(1)

Reglamente (ES) 2016/679 nustatytos asmens duomenų perdavimo iš Europos Sąjungoje įsikūrusių duomenų valdytojų arba duomenų tvarkytojų į trečiąsias valstybes ir tarptautinėms organizacijoms taisyklės, susijusios su tomis duomenų perdavimo operacijomis, kurioms taikomas minėtas reglamentas. Tarptautinio duomenų perdavimo taisyklės yra nustatytos to reglamento V skyriuje, t. y. 44–50 straipsniuose. Nors asmens duomenų srautas į Europos Sąjungai nepriklausančias valstybes ir iš jų yra labai svarbus siekiant plėsti tarptautinį bendradarbiavimą ir tarpvalstybinę prekybą, Europos Sąjungoje užtikrinamas asmens duomenų apsaugos lygis negali sumažėti perduodant duomenis į trečiąsias valstybes (2).

(2)

Pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį Komisija, priimdama įgyvendinimo aktą, gali nuspręsti, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Tokiu atveju asmens duomenys į trečiąją valstybę gali būti perduodami nereikalaujant jokio papildomo leidimo, kaip nustatyta to reglamento 45 straipsnio 1 dalyje ir 103 konstatuojamojoje dalyje.

(3)

Kaip nurodyta Reglamento (ES) 2016/679 45 straipsnio 2 dalyje, priimant sprendimą dėl tinkamumo, turi būti remiamasi išsamia trečiosios valstybės teisinės sistemos analize, susijusia ir su duomenų importuotojams taikomomis taisyklėmis, ir su apribojimais bei apsaugos priemonėmis, taikomomis valdžios institucijoms gaunant prieigą prie asmens duomenų. Savo vertinime Komisija privalo nustatyti, ar atitinkama valstybė garantuoja tokio lygio apsaugą, kuri yra „iš esmės lygiavertė“ Europos Sąjungoje užtikrinamai apsaugai (Reglamento (ES) 2016/679104 konstatuojamoji dalis). Standartai, kuriais remiantis vertinamas „esminis lygiavertiškumas“, yra nustatyti Europos Sąjungos teisės aktuose, visų pirma Reglamente (ES) 2016/679, taip pat Europos Sąjungos Teisingumo Teismo jurisprudencijoje (3). Šiuo atžvilgiu taip pat svarbią reikšmę turi Europos duomenų apsaugos valdybos (EDAV) tinkamumo pavyzdžiai (4).

(4)

Kaip išaiškino Europos Sąjungos Teisingumo Teismas, šia nuostata nėra reikalaujama prieiti prie išvados, kad apsauga būtų identiško lygio (5). Visų pirma, priemonės, kurių gali imtis atitinkama trečioji valstybė, siekdama apsaugoti asmens duomenis, gali skirtis nuo Europos Sąjungoje taikomų priemonių, jeigu šios priemonės padeda veiksmingai užtikrinti praktinę tinkamo lygio apsaugą (6). Todėl tinkamumo standartu nereikalaujama papunkčiui atkartoti ES taisykles. Veikiau turi būti patikrinama, ar visoje užsienio sistemoje užtikrinamas reikiamas apsaugos lygis – teisių į duomenų apsaugą esmė, veiksmingas jų įgyvendinimas, priežiūra ir įgyvendinimo užtikrinimas (7).

(5)

Komisija atidžiai išanalizavo Jungtinės Karalystės teisę ir praktiką. Remdamasi (8)–(270) konstatuojamosiose dalyse išplėtotomis išvadomis, Komisija daro išvadą, kad Jungtinė Karalystė užtikrina tinkamą asmens duomenų, pagal Reglamentą (ES) 2016/679 perduotų iš Europos Sąjungos į Jungtinę Karalystę, apsaugos lygį.

(6)

Ši išvada nesusijusi su asmens duomenimis, perduotais Jungtinės Karalystės imigracijos kontrolės tikslais arba kitaip patenkančiais į tam tikrų duomenų subjektų teisių išimties taikymo sritį siekiant išlaikyti veiksmingą imigracijos kontrolę (imigracijos išimtis) pagal Jungtinės Karalystės duomenų apsaugos akto 2 priedo 4 straipsnio 1 dalį. Po 2021 m. gegužės 26 d. Anglijos ir Velso apeliacinio teismo sprendimo Jungtinės Karalystės teisėje nebuvo sureguliuotas imigracijos išimties galiojimas ir aiškinimas. Nors apeliacinis teismas pripažino, kad duomenų subjektų teisės iš esmės gali būti ribojamos imigracijos kontrolės tikslais, nes tai „svarbus viešojo intereso aspektas“, jis nustatė, kad dabartinė imigracijos išimtis yra nesuderinama su Jungtinės Karalystės teise, nes teisės akte nėra konkrečių nuostatų, kuriomis būtų nustatytos Jungtinės Karalystės Bendrojo duomenų apsaugos reglamento (JK BDAR) 23 straipsnio 2 dalyje išvardytos apsaugos priemonės (8). Tokiomis aplinkybėmis asmens duomenų perdavimas iš Sąjungos į Jungtinę Karalystę, jei jam gali būti pritaikyta imigracijos išimtis, turėtų nebūti įtrauktas į šio sprendimo taikymo sritį (9). Kai tik nesuderinamumas su Jungtinės Karalystės teise bus pašalintas, reikėtų iš naujo įvertinti imigracijos išimtį ir tai, ar reikia išlaikyti šio sprendimo taikymo srities apribojimą.

(7)

Šis sprendimas neturėtų daryti poveikio tiesioginiam Reglamento (ES) 2016/679 taikymui Jungtinėje Karalystėje įsisteigusioms organizacijoms, jeigu įvykdomos to reglamento 3 straipsnyje nustatytos jo teritorinės taikymo srities sąlygos.

(8)

Jungtinė Karalystė yra parlamentinė demokratija, kurios konstitucinis suverenas yra valstybės vadovas. Joje veikia suverenus parlamentas, kuris yra viršiausias tarp visų vyriausybės institucijų, įstatymų vykdomoji valdžia, kuri renkama iš parlamento narių ir yra jam atskaitinga, ir nepriklausoma teisminė valdžia. Įstatymų vykdomosios valdžios įgaliojimai kildinami iš to, kad ji pelnė išrinktų Bendruomenių Rūmų pasitikėjimą, ir ji yra atskaitinga abiem parlamento rūmams, kurie privalo prižiūrėti vyriausybės veiklą ir diskutuoti dėl įstatymų bei juos priimti.

(9)

Jungtinės Karalystės Parlamentas atsakomybę priimti teisės aktus Škotijos, Velso ir Šiaurės Airijos vidaus klausimais perdavė Škotijos Parlamentui, Velso Parlamentui (Senedd Cymru) ir Šiaurės Airijos Asamblėjai, ir šios atsakomybės Jungtinės Karalystės Parlamentas sau nepasiliko. Nors duomenų apsauga yra išimtinis klausimas, t. y. tas pats teisės aktas taikomas visoje šalyje, kitos politikos sritys, susijusios su šiuo sprendimu, yra deleguotos. Pavyzdžiui, Škotijos ir Šiaurės Airijos baudžiamosios teisėsaugos sistemų, įskaitant policijos veiklą, klausimai yra perduoti atitinkamai Škotijos Parlamentui ir Šiaurės Airijos Asamblėjai. Jungtinė Karalystė neturi kodifikuotos konstitucijos, kuri būtų įtvirtinta konstituciniame dokumente. Konstituciniai principai vystėsi ilgą laiką, yra kildinami iš teismų praktikos, ypač papročių. Teismai pripažino konstitucinę tam tikrų statutų, pvz., Magna Carta, 1689 m. Teisių bilio ir 1998 m. Žmogaus teisių akto, svarbą. Pagrindinės asmenų teisės, kurios yra sudedamoji konstitucijos dalis, išplėtotos bendrojoje teisėje, minėtuose statutuose ir tarptautinėse sutartyse, visų pirma Europos žmogaus teisių konvencijoje, kurią Jungtinė Karalystė ratifikavo 1951 m. 1987 m. Jungtinė Karalystė taip pat ratifikavo Tarybos konvenciją dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (108-oji konvencija) (10).

(10)

1998 m. Žmogaus teisių aktu Europos žmogaus teisių konvencijoje nustatytos teisės perkeltos į Jungtinės Karalystės teisę. Žmogaus teisių aktu bet kuriam asmeniui suteikiamos Europos žmogaus teisių konvencijos 2–12 ir 14 straipsniuose, jos Pirmojo protokolo 1, 2 ir 3 straipsniuose ir jos Tryliktojo protokolo 1 straipsnyje (skaitant juos kartu su tos Konvencijos 16, 17 ir 18 straipsniais) nustatytos pagrindinės teisės ir laisvės. Šioms teisėms ir laisvėms taip pat priklauso teisė į privatų ir šeimos gyvenimą (ir teisė į duomenų apsaugą, kaip tos teisės sudedamoji dalis), taip pat teisė į teisingą bylos nagrinėjimą (11). Visų pirma pagal tos konvencijos 8 straipsnį valdžios institucija teisę į privatumą pagal įstatymą gali apriboti, kai tai būtina demokratinėje visuomenėje atsižvelgiant į valstybės saugumo, visuomenės apsaugos ar šalies ekonominės gerovės interesus, siekiant užkirsti kelią viešosios tvarkos pažeidimams ar nusikaltimams, taip pat apsaugoti žmonių sveikatą ar moralę arba kitų asmenų teises ir laisves.

(11)

Pagal 1998 m. Žmogaus teisių aktą bet koks valdžios institucijų veiksmas turi derėti su Konvencijoje įtvirtinta teise (12). Be to, pirminiai teisės aktai ir poįstatyminiai teisės aktai turi būti skaitomi ir jie turi būti įgyvendinami su Konvencijoje nustatytomis teisėmis suderinamu būdu (13).

(12)

2020 m. sausio 31 d. Jungtinė Karalystė išstojo iš Europos Sąjungos. Pagal Susitarimą dėl Jungtinės Didžiosios Britanijos ir Šiaurės Airijos Karalystės išstojimo iš Europos Sąjungos ir Europos atominės energijos bendrijos (14), Sąjungos teisė toliau taikoma Jungtinei Karalystei pereinamuoju laikotarpiu iki 2020 m. gruodžio 31 d. Iki išstojimo ir pereinamuoju laikotarpiu asmens duomenų apsaugos teisės aktų sistemą Jungtinėje Karalystėje sudarė atitinkami ES teisės aktai (visų pirma Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 ir Direktyva (ES) 2016/680 (15)) ir nacionalinės teisės aktai, visų pirma 2018 m. Duomenų apsaugos aktas (toliau – 2018 m. DAA) (16), kuriame Reglamente (ES) 2016/679 leistinais atvejais nustatytos nacionalinės taisyklės, kuriose nurodytos konkrečios Reglamento (ES) 2016/679 taikymo ir jo ribojimo taisyklės ir kuriomis į nacionalinę teisę buvo perkelta Direktyva (ES) 2016/680.

(13)

Siekdama pasirengti išstojimui iš ES, Jungtinės Karalystės vyriausybė priėmė 2018 m. (išstojimo iš) Europos Sąjungos aktą (17), kuriuo į Jungtinės Karalystės teisę tiesiogiai perkeliami taikytini Sąjungos teisės aktai (18). Ši vadinamoji palikta galioti ES teisė apima visą Reglamentą (ES) 2016/679 (įskaitant jo konstatuojamąsias dalis) (19). Pagal tą aktą nepakeistą paliktą galioti ES teisę Jungtinės Karalystės teismai privalo aiškinti paisydami atitinkamos Europos Teisingumo Teismo jurisprudencijos ir bendrųjų Sąjungos teisės principų, nes jie galiojo prieš pat pereinamojo laikotarpio pabaigą (atitinkamai vadinama palikta galioti ES teise ir paliktais galioti bendraisiais ES teisės principais) (20).

(14)

Pagal 2018 m. (išstojimo iš) Europos Sąjungos aktą Jungtinės Karalystės ministrai turi įgaliojimus įstatymų nustatytomis priemonėmis priimti antrinės teisės aktus, kad, atsižvelgdami į Jungtinės Karalystės išstojimo iš Europos Sąjungos pasekmes, atliktų būtinus paliktos galioti Europos Sąjungos teisės pakeitimus. Šiais įgaliojimais naudojamasi remiantis 2019 m. Duomenų apsaugos, privatumo ir elektroninių ryšių (su pakeitimais) (išstojimo iš ES) taisyklėmis (toliau – DAPER taisyklės) (21). Tomis taisyklėmis iš dalies keičiamas į Jungtinės Karalystės teisę pagal 2018 m. (išstojimo iš) Europos Sąjungos aktą, 2018 m. DAA ir kitus duomenų apsaugos teisės aktus perkeltas Reglamentas (ES) 2016/679, siekiant užtikrinti jo atitiktį vidaus aplinkybėms (22).

(15)

Todėl asmens duomenų apsaugos teisinę sistemą Jungtinėje Karalystėje pasibaigus pereinamajam laikotarpiui sudaro:

(16)

Kadangi Jungtinės Karalystės BDAR yra grindžiamas ES teisės aktais, Jungtinės Karalystės duomenų apsaugos taisyklės daugeliu aspektų beveik sutampa su Europos Sąjungoje taikomomis atitinkamomis taisyklėmis.

(17)

Be valstybės sekretoriaus įgaliojimų, kurie jam suteikti pagal 2018 m. (išstojimo iš) Europos Sąjungos aktą, keliose 2018 m. DAA nuostatose valstybės sekretoriui suteikti įgaliojimai priimti antrinės teisės aktus, kuriais iš dalies keičiamos tam tikros akto nuostatos arba nustatomos papildomos taisyklės (25). Valstybės sekretorius iki šiol pasinaudojo tik 2018 m. DAA 137 straipsniu suteiktais įgaliojimais priimti 2019 m. Duomenų apsaugos (mokesčiai ir informacija) (iš dalies pakeistas) taisykles, kuriose išdėstytos aplinkybės, kuriomis duomenų valdytojai privalo mokėti metinį mokestį nepriklausomai Jungtinės Karalystės duomenų apsaugos institucijai, t. y. informacijos komisarui.

(18)

Galiausiai informacijos komisaro priimtuose praktikos kodeksuose ir kitose gairėse pateikiamos tolesnės rekomendacijos dėl Jungtinės Karalystės duomenų apsaugos teisės aktų. Nors šios rekomendacijos teisiškai neprivalomos, jos turi įtakos aiškinant nuostatas ir jose aptariama, kaip komisaras praktiškai taiko duomenų apsaugos teisės aktus ir užtikrina jų vykdymą. Visų pirma 2018 m. DAA 121–125 straipsniuose reikalaujama, kad komisaras parengtų dalijimosi duomenimis, tiesioginės rinkodaros, prie amžiaus pritaikyto dizaino ir duomenų apsaugos bei žurnalistikos praktikos kodeksus.

(19)

Todėl Jungtinės Karalystės teisės sistema, kuri taikoma pagal šį sprendimą perduotiems duomenims, savo struktūra ir pagrindinėmis sudedamosiomis dalimis yra labai panaši į Europos Sąjungoje taikomą teisinę sistemą. Taip pat pažymėtina, kad šią teisinę sistemą sudaro ne tik pagal ES teisę suformuotos vidaus teisės normos, bet ir tarptautinėje teisėje nustatyti įpareigojimai, kurių Jungtinė Karalystė laikosi, visų pirma, pagal EŽTK ir 108-ąją konvenciją bei paklusdama Europos Žmogaus Teisių Teismo jurisdikcijai. Todėl šie įpareigojimai, kylantys iš teisiškai privalomų tarptautinių dokumentų, visų pirma susijusių su asmens duomenų apsauga, yra ypač svarbus šiame sprendime vertinamos teisinės sistemos aspektas.

(20)

Panašiai kaip ir Reglamentas (ES) 2016/679, Jungtinės Karalystės BDAR taikomas visiškai arba iš dalies automatizuotomis priemonėmis arba kitaip tvarkomiems asmens duomenims, jeigu asmens duomenys yra duomenų rinkinio sudedamoji dalis (26). Jungtinės Karalystės BDAR vartojamų sąvokų „asmens duomenys“, „duomenų subjektas“ ir „duomenų tvarkymas“ apibrėžtys yra tapačios Reglamente (ES) 2016/679 pateiktoms analogiškų sąvokų apibrėžtims (27). Be to, Jungtinės Karalystės BDAR taikomas rankiniam nestruktūrizuotų asmens duomenų tvarkymui (28), kai šiuos duomenis laiko tam tikros Jungtinės Karalystės valdžios institucijos (29), nors Jungtinės Karalystės BDAR principai ir teisės, kurie nėra susiję su tokiais asmens duomenimis, netaikomi pagal 2018 m. DAA 24 ir 25 straipsnius. Panašiai, kaip numatyta Reglamente (ES) 2016/679, Jungtinės Karalystės BDAR netaikomas tais atvejais, kai asmens duomenis pavienis asmuo tvarko vykdydamas išimtinai asmeninę arba namų ūkio veiklą (30).

(21)

Jungtinės Karalystės BDAR taip pat taikomas duomenų tvarkymui vykdant bet kokią veiklą, kuriai prieš pat pereinamojo laikotarpio pabaigą nebuvo taikoma Europos Sąjungos teisė (pvz., nacionalinis saugumas) (31), arba jai buvo taikomas Europos Sąjungos sutarties 5 antraštinės dalies 2 skyrius (Veikla bendros užsienio ir saugumo politikos srityje) (32). Kaip ir Europos Sąjungos sistemoje, Jungtinės Karalystės BDAR netaikomas asmens duomenų tvarkymui, kai tai daro kompetentinga institucija baudžiamųjų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn už jas arba bausmių vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir tokių grėsmių prevenciją (tai vadinama teisėsaugos tikslais), – tokiu atveju duomenų tvarkymas reglamentuojamas pagal 2018 m. DAA 3 dalį arba pagal Direktyvą (ES) 2016/680 Europos Sąjungos teisėje, – arba asmens duomenų tvarkymui, kai tai daro žvalgybos tarnybos (Saugumo tarnyba, Slaptoji žvalgybos tarnyba ir Vyriausybės ryšių būstinė), – šiuo atveju taikoma 2018 m. DAA 4 dalis (33).

(22)

Jungtinės Karalystės BDAR teritorinė taikymo sritis aprašyta jo 3 straipsnyje (34): ji apima asmens duomenų tvarkymą (nepaisant to, kur jis vyksta), duomenų valdytojo arba duomenų tvarkytojo buveinei vykdant veiklą Jungtinėje Karalystėje, taip pat Jungtinėje Karalystėje esančių duomenų subjektų asmens duomenų tvarkymą, kai duomenų tvarkymo veikla yra susijusi su prekių arba paslaugų siūlymu tokiems duomenų subjektams arba jų elgesio stebėsena (35). Tai atitinka Reglamento (ES) 2016/679 3 straipsnyje nustatytą požiūrį.

(23)

Asmens duomenų, duomenų tvarkymo, duomenų valdytojo, duomenų tvarkytojo, taip pat pseudoniminimo sąvokų apibrėžtys, kurios nustatytos Reglamente (ES) 2016/679, be esminių pakeitimų išlaikytos Jungtinės Karalystės BDAR (36). Be to, Jungtinės Karalystės BDAR 9 straipsnio 1 dalyje specialių kategorijų duomenys apibrėžiami taip pat kaip ir Reglamente (ES) 2016/679 („atskleidžian[tys] rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją“). 2018 m. DAA 205 straipsnyje nustatytos sąvokų „biometriniai duomenys (37)“, „sveikatos duomenys“ (38) ir „genetiniai duomenys“ (39) apibrėžtys.

(24)

Asmens duomenys turėtų būti tvarkomi teisėtai ir sąžiningai.

(25)

Teisėtumo, sąžiningumo ir skaidrumo principai ir teisėto duomenų tvarkymo pagrindai Jungtinės Karalystės teisėje garantuojami pagal Jungtinės Karalystės BDAR 5 straipsnio 1 dalies a punktą ir 6 straipsnio 1 dalį, kurie yra tapatūs atitinkamoms Reglamento (ES) 2016/679 nuostatoms (40). 2018 m. DAA 8 straipsnis papildo 6 straipsnio 1 dalies e punktą jame numatant, kad asmens duomenų tvarkymas pagal Jungtinės Karalystės 6 straipsnio 1 dalies e punktą (būtinas užduočiai, susijusiai su viešuoju interesu, atlikti arba duomenų valdytojui vykdant savo oficialius įgaliojimus) taip pat apima asmens duomenų tvarkymą, kai tai yra būtina teisingumui vykdyti, kurių nors parlamento rūmų funkcijai įvykdyti, asmeniui pagal priimtą įstatymą arba teisinės valstybės principą suteiktai funkcijai įvykdyti, Karalienės, Karalienės ministro arba vyriausybės departamento funkcijai įvykdyti, arba veiklai, kuria remiamas arba skatinamas demokratinis dalyvavimas, vykdyti.

(26)

Dėl sutikimo (t. y. vieno iš teisėto duomenų tvarkymo pagrindų) pažymėtina, kad Jungtinės Karalystės BDAR taip pat išlaikytos nepakeistos Reglamento (ES) 2016/679 7 straipsnyje nustatytos sąlygos, t. y. duomenų valdytojas privalo sugebėti įrodyti, kad duomenų subjektas sutiko, rašytinis sutikimas turi būti pateiktas aiškia ir paprasta kalba, duomenų subjektas turi turėti teisę bet kuriuo metu atsisakyti savo sutikimo, o vertinant, ar sutikimas buvo duotas laisvai, reikėtų atsižvelgti į tai, kad sutarties įvykdymas priklauso nuo sutikimo tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti. Be to, pagal Jungtinės Karalystės BDAR 8 straipsnį teikiant informacinės visuomenės paslaugas vaiko sutikimas yra teisėtas tik jeigu vaikas yra ne jaunesnis nei 13 metų. Tai atitinka Reglamento (ES) 2016/679 8 straipsnyje nustatytas amžiaus ribas.

(27)

Tais atvejais, kai tvarkomi „specialių kategorijų“ duomenys, turėtų būti taikomos konkrečios apsaugos priemonės.

(28)

Jungtinės Karalystės BDAR ir 2018 m. DAA nustatytos konkrečios taisyklės dėl specialių kategorijų asmens duomenų tvarkymo, kurios Jungtinės Karalystės BDAR 9 straipsnio 1 dalyje apibrėžiamos taip pat kaip ir Reglamente (ES) 2016/679 (žr. (23) above konstatuojamąją dalį). Pagal Jungtinės Karalystės BDAR 9 straipsnį specialių kategorijų asmens duomenų tvarkymas iš esmės draudžiamas, išskyrus konkrečias taikomas išimtis.

(29)

Šios išimtys (išvardytos Jungtinės Karalystės BDAR 9 straipsnio 2 ir 3 dalyse) iš esmės nesiskiria nuo Reglamento (ES) 2016/679 9 straipsnio 2 ir 3 dalyse nustatytų išimčių. Išskyrus atvejus, kai duomenų subjektas duoda aiškų sutikimą, kad jo asmens duomenys būtų tvarkomi, specialių kategorijų asmens duomenis tvarkyti leidžiama tik konkrečiomis ir ribotomis aplinkybėmis. Dažniausiai neskelbtinus duomenis turi būti būtina tvarkyti konkrečiu atitinkamoje nuostatoje nurodytu tikslu (žr. 9 straipsnio 2 dalies b, c, f, g, h, i ir j punktus).

(30)

Be to, jeigu pagal Jungtinės Karalystės BDAR 9 straipsnio 2 dalyje nustatytą išimtį reikalaujama pagal įstatymą išduoto leidimo arba toje išimtyje pateikiama nuoroda į viešąjį interesą, 2018 m. DAA 10 straipsnyje kartu su 2018 m. DAA 1 priedu išsamiau apibūdinamos sąlygos, kurios turi būti įvykdytos norint remtis išimtimis. Pavyzdžiui, jeigu tvarkomi neskelbtini duomenys, siekiant apsaugoti „visuomenės sveikatą“ (Jungtinės Karalystės BDAR 9 straipsnio 2 dalies i punktas), pagal 1 priedo 1 dalies 3 straipsnio b punktą reikalaujama, kad, be būtinumo patikrinimo, tokius duomenis tvarkytų „sveikatos priežiūros specialistas arba jis už tai būtų atsakingas“ arba „kitas asmuo, kuriam taikoma konfidencialumo pareiga pagal priimtą įstatymą arba teisinės valstybės principą“, įskaitant nusistovėjusioje bendrojoje teisėje galiojančią konfidencialumo pareigą.

(31)

Jeigu neskelbtini duomenys tvarkomi dėl esminio viešojo intereso (Jungtinės Karalystės BDAR 9 straipsnio 2 dalies g punktas, 2018 m. DAA 1 priedo 2 dalyje pateikiamas išsamus sąrašas tikslų, kurie gali būti laikomi esminiu viešuoju interesu, ir dėl kiekvieno iš šių tikslų nustatomos konkrečios papildomos sąlygos. Pavyzdžiui, rasinės ir etninės įvairovės tarp aukštesnio lygmens organizacijų vadovų skatinimas pripažįstamas esminiu viešuoju interesu. Neskelbtini duomenys šiuo konkrečiu tikslu tvarkomi laikantis išsamių reikalavimų, įskaitant tai, kad duomenys tvarkomi nustatant asmenis, kurie turi eiti vyresniųjų vadovų pareigas, juos tvarkyti būtina siekiant skatinti rasinę ir etninę įvairovę, ir mažai tikėtina, kad jie padarys didelę žalą arba sukels didelių nepatogumų duomenų subjektui.

(32)

2018 m. DAA 11 straipsnio 1 dalyje nustatytos sąlygos, kuriomis asmens duomenys turi būti tvarkomi atsižvelgiant į Jungtinės Karalystės BDAR 9 straipsnio 3 dalyje aprašytas aplinkybes, susijusias su profesine paslaptimi. Tai yra aplinkybės, kuriomis duomenis tvarko sveikatos priežiūros specialistas arba socialinis darbuotojas, arba kitas asmuo, kuris, atsižvelgiant į aplinkybes, privalo laikytis konfidencialumo pareigos pagal priimtą įstatymą arba teisinės valstybės principą, arba duomenys tvarkomi šių asmenų vardu.

