(1)

Asetuksessa (EU) 2016/679 vahvistetaan säännöt, joita sovelletaan henkilötietojen siirtoon Euroopan unioniin sijoittautuneilta rekisterinpitäjiltä tai henkilötietojen käsittelijöiltä kolmansiin maihin ja kansainvälisille järjestöille, siltä osin kuin tällaiset siirrot kuuluvat sen soveltamisalaan. Henkilötietojen kansainvälistä siirtoa koskevat säännöt vahvistetaan asetuksen V luvussa, joka sisältää artiklat 44–50. Kansainvälisen yhteistyön ja kaupan kehittämiseksi on tarpeen siirtää henkilötietoja Euroopan unionin ulkopuolisiin maihin tai niistä unioniin. Samalla on kuitenkin varmistettava, että tällaisten siirtojen yhteydessä ei heikennetä henkilötietojen suojan tasoa Euroopan unionissa. (2)

(2)

Asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukaan komissio voi päättää täytäntöönpanosäädöksellä, että jokin kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö varmistaa riittävän tietosuojan. Tämän edellytyksen täyttyessä henkilötietoja voidaan siirtää kyseiselle kolmannelle maalle ilman erillistä lupaa, kuten kyseisen asetuksen 45 artiklan 1 kohdassa ja johdanto-osan 103 kappaleessa säädetään.

(3)

Kuten asetuksen (EU) 2016/679 45 artiklan 2 kohdassa säädetään, tietosuojan riittävyyttä koskevan päätöksen tekemisen on perustuttava kattavaan analyysiin kolmannen maan oikeusjärjestyksestä. Analyysissa on tarkasteltava sekä tietojen tuojia koskevia sääntöjä että rajoituksia ja suojatoimia, jotka koskevat viranomaisten pääsyä henkilötietoihin. Komission on arvioinnissaan määritettävä, takaako kyseinen kolmas maa suojan tason, joka ”vastaa olennaisilta osin” Euroopan unionissa taattua suojan tasoa (asetuksen (EU) 2016/679 johdanto-osan 104 kappale). Vertailukohtana tässä arvioinnissa on Euroopan unionin lainsäädännön ja erityisesti asetuksen (EU) 2016/679 ja Euroopan unionin tuomioistuimen oikeuskäytännön (3) tarjoama suojan taso. Lisäksi Euroopan tietosuojaneuvoston määrittelemät tietosuojan riittävyyden viitearvot (4) ovat tältä osin merkityksellisiä.

(4)

Kuten Euroopan unionin tuomioistuin on selventänyt, tämä ei edellytä, että suojelun tason pitäisi olla täysin identtinen. (5) Erityisesti keinot, joita kyseisellä kolmannella maalla on käytettävissään henkilötietojen suojaamiseksi, voivat erota Euroopan unionissa käytetyistä menetelmistä, kunhan ne käytännössä varmistavat tehokkaasti suojelun riittävän tason. (6) Tietosuojan riittävyyttä koskeva vaatimus ei sen vuoksi edellytä unionin sääntöjen kopiointia kohta kohdalta. Sen sijaan arvioidaan, onko ulkomaisen järjestelmän antama suoja kokonaisuutena vaaditun tason mukainen. Tällöin selvitetään, mikä sisältö tietosuojaan liittyvillä oikeuksilla on ja pannaanko ne täytäntöön ja valvotaanko niiden toteutumista tehokkaasti. (7)

(5)

Komissio on analysoinut huolellisesti Yhdistyneen kuningaskunnan lainsäädäntöä ja käytäntöä. Komissio katsoo johdanto-osan 8–270 kappaleessa esitettyjen havaintojen perusteella, että Yhdistyneessä kuningaskunnassa varmistetaan riittävä suoja henkilötiedoille, jotka siirretään Euroopan unionista Yhdistyneeseen kuningaskuntaan asetuksen (EU) 2016/679 puitteissa.

(6)

Tämä päätelmä ei koske henkilötietoja, jotka siirretään Yhdistyneen kuningaskunnan maahanmuuton valvontaa varten tai joiden osalta muutoin poiketaan tietyistä rekisteröityjen oikeuksista maahanmuuton tehokkaan valvonnan varmistamiseksi, jäljempänä ’maahanmuuttoa koskeva poikkeus’, Yhdistyneen kuningaskunnan tietosuojalain liitteessä 2 olevan 4 kohdan 1 alakohdan nojalla. Yhdistyneen kuningaskunnan lainsäädäntöön perustuvan maahanmuuttoa koskevan poikkeuksen pätevyyttä ja tulkintaa ei ole ratkaistu Englannin ja Walesin muutoksenhakutuomioistuimen (Court of Appeal) 26 päivänä toukokuuta 2021 antamalla päätöksellä. Vaikka Court of Appeal toteaa, että rekisteröidyn oikeuksia voidaan periaatteessa rajoittaa maahanmuuton valvonnan varmistamiseksi, koska kyseessä on ”tärkeä yleistä etua koskeva näkökohta”, se katsoo kuitenkin, että maahanmuuttoa koskeva poikkeus on nykymuodossaan ristiriidassa Yhdistyneen kuningaskunnan lainsäädännön kanssa, koska kyseisessä lainsäädäntötoimenpiteessä ei ole säännöksiä, joissa mainittaisiin Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen (8) (United Kingdom General Data Protection Regulation, UK GDPR) 23 artiklan 2 kohdassa luetellut suojatoimet. Näin ollen sellaisten henkilötietojen siirtäminen unionista Yhdistyneeseen kuningaskuntaan, joihin voidaan soveltaa maahanmuuttoa koskevaa poikkeusta, olisi suljettava tämän päätöksen soveltamisalan ulkopuolelle. (9) Maahanmuuttoa koskevaa poikkeusta ja tarvetta jatkaa tämän päätöksen soveltamisalan rajoittamista olisi tarkasteltava uudelleen sen jälkeen kun poikkeuksen yhteensopimattomuus Yhdistyneen kuningaskunnan lainsäädännön kanssa on korjattu.

(7)

Tämä päätös ei saisi vaikuttaa asetuksen (EU) 2016/679 suoraan soveltamiseen Yhdistyneeseen kuningaskuntaan sijoittautuneisiin organisaatioihin silloin kun asetuksen 3 artiklassa vahvistetut, sen alueellista soveltamisalaa koskevat edellytykset täyttyvät.

(8)

Yhdistynyt kuningaskunta on parlamentaarinen demokratia, jonka valtionpäämiehenä toimii perustuslaillinen monarkki. Maan parlamentilla on täydellinen itsemääräämisoikeus, mikä tarkoittaa että mikään muu valtioelin ei ole sen yläpuolella. Toimeenpanovallan käyttäjä saa toimivaltansa parlamentilta ja on toimistaan vastuussa sille. Oikeuslaitos on riippumaton. Toimeenpanovallan käyttäjän toimivalta perustuu vaaleilla valitun alahuoneen (House of Commons) luottamukseen, ja se on vastuuvelvollinen parlamentin molemmille kamareille. Niiden tehtävänä taas on valvoa hallituksen toimintaa ja hyväksyä lainsäädäntöehdotukset niistä käydyn keskustelun jälkeen.

(9)

Yhdistyneen kuningaskunnan parlamentti on jakanut Skotlannin parlamentille, Walesin parlamentille (Senedd Cymru) ja Pohjois-Irlannin edustajakokoukselle toimivaltaa, jotta ne voivat antaa kukin alueellaan sellaista alueellista lainsäädäntöä, jonka osalta Yhdistyneen kuningaskunnan parlamentti ei ole varannut toimivaltaa itselleen. Tietosuojan osalta toimivalta kuuluu Yhdistyneen kuningaskunnan parlamentille, jotta koko maassa sovelletaan sama lainsäädäntöä. Eräät muut tämän päätöksen kannalta merkitykselliset seikat kuuluvat kuitenkin alueellisen toimivallan piiriin. Esimerkiksi Skotlannin ja Pohjois-Irlannin rikosoikeusjärjestelmät, poliisitoimi mukaan lukien, kuuluvat Skotlannin parlamentin ja Pohjois-Irlannin edustajakokouksen toimivallan piiriin. Yhdistyneellä kuningaskunnalla ei ole kodifioitua perustuslakia, joka olisi vahvistettu tietyssä asiakirjassa. Perustuslailliset periaatteet ovat muodostuneet vähitellen ajan myötä, erityisesti oikeuskäytännön ja tapaoikeuden perusteella. Tuomioistuimet ovat tunnustaneet tiettyjen lakien perustuslaillisen arvon; näitä ovat mm. Magna Carta, vuoden 1689 Oikeuksien julistus (Bill of Rights 1689) ja vuoden 1998 ihmisoikeuslaki (Human Rights Act 1998). Yksilöiden perusoikeuksia on kehitetty osana perustuslakia tapaoikeudessa, mainituilla laeilla ja kansainvälisillä sopimuksilla, erityisesti Euroopan ihmisoikeussopimuksella, jonka Yhdistynyt kuningaskunta ratifioi vuonna 1951. Yhdistynyt kuningaskunta on vuonna 1987 ratifioinut myös Euroopan neuvoston yleissopimuksen (N:o 108) yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä. (10)

(10)

Euroopan ihmisoikeussopimukseen sisältyvät oikeudet on saatettu osaksi Yhdistyneen kuningaskunnan lainsäädäntöä vuoden 1998 ihmisoikeuslailla. Sen mukaan kaikilla yksilöillä on perusoikeudet ja vapaudet, jotka on vahvistettu ihmisoikeussopimuksen 2–12 ja 14 artiklassa, sen ensimmäisen pöytäkirjan 1, 2 ja 3 artiklassa ja kolmannentoista pöytäkirjan 1 artiklassa, luettuna yhdessä ihmisoikeussopimuksen 16, 17 ja 18 artiklan kanssa. Näihin kuuluvat muun muassa oikeus yksityis- ja perhe-elämän kunnioittamiseen (ja oikeus tietosuojaan osana tätä oikeutta) sekä oikeus oikeudenmukaiseen oikeudenkäyntiin (11). Ihmisoikeussopimuksen 8 artiklassa määrätään erityisesti, että viranomaiset eivät saa puuttua tämän yksityisyydensuojaa koskevan oikeuden käyttämiseen, paitsi kun laki sen sallii ja se on välttämätöntä demokraattisessa yhteiskunnassa kansallisen ja yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi, tai epäjärjestyksen tai rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi, tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi.

(11)

Vuoden 1998 ihmisoikeuslain mukaan kaiken viranomaisten toiminnan on oltava sopusoinnussa ihmisoikeussopimuksessa vahvistettujen oikeuksien kanssa. (12) Lisäksi primaarilainsäädäntöä ja johdettua oikeutta on tulkittava ja se on pantava täytäntöön tavalla, joka on sopusoinnussa ihmisoikeussopimuksessa vahvistettujen oikeuksien kanssa. (13)

(12)

Yhdistynyt kuningaskunta erosi Euroopan unionista 31. tammikuuta 2020. Ison-Britannian ja Pohjois-Irlannin yhdistyneen kuningaskunnan eroamista Euroopan unionista ja Euroopan atomienergiayhteisöstä koskevan sopimuksen (14) nojalla unionin oikeutta sovellettiin Yhdistyneeseen kuningaskuntaan ja Yhdistyneessä kuningaskunnassa 31. joulukuuta 2020 päättyneen siirtymäkauden loppuun. Ennen eroa ja siirtymäkauden aikana henkilötietojen suojaa koskevan Yhdistyneen kuningaskunnan lainsäädäntökehyksen muodostivat asiaa koskeva EU:n lainsäädäntö (erityisesti asetus (EU) 2016/679 ja Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 (15)) ja kansallinen lainsäädäntö. Kansalliseen lainsäädäntöön kuului erityisesti vuoden 2018 tietosuojalaki (16), jossa vahvistettiin asetuksen (EU) 2016/679 sallimissa puitteissa kansalliset säännöt, joilla täsmennettiin ja rajoitettiin asetuksen (EU) 2016/679 sääntöjen soveltamista ja saatettiin direktiivin (EU) 2016/680 säännökset osaksi kansallista lainsäädäntöä.

(13)

Valmistautuakseen Euroopan unionista eroamiseen Yhdistyneen kuningaskunnan hallitus antoi Euroopan unionista (eroamisesta) vuonna 2018 annetun lain (European Union (Withdrawal) Act 2018 (17)), jäljempänä ’eroamista koskeva laki’, jolla sisällytettiin suoraan sovellettava unionin lainsäädäntö Yhdistyneen kuningaskunnan lainsäädäntöön. (18) Tämä nk. ”säilytetty EU:n lainsäädäntö” käsittää asetuksen (EU) 2016/679 kokonaisuudessaan (myös johdanto-osan kappaleet). (19) Eroamista koskevan lain mukaan Yhdistyneen kuningaskunnan tuomioistuinten on tulkittava tätä sellaisenaan säilytettyä EU:n lainsäädäntöä Euroopan unionin tuomioistuimen, jäljempänä ’unionin tuomioistuin’, asiaa koskevan oikeuskäytännön, jäljempänä ’säilytetty EU:n oikeuskäytäntö’, ja unionin oikeuden yleisten periaatteiden, jäljempänä ’säilytetyt EU:n lainsäädännön yleiset periaatteet’, mukaisesti, koska ne olivat voimassa välittömästi ennen siirtymäkauden päättymistä. (20)

(14)

Eroamista koskevan lain mukaan Yhdistyneen kuningaskunnan ministereillä on valtuudet antaa johdetun oikeuden säädöksiä (statutory instruments), joilla tehdään tarvittavat muutokset säilytettyyn EU:n lainsäädäntöön Yhdistyneen kuningaskunnan unionista eroamisen seurauksena. He käyttivät tätä toimivaltaa antamalla tietosuojaa, yksityisyydensuojaa ja sähköistä viestintää koskevat säädökset (Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019) (21). Mainituilla säädöksillä muutetaan asetusta (EU) 2016/679, sellaisena kuin se on saatettu osaksi Yhdistyneen kuningaskunnan lainsäädäntöä Euroopan unionista eroamista koskevalla vuoden 2018 lailla, vuoden 2018 tietosuojalailla ja muilla tietosuojasäädöksillä, jotta se sopisi kansalliseen kontekstiin. (22)

(15)

Näin ollen henkilötietojen suojaa koskeva Yhdistyneen kuningaskunnan oikeudellinen kehys muodostuu siirtymäkauden päättymisen jälkeen seuraavista:

(16)

Koska Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus perustuu säilytettyyn EU:n lainsäädäntöön, Yhdistyneen kuningaskunnan tietosuojasäännöt ovat monessa suhteessa hyvin samankaltaisia kuin Euroopan unionissa sovellettavat säännöt.

(17)

Sen lisäksi, että eroamista koskevalla lailla (Withdrawal Act 2018) on annettu tiettyjä valtuuksia Secretary of Statelle, myös vuoden 2018 tietosuojalailla annetaan hänelle valtuudet antaa johdettua lainsäädäntöä kyseisen lain tiettyjen säännösten muuttamiseksi tai uusien täydentävien sääntöjen antamiseksi. (25) Toistaiseksi Secretary of State on käyttänyt vuoden 2018 tietosuojalain 137 §:ään perustuvaa toimivaltaansa ainoastaan hyväksymällä tietosuojaan liittyviä maksuja ja tiedottamista koskevien vuoden 2019 säädösten muutokset (Data Protection (Charges and Information) (Amendment) Regulations 2019). Niissä esitetään olosuhteet, joissa rekisterinpitäjien on maksettava vuotuinen maksu Yhdistyneen kuningaskunnan riippumattomalle tietosuojaviranomaiselle eli tietosuojavaltuutetulle (Information Commissioner).

(18)

Yhdistyneen kuningaskunnan tietosuojalainsäädäntöä koskevia lisäohjeita annetaan käytännesäännöissä ja muissa tietosuojavaltuutetun laatimissa ohjeissa. Vaikka nämä ohjeet eivät olekaan muodollisesti velvoittavia, niillä on tulkinnallista merkitystä. Lisäksi niistä käy ilmi, miten tietosuojalainsäädäntöä sovelletaan ja miten tietosuojaviranomainen valvoo sen noudattamista. Vuoden 2018 tietosuojalain 121–125 §:ssä edellytetään erityisesti, että tietosuojaviranomainen laatii käytännesäännöt tietojen yhteiskäytöstä, suoramarkkinoinnista, lapset huomioon ottavien verkkopalvelujen suunnittelusta ja tietosuojasta sekä journalismista.

(19)

Tämän päätöksen nojalla siirrettäviin tietoihin sovellettava Yhdistyneen kuningaskunnan lainsäädäntökehys on siis rakenteeltaan ja pääpiirteiltään hyvin samanlainen kuin Euroopan unionissa sovellettava lainsäädäntökehys. Tämä tarkoittaa, että kehys ei perustu ainoastaan kansallisissa laeissa säädettyihin ja EU-lainsäädännön puitteissa muokattuihin velvoitteisiin, vaan myös kansainvälisessä oikeudessa vahvistettuihin velvoitteisiin. Tämä johtuu erityisesti siitä, että Yhdistynyt kuningaskunta on liittynyt Euroopan ihmisoikeussopimukseen ja yleissopimukseen N:o 108, sekä siitä, että maa kuuluu Euroopan ihmisoikeustuomioistuimen toimivallan piiriin. Nämä oikeudellisesti sitovista kansainvälisistä sopimuksista johtuvat velvoitteet, jotka koskevat erityisesti henkilötietojen suojaa, ovat näin ollen erityisen tärkeä osa tässä päätöksessä arvioitavaa oikeudellista kehystä.

(20)

Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta sovelletaan asetuksen (EU) 2016/679 tavoin henkilötietojen käsittelyyn, joka on kokonaan tai osittain automaattista, sekä sellaisten henkilötietojen muuhun kuin automatisoituun käsittelyyn, jotka muodostavat rekisterin osan. (26) Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa olevat ”henkilötietojen”, ”rekisteröidyn” ja ”käsittelyn” määritelmät ovat samat kuin asetuksessa (EU) 2016/679. (27) Lisäksi Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta sovelletaan tiettyjen Yhdistyneen kuningaskunnan viranomaisten (28) hallussa olevien jäsentelemättömien henkilötietojen manuaaliseen käsittelyyn (29). Tosin vuoden 2018 tietosuojalain 24 ja 25 §:n nojalla ei sovelleta niitä tietosuoja-asetuksen periaatteita ja oikeuksia, jotka ovat tällaisten henkilötietojen kannalta epäolennaisia. Samoin kuin asetusta (EU) 2016/679, myöskään Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta ei sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa. (30)

(21)

Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa ulotetaan sen soveltamisala kattamaan henkilötietojen käsittely myös sellaisen toiminnan yhteydessä, joka välittömästi ennen siirtymäkauden päättymistä ei kuulunut Euroopan unionin oikeuden soveltamisalaan (esim. kansallinen turvallisuus) (31) tai joka kuului Euroopan unionista tehdyn sopimuksen 5 osaston 2 luvun soveltamisalaan (yhteinen ulko- ja turvallisuuspolitiikka) (32). Samoin kuin EU:n järjestelmässä, Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta ei sovelleta henkilötietojen käsittelyyn, jota toimivaltainen viranomainen suorittaa ”lainvalvontatarkoituksessa” eli rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Tällaiseen käsittelyyn sovelletaan sen sijaan vuoden 2018 tietosuojalain 3 osan säännöksiä (EU:n oikeudessa sovelletaan vastaavasti direktiiviä (EU) 2016/680). Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta ei sovelleta myöskään tiedustelupalvelujen (Security Service, Secret Intelligence Service ja Government Communications Headquarters) suorittamaan henkilötietojen käsittelyyn, vaan siihen sovelletaan vuoden 2018 tietosuojalain 4 osan säännöksiä. (33)

(22)

Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen alueellinen soveltamisala määritellään asetuksen 3 artiklassa (34). Se kattaa henkilötietojen käsittelyn, jota suoritetaan Yhdistyneen kuningaskunnan alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toiminnan yhteydessä (riippumatta siitä, missä käsittely suoritetaan), sekä Yhdistyneessä kuningaskunnassa olevia rekisteröityjä koskevien henkilötietojen käsittelyn, jos käsittely liittyy tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille tai näiden rekisteröityjen käyttäytymisen seurantaan. (35) Lähestymistapa on sama kuin asetuksen (EU) 2016/679 3 artiklassa.

(23)

Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa on säilytetty asetuksessa (EU) 2016/679 vahvistetut henkilötietojen, käsittelyn, henkilötietojen käsittelijän ja pseudonymisoinnin määritelmät ilman olennaisia muutoksia. (36) Lisäksi Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa määritellään erityiset henkilötietoryhmät samalla tavoin kuin asetuksessa (EU) 2016/679 (”sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely”). Vuoden 2018 tietosuojalain 205 §:ssä määritellään ’biometriset tiedot’ (37), ’terveyttä koskevat tiedot’ (38) ja ’geneettiset tiedot’ (39).

(24)

Henkilötietojen käsittelyn olisi oltava lainmukaista ja kohtuullista.

(25)

Lainmukaisuuden, kohtuullisuuden ja läpinäkyvyyden periaatteet sekä laillisen käsittelyn perusteet taataan Yhdistyneen kuningaskunnan lainsäädännössä sen yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa ja 6 artiklan 1 kohdassa. Nämä säännökset ovat identtisiä asetuksen (EU) 2016/679 vastaavien säännösten kanssa. (40) Vuoden 2018 tietosuojalain 8 § täydentää Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaa, sillä sen mukaan 6 artiklan 1 kohdan e alakohtaan perustuvalla henkilötietojen käsittelyllä (joka on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi) tarkoitetaan myös henkilötietojen käsittelyä, joka on tarpeen oikeudenkäyttöä varten tai parlamentin alahuoneelle kuuluvan tai tietylle henkilölle normatiivisen säädöksen tai lain nojalla osoitetun tehtävän, valtiolle (Crown), Yhdistyneen kuningaskunnan ministerille tai ministeriön osastolle kuuluvan tehtävän tai demokratiaan osallistumista tukevan tai edistävän toimen suorittamiseksi.

(26)

Myös suostumuksen osalta (joka on yksi lainmukaisen käsittelyn edellytyksistä) Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa säilytetään asetuksen (EU) 2016/679 7 artiklassa säädetyt edellytykset muuttamattomina: rekisterinpitäjän on voitava osoittaa, että rekisteröity on antanut suostumuksensa, suostumusta koskeva pyyntö on esitettävä kirjallisesti selkeällä ja yksinkertaisella kielellä, rekisteröidyllä on oltava oikeus peruuttaa suostumus milloin tahansa, ja arvioitaessa suostumuksen vapaaehtoisuutta on otettava huomioon se, onko jonkin sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten. Lisäksi Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 8 artiklassa säädetään, että tietoyhteiskunnan palvelujen tarjoamisen yhteydessä lapsen suostumus on lainmukainen vain jos lapsi on vähintään 13-vuotias. Tämä vastaa asetuksen (EU) 2016/679 8 artiklassa säädettyä ikävaatimusta.

(27)

”Erityisiä tietoryhmiä” käsiteltäessä olisi sovellettava erityisiä suojatoimia.

(28)

Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa ja vuoden 2018 tietosuojalaissa vahvistetaan käsittelysäännöt erityisille tietoryhmille, jotka määritellään Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa samalla tavoin kuin asetuksessa (EU) 2016/679 (ks. johdanto-osan (23) kappale). Mainitun 9 artiklan mukaan erityisten tietoryhmien käsittely on periaatteessa kielletty, ellei sovelleta jotakin poikkeusta.

(29)

Nämä poikkeukset (Yhdistyneen kuningaskunnan tietosuoja-asetuksen 9 artiklan 2 ja 3 kohta) eivät poikkea sisällöltään asetuksen (EU) 2016/679 9 artiklan 2 ja 3 kohdassa säädetyistä poikkeuksista. Ellei rekisteröity ole antanut nimenomaista suostumustaan näiden tietoryhmien käsittelyyn, käsittely on sallittu vain tietyissä ja rajoitetuissa olosuhteissa. Useimmissa tapauksissa arkaluontoisten tietojen käsittelyn on oltava tarpeen asianomaisessa säännöksessä määriteltyä erityistä tarkoitusta varten (ks. 9 artiklan 2 kohdan b, c, f, g, h, i ja j alakohta).

(30)

Jos Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa säädetty poikkeus edellyttää lain mukaista lupaa tai jos siinä viitataan yleiseen etuun, vuoden 2018 tietosuojalain 10 §:ssä, luettuna yhdessä sen liitteen 1 kanssa, täsmennetään lisäksi edellytykset, joiden on täytyttävä, jotta poikkeusta voidaan soveltaa. Jos kyse on esimerkiksi arkaluontoisten tietojen käsittelystä kansanterveyden suojelemiseksi (Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan i alakohta), liitteessä 1 olevan 1 osan 3 kohdan b alakohdassa edellytetään tarpeellisuustestin lisäksi, että ”tietoja käsittelee tai käsittelystä vastaa terveydenhuollon ammattihenkilö” tai ”toinen henkilö, jota niin ikään sitoo salassapitovelvollisuus normatiivisen säädöksen tai lain nojalla”; tämä voi tarkoittaa myös common law -oikeudessa vakiintunutta salassapitovelvollisuutta.

(31)

Kun arkaluontoisia tietoja käsitellään tärkeää yleistä etua koskevasta syystä (Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohta), vuoden 2018 tietosuojalain liitteessä 1 olevassa 2 osassa esitetään tyhjentävä luettelo tarkoituksista, joita voidaan pitää merkittävänä yleistä etua koskevana syynä, ja niihin kuhunkin sovellettavat erityiset lisäedellytykset. Merkittäväksi yleisen edun mukaiseksi syyksi katsotaan esimerkiksi rodullisen ja etnisen monimuotoisuuden edistäminen organisaatioiden ylemmillä tasoilla. Arkaluontoisten tietojen käsittelyyn tätä nimenomaista tarkoitusta varten sovelletaan yksityiskohtaisia vaatimuksia. Käsittely on muun muassa toteutettava osana prosessia, jossa yksilöidään ylemmän tason tehtäviin soveltuvia henkilöitä. Lisäksi käsittelyn on oltava tarpeen rodullisen ja etnisen monimuotoisuuden edistämiseksi eikä se saa olla omiaan aiheuttamaan rekisteröidylle merkittävää vahinkoa tai huomattavaa kärsimystä.

(32)

Vuoden 2018 tietosuojalain 11 §:n 1 momentissa vahvistetaan edellytykset henkilötietojen käsittelylle Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 9 artiklan 3 kohdassa kuvatuissa salassapitovelvollisuutta koskevissa olosuhteissa. Tämä tarkoittaa myös olosuhteita, joissa tietoja käsittelee terveydenhuollon ammattihenkilö tai sosiaalityöntekijä tai toinen henkilö, jota sitoo kyseisissä olosuhteissa salassapitovelvollisuus normatiivisen säädöksen tai lain nojalla.

(33)

Lisäksi monet Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa luetelluista poikkeuksista edellyttävät asianmukaisia ja erityisiä suojatoimia, jotta niitä voidaan soveltaa. Vuoden 2018 tietosuojalain liitteessä 1 säädetään käsittelyn edellytykseksi erilaisia suojatoimia sen mukaan, minkälaisesta käsittelystä on kyse ja miten suuri riski siitä aiheutuu rekisteröityjen oikeuksille ja vapauksille. Liitteessä 1 esitetään edellytykset kullekin käsittelytilanteelle.

(34)

Joissain tapauksissa vuoden 2018 tietosuojalaissa säännellään ja rajoitetaan sitä, minkätyyppisiä arkaluontoisia tietoja voidaan käsitellä tietyn oikeusperustan nojalla. Esimerkiksi liitteessä 1 olevassa 8 kohdassa sallitaan arkaluontoisten tietojen käsittely yhtäläisten mahdollisuuksien tai kohtelun edistämistä varten. Tätä käsittelyedellytystä voidaan käyttää vain jos tiedoista käy ilmi rotu tai etninen alkuperä, uskonnollinen tai filosofinen vakaumus tai seksuaalinen suuntautuminen tai jos kyseessä on terveystieto.

(35)

Joissain tapauksissa vuoden 2018 tietosuojalailla rajoitetaan sitä, minkätyyppinen rekisterinpitäjä voi soveltaa kyseistä käsittelyedellytystä. Esimerkiksi liitteessä 1 olevassa 23 kohdassa säädetään arkaluontoisten tietojen käsittelystä valittujen edustajien yleisölle antamien vastausten yhteydessä. Tätä käsittelyedellytystä voidaan soveltaa vain jos rekisterinpitäjä on kyseinen valittu edustaja tai toimii tämän toimivallan nojalla.

(36)

Eräissä muissa tapauksissa vuoden 2018 tietosuojalaissa rajoitetaan sitä, mihin rekisteröityjen ryhmiin käsittelyedellytystä voidaan soveltaa. Esimerkiksi liitteessä 1 olevassa 21 kohdassa säädetään arkaluontoisten tietojen käsittelystä ammatillisten lisäeläkejärjestelmien yhteydessä. Tätä edellytystä voidaan soveltaa vain jos asianomainen rekisteröity on järjestelmään kuuluvan henkilön sisarus, vanhempi, isovanhempi tai isoisovanhempi.

(37)

Kun vedotaan Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa säädettyihin poikkeuksiin, joita täsmennetään vuoden 2018 tietosuojalain 10 §:ssä ja tietosuojalain liitteessä 1, rekisterinpitäjän on lisäksi useimmissa tapauksissa laadittava ”asianmukainen toimintapoliittinen asiakirja” (Appropriate Policy document). Asiakirjassa on selitettävä, miten rekisterinpitäjä varmistaa Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 5 artiklassa vahvistettujen tietosuojaperiaatteiden noudattamisen. Siinä on myös esitettävä henkilötietojen säilyttämistä ja poistamista koskevat toimintaperiaatteet ja ilmoitettava, kuinka kauan henkilötietoja todennäköisesti säilytetään. Rekisterinpitäjien on tarkistettava ja päivitettävä tämä asiakirja tarpeen mukaan. Rekisterinpitäjän on säilytettävä toimintapoliittinen asiakirja kuuden kuukauden ajan käsittelyn päättymisestä ja toimitettava se pyynnöstä tietosuojavaltuutetulle. (41)

(38)

Vuoden 2018 tietosuojalain liitteessä 1 olevan 41 kohdan nojalla toimintapoliittisen asiakirjan liitteenä on aina oltava seloste, joka kattaa kaikki käsittelytoimet. Selosteessa on mainittava toimintapoliittiseen asiakirjaan sisältyvät sitoumukset eli se, poistetaanko tiedot vai säilytetäänkö ne toimintaperiaatteiden mukaisesti. Jos toimintaperiaatteita ei ole noudatettu, syy siihen on kirjattava lokiin. Selosteessa on myös kuvattava, miten käsittely täyttää vaatimukset, joista säädetään Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 6 artiklassa (käsittelyn lainmukaisuus) ja vuoden 2018 tietosuojalain liitteessä 1 (erityiset edellytykset).

(39)

Lisäksi Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa, samoin kuin asetuksessa (EU) 2016/679, säädetään myös yleisistä suojatoimista, joita sovelletaan tiettyihin erityisiä tietoryhmiä koskeviin käsittelytoimiin. Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 35 artiklassa edellytetään tietosuojaa koskevan vaikutustenarvioinnin laatimista, jos erityisiä tietoryhmiä käsitellään laajassa mittakaavassa. Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 37 artiklan mukaan rekisterinpitäjän tai henkilötietojen käsittelijän on nimitettävä tietosuojavastaava, jos rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat käsittelystä, joka kohdistuu laajamittaisesti henkilötietojen erityisryhmiin.

(40)

Rikostuomioita ja rikoksia koskevien henkilötietojen osalta Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 10 artikla on identtinen asetuksen (EU) 2016/679 10 artiklan kanssa. Sen mukaan rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely on sallittu ainoastaan viranomaisen valvonnassa tai silloin, kun se sallitaan jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.

(41)

Silloin kun rikostuomioita ja rikoksia koskevia tietoja ei käsitellä viranomaisen valvonnassa, vuoden 2018 tietosuojalain 10 §:n 5 momentissa säädetään, että tällainen käsittely voidaan suorittaa ainoastaan vuoden 2018 tietosuojalain liitteessä 1 olevassa 1, 2 ja 3 osassa esitettyjä erityisiä tarkoituksia varten / erityisissä tilanteissa ja että siihen on sovellettava kutakin tällaista tarkoitusta/tilannetta varten vahvistettuja erityisiä vaatimuksia. Esimerkiksi rikostuomioita koskevia tietoja voidaan käsitellä voittoa tavoittelemattomissa elimissä, jos käsittely suoritetaan a) poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin ja b) sillä edellytyksellä, i) että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja ii) että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta.

(42)

Lisäksi vuoden 2018 tietosuojalain liitteessä 1 olevassa 3 osassa säädetään muista olosuhteista, joissa rikostuomioita koskevia tietoja voidaan käyttää. Nämä olosuhteet vastaavat arkaluonteisten tietojen käsittelyn oikeudellisia perusteita, joista säädetään asetuksen (EU) 2016/679 9 artiklan 2 kohdassa ja Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa (esimerkiksi rekisteröidyn suostumus, henkilön elintärkeiden etujen suojaaminen, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan, jos rekisteröity on nimenomaisesti jo saattanut tiedot julkisiksi tai jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi).

(43)

Henkilötietoja olisi käsiteltävä tiettyä tarkoitusta varten ja käytettävä myöhemmin vain siltä osin kuin se ei ole ristiriidassa kyseisen tarkoituksen kanssa.

(44)

Tämä periaate vahvistetaan asetuksen (EU) 2016/679 5 artiklan 1 kohdan b alakohdassa, ja se on säilytetty muutoksitta Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa. Myös asetuksen (EU) 2016/679 6 artiklan 4 kohdan mukaiset sallitun käsittelyn edellytykset on säilytetty ilman olennaisia muutoksia Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 6 artiklan 4 kohdan a–e alakohdassa.

(45)

Lisäksi tietojen olisi oltava täsmällisiä, ja ne olisi tarvittaessa pidettävä ajan tasalla. Tietojen on myös oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään, ja periaatteessa niitä pitäisi säilyttää ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

(46)

Nämä tietojen minimointia, täsmällisyyttä ja säilytyksen rajoittamista koskevat periaatteet vahvistetaan asetuksen (EU) 2016/679 5 artiklan 1 kohdan c–e alakohdassa, ja ne on säilytetty muutoksitta Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c–e alakohdassa.

(47)

Henkilötietoja olisi myös käsiteltävä tavalla, jolla varmistetaan niiden turvallisuus, mukaan lukien suojaaminen luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Tätä varten toiminnanharjoittajien olisi toteutettava asianmukaisia teknisiä tai organisatorisia toimenpiteitä henkilötietojen suojaamiseksi mahdollisilta uhkilta. Näitä toimenpiteitä olisi arvioitava ottaen huomioon alan uusin tekniikka ja siihen liittyvät kustannukset.

(48)

Tietoturva varmistetaan Yhdistyneen kuningaskunnan lainsäädännössä Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa vahvistetun eheyden ja luottamuksellisuuden periaatteen nojalla sekä käsittelyn turvallisuutta koskevalla tietosuoja-asetuksen 32 artiklalla. Mainitut säännökset ovat identtiset asetuksen (EU) 2016/679 säännösten kanssa. Lisäksi Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa edellytetään samoin edellytyksin kuin asetuksen (EU) 2016/679 33 ja 34 artiklassa, että henkilötietojen tietoturvaloukkauksesta on ilmoitettava valvontaviranomaiselle (Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 33 artikla) ja rekisteröidylle (Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 34 artikla).

(49)

Rekisteröidyille olisi ilmoitettava heidän henkilötietojensa käsittelyn pääkohdat.

(50)

Tämä varmistetaan Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 13 ja 14 artiklalla, joissa vahvistetaan yleisen läpinäkyvyysperiaatteen ohella rekisteröidylle annettavia tietoja koskevat säännöt. (42) Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa ei tehdä näihin sääntöihin olennaisia muutoksia verrattuna asetuksen (EU) 2016/679 vastaaviin artikloihin. Samoin kuin asetuksen (EU) 2016/679 nojalla, kyseisissä artikloissa vahvistettuihin läpinäkyvyysvaatimuksiin sovelletaan kuitenkin useita poikkeuksia, joista säädetään vuoden 2018 tietosuojalaissa (ks. johdanto-osan (55)–(72) kappale).

(51)

Rekisteröidyillä olisi oltava tietyt oikeudet, joihin voidaan vedota rekisterinpitäjää tai henkilötietojen käsittelijää vastaan, kuten oikeus saada pääsy tietoihin, oikeus vastustaa niiden käsittelyä ja oikeus saada tiedot oikaistuiksi ja poistetuiksi. Toisaalta tällaisiin oikeuksiin voidaan soveltaa rajoituksia, kunhan rajoitukset ovat välttämättömiä ja oikeasuhteisia yleisen turvallisuuden tai muiden yleisen edun mukaisten tärkeiden tavoitteiden turvaamiseksi.

(52)

Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa taataan yksilöille samat täytäntöönpanokelpoiset oikeudet kuin asetuksella (EU) 2016/679. Yksilön oikeuksia koskevat säännökset on säilytetty Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa ilman olennaisia muutoksia.

(53)

Näitä oikeuksia ovat mm. rekisteröidyn oikeus saada pääsy tietoihin (Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 15 artikla), oikeus oikaista tiedot (16 artikla), oikeus poistaa tiedot (17 artikla), oikeus rajoittaa käsittelyä (18 artikla), velvollisuus ilmoittaa henkilötietojen oikaisemista tai poistamista tai käsittelyn rajoittamista koskevasta oikeudesta (19 artikla), oikeus siirtää tiedot järjestelmästä toiseen (20 artikla) ja oikeus vastustaa henkilötietojen käsittelyä (21 artikla). (43) Viimeksi mainittuun sisältyy myös rekisteröidyn oikeus vastustaa henkilötietojen käsittelyä suoramarkkinointia varten (asetuksen (EU) 2016/679 21 artiklan 2 ja 3 kohta). Lisäksi tietosuojavaltuutetun on vuoden 2018 tietosuojalain 122 §:n nojalla laadittava suoramarkkinointia koskevat käytännesäännöt, joissa noudatetaan tietosuojalainsäädännön vaatimuksia (ja vuoden 2003 yksityisyydensuojaa ja sähköistä viestintää koskevia säädöksiä (Privacy and Electronic Communications (EC Directive) Regulations 2003) sekä muita tietosuojavaltuutetun hyödyllisiksi katsomia ohjeita, joilla edistetään suoramarkkinointiin liittyviä hyviä käytäntöjä. Tietosuojavaltuutetun toimisto laatii parhaillaan näitä suoramarkkinointia koskevia käytännesääntöjä (44).

(54)

Rekisteröidylle asetuksen (EU) 2016/679 22 artiklan nojalla kuuluva oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka on tehty yksinomaan automatisoidun käsittelyn perusteella ja josta hänelle aiheutuu haitallisia oikeudellisia vaikutuksia tai joka vaikuttaa häneen merkittävällä tavalla, on niin ikään säilytetty Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa ilman olennaisia muutoksia. Siihen on kuitenkin lisätty uusi 3A kohta, jossa viitataan siihen, että vuoden 2018 tietosuojalain 14 §:ssä säädetään rekisteröityjen oikeuksia, vapauksia ja oikeutettuja etuja koskevista suojatoimista silloin kun tietoja käsitellään Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan nojalla. Tätä sovelletaan vain silloin kun tällaisen päätöksen perusteena on Yhdistyneen kuningaskunnan lainsäädännön mukainen lupa tai vaatimus. Sitä ei sovelleta, jos päätös on tarpeen sopimuksen nojalla tai jos se on tehty rekisteröidyn nimenomaisen suostumuksen perusteella. Kun sovelletaan vuoden 2018 tietosuojalain 14 §:ää, rekisterinpitäjän on, niin pian kuin se on kohtuudella mahdollista, ilmoitettava rekisteröidylle kirjallisesti, että päätös on tehty yksinomaan automaattisen käsittelyn perusteella. Rekisteröidyllä on oikeus pyytää (kuukauden kuluessa ilmoituksen vastaanottamisesta), että rekisterinpitäjä joko harkitsee päätöstä uudelleen tai tekee uuden päätöksen, joka ei perustu yksinomaan automaattiseen käsittelyyn. Secretary of Statella on valtuudet hyväksyä lisää suojatoimia automatisoitua päätöksentekoa varten. Näitä valtuuksia ei ole vielä käytetty.

(55)

Vuoden 2018 tietosuojalaissa asetetaan useita yksilön oikeuksiin sovellettavia rajoituksia Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 23 artiklan puitteissa. Tässä yhteydessä ei oteta käyttöön rajoituksia, jotka koskisivat Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 21 artiklan 2 ja 3 kohdassa säädettyä oikeutta vastustaa suoramarkkinointia tai Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 22 artiklassa säädettyä oikeutta olla joutumatta automaattisen päätöksenteon kohteeksi.

(56)

Rajoitukset esitetään yksityiskohtaisesti vuoden 2018 tietosuojalain liitteissä 2–4. Yhdistyneen kuningaskunnan viranomaisten mukaan rajoitukset perustuvat kahteen periaatteeseen: tietyn käsittelytarkoituksen periaatteeseen (yksityiskohtaisen lähestymistavan mukaisesti laaja rajoitus jaetaan useisiin yksityiskohtaisempiin säännöksiin) ja ehdollisuusperiaatteeseen (kutakin säännöstä täydennetään suojatoimilla, jotka esitetään rajoitusten tai ehtojen muodossa väärinkäytösten estämiseksi). (45)

(57)

Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 23 artiklan 1 kohdassa esitettyjen rajoitusten tarkoituksena on varmistaa, että niitä sovelletaan vain tietyissä olosuhteissa, kun se on välttämätöntä demokraattisessa yhteiskunnassa ja oikeassa suhteessa niillä tavoiteltuun oikeutettuun päämäärään nähden. Lisäksi tietosuojajärjestelmästä voidaan rajoitusten tulkintaa koskevan vakiintuneen oikeuskäytännön mukaan poiketa yksittäisessä tapauksessa vain jos se on välttämätöntä ja oikeasuhteista (46). Tarpeellisuusarvioinnin on oltava tiukka, niin että rekisteröidyn oikeuksiin puuttumisen on oltava oikeassa suhteessa yleiseen etuun kohdistuvan uhan vakavuuteen. Se edellyttää näin ollen perinteistä suhteellisuusanalyysia. (47)

(58)

Näiden rajoitusten tavoitteet vastaavat asetuksen (EU) 2016/679 23 artiklassa lueteltuja tavoitteita, lukuun ottamatta kansalliseen turvallisuuteen ja puolustukseen liittyviä rajoituksia, joista säädetään sen sijaan vuoden 2018 tietosuojalain 26 §:ssä, mutta joille on asetettu samat tarpeellisuutta ja oikeasuhteisuutta koskevat vaatimukset (ks. johdanto-osan 63–66 kappale).

(59)

Tietyt rajoitukset, kuten rikosten ehkäisemiseen ja paljastamiseen tai rikollisten kiinniottoon ja syytteeseenpanoon sekä verojen ja maksujen (48) määräämiseen ja kantamiseen liittyvät rajoitukset, mahdollistavat kaikkien yksilön oikeuksien ja läpinäkyvyyttä koskevien velvoitteiden rajoittamisen (lukuun ottamatta 21 artiklan 2 kohdassa ja 22 artiklassa säädettyjä oikeuksia). Muiden rajoitusten soveltamisala on rajoitettu läpinäkyvyyttä koskeviin velvollisuuksiin ja pääsyoikeuksiin, kuten asianajosalaisuutta (49) koskeviin rajoituksiin, oikeuteen olla antamatta tietoja, jotka voisivat johtaa oman syyllisyyden toteamiseen (50), ja yrityksen rahoitukseen, erityisesti sisäpiirikauppojen estämiseen (51). Vain harvojen rajoitusten nojalla voidaan rajoittaa rekisterinpitäjän velvollisuutta ilmoittaa rekisteröidylle tietoturvaloukkauksesta tai käsittelyn käyttötarkoituksen rajoittamista ja käsittelyn lainmukaisuutta, kohtuullisuutta ja läpinäkyvyyttä koskevien periaatteiden soveltamista. (52)

(60)

Joitakin rajoituksia sovelletaan automaattisesti ”kaikilta osin” tietyntyyppiseen henkilötietojen käsittelyyn (esimerkiksi läpinäkyvyyttä koskevien velvoitteiden ja yksilön oikeuksien soveltaminen on suljettu pois, kun henkilötietojen käsittelyn tarkoituksena on arvioida henkilön soveltuvuutta oikeuslaitoksen virkaan tai kun henkilötietoja käsittelee tuomioistuin tai yksilö lainkäyttötehtäviä suorittaessaan).

(61)

Useimmissa tapauksissa vuoden 2018 tietosuojalain liitteessä 2 olevassa asiaa koskevassa kohdassa kuitenkin täsmennetään, että rajoitusta sovelletaan vain (ja ainoastaan siltä osin kuin) säännösten soveltaminen ”voisi todennäköisesti haitata” kyseisellä rajoituksella tavoiteltua oikeutettua päämäärää: esimerkiksi mainittuja Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen säännöksiä ei sovelleta henkilötietojen käsittelyyn, jonka tarkoituksena on rikoksen ehkäiseminen tai paljastaminen tai rikollisten kiinniotto tai syytteeseenpano tai verojen ja maksujen määrääminen tai kantaminen ”siltä osin kuin säännösten soveltaminen todennäköisesti haittaisi” jotakin näistä seikoista. (53)

(62)

Yhdistyneen kuningaskunnan tuomioistuimissa on johdonmukaisesti tulkittu vakioilmauksen ”voisi todennäköisesti haitata” tarkoittavan, että on olemassa ”erittäin merkittävä ja painava mahdollisuus haittavaikutusten kohdistumisesta yksilöityihin yleisiin etuihin”. (54) Rajoitukseen, jonka osalta on arvioitava siitä mahdollisesti aiheutuvia haittoja, voidaan sen vuoksi vedota vain ja ainoastaan siltä osin kuin on olemassa erittäin merkittävä ja painava mahdollisuus, että tietyn oikeuden myöntäminen aiheuttaisi haittavaikutuksia suhteessa kyseiseen yleiseen etuun. Rekisterinpitäjän vastuulla on arvioida tapauskohtaisesti, täyttyvätkö nämä edellytykset. (55)

(63)

Vuoden 2018 tietosuojalain liitteessä 2 säädettyjen rajoitusten ohella vuoden 2018 tietosuojalain 26 §:ssä säädetään poikkeuksesta, jota voidaan soveltaa tiettyihin Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen ja vuoden 2018 tietosuojalain säännöksiin, jos poikkeus on tarpeen kansallisen turvallisuuden tai puolustuksen turvaamiseksi. Tätä poikkeusta sovelletaan tietosuojaperiaatteisiin (lainmukaisuusperiaatetta lukuun ottamatta), läpinäkyvyyttä koskeviin velvoitteisiin, rekisteröidyn oikeuksiin, velvollisuuteen ilmoittaa tietoturvaloukkauksesta, kansainvälisiä tiedonsiirtoja koskeviin sääntöihin, joihinkin tietosuojavaltuutetun tehtäviin ja toimivaltuuksiin sekä tiettyihin oikeussuojakeinoja, vastuuta ja seuraamuksia koskeviin sääntöihin, lukuun ottamatta Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 83 artiklassa säädettyjä hallinnollisten sakkojen määräämistä koskevia yleisiä edellytyksiä ja 84 artiklassa säädettyjä seuraamuksia. Lisäksi vuoden 2018 tietosuojalain 28 §:ssä muutetaan 9 artiklan 1 kohdan soveltamista, jotta voidaan mahdollistaa Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettujen erityisten tietoryhmien käsittely siltä osin kuin käsittely suoritetaan kansallisen turvallisuuden tai puolustuksen takaamiseksi ja siinä noudatetaan rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia. (56)

(64)

Poikkeusta voidaan soveltaa vain siltä osin kuin se on tarpeen kansallisen turvallisuuden tai puolustuksen takaamiseksi. Koska sama pätee myös muihin vuoden 2018 tietosuojalaissa säädettyihin poikkeuksiin, rekisterinpitäjän on harkittava poikkeusta ja sen soveltamista tapauskohtaisesti. Poikkeuksen soveltamisessa on lisäksi noudatettava ihmisoikeusnormeja (jotka perustuvat vuoden 1998 ihmisoikeuslakiin), joiden mukaan yksityisyyden suojaan puuttumisen on aina oltava välttämätöntä ja oikeasuhteista demokraattisessa yhteiskunnassa. (57)

(65)

Tietosuojavaltuutettu on vahvistanut tämän poikkeuksen tulkinnan ja antanut kansallista turvallisuuta ja puolustusta koskevan poikkeuksen soveltamisesta yksityiskohtaiset ohjeet, joissa täsmennetään, että rekisterinpitäjän on tarkasteltava ja sovellettava poikkeusta tapauskohtaisesti. (58) Ohjeissa painotetaan, että poikkeus ei ole yleispätevä ja että siihen vetoamiseksi ei riitä, että tietoja käsitellään kansalliseen turvallisuuteen liittyviä tarkoituksia varten. Sen sijaan rekisterinpitäjän on poikkeukseen vedotessaan osoitettava, että on olemassa todellinen mahdollisuus, että kansalliseen turvallisuuteen kohdistuu kielteisiä vaikutuksia. Tarvittaessa rekisterinpitäjän on esitettävä [tietosuojavaltuutetulle] näyttöä siitä, miksi poikkeusta on sovellettu. Ohjeisiin sisältyy luettelo tarkistettavista seikoista ja joukko esimerkkejä, jotka selventävät niitä edellytyksiä, joiden täyttyessä poikkeukseen voidaan vedota.

