(1)

Az (EU) 2016/679 rendelet meghatározza a személyes adatoknak az uniós adatkezelők vagy adatfeldolgozók által a harmadik országokba és a nemzetközi szervezeteknek történő továbbítására vonatkozó szabályokat, amennyiben az említett adattovábbítás az alkalmazási körébe tartozik. A nemzetközi adattovábbítás szabályait az említett rendelet V. fejezete, pontosabban a 44–50. cikk határozza meg. Noha a személyes adatok Európai Unión kívüli országokba és az onnan az Unióba történő áramlása elengedhetetlen a nemzetközi együttműködés és a határokon átnyúló kereskedelem bővüléséhez, a személyes adatoknak az Európai Unióban biztosított védelmi szintjét nem szabad a harmadik országokba történő továbbítással veszélyeztetni (2).

(2)

Az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése értelmében a Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a harmadik ország, a harmadik ország valamely területe, illetve egy vagy több meghatározott ágazata, illetve valamely nemzetközi szervezet biztosítja a megfelelő védelmi szintet. E feltétel szerint a személyes adatok harmadik országba történő továbbítására további engedély megszerzésének szükségessége nélkül kerülhet sor, az említett rendelet 45. szakaszának (1) bekezdésében és (103) preambulumbekezdésében előírtak szerint.

(3)

Ahogy az (EU) 2016/679 rendelet 45. cikkének (2) bekezdése meghatározza, a megfelelőségi határozat elfogadásának a harmadik ország jogrendjére vonatkozó átfogó elemzésen kell alapulnia, lefedve mind az adatátvevőre vonatkozó szabályokat, mind a személyes adatokhoz való, közigazgatási szervek általi hozzáférést illető korlátozásokat és biztosítékokat. Az értékelés során meg kell határozni, hogy az érintett harmadik ország olyan szintű védelmet biztosít-e, amely „lényegében egyenértékű” az Európai Unión belül biztosított védelem szintjével (az (EU) 2016/679 rendelet (104) preambulumbekezdése). A „lényegi egyenértékűség” értékelése az európai uniós jogszabályok, nevezetesen az (EU) 2016/679 rendelet, valamint az Európai Unió Bíróságának ítélkezési gyakorlata alapján történik (3). Európai Adatvédelmi Testület megfelelőségi referenciája ebben a tekintetben is jelentős (4).

(4)

Az Európai Unió Bíróságának pontosítása szerint ez nem feltétlenül jelent azonos szintű védelmet. (5) Különösen a harmadik ország által igénybe vett eszközök különbözhetnek az Európai Unióban alkalmazott eszközöktől, amennyiben – a gyakorlatban – ténylegesen megfelelő szintű védelmet biztosítanak (6). A megfelelőségre vonatkozó előírás ezért nem követeli meg az uniós szabályok pontról pontra történő leképezését. A vizsgálat ehelyett arra irányul, hogy az adatvédelemhez való jog tartalmát, hatékony végrehajtását, felügyeletét és érvényesítését tekintve az érintett harmadik ország rendszere összességében véve biztosítja-e az elvárt fokú védelmet (7).

(5)

A Bizottság gondosan elemezte az Egyesült Királyság jogszabályait és gyakorlatát. A (8)–(270) preambulumbekezdésben kidolgozott megállapítások alapján a Bizottság arra a következtetésre jut, hogy az Egyesült Királyság megfelelő szintű védelmet biztosít az (EU) 2016/679 rendelet hatálya alá tartozó, az Európai Unióból az Egyesült Királyságba továbbított személyes adatok védelme tekintetében.

(6)

Ez a következtetés nem vonatkozik a határt átlépő személyforgalom Egyesült Királyság általi ellenőrzése céljaira továbbított személyes adatokra, vagy amelyek egyébként a határt átlépő személyforgalom hatékony ellenőrzése fenntartása céljából az érintettek jogai alóli, az Egyesült Királyság adatvédelmi törvényének 2. melléklete 1. pontjának (4) bekezdése szerinti egyes kivételek (a továbbiakban: „bevándorlási kivétel”) hatálya alá tartoznak. Az Egyesült Királyság joga szerint a bevándorlási kivétel érvényességét és értelmezését az angliai és walesi Court of Appeal 2021. május 26-i határozata nem rendezi. Miközben elismeri, hogy az érintettek jogai elvben a határt átlépő személyforgalom ellenőrzésének – mint „fontos közérdek” – céljából korlátozhatók, a Court of Appeal megállapította, hogy a bevándorlási kivétel a jelenlegi formájában összeegyeztethetetlen az Egyesült Királyság jogával, mivel a jogalkotási intézkedésből hiányoznak az Egyesült Királyság általános adatvédelmi rendelete 23. cikkének (2) bekezdésében felsorolt biztosítékokat meghatározó különös rendelkezések (8). Ilyen feltételek mellett ki kell zárni e határozat hatálya alól azon személyes adatoknak az Unióból az Egyesült Királyságba történő továbbítását, amelyekre a bevándorlási kivétel alkalmazható (9). Az Egyesült Királyság jogszabályaival való összeegyeztethetetlenség orvoslását követően újból értékelni kell a bevándorlási kivételt, valamint azt, hogy szükséges-e e határozat hatályának korlátozását fenntartani.

(7)

Ez a határozat nem érinti az (EU) 2016/679 rendeletnek az Egyesült Királyságban letelepedett szervezetekre történő közvetlen alkalmazását, ha teljesülnek az említett rendelet 3. cikkében meghatározott, a rendelet területi hatályára vonatkozó feltételek.

(8)

Az Egyesült Királyság parlamenti demokrácia, amelynek alkotmányos államfője az uralkodó. Minden más kormányzati intézmény felett álló szuverén parlamenttel, a parlamentből választott és a parlament által elszámoltatható végrehajtó hatalommal, valamint független igazságszolgáltatással rendelkezik. A végrehajtó hatalom felhatalmazását abból a képességéből nyeri, hogy képes elnyerni a megválasztott alsóház bizalmát, és elszámoltatható a parlament mindkét háza felé, amelyek feladata a kormány ellenőrzése, valamint a törvények megvitatása és elfogadása.

(9)

Az Egyesült Királyság parlamentje átruházta mindazon skóciai, walesi és észak-írországi belső ügyekben történő törvényhozás terén a felelősséget rendre a skót parlamentre, a walesi parlamentre (Senedd Cymru) és az észak-írországi parlamentre, amelyeket az Egyesült Királyság parlamentje nem tartott fenn magának. Noha az adatvédelem fenntartott tárgykör, azaz ugyanazon jogszabályok érvényesek az ország egész területén, az e határozat szempontjából releváns egyéb szakpolitikai területek átruházott tárgykörök. Például Skócia és Észak-Írország büntető igazságszolgáltatási rendszereit – beleértve a rendészetet – a skót parlamentre és az észak-írországi parlamentre ruházták át. Az Egyesült Királyság nem rendelkezik rögzített alkotmányos okmány értelmében vett kodifikált alkotmánnyal. Az idő múlásával kialakultak az alkotmányos elvek, amelyek különösen az ítélkezési gyakorlatból és a szokásjogból származnak. A bíróságok elismerik bizonyos törvények, például a Magna Carta, az 1689-es Bill of Rights és az 1998-as emberi jogi törvény alkotmányos értékét. Az egyének alapvető jogait az alkotmány részeként fejlesztették ki a „common law”, e törvények és nemzetközi szerződések, különösen az Egyesült Királyság által 1951-ben ratifikált emberi jogok európai egyezménye révén. Az Egyesült Királyság 1987-ben ratifikálta az Európa Tanács az egyéneknek a személyes adatok gépi feldolgozása során való védelméről szóló egyezményét (108. egyezmény) (10).

(10)

Az 1998. évi emberi jogi törvény beépíti az emberi jogok európai egyezményében foglalt jogokat az Egyesült Királyság jogába. Az emberi jogi törvény minden egyén számára biztosítja az emberi jogok európai egyezményének 2–12. és 14. cikkében, valamint az első jegyzőkönyve 1., 2. és 3. cikkében és a tizenharmadik jegyzőkönyv 1. cikkében – az EJEE 16, 17. és 18. cikkével együttesen – biztosított alapvető jogokat és szabadságokat. Ez magában foglalja a magán- és a családi élet tiszteletben tartásához való jogot (és e jog részeként az adatvédelemhez való jogot) és a tisztességes eljáráshoz való jogot (11). Az Egyezmény 8. cikke értelmében e jog gyakorlásába hatóság csak a törvényben meghatározott, olyan esetekben avatkozhat be, amikor az egy demokratikus társadalomban a nemzetbiztonság, a közbiztonság vagy az ország gazdasági jóléte érdekében, zavargás vagy bűncselekmény megelőzése, a közegészség vagy az erkölcsök védelme, avagy mások jogainak és szabadságainak védelme érdekében szükséges.

(11)

Az 1998. évi emberi jogi törvénynek megfelelően a hatóságok minden intézkedésének összeegyeztethetőnek kell lennie az egyezmény szerinti jogokkal (12). Ezenkívül az elsődleges és az alárendelt jogszabályokat az egyezmény szerinti jogokkal összeegyeztethető módon kell értelmezni és érvényre juttatni (13).

(12)

Az Egyesült Királyság 2020. január 31-én kilépett az Európai Unióból. A Nagy-Britannia és Észak-Írország Egyesült Királyságának az Európai Unióból és az Európai Atomenergia-közösségből történő kilépéséről szóló megállapodás (14) alapján az uniós jogszabályok a 2020. december 31-ig tartó átmeneti időszakban alkalmazandók voltak az Egyesült Királyságban. A kilépés előtt és az átmeneti időszak alatt a személyes adatok Egyesült Királyságban történő védelmére vonatkozó jogszabályi keretet a vonatkozó uniós jogszabályok (különösen az (EU) 2016/679 rendelet és az (EU) 2016/680 európai parlamenti és tanácsi irányelv (15)) és a nemzeti jogszabályok, különösen a Data Protection Act 2018 elnevezésű törvény (2018. évi adatvédelmi törvény) (16) alkották, amely előírta a nemzeti szabályokat, amennyiben az (EU) 2016/679 rendelet lehetővé tette, meghatározva és korlátozva az (EU) 2016/679 rendelet szabályainak alkalmazását és átültette az (EU) 2016/680 irányelvet.

(13)

Az Európai Unióból való kilépés előkészítése érdekében az Egyesült Királyság kormánya elfogadta az European Union (Withdrawal) Act 2018 (17) elnevezésű (kilépési) törvényt (kilépési törvény), amely beépítette a közvetlenül alkalmazandó uniós jogszabályokat az Egyesült Királyság jogába (18). Ezek az úgynevezett „megtartott uniós jogszabályok” teljes egészében magukban foglalják az (EU) 2016/679 rendeletet (annak preambulumbekezdéseivel együtt) (19). Az említett törvénnyel összhangban a módosítás nélkül megtartott uniós jogszabályokat az Egyesült Királyság bíróságainak az Európai Unió Bírósága (Bíróság) vonatkozó ítélkezési gyakorlatának és az uniós jog általános elveinek megfelelően kell értelmezniük, mivel azok közvetlenül az átmeneti időszak vége előtt hatályban voltak (a továbbiakban: „megtartott uniós ítélkezési gyakorlat”, illetve „az uniós jog megtartott általános elvei”) (20).

(14)

A 2018. évi kilépési törvény értelmében az Egyesült Királyság miniszterei hatáskörrel rendelkeznek arra, hogy jogszabályi eszközök útján másodlagos jogszabályokat vezessenek be, hogy a megtartott uniós jogszabályokban elvégezzék az Egyesült Királyság Unióból való kilépéséből következő módosításokat. A hatáskör gyakorlását a Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 elnevezésű jogszabály (a kilépéssel kapcsolatos adatvédelmi szabályozás) (21) elfogadása jelentette. A kilépéssel kapcsolatos adatvédelmi szabályozás úgy módosítja az Egyesült Királyság jogába beépített (EU) 2016/679 rendeletet a 2018. évi kilépési törvény, a 2018. évi adatvédelmi törvény és más adatvédelmi jogszabályok révén, hogy az illeszkedjen a hazai környezetbe (22).

(15)

Ennek következtében az Egyesült Királyságban az átmeneti időszak vége után a személyes adatok védelmére vonatkozó jogi keret a következőkből áll:

(16)

Ahogy az Egyesült Királyság általános adatvédelmi rendeletének alapját az uniós jogszabályok képezik, az Egyesült Királyság adatvédelmi szabályai sok szempontból szorosan tükrözik az Európai Unióban alkalmazandó, megfelelő szabályokat.

(17)

A miniszter számára a 2018. évi kilépési törvény által biztosított hatáskörök mellett a 2018. évi adatvédelmi törvény számos rendelkezése felhatalmazást ad a miniszternek arra, hogy másodlagos jogszabályokat fogadjon el a törvény egyes rendelkezéseinek módosítására, illetve kiegészítő és további rendelkezések előírására (25). A miniszter eddig a 2018. évi adatvédelmi törvény 137. szakasza szerinti hatáskört csak a Data Protection (Charges and Information) (Amendment) Regulations elnevezésű (az adatvédelem (díjak és információk) (módosítás) 2019. évi) szabályozás elfogadására vette igénybe, amely meghatározza azokat a körülményeket, amelyek mellett az adatkezelőknek éves díjat kell fizetniük az Egyesült Királyság független adatvédelmi hatóságának, az információügyi biztosnak.

(18)

Végül további útmutatás található az Egyesült Királyság adatvédelmi jogszabályairól az információügyi biztos által elfogadott gyakorlati kódexekben és egyéb útmutatókban. Bár formálisan nem jogilag kötelező érvényű, az útmutatónak értelmezési súlya van, és bemutatja, hogy az adatvédelmi jogszabályokat miként alkalmazza és a biztos hogyan juttatja érvényre a gyakorlatban. Különösen a 2018. évi adatvédelmi törvény 121–125. szakasza írja elő a biztos számára az adatmegosztásra, a direkt marketingre, az életkornak megfelelő tervezésre, az adatvédelem és az újságírás kérdéskörére vonatkozó gyakorlati kódex elkészítését.

(19)

Az Egyesült Királyság e határozat alapján továbbított adatokra alkalmazandó jogi kerete felépítésében és fő alkotóelemeiben tehát nagyon hasonló az Európai Unióban alkalmazotthoz. Ennek része az a tény, hogy az említett keretrendszer nem csak a nemzeti jogban meghatározott, az uniós jog által kialakított kötelezettségekre támaszkodik, hanem a nemzetközi jogban rögzített kötelezettségekre is, különösen az EJEE és a 108. egyezmény Egyesült Királyság általi betartása, valamint az Emberi Jogok Európai Bírósága joghatóságának való alávetése révén. Ezek a jogilag kötelező érvényű nemzetközi okmányokból eredő, nevezetesen a személyes adatok védelme tekintetében fennálló kötelezettségek ezért az e határozatban értékelt jogi keret kiemelt jelentőségű elemét képezik.

(20)

Az (EU) 2016/679 rendelethez hasonlóan az Egyesült Királyság általános adatvédelmi rendelete vonatkozik a személyes adatok részben vagy egészben automatizált módon történő kezelésére, vagy egyéb adatkezelésre, ha a személyes adatok egy nyilvántartási rendszer részét képezik (26). Az Egyesült Királyság általános adatvédelmi rendeletében a „személyes adatok”, az „érintett” és a „feldolgozás” fogalommeghatározása megegyezik az (EU) 2016/679 rendeletben adott meghatározással (27). Ezenkívül az Egyesült Királyság általános adatvédelmi rendelete az egyes egyesült királyságbeli hatóságok birtokában levő (28) személyes adatok kézi strukturálatlan kezelésre is vonatkozik (29), bár az Egyesült Királyság általános adatvédelmi rendelete szerinti, az említett személyes adatok vonatkozásában nem releváns alapelvek és jogok alkalmazását a 2018. évi adatvédelmi törvény 24. és 25. szakasza beszüntette. Az (EU) 2016/679 rendeletben előírtakhoz hasonlóan az Egyesült Királyság általános adatvédelmi rendelete nem vonatkozik a személyes adatok természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett kezelésére (30).

(21)

Az Egyesült Királyság általános adatvédelmi rendelete kiterjeszti hatályát azon tevékenység során történt adatkezelésre is, amely közvetlenül az átmeneti időszak vége előtt az uniós jog hatályán kívül esett (pl. nemzetbiztonság) (31), vagy az Európai Unióról szóló szerződés 5. címének 2. fejezete (közös kül- és biztonságpolitikai tevékenységek) hatálya alá tartozott (32). Az Európai Unió rendszeréhez hasonlóan az Egyesült Királyság általános adatvédelmi rendelete nem vonatkozik a személyes adatok illetékes hatóságok általi, bűncselekmények megelőzése, kivizsgálása, felderítése vagy büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő kezelésére, ideértve a közbiztonságot fenyegető veszélyek elleni védelmet és azok megelőzését (ún. „bűnüldözési célok”) – az említett adatkezelést ehelyett a 2018. évi adatvédelmi törvény 3. része szabályozza, ahogyan ez az európai uniós jogban az (EU) 2016/680 irányelv szerint történik, vagy a személyes adatok hírszerző ügynökségek (a biztonsági szolgálat, a titkosszolgálat és a kormányzati kommunikációs központ) általi kezelésére, amelyet a 2018. évi adatvédelmi törvény 4. része szabályoz (33).

(22)

Az Egyesült Királyság általános adatvédelmi rendeleténekterületi hatályát a 3. szakasz (34) ismerteti és az alá tartozik az Egyesült Királyságban az adatkezelő vagy az adatfeldolgozó telephelyének tevékenységeivel összefüggő személyes adatok kezelése (függetlenül attól, hogy hol történik), az Egyesült Királyságban tartózkodó érintettek személyes adatainak kezelése, amennyiben az adatkezelési tevékenységek az érintetteknek áruk vagy szolgáltatások felkínálásával vagy viselkedésük figyelemmel kísérésével kapcsolatosak (35). Ez az (EU) 2016/679 rendelet 3. cikkének megközelítését tükrözi.

(23)

Az Egyesült Királyság általános adatvédelmi rendelete a személyes adatok, az adatkezelés, az adatkezelő, az adatfeldolgozó, valamint az álnevesítés (EU) 2016/679 rendeletben adott fogalommeghatározását lényeges módosítások nélkül megtartotta (36). Ezenkívül az Egyesült Királyság általános adatvédelmi rendelete 9. szakaszának (1) bekezdése ugyanúgy határozza meg a különleges adatok kategóriáit, mint az (EU) 2016/679 rendelet („faji vagy etnikai származás, politikai vélemények, vallási vagy filozófiai meggyőződések felfedése, vagy szakszervezeti tagság, valamint genetikai adatok, biometrikus adatok kezelése természetes személy egyedi azonosítása céljából, egészségügyi adatok, illetve természetes személy szexuális életére vagy szexuális irányultságára vonatkozó adatok”). A 2018. évi adatvédelmi törvény 205. szakasza adja a „biometrikus adatok” (37), „az egészségügyi adatok” (38) és „a genetikai adatok” (39) fogalmának meghatározását.

(24)

A személyes adatokat jogszerűen és tisztességesen kell kezelni.

(25)

A jogszerűség, a tisztesség és az átláthatóság elveit, valamint a jogszerű adatkezelési okokat az Egyesült Királyság törvényei garantálják az Egyesült Királyság általános adatvédelmi rendeletének 5. cikke (1) bekezdésének a) pontján és 6. szakaszának (1) bekezdésén keresztül, amelyek megegyeznek a (EU) 2016/679 rendelet vonatkozó rendelkezéseivel (40). A 2018. évi adatvédelmi törvény 8. szakasza kiegészíti a 6. cikk (1) bekezdésének e) pontját azzal, hogy a személyes adatok Egyesült Királyság általános adatvédelmi rendelete 6. cikke (1) bekezdésének e) pontja alapján történő kezelése (a közérdekből végzett feladatok ellátásához, vagy az adatkezelő hatósági hatáskörének gyakorlása során szükséges adatkezelés) magában foglalja az igazságszolgáltatás igazgatásához, a Parlament bármelyik házának feladatainak ellátásához, valamely személy törvény vagy a jogállamiság által ráruházott funkciójának gyakorlásához, az állam, valamely miniszter vagy egy kormányzati szerv funkciójának gyakorlásához, vagy a demokratikus elkötelezettséget támogató vagy elősegítő tevékenységhez.

(26)

A hozzájárulás (a jogszerű feldolgozás egyik alapja) tekintetében az Egyesült Királyság általános adatvédelmi rendelete változatlanul megtartja az (EU) 2016/679 rendelet 7. cikkében előírt feltételeket, vagyis az adatkezelőnek képesnek kell lennie annak bizonyítására, hogy az érintett hozzájárulását adta, az írásbeli hozzájárulás iránti kérelmet világos és érthető nyelven kell bemutatni, az érintettnek bármikor jogában áll visszavonni a hozzájárulását, és annak értékelésekor, hogy a hozzájárulás szabadon megadott-e, figyelembe kell venni, hogy a szerződés teljesítésének feltétele olyan személyes adatok kezeléséhez való hozzájárulás, amelyek nem szükségesek az adott szerződés teljesítéséhez. Ezenkívül az Egyesült Királyság általános adatvédelmi rendeletének 8. cikke értelmében az információs társadalommal összefüggő szolgáltatások nyújtásával összefüggésben gyermek hozzájárulása csak akkor jogszerű, ha a gyermek legalább 13 éves. Ez az (EU) 2016/679 rendelet 8. cikkében megállapított életkori tartományon belül esik.

(27)

„Különleges adatok kategóriáinak” kezelése esetén külön biztosítékokat kell rendszeresíteni.

(28)

Az Egyesült Királyság általános adatvédelmi rendelete és a 2018. évi adatvédelmi törvény különös szabályokat tartalmaz a különleges személyes adatok kategóriáinak kezelésére vonatkozóan, amelyeket az Egyesült Királyság általános adatvédelmi rendelete 9. szakaszának (1) bekezdése határoz meg ugyanúgy, mint az (EU) 2016/679 rendelet (lásd a (23) above preambulumbekezdést). Az Egyesült Királyság általános adatvédelmi rendeletének 9. cikke szerint a különleges adatok kategóriáinak feldolgozása elvileg tilos, kivéve, ha erre külön kivétel vonatkozik.

(29)

Ezek a kivételek (az Egyesült Királyság általános adatvédelmi rendelete 9. szakaszának (2) és (3) bekezdésében felsoroltak) nem változtatnak érdemben az (EU) 2016/679 rendelet 9. cikkének (2) és (3) bekezdésében leírtakon. Amennyiben az érintett nem adott kifejezett hozzájárulást a személyes adatok kezeléséhez, a különleges személyes adatok kategóriáinak feldolgozása csak meghatározott és korlátozott körülmények között engedélyezett. A legtöbb esetben a különleges adatok kezelésének a vonatkozó rendelkezésben meghatározott célra szükségesnek kell lennie (lásd a 9. szakasz (2) bekezdésének b), c), f), g), h), i) pontját és (j)).

(30)

Ezenkívül, ha az Egyesült Királyság általános adatvédelmi rendelete 9. szakaszának (2) bekezdése szerinti kivétel törvényi engedélyhez kötött vagy a közérdeken alapul, a 2018. évi adatvédelmi törvény 10. szakasza, valamint a 2018. évi adatvédelmi törvény 1. melléklete pontosítja azokat a feltételeket, amelyeknek teljesülniük kell a kivételek igénybevételéhez. Például különleges adatok „közegészség” védelme céljából történő feldolgozása esetén (az Egyesült Királyság általános adatvédelmi rendelete 9. szakasza (2) bekezdésének i) pontja) az 1. melléklet 1. része (3) bekezdésének b) pontja előírja a szükségességi teszt mellett, hogy az említett adatkezelést „egészségügyi szakember vagy annak felelősségére más végzi” vagy „egy másik személy, aki törvény vagy a jogállamiság alapján titoktartási kötelezettséggel tartozik”, ideértve a „common law” szerint kialakult titoktartási kötelezettségét .

(31)

Amennyiben különleges adatokat jelentős közérdekből kezelnek (az Egyesült Királyság általános adatvédelmi rendelete 9. szakasza (2) bekezdésének g) pontja), a 2018. évi adatvédelmi törvény 1. mellékletének 2. része tételesen felsorolja azokat a célokat, amelyek jelentős közérdekűnek tekinthetők, és e célok mindegyikére külön további feltételeket határoz meg. Például a faji és etnikai sokféleség szervezetek felsőbb szintjein való előmozdítását jelentős közérdekként ismerik el. A különleges adatok e konkrét célú kezelésére részletes követelmények vonatkoznak, beleértve azt is, hogy az adatkezelés a vezető tisztség betöltésére alkalmas személyek azonosításának részeként történik, a faji és etnikai sokszínűség előmozdításához szükséges, és valószínűleg nem okoz jelentős kárt vagy sérelmet az érintett számára.

(32)

A 2018. évi adatvédelmi törvény 11. szakaszának (1) bekezdése meghatározza a személyes adatok az Egyesült Királyság általános adatvédelmi rendeletének a titoktartási kötelezettségre vonatkozó 9. szakaszának (3) bekezdésében leírt körülmények közötti kezelésének feltételeit. Ez magában foglalja azokat a körülményeket, amelyekben az adatkezelést egészségügyi szakember vagy szociális területen dolgozó szakember vagy annak felelőssége alatt más hajtja végre, vagy más olyan személy, aki e körülmények között titoktartási kötelezettséggel tartozik törvény vagy jogállamiság alapján.

(33)

Ezenkívül az Egyesült Királyság általános adatvédelmi rendelete 9. szakaszának (2) bekezdésében felsorolt számos kivétel igénybevételéhez megfelelő és konkrét biztosítékok szükségesek. Az adatkezelés jellegétől, valamint az érintettek jogait és szabadságait érintő kockázat mértékétől függően a 2018. évi adatvédelmi törvény 1. mellékletében előírt adatkezelési feltételek különböző biztosítékokat állapítanak meg. Az 1. melléklet viszont az egyes feldolgozási helyzetek feltételeit határozza meg.

(34)

Bizonyos esetekben a 2018. évi adatvédelmi törvény szabályozza és korlátozza azon különleges adatok típusát, amelyeket egy adott jogalap alapján lehet kezelni. Például az 1. melléklet 8. pontja engedélyezi a különleges adatok kezelését az esélyegyenlőség vagy az egyenlő bánásmód előmozdítása céljából. Ez az adatkezelési feltétel csak akkor használható, ha az adatok faji vagy etnikai származást, vallási vagy filozófiai meggyőződéseket, szexuális irányultságot tárnak fel, vagy ha egészségügyi adatokról van szó.

(35)

Bizonyos esetekben a 2018. évi adatvédelmi törvény korlátozza azon adatkezelő típusát, amely igénybe veheti ezt az adatkezelési feltételt. Például az 1. melléklet 23. pontja különleges adatok kezeléséről rendelkezik a megválasztott képviselők lakosságnak adott válaszaival kapcsolatban. Ez az adatkezelési feltétel csak akkor alkalmazható, ha az adatkezelő megválasztott képviselő, vagy az ő felügyelete alatt jár el.

(36)

Néhány más esetben a 2018. évi adatvédelmi törvény korlátokat határoz meg az alkalmazandó feldolgozási feltétel szempontjából az érintettek kategóriáira vonatkozóan. Például az 1. melléklet 21. pontja szabályozza a foglalkozási nyugdíjrendszerek bizalmas adatainak kezelését. Ez a feltétel csak akkor alkalmazható, ha a szóban forgó érintett a nyugdíjrendszer tagjának testvére, szülője, nagyszülője vagy dédszülője.

(37)

Ezen túlmenően az Egyesült Királyság általános adatvédelmi rendelete 9. szakaszának (2) bekezdésében szereplő kivételek – amelyeket a 2018. évi adatvédelmi törvény 10. szakasza, a 2018. évi adatvédelmi törvény 1. mellékletével együtt tovább részletez – igénybevételekor az adatkezelőnek a legtöbb esetben „megfelelő adatvédelmi szabályzatot” kell készítenie. Fel kell vázolnia az adatkezelő Egyesült Királyság általános adatvédelmi rendeletének 5. szakaszában foglalt elvek betartásának biztosítására szolgáló eljárásait. Meg kell határoznia a megőrzésre és a törlésre vonatkozó irányelveket is, feltüntetve a valószínű tárolási időt. Az adatkezelőknek szükség szerint felül kell vizsgálniuk és frissíteniük kell ezt a dokumentumot. Az adatkezelőnek az adatkezelés befejezését követően hat hónapig meg kell őriznie az adatvédelmi szabályzatot, és kérésre az információügyi biztos rendelkezésére kell bocsátania (41).

(38)

A 2018. évi adatvédelmi törvény 1. mellékletének 41. pontja szerint az adatvédelmi szabályzatot mindig az adatkezelés bővített nyilvántartásának kell kísérnie. Ennek a nyilvántartásnak nyomon kell követnie az adatvédelmi szabályzatban foglalt kötelezettségvállalásokat, vagyis azt, hogy a szabályzatnak megfelelően törlik-e vagy megőrzik-e az adatokat. Ha az adatvédelmi szabályzatot nem tartották be, akkor a naplóban fel kell tüntetni ennek okait. A nyilvántartásnak azt is le kell írnia, hogy az adatkezelés miként teljesíti az Egyesült Királyság általános adatvédelmi rendeletének 6. szakaszát (az adatkezelés jogszerűsége), valamint a 2018. évi adatvédelmi törvény 1. mellékletében szereplő konkrét feltételt.

(39)

Végül, hasonlóan az (EU) 2016/679 rendelethez, az Egyesült Királyság általános adatvédelmi rendelete is általános biztosítékokat ír elő a különleges adatok kategóriáin végzett egyes adatkezelési műveletekhez. Az Egyesült Királyság általános adatvédelmi rendeletének 35. szakasza előírja az adatvédelemre vonatkozó hatásvizsgálatot, ha különleges adatok kategóriáinak nagybani kezelését végzik. Az Egyesült Királyság általános adatvédelmi rendeletének 37. szakasza értelmében az adatkezelőnek vagy az adatfeldolgozónak ki kell jelölnie egy adatvédelmi tisztviselőt, ha fő tevékenysége a különleges adatok kategóriáinak nagybani kezelése.

(40)

A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok tekintetében az Egyesült Királyság általános adatvédelmi rendeletének 10. szakasza megegyezik az (EU) 2016/679 rendelet 10. cikkével. Ez a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelését csak a hatóság ellenőrzése alatt, vagy akkor teszi lehetővé, ha az adatkezelést az érintettek jogainak és szabadságainak megfelelő biztosítékokat biztosító nemzeti jogszabályok engedélyezik.

(41)

Ha büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó adatok feldolgozása nem hatósági felügyelet alatt történik, a 2018. évi adatvédelmi törvény 10. szakaszának (5) bekezdése előírja, hogy az említett feldolgozás csak a 2018. évi adatvédelmi törvény 1. mellékletének 1., 2. és 3. részében meghatározott célokra/helyzetekben történhet, és arra vonatkoznak az egyes célokra/helyzetekre meghatározott külön követelmények. Például a büntetőjogi felelősség megállapítására vonatkozó határozatok adatait nonprofit szervezetek kezelhetik, ha az adatkezelést a) jogszerű tevékenysége során megfelelő biztosítékokkal végzi egy alapítvány, egyesület vagy más politikai, filozófiai, vallási vagy szakszervezeti célú nonprofit szerv, és b) azzal a feltétellel, hogy i. az adatkezelés kizárólag a testület tagjaira vagy korábbi tagjaira vagy olyan személyekre vonatkozik, akik rendszeres kapcsolatban állnak vele a céljaival kapcsolatban, és ii. a személyes adatokat az érintettek hozzájárulása nélkül nem adják ki a szervezeten kívül.

(42)

Emellett a 2018. évi adatvédelmi törvény 1. mellékletének 3. része további olyan körülményeket határoz meg, amelyek fennállása esetén a büntetőjogi felelősség megállapítására vonatkozó határozatokkal kapcsolatos adatok felhasználhatók, és ezek megfelelnek a különleges adatok kezelésére az (EU) 2016/679 rendelet 9. cikkének (2) bekezdésében szereplő jogalapoknak és az Egyesült Királyság általános adatvédelmi rendeletének (pl. az érintett hozzájárulása, magánszemély létfontosságú érdekei, ha az érintett jogilag vagy fizikailag nem képes hozzájárulást adni, ha az érintett már nyilvánvalóan nyilvánosságra hozta az adatokat, ha az adatkezelés jogi igény megalapozásához, érvényesítéséhez vagy védelméhez szükséges stb.).

(43)

A személyes adatok kezelésének konkrét célra kell történnie, és később csak olyan mértékben használhatók fel, amely az adatkezelés céljával nem összeegyeztethetetlen.

(44)

Ezt az elvet az (EU) 2016/679 rendelet 5. cikke (1) bekezdésének b) pontja tartalmazza, és az Egyesült Királyság általános adatvédelmi rendelete 5. szakasza (1) bekezdésének b) pontja változtatás nélkül megtartotta. Az (EU) 2016/679 rendelet 6. cikkének (4) bekezdése szerinti összeegyeztethető további feldolgozás feltételeit szintén fenntartották, az Egyesült Királyság általános adatvédelmi rendelete 6. szakasza (4) bekezdésének a)–e) pontjában nem történt lényeges módosítás.

(45)

Emellett a személyes adatoknak pontosnak kell lenniük, és szükség esetén naprakésszé kell azokat tenni. Továbbá megfelelőnek, relevánsnak és nem eltúlzottnak kell lenniük az adatkezelés céljaihoz képest, és elvben csak addig tárolhatók, ameddig az a személyes adatok kezelésének céljaihoz szükséges.

(46)

Az adattakarékosságra, a pontosságra és a tárolás korlátozására vonatkozó alapelveket az (EU) 2016/679 rendelet 5. cikke (1) bekezdésének c)–e) pontja tartalmazza, és az Egyesült Királyság általános adatvédelmi rendeletében az 5. szakasza (1) bekezdésének c)–e) pontja azokat módosítások nélkül megtartja.

(47)

A személyes adatokat olyan módon kell kezelni, amely biztosítja a biztonságukat, többek között a jogosulatlan vagy jogellenes kezelés elleni védelmüket is, illetve az adatok véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmüket. A gazdasági szereplőknek ebből a célból megfelelő technikai vagy szervezeti intézkedéseket kell hozniuk, hogy megvédjék a személyes adatokat a lehetséges veszélyektől. Ezeket az intézkedéseket a csúcstechnológia és a kapcsolódó költségek figyelembevételével kell értékelni.

(48)

Az adatbiztonságot az Egyesült Királyság jogszabályai az integritás és titkosság elvén keresztül rögzítik az Egyesült Királyság általános adatvédelmi rendelete 5. szakasza (1) bekezdésének f) pontjában és annak az adatkezelés biztonságáról szóló 32. szakaszában. Ezek a rendelkezések megegyeznek az (EU) 2016/679 rendelet vonatkozó rendelkezéseivel. Sőt az (EU) 2016/679 rendelet 33. és 34. cikkében meghatározott feltételekkel egyezően az Egyesült Királyság általános adatvédelmi rendelete előírja a személyes adatok megsértésének a felügyeleti hatóság számára történő bejelentését(az Egyesült Királyság általános adatvédelmi rendeletének 33. szakasza), és a személyes adatok megsértésének az érintettel való közlését (az Egyesült Királyság általános adatvédelmi rendeletének 34. szakasza).

(49)

Az érintetteket tájékoztatni kell személyes adataik kezelésének főbb jellemzőiről.

(50)

Ezt az Egyesült Királyság általános adatvédelmi rendeletének 13. és 14. szakasza biztosítja, amelyek az átláthatóság általános elvén túl szabályokat írnak elő az érintettnek nyújtandó tájékoztatásról (42). Az Egyesült Királyság általános adatvédelmi rendelete nem vezet be lényeges módosításokat ezekben a szabályokban az (EU) 2016/679 rendelet megfelelő cikkeihez képest. Ugyanakkor, az (EU) 2016/679 rendelethez hasonlóan, e cikkek átláthatósági követelményeire a 2018. évi adatvédelmi törvényben meghatározott számos kivétel vonatkozik (lásd az (55)–(72) preambulumbekezdést).

(51)

Az érintetteknek rendelkezniük kell bizonyos jogokkal, amelyek érvényesíthetők az adatkezelővel vagy az adatfeldolgozóval szemben, különös tekintettel az adatokhoz való hozzáférés jogára, az adatkezelés elleni tiltakozásra, valamint az adatok helyesbíttetéséhez és töröltetéséhaz való jogra. Ugyanakkor az említett jogok korlátozás alá eshetnek, amennyiben ezek a korlátozások szükségesek és arányosak a közbiztonság vagy más fontos, általános közérdekű célok megóvása érdekében.

(52)

Az Egyesült Királyság általános adatvédelmi rendelete ugyanazokat az érvényesíthető jogokat biztosítja az egyének számára, mint az (EU) 2016/679 rendelet. Az egyének jogait biztosító rendelkezéseket az Egyesült Királyság általános adatvédelmi rendeletében lényeges változások nélkül megtartották.

(53)

A jogok magukban foglalják az érintett hozzáférési jogát (az Egyesült Királyság általános adatvédelmi rendeletének 15. szakasza), a helyesbítéshez való jogot (az Egyesült Királyság általános adatvédelmi rendeletének 16. szakasza), a törléshez való jogot (az Egyesült Királyság általános adatvédelmi rendeletének 17. szakasza), a korlátozáshoz való jogot az adatkezelés (az Egyesült Királyság általános adatvédelmi rendeletének 18. szakasza), a személyes adatok helyesbítésével vagy törlésével vagy az adatkezelés korlátozásával kapcsolatos értesítési kötelezettség (az Egyesült Királyság általános adatvédelmi rendeletének 19. szakasza), az adatok hordozhatóságához való jog (az Egyesült Királyság általános adatvédelmi rendeletének 20. szakasza) és a tiltakozási jog (az Egyesült Királyság általános adatvédelmi rendeletének 21. szakasza) (43). Ez utóbbi magában foglalja az érintett tiltakozási jogát is a személyes adatoknak az (EU) 2016/679 rendelet 21. cikkének (2) és (3) bekezdésében előírtak szerinti direkt marketing célú feldolgozása ellen. Ezenkívül a 2018. évi adatvédelmi törvény 122. szakasza szerint az információügyi biztosnak a direkt marketing végzésével kapcsolatban az adatvédelmi jogszabályok (és a Privacy and Electronic Communications (EC Directive) Regulations 2003 elnevezésű [a magánélet védelméről és az elektronikus hírközlésről (EK irányelv) szóló 2003. évi] szabályozás) követelményeinek megfelelő gyakorlati kódexet és a direkt marketing helyes gyakorlatának előmozdítására vonatkozó egyéb, a biztos által megfelelőnek tartott útmutatót kell készítenie. Az információügyi biztos hivatala jelenleg végzi a direkt marketing kódex kidolgozását (44).

(54)

Az érintett GDPR 22. cikkében előírtak szerinti azon joga, hogy ne hozzanak róla kizárólag automatizált feldolgozáson alapuló olyan döntést, amely joghatásokat vált ki rá nézve, vagy hasonlóan jelentősen érinti őt, az Egyesült Királyság általános adatvédelmi rendeletében is lényeges változások nélkül megmaradt. Ugyanakkor egy új (3A) bekezdéssel egészült ki arra hivatkozásként, hogy a 2018. évi adatvédelmi törvény 14. szakasza biztosítékokat határoz meg az érintettek jogai, szabadságai és jogos érdekei vonatkozásában, amikor az adatkezelés az Egyesült Királyság általános adatvédelmi rendelete 22. szakasza (2) bekezdésének b) pontja alapján történik. Ez csak akkor érvényes, ha egy ilyen döntés alapja az Egyesült Királyság jogszabályai szerinti engedély vagy követelmény, és nem alkalmazható, ha a döntés szerződés alapján szükséges, vagy azt az érintett kifejezett hozzájárulásával hozzák meg. Amennyiben a 2018. évi adatvédelmi törvény 14. szakasza alkalmazandó, az adatkezelőnek a lehető leghamarabb írásban értesítenie kell az érintettet arról, hogy kizárólag automatizált feldolgozáson alapuló döntés született. Az érintettnek joga van kérni az adatkezelőt – az értesítés kézhezvételétől számított egy hónapon belül –, hogy vizsgálja felül a döntést vagy hozzon olyan új döntést, amely nem kizárólag automatizált feldolgozáson alapul. A miniszter felhatalmazást kap arra, hogy további biztosítékokat fogadjon el az automatizált döntéshozatal tekintetében. Ezt a hatáskört még nem gyakorolták.

(55)

A 2018. évi adatvédelmi törvény számos korlátozást állapít meg az egyének jogai vonatkozásában, az Egyesült Királyság általános adatvédelmi rendeletének 23. szakasza keretébe illeszkedően. Ebben a keretben nem vezetnek be korlátozásokat a direkt marketing elleni, az Egyesült Királyság általános adatvédelmi rendelete 21. szakaszának (2) és (3) bekezdésében előírt tiltakozás joga, vagy az Egyesült Királyság általános adatvédelmi rendeletének 22. szakaszában előírt, az automatizált döntéshozatal elutasításának joga tekintetében.

(56)

A korlátozásokat a 2018. évi adatvédelmi törvény 2–4. melléklete részletezi. Az Egyesült Királyság hatóságai kifejtették, hogy két alapelv vezérli őket: a specialitás elve (az aprólékosan részletes megközelítés, az átfogó korlátozások több, speciálisabb rendelkezésre bontása) és a feltételesség elve (minden rendelkezést biztosítékok egészítenek ki korlátozások vagy a visszaélések megelőzésének feltételei formájában) (45).

(57)

Az Egyesült Királyság általános adatvédelmi rendelete 23. szakaszának (1) bekezdésében leírt korlátozások célja annak biztosítása, hogy csak meghatározott körülmények között alkalmazzák azokat, amennyiben ez egy demokratikus társadalomban szükséges és ha arányosak az elérni kívánt jogszerű céllal. Továbbá a korlátozások értelmezéséről kialakult ítélkezési gyakorlatnak megfelelően az adatvédelmi rendszer alóli kivétel bármely konkrét esetben csak akkor alkalmazható, ha ez szükséges és arányos (46). A szükségességi tesztnek szigorúnak kell lennie, és megköveteli, hogy az érintett jogaiba való bármilyen beavatkozás álljon arányban a közérdeket fenyegető veszély súlyosságával. A gyakorlatnak tehát része egy klasszikus arányossági elemzés (47).”

(58)

Ezeknek a korlátozásoknak a céljai megfelelnek az (EU) 2016/679 rendelet 23. cikkében felsoroltaknak, a nemzetbiztonsági és védelmi korlátozások kivételével, amelyeket ehelyett a 2018. évi adatvédelmi törvény 26. szakasza szabályoz, de azokra ugyanazok a szükségességi és arányossági követelmények vonatkoznak (lásd a (63)–(66) preambulumbekezdést).

(59)

Néhány korlátozás, például a bűncselekmények megelőzésével vagy felderítésével, az elkövetők elfogásával vagy üldözésével, valamint az adó vagy vám megállapításával vagy beszedésével kapcsolatos korlátozások (48) engedélyezik az egyének valamennyi jogának és az átláthatósági kötelezettségeknek a korlátozását (a 21. szakasz (2) bekezdésében és a 22. cikkben foglalt jogok kivételével). Az egyéb korlátozások hatálya az átláthatósági kötelezettségekre és a hozzáférési jogokra korlátozódik, például az ügyvédi titoktartással kapcsolatos korlátozásokra (49), az önvádhoz vezető információszolgáltatás követelménye alóli való mentesség jogához (50) és a vállalati pénzügyekre, nevezetesen a bennfentes kereskedelem megakadályozására (51). Néhány korlátozás engedélyezi az adatkezelő azon kötelezettségének korlátozását, hogy az adatvédelmi jogsértést az érintettel közölje, valamint a célhoz kötöttség, az adatkezelés jogszerűségének, tisztességességének és átláthatóságának elve korlátozását (52).

(60)

A korlátozások egy része automatikusan „teljes egészében” vonatkozik a személyes adatok bizonyos típusú kezelésére (például az átláthatósági kötelezettségeknek és az egyének jogainak alkalmazása kizárt, ha a személyes adatokat valamely személy bírósági tisztségre való alkalmasságának értékelése céljából kezelik, vagy a személyes adatokat bíróság, törvényszék vagy magánszemély kezeli, bírósági minőségében eljárva).

(61)

Az esetek többségében azonban a 2018. évi adatvédelmi törvény 2. mellékletének vonatkozó pontja kimondja, hogy a korlátozás csak akkor (és annyiban) alkalmazandó, amikor a rendelkezések alkalmazása „valószínűleg sértené” a korlátozás jogszerű célját: például az Egyesült Királyság általános adatvédelmi rendeletének felsorolt rendelkezései nem vonatkoznak a bűncselekmények megelőzése vagy felderítése, az elkövetők elfogása vagy büntetőeljárás alá vonása, illetőleg adó vagy illeték megállapítása vagy beszedése céljából kezelt személyes adatokra „olyan mértékben, amennyire e rendelkezések alkalmazása valószínűleg sértené” e kérdéskörök bármelyikét (53).

(62)

A „valószínűleg sértené” mércét az Egyesült Királyság bíróságai következetesen „az azonosított közérdek sérelmének nagyon jelentős és súlyos esélyeként” (54) értelmezik. A sérelemteszt alá tartozó korlátozásra ezért csak akkor és olyan mértékben lehet hivatkozni, ha igen jelentős és súlyos esélye van annak, hogy egy bizonyos jog megadása sértené a szóban forgó közérdeket. Az adatkezelő feladata annak eseti alapon történő értékelése, hogy ezek a feltételek teljesülnek-e (55).

