των δεδομένων εάν αυτό θα συνεπαγόταν δυσανάλογη προσπάθεια (99). Σ’ αυτή την περίπτωση, οι πληροφορίες πρέπει να διατίθενται στο υποκείμενο των δεδομένων με άλλον εξίσου αποτελεσματικό τρόπο, για παράδειγμα μέσω δημόσιας ανακοίνωσης (100). Εάν ο υπεύθυνος επεξεργασίας δεν έχει ενημερώσει το υποκείμενο των δεδομένων για την παραβίαση, ο Επίτροπος Πληροφοριών, αφού ενημερωθεί σύμφωνα με το άρθρο 67 του DPA και αφού λάβει υπόψη την πιθανότητα η παραβίαση να οδηγήσει σε υψηλό κίνδυνο, μπορεί να απαιτήσει από τον υπεύθυνο επεξεργασίας να ενημερώσει το υποκείμενο των δεδομένων για την παραβίαση (101).

(55)

Τα υποκείμενα των δεδομένων πρέπει να ενημερώνονται για τα βασικά χαρακτηριστικά της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα τους. Αυτή η αρχή προστασίας των δεδομένων αντικατοπτρίζεται στο άρθρο 44 του DPA 2018, το οποίο, όπως και το άρθρο 13 της οδηγίας (ΕΕ) 2016/680, προβλέπει ότι ο υπεύθυνος επεξεργασίας έχει γενικό καθήκον να παρέχει στα υποκείμενα των δεδομένων πληροφορίες σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν (είτε καθιστώντας τις πληροφορίες εν γένει διαθέσιμες στο κοινό είτε με οποιονδήποτε άλλον τρόπο) (102). Οι πληροφορίες που πρέπει να διατίθενται περιλαμβάνουν α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας· β) κατά περίπτωση, τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων· γ) τους σκοπούς για τους οποίους ο υπεύθυνος επεξεργασίας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα· δ) την ύπαρξη των δικαιωμάτων των υποκειμένων των δεδομένων να υποβάλουν αίτημα στον υπεύθυνο επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα, διόρθωση δεδομένων προσωπικού χαρακτήρα και διαγραφή δεδομένων προσωπικού χαρακτήρα ή για τον περιορισμό της επεξεργασίας τους· και ε) την ύπαρξη του δικαιώματος υποβολής καταγγελίας στον Επίτροπο Πληροφοριών και τα στοιχεία επικοινωνίας του Επιτρόπου (103).

(56)

Ο υπεύθυνος επεξεργασίας πρέπει επίσης, σε ορισμένες περιπτώσεις, προκειμένου να διευκολύνει την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων βάσει του DPA 2018 (για παράδειγμα, όταν τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία συλλέχθηκαν εν αγνοία του υποκειμένου των δεδομένων), να παρέχει στο υποκείμενο των δεδομένων πληροφορίες σχετικά α) με τη νομική βάση της επεξεργασίας· β) πληροφορίες σχετικά με το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, σχετικά με τα κριτήρια που καθορίζουν το εν λόγω διάστημα· γ) όπου συντρέχει περίπτωση, πληροφορίες για τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα (μεταξύ άλλων αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς)· δ) περαιτέρω πληροφορίες που είναι απαραίτητες για να καταστεί δυνατή η άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων σύμφωνα με το μέρος 3 του DPA 2018 (104).

(57)

Τα υποκείμενα των δεδομένων πρέπει να διαθέτουν ορισμένα εκτελεστά δικαιώματα. Το μέρος 3 κεφάλαιο 3 του DPA 2018 παρέχει στα φυσικά πρόσωπα δικαιώματα πρόσβασης, διόρθωσης και διαγραφής, καθώς και περιορισμού (105), τα οποία είναι συγκρίσιμα με εκείνα που προβλέπονται στο κεφάλαιο 3της οδηγίας (ΕΕ) 2016/680.

(58)

Το δικαίωμα πρόσβασης καθορίζεται στο άρθρο 45 του DPA 2018. Πρώτον, ένα πρόσωπο δικαιούται να λάβει επιβεβαίωση από τον υπεύθυνο επεξεργασίας για το αν τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υποβάλλονται σε επεξεργασία ή όχι (106). Δεύτερον, όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης στα εν λόγω δεδομένα καθώς και δικαίωμα να λάβει τις ακόλουθες πληροφορίες σχετικά με την επεξεργασία: α) τους σκοπούς και τις νομικές βάσεις της επεξεργασίας· β) τις κατηγορίες των σχετικών δεδομένων· γ) τον αποδέκτη στον οποίο έχουν κοινολογηθεί τα δεδομένα· δ) το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα· ε) την ύπαρξη δικαιώματος του υποκειμένου των δεδομένων για διόρθωση και διαγραφή δεδομένων προσωπικού χαρακτήρα· στ) το δικαίωμα υποβολής καταγγελίας· και ζ) οποιαδήποτε πληροφορία σχετικά με την προέλευση των εν λόγω δεδομένων προσωπικού χαρακτήρα (107).

(59)

Σύμφωνα με το άρθρο 46 του DPA 2018, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας να διορθώσει ανακριβή δεδομένα προσωπικού χαρακτήρα που το αφορούν. Ο υπεύθυνος επεξεργασίας πρέπει να διορθώσει (ή σε περίπτωση που τα δεδομένα είναι ανακριβή επειδή είναι ελλιπή, να συμπληρώσει) τα δεδομένα χωρίς αδικαιολόγητη καθυστέρηση. Εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς, ο υπεύθυνος επεξεργασίας πρέπει (αντί να διορθώνει τα δεδομένα προσωπικού χαρακτήρα) να περιορίζει την επεξεργασία τους (108).

(60)

Το άρθρο 47 του DPA 2018 παρέχει στα φυσικά πρόσωπα το δικαίωμα διαγραφής και περιορισμού της επεξεργασίας. Ο υπεύθυνος επεξεργασίας πρέπει (109) να διαγράφει τα δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα παρέβαινε οποιαδήποτε από τις αρχές προστασίας των δεδομένων, τους νομικούς λόγους της επεξεργασίας ή τις εγγυήσεις που σχετίζονται με την αρχειοθέτηση και την επεξεργασία ευαίσθητων δεδομένων. Ο υπεύθυνος επεξεργασίας πρέπει επίσης να διαγράψει τα δεδομένα εάν υπέχει σχετική νομική υποχρέωση. Εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς, ο υπεύθυνος επεξεργασίας πρέπει να περιορίζει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα (αντί να τα διαγράφει) (110). Ο υπεύθυνος επεξεργασίας πρέπει να περιορίζει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εάν το υποκείμενο των δεδομένων αμφισβητεί την ακρίβεια των δεδομένων προσωπικού χαρακτήρα, αλλά δεν είναι δυνατόν να εξακριβωθεί αν αυτά είναι ακριβή ή όχι (111).

(61)

Όταν το υποκείμενο των δεδομένων ζητεί τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας τους, ο υπεύθυνος επεξεργασίας πρέπει να ενημερώνει γραπτώς το υποκείμενο των δεδομένων σχετικά με το αν το αίτημα έγινε δεκτό και σε περίπτωση που αυτό απορρίπτεται, να ενημερώνει το υποκείμενο των δεδομένων για τους λόγους της απόρριψης και για τα διαθέσιμα ένδικα μέσα (δικαίωμα του υποκειμένου των δεδομένων να υποβάλει αίτημα στον Επίτροπο Πληροφοριών για τη διερεύνηση της νομιμότητας του περιορισμού, δικαίωμα υποβολής καταγγελίας στον Επίτροπο Πληροφοριών και δικαίωμα υποβολής αίτησης σε δικαστήριο για έκδοση εντολής συμμόρφωσης) (112).

(62)

Όταν ο υπεύθυνος επεξεργασίας διορθώνει δεδομένα προσωπικού χαρακτήρα που έχει λάβει από άλλη αρμόδια αρχή, πρέπει να ενημερώνει την άλλη αρχή (113). Όταν ο υπεύθυνος επεξεργασίας διορθώνει, διαγράφει ή περιορίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία έχουν κοινολογηθεί από τον υπεύθυνο επεξεργασίας, πρέπει να ενημερώνει τους αποδέκτες, οι οποίοι με τη σειρά τους πρέπει να διορθώσουν, να διαγράψουν ή να περιορίσουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα (στο μέτρο που φέρουν ευθύνη γι’ αυτά) (114).

(63)

Επιπλέον, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται χωρίς αδικαιολόγητη καθυστέρηση από τον υπεύθυνο επεξεργασίας σχετικά με παραβίαση δεδομένων προσωπικού χαρακτήρα, όταν αυτή ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες προσώπων (115).

(64)

Όσον αφορά όλα τα δικαιώματα του υποκειμένου των δεδομένων και όπως προβλέπεται και στο άρθρο 12 της οδηγίας (ΕΕ) 2016/680, ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να διασφαλίζει ότι παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία σε συνοπτική, κατανοητή και ευκόλως προσβάσιμη μορφή (116) και, όπου είναι δυνατόν, με την ίδια μορφή που υποβλήθηκε η αίτηση (117). Ο υπεύθυνος επεξεργασίας πρέπει να συμμορφώνεται με το αίτημα του υποκειμένου των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση ή σε κάθε περίπτωση, καταρχήν, πριν από τη λήξη της προθεσμίας ενός μηνός από την υποβολή του αιτήματος (118). Όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα ενός προσώπου, μπορεί να ζητήσει πρόσθετες πληροφορίες και να καθυστερήσει τη διεκπεραίωση του αιτήματος έως ότου εξακριβωθεί η ταυτότητα του εν λόγω προσώπου. Ο υπεύθυνος επεξεργασίας μπορεί να απαιτήσει την καταβολή εύλογου τέλους ή να αρνηθεί να απαντήσει στο αίτημα όταν κρίνει ότι το αίτημα είναι προδήλως αβάσιμο (119). Το ICO έχει παράσχει καθοδήγηση σχετικά με το πότε ένα αίτημα θεωρείται προδήλως αβάσιμο ή υπερβολικό και πότε μπορεί να ζητηθεί η καταβολή τέλους (120).

(65)

Επιπλέον, σύμφωνα με το άρθρο 53 παράγραφος 4 του DPA 2018, ο ανώτερος υπουργός μπορεί να ορίσει το ανώτατο ποσό του τέλους, βάσει κανονισμών.

(66)

Η αρμόδια αρχή μπορεί, υπό ορισμένες προϋποθέσεις, να περιορίσει ορισμένα δικαιώματα του υποκειμένου των δεδομένων: Το δικαίωμα πρόσβασης (121), πληροφόρησης (122), ενημέρωσης σχετικά με παραβίαση δεδομένων προσωπικού χαρακτήρα (123) και ενημέρωσης σχετικά με τον λόγο απόρριψης αιτήματος διόρθωσης ή διαγραφής (124). Αντίστοιχα με το καθεστώς που περιλαμβάνεται στο κεφάλαιο III της οδηγίας (ΕΕ) 2016/680, η αρμόδια αρχή μπορεί να εφαρμόσει τον περιορισμό όταν, δεδομένων των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του υποκειμένου των δεδομένων, αυτός είναι αναγκαίος και αναλογικός για: α) την αποφυγή της παρακώλυσης επίσημης ή νομικής έρευνας, ανάκρισης ή διαδικασίας· β) την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων· γ) την προστασία της δημόσιας ασφάλειας· δ) την προστασία της εθνικής ασφάλειας· ε) την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.

(67)

Το ICO έχει παράσχει καθοδήγηση σχετικά με την εφαρμογή αυτών των περιορισμών. Σύμφωνα με την καθοδήγηση αυτή, οι υπεύθυνοι επεξεργασίας πρέπει να διενεργούν ανάλυση κατά περίπτωση για να σταθμίζουν τα δικαιώματα του προσώπου έναντι της ζημίας που θα προκαλούσε η κοινολόγηση των δεδομένων. Συγκεκριμένα, πρέπει να αιτιολογούν κάθε περιορισμό που εφαρμόζεται ως αναγκαίος και αναλογικός και μπορούν να περιορίζουν τα προβλεπόμενα μόνο εάν θα θίγονταν οι προαναφερθέντες σκοποί (125).