(66)

Se, että tietoja käsitellään kansallista turvallisuutta tai puolustusta varten, ei siis yksinään ole riittävä peruste poikkeuksen soveltamiseen. Rekisterinpitäjän on otettava huomioon tosiasialliset seuraukset, joita tietosuojasääntöjen noudattaminen aiheuttaisi kansalliselle turvallisuudelle. Poikkeusta voidaan soveltaa vain niihin erityisiin säännöksiin, joihin riskin on todettu liittyvän, ja sitä on sovellettava mahdollisimman suppeasti. (59)

(67)

Viestintäasioita käsittelevä tuomioistuin (Information Tribunal) on vahvistanut tämän lähestymistavan. (60) Asiassa Baker v Secretary of State for the Home Department, jäljempänä ’Baker v Secretary of State’, Information Tribunal katsoi, että kansalliseen turvallisuuteen liittyvän poikkeuksen yleinen soveltaminen tiedustelupalvelujen vastaanottamiin tietopyyntöihin ei ollut lainmukaista. Sen sijaan poikkeusta olisi pitänyt soveltaa tapauskohtaisesti, tarkastelemalla kutakin pyyntöä erikseen sen sisällön perusteella ja ottaen huomioon yksilöiden oikeus nauttia yksityiselämäänsä kohdistuvaa kunnioitusta. (61)

(68)

Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 85 artiklan 2 kohdan mukaan henkilötietojen käsittelylle journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten voidaan säätää vapautuksia tai poikkeuksia useista tietosuoja-asetuksen säännöksistä. Vuoden 2018 tietosuojalain liitteessä 2 olevassa 5 osassa säädetään näitä tarkoituksia varten tapahtuvaa käsittelyä koskevista poikkeuksista. Sen mukaan poikkeukset voivat koskea tietosuojaperiaatteita (eheyden ja luottamuksellisuuden periaatetta lukuun ottamatta), käsittelyn oikeudellisia perusteita (mukaan lukien erityiset tietoryhmät ja rikostuomioita koskevat tiedot ym.), suostumuksen edellytyksiä, läpinäkyvyyttä koskevia velvoitteita, rekisteröidyn oikeuksia, velvollisuutta ilmoittaa tietoturvaloukkauksista, ja vaatimusta kuulla tietosuojavaltuutettua ennen suuririskistä käsittelyä ja kansainvälisiä siirtoja koskevia sääntöjä. (62) Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus ei tässä suhteessa poikkea olennaisesti asetuksesta (EU) 2016/679, jonka 85 artiklassa säädetään niin ikään mahdollisuudesta säätää journalistisia tarkoituksia tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten suoritettavan käsittelyn osalta poikkeuksia useista asetuksen (EU) 2016/679 vaatimuksista. Vuoden 2018 tietosuojalain säännökset, muun muassa liitteessä 2 olevan 5 osan säännökset, ovat yhteensopivia Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen kanssa.

(69)

Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 85 artiklan nojalla tehtävässä arvioinnissa on olennaista selvittää, onko johdanto-osan (68) kappaleessa mainittu tietosuojasääntöjä koskeva poikkeus ”tarpeen henkilötietojen suojaa koskevan oikeuden sovittamiseksi yhteen sananvapauden ja tiedonvälityksen vapauden kanssa”. (63) Vuoden 2018 tietosuojalain liitteessä 2 olevan 26 §:n 2 ja 3 kohdan mukaan Yhdistyneessä kuningaskunnassa tätä varten tehtävä arviointi perustuu kriteeriin ”perusteltu syy uskoa”. Jotta poikkeus olisi oikeutettu, rekisterinpitäjällä on oltava perusteltu syy uskoa, että i) julkaiseminen on yleisen edun mukaista; ja että ii) asiaa koskevan yleisen tietosuoja-asetuksen säännöksen soveltaminen olisi ristiriidassa journalististen tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoitusten kanssa. Kuten oikeuskäytännössä on vahvistettu (64), ”perusteltu syy uskoa” -kriteerin soveltamiseen liittyy sekä subjektiivisia että objektiivisia osatekijöitä: Ei riitä, että rekisterinpitäjä osoittaa itse uskoneensa, että tietosuojasäännösten noudattaminen olisi ollut ristiriidassa mainittujen tarkoitusten kanssa, vaan hänellä täytyy olla tähän perusteltu syy, eli asian kannalta merkitykselliset tosiseikat tuntevan järkevän henkilön olisi pitänyt olla samaa mieltä. Rekisterinpitäjän on näin ollen noudatettava asianmukaista huolellisuutta sen osoittamiseksi, että näkemyksen taustalla on perusteltu syy. Yhdistyneen kuningaskunnan viranomaisten antamien tietojen mukaan ”perusteltu syy uskoa” -arviointi on suoritettava tapauskohtaisesti. (65) Jos edellytykset täyttyvät, poikkeuksen katsotaan olevan tarpeellinen ja oikeasuhteinen Yhdistyneen kuningaskunnan lainsäädännön mukaisesti.

(70)

Vuoden 2018 tietosuojalain 124 §:n mukaan tietosuojavaltuutetun on laadittava tietosuojaa ja journalismia koskevat käytännesäännöt (Code of Practice on Data Protection and Journalism). Työ on käynnissä. Tästä aiheesta on annettu vuoden 1998 tietosuojalain nojalla ohjeita, joissa korostetaan erityisesti, että poikkeuksen soveltamiseksi ei riitä sen toteaminen, että säännösten noudattamisesta aiheutuisi haittaa journalistiselle toiminnalle, vaan että on pystyttävä selkeästi osoittamaan, että säännösten noudattaminen muodostaisi esteen vastuulliselle journalismille. (66) Ohjeita yleisen edun arvioinnista ja yleisen edun ja yksityisyydensuojaa koskevien yksilön etujen tasapainottamisesta ovat julkaisseet myös Yhdistyneen kuningaskunnan televiestintäalan sääntelyviranomainen OFCOM sekä BBC toimituksellisissa ohjeissaan. (67) Ohjeissa annetaan esimerkkejä tiedoista, joita voidaan pitää yleisen edun kannalta merkityksellisinä, ja selitetään, miten yksittäisessä tilanteessa on pystyttävä osoittamaan, että yleinen etu on yksityisyydensuojaa koskevia oikeuksia tärkeämpi.

(71)

Kuten yleisen tietosuoja-asetuksen 89 artiklassa säädetään, yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuva henkilötietojen käsittely voidaan niin ikään vapauttaa useiden Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen säännösten soveltamisesta. (68) Tutkimuksen ja tilastojen osalta vapautus voidaan myöntää niiden Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen säännösten soveltamisesta, jotka koskevat käsittelyn vahvistamista ja oikeutta saada pääsy tietoihin sekä kolmansiin maihin tehtäviä siirtoja koskevia suojatoimia; oikeutta tietojen oikaisemiseen; käsittelyn rajoittamista ja käsittelyn vastustamista. Yleisen edun mukaisen arkistoinnin osalta vapautus voi koskea myös velvollisuutta ilmoittaa henkilötietojen oikaisemista tai poistamista koskevasta oikeudesta tai oikeutta rajoittaa käsittelyä ja oikeutta siirtää tiedot järjestelmästä toiseen.

(72)

Vuoden 2018 tietosuojalain liitteessä 2 olevan 27 §:n 1 momentin ja 28 §:n 1 momentin mukaan poikkeukset Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen säännöksistä ovat mahdollisia, jos niiden soveltaminen ”ehkäisisi tai haittaisi vakavasti” kyseisten tarkoitusten saavuttamista. (69)

(73)

Koska edellä mainitut poikkeukset ovat merkityksellisiä yksilön oikeuksien tehokkaan käyttämisen kannalta, niiden tulkinnassa ja käytännön soveltamisessa tapahtuvat muutokset (johdanto-osan 6 kohdassa selitetyn, maahanmuuton tehokkaan valvonnan säilyttämistä koskevan muutoksen lisäksi), mukaan lukien oikeuskäytännön ja tietosuojavaltuutetun ohjeistuksen ja täytäntöönpanotoimien myöhemmät muutokset, otetaan asianmukaisesti huomioon tämän päätöksen jatkuvan seurannan yhteydessä. (70)

(74)

Euroopan unionista Yhdistyneen kuningaskunnan rekisterinpitäjille tai henkilötietojen käsittelijöille siirrettyjen henkilötietojen suojan tasoa ei saa heikentää siirtämällä näitä tietoja edelleen kolmannessa maassa sijaitseville vastaanottajille. Tällaiset ”jatkosiirrot”, jotka Yhdistyneen kuningaskunnan rekisterinpitäjän tai henkilötietojen käsittelijän näkökulmasta ovat luonteeltaan Yhdistyneestä kuningaskunnasta tapahtuvia kansainvälisiä siirtoja, olisi sallittava vain siinä tapauksessa, että kyseiseen Yhdistyneen kuningaskunnan ulkopuolella toimivaan vastaanottajaan sovelletaan sääntöjä, joilla varmistetaan, että suojelun taso vastaa Yhdistyneen kuningaskunnan oikeusjärjestyksessä taattua suojelun tasoa. Tästä syystä Yhdistyneen kuningaskunnan yleiseen tietosuoja-asetukseen ja vuoden 2018 tietosuojalakiin sisältyvien, henkilötietojen kansainvälisiä siirtoja koskevien sääntöjen soveltaminen on tärkeä tekijä suojan jatkuvuuden varmistamiseksi, kun henkilötietoja siirretään Euroopan unionista Yhdistyneeseen kuningaskuntaan tämän päätöksen nojalla.

(75)

Henkilötietojen siirtoa Yhdistyneestä kuningaskunnasta koskeva järjestelmä on vahvistettu Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 44–49 artiklassa ja sitä on täydennetty vuoden 2018 tietosuojalailla. Järjestelmä on olennaisilta osiltaan identtinen asetuksen (EU) 2016/679 V luvussa säädetyn järjestelmän kanssa. (71) Sen mukaan henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle ainoastaan tietosuojan riittävyyttä koskevien asetusten nojalla (Yhdistyneen kuningaskunnan vastine asetuksen (EU) 2016/679 mukaiselle tietosuojan riittävyyttä koskevalle päätökselle), tai jos tällaisia asetuksia ei ole annettu, vain jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 46 artiklan mukaisesti. Jos tietosuojan riittävyyttä koskevia asetuksia tai asianmukaisia suojatoimia ei ole, siirto voi tapahtua ainoastaan Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 49 artiklassa säädettyjen poikkeusten perusteella.

(76)

Secretary of Staten antamissa tietosuojan riittävyyttä koskevissa asetuksissa voidaan säätää, että kolmas maa (tai kolmannen maan alue tai tietty sektori), kansainvälinen järjestö tai tällaisen maan, alueen, sektorin tai järjestön kuvaus (72) takaa riittävän henkilötietojen suojan. Secretary of Staten on arvioitava tietosuojan riittävyyttä täsmälleen samojen seikkojen perusteella kuin ne, joita komission on arvioitava asetuksen (EU) 2016/679 45 artiklan 2 kohdan a–c alakohdan nojalla, sellaisena kuin sitä on tulkittava yhdessä asetuksen (EU) 2016/679 johdanto-osan 104 kappaleen ja säilytetyn EU:n oikeuskäytännön kanssa. Tämä tarkoittaa sitä, että kolmannen maan tietosuojan riittävyyden arvioimiseksi on selvitettävä, vastaako sen tarjoama suoja ”olennaisilta osin” Yhdistyneessä kuningaskunnassa taattua tietosuojaa.

(77)

Menettelyn osalta tietosuojan riittävyyttä koskeviin asetuksiin sovelletaan vuoden 2018 tietosuojalain 182 §:ssä säädettyjä ”yleisiä” menettelyvaatimuksia. Menettelyn mukaan Secretary of Staten on kuultava tietosuojavaltuutettua ennen tietosuojan riittävyyttä koskevien Yhdistyneen kuningaskunnan asetusten hyväksymistä. (73) Kun Secretary of State on hyväksynyt asetukset, ne toimitetaan parlamenttiin sekä ylä- että alahuoneen käsiteltäväksi ns. negatiivisessa päätöslauselmamenettelyssä (negative resolution procedure). Tämä tarkoittaa, että asetus tulee voimaan, jollei kummallekaan kamarille esitetä vaatimusta sen hylkäämisestä 40 päivän kuluessa (74).

(78)

Vuoden 2018 tietosuojalain 17B §:n 1 momentin mukaan tietosuojan riittävyyttä koskevia asetuksia on tarkasteltava uudelleen enintään neljän vuoden välein, ja Secretary of Staten on jatkuvasti seurattava kolmansissa maissa ja kansainvälisissä järjestöissä tapahtuvaa kehitystä, joka voisi vaikuttaa päätökseen tehdä tällaisia asetuksia tai niiden muuttamiseen tai kumoamiseen. Jos Secretary of State saa tietoonsa, että tietty maa tai järjestö ei enää takaa henkilötietojen riittävää tietosuojaa, hänen on tarvittaessa muutettava asetuksia tai kumottava ne ja aloitettava kyseisen kolmannen maan tai kansainvälisen järjestön kanssa neuvottelut tietosuojaan liittyvien puutteiden korjaamiseksi. Nämä menettelylliset näkökohdat vastaavat myös asetuksen (EU) 2016/679 vastaavia vaatimuksia.

(79)

Jos tietosuojan riittävyyttä koskevaa asetusta ei ole, kansainvälisiä siirtoja voidaan tehdä, jos rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 46 artiklan mukaisesti. Nämä suojatoimet ovat samankaltaisia kuin asetuksen (EU) 2016/679 46 artiklassa säädetyt suojatoimet. Niihin kuuluvat muun muassa viranomaisten tai julkisten elinten väliset oikeudellisesti sitovat ja täytäntöönpanokelpoiset välineet, yritystä koskevat sitovat säännöt (75), tietosuojaa koskevat vakiolausekkeet, hyväksytyt käytännesäännöt ja sertifiointimekanismit sekä tietosuojavaltuutetun luvalla myös rekisterinpitäjien (tai henkilötietojen käsittelijöiden) väliset sopimuslausekkeet tai viranomaisten väliset hallinnolliset järjestelyt. Sääntöjä on kuitenkin muutettu menettelylliseltä kannalta, jotta ne toimisivat Yhdistyneen kuningaskunnan puitteissa. Näin ollen mm. tietosuojaa koskevat vakiolausekkeet voi hyväksyä vuoden 2018 tietosuojalain nojalla joko Secretary of State (17C §) tai tietosuojavaltuutettu (119A §).

(80)

Jos tietosuojan riittävyyttä koskevaa asetusta tai asianmukaisia suojatoimia ei ole, siirto voi tapahtua ainoastaan Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 49 artiklassa säädettyjen poikkeusten perusteella. (76) Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa ei tehdä näihin poikkeuksiin olennaisia muutoksia verrattuna asetuksen (EU) 2016/679 vastaaviin sääntöihin. Samoin kuin asetuksen (EU) 2016/679 nojalla, Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen nojalla tiettyjä poikkeuksia voidaan soveltaa vain satunnaisten siirtojen yhteydessä. (77) Lisäksi tietosuojavaltuutettu on selventänyt kansainvälisiä siirtoja koskevissa ohjeissaan, että näitä poikkeuksia olisi sovellettava vain todellisina poikkeuksina siitä yleissäännöstä, jonka mukaan rajoitettua siirtoa ei pitäisi tehdä, ellei siitä ole tehty tietosuojan riittävyyttä koskevaa päätöstä tai toteutettu asianmukaisia suojatoimia (78). Jos siirto on tarpeen yleistä etua koskevien tärkeiden syiden vuoksi (49 artiklan 1 kohdan d alakohta), Secretary of State voi täsmentää säädöksessä ne olosuhteet, joissa henkilötietojen siirto kolmanteen maahan tai kansainväliselle järjestölle ei ole tarpeen yleistä etua koskevien tärkeiden syiden vuoksi. Lisäksi Secretary of State voi asetuksilla rajoittaa tietyn henkilötietoryhmän siirtämistä kolmanteen maahan tai kansainväliselle järjestölle, jos siirtoa ei voida tehdä tietosuojan riittävyyttä koskevan asetuksen nojalla ja Secretary of State katsoo, että rajoittaminen on tarpeen yleistä etua koskevien tärkeiden syiden vuoksi. Tällaisia asetuksia ei ole toistaiseksi annettu.

(81)

Kansainvälisiä siirtoja koskevien puitteiden soveltaminen alkoi siirtymäkauden päätyttyä. (79) Vuoden 2018 tietosuojalain liitteessä 21 olevassa 4 kohdassa (otettu käyttöön tietosuojaa, yksityisyydensuojaa ja sähköistä viestintää koskevilla säädöksillä) kuitenkin säädetään, että siirtymäkauden päättymisestä lähtien tiettyjä henkilötietojen siirtoja kohdellaan ikään kuin ne perustuisivat tietosuojan riittävyyttä koskeviin asetuksiin. Tällaisia siirtoja ovat muun muassa siirrot, joiden määränpäänä on jokin ETA-valtio, Gibraltarin alue, jokin EU:n perussopimuksilla tai niiden nojalla perustettu EU:n toimielin, elin tai laitos tai kolmas maa, josta EU on ennen siirtymäkauden päättymistä tehnyt tietosuojan riittävyyttä koskevan päätöksen. Siirtoja näihin maihin voidaan jatkaa samalla tavoin kuin ennen Yhdistyneen kuningaskunnan eroamista EU:sta. Siirtymäkauden päättymisen jälkeen Secretary of Staten on tarkasteltava tietosuojan riittävyyttä uudelleen neljän vuoden jälkeen eli joulukuun 2024 loppuun mennessä. Yhdistyneen kuningaskunnan viranomaiset ovat selittäneet, että vaikka Secretary of Staten on toteutettava tällainen uudelleentarkastelu joulukuun 2024 loppuun mennessä, siirtymäsäännöksiin ei sisälly raukeamissäännöstä, joten niiden oikeusvaikutus ei lakkaa automaattisesti, vaikka tarkastelu ei olisikaan saatettu päätökseen joulukuun 2024 loppuun mennessä.

(82)

Todettakoon lopuksi, että jos kansainvälisiä siirtoja koskevaa Yhdistyneen kuningaskunnan järjestelmää muutetaan, esimerkiksi uusilla tietosuojan riittävyyttä koskevilla asetuksilla, kansainvälisillä sopimuksilla tai muilla siirtomekanismeilla, komissio seuraa tilannetta tiiviisti ja arvioi, käytetäänkö näitä eri siirtomekanismeja tavalla, joka takaa henkilötietojen suojan jatkuvuuden, ja toteuttaa tarvittaessa toimenpiteitä puuttuakseen jatkuvuuteen mahdollisesti kohdistuviin kielteisiin vaikutuksiin (ks. johdanto-osan 278–287 kappale). Koska kansainvälisiä siirtoja koskevat EU:n ja Yhdistyneen kuningaskunnan säännöt ovat hyvin samanlaiset, on odotettavissa, että ongelmalliset eroavuudet voitaisiin ratkaista yhteistyöllä ja vaihtamalla tietoja ja kokemuksia muun muassa Yhdistyneen kuningaskunnan tietosuojavaltuutetun ja Euroopan tietosuojaneuvoston kesken.

(83)

Vastuuvelvollisuutta koskevan periaatteen mukaisesti tietoja käsittelevien yksiköiden on otettava käyttöön asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta ne voivat tehokkaasti noudattaa tietosuojavelvoitteitaan ja osoittaa erityisesti toimivaltaiselle valvontaviranomaiselle noudattavansa velvoitteita.

(84)

Asetuksessa (EU) 2016/679 säädetty vastuuvelvollisuuden periaate on säilytetty Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 5 artiklan 2 momentissa ilman olennaisia muutoksia, kuten myös rekisterinpitäjän vastuuta koskeva 24 artikla, sisäänrakennettua ja oletusarvoista tietosuojaa koskeva 25 artikla ja käsittelytoimista laadittavaa selostetta koskeva 30 artikla. Myös 35 artikla (tietosuojaa koskeva vaikutustenarviointi) ja 36 artikla (valvontaviranomaisen ennakkokuuleminen) on säilytetty. Asetuksen (EU) 2016/679 37–39 artikla, joissa säädetään tietosuojavastaavan nimittämisestä ja tehtävistä, on niin ikään säilytetty Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa ilman olennaisia muutoksia. Myös asetuksen (EU) 2016/679 40 artikla (käytännesäännöt) ja 42 artikla (sertifiointi) on säilytetty Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa. (80)

(85)

Sen varmistamiseksi, että tietosuojan riittävä taso taataan käytännössä, olisi oltava riippumaton valvontaviranomainen, jonka tehtävänä on valvoa tietosuojasääntöjen noudattamista ja varmistaa niiden täytäntöönpano. Kyseisen viranomaisen olisi toimittava riippumattomasti ja puolueettomasti tehtäviään suorittaessaan ja toimivaltuuksiaan käyttäessään.

(86)

Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen ja vuoden 2018 tietosuojalain noudattamisen valvonnasta ja täytäntöönpanosta vastaa tietosuojavaltuutettu (Information Commissioner). Tietosuojavaltuutettu on ns. Corporation Sole eli itsenäinen oikeushenkilö, jonka tehtävää hoitaa yksi luonnollinen henkilö. Tietosuojavaltuutettua avustaa hänen työssään toimisto. Tietosuojavaltuutetun toimiston vakinaisten työntekijöiden määrä 31. maaliskuuta 2020 oli 768. (81) Tietosuojavaltuutettu toimii digitaaliasiain-, kulttuuri-, media- ja urheiluministeriön alaisuudessa. (82)

(87)

Tietosuojavaltuutetun riippumattomuus vahvistetaan nimenomaisesti Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 52 artiklassa, jossa ei ole tehty mitään olennaisia muutoksia EU:n yleisen tietosuoja-asetuksen 52 artiklan 1–3 kohtaan. Tietosuojavaltuutetun tulee toimia täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään hänelle Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen mukaisesti annettuja valtuuksia. Häneen ei saa vaikuttaa ulkopuolelta suoraan eikä välillisesti hänen hoitaessaan tehtäviään ja käyttäessään valtuuksiaan, eikä hän saa pyytää eikä ottaa ohjeita miltään taholta. Tietosuojavaltuutetun on myös pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen hänen tehtäviensä hoitamisen kanssa, eikä hän saa toimikautensa aikana harjoittaa palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.

(88)

Tietosuojavaltuutetun nimittämistä ja erottamista koskevat ehdot esitetään vuoden 2018 tietosuojalain liitteessä 12. Hänen Majesteettinsa nimittää tietosuojavaltuutetun oikeudenmukaisen ja läpinäkyvän kilpailun perusteella laaditun hallituksen suosituksen mukaisesti. Hakijoilla on oltava asianmukainen tutkinto, taidot ja pätevyys. Neuvoa-antava arviointilautakunta laatii luettelon hyväksytyistä hakijoista julkisia nimityksiä koskevien hallintosääntöjen (83) mukaisesti. Secretary of State tekee päätöksensä sen jälkeen kun asianomainen parlamentin erityisvaliokunta on suorittanut ennakkotarkastelun. Lautakunnan lausunto julkaistaan (84).

(89)

Tietosuojavaltuutetun toimikausi on enintään seitsemän vuotta. Toimikausien määrä on rajattu yhteen. Hänen Majesteettinsa voi erottaa tietosuojavaltuutetun parlamentin molempien kamarien esityksen (Address) perusteella. (85) Ehdotusta tietosuojavaltuutetun erottamisesta ei voida esittää kummallekaan parlamentin kamarille, ellei ministeri ole esittänyt selvitystä, jossa hän katsoo, että tietosuojavaltuutettu on syyllistynyt vakavaan väärinkäytökseen ja/tai hän ei enää täytä tietosuojavaltuutetun tehtävien hoitamiselle asetettuja edellytyksiä. (86)

(90)

Tietosuojavaltuutetun rahoitus on peräisin kolmesta lähteestä: i) rekisterinpitäjien maksamat tietosuojamaksut, jotka vahvistetaan Secretary of Staten asetuksella (87) (the Data Protection (Charges and Information) Regulations 2018) ja joilla katetaan 85–90 prosenttia toimiston vuosibudjetista (88); ii) hallituksen tietovaltuutetulle maksama tuki, jolla rahoitetaan pääasiassa muista kuin tietosuojaan liittyvistä tehtävistä aiheutuvat tietosuojavaltuutetun toimintakustannukset; (89) ja iii) palveluista perittävät maksut. (90) Tällä hetkellä tällaisia maksuja ei peritä.

(91)

Tietosuojavaltuutetun yleiset tehtävät, jotka koskevat Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen soveltamisalaan kuuluvaa henkilötietojen käsittelyä, vahvistetaan tietosuoja-asetuksen 57 artiklassa, joka vastaa läheisesti asetuksen (EU) 2016/679 sääntöjä. Tehtäviin kuuluu Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen seuranta ja täytäntöönpano, yleisen tietoisuuden edistäminen, rekisteröityjen tekemien valitusten käsittely, tutkimusten suorittaminen jne. Lisäksi vuoden 2018 tietosuojalain 115 §:ssä säädetään tietosuojavaltuutetun muista yleisistä tehtävistä, joihin kuuluu velvollisuus neuvoa parlamenttia, hallitusta ja muita toimielimiä ja elimiä yksilöiden oikeuksien ja vapauksien suojeluun liittyvissä lainsäädännöllisissä ja hallinnollisissa kysymyksissä sekä toimivalta antaa joko oma-aloitteisesti tai pyynnöstä lausuntoja parlamentille, hallitukselle ja muille toimielimille ja elimille sekä yleisölle mistä tahansa henkilötietojen suojeluun liittyvistä kysymyksistä. Oikeuslaitoksen riippumattomuuden takaamiseksi henkilötietojen käsittelyyn liittyviä tietosuojavaltuutetun tehtäviä ei voi hoitaa henkilö eikä tuomioistuin, joka suorittaa lainkäyttötehtäviä. Oikeuslaitoksen valvonta on osoitettu erityisille elimille (ks. johdanto-osan (99)–(103) kappale).

(92)

Tietosuojavaltuutetun toimivalta vahvistetaan Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 58 artiklassa, johon ei ole tehty olennaisia muutoksia verrattuna asetuksen (EU) 2016/679 vastaavaan artiklaan. Vuoden 2018 tietosuojalaissa vahvistetaan täydentävät säännöt tämän toimivallan käytölle. Tietosuojavaltuutetulla on erityisesti toimivalta a) määrätä rekisterinpitäjä ja henkilötietojen käsittelijä (ja tietyissä tapauksissa kuka tahansa muu henkilö) toimittamaan tarvittavat tiedot ns. tiedonantomääräyksellä (information notice) (91); b) suorittaa tutkimuksia ja tarkastuksia antamalla ns. tarkastusmääräys (assessment notice), jonka nojalla rekisterinpitäjää tai henkilötietojen käsittelijää voidaan vaatia antamaan tietosuojavaltuutetulle pääsy tiettyihin tiloihin ja oikeus tarkastaa tai tutkia asiakirjoja tai laitteita sekä kuulla henkilöitä, jotka käsittelevät henkilötietoja rekisterinpitäjän puolesta (92); c) hankkia muulla tavoin pääsy rekisterinpitäjien ja henkilötietojen käsittelijöiden asiakirjoihin ym. ja niiden tiloihin vuoden 2018 tietosuojalain 154 §:n mukaisesti (”pääsy- ja tarkastusvaltuudet”); d) käyttää korjaavia toimivaltuuksia esittämällä varoituksia ja moitteita tai antamalla täytäntöönpanomääräyksiä (enforcement notice), joissa rekisterinpitäjiä / henkilötietojen käsittelijöitä määrätään toteuttamaan tai kielletään niitä toteuttamasta tiettyjä toimenpiteitä, mukaan lukien mikä tahansa Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c–g ja j alakohdassa säädetty toimenpide (93); ja e) määrätä hallinnollisia sakkoja ns. seuraamusmääräyksellä (penalty notice) (94). Hallinnollisia sakkoja voidaan määrätä myös siinä tapauksessa, että viranomainen ei ole noudattanut Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen säännöksiä. (95)

(93)

Tietosuojavaltuutetun sääntelytoimia koskevissa toimintaperiaatteissa (Regulatory Action Policy) esitetään, missä olosuhteissa tietosuojavaltuutettu voi antaa em. ilmoituksia ja määräyksiä. (96) Rekisterinpitäjän tai henkilötietojen käsittelijän virheen vuoksi annettavassa täytäntöönpanomääräyksessä voidaan määrätä ainoastaan vaatimuksia, joita tietosuojavaltuutettu pitää asianmukaisina kyseisen virheen korjaamiseksi. Rekisterinpitäjälle ja henkilötietojen käsittelijälle voidaan antaa täytäntöönpano- ja seuraamusmääräys, jos ne ovat rikkoneet Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen II luvun säännöksiä (käsittelyperiaatteet), 12–22 artiklaa (rekisteröidyn oikeudet), 25–39 artiklaa (rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet) tai 44–49 artiklaa (kansainväliset siirrot). Täytäntöönpanomääräys voidaan antaa myös silloin kun rekisterinpitäjä on laiminlyönyt vuoden 2018 tietosuojalain 137 §:n nojalla annettuun asetukseen perustuvan maksun suorittamisen. Lisäksi 41 artiklan mukaiselle valvontaelimelle tai sertifioinnin tarjoajalle voidaan antaa täytäntöönpanomääräys, jos ne eivät noudata Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen mukaisia velvollisuuksiaan. Seuraamusmääräys voidaan antaa myös henkilölle, jonka ei ole noudattanut saamaansa tiedonanto-, arviointi- tai täytäntöönpanomääräystä.

(94)

Seuraamusmääräyksessä velvoitetaan henkilö maksamaan tietosuojavaltuutetulle määräyksessä esitetty määrä. Päättäessään seuraamusmääräyksen antamisesta ja seuraamuksen määrästä tietosuojavaltuutetun on otettava huomioon Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 83 artiklan 1 ja 2 kohdassa luetellut seikat, jotka vastaavat asetuksen (EU) 2016/679 sääntöjä. (97) Tietosuoja-asetuksen 83 artiklan 4 ja 5 kohdan mukaan näissä säännöksissä tarkoitettujen velvoitteiden laiminlyönnistä voidaan määrätä enintään 8 700 000 tai 17 500 000 punnan hallinnollinen sakko. Yritykselle sakkoja voidaan määrätä myös prosenttiosuutena vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta, jos kyseinen määrä olisi suurempi. Samoin kuin asetuksen (EU) 2016/679 vastaavissa säännöksissä, nämä määrät ovat Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 83 artiklan nojalla 2 prosenttia (4 kohta) ja 4 prosenttia (5 kohta). Tiedonanto-, arviointi- tai täytäntöönpanomääräyksen noudattamatta jättämisen vuoksi voidaan määrätä seuraamusmääräyksellä sakkoa enintään 17 500 000 puntaa, tai jos kyseessä on yritys, 4 prosenttia sen vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.

(95)

Yhdistyneen kuningaskunnan yleisellä tietosuoja-asetuksella on yhdessä vuoden 2018 tietosuojalain kanssa myös vahvistettu tietosuojavaltuutetun muita toimivaltuuksia. Tietosuojavaltuutettu voi nyt esimerkiksi suorittaa pakollisia tarkastuksia kaikille rekisterinpitäjille ja henkilötietojen käsittelijöille käyttäen arviointimääräyksiä, kun aiemman lainsäädännön eli vuoden 1998 tietosuojalain nojalla tietosuojavaltuutetulla oli valtuudet tehdä pakollisia tarkastuksia vain keskushallinnon ja terveydenhuollon elimissä ja muiden oli annettava suostumuksensa tarkastukseen.

(96)

Asetuksen (EU) 2016/679 voimaantulon jälkeen tietosuojavaltuutettu on käsitellyt vuosittain noin 40 000 rekisteröityjen tekemää valitusta (98), minkä lisäksi tietosuojavaltuutettu toteuttaa vuosittain noin 2 000 tutkimusta viran puolesta (99). Valtaosa valituksista liittyy tiedonsaantioikeuteen ja tietojen luovuttamiseen. Tietosuojavaltuutettu antaa tutkimustensa perusteella täytäntöönpanomääräyksiä useilla eri aloilla. Tietosuojavaltuutetun viimeisimmän vuosikertomuksen (2019–2020) (100) mukaan kyseisellä raportointikaudella annettiin 54 tiedonantomääräystä, 8 arviointimääräystä, 7 täytäntöönpanomääräystä ja 4 varoitusta sekä nostettiin 8 syytettä ja määrättiin sakkoja 15 tapauksessa (101).

(97)

Tähän sisältyy useita asetuksen (EU) 2016/679 ja vuoden 2018 tietosuojalain nojalla määrättyjä merkittäviä taloudellisia seuraamuksia. Esimerkiksi lokakuussa 2020 tietosuojavaltuutettu määräsi eräälle brittiläiselle lentoyhtiölle 20 miljoonan punnan sakot tietoturvaloukkauksesta, joka kohdistui yli 400 000 asiakkaaseen. Lokakuun 2020 lopussa eräälle kansainväliselle hotelliketjulle määrättiin 18,4 miljoonan punnan sakot, koska se ei ollut suojannut asiakkaidensa henkilötietoja riittävästi, ja marraskuussa 2020 eräälle verkossa tapahtumalippuja myyvälle palveluntarjoajalle määrättiin 1,25 miljoonan punnan sakot, koska se ei ollut suojannut asiakkaiden maksutietoja riittävästi. (102)

(98)

Koska eräät tietosuojalainsäädännön rikkomiset ovat rikoksia, niiden perusteella voidaan määrätä edellä johdanto-osan (92) kappaleessa kuvattujen tietosuojavaltuutetun täytäntöönpanovaltuuksien lisäksi rikosoikeudellisia seuraamuksia (vuoden 2018 tietosuojalain 196 §). Tämä koskee esimerkiksi henkilötietojen hankkimista tai luovuttamista tahallisesti tai tuottamuksellisesti ilman rekisterinpitäjän suostumusta, henkilötietojen luovuttamista toiselle henkilölle ilman rekisterinpitäjän suostumusta (103), anonymisoitujen henkilötietojen tunnistetietojen palauttamista ilman anonymisoinnista vastaavan rekisterinpitäjän suostumusta (104), tahallinen toiminta, jolla estetään tietosuojavaltuutettua käyttämästä toimivaltaansa henkilötietojen tarkastamiseksi kansainvälisten velvoitteiden mukaisesti (105), väärien lausuntojen antaminen tiedonantomääräyksen perusteella tai tietojen tuhoaminen tiedonanto- ja arviointimääräysten yhteydessä (106).

(99)

Tuomioistuinten ja oikeuslaitoksen suorittamaan henkilötietojen käsittelyyn sovelletaan kahta eri valvontamenettelyä. Silloin kun oikeuslaitoksen virkamies tai tuomioistuin ei toimi lainkäyttötehtävissä, valvonnasta vastaa tietosuojavaltuutettu. Sen sijaan silloin kun rekisterinpitäjä toimii lainkäyttötehtävissä, tietosuojavaltuutettu ei voi hoitaa valvontatehtäväänsä (107), vaan se on osoitettu erityisille elimille. Lähestymistapa on sama kuin asetuksen (EU) 2016/679 55 artiklan 3 kohdassa.

(100)

Jälkimmäisessä tilanteessa valvonnasta vastaa Englannin ja Walesin tuomioistuinten (courts, First-tier ja Upper Tribunals) osalta oikeuslaitoksen tietosuojalautakunta (Judicial Data Protection Panel) (108). Lisäksi Englannin ja Walesin korkeimman oikeuden presidentti (Lord Chief Justice) on laatinut tietosuojaselosteen (Privacy Notice) (109), jossa kerrotaan, miten Englannin ja Walesin tuomioistuimet käsittelevät henkilötietoja lainkäyttötehtäviä varten. Vastaavan tietosuojaselosteen ovat antaneet myös Pohjois-Irlannin (110) ja Skotlannin (111) oikeusviranomaiset.

(101)

Lisäksi Pohjois-Irlannin Lord Chief Justice on nimittänyt yhden High Court tuomioistuimen tuomarin tietosuojaa valvovaksi tuomariksi (112). Pohjois-Irlannin oikeuslaitokselle on myös laadittu ohjeet siitä, miten on toimittava tietojen (mahdollisen) menetyksen yhteydessä ja miten tästä mahdollisesti aiheutuvia ongelmia on käsiteltävä. (113)

(102)

Skotlannin ylin tuomari Lord President on nimittänyt tietosuojaa valvovan tuomarin (Data Supervisory Judge), jonka tehtävänä on tutkia tietosuojaa koskevia valituksia. Tästä säädetään oikeussuojakeinoja koskevissa säännöissä, jotka vastaavat Englannin ja Walesin osalta vahvistettuja sääntöjä. (114)

(103)

Lisäksi yksi korkeimman oikeuden (Supreme Court) tuomareista on nimitetty valvomaan tietosuojaa.

(104)

Jotta voidaan varmistaa yksilön oikeuksien asianmukainen suojelu ja täytäntöönpano, rekisteröidyllä olisi oltava tehokkaat hallinnolliset ja oikeudelliset oikeussuojakeinot ja myös oikeus saada vahingonkorvausta.

(105)

Ensinnäkin rekisteröidyllä on oikeus tehdä tietosuojavaltuutetulle valitus, jos hän katsoo, että hänen henkilötietojensa käsittelyssä on rikottu Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen säännöksiä. (115) Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa on säilytetty tätä koskeva asetuksen (EU) 2016/679 77 artiklan sisältö ilman olennaisia muutoksia. Sama koskee 57 artiklan 1 kohdan f alakohtaa ja 2 kohtaa, joissa säädetään valitusten käsittelyyn liittyvistä tietosuojavaltuutetun tehtävistä. Kuten johdanto-osan 92–98 kappaleessa todetaan, tietosuojavaltuutetulla on toimivalta arvioida, ovatko rekisterinpitäjä ja henkilötietojen käsittelijä noudattaneet Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta ja vuoden 2018 tietosuojalakia, ja jos näin ei ole, vaatia niitä toteuttamaan tarvittavat toimet tai pidättymään tietyistä toimista ja määrätä sakkoja.

(106)

Toiseksi Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa ja vuoden 2018 tietosuojalaissa säädetään oikeudesta käyttää oikeussuojakeinoja tietosuojavaltuutettua vastaan. Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 78 artiklan 1 kohdan nojalla rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin häntä itseään koskevaa tietosuojavaltuutetun oikeudellisesti sitovaa päätöstä vastaan. Tuomioistuinvalvonnan yhteydessä tuomari tutkii kantelun kohteena olevan päätöksen selvittääkseen, onko tietosuojavaltuutettu toiminut lainmukaisesti. Lisäksi Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 78 artiklan 2 kohdassa säädetään, että jos tietosuojavaltuutettu ei käsittele rekisteröidyn valitusta asianmukaisesti, (116) valituksen tekijällä on oikeus oikeussuojakeinoihin. Hän voi pyytää, että First Tier Tribunal -tuomioistuin määrää tietosuojavaltuutetun toteuttamaan valituksen johdosta asianmukaiset toimenpiteet tai ilmoittamaan valituksen tekijälle sitä koskevan tutkinnan etenemisestä. (117) Lisäksi kuka tahansa henkilö, jolle tietosuojavaltuutettu on antanut jonkin edellä mainituista määräyksistä (tiedonanto-, arviointi-, täytäntöönpano- tai seuraamusmääräys), voi hakea siihen muutosta First Tier Tribunal -tuomioistuimessa. (118) Jos tuomioistuin katsoo, että tietosuojavaltuutetun päätös ei ole lainmukainen tai että tietosuojavaltuutetun olisi pitänyt käyttää harkintavaltaansa eri tavalla, tuomioistuimen on hyväksyttävä muutoksenhakemus tai korvattava annettu määräys toisella määräyksellä tai päätöksellä, jonka tietosuojavaltuutettu olisi voinut antaa tai tehdä.

(107)

Kolmanneksi yksilöt voivat vedota oikeudellisiin oikeussuojakeinoihin rekisterinpitäjiä ja henkilötietojen käsittelijöitä vastaan suoraan tuomioistuimissa Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 79 artiklan ja vuoden 2018 tietosuojalain 167 §:n nojalla. Jos tuomioistuin katsoo rekisteröidyn hakemuksen perusteella, että tietosuojalainsäädäntöön perustuvia rekisteröidyn oikeuksia on loukattu, se voi määrätä käsittelystä vastaavan rekisterinpitäjän tai tämän puolesta toimivan henkilötietojen käsittelijän toteuttamaan määräyksessä yksilöidyt toimenpiteet tai pidättymään siinä yksilöidyistä toimenpiteistä.

(108)

Lisäksi kaikilla sellaisilla henkilöillä, jotka ovat kärsineet aineellista tai aineetonta vahinkoa Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen säännösten rikkomisen vuoksi, on tietosuoja-asetuksen 82 artiklan tai vuoden 2018 tietosuojalain 168 §:n nojalla oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta. Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 82 artiklan 1–5 kohdassa olevat korvauksia ja vastuuta koskevat säännöt ovat identtiset asetuksen (EU) 2016/679 vastaavien sääntöjen kanssa. Vuoden 2018 tietosuojalain 168 §:n nojalla aineettomiin vahinkoihin sisältyy myös kärsimys. Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 80 artiklan nojalla rekisteröidyllä on myös oikeus valtuuttaa jokin elin tai organisaatio tekemään puolestaan valitus tietosuojavaltuutetulle (77 §) ja käyttämään oikeuksia, joista säädetään 78 §:ssä (oikeus tehokkaisiin oikeudellisiin oikeussuojakeinoihin tietosuojavaltuutettua vastaan), 79 §:ssä (oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan) ja 82 §:ssä (vastuu ja oikeus korvauksen saamiseen).

(109)

Neljänneksi henkilö, joka katsoo, että viranomaiset ovat loukanneet hänen oikeuksiaan, mukaan lukien oikeutta yksityisyyteen ja tietosuojaan, voi edellä mainittujen oikeussuojakeinojen lisäksi viedä asian Yhdistyneen kuningaskunnan tuomioistuimiin vuoden 1998 ihmisoikeuslain nojalla. (119) Henkilö, joka väittää, että viranomainen on toiminut (tai aikoo toimia) tavalla, joka on ristiriidassa jonkin ihmisoikeussopimukseen perustuvan oikeuden kanssa ja siten vuoden 1998 ihmisoikeuslain 6 §:n 1 momentin nojalla lainvastainen, voi nostaa kanteen kyseistä viranomaista vastaan toimivaltaisessa tuomioistuimessa tai vedota asianomaisiin oikeuksiin missä tahansa oikeudenkäynnissä, kun hän on (tai olisi) lainvastaisen teon uhri.

(110)

Jos tuomioistuin toteaa, että jokin viranomaisen toimi on lainvastainen, se voi toimivaltuuksiensa puitteissa myöntää sellaisen vaatimuksen tai oikeussuojakeinon tai antaa sellaisen määräyksen, jonka se katsoo kohtuulliseksi ja asianmukaiseksi. (120) Tuomioistuin voi myös todeta, että jokin primaarioikeuden säännös ei sovi yhteen jonkin ihmisoikeussopimukseen perustuvan oikeuden kanssa.

(111)

Sen jälkeen kun kansalliset oikeussuojakeinot on käytetty loppuun, yksilö voi myös käyttää oikeussuojakeinoja Euroopan ihmisoikeustuomioistuimessa, jos Euroopan ihmisoikeussopimuksessa taattuja oikeuksia on loukattu.

(112)

Komissio on arvioinut Yhdistyneen kuningaskunnan lainsäädäntökehystä myös siltä osin kuin on kyse siitä, kuinka viranomaiset voivat kerätä ja käyttää Yhdistyneen kuningaskunnan toiminnanharjoittajille siirrettyjä henkilötietoja yleisen edun nimissä, erityisesti rikosoikeudellista täytäntöönpanoa ja kansalliseen turvallisuuteen liittyviä tarkoituksia varten, jäljempänä ’viranomaisten pääsy tietoihin’. Kun komissio arvioi, vastaavatko edellytykset, joiden nojalla viranomaiset käyttävät Yhdistyneeseen kuningaskuntaan tämän päätöksen nojalla siirrettyjä tietoja, ”olennaisilta osin” asetuksen (EU) 2016/679 45 artiklan 1 kohdassa esitettyjä vaatimuksia, sellaisena kuin Euroopan unionin tuomioistuin on niitä tulkinnut perusoikeuskirjan valossa, se ottaa huomioon erityisesti seuraavat kriteerit.

(113)

Ensinnäkin kaikista henkilötietojen suojaa koskevan oikeuden rajoituksista on säädettävä lailla, ja itse siinä oikeusperustassa, joka mahdollistaa puuttumisen näihin oikeuksiin, on määritettävä asianomaisen oikeuden käyttämiselle asetettavien rajoitusten laajuus. (121)

(114)

Toiseksi, sen oikeasuhteisuutta koskevan vaatimuksen täyttämiseksi, jonka mukaan henkilötietojen suojaa koskevia poikkeuksia ja rajoituksia on sovellettava vain siltä osin kuin se on ehdottoman välttämätöntä demokraattisessa yhteiskunnassa, jotta voidaan saavuttaa yleisen edun mukaiset tavoitteet, jotka vastaavat unionin tunnustamia tavoitteita, asianomaisen kolmannen maan lainsäädännössä, jossa sallitaan puuttuminen henkilötietojen suojaan, on vahvistettava selkeät ja täsmälliset säännöt, joilla säännellään kyseisten toimenpiteiden soveltamisalaa ja soveltamista ja vahvistetaan vähimmäistakeet, niin että henkilöillä, joiden tietoja on siirretty, on riittävät takeet, joiden nojalla heidän henkilötietojaan suojataan tehokkaasti väärinkäytön riskiltä. (122) Tällaisessa lainsäädännössä on erityisesti ilmoitettava, missä olosuhteissa ja millä edellytyksillä tällaisten henkilötietojen käsittelyä koskeva toimenpide voidaan toteuttaa (123), ja säädettävä, että tällaisten vaatimusten täyttämiseen on sovellettava riippumatonta valvontaa (124).