(63)

A 2018. évi adatvédelmi törvény 2. mellékletében foglalt korlátozások mellett a 2018. évi adatvédelmi törvény 26. szakasza kivételt biztosít, amely az Egyesült Királyság általános adatvédelmi rendelete és a 2018. évi adatvédelmi törvény egyes rendelkezéseire alkalmazható, ha ez a kivétel a nemzetbiztonság védelméhez vagy védelmi célokból szükséges. Ez a kivétel vonatkozik az adatvédelmi elvekre (a jogszerűség elvének kivételével), az átláthatósági kötelezettségekre, az érintett jogaira, az adatvédelmi jogsértés bejelentésének kötelezettségére, a nemzetközi adattovábbításra vonatkozó szabályokra, az információügyi biztos egyes feladataira és hatásköreire, valamint a jogorvoslatokra, a felelősségre és a büntetésekre vonatkozó szabályokra, kivéve az Egyesült Királyság általános adatvédelmi rendeletének 83. szakaszában szereplő, a közigazgatási bírság kiszabásának általános feltételeiről szóló rendelkezést és az Egyesült Királyság általános adatvédelmi rendeletének 84. szakaszában szereplő, a büntetésekre vonatkozó rendelkezést. Ezenkívül a 2018. évi adatvédelmi törvény 28. szakasza módosítja a 9. szakasz (1) bekezdésének alkalmazását annak érdekében, hogy lehetővé tegye az Egyesült Királyság általános adatvédelmi rendelete 9. szakaszának (1) bekezdésében szereplő különleges adatok kategóriáinak kezelését, amennyiben az adatkezelést a nemzetbiztonság védelméből vagy védelmi célokra végzik, az érintettek jogainak és szabadságainak megfelelő biztosítékai mellett (56)

(64)

A kivétel csak annyiban alkalmazható, amennyiben a nemzetbiztonság vagy a védelem védelméhez szükséges. Mivel ez vonatkozik a 2018. évi adatvédelmi törvény által előírt egyéb kivételekre is, az adatkezelőnek azt eseti alapon kell megfontolnia és igénybe vennie. Ezenkívül a kivétel minden alkalmazásának meg kell felelnie az emberi jogi normáknak (amelyeket az 1998. évi emberi jogi törvény támaszt alá), amelyek szerint egy demokratikus társadalomban a magánélethez való jog bármilyen zavarásának szükségszerűnek és arányosnak kell lennie (57).

(65)

A biztos megerősítette a kivétel értelmezését a nemzetbiztonsági és védelmi kivétel alkalmazására vonatkozó részletes útmutató kiadásával, pontosítva, hogy az adatkezelőnek azt eseti alapon kell megfontolnia és igénybe vennie (58). Az útmutató hangsúlyozza különösen, hogy „[ez] nem általános mentesség”, és annak igénybevételéhez „nem elegendő az, hogy az adatokat nemzetbiztonsági célokból kezelik”. Ezzel szemben az erre hivatkozó adatkezelőnek „be kell mutatnia, hogy a nemzetbiztonságra gyakorolt kedvezőtlen hatás valóban fennáll”, és az adatkezelőtől szükség szerint elvárható, hogy „bizonyítékot szolgáltasson a biztosnak arról, hogy miért vette igénybe a kivételt”. Az útmutató tartalmaz egy ellenőrzőlistát és egy sor példát annak pontosítására, hogy milyen feltételek mellett lehet e kivételre hivatkozni.

(66)

Az a tény, hogy az adatokat nemzetbiztonsági vagy védelmi célokból kezelik, önmagában nem elegendő a kivétel alkalmazásához. Az adatkezelőnek figyelembe kell vennie annak a nemzetbiztonságra jelentkező tényleges következményeit, ha be kell tartania az adott adatvédelmi rendelkezést. A kivétel csak azokra az egyedi rendelkezésekre alkalmazható, amelyekről megállapították, hogy kockázatot jelentenek, és azt a lehető legszűkebben kell alkalmazni (59).

(67)

Ezt a felfogást az Information Tribunal (Információügyi Törvényszék) is megerősítette. (60) A Baker kontra Secretary of State ügyben („Baker kontra miniszter ügy”) megállapította, hogy jogszerűtlen volt a nemzetbiztonsági kivétel általános kivételként történő alkalmazása a hírszerző ügynökséghez érkezett hozzáférési kérelmek esetében. Ehelyett a kivételt eseti alapon kellett alkalmazni, az egyes kérelmek érdemének figyelembevételével és az egyének magánélet tiszteletben tartásához fűződő jogára figyelemmel (61).

(68)

Az Egyesült Királyság általános adatvédelmi rendelete 85. szakaszának (2) bekezdése lehetővé teszi, hogy az újságírói, művészeti, tudományos és irodalmi célból kezelt személyes adatokat kivegyenek az Egyesült Királyság általános adatvédelmi rendeletének számos rendelkezése alól. A 2018. évi adatvédelmi törvény 2. mellékletének 5. része meghatározza az e célból történő adatkezelésre vonatkozó kivételeket. Kivételeket ír elő az adatvédelmi elvek (kivéve az integritás és a titoktartás elvét), az adatkezelés jogalapjai (ideértve a különleges adatok kategóriáit és a büntetőjogi felelősség megállapítására vonatkozó határozatokat stb.), a hozzájárulás feltételei, az átláthatósági kötelezettségek, az érintettek jogai, a személyes adatok megsértésének bejelentési kötelezettsége, az információügyi biztossal a magas kockázatú feldolgozás előtt való konzultáció követelménye, valamint a nemzetközi továbbításra vonatkozó szabályok (62) alól. Ebben a tekintetben az Egyesült Királyság általános adatvédelmi rendelete érdemben nem tér el az (EU) 2016/679 rendelettől, amely 85. cikkében lehetőséget biztosít az újságírási vagy akadémiai, művészeti vagy irodalmi célú feldolgozás tekintetében az (EU) 2016/679 rendelet számos követelménye alóli kivételre. A 2018. évi adatvédelmi törvény rendelkezései – nevezetesen a 2. melléklet 5. része – összeegyeztethetőek az Egyesült Királyság általános adatvédelmi rendeletével.

(69)

Az Egyesült Királyság általános adatvédelmi rendeletének 85. szakasza alapján végrehajtandó legfontosabb kiegyensúlyozás ahhoz kapcsolódik, hogy a (68) preambulumbekezdésben említett adatvédelmi szabályok alóli kivétel „szükséges-e a személyes adatok védelméhez való jognak és a véleménynyilvánítás és az információ szabadságának egyeztetéséhez” (63). A 2018. évi adatvédelmi törvény 2. melléklete 26. szakaszának (2) és (3) bekezdése szerint az Egyesült Királyság az „észszerű meggyőződés” tesztjét alkalmazza ennek az egyensúlynak a megteremtése érdekében. A kivétel indokolásához az adatkezelőnek észszerűen meg kell győződnie arról, hogy i. a közzététel közérdeket szolgál; és ii. a vonatkozó GDPR-rendelkezés alkalmazása összeegyeztethetetlen lenne az újságírói, tudományos, művészeti vagy irodalmi célokkal. Amint azt az ítélkezési gyakorlat megerősítette (64), az „észszerű meggyőződés” tesztjének szubjektív és objektív összetevője is van: nem elegendő az adatkezelőnek bizonyítani, hogy ő maga úgy vélte, hogy a megfelelés összeegyeztethetetlen. A meggyőződésének észszerűnek kell lennie, vagyis egy észszerűen eljáró személy által a vonatkozó tények ismeretében hihetőnek kell lennie. Az adatkezelőnek ezért kellő gondossággal kell eljárnia meggyőződésének kialakításakor annak érdekében, hogy bizonyítani tudja az észszerűséget. Az Egyesült Királyság hatóságainak magyarázata szerint az „észszerű meggyőződés” tesztet minden egyes kivételre el kell elvégezni (65). Ha a feltételek teljesülnek, az Egyesült Királyság jogszabályai szerint a kivétel szükségesnek és arányosnak tekinthető.

(70)

A 2018. évi adatvédelmi törvény 124. szakasza szerint a biztosnak el kell készítenie az adatvédelemről és az újságírásról szóló gyakorlati kódexet. A kódex jelenleg készül. Az 1998. évi adatvédelmi törvény szerinti útmutatót adtak ki erről a kérdésről, amely hangsúlyozza, hogy az e kivételre való hivatkozáshoz nem elegendő annak puszta kijelentése, hogy a megfelelés kényelmetlenséget jelentene az újságírói tevékenység szempontjából, hanem egyértelmű érvnek kell léteznie arra vonatkozóan, hogy a szóban forgó rendelkezés akadályozza a felelősségteljes újságírást (66). A közérdekű teszt alkalmazásáról és a közérdek és az egyén magánélet iránti érdeke közötti egyensúly megteremtéséről az Egyesült Királyság telekommunikációs szabályozója, az OFCOM és a BBC a szerkesztési útmutatóiban is adott ki útmutatást (67). Az iránymutatások elsősorban a közérdek szempontjából figyelembe vehető információkra mutatnak be példákat, és elmagyarázzák, hogy bizonyíthatónak kell annak lennie, hogy az eset egyedi körülményei között a közérdek jelentősebb a magánélethez fűződő jogoknál.

(71)

A GDPR 89. cikkében előírtakhoz hasonlóan a közérdekű, tudományos vagy történeti kutatási vagy statisztikai célra archiválási célból kezelt személyes adatok is mentesíthetők az Egyesült Királyság általános adatvédelmi rendeletének számos felsorolt rendelkezése alól (68). A kutatás és a statisztika tekintetében az Egyesült Királyság általános adatvédelmi rendeletének rendelkezései alól kivételek az alábbiakkal kapcsolatban lehetségesek: az adatkezelés megerősítése, az adatokhoz való hozzáférés és a harmadik országba történő adattovábbítások biztosítékai; helyesbítéshez való jog; az adatkezelés korlátozása és az adatkezelés elleni tiltakozás. Ami a közérdekű archiválást illeti, a személyes adatok helyesbítését vagy törlését, illetve az adatkezelés korlátozását érintő bejelentési kötelezettséget, valamint az adatok hordozhatóságához való jogot érintő kivétel is lehetséges.

(72)

A 2018. évi adatvédelmi törvény 2. melléklete 27. szakaszának (1) bekezdése és 28. szakaszának (1) bekezdése szerint az Egyesült Királyság általános adatvédelmi rendelete felsorolt rendelkezései alóli kivételek akkor lehetségesek, ha a rendelkezések alkalmazása „megakadályozná vagy súlyosan hátrányosan érintené a (szóban forgó) célok elérését” (69).

(73)

Tekintettel azok egyéni jogok hatékony gyakorlása szempontjából fennálló jelentőségére, a fent említett kivételek értelmezésével és gyakorlati alkalmazásával kapcsolatos bármely lényeges fejlemény (a határt átlépő személyforgalom hatékony ellenőrzése (6) preambulumbekezdésben kifejtett fenntartásával kapcsolatos fejlemények mellett), ideértve az ítélkezési gyakorlat, valamint a biztos útmutatásainak és végrehajtási intézkedéseinek további fejlődését, e határozat folyamatos nyomon követése során megfelelően figyelembe veszik (70).

(74)

Az Európai Unióból az egyesült királyságbeli adatkezelőknek vagy adatfeldolgozóknak továbbított személyes adatok védelmi szintjét nem veszélyeztetheti az említett adatok Egyesült Királyságon kívüli harmadik országokban található adatátvevők részére történő újbóli továbbítása. Az említett „újbóli adattovábbítás”, amely az egyesült királyságbeli adatkezelők vagy adatfeldolgozók szemszögéből Egyesült Királyságból történő nemzetközi adattovábbításnak számít, csak abban az esetben engedélyezett, ha az Egyesült Királyságon kívüli újabb adatátvevőre olyan szabályok vonatkoznak, amelyek biztosítják az Egyesült Királyság jogrendje szerint biztosított védelem szintjéhez hasonló szintű védelmet. Emiatt az Egyesült Királyság általános adatvédelmi rendelete és a 2018. évi adatvédelmi törvény személyes adatok nemzetközi továbbítására vonatkozó szabályainak alkalmazása fontos tényező a védelem folyamatosságának biztosításában az e határozat alapján az Európai Unióból az Egyesült Királyságba továbbított személyes adatok esetében a védelem folyamatosságának biztosításában.

(75)

Az Egyesült Királyságból származó személyes adatok nemzetközi továbbításának rendszerét az Egyesült Királyság általános adatvédelmi rendeletének 44–49. szakasza határozza meg, kiegészítve a 2018. évi adatvédelmi törvénnyel, és lényegében az (EU) 2016/679 rendelet V. fejezetében meghatározott szabályokat tükrözi (71). A személyes adatok harmadik országba vagy nemzetközi szervezetbe történő továbbítására csak megfelelőségi rendelet alapján kerülhet sor (az (EU) 2016/679 rendelet szerinti megfelelőségi határozat egyesült királyságbeli megfelelője), vagy megfelelőségi rendelet hiányában akkor, ha az adatkezelő vagy az adatfeldolgozó megfelelő biztosítékokat nyújtott az Egyesült Királyság általános adatvédelmi rendeletének 46. szakaszával összhangban. Megfelelőségi rendeletek vagy megfelelő biztosítékok hiányában az adattovábbítás csak az Egyesült Királyság általános adatvédelmi rendelete 49. szakaszában meghatározott eltérések alapján történhet.

(76)

A miniszter által elfogadott megfelelőségi rendeletek előírhatják, hogy egy harmadik ország (vagy egy harmadik ország területén belüli terület vagy ágazat), egy nemzetközi szervezet vagy (72) az említett ország, terület, szektor, vagy szervezet leírása biztosítja a személyes adatok megfelelő szintű védelmét. A védelmi szint megfelelőségének értékelésekor a miniszternek ugyanazokat az elemeket kell figyelembe vennie, amelyeket a Bizottságnak az (EU) 2016/679 rendelet 45. cikke (2) bekezdésének a)–c) pontja alapján értékelnie kell, az (EU) 2016/679 rendelet (104) preambulumbekezdésével és a megtartott uniós ítélkezési gyakorlattal együtt értelmezve. Ez azt jelenti, hogy egy harmadik ország megfelelő szintű védelmének értékelésekor a vonatkozó mérce az, hogy a szóban forgó harmadik ország biztosítja-e az Egyesült Királyságban garantált védelemmel „lényegében megegyező” védelmi szintet.

(77)

Ami az eljárást illeti, a megfelelőségi rendeletekre a 2018. évi adatvédelmi törvény 182. szakaszában előírt „általános” eljárási követelmények vonatkoznak. Ebben az eljárásban a miniszternek konzultálnia kell az információügyi biztossal, amikor javaslatot tesz az Egyesült Királyság megfelelőségi rendeleteinek elfogadására (73). Miután a miniszter elfogadta ezeket a rendeleteket, azokat a Parlament elé terjesztik, és a „negatív állásfoglalási” eljárás érvényesül, amelynek során a Parlament mindkét háza megvizsgálhatja a rendeletet, és 40 napos határidőn belül elfogadhat a rendelet megsemmisítésére vonatkozó indítványt (74).

(78)

A 2018. évi adatvédelmi törvény 17B. szakaszának (1) bekezdése szerint a megfelelőségi rendeletet legfeljebb négyéves időközönként felül kell vizsgálni, a miniszternek pedig folyamatosan figyelemmel kell kísérnie a harmadik országokban és nemzetközi szervezetekben azokat a fejleményeket, amelyek befolyásolhatják a megfelelőségi rendeletek megalkotására, illetve az említett rendeletek módosítására vagy visszavonására vonatkozó döntéseket. Ha a miniszter tudomására jut, hogy egy konkrét ország vagy szervezet már nem biztosítja a személyes adatok megfelelő szintű védelmét, a szükséges mértékben módosítania vagy hatályon kívül kell helyeznie a szabályokat, és konzultációt kell folytatnia a harmadik országgal vagy nemzetközi szervezettel a megfelelő védelem hiányának orvoslása érdekében. Ezek az eljárási szempontok tükrözik az (EU) 2016/679 rendelet megfelelő követelményeit is.

(79)

Megfelelőségi rendeletek hiányában nemzetközi adattovábbításra akkor kerülhet sor, amennyiben az adatkezelő vagy az adatfeldolgozó megfelelő biztosítékokat nyújtott az Egyesült Királyság általános adatvédelmi rendelete 46. szakaszával összhangban. A biztosítékok hasonlóak a 2016/679/EU rendelet 46. cikkében említettekhez. Ide tartoznak a hatóságok vagy szervek között jogilag kötelező érvényű és végrehajtható eszközök, kötelező érvényű vállalati szabályok (75), egységes adatvédelmi feltételek, jóváhagyott magatartási kódexek, jóváhagyott tanúsítási mechanizmusok és az információügyi biztos engedélyével az adatkezelők (vagy adatfeldolgozók) közötti szerződései feltételek vagy a hatóságok közötti igazgatási megállapodások. A szabályokat azonban eljárási szempontból úgy módosították, hogy az Egyesült Királyság keretén belül működjenek, különösen a 2018. évi adatvédelmi törvény szerint a miniszter (17C. szakasz) vagy az információügyi biztos (119A. szakasz) fogadhat el általános adatvédelmi záradékokat.

(80)

Megfelelőségi rendelet vagy megfelelő biztosítékok hiányában az adattovábbításra csak az Egyesült Királyság általános adatvédelmi rendeletének 49. szakaszában (76) meghatározott eltérések alapján történhet. Az Egyesült Királyság általános adatvédelmi rendelete nem vezet be lényeges változásokat az eltérések terén az (EU) 2016/679 rendelet megfelelő szabályaihoz képest. Az Egyesült Királyság általános adatvédelmi rendeletében – az (EU) 2016/679 rendelethez hasonlóan – bizonyos eltérésekre csak akkor lehet támaszkodni, ha az adattovábbítás alkalmi jellegű (77). Ezenkívül a biztos a nemzetközi adattovábbításokra vonatkozó útmutatójában pontosítja, hogy: „Ezeket csak valódi »kivételként« használja az általános szabály alól, amely szerint csak akkor hajtható végre korlátozott adattovábbítás, ha arra megfelelőségi határozat vonatkozik vagy vannak megfelelő biztosítékok” (78). A fontos közérdekből (49. cikk (1) bekezdés d) pont) szükséges adattovábbítások tekintetében a miniszter rendeleteket hozhat annak meghatározása érdekében, hogy a személyes adatok harmadik országba vagy nemzetközi szervezetnek történő továbbítása fontos közérdekből szükséges/nem szükséges. Ezenkívül a miniszter rendeletekkel korlátozhatja a személyes adatok valamely kategóriájának harmadik országba vagy nemzetközi szervezetnek történő továbbítását, amennyiben az adattovábbítás a megfelelőségi rendeletek alapján nem történhet meg, és a miniszter fontos közérdekű ok miatt szükségesnek tartja a korlátozást. Ilyen rendeletet eddig nem fogadtak el.

(81)

Ez a nemzetközi adattovábbítási keretrendszer az átmeneti időszak végén vált alkalmazhatóvá (79). Ugyanakkor a 2018. évi adatvédelmi törvény 21. mellékletének (a kilépéssel kapcsolatos adatvédelmi szabályozás által bevezetett) (4) pontja előírja, hogy az átmeneti időszak végétől kezdve a személyes adatok bizonyos továbbítását úgy kezelik, mintha azok megfelelőségi rendeleteken alapulnának. Ezek az adattovábbítások magukban foglalják az EGT-államokba, Gibraltár területére, az EU-Szerződés által vagy annak alapján létrehozott uniós intézménynek, szervnek, hivatalnak vagy ügynökségnek történő adattovábbításokat, valamint az olyan harmadik országokba történő adattovábbításokat, amelyekre uniós megfelelőségi határozat vonatkozott az átmeneti időszak végén. Következésképpen az ezekbe az országokba irányuló adattovábbítások ugyanúgy folytatódhatnak, mint az Egyesült Királyság EU-ból való kilépése előtt. Az átmeneti időszak lejárta után a miniszternek négy éven belül, azaz 2024. december végéig felül kell vizsgálnia ezeket a megfelelőségi megállapításokat. Az Egyesült Királyság hatóságainak magyarázata szerint, bár a miniszternek 2024 december végéig el kell végeznie egy ilyen felülvizsgálatot, az átmeneti rendelkezések nem tartalmaznak „megszüntetési” rendelkezést, és a vonatkozó átmeneti rendelkezések hatálya nem szűnik meg automatikusan, ha a felülvizsgálat 2024. december végéig nem fejeződik be.

(82)

Végül az Egyesült Királyság nemzetközi adattovábbítási rendszerének jövőbeli – új megfelelőségi rendeletek elfogadásával, nemzetközi megállapodások megkötésével vagy más adattovábbítási mechanizmusok kifejlesztésével történő – alakulását illetően a Bizottság szorosan figyelemmel kíséri a helyzetet, felméri, hogy a különböző adattovábbítási mechanizmusokat olyan módon használják-e, amely biztosítja a védelem folytonosságát, és szükség esetén megteszi a megfelelő intézkedéseket az említett folytonosság lehetséges káros hatásainak kezelésére (lásd a (278) – (287)preambulumbekezdést). Mivel az EU és az Egyesült Királyság szabályai hasonlóak a nemzetközi adattovábbításokkal kapcsolatban, várhatóan a problémás eltéréseket is el lehet kerülni együttműködéssel, információcserével és tapasztalatcserével, többek között a biztos és az Európai Adatvédelmi Testület között.

(83)

Az elszámoltathatóság elve értelmében az adatkezelőknek megfelelő technikai és szervezeti intézkedéseket kell hozniuk, hogy hatékonyan feleljenek meg adatvédelmi kötelezettségeiknek, és bizonyítani tudják ezt a megfelelést, különösen az illetékes felügyeleti hatóság felé.

(84)

Az (EU) 2016/679 rendeletben előírt elszámoltathatóság elvét az Egyesült Királyság általános adatvédelmi rendelete 5. szakaszának (2) bekezdése lényeges változás nélkül megtartotta, és ugyanez vonatkozik az adatkezelő felelősségéről szóló 24. cikkre, a beépített adatvédelemről szóló 25. cikkre, valamint az adatkezelési tevékenységek nyilvántartásáról szóló 30. cikkre. Az adatvédelmi hatásvizsgálatokról és a felügyeleti hatósággal folytatott előzetes konzultációról szóló 35. és 36. cikket szintén megtartották. Az (EU) 2016/679 rendeletnek az adatvédelmi tisztviselők kijelöléséről és feladatairól szóló 37–39. cikkét az Egyesült Királyság általános adatvédelmi rendeletében lényeges változások nélkül megtartották. Továbbá megtartották az (EU) 2016/679 rendelet magatartási kódexekről és tanúsításról szóló 40. és 42. cikkének rendelkezéseit az Egyesült Királyság általános adatvédelmi rendeletében (80).

(85)

Az adatvédelem megfelelő szintjének gyakorlati biztosítása érdekében létre kell hozni egy független felügyeleti hatóságot, amely hatáskörrel rendelkezik az adatvédelmi szabályoknak való megfelelés nyomon követésére és a nyomon követés érvényesítésére. Ennek a hatóságnak teljes egészében függetlenül és pártatlanul kell eljárnia feladatai ellátása és hatásköre gyakorlása során.

(86)

Az Egyesült Királyság általános adatvédelmi rendeletének és a 2018. évi adatvédelmi törvénynek való megfelelés felügyeletét és kikényszerítését az Egyesült Királyságban az információügyi biztos végzi. Az információügyi biztos „Corporation Sole”: egyetlen személyben megtestesülő önálló jogi személy. Az információügyi biztos munkáját egy hivatal támogatja. Az Információs Biztos Hivatalának 2020. március 31-én 768 állandó munkavállalója volt (81). Az információügyi biztos támogató minisztériuma a Digitális, Kulturális, Média- és Sportminisztérium (82).

(87)

A biztos függetlenségét kifejezetten rögzíti az Egyesült Királyság általános adatvédelmi rendeletének 52. szakasza, amely nem tér el érdemben a GDPR rendelet 52. cikkének (1)–(3) bekezdésétől. A biztosnak teljesen függetlenül kell eljárnia feladatainak ellátása és hatásköreinek az Egyesült Királyság általános adatvédelmi rendeletével összhangban történő gyakorlása során, mentesnek kell maradnia bármiféle közvetlen vagy közvetett külső befolyástól e feladatok és hatáskörök tekintetében, és senkitől nem kérhet és nem fogadhat el utasításokat. A biztosnak tartózkodnia kell minden olyan feladattól is, amely összeegyeztethetetlen a feladataival, és hivatali idejében nem folytathat összeegyeztethetetlen foglalkozást, legyen az fizetett vagy önkéntes munka.

(88)

Az információügyi biztos kinevezésének és visszahívásának feltételeit a 2018. évi adatvédelmi törvény 12. melléklete tartalmazza. Az információügyi biztost a királynő nevezi ki a kormány ajánlása alapján, tisztességes és nyílt verseny alapján. A jelöltnek rendelkeznie kell a megfelelő képesítéssel, készségekkel és kompetenciákkal. A Governance Code on Public Appointments (állami kinevezések irányítása kódexe) elnevezésű dokumentummal összhangban (83) a kinevezhető jelöltek listáját egy tanácsadó értékelő testület állítja össze. Mielőtt a Digitális, Kulturális, Média- és Sportminisztérium minisztere véglegesíti döntését, az illetékes parlamenti válogató bizottságnak kinevezés előtti ellenőrzést kell lefolytatnia. A bizottság álláspontját nyilvánosságra hozzák (84).

(89)

Az információügyi biztos hivatali ideje legfeljebb hét év. Egy személyt nem lehet több alkalommal információügyi biztosnak kinevezni. Őfelsége a Parlament mindkét házának beszédét követően felmentheti hivatalából (85). Az információügyi biztos felmentésére vonatkozó kérelem nem terjeszthető be a Parlament egyik házához sem, ha egy miniszter nem terjesztett elő jelentést, amelyben kijelenti, hogy meg van győződve arról, hogy az információügyi biztos súlyos kötelességszegésben vétkes és/vagy a biztos már nem felel meg a biztos feladatainak ellátásához szükséges feltételeknek (86).

(90)

Az információügyi biztos finanszírozása három forrásból származik: i. az adatkezelők által fizetett adatvédelmi díjak, amelyeket a miniszter rendeletei határoznak meg (87) (a Data Protection (Charges and Information) Regulations 2018 elnevezésű (2018. évi adatvédelmi (díjak és információk) szabályozás), és a Hivatal éves költségvetésének 85–90 %-át teszi ki (88); ii. a kormány által az információügyi biztos részére kifizetett támogatás. A támogatást elsősorban az információügyi biztos adatvédelemhez nem kapcsolódó feladatai tekintetében felmerülő működési költségeinek finanszírozására fordítják (89); és iii. a szolgáltatásokért felszámított díjak (90). Jelenleg ilyen díjakat nem számítanak fel.

(91)

Az információügyi biztos az Egyesült Királyság általános adatvédelmi rendelete körébe tartozó személyes adatok kezelésével kapcsolatos általános feladatait az Egyesült Királyság általános adatvédelmi rendeletének 57. szakasza határozza meg, szorosan tükrözve az (EU) 2016/679 rendelet megfelelő szabályait. Feladatai közé tartozik az Egyesült Királyság általános adatvédelmi rendeletének nyomon követése és végrehajtása, a közvélemény tudatosságának elősegítése, az érintettek által benyújtott panaszok kezelése, vizsgálatok lefolytatása stb. Ezenkívül a 2018. évi adatvédelmi törvény 115. szakasza meghatározza a biztos egyéb általános feladatait, amelyek magukban foglalják a Parlament, a kormány és más intézmények és szervek számára a tanácsadás kötelezettségét az egyének jogainak és szabadságainak a személyes adatok kezelése tekintetében történő védelmével kapcsolatos törvényi és közigazgatási intézkedésekről, valamint arra vonatkozó hatáskör, hogy a biztos saját kezdeményezésére vagy kérésre véleményt adjon a Parlamentnek, a kormánynak vagy más intézményeknek és szerveknek, valamint a lakosságnak a személyes adatok védelmével kapcsolatos bármely kérdésben. Az igazságszolgáltatás függetlenségének fenntartása érdekében az információügyi biztos nem jogosult feladatait a személyes adatok bírói minőségben eljáró egyén, vagy bírósági minőségében eljáró bíróság vagy törvényszék általi kezelésével kapcsolatban ellátni. Az igazságszolgáltatás felügyeletét szakosított testületek biztosítják (lásd a (99)–(103) preambulumbekezdést.

(92)

Az információügyi biztos hatáskörét az Egyesült Királyság általános adatvédelmi rendeletének 58. szakasza rögzíti, amely nem vezet be lényeges változásokat az (EU) 2016/679 rendelet megfelelő cikkéhez képest. A 2018. évi adatvédelmi törvény kiegészítő szabályokat határoz meg e hatáskörök gyakorlásának módjáról. A biztos hatáskörrel rendelkezik különösen az alábbiakra: a) az adatkezelő és az adatfeldolgozó (és bizonyos körülmények között bármely más személy) számára a szükséges információk megadásának elrendelése tájékoztatás kérésével („adatkérési felhívás”) (91); b) vizsgálat és ellenőrzés végzése vizsgálati felhívás útján, amelyben elrendelheti az adatkezelő vagy az adatfeldolgozó számára, hogy engedélyezze a biztos számára a belépést meghatározott helyiségekbe, dokumentumok vagy berendezések megtekintését vagy vizsgálatát, a személyes adatokat az adatkezelő nevében feldolgozó emberek kihallgatását („vizsgálati felhívás”) (92); c) egyébként hozzáférés az adatkezelők és az adatfeldolgozók dokumentumaihoz, valamint belépés helyiségeikbe a 2018. évi adatvédelmi törvény 154. szakaszának („belépési és ellenőrzési jogkör”) megfelelően; d) korrekciós hatáskör gyakorlása, többek között jogérvényesítési felhívás útján figyelmeztetések és megrovások, vagy utasítás adása révén, amelyben megköveteli az adatkezelőktől/adatfeldolgozóktól az Egyesült Királyság általános adatvédelmi rendeletének 58. szakasza (2) bekezdésének c), g) és j) pontjában írt bármely intézkedés megtételét vagy azoktól tartózkodást („jogérvényesítési felhívás”) (93); e) bírságértesítő formájában közigazgatási bírságot szab ki („bírságértesítő”) (94). Ez utóbbit akkor is ki lehet adni, ha egy hatóság nem tartotta be az Egyesült Királyság általános adatvédelmi rendeletében foglalt rendelkezéseket (95).

(93)

A biztos szabályozási cselekvési politikája meghatározza azokat a körülményeket, amelyek mellett a biztos adatkérési, vizsgálati, jogérvényesítési felhívást és bírságértesítőt fog kiadni (96). Az adatkezelő vagy az adatfeldolgozó mulasztására adott jogérvényesítési felhívás csak olyan követelményeket támaszthat, amelyeket a biztos a mulasztás orvoslása érdekében megfelelőnek tart. Végrehajtási felhívásokat és bírságértesítőket az adatkezelőnek vagy az adatfeldolgozónak az Egyesült Királyság általános adatvédelmi rendelete II. fejezetének (az adatkezelés elvei), a 12–22. szakaszának (az érintett jogai), a 25–39. szakaszának (az adatkezelők és az adatkezelők kötelezettségei) és az Egyesült Királyság általános adatvédelmi rendeletének 44–49. szakasza (nemzetközi adattovábbítások) megsértésével kapcsolatban lehet kiadni. Jogérvényesítési felhívás akkor is kiadható, ha az adatkezelő nem teljesítette a 2018. évi adatvédelmi törvény 137. szakasza alapján elfogadott rendeletben előírt díjfizetési követelményt. Ezenkívül a 41. cikk szerinti ellenőrző szerv vagy egy tanúsító szolgáltató akkor kaphat jogérvényesítési felhívást, ha nem teljesíti az Egyesült Királyság általános adatvédelmi rendeletéből eredő kötelezettségeit. Bírságértesítő olyan személynek adható, aki nem tett eleget adatkérési, vizsgálati vagy jogérvényesítési felhívásnak.

(94)

A bírságértesítő előírja a személynek, hogy az értesítésben meghatározott összeget fizesse meg az információügyi biztosnak. Annak eldöntésekor, hogy küldjön-e valakinek bírságértesítőt, és a büntetés összegének meghatározásakor az információügyi biztosnak figyelembe kell vennie az Egyesült Királyság általános adatvédelmi rendelete 83. szakaszának (1) és (2) bekezdésében felsorolt kérdéseket, amelyek megegyeznek az (EU) 2016/679 rendelet megfelelő szabályaival (97). A 83. szakasz (4) és (5) bekezdése szerint az e rendelkezésekben említett kötelezettségek elmulasztása esetén az adminisztratív bírságok maximális összege 8 700 000 GBP, illetve 17 500 000 GBP. Vállalkozás esetében az információügyi biztos a világszintű éves árbevétel százalékában is kiszabhatja a bírságokat, ha az magasabb. Az (EU) 2016/679 rendelet megfelelő rendelkezéseihez hasonlóan ezeket az összegeket a 83. cikk (4) bekezdésében 2 %-ban, illetve (5) bekezdésében 4 %-ban határozták meg. Az adatkérési, vizsgálati vagy jogérvényesítési felhívás be nem tartásával kapcsolatban a bírságértesítővel kiszabható büntetés maximális összege 17 500 000 GBP, vagy vállalkozás esetében a világszintű éves árbevétel 4 %-a.

(95)

Az Egyesült Királyság általános adatvédelmi rendelete és a 2018. évi adatvédelmi törvény együttesen megerősítette az információügyi biztos egyéb hatásköreit is. Például a biztos most kötelező ellenőrzéseket hajthat végre valamennyi adatkezelő és adatfeldolgozó vonatkozásában vizsgálati felhívások használata révén, míg a korábbi jogszabályok, az 1998. évi adatvédelmi törvény értelmében a biztosnak csak a központi kormányzat és az egészségügyi szervezetek vonatkozásában volt ilyen hatásköre, másoknak bele kellett egyezniük az ellenőrzésbe.

(96)

Az (EU) 2016/679 rendelet bevezetése óta a biztos évente mintegy 40 000, az érintettektől érkező panaszt intéz (98) és ezenfelül körülbelül 2 000 hivatalból indított vizsgálatot (99) folytat le. A panaszok többsége az adatokhoz való hozzáférés jogával és az adatok közlésével kapcsolatos. Vizsgálatait követően a biztos végrehajtási intézkedéseket hoz ágazatok széles körében. Pontosabban, az információügyi biztos legújabb éves jelentése (2019–2020) szerint (100) a biztos 54 jelentést, 8 értékelő közleményt, 7 végrehajtási közleményt, 4 figyelmeztetést adott ki, 8 büntető feljelentést tett és 15 bírságot szabott ki a beszámolási időszak alatt (101).

(97)

Ennek része az (EU) 2016/679 rendelet és a 2018. évi adatvédelmi törvény alapján kiszabott számos jelentős pénzbüntetés. Az információügyi biztos különösen 2020 októberében 20 millió GBP összegre bírságolt egy brit légitársaságot, egy több mint 400 000 ügyfelet érintő személyesadat-sértés miatt. 2020 októberének végén egy nemzetközi szállodaláncot 18,4 millió GBP összegre büntettek, mivel nem tartotta biztonságban ügyfelek millióinak személyes adatait, 2020 novemberében pedig egy jegyeket online értékesítő brit rendezvényszervező szolgáltatót 1,25 millió GBP összegre büntetett meg az ügyfelek fizetési adatai védelmének elmaradása miatt. (102)

(98)

Az információügyi biztosnak a (92) preambulumbekezdésben leírt végrehajtási hatáskörein túl az adatvédelmi jogszabályok bizonyos megsértései bűncselekménynek minősülnek, ezért büntetőjogi szankciókkal sújthatók (a 2018. évi adatvédelmi törvény 196. szakasza). Ez vonatkozik például a személyes adatok adatkezelő hozzájárulása nélkül szándékos vagy gondatlan gyűjtésére vagy közlésére, a személyes adatok más személlyel közlésére az adatkezelő hozzájárulása nélkül (103), az anonimizált személyes adatok újbóli azonosítása a személyes adatok anonimizálásáért felelős adatkezelő hozzájárulása nélkül (104), a biztos személyes adatok nemzetközi kötelezettségekkel összhangban történő ellenőrzésével kapcsolatos hatásköre gyakorlásának szándékos akadályozása (105), hamis állítások megtétele egy adatkérési felhívásra, vagy információk megsemmisítése az adatkérési és vizsgálati felhívások kapcsán (106).

(99)

A személyes adatok bíróságok és igazságszolgáltatás általi kezelésének felügyelete kettős. Ha egy igazságügyi tisztségviselő vagy bíróság nem bírói minőségben jár el, a felügyeletet az információügyi biztos látja el. Amennyiben az adatkezelő bírói minőségben jár el, a biztos nem gyakorolhatja felügyeleti funkcióit (107) és a felügyeletet speciális szervek végzik. Ez az (EU) 2016/679 rendeletben alkalmazott megközelítést (55. cikk (3) bekezdés) tükrözi.

(100)

A második esetkörben az angliai és walesi bíróságok, valamint az angliai és walesi első és felsőbb bíróságok esetében az említett felügyeletet konkrétan a bírói adatvédelmi testület biztosítja (108). Ezenkívül a Lord Chief Justice és a Senior President of Tribunals adatkezelési tájékoztatót adott ki (109) amely meghatározza, hogy az angliai és walesi bíróságok miként kezelik a személyes adatokat bírósági funkciók ellátása céljából. Hasonló nyilatkozatot adott ki az északír (110) és a skót bírói kar is (111).

(101)

Sőt, Észak-Írországban az északír Lord Chief Justice kinevezett egy legfelsőbb bírósági bírót adatvédelmi felügyelő bírónak (Data Supervisory Judge – DSJ) (112). Ugyancsak útmutatót adtak ki az északír bírói karnak arról, hogy mit kell tenniük adatok elvesztése vagy potenciális elvesztése esetén, valamint az ebből adódó kérdések kezelésének folyamatáról (113).

(102)

Skóciában a Lord President nevezett ki egy adatvédelmi felügyelő bírót az adatvédelmi alapon tett esetleges panaszok kivizsgálására. Ezt a bírósági panaszokra vonatkozó szabályok rögzítik, amelyek az Anglia és Wales vonatkozásában megállapított szabályokat tükrözik (114).

(103)

Végül a Legfelsőbb Bíróságon az egyik legfelsőbb bírósági bírót nevezik ki az adatvédelem felügyeletére.

(104)

A megfelelő védelem biztosítása és különösen a személyhez fűződő jogok érvényesítésének biztosítása érdekében az érintettet hatékony közigazgatási és bírósági jogorvoslatban kell részesíteni, beleértve a kártérítést.

(105)

Először is, az érintettnek joga van panaszt benyújtani az információügyi biztoshoz, ha úgy ítéli meg, hogy a rá vonatkozó személyes adatokkal kapcsolatban megszegték az Egyesült Királyság általános adatvédelmi rendeletét (115). Az Egyesült Királyság általános adatvédelmi rendelete lényeges módosítások nélkül fenntartja az e jogra vonatkozó, az (EU) 2016/679 rendelet 77. cikkében szereplő szabályokat. Ugyanez vonatkozik az 57. cikk (1) bekezdésének f) pontjára és (2) bekezdésére, amelyek meghatározzák a biztos panaszok kezelésével kapcsolatos feladatait. A (92)–(98) above preambulumbekezdésben leírtak szerint az információügyi biztos hatáskörrel rendelkezik annak értékelésére, hogy az adatkezelő és az adatfeldolgozó megfelel-e az Egyesült Királyság általános adatvédelmi rendeletének és a 2018. évi adatvédelmi törvénynek, megkövetelheti tőlük, hogy tegyék meg a szükséges lépéseket, vagy tartózkodjanak azoktól meg nem felelés esetén és bírságot szab ki.

(106)

Másodszor, az Egyesült Királyság általános adatvédelmi rendelete és a 2018. évi adatvédelmi törvény jogot biztosít az információügyi biztos elleni jogorvoslatra. Az Egyesült Királyság általános adatvédelmi rendelete 78. szakaszának (1) bekezdése értelmében az egyénnek joga van hatékony bírósági jogorvoslathoz a biztos rá vonatkozó, jogilag kötelező érvényű határozatával szemben. A bírósági felülvizsgálat keretében a bíró megvizsgálja a keresetben megtámadott döntést, és megvizsgálja, hogy az információügyi biztos jogszerűen járt-e el. Ezenkívül az Egyesült Királyság általános adatvédelmi rendelete 78. szakaszának (2) bekezdése szerint, ha a biztos nem kezeli megfelelően az érintett panaszát, (116) a panaszos bírósági jogorvoslatot vehet igénybe. A First Tier Tribunal előtt kérheti a biztos arra kötelezését, hogy tegye meg a megfelelő lépéseket a panasz elintézésére, vagy tájékoztassa a panaszost a panasz állásáról (117). Ezenkívül bárki, aki a biztostól a fenti bármelyik felhívást (adatkérési, vizsgálati, jogérvényesítési felhívás vagy bírságértesítő) megkapja, fellebbezést nyújthat be a First Tier Tribunalhoz (118). Ha ez a bíróság úgy ítéli meg, hogy a biztos döntése nincs összhangban a jogszabályokkal, vagy az információügyi biztosnak másként kellett volna gyakorolnia mérlegelési jogkörét, akkor engedélyeznie kell a fellebbezést, vagy olyan másik felhívást vagy határozatot kell elfogadnia, amelyet az információügyi biztos elfogadhatott volna.

(107)

Harmadszor: az egyének az adatkezelőkkel és az adatfeldolgozókkal szemben közvetlenül a bírósághoz fordulva is bírósági jogorvoslatot nyerhetnek az Egyesült Királyság általános adatvédelmi rendelete 79. szakasza és a 2018. évi adatvédelmi törvény 167. szakasza alapján. Ha az érintett kérelmére a bíróság meggyőződik arról, hogy megsértették az érintett adatvédelmi jogszabályok szerinti jogait, a bíróság kötelezheti az adatkezelésben érintett adatkezelőt, vagy az adatkezelő nevében eljáró adatfeldolgozót a kötelezésben maghatározott intézkedések megtételére, vagy az abban meghatározott lépésektől való tartózkodásra.

(108)

Ezenkívül az Egyesült Királyság általános adatvédelmi rendeletének 82. szakasza és a 2018. évi adatvédelmi törvény 168. szakasza alapján minden olyan személynek, aki az Egyesült Királyság általános adatvédelmi rendeletének megsértése miatt anyagi vagy nem vagyoni kárt szenvedjen, joga van arra, hogy az adatkezelőtől vagy az adatfeldolgozótól az elszenvedett kárért kártérítést kapjon. Az Egyesült Királyság általános adatvédelmi rendelete 82. szakaszának (1)–(5) bekezdésében szereplő, a kártérítésre és a felelősségre vonatkozó szabályok megegyeznek az (EU) 2016/679 rendelet megfelelő szabályaival. A 2018. évi adatvédelmi törvény 168. szakasza szerint a nem vagyoni károk magukban foglalják a sérelemdíjat is. Az Egyesült Királyság általános adatvédelmi rendeletének 80. szakasza alapján az érintettnek joga van egy érdekképviseleti testületet vagy szervezetet is meghatalmazni a panasz biztoshoz történő benyújtására (az Egyesült Királyság általános adatvédelmi rendeletének 77. szakasza alapján) és az Egyesült Királyság általános adatvédelmi rendelete 78. szakaszában (a biztos elleni hatékony bírósági jogorvoslat), 79. szakaszában (az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslat joga) és 82. szakaszában (a kártérítéshez és helytállási kötelezettséghez való jog) említett jogok képviseletében történő gyakorlására.

(109)

Negyedszer, és a fentebb ismertetett jogorvoslati lehetőségek mellett, amennyiben bárki úgy ítéli meg, hogy a hatóságok megsértették jogait, beleértve a magánélethez és az adatvédelemhez fűződő jogokat, az 1998. évi emberi jogi törvény alapján jogorvoslatot kaphat az Egyesült Királyság bíróságai előtt (119). Az a személy, aki azt állítja, hogy egy hatóság olyan módon járt el (vagy olyan eljárást javasol), amely összeegyeztethetetlen az egyezmény szerinti joggal, következésképpen az 1998. évi emberi jogi törvény 6. szakaszának (1) bekezdése alapján jogellenes, eljárást indíthat a hatóság ellen a megfelelő bíróság vagy törvényszék előtt, vagy bármely bírósági eljárásban hivatkozhat az érintett jogokra, amennyiben a jogellenes cselekmény áldozata (vagy az lenne).

(110)

Ha a bíróság valamely hatóság valamely cselekményét jogellenesnek találja, hatáskörein belül olyan kártérítést vagy jogorvoslatot adhat, illetve határozatot hozhat, amelyet igazságosnak és megfelelőnek tart (120). A bíróság összeegyeztethetetlennek nyilváníthatja az elsődleges jogszabályok valamely rendelkezését az Egyezmény által biztosított jogokkal is.

(111)

Végül, a nemzeti jogorvoslatok kimerülése után az egyén az Emberi Jogok Európai Bíróságánál kérhet jogorvoslatot az emberi jogok európai egyezménye által biztosított jogok megsértése miatt.

