(1)

Uredbom (EU) 2016/679 utvrđuju se pravila za prijenos osobnih podataka od voditelja obrade ili izvršitelja obrade u Europskoj uniji trećim zemljama i međunarodnim organizacijama, u mjeri u kojoj je takav prijenos obuhvaćen njezinim područjem primjene. Pravila o međunarodnim prijenosima podataka utvrđena su u poglavlju V. te uredbe, odnosno u člancima od 44. do 50. Iako je protok osobnih podataka u zemlje izvan Europske unije i iz njih bitan za proširenje međunarodne suradnje i prekogranične trgovine, razina zaštite osobnih podataka u Europskoj uniji ne smije se ugroziti prijenosima trećim zemljama (2).

(2)

U skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 Komisija može putem provedbenog akta odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija osigurava primjerenu razinu zaštite. Pod tim uvjetom prijenosi osobnih podataka trećoj zemlji mogu se obavljati bez potrebe za bilo kakvim dodatnim odobrenjem, kako je utvrđeno u članku 45. stavku 1. i uvodnoj izjavi 103. te uredbe.

(3)

Kako je navedeno u članku 45. stavku 2. Uredbe (EU) 2016/679, donošenje odluke o primjerenosti mora se temeljiti na sveobuhvatnoj analizi pravnog poretka treće zemlje, koja obuhvaća i pravila koja se primjenjuju na uvoznike podataka i ograničenja i zaštitne mjere u pogledu pristupa tijela javne vlasti osobnim podacima. Komisija u procjeni mora utvrditi jamči li predmetna treća zemlja razinu zaštite koja je „u načelu istovjetna” onoj koja je osigurana u Europskoj uniji (uvodna izjava 104. Uredbe (EU) 2016/679). Standard na temelju kojeg se procjenjuje je li zaštita „u načelu istovjetna” utvrđen je u zakonodavstvu Europske unije, ponajprije Uredbi (EU) 2016/679, te u sudskoj praksi Suda Europske unije (3). U tom je pogledu važan i Referentni dokument o primjerenosti koji je izdao Europski odbor za zaštitu podataka (EDPB) (4).

(4)

Kako je pojasnio Sud Europske unije, to ne zahtijeva utvrđivanje potpuno istovjetne razine zaštite (5). Naime, pravna sredstva kojima se predmetna treća zemlja koristi za zaštitu osobnih podataka mogu se razlikovati od onih koja se primjenjuju u Europskoj uniji, pod uvjetom da se u praksi pokažu djelotvornima za osiguravanje primjerene razine zaštite (6). Prema tome, standard primjerenosti ne podrazumijeva doslovno ponavljanje pravila Unije. Umjesto toga ispituje se pruža li predmetni strani sustav kao cjelina potrebnu razinu zaštite podataka sadržajem prava na zaštitu osobnih podataka i njihovom djelotvornom provedbom, nadzorom i ostvarivanjem (7).

(5)

Komisija je pomno analizirala pravo i praksu Ujedinjene Kraljevine. Na temelju nalaza navedenih u uvodnim izjavama od 8. do 270. Komisija zaključuje da Ujedinjena Kraljevina osigurava primjerenu razinu zaštite osobnih podataka koji se prenose iz Europske unije u Ujedinjenu Kraljevinu u okviru područja primjene Uredbe (EU) 2016/679.

(6)

Taj se zaključak ne odnosi na osobne podatke koji se prenose za potrebe kontrole useljavanja koju provodi Ujedinjena Kraljevina ili koji su na drugi način obuhvaćeni izuzećem od određenih prava ispitanika radi provedbe učinkovite kontrole useljavanja („izuzeće o useljavanju”) u skladu s točkom 4. podtočkom 1. Priloga 2. Zakonu Ujedinjene Kraljevine o zaštiti podataka. Prema odluci Žalbenog suda Engleske i Walesa (Court of Appeal) od 26. svibnja 2021. valjanost i tumačenje izuzeća o useljavanju nisu riješeni u skladu s pravom Ujedinjene Kraljevine. Iako priznaje da se prava ispitanika u načelu mogu ograničiti za potrebe kontrole useljavanja kao „važan aspekt javnog interesa”, Žalbeni sud utvrdio je da je izuzeće o useljavanju u svojem postojećem obliku nespojivo s pravom Ujedinjene Kraljevine jer u zakonodavnoj mjeri nedostaju posebne odredbe kojima se utvrđuju zaštitne mjere iz članka 23. stavka 2. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine (8). U tim bi uvjetima prijenose osobnih podataka iz Unije u Ujedinjenu Kraljevinu na koje se može primijeniti izuzeće o useljavanju trebalo isključiti iz područja primjene ove Odluke (9). Nakon što se otkloni nespojivost s pravom Ujedinjene Kraljevine, trebalo bi ponovno ocijeniti izuzeće o useljavanju, kao i potrebu za zadržavanjem ograničenja područja primjene ove Odluke.

(7)

Ova Odluka ne bi trebala utjecati na izravnu primjenu Uredbe (EU) 2016/679 na organizacije s poslovnim nastanom u Ujedinjenoj Kraljevini ako su ispunjeni uvjeti o teritorijalnom području primjene te uredbe utvrđeni u njezinu članku 3.

(8)

Ujedinjena Kraljevina je parlamentarna demokracija s ustavnim monarhom kao šefom države. Ima suvereni parlament, koji je nadređen svim ostalim vladinim institucijama, izvršnu vlast koja proizlazi iz parlamenta i odgovorna je parlamentu te neovisno sudstvo. Ovlasti izvršne vlasti proizlaze iz njezine sposobnosti da osigura povjerenje izabranog Zastupničkog doma, a odgovorna je obama domovima Parlamenta, čija je zadaća preispitivanje rada Vlade te raspravljanje o zakonskim prijedlozima i donošenje zakona.

(9)

Parlament Ujedinjene Kraljevine prenio je određene ovlasti Škotskom parlamentu (Scottish Parliament), Velškom parlamentu (Senedd Cymru) i Skupštini Sjeverne Irske (Northern Ireland Assembly) koje im omogućuju da u Škotskoj, Walesu i Sjevernoj Irskoj uređuju domaća pitanja koja Parlament Ujedinjene Kraljevine nije zadržao za sebe. Iako je za zaštitu podataka nadležan Parlament Ujedinjene Kraljevine, tj. isti se propisi primjenjuju u cijeloj zemlji, druga područja politike relevantna za ovu Odluku obuhvaćena su prenesenim nadležnostima. Na primjer, nadležnosti za sustave kaznenog pravosuđa, uključujući policijsku djelatnost, u Škotskoj su prenesene Škotskom parlamentu, a u Sjevernoj Irskoj Skupštini Sjeverne Irske. Ujedinjena Kraljevina nema kodificirani ustav u smislu zadanog konstitutivnog dokumenta. Ustavna načela proizašla su s vremenom, posebice iz sudske prakse i običaja. Sudovi su priznali ustavnopravni značaj određenih akata, kao što su Velika povelja sloboda (Magna Carta), Povelja o pravima iz 1689. (Bill of Rights 1689) i Zakon o ljudskim pravima iz 1998. (Human Rights Act 1998). Temeljna prava pojedinaca razvila su se, kao dio ustava, u okviru precedentnog prava (common law), navedenih akata i međunarodnih ugovora, osobito Europske konvencije o ljudskim pravima, koju je Ujedinjena Kraljevina ratificirala 1951. Ujedinjena Kraljevina ratificirala je 1987. i Konvenciju Vijeća Europe za zaštitu osoba glede automatizirane obrade osobnih podataka (Konvencija br. 108) (10).

(10)

Zakonom o ljudskim pravima iz 1998. prava iz Europske konvencije o ljudskim pravima ugrađuju se u pravo Ujedinjene Kraljevine. Zakonom o ljudskim pravima svim se pojedincima daju temeljna prava i slobode predviđene člancima od 2. do 12. i člankom 14. Europske konvencije o ljudskim pravima, člancima 1., 2. i 3. Prvog protokola uz tu konvenciju te člankom 1. Trinaestog protokola uz tu konvenciju, u vezi s člancima 16., 17. i 18. te konvencije. To uključuje pravo na poštovanje osobnog i obiteljskog života (i pravo na zaštitu podataka koje je dio tog prava) te pravo na pošteno suđenje (11). Naime, u skladu s člankom 8. te konvencije tijelo javne vlasti smije zadirati u pravo na privatnost samo u skladu sa zakonom i ako je to u demokratskom društvu nužno radi interesa nacionalne sigurnosti, javnog reda i mira ili gospodarske dobrobiti zemlje te radi sprečavanja nereda ili zločina, radi zaštite zdravlja ili morala ili radi zaštite prava i sloboda drugih.

(11)

U skladu sa Zakonom o ljudskim pravima iz 1998. svi postupci tijelâ javne vlasti moraju biti u skladu s pravima iz Konvencije (12). Osim toga, primarno i sekundarno zakonodavstvo moraju se tumačiti i provoditi u skladu s pravima iz Konvencije (13).

(12)

Ujedinjena Kraljevina povukla se iz Europske unije 31. siječnja 2020. Na temelju Sporazuma o povlačenju Ujedinjene Kraljevine Velike Britanije i Sjeverne Irske iz Europske unije i Europske zajednice za atomsku energiju (14) pravo Unije nastavilo se primjenjivati u Ujedinjenoj Kraljevini u prijelaznom razdoblju do 31. prosinca 2020. Prije povlačenja i u prijelaznom razdoblju zakonodavni okvir za zaštitu osobnih podataka u Ujedinjenoj Kraljevini sastojao se od relevantnih propisa EU-a (posebno Uredbe (EU) 2016/679 i Direktive (EU) 2016/680 Europskog parlamenta i Vijeća (15)) i nacionalnih propisa, osobito Zakona o zaštiti podataka iz 2018. (DPA iz 2018.) (16) u kojem su propisana nacionalna pravila, kad je to dopušteno Uredbom (EU) 2016/679, kojima se određuje i ograničava primjena pravila iz Uredbe (EU) 2016/679 i prenesene Direktive (EU) 2016/680.

(13)

Kako bi se pripremila za povlačenje iz Europske unije, Vlada Ujedinjene Kraljevine donijela je Zakon o povlačenju iz Europske unije iz 2018. (17), kojim se izravno primjenjivo zakonodavstvo Unije uključuje u pravo Ujedinjene Kraljevine (18). To takozvano „zadržano pravo Unije” uključuje cijelu Uredbu (EU) 2016/679 (uključujući uvodne izjave) (19). Prema tom zakonu sudovi u Ujedinjenoj Kraljevini neizmijenjeno zadržano pravo Unije moraju tumačiti u skladu s relevantnom sudskom praksom Suda Europske unije i općim načelima prava Unije, u skladu s učinkom koji ta praksa i načela imaju neposredno prije kraja prijelaznog razdoblja (takozvana „zadržana sudska praksa EU-a” odnosno „zadržana opća načela prava Unije”) (20).

(14)

Na temelju Zakona o povlačenju iz Europske unije iz 2018. ministri Ujedinjene Kraljevine imaju ovlast putem zakonskih instrumenata donositi sekundarno zakonodavstvo kako bi uveli potrebne promjene zadržanog prava Unije koje su posljedica povlačenja Ujedinjene Kraljevine iz Europske unije. Ministri su iskoristili tu ovlast tako što su donijeli Uredbu o zaštiti podataka, privatnosti i elektroničkim komunikacijama (izmjene itd.) (izlazak iz Unije) iz 2019. (Uredba DPPEC) (21). Uredbom DPPEC izmijenjena je Uredba (EU) 2016/679, kako je uvedena u pravo Ujedinjene Kraljevine Zakonom o povlačenju iz Europske unije iz 2018., Zakonom o zaštiti podataka iz 2018. i drugim zakonodavstvom o zaštiti podataka, da bi odgovarala nacionalnom kontekstu (22).

(15)

Stoga se pravni okvir za zaštitu osobnih podataka u Ujedinjenoj Kraljevini nakon završetka prijelaznog razdoblja sastoji od:

(16)

Budući da se Opća uredba o zaštiti podataka Ujedinjene Kraljevine temelji na zakonodavstvu EU-a, pravila o zaštiti podataka u Ujedinjenoj Kraljevini u mnogim aspektima uvelike odražavaju odgovarajuća pravila primjenjiva unutar Europske unije.

(17)

Uz ovlasti koje su Zakonom o povlačenju iz Europske unije iz 2018. dane ministru, nekoliko odredbi DPA-a iz 2018. daje ovlasti ministru da donosi sekundarno zakonodavstvo kako bi se izmijenile određene odredbe Zakona ili navela dopunska i dodatna pravila (25). Ministar je dosad izvršio ovlast iz članka 137. DPA-a iz 2018. samo kako bi donio Uredbu o zaštiti podataka (naknade i informacije) (izmjena) iz 2019., u kojoj su utvrđene okolnosti u kojima voditelji obrade podataka moraju platiti godišnju naknadu neovisnom tijelu za zaštitu podataka u Ujedinjenoj Kraljevini – povjereniku za informiranje.

(18)

Naposljetku, daljnje smjernice o zakonodavstvu Ujedinjene Kraljevine u području zaštite podataka dostupne su u kodeksima dobre prakse i drugim smjernicama koje donosi povjerenik za informiranje. Iako službeno nisu pravno obvezujuće, te smjernice važne su za tumačenje i pokazuju kako se zakonodavstvo u području zaštite podataka primjenjuje i kako ga povjerenik izvršava u praksi. Ponajprije, u člancima od 121. do 125. DPA-a iz 2018. zahtijeva se da povjerenik izradi kodekse dobre prakse o razmjeni podataka, izravnom marketingu, dizajnu i zaštiti podataka primjerenima za dob te novinarstvu.

(19)

Stoga su struktura i glavne sastavnice pravnog okvira Ujedinjene Kraljevine koji se primjenjuje na podatke koji se prenose na temelju ove Odluke vrlo slične okviru koji se primjenjuje u Europskoj uniji. To uključuje činjenicu da se taj okvir ne oslanja samo na obveze utvrđene u nacionalnom pravu, koje su oblikovane pravom Unije, već i na obveze iz međunarodnog prava, osobito obveze Ujedinjene Kraljevine da poštuje EKLJP i Konvenciju br. 108 i priznavanje nadležnosti Europskog suda za ljudska prava. Stoga su te obveze koje proizlaze iz pravno obvezujućih međunarodnih instrumenata, a koje se posebno odnose na zaštitu osobnih podataka, važan element pravnog okvira koji se procjenjuje u ovoj Odluci.

(20)

Slično Uredbi (EU) 2016/679, Opća uredba o zaštiti podataka Ujedinjene Kraljevine primjenjuje se na obradu osobnih podataka koja se u cijelosti ili djelomično obavlja automatizirano ili na neautomatiziranu obradu ako su osobni podaci dio sustava pohrane (26). Definicije „osobnih podataka”, „ispitanika” i „obrade” u Općoj uredbi o zaštiti podataka Ujedinjene Kraljevine iste su kao i definicije iz Uredbe (EU) 2016/679 (27). Osim toga, Opća uredba o zaštiti podataka Ujedinjene Kraljevine primjenjuje se na ručnu obradu nestrukturiranih osobnih podataka (28) koje drže određena tijela javne vlasti u Ujedinjenoj Kraljevini (29), iako su načela i prava iz Opće uredbe o zaštiti podataka Ujedinjene Kraljevine koja nisu relevantna za takve osobne podatke ukinuta člancima 24. i 25. DPA-a iz 2018. Slično odredbama iz Uredbe (EU) 2016/679, Opća uredba o zaštiti podataka Ujedinjene Kraljevine ne primjenjuje se na obradu osobnih podataka koju provodi pojedinac u okviru isključivo osobne ili kućne aktivnosti (30).

(21)

Područje primjene Opće uredbe o zaštiti podataka Ujedinjene Kraljevine prošireno je i na obradu tijekom aktivnosti koje neposredno prije kraja prijelaznog razdoblja nisu bile obuhvaćene područjem primjene prava Unije (npr. nacionalna sigurnost) (31) ili su bile obuhvaćene područjem primjene glave V. poglavlja 2. Ugovora o Europskoj uniji (aktivnosti zajedničke vanjske i sigurnosne politike) (32). Kao i u sustavu Europske unije, Opća uredba o zaštiti podataka Ujedinjene Kraljevine ne primjenjuje se na obradu osobnih podataka koju obavlja nadležno tijelo u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja (takozvane „svrhe kaznenog progona”) (umjesto toga, takva je obrada uređena dijelom 3. DPA-a iz 2018., kao što je uređena i Direktivom (EU) 2016/680 na temelju prava Unije) ni na obradu osobnih podataka koju obavljaju obavještajne službe (Sigurnosna služba, Tajna obavještajna služba i Vladin komunikacijski stožer), koja je uređena dijelom 4. DPA-a iz 2018. (33)

(22)

Teritorijalno područje primjene Opće uredbe o zaštiti podataka Ujedinjene Kraljevine opisano je u članku 3. te uredbe (34) i uključuje obradu osobnih podataka (neovisno o tome gdje se ona obavlja) u okviru aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Ujedinjenoj Kraljevini te obradu osobnih podataka ispitanika koji se nalaze u Ujedinjenoj Kraljevini ako su aktivnosti obrade povezane s ponudom robe ili usluga takvim ispitanicima ili praćenjem njihova ponašanja (35). To odražava pristup iz članka 3. Uredbe (EU) 2016/679.

(23)

Definicije osobnih podataka, obrade, voditelja obrade, izvršitelja obrade te definicija pseudonimizacije, utvrđene u Uredbi (EU) 2016/679, zadržane su u Općoj uredbi o zaštiti podataka Ujedinjene Kraljevine bez bitnih izmjena (36). Nadalje, posebne kategorije podataka definirane su u članku 9. stavku 1. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine na isti način kao i na temelju Uredbe (EU) 2016/679 („koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka ili biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca”). U članku 205. DPA-a iz 2018. navodi se definicija „biometrijskih podataka” (37), „podataka koji se odnose na zdravlje” (38) i „genetskih podataka” (39).

(24)

Osobni podaci trebali bi se obrađivati zakonito i pošteno.

(25)

Načela zakonitosti, poštenosti i transparentnosti te osnove za zakonitu obradu zajamčeni su pravom Ujedinjene Kraljevine u članku 5. stavku 1. točki (a) i članku 6. stavku 1. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, koji su isti kao odgovarajuće odredbe u Uredbi (EU) 2016/679 (40). Članak 8. DPA-a iz 2018. dopunjuje članak 6. stavak 1. točku (e) tako što se u njemu određuje da obrada osobnih podataka na temelju članka 6. stavka 1. točke (e) Opće uredbe o zaštiti podataka Ujedinjene Kraljevine (nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade) uključuje obradu osobnih podataka koja je nužna za pravosuđe, izvršavanje funkcije bilo kojeg doma Parlamenta, izvršavanje funkcije dodijeljene osobi zakonom, propisima ili načelima vladavine prava, izvršavanje funkcije Krune, ministra Krune ili ministarstva ili aktivnost koja podupire ili promiče demokratski angažman.

(26)

Kad je riječ o privoli (jedna od osnova za zakonitu obradu), u Općoj uredbi o zaštiti podataka Ujedinjene Kraljevine neizmijenjenima su zadržani i uvjeti predviđeni u članku 7. Uredbe (EU) 2016/679, što znači da voditelj obrade mora moći dokazati da je ispitanik dao privolu, pisani zahtjev za privolu mora se predočiti na jasnom i jednostavnom jeziku, ispitanik mora imati pravo da u bilo kojem trenutku povuče privolu, a kad se procjenjuje je li privola bila dobrovoljna, treba uzeti u obzir je li izvršenje ugovora uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora. Nadalje, prema članku 8. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, ako informacijsko društvo pruža usluge djetetu, djetetova privola je zakonita samo ako dijete ima najmanje 13 godina. To je u skladu s dobnom skupinom utvrđenom u članku 8. Uredbe (EU) 2016/679.

(27)

Trebale bi postojati posebne zaštitne mjere ako se obrađuju „posebne kategorije” podataka.

(28)

Opća uredba o zaštiti podataka Ujedinjene Kraljevine i DPA iz 2018. sadržavaju posebna pravila za obradu posebnih kategorija osobnih podataka, koja su definirana u članku 9. stavku 1. te uredbe na isti način kao i na temelju Uredbe (EU) 2016/679 (vidjeti uvodnu izjavu 23.). Prema članku 9. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine obrada posebnih kategorija podataka načelno je zabranjena, osim ako se primjenjuje posebna iznimka.

(29)

Te iznimke (navedene u članku 9. stavcima 2. i 3. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine) ne uvode nikakve sadržajne izmjene odredbi iz članka 9. stavaka 2. i 3. Uredbe (EU) 2016/679. Osim ako je ispitanik dao izričitu privolu za obradu tih osobnih podataka, obrada posebnih kategorija osobnih podataka dopuštena je samo u specifičnim i ograničenim okolnostima. U većini slučajeva obrada osjetljivih podataka mora biti nužna za posebnu svrhu definiranu u odgovarajućoj odredbi (vidjeti članak 9. stavak 2. točke (b), (c), (f), (g), (h), (i) i (j)).

(30)

Nadalje, ako se za iznimku iz članka 9. stavka 2. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine zahtijeva da bude odobrena u okviru prava ili se upućuje na javni interes, u članku 10. DPA-a iz 2018. zajedno s Prilogom 1. DPA-u iz 2018. dodatno se određuju uvjeti koji se moraju ispuniti da bi se mogle primijeniti iznimke. Na primjer, ako se osjetljivi podaci obrađuju radi zaštite „javnog zdravlja” (članak 9. stavak 2. točka (i) Opće uredbe o zaštiti podataka Ujedinjene Kraljevine), u dijelu 1. točki 3. podtočki (b) Priloga 1., uz provjeru nužnosti, zahtijeva se da takvu obradu provodi „zdravstveni radnik ili da je takva obrada pod odgovornošću zdravstvenog radnika” ili „druga osoba na koju se primjenjuje obveza povjerljivosti na temelju zakona, propisa ili načela vladavine prava”, među ostalim na temelju ustaljene obveze povjerljivosti iz precedentnog prava.

(31)

Ako se osjetljivi podaci obrađuju za potrebe značajnog javnog interesa (članak 9. stavak 2. točka (g) Opće uredbe o zaštiti podataka Ujedinjene Kraljevine), u dijelu 2. Priloga 1. DPA-u iz 2018. naveden je iscrpan popis svrha za koje se može smatrati da su od značajnog javnog interesa i za svaku od tih svrha utvrđeni su specifični dodatni uvjeti. Na primjer, promicanje rasne i etničke raznolikosti na visokim razinama rukovodstva organizacije priznaje se kao značajan javni interes. Obrada osjetljivih podataka u tu posebnu svrhu podliježe detaljnim zahtjevima, među ostalim da se provodi u okviru procesa utvrđivanja primjerenih pojedinaca koji mogu biti na visokim položajima, da je nužna za promicanje rasne i etničke raznolikosti te da vjerojatno neće uzrokovati veliku štetu ili duševnu bol ispitanika.

(32)

U članku 11. stavku 1. DPA-a iz 2018. utvrđeni su uvjeti za obradu osobnih podataka u okolnostima opisanima u članku 9. stavku 3. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, koji se odnosi na obvezu čuvanja tajne. To uključuje okolnosti u kojima obradu provodi zdravstveni radnik ili socijalni radnik ili je obrada pod njegovom odgovornošću ili ako je provodi druga osoba koja je u tim okolnostima vezana obvezom povjerljivosti na temelju zakona, propisa ili načela vladavine prava.

(33)

Osim toga, za primjenu mnogih iznimki navedenih u članku 9. stavku 2. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine potrebne su primjerene i posebne zaštitne mjere. Ovisno o prirodi obrade i stupnju rizika za prava i slobode ispitanika, uvjetima za obradu predviđenima u Prilogu 1. DPA-u iz 2018. utvrđene su različite zaštitne mjere. U Prilogu 1. utvrđeni su uvjeti za svaki slučaj obrade.

(34)

U nekim slučajevima DPA iz 2018. uređuje i ograničava vrstu osjetljivih podataka koji se mogu obrađivati kako bi se ispunila određena pravna osnova. Na primjer, u točki 8. Priloga 1. dopušta se obrada osjetljivih podataka u svrhu promicanja jednakih mogućnosti ili jednakog postupanja. Taj uvjet za obradu može se primijeniti samo ako podaci otkrivaju rasno ili etničko podrijetlo, vjerska ili filozofska uvjerenja, spolnu orijentaciju ili ako je riječ o zdravstvenim podacima.

(35)

U nekim slučajevima DPA iz 2018. ograničava vrstu voditelja obrade koji može primijeniti uvjet za obradu. Na primjer, u točki 23. Priloga 1. predviđa se obrada osjetljivih podataka s obzirom na odgovore izabranih predstavnika javnosti. Taj uvjet za obradu može se primijeniti samo ako je voditelj obrade izabrani predstavnik ili ako djeluje pod njegovim vodstvom.

(36)

U nekim drugim slučajevima DPA iz 2018. ograničava kategorije ispitanika za primjenu uvjeta za obradu. Na primjer, u točki 21. Priloga 1. uređuje se obrada osjetljivih podataka za strukovne mirovinske programe. Taj se uvjet može primijeniti samo ako je predmetni ispitanik brat ili sestra, roditelj, djed ili baka ili pradjed ili prabaka člana programa.

(37)

Osim toga, ako se poziva na iznimke iz članka 9. stavka 2. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine koje su dodatno određene u članku 10. DPA-a iz 2018. zajedno s Prilogom 1. DPA-u iz 2018., voditelj obrade u većini je slučajeva obvezan sastaviti „dokument o odgovarajućoj politici”. U tom se dokumentu moraju opisati postupci kojima voditelj obrade osigurava usklađenost s načelima iz članka 5. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine. Moraju se utvrditi i politike za zadržavanje i brisanje te navesti vjerojatno razdoblje pohrane. Voditelji obrade prema potrebi moraju preispitivati i ažurirati taj dokument. Voditelj obrade mora zadržati dokument o politici šest mjeseci nakon završetka obrade i na zahtjev ga mora staviti na raspolaganje povjereniku za informiranje (41).

(38)

Prema točki 41. Priloga 1. DPA-u iz 2018., dokumentu o politici uvijek se mora priložiti proširena evidencija obrade. U toj se evidenciji moraju pratiti obveze iz dokumenta o politici, tj. brišu li se ili zadržavaju podaci u skladu s politikama. Ako se ne poštuju politike, u evidenciji se moraju navesti razlozi. U evidenciji se mora opisati i kako obrada ispunjava članak 6. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine (zakonitost obrade) i specifični uvjet iz Priloga 1. DPA-u iz 2018. na koji se poziva.

(39)

Naposljetku, kao i u Uredbi (EU) 2016/679, u Općoj uredbi o zaštiti podataka Ujedinjene Kraljevine predviđaju se i opće zaštitne mjere za određene postupke obrade posebnih kategorija podataka. U članku 35. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine zahtijeva se procjena učinka na zaštitu podataka u slučaju opsežne obrade posebnih kategorija podataka. Prema članku 37. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, voditelj obrade ili izvršitelj obrade mora imenovati službenika za zaštitu podataka ako se njegove osnovne djelatnosti sastoje od opsežne obrade posebnih kategorija podataka.

(40)

Kad je riječ o osobnim podacima koji se odnose na kaznene osude i kažnjiva djela, članak 10. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine isti je kao i članak 10. Uredbe (EU) 2016/679. Dopušta obradu osobnih podataka koji se odnose na kaznene osude i kažnjiva djela samo pod nadzorom službenog tijela ili kad je obrada odobrena nacionalnim pravom kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode ispitanikâ.

(41)

Ako se obrada podataka koji se odnose na kaznene osude i kažnjiva djela ne obavlja pod nadzorom službenog tijela, u članku 10. stavku 5. DPA-a iz 2018. predviđeno je da se takva obrada može obavljati samo u posebne svrhe/u posebnim situacijama utvrđenima u dijelovima 1., 2. i 3. Priloga 1. DPA-u iz 2018. i da ta obrada podliježe posebnim zahtjevima koji su utvrđeni za svaku od tih svrha/situacija. Na primjer, podatke o kaznenim osudama može obrađivati neprofitno tijelo ako se obrada provodi (a) u sklopu njegovih legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te (b) pod uvjetom i. da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njim u vezi s njegovim svrhama i ii. da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanikâ.

(42)

Nadalje, u dijelu 3. Priloga 1. DPA-u iz 2018. utvrđuju se daljnje okolnosti u kojima se podaci o kaznenim osudama mogu koristiti, a koje odgovaraju pravnim osnovama za obradu osjetljivih podataka iz članka 9. stavka 2. Uredbe (EU) 2016/679 i Opće uredbe o zaštiti podataka Ujedinjene Kraljevine (npr. privola ispitanika, životno važni interesi pojedinca ako ispitanik pravno ili fizički nije u mogućnosti dati privolu, ako je očito da je podatke već objavio ispitanik, ako je obrada nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva itd.).

(43)

Osobni podaci trebali bi se obrađivati u određenu svrhu i zatim se upotrebljavati samo ako to nije nespojivo sa svrhom obrade.

(44)

To je načelo predviđeno člankom 5. stavkom 1. točkom (b) Uredbe (EU) 2016/679 i zadržano je bez izmjena u članku 5. stavku 1. točki (b) Opće uredbe o zaštiti podataka Ujedinjene Kraljevine. I uvjeti za daljnju usklađenu obradu na temelju članka 6. stavka 4. Uredbe (EU) 2016/679 zadržani su bez bitnih izmjena u članku 6. stavku 4. točkama od (a) do (e) Opće uredbe o zaštiti podataka Ujedinjene Kraljevine.

(45)

Nadalje, podaci bi trebali biti točni i, prema potrebi, ažurirani. Trebali bi biti i primjereni i relevantni i ne bi trebali biti pretjerani u odnosu na svrhe u koje se obrađuju te bi se načelno trebali čuvati samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju.

(46)

Ta načela smanjenja količine podataka, točnosti i ograničenja pohrane utvrđena su u članku 5. stavku 1. točkama od (c) do (e) Uredbe (EU) 2016/679 i zadržana su bez izmjena u članku 5. stavku 1. točkama od (c) do (e) Opće uredbe o zaštiti podataka Ujedinjene Kraljevine.

(47)

Osobni podaci trebali bi se obrađivati i tako da se jamči njihova sigurnost, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja. U tu bi svrhu poslovni subjekti trebali poduzeti odgovarajuće tehničke ili organizacijske mjere za zaštitu osobnih podataka od mogućih prijetnji. Te bi mjere trebalo procijeniti tako da se uzmu u obzir najnovija dostignuća i povezani troškovi.

(48)

Sigurnost podataka sadržana je u pravu Ujedinjene Kraljevine primjenom načela cjelovitosti i povjerljivosti u članku 5. stavku 1. točki (f) Opće uredbe o zaštiti podataka Ujedinjene Kraljevine i članku 32. te uredbe o sigurnosti obrade. Te su odredbe iste kao i odgovarajuće odredbe Uredbe (EU) 2016/679. Nadalje, pod istim uvjetima kao što su oni utvrđeni u člancima 33. i 34. Uredbe (EU) 2016/679, u Općoj uredbi o zaštiti podataka Ujedinjene Kraljevine zahtijeva se izvješćivanje nadzornog tijela o povredi osobnih podataka (članak 33. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine) i obavješćivanje ispitanika o povredi osobnih podataka (članak 34. te uredbe).

(49)

Ispitanike bi trebalo obavijestiti o glavnim obilježjima obrade njihovih osobnih podataka.

(50)

To se osigurava člancima 13. i 14. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, u kojima su uz opće načelo transparentnosti navedena i pravila o informacijama koje treba dostaviti ispitaniku (42). Općom uredbom o zaštiti podataka Ujedinjene Kraljevine nisu uvedene nikakve bitne izmjene tih pravila u usporedbi s odgovarajućim člancima Uredbe (EU) 2016/679. Međutim, kao i na temelju Uredbe (EU) 2016/679, zahtjevi za transparentnost iz tih članaka podložni su određenim iznimkama određenima u DPA-u iz 2018. (vidjeti uvodne izjave od 55. do 72.).

(51)

Ispitanici bi trebali imati određena prava koja mogu ostvariti u odnosu na voditelja obrade ili izvršitelja obrade, osobito pravo na pristup podacima, pravo na prigovor na obradu i pravo na ispravak ili brisanje podataka. Takva prava istodobno mogu biti ograničena ako su ta ograničenja nužna i proporcionalna za zaštitu javne sigurnosti ili drugih važnih ciljeva od općeg javnog interesa.

(52)

U Općoj uredbi o zaštiti podataka Ujedinjene Kraljevine pojedincima se daju ista provediva prava kao i u Uredbi (EU) 2016/679. Odredbe kojima se osiguravaju prava pojedinaca zadržane su u Općoj uredbi o zaštiti podataka Ujedinjene Kraljevine bez bitnih izmjena.

(53)

Ta prava uključuju pravo ispitanika na pristup (članak 15. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine), pravo na ispravak (članak 16. te uredbe), pravo na brisanje (članak 17. te uredbe), pravo na ograničenje obrade (članak 18. te uredbe), obvezu izvješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade (članak 19. te uredbe), pravo na prenosivost podataka (članak 20. te uredbe) i pravo na prigovor (članak 21. te uredbe) (43). Potonje uključuje i pravo ispitanika da uloži prigovor na obradu osobnih podataka za potrebe izravnog marketinga predviđene člankom 21. stavcima 2. i 3. Uredbe (EU) 2016/679. Nadalje, na temelju članka 122. DPA-a iz 2018. povjerenik za informiranje mora izraditi kodeks dobre prakse o provođenju izravnog marketinga u skladu sa zahtjevima iz zakonodavstva o zaštiti podataka (i Uredbe o privatnosti i elektroničkim komunikacijama (Direktiva EK-a) iz 2003.) i druge takve smjernice za promicanje dobre prakse u izravnom marketingu koje povjerenik smatra primjerenima. Ured povjerenice za informiranje trenutačno radi na kodeksu za izravni marketing (44).

(54)

U Općoj uredbi o zaštiti podataka Ujedinjene Kraljevine bez bitnih izmjena zadržano je i pravo ispitanika da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu, kako je navedeno u članku 22. Opće uredbe o zaštiti podataka. Međutim, dodan je novi stavak 3.A kako bi se uputilo na to da su u članku 14. DPA-a iz 2018. utvrđene zaštitne mjere za prava, slobode i legitimne interese ispitanika kad se obrada obavlja na temelju članka 22. stavka 2. točke (b) Opće uredbe o zaštiti podataka Ujedinjene Kraljevine. To se primjenjuje samo ako je osnova za takvu odluku odobrenje ili zahtjev na temelju prava Ujedinjene Kraljevine i ne primjenjuje se ako je odluka nužna na temelju ugovora ili ako se donosi uz izričitu privolu ispitanika. Ako se primjenjuje članak 14. DPA-a iz 2018., voditelj obrade mora, čim je to razumno izvedivo, u pisanom obliku obavijestiti ispitanika da je odluka donesena isključivo na temelju automatizirane obrade. Ispitanik ima pravo tražiti da voditelj obrade, u roku od jednog mjeseca od primitka obavijesti, preispita odluku ili da donese novu odluku koja se ne temelji isključivo na automatiziranoj obradi. Ministar ima ovlast donositi daljnje zaštitne mjere u vezi s automatiziranim donošenjem odluka. Ta ovlast još nije iskorištena.

(55)

U DPA-u iz 2018. utvrđeno je nekoliko ograničenja prava pojedinaca, koja odgovaraju okviru članka 23. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine. U tom se okviru ne uvode nikakva ograničenja prava na prigovor na izravni marketing, kako je predviđeno u članku 21. stavcima 2. i 3. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, ili prava ispitanika da se na njega ne odnosi automatizirano donošenje odluka, kako je predviđeno u članku 22. te uredbe.

(56)

Ograničenja su detaljno opisana u prilozima od 2. do 4. DPA-u iz 2018. Tijela Ujedinjene Kraljevine objasnila su da se vode dvama načelima: načelom specifičnosti (primjena detaljnog pristupa, podjela širokih ograničenja na više specifičnijih odredbi) i načelom uvjetovanosti (svaka je odredba dopunjena zaštitnim mjerama u obliku ograničenja ili uvjeta za sprečavanje zloupotrebe) (45).

(57)

Ograničenja opisana u članku 23. stavku 1. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine osmišljena su tako da se osigura da se primjenjuju samo u utvrđenim okolnostima kad je to nužno u demokratskom društvu i proporcionalno legitimnim ciljevima koji se ograničenjima nastoje ostvariti. Nadalje, u skladu s ustaljenom sudskom praksom o tumačenju ograničenja, izuzeće od sustava zaštite podataka može se u nekom određenom slučaju primijeniti samo ako je to nužno i proporcionalno (46). Zahtijeva se da ocjena nužnosti bude „stroga, tako da svako zadiranje u prava ispitanika mora biti proporcionalno ozbiljnosti prijetnje javnom interesu. Stoga je za njegovu primjenu potrebna klasična analiza proporcionalnosti” (47).

(58)

Ciljevi koje se nastoji ostvariti tim ograničenjima odgovaraju ciljevima navedenima u članku 23. Uredbe (EU) 2016/679, osim ograničenja za nacionalnu sigurnost i obranu koja su umjesto toga uređena člankom 26. DPA-a iz 2018., ali se na njih primjenjuju isti zahtjevi nužnosti i proporcionalnosti (vidjeti uvodne izjave od 63. do 66.).

(59)

Neka ograničenja, na primjer ona povezana sa sprečavanjem i otkrivanjem kaznenih djela, uhićenjem ili kaznenim progonom počinitelja i utvrđivanjem ili naplatom poreza ili pristojbi (48), dopuštaju ograničenja svih prava pojedinaca i obveza u pogledu transparentnosti (uz iznimku prava iz članka 21. stavka 2. i članka 22.). Područje primjene drugih ograničenja ograničeno je na obveze u pogledu transparentnosti i prava pristupa, kao što su ograničenja povezana s odvjetničkom tajnom (49), pravom oslobođenja od zahtjeva za davanje informacija koje bi dovele do samooptuživanja (50) i korporativnim financijama, osobito sprečavanjem trgovanja na temelju povlaštenih informacija (51). Mali broj ograničenja dopušta ograničenje obveze voditelja obrade da obavijesti ispitanika o povredi podataka te načela ograničavanja svrhe i zakonitosti, poštenosti i transparentnosti obrade (52).

(60)

Neka se ograničenja automatski „u potpunosti” primjenjuju na određenu vrstu obrade osobnih podataka (na primjer, primjena obveza u pogledu transparentnosti i prava pojedinaca isključena je ako se osobni podaci obrađuju u svrhu procjene primjerenosti osobe za pravosudnu dužnost ili ako osobne podatke obrađuje sud ili pojedinac u okviru svoje sudske nadležnosti).

(61)

Međutim, u većini slučajeva relevantna točka iz Priloga 2. DPA-u iz 2018. određuje da se ograničenje primjenjuje samo kad (i u mjeri u kojoj) bi primjena odredbi „vjerojatno dovela u pitanje” legitimni cilj koji se nastoji ostvariti tim ograničenjem: na primjer, navedene odredbe Opće uredbe o zaštiti podataka Ujedinjene Kraljevine ne primjenjuju se na osobne podatke koji se obrađuju u svrhu sprečavanja ili otkrivanja kaznenog djela, uhićenja ili kaznenog progona počinitelja ili utvrđivanja ili naplate poreza ili pristojbi „u mjeri u kojoj bi primjena tih odredbi vjerojatno dovela u pitanje” bilo koju od tih aktivnosti (53).

(62)

Sudovi Ujedinjene Kraljevine dosljedno tumače standard „vjerojatno dovela u pitanje” kao „vrlo veliku i važnu vjerojatnost ugrožavanja utvrđenih javnih interesa” (54). Stoga se na ograničenje na koje se primjenjuje test ugrožavanja može pozvati samo ako i u mjeri u kojoj postoji vrlo velika i važna vjerojatnost da bi se dodjelom određenog prava ugrozio predmetni javni interes. Voditelj obrade odgovoran je da u svakom pojedinom slučaju ocijeni jesu li ti uvjeti ispunjeni (55).