(115)

Kolmanneksi tällaisen lainsäädännön on oltava kansallisen oikeuden nojalla oikeudellisesti sitovaa, ja sen lisäksi, että oikeudellisten vaatimusten on sidottava viranomaisia, niihin on myös voitava vedota viranomaisia vastaan asianomaisen kolmannen maan tuomioistuimissa. (125) Rekisteröidyillä on erityisesti oltava mahdollisuus nostaa kanne riippumattomassa ja puolueettomassa tuomioistuimessa, jotta he saisivat tutustua henkilötietoihinsa tai voisivat saada tällaiset tiedot oikaistuiksi tai poistetuiksi. (126)

(116)

Viranomaisten pääsy tietoihin Yhdistyneessä kuningaskunnassa osana julkisen vallan käyttöä on toteutettava kaikilta osin lain mukaisesti. Yhdistynyt kuningaskunta on ratifioinut Euroopan ihmisoikeussopimuksen (ks. johdanto-osan 9 kappale), ja kaikkien sen viranomaisten on noudatettava kyseistä sopimusta. (127) Ihmisoikeussopimuksen 8 artiklan mukaan yksityisyydensuojaa koskevan oikeuden käyttämiseen voidaan puuttua vain kun laki sen sallii ja se on välttämätöntä jonkin 8 artiklan 2 kohdassa asetetun tavoitteen vuoksi ja oikeassa suhteessa näihin tavoitteisiin nähden. Lisäksi 8 artiklassa edellytetään, että laki ”sallii” puuttumisen, eli että laissa on sille selkeä ja helposti saatavilla oleva peruste ja asianmukaiset takeet väärinkäytösten estämiseksi.

(117)

Euroopan ihmisoikeustuomioistuin on myös täsmentänyt oikeuskäytännössään, että puuttuminen yksityisyyttä ja tietosuojaa koskevaan oikeuteen edellyttää tehokasta, riippumatonta ja puolueetonta valvontajärjestelmää, josta vastaa joko tuomari tai muu riippumaton elin (128) (esim. hallintoviranomainen tai parlamentaarinen elin).

(118)

Lisäksi yksilöillä on oltava tehokkaat oikeussuojakeinot. Euroopan ihmisoikeustuomioistuin on selventänyt, että oikeussuojakeinoja on voitava käyttää riippumattomassa ja puolueettomassa elimessä, joka on vahvistanut oman työjärjestyksensä ja joka koostuu jäsenistä, joilla on kokemusta tuomarin viran hoitamisesta tai jotka ovat kokeneita juristeja. Hakemuksen esittäminen tälle elimelle ei myöskään saa edellyttää todistustaakkaa. Kun tämä riippumaton ja puolueeton elin ryhtyy tutkimaan yksilöiden tekemiä valituksia, sillä olisi oltava pääsy kaikkiin asiaankuuluviin tietoihin, myös suojattuihin aineistoihin. Elimellä olisi myös oltava valtuudet korjata tietosuojasääntöjen rikkominen (129).

(119)

Yhdistynyt kuningaskunta on ratifioinut myös Euroopan neuvoston yleissopimuksen (N:o 108) yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä ja allekirjoittanut vuonna 2018 sen tarkistamisesta tehdyn pöytäkirjan (ns. yleissopimus 108+). (130) Yleissopimuksen N:o 108 9 artiklan mukaan poikkeukset yleisistä tietosuojaperiaatteista (5 artikla Tietojen laatu), erityisiä tietoryhmiä koskevista säännöistä (6 artikla Erityiset tietoryhmät) ja rekisteröidyn oikeuksista (8 artikla Lisätoimet rekisteröidyn suojelemiseksi) on sallittu ainoastaan silloin, kun sellaisesta poikkeamisesta on sopimuspuolen lainsäädännössä säädetty ja se on välttämätöntä demokraattisessa yhteiskunnassa valtion turvallisuuden, yleisen turvallisuuden, valtion rahatalouden etujen suojaamiseksi tai rikosten ehkäisemiseksi tai rekisteröidyn tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi. (131)

(120)

Koska Yhdistynyt kuningaskunta on Euroopan neuvoston jäsen ja Euroopan ihmisoikeussopimuksen osapuoli, joka kuuluu Euroopan ihmisoikeustuomioistuimen lainkäyttövallan piiriin, sillä on erilaisia kansainvälisessä oikeudessa vahvistettuja velvoitteita, joiden nojalla viranomaisten pääsyä tietoihin sääntelevät periaatteet, takeet ja yksilön oikeudet ovat hyvin samanlaisia kuin jäsenvaltioihin sovellettavat EU:n oikeudessa taatut periaatteet, takeet ja yksilön oikeudet. Kuten johdanto-osan 19 kappaleessa korostetaan, mainittujen välineiden jatkuva noudattaminen on näin ollen erityisen tärkeä osa tässä päätöksessä arvioitavaa oikeudellista kehystä.

(121)

Lisäksi vuoden 2018 tietosuojalailla taataan erityiset tietosuojatakeet ja -oikeudet silloin kun tietoja käsittelevät viranomaiset, mukaan lukien lainvalvontaviranomaiset ja kansalliset turvallisuuselimet.

(122)

Esimerkiksi säännöt henkilötietojen käsittelystä rikosoikeudellisen täytäntöönpanon yhteydessä sisältyvät vuoden 2018 tietosuojalain 3 osaan; laki on annettu direktiivin (EU) 2016/680 saattamiseksi osaksi kansallista lainsäädäntöä. Tietosuojalain 3 osaa sovelletaan henkilötietojen käsittelyyn, jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. (132)

(123)

Tietosuojalain 30 §:ssä määritellään ”toimivaltaisen viranomaisen” käsite siten, että se on vuoden 2018 tietosuojalain liitteen 7 luettelossa mainittu henkilö tai muu henkilö siltä osin kuin henkilöllä on lakisääteisiä tehtäviä lainvalvonnassa. (133) Kuten jäljempänä selitetään (ks. johdanto-osan 139 kappale), eräät toimivaltaiset viranomaiset (esimerkiksi kansallinen rikosvirasto NCA) voivat tietyin edellytyksin käyttää vuonna 2016 tutkintavaltuuksista annettuun lakiin perustuvia valtuuksia. Siinä tapauksessa sovelletaan vuonna 2016 tutkintavaltuuksista annetussa laissa säädettyjä suojatoimia vuoden 2018 tietosuojalain 3 osassa säädettyjen suojatoimien lisäksi. Tiedustelupalvelut (salainen tiedustelupalvelu (Secret Intelligence Service), turvallisuuspalvelu (Security Service) ja tiedustelupalvelu (Government Communications Headquarters)) eivät ole vuoden 2018 tietosuojalain 3 osassa tarkoitettuja toimivaltaisia viranomaisia (134), minkä vuoksi siinä vahvistettuja sääntöjä ei sovelleta mihinkään niiden toimiin. Tiedustelupalvelujen suorittamaa henkilötietojen käsittelyä säännellään vuoden 2018 tietosuojalaissa erikseen (4 osassa; ks. tarkemmin johdanto-osan 125 kappale).

(124)

Samoin kuin direktiivissä (EU) 2016/680, vuoden 2018 tietosuojalain 3 osassa säädetään lainmukaisuuden ja kohtuullisuuden periaatteista (135), käyttötarkoituksen rajoittamisesta (136), tietojen minimoinnista (137), täsmällisyydestä (138), säilytyksen rajoittamisesta (139) ja tietoturvasta (140). Lainsäädännössä asetetaan erityisiä läpinäkyvyyttä koskevia velvoitteita (141) ja myönnetään yksilöille oikeus tutustua tietoihin (142), oikaista ja poistaa ne (143) sekä oikeus olla joutumatta automatisoidun päätöksenteon kohteeksi (144). Toimivaltaisten viranomaisten on myös toteutettava sisäänrakennettu ja oletusarvoinen tietosuoja, pidettävä kirjaa käsittelytoimista ja tiettyjen ja toteutettava tiettyjen käsittelytoimien osalta vaikutustenarviointeja ja kuultava etukäteen tietosuojavaltuutettua. (145) Vuoden 2018 tietosuojalain 56 §:n nojalla viranomaisten on osoitettava, että vaatimuksia noudatetaan. Niiden on myös otettava käyttöön asianmukaiset toimenpiteet käsittelyn turvallisuuden varmistamiseksi (146), minkä lisäksi niille on osoitettu erityisiä velvoitteita tietoturvaloukkauksen tapahtuessa, muun muassa velvollisuus ilmoittaa tällaisista loukkauksista tietosuojavaltuutetulle ja rekisteröidyille. (147) Samoin kuin direktiivissä (EU) 2016/680, rekisterinpitäjälle (silloin kun kyseessä ei ole tuomioistuin tai muu oikeusviranomainen, joka hoitaa lainkäyttötehtäviä) on asetettu velvollisuus nimittää tietosuojavastaava (148), joka avustaa rekisterinpitäjää sen velvollisuuksien täyttämisessä ja noudattamisen seurannassa. (149) Lisäksi lainsäädännössä asetetaan erityisiä vaatimuksia lainkäyttötarkoituksessa tehtävälle henkilötietojen siirtämiselle kolmansiin maihin tai kansainvälisille järjestöille, jotta voidaan varmistaa suojelun jatkuvuus. (150) Komissio on antanut samaan aikaan tämän päätöksen kanssa tietosuojan riittävyyttä koskevan päätöksen, joka perustuu direktiivin (EU) 2016/680 36 artiklan 3 kohtaan ja jonka mukaan Yhdistyneen kuningaskunnan rikosoikeudellisten lainvalvontaviranomaisten suorittamaan tietojenkäsittelyyn sovellettava tietosuojajärjestelmä takaa tietosuojan tason, joka vastaa olennaisilta osin direktiivissä (EU) 2016/680 taattua tietosuojan tasoa.

(125)

Vuoden 2018 tietosuojalain 4 osaa sovelletaan kaikkeen tiedustelupalvelujen suorittamaan tai niiden puolesta tapahtuvaan käsittelyyn. Siinä esitetään erityisesti tärkeimmät tietosuojaperiaatteet (lainmukaisuus, kohtuullisuus ja läpinäkyvyys (151); käyttötarkoituksen rajoittaminen (152); tietojen minimointi (153); täsmällisyys (154); säilyttämisen rajoittaminen (155) ja turvallisuus (156)), asetetaan edellytykset erityisten tietoryhmien käsittelylle (157), säädetään rekisteröityjen oikeuksista (158), edellytetään sisäänrakennettua tietosuojaa (159) ja säännellään henkilötietojen kansainvälisiä siirtoja (160). Tietosuojavaltuutettu on äskettäin antanut yksityiskohtaisia ohjeita tiedustelutietojen käsittelystä vuoden 2018 tietosuojalain 4 osan nojalla. (161)

(126)

Toisaalta vuoden 2018 tietosuojalain 110 §:ssä säädetään sen 4 osan erityissäännöksiä koskevasta poikkeuksesta (162) silloin kun se on tarpeen kansallisen turvallisuuden takaamiseksi. Poikkeukseen voidaan vedota tapauskohtaisen analyysin perusteella. (163) Kuten Yhdistyneen kuningaskunnan viranomaiset ovat selvittäneet ja oikeuskäytännössä on vahvistettu, ”rekisterinpitäjän on otettava huomioon, mitä tosiasiallisia seurauksia asianomaisten tietosuojasääntöjen noudattamisesta aiheutuisi kansalliselle turvallisuudelle tai puolustukselle, ja olisiko niiden kohtuudella mahdollista noudattaa tavanomaisia sääntöjä ilman, että siitä aiheutuisi seurauksia kansalliselle turvallisuudelle tai puolustukselle”. (164) Sen, onko poikkeusta sovellettu asianmukaisella tavalla, ratkaisee tietosuojavaltuutettu (165).

(127)

Lisäksi mahdollisuudesta rajoittaa edellä mainittujen säännösten soveltamista ”kansallisen turvallisuuden” suojelemiseksi vuoden 2018 tietosuojalain 111 §:ssä säädetään, että rekisterinpitäjä voi pyytää kabinettiministerin tai oikeuskanslerin (Attorney General) allekirjoittamaa todistusta siitä, että tällaisten oikeuksien rajoittaminen on välttämätön ja oikeasuhteinen toimenpide kansallisen turvallisuuden suojelemiseksi. (166)

(128)

Yhdistyneen kuningaskunnan hallitus on antanut ohjeita auttaakseen rekisterinpitäjiä sen arvioimisessa, olisiko niiden haettava kansallista turvallisuutta koskevaa todistusta vuoden 2018 tietosuojalain nojalla. Ohjeissa korostetaan erityisesti, että kaikkien kansalliseen turvallisuuteen liittyvien rekisteröityjen oikeuksien rajoitusten on oltava oikeasuhteisia ja välttämättömiä. (167) Kaikki kansallisen turvallisuuden nojalla annetut todistukset on julkaistava tietosuojavaltuutetun verkkosivuilla. (168)

(129)

Todistuksen olisi oltava voimassa määrätyn ajan ja enintään viisi vuotta, jotta toimeenpanovallan käyttäjä voi tarkastella sitä säännöllisesti uudelleen. (169) Todistuksessa on yksilöitävä ne henkilötiedot tai henkilötietoryhmät, joihin poikkeusta sovelletaan, sekä ne vuoden 2018 tietosuojalain säännökset, joista poikkeaminen sallitaan. (170)

(130)

On huomattava, että kansalliseen turvallisuuteen perustuvat todistukset eivät muodosta lisäperustetta tietosuojaoikeuksien rajoittamiselle kansalliseen turvallisuuteen liittyvien syiden vuoksi. Toisin sanoen rekisterinpitäjä tai henkilötietojen käsittelijä voi vedota todistukseen vain jos se on katsonut tarpeelliseksi vedota kansallista turvallisuutta koskevaan poikkeukseen, jota edellä esitetyn mukaisesti on sovellettava tapauskohtaisesti. (171) Vaikka asiaan sovellettaisiin kansallista turvallisuutta koskevaa todistusta, tietosuojavaltuutettu voi tutkia, oliko vetoaminen siinä myönnettyyn poikkeukseen kyseisessä tapauksessa perusteltua. (172)

(131)

Jokainen, jota todistuksen antaminen suoraan koskee, voi hakea Upper Tribunal -tuomioistuimessa (173) muutosta todistukseen (174), tai jos tiedot esitetään todistuksessa yleisellä tasolla, vastustaa todistuksen soveltamista määrättyihin tietoihin. (175) Tuomioistuin tutkii todistuksen antamista koskevan päätöksen ja päättää, oliko sen antamiseen perusteltu syy. (176) Tuomioistuin voi tarkastella tätä varten erilaisia seikkoja, kuten tarpeellisuutta, oikeasuhteisuutta ja lainmukaisuutta, ottaen huomioon todistuksen vaikutukset rekisteröityjen oikeuksiin ja tasapainottaen niitä suhteessa tarpeeseen varmistaa kansallinen turvallisuus. Tämän perusteella tuomioistuin voi päättää, että todistusta ei sovelleta muutoksenhaun kohteena oleviin henkilötietoihin. (177)

(132)

Muita mahdollisia rajoituksia voidaan soveltaa vuoden 2018 tietosuojalain liitteen 11 nojalla tiettyihin tietosuojalain 4 osan säännöksiin (178) muiden yleisen edun mukaisten tärkeiden tavoitteiden tai sellaisten suojattujen etujen turvaamiseksi kuin esimerkiksi parlamentaarinen koskemattomuus, asianajosalaisuus, oikeudenkäynnin kulku tai asevoimien toimintakyky. (179) Näiden säännösten soveltaminen on joko vapautettu tiettyjen tietoryhmien osalta (”luokitusperusteinen vapautus”) tai siltä osin kuin niiden soveltaminen todennäköisesti vahingoittaisi kyseistä suojattua etua (”vahinkoperusteinen vapautus”). (180) Vahinkoperusteisiin vapautuksiin voidaan vedota vain siltä osin kuin säännöksessä lueteltujen tietosuojasäännösten soveltaminen todennäköisesti vahingoittaisi kyseessä olevaa etua. Tämä tarkoittaa, että vapautuksen soveltaminen on aina perusteltava viittaamalla vahinkoon, jonka sen soveltaminen kyseisessä yksittäisessä tapauksessa todennäköisesti aiheuttaisi. Luokitusperusteisiin vapautuksiin voidaan vedota vain niiden rajoitettujen tietoryhmien osalta, joiden osalta vapautus myönnetään. Nämä ovat tarkoitukseltaan ja vaikutuksiltaan samantapaisia kuin monet Yhdistyneen kuningaskunnan yleiseen tietosuoja-asetukseen (vuoden 2018 tietosuojalain liitteen 2 nojalla) sovellettavat poikkeukset, jotka puolestaan vastaavat EU:n tietosuoja-asetuksen 23 artiklan säännöksiä.

(133)

Edellä esitetystä seuraa, että Yhdistyneen kuningaskunnan sovellettavien säännösten nojalla on käytössä rajoituksia ja ehtoja, joita myös tuomioistuimet ja tietosuojavaltuutettu tulkitsevat, sen varmistamiseksi, että näitä poikkeuksia ja rajoituksia sovelletaan vain siltä osin kuin se on välttämätöntä ja oikeasuhteista kansallisen turvallisuuden suojelemiseksi.

(134)

Yhdistyneen kuningaskunnan lainsäädännössä asetetaan useita rajoituksia, jotka koskevat henkilötietoihin pääsyä ja niiden käyttöä rikosoikeudellisia lainvalvontatarkoituksia varten sekä tähän liittyviä valvonta- ja oikeussuojamekanismeja. Nämä säännökset vastaavat vaatimuksia, joihin viitataan tämän päätöksen johdanto-osan 113–115 kappaleessa. Seuraavassa arvioidaan yksityiskohtaisesti edellytyksiä, joiden täyttyessä pääsy henkilötietoihin voi toteutua, ja näiden toimivaltuuksien käyttöön liittyvien suojatoimien soveltamista.

(135)

Vuoden 2018 tietosuojalain 35 §:ssä vahvistetun lainmukaisuusperiaatteen mukaan henkilötietojen käsittely jotakin lainvalvontatarkoitusta varten on lainmukaista vain, jos käsittely perustuu lainsäädäntöön ja rekisteröity on antanut suostumuksensa tietojen käsittelyyn tätä tarkoitusta varten (181) tai jos käsittely on tarpeen toimivaltaisen viranomaisen tätä tarkoitusta varten suorittaman tehtävän suorittamiseksi.

(136)

Yhdistyneen kuningaskunnan oikeudellisessa kehyksessä henkilötietojen kerääminen toiminnanharjoittajilta, myös sellaisilta toiminnanharjoittajilta, jotka käsittelevät EU:sta tämän tietosuojan riittävyyttä koskevan päätöksen nojalla siirrettyjä tietoja, on sallittua lainvalvontatarkoituksia varten etsintä (182)- ja esittämismääräysten (183) perusteella.

(137)

Etsintämääräykset antaa tuomioistuin, yleensä tutkinnasta vastaavan virkamiehen hakemuksen perusteella. Etsintämääräyksen nojalla tutkijoilla on pääsy tiloihin etsimään tutkinnan kannalta merkityksellistä aineistoa tai henkilöitä ja oikeus ottaa haltuunsa aineisto, jonka etsimiseen lupa on myönnetty, esimerkiksi asiakirjat tai henkilötietoja sisältävä aineisto. (184) Myös esittämismääräyksen on oltava tuomioistuimen antama. Määräyksessä mainittu henkilö määrätään esittämään hallussaan tai valvonnassaan oleva aineisto tai antamaan pääsy siihen. Hakijan on perusteltava tuomioistuimelle, miksi etsintä- tai esittämismääräys on tarpeen ja miksi se on yleisen edun mukainen. Etsintä- tai esittämismääräys voidaan myöntää useiden eri lakisääteisten valtuuksien nojalla. Jokaiseen tällaiseen säännökseen liittyy tiettyjä lakisääteisiä edellytyksiä, joiden on täytyttävä, ennen kuin etsintä (185)- tai esittämismääräys (186) voidaan myöntää.

(138)

Etsintä- ja esittämismääräyksiin voidaan hakea muutosta tuomioistuimessa. (187) Suojatoimien osalta todetaan, että kaikilla vuoden 2018 tietosuojalain 3 osan soveltamisalaan kuuluvilla rikosoikeudellisilla lainvalvontaviranomaisilla, saa olla pääsy henkilötietoihin – mikä on yksi käsittelymuoto – ainoastaan kyseisessä laissa vahvistettujen periaatteiden ja vaatimusten mukaisesti (ks. johdanto-osan 122 ja 124 kappale). Siksi kaikkien lainvalvontaviranomaisten pyyntöjen on oltava sen periaatteen mukaisia, että käsittelytarkoituksen on oltava tietty, nimenomainen ja laillinen (188) ja että toimivaltaisen viranomaisen käsittelemien henkilötietojen on oltava merkityksellisiä tämän tarkoituksen kannalta eivätkä ne saa olla liiallisia (189).

(139)

Ainoastaan vakavien rikosten (190) ehkäisemiseksi tai paljastamiseksi tietyt lainvalvontaviranomaiset, kuten kansallinen rikosvirasto NCA tai poliisipäällikkö (191), voivat käyttää vuonna 2016 tutkintavaltuuksista annetussa laissa säädettyjä kohdennettuja tutkintavaltuuksia. Siinä tapauksessa sovelletaan vuonna 2016 tutkintavaltuuksista annetussa laissa säädettyjä suojatoimia vuoden 2018 tietosuojalain 3 osassa säädettyjen suojatoimien lisäksi. Kyseiset lainvalvontaviranomaiset voivat käyttää tällaisissa tapauksissa seuraavia tutkintavaltuuksia: kohdennettu telekuuntelu (vuonna 2016 tutkintavaltuuksista annetun lain (IPA 2016) 2 osa), viestintätietojen hankinta (lain 3 osa), viestintätietojen säilyttäminen (lain 4 osa) ja kohdennettu laitetutkinta (lain 5 osa). Telekuuntelu kattaa viestinnän sisällön hankinnan (192), kun taas viestintätietojen hankinnan ja säilyttämisen tarkoituksena ei ole viestinnän sisällön hankkiminen, vaan sen selvittäminen, ”kuka, milloin, missä ja miten” toteuttaa viestintää. Tämä koskee esimerkiksi viestinnän ajankohtaa ja kestoa, kummankin osapuolen puhelinnumeroa tai sähköpostiosoitetta ja joskus niiden laitteiden sijaintia, joiden avulla viestintä on tapahtunut, ja puhelinliittymän tilaajaa tai eriteltyä laskua. (193) Laitetutkinnalla tarkoitetaan tekniikoita, joiden avulla laitteista, kuten tietokoneista, tableteista ja älypuhelimista sekä kaapeleista, johdoista ja tallennuslaitteista, voidaan saada erilaisia tietoja. (194)

(140)

Kohdennettuja telekuunteluvaltuuksia voidaan käyttää myös silloin kun se on ”tarpeen keskinäistä avunantoa koskevan EU:n tai kansainvälisen sopimuksen täytäntöönpanoa varten” (nk. ”keskinäistä avunantoa koskeva määräys” (195)). Keskinäistä avunantoa koskeva määräys voidaan antaa ainoastaan telekuuntelua varten, ei viestintätietojen hankkimista tai laitetutkintaa varten. Näitä kohdennettuja valtuuksia säännellään vuonna 2016 tutkintavaltuuksista annetulla lailla (IPA 2016) (196). Kyseisessä laissa ja tutkintavaltuuksista annetuissa asetuksissa (Englannin, Walesin ja Pohjois-Irlannin osalta Regulation of Investigatory Powers Act 2000 (RIPA) ja Skotlannin osalta Regulation of Investigatory Powers (Scotland) Act 2000 (RIPSA)) vahvistetaan oikeusperusta ja näiden valtuuksien käyttöä koskevat rajoitukset ja suojatoimet. Vuonna 2016 tutkintavaltuuksista annetussa laissa säädetään myös laajamittaisten tutkintavaltuuksien käytöstä, vaikka ne eivät ole lainvalvontaviranomaisten saatavilla (niitä voi käyttää ainoastaan tiedustelupalvelu). (197)

(141)

Viranomaisten on saatava näiden valtuuksien käyttämistä varten määräys (198), jonka antaa toimivaltainen viranomainen (199) ja jonka riippumaton oikeusvaltuutettu (Judicial Commissioner) (200) vahvistaa (nk. kaksinkertainen hyväksyntä). Tällaisen määräyksen saaminen edellyttää tarpeellisuuden ja oikeasuhteisuuden arviointia. (201) Koska nämä vuonna 2016 tutkintavaltuuksista annetussa laissa säädetyt kohdennetut tutkintavaltuudet ovat samat kuin ne, jotka ovat kansallisesta turvallisuudesta vastaavien virastojen saatavilla, niiden käyttöä koskevista edellytyksistä, rajoituksista ja suojatoimista säädetään yksityiskohtaisesti säännöksessä, joka koskee Yhdistyneen kuningaskunnan viranomaisten pääsyä henkilötietoihin ja niiden käyttöä kansalliseen turvallisuuteen liittyviä tarkoituksia varten (ks. johdanto-osan (177) kappale ja sitä seuraavat kappaleet).

(142)

Lainvalvontaviranomainen voi jakaa tietoja toisille viranomaisille muita kuin niitä tarkoituksia varten, johon ne alun perin kerättiin, jäljempänä ’tietojen jakaminen edelleen’ vain tiettyjen edellytysten täyttyessä.

(143)

Samoin kuin direktiivin (EU) 2016/680 4 artiklan 2 kohdassa, vuoden 2018 tietosuojalain 36 §:n 3 momentissa sallitaan toimivaltaisen viranomaisen lainvalvontatarkoituksia varten keräämien henkilötietojen myöhempi käsittely (joko alkuperäisen rekisterinpitäjän tai toisen rekisterinpitäjän toimesta) muuta kuin alkuperäistä lainvalvontatarkoitusta varten, sikäli kuin rekisterinpitäjällä on lupa käsitellä tällaisia henkilötietoja tällaista tarkoitusta varten ja käsittely tätä muuta tarkoitusta varten on tarpeellista ja oikeasuhteista (202). Tässä tapauksessa vastaanottavan viranomaisen soveltamaan käsittelyyn sovelletaan kaikkia vuoden 2018 tietosuojalain 3 osassa säädettyjä suojatoimia, joihin viitataan johdanto-osan 122 ja 124 kappaleessa.

(144)

Yhdistyneen kuningaskunnan oikeusjärjestyksessä tällainen myöhempi jakaminen sallitaan nimenomaisesti eri laeissa. Muun muassa i) vuoden 2017 digitaalitaloutta koskevassa laissa (Digital Economy Act 2017) sallitaan tietojen jakaminen viranomaisten kesken eri tarkoituksia varten, esimerkiksi jos on kyse julkiseen sektoriin kohdistuvasta petoksesta, joka aiheuttaisi viranomaisille menetyksiä tai menetysten riskin (203) tai jos kyseessä on velka viranomaiselle tai valtiolle (the Crown) (204); ii) vuonna 2013 rikoksista ja tuomioistuimista annetussa laissa (Crime and Courts Act 2013) sallitaan tietojen jakaminen kansallisen rikosviraston (National Crime Agency, NCA) (205) kanssa vakavan ja järjestäytyneen rikollisuuden torjuntaa, tutkintaa ja syytteeseenpanoa varten; iii) vuonna 2007 vakavasta rikollisuudesta annetussa laissa (Serious Crime Act 2007) sallitaan viranomaisten paljastaa tietoja petostentorjunnasta vastaaville organisaatioille petostentorjuntaa varten. (206)

(145)

Näissä laeissa säädetään nimenomaisesti, että tietojen jakamisessa on noudatettava vuoden 2018 tietosuojalaissa vahvistettuja periaatteita. Lisäksi poliisiakatemia (College of Policing) on antanut tietojen jakamista koskevia sisäisiä ohjeita (Authorised Professional Practice on Information Sharing) (207), joiden tarkoituksena on auttaa poliisia noudattamaan Yhdistyneen kuningaskunnan yleiseen tietosuoja-asetukseen, tietosuojalakiin ja vuoden 1998 ihmisoikeuslakiin perustuvia tietosuojavelvoitteitaan. Tuomioistuinvalvonnan avulla varmistetaan, että tietojen jakamisen yhteydessä noudatetaan sovellettavaa tietosuojaa koskevaa oikeudellista kehystä (208).

(146)

Samoin kuin direktiivin (EU) 2016/680 9 artiklassa, vuoden 2018 tietosuojalaissa säädetään lisäksi, että lainvalvontatarkoitusta varten kerättyjä henkilötietoja voidaan käsitellä muussa kuin lainvalvontatarkoituksessa vain jos tällainen käsittely sallitaan laissa. (209)

(147)

Tällainen jakaminen kattaa kaksi eri tapausta: 1) rikoslain täytäntöönpanon valvonnasta vastaava viranomainen jakaa tietoja jonkin muun viranomaisen kanssa, tiedustelupalvelua lukuun ottamatta (eli esimerkiksi finanssivalvonta- tai veroviranomaisen, kilpailuviranomaisen tai lastensuojeluviranomaisen kanssa); ja 2) rikoslain täytäntöönpanon valvonnasta vastaava viranomainen jakaa tietoja tiedustelupalvelun kanssa. Ensimmäisessä tapauksessa henkilötietojen käsittely kuuluu sekä Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen että vuoden 2018 tietosuojalain 2 osan soveltamisalaan. Komissio on arvioinut Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa ja vuoden 2018 tietosuojalain 2 osassa säädettyjä tietosuojatakeita tämän päätöksen johdanto-osan 12–111 kappaleessa ja katsoo sen perusteella, että Yhdistyneessä kuningaskunnassa varmistetaan riittävä suoja henkilötiedoille, jotka siirretään Euroopan unionista Yhdistyneeseen kuningaskuntaan asetuksen (EU) 2016/679 puitteissa.

(148)

Toisessa tapauksessa rikoslain täytäntöönpanon valvonnasta vastaava viranomainen jakaa keräämiään tietoja tiedustelupalvelun kanssa kansallisen turvallisuuden suojelemiseksi. Sovellettava oikeusperusta on tällöin vuoden 2008 terrorismintorjuntalain (Counter Terrorism Act 2008) 19 § (210). Kyseisen lain nojalla kuka tahansa voi antaa tietoja mille tahansa tiedustelupalvelun yksikölle minkä tahansa kyseiselle yksikölle kuuluvan tehtävän suorittamista varten, ”kansallinen turvallisuus” mukaan lukien.

(149)

Edellytyksistä, joiden mukaan tietoja voidaan jakaa kansallisen turvallisuuden suojelemiseksi, säädetään tiedustelupalvelulaissa (211) ja turvallisuuspalvelulaissa (212). Niissä rajoitetaan tiedustelupalvelujen oikeus saada tietoja siihen, mikä on tarpeen niiden lakisääteisten tehtävien hoitamista varten. Jos lainvalvontavirastot haluavat jakaa tietoja tiedustelupalvelujen kanssa, niiden on otettava huomioon useita tekijöitä/rajoituksia niiden virastojen lakisääteisten tehtävien lisäksi, joista säädetään tiedustelupalvelulaissa ja turvallisuuspalvelulaissa (213). Vuoden 2008 terrorismintorjuntalain 20 §:ssä selvennetään, että jaettaessa tietoja 19 §:n nojalla on silti noudatettava tietosuojalainsäädäntöä, mikä tarkoittaa, että kaikkia vuoden 2018 tietosuojalain 3 osassa säädettyjä rajoituksia ja vaatimuksia sovelletaan. Koska toimivaltaiset viranomaiset ovat lisäksi vuoden 1998 ihmisoikeuslaissa tarkoitettuja viranomaisia, niiden on varmistettava ihmisoikeussopimuksessa ja muun muassa sen 8 artiklassa vahvistettujen oikeuksien noudattaminen. Näillä rajoituksilla varmistetaan, että kaikessa lainvalvontavirastojen ja tiedustelupalvelujen välisessä tietojen jakamisessa noudatetaan tietosuojalainsäädäntöä ja ihmisoikeussopimusta.

(150)

Kun toimivaltainen viranomainen aikoo jakaa vuoden 2018 tietosuojalain 3 osan nojalla käsiteltäviä henkilötietoja jonkin kolmannen maan lainvalvontaviranomaisten kanssa, sovelletaan erityisiä vaatimuksia. (214) Tällaisia siirtoja voidaan tehdä erityisesti silloin kun ne perustuvat Secretary of Staten antamiin tietosuojan riittävyyttä koskeviin asetuksiin. Jos sellaisia ei ole annettu, on varmistettava, että noudatetaan asianmukaisia suojatoimia. Vuoden 2018 tietosuojalain 75 §:ssä säädetään, että asianmukaiset suojatoimet on otettu käyttöön, kun ne on vahvistettu siirron vastaanottajaa sitovalla säädöksellä tai kun rekisterinpitäjä katsoo, että tietojen suojaamiseksi on olemassa asianmukaiset suojatoimet, sen jälkeen kun hän on arvioinut kaikki olosuhteet, jotka liittyvät asianomaisen henkilötietojen tyypin siirtämisen kyseiseen kolmanteen maahan tai kyseiselle kansainväliselle järjestölle.

(151)

Jos siirto ei perustu tietosuojan riittävyyttä koskevaan asetukseen tai asianmukaisiin suojatoimiin, se voidaan toteuttaa vain tietyissä olosuhteissa, joista käytetään nimitystä ”erityiset olosuhteet”. (215) Näin on silloin kun siirto on tarpeen a) rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi; b) rekisteröidyn oikeutettujen etujen turvaamiseksi; c) jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhan ehkäisemiseksi; d) yksittäistapauksissa jotakin lainvalvontatarkoitusta varten; tai e) yksittäistapauksissa jotakin oikeudellista tarkoitusta varten (esimerkiksi oikeudenkäyntiä tai oikeudellisen neuvonnan saamista varten). Todettakoon, että d ja e alakohtaa ei sovelleta, jos rekisteröidyn oikeudet ja vapaudet syrjäyttävät siirtoon liittyvän yleisen edun. Nämä olosuhteet vastaavat niitä erityistilanteita ja -edellytyksiä, joita voidaan pitää direktiivin (EU) 2016/680 38 artiklassa tarkoitettuina ”poikkeuksina”.

(152)

Silloin kun aineisto, jonka lainvalvontaviranomaiset ovat hankkineet telekuuntelua tai laitetutkintaa koskevan määräyksen nojalla, luovutetaan kolmanteen maahan, on lisäksi sovellettava vuonna 2016 tutkintavaltuuksista annetun lain nojalla täydentäviä suojatoimia. Tällainen ulkomaille tehtävä tiedonsiirto (overseas disclosure) voidaan sallia vain jos tiedot luovuttava viranomainen katsoo, että käytössä on erityiset asianmukaiset järjestelyt, joilla rajoitetaan niiden henkilöiden määrää, jotka saavat pääsyn tietoihin, ja sitä, missä määrin aineistoa luovutetaan tai asetetaan saataville tai missä määrin sitä jäljennetään ja kuinka monta jäljennöstä siitä tehdään. Tiedot luovuttava viranomainen voi myös katsoa, että asianmukaiset järjestelyt ovat tarpeen sen varmistamiseksi, että kaikki mistä tahansa aineiston osasta tehdyt jäljennökset tuhotaan heti kun niiden säilyttämiseen ei ole enää perusteltua syytä (jos niitä ei ole tuhottu jo aiemmin). (216)

(153)

Tulevaisuudessa tietoja voitaisiin siirtää edelleen Yhdistyneestä kuningaskunnasta Yhdysvaltoihin niiden välillä sähköisten tietojen saatavuudesta vakavan rikollisuuden torjunnassa lokakuussa 2019 tehdyn sopimuksen (217), jäljempänä ’Yhdistyneen kuningaskunnan ja Yhdysvaltojen sopimus’ tai ’sopimus’, perusteella. (218) Vaikka sopimus ei ole vielä tullut voimaan silloin kun tämä päätös hyväksytään, sen ennakoitavissa oleva voimaantulo voi vaikuttaa siihen, miten tämän päätöksen nojalla ensin Yhdistyneeseen kuningaskuntaan siirrettäviä tietoja voidaan siirtää edelleen Yhdysvaltoihin. Tämä tarkoittaa muun muassa sitä, että EU:sta Yhdistyneeseen kuningaskuntaan sijoittautuneille palveluntarjoajille siirrettäviin tietoihin voitaisiin soveltaa Yhdysvaltojen toimivaltaisten lainvalvontaviranomaisten antamia sähköisen todistusaineiston esittämistä koskevia määräyksiä, joita voitaisiin soveltaa Yhdistyneessä kuningaskunnassa em. sopimuksen nojalla sen tultua voimaan. Näistä syistä on tämän päätöksen kannalta merkityksellistä arvioida niitä edellytyksiä ja suojatoimia, joiden nojalla tällaisia määräyksiä voidaan antaa ja panna täytäntöön.

(154)

Tältä osin on huomattava ensinnäkin sopimuksen aineellinen soveltamisala, jonka mukaan sitä sovelletaan ainoastaan rikoksiin, joista määrättävä enimmäisrangaistus on vähintään kolme vuotta vankeutta (”vakava rikollisuus”) (219), mukaan lukien ”terroritoiminta”. Toiseksi tämän sopimuksen nojalla on mahdollista saada toisella lainkäyttöalueella käsiteltyjä tietoja vain sellaisen määräyksen perusteella, johon sovelletaan ennen sen antamista tai siihen liittyvien täytäntöönpanomenettelyjen aikana määräyksen antavan osapuolen kansallisen lainsäädännön nojalla tuomioistuimen, tuomarin tai muun riippumattoman viranomaisen uudelleentarkastelua tai valvontaa. (220) Kolmanneksi tällainen määräys voidaan antaa vain jos sille on olemassa perusteltuihin ja uskottaviin tosiseikkoihin, tapauksen erityispiirteisiin, lainmukaisuuteen ja tutkittavan teon vakavuuteen perustuvat kohtuulliset perusteet (221) ja jos se kohdistuu tiettyihin tileihin ja siinä yksilöidään tietty henkilö, tili, osoite tai henkilökohtainen laite tai jokin muu yksilöllinen tunniste” (222). Neljänneksi Yhdistyneen kuningaskunnan ja Yhdysvaltojen sopimuksen nojalla saatuihin tietoihin sovelletaan suojelua, joka vastaa EU:n ja Yhdysvaltojen välisen tietosuojaa koskevan puitesopimuksen (223) erityisiä suojatoimia (kyseessä on EU:n ja Yhdysvaltojen välillä joulukuussa 2016 tehty kattava tietosuojasopimus, jossa esitetään lainvalvontayhteistyön alalla tapahtuvaan tiedonsiirtoon sovellettavat suojatoimet ja oikeudet). Kyseiset suojatoimet on sisällytetty Yhdistyneen kuningaskunnan ja Yhdysvaltojen väliseen sopimukseen viittauksella mutatis mutandis, jotta voidaan ottaa huomioon siirtojen erityisluonne (siirrot tapahtuvat yksityisiltä palveluntarjoajilta lainvalvontaviranomaisille eikä lainvalvontaviranomaisten kesken). (224) Yhdistyneen kuningaskunnan ja Yhdysvaltojen välisessä sopimuksessa määrätään nimenomaisesti, että EU:n ja Yhdysvaltojen välisen sopimuksen määräyksiä vastaavaa suojelua sovelletaan ”kaikkiin henkilötietoihin, jotka esitetään sopimuksen soveltamisalaan kuuluvien määräysten täytäntöönpanemiseksi, jotta voidaan taata vastaava suojelutaso” (225).

(155)

Yhdistyneen kuningaskunnan ja Yhdysvaltojen välisen sopimuksen nojalla Yhdysvaltojen viranomaisille siirrettäviin tietoihin olisi näin ollen sovellettava EU:n oikeudelliseen välineeseen perustuvaa suojelua tarvittavin mukautuksin, jotta voidaan ottaa huomioon siirron erityispiirteet. Yhdistyneen kuningaskunnan viranomaiset ovat myös vahvistaneet, että tietosuojaa koskevaan puitesopimukseen perustuvaa suojelua sovelletaan kaikkiin Yhdysvaltojen kanssa tehtävän sopimuksen nojalla toimitettaviin tai säilytettäviin henkilötietoihin riippumatta siitä, millainen tai minkätyyppinen elin niitä pyytää (esimerkiksi Yhdysvalloissa tietoja voivat pyytää sekä liittovaltion että osavaltioiden lainvalvontaviranomaiset), jotta kaikissa tapauksissa voidaan taata samantasoinen suojelu. Yhdistyneen kuningaskunnan viranomaiset ovat kuitenkin myös selittäneet, että keskustelu tietosuojatakeiden konkreettisen täytäntöönpanon yksityiskohdista Yhdistyneen kuningaskunnan ja Yhdysvaltojen välillä on vielä kesken. Yhdistyneen kuningaskunnan viranomaiset ovat vahvistaneet tämän päätöksen laatimiseen liittyvissä keskusteluissa Euroopan komission yksiköiden kanssa, että ne sallivat sopimuksen voimaantulon vasta kun ne ovat vakuuttuneet siitä, että sen täytäntöönpano on siinä määrättyjen oikeudellisten velvoitteiden mukaista. Tämä koskee myös selvyyttä sen suhteen, että tietosuojanormeja noudatetaan kaikkien sopimuksen nojalla pyydettyjen tietojen osalta. Koska sopimuksen mahdollinen voimaantulo voi vaikuttaa tämän päätöksen puitteissa arvioitavaan suojelun tasoon, Yhdistyneen kuningaskunnan olisi toimitettava Euroopan komissiolle tiedot ja selvitys siitä, miten Yhdysvallat aikoo noudattaa sopimuksen mukaisia velvoitteitaan, heti kun tällainen selvitys on saatavilla ja ainakin ennen sopimuksen voimaantuloa, jotta voidaan varmistaa tämän päätöksen asianmukainen seuranta asetuksen (EU) 2016/679 45 artiklan 4 kohdan mukaisesti. Erityistä huomiota kiinnitetään siihen, miten tietosuojaa koskevaan puitesopimukseen perustuvaa suojelua sovelletaan Yhdistyneen kuningaskunnan ja Yhdysvaltojen välisen sopimuksen nojalla tehtäviin siirtoihin ja miten sitä mukautetaan niiden erityispiirteiden huomioon ottamiseksi.

(156)

Yleensäkin kaikki kyseisen sopimuksen voimaantuloon ja soveltamiseen liittyvä kehitys otetaan asianmukaisesti huomioon tämän päätöksen jatkuvan seurannan yhteydessä. Tämä koskee myös päätelmiä, jotka on tehtävä siinä tapauksessa, että saataisiin viitteitä siitä, että olennaisesti vastaava suojelun taso ei enää toteudu.

(157)

Niiden toimivaltuuksien valvonta, joiden nojalla toimivaltaiset viranomaiset käsitelevät henkilötietoja lainvalvontatarkoituksessa, on osoitettu eri elimille sen mukaan, perustuvatko valtuudet vuoden 2018 tietosuojalakiin vai vuonna 2016 tutkintavaltuuksista annettuun lakiin. Kun henkilötietojen käsittely tapahtuu vuoden 2018 tietosuojalain 3 osan nojalla, valvonnasta vastaa tietosuojavaltuutettu. (226) Sen sijaan vuonna 2016 tutkintavaltuuksista annettuun lakiin perustuvien tutkintavaltuuksien käyttöä koskeva riippumaton oikeudellinen valvonta on tutkintavaltuuksien valvojan toimiston (Investigatory Powers Commissioner’s Office, IPCO) (227) tehtävä (tätä osaa käsitellään johdanto-osan 250–255 kappaleessa). Lisäksi parlamentti ja muut elimet huolehtivat täydentävästä valvonnasta.

(158)

Tietosuojavaltuutetun riippumattomuutta ja organisaatiota on käsitelty edellä johdanto-osan 87 kappaleessa. Tietosuojavaltuutetun yleiset tehtävät, jotka koskevat vuoden 2018 tietosuojalain 3 osan soveltamisalaan kuuluvien henkilötietojen käsittelyä, vahvistetaan vuoden 2018 tietosuojalain liitteessä 13. Tietosuojavaltuutetun päätehtävänä on vuoden 2018 tietosuojalain 3 osan seuranta ja täytäntöönpano sekä yleisen tietoisuuden edistäminen ja neuvojen antaminen parlamentille, hallitukselle ja muille instituutioille ja elimille. Oikeuslaitoksen riippumattomuuden takaamiseksi henkilötietojen käsittelyyn liittyviä tietosuojavaltuutetun tehtäviä ei voi hoitaa henkilö eikä tuomioistuin, joka suorittaa lainkäyttötehtäviä. Näiltä osin valvontatehtävät on osoitettu muille elimille, kuten johdanto-osan 99–103 kappaleessa selitetään.

(159)

Tietosuojavaltuutetulla on yleiset tutkintavaltuudet, korjaavat toimivaltuudet sekä hyväksymis- ja neuvontavaltuudet, kun on kyse 3 osan soveltamisalaan kuuluvien henkilötietojen käsittelystä. Tietosuojavaltuutetulla on erityisesti valtuudet ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle väitetystä vuoden 2018 tietosuojalain 3 osan rikkomisesta, antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle varoituksia tai huomautuksia, jos nämä ovat rikkoneet mainittuja säännöksiä, sekä antaa omasta aloitteestaan tai pyynnöstä lausuntoja parlamentille, hallitukselle ja muille instituutioille ja elimille sekä yleisölle mistä tahansa henkilötietojen suojeluun liittyvistä kysymyksistä. (228)

(160)

Tietosuojavaltuutetulla on lisäksi valtuudet antaa tiedonantomääräyksiä (229), arviointimääräyksiä (230) ja täytäntöönpanomääräyksiä (231) sekä oikeus tutustua rekisterinpitäjien ja henkilötietojen käsittelijöiden asiakirjoihin ja päästä niiden tiloihin (232) ja määrätä hallinnollisia sakkoja antamalla seuraamusmääräyksiä (233). Tietosuojavaltuutetun sääntelytoimia koskevissa toimintaperiaatteissa (Regulatory Action Policy) esitetään olosuhteet, joiden täyttyessä näitä eri määräyksiä voidaan antaa (234) (ks. myös johdanto-osan 93 kappale ja direktiivin (EU) 2016/680 johdanto-osan 101–102 kappale tietosuojan riittävyyttä koskevista päätöksistä).

(161)

Viimeisimpien vuosikertomustensa (2018–2019 (235), 2019–2020 (236)) mukaan tietosuojavaltuutettu on suorittanut useita tutkimuksia ja toteuttanut täytäntöönpanotoimia, jotka koskevat lainvalvontaviranomaisten suorittamaa henkilötietojen käsittelyä. Esimerkiksi lokakuussa 2019 tietosuojavaltuutettu julkaisi tutkimustensa perusteella lausunnon, joka koskee kasvojentunnistusteknologian käyttöä julkisilla paikoilla lainvalvontatarkoituksia varten. Tutkimuksessa keskityttiin erityisesti siihen, miten Etelä-Walesin poliisi (South Wales Police) ja suur-Lontoon poliisi (Metropolitan Police Services) käyttävät reaaliaikaista kasvojentunnistusta. Tietosuojavaltuutettu on tutkinut myös suur-Lontoon poliisin jengitietokantaa (Gangs matrix) (237) ja todennut, että siihen liittyy useita vakavia tietosuojalainsäädännön rikkomisia, jotka todennäköisesti heikentäisivät yleisön luottamusta tietokantaan ja siihen, miten tietoja käytetään. Marraskuussa 2018 tietosuojavaltuutettu antoi täytäntöönpanomääräyksen, jonka nojalla suur-Lontoon poliisi toteutti tarvittavat toimet turvallisuuden ja vastuuvelvollisuuden lisäämiseksi ja sen varmistamiseksi, että tietoja käytetään oikeasuhteisesti. Toinen esimerkki täytäntöönpanotoimista tällä alalla on tietosuojavaltuutetun toukokuussa 2018 määräämä 325 000 punnan sakko kruunun syyttäjäyksikölle poliisikuulustelujen tallenteita sisältävien salaamattomien DVD-levyjen katoamisen vuoksi. Tietosuojavaltuutettu on tutkinut myös yleisempiä aiheita, kuten vuoden 2020 alkupuoliskolla matkapuhelintietojen käyttöä poliisitoiminnassa ja uhrien tietojen käsittelyä poliisin toimesta. Lisäksi tietosuojavaltuutettu tutkii parhaillaan tapausta, johon liittyy lainvalvontaviranomaisten pääsy yksityisen sektorin toimijan (Clearview AI Inc) hallussa oleviin tietoihin. (238)

(162)

Koska eräät tietosuojalainsäädännön loukkaukset ovat rikoksia, niiden perusteella voidaan määrätä edellä johdanto-osan 160 ja 161 kappaleessa kuvattujen tietosuojavaltuutetun täytäntöönpanovaltuuksien lisäksi rikosoikeudellisia seuraamuksia (vuoden 2018 tietosuojalain 196 §). Tämä koskee esimerkiksi henkilötietojen hankkimista, luovuttamista tai säilyttämistä ilman rekisterinpitäjän suostumusta ja luovutettujen henkilötietojen toimittamista toiselle henkilölle ilman rekisterinpitäjän suostumusta (239); anonymisoitujen henkilötietojen tunnistetietojen palauttamista ilman anonymisoinnista vastaavan rekisterinpitäjän suostumusta (240); tahallista toimintaa, jolla estetään tietosuojavaltuutettua käyttämästä toimivaltaansa henkilötietojen tarkastamiseksi kansainvälisten velvoitteiden mukaisesti (241), väärien lausuntojen antamista tiedonantomääräyksen perusteella tai tietojen tuhoamista tiedonanto- ja arviointimääräysten yhteydessä (242).

