(1)

Direktyvoje (ES) 2016/680 nustatytos taisyklės dėl asmens duomenų perdavimo iš Sąjungos kompetentingų institucijų trečiosioms valstybėms ir tarptautinėms organizacijoms, kai toks duomenų perdavimas patenka į direktyvos taikymo sritį. Kompetentingų institucijų vykdomo tarptautinio duomenų perdavimo taisyklės yra nustatytos Direktyvos (ES) 2016/680 V skyriuje, tiksliau – 35–40 straipsniuose. Nors asmens duomenų srautas į Europos Sąjungai nepriklausančias valstybes ir iš jų yra labai svarbus veiksmingam bendradarbiavimui teisėsaugos srityje, būtina garantuoti, kad Europos Sąjungoje užtikrinamas asmens duomenų apsaugos lygis dėl tokio duomenų perdavimo nesumažėtų (2).

(2)

Pagal Direktyvos (ES) 2016/680 36 straipsnio 3 dalį Komisija, priimdama įgyvendinimo aktą, gali nuspręsti, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Tokiu atveju perduodant asmens duomenis trečiajai valstybei jokio papildomo leidimo gauti nereikia (išskyrus tuos atvejus, kai kita valstybė narė, iš kurios gauti duomenys, turi duoti leidimą perduoti duomenis), kaip nurodyta Direktyvos (ES) 2016/680 35 straipsnio 1 dalyje ir 66 konstatuojamojoje dalyje.

(3)

Kaip nurodyta Direktyvos (ES) 2016/680 36 straipsnio 2 dalyje, sprendimas dėl duomenų apsaugos tinkamumo turi būti priimamas nuodugniai išnagrinėjus trečiosios valstybės teisinę sistemą. Atlikdama vertinimą Komisija turi nustatyti, ar atitinkama valstybė garantuoja tokio lygio apsaugą, kuri yra „iš esmės lygiavertė“ Europos Sąjungoje užtikrinamai apsaugai (Direktyvos (ES) 2016/680 67 konstatuojamoji dalis). Standartas, kuriuo remiantis vertinamas „esminis lygiavertiškumas“, yra nustatytas ES teisės aktuose, visų pirma Direktyvoje (ES) 2016/680, ir Europos Sąjungos Teisingumo Teismo jurisprudencijoje (3). Šiuo atžvilgiu taip pat svarbią reikšmę turi Europos duomenų apsaugos valdybos tinkamumo pavyzdžiai (4).

(4)

Kaip išaiškino Europos Sąjungos Teisingumo Teismas, pagal šią nuostatą nereikalaujama, kad apsauga būtų tokio paties lygio (5). Visų pirma, priemonės, kurių gali imtis atitinkama trečioji valstybė, siekdama apsaugoti asmens duomenis, gali skirtis nuo Europos Sąjungoje taikomų priemonių, jeigu šios priemonės padeda veiksmingai užtikrinti praktinę tinkamo lygio apsaugą (6). Todėl pagal tinkamumo kriterijų nėra reikalaujama Sąjungos taisykles atkartoti papunkčiui. Veikiau pagal šį kriterijų turi būti patikrinta, ar visoje užsienio valstybės sistemoje užtikrinamas reikiamas apsaugos lygis – teisių į privatumą esmė, veiksmingas jų įgyvendinimas, priežiūra ir įgyvendinimo užtikrinimas (7).

(5)

Komisija atidžiai išanalizavo atitinkamą Jungtinės Karalystės teisę ir praktiką. Remdamasi toliau išdėstytais nustatytais faktais, Komisija daro išvadą, kad Jungtinė Karalystė užtikrina tinkamą kompetentingų Sąjungos institucijų, kurios patenka į Direktyvos (ES) 2016/680 taikymo sritį, Jungtinės Karalystės kompetentingoms institucijoms, kurios patenka į 2018 m. Duomenų apsaugos akto (toliau – 2018 m. DAA) (8) 3 dalies taikymo sritį, perduodamų asmens duomenų apsaugos lygį.

(6)

Pagal šį sprendimą, nepažeidžiant Direktyvos (ES) 2016/680 35 straipsnyje išdėstytų sąlygų, duomenis bus galima perduoti be reikalavimo gauti papildomą leidimą ketverius metus (su galimybe terminą pratęsti).

(7)

Jungtinė Karalystė yra parlamentinės demokratijos valstybė. Joje veikia suverenus parlamentas – viršiausias iš visų kitų Vyriausybės institucijų, iš parlamento narių renkama ir parlamentui atskaitinga vykdomoji valdžia ir nepriklausoma teisminė valdžia. Vykdomosios valdžios įgaliojimai grindžiami išrinktų Bendruomenių rūmų pasitikėjimu ir ji yra atskaitinga abiem Parlamento rūmams (Bendruomenių rūmams ir Lordų rūmams), kurie prižiūri Vyriausybės veiklą ir svarsto bei priima įstatymus. Jungtinės Karalystės Parlamentas atsakomybę priimti teisės aktus tam tikrais Škotijos, Velso ir Šiaurės Airijos vidaus klausimais yra perdavęs Škotijos parlamentui, Velso parlamentui (Senedd Cymru) ir Šiaurės Airijos asamblėjai. Nors duomenų apsauga priklauso Jungtinės Karalystės parlamento kompetencijai, t. y. visoje šalyje taikomi tie patys teisės aktai, kitos su šiuo sprendimu susijusios politikos sritys yra deleguotos. Pavyzdžiui, Škotijos ir Šiaurės Airijos baudžiamosios teisėsaugos sistemų, įskaitant policijos veiklą (policijos pajėgų vykdomą veiklą), klausimai yra perduoti spręsti atitinkamai Škotijos parlamentui ir Šiaurės Airijos asamblėjai (9).

(8)

Jungtinė Karalystė neturi kodifikuotos konstitucijos, kuri būtų įtvirtinta konstituciniame dokumente, jos konstituciniai principai vystėsi ilgą laiką ir yra kildinami iš teismų praktikos, ypač papročių. Teismai pripažino konstitucinę tam tikrų įstatymų, pvz., Magna Carta, 1689 m. Teisių bilio ir 1998 m. Žmogaus teisių akto, svarbą. Pagrindinės asmenų teisės, kurios yra sudedamoji konstitucijos dalis, plėtotos bendrojoje teisėje, įstatymuose ir tarptautinėse sutartyse, visų pirma, Europos žmogaus teisių konvencijoje (toliau – EŽTK), kurią Jungtinė Karalystė ratifikavo 1951 m. 1987 m. Jungtinė Karalystė taip pat yra ratifikavusi Europos Tarybos konvenciją dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (toliau – 108-oji konvencija) (10).

(9)

1998 m. Žmogaus teisių aktu EŽTK įtvirtintos teisės perkeltos į Jungtinės Karalystės teisę. Šiuo aktu bet kuriam asmeniui suteikiamos EŽTK 2–12 ir 14 straipsniuose, jos Pirmojo protokolo 1–3 straipsniuose ir jos Tryliktojo protokolo 1 straipsnyje (skaitant juos kartu su tos EŽTK 16–18 straipsniais) nustatytos pagrindinės teisės ir laisvės. Prie šių teisių ir laisvių taip pat priskiriama teisė į privatų ir šeimos gyvenimą, kuri apima teisę į duomenų apsaugą, ir teisė į teisingą bylos nagrinėjimą (11). Svarbu pažymėti, kad pagal EŽTK 8 straipsnį valdžios institucija teisę į privatumą pagal įstatymą gali apriboti tik tada, kai tai būtina demokratinėje visuomenėje valstybės saugumo, visuomenės apsaugos ar šalies ekonominės gerovės interesams, siekiant užkirsti kelią viešosios tvarkos pažeidimams ar nusikaltimams, taip pat žmonių sveikatai ar moralei arba kitų asmenų teisėms ir laisvėms apsaugoti.

(10)

Pagal 1998 m. Žmogaus teisių aktą bet koks valdžios institucijų veiksmas turi būti suderinamas su pagal EŽTK garantuojama teise (12). Be to, pirminės teisės aktai ir poįstatyminiai aktai turi būti aiškinami ir įgyvendinami su tomis teisėmis suderinamu būdu (13). Jeigu asmuo mano, kad valdžios institucijos pažeidė jo teises, įskaitant teises į privatumą ir duomenų apsaugą, pagal 1998 m. Žmogaus teisių aktą jis gali ginti savo teises Jungtinės Karalystės teismuose, o išnaudojęs visas nacionalines teisių gynimo priemones, dėl EŽTK garantuojamų teisių pažeidimo kreiptis į Europos žmogaus teisių teismą.

(11)

2020 m. sausio 31 d. Jungtinė Karalystė išstojo iš Sąjungos. Pagal Susitarimą dėl Jungtinės Didžiosios Britanijos ir Šiaurės Airijos Karalystės išstojimo iš Europos Sąjungos ir Europos atominės energijos bendrijos (14), pereinamuoju laikotarpiu iki 2020 m. gruodžio 31 d. Jungtinei Karalystei toliau taikyta Sąjungos teisė. Iki išstojimo ir pereinamuoju laikotarpiu asmens duomenų apsaugos teisės normas, kuriomis buvo reglamentuojamas asmens duomenų tvarkymas Jungtinės Karalystės kompetentingose institucijose nusikalstamų veikų prevencijos, tyrimo, atskleidimo arba baudžiamojo persekiojimo už jas tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir tų grėsmių prevenciją, Jungtinėje Karalystėje sudarė atitinkamos 2018 m. Duomenų apsaugos akto nuostatos, kuriomis į nacionalinę teisę perkelta Direktyva (ES) 2016/680.

(12)

Rengdamasi išstojimui iš ES, Jungtinės Karalystės Vyriausybė priėmė 2018 m. Išstojimo iš Europos Sąjungos aktą (15) (toliau – Išstojimo iš ES aktas), kuriuo tiesiogiai taikytini Sąjungos teisės aktai buvo perkelti į Jungtinės Karalystės teisę ir buvo nustatyta, kad pagal ES teisę priimtos vidaus teisės normos galios ir pereinamajam laikotarpiui pasibaigus. 2018 m. DAA (16), kuriuo į nacionalinę teisę perkelta Direktyva (ES) 2016/680, 3 dalis pagal Išstojimo iš ES aktą yra laikoma pagal ES teisę priimtomis vidaus teisės normomis. Remiantis Išstojimo iš ES aktu, pagal ES teisę priimtas ir nepakeistas vidaus teisės normas Jungtinės Karalystės teismai privalo aiškinti atsižvelgdami į atitinkamą Europos Sąjungos Teisingumo Teismo (toliau – Teisingumo Teismas) jurisprudenciją ir bendruosius Sąjungos teisės principus, kurie galiojo prieš pat pereinamojo laikotarpio pabaigą (atitinkamai vadinama „palikta galioti ES jurisprudencija“ ir „palikti galioti bendrieji ES teisės principai“) (17).

(13)

Pagal Išstojimo iš ES aktą Jungtinės Karalystės ministrai turi įgaliojimus įstatyminiais dokumentais priimti antrinės teisės aktus ir jais, atsižvelgdami į Jungtinės Karalystės išstojimo iš Sąjungos pasekmes, atlikti būtinus paliktos galioti ES teisės pakeitimus. Šiais įgaliojimais jie naudojasi pagal 2019 m. Duomenų apsaugos, privatumo ir elektroninių ryšių (su pakeitimais) (išstojimo iš ES) taisykles (toliau – DAPER taisyklės) (18). Jomis Jungtinės Karalystės duomenų apsaugos teisės aktai, įskaitant 2018 m. DAA, buvo iš dalies pakeisti, kad atitiktų šalies vidaus aplinkybes (19).

(14)

Todėl teisiniai standartai, taikomi duomenų tvarkymui kompetentingose institucijose baudžiamųjų veikų prevencijos, tyrimo, atskleidimo, patraukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įskaitant apsaugą nuo grėsmių Jungtinės Karalystės visuomenės saugumui ir tų grėsmių prevenciją, pagal Išstojimo susitarimą po pereinamojo laikotarpio bus išdėstyti atitinkamose DAPER taisyklėmis iš dalies pakeistose 2018 m. DAA dalyse, visų pirma – 3 dalyje. Jungtinės Karalystės bendrasis duomenų apsaugos reglamentas (toliau – Jungtinės Karalystės BDAR) tokiam duomenų tvarkymui netaikomas.

(15)

2018 m. DAA 3 dalyje išdėstytos asmens duomenų tvarkymo baudžiamosios teisėsaugos tikslais taisyklės, įskaitant duomenų apsaugos principus, teisinius duomenų tvarkymo pagrindus (teisėtumą), duomenų subjektų teises, kompetentingų institucijų, atliekančių duomenų valdytojų funkcijas, prievoles ir tolesnio duomenų perdavimo apribojimus. O teisėsaugos sektoriui taikytinos taisyklės dėl priežiūros, vykdymo užtikrinimo ir žalos atlyginimo yra išdėstytos 2018 m. DAA 5 ir 6 dalyse.

(16)

Be to, turint galvoje atitinkamą policijos pajėgoms tenkantį vaidmenį teisėsaugos sektoriuje, reikėtų atsižvelgti į policijai taikomas taisykles. Kadangi policijos funkcijos yra deleguotos, a) Anglijos ir Velso, b) Škotijos ir c) Šiaurės Airijos policijai taikomi skirtingi teisės aktai, nors jų turinys dažnai yra panašus (20). Papildomi paaiškinimai, kaip turėtų būti naudojamasi policijai suteiktais įgaliojimais, išdėstyti įvairaus pobūdžio gairėse. Politikos gairės yra trijų pagrindinių formų: 1) pagal teisės aktus paskelbtos įstatyminės gairės, pavyzdžiui, Etikos kodeksas (21) ir Policijos informacijos valdymo praktikos kodeksas (toliau – PIV praktikos kodeksas) (22); paskelbti pagal 1996 m. Policijos aktą (23), arba kodeksai (24), paskelbti pagal Policijos ir baudžiamųjų įrodymų aktą (25); 2) Policijos koledžo paskelbtas Policijos informacijos valdymo leistinos profesinės praktikos aprašas (Policijos informacijos valdymo LPP aprašas) (26) ir 3) operatyvinės gairės (jas skelbia pati policija). Nacionalinė policijos vadovų taryba (visų Jungtinės Karalystės policijos pajėgų koordinavimo institucija) skelbia operatyvines gaires, kurias visos policijos pajėgos turi patvirtinti, todėl jos yra taikomos nacionaliniu lygiu (27). Šių gairių paskirtis – užtikrinti, kad visose pajėgose informacija būtų valdoma vienodai (28).

(17)

PIV praktikos kodeksą 2005 m. paskelbė valstybės sekretorius, naudodamasis pagal 1996 m. Policijos akto (29) 39A straipsnį suteiktais įgaliojimais. Bet kurį pagal Policijos aktą skelbiamą kodeksą turi tvirtinti valstybės sekretorius, o prieš teikiant jį Parlamentui, dėl jo turi būti konsultuojamasi su Nacionaline nusikaltimų agentūra. Policijos akto 39A straipsnio 7 dalyje reikalaujama, kad policija deramai laikytųsi pagal šį aktą paskelbtų kodeksų, todėl policija turėtų šio kodekso laikytis (30). Be to, neįstatyminės gairės (Policijos informacijos valdymo LPP aprašas) visais atvejais privalo atitikti teisiškai viršesnį PIV praktikos kodeksą (31).. Bet kuriuo atveju, nors tam tikrų operatyvinių atvejų, kai policijos pareigūnams reikės nukrypti nuo šių gairių, gali pasitaikyti, policijos pareigūnai vis tiek turi laikytis 2018 m. DAA 3 dalies (32).

(18)

Išsamesnes gaires dėl Jungtinės Karalystės duomenų apsaugos teisės aktų, pagal kuriuos duomenys yra tvarkomi teisėsaugos sektoriuje, yra parengęs informacijos komisaras (33) (daugiau informacijos apie informacijos komisarą pateikta 93–109 konstatuojamosiose dalyse). Nors gairės nėra teisiškai privalomos, teismai turėtų atsižvelgti į visus jų pažeidimus, nes tam tenka aiškinamasis vaidmuo ir tai parodo, kaip komisaras aiškina duomenų apsaugos gaires ir užtikrina jų vykdymą praktiškai (34).

(19)

Galiausiai pažymėtina, kad, kaip nurodyta 8–10 konstatuojamosiose dalyse, Jungtinės Karalystės teisėsaugos agentūros privalo užtikrinti, kad būtų laikomasi (EŽTK) ir 108-osios konvencijos.

(20)

Pagal struktūrą ir pagrindines sudedamąsias dalis duomenų tvarkymą Jungtinės Karalystės baudžiamosios teisėsaugos institucijose reglamentuojantys teisės aktai yra labai panašūs į taikomus ES. Taip pat pažymėtina, kad šią teisinę sistemą sudaro ne tik pagal ES teisę suformuotos vidaus teisės normos, bet ir tarptautinėje teisėje nustatyti įpareigojimai, kurių Jungtinė Karalystė laikosi, visų pirma, pagal EŽTK ir 108-ąją konvenciją bei paklusdama Europos Žmogaus Teisių Teismo jurisdikcijai. Tad šie įpareigojimai, kylantys iš teisiškai privalomų tarptautinių dokumentų, visų pirma susijusių su asmens duomenų apsauga, yra ypač svarbus šiame sprendime vertinamos teisinės sistemos aspektas.

(21)

2018 m. DAA 3 dalies materialinė taikymo sritis sutampa su Direktyvos (ES) 2016/680 2 straipsnio 2 dalyje nurodyta taikymo sritimi. 3 dalis taikoma kompetentingos institucijos vykdomam asmens duomenų tvarkymui visiškai arba iš dalies automatizuotomis priemonėmis ir kompetentingos institucijos vykdomam asmens duomenų, kurie sudaro arba yra skirti sudaryti susisteminto rinkinio dalį, tvarkymui neautomatizuotomis priemonėmis.

