(1)

Direktiivissä (EU) 2016/680 vahvistetaan säännöt, joita sovelletaan henkilötietojen siirtoon unionin toimivaltaisilta viranomaisilta kolmansiin maihin ja kansainvälisille järjestöille, siltä osin kuin tällaiset siirrot kuuluvat sen soveltamisalaan. Toimivaltaisten viranomaisten tekemiä kansainvälisiä tiedonsiirtoja koskevat säännöt vahvistetaan direktiivin (EU) 2016/680 V luvussa ja erityisesti sen 35–40 artiklassa. Tehokkaan lainvalvontayhteistyön kannalta on tarpeen siirtää henkilötietoja Euroopan unionin ulkopuolisiin maihin tai niistä unioniin. Samalla on kuitenkin varmistettava, että tällaisten siirtojen yhteydessä ei heikennetä henkilötietojen suojan tasoa Euroopan unionissa (2).

(2)

Direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukaan komissio voi päättää täytäntöönpanosäädöksellä, että jokin kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällä edellytyksellä henkilötietoja voidaan siirtää kolmanteen maahan ilman lisälupaa (paitsi jos siirtoon on saatava lupa toiselta jäsenvaltiolta, jolta tiedot on saatu), kuten direktiivin (EU) 2016/680 35 artiklan 1 kohdassa ja johdanto-osan 66 kappaleessa säädetään.

(3)

Kuten direktiivin (EU) 2016/680 36 artiklan 2 kohdassa säädetään, tietosuojan tason riittävyyttä koskevan päätöksen tekemisen on perustuttava kattavaan analyysiin kolmannen maan oikeusjärjestyksestä. Komission on arvioinnissaan määritettävä, takaako kyseinen kolmas maa suojan tason, joka ”vastaa olennaisilta osin” Euroopan unionissa taattua suojan tasoa (direktiivin (EU) 2016/680 johdanto-osan 67 kappale). Vertailukohtana tässä arvioinnissa on EU:n lainsäädännön ja erityisesti direktiivin (EU) 2016/680 ja Euroopan unionin tuomioistuimen oikeuskäytännön (3) tarjoama suojan taso. Lisäksi Euroopan tietosuojaneuvoston määrittelemät tietosuojan riittävyyden viitearvot (4) ovat tältä osin merkityksellisiä.

(4)

Kuten Euroopan unionin tuomioistuin on selventänyt, tämä ei edellytä, että suojelun tason pitäisi olla täysin sama (5). Erityisesti keinot, joita kyseisellä kolmannella maalla on käytettävissään henkilötietojen suojaamiseksi, voivat erota Euroopan unionissa käytetyistä menetelmistä, kunhan ne käytännössä varmistavat tehokkaasti suojelun riittävän tason (6). Tietosuojan tason riittävyyttä koskeva vaatimus ei sen vuoksi edellytä unionin sääntöjen kopiointia kohta kohdalta. Sen sijaan tarkastellaan, onko ulkomaisen järjestelmän antama suoja kokonaisuutena vaaditun tason mukainen. Tällöin selvitetään, mikä on yksityisyyteen liittyvien oikeuksien sisältö ja pannaanko ne täytäntöön ja valvotaanko niiden toteutumista tehokkaasti (7).

(5)

Komissio on analysoinut huolellisesti Yhdistyneen kuningaskunnan asiaa koskevaa lainsäädäntöä ja käytäntöä. Jäljempänä esitettyjen havaintojensa perusteella komissio katsoo, että Yhdistynyt kuningaskunta varmistaa tietosuojan riittävän tason sellaisille henkilötiedoille, joita siirretään direktiivin (EU) 2016/680 soveltamisalaan kuuluvilta unionin toimivaltaisilta viranomaisilta Yhdistyneen kuningaskunnan toimivaltaisille viranomaisille, jotka kuuluvat vuoden 2018 tietosuojalain (8) 3 osan soveltamisalaan.

(6)

Tämän päätöksen vaikutuksena on, että näitä siirtoja voidaan tehdä ilman erillistä lupaa neljän vuoden ajan, sanotun kuitenkaan rajoittamatta direktiivin (EU) 2016/680 35 artiklassa säädettyjen edellytysten soveltamista. Määräaika on mahdollista uusia.

(7)

Yhdistynyt kuningaskunta on parlamentaarinen demokratia. Maan parlamentilla on täydellinen itsemääräämisoikeus, mikä tarkoittaa, että mikään muu valtioelin ei ole sen yläpuolella. Toimeenpanovallan käyttäjä saa toimivaltansa parlamentilta ja on toimistaan vastuussa sille. Oikeuslaitos on riippumaton. Toimeenpanovallan käyttäjän toimivalta perustuu vaaleilla valitun alahuoneen (House of Commons) luottamukseen, ja se on vastuuvelvollinen parlamentin molemmille kamareille (alahuone eli House of Commons ja ylähuone eli House of Lords). Niiden tehtävänä taas on valvoa hallituksen toimintaa ja hyväksyä lainsäädäntöehdotukset niistä käydyn keskustelun jälkeen. Yhdistyneen kuningaskunnan parlamentti on jakanut Skotlannin parlamentille, Walesin parlamentille (Senedd Cymru) ja Pohjois-Irlannin edustajakokoukselle toimivaltaa, jotta ne voivat antaa kukin alueellaan alueellista lainsäädäntöä tietyissä asioissa. Tietosuojan osalta toimivalta kuuluu Yhdistyneen kuningaskunnan parlamentille, jotta koko maassa sovelletaan sama lainsäädäntöä. Eräät muut tämän päätöksen kannalta merkitykselliset seikat kuuluvat kuitenkin alueellisen toimivallan piiriin. Esimerkiksi Skotlannin ja Pohjois-Irlannin rikosoikeusjärjestelmät, poliisitoimi (poliisiviranomaisten harjoittama toiminta) mukaan lukien, kuuluvat Skotlannin parlamentin ja Pohjois-Irlannin edustajakokouksen toimivallan piiriin (9).

(8)

Yhdistyneellä kuningaskunnalla ei ole perustamiskirjan tapaista kirjoitettua kodifioitua perustuslakia, vaan sen perustuslailliset periaatteet ovat muodostuneet vähitellen ajan myötä, erityisesti oikeuskäytännön ja tapaoikeuden perusteella. Tiettyjen lakien perustuslaillinen arvo on tunnustettu; näitä ovat mm. Magna Carta, vuoden 1689 oikeuksien julistus (Bill of Rights 1689) ja vuoden 1998 ihmisoikeuslaki (Human Rights Act 1998). Yksilöiden perusoikeuksia on kehitetty osana perustuslakia common law -oikeudessa, mainituilla laeilla ja kansainvälisillä sopimuksilla, erityisesti Euroopan ihmisoikeussopimuksella, jonka Yhdistynyt kuningaskunta ratifioi vuonna 1951. Yhdistynyt kuningaskunta on vuonna 1987 ratifioinut myös Euroopan neuvoston yleissopimuksen (N:o 108) yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (10).

(9)

Euroopan ihmisoikeussopimukseen sisältyvät oikeudet on saatettu osaksi Yhdistyneen kuningaskunnan lainsäädäntöä vuoden 1998 ihmisoikeuslailla. Sen mukaan kaikilla yksilöillä on perusoikeudet ja vapaudet, jotka on vahvistettu ihmisoikeussopimuksen 2–12 ja 14 artiklassa, sen ensimmäisen pöytäkirjan 1–3 artiklassa ja kolmannentoista pöytäkirjan 1 artiklassa, luettuna yhdessä ihmisoikeussopimuksen 16–18 artiklan kanssa. Näihin kuuluvat muun muassa oikeus yksityis- ja perhe-elämän kunnioittamiseen, mihin puolestaan sisältyy oikeus tietosuojaan ja oikeus oikeudenmukaiseen oikeudenkäyntiin (11). Ihmisoikeussopimuksen 8 artiklassa määrätään erityisesti, että viranomaiset eivät saa puuttua tämän yksityisyydensuojaa koskevan oikeuden käyttämiseen, paitsi kun laki sen sallii ja se on välttämätöntä demokraattisessa yhteiskunnassa kansallisen ja yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi, tai epäjärjestyksen tai rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi, tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi.

(10)

Vuoden 1998 ihmisoikeuslain mukaan kaiken viranomaisten toiminnan on oltava sopusoinnussa ihmisoikeussopimuksessa taatun oikeuden kanssa (12). Lisäksi primaari- ja sekundaarilainsäädäntöä on tulkittava ja se on pantava täytäntöön tavalla, joka on sopusoinnussa kyseisten oikeuksien kanssa (13). Jos yksityishenkilö katsoo, että viranomaiset ovat rikkoneet hänen oikeuksiaan, kuten oikeutta yksityisyyteen ja tietosuojaan, hän voi hakea muutosta Yhdistyneen kuningaskunnan tuomioistuimissa vuoden 1998 ihmisoikeuslain nojalla. Kun kaikki kansalliset muutoksenhakukeinot on käytetty, hän voi viime kädessä nostaa kanteen Euroopan ihmisoikeustuomioistuimessa Euroopan ihmisoikeussopimuksessa taattujen oikeuksien rikkomisesta.

(11)

Yhdistynyt kuningaskunta erosi unionista 31. tammikuuta 2020. Ison-Britannian ja Pohjois-Irlannin yhdistyneen kuningaskunnan eroamista Euroopan unionista ja Euroopan atomienergiayhteisöstä koskevan sopimuksen (14) nojalla unionin oikeutta sovellettiin Yhdistyneeseen kuningaskuntaan ja Yhdistyneessä kuningaskunnassa 31. joulukuuta 2020 päättyneen siirtymäkauden loppuun. Yhdistyneen kuningaskunnan lainsäädäntökehys, joka koskee henkilötietojen suojaa, kun toimivaltaiset viranomaiset käsittelevät henkilötietoja rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy, koostui ennen eroamista ja siirtymäkauden aikana vuoden 2018 tietosuojalain olennaisista osista; kyseisellä lailla oli saatettu direktiivi (EU) 2016/680 osaksi kansallista lainsäädäntöä.

(12)

Valmistautuakseen EU:sta eroamiseen Yhdistyneen kuningaskunnan hallitus antoi Euroopan unionista (eroamisesta) vuonna 2018 annetun lain (European Union (Withdrawal) Act 2018), jäljempänä ’eroamista koskeva laki’ (15), jolla sisällytettiin suoraan sovellettava unionin lainsäädäntö Yhdistyneen kuningaskunnan lainsäädäntöön ja säädettiin, että niin sanottu EU-oikeudesta johdettu sisäinen lainsäädäntö (”EU-derived domestic legislation”) on edelleen voimassa siirtymäkauden päätyttyä. Vuoden 2018 tietosuojalain 3 osa (16), jolla direktiivi (EU) 2016/680 saatetaan osaksi kansallista lainsäädäntöä, on eroamista koskevassa laissa tarkoitettua EU-oikeudesta johdettua sisäistä lainsäädäntöä. Eroamista koskevan lain mukaan Yhdistyneen kuningaskunnan tuomioistuinten on tulkittava EU-oikeudesta johdettua sisäistä lainsäädäntöä Euroopan unionin tuomioistuimen, jäljempänä ’unionin tuomioistuin’, asiaa koskevan oikeuskäytännön, jäljempänä ’säilytetty EU:n oikeuskäytäntö’, ja unionin oikeuden yleisten periaatteiden, jäljempänä ’säilytetyt EU:n lainsäädännön yleiset periaatteet’, mukaisesti, koska ne olivat voimassa välittömästi ennen siirtymäkauden päättymistä (17).

(13)

Eroamista koskevan lain mukaan Yhdistyneen kuningaskunnan ministereillä on valtuudet antaa johdetun oikeuden säädöksiä (statutory instruments), joilla tehdään tarvittavat muutokset säilytettyyn EU:n lainsäädäntöön Yhdistyneen kuningaskunnan unionista eroamisen seurauksena. Tietosuojaa, yksityisyydensuojaa ja sähköistä viestintää koskevat säännökset (Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019) (18) annettiin tämän valtuuden nojalla. Niillä muutetaan Yhdistyneen kuningaskunnan tietosuojalainsäädäntöä, myös vuoden 2018 tietosuojalakia, kansalliseen tilanteeseen sopivaksi (19).

(14)

Näin ollen oikeudelliset vaatimukset, jotka koskevat henkilötietojen suojaa Yhdistyneessä kuningaskunnassa erosopimuksen mukaisen siirtymäkauden jälkeen, kun toimivaltaiset viranomaiset käsittelevät henkilötietoja rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy, vahvistetaan edelleen vuoden 2018 tietosuojalain asiaa koskevissa osissa, sellaisina kuin ne ovat muutettuina tietosuojaa, yksityisyydensuojaa ja sähköistä viestintää koskevalla säädöksellä, erityisesti sen 3 osalla. Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta (UK GDPR) ei sovelleta tämäntyyppiseen käsittelyyn.

(15)

Vuoden 2018 tietosuojalain 3 osassa vahvistetaan säännöt, jotka koskevat henkilötietojen käsittelyä rikosoikeudellisia lainvalvontatarkoituksia varten, mukaan lukien tietosuojaperiaatteet, käsittelyn oikeudelliset perusteet (lainmukaisuus), rekisteröityjen oikeudet, toimivaltaisten viranomaisten velvollisuudet rekisterinpitäjinä ja tietojen edelleen siirtämistä koskevat rajoitukset. Samalla lainvalvontaan sovellettavat valvontaa, täytäntöönpanoa ja oikeussuojakeinoja koskevat säännöt sisältyvät vuoden 2018 tietosuojalain 5 ja 6 osaan.

(16)

Kun lisäksi otetaan huomioon poliisivoimien merkittävä rooli lainvalvonnassa, huomioon olisi otettava myös poliisitoimintaa koskevat säännöt. Koska poliisitoiminta on hajautettu, eri säädöksiä, jotka ovat kuitenkin usein sisällöltään samankaltaisia, sovelletaan poliisitoimintaan a) Englannissa ja Walesissa, b) Skotlannissa ja c) Pohjois-Irlannissa (20). Lisäksi erityyppisissä ohjeissa annetaan lisäselvennyksiä siitä, miten poliisin valtuuksia olisi käytettävä. Poliisin ohjeista on kolme päämuotoa: 1) lainsäädännössä olevat ohjeet, kuten vuoden 1996 poliisilain (Police Act 1996) (21) mukaiset eettiset säännöt (Code of Ethics) (22) ja poliisin hallussa olevien tietojen hallintaa koskeva ohjesääntö (Code of Practice on the Management of Police Information) (23) tai poliisista ja rikosasioiden todistusaineistosta annetun lain (Police and Criminal Evidence Act) (24) mukaiset PACE-säännöt (PACE codes) (25), 2) poliisiakatemian (College of Policing) antamat poliisin hallussa olevien tietojen hallintaa koskevat poliisin sisäiset ohjeet (Authorised Professional Practice on the Management of Police Information) (26) ja 3) poliisin julkaisemat toimintaohjeet. Kansallinen poliisipäälliköiden neuvosto (National Police Chiefs Council), joka on Yhdistyneen kuningaskunnan poliisivoimien koordinointielin, julkaisee toimintaohjeita, jotka kaikki poliisivoimat ovat hyväksyneet ja joita sen vuoksi sovelletaan kansallisesti (27). Näiden ohjeiden tarkoituksena on varmistaa, että poliisivoimat hallinnoivat tietoja yhdenmukaisesti (28).

(17)

Secretary of State antoi vuonna 2005 poliisin hallussa olevien tietojen hallintaa koskevan ohjesäännön käyttäen vuoden 1996 poliisilain 39A §:ssä säädettyjä valtuuksia (29). Poliisilain nojalla annettavilla ohjesäännöillä on oltava Secretary of Staten hyväksyntä, ja ne edellyttävät kansallisen rikosviraston kuulemista, ennen kuin ne esitetään parlamentille. Poliisilain 39A §:n 7 momentissa edellytetään, että poliisi ottaa asianmukaisesti huomioon lain nojalla annetut säännöt, joten poliisin odotetaan noudattavan niitä (30). Lisäksi muiden kuin lakisääteisten ohjeiden (kuten poliisin hallussa olevien tietojen hallintaa koskevat poliisin sisäiset ohjeet) on aina oltava yhdenmukaisia poliisin hallussa olevien tietojen hallintaa koskevan ohjesäännön kanssa, joka on säädöshierarkiassa niiden yläpuolella (31). Vaikka poliisit saattavat tietyissä operatiivisissa tilanteissa joutua poikkeamaan näistä ohjeista, heidän on joka tapauksessa noudatettava vuoden 2018 tietosuojalain 3 osan vaatimuksia (32).

(18)

Tietosuojavaltuutettu (Information Commissioner) antaa lisätietoja (33) henkilötietojen käsittelystä Yhdistyneen kuningaskunnan lainvalvonnassa (lisätietoja tietosuojavaltuutetusta on johdanto-osan 93–109 kappaleissa). Vaikka nämä ohjeet eivät olekaan muodollisesti velvoittavia, tuomioistuinten olisi otettava huomioon niiden rikkominen, koska niillä on tulkinnallista merkitystä. Lisäksi niistä käy ilmi, miten tietosuojalainsäädäntöä tulkitaan ja miten tietosuojavaltuutettu valvoo sen noudattamista (34).

(19)

Kuten johdanto-osan 8–10 kappaleessa todetaan, Yhdistyneen kuningaskunnan lainvalvontaviranomaisten on varmistettava Euroopan ihmisoikeussopimuksen ja yleissopimuksen N:o 108 noudattaminen.

(20)

Yhdistyneen kuningaskunnan rikosoikeudellisten lainvalvontaviranomaisten suorittamaa tietojen käsittelyä koskeva oikeudellinen kehys on rakenteeltaan ja pääpiirteiltään hyvin samanlainen kuin EU:ssa sovellettava oikeudellinen kehys. Tämä tarkoittaa, että kehys ei perustu ainoastaan kansallisissa laeissa säädettyihin ja EU-lainsäädännön puitteissa muokattuihin velvoitteisiin, vaan myös kansainvälisessä oikeudessa vahvistettuihin velvoitteisiin. Tämä johtuu erityisesti siitä, että Yhdistynyt kuningaskunta on liittynyt Euroopan ihmisoikeussopimukseen ja yleissopimukseen N:o 108, sekä siitä, että maa kuuluu Euroopan ihmisoikeustuomioistuimen toimivallan piiriin. Nämä oikeudellisesti sitovista kansainvälisistä sopimuksista johtuvat velvoitteet, jotka koskevat erityisesti henkilötietojen suojaa, ovat näin ollen erityisen tärkeä osa tässä päätöksessä arvioitavaa oikeudellista kehystä.