(163)

Tietosuojavaltuutetun lisäksi rikoslain täytäntöönpanon alalla on useita valvontaelimiä, joilla on erityisesti tietosuojaan liittyviä valtuuksia. Näitä ovat muun muassa biometristen materiaalien säilyttämisestä ja käytöstä vastaava valtuutettu (Biometrics Commissioner) (243) ja valvontakameravaltuutettu (Surveillance Camera Commissioner) (244).

(164)

Parlamentaarisesta valvonnasta lainvalvonnan alalla vastaa parlamentin alahuoneen sisäasiain erityisvaliokunta (Home Affairs Select Committee, HASC). Valiokunnassa on 11 jäsentä, jotka kuuluvat parlamentin kolmeen suurimpaan puolueeseen. Valiokunnan tehtävänä on tarkastella sisäasiainministeriön ja siihen liittyvien julkisten elinten kuten poliisin ja erityisesti kansallisen rikosviraston (NCA) (245) menoja, hallintoa ja toimintaperiaatteita.

(165)

Valiokunta voi toimivaltuuksiensa rajoissa valita tutkimuskohteensa, myös erityistapaukset, kunhan asia ei ole oikeuslaitoksen tutkittavana (sub judice). Valiokunta voi myös pyytää kirjallista ja suullista näyttöä erilaisilta asian kannalta merkityksellisiltä ryhmiltä ja henkilöiltä. Valiokunta laatii havaintojensa perusteella raportteja ja antaa hallitukselle suosituksia. (246) Hallituksen odotetaan reagoivan kuhunkin raportissa esitettyyn suositukseen 60 päivän kuluessa. (247)

(166)

Valiokunta on laatinut myös valvontaa koskevan raportin, jonka mukaan vuonna 2000 tutkintavaltuuksista annettu asetus (Regulation of Investigatory Powers Act 2000) (248) ei ole tarkoituksenmukainen. Raportti otettiin huomioon, kun merkittävä osa asetuksesta korvattiin vuonna 2016 tutkintavaltuuksista annetulla lailla. Täydellinen luettelo tutkimuksista on saatavilla valiokunnan verkkosivuilla (249).

(167)

Skotlannissa sisäasiain erityisvaliokunnan tehtäviä hoitaa poliisitoiminnasta vastaava oikeusasioiden alavaliokunta (Justice Subcommittee on Policing) ja Pohjois-Irlannissa oikeusasioiden valiokunta (Committee for Justice). (250)

(168)

Lainvalvontaviranomaisten suorittamaa tietojenkäsittelyä koskevista oikeussuojakeinoista säädetään vuoden 2018 tietosuojalain 3 osassa ja vuonna 2016 tutkintavaltuuksista annetussa laissa sekä vuoden 1998 ihmisoikeuslaissa.

(169)

Nämä eri mekanismit tarjoavat rekisteröidyille tehokkaat hallinnolliset ja oikeudelliset oikeussuojakeinot, joiden avulla he voivat erityisesti varmistaa oikeuksiensa toteutumisen; tämä koskee myös oikeutta saada pääsy henkilötietoihin ja oikaista tai poistaa ne.

(170)

Ensinnäkin rekisteröidyllä on vuoden 2018 tietosuojalain 165 §:n nojalla oikeus tehdä tietosuojavaltuutetulle valitus, jos hän katsoo, että hänen henkilötietojensa käsittelyssä on rikottu vuoden 2018 tietosuojalain 3 osan säännöksiä. (251) Tietosuojavaltuutetulla on toimivalta arvioida, ovatko rekisterinpitäjä ja henkilötietojen käsittelijä noudattaneet vuoden 2018 tietosuojalakia, ja jos näin ei ole, vaatia niitä toteuttamaan tarvittavat toimet ja määrätä sakkoja.

(171)

Toiseksi vuoden 2018 tietosuojalaissa säädetään oikeudesta käyttää oikeussuojakeinoja tietosuojavaltuutettua vastaan, jos rekisteröidyn tekemää valitusta ei käsitellä asianmukaisesti. Tarkemmin sanoen tämä tarkoittaa, että jos tietosuojavaltuutettu ei ”edistä” (252) rekisteröidyn tekemän valituksen käsittelyä, tämä voi hakea oikeussuojaa tuomioistuimelta pyytämällä, että First Tier Tribunal -tuomioistuin (253) määrää tietosuojavaltuutetun toteuttamaan valituksen johdosta asianmukaiset toimenpiteet tai ilmoittamaan valituksen tekijälle sitä koskevan tutkinnan etenemisestä. (254) Lisäksi kuka tahansa henkilö, jolle tietosuojavaltuutettu on antanut jonkin edellä mainituista määräyksistä (tiedonanto-, arviointi-, täytäntöönpano- tai seuraamusmääräys), voi hakea siihen muutosta First Tier Tribunal -tuomioistuimessa. Jos tuomioistuin katsoo, että tietosuojavaltuutetun päätös ei ole lainmukainen tai että tietosuojavaltuutetun olisi pitänyt käyttää harkintavaltaansa eri tavalla, tuomioistuimen on hyväksyttävä muutoksenhakemus tai korvattava annettu määräys toisella määräyksellä tai päätöksellä, jonka tietosuojavaltuutettu olisi voinut antaa tai tehdä. (255)

(172)

Kolmanneksi yksilöt voivat vedota oikeudellisiin oikeussuojakeinoihin rekisterinpitäjiä ja henkilötietojen käsittelijöitä vastaan suoraan tuomioistuimissa. Vuoden 2018 tietosuojalain 167 §:n mukaan rekisteröity voi nostaa tuomioistuimessa kanteen, jonka mukaan hänen tietosuojalainsäädäntöön perustuvia oikeuksiaan on loukattu. Tuomioistuin voi sen perusteella määrätä rekisterinpitäjää toteuttamaan tarvittavat toimenpiteet (tai pidättymään tietyistä toimenpiteistä), jotta käsittely olisi vuoden 2018 tietosuojalain mukaista. Lisäksi vuoden 2018 tietosuojalain 169 §:ssä säädetään, että henkilö, joka on kärsinyt vahinkoa jonkin tietosuojalainsäädännössä (ml. vuoden 2018 tietosuojalain 3 osa, mutta pois lukien Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus) vahvistetun oikeuden loukkaamisen vuoksi, on oikeutettu saamaan tällaisesta vahingosta korvauksen rekisterinpitäjältä tai henkilötietojen käsittelijältä, paitsi jos nämä voivat osoittaa, etteivät ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta. Vahingolla tarkoitetaan tässä sekä taloudellista menetystä että esimerkiksi kärsimystä.

(173)

Lopuksi todetaan, että jos yksityishenkilö katsoo, että viranomaiset ovat loukanneet hänen oikeuksiaan, kuten oikeutta yksityisyyteen ja tietosuojaan, hän voi hakea muutosta Yhdistyneen kuningaskunnan tuomioistuimissa vuoden 1998 ihmisoikeuslain nojalla. (256) Kun kaikki kansalliset muutoksenhakukeinot on käytetty, yksityishenkilö, kansalaisjärjestö tai ryhmä voi viime kädessä nostaa kanteen Euroopan ihmisoikeustuomioistuimessa Euroopan ihmisoikeussopimuksessa taattujen oikeuksien loukkaamisen vuoksi (257) (ks. johdanto-osan 111 kappale).

(174)

Yksilöt voivat käyttää oikeussuojakeinoja vuonna 2016 tutkintavaltuuksista annetun lain rikkomisen vuoksi tutkintavaltuuksia käsittelevässä tuomioistuimessa (Investigatory Powers Tribunal). Vuonna 2016 tutkintavaltuuksista annettuun lakiin perustuvia oikeussuojakeinoja käsitellään johdanto-osan 263–269 kappaleessa.

(175)

Yhdistyneen kuningaskunnan oikeusjärjestyksen mukaan tiedustelupalveluja, joilla on valtuudet kerätä rekisterinpitäjien tai henkilötietojen käsittelijöiden hallussa olevia sähköisiä tietoja kansalliseen turvallisuuteen liittyvistä syistä tilanteissa, joilla on merkitystä tietosuojan riittävyyttä koskevan päätöksen kannalta, ovat turvallisuuspalvelu (258) (Security Service, MI5), salainen tiedustelupalvelu (259) (Secret Intelligence Service, SIS) ja tiedustelupalvelu (260) (Government Communications Headquarters, GCHQ). (261)

(176)

Yhdistyneen kuningaskunnan tiedustelupalvelujen toimivaltuudet on esitetty vuonna 2016 tutkintavaltuuksista annetussa laissa ja vuonna 2000 tutkintavaltuuksista annetussa asetuksessa. Yhdessä vuoden 2018 tietosuojalain kanssa niissä määritellään näiden valtuuksien aineellinen ja henkilöllinen soveltamisala sekä niiden käyttöön liittyvät rajoitukset ja suojatoimet. Seuraavassa tarkastellaan yksityiskohtaisesti näitä tutkintavaltuuksia sekä niihin sovellettavia rajoituksia ja suojatoimia.

(177)

Vuonna 2016 tutkintavaltuuksista annettu laki muodostaa oikeudellisen kehyksen, jolla säännellään tutkintavaltuuksien käyttöä eli valtuuksia hankkia viestintätietoja ja tutustua niihin ja suorittaa laitetutkintaa. Vuonna 2016 tutkintavaltuuksista annetussa laissa säädetään yleisestä kiellosta, jonka nojalla on rikos käyttää tekniikoita, jotka mahdollistavat pääsyn viestinnän sisältöön, viestintätietoihin tai laitteisiin ilman laillista valtuutusta. (262) Tämä näkyy siinä, että tällaisten tutkintavaltuuksien käyttö on laillista vain jos se tapahtuu määräyksen tai luvan perusteella. (263)

(178)

Vuonna 2016 tutkintavaltuuksista annetussa laissa vahvistetaan yksityiskohtaiset säännöt, joilla säännellään kunkin tutkintavaltuuden soveltamisalaa ja soveltamista sekä niitä koskevat rajoitukset ja suojatoimet. Eri sääntöjä sovelletaan sen mukaan, minkätyyppisistä tutkintavaltuuksista on kyse (telekuuntelu, viestintätietojen hankinta ja säilyttäminen tai laitetutkinta) (264), ja onko kyseessä tietty kohde vai laajamittainen valvonta. Kunkin toimenpiteen soveltamisalaa sekä niihin liittyviä suojatoimia ja rajoituksia, jotka on vahvistettu vuonna 2016 tutkintavaltuuksista annetussa laissa, esitellään lähemmin jäljempänä olevassa jaksossa.

(179)

Vuonna 2016 tutkintavaltuuksista annettua lakia on täydennetty useilla Secretary of Staten antamilla lakisääteisillä käytännesäännöillä, jotka on hyväksytty parlamentin molemmissa kamareissa. (265) Käytännesääntöjä sovelletaan koko maassa, ja niissä annetaan ohjeita näiden valtuuksien käytöstä. (266) Vaikka rekisteröidyt voivat oikeuksiensa käyttämiseksi vedota suoraan vuonna 2016 tutkintavaltuuksista annetun lain säännöksiin, lain liitteessä 7 olevan 5 kohdan mukaan käytännesääntöjä voidaan käyttää näyttönä siviili- ja rikosoikeudellisissa menettelyissä. Tuomioistuin tai valvontaviranomainen voi ottaa käytännesääntöjen noudattamatta jättämisen huomioon määrittäessään oikeudellisessa menettelyssä käsiteltävää asiaa. (267) Euroopan ihmisoikeustuomioistuimen suuri jaosto on Yhdistyneen kuningaskunnan aiemman valvontalainsäädännön eli vuonna 2000 tutkintavaltuuksista annetun asetuksen laatua arvioidessaan tunnustanut nimenomaisesti Yhdistyneen kuningaskunnan käytännesääntöjen merkityksen ja katsonut, että ne voidaan ottaa huomioon arvioitaessa valvonnan mahdollistavan lainsäädännön ennakoitavuutta. (268)

(180)

Olisi myös huomattava, että kohdennetut toimivaltuudet (kohdennettu telekuuntelu (269), viestintätietojen hankinta (270), viestintätietojen säilyttäminen (271) ja kohdennettu laitetutkinta (272)) ovat kansallisten turvallisuusvirastojen ja tiettyjen lainvalvontaviranomaisten (273) käytettävissä, kun taas ainoastaan tiedustelupalvelut voivat käyttää laajamittaisia valtuuksia (eli laajamittaista telekuuntelua (274), laajamittaista viestintätietojen hankintaa (275), laajamittaista laitetutkintaa (276) ja laajojen henkilötietoaineistojen tutkintaa (277)).

(181)

Kun tiedusteluvirasto päättää, mitä tutkintavaltuuksia olisi käytettävä, sen on noudatettava vuoden 2016 lain 2 §:n 2 momentin a alakohdassa lueteltuja ”yksityisyyteen liittyviä yleisiä velvollisuuksia”, mikä tarkoittaa mm. tarpeellisuuden ja oikeasuhteisuuden arviointia. Tarkemmin sanottuna tutkintavaltuuksien käyttöä harkitsevan viranomaisen on kyseisen säännöksen nojalla arvioitava, i) voitaisiinko määräyksen tai luvan (warrant, authorisation, notice) avulla tavoiteltu tulos kohtuudella saavuttaa vähemmän yksityisyyteen puuttuvilla keinoilla; ii) onko tällaisen määräyksen tai luvan nojalla hankittavien tietojen suhteen sovellettava korkeampaa suojelutasoa kyseisten tietojen erityisen arkaluontoisuuden vuoksi; iii) televiestintäjärjestelmien ja postipalvelujen eheyttä ja turvallisuutta koskevaa yleistä etua ja iv) muita yksityisyydensuojaa koskevaan yleiseen etuun liittyviä näkökohtia. (278)

(182)

Asiaa koskevissa käytännesäännöissä täsmennetään tarkemmin näiden kriteerien soveltamista ja sitä, miten niitä olisi arvioitava, kun Secretary of State ja riippumattomat oikeusvaltuutetut (Judicial Commissioners) arvioivat tällaisten tutkintavaltuuksien käyttöä. Käytännesääntöjen mukaan kaikkien tällaisten tutkintavaltuuksien käytön on aina oltava oikeassa suhteessa tavoiteltuun tulokseen nähden. Tämä tarkoittaa, että on punnittava yksityisyyteen puuttumisen vakavuutta (ja muita 2 §:n 2 momentissa mainittuja näkökohtia) suhteessa toiminnan tarpeellisuuteen tutkinnan, operatiivisen toiminnan tai valmiuksien kannalta. Tämä tarkoittaa erityisesti sitä, että tutkintavaltuuksien käytön olisi tarjottava realistinen mahdollisuus tavoitellun tuloksen saavuttamiseen eikä sen pitäisi olla suhteetonta tai mielivaltaista. Minkäänlaista yksityisyyteen puuttumista ei myöskään pitäisi katsoa oikeasuhteiseksi, jos halutut tiedot olisi kohtuudella mahdollista hankkia myös vähemmän yksityisyyteen puuttuvilla keinoilla. (279) Tarkemmin sanottuna oikeasuhteisuuden periaatteen noudattamista olisi arvioitava seuraavien kriteerien perusteella: i) ehdotetun yksityisyyteen puuttumisen laajuus suhteessa toimella tavoiteltuun tulokseen; ii) se, miten ja miksi käytettävillä menetelmillä aiheutettaisiin mahdollisimman vähän häiriöitä asianomaiselle henkilölle ja muille; iii) se, edustaako suunniteltu toiminta kyseisen lain asianmukaista käyttöä ja onko se järkevä tapa saavuttaa tavoiteltu tulos, kun otetaan huomioon kaikki kohtuulliset vaihtoehdot; iv) mitä muita soveltuvia menetelmiä ei joko ole käytetty lainkaan tai joita on käytetty, mutta jotka on arvioitu riittämättömiksi operatiivisten tavoitteiden toteuttamiseksi ilman ehdotettujen tutkintavaltuuksien käyttöä. (280)

(183)

Yhdistyneen kuningaskunnan viranomaisten mukaan tämä käytännössä varmistaa, että tiedusteluvirasto asettaa ensin operatiivisen tavoitteen (jonka mukaan tietojen keräämistä rajoitetaan, esimerkiksi kansainvälisen terrorismin torjunta tietyllä maantieteellisellä alueella). Seuraavaksi pohditaan tämän tavoitteen perusteella, mikä tekninen vaihtoehto (esimerkiksi kohdennettu vai laajamittainen telekuuntelu, laitetutkinta tai viestintätietojen hankinta) olisi tavoitellun tuloksen saavuttamiseksi oikeasuhteisin (eli jolla puututtaisiin vähiten yksityisyyteen, ks. vuoden 2016 lain 2 §:n 2 momentti) ja joka sen vuoksi voidaan hyväksyä jonkin käytettävissä olevan oikeusperustan nojalla.

(184)

Mainittakoon, että oikeutta yksityisyyteen käsittelevä YK:n erityisraportoija Joseph Cannataci on pannut tyytyväisenä merkille vetoamisen tarpeellisuus- ja oikeasuhteisuusperiaatteisiin. Hän on todennut vuonna 2016 tutkintavaltuuksista annettua lakia koskevasta järjestelmästä, että sekä tiedustelupalvelujen että lainvalvontavirastojen menettelyt vaikuttavat järjestelmällisesti edellyttävän valvontatoimenpiteen tai -operaation tarpeellisuuden ja oikeasuhteisuuden arviointia ennen kuin sitä voidaan suosittaa hyväksyttäväksi ja että toimia tarkastellaan myös jälkikäteen näiden kriteerien perusteella. (281) Hän huomautti myös saaneensa tapaamisessa lainvalvontaviranomaisten ja kansallisten turvallisuusvirastojen kanssa konsensukseen perustuvan näkemyksen siitä, että kaikissa valvontatoimia koskevissa päätöksissä on otettava ensisijaisesti huomioon oikeus yksityisyydensuojaan. Kaikki osanottajat ymmärsivät ja katsoivat, että tarpeellisuus ja oikeasuhteisuus on otettava huomioon olennaisina perusperiaatteina.

(185)

Eri määräysten antamista koskevia kriteerejä sekä eri tutkintavaltuuksille vuonna 2016 tutkintavaltuuksista annetussa laissa vahvistettuja rajoituksia ja suojatoimia tarkastellaan lähemmin johdanto-osan 186–243 kappaleessa.

(186)

Kohdennettua telekuuntelua voidaan määrätä suoritettavaksi kolmen eri määräyksen nojalla: kohdennetulla kuuntelumääräyksellä (282), kohdennetulla tutkintamääräyksellä tai keskinäistä avunantoa koskevalla määräyksellä (283). Edellytykset näiden määräysten saamiseksi ja niihin sovellettavat suojatoimet on vahvistettu vuonna 2016 tutkintavaltuuksista annetun lain 2 osan 1 luvussa.

(187)

Kohdennettua telekuuntelua koskevan määräyksen nojalla on mahdollista siepata siinä mainitut viestit, kun niitä lähetetään, ja saada myös muut näiden viestien kannalta merkitykselliset tiedot (284), mukaan lukien ns. toissijainen data (285). Kohdennetun tutkintamääräyksen nojalla on mahdollista valikoida tutkittavaksi haluttu osa laajamittaista telekuuntelua koskevan määräyksen nojalla siepatusta sisällöstä. (286)

(188)

Secretary of State voi antaa minkä tahansa vuonna 2016 tutkintavaltuuksista annetun lain 2 osassa tarkoitetun määräyksen (287), ja oikeusvaltuutettu (288) voi vahvistaa ne. Kaikkien kohdennettujen määräysten voimassaoloaika on rajoitettu 6 kuukauteen (289), ja niiden muuttamiseen (290) ja uusimiseen (291) sovelletaan erityisiä sääntöjä.

(189)

Ennen määräyksen antamista Secretary of Staten on arvioitava sen tarpeellisuus ja oikeasuhteisuus (292). Etenkin kun kyseessä on kohdennettua kuuntelua tai tutkintaa koskeva määräys, Secretary of Staten olisi tarkistettava, onko toimenpide tarpeen jonkin seuraavan syyn perusteella: kansallisen turvallisuuden vuoksi; vakavan rikoksen ehkäisemiseksi tai paljastamiseksi; tai taloudellisen hyvinvoinnin turvaamiseksi (293) Yhdistyneessä kuningaskunnassa, jos sillä on merkitystä myös kansalliselle turvallisuudelle. (294) Toisaalta keskinäistä avunantoa koskeva määräys (ks. johdanto-osan 139 kappale) voidaan antaa vain jos Secretary of State katsoo, että olosuhteet vastaavat niitä olosuhteita, joissa hän antaisi määräyksen vakavan rikoksen ehkäisemiseksi tai paljastamiseksi. (295)

(190)

Lisäksi Secretary of Staten olisi arvioitava, onko toimenpide oikeasuhteinen tavoiteltuun tulokseen nähden. (296) Pyydettyjen toimenpiteiden oikeasuhteisuuden arvioinnissa on otettava huomioon yksityisyydensuojaa koskevat yleiset velvoitteet, jotka on vahvistettu vuonna 2016 tutkintavaltuuksista annetun lain 2 §:n 2 momentissa. Tämän perusteella on arvioitava erityisesti, voitaisiinko pyydetyn määräyksen tai luvan tavoiteltu tulos kohtuudella saavuttaa muilla, vähemmän yksityisyyteen puuttuvilla keinoilla ja onko tällaisen määräyksen tai luvan avulla hankittavien tietojen suhteen sovellettava suojan taso korkeampi kyseisten tietojen erityisen arkaluonteisuuden vuoksi (ks. johdanto-osan 181 kappale).

(191)

Tätä varten Secretary of Staten on otettava huomioon kaikki pyynnön esittävän viranomaisen hakemuksessa esittämät tekijät ja erityisesti ne, jotka liittyvät kuunneltaviin henkilöihin ja toimenpiteen merkityksellisyyteen tutkinnan kannalta. Nämä tekijät luetellaan telekuuntelua koskevissa käytännesäännöissä, ja ne on kuvailtava tietyllä tarkkuusasteella. (297) Lisäksi vuonna 2016 tutkintavaltuuksista annetun lain 17 §:ssä edellytetään, että kaikissa sen 2 luvun nojalla annetuissa määräyksissä on nimettävä tai kuvailtava kuuntelun kohteena oleva henkilö tai henkilöryhmä, organisaatio tai toimitilat (”kohde”). Jos kyseessä on kohdennettua kuuntelua tai tutkintaa koskeva määräys, ne voivat koskea myös henkilöryhmää, useampaa kuin yhtä henkilöä tai organisaatiota tai useampia tiloja (ns. temaattinen määräys, thematic warrant). (298) Tällaisessa tapauksessa määräyksessä olisi kuvailtava henkilöryhmän tai operaation/tutkimuksen yhteinen tarkoitus tai toiminta ja nimi tai kuvailtava niin monta näistä henkilöistä/organisaatioista tai tiloista kuin kohtuudella on mahdollista. (299) Kaikissa vuonna 2016 tutkintavaltuuksista annetun lain 2 osan nojalla annettavissa määräyksissä on myös täsmennettävä viestinnän yksilöimiseksi tarvittavat osoitteet, numerot, laitteet, tekijät tai tekijöiden yhdistelmät. (300) Telekuuntelua koskevissa käytännesäännöissä täsmennetään tältä osin, että jos kyseessä on kohdennettua kuuntelua tai tutkintaa koskeva määräys, siinä on täsmennettävä (tai kuvailtava) ne tekijät tai tekijöiden yhdistelmät, joiden avulla asianomainen viestintä on tarkoitus yksilöidä. Jos viestintä on yksilöitävä (esimerkiksi) puhelinnumeron perusteella, puhelinnumero on annettava kokonaisuudessaan. Jos sen sijaan yksilöinnissä on tarkoitus käyttää hyvin monimutkaisia tai jatkuvasti muuttuvia internetvalintoja, ne olisi kuvailtava niin tarkasti kuin se on mahdollista. (301)

(192)

Tärkeä tähän liittyvä suojatoimi on se, että Secretary of Staten tekemälle määräyksen antamista koskevalle arviolle on saatava riippumattoman oikeusvaltuutetun hyväksyntä (302); hänen tehtävänään on erityisesti tarkistaa, että määräyksen antamista koskeva päätös on tarpeellisuus- ja suhteellisuusperiaatteiden (303) mukainen (oikeusvaltuutettujen asemasta ja tehtävästä ks. johdanto-osan 251–256 kappale.) Vuonna 2016 tutkintavaltuuksista annetussa laissa selvennetään myös, että oikeusvaltuutetun on tällaista tarkistusta tehdessään sovellettava samoja periaatteita kuin ne, joita tuomioistuin soveltaisi oikeudellista uudelleentarkastelua koskevaan hakemukseen. (304) Näin varmistetaan, että riippumaton elin tarkastaa kussakin tapauksessa järjestelmällisesti tarpeellisuus- ja oikeasuhteisuusperiaatteiden noudattamisen ennen kuin pääsy tietoihin toteutuu.

(193)

Vuonna 2016 tutkintavaltuuksista annetussa laissa säädetään joitakin erityisiä ja rajattuja poikkeuksia, joiden nojalla kohdennettua kuuntelua voidaan suorittaa ilman määräystä. Nämä rajoitetut tapaukset täsmennetään kyseisessä laissa (305), ja lähettäjän/vastaanottajan ”suostumukseen” perustuvaa tapausta lukuun ottamatta niiden toteuttamisesta vastaavat muut henkilöt (yksityiset tai julkiset elimet) kuin kansalliset turvallisuusvirastot. Lisäksi tämäntyyppistä kuuntelua tehdään muita tarkoituksia kuin tiedustelutiedon keräämistä varten (306), ja joidenkin tällaisten elinten kohdalla on erittäin epätodennäköistä, että tietojen kerääminen liittyisi ”siirtämiseen” (esimerkiksi kun kuuntelu tapahtuu psykiatrisessa sairaalassa tai vankilassa). Kun otetaan huomioon, minkätyyppisiin elimiin nämä erityistapaukset liittyvät (muut kuin turvallisuusvirastot), niihin sovelletaan kaikkia vuoden 2018 tietosuojalain 2 osassa ja Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa säädettyjä suojatoimia, mukaan lukien tietosuojavaltuutetun valvontaa ja käytettävissä olevia oikeussuojakeinoja. Lisäksi vuonna 2016 tutkintavaltuuksista annetussa laissa säädetään, että tietyissä tapauksissa on sovellettava vuoden 2018 tietosuojalaissa säädettyjen suojatoimien ohella myös tietosuojavaltuutetun jälkikäteisvalvontaa. (307)

(194)

Kuuntelua suoritettaessa sovelletaan myös muita rajoituksia ja suojatoimia, jotka liittyvät kuuntelun kohteena olevan henkilön / olevien henkilöiden erityisasemaan. (308) Esimerkiksi asianajosalaisuuden piiriin kuuluvien asioiden kuuntelu voidaan sallia vain poikkeuksellisissa ja pakottavissa olosuhteissa. Tällaisen määräyksen antavan henkilön on otettava huomioon asianajosalaisuuden piiriin kuuluvien seikkojen luottamuksellisuuteen liittyvä yleinen etu ja huolehdittava siitä, että tällaisen aineiston käsittelyyn, säilyttämiseen ja luovuttamiseen sovelletaan erityisiä vaatimuksia. (309)

(195)

Lisäksi vuonna 2016 tutkintavaltuuksia koskevassa laissa säädetään turvallisuutta, säilyttämistä ja luovuttamista koskevista erityisistä suojatoimista, jotka Secretary of Staten olisi otettava huomioon ennen kohdennetun määräyksen antamista. (310) Erityisesti lain 53 §:n 5 momentissa säädetään, että kaikki tällaisen määräyksen nojalla kerätystä aineistosta tehdyt kopiot on säilytettävä turvallisesti ja hävitettävä heti kun niiden säilyttämiseen ei ole enää perusteltua syytä. Lain 53 §:n 2 momentissa taas säädetään, että niiden henkilöiden määrä, joille aineisto luovutetaan, ja se, missä määrin aineistoa luovutetaan tai annetaan tutustuttavaksi tai kopioidaan, on rajoitettava siihen, mikä on lakisääteisen tavoitteen toteuttamista varten välttämätöntä.

(196)

Lisäksi laissa säädetään, että kun kohdennetulla kuuntelumääräyksellä tai keskinäistä avunantoa koskevalla määräyksellä haltuun otettu aineisto luovutetaan kolmanteen maahan (”overseas disclosure”), Secretary of Staten on varmistettava, että käytössä on asianmukaiset järjestelyt sen varmistamiseksi, että kyseisessä kolmannessa maassa on käytössä vastaavat turvallisuutta, säilyttämistä ja luovuttamista koskevat suojatoimet. (311) Lisäksi vuoden 2018 tietosuojalain 109 §:n 2 momentissa säädetään, että tiedustelupalvelut saavat siirtää henkilötietoja Yhdistyneen kuningaskunnan ulkopuolelle vain jos siirto on tarpeen ja oikeasuhteinen rekisterinpitäjän lakisääteisten tehtävien hoitamiseksi tai muita vuoden 1989 turvallisuuspalvelulain 2 §:n 2 momentin a alakohdassa tai vuoden 1994 tiedustelupalvelulain 2 §:n 2 momentin a alakohdassa ja 4 §:n 2 momentin a alakohdassa säädettyjä tarkoituksia varten. (312) On syytä huomata, että näitä vaatimuksia sovelletaan myös tapauksissa, joissa vedotaan vuoden 2018 tietosuojalain 110 §:n mukaiseen kansallista turvallisuutta koskevaan poikkeukseen. Tietosuojalain 110 §:n mukaan 109 § ei nimittäin kuulu niihin säännöksiin, joiden soveltamisesta voidaan poiketa, jos tietyistä säännöksistä on tarpeen poiketa kansallisen turvallisuuden varmistamiseksi.

(197)

Vuonna 2016 tutkintavaltuuksista annetun lain mukaan Secretary of State voi vaatia teleoperaattoreita säilyttämään viestintätiedot, jotta eri viranomaiset, mukaan lukien lainvalvonta- ja tiedusteluvirastot, voivat tutustua niihin kohdennetusti. Viestintätietojen säilyttämisestä säädetään lain 4 osassa ja viestintätietojen kohdennetusta hankkimisesta 3 osassa. Lain 3 ja 4 osassa asetetaan myös rajoituksia näiden valtuuksien käytölle ja säädetään erityisistä suojatoimista.

(198)

”Viestintätiedoilla” tarkoitetaan sitä, ”kuka, milloin, missä ja miten” toteuttaa viestintää, mutta ei viestinnän sisältöä eli sitä, mitä sanottiin tai kirjoitettiin. Viestintätietojen hankkiminen ja säilyttäminen ei siis ole sama asia kuin kuuntelu, sillä tarkoituksena ei ole selvittää viestinnän sisältöä vaan ainoastaan hankkia tiedot esimerkiksi siitä, kuka on puhelinliittymän tai eritellyn laskun tilaaja. Tämä voi koskea esimerkiksi viestinnän ajankohtaa ja kestoa, kummankin osapuolen puhelinnumeroa tai sähköpostiosoitetta ja joskus niiden laitteiden sijaintia, joiden avulla viestintä on tapahtunut. (313)

(199)

On huomattava, että viestintätietojen säilyttäminen ja hankkiminen ei yleensä koske EU:n rekisteröityjen henkilötietoja, joita siirretään Yhdistyneeseen kuningaskuntaan tämän päätöksen nojalla. Vuonna 2016 tutkintavaltuuksista annetun lain 3 ja 4 osassa säädetty velvollisuus säilyttää tai luovuttaa viestintätietoja koskee tietoja, jotka teleoperaattorit ovat keränneet Yhdistyneessä kuningaskunnassa suoraan jonkin televiestintäpalvelun käyttäjiltä. (314) Tällainen ”asiakaskohtainen” käsittely ei yleensä kata tämän päätöksen nojalla tehtäviä tiedonsiirtoja, eli tietojen siirtämistä EU:n rekisterinpitäjältä/henkilötietojen käsittelijältä Yhdistyneen kuningaskunnan rekisterinpitäjälle/henkilötietojen käsittelijälle.

(200)

Kattavuuden vuoksi nämä tietojen hankkimista ja säilyttämistä koskevat säännöt kuvataan kuitenkin jäljempänä.

(201)

Todettakoon, että viestintätietojen säilyttämistä ja kohdennettua hankintaa voivat lähtökohtaisesti suorittaa sekä kansalliset turvallisuusvirastot että tietyt lainvalvontaviranomaiset. (315) Edellytykset näiden toimenpiteiden myöntämiselle voivat vaihdella sen mukaan, pyydetäänkö niitä kansalliseen turvallisuuteen vai lainvalvontatarkoitukseen liittyvän syyn perusteella.

(202)

Vaikka uudessa järjestelmässä on otettu käyttöön yleinen vaatimus riippumattoman elimen myöntämästä ennakkoluvasta, joka vaaditaan aina kun pyydetään viestintätietoja säilyttämistä ja/tai hankkimista (joko lainvalvontatarkoituksia tai kansalliseen turvallisuuteen liittyvää tarkoitusta varten), Euroopan unionin tuomioistuimen asiassa Tele2/Watson antaman tuomion (316) seurauksena käyttöön on otettu erityiset suojatoimet, joita sovelletaan silloin kun toimenpidettä pyydetään lainvalvontatarkoituksia varten. Erityisesti silloin kun toimenpidettä pyydetään lainvalvontatarkoituksia varten, siihen on aina saatava tutkintavaltuuksia käsittelevän valtuutetun ennakkolupa. Näin ei kuitenkaan ole aina silloin kun toimenpidettä pyydetään kansalliseen turvallisuuteen liittyvää tarkoitusta varten, vaan kuten jäljempänä kuvataan, tietyissä tapauksissa luvan tällaiseen toimenpiteeseen voi antaa muu ”luvan myöntämisestä päättävä henkilö”. Lisäksi uudessa järjestelmässä asetetaan viestintätietojen säilyttämisen ja hankinnan edellytykseksi, että kyseessä on ”vakava rikos”. (317)

(203)

Vuonna 2016 tutkintavaltuuksista annetun lain 3 osan mukaan asianomaisilla viranomaisilla on valtuudet hankkia viestintätietoja teleoperaattorilta tai muulta henkilöltä, joka pystyy hankkimaan ja luovuttamaan tällaisia tietoja. Lupa ei välttämättä kata viestinnän sisältöä (318), ja se on voimassa kuukauden ajan (319), mutta se voidaan uusia, mikä edellyttää uutta ennakkolupaa. (320) Viestintätietojen hankkimiseen on saatava lupa tutkintavaltuuksien valvojalta (Investigatory Powers Commissioner (321); hänen asemastaan ja valtuuksistaan ks. johdanto-osan 250 ja 251 kappale). Tämä pätee aina kun viestintätietojen hankkimista pyytää asianomainen lainvalvontaviranomainen. Vuonna 2016 tutkintavaltuuksista annetun lain 61 §:ssä kuitenkin säädetään, että kun tiedot on hankittava kansalliseen turvallisuuteen liittyvien etujen tai Yhdistyneen kuningaskunnan taloudellisen hyvinvoinnin turvaamiseksi, jos sillä on merkitystä myös kansallisellen turvallisuudelle, tai jos hakemuksen on tehnyt tiedustelupalvelu lain 61 §:n 7 momentin b alakohdan nojalla (322), luvan tietojen hankintaan (323) voi antaa joko tutkintavaltuuksien valvoja tai nimetty johtava virkamies (324). Nimetyn virkamiehen on oltava riippumaton asianomaisesta tutkinnasta tai operaatiosta ja hänellä on oltava käytännön tiedot ihmisoikeusperiaatteista ja -lainsäädännöstä, erityisesti tarpeellisuudesta ja oikeasuhteisuudesta. (325) Jos päätöksen tekee nimetty virkamies, tutkintavaltuuksien valvoja tarkastaa sen jälkikäteen (lisätietoja jälkikäteistarkastukseen liittyvistä tutkintavaltuuksien valvojan tehtävistä on johdanto-osan 254 kappaleessa).

(204)

Lupa hankkia viestintätietoja perustuu toimenpiteen tarpeellisuuden ja oikeasuhteisuuden arviointiin. Toimenpiteen tarpeellisuutta arvioidaan lainsäädännössä lueteltujen perusteiden valossa. (326) Koska kyseessä on kohdennettu toimenpide, sen on oltava tarpeen myös asianomaista tutkimusta tai operaatiota varten. (327) Muita toimenpiteen tarpeellisuuden arviointia koskevia vaatimuksia esitetään viestintätietoja koskevissa käytännesäännöissä. (328) Käytännesäännöissä säädetään erityisesti, että pyynnön esittävän viranomaisen toimittamassa hakemuksessa on yksilöitävä kolme vähimmäistekijää, joiden nojalla pyynnön tarpeellisuutta perustellaan: i) tutkittavana oleva tapahtuma, esimerkiksi rikos tai haavoittuvassa asemassa olevan kadonneen henkilön paikallistaminen; ii) henkilö, jonka tietoja pyydetään, esimerkiksi epäilty, todistaja tai kadonnut henkilö, ja se, miten he liittyvät tapahtumaan; ja iii) pyydetyt viestintätiedot, esimerkiksi puhelinnumero tai IP-osoite, ja miten tämä tieto liittyy asianomaiseen henkilöön ja tapahtumaan. (329)

(205)

Lisäksi viestintätietojen hankkimisen on oltava oikeassa suhteessa tavoiteltuun tulokseen nähden. (330) Viestintätietoja koskevissa käytännesäännöissä selvennetään, että luvan myöntämisestä päättävän henkilön olisi arviointia tehdessään otettava huomioon yhtäältä se, missä määrin toimenpiteellä puututaan yksilön oikeuksiin ja vapauksiin, ja toisaalta se, missä määrin näin voidaan edistää tietyn viranomaisen yleisen edun vuoksi toteuttamaa tutkintaa tai operaatiota. Kun huomioon otetaan kaikki yksittäiseen tapaukseen liittyvät seikat, yksilön oikeuksiin puuttuminen ei käytännesääntöjen mukaan ole välttämättä oikeutettua, jos toisen yksilön tai ryhmän oikeuksille aiheutuvat haittavaikutukset ovat liian vakavat. Käytännesäännöissä luetellaan lisäksi useita tekijöitä, jotka pyynnön esittävän viranomaisen olisi sisällytettävä hakemukseensa toimenpiteen oikeasuhteisuuden arviointia varten. (331) Lisäksi erityistä huomiota olisi kiinnitettävä siihen, minkätyyppisiä viestintätietoja on tarkoitus hankkia (”yksikköä” vai ”tapahtumaa” koskevia tietoja (332)). Ensisijaisesti on pyrittävä hankkimaan tietoja, jotka merkitsevät vähäisempää puuttumista yksityisyyteen. (333) Viestintätietoja koskevat käytännesäännöt sisältävät myös erityisiä ohjeita valtuutuksista, jotka koskevat tiettyjä ammatteja harjoittavien henkilöiden (kuten lääkäreiden, lakimiesten, toimittajien, parlamentin jäsenten tai pappien) (334) viestintätietoja, sillä niihin sovelletaan erityisiä suojatoimia. (335)

(206)

Vuonna 2016 tutkintavaltuuksista annetun lain 4 osassa vahvistetaan viestintätietojen säilyttämistä koskevat säännöt ja erityisesti kriteerit, joiden nojalla Secretary of State voi antaa säilyttämismääräyksen (retention notice). (336) Tutkintavaltuuksista annetulla lailla käyttöön otettuja suojatoimia sovelletaan riippumatta siitä, säilytetäänkö tietoja säilytetään lainvalvontatarkoituksessa vai kansallisen turvallisuuden vuoksi.

(207)

Säilyttämismääräyksen tarkoituksena on varmistaa, että teleoperaattorit säilyttävät enintään 12 kuukauden ajan asiaankuuluvat viestintätiedot, jotka muutoin poistettaisiin sen jälkeen kun niitä ei enää tarvita liiketoiminnassa. (337) Säilytettävien tietojen on oltava saatavilla vaaditun ajan, jos viranomaisten on myöhemmin tarpeen hankkia ne vuonna 2016 tutkintavaltuuksista annetun lain 3 osan perusteella annetun kohdennetun luvan nojalla; lisätietoja ao. luvasta johdanto-osan 203–205 kappaleessa.

(208)

Toimivaltaa, jonka nojalla on mahdollista pyytää määrättyjen tietojen säilyttämistä, säännellään erilaisin rajoituksin ja suojatoimin. Secretary of State voi antaa säilyttämismääräyksen yhdelle tai usealle operaattorille (338) vain jos hän katsoo, että vaatimus tietojen säilyttämisestä on tarpeen jonkin lakisääteisen tarkoituksen (339) vuoksi ja että se on oikeassa suhteessa tavoiteltuun tulokseen nähden. (340) Tätä varten Secretary of Staten on ennen säilyttämismääräyksen antamista otettava vuonna 2016 tutkintavaltuuksista annetun lain mukaisesti (341) huomioon seuraavat: määräyksen todennäköiset hyödyt; (342) asianomaisten televiestintäpalvelujen kuvaus; onko säilytettävät tiedot rajattu asianmukaisesti viittaamalla niiden sijaintiin tai kuvailemalla henkilöt, joille telepalveluja tarjotaan; (343) niiden käyttäjien todennäköinen määrä (jos tiedossa), joille määräyksen soveltamisalaan kuuluvia televiestintäpalveluja tarjotaan; (344) määräyksen tekninen toteutettavuus; määräyksen noudattamisesta aiheutuvat todennäköiset kustannukset ja mahdolliset muut vaikutukset sen kohteena olevalle teleoperaattorille (tai operaattorien kuvaus). (345) Kuten viestintätietoja koskevien käytännesääntöjen 17 luvussa täsmennetään, kaikissa säilytysmääräyksissä on täsmennettävä säilytettävät tietotyypit ja se, miten kyseinen tietotyyppi vastaa säilyttämiselle asetettuja ehtoja.

(209)

Kaikissa tapauksissa (sekä kansalliseen turvallisuuteen että lainvalvontatarkoituksiin liittyvien perustelujen yhteydessä) Secretary of Staten päätökseen myöntää tietojen säilyttämistä koskeva määräys on saatava myös oikeusvaltuutetun hyväksyntä (double-lock procedure). Oikeusvaltuutetun on erityisesti tarkistettava, onko määräys tarpeen ja oikeassa suhteessa yhteen tai useampaan lakisääteiseen tarkoitukseen nähden. (346)

(210)

Laitetutkinnalla tarkoitetaan tekniikoita, joiden avulla laitteista (347), kuten tietokoneista, tableteista ja älypuhelimista sekä kaapeleista, johdoista ja tallennuslaitteista, voidaan saada erilaisia tietoja. (348) Laitetutkinnan avulla voidaan hankkia sekä viestinnän sisältöä koskevia tietoja että laitetietoja. (349)

(211)

Tiedustelupalvelu tarvitsee laitetutkintaan vuonna 2016 tutkintavaltuuksista annetun lain 13 §:n 1 momentin nojalla luvan, joka annetaan määräyksellä (warrant) kyseiseen lakiin perustuvan ns. kaksoishyväksyntämenettelyn mukaisesti edellyttäen, että asialla on ”Brittein saariin liittyvä yhteys”. (350) Yhdistyneen kuningaskunnan viranomaisten antamien selvitysten mukaan tilanteissa, joissa tietoja siirretään Euroopan unionista Yhdistyneeseen kuningaskuntaan tämän päätöksen soveltamisalalla, olisi aina olemassa ”Brittein saariin liittyvä yhteys”. Tällaisia tietoja koskevaan laitetutkintaan sovellettaisiin näin ollen aina vuonna 2016 tutkintavaltuuksista annetun lain 13 §:n 1 momentissa säädettyä määräyksen antamista koskevaa vaatimusta. (351)

(212)

Kohdennettua laitetutkintaa koskevat säännöt esitetään vuonna 2016 tutkintavaltuuksista annetun lain 5 osassa. Samoin kuin kohdennetun telekuuntelun, myös kohdennetun laitetutkinnan tulee liittyä tiettyyn ”kohteeseen”, joka on esitettävä määräyksessä. (352) Se, miten tämä ”kohde” on yksilöitävä, riippuu asiasta ja tutkittavan laitteen tyypistä. Tutkintavaltuuksista annetun lain 115 §:n 3 momentissa säädetään erityisesti siitä, mitä seikkoja määräyksessä olisi mainittava (mm. asianomaisen henkilön tai organisaation nimi ja paikan kuvaus). Tämä määräytyy muun muassa sen mukaan, koskeeko tutkinta laitetta, joka kuuluu tietylle henkilölle, organisaatiolle tai henkilöryhmälle tai onko se näiden hallussa tai sijaitseeko se tietyssä paikassa (353). Se, mitä tarkoitusta varten kohdennettu laitetutkintamääräys voidaan antaa, riippuu hakemuksen tekevästä viranomaisesta (354).

(213)

Samoin kuin kohdennetun telekuuntelun yhteydessä, määräyksen antavan viranomaisen on harkittava, onko toimenpide tarpeen tietyn tarkoituksen saavuttamiseksi ja onko se oikeassa suhteessa tavoiteltuun tulokseen nähden. (355) Lisäksi viranomaisen olisi otettava huomioon, onko olemassa suojatoimia, jotka liittyvät tietojen turvallisuuteen, säilyttämiseen ja luovuttamiseen sekä tietojen siirtämiseen ulkomaille (”overseas disclosure”) (356) (ks. johdanto-osan 196 kappale).

(214)

Määräykselle on saatava riippumattoman oikeusvaltuutetun hyväksyntä, kiireellisiä tapauksia lukuun ottamatta. (357) Kiireellisissä tapauksissa oikeusvaltuutetulle on ilmoitettava määräyksen antamisesta, ja hänen on hyväksyttävä se kolmen työpäivän kuluessa. Jos oikeusvaltuutettu ei hyväksy määräystä, sen vaikutukset lakkaavat eikä sitä voida uusia. (358) Lisäksi oikeusvaltuutettu voi määrätä kaikki määräyksen nojalla hankitut tiedot tuhottavaksi. (359) Se, että määräys on myönnetty kiireellisesti, ei vaikuta jälkikäteisvalvontaan (ks. johdanto-osan 244–255 kappale) eikä yksilöiden oikeussuojakeinoihin (ks. johdanto-osan 260–270 kappale). Yksilöt voivat tehdä kantelun tietosuojavaltuutetulle tai valittaa väitetystä toiminnasta tutkintavaltuuksia käsittelevälle tuomioistuimelle tavalliseen tapaan. Oikeusvaltuutetun on kaikissa tapauksissa määräyksen hyväksymistä harkitessaan otettava huomioon hakemuksen tarpeellisuus ja oikeasuhteisuus samalla tavoin kuin kohdennettua telekuuntelua koskevien hakemusten yhteydessä (360) (ks. johdanto-osan 192 kappale).

(215)

Mainittakoon lopuksi, että laitetutkintaan sovelletaan samoja erityisiä suojatoimia kuin kohdennettuun telekuunteluun. Ne koskevat määräyksen voimassaoloaikaa, uusimista ja muuttamista sekä tilanteita, joissa kohde on parlamentin jäsen tai asianajosalaisuuden piiriin kuuluva seikka tai journalistinen aineisto (ks. lisätietoja johdanto-osan 193 kappaleessa).

