(1)

Määrusega (EL) 2016/679 on kehtestatud õigusnormid, mis reguleerivad isikuandmete edastamist Euroopa Liidus asuvatelt vastutavatelt või volitatud töötlejatelt kolmandatesse riikidesse ja rahvusvahelistele organisatsioonidele sel määral, mil see edastamine kuulub määruse kohaldamisalasse. Andmete rahvusvahelise edastamise normid on sätestatud määruse V peatüki artiklites 44–50. Kuigi isikuandmete liikumine Euroopa Liidust väljaspool asuvatesse riikidesse ja neist riikidest on vajalik rahvusvahelise koostöö ja piiriülese kaubanduse laiendamiseks, ei tohi nende edastamine kolmandatele riikidele kahjustada Euroopa Liidus isikuandmetele pakutava kaitse taset (2).

(2)

Määruse (EL) 2016/679 artikli 45 lõike 3 alusel võib komisjon võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Kui see tingimus on täidetud, võib isikuandmeid edastada kolmandasse riiki ilma täiendava loata, nagu on sätestatud kõnealuse määruse artikli 45 lõikes 1 ja põhjenduses 103.

(3)

Nagu on täpsustatud määruse (EL) 2016/679 artikli 45 lõikes 2, tuleb kaitse piisavuse otsuse vastuvõtmisel tugineda kolmanda riigi õiguskorra põhjalikule analüüsile, mis hõlmab nii andmete importijate suhtes kohaldatavaid õigusnorme kui ka piiranguid ja kaitsemeetmeid, mis puudutavad avaliku sektori asutuste juurdepääsu isikuandmetele. Komisjon peab oma hinnangus kindlaks määrama, kas kõnealune kolmas riik tagab kaitsetaseme, mis „sisuliselt vastab“ Euroopa Liidus tagatud kaitsetasemele (määruse (EL) 2016/679 põhjendus 104). Nõuded, mille põhjal „sisulist vastavust“ hinnatakse, on kehtestatud Euroopa Liidu õiguses, täpsemalt määruses (EL) 2016/679, ning Euroopa Liidu Kohtu praktikas (3). Sellega seoses on oluline ka Euroopa Andmekaitsenõukogu kaitse piisavuse viitedokument (4).

(4)

Nagu on selgitanud Euroopa Liidu Kohus, ei eelda see järeldust identse kaitsetaseme kohta (5). Eelkõige võivad vahendid, mida asjaomane kolmas riik isikuandmete kaitseks kasutab, erineda nendest, mida rakendatakse Euroopa Liidus, kui need osutuvad praktikas piisava kaitsetaseme tagamisel tulemuslikuks (6). Piisavuse nõue ei eelda seega liidu õigusnormide punkthaaval kordamist. Küsimus on pigem selles, kas välisriigi süsteem tervikuna tagab andmekaitseõiguste sisu, nende tõhusa rakendamise, järelevalve ja maksmapaneku kaudu nõutava isikuandmete kaitse taseme (7).

(5)

Komisjon on hoolikalt analüüsinud Ühendkuningriigi õigust ja tavasid. Komisjon teeb põhjendustes 8–270 esitatud tulemustele tuginedes järelduse, et Ühendkuningriik tagab määruse (EL) 2016/679 raames Euroopa Liidust Ühendkuningriiki edastatud isikuandmete piisava kaitsetaseme.

(6)

See järeldus ei puuduta isikuandmeid, mida edastatakse Ühendkuningriigi sisserände kontrolliga seotud eesmärkidel või mis kuuluvad muul moel Ühendkuningriigi andmekaitseseaduse 2. lisa lõike 4 punktiga 1 ette nähtud erandi kohaldamisalasse; selle sättega tehakse erand mõnedest andmesubjekti õigustest sisserände tulemusliku kontrolli säilitamiseks („sisserände erand“). Sisserände erandi kehtivus ja tõlgendamine Ühendkuningriigi õiguses ei ole üheselt selge, arvestades Inglismaa ja Walesi apellatsioonikohtu 26. mai 2021. aasta otsust. Kuigi apellatsioonikohus nõustus, et andmesubjekti õigusi võib põhimõtteliselt piirata sisserände kontrolliga seotud eesmärkidel, kuna see on „avalike huvide üks olulisi aspekte“, leidis kohus, et sisserände erand oma praegusel kujul on Ühendkuningriigi õigusega vastuolus, kuna seadusandlikus aktis puuduvad konkreetsed sätted, milles oleksid sätestatud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 23 lõikega 2 ette nähtud kaitsemeetmed (8). Seda arvesse võttes tuleks käesoleva otsuse kohaldamisalast välja jätta selliste isikuandmete edastamine liidust Ühendkuningriiki, mille suhtes võidakse kohaldada sisserände erandit (9). Kui erand on Ühendkuningriigi õigusega kooskõlla viidud, tuleks seda uuesti hinnata, samuti tuleks uuesti hinnata seda, kas on vaja piirata käesoleva otsuse kohaldamisala.

(7)

Käesolev otsus ei tohiks mõjutada määruse (EL) 2016/679 vahetut kohaldamist Ühendkuningriigis asutatud organisatsioonide suhtes, kui on täidetud selle artiklis 3 sätestatud tingimused kõnealuse määruse territoriaalse kohaldamisala kohta.

(8)

Ühendkuningriik on parlamentaarne demokraatia, mille riigipea on konstitutsiooniline monarh. Riigil on suveräänne parlament, mis on ülimuslik kõikide muude valitsusasutuste suhtes, parlamendiliikmetest moodustatud ja parlamendi ees aruandekohustuslik täitevvõim ning sõltumatu kohtusüsteem. Täitevvõimu volitused tulenevad tema suutlikkusest saavutada valitud alamkoja usaldus ja ta vastutab parlamendi mõlema koja ees, mille ülesanne on valitsuse kontrollimine ning seaduste arutamine ja vastuvõtmine.

(9)

Ühendkuningriigi parlament on delegeerinud Šotimaa parlamendile, Walesi parlamendile (Senedd Cymru) ja Põhja-Iirimaa assambleele vastutuse õigusloome eest Šotimaa, Walesi ja Põhja-Iirimaa siseasjades, mida Ühendkuningriigi parlament ei ole enda vastutusalasse jätnud. Kuigi andmekaitse on Ühendkuningriigi parlamendi vastutusalasse kuuluv teema, st kogu riigis kehtivad samad õigusaktid, on muud käesoleva otsuse seisukohast asjakohased valdkonnad delegeeritud. Näiteks on Šotimaa ja Põhja-Iirimaa kriminaalõigussüsteemid, sealhulgas politseitegevus delegeeritud vastavalt Šotimaa parlamendi ja Põhja-Iirimaa assamblee vastutusalasse. Ühendkuningriigil ei ole kodifitseeritud põhiseadust väljakujunenud konstitutiivse dokumendi mõttes. Põhiseaduslikud põhimõtted on välja kujunenud aja jooksul ning tuginevad kohtupraktikale ja eelkõige tavale. Kohtud on tunnustanud teatavate õigusaktide, nagu Magna Carta, 1689. aasta õiguste deklaratsiooni (Bill of Rights) ja 1998. aasta inimõiguste seaduse (Human Rights Act 1998) põhiseaduslikku väärtust. Põhiseaduse osana on üksikisikute põhiõigused arenenud üldise õiguse (common law), nimetatud õigusaktide ja rahvusvaheliste lepingute, eelkõige Euroopa inimõiguste konventsiooni kaudu, mille Ühendkuningriik ratifitseeris 1951. aastal. 1987. aastal ratifitseeris Ühendkuningriik ka Euroopa Nõukogu isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni (edaspidi „konventsioon nr 108“) (10).

(10)

1998. aasta inimõiguste seadusega lisati Euroopa inimõiguste konventsioonis sisalduvad õigused Ühendkuningriigi õigusesse. Inimõiguste seadusega on kõikidele isikutele antud põhiõigused ja -vabadused, mis on sätestatud Euroopa inimõiguste konventsiooni artiklites 2–12 ja 14, konventsiooni protokolli nr 1 artiklites 1, 2 ja 3 ning protokolli nr 13 artiklis 1, loetuna koostoimes selle konventsiooni artiklitega 16, 17 ja 18. Nende hulka kuuluvad õigus era- ja perekonnaelu austamisele (ja selle osana õigus andmekaitsele) ning õigus õiglasele kohtumenetlusele (11). Eelkõige võivad ametivõimud kõnealuse konventsiooni artikli 8 kohaselt sekkuda eraelu puutumatuse õigusesse üksnes kooskõlas seadusega, kui see on demokraatlikus ühiskonnas vajalik riigi julgeoleku, ühiskondliku turvalisuse või riigi majandusliku heaolu huvides, korratuse või kuriteo ärahoidmiseks, tervise või kõlbluse või kaasinimeste õiguste ja vabaduste kaitseks.

(11)

Vastavalt 1998. aasta inimõiguste seadusele peab ametiasutuste tegevus olema kooskõlas konventsioonist tuleneva õigusega (12). Peale selle tuleb esmaseid ja teiseseid õigusakte tõlgendada ja jõustada viisil, mis on kooskõlas konventsioonist tulenevate õigustega (13).

(12)

Ühendkuningriik astus Euroopa Liidust välja 31. jaanuaril 2020. Suurbritannia ja Põhja-Iiri Ühendkuningriigi Euroopa Liidust ja Euroopa Aatomienergiaühendusest väljaastumise lepingu (14) kohaselt kohaldati liidu õigust Ühendkuningriigis üleminekuperioodi jooksul kuni 31. detsembrini 2020. Enne väljaastumist ja üleminekuperioodi jooksul koosnes Ühendkuningriigi isikuandmete kaitse õigusraamistik asjaomastest ELi õigusaktidest (eelkõige Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 ning Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680 (15)) ja riiklikest õigusaktidest, eelkõige 2018. aasta andmekaitseseadusest, (16) millega nähti ette siseriiklikud normid (kui see oli määrusega (EL) 2016/679 lubatud), täpsustati ja piirati määruse (EL) 2016/679 normide kohaldamist ning võeti üle direktiiv (EL) 2016/680.

(13)

Euroopa Liidust väljaastumiseks valmistudes kehtestas Ühendkuningriigi valitsus 2018. aasta Euroopa Liidust väljaastumise seaduse, (17) millega lisatakse Ühendkuningriigi õigusesse vahetult kohaldatavad liidu õigusaktid (18). Nende nn jätkuvalt kohaldatavate ELi õigusaktide hulka kuulub tervikuna määrus (EL) 2016/679 (sealhulgas selle põhjendused) (19). Euroopa Liidust väljaastumise seaduse kohaselt peavad Ühendkuningriigi kohtud tõlgendama muutmata kujul jätkuvalt kohaldatavaid ELi õigusakte kooskõlas Euroopa Liidu Kohtu asjaomase kohtupraktika ja liidu õiguse üldpõhimõtetega sel kujul, mil need kehtisid vahetult enne üleminekuperioodi lõppu (mida nimetatakse vastavalt „jätkuvalt kohaldatavaks ELi kohtupraktikaks“ ja „jätkuvalt kohaldatavateks liidu õiguse üldpõhimõteteks“) (20).

(14)

2018. aasta Euroopa Liidust väljaastumise seaduse alusel on Ühendkuningriigi ministritel õigus kehtestada seadusandlike aktide kaudu teiseseid õigusakte, et teha jätkuvalt kohaldatavatesse Euroopa Liidu õigusaktidesse Ühendkuningriigi Euroopa Liidust väljaastumisest tulenevaid vajalikke muudatusi. Seda õigust kasutati, kui vastu võeti 2019. aasta andmekaitset, eraelu puutumatust, elektroonilist sidet, muudatusi jne käsitlev (EList väljaastumise) määrus (edaspidi „andmekaitse, eraelu puutumatuse ja elektroonilise side määrus“) (21). Selle määrusega muudeti määrust (EL) 2016/679, kui see lisati Ühendkuningriigi õigusesse 2018. aasta Euroopa Liidust väljaastumise seaduse, 2018. aasta andmekaitseseaduse ja muude andmekaitsealaste õigusaktidega, et viia see vastavusse siseriikliku kontekstiga (22).

(15)

Sellest tulenevalt koosneb isikuandmete kaitse õigusraamistik Ühendkuningriigis pärast üleminekuperioodi lõppu järgmisest:

(16)

Kuna Ühendkuningriigi isikuandmete kaitse üldmäärus põhineb ELi õigusaktidel, on Ühendkuningriigi andmekaitsenormid paljudes aspektides väga sarnased Euroopa Liidus kohaldatavate vastavate normidega.

(17)

Lisaks 2018. aasta Euroopa Liidust väljaastumise seadusega ministrile antud volitustele antakse 2018. aasta andmekaitseseaduse mitme sättega ministrile õigused võtta vastu teiseseid õigusakte, et muuta seaduse teatavaid sätteid või kehtestada lisanorme (25). Seni on minister teostanud 2018. aasta andmekaitseseaduse paragrahvi 137 kohaseid volitusi ainult selleks, et võtta vastu 2019. aasta andmekaitsemäärus (tasud ja teave, muudatus), milles on sätestatud asjaolud, mille korral peavad vastutavad töötlejad maksma Ühendkuningriigi sõltumatule andmekaitseasutusele (teabevolinikule) iga-aastast tasu.

(18)

Samuti on täiendavaid juhiseid Ühendkuningriigi andmekaitsealaste õigusaktide kohta esitatud tegevusjuhendites ja muudes teabevoliniku vastuvõetud juhistes. Kuigi need juhised ei ole ametlikult õiguslikult siduvad, on neil kaal tõlgendamisel ja need näitavad, kuidas andmekaitsealaseid õigusakte kohaldatakse ja volinik nende täitmise praktikas tagab. Eelkõige on 2018. aasta andmekaitseseaduse paragrahvidega 121–125 ette nähtud, et volinik koostab tegevusjuhendid andmete jagamise, otseturunduse, eakohase kujunduse ning andmekaitse ja ajakirjanduse kohta.

(19)

Seega on käesoleva otsuse alusel edastatavate andmete suhtes kohaldatav Ühendkuningriigi õigusraamistik oma ülesehituse ja põhielementide poolest väga sarnane Euroopa Liidus kohaldatavale õigusraamistikule. Seda ka seetõttu, et kõnealune raamistik ei tugine mitte üksnes siseriiklikus õiguses sätestatud kohustustele, mida on kujundanud ELi õigus, vaid ka rahvusvahelises õiguses kehtestatud kohustustele, eelkõige kuna Ühendkuningriik järgib Euroopa inimõiguste konventsiooni ja konventsiooni nr 108 ning kuulub Euroopa Inimõiguste Kohtu kohtualluvusse. Seega on need õiguslikult siduvatest rahvusvahelistest õigusaktidest tulenevad kohustused, eelkõige isikuandmete kaitsmine, käesolevas otsuses hinnatava õigusraamistiku eriti oluline element.

(20)

Sarnaselt määrusele (EL) 2016/679 kohaldatakse Ühendkuningriigi isikuandmete kaitse üldmäärust isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes või muu töötlemise suhtes, kui isikuandmed kuuluvad andmete kogumisse (26). Ühendkuningriigi isikuandmete kaitse üldmääruses kasutatud mõisted „isikuandmed“, „andmesubjekt“ ja „töötlemine“ on identsed määruses (EL) 2016/679 kasutatud mõistetega (27). Peale selle kohaldatakse Ühendkuningriigi isikuandmete kaitse üldmäärust teatavate Ühendkuningriigi ametiasutuste (28) valduses olevate isikuandmete struktureerimata käsitsi töötlemise (29) suhtes, kuigi 2018. aasta andmekaitseseaduse paragrahvide 24 ja 25 alusel jäetakse kohaldamata need Ühendkuningriigi isikuandmete kaitse üldmääruse kohased põhimõtted ja õigused, mis ei ole selliste isikuandmete puhul asjakohased. Sarnaselt määruses (EL) 2016/679 sätestatule ei kohaldata Ühendkuningriigi isikuandmete kaitse üldmäärust juhul, kui isikuandmeid töötleb üksikisik eranditult isikliku või koduse tegevuse käigus (30).

(21)

Ühendkuningriigi isikuandmete kaitse üldmäärusega on laiendatud määruse kohaldamisala ka andmete töötlemisele sellise tegevuse käigus, mis vahetult enne üleminekuperioodi lõppu jäi väljapoole Euroopa Liidu õigust (nt riigi julgeolek) (31) või jäi Euroopa Liidu lepingu V jaotise 2. peatüki (ühise välis- ja julgeolekupoliitika alane tegevus) kohaldamisalasse (32). Sarnaselt Euroopa Liidu süsteemile ei kohaldata ka Ühendkuningriigi isikuandmete kaitse üldmäärust juhul, kui isikuandmeid töötlevad pädevad asutused süütegude ennetamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil (nn õiguskaitse eesmärgid) – selline töötlemine on reguleeritud 2018. aasta andmekaitseseaduse 3. osaga, nagu on Euroopa Liidu õiguse alusel reguleeritud direktiiviga (EL) 2016/680 –, ega juhul, kui isikuandmeid töötlevad luureteenistused (julgeolekuteenistus (Security Service), salaluureteenistus (Secret Intelligence Service) ja valitsusside peakorter (Government Communications Headquarters)), mida on käsitletud 2018. aasta andmekaitseseaduse 4. osas (33).

(22)

Ühendkuningriigi isikuandmete kaitse üldmääruse territoriaalne kohaldamisala (34) on määratletud üldmääruse artiklis 3 ja sellesse kuuluvad isikuandmete töötlemine (olenemata selle toimumise asukohast) Ühendkuningriigis asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse kontekstis ning Ühendkuningriigis asuvate andmesubjektide isikuandmete töötlemine, kui töötlemine on seotud nendele andmesubjektidele kaupade või teenuste pakkumise või nende andmesubjektide käitumise jälgimisega (35). See vastab määruse (EL) 2016/679 artikli 3 lähenemisviisile.

(23)

Määruses (EL) 2016/679 sätestatud isikuandmete, töötlemise, vastutava töötleja, volitatud töötleja ning pseudonümiseerimise määratlused on säilitatud Ühendkuningriigi isikuandmete kaitse üldmääruses ilma sisuliste muudatusteta (36). Peale selle on Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 9 lõikes 1 määratletud isikuandmete eriliigid samamoodi kui määruses (EL) 2016/679 („isikuandmed, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilised andmed, füüsilise isiku kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed, terviseandmed või andmed füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta“). 2018. aasta andmekaitseseaduse paragrahvis 205 on esitatud biomeetriliste andmete, (37) terviseandmete (38) ja geneetiliste andmete (39) mõisted.

(24)

Isikuandmeid tuleb töödelda seaduslikult ja õiglaselt.

(25)

Ühendkuningriigi õiguses on seaduslikkuse, õigluse ja läbipaistvuse põhimõtted ning seadusliku töötlemise alused tagatud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktiga a ja artikli 6 lõikega 1, mis on identsed määruse (EL) 2016/679 vastavate sätetega (40). 2018. aasta andmekaitseseaduse paragrahviga 8 on täiendatud artikli 6 lõike 1 punkti e sättega, millega on ette nähtud, et isikuandmete töötlemine Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti e alusel (töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks) hõlmab isikuandmete töötlemist, mis on vajalik õigusemõistmiseks, parlamendi kummagi koja ülesande täitmiseks, seaduse või õigusnormiga isikule antud ülesande täitmiseks või riigi, ministri või ministeeriumi ülesande täitmiseks või tegevuseks, millega toetatakse või edendatakse demokraatlikku kaasatust.

(26)

Samuti on Ühendkuningriigi isikuandmete kaitse üldmääruses muutmata kujul säilitatud nõusoleku (mis on üks seadusliku töötlemise alus) kohta määruse (EL) 2016/679 artiklis 7 sätestatud tingimused, see tähendab, et vastutav töötleja peab suutma tõendada, et andmesubjekt on andnud nõusoleku, nõusoleku saamiseks kirjaliku taotluse esitamisel tuleb kasutada selget ja lihtsat keelt, andmesubjektil peab olema õigus nõusolek igal ajal tagasi võtta ning selle hindamisel, kas nõusolek on antud vabatahtlikult, tuleb võtta arvesse asjaolu, kas lepingu täitmise tingimuseks on nõusolek isikuandmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks. Peale selle on Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 8 kohaselt lapse nõusolek infoühiskonna teenuste pakkumise kontekstis seaduslik üksnes siis, kui laps on vähemalt 13aastane. See jääb määruse (EL) 2016/679 artikliga 8 kehtestatud vanusevahemikku.

(27)

Andmete eriliikide töötlemisel tuleks kohaldada konkreetseid kaitsemeetmeid.

(28)

Ühendkuningriigi isikuandmete kaitse üldmäärus ja 2018. aasta andmekaitseseadus sisaldavad erinorme isikuandmete eriliikide töötlemise kohta, mis on määratletud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 9 lõikes 1 samamoodi kui määruses (EL) 2016/679 (vt põhjendus 23). Vastavalt Ühendkuningriigi isikuandmete kaitse üldmääruse artiklile 9 on andmete eriliikide töötlemine põhimõtteliselt keelatud, välja arvatud juhul, kui kohaldatakse konkreetset erandit.

(29)

Need erandid (mis on loetletud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 9 lõigetes 2 ja 3) ei erine sisuliselt määruse (EL) 2016/679 artikli 9 lõigetes 2 ja 3 sätestatud eranditest. Kui andmesubjekt ei ole andnud isikuandmete eriliikide töötlemiseks sõnaselget nõusolekut, siis on nende isikuandmete töötlemine lubatud ainult konkreetsetel ja piiratud asjaoludel. Enamikul juhtudel peab tundlike andmete töötlemine olema vajalik konkreetsel eesmärgil, mis on määratletud asjaomases sättes (vt artikli 9 lõike 2 punktid b, c, f, g, h, i ja j).

(30)

Kui Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 9 lõikes 2 on nõutud seadusjärgset luba või viidatud avalikule huvile, siis 2018. aasta andmekaitseseaduse paragrahvis 10 on koos selle seaduse 1. lisaga täiendavalt täpsustatud tingimused, mis peavad olema erandi kasutamiseks täidetud. Näiteks kui tundlikke andmeid töödeldakse rahvatervise kaitsmise eesmärgil (Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkt i), siis 1. lisa 1. osa lõike 3 punktiga b on ette nähtud, et lisaks vajalikkuse hindamisele peab andmeid „töötlema või selle eest vastutama tervishoiutöötaja“ või peab neid „töötlema teine isik, kellel lasub konfidentsiaalsuskohustus seaduse või õigusnormi alusel“, sealhulgas üldise õiguse kohaselt väljakujunenud konfidentsiaalsuskohustus.

(31)

Seoses tundlike andmete töötlemisega olulise avaliku huviga seotud põhjustel (Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkt g) on 2018. aasta andmekaitseseaduse 1. lisa 2. osas esitatud täielik loetelu eesmärkidest, mida võib käsitada olulise avaliku huvina, ning sätestatud iga eesmärgi kohta täiendavad eritingimused. Näiteks tunnistatakse olulise avaliku huvina rassilise ja etnilise mitmekesisuse edendamist organisatsioonide kõrgemate ametnike tasandil. Tundlike andmete töötlemise suhtes sellel konkreetsel eesmärgil kehtivad üksikasjalikud nõuded, muu hulgas peab töötlemine toimuma osana kõrgemale ametikohale värvatavate sobilike isikute kindlakstegemise protsessist ning olema vajalik rassilise ja etnilise mitmekesisuse edendamiseks ja ei tohi olla tõenäoline, et see tekitab andmesubjektile olulist kahju või kannatusi.

(32)

2018. aasta andmekaitseseaduse paragrahvi 11 lõikes 1 on sätestatud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 9 lõikes 3 kirjeldatud asjaoludel toimuva isikuandmete töötlemise tingimused seoses saladuse hoidmise kohustusega. Need hõlmavad asjaolusid, mille korral andmeid töötleb või selle eest vastutab tervishoiu- või sotsiaaltöötaja või neid töötleb teine isik, kellel lasub konfidentsiaalsuskohustus seaduse või õigusnormi alusel.

(33)

Lisaks tuleb paljude Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 9 lõikes 2 loetletud erandite korral kasutada sobilikke ja konkreetseid kaitsemeetmeid. Sõltuvalt töötlemise laadist ning andmesubjekti õigustele ja vabadustele kaasneva ohu tasemest on 2018. aasta andmekaitseseaduse 1. lisas sisalduvate töötlemistingimustega kehtestatud mitmesugused kaitsemeetmed. 1. lisas on eraldi sätestatud tingimused iga töötlemisolukorra kohta.

(34)

Mõnel juhul on 2018. aasta andmekaitseseadusega reguleeritud ja piiratud tundlike andmete liike, mida tohib töödelda vastavalt konkreetsele õiguslikule alusele, mida tuleb järgida. Näiteks on 1. lisa lõikega 8 lubatud tundlike andmete töötlemine võrdsete võimaluste ja võrdse kohtlemise edendamiseks. Sellele töötlemistingimusele saab tugineda üksnes juhul, kui andmed näitavad rassilist või etnilist päritolu, usulisi või filosoofilisi veendumusi või seksuaalset sättumust või kui tegemist on terviseandmetega.

(35)

Mõnel juhul on 2018. aasta andmekaitseseaduses kehtestatud piirang selle kohta, mis liiki vastutav töötleja tohib töötlemistingimust kasutada. Näiteks on 1. lisa lõikega 23 ette nähtud tundlike andmete töötlemine seoses valitud esindajate vastustega avalikkusele. Sellele töötlemistingimusele võib tugineda ainult juhul, kui vastutav töötleja on valitud esindaja või tegutseb tema nimel.

(36)

Teistel juhtudel on 2018. aasta andmekaitseseadusega kehtestatud piirangud selliste andmesubjektide liikide kohta, kelle puhul võib töötlemistingimusele tugineda. Näiteks on 1. lisa lõikega 21 reguleeritud tundlike andmete töötlemine tööandjapensioni skeemide jaoks. Sellele tingimusele võib tugineda üksnes juhul, kui asjaomane andmesubjekt on skeemiga liitunud isiku vend või õde, vanem, vanavanem või vanavanavanem.

(37)

Peale selle peab vastutav töötleja Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 9 lõikes 2 sätestatud ning 2018. aasta andmekaitseseaduse paragrahvis 10 ja 1. lisas täiendavalt täpsustatud eranditele tuginedes enamikul juhtudel koostama asjakohaseid tegevuspõhimõtteid käsitleva dokumendi. Selles tuleb kirjeldada vastutava töötleja menetlusi, millega tagatakse Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 5 kehtestatud põhimõtete järgimine. Ühtlasi tuleb selles esitada andmete säilitamise ja kustutamise põhimõtted ning märkida nende tõenäoline säilitamisaeg. Vastutavad töötlejad peavad seda dokumenti vastavalt vajadusele läbi vaatama ja ajakohastama. Vastutav töötleja peab tegevuspõhimõtteid käsitlevat dokumenti säilitama kuus kuud pärast töötlemise lõpuleviimist ja tegema selle taotluse korral kättesaadavaks teabevolinikule (41).

(38)

2018. aasta andmekaitseseaduse 1. lisa lõike 41 kohaselt tuleb tegevuspõhimõtteid käsitlevale dokumendile alati lisada andmete töötlemise põhjalikum kirjeldus. Kirjeldada tuleb tegevuspõhimõtteid käsitlevas dokumendis sisalduvate kohustuste täitmist, st kas andmed kustutatakse või säilitatakse kooskõlas tegevuspõhimõtetega. Kui tegevuspõhimõtteid ei ole järgitud, siis tuleb dokumenteerida selle põhjused. Kirjeldada tuleb ka töötlemise vastavust Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 6 (töötlemise seaduslikkus) nõuetele ning märkida, millisele 2018. aasta andmekaitseseaduse 1. lisas nimetatud konkreetsele tingimusele tuginetakse.

(39)

Samuti on Ühendkuningriigi isikuandmete kaitse üldmääruses sarnaselt määrusele (EL) 2016/679 sätestatud üldised kaitsemeetmed seoses andmete eriliikide teatavate töötlemistoimingutega. Ühendkuningriigi isikuandmete kaitse üldmääruse artikliga 35 on ette nähtud, et andmete eriliikide ulatusliku töötlemise korral tuleb koostada andmekaitsealane mõjuhinnang. Kui vastutava töötleja või volitatud töötleja põhitegevuseks on andmete eriliikide ulatuslik töötlemine, peab ta Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 37 kohaselt määrama andmekaitseametniku.

(40)

Mis puudutab süüteoasjades süüdimõistvaid kohtuotsuseid ja süütegudega seotud isikuandmeid, siis on Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 10 identne määruse (EL) 2016/679 artikliga 10. Selle artikli järgi on süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmeid lubatud töödelda üksnes ametiasutuste järelevalve all või siis, kui töötlemine on lubatud siseriikliku õigusega, milles on sätestatud asjakohased kaitsemeetmed andmesubjektide õiguste ja vabaduste kaitseks.

(41)

2018. aasta andmekaitseseaduse paragrahvis 10 lõikes 5 on sätestatud, et kui süütegudes süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmeid ei töödelda ametiasutuse järelevalve all, siis võib selline töötlemine toimuda ainult konkreetsetel eesmärkidel / konkreetsetes olukordades, mis on sätestatud 2018. aasta andmekaitseseaduse 1. lisa 1., 2. ja 3. osas, ja selle suhtes kehtivad iga nimetatud eesmärgi/olukorra kohta kehtestatud erinõuded. Näiteks võib mittetulundusühing töödelda süütegudes süüdimõistvate kohtuotsustega seotud andmeid juhul, kui a) töötlemine toimub poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega sihtasutuse, ühenduse või muu mittetulundusühenduse õiguspärase tegevuse raames, mille suhtes kehtivad asjakohased kaitsemeetmed, ja b) tingimusel, et i) töötlemine käsitleb ainult asjaomase ühenduse liikmeid või endisi liikmeid või isikuid, kes on kõnealuse ühendusega püsivalt seotud tema tegevuse eesmärkide tõttu, ning ii) isikuandmeid ei avalikustata väljaspool seda ühendust ilma andmesubjekti nõusolekuta.

(42)

Peale selle on 2018. aasta andmekaitseseaduse 1. lisa 3. osas sätestatud täiendavad asjaolud, mille korral võib kasutada süüdimõistvate kohtuotsustega seotud andmeid ja mis vastavad määruse (EL) 2016/679 ja Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 9 lõikes 2 kehtestatud tundlike andmete töötlemise õiguslikele alustele (nt andmesubjekti nõusolek, isiku elulised huvid, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma, töötlemine on vajalik õigusnõude koostamiseks, esitamiseks või kaitsmiseks jne).

(43)

Isikuandmeid tuleks töödelda konkreetsel eesmärgil ja kasutada seejärel üksnes määral, mil see on kooskõlas töötlemise eesmärgiga.

(44)

See põhimõte on ette nähtud määruse (EL) 2016/679 artikli 5 lõike 1 punktiga b, mis on muutmata kujul säilitatud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis b. Ka määruse (EL) 2016/679 artikli 6 lõikes 4 sätestatud nõuetele vastava töötlemise lisatingimused on sisuliste muutusteta säilitatud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 6 lõike 4 punktides a–e.

(45)

Peale selle peavad isikuandmed olema õiged ja vajaduse korral ajakohastatud. Samuti peavad need olema piisavad ja asjakohased, ei tohi olla nende töötlemise eesmärgi seisukohast ülemäärased ning põhimõtteliselt ei tohi neid säilitada kauem, kui on isikuandmete töötlemise eesmärgil vajalik.

(46)

Võimalikult väheste andmete kogumise, õigsuse ja säilitamise piirangu põhimõtted on sätestatud määruse (EL) 2016/679 artikli 5 lõike 1 punktides c–e ning säilitatud muutmata kujul Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktides c–e.

(47)

Ühtlasi tuleks isikuandmeid töödelda viisil, mis tagab nende turvalisuse, sealhulgas kaitse loata või ebaseadusliku töötlemise ning juhusliku kaotsimineku, hävimise või kahjustumise eest. Sel eesmärgil peaksid ettevõtjad võtma asjakohaseid tehnilisi ja korralduslikke meetmeid, et kaitsta isikuandmeid võimalike ohtude eest. Neid meetmeid tuleks hinnata, võttes arvesse tehnika taset ja seonduvaid kulusid.

(48)

Ühendkuningriigi õiguses on andmete turvalisus tagatud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis f sätestatud usaldusväärsuse ja konfidentsiaalsuse põhimõtte kaudu ning töötlemise turvalisust käsitlevas artiklis 32. Need sätted on identsed määruse (EL) 2016/679 vastavate sätetega. Peale selle on Ühendkuningriigi isikuandmete kaitse üldmäärusega ette nähtud, et isikuandmetega seotud rikkumisest tuleb teavitada järelevalveasutust (artikkel 33) ja andmesubjekti (artikkel 34) samadel tingimustel kui need, mis on kehtestatud määruse (EL) 2016/679 artiklites 33 ja 34.

(49)

Andmesubjekte tuleks teavitada nende isikuandmete töötlemise põhitunnustest.

(50)

See on tagatud Ühendkuningriigi isikuandmete kaitse üldmääruse artiklitega 13 ja 14, millega on lisaks läbipaistvuse üldpõhimõttele ette nähtud andmesubjektile esitatavat teavet käsitlevad normid (42). Määruse (EL) 2016/679 vastavate artiklitega võrreldes ei ole Ühendkuningriigi isikuandmete kaitse üldmäärusega nendes normides sisulisi muudatusi tehtud. Nii nagu määruse (EL) 2016/679 alusel kehtib aga ka nimetatud artiklites esitatud läbipaistvusnõude puhul mitu 2018. aasta andmekaitseseaduses sätestatud erandit (vt põhjendused 55–72).

(51)

Andmesubjektidel peaksid olema teatavad õigused, mida nad saavad maksma panna vastutava töötleja või volitatud töötleja suhtes, eeskätt õigus andmetega tutvuda, õigus töötlemine vaidlustada ning õigus lasta andmeid parandada ja kustutada. Samal ajal võivad selliste õiguste suhtes kehtida piirangud, kui need on avaliku julgeoleku kaitsmiseks või muul olulisel üldise avaliku huvi eesmärgil vajalikud ja proportsionaalsed.

(52)

Ühendkuningriigi isikuandmete kaitse üldmäärusega on üksikisikutele antud samad kohtulikult kaitstavad õigused kui määrusega (EL) 2016/679. Sätted, millega on ette nähtud üksikisikute õigused, on sisuliste muudatusteta säilitatud Ühendkuningriigi isikuandmete kaitse üldmääruses.

(53)

Nende õiguste hulka kuuluvad andmesubjekti õigus andmetega tutvuda (Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 15), õigus andmete parandamisele (artikkel 16), õigus andmete kustutamisele (artikkel 17), õigus isikuandmete töötlemise piiramisele (artikkel 18), kohustus teatada isikuandmete parandamisest, kustutamisest või isikuandmete töötlemise piiramisest (artikkel 19), andmete ülekandmise õigus (artikkel 20) ja õigus esitada vastuväiteid (artikkel 21) (43). Viimane sisaldab ka andmesubjekti õigust esitada vastuväide isikuandmete töötlemisele otseturunduse eesmärgil, mis on sätestatud määruse (EL) 2016/679 artikli 21 lõigetes 2 ja 3. Peale selle peab teabevolinik koostama 2018. aasta andmekaitseseaduse paragrahvi 122 alusel tegevusjuhendi otseturundamiseks kooskõlas andmekaitsealaste õigusaktide (ning 2003. aasta eraelu puutumatust ja elektroonilist sidet (elektroonilise side direktiivi) käsitleva määruse (Privacy and Electronic Communications (EC Directive) Regulations 2003)) nõuetega ning muud otseturunduses hea tava edendamise suunised, mida volinik asjakohaseks peab. Teabevoliniku büroo koostab praegu otseturundust käsitlevat juhendit (44).

(54)

Isikuandmete kaitse üldmääruse artiklis 22 sätestatud andmesubjekti õigus, et tema kohta ei võetaks vastu otsust, mis põhineb üksnes automatiseeritud töötlusel ja toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju, on samuti säilitatud ilma sisuliste muudatusteta Ühendkuningriigi isikuandmete kaitse üldmääruses. Lisatud on aga uus lõige 3A, milles viidatakse, et 2018. aasta andmekaitseseaduse paragrahvis 14 on sätestatud meetmed andmesubjektide õiguste, vabaduste ja õigustatud huvide kaitsmiseks juhul, kui andmete töötlemine toimub Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 22 lõike 2 punkti b alusel. Seda kohaldatakse üksnes juhul, kui sellise otsuse näol on tegemist Ühendkuningriigi õiguse kohase loa või nõudega, mitte juhul, kui otsus on vajalik lepingu alusel või andmesubjekt on andnud selle tegemiseks sõnaselge nõusoleku. Kui kohaldatakse 2018. aasta andmekaitseseaduse paragrahvi 14, siis peab vastutav töötleja niipea, kui on mõistlikult teostatav, teavitama andmesubjekti kirjalikult sellest, et tehtud on üksnes automatiseeritud töötlusel põhinev otsus. Andmesubjektil on õigus taotleda, et vastutav töötleja kaaluks otsust ühe kuu jooksul alates teate saamisest uuesti või teeks uue otsuse, mis ei põhine üksnes automatiseeritud töötlusel. Ministril on õigus võtta vastu täiendavaid kaitsemeetmeid seoses automatiseeritud otsuste tegemisega. Seda õigust ei ole seni veel kasutatud.

(55)

2018. aasta andmekaitseseaduses on sätestatud mitu üksikisiku õiguste piirangut, mis jäävad Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 23 raamistikku. Selles raamistikus ei kehtestata mingeid piiranguid seoses Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 21 lõigetes 2 ja 3 sätestatud õigusega esitada vastuväiteid otseturunduse suhtes ega artiklis 22 sätestatud õigusega, et isiku kohta ei võeta vastu otsust, mis põhineb üksnes automatiseeritud töötlusel.

(56)

Neid piiranguid on üksikasjalikult kirjeldatud 2018. aasta andmekaitseseaduse 2.–4. lisas. Ühendkuningriigi ametiasutused on selgitanud, et nad lähtuvad kahest põhimõttest: spetsiifilisuse põhimõte (mille puhul järgitakse detailset lähenemisviisi, jagades laiad piirangud mitmeks konkreetsemaks sätteks) ja tingimuslikkuse põhimõte (iga sätet täiendatakse piirangute või tingimuste vormis kaitsemeetmetega, et vältida kuritarvitamist) (45).

(57)

Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 23 lõikes 1 kirjeldatud piirangud on kavandatud eesmärgiga tagada nende kohaldamine üksnes kindlaksmääratud asjaoludel, kui see on demokraatlikus ühiskonnas vajalik ja proportsionaalne nende õiguspärase eesmärgiga. Peale selle saab andmekaitsekorra erandeid kooskõlas piirangute tõlgendamise valdkonnas välja kujunenud kohtupraktikaga kohaldada konkreetse juhtumi puhul üksnes siis, kui see on vajalik ja proportsionaalne (46). Vajalikkust tuleb hinnata „rangelt ning sekkumine andmesubjekti õigustesse peab olema proportsionaalne avalikule huvile avalduva ohu raskusastmega. Seepärast hõlmab see klassikalist proportsionaalsuse analüüsi (47).“

(58)

Nende piirangute eesmärgid vastavad määruse (EL) 2016/679 artiklis 23 loetletud eesmärkidele, välja arvatud riigi julgeoleku ja riigikaitsega seotud eesmärgid, mis on reguleeritud 2018. aasta andmekaitseseaduse paragrahviga 26, kuid mille suhtes kehtivad samad vajalikkuse ja proportsionaalsuse nõuded (vt põhjendused 63–66).

(59)

Teatavad piirangud, näiteks kuriteo ennetamise või avastamisega, õigusrikkujate kinnipidamise või vastutusele võtmisega ning maksude või tollimaksude hindamise või kogumisega seotud piirangud (48) võimaldavad piirata kõiki üksikisiku õigusi ja läbipaistvuskohustusi (välja arvatud artikli 21 lõike 2 ja artikli 22 kohased õigused). Muude piirangute kohaldamisalasse kuuluvad läbipaistvuskohustus ja juurdepääsuõiguse, näiteks kutsesaladust käsitlevad piirangud, (49) õigus vabastusele nõudest esitada teavet, mille tulemuseks on enda süüstamine, (50) ja ärirahandus, eeskätt siseteabe alusel kauplemise ennetamine (51). Üksikute piirangutega lubatakse piirata vastutava töötleja kohustust teavitada andmesubjekti andmetega seotud rikkumistest ja eesmärgi piirangu ning töötlemise seaduslikkuse, õigluse ja läbipaistvuse põhimõtteid (52).

(60)

Mõni neist piiranguist kehtib teatavat liiki isikuandmete töötlemise suhtes automaatselt ja täielikult (näiteks ei kohaldata läbipaistvuskohustust ja üksikisiku õigusi juhul, kui isikuandmeid töödeldakse eesmärgiga hinnata isiku sobivust kohtunikuametisse nimetamiseks või kui isikuandmeid töötleb kohus või õigust mõistvat funktsiooni täitev isik).

(61)

Enamikul juhtudel on 2018. aasta andmekaitseseaduse 2. lisa asjaomases punktis aga täpsustatud, et piirangut kohaldatakse üksnes juhul, kui (ja sel määral, mil) sätete kohaldamine „tõenäoliselt kahjustaks“ piirangu õiguspärast eesmärki: näiteks ei kohaldata Ühendkuningriigi isikuandmete kaitse üldmääruses loetletud sätteid isikuandmete suhtes, mida töödeldakse kuriteo ennetamise või avastamise, õigusrikkujate kinnipidamise või vastutusele võtmise ning maksude või tollimaksude hindamise või kogumise eesmärgil „sel määral, mil nende sätete kohaldamine tõenäoliselt kahjustaks“ asjaomaseid eesmärke (53).

(62)

Ühendkuningriigi kohtud on tõenäolise kahjustamise kriteeriumit järjekindlalt tõlgendanud kui „väga suurt ja kaalukat võimalust kahjustada kindlakstehtud avalikku huvi“ (54). Sellist piirangut, mille suhtes kehtib tõenäolise kahjustamise nõue, saab kohaldada üksnes juhul kui ja sellises ulatuses, milles on olemas väga suur ja kaalukas võimalus, et teatava õiguse teostamine kahjustaks kõnealust avalikku huvi. Vastutav töötleja peab iga juhtumi puhul eraldi hindama, kas need tingimused on täidetud (55).