(68)

Υπάρχουν επίσης ορισμένα άλλα έγγραφα καθοδήγησης που εκδίδονται από τις αρμόδιες αρχές και παρέχουν αναλυτικές πληροφορίες σχετικά με όλες τις πτυχές της νομοθεσίας για την προστασία των δεδομένων, μεταξύ άλλων σχετικά με την εφαρμογή περιορισμών στα δικαιώματα των υποκειμένων των δεδομένων (126). Για παράδειγμα, σε σχέση με το άρθρο 45 παράγραφος 4, το εγχειρίδιο προστασίας δεδομένων του Εθνικού Συμβουλίου Αρχηγών της Αστυνομίας αναφέρει ότι: «Είναι σημαντικό να σημειωθεί ότι οι περιορισμοί μπορούν να εφαρμόζονται μόνο στον βαθμό που είναι αναγκαίο και μπορούν να εφαρμόζονται μόνο για όσο διάστημα είναι αναγκαίο. Κατά συνέπεια, δεν επιτρέπεται η γενική εφαρμογή του περιορισμού σε όλα τα δεδομένα προσωπικού χαρακτήρα του αιτούντος ή η μόνιμη εφαρμογή του περιορισμού. Όσον αφορά τη δεύτερη περίπτωση, συχνά τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται εν αγνοία του υποκειμένου των δεδομένων που είναι ύποπτο στο πλαίσιο έρευνας πρέπει να προστατεύονται αρχικά από την κοινολόγησή τους σ’ αυτό, ώστε να αποφευχθεί το ενδεχόμενο να θιγεί η έρευνα όσο βρίσκεται σε εξέλιξη, αλλά σε μεταγενέστερη ημερομηνία η κοινολόγηση δεν θα δημιουργούσε πρόβλημα εάν τα δεδομένα προσωπικού χαρακτήρα είχαν κοινολογηθεί στο πρόσωπο κατά τη διάρκεια της ανάκρισης. Οι αστυνομικές δυνάμεις πρέπει να θεσπίζουν διαδικασίες που διασφαλίζουν ότι οι περιορισμοί εφαρμόζονται μόνο στον βαθμό που απαιτείται και ισχύουν μόνο για την αναγκαία διάρκεια» (127). Ο οδηγός αυτός παρέχει επίσης παραδείγματα περιπτώσεων στις οποίες είναι πιθανή η εφαρμογή καθενός από τους περιορισμούς (128).

(69)

Επιπλέον, όσον αφορά τη δυνατότητα περιορισμού οποιουδήποτε από τα προαναφερόμενα δικαιώματα για την προστασία της «εθνικής ασφάλειας», ο υπεύθυνος επεξεργασίας μπορεί να υποβάλει αίτηση για πιστοποιητικό υπογεγραμμένο από υπουργό ή από τον Γενικό Εισαγγελέα (ή τον Γενικό Εισαγγελέα της Σκωτίας ) που πιστοποιεί ότι ο περιορισμός των εν λόγω δικαιωμάτων αποτελεί αναγκαίο και αναλογικό μέτρο για την προστασία της εθνικής ασφάλειας (129). Η κυβέρνηση του Ηνωμένου Βασιλείου έχει εκδώσει οδηγίες σχετικά με τα πιστοποιητικά εθνικής ασφάλειας δυνάμει του DPA 2018 στις οποίες επισημαίνεται κυρίως ότι κάθε περιορισμός των δικαιωμάτων των υποκειμένων των δεδομένων για τη διαφύλαξη της εθνικής ασφάλειας πρέπει να είναι αναλογικός και αναγκαίος (130) (για περισσότερες λεπτομέρειες σχετικά με τα πιστοποιητικά εθνικής ασφάλειας, βλέπε αιτιολογικές σκέψεις (131) έως (134)).

(70)

Επιπλέον, όταν εφαρμόζεται περιορισμός σε δικαίωμα υποκειμένου των δεδομένων, η αρμόδια αρχή πρέπει να ενημερώνει το υποκείμενο των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση ότι τα δικαιώματά του έχουν περιοριστεί, σχετικά με τους λόγους του περιορισμού και τα διαθέσιμα ένδικα μέσα, εκτός εάν η παροχή των εν λόγω πληροφοριών θα υπονόμευε τον λόγο εφαρμογής του περιορισμού (131). Ως περαιτέρω διασφάλιση κατά της κατάχρησης των περιορισμών, ο υπεύθυνος επεξεργασίας πρέπει να καταγράφει τους λόγους περιορισμού της πληροφόρησης και να θέτει το αρχείο στη διάθεση του Επιτρόπου Πληροφοριών εφόσον του ζητηθεί (132).

(71)

Εάν ο υπεύθυνος επεξεργασίας αρνηθεί να παράσχει πρόσθετες πληροφορίες σχετικά με τη διαφάνεια, ή αρνηθεί την πρόσβαση, ή απορρίψει αίτημα διόρθωσης, διαγραφής ή περιορισμού της επεξεργασίας, το πρόσωπο μπορεί να ζητήσει από τον Επίτροπο Πληροφοριών να διερευνήσει αν ο υπεύθυνος επεξεργασίας προέβη σε νόμιμη χρήση του περιορισμού (133). Το ενδιαφερόμενο πρόσωπο μπορεί επίσης να υποβάλει καταγγελία στον Επίτροπο Πληροφοριών ή να υποβάλει αίτηση σε δικαστήριο ώστε να διατάξει τον υπεύθυνο επεξεργασίας να συμμορφωθεί με το αίτημα (134).

(72)

Τα άρθρα 49 και 50 του DPA 2018 καλύπτουν αντίστοιχα τα δικαιώματα που σχετίζονται την αυτοματοποιημένη λήψη αποφάσεων και τις εγγυήσεις που πρέπει να εφαρμόζονται (135). Όπως και βάσει του άρθρου 11 της οδηγίας (ΕΕ) 2016/680, ο υπεύθυνος επεξεργασίας μπορεί να λάβει σημαντική απόφαση βασιζόμενος αποκλειστικά στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνον εφόσον αυτή απαιτείται ή επιτρέπεται από τον νόμο (136). Η απόφαση είναι σημαντική εάν παράγει δυσμενή έννομα αποτελέσματα για το υποκείμενο των δεδομένων ή επηρεάζει σε σημαντικό βαθμό το υποκείμενο των δεδομένων (137).

(73)

Όταν ο υπεύθυνος επεξεργασίας υποχρεούται ή εξουσιοδοτείται από τον νόμο να λάβει σημαντική απόφαση, το άρθρο 50 του DPA 2018 ορίζει τις εγγυήσεις που θα ισχύουν για μια τέτοια απόφαση (η οποία ορίζεται ως «σημαντική απόφαση που πληροί τις προϋποθέσεις»). Ο υπεύθυνος επεξεργασίας πρέπει, αμέσως μόλις αυτό είναι ευλόγως εφικτό, να γνωστοποιήσει στο υποκείμενο των δεδομένων ότι ελήφθη η σχετική απόφαση. Στη συνέχεια, το υποκείμενο των δεδομένων μπορεί, εντός ενός μηνός, να ζητήσει από τον υπεύθυνο επεξεργασίας να επανεξετάσει την απόφαση ή να λάβει νέα απόφαση που δεν βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία. Ο υπεύθυνος επεξεργασίας πρέπει να εξετάσει το αίτημα και να ενημερώσει το υποκείμενο των δεδομένων για το αποτέλεσμα της εξέτασης αυτής. Ο DPA 2018 παρέχει στον ανώτερο υπουργό την εξουσία να θεσπίζει κανονισμούς για πρόσθετες εγγυήσεις (138). Δεν έχουν εκδοθεί ακόμη τέτοιοι κανονισμοί.

(74)

Το επίπεδο προστασίας που παρέχεται στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από αρχή επιβολής του νόμου κράτους μέλους σε αρχή επιβολής του νόμου του Ηνωμένου Βασιλείου δεν πρέπει να υποβαθμίζεται από την περαιτέρω διαβίβαση των εν λόγω δεδομένων σε αποδέκτες σε τρίτη χώρα. Αυτές οι «περαιτέρω διαβιβάσεις», οι οποίες από τη σκοπιά αρχής επιβολής του νόμου του Ηνωμένου Βασιλείου συνιστούν διεθνείς διαβιβάσεις από το Ηνωμένο Βασίλειο, θα πρέπει να επιτρέπονται μόνον όταν ο περαιτέρω αποδέκτης εκτός του Ηνωμένου Βασιλείου υπόκειται επίσης σε κανόνες που διασφαλίζουν ανάλογο επίπεδο προστασίας με εκείνο που εγγυάται η έννομη τάξη του Ηνωμένου Βασιλείου.

(75)

Το καθεστώς του Ηνωμένου Βασιλείου σχετικά με τις διεθνείς διαβιβάσεις ρυθμίζεται από το μέρος 3 κεφάλαιο 5 του DPA 2018 (139) και αντικατοπτρίζει την προσέγγιση που ακολουθείται στο κεφάλαιο V της οδηγίας (ΕΕ) 2016/680. Ειδικότερα, για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα, η αρμόδια αρχή πρέπει να πληροί τρεις προϋποθέσεις: α) η διαβίβαση πρέπει να είναι αναγκαία για σκοπούς επιβολής του νόμου· β) η διαβίβαση πρέπει να βασίζεται: i) σε κανονισμό περί επάρκειας όσον αφορά την τρίτη χώρα, ii) εάν δεν βασίζεται σε κανονισμό περί επάρκειας, στην ύπαρξη κατάλληλων εγγυήσεων, ή iii) εάν δεν βασίζεται σε απόφαση περί επάρκειας ή σε κατάλληλες εγγυήσεις, πρέπει να βασίζεται σε ειδικές περιστάσεις· και γ) ο αποδέκτης της διαβίβασης πρέπει να είναι: i) οικεία αρχή (δηλαδή το ισοδύναμο αρμόδιας αρχής) σε τρίτη χώρα· ii) «σχετικός διεθνής οργανισμός», π.χ. διεθνής φορέας που εκτελεί καθήκοντα που αντιστοιχούν σε οποιονδήποτε από τους σκοπούς επιβολής του νόμου· ή iii) πρόσωπο που δεν είναι οικεία αρχή, αλλά μόνον όταν η διαβίβαση είναι απολύτως αναγκαία για την εκπλήρωση ενός από τους σκοπούς επιβολής του νόμου· δεν υπάρχουν θεμελιώδη δικαιώματα και ελευθερίες του σχετικού υποκειμένου των δεδομένων που να υπερισχύουν του δημόσιου συμφέροντος το οποίο απαιτεί τη διαβίβαση· η διαβίβαση των δεδομένων προσωπικού χαρακτήρα σε οικεία αρχή στην τρίτη χώρα θα ήταν αναποτελεσματική ή ακατάλληλη· και ο αποδέκτης είναι ενήμερος για τους σκοπούς για τους οποίους τα δεδομένα μπορεί να υποβληθούν σε επεξεργασία (140).