(63)

Uz ograničenja iz Priloga 2. DPA-u iz 2018., u članku 26. DPA-a iz 2018. predviđeno je izuzeće koje se može primijeniti na određene odredbe Opće uredbe o zaštiti podataka Ujedinjene Kraljevine i DPA-a iz 2018. ako je nužno za potrebe zaštite nacionalne sigurnosti ili u svrhe obrane. To se izuzeće primjenjuje na načela zaštite podataka (osim načela zakonitosti), obveze u pogledu transparentnosti, prava ispitanika, obvezu obavješćivanja o povredi podataka, pravila o međunarodnim prijenosima, neke od dužnosti i ovlasti povjerenika za informiranje te pravila o pravnim sredstvima, odgovornostima i sankcijama, osim na odredbu o općim uvjetima za izricanje upravnih novčanih kazni utvrđenima u članku 83. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine i na odredbu o sankcijama iz članka 84. te uredbe. Nadalje, člankom 28. DPA-a iz 2018. izmijenjena je primjena članka 9. stavka 1. kako bi se omogućila obrada posebnih kategorija podataka iz članka 9. stavka 1. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine u mjeri u kojoj se ta obrada provodi za potrebe zaštite nacionalne sigurnosti ili u svrhe obrane te uz odgovarajuće zaštitne mjere za prava i slobode ispitanika (56).

(64)

Izuzeće se može primijeniti samo u mjeri u kojoj je nužno za zaštitu nacionalne sigurnosti ili obranu. Kao što vrijedi i za ostala izuzeća predviđena DPA-om iz 2018., voditelj obrade mora ga uzeti u obzir i pozivati se na njega na pojedinačnoj osnovi. Nadalje, sve primjene izuzeća moraju biti u skladu sa standardima ljudskih prava (koji se temelje na Zakonu o ljudskim pravima iz 1998.), prema kojima bi u demokratskom društvu svako zadiranje u prava na privatnost trebalo biti nužno i proporcionalno (57).

(65)

To tumačenje izuzeća potvrđuje ICO, koji je izdao detaljne smjernice o primjeni izuzeća radi nacionalne sigurnosti i obrane, jasno navodeći da ga voditelj obrade mora razmotriti i primjenjivati za svaki slučaj pojedinačno (58). Konkretno, u smjernicama se naglašava da „[to] nije opće izuzeće” i da, kako bi se na njega pozivalo, „nije dovoljno da se podaci obrađuju radi nacionalne sigurnosti”. S druge strane, voditelj obrade koji se koristi tim izuzećem mora „dokazati da postoji stvarna mogućnost negativnog utjecaja na nacionalnu sigurnost” i od njega se, prema potrebi, očekuje da „[ICO-u] dostavi dokaze o tome zašto je primijenio to izuzeće”. Smjernice sadržavaju kontrolni popis i niz primjera kako bi se dodatno pojasnili uvjeti pod kojima se može pozvati na to izuzeće.

(66)

Činjenica da se podaci obrađuju u svrhe nacionalne sigurnosti i obrane stoga sama po sebi nije dovoljna za primjenu izuzeća. Voditelj obrade mora uzeti u obzir stvarne posljedice za nacionalnu sigurnost ako bi morao ispuniti određenu odredbu o zaštiti podataka. Izuzeće se može primijeniti samo na specifične odredbe za koje je utvrđeno da predstavljaju rizik i mora se primijeniti što restriktivnije (59).

(67)

Taj je pristup potvrdio Sud za informacije (Information Tribunal) (60). U predmetu Baker protiv Secretary of State for the Home Department („Baker protiv Secretary of State”) utvrdio je da je bilo nezakonito primijeniti izuzeće radi nacionalne sigurnosti kao opće izuzeće za pristup zahtjevima koje su primile obavještajne službe. Umjesto toga izuzeće se moralo primjenjivati na pojedinačnoj osnovi, razmatranjem utemeljenosti svakog zahtjeva i s obzirom na pravo pojedinaca na poštovanje njihovih privatnih života (61).

(68)

Članak 85. stavak 2. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine omogućuje da se predvidi izuzeće osobnih podataka koji se obrađuju u novinarske, umjetničke, akademske i književne svrhe od nekoliko odredbi Opće uredbe o zaštiti podataka Ujedinjene Kraljevine. U dijelu 5. Priloga 2. DPA-u iz 2018. utvrđena su izuzeća za obradu u te svrhe. Predviđaju se izuzeća od načela zaštite podataka (osim načela cjelovitosti i povjerljivosti), pravne osnove za obradu (uključujući posebne kategorije podataka i podatke o kaznenim osudama itd.), uvjeta za privolu, obveza u pogledu transparentnosti, prava ispitanika, obveza obavješćivanja o povredi podataka, zahtjeva za savjetovanje s povjerenikom za informiranje prije visokorizične obrade te pravila o međunarodnim prijenosima (62). U tom smislu Opća uredba o zaštiti podataka Ujedinjene Kraljevine ne odstupa bitno od Uredbe (EU) 2016/679, u čijem se članku 85. isto predviđa mogućnost izuzeća obrade koja se obavlja u novinarske svrhe ili svrhe akademskog, umjetničkog ili književnog izražavanja od nekoliko zahtjeva Uredbe (EU) 2016/679. Odredbe DPA-a iz 2018., osobito dio 5. Priloga 2., u skladu su s Općom uredbom o zaštiti podataka Ujedinjene Kraljevine.

(69)

Osnovno uravnoteživanje koje je potrebno na temelju članka 85. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine odnosi se na to jesu li izuzeća od pravilâ o zaštiti podataka navedena u uvodnoj izjavi 68. „potrebna kako bi se uskladilo pravo na zaštitu osobnih podataka sa slobodom izražavanja i informiranja” (63). Prema točki 26. podtočkama 2. i 3. Priloga 2. DPA-u iz 2018. Ujedinjena Kraljevina primjenjuje test „opravdanog uvjerenja” kako bi uspostavila tu ravnotežu. Da bi izuzeće bilo opravdano, voditelj obrade mora opravdano vjerovati i. da je objava od javnog interesa; i ii. da primjena relevantne odredbe Opće uredbe o zaštiti podataka ne bi bila u skladu s novinarskim, akademskim, umjetničkim ili književnim svrhama. Kako je potvrđeno sudskom praksom (64), test „opravdanog uvjerenja” ima i subjektivnu i objektivnu sastavnicu: nije dovoljno da voditelj obrade dokaže da je sâm smatrao da poštovanje pravila nije usklađeno. Njegovo uvjerenje mora biti opravdano, tj. razumna osoba može vjerovati u njega ako poznaje relevantne činjenice. Voditelj obrade stoga mora postupati s dužnom pažnjom pri oblikovanju svojeg uvjerenja kako bi mogao dokazati opravdanost. Prema pojašnjenjima koja su dostavila tijela Ujedinjene Kraljevine test „opravdanog uvjerenja” mora se provoditi za svako pojedinačno izuzeće (65). Ako su uvjeti ispunjeni, izuzeće se smatra nužnim i proporcionalnim na temelju prava Ujedinjene Kraljevine.

(70)

Prema članku 124. DPA-a iz 2018. Ured povjerenika za informiranje treba izraditi Kodeks dobre prakse o zaštiti podataka i novinarstvu. U tijeku je izrada tog kodeksa. Objavljene su smjernice o tom pitanju na temelju Zakona o zaštiti podataka iz 1998., u kojima se osobito naglašava da, kako bi se moglo pozvati na to izuzeće, nije dovoljno samo navesti da bi usklađenost stvarala poteškoće za novinarske aktivnosti, već mora postojati jasan argument da je predmetna odredba prepreka odgovornom novinarstvu (66). Smjernice o primjeni testa javnog interesa i uravnoteženju javnog interesa i interesa pojedinca za privatnost objavili su regulator Ujedinjene Kraljevine za telekomunikacije OFCOM i BBC u svojim uredničkim smjernicama (67). U smjernicama se osobito navode primjeri informacija za koje se može smatrati da su od javnog interesa i objašnjava se da je potrebno moći dokazati da javni interes u određenim okolnostima slučaja nadilazi prava na privatnost.

(71)

Slično odredbama predviđenima u članku 89. Opće uredbe o zaštiti podataka, i osobni podaci koji se obrađuju u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe mogu se izuzeti od nekoliko navedenih odredbi Opće uredbe o zaštiti podataka Ujedinjene Kraljevine (68). Kad je riječ o istraživanjima i statističkim podacima, moguća su izuzeća od odredbi Opće uredbe o zaštiti podataka Ujedinjene Kraljevine koje se odnose na potvrdu obrade te pristup podacima i zaštitne mjere za prijenose trećim zemljama, pravo na ispravak, ograničavanje obrade i prigovor na obradu. Kad je riječ o arhiviranju u javnom interesu, moguća su i izuzeća od obveze obavješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničavanjem obrade te od prava na prenosivost podataka.

(72)

Prema točki 27. podtočki 1. i točki 28. podtočki 1. Priloga 2. DPA-u iz 2018. izuzeća od navedenih odredbi Opće uredbe o zaštiti podataka Ujedinjene Kraljevine moguća su ako bi njihova primjena „spriječila ili ozbiljno ugrozila postizanje” predmetnih svrha (69).

(73)

S obzirom na njihovu važnost za učinkovito ostvarivanje prava pojedinaca, u kontekstu kontinuiranog praćenja ove Odluke propisno će se uzeti u obzir sve relevantne promjene u pogledu tumačenja i praktične primjene prethodno navedenih izuzeća (uz izuzeće koje se odnosi na provedbu učinkovite kontrole useljavanja, kako je objašnjeno u uvodnoj izjavi 6.), uključujući sve daljnje promjene sudske prakse te smjernica ICO-a i mjera izvršenja (70).

(74)

Razina zaštite osobnih podataka koji se prenose iz Europske unije voditeljima obrade ili izvršiteljima obrade u Ujedinjenoj Kraljevini ne smije se ugroziti daljnjim prijenosom takvih podataka primateljima u trećoj zemlji. Takvi „daljnji prijenosi”, koji su iz perspektive voditelja obrade ili izvršitelja obrade iz Ujedinjene Kraljevine međunarodni prijenosi iz Ujedinjene Kraljevine, trebali bi biti dopušteni samo ako daljnji primatelj izvan Ujedinjene Kraljevine i sam podliježe pravilima koja osiguravaju razinu zaštite sličnu onoj koja se jamči pravnim poretkom Ujedinjene Kraljevine. Zbog toga je primjena pravila iz Opće uredbe o zaštiti podataka Ujedinjene Kraljevine i DPA-a iz 2018. na međunarodne prijenose osobnih podataka važan čimbenik za osiguravanje kontinuiteta zaštite u slučaju osobnih podataka koji se prenose iz Europske unije u Ujedinjenu Kraljevinu na temelju ove Odluke.

(75)

Sustav međunarodnih prijenosa osobnih podataka iz Ujedinjene Kraljevine utvrđen je u člancima od 44. do 49. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine i dopunjen je DPA-om iz 2018., a u bitnom je identičan pravilima iz poglavlja V. Uredbe (EU) 2016/679 (71). Prijenosi osobnih podataka trećoj zemlji ili međunarodnoj organizaciji mogući su samo na temelju uredbe o primjerenosti (britanski ekvivalent odluke o primjerenosti iz Uredbe (EU) 2016/679) ili, ako uredba o primjerenost i ne postoji, ako voditelj obrade ili izvršitelj obrade osigura odgovarajuće zaštitne mjere u skladu s člankom 46. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine. Ako ne postoji uredba o primjerenosti ili odgovarajuće zaštitne mjere, prijenos je moguć samo na temelju odstupanja utvrđenih u članku 49. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine.

(76)

U uredbama o primjerenosti koje donosi ministar može se odrediti da treća zemlja (ili područje ili sektor unutar treće zemlje), međunarodna organizacija ili opis (72) takve zemlje, područja, sektora ili organizacije osigurava primjerenu razinu zaštite osobnih podataka. Kad ocjenjuje primjerenost razine zaštite, ministar mora uzeti u obzir potpuno iste elemente koje Komisija mora procijeniti na temelju članka 45. stavka 2. točaka od (a) do (c) Uredbe (EU) 2016/679, koje se tumače zajedno s uvodnom izjavom 104. te uredbe i zadržanom sudskom praksom EU-a. To znači da će pri procjeni primjerene razine zaštite treće zemlje relevantni standard biti osigurava li predmetna treća zemlja razinu zaštite koja je „u načelu istovjetna” onoj koja se jamči u Ujedinjenoj Kraljevini.

(77)

Na uredbe o primjerenosti primjenjuju se „opći” postupovni zahtjevi predviđeni u članku 182. DPA-a iz 2018. U okviru tog postupka ministar se mora savjetovati s povjerenikom za informiranje kad predlaže donošenje uredbe o primjerenosti Ujedinjene Kraljevine (73). Nakon što je ministar donese, ta se uredba upućuje Parlamentu i podliježe postupku „negativnog vijećanja” (negative resolution procedure), u okviru kojeg oba doma Parlamenta mogu preispitati uredbu i izglasati prijedlog o ukidanju uredbe u roku od 40 dana (74).

(78)

Prema članku 17.B stavku 1. DPA-a iz 2018. uredbe o primjerenosti moraju se preispitivati u razmacima koji nisu dulji od četiri godine, a ministar mora kontinuirano pratiti promjene u trećim zemljama i međunarodnim organizacijama koje bi mogle utjecati na odluke o donošenju uredbi o primjerenosti ili na izmjenu ili ukidanje takvih uredbi. Ako ministar utvrdi da određena zemlja ili organizacija više ne osigurava primjerenu razinu zaštite osobnih podataka, mora, u mjeri u kojoj je to potrebno, izmijeniti ili ukinuti uredbu i pokrenuti savjetovanje s predmetnom trećom zemljom ili međunarodnom organizacijom kako bi riješili problem nedostatka primjerene razine zaštite. Ti postupovni aspekti odražavaju i odgovarajuće zahtjeve iz Uredbe (EU) 2016/679.

(79)

Ako ne postoje uredbe o primjerenosti, međunarodni prijenosi mogući su ako voditelj obrade ili izvršitelj obrade osigura odgovarajuće zaštitne mjere u skladu s člankom 46. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine. Te zaštitne mjere slične su onima iz članka 46. Uredbe (EU) 2016/679. Uključuju pravno obvezujuće i provedive instrumente između tijela javne vlasti ili javnih tijela, obvezujuća korporativna pravila (75), standardne klauzule o zaštiti podataka, odobrene kodekse ponašanja, odobrene mehanizme certificiranja i, uz odobrenje povjerenika za informiranje, ugovorne klauzule između voditelja obrade (ili izvršitelja obrade) ili administrativne dogovore između tijela javne vlasti. Međutim, pravila su izmijenjena u smislu postupka kako bi funkcionirala unutar okvira Ujedinjene Kraljevine, točnije, standardne klauzule o zaštiti podataka može donositi ministar (članak 17.C) ili povjerenik za informiranje (članak 119.A) u skladu s DPA-om iz 2018.

(80)

Ako ne postoji odluka o primjerenosti ili odgovarajuće zaštitne mjere, prijenos je moguć samo na temelju odstupanja utvrđenih u članku 49. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine (76). Općom uredbom o zaštiti podataka Ujedinjene Kraljevine nisu uvedene nikakve bitne izmjene tih odstupanja u usporedbi s odgovarajućim pravilima iz Uredbe (EU) 2016/679. Na temelju Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, kao i na temelju Uredbe (EU) 2016/679, na određena odstupanja može se pozvati samo ako je prijenos povremen (77). Nadalje, Ured povjerenika za informiranje u svojim smjernicama o međunarodnim prijenosima pojašnjava: „Trebali biste ih koristiti samo kao prava ,izuzeća’ od općeg pravila prema kojem ne biste trebali provoditi ograničeni prijenos osim ako je obuhvaćen odlukom o primjerenosti ili su uspostavljene odgovarajuće zaštitne mjere” (78). Kad je riječ o prijenosima koji su nužni iz važnih razloga javnog interesa (članak 49. stavak 1. točka (d)), ministar može donijeti uredbe kojima će odrediti okolnosti u kojima prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji nije nužan iz važnih razloga javnog interesa. Nadalje, ministar uredbama može ograničiti prijenos kategorije osobnih podataka trećoj zemlji ili međunarodnoj organizaciji ako prijenos nije moguć na temelju uredbe o primjerenosti, a ministar smatra da je ograničenje nužno iz važnih razloga javnog interesa. Zasad nisu donesene takve uredbe.

(81)

Taj okvir za međunarodne prijenose postao je primjenjiv na kraju prijelaznog razdoblja (79). Međutim, u točki 4. Priloga 21. DPA-u iz 2018. (uvedenoj Uredbom DPPEC) predviđa se da se na kraju prijelaznog razdoblja s određenim prijenosima osobnih podataka postupa kao da se temelje na uredbi o primjerenosti. Ti prijenosi uključuju prijenose državi EGP-a, teritoriju Gibraltara, instituciji, tijelu, uredu ili agenciji Unije uspostavljenoj Ugovorom o Europskoj uniji ili na temelju njega te trećim zemljama na koje se na kraju prijelaznog razdoblja primjenjivala odluka o primjerenosti EU-a. Stoga se prijenosi u te zemlje mogu nastaviti kao i prije povlačenja Ujedinjene Kraljevine iz EU-a. Nakon kraja prijelaznog razdoblja ministar mora preispitati te nalaze o primjerenosti u roku od četiri godine, tj. do kraja prosinca 2024. Prema objašnjenju koje su dala tijela Ujedinjene Kraljevine, iako ministar treba provesti to preispitivanje do kraja prosinca 2024., prijelazne odredbe ne sadržavaju odredbu o vremenskom ograničenju valjanosti, pa relevantne prijelazne odredbe neće automatski prestati imati učinak ako se preispitivanje ne dovrši do kraja prosinca 2024.

(82)

Naposljetku, kad je riječ o budućem razvoju sustava međunarodnih prijenosa Ujedinjene Kraljevine – donošenjem novih uredaba o primjerenosti, sklapanjem međunarodnih sporazuma ili razvojem drugih mehanizama prijenosa – Komisija će pomno pratiti situaciju, procijeniti upotrebljavaju li se različiti mehanizmi prijenosa na način kojim se osigurava kontinuitet zaštite i, prema potrebi, poduzeti odgovarajuće mjere za uklanjanje mogućih negativnih učinaka na takav kontinuitet (vidjeti uvodne izjave od 278. do 287.). Budući da EU i Ujedinjena Kraljevina imaju slična pravila o međunarodnim prijenosima, očekuje se da bi se problematična odstupanja mogla izbjeći i suradnjom te razmjenom informacija i iskustava, među ostalim između ICO-a i EDPB-a.

(83)

Na temelju načela odgovornosti subjekti koji obrađuju podatke moraju uspostaviti odgovarajuće tehničke i organizacijske mjere kako bi djelotvorno ispunili svoje obveze u pogledu zaštite podataka te mogli dokazati da su ispunjene, prije svega nadležnom nadzornom tijelu.

(84)

Načelo odgovornosti predviđeno Uredbom (EU) 2016/679 zadržano je u članku 5. stavku 2. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine bez bitnih izmjena, a isto vrijedi i za članak 24. o obvezama voditelja obrade, članak 25. o tehničkoj i integriranoj zaštiti podataka i članak 30. o evidenciji aktivnosti obrade. Zadržani su i članci 35. i 36. o procjeni učinka na zaštitu podataka i prethodnom savjetovanju s nadzornim tijelom. Članci od 37. od 39. Uredbe (EU) 2016/679 o imenovanju i zadaćama službenika za zaštitu podataka zadržani su u Općoj uredbi o zaštiti podataka Ujedinjene Kraljevine bez bitnih izmjena. Nadalje, odredbe članaka 40. i 42. Uredbe (EU) 2016/679 o kodeksima ponašanja i certificiranju zadržane su u Općoj uredbi o zaštiti podataka Ujedinjene Kraljevine (80).

(85)

Kako bi se u praksi osigurala primjerena razina zaštite podataka, trebalo bi uspostaviti neovisno nadzorno tijelo s ovlastima za praćenje i provedbu usklađenosti s pravilima o zaštiti podataka. Ono bi pri obavljanju dužnosti i izvršavanju ovlasti trebalo djelovati potpuno neovisno i nepristrano.

(86)

U Ujedinjenoj Kraljevini nadzor i provedbu usklađenosti s Općom uredbom o zaštiti podataka Ujedinjene Kraljevine i DPA-om iz 2018. obavlja povjerenik za informiranje. Povjerenik za informiranje je tijelo pojedinac (corporation sole): zaseban pravni subjekt koji se sastoji od jedne osobe. Povjerenika za informiranje u radu podupire ured. Ured povjerenice za informiranje (ICO) 31. ožujka 2020. imao je 768 članova stalnog osoblja (81). Povjerenika za informiranje sponzorira Ministarstvo za digitalizaciju, kulturu, medije i sport (82).

(87)

Neovisnost povjerenika izričito je utvrđena u članku 52. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, u kojem nema bitnih izmjena članka 52. stavaka od 1. do 3. Opće uredbe o zaštiti podataka. Povjerenik mora djelovati potpuno neovisno pri obavljanju dužnosti i izvršavanju ovlasti u skladu s Općom uredbom o zaštiti podataka Ujedinjene Kraljevine, mora biti slobodan od vanjskog utjecaja (izravnog ili neizravnog) te ne smije tražiti ni primati upute ni od koga. Povjerenik se mora suzdržati i od svih radnji koje nisu u skladu s njegovim dužnostima i za vrijeme mandata ne smije se baviti nikakvom neusklađenom djelatnošću, bez obzira na to je li plaćena.

(88)

Uvjeti za imenovanje i razrješenje povjerenika za informiranje utvrđeni su u Prilogu 12. DPA-u iz 2018. Povjerenika za informiranje imenuje Njezino Veličanstvo na preporuku vlade na temelju poštenog i otvorenog natječaja. Kandidat mora imati odgovarajuće kvalifikacije, vještine i kompetencije. U skladu s Kodeksom upravljanja za imenovanje javnih službenika (Governance Code on Public Appointments) (83) savjetodavni odbor za procjenu sastavlja popis kandidata koji se mogu imenovati. Prije nego što ministar za digitalizaciju, kulturu, medije i sport donese konačnu odluku, odgovarajući posebni odbor Parlamenta mora provesti preispitivanje prije imenovanja. Stajalište odbora javno se objavljuje (84).

(89)

Mandat povjerenika za informiranje traje do sedam godina. Osobu se ne može imenovati povjerenikom za informiranje više od jednom. Njezino Veličanstvo povjerenika za informiranje može razriješiti dužnosti na molbu obaju domova Parlamenta (85). Zahtjev za razrješenje povjerenika za informiranje ne može se podnijeti nijednom domu Parlamenta ako ministar ne dostavi izvješće u kojem navodi da je uvjeren da je povjerenik za informiranje teško povrijedio dužnosti i/ili da povjerenik više ne ispunjava uvjete koji se zahtijevaju za izvršavanje funkcija povjerenika (86).

(90)

Tri su izvora financiranja povjerenika za informiranje: i. naknade za zaštitu podataka koje plaćaju voditelji obrade, koje se određuju uredbom ministra (87) (Uredba o zaštiti podataka (naknade i informacije) iz 2018.) i čine 85–90 % godišnjeg proračuna Ureda (88), ii. subvencija koju Vlada plaća povjereniku za informiranje; subvencija se uglavnom koristi za financiranje troškova poslovanja povjerenika za informiranje u pogledu zadaća koje nisu povezane sa zaštitom podataka (89) i iii. naknada koje se naplaćuju za usluge (90). Trenutačno se ne naplaćuju takve naknade.

(91)

Opće funkcije povjerenika za informiranje u pogledu obrade osobnih podataka na koje se primjenjuje Opća uredba o zaštiti podataka Ujedinjene Kraljevine utvrđene su u članku 57. te uredbe i u velikoj mjeri odražavaju odgovarajuća pravila iz Uredbe (EU) 2016/679. Njegove funkcije uključuju praćenje i provedbu Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, promicanje javne svijesti, rješavanje pritužbi koje podnesu ispitanici, provođenje istraga itd. Osim toga, u članku 115. DPA-a iz 2018. utvrđene su opće funkcije povjerenika, koje uključuju dužnost savjetovanja Parlamenta, vlade i drugih institucija i tijela o zakonodavnim i upravnim mjerama koje se odnose na zaštitu prava i sloboda pojedinaca s obzirom na obradu osobnih podataka te ovlast da na vlastitu inicijativu ili na zahtjev daje mišljenja Parlamentu, vladi ili drugim institucijama i tijelima te javnosti o svim pitanjima povezanima sa zaštitom osobnih podataka. Kako bi se sačuvala neovisnost pravosuđa, povjerenik za informiranje nije ovlašten izvršavati svoje funkcije u vezi s obradom osobnih podataka koju provodi pojedinac koji djeluje u sudbenom svojstvu ili sud u okviru svoje sudske nadležnosti. Međutim, nadzor nad sudstvom osiguravaju specijalizirana tijela (vidjeti uvodne izjave od 99. do 103.).

(92)

Ovlasti povjerenika za informiranje utvrđene su u članku 58. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, kojim nisu uvedene bitne izmjene odgovarajućeg članka Uredbe (EU) 2016/679. U DPA-u iz 2018. utvrđena su dodatna pravila o načinu izvršavanja tih ovlasti. Točnije, povjerenik je ovlašten: (a) izdavanjem zahtjeva za dostavu informacija naložiti voditelju obrade i izvršitelju obrade (a u određenim okolnostima i bilo kojoj drugoj osobi) da dostave potrebne informacije („zahtjev za dostavu informacija”) (91), (b) provoditi istrage i revizije izdavanjem zahtjeva za provjeru, kojim se od voditelja obrade ili izvršitelja obrade može zahtijevati da povjereniku dopusti ulazak u određene prostorije, obavljanje inspekcije ili pregleda dokumenata ili opreme, obavljanje razgovora s osobama koje obrađuju osobne podatke u ime voditelja obrade itd. („zahtjev za provjeru”) (92), (c) na drugi način dobiti pristup dokumentima itd. voditelja obrade i izvršitelja obrade i pristup njihovim prostorijama u skladu s člankom 154. DPA-a iz 2018. („ovlasti ulaska i inspekcije”), (d) izvršavati korektivne ovlasti, među ostalim, izdavanjem upozorenja i opomena, ili davati naloge u obliku zahtjeva za izvršenje, kojim se od voditelja obrade/izvršitelja obrade zahtijeva da poduzmu određene mjere ili da se suzdrže od njihova poduzimanja, uključujući nalaganje voditelju obrade ili izvršitelju obrade da učini sve što je navedeno u članku 58. stavku 2. točkama od (c) do (g) i točki (j) Opće uredbe o zaštiti podataka Ujedinjene Kraljevine („zahtjev za izvršenje”) (93), (e) izricati upravne novčane kazne u obliku rješenja o kazni („rješenje o kazni”) (94). Potonje se mogu izreći i ako tijelo javne vlasti ne poštuje odredbe Opće uredbe o zaštiti podataka Ujedinjene Kraljevine (95).

(93)

U okviru politike regulatornog djelovanja ICO-a utvrđuju se okolnosti u kojima će on izdavati zahtjev za dostavu informacija, zahtjev za provjeru, zahtjev za izvršenje ili rješenje o kazni (96). Zahtjevom za izvršenje koji se daje kao odgovor na propust voditelja obrade ili izvršitelja obrade mogu se uvesti samo zahtjevi koje povjerenik smatra primjerenima za potrebe ispravljanja propusta. Zahtjev za izvršenje i rješenje o kazni mogu se izdati voditelju obrade ili izvršitelju obrade s obzirom na povrede iz poglavlja II. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine (načela obrade) i članaka od 12. do 22. (prava ispitanika), članaka od 25. do 39. (obveze voditelja obrade i izvršitelja obrade) i članaka od 44. do 49. (međunarodni prijenosi) te uredbe. Zahtjev za izvršenje može se izdati i ako voditelj obrade nije ispunio zahtjev za plaćanje naknade iz uredbe donesene na temelju članka 137. DPA-a iz 2018. Osim toga, zahtjev za izvršenje može se izdati tijelu za praćenje iz članka 41. ili pružatelju certifikata ako ne ispuni svoje obveze na temelju Opće uredbe o zaštiti podataka Ujedinjene Kraljevine. Osobi koja nije poštovala zahtjev za dostavu informacija, zahtjev za provjeru ili zahtjev za izvršenje može se izdati i rješenje o kazni.

(94)

Rješenjem o kazni od osobe se zahtijeva da plati povjereniku za informiranje iznos naveden u obavijesti. Pri odlučivanju o tome treba li osobi izdati rješenje o kazni i određivanju iznosa te kazne povjerenik za informiranje mora uzeti u obzir pitanja navedena u članku 83. stavcima 1. i 2. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, koja su ista kao i odgovarajuća pravila u Uredbi (EU) 2016/679 (97). Najveći iznos upravnih novčanih kazni u slučaju nepoštovanja obveza iz članka 83. stavka 4. iznosi 8 700 000 GBP, a za nepoštovanja obveza iz članka 83. stavka 5. taj je iznos 17 500 000 GBP. Ako je riječ o poduzetniku, povjerenik za informiranje kazne može izreći i u obliku postotka godišnjeg prometa na svjetskoj razini ako je taj iznos veći. Kao i u istovjetnim odredbama Uredbe (EU) 2016/679, ti su iznosi određeni kao 2 % u članku 83. stavku 4. i 4 % u članku 83. stavku 5. U slučaju nepoštovanja zahtjeva za dostavu informacija, zahtjeva za provjeru ili zahtjeva za izvršenje najveći iznos kazne koji se može izreći u rješenju o kazni iznosi 17 500 000 GBP ili, u slučaju poduzetnika, 4 % godišnjeg prometa na svjetskoj razini, ovisno o tome koji je iznos veći.

(95)

Općom uredbom o zaštiti podataka Ujedinjene Kraljevine zajedno s DPA-om iz 2018. ojačane su i druge ovlasti povjerenika za informiranje. Na primjer, zahvaljujući zahtjevima za provjeru povjerenik sad može provoditi obvezne revizije svih voditelja obrade i izvršitelja obrade, dok je na temelju prethodnog propisa (Zakon o zaštiti podataka iz 1998.) tu ovlast imao samo za središnje državne organizacije i zdravstvene organizacije, dok su drugi subjekti morali pristati na reviziju.

(96)

Od uvođenja Uredbe (EU) 2016/679 Ured povjerenika za informiranje rješava približno 40 000 pritužbi ispitanika godišnje (98), a uz to provodi približno 2 000 istraga po službenoj dužnosti (99). Većina pritužbi povezana je s pravima na pristup podacima i otkrivanje podataka. Nakon istraga povjerenik poduzima mjere provedbe u velikom nizu sektora. Točnije, prema najnovijem godišnjem izvješću povjerenice za informiranje (2019.–2020.) (100), u razdoblju izvješćivanja povjerenica je izdala 54 zahtjeva za dostavu informacija, 8 zahtjeva za provjeru, 7 zahtjeva za izvršenje, 4 opomene, 15 novčanih kazni i pokrenula je 8 kaznenih progona (101).

(97)

To uključuje nekoliko većih novčanih kazni izrečenih na temelju Uredbe (EU) 2016/679 i DPA-a iz 2018. Točnije, povjerenica za informiranje u listopadu 2020. izrekla je britanskom zračnom prijevozniku kaznu od 20 milijuna GBP za povredu podataka koja je utjecala na više od 400 000 klijenata. Krajem listopada 2020. međunarodni hotelski lanac kažnjen je s 18,4 milijuna GBP jer nije čuvao sigurnima osobne podatke milijuna klijenata, a u studenome 2020. britanski pružatelj usluga koji preko interneta prodaje ulaznice za događanja kažnjen je s 1,25 milijuna GBP jer nije zaštitio podatke o plaćanju klijenata (102).

(98)

Osim izvršnih ovlasti povjerenika za informiranje opisanih u uvodnoj izjavi 92., određena kršenja zakonodavstva o zaštiti podataka čine kaznena djela i stoga se na njih mogu primjenjivati kaznene sankcije (članak 196. DPA-a iz 2018.). To se, na primjer, odnosi na namjerno ili slučajno prikupljanje ili otkrivanje osobnih podataka bez pristanka voditelja obrade, omogućavanje otkrivanja osobnih podataka drugoj osobi bez pristanka voditelja obrade (103), ponovnu identifikaciju anonimiziranih osobnih podataka bez pristanka voditelja obrade odgovornog za anonimizaciju osobnih podataka (104), namjerno ometanje povjerenika u izvršavanju njegovih ovlasti povezanih s pregledom osobnih podataka u skladu s međunarodnim obvezama (105), davanje lažnih izjava kao odgovor na zahtjev za dostavu informacija ili uništavanje informacija povezanih sa zahtjevima za dostavu informacija i zahtjevima za provjeru (106).

(99)

Nadzor nad obradom osobnih podataka koju provode sudovi i pravosuđe dvostran je. Ako nositelj sudačke dužnosti ili sud ne djeluje u okviru sudske nadležnosti, nadzor obavlja Ured povjerenika za informiranje (ICO). Ako voditelj obrade djeluje u okviru sudske nadležnosti, ICO ne može izvršavati svoje nadzorne funkcije (107), pa nadzor provode posebna tijela. To odražava pristup iz Uredbe (EU) 2016/679 (članak 55. stavak 3.).

(100)

Točnije, u drugom slučaju nadzor nad sudovima u Engleskoj i Walesu te Prvostupanjskim sudom i Višim sudom u Engleskoj i Walesu obavlja Odbor za sudsku zaštitu podataka (108). Osim toga, vrhovni sudac (Lord Chief Justice) i visoki predsjednik sudova (Senior President of Tribunals) objavili su Obavijest o zaštiti osobnih podataka (109), u kojoj je navedeno kako sudovi u Engleskoj i Walesu obrađuju osobne podatke za sudbenu funkciju. Sličnu obavijest objavili su i suci Sjeverne Irske (110) i Škotske (111).

(101)

Osim toga, vrhovni sudac Sjeverne Irske imenovao je suca Visokog suda koji u Sjevernoj Irskoj djeluje kao sudac za nadzor podataka (112). Objavljene su i smjernice za suce Sjeverne Irske o tome kako postupati u slučaju gubitka ili mogućeg gubitka podataka i postupku za rješavanje svih pitanja koja iz toga mogu proizaći (113).

(102)

U Škotskoj je predsjednik Vrhovnog građanskog suda (Lord President) imenovao suca za nadzor podataka, koji ispituje sve pritužbe u vezi sa zaštitom podataka. To je utvrđeno na temelju pravila o pravosudnim pritužbama koja odražavaju pravila utvrđena za Englesku i Wales (114).

(103)

Naposljetku, na Vrhovnom sudu jedan od njegovih sudaca predlaže se za funkciju nadziranja zaštite podataka.

(104)

Kako bi se osigurala primjerena zaštita, a posebno ostvarivanje prava pojedinca, ispitaniku bi trebalo pružiti učinkovitu upravnu i sudsku zaštitu, uključujući naknadu štete.

(105)

Prvo, ispitanik ima pravo podnijeti pritužbu povjereniku za informiranje ako smatra da u vezi s osobnim podacima koji se odnose na njega postoji kršenje Opće uredbe o zaštiti podataka Ujedinjene Kraljevine (115). Pravila iz članka 77. Uredbe (EU) 2016/679 o tom pravu zadržana su u Općoj uredbi o zaštiti podataka Ujedinjene Kraljevine bez bitnih izmjena. Isto vrijedi i za članak 57. stavak 1. točku (f) i članak 57. stavak 2. u kojima su utvrđene zadaće povjerenika povezane s rješavanjem pritužbi. Kako je opisano u uvodnim izjavama od 92. do 98., povjerenik za informiranje ovlašten je ocjenjivati usklađenost voditelja obrade i izvršitelja obrade s Općom uredbom o zaštiti podataka Ujedinjene Kraljevine i DPA-om iz 2018., zahtijevati od njih da poduzmu potrebne korake u slučaju neusklađenosti ili da se suzdrže od njih i izricati novčane kazne.

(106)

Drugo, u Općoj uredbi o zaštiti podataka Ujedinjene Kraljevine i DPA-u iz 2018. predviđa se pravo na pravni lijek protiv povjerenika za informiranje. Prema članku 78. stavku 1. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine pojedinac ima pravo na učinkovit pravni lijek protiv pravno obvezujuće odluke povjerenika koja se na njega odnosi. U kontekstu sudskog preispitivanja sudac ispituje odluku koja se osporava u zahtjevu i razmatra je li povjerenik za informiranje postupio zakonito. Nadalje, prema članku 78. stavku 2. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, ako povjerenik ne riješi na odgovarajući način pritužbu koju je podnio ispitanik (116), podnositelj pritužbe ima pristup sudskom pravnom lijeku. Može se obratiti Prvostupanjskom sudu, koji će naložiti povjereniku da poduzme odgovarajuće korake kao odgovor na pritužbu ili obavijesti podnositelja pritužbe o ostvarenom napretku u pogledu pritužbe (117). Osim toga, svaka osoba kojoj povjerenik izda bilo koji od navedenih zahtjeva ili rješenja (zahtjev za dostavu informacija, provjeru ili izvršenje ili rješenje o kazni) može podnijeti žalbu Prvostupanjskom sudu (118). Ako smatra da odluka povjerenika nije u skladu sa zakonom ili da je povjerenik za informiranje trebao drukčije izvršavati diskrecijske ovlasti, Sud mora prihvatiti žalbu ili zamijeniti zahtjev, rješenje ili odluku koju je povjerenik za informiranje izdao ili donio drugim zahtjevom, rješenjem ili odlukom.

(107)

Treće, pojedinci mogu dobiti sudsku zaštitu protiv voditelja obrade i izvršitelja obrade izravno pred sudovima na temelju članka 79. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine i članka 167. DPA-a iz 2018. Ako je sud, na zahtjev ispitanika, uvjeren da je došlo do povrede prava ispitanika na temelju zakonodavstva o zaštiti podataka, može naložiti voditelju obrade, ili izvršitelju obrade koji djeluje u ime tog voditelja, da poduzme mjere navedene u nalogu ili da se suzdrži od poduzimanja mjera navedenih u nalogu.

(108)

Nadalje, na temelju članka 82. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine i članka 168. DPA-a iz 2018. svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja Opće uredbe o zaštiti podataka Ujedinjene Kraljevine ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu. Pravila o naknadi i odgovornosti iz članka 82. stavaka od 1. do 5. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine ista su kao i odgovarajuća pravila iz Uredbe (EU) 2016/679. Na temelju članka 168. DPA-a iz 2018. nematerijalna šteta uključuje i duševnu bol. Na temelju članka 80. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine ispitanik ima i pravo ovlastiti predstavničko tijelo ili organizaciju da povjereniku podnese pritužbu u njegovo ime (na temelju članka 77. Opće uredbe o zaštiti podataka Ujedinjene Kraljevine) i da ostvari prava iz članka 78. (pravo na učinkovit sudski pravni lijek protiv povjerenika), članka 79. (pravo na učinkovit pravni lijek protiv voditelja obrade ili izvršitelja obrade) i članka 82. (pravo na naknadu štete i odgovornost) Opće uredbe o zaštiti podataka Ujedinjene Kraljevine u ime ispitanika.

(109)

Četvrto, uz prethodno opisane oblike sudske zaštite svaka osoba koja smatra da su tijela javne vlasti prekršila njezina prava, uključujući prava na privatnost i zaštitu podataka, može dobiti sudsku zaštitu pred sudovima Ujedinjene Kraljevine na temelju Zakona o ljudskim pravima iz 1998. (119) Pojedinac koji tvrdi da je tijelo javne vlasti djelovalo (ili namjerava djelovati) na način koji nije u skladu s pravom iz Konvencije, a time i nezakonito na temelju članka 6. stavka 1. Zakona o ljudskim pravima iz 1998., može pokrenuti postupak protiv tog tijela pred odgovarajućim sudom ili se može pozvati na predmetna prava u svim sudskim postupcima ako jest (ili bi bio) žrtva nezakonite radnje.

(110)

Ako utvrdi da je neka radnja tijela javne vlasti nezakonita, sud može u okviru svojih ovlasti odobriti mjeru ili pravni lijek, ili izdati nalog, kako smatra da je pravedno i primjereno (120). Sud može odlučiti i da odredba iz primarnog zakonodavstva nije u skladu s pravom iz Konvencije.