(63)

Lisaks 2018. aasta andmekaitseseaduse 2. lisas esitatud piirangutele on 2018. aasta andmekaitseseaduse paragrahvis 26 kehtestatud erand, mida võib kohaldada Ühendkuningriigi isikuandmete kaitse üldmääruse ja 2018. aasta andmekaitseseaduse teatavate sätete suhtes, kui nimetatud erand on vajalik riigi julgeoleku kaitsmiseks või riigikaitse eesmärgil. Seda erandit kohaldatakse andmekaitsepõhimõtete (v.a seaduslikkuse põhimõtte), läbipaistvuskohustuste, andmesubjekti õiguste, andmetega seotud rikkumistest teatamise, andmete rahvusvahelise edastamise eeskirjade, teabevoliniku teatavate kohustuste ja õiguste ning õiguskaitsevahendeid, vastutust ja karistusi käsitlevate õigusnormide suhtes, välja arvatud Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 83 kehtestatud trahvide määramise üldtingimusi käsitleva sätte ja artiklis 84 kehtestatud karistusi käsitleva sätte suhtes. Peale selle on 2018. aasta andmekaitseseaduse paragrahviga 28 muudetud artikli 9 lõike 1 kohaldamist, et võimaldada Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 9 lõikes 1 sätestatud isikuandmete eriliikide töötlemist sel määral, mil töötlemine toimub riigi julgeoleku kaitsmiseks või riigikaitse eesmärkidel, ning kui on kehtestatud asjakohased meetmed andmesubjektide õiguste ja vabaduste kaitsmiseks (56).

(64)

Erandit võib kohaldada ainult sel määral, mil see on vajalik riigi julgeoleku kaitsmiseks või riigikaitse eesmärgil. Nagu ka muude 2018. aasta andmekaitseseaduses sätestatud erandite puhul, peab vastutav töötleja erandit kaaluma ja sellele tuginema iga juhtumi puhul eraldi. Peale selle peab erandi kohaldamine olema kooskõlas inimõiguste normidega (mis on sätestatud 1998. aasta inimõiguste seaduses), mille kohaselt peab igasugune sekkumine eraelu puutumatuse õigustesse olema demokraatlikus ühiskonnas vajalik ja proportsionaalne (57).

(65)

Erandi sellist tõlgendamist on kinnitanud teabevolinik, kes on andnud välja põhjalikud suunised riigi julgeoleku ja riigikaitse erandi kohaldamise kohta, kusjuures suunistes on selgelt kirjas, et vastutav töötleja peab erandit kaaluma ja kohaldama iga juhtumi puhul eraldi (58). Eeskätt on suunistes rõhutatud, et „tegu ei ole üldise erandiga“ ning et sellele tuginemiseks „ei piisa sellest, kui andmeid töödeldakse riigi julgeolekuga seotud eesmärgil“. Vastupidi, vastutav töötleja, kes sellele erandile tugineb, peab „tõendama, et on olemas tegelik võimalus, et riigi julgeolekut kahjustatakse,“ ning vajaduse korral peab vastutav töötleja „esitama [teabevolinikule] tõendid selle kohta, miks ta seda erandit kasutas“. Suunistes on esitatud kontrollnimekiri ja hulk näiteid, et selgitada, millistel tingimustel saab seda erandit kohaldada.

(66)

Asjaolu, et andmeid töödeldakse riigi julgeoleku või riigikaitse eesmärkidel, ei ole seega iseenesest erandi kohaldamiseks piisav. Vastutav töötleja peab kaaluma tegelikke tagajärgi riigi julgeolekule juhul, kui ta peab teatavat andmekaitsesätet järgima. Erandit võib kohaldada ainult nende konkreetsete sätete suhtes, mille puhul on kindlaks tehtud, et nende kohaldamine kujutaks endast ohtu riigi julgeolekule, ning erandit tuleb kohaldada võimalikult kitsalt (59).

(67)

Seda lähenemisviisi on kinnitanud teabeküsimuste kohus (60). Kohtuotsuses Baker vs. Secretary of State for the Home Department leidis teabeküsimuste kohus, et ebaseaduslik on kohaldada riigi julgeoleku erandit üldise erandina luureteenistuste saadud juurdepääsutaotluste suhtes. Selle asemel tuleb erandit kohaldada iga juhtumi puhul eraldi, hinnates iga päringu sisu ja võttes arvesse üksikisikute õigust nende eraelu austamisele (61).

(68)

Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 85 lõikega 2 lubatakse teha ajakirjanduslikul, kunstilisel, akadeemilisel ja kirjanduslikul eesmärgil töödeldavate isikuandmete suhtes erand mitmest Ühendkuningriigi isikuandmete kaitse üldmääruse sättest. 2018. aasta andmekaitseseaduse 2. lisa 5. osas on sätestatud erandid nimetatud eesmärkidel toimuva töötlemise korral. Sellega on ette nähtud erandid andmekaitsepõhimõtetest (välja arvatud usaldusväärsuse ja konfidentsiaalsuse põhimõte), töötlemise õiguslikest alustest (sealhulgas andmete eriliigid, süüteoasjades süüdimõistvaid kohtuotsuseid jne käsitlevad andmed), nõusoleku andmise tingimustest, läbipaistvuskohustustest, andmesubjektide õigustest, kohustusest teavitada andmetega seotud rikkumistest ning nõudest konsulteerida enne kõrge riskitasemega töötlemist teabevolinikuga ning andmete rahvusvahelise edastamise eeskirjadest (62). Sellega seoses ei erine Ühendkuningriigi isikuandmete kaitse üldmäärus sisuliselt määrusest (EL) 2016/679, mille artikliga 85 on samuti ette nähtud võimalus teha andmete ajakirjanduslikul eesmärgil või akadeemilise, kunstilise või kirjandusliku eneseväljenduse eesmärgil töötlemise puhul erand mitmest määruse (EL) 2016/679 nõudest. 2018. aasta andmekaitseseaduse sätted, eelkõige 2. lisa 5. osa, on Ühendkuningriigi isikuandmete kaitse üldmäärusega vastavuses.

(69)

Tasakaalu hindamine Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 85 alusel on põhiliselt seotud sellega, kas erandid põhjenduses 68 nimetatud andmekaitsenormidest on „vajalikud, et ühitada õigus isikuandmete kaitsele sõna- ja teabevabadusega“ (63). Vastavalt 2018. aasta andmekaitseseaduse 2. lisa lõike 26 punktidele 2 ja 3 hindab Ühendkuningriik selle tasakaalu saavutamisel seda, kas arvamuseks on „mõistlik alus“. Selleks et erand oleks põhjendatud, peab vastutaval töötlejal olema mõistlik alus arvata, et i) avaldamine on avalikes huvides ja ii) isikuandmete kaitse üldmääruse asjakohase sätte kohaldamine ei oleks kooskõlas ajakirjanduslike, akadeemiliste, kunstiliste või kirjanduslike eesmärkidega. Nagu kinnitab kohtupraktika, (64) on arvamuse mõistliku aluse hindamisel nii subjektiivne kui ka objektiivne element: ei piisa sellest, kui vastutav töötleja tõendab, et tema enda arvamuse kohaselt ei oleks sätte järgimine eesmärkidega kooskõlas. Tema arvamusel peab olema mõistlik alus, see tähendab, et niimoodi võiks arvata mõistlik isik, kes teab asjaomaseid fakte. Seepärast peab vastutav töötleja täitma oma arvamuse kujundamisel hoolsuskohustust, et ta suudaks tõendada selle mõistlikku alust. Ühendkuningriigi ametiasutuste esitatud selgituste kohaselt tuleb „arvamuse mõistlikku alust“ hinnata iga erandi puhul eraldi (65). Kui tingimused on täidetud, loetakse erand Ühendkuningriigi õiguse alusel vajalikuks ja proportsionaalseks.

(70)

Kooskõlas 2018. aasta andmekaitseseaduse paragrahviga 124 peab teabevolinik koostama andmekaitset ja ajakirjandust käsitleva tegevusjuhendi. Juhendi koostamine on pooleli. 1998. aasta andmekaitseseaduse alusel on välja antud seda küsimust käsitlevad suunised, milles on eelkõige rõhutatud, et erandile tuginemiseks ei piisa üksnes väitest, et sätte järgimine oleks ajakirjandusliku tegevuse seisukohast ebamugav, vaid esitada tuleb selge argument, mille kohaselt kõnealune säte takistab vastutustundlikku ajakirjandustegevust (66). Samuti on Ühendkuningriigi telekommunikatsioonivaldkonna reguleeriv asutus OFCOM ja BBC oma toimetamissuunistes avaldanud juhised avaliku huvi hindamise ning avaliku huvi ja üksikisiku eraelu puutumatusega seotud huvi tasakaalustamise kohta (67). Eelkõige on suunistes esitatud näiteid teabest, mida võib seoses avaliku huviga arvesse võtta, ja selgitatud vajadust tõendada, et juhtumi konkreetsetel asjaoludel kaalub avalik huvi üles eraelu puutumatuse õiguse.

(71)

Sarnaselt isikuandmete kaitse üldmääruse artiklis 89 sätestatule võib avalikes huvides toimuva arhiveerimise eesmärgil ning teadus- ja ajaloouuringute või statistilisel eesmärgil toimuva isikuandmete töötlemise suhtes teha erandi ka mitmest Ühendkuningriigi isikuandmete kaitse üldmääruses loetletud sättest (68). Uuringute ja statistika puhul on võimalik teha erand Ühendkuningriigi isikuandmete kaitse üldmääruse sätetest, mis on seotud andmete töötlemise kinnitamisega, andmetele juurdepääsemisega ja kaitsemeetmetega kolmandatesse riikidesse edastamisel, õigusega andmete parandamisele, töötlemise piiramisega ja töötlemisele vastuväite esitamisega. Seoses avalikes huvides toimuva arhiveerimisega on võimalikud ka erandid kohustusest teatada isikuandmete parandamisest või kustutamisest või töötlemise piiramisest ning erandid andmete ülekandmise õigusest.

(72)

2018. aasta andmekaitseseaduse 2. lisa lõike 27 punkti 1 ja lõike 28 punkti 1 kohaselt on erandid Ühendkuningriigi isikuandmete kaitse üldmääruses loetletud sätetest võimalikud juhul, kui sätte kohaldamine „takistaks või tõsiselt kahjustaks“ asjaomase eesmärgi saavutamist (69).

(73)

Arvestades seda, kuidas need erandid mõjutavad konkreetsete õiguste tulemuslikku teostamist, võetakse kõiki nimetatud erandite tõlgendamise ja praktikas kohaldamisega seotud olulisi arengusuundi (lisaks sisserände tulemusliku kontrolli säilitamise erandile, nagu on selgitatud põhjenduses 6), kaasa arvatud arenguid kohtupraktikas ning teabevoliniku suunistes ja täitemeetmetes, nõuetekohaselt arvesse käesoleva otsuse üle pideva järelevalve teostamisel (70).

(74)

Euroopa Liidust Ühendkuningriigis asuvatele vastutavatele töötlejatele või volitatud töötlejatele edastatavatele isikuandmetele pakutava kaitse taset ei tohi kahjustada selliste andmete täiendav edasisaatmine kolmandasse riiki. Andmete edasisaatmine, mis tähendab Ühendkuningriigi vastutava töötleja või volitatud töötleja seisukohast rahvusvahelist edastamist Ühendkuningriigist, peaks olema lubatud üksnes juhul, kui väljaspool Ühendkuningriiki asuva järgmise saaja enda suhtes kehtivad eeskirjad, millega tagatakse sarnane kaitsetase, nagu on tagatud Ühendkuningriigi õiguskorraga. Sel põhjusel on Ühendkuningriigi isikuandmete kaitse üldmääruses ja 2018. aasta andmekaitseseaduses isikuandmete rahvusvahelise edastamise kohta sätestatud normide kohaldamine oluline tegur jätkuva kaitse tagamiseks käesoleva otsuse alusel isikuandmete Euroopa Liidust Ühendkuningriiki edastamise korral.

(75)

Ühendkuningriigist isikuandmete rahvusvahelise edastamise kord on sätestatud Ühendkuningriigi isikuandmete kaitse üldmääruse artiklites 44–49, mida täiendab 2018. aasta andmekaitseseadus, ning see vastab sisu poolest määruse (EL) 2016/679 V peatükis sätestatud normidele (71). Isikuandmeid võib edastada kolmandasse riiki või rahvusvahelisele organisatsioonile üksnes kaitse piisavuse määruse alusel (Ühendkuningriigi vaste määruse (EL) 2016/679 kohasele kaitse piisavuse otsusele) või kaitse piisavuse määruse puudumise korral juhul, kui vastutav töötleja või volitatud töötleja on kehtestanud asjakohased kaitsemeetmed kooskõlas Ühendkuningriigi isikuandmete kaitse üldmääruse artikliga 46. Kaitse piisavuse määruse või asjakohaste kaitsemeetmete puudumise korral võib andmeid edastada üksnes Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 49 sätestatud erandite alusel.

(76)

Ministri antud kaitse piisavuse määruses võib sätestada, et kolmanda riigi (või kolmanda riigi teatava territooriumi või sektori), rahvusvahelise organisatsiooni või sellise riigi, territooriumi, sektori või organisatsiooni täpse kirjelduse (72) puhul on tagatud isikuandmete piisav kaitsetase. Kaitsetaseme piisavuse hindamisel peab minister võtma arvesse täpselt samu elemente kui need, mida peab hindama komisjon määruse (EL) 2016/679 artikli 45 lõike 2 punktide a–c alusel, tõlgendatuna koos määruse (EL) 2016/679 põhjendusega 104 ja jätkuvalt kohaldatava ELi kohtupraktikaga. See tähendab seda, et kolmanda riigi pakutava piisava kaitsetaseme hindamise asjakohane kriteerium on see, kas see kolmas riik tagab kaitsetaseme, mis „sisuliselt vastab“ Ühendkuningriigis tagatud kaitsetasemele.

(77)

Mis puudutab menetlust, siis kaitse piisavuse määruste suhtes kohaldatakse 2018. aasta andmekaitseseaduse paragrahvis 182 sätestatud üldisi menetlusnõudeid. Nimetatud menetluse raames peab minister Ühendkuningriigi kaitse piisavuse määruse vastuvõtmise ettepaneku tegemisel konsulteerima teabevolinikuga (73). Pärast seda, kui minister on kaitse piisavuse määruse vastu võtnud, esitatakse see parlamendile ja kohaldatakse nn negatiivse resolutsiooni menetlust, mille kohaselt võivad parlamendi mõlemad kojad määrust kontrollida ja võtta 40 päeva jooksul vastu ettepaneku selle tühistamiseks (74).

(78)

2018. aasta andmekaitseseaduse paragrahvi 17B lõike 1 kohaselt tuleb kaitse piisavuse määrus vähemalt iga nelja aasta tagant läbi vaadata ning minister peab järjepidevalt jälgima kolmandate riikide ja rahvusvaheliste organisatsioonide arengusuundi, mis võivad mõjutada otsuseid kaitse piisavuse määrus teha või seda muuta või see kehtetuks tunnistama. Kui minister saab teada, et konkreetne riik või organisatsioon ei taga enam isikuandmete piisavat kaitsetaset, peab ta määrust vajalikus ulatuses muutma või selle kehtetuks tunnistama ning alustama asjaomase kolmanda riigi või organisatsiooniga konsultatsioone kaitsetaseme ebapiisavuse kõrvaldamiseks. Menetluse need aspektid kajastavad ka määruse (EL) 2016/679 vastavaid nõudeid.

(79)

Kaitse piisavuse määruse puudumise korral võib andmeid rahvusvaheliselt edastada juhul, kui vastutav töötleja või volitatud töötleja on taganud asjakohased kaitsemeetmed kooskõlas Ühendkuningriigi isikuandmete kaitse üldmääruse artikliga 46. Sellised kaitsemeetmed on sarnased määruse (EL) 2016/679 artikli 46 kohaste meetmetega. Nende hulka kuuluvad õiguslikult siduvad ja täitmisele pööratavad dokumendid avaliku sektori asutuste või organite vahel, siduvad kontsernisisesed eeskirjad, (75) standardsed andmekaitseklauslid, heakskiidetud toimimisjuhendid, heakskiidetud sertifitseerimismehhanismid ning teabevoliniku loal vastutavate töötlejate (või volitatud töötlejate) vahelised lepingutingimused või avaliku sektori asutuste vahelised halduskokkulepped. Menetluslikust seisukohast on neid norme aga muudetud, et need toimiksid Ühendkuningriigi kontekstis, eelkõige võib kooskõlas 2018. aasta andmekaitseseadusega standardseid andmekaitseklausleid vastu võtta minister (paragrahv 17C) või teabevolinik (paragrahv 119A).

(80)

Kaitse piisavuse otsuse või asjakohaste kaitsemeetmete puudumise korral võib andmeid edastada üksnes Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 49 sätestatud erandite alusel (76). Võrreldes määruse (EL) 2016/679 vastavate normidega ei ole Ühendkuningriigi isikuandmete kaitse üldmäärusega tehtud nendes erandites sisulisi muudatusi. Sarnaselt määrusele (EL) 2016/679 saab Ühendkuningriigi isikuandmete kaitse üldmääruse alusel tugineda teatavatele eranditele ainult siis, kui edastamine on juhtumipõhine (77). Peale selle on teabevolinik oma suunistes rahvusvahelise edastamise kohta täpsustanud järgmist: „Neid tuleb kasutada üksnes tõeliste eranditena üldreeglist, mille kohaselt võib piiratud edastamine toimuda ainult siis, kui see on hõlmatud kaitse piisavuse otsusega või kui on kehtestatud asjakohased kaitsemeetmed“ (78). Mis puudutab andmete sellist edastamist, mis on vajalik avalikust huvist tulenevatel kaalukatel põhjustel (artikli 49 lõike 1 punkt d), siis minister võib anda määruse, milles on täpsustatud, millistel asjaoludel ei ole isikuandmete edastamine kolmandale riigile või rahvusvahelisele organisatsioonile vajalik avalikust huvist tulenevatel kaalukatel põhjustel. Peale selle võib minister määrusega piirata teatava isikuandmete liigi kolmandale riigile või rahvusvahelisele organisatsioonile edastamist juhul, kui andmeid ei saa edastada kaitse piisavuse määruse alusel ning minister leiab, et piirang on vajalik avalikust huvist tulenevatel kaalukatel põhjustel. Selliseid määrusi ei ole seni vastu võetud.

(81)

Andmete rahvusvahelise edastamise raamistikku hakati kohaldama üleminekuperioodi lõpus (79). 2018. aasta andmekaitseseaduse 21. lisa lõikes 4 (mis kehtestati andmekaitse, eraelu puutumatuse ja elektroonilise side määrusega) on sätestatud, et alates üleminekuperioodi lõpust käsitletakse teatavat isikuandmete edastamist nii, nagu põhineks see kaitse piisavuse määrusel. See kehtib andmete edastamisel EMP riikidesse, Gibraltari territooriumile, liidu institutsioonile, organile, ametile või asutusele, mis on loodud ELi asutamislepinguga või selle alusel, ning kolmandatesse riikidesse, mille kohta on üleminekuperioodi lõpus olemas ELi otsus kaitse piisavuse kohta. Sellest tulenevalt võib andmete edastamine nendesse riikidesse jätkuda samamoodi kui enne Ühendkuningriigi EList väljaastumist. Pärast üleminekuperioodi lõppu peab minister need kaitse piisavuse kohta tehtud järeldused nelja aasta jooksul, st 2024. aasta detsembri lõpuks läbi vaatama. Ühendkuningriigi ametiasutuste esitatud selgituse kohaselt peab minister järeldused 2024. aasta detsembri lõpuks küll läbi vaatama, kuid üleminekusätted ei hõlma nn aegumissätet ning asjaomased üleminekusätted ei kaota automaatselt kehtivust, kui läbivaatamine ei ole 2024. aasta detsembri lõpuks lõpule viidud.

(82)

Lõpetuseks, mis puudutab Ühendkuningriigi rahvusvahelise andmeedastuskorra muutumist tulevikus, kui võetakse vastu uusi kaitse piisavuse määrusi, sõlmitakse rahvusvahelisi lepinguid või töötatakse välja muid edastamismehhanisme, siis komisjon jälgib olukorda tähelepanelikult, hindab, kas erinevaid edastamismehhanisme kasutatakse nii, et see tagab kaitse jätkumise, ning võtab vajaduse korral asjakohaseid meetmeid, millega reageerida võimalikele kaitse jätkumist ohustavatele mõjudele (vt põhjendused 278–287). Kuna ELi ja Ühendkuningriigi andmete rahvusvahelise edastamise reeglid on sarnased, võib eeldada, et probleemseid erinevusi saab ära hoida ka koostöö, teabe vahetamise ja kogemuste jagamise abil, muu hulgas teabevoliniku ja Euroopa Andmekaitsenõukogu vahel.

(83)

Vastutuse põhimõtte kohaselt peavad andmeid töötlevad üksused kehtestama asjakohased tehnilised ja korralduslikud meetmed, et täita tõhusalt oma andmekaitsekohustusi ja suuta nende täitmist tõendada, eelkõige pädevale järelevalveasutusele.

(84)

Määruses (EL) 2016/679 sätestatud vastutuse põhimõte on Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 5 lõikes 2 ilma sisuliste muudatusteta säilitatud ning sama kehtib artikli 24 („Vastutava töötleja vastutus“), artikli 25 („Lõimitud andmekaitse ja vaikimisi andmekaitse“) ja artikli 30 („Isikuandmete töötlemise toimingute registreerimine“) puhul. Samuti kohaldatakse jätkuvalt artiklit 35 („Andmekaitsealane mõjuhinnang“) ja artiklit 36 („Eelnev konsulteerimine“). Määruse (EL) 2016/679 artiklid 37–39, mis käsitlevad andmekaitseametniku määramist ja tema ülesandeid, on Ühendkuningriigi isikuandmete kaitse üldmääruses ilma sisuliste muudatusteta jätkuvalt kohaldatavad. Lisaks on Ühendkuningriigi isikuandmete kaitse üldmääruses jätkuvalt kohaldatavad määruse (EL) 2016/679 artiklite 40 („Toimimisjuhendid“) ja 42 („Sertifitseerimine“) sätted (80).

(85)

Et tagada andmekaitse piisav tase ka praktikas, peaks olema loodud sõltumatu järelevalveasutus, millele on antud volitused jälgida andmekaitsenormide järgimist ja tagada nende täitmine. See asutus peaks tegutsema oma ülesandeid täites ja volitusi kasutades täiesti sõltumatult ja erapooletult.

(86)

Ühendkuningriigis teeb Ühendkuningriigi isikuandmete kaitse määruse ja 2018. aasta andmekaitseseaduse üle järelevalvet ning tagab nende täitmise teabevolinik. Teabevolinik on n-ö ühest isikust koosnev ühing – eraldi juriidiline isik, mille moodustab üks inimene. Teabevoliniku tööd toetab tema büroo. 31. märtsi 2020. aasta seisuga oli teabevoliniku büroos 768 alalist töötajat (81). Teabevolinik kuulub digitaal-, kultuuri-, meedia- ja spordivaldkonna ministeeriumi haldusalasse (82).

(87)

Voliniku sõltumatus on sõnaselgelt sätestatud Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 52, millega ei tehta olulisi muudatusi isikuandmete kaitse üldmääruse artikli 52 lõigetesse 1–3. Volinik peab talle Ühendkuningriigi isikuandmete kaitse üldmäärusega antud ülesannete täitmisel ja volituste kasutamisel tegutsema täiesti sõltumatult ning olema seoses nende ülesannete ja volitustega vaba nii otsestest kui ka kaudsetest välistest mõjutustest ega tohi mitte kelleltki juhiseid küsida või vastu võtta. Samuti peab volinik hoiduma oma kohustustega kokkusobimatust tegevusest ega tohi oma ametiaja jooksul töötada ühelgi muul sobimatul tasustatud või tasustamata ametikohal.

(88)

Teabevoliniku ametisse määramise ja ametist tagandamise tingimused on sätestatud 2018. aasta andmekaitseseaduse 12. lisas. Teabevoliniku nimetab õiglase ja avatud konkursi tulemusel ametisse Tema Majesteet valitsuse soovituse põhjal. Kandidaadil peavad olema sobilikud kvalifikatsioonid, oskused ja pädevused. Kooskõlas ametnike ametisse nimetamise halduseeskirjadega (83) koostab nõustav hindamiskogu loetelu kandidaatidest, kelle saaks ametisse nimetada. Enne, kui digitaal-, kultuuri-, meedia- ja spordivaldkonna minister oma lõpliku otsuse teeb, peab parlamendi asjaomane erikomisjon viima läbi ametisse nimetamise eelse kontrolli. Komisjoni seisukoht avalikustatakse (84).

(89)

Teabevoliniku ametiaeg kestab kuni seitse aastat. Isiku saab nimetada teabevoliniku ametikohale ainult ühel korral. Tema Majesteet võib teabevoliniku parlamendi mõlema koja pöördumise (85) alusel ametist tagandada. Parlamendi kummalegi kojale ei saa esitada teabevoliniku ametist tagandamise taotlust, ilma et minister oleks esitanud aruande, milles ta kinnitab oma veendumust, et teabevolinik on pannud toime tõsise üleastumise ja/või et volinik ei vasta enam tema ülesannete täitmiseks nõutavatele tingimustele (86).

(90)

Teabevolinikku rahastatakse kolmest allikast: i) vastutavate töötlejate makstavad andmekaitsetasud, mis määratakse kindlaks ministri määrusega (87) (2018. aasta andmekaitsemäärus (tasud ja teave) (Data Protection (Charges and Information) Regulations 2018)) ja moodustavad 85–90 % büroo aastaeelarvest (88); ii) valitsuse toetus teabevolinikule; toetust kasutatakse peamiselt teabevoliniku nende tegevuskulude rahastamiseks, mis ei ole seotud andmekaitsealaste ülesannetega, (89) ja iii) teenustasud (90). Seni ei ole selliseid tasusid nõutud.

(91)

Teabevoliniku üldised ülesanded seoses nende isikuandmete töötlemisega, mille suhtes Ühendkuningriigi isikuandmete kaitse üldmäärust kohaldatakse, on sätestatud Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 57, mis järgivad üsna täpselt määruse (EL) 2016/679 vastavaid norme. Tema ülesanded hõlmavad Ühendkuningriigi isikuandmete kaitse üldmääruse kohaldamise jälgimist ja täitmise tagamist, üldsuse teadlikkuse suurendamist, andmesubjektide esitatud kaebuste käsitlemist, uurimiste läbiviimist jms. Lisaks on 2018. aasta andmekaitseseaduse paragrahvis 115 sätestatud voliniku muud üldised ülesanded, mille hulka kuuluvad kohustus nõustada parlamenti, valitsust ning muid institutsioone ja asutusi seoses seadusandlike ja haldusmeetmetega, mis käsitlevad üksikisikute isikuandmete töötlemisega seotud õigusi ja vabadusi, ning õigus esitada parlamendile, valitsusele või muudele institutsioonidele ja asutustele, samuti avalikkusele voliniku enda algatusel või taotluse põhjal arvamusi kõikides isikuandmete kaitsega seotud küsimustes. Kohtusüsteemi sõltumatuse säilitamise eesmärgil ei ole teabevolinikul õigust täita oma ülesandeid seoses isikuandmete töötlemisega õigust mõistvat funktsiooni täitva isiku või õigust mõistvat funktsiooni täitva kohtu poolt. Järelevalve kohtute üle tagavad aga spetsialiseerunud asutused (vt põhjendused 99–103).

(92)

Teabevoliniku volitused on sätestatud Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 58, millega ei tehta sisulisi muudatusi määruse (EL) 2016/679 vastavas artiklis. 2018. aasta andmekaitseseadusega on kehtestatud täiendavad normid nende volituste teostamise kohta. Eelkõige on teabevolinikul järgmised volitused: a) nõuda vastutavalt töötlejalt ja volitatud töötlejalt (ning teatavatel asjaoludel teistelt isikutelt) vajaliku teabe andmist, esitades teabenõude (edaspidi „teabenõue“); (91) b) viia läbi uurimisi ja auditeid, esitades hindamisteate, millega võidakse nõuda volitatud töötlejalt või vastutavalt töötlejalt, et nad lubaksid volinikul siseneda märgitud ruumidesse, kontrollida või uurida dokumente või seadmeid, vestelda vastutava töötleja nimel isikuandmeid töötlevate isikutega jne (edaspidi „hindamisteade“); (92) c) saada kooskõlas 2018. aasta andmekaitseseaduse paragrahviga 154 muul viisil juurdepääs vastutavate töötlejate ja volitatud töötlejate dokumentidele jne ning pääseda nende ruumidesse (edaspidi „volitus siseneda ja kontrollida“); d) teostada parandusvolitusi, muu hulgas hoiatusi ja noomitusi tehes, või anda korraldusi täitmisteate näol, millega nõutakse vastutavatelt töötlejatelt / volitatud töötlejatelt teatavate meetmete võtmist või võtmata jätmist, sealhulgas anda vastutavale töötlejale / volitatud töötlejale korraldus võtta Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 58 lõike 2 punktides c–g ja j täpsustatud meetmeid (edaspidi „täitmisteade“); (93) ja e) määrata haldustrahve karistuse määramise teate näol (edaspidi „trahviteade“) (94). Trahviteateid saab välja anda ka juhul, kui avaliku sektori asutus ei järgi Ühendkuningriigi isikuandmete kaitse üldmääruse sätteid (95).

(93)

Teabevoliniku büroo regulatiivse tegevuse poliitikas (Regulatory Action Policy) on sätestatud asjaolud, mille korral büroo esitab teabenõude või hindamis-, täitmis- või trahviteate (96). Vastutava töötleja või volitatud töötleja tegevuses esinevate puuduste tulemusel esitatud täitmisteatega võib määrata üksnes selliseid nõudeid, mida volinik peab vajalikuks puuduse kõrvaldamiseks. Vastutavale töötlejale või volitatud töötlejale võib esitada täitmisteateid ja trahviteateid seoses Ühendkuningriigi isikuandmete kaitse üldmääruse II peatüki (töötlemise põhimõtted), artiklite 12–22 (andmesubjekti õigused), artiklite 25–39 (vastutavate töötlejate ja volitatud töötlejate kohustused) ning artiklite 44–49 (rahvusvaheline edastamine) rikkumisega. Täitmisteate võib esitada ka siis, kui vastutav töötleja ei ole täitnud nõuet maksta 2018. aasta andmekaitseseaduse paragrahvi 137 alusel antud määruse kohast tasu. Peale selle võib esitada täitmisteate artikli 41 kohasele järelevalveasutusele või sertifikaatide väljastajale, kui nad ei täida oma kohustusi Ühendkuningriigi isikuandmete kaitse üldmääruse alusel. Trahviteate võib esitada ka isikule, kes ei ole järginud teabenõuet, hindamisteadet või täitmisteadet.

(94)

Trahviteate saamisel peab isik tasuma teabevolinikule teates märgitud summa. Kui teabevolinik otsustab, kas esitada isikule trahviteade ja kui suur peaks olema trahvisumma, peab ta võtma arvesse Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 83 lõigetes 1 ja 2 loetletud tingimusi, mis on identsed määruse (EL) 2016/679 vastavate normidega (97). Artikli 83 lõigete 4 ja 5 alusel on nendes sätetes nimetatud kohustuste täitmata jätmise korral määratavate haldustrahvide maksimaalsed summad vastavalt 8 700 000 naelsterlingit või 17 500 000 naelsterlingit. Ettevõtja puhul võib teabevolinik määrata trahve ka protsendimäärana ülemaailmsest aastakäibest, kui see summa on suurem. Sarnaselt määruse (EL) 2016/679 samaväärsetele sätetele on artikli 83 lõigetes 4 ja 5 kehtestatud nendeks summadeks vastavalt 2 % ja 4 %. Teabenõude, hindamisteate või täitmisteate järgimata jätmise korral võib trahviteatega määrata trahvi, mille summa on maksimaalselt 17 500 000 naelsterlingit või ettevõtja puhul 4 % ülemaailmsest aastakäibest, olenevalt sellest, kumb summa on suurem.

(95)

Samuti on Ühendkuningriigi isikuandmete kaitse üldmääruse ja 2018. aasta andmekaitseseadusega tugevdatud teabevoliniku muid volitusi. Näiteks võib volinik nüüd viia hindamisteadete kaudu läbi kõikide vastutavate töötlejate ja volitatud töötlejate kohustuslikke auditeid, samas kui varasema õigusakti – 1998. aasta andmekaitseseaduse – alusel olid volinikul volitused üksnes seoses keskvalitsuse ja tervishoiuorganisatsioonidega ning ülejäänud töötlejad pidid auditiga nõustuma.

(96)

Alates määruse (EL) 2016/679 kehtestamisest menetleb teabevolinik aastas ligikaudu 40 000 andmesubjektidelt laekunud kaebust (98) ja viib lisaks sellele läbi ligikaudu 2 000 uurimist ametiülesande korras (99). Enamik kaebusi on seotud andmetega tutvumise õigusega ja õigusega andmete avalikustamisele. Pärast uurimise läbiviimist võtab volinik täitmise tagamise meetmeid mitmesugustes valdkondades. Täpsemalt esitas teabevolinik oma viimase aastaaruande (2019–2020) (100) kohaselt aruandlusperioodil 54 teabenõuet, 8 hindamisteadet, 7 täitmisteadet, 4 hoiatust ja 8 süüdistust ning määras 15 trahvi (101).

(97)

Nende hulka kuuluvad mitu olulist rahalist karistust, mis määrati määruse (EL) 2016/679 ja 2018. aasta andmekaitseseaduse alusel. Näiteks määras teabevolinik 2020. aasta oktoobris Briti lennuettevõtjale 20 miljoni naelsterlingi suuruse trahvi andmetega seotud rikkumise eest, mis mõjutas rohkem kui 400 000 klienti. 2020. aasta oktoobri lõpus määrati rahvusvahelisele hotelliketile 18,4 miljoni naelsterlingi suurune trahv, kuna ta ei taganud miljonite klientide isikuandmete turvalisust, ning 2020. aasta novembris määrati 1,25 miljoni naelsterlingi suurune trahv ürituste pileteid müüvale Briti teenuseosutajale klientide makseandmete kaitsmata jätmise eest (102).

(98)

Lisaks teabevoliniku õigusnormide täitmise tagamise volitustele, mida on kirjeldatud põhjenduses 92, on teatavad andmekaitsealaste õigusaktide rikkumised süüteod ja seega võidakse nende korral kohaldada kriminaalkaristusi (vt 2018. aasta andmekaitseseaduse paragrahv 196). See kehtib näiteks juhul, kui teadlikult või hooletuse tõttu hangitakse või avalikustatakse isikuandmeid ilma vastutava töötleja nõusolekuta, korraldatakse isikuandmete avalikustamine teisele isikule ilma vastutava töötleja nõusolekuta, (103) muudetakse ilma vastutava töötleja nõusolekuta uuesti identifitseeritavaks teave, mille näol on tegu umbisikustatud isikuandmetega, (104) takistatakse tahtlikult voliniku õiguse teostamist seoses isikuandmete kontrollimisega kooskõlas rahvusvaheliste kohustustega, (105) esitatakse vastusena teabenõudele valeväiteid või hävitatakse teavet seoses teabenõuete või hindamisteadetega (106).

(99)

Järelevalve isikuandmete töötlemise üle kohtute poolt on kahesugune. Kui kohtunik või kohus ei täida õigust mõistvat funktsiooni, siis teeb järelevalvet teabevolinik. Kui vastutav töötleja täidab õigust mõistvat funktsiooni, ei saa teabevolinik oma järelevalveülesandeid täita (107) ja järelevalvet teevad spetsiaalsed asutused. See vastab lähenemisviisile, mida järgitakse määruses (EL) 2016/679 (artikli 55 lõige 3).

(100)

Täpsemalt teeb teise stsenaariumi puhul Inglismaa ja Walesi kohtute ning Inglismaa ja Walesi esimese astme kohtute (First-tier Tribunals) ja kõrgemate kohtute (Upper Tribunals) puhul järelevalvet kohtute andmekaitsekomisjon (Judicial Data Protection Panel) (108). Peale selle on ülemkohtunik (Lord Chief Justice) ja kohtute kõrgeim president (Senior President of Tribunals) andnud välja eraelu puutumatust käsitleva teate, (109) milles on sätestatud isikuandmete töötlemine Inglismaa ja Walesi kohtutes õigust mõistva funktsiooni täitmisel. Sarnase teate on andnud välja Põhja-Iirimaa (110) ja Šotimaa (111) kohtud.

(101)

Peale selle on Põhja-Iirimaa ülemkohtunik nimetanud Põhja-Iirimaal kõrge kohtu kohtuniku andmekaitse üle järelevalvet tegevaks kohtunikuks (Data Supervisory Judge) (112). Samuti on Põhja-Iirimaa kohtunikele antud suuniseid selle kohta, mida andmete kaotsimineku või võimaliku kaotsimineku korral teha, ja sellest tulenevate küsimuste lahendamise kohta (113).

(102)

Šotimaal on lordpresident nimetanud andmekaitse üle järelevalvet tegeva kohtuniku, kes uurib kõiki andmekaitsega seotud põhjustel esitatud kaebusi. See on sätestatud kohtunike vastu esitatud kaebusi käsitlevates normides, mis vastavad Inglismaal ja Walesis kehtivatele normidele (114).

(103)

Samuti on kõrgeimas kohtus määratud üks kõrgeima kohtu kohtunik andmekaitse üle järelevalvet tegema.

(104)

Piisava kaitse tagamiseks ja eelkõige üksikisiku õiguste maksmapanekuks tuleks andmesubjektile tagada tõhus haldus- ja õiguskaitse, sealhulgas kahju hüvitamine.

(105)

Esiteks on andmesubjektil õigus esitada teabevolinikule kaebus, kui ta leiab, et seoses teda puudutavate isikuandmetega on rikutud Ühendkuningriigi isikuandmete kaitse üldmäärust (115). Ühendkuningriigi isikuandmete kaitse üldmääruses on ilma sisuliste muudatusteta säilitatud määruse (EL) 2016/679 artiklis 77 selle õiguse kohta sätestatud normid. Sama kehtib artikli 57 lõike 1 punkti f ja lõike 2 puhul, kus on sätestatud voliniku ülesanded seoses kaebuste käsitlemisega. Nagu on kirjeldatud põhjendustes 92–98, on teabevolinikul õigus hinnata, kas vastutav töötleja ja volitatud töötleja täidavad Ühendkuningriigi isikuandmete kaitse üldmääruse ja 2018. aasta andmekaitseseaduse nõudeid, nõuda neilt nõuete mittetäitmise korral vajalike meetmete võtmist või meetmete võtmata jätmist ning määrata trahve.

(106)

Teiseks on Ühendkuningriigi isikuandmete kaitse üldmääruse ja 2018. aasta andmekaitseseadusega ette nähtud õigus õiguskaitsevahendile teabevoliniku vastu. Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 78 lõike 1 kohaselt on isikul õigus kasutada tõhusat õiguskaitsevahendit voliniku õiguslikult siduva otsuse vastu, mis teda puudutab. Kohtuliku kontrolli raames vaatab kohtunik vaidlustatud otsuse läbi ja kaalub, kas teabevolinik tegutses seaduspäraselt. Peale selle saab kaebuse esitaja juhul, kui volinik andmesubjekti esitatud kaebust nõuetekohaselt ei käsitle, (116) Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 78 lõike 2 kohaselt kasutada õiguskaitsevahendit. Ta võib pöörduda esimese astme kohtusse (First Tier Tribunal), kes võib nõuda volinikult kaebusele vastamiseks nõuetekohaste meetmete võtmist või kaebuse esitaja teavitamist kaebuse menetlemise edenemisest (117). Peale selle võib iga isik, kellele volinik esitab mõne eespool nimetatud teate (teabenõue, hindamisteade, täitmisteade või trahviteade), kaevata teate peale esimese astme kohtusse (118). Kui kohus leiab, et voliniku otsus ei ole õigusaktidega kooskõlas või et volinik oleks pidanud oma kaalutlusõigust teistmoodi teostama, peab kohus kaebuse rahuldama või asendama teate või otsuse sellise teate või otsusega, mille teabevolinik oleks võinud esitada või teha.

(107)

Kolmandaks saavad isikud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 79 ja 2018. aasta andmekaitseseaduse paragrahvi 167 alusel kasutada kohtus õiguskaitsevahendit otse vastutavate töötlejate ja volitatud töötlejate vastu. Kui kohus nõustub andmesubjekti avalduse põhjal, et andmesubjekti andmekaitsealastest õigusaktidest tulenevaid õigusi on rikutud, võib kohus nõuda, et töötlemise eest vastutav töötleja või tema nimel tegutsev volitatud töötleja võtaks või jätaks võtmata kohtumääruses märgitud meetmed.

(108)

Peale selle on igal isikul, kes on kandnud Ühendkuningriigi isikuandmete kaitse üldmääruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 82 ja 2018. aasta andmekaitseseaduse paragrahvi 168 kohaselt õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest. Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 82 lõigetes 1–5 sätestatud normid hüvitise ja vastutuse kohta on identsed määruse (EL) 2016/679 vastavate normidega. 2018. aasta andmekaitseseaduse paragrahvi 168 alusel hõlmab mittemateriaalne kahju ka kannatusi. Samuti on andmesubjektil Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 80 alusel õigus volitada esindavat organit või organisatsiooni esitama tema nimel volinikule kaebuse (Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 77 alusel) ja kasutama tema nimel õigusi, mida on nimetatud Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 78 („Õigus tõhusale õiguskaitsevahendile voliniku vastu“), artiklis 79 („Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu“) ja artiklis 82 („Õigus hüvitisele ja vastutusele“).

(109)

Neljandaks võib iga isik, kes leiab, et avaliku sektori asutused on rikkunud tema õigusi, sealhulgas õigust eraelu puutumatusele ja andmekaitsele, lisaks nendele õiguskaitsevahendi kasutamise võimalustele taotleda Ühendkuningriigis õiguskaitset ka 1998. aasta inimõiguste seaduse alusel (119). Isik, kes väidab, et avaliku sektori asutus käitus (või kavatseb käituda) viisil, mis ei ole kooskõlas konventsioonist tuleneva õigusega ja on seetõttu 1998. aasta inimõiguste seaduse paragrahvi 6 lõike 1 alusel ebaseaduslik, võib algatada selle asutuse vastu asjakohases kohtus menetluse või tugineda asjaomastele õigustele mis tahes kohtumenetluses, kui ta on (või oleks) ebaseadusliku tegevuse ohver.

(110)

Kui kohus leiab, et avaliku sektori asutuse tegevus on ebaseaduslik, võib ta määrata oma volituste piires sellise õiguskaitsevahendi või hüvitise või teha sellise korralduse, mida ta peab õiglaseks ja asjakohaseks (120). Samuti võib kohus sedastada, et esmase õigusakti säte on vastuolus konventsioonist tuleneva õigusega.

(111)

Lisaks võib isik pärast siseriiklike õiguskaitsevahendite ammendumist taotleda Euroopa inimõiguste konventsiooni alusel tagatud õiguste rikkumise korral õiguskaitset Euroopa Inimõiguste Kohtus.