(33)

Be to, dauguma išimčių, išvardytų Jungtinės Karalystės BDAR 9 straipsnio 2 dalyje, gali būti taikomos tik nustačius tinkamas ir konkrečias apsaugos priemones. Priklausomai nuo duomenų tvarkymo pobūdžio ir duomenų subjektų teisėms ir laisvėms kylančio rizikos lygio, 2018 m. DAA 1 priede nustatytose duomenų tvarkymo sąlygose įtvirtintos skirtingos apsaugos priemonės. 1 priede paeiliui išvardijamos duomenų tvarkymo kiekvienu atveju sąlygos.

(34)

Kai kuriais atvejais 2018 m. DAA reglamentuojama ir ribojama neskelbtinų duomenų, kuriuos galima tvarkyti remiantis konkrečiu teisiniu pagrindu, kurio privalu paisyti, rūšis. Pavyzdžiui, pagal 1 priedo 8 dalį neskelbtinus duomenis tvarkyti leidžiama siekiant skatinti vienodas galimybes arba elgesį. Ši duomenų tvarkymo sąlyga gali būti taikoma tik jeigu duomenys atspindi rasinę arba etninę kilmę, religinius arba filosofinius įsitikinimus, seksualinę orientaciją arba jeigu tai yra sveikatos duomenys.

(35)

Kai kuriais atvejais pagal 2018 m. DAA apribojimai taikomi duomenų valdytojui, kuris gali naudotis duomenų tvarkymo sąlyga. Pavyzdžiui, 1 priedo 23 dalyje numatyta galimybė tvarkyti neskelbtinus duomenis, susijusius su išrinktų atstovų atsakymais visuomenei. Ši duomenų tvarkymo sąlyga gali būti taikoma tik jeigu duomenų valdytojas yra išrinktas atstovas arba veikia remdamasis jo įgaliojimais.

(36)

Kai kuriais kitais atvejais pagal 2018 m. DAA apribojimai nustatomi toms duomenų kategorijoms, kurių tvarkymui turi būti taikoma tam tikra sąlyga. Pavyzdžiui, 1 priedo 21 dalyje reglamentuojamas neskelbtinų duomenų, susijusių su profesinėmis pensijų sistemomis, tvarkymas. Ši sąlyga gali būti taikoma tik jeigu atitinkamas duomenų subjektas yra sistemos dalyvio brolis (sesuo), tėvas (motina), senelis (senelė) arba prosenelis (prosenelė).

(37)

Be to, jeigu duomenų valdytojas remiasi Jungtinės Karalystės BDAR 9 straipsnio 2 dalyje nustatytomis išimtimis, kurios išsamiau apibūdintos 2018 m. DAA 10 straipsnyje ir 2018 m. DAA 1 priede, jis dažniausiai privalo parengti „tinkamos politikos dokumentą“. Jame turi būti aprašytos duomenų valdytojo procedūros, kuriomis jis užtikrina atitiktį Jungtinės Karalystės BDAR 5 straipsnyje nustatytiems principams. Jis taip pat turi nustatyti duomenų saugojimo ir ištrynimo politiką ir nurodyti tikėtiną saugojimo laikotarpį. Duomenų valdytojai privalo, kai tinkama, peržiūrėti ir atnaujinti šį dokumentą. Duomenų valdytojas privalo laikyti politikos dokumentą šešis mėnesius po duomenų tvarkymo pabaigos ir privalo leisti su juo susipažinti informacijos komisarui, jei jis to prašo (41).

(38)

Pagal 2018 m. DAA 1 priedo 41 straipsnį prie politikos dokumento visada turi būti pridedamas išsamus dokumentas apie duomenų tvarkymą. Šiame dokumente turi būti registruojama, kaip vykdomi politikos dokumente nustatyti įsipareigojimai, t. y. ar duomenys ištrinami ar saugomi pagal nustatytą politiką. Jeigu politika nebuvo vadovaujamasi, žurnale turi būti nurodomos to priežastys. Jame taip pat būtina aprašyti, kaip duomenų tvarkymas atitinka Jungtinės Karalystės BDAR 6 straipsnį (tvarkymo teisėtumas) ir 2018 m. DAA 1 priede nustatytą konkrečią sąlygą, kuria remiamasi.

(39)

Galiausiai tiek Reglamente (ES) 2016/679, tiek Jungtinės Karalystės BDAR taip pat nustatytos bendrosios apsaugos priemonės, susijusios su tam tikromis specialių kategorijų duomenų tvarkymo operacijomis. Pagal Jungtinės Karalystės BDAR 35 straipsnį reikalaujama atlikti poveikio duomenų apsaugai vertinimą, jeigu dideliu mastu tvarkomi specialių kategorijų duomenys. Pagal Jungtinės Karalystės BDAR 37 straipsnį duomenų valdytojas arba duomenų tvarkytojas privalo paskirti duomenų apsaugos pareigūną, jeigu jo pagrindinė veikla yra susijusi su specialių kategorijų duomenų tvarkymu dideliu mastu.

(40)

Dėl asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, pažymėtina, kad Jungtinės Karalystės BDAR 10 straipsnis yra identiškas Reglamento (ES) 2016/679 10 straipsniui. Pagal jį asmens duomenis, susijusius su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, leidžiama tvarkyti tik oficialiai institucijai kontroliuojant arba kai duomenis tvarkyti leidžiama pagal vidaus teisę, kurioje numatytos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.

(41)

Jeigu duomenys, susiję su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, tvarkomi oficialiai institucijai nevykdant kontrolės, 2018 m. DAA 10 straipsnio 5 dalyje numatyta, kad toks duomenų tvarkymas gali būti atliekamas tik konkrečiais tikslais / konkrečiomis aplinkybėmis, kaip nustatyta 2018 m. DAA 1 priedo 1, 2 ir 3 dalyse ir jeigu tokiam tvarkymui taikomi konkretūs reikalavimai, nustatyti dėl kiekvieno iš šių tikslų / aplinkybių. Pavyzdžiui, su apkaltinamaisiais nuosprendžiais susijusius duomenis gali tvarkyti ne pelno įstaigos, jeigu duomenis tvarko a) politinių, filosofinių, religinių ar profesinių sąjungų tikslų siekiantis fondas, asociacija ar kita pelno nesiekianti organizacija, vykdydami savo veiklą ir b) su sąlyga, kad taip tvarkomi tik i) tos organizacijos narių ar buvusių narių arba asmenų, kurie reguliariai palaiko ryšius su šia organizacija dėl jos siekiamų tikslų, duomenys ir ii) kad duomenys neperduodami už organizacijos ribų be duomenų subjektų sutikimo.

(42)

Be to, 2018 m. DAA 1 priedo 3 dalyje nustatytos papildomos aplinkybės, kuriomis galima naudoti su apkaltinamaisiais nuosprendžiais susijusius duomenis ir kurios atitinka neskelbtinų duomenų tvarkymo teisėtus pagrindus pagal Reglamento (ES) 2016/679 9 straipsnio 2 dalį ir Jungtinės Karalystės BDAR (pvz., duomenų subjekto sutikimas, gyvybiškai svarbūs asmens interesai, jeigu duomenų subjektas teisiškai arba fiziškai negali duoti sutikimo, jeigu duomenų subjektas jau aiškiai paskelbė duomenis viešai, jeigu duomenis tvarkyti būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus ir pan.).

(43)

Asmens duomenys turėtų būti tvarkomi konkrečiu tikslu ir vėliau naudojami tik tuo atveju, jei tai nėra nesuderinama su jų tvarkymo tikslu.

(44)

Šis principas nustatytas Reglamento (ES) 2016/679 5 straipsnio 1 dalies b punkte ir be pakeitimų paliktas galioti Jungtinės Karalystės BDAR 5 straipsnio 1 dalies b punkte. Tolesnio suderinamo duomenų tvarkymo sąlygos pagal Reglamento (ES) 2016/679 6 straipsnio 4 dalį, neatlikus jokių esminių pakeitimų, taip pat išlaikytos Jungtinės Karalystės BDAR 6 straipsnio 4 dalies a–e punktuose.

(45)

Be to, duomenys turėtų būti tikslūs ir prireikus atnaujinami. Duomenys taip pat turi būti tinkami, susiję ir nepertekliniai atsižvelgiant į tikslus, kuriais jie tvarkomi, ir iš esmės saugomi ne ilgiau nei tai būtina atsižvelgiant į tikslus, kuriais asmens duomenys tvarkomi.

(46)

Šie duomenų kiekio mažinimo, tikslumo ir saugojimo trukmės apribojimo principai išdėstyti Reglamento (ES) 2016/679 5 straipsnio 1 dalies c–e punktuose ir be pakeitimų išlaikyti Jungtinės Karalystės BDAR 5 straipsnio 1 dalies c–e punktuose.

(47)

Asmens duomenys taip pat turėtų būti tvarkomi taip, kad būtų užtikrintas jų saugumas, įskaitant apsaugą nuo neleistino ar neteisėto tvarkymo ir netyčinio praradimo, sunaikinimo ar sugadinimo. Todėl verslo subjektai turėtų imtis tinkamų techninių ir organizacinių priemonių, kad asmens duomenis apsaugotų nuo galimų grėsmių. Tokios priemonės turėtų būti įvertintos atsižvelgiant į techninių galimybių išsivystymo lygį ir susijusias sąnaudas.

(48)

Duomenų saugumo reikalavimas Jungtinės Karalystės teisėje nustatytas atsižvelgiant į duomenų vientisumo ir konfidencialumo principą, kuris numatytas Jungtinės Karalystės BDAR 5 straipsnio 1 dalies f punkte ir Jungtinės Karalystės BDAR 32 straipsnyje dėl duomenų tvarkymo saugumo. Šios nuostatos yra tapačios atitinkamoms Reglamento (ES) 2016/679 nuostatoms. Be to, laikantis tų pačių sąlygų, kurios nustatytos Reglamento (ES) 2016/679 33 ir 34 straipsniuose, pagal Jungtinės Karalystės BDAR reikalaujama, kad apie asmens duomenų saugumo pažeidimą būtų pranešta priežiūros institucijai (Jungtinės Karalystės BDAR 33 straipsnis) ir kad pranešimas apie asmens duomenų saugumo pažeidimą taip pat būtų nusiųstas duomenų subjektui (Jungtinės Karalystės BDAR 34 straipsnis).

(49)

Duomenų subjektai turėtų būti informuoti apie pagrindinius jų asmens duomenų tvarkymo aspektus.

(50)

Tai užtikrinama pagal Jungtinės Karalystės BDAR 13 ir 14 straipsnius, kuriuose, be bendrojo skaidrumo principo, numatytos taisyklės dėl duomenų subjektams teikiamos informacijos (42). Jungtinės Karalystės BDAR nenustatyti jokie reikšmingi šių taisyklių pakeitimai, palyginti su atitinkamais Reglamento (ES) 2016/679 straipsniais. Vis dėlto, kitaip nei Reglamente (ES) 2016/679, šiuose straipsniuose nustatytiems skaidrumo reikalavimams taikomos kelios 2018 m. DAA nustatytos išimtys (žr. (55)–(72) konstatuojamąsias dalis).

(51)

Duomenų subjektai turėtų turėti tam tikras teises, kurias būtų galima įgyvendinti duomenų valdytojo arba duomenų tvarkytojo atžvilgiu, visų pirma tai pasakytina apie teisę susipažinti su duomenimis, teisę nesutikti su duomenų tvarkymu ir teisę ištaisyti arba ištrinti duomenis. Be to, tokioms teisėms gali būti taikomi apribojimai, jeigu jie yra būtini ir proporcingi siekiant apsaugoti visuomenės saugumą arba siekiant kitų su bendruoju viešuoju interesu susijusių svarbių tikslų.

(52)

Jungtinės Karalystės BDAR asmenims suteikiamos tokios pat įgyvendinamos teisės, kurios numatytos Reglamente (ES) 2016/679. Nuostatos, kuriose įtvirtintos asmenų teisės, Jungtinės Karalystės BDAR išlaikytos be jokių esminių pakeitimų.

(53)

Tai yra duomenų subjekto teisė susipažinti su duomenimis (Jungtinės Karalystės BDAR 15 straipsnis), teisė reikalauti ištaisyti duomenis (Jungtinės Karalystės BDAR 16 straipsnis), teisė ištrinti duomenis (Jungtinės Karalystės BDAR 17 straipsnis), teisė apriboti duomenų tvarkymą (Jungtinės Karalystės BDAR 18 straipsnis), prievolė pranešti apie asmens duomenų ištaisymą ar ištrynimą arba duomenų tvarkymo apribojimą (Jungtinės Karalystės BDAR 19 straipsnis), teisė į duomenų perkeliamumą (Jungtinės Karalystės BDAR 20 straipsnis) ir teisė nesutikti (Jungtinės Karalystės BDAR 21 straipsnis) (43). Pastaroji teisė taip pat apima duomenų subjekto teisę nesutikti su asmens duomenų tvarkymu tiesioginės rinkodaros tikslais, kaip nustatyta Reglamento (ES) 2016/679 21 straipsnio 2 ir 3 dalyse. Be to, pagal 2018 m. DAA 122 straipsnį informacijos komisaras privalo parengti tiesioginės rinkodaros veiklos vykdymo pagal duomenų apsaugos teisės aktų (ir 2003 m. Privatumo ir elektroninių ryšių (EB direktyvos) taisykles) reikalavimus praktikos kodeksą ir kitas panašias gaires, kuriomis būtų skatinama geroji tiesioginės rinkodaros patirtis, kuri, komisaro manymu, yra tinkama. Informacijos komisaro biuras dabar rengia tiesioginės rinkodaros kodeksą (44).

(54)

Duomenų subjekto teisė, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas, dėl kurio jam kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį, kaip nustatyta BDAR 22 straipsnyje, Jungtinės Karalystės BDAR taip pat palikta galioti be jokių esminių pakeitimų. Tačiau buvo įterpta nauja 3A dalis, kurioje nurodoma, kad 2018 m. DAA 14 straipsnyje išdėstytos duomenų subjektų teisių, laisvių ir teisėtų interesų, susijusių su duomenų tvarkymu pagal Jungtinės Karalystės BDAR 22 straipsnio 2 dalies b punktą, apsaugos priemonės. Ši taisyklė taikoma tik tais atvejais, kai tokio sprendimo pagrindas yra Jungtinės Karalystės teisėje nustatytas leidimas arba reikalavimas, ir ji negalioja, jeigu sprendimą būtina priimti pagal sutartį arba jis priimamas turint aiškų duomenų subjekto sutikimą. Jeigu taikomas 2018 m. DAA 14 straipsnis, duomenų valdytojas privalo kuo greičiau, kai tik tai pagrįstai įmanoma, raštu informuoti duomenų subjektą, kad buvo priimtas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas per vieną mėnesį nuo pranešimo gavimo dienos persvarstytų sprendimą arba priimtų naują sprendimą, kuris nebūtų grindžiamas tik automatizuotu duomenų tvarkymu. Valstybės sekretorius turi įgaliojimus nustatyti papildomas apsaugos priemones, susijusias su automatizuotų sprendimų priėmimu. Šiais įgaliojimais dar nebuvo pasinaudota.

(55)

2018 m. DAA nustatyta keletas pavienių teisių apribojimų, atitinkančių Jungtinės Karalystės BDAR 23 straipsnio sistemą. Pagal šią sistemą teisei nesutikti, kad duomenys būtų tvarkomi tiesioginės rinkodaros tikslais, kaip numatyta Jungtinės Karalystės BDAR 21 straipsnio 2 ir 3 dalyse, arba teisei, kad duomenų subjektui nebūtų taikomas automatizuotas sprendimų priėmimas, kaip numatyta Jungtinės Karalystės BDAR 22 straipsnyje, nenustatyti jokie apribojimai.

(56)

Apribojimai išsamiai aprašyti 2018 m. DAA 2–4 prieduose. Jungtinės Karalystės institucijos paaiškino, kad jos taiko du principus: specifiškumo principą (laikomasi smulkmeniško požiūrio, apribojimus išskaidant į daugybę konkretesnių nuostatų) ir sąlygų taikymo principą (kiekvieną nuostatą papildo apsaugos priemonės, pagrįstos apribojimais arba sąlygomis, kuriomis siekiama užkirsti kelią piktnaudžiavimui) (45).

(57)

Jungtinės Karalystės BDAR 23 straipsnio 1 dalyje aprašytų apribojimų paskirtis – užtikrinti, kad jie būtų taikomi tik konkrečiomis aplinkybėmis, kai tai yra būtina demokratinėje visuomenėje ir proporcinga jų siekiamam tikslui. Be to, pagal suformuotą jurisprudenciją dėl apribojimų aiškinimo duomenų apsaugos režimo išimtis bet kuriuo konkrečiu atveju gali būti taikoma, jeigu tai daryti yra būtina ir proporcinga (46). Reikalaujama, kad būtinumo patikrinimas būtų „griežtas, o bet koks subjekto teisių ribojimas turi būti proporcingas grėsmės viešajam interesui mastui. Todėl patikrinimo metu atliekama įprasta proporcingumo analizė (47)“.

(58)

Tikslai, kurių siekiama šiais apribojimais, atitinka Reglamento (ES) 2016/679 23 straipsnyje išvardytus tikslus, išskyrus su nacionaliniu saugumu ir gynyba susijusius apribojimus, kurie vietoje to yra reglamentuojami 2018 m. DAA 26 straipsnyje, tačiau jiems taikomi tie patys būtinumo ir proporcingumo reikalavimai (žr. (63)–(66) konstatuojamąsias dalis).

(59)

Kai kurie apribojimai, pvz., susiję su nusikaltimų prevencija arba nustatymu, nusikaltėlių sulaikymu ar baudžiamuoju persekiojimu, ir mokesčio arba rinkliavos dydžio nustatymu arba surinkimu (48), gali būti taikomi visoms asmenų teisėms ir skaidrumo įsipareigojimams (išskyrus 21 straipsnio 2 dalyje ir 22 straipsnyje nustatytas teises). Kiti apribojimai taikomi tik skaidrumo įsipareigojimams ir teisėms susipažinti su duomenimis, pvz., advokato teisei neatskleisti profesinės paslapties (49), teisei netaikyti reikalavimo pateikti informaciją, dėl kurios būtų duodami parodymai prieš save (50), ir įmonėms finansams, visų pirma prekybos pasinaudojant viešai neatskleista informacija prevencijai (51). Pagal keletą apribojimų leidžiama apriboti duomenų valdytojo pareigą pranešti duomenų subjektui apie duomenų apsaugos pažeidimą, taip pat tikslo apribojimo ir duomenų tvarkymo teisėtumo, sąžiningumo ir skaidrumo principus (52).

(60)

Kai kurie apribojimai „visa apimtimi“ automatiškai taikomi tam tikros rūšies asmens duomenų tvarkymui (pvz., išimtis taikoma skaidrumo įsipareigojimams ir asmenų teisėms, jeigu asmens duomenys tvarkomi siekiant įvertinti, ar asmuo yra tinkamas eiti teisėjo pareigas, arba asmens duomenis tvarko bendrosios kompetencijos ar specializuotas teismas, arba asmuo, kuris veikia kaip teisėjas).

(61)

Tačiau daugeliu atvejų 2018 m. DAA 2 priedo atitinkamoje dalyje konkrečiai nurodyta, kad apribojimas taikomas tik kai (ir tiek, kiek) nuostatų taikymas „galėtų pakenkti“ teisėtam tikslui, kurio siekiama tuo apribojimu: pvz., išvardytos Jungtinės Karalystės BDAR nuostatos netaikomos asmens duomenims, kurie tvarkomi nusikaltimų prevencijos ar nustatymo, nusikaltėlių sulaikymo ar baudžiamojo persekiojimo tikslais aura siekiant nustatyti mokesčio arba rinkliavos dydį ir ją surinkti „tiek, kiek tų nuostatų taikymas galėtų pakenkti“ bet kuriam iš šių tikslų (53).

(62)

Sąvoką „galėtų pakenkti“, kuria nustatomas standartas, Jungtinės Karalystės teismai nuosekliai aiškino kaip reiškiančią „labai reikšmingą ir svarią galimybę pažeisti nustatytą viešąjį interesą“ (54). Todėl apribojimas vadovaujantis žalos kriterijumi gali būti pritaikytas tik tada ir tik tiek, kiek yra didelė ir reali tikimybė, kad tam tikros teisės suteikimas pakenktų viešajam interesui. Duomenų valdytojas yra atsakingas už tai, kad kiekvienu konkrečiu atveju būtų įvertinta, ar šios sąlygos yra tenkinamos (55).

(63)

Be 2018 m. DAA 2 priede nustatytų apribojimų, 2018 m. DAA 26 straipsnyje numatyta išimtis, kurią galima taikyti tam tikroms Jungtinės Karalystės BDAR ir 2018 m. DAA nuostatoms, jeigu tą išimtį taikyti reikalinga nacionalinio saugumo arba gynybos tikslais. Ši išimtis taikoma duomenų apsaugos principams (išskyrus teisėtumo principą), skaidrumo įsipareigojimams, duomenų subjekto teisėms, prievolei pranešti apie duomenų saugumo pažeidimą, tarptautinio duomenų perdavimo taisyklėms, kai kurioms informacijos komisaro pareigoms ir įgaliojimams, taip pat taisyklėms dėl teisių gynimo priemonių, atsakomybės ir baudų, išskyrus nuostatą dėl administracinių baudų skyrimo bendrųjų sąlygų, kaip nustatyta Jungtinės Karalystės BDAR 83 straipsnyje, ir nuostatą dėl baudų, nustatytų Jungtinės Karalystės BDAR 84 straipsnyje. Be to, 2018 m. 28 straipsniu pakeičiamas 9 straipsnio 1 dalies taikymas, kad būtų sudarytos sąlygos tvarkyti Jungtinės Karalystės BDAR 9 straipsnio 1 dalyje nustatytų specialių kategorijų duomenis ir tai daryti tiek, kiek duomenys tvarkomi nacionalinio saugumo arba gynybos užtikrinimo tikslais ir nustatant tinkamas duomenų subjektų teisių ir laisvių apsaugos priemones (56).

(64)

Išimtis gali būti taikoma tik tiek, kiek tai yra reikalinga nacionalinio saugumo arba gynybos užtikrinimo tikslais. Kadangi tą patį galima pasakyti apie kitas 2018 m. DAA nustatytas išimtis, duomenų valdytojas jas taikyti ir jomis remtis gali kiekvienu konkrečiu atveju. Be to, bet koks išimties taikymas turi atitikti žmogaus teisių standartus (grindžiamus 1998 m. Žmogaus teisių aktu), pagal kuriuos bet koks privatumo teisių ribojimas demokratinėje visuomenėje turėtų būti būtinas ir proporcingas (57).

(65)

Tokį išimties aiškinimą patvirtino ir Informacijos komisaras, pateikęs išsamias gaires dėl nacionalinio saugumo ir gynybos išimties taikymo, kuriose aiškiai nurodyta, kad duomenų valdytojas turi įvertinti išimties taikymo poreikį kiekvienu konkrečiu atveju (58). Visų pirma gairėse pabrėžiama, kad „tai nėra bendra išimtis“ ir kad norint ja remtis, „nepakanka nurodyti, kad duomenys būtų tvarkomi nacionalinio saugumo tikslais“. Kita vertus, duomenų valdytojas, kuris išimtimi remiasi, privalo „įrodyti, kad yra reali neigiamo poveikio nacionaliniam saugumui galimybė“ ir, jei reikia, „turėtų pateikti [Informacijos komisarui] įrodymų, kodėl buvo pasinaudota šia išimtimi“. Gairėse pateikiamas kontrolinis sąrašas ir keletas pavyzdžių, kuriais siekiama išsamiau paaiškinti sąlygas, kuriomis galima taikyti šią išimtį.

(66)

Todėl faktinė aplinkybė, kad duomenys tvarkomi nacionalinio saugumo arba gynybos tikslais, pati savaime nėra pakankama tam, kad būtų galima taikyti išimtį. Jei duomenų valdytojas turėjo laikytis konkrečios su duomenų apsauga susijusios nuostatos, jis privalo išnagrinėti faktines pasekmes nacionaliniam saugumui. Išimtis gali būti taikoma tik toms konkrečioms nuostatoms, kurios, kaip nustatyta, kelia riziką, ir jas būtina taikyti kuo griežčiau (59).

(67)

Šį požiūrį patvirtino Informacijos specializuotas teismas (60). Sprendime Baker prieš Secretary of State for the Home Department (toliau – Sprendimas Baker prieš Secretary of State) jis nustatė, kad nacionalinio saugumo išimties, kaip bendros išimties, taikymas buvo neteisėtas. Vietoje to, išimtis turėjo būti taikoma kiekvienu konkrečiu atveju išnagrinėjant kiekvieną prašymą iš esmės ir atsižvelgiant į asmenų teisę į jų privataus gyvenimo gerbimą (61).

(68)

Pagal Jungtinės Karalystės BDAR 85 straipsnio 2 dalį leidžiama numatyti atvejus, susijusius su asmens duomenų tvarkymu žurnalistikos, akademiniais, meniniais ir literatūriniais tikslais, kuriems netaikomos kelios Jungtinės Karalystės BDAR nuostatos. 2018 m. DAA 2 priedo 5 dalyje nustatytos duomenų tvarkymo šiais tikslais išimtys. Joje numatytos duomenų apsaugos principų (išskyrus vientisumo ir konfidencialumo principą) išimtys, duomenų tvarkymo teisiniai pagrindai (įskaitant specialias duomenų kategorijas ir su apkaltinamaisiais nuosprendžiais susijusius duomenis ir pan.), sutikimo sąlygos, skaidrumo įpareigojimai, duomenų subjektų teisės, pareiga pranešti apie duomenų saugumo pažeidimus, reikalavimas konsultuotis su informacijos komisaru prieš pradedant tvarkyti su ypač didele rizika susijusius duomenis ir taisyklės dėl tarptautinio duomenų perdavimo (62). Šiuo atžvilgiu Jungtinės Karalystės BDAR iš esmės nenukrypstama nuo Reglamento (ES) 2016/679, kurio 85 straipsnyje taip pat numatyta galimybė žurnalistiniais tikslais arba akademinės, meninės ar literatūrinės saviraiškos tikslais tvarkomiems duomenims netaikyti kelių Reglamento (ES) 2016/679 reikalavimų. 2018 m. DAA nuostatos, ypač 2 priedo 5 dalis, yra suderinamos su Junginės Karalystės BDAR.