(111)

Naposljetku, nakon što iscrpi sve nacionalne pravne lijekove, pojedinac može dobiti sudsku zaštitu pred Europskim sudom za ljudska prava za povrede prava zajamčenih Europskom konvencijom o ljudskim pravima.

(112)

Komisija je procijenila i pravni okvir Ujedinjene Kraljevine za prikupljanje i upotrebu osobnih podataka prenesenih poslovnim subjektima u Ujedinjenoj Kraljevini koje tijela javne vlasti Ujedinjene Kraljevine obavljaju u svrhu javnog interesa, osobito za potrebe kaznenog progona i nacionalne sigurnosti (dalje u tekstu „pristup vlade”). Pri procjeni ispunjavaju li uvjeti pod kojima je omogućen pristup vlade podacima prenesenima Ujedinjenoj Kraljevini na temelju ove Odluke test „načelne istovjetnosti” u skladu s člankom 45. stavkom 1. Uredbe (EU) 2016/679, kako je tumači Sud Europske unije s obzirom na Povelju o temeljnim pravima, Komisija je posebno uzela u obzir kriterije u nastavku.

(113)

Prvo, svako ograničenje prava na zaštitu osobnih podataka mora biti predviđeno zakonom, a u samoj se pravnoj osnovi kojom se dopušta zadiranje u takvo pravo mora definirati doseg ograničenja ostvarivanja predmetnog prava (121).

(114)

Drugo, da bi se ispunio zahtjev proporcionalnosti, prema kojem se odstupanja od zaštite osobnih podataka i ograničenja te zaštite u demokratskom društvu moraju primjenjivati samo ako je to nužno za ostvarenje specifičnih ciljeva od općeg interesa koji su jednakovrijedni onima koje priznaje Unija, u predmetnom propisu treće zemlje kojim se dopušta zadiranje u to pravo moraju biti utvrđena jasna i precizna pravila o dosegu i primjeni predmetnih mjera i moraju se uvesti minimalne zaštitne mjere tako da osobe čiji su podaci preneseni raspolažu dostatnim jamstvima koja omogućuju djelotvornu zaštitu njihovih osobnih podataka od rizika zlouporabe (122). U propisu se osobito mora navesti u kojim se okolnostima i pod kojim uvjetima može donijeti mjera koja omogućuje obradu tih podataka (123), a ispunjenje takvih zahtjeva mora se podvrgnuti neovisnom nadzoru (124).

(115)

Treće, taj propis mora biti pravno obvezujući na temelju nacionalnog prava, a ti pravni zahtjevi moraju biti obvezujući za tijela i izvršivi pred sudovima protiv tijela predmetne treće zemlje (125). Točnije, ispitanici moraju imati mogućnost pokretanja sudskog postupka pred neovisnim i nepristranim sudom radi pristupa svojim osobnim podacima ili ispravka ili brisanja tih podataka (126).

(116)

Pristup vlade u Ujedinjenoj Kraljevini, u okviru izvršavanja ovlasti tijela javne vlasti, mora se provoditi uz potpuno poštovanje zakona. Ujedinjena Kraljevina ratificirala je Europsku konvenciju o ljudskim pravima (vidjeti uvodnu izjavu 9.) i sva su tijela javne vlasti u Ujedinjenoj Kraljevini obvezna postupati u skladu s Konvencijom (127). U članku 8. Konvencije navedeno je da svako miješanje u privatnost mora biti u skladu sa zakonom, u svrhu jednog od ciljeva utvrđenih u članku 8. stavku 2. i proporcionalno s obzirom na taj cilj. Člankom 8. zahtijeva se i da je miješanje „predvidivo”, tj. da ima jasnu, pristupačnu pravnu osnovu i da su u zakonu dostupne odgovarajuće zaštitne mjere radi sprečavanja zloupotrebe.

(117)

Osim toga, Europski sud za ljudska prava u svojoj je sudskoj praksi odredio da se na svako zadiranje u pravo na privatnost i zaštitu podataka treba primjenjivati učinkovit, neovisan i nepristran sustav nadzora koji mora predvidjeti sudac ili drugo neovisno tijelo (128) (npr. upravno ili parlamentarno tijelo).

(118)

Nadalje, pojedincima se mora pružiti djelotvoran pravni lijek, a Europski sud za ljudska prava pojasnio je da ga mora ponuditi neovisno i nepristrano tijelo koje je donijelo svoj poslovnik, koje se sastoji od članova koji moraju imati ili su prethodno imali visoki položaj u pravosuđu ili su iskusni pravnici te da ne smije postojati teret dokazivanja koji se mora savladati da bi se tom tijelu podnio zahtjev. Kad ispituje pritužbe pojedinaca, neovisno i nepristrano tijelo trebalo bi imati pristup svim relevantnim informacijama, uključujući zapečaćene materijale. Naposljetku, trebalo bi imati ovlasti otklanjanja neusklađenosti (129).

(119)

Ujedinjena Kraljevina ratificirala je i Konvenciju Vijeća Europe za zaštitu osoba glede automatizirane obrade osobnih podataka (Konvencija br. 108), a 2018. potpisala je i Protokol o izmjeni Konvencije za zaštitu osoba glede automatizirane obrade osobnih podataka (poznat kao „Konvencija br. 108+”) (130). U članku 9. Konvencije br. 108 navedeno je da su odstupanja od općih načela zaštite podataka (članak 5. Svojstvo podataka), pravila za posebne kategorije podataka (članak 6. Posebne kategorije podataka) i prava ispitanika (članak 8. Dodatna jamstva za subjekt podataka) dopuštena samo ako je takvo odstupanje predviđeno pravom stranke i ako je to u demokratskom društvu nužna mjera u korist zaštite državne sigurnosti, javne sigurnosti, monetarnih interesa države ili suzbijanja kaznenih djela ili zaštite ispitanika ili prava i slobode drugih (131).

(120)

Ujedinjena Kraljevina stoga u okviru članstva u Vijeću Europe, poštovanja Europske konvencije o ljudskim pravima i priznavanja nadležnosti Europskog suda za ljudska prava podliježe nizu obveza iz međunarodnog prava koje oblikuju njezin sustav pristupa vlade tako da se temelji na načelima, zaštitnim mjerama i pravima pojedinaca sličnima onima zajamčenima pravom Unije i primjenjivima u državama članicama. Kako je istaknuto u uvodnoj izjavi 19., kontinuirano poštovanje tih pravnih instrumenata stoga je osobito važan element procjene na kojoj se temelji ova Odluka.

(121)

Nadalje, DPA-om iz 2018. jamče se posebne zaštitne mjere i prava u pogledu zaštite podataka ako podatke obrađuju tijela javne vlasti, uključujući tijela kaznenog progona i tijela za nacionalnu sigurnost.

(122)

Točnije, sustav za obradu osobnih podataka u kontekstu kaznenog progona utvrđen je u dijelu 3. DPA-a iz 2018., koji je donesen radi prenošenja Direktive (EU) 2016/680. Dio 3. DPA-a iz 2018. primjenjuje se na obradu osobnih podataka koju vrše nadležna tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje (132).

(123)

Pojam „nadležno tijelo” definiran je u članku 30. DPA-a kao osoba navedena u Prilogu 7. DPA-u iz 2018. te bilo koja druga osoba u mjeri u kojoj ima zakonski propisane funkcije u obavljanju bilo koje od svrha kaznenog progona (133). Kako je objašnjeno u nastavku (vidjeti uvodnu izjavu 139.), određena nadležna tijela (npr. Nacionalna agencija za kriminal (National Crime Agency)) mogu se, pod određenim uvjetima, koristiti ovlastima predviđenima Zakonom o istražnim ovlastima iz 2016. (IPA iz 2016.). U tom će se slučaju zaštitne mjere predviđene u okviru IPA-e iz 2016. primjenjivati uz zaštitne mjere predviđene u dijelu 3. DPA-a iz 2018. Obavještajne službe (Tajna obavještajna služba (Secret Intelligence Service), Sigurnosna služba (Security Service) i Vladin komunikacijski stožer (Government Communications Headquarters)) nisu „nadležna tijela” (134) obuhvaćena područjem primjene dijela 3. DPA-a iz 2018. pa se pravila iz tog dijela ne primjenjuju ni na jednu od njihovih aktivnosti. Poseban dio DPA-a iz 2018. (dio 4.) posvećen je obradi osobnih podataka koju provode obavještajne službe (za više pojedinosti vidjeti uvodnu izjavu 125.).

(124)

Slično Direktivi (EU) 2016/680, u dijelu 3. DPA-a iz 2018. utvrđena su načela zakonitosti i poštenosti (135), ograničavanja svrhe (136), smanjenja količine podataka (137), točnosti (138), ograničenja pohrane (139) i sigurnosti (140). Propisom su uvedene specifične obveze u pogledu transparentnosti (141) i pojedincima se daju pravo na pristup (142), ispravak i brisanje (143) te pravo da se na njih ne odnosi automatizirano donošenje odluka (144). Nadležna tijela moraju uvesti i tehničku i integriranu zaštitu podataka, voditi evidenciju aktivnosti obrade, a za određene postupke obrade provesti procjenu učinka na zaštitu podataka i unaprijed se savjetovati s povjerenikom za informiranje (145). Prema članku 56. DPA-a iz 2018. moraju dokazati usklađenost. Nadalje, moraju uspostaviti odgovarajuće mjere kojima će osigurati sigurnost obrade (146) i podliježu specifičnim obvezama u slučaju povrede podataka, uključujući obavješćivanje povjerenika za informiranje i ispitanika o takvim povredama (147). Kao i u Direktivi (EU) 2016/680, zahtijeva se i da voditelj obrade (osim ako je riječ o sudu ili drugom pravosudnom tijelu koje djeluje u okviru sudske nadležnosti) imenuje službenika za zaštitu podataka (148) koji voditelju obrade pomaže da poštuje svoje obveze i da prati njihovo poštovanje (149). Nadalje, propisom se uvode posebni zahtjevi za međunarodne prijenose osobnih podataka trećim zemljama ili međunarodnim organizacijama u svrhe kaznenog progona radi osiguravanja kontinuiteta zaštite (150). Na isti datum kad i ovu Odluku, Komisija je donijela odluku o primjerenosti na temelju članka 36. stavka 3. Direktive (EU) 2016/680, u kojoj je utvrdila da sustav zaštite podataka primjenjiv na obradu koju vrše tijela kaznenog progona u Ujedinjenoj Kraljevini osigurava razinu zaštite koja je u načelu istovjetna onoj koja je osigurana Direktivom (EU) 2016/680.

(125)

Dio 4. DPA-a iz 2018. primjenjuje se na svu obradu koju vrše obavještajne službe ili koja se vrši u njihovo ime. Točnije, u njemu se utvrđuju glavna načela zaštite podataka (zakonitost, poštenost i transparentnost (151), ograničavanje svrhe (152), smanjenje količine podataka (153), točnost (154), ograničenje pohrane (155) i sigurnost (156)), uvode se uvjeti za obradu posebnih kategorija podataka (157), predviđaju se prava ispitanika (158), zahtijeva se tehnička zaštita podataka (159) i uređuju se međunarodni prijenosi osobnih podataka (160). ICO je nedavno izdao detaljne smjernice o obradi podataka koju provode obavještajne agencije u skladu s dijelom 4. DPA-a iz 2018. (161)

(126)

Isto tako, u članku 110. DPA-a iz 2018. predviđa se izuzeće od određenih odredbi iz dijela 4. DPA-a iz 2018. (162) kad je to izuzeće potrebno radi zaštite nacionalne sigurnosti. Na to se izuzeće može pozvati na temelju analize za svaki pojedinačni slučaj (163). Kako su objasnila tijela Ujedinjene Kraljevine i kako potvrđuje sudska praksa, „voditelj obrade mora uzeti u obzir stvarne posljedice za nacionalnu sigurnost ili obranu ako bi morao poštovati određenu odredbu o zaštiti podataka i može li opravdano poštovati uobičajeno pravilo bez utjecaja na nacionalnu sigurnost ili obranu” (164). ICO nadzire je li izuzeće primijenjeno na odgovarajući način (165).

(127)

Nadalje, u odnosu na mogućnost ograničavanja primjene prethodno utvrđenih odredbi u skladu s člankom 111. DPA-a iz 2018. radi zaštite „nacionalne sigurnosti” voditelj obrade može podnijeti zahtjev za potvrdu koju potpisuje ministar koji je član kabineta ili glavni krunski odvjetnik (Attorney General), kojom se potvrđuje da je ograničavanje tih prava nužna i proporcionalna mjera za zaštitu nacionalne sigurnosti (166).

(128)

Vlada Ujedinjene Kraljevine objavila je smjernice kao pomoć voditeljima obrade kad razmatraju hoće li podnijeti zahtjev za potvrdu o nacionalnoj sigurnosti na temelju DPA-a iz 2018., u kojima je osobito istaknuto da svako ograničavanje prava ispitanika radi zaštite nacionalne sigurnosti mora biti proporcionalno i nužno (167). Sve potvrde o nacionalnoj sigurnosti moraju biti objavljene na internetskim stranicama ICO-a (168).

(129)

Potvrda bi trebala imati ograničeno trajanje koje nije dulje od pet godina kako bi je izvršna vlast redovito preispitivala (169). U potvrdi se navode osobni podaci ili kategorije osobnih podataka na koje se izuzeće primjenjuje i odredbe iz DPA-a iz 2018. na koje se izuzeće primjenjuje (170).

(130)

Važno je napomenuti da potvrde o nacionalnoj sigurnosti ne pružaju dodatni razlog za ograničavanje prava na zaštitu podataka zbog nacionalne sigurnosti. Drugim riječima, voditelj obrade ili izvršitelj obrade može se pozvati na potvrdu samo ako je zaključio da je nužno pozvati se na izuzeće radi nacionalne sigurnosti koje se, kako je prethodno objašnjeno, mora primjenjivati na pojedinačnoj osnovi (171). Čak i ako se potvrda o nacionalnoj sigurnosti primjenjuje na predmetno pitanje, ICO može istražiti je li pozivanje na izuzeće radi nacionalne sigurnosti bilo opravdano u konkretnom slučaju (172).

(131)

Sve osobe na koje izdavanje potvrde izravno utječe mogu podnijeti žalbu Višem sudu (173) protiv potvrde (174) ili, ako su u potvrdi podaci identificirani općim opisom, osporiti primjenu potvrde na konkretne podatke (175). Sud će preispitati odluku o izdavanju potvrde i odlučiti jesu li postojali opravdani razlozi za izdavanje potvrde (176). Može razmotriti širok niz pitanja, uključujući nužnost, proporcionalnost i zakonitost, a pritom mora uzeti u obzir učinak na prava ispitanika i uspostaviti ravnotežu s potrebom zaštite nacionalne sigurnosti. Stoga Sud može utvrditi da se potvrda ne primjenjuje na konkretne osobne podatke koji su predmet žalbe (177).

(132)

Drugi skup mogućih ograničenja odnosi se na ona koja se primjenjuju, na temelju Priloga 11. DPA-u iz 2018., na određene odredbe iz dijela 4. DPA-a iz 2018. (178) radi zaštite drugih važnih ciljeva od općeg javnog interesa ili zaštićenih interesa kao što su parlamentarni imunitet, odvjetnička tajna, vođenje sudskog postupka ili bojna pripravnost oružanih snaga (179). Primjena tih odredbi izuzeta je za određene kategorije informacija („izuzeća na temelju razreda”) ili je izuzeta u mjeri u kojoj bi primjena tih odredbi vjerojatno dovela u pitanje zaštićeni interes („izuzeća na temelju ugrožavanja”) (180). Na izuzeća na temelju ugrožavanja moguće je pozvati se samo ako bi primjena navedenih odredbi o zaštiti podataka vjerojatno dovela u pitanje predmetni posebni interes. Stoga primjena izuzeća uvijek mora biti opravdana upućivanjem na relevantno ugrožavanje do kojeg bi vjerojatno došlo u pojedinačnom slučaju. Na izuzeća na temelju razreda moguće je pozvati se samo u pogledu posebne, usko definirane kategorije informacija za koju je odobreno izuzeće. Ona su prema svrsi i učinku slična određenim izuzećima od Opće uredbe o zaštiti podataka Ujedinjene Kraljevine (na temelju Priloga 2. DPA-u iz 2018.), koja odražavaju izuzeća predviđena člankom 23. Opće uredbe o zaštiti podataka.

(133)

Iz prethodno navedenog proizlazi da su u primjenjivim pravnim odredbama Ujedinjene Kraljevine, kako su ih tumačili i sudovi i povjerenik za informiranje, uspostavljena ograničenja i uvjeti koji osiguravaju da ta izuzeća i ograničenja ostanu u granicama onog što je nužno i proporcionalno za zaštitu nacionalne sigurnosti.

(134)

U pravu Ujedinjene Kraljevine nalazi se niz ograničenja pristupa osobnim podacima i njihove uporabe za potrebe kaznenog progona te se u tom području pružaju mehanizmi nadzora i sudske zaštite koji su u skladu sa zahtjevima iz uvodnih izjava od 113. do 115. ove Odluke. Uvjeti u kojima je takav pristup moguć i zaštitne mjere koje se primjenjuju na upotrebu tih ovlasti detaljno su procijenjeni u odjeljcima u nastavku.

(135)

U skladu s načelom zakonitosti zajamčenim člankom 35. DPA-a iz 2018. obrada osobnih podataka u bilo koju svrhu kaznenog progona zakonita je samo ako se temelji na pravu te ako je ispitanik dao privolu za obradu u tu svrhu (181) ili je obrada nužna za izvršavanje zadaće koju u tu svrhu obavlja nadležno tijelo.

(136)

U pravnom okviru Ujedinjene Kraljevine prikupljanje osobnih podataka od poslovnih subjekata, uključujući one koji bi obrađivali podatke prenesene iz EU-a na temelju sadašnje odluke o primjerenosti, za potrebe kaznenog progona dopušteno je na temelju naloga za pretragu (182) i naloga za dostavljanje (183).

(137)

Naloge za pretragu izdaje sud, obično na zahtjev istražitelja. Oni istražitelju dopuštaju ulazak u određene prostore kako bi pronašao materijal ili pojedince relevantne za njegovu istragu i da zadrži sve za što je odobrena pretraga, uključujući sve relevantne dokumente ili materijale koji sadržavaju osobne podatke (184). Nalogom za dostavljanje, koji isto mora izdati sud, od osobe navedene u nalogu zahtijeva se da dostavi ili omogući pristup materijalu u njezinu posjedu ili pod njezinom kontrolom. Podnositelj zahtjeva mora sudu opravdati zašto je nalog za pretragu ili nalog za dostavljanje nužan te zašto je u javnom interesu. Nekoliko je zakonskih ovlasti koje dopuštaju izdavanje naloga za pretragu i naloga za dostavljanje. Svaka odredba povezana je sa zakonski utvrđenim uvjetima koji se moraju ispuniti da bi se izdao nalog za pretragu (185) ili dostavljanje (186).

(138)

Nalozi za dostavljanje i nalozi za pretragu mogu se osporiti sudskim preispitivanjem (187). Kad je riječ o zaštitnim mjerama, sva tijela kaznenog progona obuhvaćena područjem primjene dijela 3. DPA-a iz 2018. mogu pristupiti osobnim podacima, što je oblik obrade, samo u skladu s načelima i zahtjevima utvrđenima u DPA-u iz 2018. (vidjeti prethodne uvodne izjave 122. i 124.). Stoga bi zahtjev koji podnese bilo koje tijelo kaznenog progona trebao biti u skladu s načelom prema kojem svrhe obrade moraju biti posebne, izričite i zakonite (188) te prema kojem osobni podaci koje obrađuje nadležno tijelo moraju biti relevantni za tu svrhu i ne smiju biti pretjerani (189).

(139)

U svrhu sprečavanja ili otkrivanja samo teških kaznenih djela (190) određena tijela kaznenog progona, primjerice Nacionalna agencija za kriminal ili načelnik policije (191), mogu se koristiti ciljanim istražnim ovlastima na temelju IPA-e iz 2016. U tom će se slučaju zaštitne mjere predviđene u okviru IPA-e iz 2016. primjenjivati uz zaštitne mjere predviđene u dijelu 3. DPA-a iz 2018. Ta tijela kaznenog progona mogu se osloniti na sljedeće posebne istražne ovlasti: ciljano presretanje (dio 2. IPA-e iz 2016.), pribavljanje podataka o komunikacijama (dio 3. IPA-e iz 2016.), zadržavanje podataka o komunikacijama (dio 4. IPA-e iz 2016.) i ciljano ometanje opreme (dio 5. IPA-e iz 2016.). Presretanje obuhvaća pribavljanje sadržaja komunikacije (192), dok svrha pribavljanja i zadržavanja podataka o komunikacijama nije dobivanje sadržaja komunikacije, već podataka o sudionicima, vremenu, mjestu i načinu komunikacije. To obuhvaća, na primjer, vrijeme i trajanje komunikacije, telefonski broj ili e-adresu pošiljatelja i primatelja komunikacije, a ponekad i lokaciju uređaja putem kojih se komunicira, pretplatnika telefonske usluge ili račun s detaljnim ispisom (193). Ometanje opreme niz je tehnika za dobivanje različitih podataka s opreme, koja uključuje računala, tablete i pametne telefone te kabele, žice i uređaje za pohranu (194).

(140)

Ovlasti ciljanog presretanja mogu se koristiti i kad je to „potrebno u svrhu provođenja odredbi instrumenta uzajamne pomoći EU-a ili međunarodnog sporazuma o uzajamnoj pomoći” (takozvani „nalog za uzajamnu pomoć” (195)). Nalozi za uzajamnu pomoć daju se samo za presretanje, ali ne i za pribavljanje podataka o komunikacijama ili ometanje opreme. Te su ciljane ovlasti uređene Zakonom o istražnim ovlastima iz 2016. (IPA iz 2016.) (196), koji zajedno sa Zakonom o regulaciji istražnih ovlasti iz 2000. (RIPA) za Englesku, Wales i Sjevernu Irsku te Zakonom o regulaciji istražnih ovlasti (Škotska) iz 2000. (RIPSA) za Škotsku čini pravnu osnovu i određuje primjenjiva ograničenja i zaštitne mjere za upotrebu takvih ovlasti. U IPA-i iz 2016. predviđen je i sustav za upotrebu masovnih istražnih ovlasti, ali one nisu dostupne tijelima kaznenog progona (mogu ih koristiti samo obavještajne agencije) (197).

(141)

Kako bi izvršavala te ovlasti, nadležna tijela moraju dobiti nalog (198) koji izdaje nadležno tijelo (199), a odobrava neovisni pravosudni povjerenik (judicial commissioner) (200) (takozvani „postupak dvostruke zaštite”). Da bi se dobio taj nalog, moraju se provjeriti nužnost i proporcionalnost (201). Budući da su te ciljane istražne ovlasti predviđene IPA-om iz 2016. iste kao i one dostupne nacionalnim sigurnosnim agencijama, uvjeti, ograničenja i zaštitne mjere primjenjivi na te ovlasti detaljno su opisani u odjeljku o pristupu tijela javne vlasti Ujedinjene Kraljevine osobnim podacima i njihovoj uporabi za potrebe nacionalne sigurnosti (vidjeti uvodnu izjavu 177. i dalje).

(142)

Razmjena podataka tako da ih tijelo kaznenog progona šalje drugom tijelu u svrhe u koje podaci nisu prvotno prikupljeni (tzv. „daljnja razmjena”) podložno je određenim uvjetima.

(143)

Slično odredbama članka 4. stavka 2. Direktive (EU) 2016/680, člankom 36. stavkom 3. DPA-a iz 2018. određeno je da je daljnja obrada (bilo da je obavlja prvotni ili neki drugi voditelj obrade) osobnih podataka koje je prikupilo nadležno tijelo u svrhu kaznenog progona dopuštena za bilo koju drugu svrhu kaznenog progona ako je voditelj obrade zakonski ovlašten za obradu u drugu svrhu te ako je obrada nužna i proporcionalna toj svrsi (202). U tom se slučaju sve zaštitne mjere predviđene dijelom 3. DPA-a iz 2018., na koji se upućuje u uvodnim izjavama 122. i 124., primjenjuju na obradu koju obavlja tijelo primatelj.

(144)

U pravnom poretku Ujedinjene Kraljevine više zakona izričito dopušta takvu daljnju razmjenu. Točnije, i. Zakon o digitalnom gospodarstvu iz 2017. dopušta razmjenu podataka između tijela javne vlasti u nekoliko svrha, na primjer u slučaju svih prijevara na štetu javnog sektora koje bi uključivale gubitak ili rizik od gubitka za tijela javne vlasti (203) ili u slučaju duga prema tijelu javne vlasti ili Kruni (204), ii. Zakon o kaznenim djelima i sudovima iz 2013. dopušta razmjenu informacija s Nacionalnom agencijom za kriminal (NCA) (205) u svrhu suzbijanja, istrage i kaznenog progona teških kaznenih djela i organiziranog kriminala, iii. Zakon o teškim kaznenim djelima iz 2007. dopušta tijelima javne vlasti da otkriju informacije organizacijama za borbu protiv prijevara za potrebe sprečavanja prijevara (206).

(145)

U tim je zakonima izričito predviđeno da bi razmjena informacija trebala biti u skladu s načelima određenima u DPA-u iz 2018. Osim toga, Nacionalna agencija za policiju (College of Policing) izdala je odobrenu profesionalnu praksu za razmjenu informacija (207) kako bi pomogla policiji da ispuni svoje obveze u pogledu zaštite podataka na temelju Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, DPA-a i Zakona o ljudskim pravima iz 1998. Usklađenost razmjene s primjenjivim pravnim okvirom za zaštitu podataka obvezno podliježe sudskom preispitivanju (208).

(146)

Nadalje, slično odredbama članka 9. Direktive (EU) 2016/680, u DPA-u iz 2018. predviđeno je da se osobni podaci prikupljeni u bilo koju svrhu kaznenog progona mogu obrađivati u svrhu koja nije kazneni progon ako je obrada odobrena pravom (209).

(147)

Ta vrsta razmjene obuhvaća dva scenarija: 1. tijelo kaznenog progona razmjenjuje podatke s tijelom za izvršavanje zakonodavstva koje se ne bavi kaznenim progonom osim obavještajne agencije (na primjer, financijsko ili porezno tijelo, tijelo za tržišno natjecanje, ured za skrb o mladima itd.) i 2. tijelo kaznenog progona razmjenjuje podatke s obavještajnom agencijom. U prvom scenariju obrada osobnih podataka bit će obuhvaćena područjem primjene Opće uredbe o zaštiti podataka Ujedinjene Kraljevine te dijela 2. DPA-a iz 2018. Komisija je procijenila zaštitne mjere predviđene Općom uredbom o zaštiti podataka Ujedinjene Kraljevine te dijelom 2. DPA-a iz 2018. u uvodnim izjavama od 12. do 111. i zaključila je da Ujedinjena Kraljevina osigurava primjerenu razinu zaštite osobnih podataka koji se prenose iz Europske unije u Ujedinjenu Kraljevinu u okviru područja primjene Uredbe (EU) 2016/679.

(148)

U drugom scenariju, u kojem je riječ o razmjeni podataka koje je prikupilo tijelo kaznenog progona s obavještajnom agencijom za potrebe nacionalne sigurnosti, pravna osnova koja omogućuje takvu razmjenu je članak 19. Zakona o borbi protiv terorizma iz 2008. (CTA iz 2008.) (210). Na temelju tog zakona sve osobe mogu dati informacije bilo kojoj obavještajnoj službi u svrhu obavljanja bilo koje funkcije te službe, uključujući „nacionalnu sigurnost”.

(149)

Kad je riječ o uvjetima pod kojima se podaci mogu razmjenjivati u svrhe nacionalne sigurnosti, Zakon o obavještajnim službama (211) i Zakon o sigurnosnim službama (212) ograničavaju mogućnost obavještajnih službi da prikupljaju podatke na ono što je nužno za obavljanje njihovih zakonski propisanih funkcija. Tijela kaznenog progona koja žele razmijeniti podatke s obavještajnim službama morat će uzeti u obzir nekoliko čimbenika/ograničenja povrh zakonski propisanih funkcija tijela koje su utvrđene u Zakonu o obavještajnim službama i Zakonu o sigurnosnim službama (213). U članku 20. Zakona o borbi protiv terorizma iz 2008. pojašnjava se da sve razmjene podataka na temelju članka 19. i dalje moraju biti u skladu sa zakonodavstvom o zaštiti podataka, što znači da se primjenjuju sva ograničenja i zahtjevi iz dijela 3. DPA-a iz 2018. Nadalje, budući da su nadležna tijela tijela javne vlasti za potrebe Zakona o ljudskim pravima iz 1998., moraju djelovati u skladu s pravima iz Konvencije, uključujući članak 8. EKLJP-a. Ta ograničenja osiguravaju da su sve razmjene podataka između tijela kaznenog progona i obavještajnih službi usklađene sa zakonodavstvom o zaštiti podataka i EKLJP-om.

(150)

Ako nadležno tijelo namjerava dijeliti osobne podatke obrađene na temelju dijela 3. DPA-a iz 2018. s tijelima kaznenog progona treće zemlje, primjenjuju se posebni zahtjevi (214). Točnije, takvi su prijenosi mogući ako se temelje na uredbama o primjerenosti koje je donio ministar ili, ako takve uredbe ne postoje, ako se osiguraju odgovarajuće zaštitne mjere. U članku 75. DPA-a iz 2018. navedeno je da su uspostavljene odgovarajuće zaštitne mjere ako su utvrđene pravnim instrumentom koji obvezuje predviđenog primatelja ili ako voditelj obrade, nakon što procijeni sve okolnosti povezane s prijenosima te vrste osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, zaključi da postoje odgovarajuće zaštitne mjere za zaštitu podataka.

(151)

Ako se prijenos ne temelji na uredbi o primjerenosti ili odgovarajućim zaštitnim mjerama, moguć je samo u nekim određenim okolnostima, takozvanim „posebnim okolnostima” (215). To su slučajevi u kojima je prijenos nužan: (a) kako bi se zaštitili vitalni interesi ispitanika ili druge osobe, (b) kako bi se zaštitili legitimni interesi ispitanika, (c) za sprečavanje neposredne i ozbiljne prijetnje javnoj sigurnosti države članice ili treće zemlje, (d) u pojedinačnim slučajevima u neku od svrha kaznenog progona; ili (e) u pojedinačnim slučajevima u pravnu svrhu (na primjer, u vezi sa sudskim postupkom ili radi dobivanja pravnog savjeta). Potrebno je napomenuti da se točke (d) i (e) ne primjenjuju ako prava i slobode ispitanika nadilaze javni interes za prijenos. Ta skupina okolnosti odgovara posebnim situacijama i uvjetima koji predstavljaju „odstupanja” na temelju članka 38. Direktive (EU) 2016/680.

(152)

Nadalje, IPA-om iz 2016. uvedene su dodatne zaštitne mjere kad se materijal koji su tijela kaznenog progona pribavila na temelju naloga kojim je odobreno presretanje ili ometanje opreme predaje trećoj zemlji. Točnije, takvo otkrivanje definirano kao „otkrivanje stranim tijelima” dopušteno je samo ako tijelo koje izdaje nalog smatra da su uspostavljene posebne odgovarajuće zaštitne mjere koje ograničavaju broj osoba kojima se podaci otkrivaju, opseg u kojem se neki materijal otkriva ili stavlja na raspolaganje te opseg u kojem se neki materijal kopira i broj izrađenih primjeraka. Osim toga, tijelo koje izdaje nalog može smatrati da su potrebni odgovarajući mehanizmi kako bi se osiguralo da se svaki primjerak bilo kojeg dijela tog materijala uništi čim više ne bude relevantnih razloga za njegovo zadržavanje (ako se ne uništi ranije) (216).

(153)

Naposljetku, specifičan oblik daljnjih prijenosa iz Ujedinjene Kraljevine Sjedinjenim Američkim Državama u budućnosti bi se mogao odvijati na temelju Sporazuma između Vlade Ujedinjene Kraljevine Velike Britanije i Sjeverne Irske i Vlade Sjedinjenih Američkih Država o pristupu elektroničkim podacima u svrhu sprečavanja teških kaznenih djela („Sporazum između Ujedinjene Kraljevine i SAD-a” ili „Sporazum”) (217), koji je sklopljen u listopadu 2019. (218) Iako Sporazum između Ujedinjene Kraljevine i SAD-a u trenutku donošenja ove Odluke još nije stupio na snagu, njegovo skoro stupanje na snagu moglo bi utjecati na daljnje prijenose SAD-u podataka koji su prvo preneseni Ujedinjenoj Kraljevini na temelju ove Odluke. Točnije, na podatke prenesene iz EU-a pružateljima usluga u Ujedinjenoj Kraljevini mogli bi se primjenjivati nalozi za dostavljanje elektroničkih dokaza koje izdaju nadležna tijela kaznenog progona u SAD-u te bi oni na temelju tog sporazuma postali primjenjivi u Ujedinjenoj Kraljevini kad Sporazum stupi na snagu. Zbog toga je za ovu Odluku važno procijeniti uvjete i zaštitne mjere koji se moraju ispuniti da bi se takvi nalozi mogli izdati i izvršiti.

(154)

Stoga je važno istaknuti, prvo, da je Sporazum primjenjiv samo na kaznena djela koja su kažnjiva kaznom zatvora u najduljem trajanju od najmanje tri godine (definirana kao „teška kaznena djela”) (219), uključujući „terorističku aktivnost”. Drugo, podaci obrađeni u drugoj jurisdikciji mogu se na temelju tog sporazuma dobiti samo nakon izdavanja „naloga […] koji podliježe preispitivanju ili nadzoru na temelju domaćeg prava stranke koja izdaje nalog, a koje obavlja sud, sudac ili drugo neovisno tijelo prije ili za vrijeme postupka koji se odnosi na izvršenje naloga” (220). Treće, svi se nalozi moraju „temeljiti na zahtjevima za opravdano obrazloženje koje se temelji na jasnim i vjerodostojnim činjenicama, posebnosti, zakonitosti i ozbiljnosti povezanima s ponašanjem koje se istražuje” (221) te moraju „biti usmjereni na specifične račune i identificirati specifičnu osobu, račun, adresu ili osobni uređaj ili neki drugi specifični identifikator” (222). Četvrto, podaci dobiveni na temelju tog sporazuma ostvaruju zaštitu ekvivalentnu posebnim zaštitnim mjerama predviđenima takozvanim „Krovnim sporazumom između EU-a i SAD-a” (223) – sveobuhvatnim sporazumom o zaštiti podataka koji su EU i SAD sklopili u prosincu 2016. i u kojem su utvrđene zaštitne mjere i prava primjenjivi na prijenose podataka u kontekstu suradnje u području kaznenog progona – a sve su te zaštitne mjere uključene u Sporazum između Ujedinjene Kraljevine i SAD-a upućivanjem mutatis mutandis, osobito kako bi se uzela u obzir posebna priroda prijenosâ (tj. prijenosi od privatnih subjekata tijelima kaznenog progona, a ne prijenosi među tijelima kaznenog progona) (224). U Sporazumu između Ujedinjene Kraljevine i SAD-a izričito je navedeno da će se zaštita ekvivalentna onoj koja je predviđena Krovnim sporazumom između EU-a i SAD-a primjenjivati „na sve osobne podatke koji nastanu pri izvršavanju naloga koji podliježu ovom Sporazumu kako bi se osigurala ekvivalentna zaštita” (225).

(155)

Na podatke prenesene tijelima SAD-a na temelju Sporazuma između Ujedinjene Kraljevine i SAD-a stoga bi se trebala primjenjivati zaštita predviđena instrumentom prava Unije, uz nužne prilagodbe koje odražavaju prirodu prijenosa o kojima je riječ. Tijela Ujedinjene Kraljevine dalje su potvrdila da će se zaštita iz Krovnog sporazuma primjenjivati na sve osobne podatke koji nastanu ili se čuvaju na temelju Sporazuma, neovisno o prirodi i vrsti tijela koje podnosi zahtjev (npr. i savezna i državna tijela kaznenog progona u SAD-u), pa se ekvivalentna zaštita mora osigurati u svim slučajevima. Međutim, tijela Ujedinjene Kraljevine objasnila su i da Ujedinjena Kraljevina i SAD još raspravljaju o pojedinostima konkretne provedbe zaštitnih mjera za podatke. U kontekstu razgovora sa službama Europske komisije o ovoj Odluci tijela Ujedinjene Kraljevine potvrdila su da će dopustiti da Sporazum stupi na snagu tek nakon što se uvjere da je njegova provedba u skladu s predviđenim pravnim obvezama, uključujući jasnoću u pogledu usklađenosti sa standardima zaštite podataka za sve podatke koji se traže na temelju tog sporazuma. Budući da stupanje Sporazuma na snagu može utjecati na razinu zaštite koja je procijenjena u ovoj Odluci, Ujedinjena Kraljevina trebala bi Europskoj komisiji priopćiti sve informacije i daljnja pojašnjenja o načinu na koji će SAD ispunjavati svoje obveze na temelju Sporazuma čim oni budu dostupni, a u svakom slučaju prije stupanja na snagu Sporazuma, kako bi se osiguralo pravilno praćenje ove Odluke u skladu s člankom 45. stavkom 4. Uredbe (EU) 2016/679. Posebna pozornost posvetit će se primjeni i prilagodbi zaštite iz Krovnog sporazuma na posebnu vrstu prijenosa obuhvaćenu Sporazumom između Ujedinjene Kraljevine i SAD-a.

(156)

Općenito, sve relevantne promjene u pogledu stupanja na snagu i primjene Sporazuma na odgovarajući će se način uzeti u obzir u kontekstu kontinuiranog praćenja ove Odluke, među ostalim s obzirom na nužne posljedice do kojih će doći u slučaju bilo kakvih naznaka da više nije osigurana razina zaštite koja je u načelu istovjetna.

(157)

Ovisno o ovlastima koje nadležna tijela koriste pri obradi osobnih podataka za potrebe kaznenog progona (na temelju DPA-a iz 2018. ili IPA-e iz 2016.) različita tijela osiguravaju nadzor nad primjenom tih ovlasti. Konkretnije, povjerenik za informiranje nadzire obradu osobnih podataka kad je obuhvaćena područjem primjene dijela 3. DPA-a iz 2018. (226) Neovisan i sudski nadzor nad primjenom istražnih ovlasti na temelju IPA-e iz 2016. osigurava Ured povjerenika za istražne ovlasti (IPCO) (227) (taj se dio razmatra u uvodnim izjavama od 250. do 255.). Osim toga, dodatni nadzor osiguravaju Parlament i druga tijela.

(158)

Opće funkcije povjerenika za informiranje, čija su neovisnost i organizacija objašnjeni u uvodnoj izjavi 87., u vezi s obradom osobnih podataka koji su obuhvaćeni dijelom 3. DPA-a iz 2018., utvrđene su u Prilogu 13. DPA-u iz 2018. Glavne su zadaće Ureda povjerenika za informiranje praćenje i provedba dijela 3. DPA-a iz 2018., podizanje razine osviještenosti javnosti, savjetovanje Parlamenta, vlade i drugih institucija i tijela. Kako bi se sačuvala neovisnost pravosuđa, povjerenik za informiranje nije ovlašten izvršavati svoje funkcije u vezi s obradom osobnih podataka koju provodi pojedinac koji djeluje u sudbenom svojstvu ili sud u okviru svoje sudske nadležnosti. U tim bi okolnostima druga tijela izvršavala nadzorne funkcije, kako je objašnjeno u uvodnim izjavama od 99. do 103.

(159)

Povjerenik ima opće istražne, korektivne i savjetodavne ovlasti te ovlasti za izdavanje odobrenja u vezi s obradom osobnih podataka na koje se odnosi dio 3. Konkretno, povjerenik ima ovlasti obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju dijela 3. DPA-a iz 2018., izdati upozorenja ili opomenu voditelju obrade ili izvršitelju obrade koji je prekršio odredbe dijela 3. tog zakona te na vlastitu inicijativu ili na zahtjev dati mišljenje Parlamentu, Vladi ili drugim institucijama i tijelima, kao i javnosti o svim pitanjima povezanima sa zaštitom osobnih podataka (228).