(21)

Vuoden 2018 tietosuojalain 3 osan aineellinen soveltamisala vastaa direktiivin (EU) 2016/680 2 artiklan 2 kohdassa säädettyä soveltamisalaa. Kyseistä 3 osaa sovelletaan toimivaltaisen viranomaisen suorittamaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

(22)

Lisäksi rekisterinpitäjä kuuluu kyseisen 3 osan soveltamisalaan vain, jos se on ”toimivaltainen viranomainen” ja käsittely suoritetaan ”lainvalvontatarkoituksessa”. Sen vuoksi tässä päätöksessä arvioitavaa tietosuojajärjestelmää sovelletaan näiden toimivaltaisten viranomaisten kaikkiin lainvalvontatehtäviin.

(23)

Tietosuojalain 30 §:ssä määritellään ”toimivaltaisen viranomaisen” käsite siten, että se on vuoden 2018 tietosuojalain liitteen 7 luettelossa mainittu henkilö tai muu henkilö siltä osin, kuin henkilöllä on lakisääteisiä tehtäviä lainvalvonnassa. Liitteen 7 luettelossa oleviin toimivaltaisiin viranomaisiin kuuluvat poliisivoimien lisäksi kaikki Yhdistyneen kuningaskunnan ministeriöiden osastot ja muut viranomaiset, joiden tehtävänä on tutkinta (esim. vero- ja tulliviraston päällikkö (Commissioner for Her Majesty’s Revenue and Customs), Walesin verovirasto (Welsh Revenue Authority), kilpailu- ja markkinaviranomainen (Competition and Markets Authority) tai kiinteistörekisteri (Her Majesty’s Land Register) tai kansallinen rikosvirasto (National Crime Agency)), syyttäjävirastot (prosecutorial agencies), muut rikosoikeusvirastot ja muut viranhaltijat tai organisaatiot, jotka suorittavat lainvalvontatehtäviä (35). Vuoden 2018 tietosuojalain 3 osaa sovelletaan myös tuomioistuimiin niiden hoitaessa oikeudellisia tehtäviään, lukuun ottamatta rekisteröidyn oikeuksia ja tietosuojavaltuutetun valvontaa koskevaa osaa (36). Liitteessä 7 oleva toimivaltaisten viranomaisten luettelo ei ole lopullinen, ja Secretary of State voi päivittää sitä asetuksilla ottaen huomioon julkisten virastojen organisaatiossa tapahtuneet muutokset (37).

(24)

Henkilötietojen käsittelyllä on myös oltava lainvalvontatarkoitus, joka kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy (38). Toimivaltaisen viranomaisen suorittamaan henkilötietojen käsittelyyn ei sovelleta vuoden 2018 tietosuojalain 3 osaa, jos sitä ei suoriteta lainvalvontatarkoituksessa. Näin on esimerkiksi silloin, kun kilpailu- ja markkinaviranomainen tutkii tapauksia, joita ei ole kriminalisoitu (esim. yritysten väliset sulautumat). Tällöin sovelletaan Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta yhdessä vuoden 2018 tietosuojalain 2 osan kanssa, koska toimivaltaiset viranomaiset käsittelevät henkilötietoja muissa kuin lainvalvontatarkoituksissa. Määrittääkseen, mitä tietosuojajärjestelmää (vuoden 2018 tietosuojalain 3 tai 2 osa) sovelletaan kyseessä olevien henkilötietojen käsittelyyn, toimivaltaisen viranomaisen eli rekisterinpitäjän on harkittava, onko tällaisen käsittelyn ”ensisijainen tarkoitus” jokin vuoden 2018 tietosuojalain mukaisista lainvalvontatarkoituksista.

(25)

Vuoden 2018 tietosuojalain 3 osan alueellisen soveltamisalan osalta 207 §:n 2 momentissa säädetään, että tietosuojalakia sovelletaan henkilötietojen käsittelyyn sellaisen henkilön toiminnan yhteydessä, jonka toimialue kattaa koko Yhdistyneen kuningaskunnan alueen. Tähän sisältyvät Englannin, Walesin, Skotlannin ja Pohjois-Irlannin alueiden viranomaiset, jotka kuuluvat vuoden 2018 tietosuojasopimuksen 3 osan aineelliseen soveltamisalaan (39).

(26)

Henkilötietojen ja käsittelyn keskeiset käsitteet on määritelty vuoden 2018 tietosuojalain 3 §:ssä, ja niitä sovelletaan koko tietosuojalaissa. Määritelmät vastaavat läheisesti direktiivin (EU) 2016/680 3 artiklassa vahvistettuja määritelmiä. Vuoden 2018 tietosuojalain mukaan henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan elävään henkilöön (40) liittyviä tietoja. Vuoden 2018 tietosuojalain 3 §:n 3 momentin mukaan henkilö on tunnistettavissa, jos hänet voidaan tietojen perusteella tunnistaa suoraan tai epäsuorasti. Näihin tietoihin kuuluvat viittaus nimeen tai tunnisteeseen taikka yhteen tai useampaan henkilön fyysiselle, fysiologiselle, geneettiselle, psyykkiselle, taloudelliselle, kulttuuriselle tai sosiaaliselle identiteetille ominaiseen tekijään. ’Käsittelyllä’ tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin, kuten a) kerääminen, tallentaminen, järjestäminen, jäsentäminen tai säilyttäminen; b) muokkaaminen tai muuttaminen; c) haku, kysely tai käyttö; d) luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville; e) yhteensovittaminen tai yhdistäminen; tai f) rajoittaminen, poistaminen tai tuhoaminen. Lisäksi laissa määritellään ’arkaluontoinen käsittely’ seuraavasti: ”a) sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys; b) geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten; c) terveyttä koskevien tietojen käsittely; d) henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely” (41). Tältä osin vuoden 2018 tietosuojalain 205 §:ssä määritellään ’biometriset tiedot’ (42), ’terveyttä koskevat tiedot’ (43) ja ’geneettiset tiedot’ (44).

(27)

Vuoden 2018 tietosuojalain 32 §:ssä selvennetään ’rekisterinpitäjän’ ja ’henkilötietojen käsittelijän’ määritelmiä lainvalvontatarkoituksessa tapahtuvan henkilötietojen käsittelyn yhteydessä noudattaen tarkasti direktiivin (EU) 2016/680 vastaavia määritelmiä. Rekisterinpitäjällä tarkoitetaan toimivaltaista viranomaista, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Jos käsittely on lain mukaan pakollista, rekisterinpitäjä on se toimivaltainen viranomainen, jota laissa säädetty velvoite koskee. Henkilötietojen käsittelijällä tarkoitetaan henkilöä, joka käsittelee henkilötietoja rekisterinpitäjän puolesta (muu henkilö kuin rekisterinpitäjän työntekijä).

(28)

Vuoden 2018 tietosuojalain 35 §:n mukaan henkilötietojen käsittelyn on oltava lainmukaista ja asianmukaista, samalla tavalla kuin direktiivin (EU) 2016/680 4 artiklan 1 kohdan a alakohdassa säädetään. Vuoden 2018 tietosuojalain 35 §:n 2 momentin mukaan henkilötietojen käsittely jotakin lainvalvontatarkoitusta varten on lainmukaista vain, jos käsittely perustuu lainsäädäntöön ja rekisteröity on antanut suostumuksensa tietojen käsittelyyn tätä tarkoitusta varten tai jos käsittely on tarpeen toimivaltaisen viranomaisen tätä tarkoitusta varten suorittaman tehtävän suorittamiseksi.

(29)

Vuoden 2018 tietosuojalain 3 osan soveltamisalaan kuuluvan tietojenkäsittelyn lainmukaisuuden varmistamiseksi tällaisen käsittelyn on perustuttava lainsäädäntöön, kuten myös direktiivin (EU) 2016/680 8 artiklassa säädetään. ”Lainmukaisella” tietojenkäsittelyllä tarkoitetaan, että siihen on saatu lupa joko lain, common law’n tai kuninkaallisen etuoikeuden (royal prerogatives) nojalla (45).

(30)

Toimivaltaisten viranomaisten toimivaltuudet ovat yleensä lakisääteisiä, mikä tarkoittaa, että niiden tehtävät ja valtuudet on määritelty selkeästi parlamentin hyväksymässä lainsäädännössä (46). Tietyissä tapauksissa poliisi ja muut vuoden 2018 tietosuojalain liitteessä 7 luetellut toimivaltaiset viranomaiset voivat käyttää perusteena common law -oikeutta, kun ne käsittelevät henkilötietoja (47). Common law perustuu tuomioistuinten ennakkotapauksiin. Common law on merkityksellinen, kun tarkastellaan poliisin siihen perustuvia toimivaltuuksia ja poliisin keskeistä velvollisuutta suojella yleisöä paljastamalla ja ehkäisemällä rikollisuutta (48). Poliisivoimilla on kuitenkin sekä common law -oikeuteen että lainsäädäntöön (49) perustuva toimivalta velvollisuutensa suorittamiseen. Jos poliisilla on lakisääteinen toimivalta, se syrjäyttää common law -valtuudet (50).

(31)

Oikeuskäytännön mukaan poliisin common law -oikeuden mukaisiin valtuuksiin ja velvollisuuksiin sisältyvät kaikki toimenpiteet, jotka poliisin mielestä ovat välttämättömiä rauhan ylläpitämiseksi, rikosten ehkäisemiseksi tai omaisuuden suojelemiseksi rikoksilta (51). Common law -valtuudet eivät ole rajoittamattomia valtuuksia. Niihin kohdistuu monenlaisia rajoituksia, kuten tuomioistuinten (52) asettamia rajoituksia ja lainsäädännössä, erityisesti vuoden 1998 ihmisoikeuslaissa ja vuoden 2010 tasa-arvolaissa (Equality Act) (53), säädettyjä rajoituksia. Lisäksi niiden toimivaltaisten viranomaisten osalta, jotka käsittelevät tietoja vuoden 2018 tietosuojalain 3 osan nojalla, mainitussa laissa vahvistetut vaatimukset rajoittavat common law -valtuuksien käyttöä (54). Kaikissa tietojenkäsittelyä koskevissa päätöksissä on myös otettava huomioon sovellettavien ohjeiden, kuten poliisin hallussa olevien tietojen hallintaa koskevan ohjesäännön, vaatimukset sekä asianomaisessa Yhdistyneen kuningaskunnan osassa sovellettavat ohjeet (55). Hallitus ja operatiivinen poliisitoimi ovat antaneet useita ohjeasiakirjoja sen varmistamiseksi, että poliisit käyttävät toimivaltuuksiaan common law -oikeuden tai asiaa koskevan lain asettamissa rajoissa (56).

(32)

Kuninkaalliset etuoikeudet muodostavat osan ”oikeutta”. Niillä viitataan tiettyihin kruunulle annettuihin ja toimeenpanovallan käyttäjän käytettävissä oleviin toimivaltuuksiin, jotka eivät perustu säädettyyn lakiin vaan monarkin suvereniteettiin (57). On hyvin vähän esimerkkejä etuoikeuksista, joilla on merkitystä lainvalvonnan kannalta. Niihin kuuluu esimerkiksi keskinäisen oikeusavun kehys, jonka perusteella Secretary of State voi jakaa tietoja kolmansien maiden kanssa lainvalvontatarkoituksia varten, eikä tällaista toimivaltaa jakaa tietoja ole aina vahvistettu lainsäädännössä (58). Kuninkaallisiin etuoikeuksiin sovelletaan common law -periaatteita (59), ja koska ne ovat normihierarkiassa säädetyn lain alapuolella, niihin sovelletaan myös vuoden 1998 ihmisoikeuslaissa ja vuoden 2018 tietosuojalaissa säädettyjä rajoituksia (60).

(33)

Yhdistyneen kuningaskunnan järjestelmässä edellytetään samalla tavalla kuin direktiivin (EU) 2016/680 8 artiklassa, että lainmukaisuuden periaatteen noudattamiseksi toimivaltaisten viranomaisten olisi varmistettava, että kun henkilötietojen käsittely perustuu lakiin, sen on myös oltava ”tarpeen” lainvalvontatarkoituksessa suoritettavan tehtävän suorittamiseksi. Tietosuojavaltuutetun ohjeissa selvennetään tältä osin, että käsittelyn on oltava kohdennettu ja oikeasuhteinen keino tavoitteen saavuttamiseksi. Käsittely ei ole lainmukaista, jos tavoite voidaan kohtuudella saavuttaa muilla vähemmän yksityisyyteen puuttuvilla keinoilla. Väite, jonka mukaan käsittely on tarpeen, koska liiketoimintaa on päätetty harjoittaa tietyllä tavalla, ei ole riittävä. Kysymys on siitä, onko käsittely tarpeen ilmoitettua tarkoitusta varten (61).

(34)

Kuten johdanto-osan 28 kappaleessa todetaan, vuoden 2018 tietosuojalain 35 §:n 2 momentissa säädetään mahdollisuudesta käsitellä henkilötietoja henkilön ”suostumuksen” perusteella.

(35)

Suostumus ei kuitenkaan näytä olevan tämän päätöksen soveltamisalaan kuuluvien käsittelytoimien kannalta merkityksellinen oikeusperusta. Itse asiassa tämän päätöksen soveltamisalaan kuuluvat käsittelytoimet koskevat aina tietoja, jotka jäsenvaltion toimivaltainen viranomainen on siirtänyt direktiivin (EU) 2016/680 nojalla Yhdistyneen kuningaskunnan toimivaltaiselle viranomaiselle. Näin ollen niihin ei yleensä liity viranomaisen ja rekisteröityjen välistä suoraa vuorovaikutusta (tietojen keruuta), joka voi perustua vuoden 2018 tietosuojalain 35 §:n 2 momentin a kohdan mukaiseen suostumukseen.

(36)

Vaikka suostumuksen käyttämistä perusteena ei näin ollen pidetä merkityksellisenä tämän päätöksen nojalla suoritettavan arvioinnin kannalta, on syytä todeta kattavuuden vuoksi, että lainvalvontaan liittyvä käsittely ei koskaan perustu pelkästään suostumukseen, sillä toimivaltaisella viranomaisella on aina oltava valtuudet käsitellä tietoja (62). Tarkemmin sanottuna ja samoin kuin direktiivissä (EU) 2016/680 (63) sallitaan, tämä tarkoittaa sitä, että suostumus on lisäedellytys sille, että mahdollistetaan tietyt rajoitetut ja erityiset käsittelytoimet, joita ei muutoin voitaisi suorittaa, esimerkiksi sellaisen henkilön DNA-näytteen ottaminen ja käsittely, joka ei ole epäilty. Tässä tapauksessa käsittelyä ei suoriteta, jos suostumusta ei anneta tai se peruutetaan (64).

(37)

Tapauksissa, joissa edellytetään yksilön suostumusta, suostumuksen on oltava yksiselitteinen ja se on annettava toteuttamalla selvästi suostumusta ilmaiseva toimi (65). Poliisivoimilla on oltava tietosuojaseloste, joka sisältää muun muassa tarvittavat tiedot suostumuksen asianmukaisesta käytöstä. Lisäksi jotkin poliisin yksiköt julkaisevat lisäaineistoa siitä, miten ne noudattavat tietosuojalainsäädäntöä, esimerkiksi miten ja milloin ne käyttäisivät suostumusta oikeusperustana (66).

(38)

”Erityisiä tietoryhmiä” käsiteltäessä olisi sovellettava erityisiä suojatoimia. Vuoden 2018 tietosuojalain 3 osassa samoin kuin direktiivin (EU) 2016/680 10 artiklassa säädetään vahvemmista suojatoimista niin sanottua arkaluontoista käsittelyä varten (67).

(39)

Vuoden 1998 tietosuojalain 35 §:n 3 momentin mukaan toimivaltaiset viranomaiset voivat käsitellä arkaluontoisia tietoja lainvalvontatarkoituksessa vain kahdessa tapauksessa: 1) rekisteröity on antanut suostumuksensa tietojen käsittelyyn lainvalvontatarkoituksessa, ja käsittelyn ajankohtana rekisterinpitäjällä on käytössään asianmukainen toimintapoliittinen asiakirja (68); tai 2) käsittely on ehdottoman välttämätöntä lainvalvontatarkoitusta varten, käsittely täyttää vähintään yhden vuoden 2018 tietosuojalain liitteessä 8 vahvistetuista edellytyksistä, ja käsittelyn suorittamishetkellä rekisterinpitäjällä on käytössään asianmukainen toimintapoliittinen asiakirja (69).

(40)

Ensimmäisen tapauksen osalta ja kuten johdanto-osan 38 kappaleessa selitetään, suostumuksen käyttämistä perusteena ei pidetä merkityksellisenä tämän päätöksen soveltamisalaan kuuluvassa siirtotilanteessa (70).

(41)

Jos arkaluontoisten tietojen käsittely ei perustu suostumukseen, se voidaan suorittaa käyttäen jotakin vuoden 2018 tietosuojalain liitteessä 8 luetelluista edellytyksistä. Nämä edellytykset liittyvät käsittelyyn, joka on tarpeen laissa säädettyjä tarkoituksia, tuomiovaltaa, rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamista, lasten ja vaarassa olevien henkilöiden suojelua, oikeudellisia vaateita, oikeudellisia toimia, petosten ehkäisemistä ja arkistointia varten, jos rekisteröity on selvästi julkistanut henkilötiedot. Lukuun ottamatta tapauksia, joissa tiedot on selvästi julkistettu, kaikkiin liitteessä 8 esitettyihin edellytyksiin sovelletaan ”ehdottoman välttämättömyyden” kriteeriä. Kuten tietosuojavaltuutettu on selventänyt, ”tässä yhteydessä ehdottoman välttämätön tarkoittaa, että käsittelyn on liityttävä pakottavaan yhteiskunnalliseen tarpeeseen, eikä tavoitetta voida kohtuudella saavuttaa vähemmän yksityisyyteen puuttuvilla keinoilla” (71). Lisäksi joihinkin edellytyksiin sovelletaan lisärajoituksia. Esimerkiksi jotta voitaisiin käyttää perustana ”laissa säädettyjä tarkoituksia” tai ”suojelua koskevia edellytyksiä” (liitteessä 8 oleva 1 ja 4 kohta) on lisävaatimuksena, että näin voidaan saavuttaa merkittävää yleistä etua. Lisäksi lapsen suojelua koskevien edellytysten osalta (liitteessä 8 oleva 4 kohta) rekisteröidyn on myös oltava tietynikäinen ja hänen on katsottava olevan vaarassa. Lisäksi rekisterinpitäjä voi soveltaa liitteessä 8 olevassa 4 kohdassa säädettyä edellytystä vain erityisissä olosuhteissa (72). Vastaavasti ”oikeudellisia toimia” (liitteessä 8 oleva 7 kohta) ja ”petosten ehkäisemistä” (liitteessä 8 oleva 8 kohta) koskevien edellytysten soveltamiseen on olemassa rajoituksia. Molempia ehtoja voidaan soveltaa vain tiettyihin rekisterinpitäjiin. Oikeudellisia toimia koskevaa edellytystä voi soveltaa ainoastaan tuomioistuin tai muu oikeusviranomainen, ja petostentorjuntaa koskevaa edellytystä voivat soveltaa ainoastaan rekisterinpitäjät, jotka ovat petostentorjuntaorganisaatioita.