(216)

Laajamittaisia valtuuksia säännellään vuonna 2016 tutkintavaltuuksista annetun lain 6 osassa. Lisäksi on annettu käytännesäännöt näiden valtuuksien käytöstä. Yhdistyneen kuningaskunnan lainsäädännössä ei määritellä ’laajamittaisia tutkintavaltuuksia’ (bulk power), mutta vuonna 2016 tutkintavaltuuksista annetun lain perusteella kyse on sellaisten suurten tietomäärien keräämisestä ja säilyttämisestä, joita hallitus hankkii eri tavoin (esim. laajamittaista telekuuntelua koskevat valtuudet, laajamittainen tietojenhankinta ja laajamittainen laitetutkinta sekä laajat henkilötietoaineistot) ja joita viranomaiset voivat myöhemmin käyttää. Tätä kuvausta voidaan selventää tarkentamalla, että laajamittaiset tutkintavaltuudet eivät ole sama asia kuin nk. joukkovalvonta ilman rajoituksia tai suojatoimia. Päinvastoin, kuten jäljempänä selitetään, laajamittaisten tutkintavaltuuksien käyttöön liittyy rajoituksia ja suojatoimia, joilla varmistetaan, että pääsyä tietoihin ei myönnetä umpimähkään eikä aiheettomasti. (361) Laajamittaisia tutkintavaltuuksia voidaan erityisesti käyttää vain jos kansallisen tiedusteluviraston suunnitteleman teknisen toimenpiteen ja sille asetetun tavoitteen välillä voidaan todeta yhteys.

(217)

Lisäksi laajamittaiset toimivaltuudet ovat vain tiedustelupalvelujen käytettävissä, ja niiden käyttö edellyttää aina Secretary of Staten antamaa ja oikeusvaltuutetun hyväksymää määräystä (warrant). Tiedustelutietojen keräämiseen käytettäviä keinoja valittaessa on pohdittava, voitaisiinko tavoiteltu tulos saavuttaa myös vähemmän yksityisyyteen puuttuvilla keinoilla. (362) Tämän lähestymistavan taustalla oleva lainsäädäntökehys perustuu oikeasuhteisuusperiaatteeseen, minkä vuoksi siinä suositaan laajamittaisen keruun sijasta kohdennettua tietojenkeruuta.

(218)

Laajamittaista telekuuntelua koskevat säännöt sisältyvät vuonna 2016 tutkintavaltuuksista annetun lain 6 osan 1 lukuun, ja laajamittaisesta laitetutkinnasta säädetään saman osan 3 luvussa. Nämä säännöt ovat olennaisilta osin samat, joten näihin määräyksiin sovellettavia edellytyksiä ja täydentäviä suojatoimia analysoidaan yhdessä.

(219)

Laajamittaista telekuuntelua koskeva määräys voidaan antaa vain kun kyseessä on telekuuntelu sellaisen viestinnän aikana, jossa lähettäjä tai vastaanottaja on Brittein saarten ulkopuolella (363) eli kun telekuuntelu liittyy nk. ulkomaihin liittyvään viestintään (overseas-related communications) (364). Lupa kattaa myös muut merkitykselliset tiedot ja hankitun aineiston myöhemmän valikoinnin tutkimista varten. (365) Laajamittaista laitetutkintaa koskevalla määräyksellä (366) annetaan hakijalle lupa hankkia pääsy mihin tahansa laitteeseen, kun tarkoituksena on hankkia ulkomaihin liittyvää viestintätietoa (mukaan lukien puhe, musiikki, äänet, kuvat ja kaikenlainen muu data), sekä pääsy laitetietoihin (tiedot, jotka mahdollistavat postipalvelun toiminnan ja helpottavat sitä; televiestintäjärjestelmä tai televiestintäpalvelu) tai mihin tahansa muihin tietoihin. (367)

(220)

Secretary of State voi antaa telekuuntelua tai laitetutkintaa koskevan laajamittaisen määräyksen vain tiedustelupalvelun johtajan hakemuksen perusteella. (368) Lupa laajamittaiseen telekuunteluun tai laajamittaiseen laitetutkintaan voidaan myöntää vain jos se on tarpeen kansallisen turvallisuuden vuoksi, vakavan rikoksen paljastamiseksi tai taloudellisen hyvinvoinnin turvaamiseksi Yhdistyneessä kuningaskunnassa, jos sillä on merkitystä myös kansalliselle turvallisuudelle. (369) Vuonna 2016 tutkintavaltuuksista annetun lain 142 §:n 7 momentissa edellytetään lisäksi, että laajamittaista telekuuntelua koskevassa määräyksessä on esitettävä yksityiskohtaisemmat perusteet kuin pelkkä viittaus ”kansalliseen turvallisuuteen” tai taloudellisen hyvinvoinnin turvaamiseen Yhdistyneessä kuningaskunnassa” tai ”vakavan rikollisuuden ehkäisemiseen ja paljastamiseen”. Määräyksessä on esitettävä yhteys haetun toimenpiteen ja yhden tai useamman määräyksessä mainitun operatiivisen tarkoituksen välillä.

(221)

Operatiivisen tarkoituksen valinta perustuu monikerroksiseen prosessiin. Lain 142 §:n 4 momentissa säädetään, että määräyksessä mainittujen operatiivisten tarkoitusten tulee sisältyä tiedustelupalvelujen johtajien ylläpitämään hyväksyttävien operatiivisten tarkoitusten luetteloon perusteina, joiden nojalla laajamittaista telekuuntelua koskevan määräyksen nojalla hankittua sisältöä tai toissijaista dataa voidaan valikoida tutkittavaksi. Secretary of Staten on hyväksyttävä operatiivisia tarkoituksia koskeva luettelo. Secretary of State voi antaa hyväksyntänsä vain jos hän on vakuuttunut siitä, että operatiivinen tarkoitus on määritelty yksityiskohtaisemmin kuin määräyksen yleiset hyväksymisperusteet (kansallinen turvallisuus tai siihen liittyvän taloudellisen hyvinvoinnin turvaaminen tai vakavan rikollisuuden ehkäiseminen). (370) Secretary of Staten on toimitettava kolmen kuukauden määräajoin jäljennös operatiivisten tarkoitusten luettelosta parlamentin tiedustelu- ja turvallisuusvaliokunnalle (Intelligence and Security Committee). Lopuksi pääministerin on tarkistettava luettelo vähintään kerran vuodessa. (371) High Court -tuomioistuin on huomauttanut, että näitä suojatoimia ei pidä vähätellä, sillä yhdessä ne muodostavat hienojakoisen vastuuverkoston, jossa ovat osallisina sekä parlamentti että hallituksen jäsenet korkeimmalla tasolla. (372)

(222)

Operatiivisten tarkoitusten nojalla rajoitetaan myös hankitun aineiston valikointia tutkintavaiheessa. Laajamittaisen määräyksen nojalla hankitun aineiston valikointi tutkintaa varten on voitava perustella operatiivisten tarkoitusten avulla. Yhdistyneen kuningaskunnan viranomaisten mukaan tämä tarkoittaa, että Secretary of Staten on arvioitava tutkintaan liittyviä käytännön järjestelyjä jo määräyksen antamisvaiheessa. Järjestelyt on esitettävä hänelle riittävän yksityiskohtaisesti, jotta vuonna 2016 tutkintavaltuuksista annetun lain 152 ja 193 §:ssä esitetyt lakisääteiset vaatimukset täyttyvät. (373) Tätä varten on annettava tiedot esimerkiksi siitä, miten suodatusjärjestelyt mahdollisesti vaihtelevat määräyksen voimassaolon aikana. (374) Lisätietoja suodatus- ja tutkintavaiheisiin sovellettavista menettelyistä ja suojatoimista on johdanto-osan 229 kappaleessa.

(223)

Laajamittaiset tutkintavaltuudet voidaan hyväksyä vain, jos ne ovat oikeassa suhteessa tavoiteltuun tulokseen nähden. (375) Kuten telekuuntelua koskevissa käytännesäännöissä todetaan, oikeasuhteisuuden arvioinnissa on punnittava yksityisyyteen puuttumisen vakavuutta (ja muita 2 §:n 2 momentissa mainittuja näkökohtia) suhteessa toiminnan tarpeellisuuteen tutkinnan, operatiivisen toiminnan tai valmiuksien kannalta. Tutkintavaltuuksien käytön olisi tarjottava realistinen mahdollisuus tavoitellun tuloksen saavuttamiseen eikä sen pitäisi olla suhteetonta tai mielivaltaista. (376) Kuten edellä on todettu, tämä tarkoittaa käytännössä sitä, että oikeasuhteisuuden arvioinnissa on punnittava tavoiteltua tulosta (”operatiivinen tarkoitus”) ja käytettävissä olevia teknisiä vaihtoehtoja (esim. kohdennettu vai laajamittainen kuuntelu, laitetutkinta, viestintätietojen hankinta) ja asetettava etusijalle vähiten yksityisyyteen puuttuvat keinot (ks. johdanto-osan 181 ja 182) kappale. Silloin kun tulos voitaisiin saavuttaa useamman eri vaihtoehdon avulla, niistä on valittava se, joka vaikuttaa yksityisyyteen vähiten.

(224)

Toinen pyydetyn toimenpiteen oikeasuhteisuuden arviointia koskeva suojatoimi on se, että Secretary of Staten on saatava tarvittavat tiedot voidakseen suorittaa arviointinsa asianmukaisesti. Käytännössä telekuuntelua ja laitetutkintaa koskevissa käytännesäännöissä edellytetään, että toimivaltaisen viranomaisen on esitettävä hakemuksessa sen tausta ja kuvaus viestinnästä, jonka sieppaamiseen lupaa haetaan, teleoperaattoreista, joiden on määrä avustaa siinä, ja toimista, joihin lupaa haetaan, sekä selitettävä toiminnan operatiiviset tarkoitukset ja se, miksi se on tarpeen ja oikeasuhteista. (377)

(225)

Lopuksi on tärkeää huomata, että määräyksen antamista koskevalle Secretary of Staten päätökselle on saatava hyväksyntä myös riippumattomalta oikeusvaltuutetulta, joka tarkastelee ehdotetun toimenpiteen tarpeellisuuden ja oikeasuhteisuuden arviointia soveltaen samoja periaatteita kuin tuomioistuin soveltaa oikeudellisessa uudelleentarkastelussa. (378) Oikeusvaltuutettu tarkistaa Secretary of Staten päätelmät siitä, onko määräys tarpeen ja onko toiminta oikeasuhteista vuonna 2016 tutkintavaltuuksista annetun lain 2 §:n 2 momentissa vahvistettujen periaatteiden nojalla (yksityisyydensuojaa koskevat yleiset velvoitteet). Oikeusvaltuutettu tarkistaa Secretary of Staten päätelmät myös sen suhteen, ovatko kaikki määräyksessä eritellyt operatiiviset tarkoitukset sellaisia, joiden osalta valinta on tai voi olla tarpeen. Jos oikeusvaltuutettu ei hyväksy päätöstä määräyksen antamisesta, Secretary of State voi joko i) hyväksyä oikeusvaltuutetun päätöksen ja olla antamatta määräystä; tai ii) viedä asian tutkintavaltuuksien valvojan ratkaistavaksi (paitsi jos tutkintavaltuuksien valvoja on tehnyt alkuperäisen päätöksen). (379)

(226)

Vuonna 2016 tutkintavaltuuksista annetulla lailla on otettu käyttöön lisärajoituksia, jotka koskevat laajamittaisen määräyksen voimassaoloaikaa, uusimista ja muuttamista. Määräys saa olla voimassa enintään kuusi kuukautta, ja sen uusimista tai muuttamista (vähäisiä muutoksia lukuun ottamatta) koskevalle päätökselle on niin ikään saatava oikeusvaltuutetun hyväksyntä. (380) Telekuuntelua ja laitetutkintaa koskevissa käytännesäännöissä täsmennetään, että määräyksen operatiivisten tarkoitusten muutos katsotaan merkittäväksi muutokseksi. (381)

(227)

Samoin kuin kohdennetun telekuuntelun osalta, vuonna 2016 tutkintavaltuuksista annetun lain 6 osassa säädetään, että Secretary of Staten on varmistettava, että käytössä on asianmukaiset järjestelyt, joilla varmistetaan määräyksen nojalla hankitun aineiston säilyttämistä ja luovuttamista koskevat suojatoimet (382) sekä ulkomaille luovuttamista koskevat suojatoimet (383). Erityisesti lain 150 §:n 5 momentissa ja 191 §:n 5 momentissa säädetään, että kaikki tällaisen määräyksen nojalla kerätystä aineistosta tehdyt kopiot on säilytettävä turvallisesti ja hävitettävä heti kun niiden säilyttämiseen ei ole enää perusteltua syytä. Lain 150 §:n 2 momentissa ja 191 §:n 2 momentissa taas säädetään, että niiden henkilöiden määrä, joille aineisto luovutetaan, ja se, missä määrin aineistoa luovutetaan tai annetaan tutustuttavaksi tai kopioidaan, on rajoitettava siihen, mikä on lakisääteisen tavoitteen toteuttamista varten välttämätöntä. (384)

(228)

Lisäksi laissa säädetään, että kun telekuuntelua tai laitetutkintaa koskevalla laajamittaisella määräyksellä haltuun otettu aineisto luovutetaan kolmanteen maahan (”overseas disclosure”), Secretary of Staten on varmistettava, että käytössä on asianmukaiset järjestelyt sen varmistamiseksi, että kyseisessä kolmannessa maassa on käytössä vastaavat turvallisuutta, säilyttämistä ja luovuttamista koskevat suojatoimet. (385) Lisäksi vuoden 2018 tietosuojalain 109 §:ssä vahvistetaan erityisvaatimukset, jotka koskevat tiedustelupalvelujen toteuttamia henkilötietojen kansainvälisiä siirtoja kolmansiin maihin tai kansainvälisille järjestöille. Kyseisen säännöksen mukaan henkilötietoja ei saa siirtää mihinkään maahan tai millekään alueelle Yhdistyneen kuningaskunnan ulkopuolelle tai kansainväliselle järjestölle, ellei siirto ole tarpeen ja oikeasuhteinen rekisterinpitäjän lakisääteisten tehtävien hoitamiseksi tai muita vuoden 1989 turvallisuuspalvelulain 2 §:n 2 momentin alakohdassa ja vuoden 1994 tiedustelupalvelulain 2 §:n 2 momentin a alakohdassa ja 4 §:n 2 momentin a alakohdassa säädettyjä tarkoituksia varten. (386) On syytä huomata, että näitä vaatimuksia sovelletaan myös tapauksissa, joissa vedotaan vuoden 2018 tietosuojalain 110 §:n mukaiseen kansallista turvallisuutta koskevaan poikkeukseen. Tietosuojalain 110 §:n mukaan 109 § ei nimittäin kuulu niihin säännöksiin, joiden soveltamisesta voidaan poiketa, jos tietyistä säännöksistä on tarpeen poiketa kansallisen turvallisuuden varmistamiseksi.

(229)

Kun määräys on hyväksytty ja laajamittainen data kerätty, siitä valikoidaan tutkittava aineisto. Valinta- ja tutkintavaiheessa sovelletaan jälleen oikeasuhteisuusvaatimusta siten, että analyytikko määrittelee tutkittavaa aineistoa koskevat valintakriteerit määräyksessä mainittujen operatiivisten tarkoitusten (ja mahdollisten suodatusjärjestelyjen) perusteella. Kuten vuonna 2016 tutkintavaltuuksista annetun lain 152 ja 193 §:ssä säädetään, Secretary of Staten on määräystä antaessaan varmistettava, että käytössä on järjestelyt sen varmistamiseksi, että tutkittava aineisto valitaan ainoastaan määräyksessä eriteltyjä operatiivisia tarkoituksia varten ja että valinta on kaikissa olosuhteissa tarpeellinen ja oikeasuhteinen. Yhdistyneen kuningaskunnan viranomaiset ovat tältä osin selventäneet, että laajamittaisen määräyksen nojalla hankitusta aineistosta poistetaan ensin automaattisen suodatuksen avulla tiedot, joilla ei todennäköisesti ole merkitystä kansalliselle turvallisuudelle. Suodattimia muunnetaan aika ajoin (internetliikenteen mallien, tyyppien ja yhteyskäytäntöjen muuttuessa) ja myös käytetyn teknologian ja operatiivisen kontekstin mukaan. Tämän jälkeen datasta valitaan tutkittava aineisto vain jos se on merkityksellinen määräyksessä mainittujen operatiivisten tarkoitusten kannalta. (387) Vuonna 2016 tutkintavaltuuksista annetussa laissa säädettyjä, kerätyn aineiston tutkimista koskevia suojatoimia sovelletaan kaikentyyppisiin tietoihin (sekä siepattuun sisältöön että toissijaiseen dataan). (388) Vuonna 2016 tutkintavaltuuksista annetun lain 152 ja 193 §:ssä säädetään myös yleisestä kiellosta, jonka mukaan tutkintaan ei saa valita aineistoa, jonka lähettäjä tai vastaanottaja on Brittein saarilla. Jos viranomaiset haluavat tutkia tällaista aineistoa, niiden on haettava vuonna 2016 tutkintavaltuuksista annetun lain 2 ja 4 osan nojalla kohdennettua tutkintamääräystä, jonka Secretary of State antaa ja jolle on saatava oikeusvaltuutetun hyväksyntä. (389) Jos tutkintaan valitaan tietoisesti aineistoa lainsäädännössä asetettujen vaatimusten vastaisesti (390), kyseessä on rikos. (391)

(230)

Analyytikon laatimalle aineiston valikointia koskevalle arvioinnille tehdään jälkiarviointi, jossa tutkintavaltuuksien valvoja tarkistaa, että tutkintavaiheessa on noudatettu vuonna 2016 tutkintavaltuuksista annetussa laissa säädettyjä erityisiä suojatoimia (392) (ks. myös johdanto-osan 229 kappale). Tutkintavaltuuksien valvoja seuraa jatkuvasti (mm. auditointien, tarkastusten ja tutkimusten avulla) sitä, miten viranomaiset käyttävät vuonna 2016 tutkintavaltuuksista annetussa laissa mainittuja tutkintavaltuuksia (393). Telekuuntelua ja laitetutkintaa koskevissa käytännesäännöissä täsmennetään tältä osin, että viraston on pidettävä valtuuksien käytöstä kirjaa myöhempiä tarkastuksia ja auditointeja varten. Kirjanpidossa on selostettava sovellettavat operatiiviset tarkoitukset ja se, miksi valtuutettujen henkilöiden on tarpeen ja oikeasuhteista voida tutustua aineistoon (394). Esimerkiksi tutkintavaltuuksien valvojan toimiston (Investigatory Powers Commissioner Office, IPCO) vuosikertomuksessa 2018 (395) todetaan, että analyytikoiden perustelut tietyn laajassa mittakaavassa kerätyn aineiston tutkimiseksi täyttivät oikeasuhteisuutta koskevat vaatimukset, koska niissä esitettiin riittävän yksityiskohtaisesti hauissa käytetyt perustelut suhteessa tavoiteltuun tulokseen (396). Tutkintavaltuuksien valvojan toimisto ilmoitti vuotta 2019 koskevassa vuosikertomuksessaan laajamittaisten tutkintavaltuuksien osalta selkeästi aikovansa jatkaa laajamittaisen telekuuntelun tarkastuksia, joihin sisältyy valinta- ja hakukriteerien yksityiskohtainen tarkastelu (397). Lisäksi on tarkoitus tutkia huolellisesti ja tapauskohtaisesti valvontatoimien valintaa (kohdennettu/laajamittainen) sekä määräyksiä koskevien hakemusten kaksoishyväksyntämenettelyn että niiden tarkastamisen yhteydessä (398). Tämä täydentävä seuranta otetaan asianmukaisesti huomioon, kun komissio seuraa tilannetta tämän päätöksen antamisen jälkeen, ks. johdanto-osan 281–284 kappale.

(231)

Vuonna 2016 tutkintavaltuuksista annetun lain 6 osan 2 luvussa säädetään viestintätietojen laajamittaista hankintaa koskevista määräyksistä, joiden nojalla teleoperaattoria voidaan vaatia luovuttamaan tai hankkimaan mitä tahansa hallussaan olevia viestintätietoja. Näiden määräysten nojalla viranomaiset voivat myös valikoida dataa myöhemmin tutkittavaksi. Samoin kuin viestintätietojen kohdennettu säilyttäminen ja hankinta (ks. johdanto-osan 199 kappale), myöskään viestintätietojen laajamittainen hankinta ei yleensä koske EU:n rekisteröityjen henkilötietoja, joita siirretään Yhdistyneeseen kuningaskuntaan tämän päätöksen nojalla. Vuonna 2016 tutkintavaltuuksista annetun lain 6 osan 2 luvussa säädetty velvollisuus luovuttaa viestintätietoja koskee tietoja, jotka teleoperaattorit ovat keränneet Yhdistyneessä kuningaskunnassa suoraan jonkin televiestintäpalvelun käyttäjiltä. (399) Tällainen ”asiakaskohtainen” käsittely ei yleensä kata tämän päätöksen nojalla tehtäviä tiedonsiirtoja, eli tietojen siirtämistä EU:n rekisterinpitäjältä/henkilötietojen käsittelijältä Yhdistyneen kuningaskunnan rekisterinpitäjälle/henkilötietojen käsittelijälle.

(232)

Kattavuuden vuoksi viestintätietojen laajamittaista hankkimista ja säilyttämistä koskevat säännöt kuvataan kuitenkin jäljempänä.

(233)

Vuonna 2016 tutkintavaltuuksista annetulla lailla korvataan viestintätietojen laajamittaista hankintaa koskeva lainsäädäntö, josta Euroopan unionin tuomioistuin antoi tuomion asiassa Privacy International. Mainitussa asiassa tarkasteltu lainsäädäntö on kumottu, ja uudessa järjestelmässä vahvistetaan erityiset edellytykset ja suojatoimet, joiden nojalla tällainen toimenpide voidaan hyväksyä.

(234)

Poiketen aiemmasta järjestelmästä, jonka mukaan Secretary of Statella oli täysi harkintavalta hyväksyä kyseinen toimenpide (400), vuonna 2016 tutkintavaltuuksista annetussa laissa edellytetään, että Secretary of State antaa määräyksen vain jos se on tarpeellinen ja oikeasuhteinen. Tämä tarkoittaa käytännössä, että tietoihin pääsyn ja tavoitellun päämäärän välillä on oltava yhteys. (401) Tarkemmin sanottuna Secretary of Staten on arvioitava pyydetyn toimenpiteen ja jonkin määräyksessä mainitun ”operatiivisen tarkoituksen” (ks. johdanto-osan 219 kappale) välistä yhteyttä oikeasuhteisuuden kannalta. Asiaa koskevien käytännesääntöjen mukaan ”Secretary of Staten on arvioitava erityisesti, voitaisiinko pyydetyn määräyksen tavoiteltu tulos kohtuudella saavuttaa muilla, vähemmän yksityisyyteen puuttuvilla keinoilla (lain 2 §:n 2 kohdan a alakohta), eli voitaisiinko esimerkiksi tarvittavat tiedot hankkia vähemmän yksityisyyteen puuttuvien valtuuksien nojalla, kuten viestintätietojen kohdennetun hankinnan avulla”. (402)

(235)

Secretary of State laatii tämän arvioinnin niiden tietojen perusteella, jotka tiedustelupäälliköiden (403) on toimitettava hakemuksessaan. Näitä ovat muun muassa perustelut sille, miksi toimenpiteen katsotaan olevan tarpeellinen jonkin lakisääteisen syyn vuoksi ja miksi tavoiteltua tulosta ei voitaisi kohtuudella saavuttaa muilla, vähemmän yksityisyyteen puuttuvilla keinoilla. (404) Lisäksi operatiiviset tarkoitukset rajoittavat soveltamisalaa siltä osin, mitä määräyksen nojalla hankittuja tietoja voidaan valikoida tutkittavaksi. (405) Kuten asiaa koskevissa käytännesäännöissä täsmennetään, operatiivisissa tarkoituksissa on kuvailtava selkeä vaatimus ja niiden on oltava riittävän yksityiskohtaisia, jotta Secretary of State voi vakuuttua siitä, että hankittuja tietoja valikoidaan tutkittavaksi ainoastaan tiettyjä tarkoituksia varten. (406) Secretary of Staten on nimittäin ennen määräyksen antamista varmistuttava siitä, että käytössä on erityiset järjestelyt sen varmistamiseksi, että tutkittavaksi valikoidaan ainoastaan sellaista aineistoa, jonka tutkiminen katsotaan tarpeelliseksi jotakin lakisääteistä operatiivista tarkoitusta varten ja että valinta on kaikissa olosuhteissa tarpeellinen ja oikeasuhteinen. Tämä vuonna 2016 tutkintavaltuuksista annetun lain 158 ja 172 §:ssä säädetty vaatimus (407), jonka mukaan valintakriteerien tarpeellisuutta ja oikeasuhteisuutta on arvioitava etukäteen, on toinen kyseisellä lailla käyttöön otetuista tärkeistä uudistuksista aiempaan järjestelmään verrattuna.

(236)

Vuonna 2016 tutkintavaltuuksista annetulla lailla otettiin käyttöön myös velvoite, jonka mukaan Secretary of Staten on ennen laajamittaista viestintätietojen hankintaa koskevan määräyksen antamista varmistettava, että käytössä on erityiset, kerättyjen henkilötietojen turvallisuutta, säilyttämistä ja luovuttamista koskevat suojatoimet. (408) Kun tietoja on määrä luovuttaa ulkomaille, johdanto-osan 227 kappaleessa kuvailtuja, laajamittaista telekuuntelua ja laitetutkintaa koskevia suojatoimia sovelletaan myös tässä yhteydessä. (409) Lisäksi lainsäädännössä on asetettu lisärajoituksia, jotka koskevat tietojen laajamittaista hankintaa koskevien määräysten voimassaoloaikaa (410), uusimista (411) ja muuttamista (412).

(237)

On tärkeää huomata, että samoin kuin muiden laajamittaisten tutkintavaltuuksien yhteydessä, Secretary of Staten on ennen määräyksen antamista saatava sille oikeusvaltuutetun hyväksyntä. (413) Tämä keskeinen säännös otettiin käyttöön vuonna 2016 tutkintavaltuuksista annetulla lailla.

(238)

Tutkintavaltuuksien valvoja tarkastaa jälkikäteen laajamittaisen määräyksen nojalla hankitun aineiston (viestintätietojen) tutkintamenettelyn (ks. johdanto-osan 254 kappale). Tähän liittyen vuonna 2016 tutkintavaltuuksista annetulla lailla otettiin käyttöön vaatimus, jonka nojalla aineiston tutkinnasta vastaavan tiedusteluanalyytikon on ennen tutkimusaineiston valikointia kirjattava ylös syy, jonka vuoksi ehdotettu tutkinta on tarpeen ja oikeasuhteinen tiettyä operatiivista tarkoitusta varten. (414) Tutkintavaltuuksien valvojan vuosikertomuksessa 2019 todetaan, että tiedustelupalvelun (GCHQ)ja MI5:n käytännöissä on tarkastelun kohteena olleiden tapausten perusteella otettu asianmukaisesti huomioon laajamittaisten viestintätietojen hankinnan keskeinen merkitys tiedustelupalvelun tehtävien kannalta. Pyydettyjen tietojen luonteen ja ilmoitettujen tiedusteluun liittyvien vaatimusten perusteella tutkintavaltuuksien valvoja katsoi esitetyn dokumentaation osoittavan, että lähestymistapa oli tarpeellinen ja oikeasuhteinen. (415) MI5:n kirjatut perustelut olivat vuosikertomuksen mukaan hyvälaatuisia ja täyttivät tarpeellisuus- ja oikeasuhteisuusperiaatteiden mukaiset vaatimukset. (416)

(239)

Laajoja henkilötietojoukkoja koskevan määräyksen (417) nojalla tiedustelupalvelulle annetaan lupa säilyttää ja tutkia datajoukkoja, jotka koostuvat useiden henkilöiden henkilötiedoista. Yhdistyneen kuningaskunnan viranomaisten antamien selvitysten mukaan tällaisten datajoukkojen analysointi voi olla ainoa keino, jonka avulla Yhdistyneen kuningaskunnan tiedusteluyhteisö voi edistää tutkintatoimia ja tunnistaa terroristeja hyvin rajallisen tiedustelutiedon pohjalta tai silloin kun näiden viestintä on tahallisesti salattu. (418) Tätä varten on olemassa kaksi eri määräystä: ”luokkakohtainen laajaa henkilötietojoukkoa koskeva määräys” (class BPD warrant) (419) koskee tiettyyn luokkaan kuuluvia datajoukkoja, joiden sisältö ja ehdotettu käyttötarkoitus ovat samankaltaisia ja joiden osalta yksityisyydensuojaan puuttumista ja arkaluontoisuutta voidaan arvioida yhdenmukaisesti, niin että Secretary of State voi tarkastella kaikkien kyseiseen luokkaan kuuluvien tietojen hankkimisen tarpeellisuutta ja oikeasuhteisuutta yhteisesti. Tällainen määräys voi kattaa esimerkiksi datajoukot, jotka koskevat samankaltaisiin reitteihin liittyviä matkustustietoja. (420)”tiettyä laajaa henkilötietojoukkoa koskeva määräys” (specific BPD warrant) (421) sen sijaan koskee tiettyä datajoukkoa, esimerkiksi uutta tai epätyypillistä tietoa sisältävää datajoukkoa, joka ei kuulu mihinkään olemassa olevaan datajoukkojen luokkaan, tai datajoukkoa, joka koskee tietynlaisia henkilötietoja (422) ja edellyttää siksi erityisiä suojatoimia (423). Vuonna 2016 tutkintavaltuuksista annetun lain nojalla laajojen henkilötietojoukkojen tutkinta ja säilyttäminen on sallittua vain jos se on tarpeen ja oikeasuhteista (424) ja yksityisyydensuojaa koskevien yleisten velvoitteiden mukaista (425).

(240)

Toimivalta antaa laajaa henkilötietojoukkoa koskeva määräys kuuluu kaksinkertaisen hyväksyntämenettelyn piiriin: toimenpiteen tarpeellisuuden ja oikeasuhteisuuden arvioi ensin Secretary of State ja sen jälkeen oikeusvaltuutettu. (426) Secretary of Staten on otettava arvioinnissaan huomioon haettavan määräyksen luonne ja soveltamisala, sen kohteena oleva tietoluokka ja asianomaisen määräyksen soveltamisalaan todennäköisesti kuuluvien erillisten laajojen henkilötietojoukkojen lukumäärä. (427) Kuten asiaa koskevissa käytännesäännöissä täsmennetään, toimista on lisäksi pidettävä yksityiskohtaista rekisteriä, ja ne kuuluvat tutkintavaltuuksien valvojan auditoinnin piiriin. (428) Laajojen henkilötietojoukkojen säilyttäminen ja tutkiminen siten, että ylitetään vuonna 2016 tutkintavaltuuksista annetussa laissa säädetyt rajoitukset, on rikos. (429)

(241)

Kun henkilötietoja käsitellään vuoden 2018 tietosuojalain 4 osan nojalla, niitä ei saa käsitellä tavalla, joka on yhteensopimaton sen tarkoituksen kanssa, jota varten ne on kerätty. (430) Vuoden 2018 tietosuojalaissa säädetään, että rekisterinpitäjä voi käsitellä tietoja muuta kuin sitä tarkoitusta varten, johon ne on kerätty, jos tämä tarkoitus on yhteensopiva alkuperäisen tarkoituksen kanssa ja edellyttäen, että rekisterinpitäjällä on lain mukaan lupa käsitellä tietoja ja käsittely on tarpeen ja oikeasuhteista. (431) Vuoden 1989 turvallisuuspalvelulaissa ja vuoden 1994 tiedustelupalvelulaissa täsmennetään lisäksi, että tiedustelupalvelujen johtajien velvollisuutena on varmistaa, että tiedustelupalvelu hankkii tietoja yksinomaan siltä osin kuin ne ovat tarpeen sen tehtävien hoitamiseksi tai asiaa koskevissa säännöksissä lueteltuja rajoitettuja tarkoituksia varten (432).

(242)

Lisäksi vuoden 2018 tietosuojalain 109 §:ssä säädetään henkilötietojen kansainvälisiin siirtoihin sovellettavista erityisvaatimuksista, joita sovelletaan kun tiedustelupalvelut siirtävät tietoja kolmansiin maihin tai kansainvälisille järjestöille. Kyseisen säännöksen mukaan henkilötietoja ei saa siirtää mihinkään maahan tai millekään alueelle Yhdistyneen kuningaskunnan ulkopuolelle tai kansainväliselle järjestölle, ellei siirto ole tarpeen ja oikeasuhteinen rekisterinpitäjän lakisääteisten tehtävien hoitamiseksi tai muita vuoden 1989 turvallisuuspalvelulain 2 §:n 2 momentin alakohdassa ja vuoden 1994 tiedustelupalvelulain 2 §:n 2 momentin a alakohdassa ja 4 §:n 2 momentin a alakohdassa säädettyjä tarkoituksia varten. (433) On syytä huomata, että näitä vaatimuksia sovelletaan myös tapauksissa, joissa vedotaan vuoden 2018 tietosuojalain 110 §:n mukaiseen kansallista turvallisuutta koskevaan poikkeukseen. Tietosuojalain 110 §:n mukaan 109 § ei nimittäin kuulu niihin säännöksiin, joiden soveltamisesta voidaan poiketa, jos tietyistä säännöksistä on tarpeen poiketa kansallisen turvallisuuden varmistamiseksi.

(243)

Lisäksi, kuten tietosuojavaltuutettu korostaa tiedustelupalvelujen suorittamaa käsittelyä koskevissa ohjeissaan, kun tiedustelupalvelu jakaa tietoja kolmannen maan tiedusteluelimen kanssa, siihen sovelletaan vuoden 2018 tietosuojalain 4 osassa säädettyjen suojatoimien lisäksi myös muihin säädöksiin perustuvia suojatoimia sen varmistamiseksi, että henkilötietoja hankitaan, jaetaan ja käsitellään lainmukaisesti ja vastuullisesti. (434) Esimerkiksi vuonna 2016 tutkintavaltuuksista annetussa laissa säädetään vielä muista suojatoimista, jotka koskevat sellaisen aineiston siirtämistä kolmanteen maahan (”overseas disclosures”), joka on hankittu kohdennetun telekuuntelun (435), kohdennetun laitetutkinnan (436), laajamittaisen telekuuntelun (437), laajamittaisen viestintätietojen hankinnan (438) ja laajamittaisen laitetutkinnan (439) avulla. Määräyksen antavan viranomaisen on tällöin erityisesti varmistettava, että käytössä on järjestelyt sen varmistamiseksi, että tiedot vastaanottavassa kolmannessa maassa on rajoitettu niiden henkilöiden lukumäärä, joka voi tutustua aineistoon, luovutettavien tietojen laajuus ja aineistosta tehtävien jäljennösten lukumäärä vähimmäismäärään, joka on tarpeen vuoden 2016 laissa säädettyjä valtuutettuja tarkoituksia varten. (440)

(244)

Useat eri elimet valvovat viranomaisten pääsyä tietoihin kansallisen turvallisuuden kannalta merkityksellisiä tarkoituksia varten. Tietosuojavaltuutettu valvoo henkilötietojen käsittelyä vuoden 2018 tietosuojalain nojalla (lisätietoja tietosuojavaltuutetun riippumattomuudesta, nimittämisestä ja toimivallasta, ks. johdanto-osan 85–98 kappale), kun taas vuonna 2016 tutkintavaltuuksista annetun lain mukaisten tutkintavaltuuksien käyttöä koskeva riippumaton oikeudellinen valvonta on tutkintavaltuuksien valvojan tehtävä. Tutkintavaltuuksien valvoja valvoo vuoden 2016 lakiin perustuvien tutkintavaltuuksien käyttöä sekä lainvalvontaviranomaisten että kansallisten turvallisuusviranomaisten osalta. Poliittisesta valvonnasta vastaa parlamentin tiedusteluvalvontavaliokunta (Intelligence Service Committee).

(245)

Tietosuojavaltuutettu valvoo tiedustelupalvelujen vuoden 2018 tietosuojalain 4 osan mukaisesti suorittamaa henkilötietojen käsittelyä. (441)

(246)

Tietosuojavaltuutetun yleiset tehtävät, jotka koskevat vuoden 2018 tietosuojalain 4 osan soveltamisalaan kuuluvien henkilötietojen käsittelyä, vahvistetaan vuoden 2018 tietosuojalain liitteessä 13. Tehtäviin kuuluvat muun muassa vuoden 2018 tietosuojalain 4 osan seuranta ja täytäntöönpano, yleisen tietoisuuden lisääminen, parlamentin, hallituksen ja muiden toimielinten avustaminen lainsäädännöllisissä ja hallinnollisissa toimenpiteissä, rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuuksia koskevan tietoisuuden edistäminen, rekisteröidyn oikeuksien käyttämistä koskevien tietojen antaminen rekisteröidylle ja tutkimusten suorittaminen.

(247)

Tietosuojavaltuutetulla on vuoden 2018 tietosuojalain 3 osan osalta valtuudet ilmoittaa rekisterinpitäjille väitetystä rikkomisesta ja antaa varoituksia siitä, että käsittely todennäköisesti rikkoo sääntöjä, ja antaa huomautus vahvistetun rikkomisen johdosta. Se voi myös antaa täytäntöönpano- ja seuraamusmääräyksiä tiettyjen lain säännösten rikkomisen vuoksi (442). Toisin kuin vuoden 2018 tietosuojalain muiden osien yhteydessä, tietosuojavaltuutettu ei kuitenkaan voi antaa arviointimääräystä kansallisesta turvallisuudesta vastaavalle elimelle. (443)

(248)

Lisäksi vuoden 2018 tietosuojalain 110 §:ssä säädetään poikkeuksesta tietosuojavaltuutetun tiettyjen valtuuksien käyttöön silloin, kun se on tarpeen kansallisen turvallisuuden turvaamiseksi. Tähän sisältyvät tietosuojavaltuutetun valtuudet antaa (kaikentyyppisiä) tietosuojalain mukaisia määräyksiä (tiedonanto-, arviointi-, täytäntöönpano- ja seuraamusmääräykset), valtuudet suorittaa tarkastuksia kansainvälisten velvoitteiden mukaisesti, maahantulo- ja tarkastusvaltuudet sekä rikoksia koskevat säännöt. (444) Kuten johdanto-osan 126 kappaleessa selitetään, näitä poikkeuksia sovelletaan tapauskohtaisesti ja vain, jos se on välttämätöntä ja oikeasuhteista.

(249)

Tietosuojavaltuutettu ja Yhdistyneen kuningaskunnan tiedustelupalvelut ovat allekirjoittaneet yhteisymmärryspöytäkirjan (445), jossa vahvistetaan puitteet muun muassa tietoturvaloukkauksia koskevien ilmoitusten ja rekisteröityjen tekemien valituksien käsittelyyn liittyvää yhteistyötä varten. Siinä määrätään erityisesti, että saatuaan valituksen tietosuojavaltuutettu tarkistaa, että mahdollista kansalliseen turvallisuuteen liittyvää poikkeusta on sovellettu asianmukaisesti. Kun tietosuojavaltuutettu pyytää joltakin tiedustelupalvelulta tietoja yksityishenkilön tekemän valituksen tutkinnan yhteydessä, tiedustelupalvelun on vastattava 20 työpäivän kuluessa käyttäen asianmukaisia suojattuja kanavia, jos vastaus sisältää turvallisuusluokiteltuja tietoja. Tietosuojavaltuutettu on saanut huhtikuusta 2018 alkaen 21 yksityishenkilöiden tekemää valitusta, jotka koskevat tiedustelupalveluja. Kaikki valitukset on tutkittu, ja niiden tulos on ilmoitettu asianomaiselle rekisteröidylle. (446)

(250)

Vuonna 2016 tutkintavaltuuksista annetun lain 8 osan mukaan tutkintavaltuuksien käytön valvonnasta vastaa tutkintavaltuuksien valvoja (Investigatory Powers Commissioner, IPC). Häntä avustavat tässä tehtävässä muut oikeusvaltuutetut (Judicial Commissioners). (447) Vuonna 2016 tutkintavaltuuksista annetussa laissa vahvistetaan takeet, joilla suojataan oikeusvaltuutettujen riippumattomuutta. Oikeusvaltuutetuilta edellytetään kokemusta tuomarin viran hoitamisesta (high judicial office, eli heidän on oltava tai täytynyt olla jonkin ylimmän tuomioistuimen jäseniä) (448), ja oikeuslaitoksen virkamiehinä heidän asemansa on hallituksesta riippumaton. (449) Vuonna 2016 tutkintavaltuuksista annetun lain 227 §:n nojalla pääministeri nimittää tutkintavaltuuksien valvojan ja niin monta oikeusvaltuutettua kuin hän katsoo tarpeelliseksi. Riippumatta siitä, ovatko oikeusvaltuutetut oikeuslaitoksen nykyisiä vai entisiä jäseniä, heidät voidaan nimittää tähän tehtävään vain Englannin ja Walesin, Skotlannin ja Pohjois-Irlannin korkeimpien oikeuksien kolmen presidentin (Chief Justice) ja lordikanslerin (oikeusministerin) yhteisen suosituksen perusteella. (450) Secretary of Staten on tarjottava tutkintavaltuuksien valvojalle henkilöstö, tilat ja muut välineet ja palvelut. (451) Oikeusvaltuutettujen toimikausi on kolme vuotta, ja se voidaan uusia. (452) Oikeusvaltuutettujen riippumattomuuden takaa se, että heidät voidaan erottaa tehtävistään vain tiukoin edellytyksin, joiden soveltamiskynnys on korkea: pääministeri voi määrätä erottamisesta erityisissä olosuhteissa, jotka on lueteltu tyhjentävästi vuonna 2016 tutkintavaltuuksista annetun lain 228 §:n 5 momentissa (esim. konkurssi tai vankeusrangaistus), tai erottamisesta voidaan määrätä parlamentin ylä- ja alahuoneen hyväksymällä päätöslauselmalla. (453)

(251)

Tutkintavaltuuksien valvojaa ja oikeusvaltuutettuja avustaa heidän tehtävissään tutkintavaltuuksista vastaavan valvojan toimisto Investigatory Powers Commissioner’s Office (IPCO). Henkilöstöön kuuluu mm. tarkastajien ryhmä, minkä lisäksi saatavilla on sekä oikeudellista että teknistä asiantuntemusta ja teknologiaan liittyviä kysymyksiä käsittelevä neuvoa-antava paneeli. Toimiston riippumattomuus on turvattu samalla tavoin kuin yksittäisten oikeusvaltuutettujenkin. IPCO on sisäministerin alaisuudessa toimiva ns. arm’s length body, mikä tarkoittaa, että se saa sisäministeriöltä rahoitusta, mutta hoitaa tehtävänsä riippumattomasti. (454)

(252)

Oikeusvaltuutettujen päätehtävät esitetään vuonna 2016 tutkintavaltuuksista annetun lain 229 §:ssä. (455) Oikeusvaltuutetuilla on erityisesti laajat toimivaltuudet myöntää ennakkohyväksyntä, joka on osa Yhdistyneen kuningaskunnan lainsäädännössä vuoden 2016 lailla käyttöön otettuja suojatoimia. Oikeusvaltuutettujen on annettava hyväksyntänsä määräyksille (warrant), jotka koskevat kohdennettua telekuuntelua, laitetutkintaa, laajoja henkilötietojoukkoja tai laajamittaista viestintätietojen hankintaa, sekä viestintätietojen säilyttämistä koskeville määräyksille (retention notice). (456) Myös viestintätietojen hankintaan lainvalvontatarkoituksia varten tarvitaan aina tutkintavaltuuksien valvojan ennakkohyväksyntä. (457) Jos oikeusvaltuutettu kieltäytyy hyväksymästä määräystä, Secretary of State voi hakea päätökseen muutosta tutkintavaltuuksien valvojalta, joka tekee asiassa lopullisen päätöksen.

(253)

Oikeutta yksityisyyteen käsittelevä YK:n erityisraportoija suhtautui oikeusvaltuutettujen tehtävän perustamiseen vuonna 2016 tutkintavaltuuksista annetulla lailla erittäin myönteisesti ja katsoi, että kaikille arkaluontoisemmille valvontapyynnöille tai sellaisille valvontapyynnöille, joilla puututaan yksityisyydensuojaan erityisen paljon, on saatava sekä hallituksen ministerin että tutkintavaltuuksien valvojan hyväksyntä. Hän korosti erityisesti, että tämä oikeudellinen tarkastelu, jonka tutkintavaltuuksien valvoja suorittaa, apunaan aiempaa paremmin resurssein varustettu kokeneiden tarkastajien ja teknisten asiantuntijoiden ryhmä, on yksi tärkeimmistä vuonna 2016 tutkintavaltuuksista annetulla lailla käyttöön otetuista suojatoimista. Se korvaa aiemman, valvontaviranomaisten toimintaan perustuneen hajanaisen järjestelyn ja täydentää parlamentin tiedustelu- ja turvallisuusvaliokunnan ja tutkintavaltuuksia käsittelevän tuomioistuimen roolia. (458).

(254)

Tutkintavaltuuksien valvojalla on lisäksi valtuudet tarkastella jälkikäteen (459) (mm. auditointien, tarkastusten ja tutkimusten avulla) sekä vuoden 2016 lakiin perustuvien tutkintavaltuuksien että eräiden muiden asianomaiseen lainsäädäntöön perustuvien valtuuksien käyttöä ja tehtävien hoitamista. (460) Tämän jälkivalvonnan tulokset sisältyvät kertomukseen, jonka tutkintavaltuuksien valvoja laatii vuosittain pääministerille. (461) Kertomus on julkaistava ja esitettävä myös parlamentille. (462) Kertomuksessa on tilasto- ym. tietoa siitä, miten tiedusteluvirastot ja lainvalvontaviranomaiset ovat käyttäneet tutkintavaltuuksia, ja suojatoimien soveltamisesta silloin kun tutkinnan kohteena on asianajosalaisuuden piiriin kuuluva tai luottamuksellinen journalistinen aineisto tai toimittajan tietolähde, sekä tietoa laajamittaisen määräyksen nojalla hankittuihin tietoihin liittyvistä järjestelyistä ja operatiivisista tarkoituksista. Vuosikertomuksessa selvitetään myös, mistä seikoista viranomaisille on annettu suosituksia ja miten niitä on käsitelty (463).

(255)

Vuonna 2016 tutkintavaltuuksista annetun lain 231 §:ssä säädetään, että jos tutkintavaltuuksien valvoja saa tietoonsa, että viranomainen on tehnyt tutkintavaltuuksiensa käytössä virheen, jota valvoja pitää vakavana, asiasta on ilmoitettava asianomaiselle henkilölle, ja tällainen ilmoitus on yleisen edun mukainen. (464) Mainitussa lainkohdassa täsmennetään, että kun tutkintavaltuuksien valvoja ilmoittaa virheestä asianomaiselle henkilölle, hänen on samalla kerrottava tälle tämän oikeuksista viedä asia tutkintavaltuuksia käsittelevän tuomioistuimen käsiteltäväksi ja annettava kaikki tarpeellisiksi katsomansa tiedot näiden oikeuksien käyttämiseksi, koska näiden tietojen antaminen on yleisen edun mukaista. (465)

(256)

Tiedustelupalvelujen parlamentaarisesta valvonnasta vastaa tiedustelu- ja turvallisuusvaliokunta (Intelligence and Security Committee, ISC) vuoden 2013 oikeus- ja turvallisuuslain (Justice and Security Act 2013) nojalla. (466) Lain mukaan tiedustelu- ja turvallisuusvaliokunta on Yhdistyneen kuningaskunnan parlamentin valiokunta. Valiokunta sai vuonna 2013 laajemmat valtuudet mm. valvoa turvallisuuspalvelujen operatiivista toimintaa. Vuoden 2013 oikeus- ja turvallisuuslain 2 §:n nojalla valiokunnan tehtävänä on valvoa kansallisten turvallisuusvirastojen menoja, hallintoa, toimintaperiaatteita ja operaatioita. Laissa täsmennetään, että valiokunta voi suorittaa tutkimuksia operatiivisista asioista silloin kun ne eivät liity käynnissä oleviin operaatioihin. (467) Pääministerin ja valiokunnan välisessä yhteisymmärryspöytäkirjassa (468) täsmennetään yksityiskohtaisesti seikat, jotka on otettava huomioon sen määrittämiseksi, onko jokin toiminta osa käynnissä olevaa operaatiota. (469) Pääministeri voi myös pyytää valiokuntaa tutkimaan käynnissä olevia operaatioita, ja se voi tarkastella virastojen vapaaehtoisesti toimittamia tietoja.