(160)

Nadalje, povjerenik ima ovlasti izdavati zahtjeve za dostavu informacija (229), zahtjeve za provjeru (230) i zahtjeve za izvršenje (231) kao i ovlast pristupa dokumentima voditelja obrade ili izvršitelja obrade, pristupa njihovim prostorijama (232) i izricanja upravnih novčanih kazni u obliku rješenja o kazni (233). U okviru politike regulatornog djelovanja Ureda povjerenika za informiranje utvrđuju se okolnosti u kojima on izdaje zahtjeve za dostavu informacija, provjeru i izvršenje te rješenja o kazni (234) (vidjeti i uvodnu izjavu 93. i uvodne izjave 101. i 102. Direktive (EU) 2016/680 o odlukama o primjerenosti).

(161)

Prema posljednjim godišnjim izvješćima (za 2018.–2019. (235), 2019.–2020. (236)) povjerenica za informiranje provela je niz istraga i poduzela mjere izvršenja u pogledu obrade podataka koju provode tijela kaznenog progona. Na primjer, povjerenica je provela istragu i u listopadu 2019. objavila mišljenje u vezi s primjenom tehnologije prepoznavanja lica na javnim mjestima kojom se služe tijela kaznenog progona. Istraga je bila usmjerena, među ostalim, na uporabu tehnologije za prepoznavanje lica u stvarnom vremenu kojom se služe policija južnog Walesa i londonska Metropolska policija. Povjerenica za informiranje istražila je i „matricu za bande” (237) Metropolske policije i utvrdila niz teških kršenja zakona o zaštiti podataka koja bi mogla narušiti povjerenje javnosti u matricu i način na koji su podaci korišteni. U studenome 2018. povjerenica za informiranje izdala je zahtjev za izvršenje, a Metropolska policija potom je poduzela mjere potrebne za povećanje sigurnosti i odgovornosti te osiguravanje proporcionalnog korištenja podataka. Još jedan primjer mjere izvršenja u tom području jest novčana kazna od 325 000 GBP koju je povjerenica u svibnju 2018. izdala Državnom tužiteljstvu Ujedinjene Kraljevine (Crown Prosecution Service) zbog gubitka nešifriranih DVD-ova sa snimkama policijskih saslušanja. Povjerenica za informiranje provela je i istrage o širim temama, na primjer u prvoj polovini 2020. o izvlačenju podataka iz mobilnih telefona za potrebe policije i načinu na koji policija obrađuje podatke o žrtvama. Nadalje, povjerenica trenutačno istražuje predmet koji uključuje pristup tijela kaznenog progona podacima u posjedu subjekta iz privatnog sektora, Clearview AI Inc (238).

(162)

Osim izvršnih ovlasti povjerenika za informiranje navedenih u uvodnim izjavama (160. i 161.), određena kršenja zakonodavstva o zaštiti podataka čine kaznena djela i stoga se na njih mogu primjenjivati kaznenopravne sankcije (članak 196. DPA-a iz 2018.). To se primjenjuje, na primjer, za prikupljanje, otkrivanje ili zadržavanje osobnih podataka bez pristanka voditelja obrade i omogućavanje otkrivanja osobnih podataka drugoj osobi bez pristanka voditelja obrade” (239), ponovnu identifikaciju anonimiziranih osobnih podataka bez pristanka voditelja obrade odgovornog za anonimizaciju osobnih podataka (240), namjerno ometanje povjerenika u izvršavanju njegovih ovlasti povezanih s pregledom osobnih podataka u skladu s međunarodnim obvezama (241), davanje lažnih izjava kao odgovor na zahtjev za dostavu informacija ili uništavanje informacija povezanih sa zahtjevima za dostavu informacija i provjeru (242).

(163)

Osim povjerenika za informiranje postoji nekoliko nadzornih tijela u području kaznenog progona s posebnim mandatima važnima za pitanja zaštite podataka. To uključuje, na primjer, povjerenika za zadržavanje i uporabu biometrijskog materijala („povjerenik za biometrijske podatke”) (243) i povjerenika za nadzorne kamere (244).

(164)

Posebni odbor za unutarnje poslove osigurava parlamentarni nadzor u području kaznenog progona. Odbor se sastoji od 11 zastupnika Parlamenta iz triju najvećih političkih stranaka. Odbor ima zadaću ispitati rashode, upravljanje i politiku Ministarstva unutarnjih poslova i povezanih javnih tijela, među ostalim policije i Nacionalne agencije za kriminal – čiji rad Odbor može posebno analizirati (245).

(165)

Odbor u okviru svoje nadležnosti može odabrati vlastiti predmet istrage, uključujući posebne predmete, pod uvjetom da to pitanje nije predmet sudskog postupka. Odbor može i zatražiti pisane i usmene dokaze različitih relevantnih skupina i pojedinaca. Izrađuje izvješća o svojim zaključcima i daje preporuke Vladi (246). Očekuje se da Vlada odgovori na svaku preporuku iz izvješća, i to u roku od 60 dana (247).

(166)

U području nadzora Odbor je sastavio i izvješće o Zakonu o regulaciji istražnih ovlasti iz 2000. (RIPA 2000.) (248), u kojem je utvrđeno da RIPA iz 2000. nije bila svrsishodna. Njegovo izvješće uzeto je u obzir pri izmjeni znatnih dijelova RIPA iz 2000. u okviru IPA-e donesene 2016. Potpun popis istraga nalazi se na internetskim stranicama Odbora (249).

(167)

Zadaće Posebnog odbora za unutarnje poslove u Škotskoj obavlja Pravosudni pododbor za policiju, a u Sjevernoj Irskoj Odbor za pravosuđe (250).

(168)

Kad je riječ o obradi podataka koju provode tijela kaznenog progona, mehanizmi sudske zaštite dostupni su na temelju dijela 3. DPA-a iz 2018. i IPA-e iz 2016. te Zakona o ljudskim pravima iz 1998.

(169)

Tim se mehanizmima ispitanicima osiguravaju djelotvorna sredstva upravne i sudske zaštite, što im prije svega omogućuje da ostvaruju svoja prava, uključujući pravo na pristup svojim osobnim podacima te ispravak ili brisanje tih podataka.

(170)

Prvo, u skladu s člankom 165. DPA-a iz 2018. ispitanik može podnijeti pritužbu povjereniku za informiranje ako smatra da u vezi s osobnim podacima koji se odnose na njega postoji kršenje dijela 3. DPA-a iz 2018. (251) Povjerenik za informiranje ovlašten je ocijeniti usklađenost voditelja obrade i izvršitelja obrade s DPA-om iz 2018., zahtijevati od njih da poduzmu potrebne mjere u slučaju nepridržavanja i izreći novčane kazne.

(171)

Drugo, DPA-om iz 2018. osigurava se pravo na korištenje pravnog lijeka protiv povjerenika za informiranje ako na odgovarajući način ne riješi pritužbu koju je podnio ispitanik. Točnije, ako povjerenik ne „preispita” (252) pritužbu koju je podnio ispitanik, podnositelj pritužbe ima pristup sudskom pravnom lijeku, odnosno može se obratiti Prvostupanjskom sudu (253), koji će naložiti povjereniku da poduzme odgovarajuće korake kao odgovor na pritužbu ili obavijesti podnositelja kako napreduje postupak povezan s pritužbom (254). Osim toga, svaka osoba koja od povjerenika dobije bilo koji od navedenih zahtjeva ili obavijesti (zahtjev za dostavu informacija, provjeru ili izvršenje ili rješenje o kazni) može podnijeti žalbu Prvostupanjskom sudu. Ako Sud smatra da odluka povjerenika nije u skladu sa zakonom ili da je povjerenik za informiranje trebao drukčije izvršavati svoje diskrecijske ovlasti, Sud mora prihvatiti žalbu ili zamijeniti zahtjev, rješenje ili odluku koju je povjerenik za informiranje izdao ili donio drugim zahtjevom, rješenjem ili odlukom (255).

(172)

Treće, pojedinci mogu dobiti sudsku zaštitu protiv voditelja obrade i izvršitelja obrade izravno pred sudovima. Konkretno, na temelju članka 167. DPA-a iz 2018. ispitanik može podnijeti zahtjev sudu zbog kršenja njegova prava u skladu sa zakonodavstvom o zaštiti podataka, a sud može putem naloga od voditelja obrade zatražiti da poduzme bilo koji postupak u pogledu obrade (ili se suzdrži od poduzimanja takvog postupka) kako bi ispunio zahtjeve iz DPA-a iz 2018. Nadalje, u skladu s člankom 169. DPA-a iz 2018. svaka osoba koja je pretrpjela štetu zbog kršenja zahtjeva zakonodavstva o zaštiti podataka (uključujući dio 3. DPA-a iz 2018.), osim Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, ima pravo dobiti naknadu za tu štetu od voditelja obrade ili izvršitelja obrade, osim ako voditelj obrade ili izvršitelj obrade dokaže da ni na koji način nije odgovoran za događaj koji je prouzročio štetu. Šteta obuhvaća i financijski gubitak i štetu koja ne uključuje financijski gubitak, kao što je pretrpljena duševna bol.

(173)

Naposljetku, svaka osoba koja smatra da je neko tijelo javne vlasti prekršilo njezina prava, uključujući pravo na privatnost i zaštitu podataka, može dobiti sudsku zaštitu pred sudovima Ujedinjene Kraljevine na temelju Zakona o ljudskim pravima iz 1998. (256), a nakon što iscrpe nacionalna pravna sredstva, osoba, nevladina organizacija i skupine pojedinaca mogu dobiti sudsku zaštitu pred Europskim sudom za ljudska prava za kršenja prava zajamčenih Europskom konvencijom o ljudskim pravima (257) (vidjeti u uvodnoj izjavi 111.).

(174)

Pojedinci mogu dobiti sudsku zaštitu u slučaju kršenja IPA-e iz 2016. pred Sudom za istražne ovlasti (Investigatory Powers Tribunal). Oblici sudske zaštite dostupni na temelju IPA-e iz 2016. opisani su u uvodnim izjavama od 263. do 269. u nastavku.

(175)

U pravnom poretku Ujedinjene Kraljevine obavještajne službe ovlaštene za prikupljanje elektroničkih informacija kojima raspolažu voditelji obrade ili izvršitelji obrade zbog razloga nacionalne sigurnosti u situacijama koje su relevantne za scenarij primjerenosti su Sigurnosna služba (258) (Security Service, MI5), Tajna obavještajna služba (259) (Secret Intelligence Service, SIS) i Vladin komunikacijski stožer (260) (Government Communications Headquarters, GCHQ) (261).

(176)

Ovlasti obavještajnih agencija u Ujedinjenoj Kraljevini utvrđene su IPA-om iz 2016. i RIPA-om iz 2000., kojima se, zajedno s DPA-om iz 2018., utvrđuju materijalno i osobno područje primjene tih ovlasti te ograničenja i zaštitne mjere za njihovo izvršavanje. Te ovlasti, kao i ograničenja i zaštitne mjere koji se na njih primjenjuju, detaljno su procijenjeni u sljedećim odjeljcima.

(177)

IPA-om iz 2016. uspostavlja se pravni okvir za upotrebu istražnih ovlasti, tj. ovlasti presretanja podataka o komunikacijama, pristupa tim podacima i ometanja opreme. IPA-om iz 2016. uvodi se opća zabrana korištenja tehnika koje omogućuju pristup sadržaju komunikacija, pristup podacima o komunikacijama ili ometanje opreme bez zakonske ovlasti (262) te takvi postupci čine kaznena djela. To se odražava u činjenici da je upotreba tih istražnih ovlasti zakonita samo ako se provodi na temelju naloga ili odobrenja (263).

(178)

U IPA-i iz 2016. utvrđena su detaljna pravila kojima se uređuju područje primjene i primjena svake istražne ovlasti te njihova posebna ograničenja i zaštitne mjere. Pravila koja se primjenjuju razlikuju se s obzirom na vrstu istražne ovlasti (presretanje komunikacije, pribavljanje i zadržavanje podataka o komunikacijama i ometanje opreme) (264) i na to izvršava li se ovlast u odnosu na poseban cilj ili masovno. Pojedinosti o području primjene, zaštitnim mjerama i ograničenjima svake mjere predviđene u okviru IPA-e iz 2016. opisane su u posebnom odjeljku u nastavku.

(179)

Osim toga, IPA iz 2016. dopunjena je nizom zakonskih kodeksa dobre prakse koje je izdao ministar i koje su prihvatila oba doma Parlamenta (265) te se primjenjuju u cijeloj zemlji i njima se pružaju dodatne smjernice za korištenje tim ovlastima (266). Dok se ispitanici kako bi ostvarili svoja prava mogu izravno osloniti na odredbe utvrđene u IPA-i iz 2016., u točki 5. Priloga 7. IPA-i iz 2016. navodi se da su kodeksi dobre prakse prihvatljivi kao dokazi u građanskim i kaznenim postupcima te da sud ili nadzorno tijelo može uzeti u obzir svako nepridržavanje kodeksa pri utvrđivanju relevantnog pitanja u sudskim postupcima (267). U kontekstu procjene „kvalitete zakona” prethodnog zakonodavstva Ujedinjene Kraljevine u području nadzora, odnosno RIPA-e iz 2000., Veliko vijeće Europskog suda za ljudska prava izričito je priznalo relevantnost kodeksa dobre prakse Ujedinjene Kraljevine i prihvatilo da bi se njihove odredbe mogle uzeti u obzir pri procjeni predvidljivosti zakonodavstva kojim se dopušta nadzor (268).

(180)

Pritom bi trebalo napomenuti i da su ciljane ovlasti (ciljano presretanje (269), pribavljanje podataka o komunikacijama (270), zadržavanje tih podataka (271) i ciljano ometanje opreme (272)) dostupne nacionalnim sigurnosnim agencijama i određenim tijelima kaznenog progona (273), dok samo obavještajne službe mogu koristiti masovne ovlasti (tj. masovno presretanje (274), masovno pribavljanje podataka o komunikacijama (275), masovno ometanje opreme (276) i masovne skupove osobnih podataka (277)).

(181)

Pri odlučivanju o tome koje bi se istražne ovlasti trebale koristiti, obavještajna agencija mora poštovati „opće obveze u pogledu privatnosti” navedene u članku 2. stavku 2. točki (a) IPA-e iz 2016., koje uključuju provjeru nužnosti i proporcionalnosti. Konkretnije, u skladu s tom odredbom tijelo javne vlasti koje namjerava koristiti istražnu ovlast mora razmotriti i. može li se ono što se nastoji postići na temelju naloga, odobrenja ili zahtjeva razumno postići drugim manje nametljivim sredstvima; ii. je li razina zaštite koja se primjenjuje u odnosu na prikupljanje informacija na temelju naloga, odobrenja ili zahtjeva veća zbog posebne osjetljivosti tih informacija; iii. javni interes za integritet i sigurnost telekomunikacijskih sustava i poštanskih službi te iv. svaki drugi aspekt javnog interesa koji se odnosi na zaštitu privatnosti (278).

(182)

Način na koji bi se ti kriteriji trebali primjenjivati i način na koji ministar i neovisni pravosudni povjerenici ocjenjuju njihovu usklađenost pri davanju odobrenja za korištenje takvih ovlasti dodatno su utvrđeni u relevantnim kodeksima dobre prakse. Konkretno, korištenje svake od tih istražnih ovlasti mora uvijek biti „proporcionalno onome što se nastoji postići, što podrazumijeva uravnoteženje između mogućeg narušavanja privatnosti (i drugih razmatranja navedenih u članku 2. stavku 2.) i potrebe za aktivnošću u istražnom ili operativnom smislu ili smislu tehničke sposobnosti”. To posebno znači da bi aktivnost „trebala ponuditi realne izglede za ostvarivanje očekivane koristi i ne bi trebala biti neproporcionalna ili proizvoljna” te da „zadiranje u privatnost ne bi trebalo smatrati proporcionalnim ako bi se tražene informacije razumno mogle postići drugim manje nametljivim sredstvima” (279). Konkretno, poštovanje načela proporcionalnosti mora se ocijeniti uzimajući u obzir sljedeće kriterije: „i. opseg predloženog zadiranja u privatnost u odnosu na ono što se nastoji postići; ii. kako i zašto metode koje će se donijeti uzrokuju najmanje moguće zadiranje u privatnost osobe i ostalih; iii. predstavlja li aktivnost primjerenu primjenu Zakona i razuman način postizanja onoga što se nastoji postići, uzimajući u obzir sve druge razumne mogućnosti; iv. prema potrebi, koje druge metode nisu provedene ili su bile primijenjene, ali su procijenjene kao nedostatne za ispunjavanje operativnih ciljeva bez uporabe predložene istražne ovlasti” (280).

(183)

Tijela Ujedinjene Kraljevine objasnila su da se time u praksi osigurava da obavještajna agencija, kao prvo, postavi operativni cilj (čime se ograničava prikupljanje, npr. za potrebe međunarodne borbe protiv terorizma na određenom geografskom području) i, kao drugo, na temelju tog operativnog cilja morat će razmotriti koja je tehnička opcija (npr. ciljano ili masovno presretanje, ometanje opreme, pribavljanje podataka o komunikacijama) najproporcionalnija (tj. najmanje zadire u privatnost, vidjeti članak 2. stavak 2. IPA-e) u odnosu na ono što se nastoji postići te se stoga može odobriti na temelju jedne od dostupnih zakonskih osnova.

(184)

Treba istaknuti da je oslanjanje na standarde nužnosti i proporcionalnosti primijetio i pozdravio i posebni izvjestitelj UN-a za pravo na privatnost Joseph Cannataci, koji je u pogledu sustava uspostavljenog IPA-om iz 2016. izjavio da „se čini da postupci koji su uspostavljeni u okviru obavještajnih službi i tijela kaznenog progona sustavno zahtijevaju da se razmotri nužnost i proporcionalnost mjere ili operacije nadzora prije nego što je se preporuči za odobravanje i njezino preispitivanje na istim osnovama” (281). Ujedno je primijetio da je na sastanku s predstavnicima tijela kaznenog progona i nacionalnim sigurnosnim agencijama „postignut konsenzus da pravo na privatnost mora biti na prvom mjestu za svaku odluku koja se odnosi na mjere nadzora. Svi su razumjeli i ocijenili nužnost i proporcionalnost kao temeljna načela koja treba uzeti u obzir”.

(185)

Posebni kriteriji za izdavanje različitih naloga te ograničenja i zaštitne mjere utvrđeni IPA-om iz 2016. za svaku istražnu ovlast detaljno su opisani u uvodnim izjavama od 186. do 243.

(186)

Postoje tri vrste naloga za ciljano presretanje: nalog za ciljano presretanje (282), nalog za ciljani pregled i nalog za uzajamnu pomoć (283). Uvjeti za dobivanje tih naloga i odgovarajuće zaštitne mjere utvrđeni su u dijelu 2. poglavlju 1. IPA-e iz 2016.

(187)

Nalogom za ciljano presretanje odobrava se presretanje komunikacija opisanih u nalogu pri njihovu prijenosu i dobivanje drugih podataka relevantnih za te komunikacije (284), uključujući sekundarne podatke (285). Nalogom za ciljani pregled osoba se ovlašćuje za provođenje odabira za pregled presretnutog sadržaja dobivenog na temelju naloga za masovno presretanje (286).

(188)

Svaki nalog u skladu s dijelom 2. IPA-e iz 2016. može izdati ministar (287), a odobrava ga pravosudni povjerenik (288). U svim je slučajevima trajanje bilo koje vrste ciljanog naloga ograničeno na šest mjeseci (289), a za njegovu izmjenu (290) i produljenje (291) primjenjuju se posebna pravila.

(189)

Prije izdavanja naloga ministar mora provjeriti njegovu nužnost i proporcionalnost (292). Konkretno, za nalog za ciljano presretanje i nalog za ciljani pregled ministar bi trebao provjeriti je li mjera potrebna zbog jednog od sljedećih razloga: interes nacionalne sigurnosti; sprečavanje ili otkrivanje teškog kaznenog djela; ili interesi gospodarske dobrobiti Ujedinjene Kraljevine (293) ako su relevantni i za interese nacionalne sigurnosti (294). S druge strane, nalog za uzajamnu pomoć (vidjeti prethodnu uvodnu izjavu 139.) može se izdati samo ako ministar smatra da postoje okolnosti istovjetne onima u kojima bi izdao nalog u svrhu sprečavanja i/ili otkrivanja teških kaznenih djela (295).

(190)

Nadalje, ministar bi trebao ocijeniti je li mjera proporcionalna onome što se nastoji postići (296). Pri procjeni proporcionalnosti zatraženih mjera moraju se uzeti u obzir opće obveze u pogledu privatnosti utvrđene u članku 2. stavku 2. IPA-e iz 2016., posebno potreba da se procijeni može li se ono što se nastoji postići nalogom, odobrenjem ili zahtjevom razumno ostvariti drugim manje nametljivim sredstvima te je li razina zaštite koju treba primijeniti u odnosu na bilo koje prikupljanje informacija na temelju naloga viša zbog posebne osjetljivosti tih informacija (vidjeti uvodnu izjavu 181.).

(191)

U tu će svrhu ministar morati uzeti u obzir sve elemente zahtjeva koje je dostavilo tijelo koje podnosi zahtjev, posebno one koji se odnose na osobe koje bi se trebale presretati i relevantnost mjere za istragu. Takvi su elementi navedeni u Kodeksu dobre prakse za presretanje komunikacija i moraju biti dovoljno konkretno opisani (297). Nadalje, u članku 17. IPA-e iz 2016. zahtijeva se da se u svakom nalogu izdanom u skladu s njegovim poglavljem 2. mora navesti ili opisati konkretna osoba ili skupina osoba, organizacija ili prostori koje treba presretati („cilj”). U slučaju naloga za ciljano presretanje ili naloga za ciljani pregled oni se mogu odnositi i na skupinu osoba, više od jedne osobe ili organizacije ili više od jednog skupa prostora (takozvani „tematski nalog”) (298). U tim slučajevima u nalogu bi trebala biti opisana zajednička svrha ili aktivnost skupine osoba ili operacija/istraga i ime ili opis što većeg broja tih osoba/organizacija ili skupa prostora ako je to praktično moguće (299). Naposljetku, u svim se nalozima izdanima na temelju dijela 2. IPA-e iz 2016. moraju navesti adrese, brojevi, uređaji, čimbenici ili kombinacija čimbenika koji će se upotrebljavati za identifikaciju komunikacija (300). U tom se smislu u Kodeksu dobre prakse za presretanje komunikacija navodi da se u slučaju naloga za ciljano presretanje i naloga za ciljani pregled „u nalogu moraju navesti (ili opisati) čimbenici ili kombinacija čimbenika koji će se upotrebljavati za identifikaciju komunikacije. Ako se komunikacija mora identificirati tako da se navede telefonski broj (na primjer), broj se mora navesti tako da bude u cijelosti prikazan. Međutim, ako se za identifikaciju komunikacije upotrebljavaju vrlo složeni ili stalno promjenjivi internetski selektori, te bi selektore trebalo opisati u najvećoj mogućoj mjeri” (301).

(192)

Važna je zaštitna mjera u tom kontekstu to što procjenu ministra u pogledu izdavanja naloga mora odobriti neovisni pravosudni povjerenik (302) koji će posebno provjeriti je li odluka o izdavanju naloga u skladu s načelima nužnosti i proporcionalnosti (303) (za status i ulogu pravosudnog povjerenika vidjeti uvodne izjave od 251. do 256. u nastavku). U IPA-i iz 2016. ujedno se pojašnjava da pri provedbi takve provjere pravosudni povjerenik mora primjenjivati ista načela koja bi primijenio sud u slučaju zahtjeva za sudsko preispitivanje (304). Time se osigurava da u svakom slučaju, a prije nego što dođe do pristupa podacima, neovisno tijelo sustavno provjerava poštovanje načela nužnosti i proporcionalnosti.

(193)

U okviru IPA-e iz 2016. predviđeno je nekoliko posebnih i vrlo ograničenih iznimaka za provedbu ciljanih presretanja bez naloga. Ograničeni slučajevi detaljno su opisani u zakonodavstvu (305) i, osim onog koji se temelji na „privoli” pošiljatelja/primatelja, provode ih subjekti (privatna ili javna tijela) koji nisu nacionalne sigurnosne agencije. Osim toga, takva vrsta presretanja provodi se u svrhe koje nisu „obavještajno” prikupljanje (306), a za neke od njih veoma je malo vjerojatno da se prikupljanje može provesti u kontekstu scenarija „prijenosa” (na primjer u slučaju presretanja u psihijatrijskoj bolnici ili u zatvoru). S obzirom na prirodu tijela na koje se ti posebni slučajevi primjenjuju (nisu nacionalne sigurnosne agencije) primjenjivat će se sve zaštitne mjere predviđene u dijelu 2. DPA-a iz 2018. i Općoj uredbi o zaštiti podataka Ujedinjene Kraljevine, uključujući nadzor ICO-a i dostupne mehanizme sudske zaštite. Nadalje, osim zaštitnih mjera predviđenih u DPA-u iz 2018., u određenim slučajevima u okviru IPA-e iz 2016. predviđen je i ex post nadzor IPCO-a (307).

(194)

Pri presretanju primjenjuju se dodatna ograničenja i zaštitne mjere s obzirom na poseban status presretenih osoba (308). Primjerice, presretanje informacija koje podliježu obvezi čuvanja povjerljivosti dopušteno je samo u iznimnim i uvjerljivim okolnostima, a osoba koja izdaje nalog mora uzeti u obzir javni interes u pogledu povjerljivosti informacija koje podliježu obvezi čuvanja povjerljivosti te da su uspostavljeni posebni zahtjevi za postupanje s takvim materijalom, njegovo zadržavanje i otkrivanje (309).

(195)

Nadalje, IPA-om iz 2016. predviđaju se posebne zaštitne mjere povezane sa sigurnošću, zadržavanjem i otkrivanjem koje bi ministar trebao uzeti u obzir prije izdavanja ciljanog naloga (310). Konkretno, člankom 53. stavkom 5. IPA-e iz 2016. zahtijeva se da se svaki primjerak materijala prikupljenog na temelju naloga mora pohraniti na siguran način i uništiti čim više ne budu postojali relevantni razlozi za njegovo zadržavanje, dok se člankom 53. stavkom 2. IPA-e iz 2016. zahtijeva da se broj osoba kojima se materijal otkriva i opseg otkrivanja, stavljanja na raspolaganje ili kopiranja tog materijala mora ograničiti na minimum koji je potreban za propisane svrhe.

(196)

Naposljetku, kad se materijal koji je presretnut na temelju naloga za ciljano presretanje ili naloga za uzajamnu pomoć prosljeđuje trećoj zemlji („otkrivanje stranim tijelima”), IPA-om iz 2016. predviđa se da ministar mora osigurati da su uspostavljeni odgovarajući dogovori kojima se jamči da u toj trećoj zemlji postoje slične zaštitne mjere u pogledu sigurnosti, zadržavanja i otkrivanja (311). Osim toga, u članku 109. stavku 2. DPA-a iz 2018. predviđa se da obavještajne službe mogu prenositi osobne podatke izvan državnog područja Ujedinjene Kraljevine samo ako je prijenos nužna i proporcionalna mjera za svrhu zakonom propisanih funkcija voditelja obrade ili druge svrhe predviđene u članku 2. stavku 2. točki (a) Zakona o sigurnosnim službama iz 1989. ili članku 2. stavku 2. točki (a) i članku 4. stavku 2. točki (a) Zakona o obavještajnim službama iz 1994. (312) Važno je napomenuti da se ti zahtjevi primjenjuju i u slučajevima u kojima se poziva na izuzeće radi nacionalne sigurnosti u skladu s člankom 110. DPA-a iz 2018. jer se u članku 110. DPA-a iz 2018. ne navodi da je članak 109. DPA-a iz 2018. jedna od odredbi koje se mogu izuzeti od primjene ako se u svrhu zaštite nacionalne sigurnosti zahtijeva izuzeće od određenih odredbi.

(197)

IPA-om iz 2016. ministru se dopušta da od operatera telekomunikacijskih usluga zahtijeva zadržavanje podataka o komunikacijama radi omogućavanja ciljanog pristupa za različita tijela javne vlasti, uključujući tijela kaznenog progona i obavještajne agencije. U dijelu 4. IPA-e iz 2016. predviđa se zadržavanje podataka o komunikacijama, dok se u dijelu 3. predviđa ciljano pribavljanje podataka o komunikacijama. U dijelu 3. i 4. IPA-e iz 2016. ujedno su utvrđena posebna ograničenja u pogledu upotrebe tih ovlasti i predviđaju se posebne zaštitne mjere.

(198)

Pojmom „podaci o komunikacijama” obuhvaćeni su sudionici, vrijeme, mjesto i način komunikacije, ali ne i sadržaj komunikacije, tj. ono što je rečeno ili napisano. Za razliku od presretanja, pribavljanje i zadržavanje podataka o komunikacijama nije usmjereno na sadržaj komunikacije, već na dobivanje informacija kao što su podaci o pretplatniku telefonske usluge ili račun s detaljnim ispisom. To bi moglo uključivati vrijeme i trajanje komunikacije, broj ili e-adresu pošiljatelja i primatelja, a ponekad i lokaciju uređaja s kojih je uspostavljena telekomunikacija (313).

(199)

Treba napomenuti da se zadržavanje i pribavljanje podataka o komunikacijama obično neće odnositi na osobne podatke ispitanika iz EU-a koji se u skladu s ovom Odlukom prenose u Ujedinjenu Kraljevinu. Obveza zadržavanja ili otkrivanja podataka o komunikacijama u skladu s dijelovima 3. i 4. IPA-e iz 2016. obuhvaća podatke koje su prikupili telekomunikacijski operateri u Ujedinjenoj Kraljevini izravno od korisnika telekomunikacijske usluge (314). Ta vrsta obrade „u izravnom kontaktu s klijentom” obično ne uključuje prijenos na temelju ove Odluke, tj. prijenos od voditelja obrade/izvršitelja obrade u EU-u voditelju obrade/izvršitelju obrade u Ujedinjenoj Kraljevini.

(200)

Međutim, radi potpunosti, u sljedećim se uvodnim izjavama analiziraju uvjeti i zaštitne mjere kojima se uređuju ti sustavi pribavljanja i zadržavanja.

(201)

Kao premisu, valja istaknuti da su zadržavanje i ciljano pribavljanje podataka o komunikacijama dostupni nacionalnim sigurnosnim agencijama i određenim tijelima kaznenog progona (315). Uvjeti za zahtijevanje zadržavanja i/ili pribavljanja podataka o komunikacijama mogu se razlikovati ovisno o razlozima za traženje mjere, odnosno traži li se mjera za potrebe nacionalne sigurnosti ili kaznenog progona.

(202)

Konkretno, iako je novim sustavom uveden opći zahtjev za ex ante odobrenje neovisnog tijela koje će se primjenjivati u svim slučajevima u kojima se podaci o komunikacijama zadržavaju i/ili pribavljaju (za potrebe kaznenog progona ili nacionalne sigurnosti), nakon presude Suda EU-a u predmetu Tele2/Watson (316) uvedene su posebne zaštitne mjere ako se mjera zahtijeva za potrebe kaznenog progona. Točnije, kad se zadržavanje ili pribavljanje podataka o komunikacijama traži za potrebe kaznenog progona, ex ante odobrenje uvijek mora izdati povjerenik za istražne ovlasti. To nije uvijek slučaj ako se mjera zahtijeva radi nacionalne sigurnosti jer, kako je opisano u nastavku, u određenim slučajevima takvu vrstu mjera može odobriti drugi „izdavatelj odobrenja”. Osim toga, novim sustavom uveden je prag za „teška kaznena djela” za koje se može dopustiti zadržavanje i pribavljanje podataka o komunikacijama (317).

(203)

U skladu s dijelom 3. IPA-e iz 2016. relevantna tijela javne vlasti ovlaštena su za prikupljanje podataka o komunikacijama od telekomunikacijskog operatera ili bilo koje osobe koja može prikupiti i otkriti takve podatke. U odobrenju se ne smije dopustiti presretanje sadržaja komunikacije (318), a prestaje važiti nakon mjesec dana (319) s mogućnošću produljenja uz dodatno odobrenje (320). Za pribavljanje podataka o komunikacijama potrebno je odobrenje povjerenika za istražne ovlasti (IPC) (321) (o statusu i ovlastima IPC-a vidjeti uvodne izjave 250. i 251. u nastavku). To je uvijek slučaj kad pribavljanje podataka o komunikacijama zahtijeva relevantno tijelo kaznenog progona. Međutim, u skladu s člankom 61. IPA-e iz 2016. ako se podaci prikupljaju radi interesa nacionalne sigurnosti ili gospodarske dobrobiti Ujedinjene Kraljevine sve dok je to relevantno za nacionalnu sigurnost ili ako zahtjev podnosi član obavještajne agencije na temelju članka 61. stavka 7. točke (b) (322), pribavljanje može odobriti (323) IPC ili imenovani viši službenik (324). Imenovani službenik mora biti neovisan u odnosu na predmetnu istragu ili operaciju te mora imati praktično znanje o načelima i zakonodavstvu o ljudskim pravima, posebno o nužnosti i proporcionalnosti (325). Odluka koju donosi imenovani službenik podliježe ex post nadzoru IPC-a (za više pojedinosti o funkcijama ex post nadzora IPC-a vidjeti uvodnu izjavu 254.).

(204)

Odobrenje za pribavljanje podataka o komunikacijama temelji se na procjeni nužnosti i proporcionalnosti mjere. Konkretnije, nužnost mjere procjenjuje se s obzirom na osnove navedene u zakonodavstvu (326). Uzimajući u obzir ciljanu prirodu te mjere, ona mora biti nužna i za konkretnu istragu ili operaciju (327). Daljnji zahtjevi u pogledu procjene nužnosti mjera utvrđeni su u Kodeksu dobre prakse za podatke o komunikacijama (328). Tim se Kodeksom posebno predviđa da bi u zahtjevu koji je podnijelo tijelo podnositelj zahtjeva trebalo utvrditi tri minimalna elementa koja opravdavaju nužnost takvog zahtjeva: i. događaj koji se istražuje kao što je kazneno djelo ili lokacija ranjive nestale osobe; ii. osoba čiji se podaci traže, kao što je osumnjičenik, svjedok ili nestala osoba, i kako je ta osoba povezana s događajem; i iii. tražene podatke o komunikacijama, kao što su telefonski broj ili IP adresa, i kako su ti podaci povezani s osobom i događajem (329).

(205)

Osim toga, pribavljanje podataka o komunikacijama trebalo bi biti proporcionalno onome što se nastoji postići (330). U Kodeksu dobre prakse za podatke o komunikacijama pojašnjava se da bi pri provedbi takve procjene izdavatelj odobrenja trebao uspostaviti ravnotežu između „opsega zadiranja u prava i slobode pojedinca i posebne koristi za istragu ili operaciju koju provodi relevantno tijelo javne vlasti u javnom interesu” i da, uzimajući u obzir sva razmatranja pojedinog slučaja, „ozbiljan negativni učinak na prava druge osobe ili skupine osoba možda još uvijek nije opravdanje za zadiranje u prava pojedinca”. Nadalje, kako bi se konkretno procijenila proporcionalnost mjere, u Kodeksu se navodi niz elemenata koje treba uključiti u zahtjev koji podnosi tijelo podnositelj zahtjeva (331). Nadalje, posebnu pozornost treba obratiti na vrstu podataka o komunikacijama (podatke o „subjektu” ili „događaju” (332)) koji se trebaju pribaviti, a prednost se mora dati uporabi kategorije podataka koja manje zadire u privatnost (333). Kodeks dobre prakse za podatke o komunikacijama sadržava i posebne upute za odobrenja koja uključuju podatke o komunikacijama osoba određenih zanimanja (liječnici, odvjetnici, novinari, zastupnici u parlamentu ili svećenici) (334) koja podliježu dodatnim zaštitnim mjerama (335).

(206)

U dijelu 4. IPA-e iz 2016. utvrđuju se pravila za zadržavanje podataka o komunikacijama, a posebno kriteriji kojima se ministru omogućuje izdavanje zahtjeva za zadržavanje (336). Zaštitne mjere uvedene IPA-om iste su i u slučaju zadržavanja podataka za potrebe kaznenog progona ili u interesu nacionalne sigurnosti.

(207)

Cilj je izdavanja takvih zahtjeva za zadržavanje osigurati da telekomunikacijski operateri u razdoblju od najviše 12 mjeseci zadrže relevantne podatke o komunikacijama koji bi inače bili izbrisani nakon što im više ne budu potrebni za poslovanje (337). Zadržani podaci trebaju ostati dostupni u traženom roku jer bi kasnije mogli biti potrebni tijelu javne vlasti na temelju odobrenja za ciljano pribavljanje podataka o komunikacijama koje je predviđeno u dijelu 3. IPA-e iz 2016. i opisano u uvodnim izjavama od 203. do 205.

(208)

Izvršavanje ovlasti zahtijevanja zadržavanja određenih podataka podliježe nizu ograničenja i zaštitnih mjera. Ministar može izdati zahtjev za zadržavanje jednom operateru ili više njih (338) samo ako smatra da je potreba za zadržavanjem podataka nužna na temelju jedne od propisanih svrha (339) i ako je proporcionalan onome što se nastoji postići (340). Kako je pojašnjeno u samoj IPA-i iz 2016. (341), prije izdavanja zahtjeva za zadržavanje ministar mora uzeti u obzir: vjerojatne koristi od tog zahtjeva (342), opis telekomunikacijskih usluga, primjerenost ograničavanja podataka koji se zadržavaju navođenjem lokacije ili opisa osoba kojima su pružene telekomunikacijske usluge (343), mogući broj korisnika (ako su poznati) bilo koje telekomunikacijske usluge na koje se zahtjev odnosi (344), tehničku izvedivost ispunjavanja zahtjeva, vjerojatan trošak ispunjavanja zahtjeva, kao i svaki drugi učinak zahtjeva na telekomunikacijskog operatera (ili opis operatera) na kojeg se odnosi (345). Kako je detaljnije opisano u poglavlju 17. Kodeksa dobre prakse za podatke o komunikacijama, u svim zahtjevima za zadržavanje treba navesti svaku vrstu podataka koju je potrebno zadržati i kako ta vrsta podataka ispunjava ispitne zahtjeve za zadržavanje.

(209)

U svim slučajevima (za potrebe nacionalne sigurnosti i kaznenog progona) odluku ministra o izdavanju zahtjeva za zadržavanje mora odobriti neovisni pravosudni povjerenik u okviru takozvanog „postupka dvostruke zaštite”, koji mora posebno preispitati je li zahtjev za zadržavanje relevantnih podataka o komunikacijama nužan i proporcionalan za jednu ili više propisanih svrha (346).

(210)

Ometanje opreme sastoji se od niza tehnika korištenih za dobivanje različitih podataka s opreme (347), što uključuje računala, tablete i pametne telefone te kabele, žice i uređaje za pohranu (348). Ometanjem opreme omogućuje se prikupljanje sadržaja komunikacija i podataka o opremi (349).

(211)

U skladu s člankom 13. stavkom 1. IPA-e iz 2016. kako bi obavještajna služba mogla koristiti ometanje opreme, mora dobiti odobrenje na temelju naloga u okviru postupka „dvostruke zaštite” koji je uspostavljen IPA-om iz 2016. pod uvjetom da postoji „poveznica s Britanskim otocima” (350). U skladu s objašnjenjima tijela Ujedinjene Kraljevine, u situacijama u kojima se podaci prenose iz Europske unije u Ujedinjenu Kraljevinu u okviru područja primjene ove Odluke uvijek bi trebala postojati „poveznica s Britanskim otocima” te bi svako ometanje opreme koje obuhvaća takve podatke stoga bilo podložno obveznom zahtjevu za izdavanje naloga iz članka 13. stavka 1. IPA-e iz 2016. (351)

(212)

Pravila o nalozima za ciljano ometanje opreme navedena su u dijelu 5. IPA-e iz 2016. Slično ciljanom presretanju, ciljano ometanje opreme mora se odnositi na određeni „cilj” koji se mora navesti u nalogu (352). Pojedinosti o tome kako treba odrediti „cilj” ovise o pitanju i vrsti opreme koja će se ometati. U članku 115. stavku 3. IPA-e navode se elementi koje bi trebalo navesti u nalogu (npr. ime osobe ili organizacije, opis lokacije), ovisno primjerice o tome odnosi li se ometanje na opremu koja pripada određenoj osobi ili organizaciji ili skupini osoba ili je te osobe ili organizacije koriste ili je u njihovu posjedu, nalazi se na određenoj lokaciji itd. (353) Svrha za koju se mogu izdati nalozi za ciljano ometanje opreme ovisi o tijelu javne vlasti koje podnosi zahtjev za nalog (354).