(69)

Pagrindinė pusiausvyros nustatymo užduotis, kuri turi būti atlikta pagal Jungtinės Karalystės BDAR 85 straipsnį, yra susijusi su tuo, ar (68) konstatuojamojoje dalyje paminėtos duomenų apsaugos taisyklės yra „būtinos, kad teisė į asmens duomenų apsaugą būtų suderinta su saviraiškos ir informacijos laisve“ (63). Pagal 2018 m. DAA 2 priedo 26 straipsnio 2 ir 3 dalis Jungtinė Karalystė, siekdama nustatyti šią pusiausvyrą, taiko „pagrįsto įsitikinimo“ kriterijų. Kad išimtis būtų pateisinama, duomenų valdytojas privalo pagrįstai įsitikinti, kad i) paskelbimas atitinka viešąjį interesą ir ii) atitinkamos BDAR nuostatos taikymas būtų nesuderinamas su žurnalistiniais, akademiniais, meniniais arba literatūriniais tikslais. Kaip nustatyta teismų praktikoje (64), „pagrįsto įsitikinimo“ patikrinimas yra grindžiamas subjektyviu ir objektyviu aspektais: duomenų valdytojui nepakanka įrodyti, kad, jo manymu, nuostatos laikymasis buvo nesuderinamas. Jo įsitikinimas turi būti pagrįstas, t. y. taip galėtų manyti protingas asmuo, žinantis susijusias aplinkybes. Todėl duomenų valdytojas, formuodamas savo įsitikinimą, turėtų atlikti deramą patikrinimą ir taip įrodyti protingumą. Remiantis Jungtinės Karalystės institucijų pateiktais paaiškinimais, „pagrįsto įsitikinimo“ patikrinimas turi būti atliekamas dėl kiekvienos išimties (65). Jeigu sąlygos tenkinamos, laikoma, kad išimtis yra būtina ir proporcinga pagal Jungtinės Karalystės teisę.

(70)

Pagal 2018 m. DAA 124 straipsnį informacijos komisaras privalo parengti Duomenų apsaugos ir žurnalistikos praktikos kodeksą. Šis kodeksas dabar rengiamas. Šiuo klausimu pagal 1998 m. Duomenų apsaugos aktą buvo paskelbtos gairės, kuriose visų pirma pažymima, kad, remiantis šia išimtimi, paprasčiausiai pakanka nurodyti, kad dėl nuostatos laikymosi kiltų nepatogumų žurnalistinei veiklai, tačiau šiuo atveju turi būti aiškus argumentas, kad atitinkama nuostata tampa kliuviniu atsakingai žurnalistikai (66). Jungtinės Karalystės telekomunikacijų reguliavimo institucija OFCOM ir BBC savo redakcinėse gairėse taip pat paskelbė viešojo intereso patikrinimo taikymo ir viešojo intereso suderinimo su asmeniniu privatumo interesu gaires (67). Gairėse visų pirma pateikiama informacijos, kuri gali būti laikoma atitinkanti viešąjį interesą, pavyzdžių ir paaiškinamas poreikis sugebėti įrodyti, kad viešasis interesas konkrečiomis bylos aplinkybėmis yra viršesnis už privatumo teises.

(71)

Panašiai, kaip nurodyta BDAR 89 straipsnyje, archyvavimo tikslais, atsižvelgiant į viešąjį interesą, taip pat mokslinių arba istorinių tyrimų arba statistiniais tikslais tvarkomiems asmens duomenims taip pat gali būti taikomos įvairios Jungtinės Karalystės BDAR išvardytų nuostatų išimtys (68). Dėl mokslinių tyrimų ir statistinių duomenų pažymėtina, kad išimtis galima taikyti Jungtinės Karalystės BDAR nuostatoms, susijusioms su duomenų tvarkymo patvirtinimu, susipažinimu su duomenimis ir apsaugos priemonėmis, taikomomis duomenis perduodant į trečiąsias valstybes; teise reikalauti ištaisyti duomenis; duomenų tvarkymo apribojimu ir nesutikimu su duomenų tvarkymu. Dėl archyvavimo viešojo intereso labui pažymėtina, kad išimtis taip pat galima taikyti pareigai pranešti apie asmens duomenų ištaisymą arba ištrynimą, arba duomenų tvarkymo apribojimui ir teisei į duomenų perkeliamumą.

(72)

Kaip nurodyta 2018 m. DAA 2 priedo 27 straipsnio 1 dalyje ir 28 straipsnio 1 dalyje, Jungtinės Karalystės BDAR išvardytų nuostatų išimtys yra pateisinamos, jeigu taikant nuostatas „būtų užkirstas kelias arba iš esmės pakenkta“ atitinkamo tikslo pasiekimui (69).

(73)

Kadangi šių išimčių reikšmė užtikrinant veiksmingą asmens teisių įgyvendinimą yra didelė, vykdant nuolatinę šio sprendimo stebėseną bus deramai atsižvelgiama į visus svarbius pokyčius, susijusius su pirmiau minėtų išimčių (šalia išimties, susijusios su veiksmingos imigracijos kontrolės palaikymu, kaip paaiškinta 6 konstatuojamojoje dalyje) aiškinimu ir taikymu praktikoje , įskaitant bet kokius tolesnius teismų praktikos ir Informacijos komisaro gairių bei vykdymo užtikrinimo veiksmų pokyčius (70).

(74)

Asmens duomenims, perduodamiems iš Europos Sąjungos Jungtinės Karalystės duomenų valdytojams arba duomenų tvarkytojams, užtikrinamas apsaugos lygis neturėtų sumažėti tokius duomenis toliau perduodant gavėjams trečiojoje valstybėje. Toks „tolesnis perdavimas“, kuris Jungtinės Karalystės duomenų valdytojų arba duomenų tvarkytojų požiūriu laikomas tarptautiniu perdavimu iš Jungtinės Karalystės, turėtų būti leidžiamas tik tada, kai tolesniam gavėjui, esančiam už Jungtinės Karalystės ribų, taikomos taisyklės, kuriomis užtikrinama panašaus lygio apsauga kaip Jungtinės Karalystės teisinėje sistemoje. Dėl šios priežasties Jungtinės Karalystės BDAR ir 2018 m. DAA taisyklių dėl tarptautinio duomenų perdavimo taikymas yra svarbus veiksnys, siekiant užtikrinti apsaugos tęstinumą tuo atveju, kai asmens duomenys pagal šį sprendimą perduodami iš Europos Sąjungos į Jungtinę Karalystę.

(75)

Asmens duomenų tarptautinio perdavimo iš Jungtinės Karalystės tvarka yra nustatyta Jungtinės Karalystės BDAR 44–49 straipsniuose, kaip papildyta 2018 m. DAA, kuri iš esmės yra tokia pat kaip Reglamento (ES) 2016/679 V skyriuje nustatyta tvarka (71). Asmens duomenys į trečiąją valstybę arba tarptautinei organizacijai gali būti perduodami tik remiantis tinkamumo taisyklėmis (Jungtinės Karalystės atitikmuo sprendimui dėl tinkamumo pagal Reglamentą (ES) 2016/679), arba, jeigu tinkamumo taisyklių nėra, duomenų valdytojui arba duomenų tvarkytojui numačius tinkamas apsaugos priemones pagal Jungtinės Karalystės BDAR 46 straipsnį. Jeigu nėra tinkamumo taisyklių arba tinkamų apsaugos priemonių, duomenys gali būti perduodami tik remiantis Jungtinės Karalystės BDAR 49 straipsnyje nustatytomis nukrypti leidžiančiomis nuostatomis.

(76)

Valstybės sekretoriaus priimtose tinkamumo taisyklėse gali būti nustatyta, kad trečiojoje valstybėje (arba trečiosios valstybės teritorijoje arba sektoriuje), tarptautinėje organizacijoje arba tos valstybės, teritorijos, sektoriaus arba organizacijos aprašyme (72) užtikrinama tinkama asmens duomenų apsauga. Vertindamas apsaugos lygio tinkamumą, valstybės sekretorius privalo atsižvelgti į lygiai tuos pačius aspektus, kuriuos Komisija privalo įvertinti pagal Reglamento (ES) 2016/679 45 straipsnio 2 dalies a–c punktus, atsižvelgiant į tai, kaip jis išaiškintas Reglamento (ES) 2016/679104 konstatuojamojoje dalyje ir paliktoje galioti ES teismų praktikoje. Tai reiškia, kad vertinant trečiosios valstybės apsaugos lygio tinkamumą, bus taikomas atitinkamas standartas, susiję su tuo, ar ta atitinkama trečioji valstybė užtikrina apsaugos lygį, kuris yra „iš esmės lygiavertis“ Jungtinėje Karalystėje garantuojamai apsaugai.

(77)

Kalbant apie procedūrą pažymėtina, kad tinkamumo taisyklėms taikomi „bendrieji“ procedūriniai reikalavimai, nustatyti 2018 m. DAA 182 straipsnyje. Pagal šią procedūrą valstybės sekretorius privalo konsultuotis su informacijos komisaru tais atvejais, kai siūloma priimti Jungtinės Karalystės tinkamumo taisykles (73). Valstybės sekretoriaus priimtos taisyklės pateikiamos parlamentui ir joms taikoma „neigiamos rezoliucijos“ procedūra, pagal kurią abeji parlamento rūmai gali tikrinti taisykles ir turi galimybę per 40 dienų priimti pasiūlymą dėl taisyklių panaikinimo (74).

(78)

Pagal 2018 m. DAA 17B straipsnio 1 dalį tinkamumo taisyklės turi būti peržiūrimos ne rečiau kaip kas ketverius metus ir valstybės sekretorius privalo nuolat stebėti pokyčius trečiosiose valstybėse ir tarptautinėse organizacijose, kurie galėtų daryti poveikį sprendimams nustatyti tinkamumo taisykles arba jas iš dalies pakeisti ar panaikinti. Jeigu valstybės sekretorius sužino, kad nurodyta arba organizacija nebeužtikrina tinkamo asmens duomenų apsaugos lygio, jis privalo, kiek tai įmanoma, iš dalies pakeisti arba panaikinti taisykles ir pradėti konsultacijas su atitinkama trečiąja valstybe arba tarptautine organizacija, kad ištaisytų tinkamos apsaugos lygio trūkumą. Šie procedūriniai aspektai taip pat atsispindi atitinkamuose Reglamento (ES) 2016/679 reikalavimuose.

(79)

Jeigu tinkamumo taisyklių nėra, tarptautiniai perdavimai gali vykti tais atvejais, kai duomenų valdytojas arba duomenų tvarkytojas pateikė tinkamas apsaugos priemones pagal Jungtinės Karalystės BDAR 46 straipsnį. Šios apsaugos priemonės yra panašios į numatytąsias Reglamento (ES) 2016/679 46 straipsnyje. Jos apima valdžios institucijoms ar įstaigoms teisiškai privalomas ir įgyvendinamas priemones, įmonėms privalomas taisykles (75), standartines duomenų apsaugos sąlygas, patvirtintus elgesio kodeksus, patvirtintus sertifikavimo mechanizmus ir duomenų valdytojų (arba duomenų tvarkytojų) tarpusavio sutarčių sąlygas arba valdžios institucijų administracines taisykles, kurias leido nustatyti informacijos komisaras. Tačiau taisyklės buvo pakeistos procedūriniu požiūriu, kad jos veiktų Jungtinės Karalystės sistemoje, visų pirma kad valstybės sekretorius (17C straipsnis) arba informacijos komisaras (119A straipsnis) pagal 2018 m. DAA galėtų patvirtinti standartines duomenų apsaugos sąlygas.

(80)

Jeigu nėra sprendimo dėl tinkamumo arba tinkamų apsaugos priemonių, duomenys gali būti perduodami tik remiantis Jungtinės Karalystės BDAR 49 straipsnyje nustatytomis nukrypti leidžiančiomis nuostatomis (76). Jungtinės Karalystės BDAR nenustatyti jokie reikšmingi šių nukrypti leidžiančių nuostatų pakeitimai, palyginti su atitinkamomis Reglamento (ES) 2016/679 taisyklėmis. Pagal Jungtinės Karalystės BDAR, kaip ir pagal Reglamentą (ES) 2016/679, tam tikromis nukrypti leidžiančiomis nuostatomis galima remtis tik jeigu duomenys perduodami retkarčiais (77). Be to, savo gairėse dėl tarptautinių perdavimų informacijos komisaras paaiškina, kad: „Šias nuostatas turėtumėte naudoti kaip tikras bendrosios taisyklės, pagal kurią neturėtumėte atlikti apriboto perdavimo, „išimtis“, išskyrus atvejus, kai tokiam perdavimui taikomas sprendimas dėl tinkamumo arba galioja nustatytos tinkamos apsaugos priemonės“ (78). Dėl perdavimų, kurie yra būtini atsižvelgiant į svarbias su viešuoju interesu susijusias priežastis (49 straipsnio 1 dalies d punktas), valstybės sekretorius gali priimti taisykles, kuriose nurodo konkrečias aplinkybes, kuriomis asmens duomenų į trečiąją valstybę arba tarptautinei organizacijai perduoti nebūtina dėl svarbių su viešuoju interesu susijusių priežasčių. Be to, valstybės sekretorius taisyklėmis gali riboti į trečiąją valstybę arba tarptautinei organizacijai perduodamų asmens duomenų kategoriją, jeigu perdavimo negalima atlikti remiantis tinkamumo taisyklėmis ir jeigu valstybės sekretorius mano, kad apribojimas yra būtinas atsižvelgiant į svarbias priežastis, susijusias su viešuoju interesu. Iki šiol tokios taisyklės dar nepriimtos.

(81)

Ši tarptautinių perdavimų sistema pradėta taikyti pasibaigus pereinamajam laikotarpiui (79). Tačiau 2018 m. DAA 21 priedo 4 dalyje (nustatytoje DAPER taisyklėmis) numatyta, kad pereinamojo laikotarpio pabaigoje laikoma, kad tam tikri asmens duomenų perdavimai yra pagrįsti tinkamumo taisyklėmis. Tai yra perdavimai į EEE valstybę, Gibraltaro teritoriją, Sąjungos institucijai, įstaigai, biurui arba agentūrai, įsteigtai pagal ES sutartį arba ja remiantis, ir į trečiąsias valstybes, kurioms pereinamojo laikotarpio pabaigoje buvo taikomas ES sprendimas dėl tinkamumo. Todėl perdavimai į šias valstybes gali būti toliau atliekami tokia pat tvarka, kaip iki Jungtinės Karalystės išstojimo iš ES. Pasibaigus pereinamajam laikotarpiui, valstybės sekretorius privalo per ketverių metų terminą, t. y. iki 2024 m. gruodžio mėn. pabaigos, peržiūrėti šias išvadas dėl tinkamumo. Kaip nurodyta Jungtinės Karalystės institucijų pateiktame paaiškinime, nors valstybės sekretorius tokią peržiūrą turi atlikti iki 2024 m. gruodžio mėn. pabaigos, į pereinamojo laikotarpio nuostatas laikino galiojimo sąlyga neįtraukta, todėl, jeigu peržiūra iki 2024 m. gruodžio mėn. pabaigos nebus užbaigta, atitinkamos pereinamojo laikotarpio nuostatos savaime nenustos galioti.

(82)

Galiausiai, kalbant apie būsimą Jungtinės Karalystės tarptautinio perdavimo režimo raidą – priimant naujas tinkamumo taisykles, sudarant tarptautinius susitarimus arba plėtojant kitus perdavimo mechanizmus – Komisija atidžiai stebės padėtį ir vertins, ar įvairūs perdavimo mechanizmai naudojami visais atvejais užtikrinant reikiamą apsaugą, ir, jei ji užtikrinama nenuosekliai, prireikus imsis atitinkamų priemonių galimam neigiamam poveikiui pašalinti (žr. (278)–(287) konstatuojamąsias dalis). Kadangi ES ir Jungtinė Karalystė taiko panašias tarptautinio duomenų perdavimo taisykles, manoma, kad problemų taip pat būtų galima išvengti bendradarbiaujant, keičiantis informacija ir dalijantis patirtimi, be kita ko, tarp Informacijos komisaro ir EDAV.

(83)

Pagal atskaitomybės principą duomenis tvarkantys subjektai privalo nustatyti tinkamas technines ir organizacines priemones, kad veiksmingai laikytųsi savo duomenų apsaugos prievolių ir galėtų įrodyti (visų pirma kompetentingai priežiūros institucijai), kad jų laikosi.

(84)

Reglamente (ES) 2016/679 numatytas atskaitomybės principas buvo paliktas galioti Jungtinės Karalystės BDAR 5 straipsnio 2 dalyje be jokių esminių pakeitimų, be to, tas pats pasakytina apie 24 straipsnį dėl duomenų valdytojo atsakomybės, 25 straipsnį dėl pritaikytosios ir standartizuotosios duomenų apsaugos ir 30 straipsnį dėl duomenų tvarkymo veiklos įrašų. Taip pat palikti galioti 35 ir 36 straipsniai dėl poveikio duomenų apsaugai vertinimo ir išankstinių konsultacijų su priežiūros institucija. Reglamento (ES) 2016/679 37–39 straipsniai dėl duomenų apsaugos pareigūnų paskyrimo ir užduočių Jungtinės Karalystės BDAR palikti galioti be jokių esminių pakeitimų. Be to, Reglamento (ES) 2016/679 40 ir 42 straipsnių dėl elgesio kodeksų ir sertifikavimo nuostatos buvo paliktos galioti Jungtinės Karalystės BDAR (80).

(85)

Siekiant užtikrinti, kad tinkamas duomenų apsaugos lygis būtų užtikrinamas praktiškai, reikalinga nepriklausoma priežiūros institucija, kuriai suteikti įgaliojimai stebėti, kaip laikomasi duomenų apsaugos taisyklių, ir užtikrinti, kad jų būtų laikomasi. Atlikdama savo pareigas ir naudodamasi savo įgaliojimais ši institucija turėtų veikti visiškai nepriklausomai ir nešališkai.

(86)

Jungtinėje Karalystėje informacijos komisaras atsako už Jungtinės Karalystės BDAR ir 2018 m. DAA priežiūrą ir vykdymo užtikrinimą. Informacijos komisaras yra vienasmenis subjektas – atskiras juridinis asmuo, kurį sudaro vienas fizinis asmuo. Informacijos komisarui dirbti padeda biuras. 2020 m. kovo 31 d. Informacijos komisaro biure dirbo 768 nuolatiniai darbuotojai (81). Informacijos komisarui padeda Skaitmeninių, kultūros, žiniasklaidos ir sporto reikalų departamentas (82).

(87)

Komisaro nepriklausomumas aiškiai nustatytas Jungtinės Karalystės BDAR 52 straipsnyje, kuris, palyginti su BDAR 52 straipsnio 1–3 dalimis, iš esmės nepakeistas. Vykdydamas savo užduotis ir įgyvendindamas savo įgaliojimus pagal Jungtinės Karalystės BDAR, komisaras privalo veikti visiškai nepriklausomai, išlikti nepriklausomas nuo tiesioginės ar netiesioginės išorės įtakos, atsižvelgiant į tas užduotis ir įgaliojimus, taip pat neturėtų siekti gauti nurodymų iš kokių nors asmenų ar jais vadovautis. Komisaras taip pat privalo neatlikti jokių veiksmų, nesuderinamų su jo pareigomis, ir eidamas pareigas negali užsiimti jokia kita nesuderinama profesija, nepaisant to, ar už ją mokamas atlygis, ar ne.

(88)

Informacijos komisaro skyrimo ir pašalinimo iš pareigų sąlygos nustatytos 2018 m. DAA 12 priede. Informacijos komisarą skiria Jos Didenybė, atsižvelgdama į vyriausybės rekomendaciją, ir paskelbdama sąžiningą ir atvirą konkursą. Kandidatas privalo turėti tinkamą kvalifikaciją, įgūdžius ir kompetenciją. Pagal Valstybės pareigūnų valdymo kodeksą (83) skiriamų kandidatų sąrašą sudaro patariamojo vertintojų kolegija. Prieš Skaitmeninių, kultūros, žiniasklaidos ir sporto reikalų departamentui priimant galutinį sprendimą, atitinkamas parlamento atskirasis komitetas privalo atlikti patikrinimą iki paskyrimo. Komiteto nuomonė skelbiama viešai (84).

(89)

Informacijos komisaro kadencija trunka septynerius metus. Asmuo negali eiti informacijos komisaro pareigų dvi kadencijas iš eilės. Informacijos komisarą iš pareigų pašalinti gali Jos Didenybė, remdamasi abiejų parlamento rūmų prašymu (85). Nė vienam iš parlamento rūmų negalima pateikti prašymo atleisti iš pareigų informacijos komisarą, kol ministras nepateikė ataskaitos, kurioje nurodoma, kad jis yra įsitikinęs, jog informacijos komisaras yra kaltas dėl šiurkštaus nusižengimo ir (arba) komisaras nebeatitinka sąlygų, keliamų komisaro funkcijų vykdymui (86).

(90)

Informacijos komisaro veikla finansuojama iš trijų šaltinių: i) duomenų valdytojų sumokamų duomenų apsaugos mokesčių, kurie nustatomi valstybės sekretoriaus taisyklėse (87) (2018 m. Duomenų apsaugos (mokesčiai ir informacija) taisyklės) ir sudaro 85–90 proc. metinio biuro biudžeto (88); ii) dotacijos forma vyriausybės informacijos komisarui sumokėtos pagalbos. Dotacijos forma sumokėta pagalba iš esmės naudojama informacijos komisaro veiklos išlaidoms, kurios patiriamos vykdant su duomenų apsauga nesusijusias užduotis, sumokėti (89), ir iii) už paslaugas sumokėtų mokesčių (90). Dabar tokie mokesčiai apskritai nerenkami.

(91)

Informacijos komisaro bendrosios funkcijos, susijusios su asmens duomenų, kuriems taikomas Jungtinės Karalystės BDAR, tvarkymu, nustatytos Jungtinės Karalystės BDAR 57 straipsnyje, kuris yra beveik identiškas atitinkamoms Reglamento (ES) 2016/679 taisyklėms. Tarp jo funkcijų – Jungtinės Karalystės BDAR stebėsena ir vykdymo užtikrinimas, visuomenės informavimo skatinimas, duomenų subjektų pateiktų skundų nagrinėjimas, tyrimų atlikimas ir pan. Be to, 2018 m. DAA 115 straipsnyje nustatytos kitos bendrosios komisaro funkcijos, tarp kurių – pareiga konsultuoti parlamentą, vyriausybę ir kitas institucijas bei įstaigas teisės aktų ir administracinių priemonių, susijusių su asmenų teisių ir laisvių apsauga tvarkant asmens duomenis, klausimais, ir įgaliojimai komisaro iniciatyva arba paprašius priimti parlamentui, vyriausybei ir kitoms institucijoms ir įstaigoms bei visuomenei skirtas nuomones bet kuriuo su asmens duomenų apsauga susijusiu klausimu. Siekiant išlaikyti teismų nepriklausomumą, informacijos komisarui neleidžiama vykdyti savo funkcijų tais atvejais, kai asmens duomenis tvarko teisminius įgaliojimus turintis fizinis asmuo arba teismines funkcijas vykdantis bendrosios kompetencijos arba specializuotas teismas. Tačiau teismų priežiūrą užtikrina specializuotos įstaigos (žr. (99)–(103) konstatuojamąsias dalis).

(92)

Informacijos komisaro įgaliojimai išdėstyti Jungtinės Karalystės BDAR 58 straipsnyje, kuriame nėra jokių esminių pakeitimų, palyginti su atitinkamu Reglamento (ES) 2016/679 straipsniu. 2018 m. DAA nustatytos papildomos taisyklės, kuriose apibūdinti šių įgaliojimų įgyvendinimo būdai. Komisaras turi įgaliojimus visų pirma: a) įpareigoti duomenų valdytoją ir duomenų tvarkytoją (ir tam tikrais atvejais bet kurį kitą asmenį) pateikti būtiną informaciją informacinio pranešimo forma („informacinis pranešimas“ (91); b) atlikti tyrimus ir auditus ir pateikti vertinimo pranešimą, kuriame gali reikalauti, kad duomenų valdytojas arba duomenų tvarkytojas leistų komisarui patekti į konkrečias patalpas, patikrinti arba išnagrinėti dokumentus arba patikrinti ir apžiūrėti įrangą, duomenų valdytojų vardu apklausti asmens duomenis tvarkančius asmenis („vertinimo pranešimas“) (92); c) kitais būdais gauti prieigą prie duomenų valdytojų ir duomenų tvarkytojų dokumentų ir patekti į jų patalpas pagal 2018 m. DAA 154 straipsnį („įgaliojimai patekti į patalpas ir atlikti patikrinimą“); d) įgyvendinti taisomuosius įgaliojimus, įskaitant įspėjimų arba papeikimų skyrimą, arba duoti nurodymus parengtame vykdymo pranešime, kuriame reikalaujama, kad duomenų valdytojai / duomenų tvarkytojai imtųsi konkrečių veiksmų arba jų nesiimtų, įskaitant nurodymą duomenų valdytojui arba duomenų tvarkytojui atlikti bet kurį Jungtinės Karalystės BDAR 58 straipsnio 2 dalies c–g ir j punktuose nurodytą veiksmą („vykdymo pranešimas“) (93), ir e) skirti administracines baudas paskelbdamas pranešimą apie nuobaudą („pranešimas apie nuobaudą“) (94). Šis dokumentas gali būti išduotas ir tuo atveju, jei valdžios institucija nesilaikė Jungtinės Karalystės BDAR nuostatų (95).