(112)

Komisjon hindas ka Ühendkuningriigi õigusraamistikku, mis reguleerib Ühendkuningriigis asuvatele ettevõtjatele edastatud isikuandmete kogumist ja järgnevat kasutamist Ühendkuningriigi avaliku sektori asutuste poolt avaliku huvi eesmärkidel, eelkõige kriminaalõiguskaitse ja riigi julgeoleku eesmärkidel (edaspidi „valitsuse juurdepääs“). Selle hindamisel, kas tingimused, mille alusel valitsusel on juurdepääs käesoleva otsuse alusel Ühendkuningriiki edastatud andmetele, täidavad määruse (EL) 2016/679 artikli 45 lõikega 1 ette nähtud nn sisulise vastavuse nõude, mida Euroopa Liidu Kohus on tõlgendanud Euroopa Liidu põhiõiguste harta alusel, võttis komisjon arvesse eelkõige järgmisi kriteeriume.

(113)

Esiteks peab isikuandmete kaitse õiguse piirang olema ette nähtud õigusaktidega ning õiguslikus aluses, mis võimaldab sellisesse õigusesse sekkuda, peab olema määratletud, kui ulatuslikult tohib asjaomase õiguse teostamist piirata (121).

(114)

Teiseks peab proportsionaalsuse nõude täitmiseks, mille kohaselt tohib isikuandmete kaitse suhtes kohaldada erandeid ja piiranguid üksnes sel määral, mil see on demokraatlikus ühiskonnas rangelt vajalik liidus tunnustatutega samaväärsete konkreetsete üldist huvi pakkuvate eesmärkide täitmiseks, olema asjaomase kolmanda riigi õigusaktides, millega sekkumist lubatakse, sätestatud selged ja täpsed normid, millega reguleeritakse kõnealuste meetmete kohaldamisala ja kohaldamist ning kehtestatakse minimaalsed kaitsemeetmed, et isikutel, kelle andmeid on edastatud, oleksid piisavad tagatised oma isikuandmete tõhusaks kaitseks kuritarvitamise ohu eest (122). Eelkõige tuleb sellistes õigusaktides osutada, millistel asjaoludel ja tingimustel võib vastu võtta meetme, millega selliste andmete töötlemine ette nähakse, (123) ning kehtestada selliste nõuete täitmise kontrollimiseks sõltumatu järelevalve (124).

(115)

Kolmandaks peavad sellised õigusaktid olema siseriikliku õiguse alusel õiguslikult siduvad ning need õigusnõuded ei pea olema mitte üksnes ametiasutuste suhtes siduvad, vaid ka asjaomase kolmanda riigi ametiasutuste vastu kohtus kaitstavad (125). Eelkõige peab andmesubjektil olema võimalus kasutada õiguskaitsevahendeid sõltumatus ja erapooletus kohtus, et tutvuda teda puudutavate isikuandmetega või lasta neisse parandusi teha või neid kustutada (126).

(116)

Kuna tegemist on avaliku sektori volituste kasutamisega, peab valitsuse juurdepääs Ühendkuningriigis toimuma täielikult õiguspäraselt. Ühendkuningriik on ratifitseerinud Euroopa inimõiguste konventsiooni (vt põhjendus 9) ja kõik avaliku sektori asutused Ühendkuningriigis peavad tegutsema kooskõlas konventsiooniga (127). Konventsiooni artikliga 8 on ette nähtud, et mis tahes sekkumine eraelu puutumatusse peab olema kooskõlas seadusega, mõne artikli 8 lõikes 2 sätestatud eesmärgi huvides ja selle eesmärgiga proportsionaalne. Samuti on artikliga 8 nõutud, et sekkumine peab olema ettenähtav, see tähendab, et sellel peab olema õigusaktides selge ja juurdepääsetav alus ning need õigusaktid peavad sisaldama asjakohaseid kaitsemeetmeid kuritarvitamise vältimiseks.

(117)

Peale selle on Euroopa Inimõiguste Kohus oma kohtupraktikas täpsustanud, et eraelu puutumatuse ja andmekaitse õigusesse sekkumise suhtes peab kehtima tõhus, sõltumatu ja erapooletu järelevalvesüsteem, mille on ette näinud kohtunik või mõni muu sõltumatu organ (128) (nt haldusasutus või parlamendiorgan).

(118)

Lisaks tuleb üksikisikutele pakkuda tõhusat õiguskaitsevahendit ning Euroopa Inimõiguste Kohus on selgitanud, et sellist õiguskaitsevahendit peab pakkuma sõltumatu ja erapooletu organ, mis on vastu võtnud oma kodukorra ja koosneb liikmetest, kes töötavad või on töötanud kõrges kohtunikuametis või on kogenud juristid, ning sellele organile taotluse esitamise tingimuseks ei tohi olla tõendamiskohustuse täitmine. Üksikisikute kaebuste läbivaatamisel peab sõltumatul ja erapooletul organil olema juurdepääs kogu asjakohasele teabele, sealhulgas suletud toimikutele. Samuti peavad tal olema volitused nõuete täitmata jätmine heastada (129).

(119)

Ühendkuningriik on ratifitseerinud ka Euroopa Nõukogu isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni (konventsioon nr 108) ja allkirjastas 2018. aastal protokolli, millega muudetakse isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni (mida tuntakse ka konventsioonina nr 108+) (130). Konventsiooni nr 108 artiklis 9 on sätestatud, et erandid andmekaitsepõhimõtetest (artikkel 5 „Andmekvaliteet“), andmete eriliike reguleerivatest normidest (artikkel 6 „Andmete eriliigid“) ja andmesubjekti õigustest (artikkel 8 „Lisatagatised andmesubjektile“) on lubatud üksnes juhul, kui selline erand on ette nähtud osalisriigi õigusega ning osutub demokraatlikus ühiskonnas vajalikuks, et kaitsta riigi julgeolekut, avalikku korda, riigi rahalisi huve või võidelda kuritegevuse vastu või kaitsta andmesubjekti või muu isiku õigusi ja vabadusi (131).

(120)

Kuna Ühendkuningriik on Euroopa Nõukogu liige, kehtib tema suhtes Euroopa inimõiguste konventsiooni järgimise ja Euroopa Inimõiguste Kohtu pädevusse kuulumise tagajärjel seega mitu rahvusvahelises õiguses sätestatud kohustust, mis loovad raamistiku valitsuse juurdepääsu süsteemile, lähtudes sarnastest põhimõtetest, kaitsemeetmetest ja üksikisiku õigustest kui need, mis on tagatud ELi õiguse alusel ja kohaldatavad liikmesriikides. Nagu on rõhutatud põhjenduses 19, on selliste õigusaktide jätkuv järgimine seega käesoleva otsuse aluseks oleva hindamise eriti oluline element.

(121)

Lisaks on 2018. aasta andmekaitseseadusega tagatud konkreetsed andmekaitsega seotud kaitsemeetmed ja õigused juhul, kui andmeid töötlevad avaliku sektori asutused, sealhulgas õiguskaitseasutused ja riiklikud julgeolekuasutused.

(122)

Isikuandmete töötlemise kord kriminaalõiguskaitse kontekstis on sätestatud eeskätt 2018. aasta andmekaitseseaduse 3. osas, mis kehtestati direktiivi (EL) 2016/680 ülevõtmiseks. 2018. aasta andmekaitseseaduse 3. osa kohaldatakse isikuandmete töötlemise suhtes pädevate asutuste poolt süütegude ennetamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks (132).

(123)

Pädev asutus on määratletud andmekaitseseaduse paragrahvis 30 kui 2018. aasta andmekaitseseaduse 7. lisas loetletud isik ja muu isik, kellel on seadusjärgsed ülesanded õiguskaitse tagamise eesmärgil (133). Nagu on järgnevalt selgitatud (vt põhjendus 139), võivad teatavad pädevad asutused (näiteks riiklik kuritegevusevastase võitluse amet) teatavatel tingimustel kasutada 2016. aasta uurimisvolituste seaduses sätestatud volitusi. Sellisel juhul kohaldatakse lisaks 2018. aasta andmekaitse seaduse 3. osas sätestatud kaitsemeetmetele ka 2016. aasta uurimisvolituste seaduses sätestatud kaitsemeetmeid. Luureteenistused (salaluureteenistus, julgeolekuteenistus ja valitsusside peakorter) ei ole 2018. aasta andmekaitseseaduse 3. osa kohaldamisalasse kuuluvad pädevad asutused (134) ja seetõttu ei kohaldata nende tegevuse suhtes 2018. aasta andmekaitseseaduse 3. osas sätestatud norme. 2018. aasta andmekaitseseaduse 4. osa reguleerib isikuandmete töötlemist luureteenistuste poolt (vt põhjendus 125).

(124)

Sarnaselt direktiivile (EL) 2016/680 on 2018. aasta andmekaitseseaduse 3. osas sätestatud seaduslikkuse ja õigluse, (135) eesmärgi piirangu, (136) võimalikult väheste andmete kogumise, (137) õigsuse, (138) säilitamise piirangu (139) ja turvalisuse (140) põhimõtted. Kehtestatud on konkreetsed läbipaistvuskohustused (141) ning üksikisikutele antud õigus andmetega tutvuda, (142) neid parandada ja kustutada (143) ja õigus, et nende kohta ei võeta vastu automatiseeritud otsust (144). Samuti peavad pädevad asutused rakendama lõimitud andmekaitset ja vaikimisi andmekaitset, töötlemistoimingud dokumenteerima ning hindama teatavate töötlemistoimingute puhul andmekaitsealast mõju ja eelnevalt teabevolinikuga konsulteerima (145). 2018. aasta andmekaitseseaduse paragrahvi 56 kohaselt peavad nad tõendama, et täidavad nimetatud seaduse nõudeid. Lisaks peavad nad kehtestama asjakohased meetmed, et tagada isikuandmete töötlemise turvalisus, (146) ning nende suhtes kehtivad konkreetsed kohustused andmetega seotud rikkumiste korral, mille hulka kuulub kohustus teavitada rikkumisest teabevolinikku ja andmesubjekti (147). Nagu ka direktiivi (EL) 2016/680 puhul, peab vastutav töötleja (välja arvatud juhul, kui tegemist on kohtu või muu õigust mõistvat funktsiooni täitva õigusasutusega) määrama andmekaitseametniku, (148) kes abistab vastutavat töötlejat nii tema kohustuste täitmisel kui ka nende täitmise üle järelevalve tegemisel (149). Peale selle on 2018. aasta andmekaitseseadusega kehtestatud erinõuded õiguskaitse eesmärkidel isikuandmete rahvusvahelise edastamise kohta kolmandatesse riikidesse või rahvusvahelistele organisatsioonidele, et tagada kaitse jätkumine (150). Käesoleva otsusega samal kuupäeval võttis komisjon direktiivi (EL) 2016/680 artikli 36 lõike 3 alusel vastu kaitse piisavuse otsuse, milles järeldati, et Ühendkuningriigis kriminaalõiguskaitseasutustele kohaldatava andmekaitse korraga on tagatud kaitsetase, mis sisuliselt vastab direktiiviga (EL) 2016/680 tagatud kaitsetasemele.

(125)

2018. aasta andmekaitseseaduse 4. osa kohaldatakse kogu andmete töötlemise suhtes, mida teevad luureteenistused või mida tehakse nende nimel. Eelkõige on selles sätestatud peamised andmekaitsepõhimõtted (seaduslikkus, õiglus ja läbipaistvus, (151) eesmärgi piirang, (152) võimalikult väheste andmete kogumine, (153) õigsus, (154) säilitamise piirang (155) ja turvalisus (156)), kehtestatud andmete eriliikide töötlemise tingimused (157) ja andmesubjektide õigused, (158) nõutud lõimitud andmekaitset (159) ja reguleeritud isikuandmete rahvusvaheline edastamine (160). Teabevolinik andis hiljuti välja põhjalikud suunised isikuandmete töötlemise kohta luureteenistuste poolt 2018. aasta andmekaitseseaduse 4. osa kohaselt (161).

(126)

Samal ajal on 2018. aasta andmekaitseseaduse paragrahviga 110 nähtud ette erand 2018. aasta andmekaitseseaduse 4. osa sätetest, (162) kui selline erand on vajalik riigi julgeoleku kaitsmiseks. Sellele erandile tuginemiseks tuleb iga juhtumit eraldi analüüsida (163). Nagu Ühendkuningriigi ametiasutused selgitasid ja nagu kinnitab kohtupraktika, „tuleb vastutaval töötlejal kaaluda tegelikke tagajärgi riigi julgeolekule või riigikaitsele juhul, kui ta peab konkreetset andmekaitsesätet järgima, ning seda, kas ta saaks mõistlikult järgida tavapärast normi, ilma et see mõjutaks riigi julgeolekut või riigikaitset“ (164). Selle üle, kas erandit kasutati nõuetekohaselt, teeb järelevalvet teabevolinik (165).

(127)

Mis puudutab võimalust piirata „riigi julgeoleku“ kaitsmise eesmärgil nimetatud sätete kohaldamist, siis võib vastutav töötleja 2018. aasta andmekaitseseaduse paragrahvi 111 järgi taotleda kabinetiministri või peaprokuröri (Attorney General) allkirjastatud sertifikaati, mis kinnitab, et selliste õiguste piiramine on riigi julgeoleku kaitsmiseks vajalik ja proportsionaalne meede (166).

(128)

Ühendkuningriigi valitsus on andnud välja suunised, et aidata vastutavaid töötlejaid selle kaalumisel, kas kohaldada 2018. aasta andmekaitseseaduse alusel riigi julgeoleku sertifikaati; suunistes on eelkõige rõhutatud, et andmesubjektide õiguste piiramine riigi julgeoleku kaitsmise eesmärgil peab olema proportsionaalne ja vajalik (167). Kõik riigi julgeoleku sertifikaadid tuleb avaldada teabevoliniku veebisaidil (168).

(129)

Sertifikaadil peaks olema kindlaksmääratud kehtivusaeg, mis ei ületa viit aastat, seega peab täitevvõim selle regulaarselt läbi vaatama (169). Sertifikaadile märgitakse nii isikuandmed või isikuandmete kategooriad kui ka 2018. aasta andmekaitseseaduse sätted, mille suhtes erandit kohaldatakse (170).

(130)

On oluline mainida, et riigi julgeoleku sertifikaat ei kujuta endast lisaalust andmekaitseõiguste piiramiseks riigi julgeolekuga seotud põhjustel. Teiste sõnadega võib vastutav töötleja või volitatud töötleja sertifikaadile tugineda üksnes siis, kui ta on teinud järelduse, et riigi julgeoleku erandi kasutamine on vajalik, mida tuleb teha iga juhtumi puhul eraldi, nagu eespool selgitatud (171). Isegi kui asjaomase küsimuse suhtes kohaldatakse riigi julgeoleku sertifikaati, võib teabevolinik uurida, kas riigi julgeoleku erandile tuginemine oli konkreetsel juhul põhjendatud (172).

(131)

Iga isik, keda sertifikaadi väljastamine otseselt mõjutab, võib kõrgemale kohtule (Upper Tribunal) (173) sertifikaadi suhtes kaebuse esitada (174) või juhul, kui sertifikaadil on andmed kindlaks tehtud üldise kirjeldusena, siis vaidlustada sertifikaadi kohaldamise konkreetsete andmete suhtes (175). Kohus vaatab sertifikaadi väljastamise otsuse läbi ja otsustab, kas sertifikaat väljastati mõistlikel alustel (176). Kohus võib kaaluda mitmesuguseid küsimusi, sealhulgas vajalikkust, proportsionaalsust ja seaduslikkust, võttes arvesse mõju andmesubjektide õigustele ja viies selle tasakaalu vajadusega kaitsta riigi julgeolekut. Selle tulemusel võib kohus otsustada, et sertifikaati ei kohaldata konkreetsete isikuandmete suhtes, mille kohta kaebus esitati (177).

(132)

Erinevat kogumit võimalikke piiranguid kohaldatakse 2018. aasta andmekaitseseaduse 11. lisa alusel 2018. aasta andmekaitseseaduse 4. osa teatavate sätete suhtes, (178) et kaitsta muid üldist avalikku huvi pakkuvaid olulisi eesmärke või kaitstud huve, nagu parlamentaarne puutumatus, kutsesaladus, kohtumenetluste läbiviimine või relvajõudude lahinguvõime (179). Nende sätete kohaldamise puhul on tehtud erand kas teatavate teabeliikide suhtes (nn kategooriapõhine) või sel määral, mil nende sätete kohaldamine tõenäoliselt kahjustaks kaitstud huvi (nn kahjupõhine) (180). Kahjupõhistele eranditele saab tugineda üksnes sel määral, mil loetletud andmekaitsesätte kohaldamine tõenäoliselt kahjustaks kõnealust konkreetset huvi. Seepärast peab erandi kasutamist alati põhjendama, osutades asjaomasele kahjule, mis konkreetse juhtumi puhul tõenäoliselt esineks. Kategooriapõhistele eranditele saab tugineda üksnes seoses konkreetse kitsalt määratletud teabeliigiga, mille suhtes erandit võimaldatakse. Oma eesmärgilt ja mõjult on need sarnased Ühendkuningriigi isikuandmete kaitse üldmääruse mitme erandiga (2018. aasta andmekaitseseaduse 2. lisa alusel), mis omakorda vastavad isikuandmete kaitse üldmääruse artikliga 23 ette nähtud eranditele.

(133)

Eespool kirjeldatust ilmneb, et Ühendkuningriigi kohaldatavate õigusnormide alusel on kehtestatud piirangud ja tingimused, mida on tõlgendanud ka kohtud ja teabevolinik ja millega tagatakse, et kõnealused erandid ja piirangud jäävad selle piiresse, mis on riigi julgeoleku kaitse seisukohast vajalik ja proportsionaalne.

(134)

Ühendkuningriigi õigusega on kehtestatud mitu piirangut seoses isikuandmetega tutvumise ja nende kasutamisega kriminaalõiguskaitse eesmärkidel ning nähtud selles valdkonnas ette järelevalve- ja õiguskaitsemehhanismid, mis on kooskõlas käesoleva otsuse põhjendustes 113–115 osutatud nõuetega. Tingimusi, mille korral andmetega võib tutvuda, ning kõnealuste volituste kasutamise suhtes kohaldatavaid kaitsemeetmeid on üksikasjalikult hinnatud järgnevates punktides.

(135)

2018. aasta andmekaitseseaduse paragrahvi 35 alusel tagatud seaduslikkuse põhimõtte kohaselt on isikuandmete töötlemine õiguskaitsega seotud eesmärgil seaduslik üksnes siis, kui see põhineb õigusaktil ning andmesubjekt on andnud nõusoleku andmete sel eesmärgil töötlemiseks (181) või on töötlemine vajalik seoses ülesandega, mida pädev asutus sel eesmärgil täidab.

(136)

Ühendkuningriigi õigusraamistikus on ettevõtjatelt, sealhulgas kehtiva kaitse piisavuse otsuse alusel EList edastatud andmeid töötlevatelt ettevõtjatelt lubatud kriminaalõiguskaitse eesmärkidel isikuandmeid koguda läbiotsimismääruste (182) ja andmeesitamismääruste alusel (183).

(137)

Läbiotsimismäärusi annavad välja kohtud uurija taotlusel. Need võimaldavad uurijal ruumidesse siseneda, et otsida oma uurimise jaoks asjakohaseid materjale või isikuid ning võtta hoiule kõik, mida läbiotsimisluba hõlmab, sealhulgas asjakohased isikuandmeid sisaldavad dokumendid ja materjalid (184). Andmeesitamismääruse kohaselt, mille peab samuti välja andma kohus, peab määruses märgitud isik esitama tema valduses või kontrolli all oleva materjali või võimaldama sellele juurdepääsu. Taotleja peab kohtule põhjendama nii seda, miks määrus on vajalik, kui ka seda, miks see on avalikes huvides. Läbiotsimismääruste ja andmeesitamismääruste väljaandmine on lubatud mitmete seadusjärgsete volituste alusel. Iga sätte puhul kehtib kogum seadusjärgseid tingimusi, mis peavad läbiotsimismääruse (185) või andmeesitamismääruse (186) väljaandmiseks täidetud olema.

(138)

Andmeesitamismäärusi ja läbiotsimismäärusi saab kohtuliku kontrolli teel vaidlustada (187). Mis puudutab kaitsemeetmeid, siis võivad kõik 2018. aasta andmekaitseseaduse 3. osa kohaldamisalasse kuuluvad kriminaalõiguskaitseasutused isikuandmetega tutvuda (mis on üks töötlemise vorm) üksnes kooskõlas 2018. aasta andmekaitseseaduses sätestatud põhimõtete ja nõuetega (vt põhjendused 122–124). Seepärast peab õiguskaitseasutuse taotlus vastama põhimõttele, mille kohaselt peavad töötlemise eesmärgid olema täpsustatud, sõnaselged ja seaduslikud (188) ning isikuandmed, mida pädev asutus töötleb, peavad olema selle eesmärgi jaoks asjakohased ega tohi olla ülemäärased (189).

(139)

Üksnes raskete kuritegude ennetamise või avastamise eesmärgil (190) võivad mõned õiguskaitseasutused, näiteks riiklik kuritegevusevastase võitluse amet ja politseiameti juht, (191) kasutada 2016. aasta uurimisvolituste seaduse alusel suunatud uurimisvolitusi. Sellisel juhul kohaldatakse lisaks 2018. aasta andmekaitse seaduse 3. osas sätestatud kaitsemeetmetele ka 2016. aasta uurimisvolituste seaduses sätestatud kaitsemeetmeid. Need õiguskaitseasutused võivad kasutada järgmisi uurimisvolitusi: suunatud pealtkuulamine (2016. aasta uurimisvolituste seaduse 2. osa), sideandmete hankimine (2016. aasta uurimisvolituste seaduse 3. osa), sideandmete säilitamine (2016. aasta uurimisvolituste seaduse 4. osa) ja suunatud sekkumine seadmete töösse (2016. aasta uurimisvolituste seaduse 5. osa). Pealtkuulamine hõlmab side sisu hankimist, (192) samal ajal kui sideandmete hankimise ja säilitamise eesmärk ei ole saada side sisu, vaid vastus sellele, kes, millal, kus ja kuidas suhtles. See hõlmab näiteks side aega ja kestust, side algataja ja adressaadi telefoninumbrit või e-posti aadressi ning mõnikord kasutatud sidevahendite asukohta, telefoniteenuse abonenti või üksikasjalikku arvet (193). Seadmete töösse sekkumise (equipment interference) näol on tegemist tehnikate kogumiga, mida kasutatakse mitmesuguste andmete saamiseks muu hulgas sellistest seadmetest nagu arvutid, tahvelarvutid ja nutitelefonid, aga ka kaablid, juhtmed ja salvestusseadmed (194).

(140)

Suunatud pealtkuulamisvolitusi võib kasutada ka siis, kui see on „vajalik vastastikust abi käsitleva ELi õigusakti või vastastikust abi käsitleva rahvusvahelise lepingu sätete täitmiseks“ (nn vastastikuse abiga seotud luba (195)). Vastastikuse abiga seotud lube antakse ainult pealtkuulamiseks, mitte sideandmete hankimiseks ega seadmete töösse sekkumiseks. Need suunatud volitused on reguleeritud 2016. aasta uurimisvolituste seadusega, (196) mis moodustab koos Inglismaa, Walesi ja Põhja-Iirimaa puhul 2000. aasta uurimisvolituste reguleerimise seadusega ja Šotimaa puhul 2000. aasta uurimisvolituste reguleerimise seadusega (Šotimaa) õigusliku aluse ning milles on sätestatud selliste volituste kasutamise suhtes kohaldatavad piirangud ja kaitsemeetmed. Samuti on 2016. aasta uurimisvolituste seadusega ette nähtud massiliste uurimisvolituste kasutamine, kuigi neid ei saa kasutada õiguskaitseasutused, vaid ainult luureasutused (197).

(141)

Nende volituste teostamiseks peavad ametiasutused saama määruse, (198) mille annab välja pädev asutus (199) ning kiidab heaks sõltumatu kohtuvolinik (Judicial Commissioner) (200) (nn topeltkinnituse menetlus). Määruse välja andmisel hinnatakse vajalikkust ja proportsionaalsust (201). Kuna need 2016. aasta uurimisvolituste seadusega ette nähtud suunatud uurimisvolitused on samad kui riiklike julgeolekuasutuste käsutuses olevad uurimisvolitused, on selliste volituste suhtes kohaldatavaid piiranguid ja kaitsemeetmeid üksikasjalikult käsitletud jaos „Isikuandmetele juurdepääs ja isikuandmete kasutamine Ühendkuningriigi avaliku sektori asutuste poolt riigi julgeoleku eesmärgil“ (vt põhjendus 177 jj).

(142)

Kui õiguskaitseasutus jagab teise asutusega andmeid muul eesmärgil kui see, milleks need algselt koguti, (andmete edasisaatmine) siis kehtivad selle suhtes teatavad tingimused.

(143)

Sarnaselt direktiivi (EL) 2016/680 artikli 4 lõikes 2 sätestatule on 2018. aasta andmekaitseseaduse paragrahvi 36 lõikega 3 lubatud pädeva asutuse poolt õiguskaitse eesmärgil kogutud isikuandmete edasine töötlemine (algse vastutava töötleja või muu vastutava töötleja poolt) muul õiguskaitse eesmärgil, tingimusel et vastutav töötleja on kooskõlas õigusaktidega volitatud andmeid kõnealusel muul eesmärgil töötlema ning et töötlemine on selle eesmärgi seisukohast vajalik ja proportsionaalne (202). Sel juhul kohaldatakse andmeid saava ametiasutuse läbiviidava töötlemise suhtes kõiki 2018. aasta andmekaitseseaduse 3. osas sätestatud kaitsemeetmeid, millele on osutatud põhjendustes 122 ja 124.

(144)

Ühendkuningriigi õiguskorras on andmete selline edasisaatmine eri õigusaktidega sõnaselgelt lubatud. Eelkõige on need õigusaktid i) 2017. aasta digimajanduse seadus, millega lubatakse jagada andmeid avaliku sektori asutuste vahel mitmel eesmärgil, näiteks avaliku sektori vastu toimepandud pettuse korral, millega kaasneb avaliku sektori asutuste jaoks kahju või oht kanda kahju, (203) või avaliku sektori asutuse või riigi ees võlgu olemise korral, (204) ii) 2013. aasta kuritegevuse vastu võitlemise ja kohtute seadus, mille järgi on lubatud jagada teavet riikliku kuritegevusevastase võitluse ametiga (National Crime Agency) (205) raske ja organiseeritud kuritegevusega võitlemiseks, selle uurimiseks ja selle eest vastutusele võtmiseks, ning iii) 2007. aasta raskeid kuritegusid käsitlev seadus, millega lubatakse avaliku sektori asutustel avalikustada teavet pettusevastase võitlusega tegelevatele organisatsioonidele pettuse ennetamise eesmärgil (206).

(145)

Nende seadustega on sõnaselgelt ette nähtud, et teabe jagamine peab olema kooskõlas 2018. aasta andmekaitseseaduses sätestatud põhimõtetega. Lisaks on politseikolledž teabe jagamise kohta andnud välja kinnitatud tegevussuunised, (207) et aidata politseil täita oma andmekaitsekohustusi Ühendkuningriigi isikuandmete kaitse üldmääruse, andmekaitseseaduse ja 1998. aasta inimõiguste seaduse alusel. Selle üle, kas andmete jagamine vastab kohaldatavale andmekaitsealasele õigusraamistikule, tehakse kohtulikku kontrolli (208).

(146)

Peale selle on 2018. aasta andmekaitseseadusega sarnaselt direktiivi (EL) 2016/680 artiklis 9 sätestatule ette nähtud, et õiguskaitse eesmärgil kogutud isikuandmeid võib töödelda muul kui õiguskaitse eesmärgil, kui selline töötlemine on õigusaktiga lubatud (209).

(147)

Seda liiki jagamine hõlmab kahte stsenaariumi: 1) kui kriminaalõiguskaitseasutus jagab andmeid muu kui kriminaalõiguse valdkonna õiguskaitseasutusega, mis ei ole luureasutus (näiteks finants- või maksuasutusega, pädeva asutusega, noorsooametiga jne), 2) kui kriminaalõiguskaitseasutus jagab andmeid luureasutusega. Esimese stsenaariumi korral jääb isikuandmete töötlemine nii Ühendkuningriigi isikuandmete kaitse üldmääruse kui ka 2018. aasta andmekaitseseaduse 2. osa kohaldamisalasse. Komisjon hindas Ühendkuningriigi isikuandmete kaitse üldmääruses ja 2018. aasta andmekaitsemääruse 2. osas sätestatud kaitsemeetmeid põhjendustes 12–111 ja järeldas, et Ühendkuningriik tagab määruse (EL) 2016/679 kohaldamisalas Euroopa Liidust Ühendkuningriiki edastatavatele isikuandmetele piisava kaitsetaseme.

(148)

Teise stsenaariumi puhul, mis käsitleb kriminaalõiguskaitseasutuse kogutud andmete jagamist luureasutusega riigi julgeoleku eesmärgil, on sellist jagamist võimaldav õiguslik alus 2008. aasta terrorismivastase seaduse paragrahv 19 (210). Nimetatud seaduse alusel võib iga isik esitada luureteenistusele teavet asjaomase asutuse ülesannete täitmise, sealhulgas riigi julgeoleku tagamise eesmärgil.

(149)

Seoses riigi julgeoleku eesmärgil andmete jagamise tingimustega on luureteenistuste seaduse (211) ja julgeolekuteenistuse seadusega (212) piiratud luureteenistuste võimalusi hankida oma seadusjärgsete ülesannete täitmiseks vajalikku teavet. Õiguskaitseasutused, kes soovivad jagada andmeid luureteenistustega, peavad lisaks asutuste seadusjärgsetele ülesannetele, mis on sätestatud luureteenistuste seaduses ja julgeolekuteenistuse seaduses, (213) kaaluma mitut tegurit/piirangut. 2008. aasta terrorismivastase seaduse paragrahvis 20 on selgitatud, et igasugune andmete jagamine paragrahvi 19 alusel peab siiski vastama andmekaitsealastele õigusaktidele, mis tähendab seda, et kohaldatakse kõiki 2018. aasta andmekaitseseaduse 3. osas sätestatud piiranguid ja nõudeid. Kuna pädevad asutused on 1998. aasta inimõiguste seaduse tähenduses avaliku sektori asutused, peavad nad peale selle tagama, et nad järgivad Euroopa inimõiguste konventsioonist tulenevaid õigusi, sealhulgas konventsiooni artiklit 8. Nende piirangutega tagatakse, et igasugune õiguskaitseasutuste ja luureteenistuste vaheline andmete jagamine on kooskõlas andmekaitsealaste õigusaktide ja Euroopa inimõiguste konventsiooniga.

(150)

Kui pädev asutus kavatseb jagada 2018. aasta andmekaitseseaduse 3. osa alusel töödeldud isikuandmeid kolmanda riigi õiguskaitseasutustega, kohaldatakse erinõudeid (214). Eelkõige võib selliseid andmeid edastada juhul, kui see põhineb ministri antud kaitse piisavuse määrusel, või sellise määruse puudumise korral juhul, kui on tagatud asjakohased kaitsemeetmed. 2018. aasta andmekaitseseaduse paragrahvis 75 on sätestatud, et asjakohased kaitsemeetmed on olemas juhul, kui need on kehtestatud andmete kavandatud saaja jaoks siduva õigusaktiga või kui vastutav töötleja teeb pärast seda liiki andmete kolmandasse riiki või rahvusvahelisele organisatsioonile edastamise kõikide asjaolude hindamist järelduse, et andmete kaitsmiseks on olemas asjakohased kaitsemeetmed.

(151)

Kui edastamine ei põhine kaitse piisavuse määrusel ega asjakohastel kaitsemeetmetel, võib see toimuda üksnes teatavatel täpsustatud asjaoludel, mida nimetatakse eritingimusteks (215). See kehtib juhul, kui edastamine on vajalik a) andmesubjekti või teise isiku eluliste huvide kaitsmiseks, b) andmesubjekti õigustatud huvide kaitsmiseks, c) liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu ennetamiseks, d) üksikjuhtudel õiguskaitsega seotud eesmärgil või e) üksikjuhtudel õiguslikel eesmärkidel (näiteks seoses kohtumenetlusega või õigusnõustamise saamiseks). Võib täheldada, et punkte d ja e ei kohaldata juhul, kui edastamisel kaaluvad andmesubjekti õigused ja vabadused üles avaliku huvi. Need asjaolud vastavad direktiivi (EL) 2016/680 artikli 38 kohastele eriolukordadele ja tingimustele, mis liigitatakse eranditeks.

(152)

Peale selle on 2016. aasta uurimisvolituste seaduses kehtestatud täiendavad kaitsemeetmed juhuks, kui kolmandale riigile antakse üle materjalid, mille õiguskaitseasutused on saanud pealtkuulamist või seadmesse sekkumist võimaldava määruse alusel. Eelkõige on andmete selline avalikustamine, mida nimetatakse „avalikustamiseks välisriigile “, lubatud üksnes siis, kui väljaandev asutus leiab, et kehtestatud on konkreetne asjakohane kord, millega piiratakse nende isikute arvu, kellele andmeid avalikustatakse, materjalide avalikustamise või kättesaadavaks tegemise ulatust ning materjalidest koopiate tegemise ulatust ja tehtud koopiate arvu. Samuti võib väljaandev asutus leida, et asjakohane kord on vajalik selle tagamiseks, et kõik materjali mis tahes osast tehtud koopiad hävitatakse niipea, kui nende säilitamiseks ei ole enam mingeid asjakohaseid põhjuseid (kui neid ei hävitata varem) (216).

(153)

Andmete Ühendkuningriigist Ameerika Ühendriikidesse edasisaatmise konkreetsed viisid võivad edaspidi hakata tuginema Suurbritannia ja Põhja-Iiri Ühendkuningriigi ja Ameerika Ühendriikide valitsuse vahel 2019. aasta oktoobris sõlmitud lepingule, mis käsitleb juurdepääsu elektroonilistele andmetele raskete kuritegude vastu võitlemise eesmärgil (edaspidi „Ühendkuningriigi ja USA vaheline leping“ või „leping“) (217) , (218). Kuigi Ühendkuningriigi ja USA vaheline leping ei ole käesoleva otsuse vastuvõtmise ajal veel jõustunud, võib selle prognoositav jõustumine mõjutada algul otsuse alusel Ühendkuningriigile edastatud andmete edasisaatmist USAsse. Täpsemalt võiks EList Ühendkuningriigis asuvatele teenuseosutajatele edastatavate andmete suhtes kohaldada korraldusi esitada elektroonilisi tõendeid, mille on väljastanud USA pädevad õiguskaitseasutused ja mida kohaldatakse Ühendkuningriigis käesoleva lepingu alusel, kui see on jõustunud. Nendel põhjustel on käesoleva otsuse seisukohast oluline hinnata tingimusi ja kaitsemeetmeid, mille alusel selliseid korraldusi võib välja anda ja täita.

(154)

Sellega seoses tuleks märkida, et esiteks kohaldatakse lepingut üksnes kuritegude suhtes, mille eest määratava karistuse maksimummäär on vähemalt kolmeaastane vangistus (määratletud „raske kuriteona“), (219) mis hõlmab ka terroriakte. Teiseks võib teises jurisdiktsioonis töödeldavaid andmeid kõnealuse lepingu alusel saada üksnes pärast seda, kui „kohus, kohtunik, magistraat või muu sõltumatu asutus on [...] korralduse enne selle täitmisele pööramist või selle täitmisele pööramise menetluse käigus korralduse andnud lepinguosalise siseriikliku õiguse kohaselt läbi vaadanud või seda kontrollinud“ (220). Kolmandaks peab korraldus „põhinema selgetel ja usaldusväärsetel faktidel, uuritava tegevuse eripäral, seaduslikkusel ja tõsidusel põhineva mõistliku põhjenduse nõudel“ (221) ning „peab olema suunatud konkreetsetele kontodele ning tuvastama konkreetse isiku, konto, aadressi, isikliku seadme või mis tahes muu konkreetse tunnuse“ (222). Neljandaks tagatakse lepingu alusel saadud andmetele samaväärne kaitse kui konkreetsetele kaitsemeetmetele, mis on sätestatud ELi ja USA vahelises raamlepingus, (223) st 2016. aasta detsembris ELi ja USA vahel sõlmitud laiaulatuslikus andmekaitselepingus, milles sätestatakse õiguskaitsealase koostöö valdkonnas andmete edastamise suhtes kohaldatavad kaitsemeetmed ja õigused, mis kõik on mutatis mutandis inkorporeeritud kõnealusesse lepingusse, et võtta eelkõige arvesse andmete edastamise eripära (st andmete edastamine pigem eraõiguslikelt ettevõtjatelt õiguskaitseasutustele kui õiguskaitseasutuste vahel) (224). Ühendkuningriigi ja USA lepingus on konkreetselt sätestatud, et ELi ja USA raamlepingus sätestatuga võrdväärset kaitset kohaldatakse „kõigi isikuandmete suhtes, mis on saadud lepingu alusel antud korralduste täitmise käigus, et tagada samaväärne kaitse“ (225).

(155)

Seega peaksid Ühendkuningriigi ja USA vahelise lepingu alusel USA ametiasutustele edastatud andmed olema kaitstud ELi õigusaktiga, milles on tehtud vajalikud kohandused, et kajastada kõnealuste edastamiste laadi. Lisaks on Ühendkuningriigi ametiasutused kinnitanud, et raamlepingu kaitset kohaldatakse kõigi lepingu alusel saadud või säilitatud isikuandmete suhtes, olenemata taotluse esitanud asutuse laadist või liigist (nt nii USA föderaalsed kui ka osariikide õiguskaitseasutused), nii et kõikidel juhtudel tuleb tagada samaväärne kaitse. Ühendkuningriigi ametiasutused on siiski ka selgitanud, et andmekaitsemeetmete konkreetse rakendamise üksikasju arutatakse endiselt Ühendkuningriigi ja USA vahel. Käesolevat otsust käsitlevatel kõnelustel Euroopa Komisjoni talitustega kinnitasid Ühendkuningriigi ametiasutused, et võimaldavad lepingul jõustuda alles siis, kui on veendunud, et lepingu rakendamine on kooskõlas lepingus sätestatud õiguslike kohustustega, sealhulgas selgusega andmekaitsenõuete järgimise osas kõigi lepingu alusel nõutavate andmete puhul. Kuna lepingu võimalik jõustumine võib mõjutada käesolevas otsuses hinnatud kaitsetaset, peaks Ühendkuningriik edastama Euroopa Komisjonile mis tahes teabe ja tulevased selgitused selle kohta, kuidas hakkab USA täitma lepingust tulenevaid kohustusi, niipea kui need on kättesaadavad ja igal juhul enne lepingu jõustumist, et tagada käesoleva otsuse nõuetekohane järelevalve kooskõlas määruse (EL) 2016/679 artikli 45 lõikega 4. Erilist tähelepanu pööratakse raamlepinguga ette nähtud kaitsemeetmete kohaldamisele ja kohandamisele Ühendkuningriigi ja USA vahelise lepinguga hõlmatud konkreetset liiki andmeedastuse suhtes.

(156)

Üldisemalt võetakse käesoleva otsuse üle pideva järelevalve teostamisel nõuetekohaselt arvesse kõiki lepingu jõustumise ja kohaldamisega seotud olulisi arengusuundi, sealhulgas seoses vajalike meetmetega, mida tuleb võtta juhul, kui ilmneb, et sisuliselt vastav kaitsetase ei ole enam tagatud.

(157)

Sõltuvalt volitustest, mida pädevad asutused kasutavad isikuandmete töötlemisel õiguskaitse eesmärgil (kas 2018. aasta andmekaitseseaduse või 2016. aasta uurimisvolituste seaduse alusel), tagavad eri asutused järelevalve nende õiguste kasutamise üle. Täpsemalt: teabevolinik teostab järelevalvet isikuandmete töötlemise üle, kui see kuulub 2018. aasta andmekaitseseaduse 3. osa kohaldamisalasse (226). Sõltumatu ja kohtuliku järelevalve uurimisvolituste kasutamise üle 2016. aasta uurimisvolituste seaduse alusel tagab uurimisvolituste voliniku büroo (227) (seda osa käsitletakse põhjendustes 250–255). Lisaks tagavad täiendava järelevalve nii parlament kui ka teised organid.

(158)

Teabevoliniku – kelle sõltumatust ja töökorraldust on selgitatud põhjenduses 87 – üldised ülesanded seoses 2018. aasta andmekaitseseaduse 3. osa kohaldamisalasse kuuluvate isikuandmete töötlemisega on sätestatud 2018. aasta andmekaitseseaduse 13. lisas. Teabevoliniku peamine ülesanne on jälgida ja tagada 2018. aasta andmekaitseseaduse 3. osa täitmist ning suurendada üldsuse teadlikkust, nõustada parlamenti, valitsust ning muid institutsioone ja organeid. Kohtute sõltumatuse säilitamiseks ei ole teabevolinikul õigust täita oma ülesandeid seoses isikuandmete töötlemisega õigustmõistvat funktsiooni täitva isiku või kohtu poolt. Sellisel juhul täidavad järelevalveülesandeid teised organid, nagu on selgitatud põhjendustes 99–103.

(159)

Seoses 3. osa kohaldamisalasse kuuluvate isikuandmete töötlemisega on volinikul üldised uurimis-, parandus-, loaandmis- ja nõuandevolitused. Eelkõige on volinikul õigus teavitada vastutavat või volitatud töötlejat 2018. aasta andmekaitseseaduse 3. osa väidetavast rikkumisest, anda välja hoiatusi või noomitusi vastutavale või volitatud töötlejale, kes on rikkunud seaduse 3. osa sätteid, ning esitada omal algatusel või taotluse alusel parlamendile, valitsusele või muudele institutsioonidele ja asutustele ning üldsusele arvamusi isikuandmete kaitsega seotud mis tahes küsimustes (228).

(160)

Lisaks on volinikul õigus väljastada teabenõudeid (229) ning hindamis- (230) ja täitmisteateid (231) ning samuti on tal õigus tutvuda vastutavate ja volitatud töötlejate dokumentidega, siseneda nende ruumidesse (232) ja määrata haldustrahve trahviteadete kujul (233). Teabevoliniku büroo regulatiivse tegevuse poliitikas on sätestatud asjaolud, mille korral büroo esitab teabenõude ning hindamis-, täitmis- ja trahviteateid (234) (vt ka põhjendus 93 ja direktiivi (EL) 2016/680 kohase kaitse piisavuse otsuse, põhjendused 101 ja 102).