(213)

Slično kao i za ciljano presretanje, tijelo koje izdaje nalog mora razmotriti je li mjera nužna za postizanje određene svrhe i je li proporcionalna onome što se nastoji postići (355). Osim toga, trebalo bi razmotriti postoje li zaštitne mjere u pogledu sigurnosti, zadržavanja i otkrivanja kao i u pogledu „otkrivanja stranim tijelima” (356) (vidjeti uvodnu izjavu 196.).

(214)

Nalog mora odobriti pravosudni povjerenik, osim u hitnim slučajevima (357). U potonjem slučaju pravosudnog povjerenika potrebno je obavijestiti da je izdan nalog i on ga mora odobriti u roku od tri radna dana. Ako pravosudni povjerenik odbije odobriti nalog, taj nalog prestaje važiti i nije ga moguće produljiti (358). Osim toga, pravosudni povjerenik ima ovlast zahtijevati da se svi podaci koji su prikupljeni na temelju naloga izbrišu (359). Činjenica da je nalog hitno izdan ne utječe na ex post nadzor (vidjeti uvodne izjave od 244. do 255.) niti na mogućnosti pojedinaca da traže sudsku zaštitu (vidjeti uvodne izjave od 260. do 270.). Pojedinci se mogu žaliti ICO-u ili podnijeti pritužbu na neko navodno postupanje Sudu za istražne ovlasti na uobičajeni način. U svim slučajevima provjera koju provodi pravosudni povjerenik kad odlučuje o tome hoće li odobriti nalog jest provjera nužnosti i proporcionalnosti koja se primjenjuje na zahtjeve za ciljano presretanje (360) (vidjeti prethodnu uvodnu izjavu 192.).

(215)

Naposljetku, posebne zaštitne mjere primjenjive na ciljano presretanje informacija koje podliježu obvezi čuvanja povjerljivosti i novinarskih materijala (više pojedinosti vidjeti u uvodnoj izjavi 193.) primjenjuju se i na ometanje opreme u pogledu trajanja, produljenja i izmjene naloga te na presretanje komunikacije zastupnika u Parlamentu.

(216)

Masovne ovlasti uređene su u dijelu 6. IPA-e iz 2016. Osim toga, u kodeksima dobre prakse predviđa se više pojedinosti o upotrebi masovnih ovlasti. Iako „masovne ovlasti” nisu definirane u zakonodavstvu Ujedinjene Kraljevine, u kontekstu IPA-e iz 2016. taj je pojam opisan kao prikupljanje i zadržavanje velikih količina podataka koje je vlada prikupila na različite načine (tj. ovlasti za masovno presretanje, masovno pribavljanje, masovno ometanje opreme i masovni skupovi osobnih podataka) kojima zatim mogu pristupiti tijela. Taj je opis pojašnjen u odnosu na ono što nije „masovna ovlast”, odnosno to nije isto što i takozvani „masovni nadzor” bez ograničenja ili zaštitnih mjera. Naprotiv, kako je objašnjeno u nastavku, uključuje ograničenja i zaštitne mjere osmišljene kako bi se osiguralo da se pristup podacima ne omogućava na neselektivnoj ili neopravdanoj osnovi (361). Konkretnije, masovne ovlasti mogu se koristiti samo ako se uspostavi veza između tehničke mjere koju nacionalna obavještajna agencija namjerava koristiti i operativnih ciljeva za koje se takva mjera traži.

(217)

Nadalje, masovne ovlasti dostupne su samo obavještajnim agencijama i uvijek podliježu nalogu koji izdaje ministar i odobrava pravosudni povjerenik. Pri odabiru sredstava za prikupljanje obavještajnih podataka potrebno je razmotriti može li se predmetni cilj ostvariti „manje nametljivim sredstvima” (362). Taj pristup proizlazi iz okvira zakonodavstva koji se temelji na načelu proporcionalnosti i u okviru kojeg ciljano prikupljanje ima prednost u odnosu na masovno.

(218)

Sustav za masovno presretanje utvrđuje se u poglavlju 1. dijela 6. IPA-e iz 2016., dok se u poglavlju 3. istog dijela uređuje masovno ometanje opreme. Budući da su ti sustavi u znatnoj mjeri jednaki, uvjeti i dodatne zaštitne mjere koji se primjenjuju na te naloge analizirani su zajedno.

(219)

Nalog za masovno presretanje ograničen je na presretanje komunikacija pri njihovu prijenosu koje šalju ili primaju osobe izvan Britanskih otoka (363), takozvane „komunikacije povezane s inozemstvom” (364), te drugih relevantnih podataka i kasniji odabir presretnutog materijala za pregled (365). Nalogom za masovno ometanje opreme (366) adresat se ovlašćuje za ometanje opreme radi prikupljanja podataka o komunikacijama povezanima s inozemstvom (uključujući sve elemente govora, glazbe, zvuka, vizualne slike ili podatke bilo kojeg opisa), podataka o opremi (podaci kojima se omogućuje ili olakšava rad poštanske službe, telekomunikacijskog sustava, telekomunikacijske usluge) ili drugih informacija (367).

(220)

Ministar može izdati masovni nalog samo na zahtjev voditelja obavještajne službe (368). Nalog kojim se odobrava masovno presretanje ili masovno ometanje opreme mora se izdati samo ako je to potrebno radi interesa nacionalne sigurnosti te u svrhu sprečavanja ili otkrivanja teških kaznenih djela ili u interesu gospodarske dobrobiti Ujedinjene Kraljevine kad je to relevantno za nacionalnu sigurnost (369). Nadalje, u članku 142. stavku 7. IPA-e iz 2016. zahtijeva se da u nalogu za masovno presretanje mora biti navedeno više pojedinosti od pukog upućivanja na „interese nacionalne sigurnosti”, „gospodarsku dobrobit Ujedinjene Kraljevine” i „sprečavanje i suzbijanje teških kaznenih djela”, ali se mora uspostaviti veza između mjere koja se traži i jedne ili više operativnih svrha koje se moraju navesti u nalogu.

(221)

Odabir operativne svrhe rezultat je višeslojnog procesa. U članku 142. stavku 4. predviđeno je da operativne svrhe navedene u nalogu moraju na popisu koji vode voditelji obavještajnih službi biti utvrđene kao svrhe koje oni smatraju operativnim svrhama za koje se presretnuti sadržaj ili sekundarni podaci dobiveni na temelju naloga za masovno presretanje mogu odabrati za pregled. Popis operativnih svrha mora odobriti ministar. Ministar može dati takvo odobrenje samo ako se uvjeri da je operativna svrha opisana detaljnije od opće osnove za odobravanje naloga (nacionalna sigurnost i nacionalna sigurnost ili gospodarska dobrobit ili sprečavanje teških kaznenih djela) (370). Na kraju svakog relevantnog tromjesečnog razdoblja ministar mora dostaviti primjerak popisa operativnih svrha parlamentarnom Odboru za obavještajne poslove i sigurnost. Naposljetku, predsjednik Vlade mora preispitati popis operativnih svrha najmanje jednom godišnje (371). Kao što je istaknuo Visoki sud, „[o]ne se ne trebaju smatrati neznatnim zaštitnim mjerama jer zajedno čine složeni skup odgovornosti, koje uključuju Parlament i članove vlade na najvišoj razini” (372).

(222)

Takvim se operativnim svrhama ujedno ograničava opseg odabira materijala za presretanje za fazu pregleda. Odabir svih materijala za pregled prikupljenih na temelju masovnog naloga mora biti opravdan s obzirom na jednu ili više operativnih svrha. Tijela Ujedinjene Kraljevine objasnila su da to znači da ministar već u fazi izdavanja naloga mora ocijeniti praktične postupke za pregled te pritom navesti dovoljno pojedinosti kako bi ispunio zakonske dužnosti iz članaka 152. i 193. IPA-e iz 2016. (373) Pojedinosti o tim postupcima koje se dostavljaju ministru trebale bi uključivati, na primjer, informacije (ako je primjenjivo) o načinu na koji postupci za filtriranje mogu varirati u razdoblju u kojem će nalog biti valjan (374). Za više pojedinosti o postupku i zaštitnim mjerama koje se primjenjuju u fazama filtriranja i pregleda vidjeti uvodnu izjavu 229.

(223)

Masovna ovlast može se odobriti samo ako je proporcionalna onome što se nastoji postići (375). Kako je navedeno u Kodeksu dobre prakse za presretanje, svaka ocjena proporcionalnosti uključuje „postizanje ravnoteže između zadiranja u privatnost (i druga razmatranja navedena u članku 2. stavku 2.) i potrebe za aktivnošću u istražnom, operativnom smislu ili smislu tehničkih sposobnosti. Odobreni postupak trebao bi pružiti realne izglede za ostvarivanje očekivane koristi i ne bi trebao biti neproporcionalan ili proizvoljan” (376). Kao što je već navedeno, to u praksi znači da se provjera proporcionalnosti temelji na testu ravnoteže između onoga što se nastoji postići („operativne svrhe”) i dostupnih tehničkih opcija (npr. ciljano ili masovno presretanje, ometanje opreme, pribavljanje podataka o komunikacijama), čime se daje prednost najmanje nametljivim sredstvima (vidjeti uvodne izjave 181. i 182.). Ako se cilj može ostvariti s više različitih mjera, prednost se mora dati manje nametljivim sredstvima.

(224)

Dodatna zaštitna mjera za ocjenu proporcionalnosti zatražene mjere osigurava se činjenicom da ministar mora dobiti relevantne informacije potrebne za pravilnu procjenu. Konkretno, u Kodeksu dobre prakse za presretanje i Kodeksu dobre prakse za ometanje opreme zahtijeva se da bi u zahtjevu koji podnosi relevantno tijelo trebalo navesti kontekst zahtjeva, opis komunikacija koje treba presresti i telekomunikacijske operatore čija se pomoć traži, opis postupka koji treba odobriti, operativne svrhe te objašnjenje o tome zašto je postupak nužan i proporcionalan (377).

(225)

Naposljetku je važno istaknuti da odluku ministra o izdavanju naloga mora odobriti neovisni pravosudni povjerenik koji ocjenjuje evaluaciju nužnosti i proporcionalnosti predložene mjere primjenom istih načela kojima bi se koristio sud u zahtjevu za sudsko preispitivanje (378). Konkretnije, pravosudni povjerenik preispitat će zaključke ministra o tome je li nalog nužan te je li postupak proporcionalan u skladu s načelima utvrđenima u članku 2. stavku 2. IPA-e iz 2016. (opće obveze povezane s privatnošću). Pravosudni povjerenik ujedno će preispitati zaključke ministra o tome je li svaka od operativnih svrha navedenih u nalogu svrha za koju je potreban ili može biti potreban odabir. Ako pravosudni povjerenik odbije odobriti odluku o izdavanju naloga, ministar može: i. prihvatiti tu odluku i na temelju toga ne izdati nalog; ili ii. uputiti predmet na odlučivanje povjereniku za istražne ovlasti (osim ako je povjerenik za istražne ovlasti taj koji je donio prvotnu odluku) (379).

(226)

IPA-om iz 2016. uvedena su dodatna ograničenja u pogledu trajanja, produljenja i izmjene masovnog naloga. Nalog mora trajati najviše šest mjeseci, a pravosudni povjerenik mora odobriti i svaku odluku o produljenju ili izmjeni (osim manjih izmjena) naloga (380). U Kodeksu dobre prakse za presretanju i Kodeksu dobre prakse za ometanje opreme posebno se navodi da se promjena operativnih svrha naloga smatra znatnom izmjenom naloga (381).

(227)

Slično kao što je propisano za ciljano presretanje, u dijelu 6. IPA-e iz 2016. predviđa se da ministar mora osigurati da su uspostavljeni mehanizmi za pružanje zaštitnih mjera u pogledu zadržavanja i otkrivanja materijala dobivenog na temelju naloga (382) i za otkrivanje stranim tijelima (383). Konkretno, člankom 150. stavkom 5. i člankom 191. stavkom 5. IPA-e iz 2016. zahtijeva se da se svaki primjerak materijala prikupljenoga na temelju naloga mora pohraniti na siguran način i uništiti čim više ne budu postojali relevantni razlozi za njegovo zadržavanje, dok se člankom 150. stavkom 2. i člankom 191. stavkom 2. zahtijeva da se broj osoba kojima se materijal otkriva i opseg otkrivanja, stavljanja na raspolaganje ili kopiranja tog materijala mora ograničiti na minimum koji je potreban za propisane svrhe (384).

(228)

Naposljetku, kad se materijal koji je presretnut masovnim presretanjem ili masovnim ometanjem opreme prosljeđuje trećoj zemlji („otkrivanje stranim tijelima”), IPA-om iz 2016. predviđa se da ministar mora osigurati da su uspostavljeni odgovarajući dogovori kojima se jamči da u toj trećoj zemlji postoje slične zaštitne mjere u pogledu sigurnosti, zadržavanja i otkrivanja (385). Osim toga, člankom 109. DPA-a iz 2018. utvrđeni su posebni zahtjevi za međunarodne prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji koje vrše obavještajne službe te se ne dopušta prijenos podataka zemlji ili području izvan Ujedinjene Kraljevine ili međunarodnoj organizaciji, osim ako je prijenos nužan i proporcionalan za svrhu zakonom propisanih funkcija voditelja obrade ili druge svrhe predviđene u članku 2. stavku 2. točki (a) Zakona o sigurnosnim službama iz 1989. ili članku 2. stavku 2. točki (a) i članku 4. stavku 2. točki (a) Zakona o obavještajnim službama iz 1994. (386) Važno je napomenuti da se ti zahtjevi primjenjuju i u slučajevima u kojima se poziva na izuzeće radi nacionalne sigurnosti u skladu s člankom 110. DPA-a iz 2018. jer se u članku 110. DPA-a iz 2018. ne navodi da je članak 109. DPA-a iz 2018. jedna od odredbi koje se mogu izuzeti od primjene ako se u svrhu zaštite nacionalne sigurnosti zahtijeva izuzeće od određenih odredbi.

(229)

Nakon što se nalog odobri i podaci se masovno prikupe, ti se podaci prije pregleda moraju odabrati. Faza odabira i pregleda podliježe dodatnoj provjeri proporcionalnosti koju provodi analitičar koji na temelju operativnih svrha navedenih u nalogu (i mogućih postojećih mehanizama filtriranja) definira kriterije odabira. Kako je predviđeno člancima 152. i 193. IPA-e, pri izdavanju naloga ministar mora osigurati da su uspostavljena rješenja kojima se jamči da se odabir materijala provodi isključivo za određene operativne svrhe i da je nužan i proporcionalan u svim okolnostima. Tijela Ujedinjene Kraljevine u tom su pogledu objasnila da se materijal koji se masovno presreće odabire prije svega automatskim filtriranjem kako bi se odbacili podaci za koje nije vjerojatno da su značajni za nacionalne sigurnosne interese. Filtri će se s vremena na vrijeme mijenjati (s obzirom na promjenu modela, vrsta i protokola internetskog prometa) te će ovisiti o tehnologiji i operativnom kontekstu. Nakon te faze podaci se mogu odabrati za pregled samo ako su relevantni za operativne svrhe navedene u nalogu (387). Zaštitne mjere predviđene IPA-om iz 2016. za pregled prikupljenog materijala primjenjuju se na bilo koju vrstu podataka (presretani sadržaj i sekundarni podaci) (388). U člancima 152. i 193. IPA-e iz 2016. predviđena je i opća zabrana odabira materijala za pregled koji se odnosi na razgovore koje su poslale osobe koje se nalaze na Britanskim otocima ili koji su namijenjeni tim osobama. Ako tijela žele pregledati takav materijal, podnose zahtjev za izdavanje naloga za ciljani pregled na temelju dijela 2. i dijela 4. IPA-e iz 2016. koji izdaje ministar i odobrava pravosudni povjerenik (389). Ako osoba za pregled namjerno odabere presretnuti sadržaj u suprotnosti sa zahtjevima iz zakonodavstva (390), ona čini kazneno djelo (391).

(230)

Ocjena koju provodi analitičar u vezi s odabirom materijala podliježe ex post nadzoru IPC-a koji ocjenjuje usklađenost s posebnim zaštitnim mjerama iz IPA-e iz 2016. za fazu pregleda (392) (vidjeti i uvodnu izjavu 229.). IPC mora preispitivati (među ostalim u okviru revizije, inspekcije i istrage) način na koji tijela javne vlasti izvršavaju ovlasti utvrđene u IPA-i iz 2016. (393) U Kodeksu dobre prakse za presretanje i Kodeksu dobre prakse za ometanje opreme u tom se pogledu pojašnjava da agencija mora voditi evidenciju radi naknadnih provjera i revizija, a u njoj se mora navesti zašto je pristup ovlaštenih osoba materijalu nužan i proporcionalan te primjenjive operativne svrhe (394). Na primjer, u Godišnjem izvješću za 2018. Ureda povjerenika za istražne ovlasti (IPCO) (395) zaključeno je da obrazloženja koja su analitičari naveli za pregled određenog masovno prikupljenog materijala zadovoljavaju traženi standard proporcionalnosti jer su naveli dostatne pojedinosti o razlozima svojih „pretraživanja” u odnosu na svrhu koju treba ostvariti (396). U svojem izvješću za 2019. IPCO je, u odnosu na masovne ovlasti, jasno izrazio namjeru da nastavi s inspekcijama masovnih presretanja, uključujući detaljan pregled selektora i kriterija pretraživanja (397). Ujedno će pri razmatranju zahtjeva za izdavanje naloga nastaviti pažljivo kontrolirati u svakom pojedinačnom slučaju izbor mjera nadzora (ciljane u odnosu na masovne) u okviru postupka dvostruke zaštite i pri provedbi inspekcija (398). To daljnje praćenje propisno će se uzeti u obzir u kontekstu praćenja Komisije povezanoga s ovom Odlukom iz uvodnih izjava od 281. do 284.

(231)

U poglavlju 2. dijela 6. IPA-e iz 2016. uređuju se nalozi za masovno prikupljanje kojima se adresat ovlašćuje da od telekomunikacijskog operatera zahtijeva da otkrije ili pribavi podatke o komunikacijama kojima raspolaže. Tim nalozima tijelo koje podnosi zahtjev ovlašćuje se i da odabere podatke za daljnju fazu pregleda. Jednako kao i u slučaju ciljanog zadržavanja i pribavljanja podataka o komunikacijama (vidjeti uvodnu izjavu 199.), masovno pribavljanje podataka o komunikacijama obično se ne odnosi na osobne podatke ispitanika iz EU-a koji se u skladu s ovom Odlukom prenose u Ujedinjenu Kraljevinu. Obveza otkrivanja podataka o komunikacijama u skladu s poglavljem 2. dijela 6. IPA-e iz 2016. obuhvaća podatke koje su prikupili telekomunikacijski operateri u Ujedinjenoj Kraljevini izravno od korisnika telekomunikacijske usluge (399). Ta vrsta obrade „u izravnom kontaktu s klijentom” obično ne uključuje prijenos na temelju ove Odluke, tj. prijenos od voditelja obrade/izvršitelja obrade u EU-u voditelju obrade/izvršitelju obrade u Ujedinjenoj Kraljevini.

(232)

Međutim, radi potpunosti, u nastavku su opisani uvjeti i zaštitne mjere kojima se uređuje pribavljanje masovnih podataka o komunikacijama.

(233)

IPA-om iz 2016. zamjenjuje se zakonodavstvo o pribavljanju masovnih podataka o komunikacijama koje je predmet presude Suda Europske unije u predmetu Privacy International. Zakonodavstvo o kojem je riječ u tom predmetu stavljeno je izvan snage, a novim se sustavom predviđaju posebni uvjeti i zaštitne mjere u okviru kojih se takva mjera može odobriti.

(234)

Konkretnije, za razliku od prethodnog sustava na temelju kojeg je ministar imao pune diskrecijske ovlasti za odobravanje mjere (400) IPA-om iz 2016. zahtijeva se da ministar izdaje nalog samo ako je mjera nužna i proporcionalna. To u praksi znači da bi trebala postojati veza između pristupa podacima i cilja koji se želi postići (401). Točnije, ministar će morati ocijeniti postoji li veza između zatražene mjere i jedne ili više „operativnih svrha” navedenih u nalogu (vidjeti uvodnu izjavu 219.) u pogledu ocjene proporcionalnosti; u odgovarajućem kodeksu dobre prakse navodi se da „ministar mora uzeti u obzir je li se ono što se nastoji postići nalogom moglo razumno ostvariti drugim manje nametljivim sredstvima (članak 2. stavak 2. točka (a) Zakona). Na primjer, dobivanje potrebnih informacija s pomoću manje nametljivih ovlasti kao što je ciljano pribavljanje podataka o komunikacijama” (402).

(235)

Ministar će takvu ocjenu provesti na temelju informacija koje su voditelji obavještajnih službi (403) dužni dostaviti u svojem zahtjevu, kao što su razlozi zbog kojih se mjera smatra nužnom na temelju jedne od zakonskih osnova i razlozi zbog kojih se ono što se nastoji postići nije moglo razumno ostvariti drugim manje nametljivim sredstvima (404). Nadalje, operativnim svrhama ograničava se opseg za koji se podaci prikupljeni na temelju naloga mogu odabrati za pregled (405). Kako je navedeno u relevantnom kodeksu dobre prakse, u operativnim svrhama mora biti naveden jasan zahtjev te one moraju sadržavati dovoljno pojedinosti kako bi se ministar uvjerio da se pribavljeni podaci mogu odabrati za pregled samo za određene razloge (406). Ministar će zapravo prije odobravanja naloga morati osigurati da postoje posebni postupci kojima se osigurava da je za pregled odabran samo onaj materijal koji se smatra potrebnim za pregled za operativnu i zakonski propisanu svrhu i da su ti postupci proporcionalni i nužni u svim okolnostima. Taj posebni zahtjev, koji se odražava u člancima 158. i 172. (407) IPA-e iz 2016., u pogledu prethodne procjene nužnosti i proporcionalnosti kriterija koji se upotrebljavaju u svrhe odabira još je jedna važna novost sustava uvedenog IPA-om iz 2016. u usporedbi s prethodnim sustavom.

(236)

IPA-om iz 2016. uvedena je i obveza da ministar osigura, prije nego što izda nalog za masovno pribavljanje podataka o komunikacijama, da postoje posebna ograničenja u pogledu sigurnosti, zadržavanja i otkrivanja prikupljenih osobnih podataka (408). U slučaju otkrivanja stranim tijelima zaštitne mjere opisane u uvodnoj izjavi 227. za masovno presretanje i masovno ometanje opreme primjenjuju se i u ovom kontekstu (409). Dodatna ograničenja uspostavljena su u zakonodavstvu o trajanju (410), produljenju (411) i izmjeni masovnih naloga (412).

(237)

Važno je napomenuti da, kao i za ostale masovne ovlasti, prije izdavanja naloga ministar mora dobiti odobrenje pravosudnog povjerenika (413). To je ključna značajka sustava uspostavljenog IPA-om iz 2016.

(238)

IPC provodi ex post nadzor nad postupkom ispitivanja masovno pribavljenog materijala (podataka o komunikacijama) (vidjeti uvodnu izjavu 254. u nastavku). U tom pogledu IPA-om iz 2016. uveden je zahtjev da obavještajni analitičar koji provodi pregled mora prije odabira podataka za pregled zabilježiti zašto je predloženi pregled nužan i proporcionalan za određenu operativnu svrhu (414). U godišnjem izvješću IPCO-a za 2019. utvrđeno je u pogledu aktivnosti GCHQ-a i službe MI5, da je „ključna uloga masovnih podataka o komunikacijama za niz aktivnosti koje je proveo GCHQ bila dobro obrazložena u predmetima koje smo pregledali. Uzeli smo u obzir prirodu traženih podataka i navedene zahtjeve obavještajnih službi te smo bili zadovoljni time što je dokumentacija pokazala da je njihov pristup nužan i proporcionalan (415). Obrazloženja koje je naveo MI5 su bila prikladna te su zadovoljila načela nužnosti i proporcionalnosti” (416).

(239)

Nalozi za prikupljanje masovnih skupova osobnih podataka (bulk personal dataset, BPD) (417) ovlašćuju obavještajne agencije za zadržavanje i pregled skupova podataka koji sadržavaju osobne podatke koji se odnose na više pojedinaca. U skladu s objašnjenjima tijela Ujedinjene Kraljevine analiza tih skupova podataka može biti „jedini način da obavještajna zajednica Ujedinjene Kraljevine provede istrage i identificira teroriste na temelju vrlo ograničenih početnih obavještajnih informacija ili ako oni namjerno prikrivaju svoje komunikacije” (418). Postoje dvije vrste naloga: „nalozi za razred BPD-a” (419) koji se odnose na određenu kategoriju skupova podataka, tj. skupove podataka sličnog sadržaja i predložene uporabe u pogledu kojih se postavljaju slična pitanja, primjerice o razini zadiranja u privatnost i osjetljivosti te proporcionalnosti upotrebe podataka, te tako omogućuju ministru da razmotri nužnost i proporcionalnost pribavljanja podataka iz relevantnog razreda odjednom. Na primjer, u nalogu za razred BPD-a mogu se obuhvatiti skupovi podataka o putovanjima koji se odnose na slične rute (420). Za razliku od toga, „nalog za određeni BPD” (421) odnosi se na jedan konkretan skup podataka, kao što je skup novih ili neuobičajenih vrsta informacija koje nisu obuhvaćene postojećim nalogom za razred BPD-a, ili na skup podataka koji se odnosi na određene vrste osobnih podataka (422) i stoga su potrebne dodatne zaštitne mjere (423). Odredbama IPA-e iz 2016. koje se odnose na BPD-ove omogućuje se ispitivanje i zadržavanje takvih skupova podataka samo ako je to nužno i proporcionalno (424) i u skladu s općim obvezama koje se odnose na privatnost (425).

(240)

Ovlast za izdavanje naloga za BPD podložna je postupku „dvostruke zaštite”, što znači da procjenu nužnosti i proporcionalnosti mjere prvo provodi ministar, a zatim pravosudni povjerenik (426). Od ministra se zahtijeva da uzme u obzir prirodu i opseg tražene vrste naloga, kategoriju predmetnih podataka i broj masovnih skupova osobnih podataka koji će vjerojatno biti obuhvaćeni određenom vrstom naloga (427). Osim toga, kako je utvrđeno u Kodeksu dobre prakse za zadržavanje i korištenje masovnih skupova osobnih podataka u obavještajnim službama, potrebno je voditi detaljnu evidenciju koja je podložna reviziji IPC-a (428). Zadržavanje i pregled BPD-a izvan granica IPA-e iz 2016. kazneno je djelo (429).

(241)

Osobni podaci koji se obrađuju na temelju dijela 4. DPA-a iz 2018. ne smiju se obrađivati na način koji nije u skladu sa svrhom za koju su prikupljeni (430). DPA-om iz 2018. predviđa se da voditelj obrade može obrađivati podatke u drugu svrhu koja se razlikuje od one za koju su podaci prikupljeni ako je u skladu s izvornom svrhom i pod uvjetom da je voditelj obrade zakonski ovlašten obrađivati podatke te da je obrada nužna i proporcionalna (431). Nadalje, Zakonom o sigurnosnim službama iz 1989. i Zakonom o obavještajnim službama iz 1994. utvrđeno je da su voditelji obavještajnih agencija dužni osigurati da se nikakvi podaci ne prikupljaju ili otkrivaju osim u mjeri u kojoj je to potrebno za pravilno obavljanje funkcija agencije ili za druge ograničene i posebne svrhe navedene u relevantnim odredbama (432).

(242)

Osim toga, u članku 109. DPA-a iz 2018. utvrđeni su posebni zahtjevi za međunarodne prijenose osobnih podataka koje obavještajne službe prenose trećim zemljama ili međunarodnim organizacijama. U skladu s tom odredbom ne dopušta se prijenos osobnih podataka zemlji ili području izvan Ujedinjene Kraljevine ili međunarodnoj organizaciji, osim ako je prijenos nužan i proporcionalan za svrhu zakonom propisanih funkcija voditelja obrade ili druge svrhe predviđene u članku 2. stavku 2. točki (a) Zakona o sigurnosnim službama iz 1989. ili članku 2. stavku 2. točki (a) i članku 4. stavku 2. točki (a) Zakona o obavještajnim službama iz 1994. (433) Važno je napomenuti da se ti zahtjevi primjenjuju i u slučajevima u kojima se poziva na izuzeće radi nacionalne sigurnosti u skladu s člankom 110. DPA-a iz 2018. jer se u članku 110. DPA-a iz 2018. ne navodi da je članak 109. DPA-a iz 2018. jedna od odredbi koje se mogu izuzeti od primjene ako se u svrhu zaštite nacionalne sigurnosti zahtijeva izuzeće od određenih odredbi.

(243)

Štoviše, kako je ICO istaknuo u svojim smjernicama za obradu podatka koju provode obavještajne službe, uz zaštitne mjere predviđene dijelom 4. DPA-a iz 2018., i obavještajna agencija, kad dijeli podatke s obavještajnim tijelom treće zemlje, podliježe zaštitnim mjerama predviđenima drugim zakonodavnim mjerama koje se primjenjuju na ta tijela kako bi se osiguralo da se osobni podaci pribavljaju, dijele te da se s njima postupa na odgovoran i zakonit način (434). Primjerice, IPA-om iz 2016. utvrđuju se dodatne zaštitne mjere u pogledu prijenosa trećoj zemlji materijala prikupljenih ciljanim presretanjem (435), ciljanim ometanjem opreme (436), masovnim presretanjem (437), masovnim pribavljanjem podataka o komunikacijama (438) i masovnim ometanjem opreme (439) (tzv. „otkrivanja stranim tijelima”). Konkretno, tijelo koje izdaje nalog mora osigurati da postoje dogovori kojima se osigurava da treća zemlja koja prima podatke ograničava broj osoba kojima se otkriva materijal, opseg otkrivanja i broj primjeraka bilo kojeg materijala na minimum nužan za odobrene svrhe navedene u IPA-i iz 2016. (440)

(244)

Pristup vlade za potrebe nacionalne sigurnosti nadzire niz različitih tijela. Povjerenik za informiranje nadzire obradu osobnih podataka u smislu DPA-a iz 2018. (za više informacija o neovisnosti, imenovanju, ulozi i ovlastima povjerenika vidjeti uvodne izjave od 85. do 98.), dok neovisni i sudski nadzor nad primjenom istražnih ovlasti na temelju IPA-e iz 2016. osigurava IPC. IPC nadzire način na koji tijela za kazneni progon i tijela nacionalne sigurnosti primjenjuju istražne ovlasti iz IPA-e iz 2016. Politički nadzor osigurava Odbor Parlamenta za obavještajne službe.

(245)

Obradu osobnih podataka koju obavljaju obavještajne službe na temelju dijela 4. DPA-a iz 2018. nadzire Povjerenik za informiranje (441).

(246)

Opće funkcije povjerenika za informiranje u pogledu obrade osobnih podataka koju obavljaju obavještajne službe na temelju dijela 4. DPA-a iz 2018. utvrđene su u Prilogu 13. DPA-u iz 2018. Te zadaće obuhvaćaju, ali nisu ograničene na, praćenje i provedbu dijela 4. DPA-a iz 2018., promicanje javne svijesti, savjetovanje Parlamenta, vlade i drugih institucija o zakonodavnim i upravnim mjerama, informiranje voditelja obrade i izvršitelja obrade o njihovim obvezama, davanje informacija ispitanicima o ostvarivanju njihovih prava, provođenje istraga itd.

(247)

Povjerenik je, kao i za dio 3. DPA-a iz 2018., ovlašten obavijestiti voditelje obrade o navodnom kršenju pravila te izdavati upozorenja o tome da će se obradom vjerojatno prekršiti pravila i izdavati opomene u slučaju potvrde kršenja pravila. Može izdavati i zahtjeve za izvršenje i rješenja o kazni zbog kršenja određene odredbe zakona (442). Međutim, za razliku od situacije s drugim dijelovima DPA-a iz 2018., povjerenik ne može izdavati zahtjev za provjeru nacionalnom sigurnosnom tijelu (443).

(248)

Nadalje, u članku 110. DPA-a iz 2018. predviđa se iznimka od primjene određenih ovlasti povjerenika kad je to potrebno radi zaštite nacionalne sigurnosti. To uključuje ovlast povjerenika da izdaje zahtjeve i rješenja (bilo koje vrste) na temelju DPA-a (zahtjevi za dostavu informacija, provjeru i izvršenje te rješenja o kazni), ovlast provođenja inspekcija u skladu s međunarodnim obvezama, ovlasti ulaska i inspekcije te pravila o kaznenim djelima (444). Kako je objašnjeno u uvodnoj izjavi 126., te se iznimke primjenjuju samo ako je to nužno i proporcionalno te na pojedinačnoj osnovi.

(249)

ICO i obavještajne službe Ujedinjene Kraljevine potpisale su Memorandum o razumijevanju (445) kojim se uspostavlja okvir za suradnju u brojnim pitanjima, uključujući obavijesti o povredi podataka i postupanje s pritužbama ispitanika. Konkretno, njime se predviđa da će ICO nakon zaprimanja pritužbe provjeriti je li primjena izuzeća radi nacionalne sigurnosti odgovarajuća. Odgovore na upite ICO-a u kontekstu ispitivanja pojedinačnih pritužbi predmetna obavještajna agencija mora dati u roku od 20 radnih dana, koristeći odgovarajuće sigurne kanale ako odgovori uključuju klasificirane podatke. Od travnja 2018. do danas ICO je zaprimio 21 pritužbu koju su podnijeli pojedinci u pogledu rada obavještajnih službi. Svaka je pritužba provjerena te je ispitanik obaviješten o ishodu provjere (446).

(250)

U skladu s dijelom 8. IPA-e iz 2016. nadzor nad primjenom istražnih ovlasti vrši povjerenik za istražne ovlasti (IPC). IPC-u pomažu drugi pravosudni povjerenici koji se zajednički nazivaju pravosudni povjerenici (447). IPA-om iz 2016. utvrđena su jamstva koja štite neovisnost pravosudnih povjerenika. Pravosudni povjerenici moraju imati ili su prethodno morali imati visoki položaj u pravosuđu (tj. moraju biti ili su prethodno morali biti članovi najviših sudova) (448) i, kao sve pravosudno osoblje, neovisni su od Vlade (449). U skladu s člankom 227. IPA-e iz 2016. predsjednik Vlade je taj koji imenuje IPC-a i onoliko pravosudnih povjerenika koliko smatra potrebnim. Svi povjerenici, bilo da su oni sadašnje ili bivše pravosudno osoblje, mogu biti imenovani samo na temelju zajedničke preporuke triju predsjednika sudova za Englesku i Wales, Škotsku i Sjevernu Irsku i lorda kancelara (450) Ministar je dužan osigurati osoblje, prostore, opremu i druga sredstva i usluge IPC-u (451). Mandat povjerenika traje tri godine, a povjerenik može biti ponovno imenovan (452). Kako bi se dodatno zajamčila njihova neovisnost, pravosudni povjerenici mogu biti razriješeni dužnosti isključivo uz primjenu strogih uvjeta kojima se utvrđuje visok prag, odnosno može ih razriješiti predsjednik Vlade u posebnim okolnostima taksativno navedenima u članku 228. stavku 5. IPA-e iz 2016. (poput stečaja ili kazne zatvora) ili ako su oba doma Parlamenta donijela odluku o razrješenju dužnosti (453).

(251)

Ured povjerenika za istražne ovlasti (IPCO) podupire IPC-a i pravosudne povjerenike u izvršavanju njihovih funkcija. Osoblje IPCO-a obuhvaća skupinu inspektora, interne pravne i tehničke stručnjake te savjetodavnu skupinu za tehnologiju koji daju stručne savjete. Na isti način kao i za pojedinačne pravosudne povjerenike, neovisnost IPCO-a je zaštićena. IPCO je „neovisno tijelo” Ministarstva unutarnjih poslova, tj. dobiva financijska sredstva od Ministarstva unutarnjih poslova, ali izvršava svoje funkcije neovisno (454).

(252)

Glavne funkcije pravosudnih povjerenika navedene su u članku 229. IPA-e iz 2016. (455) Konkretno, pravosudni povjerenici imaju opsežnu ovlast prethodnog odobrenja, koja je dio zaštitnih mjera uvedenih u pravni okvir Ujedinjene Kraljevine IPA-om iz 2016. Naloge povezane s ciljanim presretanjem, ometanjem opreme, masovnim skupovima osobnih podataka, masovnim pribavljanjem podataka o komunikacijama i zahtjevima za zadržavanje podataka o komunikacijama moraju odobriti pravosudni povjerenici (456). IPC uvijek mora izdati prethodno odobrenje za pribavljanje podataka o komunikacijama za potrebe kaznenog progona (457). Ako povjerenik odbije odobriti nalog, ministar može podnijeti žalbu povjereniku za istražne ovlasti, čija je odluka konačna.

(253)

Posebni izvjestitelj UN-a za pravo na privatnost vrlo je pozitivno ocijenio institut pravosudnih povjerenika uspostavljen IPA-om iz 2016. s obzirom na to da „sve osjetljivije zahtjeve za provođenje nadzora ili one kojima se zadire u privatnost treba odobriti ministar u Vladi i Ured povjerenika za istražne ovlasti”. Posebno je istaknuo da je „taj element sudskog preispitivanja [preko funkcije IPC-a], koji podupire tim iskusnih inspektora i stručnjaka za tehnologiju, jedna od najznačajnijih novih zaštitnih mjera uvedenih IPA-om”, koji je zamijenio prethodno rascjepkani sustav nadzornih tijela i kojim se nadopunjava uloga Odbora Parlamenta za obavještajne poslove i sigurnost te Suda za istražne ovlasti (458).

(254)

Osim toga, IPC ima ovlasti provoditi ex post nadzor, među ostalim u okviru revizije, inspekcije i istrage, nad primjenom istražnih ovlasti na temelju IPA-e iz 2016. (459) i neke druge ovlasti i funkcije predviđene relevantnim zakonodavstvom (460). Rezultati takvog ex post nadzora navedeni su u izvješću koje IPC mora sastaviti svake godine i iznijeti predsjedniku Vlade (461) te koje se mora objaviti i predstaviti Parlamentu (462). Izvješće sadržava relevantne statističke podatke i informacije o primjeni istražnih ovlasti obavještajnih agencija i tijela kaznenog progona te o uvođenju zaštitnih mjera u odnosu na informacije koje podliježu obvezi čuvanja povjerljivosti, povjerljivi novinarski materijal i izvore novinarskih informacija, kao i informacije o poduzetim mjerama i korištenim operativnim svrhama u kontekstu masovnih naloga. Naposljetku, u godišnjem izvješću IPCO-a navodi se područje u kojem su dane preporuke tijelima javne vlasti te što su ona poduzela po pitanju tih preporuka (463).

(255)

U skladu s člankom 231. IPA-e iz 2016., ako IPC sazna da su tijela javne vlasti pri primjeni istražnih ovlasti počinila relevantnu pogrešku, o tome mora obavijestiti predmetnu osobu ako smatra da je pogreška ozbiljna i da je u javnom interesu da osoba bude obaviještena (464). Konkretno, u članku 231. IPA-e iz 2016. navodi se da pri obavještavanju osobe o pogrešci IPC mora navesti informacije o svim njezinim pravima da se obrati Sudu za istražne ovlasti te navesti pojedinosti koje povjerenik smatra potrebnima za ostvarivanje tih prava te ako postoji javni interes za otkrivanje tih pojedinosti (465).