(93)

Informacijos komisaro reguliavimo veiksmų plane aprašytos aplinkybės, kuriomis jis priima informacinį, vertinimo, vykdymo pranešimą arba pranešimą apie nuobaudą (96). Vykdymo pranešime, pateiktame reaguojant į duomenų valdytojo arba duomenų tvarkytojo klaidą, gali būti tik nustatyti reikalavimai, kurie, komisaro manymu, yra tinkami siekiant ištaisyti klaidą. Vykdymo pranešimas ir pranešimas apie nuobaudą gali būti priimami tik dėl duomenų valdytojo arba duomenų tvarkytojo padarytų Jungtinės Karalystės BDAR II skyriaus (duomenų tvarkymo principai), 12–22 straipsnių (duomenų subjekto teisės), 25–39 straipsnių (duomenų valdytojų ir duomenų tvarkytojų pareigos) ir 44–49 straipsnių (tarptautiniai duomenų perdavimai) pažeidimų. Vykdymo pranešimas taip pat gali būti teikiamas, jeigu duomenų valdytojas nesilaikė reikalavimo sumokėti mokesčio, nustatyto pagal 2018 m. DAA 137 straipsnį priimtose taisyklėse. Be to, vykdymo pranešimas gali būti pateikiamas stebėsenos įstaigai pagal 41 straipsnį arba sertifikavimo paslaugų teikėjui, jeigu jie nesilaiko savo pareigų pagal Jungtinės Karalystės BDAR. Pranešimas apie nuobaudą taip pat gali būti įteikiamas asmeniui, kuris nesilaikė informacinio pranešimo, vertinimo pranešimo arba vykdymo pranešimo.

(94)

Pranešime apie nuobaudą reikalaujama, kad asmuo sumokėtų informacijos komisarui pranešime nurodytą sumą. Nuspręsdamas, ar asmeniui įteikti pranešimą apie nuobaudą, ir nustatydamas nuobaudos dydį, informacijos komisaras privalo atsižvelgti į Jungtinės Karalystės BDAR 83 straipsnio 1 ir 2 dalyse išvardytus aspektus, kurie yra identiški Reglamente (ES) 2016/679 nustatytoms atitinkamoms taisyklėms (97). Pagal 83 straipsnio 4 ir 5 dalis didžiausia administracinių baudų už tose nuostatose nurodytų pareigų nesilaikymą suma atitinkamai yra 8 700 000 arba 17 500 000 GBP. Jeigu pažeidimą padaro įmonė, informacijos komisaras, skirdamas baudas, taip pat gali nurodyti, kad jos dydis atitinka pasaulinės metinės apyvartos procentinę dalį, jei ji didesnė. Kaip ir lygiavertėse Reglamento (ES) 2016/679 nuostatose, šios sumos 83 straipsnio 4 ir 5 dalyse atitinkamai sudaro 2 proc. ir 4 proc. Jeigu nesilaikoma informacinio pranešimo, vertinimo pranešimo arba vykdymo pranešimo reikalavimų, didžiausia nuobaudos, kurią galima skirti įteikiant pranešimą apie nuobaudą, yra 17 500 000 GBP arba įmonės atveju – 4 proc. pasaulinės metinės apyvartos, priklausomai nuo to, kuri suma yra didesnė.

(95)

Jungtinės Karalystės BDAR ir 2018 m. DAA taip pat sustiprinti kiti informacijos komisaro įgaliojimai. Pavyzdžiui, komisaras dabar gali atlikti privalomus visų duomenų valdytojų ir duomenų tvarkytojų auditus naudodamas vertinimo pranešimus, o pagal ankstesnius teisės aktus, t. y. 1998 m. Duomenų apsaugos aktą, komisarui šie įgaliojimai buvo suteikti tik dėl centrinės valdžios ir sveikatos organizacijų, o kiti subjektai turėjo duoti sutikimą būti audituojami.

(96)

Nuo Reglamento (ES) 2016/679 įsigaliojimo informacijos komisaras kasmet išnagrinėja apytiksliai 40 000 duomenų subjektų skundų (98) ir, , be kita ko, atlieka apytiksliai 2 000ex officio tyrimų (99). Dauguma skundų yra susiję su teisėmis susipažinti ir duomenų atskleidimu. Atsižvelgdamas į savo tyrimus, komisaras įvairiuose sektoriuose imasi vykdymo priemonių. Konkrečiau, remiantis naujausia Informacijos komisaro (2019–2020 m.) metine ataskaita (100), ataskaitiniu laikotarpiu komisaras priėmė 54 informacijos pranešimus, 8 vertinimo pranešimus, 7 vykdymo pranešimus, 4 įspėjimus, 8 pranešimus dėl patraukimo atsakomybėn ir 15 pranešimų dėl baudų (101).

(97)

Šiuo atveju taip pat skirtos kelios didelės baudos pagal Reglamentą (ES) 2016/679 ir 2018 m. DAA. Visų pirma 2020 m. spalio mėn. informacijos komisaras Didžiosios Britanijos oro bendrovei skyrė 20 mln. GBP baudą už duomenų apsaugos pažeidimą, nuo kurio nukentėjo daugiau nei 400 000 klientų. 2020 m. spalio pabaigoje tarptautiniam viešbučių tinklui skirta 18,4 mln. GBP bauda už tai, kad jis neužtikrino milijonų klientų asmens duomenų saugumo, o 2020 m. lapkričio mėn. Didžiosios Britanijos paslaugų teikėjui, internete parduodančiam bilietus į renginius, buvo skirta 1,25 mln. GBP bauda už tai, kad jis neapsaugojo klientų mokėjimų duomenų (102).

(98)

Be informacijos komisarui suteiktų vykdymo įgaliojimų, kurie aprašyti (92) konstatuojamojoje dalyje, tam tikri duomenų apsaugos teisės aktų pažeidimai laikomi nusikalstamomis veikomis, todėl už jų padarymą gali būti skiriamos baudžiamosios sankcijos (2018 m. DAA 196 straipsnis). Tai taikoma, pvz., kai sąmoningai arba dėl neatsargumo gaunami arba atskleidžiami asmens duomenys be duomenų valdytojo sutikimo, sudaromos sąlygos be duomenų valdytojo sutikimo atskleisti asmens duomenis kitam asmeniui (103), iš naujo nustatoma informacija, kuri yra nuasmeninti asmens duomenys, be duomenų valdytojo, atsakingo už asmens duomenų nuasmeninimą, sutikimo (104), tyčia trukdoma komisarui įgyvendinti savo įgaliojimus, susijusius su asmens duomenų patikrinimu laikantis tarptautinių pareigų (105), pateikiami neteisingi pareiškimai atsakant į informacinį pranešimą arba sunaikinama su informaciniu pranešimu ir vertinimo pranešimu susijusi informacija (106).

(99)

Teismų ir teisminių institucijų vykdomo asmens duomenų tvarkymo priežiūra yra dvejopa. Jeigu teisėjo pareigas einantis asmuo arba teismas veikia neturėdamas teisminių įgaliojimų, priežiūrą vykdo informacijos komisaras. Jeigu duomenų valdytojas veikia turėdamas teisminius įgaliojimus, Informacijos komisaras negali vykdyti savo priežiūros funkcijų (107), o priežiūrą vykdo specialios įstaigos. Šis požiūris atsispindi Reglamente (ES) 2016/679 (55 straipsnio 3 dalis).

(100)

Visų pirma pažymėtina, kad antruoju atveju Anglijos ir Velso teismų ir Anglijos ir Velso pirmosios ir aukštesnės instancijos specializuotų teismų priežiūrą atlieka Teisminė duomenų apsaugos kolegija (108). Be to, lordas vyriausiasis teisėjas ir vyresnysis specializuotų teismų pirmininkas paskelbtame pareiškime dėl privatumo (109) nurodo, kaip Anglijos ir Velso teismai tvarko asmens duomenis teisminių funkcijų vykdymo tikslais. Panašų pranešimą yra paskelbę Šiaurės Airijos (110) ir Škotijos teisėjai (111).

(101)

Be to, Šiaurės Airijoje Šiaurės Airijos lordas vyriausiasis teisėjas paskyrė Aukštojo teismo teisėją eiti už duomenų priežiūrą atsakingo teisėjo pareigas (112). Jis taip pat paskelbė Šiaurės Airijos teisėjams skirtas gaires dėl veiksmų, kurių reikia imtis praradus duomenis arba tuo atveju, jeigu jie gali būti prarasti, ir gaires dėl to, kokia tvarka reikia spręsti visus su tuo susijusius klausimus (113).

(102)

Škotijoje lordas pirmininkas paskyrė už duomenų priežiūrą atsakingą teisėją tirti bet kokius skundus, kurie teikiami remiantis su duomenų apsauga susijusiais pagrindais. Tai nustatyta teisminio skundų nagrinėjimo taisyklėse, kurios yra identiškos Anglijoje ir Velse nustatytoms taisyklėms (114).

(103)

Galiausiai Aukščiausiajame Teisme vienam iš jo teisėjų pavedama duomenų apsaugos priežiūros funkcija.

(104)

Siekiant užtikrinti tinkamą apsaugą ir, visų pirma, individualių teisių įgyvendinimą, duomenų subjektui turėtų būti suteikta veiksmingų administracinių ir teisminių teisių gynimo priemonių, įskaitant kompensaciją už patirtą žalą.

(105)

Pirma, duomenų subjektas turi teisę pateikti skundą informacijos komisarui, jeigu mano, kad, atsižvelgiant į jo asmens duomenis, buvo padarytas Jungtinės Karalystės BDAR pažeidimas (115). Jungtinės Karalystės BDAR paliktos galioti Reglamento (ES) 2016/679 77 straipsnio taisyklės dėl tos teisės neatliekant jokių esminių pakeitimų. Tą patį galima pasakyti apie 57 straipsnio 1 dalies f punkto ir 2 dalies nuostatas, kuriose nustatytos komisaro užduotys, susijusios su skundų nagrinėjimu. Kaip aprašyta (92)–(98) above konstatuojamosiose dalyse, informacijos komisaras turi įgaliojimus įvertinti, ar duomenų valdytojas ir duomenų tvarkytojas laikosi Jungtinės Karalystės BDAR ir 2018 m. DAA, reikalauti, kad jie imtųsi būtinų veiksmų arba nesiimtų tokių veiksmų reikalavimų nesilaikymo atveju, ir skirti baudas.

(106)

Antra, Jungtinės Karalystės BDAR ir 2018 m. DAA nustatyta teisė į teisinę gynybą prieš informacijos komisarą. Pagal Jungtinės Karalystės BDAR 78 straipsnio 1 dalį fizinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš su juo susijusį privalomą komisaro sprendimą. Teisminės peržiūros atveju teisėjas nagrinėja ieškinyje ginčijamą sprendimą ir ar informacijos komisaras veikė teisėtai. Be to, pagal Jungtinės Karalystės BDAR 78 straipsnio 2 dalį, jeigu komisaras nesugeba tinkamai išnagrinėti duomenų subjekto pateikto skundo (116), skundo pateikėjas turi teisę imtis teisminių teisių gynimo priemonių. Jis gali kreiptis į specializuotą pirmosios instancijos teismą, kad komisaras būtų įpareigotas imtis tinkamų veiksmų, susijusių su skundo nagrinėjimu, arba informuotų skundo pateikėją apie skundo nagrinėjimo eigą (117). Be to, bet kuris asmuo, kuriam komisaras įteikia vieną iš minėtų pranešimų (informacinį, vertinimo ar vykdymo pranešimą arba pranešimą dėl nuobaudos), gali skųstis specializuotam pirmosios instancijos teismui (118). Jeigu specializuotas teismas mano, kad komisaro sprendimas neatitinka įstatymo arba kad informacijos komisaras turėjo kitaip pasinaudoti savo diskrecija, specializuotas teismas privalo priimti skundą arba pakeisti kitą pranešimą arba sprendimą, kurį pateikė arba priėmė informacijos komisaras.

(107)

Trečia, asmenys gali pasinaudoti teisminėmis teisių gynimo priemonėmis prieš duomenų valdytojus ir duomenų tvarkytojus tiesiogiai kreipdamiesi į teismus pagal Jungtinės Karalystės BDAR 79 straipsnį ir 2018 m. DAA 167 straipsnį. Jeigu, atsižvelgdamas į duomenų subjekto prašymą, teismas įsitikina, kad buvo pažeistos duomenų apsaugos teisės aktuose nustatytos duomenų subjekto teisės, teismas gali įpareigoti duomenų valdytoją arba jo vardu veikiantį duomenų tvarkytoją imtis nutartyje nurodytų veiksmų dėl duomenų tvarkymo arba nesiimti nutartyje nurodytų veiksmų.

(108)

Be to, pagal Jungtinės Karalystės BDAR 82 straipsnį ir 2018 m. DAA 168 straipsnį bet kuris asmuo, kuris dėl Jungtinės Karalystės BDAR pažeidimo patyrė materialinę arba nematerialinę žalą, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą. Jungtinės Karalystės 82 straipsnio 1–5 dalyse nustatytos kompensacijos ir atsakomybės taisyklės yra identiškos Reglamento (ES) 2016/679 nustatytoms atitinkamoms taisyklėms. Pagal 2018 m. DAA 168 straipsnį nematerialinė žala taip pat reiškia stresą. Pagal Jungtinės Karalystės BDAR 80 straipsnį duomenų subjektas taip pat turi teisę įgalioti atstovaujančią įstaigą arba organizaciją jo vardu (pagal Jungtinės Karalystės BDAR 77 straipsnį) pateikti skundą komisarui ir jo vardu įgyvendinti Jungtinės Karalystės BDAR 78 straipsnyje (teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš komisarą), 79 straipsnyje (teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją) ir 82 straipsnyje (teisė į kompensaciją ir atsakomybę) nustatytas teises.

(109)

Ketvirta, bet kuris asmuo, kuris mano, kad valdžios institucijos pažeidė jo teises, įskaitant teises į privatumą ir duomenų apsaugą, be pirmiau aprašytų numatytų teisių gynimo būdų, gali gintis Jungtinės Karalystės teismuose pagal 1998 m. Žmogaus teisių aktą (119). Asmuo, kuris teigia, kad valdžios institucija veikė (arba siūlo veikti) su Konvencijos teise nesuderinamu būdu, taip pažeidžiant 1998 m. Žmogaus teisių akto 6 straipsnio 1 dalį, atitinkamame bendrosios kompetencijos arba specializuotame teisme gali iškelti institucijai bylą arba bet kuriame teisminiame procese remtis atitinkamomis teisėmis, kai jis tapo (arba galėjo tapti) neteisėto veiksmo auka.

(110)

Jeigu teismas nustato, kad kuris nors valdžios institucijos veiksmas yra neteisėtas, jis, atsižvelgdamas į savo įgaliojimus, gali nustatyti jo manymu teisingą ir tinkamą teisių gynimo priemonę arba priimti jo manymu teisingą ir tinkamą nutartį (120). Teismas taip pat gali pirminės teisės akto nuostatą paskelbti nesuderinama su Konvencijoje nustatyta teise.

(111)

Galiausiai, išnaudojęs nacionalines teisių gynimo priemones, fizinis asmuo dėl Europos žmogaus teisių konvencijoje garantuojamų žmogaus teisių pažeidimų, susijusių su jo teisėmis, gali kreiptis į Europos Žmogaus Teisių Teismą.

(112)

Komisija taip pat įvertino Jungtinės Karalystės asmens duomenų, kuriuos Jungtinės Karalystės valdžios institucijos, atsižvelgdamos į viešąjį interesą, visų pirma baudžiamosios teisės vykdymą ir nacionalinio saugumo tikslus, perdavė Jungtinės Karalystės ekonominės veiklos vykdytojams, rinkimo ir paskesnio naudojimo teisinę sistemą (toliau – vyriausybės prieiga). Vertindama, ar sąlygos, kuriomis vyriausybė gauna prieigą prie duomenų, perduotų Jungtinei Karalystei pagal šį sprendimą, atitiktų „esminio lygiavertiškumo“ kriterijų pagal Reglamento (ES) 2016/679 45 straipsnio 1 dalį, kaip jį išaiškino Europos Sąjungos Teisingumo Teismas, atsižvelgdamas į Pagrindinių teisių chartija, Komisija visų pirma atsižvelgė į toliau išvardytus kriterijus.

(113)

Pirma, bet koks teisės į duomenų apsaugą apribojimas turi būti numatytas įstatyme, o pačiame teisiniame pagrinde, kuriuo remiantis leidžiama apriboti tokią teisę, turi būti apibrėžta apribojimo taikymo atitinkamos teisės įgyvendinimui sritis (121).

(114)

Antra, siekiant įvykdyti proporcingumo reikalavimą, pagal kurį nuo asmens duomenų apsaugos nukrypti leidžiančios nuostatos ir asmens duomenų apsaugos apribojimai turi būti taikomi tik tiek, kiek tai griežtai būtina demokratinėje visuomenėje siekiant konkrečių viešojo intereso tikslų, kurie yra lygiaverčiai Sąjungos pripažįstamiems tikslams, atitinkamos trečiosios valstybės, kurioje leidžiami apribojimai, teisės aktuose turi būti nustatytos aiškios ir tikslios taisyklės, kuriomis reglamentuojamas atitinkamų priemonių mastas ir taikymas, ir nustatomos būtinosios apsaugos priemonės, kad asmenys, kurių duomenys buvo perduoti, turėtų pakankamai garantijų ir galėtų veiksmingai apsaugoti savo asmens duomenis nuo piktnaudžiavimo rizikos (122). Teisės akte visų pirma turi būti nurodyta, kokiomis aplinkybėmis ir sąlygomis galima priimti priemonę, kurią įgyvendinant numatyta tvarkyti tokius duomenis (123), taip pat tokiai priemonei taikomi nepriklausomos priežiūros reikalavimai (124).

(115)

Trečia, tas teisės aktas turi būti teisiškai įpareigojantis pagal vidaus teisę ir šie teisiniai reikalavimai turi būti privalomi ne tik institucijoms, bet ir įvykdomi teismuose atitinkamų trečiosios valstybės institucijų atžvilgiu (125). Visų pirma, duomenų subjektai privalo turėti galimybę pareikšti ieškinį nepriklausomame ir nešališkame teisme, kad galėtų susipažinti su asmens duomenimis arba kad jiems būtų suteikta teisė ištaisyti arba ištrinti tokius duomenis (126).

(116)

Vyriausybės prieiga prie duomenų Jungtinėje Karalystėje, atsižvelgiant į valdžios institucijos įgaliojimų įgyvendinimą, turi būti užtikrinama visapusiškai laikantis teisės aktų. Jungtinė Karalystė yra ratifikavusi Europos žmogaus teisių konvenciją (žr. (9) konstatuojamąją dalį) ir visos Jungtinės Karalystės valdžios institucijos privalo veikti laikydamosi Konvencijos (127). Konvencijos 8 straipsnyje nustatyta, kad bet koks privatumo apribojimas turi atitikti teisės aktus, derėti su vienu iš 8 straipsnio 2 dalyje nustatytų tikslų ir būti proporcingas atsižvelgiant į tą tikslą. Pagal 8 straipsnį taip pat reikalaujama, kad apribojimas būtų „prognozuojamas“, t. y. jo pagrindas turi būti aiškiai numatytas teisės akte, su kuriuo galima susipažinti, ir kad teisės akte būtų nustatytos tinkamos apsaugos nuo piktnaudžiavimo priemonės.

(117)

Be to, savo jurisprudencijoje Europos Žmogaus Teisių Teismas konkrečiai nurodė, kad kiekvienam teisės į privatumą ir duomenų apsaugą apribojimui turėtų būti taikoma veiksminga, nepriklausoma ir nešališka priežiūros sistema, kurią turi įgyvendinti teismas arba kita nepriklausoma įstaiga (128) (pvz., administracinė institucija arba parlamento organas).

(118)

Be to, asmenims turi būti suteiktos veiksmingos teisių gynimo priemonės, o Europos Žmogaus Teisių Teismas paaiškino, kad teisių gynimo priemones turi suteikti nepriklausoma ir nešališka įstaiga, kuri yra nustačiusi savo darbo tvarkos taisykles, kurią sudaro aukštas teisėjų pareigas einantys arba ėję nariai arba patyrę advokatai, ir kad siekiant jai pateikti skundą nebūtų nustatytos jokios prievolės įrodyti. Įsipareigodama nagrinėti asmenų skundus, nepriklausoma ir nešališka įstaiga turėtų turėti galimybę susipažinti su visa atitinkama informacija, įskaitant slaptą medžiagą. Galiausiai ji turėtų turėti įgaliojimus ištaisyti reikalavimo nesilaikymo atvejus (129).

(119)

Jungtinė Karalystė taip pat ratifikavo Tarybos konvenciją dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (108-oji konvencija) ir 2018 m. pasirašė Protokolą, kuriuo iš dalies keičiama Konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (dar vadinama 108+ konvencija) (130). 108-osios konvencijos 9 straipsnyje nustatyta, kad nuo bendrųjų duomenų apsaugos principų (5 straipsnis, duomenų kokybė), taisyklių, kuriomis reglamentuojamos specialios duomenų kategorijos (6 straipsnis, specialių kategorijų duomenys) ir duomenų subjektų teisių (8 straipsnis, papildomos duomenų subjekto apsaugos priemonės) nukrypti leidžiančios nuostatos yra leistinos tik jeigu jos numatytos susitariančiosios šalies teisės aktuose ir yra būtina priemonė demokratinėje visuomenėje siekiant užtikrinti valstybės saugumą, visuomenės saugumą, valstybės piniginius interesus arba stabdyti nusikalstamas veikas arba apsaugoti duomenų subjektą arba kitų asmenų teises ir laisves (131).

(120)

Todėl, dalyvaudama Europos Taryboje, laikydamasi Europos žmogaus teisių konvencijos ir pritardama Europos Žmogaus Teisių Teismo jurisdikcijai, Jungtinė Karalystė privalo laikytis įvairių įpareigojimų, nustatytų tarptautinėje teisėje, kurie sudaro Jungtinės Karalystės vyriausybės prieigos prie duomenų, remiantis principais, apsaugos priemonėmis ir asmenų teisėmis, panašiomis į tas, kurios garantuojamos pagal ES teisę ir yra taikomos valstybėms narėms, sistemą. Todėl, kaip pažymėta (19) konstatuojamojoje dalyje, tokių priemonių paisymas yra ypač svarbus šio sprendimo vertinimo pagrindą sudarantis aspektas.

(121)

Be to, konkrečios duomenų apsaugos priemonės ir teisės garantuojamos pagal 2018 m. DAA tais atvejais, kai duomenis tvarko valdžios institucijos, įskaitant teisėsaugos ir nacionalinio saugumo įstaigas.

(122)

Visų pirma asmens duomenų tvarkymo baudžiamosios teisėsaugos srityje tvarka aprašyta 2018 m. DAA 3 dalyje, kuri buvo patvirtinta siekiant į nacionalinę teisę perkelti Direktyvą (ES) 2016/680. 2018 m. DAA 3 dalis taikoma asmens duomenų tvarkymui, kurį vykdo kompetentingos institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją (132).

(123)

Pagal DAA 30 straipsnyje pateiktą apibrėžtį „kompetentinga institucija“ yra laikomas 2018 m. DAA 7 priede nurodytas asmuo ir bet kuris kitas asmuo, kuris vykdo įstatymuose nustatytas funkcijas bet kuriuo iš teisėsaugos tikslų (133). Kaip paaiškinta toliau (žr. (139) konstatuojamąją dalį), kai kurios kompetentingos institucijos (pavyzdžiui, Nacionalinė nusikaltimų agentūra) tam tikromis sąlygomis gali naudotis 2016 m. Tyrimo aktu (2016 m. TĮA) suteiktais įgaliojimais. Tokiu atveju 2016 m. TĮA numatytos apsaugos priemonės bus taikomos kartu su apsaugos priemonėmis, numatytomis 2018 m. DAA 3 dalyje. Žvalgybos tarnybos (Slaptoji žvalgybos tarnyba, Saugumo tarnyba ir Vyriausybės komunikacijos centras) nelaikomos kompetentingomis institucijomis (134), kurioms taikoma 2018 m. DAA 3 dalis, todėl joje nustatytos taisyklės jokiai jų veiklai netaikomos. Speciali 2018 m. DAA dalis (4 dalis) skirta žvalgybos tarnybų vykdomam asmens duomenų tvarkymui (daugiau apie tai (125) konstatuojamojoje dalyje ).