(112)

A Bizottság emellett értékelte az Egyesült Királyság jogi kereteit az Egyesült Királyság hatóságai által közérdekből – különösen büntetőjogi és nemzetbiztonsági célokból – az Egyesült Királyság gazdasági szereplői számára az Egyesült Királyságban továbbított személyes adatok gyűjtésére és későbbi felhasználására (a továbbiakban: mint „kormányzati hozzáférés”) vonatkozóan. Annak értékelése során, hogy azok a feltételek, amelyek mellett az e határozat alapján az Egyesült Királyságba továbbított adatokhoz való kormányzati hozzáférés megfelel-e az (EU) 2016/679 rendelet 45. cikkének (1) bekezdése szerinti „lényegi egyenértékűségi” teszten, az Európai Unió Bíróságának az Alapjogi Chartára figyelemmel adott értelmezése szerint a Bizottság különösen a következő kritériumokat vette figyelembe.

(113)

Először is, a személyes adatok védelméhez való jog gyakorlása csak a törvény által korlátozható, és a beavatkozást lehetővé tevő jogalapnak magának kell meghatároznia az érintett jog gyakorlásával kapcsolatos korlátozás terjedelmét (121).

(114)

Másodszor, az arányosság követelményének való megfelelés érdekében, amely szerint egy demokratikus társadalomban a személyes adatok védelme alóli eltéréseknek és e védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk az Unió által elismert elismertekkel egyenértékű általános érdekű célok teljesítéséhez, az érintett harmadik ország beavatkozást lehetővé tevő jogszabályainak egyértelmű és pontos szabályokat kell meghatározniuk a szóban forgó intézkedések alkalmazási körét és alkalmazását illetően, és elő kell írniuk minimumbiztosítékokat annak érdekében, hogy azok a személyek, akiknek az adatait továbbították, elegendő garanciákkal rendelkezzenek, amelyek lehetővé teszik a személyes adataiknak a visszaélések veszélyeivel szembeni hatékony védelmét (122). A jogszabályoknak meg kell jelölniük különösen, hogy milyen körülmények között és milyen feltételek mellett lehet az ilyen adatok kezelését előíró intézkedést megtenni (123), valamint az említett követelmények teljesítését független felügyeletnek kell alávetni (124).

(115)

Harmadszor, ennek a jogszabálynak a nemzeti jog szerint jogilag kötelezőnek kell lennie, és ezeknek a jogi követelményeknek nemcsak a hatóságokra nézve kell kötelezőnek lenniük, hanem a szóban forgó harmadik ország hatóságaival szemben bíróság előtt is végrehajthatónak (125). Az érintetteknek különösen rendelkezniük kell azzal a lehetőséggel, hogy független és pártatlan bíróság előtt éljenek jogorvoslati lehetőségekkel abból a célból, hogy a rájuk vonatkozó személyes adatokhoz hozzáférést kapjanak, vagy az ilyen adatokat helyesbíttetni vagy töröltetni tudják (126).

(116)

A kormányzati hozzáférést a hatóság hatáskörének gyakorlásaként az Egyesült Királyságban a törvények teljes tiszteletben tartásával kell végezni. Az Egyesült Királyság ratifikálta az emberi jogok európai egyezményét (lásd a (9) preambulumbekezdést) és az Egyesült Királyság összes hatóságának az egyezménynek megfelelően kell eljárnia (127). Az egyezmény 8. cikke előírja, hogy a magánéletbe való bármiféle beavatkozásnak összhangban kell állnia a jogszabályokkal, a 8. cikk (2) bekezdésében meghatározott célok valamelyikének érdekében, és e célra figyelemmel arányosnak kell lennie. A 8. cikk azt is előírja, hogy a beavatkozásnak „előreláthatónak” kell lennie, vagyis egyértelmű, hozzáférhető jogalapjának kell lennie, és hogy a törvénynek megfelelő biztosítékokat kell tartalmaznia a visszaélések megelőzésére.

(117)

Emellett az Emberi Jogok Európai Bírósága ítélkezési gyakorlatában meghatározta, hogy a magánélethez és az adatvédelemhez való jogba való bármiféle beavatkozásra hatékony, független és pártatlan felügyeleti rendszernek kell vonatkoznia, amelyet bírónak, bíróságnak vagy más független testületnek (128) (pl. közigazgatási hatóságnak vagy parlamenti szervnek) kell biztosítania.

(118)

Ezenkívül az egyének számára hatékony jogorvoslatot kell biztosítani, és az Emberi Jogok Európai Bírósága pontosította, hogy a jogorvoslatot egy olyan független és pártatlan testületnek kell nyújtania, amely elfogadta saját eljárási szabályzatát, tagjai hivatalban lévő vagy volt magas rangú bírák vagy tapasztalt ügyvédek, és a kérelem benyújtásához bizonyítási teher teljesítése nem írható elő. A magánszemélyek panaszainak vizsgálata során a független és pártatlan testület részére hozzáférést kell biztosítani minden lényeges információhoz, ideértve a zárt anyagokat is. Végül hatáskörrel kell rendelkeznie a meg nem felelés orvoslására (129).

(119)

Az Egyesült Királyság 2018-ban ratifikálta Európa Tanács az egyéneknek a személyes adatok gépi feldolgozása során való védelméről szóló egyezményét (108. egyezmény), és az egyéneknek a személyes adatok gépi feldolgozása során való védelméről szóló egyezményt módosító jegyzőkönyvet (az úgynevezett 108+ egyezményt) (130). A 108. egyezmény 9. cikke előírja, hogy az Egyezmény általános adatvédelmi elveitől (5. cikk Az adatok minősége), különleges adatokra vonatkozó szabályoktól (6. cikk Különleges adatok) és az érintettek jogaitól (8. cikk Az adatalanyt védő további garanciák) rendelkezéseitől való eltérés csak akkor megengedett, ha erről az adott Fél törvénye rendelkezik, és a szükséges intézkedések egy demokratikus társadalomban az állam biztonsága, a közbiztonság, az állam pénzügyi érdekének a védelme vagy a bűncselekmények megelőzése érdekében, vagy az adatalany vagy mások jogainak vagy szabadságjogainak védelme érdekében szükségesek (131).

(120)

Ezért az Egyesült Királyságra számos, a nemzetközi jogban rögzített kötelezettség vonatkozik az Európa Tanácsban fennálló tagsága, az Emberi Jogok Európai Egyezményéhez való csatlakozása és az Emberi Jogok Európai Bírósága joghatóságának való alávetése révén, amelyek az uniós jog által garantált és a tagállamokra alkalmazandó elvekhez, biztosítékokhoz és egyéni jogokhoz hasonlóan foglalják keretbe a kormányzati hozzáférési rendszerét. Amint azt a (19) preambulumbekezdés hangsúlyozta, az említett eszközök folyamatos betartása ezért különösen fontos eleme az e határozat alapjául szolgáló értékelésnek.

(121)

Ezenkívül a konkrét adatvédelmi biztosítékokat és jogokat a 2018. évi adatvédelmi törvény garantálja, amikor az adatokat hatóságok, többek között a bűnüldöző szervek és a nemzetbiztonsági szervek is kezelik.

(122)

A személyes adatok bűnüldözéssel összefüggésben történő kezelésének rendjét különösen a 2018. évi adatvédelmi törvény 3. része határozza meg, amelyet az (EU) 2016/680 irányelv átültetésére fogadtak el. A 2018. évi adatvédelmi törvény 3. része a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett kezelésére vonatkozik (132).

(123)

Az „illetékes hatóság” az adatvédelmi törvény 30. szakaszának fogalommeghatározása szerint a 2018. évi adatvédelmi törvény 7. mellékletében felsorolt személy, valamint bármely más személy, amennyiben bármely bűnüldözési célból jogszabályi feladatai vannak (133). Amint az alábbiakban kifejtésre került (lásd a (139) preambulumbekezdést), bizonyos illetékes hatóságok (például a Nemzeti Bűnügyi Ügynökség) bizonyos feltételek mellett igénybe vehetik a nyomozati hatáskörökről szóló 2016. évi törvény (a nyomozati hatáskörökről szóló 2016. évi törvény) által biztosított hatásköröket. Ebben az esetben a 2018. évi adatvédelmi törvény 3. részében előírt biztosítékok mellett érvényesülnek a nyomozati hatáskörökről szóló 2016. évi törvényben előírt biztosítékok is. A hírszerző ügynökségek (Secret Intelligence Service – titkosszolgálat, Security Service – biztonsági szolgálat és a Government Communications Headquarters – kormányzati kommunikációs központ) nem a 2018. évi adatvédelmi törvény 3. részének hatálya alá tartozó „illetékes hatóságok” (134), és ezért az ott előírt szabályok egyetlen tevékenységükre sem vonatkoznak. A 2018. évi adatvédelmi törvényben egy külön (a 4.) részt szenteltek személyes adatok hírszerző ügynökségek általi kezelésének (részletesebben lásd a (125) preambulumbekezdést).

(124)

Az (EU) 2016/680 irányelvhez hasonlóan a 2018. évi adatvédelmi törvény 3. része meghatározza a jogszerűség és a tisztességesség (135), a célhoz kötöttség (136), az adattakarékossága (137), a pontosság (138), a tárolási korlátozás (139) és a biztonság (140) elvét. A jogszabály külön átláthatósági kötelezettségeket ír elő (141) és hozzáférési (142), helyesbítési és törlési (143) jogot biztosít az egyének számára, valamint azt a jogot, hogy ne hozzanak róluk automatizált döntéseket (144). Az illetékes hatóságok kötelesek továbbá megvalósítani a tervezett és beépített adatvédelmet, nyilvántartást vezetni az adatkezelési tevékenységekről, egyes adatkezelési műveletek esetében pedig adatvédelmi hatásvizsgálatokat kell végezniük, és előzetesen konzultálniuk kell az információügyi biztossal (145). A 2018. évi adatvédelmi törvény 56. szakasza szerint a megfelelést bizonyítaniuk kell. Ezenkívül megfelelő intézkedéseket kell bevezetniük az adatkezelés biztonságának biztosítása érdekében (146) és külön kötelezettségek vonatkoznak rájuk a személyes adatok megsértése esetén, ideértve az említett jogsértések az információügyi biztosnak való bejelentését és az érintettek tájékoztatását (147). Ahogyan az (EU) 2016/680 irányelvben szerepel, az adatkezelőre is előírás az adatvédelmi tisztviselő kijelölése (kivéve, ha az adatkezelő bíróság vagy más bírói minőségben eljáró igazságügyi hatóság) (148), aki segíti az adatkezelőt kötelezettségei teljesítésében, valamint a megfelelés figyelemmel kísérésében (149). Ezenkívül a jogszabályok külön követelményeket írnak elő a személyes adatok bűnüldözési célú, harmadik országoknak vagy nemzetközi szervezeteknek történő nemzetközi továbbítására a védelem folyamatosságának biztosítása érdekében (150). E határozattal egy időben a Bizottság az (EU) 2016/680 irányelv 36. cikkének (3) bekezdése alapján megfelelőségi határozatot fogad el, amelyben megállapította, hogy az Egyesült Királyság bűnüldöző hatóságai általi adatkezelésre alkalmazandó adatvédelmi rendszer biztosítja az (EU) 2016/680 irányelv által garantálttal lényegében azonos szintű védelmet.

(125)

A 2018. évi adatvédelmi törvény 4. része a hírszerző ügynökség által vagy nevében végzett minden adatkezelésre vonatkozik, meghatározza különösen a fő adatvédelmi elveket (jogszerűség, tisztességesség és átláthatóság (151); célhoz kötöttség (152); adattakarékosság (153); pontosság (154); tárolás korlátozása (155) és biztonság (156)), feltételeket szab a különleges adatok kategóriáinak kezelésére (157), rendelkezik az érintettek jogairól (158), megköveteli a beépített adatvédelmet (159) és szabályozza a személyes adatok nemzetközi továbbítását (160). A biztos nemrégiben adott ki részletes útmutatást a hírszerző ügynökségek által a 2018. évi adatvédelmi törvény 4. része alapján történő adatkezelésről (161).

(126)

Ugyanakkor a 2018. évi adatvédelmi törvény 110. szakasza kivételt ír elő a 2018. évi adatvédelmi törvény 4. részének meghatározott rendelkezései alól (162), amennyiben az említett kivételre a nemzetbiztonság megőrzése érdekében van szükség. Ezt a kivételt eseti elemzés alapján lehet igénybe venni (163). Amint azt az Egyesült Királyság hatóságai kifejtették és az ítélkezési gyakorlat megerősítette, „a) az adatkezelőnek mérlegelnie kell a nemzetbiztonságra vagy a védelemre gyakorolt tényleges következményeket, ha be kellene tartaniuk az adott adatvédelmi rendelkezést, és ha észszerűen eleget tudnak tenni a szokásos szabálynak a nemzetbiztonság vagy a védelem befolyásolása nélkül” (164). Az, hogy a kivételt megfelelően alkalmazzák-e, a biztos felügyelete alá tartozik (165).

(127)

Ezenkívül a fent meghatározott rendelkezések alkalmazásának a „nemzetbiztonság” védelme érdekében történő korlátozásának lehetősége kapcsán az adatkezelő kérhet a 2018. évi adatvédelmi törvény 111. szakasza szerint a miniszter vagy a legfőbb ügyész (vagy a skóciai főügyész) által aláírt tanúsítványt, amely tanúsítja, hogy az említett jogok korlátozása szükséges és arányos intézkedés a nemzetbiztonság védelme érdekében (166).

(128)

Az Egyesült Királyság kormánya útmutatót adott ki az adatkezelők számára a 2018. évi adatvédelmi törvény szerint a nemzeti biztonsági tanúsítványok kérelmezése mérlegelésében történő segítségnyújtás céljából, amely kiemeli, hogy az érintettek jogai korlátozásának a nemzetbiztonság védelme érdekében arányosnak és szükségesnek kell lennie (167). Valamennyi nemzeti biztonsági tanúsítványt közzé kell tenni a biztos honlapján (168).

(129)

A tanúsítvány meghatározott időtartamra, legfeljebb öt évre szólhat, ezért azt a végrehajtó hatalom rendszeresen felülvizsgálja (169). A tanúsítványban meg kell jelölni a kivétel hatálya alá tartozó személyes adatokat vagy személyesadat-kategóriákat, valamint a 2018. évi adatvédelmi törvény azon rendelkezéseit, amelyekre a kivétel vonatkozik (170).

(130)

Fontos megjegyezni, hogy a nemzetbiztonsági tanúsítványok nem jelentenek további alapot az adatvédelmi jogok nemzetbiztonsági okokból történő korlátozásához. Másként megfogalmazva: az adatkezelő vagy az adatfeldolgozó csak akkor veheti igénybe a tanúsítványt, ha megállapítást nyert, hogy szükség van a nemzetbiztonsági kivételre, amelyet – a fentebb kifejtettek szerint – esetenkénti alapon kell alkalmazni (171). Még ha nemzetbiztonsági tanúsítvány is vonatkozik a szóban forgó kérdésre, a biztos megvizsgálhatja, hogy a nemzetbiztonsági kivételre hivatkozás egy adott esetben indokolt volt-e (172).

(131)

Bármely személy, akit a tanúsítvány kiállítása közvetlenül érint, fellebbezést nyújthat be az Upper Tribunalhoz (Felsőbb Törvényszék) (173) a tanúsítvány ellen (174) vagy ha a tanúsítvány általános leírás alapján azonosítja az adatokat, megtámadhatja a tanúsítvány konkrét adatokra való alkalmazását (175). A törvényszék felülvizsgálja a tanúsítvány kiadásáról szóló határozatot, és dönt, hogy volt-e észszerű indok a tanúsítvány kiadására (176). Számos kérdést mérlegelhet, beleértve a szükségességet, az arányosságot és a jogszerűséget, figyelemmel az érintettek jogaira gyakorolt hatásra, és a nemzetbiztonság védelme szükségességének kiegyensúlyozására. Ennek eredményeként a bíróság megállapíthatja, hogy a tanúsítvány nem vonatkozik a fellebbezés tárgyát képező konkrét személyes adatokra (177).

(132)

A lehetséges korlátozások egy másik csoportja a 2018. évi adatvédelmi törvény 11. melléklete alapján a 2018. évi adatvédelmi törvény 4. részének egyes rendelkezéseire (178) egyéb fontos általános közérdekű vagy védett érdekek – például parlamenti kiváltságok, jogi szakmai kiváltságok (ügyvédi titoktartás), bírósági eljárások lefolytatása vagy a fegyveres erők harci hatékonysága – védelmére alkalmazott korlátozásokat (179) érinti. Ezeknek a rendelkezéseknek az alkalmazása alóli kivétel bizonyos adatkategóriákra vonatkozik („csoportalapú”), vagy pedig a kivétel annyiban érvényesül, amennyiben e rendelkezések alkalmazása valószínűleg sérti a védett érdekeket („sérelem alapú”) (180). A sérelmen alapuló kivételekre csak akkor lehet hivatkozni, amennyiben a felsorolt adatvédelmi rendelkezések alkalmazása valószínűleg sérti a szóban forgó konkrét érdekeket. A kivétel alkalmazását ezért mindig indokolni kell az adott esetben valószínűleg bekövetkező, releváns sérelemre való hivatkozással. Csoportalapú kivételekre csak azon konkrét, szűken meghatározott adatkategóriák esetében lehet hivatkozni, amelyekre a mentességet megadják. Ezek célja és hatása hasonló az Egyesült Királyság általános adatvédelmi rendelete alóli számos kivételhez (a 2018. évi adatvédelmi törvény 2. melléklete alapján), amelyek viszont tükrözik a GDPR 23. cikkében foglaltakat.

(133)

A fentiekből következik, hogy az alkalmazandó brit jogszabályi rendelkezések tekintetében – a bíróságok és az Információügyi Bizottság által is értelmezett – korlátozások és feltételek érvényesülnek annak biztosítása érdekében, hogy ezek a kivételek és korlátozások a nemzetbiztonság védelméhez szükséges és arányos határokon belül maradjanak.

(134)

Az Egyesült Királyság törvényei számos korlátozást állapítanak meg a személyes adatokhoz való hozzáférésre és azok bűnüldözési célokra történő felhasználására, és ezen a területen felügyeleti és jogorvoslati mechanizmusokat biztosítanak, amelyek összhangban állnak az e határozat (113)–(115) preambulumbekezdésében említett követelményekkel. Az említett hozzáférés feltételeit és az e hatáskörök alkalmazására vonatkozó biztosítékokat a következő szakaszok részletesen értékelik.

(135)

A 2018. évi adatvédelmi törvény 35. szakaszában garantált jogszerűség elve szerint a személyes adatok bármely bűnüldözési célból történő kezelése csak akkor jogszerű, ha az törvényen alapul, és vagy az érintett hozzájárult az e célból történő adatkezeléshez (181), vagy az adatkezelés az illetékes hatóság által e célból ellátott feladat ellátásához szükséges.

(136)

Az Egyesült Királyság jogi kereteiben megengedett a személyes adatok gyűjtése az gazdasági szereplőktől, beleértve azokat is, amelyek a megfelelőségre vonatkozó jelenlegi határozat alapján az EU-ból továbbított adatokat kezelnek bűnüldözési célból, körözési parancsok (182) és közlésre kötelezések alapján. (183)

(137)

A körözési parancsokat a bíróság adja ki, általában a nyomozótiszt kérelmére. Ez lehetővé teszik a tiszt számára a helyiségekbe belépést, a nyomozás szempontjából releváns anyagok vagy személyek keresése céljából, és bármit elvigyen, amelyre engedélyezték a körözést, beleértve az összes vonatkozó dokumentumot vagy személyes adatokat tartalmazó anyagot (184). A közlésre kötelezés – amelyet szintén bíróságnak kell kiadnia – megköveteli, hogy az abban meghatározott személy átadja a birtokában lévő vagy általa ellenőrzött anyagot, vagy ahhoz hozzáférést adjon. A kérelmezőnek meg kell indokolnia a bíróság előtt, hogy miért van szükség a parancsra vagy a kötelezésre, és az miért képez közérdeket. Számos olyan törvényi hatáskör létezik, amelyek lehetővé teszik a körözési parancsok és a közlésre kötelezések kiadását. Minden rendelkezésnek megvannak a maga törvényi feltételei, amelyeknek meg kell felelni a parancs (185) vagy közlésre kötelezés (186) kiadásához.

(138)

A közlésre kötelezéseket és a körözési parancsokat bírósági felülvizsgálat útján lehet megtámadni (187). Ami a biztosítékokat illeti, a 2018. évi adatvédelmi törvény 3. része szerinti összes illetékes bűnüldöző hatóság személyes adatokhoz csak a 2018. évi adatvédelmi törvényben meghatározott elveknek és követelményeknek megfelelően férhet hozzá – ami az adatkezelés egyik formája – (lásd a (122) és (124) above a preambulumbekezdést). Ezért a bűnüldöző hatóság által benyújtott minden kérelemnek meg kell felelnie annak az elvnek, amely szerint az adatkezelés céljait meg kell határozni, azoknak egyértelműnek és jogosnak kell lenniük (188), és hogy az illetékes hatóság által kezelt személyes adatoknak e cél szempontjából relevánsnak és nem eltúlzott mértékűeknek kell lenniük (189).

(139)

Egyes bűnüldöző hatóságok – például a Nemzeti Bűnügyi Ügynökség vagy a rendőrfőkapitány (190) – a nyomozati hatáskörökről szóló 2016. évi törvény szerinti célzott nyomozati hatásköröket használhat kizárólag súlyos bűncselekmények megelőzése vagy felderítése céljából (191). Ebben az esetben a 2018. évi adatvédelmi törvény 3. részében előírt biztosítékok mellett érvényesülnek a nyomozati hatáskörökről szóló 2016. évi törvényben előírt biztosítékok is. A konkrét nyomozati hatáskörök, amelyeket a bűnüldöző hatóságok igénybe vehetnek, a következők: célzott lehallgatás (a nyomozati hatáskörökről szóló 2016. évi törvény 2. része), kommunikációs adatok gyűjtése (a nyomozati hatáskörökről szóló 2016. évi törvény 3. része), kommunikációs adatok megőrzése (a nyomozati hatáskörökről szóló 2016. évi törvény 4. része) és a berendezések célzott zavarása (a nyomozati hatáskörökről szóló 2016. évi törvény 5. része). A lehallgatás a kommunikáció tartalmának megszerzésére terjed ki (192), míg a kommunikációs adatok gyűjtése és megőrzése nem a kommunikáció tartalmának gyűjtésére, hanem a kommunikáció alanyaira, idejére, helyére és módjára irányul. Ez magában foglalja például a kommunikáció időpontját és időtartamát, a kommunikáció kezdeményezőjének és címzettjének telefonszámát vagy e-mail-címét, és esetenként azoknak az eszközöknek a helyét, amelyekről a kommunikációt folytatták, a telefonos szolgáltatás előfizetőjét vagy a tételes számla részleteit (193). A berendezések zavarása olyan technikák összessége, amelyeket berendezésekből különféle adatok gyűjtésére használnak, ideértve a számítógépeket, a táblagépeket és az okostelefonokat, valamint a kábeleket, a vezetékeket és a tárolóeszközöket (194).

(140)

A célzott lehallgatási hatáskörök akkor is felhasználhatók, amikor „az EU kölcsönös segítségnyújtási eszközének vagy egy nemzetközi kölcsönös segítségnyújtási megállapodás rendelkezéseinek kell érvényt szerezni” (úgynevezett „kölcsönös segítségnyújtási parancs” (195)). Kölcsönös segítségnyújtási parancsot csak lehallgatással kapcsolatban adnak, a kommunikációs adatok gyűjtésére vagy berendezés zavarására nem. Ezeket a célzott hatásköröket a nyomozati hatáskörről szóló 2016. évi törvény (a nyomozati hatáskörökről szóló 2016. évi törvény) szabályozza (196), amely az Anglia, Wales és Észak-Írország vonatkozásában a nyomozati hatáskörökről szóló 2000. évi törvénnyel és Skócia esetében a Regulation of Investigatory Powers (Scotland) Act 2000 elnevezésű (a nyomozati hatáskörök szabályozásáról (Skócia) szóló 2000. évi) törvénnyel (a nyomozati hatáskörök szabályozásáról (Skócia) szóló 2000. évi törvény) együtt előírja az említett hatáskörök felhasználására a jogalapot és meghatározza az alkalmazandó korlátozásokat és biztosítékokat. A nyomozati hatáskörökről szóló 2016. évi törvény a tömeges nyomozati hatáskörök alkalmazásának rendszerét is előírja, bár ezek a bűnüldöző hatóságok számára nem állnak rendelkezésre (csak a hírszerző ügynökségek vehetik igénybe azokat) (197).

(141)

E hatáskörök gyakorlásához a hatóságoknak parancsot kell beszerezniük (198), amelyet az illetékes hatóság állít ki (199), és egy független igazságügyi biztos hagyja jóvá (200) (úgynevezett duplán ellenőrzött, „double-lock” eljárás). Az említett parancs megszerzésére szükségességi és arányossági teszt vonatkozik (201). Mivel a nyomozati hatáskörökről szóló 2016. évi törvény által biztosított célzott nyomozati hatáskörök megegyeznek a nemzetbiztonsági ügynökségek rendelkezésére álló jogokkal, az említett hatáskörökre alkalmazandó feltételekkel, korlátozásokkal és biztosítékokkal a személyes adatokhoz az Egyesült Királyság hatóságai által nemzetbiztonsági célokból való hozzáférésről és azok felhasználásáról szóló szakasz részletesen foglalkozik (lásd a (177) és azt követő preambulumbekezdéseket).

(142)

Az adatok bűnüldöző hatóság által másik hatósággal, a gyűjtés eredeti céljától eltérő célra történő megosztása (úgynevezett „további megosztás”) bizonyos feltételekhez kötött.

(143)

Az (EU) 2016/680 irányelv 4. cikkének (2) bekezdésében előírtakhoz hasonlóan a 2018. évi adatvédelmi törvény 36. szakaszának (3) bekezdése lehetővé teszi az illetékes hatóságok által bűnüldözési célból gyűjtött személyes adatokat további feldolgozását (akár az eredeti adatkezelő vagy egy másik adatkezelő által) bármely más bűnüldözési célra, feltéve, hogy az adatkezelőt törvény felhatalmazza az adatok más célú kezelésére, és az adatkezelés szükséges és arányos az említett célra (202). Ebben az esetben a 2018. évi adatvédelmi törvény 3. része által biztosított, a (122) és (124) preambulumbekezdésben említett összes biztosíték vonatkozik az átvevő hatóság által végzett adatkezelésre.

(144)

Az Egyesült Királyság jogrendjében különféle törvények kifejezetten megengedik a további megosztást. Különösen: i. a Digital Economy Act 2017 elnevezésű (a digitális gazdaságról szóló 2017. évi) törvény lehetővé teszi a hatóságok közötti megosztást többféle célra, például az állami szektorral szembeni bármilyen csalás esetén, amely egy hatóság számára veszteséggel vagy veszteség kockázatával járna (203) vagy hatósággal vagy az állammal szemben fennálló tartozás esetén (204); ii. a Crime and Courts Act 2013 elnevezésű (a bűncselekményekről és bíróságokról szóló 2013. évi) törvény lehetővé teszi az információk Nemzeti Bűnügyi Ügynökséggel (NCA) (205) való megosztását a súlyos bűncselekmények és a szervezett bűnözés elleni küzdelem, azok nyomozása és a büntetőeljárás lefolytatása érdekében; iii. a Serious Crime Act 2007 elnevezésű (a súlyos bűncselekményekről szóló 2007. évi) törvény, amely lehetővé teszi a hatóságok számára, hogy csalás megelőzése céljából információkat közöljenek a csalásellenes szervezetekkel (206).

(145)

Ezek a törvények kifejezetten előírják, hogy az információmegosztásnak meg kell felelnie a 2018. évi adatvédelmi törvényben meghatározott elveknek. Emellett a Rendészeti Főiskola kiadta az információmegosztás engedélyezett szakmai gyakorlatát (207) a rendőrségnek az Egyesült Királyság általános adatvédelmi rendelete, adatvédelmi törvény és 1998. évi emberi jogi törvény szerinti adatvédelmi kötelezettségeik teljesítésében történő segítségnyújtás céljából. A megosztás irányadó adatvédelmi jogi keretnek való megfelelése tekintetében természetesen bírósági felülvizsgálatnak van helye (208).

(146)

Ezenkívül az (EU) 2016/680 irányelv 9. cikkében foglaltakhoz hasonlóan a 2018. évi adatvédelmi törvény előírja, hogy a bűnüldözési célokból gyűjtött személyes adatokat a bűnüldözés céljától eltérő célból is fel lehet dolgozni, amennyiben az adatkezelést törvény engedélyezi (209).

(147)

Ez a típusú megosztás két esetkört ölel fel: 1) amikor a bűnüldöző hatóság az adatokat egy hírszerző ügynökségnek nem minősülő, nem bűnüldöző végrehajtó hatósággal osztja meg (például pénzügyi vagy adóhatóság, versenyhatóság, ifjúsági jóléti hivatal, stb.); és 2) amikor a bűnüldöző hatóság az adatokat hírszerző ügynökséggel osztja meg. Az első esetkör szerint a személyes adatok feldolgozása az Egyesült Királyság általános adatvédelmi rendeletének, valamint a 2018. évi adatvédelmi törvény 2. részének hatálya alá tartozik. A Bizottság a (12)–(111) preambulumbekezdésben értékelte az Egyesült Királyság általános adatvédelmi rendelete és a 2018. évi adatvédelmi törvény 2. része által biztosított biztosítékokat, és arra a következtetésre jutott, hogy az Egyesült Királyság biztosítja az (EU) 2016/679 rendelet hatálya alá tartozó, az Európai Unióból az Egyesült Királyságba továbbított személyes adatok megfelelő szintű védelmét.

(148)

A második esetkörben a bűnüldöző hatóságok által nemzetbiztonsági célokból gyűjtött adatok hírszerző ügynökséggel történő megosztása tekintetében az említett megosztás jogalapja a Counter Terrorism Act 2008 elnevezésű (terrorizmus elleni 2008. évi) törvény 19. szakasza (210). E törvény alapján bárki információt adhat bármely hírszerző ügynökségnek az ügynökség bármely feladatának ellátása céljából, beleértve a „nemzetbiztonságot” is.

(149)

Az adatok nemzetbiztonsági célú megosztását illetően a hírszerző ügynökségekről szóló törvény (211) és a biztonsági szolgálatokról szóló törvény (212) a törvényi funkcióik ellátásához szükséges mértékre korlátozza a hírszerző ügynökségek adatszerzési képességét. Az adatoknak a hírszerző ügynökséggel történő megosztására törekvő bűnüldöző szerveknek az ügynökségek jogszabályi funkcióin túlmenően számos tényezőt/korlátozást is figyelembe kell venniük, amelyeket a hírszerző ügynökségekről szóló törvény és a biztonsági szolgálatokról szóló törvény (213) határoz meg. A terrorizmus elleni 2008. évi törvény 20. szakasza egyértelművé teszi, hogy a 19. szakasz szerinti adatmegosztásnak továbbra is meg kell felelnie az adatvédelmi jogszabályoknak; ami azt jelenti, hogy a 2018. évi adatvédelmi törvény 3. részének összes korlátozása és követelménye érvényesül. Továbbá, mivel az illetékes hatóságok az 1998. évi emberi jogi törvény alkalmazásában hatóságok, biztosítaniuk kell, hogy az egyezmény szerinti jogoknak – ideértve az EJEE 8. cikkét is – összhangban járjanak el. Ezek a korlátok biztosítják, hogy a bűnüldöző szervek és a hírszerző ügynökség közötti minden adatmegosztás megfeleljen az adatvédelmi jogszabályoknak és az EJEE-nek.

(150)

Amennyiben az illetékes hatóság meg kívánja osztani a 2018. évi adatvédelmi törvény 3. része alapján kezelt személyes adatokat egy harmadik ország bűnüldöző hatóságaival, külön követelmények érvényesülnek (214). Ilyen adattovábbításokra akkor kerülhet sor, amennyiben azok a miniszter megfelelőségi rendeletein alapulnak, vagy ezek hiányában megfelelő biztosítékokról kell gondoskodni. A 2018. évi adatvédelmi törvény 75. szakasza előírja, hogy megfelelő biztosítékok vannak érvényben, ha azt a címzettre kötelező érvényű jogi aktus állapítja meg, vagy ha az adatkezelő – miután értékelte az említett típusú személyes adatok harmadik országba vagy nemzetközi szervezetbe történő továbbításával kapcsolatos összes körülményt – arra a következtetésre jut, hogy megfelelő biztosítékok léteznek az adatok védelmére.

(151)

Ha az adattovábbítás nem megfelelőségi rendeleten vagy megfelelő biztosítékokon alapul, akkor arra csak bizonyos, meghatározott körülmények között kerülhet sor, amelyeket „kivételes körülményeknek” nevezünk (215). Ez a helyzet áll fen, ha az adattovábbítás az alábbiak miatt szükséges: a) az érintett vagy egy másik személy létfontosságú érdekeinek védelme érdekében; b) az érintett jogos érdekeinek biztosításához; c) valamely tagállam vagy harmadik ország közbiztonságát közvetlenül és komolyan fenyegető veszély elhárítása érdekében szükséges; d) egyedi esetekben bármely bűnüldözési célból; vagy e) egyedi esetekben jogi célból (például jogi eljárásokkal vagy jogi tanács kikérésével kapcsolatban). Megjegyzendő, hogy a d) és e) pont nem alkalmazandó, ha az érintett jogai és szabadságai felülírják az adattovábbítással kapcsolatos közérdeket. Ezek a körülmények megfelelnek az (EU) 2016/680 irányelv 38. cikke alapján „eltérésnek” minősülő kivételes eseteknek és feltételeknek.

(152)

Emellett, amennyiben a bűnüldöző hatóságok által a lehallgatás vagy a berendezés zavarásának használatát engedélyező határozat alapján megszerzett anyagot harmadik országnak adják át, a nyomozati hatáskörökről szóló 2016. évi törvény további biztosítékokat ír elő. Különösen az említett, „tengerentúli közlésként” meghatározott közlés csak akkor engedélyezett, ha a kibocsátó hatóság úgy ítéli meg, hogy olyan speciális megfelelő intézkedések vannak érvényben, amelyek korlátozzák azoknak a személyeknek a számát, akikkel az adatokat közlik, illetve az anyagok közlésének vagy hozzáférhetővé tételének mértékét, valamint bármely anyag lemásolásának mértékét és az elkészített másolatok számát. Ezenkívül a kiállító hatóság úgy ítélheti meg, hogy megfelelő intézkedésekre van szükség annak biztosítására, hogy az anyag bármely részéből készült minden másolatot megsemmisítsék, amint annak megőrzésére már nincs releváns ok (ha korábban azt nem semmisítették meg) (216).

(153)

Végül az Egyesült Királyságból az Egyesült Államokba történő újbóli adattovábbítás meghatározott formái a jövőben a 2019 októberében megkötött (217), a Nagy-Britannia és Észak-Írország Egyesült Királyságának kormánya és az Amerikai Egyesült Államok kormánya közötti, az elektronikus adatokhoz a súlyos bűncselekmények elleni küzdelem céljából történő hozzáférésről szóló megállapodás (az „Egyesült Királyság – Egyesült Államok megállapodás” vagy „Megállapodás”) (218) alapján történhetnek. Noha az Egyesült Királyság és az Egyesült Államok közötti megállapodás e határozat elfogadásakor még nem lépett hatályba, annak előrelátható hatálybalépése befolyásolhatja a határozat alapján először az Egyesült Királyságba továbbított adatok az Egyesült Államokba történő újbóli továbbítását. Pontosabban, az EU-ból az egyesült királyságbeli szolgáltatóknak továbbított adatokra az Egyesült Államok illetékes bűnüldöző hatóságai által kiadott, elektronikus bizonyítási végzései vonatkozhatnak, amelyeket az Egyesült Királyságban a megállapodás hatálybalépése után juttathatnak érvényre. Ezen okok miatt releváns e határozat szempontjából azoknak a feltételeknek és biztosítékoknak az értékelése, amelyek mellett az említett végzéseket ki lehet adni és végre lehet hajtani.

(154)

Ebben a tekintetben meg kell jegyezni, hogy először is tárgyi hatályát tekintve a megállapodás csak olyan bűncselekményekre alkalmazandó, amelyek felső büntetési tétele legalább három évig terjedő szabadságvesztés („súlyos bűncselekmény” definíciója) (219), beleértve a „terrorista tevékenységet” is. Másodszor a másik joghatóságban kezelt adatok e megállapodás alapján csak akkor szerezhetők be, ha „a végzés végrehajthatóságáról egy bíróság, bíró, békebíró vagy más független hatóság előzetes vagy a rendelet végrehajtására vonatkozó eljárásokban […] a kibocsátó fél belső joga szerint felülvizsgálható vagy felügyelhető végzést hoz” (220). Harmadszor, minden végzésnek „észszerű indokok követelményein kell alapulnia, amelyek a vizsgált magatartás egyértelmű és hiteles tényállásán, sajátosságain, jogszerűségén és súlyosságán alapulnak” (221) és „meghatározott számlákra kell irányulnia, valamint meg kell jelölnie egy adott személyt, fiókot, címet vagy személyes eszközt, vagy bármilyen más egyedi azonosítót” (222). Negyedszer, az e megállapodás alapján nyert adatok az úgynevezett „EU – USA keretmegállapodás” által biztosított különleges biztosítékokkal egyenértékű védelemben részesülnek (223) – ez egy átfogó adatvédelmi megállapodás, amelyet az EU és az Egyesült Államok 2016 decemberében kötött, és amely meghatározza az adattovábbításra alkalmazandó biztosítékokat és jogokat a bűnüldözési együttműködés területén –, amelyeket hivatkozásként beépítettek e megállapodásba mutatis mutandis alapon, nevezetesen az adattovábbítások sajátos jellegének (azaz a magánszolgáltatóktól a bűnüldöző szervekhez történő adattovábbításokat, nem pedig a bűnüldöző hatóságok közötti adattovábbításokat) (224) figyelembevételére. Az Egyesült Királyság – Egyesült Államok megállapodás kifejezetten előírja, hogy az EU – USA keretmegállapodásban foglaltakkal egyenértékű védelmet alkalmaznak „minden olyan személyes adatra, amelyet a Megállapodás hatálya alá tartozó végzések végrehajtása során hoztak létre azonos védelem elérése céljából” (225).

(155)

Az Egyesült Államok hatóságainak az Egyesült Királyság – Egyesült Államok megállapodás alapján továbbított adatoknak ezért részesülniük kell egy uniós jogi eszköz által biztosított védelemből, a szóban forgó adattovábbítások jellegének megjelenítéséhez szükséges kiigazításokkal. Az Egyesült Királyság hatóságai megerősítették továbbá, hogy a keretmegállapodás oltalma minden, a megállapodás alapján előállított vagy megőrzött személyes adatra vonatkozik, függetlenül a kérelmet benyújtó szerv jellegétől vagy típusától (pl. az Egyesült Államok szövetségi és állami rendvédelmi hatóságai egyaránt lehetnek), így minden esetben egyenértékű védelmet kell biztosítani. Az Egyesült Királyság hatóságai azonban azt is kifejtették, hogy az adatvédelmi biztosítékok konkrét végrehajtásának részleteiről az Egyesült Királyság és az Egyesült Államok még mindig megbeszéléseket folytatnak. Az Európai Bizottság szolgálataival erről a határozatról folytatott tárgyalások keretében az Egyesült Királyság hatóságai megerősítették, hogy csak akkor engedik a Megállapodást hatályba lépni, ha meg vannak győződve arról, hogy annak végrehajtása megfelel az abban előírt jogi kötelezettségeknek, beleértve az e megállapodás alapján kért adatokra vonatkozó adatvédelmi előírásoknak való megfelelés egyértelműségét. Mivel a Megállapodás lehetséges hatálybalépése hatással lehet az e határozatban értékelt védelmi szintre, az Egyesült Királyságnak a lehető leghamarabb, de mindenképpen a Megállapodás hatályba lépése előtt tájékoztatnia kell az Európai Bizottságot arról, hogy az Egyesült Államok milyen módon fogja teljesíteni a Megállapodás szerinti kötelezettségeit, e határozat megfelelő, az (EU) 2016/679 rendelet 45. cikkének (4) bekezdésével összhangban történő nyomon követésének biztosítása érdekében. Különös figyelmet fordítanak a keretmegállapodás garanciáinak az Egyesült Királyság – Egyesült Államok megállapodás hatálya alá tartozó adattovábbítások konkrét típusaira alkalmazására és azokhoz hozzáigazítására.

(156)

Általánosságban elmondható, hogy a Megállapodás hatálybalépésével és alkalmazásával kapcsolatos minden lényeges fejleményt megfelelően figyelembe vesznek e határozat folyamatos nyomon követése során, ideértve azokat a következményeket is, amelyeket minden arra utaló jelzés esetén le kell vonni, hogy a lényegében azonos szintű védelem már nem biztosított.

(157)

Attól függően, hogy az illetékes hatóságok milyen jogköröket vesznek igénybe a személyes adatok bűnüldözési célú feldolgozása során (akár a 2018. évi adatvédelmi törvény, akár a nyomozati hatáskörökről szóló 2016. évi törvény alapján), különböző testületek biztosítják e hatáskörök felhasználásának felügyeletét. Az információügyi biztos felügyeli különösen a személyes adatok kezelését, amennyiben az a 2018. évi adatvédelmi törvény 3. részének hatálya alá tartozik (226). A nyomozati hatásköröknek a nyomozati hatáskörökről szóló 2016. évi törvény szerinti felhasználására vonatkozó független és bírósági felügyeletet a Nyomozati Szervek Biztosának Hivatala (nyomozási biztos hivatala) biztosítja (227) (ezt a részt a (250)–(255) preambulumbekezdés tárgyalja). Ezenkívül a további felügyeletet a Parlament, valamint más szervek garantálják.

(158)

Az információügyi biztos általános feladatairól – függetlenségét és szervezetét a (87) preambulumbekezdés ismerteti – a 2018. évi adatvédelmi törvény 13. melléklete rendelkezik a 2018. évi adatvédelmi törvény 3. részének hatálya alá tartozó személyes adatok kezelésével kapcsolatban. Az információügyi biztos fő feladata a 2018. évi adatvédelmi törvény 3. részének figyelemmel kísérése és betartatása, valamint a közvélemény tudatosságának elősegítése, a Parlament, a kormány és más intézmények és szervek részére történő tanácsadás. Az igazságszolgáltatás függetlenségének fenntartása érdekében az információügyi biztos nem jogosult feladatait a személyes adatok bírói minőségben eljáró egyén, vagy bírósági minőségében eljáró bíróság vagy törvényszék általi kezelésével kapcsolatban ellátni. Ilyen körülmények között más szervek látják el a felügyeleti feladatokat, ahogyan azt a (99)–(103) preambulumbekezdés kifejti.

(159)

A biztos általános nyomozati, korrekciós, engedélyezési és tanácsadói hatáskörrel rendelkezik azon személyes adatok kezelésével kapcsolatban, amelyekre a 3. rész vonatkozik. A biztos hatáskörrel rendelkezik arra, hogy értesítse az adatkezelőt vagy az adatfeldolgozót a 2018. évi adatvédelmi törvény 3. részének állítólagos megsértéséről, figyelmeztetéseket vagy megrovást adjon ki olyan adatkezelőnek vagy adatfeldolgozónak, amely megsértette a törvény 3. részének rendelkezéseit, saját kezdeményezésére vagy kérésre véleményeket ad ki a Parlamentnek, a kormánynak vagy más intézményeknek és szerveknek, valamint a lakosságnak a személyes adatok védelmével kapcsolatos bármely kérdésben (228).

(160)

Ezenkívül a biztos hatáskörrel rendelkezik adatkérési felhívások (229), vizsgálati felhívások (230) és jogérvényesítési felhívások (231) kiadására, valamint az adatkezelők és az adatfeldolgozóok dokumentumaihoz való hozzáférésre, a helyiségeikbe való belépésre (232), és közigazgatási bírságok bírságértesítők formájában történő kiszabására (233). A biztos szabályozási cselekvési politikája meghatározza azokat a körülményeket, amelyek mellett adatkérési, vizsgálati, jogérvényesítési felhívásokat és bírságértesítőket ad ki (234) (lásd még a (93) preambulumbekezdést és az (EU) 2016/680 irányelv szerinti megfelelőségi határozat (101)–(102) preambulumbekezdését).

(161)

Legfrissebb éves jelentései szerint (2018–2019 (235), 2019–2020 (236)), az információügyi biztos számos vizsgálatot folytatott és végrehajtási intézkedéseket hozott a bűnüldöző hatóságok által végzett adatkezeléssel kapcsolatban. Például a biztos vizsgálatot folytatott és 2019 októberében véleményt tett közzé az arcfelismerési technológia nyilvános helyeken, bűnüldözési céllal történő használatáról. A vizsgálat különösen az élő arcfelismerő funkciók dél-walesi rendőrség és a Fővárosi Rendőrség (MPS) általi használatára összpontosított. Az információügyi biztos megvizsgálta az MPS „bandamátrixát” is (237) és az adatvédelmi jogszabályok súlyos megsértését állapította meg, amely valószínűleg gyengíti a mátrixba és az adatok felhasználásának módjába vetett bizalmát. 2018 novemberében az információügyi biztos jogérvényesítési felhívást adott ki, és az MPS ezt követően megtette a szükséges lépéseket a biztonság és az elszámoltathatóság növelése, valamint az adatok arányos felhasználásának biztosítása érdekében. A területen a legutóbbi jogérvényesítési intézkedésekre másik példa egy 325 000 GBP összegű bírság, amelyet a biztos 2018 májusában bocsátott ki a Crown Prosecution Service (királyi ügyészség) ellen, a rendőrségi kihallgatásokat tartalmazó titkosítatlan DVD-k elvesztése miatt. Az információügyi biztos tágabb témákban is folytatott vizsgálatokat, például 2020 első felében a mobiltelefonból kinyert adatok rendészeti célokra történő felhasználásáról és az áldozatok adatainak rendőrség általi kezeléséről. Ezenkívül a biztos jelenleg folytat vizsgálatot egy ügyben, amelynek tényállása szerint a bűnüldöző hatóságok hozzáférnek egy magánszektorbeli szervezet, a Clearview AI Inc. birtokában lévő adatokhoz (238).