(256)

Zakonska osnova za parlamentarni nadzor Odbora za obavještajne poslove i sigurnost (ISC) je Zakon o pravosuđu i sigurnosti iz 2013. (JSA iz 2013.) (466). Tim se zakonom osniva ISC kao odbor Parlamenta Ujedinjene Kraljevine. Od 2013. ISC je dobio veće ovlasti, uključujući nadzor operativnih aktivnosti sigurnosnih službi. U skladu s člankom 2. JSA-e iz 2013. ISC ima zadaću nadzirati rashode, upravljanje, politiku i operacije nacionalnih sigurnosnih agencija. U JSA-i iz 2013. propisano je da ISC može provoditi istrage o operativnim pitanjima ako se ona ne odnose na operacije koje su u tijeku (467). U Memorandumu o razumijevanju koji su sklopili predsjednik Vlade i ISC (468) detaljno se navode elementi koje treba uzeti u obzir pri utvrđivanju je li određena aktivnost dio operacije koja je u tijeku (469). Predsjednik Vlade može od ISC-a zatražiti i da istraži operacije koje su u tijeku te ISC može pregledavati informacije koje mu agencije dobrovoljno dostave.

(257)

U skladu s Prilogom 1. JSA-i iz 2013. ISC može od voditelja bilo koje od triju obavještajnih službi zatražiti da otkrije bilo koju informaciju. Agencija mora te informacije staviti na raspolaganje, osim ako ministar to ne zabrani (470). Prema objašnjenjima tijela Ujedinjene Kraljevine, u praksi se ISC-u uskraćuje vrlo malo informacija (471).

(258)

ISC se sastoji od članova koji pripadaju obama domovima Parlamenta, a imenuje ih predsjednik Vlade nakon savjetovanja s čelnikom oporbe (472). ISC je obvezan podnositi godišnje izvješće Parlamentu o obavljanju svojih funkcija i druga izvješća koja smatra primjerenima (473). Nadalje, ISC ima pravo svaka tri mjeseca primati popis operativnih svrha koji se koristi za pregled masovno prikupljenog materijala (474). Primjerke dokumenata o istragama, inspekcijama ili revizijama povjerenika za istražne ovlasti ISC-u dostavlja predsjednik Vlade ako je tema izvješća relevantna za zakonske nadležnosti Odbora (475). Naposljetku, Odbor može zatražiti od IPC-a da provede istragu, a povjerenik mora obavijestiti ISC o odluci o tome hoće li provesti takvu istragu (476).

(259)

ISC je dostavio mišljenje i o nacrtu IPA-e iz 2016., što je dovelo do niza izmjena koje su sad odražene u IPA-i iz 2016. (477) Konkretno, ISC je preporučio jačanje zaštite privatnosti uvođenjem niza mjera za zaštitu privatnosti koje se primjenjuju za cijeli niz istražnih ovlasti (478). Predložio je i izmjene predloženih tehničkih sposobnosti za ometanje opreme, BPD-a i podataka o komunikacijama te je zatražio druge posebne izmjene radi jačanja ograničenja i zaštitnih mjera za primjenu istražnih ovlasti (479).

(260)

U području pristupa vlade za potrebe nacionalne sigurnosti ispitanici moraju imati mogućnost pokretanja sudskog postupka pred neovisnim i nepristranim sudom radi pristupa svojim osobnim podacima ili ispravka ili brisanja tih podataka (480). Takvo sudsko tijelo mora prvenstveno imati ovlast za donošenje obvezujućih odluka o obavještajnim službama (481). U Ujedinjenoj Kraljevini, kako je objašnjeno u uvodnim izjavama od 261. do 271., različiti oblici sudske zaštite pružaju ispitanicima mogućnost da zatraže i koriste takve pravne lijekove.

(261)

U skladu s člankom 165. DPA-a iz 2018. ispitanik može podnijeti pritužbu povjereniku za informiranje ako smatra da u vezi s osobnim podacima koji se odnose na njega postoji kršenje dijela 4. DPA-a iz 2018. Povjerenik za informiranje ovlašten je ocijeniti usklađenost voditelja obrade i izvršitelja obrade s DPA-om iz 2018. te zahtijevati od njih da poduzmu potrebne mjere. Nadalje, na temelju dijela 4. DPA-a iz 2018. pojedinci imaju pravo obratiti se Visokom sudu (ili Vrhovnom građanskom sudu u Škotskoj (Court of Session)) da izda nalog kojim se od voditelja obrade zahtijeva da poštuje prava na pristup podacima (482), podnošenje prigovora na obradu (483) te ispravak ili brisanje podataka (484).

(262)

Pojedinci imaju pravo i na naknadu pretrpljene štete zbog kršenja zahtjeva iz dijela 4. DPA-a iz 2018. koju isplaćuje voditelj obrade ili izvršitelj obrade (485). Šteta obuhvaća i financijski gubitak i štetu koja ne uključuje financijski gubitak, kao što je pretrpljena duševna bol (486).

(263)

Pojedinci mogu dobiti sudsku zaštitu u slučaju kršenja IPA-e iz 2016. pred Sudom za istražne ovlasti (Investigatory Powers Tribunal).

(264)

Sud za istražne ovlasti uspostavljen je RIPA-om iz 2000. i neovisan je od izvršne vlasti (487). U skladu s člankom 65. RIPA-e iz 2000. članove tog suda imenuje Njezino Veličanstvo na razdoblje od pet godina. Njezino Veličanstvo može razriješiti dužnosti člana tog suda na molbu (488) obaju domova Parlamenta (489).

(265)

U skladu s člankom 65. RIPA-e iz 2000. Sud je pravosudno tijelo nadležno za sve pritužbe osobe oštećene postupkom provedenim na temelju IPA-e iz 2016., RIPA-e iz 2000. ili bilo kojim postupkom obavještajnih službi (490).

(266)

Za pokretanje postupka pred Sudom za istražne ovlasti („zahtjev u pogledu procesne legitimacije”), u skladu s člankom 65. RIPA-e iz 2000. pojedinac mora biti uvjeren (491) da se postupak obavještajne službe odnosio na njega, bilo koju njegovu imovinu, bilo koju komunikaciju koju je poslao ili koja mu je poslana ili koja mu je bila namijenjena ili na njegovo korištenje bilo koje poštanske usluge, telekomunikacijske usluge ili telekomunikacijskog sustava (492). Osim toga, podnositelj pritužbe mora biti uvjeren da je postupak proveden u „okolnostima koje se mogu osporavati” (493) ili „da su ga provele obavještajne službe ili je izvršen u njihovo ime” (494). Budući da se posebno taj standard „uvjerenja” prilično široko tumači (495), pokretanje postupka pred tim sudom podliježe niskim zahtjevima u pogledu procesne legitimacije.

(267)

Ako Sud za istražne ovlasti razmatra pritužbu koja mu je podnesena, dužnost mu je istražiti jesu li osobe protiv kojih se iznosi bilo kakva tvrdnja u pritužbi bile u nekoj vrsti odnosa s podnositeljem pritužbe, kao i provesti istragu o tijelu koje je navodno počinilo kršenje te o tome je li navodni postupak počinjen (496). Sud u svakom postupku koji vodi mora primijeniti ista načela za donošenje odluka u tim postupcima koje bi primjenjivao opći sud u slučaju zahtjeva za sudsko preispitivanje (497). Osim toga, adresati naloga ili zahtjeva na temelju IPA-e iz 2016. i svi drugi subjekti koji imaju poslovni nastan u Ujedinjenoj Kraljevini, koji su zaposleni u policiji ili povjerenik za policijske istrage i preispitivanje imaju dužnost otkriti ili dostaviti Sudu sve dokumente i informacije koje Sud može zahtijevati kako bi mogao izvršavati svoju nadležnost (498).

(268)

Sud za istražne ovlasti mora obavijestiti podnositelja pritužbe o tome je li donesena odluka u njegovu korist ili nije (499). Na temelju članka 67. stavaka 6. i 7. RIPA-e iz 2000. Sud ima ovlast izdavati privremene odluke i dodjeljivati naknadu štete ili druge naloge koji smatra primjerenima. To može uključivati odluku kojom se ukida ili poništava bilo koji nalog ili odobrenje i odluku kojom se zahtijeva uništenje bilo koje evidencije informacija dobivenih pri izvršavanju bilo koje ovlasti koja je dodijeljena na temelju naloga, odobrenja ili zahtjeva ili koju na neki drugi način bilo koje tijelo javne vlasti ima u vezi s bilo kojom osobom (500). Na temelju članka 67.A RIPA-e iz 2000. na odluku Suda može se podnijeti žalba podložno dopuštenju koje dodjeljuje Sud ili mjerodavni žalbeni sud.

(269)

Naposljetku, vrijedi istaknuti da se o ulozi Suda za istražne ovlasti u nekoliko navrata raspravljalo u okviru sudskih postupaka pred Europskim sudom za ljudska prava, posebno u predmetu Kennedy protiv the United Kingdom (501), a u novije vrijeme u predmetu Big Brother Watch i drugi protiv United Kingdom (502), u kojem je Sud utvrdio da „Sud za istražne ovlasti pruža sveobuhvatni pravni lijek svima koji sumnjaju da su njihove komunikacije presele obavještajne službe” (503).

(270)

Kako je objašnjeno u uvodnim izjavama od 109. do 111., sredstva sudske zaštite na temelju Zakona o ljudskim pravima iz 1998. i pred Europskim sudom za ljudska prava (504) dostupna su i u području nacionalne sigurnosti. Člankom 65. stavkom 2. RIPA-e iz 2000. Sudu za istražne ovlasti dodjeljuje se isključiva nadležnost za sve zahtjeve na temelju Zakona o ljudskim pravima povezane s obavještajnim agencijama (505). To znači, kako je istaknuo Visoki sud, da „utvrđivanje postojanja kršenja Zakona o ljudskim pravima na temelju činjenica pojedinog slučaja u načelu je nešto što razmatra i o čemu odlučuje neovisni sud koji ima pravo na pristup svim relevantnim materijalima, uključujući tajni materijal. […] U tom kontekstu treba voditi računa i o tome da sad i odluke samog Suda podliježu mogućnosti žalbe mjerodavnom žalbenom sudu (u Engleskoj i Walesu to bi bio Žalbeni sud); i da je Vrhovni sud nedavno odlučio da je Sud u načelu podložan sudskom preispitivanju: vidjeti predmet R (Privacy International) protiv Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219” (506).

(271)

Iz prethodno navedenog proizlazi da, kad tijela kaznenog progona ili tijela nacionalne sigurnosti Ujedinjene Kraljevine pristupaju osobnim podacima koji su obuhvaćeni područjem primjene ove Odluke, taj je pristup uređen zakonima kojima se utvrđuju uvjeti pod kojima je pristup moguć i kojima se osigurava da su pristup i daljnja uporaba podataka ograničeni na ono što je nužno i proporcionalno cilju kaznenog progona ili nacionalne sigurnosti koji se želi postići. Nadalje, takav pristup u većini slučajeva podliježe prethodnom odobrenju pravosudnog tijela, tako da je potrebno ishoditi odobrenje naloga za pribavljanje ili dostavljanje informacija, te u svakom slučaju neovisnom nadzoru. Nakon što tijela javne vlasti dobiju pristup podacima, njihova obrada, uključujući daljnju razmjenu i daljnji prijenos, podliježe posebnim mjerama za zaštitu podataka na temelju dijela 3. DPA-a iz 2018., koje odražavaju one utvrđene u Direktivi (EU) 2016/680 za obradu koju provode tijela kaznenog progona, i dijela 4. DPA-a iz 2018. za obradu koju provode obavještajne agencije. Naposljetku, ispitanici u tom području uživaju prava na učinkovitu upravnu i sudsku zaštitu, uključujući pravo na pristup svojim podacima ili ispravak ili brisanje tih podataka.

(272)

S obzirom na važnost takvih uvjeta, ograničenja i zaštitnih mjera za potrebe ove Odluke, Komisija će pomno nadzirati primjenu i tumačenje pravila Ujedinjene Kraljevine kojima se postavlja okvir za pristup državnih tijela podacima. To će uključivati relevantne promjene zakonodavstva, propisa i sudske prakse, kao i aktivnosti ICO-a i drugih nadzornih tijela u tom području. Pozorno će se pratiti i izvršava li Ujedinjena Kraljevina relevantne presude Europskog suda za ljudska prava, uključujući mjere utvrđene u „akcijskim planovima” i „izvješćima o poduzetim mjerama” koje se dostavljaju Odboru ministara u kontekstu nadzora nad poštovanjem presuda Suda.

(273)

Komisija smatra da Opća uredba o zaštiti podataka Ujedinjene Kraljevine i DPA iz 2018. osiguravaju razinu zaštite osobnih podataka koji se prenose iz Europske unije koja je u načelu istovjetna onoj koja se jamči Uredbom (EU) 2016/679.

(274)

Nadalje, Komisija smatra da nadzorni mehanizmi i mogućnosti za sudsku zaštitu predviđeni pravom Ujedinjene Kraljevine u cjelini omogućavaju da se u praksi utvrde i kazne povrede te ispitaniku pružaju pravne lijekove za dobivanje pristupa osobnim podacima koji se odnose na njega te, konačno, za ispravak ili brisanje takvih podataka.

(275)

Konačno, na temelju dostupnih informacija o pravnom poretku Ujedinjene Kraljevine Komisija smatra da će se svako zadiranje u temeljna prava pojedinaca čije osobne podatke iz Europske unije u Ujedinjenu Kraljevinu prenose tijela javne vlasti Ujedinjene Kraljevine za potrebe javnog interesa, posebno u svrhu kaznenog progona i nacionalne sigurnosti, ograničiti na ono što je nužno za ostvarivanje predmetnog legitimnog cilja te da postoji djelotvorna pravna zaštita od takvog zadiranja.

(276)

Stoga bi, s obzirom na zaključke ove Odluke, trebalo odlučiti da Ujedinjena Kraljevina osigurava primjerenu razinu zaštite u smislu članka 45. Uredbe (EU) 2016/679, tumačeno s obzirom na Povelju Europske unije o temeljnim pravima.

(277)

Taj se zaključak temelji na relevantnom nacionalnom sustavu Ujedinjene Kraljevine i njezinim međunarodnim obvezama, posebno poštovanju Europske konvencije o ljudskim pravima i prihvaćanju nadležnosti Europskog suda za ljudska prava. Kontinuirano poštovanje tih međunarodnih obveza stoga je osobito važan element procjene na kojoj se temelji ova Odluka.

(278)

Države članice i njihova tijela dužni su poduzeti mjere potrebne za usklađivanje s aktima institucija Unije jer se potonji smatraju zakonitima i proizvode pravne učinke do njihova isteka, povlačenja, poništenja u postupku za poništenje ili proglašavanja nevažećima nakon zahtjeva za prethodnu odluku ili tužbenog zahtjeva za proglašenje nezakonitosti.

(279)

Stoga je odluka Komisije o primjerenosti donesena u skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 obvezujuća za sva tijela država članica kojima je upućena, uključujući njihova neovisna nadzorna tijela. Konkretnije, dok se primjenjuje ova Odluka, za prijenos podataka od voditelja obrade ili izvršitelja obrade u Europskoj uniji voditeljima obrade ili izvršiteljima obrade u Ujedinjenoj Kraljevini nisu potrebna daljnja odobrenja.

(280)

Trebalo bi podsjetiti da, u skladu s člankom 58. stavkom 5. Uredbe (EU) 2016/679 i kako je objašnjeno u presudi Suda EU-a u predmetu Schrems (507), ako nacionalno tijelo za zaštitu podataka, među ostalim nakon što je zaprimilo pritužbu, ima sumnje u pogledu spojivosti odluke Komisije o primjerenosti s temeljnim pravima pojedinca na privatnost i zaštitu podataka, nacionalnim pravom mora biti predviđen pravni lijek za iznošenje tih prigovora pred nacionalnim sudom od kojeg se može tražiti da Sudu EU-a uputi zahtjev za prethodnu odluku (508).

(281)

U skladu s člankom 45. stavkom 4. Uredbe (EU) 2016/679 Komisija treba kontinuirano pratiti relevantne procese u Ujedinjenoj Kraljevini nakon donošenja ove Odluke kako bi procijenila je li njome i dalje osigurana u načelu istovjetna razina zaštite. Takvo je praćenje posebno važno u ovom slučaju jer će Ujedinjena Kraljevina primjenjivati i provoditi novi sustav zaštite podataka koji više ne podliježe pravu Europske unije i koji bi mogao biti podložan promjenama. U tom će se pogledu posebna pažnja posvetiti praktičnoj primjeni pravila Ujedinjene Kraljevine o prijenosu osobnih podataka u treće zemlje i učinku koji bi on mogao imati na razinu zaštite koja se osigurava za podatke koji se prenose na temelju ove Odluke, na djelotvornost izvršavanja pojedinačnih prava, uključujući sve relevantne promjene u zakonodavstvu i praksi koje se odnose na iznimke ili ograničenja takvih prava (posebno one koje se odnose na provedbu djelotvorne kontrole useljavanja), kao i poštovanje ograničenja i zaštitnih mjera u pogledu pristupa državnih tijela. Među ostalim elementima, razvoji u sudskoj praksi te nadzor ICO-a i drugih neovisnih tijela pridonijet će praćenju Komisije.

(282)

Kako bi olakšala to praćenje, tijela Ujedinjene Kraljevine trebala bi odmah obavijestiti Komisiju o svim bitnim promjenama pravnog poretka Ujedinjene Kraljevine koje imaju učinak na pravni okvir koji je predmet ove Odluke, kao i o svim promjenama prakse povezane s obradom osobnih podataka koja se procjenjuje u ovoj Odluci u pogledu obrade osobnih podataka koju provode voditelji obrade i izvršitelji obrade na temelju Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, ali i ograničenja i zaštitnih mjera koje se primjenjuju na pristup tijela javne vlasti osobnim podacima. To bi trebalo uključivati promjene povezane s elementima spomenutima u uvodnoj izjavi 281.

(283)

Nadalje, kako bi Komisija mogla djelotvorno obavljati svoju funkciju praćenja, države članice trebale bi je obavješćivati o svim relevantnim mjerama koje poduzimaju nacionalna tijela za zaštitu podataka, naročito u pogledu upita ili pritužbi ispitanika iz EU-a o prijenosu osobnih podataka iz Unije voditeljima obrade ili izvršiteljima obrade u Ujedinjenoj Kraljevini. Komisiju bi trebalo obavijestiti i o svakoj naznaci da mjere tijela javne vlasti Ujedinjene Kraljevine odgovornih za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili za nacionalnu sigurnost, uključujući nadzorna tijela, ne osiguravaju potrebnu razinu zaštite.

(284)

Ako dostupne informacije, naročito informacije dobivene praćenjem primjene ove Odluke ili informacije koje dostavljaju tijela Ujedinjene Kraljevine ili država članica, pokazuju da razina zaštite koju pruža Ujedinjena Kraljevina možda više nije primjerena, Komisija bi o tome trebala odmah obavijestiti nadležna tijela Ujedinjene Kraljevine i zatražiti poduzimanje odgovarajućih mjera u navedenom roku, koji ne smije biti duži od tri mjeseca. To se razdoblje prema potrebi može produžiti za određeni rok, uzimajući u obzir prirodu problema i/ili mjere koje treba poduzeti. Primjerice, takav bi se postupak pokrenuo u slučajevima kad se daljnji prijenosi, među ostalim na temelju novih uredbi o primjerenosti koje donosi ministar ili međunarodnih sporazuma koje zaključuje Ujedinjena Kraljevina, više ne bi provodili pod zaštitnim mjerama koje osiguravaju kontinuitet zaštite u smislu članka 44. Uredbe (EU) 2016/679.

(285)

Ako nakon isteka navedenog roka nadležna tijela Ujedinjene Kraljevine ne poduzmu te mjere ili na drugi zadovoljavajući način ne dokažu da se ova Odluka i dalje temelji na primjerenoj razini zaštite, Komisija će pokrenuti postupak iz članka 93. stavka 2. Uredbe (EU) 2016/679 radi djelomične ili potpune suspenzije ili stavljanja izvan snage ove Odluke.

(286)

Alternativno, Komisija će pokrenuti taj postupak radi izmjene Odluke, ponajprije utvrđivanjem dodatnih uvjeta za prijenose podataka ili ograničavanjem područja primjene zaključka o primjerenosti samo na prijenose podataka za koje se i dalje osigurava primjerena razina zaštite.

(287)

Zbog valjano utemeljenih krajnje hitnih razloga Komisija će iskoristiti mogućnost donošenja, u skladu s postupkom iz članka 93. stavka 3. Uredbe (EU) 2016/679, odmah primjenjivih provedbenih akata o suspenziji, stavljanju izvan snage ili izmjeni Odluke.

(288)

Komisija mora uzeti u obzir da će, nakon isteka prijelaznog razdoblja predviđenog Sporazumom o povlačenju i čim privremena odredba na temelju članka 782. Sporazuma o trgovini i suradnji između EU-a i Ujedinjene Kraljevine prestane važiti, Ujedinjena Kraljevina primjenjivati i provoditi novi sustav zaštite podataka koji se razlikuje od onog koji je bio na snazi kad je za nju bilo obvezujuće pravo Unije. To može ponajprije uključivati izmjene ili promjene okvira za zaštitu podataka procijenjenog u ovoj Odluci, kao i druge relevantne promjene.

(289)

Stoga je primjereno predvidjeti da se ova Odluka primjenjuje u razdoblju od četiri godine od njezina stupanja na snagu.

(290)

Ako se na temelju određenih informacija koje proizlaze iz praćenja primjene ove Odluke utvrdi da su zaključci koji se odnose na primjerenost razine zaštite osigurane u Ujedinjenoj Kraljevini i dalje činjenično i pravno opravdani, Komisija bi trebala najkasnije šest mjeseci prije nego što se ova Odluka prestane primjenjivati pokrenuti postupak izmjene ove Odluke proširenjem vremenskog okvira primjene, u načelu, na dodatno razdoblje od četiri godine. Svaki takav provedbeni akt o izmjeni ove Odluke treba se donijeti u skladu s postupkom iz članka 93. stavka 2. Uredbe (EU) 2016/679.

(291)

Europski odbor za zaštitu podataka objavio je svoje mišljenje (509), koje je uzeto u obzir pri pripremi ove Odluke.

(292)

Mjere predviđene ovom Odlukom u skladu su s mišljenjem Odbora osnovanog na temelju članka 93. Uredbe (EU) 2016/679,

(1)

U Direktivi (EU) 2016/680 utvrđuju se pravila za prijenos osobnih podataka od strane nadležnih tijela iz Unije trećim zemljama i međunarodnim organizacijama u mjeri u kojoj su takvi prijenosi obuhvaćeni područjem primjene te direktive. Pravila o međunarodnim prijenosima podataka od strane nadležnih tijela utvrđena su u poglavlju V. Direktive (EU) 2016/680, točnije u člancima od 35. do 40. Iako je protok osobnih podataka u zemlje izvan Europske unije i iz njih važan za učinkovitu suradnju u području kaznenog progona, mora se jamčiti da se takvim prijenosima ne narušava razina zaštite osobnih podataka u Europskoj uniji (2).

(2)

U skladu s člankom 36. stavkom 3. Direktive (EU) 2016/680 Komisija može putem provedbenog akta odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija osigurava primjerenu razinu zaštite. Pod tim uvjetom prijenosi osobnih podataka trećoj zemlji mogu se obavljati bez potrebe za dobivanjem bilo kakvog daljnjeg odobrenja (osim ako druga država članica iz koje su podaci dobiveni mora dati svoje odobrenje za prijenos), kako je predviđeno u članku 35. stavku 1. i uvodnoj izjavi 66. Direktive (EU) 2016/680.

(3)

Kako je navedeno u članku 36. stavku 2. Direktive (EU) 2016/680, donošenje odluke o primjerenosti mora se temeljiti na sveobuhvatnoj analizi pravnog poretka treće zemlje. Komisija u svojoj procjeni mora utvrditi jamči li predmetna treća zemlja razinu zaštite koja je „u osnovi istovjetna” onoj koja je osigurana u Europskoj uniji (uvodna izjava 67. Direktive (EU) 2016/680). Je li zaštita „u osnovi istovjetna” procjenjuje se prema standardu utvrđenom u zakonodavstvu EU-a, ponajprije Direktivi (EU) 2016/680, te u sudskoj praksi Suda Europske unije (3). U tom je pogledu važan i referentni dokument o primjerenosti koji je izdao Europski odbor za zaštitu podataka (4).

(4)

Kako je pojasnio Sud Europske unije, to ne zahtijeva utvrđivanje potpuno istovjetne razine zaštite (5). Naime, pravna sredstva kojima se predmetna treća zemlja koristi za zaštitu osobnih podataka mogu se razlikovati od onih koja se primjenjuju u Europskoj uniji, pod uvjetom da se u praksi pokažu djelotvornima za osiguravanje primjerene razine zaštite (6). Prema tome, standard primjerenosti ne podrazumijeva doslovno ponavljanje pravila Unije. Umjesto toga ispituje se pruža li predmetni strani sustav kao cjelina potrebnu razinu zaštite podataka (7) sadržajem prava na privatnost i njihovom djelotvornom provedbom, nadzorom i ostvarivanjem.

(5)

Komisija je pažljivo analizirala relevantno pravo i praksu Ujedinjene Kraljevine. Na temelju svojih nalaza, navedenih u nastavku, Komisija zaključuje da Ujedinjena Kraljevina osigurava primjerenu razinu zaštite osobnih podataka koje nadležna tijela iz Unije obuhvaćena područjem primjene Direktive (EU) 2016/680 prenose nadležnim tijelima u Ujedinjenoj Kraljevini koja su obuhvaćena područjem primjene dijela 3. Zakona o zaštiti podataka iz 2018. (DPA iz 2018.) (8).

(6)

Ova Odluka znači da se takvi prijenosi mogu obavljati bez potrebe za dobivanjem bilo kakvog daljnjeg odobrenja u razdoblju od četiri godine, što podliježe mogućem obnavljanju, i ne dovodeći u pitanje uvjete iz članka 35. Direktive (EU) 2016/680.

(7)

Ujedinjena Kraljevina je parlamentarna demokracija. Ima suvereni parlament, koji je nadređen svim ostalim vladinim institucijama, izvršnu vlast koja proizlazi iz parlamenta i odgovorna je parlamentu te neovisno sudstvo. Ovlasti izvršne vlasti proizlaze iz njezine sposobnosti da osigura povjerenje izabranog Zastupničkog doma, a odgovorna je obama domovima Parlamenta (Zastupnički dom i Dom lordova), čija je zadaća preispitivanje rada vlade te raspravljanje o zakonskim prijedlozima i donošenje zakona. Parlament Ujedinjene Kraljevine prenio je određene nadležnosti Škotskom parlamentu (Scottish Parliament), Velškom parlamentu (Senedd Cymru) i Skupštini Sjeverne Irske (Northern Ireland Assembly), koje im omogućuju da uređuju određena domaća pitanja u Škotskoj, Walesu i Sjevernoj Irskoj. Iako je zaštita podataka pitanje za čije je rješavanje nadležan Parlament Ujedinjene Kraljevine, tj. isti se propisi primjenjuju u cijeloj zemlji, druga područja politike relevantna za ovu Odluku obuhvaćena su prenesenim nadležnostima. Na primjer, nadležnosti za sustave kaznenog pravosuđa, uključujući policijsku djelatnost (aktivnosti koje obavljaju policijske snage), u Škotskoj i Sjevernoj Irskoj prenesene su Škotskom parlamentu odnosno Skupštini Sjeverne Irske (9).

(8)

Iako Ujedinjena Kraljevina nema kodificirani ustav u smislu utvrđenog konstitutivnog dokumenta, njezina ustavna načela nastala su s vremenom i proizlaze iz sudske prakse, a osobito iz običaja. Priznat je ustavnopravni značaj određenih akata, kao što su Velika povelja sloboda (Magna Carta), Povelja o pravima iz 1689. (Bill of Rights 1689) i Zakon o ljudskim pravima iz 1998. (Human Rights Act 1998). Temeljna prava pojedinaca razvila su se, kao dio ustava, u okviru precedentnog prava (common law), zakonskih akata i međunarodnih ugovora, osobito Europske konvencije o ljudskim pravima (EKLJP), koju je Ujedinjena Kraljevina ratificirala 1951. Ujedinjena Kraljevina ratificirala je 1987. i Konvenciju Vijeća Europe za zaštitu osoba glede automatizirane obrade osobnih podataka (Konvencija br. 108) (10).

(9)

Zakonom o ljudskim pravima iz 1998. prava iz EKLJP-a ugrađuju se u pravo Ujedinjene Kraljevine. Tim se zakonom svim pojedincima daju temeljna prava i slobode predviđene člancima od 2. do 12. i člankom 14. EKLJP-a te člancima od 1. do 3. Protokola br. 1 uz EKLJP i člankom 1. Protokola br. 13 uz EKLJP, u vezi s člancima od 16. do 18. EKLJP-a. To uključuje pravo na poštovanje osobnog i obiteljskog života, koje pak uključuje pravo na zaštitu podataka, te pravo na pošteno suđenje (11). Naime, u skladu s člankom 8. EKLJP-a tijelo javne vlasti smije zadirati u pravo na privatnost samo u skladu sa zakonom i ako je to u demokratskom društvu nužno radi interesa državne sigurnosti, javnog reda i mira ili gospodarske dobrobiti zemlje te radi sprečavanja nereda ili zločina, radi zaštite zdravlja ili morala ili radi zaštite prava i sloboda drugih.

(10)

U skladu sa Zakonom o ljudskim pravima iz 1998. svi postupci tijelâ javne vlasti moraju biti u skladu s pravima zajamčenima u EKLJP-u (12). Osim toga, primarno i sekundarno zakonodavstvo moraju se tumačiti i provoditi u skladu s tim pravima (13). Ako bilo koji pojedinac smatra da su tijela javne vlasti prekršila njegova prava, uključujući prava na privatnost i zaštitu podataka, može dobiti sudsku zaštitu pred sudovima Ujedinjene Kraljevine na temelju Zakona o ljudskim pravima iz 1998. te konačno, nakon što iscrpi sve nacionalne pravne lijekove, može dobiti sudsku zaštitu pred Europskim sudom za ljudska prava za povrede prava zajamčenih EKLJP-om.

(11)

Ujedinjena Kraljevina povukla se iz Unije 31. siječnja 2020. Na temelju Sporazuma o povlačenju Ujedinjene Kraljevine Velike Britanije i Sjeverne Irske iz Europske unije i Europske zajednice za atomsku energiju (14) pravo Unije nastavilo se primjenjivati u Ujedinjenoj Kraljevini u prijelaznom razdoblju do 31. prosinca 2020. Prije povlačenja i u prijelaznom razdoblju zakonodavni okvir za zaštitu osobnih podataka u Ujedinjenoj Kraljevini kojim se uređuje obrada osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, sastojao se od relevantnih dijelova Zakona o zaštiti podataka iz 2018., kojim je prenesena Direktiva (EU) 2016/680.

(12)

Kako bi se pripremila za izlazak iz EU-a, Vlada Ujedinjene Kraljevine donijela je Zakon o povlačenju iz Europske unije iz 2018. (European Union (Withdrawal) Act, EUWA) (15), kojim je izravno primjenjivo zakonodavstvo Unije uključeno u pravo Ujedinjene Kraljevine i kojim je predviđeno da takozvano „domaće zakonodavstvo koje proizlazi iz prava EU-a” i dalje proizvodi pravne učinke nakon kraja prijelaznog razdoblja. Dio 3. DPA-a iz 2018. (16) kojom se prenosi Direktiva (EU) 2016/680 sastoji se od „domaćeg zakonodavstva koje proizlazi iz prava EU-a” na temelju Zakona o povlačenju. Prema Zakonu o povlačenju sudovi u Ujedinjenoj Kraljevini neizmijenjeno „domaće zakonodavstvo koje proizlazi iz prava EU-a” moraju tumačiti u skladu s relevantnom sudskom praksom Suda Europske unije (Sud) i općim načelima prava Unije, u skladu s pravnim učinkom koji su ta praksa i načela imali neposredno prije kraja prijelaznog razdoblja (takozvana „zadržana sudska praksa EU-a” odnosno „zadržana opća načela prava EU-a”) (17).

(13)

Na temelju Zakona o povlačenju ministri Ujedinjene Kraljevine imaju ovlast da podređenim zakonskim aktima (statutory instruments) donose sekundarno zakonodavstvo kako bi uveli potrebne izmjene zadržanog prava Unije koje su posljedica povlačenja Ujedinjene Kraljevine iz Unije. Ta je ovlast iskorištena za donošenje Uredbe o zaštiti podataka, privatnosti i elektroničkim komunikacijama (izmjene itd.) (izlazak iz EU-a) iz 2019. (Uredba DPPEC) (18). Njome se mijenja zakonodavstvo Ujedinjene Kraljevine o zaštiti podataka, uključujući DPA iz 2018., kako bi odgovaralo domaćem kontekstu (19).

(14)

Slijedom toga, pravni standardi za obradu osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, u Ujedinjenoj Kraljevini nakon prijelaznog razdoblja na temelju Sporazuma o povlačenju i dalje će biti utvrđeni u relevantnim dijelovima DPA-a iz 2018. (ali kako je izmijenjena Uredbom DPPEC), a posebno u njezinu dijelu 3. Opća uredba Ujedinjene Kraljevine o zaštiti podataka ne primjenjuje se na tu vrstu obrade.

(15)

U dijelu 3. DPA-a iz 2018. predviđaju se pravila za obradu osobnih podataka u svrhe kaznenog progona, uključujući načela zaštite podataka, pravne osnove za obradu (zakonitost), prava ispitanika, obveze nadležnih tijela kao voditelja obrade i ograničenja daljnjih prijenosa. Istodobno se u dijelovima 5. i 6. DPA-a iz 2018. predviđaju primjenjiva pravila o nadzoru, provedbi i sudskoj zaštiti koja se primjenjuju na sektor kaznenog progona.

(16)

Nadalje, kad je riječ o odgovarajućoj ulozi policijskih snaga u sektoru kaznenog progona, trebalo bi voditi računa o pravilima kojima se uređuje policijska djelatnost. Budući da je djelatnost policije pitanje iz prenesene nadležnosti, na nju se u (a) Engleskoj i Walesu, (b) Škotskoj i (c) Sjevernoj Irskoj primjenjuju različiti zakonodavni akti koji su, međutim, sadržajno često slični (20). Osim toga, u različitim vrstama smjernica navode se dodatna pojašnjenja o tome kako bi se policijske ovlasti trebale primjenjivati. Tri su glavna oblika policijskih smjernica: 1. zakonske smjernice koje se donose na temelju zakonodavstva, kao što su Etički kodeks (21) i Kodeks prakse za upravljanje policijskim informacijama (22), koje se donose na temelju Zakona o policiji iz 1996. (23), ili kodeksi PACE (24), koji se donose na temelju Zakona o policiji i kaznenim dokazima (25); 2. odobrena profesionalna praksa za upravljanje policijskim informacijama (Smjernice o odobrenoj profesionalnoj praksi za upravljanje policijskim informacijama) (26), koje donosi Nacionalna agencija za policiju (College of Policing); i 3. operativne smjernice (koje izdaje sama policija). Nacionalno vijeće načelnika policije (National Police Chiefs’ Council) (koordinacijsko tijelo za sve policijske snage u Ujedinjenoj Kraljevini) izdaje operativne smjernice koje su prihvatile sve policijske snage te se stoga primjenjuju na nacionalnoj razini (27). Tim se smjernicama nastoji osigurati usklađenost među policijskim snagama u načinu upravljanja informacijama (28).

(17)

Kodeks prakse za upravljanje policijskim informacijama donio je ministar 2005. služeći se ovlastima predviđenima u članku 39.A Zakona o policiji iz 1996. (29) Svaki kodeks prakse donesen na temelju Zakona o policiji mora dobiti odobrenje ministra te podliježe obvezi savjetovanja s Nacionalnom agencijom za kriminalitet prije nego što se uputi Parlamentu. U članku 39.A stavku 7. Zakona o policiji zahtijeva se da se policija uredno pridržava kodeksa donesenih na temelju tog zakona, te se od policije stoga očekuje da postupa u skladu s njima (30). Nadalje, izvanzakonske smjernice (kao što su Smjernice o odobrenoj profesionalnoj praksi za upravljanje policijskim informacijama) moraju uvijek biti u skladu s Kodeksom prakse za upravljanje policijskim informacijama, koji im je nadređen (31). U svakom slučaju, iako mogu postojati određene operativne situacije u kojima je potrebno da policijski službenici odstupe od tih smjernica, od njih se i dalje zahtijeva da poštuju zahtjeve iz dijela 3. DPA-a iz 2018. (32)

(18)

Dodatne smjernice o zakonodavstvu o zaštiti podataka Ujedinjene Kraljevine za obradu u sektoru kaznenog progona daje povjerenik za informiranje („povjerenik za informiranje” ili „ICO” (Ured povjerenika za informiranje)) (33) (za dodatne pojedinosti o ICO-u vidjeti uvodne izjave od (93). do (109).). Iako nisu pravno obvezujuće, u sudskom postupku sudovi bi bili obvezni uzeti u obzir svako kršenje tih smjernica jer su one važne za tumačenje i pokazuju kako povjerenik u praksi tumači i provodi zakonodavstvo o zaštiti podataka (34).

(19)

Naposljetku, kako je navedeno u uvodnim izjavama od (8). do (10)., tijela kaznenog progona Ujedinjene Kraljevine moraju se pridržavati (EKLJP-a) i Konvencije br. 108.

(20)

Stoga su struktura i glavne sastavnice pravnog okvira kojim se uređuje obrada podataka koju obavljaju tijela kaznenog progona u Ujedinjenoj Kraljevini vrlo slične okviru koji se primjenjuje u EU-u. To uključuje činjenicu da se taj okvir ne oslanja samo na obveze utvrđene u nacionalnom pravu, koje su oblikovane pravom Unije, već i na obveze iz međunarodnog prava, osobito obveze Ujedinjene Kraljevine da poštuje EKLJP i Konvenciju br. 108 i priznavanje nadležnosti Europskog suda za ljudska prava. Stoga su te obveze koje proizlaze iz pravno obvezujućih međunarodnih instrumenata, a koje se posebno odnose na zaštitu osobnih podataka, važan element pravnog okvira koji se procjenjuje u ovoj Odluci.

(21)

Glavno područje primjene dijela 3. DPA-a iz 2018. podudara se s područjem primjene Direktive (EU) 2016/680 kako je navedeno u njezinu članku 2. stavku 2. Dio 3. primjenjuje se na obradu osobnih podataka od strane nadležnog tijela koja se u cijelosti ili djelomično obavlja automatizirano te na neautomatiziranu obradu osobnih podataka od strane nadležnog tijela koji čine dio sustava pohrane ili su namijenjeni tome da budu dio sustava pohrane.

(22)

Nadalje, da bi obrada bila obuhvaćena područjem primjene dijela 3., voditelj obrade mora biti „nadležno tijelo” te se obrada mora obavljati „u svrhu kaznenog progona”. Stoga se režim zaštite podataka koji se procjenjuje u ovoj Odluci primjenjuje na sve aktivnosti kaznenog progona koje obavljaju ta nadležna tijela.

(23)

Pojam „nadležno tijelo” definiran je u članku 30. DPA-a kao osoba navedena u Prilogu 7. DPA-u iz 2018. te bilo koja druga osoba u mjeri u kojoj ima zakonski propisane funkcije u obavljanju bilo koje od svrha kaznenog progona. Među nadležnim tijelima navedenima u Prilogu 7. ne nalaze se samo policijske snage, već i svi vladini odjeli pod izravnim nadzorom ministarstava Ujedinjene Kraljevine kao i druga tijela s istražnim funkcijama (npr. Porezna i carinska uprava Ujedinjene Kraljevine (Commissioner for Her Majesty’s Revenue and Customs), Velška porezna uprava (Welsh Revenue Authority), Nadležno tijelo za tržišno natjecanje i tržišta (Competition and Markets Authority), Zemljišnoknjižni ured za Englesku i Wales (Her Majesty’s Land Register) ili Nacionalna agencija za kriminalitet), državna odvjetništva, druga tijela kaznenog pravosuđa i drugi ovlaštenici ili organizacije koji obavljaju aktivnosti kaznenog progona (35). Dio 3. DPA-a iz 2018. primjenjuje se i na sudove kad oni izvršavaju svoje sudbene funkcije, osim u dijelu koji se odnosi na prava ispitanika i nadzor koji obavlja ICO (36). Popis nadležnih tijela navedenih u Prilogu 7. nije konačan te ga ministar može ažurirati uredbom uzimajući u obzir promjene u organizaciji javnih službi (37).