(22)

Be to, tam, kad duomenų tvarkymas patektų į 3 dalies taikymo sritį, duomenų valdytojas turi būti „kompetentinga institucija“, o duomenys turi būti tvarkomi „teisėsaugos tikslu“. Todėl šiame sprendime vertinama duomenų apsaugos tvarka taikoma visai šių kompetentingų institucijų veiklai teisėsaugos srityje.

(23)

Pagal DAA 30 straipsnyje pateiktą apibrėžtį „kompetentinga institucija“ yra laikomas 2018 m. DAA 7 priede nurodytas asmuo ir bet kuris kitas asmuo, kuris vykdo įstatymuose nustatytas funkcijas bet kuriuo iš teisėsaugos tikslų. Prie 7 priede išvardytų kompetentingų institucijų priskiriamos ne tik policijos pajėgos, bet ir visi Jungtinės Karalystės Vyriausybės ministerijų departamentai ir kitos tyrimų funkcijas vykdančios institucijos (pvz., Jos Didenybės mokesčių ir muitų komisaras, Velso mokesčių institucija, Konkurencijos ir rinkų institucija, Jos Didenybės žemės registras ir Nacionalinė nusikaltimų agentūra), prokuratūros tarnybos, kitos baudžiamojo teisingumo tarnybos ir kitos teisėsaugos veiklą vykdančios įstaigos ar organizacijos (35). 2018 m. DAA 3 dalis taip pat yra taikoma teismams ir specialiesiems teismams, kai šie vykdo teismines funkcijas, išskyrus nuostatas dėl duomenų subjekto teisių ir dėl informacijos komisaro priežiūros (36). 7 priede pateiktas kompetentingų institucijų sąrašas nėra baigtinis; valstybės sekretorius, atsižvelgdamas į valstybės institucijų organizacinės struktūros pokyčius, gali jį papildyti priimdamas taisykles (37).

(24)

Taip pat pažymėtina, kad atitinkamas duomenų tvarkymas turi būti atliekamas „teisėsaugos tikslu“, kuris apibrėžiamas kaip nusikalstamų veikų prevencija, tyrimas, atskleidimas, baudžiamasis persekiojimas už jas arba baudžiamųjų sankcijų vykdymas, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją (38). Kompetentingų institucijų ne teisėsaugos tikslais vykdomo duomenų tvarkymo 2018 m. DAA 3 dalis nereglamentuoja. Pavyzdžiui, ši dalis netaikoma, kai Konkurencijos ir rinkų institucija tiria bylas, kurios nėra laikomos baudžiamosiomis (pvz. įmonių susijungimo bylas). Tais atvejais, kai kompetentingos institucijos asmens duomenis tvarko kitais, ne teisėsaugos, tikslais, taikomas Jungtinės Karalystės BDAR kartu su 2018 m. DAA 2 dalimi. Norėdama nustatyti, kurios duomenų apsaugos nuostatos (2018 m. DAA 3 ar 2 dalis) yra taikomos konkrečiu atveju tvarkant asmens duomenis, kompetentinga institucija, t. y. duomenų valdytojas, privalo atsižvelgti į tai, ar „pagrindinis“ duomenų tvarkymo tikslas yra vienas iš 2018 m. DAA nurodytų teisėsaugos tikslų.

(25)

Dėl 2018 m. DAA 3 dalies teritorinės taikymo srities pažymėtina, kad 207 straipsnio 2 dalyje yra nurodyta, jog DAA yra taikomas asmens duomenų tvarkymui, susijusiam su verslo vietą turinčio asmens veikla, visoje Jungtinės Karalystės teritorijoje. Tai yra, minėtos dalies nuostatos taikomos visoms Anglijos, Velso, Škotijos ir Šiaurės Airijos institucijoms, kurios patenka į 2018 m. DAA 3 dalies materialinę taikymo sritį (39).

(26)

Pagrindinės asmens duomenų ir jų tvarkymo sąvokos yra apibrėžtos 2018 m. DAA 3 straipsnyje ir yra vartojamos visame DAA. Šių sąvokų apibrėžtys yra labai panašios į atitinkamas Direktyvos (ES) 2016/680 3 straipsnyje pateiktas apibrėžtis. Pagal 2018 m. DAA asmens duomenys yra bet kokia informacija apie gyvą fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (40). Pagal 2018 m. DAA 3 straipsnio 3 dalį yra laikoma, kad asmens tapatybę galima nustatyti, jeigu jo tapatybę tiesiogiai arba netiesiogiai galima nustatyti iš turimos informacijos, visų pirma pagal vardą, pavardę, identifikatorių arba pagal vieną ar kelis to asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius. Pagal apibrėžtį „duomenų tvarkymas“ yra bet kokia su informacija ar informacijos rinkiniu atliekama operacija arba operacijų grupė, pavyzdžiui, a) rinkimas, įrašymas, rūšiavimas, sisteminimas ar saugojimas; b) adaptavimas ar keitimas; c) išgavimas, susipažinimas ar naudojimas; d) atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę naudotis informacija; e) sugretinimas ar sujungimas arba f) apribojimas, ištrynimas arba sunaikinimas. Akte taip pat apibrėžiama, kad „neskelbtinų duomenų tvarkymas“ yra „a) asmens duomenų, kuriais atskleidžiama rasė arba etninė kilmė, politinės pažiūros, religiniai ar filosofiniai įsitikinimai ar narystė profesinėje sąjungoje, tvarkymas; b) genetinių arba biometrinių duomenų tvarkymas asmens tapatybei tiksliai nustatyti; c) sveikatos duomenų tvarkymas; d) asmens seksualinio gyvenimo arba seksualinės orientacijos duomenų tvarkymas“ (41). Šiuo tikslu 2018 m. DAA 205 straipsnyje pateiktos sąvokų „biometriniai duomenys (42)“, „sveikatos duomenys“ (43) ir „genetiniai duomenys“ (44) apibrėžtys.

(27)

2018 m. DAA 32 straipsnyje paaiškinta, ką tvarkant asmens duomenis teisėsaugos tikslais reiškia sąvokos „duomenų valdytojas“ ir „duomenų tvarkytojas“ ir šie paaiškinimai yra labai panašūs į atitinkamas Direktyvoje (ES) 2016/680 pateiktas apibrėžtis. Duomenų valdytojas – tai kompetentinga institucija, kuri nustato asmens duomenų tvarkymo tikslus ir priemones. Jeigu duomenų tvarkymas yra reikalaujamas pagal įstatymą, duomenų valdytojas yra kompetentinga institucija, kuriai pavesta tai daryti pagal tą įstatymą. Duomenų tvarkytojas yra bet kuris asmuo, tvarkantis asmens duomenis duomenų valdytojo vardu (išskyrus asmenį, kuris yra duomenų valdytojo darbuotojas).

(28)

Pagal 2018 m. DAA 35 straipsnį, panašiai kaip pagal Direktyvos (ES) 2016/680 4 straipsnio 1 dalies a punktą, yra reikalaujama, kad asmens duomenys būtų tvarkomi teisėtai ir sąžiningai. Pagal 2018 m. DAA 35 straipsnio 2 dalį asmens duomenų tvarkymas bet kuriuo teisėsaugos tikslu yra teisėtas tik tada, jeigu yra grindžiamas įstatymu ir jeigu duomenų subjektas sutiko, kad jo duomenys būtų tvarkomi tuo tikslu, arba duomenis tvarkyti būtina tam, kad kompetentinga institucija galėtų atlikti tuo tikslu vykdomą užduotį.

(29)

Panašiai kaip pagal Direktyvos (ES) 2016/680 8 straipsnį, tam, kad duomenų tvarkymas, patenkantis į 2018 m. DAA 3 dalies taikymo sritį, būtų teisėtas, jis turi būti grindžiamas įstatymu. Teisėtas duomenų tvarkymas – duomenų tvarkymas, kuris yra leidžiamas pagal įstatymą, bendrąją teisę arba karališkąsias prerogatyvas (45).

(30)

Kompetentingų institucijų įgaliojimai dažniausiai reglamentuojami įstatymais, taigi, yra aišku, kad jų funkcijos ir įgaliojimai yra nustatomi Parlamento priimamuose teisės aktuose (46). Tam tikrais atvejais policija ir kitos 2018 m. DAA 7 priede nurodytos kompetentingos institucijos gali tvarkyti duomenis pagal bendrosios teisės normas (47). Bendrosios teisės pagrindą sudaro teismų sprendimais sukurti precedentai. Bendroji teisė yra svarbi, kai kalbama apie policijos įgaliojimus, kuriais ji naudojasi vykdydama pagrindinę šiame teisės šaltinyje įtvirtintą policijos pareigą ginti visuomenę aiškinantis nusikaltimus ir užkertant jiems kelią (48). Tačiau, vykdydama šią pareigą, policija vadovaujasi tiek bendrojoje teisėje, tiek kituose teisės aktuose nustatytais įgaliojimais (49). Pagal įstatymą suteikti policijos įgaliojimai yra viršesni už bendrojoje teisėje įtvirtintus įgaliojimus (50).

(31)

Teismai pripažino, kad bendrojoje teisėje įtvirtinti policijos pareigūno įgaliojimai ir pareigos apima „visus veiksmus, kurie jam atrodo reikalingi, kad būtų išsaugota taika, nusikaltimų prevencija ir turto apsauga nuo žalos dėl nusikalstamos veikos“ (51). Bendrojoje teisėje nustatyti įgaliojimai nėra besąlyginiai. Jiems taikomi įvairūs apribojimai, tarp jų – teismų (52) ir teisės aktuose, visų pirma 1998 m. Žmogaus teisių akte ir 2010 m. Lygybės akte (53), nustatyti apribojimai. Be to, tais atvejais, kai kompetentingos institucijos tvarko duomenis pagal 2018 m. DAA 3 dalį, vykdant bendrojoje teisėje įtvirtintus įgaliojimus būtina nuosekliai laikytis 2018 m. DAA nustatytų reikalavimų (54). Priimant sprendimą vykdyti kokio nors pobūdžio duomenų tvarkymo operacijas, būtina atsižvelgti į taikytinose gairėse, pavyzdžiui, PIV praktikos kodekse ir konkrečiai kuriai nors iš Jungtinės Karalystės šalių taikomose gairėse nustatytus reikalavimus (55). Vyriausybės ir operatyvinės policijos tarnybos yra parengusios įvairių gairių, kuriomis siekiama užtikrinti, kad vykdydami savo įgaliojimus policijos pareigūnai laikytųsi bendrojoje teisėje arba atitinkamuose įstatymuose nustatytų apribojimų (56).

(32)

Karališkosios prerogatyvos yra dar viena teisės sudedamoji dalis; tai – tam tikri Karūnai suteikti įgaliojimai, kuriuos vykdo vykdomosios valdžios institucijos, ir kurie yra grindžiami ne įstatymu, bet kyla iš monarcho suverenumo (57). Prerogatyvinių įgaliojimų, kurie būtų aktualūs teisėsaugos požiūriu, pavyzdžių yra labai nedaug. Prie jų galima priskirti, pavyzdžiui, savitarpio teisinės pagalbos sistemą, pagal kurią valstybės sekretoriui yra leidžiama keistis duomenimis su trečiosiomis valstybėmis teisėsaugos tikslais. Įgaliojimas tokiu būdu teikti duomenis ne visada būna įtvirtintas įstatyme (58). Karališkosioms prerogatyvoms galioja bendrosios teisės principai (59) ir jie priklauso žemesniam teisinės hierarchijos lygmeniui negu įstatymai, todėl jiems taikomi 1998 m. Žmogaus teisių akte ir 2018 m. DAA nustatyti apribojimai (60).

(33)

Panašiai kaip pagal Direktyvos (ES) 2016/680 8 straipsnį, pagal Jungtinėje Karalystėje galiojančią tvarką yra reikalaujama, jog tam, kad būtų laikomasi teisėtumo principo, kompetentingos institucijos turėtų užtikrinti, kad tais atvejais, kai duomenys yra tvarkomi remiantis įstatymu, duomenų tvarkymas tai pat būtų „reikalingas“ teisėsaugos tikslu vykdomai užduočiai atlikti. Informacijos komisaras gairėse dėl šio aspekto paaiškina, kad „tai turi būti tikslingas ir proporcingas būdas tikslui pasiekti. Įstatyminis pagrindas nebus taikomas, jeigu tikslą pagrįstai galima pasiekti kitomis mažiau intervencinėmis priemonėmis. Nurodyti, kad duomenų tvarkymas yra reikalingas, nes nusprendėte savo veiklą vykti kuriuo nors konkrečiu būdu, nepakanka. Klausimas keliamas apie tai, ar duomenų tvarkymas yra būtinas nurodytam tikslui“ (61).

(34)

Kaip nurodyta 28 konstatuojamojoje dalyje, 2018 m. DAA 35 straipsnio 2 dalyje yra numatyta galimybė asmens duomenis tvarkyti remiantis asmens „sutikimu“.

(35)

Tačiau sutikimas nesudaro teisinio pagrindo duomenų tvarkymo operacijoms, dėl kurių priimamas šis sprendimas, vykdyti. Iš tiesų duomenų tvarkymo operacijos, dėl kurių priimamas šis sprendimas, visada bus susijusios su duomenimis, kuriuos pagal Direktyvą (ES) 2016/680 kurios nors valstybės narės kompetentinga institucija perdavė Jungtinės karalystės kompetentingai institucijai. Todėl paprastai šios operacijos neapims tiesioginių valdžios institucijos ir duomenų subjektų santykių (duomenų rinkimo), kurių pagrindą pagal 2018 m. DAA 35 straipsnio 2 dalies a punktą gali sudaryti sutikimas.

(36)

Nors pagal šį sprendimą atliekamam vertinimui atvejai, kai remiamasi sutikimu, nėra aktualūs, dėl išsamumo derėtų paminėti, kad teisėsaugos tikslais vykdomas duomenų tvarkymas niekada nebūna grindžiamas vien sutikimu, nes kompetentinga institucija visada turi turėti atitinkamus įgaliojimus, leidžiančius jai tvarkyti duomenis (62). Tiksliau, panašiai kaip pagal Direktyvą (ES) 2016/680 (63), tai reiškia, kad sutikimas yra papildoma sąlyga, leidžianti atlikti kai kurias ribotas ir specialias duomenų tvarkymo operacijas, kurių kitu atveju nebūtų galima atlikti, pavyzdžiui, paimti asmens, kuris nėra įtariamasis, DNR mėginius ir tvarkyti jo duomenis. Tokiu atveju, jeigu sutikimas nebūtų duotas arba būtų atšauktas, duomenys nebūtų tvarkomi (64).

(37)

Tais atvejais, kai reikalingas asmens sutikimas, šis sutikimas turi būti aiškus ir duotas aiškiu tai patvirtinančiu veiksmu (65). Policijos pajėgos privalo būti parengusios pareiškimą dėl privatumo ir, be kita ko, reikiamą informaciją apie tinkamą sutikimo naudojimą. Be to, kai kurios policijos pajėgos skelbia papildomą informaciją apie tai, kaip laikosi duomenų apsaugos teisės aktų, įskaitant tai, kaip ir kada jie remtųsi sutikimu kaip teisiniu pagrindu (66).

(38)

Kai tvarkomi „specialių kategorijų“ duomenys, turėtų būti taikomos specialios apsaugos priemonės. Šiuo atžvilgiu panašiai kaip Direktyvos (ES) 2016/680 10 straipsnyje, 2018 m. DAA 3 dalyje „neskelbtinų duomenų tvarkymo“ atvejams yra nustatytos griežtesnės apsaugos priemonės (67).

(39)

Remiantis 1998 m. DAA 35 straipsnio 3 dalimi, neskelbtinus duomenis kompetentingos institucijos gali tvarkyti teisėsaugos tikslais tik dviem atvejais: 1) jeigu duomenų subjektas davė sutikimą dėl duomenų tvarkymo teisėsaugos tikslu ir tuo metu, kai vykdoma duomenų tvarkymo operacija, duomenų valdytojas turi atitinkamą politikos dokumentą (68) arba 2) jeigu duomenų tvarkymas teisėsaugos tikslu yra būtinai reikalingas, atitinka bent vieną iš 2018 m. DAA 8 priede išdėstytų sąlygų ir tuo metu, kai vykdoma duomenų tvarkymo operacija, duomenų valdytojas turi atitinkamą politikos dokumentą (69).

(40)

Kaip paaiškina 38 konstatuojamojoje dalyje, pirmuoju atveju sutikimas kaip pagrindas nėra aktualus, jei perduodami duomenys patenka į šio sprendimo taikymo sritį (70).

(41)

Kai sutikimas nėra neskelbtinų duomenų tvarkymo pagrindas, duomenys gali būti tvarkomi remiantis viena iš 2018 m. DAA 8 priede išdėstytų sąlygų. Šios sąlygos yra susijusios su duomenų tvarkymo reikalingumu įstatyme nustatytais tikslais: teisingumui administruoti, duomenų subjekto ar kito asmens gyvybiniams interesams apsaugoti, vaikams ir riziką patiriantiems asmenims apsaugoti, teisiniams ieškiniams, teismų veiksmams, sukčiavimo prevencijai, archyvavimui, kai asmens duomenis asmuo akivaizdžiai paviešino pats. Išskyrus atvejį, kai duomenys yra akivaizdžiai jau paviešinti, visoms 8 priede išdėstytoms sąlygoms yra taikomas „būtino reikalingumo“ kriterijus. Kaip paaiškino informacijos komisaras, „būtinas reikalingumas šiuo atžvilgiu reiškia, kad duomenų tvarkymas turi būti susijęs su aktualiu socialiniu poreikiu ir jo pagrįstai neturi būti galima patenkinti mažiau intervencinėmis priemonėmis“ (71). Be to, kai kurioms sąlygoms taikomi papildomi apribojimai. Pavyzdžiui, jeigu norima remtis „įstatyme nustatyto tikslo“ ir „apsaugos“ sąlyga (8 priedo 1 ir 4 dalys), reikia, kad būtų įvykdyta papildoma reikšmingo visuomenės intereso sąlyga. Kad būtų galima remtis vaiko apsaugos sąlygomis (8 priedo 4 dalis), duomenų subjektas taip pat turi būti sulaukęs tam tikro amžiaus ir turi būti padaryta išvada, kad jam gresia pavojus. Duomenų valdytojas gali taikyti 8 priedo 4 dalyje nustatytą sąlygą tik susiklosčius tam tikroms aplinkybėms (72). Panašūs apribojimai taikomi „teismų veiksmų“ ir „sukčiavimo prevencijos“ sąlygoms (atitinkamai 8 priedo 7 ir 8 dalys). Abi sąlygos yra taikomos tik konkretiems duomenų valdytojams. Teismų veiksmų sąlyga gali remtis tik teismas arba kita teisminė institucija, o sukčiavimo prevencijos sąlyga – tik duomenų valdytojas, kuris yra kovos su sukčiavimu organizacija.