(161)

Viimaste aastaaruannete (2018–2019, (235) 2019–2020 (236)) kohaselt on teabevolinik teostanud mitu uurimist ja võtnud täitemeetmeid seoses andmete töötlemisega õiguskaitseasutustes. Näiteks viis volinik läbi uurimise ja avaldas 2019. aasta oktoobris arvamuse selle kohta, kuidas õiguskaitseasutused kasutavad avalikes kohtades näotuvastustehnoloogiat. Uurimisel keskenduti eelkõige sellele, kuidas kasutavad näotuvastusvõimekust Lõuna-Walesi politsei ja Londoni politseiamet (Metropolitan Police Service – MPS). Teabevolinik uuris ka MPSi nn jõukude maatriksit (237) ja leidis hulga tõsiseid andmekaitseõiguse rikkumisi, mis tõenäoliselt õõnestavad üldsuse usaldust maatriksi ja selle andmete kasutamise vastu. 2018. aasta novembris andis teabevolinik välja täitmisteate ja seejärel astus MPS vajalikud sammud turvalisuse ja vastutuse suurendamiseks ning andmete proportsionaalse kasutamise tagamiseks. Teine näide täitemeetmest selles valdkonnas on 325 000 naelsterlingi suurune trahv, mille volinik määras 2018. aasta mais riigiprokuratuurile (Crown Prosecution Service) politseiküsitluste salvestisi sisaldavate krüptimata DVDde kaotamise eest. Teabevolinik viis läbi uurimisi ka laiematel teemadel, näiteks 2020. aasta esimeses pooles uuriti mobiiltelefoni kõneeristuse väljavõtte kasutamist politseitöö eesmärgil ja ohvrite andmete töötlemist politseis. Lisaks uurib volinik praegu juhtumit, mis puudutab õiguskaitseasutuste juurdepääsu erasektori üksuse Clearview AI Inc. valduses olevatele andmetele (238).

(162)

Lisaks teabevoliniku õigusnormide täitmise tagamise volitustele, mida on nimetatud põhjendustes 160 ja 161, kujutavad andmekaitsealaste õigusaktide teatavad rikkumised endast õigusrikkumisi ja seetõttu võidakse nende suhtes kohaldada kriminaalkaristusi (2018. aasta andmekaitseseaduse paragrahv 196). Sellised rikkumised on näiteks isikuandmete kogumine, avalikustamine või säilitamine ilma vastutava töötleja nõusolekuta ning isikuandmete avalikustamine teisele isikule ilma vastutava töötleja nõusolekuta (239); umbisikustatud isikuandmetega seotud teabe põhjal andmesubjektide taastuvastamine ilma isikuandmete umbisikustamise eest vastutava töötleja nõusolekuta (240); voliniku tahtlik takistamine, kui ta teostab oma volitusi seoses isikuandmete kontrollimisega vastavalt rahvusvahelistele kohustustele, (241) valeandmete esitamine vastuseks teabenõudele või teabenõude ja hindamisteadetega seotud teabe hävitamine (242).

(163)

Lisaks teabevolinikule on kriminaalõiguskaitse valdkonnas mitu järelevalveorganit, kellel on andmekaitseküsimustega seoses konkreetsed volitused. Sellised organid on näiteks biomeetriliste andmete säilitamise ja kasutamise volinik (edaspidi „biomeetriavolinik“) (243) ja valvekaamerate volinik (244).

(164)

Siseasjade erikomisjon (Home Affairs Select Committee – HASC) tagab parlamentaarse järelevalve õiguskaitse valdkonnas. Komisjon koosneb 11 parlamendiliikmest, kes on valitud kolmest suurimast parteist. Komisjoni ülesanne on uurida siseministeeriumi ja sellega seotud avalik-õiguslike asutuste, st politsei ja riikliku kuritegevusevastase võitluse ameti (National Crime Agency – NCA) kulusid, juhtimist ja poliitikat; NCA tööd saab komisjon konkreetselt kontrollida (245).

(165)

Komisjon võib oma pädevuse piires valida ise oma uurimisobjekti, sealhulgas erijuhtumid, v.a juhul, kui küsimus on kohtuliku uurimise all (sub judice). Komisjon võib küsida ka kirjalikke ja suulisi tõendeid mitmesugustelt isikute rühmadelt ja üksikisikutelt. Ta koostab oma järelduste kohta aruandeid ja annab valitsusele soovitusi (246). Valitsus peab vastama kõigile aruandes esitatud soovitustele 60 päeva jooksul (247).

(166)

Jälgimisvaldkonnas koostas komisjon ka aruande 2000. aasta uurimisvolituste reguleerimise seaduse (Regulation of Investigatory Powers Act – RIPA 2000) kohta, (248) milles leiti, et seadus ei vasta oma eesmärkidele. Aruannet võeti arvesse 2000. aasta uurimisvolituste reguleerimise seaduse oluliste osade asendamisel 2016. aasta uurimisvolituste seadusega. Uurimiste täielik loetelu on avaldatud erikomisjoni veebisaidil (249).

(167)

Siseasjade erikomisjoni ülesandeid täidab Šotimaal politseitöö õigusküsimuste allkomisjon ja Põhja-Iirimaal õiguskomisjon (250).

(168)

Seoses andmete töötlemisega õiguskaitseasutuste poolt on 2018. aasta andmekaitseseaduse 3. osaga ja 2016. aasta uurimisvolituste seadusega, samuti 1998. aasta inimõiguste seadusega ette nähtud õiguskaitsemehhanismid.

(169)

Need mehhanismid annavad andmesubjektidele tõhusad halduslikud ja kohtulikud õiguskaitsevahendid, mis võimaldavad neil eelkõige teostada oma õigusi, sealhulgas õigust tutvuda oma isikuandmetega või taotleda nende parandamist või kustutamist.

(170)

Esiteks on 2018. aasta andmekaitseseaduse paragrahvi 165 kohaselt andmesubjektil õigus esitada teabevolinikule kaebus, kui andmesubjekt leiab, et seoses teda puudutavate isikuandmetega on rikutud 2018. aasta andmekaitseseaduse 3. osa (251). Teabevolinikul on õigus hinnata, kas vastutav ja volitatud töötleja täidavad 2018. aasta andmekaitseseaduse nõudeid, nõuda neilt mittevastavuse korral vajalike meetmete võtmist ja määrata trahve.

(171)

Teiseks on 2018. aasta andmekaitseseaduses sätestatud õigus õiguskaitsevahendile teabevoliniku vastu, kui ta ei käsitle andmesubjekti kaebust nõuetekohaselt. Täpsemalt: kui volinik ei saada andmesubjekti kaebust edasi, (252) on kaebuse esitajal võimalik kasutada õiguskaitsevahendit – ta võib pöörduda esimese astme kohtusse, (253) et kohustada volinikku võtma asjakohaseid meetmeid kaebusele vastamiseks või teavitama kaebuse esitajat kaebuse menetlemise edenemisest (254). Lisaks võib iga isik, kellele volinik on saatnud mõne teate (teabenõude, hindamis-, täitmis- või trahviteate), pöörduda esimese astme kohtusse. Kui kohus leiab, et voliniku otsus ei ole seadusega kooskõlas või et teabevolinik oleks pidanud kasutama oma kaalutlusõigust teisiti, peab kohus kaebuse rahuldama või asendama teate mõne muu teate või otsusega, mille teabevolinik oleks võinud saata või teha (255).

(172)

Kolmandaks võivad üksikisikud vastutavate ja volitatud töötlejate vastu pöörduda otse kohtusse. Eelkõige võib andmesubjekt 2018. aasta andmekaitseseaduse paragrahvi 167 kohaselt esitada kohtule hagi oma andmekaitsealastest õigusaktidest tuleneva õiguse rikkumise kohta ning kohus võib määrusega nõuda, et vastutav töötleja võtaks (või hoiduks võtmast) seoses isikuandmete töötlemisega mis tahes meetmeid, et täita 2018. aasta andmekaitseseaduse nõudeid. Lisaks on 2018. aasta andmekaitseseaduse paragrahvi 169 kohaselt igal isikul, kes on kandnud kahju andmekaitsealaste õigusaktide (sh 2018. aasta andmekaitseseaduse 3. osa), välja arvatud Ühendkuningriigi isikuandmete kaitse üldmääruse nõuete rikkumise tõttu, õigus saada selle kahju eest vastutavalt või volitatud töötlejalt hüvitist, välja arvatud juhul, kui vastutav või volitatud töötleja tõendab, et vastutav või volitatud töötleja ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest. Kahju hõlmab nii rahalist kahju kui ka kannatusi, millega ei kaasne rahalist kahju.

(173)

Peale selle võib iga isik, kes leiab, et avaliku sektori asutus on rikkunud tema õigusi, sealhulgas õigust eraelu puutumatusele ja andmekaitsele, taotleda õiguskaitset Ühendkuningriigi kohtutes 1998. aasta inimõiguste seaduse alusel (256) ning kui riigisisesed õiguskaitsevahendid on ammendunud, võib isik, valitsusväline organisatsioon või üksikisikute rühm taotleda Euroopa inimõiguste konventsiooniga (257) tagatud õiguste rikkumise eest õiguskaitset Euroopa Inimõiguste Kohtus (vt põhjendus 111).

(174)

Üksikisikud võivad saada 2016. aasta uurimisvolituste seaduse rikkumiste eest õiguskaitset uurimisvolituste kohtus. 2016. aasta uurimisvolituste seaduses sätestatud õiguskaitsevahendeid on kirjeldatud põhjendustes 263–269.

(175)

Ühendkuningriigi õiguskorras on luureteenistused, kes on volitatud riigi julgeoleku kaalutlustel koguma vastutavate või volitatud töötlejate valduses olevat elektroonilist teavet piisava kaitse stsenaariumi seisukohast olulistes olukordades: julgeolekuteenistus (258) (Security Service, MI5), salaluureteenistus (259) (Secret Intelligence Service – SIS) ja valitsusside peakorter (260) (Government Communications Headquarters – GCHQ) (261).

(176)

Ühendkuningriigis on luureasutuste volitused kehtestatud 2016. aasta uurimisvolituste seaduse ja 2000. aasta uurimisvolituste reguleerimise seadusega, milles on koos 2018. aasta andmekaitseseadusega sätestatud nende volituste sisuline ja isikuline kohaldamisala ning nende kasutamise piirangud ja kaitsemeetmed. Neid volitusi ning nende suhtes kohaldatavaid piiranguid ja kaitsemeetmeid on üksikasjalikult hinnatud järgmistes punktides.

(177)

2016. aasta uurimisvolituste seadusega on ette nähtud õigusraamistik uurimisvolituste kasutamiseks, st volitused pealtkuulamiseks, sideandmetele juurdepääsuks ja seadmete töösse sekkumiseks. 2016. aasta uurimisvolituste seadusega on üldiselt keelatud ja kriminaliseeritud selliste meetodite kasutamine, mis võimaldavad juurdepääsu side sisule või sideandmetele või seadmete töösse sekkumist ilma seadusliku loata (262). Sellest annab tunnistust asjaolu, et kõnealuste uurimisvolituste kasutamine on seaduslik ainult juhul, kui see toimub määruse alusel (263).

(178)

2016. aasta uurimisvolituste seadusega on ette nähtud üksikasjalikud normid, mis reguleerivad iga uurimisvolituse kohaldamisala ja kohaldamist ning nendega seotud piiranguid ja kaitsemeetmeid. Sõltuvalt uurimisvolituse liigist (side pealtkuulamine, sideandmete kogumine ja säilitamine ja seadmete töösse sekkumine) (264) ning sellest, kas volitust kasutatakse suunatult või laialdaselt, kohaldatakse eri norme. Järgnevas osas kirjeldatakse iga 2016. aasta uurimisvolituste seaduses sätestatud volituse kohaldamisala, kaitsemeetmeid ja piiranguid.

(179)

Lisaks täiendavad 2016. aasta uurimisvolituste seadust mitmed ministri väljaantud kohustuslikud tegevusjuhendid, mille on heaks kiitnud parlamendi mõlemad kojad (265) ja mida kohaldatakse kogu riigis ning milles antakse lisajuhiseid nende volituste kasutamiseks (266). Andmesubjektid saavad oma õiguste teostamiseks tugineda vahetult 2016. aasta uurimisvolituste seaduse sätetele ning seaduse 7. lisa lõikes 5 on märgitud, et tegevusjuhendid on tsiviil- ja kriminaalmenetluses tõenditena lubatavad ning kohus või järelevalveasutus võib kohtumenetluses asjakohase küsimuse otsustamisel võtta arvesse tegevusjuhendite rikkumist (267). Kui Euroopa Inimõiguste Kohtu suurkoda hindas Ühendkuningriigi varasema jälgimist reguleeriva õigusakti, 2000. aasta uurimisvolituste reguleerimise seaduse kvaliteeti, tunnustas kohus sõnaselgelt Ühendkuningriigi tegevusjuhendite asjakohasust ja nõustus, et nende sätteid võib jälgimist reguleeriva õigusakti ootuspärasuse hindamisel arvesse võtta (268).

(180)

Samuti tuleks märkida, et suunatud volitused (suunatud pealtkuulamine, (269) sideandmete kogumine (270) ja säilitamine (271) ning suunatud sekkumine seadmete töösse (272)) on kättesaadavad riiklikele julgeolekuasutustele ja teatavatele õiguskaitseasutustele, (273) samal ajal kui üksnes luureteenistused võivad kasutada laialdasi volitusi (st laialdane pealtkuulamine, (274) laialdane sideandmete kogumine, (275) laialdane seadmete töösse sekkumine (276) ja suured isikuandmete kogumid (277)).

(181)

Otsustades, millist uurimisvolitust tuleks kasutada, peab luureasutus järgima 2016. aasta uurimisvolituste seaduse paragrahvi 2 lõike 2 punktis a loetletud „üldisi eraelu puutumatuse kaitsega seotud kohustusi“, mis hõlmavad vajalikkuse ja proportsionaalsuse kontrolli. Täpsemalt peab avaliku sektori asutus, kes kavatseb kasutada uurimisvolitusi, selle sätte kohaselt kaaluma i) kas määruse, loa või teatisega taotletavat eesmärki on mõistlikult võimalik saavutada muude, vähem sekkuvate vahenditega; ii) kas määruse, loa või teatise alusel teabe hankimise suhtes kohaldatav kaitsetase on selle teabe erilise tundlikkuse tõttu kõrgem; iii) telekommunikatsioonisüsteemide ja postiteenuste usaldusväärsuse ja turvalisuse vastu valitsevat avalikku huvi ning iv) kõiki muid eraelu puutumatuse kaitse suhtes valitseva avaliku huvi aspekte (278).

(182)

Seda, kuidas neid kriteeriume tuleks kohaldada, ja viisi, kuidas nende täitmist hinnatakse selliste volituste kasutamise lubamise raames ministri ja sõltumatute kohtuvolinike poolt, on täpsemalt kirjeldatud asjaomastes tegevusjuhendites. Eelkõige peab iga sellise uurimisvolituse kasutamine alati olema „proportsionaalne eesmärgiga, mida soovitakse saavutada, [mis] hõlmab eraelu puutumatusse sekkumise tõsiduse (ja muude paragrahvi 2 lõikes 2 esitatud kaalutluste) tasakaalustamist vajadusega juurdluse, tegevuse või suutlikkuse seisukohast olulise tegevuse järele“. See tähendab eelkõige, et see „peaks pakkuma realistlikku väljavaadet saavutada oodatud kasu ja ei tohiks olla ebaproportsionaalne ega meelevaldne“ ning „eraelu puutumatuse riivet ei tohiks pidada proportsionaalseks, kui taotletavat teavet oleks mõistlikult võimalik saada muude, vähem sekkuvate vahenditega“ (279). Täpsemalt tuleb proportsionaalsuse põhimõtte järgimist hinnata järgmiste kriteeriumide alusel: „i) kavandatava eraelu puutumatuse riive ulatus võrreldes soovitava eesmärgiga; ii) kuidas ja miks kasutatavad meetodid asjaomast isikut ja teisi võimalikult vähe häirivad; iii) kas kavandatav tegevus kujutab endast seaduse asjakohast ja mõistlikku kohaldamisviisi soovitava eesmärgi saavutamiseks, võttes arvesse kõiki mõistlikke alternatiive; iv) milliseid muid meetodeid kas ei ole rakendatud või on kasutatud, kuid peetakse tegevuseesmärkide täitmiseks ebapiisavaks ilma kavandatud uurimisvolitusi kasutamata.“ (280)

(183)

Nagu Ühendkuningriigi ametiasutused on selgitanud, tagab see praktikas selle, et luureasutus kehtestab esiteks tegevuseesmärgi (piiritledes seega andmete kogumise nt rahvusvahelise terrorismivastase võitluse eesmärgiga konkreetses geograafilises piirkonnas) ja peab teiseks selle tegevuseesmärgi alusel kaaluma, milline tehniline lahendus (nt suunatud või laialdane pealtkuulamine, seadmete töösse sekkumine, sideandmete kogumine) on kõige proportsionaalsem (st riivab kõige vähem eraelu puutumatust, vt uurimisvolituste seaduse paragrahvi 2 lõige 2) taotletava eesmärgiga ning mida võib seega mõnest seaduslikust alusest tulenevalt lubada.

(184)

Tasub märkida, et sellist tuginemist vajalikkuse ja proportsionaalsuse nõuetele on märkinud ja tervitanud ka eraelu puutumatuse õigusega tegelev ÜRO eriraportöör Joseph Cannataci, kes märkis 2016. aasta uurimisvolituste seaduse alusel loodud süsteemi kohta, et „nii luureteenistustes kui ka õiguskaitseasutustes kasutusel olevate menetluste alusel näib süstemaatiliselt olevat nõutud jälgimismeetme või -operatsiooni vajalikkuse ja proportsionaalsuse kaalumine enne, kui seda soovitatakse loa saamiseks, ning selle läbivaatamine samadel alustel“ (281). Samuti märkis ta, et kohtumisel õiguskaitseasutuste ja riiklike julgeolekuasutuste esindajatega „ilmnes üksmeelne seisukoht, et õigus eraelu puutumatusele peab olema iga jälgimismeetmeid käsitleva otsuse puhul esmatähtis. Kõik nad mõistsid ja hindasid vajadust ja proportsionaalsust kui keskseid põhimõtteid, mida tuleb arvesse võtta“.

(185)

Eri määruste ja lubade väljaandmise konkreetseid kriteeriume ning 2016. aasta uurimisvolituste seadusega igale uurimisvolitusele kehtestatud piiranguid ja kaitsemeetmeid on üksikasjalikult kirjeldatud põhjendustes 186–243.

(186)

Suunatud pealtkuulamise määrusi on kolme liiki: suunatud pealtkuulamise määrus, (282) suunatud läbivaatamise määrus ja vastastikuse abistamise määrus (283). Nende saamise tingimused ja asjakohased kaitsemeetmed on sätestatud 2016. aasta uurimisvolituste seaduse 2. osa 1. peatükis.

(187)

Suunatud pealtkuulamise määrusega lubatakse määruses kirjeldatud side pealtkuulamist selle edastamise käigus ja muude sellise side jaoks oluliste andmete, (284) sealhulgas teiseste andmete (285) kogumist. Suunatud läbivaatamise määrus annab isikule õiguse teha valik laialdase pealtkuulamise määruse alusel saadud pealtkuulatava sisu läbivaatamiseks (286).

(188)

Kõiki 2016. aasta uurimisvolituste seaduse 2. osa kohaseid määruseid võib välja anda minister (287) ja selle võib heaks kiita kohtuvolinik (288). Suunatud toimingu määruse kehtivusaeg piirdub igal juhul kuue kuuga (289) ning selle muutmise (290) ja uuendamise (291) suhtes kohaldatakse erinorme.

(189)

Enne määruse välja andmist peab minister hindama vajalikkust ja proportsionaalsust (292). Täpsemalt peaks minister suunatud pealtkuulamise ja läbivaatamise määruse puhul kontrollima, kas meede on vajalik ühel järgmistest põhjustest: riikliku julgeoleku huvid; raske kuriteo ennetamine või avastamine või Ühendkuningriigi majandusliku heaolu huvid, (293) kui need huvid on olulised ka riigi julgeoleku jaoks (294). Teisalt saab vastastikuse abistamise määruse (vt põhjendus 139) välja anda ainult juhul, kui minister leiab, et olukord on samaväärne olukorraga, milles ta annaks välja määruse raskete kuritegude ennetamiseks ja või avastamiseks (295).

(190)

Lisaks peaks minister hindama, kas meede on proportsionaalne eesmärgiga, mida soovitakse saavutada (296). Taotletavate meetmete proportsionaalsuse hindamisel tuleb arvesse võtta üldisi kohustusi seoses eraelu puutumatusega, mis on sätestatud 2016. aasta uurimisvolituste seaduse paragrahvi 2 lõikes 2, eelkõige vajadust hinnata, kas määruse, loa või teatega taotletavat eesmärki on mõistlikult võimalik saavutada muude, vähem sekkuvate vahenditega ning kas määruse alusel teabe saamise suhtes kohaldatav kaitsetase on selle teabe erilise tundlikkuse tõttu kõrgem (vt põhjendus 181).

(191)

Selleks peab minister võtma arvesse kõiki soovi esitanud asutuse taotluse elemente, eelkõige neid, mis on seotud pealtkuulatavate isikutega ja meetme asjakohasusega uurimise seisukohast. Sellised elemendid on sätestatud side pealtkuulamise tegevusjuhendis ja neid tuleb kirjeldada teataval konkreetsuse tasemel (297). Lisaks on 2016. aasta uurimisvolituste seaduse paragrahvis 17 nõutud, et igas selle 2. peatüki alusel välja antud määruses tuleb nimetada või kirjeldada konkreetset isikut või isikute rühma, organisatsiooni või ruume, mille suhtes pealtkuulamist kohaldatakse (edaspidi „sihtmärk“). Suunatud pealtkuulamise või läbivaatamise määrust võidakse kohaldada ka isikute rühma, rohkem kui ühe isiku või organisatsiooni või rohkem kui ühe ruumi suhtes (ka nn temaatilise loa puhul) (298). Sellistel juhtudel tuleks määruses kirjeldada isikute rühma ühist eesmärki või tegevust või operatsiooni/uurimisi ja nimetada või kirjeldada niivõrd paljusid kõnealuseid isikuid/organisatsioone või ruume, kui on mõistlikult teostatav (299). Samuti peavad kõik 2016. aasta uurimisvolituste seaduse 2. osa alusel välja antud määrused sisaldama sõnumite identifitseerimiseks kasutatavaid aadresse, numbreid, seadmeid, tegureid või tegurite kombinatsioone (300). Selle kohta on side pealtkuulamise tegevusjuhendis öeldud, et suunatud pealtkuulamise määruse ja läbivaatamise määruse puhul „tuleb määruses täpsustada (või kirjeldada) tegureid või tegurite kombinatsiooni, mida kasutatakse sõnumite tuvastamiseks. Kui sõnumeid tuvastatakse (näiteks) telefoninumbri järgi, tuleb number esitada tervikuna. Ent kui sõnumite tuvastamiseks on vaja kasutada väga keerukaid või pidevalt muutuvaid internetitunnuseid, tuleks neid kirjeldada nii põhjalikult kui võimalik.“ (301)

(192)

Selles kontekstis on oluline kaitsemeede, et ministri hinnangu määruse väljaandmise kohta peab heaks kiitma sõltumatu kohtuvolinik, (302) kes kontrollib eelkõige, kas määruse väljaandmise otsus on kooskõlas vajalikkuse ja proportsionaalsuse põhimõtetega (303) (kohtuvolinike staatuse ja rolli kohta vt põhjendused 251–256). 2016. aasta uurimisvolituste seaduses on lisaks selgitatud, et sellise kontrolli tegemisel peab kohtuvolinik kohaldama samu põhimõtteid, mida kohaldaks kohus kohtuliku kontrolli taotluse suhtes (304). Sellega tagatakse, et igal konkreetsel juhul ja enne andmetele juurdepääsu andmist kontrollib sõltumatu asutus süstemaatiliselt vajalikkuse ja proportsionaalsuse põhimõtte järgimist.

(193)

2016. aasta uurimisvolituste seaduses on sätestatud konkreetsed ja piiritletud erandid suunatud pealtkuulamiseks ilma määruseta. Need vähesed juhtumid on loetletud seaduses (305) ja (välja arvatud juhtum, mis põhineb saatja/vastuvõtja nõusolekul) on mõeldud isikutele (era- või avaliku sektori asutustele), kes ei ole riiklikud julgeolekuasutused. Peale selle toimub seda liiki pealtkuulamine muudel eesmärkidel kui luureteabe kogumine (306) ja mõningatel juhtudel on väga ebatõenäoline, et seda sorti andmekogumine saab toimuda andmete edastamise kontekstis (näiteks pealtkuulamine psühhiaatriahaiglas või vanglas). Võttes arvesse, mis sorti asutuste suhtes neid erijuhtumeid kohaldatakse (kes ei ole riiklikud julgeolekuasutused), kehtivad kõik 2018. aasta uurimisvolituste seaduse 2. osas ja Ühendkuningriigi isikuandmete kaitse üldmääruses sätestatud kaitsemeetmed, sealhulgas teabevoliniku järelevalve ja ettenähtud õiguskaitsemehhanismid. Lisaks 2018. aasta andmekaitseseaduses sätestatud kaitsemeetmetele on 2016. aasta uurimisvolituste seadusega mõnel juhul ette nähtud ka uurimisvolituste voliniku järelkontroll (307).

(194)

Pealtkuulamisel kohaldatakse pealtkuulatava(te) isiku(te) eristaatusega seotud täiendavaid piiranguid ja kaitsemeetmeid (308). Näiteks on kutsesaladuse alla kuuluva teabe pealtkuulamine lubatud üksnes erandlike ja kaalukate asjaolude esinemisel; määrust välja andev isik peab nõudega hõlmatud teabe konfidentsiaalsuse puhul võtma arvesse avalikku huvi ning sellise materjali käitlemiseks, säilitamiseks ja avalikustamiseks peavad olema kehtestatud erinõuded (309).

(195)

Peale selle on 2016. aasta uurimisvolituste seaduses sätestatud turvalisuse, säilitamise ja avalikustamisega seotud konkreetsed kaitsemeetmed, mida minister peab enne suunatud toimingu määruse tegemist arvesse võtma (310). Eelkõige on 2016. aasta uurimisvolituste seaduse paragrahvi 53 lõikes 5 sätestatud, et kõiki kõnealuse määruse alusel kogutud materjalist tehtud koopiaid tuleb säilitada turvaliselt ja need hävitatakse niipea, kui nende säilitamiseks ei ole enam asjakohast alust; seaduse paragrahvi 53 lõikega 2 on aga ette nähtud, et nende isikute arv, kellele materjal avalikustatakse, ja ulatus, mil määral materjal avalikustatakse, kättesaadavaks tehakse või kopeeritakse, peab piirduma seadusest tulenevatel eesmärkidel vajaliku miinimumiga.

(196)

Kui suunatud pealtkuulamise loa või vastastikuse abistamise määruse alusel pealtkuulatud materjal antakse üle kolmandale riigile („avalikustamine välisriigile“), on 2016. aasta uurimisvolituste seaduses sätestatud, et minister peab tagama asjakohase korra, millega tagatakse, et kõnealuses kolmandas riigis on andmete turvalisuse, säilitamise ja avalikustamise valdkonnas kehtestatud sarnased kaitsemeetmed (311). Lisaks on 2018. aasta andmekaitseseaduse paragrahvi 109 lõikes 2 sätestatud, et luureteenistused võivad isikuandmeid edastada väljapoole Ühendkuningriigi territooriumit üksnes juhul, kui edastamine on vajalik ja proportsionaalne vastutava töötleja seadusjärgsete ülesannete täitmiseks või muudel eesmärkidel, mis on sätestatud 1989. aasta julgeolekuteenistuse seaduse paragrahvi 2 lõike 2 punktis a või 1994. aasta luureteenistuste seaduse paragrahvi 2 lõike 2 punktis a ja paragrahvi 4 lõike 2 punktis a (312). Oluline on, et need nõuded kehtivad ka juhtudel, kui 2018. aasta andmekaitseseaduse paragrahvi 110 kohaselt tuginetakse riigi julgeoleku erandile, kuna 2018. aasta andmekaitseseaduse paragrahvis 110 ei ole nimetatud 2018. aasta andmekaitseseaduse paragrahvi 109 nende sätete hulgas, mille kohaldamise võib peatada, kui riigi julgeoleku tagamiseks on vaja teha erandeid mõningatest sätetest.

(197)

2016. aasta uurimisvolituste seadus võimaldab ministril nõuda telekommunikatsioonioperaatoritelt sideandmete säilitamist, et eri ametiasutused, sealhulgas õiguskaitse- ja luureasutused saaksid neile kitsalt piiritletud tingimustel juurde pääseda. Seaduse 4. osaga on ette nähtud sideandmete säilitamine ning 3. osaga sideandmete suunatud kogumine. Seaduse 3. ja 4. osas on sätestatud ka nende volituste kasutamise konkreetsed piirangud ja ette nähtud konkreetsed kaitsemeetmed.

(198)

Termin „sideandmed“ hõlmab vastuseid sidega seotud küsimustele „kes?“, „millal?“, „kust?“ ja „kuidas?“, kuid mitte sidevahendite kaudu edastatud teabe sisu, st seda, mida räägiti või kirjutati. Erinevalt pealtkuulamisest ei ole sideandmete kogumise ja säilitamise eesmärk mitte sidevahendite kaudu edastatud sisu hankimine, vaid teabe hankimine selliste küsimuste kohta nagu telefoniteenuse abonent või üksikasjalik arve. See võib hõlmata side aega ja kestust, teabevahetuse algataja ja vastuvõtja telefoninumbrit või e-posti aadressi ning mõnikord nende seadmete asukohta, mille kaudu side toimus (313).

(199)

Tuleb märkida, et sideandmete säilitamine ja kogumine ei puuduta üldjuhul käesoleva otsuse kohaselt Ühendkuningriigile edastatud ELi andmesubjektide isikuandmeid. 2016. aasta uurimisvolituste seaduse 3. ja 4. osa kohane sideandmete säilitamise või avalikustamise kohustus hõlmab andmeid, mida Ühendkuningriigi telekommunikatsioonioperaatorid koguvad otse telekommunikatsiooniteenuse kasutajatelt (314). Sedalaadi kliendiandmete töötlemine ei hõlma üldjuhul andmete edastamist käesoleva otsuse alusel, st edastamist ELi vastutavalt /volitatud töötlejalt Ühendkuningriigis asuvale vastutavale/volitatud töötlejale.

(200)

Täielikkuse huvides on järgmistes põhjendustes siiski analüüsitud sellise andmete kogumise ja säilitamise korra tingimusi ja kaitsemeetmeid.

(201)

Algatuseks tuleb märkida, et nii riiklikel julgeolekuasutustel kui ka osadel õiguskaitseasutustel on võimalik sideandmeid säilitada ja suunatult koguda (315). Sideandmete säilitamise ja/või kogumise tingimused võivad olla erinevad, sõltuvalt sellest, mis on selle taotlemise aluseks, kas riigi julgeolekuga seotud või õiguskaitsealane eesmärk.

(202)

Kuigi uue korraga on kehtestatud üldine nõue, et kõigi sideandmete säilitamise ja/või kogumise juhtude jaoks (kas õiguskaitsealastel või riigi julgeolekuga seotud eesmärkidel) on vajalik sõltumatu organi eelnev luba, viidi pärast Euroopa Kohtu otsust kohtuasjas Tele2/Watson (316) sisse konkreetsed kaitsemeetmed juhtudeks, kui sideandmete säilitamist ja/või kogumist taotletakse õiguskaitsealastel eesmärkidel. Kui sideandmete säilitamist või kogumist taotletakse õiguskaitsealasel eesmärgil, peab eelneva loa alati andma uurimisvolituste volinik. See ei kehti alati juhul, kui meedet taotletakse riigi julgeolekuga seotud eesmärgil, kuna, nagu allpool selgitatakse, võivad teatavatel juhtudel anda seda liiki meetmeteks loa teised luba andvad isikud. Lisaks on uue korraga ette nähtud, et sideandmete säilitamise ja kogumise lubamise künniseks on nüüd „rasked kuriteod“ (317).

(203)

2016. aasta uurimisvolituste seaduse 3. osa kohaselt on asjaomastel riigiasutustel õigus saada sideandmeid telekommunikatsioonioperaatorilt või muult isikult, kes saab selliseid andmeid hankida ja avaldada. Luba ei tohi võimaldada side kaudu edastatava teabe pealtkuulamist (318) ja see kaotab kehtivuse ühe kuu möödumisel (319) võimalusega seda täiendava loa olemasolul pikendada (320). Sideandmete hankimiseks on vaja uurimisvolituste voliniku (321) luba (uurimisvolituste voliniku staatuse ja volituste kohta vt põhjendused 250–251). See kehtib kõikidel juhtudel, kui sideandmete hankimist taotleb asjaomane õiguskaitseasutus. 2016. aasta uurimisvolituste seaduse paragrahvis 61 on siiski sätestatud, et kui andmeid kogutakse Ühendkuningriigi riikliku julgeoleku huvides või riikliku julgeoleku seisukohast olulise majandusliku heaolu huvides või kui taotluse esitab mõne luureasutuse liige vastavalt paragrahvi 61 lõike 7 punktile b, (322) võib teabe hankimist (323) lubada kas uurimisvolituste volinik või selleks määratud kõrgem ametnik (324). Määratud ametnik peab olema asjaomasest uurimisest või toimingust sõltumatu ning tal peavad olema praktilised teadmised inimõiguste põhimõtete ja õigusaktide, eelkõige vajalikkuse ja proportsionaalsuse kohta (325). Määratud ametniku otsuse suhtes teeb uurimisvolituste volinik järelkontrolli (vt üksikasjalikumat teavet uurimisvolituste voliniku järelkontrolli ülesannete kohta põhjenduses 254).

(204)

Sideandmete kogumise luba põhineb meetme vajalikkuse ja proportsionaalsuse hindamisel. Täpsemalt hinnatakse meetme vajalikkust õigusaktis loetletud aluste valguses (326). Arvestades selle meetme kitsast suunitlust, peab see olema vajalik ka konkreetse uurimise või operatsiooni jaoks (327). Täiendavad nõuded meetmete vajalikkuse hindamiseks on sätestatud sideandmete tegevusjuhendis (328). Eelkõige on tegevusjuhendiga ette nähtud, et soovi esitanud asutuse taotluses tuleks esitada kolm miinimumelementi, mis õigustavad taotluse vajalikkust: i) uurimisalune sündmus, näiteks kuritegu või teadmata kadunud haavatava isiku asukoht; ii) isik, kelle kohta andmeid taotletakse, näiteks kahtlustatav, tunnistaja või teadmata kadunud isik, ja kuidas ta on sündmusega seotud, ja iii) taotletavad sideandmed, näiteks telefoninumber või IP-aadress, ning kuidas need andmed on seotud isiku ja sündmusega (329).

(205)

Lisaks peab sideandmete kogumine olema proportsionaalne eesmärgiga, mida soovitakse saavutada (330). Sideandmete tegevusjuhendis on selgitatud, et sellise hindamise läbiviimisel peaks luba andev isik kaaluma „isiku õigustesse ja vabadustesse sekkumise ulatust võrreldes asjaomase ametiasutuse poolt avalikes huvides läbiviidava uurimise või operatsiooni konkreetse kasuga“ ning et konkreetse juhtumi kõiki asjaolusid arvesse võttes „ei pruugi üksikisiku õiguste riive siiski olla põhjendatud, sest negatiivne mõju teise üksikisiku või isikute rühma õigustele on liiga suur“. Selleks, et hinnata konkreetselt meetme proportsionaalsust, on tegevusjuhendis loetletud mitu elementi, mis peaksid sisalduma soovi avaldanud asutuse taotluses (331). Lisaks tuleb erilist tähelepanu pöörata kogutavate sideandmete liigile („üksuse“ või „sündmuse“ andmed (332)) ning eelistada tuleb vähem sekkuvate andmekategooriate kasutamist (333). Sideandmete tegevusjuhend sisaldab ka konkreetseid juhiseid lubade kohta, mis sisaldavad sideandmeid teatavate kutsealade esindajate (arstid, juristid, ajakirjanikud, parlamendiliikmed või vaimulikud) (334) kohta, kelle suhtes kohaldatakse täiendavaid kaitsemeetmeid (335).

(206)

2016. aasta uurimisvolituste seaduse 4. osas on sätestatud sideandmete säilitamise eeskirjad ja eelkõige kriteeriumid, mille alusel võib minister väljastada säilitamisteatise (336). Uurimisvolituste seadusega kehtestatud kaitsemeetmed on samad nii juhul, kui andmeid säilitatakse õiguskaitse eesmärgil, kui ka juhul, kui seda tehakse riigi julgeoleku huvides.

(207)

Selliste säilitamisteatiste väljastamise eesmärk on tagada, et telekommunikatsioonioperaatorid säilitaksid kuni 12 kuu jooksul asjakohased sideandmed, mis muidu kustutataks, kui neid enam ärilistel eesmärkidel ei vajata (337). Säilitatavad andmed jäävad nõutava aja jooksul kättesaadavaks juhuks, kui ametiasutusel peaks hiljem olema vaja neid koguda 2016. aasta uurimisvolituste seaduse 3. osas sätestatud ja põhjendustes 203–205 kirjeldatud sideandmete suunatud kogumise loa alusel.

(208)

Kui minister kasutab õigust nõuda teatavate andmete säilitamist, kehtivad selle suhtes mitmed piirangud ja kaitsemeetmed. Minister saab väljastada säilitamisteatise ühele või mitmele operaatorile (338) ainult siis, kui ta leiab, et andmete säilitamise nõue on vajalik ühel seaduses sätestatud eesmärkidest (339) ja on proportsionaalne eesmärgiga, mida soovitakse saavutada (340). Nagu on selgitatud 2016. aasta uurimisvolituste seaduses, (341) peab minister enne säilitamisteatise väljastamist võtma arvesse järgmist: teatisest saadav tõenäoline kasu (342); telekommunikatsiooniteenuste kirjeldus; kas oleks asjakohane piirata säilitatavaid andmeid viitega asukohale või nende isikute kirjeldustele, kellele telekommunikatsiooniteenuseid osutatakse (343); teatisega seotud telekommunikatsiooniteenuste kasutajate tõenäoline arv (kui see on teada) (344); teatise täitmise tehniline teostatavus; teatise täitmisega seotud tõenäolised kulud ja teatise muu mõju telekommunikatsioonioperaatorile (või operaatorite kirjeldus), keda teatis puudutab (345). Nagu on üksikasjalikumalt kirjeldatud sideandmete tegevusjuhendi 17. peatükis, tuleb kõigis säilitamisteatistes täpsustada iga säilitatav andmeliik ja see, kuidas see andmeliik vastab säilitamiseks vajalikele kriteeriumidele.

(209)

Kõigil juhtudel (nii riigi julgeolekuga seotud kui ka õiguskaitsealaste eesmärkide korral) peab ministri otsuse säilitamisteatise väljaandmise kohta kinnitama sõltumatu kohtuvolinik nn topeltkinnituse menetluse raames; kohtuvolinik peab eeskätt kontrollima, kas teatis asjaomaste sideandmete säilitamise kohta on vajalik ühel või mitmel seaduses sätestatud eesmärkidest ja selle eesmärgi või nende eesmärkidega proportsionaalne (346).

(210)

Seadmete töösse sekkumise all mõistetakse selliste meetodite kogumit, mida kasutatakse mitmesuguste andmete saamiseks sellistest seadmetest (347) nagu arvutid, tahvelarvutid ja nutitelefonid, aga ka kaablid, juhtmed ja salvestusseadmed (348). Seadmete töösse sekkumine võimaldab saada andmeid nii sidevahendite kaudu edastatava teabe sisu kui ka seadmete kohta (349).

(211)

Vastavalt 2016. aasta uurimisvolituste seaduse paragrahvi 13 lõikele 1 on luureteenistuse poolt seadmete töösse sekkumiseks vaja luba, mis antakse uurimisvolituste seadusega kehtestatud nn topeltkinnituse menetluse alusel väljastatud määrusega, tingimusel et on olemas „seos Briti saartega“ (350). Ühendkuningriigi ametiasutuste esitatud selgituste kohaselt oleks olukorras, kus andmed edastatakse käesoleva otsuse kohaldamisalas Euroopa Liidust Ühendkuningriiki, alati olemas „seos Briti saartega“ ning kui seadmete töösse sekkutakse seoses selliste andmetega, kohaldataks seega 2016. aasta uurimisvolituste seaduse paragrahvi 13 lõikes 1 sätestatud kohustusliku määruse nõuet (351).

(212)

Normid, mis reguleerivad määruste tegemist suunatud sekkumiseks seadmete töösse, on sätestatud 2016. aasta uurimisvolituste seaduse 5. osas. Sarnaselt suunatud pealtkuulamisele peab suunatud sekkumine seadmete töösse olema seotud konkreetse sihtmärgiga, mis tuleb määruses kindlaks määrata (352). Sihtmärgi kindlaksmääramise üksikasjad sõltuvad konkreetsest küsimusest ja selliste seadmete liigist, mille töösse kavatsetakse sekkuda. Täpsemalt on uurimisvolituste seaduse paragrahvi 115 lõikes 3 sätestatud elemendid, mis tuleb määruses esitada (nt isiku või organisatsiooni nimi, asukoha kirjeldus), sõltuvalt näiteks sellest, kas sekkumine on seotud seadmega, mis kuulub konkreetsele isikule või organisatsioonile või isikute rühmale või on nende kasutuses või valduses, asub konkreetses kohas jne (353). Eesmärk, milleks võib välja anda seadmete töösse suunatud sekkumise määruse, sõltub seda taotlevast ametiasutusest (354).

(213)

Sarnaselt suunatud pealtkuulamisele peab luba andev asutus kaaluma, kas meede on konkreetse eesmärgi saavutamiseks vajalik ja kas see on proportsionaalne eesmärgiga, mida soovitakse saavutada (355). Lisaks tuleks kaaluda, kas on võetud kaitsemeetmeid seoses andmete turvalisuse, säilitamise ja avalikustamisega ning seoses nende avalikustamisega välisriigile (356) (vt põhjendus 196).

(214)

Määruse peab heaks kiitma kohtuvolinik, välja arvatud kiireloomulistel juhtudel (357). Viimasel juhul tuleb kohtuvolinikku teavitada määruse väljastamisest ja ta peab selle kolme tööpäeva jooksul heaks kiitma. Kui kohtuvolinik keeldub seda heaks kiitmast, kaotab määrus kehtivuse ja seda ei saa pikendada (358). Peale selle on kohtuvolinikul õigus nõuda, et määruse alusel kogutud andmed kustutatakse (359). Asjaolu, et määrus anti välja kiirkorras ei mõjuta järelkontrolli (vt põhjendused 244–255) või üksikisikute võimalusi kasutada õiguskaitsevahendeid (vt põhjendused 260–270). Üksikisikud saavad esitada kaebuse teabevolinikule või asutuste väidetava tegevusega seotud nõude uurimisvolituste kohtule tavalises korras. Kui volinik otsustab, kas kiita määrus heaks või mitte, teeb ta kõikidel juhtudel vajalikkuse ja proportsionaalsuse kontrolli, mida kohaldatakse suunatud pealtkuulamise taotluste suhtes (360) (vt põhjendus 192).