(76)

Ο ανώτερος υπουργός εκδίδει κανονισμούς περί επάρκειας όσον αφορά τρίτη χώρα, έδαφος ή τομέα εντός τρίτης χώρας, διεθνή οργανισμό, ή περιγραφή (141) της εν λόγω χώρας, εδάφους, τομέα ή οργανισμού. Όσον αφορά το πρότυπο που πρέπει να τηρείται, ο ανώτερος υπουργός πρέπει να αξιολογεί αν το εν λόγω έδαφος/τομέας/οργανισμός διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Το άρθρο 74A παράγραφος 4 του DPA 2018 ορίζει ότι, για τον σκοπό αυτόν, ο ανώτερος υπουργός πρέπει να εξετάζει ορισμένα στοιχεία που αποτυπώνουν εκείνα που απαριθμούνται στο άρθρο 36 της οδηγίας (ΕΕ) 2016/680 (142). Στο πλαίσιο αυτό, από τη λήξη της μεταβατικής περιόδου, το μέρος 3 του DPA 2018 αποτελεί «εσωτερική νομοθεσία που προέρχεται από την ΕΕ» η οποία, όπως εξηγείται, θα ερμηνεύεται από τα δικαστήρια του Ηνωμένου Βασιλείου σύμφωνα με τη σχετική νομολογία του Δικαστηρίου της ΕΕ η οποία χρονολογείται πριν από την αποχώρηση του Ηνωμένου Βασιλείου από την Ένωση, και τις γενικές αρχές του ενωσιακού δικαίου, όπως ίσχυαν αμέσως πριν από τη λήξη της μεταβατικής περιόδου. Μεταξύ αυτών, περιλαμβάνεται το πρότυπο της «κατ’ ουσίαν ισοδυναμίας» που θα εφαρμόζεται ως εκ τούτου στις εκτιμήσεις επάρκειας που διενεργούνται από τις αρχές του Ηνωμένου Βασιλείου.

(77)

Όσον αφορά τη διαδικασία, οι κανονισμοί υπόκεινται στις «γενικές» διαδικαστικές απαιτήσεις που προβλέπονται στο άρθρο 182 του DPA 2018. Στο πλαίσιο της διαδικασίας αυτής, ο ανώτερος υπουργός πρέπει να συμβουλεύεται τον Επίτροπο Πληροφοριών όταν προτείνει τη θέσπιση μελλοντικών κανονισμών του Ηνωμένου Βασιλείου περί επάρκειας (143). Μόλις εγκριθούν από τον ανώτερο υπουργό, οι εν λόγω κανονισμοί υποβάλλονται στο Κοινοβούλιο και υπόκεινται στη διαδικασία «αρνητικής απόφασης», σύμφωνα με την οποία αμφότερα τα σώματα του Κοινοβουλίου μπορούν να εξετάσουν ενδελεχώς τον κανονισμό και έχουν τη δυνατότητα να εγκρίνουν πρόταση ακύρωσής του εντός προθεσμίας 40 ημερών (144).

(78)

Σύμφωνα με το άρθρο 74B παράγραφος 1 του DPA 2018, οι κανονισμοί περί επάρκειας πρέπει να επανεξετάζονται ανά διαστήματα τα οποία να μην υπερβαίνουν τα τέσσερα έτη και ο ανώτερος υπουργός πρέπει, σε συνεχή βάση, να παρακολουθεί τις εξελίξεις σε τρίτες χώρες και διεθνείς οργανισμούς οι οποίες θα μπορούσαν να επηρεάσουν τις αποφάσεις για τη θέσπιση κανονισμών περί επάρκειας ή για την τροποποίηση ή την ανάκληση των εν λόγω κανονισμών. Όταν ανώτερος ο υπουργός διαπιστώνει ότι μια συγκεκριμένη χώρα ή ένας οργανισμός δεν εξασφαλίζει πλέον επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, πρέπει, στον βαθμό που είναι αναγκαίο, να τροποποιεί ή να ανακαλεί τους κανονισμούς και να αρχίζει διαβουλεύσεις με την οικεία τρίτη χώρα ή τον οικείο διεθνή οργανισμό για να διορθώσει την έλλειψη επαρκούς επιπέδου προστασίας.

(79)

Όπως προβλέπεται και στο άρθρο 37 της οδηγίας (ΕΕ) 2016/680, ελλείψει κανονισμού περί επάρκειας, η διαβίβαση δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του τομέα της επιβολής του νόμου θα ήταν δυνατή όταν υφίστανται κατάλληλες εγγυήσεις. Οι εν λόγω εγγυήσεις διασφαλίζονται είτε μέσω α) νομικά δεσμευτικής πράξης που περιέχει κατάλληλες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα· είτε μέσω β) εκτίμησης που διενεργείται από τον υπεύθυνο επεξεργασίας ο οποίος, αφού αξιολογήσει όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση, καταλήγει στο συμπέρασμα ότι υφίστανται οι κατάλληλες εγγυήσεις για την προστασία των δεδομένων (145). Επιπλέον, όταν οι διαβιβάσεις βασίζονται σε κατάλληλες εγγυήσεις, ο DPA 2018 προβλέπει ότι, πέραν του συνήθους εποπτικού ρόλου του ICO, οι αρμόδιες αρχές πρέπει να παρέχουν συγκεκριμένες πληροφορίες σχετικά με τις διαβιβάσεις στο ICO (146).

(80)

Εάν η διαβίβαση δεν βασίζεται σε απόφαση περί επάρκειας ή σε κατάλληλες εγγυήσεις, μπορεί να πραγματοποιηθεί μόνο σε ορισμένες, συγκεκριμένες περιστάσεις, οι οποίες αναφέρονται ως «ειδικές περιστάσεις» (147). Αυτό συμβαίνει όταν η διαβίβαση είναι αναγκαία: α) για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου· β) για την προστασία έννομων συμφερόντων του υποκειμένου των δεδομένων· γ) για την αποτροπή άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια κράτους μέλους ή τρίτης χώρας· δ) σε μεμονωμένες περιπτώσεις για τους σκοπούς επιβολής του νόμου· ή ε) σε μεμονωμένες περιπτώσεις για νόμιμο σκοπό (όπως στο πλαίσιο νομικών διαδικασιών ή για τη λήψη νομικών συμβουλών) (148). Επισημαίνεται ότι τα στοιχεία δ) και ε) δεν εφαρμόζονται εάν τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων υπερισχύουν του δημόσιου συμφέροντος της διαβίβασης (149). Αυτό το σύνολο περιστάσεων αντιστοιχεί στις ειδικές καταστάσεις και προϋποθέσεις που χαρακτηρίζονται ως «παρεκκλίσεις» βάσει του άρθρου 38 της οδηγίας (ΕΕ) 2016/680.

(81)

Υπό τις περιστάσεις αυτές, η ημερομηνία, η ώρα και η αιτιολόγηση της διαβίβασης, το όνομα και κάθε άλλη σχετική πληροφορία για τον αποδέκτη, καθώς και η περιγραφή των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα πρέπει να τεκμηριώνονται και να παρέχονται στον Επίτροπο Πληροφοριών κατόπιν αιτήματος (150).

(82)

Το άρθρο 78 του DPA 2018 ρυθμίζει την περίπτωση των «μεταγενέστερων διαβιβάσεων», συγκεκριμένα όταν δεδομένα προσωπικού χαρακτήρα που έχουν διαβιβαστεί από το Ηνωμένο Βασίλειο σε τρίτη χώρα διαβιβάζονται στη συνέχεια σε άλλη τρίτη χώρα ή σε διεθνή οργανισμό. Σύμφωνα με το άρθρο 78 παράγραφος 1, ο διαβιβάζων υπεύθυνος επεξεργασίας του Ηνωμένου Βασιλείου πρέπει να θέσει ως προϋπόθεση της διαβίβασης ότι τα δεδομένα δεν πρέπει να διαβιβαστούν περαιτέρω σε τρίτη χώρα χωρίς την έγκριση του διαβιβάζοντος υπευθύνου επεξεργασίας. Επιπλέον, σύμφωνα με το άρθρο 78 παράγραφος 3 και όπως προβλέπεται στο άρθρο 35 παράγραφος 1 στοιχείο ε) της οδηγίας (ΕΕ) 2016/680, σε περίπτωση που απαιτείται τέτοια άδεια, ισχύουν ορισμένες ουσιαστικές απαιτήσεις. Ειδικότερα, όταν αποφασίζει αν θα εγκρίνει ή όχι τη διαβίβαση, η αρμόδια αρχή πρέπει να διασφαλίζει ότι η περαιτέρω διαβίβαση είναι αναγκαία για σκοπούς επιβολής του νόμου και θα πρέπει να εξετάζει, μεταξύ άλλων παραγόντων, α) τη σοβαρότητα των περιστάσεων που οδήγησαν στην αίτηση έγκρισης, β) τον σκοπό για τον οποίο διαβιβάστηκαν αρχικά τα δεδομένα προσωπικού χαρακτήρα και γ) τα πρότυπα για την προστασία των δεδομένων προσωπικού χαρακτήρα που ισχύουν στην τρίτη χώρα ή στον διεθνή οργανισμό στην οποία/στον οποίο θα διαβιβαστούν τα δεδομένα προσωπικού χαρακτήρα.

(83)

Επιπλέον, όταν τα δεδομένα που υπόκεινται σε περαιτέρω διαβίβαση από το Ηνωμένο Βασίλειο διαβιβάστηκαν αρχικά από την Ευρωπαϊκή Ένωση, ισχύουν πρόσθετες εγγυήσεις.

(84)

Πρώτον, το άρθρο 73 παράγραφος 1 στοιχείο b) του DPA 2018 –όπως και το άρθρο 35 παράγραφος 1 στοιχείο γ) της οδηγίας (ΕΕ) 2016/680– προβλέπει ότι σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα αρχικά διαβιβάστηκαν ή διατέθηκαν με άλλον τρόπο στον υπεύθυνο επεξεργασίας ή σε άλλη αρμόδια αρχή από κράτος μέλος, το εν λόγω κράτος μέλος, ή οποιοδήποτε πρόσωπο εγκατεστημένο στο εν λόγω κράτος μέλος το οποίο είναι αρμόδια αρχή για τους σκοπούς της οδηγίας (ΕΕ) 2016/680, πρέπει να έχει επιτρέψει τη διαβίβαση σύμφωνα με το δίκαιο του κράτους μέλους.

(85)

Ωστόσο, όπως και στο άρθρο 35 παράγραφος 2, της οδηγίας (ΕΕ) 2016/680, η σχετική έγκριση δεν απαιτείται όταν α) η διαβίβαση είναι αναγκαία για την αποτροπή άμεσης και σοβαρής απειλής είτε για τη δημόσια ασφάλεια κράτους μέλους ή τρίτης χώρας είτε για τα ουσιώδη συμφέροντα κράτους μέλους και β) η έγκριση δεν μπορεί να ληφθεί εγκαίρως. Στην περίπτωση αυτή, η αρχή του κράτους μέλους που θα ήταν υπεύθυνη να αποφασίσει αν θα εγκρίνει τη διαβίβαση πρέπει να ενημερώνεται χωρίς καθυστέρηση (151).

(86)

Δεύτερον, η ίδια προσέγγιση ισχύει και στην περίπτωση δεδομένων που αρχικά διαβιβάστηκαν από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο και στη συνέχεια διαβιβάζονται περαιτέρω από το Ηνωμένο Βασίλειο σε τρίτη χώρα η οποία στη συνέχεια τα διαβιβάζει περαιτέρω σε τρίτη χώρα. Στην περίπτωση αυτή, σύμφωνα με το άρθρο 78 παράγραφος 4, η αρμόδια αρχή του Ηνωμένου Βασιλείου δεν μπορεί να χορηγήσει την άδειά της στην τελευταία διαβίβαση, σύμφωνα με το άρθρο 78 παράγραφος 1, εκτός εάν το «κράτος μέλος [το οποίο διαβίβασε αρχικά τα εν λόγω δεδομένα], ή οποιοδήποτε πρόσωπο με έδρα στο εν λόγω κράτος μέλος το οποίο είναι αρμόδια αρχή για τους σκοπούς της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, έχει επιτρέψει τη διαβίβαση σύμφωνα με το δίκαιο του κράτους μέλους». Οι εγγυήσεις αυτές είναι σημαντικές, καθώς επιτρέπουν στις αρχές των κρατών μελών να διασφαλίζουν τη συνέχεια της προστασίας, σε συμμόρφωση με την ενωσιακή νομοθεσία για την προστασία των δεδομένων, σε όλο το μήκος της «αλυσίδας διαβίβασης».