(42)

Galiausiai pažymėtina, kad tais atvejais, kai duomenys yra tvarkomi remiantis kuria nors iš 8 priede nustatytų sąlygų ir atitinkamai 2018 m. DAA 42 straipsniu, turi būti parengtas „atitinkamas politikos dokumentas“, kuriame būtų paaiškinta, kaip duomenų valdytojas užtikrina, kad būtų laikomasi duomenų apsaugos principų ir kokios duomenų saugojimo ir ištrynimo politikos jis laikosi; taip pat turi būti vykdoma pareiga kaupti duomenis.

(43)

Asmens duomenys turėtų būti tvarkomi konkrečiu tikslu ir vėliau naudojami tik tiek, kiek tai nėra nesuderinama su jų tvarkymo tikslu. Šis duomenų apsaugos principas yra įtvirtintas 2018 m. DAA 36 straipsnyje. Pagal šią nuostatą, panašiai kaip pagal Direktyvos (ES) 2016/680 4 straipsnio 1 dalies b punktą, yra reikalaujama, kad a) teisėsaugos tikslas, dėl kurio renkami asmens duomenys, bet kuriuo atveju būtų konkrečiai nustatytas, aiškiai apibrėžtas ir teisėtas, ir b) tokiu būdu renkami asmens duomenys nebūtų tvarkomi tokiu būdu, kuris būtų nesuderinamas su tikslais, kuriems duomenys buvo renkami.

(44)

Kai kompetentingos institucijos tvarko duomenis teisėsaugos tikslu, duomenų tvarkymas gali apimti archyvavimą, mokslo arba istorinių tyrimų ir statistinius tikslus (73). 2018 m. DAA taip pat paaiškinta, kad tokiais atvejais archyvavimas (arba tvarkymas mokslo ar istorinių tyrimų bei statistikos tikslais) nėra leidžiamas, jeigu jis susijęs su sprendimais dėl konkretaus duomenų subjekto arba jeigu dėl to duomenų subjektas gali patirti didelę žalą arba stresą (74).

(45)

Duomenys privalo būti tikslūs ir, jei reikia, atnaujinami. Duomenys taip pat privalo būti tinkami, aktualūs ir nepertekliniai, atsižvelgiant į tikslus, kuriais yra tvarkomi. Panašiai kaip Direktyvos (ES) 2016/680 4 straipsnio 1 dalies c, d ir e punktuose, šie principai yra įtvirtinti 2018 m. DAA 37 ir 38 straipsniuose. Turi būti imtasi visų pagrįstų priemonių, kuriomis būtų užtikrinta, kad netikslūs asmens duomenys (75) būtų nedelsiant (76) ištrinti arba ištaisyti, atsižvelgiant į teisėsaugos tikslą, dėl kurio jie tvarkomi (77), ir kad netikslūs, neišsamūs arba pasenę asmens duomenys nebūtų perduodami ar suteikiami jokiais teisėsaugos tikslais (78).

(46)

Taip pat pažymėtina, kad panašiai kaip pagal Direktyvos (ES) 2016/680 7 straipsnį, pagal Jungtinės Karalystės duomenų apsaugos reikalavimus yra nustatyta, kad faktais pagrįsti asmens duomenys, kiek tai yra galima, turi būti atskirti nuo asmeniniu vertinimu pagrįstų asmens duomenų (79). Kai tai svarbu ir įmanoma, asmens duomenys, susiję su įvairių kategorijų duomenų subjektais, pavyzdžiui, įtariamaisiais, už nusikalstamą veiką nuteistais asmenimis, nuo nusikalstamos veikos nukentėjusiais asmenimis ir liudininkais, turi būti atskirti (80).

(47)

Pagal Direktyvos (ES) 2016/680 5 straipsnį duomenys iš esmės turėtų būti laikomi ne ilgiau, negu reikia tiems tikslams, dėl kurių jie yra tvarkomi. Pagal 2018 m. DAA 39 straipsnį, panašiai kaip pagal Direktyvos 5 straipsnį, asmens duomenis, kurie buvo tvarkomi kuriais nors teisėsaugos tikslais, yra draudžiama laikyti ilgiau, negu reikia tam tikslui, kuriam jie buvo tvarkyti. Pagal Jungtinėje Karalystėje galiojančią teisinę tvarką reikalaujama nustatyti tinkamus terminus, kada turi būti atlikta periodinė peržiūra, ar asmens duomenis kuriuo nors teisėsaugos tikslu reikia saugoti toliau. Atitinkamuose teisės aktuose ir gairėse dėl policijos įgaliojimų ir veikimo išdėstytos išsamesnės taisyklės dėl asmens duomenų saugojimo praktikos ir taikytinų terminų. Pavyzdžiui, Anglijoje ir Velse galiojančiame Policijos koledžo parengtame PIV praktikos kodekse, taip pat PIV LPP gairėse yra nustatyta, kaip valdant operatyvinę policijos informaciją užtikrinti rizikos vertinimu pagrįstą nuoseklų duomenų saugojimo, peržiūros ir pašalinimo procesą (81). Šioje tvarkoje yra nustatyti aiškūs visai tarnybai taikomi lūkesčiai, kaip informacija turėtų būti kuriama, teikiama, naudojama ir valdoma policijos pajėgų viduje ir santykiuose su kitomis tarnybomis (82). Policija turėtų laikytis Praktikos kodekso, o tai, kaip jo laikomasi tikrina Jos Didenybės konsteblių inspekcija ir priešgaisrinė bei gelbėjimo tarnyba (83).

(48)

Šiaurės Airijos policijos tarnyba (angl. Police Service of Northern Ireland arba PSNI) pagal įstatymą neprivalo laikytis PIV praktikos kodekso. Tačiau 2011 m. patvirtinta PIV sistema papildyta PSNI vadovu (84), kuriame išdėstyta politika ir procedūros, kaip PIV praktikos kodeksas yra taikomas Šiaurės Airijoje.

(49)

Škotijos policijos pajėgos taiko Įrašų saugojimo standartinę veiklos procedūrą (angl. Standard Operating Procedure arba SOP) (85), pagal kurią įgyvendinama Škotijos policijos tarnybos įrašų valdymo politika (86). Standartinėje veiklos procedūroje yra nustatytos specialiosios Škotijos policijos turimų duomenų laikymo taisyklės.

(50)

Be visuotinai visoje Jungtinėje Karalystėje taikomo įrašų peržiūros reikalavimo taikomos ir kitos išsamesnės vietos lygmens taisyklės. Pavyzdžiui, Anglijoje ir Velse galiojančiame Policijos ir baudžiamųjų įrodymų akte, iš dalies pakeistame 2012 m. Laisvių apsaugos aktu, yra išdėstytos nuostatos dėl pirštų antspaudų ir DNR profilių saugojimo, taip pat nustatyta speciali nenuteistiems asmenims taikoma tvarka (87). Laisvių apsaugos aktu įsteigta biometrinių duomenų saugojimo ir naudojimo komisaro (toliau – biometrinių duomenų komisaras) pareigybė (88). 2017 m. Laikinai sulaikytų asmenų atvaizdų peržiūros apraše nustatytos specialios taisyklės dėl laikinai sulaikytų asmenų atvaizdų (89). Škotijos 1995 m. Baudžiamojo proceso (Škotija) akte išdėstytos taisyklės dėl pirštų antspaudų ir biologinių mėginių paėmimo ir saugojimo (90). Taip, kaip Anglijoje ir Velse, šiuo teisės aktu reglamentuojamas su įvairiomis bylomis susijusių biometrinių duomenų saugojimas (91).

(51)

Asmens duomenys privalo būti tvarkomi taip, kad būtų užtikrintas jų saugumas, įskaitant apsaugą nuo neleistino ar neteisėto tvarkymo ir netyčinio praradimo, sunaikinimo ar sugadinimo. Todėl valdžios institucijos turi imtis tinkamų techninių ir organizacinių priemonių, kad asmens duomenis apsaugotų nuo galimų grėsmių. Tokios priemonės turi būti įvertintos atsižvelgiant į techninių galimybių išsivystymo lygį ir su tuo susijusias sąnaudas.

(52)

Šie principai įtvirtinti 2018 m. DAA 40 straipsnyje, kuriame, panašiai kaip Direktyvos (ES) 2016/680 4 straipsnio 1 dalies f punkte, yra nurodyta, kad bet kuriais teisėsaugos tikslais tvarkomi asmens duomenys turi būti tvarkomi taip, kad techninėmis arba organizacinėmis priemonėmis būtų užtikrintas reikiamas asmens duomenų saugumas. Tai reiškia, kad, be kitų dalykų, duomenys turi būti apsaugoti nuo neleistino arba neteisėto tvarkymo, netyčinio praradimo, sunaikinimo arba sugadinimo (92). 2018 m. DAA 66 straipsnyje taip pat nustatyta, kad kiekvienas duomenų valdytojas ir kiekvienas duomenų tvarkytojas turi įdiegti reikiamas technines ir organizacines priemones, kuriomis būtų užtikrintas su asmens duomenų tvarkymu susijusią riziką atitinkantis apsaugos lygis. Remiantis aiškinamosiomis pastabomis, duomenų valdytojas privalo įvertinti rizikas ir, atsižvelgdamas į vertinimo rezultatus, įdiegti reikiamas apsaugos priemones, pavyzdžiui, duomenis šifruoti arba duomenis tvarkantiems darbuotojams suteikti specialaus lygmens saugumo leidimus (93). Atliekant vertinimą, pavyzdžiui, taip pat reikia atsižvelgti į tvarkomų duomenų pobūdį ir į kitus svarbius veiksnius arba aplinkybes, kurios gali turėti įtakos duomenų tvarkymo saugumui.

(53)

Tvarka, kuria yra reglamentuojamas duomenų apsaugos principų laikymasis, yra labai panaši į Direktyvos (ES) 2016/680 29–31 straipsniuose nustatytus reikalavimus. Ypač pažymėtina, kad tuo atveju, jei pažeidžiamas asmens duomenų, už kuriuos atsakingas asmens duomenų valdytojas, saugumas, pagal 2018 m. DAA 67 straipsnio 1 dalį duomenų valdytojas privalo nedelsdamas, jei įmanoma – per 72 valandas nuo tada, kai sužino apie pažeidimą, pranešti apie asmens duomenų saugumo pažeidimą informacijos komisarui (94). Prievolė pranešti apie pažeidimą netaikoma, jeigu dėl asmens duomenų saugumo pažeidimo neiškyla pavojaus asmenų teisėms ir laisvėms tikimybė (95). Duomenų valdytojas privalo dokumentuoti su kiekvienu asmens duomenų saugumo pažeidimu susijusius faktus, pažeidimo padarinius ir tai, kokių taisomųjų veiksmų buvo imtasi, taip, kad informacijos komisaras galėtų įvertinti, kaip buvo laikomasi DAA (96). Jeigu duomenų tvarkytojas sužino apie saugumo pažeidimą, jis privalo apie tai nedelsdamas pranešti duomenų valdytojui (97).

(54)

Remiantis 2018 m. DAA 68 straipsnio 1 dalimi, jeigu asmens duomenų saugumo pažeidimas gali kelti didelį pavojų asmenų teisėms ir laisvėms, duomenų valdytojas privalo apie pažeidimą nedelsdamas informuoti duomenų subjektą (98). Pranešime turi būti pateikta tokia pati informacija kaip 53 konstatuojamojoje dalyje nurodytame pranešime informacijos komisarui. Šis įpareigojimas netaikomas, jeigu duomenų valdytojas yra įdiegęs reikiamas technines ir organizacines apsaugos priemones ir jos buvo taikomos asmenims duomenims, kurių saugumas buvo pažeistas. Jis taip pat netaikomas, jeigu duomenų valdytojas ėmėsi paskesnių priemonių, kuriomis užtikrino, kad duomenų subjektų teisėms ir laisvėms daugiau nebekiltų didelis pavojus. Galiausiai pažymėtina, kad duomenų valdytojas neprivalo informuoti duomenų subjekto, jeigu tam prireiktų neproporcingai daug pastangų (99). Tokiu atveju informacija turi būti suteikta duomenų subjektui kitu lygiavertiškai veiksmingu būdu, pavyzdžiui, paskelbiant viešą pranešimą (100). Jeigu duomenų valdytojas neinformavo duomenų subjekto apie pažeidimą, gavęs DAA 67 straipsnyje nurodytą pranešimą ir apsvarstęs, kiek yra tikėtina, kad dėl pažeidimo kils didelis pavojus, informacijos komisaras gali reikalauti, kad duomenų valdytojas praneštų duomenų subjektui apie pažeidimą (101).

(55)

Duomenų subjektai turi būti informuoti apie pagrindinius jų asmens duomenų tvarkymo aspektus. Šis duomenų apsaugos principas yra įtvirtintas 2018 m. DAA 44 straipsnyje, o jame, panašiai kaip Direktyvos (ES) 2016/680 13 straipsnyje, yra numatyta bendra duomenų valdytojo pareiga teikti duomenų subjektams informaciją apie jų asmens duomenų tvarkymą (tokią informaciją paskelbti viešai arba kitu būdu) (102). Reikalaujamą pateikti informaciją sudaro: a) duomenų valdytojo tapatybė ir kontaktiniai duomenys; b) kai taikoma, duomenų apsaugos pareigūno kontaktiniai duomenys; c) tikslai, dėl kurių duomenų valdytojas tvarko asmens duomenis; d) ar duomenų subjektai turi teisę prašyti duomenų valdytojo leisti peržiūrėti asmens duomenis, juos taisyti, ištrinti arba apriboti duomenų tvarkymą ir e) ar suteikiama teisė pateikti skundą informacijos komisarui, bei informacijos komisaro kontaktiniai duomenys (103).

(56)

Tam, kad duomenų subjektas galėtų naudotis savo teisėmis pagal 2018 m. DAA (pavyzdžiui, kai tvarkomi asmens duomenys buvo surinkti duomenų subjektui nežinant), duomenų valdytojas konkrečiais atvejais taip pat privalo suteikti duomenų subjektui informaciją apie a) teisinį duomenų tvarkymo pagrindą; b) operatyvinių asmens duomenų saugojimo terminą arba, jei tai neįmanoma, kriterijus, taikomus tam terminui nustatyti; c) jei taikytina, apie asmens duomenų gavėjų kategorijas (įskaitant trečiosiose valstybėse esančius gavėjus arba tarptautines organizacijas); d) visą kitą informaciją, kuri yra reikalinga tam, kad duomenų subjektas galėtų naudotis savo teisėmis pagal 2018 m. DAA 3 dalį (104).

(57)

Duomenų subjektams turi būti suteiktos įvairios įstatymais garantuojamos teisės. 2018 m. DAA 3 dalies 3 skyriuje įtvirtintos asmenų teisės susipažinti su duomenimis, duomenis taisyti, ištrinti ir apriboti (105), panašios į Direktyvos (ES) 2016/680 3 skyriuje numatytas teises.

(58)

Teisė susipažinti su duomenimis įtvirtinta 2018 m. DAA 45 straipsnyje. Pirma, asmuo turi teisę gauti iš duomenų valdytojo patvirtinimą, ar jo asmens duomenys yra ar nėra tvarkomi (106). Antra, jeigu asmens duomenys yra tvarkomi, duomenų subjektas turi teisę susipažinti su tais duomenimis ir gauti šią informaciją apie duomenų tvarkymą: a) duomenų tvarkymo tikslus ir teisinį pagrindą; b) tvarkomų duomenų kategorijas; c) kam duomenys buvo atskleisti; d) asmens duomenų saugojimo laikotarpį; e) tai, kad duomenų subjektas turi teisę asmens duomenis ištaisyti ir ištrinti; f) apie teisę pateikti skundą ir g) visą informaciją apie atitinkamų asmens duomenų kilmę (107).

(59)

Remiantis 2018 m. DAA 46 straipsniu, duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas ištaisytų netikslius asmens duomenis apie jį. Duomenų valdytojas privalo nedelsdamas ištaisyti duomenis (o jeigu duomenys yra netikslūs dėl to, kad neišsamūs – duomenis papildyti). Jeigu asmens duomenis reikia saugoti įrodymų tikslais, duomenų valdytojas privalo apriboti jų tvarkymą (ir jų netaisyti) (108).

(60)

2018 m. DAA 47 straipsnyje įtvirtinta asmenų teisė ištrinti duomenis ir apriboti jų tvarkymą. Jeigu dėl duomenų tvarkymo būtų pažeisti kurie nors duomenų tvarkymo principai, duomenų tvarkymo teisiniai pagrindai arba su neskelbtinų duomenų archyvavimu ir tvarkymu susijusios apsaugos priemonės, duomenų valdytojas privalo (109) nedelsdamas ištrinti asmens duomenis. Duomenų valdytojas taip pat privalo ištrinti duomenis, jeigu jiems nustatyta tokia teisinė prievolė. Jeigu asmens duomenis reikia išsaugoti įrodymų tikslais, duomenų valdytojas privalo apriboti jų tvarkymą (ir jų netaisyti) (110). Jeigu duomenų subjektas ginčija asmens duomenų tikslumą, tačiau įsitikinti, ar duomenys yra tikslūs, ar netikslūs, neįmanoma, duomenų valdytojas privalo apriboti asmens duomenų tvarkymą (111).