(257)

Vuoden 2013 oikeus- ja turvallisuuslain liitteen 1 nojalla Tiedustelu- ja turvallisuusvaliokunta voi pyytää minkä tahansa kolmen tiedustelupalvelun johtajaa luovuttamaan mitä tahansa tietoja. Tiedustelupalvelujen on annettava nämä tiedot saataville, ellei Secretary of State vastusta sitä veto-oikeudellaan. (470) Yhdistyneen kuningaskunnan viranomaisten antamien tietojen mukaan valiokunnalta salataan käytännössä hyvin vähän tietoja. (471)

(258)

Sen jäsenet kuuluvat joko parlamentin ala- tai ylähuoneeseen, ja pääministeri nimittää heidät opposition johtajaa kuultuaan. (472) Valiokunta esittää parlamentille vuosittain kertomuksen tehtäviensä hoitamisesta ja muita kertomuksia sen mukaan kuin se katsoo tarpeelliseksi. (473) Valiokunnalla on myös oikeus saada kolmen kuukauden välein luettelo operatiivisista tarkoituksista, joita käytetään laajamittaisen hankinnan avulla saatujen aineiston tutkinnassa. (474) Pääministeri toimittaa valiokunnalle myös jäljennökset erilaisista tutkintavaltuuksien valvojan tarkastuskertomuksista, jos niiden aihe liittyy valiokunnan lakisääteiseen toimivaltaan. (475) Valiokunta voi myös pyytää tutkintavaltuuksien valvojaa suorittamaan tietyn tutkimuksen, ja tämän on siinä tapauksessa ilmoitettava valiokunnalle, tehdäänkö se. (476)

(259)

Valiokunta esitti myös kommentteja vuonna 2016 tutkintavaltuuksista annetun lain luonnokseen, ja monet niistä onkin otettu tarkistusten kautta huomioon nyt voimassa olevassa laissa. (477) Valiokunta suositti erityisesti yksityisyydensuojan vahvistamista ottamalla käyttöön tiettyjä kaikkiin tutkintavaltuuksiin sovellettavia suojatoimia. (478) Se esitti lisäksi muutoksia ehdotettuihin valmiuksiin, jotka liittyvät laitetutkintaan, laajoihin henkilötietojoukkoihin ja viestintätietoihin, ja eräitä muita muutoksia tutkintavaltuuksien käyttöä koskevien rajoitusten ja suojatoimien vahvistamiseksi. (479)

(260)

Kun on kyse hallituksen pääsystä tietoihin kansalliseen turvallisuuteen liittyviä tarkoituksia varten, rekisteröidyillä on erityisesti oltava mahdollisuus nostaa kanne riippumattomassa ja puolueettomassa tuomioistuimessa, jotta he saisivat tutustua henkilötietoihinsa tai voisivat saada tällaiset tiedot oikaistuiksi tai poistetuiksi. (480) Tällä lainkäyttöelimellä on erityisesti oltava valtuudet antaa tiedustelupalvelua sitovia päätöksiä. (481) Kuten johdanto-osan (261)–(271) kappaleessa selitetään, rekisteröidyillä on käytössään useita eri oikeussuojakeinoja.

(261)

Vuoden 2018 tietosuojalain 165 §:n nojalla rekisteröidyllä on oikeus tehdä tietosuojavaltuutetulle valitus, jos hän katsoo, että hänen henkilötietojensa käsittelyssä on rikottu vuoden 2018 tietosuojalain 4 osan säännöksiä. Tietosuojavaltuutetulla on toimivalta arvioida, ovatko rekisterinpitäjä ja henkilötietojen käsittelijä noudattaneet vuoden 2018 tietosuojalakia, ja jos näin ei ole, vaatia niitä toteuttamaan tarvittavat toimet. Vuoden 2018 tietosuojalain 4 osan nojalla rekisteröidyillä on lisäksi oikeus pyytää High Court -tuomioistuimelta (Skotlannissa Court of Session) määräys, jolla rekisterinpitäjä velvoitetaan noudattamaan tiedonsaantia koskevia oikeuksia (482), oikeutta vastustaa tietojen käsittelyä (483) ja oikeutta oikaista tai poistaa tiedot (484).

(262)

Rekisteröidyillä on myös oikeus vaatia rekisterinpitäjältä tai henkilötietojen käsittelijältä korvausta vahingosta, joka on aiheutunut vuoden 2018 tietosuojalain 4 osassa säädettyjen vaatimusten rikkomisesta. (485) Vahingolla tarkoitetaan tässä sekä taloudellista menetystä että esimerkiksi kärsimystä. (486)

(263)

Yksilöt voivat käyttää oikeussuojakeinoja vuonna 2016 tutkintavaltuuksista annetun lain rikkomisen vuoksi tutkintavaltuuksia käsittelevässä tuomioistuimessa (Investigatory Powers Tribunal).

(264)

Tämä täytäntöönpanovallasta riippumaton tuomioistuin on perustettu vuonna 2000 tutkintavaltuuksista annetulla asetuksella. (487) Asetuksen 65 §:n mukaan Hänen Majesteettinsa nimittää tuomioistuimen jäsenet viiden vuoden toimikaudeksi. Hänen Majesteettinsa voi erottaa tuomioistuimen jäsenen parlamentin molempien kamarien esityksen (Address) (488) perusteella. (489)

(265)

Tämä tuomioistuin on vuonna 2000 tutkintavaltuuksista annetun asetuksen 65 §:n nojalla asianmukainen lainkäyttöelin käsittelemään valitukset, jotka koskevat vuonna 2016 tutkintavaltuuksista annetun lain tai vuonna 2000 tutkintavaltuuksista annetun asetuksen nojalla toteutetuista toimista tai mistä tahansa tiedustelupalvelujen suorittamasta toiminnasta aiheutuvia vahinkoja. (490)

(266)

Vuonna 2000 tutkintavaltuuksista annetun asetuksen 65 §:n mukaan rekisteröidyllä on oikeus viedä asiansa Investigatory Powers Tribunal -tuomioistuimen käsiteltäväksi (”asiavaltuus”), jos hän uskoo (491), että tiedustelupalvelun toiminta kohdistuu häneen tai hänen omaisuuteensa tai hänen lähettämäänsä tai hänelle lähetettyyn tai hänelle tarkoitettuun viestintään tai hänen käyttämäänsä postipalveluun, televiestintäjärjestelmään tai televiestintäpalveluun. (492) Lisäksi edellytetään, että kantelija uskoo toiminnan tapahtuneen ”olosuhteissa, jotka on mahdollista kiistää” (493) tai että se on toteutettu tiedustelupalvelujen toimesta tai niiden puolesta. (494) Koska etenkin tätä ”uskomista” koskevaa edellytystä on tulkittu varsin väljästi (495), asian vieminen tämän tuomioistuimen käsiteltäväksi ei edellytä erityistä asiavaltuutta.

(267)

Kun Investigatory Powers Tribunal -tuomioistuin käsittelee sille tehtyä valitusta, sen velvollisuutena on tutkia, ovatko henkilöt, joita koskevia väitteitä siinä esitetään, olleet jollakin tavoin tekemisissä valituksen tekijän kanssa, ja onko viranomainen, jonka väitetään osallistuneen oikeudenloukkauksiin, toteuttanut väitetyt toimet. (496) Jos tämä tuomioistuin ottaa asian käsiteltäväksi, sen on sovellettava ratkaisussaan samoja periaatteita kuin ne, joita mikä tahansa tuomioistuin soveltaisi oikeudellista uudelleentarkastelua koskevaan hakemukseen. (497) Lisäksi vuonna 2016 tutkintavaltuuksista annetun lain nojalla annettujen määräysten (warrant, notice) hakijoilla ja kaikilla muilla henkilöillä, jotka työskentelevät valtion virassa poliisin tai poliisin tutkinta- ja muutoksenhakulautakunnan (Police Investigations and Review Commissioner) palveluksessa, on velvollisuus luovuttaa tai toimittaa kyseiselle tuomioistuimelle kaikki asiakirjat ja tiedot, joita tuomioistuin voi tarvita lainkäyttövaltaansa käyttäessään. (498)

(268)

Investigatory Powers Tribunal -tuomioistuimen on ilmoitettava kantelijalle, onko asia ratkaistu hänen hyväkseen vai ei. (499) Vuonna 2000 tutkintavaltuuksista annetun asetuksen 67 §:n 6 ja 7 momentin nojalla tuomioistuimella on toimivalta antaa väliaikaisia määräyksiä ja myöntää sopivaksi katsomiaan vahingonkorvauksia tai antaa muita määräyksiä. Näillä määräyksillä voidaan myös kumota tai peruuttaa mikä tahansa määräys tai lupa tai vaatia sellaisten ketä tahansa henkilöä koskevien tietojen tuhoamista, jotka viranomainen on hankkinut määräykseen tai lupaan perustuvan valtuutuksen nojalla tai jotka se on saanut haltuunsa muulla tavoin. (500) Vuonna 2000 tutkintavaltuuksista annetun asetuksen 67A §:n mukaan Investigatory Powers Tribunal -tuomioistuimen ratkaisuun on mahdollista hakea muutosta, ellei sen tai asianomaisen muutoksenhakutuomioistuimen myöntämästä luvasta muuta johdu.

(269)

Lopuksi on syytä mainita, että Investigatory Powers Tribunal -tuomioistuimen roolista on keskusteltu Euroopan ihmisoikeustuomioistuimessa nostettujen kanteiden yhteydessä useaan otteeseen, mm. asiassa Kennedy v. the United Kingdom (501) ja sen myöhemmin asiassa Big Brother Watch and others v. United Kingdom (502). EIT on todennut, että Investigatory Powers Tribunal on osoittanut kykenevänsä tarjoamaan luotettavaa oikeussuojaa jokaiselle, joka epäilee, että tiedustelupalvelut ovat kuunnelleet hänen viestintäänsä. (503)

(270)

Kuten johdanto-osan 109–111 kappaleessa todetaan, vuoden 1998 ihmisoikeussopimuksen ja Euroopan ihmisoikeustuomioistuimen tarjoamat oikeussuojakeinot (504) ovat käytössä myös kansallisen turvallisuuden alalla. Vuonna 2000 tutkintavaltuuksista annetun asetuksen 65 §:n 2 momentin mukaan Investigatory Powers Tribunal -tuomioistuimella on yksinomainen toimivalta käsitellä kaikki tiedustelupalveluja vastaan ihmisoikeuslain nojalla nostetut kanteet. (505) Kuten High Court on todennut, tämä tarkoittaa, että kysymys siitä, onko jossakin tietyssä tapauksessa siihen liittyvien tosiseikkojen perusteella rikottu ihmisoikeuslakia, voidaan periaatteessa saattaa riippumattoman tuomioistuimen tutkittavaksi, jolla on oikeus tutustua kaikkeen asiaa koskevaan aineistoon, myös salaiseen aineistoon. High Courtin mukaan tässä yhteydessä on myös muistettava, että myös kyseisellä tuomioistuimella on mahdollisuus hakea muutosta asianomaisesta muutoksenhakutuomioistuimesta (Englannissa ja Walesissa Court of Appeal), ja että Supreme Court on äskettäin päättänyt, että kyseinen tuomioistuin on periaatteessa tuomioistuinvalvonnan alainen: ks. R (Privacy International) v Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219. (506)

(271)

Edellä esitetystä seuraa, että kun Yhdistyneen kuningaskunnan lainvalvontaviranomaiset tai kansallisesta turvallisuudesta vastaavat viranomaiset saavat pääsyn tämän päätöksen soveltamisalaan kuuluviin henkilötietoihin, tätä pääsyä säännellään laeilla, joissa asetetaan edellytykset tietoihin pääsylle ja varmistetaan, että pääsy tietoihin niiden myöhempi käyttö rajoittuu siihen, mikä on tarpeen ja oikeasuhteista lainvalvontaan tai kansalliseen turvallisuuteen liittyvän tavoitteen saavuttamiseksi. Lisäksi pääsy edellyttää useimmissa tapauksissa lainkäyttöelimen ennakkohyväksyntää asiaa koskevan määräyksen (warrant, production order) muodossa ja joka tapauksessa riippumatonta valvontaa. Sen jälkeen kun viranomaiset ovat saaneet pääsyn tietoihin, niiden käsittelyyn, mukaan lukien myöhempi jakaminen ja edelleen siirtäminen, sovelletaan vuoden 2018 tietosuojalain 3 osassa säädettyjä tietosuojatakeita, jotka perustuvat lainvalvontaviranomaisten suorittaman käsittelyn osalta direktiiviin (EU) 2016/680 ja tiedustelupalvelujen suorittaman käsittelyn osalta vuoden 2018 tietosuojalain 4 osaan. Lopuksi todetaan, että rekisteröidyillä on tällä alalla tehokkaat hallinnolliset ja oikeudelliset oikeussuojakeinot, joihin kuuluu myös oikeus saada pääsy tietoihinsa tai oikaista tai poistaa ne.

(272)

Koska nämä ehdot, rajoitukset ja suojatoimet ovat tämän päätöksen soveltamisen kannalta erittäin tärkeitä, komissio seuraa tiiviisti viranomaisten tiedonsaantioikeutta koskevien Yhdistyneen kuningaskunnan sääntöjen soveltamista ja tulkintaa. Seuranta koskee myös asianomaisen lainsäädännön, sääntelyn ja oikeuskäytännön kehitystä sekä tietosuojavaltuutetun ja muiden tämän alan valvontaviranomaisten toimintaa. Huomiota kiinnitetään tiiviisti myös siihen, miten Yhdistynyt kuningaskunta panee täytäntöön asiaa koskevat Euroopan ihmisoikeustuomioistuimen tuomiot sekä toimenpiteet, jotka yksilöidään Euroopan neuvoston ministerikomitealle toimitettavissa toimintasuunnitelmissa ja toimintakertomuksissa EIT:n tuomioiden noudattamisen valvonnan yhteydessä.

(273)

Komissio katsoo, että Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus ja vuoden 2018 tietosuojalaki takaavat Euroopan unionista siirrettyjen henkilötietojen suojan tason, joka vastaa olennaisilta osiltaan asetuksessa (EU) 2016/679 taattua suojan tasoa.

(274)

Lisäksi komissio katsoo, että Yhdistyneen kuningaskunnan lainsäädäntöön sisältyvät valvontamekanismit ja oikeussuojakeinot kokonaisuutena mahdollistavat sen, että henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan tekemät rikkomukset voidaan tunnistaa ja niistä voidaan käytännössä antaa rangaistus. Ne tarjoavat myös rekisteröidylle oikeussuojakeinoja, jotta hän voi tutustua itseään koskeviin henkilötietoihin ja korjata tai poistaa kyseiset tiedot.

(275)

Yhdistyneen kuningaskunnan oikeusjärjestystä koskevien käytettävissä olevien tietojen perusteella komissio katsoo, että Yhdistyneen kuningaskunnan viranomaisten puuttuminen erityisesti lainvalvontaan ja kansalliseen turvallisuuteen liittyvissä tarkoituksissa niiden yksilöiden perusoikeuksiin, joiden henkilötietoja siirretään Euroopan unionista Yhdistyneeseen kuningaskuntaan, tulee rajatuksi siihen, mikä on ehdottoman välttämätöntä kyseessä olevan lainmukaisen tavoitteen saavuttamiseksi, ja että tällaista puuttumista vastaan on olemassa tehokas oikeussuoja.

(276)

Tätä päätöstä laadittaessa tehtyjen havaintojen perusteella olisi sen vuoksi päätettävä, että Yhdistynyt kuningaskunta tarjoaa riittävän tietosuojan tason sellaisena kuin siitä säädetään asetuksen (EU) 2016/679 45 artiklassa, tulkittuna Euroopan unionin perusoikeuskirjan pohjalta.

(277)

Tämä päätelmä perustuu sekä Yhdistyneen kuningaskunnan kansalliseen järjestelmään että sen kansainvälisiin sitoumuksiin, ja erityisesti siihen, että maa on liittynyt Euroopan ihmisoikeussopimukseen ja kuuluu Euroopan ihmisoikeustuomioistuimen toimivallan piiriin. Mainittujen välineiden jatkuva noudattaminen on näin ollen erityisen tärkeä osa tässä päätöksessä arvioitavaa oikeudellista kehystä.

(278)

Jäsenvaltioiden ja niiden elinten on toteutettava tarvittavat toimenpiteet unionin toimielinten säädösten noudattamiseksi, sillä säädösten oletetaan olevan lainmukaisia ja niillä on näin ollen oikeusvaikutuksia siihen saakka, kunnes ne perutaan, kumotaan kumoamiskanteen johdosta tai julistetaan pätemättömiksi ennakkoratkaisupyynnön tai lainvastaisuusväitteen perusteella.

(279)

Näin ollen asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukainen tietosuojan riittävyyttä koskeva komission päätös sitoo kaikkia elimiä jäsenvaltioissa, joille se on osoitettu, mukaan lukien niiden riippumattomat valvontaviranomaiset. Tämä tarkoittaa erityisesti sitä, että tämän päätöksen soveltamisaikana siirtoja Euroopan unionin rekisterinpitäjältä tai henkilötietojen käsittelijältä Yhdistyneen kuningaskunnan rekisterinpitäjälle tai henkilötietojen käsittelijälle voidaan tehdä ilman erillistä lupaa.

(280)

Olisi kuitenkin muistettava, kuten asetuksen (EU) 2016/679 58 artiklan 5 kohdassa tunnustetaan ja unionin tuomioistuimen asiassa Schrems antamassa tuomiossa (507) selostetaan, että jos kansallinen tietosuojaviranomainen esimerkiksi valituksen käsittelyn yhteydessä asettaa kyseenalaiseksi sen, onko tietosuojan riittävyyttä koskeva komission päätös yksityisyydensuojaa ja tietosuojaa koskevan perusoikeuden mukainen, kansallisessa lainsäädännössä on säädettävä oikeussuojakeinoista, joiden avulla viranomainen voi esittää väitteensä kansallisessa tuomioistuimessa, jonka on tarvittaessa pyydettävä unionin tuomioistuimelta ennakkoratkaisua. (508)

(281)

Asetuksen (EU) 2016/679 45 artiklan 4 kohdan nojalla komissio seuraa jatkuvasti asian kannalta merkityksellistä kehitystä Yhdistyneessä kuningaskunnassa tämän päätöksen hyväksymisen jälkeen voidakseen arvioida, takaako se edelleen olennaisilta osin vastaavan suojan tason. Tällainen seuranta on erityisen tärkeää tässä tapauksessa, koska Yhdistynyt kuningaskunta hallinnoi, soveltaa ja panee täytäntöön uutta tietosuojajärjestelmää, joka ei enää kuulu unionin oikeuden soveltamisalaan ja voi muuttua. Sen vuoksi erityistä huomiota kiinnitetään henkilötietojen siirtoa kolmansiin maihin koskevien Yhdistyneen kuningaskunnan sääntöjen käytännön soveltamiseen ja siihen, miten se mahdollisesti vaikuttaa tämän päätöksen nojalla siirrettyjen tietojen suojeluun; yksilön oikeuksien tehokkaaseen käyttämiseen, mukaan lukien näihin oikeuksiin tehtäviä poikkeuksia tai niiden rajoittamista koskevan lainsäädännön ja käytännön kehitys (erityisesti maahanmuuton tehokkaan valvonnan säilyttämistä koskeva poikkeus); sekä niiden rajoitusten ja suojatoimien noudattamista, joilla säännellään viranomaisten pääsyä henkilötietoihin. Lisäksi komissio ottaa seurannassa huomioon muun muassa oikeuskäytännön kehityksen sekä tietosuojavaltuutetun ja muiden riippumattomien elinten suorittaman valvonnan.

(282)

Seurannan helpottamiseksi Yhdistyneen kuningaskunnan viranomaisten olisi viipymättä ilmoitettava komissiolle kaikista Yhdistyneen kuningaskunnan oikeusjärjestyksen olennaisista muutoksista, jotka vaikuttavat tämän päätöksen kohteena olevaan oikeudelliseen kehykseen, sekä tässä päätöksessä arvioitujen, henkilötietojen käsittelyä koskevien käytäntöjen muutoksista: sekä niistä, jotka koskevat rekisterinpitäjien ja käsittelijöiden Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen nojalla suorittamaa henkilötietojen käsittelyä, että niistä, jotka koskevat viranomaisten pääsyä henkilötietoihin. Tässä yhteydessä olisi otettava huomioon myös johdanto-osan 281 kappaleessa mainittujen tekijöiden kehitys.

(283)

Jotta komissio voisi harjoittaa tehokkaasti valvontatehtäväänsä, jäsenvaltioiden olisi lisäksi ilmoitettava komissiolle kaikista kansallisten tietosuojaviranomaisten toteuttamista asiaankuuluvista toimista, varsinkin siinä tapauksessa, että ne liittyvät EU:n rekisteröityjen esittämiin kysymyksiin tai valituksiin, jotka koskevat henkilötietojen siirtoa Euroopan unionista Yhdistyneessä kuningaskunnassa toimiville rekisterinpitäjille tai henkilötietojen käsittelijöille. Komissiolle olisi myös ilmoitettava havainnoista, joiden mukaan rikosten ehkäisystä, tutkinnasta, havaitsemisesta tai rikoksiin liittyvistä syytetoimista tai kansallisesta turvallisuudesta vastaavat Yhdistyneen kuningaskunnan viranomaiset, mukaan lukien valvontaelimet, eivät varmista vaadittua suojan tasoa.

(284)

Jos käytettävissä olevat tiedot, erityisesti tämän päätöksen seurannasta saatavat tiedot tai Yhdistyneen kuningaskunnan tai jäsenvaltioiden viranomaisten toimittamat tiedot, osoittavat, että Yhdistyneen kuningaskunnan takaama tietosuojan taso ei mahdollisesti ole enää riittävä, komission olisi viipymättä ilmoitettava asiasta Yhdistyneen kuningaskunnan toimivaltaisille viranomaisille ja vaadittava asianmukaisten toimenpiteiden toteuttamista tietyn kohtuullisen ajan kuluessa, joka voi olla enintään kolme kuukautta. Tätä määräaikaa voidaan tarvittaessa pidentää tietyksi ajaksi käsillä olevan asian ja/tai toteutettavien toimenpiteiden luonteen mukaan. Tällainen menettely käynnistettäisiin esimerkiksi siinä tapauksessa, että siirrettäessä tietoja edelleen esimerkiksi Secretary of Staten hyväksymien uusien tietosuojan riittävyyttä koskevien asetusten tai Yhdistyneen kuningaskunnan tekemien kansainvälisten sopimusten perusteella ei enää noudatettaisi suojatoimia, joilla varmistetaan asetuksen (EU) 2016/679 44 artiklassa tarkoitettu suojelun jatkuvuus.

(285)

Jos Yhdistyneen kuningaskunnan toimivaltaiset viranomaiset eivät kyseisen määräajan päättyessä ole toteuttaneet näitä toimenpiteitä tai muutoin osoittaneet tyydyttävästi, että tämän päätöksen perustana on edelleen riittävä suojan taso, komissio aloittaa asetuksen (EU) 2016/679 93 artiklan 2 kohdassa tarkoitetun menettelyn tämän päätöksen soveltamisen keskeyttämiseksi tai sen kumoamiseksi osittain tai kokonaan.

(286)

Vaihtoehtoisesti komissio aloittaa kyseisen menettelyn tämän päätöksen muuttamiseksi erityisesti soveltamalla tiedonsiirtoihin lisäehtoja tai rajoittamalla tietosuojan riittävyyttä koskevan päätelmän soveltamisalan vain sellaisiin tiedonsiirtoihin, joiden osalta riittävän tietosuojan jatkuvuus on varmistettu.

(287)

Asianmukaisesti perustelluissa kiireellisissä tapauksissa komissio käyttää mahdollisuutta hyväksyä asetuksen (EU) 2016/679 93 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen välittömästi sovellettavia täytäntöönpanosäädöksiä tämän päätöksen soveltamisen keskeyttämiseksi tai päätöksen kumoamiseksi tai sen muuttamiseksi.

(288)

Komission on otettava huomioon, että erosopimuksessa määrätyn siirtymäkauden päättyessä ja heti kun EU:n ja Yhdistyneen kuningaskunnan välillä tehdyn kauppa- ja yhteistyösopimuksen 782 artiklan väliaikaisen määräyksen soveltaminen lakkaa, Yhdistynyt kuningaskunta hallinnoi, soveltaa ja panee täytäntöön tietosuojajärjestelmää, joka on uusi verrattuna siihen järjestelmään, joka oli käytössä silloin kun EU:n lainsäädäntö sitoi sitä. Tämä voi tarkoittaa erityisesti tässä päätöksessä arvioidun tietosuojakehyksen tarkistamista tai muuttamista sekä muita muutoksia.

(289)

Sen vuoksi on aiheellista säätää, että tätä päätöstä sovelletaan neljän vuoden ajan sen voimaantulosta alkaen.

(290)

Jos erityisesti tämän päätöksen seurannasta saadut tiedot osoittavat, että Yhdistyneen kuningaskunnan takaaman tietosuojan tason riittävyyttä koskevat havainnot ovat edelleen asiallisesti ja oikeudellisesti perusteltuja, komission olisi viimeistään kuusi kuukautta ennen tämän päätöksen soveltamisen päättymistä aloitettava menettely tämän päätöksen muuttamiseksi pidentämällä sen soveltamisaikaa periaatteessa vielä neljällä vuodella. Tällaiset tämän päätöksen muuttamista koskevat täytäntöönpanosäädökset on hyväksyttävä asetuksen (EU) 2016/679 93 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti.

(291)

Euroopan tietosuojaneuvosto on julkaissut lausuntonsa (509), joka on otettu huomioon tätä päätöstä valmisteltaessa.

(292)

Tässä päätöksessä säädetyt toimenpiteet ovat asetuksen (EU) 2016/679 93 artiklalla perustetun komitean lausunnon mukaiset,

(1)

Direktiivissä (EU) 2016/680 vahvistetaan säännöt, joita sovelletaan henkilötietojen siirtoon unionin toimivaltaisilta viranomaisilta kolmansiin maihin ja kansainvälisille järjestöille, siltä osin kuin tällaiset siirrot kuuluvat sen soveltamisalaan. Toimivaltaisten viranomaisten tekemiä kansainvälisiä tiedonsiirtoja koskevat säännöt vahvistetaan direktiivin (EU) 2016/680 V luvussa ja erityisesti sen 35–40 artiklassa. Tehokkaan lainvalvontayhteistyön kannalta on tarpeen siirtää henkilötietoja Euroopan unionin ulkopuolisiin maihin tai niistä unioniin. Samalla on kuitenkin varmistettava, että tällaisten siirtojen yhteydessä ei heikennetä henkilötietojen suojan tasoa Euroopan unionissa (2).

(2)

Direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukaan komissio voi päättää täytäntöönpanosäädöksellä, että jokin kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällä edellytyksellä henkilötietoja voidaan siirtää kolmanteen maahan ilman lisälupaa (paitsi jos siirtoon on saatava lupa toiselta jäsenvaltiolta, jolta tiedot on saatu), kuten direktiivin (EU) 2016/680 35 artiklan 1 kohdassa ja johdanto-osan 66 kappaleessa säädetään.

(3)

Kuten direktiivin (EU) 2016/680 36 artiklan 2 kohdassa säädetään, tietosuojan tason riittävyyttä koskevan päätöksen tekemisen on perustuttava kattavaan analyysiin kolmannen maan oikeusjärjestyksestä. Komission on arvioinnissaan määritettävä, takaako kyseinen kolmas maa suojan tason, joka ”vastaa olennaisilta osin” Euroopan unionissa taattua suojan tasoa (direktiivin (EU) 2016/680 johdanto-osan 67 kappale). Vertailukohtana tässä arvioinnissa on EU:n lainsäädännön ja erityisesti direktiivin (EU) 2016/680 ja Euroopan unionin tuomioistuimen oikeuskäytännön (3) tarjoama suojan taso. Lisäksi Euroopan tietosuojaneuvoston määrittelemät tietosuojan riittävyyden viitearvot (4) ovat tältä osin merkityksellisiä.

(4)

Kuten Euroopan unionin tuomioistuin on selventänyt, tämä ei edellytä, että suojelun tason pitäisi olla täysin sama (5). Erityisesti keinot, joita kyseisellä kolmannella maalla on käytettävissään henkilötietojen suojaamiseksi, voivat erota Euroopan unionissa käytetyistä menetelmistä, kunhan ne käytännössä varmistavat tehokkaasti suojelun riittävän tason (6). Tietosuojan tason riittävyyttä koskeva vaatimus ei sen vuoksi edellytä unionin sääntöjen kopiointia kohta kohdalta. Sen sijaan tarkastellaan, onko ulkomaisen järjestelmän antama suoja kokonaisuutena vaaditun tason mukainen. Tällöin selvitetään, mikä on yksityisyyteen liittyvien oikeuksien sisältö ja pannaanko ne täytäntöön ja valvotaanko niiden toteutumista tehokkaasti (7).

(5)

Komissio on analysoinut huolellisesti Yhdistyneen kuningaskunnan asiaa koskevaa lainsäädäntöä ja käytäntöä. Jäljempänä esitettyjen havaintojensa perusteella komissio katsoo, että Yhdistynyt kuningaskunta varmistaa tietosuojan riittävän tason sellaisille henkilötiedoille, joita siirretään direktiivin (EU) 2016/680 soveltamisalaan kuuluvilta unionin toimivaltaisilta viranomaisilta Yhdistyneen kuningaskunnan toimivaltaisille viranomaisille, jotka kuuluvat vuoden 2018 tietosuojalain (8) 3 osan soveltamisalaan.

(6)

Tämän päätöksen vaikutuksena on, että näitä siirtoja voidaan tehdä ilman erillistä lupaa neljän vuoden ajan, sanotun kuitenkaan rajoittamatta direktiivin (EU) 2016/680 35 artiklassa säädettyjen edellytysten soveltamista. Määräaika on mahdollista uusia.

(7)

Yhdistynyt kuningaskunta on parlamentaarinen demokratia. Maan parlamentilla on täydellinen itsemääräämisoikeus, mikä tarkoittaa, että mikään muu valtioelin ei ole sen yläpuolella. Toimeenpanovallan käyttäjä saa toimivaltansa parlamentilta ja on toimistaan vastuussa sille. Oikeuslaitos on riippumaton. Toimeenpanovallan käyttäjän toimivalta perustuu vaaleilla valitun alahuoneen (House of Commons) luottamukseen, ja se on vastuuvelvollinen parlamentin molemmille kamareille (alahuone eli House of Commons ja ylähuone eli House of Lords). Niiden tehtävänä taas on valvoa hallituksen toimintaa ja hyväksyä lainsäädäntöehdotukset niistä käydyn keskustelun jälkeen. Yhdistyneen kuningaskunnan parlamentti on jakanut Skotlannin parlamentille, Walesin parlamentille (Senedd Cymru) ja Pohjois-Irlannin edustajakokoukselle toimivaltaa, jotta ne voivat antaa kukin alueellaan alueellista lainsäädäntöä tietyissä asioissa. Tietosuojan osalta toimivalta kuuluu Yhdistyneen kuningaskunnan parlamentille, jotta koko maassa sovelletaan sama lainsäädäntöä. Eräät muut tämän päätöksen kannalta merkitykselliset seikat kuuluvat kuitenkin alueellisen toimivallan piiriin. Esimerkiksi Skotlannin ja Pohjois-Irlannin rikosoikeusjärjestelmät, poliisitoimi (poliisiviranomaisten harjoittama toiminta) mukaan lukien, kuuluvat Skotlannin parlamentin ja Pohjois-Irlannin edustajakokouksen toimivallan piiriin (9).

(8)

Yhdistyneellä kuningaskunnalla ei ole perustamiskirjan tapaista kirjoitettua kodifioitua perustuslakia, vaan sen perustuslailliset periaatteet ovat muodostuneet vähitellen ajan myötä, erityisesti oikeuskäytännön ja tapaoikeuden perusteella. Tiettyjen lakien perustuslaillinen arvo on tunnustettu; näitä ovat mm. Magna Carta, vuoden 1689 oikeuksien julistus (Bill of Rights 1689) ja vuoden 1998 ihmisoikeuslaki (Human Rights Act 1998). Yksilöiden perusoikeuksia on kehitetty osana perustuslakia common law -oikeudessa, mainituilla laeilla ja kansainvälisillä sopimuksilla, erityisesti Euroopan ihmisoikeussopimuksella, jonka Yhdistynyt kuningaskunta ratifioi vuonna 1951. Yhdistynyt kuningaskunta on vuonna 1987 ratifioinut myös Euroopan neuvoston yleissopimuksen (N:o 108) yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (10).

(9)

Euroopan ihmisoikeussopimukseen sisältyvät oikeudet on saatettu osaksi Yhdistyneen kuningaskunnan lainsäädäntöä vuoden 1998 ihmisoikeuslailla. Sen mukaan kaikilla yksilöillä on perusoikeudet ja vapaudet, jotka on vahvistettu ihmisoikeussopimuksen 2–12 ja 14 artiklassa, sen ensimmäisen pöytäkirjan 1–3 artiklassa ja kolmannentoista pöytäkirjan 1 artiklassa, luettuna yhdessä ihmisoikeussopimuksen 16–18 artiklan kanssa. Näihin kuuluvat muun muassa oikeus yksityis- ja perhe-elämän kunnioittamiseen, mihin puolestaan sisältyy oikeus tietosuojaan ja oikeus oikeudenmukaiseen oikeudenkäyntiin (11). Ihmisoikeussopimuksen 8 artiklassa määrätään erityisesti, että viranomaiset eivät saa puuttua tämän yksityisyydensuojaa koskevan oikeuden käyttämiseen, paitsi kun laki sen sallii ja se on välttämätöntä demokraattisessa yhteiskunnassa kansallisen ja yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi, tai epäjärjestyksen tai rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi, tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi.

(10)

Vuoden 1998 ihmisoikeuslain mukaan kaiken viranomaisten toiminnan on oltava sopusoinnussa ihmisoikeussopimuksessa taatun oikeuden kanssa (12). Lisäksi primaari- ja sekundaarilainsäädäntöä on tulkittava ja se on pantava täytäntöön tavalla, joka on sopusoinnussa kyseisten oikeuksien kanssa (13). Jos yksityishenkilö katsoo, että viranomaiset ovat rikkoneet hänen oikeuksiaan, kuten oikeutta yksityisyyteen ja tietosuojaan, hän voi hakea muutosta Yhdistyneen kuningaskunnan tuomioistuimissa vuoden 1998 ihmisoikeuslain nojalla. Kun kaikki kansalliset muutoksenhakukeinot on käytetty, hän voi viime kädessä nostaa kanteen Euroopan ihmisoikeustuomioistuimessa Euroopan ihmisoikeussopimuksessa taattujen oikeuksien rikkomisesta.

(11)

Yhdistynyt kuningaskunta erosi unionista 31. tammikuuta 2020. Ison-Britannian ja Pohjois-Irlannin yhdistyneen kuningaskunnan eroamista Euroopan unionista ja Euroopan atomienergiayhteisöstä koskevan sopimuksen (14) nojalla unionin oikeutta sovellettiin Yhdistyneeseen kuningaskuntaan ja Yhdistyneessä kuningaskunnassa 31. joulukuuta 2020 päättyneen siirtymäkauden loppuun. Yhdistyneen kuningaskunnan lainsäädäntökehys, joka koskee henkilötietojen suojaa, kun toimivaltaiset viranomaiset käsittelevät henkilötietoja rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy, koostui ennen eroamista ja siirtymäkauden aikana vuoden 2018 tietosuojalain olennaisista osista; kyseisellä lailla oli saatettu direktiivi (EU) 2016/680 osaksi kansallista lainsäädäntöä.

(12)

Valmistautuakseen EU:sta eroamiseen Yhdistyneen kuningaskunnan hallitus antoi Euroopan unionista (eroamisesta) vuonna 2018 annetun lain (European Union (Withdrawal) Act 2018), jäljempänä ’eroamista koskeva laki’ (15), jolla sisällytettiin suoraan sovellettava unionin lainsäädäntö Yhdistyneen kuningaskunnan lainsäädäntöön ja säädettiin, että niin sanottu EU-oikeudesta johdettu sisäinen lainsäädäntö (”EU-derived domestic legislation”) on edelleen voimassa siirtymäkauden päätyttyä. Vuoden 2018 tietosuojalain 3 osa (16), jolla direktiivi (EU) 2016/680 saatetaan osaksi kansallista lainsäädäntöä, on eroamista koskevassa laissa tarkoitettua EU-oikeudesta johdettua sisäistä lainsäädäntöä. Eroamista koskevan lain mukaan Yhdistyneen kuningaskunnan tuomioistuinten on tulkittava EU-oikeudesta johdettua sisäistä lainsäädäntöä Euroopan unionin tuomioistuimen, jäljempänä ’unionin tuomioistuin’, asiaa koskevan oikeuskäytännön, jäljempänä ’säilytetty EU:n oikeuskäytäntö’, ja unionin oikeuden yleisten periaatteiden, jäljempänä ’säilytetyt EU:n lainsäädännön yleiset periaatteet’, mukaisesti, koska ne olivat voimassa välittömästi ennen siirtymäkauden päättymistä (17).

(13)

Eroamista koskevan lain mukaan Yhdistyneen kuningaskunnan ministereillä on valtuudet antaa johdetun oikeuden säädöksiä (statutory instruments), joilla tehdään tarvittavat muutokset säilytettyyn EU:n lainsäädäntöön Yhdistyneen kuningaskunnan unionista eroamisen seurauksena. Tietosuojaa, yksityisyydensuojaa ja sähköistä viestintää koskevat säännökset (Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019) (18) annettiin tämän valtuuden nojalla. Niillä muutetaan Yhdistyneen kuningaskunnan tietosuojalainsäädäntöä, myös vuoden 2018 tietosuojalakia, kansalliseen tilanteeseen sopivaksi (19).

(14)

Näin ollen oikeudelliset vaatimukset, jotka koskevat henkilötietojen suojaa Yhdistyneessä kuningaskunnassa erosopimuksen mukaisen siirtymäkauden jälkeen, kun toimivaltaiset viranomaiset käsittelevät henkilötietoja rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy, vahvistetaan edelleen vuoden 2018 tietosuojalain asiaa koskevissa osissa, sellaisina kuin ne ovat muutettuina tietosuojaa, yksityisyydensuojaa ja sähköistä viestintää koskevalla säädöksellä, erityisesti sen 3 osalla. Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta (UK GDPR) ei sovelleta tämäntyyppiseen käsittelyyn.

(15)

Vuoden 2018 tietosuojalain 3 osassa vahvistetaan säännöt, jotka koskevat henkilötietojen käsittelyä rikosoikeudellisia lainvalvontatarkoituksia varten, mukaan lukien tietosuojaperiaatteet, käsittelyn oikeudelliset perusteet (lainmukaisuus), rekisteröityjen oikeudet, toimivaltaisten viranomaisten velvollisuudet rekisterinpitäjinä ja tietojen edelleen siirtämistä koskevat rajoitukset. Samalla lainvalvontaan sovellettavat valvontaa, täytäntöönpanoa ja oikeussuojakeinoja koskevat säännöt sisältyvät vuoden 2018 tietosuojalain 5 ja 6 osaan.

(16)

Kun lisäksi otetaan huomioon poliisivoimien merkittävä rooli lainvalvonnassa, huomioon olisi otettava myös poliisitoimintaa koskevat säännöt. Koska poliisitoiminta on hajautettu, eri säädöksiä, jotka ovat kuitenkin usein sisällöltään samankaltaisia, sovelletaan poliisitoimintaan a) Englannissa ja Walesissa, b) Skotlannissa ja c) Pohjois-Irlannissa (20). Lisäksi erityyppisissä ohjeissa annetaan lisäselvennyksiä siitä, miten poliisin valtuuksia olisi käytettävä. Poliisin ohjeista on kolme päämuotoa: 1) lainsäädännössä olevat ohjeet, kuten vuoden 1996 poliisilain (Police Act 1996) (21) mukaiset eettiset säännöt (Code of Ethics) (22) ja poliisin hallussa olevien tietojen hallintaa koskeva ohjesääntö (Code of Practice on the Management of Police Information) (23) tai poliisista ja rikosasioiden todistusaineistosta annetun lain (Police and Criminal Evidence Act) (24) mukaiset PACE-säännöt (PACE codes) (25), 2) poliisiakatemian (College of Policing) antamat poliisin hallussa olevien tietojen hallintaa koskevat poliisin sisäiset ohjeet (Authorised Professional Practice on the Management of Police Information) (26) ja 3) poliisin julkaisemat toimintaohjeet. Kansallinen poliisipäälliköiden neuvosto (National Police Chiefs Council), joka on Yhdistyneen kuningaskunnan poliisivoimien koordinointielin, julkaisee toimintaohjeita, jotka kaikki poliisivoimat ovat hyväksyneet ja joita sen vuoksi sovelletaan kansallisesti (27). Näiden ohjeiden tarkoituksena on varmistaa, että poliisivoimat hallinnoivat tietoja yhdenmukaisesti (28).

(17)

Secretary of State antoi vuonna 2005 poliisin hallussa olevien tietojen hallintaa koskevan ohjesäännön käyttäen vuoden 1996 poliisilain 39A §:ssä säädettyjä valtuuksia (29). Poliisilain nojalla annettavilla ohjesäännöillä on oltava Secretary of Staten hyväksyntä, ja ne edellyttävät kansallisen rikosviraston kuulemista, ennen kuin ne esitetään parlamentille. Poliisilain 39A §:n 7 momentissa edellytetään, että poliisi ottaa asianmukaisesti huomioon lain nojalla annetut säännöt, joten poliisin odotetaan noudattavan niitä (30). Lisäksi muiden kuin lakisääteisten ohjeiden (kuten poliisin hallussa olevien tietojen hallintaa koskevat poliisin sisäiset ohjeet) on aina oltava yhdenmukaisia poliisin hallussa olevien tietojen hallintaa koskevan ohjesäännön kanssa, joka on säädöshierarkiassa niiden yläpuolella (31). Vaikka poliisit saattavat tietyissä operatiivisissa tilanteissa joutua poikkeamaan näistä ohjeista, heidän on joka tapauksessa noudatettava vuoden 2018 tietosuojalain 3 osan vaatimuksia (32).

(18)

Tietosuojavaltuutettu (Information Commissioner) antaa lisätietoja (33) henkilötietojen käsittelystä Yhdistyneen kuningaskunnan lainvalvonnassa (lisätietoja tietosuojavaltuutetusta on johdanto-osan 93–109 kappaleissa). Vaikka nämä ohjeet eivät olekaan muodollisesti velvoittavia, tuomioistuinten olisi otettava huomioon niiden rikkominen, koska niillä on tulkinnallista merkitystä. Lisäksi niistä käy ilmi, miten tietosuojalainsäädäntöä tulkitaan ja miten tietosuojavaltuutettu valvoo sen noudattamista (34).

(19)

Kuten johdanto-osan 8–10 kappaleessa todetaan, Yhdistyneen kuningaskunnan lainvalvontaviranomaisten on varmistettava Euroopan ihmisoikeussopimuksen ja yleissopimuksen N:o 108 noudattaminen.

(20)

Yhdistyneen kuningaskunnan rikosoikeudellisten lainvalvontaviranomaisten suorittamaa tietojen käsittelyä koskeva oikeudellinen kehys on rakenteeltaan ja pääpiirteiltään hyvin samanlainen kuin EU:ssa sovellettava oikeudellinen kehys. Tämä tarkoittaa, että kehys ei perustu ainoastaan kansallisissa laeissa säädettyihin ja EU-lainsäädännön puitteissa muokattuihin velvoitteisiin, vaan myös kansainvälisessä oikeudessa vahvistettuihin velvoitteisiin. Tämä johtuu erityisesti siitä, että Yhdistynyt kuningaskunta on liittynyt Euroopan ihmisoikeussopimukseen ja yleissopimukseen N:o 108, sekä siitä, että maa kuuluu Euroopan ihmisoikeustuomioistuimen toimivallan piiriin. Nämä oikeudellisesti sitovista kansainvälisistä sopimuksista johtuvat velvoitteet, jotka koskevat erityisesti henkilötietojen suojaa, ovat näin ollen erityisen tärkeä osa tässä päätöksessä arvioitavaa oikeudellista kehystä.

(21)

Vuoden 2018 tietosuojalain 3 osan aineellinen soveltamisala vastaa direktiivin (EU) 2016/680 2 artiklan 2 kohdassa säädettyä soveltamisalaa. Kyseistä 3 osaa sovelletaan toimivaltaisen viranomaisen suorittamaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

(22)

Lisäksi rekisterinpitäjä kuuluu kyseisen 3 osan soveltamisalaan vain, jos se on ”toimivaltainen viranomainen” ja käsittely suoritetaan ”lainvalvontatarkoituksessa”. Sen vuoksi tässä päätöksessä arvioitavaa tietosuojajärjestelmää sovelletaan näiden toimivaltaisten viranomaisten kaikkiin lainvalvontatehtäviin.

(23)

Tietosuojalain 30 §:ssä määritellään ”toimivaltaisen viranomaisen” käsite siten, että se on vuoden 2018 tietosuojalain liitteen 7 luettelossa mainittu henkilö tai muu henkilö siltä osin, kuin henkilöllä on lakisääteisiä tehtäviä lainvalvonnassa. Liitteen 7 luettelossa oleviin toimivaltaisiin viranomaisiin kuuluvat poliisivoimien lisäksi kaikki Yhdistyneen kuningaskunnan ministeriöiden osastot ja muut viranomaiset, joiden tehtävänä on tutkinta (esim. vero- ja tulliviraston päällikkö (Commissioner for Her Majesty’s Revenue and Customs), Walesin verovirasto (Welsh Revenue Authority), kilpailu- ja markkinaviranomainen (Competition and Markets Authority) tai kiinteistörekisteri (Her Majesty’s Land Register) tai kansallinen rikosvirasto (National Crime Agency)), syyttäjävirastot (prosecutorial agencies), muut rikosoikeusvirastot ja muut viranhaltijat tai organisaatiot, jotka suorittavat lainvalvontatehtäviä (35). Vuoden 2018 tietosuojalain 3 osaa sovelletaan myös tuomioistuimiin niiden hoitaessa oikeudellisia tehtäviään, lukuun ottamatta rekisteröidyn oikeuksia ja tietosuojavaltuutetun valvontaa koskevaa osaa (36). Liitteessä 7 oleva toimivaltaisten viranomaisten luettelo ei ole lopullinen, ja Secretary of State voi päivittää sitä asetuksilla ottaen huomioon julkisten virastojen organisaatiossa tapahtuneet muutokset (37).

(24)

Henkilötietojen käsittelyllä on myös oltava lainvalvontatarkoitus, joka kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy (38). Toimivaltaisen viranomaisen suorittamaan henkilötietojen käsittelyyn ei sovelleta vuoden 2018 tietosuojalain 3 osaa, jos sitä ei suoriteta lainvalvontatarkoituksessa. Näin on esimerkiksi silloin, kun kilpailu- ja markkinaviranomainen tutkii tapauksia, joita ei ole kriminalisoitu (esim. yritysten väliset sulautumat). Tällöin sovelletaan Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta yhdessä vuoden 2018 tietosuojalain 2 osan kanssa, koska toimivaltaiset viranomaiset käsittelevät henkilötietoja muissa kuin lainvalvontatarkoituksissa. Määrittääkseen, mitä tietosuojajärjestelmää (vuoden 2018 tietosuojalain 3 tai 2 osa) sovelletaan kyseessä olevien henkilötietojen käsittelyyn, toimivaltaisen viranomaisen eli rekisterinpitäjän on harkittava, onko tällaisen käsittelyn ”ensisijainen tarkoitus” jokin vuoden 2018 tietosuojalain mukaisista lainvalvontatarkoituksista.