(42)

Kun käsittely perustuu johonkin liitteessä 8 luetelluista edellytyksistä ja vuoden 2018 tietosuojalain 42 §:ssä edellytetään, että käytössä on ”asianmukainen toimintapoliittinen asiakirja” – jossa selitetään, miten rekisterinpitäjän on meneteltävä varmistaakseen tietosuojaperiaatteiden noudattamisen, ja mitkä ovat henkilötietojen säilyttämistä ja poistamista koskevat rekisterinpitäjän toimintaperiaatteet – ja sovelletaan laajennettuja kirjan pitämistä koskevia velvoitteita.

(43)

Henkilötietoja olisi käsiteltävä tiettyä tarkoitusta varten ja käytettävä myöhemmin vain siltä osin, kuin se ei ole ristiriidassa kyseisen tarkoituksen kanssa. Tämä tietosuojaperiaate taataan vuoden 2018 tietosuojalain 36 §:ssä. Tässä säännöksessä ja direktiivin (EU) 2016/680 4 artiklan 1 kohdan b alakohdassa edellytetään, että a) lainvalvontatarkoituksen, jota varten henkilötietoja kerätään, on aina oltava tietty, nimenomainen ja laillinen, ja b) näin kerättyjä henkilötietoja ei saa käsitellä tavalla, joka on yhteensopimaton sen tarkoituksen kanssa, jota varten ne on kerätty.

(44)

Kun toimivaltaiset viranomaiset käsittelevät tietoja lainvalvontatarkoituksessa, tähän tarkoitukseen voivat kuulua arkistointi, tieteellinen tai historiallinen tutkimus ja tilastointi (73). Näissä tapauksissa vuoden 2018 tietosuojalaissa myös selvennetään, että arkistointi (tai käsittely tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten) ei ole sallittua, jos se tehdään tiettyä rekisteröityä koskevien päätösten osalta tai jos se todennäköisesti aiheuttaa hänelle huomattavaa vahinkoa tai kärsimystä (74).

(45)

Tietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Tietojen on oltava myös asianmukaisia ja olennaisia, eivätkä ne saa olla liian laajoja siihen tarkoitukseen nähden, jota varten niitä käsitellään. Direktiivin (EU) 2016/680 4 artiklan 1 kohdan c, d ja e alakohdan tavoin nämä periaatteet on varmistettu vuoden 2018 tietosuojalain 37 ja 38 §:ssä. On toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että virheelliset (75) henkilötiedot poistetaan tai oikaistaan viipymättä (76) käsittelyn (77) lainvalvontatarkoitus huomioiden, ja sen varmistamiseksi, että virheellisiä, puutteellisia tai vanhentuneita henkilötietoja ei siirretä tai aseteta saataville mitään lainvalvontatarkoitusta varten (78).

(46)

Lisäksi Yhdistyneen kuningaskunnan tietosuojajärjestelmässä täsmennetään direktiivin (EU) 2016/680 7 artiklan tavoin, että tosiseikkoihin perustuvat henkilötiedot on mahdollisuuksien mukaan erotettava henkilökohtaisiin arvioihin perustuvista henkilötiedoista (79). Tarvittaessa ja mahdollisuuksien mukaan on erotettava selvästi toisistaan henkilötiedot, jotka koskevat eri ryhmiin kuuluvia rekisteröityjä, kuten epäiltyjä, rikoksesta tuomittuja henkilöitä, rikoksen uhreja ja todistajia (80).

(47)

Direktiivin (EU) 2016/680 5 artiklan mukaan tietoja olisi periaatteessa säilytettävä vain niin kauan, kuin on tarpeen niitä tarkoituksia varten, joita varten henkilötietoja käsitellään. Vuoden 2018 tietosuojalain 39 §:n ja samoin kuin mainitun direktiivin 5 artiklan mukaan henkilötietoja ei saa säilyttää mitään lainvalvontatarkoitusta varten pidempään, kuin on tarpeen sen tarkoituksen kannalta, jota varten niitä käsitellään. Yhdistyneen kuningaskunnan oikeudellisessa järjestelmässä edellytetään, että on vahvistettava asianmukaiset määräajat, joiden puitteissa tarkastellaan säännöllisesti uudelleen henkilötietojen säilyttämisen jatkamisen tarpeellisuutta lainvalvontatarkoituksia varten. Henkilötietojen säilyttämiseen liittyviä käytäntöjä ja sovellettavia määräaikoja koskevia lisäsääntöjä on vahvistettu asiaa koskevassa lainsäädännössä ja poliisin toimivaltuuksia ja toimintaa koskevissa ohjeissa. Esimerkiksi Englannissa ja Walesissa poliisiakatemian antama poliisin hallussa olevien tietojen hallintaa koskeva ohjesääntö yhdessä poliisin hallussa olevien tietojen hallintaa koskevien poliisin sisäisten ohjeiden kanssa muodostavat kehyksen, jolla varmistetaan johdonmukainen riskiperusteinen säilyttämis-, tarkistus- ja loppukäsittelyprosessi poliisin hallussa olevan operatiivisen tiedon hallinnointia varten (81). Tässä kehyksessä asetetaan kaikille yksiköille selkeät vaatimukset sille, miten tietoja olisi luotava, jaettava, käytettävä ja hallinnoitava yksittäisten poliisivoimien ja muiden virastojen sisällä ja niiden välillä (82). Poliisin odotetaan noudattavan ohjesääntöä, ja sen noudattamista valvoo Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services (83).

(48)

Pohjois-Irlannin poliisiviraston ei lain mukaan tarvitse noudattaa poliisin hallussa olevien tietojen hallintaa koskevaa ohjesääntöä. Vuonna 2011 hyväksyttyjä poliisin hallussa olevien tietojen hallintaa koskevan ohjesäännön puitteita täydennetään kuitenkin Pohjois-Irlannin poliisiviraston käsikirjalla (84), jossa esitetään toimintaperiaatteet ja menettelyt, kun poliisin hallussa olevien tietojen hallintaa koskevaa ohjesääntöä sovelletaan Pohjois-Irlannissa.

(49)

Skotlannin poliisivoimat tukeutuvat tietojen säilyttämistä koskevaan menettelyohjeeseen (Record Retention Standard Operating Procedure) (85), jossa vahvistetaan Skotlannin poliisiviraston tiedonhallinnan toimintalinjoja (Records Management Policy) (86). Menettelyohjeessa vahvistetaan erityiset Skotlannin poliisin hallussa olevien tietojen säilyttämistä koskevat säännöt.

(50)

Sen lisäksi, että koko Yhdistyneessä kuningaskunnassa sovelletaan yleistä vaatimusta tarkistaa tietoja, paikallisissa säännöissä asetetaan yksityiskohtaisempia vaatimuksia. Esimerkiksi Englannin ja Walesin osalta poliisista ja rikosasioiden todistusaineistosta annetussa laissa, sellaisena kuin se on muutettuna vuonna 2012 vapauksien suojelusta annetulla lailla, säädetään sormenjälkien ja DNA-tunnisteiden säilyttämisestä sekä erityisestä järjestelmästä, jota sovelletaan henkilöihin, joita ei ole tuomittu (87). Vapauksien suojelusta annetulla lailla perustettiin myös biometristen materiaalien säilyttämisestä ja käytöstä vastaavan valtuutetun (Biometrics Commissioner) tehtävä (88). Pidätyskuvia koskevat säännöt annettiin vuoden 2017 pidätyskuvia koskevassa määräyksessä (Custody Image Review) (89). Skotlannissa vuoden 1995 rikosprosessilaissa säädetään sormenjälkien ja biologisten näytteiden hankkimisesta ja säilyttämisestä (90). Kuten Englannissa ja Walesissa, lainsäädännössä säännellään biometristen tietojen säilyttämistä eri tapauksissa (91).

(51)

Henkilötietoja on käsiteltävä tavalla, jolla varmistetaan niiden turvallisuus, mukaan lukien suojaaminen luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Tätä varten viranomaisten on toteutettava asianmukaisia teknisiä tai organisatorisia toimenpiteitä henkilötietojen suojaamiseksi mahdollisilta uhkilta. Näitä toimenpiteitä on arvioitava ottaen huomioon alan uusin tekniikka ja siihen liittyvät kustannukset.

(52)

Nämä periaatteet on otettu huomioon vuoden 2018 tietosuojalain 40 §:ssä, jonka mukaan, samalla tavalla kuin direktiivin (EU) 2016/680 4 artiklan 1 kohdan f alakohdassa säädetään, lainvalvontatarkoituksia varten käsiteltyjä henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen tietoturva, asianmukaisia teknisiä tai organisatorisia toimenpiteitä hyödyntäen. Tähän sisältyy tietojen suojaaminen luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta (92). Vuoden 2018 tietosuojalain 66 §:ssä täsmennetään lisäksi, että kunkin rekisterinpitäjän ja kunkin henkilötietojen käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen henkilötietojen käsittelystä aiheutuviin riskeihin nähden asianmukainen turvallisuustaso. Selittävien huomautusten mukaan rekisterinpitäjän on arvioitava riskit ja toteutettava sen perusteella asianmukaiset turvatoimenpiteet, kuten salaus tai tietoja käsittelevän henkilöstön erityiset turvallisuusselvityksen tasot (93). Arvioinnissa on otettava huomioon myös esimerkiksi käsiteltyjen tietojen luonne ja muut merkitykselliset tekijät tai olosuhteet, jotka voivat vaikuttaa käsittelyn turvallisuuteen.

(53)

Tietoturvaperiaatteiden noudattamista koskeva järjestelmä on hyvin samankaltainen kuin direktiivin (EU) 2016/680 29–31 artiklalla perustettu järjestelmä. Erityisesti silloin, kun on kyse henkilötietojen tietoturvaloukkauksesta, josta rekisterinpitäjä on vastuussa, rekisterinpitäjän on vuoden 2018 tietosuojalain 67 §:n 1 momentin mukaan ilmoitettava tietoturvaloukkauksesta tietosuojavaltuutetulle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa tietoturvaloukkauksesta (94). Ilmoitusvelvollisuutta ei ole, jos henkilötietojen tietoturvaloukkaus ei todennäköisesti aiheuta riskiä yksilöiden oikeuksille ja vapauksille (95). Rekisterinpitäjän on dokumentoitava henkilötietojen tietoturvaloukkaukseen liittyvät tosiseikat, sen vaikutukset ja toteutetut korjaavat toimet siten, että tietosuojavaltuutettu voi varmistaa, onko tietosuojalakia noudatettu (96). Jos henkilötietojen käsittelijä saa tiedon tietoturvaloukkauksesta, sen on ilmoitettava siitä rekisterinpitäjälle ilman aiheetonta viivytystä (97).

(54)

Vuoden 2018 tietosuojalain 68 §:n 1 momentissa säädetään, että jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin yksilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä (98). Ilmoituksessa on oltava samat tiedot kuin johdanto-osan 53 kappaleessa selostetussa tietosuojavaltuutetun ilmoituksessa. Tätä velvoitetta ei sovelleta, jos rekisterinpitäjä oli toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet, joita sovellettiin henkilötietoihin, joita tietoturvaloukkaus koskee. Sitä ei sovelleta myöskään, jos rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että rekisteröityjen oikeuksiin ja vapauksiin kohdistuva suuri riski ei enää todennäköisesti toteudu. Rekisterinpitäjän ei myöskään tarvitse ilmoittaa rekisteröidylle, jos ilmoittaminen vaatisi kohtuutonta vaivaa (99). Tällöin tiedot on asetettava rekisteröidyn saataville muulla yhtä tehokkaalla tavalla, esimerkiksi julkisella tiedonannolla (100). Jos rekisterinpitäjä ei ole ilmoittanut rekisteröidylle tietoturvaloukkauksesta, tietosuojavaltuutettu voi tietosuojalain 67 §:n mukaisen ilmoituksen jälkeen ja arvioituaan, että tietoturvaloukkaus aiheuttaa suuren riskin, vaatia rekisterinpitäjää ilmoittamaan tietoturvaloukkauksesta rekisteröidylle (101).

(55)

Rekisteröidyille on ilmoitettava heidän henkilötietojensa käsittelyn pääkohdat. Tämä tietosuojaperiaate on otettu huomioon vuoden 2018 tietosuojalain 44 §:ssä, jossa säädetään direktiivin (EU) 2016/680 13 artiklan tavoin, että rekisterinpitäjällä on yleinen velvollisuus antaa rekisteröityjen saataville tiedot heidän henkilötietojensa käsittelystä (joko asettamalla tiedot yleisesti yleisön saataville tai muulla tavoin) (102). Saataville asetettaviin tietoihin kuuluvat a) rekisterinpitäjän henkilöllisyys ja yhteystiedot, b) tapauksen mukaan tietosuojavastaavan yhteystiedot, c) tarkoitukset, joita varten rekisterinpitäjä käsittelee henkilötietoja, d) tieto siitä, että rekisteröidyillä on oikeus pyytää rekisterinpitäjältä pääsy henkilötietoihin sekä oikeus pyytää henkilötietojen oikaisemista tai poistamista tai henkilötietojen käsittelyn rajoittamista, ja e) tieto oikeudesta tehdä valitus tietosuojavaltuutetulle ja tietosuojavaltuutetun yhteystiedot (103).

(56)

Rekisterinpitäjän on myös sellaisissa erityistapauksissa, joissa mahdollistetaan vuoden 2018 tietosuojalain mukaisten rekisteröidyn oikeuksien käyttäminen (esimerkiksi kun käsiteltävät henkilötiedot on kerätty rekisteröidyn tietämättä), annettava rekisteröidylle seuraavat tiedot: a) käsittelyn oikeusperusta, b) henkilötietojen säilytysaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit, c) tarvittaessa tiedot henkilötietojen vastaanottajien ryhmistä (myös kolmansissa maissa tai kansainvälisissä järjestöissä olevista vastaanottajista), d) lisätiedot, jotka ovat rekisteröidylle tarpeen vuoden 2018 tietosuojalain 3 osan (104) mukaisten oikeuksien käyttämiseksi.

(57)

Rekisteröidyillä on oltava tiettyjä täytäntöönpanokelpoisia oikeuksia. Vuoden 2018 tietosuojalain 3 osan 3 luvussa annetaan yksilöille oikeus saada pääsy henkilötietoihin, oikaista ja poistaa niitä sekä rajoittaa niiden käyttöä (105). Nämä oikeudet ovat verrattavissa direktiivin (EU) 2016/680 3 luvussa säädettyihin oikeuksiin.

(58)

Oikeudesta saada pääsy tietoihin säädetään vuoden 2018 tietosuojalain 45 §:ssä. Yksilöllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö hänen henkilötietojaan vai ei (106). Kun henkilötietoja käsitellään, rekisteröidyllä on myös oikeus saada pääsy kyseisiin tietoihin ja vastaanottaa seuraavat tiedot käsittelystä: a) käsittelyn tarkoitukset ja oikeusperustat, b) kyseessä olevat tietoryhmät, c) vastaanottaja, jolle tiedot on luovutettu, d) henkilötietojen säilytysaika, e) rekisteröidyn oikeus henkilötietojen oikaisemiseen ja poistamiseen, f) oikeus tehdä valitus ja g) mahdolliset tiedot kyseisten henkilötietojen alkuperästä (107).

(59)

Vuoden 2018 tietosuojalain 46 §:n mukaan rekisteröidyllä on oikeus vaatia rekisterinpitäjää oikaisemaan häntä koskevat virheelliset henkilötiedot. Rekisterinpitäjän on oikaistava (tai jos tiedot ovat virheellisiä siksi, että ne ovat puutteellisia, täydennettävä) tiedot ilman aiheetonta viivytystä. Jos henkilötiedot on säilytettävä todistelua varten, rekisterinpitäjän on (henkilötietojen oikaisemisen sijaan) rajoitettava niiden käsittelyä (108).

(60)

Vuoden 2018 tietosuojalain 47 §:ssä annetaan yksityishenkilöille oikeus tietojen poistamiseen ja käsittelyn rajoittamiseen. Rekisterinpitäjän on poistettava (109) henkilötiedot ilman aiheetonta viivytystä, jos henkilötietojen käsittely rikkoisi tietosuojaperiaatteita, käsittelyn oikeudellisia perusteita tai arkistointia ja arkaluontoista käsittelyä koskevia suojatoimia. Rekisterinpitäjän on myös poistettava tiedot, jos siihen on lakisääteinen velvoite. Jos henkilötiedot on säilytettävä todistelua varten, rekisterinpitäjän on (henkilötietojen poistamisen sijaan) rajoitettava niiden käsittelyä (110). Rekisterinpitäjän on rajoitettava henkilötietojen käsittelyä, jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, mutta tietojen oikeellisuutta ei voida varmistaa (111).

(61)

Jos rekisteröity pyytää henkilötietojen oikaisemista tai poistamista tai niiden käsittelyn rajoittamista, rekisterinpitäjän on ilmoitettava rekisteröidylle kirjallisesti, onko pyyntöön suostuttu. Jos pyyntö on hylätty, sen on ilmoitettava rekisteröidylle kieltäytymisen syyt ja käytettävissä olevat oikeussuojakeinot (rekisteröidyn oikeus pyytää tietosuojavaltuutettua tutkimaan, onko rajoitusta sovellettu lainmukaisesti, oikeus tehdä valitus tietovaltuutetulle ja oikeus vaatia tuomioistuimelta lain noudattamista koskevan määräyksen antamista) (112).