(61)

Jeigu duomenų subjektas reikalauja asmens duomenis ištaisyti, ištrinti arba apriboja jų tvarkymą, duomenų valdytojas privalo raštu informuoti duomenų subjektą, ar jo prašymas buvo patenkintas, o jei prašymas buvo atmestas – informuoti duomenų subjektą apie atmetimo priežastis ir tai, kokiomis teisių gynimo priemonėmis jis gali pasinaudoti (duomenų subjekto teisę pateikti prašymą informacijos komisarui ištirti, ar apribojimas buvo taikomas teisėtai, teisę pateikti skundą informacijos komisarui ir teisę kreiptis į teismą su prašymu priimti sprendimą dėl tam tikrų veiksmų vykdymo arba nevykdymo) (112).

(62)

Jeigu duomenų valdytojas ištaiso iš kitos kompetentingos institucijos gautus asmens duomenis, jis privalo ją apie tai informuoti (113). Jeigu duomenų valdytojas ištaiso, ištrina asmens duomenų valdytojo atskleistus duomenis arba apriboja jų tvarkymą, jis privalo informuoti gavėjus, o gavėjai privalo taip pat ištaisyti, ištrinti asmens duomenis arba apriboti asmens duomenų tvarkymą (ta apimtimi, kuria yra už tai atsakingi) (114).

(63)

Be to, duomenų subjektas turi teisę į tai, kad duomenų valdytojas nedelsdamas jį informuotų apie asmens duomenų saugumo pažeidimą, jeigu dėl tokio pažeidimo kiltų didelis pavojus asmenų teisėms ir laisvėms (115).

(64)

Kalbant apie visas šias duomenų subjekto teises, panašai kaip pagal Direktyvos (ES) 2016/680 12 straipsnį, duomenų valdytojas privalo užtikrinti, kad bet kokia informacija duomenų subjektui būtų pateikiama glausta, suprantama ir lengvai prieinama forma (116) ir, jei tai įmanoma, pateikiama tokia pat forma kaip prašymas (117). Duomenų valdytojas privalo patenkinti duomenų subjekto prašymą nedelsdamas arba bet kuriuo atveju per vieną mėnesį nuo prašymo gavimo dienos (118). Jeigu duomenų valdytojas turi pagrįstų abejonių dėl asmens tapatybės, jis gali prašyti pateikti papildomos informacijos ir atidėti prašymo nagrinėjimą, kol tapatybė bus patvirtinta. Duomenų valdytojas gali prašyti sumokėti pagrįstą mokestį arba atsisakyti imtis veiksmų, jeigu mano, kad prašymas yra akivaizdžiai nepagrįstas (119). Informacijos komisaras yra parengęs gaires apie tai, kada prašymas yra laikomas akivaizdžiai nepagrįstu ar pertekliniu ir kada galima prašyti sumokėti mokestį (120).

(65)

Be to, pagal 2018 m. DAA 53 straipsnio 4 dalį valstybės sekretorius gali taisyklėse nustatyti didžiausią leidžiamą mokesčio dydį.

(66)

Kompetentinga institucija tam tikromis aplinkybėmis gali apriboti tam tikras duomenų subjekto teises: teisę susipažinti su duomenimis (121), teisę būti informuotam (122), teisę žinoti apie asmens duomenų saugumo pažeidimą (123) ir teisę būti informuotam apie prašymo ištaisyti arba ištrinti duomenis atmetimo priežastį (124). Panašiai kaip pagal Direktyvos (ES) 2016/680 III skyriuje nustatytą tvarką, kompetentinga institucija gali taikyti apribojimą tik tada, kai apribojimas, atsižvelgiant į duomenų subjekto pagrindines teises ir teisėtus interesus, yra būtinas ir proporcingas siekiant: a) netrukdyti pateikti oficialias ar teisines užklausas, atlikti tyrimus ar procedūras; b) išvengti kenkimo nusikalstamų veikų prevencijai, atskleidimui, tyrimui ir baudžiamajam persekiojimui už jas arba baudžiamųjų sankcijų vykdymui; c) užtikrinti visuomenės saugumą; d) užtikrinti nacionalinį saugumą; e) apsaugoti kitų asmenų teises ir laisves.

(67)

Informacijos komisaras yra parengęs gaires dėl šių apribojimų taikymo. Remiantis šiomis gairėmis, duomenų valdytojai kiekvienu atveju turi atlikti analizę ir įvertinti asmens teises bei tai, kokią žalą gali padaryti duomenų atskleidimas. Reikėtų pabrėžti, kad duomenų valdytojai turi pagrįsti, kad visi taikyti apribojimai buvo būtini ir proporcingi, o apriboti suteikiamus dalykus gali tik tada, jei jie trukdytų siekti pirmiau nurodytų tikslų (125).

(68)

Kompetentingos institucijos taip pat yra parengusios įvairių kitų gairių, kuriose išdėstyta išsami informacija visais duomenų apsaugos teisės aktų aspektais, įskaitant duomenų subjektų teisių apribojimų taikymą (126). Pavyzdžiui, dėl 45 straipsnio 4 dalies Nacionalinės policijos vadovų tarybos Duomenų apsaugos vadove yra nurodyta: „Svarbu pažymėti, kad apribojimai gali būti taikomi tik tokia apimtimi ir tik tiek laiko, kiek tai yra būtina. Todėl apribojimo taikyti visiems pareiškėjo asmens duomenims arba visą laiką, neatsižvelgiant į nieką, negalima. Dėl pastarojo aspekto pažymėtina, kad dažnai iš pradžių reikia saugoti, kad duomenų subjektui, kuris tyrime yra įtariamasis, nežinant surinkti asmens duomenys nebūtų jam atskleisti ir nebūtų pakenkta vykdomam tyrimui, tačiau vėliau, per apklausą asmens duomenis atskleidus duomenų subjektui, žalos nepadaroma. Policijos pajėgos privalo parengti procedūras kuriomis užtikrintų, kad šie apribojimai būtų taikomi tik ta apimtimi ir tik tiek laiko, kiek yra būtina“ (127). Šiame vadove taip pat pateikta pavyzdžių apie kiekvieną apribojimą, kada labiausiai tikėtina, kad jis bus taikomas (128).

(69)

Kalbant apie galimybę apriboti pirmiau minėtas teises „nacionalinio saugumo“ užtikrinimo tikslais, pažymėtina, kad duomenų valdytojas gali prašyti išduoti ministrų kabineto arba generalinio prokuroro (Škotijoje – generalinio prokuroro) pasirašytą sertifikatą, kuriame būtų patvirtinta, kad teisių apribojimas yra būtina ir proporcinga priemonė nacionaliniam saugumui užtikrinti (129). Jungtinė Karalystė yra parengusi gaires dėl nacionalinio saugumo sertifikatų pagal 2018 m. DAA, o jose yra pabrėžiama, kad duomenų subjektų teisių apribojimas nacionaliniam saugumui užtikrinti privalo būti proporcingas ir reikalingas (130) (daugiau apie nacionalinio saugumo sertifikatus žr. 131–134 konstatuojamąsias dalis).

(70)

Be to, kai duomenų subjekto teisės apribojamos, kompetentinga institucija privalo nedelsdama informuoti duomenų subjektą apie tai, kurios jo teisės apribotos, apribojimo priežastis ir galimas teisių gynimo priemones, nebent suteikus tokią informaciją būtų pakenkta tam, dėl ko apribojimas taikytas (131). Duomenų valdytojas privalo taikyti dar vieną apsaugos nuo piktnaudžiavimo apribojimais apsaugos priemonę – registruoti informacijos apribojimo priežastis ir pateikti registro įrašus informacijos komisarui, jeigu to paprašoma (132).

(71)

Jeigu duomenų valdytojas atsisako suteikti papildomą skaidrią informaciją, neleidžia susipažinti su duomenimis arba atmeta prašymą duomenis ištaisyti, ištrinti arba apriboti jų tvarkymą, asmuo gali prašyti informacijos komisaro ištirti, ar duomenų valdytojas apribojimą taikė teisėtai (133). Suinteresuotasis asmuo taip pat gali pateikti skundą informacijos komisarui arba kreiptis į teismą, kad jis nurodytų patenkinti prašymą (134).

(72)

2018 m. DAA 49 ir 50 straipsniais atitinkamai reglamentuojamos su automatizuotu sprendimų priėmimu ir taikytinomis apsaugos priemonėmis susijusios teisės (135). Panašiai kaip Direktyvos (ES) 2016/680 11 straipsnyje, duomenų valdytojas gali priimti reikšmingą sprendimą remdamasis vien tik automatizuotai tvarkytais asmens duomenimis tik tada, jei to reikalaujama arba tai leidžiama pagal įstatymą (136). Sprendimas yra reikšmingas, jeigu padarytų neigiamą teisinį poveikį duomenų subjektui arba reikšmingai paveiktų duomenų subjektą (137).

(73)

Tiems atvejams, kai pagal įstatymą iš duomenų valdytojo reikalaujama arba jam leidžiama priimti reikšmingus sprendimus, 2018 m. DAA 50 straipsnyje yra nustatytos apsaugos priemonės, kurios būtų taikomos tokiam sprendimui (jis vadinamas „kriterijus atitinkantis reikšmingas sprendimas“). Duomenų valdytojas privalo, kai tik gali, pranešti duomenų subjektui, kad toks sprendimas buvo priimtas. Duomenų subjektas tuomet gali per vieną mėnesį pareikalauti, kad duomenų valdytojas persvarstytų sprendimą arba priimtų naują sprendimą, kuris nebūtų grindžiamas tik automatizuotu duomenų tvarkymu. Duomenų valdytojas privalo išnagrinėti prašymą ir pranešti duomenų subjektui apie nagrinėjimo rezultatus. Pagal 2018 m. DAA valstybės sekretoriui suteikiami įgaliojimai priimti taisykles dėl papildomų apsaugos priemonių (138). Kol kas tokios taisyklės dar nepriimtos.

(74)

Asmens duomenims, kuriuos valstybės narės teisėsaugos institucija perduoda Jungtinės Karalystės teisėsaugos institucijai, užtikrinamas apsaugos lygis neturėtų sumažėti tokius duomenis toliau perduodant gavėjams trečiojoje valstybėje. Toks „tolesnis perdavimas“, kuris Jungtinės Karalystės teisėsaugos institucijos požiūriu laikomas tarptautiniu perdavimu iš Jungtinės Karalystės, turėtų būti leidžiamas tik tada, kai tolesniam gavėjui, esančiam už Jungtinės Karalystės ribų, taikomos taisyklės, kuriomis užtikrinama panašaus lygio apsauga kaip Jungtinės Karalystės teisinėje sistemoje.

(75)

Jungtinėje Karalystėje taikoma tarptautinio duomenų perdavimo tvarka yra nustatyta 2018 m. DAA 3 dalies 5 skyriuje (139) ir atitinka poziciją, kurios laikomasi Direktyvos (ES) 2016/680 V skyriuje. Visų pirma pažymėtina, kad, norėdama perduoti asmens duomenis trečiajai valstybei, kompetentinga institucija turi atitikti tris sąlygas: a) duomenis perduoti turi būti būtina teisėsaugos tikslu; b) duomenys turi būti perduodami remiantis: i) dėl trečiosios valstybės priimtomis taisyklėmis dėl duomenų apsaugos tinkamumo; ii) jeigu duomenų perdavimo pagrindas yra ne taisyklės dėl duomenų apsaugos tinkamumo, turi būti įdiegtos tinkamos apsaugos priemonės; iii) jeigu duomenų perdavimo pagrindas yra ne sprendimas dėl duomenų apsaugos tinkamumo arba tinkamos apsaugos priemonės, turi būti susiklosčiusios specialios aplinkybės; c) perduodamų duomenų gavėjas turi būti: i) atitinkama trečiosios valstybės institucija (t. y. kompetentingos institucijos atitikmuo); ii) atitinkama tarptautinė organizacija, pvz., tarptautinė organizacija, vykdanti kurį nors teisėsaugos tikslą atitinkančias funkcijas; iii) kitas asmuo, ne atitinkama institucija, tačiau tik tada, kai duomenis perduoti yra būtinai reikalinga kuriam nors teisėsaugos tikslui įgyvendinti; jokios atitinkamų duomenų subjektų pagrindinės teisės ir laisvės nėra viršesnės už viešąjį interesą, dėl kurio konkrečiu atveju būtina perduoti duomenis; asmens duomenis perduoti atitinkamai trečiosios valstybės institucijai būtų neefektyvu arba netikslinga; gavėjas yra informuojamas apie tai, kokiais tikslais duomenys gali būti tvarkomi (140).

(76)

Taisykles dėl trečiosios valstybės, trečiosios valstybės teritorijos, sektoriaus arba tarptautinės organizacijos duomenų apsaugos tinkamumo arba tos valstybės, teritorijos, sektoriaus arba organizacijos aprašą (141) tvirtina valstybės sekretorius. Dėl to, kokio standarto turi būti laikomasi, pažymėtina, kad valstybės sektorius turi įvertinti, ar tokia teritorija (sektorius, organizacija) užtikrina tinkamą asmens duomenų apsaugos lygį. 2018 m. DAA 74A straipsnio 4 dalyje yra nurodyta, kad šiuo tikslu valstybės sekretorius privalo atsižvelgti į daugelį aspektų, o jie yra panašūs į Direktyvos (ES) 2016/680 36 straipsnyje įtvirtintus aspektus (142). Šiuo atžvilgiu pažymėtina, kad pereinamajam laikotarpiui pasibaigus, 2018 m. DAA 3 dalis bus laikoma, kaip buvo paaiškinta, „pagal ES teisę priimta vidaus teisės norma“, o Jungtinės Karalystės teismai ją aiškindami remsis atitinkama Teisingumo Teismo jurisprudencija, suformuota iki Jungtinės Karalystės išstojimo iš Sąjungos, ir Sąjungos teisės bendraisiais principais, kurie galiojo prieš baigiantis pereinamajam laikotarpiui. Prie jų priskirtinas ir „esminio lygiavertiškumo“ kriterijus, tad Jungtinės Karalystės institucijos, atlikdamos vertinimus, juo vadovausis.

(77)

Dėl procedūros aspektų pažymėtina, kad taisyklėms dėl duomenų apsaugos tinkamumo taikomi „bendrieji“ procedūriniai reikalavimai, nustatyti 2018 m. DAA 182 straipsnyje. Pagal šią procedūrą priimdamas Jungtinės Karalystės taisykles dėl duomenų apsaugos tinkamumo valstybės sekretorius privalo konsultuotis su informacijos komisaru (143). Valstybės sekretoriaus priimtos taisyklės teikiamos parlamentui ir joms taikoma „neigiamos rezoliucijos“ procedūra, pagal kurią abeji parlamento rūmai gali išsamiai išnagrinėti taisykles ir per 40 dienų priimti pasiūlymą jas panaikinti (144).

(78)

Pagal 2018 m. DAA 74B straipsnio 1 dalį taisyklės dėl duomenų apsaugos tinkamumo turi būti peržiūrimos ne rečiau kaip kas ketverius metus ir valstybės sekretorius privalo nuolat stebėti pokyčius trečiosiose valstybėse ir tarptautinėse organizacijose, kurie gali turėti įtakos sprendimams nustatyti, iš dalies pakeisti arba panaikinti taisykles dėl duomenų apsaugos tinkamumo. Jeigu valstybės sekretorius sužino, kad kuri nors valstybė arba organizacija nebeužtikrina tinkamo asmens duomenų apsaugos lygio, jis privalo, kiek tai reikalinga, iš dalies pakeisti arba panaikinti taisykles ir pradėti konsultacijas su atitinkama trečiąja valstybe arba tarptautine organizacija, kad duomenų apsaugos tinkamumo spragos būtų pašalintos.

(79)

Panašiai kaip pagal Direktyvos (ES) 2016/680 37 straipsnį, jeigu taisyklių dėl duomenų apsaugos tinkamumo nėra, asmens duomenis teisėsaugos sektoriuje perduoti bus galima tada, kai bus įdiegtos tinkamos apsaugos priemonės. Tokios apsaugos priemonės užtikrinamos a) teisiškai privalomu dokumentu, kuriame nustatomos tinkamos asmens duomenų apsaugos priemonės, arba b) duomenų valdytojo atliekamais vertinimais, kai, įvertinęs visas duomenų perdavimo aplinkybes, duomenų valdytojas padaro išvadą, kad tinkamos duomenų apsaugos priemonės yra taikomos (145). 2018 m. DAA taip pat nustatyta, kad tais atvejais, kai duomenų perdavimas yra grindžiamas tinkamomis apsaugos priemonėmis, informacijos komisaras vykdo ne tik įprastas priežiūros funkcijas – kompetentingos institucijos privalo perduoti informacijos pareigūnui specialią informaciją apie duomenų perdavimus (146).

(80)

Jeigu duomenų perdavimo pagrindas yra ne sprendimas dėl duomenų apsaugos tinkamumo arba tinkamos apsaugos priemonės, duomenys gali būti perduodami tik susiklosčius tam tikroms, vadinamosioms „specialioms aplinkybėms“ (147). Pavyzdžiui, duomenis perduoti būtina: a) kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai; b) kad būtų apsaugoti teisėti duomenų subjekto interesai; c) kad būtų užkirstas kelias tiesioginei ir didelei grėsmei trečiosios valstybės visuomenės saugumui; d) individualiais atvejais bet kuriuo iš teisėsaugos tikslų arba e) individualiais atvejais teisėtu tikslu (pvz., dėl teismo proceso arba siekiant gauti teisinę konsultaciją) (148). Galima pažymėti, kad d ir e punktai netaikomi, jeigu duomenų subjekto teisės ir laisvės yra viršesnės už su perdavimu susijusį viešąjį interesą (149). Šios aplinkybės atitinka konkrečias situacijas ir sąlygas, kurios pagal Direktyvos (ES) 2016/680 38 straipsnį laikomos „nukrypti leidžiančiomis nuostatomis“.