(25)

Vuoden 2018 tietosuojalain 3 osan alueellisen soveltamisalan osalta 207 §:n 2 momentissa säädetään, että tietosuojalakia sovelletaan henkilötietojen käsittelyyn sellaisen henkilön toiminnan yhteydessä, jonka toimialue kattaa koko Yhdistyneen kuningaskunnan alueen. Tähän sisältyvät Englannin, Walesin, Skotlannin ja Pohjois-Irlannin alueiden viranomaiset, jotka kuuluvat vuoden 2018 tietosuojasopimuksen 3 osan aineelliseen soveltamisalaan (39).

(26)

Henkilötietojen ja käsittelyn keskeiset käsitteet on määritelty vuoden 2018 tietosuojalain 3 §:ssä, ja niitä sovelletaan koko tietosuojalaissa. Määritelmät vastaavat läheisesti direktiivin (EU) 2016/680 3 artiklassa vahvistettuja määritelmiä. Vuoden 2018 tietosuojalain mukaan henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan elävään henkilöön (40) liittyviä tietoja. Vuoden 2018 tietosuojalain 3 §:n 3 momentin mukaan henkilö on tunnistettavissa, jos hänet voidaan tietojen perusteella tunnistaa suoraan tai epäsuorasti. Näihin tietoihin kuuluvat viittaus nimeen tai tunnisteeseen taikka yhteen tai useampaan henkilön fyysiselle, fysiologiselle, geneettiselle, psyykkiselle, taloudelliselle, kulttuuriselle tai sosiaaliselle identiteetille ominaiseen tekijään. ’Käsittelyllä’ tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin, kuten a) kerääminen, tallentaminen, järjestäminen, jäsentäminen tai säilyttäminen; b) muokkaaminen tai muuttaminen; c) haku, kysely tai käyttö; d) luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville; e) yhteensovittaminen tai yhdistäminen; tai f) rajoittaminen, poistaminen tai tuhoaminen. Lisäksi laissa määritellään ’arkaluontoinen käsittely’ seuraavasti: ”a) sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys; b) geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten; c) terveyttä koskevien tietojen käsittely; d) henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely” (41). Tältä osin vuoden 2018 tietosuojalain 205 §:ssä määritellään ’biometriset tiedot’ (42), ’terveyttä koskevat tiedot’ (43) ja ’geneettiset tiedot’ (44).

(27)

Vuoden 2018 tietosuojalain 32 §:ssä selvennetään ’rekisterinpitäjän’ ja ’henkilötietojen käsittelijän’ määritelmiä lainvalvontatarkoituksessa tapahtuvan henkilötietojen käsittelyn yhteydessä noudattaen tarkasti direktiivin (EU) 2016/680 vastaavia määritelmiä. Rekisterinpitäjällä tarkoitetaan toimivaltaista viranomaista, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Jos käsittely on lain mukaan pakollista, rekisterinpitäjä on se toimivaltainen viranomainen, jota laissa säädetty velvoite koskee. Henkilötietojen käsittelijällä tarkoitetaan henkilöä, joka käsittelee henkilötietoja rekisterinpitäjän puolesta (muu henkilö kuin rekisterinpitäjän työntekijä).

(28)

Vuoden 2018 tietosuojalain 35 §:n mukaan henkilötietojen käsittelyn on oltava lainmukaista ja asianmukaista, samalla tavalla kuin direktiivin (EU) 2016/680 4 artiklan 1 kohdan a alakohdassa säädetään. Vuoden 2018 tietosuojalain 35 §:n 2 momentin mukaan henkilötietojen käsittely jotakin lainvalvontatarkoitusta varten on lainmukaista vain, jos käsittely perustuu lainsäädäntöön ja rekisteröity on antanut suostumuksensa tietojen käsittelyyn tätä tarkoitusta varten tai jos käsittely on tarpeen toimivaltaisen viranomaisen tätä tarkoitusta varten suorittaman tehtävän suorittamiseksi.

(29)

Vuoden 2018 tietosuojalain 3 osan soveltamisalaan kuuluvan tietojenkäsittelyn lainmukaisuuden varmistamiseksi tällaisen käsittelyn on perustuttava lainsäädäntöön, kuten myös direktiivin (EU) 2016/680 8 artiklassa säädetään. ”Lainmukaisella” tietojenkäsittelyllä tarkoitetaan, että siihen on saatu lupa joko lain, common law’n tai kuninkaallisen etuoikeuden (royal prerogatives) nojalla (45).

(30)

Toimivaltaisten viranomaisten toimivaltuudet ovat yleensä lakisääteisiä, mikä tarkoittaa, että niiden tehtävät ja valtuudet on määritelty selkeästi parlamentin hyväksymässä lainsäädännössä (46). Tietyissä tapauksissa poliisi ja muut vuoden 2018 tietosuojalain liitteessä 7 luetellut toimivaltaiset viranomaiset voivat käyttää perusteena common law -oikeutta, kun ne käsittelevät henkilötietoja (47). Common law perustuu tuomioistuinten ennakkotapauksiin. Common law on merkityksellinen, kun tarkastellaan poliisin siihen perustuvia toimivaltuuksia ja poliisin keskeistä velvollisuutta suojella yleisöä paljastamalla ja ehkäisemällä rikollisuutta (48). Poliisivoimilla on kuitenkin sekä common law -oikeuteen että lainsäädäntöön (49) perustuva toimivalta velvollisuutensa suorittamiseen. Jos poliisilla on lakisääteinen toimivalta, se syrjäyttää common law -valtuudet (50).

(31)

Oikeuskäytännön mukaan poliisin common law -oikeuden mukaisiin valtuuksiin ja velvollisuuksiin sisältyvät kaikki toimenpiteet, jotka poliisin mielestä ovat välttämättömiä rauhan ylläpitämiseksi, rikosten ehkäisemiseksi tai omaisuuden suojelemiseksi rikoksilta (51). Common law -valtuudet eivät ole rajoittamattomia valtuuksia. Niihin kohdistuu monenlaisia rajoituksia, kuten tuomioistuinten (52) asettamia rajoituksia ja lainsäädännössä, erityisesti vuoden 1998 ihmisoikeuslaissa ja vuoden 2010 tasa-arvolaissa (Equality Act) (53), säädettyjä rajoituksia. Lisäksi niiden toimivaltaisten viranomaisten osalta, jotka käsittelevät tietoja vuoden 2018 tietosuojalain 3 osan nojalla, mainitussa laissa vahvistetut vaatimukset rajoittavat common law -valtuuksien käyttöä (54). Kaikissa tietojenkäsittelyä koskevissa päätöksissä on myös otettava huomioon sovellettavien ohjeiden, kuten poliisin hallussa olevien tietojen hallintaa koskevan ohjesäännön, vaatimukset sekä asianomaisessa Yhdistyneen kuningaskunnan osassa sovellettavat ohjeet (55). Hallitus ja operatiivinen poliisitoimi ovat antaneet useita ohjeasiakirjoja sen varmistamiseksi, että poliisit käyttävät toimivaltuuksiaan common law -oikeuden tai asiaa koskevan lain asettamissa rajoissa (56).

(32)

Kuninkaalliset etuoikeudet muodostavat osan ”oikeutta”. Niillä viitataan tiettyihin kruunulle annettuihin ja toimeenpanovallan käyttäjän käytettävissä oleviin toimivaltuuksiin, jotka eivät perustu säädettyyn lakiin vaan monarkin suvereniteettiin (57). On hyvin vähän esimerkkejä etuoikeuksista, joilla on merkitystä lainvalvonnan kannalta. Niihin kuuluu esimerkiksi keskinäisen oikeusavun kehys, jonka perusteella Secretary of State voi jakaa tietoja kolmansien maiden kanssa lainvalvontatarkoituksia varten, eikä tällaista toimivaltaa jakaa tietoja ole aina vahvistettu lainsäädännössä (58). Kuninkaallisiin etuoikeuksiin sovelletaan common law -periaatteita (59), ja koska ne ovat normihierarkiassa säädetyn lain alapuolella, niihin sovelletaan myös vuoden 1998 ihmisoikeuslaissa ja vuoden 2018 tietosuojalaissa säädettyjä rajoituksia (60).

(33)

Yhdistyneen kuningaskunnan järjestelmässä edellytetään samalla tavalla kuin direktiivin (EU) 2016/680 8 artiklassa, että lainmukaisuuden periaatteen noudattamiseksi toimivaltaisten viranomaisten olisi varmistettava, että kun henkilötietojen käsittely perustuu lakiin, sen on myös oltava ”tarpeen” lainvalvontatarkoituksessa suoritettavan tehtävän suorittamiseksi. Tietosuojavaltuutetun ohjeissa selvennetään tältä osin, että käsittelyn on oltava kohdennettu ja oikeasuhteinen keino tavoitteen saavuttamiseksi. Käsittely ei ole lainmukaista, jos tavoite voidaan kohtuudella saavuttaa muilla vähemmän yksityisyyteen puuttuvilla keinoilla. Väite, jonka mukaan käsittely on tarpeen, koska liiketoimintaa on päätetty harjoittaa tietyllä tavalla, ei ole riittävä. Kysymys on siitä, onko käsittely tarpeen ilmoitettua tarkoitusta varten (61).

(34)

Kuten johdanto-osan 28 kappaleessa todetaan, vuoden 2018 tietosuojalain 35 §:n 2 momentissa säädetään mahdollisuudesta käsitellä henkilötietoja henkilön ”suostumuksen” perusteella.

(35)

Suostumus ei kuitenkaan näytä olevan tämän päätöksen soveltamisalaan kuuluvien käsittelytoimien kannalta merkityksellinen oikeusperusta. Itse asiassa tämän päätöksen soveltamisalaan kuuluvat käsittelytoimet koskevat aina tietoja, jotka jäsenvaltion toimivaltainen viranomainen on siirtänyt direktiivin (EU) 2016/680 nojalla Yhdistyneen kuningaskunnan toimivaltaiselle viranomaiselle. Näin ollen niihin ei yleensä liity viranomaisen ja rekisteröityjen välistä suoraa vuorovaikutusta (tietojen keruuta), joka voi perustua vuoden 2018 tietosuojalain 35 §:n 2 momentin a kohdan mukaiseen suostumukseen.

(36)

Vaikka suostumuksen käyttämistä perusteena ei näin ollen pidetä merkityksellisenä tämän päätöksen nojalla suoritettavan arvioinnin kannalta, on syytä todeta kattavuuden vuoksi, että lainvalvontaan liittyvä käsittely ei koskaan perustu pelkästään suostumukseen, sillä toimivaltaisella viranomaisella on aina oltava valtuudet käsitellä tietoja (62). Tarkemmin sanottuna ja samoin kuin direktiivissä (EU) 2016/680 (63) sallitaan, tämä tarkoittaa sitä, että suostumus on lisäedellytys sille, että mahdollistetaan tietyt rajoitetut ja erityiset käsittelytoimet, joita ei muutoin voitaisi suorittaa, esimerkiksi sellaisen henkilön DNA-näytteen ottaminen ja käsittely, joka ei ole epäilty. Tässä tapauksessa käsittelyä ei suoriteta, jos suostumusta ei anneta tai se peruutetaan (64).

(37)

Tapauksissa, joissa edellytetään yksilön suostumusta, suostumuksen on oltava yksiselitteinen ja se on annettava toteuttamalla selvästi suostumusta ilmaiseva toimi (65). Poliisivoimilla on oltava tietosuojaseloste, joka sisältää muun muassa tarvittavat tiedot suostumuksen asianmukaisesta käytöstä. Lisäksi jotkin poliisin yksiköt julkaisevat lisäaineistoa siitä, miten ne noudattavat tietosuojalainsäädäntöä, esimerkiksi miten ja milloin ne käyttäisivät suostumusta oikeusperustana (66).

(38)

”Erityisiä tietoryhmiä” käsiteltäessä olisi sovellettava erityisiä suojatoimia. Vuoden 2018 tietosuojalain 3 osassa samoin kuin direktiivin (EU) 2016/680 10 artiklassa säädetään vahvemmista suojatoimista niin sanottua arkaluontoista käsittelyä varten (67).

(39)

Vuoden 1998 tietosuojalain 35 §:n 3 momentin mukaan toimivaltaiset viranomaiset voivat käsitellä arkaluontoisia tietoja lainvalvontatarkoituksessa vain kahdessa tapauksessa: 1) rekisteröity on antanut suostumuksensa tietojen käsittelyyn lainvalvontatarkoituksessa, ja käsittelyn ajankohtana rekisterinpitäjällä on käytössään asianmukainen toimintapoliittinen asiakirja (68); tai 2) käsittely on ehdottoman välttämätöntä lainvalvontatarkoitusta varten, käsittely täyttää vähintään yhden vuoden 2018 tietosuojalain liitteessä 8 vahvistetuista edellytyksistä, ja käsittelyn suorittamishetkellä rekisterinpitäjällä on käytössään asianmukainen toimintapoliittinen asiakirja (69).

(40)

Ensimmäisen tapauksen osalta ja kuten johdanto-osan 38 kappaleessa selitetään, suostumuksen käyttämistä perusteena ei pidetä merkityksellisenä tämän päätöksen soveltamisalaan kuuluvassa siirtotilanteessa (70).

(41)

Jos arkaluontoisten tietojen käsittely ei perustu suostumukseen, se voidaan suorittaa käyttäen jotakin vuoden 2018 tietosuojalain liitteessä 8 luetelluista edellytyksistä. Nämä edellytykset liittyvät käsittelyyn, joka on tarpeen laissa säädettyjä tarkoituksia, tuomiovaltaa, rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamista, lasten ja vaarassa olevien henkilöiden suojelua, oikeudellisia vaateita, oikeudellisia toimia, petosten ehkäisemistä ja arkistointia varten, jos rekisteröity on selvästi julkistanut henkilötiedot. Lukuun ottamatta tapauksia, joissa tiedot on selvästi julkistettu, kaikkiin liitteessä 8 esitettyihin edellytyksiin sovelletaan ”ehdottoman välttämättömyyden” kriteeriä. Kuten tietosuojavaltuutettu on selventänyt, ”tässä yhteydessä ehdottoman välttämätön tarkoittaa, että käsittelyn on liityttävä pakottavaan yhteiskunnalliseen tarpeeseen, eikä tavoitetta voida kohtuudella saavuttaa vähemmän yksityisyyteen puuttuvilla keinoilla” (71). Lisäksi joihinkin edellytyksiin sovelletaan lisärajoituksia. Esimerkiksi jotta voitaisiin käyttää perustana ”laissa säädettyjä tarkoituksia” tai ”suojelua koskevia edellytyksiä” (liitteessä 8 oleva 1 ja 4 kohta) on lisävaatimuksena, että näin voidaan saavuttaa merkittävää yleistä etua. Lisäksi lapsen suojelua koskevien edellytysten osalta (liitteessä 8 oleva 4 kohta) rekisteröidyn on myös oltava tietynikäinen ja hänen on katsottava olevan vaarassa. Lisäksi rekisterinpitäjä voi soveltaa liitteessä 8 olevassa 4 kohdassa säädettyä edellytystä vain erityisissä olosuhteissa (72). Vastaavasti ”oikeudellisia toimia” (liitteessä 8 oleva 7 kohta) ja ”petosten ehkäisemistä” (liitteessä 8 oleva 8 kohta) koskevien edellytysten soveltamiseen on olemassa rajoituksia. Molempia ehtoja voidaan soveltaa vain tiettyihin rekisterinpitäjiin. Oikeudellisia toimia koskevaa edellytystä voi soveltaa ainoastaan tuomioistuin tai muu oikeusviranomainen, ja petostentorjuntaa koskevaa edellytystä voivat soveltaa ainoastaan rekisterinpitäjät, jotka ovat petostentorjuntaorganisaatioita.

(42)

Kun käsittely perustuu johonkin liitteessä 8 luetelluista edellytyksistä ja vuoden 2018 tietosuojalain 42 §:ssä edellytetään, että käytössä on ”asianmukainen toimintapoliittinen asiakirja” – jossa selitetään, miten rekisterinpitäjän on meneteltävä varmistaakseen tietosuojaperiaatteiden noudattamisen, ja mitkä ovat henkilötietojen säilyttämistä ja poistamista koskevat rekisterinpitäjän toimintaperiaatteet – ja sovelletaan laajennettuja kirjan pitämistä koskevia velvoitteita.

(43)

Henkilötietoja olisi käsiteltävä tiettyä tarkoitusta varten ja käytettävä myöhemmin vain siltä osin, kuin se ei ole ristiriidassa kyseisen tarkoituksen kanssa. Tämä tietosuojaperiaate taataan vuoden 2018 tietosuojalain 36 §:ssä. Tässä säännöksessä ja direktiivin (EU) 2016/680 4 artiklan 1 kohdan b alakohdassa edellytetään, että a) lainvalvontatarkoituksen, jota varten henkilötietoja kerätään, on aina oltava tietty, nimenomainen ja laillinen, ja b) näin kerättyjä henkilötietoja ei saa käsitellä tavalla, joka on yhteensopimaton sen tarkoituksen kanssa, jota varten ne on kerätty.

(44)

Kun toimivaltaiset viranomaiset käsittelevät tietoja lainvalvontatarkoituksessa, tähän tarkoitukseen voivat kuulua arkistointi, tieteellinen tai historiallinen tutkimus ja tilastointi (73). Näissä tapauksissa vuoden 2018 tietosuojalaissa myös selvennetään, että arkistointi (tai käsittely tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten) ei ole sallittua, jos se tehdään tiettyä rekisteröityä koskevien päätösten osalta tai jos se todennäköisesti aiheuttaa hänelle huomattavaa vahinkoa tai kärsimystä (74).

(45)

Tietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Tietojen on oltava myös asianmukaisia ja olennaisia, eivätkä ne saa olla liian laajoja siihen tarkoitukseen nähden, jota varten niitä käsitellään. Direktiivin (EU) 2016/680 4 artiklan 1 kohdan c, d ja e alakohdan tavoin nämä periaatteet on varmistettu vuoden 2018 tietosuojalain 37 ja 38 §:ssä. On toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että virheelliset (75) henkilötiedot poistetaan tai oikaistaan viipymättä (76) käsittelyn (77) lainvalvontatarkoitus huomioiden, ja sen varmistamiseksi, että virheellisiä, puutteellisia tai vanhentuneita henkilötietoja ei siirretä tai aseteta saataville mitään lainvalvontatarkoitusta varten (78).

(46)

Lisäksi Yhdistyneen kuningaskunnan tietosuojajärjestelmässä täsmennetään direktiivin (EU) 2016/680 7 artiklan tavoin, että tosiseikkoihin perustuvat henkilötiedot on mahdollisuuksien mukaan erotettava henkilökohtaisiin arvioihin perustuvista henkilötiedoista (79). Tarvittaessa ja mahdollisuuksien mukaan on erotettava selvästi toisistaan henkilötiedot, jotka koskevat eri ryhmiin kuuluvia rekisteröityjä, kuten epäiltyjä, rikoksesta tuomittuja henkilöitä, rikoksen uhreja ja todistajia (80).

(47)

Direktiivin (EU) 2016/680 5 artiklan mukaan tietoja olisi periaatteessa säilytettävä vain niin kauan, kuin on tarpeen niitä tarkoituksia varten, joita varten henkilötietoja käsitellään. Vuoden 2018 tietosuojalain 39 §:n ja samoin kuin mainitun direktiivin 5 artiklan mukaan henkilötietoja ei saa säilyttää mitään lainvalvontatarkoitusta varten pidempään, kuin on tarpeen sen tarkoituksen kannalta, jota varten niitä käsitellään. Yhdistyneen kuningaskunnan oikeudellisessa järjestelmässä edellytetään, että on vahvistettava asianmukaiset määräajat, joiden puitteissa tarkastellaan säännöllisesti uudelleen henkilötietojen säilyttämisen jatkamisen tarpeellisuutta lainvalvontatarkoituksia varten. Henkilötietojen säilyttämiseen liittyviä käytäntöjä ja sovellettavia määräaikoja koskevia lisäsääntöjä on vahvistettu asiaa koskevassa lainsäädännössä ja poliisin toimivaltuuksia ja toimintaa koskevissa ohjeissa. Esimerkiksi Englannissa ja Walesissa poliisiakatemian antama poliisin hallussa olevien tietojen hallintaa koskeva ohjesääntö yhdessä poliisin hallussa olevien tietojen hallintaa koskevien poliisin sisäisten ohjeiden kanssa muodostavat kehyksen, jolla varmistetaan johdonmukainen riskiperusteinen säilyttämis-, tarkistus- ja loppukäsittelyprosessi poliisin hallussa olevan operatiivisen tiedon hallinnointia varten (81). Tässä kehyksessä asetetaan kaikille yksiköille selkeät vaatimukset sille, miten tietoja olisi luotava, jaettava, käytettävä ja hallinnoitava yksittäisten poliisivoimien ja muiden virastojen sisällä ja niiden välillä (82). Poliisin odotetaan noudattavan ohjesääntöä, ja sen noudattamista valvoo Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services (83).

(48)

Pohjois-Irlannin poliisiviraston ei lain mukaan tarvitse noudattaa poliisin hallussa olevien tietojen hallintaa koskevaa ohjesääntöä. Vuonna 2011 hyväksyttyjä poliisin hallussa olevien tietojen hallintaa koskevan ohjesäännön puitteita täydennetään kuitenkin Pohjois-Irlannin poliisiviraston käsikirjalla (84), jossa esitetään toimintaperiaatteet ja menettelyt, kun poliisin hallussa olevien tietojen hallintaa koskevaa ohjesääntöä sovelletaan Pohjois-Irlannissa.

(49)

Skotlannin poliisivoimat tukeutuvat tietojen säilyttämistä koskevaan menettelyohjeeseen (Record Retention Standard Operating Procedure) (85), jossa vahvistetaan Skotlannin poliisiviraston tiedonhallinnan toimintalinjoja (Records Management Policy) (86). Menettelyohjeessa vahvistetaan erityiset Skotlannin poliisin hallussa olevien tietojen säilyttämistä koskevat säännöt.

(50)

Sen lisäksi, että koko Yhdistyneessä kuningaskunnassa sovelletaan yleistä vaatimusta tarkistaa tietoja, paikallisissa säännöissä asetetaan yksityiskohtaisempia vaatimuksia. Esimerkiksi Englannin ja Walesin osalta poliisista ja rikosasioiden todistusaineistosta annetussa laissa, sellaisena kuin se on muutettuna vuonna 2012 vapauksien suojelusta annetulla lailla, säädetään sormenjälkien ja DNA-tunnisteiden säilyttämisestä sekä erityisestä järjestelmästä, jota sovelletaan henkilöihin, joita ei ole tuomittu (87). Vapauksien suojelusta annetulla lailla perustettiin myös biometristen materiaalien säilyttämisestä ja käytöstä vastaavan valtuutetun (Biometrics Commissioner) tehtävä (88). Pidätyskuvia koskevat säännöt annettiin vuoden 2017 pidätyskuvia koskevassa määräyksessä (Custody Image Review) (89). Skotlannissa vuoden 1995 rikosprosessilaissa säädetään sormenjälkien ja biologisten näytteiden hankkimisesta ja säilyttämisestä (90). Kuten Englannissa ja Walesissa, lainsäädännössä säännellään biometristen tietojen säilyttämistä eri tapauksissa (91).

(51)

Henkilötietoja on käsiteltävä tavalla, jolla varmistetaan niiden turvallisuus, mukaan lukien suojaaminen luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Tätä varten viranomaisten on toteutettava asianmukaisia teknisiä tai organisatorisia toimenpiteitä henkilötietojen suojaamiseksi mahdollisilta uhkilta. Näitä toimenpiteitä on arvioitava ottaen huomioon alan uusin tekniikka ja siihen liittyvät kustannukset.

(52)

Nämä periaatteet on otettu huomioon vuoden 2018 tietosuojalain 40 §:ssä, jonka mukaan, samalla tavalla kuin direktiivin (EU) 2016/680 4 artiklan 1 kohdan f alakohdassa säädetään, lainvalvontatarkoituksia varten käsiteltyjä henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen tietoturva, asianmukaisia teknisiä tai organisatorisia toimenpiteitä hyödyntäen. Tähän sisältyy tietojen suojaaminen luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta (92). Vuoden 2018 tietosuojalain 66 §:ssä täsmennetään lisäksi, että kunkin rekisterinpitäjän ja kunkin henkilötietojen käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen henkilötietojen käsittelystä aiheutuviin riskeihin nähden asianmukainen turvallisuustaso. Selittävien huomautusten mukaan rekisterinpitäjän on arvioitava riskit ja toteutettava sen perusteella asianmukaiset turvatoimenpiteet, kuten salaus tai tietoja käsittelevän henkilöstön erityiset turvallisuusselvityksen tasot (93). Arvioinnissa on otettava huomioon myös esimerkiksi käsiteltyjen tietojen luonne ja muut merkitykselliset tekijät tai olosuhteet, jotka voivat vaikuttaa käsittelyn turvallisuuteen.

(53)

Tietoturvaperiaatteiden noudattamista koskeva järjestelmä on hyvin samankaltainen kuin direktiivin (EU) 2016/680 29–31 artiklalla perustettu järjestelmä. Erityisesti silloin, kun on kyse henkilötietojen tietoturvaloukkauksesta, josta rekisterinpitäjä on vastuussa, rekisterinpitäjän on vuoden 2018 tietosuojalain 67 §:n 1 momentin mukaan ilmoitettava tietoturvaloukkauksesta tietosuojavaltuutetulle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa tietoturvaloukkauksesta (94). Ilmoitusvelvollisuutta ei ole, jos henkilötietojen tietoturvaloukkaus ei todennäköisesti aiheuta riskiä yksilöiden oikeuksille ja vapauksille (95). Rekisterinpitäjän on dokumentoitava henkilötietojen tietoturvaloukkaukseen liittyvät tosiseikat, sen vaikutukset ja toteutetut korjaavat toimet siten, että tietosuojavaltuutettu voi varmistaa, onko tietosuojalakia noudatettu (96). Jos henkilötietojen käsittelijä saa tiedon tietoturvaloukkauksesta, sen on ilmoitettava siitä rekisterinpitäjälle ilman aiheetonta viivytystä (97).

(54)

Vuoden 2018 tietosuojalain 68 §:n 1 momentissa säädetään, että jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin yksilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä (98). Ilmoituksessa on oltava samat tiedot kuin johdanto-osan 53 kappaleessa selostetussa tietosuojavaltuutetun ilmoituksessa. Tätä velvoitetta ei sovelleta, jos rekisterinpitäjä oli toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet, joita sovellettiin henkilötietoihin, joita tietoturvaloukkaus koskee. Sitä ei sovelleta myöskään, jos rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että rekisteröityjen oikeuksiin ja vapauksiin kohdistuva suuri riski ei enää todennäköisesti toteudu. Rekisterinpitäjän ei myöskään tarvitse ilmoittaa rekisteröidylle, jos ilmoittaminen vaatisi kohtuutonta vaivaa (99). Tällöin tiedot on asetettava rekisteröidyn saataville muulla yhtä tehokkaalla tavalla, esimerkiksi julkisella tiedonannolla (100). Jos rekisterinpitäjä ei ole ilmoittanut rekisteröidylle tietoturvaloukkauksesta, tietosuojavaltuutettu voi tietosuojalain 67 §:n mukaisen ilmoituksen jälkeen ja arvioituaan, että tietoturvaloukkaus aiheuttaa suuren riskin, vaatia rekisterinpitäjää ilmoittamaan tietoturvaloukkauksesta rekisteröidylle (101).

(55)

Rekisteröidyille on ilmoitettava heidän henkilötietojensa käsittelyn pääkohdat. Tämä tietosuojaperiaate on otettu huomioon vuoden 2018 tietosuojalain 44 §:ssä, jossa säädetään direktiivin (EU) 2016/680 13 artiklan tavoin, että rekisterinpitäjällä on yleinen velvollisuus antaa rekisteröityjen saataville tiedot heidän henkilötietojensa käsittelystä (joko asettamalla tiedot yleisesti yleisön saataville tai muulla tavoin) (102). Saataville asetettaviin tietoihin kuuluvat a) rekisterinpitäjän henkilöllisyys ja yhteystiedot, b) tapauksen mukaan tietosuojavastaavan yhteystiedot, c) tarkoitukset, joita varten rekisterinpitäjä käsittelee henkilötietoja, d) tieto siitä, että rekisteröidyillä on oikeus pyytää rekisterinpitäjältä pääsy henkilötietoihin sekä oikeus pyytää henkilötietojen oikaisemista tai poistamista tai henkilötietojen käsittelyn rajoittamista, ja e) tieto oikeudesta tehdä valitus tietosuojavaltuutetulle ja tietosuojavaltuutetun yhteystiedot (103).

(56)

Rekisterinpitäjän on myös sellaisissa erityistapauksissa, joissa mahdollistetaan vuoden 2018 tietosuojalain mukaisten rekisteröidyn oikeuksien käyttäminen (esimerkiksi kun käsiteltävät henkilötiedot on kerätty rekisteröidyn tietämättä), annettava rekisteröidylle seuraavat tiedot: a) käsittelyn oikeusperusta, b) henkilötietojen säilytysaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit, c) tarvittaessa tiedot henkilötietojen vastaanottajien ryhmistä (myös kolmansissa maissa tai kansainvälisissä järjestöissä olevista vastaanottajista), d) lisätiedot, jotka ovat rekisteröidylle tarpeen vuoden 2018 tietosuojalain 3 osan (104) mukaisten oikeuksien käyttämiseksi.

(57)

Rekisteröidyillä on oltava tiettyjä täytäntöönpanokelpoisia oikeuksia. Vuoden 2018 tietosuojalain 3 osan 3 luvussa annetaan yksilöille oikeus saada pääsy henkilötietoihin, oikaista ja poistaa niitä sekä rajoittaa niiden käyttöä (105). Nämä oikeudet ovat verrattavissa direktiivin (EU) 2016/680 3 luvussa säädettyihin oikeuksiin.

(58)

Oikeudesta saada pääsy tietoihin säädetään vuoden 2018 tietosuojalain 45 §:ssä. Yksilöllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö hänen henkilötietojaan vai ei (106). Kun henkilötietoja käsitellään, rekisteröidyllä on myös oikeus saada pääsy kyseisiin tietoihin ja vastaanottaa seuraavat tiedot käsittelystä: a) käsittelyn tarkoitukset ja oikeusperustat, b) kyseessä olevat tietoryhmät, c) vastaanottaja, jolle tiedot on luovutettu, d) henkilötietojen säilytysaika, e) rekisteröidyn oikeus henkilötietojen oikaisemiseen ja poistamiseen, f) oikeus tehdä valitus ja g) mahdolliset tiedot kyseisten henkilötietojen alkuperästä (107).

(59)

Vuoden 2018 tietosuojalain 46 §:n mukaan rekisteröidyllä on oikeus vaatia rekisterinpitäjää oikaisemaan häntä koskevat virheelliset henkilötiedot. Rekisterinpitäjän on oikaistava (tai jos tiedot ovat virheellisiä siksi, että ne ovat puutteellisia, täydennettävä) tiedot ilman aiheetonta viivytystä. Jos henkilötiedot on säilytettävä todistelua varten, rekisterinpitäjän on (henkilötietojen oikaisemisen sijaan) rajoitettava niiden käsittelyä (108).

(60)

Vuoden 2018 tietosuojalain 47 §:ssä annetaan yksityishenkilöille oikeus tietojen poistamiseen ja käsittelyn rajoittamiseen. Rekisterinpitäjän on poistettava (109) henkilötiedot ilman aiheetonta viivytystä, jos henkilötietojen käsittely rikkoisi tietosuojaperiaatteita, käsittelyn oikeudellisia perusteita tai arkistointia ja arkaluontoista käsittelyä koskevia suojatoimia. Rekisterinpitäjän on myös poistettava tiedot, jos siihen on lakisääteinen velvoite. Jos henkilötiedot on säilytettävä todistelua varten, rekisterinpitäjän on (henkilötietojen poistamisen sijaan) rajoitettava niiden käsittelyä (110). Rekisterinpitäjän on rajoitettava henkilötietojen käsittelyä, jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, mutta tietojen oikeellisuutta ei voida varmistaa (111).

(61)

Jos rekisteröity pyytää henkilötietojen oikaisemista tai poistamista tai niiden käsittelyn rajoittamista, rekisterinpitäjän on ilmoitettava rekisteröidylle kirjallisesti, onko pyyntöön suostuttu. Jos pyyntö on hylätty, sen on ilmoitettava rekisteröidylle kieltäytymisen syyt ja käytettävissä olevat oikeussuojakeinot (rekisteröidyn oikeus pyytää tietosuojavaltuutettua tutkimaan, onko rajoitusta sovellettu lainmukaisesti, oikeus tehdä valitus tietovaltuutetulle ja oikeus vaatia tuomioistuimelta lain noudattamista koskevan määräyksen antamista) (112).

(62)

Jos rekisterinpitäjä oikaisee toiselta toimivaltaiselta viranomaiselta saatuja henkilötietoja, sen on ilmoitettava asiasta kyseiselle toiselle viranomaiselle (113). Jos rekisterinpitäjä oikaisee tai poistaa luovuttamiaan henkilötietoja tai rajoittaa niiden käsittelyä, rekisterinpitäjän on ilmoitettava tästä vastaanottajille, ja vastaanottajien on vastaavasti oikaistava tai poistettava henkilötietoja tai rajoitettava niiden käsittelyä (siltä osin kuin he ovat edelleen vastuussa henkilötietojen käsittelystä) (114).

(63)

Lisäksi rekisteröidyllä on oikeus saada rekisterinpitäjältä ilman aiheetonta viivytystä tieto henkilötietojen tietoturvaloukkauksesta, jos se todennäköisesti aiheuttaa suuren riskin yksilöiden oikeuksille ja vapauksille (115).

(64)

Kaikkien näiden rekisteröidyn oikeuksien osalta ja samoin kuin direktiivin (EU) 2016/680 12 artiklassa säädetään, rekisterinpitäjällä on velvollisuus varmistaa, että kaikki rekisteröidylle annettavat tiedot toimitetaan tiiviisti esitetyssä, ymmärrettävässä ja helposti saatavilla olevassa muodossa (116) ja mahdollisuuksien mukaan samassa muodossa kuin pyyntö (117). Rekisterinpitäjän on noudatettava rekisteröidyn pyyntöä ilman aiheetonta viivytystä tai joka tapauksessa periaatteessa kuukauden kuluessa pyynnön esittämisestä (118). Jos rekisterinpitäjällä on perusteltua aihetta epäillä pyytäjän henkilöllisyyttä, hän voi pyytää lisätietoja ja viivyttää pyynnön käsittelyä, kunnes henkilöllisyys on varmistettu. Rekisterinpitäjä voi vaatia kohtuullista maksua tai kieltäytyä toimimasta, jos se katsoo pyynnön ilmeisen perusteettomaksi (119). Tietosuojavaltuutettu on antanut ohjeita siitä, milloin pyyntö katsotaan ilmeisen perusteettomaksi tai kohtuuttomaksi ja milloin maksua voidaan vaatia (120).

(65)

Lisäksi vuoden 2018 tietosuojalain 53 §:n 4 momentin mukaan Secretary of State voi vahvistaa maksun enimmäismäärän asetuksella.

(66)

Toimivaltainen viranomainen voi tietyissä olosuhteissa rajoittaa rekisteröidyn oikeuksia, kuten oikeutta saada pääsy tietoihin (121), saada tieto (122), tietää henkilötietojen tietoturvaloukkauksesta (123) ja saada tieto siitä, miksi oikaisu- tai poistamispyyntö on hylätty (124). Samalla tavalla kuin direktiivin (EU) 2016/680 III luvussa tarkoitetussa järjestelmässä, toimivaltainen viranomainen voi soveltaa rajoitusta vain, jos se on rekisteröidyn perusoikeudet ja oikeutetut edut huomioon ottaen välttämätöntä ja oikeasuhteista, a) jotta vältetään virallisen tai laillisen tiedustelun, tutkimuksen tai menettelyn estäminen b) jotta vältetään tuottamasta haittaa rikosten ennalta estämiselle, tutkimiselle ja paljastamiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle, c) yleisen turvallisuuden suojelemiseksi, d) kansallisen turvallisuuden suojelemiseksi, e) muiden henkilöiden oikeuksien ja vapauksien suojaamiseksi.

(67)

Tietosuojavaltuutettu on antanut ohjeita näiden rajoitusten soveltamisesta. Rekisterinpitäjien on tehtävä näiden ohjeiden mukaan tapauskohtainen analyysi, jossa otetaan tasapuolisesti huomioon yksilön oikeudet ja tietojen luovuttamisesta aiheutuva haitta. Niiden on erityisesti perusteltava kaikki tarpeellisina ja oikeasuhteisina sovelletut rajoitukset, ja ne voivat rajoittaa sitä, mitä on luovutettu, ainoastaan, jos se haittaisi edellä mainittuja tarkoituksia (125).

(68)

On myös useita muita toimivaltaisten viranomaisten antamia ohjeita, joissa annetaan yksityiskohtaista tietoa tietosuojalainsäädännön eri näkökohdista, muun muassa rekisteröityjen oikeuksia koskevien rajoitusten soveltamisesta (126). Esimerkiksi kansallisen poliisipäälliköiden neuvoston tietosuojakäsikirjassa (Data Protection Manual of the National Police Chief’s Counsel) todetaan 45 §:n 4 momentin osalta seuraavaa: ”On tärkeää huomata, että rajoituksia voidaan soveltaa vain siinä määrin ja niin kauan, kuin on tarpeen. Näin ollen rajoituksen yleinen soveltaminen kaikkiin hakijan henkilötietoihin tai rajoituksen pysyvä soveltaminen ei ole sallittua. Viimeksi mainitun seikan osalta on usein niin, että henkilötiedot, jotka on kerätty tutkinnan kohteena olevan rekisteröidyn tietämättä, on ensin suojattava paljastamiselta hänelle, jotta ei aiheuteta haittaa tutkinnalle sen aikana, mutta myöhemmin tietojen ilmaiseminen ei olisi vahingollista, jos henkilötiedot olisi luovutettu henkilölle puhuttelun aikana. Poliisivoimien on otettava käyttöön menettelyt, joilla varmistetaan, että näiden rajoitusten soveltaminen on välttämätöntä ja kestää vain tarvittavan ajan.” (127) Näissä ohjeissa annetaan myös esimerkkejä siitä, milloin kutakin rajoitusta todennäköisesti sovelletaan (128).

(69)

Lisäksi voidaan todeta mahdollisuudesta rajoittaa näiden edellä mainittujen oikeuksien soveltamista ”kansallisen turvallisuuden” suojelemiseksi, että rekisterinpitäjä voi pyytää kabinettiministerin tai oikeuskanslerin (Attorney General) (tai Skotlannin oikeuskanslerin) allekirjoittamaa todistusta siitä, että tällaisten oikeuksien rajoittaminen on välttämätön ja oikeasuhteinen toimenpide kansallisen turvallisuuden suojelemiseksi (129). Yhdistyneen kuningaskunnan hallitus on antanut ohjeita kansallista turvallisuutta koskevan todistuksen osalta vuoden 2018 tietosuojalain nojalla. Ohjeissa korostetaan erityisesti, että kaikkien kansalliseen turvallisuuteen liittyvien rekisteröityjen oikeuksien rajoitusten on oltava oikeasuhteisia ja välttämättömiä (130) (ks. lisätietoja kansallista turvallisuutta koskevasta todistuksesta johdanto-osan 131–134 kappale).

(70)

Lisäksi jos rekisteröidyn oikeuksia rajoitetaan, toimivaltaisen viranomaisen on ilmoitettava rekisteröidylle ilman aiheetonta viivytystä oikeuksien rajoittamisesta, rajoituksen syistä ja käytettävissä olevista oikeussuojakeinoista, paitsi jos näiden tietojen antaminen heikentäisi sitä perustetta, jolla rajoitusta sovelletaan (131). Rajoitusten väärinkäyttöä estävänä ylimääräisenä suojatoimena rekisterinpitäjän on kirjattava syyt tietojen rajoittamiseen ja annettava tiedot pyydettäessä tietosuojavaltuutetun käyttöön (132).

(71)

Jos rekisterinpitäjä kieltäytyy antamasta läpinäkyvyyteen liittyviä lisätietoja tai antamasta pääsyn tietoihin taikka hylkää oikaisua, poistamista tai käsittelyn rajoittamista koskevan pyynnön, henkilö voi pyytää tietosuojavaltuutettua tutkimaan, onko rekisterinpitäjä käyttänyt rajoitusta lainmukaisesti (133). Asianomainen henkilö voi myös tehdä valituksen tietosuojavaltuutetulle tai pyytää tuomioistuinta määräämään rekisterinpitäjän noudattamaan pyyntöä (134).

(72)

Vuoden 2018 tietosuojalain 49 ja 50 § kattavat automatisoituun päätöksentekoon liittyvät oikeudet ja sovellettavat suojatoimet (135). Rekisterinpitäjä voi tehdä merkittävän päätöksen, joka perustuu pelkästään henkilötietojen automatisoituun käsittelyyn, jos sitä edellytetään tai se sallitaan laissa, kuten myös direktiivin (EU) 2016/680 11 artiklassa säädetään (136). Päätös on merkittävä, jos sillä olisi rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai jos se vaikuttaisi merkittävästi rekisteröityyn (137).

(73)

Jos rekisterinpitäjän on lain mukaan tehtävä merkittävä päätös tai sillä on lupa tehdä merkittävä päätös, vuoden 2018 tietosuojalain 50 §:ssä säädetään suojatoimista, joita sovelletaan tällaiseen päätökseen (joka määritellään ”vaatimukset täyttäväksi merkittäväksi päätökseksi”). Rekisterinpitäjän on mahdollisimman pian ilmoitettava rekisteröidylle, että tällainen päätös on tehty. Rekisteröity voi kuukauden kuluessa pyytää rekisterinpitäjää harkitsemaan päätöstä uudelleen tai tekemään uuden päätöksen, joka ei perustu pelkästään automatisoituun käsittelyyn. Rekisterinpitäjän on tarkasteltava pyyntöä ja ilmoitettava rekisteröidylle käsittelyn tuloksesta. Vuoden 2018 tietosuojalaissa annetaan Secretary of Statelle valtuudet antaa asetuksia täydentävistä suojatoimista (138). Tällaisia asetuksia ei ole vielä annettu.

(74)

Jäsenvaltion lainvalvontaviranomaiselta Yhdistyneen kuningaskunnan lainvalvontaviranomaiselle siirrettyjen henkilötietojen suojan tasoa ei saa heikentää, kun näitä tietoja siirretään edelleen kolmannessa maassa sijaitseville vastaanottajille. Tällaiset ”jatkosiirrot”, jotka Yhdistyneen kuningaskunnan lainvalvontaviranomaisen näkökulmasta ovat luonteeltaan Yhdistyneestä kuningaskunnasta tapahtuvia kansainvälisiä siirtoja, olisi sallittava vain siinä tapauksessa, että kyseiseen Yhdistyneen kuningaskunnan ulkopuolella toimivaan vastaanottajaan sovelletaan sääntöjä, joilla varmistetaan, että suojelun taso vastaa Yhdistyneen kuningaskunnan oikeusjärjestyksessä taattua suojelun tasoa.

(75)

Kansainvälisiä siirtoja koskevaa Yhdistyneen kuningaskunnan järjestelmää säännellään vuoden 2018 tietosuojalain 3 osan 5 luvussa (139), ja se vastaa direktiivin (EU) 2016/680 V luvussa omaksuttua lähestymistapaa. Jotta henkilötietoja voidaan siirtää kolmanteen maahan, toimivaltaisen viranomaisen on erityisesti täytettävä seuraavat kolme edellytystä: a ) siirron on oltava tarpeen lainvalvontatarkoitusta varten; b) siirron on perustuttava i) kolmannen maan osalta tietosuojan riittävyyttä koskevaan asetukseen, ii) jos se ei perustu tietosuojan riittävyyttä koskevaan asetukseen, asianmukaisten suojatoimien olemassaoloon tai iii) jos se ei perustu tietosuojan riittävyyttä koskevaan päätökseen tai asianmukaisiin suojatoimiin, sen on perustuttava erityisiin olosuhteisiin; ja c) siirron vastaanottajan on oltava i) kolmannen maan asiaankuuluva viranomainen (eli toimivaltaista viranomaista vastaava viranomainen); ii) ”asianomainen kansainvälinen järjestö”, esimerkiksi kansainvälinen elin, joka suorittaa tehtäviä, jotka vastaavat mitä tahansa lainvalvontatarkoitusta; tai iii) muu henkilö kuin asiaankuuluva viranomainen, mutta vain jos siirto on ehdottoman välttämätön jonkin lainvalvontatarkoituksen suorittamiseksi; asianomaisen rekisteröidyn perusoikeudet ja -vapaudet eivät syrjäytä yleistä etua, jonka perusteella siirto on tarpeen; henkilötietojen siirtäminen kolmannen maan asianomaiselle viranomaiselle olisi tehotonta tai epätarkoituksenmukaista; ja vastaanottajalle ilmoitetaan tarkoitukset, joita varten tietoja voidaan käsitellä (140).

(76)

Secretary of State antaa kolmanteen maahan, kolmannen maan alueeseen tai sektoriin tai kansainväliseen järjestöön sovellettavat tietosuojan riittävyyttä koskevat määräykset tai tällaisen maan, alueen, sektorin tai järjestön kuvauksen (141). Secretary of Staten on arvioitava, takaako kyseinen alue/ala/organisaatio henkilötietojen suojan riittävän tason. Vuoden 2018 tietosuojalain 74A §:n 4 momentissa täsmennetään, että tätä varten Secretary of Staten on otettava huomioon useita direktiivin (EU) 2016/680 36 artiklassa lueteltujen kaltaisia seikkoja (142). Tältä osin vuoden 2018 tietosuojalain 3 osa on siirtymäkauden päättymisestä lähtien ollut ”EU-oikeudesta johdettua sisäistä lainsäädäntöä”, jota Yhdistyneen kuningaskunnan tuomioistuimet tulkitsevat, kuten selitettiin, asiaa koskevan unionin tuomioistuimen sellaisen oikeuskäytännön mukaisesti, joka on annettu ennen Yhdistyneen kuningaskunnan eroa unionista, ja unionin oikeuden yleisten periaatteiden mukaisesti, koska ne olivat voimassa välittömästi ennen siirtymäkauden päättymistä. Tämä sisältää ”olennaisen vastaavuuden” vaatimuksen, jota sovelletaan Yhdistyneen kuningaskunnan viranomaisten suorittamiin riittävyysarviointeihin.

(77)

Menettelyn osalta asetuksiin sovelletaan vuoden 2018 tietosuojalain 182 §:ssä säädettyjä ”yleisiä” menettelyvaatimuksia. Menettelyn mukaan Secretary of Staten on kuultava tietosuojavaltuutettua ennen tietosuojan riittävyyttä koskevien Yhdistyneen kuningaskunnan tulevien asetusten ehdottamista (143). Kun Secretary of State on hyväksynyt asetukset, ne toimitetaan parlamenttiin sekä ylä- että alahuoneen käsiteltäväksi ns. negatiivisessa päätöslauselmamenettelyssä (negative resolution procedure). Tämä tarkoittaa, että asetus tulee voimaan, jollei kummallekaan kamarille esitetä vaatimusta sen hylkäämisestä 40 päivän kuluessa (144).

(78)

Vuoden 2018 tietosuojalain 74B §:n 1 momentin mukaan tietosuojan riittävyyttä koskevia asetuksia on tarkasteltava uudelleen enintään neljän vuoden välein, ja Secretary of Staten on jatkuvasti seurattava kolmansissa maissa ja kansainvälisissä järjestöissä tapahtuvaa kehitystä, joka voisi vaikuttaa päätökseen tehdä tällaisia asetuksia tai niiden muuttamiseen tai kumoamiseen. Jos Secretary of State saa tietoonsa, että jokin maa tai järjestö ei enää takaa henkilötietojen riittävää tietosuojaa, hänen on tarvittaessa muutettava asetuksia tai kumottava ne ja aloitettava kyseisen kolmannen maan tai kansainvälisen järjestön kanssa neuvottelut tietosuojaan liittyvien puutteiden korjaamiseksi.