(162)

Az információügyi biztos (160) és (161) preambulumbekezdésben említett végrehajtási hatáskörein túl az adatvédelmi jogszabályok bizonyos megsértései bűncselekménynek minősülnek, ezért büntetőjogi szankciókkal sújthatók (a 2018. évi adatvédelmi törvény 196. szakasza). Ez vonatkozik például a személyes adatok adatkezelő hozzájárulása nélküli gyűjtésére, közlésére vagy megtartására, valamint más személy megbízása a személyes adatok adatkezelő hozzájárulása nélküli közlésével (239); az anonimizált személyes adatnak minősülő információk újbóli azonosítása a személyes adatok anonimizálásáért felelős adatkezelő hozzájárulása nélkül (240); a biztos szándékos akadályozására abban, hogy gyakorolja a személyes adatok nemzetközi kötelezettségekkel összhangban történő ellenőrzésével kapcsolatos hatáskörét (241), hamis állítások megtételére az adatkérési felhívásra adott válaszul, vagy információk megsemmisítésére az adatkérési és vizsgálati felhívások kapcsán (242).

(163)

Az információügyi biztoson kívül a bűnüldözés területén több felügyeleti szerv is működik, amelyeknek az adatvédelmi kérdésekre vonatkozó konkrét megbízása van. Idetartozik például a biometrikus anyagok megőrzéséért és felhasználásáért felelős biztos (a továbbiakban: biometriáért felelős biztos) (243) és a térfigyelő kamerák biztosa (244).

(164)

A Belügyi Választott Bizottság (HASC) biztosítja a parlamenti felügyeletet a bűnüldözés területén. Ez a bizottság 11 képviselőből áll, akiket a három legnagyobb politikai párt képviselői közül választanak. A bizottság feladata a Belügyminisztérium és a kapcsolódó állami szervek – köztük a rendőrség és az NCA (amelyek munkáját a Bizottság külön megvizsgálhatja) – kiadásainak, adminisztrációjának és politikájának vizsgálata (245).

(165)

A bizottság hatáskörének keretein belül kiválaszthatja vizsgálatának tárgyát, beleértve a konkrét eseteket is, amennyiben a kérdés nem áll elbírálás alatt. A bizottság írásbeli és szóbeli bizonyítékokat is kérhet az érintett csoportok és egyének széles körétől. Jelentéseket készít megállapításairól és ajánlásokat ad a kormánynak (246). A kormánytól elvárt a jelentés egyes ajánlásaira való reagálás, és 60 napon belül válaszolnia kell (247).

(166)

A felügyelet területén a bizottság jelentést készített a Regulation of Investigatory Powers Act 2000 elnevezésű (a nyomozati hatáskörök szabályozásáról szóló 2000. évi) törvényről is (248), amely megállapította, hogy a nyomozati hatáskörök (Skócia) szabályozásáról szóló 2000. évi törvény nem alkalmas a céljára. Jelentésüket figyelembe vették a nyomozati hatáskörök szabályozásáról szóló 2000. évi törvény jelentős részeinek a nyomozati hatáskörökről szóló 2016. évi törvénnyel való felváltása során. A vizsgálatok teljes listája megtalálható a bizottság honlapján (249).

(167)

A HASC feladatait Skóciában a Rendészeti Igazságügyi Albizottság, Észak-Írországban pedig az Igazságügyi Bizottság látja el (250).

(168)

A bűnüldöző hatóságok általi adatkezelés tekintetében jogorvoslati mechanizmusok a 2018. évi adatvédelmi törvény 3. része és a nyomozati hatáskörökről szóló 2016. évi törvény, valamint az 1998. évi emberi jogi törvény alapján állnak rendelkezésre.

(169)

Ezek a mechanizmusok hatékony adminisztratív és bírósági jogorvoslati lehetőségeket biztosítanak az érintetteknek, lehetővé téve számukra különösen jogaik, többek között a személyes adatokhoz való hozzáférés joga, illetve az említett adatok helyesbíttetésére vagy töröltetésére vonatkozó joguk biztosítását.

(170)

Először is, a 2018. évi adatvédelmi törvény 165. szakasza értelmében az érintettnek joga van panaszt benyújtani az információügyi biztoshoz, ha az érintett úgy ítéli meg, hogy a rá vonatkozó személyes adatokkal kapcsolatban megsértették a 2018. évi adatvédelmi törvény 3. részét (251). Az információügyi biztos hatáskörébe tartozik annak értékelése, hogy az adatkezelő és az adatfeldolgozó megfelel-e a 2018. évi adatvédelmi törvénynek, megkövetelheti tőlük, hogy meg nem felelés esetén tegyék meg a szükséges lépéseket, és bírságot szab ki.

(171)

Másodszor, a 2018. évi adatvédelmi törvény jogot biztosít az információügyi biztossal szembeni jogorvoslatra, ha nem kezeli megfelelően az érintett panaszát. Konkrétan, ha a biztos nem „halad” (252) az érintett által benyújtott panasz ügyével, a panaszost bírósági jogorvoslat illeti meg, mivel a First Tier Tribunal (253) előtt kérheti a biztos arra kötelezését, hogy tegye meg a megfelelő lépéseket a panasz elintézésére, vagy tájékoztassa a panaszost a panasz állásáról (254). Ezenkívül bárki, aki a biztostól az említett bármelyik felhívást (adatkérési, vizsgálati, jogérvényesítési felhívás vagy bírságértesítő) megkapja, fellebbezést nyújthat be a First Tier Tribunalhoz. Ha ez a bíróság úgy ítéli meg, hogy a biztos döntése nincs összhangban a jogszabályokkal, vagy az információügyi biztosnak másként kellett volna gyakorolnia mérlegelési jogkörét, akkor engedélyeznie kell a fellebbezést, vagy olyan másik felhívást vagy határozatot kell elfogadnia, amelyet az információügyi biztos elfogadhatott volna (255).

(172)

Harmadszor: az egyének az adatkezelőkkel és az adatfeldolgozókkal szemben közvetlenül a bírósághoz fordulva is bírósági jogorvoslatot nyerhetnek. Különösen: a 2018. évi adatvédelmi törvény 167. szakasza értelmében az érintett kérelmet nyújthat be a bírósághoz az adatvédelmi jogszabályok szerinti jogának megsértése miatt, a bíróság pedig végzéssel kötelezheti az adatkezelőt, hogy fogadjon el lépéseket (vagy tartózkodjon lépések megtételétől) annak érdekében, hogy az adatkezelés megfeleljen a 2018. évi adatvédelmi törvénynek. Ezenkívül a 2018. évi adatvédelmi törvény 169. szakasza szerint minden olyan személy kártérítésre jogosult az adatkezelőtől vagy az adatfeldolgozótól, aki – az Egyesült Királyság általános adatvédelmi rendeletétől eltérő – adatvédelmi jogszabályok (ideértve a 2018. évi adatvédelmi törvény 3. részét) valamely követelményének megsértése miatt szenved kárt, kivéve, ha az adatkezelő vagy az adatfeldolgozó bizonyítja, hogy az adatkezelő vagy adatfeldolgozó semmilyen módon nem felelős a kárt okozó eseményért. A kártérítés kiterjed mind az anyagi veszteségre, mind a nem vagyoni kárra, például a sérelemre.

(173)

Végül, aki úgy véli, hogy bármely hatóság megsértette jogait, beleértve a magánélethez és az adatvédelemhez való jogokat, az 1998. évi emberi jogi törvény alapján jogorvoslatot kérhet az Egyesült Királyság bíróságaitól (256), és a nemzeti jogorvoslatok kimerítése után a személy, nem kormányzati szervezet és egyének csoportjai jogorvoslatot nyerhetnek az Emberi Jogok Európai Bírósága előtt az Emberi Jogok Európai Egyezménye által garantált jogok megsértése miatt (257) (lásd a (111) preambulumbekezdésben).

(174)

Az egyének az Investigatory Powers Tribunal előtt nyerhetnek jogorvoslatot a nyomozati hatáskörökről szóló 2016. évi törvény megsértése miatt. A nyomozati hatáskörökről szóló 2016. évi törvény keretében rendelkezésre álló jogorvoslati lehetőségeket a (263)–(269) below preambulumbekezdés ismerteti.

(175)

Az Egyesült Királyság jogrendjében a nemzetbiztonsági okokból az adatkezelők vagy adatfeldolgozók birtokában lévő elektronikus adatok gyűjtésére jogosult hírszerző ügynökség a megfelelőségi esetkör szempontjából releváns helyzetekben a Biztonsági Szolgálat (258) (MI5), a Titkosszolgálat (259) (SIS) és a Kormányzati Kommunikációs Központ (260) (261).

(176)

Az Egyesült Királyságban a hírszerző ügynökségek hatásköreit a nyomozati hatáskörökről szóló 2016. évi törvény és a nyomozati hatáskörök szabályozásáról szóló 2000. évi törvény rögzíti, amelyek a 2018. évi adatvédelmi törvénnyel együtt meghatározzák e hatáskörök tárgyi és személyi terjedelmét, illetve korlátokat és biztosítékokat írnak elő e hatáskörök gyakorlásához. Ezeket a hatásköröket, valamint a rájuk vonatkozó korlátozásokat és biztosítékokat a következő szakaszok részletesen értékelik.

(177)

A nyomozati hatáskörökről szóló 2016. évi törvény jogi keretet biztosít a nyomozati hatáskörök alkalmazásához, azaz hatáskört lehallgatásra, a kommunikációs adatokhoz való hozzáférésre és a berendezések zavarásának végrehajtására. A nyomozati hatáskörökről szóló 2016. évi törvény általános tilalmat vezet be és bűncselekménnyé teszi azokat a technikákat, amelyek jogszerű felhatalmazás nélkül hozzáférést tesznek lehetővé a kommunikáció tartalmához, hozzáférést a kommunikációs adatokhoz vagy a berendezéseket zavarják (262). Ez tükröződik abban a tényben is, hogy e nyomozati jogkörök csak akkor jogszerűek, ha azt parancs vagy engedély alapján hajtják végre (263).

(178)

A nyomozati hatáskörökről szóló 2016. évi törvény részletes szabályokat állapít meg az egyes nyomozati hatáskörök terjedelmére és alkalmazására, valamint azok egyedi korlátaira és biztosítékaira. Különböző szabályok érvényesülnek a nyomozati hatáskör típusától (a kommunikáció lehallgatása, a kommunikációs adatok gyűjtése és megőrzése és a berendezés zavarása) (264), valamint attól függően, hogy a hatáskört egy meghatározott célpont tekintetében vagy tömegesen gyakorolják-e. A nyomozati hatáskörökről szóló 2016. évi törvény által előírt egyes intézkedések hatályát, biztosítékait és korlátozásait részletesen a lenti külön szakasz ismerteti.

(179)

Emellett a nyomozati hatáskörökről szóló 2016. évi törvényt számos, a miniszter által kiadott, az Országgyűlés mindkét háza által jóváhagyott jogszabályi kódex egészíti ki (265) és az egész országban alkalmazható, útmutatót nyújtva e hatáskörök használatához (266). Míg az érintettek közvetlenül hivatkozhatnak jogaik gyakorlásához a nyomozati hatáskörökről szóló 2016. évi törvényben megállapított rendelkezésekre, a nyomozati hatáskörökről szóló 2016. évi törvény 7. mellékletének 5. pontja előírja, hogy a gyakorlati kódexek a polgári és büntetőeljárások során bizonyítékként elfogadhatók, és a bíróság, a törvényszék vagy a felügyeleti hatóság figyelembe veheti a kódexek be nem tartását a bírósági eljárásban a releváns kérdések meghatározásakor (267). Az Egyesült Királyság korábbi felügyeleti jogszabályainak, a nyomozati hatáskörök szabályozásáról szóló 2000. évi törvénynek a jogszabályok minőségével kapcsolatos értékelése kapcsán az Emberi Jogok Európai Bíróságának nagytanácsa kifejezetten elismerte az Egyesült Királyság gyakorlati kódexeinek relevanciáját, és elfogadta, hogy rendelkezéseit figyelembe lehet venni a felügyeletet lehetővé tevő jogszabályok előreláthatóságának értékelésekor (268).

(180)

Meg kell viszont jegyezni, hogy a célzott hatáskörök (célzott lehallgatás (269), kommunikációs adatok gyűjtése (270), kommunikációs adatok megőrzése (271) és a berendezések célzott zavarása (272)) a nemzeti biztonsági ügynökségek és egyes bűnüldöző hatóságok számára elérhetők (273), míg tömeges hatásköröket (azaz a tömeges lehallgatást (274), a kommunikációs adatok tömeges gyűjtését (275), a berendezések tömeges zavarását (276) és a tömeges személyesadat-állományokat (277)) csak a hírszerző ügynökségek vehetnek igénybe.

(181)

Annak eldöntése során, hogy mely nyomozati jogkört kell használni, a hírszerző ügynökségnek eleget kell tennie a nyomozati hatáskörökről szóló 2016. évi törvény 2. szakasza (2) bekezdésének a) pontjában felsorolt, „a magánélet védelmével kapcsolatos általános kötelezettségeknek”, amelyek szükségességi és arányossági tesztet is tartalmaznak. Pontosabban, e rendelkezés értelmében a nyomozati hatáskört alkalmazni szándékozó hatóságnak meg kell fontolnia, i. hogy a parancs, felhatalmazás vagy értesítés által elérni kívánt cél elérhető-e más, kevésbé beavatkozó jellegű eszközökkel; ii. hogy az információ különleges jellege miatt a parancs, felhatalmazás vagy felhívás alapján az információk gyűjtésével kapcsolatban alkalmazandó védelmi szint magasabb-e; iii. a távközlési rendszerek és a postai szolgáltatások integritásához és biztonságához fűződő közérdek, és iv. a magánélet védelméhez fűződő közérdek egyéb vonatkozásait (278).

(182)

E kritériumok alkalmazási módját – és e hatáskörök használatának miniszter és a független igazságügyi biztosok általi engedélyezésének részeként megfelelésük értékelésének módját – a vonatkozó magatartási kódexek részletezik. Különösen bármely ilyen nyomozati hatáskör használatának mindig „arányban kell állnia az elérni kívánt céllal, [amely] magában foglalja a magánéletbe való beavatkozás súlyosságának (és a 2. szakasz (2) bekezdésében meghatározott egyéb szempontoknak) a tevékenység nyomozati, operatív vagy kapacitási szükségességével való kiegyensúlyozását”. Ez különösen azt jelenti, hogy „reális esélyt kell kínálnia a várt haszon elérésére, és nem lehet aránytalan vagy önkényes”, és „a magánéletbe való beavatkozást nem lehet arányosnak tekinteni, ha a kért információt észszerűen más, kevésbé beavatkozó jellegű eszközökkel is meg lehet szerezni” (279). Pontosabban, az arányosság elvének való megfelelést a következő kritériumok alapján kell értékelni: „i. a magánéletbe való javasolt beavatkozás mértéke az elérni kívánt célokhoz képest; ii. az alkalmazandó módszerek hogyan és miért okozzák a lehető legkevesebb beavatkozást a személy és mások számára; iii. a tevékenység a törvény megfelelő alkalmazása-e és az elérni kívánt cél elérésére észszerű mód-e, az összes észszerű alternatíva figyelembevételével; iv. adott esetben milyen egyéb módszereket nem hajtottak végre vagy alkalmaztak, de a javasolt nyomozati hatáskör igénybevétele nélkül elégtelennek ítélnek meg az operatív célok teljesítéséhez” (280).

(183)

A gyakorlatban – amint azt az Egyesült Királyság hatóságai kifejtették – ez biztosítja, hogy egy hírszerző ügynökség először is meghatározza az operatív célt (ezáltal körülhatárolja az adatgyűjtést, pl. egy nemzetközi terrorizmusellenes cél egy adott földrajzi területen), másrészt pedig ezen operatív cél alapján meg kell vizsgálnia, hogy melyik technikai lehetőség (pl. célzott vagy tömeges lehallgatás, berendezés zavarása, kommunikációs adatok gyűjtése) a leginkább arányos (azaz a legkevésbé beavatkozó a magánéletbe [vö. a nyomozati hatáskörökről szóló törvény 2. szakaszának (2) bekezdésével]) és ezért engedélyezhető a rendelkezésre álló törvényi jogalapok valamelyike alapján.

(184)

Érdemes megjegyezni, hogy a szükségesség és az arányosság mércéjére való támaszkodást az ENSZ magánélethez való joggal foglalkozó különleges előadója, Joseph Cannataci is megemlítette és üdvözölte, aki kijelentette a nyomozati hatáskörökről szóló 2016. évi törvény által létrehozott rendszerrel kapcsolatban, hogy „[ú]gy tűnik, hogy a hírszerző ügynökségeken és a bűnüldöző szerveken belül is érvényben lévő eljárások szisztematikusan megkövetelik a felügyeleti intézkedés vagy művelet szükségességének és arányosságának mérlegelését, mielőtt engedélyeztetésre ajánlanák, valamint annak ugyanazon alapon történő felülvizsgálatát (281)”. Megjegyezte azt is, hogy a bűnüldöző szervek és a nemzetbiztonsági ügynökségek képviselőivel folytatott találkozóján „[konszenzusos álláspontot látott] arról, hogy a magánélethez való jognak elsődleges szempontnak kell lennie a felügyeleti intézkedésekkel kapcsolatos döntések során. Mindannyian megértették és értékelték a szükségességet és az arányosságot mint figyelembe veendő sarkalatos elveket”.

(185)

A (186)–(243) preambulumbekezdés részletezi a különböző parancsok kibocsátásának konkrét kritériumait, valamint a nyomozati hatáskörökről szóló 2016. évi törvény által az egyes nyomozati hatáskörökre vonatkozóan megállapított korlátozásokat és biztosítékokat.

(186)

A célzott lehallgatás tekintetében három típusú parancs létezik: a célzott lehallgatási parancs (282), a célzott vizsgálati parancs és a kölcsönös segítségnyújtási parancs (283). A parancsok kiadásának feltételeit és a vonatkozó biztosítékokat a nyomozati hatáskörökről szóló 2016. évi törvény 2. részének 1. fejezete tartalmazza.

(187)

A célzott lehallgatási parancs engedélyezi a parancsban leírt kommunikációk lehallgatását azok továbbítása során, valamint az e kommunikáció szempontjából releváns egyéb adatok gyűjtését (284), beleértve a másodlagos adatokat is (285). A célzott vizsgálati parancs felhatalmaz egy személyt a tömeges lehallgatási parancs alapján megszerzett lehallgatott tartalom vizsgálatára (286).

(188)

A nyomozati hatáskörökről szóló 2016. évi törvény 2. része alapján bármilyen parancsot a miniszter adhat ki (287) egy igazságügyi biztos jóváhagyásával (288). A célzott parancs időtartamam minden esetben 6 hónapra korlátozódik (289) módosítására (290) és a megújítására (291) pedig külön szabályok vonatkoznak.

(189)

A parancs kiadása előtt a miniszternek el kell végeznie a szükségesség és az arányosság értékelését (292). Konkrétan, a célzott lehallgatási és célzott vizsgálati parancsok esetében a miniszternek ellenőriznie kell, hogy az intézkedésre a következő okok valamelyike miatt van-e szükség: nemzetbiztonsági érdek; a súlyos bűncselekmények megelőzése vagy felderítése; vagy az Egyesült Királyság gazdasági jólétének érdekei (293), amennyiben ezek az érdekek a nemzetbiztonsági érdekek szempontjából is relevánsak (294). Másrészről kölcsönös segítségnyújtási parancs (lásd a (139) above preambulumbekezdést) csak akkor adható ki, ha a miniszter úgy ítéli meg, hogy fennállnak azokkal a körülményekkel egyenértékű körülmények, amelyekben a súlyos bűncselekmények megelőzése vagy felderítése érdekében parancsot adna ki (295).

(190)

Ezenkívül a miniszternek fel kell mérnie, hogy az intézkedés arányos-e az elérni kívánt céllal (296). A kért intézkedések arányosságának értékelésénél figyelembe kell venni a nyomozati hatáskörökről szóló 2016. évi törvény 2. szakaszának (2) bekezdésében meghatározott, a magánélet védelmével kapcsolatos általános kötelezettségeket, nevezetesen annak felmérését, hogy amit a parancs, engedély vagy felhívás révén el akarnak érni, észszerűen más, kevésbé beavatkozó jellegű eszközökkel is el lehetne-e érni, és hogy az információ alapján a parancs alapján alkalmazandó védelem szintje magasabb-e ezen információk különleges jellege okán (lásd a (181) above preambulumbekezdést).

(191)

Ennek érdekében a miniszternek figyelembe kell vennie a kérést benyújtó hatóság által benyújtott kérelem összes elemét, különös tekintettel a lehallgatandó személyekre és az intézkedés nyomozás szempontjából fennálló relevanciájára. Ezeket az elemeket a kommunikáció lehallgatásának gyakorlati kódexe tartalmazza, és ezeket meghatározott részletességgel kell leírni (297). Ezenkívül a nyomozati hatáskörökről szóló 2016. évi törvény 17. szakasza előírja, hogy a 2. fejezete alapján kiadott minden parancsnak meg kell neveznie vagy ismertetnie kell a lehallgatni kívánt személyt vagy személyek csoportját, szervezetet vagy helyiséget (a „célt”). Célzott lehallgatási parancs vagy célzott vizsgálati parancs esetén ezek személyek csoportjára, több személyre vagy szervezetre vagy több helyiségcsoportra is vonatkozhatnak (más néven „tematikus parancs”) (298). Ezekben az esetekben a parancsnak ismertetnie kell a személyek csoportjának közös célját vagy tevékenységét vagy a műveletet/vizsgálatokat, és meg kell neveznie vagy le kell írnia annyi személyt/szervezetet vagy helyiséget, ami észszerűen megvalósítható (299). Végül a nyomozati hatáskörökről szóló 2016. évi törvény 2. része alapján kibocsátott összes parancsnak meg kell határoznia azokat a címeket, számokat, készülékeket, tényezőket vagy tényezőkombinációkat, amelyeket a kommunikáció azonosításához használni kell (300). E tekintetben a kommunikáció lehallgatásának gyakorlati kódexe meghatározza, hogy célzott lehallgatási és célzott vizsgálati parancs esetén „a parancsnak meg kell határoznia (vagy le kell írnia) azokat a tényezőket vagy tényezők kombinációját, amelyeket a kommunikáció azonosításához használni kell. Amennyiben a kommunikációt például telefonszám alapján kell azonosítani, a számot teljes egészében fel kell tüntetni. De amennyiben nagyon összetett vagy folyamatosan változó internetes választókat kell a kommunikáció azonosításához használni, ezeket a választókat a lehető legteljesebb mértékben le kell írni” (301).

(192)

Fontos biztosíték ebben az összefüggésben az, hogy a miniszter által a parancs kiadásához elvégzett értékelést független igazságügyi biztosnak kell jóváhagynia (302), aki különösen azt ellenőrzi, hogy a parancs kiadásáról szóló határozat megfelel-e a szükségesség és az arányosság elvének (303) (az igazságügyi biztosok jogállásáról és szerepéről lásd a (251)–(256) below preambulumbekezdést). A nyomozati hatáskörökről szóló 2016. évi törvény azt is pontosítja, hogy az említett ellenőrzés során az igazságügyi biztosnak ugyanazokat az elveket kell alkalmaznia, mint amelyeket a bíróság a bírósági felülvizsgálat iránti kérelem esetében alkalmazna (304). Ez biztosítja, hogy minden esetben és az adatokhoz való hozzáférés előtt egy független testület módszeresen ellenőrzi a szükségesség és az arányosság elvének való megfelelést.

(193)

A nyomozati hatáskörökről szóló 2016. évi törvény rendelkezik néhány korlátozott és szűk körű kivételről, amikor a lehallgatás parancs nélkül elvégezhető. A korlátozott eseteket a törvény részletezi (305), és – a küldő/címzett „hozzájárulásán alapuló” eset kivételével – a nemzetbiztonsági ügynökségektől eltérő személyek (magánszemélyek vagy állami szervek) hajtják végre. Ezenkívül az említett típusú lehallgatásokat más célokból végzik, mint a „hírszerzési információk” gyűjtését (306), és néhányuk esetében nagyon valószínűtlen, hogy az adatgyűjtésre egy „adattovábbítási” forgatókönyvvel összefüggésben kerülhet sor (például egy pszichiátriai kórházban vagy börtönben végzett lehallgatás esetén). Figyelembe véve annak a (nemzetbiztonsági ügynökségektől eltérő) szervnek a jellegét, amelyre ezek a különleges esetek vonatkoznak, a 2018. évi adatvédelmi törvény 2. részében és az Egyesült Királyság általános adatvédelmi rendeletében biztosított összes biztosíték érvényesül, beleértve az információügyi biztos általi felügyeletet és a rendelkezésre álló jogorvoslati mechanizmusokat. Ezenkívül a 2018. évi adatvédelmi törvény által biztosított biztosítékok mellett bizonyos esetekben a nyomozati hatáskörökről szóló 2016. évi törvény előírja a nyomozási biztos hivatala általi utólagos felügyeletet (307) is.

(194)

Lehallgatás végzésekor további korlátozásokat és biztosítékokat kell alkalmazni a lehallgatott személy(ek) sajátos jogállására figyelemmel (308). Például az ügyvédi titoktartási kötelezettség alá esők lehallgatása csak kivételes és kényszerítő körülmények fennállása esetén engedélyezett, a parancsot kiadó személynek figyelembe kell vennie az ügyvédi titoktartási kötelezettséghez fűződő közérdeket, és hogy az ilyen anyagok kezelésére, megőrzésére és közlésére külön követelmények vonatkoznak (309).

(195)

Ezenkívül a nyomozati hatáskörökről szóló 2016. évi törvény a biztonsággal, a megőrzéssel és a közléssel kapcsolatos konkrét biztosítékokat ír elő, amelyeket a miniszternek figyelembe kell vennie a célzott parancs kiadása előtt (310). A nyomozati hatáskörökről szóló 2016. évi törvény 53. szakaszának (5) bekezdése előírja különösen, hogy a parancs alapján összegyűjtött anyagok bármelyikéről készült minden másolatot biztonságos módon kell tárolni és meg kell semmisíteni, amint annak megőrzésére már nincs releváns ok, míg a nyomozati hatáskörökről szóló 2016. évi törvény 53. szakaszának (2) bekezdése előírja, hogy azoknak a személyeknek a számát, akik számára az anyagot nyilvánosságra hozzák, valamint az anyag közlésének, hozzáférhetővé tételének vagy másolásának terjedelmét a törvényi célokhoz szükséges minimumra kell korlátozni.

(196)

Végül ha a célzott lehallgatási parancs vagy kölcsönös segítségnyújtási parancs alapján lehallgatott anyagot harmadik országnak kell átadni („tengerentúli közlések”), a nyomozati hatáskörökről szóló 2016. évi törvény előírja, hogy a miniszternek biztosítania kell a megfelelő intézkedések meghozatalát annak biztosítására, hogy a biztonság, a megőrzés és a közlés terén hasonló biztosítékok létezzenek az adott harmadik országban (311). Emellett a 2018. évi adatvédelmi törvény 109. szakaszának (2) bekezdése előírja, hogy a hírszerző ügynökségek személyes adatokat az Egyesült Királyságon kívüli területre csak akkor továbbíthatnak, ha az adattovábbítás az adatkezelő törvényi funkcióinak vagy más, a biztonsági szolgálatokról szóló 1989. évi törvény 2. szakasza (2) bekezdésének a) pontjában vagy a hírszerző ügynökségekről szóló 1994. évi törvény 2. szakasza (2) bekezdésének a) pontjában és 4. szakasza (2) bekezdésének a) pontjában előírt más céloknak megfelelően végzett, szükséges és arányos intézkedés (312). Fontos, hogy ezek a követelmények azokban az esetekben is érvényesülnek, amikor a 2018. évi adatvédelmi törvény 110. szakasza szerinti nemzetbiztonsági kivételre hivatkoznak, mivel a 2018. évi adatvédelmi törvény 110. szakasza nem sorolja fel a 2018. évi adatvédelmi törvény 109. szakaszát azon rendelkezések között, amelyek alkalmazása mellőzhető, ha a nemzetbiztonság védelme érdekében bizonyos rendelkezések alóli kivételre van szükség.

(197)

A nyomozati hatáskörökről szóló 2016. évi törvény lehetővé teszi a miniszter számára, hogy a távközlési szolgáltatóktól megkövetelje a kommunikációs adatok megőrzését számos hatóság – ideértve a bűnüldöző és hírszerző ügynökségeket is – célzott hozzáférése céljából. A nyomozati hatáskörökről szóló 2016. évi törvény 4. része a kommunikációs adatok megőrzéséről rendelkezik, míg a 3. rész a kommunikációs adatok (TCD) célzott gyűjtéséről. A nyomozati hatáskörökről szóló 2016. évi törvény 3. és 4. része meghatároz ezen hatáskörök felhasználására egyedi korlátozásokat is, és külön biztosítékokat ír elő.

(198)

A „kommunikációs adatok” kifejezés magában foglalja a kommunikáció alanyait, idejét, helyét és módját, de a tartalmát, vagyis az elmondottakat vagy abban írtakat nem. A lehallgatástól eltérően a kommunikációs adatok gyűjtése és megőrzése nem a kommunikáció tartalmának gyűjtésére, hanem olyan információk gyűjtésére irányul, mint például a telefonos szolgáltatás előfizetője vagy tételes számla. Ez magában foglalhatja a kommunikáció idejét és időtartamát, a kezdeményező és a fogadó számát vagy e-mail-címét, valamint időnként azoknak az eszközöknek a helyét, amelyekről a távközlés történt (313).

(199)

Meg kell jegyezni, hogy a kommunikációs adatok megőrzése és gyűjtése általában nem uniós érintettek e határozat alapján az Egyesült Királyságba továbbított személyes adataira fog irányulni. A kommunikációs adatok megőrzésére vagy közlésére vonatkozó kötelezettség a nyomozati hatáskörökről szóló 2016. évi törvény 3. és 4. része szerint azokra az adatokra terjed ki, amelyeket az Egyesült Királyság telekommunikációs szolgáltatói közvetlenül a távközlési szolgáltatás felhasználóitól gyűjtenek (314). Ez a fajta „ügyfélalapú” feldolgozás általában nem jár e határozat alapján adattovábbítással, vagyis uniós adatkezelőtől/adatfeldolgozótól egyesült királyságbeli adatkezelőhöz/adatfeldolgozóhoz történő adattovábbítással.

(200)

A teljesség kedvéért azonban a következő preambulumbekezdésekben elemzésre kerülnek az említett gyűjtési és megőrzési rendszereket szabályozó feltételek és biztosítékok.

(201)

Kiindulásként meg kell jegyezni, hogy a kommunikációs adatok megőrzése és célzott gyűjtése mind a nemzetbiztonsági ügynökségek, mind az egyes bűnüldöző hatóságok számára elérhető (315). A kommunikációs adatok megőrzésének és/vagy gyűjtésének megkövetelésének feltételei az intézkedés igénylésének okától, nevezetesen a nemzetbiztonsági vagy bűnüldözési céltól függően eltérőek lehetnek.

(202)

Különösen, míg az új rendszer bevezette a független testület előzetes engedélyének általános követelményt, amely minden esetben alkalmazandó, amikor a kommunikációs adatokat megőrzik és/vagy gyűjtik (bűnüldözési vagy nemzetbiztonsági célból), az Európai Bíróság Tele2/Watson ügyben hozott ítéletét (316) követően különleges biztosítékokat vezettek be arra az esetre, amikor az intézkedést bűnüldözési célokra kérik. Különösen, az engedélyt minden esetben a nyomozati hatáskörök biztosának kell előzetesen megadnia, ha a kommunikációs adatok megőrzését vagy gyűjtését bűnüldözési célból kérik. Nem mindig ez a helyzet, amennyiben az intézkedést nemzetbiztonsági célból kérik, mivel az alábbiakban leírtak szerint bizonyos esetekben ilyen típusú intézkedéseket más „engedélyező személyek” engedélyezhetnek. Emellett az új rendszer a „súlyos bűncselekményekre” emelte azt a küszöböt, amelynek esetében megengedhető a kommunikációs adatok megőrzése és gyűjtése (317).

(203)

A nyomozati hatáskörökről szóló 2016. évi törvény 3. része szerint az érintett hatóságok jogosultak kommunikációs adatok távközlési szolgáltatótól vagy olyan személytől való gyűjtésére, aki képes ilyen adatokat megszerezni és közölni. Az engedély nem teheti lehetővé a közlemények tartalmának lehallgatását (318) és egy hónap elteltével hatályát veszti (319), a további engedély alapján történő megújítás lehetőségével (320). Kommunikációs adatok gyűjtéséhez a nyomozati hatáskörök biztosának (nyomozási biztos) engedélye szükséges (321) (a nyomozási biztos státusáról és hatásköréről lásd a (250)–(251) below preambulumbekezdést). Ez a helyzet minden olyan esetben, amikor a kommunikációs adatok gyűjtését az érintett rendvédelmi hatóság kéri. A nyomozati hatáskörökről szóló 2016. évi törvény 61. szakasza szerint azonban amikor az adatokat az Egyesült Királyság nemzetbiztonsága vagy – amennyiben ez releváns a nemzetbiztonság szempontjából – gazdasági jóléte érdekében gyűjtik, vagy ha a kérelmet hírszerző ügynökség tagja nyújtja be a 61. cikk (7) bekezdésének b) pontja alapján (322), az adatok gyűjtése ehelyett történhet (323) a nyomozási biztos vagy egy kijelölt vezető tiszt engedélyével (324). A kijelölt tisztviselőnek függetlennek kell lennie az érintett vizsgálattól vagy művelettől, és ismernie kell az emberi jogi elveket és a jogszabályokat, különös tekintettel a szükségességre és az arányosságra vonatkozókra (325). A kijelölt tisztviselő által hozott határozatot a nyomozási biztos utólag felügyeli (a nyomozási biztos utólagos felügyeleti funkciójáról részletesen lásd a (254) below preambulumbekezdést).

(204)

A kommunikációs adatok gyűjtésének engedélyezése az intézkedés szükségességének és arányosságának értékelésén alapul. Pontosabban az intézkedés szükségességét a jogszabályokban felsorolt okokra figyelemmel értékelik (326). Figyelembe véve ezen intézkedés célzott jellegét, annak szükségesnek kell lennie egy konkrét nyomozáshoz vagy művelethez is (327). Az intézkedések szükségességének értékelésére vonatkozó további követelményeket a kommunikációs adatok gyakorlati kódexe határozza meg (328). Ez a kódex különösen azt írja elő, hogy a megkereső hatóság által benyújtott kérelemnek három minimumelemet kell meghatároznia a kérelem szükségességének igazolására: i. a vizsgált esemény, például egy bűncselekmény vagy egy kiszolgáltatott eltűnt személy tartózkodási helye; ii. az a személy, akinek az adatait kérik, például gyanúsított, tanú vagy eltűnt személy, és hogy miként kapcsolódnak az eseményhez; és iii. a kért kommunikációs adatok, például telefonszám vagy IP-cím, és hogy ezek az adatok miként kapcsolódnak a személyhez és az eseményhez (329).

(205)

Ezenkívül a kommunikációs adatok gyűjtésének arányosban kell állnia az elérni kívánt célokkal (330). A kommunikációs adatokra vonatkozó magatartási kódex egyértelművé teszi, hogy az említett értékelés elvégzése során az engedélyező személynek egyensúlyba kell hoznia az „egyén jogaiba és szabadságaiba való beavatkozás mértékét és az illetékes hatóság által közérdekből végzett nyomozás vagy művelet konkrét előnyét”, és hogy egy adott eset összes szempontjának figyelembevételével „az egyén jogaiba való beavatkozás továbbra sem feltétlenül indokolt, ha egy másik egyén vagy egyének csoportjának jogaira gyakorolt kedvezőtlen hatás túl súlyos”. Ezenkívül az intézkedés arányosságának konkrét értékelése érdekében a Kódex számos olyan elemet sorol fel, amelyeknek szerepelnie kell a megkereső hatóság által benyújtott kérelemben (331). Ezenkívül különös figyelmet kell fordítani a kommunikációs adatok típusára („jogalanyra” vagy „eseményekre” vonatkozó adatok (332)), és előnyben kell részesíteni a kevésbé beavatkozó adatkategória használatát (333). A kommunikációs adatok gyakorlati kódexe konkrét utasításokat is tartalmaz az egyes szakmákban dolgozók (például orvosok, ügyvédek, újságírók, parlamenti képviselők vagy vallásminiszterek) kommunikációs adatait érintő engedélyekre vonatkozóan (334), amelyekre további biztosítékok vonatkoznak (335).

(206)

A nyomozati hatáskörökről szóló 2016. évi törvény 4. része meghatározza a kommunikációs adatok megőrzésének szabályait, és különösen azokat a kritériumokat, amelyek lehetővé teszik a miniszter számára, hogy megőrzési felhívást adjon ki (336). A nyomozati hatáskörökről szóló törvény által bevezetett biztosítékok akkor is azonosak, ha az adatokat bűnüldözési célból vagy a nemzetbiztonság érdekében őrzik.

(207)

Az említett megőrzési felhívások kiadásának célja annak biztosítása, hogy a távközlési szolgáltatók legfeljebb 12 hónapig megőrizzék azokat a releváns kommunikációs adatokat, amelyeket egyébként törölnének, ha azok már nem szükségesek üzleti célokra (337). A megőrzött adatoknak a szükséges ideig rendelkezésre kell állniuk, amennyiben később a hatóságnak szüksége lenne azok beszerzésére a nyomozati hatáskörökről szóló 2016. évi törvény 3. részében megadott és a (203)–(205) preambulumbekezdésben ismertetett kommunikációs adatok célzott gyűjtésére vonatkozó engedély alapján.

(208)

A bizonyos adatok megőrzésének előírására vonatkozó hatáskör gyakorlására számos korlátozás és biztosíték vonatkozik. A miniszter csak akkor adhat ki megőrzési felhívást egy vagy több szolgáltatónak (338), ha úgy ítéli meg, hogy az adatok megőrzésének követelménye jogszabályi okok valamelyikéhez szükséges (339) és arányos az elérni kívánt célokkal (340). Amint azt maga a nyomozati hatáskörökről szóló 2016. évi törvény is pontosítja (341), a megőrzési felhívás kiadása előtt a miniszternek figyelembe kell vennie az alábbiakat: a hirdetmény várható előnyei (342); a távközlési szolgáltatás ismertetése; a megőrzendő adatok hely szerinti korlátozásának helyessége vagy a távközlési szolgáltatásokat nyújtó személyek leírása alapján (343); a hírközléssel érintett bármely távközlési szolgáltatás várható felhasználóinak száma (ha ismert) (344); a felhívásnak való megfelelés műszaki megvalósíthatósága; a felhívás betartásának valószínű költségei és a közlemény bármilyen más hatása a távközlési szolgáltatóra (vagy megjelölt üzemeltetőkre), amelyre az vonatkozik (345). Amint azt a kommunikációs adatokkal kapcsolatos gyakorlati kódex 17. fejezete részletezi, minden megőrzési felhívásnak meg kell határoznia minden megtartandó adattípust, és azt, hogy az adott adattípus hogyan felel meg a megőrzéshez szükséges teszteken.

(209)

A miniszter megőrzési felhívás kiadására vonatkozó határozatát minden esetben (nemzetbiztonságra vagy bűnüldözés célra hivatkozáskor is) független igazságügyi biztosnak kell jóváhagynia az úgynevezett „duplán ellenőrzött eljárás” alapján, akinek különösen azt kell ellenőriznie, hogy az érintett kommunikációs adatok megőrzésére vonatkozó felhívás egy vagy több jogszabályi okból szükséges-e (346).

(210)

A berendezések zavarása olyan technikák összessége, amelyeket különféle adatok gyűjtésére használnak berendezésekből (347), amelybe beletartoznak a számítógépek, táblagépek és okostelefonok, valamint kábelek, vezetékek és tárolóeszközök (348). A berendezés zavarása lehetővé teszi a kommunikáció és a berendezés adatai tartalmának gyűjtését (349).

(211)

A nyomozati hatáskörökről szóló 2016. évi törvény 13. szakaszának (1) bekezdésével összhangban a berendezések zavarásának hírszerző ügynökség általi használatához engedély szükséges a nyomozati hatáskörökről szóló 2016. évi törvény által létrehozott „duplán ellenőrzött” eljárás szerinti engedély alapján, feltéve, hogy fennáll „kapcsolódás a Brit-szigetekkel” (350). Az Egyesült Királyság hatóságainak magyarázata szerint azokban a helyzetekben, amikor az adatokat az Európai Unióból az Egyesült Királyságba továbbítják e határozat hatálya alatt, mindig fennáll kapcsolódás a „Brit-szigetekkel”, és ezért a berendezések említett adatokra kiterjedő bármilyen zavarására érvényes a nyomozati hatáskörökről szóló 2016. évi törvény 13. szakasz (1) bekezdésében szereplő parancs követelménye (351).

(212)

A célzott berendezészavarási parancsokra vonatkozó szabályokat a nyomozati hatáskörökről szóló 2016. évi törvény 5. része tartalmazza. A célzott lehallgatáshoz hasonlóan a célzott berendezészavarásnak egy meghatározott „célhoz” kell kapcsolódnia, amelyet a parancsban fel kell tüntetni (352). A „cél” azonosításának részletei az ügytől és a zavarni kívánt berendezés típusától függenek. Különösen a nyomozati hatáskörökről szóló törvény 115. szakaszának (3) bekezdése határozza meg azokat az elemeket, amelyeket a parancsnak tartalmaznia kell (pl. a személy vagy szervezet neve, a helyszín leírása), például attól függően, hogy a zavarás olyan berendezésre vonatkozik-e, amely egy adott személy, szervezet vagy személyek csoportja tulajdonában vagy birtokában van, meghatározott helyen található és így tovább. (353). Azok a célok, amelyekre célzott berendezészavarási parancs kiadható, attól függenek, hogy milyen hatóság kérelmezi azt (354).

(213)

A célzott lehallgatáshoz hasonlóan a kibocsátó hatóságnak meg kell vizsgálnia, hogy az intézkedés szükséges-e egy meghatározott cél eléréséhez, és hogy arányos-e az elérni kívánt céllal (355). Ezenkívül azt is mérlegelnie kell, hogy léteznek-e biztosítékok a biztonság, a megőrzés és közlés, valamint a „tengerentúli közlés” vonatkozásában (356) (lásd a (196) preambulumbekezdést).

(214)

A parancsot egy igazságügyi biztosnak kell jóváhagynia, a sürgős eseteket kivéve (357). Ez utóbbi esetben az igazságügyi biztost tájékoztatni kell a parancs kiadásáról, és azt három munkanapon belül jóvá kell hagynia. Abban az esetben, ha az igazságügyi biztos elutasítja annak jóváhagyását, a parancs hatályát veszti és nem újítható meg (358). Ezenkívül az igazságügyi biztosnak hatásköre van arra, hogy megkövetelje a parancs alapján gyűjtött adatok törlését (359). Az a tény, hogy a parancsot sürgősséggel adták ki, nem befolyásolja az utólagos felügyeletet (lásd a (244)–(255) preambulumbekezdést) vagy az egyének jogorvoslati lehetőségeit (lásd a (260)–(270) preambulumbekezdést). A magánszemélyek a szokásos módon panaszt tehetnek az információügyi biztosnál, vagy bármely állítólagos magatartással szemben igényt terjeszthetnek a nyomozati hatáskörrel foglalkozó bírósághoz. Az igazságügyi biztos a parancs jóváhagyásáról való döntéskor minden esetben alkalmazza a célzott lehallgatás iránti kérelmekre a szükségességi és arányossági tesztet (360) (lásd a (192) above preambulumbekezdést).

(215)

Végül a célzott lehallgatásra alkalmazandó különleges biztosítékok a berendezések zavarására is vonatkoznak, a parancs időtartamát, megújítását és módosítását, valamint a parlamenti képviselők, az ügyvédi titoktartási kötelezettség alá eső tételek és az újságírói anyagok lehallgatását illetően (további részletekért lásd a (193) preambulumbekezdést).