(87)

Το νέο αυτό πλαίσιο για τις διεθνείς διαβιβάσεις τέθηκε σε εφαρμογή κατά τη λήξη της μεταβατικής περιόδου (152). Ωστόσο, σύμφωνα με τις παραγράφους 10-12 του παραρτήματος 21 (που θεσπίστηκαν με τους κανονισμούς DPPEC) προβλέπεται ότι, από τη λήξη της μεταβατικής περιόδου, ορισμένες διαβιβάσεις δεδομένων προσωπικού χαρακτήρα αντιμετωπίζονται ωσάν να βασίζονται σε κανονισμούς περί επάρκειας. Οι εν λόγω διαβιβάσεις περιλαμβάνουν διαβιβάσεις σε κράτος μέλος, σε κράτος της ΕΖΕΣ, τρίτη χώρα που αποτελεί αντικείμενο ενωσιακής απόφασης επάρκειας κατά τη λήξη της μεταβατικής περιόδου και το έδαφος του Γιβραλτάρ. Κατά συνέπεια, οι διαβιβάσεις προς τις χώρες αυτές μπορούν να συνεχιστούν όπως και πριν από την αποχώρηση του Ηνωμένου Βασιλείου από την Ένωση. Μετά τη λήξη της μεταβατικής περιόδου, ο ανώτερος υπουργός πρέπει να προβεί σε επανεξέταση των διαπιστώσεων επάρκειας εντός περιόδου τεσσάρων ετών, δηλαδή έως το τέλος Δεκεμβρίου του 2024. Σύμφωνα με την εξήγηση που έδωσαν οι αρχές του Ηνωμένου Βασιλείου, μολονότι ο ανώτερος υπουργός πρέπει να προβεί στην εν λόγω επανεξέταση έως το τέλος Δεκεμβρίου του 2024, οι μεταβατικές διατάξεις δεν περιλαμβάνουν διάταξη «λήξης ισχύος» και οι σχετικές μεταβατικές διατάξεις δεν θα παύσουν αυτομάτως να παράγουν αποτελέσματα εάν η επανεξέταση δεν ολοκληρωθεί έως το τέλος Δεκεμβρίου του 2024.

(88)

Βάσει της αρχής της λογοδοσίας, οι δημόσιες αρχές που υποβάλλουν σε επεξεργασία δεδομένα πρέπει να θεσπίζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να συμμορφώνονται ουσιαστικά με τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων και να είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους, ειδικά στην αρμόδια εποπτική αρχή.

(89)

Η αρχή αυτή αντικατοπτρίζεται στο άρθρο 56 του DPA 2018, ο οποίος θεσπίζει γενική υποχρέωση λογοδοσίας για τον υπεύθυνο επεξεργασίας, δηλαδή την υποχρέωσή του να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζει, και να είναι σε θέση να αποδεικνύει, ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα συμμορφώνεται με τις απαιτήσεις του μέρους 3 του DPA 2018. Τα μέτρα που εφαρμόζονται πρέπει να επανεξετάζονται και να επικαιροποιούνται όπου είναι αναγκαίο και, όταν δικαιολογούνται σε σχέση με την επεξεργασία, πρέπει να περιλαμβάνουν κατάλληλες πολιτικές για την προστασία των δεδομένων.

(90)

Σύμφωνα με το κεφάλαιο IV της οδηγίας (ΕΕ) 2016/680, τα άρθρα 55-71 του DPA 2018 προβλέπουν διαφορετικούς μηχανισμούς για τη διασφάλιση της λογοδοσίας και την παροχή δυνατότητας στους υπευθύνους επεξεργασίας και στους εκτελούντες την επεξεργασία να αποδεικνύουν τη συμμόρφωση. Ειδικότερα, οι υπεύθυνοι επεξεργασίας υποχρεούνται να εφαρμόζουν μέτρα προστασίας των δεδομένων από τον σχεδιασμό και εξ ορισμού, δηλαδή να διασφαλίζουν ότι οι αρχές προστασίας των δεδομένων εφαρμόζονται αποτελεσματικά, και υποχρεούνται να τηρούν αρχεία όλων των κατηγοριών δραστηριοτήτων επεξεργασίας για τις οποίες φέρει την ευθύνη ο υπεύθυνος επεξεργασίας (συμπεριλαμβανομένων των πληροφοριών σχετικά με την ταυτότητα του υπευθύνου επεξεργασίας, τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, τους σκοπούς της επεξεργασίας, τις κατηγορίες αποδεκτών των κοινολογήσεων και περιγραφή των κατηγοριών των υποκειμένων των δεδομένων και των δεδομένων προσωπικού χαρακτήρα) και να τηρούν τα αρχεία αυτά στη διάθεση του Επιτρόπου Πληροφοριών κατόπιν αιτήματος. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία πρέπει επίσης να τηρούν αρχεία καταχώρισης για ορισμένες πράξεις επεξεργασίας και να τα θέτουν στη διάθεση του Επιτρόπου Πληροφοριών (153). Οι υπεύθυνοι επεξεργασίας υποχρεούνται επίσης ρητά να συνεργάζονται με τον Επίτροπο Πληροφοριών κατά την εκτέλεση των καθηκόντων του.

(91)

Ο DPA 2018 προβλέπει επίσης πρόσθετες απαιτήσεις για την επεξεργασία που ενδέχεται να έχει ως αποτέλεσμα μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Σ’ αυτές περιλαμβάνεται η υποχρέωση διενέργειας εκτιμήσεων επιπτώσεων σχετικά με την προστασία των δεδομένων και διαβούλευσης με τον Επίτροπο Πληροφοριών πριν από την επεξεργασία, εάν η εν λόγω εκτίμηση υποδεικνύει ότι η επεξεργασία θα είχε ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων (ελλείψει μέτρων για τον μετριασμό του κινδύνου).

(92)

Επιπλέον, οι υπεύθυνοι επεξεργασίας πρέπει να διορίζουν υπεύθυνο προστασίας δεδομένων, εκτός εάν ο υπεύθυνος επεξεργασίας είναι δικαστήριο ή άλλη δικαστική αρχή που ενεργεί στο πλαίσιο της δικαιοδοτικής του/της αρμοδιότητας (154). Ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει σε όλα τα ζητήματα που αφορούν την προστασία των δεδομένων προσωπικού χαρακτήρα, να διαθέτει τους απαραίτητους πόρους και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, και να μπορεί να εκτελεί ανεξάρτητα τα καθήκοντά του. Τα καθήκοντα του υπευθύνου προστασίας δεδομένων ορίζονται στο άρθρο 71 του DPA 2018, συμπεριλαμβανομένης της παροχής πληροφοριών και συμβουλών, της παρακολούθησης της συμμόρφωσης, καθώς και της συνεργασίας με τον Επίτροπο Πληροφοριών και του ρόλου του ως σημείου επαφής μαζί του. Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων πρέπει να λαμβάνει υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.

(93)

Για να είναι εγγυημένη η διασφάλιση επαρκούς επιπέδου προστασίας των δεδομένων και στην πράξη, είναι αναγκαία η ίδρυση ανεξάρτητης εποπτικής αρχής στην οποία ανατίθενται εξουσίες παρακολούθησης και επιβολής της συμμόρφωσης με τους κανόνες προστασίας των δεδομένων. Η αρχή αυτή πρέπει να λειτουργεί με πλήρη ανεξαρτησία και αμεροληψία κατά την εκτέλεση των καθηκόντων και την άσκηση των εξουσιών της.

(94)

Στο Ηνωμένο Βασίλειο, ο Επίτροπος Πληροφοριών διενεργεί την εποπτεία και την επιβολή της συμμόρφωσης με τον ΓΚΠΔ του Ηνωμένου Βασιλείου και τον DPA 2018 (155). Ο Επίτροπος Πληροφοριών εποπτεύει επίσης την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές η οποία εμπίπτει στο πεδίο εφαρμογής του μέρους 3 του DPA 2018 (156). Ο Επίτροπος Πληροφοριών είναι ειδικής μορφής νομικό πρόσωπο (Corporation Sole): χωριστή νομική οντότητα που συνίσταται σε ένα και μόνο πρόσωπο. Ο Επίτροπος Πληροφοριών υποστηρίζεται στο έργο του από γραφείο. Στις 31 Μαρτίου 2020 το Γραφείο του Επιτρόπου Πληροφοριών είχε 768 μόνιμους υπαλλήλους ως προσωπικό (157). Το υπουργείο που χρηματοδοτεί τον Επίτροπο Πληροφοριών είναι το υπουργείο Ψηφιακής Πολιτικής, Πολιτισμού, Μέσων Μαζικής Ενημέρωσης και Αθλητισμού (158).

(95)

Η ανεξαρτησία του Επιτρόπου κατοχυρώνεται ρητά στο άρθρο 52 του ΓΚΠΔ του Ηνωμένου Βασιλείου, το οποίο αντικατοπτρίζει τις απαιτήσεις που ορίζονται στο άρθρο 52 παράγραφοι 1 έως 3 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (159). Ο Επίτροπος πρέπει να εκτελεί τα καθήκοντά του και να ασκεί τις εξουσίες του με πλήρη ανεξαρτησία σύμφωνα με τον ΓΚΠΔ του Ηνωμένου Βασιλείου, χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, σε σχέση με τα εν λόγω καθήκοντα και εξουσίες, και να μην ζητεί ούτε να λαμβάνει οδηγίες από κανέναν. Ο Επίτροπος πρέπει επίσης να απέχει από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά του και, κατά τη διάρκεια της θητείας του, να μην ασκεί κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη.

(96)

Οι προϋποθέσεις για τον διορισμό και την παύση του Επιτρόπου Πληροφοριών καθορίζονται στο παράρτημα 12 του DPA 2018. Ο Επίτροπος Πληροφοριών διορίζεται από τη Βασίλισσα μετά από σύσταση της κυβέρνησης βάσει δίκαιου και ανοικτού διαγωνισμού. Ο υποψήφιος πρέπει να διαθέτει τα κατάλληλα προσόντα, δεξιότητες και ικανότητες. Σύμφωνα με τον κώδικα διακυβέρνησης για τους δημόσιους διορισμούς (160), συμβουλευτική επιτροπή αξιολόγησης καταρτίζει κατάλογο με τους υποψήφιους που μπορούν να διοριστούν. Πριν από την οριστικοποίηση της απόφασης του ανώτερου υπουργού Ψηφιακής Πολιτικής, Πολιτισμού, Μέσων Ενημέρωσης και Αθλητισμού, η αρμόδια ειδική επιτροπή (Select Committee) του Κοινοβουλίου πρέπει να διενεργεί έλεγχο πριν από τον διορισμό. Η θέση της επιτροπής δημοσιοποιείται (161).

(97)

Ο Επίτροπος Πληροφοριών ασκεί θητεία έως επτά ετών. Ο Επίτροπος Πληροφοριών μπορεί να παυθεί από τα καθήκοντά του από την Αυτής Μεγαλειότητα μετά από αναγγελία και των δύο σωμάτων του Κοινοβουλίου (162). Δεν μπορεί να υποβληθεί αίτηση παύσης του επιτρόπου Πληροφοριών σε κανένα από τα δύο σώματα του Κοινοβουλίου, εκτός εάν ο υπουργός έχει υποβάλει έκθεση στο σχετικό σώμα στην οποία αναφέρεται ότι είναι πεπεισμένος ότι ο επίτροπος Πληροφοριών είναι ένοχος σοβαρού παραπτώματος και/ή ότι ο επίτροπος δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του (163).

(98)

Η χρηματοδότηση του επιτρόπου Πληροφοριών προέρχεται από τρεις πηγές: i) τα τέλη προστασίας δεδομένων που καταβάλλουν οι υπεύθυνοι επεξεργασίας, τα οποία καθορίζονται από κανονισμούς του υπουργού (164) και ανέρχονται στο 85-90 % του ετήσιου προϋπολογισμού του Γραφείου (165)· ii) την επιχορήγηση που μπορεί να καταβάλει η κυβέρνηση στον επίτροπο Πληροφοριών και η οποία χρησιμοποιείται κυρίως για τη χρηματοδότηση των λειτουργικών δαπανών του επιτρόπου Πληροφοριών όσον αφορά καθήκοντα που δεν σχετίζονται με την προστασία των δεδομένων (166)· iii) τα τέλη που χρεώνονται για υπηρεσίες (167). Επί του παρόντος, δεν χρεώνονται τα εν λόγω τέλη.