(81)

Tokiomis aplinkybėmis duomenų perdavimo data, laikas, pagrindimas, gavėjo vardas, pavardė, kita aktuali informacija apie gavėją ir perduotų asmens duomenų aprašas yra dokumentuojami ir, jei to prašoma, pateikiami informacijos komisarui (150).

(82)

Pagal 2018 m. DAA 78 straipsnį reglamentuojami „paskesnio perdavimo“ atvejai, t. y. atvejai, kai asmens duomenys perduodami iš Jungtinės Karalystės į trečiąją valstybę, o vėliau – kitai trečiajai valstybei arba tarptautinei organizacijai. Pagal 78 straipsnio 1 dalį Jungtinės Karalystės duomenis perduodantis duomenų valdytojas privalo nustatyti duomenų perdavimo sąlygą, kad duomenys negali būti toliau perduoti kitai trečiajai valstybei be duomenų valdytojo leidimo. Be to, pagal 78 straipsnio 3 dalį, panašiai kaip pagal Direktyvos (ES) 2016/680 35 straipsnio 1 dalies e punktą, tais atvejais, kai toks leidimas reikalingas, taikomi keli materialiniai reikalavimai. T. y. priimdama sprendimą, ar leisti, ar neleisti perduoti duomenis, kompetentinga institucija turi įsitikinti, kad tolesnis duomenų perdavimas yra būtinas teisėsaugos tikslu, ir, be kitų dalykų, atsižvelgti į a) aplinkybių, dėl kurių prašoma leisti perduoti duomenis, svarbą; b) tikslą, kuriam duomenys buvo perduoti iš pradžių, ir c) trečiojoje valstybėje arba tarptautinėje organizacijoje, kuriai asmens duomenys būtų perduoti, taikomus duomenų apsaugos standartus.

(83)

Be to, jei duomenys, kuriuos ketinama iš Jungtinės Karalystės perduoti toliau, prieš tai buvo perduoti iš Europos Sąjungos, taikomos papildomos apsaugos priemonės.

(84)

Pirma, 2018 m. DAA 73 straipsnio 1 dalies b punkte, panašiai kaip Direktyvos (ES) 2016/680 35 straipsnio 1 dalies c punkte, nustatyta, kad tuo atveju, jeigu asmens duomenis duomenų valdytojui arba kitai kompetentingai institucijai iš pradžių perdavė arba suteikė valstybė narė, laikoma, kad ta valstybė narė arba bet kuris joje veikiantis asmuo, kuris pagal Direktyvą (ES) 2016/680 laikomas kompetentinga institucija, turi leisti juos perduoti pagal valstybės narės teisės aktus.

(85)

Tačiau, panašiai kaip pagal Direktyvos (ES) 2016/680 35 straipsnio 2 dalį, toks leidimas nėra reikalaujamas, jeigu a) duomenis būtina perduoti siekiant užkirsti kelią tiesioginei ir didelei grėsmei valstybės narės arba trečiosios valstybės visuomenės saugumui arba valstybės narės esminiams interesams, o b) išankstinio leidimo laiku gauti neįmanoma. Tokiu atveju nedelsiant informuojama valstybės narės institucija, kuri būtų turėjusi priimti sprendimą, ar leisti perduoti duomenis (151).

(86)

Antra, tas pats principas taikomas duomenims, kurie pirmiausia buvo perduoti iš Sąjungos Jungtinei Karalystei, o tuomet Jungtinės Karalystės perduoti trečiajai šaliai, kuri vėliau juos perduoda trečiajai šaliai. Tokiu atveju pagal 78 skyriaus 4 dalį Jungtinės Karalystės kompetentinga institucija negali suteikti leidimo perduoti duomenis pagal 78 straipsnio 1 dalį, išskyrus atvejus, kai „valstybė narė [pirmiau perdavusi atitinkamus duomenis] arba bet kuris toje valstybėje narėje veikiantis subjektas, kuris yra kompetentinga institucija Teisėsaugos direktyvos prasme, leido perduoti duomenis pagal tos valstybės narės teisę“. Šios apsaugos priemonės yra svarbios, nes taip valstybių narių valdžios institucijos gali visoje duomenų perdavimo grandinėje užtikrinti apsaugos tęstinumą pagal ES duomenų apsaugos teisės aktus.

(87)

Ši nauja tarptautinio duomenų perdavimo sistema pradėta taikyti pereinamojo laikotarpio pabaigoje (152). Tačiau 21 priedo 10–12 dalyse (kurios buvo įtrauktos pagal DAPER taisykles) nustatyta, kad, pereinamajam laikotarpiui pasibaigus, tam tikrais atvejais bus laikoma, kad duomenų perdavimo pagrindą sudaro taisyklės dėl duomenų apsaugos tinkamumo. Prie šio pobūdžio duomenų perdavimo priskiriamas duomenų perdavimas valstybei narei, ELPA valstybei, trečiajai šaliai, kurios atžvilgiu pereinamojo laikotarpio pabaigoje galiojo ES sprendimas dėl duomenų apsaugos tinkamumo, ar Gibraltaro teritorijai. Todėl duomenų perdavimas į šias valstybes gali būti toliau atliekamas tokia pat tvarka, kaip iki Jungtinės Karalystės išstojimo iš Sąjungos. Pasibaigus pereinamajam laikotarpiui, valstybės sekretorius privalo per ketverius metus, t. y. iki 2024 m. gruodžio mėn. pabaigos, peržiūrėti šias išvadas dėl duomenų apsaugos tinkamumo. Kaip nurodyta Jungtinės Karalystės institucijų pateiktame paaiškinime, nors valstybės sekretorius tokią peržiūrą turi atlikti iki 2024 m. gruodžio mėn. pabaigos, į pereinamojo laikotarpio nuostatas laikino galiojimo sąlyga neįtraukta, todėl, jeigu peržiūra iki 2024 m. gruodžio mėn. pabaigos nebus užbaigta, atitinkamos pereinamojo laikotarpio nuostatos savaime nenustos galioti.

(88)

Pagal atskaitomybės principą duomenis tvarkančios valdžios institucijos privalo įdiegti tinkamas technines ir organizacines priemones, kad galėtų veiksmingai laikytis savo duomenų apsaugos pareigų ir įrodyti (visų pirma kompetentingai priežiūros institucijai), kad jų laikosi.

(89)

Šis principas įtvirtintas 2018 m. DAA 56 straipsnyje, kuriame yra nustatyta bendra duomenų valdytojo atskaitomybės pareiga, t. y. pareiga įdiegti tinkamas technines ir organizacines priemones, kuriomis būtų užtikrinta, kad asmens duomenų tvarkymas atitiktų 2018 m. DAA 3 dalies reikalavimus ir kad jis galėtų tai įrodyti. Įdiegtos priemonės turi būti peržiūrėtos ir atnaujintos, kai, atsižvelgiant duomenų tvarkymą, tai yra reikalinga ir proporcinga, jos taip pat turi atitikti reikiamą duomenų tvarkymo politiką.

(90)

Kaip ir Direktyvos (ES) 2016/680 IV skyriuje, 2018 m. DAA 55–71 straipsniuose nustatyti įvairūs atskaitomybės užtikrinimo mechanizmai, kuriais naudodamiesi duomenų valdytojai bei tvarkytojai gali įrodyti, kad laikosi reikalavimų. Visų pirma, duomenų valdytojai privalo įdiegti pritaikytąsias ir standartizuotąsias duomenų apsaugos priemones, t. y. užtikrinti, kad duomenų apsaugos principai būtų veiksmingai įgyvendinami, taip pat privalo saugoti visų kategorijų duomenų tvarkymo veiklos, už kurią yra atsakingi, įrašus (įskaitant informaciją apie duomenų valdytojo tapatybę, duomenų apsaugos pareigūno kontaktinius duomenis, duomenų tvarkymo tikslus, atskleidžiamų duomenų gavėjų kategorijas, duomenų subjekto kategorijų aprašą ir asmens duomenis) ir, jei to prašoma, pateikti šiuos įrašus informacijos komisarui. Duomenų valdytojas ir tvarkytojas privalo vesti tam tikrų duomenų tvarkymo operacijų žurnalus ir pateikti juos informacijos komisarui (153). Duomenų valdytojų taip pat konkrečiai reikalaujama vykdant savo funkcijas bendradarbiauti su informacijos komisaru.

(91)

2018 m. DAA taip pat nustatyti papildomi reikalavimai duomenų tvarkymui, kuris gali kelti didelį pavojų fizinių asmenų teisėms ir laisvėms. Vienas iš reikalavimų – prieš tvarkant duomenis įvertinti poveikį duomenų apsaugai ir, jei iš vertinimo rezultatų matyti, kad duomenų tvarkymas keltų didelį pavojų asmenų teisėms ir laisvėms (kai nėra pavojaus mažinimo priemonių) konsultuotis su informacijos komisaru.

(92)

Duomenų valdytojai taip pat privalo paskirti duomenų apsaugos pareigūną, nebent duomenų valdytojas yra teismas arba kita teisminė institucija, vykdanti teismo funkcijas (154). Duomenų valdytojas privalo užtikrinti, kad duomenų apsaugos pareigūnas dalyvautų sprendžiant visus su asmens duomenų apsauga susijusius klausimus, turėtų reikiamų išteklių, turėtų prieigą prie asmens duomenų ir duomenų tvarkymo operacijų ir galėtų atlikti savo užduotis savarankiškai. Duomenų apsaugos pareigūno užduotys yra išdėstytos 2018 m. DAA 71 straipsnyje; vieni iš uždavinių yra teikti informaciją ir konsultuoti, stebėti, kaip laikomasi reikalavimų, bendradarbiauti su informacijos komisaru ir būti jo kontaktiniu asmeniu. Vykdydamas savo funkcijas duomenų apsaugos pareigūnas privalo atsižvelgti į su duomenų tvarkymo operacijomis susijusius pavojus ir duomenų apsaugos pobūdį, mastą, aplinkybes bei tikslus.

(93)

Tam, kad tinkamas duomenų apsaugos lygis būtų užtikrinamas ir praktiškai, reikalinga nepriklausoma priežiūros institucija, kuriai būtų suteikti įgaliojimai stebėti, kaip laikomasi duomenų apsaugos taisyklių, ir užtikrinti, kad jų būtų laikomasi. Atlikdama savo pareigas ir naudodamasi savo įgaliojimais ši institucija turi veikti visiškai nepriklausomai ir nešališkai.

(94)

Jungtinėje Karalystėje informacijos komisaras atsako už Jungtinės Karalystės BDAR ir 2018 m. DAA priežiūrą ir vykdymo užtikrinimą (155). Informacijos komisaras taip pat prižiūri, kaip asmens duomenis tvarko kompetentingos institucijos, patenkančios į 2018 m. DAA 3 dalies taikymo sritį (156). Informacijos komisaras yra vienasmenis subjektas – atskiras juridinis asmuo, kurį sudaro vienas fizinis asmuo. Informacijos komisarui talkina biuras. 2020 m. kovo 31 d. Informacijos komisaro biure dirbo 768 nuolatiniai darbuotojai (157). Informacijos komisarui padeda Skaitmeninių, kultūros, žiniasklaidos ir sporto reikalų departamentas (158).

(95)

Komisaro nepriklausomumas aiškiai nustatytas Jungtinės Karalystės BDAR 52 straipsnyje, kuriame išdėstyti reikalavimai atitinka Europos Parlamento ir Tarybos reglamento (ES) 2016/679 (159) 52 straipsnio 1–3 dalyse nustatytus reikalavimus. Vykdydamas savo užduotis ir įgyvendindamas savo įgaliojimus pagal Jungtinės Karalystės BDAR, komisaras privalo veikti visiškai nepriklausomai, išlikti nepriklausomas nuo tiesioginės ar netiesioginės išorės įtakos jo vykdomoms užduotims ir įgaliojimams, taip pat neturėtų klausti nurodymų iš jokių asmenų ar jais vadovautis. Komisaras taip pat negali vykdyti jokių su jo pareigomis nesuderinamų veiksmų ir eidamas pareigas negali už atlygį ar be jo užsiimti jokia kita su jomis nesuderinama profesija.

(96)

Informacijos komisaro skyrimo ir pašalinimo iš pareigų sąlygos nustatytos 2018 m. DAA 12 priede. Informacijos komisarą skiria Karalienė, atsižvelgdama į Vyriausybės rekomendaciją, sąžiningo ir atviro konkurso būdu. Kandidatas privalo turėti tinkamą kvalifikaciją, įgūdžius ir kompetenciją. Pagal Valstybės pareigūnų skyrimo valdymo kodeksą (160) skiriamų kandidatų sąrašą sudaro patariamoji vertintojų kolegija. Prieš Skaitmeninių, kultūros, žiniasklaidos ir sporto reikalų departamentui priimant galutinį sprendimą, atitinkamas atskirasis Parlamento komitetas privalo atlikti numatyto skirti kandidato patikrinimą. Komiteto nuomonė skelbiama viešai (161).

(97)

Informacijos komisaro kadencija trunka septynerius metus. Informacijos komisarą iš pareigų pašalinti gali Jos Didenybė, remdamasi abiejų parlamento rūmų kreipimusi (162). Nė vieni Parlamento rūmai negali pateikti prašymo atleisti informacijos komisarą iš pareigų, kol ministras nepateikia ataskaitos tiems Rūmams ir joje nenurodo, kad, jo įsitikinimu, informacijos komisaras yra kaltas dėl šiurkštaus nusižengimo ir (arba) nebeatitinka sąlygų, keliamų komisaro funkcijas vykdančiam asmeniui (163).

(98)

Informacijos komisaro veikla finansuojama iš trijų šaltinių: i) duomenų valdytojų sumokamų duomenų apsaugos mokesčių, kurie nustatomi valstybės sekretoriaus taisyklėse (164) ir sudaro 85–90 % metinio biuro biudžeto (165); ii) dotacijos forma Vyriausybės skiriamos pagalbos informacijos komisarui, kuri iš esmės naudojama informacijos komisaro veiklos išlaidoms, patiriamoms vykdant su duomenų apsauga nesusijusias užduotis, padengti (166); iii) už paslaugas sumokėtų mokesčių (167). Šiuo metu tokie mokesčiai nerenkami.

(99)

Bendrosios informacijos komisaro funkcijos, susijusios su asmens duomenų tvarkymu pagal 2018 m. DAA 3 dalį, nustatytos 2018 m. DAA 13 priede. Prie jų priskiriama 2018 m. DAA 3 dalies vykdymo stebėsena ir vykdymo užtikrinimas, visuomenės informuotumo didinimas, Parlamento, Vyriausybės ir kitų institucijų konsultavimas teisėkūros ir administracinių priemonių klausimais, duomenų valdytojų ir tvarkytojų informuotumo apie jų pareigas didinimas, informacijos teikimas duomenų subjektui apie naudojimąsi duomenų subjekto teisėmis ir tyrimų vykdymas. Siekiant išsaugoti teismų nepriklausomumą, informacijos komisarui neleidžiama vykdyti savo funkcijų tais atvejais, kai asmens duomenis tvarko teisminius įgaliojimus turintis fizinis asmuo arba teismines funkcijas vykdantis bendrosios kompetencijos arba specializuotas teismas. Tačiau teismų priežiūrą užtikrina toliau aptartos specializuotos įstaigos.

(100)

Komisaras turi bendruosius tyrimo, taisomuosius, leidimų suteikimo ir patariamuosius įgaliojimus, susijusius su asmens duomenų tvarkymu, kuriam taikoma 2018 m. DAA 3 dalis. Komisaras yra įgaliotas informuoti duomenų valdytoją arba tvarkytoją apie įtarimus, kad buvo pažeistos 3 dalies nuostatos, teikti perspėjimus duomenų valdytojui arba duomenų tvarkytojui, kad ketinamomis vykdyti duomenų tvarkymo operacijomis gali būti pažeistos 3 dalies nuostatos ir, jeigu duomenų tvarkymo operacijomis 3 dalies nuostatos pažeidžiamos, skirti duomenų valdytojui arba tvarkytojui papeikimus. Be to, komisaras savo iniciatyva arba remdamasis gautu prašymu gali teikti nuomones Jungtinės Karalystės parlamentui, Vyriausybei arba kitoms institucijoms, įstaigoms ir visuomenei bet kuriuo su asmens duomenų apsauga susijusiu klausimu (168).

(101)

Komisaras turi įgaliojimus visų pirma:

(102)

Informacijos komisaro reguliavimo veiksmų plane aprašytos aplinkybės, kuriomis jis priima informacinį, vertinimo, vykdymo pranešimą arba pranešimą apie nuobaudą (173). Vykdymo pranešime gali būti nustatyti reikalavimai, kurie, komisaro manymu, yra tinkami pažeidimui ištaisyti. Pranešime apie nuobaudą reikalaujama, kad asmuo sumokėtų informacijos komisarui pranešime nurodytą sumą. Pranešimas apie nuobaudą gali būti pateiktas, jeigu nesilaikoma kurių nors 2018 m. DAA nuostatų (174), arba toks pranešimas gali būti pateiktas duomenų valdytojui arba tvarkytojui, kuris nesilaikė informacinio pranešimo, vertinimo pranešimo arba vykdymo pranešimo.