(215)

Peale selle kohaldatakse ka seadmete töösse sekkumise suhtes suunatud pealtkuulamise suhtes kohaldatavaid erikaitsemeetmeid seoses määruse kehtivusaja, pikendamise ja muutmisega ning parlamendiliikmete, kutsesaladuse alla kuuluva teabe ja ajakirjandusliku materjali pealtkuulamisega (vt täpsemalt põhjendus 193).

(216)

Laialdasi volitusi reguleerib 2016. aasta uurimisvolituste seaduse 6. osa. Üksikasjalikumalt on laialdaste volituste kasutamise suhtes kohaldatavaid nõudeid kirjeldatud tegevusjuhendites. Kuigi Ühendkuningriigi õiguses ei ole „laialdast volitust“ määratletud, on seda 2016. aasta uurimisvolituste seadusega seoses kirjeldatud kui selliste suurte andmehulkade kogumist ja säilitamist, mille valitsus on saanud eri vahendite abil (nt laialdase pealtkuulamise volitused, laialdane andmete kogumine, laialdane seadmete töösse sekkumine ja suured isikuandmete kogumid) ning millele ametiasutused saavad hiljem juurde pääseda. Selle kirjelduse täpsustamiseks on selgitatud, mida „laialdane volitus“ endast ei kujuta: see ei ole võrdväärne nn massilise jälgimisega, mille suhtes ei kohaldata piiranguid ega kaitsemeetmeid. Nagu allpool selgitatud, kaasnevad laialdaste volitustega just piirangud ja kaitsemeetmed, mille eesmärk on tagada, et andmetele ei võimaldata valimatut või põhjendamatut juurdepääsu (361). Eelkõige võib laialdasi volitusi kasutada üksnes juhul, kui on loodud seos riikliku luureasutuse kavandatava tehnilise meetme ja tegevuseesmärgi vahel, milleks sellist meedet taotletakse.

(217)

Lisaks on laialdased volitused kättesaadavad ainult luureasutustele ja nende suhtes kohaldatakse alati ministri väljaantud määrust, mille on heaks kiitnud kohtuvolinik. Luureandmete kogumise vahendite valimisel tuleb pöörata tähelepanu sellele, kas asjaomast eesmärki on võimalik saavutada „vähem sekkuvate vahenditega“ (362). Selline lähenemisviis tuleneb proportsionaalsuse põhimõttele tuginevast õigusraamistikust ja seab seetõttu andmete suunatud kogumise laialdase kogumise ees esikohale.

(218)

Laialdase pealtkuulamise kord on sätestatud 2016. aasta uurimisvolituste seaduse 6. osa 1. peatükis; sama osa 3. peatükis reguleeritakse laialdast seadmete töösse sekkumist. Kuna need korrad on sisuliselt samad, analüüsitakse kõnealuste määruste suhtes kohaldatavaid tingimusi ja täiendavaid kaitsemeetmeid koos.

(219)

Laialdase pealtkuulamise määrus on piiratud side pealtkuulamisega selliste sõnumite edastamise käigus, mille on saatnud või vastu võtnud väljaspool Briti saari viibivad isikud (363) („välismaaga seotud side“ (364)), samuti muude asjakohaste andmete pealtkuulamise ja sellele järgneva pealtkuulatud materjali valimisega läbivaatamiseks (365). Laialdase seadmete töösse sekkumise määrus (366) annab adressaadile õiguse sekkuda mis tahes seadmete töösse, et saada teavet välismaaga seotud side kohta (mis hõlmab kõnet, muusikat, helisid, visuaalseid kujutisi või mis tahes liiki andmeid), seadmete andmeid (andmed, mis võimaldavad või hõlbustavad postiteenuse, telekommunikatsioonisüsteemi või telekommunikatsiooniteenuse toimimist) või muud teavet (367).

(220)

Minister võib laialdase volituse määruse välja anda ainult luureteenistuse juhi taotluse alusel (368). Määrust, millega lubatakse laialdast pealtkuulamist või seadmete töösse sekkumist, tohib välja anda üksnes juhul, kui see on vajalik riikliku julgeoleku huvides või raske kuriteo ennetamiseks või avastamiseks või Ühendkuningriigi majandusliku heaolu huvides, kui see on riikliku julgeoleku seisukohast oluline (369). Lisaks on 2016. aasta uurimisvolituste seaduse paragrahvi 142 lõikega 7 ette nähtud, et laialdase pealtkuulamise määruse vajalikkust tuleb selgitada üksikasjalikumalt kui lihtsalt viitega „riigi julgeoleku huvidele“, „Ühendkuningriigi majanduslikule heaolule“ ja „raskete kuritegude ennetamisele ja nende vastu võitlemisele“; tuleb luua seos taotletava meetme ja ühe või mitme operatiiveesmärgi vahel, mida tuleb määruses selgitada.

(221)

Operatiiveesmärgi valik on mitmekihilise protsessi tulemus. Paragrahvi 142 lõikes 4 on sätestatud, et määruses nimetatud operatiiveesmärgid peavad olema kindlaks määratud luureteenistuste juhtide hallatavas loetelus eesmärkidena, mida nad peavad operatiiveesmärkideks, mille puhul võib läbivaatamiseks valida laialdase pealtkuulamise määruse alusel pealtkuulatavat sisu või teiseseid andmeid. Operatiiveesmärkide loetelu peab heaks kiitma minister. Minister võib anda sellise nõusoleku üksnes juhul, kui ta on veendunud, et operatiiveesmärk on määratletud üksikasjalikumalt kui määruse väljaandmise lubamise üldised alused (riiklik julgeolek või riiklik julgeolek ja majanduslik heaolu või raskete kuritegude ennetamine) (370). Iga asjaomase kolmekuulise ajavahemiku lõpus peab minister esitama parlamendi luure- ja julgeolekukomisjonile operatiiveesmärkide loetelu koopia. Peale selle peab peaminister vähemalt kord aastas operatiiveesmärkide loetelu läbi vaatama (371). Kõrgema astme kohus märkis: „Kõnealuseid meetmeid ei tohi pidada ebaolulisteks kaitsemeetmeteks, kuna need moodustavad koos keeruka aruandlusviiside kogumi, mis hõlmab nii parlamenti kui ka valitsuse liikmeid kõige kõrgemal tasemel“ (372).

(222)

Sellised operatiiveesmärgid piiravad ka pealtkuulamismaterjali valikut läbivaatamise etapiks. Laialdaste volituste määruse alusel kogutud materjali läbivaatamiseks tehtav valik peab olema operatiiveesmärki(/-eesmärke) silmas pidades põhjendatud. Nagu Ühendkuningriigi ametiasutused on selgitanud, tähendab see, et minister peab hindama läbivaatamise praktilist korda juba määruse väljaandmise etapis, esitades piisavalt üksikasju 2016. aasta uurimisvolituste seaduse paragrahvidest 152 ja 193 tulenevate seadusjärgsete kohustuste täitmiseks (373). Kõnealuse korra kohta ministrile esitatavad üksikasjad peaksid sisaldama näiteks teavet (vajaduse korral) selle kohta, kuidas filtreerimiskord võib määruse jõusoleku ajal muutuda (374). Selle protsessi ning filtreerimis- ja läbivaatamisetappide suhtes kohaldatavate kaitsemeetmete üksikasjad on esitatud põhjenduses 229.

(223)

Laialdast volitust võib lubada ainult siis, kui see on proportsionaalne eesmärgiga, mida soovitakse saavutada (375). Nagu on sätestatud pealtkuulamise tegevusjuhendis, hõlmab proportsionaalsuse hindamine „eraelu puutumatusse sekkumise tõsiduse (ja muude paragrahvi 2 lõikes 2 esitatud kaalutluste) tasakaalustamist vajadusega juurdluse, tegevuse või suutlikkuse seisukohast olulise tegevuse järele“. Lubatud toimingud peaksid pakkuma realistlikku väljavaadet oodatava kasu saamiseks ja ei tohiks olla ebaproportsionaalsed ega meelevaldsed“ (376). Nagu juba mainitud, tähendab see praktikas seda, et proportsionaalsuse kriteerium põhineb tasakaalu otsimisel taotletava eesmärgi (operatiiveesmärk/-eesmärgid) ja olemasolevate tehniliste võimaluste vahel (nt suunatud või laialdane pealtkuulamine, seadmete töösse sekkumine, sideandmete kogumine), eelistades kõige vähem sekkuvaid vahendeid (vt põhjendused 181 ja 182). Kui eesmärgi saavutamiseks sobib rohkem kui üks meede, tuleb eelistada vähem sekkuvaid vahendeid.

(224)

Täiendav kaitsemeede taotletava meetme proportsionaalsuse hindamiseks on tagatud nõudega, et minister peab saama asjakohase teabe, mida ta vajab nõuetekohase hinnangu andmiseks. Eelkõige on pealtkuulamise tegevusjuhendis ja seadmete töösse sekkumise tegevusjuhendis nõutud, et pädeva asutuse esitatud taotluses tuleb märkida taotluse taust, pealtkuulatava side kirjeldus, abi osutamiseks vajalikud telekommunikatsioonioperaatorid, tegevusluba vajavate toimingute kirjeldus, operatiiveesmärgid ning selgitus, miks taotletav toiming on vajalik ja proportsionaalne (377).

(225)

Samuti on oluline, et ministri otsuse määruse väljaandmise kohta peab heaks kiitma sõltumatu kohtuvolinik, kes hindab kavandatava meetme vajalikkuse ja proportsionaalsuse hindamist, kasutades samu põhimõtteid, mida kohaldaks kohus kohtuliku kontrolli taotluse suhtes (378). Täpsemalt vaatab kohtuvolinik läbi ministri järeldused selle kohta, kas määrus on vajalik ja kas toiming on proportsionaalne, pidades silmas 2016. aasta uurimisvolituste seaduse paragrahvi 2 lõikes 2 sätestatud põhimõtteid (üldised kohustused seoses eraelu puutumatusega). Samuti vaatab kohtuvolinik läbi ministri järeldused selle kohta, kas iga määruses nimetatud operatiiveesmärgi puhul on valiku tegemine vajalik või võib olla vajalik. Kui kohtuvolinik keeldub määruse väljaandmise otsust heaks kiitmast, võib minister kas: i) otsust aktsepteerida ja seega määrust mitte välja anda või ii) suunata küsimuse otsustamiseks uurimisvolituste volinikule (välja arvatud juhul, kui uurimisvolituste volinik on teinud esialgse otsuse) (379).

(226)

2016. aasta uurimisvolituste seadusega on kehtestatud täiendavad piirangud laialdase volituse määruse kestusele, pikendamisele ja muutmisele. Määruse kehtivusaeg võib olla maksimaalselt kuus kuud ning kõik otsused määrust pikendada või muuta (välja arvatud väiksemad muudatused) peab heaks kiitma ka kohtuvolinik (380). Pealtkuulamise tegevusjuhendis ja seadmete töösse sekkumise tegevusjuhendis on täpsustatud, et määruse operatiiveesmärkide muutmist käsitatakse määruse olulise muudatusena (381).

(227)

Sarnaselt suunatud pealtkuulamisega on 2016. aasta uurimisvolituste seaduse 6. osas sätestatud, et minister peab tagama, et kehtestatud on kord, millega nähakse ette kaitsemeetmed, mida kohaldatakse määruse alusel saadud materjali säilitamise ja avalikustamise (382) ning samuti selle välisriigile avalikustamise (383) suhtes. Eelkõige on 2016. aasta uurimisvolituste seaduse paragrahvi 150 lõikega 5 ja paragrahvi 191 lõikega 5 ette nähtud, et kõiki kõnealuse määruse alusel kogutud materjalist tehtud koopiaid tuleb säilitada turvaliselt ja need hävitatakse niipea, kui nende säilitamiseks ei ole enam asjakohast alust; seaduse paragrahvi 150 lõikes 2 ja paragrahvi 191 lõikes 2 on aga sätestatud, et nende isikute arv, kellele materjal avalikustatakse, ja ulatus, mil määral materjal avalikustatakse, kättesaadavaks tehakse või kopeeritakse, peab piirduma seadusest tulenevatel eesmärkidel vajaliku miinimumiga (384).

(228)

Kui kas laialdase pealtkuulamise või laialdase seadmete töösse sekkumise kaudu kogutud materjal antakse üle kolmandale riigile („avalikustamine välisriigile“), on 2016. aasta uurimisvolituste seaduses sätestatud, et minister peab tagama asjakohase korra, millega tagatakse, et kõnealuses kolmandas riigis on kehtestatud andmete turvalisuse, säilitamise ja avalikustamise valdkonnas sarnased kaitsemeetmed (385). Peale selle on 2018. aasta andmekaitseseaduse paragrahvis 109 sätestatud erinõuded isikuandmete rahvusvahelise edastamise kohta luureteenistuste poolt kolmandatele riikidele või rahvusvahelistele organisatsioonidele ning selle sätte kohaselt ei tohi isikuandmeid edastada väljaspool Ühendkuningriiki asuvale riigile või territooriumile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui edastamine on vajalik ja proportsionaalne vastutava töötleja seadusjärgsete ülesannete täitmiseks või muudel eesmärkidel, mis on sätestatud 1989. aasta julgeolekuteenistuse seaduse paragrahvi 2 lõike 2 punktis a või 1994. aasta luureteenistuste seaduse paragrahvi 2 lõike 2 punktis a ja paragrahvi 4 lõike 2 punktis a (386). Oluline on, et need nõuded kehtivad ka juhtudel, kui 2018. aasta andmekaitseseaduse paragrahvi 110 kohaselt tuginetakse riigi julgeoleku erandile, kuna 2018. aasta andmekaitseseaduse paragrahvis 110 ei ole nimetatud 2018. aasta andmekaitseseaduse paragrahvi 109 nende sätete hulgas, mille kohaldamise võib peatada, kui riigi julgeoleku tagamiseks on vaja teha erandeid mõningatest sätetest.

(229)

Kui määrus on heaks kiidetud ja andmeid on laialdaselt kogutud, tehakse andmete seas enne läbivaatamist valik. Valiku- ja läbivaatamisetapi proportsionaalsust kontrollib täiendavalt analüütik, kes määrab kindlaks valikukriteeriumid, lähtudes määruses sisalduvatest operatiiveesmärkidest (ja võimalikust filtreerimiskorrast). Nagu on sätestatud uurimisvolituste seaduse paragrahvides 152 ja 193, peab minister määruse väljaandmisel tagama, et on kehtestatud kord, millega garanteeritakse, et materjali valik toimub üksnes kindlaksmääratud operatiiveesmärkidel ning et see vastab igas olukorras vajalikkuse ja proportsionaalsuse kriteeriumidele. Sellega seoses selgitasid Ühendkuningriigi ametiasutused, et laialdaselt pealtkuulatava materjali hulgast tehakse esmane valik automaatse filtreerimise teel, et kõrvaldada andmed, mis tõenäoliselt ei ole riigi julgeoleku seisukohast olulised. Filtreid muudetakse aeg-ajalt (sest internetiliikluse skeemid, liigid ja protokollid muutuvad) ning need sõltuvad tehnoloogiast ja tegevuskontekstist. Pärast seda etappi saab andmeid läbivaatamiseks valida ainult siis, kui see on vajalik määruses sätestatud operatiiveesmärkide täitmiseks (387). 2016. aasta uurimisvolituste seaduses sätestatud kaitsemeetmeid kogutud materjali läbivaatamiseks kohaldatakse kõigi andmeliikide suhtes (nii pealtkuulatava sisu kui ka teiseste andmete suhtes) (388). 2016. aasta uurimisvolituste seaduse paragrahvides 152 ja 193 on sätestatud ka üldine keeld, millega välistatakse läbivaatamiseks sellise materjali valik, mis viitab Briti saartel viibivate isikute poolt või neile saadetud vestlustele. Kui ametiasutused soovivad selliseid materjale uurida, esitavad nad taotluse 2016. aasta uurimisvolituste seaduse 2. ja 4. osa alusel suunatud läbivaatamise määruse saamiseks, mille annab välja minister ja kiidab heaks kohtuvolinik (389). Kui isik läbivaatamiseks pealtkuulatavat sisu valides rikub teadlikult õigusaktides sätestatud nõudeid, (390) paneb ta toime kuriteo (391).

(230)

Analüütiku poolt materjali valiku kohta tehtava hindamise üle teostab järelkontrolli uurimisvolituste volinik, kes hindab vastavust 2016. aasta uurimisvolituste seaduses läbivaatamisetapi jaoks kehtestatud konkreetsetele kaitsemeetmetele (392) (vt ka põhjendus 229). Uurimisvolituste volinik peab kontrollima (sealhulgas auditi, inspekteerimise ja uurimise kaudu) seda, kuidas ametiasutused kasutavad 2016. aasta uurimisvolituste seaduses mainitud uurimisvolitusi (393). Sellega seoses on pealtkuulamise tegevusjuhendis ja seadmete töösse sekkumise tegevusjuhendis selgitatud, et asutus peab säilitama dokumente edasiseks läbivaatamiseks ja auditeerimiseks ning nendes dokumentides tuleb kirjeldada, miks on volitatud isikute juurdepääs materjalidele vajalik ja proportsionaalne ning millised on kohaldatavad operatiiveesmärgid (394). Näiteks järeldas uurimisvolituste voliniku büroo oma 2018. aasta aruandes, (395) et analüütikute esitatud põhjendused teatavate laialdaselt kogutud materjalide läbivaatamiseks vastasid nõutavale proportsionaalsuse tasemele, sest kirjeldasid piisavalt üksikasjalikult päringute põhjusi seoses taotletava eesmärgiga (396). 2019. aasta aruandes märkis uurimisvolituste voliniku büroo selgesti, et kavatseb jätkata laialdaste pealtkuulamiste kontrolle, sealhulgas põhjalikult uurida tunnuseid ja otsinguparameetreid (397). Samuti uurib ta hoolikalt ja juhtumipõhiselt jälgimismeetmete valikut (suunatud või laialdane) määruse taotluste läbivaatamisel nii topeltkinnituse menetluse käigus kui ka kontrollide ajal (398). Seda lisajärelevalvet võetakse nõuetekohaselt arvesse, kui komisjon teeb käesoleva otsuse üle järelevalvet, millele on osutatud põhjendustes 281–284.

(231)

2016. aasta uurimisvolituste seaduse 6. osa 2. peatükk reguleerib laialdase andmekogumise määrusi, millega antakse adressaadile luba nõuda telekommunikatsioonioperaatorilt operaatori valduses olevate sideandmete avaldamist või hankimist. Nende määrustega volitatakse ka taotluse esitanud asutust valima andmeid edasiseks läbivaatamiseks. Nagu sideandmete suunatud säilitamise ja hankimise puhul (vt põhjendus 199), ei ole ka sideandmete laialdane kogumine tavaliselt seotud käesoleva otsuse kohaselt Ühendkuningriigile edastatavate ELi andmesubjektide isikuandmetega. 2016. aasta uurimisvolituste seaduse 6. osa 2. peatüki kohane sideandmete avalikustamise kohustus hõlmab andmeid, mida Ühendkuningriigi telekommunikatsioonioperaatorid koguvad otse telekommunikatsiooniteenuse kasutajatelt (399). Sedalaadi kliendiandmete töötlemine ei hõlma üldjuhul andmete edastamist käesoleva otsuse alusel, st edastamist ELi vastutavalt /volitatud töötlejalt Ühendkuningriigis asuvale vastutavale/volitatud töötlejale.

(232)

Täielikkuse huvides on siiski allpool kirjeldatud laialdase sideandmete kogumise korra tingimusi ja kaitsemeetmeid.

(233)

2016. aasta uurimisvolituste seadusega asendatakse õigusaktid, mis käsitlevad laialdast sideandmete hankimist ja mida käsitleti Euroopa Liidu Kohtu otsuses kohtuasjas Privacy International. Selles kohtuasjas vaidluse all olevad õigusnormid tunnistati kehtetuks ning uus kord näeb ette konkreetsed tingimused ja kaitsemeetmed, mille alusel võib sellist meedet lubada.

(234)

Erinevalt varasemast korrast, mille kohaselt oli ministril meetmele loa andmisel täielik kaalutlusõigus, (400) on 2016. aasta uurimisvolituste seadusega nõutud, et minister annab määruse välja ainult juhul, kui meede on vajalik ja proportsionaalne. Praktikas tähendab see seda, et andmetele juurdepääsu ja taotletava eesmärgi vahel peaks olema seos (401). Täpsemalt peab minister hindama seost taotletava meetme ja ühe või mitme määruses märgitud operatiiveesmärgi (vt põhjendus 219) vahel seoses proportsionaalsuse hindamisega. Asjaomases tegevusjuhendis on öeldud: „Minister peab võtma arvesse, kas määrusega taotletavat eesmärki on võimalik saavutada muude, vähem sekkuvate vahenditega (seaduse paragrahvi 2 lõike 2 punkt a). Näiteks võib olla võimalik saada nõutavat teavet vähem sekkuva toimingu, nagu sideandmete suunatud kogumise kaudu“ (402).

(235)

Sellise hinnangu andmisel tugineb minister andmetele, mida luurejuhid (403) peavad oma taotluses esitama, näiteks põhjused, miks meedet peetakse mõnel seadusest tuleneval alusel vajalikuks, ja põhjused, miks taotletavat eesmärki ei ole mõistlikult võimalik saavutada muude, vähem sekkuvate vahenditega (404). Lisaks piiravad operatiiveesmärgid määruse alusel saadud andmete valikut läbivaatamiseks (405). Nagu on täpsustatud asjaomases tegevusjuhendis, peavad operatiiveesmärgid kirjeldama selget nõuet ja sisaldama piisavalt üksikasju, et minister saaks veenduda, et saadud andmeid võib läbivaatamiseks valida ainult konkreetsetel põhjustel (406). Tegelikult peab minister enne määruse heakskiitmist tagama, et on kehtestatud erikord, millega tagatakse, et läbivaatamiseks valitakse välja üksnes see materjal, mida peetakse operatiiveesmärgil ja seadusjärgsel eesmärgil vajalikuks, ning et igas olukorras oleks täidetud proportsionaalsuse ja vajalikkuse kriteeriumid. See konkreetne nõue, mis kajastub 2016. aasta uurimisvolituste seaduse paragrahvides 158 ja 172 (407) ning käsitleb valikukriteeriumide vajalikkuse ja proportsionaalsuse eelnevat hindamist, on veel üks oluline uuendus 2016. aasta uurimisvolituste seadusega kehtestatud korras, võrreldes varem kehtinud korraga.

(236)

2016. aasta uurimisvolituste seadusega kehtestati ka ministri kohustus tagada, et enne laialdast sideandmete kogumist käsitleva määruse väljaandmist on kehtestatud kogutud isikuandmete turvalisuse, säilitamise ja avalikustamise suhtes konkreetsed piirangud (408). Välisriigile avalikustamise korral kohaldatakse põhjenduses 227 seoses laialdase pealtkuulamise ja seadmete töösse sekkumisega kirjeldatud kaitsemeetmeid ka selles kontekstis (409). Õigusaktidega on kehtestatud täiendavad piirangud laialdase volituse määruste kestusele. (410) pikendamisele (411) ja muutmisele (412).

(237)

Nagu teiste laialdaste volituste puhul on siingi oluline, et minister peab enne määruse väljaandmist saama kohtuvoliniku heakskiidu (413). See on 2016. aasta uurimisvolituste seadusega kehtestatud korra põhielement.

(238)

Laialdaselt kogutud materjali (sideandmete) läbivaatamismenetluse üle teeb järelkontrolli uurimisvolituste volinik (vt põhjendus 254). Sellega seoses kehtestati 2016. aasta uurimisvolituste seadusega nõue, et läbivaatamist tegev luureametnik peab enne läbivaatamiseks andmete valimist dokumenteerima põhjuse, miks kavandatav läbivaatamine on konkreetse operatiiveesmärgi jaoks vajalik ja proportsionaalne (414). Uurimisvolituste voliniku 2019. aasta aruandes leiti valitsusside peakorteri ja MI5 tava kohta, et „laialdaselt kogutud sideandmete kriitiline roll valitsusside peakorteri toimingutes oli inspekteeritud juhtumites hästi välja toodud. Kaalusime taotletud andmete laadi ja esitatud luurealaseid nõudeid ning leidsime, et dokumendid näitasid, et nende lähenemisviis oli vajalik ja proportsionaalne“ (415). MI5 dokumenteeritud põhjendused olid heal tasemel ning vastasid vajalikkuse ja proportsionaalsuse põhimõtetele“ (416).

(239)

Suurte isikuandmete kogumite määrustega (417) antakse luureasutustele õigus säilitada ja läbi vaadata andmekogusid, mis sisaldavad mitme isiku isikuandmeid. Ühendkuningriigi ametiasutuste esitatud selgituste kohaselt võib selliste andmekogude analüüs olla „ainsaks viisiks, kuidas luureaparaat saab viia ellu uurimisi ja tuvastada terroriste väga piiratud luurevihjete alusel või kui nendevahelist teabevahetust on tahtlikult varjatud“ (418). Suurte isikuandmete kogudega seotud määruseid on kaht liiki: kategooriapõhised määrused, (419) mis puudutavad teatavat andmekogude kategooriat, st andmeid, mis on sisult ja kavandatud kasutuselt sarnased ning mis eeldavad sarnaseid kaalutlusi, näiteks seoses sekkumismäära ja tundlikkuse tasemega ning andmete kasutamise proportsionaalsusega, võimaldades seega ministril kaaluda kõigi asjaomasesse klassi kuuluvate andmete kogumise vajalikkust ja proportsionaalsust korraga. Näiteks võib kategooriapõhine määrus hõlmata sarnaste marsruutidega seotud reisiandmekogumeid (420); erimäärused (421) seevastu käsitlevad ühte konkreetset andmekogumit, näiteks mõnd uudset või ebatavalist liiki teavet sisaldavat andmekogumit, mis ei kuulu ühegi olemasoleva kategooriapõhise määruse alla, või andmekogumit, mis käsitleb teatavat liiki isikuandmeid (422) ja vajab seetõttu täiendavaid kaitsemeetmeid (423). 2016. aasta uurimisvolituste seaduse suurte isikuandmete kogumitega seotud sätted võimaldavad selliseid andmekogumeid läbi vaadata ja säilitada üksnes juhul, kui see on vajalik ja proportsionaalne (424) ning kooskõlas eraelu puutumatusega seotud üldiste kohustustega (425).

(240)

Suure isikuandmete kogumi määruse väljaandmise volituse suhtes kohaldatakse topeltkinnituse menetlust: meetme vajalikkust ja proportsionaalsust hindab kõigepealt minister ja seejärel kohtuvolinik (426). Minister on kohustatud kaaluma taotletava määruse liigi laadi ja ulatust, asjaomaste andmete kategooriat ja konkreetsete suurte isikuandmete kogumite arvu, mis võivad kuuluda konkreetset liiki määruse alla (427). Nagu on märgitud luureteenistuste tegevusjuhendis suurte isikuandmete kogumite säilitamiseks ja kasutamiseks, tuleb menetlus üksikasjalikult dokumenteerida ja selle suhtes kohaldatakse uurimisvolituste voliniku auditit (428). Suurte isikuandmete kogumite säilitamine ja läbivaatamine 2016. aasta uurimisvolituste seaduses sätestatud piiranguid järgimata on kuritegu (429).

(241)

2018. aasta andmekaitseseaduse 4. osa alusel töödeldavaid isikuandmeid ei tohi töödelda viisil, mis on vastuolus nende kogumise eesmärgiga (430). 2018. aasta andmekaitseasutuses on sätestatud, et vastutav töötleja võib töödelda andmeid muul eesmärgil kui see, milleks andmed koguti, kui see on kooskõlas algse eesmärgiga ja tingimusel, et vastutav töötleja on seadusega volitatud andmeid töötlema ning et töötlemine on vajalik ja proportsionaalne (431). Lisaks on 1989. aasta julgeolekuteenistuse seaduses ja 1994. aasta luureteenistuste seaduses täpsustatud, et luureasutuste juhid on kohustatud tagama, et teavet ei koguta ega avaldata, välja arvatud niivõrd, kuivõrd see on vajalik asutuse ülesannete nõuetekohaseks täitmiseks või muudel asjaomastes sätetes loetletud piiratud ja konkreetsetel eesmärkidel (432).

(242)

Lisaks on 2018. aasta andmekaitseseaduse paragrahvis 109 sätestatud erinõuded isikuandmete rahvusvahelise edastamise kohta luureteenistuste poolt kolmandatele riikidele või rahvusvahelistele organisatsioonidele. Selle sätte kohaselt ei tohi isikuandmeid edastada väljaspool Ühendkuningriiki asuvale riigile või territooriumile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui edastamine on vajalik ja proportsionaalne vastutava töötleja seadusjärgsete ülesannete täitmiseks või muudel eesmärkidel, mis on sätestatud 1989. aasta julgeolekuteenistuse seaduse paragrahvi 2 lõike 2 punktis a või 1994. aasta luureteenistuste seaduse paragrahvi 2 lõike 2 punktis a ja paragrahvi 4 lõike 2 punktis a (433). Oluline on, et need nõuded kehtivad ka juhtudel, kui 2018. aasta andmekaitseseaduse paragrahvi 110 kohaselt tuginetakse riigi julgeoleku erandile, kuna 2018. aasta andmekaitseseaduse paragrahvis 110 ei ole nimetatud 2018. aasta andmekaitseseaduse paragrahvi 109 nende sätete hulgas, mille kohaldamise võib peatada, kui riigi julgeoleku tagamiseks on vaja teha erandeid mõningatest sätetest.

(243)

Peale selle, nagu teabevolinik on rõhutanud oma suunistes isikuandmete töötlemise kohta luureteenistuste poolt, kui luureasutus jagab andmeid kolmanda riigi luureasutusega, kehtivad tema suhtes lisaks 2018. aasta andmekaitseseaduse 4. osas sätestatud kaitsemeetmetele ka teistes tema suhtes kohaldatavates õigusaktides sätestatud kaitsemeetmed tagamaks, isikuandmeid saadakse, jagatakse ja töödeldakse õiguspäraselt ja vastutustundlikult (434). Näiteks on 2016. aasta uurimisvolituste seaduses sätestatud täiendavad kaitsemeetmed seoses sellise materjali edastamisega kolmandasse riiki, mis on kogutud suunatud pealtkuulamise, (435) seadmete töösse suunatud sekkumise, (436) laialdase pealtkuulamise, (437) laialdase sideandmete kogumise (438) ja seadmete töösse laialdase sekkumisega (439) („avalikustamine välisriigile“). Eelkõige peab määruse välja andnud asutus tagama, et on kehtestatud kord, millega tagatakse, et andmeid vastuvõttev kolmas riik piirab materjaliga tutvuvate isikute arvu, avalikustamise ulatuse ja mis tahes materjalist tehtud koopiate arvu 2016. aasta uurimisvolituste seaduses sätestatud lubatud eesmärkide täitmiseks vajaliku miinimumiga (440).

(244)

Kui valitsusel on riikliku julgeoleku eesmärgil juurdepääs isikuandmetele, teevad selle üle järelevalvet mitu eri asutust. Teabevolinik teeb järelevalvet isikuandmete töötlemise üle 2018. aasta andmekaitseseaduse kontekstis (lisateavet voliniku sõltumatuse, ametisse nimetamise, ülesannete ja volituste kohta vt põhjendused 85–98), samas kui sõltumatut ja õiguslikku järelevalvet 2016. aasta uurimisvolituste seaduse alusel uurimisvolituste kasutamise üle teeb uurimisvolituste volinik. Uurimisvolituste volinik jälgib 2016. aasta uurimisvolituste seaduse alusel uurimisvolituste kasutamist nii õiguskaitseasutuste kui ka riiklike julgeolekuasutuste poolt. Poliitilise järelevalve tagab parlamendi luureteenistuse komisjon.

(245)

2018. aasta andmekaitseseaduse 4. osa alusel luureteenistuste poolt teostatava isikuandmete töötlemise üle teeb järelevalvet teabevolinik (441).

(246)

Teabevoliniku üldised ülesanded seoses 2018. aasta andmekaitseseaduse 4. osa kohaldamisalasse kuuluvate isikuandmete töötlemisega luureteenistuste poolt on sätestatud 2018. aasta andmekaitseseaduse 13. lisas. Need ülesanded hõlmavad muu hulgas 2018. aasta andmekaitseseaduse 4. osa õigusnormide täitmise järelevalvet ja tagamist, üldsuse teadlikkuse suurendamist, parlamendi, valitsuse ja muude institutsioonide nõustamist seadusandlike ja haldusmeetmete küsimustes, vastutavate ja volitatud töötlejate teadlikkuse suurendamist nende kohustustest, andmesubjekti teavitamist andmesubjekti õiguste kasutamisest, uurimiste läbiviimist jne.

(247)

Nagu ka 2018. aasta andmekaitseseaduse 3. osa puhul, on volinikul õigus teavitada vastutavaid töötlejaid väidetavast rikkumisest, hoiatada, et töötlemine võib tõenäoliselt eeskirju rikkuda, ning teha noomitusi, kui rikkumine leiab kinnitust. Samuti võib ta välja anda täitmisteateid ja trahviteateid õigusakti teatavate sätete rikkumise eest (442). Erinevalt 2018. aasta andmekaitseseaduse muudest osadest ei saa volinik aga esitada hindamisteadet riiklikule julgeolekuasutusele (443).

(248)

Lisaks on 2018. aasta andmekaitseseaduse paragrahviga 110 ette nähtud erand voliniku teatavate volituste kasutamisest, kui see on vajalik riikliku julgeoleku tagamiseks. See puudutab voliniku õigust anda andmekaitseseaduse kohaselt välja (mis tahes liiki) teateid (teabenõudeid, hindamis-, täitmis- ja trahviteateid), volitusi teha kontrolle kooskõlas rahvusvaheliste kohustustega, sisenemis- ja kontrollivolitusi ning süütegusid käsitlevaid norme (444). Nagu on selgitatud põhjenduses 126, kohaldatakse neid erandeid ainult juhul, kui see on vajalik ja proportsionaalne, ning iga üksikjuhtu vaadatakse eraldi.

(249)

Teabevolinik ja Ühendkuningriigi luureteenistused on allkirjastanud vastastikuse mõistmise memorandumi, (445) millega luuakse koostööraamistik mitmetes küsimustes, sealhulgas andmetega seotud rikkumistest teatamine ja andmesubjektide kaebuste käsitlemine. Eelkõige on selles sätestatud, et kaebuse saamisel hindab teabevolinik, kas riigi julgeoleku erandit on kohaldatud nõuetekohaselt. Kui teabevolinik teeb konkreetse kaebuse läbivaatamise käigus luureasutusele päringu, peab luureasutus sellele vastama 20 tööpäeva jooksul, kasutades asjakohaseid turvalisi kanaleid, kui päring puudutab salastatud teavet. Alates 2018. aasta aprillist on teabevolinik saanud üksikisikutelt 21 kaebust luureteenistuste kohta. Iga kaebust on hinnatud ja hindamise tulemusest on andmesubjekti teavitatud (446).

(250)

Vastavalt 2016. aasta uurimisvolituste seaduse 8. osale teeb järelevalvet uurimisvolituste kasutamise üle uurimisvolituste volinik. Uurimisvolituste volinikku abistavad teised kohtuvolinikud, keda koos nimetatakse kohtuvolinikeks (447). 2016. aasta uurimisvolituste seaduses on sätestatud tagatised kohtuvolinike sõltumatuse kaitseks. Kohtuvolinikud peavad töötama või olema töötanud kohtus kõrgel ametikohal (st nad peavad olema või olema olnud kohtunikud kõrgeimates kohtutes) (448) ning neil on valitsusest sõltumatu staatus nagu igal kohtusüsteemi liikmel (449). 2016. aasta uurimisvolituste seaduse paragrahvi 227 kohaselt nimetab peaminister ametisse uurimisvolituste voliniku ja nii palju kohtuvolinikke, kui ta vajalikuks peab. Kõiki volinikke, olgu nad siis endised või praegused kohtunikud, saab ametisse nimetada üksnes kolme (Inglismaa & Walesi, Šotimaa ja Põhja-Iirimaa) ülemkohtuniku ning lordkantsleri (Lord Chancellor) ühise soovituse alusel (450). Minister peab tagama uurimisvolituste volinikule personali, tööruumid, seadmed ning muud vahendid ja teenused (451). Volinike ametiaeg on kolm aastat ja neid võib ametisse tagasi nimetada (452). Kohtuvolinike sõltumatuse lisatagatiseks on asjaolu, et neid saab ametist tagandada üksnes juhul, kui täidetud on ranged tingimused, mis näevad ette kõrge künnise: kas peaminister 2016. aasta uurimisvolituste seaduse paragrahvi 228 lõikes 5 ammendavalt loetletud konkreetsetel asjaoludel (nagu pankrot või vangistus) või kui mõlemad parlamendikojad on vastu võtnud tagandamist heakskiitva otsuse (453).

(251)

Uurimisvolituste volinikku ja kohtuvolinikke abistab nende ülesannete täitmisel uurimisvolituste voliniku büroo. Uurimisvolituste voliniku büroo töötajate hulka kuuluvad inspektorite meeskond, asutusesisesed õigus- ja tehnilised eksperdid ning tehnoloogia nõuandekogu, kes annab eksperdinõu. Nagu kohtuvolinike puhul, on ka uurimisvolituste voliniku büroo sõltumatus tagatud. Uurimisvolituste voliniku büroo on siseministeeriumi „autonoomne allüksus“, mida rahastab siseministeerium, kuid mis täidab oma ülesandeid sõltumatult (454).

(252)

Kohtuvolinike peamised ülesanded on sätestatud 2016. aasta uurimisvolituste seaduse paragrahvis 229 (455). Eelkõige on kohtuvolinikel ulatuslikud eelneva heakskiitmise volitused, mis on osa Ühendkuningriigi õigusraamistikus 2016. aasta uurimisvolituste seadusega kehtestatud kaitsemeetmetest. Kohtuvolinikud peavad heaks kiitma kõik määrused, mis puudutavad suunatud pealtkuulamist, seadmete töösse sekkumist, suuri isikuandmete kogumeid, laialdast sideandmete kogumist ning sideandmete säilitamisteatisi (456). Uurimisvolituste volinik peab alati eelnevalt heaks kiitma ka sideandmete kogumise õiguskaitse eesmärgil (457). Kui mõni kohtuvolinik keeldub määrust heaks kiitmast, võib minister esitada kaebuse uurimisvolituste volinikule, kelle otsus on lõplik.

(253)

Eraelu puutumatuse õigusega tegelev ÜRO eriraportöör väljendas suurt heameelt kohtuvolinike institutsiooni loomise üle 2016. aasta uurimisvolituste seadusega, kuna „kõik tundlikumad või sekkuvamad jälitustegevuse taotlused peavad heaks kiitma nii kabinetiminister kui ka uurimisvolituste voliniku büroo“. Eelkõige rõhutas ta: „See kohtuliku kontrolli element [uurimisvolituste voliniku ülesannete kaudu], mida toetab kogenud inspektoritest ja tehnoloogiaekspertidest koosnev meeskond, kellele on tagatud varasemast paremad võimalused, on üks kõige olulisemaid uurimisvolituste seadusega kehtestatud uusi kaitsemeetmeid“, mis asendab varasemat killustatud järelevalveasutuste süsteemi ning täiendab parlamendi luure- ja julgeolekukomisjoni ning uurimisvolituste kohtu rolli“ (458).

(254)

Lisaks on uurimisvolituste volinikul õigus teha järelkontrolli (459), sealhulgas auditeid, kontrolle ja uurimisi, 2016. aasta uurimisvolituste seaduse alusel uurimisvolituste ning mõnede muude asjakohastes õigusaktides sätestatud volituste ja ülesannete täitmise üle (460). Järelkontrolli tulemused sisalduvad aruandes, mille uurimisvolituste volinik peab igal aastal koostama ja peaministrile esitama (461) ning mis tuleb avaldada ja parlamendile esitada (462). Aruanne sisaldab asjakohaseid statistilisi andmeid ja teavet uurimisvolituste kasutamise kohta luureasutuste ja õiguskaitseasutuste poolt, samuti kaitsemeetmete rakendamise kohta seoses kutsesaladuse alla kuuluva teabe, konfidentsiaalse ajakirjandusliku materjali ja ajakirjandusliku teabe allikatega, ning teavet rakendatud korra ja operatiiveesmärkide kohta, mida on kasutatud seoses laialdaste volituste määrustega. Samuti on uurimisvolituste voliniku aastaaruandes täpsustatud, millises valdkonnas on antud ametiasutustele soovitusi ja kuidas neid on arvesse võetud (463).

(255)

2016. aasta uurimisvolituste seaduse paragrahvi 231 kohaselt peab uurimisvolituste volinik juhul, kui ta saab teada olulisest veast, mille ametiasutused on teinudoma uurimisvolituste kasutamisel, teavitama asjaomast isikut, kui ta leiab, et viga on tõsine ja kui see on üldsuse huvides, et asjaomast isikut sellest teavitataks (464). Eelkõige on 2016. aasta uurimisvolituste seaduse paragrahvis 231 sätestatud, et kui uurimisvolituste volinik teavitab isikut veast, peab ta isikule teatama, kas isikul on õigus pöörduda uurimisvolituste kohtusse, ning esitama teabe, mida volinik peab selle õiguse kasutamiseks vajalikuks ning mille avalikustamiseks on olemas avalik huvi (465).

(256)

Parlamentaarset järelevalvet teostab luure- ja julgeolekukomisjon, mille õiguslik alus on 2013. aasta kohtu- ja julgeolekuseadus (Justice and Security Act – JSA 2013) (466). Selle seadusega loodi Ühendkuningriigi parlamendi luure- ja julgeolekukomisjon. Alates 2013. aastast on luure- ja julgeolekukomisjonile antud suuremad volitused, sealhulgas turvateenistuste operatiivtegevuse järelevalve. 2013. aasta kohtu- ja julgeolekuseaduse paragrahvi 2 kohaselt on luure- ja julgeolekukomisjoni ülesanne teostada järelevalvet riiklike julgeolekuasutuste kulude, halduse, poliitika ja operatsioonide üle. 2013. aasta kohtu- ja julgeolekuseaduses on täpsustatud, et luure- ja julgeolekukomisjon võib viia läbi juurdlusi operatiivküsimustes, kui need ei ole seotud käimasolevate operatsioonidega (467). Peaministri ning luure- ja julgeolekukomisjoni vahel kokku lepitud vastastikuse mõistmise memorandumis (468) täpsustatakse üksikasjalikult elemendid, mida tuleb arvesse võtta, kui kaalutakse, kas tegevus on mõne käimasoleva operatsiooni osa (469). Samuti võib peaminister paluda luure- ja julgeolekukomisjonil uurida käimasolevaid operatsioone ja vaadata läbi asutuste vabatahtlikult esitatud teave.

(257)

2013. aasta kohtu- ja julgeolekuseaduse 1. lisa kohaselt võib luure- ja julgeolekukomisjon paluda kõigi kolme luureteenistuse juhtidel mis tahes teavet avaldada. Agentuur peab sellise teabe kättesaadavaks tegema, välja arvatud juhul, kui minister sellele veto paneb (470). Ühendkuningriigi ametiasutuste esitatud selgituste kohaselt jääb luure- ja julgeolekukomisjonil tegelikult väga vähe teavet saamata (471).