(99)

Τα γενικά καθήκοντα του Επιτρόπου Πληροφοριών σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που εμπίπτει στο πεδίο εφαρμογής του μέρους 3 του DPA 2018 καθορίζονται στο παράρτημα 13 του εν λόγω νόμου. Στα καθήκοντα περιλαμβάνονται η παρακολούθηση και η επιβολή του μέρους 3 του DPA 2018, η προώθηση της ευαισθητοποίησης του κοινού, η παροχή συμβουλών στο Κοινοβούλιο, στην κυβέρνηση και σε άλλα όργανα όσον αφορά νομοθετικά και διοικητικά μέτρα, η προώθηση της ευαισθητοποίησης των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους, η παροχή πληροφοριών στο υποκείμενο των δεδομένων σχετικά με την άσκηση των δικαιωμάτων του και η διεξαγωγή ερευνών. Για τη διατήρηση της ανεξαρτησίας της δικαστικής εξουσίας, ο Επίτροπος Πληροφοριών δεν έχει την εξουσία να ασκεί τα καθήκοντά του σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από πρόσωπο ή δικαστήριο ή δικαιοδοτικό όργανο που ενεργεί στο πλαίσιο της δικαιοδοτικής του αρμοδιότητας. Ωστόσο, η εποπτεία της δικαστικής εξουσίας εξασφαλίζεται από εξειδικευμένα όργανα, τα οποία εξετάζονται κατωτέρω.

(100)

Ο Επίτροπος διαθέτει γενικές ερευνητικές, διορθωτικές, αδειοδοτικές και συμβουλευτικές εξουσίες σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα η οποία διέπεται από το μέρος 3 του DPA 2018. Ο Επίτροπος έχει την εξουσία να ενημερώνει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του μέρους 3, να απευθύνει προειδοποιήσεις σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν τις διατάξεις του μέρους 3 και να απευθύνει επιπλήξεις σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του μέρους 3. Επιπροσθέτως, ο Επίτροπος, με δική του πρωτοβουλία ή κατόπιν αιτήματος, δύναται να εκδίδει γνωμοδοτήσεις προς το Κοινοβούλιο, την κυβέρνηση ή άλλα όργανα και οργανισμούς του Ηνωμένου Βασιλείου, καθώς και προς το κοινό, για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα (168).

(101)

Επιπλέον, ο Επίτροπος έχει την εξουσία:

(102)

Η πολιτική ρυθμιστικής δράσης του ICO καθορίζει τις περιστάσεις υπό τις οποίες ο Επίτροπος θα εκδίδει, αντίστοιχα, ειδοποίηση παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων και επιβολής κυρώσεων (173). Η ειδοποίηση επιβολής μέτρων μπορεί να επιβάλλει απαιτήσεις τις οποίες ο Επίτροπος θεωρεί κατάλληλες για τους σκοπούς της επανόρθωσης της μη συμμόρφωσης. Η ειδοποίηση επιβολής κυρώσεων απαιτεί από το πρόσωπο να καταβάλει στον Επίτροπο Πληροφοριών το ποσό που καθορίζεται στην ειδοποίηση. Ειδοποίηση επιβολής κυρώσεων μπορεί να εκδοθεί σε περίπτωση μη συμμόρφωσης με ορισμένες διατάξεις του DPA 2018 (174) ή να απευθυνθεί σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία που δεν συμμορφώθηκε με ειδοποίηση παροχής πληροφοριών, ειδοποίηση διενέργειας αξιολόγησης ή ειδοποίηση επιβολής μέτρων.

(103)

Ειδικότερα, προκειμένου να καθοριστεί αν ο Επίτροπος Πληροφοριών θα απευθύνει ειδοποίηση επιβολής κυρώσεων σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία αλλά και για να καθοριστεί το ύψος της ποινής, ο Επίτροπος Πληροφοριών πρέπει να λαμβάνει υπόψη τα θέματα που απαριθμούνται στο άρθρο 155 παράγραφος 3 του DPA 2018, μεταξύ άλλων τη φύση και τη σοβαρότητα της μη συμμόρφωσης, τον εκ προθέσεως ή εξ αμελείας χαρακτήρα της μη συμμόρφωσης, τυχόν ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για τον μετριασμό της ζημίας που υπέστησαν τα υποκείμενα των δεδομένων, τον βαθμό ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία (λαμβανομένων υπόψη των τεχνικών και οργανωτικών μέτρων που εφαρμόζει ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία), τυχόν σχετικές προηγούμενες περιπτώσεις μη συμμόρφωσης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία· τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζονται από τη μη συμμόρφωση και το αν η κύρωση θα ήταν αποτελεσματική, αναλογική και αποτρεπτική.

(104)

Το μέγιστο ποσό της ποινής που μπορεί να επιβληθεί μέσω ειδοποίησης επιβολής κυρώσεων είναι α) 17 500 000 λίρες στερλίνες (GBP) όσον αφορά τη μη συμμόρφωση με τις αρχές προστασίας των δεδομένων (άρθρα 35, 36, 37, 38 παράγραφος 1, 39 παράγραφος 1 και άρθρο 40 του DPA 2018), τις υποχρεώσεις διαφάνειας και τα ατομικά δικαιώματα (άρθρα 44, 45, 46, 47, 48, 49, 52 και 53 του DPA 2018), καθώς και τις αρχές για τις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα (άρθρα 73, 75, 76, 77 ή 78 του DPA 2018)· και β) σε άλλη περίπτωση, 8 700 000 GBP (175). Όσον αφορά μη συμμόρφωση με ειδοποίηση παροχής πληροφοριών, ειδοποίηση διενέργειας αξιολόγησης ή ειδοποίηση επιβολής μέτρων, το μέγιστο ποσό της ποινής που μπορεί να επιβληθεί μέσω ειδοποίησης επιβολής κυρώσεων ανέρχεται σε 17 500 000 GBP.

(105)

Σύμφωνα με τις τελευταίες ετήσιες εκθέσεις της (2018-2019 (176), 2019-2020 (177)), η Επίτροπος Πληροφοριών έχει διεξαγάγει σειρά ερευνών όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρχές επιβολής του ποινικού δικαίου. Για παράδειγμα, η Επίτροπος διεξήγαγε έρευνα και δημοσίευσε γνώμη τον Οκτώβριο του 2019 σχετικά με τη χρήση της τεχνολογίας αναγνώρισης προσώπου από τις αρχές επιβολής του νόμου σε δημόσιους χώρους. Η έρευνα επικεντρώθηκε ειδικότερα στη χρήση των δυνατοτήτων ζωντανής αναγνώρισης προσώπου από την αστυνομία της Νότιας Ουαλίας και τη Μητροπολιτική Αστυνομία (Metropolitan Police Service, MPS). Επιπλέον, η Επίτροπος διερεύνησε τον «Κατάλογο συμμοριών» (Gangs matrix) (178) της MPS και διαπίστωσε σειρά σοβαρών παραβάσεων της νομοθεσίας για την προστασία των δεδομένων που ήταν πιθανό να υπονομεύσουν την εμπιστοσύνη του κοινού στο εν λόγω εργαλείο και τη χρήση των δεδομένων.

(106)

Τον Νοέμβριο του 2018 η νυν επίτροπος Πληροφοριών εξέδωσε ειδοποίηση επιβολής μέτρων και, στη συνέχεια, η MPS έλαβε τα απαιτούμενα μέτρα για την αύξηση της ασφάλειας και της λογοδοσίας, αλλά και για τη διασφάλιση της αναλογικής χρήσης των δεδομένων.

(107)

Άλλο παράδειγμα πρόσφατης επιβολής είναι το πρόστιμο των 325 000 GBP που επέβαλε η νυν επίτροπος τον Μάιο του 2018 σε βάρος της Εισαγγελικής Αρχής του Στέμματος, για την απώλεια μη κρυπτογραφημένων DVD που περιείχαν ηχογραφήσεις καταθέσεων στην αστυνομία. Επιπλέον, η νυν επίτροπος Πληροφοριών διεξήγαγε έρευνες για ευρύτερα θέματα, όπως για παράδειγμα, κατά το πρώτο εξάμηνο του 2020, έρευνα σχετικά με τη χρήση της εξαγωγής δεδομένων από κινητά τηλέφωνα στο πλαίσιο της αστυνόμευσης και την επεξεργασία δεδομένων θυμάτων από την αστυνομία.

(108)

Εκτός από τις εν λόγω εξουσίες επιβολής του επιτρόπου Πληροφοριών, ορισμένες παραβάσεις της νομοθεσίας για την προστασία των δεδομένων συνιστούν αδικήματα και ενδέχεται, ως εκ τούτου, να υπόκεινται σε ποινικές κυρώσεις (άρθρο 196 του DPA 2018). Αυτό ισχύει, για παράδειγμα, για τη λήψη ή την κοινολόγηση δεδομένων προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπευθύνου επεξεργασίας και για την παροχή της κοινολόγησης δεδομένων προσωπικού χαρακτήρα σε άλλο πρόσωπο χωρίς τη συγκατάθεση του υπευθύνου επεξεργασίας (179)· για την επαναταυτοποίηση πληροφοριών που αποτελούν αποταυτοποιημένα δεδομένα προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπεύθυνου για την αποταυτοποίηση των δεδομένων προσωπικού χαρακτήρα υπευθύνου επεξεργασίας (180)· για τη με πρόθεση παρακώλυση της άσκησης των εξουσιών του Επιτρόπου όσον αφορά την επιθεώρηση δεδομένων προσωπικού χαρακτήρα σύμφωνα με διεθνείς υποχρεώσεις (181), την υποβολή ψευδών δηλώσεων σε απάντηση σε ειδοποίηση παροχής πληροφοριών ή την καταστροφή πληροφοριών σε σχέση με ειδοποιήσεις παροχής πληροφοριών και διενέργειας αξιολόγησης (182).

(109)

Ο Επίτροπος Πληροφοριών έχει επίσης καθήκον, σύμφωνα με το άρθρο 139 του DPA 2018, να υποβάλλει σε κάθε σώμα του Κοινοβουλίου γενική έκθεση σχετικά με την άσκηση των καθηκόντων του βάσει του νόμου (183).

(110)

Η εποπτεία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα δικαστήρια και το δικαστικό σώμα είναι διττή. Όταν ένας κάτοχος δικαστικού αξιώματος ή ένα δικαστήριο δεν ενεργεί στο πλαίσιο της δικαιοδοτικής του αρμοδιότητας, η εποπτεία διασφαλίζεται από τον Επίτροπο Πληροφοριών. Όταν ο υπεύθυνος επεξεργασίας ενεργεί στο πλαίσιο της δικαιοδοτικής του αρμοδιότητας, το ICO δεν μπορεί να ασκεί τα εποπτικά του καθήκοντα (184) και η εποπτεία διενεργείται από ειδικούς φορείς. Αυτό αντικατοπτρίζει την προσέγγιση που ακολουθείται στο άρθρο 32 της οδηγίας (ΕΕ) 2016/680.

(111)

Ειδικότερα, στη δεύτερη περίπτωση, όσον αφορά τα δικαστήρια της Αγγλίας και της Ουαλίας και τα πρωτοδικεία διοικητικών διαφορών (First-tier Tribunals) και τα εφετεία διοικητικών διαφορών (Upper Tribunals) της Αγγλίας και της Ουαλίας, η εν λόγω εποπτεία παρέχεται από την Ειδική Ομάδα Προστασίας Δικαστικών Δεδομένων (Judicial Data Protection Panel) (185). Επιπλέον, ο λόρδος αρχιδικαστής (Lord Chief Justice) και o ανώτατος πρόεδρος των ειδικών δικαιοδοτικών οργάνων (Senior President of Tribunals) εξέδωσαν δήλωση περί προστασίας της ιδιωτικότητας (186), στην οποία περιγράφεται ο τρόπος με τον οποίο τα δικαστήρια της Αγγλίας και της Ουαλίας επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα για την άσκηση δικαστικών καθηκόντων. Παρόμοια δήλωση έχει εκδοθεί από το δικαστικό σώμα της Βόρειας Ιρλανδίας (187) και της Σκωτίας (188).