(103)

Tiksliau, svarstydamas, ar duomenų valdytojui arba tvarkytojui teikti pranešimą apie nuobaudą, ir nustatydamas nuobaudos dydį informacijos komisaras privalo atsižvelgti į 2018 m. DAA 155 straipsnio 3 dalyje išdėstytus dalykus, tarp jų – į pažeidimo pobūdį ir šiurkštumą, ar pažeidimas padarytas tyčia, ar dėl aplaidumo, visus veiksmus, kurių duomenų valdytojas arba duomenų tvarkytojas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą, duomenų valdytojo arba duomenų tvarkytojo atsakomybės laipsnį (atsižvelgiant į duomenų valdytojo arba duomenų tvarkytojo įdiegtas technines arba organizacines priemones) ir visus svarbius ankstesnius duomenų valdytojo arba duomenų tvarkytojo padarytus pažeidimus, asmens duomenų, kuriuos paveikė pažeidimas, kategorijas ir tai, ar nuobauda būtų veiksminga, proporcinga ir atgrasanti.

(104)

Didžiausia nuobauda, kuri gali būti skirta pranešimu apie nuobaudą, yra a) 17 500 000 GBP, jeigu nesilaikoma duomenų apsaugos principų (2018 m. DAA 35, 36, 37 straipsnių, 38 straipsnio 1 dalies, 39 straipsnio 1 dalies ir 40 straipsnio), pareigos laikytis skaidrumo ir gerbti asmens teises (2018 m. DAA 44, 45, 46, 47, 48, 49, 52 ir 53 straipsniai) ir asmens duomenų tarptautinio perdavimo principų (2018 m. DAA 73, 75, 76, 77 arba 78 straipsniai) ir b) 8 700 000 GBP kitais atvejais (175). Jeigu nesilaikoma informacinio pranešimo, vertinimo pranešimo arba vykdymo pranešimo reikalavimų, didžiausia nuobauda, kurią galima skirti įteikiant pranešimą apie nuobaudą, yra 17 500 000 GBP.

(105)

Kaip pažymėta naujausiose metinėse ataskaitose (2018–2019 m. (176), 2019–2020 m. (177)), informacijos komisaras atliko įvairius tyrimus, kaip baudžiamosios teisėsaugos institucijos tvarko asmens duomenis. Pavyzdžiui, komisaras atliko tyrimą ir 2019 m. spalio mėn. paskelbė nuomonę dėl to, kaip teisėsaugos institucijos naudoja veido atpažinimo technologijas viešose vietose. Tyrime ypač daug dėmesio skirta Pietų Velso ir Londono policijos tarnybos naudojamiems gyvo veido atpažinimo pajėgumams. Informacijos komisaras išnagrinėjo Londono policijos tarnybos Gaujų narių duomenų bazę (178) ir nustatė įvairių šiurkščių duomenų apsaugos teisės pažeidimų, kurie galėjo sumažinti visuomenės pasitikėjimą šia duomenų baze ir tuo, kaip naudojami duomenys.

(106)

2018 m. lapkričio mėn. informacijos komisaras paskelbė vykdymo pranešimą, o Londono policijos tarnyba atitinkamai ėmėsi būtinų veiksmų, kad padidintų saugumą ir atskaitomybę ir užtikrintų, kad duomenys būtų naudojami proporcingai.

(107)

Kitas nesenas šios srities vykdymo veiksmų pavyzdys – 2018 m. gegužės mėn. komisaras skyrė Karalienės prokuratūrai 325 000 GBP baudą už tai, kad pastaroji prarado neužšifruotus DVD su policijos apklausų įrašais. Informacijos komisaras taip pat atliko tyrimus platesnėmis temomis, pavyzdžiui, per pirmąjį 2020 m. pusmetį atliko tyrimą dėl mobiliųjų telefonų duomenų išgavimo policijos veiklos tikslais ir dėl to, kaip policija tvarko aukų duomenis.

(108)

Be šių informacijos komisarui suteiktų vykdymo įgaliojimų, taip pat pažymėtina, kad tam tikri duomenų apsaugos teisės aktų pažeidimai laikomi nusikalstamomis veikomis, todėl už jas gali būti skiriamos baudžiamosios sankcijos (2018 m. DAA 196 straipsnis). Pavyzdžiui, baudžiamosios sankcijos gali būti skirtos už tai, kad asmens duomenys buvo gauti arba atskleisti be duomenų valdytojo sutikimo, už tarpininkavimą asmens duomenis atskleidžiant kitam asmeniui be duomenų valdytojo sutikimo (179), į informaciją, kurią sudaro nuasmeninti asmens duomenys, vėl įtraukiant tapatybės duomenis be duomenų valdytojo, atsakingo už asmens duomenų nuasmeninimą, sutikimo (180), tyčia trukdant komisarui vykdyti savo įgaliojimus, susijusius su asmens duomenų patikrinimu pagal tarptautinius įsipareigojimus (181) ir jeigu atsakant į informacinį pranešimą pateikiami klaidingi pareiškimai arba sunaikinama su informaciniu pranešimu arba vertinimo pranešimu susijusi informacija (182).

(109)

Pagal 2018 m. DAA 139 straipsnį informacijos komisaras taip pat privalo pateikti kiekvieniems Parlamento rūmams bendrą ataskaitą apie tai, kaip vykdė savo funkcijas pagal šį aktą (183).

(110)

Teismų ir teisminių institucijų vykdomo asmens duomenų tvarkymo priežiūra yra dvejopa. Jeigu teisėjo pareigas einantis asmuo arba teismas veikia ne pagal teisminius įgaliojimus, priežiūrą vykdo informacijos komisaras. Jeigu duomenų valdytojas veikia pagal teisminius įgaliojimus, informacijos komisaras negali vykdyti priežiūros funkcijų (184) ir priežiūrą vykdo specialios įstaigos. Tai atitinka poziciją, kurios laikomasi Direktyvos (ES) 2016/680 32 straipsnyje.

(111)

Visų pirma pažymėtina, kad antruoju atveju Anglijos ir Velso teismų ir Anglijos ir Velso pirmosios ir aukštesnės instancijos specializuotų teismų priežiūrą atlieka Teisminė duomenų apsaugos kolegija (185). Be to, lordas vyriausiasis teisėjas ir vyresnysis specializuotų teismų pirmininkas paskelbtame pareiškime dėl privatumo (186) nurodo, kaip Anglijos ir Velso teismai tvarko asmens duomenis teisminių funkcijų vykdymo tikslais. Panašų pranešimą yra paskelbę Šiaurės Airijos (187) ir Škotijos teisėjai (188).

(112)

Be to, Šiaurės Airijoje Šiaurės Airijos lordas vyriausiasis teisėjas paskyrė Aukštojo teismo teisėją eiti už duomenų priežiūrą atsakingo teisėjo pareigas (189). Jis taip pat paskelbė Šiaurės Airijos teisėjams skirtas gaires dėl veiksmų, kurių reikia imtis praradus duomenis arba tuo atveju, jeigu jie gali būti prarasti, ir gaires dėl to, kokia tvarka reikia spręsti visus su tuo susijusius klausimus (190).

(113)

Škotijoje lordas pirmininkas paskyrė už duomenų priežiūrą atsakingą teisėją tirti visus su duomenų apsauga susijusiais pagrindais teikiamus skundus. Tai nustatyta teisminio skundų nagrinėjimo taisyklėse, kurios yra identiškos Anglijoje ir Velse nustatytoms taisyklėms (191).

(114)

Aukščiausiajame Teisme vienam iš jo teisėjų pavedama duomenų apsaugos priežiūros funkcija.

(115)

Siekiant užtikrinti tinkamą apsaugą ir, visų pirma, individualių teisių įgyvendinimą, duomenų subjektui turėtų būti suteikta veiksmingų administracinių ir teisminių teisių gynimo priemonių, įskaitant kompensaciją už patirtą žalą.

(116)

Pirma, duomenų subjektas turi teisę pateikti skundą informacijos komisarui, jeigu mano, kad tvarkant jo asmens duomenis buvo pažeistos 2018 m. DAA 3 dalies nuostatos (192). Kaip aprašyta 100–109 konstatuojamosiose dalyse, informacijos komisaras turi įgaliojimus įvertinti, ar duomenų valdytojas ir duomenų tvarkytojas laikosi 2018 m. DAA, jeigu nesilaiko – reikalauti, kad jie imtųsi arba nesiimtų tam tikrų veiksmų, ir skirti baudas.

(117)

Antra, 2018 m. DAA nustatyta teisė imtis teisių gynimo priemonių prieš informacijos komisaro veiksmus. Jeigu komisaras, nagrinėdamas duomenų subjekto pateiktą skundą, nepadaro pažangos (193), skundo pateikėjas gali ginti savo teises teisme ir kreiptis į specializuotą pirmosios instancijos teismą (194) bei prašyti įpareigoti komisarą imtis reikiamų priemonių skundui išnagrinėti arba informuoti skundo pateikėją apie padarytą pažangą (195). Be to, bet kuris asmuo, kuris iš komisaro gauna bet kurį iš minėtų pranešimų (informacinį, vertinimo, vykdymo pranešimą arba pranešimą dėl nuobaudos), gali pateikti skundą specializuotam pirmosios instancijos teismui. Jeigu specializuotas teismas mano, kad komisaro sprendimas neatitinka įstatymo arba kad informacijos komisaras turėjo kitaip pasinaudoti savo diskrecija, specializuotas teismas privalo priimti skundą arba pakeisti kitą pranešimą ar sprendimą, kurį galėjo pateikti arba priimti informacijos komisaras (196).

(118)

Trečia, asmenys gali pasinaudoti teisminėmis teisių gynimo priemonėmis prieš duomenų valdytojų ir duomenų tvarkytojų veiksmus tiesiogiai kreipdamiesi į teismus pagal 2018 m. DAA 167 straipsnį. Jeigu, atsižvelgdamas į duomenų subjekto prašymą, teismas įsitikina, kad duomenų apsaugos teisės aktuose nustatytos duomenų subjekto teisės buvo pažeistos, teismas gali įpareigoti duomenų valdytoją arba jo vardu veikiantį duomenų tvarkytoją imtis nutartyje nurodytų veiksmų dėl duomenų tvarkymo arba nesiimti nutartyje nurodytų veiksmų. Be to, pagal 2018 m. DAA 169 straipsnį bet kuris asmuo, kuris dėl duomenų apsaugos teisės akte (įskaitant 2018 m. DAA 3 dalį), išskyrus Jungtinės Karalystės BDAR, nustatyto reikalavimo pažeidimo patyrė žalos, turi teisę į tai, kad duomenų valdytojas arba duomenų tvarkytojas kompensuotų jam patirtą žalą, išskyrus atvejus, kai duomenų valdytojas arba duomenų tvarkytojas įrodo, kad jis jokiu atveju neatsako už įvykį, dėl kurio atsirado žala. Žalą sudaro finansiniai nuostoliai ir su jais nesusijusi žala, pvz., stresas.

(119)

Ketvirta, bet kuris asmuo, kuris mano, kad valdžios institucijos pažeidė jo teises, įskaitant teises į privatumą ir duomenų apsaugą, savo teises gali ginti Jungtinės Karalystės teismuose pagal 1998 m. Žmogaus teisių aktą. Pagal 2018 m. DAA 3 dalį duomenų valdytojais, t. y. kompetentingomis institucijomis visada yra laikomos valdžios institucijos, kaip apibrėžta 1998 m. Žmogaus teisių akte. Asmuo, kuris teigia, kad valdžios institucija veikė (arba siūlo veikti) su Konvencijoje įtvirtintomis teisėmis nesuderinamu būdu, taip pažeidžiant 1998 m. Žmogaus teisių akto 6 straipsnio 1 dalį, gali atitinkamame bendrosios kompetencijos arba specializuotame teisme iškelti institucijai bylą arba remtis atitinkamomis teisėmis bet kuriame teisminiame procese, kai jis tapo (arba galėjo tapti) neteisėto veiksmo auka (197).

(120)

Jeigu teismas nustato, kad kuris nors valdžios institucijos veiksmas yra neteisėtas, jis, atsižvelgdamas į savo įgaliojimus, gali nustatyti jo manymu teisingą ir tinkamą teisių gynimo priemonę arba priimti jo manymu teisingą ir tinkamą nutartį (198). Teismas taip pat gali pirminės teisės akto nuostatą paskelbti nesuderinama su teise, kuri yra garantuojama pagal EŽTK.

(121)

Galiausiai, išnaudojęs nacionalines teisių gynimo priemones, fizinis asmuo dėl EŽTK garantuojamų žmogaus teisių pažeidimų savo teises gali ginti Europos Žmogaus Teisių Teisme.

(122)

Pagal Jungtinės Karalystės teisę viena teisėsaugos institucija gali teikti duomenis kitoms JK institucijoms kitais tikslais nei tie, dėl kurių duomenys iš pradžių buvo surinkti (tiksliau – perduoti duomenis toliau), laikydamasi tam tikrų sąlygų.

(123)

Panašiai kaip pagal Direktyvos (ES) 2016/680 4 straipsnio 2 dalį, pagal 2018 m. DAA 36 straipsnio 3 dalį kompetentingos institucijos teisėsaugos tikslu surinktus asmens duomenis leidžiama tvarkyti toliau (tą gali daryti pradinis arba kitas duomenų valdytojas) bet kuriuo kitu teisėsaugos tikslu, jeigu duomenų valdytojas pagal įstatymą turi įgaliojimus tvarkyti duomenis kitu tikslu ir duomenų tvarkymas yra būtinas ir proporcingas tam tikslui (199). Šiuo atveju gaunančiosios institucijos atliekamam duomenų tvarkymui taikomos visos 2018 m. DAA 3 dalyje numatytos pirmiau išanalizuotos apsaugos priemonės.

(124)

Pagal Jungtinės Karalystės teisinę tvarką ir įvairius jos įstatymus toks tolesnis dalijimasis duomenimis yra leidžiamas. Visų pirma, i) pagal 2017 m. Skaitmeninės ekonomikos aktą valdžios institucijoms duomenimis leidžiama dalytis keliais tikslais, pvz., dėl bet kurio sukčiavimo viešajame sektoriuje atvejo, susijusio su valdžios institucijų nuostoliais arba nuostolių rizika (200), arba skolos valdžios institucijai arba Karalienei atveju (201); ii) pagal 2013 m. Nusikaltimų ir teismų aktą, kuriame leidžiama dalytis informacija su Nacionaline nusikaltimų agentūra (202) kovos su sunkiais ir organizuotais nusikaltimais, jų tyrimo ir baudžiamojo persekiojimo tikslais; iii) pagal 2007 m. Sunkių nusikaltimų aktą, kuriame valdžios institucijoms leidžiama atskleisti informaciją kovos su sukčiavimu organizacijoms, siekiant užkirsti kelią sukčiavimui (203).

(125)

Šiuose teisės aktuose aiškiai nustatyta, kad dalijimasis informacija turi atitikti 2018 m. DAA nustatytas taisykles. Be to, tam, kad policijai būtų lengviau vykdyti duomenų apsaugos pareigas pagal Jungtinės Karalystės BDAR, DAA ir 1998 m. Žmogaus teisių aktą, Policijos koledžas paskelbė Dalijimosi informacija leistinos profesinės praktikos aprašą (204). Tai, ar dalijantis duomenimis yra laikomasi atitinkamų duomenų apsaugos teisės aktų, žinoma, gali būti peržiūrima teismine tvarka (205).

(126)

Be to, panašiai kaip Direktyvos (ES) 2016/680 9 straipsnyje, 2018 m. DAA nustatyta, kad bet kuriuo teisėsaugos tikslu surinkti asmens duomenys gali būti tvarkomi ne teisėsaugos tikslu, kai tai leidžiama daryti pagal įstatymą (206). Šios rūšies duomenimis galima dalytis dviem atvejais: 1) kai baudžiamosios teisėsaugos institucija dalijasi duomenimis su nebaudžiamosios teisėsaugos institucija, išskyrus žvalgybos tarnybas (pvz., finansų arba mokesčių institucija, konkurencijos institucija, jaunimo gerovės tarnyba ir pan.), ir 2) kai baudžiamosios teisėsaugos institucija dalijasi duomenimis su žvalgybos tarnybomis. Pirmuoju atveju asmens duomenų tvarkymui bus taikomas Jungtinės Karalystės BDAR ir 2018 m. DAA 2 dalis. Kaip nurodyta pagal Reglamentą (ES) 2016/679 priimtame sprendime, Jungtinės Karalystės BDAR ir 2018 m. DAA 2 dalyje nustatytomis apsaugos priemonėmis sukurtas apsaugos lygis yra iš esmės lygiavertis Sąjungoje užtikrinamam apsaugos lygiui (207).

(127)

Antruoju atveju, kai baudžiamosios teisėsaugos institucijos surinktais duomenimis dalijamasi su žvalgybos tarnyba nacionalinio saugumo tikslais, teisinis pagrindas, kuriuo leidžiama dalytis tokiais duomenimis, yra 2008 m. Kovos su terorizmu aktas (2008 m. KTA) (208). Pagal 2008 m. KTA bet kuris asmuo gali teikti informaciją bet kuriai žvalgybos tarnybai bet kurioms šios tarnybos funkcijoms, įskaitant su nacionaliniu saugumu susijusias funkcijas, vykdyti.

(128)

Dėl sąlygų, kuriomis duomenimis galima dalytis nacionalinio saugumo tikslais, pažymėtina, kad pagal Žvalgybos tarnybų aktą ir Saugumo tarnybų aktą žvalgybos tarnybos gali gauti tik jų funkcijoms pagal įstatymą vykdyti būtinus duomenis. Kompetentingos institucijos, kurios patenka į 2018 m. DAA 3 dalies taikymo sritį ir nori dalytis duomenimis su žvalgybos tarnybomis, turės įvertinti įvairius veiksnius ir (arba) apribojimus ir kartu atsižvelgti į Žvalgybos tarnybų akte ir Saugumo tarnybų akte nustatytas žvalgybos tarnybų funkcijas (209). 2008 m. KTA 20 straipsnyje aiškiai nurodyta, kad bet koks dalijimasis duomenimis pagal 2008 m. KTA 19 straipsnį vis tiek turi atitikti duomenų apsaugos teisės aktus; tai reiškia, kad taikomi visi 2018 m. DAA nustatyti apribojimai ir reikalavimai. Be to, teisėsaugos institucijos ir žvalgybos tarnybos pagal 1998 m. Žmogaus teisių aktą yra laikomos valdžios institucijomis, todėl privalo užtikrinti, kad jų veikloje būtų gerbiamos pagal EŽTK, įskaitant jos 8 straipsnį, garantuojamos teisės. Kitaip tariant, pagal šiuos reikalavimus teisėsaugos institucijos ir žvalgybos tarnybos visais duomenimis dalijasi laikydamosi duomenų apsaugos teisės aktų ir EŽTK.