(62)

Jos rekisterinpitäjä oikaisee toiselta toimivaltaiselta viranomaiselta saatuja henkilötietoja, sen on ilmoitettava asiasta kyseiselle toiselle viranomaiselle (113). Jos rekisterinpitäjä oikaisee tai poistaa luovuttamiaan henkilötietoja tai rajoittaa niiden käsittelyä, rekisterinpitäjän on ilmoitettava tästä vastaanottajille, ja vastaanottajien on vastaavasti oikaistava tai poistettava henkilötietoja tai rajoitettava niiden käsittelyä (siltä osin kuin he ovat edelleen vastuussa henkilötietojen käsittelystä) (114).

(63)

Lisäksi rekisteröidyllä on oikeus saada rekisterinpitäjältä ilman aiheetonta viivytystä tieto henkilötietojen tietoturvaloukkauksesta, jos se todennäköisesti aiheuttaa suuren riskin yksilöiden oikeuksille ja vapauksille (115).

(64)

Kaikkien näiden rekisteröidyn oikeuksien osalta ja samoin kuin direktiivin (EU) 2016/680 12 artiklassa säädetään, rekisterinpitäjällä on velvollisuus varmistaa, että kaikki rekisteröidylle annettavat tiedot toimitetaan tiiviisti esitetyssä, ymmärrettävässä ja helposti saatavilla olevassa muodossa (116) ja mahdollisuuksien mukaan samassa muodossa kuin pyyntö (117). Rekisterinpitäjän on noudatettava rekisteröidyn pyyntöä ilman aiheetonta viivytystä tai joka tapauksessa periaatteessa kuukauden kuluessa pyynnön esittämisestä (118). Jos rekisterinpitäjällä on perusteltua aihetta epäillä pyytäjän henkilöllisyyttä, hän voi pyytää lisätietoja ja viivyttää pyynnön käsittelyä, kunnes henkilöllisyys on varmistettu. Rekisterinpitäjä voi vaatia kohtuullista maksua tai kieltäytyä toimimasta, jos se katsoo pyynnön ilmeisen perusteettomaksi (119). Tietosuojavaltuutettu on antanut ohjeita siitä, milloin pyyntö katsotaan ilmeisen perusteettomaksi tai kohtuuttomaksi ja milloin maksua voidaan vaatia (120).

(65)

Lisäksi vuoden 2018 tietosuojalain 53 §:n 4 momentin mukaan Secretary of State voi vahvistaa maksun enimmäismäärän asetuksella.

(66)

Toimivaltainen viranomainen voi tietyissä olosuhteissa rajoittaa rekisteröidyn oikeuksia, kuten oikeutta saada pääsy tietoihin (121), saada tieto (122), tietää henkilötietojen tietoturvaloukkauksesta (123) ja saada tieto siitä, miksi oikaisu- tai poistamispyyntö on hylätty (124). Samalla tavalla kuin direktiivin (EU) 2016/680 III luvussa tarkoitetussa järjestelmässä, toimivaltainen viranomainen voi soveltaa rajoitusta vain, jos se on rekisteröidyn perusoikeudet ja oikeutetut edut huomioon ottaen välttämätöntä ja oikeasuhteista, a) jotta vältetään virallisen tai laillisen tiedustelun, tutkimuksen tai menettelyn estäminen b) jotta vältetään tuottamasta haittaa rikosten ennalta estämiselle, tutkimiselle ja paljastamiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle, c) yleisen turvallisuuden suojelemiseksi, d) kansallisen turvallisuuden suojelemiseksi, e) muiden henkilöiden oikeuksien ja vapauksien suojaamiseksi.

(67)

Tietosuojavaltuutettu on antanut ohjeita näiden rajoitusten soveltamisesta. Rekisterinpitäjien on tehtävä näiden ohjeiden mukaan tapauskohtainen analyysi, jossa otetaan tasapuolisesti huomioon yksilön oikeudet ja tietojen luovuttamisesta aiheutuva haitta. Niiden on erityisesti perusteltava kaikki tarpeellisina ja oikeasuhteisina sovelletut rajoitukset, ja ne voivat rajoittaa sitä, mitä on luovutettu, ainoastaan, jos se haittaisi edellä mainittuja tarkoituksia (125).

(68)

On myös useita muita toimivaltaisten viranomaisten antamia ohjeita, joissa annetaan yksityiskohtaista tietoa tietosuojalainsäädännön eri näkökohdista, muun muassa rekisteröityjen oikeuksia koskevien rajoitusten soveltamisesta (126). Esimerkiksi kansallisen poliisipäälliköiden neuvoston tietosuojakäsikirjassa (Data Protection Manual of the National Police Chief’s Counsel) todetaan 45 §:n 4 momentin osalta seuraavaa: ”On tärkeää huomata, että rajoituksia voidaan soveltaa vain siinä määrin ja niin kauan, kuin on tarpeen. Näin ollen rajoituksen yleinen soveltaminen kaikkiin hakijan henkilötietoihin tai rajoituksen pysyvä soveltaminen ei ole sallittua. Viimeksi mainitun seikan osalta on usein niin, että henkilötiedot, jotka on kerätty tutkinnan kohteena olevan rekisteröidyn tietämättä, on ensin suojattava paljastamiselta hänelle, jotta ei aiheuteta haittaa tutkinnalle sen aikana, mutta myöhemmin tietojen ilmaiseminen ei olisi vahingollista, jos henkilötiedot olisi luovutettu henkilölle puhuttelun aikana. Poliisivoimien on otettava käyttöön menettelyt, joilla varmistetaan, että näiden rajoitusten soveltaminen on välttämätöntä ja kestää vain tarvittavan ajan.” (127) Näissä ohjeissa annetaan myös esimerkkejä siitä, milloin kutakin rajoitusta todennäköisesti sovelletaan (128).

(69)

Lisäksi voidaan todeta mahdollisuudesta rajoittaa näiden edellä mainittujen oikeuksien soveltamista ”kansallisen turvallisuuden” suojelemiseksi, että rekisterinpitäjä voi pyytää kabinettiministerin tai oikeuskanslerin (Attorney General) (tai Skotlannin oikeuskanslerin) allekirjoittamaa todistusta siitä, että tällaisten oikeuksien rajoittaminen on välttämätön ja oikeasuhteinen toimenpide kansallisen turvallisuuden suojelemiseksi (129). Yhdistyneen kuningaskunnan hallitus on antanut ohjeita kansallista turvallisuutta koskevan todistuksen osalta vuoden 2018 tietosuojalain nojalla. Ohjeissa korostetaan erityisesti, että kaikkien kansalliseen turvallisuuteen liittyvien rekisteröityjen oikeuksien rajoitusten on oltava oikeasuhteisia ja välttämättömiä (130) (ks. lisätietoja kansallista turvallisuutta koskevasta todistuksesta johdanto-osan 131–134 kappale).

(70)

Lisäksi jos rekisteröidyn oikeuksia rajoitetaan, toimivaltaisen viranomaisen on ilmoitettava rekisteröidylle ilman aiheetonta viivytystä oikeuksien rajoittamisesta, rajoituksen syistä ja käytettävissä olevista oikeussuojakeinoista, paitsi jos näiden tietojen antaminen heikentäisi sitä perustetta, jolla rajoitusta sovelletaan (131). Rajoitusten väärinkäyttöä estävänä ylimääräisenä suojatoimena rekisterinpitäjän on kirjattava syyt tietojen rajoittamiseen ja annettava tiedot pyydettäessä tietosuojavaltuutetun käyttöön (132).

(71)

Jos rekisterinpitäjä kieltäytyy antamasta läpinäkyvyyteen liittyviä lisätietoja tai antamasta pääsyn tietoihin taikka hylkää oikaisua, poistamista tai käsittelyn rajoittamista koskevan pyynnön, henkilö voi pyytää tietosuojavaltuutettua tutkimaan, onko rekisterinpitäjä käyttänyt rajoitusta lainmukaisesti (133). Asianomainen henkilö voi myös tehdä valituksen tietosuojavaltuutetulle tai pyytää tuomioistuinta määräämään rekisterinpitäjän noudattamaan pyyntöä (134).

(72)

Vuoden 2018 tietosuojalain 49 ja 50 § kattavat automatisoituun päätöksentekoon liittyvät oikeudet ja sovellettavat suojatoimet (135). Rekisterinpitäjä voi tehdä merkittävän päätöksen, joka perustuu pelkästään henkilötietojen automatisoituun käsittelyyn, jos sitä edellytetään tai se sallitaan laissa, kuten myös direktiivin (EU) 2016/680 11 artiklassa säädetään (136). Päätös on merkittävä, jos sillä olisi rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai jos se vaikuttaisi merkittävästi rekisteröityyn (137).

(73)

Jos rekisterinpitäjän on lain mukaan tehtävä merkittävä päätös tai sillä on lupa tehdä merkittävä päätös, vuoden 2018 tietosuojalain 50 §:ssä säädetään suojatoimista, joita sovelletaan tällaiseen päätökseen (joka määritellään ”vaatimukset täyttäväksi merkittäväksi päätökseksi”). Rekisterinpitäjän on mahdollisimman pian ilmoitettava rekisteröidylle, että tällainen päätös on tehty. Rekisteröity voi kuukauden kuluessa pyytää rekisterinpitäjää harkitsemaan päätöstä uudelleen tai tekemään uuden päätöksen, joka ei perustu pelkästään automatisoituun käsittelyyn. Rekisterinpitäjän on tarkasteltava pyyntöä ja ilmoitettava rekisteröidylle käsittelyn tuloksesta. Vuoden 2018 tietosuojalaissa annetaan Secretary of Statelle valtuudet antaa asetuksia täydentävistä suojatoimista (138). Tällaisia asetuksia ei ole vielä annettu.

(74)

Jäsenvaltion lainvalvontaviranomaiselta Yhdistyneen kuningaskunnan lainvalvontaviranomaiselle siirrettyjen henkilötietojen suojan tasoa ei saa heikentää, kun näitä tietoja siirretään edelleen kolmannessa maassa sijaitseville vastaanottajille. Tällaiset ”jatkosiirrot”, jotka Yhdistyneen kuningaskunnan lainvalvontaviranomaisen näkökulmasta ovat luonteeltaan Yhdistyneestä kuningaskunnasta tapahtuvia kansainvälisiä siirtoja, olisi sallittava vain siinä tapauksessa, että kyseiseen Yhdistyneen kuningaskunnan ulkopuolella toimivaan vastaanottajaan sovelletaan sääntöjä, joilla varmistetaan, että suojelun taso vastaa Yhdistyneen kuningaskunnan oikeusjärjestyksessä taattua suojelun tasoa.

(75)

Kansainvälisiä siirtoja koskevaa Yhdistyneen kuningaskunnan järjestelmää säännellään vuoden 2018 tietosuojalain 3 osan 5 luvussa (139), ja se vastaa direktiivin (EU) 2016/680 V luvussa omaksuttua lähestymistapaa. Jotta henkilötietoja voidaan siirtää kolmanteen maahan, toimivaltaisen viranomaisen on erityisesti täytettävä seuraavat kolme edellytystä: a ) siirron on oltava tarpeen lainvalvontatarkoitusta varten; b) siirron on perustuttava i) kolmannen maan osalta tietosuojan riittävyyttä koskevaan asetukseen, ii) jos se ei perustu tietosuojan riittävyyttä koskevaan asetukseen, asianmukaisten suojatoimien olemassaoloon tai iii) jos se ei perustu tietosuojan riittävyyttä koskevaan päätökseen tai asianmukaisiin suojatoimiin, sen on perustuttava erityisiin olosuhteisiin; ja c) siirron vastaanottajan on oltava i) kolmannen maan asiaankuuluva viranomainen (eli toimivaltaista viranomaista vastaava viranomainen); ii) ”asianomainen kansainvälinen järjestö”, esimerkiksi kansainvälinen elin, joka suorittaa tehtäviä, jotka vastaavat mitä tahansa lainvalvontatarkoitusta; tai iii) muu henkilö kuin asiaankuuluva viranomainen, mutta vain jos siirto on ehdottoman välttämätön jonkin lainvalvontatarkoituksen suorittamiseksi; asianomaisen rekisteröidyn perusoikeudet ja -vapaudet eivät syrjäytä yleistä etua, jonka perusteella siirto on tarpeen; henkilötietojen siirtäminen kolmannen maan asianomaiselle viranomaiselle olisi tehotonta tai epätarkoituksenmukaista; ja vastaanottajalle ilmoitetaan tarkoitukset, joita varten tietoja voidaan käsitellä (140).

(76)

Secretary of State antaa kolmanteen maahan, kolmannen maan alueeseen tai sektoriin tai kansainväliseen järjestöön sovellettavat tietosuojan riittävyyttä koskevat määräykset tai tällaisen maan, alueen, sektorin tai järjestön kuvauksen (141). Secretary of Staten on arvioitava, takaako kyseinen alue/ala/organisaatio henkilötietojen suojan riittävän tason. Vuoden 2018 tietosuojalain 74A §:n 4 momentissa täsmennetään, että tätä varten Secretary of Staten on otettava huomioon useita direktiivin (EU) 2016/680 36 artiklassa lueteltujen kaltaisia seikkoja (142). Tältä osin vuoden 2018 tietosuojalain 3 osa on siirtymäkauden päättymisestä lähtien ollut ”EU-oikeudesta johdettua sisäistä lainsäädäntöä”, jota Yhdistyneen kuningaskunnan tuomioistuimet tulkitsevat, kuten selitettiin, asiaa koskevan unionin tuomioistuimen sellaisen oikeuskäytännön mukaisesti, joka on annettu ennen Yhdistyneen kuningaskunnan eroa unionista, ja unionin oikeuden yleisten periaatteiden mukaisesti, koska ne olivat voimassa välittömästi ennen siirtymäkauden päättymistä. Tämä sisältää ”olennaisen vastaavuuden” vaatimuksen, jota sovelletaan Yhdistyneen kuningaskunnan viranomaisten suorittamiin riittävyysarviointeihin.

(77)

Menettelyn osalta asetuksiin sovelletaan vuoden 2018 tietosuojalain 182 §:ssä säädettyjä ”yleisiä” menettelyvaatimuksia. Menettelyn mukaan Secretary of Staten on kuultava tietosuojavaltuutettua ennen tietosuojan riittävyyttä koskevien Yhdistyneen kuningaskunnan tulevien asetusten ehdottamista (143). Kun Secretary of State on hyväksynyt asetukset, ne toimitetaan parlamenttiin sekä ylä- että alahuoneen käsiteltäväksi ns. negatiivisessa päätöslauselmamenettelyssä (negative resolution procedure). Tämä tarkoittaa, että asetus tulee voimaan, jollei kummallekaan kamarille esitetä vaatimusta sen hylkäämisestä 40 päivän kuluessa (144).

(78)

Vuoden 2018 tietosuojalain 74B §:n 1 momentin mukaan tietosuojan riittävyyttä koskevia asetuksia on tarkasteltava uudelleen enintään neljän vuoden välein, ja Secretary of Staten on jatkuvasti seurattava kolmansissa maissa ja kansainvälisissä järjestöissä tapahtuvaa kehitystä, joka voisi vaikuttaa päätökseen tehdä tällaisia asetuksia tai niiden muuttamiseen tai kumoamiseen. Jos Secretary of State saa tietoonsa, että jokin maa tai järjestö ei enää takaa henkilötietojen riittävää tietosuojaa, hänen on tarvittaessa muutettava asetuksia tai kumottava ne ja aloitettava kyseisen kolmannen maan tai kansainvälisen järjestön kanssa neuvottelut tietosuojaan liittyvien puutteiden korjaamiseksi.

(79)

Samoin kuin direktiivin (EU) 2016/680 37 artiklassa säädetään, tietosuojan riittävyyttä koskevan asetuksen puuttuessa henkilötietojen siirto lainvalvonta-alalla olisi mahdollista, kun asianmukaiset suojatoimet on toteutettu. Tällaiset suojatoimet varmistetaan joko a) oikeudellisesti sitovalla välineellä, joka sisältää asianmukaiset suojatoimet henkilötietojen suojaamiseksi tai b) rekisterinpitäjän suorittamalla arvioinnilla, jossa se kaikki siirtoon liittyvät olosuhteet arvioituaan päätyy siihen, että henkilötietojen suojaamiseksi on olemassa asianmukaiset suojatoimet (145). Lisäksi kun siirrot perustuvat asianmukaisiin suojatoimiin, vuoden 2018 tietosuojalaissa säädetään, että tietosuojavaltuutetun tavanomaisen valvontatehtävän lisäksi toimivaltaisten viranomaisten on annettava tarkat tiedot siirroista tietosuojavaltuutetulle (146).

(80)

Jos siirto ei perustu tietosuojan riittävyyttä koskevaan päätökseen tai asianmukaisiin suojatoimiin, se voidaan toteuttaa vain tietyissä olosuhteissa, joista käytetään nimitystä ”erityiset olosuhteet” (147). Näin on silloin, kun siirto on tarpeen a) rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi; b) rekisteröidyn oikeutettujen etujen turvaamiseksi; c) kolmannen maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhan ehkäisemiseksi; d) yksittäistapauksissa jotakin lainvalvontatarkoitusta varten; tai e) yksittäistapauksissa jotakin oikeudellista tarkoitusta varten (esimerkiksi oikeudenkäyntiä tai oikeudellisen neuvonnan saamista varten) (148). Todettakoon, että d ja e alakohtaa ei sovelleta, jos rekisteröidyn oikeudet ja vapaudet syrjäyttävät siirtoon liittyvän yleisen edun (149). Nämä olosuhteet vastaavat niitä erityistilanteita ja -edellytyksiä, joita voidaan pitää direktiivin (EU) 2016/680 38 artiklassa tarkoitettuina ”poikkeuksina”.

(81)

Näissä olosuhteissa siirron päivämäärä, kellonaika ja perustelut, vastaanottajan nimi ja muut merkitykselliset tiedot sekä siirrettyjen henkilötietojen kuvaus on dokumentoitava ja toimitettava pyynnöstä tietosuojavaltuutetulle (150).