(216)

A tömeges hatásköröket a nyomozati hatáskörökről szóló 2016. évi törvény 6. része szabályozza. Ezenkívül a gyakorlati kódex további részleteket tartalmaz a tömeges hatáskörök használatáról. Noha az Egyesült Királyság jogszabályaiban nincs meghatározva a „tömeges hatáskör”, a nyomozati hatáskörökről szóló 2016. évi törvény összefüggésében ez a kormány által különféle eszközökkel megszerzett nagy mennyiségű adat összegyűjtése és megőrzése (azaz a tömeges lehallgatás hatásköre, tömeges adatszerzés, berendezések tömeges zavarása és tömeges személyesadat-állományok), amelyekhez később a hatóságok hozzáférhetnek. Ezt a leírást a „tömeges hatáskörnek” nem minősülő hatáskörökkel való szembeállítással pontosítjuk: nem egyenlő a korlátozások és biztosítékok nélküli, úgynevezett „tömeges megfigyeléssel”. Épp ellenkezőleg, az alábbiakban kifejtettek szerint, korlátozásokat és biztosítékokat tartalmaz, amelyek célja annak biztosítása, hogy az adatokhoz való hozzáférés ne válogatás nélkül vagy indokolatlanul történjen (361). A tömeges hatáskörök különösen csak akkor használhatók fel, ha a kapcsolat megállapítást nyer a nemzeti hírszerző ügynökség által használni kívánt technikai intézkedés és azon operatív cél között, amelyre az említett intézkedést kérték.

(217)

Ezenkívül a tömeges hatáskörök csak a hírszerző ügynökségeknek állnak rendelkezésre, és mindig a miniszter által kiadott és igazságügyi biztos által jóváhagyott parancs alapján. Az információgyűjtés eszközének megválasztásakor figyelembe kell venni, hogy a kérdéses cél elérhető-e „kevésbé beavatkozó jellegű eszközökkel” (362). Ez a megközelítés a jogszabály keretrendszeréből következik, amely az arányosság elvére épül, és ezért elsőbbséget élvez a tömeges gyűjtés előtt.

(218)

A tömeges lehallgatás rendszerét a nyomozati hatáskörökről szóló 2016. évi törvény 6. részének 1. fejezete tartalmazza, míg ugyanezen rész 3. fejezete a berendezések tömeges zavarását szabályozza. Ezek a rendszerek lényegében megegyeznek, ezért az e parancsokra irányadó feltételek és kiegészítő biztosítékok elemzése együtt történik.

(219)

A tömeges lehallgatási parancs csak a Brit-szigeteken kívüli magánszemélyek által küldött vagy fogadott kommunikáció lehallgatására (363), úgynevezett „tengerentúli kommunikációra” (364), valamint egyéb releváns adatokra és a lehallgatott anyag vizsgálatra történő későbbi kiválasztására (365) korlátozódik. A tömeges berendezészavarási parancs (366) felhatalmazza a címzettet, hogy biztonságosan zavarjon bármilyen berendezést a tengerentúl kommunikáció (ideértve a beszédet, zenét, hangokat, vizuális képeket vagy bármilyen leírást tartalmazó adatokat), a berendezés adatai (a postai szolgáltatás működését lehetővé tevő vagy megkönnyítő adatok); távközlési rendszer; távközlési szolgáltatás) vagy bármilyen más információ (367) gyűjtése céljából.

(220)

A miniszter tömeges parancsot csak a hírszerző ügynökség vezetőjének kérelme alapján adhat ki (368). A tömeges lehallgatást vagy a berendezések tömeges zavarását engedélyező parancsot csak akkor lehet kiadni, ha ez a nemzetbiztonság érdekében és a súlyos bűncselekmények megelőzésének vagy felderítésének további céljára, vagy adott esetben az Egyesült Királyság gazdasági jólétének érdekében szükséges, ha ez nemzetbiztonsági szempontból releváns (369). Ezenkívül a nyomozati hatáskörökről szóló 2016. évi törvény 142. szakaszának (7) bekezdése előírja, hogy a tömeges lehallgatási parancsot részletesebben meg kell határozni a „nemzetbiztonsági érdekekre”, „az Egyesült Királyság gazdasági jólétére” és a „súlyos bűncselekmények megelőzésére és az ellenük való küzdelemre” történő egyszerű hivatkozásnál, hanem kapcsolatot kell teremteni a kért intézkedés és egy vagy több operatív cél között, amelyet fel kell tüntetni a parancsban.

(221)

Az operatív cél megválasztása többlépcsős folyamat eredménye. A 142. szakasz (4) bekezdése előírja, hogy a parancsban meghatározott operatív célokat a hírszerző ügynökség vezetői által vezetett listában kell meghatározni, az általuk operatív célnak tekintett azon célokként, amelyek érdekében a lehallgatott tartalom vagy tömeges lehallgatással nyert másodlagos adatok vizsgálatra kiválasztása indokolt lehet. Az operatív célok felsorolását a miniszternek kell jóváhagynia. A miniszter csak akkor adhatja meg a jóváhagyást, ha meggyőződik arról, hogy az operatív célt a parancs engedélyezésének általános indokainál (nemzetbiztonság vagy nemzetbiztonság és gazdasági jólét vagy a súlyos bűncselekmények megelőzése) részletesebben meghatározták (370). A miniszternek minden releváns három hónapos időszak végén át kell adnia az operatív célok listájának másolatát a parlamenti ISC-nek. Végül a miniszterelnöknek évente legalább egyszer felül kell vizsgálnia az operatív célok listáját (371). Ahogyan azt a Legfelsőbb Bíróság megjegyezte, „ezeket nem szabad jelentéktelen biztosítékként lebecsülni, mivel az elszámoltathatóság módjainak bonyolult szövetét alkotják, amely magában foglalja a Parlamentet és a kormánytagokat is a legmagasabb szinten” (372).

(222)

Az említett operatív célok korlátozzák a lehallgatási anyag vizsgálati szakaszra kiválasztásának terjedelmét is. A tömeges engedély alapján összegyűjtött bármely anyag vizsgálatra való kiválasztását az operatív cél(ok)ra figyelemmel kell indokolni. Amint azt az Egyesült Királyság hatóságai kifejtették, ez azt jelenti, hogy a miniszternek már a parancs kiadásának szakaszában értékelnie kell a vizsgálat gyakorlati elrendezését, elegendő részletet megadva a nyomozati hatáskörökről szóló 2016. évi törvény 152. és 193. szakasza szerinti törvényi kötelezettségek teljesítéséhez (373). A miniszternek az említett elrendezéssel kapcsolatban adott részletes tájékoztatásnak tartalmaznia kell például az arra vonatkozó információkat (ha vannak), hogy a szűrési szabályok miként változhatnak a parancs hatálya alatt (374). A folyamattal és a szűrési és vizsgálati szakaszokban alkalmazott biztosítékokkal kapcsolatos további részletek a (229) below preambulumbekezdésben találhatók.

(223)

Tömeges hatáskör csak akkor engedélyezhető, ha az arányos az elérni kívánt céllal (375). A lehallgatás gyakorlati kódexében meghatározottak szerint az arányosság minden értékelése magában foglalja „a magánéletbe való beavatkozás súlyossága (és a 2. szakasz (2) bekezdésében meghatározott egyéb szempontok) és a tevékenység nyomozati, operatív vagy kapacitási szükségessége egyensúlyának megteremtését. Az engedélyezett magatartásnak reális kilátást kell kínálnia a várt haszon elérésére, és nem lehet aránytalan vagy önkényes” (376). Amint már említést nyert, ez a gyakorlatban azt jelenti, hogy az arányossági teszt az elérni kívánt célok („operatív cél(ok)”) és a rendelkezésre álló technikai lehetőségek (pl. célzott vagy tömeges lehallgatás, berendezés interferencia, kommunikációs adatok) egyensúlyának megteremtése, a legkevésbé beavatkozó jellegű eszközöket előnyben részesítve (lásd a (181) és (182) above preambulumbekezdést). Ha több intézkedés felel meg a célnak, akkor a kevésbé beavatkozó jellegű eszközöket kell előnyben részesíteni.

(224)

A kért intézkedés arányosságának értékelése során további biztosítékot nyújt az a tény, hogy a miniszternek meg kell kapnia az értékelés megfelelő elvégzéséhez szükséges információkat. A lehallgatás gyakorlati kódexe és a berendezések zavarásáról szóló gyakorlati kódex előírja különösen, hogy az illetékes hatóság által benyújtott kérelemben fel kell tüntetni az alkalmazás előzményeit, a lehallgatandó kommunikáció leírását és azon távközlési szolgáltatókat, akiknek a segítségére szükség van, az engedélyezendő magatartás, az operatív célok leírását és annak magyarázatát, hogy miért szükséges és arányos a magatartás (377).

(225)

Végül és kiemelten, a miniszternek a parancs kiadásáról szóló döntését független igazságügyi biztosnak kell jóváhagynia, aki felméri a javasolt intézkedés szükségességének és arányosságának értékelését, ugyanazokat az elveket alkalmazva, amelyeket a bíróság a bírósági felülvizsgálat alkalmával (378). Konkrétabban, az igazságügyi biztos felülvizsgálja a miniszter következtetéseit arra vonatkozóan, hogy szükséges-e a határozat, és hogy a magatartás arányos-e a nyomozati hatáskörökről szóló 2016. évi törvény 2. szakaszának 2. pontjában meghatározott elvekre (a magánélet védelmével kapcsolatos általános kötelezettségekre) figyelemmel. Az igazságügyi biztos megvizsgálja a miniszter következtetéseit arra vonatkozóan is, hogy a parancsban meghatározott operatív célok mindegyike olyan-e, amelyhez a vizsgálat szükséges, vagy szükséges lehet. Ha az igazságügyi biztos elutasítja a parancs kiadásáról szóló határozat jóváhagyását, a miniszter: i. elfogadja a határozatot, és ezért nem adja ki a parancsot; vagy ii. határozathozatal céljából továbbítja az ügyet a nyomozati hatáskörök biztosához (kivéve, ha a nyomozati hatáskörök biztosa hozta meg az eredeti döntést) (379).

(226)

A nyomozati hatáskörökről szóló 2016. évi törvény további korlátokat vezetett be a tömeges parancsok időtartamára, megújítására és módosítására. A parancs időtartama legfeljebb hat hónap, és a megújítási vagy módosítási döntéseket (kivéve a kisebb módosításokat) az igazságügyi biztosnak is jóvá kell hagynia (380). A lehallgatás gyakorlati kódexe és a berendezés zavarásáról szóló gyakorlati kódex meghatározta, hogy a parancs operatív céljainak megváltoztatása a parancs jelentős módosításának tekinthető (381).

(227)

A célzott lehallgatásra előírtakhoz hasonlóan a nyomozati hatáskörökről szóló 2016. évi törvény 6. része előírja, hogy a miniszternek gondoskodnia kell arról, hogy hatályban legyenek azok az intézkedések, amelyek biztosítékot nyújtanak a parancs alapján megszerzett anyag megőrzésére és közlésére (382), valamint a tengerentúli közlésre (383). A nyomozati hatáskörökről szóló 2016. évi törvény 150. szakaszának (5) bekezdése és 191. szakaszának (5) bekezdése előírja különösen, hogy az engedély alapján összegyűjtött anyagok bármelyikéről készült minden másolatot biztonságos módon kell tárolni, és meg kell semmisíteni, amint már megőrzésére nincsenek releváns okok, míg a 150. szakasz (2) bekezdése és a 191. szakasz (2) bekezdése előírja, hogy azoknak a személyeknek a számát, akikkel az anyagot közlik, valamint az anyag közlésének, hozzáférhetővé tételének vagy másolásának mértékét a törvényi célokból szükséges minimumra kell korlátozni (384).

(228)

Végül ha a tömeges lehallgatással vagy tömeges berendezészavarással lehallgatott anyagot továbbítani kell egy harmadik országnak („tengerentúli közlés”), a nyomozati hatáskörökről szóló 2016. évi törvény előírja, hogy a miniszternek gondoskodnia kell az azt biztosító megfelelő intézkedésekről, hogy a biztonság, a megőrzés és a közlés terén hasonló biztosítékok létezzenek ebben a harmadik országban (385). Emellett a 2018. évi adatvédelmi törvény 109. szakasza külön követelményeket tartalmaz a személyes adatok hírszerző ügynökség által harmadik országokba vagy nemzetközi szervezetekhez történő továbbítására, és nem engedélyezi adatok továbbítását az Egyesült Királyságon kívüli országba vagy területre vagy egy nemzetközi szervezethez, kivéve, ha az adattovábbítás az adatkezelő törvényi funkcióinak vagy más, a biztonsági szolgálatokról szóló 1989. évi törvény 2. szakasza (2) bekezdésének a) pontjában vagy a hírszerző ügynökségekről szóló 1994. évi törvény 2. szakasza (2) bekezdésének a) pontjában és 4. szakasza (2) bekezdésének a) pontjában előírt más céloknak megfelelően szükséges és arányos (386). Fontos, hogy ezek a követelmények azokban az esetekben is érvényesülnek, amikor a 2018. évi adatvédelmi törvény 110. szakasza szerinti nemzetbiztonsági kivételre hivatkoznak, mivel a 2018. évi adatvédelmi törvény 110. szakasza nem sorolja fel a 2018. évi adatvédelmi törvény 109. szakaszát azon rendelkezések között, amelyek alkalmazása mellőzhető, ha a nemzetbiztonság védelme érdekében bizonyos rendelkezések alóli kivételre van szükség.

(229)

Miután a parancsot jóváhagyták és a tömeges adatgyűjtés megtörtént, az adatokat a vizsgálat előtt válogatják. A kiválasztási és vizsgálati fázisban az elemzőnek egy további arányossági tesztet kell végeznie, amely a megbízásban szereplő operatív célok (és az esetlegesen létező szűrési szabályok) alapján meghatározza a kiválasztás kritériumait. A nyomozati hatáskörökről szóló törvény 152. és 193. szakasza előírja, hogy a miniszter a parancs kiadásakor gondoskodik arról, hogy azt garantáló intézkedések legyenek érvényben, hogy az anyag kiválasztása csak a meghatározott operatív célokra történhessen, és hogy ez minden körülmények között szükséges és arányos legyen. Ebben a tekintetben az Egyesült Királyság hatóságai pontosították, hogy a tömegesen lehallgatott anyagot elsősorban automatizált szűréssel válogatják le azzal a céllal, hogy kiszűrik azokat az adatokat, amelyek valószínűleg nemzetbiztonsági szempontból érdektelenek. A szűrők időről időre változnak (az internetes forgalmi minták, típusok és protokollok változásával), és a technológiától és az operatív körülményektől függenek. Ezt a fázist követően adatok csak akkor választhatók ki vizsgálatra, ha azok a parancsban meghatározott operatív célok szempontjából relevánsak (387). A nyomozati hatáskörökről szóló 2016. évi törvény által az összegyűjtött anyag vizsgálatához nyújtott biztosítékok minden típusú adatra vonatkoznak (mind a lehallgatott tartalomra, mind a másodlagos adatokra) (388). A nyomozati hatáskörökről szóló 2016. évi törvény 152. és 193. szakasza is általános tilalmat ír elő a Brit-szigeteken tartózkodó személyek által küldött vagy nekik szánt beszélgetésekre utaló anyagok vizsgálatra kiválasztására. Ha a hatóságok meg kívánják vizsgálni az említett anyagokat, kérelmet nyújtanak be a miniszter által kiállított és egy igazságügyi biztos által jóváhagyott, a nyomozati hatáskörökről szóló 2016. évi törvény 2. és 4. része szerinti célzott vizsgálati parancs iránt (389). Ha valaki a jogszabályokban meghatározott követelményekbe ütközően (390) szándékosan választ ki lehallgatott tartalmat vizsgálatra, bűncselekményt követ el (391).

(230)

Az elemző által a kiválasztott anyagon elvégzett értékelést a nyomozási biztos utólag felügyeli, aki értékeli a nyomozati hatáskörökről szóló 2016. évi törvényben a vizsgálati szakaszra meghatározott különleges biztosítékok betartását (392) (lásd még a (229) preambulumbekezdést). A nyomozási biztosnak folyamatosan figyelemmel kell kísérnie a hatóságok által a nyomozati hatáskörökről szóló 2016. évi törvényben említett nyomozati hatáskörök gyakorlását (ideértve az ellenőrzés, felügyelet és vizsgálat útján történő figyelemmel kísérést is) (393). Ebben a tekintetben a lehallgatás gyakorlati kódexe és a berendezések zavarásáról szóló gyakorlati kódex egyértelművé teszi, hogy az ügynökségnek nyilvántartást kell vezetnie későbbi vizsgálatok és ellenőrzések céljára, és ezekben a nyilvántartásokban fel kell tüntetni, hogy miért szükséges és arányos az anyaghoz a felhatalmazott személyeknek hozzáférni, a vonatkozó operatív célokkal együtt (394). Például a 2018. évi éves jelentésben a Nyomozati Hatáskörök Biztosának Hivatala (nyomozási biztos hivatala) (395) arra a következtetésre jutott, hogy az elemző által bizonyos tömegesen összegyűjtött anyagok vizsgálatához rögzített indokolások megfeleltek az előírt arányossági mércének, elegendő részletességgel megadva a „lekérdezések” okait az elérendő célokkal kapcsolatban (396). A nyomozási biztos hivatala 2019-es jelentésében a tömeges hatáskörökkel kapcsolatban egyértelműen kijelentette, hogy szándékában áll folytatni a tömeges lehallgatások ellenőrzését, ideértve a kiválasztási és a keresési szempontok részletes vizsgálatát (397). Emellett a továbbiakban is alaposan, esetenként ellenőrzi a (tömeges vagy célzott) berendezészavarási tevékenység megválasztását, mind a parancs iránti kérelmek duplán ellenőrzött eljárás szerinti elbírálása, mind az ellenőrzések során” (398). Ezt a további nyomon követést kellően figyelembe fogják venni a (281)–(284)preambulumbekezdésben említett, az e határozattal kapcsolatos bizottsági nyomon követés során.

(231)

A nyomozati hatáskörökről szóló 2016. évi törvény 6. részének 2. fejezete szabályozza a tömeges adatgyűjtési parancsokat, amelyek felhatalmazzák a címzettet arra, hogy a távközlési szolgáltatótól megkövetelje az üzemeltető birtokában lévő bármely kommunikációs adat közlését vagy gyűjtését. Ezek a parancsok felhatalmazzák a megkereső hatóságot az adatok vizsgálat további szakaszára történő kiválasztására. A kommunikációs adatok célzott megőrzéséhez és gyűjtéséhez hasonlóan (lásd a (199) preambulumbekezdést) a kommunikációs adatok tömeges gyűjtése általában nem érinti az e határozat alapján az Egyesült Királyságba továbbított uniós érintettek személyes adatait. A kommunikációs adatok közlésének kötelezettsége a nyomozati hatáskörökről szóló 2016. évi törvény 6. részének 2. fejezete szerint azokra az adatokra terjed ki, amelyeket az Egyesült Királyság telekommunikációs szolgáltatói gyűjtenek közvetlenül a távközlési szolgáltatás felhasználóitól (399). Ez a fajta „ügyfélalapú” feldolgozás általában nem jár e határozat alapján adattovábbítással, vagyis uniós adatkezelőtől/adatfeldolgozótól egyesült királyságbeli adatkezelőhöz/adatfeldolgozóhoz történő adattovábbítással.

(232)

A teljesség kedvéért azonban a tömeges kommunikációs adatok gyűjtését szabályozó feltételeket és biztosítékokat az alábbiakban ismertetjük.

(233)

A nyomozati hatáskörökről szóló 2016. évi törvény váltja fel a tömeges hírközlési adatok gyűjtésére vonatkozó azon jogszabályokat, amelyeket az EUB a Privacy International ügyben hozott ítéletében tárgyalt. Az abban az ügyben tárgyalt jogszabályt hatályon kívül helyezték, és az új rendszer konkrét feltételeket és biztosítékokat ír elő, amelyek alapján az említett intézkedés engedélyezhető.

(234)

Különösen eltérően a korábbi rendszertől, amelynek értelmében a miniszternek teljes mérlegelési jogköre volt az intézkedés engedélyezésére (400), a nyomozati hatáskörökről szóló 2016. évi törvény megköveteli, hogy a miniszter csak akkor adjon ki parancsot, ha az intézkedés szükséges és arányos. Ez a gyakorlatban azt jelenti, hogy összefüggésnek kell lennie az adatokhoz való hozzáférés és az elérni kívánt cél között (401). Pontosabban, a miniszternek értékelnie kell a kapcsolat fennállását a kért intézkedés és a parancsban (lásd a (219) preambulumbekezdést) feltüntetett egy vagy több „operatív cél” között az arányosság értékelése tekintetében, a vonatkozó gyakorlati kódex előírja, hogy „a miniszternek figyelembe kell vennie, hogy a parancs által elérni kívánt cél elérhető-e más, kevésbé beavatkozó jellegű eszközökkel (a törvény 2. szakasza (2) bekezdésének a) pontja). Például a szükséges információk gyűjtése kevésbé tolakodó hatáskörrel, például a kommunikációs adatok célzott gyűjtésével” (402).

(235)

Az említett értékelés elvégzéséhez a miniszter azokra az információkra támaszkodik, amelyeket a hírszerzési vezetők (403) kötelesek benyújtani kérelmükben, például azok az indokok, amelyek miatt az intézkedést valamely jogszabályi alapon szükségesnek tartják, és annak oka, amiért az elérni kívánt célokat más, kevésbé beavatkozó jellegű eszközökkel észszerűen nem lehetne elérni (404). Ezenkívül az operatív célok korlátozzák azt a hatókört, amelyre a parancs alapján megszerzett adatok megvizsgálhatók (405). Amint azt a vonatkozó gyakorlati szabályzat előírja, az operatív céloknak egyértelmű követelményt kell tartalmazniuk, és elegendően részletesnek kell lenniük ahhoz, hogy a miniszter meggyőződhessen arról, hogy a gyűjtött adatokat csak konkrét okokból lehet megvizsgálásra kiválasztani (406). Valójában a miniszternek meg kell győződnie arról, hogy a parancs engedélyezése előtt vannak-e külön rendelkezések annak biztosítására, hogy a valamely operatív és törvényi célra szükségesnek minősülő anyagot válasszanak ki vizsgálat, és annak minden körülmények között arányosnak és szükségesnek kell lennie. Ez a külön követelmény, amelyet a nyomozati hatáskörökről szóló 2016. évi törvény 158. és 172. szakasza tükröz (407) a kiválasztás során alkalmazott kritériumok szükségességének és arányosságának előzetes értékelését illetően, a nyomozati hatáskörökről szóló 2016. évi törvény által bevezetett rendszer másik fontos újdonságát képezi a korábban hatályos rendszerhez képest.

(236)

A nyomozati hatáskörökről szóló 2016. évi törvény bevezette a miniszter kötelességét is annak biztosítására, hogy a kommunikációs adatok tömeges gyűjtésére vonatkozó parancs kiadása előtt meghatározott korlátozások legyenek érvényben az összegyűjtött személyes adatok biztonságára, megőrzésére és közléséra vonatkozóan (408). Tengerentúli közlés esetén a (227) preambulumbekezdésben a tömeges lehallgatásra és berendezések tömeges zavarására leírt biztosítékokat ebben az összefüggésben is alkalmazni kell (409). A jogszabályok további korlátokat rögzítenek a tömeges parancsok időtartamára (410), megújítására (411) és módosítására (412) vonatkozóan.

(237)

Fontos, hogy a többi tömeges hatáskörhöz hasonlóan a parancs kiadása előtt a miniszternek meg kell szereznie egy igazságügyi biztos jóváhagyását (413). Ez a nyomozati hatáskörökről szóló 2016. évi törvény által bevezetett rendszer kulcsfontosságú jellemzője.

(238)

A nyomozási biztos a tömegesen gyűjtött anyagok (kommunikációs adatok) vizsgálati eljárását utólag felügyeli (lásd a (254) below preambulumbekezdést). E tekintetben a nyomozati hatáskörökről szóló 2016. évi törvény bevezette azt a követelményt, hogy a vizsgálatot végző hírszerző elemzőnek az adatok vizsgálatra kiválasztása előtt fel kell jegyeznie, hogy miért szükséges és arányos a javasolt vizsgálat egy meghatározott operatív cél érdekében (414). A nyomozási biztos hivatala 2019. évi éves jelentésében a Kormányzati Kommunikációs Központ és az MI5 gyakorlata kapcsán kiderült, hogy „a tömeges kommunikációs adatok kritikus szerepe a Kormányzati Kommunikációs Központban végzett tevékenységek körében jól megfogalmazódott az általunk ellenőrzött esetmunkában. Figyelembe vettük a kért adatok jellegét és a feltüntetett hírszerzési követelményeket, és meggyőződtünk arról, hogy a dokumentáció bizonyította, hogy megközelítésük szükséges és arányos volt” (415). Az MI5 által rögzített indokolások jó színvonalúak voltak, és kielégítették a szükségesség és az arányosság elvét” (416).

(239)

A tömeges személyesadat-állományokra vonatkozó parancs (417) felhatalmazza a hírszerző ügynökségeket olyan adatállományok megőrzésére és megvizsgálására, amelyek számos személyre vonatkozó személyes adatokat tartalmaznak. Az Egyesült Királyság hatóságainak magyarázata szerint az említett adatállományok elemzése „az egyetlen módja annak, hogy az UKIC előrelépjen a nyomozásban és azonosítsa a terroristákat igen csekély hírszerzési nyom alapján, vagy amikor a kommunikációjukat szándékosan leplezik” (418). Két típusú parancs létezik: „csoportos tömeges személyesadat-állományokra vonatkozó parancs” (419), amely egy bizonyos adatállomány-kategóriára vonatkozik, azaz olyan tartalmú és javasolt felhasználású adatállományokra, amelyek hasonló megfontolásokat vetnek fel például a beavatkozás mértéke és érzékenysége, valamint az adatok felhasználásának arányossága tekintetében, lehetővé téve ezért a miniszter számára az adott osztályon belüli összes adat egyszerre történő gyűjtése szükségességének és arányosságának megfontolását. Például egy csoportos tömeges személyesadat-állomány kiterjedhet a hasonló útvonalakra vonatkozó utazási adatállományokra (420). „Konkrét tömeges személyesadat-állományokra vonatkozó parancsok” (421) viszont egy meghatározott adatállományra vonatkoznak, például olyan új vagy szokatlan típusú adatállományra, amely nem tartozik a tömeges személyesadat-állományok meglévő csoportjába, vagy egy olyan adatállományra, amely a személyes adatok meghatározott típusaira vonatkozik (422) és ezért további biztosítékokat igényel (423). A nyomozati hatáskörökről szóló 2016. évi törvény tömeges személyesadat-állományokra vonatkozó rendelkezései csak akkor teszik lehetővé az említett adatállományok vizsgálatát és megőrzését, amennyiben ez szükséges és arányos (424), valamint megfelel a magánélet védelmével kapcsolatos általános kötelezettségeknek (425).

(240)

A tömeges személyesadat-állományra vonatkozó parancs kiadásának hatásköre a „duplán ellenőrzött” eljárás alá tartozik: az intézkedés szükségességének és arányosságának értékelését először a miniszter, majd az igazságügyi biztos végzi (426). a miniszter köteles mérlegelni a kért parancs típusát és terjedelmét, az érintett adatok kategóriáját és azon egyedi tömeges személyes adatállományok számát, amelyek valószínűleg az adott típusú parancs alá tartoznak (427). Ezenkívül, amint azt a hírszerző ügynökségek tömeges személyesadat-állományai megőrzésének és használatának gyakorlati kódexe meghatározza, részletes nyilvántartásokat kell vezetni, és azokat a nyomozási biztos ellenőrizheti (428). A tömeges személyesadat-állományok nyomozati hatáskörökről szóló 2016. évi törvény szabta kereteken kívül történő megőrzése és vizsgálata bűncselekménynek minősül (429).

(241)

A 2018. évi adatvédelmi törvény 4. része szerint kezelt személyes adatokat tilos olyan módon kezelni, amely összeegyeztethetetlen azokkal a célokkal, amelyekre azokat gyűjtik (430). A 2018. évi adatvédelmi törvény előírja, hogy az adatkezelő az adatokat más attól eltérő célból is kezelheti, mint amelyre az adatokat gyűjtötték, amennyiben az összeegyeztethető az eredeti céllal, és feltéve, hogy az adatkezelőt törvény hatalmazza fel az adatok kezelésére, és az adatkezelés szükséges és arányos (431). Sőt, a biztonsági szolgálatokról szóló 1989. évi törvény és a hírszerző ügynökségekről szóló 1994. évi törvény meghatározza, hogy a hírszerző ügynökségek vezetőinek kötelességük biztosítani, hogy semmilyen információt ne gyűjtsenek vagy közöljenek, kivéve, ha az az ügynökségi feladatok megfelelő ellátásához vagy a vonatkozó rendelkezésekben felsorolt egyéb korlátozott és egyedi célokra szükséges (432).

(242)

Ezenkívül a 2018. évi adatvédelmi törvény 109. szakasza konkrét követelményeket határoz meg a hírszerző ügynökségek által személyes adatok harmadik országoknak vagy nemzetközi szervezeteknek történő nemzetközi továbbítására vonatkozóan. E rendelkezés szerint a személyes adatok továbbítása nem engedélyezett az Egyesült Királyságon kívüli országba vagy területre vagy egy nemzetközi szervezethez, kivéve, ha az adattovábbítás az adatkezelő törvényi funkcióinak vagy más, a biztonsági szolgálatokról szóló 1989. évi törvény 2. szakasza (2) bekezdésének a) pontjában vagy a hírszerző ügynökségekről szóló 1994. évi törvény 2. szakasza (2) bekezdésének a) pontjában és 4. szakasza (2) bekezdésének a) pontjában előírt más céloknak megfelelően szükséges és arányos (433). Fontos, hogy ezek a követelmények azokban az esetekben is érvényesülnek, amikor a 2018. évi adatvédelmi törvény 110. szakasza szerinti nemzetbiztonsági kivételre hivatkoznak, mivel a 2018. évi adatvédelmi törvény 110. szakasza nem sorolja fel a 2018. évi adatvédelmi törvény 109. szakaszát azon rendelkezések között, amelyek alkalmazása mellőzhető, ha a nemzetbiztonság védelme érdekében bizonyos rendelkezések alóli kivételre van szükség.

(243)

Sőt, amint azt az információügyi biztos hangsúlyozta a hírszerző szolgálatok általi adatkezelésre vonatkozó útmutatójában, a 2018. évi adatvédelmi törvény 4. részében biztosított biztosítékok mellett a hírszerző ügynökségre vonatkoznak az egyéb jogalkotási intézkedésekben előírt biztosítékok, amikor adatokat osztanak meg egy harmadik országbeli hírszerző szervvel, a személyes adatok jogszerű és felelősségteljes gyűjtése, megosztása és kezelése biztosításának érdekében (434). Például a nyomozati hatáskörökről szóló 2016. évi törvény további biztosítékokat határoz meg a célzott lehallgatás (435), a berendezés célzott zavarása (436), a tömeges lehallgatás (437), a kommunikációs adatok tömeges gyűjtése (438) és berendezések tömeges zavarása (439) útján gyűjtött anyagok harmadik országba történő továbbításával (úgynevezett „tengerentúli közlések”) kapcsolatban. A parancsot kiadó hatóságnak különösen gondoskodnia kell arról, hogy érvényben legyenek azt biztosító intézkedések, hogy az adatokat fogadó harmadik ország a nyomozati hatáskörökről szóló 2016. évi törvényben meghatározott engedélyezett célokhoz szükséges lehető legalacsonyabbra korlátozza az anyagot megtekintők számát, a közlés terjedelmét és az anyagról készült másolatok számát (440).

(244)

A kormány nemzetbiztonsági célú hozzáférését számos különféle szerv felügyeli. Az információügyi biztosa személyes adatok kezelését a 2018. évi adatvédelmi törvényre figyelemmel felügyeli (a biztos függetlenségéről, kinevezési szerepéről és hatásköreiről bővebben lásd a (85)–(98) preambulumbekezdést), míg a nyomozati hatáskörök felhasználásának független és bírósági felügyeletét a nyomozati hatáskörökről szóló 2016. évi törvény szerint a nyomozási biztos biztosítja. A nyomozási biztos felügyeli a nyomozati hatáskörökről szóló 2016. évi törvény szerinti nyomozati hatáskörök bűnüldöző és a nemzetbiztonsági hatóságok általi felhasználását. A politikai felügyeletet a parlament hírszerző ügynökségekkel foglalkozó bizottsága garantálja.

(245)

A személyes adatok hírszerző ügynökségek általi, a 2018. évi adatvédelmi törvény 4. része alapján végzett kezelését az információügyi biztos felügyeli (441).

(246)

Az információügyi biztos általános feladatait a személyes adatok hírszerző ügynökségek általi, a 2018. évi adatvédelmi törvény 4. része szerinti kezelésével kapcsolatban a 2018. évi adatvédelmi törvény 13. melléklete állapítja meg. A feladatok a teljesség igénye nélkül magukban foglalják a 2018. évi adatvédelmi törvény 4. részének nyomon követését és végrehajtását, a közvélemény tudatosságának növelését, a Parlamentnek, a kormánynak és más intézményeknek történő tanácsadást a jogalkotási és közigazgatási intézkedések terén, az adatkezelők és adatfeldolgozók kötelezettségei tudatosításának előmozdítását, az érintettek tájékoztatását az érintett jogainak gyakorlásáról és vizsgálatok lefolytatását.

(247)

A biztos – mint a 2018. évi adatvédelmi törvény 3. része esetében is – hatáskörrel rendelkezik arra, hogy értesítse az adatkezelőket az állítólagos jogsértésekről, és figyelmeztetéseket adjon ki, hogy egy adatkezelés valószínűleg a szabályokba ütközik, és a jogsértés megállapításakor megrovást ad. Kiadhat jogérvényesítési felhívást és bírságértesítőt is a törvény bizonyos rendelkezéseinek megsértése esetén (442). Ugyanakkor a 2018. évi adatvédelmi törvény más részeitől eltérően a biztos nem adhat ki vizsgálati felhívást nemzetbiztonsági szervnek (443).

(248)

Ezenkívül a 2018. évi adatvédelmi törvény 110. szakasza kivételt tesz a biztos bizonyos hatásköreinek használata alól, amennyiben erre a nemzetbiztonság védelme érdekében van szükség. Idetartozik a biztos arra vonatkozó hatásköre, hogy az adatvédelmi törvény alapján (bármilyen típusú) felhívást adjon ki (adatkérési, vizsgálati, jogérvényesítési felhívás és bírságértesítők), a nemzetközi kötelezettségeknek megfelelő ellenőrzések elvégzésének hatásköre, a belépési és ellenőrzési jogkörök, valamint a bűncselekményekre vonatkozó szabályok (444). Amint azt a (126) preambulumbekezdés kifejti, ezek a kivételek csak szükség esetén és arányosan, eseti alapon érvényesülnek.

(249)

A biztos és az Egyesült Királyság hírszerző ügynökségei egyetértési megállapodást írtak alá (445), amely létrehozza az együttműködés kereteit számos kérdésben, ideértve az adatvédelmi bejelentéseket és az érintettek panaszainak kezelését. Különösen előírja, hogy panasz kézhezvételekor a biztos értékeli, hogy a nemzetbiztonsági kivételek alkalmazása megfelelően történt-e. A biztos által az egyedi panaszok vizsgálata során feltett kérdésekre az érintett hírszerző ügynökségnek 20 munkanapon belül válaszolnia kell, megfelelő biztonságos csatornákon keresztül, amennyiben minősített adatokat tartalmaz. 2018 áprilisától a mai napig a biztos 21 panaszt kapott magánszemélyektől a hírszerző ügynökségekkel kapcsolatban. Minden panaszt értékeltek, és az eredményről tájékoztatták az érintettet (446).

(250)

A nyomozati hatáskörökről szóló 2016. évi törvény 8. része alapján a nyomozati hatáskörök felhasználásának felügyeletét a nyomozati hatáskörök biztosa (nyomozási biztos) gyakorolja. A nyomozási biztost más igazságügyi biztosok segítik, akiket gyűjtőnéven igazságügyi biztosnak neveznek (447). A nyomozati hatáskörökről szóló 2016. évi törvény meghatározza azokat a garanciákat, amelyek védik az igazságügyi biztosok függetlenségét. Az igazságügyi biztosok kötelesek hivatalban lévő vagy volt magas rangú bírák (azaz a legmagasabb szintű bíróságoknál kellett hivatalt betölteniük) (448) és az igazságszolgáltatás minden tagjához hasonlóan a kormánytól független jogállást élveznek (449). A nyomozati hatáskörökről szóló 2016. évi törvény 227. szakasza értelmében a miniszterelnök jelöli ki a nyomozási biztost és annyi igazságügyi biztost, amennyit szükségesnek tart. Valamennyi biztos, függetlenül attól, hogy a bírói kar jelenlegi vagy korábbi tagja, csak az Anglia és Wales, Skócia és Észak-Írország három főbírája (Chief Justice) és a Lord Chancellor együttes ajánlása alapján nevezhetők ki (450). A miniszternek biztosítania kell a nyomozási biztos számára személyzetet, elhelyezést, berendezéseket és egyéb létesítményeket és szolgáltatásokat (451). A biztosok megbízatása három évre szól, és újból kinevezhetők (452). A függetlenség további garanciájaként az igazságügyi biztosokat csak szigorú, magas mércét előíró feltételek mellett lehet felmenteni: a miniszterelnök által, a nyomozati hatáskörökről szóló 2016. évi törvény 228. szakaszának (5) bekezdésében tételesen felsorolt kivételes körülmények között (például csőd vagy szabadságvesztés esetén), vagy a Parlament mindkét háza által elfogadott felmentést jóváhagyó határozattal (453).

(251)

A nyomozási biztost és az igazságügyi biztosokat a nyomozati hatáskörök biztosának irodája (nyomozási biztos hivatala) támogatja szerepkörében. A nyomozási biztos hivatalának munkatársai közé tartozik egy ellenőrcsoport, házon belüli jogi és műszaki szakértők, valamint egy technológiai tanácsadó testület szakértői tanácsadás céljából. Mint az egyes igazságügyi biztosok esetében, a nyomozási biztos hivatalának függetlensége is védelmet élvez. A nyomozási biztos hivatala a Belügyminisztériumtól „független testület”, azaz a Belügyminisztériumtól kap támogatást, de feladatait függetlenül látja el (454).

(252)

Az igazságügyi biztosok fő feladatait a nyomozati hatáskörökről szóló 2016. évi törvény 229. szakasza tartalmazza (455). Az igazságügyi biztosok különösen széles körű előzetes jóváhagyási hatáskörrel rendelkeznek, amely részét képezi az Egyesült Királyság jogi keretébe a nyomozati hatáskörökről szóló 2016. évi törvénnyel bevezetett biztosítékoknak. A célzott lehallgatásra, a berendezés zavarására, a tömeges személyesadat-állományokra, a kommunikációs adatok tömeges gyűjtésére, valamint a kommunikációs adatok megőrzésére vonatkozó figyelmeztetéseket az igazságügyi biztosoknak jóvá kell hagyniuk (456). A nyomozási biztosnak mindig előzetesen engedélyeznie kell a kommunikációs adatok bűnüldözési célú gyűjtését is (457). Ha egy biztos megtagadja parancs jóváhagyását, a miniszter fellebbezhet a nyomozati hatáskörök biztosához, akinek döntése végleges.

(253)

Az ENSZ magánélethez való joggal foglalkozó különleges előadója határozottan üdvözölte az igazságügyi biztosok intézményének a nyomozati hatáskörökről szóló 2016. évi törvénnyel történt létrehozását, mivel „a megfigyelésre vonatkozó érzékeny vagy tolakodóbb kéréseket mind egy kabinetminiszternek, mind a nyomozati hatáskörök biztos irodájának engedélyeznie kell”. Hangsúlyozta különösen, hogy „a bírósági felülvizsgálat ezen eleme [a nyomozási biztos szerepén keresztül] egy gyakorlott ellenőrökből és technológiai szakértőkből álló, erőforrásokkal jobban felszerelt csapat segítségével a nyomozati hatáskörökről szóló törvény által bevezetett egyik legjelentősebb új biztosíték”, amely felváltotta a felügyeleti hatóságok korábbi széttagolt rendszerét, és kiegészíti a Parlament Hírszerzési és Biztonsági Bizottságának és az Investigatory Powers Tribunal szerepkörét” (458).

(254)

Ezenkívül a nyomozási biztosnak van hatásköre a nyomozati hatáskörök felhasználása utólagos felügyeletének elvégzésére (459) a nyomozati hatáskörökről szóló 2016. évi törvény alapján, ideértve az ellenőrzés, vizsgálat és nyomozás útján végzett felügyeletet, valamint van a vonatkozó jogszabályokban meghatározott néhány más hatásköre és funkciója (460). Az említett utólagos felügyelet eredményét a jelentés tartalmazza, amelyet a nyomozási biztosnak évente el kell készítenie és be kell terjesztenie a miniszterelnöknek (461), és ezt közzé kell tenni és a Parlament elé is be kell terjeszteni (462). A jelentés tartalmazza a releváns statisztikákat és információkat a nyomozati hatáskörök hírszerző ügynökségek és bűnüldöző hatóságok általi felhasználásáról, valamint az ügyvédi titoktartási kötelezettség alá eső anyagokkal, a bizalmas újságírói anyagokkal és az újságírói információk forrásaival kapcsolatos biztosítékok alkalmazásáról, a tömeges parancsok kapcsán alkalmazott szabályokról és operatív célokról. Végül a nyomozási biztos hivatala éves jelentésben meg van határozva, hogy mely területekre vonatkozóan kaptak ajánlásokat a hatóságok, és miként kezelték azokat (463).

(255)

A nyomozati hatáskörökről szóló 2016. évi törvény 231. szakaszával összhangban, ha a nyomozási biztos tudomást szerez a hatóságok által a nyomozati hatáskörük felhasználása során elkövetett bármely releváns hibáról, tájékoztatnia kell az érintett személyt, ha úgy ítéli meg, hogy a hiba súlyos, és a személy tájékoztatása közérdek (464). A nyomozati hatáskörökről szóló 2016. évi törvény 231. szakasza meghatározza különösen, hogy a személyek hibáról történő tájékoztatásakor a nyomozási biztosnak tájékoztatást kell adnia az Investigatory Powers Tribunalhoz való fordulás jogáról, és meg kell adnia azokat az adatokat, amelyeket a biztos szükségesnek tart e jogok gyakorlásához, és a közléshez közérdek fűződik (465).

(256)

A Hírszerzési és Biztonsági Bizottság (ISC) által végzett parlamenti felügyelet jogszabályi alapja a Justice and Security Act 2013 elnevezésű, 2013. évi igazságügyi és biztonsági törvényben szerepel (466). A törvény az ISC-t az Egyesült Királyság Parlamentjének bizottságaként hozza létre. 2013 óta az ISC nagyobb hatásköröket kapott, ideértve a biztonsági szolgálatok operatív tevékenységeinek felügyeletét is. A 2013. évi igazságügyi és biztonsági törvény 2. szakasza értelmében az ISC feladata a nemzetbiztonsági ügynökségek kiadásainak, adminisztrációjának, politikájának és működésének felügyelete. A 2013. évi igazságügyi és biztonsági törvény meghatározza, hogy az ISC operatív kérdésekben vizsgálatokat folytathat le, ha azok nem folyamatban lévő műveletekhez kapcsolódnak (467). A miniszterelnök és az ISC között megkötött egyetértési megállapodás (468) részletesen meghatározza azokat az elemeket, amelyeket figyelembe kell venni annak mérlegelésekor, hogy egy tevékenység nem része-e valamely folyamatban lévő műveletnek (469). Az ISC-t felkérheti a miniszterelnök is a folyamatban lévő műveletek kivizsgálására, és felülvizsgálhatja az ügynökségek által önkéntesen szolgáltatott információkat.

(257)

A 2013. évi igazságügyi és biztonsági törvény 1. melléklete értelmében az ISC felkérheti a három hírszerző ügynökség bármelyikének vezetőjét adatok kiadására. Az ügynökségnek hozzáférhetővé kell tennie ezeket az adatokat, kivéve, ha a miniszter megvétózza ezt (470). Az Egyesült Királyság hatóságainak magyarázata szerint a gyakorlatban nagyon kevés információt tartanak vissza az ISC-től (471).

(258)

Az ISC tagjai a Parlament bármely házának képviselői, akiket a miniszterelnök nevez ki az ellenzék vezetőjével folytatott konzultációt követően (472). Az ISC-nek éves jelentést kell készítenie a Parlamentnek feladatai ellátásáról, valamint egyéb, általa megfelelőnek tartott jelentéseket (473). Ezenkívül az ISC jogosult háromhavonta azon operatív célok listájának kézhezvételére, amelyeket az tömegesen gyűjtött anyagok vizsgálatához használnak (474). A miniszterelnök megküldi az ISC-vel a nyomozati hatáskör biztosa vizsgálatai, ellenőrzései vagy auditjai jelentéseinek másolatát, ha a jelentések tárgya releváns a bizottság törvényi hatásköre szempontjából (475). Végül a bizottság felkérheti a nyomozási biztost vizsgálat végzésére, és a biztosnak tájékoztatnia kell az ISC-t arról a döntésről, hogy az említett vizsgálatot elvégzi-e (476).

(259)

Az ISC hozzájárult a nyomozati hatáskörökről szóló 2016. évi törvény tervezetéhez is, amely számos olyan módosítást eredményezett, amelyeket most a nyomozati hatáskörökről szóló 2016. évi törvény tükröz (477). Az ISC különösen az adatvédelem garanciáinak erősítését javasolta egy olyan adatvédelmi biztosíték bevezetésével, amely a nyomozati hatáskörök teljes skáláján érvényesül (478). Javasolta továbbá a berendezések zavarásával, a tömeges személyesadat-állományokkal és a kommunikációs adatokkal kapcsolatban javasolt hatáskörök módosítását, és további konkrét módosításokat kért a nyomozati hatáskörök használatára vonatkozó korlátozások és biztosítékok megerősítésére (479).