(129)

Žvalgybos tarnyboms nacionalinio saugumo tikslais tvarkant iš teisėsaugos institucijų gautus asmens duomenis yra taikomos įvairios sąlygos ir apsaugos priemonės (210). 2018 m. DAA 4 dalis taikoma visam žvalgybos tarnybų arba jų vardu atliekamam duomenų tvarkymui. Joje nustatyti pagrindiniai duomenų apsaugos principai (teisėtumas, sąžiningumas ir skaidrumas (211), tikslo apribojimas (212), duomenų kiekio mažinimas (213), tikslumas (214), saugojimo ribojimas (215) ir saugumas (216), nustatytos specialių kategorijų asmens duomenų tvarkymo sąlygos (217), numatytos duomenų subjektų teisės (218), reikalaujama užtikrinti pritaikytąją duomenų apsaugą (219) ir reglamentuojami tarptautiniai asmens duomenų perdavimai (220).

(130)

Kartu 2018 m. DAA 110 straipsnyje nustatyta 2018 m. DAA 4 dalies nuostatų taikymo išimtis, kai tokia išimtis yra būtina siekiant užtikrinti nacionalinį saugumą. 2018 m. DAA 110 straipsnio 2 dalyje nurodyta, kurioms nuostatoms leidžiama taikyti išimtį. Prie jų priskirti duomenų apsaugos principai (išskyrus teisėtumo principą), duomenų subjekto teisės, pareiga informuoti informacijos komisarą apie duomenų saugumo pažeidimą, informacijos komisaro įgaliojimai atlikti patikrinimus pagal tarptautinius įpareigojimus, tam tikri informacijos komisaro vykdymo užtikrinimo įgaliojimai, nuostatos, kuriomis už tam tikrus duomenų apsaugos pažeidimus taikoma baudžiamoji atsakomybė, ir nuostatos, susijusios su specialiais duomenų tvarkymo tikslais, pvz., žurnalistikos, akademiniais arba meniniais tikslais. Šia išimtimi galima remtis kiekvienu atveju atlikus analizę (221). Kaip paaiškino Jungtinės Karalystės institucijos ir kaip patvirtinta Jungtinės Karalystės teismų praktikoje, „a) duomenų valdytojas privalo atsižvelgti į faktines pasekmes nacionaliniam saugumui arba gynybai, jeigu jis privalėtų laikytis konkrečios duomenų apsaugos nuostatos ir jeigu pagrįstai galėtų laikytis įprastos taisyklės nepadarydamas poveikio nacionaliniam saugumui arba gynybai)“ (222). Tai, ar išimtimi pasinaudota tinkamai, prižiūri informacijos komisaras (223).

(131)

Be to, kadangi „nacionalinio saugumo“ užtikrinimo tikslais bet kurios iš pirmiau paminėtų teisių gali būti apribotos, 2018 m. DAA 79 straipsnyje numatyta, kad duomenų valdytojas gali prašyti išduoti Ministrų kabineto arba generalinio prokuroro pasirašytą sertifikatą, kuriuo patvirtinama, kad tų teisių apribojimas yra būtina ir proporcinga priemonė nacionaliniam saugumui užtikrinti (224). Jungtinės Karalystės Vyriausybė yra paskelbusi gaires dėl nacionalinio saugumo sertifikatų pagal 2018 m. DAA, kuriose pirmiausia pabrėžiama, kad bet kokie duomenų subjektų teisių apribojimai nacionalinio saugumo užtikrinimo tikslais turi būti proporcingi ir būtini (225). Visi nacionalinio saugumo sertifikatai turi būti skelbiami Informacijos komisaro interneto svetainėje (226).

(132)

Sertifikato galiojimo trukmė turėtų būti konkreti ir neviršyti penkerių metų, kad įstatymų vykdomoji valdžia galėtų jį nuolat peržiūrėti (227). Sertifikate nurodomi asmens duomenys arba asmens duomenų kategorijos, kurioms taikoma išimtis, taip pat 2018 m. DAA nuostatos, kurioms taikoma išimtis (228).

(133)

Svarbu pažymėti, kad nacionalinio saugumo sertifikatai nesuteikia papildomo pagrindo apriboti duomenų apsaugos teises nacionalinio saugumo sumetimais. Kitaip tariant, duomenų valdytojas arba duomenų tvarkytojas sertifikatu gali remtis tik tada, jei padaro išvadą, kad nacionalinio saugumo išimtį taikyti būtina ir kad ji konkrečiu atveju turi būti taikoma. NET jei nacionalinio saugumo sertifikatas sprendžiant konkretų klausimą yra taikomas, informacijos komisaras gali tirti, ar konkrečiu atveju remtis nacionalinio saugumo išimtimi buvo pagrįsta (229).

(134)

Bet kuris asmuo, kurį sertifikato išdavimas paveikė tiesiogiai, gali pateikti skundą aukštesniajam specializuotam teismui (230) dėl to sertifikato (231) arba, jeigu sertifikate duomenys nurodomi pateikiant bendrą aprašymą, ginčyti sertifikato taikymą konkretiems duomenims (232).

(135)

Specializuotas teismas peržiūrės sprendimą išduoti sertifikatą ir nuspręs, ar buvo pagrįstų priežasčių jį išduoti (233). Jis gali nagrinėti įvairius klausimus, įskaitant būtinumą, proporcingumą ir teisėtumą, atsižvelgdamas į poveikį duomenų subjektų teisėms ir poreikį užtikrinti nacionalinį saugumą. Todėl specializuotas teismas gali nuspręsti, kad tam tikriems asmens duomenims, dėl kurių pateiktas skundas, sertifikatas netaikomas (234).

(136)

Kitą galimų apribojimų grupę sudaro apribojimai, pagal 2018 m. DAA 11 straipsnį taikomi tam tikroms 2018 m. DAA 4 dalies nuostatoms (235), siekiant apsaugoti kitus su bendru viešuoju interesu arba saugomais interesais susijusius svarbius tikslus, pvz., Parlamento neliečiamumą, advokato teisę neatskleisti profesinės paslapties, teismo proceso vykdymą arba ginkluotųjų pajėgų kovinį veiksmingumą. Šių nuostatų taikymo išimtis yra taikoma tam tikrų kategorijų informacijai (pagrįsta pagal kategoriją) arba ta apimtimi, kuria šių nuostatų taikymas galėtų pakenkti saugomam interesui (pagrįsta pagal žalą) (236). Pagal žalą pagrįstomis išimtimis galima remtis tik tada, jeigu būtų tikimybės, kad nurodytų duomenų apsaugos nuostatų taikymas gali pakenkti atitinkamam interesui. Todėl išimtis visada turi būti pagrindžiama nurodant atitinkamą žalą, kuri galėtų atsirasti konkrečiu atveju. Pagal informacijos kategoriją pagrįstomis išimtimis galima remtis tik mokslinės, siauriai apibrėžtos kategorijos informacijos, kuriai leidžiama taikyti išimtį, atžvilgiu. Pagal tikslą ir poveikį šios išimtys yra panašios į kai kurias Jungtinės Karalystės BDAR nustatytas išimtis (2018 m. DAA 2 priedas), o šios atitinka BDAR 23 straipsnyje numatytas išimtis.

(137)

Iš to, kas nurodyta pirmiau, galima daryti išvadą (tokio paties aiškinimo taip pat laikėsi teismai ir Informacijos komisija), kad pagal taikytinas Jungtinės Karalystės teisės normas yra nustatyti apribojimai ir sąlygos, kuriais užtikrinama, kad šios išimtys ir apribojimai neviršytų to, kas yra būtina ir proporcinga nacionaliniam saugumui užtikrinti.

(138)

Žvalgybos tarnybų vykdomą asmens duomenų tvarkymą pagal 2018 m. DAA 4 dalį prižiūri informacijos komisaras (237).

(139)

Bendrosios informacijos komisaro funkcijos, susijusios su asmens duomenų tvarkymo žvalgybos tarnybose priežiūra pagal 2018 m. DAA 4 dalį, nustatytos 2018 m. DAA 13 priede. Prie jų priskiriama (tuo neapsiribojant) 2018 m. DAA 4 dalies vykdymo stebėsena ir vykdymo užtikrinimas, visuomenės informuotumo didinimas, Parlamento, Vyriausybės ir kitų institucijų konsultavimas teisėkūros ir administracinių priemonių klausimais, duomenų valdytojų ir duomenų tvarkytojų informuotumo apie jų pareigas didinimas, informacijos teikimas duomenų subjektui apie naudojimąsi duomenų subjekto teisėmis ir tyrimų vykdymas.

(140)

Pagal 2018 m. DAA 3 dalį komisaras yra įgaliotas pranešti duomenų valdytojams apie įtariamą pažeidimą ir pateikti perspėjimą, kad duomenų tvarkymas gali pažeisti taisykles, o jei pažeidimas pasitvirtina – pareikšti papeikimus. Jeigu kurios nors akto nuostatos pažeidžiamos, jis taip pat gali teikti vykdymo pranešimus ir pranešimus dėl nuobaudų (238). Tačiau kitaip negu pagal kitas 2018 m. DAA dalis, komisaras negali pateikti nacionalinio saugumo įvertinimo (239).

(141)

Taip pat pažymėtina, kad 2018 m. DAA 110 straipsnyje numatyta naudojimosi tam tikrais komisaro įgaliojimais išimtis, kai tai yra reikalinga nacionaliniam saugumui užtikrinti. Tai – komisaro įgaliojimas leisti (bet kurio tipo) pranešimus pagal DAA (informacinį, vertinimo, vykdymo pranešimus ir pranešimą dėl nuobaudų), įgaliojimas vykdyti patikrinimus pagal tarptautinius įsipareigojimus, įgaliojimas patekti į patalpas ir atlikti patikrinimą, taip pat taisyklės dėl nusikaltimų (240). Kaip paaiškinta 136 konstatuojamojoje dalyje, šios išimtys bus taikomos tik tada, jei tai konkrečiu atveju bus reikalinga ir proporcinga. Šių išimčių taikymas tam tikrais atvejais gali būti peržiūrėtas teismine tvarka (241).

(142)

Informacijos pareigūnas ir Jungtinės Karalystės žvalgybos tarnybos pasirašė susitarimo memorandumą (242), kuriame įtvirtinta bendradarbiavimo įvairiais klausimais, įskaitant pranešimus apie duomenų saugumo pažeidimus ir duomenų subjektų skundų tvarkymą, sistema. Visų pirma, jame numatyta, kad informacijos komisaras, gavęs skundą, įvertina, ar su nacionaliniu saugumu susijusios išimtys buvo panaudotos tinkamai. Remiantis atitinkamomis Jungtinės Karalystės Vyriausybės gairėmis dėl nacionalinio saugumo sertifikatų, teikiamų pagal Duomenų apsaugos aktą, atsakymai į informacijos komisaro užklausas, susijusias su individualių skundų nagrinėjimu, turi būti pateikti per 20 darbo dienų, o jei turi būti pateikta neskelbtina informacija – atsakymai turi būti teikiami naudojantis atitinkamais saugiais kanalais. Nuo 2018 m. balandžio mėn. iki šiol informacijos pareigūnas gavo 21 asmens skundą dėl žvalgybos tarnybų. Kiekvienas skundas buvo įvertintas, o duomenų subjektas buvo informuotas apie vertinimo rezultatą (243).

(143)

Taip pat pažymėtina, kad Žvalgybos ir saugumo komitetas (toliau – ŽSK) vykdo parlamentinę priežiūrą, kaip žvalgybos tarnybos tvarko duomenis. Komiteto veiklos įstatyminis pagrindas nustatytas 2013 m. Teisingumo ir saugumo akte (2013 m. TSA) (244). Jame nurodyta, kad ŽSK yra Jungtinės Karalystės parlamento komitetas. ŽSK sudaro abiejų Parlamento rūmų nariai, kuriuos, pasikonsultavęs su opozicijos lyderiu, skiria Ministras Pirmininkas (245). ŽSK privalo kasmet pateikti Parlamentui ataskaitą apie savo funkcijų vykdymą ir teikti kitas, jo nuomone reikalingas, ataskaitas (246).

(144)

Nuo 2013 m. ŽSK suteikta daugiau įgaliojimų, įskaitant įgaliojimą vykdyti saugumo tarnybų operatyvinės veiklos priežiūrą. Pagal 2013 m. TSA 2 straipsnį ŽSK pavesta prižiūrėti nacionalinio saugumo tarnybų išlaidas, administravimą, politiką ir operacijas. 2013 m. TSA nurodyta, kad ŽSK gali vykdyti operatyvinių klausimų tyrimus, kai jie nėra susiję su vykdomomis operacijomis (247). Ministro pirmininko ir ŽSK susitarimo memorandume (248) išsamiai išdėstyta, į ką reikia atsižvelgti svarstant, ar veikla nėra kurios nors vykdomos operacijos dalis (249). Ministras pirmininkas gali prašyti, kad ŽSK ištirtų vykdomas operacijas; tarnybų pateiktą informaciją ŽSK taip pat gali peržiūrėti savanoriškai.

(145)

Pagal 2013 m. TSA 1 priedą ŽSK gali prašyti bet kurios iš trijų žvalgybos tarnybų vadovų atskleisti bet kurią informaciją. Agentūra privalo suteikti tokią informaciją, nebent valstybės sekretorius tai vetuoja (250). Jungtinės Karalystės institucijos paaiškino, kad praktiškai informacijos, kuri ŽSK neteikiama, yra labai nedaug (251).

(146)

Dėl teisių gynimo priemonių pirmiausia pažymėtina, kad pagal 2018 m. DAA 165 straipsnio 2 dalį duomenų subjektas gali pateikti informacijos komisarui skundą, jeigu mano, kad tvarkant jo asmens duomenis buvo pažeistos 2018 m. DAA 4 dalies nuostatos, be kita jo, piktnaudžiauta nacionalinio saugumo tikslais nukrypti leidžiančiomis nuostatomis ir apribojimais.

(147)

Taip pat pažymėtina, kad pagal 2018 m. DAA 4 dalį asmenys turi teisę kreiptis į Aukštąjį teismą (Škotijoje – Sesijų teismą) su prašymu nurodyti duomenų valdytojui leisti pasinaudoti teise susipažinti su duomenimis (252), paprieštarauti duomenų tvarkymui (253) ir ištaisyti arba ištrinti duomenis.

(148)

Asmenys taip pat turi teisę reikalauti iš duomenų valdytojo arba duomenų tvarkytojo atlyginti žalą, patirtą dėl to, kad nebuvo laikomasi 2018 m. DAA 4 dalies reikalavimo (254). Žalą sudaro finansiniai nuostoliai ir su jais nesusijusi žala, pvz., stresas (255).

(149)

Galiausiai pažymėtina, kad dėl bet kokio Jungtinės Karalystės žvalgybos tarnybų elgesio (256) asmuo gali pateikti skundą Tyrimo įgaliojimų teismui. Anglijos, Velso ir Šiaurės Airijos Tyrimo įgaliojimų teismas yra įsteigtas pagal 2000 m. tyrimo įgaliojimų reguliavimo aktą, Škotijos Tyrimo įgaliojimų teismas yra įsteigtas pagal 2000 m. Tyrimo įgaliojimų reguliavimo (Škotija) aktą ir yra nepriklausomas nuo vykdomosios valdžios institucijų (257). Pagal 2000 m. Tyrimo įgaliojimų reguliavimo akto 65 straipsnį Tyrimo įgaliojimų teismo narius skiria Jos Didenybė penkerių metų kadencijai.

(150)

Specializuoto teismo narį iš pareigų pašalinti gali Jos Didenybė, remdamasi abiejų Parlamento rūmų (258) kreipimusi (259).

(151)

Kad galėtų pateikti ieškinį Tyrimo įgaliojimų teismui (nuolatinis reikalavimas) pagal 2000 m. Tyrimo įgaliojimų reguliavimo akto 65 straipsnį asmuo turi būti įsitikinęs, kad i) žvalgybos tarnybos veiksmai buvo susiję su juo pačiu, bet kuriuo jo turtu, bet kuriuo jo siųstu, jam siųstu arba skirtu pranešimu, jo naudojimusi bet kuria pašto paslauga, telekomunikacijų paslauga arba sistema (260) ir kad ii) tie veiksmai įvykdyti „ginčytinomis aplinkybėmis“ (261) ir juos įvykdė „žvalgybos tarnyba“ arba jie įvykdyti „žvalgybos tarnybos vardu“ (262). Kadangi sąvoka „įsitikinęs“ buvo išaiškinta gana plačiai (263), ieškiniui specializuotame teisme pareikšti taikoma nedaug nuolatinių reikalavimų.

(152)

Jeigu specializuotas teismas nagrinėja jam pateiktą skundą, jis privalo ištirti, ar asmenys, prieš kuriuos skunde pateikti kokie nors kaltinimai, ėmėsi veiksmų prieš skundo pateikėją, taip pat ištirti, kokiais įgaliojimais remiantis pažeidimai esą buvo padaryti, taip pat ar nurodyti veiksmai iš tiesų padaryti (264). Jeigu specializuotas teismas nagrinėja bylą, priimdamas sprendimą toje byloje jis privalo taikyti tuos pačius principus, kuriuos taikytų atlikdamas teisminę peržiūrą (265).