(24)

Predmetna obrada ujedno se mora provoditi „u svrhu kaznenog progona”, što se definira kao sprečavanje, istraga, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje (38). Obrada koju nadležno tijelo ne provodi u svrhe kaznenog progona nije uređena dijelom 3. DPA-a iz 2018. To će biti slučaj, primjerice, kad Nadležno tijelo za tržišno natjecanje i tržišta istražuje predmete u kojima ne postoje elementi kaznenih djela (npr. koncentracije između trgovačkih društava). U tom će se slučaju primjenjivati Opća uredba Ujedinjene Kraljevine o zaštiti podataka, zajedno s dijelom 2. DPA-a iz 2018., jer nadležna tijela tu obradu osobnih podataka provode u svrhe koje nisu svrhe kaznenog progona. Da bi utvrdilo koji se režim zaštite podataka primjenjuje (dio 3. ili dio 2. DPA-a iz 2018.) na predmetnu obradu osobnih podataka, nadležno tijelo, tj. voditelj obrade, mora ocijeniti je li „primarna svrha” te obrade obuhvaćena svrhama kaznenog progona na temelju DPA-a iz 2018.

(25)

Kad je riječ o teritorijalnom području primjene dijela 3. DPA-a iz 2018., u članku 207. stavku 2. predviđa se da se DPA primjenjuje na obradu osobnih podataka u kontekstu aktivnosti osobe koja ima poslovni nastan na cijelom državnom području Ujedinjene Kraljevine. To uključuje tijela javne vlasti na područjima Engleske, Walesa, Škotske i Sjeverne Irske koja su obuhvaćena glavnim područjem primjene iz dijela 3. DPA-a iz 2018. (39)

(26)

Ključni pojmovi „osobni podaci” i „obrada” definirani su u članku 3. DPA-a iz 2018. i primjenjuju se u cijeloj DPA-u. Definicije su vrlo slične odgovarajućim definicijama utvrđenima u članku 3. Direktive (EU) 2016/680. Prema DPA-u iz 2018. pojam „osobni podaci” znači svi podaci koji se odnose na živog pojedinca čiji je identitet utvrđen ili se može utvrditi (40). Prema članku 3. stavku 3. DPA-a iz 2018. identitet pojedinca može se utvrditi ako se tog pojedinca može izravno ili neizravno identificirati na temelju tih podataka, među ostalim, s pomoću imena ili identifikatora ili s pomoću jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. Pojam „obrada” definira se kao postupak ili skup postupaka koji se obavljaju na podacima ili skupovima podataka, kao što su (a) prikupljanje, bilježenje, organizacija, strukturiranje ili pohrana; (b) prilagodba ili izmjena; (c) pronalaženje, obavljanje uvida ili uporaba; (d) otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način; (e) usklađivanje ili kombiniranje; ili (f) ograničavanje, brisanje ili uništavanje. Nadalje, u Zakonu se definira „osjetljiva obrada” kao „(a) obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, religijska ili filozofska vjerovanja ili članstvo u sindikatu; (b) obrada genetskih podataka ili biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca; (c) obrada podataka koji se odnose na zdravlje; ili (d) obrada podataka o spolnom životu ili seksualnoj orijentaciji pojedinca” (41). S obzirom na to, u članku 205. DPA-a iz 2018. navodi se definicija „biometrijskih podataka” (42), „podataka koji se odnose na zdravlje” (43) i „genetskih podataka” (44).

(27)

U članku 32. DPA-a iz 2018. pojašnjavaju se definicije pojmova „voditelj obrade” i „izvršitelj obrade” u kontekstu obrade osobnih podataka u svrhe kaznenog progona koje su vrlo slične odgovarajućim definicijama iz Direktive (EU) 2016/680. „Voditelj obrade” znači nadležno tijelo koje određuje svrhe i sredstva obrade osobnih podataka. Ako se obrada zahtijeva zakonom, voditelj obrade je nadležno tijelo kojem je takva obveza uvedena tim zakonom. „Izvršitelj obrade” definiran je kao svaka osoba koja obrađuje osobne podatke u ime voditelja obrade (a koja nije zaposlenik voditelja obrade).

(28)

U skladu s člankom 35. DPA-a iz 2018. obrada osobnih podataka mora biti zakonita i poštena, slično onomu što je predviđeno u članku 4. stavku 1. točki (a) Direktive (EU) 2016/680. U skladu s člankom 35. stavkom 2. DPA-a iz 2018. obrada osobnih podataka u bilo koju svrhu kaznenog progona zakonita je samo ako se temelji na pravu te ako je ispitanik dao privolu za obradu u tu svrhu ili je obrada nužna za izvršavanje zadaće koju u tu svrhu obavlja nadležno tijelo.

(29)

Slično kao i u članku 8. Direktive (EU) 2016/680, da bi se osigurala zakonitost obrade obuhvaćene dijelom 3. DPA-a iz 2018., takva obrada mora se „temeljiti na pravu”. „Zakonita” obrada znači obrada koja je dopuštena na temelju zakona, precedentnog prava ili kraljevskih prerogativa (45).

(30)

Ovlasti nadležnih tijela općenito su uređene zakonima, što znači da su njihove funkcije i ovlasti jasno utvrđene u zakonodavnim aktima koje je donio Parlament (46). U određenim se slučajevima policija i druga nadležna tijela navedena u Prilogu 7. DPA-u iz 2018. mogu pozivati na precedentno pravo (common law) radi obrade podataka (47). Precedentno pravo nastalo je na temelju presedana utvrđenih u odlukama sudova. Precedentno pravo relevantno je u kontekstu ovlasti kojima raspolaže policija, čija osnovna dužnost zaštite javnosti otkrivanjem i sprečavanjem kaznenih djela proizlazi iz tog izvora prava (48). Međutim, policijske snage imaju ovlasti za izvršavanje te dužnosti koje se temelje i na precedentnom pravu i na zakonskim ovlastima (49). Ako policija ima određenu zakonsku ovlast, ta ovlast ima prednost u odnosu na bilo koju ovlast iz precedentnog prava (50).

(31)

Sudovi su potvrdili da opseg ovlasti i obveza policijskog službenika koje proizlaze iz precedentnog prava uključuje „sve mjere koje mu se čine nužnima za održavanje mira, sprečavanje kaznenih djela ili zaštitu imovine od štete nanesene kaznenim djelima” (51). Ovlasti iz precedentnog prava nisu neograničene ovlasti. One podliježu nizu ograničenja, uključujući ograničenja koja su utvrdili sudovi (52) i ograničenja koja su uvedena zakonodavstvom, ponajprije Zakonom o ljudskim pravima iz 1998. i Zakonom o ravnopravnosti iz 2010. (53) Osim toga, za nadležna tijela koja obrađuju podatke na temelju dijela 3. DPA-a iz 2018. to uključuje obvezu da ovlasti iz precedentnog prava izvršavaju u skladu sa zahtjevima utvrđenima u DPA-u iz 2018. (54) Nadalje, pri odlučivanju o provođenju bilo koje vrste obrade podataka moraju se uzeti u obzir zahtjevi iz primjenjivih smjernica, kao što su Kodeks prakse za upravljanje policijskim informacijama te smjernice koje su specifične za neku od zemalja Ujedinjene Kraljevine (55). Vlada i operativna policijska tijela izdaju niz smjernica radi osiguravanja da policijski službenici svoje ovlasti za obradu izvršavaju u okviru ograničenja utvrđenih precedentnim pravom ili odgovarajućim zakonom (56).

(32)

Kraljevski prerogativi predstavljaju još jednu sastavnicu „prava” i odnose se na određene ovlasti koje pripadaju Kruni i koje može izvršavati izvršna vlast, a koje se ne temelje na zakonu, već proizlaze iz suvereniteta monarha (57). Vrlo je malo primjera prerogativnih ovlasti koje su relevantne u kontekstu kaznenog progona. One uključuju, primjerice, okvir za uzajamnu pravnu pomoć kojim se ministru omogućuje razmjena podataka s trećim zemljama u svrhe kaznenog progona, pri čemu ovlast za razmjenu podataka na taj način nije uvijek utvrđena zakonom (58). Kraljevski prerogativi ograničeni su načelima precedentnog prava (59) i podređeni zakonima, pa stoga podliježu ograničenjima predviđenima u Zakonu o ljudskim pravima iz 1998. i DPA-u iz 2018. (60)

(33)

Slično kao i u članku 8. Direktive (EU) 2016/680, u režimu Ujedinjene Kraljevine zahtijeva se da nadležna tijela radi poštovanja načela zakonitosti osiguraju da obrada, kad se temelji na zakonu, ujedno bude i „nužna” za izvršavanje zadaće koja se obavlja u svrhu kaznenog progona. ICO daje smjernice u tom pogledu u kojima se pojašnjava da se „ta svrha mora ostvariti ciljano i proporcionalno. Zakonita osnova neće se primjenjivati ako se ta svrha može relativno lako ostvariti nekim drugim manje nametljivim sredstvima. Nije dovoljno ustvrditi da je obrada nužna zbog toga što je netko odlučio obavljati svoje poslovanje na određen način. Postavlja se pitanje je li obrada nužna za tu navedenu svrhu” (61).

(34)

Kako je navedeno u uvodnoj izjavi (28)., u članku 35. stavku 2. DPA-a iz 2018. predviđa se mogućnost obrade osobnih podataka na temelju „privole” pojedinca.

(35)

Međutim, čini se da privola nije relevantna pravna osnova za postupke obrade koji su obuhvaćeni područjem primjene ove Odluke. Zapravo, postupci obrade obuhvaćeni ovom Odlukom uvijek će se odnositi na podatke koje je na temelju Direktive (EU) 2016/680 nadležno tijelo države članice prenijelo nadležnom tijelu Ujedinjene Kraljevine. Oni stoga obično neće uključivati vrstu izravne interakcije (prikupljanje) između tijela javne vlasti i ispitanikâ koja se može temeljiti na privoli u skladu s člankom 35. stavkom 2. točkom (a) DPA-a iz 2018.

(36)

Iako se oslanjanje na privolu stoga ne smatra relevantnim za procjenu koja se provodi u ovoj Odluci, radi potpunosti treba napomenuti da se u kontekstu kaznenog progona obrada nikad ne temelji isključivo na privoli jer nadležno tijelo mora uvijek imati temeljnu ovlast koja mu omogućuje da obrađuje te podatke (62). Konkretnije, i slično onomu što je dopušteno na temelju Direktive (EU) 2016/680 (63), to znači da privola služi kao dodatan uvjet za omogućivanje određenih ograničenih i posebnih postupaka obrade koji se inače ne bi mogli provesti, na primjer prikupljanja i obrade uzorka DNK-a pojedinca koji nije osumnjičenik. U tom se slučaju obrada ne bi provela ako privola nije dobivena ili je povučena (64).

(37)

U slučajevima u kojima je potrebna privola pojedinca ta privola mora biti nedvosmislena i mora uključivati jasnu potvrdnu radnju (65). Od policijskih snaga zahtijeva se da imaju obavijest o zaštiti osobnih podataka koja uključuje, među ostalim, potrebne informacije koje se odnose na ispravno korištenje privole. Osim toga, neke od njih objavljuju i dodatne materijale o načinu na koji se pridržavaju zakonodavstva o zaštiti podataka, među ostalim i o tome kako i kad koriste privolu kao pravnu osnovu za obradu (66).

(38)

Trebale bi postojati posebne zaštitne mjere ako se obrađuju „posebne kategorije” podataka. U tom pogledu, slično onomu što je predviđeno u članku 10. Direktive (EU) 2016/680, u dijelu 3. DPA-a iz 2018. predviđaju se strože zaštitne mjere za takozvanu „osjetljivu obradu” (67).

(39)

Prema članku 35. stavku 3. DPA-a iz 1998. nadležna tijela mogu obrađivati osjetljive podatke u svrhe kaznenog progona samo u dvama slučajevima: 1. ispitanik je dao privolu za obradu u svrhu kaznenog progona te u trenutku obavljanja obrade voditelj obrade ima dokument o odgovarajućoj politici (68); ili 2. obrada je nužna u svrhu kaznenog progona, obrada ispunjava barem jedan od uvjeta iz Priloga 8. DPA-u iz 2018. te u trenutku obavljanja obrade voditelj obrade ima dokument o odgovarajućoj politici (69).

(40)

Kad je riječ o prvom slučaju, i kako je objašnjeno u uvodnoj izjavi 38., oslanjanje na privolu ne smatra se relevantnim u vrsti situacije prijenosa koja je predmet ove Odluke (70).

(41)

Ako se obrada osjetljivih podataka ne oslanja na privolu, može se obavljati primjenom jednog od uvjeta navedenih u Prilogu 8. DPA-u iz 2018. Ti se uvjeti odnose na obradu koja je nužna u zakonske svrhe; u svrhe vođenja pravosudnih postupaka, zaštite vitalnih interesa ispitanika ili drugog pojedinca, zaštite djece i pojedinaca u opasnosti, pravnih zahtjeva, sudskih akata, sprečavanja prijevara, arhiviranja; ili ako se obrada odnosi na osobne podatke za koje je očito da ih je objavio ispitanik. Osim u slučaju kad je očito da su podaci javno objavljeni, svi uvjeti iz Priloga 8. podliježu provjeri „nužnosti”. Kako je pojasnio ICO, „u ovom kontekstu ‚nužno’ znači da se obrada mora odnositi na nužnu društvenu potrebu koja se ne može relativno lako ostvariti manje nametljivim sredstvima” (71). Nadalje, neki od tih uvjeta podliježu dodatnim ograničenjima. Na primjer, za oslanjanje na uvjet koji se odnosi na „zakonske svrhe” i uvjet koji se odnosi na „zaštitu” (točke 1. i 4. Priloga 8.) potrebno je dodatno provjeriti postoji li značajan javni interes. Nadalje, s obzirom na uvjete koji se odnose na zaštitu djece (točka 4. Priloga 8.) ispitanik mora ujedno biti odgovarajuće dobi i mora se smatrati da je u opasnosti. Nadalje, voditelj obrade može primijeniti uvjet iz točke 4. Priloga 8. samo u slučaju posebnih okolnosti (72). Slično tomu, postoje ograničenja i u pogledu uvjeta koji se odnose na „sudske akte” i „sprečavanje prijevara” (točka 7. odnosno točka 8. Priloga 8.). Oba se uvjeta primjenjuju samo na određene voditelje obrade. U slučaju sudskih akata taj uvjet može primjenjivati samo sud ili drugo pravosudno tijelo, dok u slučaju sprečavanja prijevara taj uvjet mogu primjenjivati samo voditelji obrade koji su organizacije za suzbijanje prijevara.

(42)

Naposljetku, ako se obrada oslanja na jedan od uvjeta navedenih u Prilogu 8., u skladu s povezanim člankom 42. DPA-a iz 2018., mora postojati „dokument o odgovarajućoj politici” (u kojem se objašnjavaju postupci voditelja obrade za osiguravanje usklađenosti s načelima zaštite podataka i politike voditelja obrade u pogledu zadržavanja i brisanja osobnih podataka) te se primjenjuje obveza vođenja proširene evidencije.

(43)

Osobni podaci trebali bi se obrađivati u određenu svrhu i zatim se upotrebljavati samo ako to nije nespojivo sa svrhom obrade. To načelo zaštite podataka zajamčeno je člankom 36. DPA-a iz 2018. Tom se odredbom, slično članku 4. stavku 1. točki (b) Direktive (EU) 2016/680, zahtijeva: (a) da svrha kaznenog progona u koju se osobni podaci prikupljaju mora u svakom slučaju biti posebna, izričita i zakonita; i (b) da se tako prikupljeni osobni podaci ne smiju obrađivati na način koji je nespojiv sa svrhom u koju su prikupljeni.

(44)

Ako nadležna tijela obrađuju podatke u svrhu kaznenog progona, to može uključivati svrhe arhiviranja, svrhe znanstvenog ili povijesnog istraživanja i statističke svrhe (73). U tim se slučajevima u DPA-u iz 2018. pojašnjava i to da arhiviranje (ili obrada u svrhe znanstvenog ili povijesnog istraživanja i statističke svrhe) nije dopušteno ako se obavlja u pogledu odluka donesenih u odnosu na određenog ispitanika ili ako će se ispitaniku time vjerojatno prouzročiti znatna šteta ili duševna bol (74).

(45)

Podaci moraju biti točni i, prema potrebi, ažurirani. Osim toga, moraju biti primjereni i relevantni te ne smiju biti pretjerani u odnosu na svrhe u koje se obrađuju. Slično članku 4. stavku 1. točkama (c), (d) i (e) Direktive (EU) 2016/680, ta su načela osigurana u člancima 37. i 38. DPA-a iz 2018. Moraju se poduzeti sve opravdane mjere kako bi se osiguralo da se osobni podaci koji su netočni (75) bez odgode izbrišu ili isprave (76), vodeći računa o svrsi kaznenog progona u koju se obrađuju (77), i kako bi se osiguralo da se osobni podaci koji su netočni, nepotpuni ili više nisu ažurni ne prenose niti stavljaju na raspolaganje u bilo koju od svrha kaznenog progona (78).

(46)

Nadalje, slično članku 7. Direktive (EU) 2016/680, u okviru režima zaštite podataka Ujedinjene Kraljevine propisuje se da se osobni podaci utemeljeni na činjenicama moraju, u mjeri u kojoj je to moguće, razlikovati od osobnih podataka utemeljenih na osobnim procjenama (79). Tamo gdje je to relevantno i u mjeri u kojoj je to moguće mora se napraviti jasna razlika između osobnih podataka koji se odnose na različite kategorije ispitanika, kao što su osumnjičenici, osobe osuđene za kaznena djela, žrtve kaznenih djela i svjedoci (80).

(47)

U skladu s člankom 5. Direktive (EU) 2016/680 podaci bi se načelno trebali čuvati samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju. U skladu s člankom 39. DPA-a iz 2018. i slično članku 5. te direktive zabranjeno je osobne podatke koji su obrađivani u bilo koju od svrha kaznenog progona čuvati dulje od vremena koje je potrebno s obzirom na svrhu u koju se obrađuju. U okviru pravnog režima Ujedinjene Kraljevine zahtijeva se da se moraju utvrditi odgovarajući rokovi za periodično preispitivanje potrebe za daljnjom pohranom osobnih podataka u bilo koju od svrha kaznenog progona. Dodatna pravila o praksama koje se odnose na zadržavanje osobnih podataka i odgovarajućim vremenskim rokovima utvrđena su u relevantnom zakonodavstvu i smjernicama kojima se uređuju ovlasti i djelovanje policije. Na primjer, u Engleskoj i Walesu u Kodeksu prakse za upravljanje policijskim informacijama Nacionalne agencije za policiju, zajedno sa Smjernicama o odobrenoj profesionalnoj praksi za upravljanje policijskim informacijama, daje se okvir za upravljanje operativnim policijskim informacijama radi osiguravanja usklađenog postupka zadržavanja, preispitivanja i brisanja podataka koji se temelji na procjeni rizika (81). U tom se okviru jasno utvrđuju očekivanja na razini cijele službe u pogledu načina na koji bi se unutar pojedinih policijskih službi i drugih tijela te među njima informacije trebale stvarati, razmjenjivati i koristiti te načina na koji bi njima trebalo upravljati (82). Od policije se očekuje da poštuje Kodeks prakse, a poštovanje tog kodeksa provjerava Inspektorat za policiju te vatrogasne i spasilačke službe u Engleskoj i Walesu (Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services) (83).

(48)

Od Policijske službe Sjeverne Irske (PSNI) zakonom se ne zahtijeva da poštuje Kodeks prakse za upravljanje policijskim informacijama. Međutim, okvir za upravljanje policijskim informacijama koji je donesen 2011. dopunjen je Priručnikom Policijske službe Sjeverne Irske (84), u kojem se utvrđuju politike i postupci o načinu primjene Kodeksa prakse za upravljanje policijskim informacijama u Sjevernoj Irskoj.

(49)

Policijske snage u Škotskoj oslanjaju se na standardni operativni postupak za zadržavanje evidencije (85), kojim se podupire politika upravljanja evidencijom (86) Policijske službe Škotske. U okviru standardnog operativnog postupka utvrđuju se posebna pravila za zadržavanje evidencije koju drži škotska policija.

(50)

Osim sveobuhvatnog glavnog zahtjeva o preispitivanju evidencija koji se primjenjuje u cijeloj Ujedinjenoj Kraljevini, dodatne pojedinosti predviđene su u lokaliziranim pravilima. U nastavku se navodi nekoliko primjera tih pravila: kad je riječ o Engleskoj i Walesu, u Zakonu o policiji i kaznenim dokazima, kako je izmijenjen Zakonom o zaštiti sloboda iz 2012., utvrđuju se odredbe o zadržavanju otisaka prstiju i profila DNK-a te poseban režim za neosuđene pojedince (87). Zakonom o zaštiti sloboda uspostavljen je položaj povjerenika za zadržavanje i korištenje biometrijskog materijala („povjerenik za biometrijske podatke”) (88). Posebna pravila o fotografijama lica pritvorenika utvrđena su u okviru preispitivanja korištenja i čuvanja fotografija lica zatvorenika iz 2017. (89) Kad je riječ o Škotskoj, u Zakonu o kaznenom postupku za Škotsku iz 1995. predviđaju se pravila za uzimanje i zadržavanje otisaka prstiju i bioloških uzoraka (90). Kao i u slučaju Engleske i Walesa, zakonodavstvom se uređuje zadržavanje biometrijskih podataka u različitim slučajevima (91).

(51)

Osobni podaci moraju se obrađivati tako da se jamči njihova sigurnost, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja. U tu svrhu tijela javne vlasti trebaju poduzeti odgovarajuće tehničke ili organizacijske mjere za zaštitu osobnih podataka od mogućih prijetnji. Te mjere moraju se procijeniti tako da se uzmu u obzir najnovija dostignuća i povezani troškovi.

(52)

Ta se načela odražavaju u članku 40. DPA-a iz 2018. prema kojem, slično članku 4. stavku 1. točki (f) Direktive (EU) 2016/680, osobni podaci koji se obrađuju u bilo koju od svrha kaznenog progona moraju se obrađivati na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, primjenom odgovarajućih tehničkih ili organizacijskih mjera. To uključuje zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja (92). U članku 66. DPA-a iz 2018. dodatno se navodi da svaki voditelj obrade i svaki izvršitelj obrade moraju provesti odgovarajuće tehničke i organizacijske mjere kako bi osigurali razinu sigurnosti koja je primjerena rizicima koji proizlaze iz obrade osobnih podataka. Prema Objašnjenjima voditelj obrade mora procijeniti rizike i na temelju te procjene provesti odgovarajuće sigurnosne mjere, primjerice, enkripciju ili posebne razine sigurnosnog odobrenja za osoblje koje obrađuje podatke (93). U procjeni se mora uzeti u obzir i, primjerice, prirodu podataka koji se obrađuju i sve ostale relevantne čimbenike ili okolnosti koji bi mogli utjecati na sigurnost obrade.

(53)

Režim kojim se uređuje usklađenost s načelima zaštite podataka vrlo je sličan režimu uspostavljenom člancima od 29. do 31. Direktive (EU) 2016/680. Konkretno, u slučaju povrede osobnih podataka koja se odnosi na osobne podatke za koje je voditelj obrade odgovoran, prema članku 67. stavku 1. DPA-a iz 2018., voditelj obrade mora, bez nepotrebne odgode, i ako je izvedivo, u roku od 72 sata od saznanja za tu povredu izvijestiti povjerenika za informiranje o povredi osobnih podataka (94). Obveza izvješćivanja ne primjenjuje se ako povreda osobnih podataka vjerojatno neće rezultirati rizikom za prava i slobode pojedinaca (95). Voditelj obrade mora dokumentirati činjenice povezane s bilo kojom povredom osobnih podataka, njezine posljedice i poduzete korektivne mjere tako da se povjereniku za informiranje omogući provjera poštovanja DPA-a (96). Ako izvršitelj obrade sazna da je došlo do povrede sigurnosti, mora bez nepotrebne odgode o tome izvijestiti voditelja obrade (97).

(54)

Prema članku 68. stavku 1. DPA-a iz 2018., ako je vjerojatno da će povreda osobnih podataka prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade mora bez nepotrebne odgode obavijestiti ispitanika o toj povredi (98). Obavijest mora uključivati iste informacije kao i obavijest povjereniku za informiranje opisana u uvodnoj izjavi (53). Ta se obveza ne primjenjuje ako je voditelj obrade proveo odgovarajuće tehničke i organizacijske mjere zaštite koje su primijenjene na osobne podatke pogođene povredom. Ne primjenjuje se ni ako je voditelj obrade poduzeo naknadne mjere kojima se osigurava da pojava visokog rizika za prava i slobode ispitanika više nije vjerojatna. Naposljetku, od voditelja obrade ne zahtijeva se da obavijesti ispitanika ako bi to uključivalo nerazmjeran napor (99). U tom se slučaju ispitanika mora obavijestiti na drugi podjednako djelotvoran način, primjerice, javnim obavješćivanjem (100). Ako voditelj obrade nije obavijestio ispitanika o povredi, povjerenik za informiranje, nakon što ga je voditelj obrade izvijestio u skladu s člankom 67. DPA-a i nakon što je razmotrio vjerojatnost da će povreda osobnih podataka rezultirati visokim rizikom, može zahtijevati od voditelja obrade da obavijesti ispitanika o povredi (101).

(55)

Ispitanike se mora obavijestiti o glavnim obilježjima obrade njihovih osobnih podataka. To načelo zaštite podataka odražava se u članku 44. DPA-a iz 2018. u kojem se, slično članku 13. Direktive (EU) 2016/680, propisuje da voditelj obrade ima opću dužnost da ispitanicima stavi na raspolaganje informacije o obradi njihovih osobnih podataka (bilo na način da te informacije učini općenito dostupnima javnosti bilo na neki drugi način) (102). Informacije za koje se zahtijeva da se stave na raspolaganje uključuju: (a) identitet i kontaktne podatke voditelja obrade; (b) ako je primjenjivo, kontaktne podatke službenika za zaštitu podataka; (c) svrhe u koje voditelj obrade obrađuje osobne podatke; (d) postojanje prava ispitanika da od voditelja obrade zatraži pristup osobnim podacima, ispravak osobnih podataka i brisanje osobnih podataka ili ograničavanje njihove obrade; i (e) pravo na podnošenje pritužbe povjereniku za informiranje i kontaktne podatke povjerenika (103).

(56)

Osim toga, voditelj obrade mora u posebnim slučajevima u svrhu omogućivanja ostvarivanja prava ispitanika na temelju DPA-a iz 2018. (primjerice, ako su osobni podaci koji se obrađuju prikupljeni bez znanja ispitanika) ispitaniku dati: (a) informacije o pravnoj osnovi za obradu; (b) informacije o razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, o kriterijima koji se primjenjuju za određivanje tog razdoblja; (c) ako je primjenjivo, informacije o kategorijama primatelja osobnih podataka (uključujući primatelje u trećim zemljama ili međunarodnim organizacijama); (d) dodatne informacije koje su potrebne kako bi se omogućilo ostvarivanje prava ispitanika na temelju dijela 3. DPA-a iz 2018. (104)

(57)

Ispitanicima se mora priznati niz provedivih prava. U dijelu 3. poglavlju 3. DPA-a iz 2018. predviđaju se prava pojedinaca na pristup podacima, ispravak podataka te brisanje podataka i ograničavanje obrade (105), koja su usporediva s pravima predviđenima u poglavlju III. Direktive (EU) 2016/680.

(58)

Pravo na pristup podacima utvrđeno je u članku 45. DPA-a iz 2018. Kao prvo, pojedinac ima pravo dobiti potvrdu od voditelja obrade o tome obrađuju li se njegovi osobni podaci (106). Kao drugo, ako se osobni podaci obrađuju, ispitanik ima pravo na pristup tim podacima i dobivanje sljedećih informacija o obradi: (a) informacija o svrhama obrade i pravnim osnovama za obradu; (b) informacija o kategorijama predmetnih podataka; (c) informacija o primatelju kojem su ti podaci otkriveni; (d) informacija o razdoblju u kojem će ti osobni podaci biti pohranjeni; (e) informacija o postojanju prava ispitanika na ispravak i brisanje osobnih podataka; (f) informacija o pravu na podnošenje pritužbe; i (g) svih informacija o izvoru predmetnih osobnih podataka (107).

(59)

U skladu s člankom 46. DPA-a iz 2018. ispitanik ima pravo da od voditelja obrade zatraži ispravljanje netočnih osobnih podataka koji se odnose na njega. Voditelj obrade mora bez nepotrebne odgode ispraviti te podatke (ili ih dopuniti ako su podaci netočni zbog nepotpunosti). Ako se ti osobni podaci moraju sačuvati kao dokaz, voditelj obrade mora (umjesto ispravljanja osobnih podataka) ograničiti njihovu obradu (108).

(60)

U članku 47. DPA-a iz 2018. pojedincima se priznaje pravo na brisanje podataka i ograničavanje obrade. Voditelj obrade mora (109) izbrisati osobne podatke bez nepotrebne odgode ako bi se obradom osobnih podataka kršilo bilo koje od načela zaštite podataka, pravne osnove za obradu ili zaštitne mjere povezane s arhiviranjem i osjetljivom obradom. Voditelj obrade mora podatke izbrisati i ako ima pravnu obvezu da to učini. Ako se ti osobni podaci moraju sačuvati kao dokaz, voditelj obrade mora (umjesto brisanja osobnih podataka) ograničiti njihovu obradu (110). Voditelj obrade mora ograničiti obradu osobnih podataka ako ispitanik osporava točnost osobnih podataka, ali nije moguće utvrditi jesu li oni točni ili nisu (111).

(61)

Ako ispitanik zatraži ispravak ili brisanje osobnih podataka ili ograničavanje njihove obrade, voditelj obrade mora pisanim putem obavijestiti ispitanika o tome je li taj zahtjev odobren, a ako je odbijen, obavijestiti ispitanika o razlozima za odbijanje i raspoloživim mogućnostima za pravnu zaštitu (pravo ispitanika da povjereniku za informiranje podnese zahtjev za istragu zakonitosti primjene ograničavanja, pravo na podnošenje pritužbe povjereniku za informiranje i pravo na obraćanje sudu radi izdavanja naloga za udovoljavanje zahtjevu) (112).

(62)

Ako voditelj obrade ispravi osobne podatke primljene od drugog nadležnog tijela, mora o tome obavijestiti to drugo tijelo (113). Ako voditelj obrade ispravi ili izbriše osobne podatke ili ograniči obradu osobnih podataka koje je voditelj obrade otkrio, voditelj obrade mora o tome obavijestiti primatelje, a ti primatelji moraju na sličan način ispraviti ili izbrisati te osobne podatke ili ograničiti njihovu obradu (u mjeri u kojoj su i dalje dužni to učiniti) (114).

(63)

Nadalje, ispitanik ima pravo da ga voditelj obrade bez nepotrebne odgode obavijesti o povredi osobnih podataka kad je vjerojatno da će ta povreda rezultirati visokim rizikom za prava i slobode pojedinaca (115).

(64)

U odnosu na sva ta prava ispitanika i slično onomu što je predviđeno u članku 12. Direktive (EU) 2016/680, voditelj obrade obvezan je osigurati da se sve informacije ispitaniku pružaju u jezgrovitom, razumljivom i lako dostupnom obliku (116) te bi se, ako je moguće, trebale pružati u istom obliku u kojem je zahtjev (117). Voditelj obrade mora udovoljiti zahtjevu ispitanika bez nepotrebne odgode ili u svakom slučaju, načelno, prije isteka roka od mjesec dana od podnošenja zahtjeva (118). Ako voditelj obrade ima opravdane sumnje u pogledu identiteta pojedinca, može zatražiti dodatne informacije i odgoditi postupanje po zahtjevu dok se ne utvrdi identitet pojedinca. Voditelj obrade može zatražiti plaćanje razumne naknade ili odbiti postupiti po zahtjevu ako smatra da je zahtjev očito neutemeljen (119). ICO je izdao smjernice o tome kad se zahtjev smatra očito neutemeljenim ili pretjeranim i kad se može zatražiti plaćanje naknade (120).

(65)

Nadalje, na temelju članka 53. stavka 4. DPA-a iz 2018. ministar može uredbom odrediti najviši iznos naknade.

(66)

Nadležno tijelo može u određenim okolnostima ograničiti određena prava ispitanika: pravo ispitanika na pristup podacima (121), pravo da bude informiran (122), pravo da sazna za povredu osobnih podataka (123) i pravo da ga se obavijesti o razlogu odbijanja zahtjeva za ispravak ili brisanje podataka (124). Slično režimu koji je predviđen u poglavlju III. Direktive (EU) 2016/680 nadležno tijelo može ograničenje primijeniti samo ako je to, uzimajući u obzir temeljna prava i legitimne interese ispitanika, nužno i proporcionalno kako bi se: (a) izbjeglo ometanje službenog ili pravnog ispitivanja, istrage ili postupka; (b) izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija; (c) zaštitila javna sigurnost; (d) zaštitila nacionalna sigurnost; (e) zaštitili prava i slobode drugih.

(67)

ICO je izdao smjernice o primjeni tih ograničenja. Prema tim smjernicama voditelji obrade moraju provesti analizu na pojedinačnoj osnovi radi uspostavljanja ravnoteže između prava pojedinaca i štete koja bi nastala otkrivanjem. Točnije, moraju obrazložiti svako primijenjeno ograničenje kao nužno i proporcionalno te smiju ograničiti pružene informacije samo ako bi se njima dovele u pitanje prethodno navedene svrhe (125).

(68)

Postoji i niz drugih smjernica koje su izdala nadležna tijela u kojima se daju detaljne informacije o svim aspektima zakonodavstva o zaštiti podataka, uključujući primjenu ograničenja prava ispitanika (126). Na primjer, u odnosu na članak 45. stavak 4. u Priručniku o zaštiti podataka Nacionalnog vijeća načelnika policije navodi se sljedeće: „Važno je imati na umu da se ograničenja mogu primjenjivati samo u mjeri u kojoj je to nužno i samo onoliko dugo koliko je to nužno. Stoga nisu dopuštene opća primjena ograničenja na sve osobne podatke određenog ispitanika ni trajna primjena ograničenja. Kad je riječ o potonjem, često je slučaj da se osobni podaci prikupljeni bez znanja ispitanika koji je osumnjičenik u istrazi moraju na početku zaštititi od otkrivanja tom ispitaniku, da bi se izbjeglo dovođenje u pitanje istrage dok je ona u tijeku, ali kasnije ne bi bilo nikakve štete od otkrivanja ako su osobni podaci otkriveni tom pojedincu za vrijeme razgovora. Policijske snage moraju uvesti postupke koji osiguravaju da se ta ograničenja primjenjuju samo u mjeri u kojoj je to potrebno i u trajanju koje je nužno” (127). U tim se smjernicama navode i primjeri situacija u kojima će se svako od ograničenja vjerojatno primjenjivati (128).

(69)

Nadalje, u odnosu na mogućnost ograničavanja bilo kojeg od prethodno navedenih prava radi zaštite „nacionalne sigurnosti” voditelj obrade može podnijeti zahtjev za potvrdu koju potpisuje ministar koji je član kabineta ili glavni krunski odvjetnik (Attorney General) (ili glavni odvjetnik za Škotsku (Advocate General for Scotland) ), a kojom se potvrđuje da je ograničenje tih prava nužna i proporcionalna mjera za zaštitu nacionalne sigurnosti (129). Vlada Ujedinjene Kraljevine izdala je smjernice o potvrdama o nacionalnoj sigurnosti na temelju DPA-a iz 2018. u kojima se ponajprije naglašava da svako ograničenje prava ispitanika radi zaštite nacionalne sigurnosti mora biti proporcionalno i nužno (130) (za više pojedinosti o potvrdama o nacionalnoj sigurnosti vidjeti uvodne izjave od (131). do (134).).

(70)

Nadalje, ako se primjenjuje ograničenje prava ispitanika, nadležno tijelo mora obavijestiti ispitanika bez nepotrebne odgode o tome da su njegova prava ograničena, o razlozima za to ograničenje i o raspoloživim mogućnostima za pravnu zaštitu, osim ako bi pružanje tih informacija ugrozilo razlog za primjenu ograničenja (131). Kao dodatna zaštitna mjera protiv zloupotrebe ograničenja voditelj obrade mora evidentirati razloge za ograničenje informacija i na zahtjev staviti tu evidenciju na raspolaganje povjereniku za informiranje (132).

(71)

Ako voditelj obrade odbije dati dodatne informacije o transparentnosti, ili pristup podacima, ili ako odbije zahtjev za ispravak ili brisanje podataka ili ograničavanje obrade, pojedinac može zatražiti od povjerenika za informiranje da istraži je li voditelj obrade ograničenje primijenio zakonito (133). Osim toga, predmetni pojedinac može podnijeti i pritužbu povjereniku za informiranje ili se obratiti sudu da izda nalog voditelju obrade za udovoljavanje zahtjevu (134).

(72)

Članci 49. i 50. DPA-a iz 2018. obuhvaćaju prava povezana s automatiziranim donošenjem odluka odnosno zaštitnim mjerama koje treba primijeniti (135). Slično kao i u članku 11. Direktive (EU) 2016/680, voditelj obrade može donijeti značajnu odluku utemeljenu samo na automatiziranoj obradi osobnih podataka isključivo ako se to zahtijeva ili je odobreno pravom (136). Odluka je značajna ako bi dovela do negativnih pravnih posljedica za ispitanika ili bi na njega znatno utjecala (137).

(73)

Ako se od voditelja obrade pravom zahtijeva ili ako mu je pravom dopušteno da donosi značajne odluke, u članku 50. DPA-a iz 2018. utvrđuju se zaštitne mjere koje će se primjenjivati na takvu odluku (koja se definira kao „kvalificirana značajna odluka”). Voditelj obrade mora, čim je to razumno izvedivo, obavijestiti ispitanika da je takva odluka donesena. Ispitanik potom može u roku od mjesec dana zatražiti od voditelja obrade da preispita tu odluku ili donese novu odluku koja se ne temelji samo na automatiziranoj obradi. Voditelj obrade mora razmotriti zahtjev i obavijestiti ispitanika o ishodu tog razmatranja. U DPA-u iz 2018. ministru se daje ovlast za donošenje uredbi za dodatne zaštitne mjere (138). Zasad nisu donesene takve uredbe.

(74)

Razina zaštite osobnih podataka koje tijelo kaznenog progona države članice prenosi tijelu kaznenog progona u Ujedinjenoj Kraljevini ne smije se ugroziti daljnjim prijenosom takvih podataka primateljima u trećoj zemlji. Takvi „daljnji prijenosi”, koji su iz perspektive tijela kaznenog progona iz Ujedinjene Kraljevine međunarodni prijenosi iz Ujedinjene Kraljevine, trebali bi biti dopušteni samo ako daljnji primatelj izvan Ujedinjene Kraljevine i sam podliježe pravilima koja osiguravaju razinu zaštite sličnu onoj koja se jamči pravnim poretkom Ujedinjene Kraljevine.

(75)

Režim Ujedinjene Kraljevine za međunarodne prijenose uređen je u dijelu 3. poglavlju 5. DPA-a iz 2018. (139) i u njemu se odražava pristup primijenjen u poglavlju V. Direktive (EU) 2016/680. Točnije, da bi se osobni podaci prenijeli u treću zemlju, nadležno tijelo mora ispuniti tri uvjeta: (a) prijenos mora biti nužan u svrhu kaznenog progona; (b) prijenos se mora temeljiti na: i. uredbi o primjerenosti koja se odnosi na tu treću zemlju; ii. ako se ne temelji na uredbi o primjerenosti, mora se temeljiti na postojanju odgovarajućih zaštitnih mjera; ili iii. ako se ne temelji na odluci o primjerenosti ni odgovarajućim zaštitnim mjerama, mora se temeljiti na posebnim okolnostima; i (c) primatelj prijenosa mora biti: i. relevantno tijelo (tj. ekvivalent nadležnom tijelu) u toj trećoj zemlji; ii. „relevantna međunarodna organizacija”, npr. međunarodno tijelo koje obavlja funkcije koje odgovaraju bilo kojoj od svrha kaznenog progona; iii. osoba koja nije relevantno tijelo, ali samo ako je prijenos nužan za obavljanje jedne od svrha kaznenog progona; ako temeljna prava i slobode predmetnog ispitanika nemaju prednost nad javnim interesom koji iziskuje prijenos; ako bi prijenos osobnih podataka relevantnom tijelu u toj trećoj zemlji bio nedjelotvoran ili neprimjeren; i ako je primatelj obaviješten o svrhama u koje se ti podaci mogu obrađivati (140).