(82)

Vuoden 2018 tietosuojalain 78 §:ssä säädetään myöhemmistä siirroista eli tilanteesta, jossa Yhdistyneestä kuningaskunnasta kolmanteen maahan siirretyt henkilötiedot siirretään myöhemmin toiseen kolmanteen maahan tai kansainväliselle järjestölle. Lain 78 §:n 1 momentin mukaan Yhdistyneen kuningaskunnan siirtävän rekisterinpitäjän on asetettava siirron ehdoksi, että tietoja ei siirretä edelleen kolmanteen maahan ilman siirtävän rekisterinpitäjän lupaa. Lisäksi 78 §:n 3 momentin mukaan ja samoin kuin direktiivin (EU) 2016/680 35 artiklan 1 kohdan e alakohdassa säädetään, jos tällainen lupa vaaditaan, sovelletaan useita aineellisia vaatimuksia. Tarkemmin sanottuna toimivaltaisen viranomaisen on siirron hyväksymisestä päättäessään varmistettava, että siirto on tarpeen lainvalvontatarkoituksessa, ja otettava huomioon muun muassa a) lupapyyntöön johtaneiden olosuhteiden vakavuus, b) tarkoitus, jota varten henkilötiedot alun perin siirrettiin, ja c) henkilötietojen suojaa koskevat vaatimukset, joita sovelletaan siinä kolmannessa maassa tai kansainvälisessä järjestössä, johon henkilötiedot siirrettäisiin.

(83)

Lisäksi silloin, kun Yhdistyneestä kuningaskunnasta edelleen siirrettävät tiedot oli alun perin siirretty Euroopan unionista, sovelletaan ylimääräisiä suojatoimia.

(84)

Ensinnäkin vuoden 2018 tietosuojalain 73 §:n 1 momentin b kohdassa – samoin kuin direktiivin (EU) 2016/680 35 artiklan 1 kohdan c alakohdassa – säädetään, että jos jäsenvaltio on alun perin siirtänyt henkilötiedot rekisterinpitäjälle tai muulle toimivaltaiselle viranomaiselle tai asettanut ne muutoin rekisterinpitäjälle tai muulle toimivaltaiselle viranomaiselle, kyseisen jäsenvaltion tai tähän jäsenvaltioon sijoittautuneen henkilön, joka on direktiivissä (EU) 2016/680 tarkoitettu toimivaltainen viranomainen, jäsenvaltion lainsäädännön mukaisesti siirtoon antama lupa on edellytyksenä.

(85)

Samoin kuin direktiivin (EU) 2016/680 35 artiklan 2 kohdassa säädetään, tällaista lupaa ei kuitenkaan vaadita, jos a) siirto on tarpeen joko jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen tai jäsenvaltion olennaisiin etuihin kohdistuvan välittömän ja vakavan uhan estämiseksi ja b) lupaa ei voida saada ajoissa. Tässä tapauksessa sen jäsenvaltion viranomaiselle, joka olisi ollut vastuussa siirron hyväksymisestä, on ilmoitettava asiasta viipymättä (151).

(86)

Toiseksi samaa lähestymistapaa sovelletaan silloin, kun tiedot on alun perin siirretty Euroopan unionista Yhdistyneeseen kuningaskuntaan, minkä jälkeen Yhdistynyt kuningaskunta on siirtänyt ne edelleen kolmanteen maahan, joka myöhemmin siirtää ne edelleen kolmanteen maahan. Tässä tapauksessa Yhdistyneen kuningaskunnan toimivaltainen viranomainen ei voi 78 §:n 4 momentin nojalla antaa lupaa jälkimmäiselle siirrolle 78 §:n 1 momentin nojalla, paitsi jos jäsenvaltio, joka on alun perin siirtänyt kyseiset tiedot, tai tähän jäsenvaltioon sijoittautunut henkilö, joka on lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetussa direktiivissä tarkoitettu toimivaltainen viranomainen, on antanut siirtoon luvan jäsenvaltion lainsäädännön mukaisesti. Nämä suojatoimet ovat tärkeitä, koska ne antavat jäsenvaltioiden viranomaisille mahdollisuuden varmistaa suojan jatkuvuus EU:n tietosuojalainsäädäntöä noudattaen koko siirtoketjun ajan.

(87)

Kansainvälisiä siirtoja koskevien uusien puitteiden soveltaminen alkoi siirtymäkauden päätyttyä (152). Liitteessä 21 olevassa 10–12 kohdassa (otettu käyttöön DPPC-säädöksellä) kuitenkin säädetään, että siirtymäkauden päättymisestä lähtien tiettyjä henkilötietojen siirtoja kohdellaan, ikään kuin ne perustuisivat tietosuojan riittävyyttä koskeviin asetuksiin. Näihin siirtoihin kuuluvat siirrot jäsenvaltioon, EFTA-valtioon, kolmanteen maahan, josta EU on tehnyt tietosuojan tason riittävyyttä koskevan päätöksen siirtymäkauden päättyessä, sekä Gibraltarin alueelle. Siirtoja näihin maihin voidaan jatkaa samalla tavoin kuin ennen Yhdistyneen kuningaskunnan eroamista unionista. Siirtymäkauden päättymisen jälkeen Secretary of Staten on tarkasteltava tietosuojan riittävyyttä uudelleen neljän vuoden jälkeen eli joulukuun 2024 loppuun mennessä. Yhdistyneen kuningaskunnan viranomaiset ovat selittäneet, että vaikka Secretary of Staten on toteutettava tällainen uudelleentarkastelu joulukuun 2024 loppuun mennessä, siirtymäsäännöksiin ei sisälly raukeamissäännöstä, joten niiden oikeusvaikutus ei lakkaa automaattisesti, vaikka tarkastelu ei olisikaan saatettu päätökseen joulukuun 2024 loppuun mennessä.

(88)

Vastuuvelvollisuutta koskevan periaatteen mukaisesti tietoja käsittelevien viranomaisten on otettava käyttöön asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta ne voivat tehokkaasti noudattaa tietosuojavelvoitteitaan ja myös osoittaa sen erityisesti toimivaltaiselle valvontaviranomaiselle.

(89)

Tämä periaate on otettu huomioon vuoden 2018 tietosuojalain 56 §:ssä, jossa asetetaan rekisterinpitäjälle yleinen vastuuvelvollisuus eli velvoite toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittely on vuoden 2018 tietosuojalain 3 osan vaatimusten mukaista. Toteutettuja toimenpiteitä on tarkasteltava uudelleen ja päivitettävä tarvittaessa, ja jos se on oikeasuhteista käsittelyyn nähden, toteutettava asianmukaiset tietosuojaperiaatteet.

(90)

Samoin kuin direktiivin (EU) 2016/680 IV luvussa, vuoden 2018 tietosuojalain 55–71 §:ssä säädetään erilaisista mekanismeista, joilla varmistetaan vastuuvelvollisuus ja annetaan rekisterinpitäjille ja henkilötietojen käsittelijöille mahdollisuus osoittaa vaatimustenmukaisuus. Rekisterinpitäjien on erityisesti toteutettava sisäänrakennettu ja oletusarvoinen tietosuoja eli varmistettava, että tietosuojaperiaatteet pannaan tehokkaasti täytäntöön. Niiden on myös pidettävä kirjaa kaikista rekisterinpitäjän vastuulla olevista käsittelytoimien luokista (mukaan lukien rekisterinpitäjän henkilöllisyys, tietosuojavastaavan yhteystiedot, käsittelyn tarkoitukset, tietojen vastaanottajien ryhmät, kuvaus rekisteröityjen ryhmistä ja henkilötiedot) ja pidettävä nämä tiedot pyynnöstä tietosuojavaltuutetun saatavilla. Rekisterinpitäjän ja henkilötietojen käsittelijän on myös säilytettävä lokitiedot tietyistä käsittelytoimista ja annettava ne tietosuojavaltuutetun käyttöön (153). Rekisterinpitäjien on myös avustettava tietosuojavaltuutettua hänen tehtäviensä hoitamisessa.

(91)

Vuoden 2018 tietosuojalaissa asetetaan myös lisävaatimuksia käsittelylle, joka todennäköisesti aiheuttaa suuren riskin yksilöiden oikeuksille ja vapauksille. Näihin kuuluu velvollisuus tehdä tietosuojaa koskevia vaikutustenarviointeja ja kuulla tietosuojavaltuutettua ennen käsittelyä, jos tällainen arviointi osoittaa, että käsittely aiheuttaisi suuren riskin yksilöiden oikeuksille ja vapauksille (jos ei ryhdytä toimiin riskin lieventämiseksi).

(92)

Rekisterinpitäjien on lisäksi nimitettävä tietosuojavastaava, paitsi jos rekisterinpitäjä on tuomioistuin tai muu oikeusviranomainen, joka toimii lainkäyttötehtävissä (154). Rekisterinpitäjän on varmistettava, että tietosuojavastaava osallistuu kaikkien henkilötietojen suojaan liittyvien kysymysten käsittelyyn, että hänellä on tarvittavat resurssit ja pääsy henkilötietoihin ja käsittelytoimiin ja että hän voi suorittaa tehtävänsä riippumattomasti. Tietosuojavastaavan tehtävistä säädetään vuoden 2018 tietosuojalain 71 §:ssä, ja niihin kuuluvat tietojen ja neuvojen antaminen, tietosuojasääntöjen noudattamisen valvonta sekä yhteistyö tietosuojavaltuutetun kanssa ja yhteyspisteenä toimiminen. Tehtäviään suorittaessaan tietosuojavastaavan on tutkittava käsittelytoimiin liittyvät riskit ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

(93)

Sen varmistamiseksi, että tietosuojan riittävä taso taataan myös käytännössä, on oltava riippumaton valvontaviranomainen, jonka tehtävänä on valvoa tietosuojasääntöjen noudattamista ja varmistaa niiden täytäntöönpano. Kyseisen viranomaisen on toimittava riippumattomasti ja puolueettomasti tehtäviään suorittaessaan ja toimivaltuuksiaan käyttäessään.

(94)

Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen ja vuoden 2018 tietosuojalain noudattamisen valvonnasta ja täytäntöönpanosta vastaa tietosuojavaltuutettu (Information Commissioner) (155). Tietosuojavaltuutettu valvoo myös toimivaltaisten viranomaisten vuoden 2018 tietosuojalain 3 osan nojalla suorittamaa henkilötietojen käsittelyä (156). Tietosuojavaltuutettu on ns. Corporation Sole eli itsenäinen oikeushenkilö, jonka tehtävää hoitaa yksi luonnollinen henkilö. Tietosuojavaltuutettua avustaa hänen työssään toimisto. Tietosuojavaltuutetun toimiston vakinaisten työntekijöiden määrä 31. maaliskuuta 2020 oli 768 (157). Tietosuojavaltuutettu toimii digitaaliasiain-, kulttuuri-, media- ja urheiluministeriön alaisuudessa (158).

(95)

Tietosuojavaltuutetun riippumattomuus vahvistetaan nimenomaisesti Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 52 artiklassa, jossa otetaan huomioon Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (159) 52 artiklan 1–3 kohdassa säädetyt vaatimukset. Tietosuojavaltuutetun tulee toimia täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään hänelle Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen mukaisesti annettuja valtuuksia. Häneen ei saa vaikuttaa ulkopuolelta suoraan eikä välillisesti hänen hoitaessaan tehtäviään ja käyttäessään valtuuksiaan, eikä hän saa pyytää eikä ottaa ohjeita miltään taholta. Tietosuojavaltuutetun on myös pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen hänen tehtäviensä hoitamisen kanssa, eikä hän saa toimikautensa aikana harjoittaa palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.

(96)

Tietosuojavaltuutetun nimittämistä ja erottamista koskevat ehdot esitetään vuoden 2018 tietosuojalain liitteessä 12. Kuningatar nimittää tietosuojavaltuutetun oikeudenmukaisen ja läpinäkyvän kilpailun perusteella laaditun hallituksen suosituksen mukaisesti. Hakijoilla on oltava asianmukainen tutkinto, osaaminen ja pätevyys. Neuvoa-antava arviointilautakunta laatii luettelon hyväksytyistä hakijoista julkisia nimityksiä koskevien hallintosääntöjen (160) mukaisesti. Secretary of State tekee päätöksensä sen jälkeen, kun asianomainen parlamentin erityisvaliokunta on suorittanut ennakkotarkastelun. Valiokunnan lausunto julkaistaan (161).

(97)

Tietosuojavaltuutetun toimikausi on enintään seitsemän vuotta. Hänen Majesteettinsa voi erottaa tietosuojavaltuutetun parlamentin molempien kamarien esityksen (Address) perusteella (162). Ehdotusta tietosuojavaltuutetun erottamisesta ei voida esittää kummallekaan parlamentin kamarille, ellei ministeri ole esittänyt kyseiselle kamarille selvitystä, jossa hän katsoo, että tietosuojavaltuutettu on syyllistynyt vakavaan väärinkäytökseen ja/tai hän ei enää täytä tietosuojavaltuutetun tehtävien hoitamiselle asetettuja edellytyksiä (163).

(98)

Tietosuojavaltuutetun rahoitus on peräisin kolmesta lähteestä: i) rekisterinpitäjien maksamat tietosuojamaksut, jotka vahvistetaan Secretary of Staten asetuksella (164) ja joilla katetaan 85–90 prosenttia toimiston vuosibudjetista (165); ii) avustus, jonka hallitus voi maksaa tietosuojavaltuutetulle ja jolla rahoitetaan pääasiassa muista kuin tietosuojaan liittyvistä tehtävistä aiheutuvat tietosuojavaltuutetun toimintakustannukset (166); iii) palveluista perittävät maksut (167). Tällä hetkellä tällaisia maksuja ei peritä.

(99)

Tietosuojavaltuutetun yleiset tehtävät, jotka koskevat vuoden 2018 tietosuojalain 3 osan soveltamisalaan kuuluvien henkilötietojen käsittelyä, vahvistetaan vuoden 2018 tietosuojalain liitteessä 13. Tehtäviin kuuluu vuoden 2018 tietosuojalain 3 osan seuranta ja täytäntöönpano, yleisen tietoisuuden lisääminen, parlamentin, hallituksen ja muiden toimielinten avustaminen lainsäädännöllisissä ja hallinnollisissa toimenpiteissä, rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuuksia koskevan tietoisuuden edistäminen, rekisteröidyn oikeuksien käyttämistä koskevien tietojen antaminen rekisteröidylle ja tutkimusten suorittaminen. Oikeuslaitoksen riippumattomuuden takaamiseksi henkilötietojen käsittelyyn liittyviä tietosuojavaltuutetun tehtäviä ei voi hoitaa henkilö eikä tuomioistuin, joka suorittaa lainkäyttötehtäviä. Oikeuslaitoksen valvonta on osoitettu erityisille elimille, kuten jäljempänä esitetään.

(100)

Tietosuojavaltuutetulla on yleiset tutkintavaltuudet, korjaavat toimivaltuudet sekä hyväksymis- ja neuvontavaltuudet, kun on kyse vuoden 2018 tietosuojalain 3 osan soveltamisalaan kuuluvien henkilötietojen käsittelystä. Tietosuojavaltuutetulla on valtuudet ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle väitetystä 3 osan rikkomisesta, antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle varoitus siitä, että aiotut käsittelytoimet todennäköisesti rikkovat 3 osan säännöksiä, ja antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle huomautus, jos käsittelytoimet ovat rikkoneet 3 osan säännöksiä. Lisäksi tietosuojavaltuutettu voi omasta aloitteestaan tai pyynnöstä antaa lausuntoja Yhdistyneen kuningaskunnan parlamentille, hallitukselle tai muille toimielimille ja elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä (168).

(101)

Tietosuojavaltuutetulla on erityisesti toimivalta

(102)

Tietosuojavaltuutetun sääntelytoimia koskevissa toimintaperiaatteissa (Regulatory Action Policy) esitetään, missä olosuhteissa tietosuojavaltuutettu voi antaa em. ilmoituksia ja määräyksiä (173). Täytäntöönpanomääräyksessä voidaan asettaa vaatimuksia, joita tietosuojavaltuutettu pitää asianmukaisina puutteen korjaamiseksi. Seuraamusmääräyksessä vaaditaan henkilöä maksamaan tietosuojavaltuutetulle määräyksessä esitetty määrä. Seuraamusmääräys voidaan antaa, jos vuoden 2018 tietosuojalain (174) tiettyjä säännöksiä ei ole noudatettu, tai se voidaan antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle, joka ei ole noudattanut tiedonanto-, tarkastus- tai täytäntöönpanopäätöstä.

(103)

Tarkemmin sanottuna päättäessään seuraamusmääräyksen antamisesta rekisterinpitäjälle tai henkilötietojen käsittelijälle ja seuraamuksen määrästä tietosuojavaltuutetun on otettava huomioon vuoden 2018 tietosuojalain 155 §:n 3 momentissa luetellut seikat, mukaan lukien laiminlyönnin luonne ja vakavuus, laiminlyönnin tahallisuus tai tuottamuksellisuus, rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyn kärsimän vahingon lieventämiseksi, rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste (ottaen huomioon rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat tekniset ja organisatoriset toimenpiteet), rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat laiminlyönnit, henkilötietojen ryhmät, joita laiminlyönti koskee, ja se, olisiko seuraamus tehokas, oikeasuhteinen ja varoittava.

(104)

Seuraamusmääräyksellä määrättävän seuraamuksen enimmäismäärä on 17 500 000 puntaa, kun kyse on tietosuojaperiaatteiden (vuoden 2018 tietosuojalain 35, 36, 37 §, 38 §:n 1 momentti, 39 §:n 1 momentti ja 40 §), läpinäkyvyyttä koskevien velvoitteiden ja yksilön oikeuksien (vuoden 2018 tietosuojalain 44, 45, 46, 47, 48, 49, 52 ja 53 §) tai kansainvälisten henkilötietojen siirtoa koskevien periaatteiden (vuoden 2018 tietosuojalain 73, 75, 76, 77 ja 78 §) noudattamatta jättämisestä. Muussa tapauksessa seuraamuksen enimmäismäärä on 8 700 000 puntaa (175). Tiedonanto-, arviointi- tai täytäntöönpanomääräyksen noudattamatta jättämisen vuoksi voidaan määrätä seuraamusmääräyksellä sakkoa enintään 17 500 000 puntaa.