(153)

Specializuotas teismas privalo informuoti skundo pateikėją, ar sprendimas priimtas jo ar ne jo naudai (266). Pagal 2000 m. Tyrimo įgaliojimų reguliavimo akto 67 straipsnio 6 ir 7 dalis specializuotas teismas turi teisę priimti nutartis dėl laikinųjų priemonių ir priteisti atlyginti žalą arba priimti kitokį jo nuomone tinkamą sprendimą (267). Pagal 2000 m. Tyrimo įgaliojimų reguliavimo akto 67A straipsnį teismo sprendimą galima skųsti apeliacine tvarka, jei teismas arba atitinkamas apeliacinis teismas duoda tam leidimą.

(154)

Visų pirma, asmuo gali pareikšti ieškinį (arba pasinaudoti kita teisių gynimo priemone) Tyrimo įgaliojimų teismui, jeigu mano, kad valdžios institucija veikė (arba siūlo veikti) su EŽTK įtvirtintomis teisėmis, įskaitant teisę į privatumą ir duomenų apsaugą, nesuderinamu būdu, todėl tas veiksmas pagal 1998 m. Žmogaus teisių akto 6 straipsnio 1 dalį yra neteisėtas. Tyrimo įgaliojimų teismui suteikta išimtinė jurisdikcija nagrinėti visus pagal Žmogaus teisių aktą pareikštus ieškinius dėl žvalgybos tarnybų. Taigi, kaip pažymėjo Aukštasis teismas, „faktą, ar Žmogaus teisių aktas buvo pažeistas, remiantis atitinkamos bylos medžiaga, iš esmės gali nagrinėti ir sprendimą dėl to priimti nepriklausomas specializuotas teismas, turintis prieigą prie visos atitinkamos medžiagos, įskaitant slaptą medžiagą. <...> Šiuo atžvilgiu turime galvoje ir tai, kad pats Tyrimo įgaliojimų teismas dabar pats gali teikti apeliacinį skundą atitinkamam apeliaciniam teismui (Anglijoje ir Velse – Apeliaciniam teismui). Aukščiausiasis teismas neseniai priimtame sprendime konstatavo, kad Tyrimo įgaliojimų teismui iš esmės gali būti taikoma teisminė peržiūra: žr. Sprendimą R (Privacy International) / Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219“ (268). Jeigu Tyrimo įgaliojimų teismas nustato, kad kuris nors valdžios institucijos aktas yra neteisėtas, jis, atsižvelgdamas į savo įgaliojimus, gali nustatyti jo manymu teisingą ir tinkamą teisių gynimo priemonę arba priimti jo manymu teisingą ir tinkamą nutartį (269).

(155)

Išnaudojęs nacionalines teisių gynimo priemones, fizinis asmuo dėl EŽTK garantuojamų žmogaus teisių pažeidimų, susijusių su jo teisėmis, įskaitant teisę į privatumą ir duomenų apsaugą, gali kreiptis į Europos Žmogaus Teisių Teismą.

(156)

Iš to, kas išdėstyta pirmiau, galima daryti išvadą, kad Jungtinės Karalystės baudžiamosios teisėsaugos institucijoms dalijantis duomenimis, dėl kurių priimamas šis sprendimas, su kitomis valdžios institucijomis, įskaitant žvalgybos tarnybas, yra taikomi apribojimai ir sąlygos, kuriomis užtikrinama, kad duomenimis toliau būtų dalijamasi, jei tai reikalinga ir proporcinga, ir taikomos tam tikros 2018 m. DAA nustatytos duomenų apsaugos priemonės. Be to, tai, kaip duomenys tvarkomi atitinkamose valdžios institucijose, prižiūri nepriklausomos tarnybos, o nukentėję asmenys gali pasinaudoti veiksmingomis teisminėmis teisių gynimo priemonėmis.

(157)

Komisija mano, kad pagal 2018 m. DAA 3 dalį užtikrinama asmens duomenų, kuriuos Sąjungos kompetentingos institucijos perduoda Jungtinės Karalystės kompetentingoms institucijoms baudžiamosios teisėsaugos tikslais, apsauga yra iš esmės lygiavertė pagal Direktyvą (ES) 2016/680 užtikrinamai apsaugai.

(158)

Komisija taip pat mano, kad pagal Jungtinės Karalystės teisę numatyti priežiūros mechanizmai ir teisių gynimo galimybės, vertinant juos kaip visumą, sudaro galimybę praktiškai nustatyti padarytus pažeidimus ir už juos bausti, ir suteikia duomenų subjektui teisių gynimo priemonių, kad jis galėtų susipažinti su savo asmens duomenimis ir vėliau pasiekti, kad šie duomenys būtų ištaisyti arba ištrinti.

(159)

Galiausiai pažymėtina, kad, remdamasi turima informacija apie Jungtinės Karalystės teisinę sistemą, Komisija mano, kad bet kokios intervencinės priemonės, kurių imasi Jungtinės Karalystės valdžios institucijos viešojo intereso tikslais asmenų, kurių asmens duomenys perduodami iš Europos Sąjungos Jungtinei Karalystei, teisių atžvilgiu, įskaitant atvejus, kai teisėsaugos institucijos dalijasi asmens duomenimis su kitomis valdžios institucijomis, pavyzdžiui, nacionalinėmis saugumo tarnybomis, apsiribos tuo, kas yra būtinai reikalinga, kad būtų pasiektas atitinkamas teisėtas tikslas, ir kad yra veiksmingų teisinės apsaugos priemonių, kurių galima imtis prieš tokias intervencines priemones.

(160)

Todėl reikėtų priimti sprendimą, kad pagal Direktyvos (ES) 2016/680 36 straipsnio 2 dalį, aiškinamą atsižvelgiant į Pagrindinių teisių chartiją, yra laikytina, kad Jungtinė Karalystė užtikrina tinkamą duomenų apsaugos lygį.

(161)

Ši išvada grindžiama tiek Jungtinės Karalystės vidaus tvarka, tiek jos tarptautiniais įsipareigojimais, ypač tuo, kaip ji laikosi Europos žmogaus teisių konvencijos ir paklūsta Europos žmogaus teisių teismo jurisdikcijai. Todėl tolesnis šių tarptautinių įsipareigojimų laikymasis yra ypač svarbus vertinimo, kuriuo remiantis priimamas šis sprendimas, aspektas.

(162)

Valstybės narės ir jų institucijos privalo imtis priemonių, kurios yra būtinos siekiant užtikrinti atitiktį Sąjungos institucijų aktams, nes preziumuojama, kad Sąjungos institucijų teisės aktai yra teisėti, todėl sukelia teisinių pasekmių, kol jų galiojimo laikotarpis nesibaigia, jie nėra pripažinti netekusiais galios, panaikinti patenkinus ieškinį dėl panaikinimo, paskelbti negaliojančiais išnagrinėjus prašymą priimti prejudicinį sprendimą arba neteisėtumu grindžiamą prieštaravimą.

(163)

Todėl Komisijos sprendimas dėl duomenų apsaugos tinkamumo, kurį ji priėmė pagal Direktyvos (ES) 2016/680 36 straipsnio 3 dalį, yra privalomas visoms valstybių narių, kurioms jis skirtas, institucijoms, įskaitant šių valstybių narių nepriklausomas priežiūros institucijas. Visų pirma taikant šį sprendimą, perdavimai iš Sąjungos duomenų valdytojo arba duomenų tvarkytojo Jungtinėje Karalystėje esantiems duomenų valdytojams arba duomenų tvarkytojams gali vykti be jokio papildomo leidimo.

(164)

Tuo pačiu reikėtų priminti, kad pagal Direktyvos (ES) 2016/680 47 straipsnio 5 dalį ir kaip paaiškinta Teisingumo Teismo sprendime Schrems, tais atvejais, kai nacionalinė duomenų apsaugos institucija suabejoja, ar Komisijos sprendimas dėl duomenų apsaugos tinkamumo yra suderinamas su asmens pagrindinėmis teisėmis į privatumą ir duomenų apsaugą, įskaitant atvejus, kai abejonėms pagrindo suteikia skundas, ji turi galėti pasinaudoti nacionalinėje teisėje numatytomis teisinėmis teisių gynimo priemonėmis ir galimybe pareikšti prieštaravimus nacionaliniam teismui, o teismui tokiu atveju gali prireikti kreiptis į Teisingumo Teismą su prašymu priimti prejudicinį sprendimą (270).

(165)

Pagal Direktyvos (ES) 2016/680 36 straipsnio 4 dalį Komisija privalo nuolat stebėti atitinkamus pokyčius Jungtinėje Karalystėje po to, kai bus priimtas šis sprendimas, siekdama įvertinti, ar ji vis dar užtikrina iš esmės lygiavertį apsaugos lygį. Tokia stebėsena yra ypač svarbi šiuo atveju, nes Jungtinė Karalystė administruos, taikys ir užtikrins naują duomenų apsaugos režimą, kuriam nebetaikoma Sąjungos teisė ir kuris gali būti keičiamas. Šiuo atžvilgiu ypač bus stebima, kaip Jungtinė Karalystė praktiškai laikysis taisyklių dėl asmens duomenų perdavimo trečiosioms šalims, be kita ko, sudarydama tarptautinius susitarimus, ir į tai, kokį poveikį tai gali turėti pagal šį sprendimą perduodamų duomenų apsaugos lygiui; ir kaip bus užtikrinama veiksminga galimybė naudotis asmens teisėmis srityse, kurioms taikomas šis sprendimas. Be kita ko, Komisija stebės teismų praktikos raidą ir informacijos komisaro bei kitų nepriklausomų įstaigų vykdomą priežiūrą.

(166)

Siekiant palengvinti šią stebėseną Jungtinės Karalystės institucijos turėtų nedelsdamos ir reguliariai informuoti Komisiją apie bet kokius materialinius Jungtinės Karalystės teisinės tvarkos pokyčius, kurie daro poveikį pagal šį sprendimą reglamentuojamai teisinei sistemai, taip pat apie bet kokius praktikos, susijusios su šiame sprendime vertinamų asmens duomenų tvarkymu, pokyčius, ypač tokiue, kurie susiję su 165 konstatuojamojoje dalyje nurodytais elementais.

(167)

Taip pat pažymėtina, jog tam, kad Komisija galėtų veiksmingai vykdyti stebėsenos funkciją, valstybės narės turėtų Komisijai pranešti apie visus atitinkamus veiksmus, kurių ėmėsi nacionalinės duomenų apsaugos institucijos, visų pirma dėl ES duomenų subjektų užklausų ar skundų, susijusių su asmens duomenų perdavimu iš Sąjungos verslo subjektams Jungtinėje Karalystėje. Komisijai taip pat reikėtų pranešti apie visus požymius, kad Jungtinės Karalystės valdžios institucijų, atsakingų už nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar baudžiamąjį persekiojimą už jas, įskaitant bet kokias priežiūros įstaigas, veiksmais nėra užtikrinama reikiamo lygio apsauga.

(168)

Jeigu iš turimos informacijos, ypač iš informacijos, surinktos vykdant stebėseną pagal šį sprendimą, arba iš informacijos, kurią pateikia Jungtinės Karalystės arba valstybių narių institucijos, paaiškėja, kad Jungtinėje Karalystėje užtikrinamas duomenų apsaugos lygis nebėra pakankamas, Komisija turėtų apie tai informuoti kompetentingas Jungtinės Karalystės institucijas ir paprašyti per nustatytą terminą (jis negali būti ilgesnis nei trys mėnesiai) imtis tinkamų priemonių. Prireikus, atsižvelgiant į svarstomo klausimo pobūdį ir (arba) priemones, kurių reikia imtis, šis terminas gali būti pratęstas nustatytam laikui.

(169)

Jeigu, iki nustatyto termino pabaigos kompetentingos Jungtinės Karalystės institucijos tų priemonių nesiima arba kitais būdais tinkamai neįrodo, kad duomenų apsaugos lygis, dėl kurio priimamas šis sprendimas, tebėra tinkamas, Komisija pradeda Direktyvos (ES) 2016/680 58 straipsnio 2 dalyje nurodytą procedūrą ir iš dalies arba visiškai sustabdo arba panaikina šį sprendimą.

(170)

Kitu atveju Komisija pradeda procedūrą, kad šis sprendimas būtų iš dalies pakeistas, visų pirma nustato, kad duomenų perdavimui turi būti taikomos papildomos sąlygos, arba apriboja išvadą dėl duomenų apsaugos tinkamumo taip, kad ji galiotų tik tam duomenų perdavimui, kurį vykdant užtikrinamas duomenų apsaugos tęstinumas.

(171)

Remdamasi deramai pagrįstu poreikiu imtis skubių veiksmų, Komisija pagal Direktyvos (ES) 2016/680 58 straipsnio 3 dalį pasinaudos galimybe priimti įgyvendinimo aktus, kurie pradedami taikyti iš karto, dėl šio sprendimo sustabdymo, panaikinimo arba pakeitimo.

(172)

Reikėtų atsižvelgti į tai, kad, pasibaigus susitarime dėl išstojimo nustatytam pereinamajam laikotarpiui ir nustojus taikyti laikinąją nuostatą, išdėstytą ES ir Jungtinės Karalystės prekybos ir bendradarbiavimo susitarimo 782 straipsnyje, Jungtinė Karalystė administruos, taikys ir vykdys naujus duomenų apsaugos reikalavimus, palyginti su tais, kurie buvo taikomi, kai ji privalėjo laikytis Europos Sąjungos teisės. Dėl to pagal šį sprendimą vertinta duomenų apsaugos teisinė sistema gali būti iš dalies pakeista, taip pat gali atsirasti kitų svarbių pokyčių.

(173)

Todėl šiame sprendime tikslinga numatyti, kad sprendimas bus taikomas ketverius metus nuo įsigaliojimo.

(174)

Visų pirma, jeigu iš informacijos, kuri bus surinkta vykdant stebėseną pagal šį sprendimą, paaiškės, kad nustatyti faktai dėl Jungtinėje Karalystėje užtikrinamo duomenų apsaugos lygio tinkamumo faktiniu ir teisiniu požiūriais tebegalioja, Komisija turėtų ne vėliau kaip likus šešiems mėnesiams iki šio sprendimo galiojimo pabaigos pradėti šio sprendimo keitimo procedūrą ir, visų pirma, laikino taikymo laikotarpį pratęsti dar ketveriems metams. Bet koks įgyvendinimo aktas, kuriuo iš dalies keičiamas šis sprendimas, turi būti priimtas laikantis Direktyvos (ES) 2016/680 58 straipsnio 2 dalyje nurodytos procedūros.

(175)

Europos duomenų apsaugos valdyba paskelbė savo nuomonę (271), į kurią buvo atsižvelgta rengiant šį sprendimą.

(176)

Šiame sprendime numatytos priemonės atitinka pagal Direktyvos (ES) 2016/680 58 straipsnį įsteigto komiteto nuomonę.

(177)

Pagal prie ES sutarties ir SESV pridėto Protokolo Nr. 21 dėl Jungtinės Karalystės ir Airijos pozicijos dėl laisvės, saugumo ir teisingumo erdvės 6a straipsnį Airijai nėra privalomos Direktyvoje (ES) 2016/680, taigi ir šiame įgyvendinimo sprendime, nustatytos taisyklės, kurios yra susijusios su valstybių narių vykdomu asmens duomenų tvarkymu atliekant veiklą, kuriai taikomas SESV trečiosios dalies V antraštinės dalies 4 arba 5 skyrius, tais atvejais, kai Airijai nėra privalomos taisyklės, kuriomis reglamentuojamos teisminio bendradarbiavimo baudžiamosiose bylose ar policijos bendradarbiavimo, kurį vykdant turi būti laikomasi pagal SESV 16 straipsnį nustatytų nuostatų, formos. Be to, pagal Tarybos įgyvendinimo sprendimą (ES) 2020/1745 (272), Airijoje Direktyva (ES) 2016/680 turi būti įgyvendinama ir laikinai taikoma nuo 2021 m. sausio 1 d. Todėl Airija privalo laikytis šio įgyvendinimo sprendimo tokiomis pat Įgyvendinimo sprendime (ES) 2020/1745 nustatytomis sąlygomis, kokios taikomos Airijoje taikant Direktyvą (ES) 2016/680 dėl Šengeno acquis, kurio Airija laikosi.

(178)

Pagal Protokolo Nr. 22 dėl Danijos pozicijos, pridėto prie Europos Sąjungos sutarties ir Sutarties dėl Europos Sąjungos veikimo, 2 ir 2a straipsnius, Danija neprivalo laikytis Direktyvos (ES) 2016/680, taigi ir šio įgyvendinimo sprendimo, teisės normų dėl asmens duomenų tvarkymo valstybėse narėse ir neprivalo jų taikyti vykdydama į SESV trečios dalies V antraštinės dalies 4 ir 5 skyrių taikymo sritį patenkančią veiklą. Tačiau, kadangi Direktyva (ES) 2016/680 yra pagrįsta Šengeno acquis, pagal minėto protokolo 4 straipsnį Danija 2016 m. spalio 26 d. pranešė nusprendusi įgyvendinti Direktyvą (ES) 2016/680. Todėl Danija pagal tarptautinę teisę privalo įgyvendinti šį įgyvendinimo sprendimą.

(179)

Dėl Islandijos ir Norvegijos pažymėtina, kad šiuo įgyvendinimo sprendimu plėtojamos Šengeno acquis nuostatos, kaip numatyta Europos Sąjungos Tarybos ir Islandijos Respublikos bei Norvegijos Karalystės sudarytame susitarime dėl šių dviejų valstybių asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis (273).

(180)

Dėl Šveicarijos pažymėtina, kad šiuo įgyvendinimo sprendimu plėtojamos Šengeno acquis nuostatos, kaip numatyta Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarime dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis (274).

(181)

Dėl Lichtenšteino pažymėtina, kad šiuo įgyvendinimo sprendimu plėtojamos Šengeno acquis nuostatos, kaip apibrėžta Europos Sąjungos, Europos bendrijos, Šveicarijos Konfederacijos ir Lichtenšteino Kunigaikštystės protokole dėl Lichtenšteino Kunigaikštystės prisijungimo prie Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarimo dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis (275),