(79)

Samoin kuin direktiivin (EU) 2016/680 37 artiklassa säädetään, tietosuojan riittävyyttä koskevan asetuksen puuttuessa henkilötietojen siirto lainvalvonta-alalla olisi mahdollista, kun asianmukaiset suojatoimet on toteutettu. Tällaiset suojatoimet varmistetaan joko a) oikeudellisesti sitovalla välineellä, joka sisältää asianmukaiset suojatoimet henkilötietojen suojaamiseksi tai b) rekisterinpitäjän suorittamalla arvioinnilla, jossa se kaikki siirtoon liittyvät olosuhteet arvioituaan päätyy siihen, että henkilötietojen suojaamiseksi on olemassa asianmukaiset suojatoimet (145). Lisäksi kun siirrot perustuvat asianmukaisiin suojatoimiin, vuoden 2018 tietosuojalaissa säädetään, että tietosuojavaltuutetun tavanomaisen valvontatehtävän lisäksi toimivaltaisten viranomaisten on annettava tarkat tiedot siirroista tietosuojavaltuutetulle (146).

(80)

Jos siirto ei perustu tietosuojan riittävyyttä koskevaan päätökseen tai asianmukaisiin suojatoimiin, se voidaan toteuttaa vain tietyissä olosuhteissa, joista käytetään nimitystä ”erityiset olosuhteet” (147). Näin on silloin, kun siirto on tarpeen a) rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi; b) rekisteröidyn oikeutettujen etujen turvaamiseksi; c) kolmannen maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhan ehkäisemiseksi; d) yksittäistapauksissa jotakin lainvalvontatarkoitusta varten; tai e) yksittäistapauksissa jotakin oikeudellista tarkoitusta varten (esimerkiksi oikeudenkäyntiä tai oikeudellisen neuvonnan saamista varten) (148). Todettakoon, että d ja e alakohtaa ei sovelleta, jos rekisteröidyn oikeudet ja vapaudet syrjäyttävät siirtoon liittyvän yleisen edun (149). Nämä olosuhteet vastaavat niitä erityistilanteita ja -edellytyksiä, joita voidaan pitää direktiivin (EU) 2016/680 38 artiklassa tarkoitettuina ”poikkeuksina”.

(81)

Näissä olosuhteissa siirron päivämäärä, kellonaika ja perustelut, vastaanottajan nimi ja muut merkitykselliset tiedot sekä siirrettyjen henkilötietojen kuvaus on dokumentoitava ja toimitettava pyynnöstä tietosuojavaltuutetulle (150).

(82)

Vuoden 2018 tietosuojalain 78 §:ssä säädetään myöhemmistä siirroista eli tilanteesta, jossa Yhdistyneestä kuningaskunnasta kolmanteen maahan siirretyt henkilötiedot siirretään myöhemmin toiseen kolmanteen maahan tai kansainväliselle järjestölle. Lain 78 §:n 1 momentin mukaan Yhdistyneen kuningaskunnan siirtävän rekisterinpitäjän on asetettava siirron ehdoksi, että tietoja ei siirretä edelleen kolmanteen maahan ilman siirtävän rekisterinpitäjän lupaa. Lisäksi 78 §:n 3 momentin mukaan ja samoin kuin direktiivin (EU) 2016/680 35 artiklan 1 kohdan e alakohdassa säädetään, jos tällainen lupa vaaditaan, sovelletaan useita aineellisia vaatimuksia. Tarkemmin sanottuna toimivaltaisen viranomaisen on siirron hyväksymisestä päättäessään varmistettava, että siirto on tarpeen lainvalvontatarkoituksessa, ja otettava huomioon muun muassa a) lupapyyntöön johtaneiden olosuhteiden vakavuus, b) tarkoitus, jota varten henkilötiedot alun perin siirrettiin, ja c) henkilötietojen suojaa koskevat vaatimukset, joita sovelletaan siinä kolmannessa maassa tai kansainvälisessä järjestössä, johon henkilötiedot siirrettäisiin.

(83)

Lisäksi silloin, kun Yhdistyneestä kuningaskunnasta edelleen siirrettävät tiedot oli alun perin siirretty Euroopan unionista, sovelletaan ylimääräisiä suojatoimia.

(84)

Ensinnäkin vuoden 2018 tietosuojalain 73 §:n 1 momentin b kohdassa – samoin kuin direktiivin (EU) 2016/680 35 artiklan 1 kohdan c alakohdassa – säädetään, että jos jäsenvaltio on alun perin siirtänyt henkilötiedot rekisterinpitäjälle tai muulle toimivaltaiselle viranomaiselle tai asettanut ne muutoin rekisterinpitäjälle tai muulle toimivaltaiselle viranomaiselle, kyseisen jäsenvaltion tai tähän jäsenvaltioon sijoittautuneen henkilön, joka on direktiivissä (EU) 2016/680 tarkoitettu toimivaltainen viranomainen, jäsenvaltion lainsäädännön mukaisesti siirtoon antama lupa on edellytyksenä.

(85)

Samoin kuin direktiivin (EU) 2016/680 35 artiklan 2 kohdassa säädetään, tällaista lupaa ei kuitenkaan vaadita, jos a) siirto on tarpeen joko jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen tai jäsenvaltion olennaisiin etuihin kohdistuvan välittömän ja vakavan uhan estämiseksi ja b) lupaa ei voida saada ajoissa. Tässä tapauksessa sen jäsenvaltion viranomaiselle, joka olisi ollut vastuussa siirron hyväksymisestä, on ilmoitettava asiasta viipymättä (151).

(86)

Toiseksi samaa lähestymistapaa sovelletaan silloin, kun tiedot on alun perin siirretty Euroopan unionista Yhdistyneeseen kuningaskuntaan, minkä jälkeen Yhdistynyt kuningaskunta on siirtänyt ne edelleen kolmanteen maahan, joka myöhemmin siirtää ne edelleen kolmanteen maahan. Tässä tapauksessa Yhdistyneen kuningaskunnan toimivaltainen viranomainen ei voi 78 §:n 4 momentin nojalla antaa lupaa jälkimmäiselle siirrolle 78 §:n 1 momentin nojalla, paitsi jos jäsenvaltio, joka on alun perin siirtänyt kyseiset tiedot, tai tähän jäsenvaltioon sijoittautunut henkilö, joka on lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetussa direktiivissä tarkoitettu toimivaltainen viranomainen, on antanut siirtoon luvan jäsenvaltion lainsäädännön mukaisesti. Nämä suojatoimet ovat tärkeitä, koska ne antavat jäsenvaltioiden viranomaisille mahdollisuuden varmistaa suojan jatkuvuus EU:n tietosuojalainsäädäntöä noudattaen koko siirtoketjun ajan.

(87)

Kansainvälisiä siirtoja koskevien uusien puitteiden soveltaminen alkoi siirtymäkauden päätyttyä (152). Liitteessä 21 olevassa 10–12 kohdassa (otettu käyttöön DPPC-säädöksellä) kuitenkin säädetään, että siirtymäkauden päättymisestä lähtien tiettyjä henkilötietojen siirtoja kohdellaan, ikään kuin ne perustuisivat tietosuojan riittävyyttä koskeviin asetuksiin. Näihin siirtoihin kuuluvat siirrot jäsenvaltioon, EFTA-valtioon, kolmanteen maahan, josta EU on tehnyt tietosuojan tason riittävyyttä koskevan päätöksen siirtymäkauden päättyessä, sekä Gibraltarin alueelle. Siirtoja näihin maihin voidaan jatkaa samalla tavoin kuin ennen Yhdistyneen kuningaskunnan eroamista unionista. Siirtymäkauden päättymisen jälkeen Secretary of Staten on tarkasteltava tietosuojan riittävyyttä uudelleen neljän vuoden jälkeen eli joulukuun 2024 loppuun mennessä. Yhdistyneen kuningaskunnan viranomaiset ovat selittäneet, että vaikka Secretary of Staten on toteutettava tällainen uudelleentarkastelu joulukuun 2024 loppuun mennessä, siirtymäsäännöksiin ei sisälly raukeamissäännöstä, joten niiden oikeusvaikutus ei lakkaa automaattisesti, vaikka tarkastelu ei olisikaan saatettu päätökseen joulukuun 2024 loppuun mennessä.

(88)

Vastuuvelvollisuutta koskevan periaatteen mukaisesti tietoja käsittelevien viranomaisten on otettava käyttöön asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta ne voivat tehokkaasti noudattaa tietosuojavelvoitteitaan ja myös osoittaa sen erityisesti toimivaltaiselle valvontaviranomaiselle.

(89)

Tämä periaate on otettu huomioon vuoden 2018 tietosuojalain 56 §:ssä, jossa asetetaan rekisterinpitäjälle yleinen vastuuvelvollisuus eli velvoite toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittely on vuoden 2018 tietosuojalain 3 osan vaatimusten mukaista. Toteutettuja toimenpiteitä on tarkasteltava uudelleen ja päivitettävä tarvittaessa, ja jos se on oikeasuhteista käsittelyyn nähden, toteutettava asianmukaiset tietosuojaperiaatteet.

(90)

Samoin kuin direktiivin (EU) 2016/680 IV luvussa, vuoden 2018 tietosuojalain 55–71 §:ssä säädetään erilaisista mekanismeista, joilla varmistetaan vastuuvelvollisuus ja annetaan rekisterinpitäjille ja henkilötietojen käsittelijöille mahdollisuus osoittaa vaatimustenmukaisuus. Rekisterinpitäjien on erityisesti toteutettava sisäänrakennettu ja oletusarvoinen tietosuoja eli varmistettava, että tietosuojaperiaatteet pannaan tehokkaasti täytäntöön. Niiden on myös pidettävä kirjaa kaikista rekisterinpitäjän vastuulla olevista käsittelytoimien luokista (mukaan lukien rekisterinpitäjän henkilöllisyys, tietosuojavastaavan yhteystiedot, käsittelyn tarkoitukset, tietojen vastaanottajien ryhmät, kuvaus rekisteröityjen ryhmistä ja henkilötiedot) ja pidettävä nämä tiedot pyynnöstä tietosuojavaltuutetun saatavilla. Rekisterinpitäjän ja henkilötietojen käsittelijän on myös säilytettävä lokitiedot tietyistä käsittelytoimista ja annettava ne tietosuojavaltuutetun käyttöön (153). Rekisterinpitäjien on myös avustettava tietosuojavaltuutettua hänen tehtäviensä hoitamisessa.

(91)

Vuoden 2018 tietosuojalaissa asetetaan myös lisävaatimuksia käsittelylle, joka todennäköisesti aiheuttaa suuren riskin yksilöiden oikeuksille ja vapauksille. Näihin kuuluu velvollisuus tehdä tietosuojaa koskevia vaikutustenarviointeja ja kuulla tietosuojavaltuutettua ennen käsittelyä, jos tällainen arviointi osoittaa, että käsittely aiheuttaisi suuren riskin yksilöiden oikeuksille ja vapauksille (jos ei ryhdytä toimiin riskin lieventämiseksi).

(92)

Rekisterinpitäjien on lisäksi nimitettävä tietosuojavastaava, paitsi jos rekisterinpitäjä on tuomioistuin tai muu oikeusviranomainen, joka toimii lainkäyttötehtävissä (154). Rekisterinpitäjän on varmistettava, että tietosuojavastaava osallistuu kaikkien henkilötietojen suojaan liittyvien kysymysten käsittelyyn, että hänellä on tarvittavat resurssit ja pääsy henkilötietoihin ja käsittelytoimiin ja että hän voi suorittaa tehtävänsä riippumattomasti. Tietosuojavastaavan tehtävistä säädetään vuoden 2018 tietosuojalain 71 §:ssä, ja niihin kuuluvat tietojen ja neuvojen antaminen, tietosuojasääntöjen noudattamisen valvonta sekä yhteistyö tietosuojavaltuutetun kanssa ja yhteyspisteenä toimiminen. Tehtäviään suorittaessaan tietosuojavastaavan on tutkittava käsittelytoimiin liittyvät riskit ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

(93)

Sen varmistamiseksi, että tietosuojan riittävä taso taataan myös käytännössä, on oltava riippumaton valvontaviranomainen, jonka tehtävänä on valvoa tietosuojasääntöjen noudattamista ja varmistaa niiden täytäntöönpano. Kyseisen viranomaisen on toimittava riippumattomasti ja puolueettomasti tehtäviään suorittaessaan ja toimivaltuuksiaan käyttäessään.

(94)

Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen ja vuoden 2018 tietosuojalain noudattamisen valvonnasta ja täytäntöönpanosta vastaa tietosuojavaltuutettu (Information Commissioner) (155). Tietosuojavaltuutettu valvoo myös toimivaltaisten viranomaisten vuoden 2018 tietosuojalain 3 osan nojalla suorittamaa henkilötietojen käsittelyä (156). Tietosuojavaltuutettu on ns. Corporation Sole eli itsenäinen oikeushenkilö, jonka tehtävää hoitaa yksi luonnollinen henkilö. Tietosuojavaltuutettua avustaa hänen työssään toimisto. Tietosuojavaltuutetun toimiston vakinaisten työntekijöiden määrä 31. maaliskuuta 2020 oli 768 (157). Tietosuojavaltuutettu toimii digitaaliasiain-, kulttuuri-, media- ja urheiluministeriön alaisuudessa (158).

(95)

Tietosuojavaltuutetun riippumattomuus vahvistetaan nimenomaisesti Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 52 artiklassa, jossa otetaan huomioon Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (159) 52 artiklan 1–3 kohdassa säädetyt vaatimukset. Tietosuojavaltuutetun tulee toimia täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään hänelle Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen mukaisesti annettuja valtuuksia. Häneen ei saa vaikuttaa ulkopuolelta suoraan eikä välillisesti hänen hoitaessaan tehtäviään ja käyttäessään valtuuksiaan, eikä hän saa pyytää eikä ottaa ohjeita miltään taholta. Tietosuojavaltuutetun on myös pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen hänen tehtäviensä hoitamisen kanssa, eikä hän saa toimikautensa aikana harjoittaa palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.

(96)

Tietosuojavaltuutetun nimittämistä ja erottamista koskevat ehdot esitetään vuoden 2018 tietosuojalain liitteessä 12. Kuningatar nimittää tietosuojavaltuutetun oikeudenmukaisen ja läpinäkyvän kilpailun perusteella laaditun hallituksen suosituksen mukaisesti. Hakijoilla on oltava asianmukainen tutkinto, osaaminen ja pätevyys. Neuvoa-antava arviointilautakunta laatii luettelon hyväksytyistä hakijoista julkisia nimityksiä koskevien hallintosääntöjen (160) mukaisesti. Secretary of State tekee päätöksensä sen jälkeen, kun asianomainen parlamentin erityisvaliokunta on suorittanut ennakkotarkastelun. Valiokunnan lausunto julkaistaan (161).

(97)

Tietosuojavaltuutetun toimikausi on enintään seitsemän vuotta. Hänen Majesteettinsa voi erottaa tietosuojavaltuutetun parlamentin molempien kamarien esityksen (Address) perusteella (162). Ehdotusta tietosuojavaltuutetun erottamisesta ei voida esittää kummallekaan parlamentin kamarille, ellei ministeri ole esittänyt kyseiselle kamarille selvitystä, jossa hän katsoo, että tietosuojavaltuutettu on syyllistynyt vakavaan väärinkäytökseen ja/tai hän ei enää täytä tietosuojavaltuutetun tehtävien hoitamiselle asetettuja edellytyksiä (163).

(98)

Tietosuojavaltuutetun rahoitus on peräisin kolmesta lähteestä: i) rekisterinpitäjien maksamat tietosuojamaksut, jotka vahvistetaan Secretary of Staten asetuksella (164) ja joilla katetaan 85–90 prosenttia toimiston vuosibudjetista (165); ii) avustus, jonka hallitus voi maksaa tietosuojavaltuutetulle ja jolla rahoitetaan pääasiassa muista kuin tietosuojaan liittyvistä tehtävistä aiheutuvat tietosuojavaltuutetun toimintakustannukset (166); iii) palveluista perittävät maksut (167). Tällä hetkellä tällaisia maksuja ei peritä.

(99)

Tietosuojavaltuutetun yleiset tehtävät, jotka koskevat vuoden 2018 tietosuojalain 3 osan soveltamisalaan kuuluvien henkilötietojen käsittelyä, vahvistetaan vuoden 2018 tietosuojalain liitteessä 13. Tehtäviin kuuluu vuoden 2018 tietosuojalain 3 osan seuranta ja täytäntöönpano, yleisen tietoisuuden lisääminen, parlamentin, hallituksen ja muiden toimielinten avustaminen lainsäädännöllisissä ja hallinnollisissa toimenpiteissä, rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuuksia koskevan tietoisuuden edistäminen, rekisteröidyn oikeuksien käyttämistä koskevien tietojen antaminen rekisteröidylle ja tutkimusten suorittaminen. Oikeuslaitoksen riippumattomuuden takaamiseksi henkilötietojen käsittelyyn liittyviä tietosuojavaltuutetun tehtäviä ei voi hoitaa henkilö eikä tuomioistuin, joka suorittaa lainkäyttötehtäviä. Oikeuslaitoksen valvonta on osoitettu erityisille elimille, kuten jäljempänä esitetään.

(100)

Tietosuojavaltuutetulla on yleiset tutkintavaltuudet, korjaavat toimivaltuudet sekä hyväksymis- ja neuvontavaltuudet, kun on kyse vuoden 2018 tietosuojalain 3 osan soveltamisalaan kuuluvien henkilötietojen käsittelystä. Tietosuojavaltuutetulla on valtuudet ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle väitetystä 3 osan rikkomisesta, antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle varoitus siitä, että aiotut käsittelytoimet todennäköisesti rikkovat 3 osan säännöksiä, ja antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle huomautus, jos käsittelytoimet ovat rikkoneet 3 osan säännöksiä. Lisäksi tietosuojavaltuutettu voi omasta aloitteestaan tai pyynnöstä antaa lausuntoja Yhdistyneen kuningaskunnan parlamentille, hallitukselle tai muille toimielimille ja elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä (168).

(101)

Tietosuojavaltuutetulla on erityisesti toimivalta

(102)

Tietosuojavaltuutetun sääntelytoimia koskevissa toimintaperiaatteissa (Regulatory Action Policy) esitetään, missä olosuhteissa tietosuojavaltuutettu voi antaa em. ilmoituksia ja määräyksiä (173). Täytäntöönpanomääräyksessä voidaan asettaa vaatimuksia, joita tietosuojavaltuutettu pitää asianmukaisina puutteen korjaamiseksi. Seuraamusmääräyksessä vaaditaan henkilöä maksamaan tietosuojavaltuutetulle määräyksessä esitetty määrä. Seuraamusmääräys voidaan antaa, jos vuoden 2018 tietosuojalain (174) tiettyjä säännöksiä ei ole noudatettu, tai se voidaan antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle, joka ei ole noudattanut tiedonanto-, tarkastus- tai täytäntöönpanopäätöstä.

(103)

Tarkemmin sanottuna päättäessään seuraamusmääräyksen antamisesta rekisterinpitäjälle tai henkilötietojen käsittelijälle ja seuraamuksen määrästä tietosuojavaltuutetun on otettava huomioon vuoden 2018 tietosuojalain 155 §:n 3 momentissa luetellut seikat, mukaan lukien laiminlyönnin luonne ja vakavuus, laiminlyönnin tahallisuus tai tuottamuksellisuus, rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyn kärsimän vahingon lieventämiseksi, rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste (ottaen huomioon rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat tekniset ja organisatoriset toimenpiteet), rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat laiminlyönnit, henkilötietojen ryhmät, joita laiminlyönti koskee, ja se, olisiko seuraamus tehokas, oikeasuhteinen ja varoittava.

(104)

Seuraamusmääräyksellä määrättävän seuraamuksen enimmäismäärä on 17 500 000 puntaa, kun kyse on tietosuojaperiaatteiden (vuoden 2018 tietosuojalain 35, 36, 37 §, 38 §:n 1 momentti, 39 §:n 1 momentti ja 40 §), läpinäkyvyyttä koskevien velvoitteiden ja yksilön oikeuksien (vuoden 2018 tietosuojalain 44, 45, 46, 47, 48, 49, 52 ja 53 §) tai kansainvälisten henkilötietojen siirtoa koskevien periaatteiden (vuoden 2018 tietosuojalain 73, 75, 76, 77 ja 78 §) noudattamatta jättämisestä. Muussa tapauksessa seuraamuksen enimmäismäärä on 8 700 000 puntaa (175). Tiedonanto-, arviointi- tai täytäntöönpanomääräyksen noudattamatta jättämisen vuoksi voidaan määrätä seuraamusmääräyksellä sakkoa enintään 17 500 000 puntaa.

(105)

Viimeisimpien vuosikertomustensa (2018–2019 (176), 2019–2020 (177)) mukaan tietosuojavaltuutettu on suorittanut useita tutkimuksia, jotka koskevat rikosoikeudellisten lainvalvontaviranomaisten suorittamaa henkilötietojen käsittelyä. Esimerkiksi lokakuussa 2019 tietosuojavaltuutettu julkaisi tutkimustensa perusteella lausunnon, joka koskee kasvojentunnistusteknologian käyttöä julkisilla paikoilla lainvalvontatarkoituksia varten. Tutkimuksessa keskityttiin erityisesti siihen, miten Etelä-Walesin poliisi (South Wales Police) ja suur-Lontoon poliisi (Metropolitan Police Services) käyttävät reaaliaikaista kasvojentunnistusta. Tietosuojavaltuutettu on tutkinut myös suur-Lontoon poliisin jengitietokantaa (Gangs matrix) (178) ja todennut, että siihen liittyy useita vakavia tietosuojalainsäädännön rikkomisia, jotka todennäköisesti heikentäisivät yleisön luottamusta tietokantaan ja siihen, miten tietoja käytetään.

(106)

Marraskuussa 2018 tietosuojavaltuutettu antoi täytäntöönpanomääräyksen, jonka nojalla suur-Lontoon poliisi toteutti tarvittavat toimet turvallisuuden ja vastuuvelvollisuuden lisäämiseksi ja sen varmistamiseksi, että tietoja käytetään oikeasuhteisesti.

(107)

Toinen esimerkki viimeaikaisista täytäntöönpanotoimista tällä alalla on tietosuojavaltuutetun toukokuussa 2018 määräämä 325 000 punnan sakko kruunun syyttäjäyksikölle poliisikuulustelujen tallenteita sisältävien salaamattomien DVD-levyjen katoamisen vuoksi. Tietosuojavaltuutettu on lisäksi tutkinut yleisempiä aiheita, kuten vuoden 2020 alkupuoliskolla matkapuhelintietojen käyttöä poliisitoiminnassa ja uhrien tietojen käsittelyä poliisin toimesta.

(108)

Koska eräät tietosuojalainsäädännön loukkaukset ovat rikoksia, niiden perusteella voidaan määrätä myös rikosoikeudellisia seuraamuksia sen lisäksi, että niihin sovelletaan tietosuojavaltuutetun täytäntöönpanovaltuuksia (vuoden 2018 tietosuojalain 196 §). Tämä koskee esimerkiksi henkilötietojen hankkimista tai luovuttamista ilman rekisterinpitäjän suostumusta ja luovutettujen henkilötietojen toimittamista toiselle henkilölle ilman rekisterinpitäjän suostumusta (179); anonymisoitujen henkilötietojen tunnistetietojen palauttamista ilman anonymisoinnista vastaavan rekisterinpitäjän suostumusta (180); tahallista toimintaa, jolla estetään tietosuojavaltuutettua käyttämästä toimivaltaansa henkilötietojen tarkastamiseksi kansainvälisten velvoitteiden mukaisesti (181), väärien lausuntojen antamista tiedonantomääräyksen perusteella tai tietojen tuhoamista tiedonanto- ja arviointimääräysten yhteydessä (182).

(109)

Tietosuojavaltuutetulla on myös vuoden 2018 tietosuojalain 139 §:n nojalla velvollisuus antaa kummallekin parlamentin kamarille yleiskertomus lakisääteisten tehtäviensä hoitamisesta (183).

(110)

Tuomioistuinten ja oikeuslaitoksen suorittamaan henkilötietojen käsittelyyn sovelletaan kahta eri valvontamenettelyä. Silloin kun oikeuslaitoksen virkamies tai tuomioistuin ei toimi lainkäyttötehtävissä, valvonnasta vastaa tietosuojavaltuutettu. Sen sijaan silloin kun rekisterinpitäjä toimii lainkäyttötehtävissä, tietosuojavaltuutettu ei voi hoitaa valvontatehtäväänsä (184), vaan se on osoitettu erityisille elimille. Lähestymistapa on sama kuin direktiivin (EU) 2016/680 32 artiklassa.

(111)

Jälkimmäisessä tilanteessa valvonnasta vastaa Englannin ja Walesin tuomioistuinten (courts, First-tier ja Upper Tribunals) osalta oikeuslaitoksen tietosuojalautakunta (Judicial Data Protection Panel) (185). Lisäksi Englannin ja Walesin korkeimman oikeuden presidentti (Lord Chief Justice) on laatinut tietosuojaselosteen (Privacy Notice) (186), jossa kerrotaan, miten Englannin ja Walesin tuomioistuimet käsittelevät henkilötietoja lainkäyttötehtäviä varten. Vastaavan tietosuojaselosteen ovat antaneet myös Pohjois-Irlannin (187) ja Skotlannin (188) oikeusviranomaiset.

(112)

Lisäksi Pohjois-Irlannin Lord Chief Justice on nimittänyt yhden High Court -tuomioistuimen tuomarin tietosuojaa valvovaksi tuomariksi (189). Pohjois-Irlannin oikeuslaitokselle on myös laadittu ohjeet siitä, miten on toimittava tietojen (mahdollisen) menetyksen yhteydessä ja miten tästä mahdollisesti aiheutuvia ongelmia on käsiteltävä (190).

(113)

Skotlannin ylin tuomari Lord President on nimittänyt tietosuojaa valvovan tuomarin (Data Supervisory Judge), jonka tehtävänä on tutkia tietosuojaa koskevia valituksia. Tästä säädetään oikeussuojakeinoja koskevissa säännöissä, jotka vastaavat Englannin ja Walesin osalta vahvistettuja sääntöjä (191).

(114)

Lisäksi yksi korkeimman oikeuden (Supreme Court) tuomareista on nimitetty valvomaan tietosuojaa.

(115)

Jotta voidaan varmistaa yksilön oikeuksien asianmukainen suojelu ja täytäntöönpano, rekisteröidyllä olisi oltava tehokkaat hallinnolliset ja oikeudelliset oikeussuojakeinot ja myös oikeus saada vahingonkorvausta.

(116)

Ensinnäkin rekisteröidyllä on oikeus tehdä tietosuojavaltuutetulle valitus, jos hän katsoo, että hänen henkilötietojensa käsittelyssä on rikottu vuoden 2018 tietosuojalain 3 osan säännöksiä (192). Kuten johdanto-osan 100 ja 109 kappaleessa todetaan, tietosuojavaltuutetulla on toimivalta arvioida, ovatko rekisterinpitäjä ja henkilötietojen käsittelijä noudattaneet vuoden 2018 tietosuojalakia, ja jos näin ei ole, vaatia niitä toteuttamaan tarvittavat toimet tai pidättymään tietyistä toimista ja määrätä sakkoja.

(117)

Toiseksi vuoden 2018 tietosuojalaissa säädetään oikeudesta käyttää oikeussuojakeinoja tietosuojavaltuutettua vastaan. Jos tietosuojavaltuutettu ei ”edistä” (193) rekisteröidyn tekemän valituksen käsittelyä, tämä voi hakea oikeussuojaa tuomioistuimelta pyytämällä, että First Tier Tribunal -tuomioistuin (194) määrää tietosuojavaltuutetun toteuttamaan valituksen johdosta asianmukaiset toimenpiteet tai ilmoittamaan valituksen tekijälle sitä koskevan tutkinnan etenemisestä (195). Lisäksi kuka tahansa henkilö, jolle tietosuojavaltuutettu on antanut jonkin edellä mainituista määräyksistä (tiedonanto-, arviointi-, täytäntöönpano- tai seuraamusmääräys), voi hakea siihen muutosta First Tier Tribunal -tuomioistuimessa. Jos tuomioistuin katsoo, että tietosuojavaltuutetun päätös ei ole lainmukainen tai että tietosuojavaltuutetun olisi pitänyt käyttää harkintavaltaansa eri tavalla, tuomioistuimen on hyväksyttävä muutoksenhakemus tai korvattava annettu määräys toisella määräyksellä tai päätöksellä, jonka tietosuojavaltuutettu olisi voinut antaa tai tehdä (196).

(118)

Kolmanneksi yksilöt voivat vedota oikeudellisiin oikeussuojakeinoihin rekisterinpitäjiä ja henkilötietojen käsittelijöitä vastaan suoraan tuomioistuimissa vuoden 2018 tietosuojalain 167 §:n nojalla. Jos tuomioistuin katsoo rekisteröidyn hakemuksen perusteella, että tietosuojalainsäädäntöön perustuvia rekisteröidyn oikeuksia on loukattu, se voi määrätä käsittelystä vastaavan rekisterinpitäjän tai tämän puolesta toimivan henkilötietojen käsittelijän toteuttamaan määräyksessä yksilöidyt toimenpiteet tai pidättymään siinä yksilöidyistä toimenpiteistä. Lisäksi vuoden 2018 tietosuojalain 169 §:ssä säädetään, että henkilö, joka kärsii vahinkoa jonkin tietosuojalainsäädännössä (ml. vuoden 2018 tietosuojalain 3 osa, mutta pois lukien Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus) vahvistetun oikeuden loukkaamisen vuoksi, on oikeutettu saamaan tällaisesta vahingosta korvauksen rekisterinpitäjältä tai henkilötietojen käsittelijältä, paitsi jos nämä voivat osoittaa, etteivät ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta. Vahingolla tarkoitetaan tässä sekä taloudellista menetystä että esimerkiksi kärsimystä.

(119)

Neljänneksi henkilö, joka katsoo, että viranomaiset ovat loukanneet hänen oikeuksiaan, mukaan lukien oikeutta yksityisyyteen ja tietosuojaan, voi viedä asian Yhdistyneen kuningaskunnan tuomioistuimiin vuoden 1998 ihmisoikeuslain nojalla. Vuoden 2018 tietosuojalain 3 osan mukaiset rekisterinpitäjät eli toimivaltaiset viranomaiset ovat aina viranomaisia vuoden 1998 ihmisoikeuslaissa tarkoitetussa merkityksessä. Henkilö, joka väittää, että viranomainen on toiminut (tai aikoo toimia) tavalla, joka on ristiriidassa jonkin ihmisoikeussopimukseen perustuvan oikeuden kanssa ja siten vuoden 1998 ihmisoikeuslain 6 §:n 1 momentin nojalla lainvastainen, voi nostaa kanteen kyseistä viranomaista vastaan toimivaltaisessa tuomioistuimessa tai vedota asianomaisiin oikeuksiin missä tahansa oikeudenkäynnissä, kun hän on (tai olisi) lainvastaisen teon uhri (197).

(120)

Jos tuomioistuin toteaa, että jokin viranomaisen toimi on lainvastainen, se voi toimivaltuuksiensa puitteissa hyväksyä sellaisen vaatimuksen tai oikeussuojakeinon tai antaa sellaisen määräyksen, jonka se katsoo kohtuulliseksi ja asianmukaiseksi (198). Tuomioistuin voi myös todeta, että jokin primaarioikeuden säännös ei sovi yhteen jonkin ihmisoikeussopimuksessa taatun oikeuden kanssa.

(121)

Sen jälkeen kun kansalliset oikeussuojakeinot on käytetty loppuun, yksilö voi myös käyttää oikeussuojakeinoja Euroopan ihmisoikeustuomioistuimessa, jos Euroopan ihmisoikeussopimuksessa taattuja oikeuksia on loukattu.

(122)

Yhdistyneen kuningaskunnan lainsäädännön mukaan lainvalvontaviranomainen voi jakaa tietoja toisille Yhdistyneen kuningaskunnan viranomaisille muita kuin niitä tarkoituksia varten, johon ne alun perin kerättiin, jäljempänä ’tietojen edelleen jakaminen’, vain tiettyjen edellytysten täyttyessä.

(123)

Samoin kuin direktiivin (EU) 2016/680 4 artiklan 2 kohdassa, vuoden 2018 tietosuojalain 36 §:n 3 momentissa sallitaan toimivaltaisen viranomaisen lainvalvontatarkoituksia varten keräämien henkilötietojen myöhempi käsittely (joko alkuperäisen rekisterinpitäjän tai toisen rekisterinpitäjän toimesta) muuta kuin alkuperäistä lainvalvontatarkoitusta varten, sikäli kuin rekisterinpitäjällä on lupa käsitellä tällaisia henkilötietoja tällaista muuta tarkoitusta varten ja käsittely on tarpeellista ja oikeasuhteista (199). Tässä tapauksessa vastaanottavan viranomaisen suorittamaan käsittelyyn sovelletaan kaikkia vuoden 2018 tietosuojalain 3 osassa säädettyjä ja edellä käsiteltyjä suojatoimia.

(124)

Yhdistyneen kuningaskunnan oikeusjärjestyksessä tietojen edelleen jakaminen sallitaan nimenomaisesti eri laeissa. Muun muassa i) vuonna 2017 digitaalitaloudesta annetussa laissa (Digital Economy Act 2017) sallitaan tietojen jakaminen viranomaisten kesken eri tarkoituksia varten, esimerkiksi jos on kyse julkiseen sektoriin kohdistuvasta petoksesta, joka aiheuttaisi viranomaisille menetyksiä tai menetysten riskin (200) tai jos kyseessä on velka viranomaiselle tai valtiolle (the Crown) (201); ii) vuonna 2013 rikoksista ja tuomioistuimista annetussa laissa sallitaan tietojen jakaminen kansallisen rikosviraston (202) kanssa vakavan ja järjestäytyneen rikollisuuden torjuntaa, tutkintaa ja syytteeseenpanoa varten; iii) vuonna 2007 vakavasta rikollisuudesta annetussa laissa (Serious Crime Act 2007) sallitaan viranomaisten paljastaa tietoja petostentorjunnasta vastaaville organisaatioille petostentorjuntaa varten (203).

(125)

Näissä laeissa säädetään nimenomaisesti, että tietojen jakamisessa on noudatettava vuoden 2018 tietosuojalaissa vahvistettuja sääntöjä. Lisäksi poliisiakatemia on antanut tietojen jakamista koskevia sisäisiä ohjeita (Authorised Professional Practice on Information Sharing) (204), joiden tarkoituksena on auttaa poliisia noudattamaan Yhdistyneen kuningaskunnan yleiseen tietosuoja-asetukseen, tietosuojalakiin ja vuoden 1998 ihmisoikeuslakiin perustuvia tietosuojavelvoitteitaan. Tuomioistuinvalvonnan avulla voidaan varmistaa, että tietojen jakamisen yhteydessä noudatetaan sovellettavaa tietosuojaa koskevaa oikeudellista kehystä (205).

(126)

Samoin kuin direktiivin (EU) 2016/680 9 artiklassa, vuoden 2018 tietosuojalaissa säädetään lisäksi, että lainvalvontatarkoitusta varten kerättyjä henkilötietoja voidaan käsitellä muussa kuin lainvalvontatarkoituksessa vain, jos tällainen käsittely sallitaan laissa (206). Tällainen jakaminen kattaa kaksi eri tapausta: 1) rikoslain täytäntöönpanon valvonnasta vastaava viranomainen jakaa tietoja jonkin muun viranomaisen kanssa, tiedustelupalvelua lukuun ottamatta (eli esimerkiksi finanssivalvonta- tai veroviranomaisen, kilpailuviranomaisen tai lastensuojeluviranomaisen kanssa); ja 2) rikoslain täytäntöönpanon valvonnasta vastaava viranomainen jakaa tietoja tiedustelupalvelun kanssa. Ensimmäisessä tapauksessa henkilötietojen käsittely kuuluu sekä Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen että vuoden 2018 tietosuojalain 2 osan soveltamisalaan. Kuten asetuksen (EU) 2016/679 nojalla annetussa päätöksessä täsmennetään, Yhdistyneen kuningaskunnan yleisessä tietosuoja-asetuksessa ja vuoden 2018 tietosuojalain 2 osassa säädetyt tietosuojatakeet tarjoavat pohjimmiltaan unionissa tarjotun tasoisen suojan (207).

(127)

Toisessa tapauksessa rikoslain täytäntöönpanon valvonnasta vastaava viranomainen jakaa keräämiään tietoja tiedustelupalvelun kanssa kansallisen turvallisuuden suojelemiseksi. Sovellettava oikeusperusta on tällöin vuoden 2008 terrorismintorjuntalaki (Counter Terrorism Act 2008) (208). Vuoden 2008 terrorismintorjuntalain nojalla kuka tahansa voi antaa tietoja mille tahansa tiedustelupalvelun yksikölle minkä tahansa kyseiselle yksikölle kuuluvan tehtävän suorittamista varten, ”kansallinen turvallisuus” mukaan lukien.

(128)

Edellytyksistä, joiden mukaan tietoja voidaan jakaa kansallisen turvallisuuden suojelemiseksi, säädetään tiedustelupalvelulaissa (Intelligence Services Act) ja turvallisuuspalvelulaissa (Security Services Act). Niissä rajoitetaan tiedustelupalvelujen oikeus saada tietoja siihen, mikä on tarpeen niiden lakisääteisten tehtävien hoitamista varten. Jos vuoden 2018 tietosuojalain 3 osan soveltamisalaan kuuluvat lainvalvontavirastot haluavat jakaa tietoja tiedustelupalvelujen kanssa, niiden on otettava huomioon useita tekijöitä/rajoituksia niiden virastojen lakisääteisten tehtävien lisäksi, joista säädetään tiedustelupalvelulaissa ja turvallisuuspalvelulaissa (209). Vuoden 2008 terrorismintorjuntalain 20 §:ssä selvennetään, että jaettaessa tietoja mainitun lain 19 §:n nojalla on silti noudatettava tietosuojalainsäädäntöä, mikä tarkoittaa, että kaikkia vuoden 2018 tietosuojalaissa säädettyjä rajoituksia ja vaatimuksia sovelletaan. Lisäksi lainvalvontaviranomaiset ja tiedustelupalvelut ovat vuoden 1998 ihmisoikeuslaissa tarkoitettuja viranomaisia, joten niiden on varmistettava, että ne noudattavat toiminnassaan Euroopan ihmisoikeussopimuksessa ja erityisesti sen 8 artiklassa taattuja oikeuksia. Toisin sanoen nämä vaatimukset merkitsevät sitä, että kaikessa lainvalvontavirastojen ja tiedustelupalvelujen välisessä tietojen jakamisessa noudatetaan tietosuojalainsäädäntöä ja ihmisoikeussopimusta.

(129)

Kun tiedustelupalvelut käsittelevät henkilötietoja, jotka on saatu lainvalvontaviranomaisilta kansallista turvallisuutta koskeviin tarkoituksiin, käsittelyyn sovelletaan useita edellytyksiä ja suojatoimia (210). Vuoden 2018 tietosuojalain 4 osaa sovelletaan kaikkeen tiedustelupalvelujen suorittamaan tai niiden puolesta tapahtuvaan käsittelyyn. Siinä esitetään tärkeimmät tietosuojaperiaatteet (lainmukaisuus, kohtuullisuus ja läpinäkyvyys (211); käyttötarkoituksen rajoittaminen (212); tietojen minimointi (213); täsmällisyys (214); säilyttämisen rajoittaminen (215) ja turvallisuus (216)), asetetaan edellytykset erityisten tietoryhmien käsittelylle (217), säädetään rekisteröityjen oikeuksista (218), edellytetään sisäänrakennettua tietosuojaa (219) ja säännellään henkilötietojen kansainvälisiä siirtoja (220).

(130)

Toisaalta vuoden 2018 tietosuojalain 110 §:ssä säädetään sen 4 osan tiettyjä säännöksiä koskevasta poikkeuksesta silloin, kun se on tarpeen kansallisen turvallisuuden takaamiseksi. Vuoden 2018 tietosuojalain 110 §:n 2 momentissa luetellaan säännökset, joista poikkeaminen sallitaan. Näitä ovat muun muassa tietosuojaperiaatteet (lainmukaisuusperiaatetta lukuun ottamatta), rekisteröidyn oikeudet, velvollisuus ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetulle, kansainvälisten velvoitteiden mukaiset tietosuojavaltuutetun tarkastusvaltuudet ja tietyt tietosuojavaltuutetun täytäntöönpanovaltuudet, säännökset joiden nojalla tietyt tietosuojaloukkaukset kriminalisoidaan sekä säännökset, jotka liittyvät erityisiin käsittelytarkoituksiin, kuten käsittely journalistisia, akateemisia tai taiteellisia tarkoituksia varten. Poikkeukseen voidaan vedota tapauskohtaisen analyysin perusteella (221). Kuten Yhdistyneen kuningaskunnan viranomaiset ovat selvittäneet ja sen oikeuskäytännössä on vahvistettu, ”rekisterinpitäjän on otettava huomioon, mitä tosiasiallisia seurauksia asianomaisten tietosuojasääntöjen noudattamisesta aiheutuisi kansalliselle turvallisuudelle tai puolustukselle, ja olisiko niiden kohtuudella mahdollista noudattaa tavanomaisia sääntöjä ilman, että siitä aiheutuisi seurauksia kansalliselle turvallisuudelle tai puolustukselle” (222). Sen, onko poikkeusta sovellettu asianmukaisella tavalla, ratkaisee tietosuojavaltuutettu (223).

(131)

Mahdollisuudesta rajoittaa näiden edellä mainittujen oikeuksien soveltamista ”kansallisen turvallisuuden” suojelemiseksi vuoden 2018 tietosuojalain 79 §:ssä säädetään lisäksi, että rekisterinpitäjä voi pyytää kabinettiministerin tai oikeuskanslerin (Attorney General) allekirjoittamaa todistusta siitä, että tällaisten oikeuksien rajoittaminen on tai kyseiseen aikaan oli välttämätön ja oikeasuhteinen toimenpide kansallisen turvallisuuden suojelemiseksi (224). Yhdistyneen kuningaskunnan hallitus on antanut ohjeita vuoden 2018 tietosuojalain mukaisista kansallista turvallisuutta koskevista todistuksista. Ohjeissa korostetaan erityisesti, että kaikkien kansalliseen turvallisuuteen liittyvien rekisteröityjen oikeuksien rajoitusten on oltava oikeasuhteisia ja välttämättömiä (225). Kaikki kansallista turvallisuutta koskevat todistukset on julkaistava tietosuojavaltuutetun verkkosivuilla (226).

(132)

Todistuksen olisi oltava voimassa määrätyn ajan ja enintään viisi vuotta, jotta toimeenpanovallan käyttäjä voi tarkastella sitä säännöllisesti uudelleen (227). Todistuksessa on yksilöitävä ne henkilötiedot tai henkilötietoryhmät, joihin poikkeusta sovelletaan, sekä ne vuoden 2018 tietosuojalain säännökset, joista poikkeaminen sallitaan (228).

(133)

On huomattava, että kansallista turvallisuutta koskevat todistukset eivät muodosta lisäperustetta tietosuojaoikeuksien rajoittamiselle kansalliseen turvallisuuteen liittyvien syiden vuoksi. Toisin sanoen rekisterinpitäjä tai henkilötietojen käsittelijä voi vedota todistukseen vain, jos se on katsonut tarpeelliseksi vedota kansallista turvallisuutta koskevaan poikkeukseen, jota on sovellettava tapauskohtaisesti. Vaikka asiaan sovellettaisiin kansallista turvallisuutta koskevaa todistusta, tietosuojavaltuutettu voi tutkia, oliko vetoaminen siinä myönnettyyn poikkeukseen kyseisessä tapauksessa perusteltua (229).

(134)

Jokainen, jota todistuksen antaminen suoraan koskee, voi hakea Upper Tribunal -tuomioistuimessa (230) muutosta todistukseen (231), tai jos tiedot esitetään todistuksessa yleisellä tasolla, vastustaa todistuksen soveltamista määrättyihin tietoihin (232).

(135)

Tuomioistuin tutkii todistuksen antamista koskevan päätöksen ja päättää, oliko sen antamiseen perusteltu syy (233). Tuomioistuin voi tarkastella tätä varten erilaisia seikkoja, kuten tarpeellisuutta, oikeasuhteisuutta ja lainmukaisuutta, ottaen huomioon todistuksen vaikutukset rekisteröityjen oikeuksiin ja tasapainottaen niitä suhteessa tarpeeseen varmistaa kansallinen turvallisuus. Tämän perusteella tuomioistuin voi päättää, että todistusta ei sovelleta muutoksenhaun kohteena oleviin henkilötietoihin (234).

(136)

Muita mahdollisia rajoituksia voidaan soveltaa vuoden 2018 tietosuojalain liitteen 11 nojalla tiettyihin tietosuojalain 4 osan säännöksiin (235) muiden yleisen edun mukaisten tärkeiden tavoitteiden tai sellaisten suojattujen etujen turvaamiseksi kuin esimerkiksi parlamentaarinen koskemattomuus, asianajosalaisuus, oikeudenkäynnin kulku tai asevoimien toimintakyky. Näiden säännösten soveltaminen on joko vapautettu tiettyjen tietoryhmien osalta (”luokitusperusteinen vapautus”) tai siltä osin, kuin niiden soveltaminen todennäköisesti vahingoittaisi kyseistä suojattua etua (”vahinkoperusteinen vapautus”) (236). Vahinkoperusteisiin vapautuksiin voidaan vedota vain siltä osin, kuin säännöksessä lueteltujen tietosuojasäännösten soveltaminen todennäköisesti vahingoittaisi kyseessä olevaa etua. Tämä tarkoittaa, että vapautuksen soveltaminen on aina perusteltava viittaamalla vahinkoon, jonka sen soveltaminen kyseisessä yksittäisessä tapauksessa todennäköisesti aiheuttaisi. Luokitusperusteisiin vapautuksiin voidaan vedota vain niiden rajoitettujen tietoryhmien osalta, joiden osalta vapautus myönnetään. Nämä ovat tarkoitukseltaan ja vaikutuksiltaan samantapaisia kuin monet Yhdistyneen kuningaskunnan yleiseen tietosuoja-asetukseen (vuoden 2018 tietosuojalain liitteen 2 nojalla) sovellettavat poikkeukset, jotka puolestaan vastaavat EU:n tietosuoja-asetuksen 23 artiklan säännöksiä.

(137)

Edellä esitetystä seuraa, että Yhdistyneen kuningaskunnan sovellettavien säännösten nojalla käytössä on rajoituksia ja ehtoja, joita myös tuomioistuimet ja tietosuojavaltuutettu tulkitsevat, sen varmistamiseksi, että näitä poikkeuksia ja rajoituksia sovelletaan vain siltä osin, kuin se on välttämätöntä ja oikeasuhteista kansallisen turvallisuuden suojelemiseksi.

(138)

Tietosuojavaltuutettu valvoo tiedustelupalvelujen vuoden 2018 tietosuojalain 4 osan mukaisesti suorittamaa henkilötietojen käsittelyä (237).

(139)

Tietosuojavaltuutetun yleiset tehtävät, jotka koskevat vuoden 2018 tietosuojalain 4 osan soveltamisalaan kuuluvaa tiedustelupalvelujen suorittamaa henkilötietojen käsittelyä, vahvistetaan vuoden 2018 tietosuojalain liitteessä 13. Tehtäviin kuuluvat erityisesti esimerkiksi vuoden 2018 tietosuojalain 4 osan seuranta ja täytäntöönpano, yleisen tietoisuuden lisääminen, parlamentin, hallituksen ja muiden toimielinten avustaminen lainsäädännöllisissä ja hallinnollisissa toimenpiteissä, rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuuksia koskevan tietoisuuden edistäminen, rekisteröidyn oikeuksien käyttämistä koskevien tietojen antaminen rekisteröidylle ja tutkimusten suorittaminen.