(258)

Luure- ja julgeolekukomisjon koosneb parlamendi mõlema koja liikmetest, kelle nimetab ametisse peaminister pärast opositsiooni juhiga konsulteerimist (472). Komisjon peab igal aastal esitama parlamendile aruande oma ülesannete täitmise kohta ja muud aruanded, mida ta peab asjakohaseks (473). Lisaks on komisjonil õigus saada iga kolme kuu järel loetelu operatiiveesmärkidest, millest lähtutakse laialdaselt kogutud materjali läbivaatamisel (474). Uurimisvolituste voliniku uurimiste, inspekteerimiste või auditite koopiaid jagab peaminister luure- ja julgeolekukomisjoniga, kui aruannete teema on komisjoni seadusliku pädevuse seisukohast oluline (475). Samuti võib luure- ja julgeolekukomisjon paluda uurimisvolituste volinikul viia läbi uurimine ja volinik peab komisjonile teatama, kas ta otsustab sellise uurimise läbi viia (476).

(259)

Luure- ja julgeolekukomisjon andis oma panuse ka 2016. aasta uurimisvolituste seaduse eelnõusse, mille tulemusena tehti mitu muudatust, mis nüüd seaduses kajastuvad (477). Eelkõige soovitas luure- ja julgeolekukomisjon eraelu puutumatuse kaitse tugevdamiseks kehtestada eraelu puutumatuse kaitse meetmed, mida kohaldatakse kõigi uurimisvolituste ulatuses (478). Samuti soovitas ta muudatusi kavandatud pädevustes seoses seadmete töösse sekkumise, suurte isikuandmete kogumite ja sideandmetega ning taotles teatavate muude muudatuste tegemist, et tugevdada uurimisvolituste kasutamise piiranguid ja kaitsemeetmeid (479).

(260)

Seoses valitsuse juurdepääsuga riikliku julgeoleku eesmärkidel peab andmesubjektil olema võimalus kasutada õiguskaitsevahendeid sõltumatus ja erapooletus kohtus, et tutvuda enda isikuandmetega või lasta neisse parandusi teha või neid kustutada (480). Sellisel kohtuorganil peab eelkõige olema õigus võtta vastu siduvaid otsuseid luureteenistuse kohta (481). Ühendkuningriigis, nagu on selgitatud põhjendustes 261–271, on andmesubjektidel mitu võimalust selliseid õiguskaitsevahendeid taotleda ja saada.

(261)

2018. aasta andmekaitseseaduse paragrahvi 165 kohaselt on andmesubjektil õigus esitada teabevolinikule kaebus, kui andmesubjekt leiab, et seoses temaga seotud isikuandmetega on rikutud 2018. aasta andmekaitseseaduse 4. osa. Teabevolinikul on õigus hinnata, kas vastutav ja volitatud töötleja täidavad 2018. aasta andmekaitseseaduse nõudeid, ning nõuda neilt vajalike meetmete võtmist. 2018. aasta andmekaitseseaduse 4. osa alusel on isikutel ka õigus pöörduda kõrge kohtu poole (Šotimaal kõrge tsiviilkohus), et kehtestada vastutavale töötlejale korraldus austada andmetega tutvumise õigust, (482) töötlemise vaidlustamise õigust (483) ning õigust andmete parandamisele või kustutamisele (484).

(262)

Isikutel on ka õigus nõuda vastutavalt töötlejalt või volitatud töötlejalt hüvitist 2018. aasta andmekaitseseaduse 4. osa nõude rikkumise tõttu kantud kahju eest (485). Kahju hõlmab nii rahalist kahju kui ka kannatusi, millega ei kaasne rahalist kahju (486).

(263)

Üksikisikud võivad saada 2016. aasta uurimisvolituste seaduse rikkumiste eest õiguskaitset uurimisvolituste kohtus (Investigatory Powers Tribunal).

(264)

Uurimisvolituste kohus on loodud 2000. aasta uurimisvolituste reguleerimise seadusega ja on täitevvõimust sõltumatu (487). Vastavalt 2000. aasta uurimisvolituste reguleerimise seaduse paragrahvile 65 nimetab kuninganna nimetatud kohtu liikmed ametisse viieks aastaks. Tema Majesteet võib kohtu liikme ametist tagandada pärast mõlema parlamendikoja pöördumist (488) selles küsimuses (489).

(265)

2000. aasta uurimisvolituste reguleerimise seaduse paragrahvi 65 kohaselt on uurimisvolituste kohus kohtuorgan, kuhu saavad kaevata isikud, keda on kahjustanud 2016. aasta uurimisvolituste seaduse või 2000. aasta uurimisvolituste reguleerimise seaduse kohane tegevus või luureasutuste mis tahes tegevus (490)

(266)

2000. aasta uurimisvolituste reguleerimise seaduse paragrahvi 65 alusel peab isik uurimisvolituste kohtusse hagi esitamiseks („kaebeõiguse eeldus“) uskuma, (491) et luureteenistuse tegevus on seotud temaga, tema varaga, tema poolt või temale saadetud või talle mõeldud teabega või postiteenuse või telekommunikatsiooniteenuse või -süsteemi kasutamisega tema poolt (492). Lisaks peab hageja uskuma, et tegevus on toimunud vaidlustatavates oludes (493) või tegevuse on ellu viinud luureteenistused või see on toimunud nende nimel (494). Kuna „uskumise“ nõuet on tõlgendatud üsna laialt, (495) ei ole kaebeõiguse eeldused uurimisvolituste kohtusse hagi esitamiseks piiravad.

(267)

Esitatud kaebust arutades on uurimisvolituste kohtu ülesanne uurida, kas isikud, kelle vastu on kaebuses süüdistusi esitatud, on olnud seotud kaebuse esitajaga, ja uurida asutust, mis on väidetavalt rikkumises osalenud, ning seda, kas väidetav tegevus on aset leidnud (496). Kohus peab menetluses otsuse tegemisel kohaldama samu põhimõtteid, mida kasutataks kohtuliku kontrolli taotluse korral (497). Lisaks on 2016. aasta uurimisvolituste seaduse kohaste määruste või teatiste adressaadid ja kõik teised isikud, kes töötavad riigiametis või politseijõududes või politseiuurimiste ja politsei tegevuse läbivaatamise voliniku teenistuses, kohustatud avaldama või esitama kohtule kõik dokumendid ja teabe, mida kohus võib oma pädevuse teostamiseks vajada (498).

(268)

Uurimisvolituste kohus peab teavitama kaebuse esitajat sellest, kas tema kasuks on tehtud otsus või mitte (499). Vastavalt 2000. aasta uurimisvolituste reguleerimise seaduse paragrahvi 67 lõigetele 6 ja 7 on kohtul õigus teha ajutisi korraldusi ja mõista välja selliseid kahjuhüvitisi või teha muid määrusi, mida ta peab sobivaks. Uurimisvolituste kohus võib anda korralduse määrus või luba tühistada ning korralduse hävitada dokumendid, mis käsitlevad määruse, loa või teatisega antud volituste alusel saadud teavet või muul viisil ametiasutuse valduses isiku kohta olevat teavet (500). Vastavalt 2000. aasta uurimisvolituste reguleerimise seaduse paragrahvile 67A võib kohtu otsuse edasi kaevata, kui uurimisvolituste kohus või asjaomane apellatsioonikohus on selleks loa andnud.

(269)

Lõpetuseks väärib märkimist, et uurimisvolituste kohtu rolli on arutatud mitmel korral Euroopa Inimõiguste Kohtule esitatud hagide raames, eelkõige kohtuasjas Kennedy vs. Ühendkuningriik (501) ja viimasel ajal kohtuasjas Big Brother Watch jt vs. Ühendkuningriik, (502) kus kohus sedastas, et „uurimisvolituste kohus kujutab endast tõhusat õiguskaitsevahendit isikutele, kes kahtlustavad, et luureasutused on nende sidet pealt kuulanud“ (503).

(270)

Nagu on selgitatud põhjendustes 109–111, kohaldatakse riigi julgeoleku valdkonnas õiguskaitsevahendeid ka 1998. aasta inimõiguste seaduse alusel, samuti on võimalus pöörduda Euroopa Inimõiguste Kohtusse (504). 2000. aasta uurimisvolituste reguleerimise seaduse paragrahvi 65 lõikega 2 on ette nähtud uurimisvolituste kohtu ainupädevus kõigi selliste inimõiguste seadusele tuginevate nõuete lahendamisel, mis on seotud luureasutustega (505). Nagu märkis kõrgema astme kohus, tähendab see, et „küsimuse, kas konkreetse juhtumi asjaoludega seoses on inimõiguste seadust rikutud, võib põhimõtteliselt tõstatada ja lahendada sõltumatu kohus, kellel on juurdepääs kõigile asjakohastele materjalidele, sealhulgas salajastele materjalidele. [...] Sellega seoses pöörame tähelepanu ka sellele, et kohtul endal on nüüd võimalus esitada apellatsioonkaebus asjakohasele apellatsioonikohtule (Inglismaal ja Walesis on selleks Court of Appeal) ning et ülemkohus otsustas hiljuti, et uurimisvolituste kohtu suhtes võib põhimõtteliselt kohaldada kohtulikku kontrolli: vt R (Privacy International) vs. Investigatory Powers Tribunal, [2019], UKSC 22; [2019] 2 WLR 1219” (506).

(271)

Eeltoodust järeldub, et kui Ühendkuningriigi õiguskaitseasutused või riiklikud julgeolekuasutused pääsevad juurde käesoleva otsuse kohaldamisalasse kuuluvatele isikuandmetele, reguleeritakse sellist juurdepääsu õigusaktidega, millega kehtestatakse juurdepääsu tingimused ning tagatakse, et andmetele juurdepääs ja nende edasine kasutamine piirdub sellega, mis on vajalik ja proportsionaalne, pidades silmas taotletavat õiguskaitse või riigi julgeoleku eesmärki Lisaks on selliseks juurdepääsuks enamikul juhtudel vaja kohtuorgani eelnevat luba määruse või andmeesitamismääruse heakskiitmise kujul ning igal juhul kohaldatakse sõltumatut järelevalvet. Kui ametiasutused on andmetele juurde pääsenud, kohaldatakse nende töötlemise, sealhulgas edasise jagamise ja edasisaatmise suhtes konkreetseid andmekaitsemeetmeid õiguskaitseasutustepoolse töötlemise puhul 2018. aasta andmekaitseseaduse 3. osa alusel, mis peegeldavad direktiiviga (EL) 2016/680 ette nähtud kaitsemeetmeid, ja luureasutustepoolse töötlemise puhul andmekaitseseaduse 4. osa alusel. Lisaks on andmesubjektide käsutuses selles valdkonnas tõhusad halduslikud ja kohtulikud õiguskaitsevahendid, sealhulgas õigus tutvuda oma andmetega või neid parandada või kustutada.

(272)

Võttes arvesse, kui olulised on sellised tingimused, piirangud ja kaitsemeetmed käesoleva otsuse seisukohast, jälgib komisjon tähelepanelikult Ühendkuningriigi nende õigusnormide kohaldamist ja tõlgendamist, mis reguleerivad valitsuse juurdepääsu andmetele. Selle hulka kuuluvad asjakohased seadusandlikud, regulatiivsed ja kohtupraktika-alased muudatused, samuti teabevoliniku ja teiste selle valdkonna järelevalveorganite tegevus. Tähelepanelikult jälgitakse, kuidas täidab Ühendkuningriik Euroopa Inimõiguste Kohtu asjakohaseid otsuseid, sealhulgas viib ellu EIK otsuste täitmise järelevalve raames ministrite komiteele esitatud tegevuskavades ja tegevusaruannetes esitatud meetmeid.

(273)

Komisjon leiab, et Ühendkuningriigi isikuandmete kaitse üldmäärus ja 2018. aasta andmekaitseseadus tagavad Euroopa Liidust edastavate isikuandmete kaitse taseme, mis sisuliselt vastab määrusega (EL) 2016/679 tagatud kaitsetasemele.

(274)

Lisaks leiab komisjon, et Ühendkuningriigi õiguses ettenähtud järelevalvemehhanismid ja õiguskaitse võimalused võimaldavad rikkumised praktikas tuvastada ja nende eest karistusi määrata ning pakuvad andmesubjektile õiguskaitsevahendeid temaga seotud isikuandmetele juurdepääsu saamiseks ning vajaduse korral nende parandamiseks või kustutamiseks.

(275)

Lisaks leiab komisjon Ühendkuningriigi õigussüsteemi kohta kättesaadava teabe põhjal, et selliste üksikisikute põhiõiguste riivamine Ühendkuningriigi avaliku sektori asutuste poolt avaliku julgeoleku eesmärgil ning eriti õiguskaitse tagamise ja riikliku julgeoleku eesmärgil, kelle isikuandmeid edastatakse Euroopa Liidust Ühendkuningriiki, piirdub asjaomase seadusliku eesmärgi saavutamiseks rangelt vajalikuga ning tagatud on tõhus õiguskaitse selliste riivete vastu.

(276)

Seetõttu tuleks käesoleva otsuse järelduste valguses otsustada, et Ühendkuningriik tagab piisava kaitsetaseme määruse (EL) 2016/679 artikli 45 tähenduses, mida tõlgendatakse Euroopa Liidu põhiõiguste hartat silmas pidades.

(277)

See järeldus põhineb nii Ühendkuningriigi asjaomasel riigisisesel korral kui ka rahvusvahelistel kohustustel, eelkõige Euroopa inimõiguste konventsiooni järgimisel ja Euroopa Inimõiguste Kohtu jurisdiktsioonile allumisel. Selliste õigusaktide jätkuv järgimine on seega käesoleva otsuse aluseks oleva hindamise eriti oluline element.

(278)

Liikmesriigid ja nende organid peavad võtma liidu institutsioonide õigusaktide järgimiseks vajalikud meetmed, kuna eeldatakse nende õiguspärasust ja neil on seega õiguslikud tagajärjed seni, kuni neid ei ole tagasi võetud, tühistamishagi menetlemise tulemusena tühistatud ega eelotsusemenetluse tulemusel või õigusvastasuse väite alusel kehtetuks tunnistatud.

(279)

Seega on komisjoni poolt määruse (EL) 2016/679 artikli 45 lõike 3 alusel vastu võetud kaitse piisavuse otsus siduv kõikide otsuse adressaadiks olevate liikmesriikide organitele, sealhulgas sõltumatutele järelevalveasutustele. Eelkõige võib käesoleva otsuse kohaldamise ajal edastamine Euroopa Liidu vastutavalt või volitatud töötlejalt Ühendkuningriigis asuvatele vastutavatele või volitatud töötlejatele toimuda ilma täiendava loata.

(280)

Vastavalt määruse (EL) 2016/679 artikli 58 lõikele 5 ja nagu Euroopa Kohus on selgitanud Schremsi kohtuotsuses, (507) peab samas olema juhuks, kui riiklik andmekaitseasutus kahtleb, sealhulgas laekunud kaebuse põhjal, komisjoni kaitse piisavuse otsuse kooskõlas üksikisiku põhiõigustega eraelu puutumatusele ja andmekaitsele, liikmesriigi õigusega ette nähtud õiguskaitsevahend, mis võimaldab tal edastada need vastuväited siseriiklikule kohtule, kellelt võidakse nõuda asja kohta Euroopa Kohtule eelotsusetaotluse esitamist (508).

(281)

Määruse (EL) 2016/679 artikli 45 lõike 4 kohaselt jälgib komisjon pidevalt asjakohaseid arengusuundi Ühendkuningriigis pärast käesoleva otsuse vastuvõtmist, et hinnata, kas see tagab endiselt sisuliselt vastava kaitsetaseme. Selline järelevalve on käesoleval juhul eriti oluline, kuna Ühendkuningriik hakkab haldama, kohaldama ja jõustama uut andmekaitsekorda, mille suhtes enam ei kohaldata Euroopa Liidu õigust ja mis võib muutuda. Sellega seoses pööratakse erilist tähelepanu Ühendkuningriigi nende normide kohaldamisele praktikas, mis reguleerivad isikuandmete edastamist kolmandatele riikidele, ja sellele, millist mõju see võib avaldada käesoleva otsuse alusel edastatud andmete kaitse tasemele; üksikisikute õiguste tulemuslikule teostamisele, sealhulgas kõigile asjakohastele arengusuundadele õiguses ja praktikas, mis võivad viia üksikisiku õigustest erandite tegemiseni või nende piiramiseni (eeskätt sisserände tulemusliku kontrolli säilitamise erandile); ning valitsuse juurdepääsuga seotud piirangute ja kaitsemeetmete järgimisele. Muude elementide hulgas võtab komisjon jälgimisel arvesse arenguid kohtupraktikas ning teabevoliniku ja teiste sõltumatute organite tehtavat järelevalvet.

(282)

Järelevalve hõlbustamiseks palutakse Ühendkuningriigi ametiasutustel teavitada komisjoni kiiresti Ühendkuningriigi õiguskorra igast olulisest muudatusest, mis mõjutab käesolevas otsuses käsitletavat õigusraamistikku, samuti käesolevas otsuses hinnatud isikuandmete töötlemisega seotud tavade muutumisest, seda seoses nii isikuandmete töötlemisega vastutavate ja volitatud töötlejate poolt kui ka piirangute ja kaitsemeetmetega, mida kohaldatakse avaliku sektori asutuste juurdepääsu suhtes isikuandmetele. Eeltoodu hulka peaksid kuuluma ka arengusuunad põhjenduses 281 nimetatud küsimustes.

(283)

Selleks et komisjonil oleks võimalik tõhusalt täita oma järelevalvefunktsiooni, peaksid liikmesriigid teavitama komisjoni kõikidest asjakohastest meetmetest, mida riiklikud andmekaitseasutused võtavad, eelkõige seoses ELi andmesubjektide päringute või kaebustega, mis puudutavad isikuandmete edastamist liidust Ühendkuningriigis asuvatele vastutavatele või volitatud töötlejatele. Komisjoni tuleks teavitada ka võimalikest märkidest, et kuritegude ennetamise, uurimise, avastamise või nende eest süüdimõistmise või riigi julgeoleku eest vastutavate Ühendkuningriigi avaliku sektori asutuste tegevus, samuti järelevalveasutuste tegevus ei taga nõutavat kaitsetaset.

(284)

Kui kättesaadavast teabest, eriti käesoleva otsuse järelevalvest tulenevast või Ühendkuningriigi või liikmesriikide ametiasutuste esitatud teabest ilmneb, et Ühendkuningriigi pakutav kaitsetase ei pruugi enam olla piisav, peaks komisjon kohe teavitama sellest Ühendkuningriigi pädevaid asutusi ning nõudma, et asjakohaseid meetmeid võetakse kindlaksmääratud tähtaja jooksul, mis ei või olla pikem kui kolm kuud. Vajaduse korral võib seda tähtaega pikendada kindlaksmääratud tähtaja võrra, võttes arvesse tõstatatud küsimuse ja/või võetavate meetmete laadi. Näiteks käivitataks selline menetlus juhul, kui andmete edasisaatmisel, kaasa arvatud ministri vastuvõetud uute kaitse piisavuse määruste või Ühendkuningriigi sõlmitud rahvusvaheliste lepingute alusel, ei järgitaks enam kaitsemeetmeid, millega tagatakse kaitse jätkuvus määruse (EL) 2016/679 artikli 44 tähenduses.

(285)

Kui Ühendkuningriigi pädevad asutused ei ole kindlaksmääratud ajavahemiku möödumisel neid meetmeid võtnud või muul viisil rahuldavalt tõendanud, et käesolev otsus põhineb endiselt piisaval kaitsetasemel, algatab komisjon määruse (EL) 2016/679 artikli 93 lõikes 2 osutatud menetluse käesoleva otsuse osaliseks või täielikuks peatamiseks või kehtetuks tunnistamiseks.

(286)

Teise võimalusena algatab komisjon menetluse käesoleva otsuse muutmiseks, et eelkõige kehtestada andmete edastamise lisatingimused või piirata kaitse piisavuse otsuse kohaldamisala selliselt, et selle alla kuuluks üksnes andmeedastus, mille puhul on tagatud kaitse jätkumine.

(287)

Nõuetekohaselt põhjendatud, tungivalt vajalikul ja kiireloomulisel juhul kasutab komisjon võimalust võtta kooskõlas määruse (EL) 2016/679 artikli 93 lõikes 3 osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid, millega otsus peatatakse või tunnistatakse kehtetuks või seda muudetakse.

(288)

Komisjon peab võtma arvesse, et väljaastumislepingus ette nähtud üleminekuperioodi ning ELi ja Ühendkuningriigi kaubandus- ja koostöölepingu artikli 782 kohase ajutise sätte kohaldamise lõppemisel haldab ja kohaldab Ühendkuningriik sellist uut andmekaitsekorda ja tagab selle täitmise, mis erineb korrast, mis kehtis, kui Ühendkuningriigile oli siduv ELi õigus. On oluline silmas pidada, et see võib hõlmata käesolevas otsuses hinnatud andmekaitseraamistiku muutmist ning muid olulisi muutusi.

(289)

Seepärast on asjakohane sätestada, et käesolevat otsust kohaldatakse nelja aasta jooksul alates selle jõustumisest.

(290)

Kui eelkõige käesoleva otsuse järelevalvest tulenev teave näitab, et Ühendkuningriigis tagatud kaitse taseme piisavusega seotud tähelepanekud on endiselt faktiliselt ja õiguslikult põhjendatud, peaks komisjon hiljemalt kuus kuud enne käesoleva otsuse kohaldamise lõppu algatama käesoleva otsuse muutmise menetluse, et pikendada selle kohaldamisaega põhimõtteliselt veel nelja aasta võrra. Selline käesolevat otsust muutev rakendusakt tuleb vastu võtta määruse (EL) 2016/679 artikli 93 lõikes 2 osutatud korras.

(291)

Euroopa Andmekaitsenõukogu avaldas arvamuse, (509) mida on käesoleva otsuse koostamisel arvesse võetud.

(292)

Käesoleva otsusega ettenähtud meetmed on kooskõlas määruse (EL) 2016/679 artikli 93 kohaselt loodud komitee arvamusega,

(1)

Direktiiviga (EL) 2016/680 on kehtestatud eeskirjad isikuandmete edastamiseks liidus asuvatelt pädevatelt asutustelt kolmandatesse riikidesse ja rahvusvahelistele organisatsioonidele määral, mil see edastamine kuulub direktiivi kohaldamisalasse. Pädevate asutuste poolt isikuandmete rahvusvahelise edastamise eeskirjad on sätestatud direktiivi (EL) 2016/680 V peatükis, täpsemalt artiklites 35–40. Kuigi isikuandmete liikumine Euroopa Liidust väljaspool asuvatesse riikidesse ja neist riikidest Euroopa Liitu on vajalik tõhusa õiguskaitsekoostöö huvides, tuleb tagada, et sellise edastamisega ei alandata Euroopa Liidus isikuandmete kaitse taset (2).

(2)

Direktiivi (EL) 2016/680 artikli 36 lõike 3 alusel võib komisjon võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Sel tingimusel võib kolmandale riigile isikuandmeid edastada lisaloata (välja arvatud juhul, kui edastamiseks peab andma loa teine liikmesriik, kust andmed saadi), nagu on ette nähtud direktiivi (EL) 2016/680 artikli 35 lõikes 1 ja põhjenduses 66.

(3)

Nagu on märgitud direktiivi (EL) 2016/680 artikli 36 lõikes 2, tuleb kaitse piisavuse otsuse vastuvõtmisel tugineda kolmanda riigi õiguskorra põhjalikule analüüsile. Komisjon peab hindamisel kindlaks määrama, kas kõnealune kolmas riik tagab kaitsetaseme, mis sisuliselt vastab Euroopa Liidus tagatud kaitsetasemele (direktiivi (EL) 2016/680 põhjendus 67). Sisulise vastavuse hindamise standard on sätestatud ELi õiguses, eelkõige direktiivis (EL) 2016/680 ja Euroopa Liidu Kohtu praktikas (3). Tähtis on ka Euroopa Andmekaitsenõukogu piisavuse võrdlusalus (4).

(4)

Nagu Euroopa Liidu Kohus on selgitanud, ei eelda see identset kaitsetaset (5). Eelkõige võivad vahendid, mida asjaomane kolmas riik isikuandmete kaitsmiseks kasutab, erineda nendest, mida Euroopa Liidus rakendatakse, kuivõrd need osutuvad praktikas kaitse piisava taseme tagamisel tulemuslikuks (6). Kaitse piisavuse nõue ei eelda seega, et liidu õigusnorme tuleb punkt punktilt kopeerida. Küsimus on pigem selles, kas ELi-väline süsteem tervikuna tagab eraelu puutumatuse õiguse sisu, selle tõhusa rakendamise, järelevalve ja kohtuliku kaitse kaudu nõutava isikuandmete kaitse taseme (7).

(5)

Komisjon on hoolikalt analüüsinud Ühendkuningriigi asjaomaseid õigusnorme ja tavasid. Komisjon teeb allpool esitatud tähelepanekutele tuginedes järelduse, et Ühendkuningriik tagab direktiivi (EL) 2016/680 kohaldamisalasse kuuluvatelt liidus asuvatelt pädevatelt asutustelt 2018. aasta andmekaitseseaduse (Data Protection Act 2018) (8) 3. osa kohaldamisalasse kuuluvatele Ühendkuningriigi pädevatele asutustele edastatavate isikuandmete kaitse piisava taseme.

(6)

Ilma et käesolev otsus piiraks direktiivi (EL) 2016/680 artiklis 35 sätestatud tingimuste kohaldamist, ei pea otsusest tulenevalt selliseks edastamiseks hankima lisaluba nelja-aastase ajavahemiku jooksul, mida võidakse pikendada.

(7)

Ühendkuningriik on parlamentaarne demokraatia. Sellel on kõigi muude valitsusasutuste suhtes ülimuslik suveräänne parlament, täidesaatvat võimu teostav valitsus, mille liikmed valitakse parlamendi liikmete hulgast ja mis annab aru parlamendile, ning sõltumatu kohtuvõim. Valitsuse volitused olenevad selle suutlikkusest võita valitud alamkoja usaldus. Valitsus annab aru mõlemale parlamendikojale (alamkoda ja ülemkoda ehk lordide koda), mis teostavad järelevalvet valitsuse üle ning arutavad ja võtavad vastu seadusi. Ühendkuningriigi parlament on delegeerinud Šotimaa parlamendile, Walesi parlamendile (Senedd Cymru) ja Põhja-Iirimaa assambleele vastutuse õigusloome eest teatavates Šotimaa, Walesi ja Põhja-Iirimaa siseküsimustes. Andmekaitse kuulub Ühendkuningriigi parlamendi pädevusse, st sama õigust kohaldatakse kogu riigis, kuid otsustusõigus käesoleva otsusega seotud muude poliitikavaldkondade üle on delegeeritud. Näiteks vastutus kriminaalõigussüsteemide, sealhulgas Šotimaa ja Põhja-Iirimaa politsei tegevuse eest on üle antud vastavalt Šotimaa parlamendile ja Põhja-Iirimaa assambleele (9).

(8)

Kuigi Ühendkuningriigil ei ole kodifitseeritud põhiseadust konkreetse konstitutiivse dokumendi tähenduses, on riigi põhiseaduslikud põhimõtted välja kujunenud aja jooksul ning põhinevad kohtupraktikal ja eelkõige tavadel. Tunnistatakse teatavate statuutide, näiteks Magna Carta, 1689. aasta õiguste deklaratsiooni (Bill of Rights 1689) ja 1998. aasta inimõiguste seaduse (Human Rights Act 1998) põhiseaduslikku väärtust. Põhiseadusliku korra osana on üksikisiku põhiõigusi laiendatud üldise õiguse, statuutide ja rahvusvaheliste lepingutega, eelkõige Euroopa inimõiguste konventsiooniga, mille Ühendkuningriik ratifitseeris 1951. aastal. Ühendkuningriik ratifitseeris 1987. aastal ka Euroopa Nõukogu isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni (konventsioon 108) (10).

(9)

1998. aasta inimõiguste seadusega lisati Euroopa inimõiguste konventsioonis sisalduvad õigused Ühendkuningriigi õigusesse. Seadusega antakse igale isikule põhiõigused ja -vabadused, mis on ette nähtud Euroopa inimõiguste konventsiooni artiklites 2–12 ja artiklis 14, konventsiooni protokolli nr 1 artiklites 1–3 ning protokolli nr 13 artiklis 1 koostoimes Euroopa inimõiguste konventsiooni artiklitega 16–18. See hõlmab õigust era- ja perekonnaelu austamisele – mis omakorda hõlmab õigust isikuandmete kaitsele – ning õigust õiglasele kohtumenetlusele (11). Nimelt ei sekku ametivõimud Euroopa inimõiguste konventsiooni artikli 8 kohaselt eraelu puutumatuse õiguse kasutamisse muidu, kui kooskõlas seadusega ja kui see on demokraatlikus ühiskonnas vajalik riigi julgeoleku, ühiskondliku turvalisuse või riigi majandusliku heaolu huvides, korratuse või kuriteo ärahoidmiseks, tervise või kõlbluse või kaasinimeste õiguste ja vabaduste kaitseks.

(10)

Vastavalt 1998. aasta inimõiguste seadusele peab avaliku sektori asutuste tegevus olema alati kooskõlas Euroopa inimõiguste konventsiooniga tagatud õigustega (12). Lisaks tuleb esmaseid ja teiseseid õigusakte tõlgendada ja rakendada viisil, mis on nende õigustega kooskõlas (13). Kui üksikisik leiab, et avaliku sektori asutused on rikkunud tema õigusi, sealhulgas eraelu puutumatuse õigus ja andmekaitse õigus, võib ta õiguskaitse saamiseks pöörduda 1998. aasta inimõiguste seaduse alusel Ühendkuningriigi kohtute poole ja kui riiklikud õiguskaitsevahendid on ammendatud, taotleda Euroopa inimõiguste konventsiooniga tagatud õiguste rikkumise korral õiguskaitset Euroopa Inimõiguste Kohtus.

(11)

Ühendkuningriik astus 31. jaanuaril 2020 liidust välja. Suurbritannia ja Põhja-Iiri Ühendkuningriigi Euroopa Liidust ja Euroopa Aatomienergiaühendusest väljaastumise lepingu (14) alusel jätkati Ühendkuningriigis liidu õiguse kohaldamist üleminekuperioodil kuni 31. detsembrini 2020. Enne väljaastumist ja üleminekuperioodi kestel koosnes Ühendkuningriigis isikuandmete kaitse õigusraamistik, millega reguleeritakse pädevates asutustes isikuandmete töötlemist süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, 2018. aasta andmekaitseseaduse asjakohastest osadest, millega võeti üle direktiiv (EL) 2016/680.

(12)

Valmistudes EList väljaastumiseks kehtestas Ühendkuningriigi valitsus 2018. aasta Euroopa Liidust väljaastumise seaduse (European Union (Withdrawal) Act 2018, edaspidi „väljaastumisseadus“), (15) millega inkorporeeriti vahetult kohaldatavad liidu õigusaktid Ühendkuningriigi õigusesse ja nähti ette, et nn ELi õigusel põhinevad siseriiklikud õigusaktid jäävad kehtima ka pärast üleminekuperioodi lõppu. 2018. aasta andmekaitseseaduse (16) 3. osa, millega võetakse üle direktiiv (EL) 2016/680, on väljaastumisseaduse tähenduses ELi õigusel põhinev siseriiklik õigusakt. Väljaastumisseaduse kohaselt peavad Ühendkuningriigi kohtud tõlgendama ELi õigusel põhinevaid siseriiklikke muutmata õigusakte vastavalt Euroopa Liidu Kohtu (Euroopa Kohus) asjakohasele praktikale ja liidu õiguse üldistele põhimõtetele, nii nagu need kehtisid vahetult enne üleminekuperioodi lõppu (vastavalt „jätkuvalt kohaldatav ELi kohtupraktika“ ja „jätkuvalt kohaldatavad ELi õiguse üldpõhimõtted“) (17).

(13)

Väljaastumisseaduse kohaselt on Ühendkuningriigi ministritel volitused kehtestada seadusandlike dokumentidega teiseseid õigusakte, et teha jätkuvalt kohaldatavates ELi õigusaktides vajalikud muudatused, mis tulenevad Ühendkuningriigi väljaastumisest liidust. Seda õigust kasutati 2019. aasta andmekaitset, eraelu puutumatust, elektroonilist sidet, muudatusi jne käsitleva (EList väljaastumise) määrusega (edaspidi „andmekaitse, eraelu puutumatuse ja elektroonilise side määrus“) (18). Sellega muudetakse Ühendkuningriigi andmekaitsealaseid õigusakte, sealhulgas 2018. aasta andmekaitseseadust, et viia see vastavusse siseriikliku kontekstiga (19).

(14)

Seega on Ühendkuningriigis pärast väljaastumislepingukohase üleminekuperioodi lõppu pädevates asutustes isikuandmete töötlemise õigusnõuded süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil jätkuvalt sätestatud andmekaitse, eraelu puutumatuse ja elektroonilise side määrusega muudetud 2018. aasta andmekaitseseaduse asjakohastes osades, eelkõige seaduse 3. osas. Sellist liiki töötlemisele ei kohaldata Ühendkuningriigi isikuandmete kaitse üldmäärust.

(15)

2018. aasta andmekaitseseaduse 3. osas on sätestatud eeskirjad isikuandmete töötlemise kohta kriminaalõiguskaitse eesmärkidel, sealhulgas andmekaitsepõhimõtted, töötlemise õiguslikud alused (õiguspärasus), andmesubjektide õigused, pädevate asutuste kui vastutavate töötlejate kohustused ja andmete edasisaatmise piirangud. 2018. aasta andmekaitseseaduse 5. ja 6. osas on sätestatud õiguskaitse valdkonnas kohaldatavad järelevalve, täitmise tagamise ja õiguskaitse eeskirjad.

(16)

Arvestades politsei tähtsust õiguskaitse valdkonnas, tuleks tähelepanu pöörata ka politseitegevust käsitlevatele eeskirjadele. Kuna politseitegevus on delegeeritud valdkond, kohaldatakse a) Inglismaal ja Walesis, b) Šotimaal ja c) Põhja-Iirimaal politseitegevuse suhtes eri õigusakte, mis on ometi sisult sageli sarnased (20). Lisaks selgitatakse politsei volituste korrektset kasutamist eri liiki suunistes. Politseitegevuse suunisete kolm peamisest liiki on järgmised: 1) õigusaktidest tulenevad kohustuslikud suunised, näiteks 1996. aasta politseiseaduse (Police Act 1996) (21) alusel koostatud eetikakoodeks (Code of Ethics) (22) ja politseiteabe haldamise tegevusjuhend (Code of Practice on the Management of Police Information) (23) või politsei- ja kriminaaltõendite seaduse (Police and Criminal Evidence Act) (24) alusel koostatud PACE tegevusjuhendid (PACE codes); (25) 2) politseikolledži (College of Policing) avaldatud kinnitatud kutsetavad politseiteabe haldamise kohta (Authorised Professional Practice on the Management of Police Information) (26) ning 3) tegevussuunised (politsei avaldatud). Riiklik kõrgemate politseiametnike nõukogu (National Police Chiefs Council, Ühendkuningriigi politseijõudude koordineerimise asutus) avaldab tegevussuuniseid, mille on heaks kiitnud kõik politseijõud ja mida seetõttu kohaldatakse kogu riigis (27). Suuniste eesmärk on tagada, et politseiasutused haldavad teavet ühtselt (28).

(17)

Minister avaldas politseiteabe haldamise tegevusjuhendi 2005. aastal, kasutades 1996. aasta politseiseaduse paragrahvis 39A sätestatud volitusi (29). Enne kui parlamendile esitatakse politseiseaduse alusel avaldatav tegevusjuhend, peab selle heaks kiitma minister ja selle üle tuleb konsulteerida riikliku kriminaalametiga. Politseiseaduse paragrahvi 39A lõikes 7 nõutakse, et politsei peab võtma arvesse seadusest tulenevaid koodekseid, ning järelikult peab politsei seda nõuet täitma (30). Lisaks peavad muud kui õigusaktidest tulenevad suunised (näiteks kinnitatud kutsetavad politseiteabe haldamise kohta) olema alati kooskõlas politseiteabe haldamise tegevusjuhendiga, mis on selliste tavade suhtes ülimuslik (31).. Kuigi võib esineda teatavaid operatiivolukordi, kus politseiametnikud peavad sellistest suunistest kõrvale kalduma, peavad nad ikkagi järgima 2018. aasta andmekaitseseaduse 3. osa nõudeid (32).

(18)

Lisasuuniseid Ühendkuningriigi andmekaitsealaste õigusaktide kohta andmete töötlemiseks õiguskaitse valdkonnas annab teabevolinik (Information Commissioner) (33) (lisateave teabevoliniku kohta on esitatud põhjendustes 93–109). Kuigi suunised ei ole õiguslikult siduvad, peavad kohtud võtma kohtuasjades arvesse suuniste rikkumisi, sest suunised on tähtsad tõlgendamisel ja näitavad, kuidas volinik andmekaitsealaseid õigusakte praktikas tõlgendab ja tagab nende täitmise (34).

(19)

Nagu mainitud põhjendustes 8–10, peavad Ühendkuningriigi õiguskaitseasutused tagama ka Euroopa inimõiguste konventsiooni ja konventsiooni 108 järgimise.

(20)

Seega on Ühendkuningriigi kriminaalõiguskaitseasutuste andmetöötlust reguleeriv õigusraamistik ülesehituse ja peamiste osade poolest väga sarnane ELis kohaldatava raamistikuga. Samuti tugineb see raamistik lisaks riiklikus õiguses sätestatud kohustustele, mida on kujundanud ELi õigus, ka rahvusvahelises õiguses sätestatud kohustustele, eelkõige arvestades Ühendkuningriigi osalemist Euroopa inimõiguste konventsioonis ja konventsioonis 108 ning kuuluvust Euroopa Inimõiguste Kohtu alluvusse. Järelikult on need õiguslikult siduvatest rahvusvahelistest õigusaktidest tulenevad kohustused, eelkõige isikuandmete kaitsega seotud kohustused, käesolevas otsuses hinnatava õigusraamistiku tähtis osa.

(21)

2018. aasta andmekaitseseaduse 3. osa kohaldamisala langeb kokku direktiivi (EL) 2016/680 kohaldamisalaga, mida on täpsustatud direktiivi artikli 2 lõikes 2. 3. osa kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemisele pädeva asutuse poolt ja isikuandmete automatiseerimata töötlemisele pädeva asutuse poolt, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

(22)

Pealegi peab vastutav töötleja 3. osa kohaldamisalasse kuulumiseks olema pädev asutus ja töötlemine peab toimuma õiguskaitse eesmärgil. Seetõttu kohaldatakse käesolevas otsuses hinnatud andmekaitsekorda nende pädevate asutuste kogu õiguskaitsetegevuse suhtes.

(23)

Pädev asutus on määratletud andmekaitseseaduse paragrahvis 30 kui 2018. aasta andmekaitseseaduse 7. lisas loetletud isik ja muu isik, kellel on seadusjärgsed ülesanded õiguskaitse tagamise eesmärgil. 7. lisas loetletud pädevad asutused hõlmavad peale politseijõudude kõiki Ühendkuningriigi ministeeriume ja teisi uurimisülesannetega asutusi (nt Ühendkuningriigi maksu- ja tolliameti volinik (Commissioner for Her Majesty’s Revenue and Customs), Walesi maksu- ja tolliamet (Welsh Revenue Authority), konkurentsi- ja turuamet (Competition and Markets Authority) ja Ühendkuningriigi kinnistusregister (Her Majesty’s Land Registry) või riiklik kriminaalamet (National Crime Agency)), prokuratuuri organeid, muid kriminaalõiguse asutusi ja muid uurimisülesannetega isikuid või õiguskaitsega tegelevaid organisatsioone (35). 2018. aasta andmekaitseseaduse 3. osa – välja arvatud andmesubjektide õiguste ja teabevoliniku büroo teostatava järelevalvega seotud osad – kohaldatakse ka kohtutele nende õigusemõistmise ülesannete täitmisel (36). Pädevate asutuste loetelu 7. lisas ei ole ammendav ja minister võib seda ajakohastada määrusega, võttes arvesse avaliku sektori asutuste korralduslikke muudatusi (37).

(24)

Samuti peab kõnealune töötlemine toimuma õiguskaitse eesmärgil, mis on määratletud kui süütegude tõkestamine, uurimine, avastamine ja nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas kaitse avalikku julgeolekut ähvardavate ohtude eest ja nende ennetamine (38). Pädeva asutuse poolset isikuandmete töötlemist ei reguleerita 2018. aasta andmekaitseseaduse 3. osaga, kui töötlemine ei toimu õiguskaitse eesmärkidel, näiteks kui konkurentsi- ja turuamet uurib juhtumeid, mis ei kuulu kriminaalõiguse alla (nt ettevõtete ühinemine). Sellisel juhul kohaldatakse Ühendkuningriigi isikuandmete kaitse üldmäärust koos 2018. aasta andmekaitseseaduse 2. osaga, sest pädevad asutused töötlevad isikuandmeid muudel kui õiguskaitse eesmärkidel. Selleks et teha kindlaks, millist andmekaitsekorda konkreetsete isikuandmete töötlemisele kohaldada (2018. aasta andmekaitseseaduse 2. või 3. osa), peab pädev asutus, st vastutav töötleja, kaaluma, kas sellise töötlemise peamine eesmärk on seotud 2018. aasta andmekaitseseaduse kohase õiguskaitsega.

(25)

2018. aasta andmekaitseseaduse 3. osa territoriaalse kohaldamisala kohta on paragrahvi 207 lõikes 2 ette nähtud, et andmekaitseseadust kohaldatakse sellise isiku tegevuse raames toimuvale isikuandmete töötlemisele, kelle üksus asub kogu Ühendkuningriigi territooriumil. See hõlmab Inglismaa, Walesi, Šotimaa ja Põhja-Iirimaa territooriumil asuvaid avaliku sektori asutusi, mis kuuluvad 2018. aasta andmekaitseseaduse 3. osa kohaldamisalasse (39).