(124)

Panašiai, kaip ir Direktyvoje (ES) 2016/680, 2018 m. DAA 3 dalyje nustatyti teisėtumo ir sąžiningumo (135), tikslo apribojimo (136), duomenų kiekio mažinimo (137), tikslumo (138), saugojimo ribojimo (139) ir saugumo (140) principai. Teisės aktuose nustatyti konkretūs skaidrumo įpareigojimai (141) ir asmenims suteikiama teisė susipažinti su duomenimis (142), juos ištaisyti ir ištrinti (143), taip pat teisė nesutikti, kad dėl asmens nebūtų automatizuotai priimami sprendimai (144). Taip pat reikalaujama, kad kompetentingos institucijos įgyvendintų pritaikytąją ir standartizuotąją duomenų apsaugą, saugotų duomenų tvarkymo veiklos įrašus ir dėl tam tikrų tvarkymo operacijų atliktų poveikio duomenų apsaugai vertinimus ir iš anksto konsultuotųsi su Informacijos komisaru (145). Pagal 2018 m. DAA 56 straipsnį jos privalo įrodyti vidaus reikalavimų laikymąsi. Be to, kompetentingos institucijos privalo nustatyti tinkamas priemones, kad užtikrintų duomenų tvarkymo saugumą (146), ir joms galioja konkretūs įpareigojimai duomenų saugumo pažeidimo atveju, įskaitant informacijos komisaro ir duomenų subjektų informavimą apie tokius pažeidimus (147). Kaip ir Direktyvos (ES) 2016/680 atveju, duomenų valdytojas (išskyrus atvejus, kai duomenų valdytojas yra kita teisminė institucija, veikianti turėdama teisminius įgaliojimus) taip pat privalo paskirti duomenų apsaugos pareigūną (DAP) (148), kuris padeda duomenų valdytojui laikytis savo prievolių, taip pat stebėti, kaip šių prievolių laikomasi (149). Be to, teisės aktuose, siekiant užtikrinti apsaugos tęstinumą, nustatyti konkretūs tarptautinių asmens duomenų perdavimų reikalavimai, taikomi tais atvejais, kai duomenys į trečiąsias valstybes arba tarptautinėms organizacijoms perduodami teisėsaugos tikslais (150). Tą pačia dieną, kurią buvo priimtas šis sprendimas, Komisija, remdamasi Direktyvos (ES) 2016/680 36 straipsnio 3 dalimi, priėmė sprendimą dėl tinkamumo, kuriame padaryta išvada, kad Jungtinės Karalystės baudžiamosios teisėsaugos institucijų vykdomam duomenų tvarkymui taikoma tvarka užtikrinamas toks apsaugos lygis, kuris iš esmės yra lygiavertis Direktyva (ES) 2016/680 garantuojamam lygiui.

(125)

2018 m. DAA 4 dalis taikoma visam žvalgybos tarnybų arba jų vardu atliekamam duomenų tvarkymui. Visų pirma, joje nustatyti pagrindiniai duomenų apsaugos principai (teisėtumas, sąžiningumas ir skaidrumas (151), tikslo apribojimas (152), duomenų kiekio mažinimas (153), tikslumas (154), saugojimo ribojimas (155) ir saugumas (156), nustatytos specialių kategorijų asmens duomenų tvarkymo sąlygos (157), numatytos duomenų subjektų teisės (158), reikalaujama užtikrinti pritaikytąją duomenų apsaugą (159) ir reglamentuojami tarptautiniai asmens duomenų perdavimai (160). Informacijos komisaras neseniai paskelbė išsamias gaires dėl žvalgybos tarnybų vykdomo duomenų tvarkymo pagal 2018 m. DAA 4 dalį (161).

(126)

Kartu 2018 m. DAA 110 straipsnyje nustatyta 2018 m. DAA 4 dalies numatytų nuostatų išimtis (162), kai tokia išimtis yra būtina siekiant užtikrinti nacionalinį saugumą. Šia išimtimi galima remtis kiekvienu atskiru atveju atlikus analizę (163). Kaip paaiškino Jungtinės Karalystės institucijos ir nustatyta jurisprudencijoje, „duomenų valdytojas privalo atsižvelgti į faktines pasekmes nacionaliniam saugumui arba gynybai, jeigu jis privalo laikytis konkrečios duomenų apsaugos nuostatos ir jeigu jis gali pagrįstai laikytis įprastos taisyklės nedarydamas poveikio nacionaliniam saugumui arba gynybai“ (164). Tai, ar išimtimi naudojamasi tinkamai, prižiūri informacijos komisaras (165).

(127)

Be to, atsižvelgiant į galimybę „nacionalinio saugumo“ užtikrinimo tikslais apriboti pirmiau nurodytų konkrečių 2018 m. DAA 111 dalies nuostatų taikymą, duomenų valdytojas gali prašyti išduoti ministrų kabineto arba generalinio prokuroro pasirašytą sertifikatą, kuriuo patvirtinama, kad tokių teisių apribojimas yra būtina ir proporcinga priemonė nacionaliniam saugumui užtikrinti (166).

(128)

Jungtinės Karalystės vyriausybė paskelbė gaires, kad padėtų duomenų valdytojams nuspręsti, ar prašyti išduoti saugumo sertifikatą pagal 2018 m. DAA, ir kuriose visų pirma atkreipiamas dėmesys į tai, kad bet kokie duomenų subjektų teisių apribojimai nacionalinio saugumo užtikrinimo tikslais turi būti proporcingi ir būtini (167). Visi nacionalinio saugumo sertifikatai turi būti skelbiami Informacijos komisaro interneto svetainėje (168).

(129)

Sertifikato galiojimo trukmė turėtų būti konkreti ir neviršyti penkerių metų, kad įstatymų vykdomoji valdžia galėtų jį nuolat peržiūrėti (169). Sertifikate nurodomi asmens duomenys arba asmens duomenų kategorijos, kurioms taikoma išimtis, taip pat 2018 m. DAA nuostatos, kurioms taikoma išimtis (170).

(130)

Svarbu pažymėti, kad nacionalinio saugumo sertifikatai nesuteikia papildomo pagrindo apriboti duomenų apsaugos teises nacionalinio saugumo sumetimais. Kitaip tariant, domenų valdytojas arba duomenų tvarkytojas sertifikatu gali remtis tik kai padaro išvadą, kad būtina taikyti nacionalinio saugumo išimtį, kuri, kaip paaiškinta, turi būti taikoma kiekvienu konkrečiu atveju (171). Net jei nacionalinio saugumo sertifikatas sprendžiant konkretų klausimą yra taikomas, informacijos komisaras gali tirti, ar konkrečiu atveju remtis nacionalinio saugumo išimtimi buvo pagrįsta (172).

(131)

Bet kuris asmuo, kurį sertifikato išdavimas paveikė tiesiogiai, gali pateikti skundą aukštesniajam specializuotam teismui (173) dėl to sertifikato (174) arba, jeigu sertifikate duomenys nurodomi pateikiant bendrą aprašymą, ginčyti sertifikato taikymą konkretiems duomenims (175). Specializuotas teismas peržiūrės sprendimą išduoti sertifikatą ir nuspręs, ar buvo pagrįstų priežasčių jį išduoti (176). Jis gali nagrinėti įvairius klausimus, įskaitant būtinumą, proporcingumą ir teisėtumą, ir atsižvelgti į poveikį duomenų subjektų teisėms ir suderinti poreikį užtikrinti nacionalinį saugumą. Todėl specializuotas teismas gali nuspręsti, kad tam tikriems asmens duomenims, dėl kurių pateiktas skundas, sertifikatas netaikomas (177).

(132)

Kitą galimų apribojimų grupę sudaro apribojimai, pagal 2018 m. DAA 11 straipsnį taikomi tam tikroms 2018 m. DAA 4 dalies nuostatoms (178), siekiant apsaugoti kitus su bendru viešuoju interesu arba saugomais interesais susijusius svarbius tikslus, pvz., Parlamento neliečiamumą, advokato teisę neatskleisti profesinės paslapties, teismo proceso vykdymą arba ginkluotųjų pajėgų kovinį veiksmingumą (179). Šių nuostatų taikymo išimtis yra taikoma tam tikrų kategorijų informacijai (pagrįsta pagal kategoriją) arba ta apimtimi, kuria šių nuostatų taikymas galėtų pakenkti saugomam interesui (pagrįsta pagal žalą) (180). Žalos prielaida pagrįstomis išimtimis galima remtis tik tiek, kiek išvardytų duomenų apsaugos nuostatų taikymas galėtų pakenkti konkrečiam interesui. Todėl išimtis visada turi būti pagrindžiama nurodant atitinkamą žalą, kuri galėtų atsirasti konkrečiu atveju. Grupinėmis išimtimis galima remtis tik dėl mokslinės, siauriai apibrėžtos kategorijos informacijos, kuriai leidžiama taikyti išimtį. Atsižvelgiant į tikslą ir poveikį, šios išimtys yra panašios į Jungtinės Karalystės BDAR nustatytas išimtis (pagal 2018 m. DAA 2 priedą), kurios savo ruožtu atspindi BDAR 23 straipsnyje numatytas išimtis.

(133)

Iš to, kas išvardyta, galima daryti išvadą, kad pagal taikytinas Jungtinės Karalystės teisines nuostatas galioja apribojimai ir sąlygos, kaip tai, be kita ko, išaiškino teismai ir Informacijos komisija, kuriais siekiama užtikrinti, kad šios išimtys ir apribojimai neviršytų to, kas yra būtina ir proporcinga nacionaliniam saugumui užtikrinti.

(134)

Jungtinės Karalystės teisėje nustatyti įvairūs galimybės susipažinti su asmens duomenimis ir juos naudoti teisėsaugos tikslais apribojimai, ir šioje srityje numatyti priežiūros ir teisių gynimo mechanizmai, kurie atitinka šio sprendimo (113)–(115) konstatuojamosiose dalyse nurodytus reikalavimus. Sąlygos, kuriomis tokia prieiga gali būti suteikta, ir šių įgaliojimų naudojimui taikomos apsaugos priemonės išsamiai įvertinamos kituose skirsniuose.

(135)

Pagal teisėtumo principą, kuris garantuojamas 2018 m. DAA 35 straipsnyje, asmens duomenų tvarkymas bet kuriuo teisėsaugos tikslu yra teisėtas tik jeigu jis grindžiamas įstatymu ir jeigu duomenų subjektas sutiko, kad jo duomenys būtų tvarkomi tuo tikslu (181), arba duomenis tvarkyti būtina siekiant, kad kompetentinga institucija atliktu tuo tikslu vykdomą užduotį.

(136)

Jungtinės Karalystės teisinėje sistemoje asmens duomenis iš ūkio subjektų, įskaitant ūkio subjektus, kurie iš ES perduotus duomenis tvarkytų pagal dabartinį sprendimą dėl tinkamumo, rinkti baudžiamosios teisėsaugos tikslais leidžiama remiantis kratos orderiais (182) ir įrodymų pateikimo orderiais (183).

(137)

Kratos orderius paprastai išduoda teismas tyrimą atliekančio pareigūno prašymu. Pagal šiuos orderius pareigūnui leidžiama patekti į patalpas ieškant tyrimui svarbių įrodymų arba asmenų ir paimti bet kurį daiktą, dėl kurio leista atlikti kratą, įskaitant bet kuriuos susijusius dokumentus arba įrodymus, kuriuose yra asmens duomenų (184). Pagal įrodymų pateikimo orderį, kurį taip pat turi išduoti teismas, reikalaujama, kad jame nurodytas asmuo pateiktų arba leistų susipažinti su jo turimais arba disponuojamais įrodymais. Pareiškėjas privalo teismui įrodyti, kodėl būtinas orderis, taip pat dėl kokių priežasčių jis atitinka viešąjį interesą. Įstatymuose numatyta keletas įgaliojimų, pagal kuriuos leidžiama išduoti kratos orderius ir įrodymų pateikimo orderius. Kiekvieną nuostatą sudaro atskiros jai taikomos įstatyme nustatytos sąlygos, kurias turi atitikti išduotinas kratos orderis (185) arba įrodymų pateikimo orderis (186).

(138)

Įrodymų pateikimo ir kratos orderius galima ginčyti prašant atlikti teisminę peržiūrą (187). Dėl apsaugos priemonių pažymėtina, kad visos baudžiamosios teisėsaugos institucijos, kurioms taikoma 2018 m. DAA 3 dalis, įskaitant policiją, gali susipažinti su asmens duomenimis, – o tai yra duomenų tvarkymo forma, – tik laikydamosi 2018 m. DAA nustatytų principų ir reikalavimų (žr. (122) ir (124) above konstatuojamąsias dalis). Todėl teisėsaugos institucijos pateiktas prašymas turėtų atitikti principą, pagal kurį nurodyti duomenų tvarkymo tikslai turi būti konkretūs, aiškūs ir teisėti (188), ir kad kompetentingos institucijos tvarkomi asmens duomenys turi derėti su tuo tikslu ir nebūti pertekliniai (189).

(139)

Siekdamos užkirsti kelią tik sunkiems nusikaltimams arba juos nustatyti (190), tam tikros teisėsaugos institucijos, pavyzdžiui, Nacionalinė nusikaltimų agentūra arba policijos vadovas (191), gali naudotis tiksliniais tyrimo įgaliojimais pagal 2016 m. TĮA. Tokiu atveju 2016 m. TĮA numatytos apsaugos priemonės bus taikomos kartu su apsaugos priemonėmis, numatytomis 2018 m. DAA 3 dalyje. Konkretūs tyrimo įgaliojimai, kuriais gali naudotis šios teisėsaugos institucijos, yra: tikslinis pasiklausymas (2016 m. TĮA 2 dalis), ryšio duomenų gavimas (2016 m. TĮA 3 dalis), ryšio duomenų saugojimas (2016 m. TĮA 4 dalis) ir tikslinis įrangos perėmimas (2016 m. TĮA 5 dalis). Perėmimas reiškia ryšio turinio įgijimą (192), o ryšio duomenų įgijimu ir saugojimu nesiekiama gauti ryšių turinio, bet veikiau sužinoti, „kas“, „kada“, „kur“ ir „kaip“ palaikė ryšį. Tai, pvz., yra ryšio laikas ir trukmė, ryšio iniciatoriaus ir adresato telefono numeris arba e. pašto adresas, o kartais prietaisų, iš kurių buvo palaikomas ryšys, buvimo vieta, telefono paslaugos abonentas arba detalizuota sąskaita (193). Įrangos perėmimas – tai metodų, naudojamų įvairiems duomenims iš įrangos, pvz., kompiuterių, planšetinių kompiuterių ir išmaniųjų telefonų, išgauti rinkinys, įskaitant kabelius, laidus ir saugojimo prietaisus (194).

(140)

Tikslinio ryšių perėmimo įgaliojimai taip pat gali būti naudojami tais atvejais, kai tai „būtina siekiant taikyti ES savitarpio pagalbos priemones arba tarptautinio savitarpio pagalbos susitarimo nuostatas“ (vadinamasis savitarpio pagalbos orderis (195)). Savitarpio pagalbos orderiai išduodami tik dėl ryšių perėmimo, o ne ryšio duomenų gavimo arba įrangos perėmimo. Šie specialūs įgaliojimai reguliuojami 2016 m. Tyrimo įgaliojimų akte (2016 m. TĮA) (196), kuris kartu su Anglijos, Velso ir Šiaurės Airijos 2000 m. Tyrimo įgaliojimų akto reglamentu (RIPA) ir 2000 m. Škotijos Tyrimo įgaliojimų akto reglamentu (Škotija) (RIPSA) sudaro teisinį pagrindą ir kuriame nustatyti tokių įgaliojimų naudojimui taikomi apribojimai ir apsaugos priemonės. 2016 m. TĮA taip pat nustatyta didelės apimties tyrimo įgaliojimų naudojimo tvarka, tačiau teisėsaugos institucijos jais negali pasinaudoti (šiais įgaliojimais gali naudotis tik žvalgybos agentūros) (197).

(141)

Kad galėtų pasinaudoti šiais įgaliojimais, institucijos privalo gauti orderį (198), kurį išduoda kompetentinga institucija (199) ir patvirtina nepriklausomas teismo komisaras (200) (vadinamoji dvigubo patikrinimo procedūra). Išduodant tokį orderį, atliekamas būtinumo ir proporcingumo patikrinimas (201). Kadangi šie 2016 m. TĮA numatyti tiksliniai tyrimo įgaliojimai yra tapatūs įgaliojimams, kuriais gali pasinaudoti nacionalinės saugumo agentūros, tokiems įgaliojimams taikomos sąlygos, apribojimai ir apsaugos priemonės išsamiai aptariami skirsnyje dėl Jungtinės Karalystės valdžios institucijų prieigos prie asmens duomenų ir jų naudojimo nacionalinio saugumo tikslais (žr. (177)ir tolesnes konstatuojamąsias dalis).

(142)

Teisėsaugos institucijos vykdomas dalijimasis duomenimis su kita institucija kitais tikslais nei tie, dėl kurių jie iš pradžių buvo surinkti (vadinamasis tolesnis perdavimas) vykdomas laikantis tam tikrų sąlygų.

(143)

Panašiai į tai, kas nustatyta Direktyvos (ES) 2016/680 4 straipsnio 2 dalyje, pagal 2018 m. DAA 36 straipsnio 3 dalį kompetentingos institucijos teisėsaugos tikslu surinktus asmens duomenis leidžiama tvarkyti toliau (tą gali daryti pradinis duomenų valdytojas arba kitas duomenų valdytojas) bet kuriuo kitu teisėsaugos tikslu, jeigu duomenų valdytojas pagal įstatymą turi įgaliojimus tvarkyti duomenis kitu tikslu ir duomenų tvarkymas yra būtinas ir proporcingas tam tikslui (202). Šiuo atveju gaunančiosios institucijos atliekamam duomenų tvarkymui taikomos visos 2018 m. DAA 3 dalyje numatytos apsaugos priemonės, kurios nurodytos (122) ir (124) konstatuojamosiose dalyse.

(144)

Pagal Jungtinės Karalystės teisinę tvarką ir įvairius jos įstatymus toks tolesnis dalijimasis duomenimis yra leidžiamas. Visų pirma, i) pagal 2017 m. Skaitmeninės ekonomikos aktą valdžios institucijoms duomenimis leidžiama dalytis keliais tikslais, pvz., dėl bet kurio sukčiavimo viešajame sektoriuje atvejo, susijusio su valdžios institucijų nuostoliais arba nuostolių rizika (203), arba skolos valdžios institucijai arba Karalienei atveju (204), ii) pagal 2013 m. Nusikaltimų ir teismų aktą, kuriame leidžiama dalytis informacija su Nacionaline nusikaltimų agentūra (NCA) (205) kovos su sunkiais ir organizuotais nusikaltimais, jų tyrimo ir baudžiamojo persekiojimo tikslais; iii) pagal 2007 m. Sunkių nusikaltimų aktą, kuriame valdžios institucijoms leidžiama atskleisti informaciją kovos su sukčiavimu organizacijoms, siekiant užkirsti kelią sukčiavimui (206).

(145)

Šiuose teisės aktuose aiškiai nustatyta, kad dalijimasis informacija turi atitikti 2018 m. DAA nustatytus principus. Be to, tam, kad policijai būtų lengviau vykdyti duomenų apsaugos pareigas pagal Jungtinės Karalystės BDAR, DAA ir 1998 m. Žmogaus teisių aktą, Policijos koledžas paskelbė Dalijimosi informacija leistinos profesinės praktikos aprašą (207). Dalijimosi atitiktis taikomai duomenų apsaugos teisinei sistemai, žinoma, yra peržiūrima teismine tvarka (208).

(146)

Be to, panašiai kaip Direktyvos (ES) 2016/680 9 straipsnyje, 2018 m. DAA nustatyta, kad bet kuriuo teisėsaugos tikslu surinkti asmens duomenys gali būti tvarkomi ne teisėsaugos tikslu, kai tai leidžiama daryti pagal įstatymą (209).

(147)

Šios rūšies duomenimis galima dalytis dviem atvejais: 1) kai baudžiamosios teisėsaugos institucija dalijasi duomenimis su nebaudžiamosios teisėsaugos institucija, išskyrus žvalgybos agentūrą (pvz., finansų arba mokesčių institucija, konkurencijos institucija, jaunimo gerovės tarnyba ir pan.), ir 2) kai baudžiamosios teisėsaugos institucija duomenimis dalijasi su žvalgybos agentūra. Pirmuoju atveju asmens duomenų tvarkymui bus taikomas Jungtinės Karalystės BDAR, taip pat 2018 m. DAA 2 dalis. Komisija įvertino Jungtinės Karalystės BDAR ir 2018 m. DAA 2 dalies (12)–(111) konstatuojamosiose dalyse nustatytas priemones ir priėjo prie išvados, kad Jungtinė Karalystė užtikrina tinkamą asmens duomenų, perduotų pagal Reglamentą (ES) 2016/679 iš Europos Sąjungos į Jungtinę Karalystę, apsaugos lygį.

(148)

Antruoju atveju dėl dalijimosi duomenimis, kuriuos surinko baudžiamosios teisėsaugos institucija su žvalgybos agentūra nacionalinio saugumo tikslais, teisinis pagrindas, kuriuo leidžiama taip dalytis, yra 2008 m. Kovos su terorizmu akto (2008 m. KTA) 19 straipsnis (210). Pagal šį aktą bet kuris asmuo gali teikti informaciją bet kuriai žvalgybos tarnybai, kad ta tarnyba įvykdytų bet kurią funkciją, įskaitant su nacionaliniu saugumu susijusią funkciją.

(149)

Dėl sąlygų, kuriomis duomenimis galima dalytis nacionalinio saugumo tikslais, pažymėtina, kad pagal Žvalgybos tarnybų aktą (211) ir Saugumo tarnybų aktą (212) žvalgybos tarnybos gali gauti tik jų funkcijoms pagal įstatymą vykdyti būtinus duomenis. Teisėsaugos institucijos, kurios nori dalytis duomenimis su žvalgybos tarnybomis, turės įvertinti įvairius veiksnius / apribojimus ir kartu atsižvelgti į agentūrų funkcijas, nustatytas Žvalgybos tarnybų akte ir Saugumo tarnybų akte (213). 2008 m. KTA 20 straipsnyje aiškiai nurodyta, kad bet koks dalijimasis duomenimis pagal 19 straipsnį vis tiek turi atitikti duomenų apsaugos teisės aktus; tai reiškia, kad taikomi visi 2018 m. DAA 3 dalyje nustatyti apribojimai ir reikalavimai. Be to, kadangi kompetentingos institucijos yra valdžios institucijos 1998 m. Žmogaus teisių akto taikymo tikslais, jos privalo užtikrinti, kad jų veiksmai atitiktų Konvencijoje nustatytas teises, įskaitant EŽTK 8 straipsnį. Šiais apribojimais užtikrinama, kad teisėsaugos institucijos ir žvalgybos tarnybos visais duomenimis dalytųsi laikydamosi duomenų apsaugos teisės aktų ir EŽTK.

(150)

Jeigu kompetentinga institucija su trečiosios valstybės teisėsaugos institucijomis ketina dalytis pagal 2018 m. DAA 3 dalį tvarkomais duomenimis, taikomi konkretūs reikalavimai (214). Tokie perdavimai visų pirma gali vykti, kai jie grindžiami tinkamumo taisyklėmis, kurias priėmė valstybės sekretorius arba, jeigu tokių taisyklių nėra, būtina užtikrinti tinkamas apsaugos priemones. 2018 m. DAA 75 straipsnyje nustatyta, kad tinkamos apsaugos priemonės yra tais atvejais, kai jos nustatomos teisine priemone, kurios numatytas adresatas privalo laikytis, arba kai duomenų valdytojas, įvertinęs visas aplinkybes, susijusias su tos rūšies asmens duomenų perdavimu trečiajai valstybei arba tarptautine organizacijai, padaro išvadą, kad esama tinkamų duomenų apsaugą užtikrinančių priemonių.

(151)

Jeigu perdavimas nėra pagrįstas tinkamumo taisykles arba tinkamomis apsaugos priemonėmis, jis gali būti atliekamas tik tam tikromis konkrečiomis aplinkybėmis, kurios vadinamos specialiomis aplinkybėmis (215). Taip yra tuo atveju, kai duomenis perduoti būtina: a) kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai; b) kad būtų apsaugoti teisėti duomenų subjekto interesai; c) kad būtų užkirstas kelias tiesioginei ir didelei grėsmei valstybės narės arba trečiosios valstybės visuomenės saugumui; d) individualiais atvejais atsižvelgiant į bet kokius teisėsaugos tikslus arba e) individualiais atvejais teisėtu tikslu (pvz., atsižvelgiant į teismo procesą arba siekiant gauti teisinę konsultaciją). Galima pažymėti, kad d ir e punktai netaikomi, jeigu duomenų subjekto teisės ir laisvės yra viršesnės už su perdavimu susijusį viešąjį interesą. Šis aplinkybių rinkinys atitinka konkrečias situacijas ir sąlygas, kurios pagal Direktyvos (ES) 2016/680 38 straipsnį laikomos „nukrypti leidžiančiomis nuostatomis“.

(152)

Be to, jeigu teisėsaugos institucijų įrodymai, kuriuos jos gavo remdamosi orderiu, pagal kurį leidžiama perimti ryšius arba įrangą, perduodami į trečiąja valstybę, pagal 2016 m. TĮA taikomos privalomos papildomos apsaugos priemonės. Visų pirma toks informacijos atskleidimas, kuris apibrėžiamas kaip „informacijos atskleidimas užsienyje“, leidžiamas tik jeigu išduodančioji institucija mano, kad yra nustatytos tinkamos taisyklės, kuriomis ribojamas asmenų, kuriems atskleidžiami duomenys, skaičius, mastas, kuriuo leidžiama atskleisti arba leisti susipažinti su bet kokia medžiaga, taip pat mastas, kuriuo bet kokia medžiaga kopijuojamas, ir padarytų kopijų skaičius. Be to, išduodančioji institucija gali manyti, kad būtinos atitinkamos taisyklės, padedančios užtikrinti, kad kiekviena bet kurios medžiagos dalies padaryta kopija būtų sunaikinta iš karto, kai nebegalioja jokie atitinkami jos saugojimo pagrindai (jeigu tokios kopijos nebuvo sunaikintos anksčiau) (216).

(153)

Galiausiai, ateityje galėtų būti taikomos specialios tolesnio duomenų perdavimo iš Jungtinės Karalystės į Jungtines Valstijas formos pagal Jungtinės Didžiosios Britanijos ir Šiaurės Airijos Karalystės vyriausybės ir Jungtinių Amerikos Valstijų vyriausybės susitarimą dėl prieigos prie elektroninių duomenų siekiant kovoti su sunkiais nusikaltimais (toliau – Jungtinės Karalystės ir JAV susitarimas arba Susitarimas) (217), sudarytą 2019 m. spalio mėn. (218) Nors šio sprendimo priėmimo metu Jungtinės Karalystės ir JAV susitarimas dar nėra įsigaliojęs, numatomas jo įsigaliojimas gali turėti įtakos tolesniam duomenų, pirmą kartą perduotų Jungtinei Karalystei pagal šį sprendimą, perdavimui į JAV. Kalbant konkrečiau, iš ES Jungtinėje Karalystėje veikiantiems paslaugų teikėjams perduodamiems duomenims galėtų būti taikomi kompetentingų JAV teisėsaugos institucijų išduoti elektroninių įrodymų pateikimo orderiai, kuriuos Jungtinėje Karalystėje būtų galima taikyti įsigaliojus šiam Susitarimui. Dėl šių priežasčių taikant šį sprendimą svarbu įvertinti sąlygas ir apsaugos priemones, kuriomis tokie orderiai gali būti išduoti ir įvykdyti.