(76)

Uredbe o primjerenosti koje se odnose na treću zemlju, područje ili sektor unutar treće zemlje, međunarodnu organizaciju ili opis (141) takve zemlje, područja, sektora ili organizacije donosi ministar. Kad je riječ o standardu koji treba zadovoljiti, ministar mora procijeniti osigurava li to područje/sektor/organizacija primjerenu razinu zaštite osobnih podataka. U članku 74.A stavku 4. DPA-a iz 2018. propisuje se da u tu svrhu ministar mora razmotriti niz elemenata koji odražavaju elemente navedene u članku 36. Direktive (EU) 2016/680 (142). S obzirom na to, od kraja prijelaznog razdoblja, dio 3. DPA-a iz 2018. čini „domaće zakonodavstvo koje proizlazi iz prava EU-a” koje će, kako je objašnjeno, sudovi Ujedinjene Kraljevine tumačiti u skladu s relevantnom sudskom praksom Suda koja je postojala prije izlaska Ujedinjene Kraljevine iz Unije i općim načelima prava Unije, u skladu s pravnim učinkom koji su ta praksa i načela imali neposredno prije kraja prijelaznog razdoblja. To uključuje standard prema kojem se procjenjuje je li zaštita „u osnovi istovjetna” i koji će se stoga primjenjivati na procjene primjerenosti koje provode tijela Ujedinjene Kraljevine.

(77)

Na te se uredbe primjenjuju „opći” postupovni zahtjevi predviđeni u članku 182. DPA-a iz 2018. U okviru tog postupka ministar se mora savjetovati s povjerenikom za informiranje kad predlaže donošenje buduće uredbe o primjerenosti Ujedinjene Kraljevine (143). Nakon što je ministar donese, ta se uredba upućuje Parlamentu i podliježe postupku „negativnog vijećanja” (negative resolution procedure) u okviru kojeg oba doma Parlamenta mogu preispitati uredbu i izglasati prijedlog o ukidanju uredbe u roku od 40 dana (144).

(78)

Prema članku 74.B stavku 1. DPA-a iz 2018. uredbe o primjerenosti moraju se preispitivati u razmacima koji nisu dulji od četiri godine, a ministar mora kontinuirano pratiti promjene u trećim zemljama i međunarodnim organizacijama koje bi mogle utjecati na odluke o donošenju uredbi o primjerenosti ili na izmjenu ili ukidanje takvih uredbi. Ako ministar utvrdi da određena zemlja ili organizacija više ne osigurava primjerenu razinu zaštite osobnih podataka, mora, u mjeri u kojoj je to potrebno, izmijeniti ili ukinuti uredbu i pokrenuti savjetovanje s predmetnom trećom zemljom ili međunarodnom organizacijom kako bi riješili problem nedostatka primjerene razine zaštite.

(79)

Slično onomu što je predviđeno u članku 37. Direktive (EU) 2016/680, u nedostatku uredbe o primjerenosti prijenos osobnih podataka u kontekstu sektora kaznenog progona bio bi moguć ako postoje odgovarajuće zaštitne mjere. Takve se zaštitne mjere osiguravaju ili (a) obvezujućim pravnim instrumentom koji sadržava odgovarajuće zaštitne mjere za zaštitu osobnih podataka ili (b) procjenom koju je proveo voditelj obrade koji, nakon što je procijenio sve okolnosti povezane s prijenosom, zaključuje da postoje odgovarajuće zaštitne mjere za zaštitu podataka (145). Nadalje, kad se prijenosi temelje na odgovarajućim zaštitnim mjerama, u DPA-u iz 2018. predviđa se da, pored uobičajenog nadzora koji obavlja ICO, nadležna tijela moraju ICO-u dostaviti posebne informacije o prijenosima (146).

(80)

Ako se prijenos ne temelji na odluci o primjerenosti ili odgovarajućim zaštitnim mjerama, moguć je samo u nekim određenim okolnostima, takozvanim „posebnim okolnostima” (147). To su slučajevi u kojima je prijenos nužan: (a) kako bi se zaštitili vitalni interesi ispitanika ili druge osobe; (b) kako bi se zaštitili legitimni interesi ispitanika; (c) kako bi se spriječila neposredna i ozbiljna prijetnja javnoj sigurnosti treće zemlje; (d) u pojedinačnim slučajevima u neku od svrha kaznenog progona; ili (e) u pojedinačnim slučajevima u pravnu svrhu (na primjer, u vezi sa sudskim postupkom ili radi dobivanja pravnog savjeta) (148). Treba napomenuti da se točke (d) i (e) ne primjenjuju ako prava i slobode ispitanika imaju prednost pred javnim interesom za prijenos (149). Ta skupina okolnosti odgovara posebnim situacijama i uvjetima koji predstavljaju „odstupanja” na temelju članka 38. Direktive (EU) 2016/680.

(81)

U tim se okolnostima moraju dokumentirati datum, vrijeme i obrazloženje prijenosa, ime primatelja i sve ostale bitne informacije o primatelju, kao i opis osobnih podataka koji se prenose, i te se informacije moraju dostaviti povjereniku za informiranje na njegov zahtjev (150).

(82)

U članku 78. DPA-a iz 2018. uređuje se scenarij „naknadnih prijenosa” (subsequent transfers), to jest situacija kad se osobni podaci koji su preneseni iz Ujedinjene Kraljevine u treću zemlju nakon toga prenose u još jednu treću zemlju ili međunarodnoj organizaciji. U skladu s člankom 78. stavkom 1. voditelj obrade iz Ujedinjene Kraljevine koji obavlja prijenos mora uvjetovati prijenos time da se podaci ne smiju dalje prenositi u treću zemlju bez odobrenja tog voditelja obrade koji obavlja prijenos. Osim toga, u skladu s člankom 78. stavkom 3., a slično onomu što je predviđeno u članku 35. stavku 1. točki (e) Direktive (EU) 2016/680, ako je takvo odobrenje potrebno, primjenjuje se niz materijalnih zahtjeva. Konkretnije, pri odlučivanju o tome hoće li odobriti prijenos nadležno tijelo mora biti sigurno da je daljnji prijenos nužan u svrhu kaznenog progona te bi, među ostalim čimbenicima, trebalo uzeti u obzir: (a) ozbiljnost okolnosti koje su dovele do zahtjeva za odobrenje; (b) svrhu u koju su osobni podaci izvorno preneseni; i (c) standarde za zaštitu osobnih podataka koji se primjenjuju u trećoj zemlji ili međunarodnoj organizaciji kojoj bi se osobni podaci prenijeli.

(83)

Nadalje, ako su podaci koji su predmet daljnjeg prijenosa iz Ujedinjene Kraljevine izvorno preneseni iz Europske unije, primjenjuju se dodatne zaštitne mjere.

(84)

Prvo, u članku 73. stavku 1. točki (b) DPA-a iz 2018. – slično kao i u članku 35. stavku 1. točki (c) Direktive (EU) 2016/680 – predviđa se da je, u slučaju u kojem je država članica izvorno prenijela osobne podatke ili ih je na drugi način stavila na raspolaganje voditelju obrade ili drugom nadležnom tijelu, ta država članica ili bilo koja osoba iz te države članice koja je nadležno tijelo za potrebe Direktive (EU) 2016/680 morala odobriti taj prijenos u skladu s pravom te države članice.

(85)

Međutim, slično kao i u članku 35. stavku 2. Direktive (EU) 2016/680, takvo se odobrenje ne zahtijeva (a) ako je prijenos nužan za sprečavanje neposredne i ozbiljne prijetnje bilo javnoj sigurnosti države članice ili treće zemlje bilo bitnim interesima države članice i (b) ako se odobrenje ne može pravodobno dobiti. U tom se slučaju mora bez odgode obavijestiti tijelo u toj državi članici koje bi bilo odgovorno za odlučivanje o odobravanju tog prijenosa (151).

(86)

Drugo, isti se pristup primjenjuje u slučaju kad su podaci izvorno preneseni iz Europske unije u Ujedinjenu Kraljevinu, a potom ih je Ujedinjena Kraljevina dalje prenijela u treću zemlju koja bi ih nakon toga dalje prenijela u treću zemlju. U tom slučaju, u skladu s člankom 78. stavkom 4. nadležno tijelo Ujedinjene Kraljevine ne može dati svoje odobrenje za potonji prijenos, na temelju članka 78. stavka 1., osim ako je „država članica [koja je izvorno prenijela predmetne podatke] ili bilo koja osoba iz te države članice, a koja je nadležno tijelo za potrebe Direktive o zaštiti podataka u svrhe kaznenog progona, odobrila taj prijenos u skladu s pravom te države članice”. Te su zaštitne mjere važne jer omogućuju tijelima država članica da osiguraju kontinuitet zaštite, u skladu s pravom Unije o zaštiti podataka, u cijelom „lancu prijenosa”.

(87)

Taj novi okvir za međunarodne prijenose postao je primjenjiv na kraju prijelaznog razdoblja (152). Međutim, u točkama od 10. do 12. Priloga 21. (uvedenima Uredbom DPPEC) predviđa se da se na kraju prijelaznog razdoblja s određenim prijenosima osobnih podataka postupa kao da se temelje na propisima o primjerenosti. Ti prijenosi uključuju prijenose državi članici, državi EFTA-e, trećoj zemlji na koju se na kraju prijelaznog razdoblja primjenjivala odluka o primjerenosti EU-a i području Gibraltara. Stoga se prijenosi u te zemlje mogu nastaviti kao i prije povlačenja Ujedinjene Kraljevine iz Unije. Nakon kraja prijelaznog razdoblja ministar mora preispitati te nalaze o primjerenosti u roku od četiri godine, tj. do kraja prosinca 2024. Prema objašnjenju koje su dala tijela Ujedinjene Kraljevine, iako ministar treba provesti to preispitivanje do kraja prosinca 2024., prijelazne odredbe ne sadržavaju odredbu o vremenskom ograničenju valjanosti, pa relevantne prijelazne odredbe neće automatski prestati imati učinak ako se preispitivanje ne dovrši do kraja prosinca 2024.

(88)

Na temelju načela odgovornosti tijela javne vlasti koja obrađuju podatke moraju uspostaviti odgovarajuće tehničke i organizacijske mjere kako bi djelotvorno ispunila svoje obveze u pogledu zaštite podataka te mogla dokazati da su ispunjene, prije svega nadležnom nadzornom tijelu.

(89)

To se načelo odražava u članku 56. DPA-a iz 2018., u kojem se uvodi opća obveza o odgovornosti voditelja obrade, tj. obveza da provede odgovarajuće tehničke i organizacijske mjere kako bi osigurao, i kako bi mogao dokazati, da je obrada osobnih podataka usklađena sa zahtjevima iz dijela 3. DPA-a iz 2018. Provedene mjere moraju se preispitivati i ažurirati prema potrebi te, ako je to razmjerno s obzirom na obradu, moraju uključivati odgovarajuće politike zaštite podataka.

(90)

U skladu s poglavljem IV. Direktive (EU) 2016/680, u člancima od 55. do 71. DPA-a iz 2018. predviđaju se različiti mehanizmi za osiguranje odgovornosti i omogućivanje voditeljima obrade i izvršiteljima obrade da dokažu usklađenost. Točnije, od voditelja obrade zahtijeva se da provedu mjere za tehničku i integriranu zaštitu podataka, tj. da osiguraju da su načela zaštite podataka djelotvorno provedena, te se zahtijeva da vode evidencije svih kategorija aktivnosti obrade za koje je voditelj obrade odgovoran (uključujući informacije o identitetu voditelja obrade, kontaktne podatke službenika za zaštitu podataka, svrhe obrade, kategorije primatelja otkrivanja te opis kategorija ispitanika i osobnih podataka) i da na zahtjev tu evidenciju stavljaju na raspolaganje povjereniku za informiranje. Voditelj obrade i izvršitelj obrade moraju bilježiti i zapise za određene postupke obrade i staviti ih na raspolaganje povjereniku za informiranje (153). Od voditelja obrade posebno se zahtijeva i da surađuju s povjerenikom za informiranje u obavljanju njegovih zadaća.

(91)

U DPA-u iz 2018. utvrđuju se i dodatni zahtjevi za obradu koja će vjerojatno rezultirati visokim rizikom za prava i slobode pojedinaca. To uključuje obvezu provođenja procjena učinka na zaštitu podataka i obvezu savjetovanja s povjerenikom za informiranje prije obrade ako takva procjena ukaže na to da bi obrada mogla rezultirati visokim rizikom za prava i slobode pojedinaca (ako se ne bi poduzele mjere radi ublažavanja rizika).

(92)

Nadalje, voditelji obrade moraju imenovati službenika za zaštitu podataka, osim ako je voditelj obrade sud ili drugo sudsko tijelo koje djeluje u svojem sudbenom svojstvu (154). Voditelj obrade mora osigurati da je službenik za zaštitu podataka uključen u sva pitanja koja se odnose na zaštitu osobnih podataka, da ima potrebna sredstva te pristup osobnim podacima i postupcima obrade i da može neovisno obavljati svoje zadaće. Zadaće službenika za zaštitu podataka utvrđene su u članku 71. DPA-a iz 2018., uključujući davanje informacija i savjeta, praćenje usklađenosti te suradnju s povjerenikom za informiranje i djelovanje kao kontaktna točka za povjerenika za informiranje. U obavljanju svojih zadaća službenik za zaštitu podataka mora voditi računa o rizicima povezanima s postupcima obrade, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade.

(93)

Kako bi se primjerena razina zaštite podataka osigurala i u praksi, mora se uspostaviti neovisno nadzorno tijelo s ovlastima za praćenje i osiguravanje usklađenosti s pravilima o zaštiti podataka. To tijelo pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti mora djelovati potpuno neovisno i nepristrano.

(94)

U Ujedinjenoj Kraljevini nadzor i provedbu usklađenosti s Općom uredbom Ujedinjene Kraljevine o zaštiti podataka i DPA-om iz 2018. obavlja povjerenik za informiranje (155). Osim toga, povjerenik za informiranje nadzire i obradu osobnih podataka koju obavljaju nadležna tijela i koja je obuhvaćena područjem primjene dijela 3. DPA-a iz 2018. (156) Povjerenik za informiranje je tijelo pojedinac (corporation sole): zaseban pravni subjekt koji se sastoji od jedne osobe. Povjerenika za informiranje u radu podupire ured. Ured povjerenice za informiranje (ICO) 31. ožujka 2020. imao je 768 članova stalnog osoblja (157). Povjerenika za informiranje sponzorira Ministarstvo za digitalizaciju, kulturu, medije i sport (158).

(95)

Neovisnost povjerenika izričito je utvrđena u članku 52. Opće uredbe Ujedinjene Kraljevine o zaštiti podataka, koji odražava zahtjeve utvrđene u članku 52. stavcima od 1. do 3. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća (159). Povjerenik mora djelovati potpuno neovisno pri obavljanju dužnosti i izvršavanju ovlasti u skladu s Općom uredbom Ujedinjene Kraljevine o zaštiti podataka, mora biti slobodan od vanjskog utjecaja (izravnog ili neizravnog) te ne smije tražiti ni primati upute ni od koga. Povjerenik se mora suzdržati i od svih radnji koje nisu u skladu s njegovim dužnostima i za vrijeme mandata ne smije se baviti nikakvom neusklađenom djelatnošću, bez obzira na to je li plaćena.

(96)

Uvjeti za imenovanje i razrješenje povjerenika za informiranje utvrđeni su u Prilogu 12. DPA-u iz 2018. Povjerenika za informiranje imenuje Njezino Veličanstvo na preporuku Vlade na temelju poštenog i otvorenog natječaja. Kandidat mora imati odgovarajuće kvalifikacije, vještine i kompetencije. U skladu s Kodeksom upravljanja za imenovanje javnih službenika (Governance Code on Public Appointments) (160) savjetodavni odbor za procjenu sastavlja popis kandidata koji se mogu imenovati. Prije nego što ministar za digitalizaciju, kulturu, medije i sport donese konačnu odluku, odgovarajući posebni odbor Parlamenta mora provesti preispitivanje prije imenovanja. Stajalište odbora javno se objavljuje (161).

(97)

Mandat povjerenika za informiranje traje do sedam godina. Njezino Veličanstvo može povjerenika za informiranje razriješiti dužnosti na molbu obaju domova Parlamenta (162). Zahtjev za razrješenje povjerenika za informiranje ne može se podnijeti nijednom domu Parlamenta ako ministar ne dostavi izvješće tom domu u kojem navodi da je uvjeren da je povjerenik za informiranje teško povrijedio dužnosti i/ili da povjerenik više ne ispunjava uvjete koji se zahtijevaju za izvršavanje funkcija povjerenika (163).

(98)

Tri su izvora financiranja povjerenika za informiranje: i. naknade za zaštitu podataka koje plaćaju voditelji obrade i koje se određuju uredbom ministra (164) i čine 85–90 % godišnjeg proračuna Ureda (165); ii. subvencija koju Vlada može plaćati povjereniku za informiranje i koja se uglavnom koristi za financiranje troškova poslovanja povjerenika za informiranje u pogledu zadaća koje nisu povezane sa zaštitom podataka (166); i iii. naknade koje se naplaćuju za usluge (167). Trenutačno se ne naplaćuju takve naknade.

(99)

Opće funkcije povjerenika za informiranje u pogledu obrade osobnih podataka obuhvaćene područjem primjene dijela 3. DPA-a iz 2018. utvrđene su u Prilogu 13. DPA-u iz 2018. Te zadaće uključuju praćenje i provedbu dijela 3. DPA-a iz 2018., promicanje javne svijesti, savjetovanje Parlamenta, vlade i drugih institucija o zakonodavnim i upravnim mjerama, informiranje voditelja obrade i izvršitelja obrade o njihovim obvezama, davanje informacija ispitanicima o ostvarivanju njihovih prava i provođenje istraga. Kako bi se očuvala neovisnost sudstva, povjerenik za informiranje nije ovlašten izvršavati svoje funkcije u vezi s obradom osobnih podataka koju provodi pojedinac koji djeluje u sudbenom svojstvu ili sud u okviru svoje sudske nadležnosti. Međutim, nadzor nad sudstvom osiguravaju specijalizirana tijela, što se razmatra u nastavku.

(100)

Povjerenik ima opće istražne, korektivne i savjetodavne ovlasti te ovlasti za izdavanje odobrenja u vezi s obradom osobnih podataka na koju se primjenjuje dio 3. DPA-a iz 2018. Povjerenik ima ovlasti obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju dijela 3., izdavati upozorenja voditelju obrade ili izvršitelju obrade da će se namjeravanim postupcima obrade vjerojatno kršiti odredbe iz dijela 3. i izdavati opomene voditelju obrade ili izvršitelju obrade ako su postupcima obrade prekršene odredbe iz dijela 3. Nadalje, povjerenik može na vlastitu inicijativu ili na zahtjev davati mišljenja Parlamentu Ujedinjene Kraljevine, vladi ili drugim institucijama i tijelima te javnosti o svim pitanjima povezanima sa zaštitom osobnih podataka (168).

(101)

Nadalje, povjerenik je ovlašten:

(102)

U okviru politike regulatornog djelovanja ICO-a određuju se okolnosti u kojima će povjerenik izdati zahtjev za dostavu informacija, zahtjev za provjeru, zahtjev za izvršenje odnosno rješenje o kazni (173). Zahtjevom za izvršenje mogu se uvesti zahtjevi koje povjerenik smatra primjerenima za potrebe ispravljanja propusta. Rješenjem o kazni od osobe se zahtijeva da povjereniku za informiranje plati iznos naveden u rješenju. Rješenje o kazni može se izdati u slučaju nepoštovanja određenih odredbi iz DPA-a iz 2018. (174) ili se može izdati voditelju obrade ili izvršitelju obrade koji nije poštovao zahtjev za dostavu informacija, zahtjev za provjeru ili zahtjev za izvršenje.

(103)

Konkretnije, pri odlučivanju o tome treba li voditelju obrade ili izvršitelju obrade izdati rješenje o kazni i pri određivanju iznosa te kazne povjerenik za informiranje mora uzeti u obzir elemente navedene u članku 155. stavku 3. DPA-a iz 2018., uključujući prirodu i težinu povrede, ima li povreda obilježje namjere ili nepažnje, sve radnje koje je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici, stupanj odgovornosti voditelja obrade ili izvršitelja obrade (uzimajući u obzir tehničke i organizacijske mjere koje su primijenili), sve relevantne prijašnje povrede voditelja obrade ili izvršitelja obrade, kategorije osobnih podataka na koje je povreda utjecala te bi li kazna bila djelotvorna, proporcionalna i odvraćajuća.

(104)

Najviši iznos kazne koji se može izreći rješenjem o kazni iznosi (a) 17 500 000 GBP za nepoštovanje načela zaštite podataka (članci 35., 36. i 37., članak 38. stavak 1., članak 39. stavak 1. i članak 40. DPA-a iz 2018.), nepoštovanje obveza u pogledu transparentnosti i prava pojedinaca (članci 44., 45., 46., 47., 48., 49., 52. i 53. DPA-a iz 2018.) i nepoštovanje načela za međunarodne prijenose osobnih podataka (članci 73., 75., 76., 77. i 78. DPA-a iz 2018.); i (b) 8 700 000 GBP u ostalim slučajevima (175). Za nepoštovanje zahtjeva za dostavu informacija, zahtjeva za provjeru ili zahtjeva za izvršenje najveći iznos kazne koji se može izreći u rješenju o kazni iznosi 17 500 000 GBP.

(105)

Prema posljednjim godišnjim izvješćima (za 2018.–2019. (176), 2019.–2020. (177)) povjerenica za informiranje provela je niz istraga povezanih s obradom osobnih podataka koju provode tijela kaznenog progona. Na primjer, povjerenica je provela istragu i u listopadu 2019. objavila mišljenje o primjeni tehnologije prepoznavanja lica na javnim mjestima kojom se služe tijela kaznenog progona. Istraga je konkretno bila usmjerena na korištenje tehnologije za prepoznavanje lica u stvarnom vremenu kojom se služe policija južnog Walesa i londonska policijska uprava (MPS). Osim toga, povjerenica za informiranje istražila je i „matricu za bande” (178) londonske policijske uprave i utvrdila niz teških kršenja zakona o zaštiti podataka koja bi vjerojatno mogla narušiti povjerenje javnosti u matricu i način korištenja podataka.

(106)

U studenome 2018. povjerenica za informiranje izdala je zahtjev za izvršenje, a londonska policijska uprava potom je poduzela mjere potrebne za povećanje sigurnosti i odgovornosti te osiguravanje proporcionalnog korištenja podataka.

(107)

Još jedan primjer nedavne mjere izvršenja jest novčana kazna od 325 000 GBP koju je povjerenica u svibnju 2018. izrekla Državnom tužiteljstvu Ujedinjene Kraljevine (Crown Prosecution Service) zbog gubitka nešifriranih DVD-ova sa snimkama policijskih obavijesnih razgovora/ispitivanja. Nadalje, povjerenica za informiranje provela je i istrage o širim temama, na primjer u prvoj polovini 2020. o izvlačenju podataka iz mobilnih telefona za potrebe policije i načinu na koji policija obrađuje podatke o žrtvama.

(108)

Osim tih izvršnih ovlasti povjerenika za informiranje, određena kršenja zakonodavstva o zaštiti podataka čine kaznena djela i stoga se na njih mogu primjenjivati kaznene sankcije (članak 196. DPA-a iz 2018.). To se, na primjer, odnosi na prikupljanje ili otkrivanje osobnih podataka bez pristanka voditelja obrade i omogućavanje otkrivanja osobnih podataka drugoj osobi bez pristanka voditelja obrade (179); ponovnu identifikaciju anonimiziranih osobnih podataka bez pristanka voditelja obrade odgovornog za anonimizaciju osobnih podataka (180); namjerno ometanje povjerenika u izvršavanju njegovih ovlasti povezanih s pregledom osobnih podataka u skladu s međunarodnim obvezama (181), davanje lažnih izjava kao odgovor na zahtjev za dostavu informacija ili uništavanje informacija povezanih sa zahtjevima za dostavu informacija i zahtjevima za provjeru (182).

(109)

Povjerenik za informiranje ima i dužnost u skladu s člankom 139. DPA-a iz 2018. da svakom od domova Parlamenta uputi opće izvješće o izvršavanju svojih funkcija na temelju tog zakona (183).

(110)

Nadzor nad obradom osobnih podataka koju provode sudovi i pravosuđe dvostran je. Ako nositelj sudačke dužnosti ili sud ne djeluje u okviru sudske nadležnosti, nadzor obavlja povjerenik za informiranje (ICO). Ako voditelj obrade djeluje u okviru sudske nadležnosti, ICO ne može izvršavati svoje nadzorne funkcije (184) pa nadzor provode posebna tijela. To odražava pristup iz članka 32. Direktive (EU) 2016/680.

(111)

Točnije, u drugom slučaju nadzor nad sudovima u Engleskoj i Walesu te Prvostupanjskim sudom i Višim sudom u Engleskoj i Walesu obavlja Odbor za sudsku zaštitu podataka (185). Osim toga, vrhovni sudac (Lord Chief Justice) i visoki predsjednik sudova (Senior President of Tribunals) objavili su obavijest o zaštiti osobnih podataka (186) u kojoj je navedeno kako sudovi u Engleskoj i Walesu obrađuju osobne podatke za sudbenu funkciju. Sličnu obavijest objavili su i suci Sjeverne Irske (187) i Škotske (188).

(112)

Osim toga, vrhovni sudac Sjeverne Irske imenovao je suca Visokog suda koji u Sjevernoj Irskoj djeluje kao sudac za nadzor podataka (189). Objavljene su i smjernice za suce Sjeverne Irske o tome kako postupati u slučaju gubitka ili mogućeg gubitka podataka i postupku za rješavanje svih pitanja koja iz toga mogu proizaći (190).

(113)

U Škotskoj je predsjednik Vrhovnog građanskog suda (Lord President) imenovao suca za nadzor podataka, koji ispituje sve pritužbe u vezi sa zaštitom podataka. To je utvrđeno na temelju pravila o pravosudnim pritužbama koja odražavaju pravila utvrđena za Englesku i Wales (191).

(114)

Naposljetku, na Vrhovnom sudu jedan od njegovih sudaca predlaže se za funkciju nadziranja zaštite podataka.

(115)

Kako bi se osigurala primjerena zaštita, a naročito ostvarivanje prava pojedinca, ispitaniku bi trebalo pružiti učinkovitu upravnu i sudsku zaštitu, uključujući naknadu štete.

(116)

Prvo, ispitanik ima pravo podnijeti pritužbu povjereniku za informiranje ako smatra da u vezi s osobnim podacima koji se odnose na njega postoji kršenje dijela 3. DPA-a iz 2018. (192) Kako je opisano u uvodnim izjavama od (100). do (109)., povjerenik za informiranje ovlašten je ocjenjivati usklađenost voditelja obrade i izvršitelja obrade s DPA-om iz 2018., zahtijevati od njih da poduzmu potrebne korake u slučaju neusklađenosti ili da se suzdrže od njih i izricati novčane kazne.

(117)

Drugo, u DPA-u iz 2018. predviđa se pravo na pravni lijek protiv povjerenika za informiranje. Ako povjerenik ne „ostvari napredak” (193) u pogledu pritužbe koju je podnio ispitanik, podnositelj pritužbe ima pristup sudskom pravnom lijeku, odnosno može se obratiti Prvostupanjskom sudu (194) koji će naložiti povjereniku da poduzme odgovarajuće korake kao odgovor na pritužbu ili obavijesti podnositelja pritužbe o ostvarenom napretku u pogledu pritužbe (195). Osim toga, svaka osoba kojoj povjerenik izda bilo koji od navedenih zahtjeva ili rješenja (zahtjev za dostavu informacija, provjeru ili izvršenje ili rješenje o kazni) može podnijeti žalbu Prvostupanjskom sudu. Ako Sud smatra da odluka povjerenika nije u skladu sa zakonom ili da je povjerenik za informiranje trebao drukčije izvršavati svoje pravo na odlučivanje, Sud mora prihvatiti žalbu ili zamijeniti zahtjev, rješenje ili odluku koju je povjerenik za informiranje izdao ili donio drugim zahtjevom, rješenjem ili odlukom (196).

(118)

Treće, pojedinci mogu dobiti sudsku zaštitu protiv voditelja obrade i izvršitelja obrade izravno pred sudovima na temelju članka 167. DPA-a iz 2018. Ako je sud, na zahtjev ispitanika, uvjeren da je došlo do povrede prava ispitanika na temelju zakonodavstva o zaštiti podataka, može naložiti voditelju obrade, ili izvršitelju obrade koji djeluje u ime tog voditelja, da poduzme mjere navedene u nalogu ili da se suzdrži od poduzimanja mjera navedenih u nalogu. Nadalje, u skladu s člankom 169. DPA-a iz 2018. svaka osoba koja pretrpi štetu zbog kršenja zahtjeva iz zakonodavstva o zaštiti podataka (uključujući dio 3. DPA-a iz 2018.), osim Opće uredbe Ujedinjene Kraljevine o zaštiti podataka, ima pravo na naknadu te štete od voditelja obrade ili izvršitelja obrade, osim ako voditelj obrade ili izvršitelj obrade dokaže da ni na koji način nije odgovoran za događaj koji je prouzročio štetu. Šteta obuhvaća i financijski gubitak i štetu koja ne uključuje financijski gubitak, kao što je pretrpljena duševna bol.

(119)

Četvrto, svaka osoba koja smatra da su tijela javne vlasti prekršila njezina prava, uključujući prava na privatnost i zaštitu podataka, može dobiti sudsku zaštitu od sudova Ujedinjene Kraljevine na temelju Zakona o ljudskim pravima iz 1998. Voditelji obrade iz dijela 3. DPA-a iz 2018., tj. nadležna tijela, uvijek su tijela javne vlasti u smislu Zakona o ljudskim pravima iz 1998. Pojedinac koji tvrdi da je tijelo javne vlasti djelovalo (ili namjerava djelovati) na način koji nije u skladu s pravom iz Konvencije, a time i nezakonito na temelju članka 6. stavka 1. Zakona o ljudskim pravima iz 1998., može pokrenuti postupak protiv tog tijela pred odgovarajućim sudom ili se može pozvati na predmetna prava u svim sudskim postupcima ako jest (ili bi bio) žrtva nezakonite radnje (197).

(120)

Ako utvrdi da je neka radnja tijela javne vlasti nezakonita, sud može u okviru svojih ovlasti odobriti mjeru ili pravni lijek, ili izdati nalog, kako smatra da je pravedno i primjereno (198). Sud može odlučiti i da odredba iz primarnog zakonodavstva nije u skladu s pravom zajamčenim EKLJP-om.

(121)

Naposljetku, nakon što iscrpi sve nacionalne pravne lijekove, pojedinac može dobiti sudsku zaštitu pred Europskim sudom za ljudska prava za povrede prava zajamčenih EKLJP-om.

(122)

Pravom Ujedinjene Kraljevine dopušta se da tijelo kaznenog progona razmjenjuje podatke s drugim tijelima Ujedinjene Kraljevine u svrhe u koje podaci nisu izvorno prikupljeni (takozvana „daljnja razmjena”), što podliježe određenim uvjetima.

(123)

Slično onomu što je predviđeno u članku 4. stavku 2. Direktive (EU) 2016/680, u članku 36. stavku 3. DPA-a iz 2018. određeno je da je daljnja obrada (bilo da je obavlja prvotni ili neki drugi voditelj obrade) osobnih podataka koje je prikupilo nadležno tijelo u svrhu kaznenog progona dopuštena u bilo koju drugu svrhu kaznenog progona ako je voditelj obrade zakonski ovlašten za obradu u tu drugu svrhu te ako je obrada nužna i proporcionalna (199). U tom se slučaju sve zaštitne mjere predviđene u dijelu 3. DPA-a iz 2018., koje su analizirane prethodno u tekstu, primjenjuju na obradu koju obavlja tijelo primatelj.

(124)

U pravnom poretku Ujedinjene Kraljevine više zakona izričito dopušta daljnju razmjenu. Točnije, i. Zakon o digitalnom gospodarstvu iz 2017. dopušta razmjenu podataka između tijela javne vlasti u nekoliko svrha, na primjer u slučaju svih prijevara na štetu javnog sektora koje bi uključivale gubitak ili rizik od gubitka za tijelo javne vlasti (200) ili u slučaju duga prema tijelu javne vlasti ili Kruni (201); ii. Zakon o kaznenim djelima i sudovima iz 2013. dopušta razmjenu informacija s Nacionalnom agencijom za kriminalitet (NCA) (202) u svrhu suzbijanja, istrage i kaznenog progona teških kaznenih djela i organiziranog kriminala; iii. Zakon o teškim kaznenim djelima iz 2007. dopušta tijelima javne vlasti da otkriju informacije organizacijama za borbu protiv prijevara za potrebe sprečavanja prijevara (203).

(125)

U tim je zakonima izričito predviđeno da bi razmjena informacija trebala biti u skladu s pravilima utvrđenima u DPA-u iz 2018. Osim toga, Nacionalna agencija za policiju (College of Policing) izdala je odobrenu profesionalnu praksu za razmjenu informacija (204) kako bi pomogla policiji da ispuni svoje obveze u pogledu zaštite podataka na temelju Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, DPA-a i Zakona o ljudskim pravima iz 1998. Usklađenost razmjene s primjenjivim pravnim okvirom za zaštitu podataka može, naravno, podlijegati sudskom preispitivanju (205).

(126)

Nadalje, slično odredbama članka 9. Direktive (EU) 2016/680, u DPA-u iz 2018. predviđeno je da se osobni podaci prikupljeni u bilo koju svrhu kaznenog progona mogu obrađivati u svrhu koja nije kazneni progon ako je obrada odobrena pravom (206). Ta vrsta razmjene obuhvaća dva scenarija: 1. tijelo kaznenog progona razmjenjuje podatke s tijelom za izvršavanje zakonodavstva koje se ne bavi kaznenim progonom osim obavještajne agencije (na primjer, financijsko ili porezno tijelo, tijelo za tržišno natjecanje, ured za skrb o mladima); i 2. tijelo kaznenog progona razmjenjuje podatke s obavještajnom agencijom. U prvom scenariju obrada osobnih podataka bit će obuhvaćena područjem primjene Opće uredbe Ujedinjene Kraljevine o zaštiti podataka te dijela 2. DPA-a iz 2018. Kako je navedeno u odluci koja je donesena na temelju Uredbe (EU) 2016/679, zaštitne mjere koje su predviđene u Općoj uredbi Ujedinjene Kraljevine o zaštiti podataka i dijelu 2. DPA-a iz 2018. pružaju razinu zaštite koja je u osnovi istovjetna onoj koja se pruža u Uniji (207).

(127)

U drugom scenariju, u kojem je riječ o razmjeni podataka koje je prikupilo tijelo kaznenog progona s obavještajnom agencijom u svrhe nacionalne sigurnosti, pravna osnova koja omogućuje takvu razmjenu je Zakon o borbi protiv terorizma iz 2008. (CTA iz 2008.) (208). Na temelju tog zakona sve osobe mogu dati informacije bilo kojoj obavještajnoj službi u svrhu obavljanja bilo koje funkcije te službe, uključujući „nacionalnu sigurnost”.

(128)

Kad je riječ o uvjetima pod kojima se podaci mogu razmjenjivati u svrhe nacionalne sigurnosti, Zakon o obavještajnim službama i Zakon o sigurnosnim službama ograničavaju mogućnost obavještajnih službi da prikupljaju podatke na ono što je nužno za obavljanje njihovih zakonski propisanih funkcija. Nadležna tijela koja su obuhvaćena područjem primjene dijela 3. DPA-a iz 2018. i koja žele razmjenjivati podatke s obavještajnim službama morat će uzeti u obzir nekoliko čimbenika/ograničenja povrh zakonski propisanih funkcija agencija koje su utvrđene u Zakonu o obavještajnim službama i Zakonu o sigurnosnim službama (209). U članku 20. Zakona o borbi protiv terorizma iz 2008. pojašnjava se da sve razmjene podataka na temelju članka 19. tog zakona i dalje moraju biti u skladu sa zakonodavstvom o zaštiti podataka , što znači da se primjenjuju sva ograničenja i zahtjevi iz DPA-a iz 2018. Nadalje, tijela kaznenog progona i obavještajne službe su javna tijela za potrebe Zakona o ljudskim pravima iz 1998., stoga moraju djelovati u skladu s pravima zajamčenima EKLJP-om, uključujući članak 8. EKLJP-a. Drugim riječima, ti zahtjevi znače da sve razmjene podataka između tijela kaznenog progona i obavještajnih službi moraju biti u skladu sa zakonodavstvom o zaštiti podataka i EKLJP-om.

(129)

Obrada koju obavještajne službe obavljaju u vezi s osobnim podacima koje prime ili dobiju od tijelâ kaznenog progona u svrhe nacionalne sigurnosti podliježe nizu uvjeta i zaštitnih mjera (210). Dio 4. DPA-a iz 2018. primjenjuje se na svu obradu koju vrše obavještajne službe ili koja se vrši u njihovo ime. U njemu se utvrđuju glavna načela zaštite podataka (zakonitost, poštenost i transparentnost (211), ograničavanje svrhe (212), smanjenje količine podataka (213), točnost (214), ograničenje pohrane (215) i sigurnost (216)), uvode se uvjeti za obradu posebnih kategorija podataka (217), predviđaju se prava ispitanika (218), zahtijeva se tehnička zaštita podataka (219) i uređuju se međunarodni prijenosi osobnih podataka (220).

(130)

Isto tako, u članku 110. DPA-a iz 2018. predviđa se izuzeće od određenih odredbi iz dijela 4. DPA-a iz 2018. kad je to izuzeće potrebno radi zaštite nacionalne sigurnosti. U članku 110. stavku 2. DPA-a iz 2018. navedene su odredbe od kojih je dopušteno izuzeće. One uključuju načela zaštite podataka (osim načela zakonitosti), prava ispitanika, obvezu obavješćivanja povjerenika za informiranje o povredi podataka, ovlasti povjerenika za informiranje povezane s inspekcijom u skladu s međunarodnim obvezama, određene izvršne ovlasti povjerenika za informiranje, odredbe prema kojima su određena kršenja zaštite podataka kazneno djelo i odredbe o posebnim svrhama obrade kao što su novinarske, akademske ili umjetničke svrhe. Na to se izuzeće može pozvati na temelju analize za svaki pojedinačni slučaj (221). Kako su objasnila tijela Ujedinjene Kraljevine i kako potvrđuje sudska praksa sudova u Ujedinjenoj Kraljevini, „(a) voditelj obrade mora uzeti u obzir stvarne posljedice za nacionalnu sigurnost ili obranu ako bi morao poštovati određenu odredbu o zaštiti podataka i može li opravdano poštovati uobičajeno pravilo bez utjecaja na nacionalnu sigurnost ili obranu” (222). ICO nadzire je li izuzeće primijenjeno na odgovarajući način (223).

(131)

Nadalje, u odnosu na mogućnost ograničavanja bilo kojeg od prethodno navedenih prava radi zaštite „nacionalne sigurnosti”, u članku 79. DPA-a iz 2018. predviđa se mogućnost da voditelj obrade podnese zahtjev za potvrdu koju potpisuje ministar koji je član kabineta ili glavni krunski odvjetnik (Attorney General), kojom se potvrđuje da je ograničenje tih prava sad, ili je u nekom trenutku bilo, nužna i proporcionalna mjera za zaštitu nacionalne sigurnosti (224). Vlada Ujedinjene Kraljevine objavila je smjernice o potvrdama o nacionalnoj sigurnosti na temelju DPA-a iz 2018., u kojima je osobito istaknuto da svako ograničavanje prava ispitanika radi zaštite nacionalne sigurnosti mora biti proporcionalno i nužno (225). Sve potvrde o nacionalnoj sigurnosti moraju se objaviti na internetskim stranicama ICO-a (226).

(132)

Potvrda bi trebala imati ograničeno trajanje koje nije dulje od pet godina kako bi je izvršna vlast redovito preispitivala (227). U potvrdi se navode osobni podaci ili kategorije osobnih podataka na koje se izuzeće primjenjuje i odredbe iz DPA-a iz 2018. na koje se izuzeće primjenjuje (228).