(26)

Tähtsaimad mõisted „isikuandmed“ ja „isikuandmete töötlemine“ on määratletud 2018. aasta andmekaitseseaduse paragrahvis 3 ning neid kohaldatakse kogu andmekaitseseaduses. Määratlused on tihedalt seotud direktiivi (EL) 2016/680 artiklis 3 sätestatud vastavate määratlustega. 2018. aasta andmekaitseseaduse kohaselt tähendavad isikuandmed igasugust teavet tuvastatud või tuvastatava elava isiku kohta (40). 2018. aasta andmekaitseseaduse paragrahvi 3 lõike 3 kohaselt on isik tuvastatav, kui teda saab teabe põhjal otseselt või kaudselt tuvastada, sealhulgas nime või identifitseerimistunnuse põhjal või selle isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal. Mõiste „isikuandmete töötlemine“ on määratletud kui teabe või teabe kogumitega tehtav toiming või toimingute kogum, nagu a) kogumine, dokumenteerimine, korrastamine, struktureerimine või säilitamine; b) kohandamine või muutmine; c) päringute tegemine, lugemine või kasutamine; d) edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine; e) ühitamine või ühendamine või f) piiramine, kustutamine või hävitamine. Seaduses määratletakse ka mõiste „tundlike isikuandmete töötlemine“ kui „a) selliste isikuandmete töötlemine, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine; b) geneetiliste või biomeetriliste andmete töötlemine isiku kordumatuks tuvastamiseks; c) terviseandmete töötlemine; d) isiku seksuaalelu või seksuaalset sättumust käsitlevate andmete töötlemine“ (41). Nendega seotud mõisted „biomeetrilised andmed“, (42)„terviseandmed“ (43) ja „geneetilised andmed“ (44) on määratletud 2018. aasta andmekaitseseaduse paragrahvis 205.

(27)

2018. aasta andmekaitseseaduse paragrahvis 32 täpsustatakse mõistete „vastutav töötleja“ ja „volitatud töötleja“ määratlust seoses isikuandmete töötlemisega õiguskaitse eesmärkidel. Määratlused on väga sarnased direktiivis (EL) 2016/680 kasutatud vastavate määratlustega. Vastutav töötleja on pädev asutus, kes määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Kui isikuandmete töötlemine on seadusega ette nähtud, on vastutav töötleja pädev asutus, kellele selline kohustus on seadusega kehtestatud. Volitatud töötleja on määratletud kui isik, kes töötleb isikuandmeid vastutava töötleja nimel (ja kes ei ole vastutava töötleja töötaja).

(28)

2018. aasta andmekaitseseaduse paragrahvi 35 kohaselt peab isikuandmete töötlemine olema seaduslik ja õiglane sarnaselt direktiivi (EL) 2016/680 artikli 4 lõike 1 punktile a. 2018. aasta andmekaitseseaduse paragrahvi 35 lõike 2 kohaselt on isikuandmete töötlemine õiguskaitse eesmärgil seaduslik vaid siis, kui see põhineb õigusel ja andmesubjekt on andnud nõusoleku isikuandmete töötlemiseks sellel eesmärgil või isikuandmete töötlemine on vajalik pädeva asutuse poolt selle eesmärgi kohase ülesande täitmiseks.

(29)

Selleks et tagada 2018. aasta andmekaitseseaduse 3. osa alla kuuluva isikuandmete töötlemise seaduslikkus, peab selline isikuandmete töötlemine põhinema õigusel, nagu on ka sätestatud direktiivi (EL) 2016/680 artiklis 8. Seaduslik isikuandmete töötlemine tähendab, et selleks on luba antud kas statuudi, üldise õiguse või kuninglike eesõigustega (45).

(30)

Pädevate asutuste volitusi reguleeritakse üldjuhul statuutidega: see tähendab, et nende ülesanded ja volitused on selgesti sätestatud parlamendi vastu võetud õigusaktides (46). Teatavatel juhtudel võivad politsei ja teised 2018. aasta andmekaitseseaduse 7. lisas loetletud pädevad asutused tugineda andmete töötlemisel üldisele õigusele (47). Üldine õigus on kujunenud kohtuotsustega loodud pretsedentide põhjal. Üldisest õigusest tulenevad politsei volitused ja keskne ülesanne kaitsta kodanikke kuritegevuse avastamise ja tõkestamise kaudu (48). Selle ülesande täitmiseks võivad politseijõud aga tugineda nii üldisest õigusest tulenevatele kui ka seadusandlikele volitustele (49). Valdkondades, kus politseil on seadusjärgsed volitused, on need ülimuslikud üldisest õigusest tulenevate volituste suhtes (50).

(31)

Kohtud on tunnistanud politseiametnike üldisest õigusest tulenevate volituste ja kohustuste ulatust, sedastades, et need hõlmavad kõiki meetmeid, mis näivad politseiametnikule vajalikud rahu hoidmiseks, kuritegevuse tõkestamiseks või vara kaitsmiseks kuritegeliku kahju eest (51). Üldisest õigusest tulenevad volitused ei ole absoluutsed volitused. Neile kehtib mitu piirangut, sealhulgas kohtute (52) ja õigusaktidega, eelkõige 1998. aasta inimõiguste seaduse (Human Rights Act 1998) ja 2010. aasta võrdõiguslikkuse seadusega (Equality Act 2010), (53) kehtestatud kitsendused. 2018. aasta andmekaitseseaduse 3. osa alusel andmeid töötlevate pädevate asutuste puhul hõlmab see üldisest õigusest tulenevate volituste kasutamist kooskõlas 2018. aasta andmekaitseseaduses sätestatud nõuetega (54). Andmete töötlemise teostamise otsuse puhul tuleb lisaks arvesse võtta kohaldatavate suuniste, näiteks politseiteabe haldamise tegevusjuhendi ja Ühendkuningriigi maadele eriomaste suuniste (55) nõudeid. Valitsus ja operatiivtööga tegelevad politseiorganid on avaldanud mitu suunisdokumenti, mis aitavad tagada, et politseiametnikud kasutavad oma isikuandmete töötlemise alaseid volitusi üldises õiguses või asjakohases statuudis (56) sätestatud piirides.

(32)

Õiguse üks osadest on kuninglikud eesõigused, millest tulenevad monarhile teatavad volitused, mida rakendab täidesaatev võim ja mis ei põhine statuudil, vaid tulenevad monarhi suveräänsusest (57). Õiguskaitse kontekstis on väga vähe näiteid asjakohastest eesõiguslikest volitustest. Nende hulka kuulub vastastikuse õigusabi raamistik, mis võimaldab ministril jagada õiguskaitse eesmärkidel andmeid kolmandate riikidega ja sellisel viisil andmete jagamise volitus ei ole alati sätestatud statuudis (58). Kuninglikele eesõigustele kehtivad üldise õiguse põhimõtted (59) ja need on allutatud statuudile, mistõttu kohaldatakse eesõiguste suhtes 1998. aasta inimõiguste seaduse ja 2018. aasta andmekaitseseadusega ette nähtud piiranguid (60).

(33)

Sarnaselt direktiivi (EL) 2016/680 artikliga 8 näeb Ühendkuningriigi kord ette, et seaduslikkuse põhimõtte järgimiseks peaksid pädevad asutused tagama, et kui isikuandmete töötlemine põhineb õigusel, peab see ühtlasi olema õiguskaitse eesmärgi kohase ülesande täitmiseks vajalik. Teabevoliniku büroo selgitab seda järgmiselt: „see peab olema sihipärane ja proportsionaalne viis eesmärgi täitmiseks. Isikuandmete töötlemine ei põhine õigusel, kui eesmärki saab mõistlikult täita muul vähem sekkuval viisil. Ei piisa väitest, et töötlemine on vajalik, sest olete otsustanud oma tegevust konkreetsel viisil ellu viia. Küsimus on selles, kas töötlemine on vajalik sedastatud eesmärgi täitmiseks“ (61).

(34)

Nagu mainitakse põhjenduses 28, on 2018. aasta andmekaitseseaduse paragrahvi 35 lõikes 2 ette nähtud võimalus töödelda isikuandmeid isiku nõusoleku alusel.

(35)

Nõusolek ei näi aga olevat käesoleva otsuse kohaldamisalasse kuuluvate töötlemistoimingute puhul asjakohane õiguslik alus. Käesoleva otsusega hõlmatud töötlemistoimingud on nimelt alati seotud andmetega, mille liikmesriigi pädev asutus on edasi saatnud Ühendkuningriigi pädevale asutusele direktiivi (EL) 2016/680 alusel. Seetõttu ei hõlma need tavaliselt avaliku sektori asutuse ja andmesubjektide vahelist otsest suhtlust (kogumine), mis võiks põhineda 2018. aasta andmekaitseseaduse paragrahvi 35 lõike 2 punkti a kohasel nõusolekul.

(36)

Kuigi seega ei peeta käesoleva otsuse kohase hindamise jaoks nõusolekut asjakohaseks, tuleb täielikkuse huvides märkida, et õiguskaitse kontekstis ei põhine isikuandmete töötlemine kunagi vaid nõusolekul, sest pädeval asutusel peab alati olema volitus, mis võimaldab tal andmeid töödelda (62). Konkreetsemalt tähendab see, et samamoodi, nagu on lubatud direktiivi (EL) 2016/680 (63) kohaselt, on nõusoleku vajalikkus lisatingimus, mis võimaldab teatavaid piiratud ja spetsiifilisi töötlemistoiminguid, mida ei saaks muul juhul teha, näiteks sellise isiku DNA-proovi kogumine ja töötlemine, kes ei ole kahtlusalune. Kui sellisel juhul nõusolekut ei anta või see võetakse tagasi, siis töötlemist ei toimu (64).

(37)

Isiku nõusolekut eeldavatel juhtudel peab selline nõusolek olema ühemõtteline ja selgesti väljendatud (65). Politsei peab esitama isikuandmete kaitse teate, sealhulgas vajaliku teabe nõusoleku korrektse kasutamise kohta. Mõned jaoskonnad avaldavad ka lisateavet selle kohta, kuidas nad järgivad andmekaitsealaseid õigusakte, sealhulgas kuidas ja millal nad kasutaksid nõusolekut õigusliku alusena (66).

(38)

Eriliiki andmete töötlemisel tuleks kohaldada konkreetseid kaitsemeetmeid. Sarnaselt direktiivi (EL) 2016/680 artikliga 10 ette nähtuga on 2018. aasta andmekaitseseaduse 3. osas sätestatud tundliku töötlemise jaoks rangemad kaitsemeetmed (67).

(39)

1998. aasta andmekaitseseaduse paragrahvi 35 lõike 3 kohaselt võivad pädevad asutused töödelda tundlikke andmeid õiguskaitse eesmärkidel üksnes kahel juhul: 1) andmesubjekt on andnud õiguskaitse eesmärgil andmete töötlemiseks nõusoleku ja töötlemise ajal on vastutaval töötlejal kehtiv nõuetekohane dokument tegevuspõhimõtete kohta (68) või 2) andmete töötlemine on rangelt vajalik õiguskaitse eesmärgil, töötlemine vastab vähemalt ühele 2018. aasta andmekaitseseaduse 8. lisa tingimusele ja töötlemise ajal on vastutaval töötlejal kehtiv nõuetekohane dokument tegevuspõhimõtete kohta (69).

(40)

Esimesel juhul ei peeta nõusolekule tuginemist käesolevas otsuses käsitletava isikuandmete edastamise puhul asjakohaseks, nagu on selgitatud ka põhjenduses 38 (70).

(41)

Kui tundlike andmete töötlemine ei põhine nõusolekul, võib selle alusena kasutada üht 2018. aasta andmekaitseseaduse 8. lisas loetletud tingimustest. Need tingimused on seotud seadusjärgsetel eesmärkidel vajaliku töötlemisega; õigusemõistmisega; andmesubjekti või teise isiku eluliste huvide kaitsmisega; laste ja ohus olevate isikute kaitsega; õiguslike nõuetega; kohtute tegevusega; pettuste ennetamisega; arhiveerimisega; juhtudega, kui andmesubjekt on isikuandmed ilmselgelt avalikustanud. Kõigi 8. lisas esitatud tingimuste vajalikkust kontrollitakse rangelt, välja arvatud juhul, kui andmed on ilmselgelt avalikustatud. Teabevoliniku selgituse kohaselt „rangelt vajalik tähendab selles kontekstis, et töötlemine peab olema seotud tungiva sotsiaalse vajadusega ja seda ei ole võimalik mõistlikult saavutada vähem sekkuvate meetoditega“ (71). Teatavate tingimuste suhtes kohaldatakse lisapiiranguid. Näiteks seadusjärgsete eesmärkide tingimusele ja kaitse tingimusele (8. lisa punktid 1 ja 4) tuginemiseks peab olema lisaks täidetud märkimisväärse avaliku huvi kriteerium. Seoses laste turvalisuse tagamise tingimustega (8. lisa punkt 4) peab andmesubjekt olema teatavas vanuses ja olema ohus. Vastutav töötleja võib kohaldada 8. lisa punktis 4 sätestatud tingimust vaid konkreetsetel asjaoludel (72). Samuti kehtivad piirangud kohtute tegevuse ja pettuste ennetamise tingimuste puhul (vastavalt 8. lisa punktid 7 ja 8). Mõlemad on kohaldatavad vaid kindlatele vastutavatele töötlejatele. Kohtute tegevuse tingimust võivad kasutada ainult kohtud või muud õigusasutused ja pettuste ennetamise tingimusele võivad tugineda vaid vastutavad töötlejad, kes on pettusevastased organisatsioonid.

(42)

Kui töötlemine tugineb ühele 8. lisas loetletud tingimustest ja vastavalt 2018. aasta andmekaitseseaduse paragrahvile 42 peab olema kehtiv nõuetekohane tegevuspõhimõtteid käsitlev dokument, milles selgitatakse vastutava töötleja menetlusi andmekaitsepõhimõtete järgimise tagamiseks ning vastutava töötleja põhimõtteid seoses isikuandmete säilitamise ja kustutamisega, ning kohaldatakse järjepideva dokumenteerimise kohustust.

(43)

Isikuandmeid tuleks töödelda konkreetsel eesmärgil ja kasutada seejärel üksnes määral, mil see on kooskõlas töötlemise eesmärgiga. See andmekaitsepõhimõte on tagatud 2018. aasta andmekaitseseaduse paragrahviga 36. Sarnaselt direktiivi (EL) 2016/680 artikli 4 lõike 1 punktiga b nõutakse selles artiklis, et a) õiguskaitse eesmärk, milleks isikuandmeid kogutakse, peab olema täpselt ja selgelt kindlaks määratud ja õiguspärane ning b) nii kogutud isikuandmeid ei tohi töödelda viisil, mis on kogumise eesmärgiga vastuolus.

(44)

Kui pädevad asutused töötlevad andmeid õiguskaitse eesmärgil, võib see hõlmata arhiveerimist, teadus- või ajaloouuringuid ja statistilisi eesmärke (73). 2018. aasta andmekaitseseaduses täpsustatakse ka, et sellistel juhtudel ei ole arhiveerimine (või töötlemine teadus- või ajaloouuringute ja statistilistel eesmärkidel) lubatud, kui arhiveerida soovitakse otsuseid, mis on tehtud kindla andmesubjekti kohta, või on tõenäoline, et see põhjustab talle märkimisväärset kahju või märkimisväärseid kannatusi (74).

(45)

Andmed peavad olema õiged ja vajaduse korral ajakohastatud. Need peavad olema ka piisavad, asjakohased ja mitte ülemäärased seoses eesmärkidega, mille tarvis neid töödeldakse. Need põhimõtted on sarnaselt direktiivi (EL) 2016/680 artikli 4 lõike 1 punktidega c, d ja e tagatud 2018. aasta andmekaitseseaduse paragrahvidega 37 ja 38. Tuleb võtta kõik mõistlikud meetmed, millega tagatakse, et ebaõiged isikuandmed (75) kustutatakse või neid parandatakse viivitamata, (76) võttes arvesse õiguskaitse eesmärki, mille tarvis neid töödeldakse, (77) ning et ebaõigeid, mittetäielikke või aegunud isikuandmeid ei edastata ega tehta kättesaadavaks ühelgi õiguskaitse eesmärgil (78).

(46)

Sarnaselt direktiivi (EL) 2016/680 artikliga 7 näeb Ühendkuningriigi andmekaitsekord ette, et faktidel põhinevaid isikuandmeid tuleb eristada nii palju kui võimalik isiklikel hinnangutel põhinevatest isikuandmetest (79). Kui see on asjakohane ja võimalik, tuleb selgesti eristada isikuandmeid, mis on seotud eri andmesubjektide kategooriatega, nagu kahtlusalused, süüteos süüdimõistetud, süütegude ohvrid ja tunnistajad (80).

(47)

Direktiivi (EL) 2016/680 artikli 5 kohaselt ei tohiks andmeid põhimõtteliselt säilitada kauem, kui see on vajalik isikuandmete töötlemise eesmärkide täitmiseks. 2018. aasta andmekaitseseaduse paragrahvi 39 kohaselt ja sarnaselt selle direktiivi artikliga 5 on keelatud säilitada õiguskaitse eesmärgil töödeldud isikuandmeid kauem, kui see on vajalik seoses andmete töötlemise eesmärgiga. Ühendkuningriigi õiguskord näeb ette, et tuleb kehtestada nõuetekohased ajavahemikud, mille jooksul tuleb läbi vaadata, kas isikuandmete jätkuv säilitamine õiguskaitse eesmärkidel on vajalik. Täiendavad eeskirjad isikuandmete säilitamisega seotud tavade ja kohalduvate ajapiirangute kohta on sätestatud asjakohastes õigusaktides ja suunistes, millega reguleeritakse politsei volitusi ja tegevust. Näiteks Inglismaal ja Walesis moodustavad politseikolledži politseiteabe haldamise tegevusjuhend ja kinnitatud kutsetavad politseiteabe haldamise kohta raamistiku, mis aitab tagada politsei operatiivteabe haldamises järjepidevat riskipõhist säilitamis-, läbivaatamis- ja kõrvaldamisprotsessi (81). Raamistikuga seatakse kogu teenistustele selged ootused selle kohta, kuidas teavet tuleks luua, jagada, kasutada ja hallata politseiasutustes ja nende vahel ning teiste asutustega (82). Politseilt eeldatakse tegevusjuhendi järgimist, mida kontrollib Tema Majesteedi politseiteenistuse ning tuletõrje- ja päästeteenistuse inspektoraat (Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services, HMICFRS) (83).

(48)

Seadus ei nõua politseiteabe haldamise tegevusjuhendi järgimist Põhja-Iirimaa politseiteenistuselt. 2011. aastal vastu võetud politseiteabe haldamise raamistikku täiendab aga Põhja-Iirimaa politseiteenistuse käsiraamat, (84) milles on sätestatud põhimõtted ja kord politseiteabe haldamise tegevusjuhendi kohaldamise kohta Põhja-Iirimaal.

(49)

Šotimaal tuginevad politseijõud andmete säilitamise standardsele töökorrale (SOP), (85) mis täiendab Šotimaa politseiteenistuse andmehalduse põhimõtteid (86). Standardses töökorras on sätestatud konkreetsed eeskirjad Šotimaa politsei valduses olevate andmete säilitamise kohta.

(50)

Kogu Ühendkuningriigis kohaldatavat andmete läbivaatamise üldnõuet täiendavad üksikasjad on esitatud kohalikes eeskirjades. Näiteks Inglismaal ja Walesis on 2012. aasta vabaduste kaitse seadusega muudetud politsei- ja kriminaaltõendite seaduses ette nähtud sõrmejälgede ja DNA-profiilide säilitamine ning erikord seoses süüdimõistmata isikutega (87). Vabaduste kaitse seadusega loodi ka biomeetriliste andmete säilitamise ja kasutamise voliniku ametikoht (edaspidi „biomeetriavolinik“) (88). Vahistamisfotode 2017. aasta läbivaatamist käsitlevas dokumendis (89) on sätestatud vahistamisfotodega seotud erieeskirjad. Šotimaal on sõrmejälgede ja bioloogiliste proovide võtmise ja säilitamise eeskirjad sätestatud 1995. aasta kriminaalmenetluse seaduses (90). Nagu Inglismaal ja Walesiski reguleeritakse õigusaktiga biomeetriliste andmete säilitamist erinevatel juhtudel (91).

(51)

Isikuandmeid tuleb töödelda viisil, mis tagab nende turvalisuse, sealhulgas kaitse loata või ebaseadusliku töötlemise ning juhusliku kaotsimineku, hävimise või kahju eest. Sellel eesmärgil peavad avaliku sektori asutused võtma asjakohaseid tehnilisi ja korralduslikke meetmeid, et kaitsta isikuandmeid võimalike ohtude eest. Neid meetmeid tuleb hinnata, võttes arvesse tehnika taset ja seonduvaid kulusid.

(52)

Neid põhimõtteid kajastatakse direktiivi (EL) 2016/680 artikli 4 lõike 1 punktiga f sarnaselt 2018. aasta andmekaitseseaduse paragrahvis 40, mille kohaselt tuleb isikuandmeid töödelda õiguskaitse eesmärkidel viisil, mis tagab isikuandmete asjakohase turvalisuse, ja kasutada tuleb asjakohaseid tehnilisi või korralduslikke meetmeid. See hõlmab andmete kaitset loata või ebaseadusliku töötlemise ning juhusliku kaotsimineku, hävimise või kahju eest (92). 2018. aasta andmekaitseseaduse paragrahvis 66 on täpsustatud, et iga vastutav töötleja ja volitatud töötleja peab rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada isikuandmete töötlemisest tulenevatele riskidele vastaval tasemel turvalisus. Selgitavate märkuste kohaselt peab vastutav töötleja hindama riske ja rakendama sellel hinnangul põhinevaid asjakohaseid turvameetmeid, näiteks krüpteerimine või eri tasemete turvaload andmeid töötlevatele töötajatele (93). Hindamisel tuleb arvesse võtta ka näiteks töödeldavate andmete laadi ja muid asjakohaseid tegureid või asjaolusid, mis võivad mõjutada töötlemise turvalisust.

(53)

Andmeturbe põhimõtete järgimise kord on väga sarnane direktiivi (EL) 2016/680 artiklitega 29–31 kehtestatud korraga. Vastutava töötleja vastutusalasse kuuluvate isikuandmetega seotud rikkumise korral peab vastutav töötleja 2018. aasta andmekaitseseaduse paragrahvi 67 lõike 1 kohaselt eelkõige teavitama teabevolinikku põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast rikkumisest teada saamist (94). Teavitamiskohustust ei kohaldata, kui isikuandmete rikkumine ei ohusta tõenäoliselt isikute õigusi ega vabadusi (95). Vastutav töötleja peab dokumenteerima isikuandmete rikkumise asjaolud, rikkumise mõju ja võetud parandusmeetmed viisil, mis võimaldab teabevolinikul kontrollida andmekaitseseaduse järgimist (96). Kui volitatud töötleja saab teadlikuks turvarikkumisest, peab ta põhjendamatu viivituseta teavitama vastutavat töötlejat (97).

(54)

2018. aasta andmekaitseseaduse paragrahvi 68 lõikes 1 on sedastatud, et kui isikuandmetega seotud rikkumine põhjustab tõenäoliselt suurt ohtu isikute õigustele ja vabadustele, peab vastutav töötleja rikkumisest põhjendamatu viivituseta teavitama andmesubjekti (98). Teade peab sisaldama sama teavet nagu põhjenduses 53 kirjeldatud teavitus teabevolinikule. Kohustust ei kohaldata, kui vastutav töötleja on rakendanud asjakohaseid tehnilisi ja korralduslikke kaitsemeetmeid, mida kohaldati rikkumisest mõjutatud isikuandmetele. Seda ei kohaldata ka siis, kui vastutav töötleja on võtnud järelmeetmeid, mis tagavad, et andmesubjektide õigustele ja vabadustele ei ole enam tõenäoliselt suurt ohtu. Vastutav töötleja ei pea teavitama andmesubjekti, kui see eeldaks põhjendamatult suurt jõupingutust (99). Sellisel juhul tuleb teha teave andmesubjektile kättesaadavaks muul sama tõhusal viisil, näiteks avaliku teavitusvahendi kaudu (100). Kui vastutav töötleja ei ole andmesubjekti rikkumisest teavitanud, võib teabevolinik, keda on teavitatud andmekaitseseaduse paragrahvi 67 alusel ja kes on kaalunud rikkumise põhjustatava suure ohu tõenäosust, nõuda et vastutav töötleja teavitaks andmesubjekti rikkumisest (101).

(55)

Andmesubjekte tuleb teavitada nende isikuandmete töötlemise põhitunnustest. Seda andmekaitsepõhimõtet kajastatakse 2018. aasta andmekaitseseaduse paragrahvis 44, milles on sarnaselt direktiivi (EL) 2016/680 artiklile 13 ette nähtud, et vastutaval töötlejal on üldine kohustus teha andmesubjektidele kättesaadavaks teave nende isikuandmete töötlemise kohta (tehes teabe üldsusele kättesaadavaks või muul viisil) (102). Teave, mis tuleb teha kättesaadavaks, on a) vastutava töötleja nimi ja kontaktandmed; b) kui kohaldatav, siis andmekaitseametniku kontaktandmed; c) vastutava töötleja eesmärgid isikuandmete töötlemisel; d) andmesubjektide õigused taotleda vastutavalt töötlejalt isikuandmetega tutvumist, isikuandmete parandamist ja isikuandmete kustutamist või nende töötlemise piiramist ning e) õigus esitada kaebus teabevolinikule ja voliniku kontaktandmed (103).

(56)

Lisaks peab vastutav töötleja erijuhtudel (nt kui töödeldavad isikuandmed koguti andmesubjekti teadmata) andma 2018. aasta andmekaitseseadusest tulenevate andmesubjekti õiguste teostamise võimaldamiseks andmesubjektile a) teavet töötlemise õigusliku aluse kohta; b) teavet isikuandmete säilitamise tähtaja kohta või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumite kohta; c) asjakohasel juhul teavet isikuandmete vastuvõtjate kategooriate kohta (sealhulgas kolmandates riikides või rahvusvahelistes organisatsioonides); d) sellist lisateavet, mis on vajalik, et võimaldada andmesubjektil teostada 2018. aasta andmekaitseseaduse 3. osast tulenevaid õigusi (104).

(57)

Andmesubjektidele tuleb anda kohtulikult kaitstavad õigused. 2018. aasta andmekaitseseaduse 3. osa 3. peatükis on üksikisikutele ette nähtud õigus tutvuda andmetega, andmete parandamise õigus, andmete kustutamise õigus ning andmete töötlemise piiramise õigus, (105) mis on võrreldavad direktiivi (EL) 2016/680 III peatükis ette nähtud õigustega.

(58)

Õigus tutvuda andmetega on sätestatud 2018. aasta andmekaitseseaduse paragrahvis 45. Esiteks on üksikisikul õigus saada vastutavalt töötlejalt kinnitus selle kohta, kas tema isikuandmeid töödeldakse või mitte (106). Kui isikuandmeid töödeldakse, siis teiseks on andmesubjektil õigus nende andmetega tutvuda ja saada töötlemise kohta järgmist teavet: a) töötlemise eesmärgid ja õiguslikud alused; b) asjakohaste andmete liigid; c) vastuvõtja, kellele andmeid on avalikustatud; d) isikuandmete säilitamise tähtaeg; e) andmesubjekti õigus isikuandmete parandamisele ja kustutamisele; f) õigus esitada kaebus ning g) asjakohaste isikuandmete päritolu (107).

(59)

2018. aasta andmekaitseseaduse paragrahvi 46 kohaselt on andmesubjektil õigus nõuda, et vastutav töötleja parandaks temaga seotud ebaõigeid isikuandmeid. Vastutav töötleja peab andmeid parandama (või täiendama ebatäielikke ja seega ebaõigeid andmeid) põhjendamatu viivituseta. Kui isikuandmeid tuleb säilitada tõendamise eesmärgil, peab vastutav töötleja piirama nende töötlemist (mitte isikuandmeid parandama) (108).

(60)

2018. aasta andmekaitseseaduse paragrahvis 47 on üksikisikutele ette nähtud andmete kustutamise õigus ja õigus piirata andmete töötlemist. Vastutav töötleja peab (109) kustutama isikuandmed põhjendamatu viivituseta, kui isikuandmete töötlemine oleks vastuolus andmekaitsepõhimõtetega, andmete töötlemise õiguslike alustega või arhiveerimise ja tundlike andmete töötlemisega seotud kaitsemeetmetega. Vastutav töötleja peab andmed kustutama ka juhul, kui tal on juriidiline kohustus seda teha. Kui isikuandmeid tuleb säilitada tõendamise eesmärgil, peab vastutav töötleja piirama nende töötlemist (mitte isikuandmeid kustutama) (110). Vastutav töötleja peab piirama isikuandmete töötlemist, kui andmesubjekt vaidlustab isikuandmete õigsuse, kuid ei ole võimalik kindlaks teha, kas andmed on õiged või mitte (111).

(61)

Kui andmesubjekt taotleb isikuandmete parandamist või kustutamist või nende töötlemise piiramist, peab vastutav töötleja teavitama andmesubjekti kirjalikult sellest, kas taotlus on rahuldatud. Kui taotluse rahuldamisest on keeldutud, peab vastutav töötleja teavitama andmesubjekti keeldumise põhjustest ja õiguskaitsevõimalustest (andmesubjekti õigus taotleda teabevolinikult piirangu kohaldamise seaduslikkuse uurimist, õigus esitada teabevolinikule kaebus ja õigus taotleda kohtult täitmiskorraldust) (112).

(62)

Kui vastutav töötleja parandab teiselt pädevalt asutuselt saadud isikuandmeid, peab ta teist asutust teavitama (113). Kui vastutav töötleja parandab või kustutab vastutava töötleja avaldatud isikuandmeid või piirab nende töötlemist, peab vastutav töötleja teavitama andmete vastuvõtjaid ning vastuvõtjad peavad samuti isikuandmeid parandama või kustutama või piirama nende töötlemist (sedavõrd kui nad nende eest vastutavad) (114).

(63)

Andmesubjektil on ka õigus saada vastutavalt töötlejalt põhjendamatu viivituseta teada isikuandmetega seotud rikkumisest, kui see toob tõenäoliselt kaasa suure ohu isikute õigustele ja vabadustele (115).

(64)

Seoses kõigi nende andmesubjekti õigustega ja sarnaselt direktiivi (EL) 2016/680 artiklis 12 ette nähtuga on vastutaval töötlejal kohustus tagada, et andmesubjektile antav teave esitatakse täpses, arusaadavas ja kergesti kättesaadavas vormis (116) ning võimaluse korral tuleks see esitada taotlusega samas vormis (117). Vastutav töötleja peab rahuldama andmesubjekti taotluse põhjendamatu viivituseta või igal juhul põhimõtteliselt enne ühe kuu möödumist taotluse esitamisest (118). Kui vastutaval töötlejal on mõistlik alus kahelda isiku isikusamasuses, võib ta nõuda lisateavet ja oodata taotluse rahuldamisega kuni isikusamasuse kinnitamiseni. Kui vastutav töötleja peab taotlust ilmselgelt põhjendamatuks, võib ta küsida mõistlikku tasu või keelduda tegutsemast (119). Teabevoliniku büroo on esitanud suunised selle kohta, millal peetakse taotlust ilmselgelt põhjendamatuks või ülemääraseks ja millal võib küsida tasu (120).

(65)

2018. aasta andmekaitseseaduse paragrahvi 53 lõike 4 alusel võib minister kehtestada määruses tasu maksimaalse summa.

(66)

Teatud tingimustel võib pädev asutus piirata andmesubjekti teatavaid õigusi: õigus tutvuda isikuandmetega, (121) õigus olla teavitatud, (122) õigus saada teada isikuandmetega seotud rikkumistest (123) ja õigus olla teavitatud andmete parandamise või kustutamise taotluse rahuldamisest keeldumise põhjusest (124). Sarnaselt direktiivi (EL) 2016/680 III peatükis esitatud korraga võib pädev asutus kohaldada piirangut vaid siis, kui see on andmesubjekti põhiõigusi ja õigustatud huve arvestades vajalik ja proportsionaalne a) ametliku või õigusliku päringu, uurimise või menetluse takistamise vältimiseks; b) süütegude tõkestamise, avastamise, uurimise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks; c) avaliku julgeoleku kaitseks; d) riigi julgeoleku kaitseks; e) teiste isikute õiguste ja vabaduste kaitseks.

(67)

Teabevoliniku büroo on esitanud nende piirangute kohaldamise suunised. Nende suuniste kohaselt peavad vastutavad töötlejad analüüsima iga juhtumit, et leida õige tasakaal üksikisiku õiguste ja avalikustamisest tuleneva kahju vahel. Eelkõige peavad nad põhjendama kohaldatud piirangu vajalikkust ja proportsionaalsust ning võivad piirata andmete esitamist vaid siis, kui nende esitamine seaks ohtu eespool nimetatud eesmärgid (125).

(68)

Ka mitmes muus pädevate asutuste avaldatud suunises antakse üksikasjalikku teavet andmekaitsealaste õigusaktide kõigi aspektide kohta, sealhulgas andmesubjektide õiguste piirangute kohta (126). Näiteks seoses paragrahvi 45 lõikega 4 märgitakse riikliku kõrgemate politseiametnike nõukogu andmekaitse käsiraamatus järgmist: „Tuleb meeles pidada, et piiranguid tohib kohaldada vaid vajalikul määral ja vajaliku aja jooksul. Järelikult ei ole lubatud kohaldada piirangut üldiselt kõigile taotleja isikuandmetele ega kohaldada piirangut püsivalt. Viimase küsimuse puhul on sageli nii, et uurimises kahtlusaluseks oleva andmesubjekti teadmata kogutud isikuandmeid tuleb alguses kaitsta andmesubjektile avaldamise eest, et vältida uurimise kahjustamist uurimise ajal, kuid hiljem isikule küsitluse käigus isikuandmete avaldamine ei oleks kahjulik. Politseijõud peavad võtma kasutusele protsessid, mis tagavad, et neid piiranguid kohaldatakse ainult vajalikus ulatuses ja vajaliku aja jooksul“ (127). Nendes suunistes esitatakse ka näiteid selle kohta, millal iga piirangut tõenäoliselt kasutatakse (128).

(69)

Seoses võimalusega piirata eespool nimetatud õigusi „riigi julgeoleku kaitseks“, võib vastutav töötleja taotleda sertifikaati, mille allkirjastab kabinetiminister või peaprokurör (Attorney General) (või valitsuse nõunik Šotimaa õiguse alal ) ja mis kinnitab, et selliste õiguste piiramine on vajalik ja proportsionaalne meede riigi julgeoleku kaitsmiseks (129). Ühendkuningriigi valitsus on esitanud 2018. aasta andmekaitseseaduse alusel suunised riigi julgeoleku sertifikaatide kohta, milles eelkõige toonitatakse, et andmesubjektide õiguste piiramine riigi julgeoleku kaitsmise nimel peab olema proportsionaalne ja vajalik (130) (lisateave riigi julgeoleku sertifikaatide kohta on esitatud põhjendustes 131–134).

(70)

Kui andmesubjekti õigust piiratakse, peab pädev asutus teavitama andmesubjekti põhjendamatu viivituseta sellest, et tema õigusi on piiratud, piiramise põhjustest ja õiguskaitse võimalustest, välja arvatud juhul, kui selle teabe esitamine oleks vastuolus piirangu kohaldamise põhjusega (131). Piirangute kuritarvitamise vastase täiendava kaitsemeetmena peab vastutav töötleja dokumenteerima teabe piiramise põhjused ja tegema need teabevolinikule tema nõudmisel kättesaadavaks (132).

(71)

Kui vastutav töötleja keeldub andmast täiendavat läbipaistvusalast teavet või võimalust andmetega tutvuda või rahuldamast andmete parandamise või kustutamise või töötlemise piiramise taotlust, võib isik taotleda, et teabevolinik uuriks, kas vastutav töötleja on kasutanud piirangut seaduslikult (133). Asjaomane isik võib ka esitada kaebuse teabevolinikule või paluda kohtul nõuda vastutavalt töötlejalt taotluse rahuldamist (134).

(72)

2018. aasta andmekaitseseaduse paragrahvid 49 ja 50 hõlmavad vastavalt automatiseeritud töötlusel põhinevate otsuste tegemisega seotud õigusi ja kohaldatavaid kaitsemeetmeid (135). Sarnaselt direktiivi (EL) 2016/680 artikliga 11 võib vastutav töötleja teha ainult isikuandmete automatiseeritud töötlusel põhineva kaaluka otsuse vaid juhul, kui seda nõuab või lubab seadus (136). Otsus on kaalukas, kui see tekitaks andmesubjektiga seoses kahjuliku õigusliku mõju või kahjustaks andmesubjekti märkimisväärselt (137).

(73)

2018. aasta andmekaitseseaduse paragrahvis 50 on sätestatud kaitsemeetmed, mida kohaldatakse kaaluka otsuse suhtes, kui seadus nõuab või lubab, et vastutav töötleja teeks sellise otsuse (qualifying significant decision). Vastutav töötleja peab nii kiiresti kui mõistlikult võimalik teatama andmesubjektile, et selline otsus on tehtud. Seejärel võib andmesubjekt ühe kuu jooksul taotleda, et vastutav töötleja vaataks otsuse uuesti läbi või teeks uue otsuse, mis ei põhine ainult automatiseeritud töötlemisel. Vastutav töötleja peab taotlust kaaluma ja teavitama andmesubjekti selle kaalumise tulemusest. 2018. aasta andmekaitseseadusega volitatakse ministrit vastu võtma määrust täiendavate kaitsemeetmete kohta (138). Sellist määrust ei ole veel vastu võetud.

(74)

Liikmesriigi õiguskaitseasutustelt Ühendkuningriigi õiguskaitseasutusele edastatavatele isikuandmetele pakutava kaitse taset ei tohi vähendada selliste andmete edasisaatmine kolmanda riigi vastuvõtjale. Sellist edasisaatmist, mis tähendab Ühendkuningriigi õiguskaitseasutuse seisukohast rahvusvahelist edastamist Ühendkuningriigist, tuleks lubada üksnes juhul, kui järgmine saaja väljaspool Ühendkuningriiki järgib ise eeskirju, mis tagavad sarnase kaitse kui see, mis on tagatud Ühendkuningriigi õiguskorraga.

(75)

Ühendkuningriigi andmete rahvusvahelise edastamise korda reguleeritakse 2018. aasta andmekaitseseaduse 3. osa 5. peatükiga (139) ja see sarnaneb direktiivi (EL) 2016/680 V peatükis kasutatud lähenemisviisile. Nimelt peab pädev asutus isikuandmete edastamiseks kolmandale riigile täitma kolm tingimust: a) edastamine peab olema vajalik õiguskaitse eesmärgil; b) edastamine peab põhinema i) kolmandat riiki käsitleval kaitse piisavuse määrusel; ii) kui see ei põhine kaitse piisavuse määrusel, peavad olema võetud asjakohased kaitsemeetmed, või iii) kui see ei põhine kaitse piisavuse otsusel või asjakohastel kaitsemeetmetel, peab see põhinema erilistel asjaoludel ning c) edastatavate andmete saaja peab olema i) kolmanda riigi asjaomane asutus (st pädeva asutusega samaväärne asutus); ii) „asjaomane rahvusvaheline organisatsioon“, näiteks rahvusvaheline organ, mis täidab õiguskaitse eesmärkidele vastavaid ülesandeid, või iii) muu isik kui asjaomane asutus, kuid ainult juhul, kui edastamine on rangelt vajalik õiguskaitse eesmärgi täitmiseks; ükski asjaomase andmesubjekti põhiõigus ega -vabadus ei kaalu üles avalikku huvi, mis teeb edastamise vajalikuks; isikuandmete edastamine kolmandas riigis asuvale asjaomasele asutusele ei oleks tõhus või kohane ning andmete saajat teavitatakse eesmärkidest, mille tarvis andmeid võidakse töödelda (140).

(76)

Minister võtab vastu kaitse piisavuse määruse seoses kolmanda riigiga, kolmanda riigi territooriumi või sektoriga või rahvusvahelise organisatsiooniga või sellise riigi, territooriumi, sektori või organisatsiooni kirjelduse (141). Täidetavate nõuetega seoses peab minister hindama, kas selline territoorium/sektor/organisatsioon tagab isikuandmete kaitse piisava taseme. 2018. aasta andmekaitseseaduse paragrahvi 74A lõikes 4 on märgitud, et selleks peab minister kaaluma mitut aspekti, mis sarnanevad direktiivi (EL) 2016/680 artiklis 36 loetletud elementidega (142). Pärast üleminekuperioodi lõppu sai 2018. aasta andmekaitseseaduse 3. osast ELi õigusel põhinev siseriiklik õigusakt, mida, nagu selgitatud, tõlgendavad Ühendkuningriigi kohtud kooskõlas Euroopa Kohtu asjakohase praktikaga, mis pärineb ajast enne Ühendkuningriigi lahkumist liidust, ja kooskõlas liidu õiguse üldiste põhimõtetega, mis kehtisid vahetult enne üleminekuperioodi lõppu. See hõlmab sisulise vastavuse standardit, mida kohaldatakse Ühendkuningriigi ametiasutuste tehtavatele kaitse piisavuse hindamistele.

(77)

Määruse suhtes kohaldatakse 2018. aasta andmekaitseseaduse paragrahvis 182 ette nähtud üldisi menetlusnõudeid. Kui minister kavatseb teha tulevikus Ühendkuningriigi kaitse piisavuse määruse ettepaneku, peab ta selle menetluse raames konsulteerima teabevolinikuga (143). Kui minister on määruse vastu võtnud, esitatakse see parlamendile negatiivse resolutsiooni menetluse (negative resolution procedure) raames, mille alusel võivad mõlemad parlamendikojad määrust kontrollida ja neil on õigus võtta vastu ettepanek määrus 40-päevase ajavahemiku jooksul tühistada (144).

(78)

2018. aasta andmekaitseseaduse paragrahvi 74B lõike 1 kohaselt tuleb kaitse piisavuse määrus läbi vaadata vähemalt iga nelja aasta järel ja minister peab järjepidevalt jälgima suundumusi sellistes kolmandates riikides ja rahvusvahelistes organisatsioonides, mis võivad mõjutada kaitse piisavuse määruse koostamise, muutmise või tühistamise otsuseid. Kui minister saab teada, et mõni riik või organisatsioon ei taga enam isikuandmete kaitse piisavat taset, peab ta määrust vajalikus ulatuses muutma või selle tühistama ja alustama asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsultatsioone piisava kaitsetaseme taastamiseks.

(79)

Sarnaselt direktiivi (EL) 2016/680 artiklis 37 ette nähtuga on kaitse piisavuse määruse puudumise korral isikuandmete edastamine õiguskaitse kontekstis võimalik, kui on võetud asjakohased kaitsemeetmed. Sellised kaitsemeetmed tagatakse kas a) õiguslikult siduva aktiga, mis sisaldab isikuandmete kaitseks võetud asjakohaseid kaitsemeetmeid, või b) hindamisega, mille viib läbi vastutav töötleja, kes pärast kõikide isikuandmete edastamisega seotud asjaolude hindamist järeldab, et võetud on andmete kaitseks asjakohased kaitsemeetmed (145). 2018. aasta andmekaitseseaduses on ette nähtud, et kui isikuandmete edastamine põhineb asjakohastel kaitsemeetmetel, siis lisaks teabevoliniku büroo tavapärasele järelevalvele peavad pädevad asutused esitama teabevoliniku büroole andmete edastamise kohta konkreetse teabe (146).