(105)

Viimeisimpien vuosikertomustensa (2018–2019 (176), 2019–2020 (177)) mukaan tietosuojavaltuutettu on suorittanut useita tutkimuksia, jotka koskevat rikosoikeudellisten lainvalvontaviranomaisten suorittamaa henkilötietojen käsittelyä. Esimerkiksi lokakuussa 2019 tietosuojavaltuutettu julkaisi tutkimustensa perusteella lausunnon, joka koskee kasvojentunnistusteknologian käyttöä julkisilla paikoilla lainvalvontatarkoituksia varten. Tutkimuksessa keskityttiin erityisesti siihen, miten Etelä-Walesin poliisi (South Wales Police) ja suur-Lontoon poliisi (Metropolitan Police Services) käyttävät reaaliaikaista kasvojentunnistusta. Tietosuojavaltuutettu on tutkinut myös suur-Lontoon poliisin jengitietokantaa (Gangs matrix) (178) ja todennut, että siihen liittyy useita vakavia tietosuojalainsäädännön rikkomisia, jotka todennäköisesti heikentäisivät yleisön luottamusta tietokantaan ja siihen, miten tietoja käytetään.

(106)

Marraskuussa 2018 tietosuojavaltuutettu antoi täytäntöönpanomääräyksen, jonka nojalla suur-Lontoon poliisi toteutti tarvittavat toimet turvallisuuden ja vastuuvelvollisuuden lisäämiseksi ja sen varmistamiseksi, että tietoja käytetään oikeasuhteisesti.

(107)

Toinen esimerkki viimeaikaisista täytäntöönpanotoimista tällä alalla on tietosuojavaltuutetun toukokuussa 2018 määräämä 325 000 punnan sakko kruunun syyttäjäyksikölle poliisikuulustelujen tallenteita sisältävien salaamattomien DVD-levyjen katoamisen vuoksi. Tietosuojavaltuutettu on lisäksi tutkinut yleisempiä aiheita, kuten vuoden 2020 alkupuoliskolla matkapuhelintietojen käyttöä poliisitoiminnassa ja uhrien tietojen käsittelyä poliisin toimesta.

(108)

Koska eräät tietosuojalainsäädännön loukkaukset ovat rikoksia, niiden perusteella voidaan määrätä myös rikosoikeudellisia seuraamuksia sen lisäksi, että niihin sovelletaan tietosuojavaltuutetun täytäntöönpanovaltuuksia (vuoden 2018 tietosuojalain 196 §). Tämä koskee esimerkiksi henkilötietojen hankkimista tai luovuttamista ilman rekisterinpitäjän suostumusta ja luovutettujen henkilötietojen toimittamista toiselle henkilölle ilman rekisterinpitäjän suostumusta (179); anonymisoitujen henkilötietojen tunnistetietojen palauttamista ilman anonymisoinnista vastaavan rekisterinpitäjän suostumusta (180); tahallista toimintaa, jolla estetään tietosuojavaltuutettua käyttämästä toimivaltaansa henkilötietojen tarkastamiseksi kansainvälisten velvoitteiden mukaisesti (181), väärien lausuntojen antamista tiedonantomääräyksen perusteella tai tietojen tuhoamista tiedonanto- ja arviointimääräysten yhteydessä (182).

(109)

Tietosuojavaltuutetulla on myös vuoden 2018 tietosuojalain 139 §:n nojalla velvollisuus antaa kummallekin parlamentin kamarille yleiskertomus lakisääteisten tehtäviensä hoitamisesta (183).

(110)

Tuomioistuinten ja oikeuslaitoksen suorittamaan henkilötietojen käsittelyyn sovelletaan kahta eri valvontamenettelyä. Silloin kun oikeuslaitoksen virkamies tai tuomioistuin ei toimi lainkäyttötehtävissä, valvonnasta vastaa tietosuojavaltuutettu. Sen sijaan silloin kun rekisterinpitäjä toimii lainkäyttötehtävissä, tietosuojavaltuutettu ei voi hoitaa valvontatehtäväänsä (184), vaan se on osoitettu erityisille elimille. Lähestymistapa on sama kuin direktiivin (EU) 2016/680 32 artiklassa.

(111)

Jälkimmäisessä tilanteessa valvonnasta vastaa Englannin ja Walesin tuomioistuinten (courts, First-tier ja Upper Tribunals) osalta oikeuslaitoksen tietosuojalautakunta (Judicial Data Protection Panel) (185). Lisäksi Englannin ja Walesin korkeimman oikeuden presidentti (Lord Chief Justice) on laatinut tietosuojaselosteen (Privacy Notice) (186), jossa kerrotaan, miten Englannin ja Walesin tuomioistuimet käsittelevät henkilötietoja lainkäyttötehtäviä varten. Vastaavan tietosuojaselosteen ovat antaneet myös Pohjois-Irlannin (187) ja Skotlannin (188) oikeusviranomaiset.

(112)

Lisäksi Pohjois-Irlannin Lord Chief Justice on nimittänyt yhden High Court -tuomioistuimen tuomarin tietosuojaa valvovaksi tuomariksi (189). Pohjois-Irlannin oikeuslaitokselle on myös laadittu ohjeet siitä, miten on toimittava tietojen (mahdollisen) menetyksen yhteydessä ja miten tästä mahdollisesti aiheutuvia ongelmia on käsiteltävä (190).

(113)

Skotlannin ylin tuomari Lord President on nimittänyt tietosuojaa valvovan tuomarin (Data Supervisory Judge), jonka tehtävänä on tutkia tietosuojaa koskevia valituksia. Tästä säädetään oikeussuojakeinoja koskevissa säännöissä, jotka vastaavat Englannin ja Walesin osalta vahvistettuja sääntöjä (191).

(114)

Lisäksi yksi korkeimman oikeuden (Supreme Court) tuomareista on nimitetty valvomaan tietosuojaa.

(115)

Jotta voidaan varmistaa yksilön oikeuksien asianmukainen suojelu ja täytäntöönpano, rekisteröidyllä olisi oltava tehokkaat hallinnolliset ja oikeudelliset oikeussuojakeinot ja myös oikeus saada vahingonkorvausta.

(116)

Ensinnäkin rekisteröidyllä on oikeus tehdä tietosuojavaltuutetulle valitus, jos hän katsoo, että hänen henkilötietojensa käsittelyssä on rikottu vuoden 2018 tietosuojalain 3 osan säännöksiä (192). Kuten johdanto-osan 100 ja 109 kappaleessa todetaan, tietosuojavaltuutetulla on toimivalta arvioida, ovatko rekisterinpitäjä ja henkilötietojen käsittelijä noudattaneet vuoden 2018 tietosuojalakia, ja jos näin ei ole, vaatia niitä toteuttamaan tarvittavat toimet tai pidättymään tietyistä toimista ja määrätä sakkoja.

(117)

Toiseksi vuoden 2018 tietosuojalaissa säädetään oikeudesta käyttää oikeussuojakeinoja tietosuojavaltuutettua vastaan. Jos tietosuojavaltuutettu ei ”edistä” (193) rekisteröidyn tekemän valituksen käsittelyä, tämä voi hakea oikeussuojaa tuomioistuimelta pyytämällä, että First Tier Tribunal -tuomioistuin (194) määrää tietosuojavaltuutetun toteuttamaan valituksen johdosta asianmukaiset toimenpiteet tai ilmoittamaan valituksen tekijälle sitä koskevan tutkinnan etenemisestä (195). Lisäksi kuka tahansa henkilö, jolle tietosuojavaltuutettu on antanut jonkin edellä mainituista määräyksistä (tiedonanto-, arviointi-, täytäntöönpano- tai seuraamusmääräys), voi hakea siihen muutosta First Tier Tribunal -tuomioistuimessa. Jos tuomioistuin katsoo, että tietosuojavaltuutetun päätös ei ole lainmukainen tai että tietosuojavaltuutetun olisi pitänyt käyttää harkintavaltaansa eri tavalla, tuomioistuimen on hyväksyttävä muutoksenhakemus tai korvattava annettu määräys toisella määräyksellä tai päätöksellä, jonka tietosuojavaltuutettu olisi voinut antaa tai tehdä (196).

(118)

Kolmanneksi yksilöt voivat vedota oikeudellisiin oikeussuojakeinoihin rekisterinpitäjiä ja henkilötietojen käsittelijöitä vastaan suoraan tuomioistuimissa vuoden 2018 tietosuojalain 167 §:n nojalla. Jos tuomioistuin katsoo rekisteröidyn hakemuksen perusteella, että tietosuojalainsäädäntöön perustuvia rekisteröidyn oikeuksia on loukattu, se voi määrätä käsittelystä vastaavan rekisterinpitäjän tai tämän puolesta toimivan henkilötietojen käsittelijän toteuttamaan määräyksessä yksilöidyt toimenpiteet tai pidättymään siinä yksilöidyistä toimenpiteistä. Lisäksi vuoden 2018 tietosuojalain 169 §:ssä säädetään, että henkilö, joka kärsii vahinkoa jonkin tietosuojalainsäädännössä (ml. vuoden 2018 tietosuojalain 3 osa, mutta pois lukien Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus) vahvistetun oikeuden loukkaamisen vuoksi, on oikeutettu saamaan tällaisesta vahingosta korvauksen rekisterinpitäjältä tai henkilötietojen käsittelijältä, paitsi jos nämä voivat osoittaa, etteivät ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta. Vahingolla tarkoitetaan tässä sekä taloudellista menetystä että esimerkiksi kärsimystä.

(119)

Neljänneksi henkilö, joka katsoo, että viranomaiset ovat loukanneet hänen oikeuksiaan, mukaan lukien oikeutta yksityisyyteen ja tietosuojaan, voi viedä asian Yhdistyneen kuningaskunnan tuomioistuimiin vuoden 1998 ihmisoikeuslain nojalla. Vuoden 2018 tietosuojalain 3 osan mukaiset rekisterinpitäjät eli toimivaltaiset viranomaiset ovat aina viranomaisia vuoden 1998 ihmisoikeuslaissa tarkoitetussa merkityksessä. Henkilö, joka väittää, että viranomainen on toiminut (tai aikoo toimia) tavalla, joka on ristiriidassa jonkin ihmisoikeussopimukseen perustuvan oikeuden kanssa ja siten vuoden 1998 ihmisoikeuslain 6 §:n 1 momentin nojalla lainvastainen, voi nostaa kanteen kyseistä viranomaista vastaan toimivaltaisessa tuomioistuimessa tai vedota asianomaisiin oikeuksiin missä tahansa oikeudenkäynnissä, kun hän on (tai olisi) lainvastaisen teon uhri (197).

(120)

Jos tuomioistuin toteaa, että jokin viranomaisen toimi on lainvastainen, se voi toimivaltuuksiensa puitteissa hyväksyä sellaisen vaatimuksen tai oikeussuojakeinon tai antaa sellaisen määräyksen, jonka se katsoo kohtuulliseksi ja asianmukaiseksi (198). Tuomioistuin voi myös todeta, että jokin primaarioikeuden säännös ei sovi yhteen jonkin ihmisoikeussopimuksessa taatun oikeuden kanssa.

(121)

Sen jälkeen kun kansalliset oikeussuojakeinot on käytetty loppuun, yksilö voi myös käyttää oikeussuojakeinoja Euroopan ihmisoikeustuomioistuimessa, jos Euroopan ihmisoikeussopimuksessa taattuja oikeuksia on loukattu.

(122)

Yhdistyneen kuningaskunnan lainsäädännön mukaan lainvalvontaviranomainen voi jakaa tietoja toisille Yhdistyneen kuningaskunnan viranomaisille muita kuin niitä tarkoituksia varten, johon ne alun perin kerättiin, jäljempänä ’tietojen edelleen jakaminen’, vain tiettyjen edellytysten täyttyessä.

(123)

Samoin kuin direktiivin (EU) 2016/680 4 artiklan 2 kohdassa, vuoden 2018 tietosuojalain 36 §:n 3 momentissa sallitaan toimivaltaisen viranomaisen lainvalvontatarkoituksia varten keräämien henkilötietojen myöhempi käsittely (joko alkuperäisen rekisterinpitäjän tai toisen rekisterinpitäjän toimesta) muuta kuin alkuperäistä lainvalvontatarkoitusta varten, sikäli kuin rekisterinpitäjällä on lupa käsitellä tällaisia henkilötietoja tällaista muuta tarkoitusta varten ja käsittely on tarpeellista ja oikeasuhteista (199). Tässä tapauksessa vastaanottavan viranomaisen suorittamaan käsittelyyn sovelletaan kaikkia vuoden 2018 tietosuojalain 3 osassa säädettyjä ja edellä käsiteltyjä suojatoimia.

(124)

Yhdistyneen kuningaskunnan oikeusjärjestyksessä tietojen edelleen jakaminen sallitaan nimenomaisesti eri laeissa. Muun muassa i) vuonna 2017 digitaalitaloudesta annetussa laissa (Digital Economy Act 2017) sallitaan tietojen jakaminen viranomaisten kesken eri tarkoituksia varten, esimerkiksi jos on kyse julkiseen sektoriin kohdistuvasta petoksesta, joka aiheuttaisi viranomaisille menetyksiä tai menetysten riskin (200) tai jos kyseessä on velka viranomaiselle tai valtiolle (the Crown) (201); ii) vuonna 2013 rikoksista ja tuomioistuimista annetussa laissa sallitaan tietojen jakaminen kansallisen rikosviraston (202) kanssa vakavan ja järjestäytyneen rikollisuuden torjuntaa, tutkintaa ja syytteeseenpanoa varten; iii) vuonna 2007 vakavasta rikollisuudesta annetussa laissa (Serious Crime Act 2007) sallitaan viranomaisten paljastaa tietoja petostentorjunnasta vastaaville organisaatioille petostentorjuntaa varten (203).

(125)

Näissä laeissa säädetään nimenomaisesti, että tietojen jakamisessa on noudatettava vuoden 2018 tietosuojalaissa vahvistettuja sääntöjä. Lisäksi poliisiakatemia on antanut tietojen jakamista koskevia sisäisiä ohjeita (Authorised Professional Practice on Information Sharing) (204), joiden tarkoituksena on auttaa poliisia noudattamaan Yhdistyneen kuningaskunnan yleiseen tietosuoja-asetukseen, tietosuojalakiin ja vuoden 1998 ihmisoikeuslakiin perustuvia tietosuojavelvoitteitaan. Tuomioistuinvalvonnan avulla voidaan varmistaa, että tietojen jakamisen yhteydessä noudatetaan sovellettavaa tietosuojaa koskevaa oikeudellista kehystä (205).

(126)

Samoin kuin direktiivin (EU) 2016/680 9 artiklassa, vuoden 2018 tietosuojalaissa säädetään lisäksi, että lainvalvontatarkoitusta varten kerättyjä henkilötietoja voidaan käsitellä muussa kuin lainvalvontatarkoituksessa vain, jos tällainen käsittely sallitaan laissa (206). Tällainen jakaminen kattaa kaksi eri tapausta: 1) rikoslain täytäntöönpanon valvonnasta vastaava viranomainen jakaa tietoja jonkin muun viranomaisen kanssa, tiedustelupalvelua lukuun ottamatta (eli esimerkiksi finanssivalvonta- tai veroviranomaisen, kilpailuviranomaisen tai lastensuojeluviranomaisen kanssa); ja 2) rikoslain täytäntöönpanon valvonnasta vastaava viranomainen jakaa tietoja tiedustelupalvelun kanssa. Ensimmäisessä tapauksessa henkilötietojen käsittely kuuluu sekä Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen että vuoden 2018 tietosuojalain 2 osan soveltamisalaan. Kuten asetuksen (EU) 2016/679 nojalla annetussa päätöksessä täsmennetään, Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa ja vuoden 2018 tietosuojalain 2 osassa säädetyt tietosuojatakeet tarjoavat pohjimmiltaan unionissa tarjotun tasoisen suojan (207).

(127)

Toisessa tapauksessa rikoslain täytäntöönpanon valvonnasta vastaava viranomainen jakaa keräämiään tietoja tiedustelupalvelun kanssa kansallisen turvallisuuden suojelemiseksi. Sovellettava oikeusperusta on tällöin vuoden 2008 terrorismintorjuntalaki (Counter Terrorism Act 2008) (208). Vuoden 2008 terrorismintorjuntalain nojalla kuka tahansa voi antaa tietoja mille tahansa tiedustelupalvelun yksikölle minkä tahansa kyseiselle yksikölle kuuluvan tehtävän suorittamista varten, ”kansallinen turvallisuus” mukaan lukien.

(128)

Edellytyksistä, joiden mukaan tietoja voidaan jakaa kansallisen turvallisuuden suojelemiseksi, säädetään tiedustelupalvelulaissa (Intelligence Services Act) ja turvallisuuspalvelulaissa (Security Services Act). Niissä rajoitetaan tiedustelupalvelujen oikeus saada tietoja siihen, mikä on tarpeen niiden lakisääteisten tehtävien hoitamista varten. Jos vuoden 2018 tietosuojalain 3 osan soveltamisalaan kuuluvat lainvalvontavirastot haluavat jakaa tietoja tiedustelupalvelujen kanssa, niiden on otettava huomioon useita tekijöitä/rajoituksia niiden virastojen lakisääteisten tehtävien lisäksi, joista säädetään tiedustelupalvelulaissa ja turvallisuuspalvelulaissa (209). Vuoden 2008 terrorismintorjuntalain 20 §:ssä selvennetään, että jaettaessa tietoja mainitun lain 19 §:n nojalla on silti noudatettava tietosuojalainsäädäntöä, mikä tarkoittaa, että kaikkia vuoden 2018 tietosuojalaissa säädettyjä rajoituksia ja vaatimuksia sovelletaan. Lisäksi lainvalvontaviranomaiset ja tiedustelupalvelut ovat vuoden 1998 ihmisoikeuslaissa tarkoitettuja viranomaisia, joten niiden on varmistettava, että ne noudattavat toiminnassaan Euroopan ihmisoikeussopimuksessa ja erityisesti sen 8 artiklassa taattuja oikeuksia. Toisin sanoen nämä vaatimukset merkitsevät sitä, että kaikessa lainvalvontavirastojen ja tiedustelupalvelujen välisessä tietojen jakamisessa noudatetaan tietosuojalainsäädäntöä ja ihmisoikeussopimusta.