(154)

Dėl šių priežasčių taikant šį sprendimą svarbu įvertinti sąlygas ir apsaugos priemones, kuriomis tokie orderiai gali būti išduoti ir įvykdyti. Šiuo klausimu reikėtų pažymėti, kad, pirma, Susitarimas, atsižvelgiant į jo materialinę taikymo sritį, taikomas tik nusikaltimams, už kuriuos skiriama maksimali ne trumpesnė kaip trejų metų laisvės atėmimo bausmė (apibrėžiama kaip „sunkus nusikaltimas“) (219), įskaitant teroristinę veiklą. Antra, kitoje jurisdikcijoje tvarkomi duomenys pagal šį susitarimą gali būti gauti tik vadovaujantis „orderiu, <...> kurį pagal išduodančiosios šalies vidaus teisę iki orderio vykdymo bylos arba jos metu gali peržiūrėti arba prižiūrėti teismas, teisėjas, magistratas arba kita nepriklausoma institucija“ (220). Trečia, bet kuris orderis turi „būti pagrįstas aiškiai ir įtikinamais faktais, visų pirma, teisėtumu, ir tiriamos veikos rimtumu“ (221), be to, jis turi būti skirtas konkrečioms sąskaitoms ir jame turi būti nurodyta konkretaus asmens tapatybė, sąskaita, adresas arba asmeninis prietaisas, arba bet kuris kitas konkretus identifikatorius“ (222). Ketvirta, pagal šį susitarimą gautiems duomenims taikomos apsaugos priemonės, kurios yra lygiavertės konkrečioms apsaugos priemonėms, numatytoms vadinamajame ES ir JAV skėtiniame susitarime (223), t. y. 2016 m. gruodžio mėn. ES ir JAV sudarytas išsamus susitarimas dėl duomenų apsaugos, kuriame nustatytos apsaugos priemonės ir teisės, taikomos duomenų perdavimams teisėsaugos bendradarbiavimo srityje, kurios į šį susitarimą įtraukiamos mutatis mutandis pagrindu, visų pirma siekiant atsižvelgti į konkretų perdavimų pobūdį (t. y. perdavimui iš privačių operatorių teisėsaugos institucijoms, užuot perdavus tarp teisėsaugos institucijų) (224). Jungtinės Karalystės ir JAV susitarime konkrečiai nustatyta, kad lygiavertės apsaugos priemonės, numatytos ES ir JAV skėtiniame susitarime, bus taikomos „visai asmeninei informacijai, kuri bus parengta vykdant orderius, kuriems taikomas Susitarimas, kad būtų užtikrintos lygiavertės apsaugos priemonės“ (225).

(155)

Todėl duomenims, kurie JAV institucijoms buvo perduoti pagal ES ir JAV susitarimą, turėtų būti taikomos ES teisės akte nustatytos apsaugos priemonės, įskaitant būtinus pritaikymus, kuriais atsižvelgiama į aptariamų perdavimų pobūdį. Jungtinės Karalystės institucijos taip pat patvirtino, kad skėtiniame susitarime numatytos apsaugos priemonės bus taikomos visiems pagal Susitarimą parengtiems arba išsaugotiems asmens duomenims, nepaisant prašymą teikiančios įstaigos pobūdžio arba rūšies (pvz., JAV federalinės ir valstijos teisėsaugos institucijos), todėl lygiavertė apsauga turi būti užtikrinama visais atvejais. Tačiau Jungtinės Karalystės institucijos taip pat paaiškino, kad Jungtinė Karalystė ir JAV dar turi aptarti konkretaus duomenų apsaugos priemonių įgyvendinimo klausimus. Derybose su Europos Komisijos tarnybomis dėl šio sprendimo Jungtinės Karalystės institucijos patvirtino, kad jos Susitarimo įsigaliojimui pritars tik įsitikinusios, kad jo įgyvendinimas atitinka jame nustatytas teisines prievoles, įskaitant aiškų duomenų apsaugos standartų laikymąsi dėl bet kurių pagal šį susitarimą prašomų duomenų. Kadangi galimas Susitarimo įsigaliojimas gali daryti poveikį šiame sprendime vertinamam apsaugos lygiui, bet kurią informaciją ar būsimą paaiškinimą dėl to, kaip JAV laikysis savo pareigų pagal Susitarimą, Jungtinė Karalystė turėtų perduoti Europos Komisijai iš karto, kai tik jis bus parengtas, ir bet kuriuo atveju iki įsigaliojant Susitarimui, siekdama užtikrinti tinkamą šio sprendimo stebėseną pagal Reglamento (ES) 2016/679 45 straipsnio 4 dalį. Ypatingas dėmesys bus skirtas Skėtiniame susitarime nustatytų apsaugos priemonių taikymui ir pritaikymui atsižvelgiant į konkrečią perdavimų, kuriems taikomas Jungtinės Karalystės ir JAV susitarimas, rūšį.

(156)

Konkrečiau, vykdant nuolatinę šio sprendimo stebėseną, bus atsižvelgta į bet kokį svarbų pokytį, susijusį su Susitarimo įsigaliojimu ir taikymu, be kita ko, atsižvelgiant į būtinas pasekmes, kurios turi atsirasti atsiradus bet kokiems požymiams, kad nebeužtikrinamas iš esmės lygiavertis apsaugos lygis.

(157)

Priklausomai nuo įgaliojimų, kuriais kompetentingos institucijos naudojasi tvarkydamos asmens duomenis teisėsaugos tikslu (pagal 2018 m. DAA arba 2016 m. TĮA), šių įgaliojimų naudojimą prižiūri įvairios įstaigos. Visų pirma informacijos komisaras prižiūri asmens duomenų tvarkymą, kuriam taikoma 2018 m. DAA 3 dalis (226). Nepriklausomą ir teisminę tyrimo įgaliojimų pagal 2016 m. TĮA priežiūrą užtikrina Tyrimo įgaliojimų komisaro biuras (IPCO) (227) (ši dalis aptarta (250)–(255) konstatuojamosiose dalyse). Be to, papildomą priežiūrą garantuoja parlamentas ir kitos įstaigos.

(158)

Bendrosios informacijos komisaro, kurio nepriklausomumas ir organizacinė struktūra paaiškinta (87) konstatuojamojoje dalyje, funkcijos, susijusios su asmens duomenų tvarkymu pagal 2018 m. DAA 3 dalį, nustatytos 2018 m. DAA 13 priede. Pagrindinė informacijos komisaro užduotis – stebėti ir užtikrinti 2018 m. DAA 3 dalies įgyvendinimą, taip pat didinti visuomenės informuotumą, patarti parlamentui, vyriausybei ir kitoms institucijoms bei įstaigoms. Siekiant išlaikyti teismų nepriklausomumą, informacijos komisarui neleidžiama vykdyti savo funkcijų tais atvejais, kai asmens duomenis tvarko teisminius įgaliojimus turintis fizinis asmuo arba teismines funkcijas vykdantis bendrosios kompetencijos arba specializuotas teismas. Šiomis aplinkybėmis priežiūros funkcijas turėtų vykdyti kitos įstaigos, kaip paaiškinta (99)–(103) konstatuojamosiose dalyse.

(159)

Komisaras turi bendruosius tyrimo, taisomuosius, leidimų suteikimo ir patariamuosius įgaliojimus, susijusius su asmens duomenų tvarkymu pagal 3 dalį. Komisaras visų pirma turi įgaliojimus pranešti duomenų valdytojui arba duomenų tvarkytojui apie tariamą 2018 m. DAA 3 dalies pažeidimą, įteikti duomenų valdytojui arba duomenų tvarkytojui, kuris pažeidė akto 3 dalį, įspėjimus arba papeikimus, taip pat savo iniciatyva arba paprašius teikti nuomones parlamentui, vyriausybei ir kitoms institucijoms bei įstaigoms, taip pat visuomenei bet kuriuo su asmens duomenų apsauga susijusiu klausimu (228).

(160)

Be to, komisaras turi įgaliojimus priimti informacinius pranešimus (229), vertinimo pranešimus (230) ir vykdymo pranešimus (231), taip pat įgaliojimus susipažinti su duomenų valdytojų ir duomenų tvarkytojų dokumentais, patekti į jų patalpas (232) ir skirti administracines baudas priimdamas pranešimus apie nuobaudą (233). Informacijos komisaro reguliavimo veiksmų politikoje išdėstytos aplinkybės, kuriomis jis priima informacijos, vertinimo, vykdymo pranešimus ir pranešimus apie nuobaudą (234) (taip pat žr. (93) konstatuojamąją dalį ir Direktyvos (ES) 2016/680 101–102 konstatuojamąsias dalis dėl sprendimo dėl tinkamumo).

(161)

Remdamasis savo naujausiomis metinėmis ataskaitomis (2018–2019 m. (235), 2019–2020 m. (236)), informacijos komisaras atliko įvairius tyrimus ir ėmėsi vykdymo priemonių dėl teisėsaugos institucijų vykdomo duomenų tvarkymo. Pavyzdžiui, komisaras atliko tyrimą ir 2019 m. spalio mėn. paskelbė išvadą dėl to, kaip teisėsaugos institucijos naudoja veido atpažinimo technologijas viešose vietose. Tyrime daugiausia dėmesio visų pirma skirta Pietų Velso policijos ir Metropoliteno policijos tarnybos (MPS) naudojamiems gyvo veido atpažinimo pajėgumams. Informacijos komisaras taip pat ištyrė MPS „Gangs matrix“ (237) ir nustatė įvairių rimtų duomenų apsaugos teisės pažeidimų, dėl kurių galėjo sumažėti visuomenės pasitikėjimas matrica ir tuo, kaip naudojami duomenys. 2018 m. lapkričio mėn. informacijos komisaras priėmė vykdymo pranešimą, o MPS paskui ėmėsi veiksmų, kurie yra būtini siekiant padidinti saugumą ir atskaitomybę ir užtikrinti, kad duomenys būtų naudojami proporcingai. Kitas vykdymo veiksmų šioje srityje pavyzdys – 325 000 GBP bauda, kurią 2018 m. gegužės mėn. komisaras skyrė Karalienės prokuratūrai už tai, kad pastaroji pametė neužšifruotus kompaktinius diskus su policijos apklausų įrašais. Informacijos komisaras taip pat atliko tyrimus platesnėmis temomis, pvz., per pirmąjį 2020 m. pusmetį atliko tyrimą dėl mobiliųjų telefonų duomenų išgavimo policijos veiklos tikslais ir dėl to, kaip policija tvarko aukų duomenis. Be to, komisaras dabar tiria bylą dėl teisėsaugos institucijų prieigos prie privataus sektoriaus subjekto „Clearview AI Inc.“ turimų duomenų (238).

(162)

Be informacijos komisarui suteiktų vykdymo įgaliojimų, kurie aprašyti (160) ir (161) konstatuojamosiose dalyse, tam tikri duomenų apsaugos teisės aktų pažeidimai laikomi nusikalstamomis veikomis, todėl už jų padarymą gali būti skiriamos baudžiamosios sankcijos (2018 m. DAA 196 straipsnis). Pavyzdžiui, baudžiamosios sankcijos gali būti skirtos už tai, kad asmens duomenys buvo gauti, atskleisti arba saugomi be duomenų valdytojo sutikimo, už tarpininkavimą asmens duomenis atskleidžiant kitam asmeniui be duomenų valdytojo sutikimo (239), į informaciją, kurią sudaro nuasmeninti asmens duomenys, vėl įtraukiant tapatybės duomenis be duomenų valdytojo, atsakingo už asmens duomenų nuasmeninimą, sutikimo (240), tyčia trukdant komisarui vykdyti savo įgaliojimus, susijusius su asmens duomenų patikrinimu pagal tarptautinius įsipareigojimus (241) ir jeigu atsakant į informacinį pranešimą pateikiami klaidingi pareiškimai arba sunaikinama su informaciniu pranešimu arba vertinimo pranešimu susijusi informacija (242).

(163)

Be informacijos komisaro, baudžiamosios teisėsaugos srityje veikia keletas priežiūros institucijų, turinčių konkrečius įgaliojimus, susijusius su duomenų apsaugos klausimais. Tai, pvz., yra biometrinės medžiagos saugojimo ir naudojimo komisaras (toliau – biometrinių duomenų komisaras) (243) ir stebėjimo kamerų komisaras (244).

(164)

Vidaus reikalų atskirasis komitetas (HASC) užtikrina parlamentinę priežiūrą baudžiamosios teisenos srityje. Šį komitetą sudaro 11 parlamento narių, atrinktų iš trijų didžiausių politinių partijų. Komiteto užduotis – analizuoti Vidaus reikalų ministerijos ir susijusių valdžios įstaigų, įskaitant policiją ir NCA, kurių darbą komitetas gali tikrinti atidžiai, išlaidas, administravimą ir politiką (245).

(165)

Komitetas per savo nustatytus terminus gali pats nustatyti tyrimo temą, įskaitant konkrečių atvejų tyrimą, jeigu klausimas nepriklauso teismo kompetencijai. Komitetas taip pat gali prašyti įvairių atitinkamų grupių ir asmenų pateikti rašytinius ir žodinius įrodymus. Jis rengia savo išvadų ataskaitas ir teikia vyriausybei rekomendacijas (246). Tikimasi, kad vyriausybė kiekvieną ataskaitos rekomendaciją įgyvendins ir tai padarys per 60 dienų (247).

(166)

Stebėjimo srityje komitetas taip pat parengė ataskaitą dėl 2000 m. Tyrimo įgaliojimų akto reglamento (2000 m. RIPA) (248), kurioje priėjo prie išvados, kad 2000 m. RIPA neatitiko tikslo. Į jo ataskaitą buvo atsižvelgta svarbias 2000 m. RIPA dalis pakeičiant 2016 m. TĮA. Išsamų tyrimų sąrašą galima rasti komiteto svetainėje (249).

(167)

HASC užduotis Škotijoje vykdo Policijos veiklos teisingumo pakomitetis, i Šiaurės Airijoje jas vykdo Teisingumo komitetas (250).

(168)

Dėl teisėsaugos institucijų tvarkomų asmens duomenų, pažymėtina, kad pagal 2018 m. DAA 3 dalį ir 2016 m. TĮA, taip pat pagal 1998 m. Žmogaus teisių aktą galima pasinaudoti teisių gynimo mechanizmais.

(169)

Šiais įvairiais mechanizmais duomenų subjektams suteikiamos veiksmingos administracinės ir teisminės teisių gynimo priemonės, kuriomis jiems sudaromos sąlygos visų pirma užtikrinti savo teises, įskaitant teisę susipažinti su savo asmens duomenimis arba ištaisyti ar ištrinti tokius duomenis.

(170)

Pirma, pagal 2018 m. DAA 165 straipsnį duomenų subjektas turi teisę pateikti skundą informacijos komisarui, jeigu mano, kad, atsižvelgiant į jo asmens duomenis, buvo padarytas 2018 m. DAA 3 dalies pažeidimas. Informacijos komisaras turi įgaliojimus įvertinti, ar duomenų valdytojas ir duomenų tvarkytojas laikosi 2018 m. DAA, reikalauti, kad jie imtųsi būtinų veiksmų reikalavimų nesilaikymo atveju, ir skirti baudas (251). Informacijos komisaras turi įgaliojimus įvertinti, ar duomenų valdytojas ir duomenų tvarkytojas laikosi 2018 m. DAA, reikalauti, kad jie imtųsi būtinų veiksmų reikalavimų nesilaikymo atveju, ir skirti baudas.

(171)

Antra, 2018 m. DAA nustatyta teisė į teisinę gynybą prieš informacijos komisarą, jeigu jis tinkamai neišnagrinėja duomenų subjekto skundo. Konkrečiau, jeigu komisaras nesugeba „pasistūmėti į priekį“ (252) nagrinėdamas duomenų subjekto pateiktą skundą, skundo pateikėjas turi teisę imtis teisminių teisių gynimo priemonių, nes gali kreiptis į pirmosios instancijos specializuotą teismą (253) ir prašyti, kad komisaras būtų įpareigotas imtis nagrinėti skundą arba informuoti skundo pateikėją apie padarytą pažangą (254). Be to, bet kuris asmuo, kuris iš komisaro gauna bet kurį iš minėtų pranešimų (informacinį, vertinimo ar vykdymo pranešimą arba pranešimą apie nuobaudą), gali skųstis specializuotam pirmosios instancijos teismui. Jeigu specializuotas teismas mano, kad komisaro sprendimas neatitinka įstatymo arba kad informacijos komisaras turėjo kitaip pasinaudoti savo diskrecija, specializuotas teismas privalo priimti skundą arba pakeisti kitą pranešimą arba sprendimą, kurį pateikė arba priėmė informacijos komisaras (255).

(172)

Trečia, asmenys tiesiogiai teismuose gali pasinaudoti teisminėmis teisių gynimo priemonėmis prieš duomenų valdytojus ir duomenų tvarkytojus. Visų pirma pagal 2018 m. DAA 167 straipsnį duomenų subjektas gali pateikti prašymą teismui dėl jo teisių pažeidimo pagal duomenų apsaugos teisės aktus ir teismas, priimdamas nutartį, gali prašyti, kad duomenų valdytojas imtųsi bet kokių veiksmų (arba jų nesiimtų), susijusių su duomenų tvarkymu, kad laikytųsi 2018 m. DAA. Be to, pagal 2018 m. DAA 169 straipsnį bet kuris asmuo, kuris dėl duomenų teisės akte (įskaitant 2018 m. DAA 3 dalį), išskyrus Jungtinės Karalystės BDAR, nustatyto reikalavimo pažeidimo patyrė žalos, turi teisę, kad duomenų valdytojas arba duomenų tvarkytojas kompensuotų jam tą žalą, išskyrus atvejus, kai duomenų valdytojas arba duomenų tvarkytojas įrodo, kad jis bet kuriuo atveju neatsako už įvykį, dėl kurio atsirado žala. Žalą sudaro finansiniai nuostoliai ir su jais nesusijusi žala, pvz., stresas.

(173)

Galiausiai bet kuris asmuo, kuris mano, kad bet kuri valdžios institucija pažeidė jo teises, įskaitant teises į privatumą ir duomenų apsaugą, Jungtinės Karalystės teismuose pagal 1998 m. Žmogaus teisių aktą (256) gali pasinaudoti teisių gynimo priemonėmis ir, išnaudojęs visas nacionalines teisių gynimo priemones, asmuo, nevyriausybinė organizacija ir asmenų grupės Europos Žmogaus Teisių Teisme gali pasinaudoti teisių gynimo priemonėmis dėl Europos žmogaus teisių konvencijoje garantuojamų teisių pažeidimų (257) (žr. (111)konstatuojamojoje dalyje).

(174)

Asmenys nuo 2016 m. TĮA pažeidimų savo teises gali ginti specializuotame tyrimo įgaliojimų teisme. Pagal 2016 m. TĮA galimi teisių gynimo būdai aprašyti (263)–(269) konstatuojamosiose dalyse.

(175)

Pagal Jungtinės Karalystės teisinę tvarką žvalgybos tarnybos, turinčios įgaliojimus rinkti elektroninę informaciją, kurią turi duomenų valdytojai arba duomenų tvarkytojai, remdamosi nacionalinio saugumo pagrindais, situacijose, kurios atitinka tinkamumo scenarijų, yra Žvalgybos tarnyba (258) (MI5), Slaptoji žvalgybos tarnyba (259) (SIS) ir Vyriausybės ryšių būstinė (260) (GCHQ) (261).

(176)

Jungtinėje Karalystėje žvalgybos tarnybų įgaliojimai yra išdėstyti 2016 m. TĮA ir 2000 m. RIPA, kuriuose, įskaitant 2018 m. DAA, nustatyta šių įgaliojimų materialinė ir individualioji taikymo sritis bei jiems taikomi apribojimai ir apsaugos priemonės. Šie įgaliojimai, taip pat jiems taikomi apribojimai ir apsaugos priemonės išsamiai įvertinti kituose skirsniuose.

(177)

2016 m. TĮA nustatyta tyrimo įgaliojimų teisinė sistema, t. y. įgaliojimai perimti ryšio duomenis ir su jais susipažinti ir perimti įrangą. 2016 m. TĮA nustatytas bendras draudimas, o metodų, kuriais sudaromos sąlygos susipažinti su ryšių turiniu, gauti prieigą prie ryšio duomenų arba perimti įrangą be teisėto pagrindo, naudojimas laikomas nusikalstama veika (262). Taip yra todėl, kad šių tyrimo įgaliojimų naudojimas yra teisėtas tik kai vykdomas remiantis orderiu arba leidimu (263).

(178)

2016 m. TĮA nustatytos išsamios taisyklės, kuriomis reglamentuojama kiekvieno tyrimo įgaliojimų taikymo sritis ir taikymo tvarka, taip pat konkretūs jų apribojimai ir apsaugos priemonės. Priklausomai nuo tyrimo įgaliojimų (ryšių perėmimas, ryšio duomenų įgijimas ir saugojimas ir įrangos perėmimas) (264), taip pat nuo to, ar įgaliojimais naudojamasi dėl konkretaus taikinio, ar masiškai, taikomos skirtingos taisyklės. Išsami informacija apie kiekvienos 2016 m. TĮA numatytos priemonės taikymo sritį, apsaugos priemones ir apribojimus pateikta specialiuose skyriuose toliau.

(179)

Be to, 2016 m. TĮA papildo įvairūs teisės aktuose nustatyti praktikos kodeksai, kuriuos paskelbė valstybės sekretorius ir patvirtino abeji parlamento rūmai (265) ir kurie taikomi visoje šalyje. Šiuose praktikos kodeksuose pateikiamos naudojimosi šiais įgaliojimais gairės (266). Nors duomenų subjektai, norėdami pasinaudoti savo teisėmis, gali tiesiogiai remtis 2016 m. TĮA nuostatomis, 2016 m. TĮA 7 priedo 5 dalyje nurodyta, kad Praktikos kodeksai laikomi priimtinais įrodymais civilinėse ir baudžiamosiose bylose, o bendrosios kompetencijos teismas, specializuotas teismas arba priežiūros institucija, teisminio proceso metu spręsdami atitinkamą klausimą, gali atsižvelgti į tai, kad kodeksų nebuvo laikomasi (267). Vertindama ankstesnio Jungtinės Karalystės teisės aktą stebėjimo srityje – 2000 m. Tyrimo įgaliojimų reguliavimo akto – teisinę kokybę, Europos Žmogaus Teisių Teismo didžioji kolegija aiškiai pripažino Jungtinės Karalystės praktikos kodeksų svarbą ir konstatavo, kad vertinant teisės aktų, kuriais leidžiama stebėti, numatomumą galima atsižvelgti į jų nuostatas (268).

(180)

Reikia pažymėti, kad tiksliniai įgaliojimai (tikslinis perėmimas (269), ryšių duomenų gavimas (270), ryšių duomenų saugojimas (271) ir tikslinis įrangos perėmimas (272)) gali būti suteikti nacionalinio saugumo tarnyboms ir tam tikroms teisėsaugos institucijoms (273), tačiau su masiniais duomenimis susiję įgaliojimai (t. y. masinis perėmimas (274), masinis ryšio duomenų gavimas (275), masinis įrangos perėmimas (276) ir masinių asmens duomenų rinkiniai (277)) suteikiami išskirtinai žvalgybos tarnyboms.

(181)

Nuspręsdama, kuriais tyrimo įgaliojimais pasinaudoti, žvalgybos agentūra privalo laikytis 2016 m. TĮA 2 straipsnio 2 dalies a punkte išvardytų „bendrųjų su privatumu susijusių pareigų“, tarp kurių yra būtinumo ir proporcingumo patikrinimas. Konkrečiau, pagal šią nuostatą valdžios institucija, ketinanti pasinaudoti tyrimo įgaliojimais, privalo įvertinti, i) ar tai, ko siekiama orderiu, leidimu arba pranešimu, galima pasiekti kitomis, mažiau intervencinėmis priemonėmis; ii) ar apsaugos lygis, kuris turi būti taikomas bet kokiam informacijos gavimui pagal orderį, leidimą arba pranešimą, yra didesnis būtent dėl tos informacijos slaptumo; iii) viešąjį interesą, atsižvelgdama į telekomunikacijų sistemų ir pašto tarnybų vientisumą ir saugumą ir iv) bet kuriuos kitus viešojo intereso, susijusio su privatumo apsauga, aspektus (278).

(182)

Šių kriterijų taikymo būdas išsamiau apibūdintas atitinkamuose praktikos kodeksuose, o tai, kaip jų laikomasi, įvertina valstybės sekretorius ir nepriklausomi teismų komisarai, išduodami leidimą naudotis tokiais įgaliojimais. Visų pirma bet kurių iš šių tyrimo įgaliojimų naudojimas visada turi būti „proporcingas siekiamam tikslui, kurį nustatant derinamas privatumo (iki kitų 2 straipsnio 2 dalyje išvardytų aspektų) ribojimo mastas ir poreikis imtis veiksmų atsižvelgiant į tyrimo, operatyvinius ar pajėgumų aspektus“. Tai visų pirma reiškia, kad tokiu atveju „turėtų būti numatoma reali galimybė gauti tikėtiną naudą, kuri neturėtų būti neproporcinga arba savavališka“ ir „[j]oks privatumo apribojimas neturėtų būti laikomas proporcingu, jeigu informaciją, kurią norima gauti, galima gauti mažiau intervencinėmis priemonėmis“ (279). Konkrečiau, proporcingumo principo laikymasis turi būti vertinamas atsižvelgiant į šiuos kriterijus: „i) siūlomo privatumo ribojimo mastas, palyginti su siekiamu tikslu; ii) kaip ir kodėl patvirtintini metodai padės užtikrinti kuo mažesnį kišimąsi į asmens ir kitų reikalus; iii) ar vykdant veiklą tinkamai naudojamasi ir protingai naudojamasi aktu, atsižvelgiant į visas pagrįstas alternatyvas, susijusias su siektinu tikslu; iv) kokie kiti metodai, kai tinkama, buvo neįgyvendinti arba buvo naudojami, tačiau yra vertinami kaip nepakankami, siekiant įgyvendinti operatyvinius uždavinius nenaudojant siūlomų tyrimo įgaliojimų“ (280).