(260)

A nemzetbiztonsági célú kormányzati hozzáférés területén az érintetteknek rendelkezniük kell azzal a lehetőséggel, hogy független és pártatlan bíróság előtt éljenek jogorvoslati lehetőségekkel abból a célból, hogy a rájuk vonatkozó személyes adatokhoz hozzáférést kapjanak, vagy az ilyen adatokat helyesbíttetni vagy töröltetni tudják (480). Az említett bírósági testületnek különösen hatáskörrel kell rendelkeznie arra, hogy a hírszerző ügynökségre kötelező érvényű határozatokat hozzon (481). Az Egyesült Királyságban, amint azt a (261)–(271) preambulumbekezdés kifejtette, számos bírósági jogorvoslati út nyújt lehetőséget nyújt az érintetteknek az ilyen jogorvoslatok kérésére és elnyerésére.

(261)

A 2018. évi adatvédelmi törvény 165. szakasza értelmében az érintettnek joga van panaszt benyújtani az információügyi biztoshoz, ha az érintett úgy ítéli meg, hogy a rá vonatkozó személyes adatokkal kapcsolatban megsértették az adatvédelmi törvény 4. részét. 2018. Az információügyi biztos hatáskörébe tartozik annak értékelése, hogy az adatkezelő és az adatfeldolgozó megfelel-e a 2018. évi adatvédelmi törvénynek, és tőlük a szükséges lépések megtételének megkövetelése. Ezenkívül a 2018. évi adatvédelmi törvény 4. része értelmében az egyének jogosultak a High Courttól (vagy Skóciában a Court of Sessiontól) kérni az adatkezelő kötelezését az adatokhoz való hozzáféréshez (482), az adatkezelés elleni tiltakozáshoz (483), a helyesbítéshez vagy a törléshez (484) való jog tiszteletben tartására.

(262)

A magánszemélyek jogosultak az adatkezelőtől vagy az adatfeldolgozótól kérni a 2018. évi adatvédelmi törvény 4. részében foglalt követelmények megsértése miatt elszenvedett károk megtérítését is (485). A kártérítés kiterjed mind az anyagi veszteségre, mind a nem vagyoni kárra, például a sérelemre (486).

(263)

Az egyének az Investigatory Powers Tribunal előtt nyerhetnek jogorvoslatot a nyomozati hatáskörökről szóló 2016. évi törvény megsértése miatt.

(264)

Az Investigatory Powers Tribunalt a nyomozati hatáskörök szabályozásáról szóló 2000. évi törvény hozta létre, és független a végrehajtó hatalomtól (487). A nyomozati hatáskörök szabályozásáról szóló 2000. évi törvény 65. szakaszának megfelelően a Törvényszék tagjait a királynő nevezi ki ötéves időtartamra. A Törvényszék tagját a királynő mentheti fel a Parlament mindkét házához (488) intézett indítvánnyal (489).

(265)

A nyomozati hatáskörök szabályozásáról szóló 2000. évi törvény 65. szakasza szerint a Törvényszék a megfelelő bírósági testület a nyomozati hatáskörökről szóló 2016. évi törvény, a nyomozati hatáskörök szabályozásáról szóló 2000. évi törvény szerinti vagy a hírszerző ügynökség által elkövetett bármely magatartás miatt sérelmet szenvedett személy panaszának benyújtására (490).

(266)

Az Investigatory Powers Tribunalhoz kereset benyújtása előtt („perelhetőségi követelmény”) a nyomozati hatáskörök szabályozásáról szóló 2000. évi törvény 65. szakasza szerint az egyénnek meg kell győződnie arról (491), hogy i. a hírszerző ügynökség eljárása vele, vagyonával, bármely általa küldött vagy neki szánt kommunikációval, vagy bármilyen postai szolgáltatás, telekommunikációs szolgáltatás vagy távközlési rendszer igénybevételével kapcsolatos (492). Ezenkívül a panaszos meggyőződése szerint a magatartásnak „vitatható körülmények között” kellett történnie (493) vagy „azt a hírszerző ügynökség vagy annak képviseletében másnak kell végrehajtania (494). Mivel ezt a „meggyőződés” mércét elég tágan értelmezték (495), az ügynek a Törvényszék elé terjeszthetőségére alacsony követelmények vonatkoznak.

(267)

Amennyiben az Investigatory Powers Tribunal mérlegeli a hozzá benyújtott panaszt, a Törvényszék feladata annak vizsgálata, hogy a panaszban vádolt személyek részt vettek-e a panaszossal kapcsolatos tevékenységben, valamint vizsgálni kell azt a hatóságot, amely állítólag részt vett a jogsértésekben, és hogy az állítólagos magatartás megtörtént-e (496). Ha a Törvényszék tárgyal egy ügyet, az eljárásban ugyanazon elveket kell alkalmaznia a határozat hozatalához, amelyeket a bíróság a bírósági felülvizsgálat iránti kérelemre alkalmazna (497). Ezenkívül a nyomozati hatáskörökről szóló 2016. évi törvény alapján a parancsok vagy felhívások címzettjei, valamint minden más, állami hivatalban lévő, a rendőrség vagy a rendőrségi nyomozati és felülvizsgálati biztos alkalmazásában álló személy köteles minden olyan dokumentumot és információt feltárni vagy átadni a Törvényszéknek, amelyet a Törvényszék a hatásköre gyakorlásának lehetővé tétele érdekében bekérhet (498).

(268)

A Törvényszéknek értesítenie kell a panaszost arról, hogy a javára döntött-e vagy sem (499). A nyomozati hatáskörök szabályozásáról szóló 2000. évi törvény 67. szakaszának (6) és (7) bekezdése szerint a Törvényszéknek jogában áll ideiglenes intézkedést hozni, és az általa megfelelőnek tartott kártérítést megítélni vagy egyéb végzést meghozni. Ez lehet a parancs vagy felhatalmazás hatályon kívül helyezését vagy visszavonását elrendelő végzés, valamint a parancs, felhatalmazás vagy felhívás által átruházott bármely hatáskör gyakorlásával megszerzett vagy a hatóságok által bármely más módon birtokolt, bármely személlyel kapcsolatos információk nyilvántartásának megsemmisítésére kötelező végzést (500). A nyomozati hatáskörök szabályozásáról szóló 2000. évi törvény 67A. szakasza szerint a Törvényszék határozata ellen fellebbezni lehet, a Törvényszék vagy az illetékes fellebbviteli bíróság engedélyével.

(269)

Végül érdemes megjegyezni, hogy az Investigatory Powers Tribunal szerepét az Emberi Jogok Európai Bírósága előtti jogi eljárások során több alkalommal megvitatták, nevezetesen a Kennedy kontra Egyesült Királyság ügyben (501) és újabban a Big Brother Watch és társai kontra Egyesült Királyság ügyben (502), amelyben a Bíróság kimondta, hogy „a nyomozati hatáskörrel foglalkozó bíróság erőteljes jogorvoslatot kínált mindenkinek, aki arra gyanakszik, hogy kommunikációját a hírszerző ügynökségek lehallgatták” (503).

(270)

Amint az a (109)–(111) preambulumbekezdésben kifejtésre került, az 1998. évi emberi jogi törvény szerinti és az Emberi Jogok Európai Bírósága előtti jogorvoslati lehetőségek (504) a nemzetbiztonság területén is elérhetők. A nyomozati hatáskörök szabályozásáról szóló 2000. évi törvény 65. szakaszának (2) bekezdése kizárólagos illetékességet biztosít az Investigatory Powers Tribunal számára az Emberi Jogi Törvény alapján minden, a hírszerző ügynökségekkel szemben támasztott igény tekintetében (505). Ez azt jelenti, ahogyan azt a Legfelsőbb Bíróság megjegyezte: „az, hogy egy adott ügy tényállása az emberi jogi törvénybe ütközik-e, azt elvileg egy olyan független bíróság vetheti fel és döntheti el, amely hozzáférhet az összes vonatkozó anyaghoz, a titkos anyagokat is beleértve. […] Ebben az összefüggésben azt is szem előtt tartjuk, hogy a Törvényszék döntései ellen ma már lehetőség van fellebbezni a megfelelő fellebbviteli bíróságnál (Angliában és Walesben ez a Court of Appeal); és hogy a Legfelsőbb Bíróság nemrégiben úgy döntött, hogy a Törvényszék döntései ellen elvileg bírósági felülvizsgálatnak van helye: lásd: az R (Privacy International) kontra Investigatory Powers Tribunal ügyet (2019, UKSC 22; 2019, 2 WLR 1219)” (506).

(271)

A fentiekből következik, hogy amikor az Egyesült Királyság bűnüldözési vagy nemzetbiztonsági hatóságai hozzáférnek az e határozat hatálya alá tartozó személyes adatokhoz, az említett hozzáférést olyan törvények szabályozzák, amelyek meghatározzák a hozzáférés feltételeit, és biztosítják, hogy az adatokhoz való hozzáférés és a további felhasználás csak az elérni kívánt bűnüldözési vagy nemzetbiztonsági célkitűzésekhez szükséges és azokkal arányos adatokra korlátozódnak. Ezenkívül az említett hozzáféréshez a legtöbb esetben bírósági szerv előzetes engedélye szükséges, a parancs vagy a közlésre kötelezés jóváhagyása révén, és minden esetben független felügyelet alatt áll. Amint a hatóságok hozzáférnek az adatokhoz, azok feldolgozására – beleértve a további megosztást és a továbbítást is – a 2018. évi adatvédelmi törvény 3. része alapján külön adatvédelmi biztosítékok vonatkoznak, amelyek a bűnüldöző hatóságok általi adatkezelés tekintetében tükrözik az (EU) 2016/680 irányelv, és a hírszerző ügynökségek általi adatkezelés tekintetében a 2018. évi adatvédelmi törvény 4. része szerinti biztosítékokat. Végül az érintettek ezen a területen hatékony közigazgatási és bírósági jogorvoslati jogokkal rendelkeznek, ideértve az adatokhoz való hozzáférést, illetve az említett adatok helyesbítését vagy törlését.

(272)

Tekintettel az említett feltételek, korlátozások és biztosítékok e határozat alkalmazásában fennálló jelentőségére, a Bizottság szorosan figyelemmel fogja kísérni az adatokhoz való kormányzati hozzáférést meghatározó, egyesült királyságbeli szabályok alkalmazását és értelmezését. Ez ki fog terjedni a vonatkozó jogalkotási, szabályozási és ítélkezési gyakorlat fejleményeire, valamint az információügyi biztos és más felügyeleti hatóságokezen a területen végzett tevékenységére. Kiemelt figyelmet fog fordítani az Emberi Jogok Európai Bírósága vonatkozó ítéleteinek az Egyesült Királyság általi végrehajtására is, ideértve a Miniszteri Bizottsághoz benyújtott „cselekvési tervekben” és „cselekvési jelentésekben” a Bíróság ítéleteinek betartásával összefüggésben meghatározott intézkedéseket.

(273)

A Bizottság úgy véli, hogy az Egyesült Királyság általános adatvédelmi rendelete és a 2018. évi adatvédelmi törvény biztosítja az Európai Unióból továbbított személyes adatok olyan szintű védelmét, amely lényegében megegyezik az (EU) 2016/679 rendelet által garantált védelem szintjével.

(274)

A Bizottság ezenfelül úgy ítéli meg, hogy az Egyesült Királyság jogában létező felügyeleti mechanizmusok és jogorvoslati megoldások összességében véve lehetővé teszik, hogy a gyakorlatban azonosítsák és szankcionálják, ha a személyes adatokat kezelő bűnüldözési hatóságok jogsértést követnek el, továbbá jogorvoslatot biztosítanak az érintetteknek, hogy betekinthessenek a rájuk vonatkozó személyes adatokba, és adott esetben helyesbíttethessék vagy töröltethessék ezeket az adatokat.

(275)

Végül az Egyesült Királyság jogrendjéről rendelkezésre álló információk alapján a Bizottság úgy véli, hogy azon személyek alapvető jogaiba való beavatkozás, akiknek személyes adatait az Egyesült Királyság hatóságai közérdekből továbbítják az Európai Unióból az Egyesült Királyságba, például bűnüldözési és nemzetbiztonsági célokra, arra korlátozódik, ami a szóban forgó jogszerű cél eléréséhez feltétlenül szükséges, és hogy hatékony jogvédelem áll rendelkezésre ilyen beavatkozás esetén.

(276)

Ezért e határozat megállapításaira figyelemmel olyan határozatot kell hozni, hogy az Egyesült Királyság megfelelő szintű védelmet biztosít az (EU) 2016/679 rendelet az Európai Unió Alapjogi Chartájára figyelemmel értelmezett 45. cikkének értelmében.

(277)

Ez a következtetés az Egyesült Királyság vonatkozó belföldi rendszerén és nemzetközi kötelezettségvállalásain alapul, különös tekintettel az Emberi Jogok Európai Egyezményének betartására és az Emberi Jogok Európai Bírósága joghatóságának való alávetésre. Az említett nemzetközi kötelezettségek folyamatos betartása ezért különösen fontos eleme az e határozat alapját képező értékelésnek.

(278)

A tagállamok és szerveik kötelesek megtenni az ahhoz szükséges intézkedéseket, hogy betartsák az uniós intézmények jogi aktusait, mivel az utóbbiak vélelmezhetően jogszerűek, és ennélfogva mindaddig joghatásokat váltanak ki, amíg azokat vissza nem vonják, megsemmisítés iránti kereset alapján meg nem semmisítik, illetve előzetes döntéshozatal iránti kérelem vagy jogellenességi kifogás következtében nem nyilvánítják érvénytelennek.

(279)

Következésképpen a Bizottságnak az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése alapján elfogadott megfelelőségi határozata kötelező a címzett tagállamok valamennyi szervére, így a független felügyeleti hatóságokra nézve is. E határozat alkalmazásának időtartama alatt különösen az európai uniós adatkezelőtől vagy adatfeldolgozótól az egyesült királyságbeli adatkezelőkhöz vagy adatfeldolgozókhoz történő továbbításra további engedély megszerzése nélkül kerülhet sor.

(280)

Ugyanakkor emlékeztetni kell arra, hogy az (EU) 2016/679 irányelv 58. cikkének (5) bekezdése alapján, és amint azt a Bíróság a Schrems-ítéletben (507) kifejtette, amennyiben egy nemzeti adatvédelmi hatóság megkérdőjelezi – ideértve a panaszra történő eljárást is – a Bizottság megfelelőségi határozatának az egyén magánélethez és adatvédelemhez fűződő alapvető jogaival való összeegyeztethetőségét, a nemzeti jognak biztosítania kell a jogorvoslati lehetőségeket, amelyek lehetővé teszik számára, hogy a nemzeti bíróságok előtt a kifogásokra hivatkozzon annak érdekében, hogy azok esetlegesen előzetes döntéshozatali eljárást kezdeményezhessenek e határozat érvényességének vizsgálata céljából (508).

(281)

Az (EU) 2016/679 rendelet 45. cikkének (4) bekezdése értelmében a Bizottságnak folyamatosan figyelemmel kell kísérnie az Egyesült Királyságban az e határozat elfogadását követő fejleményeket annak értékelése érdekében, hogy az továbbra is biztosítja-e a lényegében azonos szintű védelmet. Az említett nyomon követés ebben az esetben különösen fontos, mivel az Egyesült Királyság egy olyan új adatvédelmi rendszert fog igazgatni, alkalmazni és végrehajtani, amelyre már nem vonatkozik az európai uniós jog, és amely változhat. Ebben a tekintetben különös figyelmet fognak fordítani a személyes adatok harmadik országokba történő továbbítására vonatkozó egyesült királyságbeli szabályok gyakorlati alkalmazására, valamint annak az e határozat alapján továbbított adatok esetében nyújtott védelem szintjére gyakorolt hatására; az egyéni jogok gyakorlásának hatékonyságára, ideértve az ilyen jogok alóli kivételeket vagy korlátozásokat érintő törvényi és gyakorlati fejleményeket (nevezetesen a határt átlépő személyforgalom hatékony ellenőrzésének fenntartásával kapcsolatosakat); valamint a kormányzati hozzáféréssel kapcsolatos korlátozások és biztosítékok betartására. Többek között az ítélkezési gyakorlat alakulása és az információügyi biztos és más független testületek általi felügyelet fog adatokat szolgáltatni a Bizottság általi nyomon követéshez.

(282)

Az Egyesült Királyság hatóságainak haladéktalanul tájékoztatniuk kell a Bizottságot az Egyesült Királyság jogrendjének minden olyan lényeges változásáról, amely hatást gyakorol az e határozat tárgyát képező jogi keretre, valamint személyes adatok az e határozatban értékelt kezelésével kapcsolatos gyakorlatok minden változásáról, mind a személyes adatok adatkezelők és adatfeldolgozók általi, az Egyesült Királyság általános adatvédelmi rendelete szerinti kezelését, mind a személyes adatokhoz a közigazgatási szervek általi hozzáférést illető korlátozásokat és biztosítékokat illetően. Ennek ki kell terjednie a (281) preambulumbekezdésben említett elemekkel kapcsolatos fejleményekre.

(283)

Továbbá annak lehetővé tétele érdekében, hogy a Bizottság hatékonyan lássa el nyomonkövetési feladatát, a tagállamoknak tájékoztatniuk kell a Bizottságot a nemzeti adatvédelmi hatóságok minden vonatkozó lépéséről, különösen az uniós érintetteknek a személyes adatok Európai Unióból az egyesült királyságbeli adatkezelők vagy adatfeldolgozók felé történő továbbításával kapcsolatos kérései vagy panaszai tekintetében. A Bizottságot továbbá tájékoztatni kell minden arra utaló információról, hogy a bűnügyek megelőzéséért, nyomozásáért, felderítéséért vagy a vádemelésért, illetve a nemzetbiztonságért felelős egyesült királyságbeli közigazgatási szervek intézkedései nem biztosítják a megfelelő szintű védelmet.

(284)

Amennyiben a rendelkezésre álló információk, különösen az e határozat nyomon követéséből származó, vagy az Egyesült Királyság vagy a tagállamok hatóságai által szolgáltatott információk arra utalnak, hogy az Egyesült Királyság által biztosított védelem szintje már nem feltétlenül megfelelő, a Bizottságnak erről haladéktalanul tájékoztatnia kell az Egyesült Királyság illetékes hatóságait, és kérheti a megfelelő intézkedések meghatározott, három hónapot meg nem haladó határidőn belüli meghozatalát. Szükség esetén ez a határidő egy meghatározott időtartammal meghosszabbítható, figyelembe véve a szóban forgó kérdés jellegét és/vagy a meghozandó intézkedéseket. Például egy ilyen eljárás azokban az esetekben indul, amennyiben az újbóli adattovábbítás – ideértve a miniszter által elfogadott új megfelelőségi rendeleteket vagy az Egyesült Királyság által kötött nemzetközi megállapodásokat – már nem a védelem az (EU) 2016/679 rendelet 44. cikke értelmében vett folytonosságát biztosító biztosítékok mellett történik.

(285)

Ha az említett határidő lejártakor az Egyesült Királyság illetékes hatóságai nem hozzák meg ezeket az intézkedéseket, vagy más módon nem bizonyítják kielégítően, hogy e határozat továbbra is a megfelelő szintű védelmen alapul, a Bizottság megindítja az (EU) 2016/679 rendelet 93. cikkének (2) bekezdésében említett eljárást e határozat részleges vagy teljes felfüggesztése vagy hatályon kívül helyezése céljából.

(286)

Ennek alternatívájaként a Bizottságnak ezt az eljárást e határozat módosítása céljából indítja meg, különösen az adattovábbításra további feltételek előírásával vagy a megfelelőség megállapítása hatályának azokra az adattovábbításokra korlátozásával, amelyek esetében biztosított a megfelelő szintű védelem folyamatossága.

(287)

Megfelelően indokolt, rendkívül sürgős esetben a Bizottság élni fog azzal a lehetőséggel, hogy az (EU) 2016/679 rendelet 93. cikkének (3) bekezdésében említett eljárásnak megfelelően azonnal alkalmazandó, a határozatot felfüggesztő, hatályon kívül helyező vagy módosító végrehajtási jogi aktusokat fogadjon el.

(288)

A Bizottságnak figyelembe kell vennie, hogy a kilépési megállapodásban előírt átmeneti időszak lejártával és amint az EU – Egyesült Királyság kereskedelmi és együttműködési megállapodás 782. cikke szerinti ideiglenes rendelkezés hatályát veszti, egy új adatvédelmi rendszert fog igazgatni, alkalmazni és végrehajtani azzal összehasonlítva, amely akkor volt érvényben, amikor az Európai Unió joga kötötte. Ez nevezetesen az e határozatban értékelt adatvédelmi keret módosításával vagy változásával, valamint egyéb releváns fejleményekkel járhat.

(289)

Ezért helyénvaló előírni, hogy ezt a határozatot a hatálybalépésétől számított négy évig kell alkalmazni.

(290)

Amennyiben különösen az e határozat nyomon követéséből származó információk azt jelzik, hogy az Egyesült Királyságban biztosított védelmi szint megfelelőségére vonatkozó megállapítások még mindig ténybelileg és jogilag indokoltak, a Bizottság e határozat alkalmazásának megszűnése előtt legkésőbb hat hónappal megindítja az e határozat annak időbeli hatálya elvileg további négy évvel történő meghosszabbításával történő módosítására irányuló eljárást. Az e határozatot módosító, említett végrehajtási jogi aktusokat az (EU) 2016/679 rendelet 93. cikkének (2) bekezdésében említett eljárással összhangban kell elfogadni.

(291)

Az Európai Adatvédelmi Testület közzétette véleményét (509), amely e határozat kidolgozásakor figyelembevételre került.

(292)

Az e határozatban előírt intézkedések összhangban vannak a 2016/679/EU rendelet 93. cikkével létrehozott bizottság véleményével,

(1)

Az (EU) 2016/680 európai parlamenti és tanácsi rányelv meghatározza a személyes adatoknak az Unió illetékes hatóságaitól harmadik országokba és nemzetközi szervezeteknek történő átadására vonatkozó szabályokat, amennyiben az említett adattovábbítások az irányelv alkalmazási körébe tartoznak. Az illetékes hatóságok által végzett nemzetközi adattovábbítás szabályait az (EU) 2016/680 irányelv V. fejezete, pontosabban a 35–40. cikk tartalmazza. Noha a személyes adatok Európai Unión kívüli országokba és az onnan az Unióba történő áramlása elengedhetetlen a hatékony bűnüldözési együttműködéshez, garantálni kell, hogy az említett adattovábbítás ne veszélyeztesse az Európai Unióban a személyes adatok védelmi szintjét (2).

(2)

Az (EU) 2016/680 irányelv 36. cikkének (3) bekezdése értelmében a Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a harmadik ország, a harmadik ország valamely területe, illetve egy vagy több meghatározott ágazata, illetve valamely nemzetközi szervezet biztosítja a megfelelő védelmi szintet. E feltétel szerint a személyes adatok harmadik országba történő továbbítására további engedély megszerzésének szükségessége nélkül kerülhet sor (kivéve, ha annak a másik tagállamnak, ahonnan az adatokat nyerték, engedélyt kell adnia az adattovábbításra), az (EU) 2016/680 irányelv 35. cikkének (1) bekezdésében és (66) preambulumbekezdésében előírtak szerint.

(3)

Az (EU) 2016/680 irányelv 36. cikkének (2) bekezdésében meghatározottak szerint a megfelelőségi határozat elfogadásának a harmadik ország jogrendjére vonatkozó átfogó elemzésen kell alapulnia. Az értékelés során meg kell határozni, hogy az érintett harmadik ország olyan szintű védelmet biztosít-e, amely „lényegében egyenértékű” az Európai Unión belül biztosított védelem szintjével (az (EU) 2016/680 irányelv (67) preambulumbekezdése). A „lényegi egyenértékűség” értékelése az uniós jogszabályok, nevezetesen az (EU) 2016/680 irányelv, valamint az Európai Unió Bíróságának ítélkezési gyakorlata által meghatározott mércéhez képest történik (3). Az Európai Adatvédelmi Testület megfelelőségi referenciája ebben a tekintetben is jelentős (4).

(4)

Az Európai Unió Bíróságának pontosítása szerint ez nem feltétlenül jelent azonos szintű védelmet (5). Különösen a harmadik ország által igénybe vett eszközök különbözhetnek az Európai Unióban alkalmazott eszközöktől, amennyiben – a gyakorlatban – ténylegesen megfelelő szintű védelmet biztosítanak (6). A megfelelőségre vonatkozó előírás ezért nem követeli meg az uniós szabályok pontról pontra történő leképezését. A vizsgálat ehelyett arra irányul, hogy a magánélet tiszteletben tartásához való jog tartalmát, hatékony végrehajtását, felügyeletét és érvényesítését tekintve az érintett harmadik ország rendszere összességében véve biztosítja-e az elvárt fokú védelmet (7).

(5)

A Bizottság gondosan elemezte az Egyesült Királyság vonatkozó jogszabályait és gyakorlatát. Az alábbiakban kifejtett megállapításai alapján a Bizottság arra a következtetésre jut, hogy az Egyesült Királyság megfelelő szintű védelmet biztosít az (EU) 2016/680 irányelv hatálya alá tartozó, az uniós illetékes hatóságoktól az Egyesült Királyság Data Protection Act 2018 elnevezésű törvény (a 2018. évi adatvédelmi törvény) (8) 3. részének hatálya alá tartozó hatóságainak továbbított személyes adatok vonatkozásában.

(6)

Ez a határozat azzal a következménnyel jár, hogy az említett adattovábbítások négyéves időtartamon át további engedély megszerzése nélkül történhetnek, esetleges megújítás mellett, és az (EU) 2016/680 irányelv 35. cikkében megállapított feltételek sérelme nélkül.

(7)

Az Egyesült Királyság parlamentáris demokrácia. Minden más kormányzati intézmény felett álló szuverén parlamenttel, a parlamentből választott és a parlament által elszámoltatható végrehajtó hatalommal, valamint független igazságszolgáltatással rendelkezik. A végrehajtó hatalom felhatalmazását abból a képességéből nyeri, hogy képes elnyerni a megválasztott alsóház bizalmát, és elszámoltatható a parlament mindkét háza (az alsóház és a felsőház) felé, amelyek feladata a kormány ellenőrzése, valamint a törvények megvitatása és elfogadása. Az Egyesült Királyság parlamentje átruházta az egyes skóciai, walesi és észak-írországi belső ügyekben történő törvényhozás terén a felelősséget rendre a skót parlamentre, a walesi parlamentre (Senedd Cymru) és az észak-írországi parlamentre. Míg az adatvédelem az Egyesült Királyság parlamentje számára fenntartott tárgykör, azaz ugyanazon jogszabályok érvényesek az ország egész területén, az e határozat szempontjából releváns egyéb szakpolitikai területek átruházott tárgykörök. Például Skócia és Észak-Írország büntető igazságszolgáltatási rendszereit – beleértve a rendészetet (a rendőrség által végzett tevékenységeket) – a skót parlamentre és az észak-írországi parlamentre (9) ruházták át.

(8)

Míg az Egyesült Királyságnak nincs egy rögzített konstitutív dokumentumként értelmezhető kodifikált alkotmánya, az idők során kialakultak alkotmányos elvei az ítélkezési gyakorlatból és különösen a konvenciókból eredően. Elismerik bizonyos törvények, például a Magna Carta, az 1689-es Bill of Rights és az 1998-as Human Rights Act (emberi jogi törvény) alkotmányos értékét. Az egyének alapvető jogait az alkotmány részeként, a „common law”, a törvények és a nemzetközi szerződések, különösen az Egyesült Királyság részéről 1951-ben ratifikált Emberi Jogok Európai Egyezménye (EJEE) révén fejlesztették ki. Az Egyesült Királyság 1987-ben ratifikálta az Európa Tanács az egyéneknek a személyes adatok gépi feldolgozása során való védelméről szóló egyezményét (108. egyezmény) (10).

(9)

Az 1998. évi emberi jogi törvény beépíti az EJEE-ben foglalt jogokat az Egyesült Királyság jogába. A törvény minden egyén számára biztosítja az EJEE 2–12. és 14. cikkében, valamint az első jegyzőkönyv 1–3. cikkében és a tizenharmadik jegyzőkönyv 1. cikkében – az EJEE 16–18. cikkével együttesen – biztosított alapvető jogokat és szabadságokat. Ez magában foglalja a magán- és a családi élet tiszteletben tartásához való jogot, amelynek viszont része az adatvédelemhez való jog, valamint a tisztességes eljáráshoz való jog (11). Különösen az EJEE 8. cikkével összhangban e jogot hatóság csak a törvényben meghatározott esetekben korlátozhatja, amikor az egy demokratikus társadalomban a nemzetbiztonság, a közbiztonság vagy az ország gazdasági jóléte érdekében, zavargás vagy bűncselekmény megelőzése, a közegészség vagy az erkölcsök védelme, avagy mások jogainak és szabadságainak védelme érdekében szükséges.

(10)

Az 1998. évi emberi jogi törvénynek megfelelően a hatóságok minden fellépésének összeegyeztethetőnek kell lennie az EJEE által garantált jogokkal (12). Ezenkívül az elsődleges és az alárendelt jogszabályokat olyan módon kell értelmezni és érvényre juttatni, amely e jogokkal összeegyeztethető (13). Amennyiben az egyén úgy ítéli meg, hogy jogait – ideértve a magánélethez és az adatvédelemhez fűződő jogokat – a hatóságok megsértették, az 1998. évi emberi jogi törvény alapján jogorvoslattal élhet az Egyesült Királyság bíróságai előtt, és végül a nemzeti jogorvoslati lehetőségek kimerítését követően az EJEE által garantált jogok megsértése esetén jogorvoslatot nyerhet az Emberi Jogok Európai Bírósága előtt.

(11)

Az Egyesült Királyság 2020. január 31-én kilépett az Unióból. A Nagy-Britannia és Észak-Írország Egyesült Királyságának az Európai Unióból és az Európai Atomenergia-közösségből történő kilépéséről szóló megállapodás (14) alapján az uniós jogszabályok a 2020. december 31-ig tartó átmeneti időszakban alkalmazandók voltak az Egyesült Királyságban. A kilépés előtt és az átmeneti időszak alatt az Egyesült Királyságban a személyes adatok védelméről szóló jogszabályi keretet – amely szabályozza a személyes adatok illetékes hatóságok által bűncselekmények megelőzése, kivizsgálása, felderítése vagy büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő kezelését, a közbiztonságot fenyegető veszélyek elleni védelemre és azok megelőzésére kiterjedően – az (EU) 2016/680 irányelvet átültető 2018. évi adatvédelmi törvény releváns részei alkották.

(12)

Az EU-ból való kilépés előkészítése érdekében az Egyesült Királyság kormánya elfogadta az European Union (Withdrawal) Act 2018 elnevezésű (kilépési) törvényt (kilépési törvény) (15), amely beépítette a közvetlenül alkalmazandó uniós jogszabályokat az Egyesült Királyság jogába, és előírta, hogy az úgynevezett „uniós jogból eredő nemzeti jogszabályok” az átmeneti időszak végét követően is érvényesek. A kilépési törvény értelmében a 2018. évi adatvédelmi törvény (EU) 2016/680 irányelvet átültető 3. része (16) az „uniós jogból eredő nemzeti jogszabály”. A kilépési törvénnyel összhangban a módosítatlan „uniós jogból eredő nemzeti jogszabályokat” az Egyesült Királyság bíróságainak az Európai Unió Bírósága (Bíróság) vonatkozó ítélkezési gyakorlatának és az uniós jog általános elveinek megfelelően kell értelmezniük, mivel azok közvetlenül az átmeneti időszak vége előtt hatályban voltak (a továbbiakban: „megtartott uniós ítélkezési gyakorlat”, illetve „az uniós jog megtartott általános elvei”) (17).

(13)

A kilépési törvény értelmében az Egyesült Királyság miniszterei hatáskörrel rendelkeznek arra, hogy jogszabályi eszközökön keresztül másodlagos jogszabályokat vezessenek be, hogy beiktassák a megtartott uniós jogszabályokba az Egyesült Királyság Unióból való kilépéséből következő módosításokat. A Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 elnevezésű jogszabály (a kilépéssel kapcsolatos adatvédelmi szabályozás) (18) jelentette e hatáskör gyakorlását. Módosítja az Egyesült Királyság adatvédelmi jogszabályait, beleértve a 2018. évi adatvédelmi törvényt is, a hazai környezetnek megfeleltetés céljából (19).

(14)

Következésképpen a személyes adatok illetékes hatóságok által bűncselekmények megelőzése, kivizsgálása, felderítése vagy büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő kezelésére vonatkozó jogi előírásokat – az Egyesült Királyságban a közbiztonságot fenyegető veszélyek elleni védelemre és azok megelőzésére kiterjedően – a kilépési megállapodás szerinti átmeneti időszak után továbbra is a 2018. évi adatvédelmi törvény vonatkozó részei fogják meghatározni, de a kilépéssel kapcsolatos adatvédelmi szabályozás, különösen az említett törvény 3. része által módosított formában. Az Egyesült Királyság általános adatvédelmi rendelete nem vonatkozik az említett típusú adatkezelésre.

(15)

A 2018. évi adatvédelmi törvény 3. része a személyes adatok bűnüldözési célú kezelésének szabályait tartalmazza, ideértve az adatvédelem elveit, az adatkezelés jogalapjait (jogszerűség), az érintettek jogait, az illetékes hatóságokat adatkezelőként terhelő kötelezettségeket és az adattovábbításra vonatkozó korlátozásokat. Ugyanakkor a bűnüldözési ágazatra alkalmazandó felügyeletre, végrehajtásra és jogorvoslatra vonatkozó szabályokat a 2018. évi adatvédelmi törvény 5. és 6. része tartalmazza.

(16)

Ezen túlmenően, figyelemmel a rendőrségnek a bűnüldözési ágazatban betöltött szerepére, fontolóra kell venni a rendészeti tevékenységre vonatkozó szabályokat. Mivel a rendészet decentralizált ügy, arra eltérő, de tartalmuk szerint gyakran hasonló jogszabályok vonatkoznak a) Angliában és Walesben, b) Skóciában és c) Észak-Írországban (20). Ezenkívül a különféle útmutató dokumentumok további pontosítást nyújtanak a rendőrség hatáskörei felhasználási módjaira vonatkozóan. A rendőrségnek szóló útmutatóknak három fő formája létezik: 1) jogszabályok, például az Etikai Kódex alapján kiadott törvényi útmutatás (21) és az 1996-os rendőrségi törvény (22) alapján kiadott, rendőrségi információkezelés gyakorlati kódexe (23) vagy a rendőrségről és büntetőügyekben történő bizonyításfelvételről szóló törvény (24) alapján kiadott, a rendőrségi törvényhez készült kódexek (25), 2) a rendőrségi információk kezelésének a Rendészeti Főiskola által kiadott, engedélyezett szakmai gyakorlata (APP-útmutató a rendőrségi információk kezeléséhez) (26), és 3) működési útmutatók (maga a rendőrség adja ki). A Rendőrfőkapitányok Országos Tanácsa (az összes brit rendőri erő koordináló testülete) operatív útmutatókat tesz közzé, amelyeket a teljes rendőrség elfogad, és ezért országosan érvényesülnek (27). Ennek az útmutatónak az a célja, hogy biztosítsa az információkezelés terén a rendőri egységek következetes gyakorlatát (28).

(17)

A rendőrségi információkezelés gyakorlati kódexét a miniszter 2005-ben adta ki, az 1996. évi rendőrségi törvény 39A. szakaszában előírt hatáskörök felhasználásával (29). A rendőrségi törvény alapján kiadott bármely gyakorlati kódexhez a miniszter jóváhagyása szükséges, és a Parlament elé terjesztése előtt konzultálni kell a Nemzeti Bűnügyi Ügynökséggel. A rendőrségi törvény 39A. szakaszának (7) bekezdése előírja, hogy a rendőrség vegye kellően figyelembe a törvény alapján kiadott kódexeket, ezért a rendőrség várhatóan betartja azokat (30). Sőt, a nem jogszabályi útmutatóknak (mint amilyen az APP-útmutató a rendőrségi információk kezeléséhez) mindig összhangban kell lenniük a rendőrségi információkezelés gyakorlati kódexével, amely azok felett áll (31). Mindenesetre, bár vannak olyan operatív helyzetek, amikor a rendőröknek el kell térniük ettől az útmutatótól, továbbra is meg kell felelniük a 2018. évi adatvédelmi törvény 3. része követelményeinek (32).

(18)

Az Egyesült Királyság adatvédelmi jogszabályairól a bűnüldözési ágazatban történő adatkezeléssel kapcsolatban további információkat az információügyi biztos (Information Commissioner – ICO, a továbbiakban: biztos) nyújt (33) (a biztossal kapcsolatos további részletekért lásd a (93)–(109) preambulumbekezdést). Noha jogilag nem kötelező érvényű, bírósági eljárásban a bíróságok kötelesek lesznek figyelembe venni az útmutató megsértését, mivel értelmezési súlya van, és bemutatja, hogy a biztos az adatvédelmi jogszabályokat a gyakorlatban miként értelmezi és hajtja végre (34).

(19)

Végül, amint az a (8)–(10) preambulumbekezdésben szerepel, az Egyesült Királyság bűnüldöző szerveinek biztosítaniuk kell az (EJEE) és a 108. egyezmény betartását.

(20)

Felépítésében és fő alkotóelemeiben az Egyesült Királyság bűnüldöző hatóságai által végzett adatkezelésre vonatkozó jogi keret tehát nagyon hasonló az EU-ban alkalmazotthoz. Ennek része az a tény, hogy az említett keretrendszer nem csak a nemzeti jogban meghatározott, az uniós jog által kialakított kötelezettségekre támaszkodik, hanem a nemzetközi jogban rögzített kötelezettségekre is, különösen az EJEE és a 108. egyezmény Egyesült Királyság általi betartása, valamint az Emberi Jogok Európai Bírósága joghatóságának való alávetése révén. Ezek a jogilag kötelező érvényű nemzetközi okmányokból eredő, nevezetesen a személyes adatok védelme tekintetében fennálló kötelezettségek ezért az e határozatban értékelt jogi keret kiemelt jelentőségű elemét képezik.

(21)

A 2018. évi adatvédelmi törvény 3. részének tárgyi hatálya egybeesik az (EU) 2016/680 irányelv 2. cikkének (2) bekezdésében meghatározott hatállyal. A 3. rész vonatkozik a személyes adatok illetékes hatóságok általi, részben vagy egészben automatizált módon történő kezelésére, valamint az illetékes hatóságok által a ténylegesen a nyilvántartási rendszer részét képező vagy abba szánt személyes adatok nem automatizált kezelésére.

(22)

Ezenkívül ahhoz, hogy az adatkezelő az említett 3. rész hatálya alá kerüljön, „illetékes hatóságnak” kell lennie, és az adatkezelést „bűnüldözési célból” kell végeznie. Ezért az e határozatban értékelt adatvédelmi rendszer ezen illetékes hatóságok valamennyi bűnüldözési tevékenységére irányadó.

(23)

„Illetékes hatóság” az adatvédelmi törvény 30. szakaszának fogalommeghatározása szerint a 2018. évi adatvédelmi törvény 7. mellékletében felsorolt személy, valamint bármely más személy, amennyiben bármely bűnüldözési célból jogszabályi feladatai vannak. A 7. mellékletben felsorolt illetékes hatóságok nemcsak a rendőrséget, hanem az egész Egyesült Királyság minisztériumi kormányzati szerveit, valamint egyéb nyomozati feladatokkal rendelkező hatóságokat (pl. Commissioner for Her Majesty’s Revenue and Customs – Őfelsége Adó- és Vámügyi Biztosa, a Welsh Revenue Authority – a walesi adóhatóság, a Competition and Markets Authority – Verseny- és Piacfelügyelet, Her Majesty’s Land Register – Őfelsége Ingatlannyilvántartása, vagy a Nemzeti Bűnügyi Ügynökség (National Crime Agency – NCA)), ügyészségi szerveket, más büntető igazságszolgáltatási szerveket és egyéb bűnüldözési tevékenységet folytató személyeket vagy szervezeteket is magukban foglalják (35). A 2018. évi adatvédelmi törvény 3. része a bíróságokra is vonatkozik, amikor bírói funkcióikat gyakorolják, kivéve az érintett jogaival és a biztos általi felügyelettel kapcsolatos részeket (36). A 7. mellékletben szereplő illetékes hatóságok listája nem tételes, és a miniszter rendeletekkel frissítheti azt, figyelembe véve a közhivatalok szervezetében bekövetkezett változásokat (37).

(24)

A szóban forgó adatkezelésnek „bűnüldözési célt” kell szolgálnia, amely meghatározása szerint a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését is (38). Az illetékes hatóság általi, nem bűnüldözési célból történő adatkezelésre a 2018. évi adatvédelmi törvény 3. része nem vonatkozik. Ez érvényesül például akkor, amikor a Verseny- és Piacfelügyelet kivizsgálja a bűncselekménynek nem minősülő ügyeket (pl. vállalatok egyesülése). Ebben az esetben az Egyesült Királyság általános adatvédelmi rendelete a 2018. évi adatvédelmi törvény 2. részével együtt alkalmazandó, mivel a személyes adatok illetékes hatóságok általi feldolgozása nem bűnüldözési célokból történik. Annak megállapításához, hogy melyik adatvédelmi rendszer irányadó (a 2018. évi adatvédelmi törvény 3. vagy 2. része) a szóban forgó személyes adatok kezelésére, az illetékes hatóságnak, azaz az adatkezelőnek mérlegelnie kell, hogy az említett adatkezelés „elsődleges célja” a 2018. évi adatvédelmi törvény szerinti bűnüldözési célok egyike-e.

(25)

Ami a 2018. évi adatvédelmi törvény 3. részének területi hatályát illeti, a 207. cikk (2) bekezdése előírja, hogy az adatvédelmi törvény a személyes adatok olyan személy tevékenységével összefüggésben történő kezelésére vonatkozik, akinek székhelye az Egyesült Királyság teljes területén belül van. Ide tartoznak Anglia, Wales, Skócia és Észak-Írország azon területeinek hatóságai, amelyek a 2018. évi adatvédelmi törvény 3. részének tárgyi hatálya alá tartoznak (39).

(26)

A személyes adat és az adatkezelés kulcsfogalmait a 2018. évi adatvédelmi törvény 3. szakasza határozza meg, és azok az adatvédelmi törvény egészére érvényesek. A meghatározások szorosan követik az (EU) 2016/680 irányelv 3. cikkében szereplő megfelelő meghatározásokat. A 2018. évi adatvédelmi törvény értelmében személyes adat az azonosított vagy azonosítható természetes személyre vonatkozó minden adat (40). A 2018. évi adatvédelmi törvény 3. szakaszának (3) bekezdése szerint az a személy azonosítható, aki közvetlenül vagy közvetve beazonosítható az információk alapján, többek között névre vagy azonosítóra, vagy a személyre jellemző egy vagy több fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy társadalmi identitási tényezőre hivatkozással. Az „adatkezelés” a fogalommeghatározás szerint olyan művelet vagy műveletsorozat, amelyet információkkal vagy információkészletekkel hajtanak végre, például a) gyűjtés, rögzítés, rendszerezés, strukturálás vagy tárolás; b) kiigazítás vagy átalakítás; c) visszakeresés, betekintés vagy felhasználás; d) továbbítással, terjesztéssel vagy más módon való hozzáférhetővé tétel; e) összehangolás vagy kombináció; vagy f) korlátozás, törlés vagy megsemmisítés. Ezenkívül a törvény meghatározása szerint „különleges adat kezelése”„a) a faji vagy etnikai származást, politikai véleményeket, vallási vagy filozófiai meggyőződéseket vagy szakszervezeti tagságot feltáró személyes adatok kezelése; b) genetikai adatok vagy biometrikus adatok az egyén egyedi azonosítása céljából történő kezelése; c) egészségügyi adatok kezelése; d) az egyén nemi életére vagy szexuális irányultságára vonatkozó adatok kezelése” (41). E tekintetben a 2018. évi adatvédelmi törvény 205. szakasza meghatározza a „biometrikus adatok” (42), az „egészségügyi adatok” (43) és „genetikai adatok” (44) fogalmát.

(27)

A 2018. évi adatvédelmi törvény 32. szakasza pontosítja az „adatkezelő” és az „adatfeldolgozó” fogalmát a személyes adatok bűnüldözési célú feldolgozása összefüggésében, szorosan követve a 2016/680 irányelvben szereplő megfelelő meghatározásokat. Adatkezelő az az illetékes hatóság, amely meghatározza a személyes adatok kezelésének céljait és eszközeit. Amennyiben az adatkezelést jogszabály írja elő, az adatkezelő az az illetékes hatóság, amelyre az említett jogszabály ilyen kötelezettséget ró. Adatfeldolgozónak minősül minden olyan személy, aki az adatkezelő nevében személyes adatokat dolgoz fel (az adatkezelő munkavállalója kivételével).

(28)

A 2018. évi adatvédelmi törvény 35. szakasza szerint a személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie, az (EU) 2016/680 irányelv 4. cikke (1) bekezdésének a) pontjához hasonló módon. A 2018. évi adatvédelmi törvény 35. szakaszának (2) bekezdése szerint a személyes adatok bármely bűnüldözési célból történő kezelése csak akkor jogszerű, ha az törvényen alapul, és vagy az érintett hozzájárult az e célból történő adatkezeléshez, vagy az adatkezelés az illetékes hatóság által e célból ellátott feladat ellátásához szükséges.