(129)

Kun tiedustelupalvelut käsittelevät henkilötietoja, jotka on saatu lainvalvontaviranomaisilta kansallista turvallisuutta koskeviin tarkoituksiin, käsittelyyn sovelletaan useita edellytyksiä ja suojatoimia (210). Vuoden 2018 tietosuojalain 4 osaa sovelletaan kaikkeen tiedustelupalvelujen suorittamaan tai niiden puolesta tapahtuvaan käsittelyyn. Siinä esitetään tärkeimmät tietosuojaperiaatteet (lainmukaisuus, kohtuullisuus ja läpinäkyvyys (211); käyttötarkoituksen rajoittaminen (212); tietojen minimointi (213); täsmällisyys (214); säilyttämisen rajoittaminen (215) ja turvallisuus (216)), asetetaan edellytykset erityisten tietoryhmien käsittelylle (217), säädetään rekisteröityjen oikeuksista (218), edellytetään sisäänrakennettua tietosuojaa (219) ja säännellään henkilötietojen kansainvälisiä siirtoja (220).

(130)

Toisaalta vuoden 2018 tietosuojalain 110 §:ssä säädetään sen 4 osan tiettyjä säännöksiä koskevasta poikkeuksesta silloin, kun se on tarpeen kansallisen turvallisuuden takaamiseksi. Vuoden 2018 tietosuojalain 110 §:n 2 momentissa luetellaan säännökset, joista poikkeaminen sallitaan. Näitä ovat muun muassa tietosuojaperiaatteet (lainmukaisuusperiaatetta lukuun ottamatta), rekisteröidyn oikeudet, velvollisuus ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetulle, kansainvälisten velvoitteiden mukaiset tietosuojavaltuutetun tarkastusvaltuudet ja tietyt tietosuojavaltuutetun täytäntöönpanovaltuudet, säännökset joiden nojalla tietyt tietosuojaloukkaukset kriminalisoidaan sekä säännökset, jotka liittyvät erityisiin käsittelytarkoituksiin, kuten käsittely journalistisia, akateemisia tai taiteellisia tarkoituksia varten. Poikkeukseen voidaan vedota tapauskohtaisen analyysin perusteella (221). Kuten Yhdistyneen kuningaskunnan viranomaiset ovat selvittäneet ja sen oikeuskäytännössä on vahvistettu, ”rekisterinpitäjän on otettava huomioon, mitä tosiasiallisia seurauksia asianomaisten tietosuojasääntöjen noudattamisesta aiheutuisi kansalliselle turvallisuudelle tai puolustukselle, ja olisiko niiden kohtuudella mahdollista noudattaa tavanomaisia sääntöjä ilman, että siitä aiheutuisi seurauksia kansalliselle turvallisuudelle tai puolustukselle” (222). Sen, onko poikkeusta sovellettu asianmukaisella tavalla, ratkaisee tietosuojavaltuutettu (223).

(131)

Mahdollisuudesta rajoittaa näiden edellä mainittujen oikeuksien soveltamista ”kansallisen turvallisuuden” suojelemiseksi vuoden 2018 tietosuojalain 79 §:ssä säädetään lisäksi, että rekisterinpitäjä voi pyytää kabinettiministerin tai oikeuskanslerin (Attorney General) allekirjoittamaa todistusta siitä, että tällaisten oikeuksien rajoittaminen on tai kyseiseen aikaan oli välttämätön ja oikeasuhteinen toimenpide kansallisen turvallisuuden suojelemiseksi (224). Yhdistyneen kuningaskunnan hallitus on antanut ohjeita vuoden 2018 tietosuojalain mukaisista kansallista turvallisuutta koskevista todistuksista. Ohjeissa korostetaan erityisesti, että kaikkien kansalliseen turvallisuuteen liittyvien rekisteröityjen oikeuksien rajoitusten on oltava oikeasuhteisia ja välttämättömiä (225). Kaikki kansallista turvallisuutta koskevat todistukset on julkaistava tietosuojavaltuutetun verkkosivuilla (226).

(132)

Todistuksen olisi oltava voimassa määrätyn ajan ja enintään viisi vuotta, jotta toimeenpanovallan käyttäjä voi tarkastella sitä säännöllisesti uudelleen (227). Todistuksessa on yksilöitävä ne henkilötiedot tai henkilötietoryhmät, joihin poikkeusta sovelletaan, sekä ne vuoden 2018 tietosuojalain säännökset, joista poikkeaminen sallitaan (228).

(133)

On huomattava, että kansallista turvallisuutta koskevat todistukset eivät muodosta lisäperustetta tietosuojaoikeuksien rajoittamiselle kansalliseen turvallisuuteen liittyvien syiden vuoksi. Toisin sanoen rekisterinpitäjä tai henkilötietojen käsittelijä voi vedota todistukseen vain, jos se on katsonut tarpeelliseksi vedota kansallista turvallisuutta koskevaan poikkeukseen, jota on sovellettava tapauskohtaisesti. Vaikka asiaan sovellettaisiin kansallista turvallisuutta koskevaa todistusta, tietosuojavaltuutettu voi tutkia, oliko vetoaminen siinä myönnettyyn poikkeukseen kyseisessä tapauksessa perusteltua (229).

(134)

Jokainen, jota todistuksen antaminen suoraan koskee, voi hakea Upper Tribunal -tuomioistuimessa (230) muutosta todistukseen (231), tai jos tiedot esitetään todistuksessa yleisellä tasolla, vastustaa todistuksen soveltamista määrättyihin tietoihin (232).

(135)

Tuomioistuin tutkii todistuksen antamista koskevan päätöksen ja päättää, oliko sen antamiseen perusteltu syy (233). Tuomioistuin voi tarkastella tätä varten erilaisia seikkoja, kuten tarpeellisuutta, oikeasuhteisuutta ja lainmukaisuutta, ottaen huomioon todistuksen vaikutukset rekisteröityjen oikeuksiin ja tasapainottaen niitä suhteessa tarpeeseen varmistaa kansallinen turvallisuus. Tämän perusteella tuomioistuin voi päättää, että todistusta ei sovelleta muutoksenhaun kohteena oleviin henkilötietoihin (234).

(136)

Muita mahdollisia rajoituksia voidaan soveltaa vuoden 2018 tietosuojalain liitteen 11 nojalla tiettyihin tietosuojalain 4 osan säännöksiin (235) muiden yleisen edun mukaisten tärkeiden tavoitteiden tai sellaisten suojattujen etujen turvaamiseksi kuin esimerkiksi parlamentaarinen koskemattomuus, asianajosalaisuus, oikeudenkäynnin kulku tai asevoimien toimintakyky. Näiden säännösten soveltaminen on joko vapautettu tiettyjen tietoryhmien osalta (”luokitusperusteinen vapautus”) tai siltä osin, kuin niiden soveltaminen todennäköisesti vahingoittaisi kyseistä suojattua etua (”vahinkoperusteinen vapautus”) (236). Vahinkoperusteisiin vapautuksiin voidaan vedota vain siltä osin, kuin säännöksessä lueteltujen tietosuojasäännösten soveltaminen todennäköisesti vahingoittaisi kyseessä olevaa etua. Tämä tarkoittaa, että vapautuksen soveltaminen on aina perusteltava viittaamalla vahinkoon, jonka sen soveltaminen kyseisessä yksittäisessä tapauksessa todennäköisesti aiheuttaisi. Luokitusperusteisiin vapautuksiin voidaan vedota vain niiden rajoitettujen tietoryhmien osalta, joiden osalta vapautus myönnetään. Nämä ovat tarkoitukseltaan ja vaikutuksiltaan samantapaisia kuin monet Yhdistyneen kuningaskunnan yleiseen tietosuoja-asetukseen (vuoden 2018 tietosuojalain liitteen 2 nojalla) sovellettavat poikkeukset, jotka puolestaan vastaavat EU:n tietosuoja-asetuksen 23 artiklan säännöksiä.

(137)

Edellä esitetystä seuraa, että Yhdistyneen kuningaskunnan sovellettavien säännösten nojalla käytössä on rajoituksia ja ehtoja, joita myös tuomioistuimet ja tietosuojavaltuutettu tulkitsevat, sen varmistamiseksi, että näitä poikkeuksia ja rajoituksia sovelletaan vain siltä osin, kuin se on välttämätöntä ja oikeasuhteista kansallisen turvallisuuden suojelemiseksi.

(138)

Tietosuojavaltuutettu valvoo tiedustelupalvelujen vuoden 2018 tietosuojalain 4 osan mukaisesti suorittamaa henkilötietojen käsittelyä (237).

(139)

Tietosuojavaltuutetun yleiset tehtävät, jotka koskevat vuoden 2018 tietosuojalain 4 osan soveltamisalaan kuuluvaa tiedustelupalvelujen suorittamaa henkilötietojen käsittelyä, vahvistetaan vuoden 2018 tietosuojalain liitteessä 13. Tehtäviin kuuluvat erityisesti esimerkiksi vuoden 2018 tietosuojalain 4 osan seuranta ja täytäntöönpano, yleisen tietoisuuden lisääminen, parlamentin, hallituksen ja muiden toimielinten avustaminen lainsäädännöllisissä ja hallinnollisissa toimenpiteissä, rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuuksia koskevan tietoisuuden edistäminen, rekisteröidyn oikeuksien käyttämistä koskevien tietojen antaminen rekisteröidylle ja tutkimusten suorittaminen.

(140)

Tietosuojavaltuutetulla on vuoden 2018 tietosuojalain 3 osan osalta valtuudet ilmoittaa rekisterinpitäjille väitetystä rikkomisesta ja antaa varoituksia siitä, että käsittely todennäköisesti rikkoo sääntöjä, ja antaa huomautus vahvistetun rikkomisen johdosta. Se voi myös antaa täytäntöönpano- ja seuraamusmääräyksiä tiettyjen lain säännösten rikkomisen vuoksi (238). Toisin kuin vuoden 2018 tietosuojalain muiden osien yhteydessä, tietosuojavaltuutettu ei kuitenkaan voi antaa arviointimääräystä kansallisesta turvallisuudesta vastaavalle elimelle (239).

(141)

Lisäksi vuoden 2018 tietosuojalain 110 §:ssä säädetään poikkeuksesta tietosuojavaltuutetun tiettyjen valtuuksien käyttöön silloin, kun se on tarpeen kansallisen turvallisuuden suojaamiseksi. Tähän sisältyvät tietosuojavaltuutetun valtuudet antaa (kaikentyyppisiä) tietosuojalain mukaisia määräyksiä (tiedonanto-, arviointi-, täytäntöönpano- ja seuraamusmääräykset), valtuudet suorittaa tarkastuksia kansainvälisten velvoitteiden mukaisesti, pääsy- ja tarkastusvaltuudet sekä rikoksia koskevat säännöt (240). Kuten johdanto-osan 136 kappaleessa selitetään, näitä poikkeuksia sovelletaan tapauskohtaisesti ja vain, jos se on välttämätöntä ja oikeasuhteista. Tuomioistuinvalvonnan avulla voidaan varmistaa näiden poikkeusten soveltaminen (241).

(142)

Tietosuojavaltuutettu ja Yhdistyneen kuningaskunnan tiedustelupalvelut ovat allekirjoittaneet yhteisymmärryspöytäkirjan (242), jossa vahvistetaan puitteet muun muassa tietoturvaloukkauksia koskevien ilmoitusten ja rekisteröityjen tekemien valituksien käsittelyyn liittyvää yhteistyötä varten. Siinä määrätään erityisesti, että saatuaan valituksen tietosuojavaltuutettu tarkistaa, että mahdollista kansalliseen turvallisuuteen liittyvää poikkeusta on sovellettu asianmukaisesti. Kun tietosuojavaltuutettu pyytää tietoja yksityishenkilön tekemän valituksen tutkinnan yhteydessä, asianomaisen elimen (United Kingdom Government Guidance on National Security Certificates under the Data Protection Act) on vastattava 20 työpäivän kuluessa käyttäen asianmukaisia suojattuja kanavia, jos vastaus sisältää turvallisuusluokiteltuja tietoja. Tietosuojavaltuutettu on saanut huhtikuusta 2018 alkaen 21 yksityishenkilöiden tekemää valitusta, jotka koskevat tiedustelupalveluja. Kaikki valitukset on tutkittu, ja niiden tulos on ilmoitettu asianomaiselle rekisteröidylle (243).

(143)

Lisäksi tiedustelu- ja turvallisuusvaliokunta (Intelligence and Security Committee) vastaa tiedustelupalvelujen suorittaman tietojenkäsittelyn parlamentaarisesta valvonnasta. Valiokunnan oikeusperustana on vuoden 2013 oikeus- ja turvallisuuslaki (Justice and Security Act 2013) (244). Lain mukaan tiedustelu- ja turvallisuusvaliokunta on Yhdistyneen kuningaskunnan parlamentin valiokunta. Sen jäsenet kuuluvat joko parlamentin ala- tai ylähuoneeseen, ja pääministeri nimittää heidät opposition johtajaa kuultuaan (245). Valiokunta esittää parlamentille vuosittain kertomuksen tehtäviensä hoitamisesta ja muita kertomuksia sen mukaan, kuin se katsoo tarpeelliseksi (246).

(144)

Valiokunta sai vuonna 2013 laajemmat valtuudet mm. valvoa turvallisuuspalvelujen operatiivista toimintaa. Vuoden 2013 oikeus- ja turvallisuuslain 2 §:n nojalla valiokunnan tehtävänä on valvoa kansallisten turvallisuusvirastojen menoja, hallintoa, toimintaperiaatteita ja operaatioita. Laissa täsmennetään, että valiokunta voi suorittaa tutkimuksia operatiivisista asioista silloin, kun ne eivät liity käynnissä oleviin operaatioihin (247). Pääministerin ja valiokunnan välisessä yhteisymmärryspöytäkirjassa (248) täsmennetään yksityiskohtaisesti seikat, jotka on otettava huomioon sen määrittämiseksi, onko jokin toiminta osa käynnissä olevaa operaatiota (249). Pääministeri voi myös pyytää valiokuntaa tutkimaan käynnissä olevia operaatioita, minkä lisäksi valiokunta voi tarkastella virastojen vapaaehtoisesti toimittamia tietoja.

(145)

Vuoden 2013 oikeus- ja turvallisuuslain liitteen 1 nojalla tiedustelu- ja turvallisuusvaliokunta voi pyytää minkä tahansa kolmen tiedustelupalvelun johtajaa luovuttamaan mitä tahansa tietoja. Tiedustelupalvelujen on annettava nämä tiedot saataville, ellei Secretary of State vastusta sitä veto-oikeudellaan (250). Yhdistyneen kuningaskunnan viranomaiset selittivät, että valiokunnalta salataan käytännössä hyvin vähän tietoja (251).

(146)

Oikeussuojakeinojen osalta vuoden 2018 tietosuojalain 165 §:n 2 momentin mukaan rekisteröidyllä on oikeus tehdä tietosuojavaltuutetulle valitus, jos hän katsoo, että hänen henkilötietojensa käsittelyssä on rikottu vuoden 2018 tietosuojalain 4 osan säännöksiä, mukaan lukien kansallista turvallisuutta koskevien poikkeusten ja rajoitusten väärinkäyttö.

(147)

Vuoden 2018 tietosuojalain 4 osan nojalla rekisteröidyillä on lisäksi oikeus pyytää High Court -tuomioistuimelta (Skotlannissa Court of Session) määräys, jolla rekisterinpitäjä velvoitetaan noudattamaan tiedonsaantia koskevia oikeuksia (252), oikeutta vastustaa tietojen käsittelyä (253) ja oikeutta oikaista tai poistaa tiedot.

(148)

Rekisteröidyillä on myös oikeus vaatia rekisterinpitäjältä tai henkilötietojen käsittelijältä korvausta vahingosta, joka on aiheutunut vuoden 2018 tietosuojalain 4 osassa säädettyjen vaatimusten rikkomisesta (254). Vahingolla tarkoitetaan tässä sekä taloudellista menetystä että esimerkiksi kärsimystä (255).

(149)

Yksityishenkilö voi myös tehdä valituksen tutkintavaltuuksia käsittelevään tuomioistuimeen Yhdistyneen kuningaskunnan tiedusteluviranomaisten tai niiden puolesta suoritetuista toimista (256).Tutkintavaltuuksia käsittelevä tuomioistuin on perustettu tutkintavaltuuksia koskevilla asetuksilla (Englannin, Walesin ja Pohjois-Irlannin osalta Regulation of Investigatory Powers Act 2000 ja Skotlannin osalta Regulation of Investigatory Powers (Scotland) Act 2000), ja se on riippumaton toimeenpanovallan käyttäjästä (257). Vuonna 2000 tutkintavaltuuksista annetun asetuksen 65 §:n mukaan Hänen Majesteettinsa nimittää tuomioistuimen jäsenet viiden vuoden toimikaudeksi.

(150)

Hänen Majesteettinsa voi erottaa tuomioistuimen jäsenen parlamentin molempien kamarien esityksen (Address) (258) perusteella (259).

(151)

Vuonna 2000 tutkintavaltuuksista annetun asetuksen 65 §:n mukaan rekisteröidyllä on oikeus viedä asiansa Investigatory Powers Tribunal -tuomioistuimen käsiteltäväksi (”asiavaltuus”), jos hän uskoo, i) että tiedustelupalvelun toiminta kohdistuu häneen tai hänen omaisuuteensa tai hänen lähettämäänsä tai hänelle lähetettyyn tai hänelle tarkoitettuun viestintään tai hänen käyttämäänsä postipalveluun, televiestintäjärjestelmään tai televiestintäpalveluun (260) ja ii) että toiminta on tapahtunut ”olosuhteissa, jotka on mahdollista kiistää” (261) tai että se on toteutettu tiedustelupalvelujen toimesta tai niiden puolesta (262). Koska etenkin tätä ”uskomista” koskevaa edellytystä on tulkittu varsin väljästi (263), asian vieminen tämän tuomioistuimen käsiteltäväksi ei edellytä erityistä asiavaltuutta.

(152)

Kun kyseinen tuomioistuin käsittelee sille tehtyä valitusta, sen velvollisuutena on tutkia, ovatko henkilöt, joita koskevia väitteitä valituksessa esitetään, olleet jollakin tavoin tekemisissä valittajan kanssa, ja onko viranomainen, jonka väitetään osallistuneen oikeudenloukkauksiin, toteuttanut väitetyt toimet (264). Jos tuomioistuin ottaa asian käsiteltäväksi, sen on sovellettava ratkaisussaan samoja periaatteita kuin ne, joita mikä tahansa tuomioistuin soveltaisi oikeudellista uudelleentarkastelua koskevaan hakemukseen (265).