(183)

Kaip paaiškino Jungtinės Karalystės institucijos, taip praktiškai užtikrinama, kad žvalgybos tarnyba, pirma, nustatytų operatyvinį tikslą (taip nustatydama duomenų rinkimo ribas, pvz., tarptautinės kovos su terorizmu tikslo siekiama konkrečioje geografinėje teritorijoje), ir, antra, remdamasi operatyviniu tikslu, žvalgybos agentūra turės įvertinti, kuri techninė galimybė (pvz., tikslinis arba masinis perėmimas, įrangos perėmimas, ryšio duomenų gavimas) yra tinkamiausia (t. y. mažiausiai pažeidžianti privatumą, plg. TĮA 2 straipsnio 2 dalį), atsižvelgiant į siekiamą tikslą, todėl jis yra leistinas, remiantis vienu iš teisės aktuose nustatytų pagrindų.

(184)

Verta pažymėti, kad į šį rėmimąsi būtinumo ir proporcingumo standartais dėmesį taip pat atkreipė ir jį teigiamai įvertino Jungtinių Tautų specialusis pranešėjas teisės į privatumą klausimais Josephas Cannataci, kuris dėl 2016 m. TĮA nustatytos sistemos nurodė, kad „atrodo, jog pagal žvalgybos tarnybose ir teisėsaugos institucijose galiojančias procedūras sistemiškai reikalaujama atsižvelgti į stebėjimo priemonės arba operacijos būtinumą ir proporcingumą ir tik tuomet teikti rekomendaciją dėl leidimo, taip pat ją peržiūrėti tais pačiais pagrindais“ (281). Jis taip pat pažymėjo, kad, susitikęs su teisėsaugos ir nacionalinių saugumo agentūrų atstovais, „[jis] sulaukė pritarimo dėl to, kad teisė į privatumą yra svarbiausia aplinkybė, į kurią reikia atsižvelgti priimant bet kokį sprendimą dėl stebėjimo priemonių. Visi suprato ir pripažino, kad būtinumas ir proporcingumas yra pagrindiniai principai, į kuriuos reikia atsižvelgti“.

(185)

Konkretūs įvairių orderių priėmimo kriterijai, taip pat 2016 m. TĮA nustatyti apribojimai ir apsaugos priemonės dėl kiekvieno tyrimo įgaliojimo išsamiai aprašyti (186)–(243) konstatuojamosiose dalyse.

(186)

Tikslinio perėmimo orderiai būna trijų rūšių: tikslinio perėmimo orderis (282), tikslinio tyrimo orderis ir savitarpio pagalbos orderis (283). Šių orderių gavimo sąlygos ir atitinkamos apsaugos priemonės išdėstytos 2016 m. TĮA 1 skyriaus 2 dalyje.

(187)

Pagal tikslinio perėmimo orderį leidžiama perimti orderyje aprašytus ryšius juos perduodant ir gaunant kitus duomenis, susijusius su tais ryšiais (284), įskaitant antrinius duomenis (285). Pagal tikslinio tyrimo orderį asmeniui leidžiama atrinkti tirti perimtą turinį, kuris buvo gautas remiantis masinio perėmimo orderiu (286).

(188)

Valstybės sekretorius gali priimti bet kurį orderį pagal 2016 m. TĮA 2 dalį (287), kurį patvirtina teismo komisaras (288). Visais atvejais bet kurios rūšies tikslinio orderio galiojimo trukmė yra šeši mėnesiai (289) ir orderio pakeitimui (290) ir galiojimo pratęsimui (291) taikomos konkrečios taisyklės.

(189)

Prieš išduodamas orderį, valstybės sekretorius privalo atlikti būtinumo ir proporcingumo vertinimą (292). Konkrečiau, tikslinio perėmimo orderio ir tikslinio tyrimo orderio atveju valstybės sekretorius turėtų patikrinti, ar priemonė yra būtina atsižvelgiant į vieną iš šių pagrindų: nacionalinio saugumo interesą; nusikaltimų prevencija arba išaiškinimą arba Jungtinės Karalystės ekonominės gerovės interesus (293) tiek, kiek jie taip pat yra svarbūs nacionalinio saugumo interesams (294). Kita vertus, savitarpio pagalbos orderis (žr. (139) above konstatuojamąją dalį) gali būti išduodamas tik jeigu valstybės sekretorius mano, kad esama aplinkybių, kurios yra lygiavertės aplinkybėms, kuriomis jis būtų išdavęs orderį, siekdamas užkirsti kelią sunkiam nusikaltimui arba jį nustatyti (295).

(190)

Be to, valstybės sekretorius turėtų įvertinti, ar priemonė proporcinga atsižvelgiant į tai, ko ja siekiama (296). Vertinant prašomų priemonių proporcingumą, būtina atsižvelgti į bendrąsias privatumo pareigas, nustatytas 2016 m. TĮA 2 straipsnio 2 dalyje, visų pirma į poreikį įvertinti, ar tai, ko siekiama orderiu, leidimu arba pranešimu, būtų galima pagrįstai pasiekti kitomis, mažiau intervencinėmis priemonėmis, ir ar apsaugos lygis, taikomas bet kuriuo būdu gaunant informaciją pagal orderį, yra didesnis dėl konkretaus tos informacijos slaptumo (žr. (181) konstatuojamąją dalį).

(191)

Šiuo tikslu valstybės sekretorius turės atsižvelgti į visus prašančiosios institucijos pateikto prašymo aspektus, visų pirma susijusius su asmenimis, kurių duomenys perimami, ir priemonės reikšme tyrimui. Tokie aspektai išvardyti Ryšių perėmimo praktikos kodekse ir jų aprašymas turi atitikti tam tikrą konkretumo lygį (297). Be to, 2016 m. TĮA 17 straipsnyje reikalaujama, kad bet kokiame pagal 2 skyrių išduotame orderyje turi būti nurodytas arba apibūdintas konkretus asmuo arba asmenų grupė, organizacija arba perimtinos patalpos („taikinys“). Tikslinio perėmimo orderis arba tikslinio tyrimo orderis taip pat gali būti susiję su asmenų grupėmis, daugiau nei vienu asmeniu arba organizacija, arba daugiau nei viena patalpa (taip pat vadinami teminiais orderiais) (298). Šiais atvejais orderyje taip pat turėtų būti aprašytas bendras tikslas arba veikla, kurią bendrai vykdo asmenų grupė arba operacija / tyrimai ir įvardijama arba apibūdinama kuo daugiau tų asmenų / organizacijų arba patalpų, kai tai praktiškai įmanoma (299). Galiausiai visuose pagal 2016 m. TĮA 2 dalį išduotuose orderiuose turi būti nurodyti adresai, numeriai, aparatūra, veiksniai arba veiksnių derinys, kurie turi būti naudojami nustatant ryšius (300). Šiuo atžvilgiu Ryšių perėmimo praktikos kodekse nustatyta, kad tikslinio perėmimo orderio ir tikslinio tyrimo orderio atveju „orderyje turi būti nurodyti (arba aprašyti) veiksniai arba veiksnių deriniai, kurie turi būti naudojami nustatant ryšių tapatybę. Jeigu ryšiai turi būti nustatomi pateikiant telefono numerį, jame, pvz., turi būti nurodomi visi skaičiai. Tačiau tais atvejais, kai ryšio tapatybei identifikuoti turi būti naudojami labai sudėtingi arba nuolat kintantys internetiniai selektoriai, tie selektoriai turėtų būti kuo išsamiau aprašyti“ (301).

(192)

Šiomis aplinkybėmis svarbi apsaugos priemonė yra ta, kad valstybės sekretoriaus atliekamą vertinimą siekiant išduoti orderį turi patvirtinti nepriklausomas teismo komisaras (302), kuris visų pirma patikrins, ar sprendimas išduoti orderį atitinka būtinumo ir proporcingumo principus (303) (dėl teismo komisarų statuso ir vaidmens žr. (251)–(256) below konstatuojamąsias dalis). 2016 m. TĮA taip pat paaiškinta, kad, atlikdamas tokį patikrinimą, teismo komisaras privalo taikyti tuos pačius principus, kuriuos teismas taikytų atlikdamas teisminę peržiūrą (304). Taip užtikrinama, kad kiekvienu atveju ir prieš susipažįstant su duomenimis nepriklausoma įstaiga sistemiškai patikrintų būtinumo ir proporcingumo principų laikymąsi.

(193)

2016 m. TĮA numatytos kelios konkrečios ir siauros išimtys, kai tikslinį informacijos perėmimą galima vykdyti be orderio. Šie išimtiniai atvejai išsamiai aprašyti teisės aktuose (305) ir, išskyrus atvejus, kai gautas siuntėjo (gavėjo) sutikimas, juos atlieka asmenys (privačios arba viešosios įstaigos), kurie nėra nacionalinės saugumo agentūros. Be to, tokio tipo informacijos perėmimas vykdomas kitais, ne žvalgybos, tikslais (306) ir kai kuriais iš jų atveju labai mažai tikėtina, kad duomenys gali būti renkami pagal perdavimo scenarijų (pavyzdžiui, perėmimo psichiatrijos ligoninėje arba kalėjime atveju). Atsižvelgiant į įstaigos, kuri taiko šias konkrečias išimtis (jei ji nėra nacionalinė saugumo agentūra), pobūdį, taikomos visos 2018 m. DAA 2 dalyje ir Jungtinės Karalystės BDAR numatytos apsaugos priemonės, įskaitant Informacijos komisaro vykdomą priežiūrą ir visus esamus teisių gynimo mechanizmus. Be to, tam tikrais atvejais, be 2018 m. DAA numatytų apsaugos priemonių, 2016 m. TĮA taip pat numatyta Tyrimų įgaliojimų komisaro biuro ex post priežiūra (307).

(194)

Kai vykdomas informacijos perėmimas, taikomi papildomi apribojimai ir apsaugos priemonės, atsižvelgiant į konkretų asmens (-ų), kurio (-ių) atžvilgiu vykdomas perėmimas, statusą (308). Teisę perimti daiktus, kuriems taikoma teisinė paslaptis, leidžiama tik esant išimtinėms ir įtikinamoms aplinkybėms: orderį išduodantis asmuo turi atsižvelgti į viešąjį interesą, susijusį su objektų, kuriems taikoma teisinė paslaptis, konfidencialumu ir į tai, kad yra nustatyti konkretūs tokios medžiagos tvarkymo, saugojimo ir atskleidimo reikalavimai (309).

(195)

Be to, 2016 m. TĮA numatytos konkrečios apsaugos priemonės, susijusios su saugumu, saugojimu ir informacijos atskleidimu, į kurias valstybės sekretorius turėtų atsižvelgti prieš išduodamas tikslinį orderį (310). Visų pirma 2016 m. TĮA 53 straipsnio 5 dalyje reikalaujama, kad kiekviena bet kurios tos medžiagos, surinktos remiantis orderiu, kopija būtų saugoma saugiai ir sunaikinama kuo greičiau, kai nebelieka jos saugojimą pateisinančių pagrindų, o 2016 m. TĮA 53 straipsnio 2 dalyje reikalaujama, kad asmenų, kuriems atskleidžiama medžiaga, skaičius ir mastas, kuriuo atskleidžiama bet kokia medžiaga, būtų prieinama arba kopijuojama tik tiek, kiek tai yra būtina teisės aktuose nustatytais tikslais.

(196)

Galiausiai tais atvejais, kai medžiaga, perimta remiantis tikslinio perėmimo orderiu arba savitarpio pagalbos orderiu, turi būti perduota trečiajai valstybei („informacijos atskleidimas užsienyje“), 2016 m. TĮA nustatyta, kad valstybės sekretorius privalo užtikrinti, kad būtų nustatytos tinkamos priemonės, siekiant užtikrinti, kad toje trečiojoje šalyje būtų panašios informacijos saugumo, saugojimo ir atskleidimo priemonės (311). Be to, 2018 m. DAA 109 straipsnio 2 dalyje nustatyta, kad asmens duomenis žvalgybos tarnybos gali perduoti už Jungtinės Karalystės teritorijos ribų tik tuomet, kai tai būtina arba proporcinga duomenų valdytojui siekiant įvykdyti teisės akte nustatytas funkcijas arba kitais 1989 m. Saugumo tarnybų akto 2 straipsnio 2 dalies a punkte arba 1994 m. Žvalgybos tarnybų akto 2 straipsnio 2 dalies a punkte ir 4 straipsnio 2 dalies a punkte nustatytais tikslais (312). Svarbu pažymėti, kad šie reikalavimai galioja ir tais atvejais, kai taikoma nacionalinio saugumo išimtis pagal 2018 m. DAA 110 straipsnį, nes 2018 m. DAI 110 straipsnyje šio akto 109 straipsnis nenurodytas kaip viena iš nuostatų, kurios gali būti netaikomos, jei nacionalinio saugumo užtikrinimo tikslais reikia išimties tvarka netaikyti tam tikrų nuostatų.

(197)

Pagal 2016 m. TĮA valstybės sekretoriui leidžiama reikalauti, kad telekomunikacijų operatoriai saugotų ryšio duomenis, kad su jais tikslingai galėtų susipažinti įvairios valdžios institucijos, įskaitant teisėsaugos ir žvalgybos agentūras. 2016 m. TĮA 4 dalyje numatyta ryšio duomenų saugojimo tvarka, o 3 dalyje numatyta galimybė tikslingai perimti ryšio duomenis. 2016 m. TĮA 3 ir 4 dalyse taip pat nustatyti konkretūs šių įgaliojimų naudojimo apribojimai ir numatytos konkrečios apsaugos priemonės.

(198)

Sąvoka „ryšio duomenys“ reiškia „kas“, „kada“, „kur“ ir „kaip“ siuntė ryšius, o ne turinį, t. y. kas buvo pasakyta arba užrašyta. Kitaip nei perėmimo atveju, gaunant ir saugant ryšio duomenis siekiama ne gauti ryšio turinį, bet informaciją, tokią kaip telefono paslaugų abonentas arba išsami sąskaita. Tai galėtų būti ryšio laikas ir trukmė, siuntėjo ir gavėjo numeris arba e. pašto adresas ir kartais prietaisų, kuriuos naudojant buvo siunčiamas telekomunikacinis ryšys, buvimo vieta (313).

(199)

Reikėtų pažymėti, kad ryšių duomenų saugojimas ir rinkimas paprastai nėra susijęs su ES duomenų subjektų asmens duomenimis, pagal šį sprendimą perduotais į Jungtinę Karalystę. Pareiga saugoti arba atskleisti ryšio duomenis pagal 2016 m. TĮA 3 ir 4 dalis taikoma duomenims, kuriuos Jungtinės Karalystės telekomunikacijų operatoriai tiesiogiai surinko iš telekomunikacijų paslaugų naudotojų (314). Šios rūšies bendravimas su klientais tvarkant jų duomenis paprastai nėra susijęs su perdavimu, remiantis šiuo sprendimu, t. y. perdavimas iš ES duomenų valdytojo / tvarkytojo, Jungtinės Karalystės duomenų valdytojui / tvarkytojui.

(200)

Tačiau siekiant išsamumo, sąlygos ir apsaugos priemonės, kuriomis reglamentuojama ši gavimo ir saugojimo tvarka, aptartos tolesnėse konstatuojamosiose dalyse.

(201)

Reikia pažymėti, kad ryšių duomenų saugojimą ir tikslinį gavimą gali vykdyti tiek nacionalinės saugumo tarnybos, tiek tam tikros teisėsaugos institucijos (315). Sąlygos, kuriomis pagrindžiamas poreikis saugoti ir (arba) gauti ryšių duomenis, gali skirtis priklausomai nuo prašymo taikyti priemonę pagrindo, t. y. nacionalinio saugumo ar teisėsaugos tikslo.

(202)

Visų pirma, nors pagal naująją tvarką nustatytas bendras reikalavimas gauti nepriklausomos įstaigos ex ante leidimą, kuris bus taikomas visais atvejais, kai ryšių duomenys saugomi ir (arba) gaunami (teisėsaugos arba nacionalinio saugumo tikslais), remiantis Europos Teisingumo Teismo sprendimu Tele2/Watson (316) buvo nustatytos specialios apsaugos priemonės, privalomos prašant taikyti šią priemonę teisėsaugos tikslais. Svarbu pažymėti, kad tais atvejais, kai ryšių duomenų saugojimo arba gavimo prašoma teisėsaugos tikslais, ex ante leidimą visada turi išduoti tyrimo įgaliojimų komisaras. Taip yra ne visada, jei priemonės prašoma nacionalinio saugumo tikslais, nes, kaip aprašyta toliau, tam tikrais atvejais tokios rūšies priemones gali leisti taikyti kitas „leidimą išduodantis asmuo“. Be to, pagal naująją tvarką pakelta riba, nuo kurios gali būti leidžiama saugoti ir gauti ryšių duomenis – tai „sunkūs nusikaltimai“ (317).

(203)

Pagal 2016 m. TĮA 3 dalį atitinkamos valdžios institucijos turi įgaliojimus gauti ryšio duomenis iš telekomunikacijų operatoriaus arba bet kurio asmens, galinčio gauti ir atskleisti tokius duomenis. Pagal leidimą gali būti neleidžiama perimti ryšių turinio (318) ir jis nustoja galioti pasibaigus vieno mėnesio terminui (319), įskaitant galimybę pratęsti galiojimo terminą išduodant papildomą leidimą (320). Norint gauti ryšių duomenis, reikalingas Tyrimo įgaliojimų komisaro leidimas (321) (dėl Tyrimo įgaliojimų komisaro (IPC) statuso ir įgaliojimų žr. (250)–(251) konstatuojamąsias dalis). Taip taikoma visais atvejais, kai atitinkama teisėsaugos institucija paprašo gauti ryšių duomenis. Tačiau 2016 m. TĮA 61 straipsnyje nustatyta, kad tais atvejais, kai duomenys gaunami atsižvelgiant į nacionalinio saugumo arba Jungtinės Karalystės ekonominės gerovės interesus, ir jeigu jie yra svarbūs nacionaliniam saugumui arba kai prašymą pateikia žvalgybos agentūros narys pagal 61 straipsnio 7 dalies b punktą (322), leidimą gauti duomenis taip pat gali išduoti (323) Tyrimo įgaliojimų komisaras arba paskirtasis vyresnysis pareigūnas (324). Paskirtasis pareigūnas turi būti nepriklausomas nuo atitinkamo tyrimo ar operacijos ir turėti praktinių žinių apie žmogaus teisių principus ir teisės aktus, kuriais visų pirma reglamentuojamas būtinumas ir proporcingumas (325). Paskirtojo pareigūno priimto sprendimo atžvilgiu vykdoma Tyrimo įgaliojimų komisaro ex post priežiūra (daugiau informacijos apie Tyrimo įgaliojimų komisaro ex post priežiūros funkcijas pateikta (254) below konstatuojamojoje dalyje).

(204)

Leidimas gauti ryšio duomenis yra grindžiamas priemonės būtinumo ir proporcingumo vertinimu. Konkrečiau kalbant, priemonės būtinumas vertinamas atsižvelgiant į teisės aktuose išvardytus pagrindus (326). Atsižvelgiant į šios priemonės tikslinį pobūdį, ji taip pat turi būti reikalinga konkrečiam tyrimui ar operacijai (327). Kiti reikalavimai dėl priemonių būtinumo vertinimo nustatyti Ryšių duomenų praktikos kodekse (328). Šiame kodekse visų pirma nustatyta, kad prašančiosios institucijos pateiktame prašyme turėtų būti nustatyti trys būtiniausi elementai, kuriais pagrindžiamas tokio prašymo būtinumas: i) tiriamas įvykis, pvz., nusikaltimas arba pažeidžiamo dingusio asmens buvimo vieta; ii) asmuo, kurio duomenis siekiama gauti, pvz., įtariamasis, liudytojas arba dingęs asmuo, ir informacija apie tai, kaip jie yra susiję su įvykiu; ir iii) ryšio duomenys, kuriuos siekiama gauti, pvz., telefono numeris arba IP adresas, ir informacija apie tai, kaip šie duomenys yra susiję su asmeniu ir įvykiu (329).

(205)

Be to, ryšio duomenų gavimas turi būti proporcingas atsižvelgiant į tai, ko juo siekiama (330). Ryšio duomenų praktikos kodekse paaiškinama, kad leidimą išduodantis asmuo, atlikdamas tokį vertinimą, turėtų stengtis suderinti „asmens teisių ir laisvių ribojimą su konkrečia tyrimo arba operacijos, kurią viešojo intereso labui vykdo atitinkama valdžios institucija, nauda“ ir kad, atsižvelgiant į visas konkrečios bylos aplinkybes, „asmens teisių ribojimas vis tiek negali būti pateisinamas dėl per didelio neigiamo poveikio kito asmens arba asmenų grupės teisėms“. Be to, siekiant konkrečiai įvertinti priemonės proporcingumą, kodekse išvardijami įvairūs aspektai, kuriuos savo prašyme turėtų aptarti prašančioji institucija (331). Be to, reikia labai atkreipti dėmesį į gautinų ryšių duomenų rūšį (ar tai duomenys apie subjektą, ar įvykį (332)); pirmenybė turi būti teikiama mažiau intervencinės kategorijos duomenų naudojimui (333). Ryšio duomenų praktikos kodekse taip pat pateikta konkrečių nurodymų dėl leidimų, susijusių su konkrečių profesijų (pvz., gydytojų, advokatų, žurnalistų, parlamento narių arba dvasininkų) (334) asmenų ryšio duomenimis, kuriems taikomos papildomos apsaugos priemonės (335).

(206)

2016 m. TĮA 4 dalyje nustatytos ryšio duomenų saugojimo taisyklės, visų pirma kriterijai, kuriais remiantis valstybės sekretoriui leidžiama paskelbti pranešimą apie duomenų saugojimą (336). TĮA nustatytos apsaugos priemonės taikomos saugant duomenis tiek teisėsaugos, tiek nacionalinio saugumo tikslais.

(207)

Išduodant tokius pranešimus apie duomenų saugojimą siekiama užtikrinti, kad telekomunikacijų operatoriai ne ilgiau nei 12 mėnesių saugotų atitinkamus ryšio duomenis, kurie kitu atveju būtų ištrinti po to, kai tampa nereikalingi veiklos tikslais (337). Su saugomais duomenimis galima susipažinti reikalaujamą laikotarpį, jeigu jie paskui tampa reikalingi valdžios institucijai, remiantis leidimu dėl tikslinio ryšio duomenų gavimo, kaip numatyta 2016 m. TĮA 3 dalyje ir aprašyta (203)–(205) konstatuojamosiose dalyse.

(208)

Įgaliojimams reikalauti saugoti tam tikrus duomenis taikomi įvairūs apribojimai ir apsaugos priemonės. Valstybės sekretorius pranešimą apie duomenų saugojimą vienam ar keliams operatoriams (338) gali išduoti tik tais atvejais, kai mano, kad reikalavimas saugoti duomenis yra būtinas, remiantis vienu iš teisės aktuose nustatytų pagrindų (339), ir jis yra proporcingas siekiamam tikslui (340). Kaip paaiškinta pačiame 2016 m. TĮA (341), prieš įteikdamas pranešimą apie duomenų saugojimą, valstybės sekretorius privalo atsižvelgti į: tikėtiną pranešimo naudą (342); telekomunikacijų paslaugų aprašymą; saugotinų duomenų ribojimo tinkamumą nurodant vietą arba apibūdinant asmenis, kuriems teikiamos telekomunikacijų paslaugos (343); tikėtiną bet kokių telekomunikacijų paslaugos naudotojų (jei žinomi), su kuriais yra susijęs pranešimas, skaičių (344); technines galimybes laikytis pranešimo; tikėtinas pranešimo laikymosi išlaidas ir bet kurį kitą pranešimo poveikį telekomunikacijų operatoriui (arba operatorių aprašymą), su kuriuo jis yra susijęs (345). Kaip išsamiau aprašyta Ryšio duomenų praktikos kodekso 17 skyriuje, visuose pranešimuose dėl duomenų saugojimo turi būti nurodyta kiekviena duomenų, kuriuos reikia saugoti, rūšis ir tai, kaip ta duomenų rūšis dera su saugojimo būtinumo patikrinimais.

(209)

Visais atvejais (tiek nacionalinio saugumo, tiek teisėsaugos tikslais) Valstybės sekretoriaus sprendimą paskelbti pranešimą apie duomenų saugojimą turi patvirtinti nepriklausomas teismo komisaras pagal vadinamąją dvigubo patvirtinimo procedūrą: jis visų pirma turi patikrinti, ar nurodymas saugoti atitinkamus ryšių duomenis yra būtinas ir proporcingas vienam ar keliems teisės aktuose nustatytiems tikslams (346).

(210)

Įrangos perėmimas – tai tam tikri metodai, naudojami siekiant gauti įvairius duomenis iš įrangos (347), įskaitant kompiuterius, planšetinius kompiuterius ir išmaniuosius telefonus, taip pat kabelius, laidus ir kaupiklius (348). Įrangos perėmimas sudaro sąlygas gauti ryšio ir įrangos turinio duomenis (349).