(80)

Kui andmete edastamine ei põhine kaitse piisavuse otsusel ega asjakohastel kaitsemeetmetel, võib see toimuda ainult teatavatel kindlaksmääratud asjaoludel, millele viidatakse kui erilistele asjaoludele (147). Asjaolud on erilised, kui edastamine on vajalik a) andmesubjekti või teise isiku eluliste huvide kaitsmiseks; b) andmesubjekti õigustatud huvide kaitsmiseks; c) kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu ennetamiseks; d) üksikjuhtumite korral õiguskaitse eesmärkidel või e) üksikjuhtumite korral õiguslikul eesmärgil (näiteks seoses kohtumenetlustega või õigusliku nõu saamiseks) (148). Punkte d ja e ei kohaldata, kui andmesubjekti õigused ja vabadused kaaluvad üles avaliku huvi andmete edastamiseks (149). Need asjaolud vastavad eriolukordadele ja tingimustele, mis on direktiivi (EL) 2016/680 artiklis 38 liigitatud eranditeks.

(81)

Selliste asjaolude esinemise korral tuleb dokumenteerida edastamise kuupäev, kellaaeg ja selgitus, vastuvõtja nimi ja muu asjakohane teave tema kohta ja edastatud isikuandmete kirjeldus ning esitada taotluse korral teabevolinikule (150).

(82)

2018. aasta andmekaitseseaduse paragrahviga 78 reguleeritakse andmete edasisaatmist ehk olukordi, kui Ühendkuningriigilt kolmandale riigile edastatud isikuandmed saadetakse hiljem edasi muule kolmandale riigile või rahvusvahelisele organisatsioonile. Paragrahvi 78 lõike 1 kohaselt peab andmeid edastav Ühendkuningriigi vastutav töötleja kehtestama edastamise tingimusena, et andmeid ei tohi kolmandale riigile edasi saata ilma andmeid edastava vastutava töötleja loata. Lisaks kohaldatakse juhul, kui nõutakse kõnealust luba, paragrahvi 78 lõike 3 kohaselt ja sarnaselt direktiivi (EL) 2016/680 artikli 35 lõike 1 punktis e sätestatuga mitut sisulist nõuet. Kui pädev asutus otsustab, kas edasisaatmist lubada või mitte, peab ta veenduma, et edasisaatmine on vajalik õiguskaitse eesmärgil, ning peaks arvesse võtma muu hulgas järgmisi tegureid: a) loataotluse aluseks olnud asjaolude raskus; b) isikuandmete algse edastamise eesmärk ja c) isikuandmete kaitse standardid, mida kohaldatakse selles kolmandas riigis või rahvusvahelises organisatsioonis, kuhu isikuandmed edasi saadetakse.

(83)

Kui Ühendkuningriigist edasisaadetavad andmed saadeti algselt Euroopa Liidust, kohaldatakse täiendavaid kaitsemeetmeid.

(84)

Sarnaselt direktiivi (EL) 2016/680 artikli 35 lõike 1 punktiga c on 2018. aasta andmekaitseseaduse paragrahvi 73 lõike 1 punktis b ette nähtud, et kui liikmesriik edastas vastutavale töötlejale või muule pädevale asutusele isikuandmed või tegi need talle muul viisil kättesaadavaks, siis see liikmesriik või selles liikmesriigis asuv isik, kes on direktiivi (EL) 2016/680 eesmärkidel pädev asutus, on andnud loa andmete edastamiseks kooskõlas liikmesriigi õigusega.

(85)

Sarnaselt direktiivi (EL) 2016/680 artikli 35 lõikega 2 ei ole aga selline luba vajalik, kui a) isikuandmete edastamine on vajalik liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu ennetamiseks või liikmesriigi olulise huvi seisukohast ning b) luba ei ole võimalik õigeaegselt saada. Sellisel juhul tuleb viivitamata teavitada selle liikmesriigi asutust, mis oleks pidanud otsustama, kas lubada andmete edastamist (151).

(86)

Sama lähenemisviisi kohaldatakse andmete suhtes, mis on algselt saadetud Euroopa Liidust Ühendkuningriiki ja siis on Ühendkuningriik need omakorda saatnud kolmandasse riiki, kes saadab need seejärel edasi kolmandasse riiki. Sellisel juhul ei tohi Ühendkuningriigi pädev asutus vastavalt paragrahvi 78 lõikele 4 anda viimati nimetatud edastamiseks luba paragrahvi 78 lõike 1 kohaselt, välja arvatud juhul, kui „liikmesriik [kes algselt kõnealused andmed edastas] või selles liikmesriigis asuv isik, kes on õiguskaitsedirektiivi kohaldamisel pädev asutus, on andnud loa andmete edastamiseks kooskõlas liikmesriigi õigusega“. Need kaitsemeetmed on olulised, sest need võimaldavad liikmesriikide ametiasutustel tagada kaitse järjepidevuse kooskõlas ELi andmekaitseõigusega kogu edastamise ajal.

(87)

Seda andmete rahvusvahelise edastamise uut raamistikku kohaldatakse alates üleminekuperioodi lõpust (152). Andmekaitse, eraelu puutumatuse ja elektroonilise side määrusega kehtestatud 21. lisa punktides 10–12 on aga ette nähtud, et pärast üleminekuperioodi lõppu käsitletakse teatavate isikuandmete edastamist nii, nagu see põhineks kaitse piisavuse määrustel. Selline edastamine hõlmab edastamist liikmesriigile, EFTA riigile, kolmandatele riikidele, mille suhtes kohaldatakse üleminekuperioodi lõpus ELi kaitse piisavuse otsust, ja Gibraltari territooriumile. Järelikult võib andmete edastamine nendele riikidele jätkuda nii, nagu see toimus enne Ühendkuningriigi väljaastumist liidust. Pärast üleminekuperioodi lõppu peab minister vaatama need kaitse piisavuse otsused läbi nelja aasta jooksul, s.o 2024. aasta detsembri lõpuks. Kuigi minister peab sellise läbivaatamise lõpule viima 2024. aasta detsembri lõpuks, ei hõlma üleminekusätted Ühendkuningriigi ametiasutuste antud selgituse kohaselt aegumisklausli sätet ja asjakohased üleminekusätted ei muutu automaatselt kehtetuks, kui läbivaatamist 2024. aasta detsembri lõpuks läbi ei viida.

(88)

Vastutuse põhimõtte kohaselt peavad andmeid töötlevad avaliku sektori asutused kehtestama asjakohased tehnilised ja korralduslikud meetmed, et täita tõhusalt oma andmekaitsekohustusi ja suuta nende täitmist tõendada, eriti pädevale järelevalveasutusele.

(89)

Seda põhimõtet kajastatakse 2018. aasta andmekaitseseaduse paragrahvis 56, millega kehtestatakse vastutavale töötlejale üldine aruandekohustus, s.o kohustus rakendada asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada, et isikuandmete töötlemine vastab 2018. aasta andmekaitseseaduse 3. osa nõuetele. Rakendatud meetmed tuleb läbi vaadata ja neid vajaduse korral ajakohastada ning kui see on töötlemisega seoses proportsionaalne, peavad need sisaldama asjakohaseid andmekaitsepõhimõtteid.

(90)

Kooskõlas direktiivi (EL) 2016/680 IV peatükiga on 2018. aasta andmekaitseseaduse paragrahvides 55–71 ette nähtud erinevad mehhanismid, et tagada aruandekohustus ning võimaldada vastutavatel töötlejatel ja volitatud töötlejatel nõuetele vastavust tõendada. Eelkõige nõutakse, et vastutav töötleja rakendaks lõimitud andmekaitse ja vaikimisi andmekaitse meetmeid, et tagada andmekaitsepõhimõtete tõhus rakendamine, dokumenteeriks kõik töötlemistoimingute liigid, mille eest ta vastutab (sealhulgas teave vastutava töötleja identiteedi kohta, andmekaitseametniku kontaktandmed, töötlemise eesmärgid, avalikustatavate andmete saajate kategooriad, kirjeldus andmesubjektide kategooriate kohta ja isikuandmed), ning teeks need dokumendid teabevolinikule taotluse korral kättesaadavaks. Lisaks peavad vastutav töötleja ja volitatud töötleja pidama teatavate töötlemistoimingute kohta logisid ja tegema need teabevolinikule kättesaadavaks (153). Vastutavalt töötlejalt nõutakse ka teabevoliniku ülesannete täitmise käigus volinikuga koostöö tegemist.

(91)

2018. aasta andmekaitseseaduses on sätestatud lisanõuded töötlemisele, mis põhjustab tõenäoliselt suurt ohtu isikute õigustele ja vabadustele. Nende hulka kuulub kohustus viia ellu andmekaitsealased mõjuhindamised ja konsulteerida enne töötlemist teabevolinikuga, kui sellisest hindamisest nähtub, et töötlemise tulemusena tekiks suur oht isikute õigustele ja vabadustele (kui puuduvad ohu leevendamise meetmed).

(92)

Vastutav töötleja peab ka määrama andmekaitseametniku, välja arvatud juhul, kui vastutav töötleja on kohus või muu õigusasutus, mis täidab õigusemõistja funktsiooni (154). Vastutav töötleja peab tagama, et andmekaitseametnik on kaasatud kõikidesse isikuandmete kaitsega seotud küsimustesse, tal on vajalikud vahendid ja juurdepääs isikuandmetele ja nende töötlemise toimingutele ning ta suudab täita oma ülesandeid sõltumatult. Andmekaitseametniku ülesanded on sätestatud 2018. aasta andmekaitseseaduse paragrahvis 71; nende hulka kuulub teavitamine ja nõustamine, nõuete täitmise jälgimine, koostöö teabevolinikuga ning tegutsemine tema kontaktpunktina. Oma ülesannete täitmisel peab andmekaitseametnik võtma arvesse töötlemistoimingutega seotud ohte ning arvestama töötlemise laadi, ulatust, konteksti ja eesmärke.

(93)

Et tagada andmekaitse piisav tase ka praktikas, peab olema loodud sõltumatu järelevalveasutus, millele on antud volitused jälgida andmekaitse-eeskirjadele vastavust ja tagada nende täitmine. See asutus peab tegutsema oma ülesandeid täites ja volitusi kasutades täiesti sõltumatult ja erapooletult.

(94)

Ühendkuningriigis jälgib Ühendkuningriigi isikuandmete kaitse üldmääruse ja 2018. aasta andmekaitseseaduse täitmist ja tagab selle teabevolinik (155). Teabevolinik jälgib ka 2018. aasta andmekaitseseaduse 3. osa kohaldamisalasse kuuluvate isikuandmete töötlemist pädevate asutuste poolt (156). Teabevolinik on ühest füüsilisest isikust koosnev eraldiseisev juriidiline isik (Corporation Sole). Teabevolinikku toetab tema töös büroo. 31. märtsil 2020 oli teabevoliniku büroos 768 alalist töötajat (157). Teabevolinikku toetav ministeerium on digi-, kultuuri-, meedia- ja spordiministeerium (158).

(95)

Voliniku sõltumatus on sõnaselgelt kehtestatud Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 52, milles kajastatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (159) artikli 52 lõigetes 1–3 sätestatud nõudeid. Volinik peab tegutsema talle kooskõlas Ühendkuningriigi isikuandmete kaitse üldmäärusega antud ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult, jääma nende ülesannete ja volitustega seoses vabaks nii otsestest kui ka kaudsetest välistest mõjutustest ning ei tohi küsida ega võtta vastu juhiseid mitte kelleltki. Volinik peab ka hoiduma oma kohustustega kokkusobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul sobimatul tasustatud või tasustamata ametikohal.

(96)

Teabevoliniku ametisse nimetamise ja ametist tagandamise tingimused on sätestatud 2018. aasta andmekaitseseaduse 12. lisas. Teabevoliniku nimetab ametisse kuninganna valitsuse soovitusel ausa ja avatud konkurentsi tingimustel. Kandidaadil peavad olema asjakohane kvalifikatsioon, oskused ja pädevus. Nõuandev hindamiskomisjon koostab sobivate kandidaatide nimekirja kooskõlas avalikesse ametitesse nimetamise koodeksiga (Governance Code on Public Appointments) (160). Enne kui digi-, kultuuri-, meedia- ja spordiminister teeb lõpliku otsuse, peab asjaomane parlamendi erikomisjon läbi viima ametisse nimetamise eelse kontrolli. Erikomisjoni seisukoht avalikustatakse (161).

(97)

Teabevoliniku ametiaeg on kuni seitse aastat. Tema Majesteet võib teabevoliniku ametist tagandada pärast mõlema parlamendikoja sellekohast pöördumist (162). Teabevoliniku ametist tagandamise taotlust ei tohi tuua kummagi parlamendikoja ette, kui minister ei ole esitanud sellele kojale aruannet, milles sedastatakse, et ta on veendunud, et teabevolinik on süüdi raskes teenistuskohustuste rikkumises ja/või volinik ei vasta enam voliniku ülesannete täitmiseks vajalikele tingimustele (163).

(98)

Teabevolinikku rahastatakse kolmest allikast: i) vastutavate töötlejate makstavad andmekaitsetasud, mis on sätestatud ministri määrusega (164) ja moodustavad 85–90 % büroo aastaeelarvest; (165) ii) teabevolinikule makstav valitsuse võimalik toetus, mida kasutatakse peamiselt teabevoliniku muude kui andmekaitsega seotud tegevuskulude rahastamiseks; (166) iii) teenuste eest võetavad tasud (167). Praegu selliseid tasusid ei võeta.

(99)

Teabevoliniku üldised ülesanded 2018. aasta andmekaitseseaduse 3. osa kohaldamisalasse kuuluvate isikuandmete töötlemisel on sätestatud 2018. aasta andmekaitseseaduse 13. lisas. Ülesannete hulka kuuluvad 2018. aasta andmekaitseseaduse 3. osa täitmise seire ja tagamine, üldsuse teadlikkuse suurendamine, parlamendi, valitsuse ja teiste institutsioonide nõustamine seadusandlike ja haldusmeetmete valdkonnas, vastutavate töötlejate ja volitatud töötlejate teadlikkuse suurendamine nende kohustuste valdkonnas, andmesubjektidele teabe jagamine nende õiguste teostamise kohta ning uurimiste läbiviimine. Selleks et säiliks kohtusüsteemi sõltumatus, ei ole teabevolinikul lubatud rakendada oma volitusi isikuandmeid töötleva isiku või kohtu suhtes, kes täidab õigusemõistja funktsiooni. Kohtusüsteemi järelevalve tagavad eriorganid, seda käsitletakse allpool.

(100)

Volinikul on üldised uurimis-, parandus-, loa- ja nõustamisvolitused nende isikuandmete töötlemisel, mille suhtes kohaldatakse 2018. aasta andmekaitseseaduse 3. osa. Volinikul on pädevus teavitada vastutavat töötlejat või volitatud töötlejat 3. osa väidetavast rikkumisest, esitada vastutavale töötlejale või volitatud töötlejale hoiatusi, et kavandatud töötlemistoimingud on tõenäoliselt vastuolus 3. osa normidega, ning esitada vastutavale töötlejale või volitatud töötlejale noomitusi, kui töötlemistoimingutega on rikutud 3. osa norme. Volinik võib omal algatusel või taotluse korral esitada isikuandmete kaitsega seotud teemadel arvamusi Ühendkuningriigi parlamendile, valitsusele või teistele institutsioonidele ja organitele, samuti üldsusele (168).

(101)

Volinikul on ka järgmised volitused:

(102)

Teabevoliniku büroo reguleerimispõhimõtetes (Regulatory Action Policy) on sätestatud asjaolud, mille korral volinik esitab vastavalt teavitusi ning hindamis-, sundtäitmise ja trahviteateid (173). Täitmisteates võib esitada nõuded, mille täitmist volinik peab asjakohaseks, et kõrvaldada puudus. Karistusteate korral peab isik maksma teabevolinikule teates määratud summa. Karistusteate võib esitada, kui 2018. aasta andmekaitseseaduse teatavad nõuded on täitmata, (174) või esitada vastutavale töötlejale või volitatud töötlejale, kes ei ole järginud teabenõuet, hindamisteadet või täitmisteadet.

(103)

Kui teabevolinik otsustab, kas esitada vastutavale töötlejale või volitatud töötlejale trahviteade, ja kui ta määrab karistussummat, peab ta konkreetsemalt võtma arvesse 2018. aasta andmekaitseseaduse paragrahvi 155 lõikes 3 loetletud küsimusi, sealhulgas rikkumise laad ja raskus, kas rikkumine pandi toime tahtlikult või hooletusest, vastutava töötleja või volitatud töötleja võetud meetmed andmesubjektide kantava kahju leevendamiseks, vastutava töötleja või volitatud töötleja vastutuse aste (võttes arvesse vastutava töötleja või volitatud töötleja võetud tehnilisi ja korralduslikke meetmeid), vastutava töötleja või volitatud töötleja eelnevad asjakohased rikkumised, rikkumisest mõjutatud isikuandmete liigid ning kas karistus on tõhus, proportsionaalne ja heidutav.

(104)

Karistusteatega kehtestatav maksimaalne võimalik karistussumma on a) 17 500 000 naelsterlingit juhul, kui on rikutud andmekaitsepõhimõtteid (2018. aasta andmekaitseseaduse paragrahvid 35, 36, 37, paragrahvi 38 lõige 1, paragrahvi 39 lõige 1 ja paragrahv 40), läbipaistvuskohustusi ja üksikisiku õigusi (2018. aasta andmekaitseseaduse paragrahvid 44, 45, 46, 47, 48, 49, 52 ja 53) ja isikuandmete rahvusvahelise edastamise põhimõtteid (2018. aasta andmekaitseseaduse paragrahvid 73, 75, 76, 77 ja 78) ning b) 8 700 000 naelsterlingit muul juhul (175). Kui ei järgita teabenõuet, hindamisteadet või täitmisteadet, võib trahviteatega kehtestada kuni 17 500 000 naelsterlingi suuruse karistussumma.

(105)

Oma viimaste aastaaruannete (2018–2019, (176) 2019–2020) (177) kohaselt on teabevolinik viinud läbi mitu uurimist seoses isikuandmete töötlemisega kriminaalõiguskaitseasutuste poolt. Näiteks 2019. aasta oktoobris viis volinik läbi uurimise ja avaldas arvamuse õiguskaitse eesmärgil näotuvastustehnoloogia kasutamise kohta avalikes kohtades. Uurimises keskenduti eriti reaalajas näotuvastuse võimekuse kasutamisele Lõuna-Walesi politseis ja Londoni politseiametis (Metropolitan Police Service). Volinik uuris ka metropoli politseiteenistuse nn jõukude maatriksit (178) ja avastas mitu andmekaitseõiguse rasket rikkumist, mis vähendavad tõenäoliselt maatriksi ja andmete kasutamise usaldusväärsust avalikkuse silmis.

(106)

Teabevolinik esitas 2018. aasta novembris täitmisteate ja seejärel võttis metropoli politseiteenistus vajalikud meetmed, et suurendada turvalisust ja vastutust ning tagada andmete proportsionaalne kasutamine.

(107)

Teine näide hiljutisest täitemeetmest on ka 325 000 naelsterlingi suurune trahv, mille volinik tegi 2018. aasta mais prokuratuurile selle eest, et asutusest läksid kaduma krüpteerimata DVD-d politseiküsitluste salvestustega. Teabevolinik on uurinud ka laiemaid küsimusi, näiteks 2020. aasta esimeses pooles uuriti mobiiltelefoni kõneeristuse väljavõtte kasutamist politseitöö eesmärgil ja ohvrite andmete töötlemist politsei poolt.

(108)

Lisaks selliste täidesaatvate volituste kasutamisele võib teabevolinik kehtestada kriminaalsanktsioone teatavate andmekaitseõiguse valdkonna süütegude eest (2018. aasta andmekaitseseaduse paragrahv 196). Sellised süüteod on näiteks need, kui vastutava töötleja nõusolekuta hangitakse või avaldatakse isikuandmeid või vastutava töötleja nõusolekuta tagatakse isikuandmete avalikustamine teisele isikule; (179) isiku tuvastamist mittevõimaldavad isikuandmed muudetakse tuvastamist võimaldavateks andmeteks ilma selle vastutava töötleja nõusolekuta, kes vastutab andmete tuvastamist mittevõimaldavaks muutmise eest; (180) teabevolinikul takistatakse tahtlikult tema volituste kasutamist isikuandmete kontrollimisel rahvusvaheliste kohustuste kohaselt, (181) teabenõudele vastates tehakse vääraid avaldusi või hävitatakse teabenõude ja hindamisteatega seotud teavet (182).

(109)

Teabevolinikul on ka 2018. aasta andmekaitseseaduse paragrahvist 139 tulenev kohustus esitada mõlemale parlamendikojale üldaruanne volinikule andmekaitseseadusest tulenevate funktsioonide täitmise kohta (183).

(110)

Kohtutes ja kohtusüsteemis toimuva isikuandmete töötlemise järelevalvel on kaks osa. Kui kohtunik või kohus ei täida õigusemõistja funktsiooni, teostab järelevalvet teabevolinik. Kui vastutav töötleja täidab õigusemõistja funktsiooni, ei saa teabevoliniku büroo täita järelevalve ülesandeid (184) ja järelevalvet teostavad eriorganid. See sarnaneb direktiivi (EL) 2016/680 artiklis 32 esitatud lähenemisviisiga.

(111)

Teise stsenaariumi korral, mis hõlmab Inglismaa ja Walesi kohtuid ning Inglismaa ja Walesi esimese astme kohtuid ja kõrgemaid kohtuid, teostab järelevalvet kohtusüsteemi andmekaitse komitee (Judicial Data Protection Panel) (185). Lisaks on ülemkohtunik (Lord Chief Justice) ja kohtute vanempresident (Senior President of Tribunals) avaldanud isikuandmete kaitse teate, (186) milles on sätestatud, kuidas Inglismaa ja Walesi kohtud töötlevad isikuandmeid õigusemõistmise eesmärgil. Sarnase teate on avaldanud Põhja-Iirimaa (187) ja Šotimaa kohtusüsteem (188).

(112)

Põhja-Iirimaa ülemkohtunik on Põhja-Iirimaal nimetanud ühe kõrge kohtu kohtuniku andmete järelevalve kohtunikuks (Data Supervisory Judge) (189). Samuti on nad avaldanud Põhja-Iirimaa kohtunikele suunised selle kohta, mida teha andmete kaotsimineku või võimaliku kaotsimineku korral ja kuidas lahendada sellest tulenevaid probleeme (190).

(113)

Šotimaal on lordpresident (Lord President) nimetanud ametisse andmete järelevalve kohtuniku (Data Supervisory Judge), kes uurib andmekaitse kaalutlustel esitatud kaebusi. See on sätestatud kohtunikke käsitlevate kaebuste eeskirjades, mis sarnanevad Inglismaal ja Walesis kehtestatud vastavate eeskirjadega (191).

(114)

Kõrgeimas kohtus teostab andmekaitse järelevalvet üks kõrgeima kohtu kohtunikest.

(115)

Piisava kaitse tagamiseks ja eelkõige üksikisiku õiguste kohtuliku kaitse tagamiseks tuleks andmesubjektile tagada tõhus haldus- ja õiguskaitse, sealhulgas kahju hüvitamine.

(116)

Andmesubjektil on kõigepealt õigus esitada kaebus teabevolinikule, kui andmesubjekt leiab, et seoses tema isikuandmetega on rikutud 2018. aasta andmekaitseseaduse 3. osa (192). Nagu kirjeldatud põhjendustes 100 ja 109, on teabevolinik pädev hindama vastutava töötleja ja volitatud töötleja vastavust 2018. aasta andmekaitseseadusele, nõudma neilt mittevastavuse korral vajalike meetmete võtmist või meetmete võtmata jätmist ning kehtestama trahve.

(117)

Teiseks on 2018. aasta andmekaitseseaduses ette nähtud õigus õiguskaitsevahendile teabevoliniku vastu. Kui volinik ei tee andmesubjekti esitatud kaebuse menetlemisel edusamme, (193) on kaebuse esitajal juurdepääs õiguskaitsevahendile, sest ta võib taotleda, et esimese astme kohus (194) käsiks volinikul võtta asjakohased meetmed kaebusele vastamiseks või teavitada kaebuse esitajat kaebuse menetlemise edusammudest (195). Esimese astme kohtu poole võib pöörduda ka iga isik, kellele volinik on esitanud eespool nimetatud teavituse või teate (teavitus, hindamis-, sundtäitmise või trahviteade). Kui kohus leiab, et teabevoliniku otsus ei ole õigusega kooskõlas või ta oleks pidanud kasutama oma kaalutlusõigust teisiti, peab kohus kaebuse rahuldama või asendama teabevoliniku antud või tehtud muu teavituse või otsuse (196).

(118)

Üksikisikud võivad kasutada ka kolmandat õiguskaitsevahendit, s.o pöörduda 2018. aasta andmekaitseseaduse paragrahvi 167 alusel vastutavate töötlejate ja volitatud töötlejate vastu otse kohtusse. Kui andmesubjekti taotluse alusel veendub kohus, et andmekaitsealaste õigusaktide kohaseid andmesubjekti õigusi on rikutud, võib kohus nõuda, et vastutav töötleja või selle vastutava töötleja nimel tegutsev volitatud töötleja võtaks asjakohase töötlemisega seoses korralduses nimetatud meetmeid või hoiduks korralduses nimetatud meetmete võtmisest. 2018. aasta andmekaitseseaduse paragrahvi 169 alusel on andmekaitsealastes õigusaktides (sealhulgas 2018. aasta andmekaitseseaduse 3. osas), välja arvatud Ühendkuningriigi isikuandmete kaitse üldmääruses sätestatud nõude rikkumise tõttu kahju kandval isikul õigus saada selle kahju eest hüvitist vastutavalt töötlejalt või volitatud töötlejalt, välja arvatud juhul, kui vastutav töötleja või volitatud töötleja tõestab, et vastutav töötleja või volitatud töötleja ei vastuta kahju tekitanud juhtumi eest. Kahju hõlmab nii rahalist kui ka mitterahalist kahju, näiteks kannatusi.

(119)

Neljandaks, kui isik leiab, et avaliku sektori asutused on rikkunud tema õigusi, sealhulgas eraelu puutumatuse õigus ja andmekaitse õigus, võib ta õiguskaitse saamiseks pöörduda 1998. aasta inimõiguste seaduse (Human Rights Act) alusel Ühendkuningriigi kohtute poole. 2018. aasta andmekaitseseaduse 3. osas käsitletavad vastutavad töötlejad, s.o pädevad asutused, on alati avaliku sektori asutused 1998. aasta inimõiguste seaduse tähenduses. Isik, kes väidab, et avaliku sektori asutus on tegutsenud (või kavatseb tegutseda) viisil, mis on vastuolus konventsiooni kohase õigusega ja seega tulenevalt 1998. aasta inimõiguste seaduse paragrahvi 6 lõikest 1 ebaseaduslik, võib esitada asutuse vastu hagi asjakohasesse kohtusse või tugineda asjakohastele õigustele igas õigusmenetluses, kui ta on (või võib olla) ebaseadusliku teo ohver (197).

(120)

Kui kohus leiab, et avaliku sektori asutuse tegu on ebaseaduslik, võib ta määrata oma pädevuse piires sellise hüvitise või teha sellise korralduse, mida ta peab õiglaseks ja asjakohaseks (198). Samuti võib kohus otsustada, et esmase õiguse akti säte on vastuolus Euroopa inimõiguste konventsiooniga tagatud õigusega.

(121)

Kui kõik riiklikud õiguskaitsevahendid on ammendatud, võib isik pöörduda Euroopa inimõiguste konventsiooniga tagatud õiguste rikkumise asjus Euroopa Inimõiguste Kohtusse.

(122)

Ühendkuningriigi õigus lubab õiguskaitseasutustel jagada andmeid teiste asutustega muudel kui andmete algse kogumise eesmärkidel (andmete edasiandmine) teatavatel tingimustel.

(123)

Sarnaselt direktiivi (EL) 2016/680 artikli 4 lõikes 2 sätestatule võimaldab 2018. aasta andmekaitseseaduse paragrahvi 36 lõige 3 õiguskaitse eesmärgil pädeva asutuse kogutud isikuandmeid õiguskaitse eesmärgil täiendavalt töödelda (mida teeb kas algne või muu vastutav töötleja), tingimusel et vastutaval töötlejal on seadusjärgne volitus töödelda andmeid teisel eesmärgil ning töötlemine on vajalik ja proportsionaalne (199). Sellisel juhul kohaldatakse vastuvõtva asutuse tehtavale töötlemisele kõiki 2018. aasta andmekaitseseaduse 3. osaga ette nähtud ja eespool analüüsitud kaitsemeetmeid.

(124)

Ühendkuningriigi õiguskorras lubatakse sõnaselgelt mitme seadusega andmete edasiandmist. Nimelt i) 2017. aasta digimajanduse seadus (Digital Economy Act 2017) võimaldab avaliku sektori asutuste vahel andmete jagamist mitmel eesmärgil, näiteks kui avaliku sektori vastu on toime pandud pettus, mis hõlmaks avaliku sektori asutusele kahju või kahju ohtu, (200) või kui ollakse võlgu avaliku sektori asutusele või monarhile; (201) ii) 2013. aasta kuritegevuse vastu võitlemise ja kohtute seadusega (Crime and Courts Act 2013) lubatakse teabe jagamist riikliku kriminaalametiga (202) raske ja organiseeritud kuritegevuse vastu võitlemiseks, selle uurimiseks ning selle eest vastutusele võtmiseks; iii) 2007. aasta raskeid kuritegusid käsitlev seadus (Serious Crime Act 2007) võimaldab avaliku sektori asutustel avalikustada pettustevastastele organisatsioonidele teavet pettuste ennetamise eesmärkidel (203).

(125)

Nendes seadustes on sõnaselgelt ette nähtud, et teabe jagamine peaks olema kooskõlas 2018. aasta andmekaitseseaduses sätestatud eeskirjadega. Politseikolledž on lisaks avaldanud kinnitatud kutsetavad teabe jagamise kohta (Authorised Professional Practice on Information Sharing), (204) et aidata politseil täita Ühendkuningriigi isikuandmete kaitse üldmäärusest, andmekaitseseadusest ja 1998. aasta inimõiguste seadusest tulenevaid andmekaitsekohustusi. Jagamise vastavust kohaldatavale andmekaitse õigusraamistikule võib muidugi kohtulikult kontrollida (205).

(126)

Sarnaselt direktiivi (EL) 2016/680 artiklis 9 sätestatule on 2018. aasta andmekaitseseaduses ette nähtud, et õiguskaitse eesmärgil kogutud isikuandmeid võib töödelda muul kui õiguskaitse eesmärgil, kui töötlemine on seadusega lubatud (206). Sellist tüüpi jagamise korral on kaks võimalust: 1) kui kriminaalõiguskaitseasutus jagab andmeid muu kui kriminaalõiguskaitseasutusega, mis ei ole luureamet (näiteks finants- või maksuasutus, konkurentsiasutus, noorte heaolu büroo); 2) kui kriminaalõiguskaitseasutus jagab andmeid luureametiga. Esimesel juhul kuulub isikuandmete töötlemine Ühendkuningriigi isikuandmete kaitse üldmääruse ja 2018. aasta andmekaitseseaduse 2. osa kohaldamisalasse. Nagu on täpsustatud määruse (EL) 2016/679 kohaselt vastu võetud otsuses, tagavad Ühendkuningriigi isikuandmete kaitse üldmääruses ja 2018. aasta andmekaitseseaduse 2. osas sätestatud kaitsemeetmed liidus pakutavale sisuliselt vastava kaitsetaseme (207).

(127)

Teise stsenaariumi korral on 2008. aasta terrorismivastane seadus (Counter Terrorism Act 2008) (208) õiguslik alus, mis lubab kriminaalõiguskaitseasutuse kogutud andmete jagamist luureametiga riigi julgeoleku eesmärkidel. 2008. aasta terrorismivastase seaduse kohaselt võib isik anda teavet luureteenistustele nende teenistuste ülesannete täitmise, sealhulgas riigi julgeoleku eesmärgil.

(128)

Riigi julgeoleku eesmärkidel andmete jagamise tingimused on sätestatud luureteenistuste seaduses (Intelligence Services Act) ja julgeolekuteenistuse seaduses (Security Service Act). Neis piiratakse luureteenistuste volitusi hankida nende seadusjärgsete ülesannete täitmiseks vajalikke andmeid. 2018. aasta andmekaitseseaduse 3. osa kohaldamisalasse kuuluvad pädevad asutused, kes soovivad jagada andmeid luureteenistustega, peavad lisaks ametite seadusjärgsetele ülesannetele arvestama luureteenistuste seaduses ja julgeolekuteenistuse seaduses sätestatud mitme teguri/piiranguga (209). 2008. aasta terrorismivastase seaduse paragrahvis 20 on sõnaselgelt esitatud, et 2008. aasta terrorismivastase seaduse paragrahvi 19 kohane andmete jagamine peab ikkagi vastama andmekaitsealastele õigusaktidele; see tähendab, et kohaldatakse kõiki 2018. aasta andmekaitseseaduse piiranguid ja nõudeid. Pealegi on õiguskaitseasutused ja luureteenistused 1998. aasta inimõiguste seaduse tähenduses avaliku sektori asutused ning peavad seega tagama, et nad tegutsevad vastavalt Euroopa inimõiguste konventsiooniga, sealhulgas selle artikliga 8 tagatud õigustele. Teisisõnu tähendavad need nõuded, et kogu õiguskaitseasutuste ja luureteenistuste vaheline andmete jagamine vastab andmekaitsealastele õigusaktidele ja Euroopa inimõiguste konventsioonile.

(129)

Õiguskaitseasutustelt saadud või hangitud isikuandmete töötlemisele luureteenistuste poolt riigi julgeoleku eesmärkidel kohaldatakse mitut tingimust ja kaitsemeedet (210). 2018. aasta andmekaitseseaduse 4. osa kohaldatakse igasugusele töötlemisele luureteenistuste poolt või nimel. Selles on sätestatud peamised andmekaitsepõhimõtted: seaduslikkus, õiglus ja läbipaistvus, (211) eesmärgi piirang, (212) võimalikult väheste andmete kogumine, (213) täpsus, (214) säilitamise piirang (215) ja turvalisus, (216) kehtestatud tingimused eriliiki andmete töötlemisele, (217) nähtud ette andmesubjektide õigused, (218) nõutud lõimitud andmekaitset (219) ning reguleeritud isikuandmete rahvusvahelist edastamist (220).

(130)

Samal ajal on 2018. aasta andmekaitseseaduse paragrahvis 110 ette nähtud vabastus 2018. aasta andmekaitseseaduse 4. osa kindlatest sätetest, kui selline vabastus on nõutav riigi julgeoleku kaitsmiseks. 2018. aasta andmekaitseseaduse paragrahvi 110 lõikes 2 on loetletud sätted, mille kohaldamisest vabastamist lubatakse. Nende hulka kuuluvad andmekaitsepõhimõtted (välja arvatud seaduslikkuse põhimõte), andmesubjekti õigused, kohustus teavitada teabevolinikku andmetega seotud rikkumisest, teabevoliniku rahvusvahelistele kohustustele vastavad kontrollivolitused, teabevoliniku teatavad täidesaatvad volitused, sätted, mille alusel on teatavad andmekaitserikkumised süüteod, ning andmete töötlemise erieesmärkidega, näiteks ajakirjanduslike, akadeemiliste või kunstiliste eesmärkidega seotud sätted. Vabastuse kohaldamise võimalikkust analüüsitakse iga juhtumi puhul eraldi (221). Ühendkuningriigi ametiasutuste selgituste ja Ühendkuningriigi kohtute praktika kinnituse kohaselt peab vastutav töötleja „võtma arvesse, milline on tegelik tagajärg riigi julgeolekule või kaitsele, kui ta peab järgima konkreetset andmekaitsesätet ja kui ta võib mõistlikult järgida tavaeeskirja, mõjutamata seejuures riigi julgeolekut või kaitset“ (222). Vabastuse kasutamise asjakohasust jälgib teabevoliniku büroo (223).

(131)

Seoses võimalusega piirata eespool nimetatud õigusi riigi julgeoleku kaitseks, võib vastutav töötleja 2018. aasta andmekaitseseaduse paragrahvi 79 kohaselt taotleda sertifikaati, mille allkirjastab kabinetiminister või peaprokurör (Attorney General) ja mis kinnitab, et selliste õiguste piiramine on või teataval ajal oli vajalik ja proportsionaalne meede riigi julgeoleku kaitsmiseks (224). Ühendkuningriigi valitsus on esitanud 2018. aasta andmekaitseseaduse alusel suunised riigi julgeoleku sertifikaatide kohta, milles eelkõige toonitatakse, et andmesubjektide õiguste piiramine riigi julgeoleku kaitsmise nimel peab olema proportsionaalne ja vajalik (225). Kõik riigi julgeoleku sertifikaadid tuleb avaldada teabevoliniku büroo veebisaidil (226).

(132)

Sertifikaat peaks kehtima kindlaksmääratud aja, maksimaalselt viis aastat, et täitevvõim selle korrapäraselt läbi vaataks (227). Sertifikaadis määratakse kindlaks isikuandmed või isikuandmete liigid ja 2018. aasta andmekaitseseaduse sätted, millele vabastust kohaldatakse (228).

(133)

On oluline märkida, et riigi julgeoleku sertifikaadiga ei anta uut alust piirata andmekaitseõigusi riigi julgeoleku kaalutlustel. Teisisõnu: vastutav töötleja või volitatud töötleja võib tugineda sertifikaadile ainult siis, kui ta on järeldanud, et riigi julgeolekuga seotud vabastusele tuginemine on vajalik, ja seda tuleb kohaldada üksikjuhtumipõhiselt. Isegi kui kõnealuses küsimuses kasutatakse riigi julgeoleku sertifikaati, võib teabevoliniku büroo uurida, kas tuginemine riigi julgeolekuga seotud vabastusele oli konkreetsel juhul põhjendatud (229).

(134)

Sertifikaadi väljastamisest otseselt mõjutatud isik võib esitada kõrgemale kohtule (230) sertifikaadi (231) kohta kaebuse või juhul, kui sertifikaadis esitatakse üldkirjelduses isikut tuvastavaid andmeid, vaidlustada sertifikaadi kohaldamise konkreetsetele andmetele (232).

(135)

Kohus vaatab läbi sertifikaadi väljastamise otsuse ja otsustab, kas sertifikaadi väljastamiseks oli mõistlik alus (233). Ta võib kaaluda mitut eri aspekti, sealhulgas vajalikkus, proportsionaalsus ja seaduslikkus, võttes arvesse andmesubjektide õigustele avalduvat mõju ja leides tasakaalu riigi julgeoleku kaitsmise vajadusega. Selle tulemusena võib kohus leida, et sertifikaat ei ole seotud kaebuse esemeks olevate konkreetsete isikuandmetega (234).

(136)

Teisi võimalikke piiranguid kohaldatakse 2018. aasta andmekaitseseaduse 11. lisa alusel sama seaduse 4. osa teatavatele sätetele, (235) et kaitsta muid tähtsaid üldise avaliku huvi eesmärke või huve, nagu parlamentaarne puutumatus, kutsesaladus, kohtumenetluste läbiviimine või relvajõudude võitlusjõu tõhusus. Nende sätete kohaldamisest on vabastatud teatavad teabeliigid (teabe liigi põhine) või vabastatud sellisel määral, kuivõrd nende sätete kohaldamine ohustaks tõenäoliselt kaitstavaid huve (ohupõhine) (236). Ohupõhiseid vabastusi võib kasutada vaid sellisel määral, kuivõrd on tõenäoline, et loetletud andmekaitse säte seab ohtu konkreetse kõnealuse huvi. Vabastuse kasutamist tuleb seepärast alati põhjendada, viidates asjakohasele ohule, mis tõenäoliselt konkreetsel juhul tekiks. Teabe liigi põhiseid vabastusi võib kasutada ainult konkreetse, kitsalt piiritletud vabastuse saanud teabeliigi puhul. Need on eesmärgilt ja mõjult sarnased mitme erandiga Ühendkuningriigi isikuandmete kaitse üldmäärusest (2018. aasta andmekaitseseaduse 2. lisas), mis omakorda sarnanevad isikuandmete kaitse üldmääruse artiklis 23 ette nähtud eranditega.

(137)

Eespool esitatust ja kohtute ja teabevoliniku büroo tõlgendusest tuleneb, et Ühendkuningriigi kohaldatavates õigusnormides on kehtestatud piirangud ja tingimused, et tagada nende vabastuste ja piirangute vajalikkus ja proportsionaalsus riigi julgeoleku kaitsmiseks.

(138)

2018. aasta andmekaitseseaduse 4. osa alusel toimuvat isikuandmete töötlemist luureteenistuste poolt jälgib teabevolinik (237).

(139)

Teabevoliniku üldised ülesanded seoses 2018. aasta andmekaitseseaduse 4. osa kohaldamisalasse kuuluvate isikuandmete töötlemisega luureteenistuste poolt on sätestatud 2018. aasta andmekaitseseaduse 13. lisas. Ülesannete hulka kuuluvad muu hulgas eelkõige 2018. aasta andmekaitseseaduse 4. osa täitmise seire ja tagamine, üldsuse teadlikkuse suurendamine, parlamendi, valitsuse ja teiste institutsioonide nõustamine seadusandlike ja haldusmeetmete valdkonnas, vastutavate töötlejate ja volitatud töötlejate teadlikkuse suurendamine nende kohustuste valdkonnas, andmesubjektidele teabe jagamine nende õiguste teostamise kohta ning uurimiste läbiviimine.

(140)

Volinikul on pädevus teavitada vastutavat töötlejat 2018. aasta andmekaitseseaduse 3. osa väidetavast rikkumisest ja esitada hoiatusi selle kohta, et töötlemistoiming on tõenäoliselt vastuolus eeskirjadega, ning kui rikkumine on kinnitust leidnud, teeb volinik noomituse. Samuti võib ta esitada seaduse teatavate sätete rikkumise eest sundtäitmise teateid ja trahviteateid (238). Erinevalt 2018. aasta andmekaitseseaduse teistest osadest, ei saa volinik esitada hindamisteateid riigi julgeoleku kohta (239).

(141)

2018. aasta andmekaitseseaduse paragrahvis 110 on ette nähtud voliniku teatavate volituste kasutamise erand, kui see on nõutav riigi julgeoleku kaitse eesmärkidel. See hõlmab voliniku pädevust esitada andmekaitseseaduse alusel (igat liiki) teateid (teavitused, hindamis-, sundtäitmise ja trahviteated), volitust viia läbi kontrolle kooskõlas rahvusvaheliste kohustustega, sisenemis- ja kontrollivolitust ning eeskirju süütegude kohta (240). Nagu selgitatud põhjenduses 136, kohaldatakse neid erandeid vaid üksikjuhtumipõhiselt ning siis, kui see on vajalik ja proportsionaalne. Erandi kohaldamist võib kohtulikult kontrollida (241).

(142)