(29)

Az (EU) 2016/680 irányelv 8. cikkéhez hasonlóan, a 2018. évi adatvédelmi törvény 3. részének hatálya alá tartozó adatkezelés jogszerűségének biztosítása érdekében az említett adatkezelésnek „törvényen kell alapulnia”. A „jogszerű” adatkezelés a törvény, a „common law” vagy a királyi előjogok által engedélyezett (45) adatkezelés.

(30)

Az illetékes hatóságok hatásköreit általában törvények szabályozzák, vagyis feladataikat és hatásköreiket egyértelműen meghatározzák a Parlament által elfogadott jogszabályok (46). Bizonyos esetekben a rendőrség, valamint a 2018. évi adatvédelmi törvény 7. függelékében felsorolt egyéb illetékes hatóságok a „common law”-ra támaszkodhatnak az adatkezeléshez (47). A „common law” a bíróságok határozataival létrehozott precedensek révén épült fel. A „common law” a rendőrség rendelkezésére álló hatáskörök összefüggésében releváns, amelynek e jogforrásból fakad a bűncselekmények felderítésével és megelőzésével a lakosság védelmére vonatkozó alapvető kötelessége (48). A rendőrségnek mind „common law”, mind jogalkotói hatáskörei is vannak (49) az említett kötelezettség végrehajtására. Amennyiben a rendőrség törvényi hatáskörrel rendelkezik, ez minden „common law” hatáskört hatálytalanít (50).

(31)

A bíróság elismerte, hogy a rendőr „common law” hatáskörei és kötelezettségei kiterjednek „minden olyan lépésre, amely szükségesnek tűnik a béke fenntartásához, a bűncselekmények megelőzéséhez vagy a tulajdon bűncselekményektől való védelméhez” (51). A „common law” hatáskörök nem korlátlan hatáskörök. Számos korlátozás vonatkozik azokra, beleértve a bíróságok (52), valamint a jogszabályok – különösen a Human Rights Act 1998 elnevezésű (az emberi jogokról szóló 1998. évi) törvény és az Equality Act 2010 elnevezésű (egyenlőségről szóló 2010. évi) törvény (53) – által megállapított korlátozásokat is. Ezenkívül a 2018. évi adatvédelmi törvény 3. része alapján adatokat kezelő illetékes hatóságok esetében ez magában foglalja a „common law” hatáskörök 2018. évi adatvédelmi törvényben meghatározott követelményekkel összhangban történő gyakorlását (54). Ezenkívül a bármilyen típusú adatkezelés végrehajtása tekintetében hozott döntésnek figyelembe kell vennie az alkalmazandó útmutatók követelményeit, például a rendőrségi információkezelés gyakorlati kódexét, valamint az Egyesült Királyság valamely országára vonatkozó útmutatót (55). A kormány és az operatív rendőrség számos útmutatót ad ki annak biztosítására, hogy a rendőrök hatásköreiket a „common law” vagy a vonatkozó törvény által meghatározott keretek között gyakorolják (56).

(32)

A királyi előjogok a „jog” egy másik elemét képviselik, és a Koronának biztosított és a végrehajtó hatalmi ág által gyakorolható bizonyos olyan hatáskörökre vonatkoznak, amelyek nem törvényen alapulnak, hanem az uralkodó szuverenitásából fakadnak (57). Nagyon kevés példa van arra, hogy az előjogon alapuló hatáskörök relevánsak lennének a bűnüldözéssel összefüggésben. Idetartozik például a kölcsönös jogi segítségnyújtási keretrendszer, amely lehetővé teszi a miniszter számára az adatok bűnüldözési célú megosztását harmadik országokkal, és az adatok ilyen módon történő megosztásának hatásköre nem mindig törvényben rögzített (58). A királyi előjogokat a „common law” elvei kötik (59) és a törvényeknek vannak alárendelve, ezért az 1998. évi emberi jogi törvény és a 2018. évi adatvédelmi törvény által előírt korlátok vonatkoznak azokra (60).

(33)

Az (EU) 2016/680 irányelv 8. cikkéhez hasonlóan az Egyesült Királyság rendszere előírja, hogy a jogszerűség elvének való megfelelés érdekében az illetékes hatóságoknak biztosítaniuk kell, hogy amikor az adatkezelés törvényen alapul, annak akkor is „szükségesnek” kell lennie a rendvédelmi célból elvégzett feladat ellátásához. A biztos útmutatót ad e tekintetben, pontosítva, hogy „célzottan és arányosan kell megvalósítani a cél elérését. A jogszerű alap nem érvényes, ha a cél más, kevésbé beavatkozó jellegű eszközzel észszerűen megvalósítható. Nem elég azt állítani, hogy az adatkezelésre azért van szükség, mert valaki úgy döntött, hogy üzleti vállalkozását egy adott módon működteti. A kérdés az, hogy az adatkezelés szükséges-e a megjelölt cél érdekében” (61).

(34)

Amint a (28) preambulumbekezdés említi, a 2018. évi adatvédelmi törvény 35. szakaszának (2) bekezdése lehetőséget biztosít a személyes adatok egyén „hozzájárulása” alapján történő kezelésére.

(35)

A hozzájárulás azonban nem tűnik releváns jogalapnak az e határozat hatálya alá tartozó adatkezelési műveletek szempontjából. Valójában az e határozat hatálya alá tartozó adatkezelési műveletek mindig azokra az adatokra vonatkoznak, amelyeket az (EU) 2016/680 irányelv alapján egy tagállam illetékes hatósága az Egyesült Királyság illetékes hatóságának továbbított. Ezért jellemzően nem fogják magukban foglalni a hatóság és az érintettek közötti közvetlen interakción (adatgyűjtésen) alapuló típust, amely a 2018. évi adatvédelmi törvény 35. cikke (2) bekezdésének a) pontja alapján hozzájáruláson alapulhat.

(36)

Noha a hozzájárulásra hagyatkozás nem tekinthető relevánsnak az e határozat alapján végzett értékelés szempontjából, a teljesség kedvéért érdemes megjegyezni, hogy a bűnüldözési környezetben az adatkezelés soha nem kizárólag hozzájáruláson alapul, mivel az illetékes hatóságnak mindig rendelkeznie kell mögöttes hatáskörrel, amely lehetővé teszi számára az adatok kezelését (62). Pontosabban – és hasonlatosan az (EU) 2016/680 irányelvben (63) megengedettekhez – ez azt jelenti, hogy a hozzájárulás további feltételként szolgál bizonyos korlátozott és specifikus adatkezelési műveletek lehetővé tételére, amelyeket egyébként nem lehetne végrehajtani, például egy gyanúsítottnak nem minősülő személy DNS-mintájának levételét és kezelését. Ebben az esetben az adatkezelésre nem kerül sor, ha a hozzájárulást nem adják meg vagy visszavonják (64).

(37)

Azokban az esetekben, amikor az egyén hozzájárulása szükséges, ennek a hozzájárulásnak egyértelműnek kell lennie és annak egyértelmű megerősítő cselekményt kell tükröznie (65). A rendőrség köteles adatvédelmi tájékoztatót rendszeresíteni, amely tartalmazza többek között a hozzájárulás érvényes felhasználásával kapcsolatos szükséges információkat. Ezen kívül egyes rendőri szervek további anyagokat tesz közzé arról, hogy miként tartják be az adatvédelmi jogszabályokat, többek között arról, hogy miként és mikor használják fel jogalapként a hozzájárulást (66).

(38)

„Különleges adatok kategóriáinak” kezelése esetén külön biztosítékokat kell rendszeresíteni. Ebben a tekintetben – hasonlóan az (EU) 2016/680 irányelv 10. cikkében előírtakhoz – a 2018. évi adatvédelmi törvény 3. része erősebb biztosítékokat nyújt az úgynevezett „különleges adatok kezelése” tekintetében (67).

(39)

Az 1998. évi adatvédelmi törvény 35. szakaszának (3) bekezdése szerint az illetékes hatóságok bűnüldözési célból csak két esetben dolgozhatnak fel különleges adatokat: (1) az érintett hozzájárult a bűnüldözési célból történő adatkezeléshez, és az adatkezelő megfelelő adatvédelmi szabályzattal (68) rendelkezik; vagy (2) az adatkezelés szigorúan bűnüldözési célból szükséges, az adatkezelés megfelel a 2018. évi adatvédelmi törvény 8. mellékletében szereplő feltételek legalább egyikének, és az adatkezelés időpontjában az adatkezelő megfelelő adatvédelmi szabályzattal rendelkezik (69).

(40)

Az első esetet illetően és a (38) preambulumbekezdésben kifejtettek szerint a hozzájárulásra való hivatkozás nem tekinthető relevánsnak az e határozat hatálya alá tartozó jellegű adattovábbítási helyzetben (70).

(41)

Ha a különleges adatok kezelése nem hozzájáruláson alapul, az a 2018. évi adatvédelmi törvény 8. mellékletében felsorolt feltételek valamelyikének felhasználásával végezhető el. Ezek a feltételek a jogszabályi célból szükséges adatkezelésre vonatkoznak; az igazságszolgáltatás igazgatása; az érintett vagy más személy létfontosságú érdekeinek védelme; a gyermekek és a veszélyeztetett személyek védelme; jogi igények; bírósági cselekmények; csalás megelőzése; archiválás; amennyiben a személyes adatokat nyilvánvalóan az érintett közli. A nyilvánvaló adatközlés esetein kívül a 8. mellékletben előírt összes feltételre szigorú szükségességi vizsgálat vonatkozik. Amint azt az információügyi biztos pontosította, „ebben az összefüggésben a feltétlenül szükséges azt jelenti, hogy az adatkezelésnek egy fontos társadalmi szükséglethez kell kapcsolódnia, amelyet kevésbé beavatkozó jellegű eszközökkel nem lehet észszerűen elérni” (71). Sőt, néhány feltételre további korlátozások vonatkoznak. Például a „jogszerű célok” és a „garanciális feltételre” (8. melléklet, 1. és 4. pont) hivatkozáskor meg kell felelni a jelentős közérdek további vizsgálatán. Ezenkívül a gyermek védelmével kapcsolatos feltételekkel (8. melléklet, 4. pont) kapcsolatban az érintettnek meghatározott életkorúnak kell lennie és veszélyeztetettnek kell minősülnie. Ezenkívül az adatkezelő csak kivételes körülmények esetén alkalmazhatja a 8. melléklet 4. pontjában előírt feltételt (72). Hasonlóképpen vannak korlátozások a „bírósági cselekmények” és a „csalás megelőzése” feltétel tekintetében (8. melléklet, 7., illetve 8. pont). Mindkettő csak meghatározott adatkezelőkre vonatkozik. Bírósági cselekmények esetén csak bíróság vagy más igazságügyi hatóság alkalmazhatja ezt a feltételt, csalásmegelőzés esetén pedig csak azok az adatkezelők támaszkodhatnak erre a feltételre, amelyek csalásellenes szervezetek.

(42)

Végül amikor az adatkezelés a 8. mellékletben felsorolt feltételek valamelyike alapján, illetve a 2018. évi adatvédelmi törvény 42. szakaszának megfelelően történik, egy „megfelelő adatvédelmi szabályzatnak” kell léteznie – amely elmagyarázza az adatkezelő adatvédelmi elvek betartásának biztosítását szolgáló eljárásait, valamint az adatkezelő személyes adatok megőrzésére és törlésére vonatkozó irányelveit –, és kiterjesztett nyilvántartási kötelezettségek alkalmazandók.

(43)

A személyes adatok kezelésének konkrét célra kell történnie, és később csak olyan mértékben használhatók fel, amely az adatkezelés céljával nem összeegyeztethetetlen. Ezt az adatvédelmi elvet a 2018. évi adatvédelmi törvény 36. szakasza garantálja. Ez a rendelkezés az (EU) 2016/680 irányelv 4. cikke (1) bekezdésének b) pontjához hasonlóan előírja, hogy a) meg kell határozni a bűnüldözési célt, amelyre személyes adatokat bármely alkalommal gyűjtenek, annak egyértelműnek és jogosnak kell lennie, és b) az így összegyűjtött személyes adatokat tilos olyan módon kezelni, amely összeegyeztethetetlen azzal a céllal, amelyre azokat gyűjtötték.

(44)

Ha az illetékes hatóságok bűnüldözési célból kezelnek adatokat, ez magában foglalhat archiválási, tudományos vagy történelmi kutatási és statisztikai célokat is (73). Ezekben az esetekben a 2018. évi adatvédelmi törvény azt is pontosítja, hogy az archiválás (vagy tudományos vagy történelmi kutatási és statisztikai célokra történő kezelés) nem megengedett, ha azt az adott érintettre vonatkozóan hozott döntések tekintetében végzik, vagy ha ez valószínűleg jelentős kárt vagy sérelmet okoz számára (74).

(45)

Az adatoknak pontosnak, és adott esetben naprakésznek kell lenniük; az adatoknak az adatkezelési célokhoz képest megfelelőnek és jelentősnek kell lenniük, valamint azokkal arányban kell állniuk. Az (EU) 2016/680 irányelv 4. cikke (1) bekezdésének c), d) és e) pontjához hasonlóan, ezek az elvek biztosítottak a 2018. évi adatvédelmi törvény 37. és 38. szakaszában. Minden észszerű lépést meg kell tenni annak érdekében, hogy a pontatlan személyes adatokat (75) késedelem nélkül töröljék vagy kijavítsák (76), figyelemmel arra a bűnüldözési célra, amelyre az adatkezelés folyik (77), valamint annak biztosítása érdekében, hogy a pontatlan, hiányos vagy már nem naprakész személyes adatokat ne továbbítsák vagy tegyék elérhetővé bűnüldözési célra (78).

(46)

Ezenkívül, az (EU) 2016/680 irányelv 7. cikkéhez hasonlóan az Egyesült Királyság adatvédelmi rendszere előírja, hogy a tényeken alapuló személyes adatokat lehetőség szerint meg kell különböztetni a személyes értékelésen alapuló személyes adatoktól (79). Adott esetben és lehetőség szerint egyértelmű különbséget kell tenni az érintettek különböző kategóriáira, például gyanúsítottakra, bűncselekmény miatt elítélt személyekre, bűncselekmény áldozataira és tanúkra vonatkozó személyes adatok között (80).

(47)

Az (EU) 2016/680 irányelv 5. cikke értelmében az adatokat elvben csak addig szabad tárolni, ameddig az a személyes adatok kezelésének céljaihoz szükséges. A 2018. évi adatvédelmi törvény 39. szakasza szerint és az említett irányelv 5. cikkéhez hasonlóan tilos a bűnüldözési célokból kezelt személyes adatokat hosszabb ideig megőrizni, mint ami az adatkezelés céljához szükséges. Az Egyesült Királyság jogrendszere megköveteli, hogy megfelelő határidőket kell meghatározni a személyes adatok bármely bűnüldözési célú folyamatos tárolása szükségességének időszakos felülvizsgálatára. A személyes adatok megőrzésével kapcsolatos gyakorlatokra és az alkalmazandó határidőkre vonatkozó további szabályokat a rendőrség hatáskörét és működését szabályozó, vonatkozó jogszabályok és útmutatók határozzák meg. Például Angliában és Walesben a Rendészeti Főiskola rendőrségi információkezelés gyakorlati kódexe, valamint az APP-útmutató a rendőrségi információk kezeléséhez biztosít keretet az operatív rendészeti információk kezelésének következetes, kockázatalapú megőrzési, felülvizsgálati és megsemmisítési folyamata biztosításához (81). Ez a keret egyértelmű elvárásokat támaszt az egész testületben azzal kapcsolatban, hogy az információkat miként kell létrehozni, megosztani, felhasználni és kezelni az egyes rendőrségi szerveken és más ügynökségeken belül és azok között (82). A rendőrségtől elvárt a gyakorlati kódex betartása, és azt a Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services ellenőrzi (83).

(48)

Az észak-írországi rendőrséget (PSNI) a törvény nem kötelezi a rendőrségi információkezelés gyakorlati kódexének betartására. A 2011-ben elfogadott a rendőrségi információkezelés gyakorlati kódexének keretrendszerét azonban kiegészíti egy PSNI kézikönyv (84), amely irányelveket és eljárásokat határoz meg a rendőrségi információkezelés gyakorlati kódexének Észak-Írországban történő alkalmazása módjáról.

(49)

Skóciában a rendőrség a szabványos iratmegőrzési operatív eljárásra (szabványos operatív eljárás) (85) támaszkodik, amely a skóciai rendőrség iratkezelési szabályzatát (86) támogatja. A szabványos operatív eljárás konkrét megőrzési szabályokat határoz meg a Skóciai Rendőrség irataira vonatkozóan.

(50)

A nyilvántartások felülvizsgálatára vonatkozó átfogó követelményen túlmenően – amely az Egyesült Királyság egész területén érvényesül – további részleteket a helyi szabályok tartalmaznak. Néhány példa: Anglia és Wales tekintetében a Protection of Freedom Act 2012 elnevezésű (a szabadságjogok védelméről szóló) 2012. évi törvény által módosított rendőrségről és büntetőügyekben történő bizonyításfelvételről szóló törvény rendelkezik az ujjlenyomatok és a DNS-profilok megőrzéséről, valamint külön rendszert ír elő nem elítélt személyekre (87). A szabadságjogok védelméről szóló törvény létrehozta a biometrikus anyagok megőrzéséért és felhasználásáért felelős biztos („a biometriáért felelős biztos”) hivatalát is (88). Az őrizetbe vettek képeire vonatkozó konkrét szabályokat a 2017 Custody Image Review elnevezésű (az őrizetbe vettek képeinek felülvizsgálatáról szóló) 2017. évi törvény tartalmazza (89). Skóciát illetően a büntetőeljárásról (Skócia) szóló 1995. évi törvény tartalmazza az ujjlenyomat és biológiai minták levételének és megőrzésének szabályait (90). Akárcsak Anglia és Wales esetében, a jogszabályok különböző esetekre szabályozzák a biometrikus adatok megőrzését (91).

(51)

A személyes adatokat olyan módon kell kezelni, amely biztosítja a biztonságukat, többek között a jogosulatlan vagy jogellenes kezelés elleni védelmüket, illetve az adatok véletlen elvesztésével, megsemmisülésével vagy sérülésével szembeni védelmét. A hatóságoknak ebből a célból megfelelő technikai vagy szervezeti intézkedéseket kell hozniuk, hogy megvédjék a személyes adatokat a lehetséges veszélyektől. Ezeket az intézkedéseket a csúcstechnológia és a kapcsolódó költségek figyelembevételével kell értékelni.

(52)

Ezek az elvek tükröződnek a 2018. évi adatvédelmi törvény 40. szakaszában, amely szerint – az (EU) 2016/680 irányelv 4. cikke (1) bekezdésének f) pontjához hasonlóan – a bűnüldözési célokból kezelt személyes adatokat a megfelelő biztonságot biztosító módon kell kezelni, megfelelő technikai vagy szervezési intézkedések alkalmazásával. Idetartozik az adatok védelme az illetéktelen vagy jogellenes kezeléssel, valamint a véletlen elvesztéssel, megsemmisüléssel vagy sérüléssel szemben (92). A 2018. évi adatvédelmi törvény 66. szakasza meghatározza továbbá, hogy minden adatkezelőnek és minden adatfeldolgozónak megfelelő technikai és szervezési intézkedéseket kell végrehajtania a személyes adatok kezeléséből eredő kockázatoknak megfelelő biztonsági szint biztosítása érdekében. Az indokolás szerint az adatkezelőnek értékelnie kell a kockázatokat, és ezen értékelés alapján megfelelő biztonsági intézkedéseket kell végrehajtania, például titkosítást vagy az adatok kezelését végző személyzet hozzáférési engedélyének bizonyos szintjét (93). Az értékelésnek figyelembe kell vennie például a feldolgozott adatok jellegét és minden egyéb olyan releváns tényezőt vagy körülményt, amely befolyásolhatja az adatkezelés biztonságát.

(53)

Az adatbiztonsági elvek betartását szabályozó rendszer nagyon hasonló az (EU) 2016/680 irányelv 29–31. cikkében megállapított rendszerhez. Különösen a biztonsági intézkedések személyes adatokkal kapcsolatos olyan megsértése esetén, amelyért az adatkezelő felelős, a 2018. évi adatvédelmi törvény 67. szakaszának (1) bekezdése szerint az adatkezelőnek indokolatlan késedelem nélkül, és lehetőség szerint a jogsértésről való tudomásszerzést követő 72 órán belül köteles bejelenteni a személyes adatok megsértését az információügyi biztosnak (94). A bejelentési kötelezettség nem alkalmazandó, ha a személyes adatok megsértése valószínűleg nem veszélyezteti az egyének jogait és szabadságait (95). Az adatkezelőnek dokumentálnia kell a személyes adatok megsértésével, annak következményeivel és a megtett korrekciós intézkedésekkel kapcsolatos tényeket, amelyek lehetővé teszik az információügyi biztos számára, hogy ellenőrizze az adatvédelmi törvény betartását (96). Ha egy adatfeldolgozó tudomást szerez a biztonsági szabályok megsértéséről, indokolatlan késedelem nélkül értesítenie kell az adatkezelőt (97).

(54)

A 2018. évi adatvédelmi törvény 68. szakaszának (1) bekezdése szerint, ha a személyes adatok megsértése valószínűleg nagy kockázatot jelent az egyének jogaira és szabadságaira, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet a jogsértésről (98). Az értesítésnek ugyanazokat az információkat kell tartalmaznia, mint az információügyi biztos (53) preambulumbekezdésben leírt értesítésének. Ez a kötelezettség nem érvényesül, ha az adatkezelő megfelelő technikai és szervezeti védelmi intézkedéseket hajtott végre, amelyeket a jogsértés által érintett személyes adatokra alkalmaztak. Nem vonatkozik arra az esetre sem, ha az adatkezelő utólagos intézkedéseket tett, amelyek biztosítják, hogy az érintettek jogait és szabadságait érintő magas kockázat valószínűleg már nem realizálódik. Végül az adatkezelőnek nem kell értesítenie az érintettet, ha ez aránytalan erőfeszítéssel járna (99). Ebben az esetben az információt más ugyanolyan hatékony módon, például nyilvános közlemény útján kell az érintett számára elérhetővé tenni (100). Ha az adatkezelő nem tájékoztatta az érintettet a jogsértésről, az információügyi biztos az adatvédelmi törvény 67. szakasza szerint értesítést kézhezvétele után, és amennyiben megítélése szerint a jogsértés valószínűleg magas kockázatú, megkövetelheti az adatkezelőtől, hogy értesítse az érintettet a jogsértésről (101).

(55)

Az érintetteket tájékoztatni kell személyes adataik kezelésének főbb jellemzőiről. Ezt az adatvédelmi elvet tükrözi a 2018. évi adatvédelmi törvény 44. szakasza, amely az (EU) 2016/680 irányelv 13. cikkéhez hasonlóan előírja, hogy az adatkezelőnek általános kötelessége, hogy az érintettek számára hozzáférhetővé tegye a személyes adatok kezelésével kapcsolatos információkat (akár az információk nyilvánosság számára általánosan elérhetővé tételével, akár bármilyen más módon) (102). A rendelkezésre bocsátandó információk a következőket tartalmazzák: a) az adatkezelő személyazonossága és elérhetőségei; b) adott esetben az adatvédelmi tisztviselő elérhetőségei; c) azok a célok, amelyekre az adatkezelő a személyes adatokat kezeli; d) az érintettek azon jogainak megléte, hogy az adatkezelőtől kérjék a személyes adatokhoz való hozzáférést, a személyes adatok helyesbítését és a személyes adatok törlését vagy azok kezelésének korlátozását; és e) az információügyi biztoshoz panasz benyújtásának joga és a biztos elérhetőségei (103).

(56)

Az adatkezelőnek bizonyos esetekben az érintett 2018. évi adatvédelmi törvény szerinti jogainak gyakorlása lehetővé tétele céljából (például amikor a kezelt személyes adatokat az érintett tudomása nélkül gyűjtötték) tájékoztatást kell adnia az érintettnek a következőkről: a) az adatkezelés jogalapja; b) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai; c) adott esetben információk a személyes adatok címzettjeinek kategóriáiról (ideértve a harmadik országbeli címzetteket vagy a nemzetközi szervezeteket is); d) az érintettek 2018. évi adatvédelmi törvény 3. része szerinti jogainak gyakorlásához szükséges további információk (104).

(57)

Az érintetteknek számos érvényesíthető jogot kell biztosítani. A 2018. évi adatvédelmi törvény 3. részének 3. fejezete hozzáférési, helyesbítési, törlési és korlátozási jogot biztosít az egyének számára (105), amelyek összehasonlíthatók az (EU) 2016/680 irányelv 3. fejezetének rendelkezéseivel.

(58)

A hozzáférési jog fogalmát a 2018. évi adatvédelmi törvény 45. szakasza határozza meg. Először is, az egyén jogosult annak megerősítést kérni az adatkezelőtől, hogy személyes adatait feldolgozzák-e (106). Másodszor, amennyiben a személyes adatokat feldolgozzák, az érintettnek joga van hozzáférni ezekhez az adatokhoz, és az adatkezelésről a következő információk kikéréséhez: a) az adatkezelés céljai és jogalapja; b) az érintett adatok kategóriái; c) a címzett, akivel az adatokat közölték; d) a személyes adatok tárolásának időtartama; e) az érintett joga személyes adatainak kijavításához és töröltetéséhez; f) panasz benyújtásának joga; és g) az érintett személyes adatok eredetére vonatkozó minden információ (107).

(59)

A 2018. évi adatvédelmi törvény 46. szakasza értelmében az érintettnek joga van arra, hogy az adatkezelőtől megkövetelje a rá vonatkozó pontatlan személyes adatok helyesbítését. Az adatkezelőnek az adatokat indokolatlan késedelem nélkül ki kell javítania (vagy ha az adatok azért pontatlanok, mert hiányosak, ki kell egészítenie). Ha a személyes adatokat bizonyítás céljából meg kell őrizni, az adatkezelőnek (a személyes adatok helyesbítése helyett) korlátoznia kell azok kezelését (108).

(60)

A 2018. évi adatvédelmi törvény 47. szakasza jogot biztosít az egyéneknek a törléshez és az adatfeldolgozás korlátozásához. Az adatkezelőnek indokolatlan késedelem nélkül törölnie kell (109) a személyes adatokat, ha a személyes adatok kezelése az adatvédelmi elvekbe, az adatkezelés jogalapjába, vagy az archiválással és a különleges adatok kezelésével kapcsolatos biztosítékokba ütközne. Az adatkezelőnek törölnie kell az adatokat is, ha erre törvényi kötelezettsége van. Ha a személyes adatokat bizonyítás céljából kell megtartani, az adatkezelőnek (a személyes adatok törlése helyett) korlátoznia kell azok kezelését (110). Az adatkezelőnek korlátoznia kell a személyes adatok kezelését, ha az érintett vitatja a személyes adatok pontosságát, de nem lehet megállapítani, hogy azok pontosak-e vagy sem (111).

(61)

Amennyiben az érintett kéri a személyes adatok helyesbítését vagy törlését vagy feldolgozásuk korlátozását, az adatkezelőnek írásban tájékoztatnia kell az érintettet arról, hogy a megkeresést teljesítették-e, és ha elutasították, tájékoztatnia kell az érintettet az elutasítás okairól és a rendelkezésre álló jogorvoslati lehetőségekről (az érintett arra vonatkozó jogáról, hogy az információügyi biztoshoz forduljon a korlátozás jogszerű alkalmazásának kivizsgálásához, panaszt nyújtson be az információügyi biztoshoz, és a megfelelés elrendelése érdekében a bírósághoz fordulás jogáról) (112).

(62)

Ha az adatkezelő egy másik illetékes hatóságtól kapott személyes adatokat helyesbít, erről értesítenie kell a másik hatóságot (113). Amennyiben az adatkezelő helyesbíti, törli az adatkezelő által feltárt személyes adatokat vagy korlátozza azok kezelését, az adatkezelőnek értesítenie kell a címzetteket, és a címzetteknek hasonló módon helyesbíteniük, törölniük kell a személyes adatokat vagy korlátozniuk kell azok kezelését (amennyiben a felelősség azért őket terheli) (114).

(63)

Ezenkívül az érintettnek joga van ahhoz, hogy az adatkezelőtől indokolatlan késedelem nélkül tájékoztatást kapjon a személyes adatok megsértéséről, ha ez valószínűleg nagy kockázatot jelent az egyének jogai és szabadságai szempontjából (115).

(64)

Az érintett valamennyi jogával kapcsolatban és az (EU) 2016/680 irányelv 12. cikkében előírtakhoz hasonlóan az adatkezelő köteles gondoskodni arról, hogy az érintettel minden információt tömören, érthetően és könnyen hozzáférhető formában (116) közöljön, és azt lehetőség szerint a kérelemmel megegyező formában adja meg (117). Az adatkezelőnek indokolatlan késedelem nélkül vagy minden esetben elvileg a kéréstől számított egy hónapos időszak vége előtt eleget kell tennie az érintett kérésének (118). Ha az adatkezelőnek észszerű kétségei vannak az egyén személyazonosságával kapcsolatban, további információkat kérhet, és a személyazonosság megállapításáig késleltetheti a kérés elintézését. Az adatkezelő észszerű díjat követelhet, vagy megtagadhatja az intézkedést, ha a kérést nyilvánvalóan megalapozatlannak tartja (119). Az információügyi biztos útmutatást adott arról, hogy a kérelem mikor minősül nyilvánvalóan megalapozatlannak vagy eltúlzottnak, és mikor lehet díjat kérni (120).

(65)

Ezenkívül a 2018. évi adatvédelmi törvény 53. szakaszának (4) bekezdése alapján a miniszter rendelettel meghatározhatja a díj maximális összegét.

(66)

Az illetékes hatóság bizonyos körülmények között korlátozhatja az érintett bizonyos jogait: a hozzáféréshez (121), a tájékoztatáshoz (122), a személyes adatok megsértéséről való tudomásszerzéshez (123), valamint arról való tájékoztatáshoz való jog, hogy a helyesbítés vagy törlés iránti kérelem elutasításának mi volt az oka (124). Az (EU) 2016/680 irányelv III. fejezetében foglalt rendszerhez hasonlóan az illetékes hatóság csak akkor alkalmazhatja a korlátozást, ha az az érintett alapvető jogaira és jogos érdekeire tekintettel szükséges és az alábbiak érdekében arányos: a) hivatalos vagy jogi vizsgálat, nyomozás vagy eljárás akadályozásának elkerüléséhez; b) a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása sérelmének megelőzéséhez; c) a közbiztonság védelméhez; d) a nemzetbiztonság védelméhez; e) mások jogainak és szabadságainak védelméhez.

(67)

Az információügyi biztos útmutatást adott e korlátozások alkalmazásáról. Ezen útmutató szerint az adatkezelőknek eseti alapon elemzést kell végezniük, hogy egyensúlyba hozzák az egyén jogait és azt a hátrányt, amelyet a közlés okozhat. Különösen indokolniuk kell az alkalmazott korlátozások szükségességét és arányosságát, és csak akkor korlátozhatják a rendelkezéseket, ha az sérti a fent említett célokat (125).

(68)

Számos egyéb, az illetékes hatóságok által kiadott útmutató is létezik, amelyek részletes tájékoztatást nyújtanak az adatvédelmi jogszabályok minden vonatkozásáról, ideértve az érintettek jogaira (126) korlátozás alkalmazását is. Például a 45. szakasz (4) bekezdésével kapcsolatban az országos rendőrfőkapitány jogtanácsosának adatvédelmi kézikönyve kimondja: „Fontos megjegyezni, hogy a korlátozások csak a szükséges mértékben, és csak a szükséges ideig alkalmazhatók. Következésképpen a kérelmező összes személyes adatára vonatkozó korlátozás vagy állandó korlátozás alkalmazása nem megengedett. Ez utóbbi vonatkozásban gyakran előfordul, hogy egy nyomozás gyanúsítottjának minősülő érintett tudomása nélkül gyűjtött személyes adatokat először védeni kell közlés ellen a nyomozás folyamán a nyomozás sérelmének megelőzése érdekében, de egy későbbi időpontban nem okozna hátrányt a közlés, ha a személyes adatokat a kihallgatás során közölnék az egyénnel. A rendőrségnek olyan eljárásokat kell elfogadnia, amelyek biztosítják, hogy e korlátozások csak a szükséges mértékben és csak a szükséges időtartamig érvényesüljenek” (127). Ez az útmutató példákat is tartalmaz arra vonatkozóan, hogy az egyes korlátozásokra mikor kerülhet sor (128).

(69)

Ezenkívül a fent említett jogok bármelyikének a „nemzetbiztonság” védelme érdekében történő korlátozásának lehetősége kapcsán az adatkezelő kérhet a miniszter vagy a legfőbb ügyész (vagy a skóciai főügyész) által aláírt tanúsítványt ), amely tanúsítja, hogy az említett jogok korlátozása szükséges és arányos intézkedés a nemzetbiztonság védelme érdekében (129). Az Egyesült Királyság kormánya útmutatót adott ki a nemzetbiztonsági tanúsítványokról a 2018. évi adatvédelmi törvény alapján, amely különösen kiemeli, hogy az érintettek jogainak korlátozásának arányosnak és szükségesnek kell lennie a nemzetbiztonság védelme érdekében (130) (a nemzetbiztonsági tanúsítványokról bővebben lásd a (131)–(134) preambulumbekezdést).

(70)

Ezenkívül, ha az érintett jogainak korlátozása érvényesül, az illetékes hatóságnak indokolatlan késedelem nélkül tájékoztatnia kell az érintettet jogainak korlátozásáról, a korlátozás okairól és a rendelkezésre álló jogorvoslati lehetőségekről, kivéve, ha az információ rendelkezésre bocsátása aláásná a korlátozás alkalmazásának okát (131). A korlátozásokkal való visszaélések elleni további biztosítékként az adatkezelőnek rögzítenie kell a tájékoztatás korlátozásának okait, és kérésre a nyilvántartást az információügyi biztos rendelkezésére kell bocsátania (132).

(71)

Ha az adatkezelő megtagadja az átláthatóságra vonatkozó további tájékoztatás nyújtását vagy a hozzáférést, vagy elutasítja az adatkezelés helyesbítésére, törlésére vagy korlátozására vonatkozó kérést, az egyén kérheti az információügyi biztostól annak vizsgálatát, hogy az adatkezelő jogszerűen alkalmazta-e a korlátozást (133). Az érintett személy panasszal fordulhat az információügyi biztoshoz, vagy bírósághoz fordulhat, hogy az kötelezze az adatkezelőt a kérelem teljesítésére (134).

(72)

A 2018. évi adatvédelmi törvény 49. az automatizált döntéshozatalhoz kapcsolódó jogokat, az 50. szakasza az alkalmazandó biztosítékokat rendezi (135). Az (EU) 2016/680 irányelv 11. cikkéhez hasonlóan az adatkezelő csak akkor hozhat kizárólag a személyes adatok automatizált feldolgozásán alapuló jelentős döntést, ha ezt törvény előírja vagy engedélyezi (136). A döntés akkor jelentős, ha az érintettre nézve hátrányos joghatással járna, vagy jelentősen érintené az érintettet (137).

(73)

Ha az adatkezelő számára törvény írja elő vagy engedélyezi jelentős döntés meghozatalát, a 2018. évi adatvédelmi törvény 50. szakasza meghatározza azokat a biztosítékokat, amelyek egy ilyen döntés esetében alkalmazandók (amelyet „minősített jelentős döntésként” határoznak meg). Az adatkezelőnek a lehető leghamarabb értesítenie kell az érintettet arról, hogy ilyen döntés született. Az érintett ezután egy hónapon belül kérheti az adatkezelőt, hogy vizsgálja felül a döntést, vagy hozzon olyan új döntést, amely nem kizárólag automatizált feldolgozáson alapul. Az adatkezelőnek mérlegelnie kell a kérést, és tájékoztatnia kell az érintettet a mérlegelés eredményéről. A 2018. évi adatvédelmi törvény felhatalmazza a minisztert a további biztosítékokról szóló szabályozás elfogadására (138). Még nem fogadtak el ilyen szabályozást.

(74)

A valamely tagállam bűnüldöző hatóságától az egyesült királyságbeli bűnüldöző hatóságnak továbbított személyes adatok védelmének szintjét nem veszélyeztetheti az említett adatok Egyesült Királyságon kívüli harmadik országokban található adatátvevők részére történő továbbítása. Az említett „újbóli adattovábbítás”, amely az egyesült királyságbeli adatkezelők vagy adatfeldolgozók szemszögéből Egyesült Királyságból történő nemzetközi adattovábbításnak minősül, csak abban az esetben engedélyezett, ha az Egyesült Királyságon kívüli újabb adatátvevőre olyan szabályok vonatkoznak, amelyek biztosítják az Egyesült Királyság jogrendje szerint biztosított védelem szintjéhez hasonló szintű védelmet.

(75)

A nemzetközi adattovábbításokra vonatkozó egyesült királyságbeli rendszert a 2018. évi adatvédelmi törvény 3. részének 5. fejezete szabályozza (139) és az (EU) 2016/680 irányelv V. fejezetében alkalmazott megközelítést tükrözi. A személyes adatok harmadik országba történő továbbításához az illetékes hatóságnak különösen három feltételnek kell megfelelnie: a) az adattovábbításnak bűnüldözési célból szükségesnek kell lennie; b) az adattovábbításnak a következőkön kell alapulnia: i. megfelelőségi rendeleten a harmadik ország vonatkozásában, ii. ha nem megfelelőségi rendeleten alapul, a megfelelő biztosítékok meglétén, vagy iii. ha nem megfelelőségi rendeleten vagy megfelelő biztosítékokon alapul, akkor a kivételes körülményeken kell alapulnia; és c) az adattovábbítás címzettjének az alábbinak kell lennie: i. a harmadik ország megfelelő hatósága (azaz az illetékes hatóság megfelelője); ii. „érintett nemzetközi szervezet”, például olyan nemzetközi testület, amely a bűnüldözési célok bármelyikének megfelelő feladatokat lát el; vagy iii. az illetékes hatóságtól eltérő személy, de csak akkor, ha az adattovábbítás feltétlenül szükséges a bűnüldözési célok valamelyikének teljesítéséhez; a szóban forgó érintetteknek nincsenek olyan alapvető jogai és szabadságai, amelyek elsőbbséget élveznének az adattovábbításhoz fűződő közérdekkel szemben; a személyes adatok harmadik ország illetékes hatóságához történő továbbítása hatástalan vagy nem helyénvaló lenne; és a címzettet tájékoztatják az adatok kezelésének lehetséges céljairól (140).

(76)

Harmadik országra, egy harmadik ország területére vagy ágazatára, nemzetközi szervezetre vonatkozó megfelelőségi rendeleteket vagy (141) az ilyen állam, terület, ágazat vagy szervezet leírását a miniszter fogadja el. Az elérendő szintet illetően a miniszternek értékelnie kell, hogy az említett terület/ágazat/szervezet biztosítja-e a személyes adatok megfelelő szintű védelmét. A 2018. évi adatvédelmi törvény 74A. szakaszának (4) bekezdése előírja, hogy ennek érdekében a miniszternek számos olyan elemet kell figyelembe vennie, amely az (EU) 2016/680 irányelv 36. cikkében felsoroltakat tükrözi (142). Ebben a tekintetben az átmeneti időszak vége óta a 2018. évi adatvédelmi törvény 3. része alkotja az „uniós jogból eredő nemzeti jogszabályokat”, amelyeket – a magyarázat szerint – az Egyesült Királyság bíróságai a Bíróság vonatkozó, az Egyesült Királyság Unióból való kilépése előtti időből származó ítélkezési gyakorlatának és az uniós jog közvetlenül az átmeneti időszak vége előtt hatályos általános elveinek megfelelően fognak értelmezni. Idetartozik a „lényegi egyenértékűség” mérce, amelyet ekként alkalmazni fognak az Egyesült Királyság hatóságai által végzett megfelelőségértékelések esetében is.

(77)

Ami az eljárást illeti, a szabályozásra a 2018. évi adatvédelmi törvény 182. szakaszában előírt „általános” eljárási követelmények vonatkoznak. Ennek az eljárásnak az alapján a miniszternek konzultálnia kell az információügyi biztossal, amikor javaslatot tesz az Egyesült Királyság jövőbeli megfelelőségi rendeleteinek megalkotására (143). Miután a miniszter elfogadta ezeket a rendeleteket, azokat a Parlament elé terjesztik, és a „negatív állásfoglalási” eljárás érvényesül, amelynek során a Parlament mindkét háza megvizsgálhatja a rendeletet, és 40 napos határidőn belül elfogadhat a rendelet megsemmisítésére vonatkozó indítványt (144).

(78)

A 2018. évi adatvédelmi törvény 74B. szakaszának (1) bekezdése szerint a megfelelőségi rendeletet legfeljebb négyéves időközönként felül kell vizsgálni, a miniszternek pedig folyamatosan figyelemmel kell kísérnie a harmadik országokban és nemzetközi szervezetekben azokat a fejleményeket, amelyek befolyásolhatják a megfelelőségi rendeletek megalkotására, illetve az említett rendeletek módosítására vagy visszavonására vonatkozó döntéseket. Ha a miniszter tudomására jut, hogy egy adott ország vagy szervezet már nem biztosítja a személyes adatok megfelelő szintű védelmét, a szükséges mértékben módosítania vagy hatályon kívül kell helyeznie a szabályokat, és konzultációt kell folytatnia a harmadik országgal vagy nemzetközi szervezettel a megfelelő védelem hiányának orvoslása érdekében.

(79)

Az (EU) 2016/680 irányelv 37. cikkében előírtakhoz hasonlóan, megfelelőségi rendelet hiányában a személyes adatok továbbítása a bűnüldözési ágazattal összefüggésben lehetséges, ha megfelelő biztosítékokat rendszeresítettek. Ezek a biztosítékok a következők révén biztosíthatók: a) a személyes adatok védelmére megfelelő biztosítékokat tartalmazó, kötelező érvényű jogi eszköz; vagy b) az adatkezelő által elvégzett értékelés, amely az adattovábbítással kapcsolatos összes körülmény felmérése után arra a következtetésre jut, hogy megfelelő biztosítékok léteznek az adatok védelmére (145). Továbbá, ha az adattovábbítások megfelelő biztosítékokon alapulnak, a 2018. évi adatvédelmi törvény előírja, hogy a biztos szokásos felügyeleti szerepe mellett az illetékes hatóságoknak konkrét információkat kell szolgáltatniuk a biztosnak történő adattovábbításokról (146).

(80)

Ha az adattovábbítás nem megfelelőségi rendeleten vagy megfelelő biztosítékokon alapul, akkor arra csak bizonyos, meghatározott körülmények között kerülhet sor, amelyeket „kivételes körülményeknek” nevezünk (147). Ez a helyzet áll fen, ha az adattovábbítás az alábbiak miatt szükséges: a) az érintett vagy egy másik személy létfontosságú érdekeinek védelme érdekében; b) az érintett jogos érdekeinek biztosításához; c) harmadik ország közbiztonságát közvetlenül és komolyan fenyegető veszély elhárítása érdekében; d) egyedi esetekben bármely bűnüldözési célból; vagy e) egyedi esetekben jogi célból (például jogi eljárásokkal vagy jogi tanács kikérésével kapcsolatban) (148). Megjegyzendő, hogy a d) és e) pont nem alkalmazandó, ha az érintett jogai és szabadságai felülírják az adattovábbítással kapcsolatos közérdeket (149). Ezek a körülmények megfelelnek az (EU) 2016/680 irányelv 38. cikke alapján „eltérésnek” minősülő kivételes eseteknek és feltételeknek.

(81)

Ilyen körülmények között az adattovábbítás napját, idejét és indokát, a címzett nevét és minden egyéb vonatkozó információt, valamint az átadott személyes adatok leírását dokumentálni kell, és kérésre át kell adni az információügyi biztosnak (150).

(82)

A 2018. évi adatvédelmi törvény 78. szakasza szabályozza az „utólagos továbbítás” esetét, nevezetesen amikor az Egyesült Királyságból egy harmadik országba továbbított személyes adatokat utóbb egy másik harmadik országba vagy egy nemzetközi szervezetnek továbbítják. A 78. szakasz (1) bekezdése szerint az egyesült királyságbeli átadó adatkezelőnek az adattovábbítás feltételeként kell megszabnia, hogy az adatokat nem szabad továbbítani harmadik országba az átadó adatkezelő engedélye nélkül. A 2018. évi adatvédelmi törvény továbbá – a 78. szakasz (3) bekezdése szerint, hasonlóan az (EU) 2016/680 irányelv 35. cikke (1) bekezdése e) pontjában előírtakhoz – lényegi követelményeket ír elő abban az esetben, ha ilyen engedélyre van szükség. Pontosabban az illetékes hatóságnak az adattovábbítás engedélyezésének vagy elutasításának eldöntésekor meg kell győződnie arról, hogy a további adattovábbítás bűnüldözési célból szükséges-e, és figyelembe kell vennie többek között a következőket: az engedély iránti kérelemhez vezető körülmények súlyossága, b) a személyes adatok eredeti továbbításának célja és c) a személyes adatok védelmére vonatkozó azon normák, amelyek azon harmadik országban vagy nemzetközi szervezetben érvényesek, amelynek a személyes adatokat továbbítanák.

(83)

Ezenkívül amikor az Egyesült Királyságból a további adattovábbítással érintett adatokat eredetileg az Európai Unióból továbbították, további biztosítékok érvényesülnek.