(112)

Επιπλέον, στη Βόρεια Ιρλανδία, ο λόρδος αρχιδικαστής της Βόρειας Ιρλανδίας έχει διορίσει δικαστή του Ανώτερου Δικαστηρίου (High Court) ως δικαστή εποπτείας δεδομένων (Data Supervisory Judge, DSJ) (189). Έχει επίσης εκδώσει οδηγίες προς το δικαστικό σώμα της Βόρειας Ιρλανδίας σχετικά με τις ενέργειες που πρέπει να πραγματοποιούνται σε περίπτωση απώλειας ή δυνητικής απώλειας δεδομένων και τη διαδικασία αντιμετώπισης τυχόν ζητημάτων που προκύπτουν συναφώς (190).

(113)

Στη Σκωτία, ο Λόρδος πρόεδρος (Lord President) έχει διορίσει έναν δικαστή εποπτείας δεδομένων για τη διερεύνηση τυχόν καταγγελιών για λόγους προστασίας των δεδομένων. Ο εν λόγω διορισμός προβλέπεται από τους κανόνες για τις δικαστικές καταγγελίες, που αντικατοπτρίζουν εκείνους που θεσπίστηκαν για την Αγγλία και την Ουαλία (191).

(114)

Τέλος, στο Ανώτατο Δικαστήριο (Supreme Court), διορίζεται ένας από τους δικαστές του Ανώτατου Δικαστηρίου για την εποπτεία της προστασίας των δεδομένων.

(115)

Για να διασφαλίζεται επαρκής προστασία και ειδικότερα η επιβολή των ατομικών δικαιωμάτων, το υποκείμενο των δεδομένων πρέπει να έχει στη διάθεσή του αποτελεσματικά μέσα διοικητικής και δικαστικής προσφυγής, συμπεριλαμβανομένης της αποζημίωσης.

(116)

Πρώτον, το υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στον Επίτροπο Πληροφοριών εάν θεωρεί ότι έχει υπάρξει παράβαση του μέρους 3 του DPA 2018, σε σχέση με δεδομένα προσωπικού χαρακτήρα που το αφορούν (192). Όπως περιγράφεται στις αιτιολογικές σκέψεις (100) και (109), ο Επίτροπος Πληροφοριών έχει την εξουσία να αξιολογεί τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τον DPA 2018, να τους υποχρεώνει να λαμβάνουν αναγκαία μέτρα σε περίπτωση μη συμμόρφωσης ή να απέχουν από τη λήψη μέτρων και να επιβάλλει πρόστιμα.

(117)

Δεύτερον, ο DPA 2018 παρέχει δικαίωμα προσφυγής κατά του Επιτρόπου Πληροφοριών. Εάν ο Επίτροπος δεν «προωθήσει» (193) τη διεκπεραίωση καταγγελίας που έχει υποβληθεί από το υποκείμενο των δεδομένων, ο καταγγέλλων έχει δικαίωμα δικαστικής προσφυγής, καθώς μπορεί να υποβάλει αίτηση σε πρωτοδικείο διοικητικών διαφορών (194) για να διατάξει τον Επίτροπο να λάβει τα κατάλληλα μέτρα ώστε να απαντήσει στην καταγγελία ή να ενημερώσει τον καταγγέλλοντα σχετικά με την πρόοδο της καταγγελίας (195). Επιπλέον, κάθε πρόσωπο το οποίο λαμβάνει από τον Επίτροπο οποιαδήποτε από τις ανωτέρω ειδοποιήσεις (παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων ή επιβολής κυρώσεων) μπορεί να προσφύγει ενώπιον πρωτοδικείου διοικητικών διαφορών. Εάν το δικαστήριο κρίνει ότι η απόφαση του Επιτρόπου δεν είναι σύμφωνη με τον νόμο ή ότι ο Επίτροπος Πληροφοριών θα έπρεπε να είχε ασκήσει τη διακριτική του ευχέρεια με διαφορετικό τρόπο, το δικαστήριο πρέπει να κάνει δεκτή την προσφυγή ή να αντικαταστήσει την ειδοποίηση με άλλη ειδοποίηση ή απόφαση που θα μπορούσε να είχε απευθύνει ή να είχε εκδώσει ο Επίτροπος Πληροφοριών (196).

(118)

Τρίτον, τα φυσικά πρόσωπα μπορούν να ασκήσουν δικαστική προσφυγή κατά υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία προσφεύγοντας απευθείας ενώπιον των δικαστηρίων σύμφωνα με το άρθρο 167 του DPA 2018. Εάν, κατόπιν αίτησης του υποκειμένου των δεδομένων, το δικαστήριο κρίνει ότι υπήρξε παραβίαση των δικαιωμάτων του εν λόγω υποκειμένου των δεδομένων βάσει της νομοθεσίας για την προστασία των δεδομένων, το δικαστήριο μπορεί να διατάξει τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία που ενεργεί για λογαριασμό του εν λόγω υπευθύνου επεξεργασίας, να λάβει τα μέτρα που προσδιορίζονται στη διαταγή ή να μην προβεί στη λήψη των μέτρων που προσδιορίζονται στη διαταγή. Επιπλέον, σύμφωνα με το άρθρο 169 του DPA 2018, κάθε πρόσωπο που υφίσταται ζημία λόγω παραβίασης απαίτησης της νομοθεσίας για την προστασία των δεδομένων (συμπεριλαμβανομένου του μέρους 3 του DPA 2018), εκτός από τον ΓΚΠΔ του Ηνωμένου Βασιλείου, δικαιούται αποζημίωση για τη ζημία αυτή από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αποδείξει ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν ευθύνεται με κανέναν τρόπο για το γεγονός που προκάλεσε τη ζημία. Η ζημία περιλαμβάνει τόσο την οικονομική ζημία όσο και τη μη οικονομική ζημία, όπως την πρόκληση οδύνης.

(119)

Τέταρτον, εφόσον οποιοδήποτε πρόσωπο θεωρεί ότι τα δικαιώματά του, συμπεριλαμβανομένων των δικαιωμάτων στην προστασία της ιδιωτικότητας και των δεδομένων, έχουν παραβιαστεί από δημόσιες αρχές, μπορεί να προσφύγει ενώπιον των δικαστηρίων του Ηνωμένου Βασιλείου βάσει του νόμου του 1998 για τα ανθρώπινα δικαιώματα. Οι υπεύθυνοι επεξεργασίας δυνάμει του μέρους 3 του DPA 2018, δηλαδή οι αρμόδιες αρχές, είναι πάντοτε δημόσιες αρχές κατά την έννοια του νόμου του 1998 για τα ανθρώπινα δικαιώματα. Ένα φυσικό πρόσωπο που ισχυρίζεται ότι μια δημόσια αρχή ενήργησε (ή προτίθεται να ενεργήσει) κατά τρόπο ασυμβίβαστο με δικαίωμα της σύμβασης, και κατά συνέπεια παράνομο δυνάμει του άρθρου 6 παράγραφος 1 του νόμου του 1998 για τα ανθρώπινα δικαιώματα, μπορεί να ασκήσει προσφυγή κατά της αρχής ενώπιον του αρμόδιου δικαστηρίου ή δικαιοδοτικού οργάνου, ή να επικαλεστεί τα σχετικά δικαιώματα σε οποιαδήποτε δικαστική διαδικασία, εφόσον είναι (ή θα ήταν) θύμα της παράνομης πράξης (197).

(120)

Εάν το δικαστήριο διαπιστώσει ότι οποιαδήποτε πράξη δημόσιας αρχής είναι παράνομη, μπορεί να χορηγήσει τη σχετική επανόρθωση ή αποκατάσταση, ή να εκδώσει τη διαταγή, στο πλαίσιο των αρμοδιοτήτων του, που κρίνει δίκαιη και κατάλληλη (198). Το δικαστήριο μπορεί επίσης να κηρύξει διάταξη πρωτογενούς δικαίου ασυμβίβαστη με δικαίωμα που διασφαλίζεται από την ΕΣΔΑ.

(121)

Τέλος, αφού εξαντλήσει τα εθνικά ένδικα μέσα, ένα πρόσωπο μπορεί να προσφύγει ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου για παραβιάσεις των δικαιωμάτων που κατοχυρώνονται στην ΕΣΔΑ.

(122)

Το δίκαιο του Ηνωμένου Βασιλείου επιτρέπει την κοινοποίηση δεδομένων από αρχή επιβολής του νόμου σε άλλες αρχές του Ηνωμένου Βασιλείου για σκοπούς διαφορετικούς από εκείνους για τους οποίους συλλέχθηκαν αρχικά (η λεγόμενη «περαιτέρω κοινοποίηση») υπό ορισμένες προϋποθέσεις.

(123)

Όπως προβλέπεται και στο άρθρο 4 παράγραφος 2 της οδηγίας (ΕΕ) 2016/680, το άρθρο 36 παράγραφος 3 του DPA 2018 επιτρέπει την περαιτέρω επεξεργασία των δεδομένων προσωπικού χαρακτήρα που συλλέχθηκαν από αρμόδια αρχή για σκοπούς επιβολής του νόμου (είτε από τον αρχικό υπεύθυνο επεξεργασίας είτε από άλλον υπεύθυνο επεξεργασίας) για οποιονδήποτε άλλο σκοπό επιβολής του νόμου, υπό την προϋπόθεση ότι ο υπεύθυνος επεξεργασίας είναι εκ του νόμου εξουσιοδοτημένος να επεξεργάζεται δεδομένα για τον εν λόγω άλλο σκοπό και ότι η επεξεργασία είναι αναγκαία και αναλογική (199). Στην περίπτωση αυτή, όλες οι εγγυήσεις που προβλέπονται στο μέρος 3 του DPA 2018 και οι οποίες αναλύονται ανωτέρω έχουν εφαρμογή στην επεξεργασία που διενεργείται από την αποδέκτρια αρχή.

(124)

Στην έννομη τάξη του Ηνωμένου Βασιλείου, η περαιτέρω κοινοποίηση επιτρέπεται ρητά από διάφορους νόμους. Ειδικότερα, i) ο νόμος του 2017 για την ψηφιακή οικονομία (Digital Economy Act 2017) επιτρέπει την ανταλλαγή δεδομένων μεταξύ δημόσιων αρχών για διάφορους σκοπούς, για παράδειγμα στην περίπτωση απάτης σε βάρος του δημόσιου τομέα η οποία συνεπάγεται ζημία ή κίνδυνο ζημίας για δημόσιες αρχές (200) ή σε περίπτωση χρέους προς δημόσια αρχή ή προς το Στέμμα (201)· ii) ο νόμος του 2013 για τη δίωξη του εγκλήματος και τα δικαστήρια επιτρέπει την κοινοποίηση πληροφοριών στην Εθνική Υπηρεσία Δίωξης του Εγκλήματος (NCA) (202) με σκοπό την καταπολέμηση, τη διερεύνηση και τη δίωξη του σοβαρού και οργανωμένου εγκλήματος· iii) ο νόμος του 2007 για τη δίωξη σοβαρών εγκλημάτων (Serious Crime Act 2007) επιτρέπει στις δημόσιες αρχές να κοινολογούν πληροφορίες σε οργανισμούς καταπολέμησης της απάτης με σκοπό την πρόληψη της απάτης (203).

(125)

Οι νόμοι αυτοί προβλέπουν ρητά ότι η κοινοποίηση πληροφοριών θα πρέπει να πραγματοποιείται σύμφωνα με τους κανόνες που καθορίζονται στον DPA 2018. Επιπλέον, το Σώμα των Εργαζομένων στην Αστυνόμευση έχει εκδώσει εγκεκριμένη επαγγελματική πρακτική σχετικά με την κοινοποίηση πληροφοριών (204) προκειμένου να συνδράμει την αστυνομία στη συμμόρφωση με τις υποχρεώσεις της όσον αφορά την προστασία δεδομένων βάσει του ΓΚΠΔ του Ηνωμένου Βασιλείου, του νόμου για την προστασία των δεδομένων και του νόμου του 1998 για τα ανθρώπινα δικαιώματα. Η συμμόρφωση της κοινοποίησης με το ισχύον νομικό πλαίσιο για την προστασία των δεδομένων μπορεί να υπόκειται, φυσικά, σε δικαστικό έλεγχο (205).