(153)

Investigatory Powers Tribunal -tuomioistuimen on ilmoitettava valittajalle, onko asia ratkaistu hänen hyväkseen vai ei (266). Vuonna 2000 tutkintavaltuuksista annetun asetuksen 67 §:n 6 ja 7 momentin nojalla tuomioistuimella on toimivalta antaa väliaikaisia määräyksiä ja myöntää sopivaksi katsomiaan vahingonkorvauksia tai antaa muita määräyksiä (267). Vuonna 2000 tutkintavaltuuksista annetun asetuksen 67A §:n mukaan Investigatory Powers Tribunal -tuomioistuimen ratkaisuun on mahdollista hakea muutosta, ellei sen tai asianomaisen muutoksenhakutuomioistuimen myöntämästä luvasta muuta johdu.

(154)

Yksityishenkilöt voivat nostaa kanteen ja hakea oikeussuojaa Investigatory Powers Tribunal -tuomioistuimesta, jos he katsovat, että viranomainen on toiminut (tai aikoo toimia) tavalla, joka on ristiriidassa esimerkiksi yksityisyyttä ja tietosuojaa koskevien Euroopan ihmisoikeussopimuksen mukaisten oikeuksien kanssa ja siten vuoden 1998 ihmisoikeuslain 6 §:n 1 momentin nojalla lainvastaista. Investigatory Powers Tribunal -tuomioistuimella on yksinomainen toimivalta käsitellä ihmisoikeuslakiin liittyviä kanteita, joissa on kysymys tiedustelupalveluista. Kuten High Court on todennut, tämä tarkoittaa, että kysymys siitä, onko jossakin tietyssä tapauksessa siihen liittyvien tosiseikkojen perusteella rikottu ihmisoikeuslakia, voidaan periaatteessa saattaa sellaisen riippumattoman tuomioistuimen tutkittavaksi, jolla on oikeus tutustua kaikkeen asiaa koskevaan aineistoon, myös salaiseen aineistoon. High Courtin mukaan tässä yhteydessä on myös muistettava, että myös kyseisellä tuomioistuimella on mahdollisuus hakea muutosta asianomaisesta muutoksenhakutuomioistuimesta (Englannissa ja Walesissa Court of Appeal), ja että Supreme Court on äskettäin päättänyt, että Investigatory Powers Tribunal on periaatteessa tuomioistuinvalvonnan alainen: ks. R (Privacy International) v. Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219 (268). Jos tuomioistuin toteaa, että jokin viranomaisen toimi on lainvastainen, se voi toimivaltuuksiensa puitteissa hyväksyä sellaisen vaatimuksen tai oikeussuojakeinon tai antaa sellaisen määräyksen, jonka se katsoo kohtuulliseksi ja asianmukaiseksi (269).

(155)

Sen jälkeen kun kaikki kansalliset oikeussuojakeinot on käytetty, yksilö voi myös käyttää oikeussuojakeinoja Euroopan ihmisoikeustuomioistuimessa, jos esimerkiksi yksityisyyttä ja tietosuojaa koskevia Euroopan ihmisoikeussopimuksessa taattuja oikeuksia on loukattu.

(156)

Edellä esitetystä seuraa, että kun Yhdistyneen kuningaskunnan rikosoikeudelliset lainvalvontaviranomaiset jakavat tämän päätöksen nojalla siirrettyjä tietoja muille viranomaisille, myös tiedustelupalveluille, sovelletaan rajoituksia ja ehtoja, joilla varmistetaan, että edelleen jakaminen on välttämätöntä ja oikeasuhteista ja että siihen sovelletaan vuoden 2018 tietosuojalain erityisiä tietosuojatakeita. Lisäksi asianomaisten viranomaisten suorittamaa henkilötietojen käsittelyä valvovat riippumattomat elimet, ja asianomaisilla henkilöillä on käytettävissään tehokkaat oikeussuojakeinot.

(157)

Komissio katsoo, että vuoden 2018 tietosuojalain 3 osassa varmistetaan unionin toimivaltaisilta viranomaisilta Yhdistyneen kuningaskunnan toimivaltaisille viranomaisille rikosoikeudellisia lainvalvontatarkoituksia varten siirrettyjen henkilötietojen suojan taso, joka vastaa olennaisilta osin direktiivissä (EU) 2016/680 taattua tasoa.

(158)

Lisäksi komissio katsoo, että Yhdistyneen kuningaskunnan lainsäädäntöön sisältyvät valvontamekanismit ja oikeussuojakeinot kokonaisuutena mahdollistavat sen, että henkilötietoja käsittelevän toiminnanharjoittajan tekemät rikkomukset voidaan havaita ja niistä voidaan käytännössä antaa rangaistus. Ne tarjoavat myös rekisteröidylle oikeussuojakeinoja, jotta hän voi tutustua itseään koskeviin henkilötietoihin ja korjata tai poistaa kyseiset tiedot.

(159)

Yhdistyneen kuningaskunnan oikeusjärjestystä koskevien käytettävissä olevien tietojen perusteella komissio katsoo, että Yhdistyneen kuningaskunnan viranomaisten puuttuminen erityisesti lainvalvontaan ja kansalliseen turvallisuuteen liittyvissä tarkoituksissa niiden yksilöiden perusoikeuksiin, joiden henkilötietoja siirretään Euroopan unionista Yhdistyneeseen kuningaskuntaan, myös silloin, kun on kyse henkilötietojen jakamisesta lainvalvontaviranomaisten ja kansallisten turvallisuuselinten ja muiden viranomaisten välillä, tulee rajatuksi siihen, mikä on ehdottoman välttämätöntä kyseessä olevan lainmukaisen tavoitteen saavuttamiseksi, ja että tällaista puuttumista vastaan on olemassa tehokas oikeussuoja.

(160)

Olisi sen vuoksi päätettävä, että Yhdistynyt kuningaskunta tarjoaa riittävän tietosuojan tason, sellaisena kuin siitä säädetään direktiivin (EU) 2016/680 36 artiklan 2 kohdassa, tulkittuna perusoikeuskirjan pohjalta.

(161)

Tämä päätelmä perustuu sekä Yhdistyneen kuningaskunnan kansalliseen järjestelmään että sen kansainvälisiin sitoumuksiin, ja erityisesti siihen, että maa on liittynyt Euroopan ihmisoikeussopimukseen ja kuuluu Euroopan ihmisoikeustuomioistuimen toimivallan piiriin. Mainittujen välineiden jatkuva noudattaminen on näin ollen erityisen tärkeä osa tässä päätöksessä arvioitavaa oikeudellista kehystä.

(162)

Jäsenvaltioiden ja niiden elinten on toteutettava tarvittavat toimenpiteet unionin toimielinten säädösten noudattamiseksi, sillä säädösten oletetaan olevan lainmukaisia ja niillä on näin ollen oikeusvaikutuksia siihen saakka, kunnes ne perutaan, kumotaan kumoamiskanteen johdosta tai julistetaan pätemättömiksi ennakkoratkaisupyynnön tai lainvastaisuusväitteen perusteella.

(163)

Näin ollen direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukainen tietosuojan riittävyyttä koskeva komission päätös sitoo kaikkia elimiä jäsenvaltioissa, joille se on osoitettu, mukaan lukien niiden riippumattomat valvontaviranomaiset. Tämä tarkoittaa erityisesti sitä, että tämän päätöksen soveltamisaikana siirtoja unionin rekisterinpitäjältä tai henkilötietojen käsittelijältä Yhdistyneen kuningaskunnan rekisterinpitäjälle tai henkilötietojen käsittelijälle voidaan tehdä ilman erillistä lupaa.

(164)

Samalla on kuitenkin muistettava, kuten direktiivin (EU) 2016/680 47 artiklan 5 kohdassa tunnustetaan ja unionin tuomioistuimen asiassa Schrems antamassa tuomiossa selostetaan, että jos kansallinen tietosuojaviranomainen esimerkiksi valituksen käsittelyn yhteydessä asettaa kyseenalaiseksi sen, onko tietosuojan riittävyyttä koskeva komission päätös yksityisyydensuojaa ja tietosuojaa koskevan perusoikeuden mukainen, kansallisessa lainsäädännössä on säädettävä oikeussuojakeinoista, joiden avulla viranomainen voi esittää väitteensä kansallisessa tuomioistuimessa, jonka on tarvittaessa pyydettävä unionin tuomioistuimelta ennakkoratkaisua (270).

(165)

Direktiivin (EU) 2016/680 36 artiklan 4 kohdan nojalla komissio seuraa jatkuvasti asian kannalta merkityksellistä kehitystä Yhdistyneessä kuningaskunnassa tämän päätöksen hyväksymisen jälkeen voidakseen arvioida, takaako se edelleen olennaisilta osin vastaavan suojan tason. Tällainen seuranta on erityisen tärkeää tässä tapauksessa, koska Yhdistynyt kuningaskunta hallinnoi, soveltaa ja panee täytäntöön uutta tietosuojajärjestelmää, joka ei enää kuulu unionin oikeuden soveltamisalaan ja voi muuttua. Tältä osin kiinnitetään erityistä huomiota siihen, miten henkilötietojen siirtoa kolmansiin maihin koskevia Yhdistyneen kuningaskunnan sääntöjä sovelletaan käytännössä, myös tekemällä kansainvälisiä sopimuksia. Erityistä huomiota kiinnitetään myös vaikutuksiin, joita soveltamisella voi olla tämän päätöksen nojalla siirrettävien tietojen suojan tasoon, ja yksilön oikeuksien täytäntöönpanon tehokkuuteen tämän päätöksen kattamilla aloilla. Komissio hyödyntää seurannassaan muun muassa oikeuskäytännön kehitystä ja tietosuojavaltuutetun ja muiden riippumattomien elinten suorittamaa valvontaa.

(166)

Seurannan helpottamiseksi Yhdistyneen kuningaskunnan viranomaisten olisi viipymättä ja säännöllisesti ilmoitettava komissiolle kaikista Yhdistyneen kuningaskunnan oikeusjärjestyksen olennaisista muutoksista, jotka vaikuttavat tämän päätöksen kohteena olevaan oikeudelliseen kehykseen, sekä tässä päätöksessä arvioitujen, henkilötietojen käsittelyä koskevien käytäntöjen muutoksista erityisesti johdanto-osan 165 kappaleessa mainittujen seikkojen osalta.

(167)

Jotta komissio voisi harjoittaa tehokkaasti valvontatehtäväänsä, jäsenvaltioiden olisi lisäksi ilmoitettava komissiolle kaikista kansallisten tietosuojaviranomaisten toteuttamista asiaankuuluvista toimista, varsinkin siinä tapauksessa, että ne liittyvät EU:n rekisteröityjen esittämiin kysymyksiin tai valituksiin, jotka koskevat henkilötietojen siirtoa Euroopan unionista Yhdistyneen kuningaskunnan toimivaltaisille viranomaisille. Komissiolle olisi myös ilmoitettava havainnoista, joiden mukaan rikosten ennalta estämisestä, tutkimisesta, paljastamisesta tai rikoksiin liittyvistä syytetoimista vastaavat Yhdistyneen kuningaskunnan viranomaiset, mukaan lukien valvontaelimet, eivät varmista vaadittua suojan tasoa.

(168)

Jos käytettävissä olevat tiedot, erityisesti tämän päätöksen seurannasta saatavat tiedot tai Yhdistyneen kuningaskunnan tai jäsenvaltioiden viranomaisten toimittamat tiedot, osoittavat, että Yhdistyneen kuningaskunnan takaama tietosuojan taso ei mahdollisesti ole enää riittävä, komission olisi viipymättä ilmoitettava asiasta Yhdistyneen kuningaskunnan toimivaltaisille viranomaisille ja vaadittava asianmukaisten toimenpiteiden toteuttamista tietyn ajan kuluessa, joka ei voi ylittää kolmea kuukautta. Tätä määräaikaa voidaan tarvittaessa pidentää tietyksi ajaksi käsillä olevan asian ja/tai toteutettavien toimenpiteiden luonteen mukaan.

(169)

Jos Yhdistyneen kuningaskunnan toimivaltaiset viranomaiset eivät kyseisen määräajan päättyessä ole toteuttaneet näitä toimenpiteitä tai muutoin osoittaneet tyydyttävästi, että tämän päätöksen perustana on edelleen riittävä suojan taso, komissio aloittaa direktiivin (EU) 2016/680 58 artiklan 2 kohdassa tarkoitetun menettelyn tämän päätöksen soveltamisen keskeyttämiseksi tai sen kumoamiseksi osittain tai kokonaan.

(170)

Vaihtoehtoisesti komissio aloittaa kyseisen menettelyn tämän päätöksen muuttamiseksi erityisesti soveltamalla tiedonsiirtoihin lisäehtoja tai rajoittamalla tietosuojan riittävyyttä koskevan päätelmän soveltamisalan vain sellaisiin tiedonsiirtoihin, joiden osalta riittävän tietosuojan jatkuvuus on varmistettu.

(171)

Asianmukaisesti perustelluissa kiireellisissä tapauksissa komissio käyttää mahdollisuutta hyväksyä direktiivin (EU) 2016/680 58 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen välittömästi sovellettavia täytäntöönpanosäädöksiä tämän päätöksen soveltamisen keskeyttämiseksi tai päätöksen kumoamiseksi tai sen muuttamiseksi.

(172)

Olisi otettava huomioon, että erosopimuksessa määrätyn siirtymäkauden päättyessä ja heti kun EU:n ja Yhdistyneen kuningaskunnan välillä tehdyn kauppa- ja yhteistyösopimuksen 782 artiklan väliaikaisen määräyksen soveltaminen lakkaa, Yhdistynyt kuningaskunta hallinnoi, soveltaa ja panee täytäntöön tietosuojajärjestelmää, joka on uusi verrattuna siihen järjestelmään, joka oli käytössä silloin, kun Euroopan unionin lainsäädäntö sitoi sitä. Tämä voi tarkoittaa erityisesti tässä päätöksessä arvioidun tietosuojakehyksen tarkistamista tai muuttamista sekä muita muutoksia.

(173)

Sen vuoksi on aiheellista säätää, että tätä päätöstä sovelletaan neljän vuoden ajan sen voimaantulosta alkaen.

(174)

Jos erityisesti tämän päätöksen seurannasta saadut tiedot osoittavat, että Yhdistyneen kuningaskunnan takaaman tietosuojan tason riittävyyttä koskevat havainnot ovat edelleen asiallisesti ja oikeudellisesti perusteltuja, komission olisi viimeistään kuusi kuukautta ennen tämän päätöksen soveltamisen päättymistä aloitettava menettely tämän päätöksen muuttamiseksi pidentämällä sen soveltamisaikaa periaatteessa vielä neljällä vuodella. Tällaiset tämän päätöksen muuttamista koskevat täytäntöönpanosäädökset on hyväksyttävä direktiivin (EU) 2016/680 58 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti.

(175)

Euroopan tietosuojaneuvosto on julkaissut lausuntonsa (271), joka on otettu huomioon tätä päätöstä valmisteltaessa.

(176)

Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin (EU) 2016/680 58 artiklalla perustetun komitean lausunnon mukaiset.

(177)

Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyn, Yhdistyneen kuningaskunnan ja Irlannin asemasta vapauden, turvallisuuden ja oikeuden alueen osalta tehdyssä pöytäkirjassa N:o 21 olevan 6 a artiklan mukaisesti Irlantia eivät sido direktiivissä (EU) 2016/680 ja siten tässä täytäntöönpanopäätöksessä vahvistetut säännöt, jotka koskevat jäsenvaltioiden suorittamaa henkilötietojen käsittelyä näiden toteuttaessa Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa, siltä osin kuin Irlantia eivät sido rikosasioissa tehtävän oikeudellisen yhteistyön tai poliisiyhteistyön muotoa koskevat säännöt, jotka edellyttävät Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan perusteella vahvistettujen säännösten noudattamista. Lisäksi neuvoston täytäntöönpanopäätöksen (EU) 2020/1745 (272) nojalla direktiivi (EU) 2016/680 on saatettava voimaan ja sitä on sovellettava väliaikaisesti Irlannissa 1 päivästä tammikuuta 2021 lähtien. Sen vuoksi tämä täytäntöönpanopäätös sitoo Irlantia samoin edellytyksin, kuin direktiiviä (EU) 2016/680 sovelletaan Irlannissa, kuten täytäntöönpanopäätöksessä (EU) 2020/1745 säädetään, siltä osin kuin on kyse Schengenin säännöstöstä, johon Irlanti osallistuu.

(178)

Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyssä, Tanskan asemasta tehdyssä pöytäkirjassa N:o 22 olevien 2 ja 2 a artiklan mukaisesti direktiivissä (EU) 2016/680 ja siten myös tässä täytäntöönpanopäätöksessä vahvistetut säännöt eivät sido Tanskaa eikä niitä sovelleta Tanskaan, jos soveltaminen liittyy jäsenvaltioiden suorittamaan henkilötietojen käsittelyyn näiden toteuttaessa Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa. Koska direktiivi (EU) 2016/680 kuitenkin perustuu Schengenin säännöstöön, Tanska ilmoitti mainitun pöytäkirjan 4 artiklan mukaisesti 26 päivänä lokakuuta 2016 päätöksestään panna direktiivi (EU) 2016/680 täytäntöön. Sen vuoksi Tanskan on kansainväliseen oikeuteen perustuvien velvoitteiden nojalla pantava tämä täytäntöönpanopäätös täytäntöön.

(179)

Islannin ja Norjan osalta tällä täytäntöönpanopäätöksellä kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin neuvoston sekä Islannin tasavallan ja Norjan kuningaskunnan välillä viimeksi mainittujen osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen tehdyssä sopimuksessa (273).

(180)

Sveitsin osalta tällä täytäntöönpanopäätöksellä kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton välisessä sopimuksessa Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen (274).

(181)

Liechtensteinin osalta tällä täytäntöönpanopäätöksellä kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin, Euroopan yhteisön, Sveitsin valaliiton ja Liechtensteinin ruhtinaskunnan välisessä pöytäkirjassa, joka koskee Liechtensteinin ruhtinaskunnan liittymistä Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton väliseen Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen tehtyyn sopimukseen (275),