(84)

Először is, a 2018. évi adatvédelmi törvény 73. szakasza (1) bekezdésének b) pontja – az (EU) 2016/680 irányelv 35. cikke (1) bekezdésének c) pontjához hasonlóan – előírja, hogy abban az esetben, ha a személyes adatokat eredetileg az adatkezelő vagy más tagállami illetékes hatóság részére továbbították vagy más módon rendelkezésére bocsátották, az a tagállam, vagy az adott tagállamban letelepedett és az (EU) 2016/680 irányelv alkalmazásában illetékes hatóságnak minősülő más személy a tagállam jogával összhangban engedélyezte az adattovábbítást.

(85)

Ugyanakkor az (EU) 2016/680 irányelv 35. cikkének (2) bekezdéséhez hasonlóan ilyen engedélyre nincs szükség, ha a) az adattovábbításra a tagállam vagy harmadik ország közbiztonságát vagy valamely tagállam alapvető érdekeit fenyegető közvetlen vagy súlyos veszély megelőzése érdekében van szükség, és b) az engedély nem szerezhető be időben. Ebben az esetben haladéktalanul tájékoztatni kell a tagállam azon hatóságát, amely felelős lett volna az adattovábbítás engedélyezéséről való döntésért (151).

(86)

Másodszor, ugyanez a megközelítés vonatkozik azokra az adatokra, amelyeket eredetileg az Európai Unióból továbbítottak az Egyesült Királyságba, majd az Egyesült Királyság továbbított egy harmadik országba, amely ezt követően azokat egy másik harmadik országba továbbította. Ebben az esetben a 78. szakasz (4) bekezdése szerint az egyesült királyságbeli illetékes hatóság ez utóbbi további adattovábbításhoz nem adhatja hozzájárulását a 78. szakasz (1) bekezdése szerint, kivéve, ha „a (szóban forgó adatokat eredetileg továbbító) tagállam vagy a bűnüldözési irányelv alkalmazásában illetékes hatóságnak minősülő, az adott tagállamban letelepedett más személy a tagállam jogával összhangban engedélyezte az adattovábbítást”. Ezek a biztosítékok fontosak, mivel lehetővé teszik a tagállami hatóságoknak, hogy az EU adatvédelmi jogszabályainak megfelelően biztosítsák a védelem folytonosságát a teljes „továbbítási láncban”.

(87)

A nemzetközi adattovábbítások új keretrendszere az átmeneti időszak végén vált alkalmazhatóvá (152). Azonban a 21. melléklet 10–12. pontja (amelyet a kilépéssel kapcsolatos adatvédelmi szabályozás vezetett be) előírja, hogy az átmeneti időszak végétől kezdve a személyes adatok bizonyos továbbítását úgy kezelik, mintha azok megfelelőségi rendeleteken alapulnának. Ezen adattovábbítások körébe tartoznak a valamely tagállamba, EFTA-államba, Gibraltár területére, valamint olyan harmadik országokba történő adattovábbítások, amelyekre az átmeneti időszak végén uniós megfelelőségi határozat vonatkozik. Következésképpen az ezekbe az országokba irányuló adattovábbítások ugyanúgy folytatódhatnak, mint az Egyesült Királyság Unióból való kilépése előtt. Az átmeneti időszak lejárta után a miniszternek négy éven belül, azaz 2024. december végéig felül kell vizsgálnia ezeket a megfelelőségi megállapításokat. Az Egyesült Királyság hatóságainak magyarázata szerint, bár a miniszternek 2024 december végéig el kell végeznie egy ilyen felülvizsgálatot, az átmeneti rendelkezések nem tartalmaznak „megszüntetési” rendelkezést, és a vonatkozó átmeneti rendelkezések hatálya nem szűnik meg automatikusan, ha a felülvizsgálat 2024. december végéig nem fejeződik be.

(88)

Az elszámoltathatóság elve értelmében az adatkezelőknek megfelelő technikai és szervezeti intézkedéseket kell hozniuk, hogy ténylegesen megfeleljenek adatvédelmi kötelezettségeiknek, és bizonyítani tudják ezt a megfelelést, különösen az illetékes felügyeleti hatóság felé.

(89)

Ezt az elvet tükrözi a 2018. évi adatvédelmi törvény 56. szakasza, amely általános elszámoltathatósági kötelezettséget vezet be az adatkezelő számára, azaz megfelelő technikai és szervezési intézkedések végrehajtásának kötelezettségét annak biztosítására és bizonyítására, hogy a személyes adatok kezelése megfelel a 2018. évi adatvédelmi törvény 3. része követelményeinek. A végrehajtott intézkedéseket szükség esetén felül kell vizsgálni és frissíteni kell, és amennyiben az arányos az adatkezeléssel, megfelelő adatvédelmi irányelveket kell tartalmazniuk.

(90)

Az (EU) 2016/680 irányelv IV. fejezetével összhangban a 2018. évi adatvédelmi törvény 55–71. szakasza különböző mechanizmusokat ír elő az elszámoltathatóság biztosítása érdekében, és lehetővé teszi az adatkezelőknek és az adatfeldolgozóknak a megfelelőség bizonyítását. Az adatkezelőknek különösen beépített adatvédelmi intézkedéseket kell végrehajtaniuk alapértelmezésben, vagyis biztosítaniuk kell az adatvédelmi elvek eredményes végrehajtását, és nyilvántartást kell vezetniük az adatkezelő felelősségi körébe tartozó összes adatkezelési tevékenységről (ideértve a következőket is: az adatkezelő azonosító adatai, az adatvédelmi tisztviselő elérhetőségei, az adatkezelés céljai, a közlés címzettjeinek kategóriái, valamint az érintettek és a személyes adatok kategóriáinak leírása), és ezeket az adatokat kérésre az információügyi biztos számára hozzáférhetővé kell tenni. Az adatkezelőnek és az adatfeldolgozónak naplót is vezetnie kell bizonyos adatkezelési műveletekről, és azt az információügyi biztos rendelkezésére kell bocsátania (153). Az adatkezelőknek kifejezetten együtt kell működniük az információügyi biztossal a biztos feladatainak ellátása során.

(91)

A 2018. évi adatvédelmi törvény további követelményeket is megállapít az adatkezelésre, ha az valószínűsíthetően magas kockázattal jár az egyének jogaira és szabadságaira nézve. Ezek magukban foglalják az adatvédelmi hatásvizsgálatok elvégzésének és az adatkezeléssel foglalkozó biztossal való konzultáció kötelezettségét, ha az említett értékelés azt jelzi, hogy az adatkezelés (a kockázat csökkentésére irányuló intézkedések hiányában) magas kockázatot jelentene az egyének jogaira és szabadságaira.

(92)

Az adatkezelőknek továbbá ki kell jelölniük egy adatvédelmi tisztviselőt, kivéve, ha az adatkezelő bíróság vagy más, igazságszolgáltatási minőségben eljáró igazságügyi hatóság (154). Az adatkezelőnek biztosítania kell, hogy az adatvédelmi tisztviselőt bevonják a személyes adatok védelmével kapcsolatos minden kérdésbe, rendelkezzen a szükséges erőforrásokkal és hozzáféréssel a személyes adatokhoz, valamint az adatkezelési műveletekhez, és önállóan el tudja látni feladatait. Az adatvédelmi tisztviselő feladatait a 2018. évi adatvédelmi törvény 71. szakasza határozza meg, ideértve a tájékoztatás és tanácsadás nyújtását, a megfelelés nyomon követését, valamint az információügyi biztossal való együttműködést és vele kapcsolattartóként történő eljárást. Feladatainak ellátása során az adatvédelmi tisztviselőnek figyelembe kell vennie az adatkezelési műveletekhez kapcsolódó kockázatokat, figyelembe véve az adatkezelés jellegét, terjedelmét, összefüggéseit és céljait.

(93)

Az adatvédelem megfelelő szintjének gyakorlati biztosítása érdekében létre kell hozni egy független felügyeleti hatóságot, amely hatáskörrel rendelkezik az adatvédelmi szabályoknak való megfelelés nyomon követésére és a megfelelés kikényszerítésére. Ennek a hatóságnak teljes egészében függetlenül és pártatlanul kell eljárnia feladatainak ellátása és hatáskörének gyakorlása során.

(94)

Az Egyesült Királyság általános adatvédelmi rendeletének és a 2018. évi adatvédelmi törvénynek való megfelelés felügyeletét és kikényszerítését az Egyesült Királyságban az információügyi biztos (155) végzi. Az információügyi biztos felügyeli továbbá a személyes adatok illetékes hatóságok általi, a 2018. évi adatvédelmi törvény 3. részének hatálya alá tartozó kezelését (156). Az információügyi biztos „Corporation Sole”: egyetlen személyben megtestesülő önálló jogi személy. Az információügyi biztos munkáját egy hivatal támogatja. Az Információs Biztos Hivatalának 2020. március 31-én 768 állandó munkavállalója volt (157). Az információügyi biztos támogató minisztériuma a Digitális, Kulturális, Média- és Sportminisztérium (158).

(95)

A biztos függetlenségét az Egyesült Királyság általános adatvédelmi rendeletének 52. cikke kifejezetten rögzíti, amely tükrözi az (EU) 2016/679 európai parlamenti és tanácsi rendelet (159) 52. cikkének (1)–(3) bekezdésében megállapított követelményeket. A biztosnak teljesen függetlenül kell eljárnia feladatainak ellátása és hatásköreinek az Egyesült Királyság általános adatvédelmi rendeletével összhangban történő gyakorlása során, mentesnek kell maradnia bármiféle közvetlen vagy közvetett külső befolyástól e feladatok és hatáskörök tekintetében, és senkitől nem kérhet és nem fogadhat el utasításokat. A biztosnak tartózkodnia kell minden olyan feladattól is, amely összeegyeztethetetlen a feladataival, és hivatali idejében nem folytathat összeegyeztethetetlen foglalkozást, legyen az fizetett vagy önkéntes munka.

(96)

Az információügyi biztos kinevezésének és visszahívásának feltételeit a 2018. évi adatvédelmi törvény 12. melléklete tartalmazza. Az információügyi biztost a királynő nevezi ki a kormány ajánlása alapján, tisztességes és nyílt verseny alapján. A jelöltnek rendelkeznie kell a megfelelő képesítéssel, készségekkel és kompetenciákkal. A Governance Code on Public Appointments (állami kinevezések irányítása kódexe) elnevezésű dokumentummal összhangban (160) a kinevezhető jelöltek listáját egy tanácsadó értékelő testület állítja össze. Mielőtt a Digitális, Kulturális, Média- és Sportminisztérium minisztere véglegesíti döntését, az illetékes parlamenti válogató bizottságnak kinevezés előtti ellenőrzést kell lefolytatnia. A bizottság álláspontját nyilvánosságra hozzák (161).

(97)

Az információügyi biztos hivatali ideje legfeljebb hét év. Őfelsége a Parlament mindkét házának beszédét követően felmentheti hivatalából (162). Az információügyi biztos felmentésére vonatkozó kérelem nem terjeszthető be a Parlament egyik házához sem, ha egy miniszter nem terjesztett elő jelentést az adott háznak, amelyben kijelenti, hogy meg van győződve arról, hogy az információügyi biztos súlyos kötelességszegésben vétkes és/vagy a biztos már nem felel meg a biztos feladatainak ellátásához szükséges feltételeknek (163).

(98)

Az információügyi biztos finanszírozása három forrásból származik: i. az adatkezelők által fizetett adatvédelmi díjak, amelyeket a miniszter rendelete határoz meg (164) és ezek a Hivatal éves költségvetésének 85–90 %-át teszik ki (165); ii. támogatás, amelyet a kormány fizethet az információügyi biztos részére, és amelyet elsősorban az információügyi biztos adatvédelemhez nem kapcsolódó feladatai tekintetében felmerülő működési költségeinek finanszírozására fordítanak (166); iii. a szolgáltatásokért felszámított díjak (167). Jelenleg ilyen díjakat nem számítanak fel.

(99)

Az információügyi biztos általános feladatait a 2018. évi adatvédelmi törvény 3. részének hatálya alá tartozó személyes adatok kezelésével kapcsolatban a 2018. évi adatvédelmi törvény 13. melléklete határozza meg. A feladatok magukban foglalják a 2018. évi adatvédelmi törvény 3. részének nyomon követését és végrehajtását, a közvélemény tudatosságának elősegítését, tanácsadást a Parlamentnek, a kormánynak és más intézményeknek a jogalkotási és adminisztratív intézkedések terén, az adatkezelők és az adatfeldolgozók tudatosságának fokozását kötelezettségeikről, az érintettek tájékoztatását az érintett jogainak gyakorlásáról és vizsgálatok lefolytatását. Az igazságszolgáltatás függetlenségének fenntartása érdekében az információügyi biztos nem jogosult feladatait a személyes adatok bírói minőségben eljáró egyén, vagy bírósági minőségében eljáró bíróság vagy törvényszék általi kezelésével kapcsolatban ellátni. Az igazságszolgáltatás felügyeletét azonban az alábbiakban tárgyalt szakosított testületek biztosítják.

(100)

A biztos általános nyomozati, korrekciós, engedélyezési és tanácsadói hatáskörrel rendelkezik azon személyes adatok kezelésével kapcsolatban, amelyekre a 2018. évi adatvédelmi törvény 3. része vonatkozik. A biztos hatáskörrel rendelkezik arra, hogy értesítse az adatkezelőt vagy az adatfeldolgozót a 3. rész állított megsértéséről, figyelmeztetést adjon ki az adatkezelőnek vagy az adatfeldolgozónak, hogy a tervezett adatkezelési műveletek valószínűleg a 3. rész rendelkezéseibe ütköznek, és megrovást adhat az adatkezelőnek vagy az adatfeldolgozónak, ha az adatkezelési műveletek a 3. rész rendelkezéseibe ütköznek. Ezenkívül saját kezdeményezésére vagy kérelemre a biztos véleményt nyilváníthat az Egyesült Királyság Parlamentjének, a kormánynak vagy más intézményeknek és szerveknek, valamint a nyilvánosságnak a személyes adatok védelmével kapcsolatos bármely kérdésben (168).

(101)

Ezenkívül a biztos hatáskörrel rendelkezik az alábbiakra:

(102)

A biztos szabályozási cselekvési politikája meghatározza azokat a körülményeket, amelyek mellett a biztos adatkérési, vizsgálati, jogérvényesítési felhívást és bírságértesítőt fog kiadni (173). A jogérvényesítési felhívás olyan követelményeket támaszthat, amelyeket a biztos a mulasztás orvoslása érdekében megfelelőnek tart. A bírságértesítő előírja a személynek, hogy az értesítésben meghatározott összeget fizesse meg az információügyi biztosnak. Bírságértesítőt akkor lehet kiadni, ha a 2018. évi adatvédelmi törvény bizonyos rendelkezéseit nem tartották be (174) vagy olyan adatkezelőnek/adatfeldolgozónak adható, amely nem tett eleget adatkérési, vizsgálati vagy jogérvényesítési felhívásnak.

(103)

Pontosabban, annak eldöntésekor, hogy valamely adatkezelőnek/adatfeldolgozónak bírságértesítőt küldenek-e, valamint a büntetés összegének meghatározásakor, az információügyi biztosnak figyelembe kell vennie a 2018. évi adatvédelmi törvény 155. szakaszának (3) bekezdésében felsorolt kérdéseket, ideértve a mulasztás jellegét és súlyosságát, a mulasztás szándékos vagy gondatlan jellegét, az adatkezelő vagy az adatfeldolgozó által az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedést, az adatkezelő vagy az adatfeldolgozó felelősségének mértékét (figyelembe véve az adatkezelő vagy az adatfeldolgozó által végrehajtott technikai és szervezési intézkedéseket), az adatkezelő vagy az adatfeldolgozó esetleges korábbi mulasztásait; a mulasztás által érintett személyes adatok kategóriáit, valamint hogy a büntetés hatékony, arányos és visszatartó erejű legyen.

(104)

A bírságértesítővel kiszabható büntetés maximális összege a) 17 500 000 GBP az adatvédelmi elvek (a 2018. évi adatvédelmi törvény 35., 36., 37. szakasza, 38. szakaszának (1) bekezdése, 39. szakaszának (1) bekezdése és 40. szakasza) az átláthatósági kötelezettségek és az egyének jogai (a 2018. évi adatvédelmi törvény 44., 45., 46., 47., 48., 49., 52. és 53. szakasz), valamint a személyes adatok nemzetközi továbbításának elvei (a 2018. évi adatvédelmi törvény 73., 75., 76., 77. vagy 78. szakasza) be nem tartása kapcsán; és b) 8 700 000 GBP egyéb esetekben (175). Az adatkérési, vizsgálati vagy jogérvényesítési felhívás be nem tartásával kapcsolatban a bírságértesítővel kiszabható büntetés maximális összege 17 500 000 GBP.

(105)

Legfrissebb éves jelentései szerint (2018–2019 (176), 2019–2020 (177)) az információügyi biztos számos vizsgálatot folytatott a személyes adatok bűnüldöző szervek általi kezelése kapcsán. Például a biztos vizsgálatot folytatott, és 2019 októberében véleményt tett közzé az arcfelismerési technológia nyilvános helyeken bűnüldözési céllal történő használatáról. A vizsgálat különösen az élő arcfelismerő képességek használatára összpontosított a dél-walesi rendőrség és a Metropolitan Police Service (MPS) területén. Ezenkívül a biztos megvizsgálta az MPS „bandamátrixát” (178) és számos olyan adatvédelmi jogi jogsértést állapított meg, amelyek valószínűleg aláássák a lakosság mátrixba és az adatok felhasználásába vetett bizalmát.

(106)

2018 novemberében az információügyi biztos jogérvényesítési felhívást adott ki, és az MPS ezt követően megtette a szükséges lépéseket a biztonság és az elszámoltathatóság növelése, valamint az adatok arányos felhasználásának biztosítása érdekében.

(107)

A legutóbbi jogérvényesítési intézkedésekre másik példa a 325 000 GBP összegű bírság, amelyet a biztos 2018 májusában bocsátott ki a Crown Prosecution Service (királyi ügyészség) ellen, a rendőrségi kihallgatásokat tartalmazó titkosítatlan DVD-k elvesztése miatt. Emellett az információügyi biztos tágabb témákban folytatott vizsgálatokat, például 2020 első felében a mobiltelefonból kinyert adatok rendészeti célokra történő felhasználásáról és az áldozatok adatainak rendőrség általi kezeléséről.

(108)

Az információügyi biztos e végrehajtási hatáskörein túl az adatvédelmi jogszabályok bizonyos megsértései bűncselekménynek minősülnek, ezért büntetőjogi szankciókkal sújthatók (a 2018. évi adatvédelmi törvény 196. szakasza). Ez vonatkozik például a személyes adatok adatkezelő hozzájárulása nélküli megszerzésére vagy közlésére, valamint más személy megbízása a személyes adatok adatkezelő hozzájárulása nélküli közlésével (179); az anonimizált személyes adatnak minősülő információk újbóli azonosítása a személyes adatok anonimizálásáért felelős adatkezelő hozzájárulása nélkül (180); a biztos szándékosan akadályozása abban, hogy gyakorolja a személyes adatok nemzetközi kötelezettségekkel összhangban történő ellenőrzésével kapcsolatos hatáskörét (181), hamis állítások megtétele az adatkérési felhívásra adott válaszul, vagy információk megsemmisítése az adatkérési és vizsgálati felhívások kapcsán (182).

(109)

Az információügyi biztosnak a 2018. évi adatvédelmi törvény 139. szakasza értelmében kötelessége a Parlament mindegyik házának általános jelentés benyújtása a törvény szerinti feladataik ellátásáról (183).

(110)

A személyes adatok bíróságok és igazságszolgáltatás általi kezelésének felügyelete kettős. Ha egy igazságügyi tisztségviselő vagy bíróság nem bírói minőségben jár el, a felügyeletet az információügyi biztos látja el. Amennyiben az adatkezelő bírói minőségben jár el, a biztos nem gyakorolhatja felügyeleti funkcióit (184) és a felügyeletet speciális szervek végzik. Ez az (EU) 2016/680 irányelv 32. cikkében megjelenő felfogást tükrözi.

(111)

A második esetkörben az angliai és walesi bíróságok, valamint az angliai és walesi első és felsőbb bíróságok esetében az említett felügyeletet konkrétan a bírói adatvédelmi testület biztosítja (185). Ezenkívül a Lord Chief Justice és a Senior President of Tribunals adatkezelési tájékoztatót adott ki (186) amely meghatározza, hogy az angliai és walesi bíróságok miként kezelik a személyes adatokat bírósági funkciók ellátása céljából. Hasonló nyilatkozatot adott ki az északír (187) és a skót bírói kar is (188).

(112)

Sőt, Észak-Írországban az északír Lord Chief Justice kinevezett egy legfelsőbb bírósági bírót adatvédelmi felügyelő bírónak (Data Supervisory Judge – DSJ) (189). Ugyancsak útmutatót adtak ki az északír bírói karnak arról, hogy mit kell tenniük adatok elvesztése vagy potenciális elvesztése esetén, valamint az ebből adódó kérdések kezelésének folyamatáról (190).

(113)

Skóciában a Lord President nevezett ki egy adatvédelmi felügyelő bírót az adatvédelmi alapon tett esetleges panaszok kivizsgálására. Ezt a bírósági panaszokra vonatkozó szabályok rögzítik, amelyek az Anglia és Wales vonatkozásában megállapított szabályokat tükrözik (191).

(114)

Végül a Legfelsőbb Bíróságon az egyik legfelsőbb bírósági bírót nevezik ki az adatvédelem felügyeletére.

(115)

A megfelelő védelem biztosítása és különösen a személyhez fűződő jogok érvényesítésének biztosítása érdekében az érintettet hatékony közigazgatási és bírósági jogorvoslatban kell részesíteni, beleértve a kártérítést.

(116)

Először is, az érintettnek joga van panaszt benyújtani az információügyi biztoshoz, ha az érintett úgy ítéli meg, hogy a rá vonatkozó személyes adatokkal kapcsolatban a 2018. évi adatvédelmi törvény 3. részét megszegték (192). A (100) és (109) preambulumbekezdésben leírtak szerint az információügyi biztos hatáskörrel rendelkezik annak értékelésére, hogy az adatkezelő és az adatfeldolgozó megfelel-e a 2018. évi adatvédelmi törvénynek, megkövetelheti tőlük, hogy tegyék meg a szükséges lépéseket, vagy tartózkodjanak azoktól meg nem felelés esetén és bírságot szab ki.

(117)

Másodszor, a 2018. évi adatvédelmi törvény jogot biztosít az információügyi biztos elleni jogorvoslatra. Ha a biztos nem „halad” (193) az érintett által benyújtott panasz ügyében, a panaszost bírósági jogorvoslat illeti meg, mivel a First Tier Tribunal (194) előtt kérheti a biztos arra kötelezését, hogy tegye meg a megfelelő lépéseket a panasz elintézésére, vagy tájékoztassa a panaszost a panasz állásáról (195). Ezenkívül bárki, aki a biztostól a fenti bármelyik felhívást (adatkérési, vizsgálati, jogérvényesítési felhívás vagy bírságértesítő) megkapja, fellebbezést nyújthat be a First Tier Tribunalhoz. Ha ez a bíróság úgy ítéli meg, hogy a biztos döntése nincs összhangban a jogszabályokkal, vagy az információügyi biztosnak másként kellett volna gyakorolnia mérlegelési jogkörét, akkor engedélyeznie kell a fellebbezést, vagy olyan másik felhívást vagy határozatot kell elfogadnia, amelyet az információügyi biztos elfogadhatott volna (196).

(118)

Harmadszor: az egyének az adatkezelőkkel és az adatfeldolgozókkal szemben közvetlenül a bírósághoz fordulva is bírósági jogorvoslatot nyerhetnek a 2018. évi adatvédelmi törvény 167. szakasza alapján. Ha az érintett kérelmére a bíróság meggyőződik arról, hogy megsértették az érintett adatvédelmi jogszabályok szerinti jogait, a bíróság kötelezheti az adatkezelésben érintett adatkezelőt, vagy az adatkezelő nevében eljáró adatfeldolgozót a kötelezésben maghatározott intézkedések megtételére, vagy az abban meghatározott lépésektől való tartózkodásra. Ezenkívül a 2018. évi adatvédelmi törvény 169. szakasza szerint minden olyan személy kártérítésre jogosult az adatkezelőtől vagy az adatfeldolgozótól, aki – az Egyesült Királyság általános adatvédelmi rendeletétől eltérő – adatvédelmi jogszabályok (ideértve a 2018. évi adatvédelmi törvény 3. részét) valamely követelményének megsértése miatt szenved kárt, kivéve, ha az adatkezelő vagy az adatfeldolgozó bizonyítja, hogy az adatkezelő vagy adatfeldolgozó semmilyen módon nem felelős a kárt okozó eseményért. A kártérítés kiterjed mind az anyagi veszteségre, mind a nem vagyoni kárra, például a sérelemre.

(119)

Negyedszer, amennyiben bárki úgy ítéli meg, hogy a hatóságok megsértették jogait, beleértve a magánélethez és az adatvédelemhez fűződő jogokat, az 1998. évi emberi jogi törvény alapján jogorvoslatot kaphat az Egyesült Királyság bíróságai előtt. A 2018. évi adatvédelmi törvény 3. része szerinti adatkezelők – vagyis az illetékes hatóságok – mindig az 1998. évi emberi jogi törvény értelmében vett hatóságok. Az a személy, aki azt állítja, hogy egy hatóság olyan módon járt el (vagy olyan eljárást javasol), amely összeegyeztethetetlen az egyezmény szerinti joggal, következésképpen az 1998. évi emberi jogi törvény 6. szakaszának (1) bekezdése alapján jogellenes, eljárást indíthat a hatóság ellen a megfelelő bíróság vagy törvényszék előtt, vagy bármely bírósági eljárásban hivatkozhat az érintett jogokra, amennyiben a jogellenes cselekmény áldozata (vagy az lenne) (197).

(120)

Ha a bíróság valamely hatóság valamely cselekményét jogellenesnek találja, hatáskörein belül olyan kártérítést vagy jogorvoslatot adhat, illetve határozatot hozhat, amelyet igazságosnak és megfelelőnek tart (198). A bíróság összeegyeztethetetlennek nyilváníthatja az elsődleges jogszabályok valamely rendelkezését az EJEE által biztosított jogokkal is.

(121)

Végül, a nemzeti jogorvoslatok kimerülése után az egyén az Emberi Jogok Európai Bíróságánál kérhet jogorvoslatot az EJEE által biztosított jogok megsértése miatt.

(122)

Az Egyesült Királyság joga bizonyos feltételek mellett engedélyezi a bűnüldöző hatóságok számára az adatok más hatóságokkal való megosztását, a gyűjtés eredeti céljától eltérő célra (úgynevezett „további megosztás”).

(123)

Az (EU) 2016/680 irányelv 4. cikkének (2) bekezdésében előírtakhoz hasonlóan a 2018. évi adatvédelmi törvény 36. szakaszának (3) bekezdése lehetővé teszi az illetékes hatóságok által bűnüldözési célból gyűjtött személyes adatokat további feldolgozását (akár az eredeti adatkezelő vagy egy másik adatkezelő által) bármely más bűnüldözési célra, feltéve, hogy az adatkezelőt törvény felhatalmazza az adatok más célú kezelésére, és az adatkezelés szükséges és arányos (199). Ebben az esetben a 2018. évi adatvédelmi törvény 3. részében biztosított és a fent elemzett összes biztosíték vonatkozik a fogadó hatóság által végzett adatkezelésre.

(124)

Az Egyesült Királyság jogrendjében különböző törvények kifejezetten megengedik a további megosztást. Különösen: i. a Digital Economy Act 2017 elnevezésű (a digitális gazdaságról szóló 2017. évi) törvény lehetővé teszi a hatóságok közötti megosztást többféle célra, például az állami szektorral szembeni bármilyen csalás esetén, amely egy hatóság számára veszteséggel vagy veszteség kockázatával járna (200) vagy hatósággal vagy az állammal szemben fennálló tartozás esetén (201); ii. a Crime and Courts Act 2013 elnevezésű (a bűncselekményekről és bíróságokról szóló 2013. évi) törvény lehetővé teszi az információk Nemzeti Bűnügyi Ügynökséggel (NCA) (202) való megosztását a súlyos bűncselekmények és a szervezett bűnözés elleni küzdelem, azok nyomozása és a büntetőeljárás lefolytatása érdekében; iii. a Serious Crime Act 2007 elnevezésű (a súlyos bűncselekményekről szóló 2007. évi) törvény lehetővé teszi a hatóságok számára, hogy csalás megelőzése céljából információkat közöljenek a csalásellenes szervezetekkel (203).

(125)

Ezek a törvények kifejezetten előírják, hogy az információmegosztásnak meg kell felelnie a 2018. évi adatvédelmi törvényben meghatározott szabályoknak. Emellett a Rendészeti Főiskola kiadta az információmegosztás engedélyezett szakmai gyakorlatát (204) a rendőrségnek az Egyesült Királyság általános adatvédelmi rendelete, adatvédelmi törvény és 1998. évi emberi jogi törvény szerinti adatvédelmi kötelezettségeik teljesítésében történő segítségnyújtás céljából. A megosztás irányadó adatvédelmi jogi keretnek való megfelelése tekintetében természetesen bírósági felülvizsgálatnak helye van (205).

(126)

Ezenkívül az (EU) 2016/680 irányelv 9. cikkében foglaltakhoz hasonlóan a 2018. évi adatvédelmi törvény előírja, hogy a bűnüldözési célokból gyűjtött személyes adatokat a bűnüldözés céljától eltérő célból is fel lehet dolgozni, amennyiben az adatkezelést törvény engedélyezi (206). Ez a típusú megosztás két esetkört ölel fel: 1) amikor a bűnüldöző hatóság az adatokat egy hírszerző ügynökségnek nem minősülő, nem bűnüldöző végrehajtó hatósággal osztja meg (például pénzügyi vagy adóhatóság, versenyhatóság, ifjúsági jóléti hivatal); 2) amikor a bűnüldöző hatóság az adatokat hírszerző ügynökséggel osztja meg. Az első esetkör szerint a személyes adatok feldolgozása az Egyesült Királyság általános adatvédelmi rendeletének, valamint a 2018. évi adatvédelmi törvény 2. részének hatálya alá tartozik. Az (EU) 2016/679 rendelet alapján elfogadott határozatban előírtak szerint az Egyesült Királyság általános adatvédelmi rendelete és a 2018. évi adatvédelmi törvény 2. része által biztosított biztosítékok olyan szintű védelmet nyújtanak, amely lényegében megegyezik az Unión belül biztosított védelemmel (207).

(127)

A második esetkörben a bűnüldöző hatóságok által nemzetbiztonsági célokból gyűjtött adatok hírszerző ügynökséggel történő megosztása tekintetében az említett megosztás jogalapja a Counter Terrorism Act 2008 elnevezésű (terrorizmus elleni 2008. évi) törvény (208). A terrorizmus elleni 2008. évi törvény alapján bárki információt adhat bármely hírszerző ügynökségnek az ügynökség bármely feladatának ellátása céljából, beleértve a „nemzetbiztonságot” is.

(128)

Az adatok nemzetbiztonsági célú megosztását illetően a hírszerző ügynökségekről szóló törvény és a biztonsági szolgálatokról szóló törvény a törvényi funkcióik ellátásához szükséges mértékre korlátozza a hírszerző ügynökségek adatszerzési képességét. A 2018. évi adatvédelmi törvény 3. részének hatálya alá tartozó, az adatok hírszerző ügynökségekkel történő megosztására törekvő illetékes hatóságoknak az ügynökségek jogszerű feladatain túlmenően számos tényezőt/korlátozást is figyelembe kell venniük, amelyeket a hírszerző ügynökségekről szóló törvény és a biztonsági szolgálatokról szóló törvény (209) határoz meg. A terrorizmus elleni 2008. évi törvény 20. szakasza egyértelművé teszi, hogy a terrorizmus elleni 2008. évi törvény 19. szakasza szerinti adatmegosztásnak továbbra is meg kell felelnie az adatvédelmi jogszabályoknak; ami azt jelenti, hogy a 2018. évi adatvédelmi törvény összes korlátozása és követelménye érvényesül. Ezenkívül a bűnüldöző hatóságok és a hírszerző ügynökségek az 1998. évi emberi jogi törvény alkalmazásában hatóságok, és ezért biztosítaniuk kell, hogy az EJEE által garantált jogokkal – ideértve annak 8. cikkét is – összhangban járjanak el. Más megfogalmazásban ezek a követelmények azt jelentik, hogy a bűnüldöző szervek és a hírszerző ügynökség közötti minden adatmegosztásnak meg kell felelnie az adatvédelmi jogszabályoknak és az EJEE-nek.

(129)

A bűnüldöző hatóságoktól kapott vagy megszerzett személyes adatok hírszerző ügynökségek általi, nemzetbiztonsági célokra történő kezelésére számos feltétel és biztosíték vonatkozik (210). A 2018. évi adatvédelmi törvény 4. része a hírszerző ügynökség által vagy nevében végzett minden adatkezelésre vonatkozik, meghatározza a fő adatvédelmi elveket (jogszerűség, tisztesség és átláthatóság) (211); célhoz kötöttség (212); adattakarékosság (213); pontosság (214); tárolás korlátozása (215) és biztonság (216), feltételeket szab a különleges adatok kategóriáinak kezelésére (217), rendelkezik az érintettek jogairól (218), megköveteli a beépített adatvédelmet (219) és szabályozza a személyes adatok nemzetközi továbbítását (220).

(130)

Ugyanakkor a 2018. évi adatvédelmi törvény 110. szakasza kivételt ír elő a 2018. évi adatvédelmi törvény 4. részének meghatározott rendelkezései alól, amennyiben az említett kivételre a nemzetbiztonság megőrzése érdekében van szükség. A 2018. évi adatvédelmi törvény 110. szakaszának (2) bekezdése sorolja fel azokat a rendelkezéseket, amelyek alól kivétel engedélyezhető. Ide tartoznak az adatvédelmi elvek (a jogszerűség elvének kivételével), az érintettek jogai, az információügyi biztos tájékoztatásának kötelezettsége a személyes adatok megsértéséről, az információügyi biztos nemzetközi kötelezettségeknek megfelelő ellenőrzési hatásköre, az információügyi biztos bizonyos végrehajtási hatáskörei, az egyes adatvédelmi megsértéseket bűncselekménnyé nyilvánító rendelkezések, valamint az adatkezelés speciális, például újságírói, tudományos vagy művészeti céljaira, vonatkozó rendelkezések. Ezt a kivételt eseti elemzés alapján lehet igénybe venni (221). Amint azt az Egyesült Királyság hatóságai kifejtették és az Egyesült Királyság bíróságainak ítélkezési gyakorlata megerősítette, „a) az adatkezelőnek mérlegelnie kell a nemzetbiztonságra vagy a védelemre gyakorolt tényleges következményeket, ha be kellene tartaniuk az adott adatvédelmi rendelkezést, és ha észszerűen eleget tudnak tenni a szokásos szabálynak a nemzetbiztonság vagy a védelem befolyásolása nélkül” (222). Az, hogy a kivételt megfelelően alkalmazzák-e, a biztos felügyelete alá tartozik (223).

(131)

Ezenkívül a fent említett jogok bármelyike korlátozásának lehetőségével kapcsolatban a 2018. évi adatvédelmi törvény 79. szakasza előírja, hogy a „nemzetbiztonság” érdekében az adatkezelő kérhet a kabinetminiszter vagy a legfőbb ügyész által aláírt tanúsítványt, amely tanúsítja, hogy az említett jogok korlátozása jelenleg vagy mindenkor szükséges és arányos intézkedés a nemzetbiztonság védelme érdekében (224). Az Egyesült Királyság kormánya útmutatót adott ki a 2018. évi adatvédelmi törvény szerint a nemzeti biztonsági tanúsítványokról, amely kiemeli, hogy az érintettek jogai korlátozásának a nemzetbiztonság védelme érdekében arányosnak és szükségesnek kell lennie (225). Valamennyi nemzeti biztonsági tanúsítványt közzé kell tenni a biztos honlapján (226).

(132)

A tanúsítvány meghatározott időtartamra, legfeljebb öt évre szólhat, ezért azt a végrehajtó hatalom rendszeresen felülvizsgálja (227). A tanúsítványban meg kell jelölni a kivétel hatálya alá tartozó személyes adatokat vagy személyesadat-kategóriákat, valamint a 2018. évi adatvédelmi törvény azon rendelkezéseit, amelyekre a kivétel vonatkozik (228).

(133)

Fontos megjegyezni, hogy a nemzetbiztonsági tanúsítványok nem jelentenek további alapot az adatvédelmi jogok nemzetbiztonsági okokból történő korlátozásához. Más megfogalmazásban: az adatkezelő vagy az adatfeldolgozó csak akkor veheti igénybe a tanúsítványt, ha megállapítást nyert, hogy szükség van a nemzetbiztonsági kivételre, amelyet esetenkénti alapon kell alkalmazni. Még ha nemzetbiztonsági tanúsítvány is vonatkozik a szóban forgó kérdésre, a biztos megvizsgálhatja, hogy a nemzetbiztonsági kivételre hivatkozás egy adott esetben indokolt volt-e (229).

(134)

Bármely személy, akit a tanúsítvány kiállítása közvetlenül érint, fellebbezést nyújthat be a Felsőbb Törvényszékhez (230) a tanúsítvány ellen (231) vagy ha a tanúsítvány általános leírás alapján azonosítja az adatokat, megtámadhatja a tanúsítvány konkrét adatokra való alkalmazását (232).

(135)

A törvényszék felülvizsgálja a tanúsítvány kiadásáról szóló határozatot, és dönt, hogy volt-e észszerű indok a tanúsítvány kiadására (233). Számos kérdést mérlegelhet, beleértve a szükségességet, az arányosságot és a jogszerűséget, figyelemmel az érintettek jogaira gyakorolt hatásra, és a nemzetbiztonság védelme szükségességének kiegyensúlyozására. Ennek eredményeként a bíróság megállapíthatja, hogy a tanúsítvány nem vonatkozik a fellebbezés tárgyát képező konkrét személyes adatokra (234).

(136)

A lehetséges korlátozások egy másik csoportja a 2018. évi adatvédelmi törvény 11. melléklete alapján a 2018. évi adatvédelmi törvény 4. részének egyes rendelkezéseire (235) egyéb fontos általános közérdekű vagy védett érdekek – például parlamenti kiváltságok, jogi szakmai kiváltságok (ügyvédi titoktartás), bírósági eljárások lefolytatása vagy a fegyveres erők harci hatékonysága – védelmére alkalmazott korlátozásokat érinti. Ezeknek a rendelkezéseknek az alkalmazása alóli kivétel bizonyos adatkategóriákra vonatkozik („csoportalapú”), vagy pedig a kivétel annyiban érvényesül, amennyiben e rendelkezések alkalmazása valószínűleg sérti a védett érdekeket („sérelem alapú”) (236). A sérelmen alapuló kivételekre csak akkor lehet hivatkozni, amennyiben a felsorolt adatvédelmi rendelkezések alkalmazása valószínűleg sérti a szóban forgó konkrét érdekeket. A kivétel alkalmazását ezért mindig indokolni kell az adott esetben valószínűleg bekövetkező, releváns sérelemre való hivatkozással. Csoportalapú kivételekre csak azon konkrét, szűken meghatározott adatkategóriák esetében lehet hivatkozni, amelyekre a mentességet megadják. Ezek célja és hatása hasonló az Egyesült Királyság általános adatvédelmi rendelete alóli számos kivételhez (a 2018. évi adatvédelmi törvény 2. melléklete alapján), amelyek viszont tükrözik a GDPR 23. cikkében foglaltakat.

(137)

A fentiekből következik, hogy az alkalmazandó egyesült királyságbeli jogszabályi rendelkezések tekintetében – a bíróságok és az Információügyi Bizottság által is értelmezett – korlátozások és feltételek érvényesülnek annak biztosítása érdekében, hogy ezek a kivételek és korlátozások a nemzetbiztonság védelméhez szükséges és arányos határokon belül maradjanak.

(138)

A személyes adatok hírszerző ügynökségek által a 2018. évi adatvédelmi törvény 4. része alapján végzett kezelését az információügyi biztos felügyeli (237).

(139)

Az információügyi biztos általános feladatait a személyes adatok hírszerző ügynökségek általi, a 2018. évi adatvédelmi törvény 4. része szerinti kezelésével kapcsolatban a 2018. évi adatvédelmi törvény 13. melléklete állapítja meg. A feladatok a teljesség igénye nélkül magukban foglalják a 2018. évi adatvédelmi törvény 4. részének nyomon követését és végrehajtását, a közvélemény tudatosságának növelését, a Parlamentnek, a kormánynak és más intézményeknek történő tanácsadást a jogalkotási és közigazgatási intézkedések terén, az ellenőrök és adatfeldolgozók kötelezettségei tudatosításának előmozdítását, az érintettek tájékoztatását az érintett jogainak gyakorlásáról és vizsgálatok lefolytatását.

(140)

A biztos – mint a 2018. évi adatvédelmi törvény 3. része esetében is – hatáskörrel rendelkezik arra, hogy értesítse az adatkezelőket az állítólagos jogsértésekről, és figyelmeztetéseket adjon ki, hogy egy adatkezelés valószínűleg a szabályokba ütközik, és a jogsértés megállapításakor megrovást ad. Kiadhat jogérvényesítési felhívást és bírságértesítőt is a törvény bizonyos rendelkezéseinek megsértése esetén (238). Ugyanakkor a 2018. évi adatvédelmi törvény más részeitől eltérően a biztos nem adhat ki vizsgálati felhívást a nemzetbiztonságnak (239).

(141)

Ezenkívül a 2018. évi adatvédelmi törvény 110. szakasza kivételt tesz a biztos bizonyos hatásköreinek használata alól, amennyiben erre a nemzetbiztonság védelme érdekében van szükség. Idetartozik a biztos arra vonatkozó hatásköre, hogy az adatvédelmi törvény alapján (bármilyen típusú) felhívást adjon ki (adatkérési, vizsgálati, jogérvényesítési felhívás és bírságértesítők), a nemzetközi kötelezettségeknek megfelelő ellenőrzések elvégzésének hatásköre, a belépési és ellenőrzési jogkörök, valamint a bűncselekményekre vonatkozó szabályok (240). Amint azt a (136) preambulumbekezdés kifejti, ezek a kivételek csak szükség esetén és arányosan, eseti alapon érvényesülnek. A kivételek alkalmazása ellen bírósági felülvizsgálatnak lehet helye (241).

(142)

A biztos és az Egyesült Királyság hírszerző ügynökségei egyetértési megállapodást írtak alá (242), amely létrehozza az együttműködés kereteit számos kérdésben, ideértve az adatvédelmi bejelentéseket és az érintettek panaszainak kezelését. Különösen azt írja elő, hogy a panasz kézhezvételekor a biztos értékeli, hogy a nemzetbiztonsági kivételre megfelelően hivatkoztak-e. A biztos által az egyedi panaszok vizsgálata kapcsán feltett kérdésekre 20 munkanapon belül választ kell adnia az érintettnek az Egyesült Királyság kormányának az adatvédelmi törvény szerinti nemzetbiztonsági tanúsítványokról szóló, megfelelő útmutatója szerint, megfelelő biztonságos csatornákon keresztül, ha minősített adatokat érint. 2018 áprilisától a mai napig a biztos 21 panaszt kapott magánszemélyektől a hírszerző ügynökségekkel kapcsolatban. Minden panaszt értékeltek, és az eredményről tájékoztatták az érintettet (243).

(143)

Ezenkívül a Hírszerzési és Biztonsági Bizottság (ISC) parlamenti felügyeletet lát el a hírszerző ügynökségek által végzett adatkezelés felett. Ennek a bizottságnak a jogszabályi alapja a Justice and Security Act 2013 elnevezésű (2013. évi igazságügyi és biztonsági) törvény (244). A törvény az ISC-t az Egyesült Királyság Parlamentjének bizottságaként hozza létre. Az ISC tagjai a Parlament bármely házának képviselői, akiket a miniszterelnök nevez ki az ellenzék vezetőjével folytatott konzultációt követően (245). Az ISC-nek éves jelentést kell készítenie a Parlamentnek feladatai ellátásáról, valamint egyéb, általa megfelelőnek tartott jelentéseket (246).

(144)

2013 óta az ISC nagyobb hatásköröket kapott, ideértve a biztonsági szolgálatok operatív tevékenységeinek felügyeletét is. A 2013. évi igazságügyi és biztonsági törvény 2. szakasza értelmében az ISC feladata a nemzetbiztonsági ügynökségek kiadásainak, adminisztrációjának, politikájának és működésének felügyelete. A 2013. évi igazságügyi és biztonsági törvény meghatározza, hogy az ISC operatív kérdésekben vizsgálatokat folytathat le, ha azok nem folyamatban lévő műveletekhez kapcsolódnak (247). A miniszterelnök és az ISC között megkötött egyetértési megállapodás (248) részletesen meghatározza azokat az elemeket, amelyeket figyelembe kell venni annak mérlegelésekor, hogy egy tevékenység nem része-e valamely folyamatban lévő műveletnek (249). Az ISC-t felkérheti a miniszterelnök is a folyamatban lévő műveletek kivizsgálására, és felülvizsgálhatja az ügynökségek által önkéntesen szolgáltatott információkat.

(145)

A 2013. évi igazságügyi és biztonsági törvény 1. melléklete értelmében az ISC felkérheti a három hírszerző ügynökség bármelyikének vezetőjét, hogy adjon ki adatokat. Az ügynökségnek hozzáférhetővé kell tennie ezeket az adatokat, kivéve, ha a miniszter megvétózza ezt (250). Az Egyesült Királyság hatóságai kifejtették, hogy a gyakorlatban nagyon kevés információt tartanak vissza az ISC-től (251).

(146)