(126)

Επιπλέον, όπως προβλέπεται και στο άρθρο 9 της οδηγίας (ΕΕ) 2016/680, ο DPA 2018 προβλέπει ότι τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται για οποιονδήποτε σκοπό επιβολής του νόμου μπορούν να υποβάλλονται σε επεξεργασία για σκοπό που δεν ανάγεται στην επιβολή του νόμου, αν η επεξεργασία επιτρέπεται από τον νόμο (206). Αυτού του είδους η κοινοποίηση καλύπτει δύο σενάρια: 1) την περίπτωση στην οποία μια αρχή επιβολής του ποινικού δικαίου κοινοποιεί δεδομένα σε αρχή επιβολής του νόμου σε τομείς πέραν του ποινικού δικαίου η οποία δεν είναι υπηρεσία πληροφοριών (όπως π.χ. οικονομική ή φορολογική αρχή, αρχή ανταγωνισμού, υπηρεσία κοινωνικής μέριμνας για τους νέους)· 2) την περίπτωση στην οποία μια αρχή επιβολής του ποινικού δικαίου κοινοποιεί δεδομένα σε υπηρεσία πληροφοριών. Στο πρώτο σενάριο, η επεξεργασία δεδομένων προσωπικού χαρακτήρα εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ του Ηνωμένου Βασιλείου, καθώς και στο μέρος 2 του DPA 2018. Όπως προσδιορίζεται στην απόφαση που εκδόθηκε δυνάμει του κανονισμού (ΕΕ) 2016/679, οι εγγυήσεις που προβλέπονται από τον ΓΚΠΔ του Ηνωμένου Βασιλείου και το μέρος 2 του DPA 2018 παρέχουν επίπεδο προστασίας το οποίο είναι κατ’ ουσίαν ισοδύναμο με εκείνο που παρέχεται εντός της Ένωσης (207).

(127)

Στο δεύτερο σενάριο, όσον αφορά την κοινοποίηση δεδομένων που συλλέγονται από αρχή επιβολής του ποινικού δικαίου σε υπηρεσία πληροφοριών για σκοπούς εθνικής ασφάλειας, η νομική βάση που επιτρέπει την εν λόγω κοινοποίηση είναι ο νόμος του 2008 για την καταπολέμηση της τρομοκρατίας (Counter Terrorism Act, CTA 2008) (208). Σύμφωνα με τον CTA 2008, κάθε πρόσωπο μπορεί να παρέχει πληροφορίες σε οποιαδήποτε από τις υπηρεσίες πληροφοριών με σκοπό την εκπλήρωση οποιουδήποτε από τα καθήκοντα της εν λόγω υπηρεσίας, συμπεριλαμβανομένης της «εθνικής ασφάλειας».

(128)

Όσον αφορά τις προϋποθέσεις υπό τις οποίες μπορούν να κοινοποιούνται δεδομένα για σκοπούς εθνικής ασφάλειας, ο νόμος για τις υπηρεσίες πληροφοριών (Intelligence Services Act) και ο νόμος για την Υπηρεσία Ασφάλειας (Security Service Act) περιορίζουν τη δυνατότητα των υπηρεσιών πληροφοριών να λαμβάνουν δεδομένα σε ό,τι είναι αναγκαίο για την εκπλήρωση των εκ του νόμου καθηκόντων τους. Οι αρμόδιες αρχές που εμπίπτουν στο πεδίο εφαρμογής του μέρους 3 του DPA 2018 και επιδιώκουν την κοινοποίηση δεδομένων στις υπηρεσίες πληροφοριών θα πρέπει να εξετάσουν διάφορους παράγοντες/περιορισμούς επιπλέον των εκ του νόμου καθηκόντων των υπηρεσιών τα οποία καθορίζονται στον νόμο για τις υπηρεσίες πληροφοριών και στον νόμο για την Υπηρεσία Ασφάλειας (209). Το άρθρο 20 του CTA 2008 ορίζει σαφώς ότι κάθε κοινοποίηση δεδομένων που πραγματοποιείται σύμφωνα με το άρθρο 19 του CTA 2008 πρέπει να συμμορφώνεται με τη νομοθεσία για την προστασία των δεδομένων· αυτό σημαίνει ότι ισχύουν όλοι οι περιορισμοί και οι απαιτήσεις του DPA 2018. Επιπλέον, οι αρχές επιβολής του νόμου και οι υπηρεσίες πληροφοριών είναι δημόσιες αρχές για τους σκοπούς του νόμου του 1998 για τα ανθρώπινα δικαιώματα και, ως εκ τούτου, πρέπει να διασφαλίζουν ότι ενεργούν σύμφωνα με τα δικαιώματα που κατοχυρώνονται στην ΕΣΔΑ, συμπεριλαμβανομένου του άρθρου 8. Με άλλα λόγια, οι απαιτήσεις αυτές σημαίνουν ότι κάθε ανταλλαγή δεδομένων μεταξύ των υπηρεσιών επιβολής του νόμου και των υπηρεσιών πληροφοριών συμμορφώνεται με τη νομοθεσία για την προστασία των δεδομένων και την ΕΣΔΑ.

(129)

Η επεξεργασία —από τις υπηρεσίες πληροφοριών— των δεδομένων προσωπικού χαρακτήρα που λαμβάνονται ή αποκτώνται από τις αρχές επιβολής του νόμου για σκοπούς εθνικής ασφάλειας υπόκειται σε ορισμένες προϋποθέσεις και εγγυήσεις (210). Το μέρος 4 του DPA 2018 εφαρμόζεται σε κάθε επεξεργασία που πραγματοποιείται από τις υπηρεσίες πληροφοριών ή για λογαριασμό τους. Καθορίζει τις βασικές αρχές προστασίας των δεδομένων (νομιμότητα, αντικειμενικότητα και διαφάνεια (211)· περιορισμός του σκοπού (212)· ελαχιστοποίηση των δεδομένων (213)· ακρίβεια (214)· περιορισμός περιόδου αποθήκευσης (215) και ασφάλεια (216)), επιβάλλει προϋποθέσεις για την επεξεργασία δεδομένων ειδικών κατηγοριών (217), προβλέπει τα δικαιώματα του υποκειμένου των δεδομένων (218), απαιτεί την προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού (219) και ρυθμίζει τις διεθνείς διαβιβάσεις των δεδομένων προσωπικού χαρακτήρα (220).

(130)

Ταυτόχρονα, το άρθρο 110 του DPA 2018 προβλέπει εξαίρεση από την εφαρμογή συγκεκριμένων διατάξεων του μέρους 4 του DPA 2018, όταν η εξαίρεση αυτή απαιτείται για τη διαφύλαξη της εθνικής ασφάλειας. Το άρθρο 110 παράγραφος 2 του DPA 2018 απαριθμεί τις διατάξεις από την εφαρμογή των οποίων επιτρέπεται εξαίρεση. Περιλαμβάνει τις αρχές προστασίας των δεδομένων (εκτός από την αρχή της νομιμότητας), τα δικαιώματα του υποκειμένου των δεδομένων, την υποχρέωση ενημέρωσης του Επιτρόπου Πληροφοριών σχετικά με παραβίαση δεδομένων, τις εξουσίες επιθεώρησης του Επιτρόπου Πληροφοριών σύμφωνα με τις διεθνείς υποχρεώσεις, ορισμένες από τις εξουσίες επιβολής του Επιτρόπου Πληροφοριών, τις διατάξεις που καθιστούν ορισμένες παραβιάσεις της προστασίας δεδομένων ποινικό αδίκημα, καθώς και τις διατάξεις που αφορούν ειδικούς σκοπούς επεξεργασίας, όπως δημοσιογραφικούς, ακαδημαϊκούς ή καλλιτεχνικούς σκοπούς. Η εξαίρεση αυτή μπορεί να βασίζεται σε κατά περίπτωση ανάλυση (221). Όπως εξήγησαν οι αρχές του Ηνωμένου Βασιλείου και επιβεβαιώνεται από τη νομολογία των δικαστηρίων του Ηνωμένου Βασιλείου, «ο υπεύθυνος επεξεργασίας πρέπει να εξετάζει τις πραγματικές συνέπειες για την εθνική ασφάλεια ή άμυνα εάν χρειαζόταν να συμμορφωθεί με τη συγκεκριμένη διάταξη περί προστασίας των δεδομένων και εάν θα μπορούσε ευλόγως να συμμορφωθεί με τον συνήθη κανόνα χωρίς να θίγεται η εθνική ασφάλεια ή άμυνα» (222). Το αν η εξαίρεση έχει χρησιμοποιηθεί κατάλληλα ή όχι υπόκειται στην εποπτεία του ICO (223).

(131)

Επιπλέον, όσον αφορά τη δυνατότητα περιορισμού οποιουδήποτε από τα προαναφερόμενα δικαιώματα για την προστασία της «εθνικής ασφάλειας», το άρθρο 79 του DPA 2018 προβλέπει ότι ο υπεύθυνος επεξεργασίας μπορεί να υποβάλει αίτηση για πιστοποιητικό υπογεγραμμένο από υπουργό ή από τον γενικό εισαγγελέα, το οποίο να πιστοποιεί ότι ο περιορισμός των εν λόγω δικαιωμάτων αποτελεί, ή σε οποιαδήποτε στιγμή αποτέλεσε, αναγκαίο και αναλογικό μέτρο για την προστασία της εθνικής ασφάλειας (224). Η κυβέρνηση του Ηνωμένου Βασιλείου έχει εκδώσει οδηγίες σχετικά με τα πιστοποιητικά εθνικής ασφάλειας στο πλαίσιο του DPA 2018, στις οποίες επισημαίνεται κυρίως ότι κάθε περιορισμός των δικαιωμάτων των υποκειμένων των δεδομένων για τη διαφύλαξη της εθνικής ασφάλειας πρέπει να είναι αναλογικός και αναγκαίος (225). Όλα τα πιστοποιητικά εθνικής ασφάλειας πρέπει να δημοσιεύονται στον δικτυακό τόπο του ICO (226).

(132)

Το πιστοποιητικό θα πρέπει να έχει καθορισμένη διάρκεια που να μην υπερβαίνει τα πέντε έτη, ώστε να επανεξετάζεται τακτικά από τον υπουργό (227). Το πιστοποιητικό προσδιορίζει τα δεδομένα προσωπικού χαρακτήρα ή τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που υπόκεινται στην εξαίρεση, καθώς και τις διατάξεις του DPA 2018 στις οποίες εφαρμόζεται η εξαίρεση (228).

(133)

Είναι σημαντικό να σημειωθεί ότι τα πιστοποιητικά εθνικής ασφάλειας δεν παρέχουν πρόσθετο λόγο για τον περιορισμό των δικαιωμάτων προστασίας των δεδομένων για λόγους εθνικής ασφάλειας. Με άλλα λόγια, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να βασίζεται σε πιστοποιητικό μόνον εφόσον έχει καταλήξει στο συμπέρασμα ότι είναι αναγκαίο να βασιστεί στην εξαίρεση της εθνικής ασφάλειας, η οποία πρέπει να εφαρμόζεται κατά περίπτωση. Ακόμη και αν ένα πιστοποιητικό εθνικής ασφάλειας εφαρμόζεται στο υπό εξέταση ζήτημα, το ICO μπορεί να διερευνήσει αν η επίκληση της εξαίρεσης της εθνικής ασφάλειας ήταν δικαιολογημένη σε συγκεκριμένη υπόθεση (229).

(134)

Κάθε πρόσωπο που θίγεται άμεσα από την έκδοση του πιστοποιητικού μπορεί να προσφύγει στο εφετείο διοικητικών διαφορών (230) κατά του πιστοποιητικού (231) ή, όταν το πιστοποιητικό προσδιορίζει δεδομένα μέσω γενικής περιγραφής, να αμφισβητήσει την εφαρμογή του πιστοποιητικού σε συγκεκριμένα δεδομένα (232).

(135)

Το δικαστήριο επανεξετάζει την απόφαση έκδοσης πιστοποιητικού και αποφασίζει αν υπήρχαν βάσιμοι λόγοι για την έκδοση του πιστοποιητικού (233). Μπορεί να εξετάζει ευρύ φάσμα θεμάτων, συμπεριλαμβανομένης της αναγκαιότητας, της αναλογικότητας και της νομιμότητας, λαμβάνοντας υπόψη τον αντίκτυπο στα δικαιώματα των υποκειμένων των δεδομένων και σταθμίζοντας την ανάγκη διαφύλαξης της εθνικής ασφάλειας. Ως εκ τούτου, το δικαστήριο μπορεί να αποφασίσει ότι το πιστοποιητικό δεν εφαρμόζεται σε συγκεκριμένα δεδομένα προσωπικού χαρακτήρα που αποτελούν το αντικείμενο της προσφυγής (234).

(136)

Ένα διαφορετικό σύνολο πιθανών περιορισμών αφορά εκείνους που εφαρμόζονται, σύμφωνα με το παράρτημα 11 του DPA 2018, σε ορισμένες διατάξεις του μέρους 4 του DPA 2018 (235) για τη διασφάλιση άλλων σημαντικών σκοπών γενικού δημόσιου συμφέροντος ή προστατευόμενων συμφερόντων, όπως, για παράδειγμα, τα κοινοβουλευτικά προνόμια, το δικηγορικό απόρρητο, η διεξαγωγή δικαστικών διαδικασιών ή το αξιόμαχο των ενόπλων δυνάμεων. Η εξαίρεση από την εφαρμογή των διατάξεων αυτών προβλέπεται είτε για ορισμένες κατηγορίες πληροφοριών («βάσει κατηγορίας») είτε στον βαθμό που η εφαρμογή των εν λόγω διατάξεων είναι πιθανό να θίξει το προστατευόμενο συμφέρον («βάσει ζημίας») (236). Επίκληση εξαιρέσεων βάσει ζημίας είναι δυνατή μόνον εφόσον η εφαρμογή της παρατιθέμενης διάταξης για την προστασία των δεδομένων είναι πιθανό να θίξει το συγκεκριμένο συμφέρον. Ως εκ τούτου, η χρήση εξαίρεσης πρέπει πάντοτε να αιτιολογείται με αναφορά στη σχετική ζημία που θα ήταν πιθανό να προκύψει στη συγκεκριμένη περίπτωση. Η επίκληση εξαιρέσεων βάσει κατηγοριών μπορεί να πραγματοποιηθεί μόνο σε σχέση με τη συγκεκριμένη, στενά καθορισμένη κατηγορία πληροφοριών για την οποία χορηγείται η εξαίρεση. Οι εξαιρέσεις αυτές είναι παρόμοιες —ως προς τον σκοπό και τις επιπτώσεις τους— με αρκετές από τις εξαιρέσεις του ΓΚΠΔ του Ηνωμένου Βασιλείου (σύμφωνα με το παράρτημα 2 του DPA 2018), οι οποίες, με τη σειρά τους, αντικατοπτρίζουν εκείνες που προβλέπονται στο άρθρο 23 του ΓΚΠΔ.

(137)

Από τα ανωτέρω συνάγεται ότι ο περιορισμός και οι προϋποθέσεις ισχύουν βάσει των εφαρμοστέων νομικών διατάξεων του Ηνωμένου Βασιλείου, όπως ερμηνεύονται επίσης από τα δικαστήρια και το Γραφείο Επιτρόπου Πληροφοριών, ώστε να διασφαλίζεται ότι η εν λόγω εξαίρεση και οι εν λόγω περιορισμοί παραμένουν εντός των ορίων της αναγκαιότητας και της αναλογικότητας για την προστασία της εθνικής ασφάλειας.

(138)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται από τις υπηρεσίες πληροφοριών δυνάμει του μέρους 4 του DPA 2018 τελεί υπό την εποπτεία του Επιτρόπου Πληροφοριών (237).

(139)

Τα γενικά καθήκοντα του Επιτρόπου Πληροφοριών σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών δυνάμει του μέρους 4 του DPA 2018 καθορίζονται στο παράρτημα 13 του εν λόγω νόμου. Στα καθήκοντα περιλαμβάνονται, μεταξύ άλλων, ειδικότερα, η παρακολούθηση και η επιβολή του μέρους 4 του DPA 2018, η προώθηση της ευαισθητοποίησης του κοινού, η παροχή συμβουλών στο Κοινοβούλιο, στην κυβέρνηση και σε άλλα όργανα όσον αφορά νομοθετικά και διοικητικά μέτρα, η προώθηση της ευαισθητοποίησης των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους, η παροχή πληροφοριών στο υποκείμενο των δεδομένων σχετικά με την άσκηση των δικαιωμάτων του και η διεξαγωγή ερευνών.

(140)

Όπως και για το μέρος 3 του DPA 2018, ο Επίτροπος έχει την εξουσία να ενημερώνει τους υπευθύνους επεξεργασίας σχετικά με εικαζόμενη παράβαση και να εκδίδει προειδοποιήσεις επισημαίνοντας ότι μια πράξη επεξεργασίας είναι πιθανόν να παραβαίνει τους κανόνες, καθώς και να απευθύνει επίπληξη σε περίπτωση που επιβεβαιωθεί η παράβαση. Μπορεί επίσης να εκδίδει ειδοποιήσεις επιβολής μέτρων και ειδοποιήσεις επιβολής κυρώσεων για παραβάσεις ορισμένων διατάξεων του νόμου (238). Ωστόσο, σε αντίθεση με όσα ισχύουν για άλλα μέρη του DPA 2018, ο Επίτροπος δεν μπορεί να απευθύνει ειδοποίηση διενέργειας αξιολόγησης σε φορέα εθνικής ασφάλειας (239).

(141)

Επιπλέον, το άρθρο 110 του DPA 2018 προβλέπει εξαίρεση σε σχέση με την άσκηση ορισμένων εξουσιών του Επιτρόπου, όταν αυτό απαιτείται για τους σκοπούς της διαφύλαξης της εθνικής ασφάλειας. Αυτό περιλαμβάνει την εξουσία του Επιτρόπου να εκδίδει (οποιουδήποτε είδους) ειδοποιήσεις δυνάμει του DPA (ειδοποιήσεις παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων και επιβολής κυρώσεων), την εξουσία διενέργειας επιθεωρήσεων σύμφωνα με τις διεθνείς υποχρεώσεις, τις εξουσίες εισόδου και διενέργειας επιθεώρησης και τους κανόνες που αφορούν τα ποινικά αδικήματα (240). Όπως εξηγείται στην αιτιολογική σκέψη (136), οι εξαιρέσεις αυτές θα εφαρμόζονται μόνον εφόσον είναι αναγκαίες και αναλογικές και μόνο κατά περίπτωση. Η εφαρμογή αυτών των εξαιρέσεων μπορεί να υπόκειται σε δικαστικό έλεγχο (241).

(142)

Το ICO και οι υπηρεσίες πληροφοριών του Ηνωμένου Βασιλείου έχουν υπογράψει μνημόνιο συμφωνίας (242) με το οποίο θεσπίζεται πλαίσιο συνεργασίας για διάφορα θέματα, συμπεριλαμβανομένων των γνωστοποιήσεων παραβιάσεων δεδομένων και του χειρισμού των καταγγελιών των υποκειμένων των δεδομένων. Ειδικότερα, το εν λόγω μνημόνιο συμφωνίας προβλέπει ότι το ICO, μόλις λάβει καταγγελία, θα αξιολογεί αν έχει γίνει κατάλληλη επίκληση οποιασδήποτε εξαίρεσης εθνικής ασφάλειας. Οι απαντήσεις σε ερωτήματα που υποβάλλονται από το ICO στο πλαίσιο της εξέτασης μεμονωμένων καταγγελιών πρέπει να παρέχονται εντός 20 εργάσιμων ημερών με βάση τις σχετικές οδηγίες της κυβέρνησης του Ηνωμένου Βασιλείου σχετικά με τα πιστοποιητικά εθνικής ασφάλειας δυνάμει του νόμου για την προστασία των δεδομένων (UK Government Guidance on National Security Certificates under the Data Protection Act), με χρήση κατάλληλων ασφαλών διαύλων εάν πρόκειται για διαβαθμισμένες πληροφορίες. Από τον Απρίλιο του 2018 έως σήμερα, το ICO έχει λάβει 21 καταγγελίες προσώπων οι οποίες αφορούσαν τις υπηρεσίες πληροφοριών. Όλες οι καταγγελίες εξετάστηκαν και το αποτέλεσμα κοινοποιήθηκε στο υποκείμενο των δεδομένων (243).

(143)

Επιπλέον, η Επιτροπή Πληροφοριών και Ασφάλειας (Intelligence and Security Committee, ISC) ασκεί την κοινοβουλευτική εποπτεία της επεξεργασίας δεδομένων από τις υπηρεσίες πληροφοριών. Η εν λόγω επιτροπή αντλεί τη νομική της βάση από τον νόμο του 2013 για τη δικαιοσύνη και την ασφάλεια (Justice and Security Act, JSA 2013) (244). Με τον νόμο αυτό συστάθηκε η ISC ως επιτροπή του Κοινοβουλίου του Ηνωμένου Βασιλείου. Η ISC αποτελείται από μέλη που ανήκουν σε οποιοδήποτε από τα δύο σώματα του Κοινοβουλίου και διορίζονται από τον πρωθυπουργό αφού ζητηθεί η γνώμη του αρχηγού της αντιπολίτευσης (245). Η ISC υποχρεούται να υποβάλλει στο Κοινοβούλιο ετήσια έκθεση σχετικά με την εκτέλεση των καθηκόντων της, καθώς και άλλες εκθέσεις που θεωρεί σκόπιμο να υποβληθούν (246).

(144)

Από το 2013 έχουν ανατεθεί στην ISC ευρύτερες εξουσίες, συμπεριλαμβανομένης της εποπτείας των επιχειρησιακών δραστηριοτήτων των υπηρεσιών ασφάλειας. Σύμφωνα με το άρθρο 2 του JSA 2013, η ISC έχει καθήκον να επιβλέπει τις δαπάνες, τη διοίκηση, την πολιτική και τις επιχειρήσεις των υπηρεσιών εθνικής ασφάλειας. Ο JSA 2013 ορίζει ότι η ISC έχει τη δυνατότητα να διεξάγει έρευνες επί επιχειρησιακών θεμάτων, όταν δεν σχετίζονται με επιχειρήσεις που βρίσκονται σε εξέλιξη (247). Το μνημόνιο συμφωνίας το οποίο υπογράφηκε μεταξύ του πρωθυπουργού και της ISC (248) προσδιορίζει λεπτομερώς τα στοιχεία που πρέπει να λαμβάνονται υπόψη όταν εξετάζεται αν μια δραστηριότητα δεν αποτελεί μέρος μιας επιχείρησης που βρίσκεται σε εξέλιξη (249). Ο πρωθυπουργός μπορεί επίσης να ζητήσει από την ISC να διερευνήσει επιχειρήσεις που βρίσκονται σε εξέλιξη και να εξετάσει πληροφορίες που παρέχονται οικειοθελώς από τις υπηρεσίες.

(145)

Σύμφωνα με το παράρτημα 1 του JSA 2013, η Επιτροπή Πληροφοριών και Ασφάλειας μπορεί να ζητήσει από τους επικεφαλής οποιασδήποτε από τις τρεις υπηρεσίες πληροφοριών να αποκαλύψουν οποιαδήποτε πληροφορία. Η υπηρεσία πρέπει να παράσχει τις πληροφορίες αυτές, εκτός αν ο υπουργός ασκήσει το δικαίωμα αρνησικυρίας (250). Οι αρχές του Ηνωμένου Βασιλείου εξήγησαν ότι στην πράξη είναι ελάχιστες οι πληροφορίες που δεν παρέχονται στην ISC (251).