(211)

Pagal 2016 m. TĮA 13 straipsnio 1 dalį tam, kad žvalgybos tarnyba galėtų perimti įrangą, reikalingas pagal „dvigubo patvirtinimo“ procedūrą, nustatytą 2016 m. TĮA, išduotas orderis, ir jeigu yra „ryšys su Didžiosios Britanijos salomis“ (350). Remiantis Jungtinės Karalystės institucijų pateiktais paaiškinimais, tais atvejais, kai duomenys perduodami iš Europos Sąjungos Jungtinei Karalystei pagal šį sprendimą, „ryšys su Didžiosios Britanijos salomis“ visada bus, todėl bet koks įrangos perėmimas, susijęs su tokiais duomenimis, turės būti atliekamas laikantis privalomo orderio reikalavimo, nustatyto 2016 m. TĮA 13 straipsnio 1 dalyje (351).

(212)

Taisyklės dėl tikslinio įrangos perėmimo išdėstytos 2016 m. TĮA 5 dalyje. Panašiai, kaip ir tikslinis perėmimas, tikslinis įrangos perėmimas turi būti susijęs su konkrečiu „taikiniu“, kuris turi būti apibūdintas orderyje (352). Išsami informacija apie tai, kaip turi būti nustatomas „taikinys“, priklauso nuo dalyko ir perimamos įrangos rūšies.. TĮA 115 straipsnio 3 dalyje nurodyta informacija, kuri turi būti pateikta orderyje (pvz., asmens vardas ir pavardė arba organizacijos pavadinimas, vietos aprašymas), priklausomai, pvz., nuo to, ar perėmimas yra susijęs su įranga, kuri priklauso konkrečiam asmeniui, organizacijai arba grupei asmenų, yra jo naudojama ar disponuojama konkrečioje vietoje ir pan. (353). Tikslas, kuriuo remiantis galima išduoti tikslinio įrangos perėmimo orderius, priklauso nuo jį prašančios išduoti valdžios institucijos (354).

(213)

Panašiai, kaip ir tikslinio perėmimo atveju, išduodančioji institucija turi išnagrinėti, ar priemonė yra būtina siekiant konkretaus tikslo ir ar ji yra proporcinga siekiamam tikslui (355). Be to, taip pat reikėtų atsižvelgti į tai, ar esama informacijos saugumą, saugojimą ir atskleidimą užtikrinančių priemonių, įskaitant „atskleidimo užsienyje“ atvejus (356) (žr. (196) konstatuojamąją dalį).

(214)

Orderį turi patvirtinti teismo komisaras, išskyrus skubius atvejus (357). Pastaruoju atveju teismo komisarą reikia informuoti apie išduotą orderį ir jį privaloma patvirtinti per tris darbo dienas. Jeigu teismo komisaras atsisako jį patvirtinti, orderis nustoja galioti ir negali būti atnaujintas (358). Be to, teismo komisaras turi teisę reikalauti, kad visi pagal orderį gauti duomenys būtų ištrinti (359). Tai, kad orderis buvo išduotas skubos tvarka, nereiškia, kad jam netaikoma ex post priežiūra (žr. (244)–(255)konstatuojamąsias dalis) ar tai, kad jis negali būti asmens apskųstas teisme (žr. (260)–(270)konstatuojamąsias dalis). Asmenys gali pateikti skundą ICO arba dėl bet kokio įtariamo elgesio įprasta tvarka kreiptis į Tyrimo įgaliojimų teismą. Visais atvejais komisaras atlieka būtinumo ir proporcingumo patikrinimą, taikytiną tikslinio perėmimo prašymų atvejais (360) (žr. (192) konstatuojamąją dalį).

(215)

Galiausiai konkrečios apsaugos priemonės, taikomos tiksliniam perėmimui, taip pat galioja įrangos perėmimui, atsižvelgiant į orderio galiojimo trukmę, pratęsimus ir pakeitimus, taip pat į parlamento narių pasiklausymą, daiktų, kuriems taikoma teisinė privilegija, ir žurnalistų medžiagos perėmimą (žr. išsamesnę informaciją 193 konstatuojamojoje dalyje).

(216)

Masiniai įgaliojimai reglamentuojami 2016 m. TĮA 6 dalyje. Be to, praktikos kodeksuose pateikta išsamesnė informacija apie masinių įgaliojimų naudojimą. Nors Jungtinės Karalystės teisėje sąvoka „masiniai įgaliojimai“ neapibrėžta, 2016 m. TĮA jie apibūdinti kaip didelio kiekio duomenų, kuriuos įvairiomis priemonėmis gavo vyriausybė, rinkimas ir saugojimas (t. y. masinio perėmimo įgaliojimai, masinis gavimas, masinis įrangos perėmimas ir masinių asmens duomenų rinkiniai), su kuriais paskui gali susipažinti institucijos. Šis apibūdinimas patikslinamas paaiškinant, kas nelaikoma „masiniais įgaliojimais“: tai nėra vadinamasis masinis sekimas nenustačius apribojimų ar apsaugos priemonių. Priešingai, kaip paaiškinta toliau, masiniai įgaliojimai apima apribojimus ir apsaugos priemones, skirtas užtikrinti, kad prieiga prie duomenų nebūtų suteikta be atrankos arba nepagrįstai (361). Visų pirma masiniai įgaliojimai gali būti naudojami, jeigu nustatomas techninės priemonės, kurią ketina naudoti nacionalinė žvalgybos agentūra, ir veiklos tikslo, kuriam prašoma taikyti tokią priemonę, ryšys.

(217)

Be to, žvalgybos tarnybos masiniais įgaliojimais gali pasinaudoti tik gavusios valstybės sekretoriaus išduotą ir teismo komisaro patvirtintą orderį. Pasirenkant priemones žvalgybos duomenims rinkti, būtina atsižvelgti į tai, ar atitinkamą tikslą galima pasiekti „mažiau intervencinėmis priemonėmis“ (362). Šis požiūris grindžiamas teisės aktų sistema, kurios pagrindą sudaro proporcingumo principas, todėl pirmenybė teikiama tiksliniam, o ne masiniam duomenų rinkimui.

(218)

Masinio perėmimo tvarka nustatyta 2016 m. TĮA 1 skyriaus 6 dalyje, o tos pačios dalies 3 skyriuje reglamentuojama masinio įrangos perėmimo tvarka. Abi šios tvarkos rūšys iš esmės yra vienodos, todėl tiems orderiams taikomos sąlygos ir papildomos apsaugos priemonės bus analizuojamos kartu.

(219)

Masinio perėmimo orderis apima tik ryšių perėmimą tuo metu, kai juos perdavimo metu siunčia arba gauna už Didžiosios Britanijos salų esantys asmenys (363), vadinamieji ryšiai užjūrio teritorijoje (364), taip pat kitus susijusius duomenis ir paskesnę perimtos medžiagos atranką ir nagrinėjimą (365). Pagal masinio įrangos perėmimo orderį (366) adresatui leidžiama saugiai perimti bet kokią įrangą, siekiant pasiklausyti užjūrio ryšių (įskaitant bet kokius ryšius, kuriuose kalbama, skamba muzika, garsai, pateikiami vaizdai arba užšifruoti duomenys), įrangos duomenis (duomenis, kurie sudaro sąlygas arba palengvina pašto tarnybos darbą, telekomunikacijos sistemos veikimą, telekomunikacijų paslaugų teikimą) arba bet kurią kitą informaciją (367).

(220)

Valstybės sekretorius gali išduoti masinį orderį tik dėl paraiškos, kurią pateikė žvalgybos tarnybos vadovas (368). Orderis, kuriuo leidžiamas masinis perėmimas arba masinis įrangos perėmimas, gali būti išduodamas tik jeigu tai būtina atsižvelgiant į nacionalinio saugumo interesą ir siekiant užkirsti kelią sunkiam nusikaltimui arba jį nustatyti, arba atsižvelgiant į Jungtinės Karalystės ekonominės gerovės interesus, kai tai yra susiję su nacionaliniu saugumu (369). Be to, pagal 2016 m. TĮA 142 straipsnio 7 dalį reikalaujama, kad masinio perėmimo orderyje būtų pateikta išsamesnė informacija, užuot pateikus paprasčiausią nuorodą į „nacionalinio saugumo interesus“, „Jungtinės Karalystės ekonominę gerovę“ ir sunkių nusikaltimų prevenciją ir nustatymą“. Vis dėlto, turi būti nustatytas ryšys tarp prašomos priemonės ir vieno arba kelių operatyvinių tikslų, kurie turi būti nurodyti orderyje.

(221)

Operatyvinio tikslo pasirinkimas yra daugiasluoksnio proceso rezultatas. 142 straipsnio 4 dalyje nustatyta, kad orderyje nurodyti operatyviniai tikslai turi būti įtraukti į žvalgybos tarnybų vadovų tvarkomą sąrašą, nes tikslai, kuriais jie pagrįsti, yra operatyviniai tikslai, kurių siekiant perimtas turinys arba antriniai duomenys, gauti remiantis masinio perėmimo orderiais, gali būti atrinkti tyrimui atlikti. Operatyvinių tikslų sąrašą turi patvirtinti valstybės sekretorius. Valstybės sekretorius tokį patvirtinimą gali duoti tik jei įsitikina, kad operatyvinis tikslas yra apibūdintas išsamiau, palyginti su bendraisiais orderį pateisinančiais pagrindais (nacionalinis saugumas arba nacionalinis saugumas ir ekonominė gerovė arba sunkių nusikaltimų prevencija) (370). Kiekvieno atitinkamo trijų mėnesių laikotarpio pabaigoje valstybės sekretorius privalo pateikti parlamento žvalgybų tarnybų komitetui operatyvinių tikslų sąrašą. Galiausiai operatyvinių tikslų sąrašą ne rečiau kaip kartą per metus privalo peržiūrėti ministras pirmininkas (371). Kaip pažymėjo Aukštasis teismas „jų nereikėtų sumenkinti iki nereikšmingų apsaugos priemonių, nes jie kartu sudaro sudėtingą atskaitomybės modelį, kuriame aukščiausiu lygmeniu dalyvauja parlamentas ir vyriausybės nariai“ (372).

(222)

Tokiais operatyviniais tikslais taip pat ribojamas nagrinėjimo etape perimamos medžiagos atrankos mastas. Bet kurios remiantis masiniu orderiu surinktos medžiagos atranka tyrimui atlikti turi būti pagrįsta atsižvelgiant į operatyvinį (-ius) tikslą (-us). Kaip paaiškino Jungtinės Karalystės institucijos, tai reiškia, kad praktines tyrimo taisykles valstybės sekretorius privalo įvertinti jau orderio išdavimo etape, pateikdamas pakankamai informacijos, kad būtų įvykdytos 2016 m. TĮA 152–193 straipsniuose nustatytos pareigos (373). Valstybės sekretoriui pateikiama išsami informacija apie tas taisykles turėtų apimti, pvz., informaciją (jei taikytina) apie tai, kaip filtravimo taisyklės gali keistis orderio galiojimo metu (374). Daugiau informacijos apie procesą ir apsaugos priemones, taikomas filtravimo ir nagrinėjimo etapais, žr. (229) below konstatuojamąją dalį.

(223)

Masinius įgaliojimus galima leisti naudoti tik jeigu jie yra proporcingi siekiamam tikslui (375). Kaip nurodyta Perėmimo praktikos kodekse, atliekant bet kurį proporcingumo vertinimą, reikia „suderinti privatumo ribojimo mastą (ir kitus 2 straipsnio 2 dalyje išvardytus aspektus) su poreikiu imtis veiklos atsižvelgiant į tyrimą, operacijas ar pajėgumus. Veiksmais, kuriuos leista atlikti, turėtų būti suteiktos realios galimybės gauti tikėtiną naudą ir jie neturėtų būti neproporcingi arba savavališki“ (376). Kaip minėta, tai praktiškai reiškia, kad proporcingumo patikrinimas yra grindžiamas pusiausvyros tarp siekiamo tikslo („operatyvinis (-iai) tikslas (-ai)“) ir turimų techninių galimybių (pvz., tikslinis arba masinis perėmimas, įrangos perėmimas, ryšio duomenų gavimas) nustatymu, pirmenybę teikiant mažiausiai intervencinėmis priemonėms (žr. (181) ir (182) above konstatuojamąsias dalis). Jeigu tikslą atitinka daugiau nei viena priemonė, pirmenybę reikia teikti mažiau intervencinei priemonei.

(224)

Papildoma apsaugos priemonė, susijusi su prašomos priemonės proporcingumo vertinimu, užtikrinama atsižvelgiant į tai, kad valstybės sekretorius privalo gauti atitinkamą informaciją, kuri yra reikalinga tam, kad jis galėtų tinkamai atlikti savo vertinimą. Perėmimo praktikos kodekse ir Įrangos perėmimo praktikos kodekse visų pirma reikalaujama, kad atitinkamos institucijos pateiktame prašyme būtų paminėtos prašymo aplinkybės, aprašyti perimtini ryšiai, o iš telekomunikacijų operatorių būtų reikalaujama teikti pagalbą, aprašyti leistini veiksmai, operatyviniai tikslai ir paaiškinama, kodėl veiksmai yra būtini ir proporcingi (377).

(225)

Galiausiai svarbiausia tai, kad valstybės sekretoriaus sprendimą išduoti orderį privalo patvirtinti nepriklausomas teismo komisaras, kuris pasiūlytos priemonės būtinumą ir proporcingumą įvertina naudodamas tuos pačius principus, kuriuos naudotų teismas nagrinėdamas prašymą dėl teisminės peržiūros (378). Konkrečiau, teismo komisaras gaus valstybės sekretoriaus išvadas, ar orderis yra būtinas ir ar veiksmai yra proporcingi atsižvelgiant į 2016 m. TĮA 2 straipsnio 2 dalies principus (su privatumu susijusios bendrosios pareigos). Teismo komisaras taip pat peržiūrės valstybės sekretoriaus išvadas dėl to, ar kiekvienas iš orderyje nurodytų operatyvinių tikslų yra tikslas, dėl kurio būtina arba gali prireikti atrinkti medžiagą. Jeigu teismo komisaras atsisako patvirtinti sprendimą išduoti orderį, valstybės sekretorius gali: i) sutikti su sprendimu ir orderio neišduoti arba ii) perduoti klausimą spręsti tyrimo įgaliojimų komisarui, kad šis priimtų sprendimą (išskyrus atvejus, kai tyrimų įgaliojimų komisaras priėmė pradinį sprendimą) (379).

(226)

2016 m. TĮA nustatyti papildomi apribojimai dėl masinio orderio trukmės, galiojimo pratęsimo ir pakeitimo. Orderio galiojimo trukmė turi būti ne ilgesnė nei šeši mėnesiai ir bet kurį sprendimą pratęsti orderio galiojimą arba jį pakeisti (išskyrus nedidelius pakeitimus) turi patvirtinti teismo komisaras (380). Perėmimo praktikos kodekse ir Įrangos perėmimo praktikos kodekse nustatyta, kad orderio operatyvinių tikslų pakeitimas laikomas esminiu orderio pakeitimu (381).

(227)

Panašiai, kaip ir tikslinio perėmimo atveju, 2016 m. TĮA 6 dalyje nustatyta, kad valstybės sekretorius privalo užtikrinti taisyklių galiojimą, kad būtų suteiktos remiantis orderiu gautos medžiagos saugojimas ir atskleidimas (382), tą patį galima pasakyti apie medžiagos atskleidimą užsienyje (383). Visų pirma 2016 m. TĮA 150 straipsnio 5 dalyje ir 191 straipsnio 5 dalyje reikalaujama, kad kiekviena bet kurios tos medžiagos, surinktos remiantis orderiu, kopija būtų saugoma saugiai ir sunaikinama kuo greičiau, kai nebelieka jos saugojimą pateisinančių pagrindų, o 2016 m. TĮA 150 straipsnio 2 dalyje ir 191 straipsnio 2 dalyje reikalaujama, kad asmenų, kuriems atskleidžiama medžiaga, skaičius ir mastas, kuriuo atskleidžiama bet kokia medžiaga, būtų prieinama arba kopijuojama tik tiek, kiek tai yra būtina teisės aktuose nustatytais tikslais (384).

(228)

Galiausiai tais atvejais, kai medžiaga, perimta atliekant masinį perėmimą arba masinį įrangos perėmimą, turi būti perduota trečiajai valstybei („informacijos atskleidimas užsienyje“), 2016 m. TĮA nustatyta, kad valstybės sekretorius privalo užtikrinti, kad būtų nustatytos tinkamos priemonės, siekiant užtikrinti, kad toje trečiojoje šalyje būtų panašios informacijos saugumo, saugojimo ir atskleidimo priemonės (385). Be to, 2018 m. DAA 109 straipsnyje nustatyti konkretūs reikalavimai dėl žvalgybos tarnybų vykdomo tarpvalstybinio asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms: duomenų neleidžiama perduoti į valstybę arba teritoriją, esančią už Jungtinės Karalystės ribų, arba tarptautinei organizacijai, išskyrus atvejus, kai duomenis perduoti yra būtina arba proporcinga duomenų valdytojui siekiant įvykdyti teisės akte nustatytas funkcijas arba kitais 1989 m. Saugumo tarnybų akto 2 straipsnio 2 dalies a punkte arba 1994 m. Žvalgybos tarnybų akto 2 straipsnio 2 dalies a punkte ir 4 straipsnio 2 dalies a punkte nustatytais tikslais (386). Svarbu pažymėti, kad šie reikalavimai galioja ir tais atvejais, kai taikoma nacionalinio saugumo išimtis pagal 2018 m. DAA 110 straipsnį, nes 2018 m. DAI 110 straipsnyje šio akto 109 straipsnis nenurodytas kaip viena iš nuostatų, kurios gali būti netaikomos, jei nacionalinio saugumo užtikrinimo tikslais reikia išimties tvarka netaikyti tam tikrų nuostatų.

(229)

Patvirtinus orderį ir surinkus masinius duomenis, duomenys prieš juos tiriant bus atrenkami. Atrankos ir turimo etape taikomas papildomas proporcingumo patikrinimas – jį atlieka analitikas, kuris, remdamasis orderyje nurodytais operatyviniais tikslais (ir galbūt esamomis filtravimo taisyklėmis), apibrėžia atrankos kriterijus. Kaip nustatyta TĮA 152 ir 193 straipsniuose, išduodamas orderį, valstybės sekretorius privalo užtikrinti, kad būtų nustatytos taisyklės, kuriomis garantuojama, kad medžiaga būtų atrenkama tik siekiant konkrečių operatyvinių tikslų ir kad medžiaga būtų būtina ir proporcinga visomis aplinkybėmis. Šiuo atžvilgiu Jungtinės Karalystės institucijos paaiškino, kad perimta masinė medžiaga pirmiausia atrenkama taikant automatinį filtravimą, siekiant atmesti duomenis, kurie vargu ar yra susiję su nacionalinio saugumo interesu. Filtrai ilgainiui keičiasi (kartu su interneto srauto modelių, tipų ir protokolų pokyčiais) ir priklausys nuo technologijos bei operatyvinių aplinkybių. Po šio etapo duomenis galima atrinkti tyrimui atlikti tik jeigu jie yra svarbūs atsižvelgiant į orderyje nustatytus konkrečius operatyvinius tikslus (387). 2016 m. TĮA numatytos apsaugos priemonės, susijusios su surinktos medžiagos nagrinėjimu, taikomos visų rūšių duomenims (ir perimtiems, ir antriniams) (388). 2016 m. TĮA 152 ir 193 straipsniuose taip pat nustatytas bendras draudimas atrinkti tyrimui atlikti medžiagą, kurioje nurodomi pokalbiai, kuriuos išsiuntė Didžiosios Britanijos salose esantys asmenys arba kurie skirti šiose salose esantiems asmenims. Jeigu institucijos nori nagrinėti tokią medžiagą, jos pagal 2016 m. TĮA 2 ir 4 dalis turėtų pateikti prašymą dėl tikslinio tyrimo orderio, kurį išdavė valstybės sekretorius ir patvirtino teismo komisaras (389). Jeigu asmuo tyrimui atlikti sąmoningai atrenka perimtą turinį pažeisdamas teisės aktuose nustatytus reikalavimus (390), jis padaro nusikalstamą veiką (391).

(230)

Analitiko atliktą atrinktos medžiagos ex post vertinimą prižiūri IPC, kuris įvertina vertinimo atitiktį konkrečioms 2016 m. TĮA nustatytoms apsaugos priemonėms, taikomomis per tyrimo etapą (392) (taip pat žr. (229) konstatuojamąją dalį). IPC privalo nuolat peržiūrėti (įskaitant audito, patikrinimų ir tyrimų atlikimą), kaip valdžios institucijos naudojasi 2016 m. TĮA nustatytais tyrimo įgaliojimais (393). Šiuo atžvilgiu Perėmimo praktikos kodekse ir Įrangos perėmimo praktikos kodekse paaiškinta, kad agentūra privalo saugoti įrašus atsižvelgdama į paskesnį tyrimą ir auditus, ir šiuose įrašuose būtina išdėstyti, kodėl prieiga prie medžiagos įgaliotiems asmenims yra būtina ir proporcinga, taip pat turi būti nurodyti taikomi operatyviniai tikslai (394). Pavyzdžiui, savo 2018 m. metinėje ataskaitoje tyrimo įgaliojimų komisaro biuras (IPCO) (395) padarė išvadą, kad analitiko nustatyti pagrindimai, susiję su tam tikros masiškai surinktos medžiagos tyrimu, atitiko reikalaujamą proporcingumo standartą, nes juose buvo pakankamai duomenų apie analitikų užklausų motyvus, susijusius su siekiamu tikslu (396). 2019 m. ataskaitoje IPCO, kalbėdamas apie su masiniais duomenimis susijusius įgaliojimus, aiškiai pasakė ketinantis toliau tikrinti masinio duomenų perėmimo atvejus, be kita ko, išsamiai įvertinti taikomus selektorius ir paieškos kriterijus (397). Jis taip pat toliau atidžiai, kiekvienu konkrečiu atveju nagrinėdamas prašymus išduoti orderius pagal dvigubo patikrinimo principą ir atlikdamas vertinimą, atidžiai tikrins stebėjimo (tikslingo ar masinio) priemonių pasirinkimą (398). Į šią papildomą stebėseną bus deramai atsižvelgta Komisijai vykdant stebėseną, kaip nurodyta(281)–(284) konstatuojamosiose dalyse.

(231)

2016 m. TĮA 6 dalies 2 skyriuje reglamentuojami masinio gavimo orderiai, kuriais adresatui leidžiama reikalauti, kad telekomunikacijų operatorius atskleistų bet kuriuos ryšio duomenis, kuriuos turi operatorius, arba gauti tuos duomenis. Šiais orderiais taip pat leidžiama prašančiajai institucijai atrinkti duomenis tolesniam tyrimo etapui. Kaip ir tikslinio ryšio duomenų saugojimo ir gavimo atveju (žr. (199) konstatuojamąją dalį), masinis ryšio duomenų gavimas paprastai nėra susijęs su ES duomenų subjektų asmens duomenimis, kurie pagal šį sprendimą perduodami į Jungtinę Karalystę. Pareiga atskleisti ryšio duomenis pagal 2016 m. TĮA 6 dalies 2 skyrių taikoma duomenims, kuriuos Jungtinės Karalystės telekomunikacijų operatoriai tiesiogiai surinko iš telekomunikacijų paslaugų naudotojų (399). Šios rūšies bendravimas su klientais tvarkant jų duomenis paprastai nėra susijęs su perdavimu, remiantis šiuo sprendimu, t. y. perdavimas iš ES duomenų valdytojo / tvarkytojo, Jungtinės Karalystės duomenų valdytojui / tvarkytojui.

(232)

Tačiau siekiant išsamumo, sąlygos ir apsaugos priemonės, kuriomis reglamentuojama masinio ryšio duomenų gavimo tvarka, aprašyta toliau.

(233)

2016 m. TĮA pakeičia teisės aktus, susijusius su masinių ryšio duomenų gavimu, kuriam buvo taikomas ESTT sprendimas Privacy International. Toje byloje nagrinėjami teisės aktai buvo panaikinti, o pagal naują tvarką nustatytos konkrečios sąlygos ir apsaugos priemonės, kuriomis galima taikyti tokią priemonę.

(234)

Visų pirma, kitaip nei pagal ankstesnę tvarką, kai valstybės sekretorius turėjo visišką diskreciją leisti naudoti priemonę (400), 2016 m. TĮA reikalaujama, kad valstybės sekretorius orderį išduotų tik jeigu priemonė yra būtina ir proporcinga. Tai praktiškai reiškia, kad šiuo atveju turėtų būti ryšys tarp prieigos prie duomenų ir siekiamo tikslo (401). Konkrečiau, valstybės sekretorius turės įvertinti, ar esama ryšio tarp prašomos priemonės ir vieno arba daugiau orderyje nurodyto (-ų) „operatyvinio (-ių) tikslo (-ų)“ (žr. (219) konstatuojamąją dalį). Dėl proporcingumo vertinimo atitinkamame praktikos kodekse nurodyta, kad „valstybės sekretorius privalo atsižvelgti į tai, ar tikslas, kuris turi būti pasiektas orderiu, galėtų pagrįstai būti pasiektas kitomis mažiau intervencinėmis priemonėmis (žr. akto 2 straipsnio 2 dalies a punktą). Pavyzdžiui, ar reikiamą informaciją galima gauti naudojantis mažiau intervencinėmis galiomis, pavyzdžiui, tiksliniu ryšių duomenų gavimu“ (402).

(235)

Pavyzdžiui, reikalingos informacijos gavimas naudojant mažiau intervencinius įgaliojimus, pvz., tikslinį ryšio duomenų gavimą. Kad atliktų tokį vertinimą, valstybės sekretorius remsis informacija, kurią savo prašyme turi pateikti žvalgybos tarnybų vadovai (403), pvz., dėl kokių priežasčių priemonė laikoma būtina atsižvelgiant į vieną iš teisės aktuose nurodytų pagrindų ir kodėl siekiamo tikslo nebūtų galima pagrįstai pasiekti kitomis, mažiau intervencinėmis priemonėmis (404). Be to, operatyviniais tikslais ribojamas tyrimui atlikti atrenkamų pagal orderį gautų duomenų mastas (405). Kaip nurodyta atitinkamame praktikos kodekse, operatyviniuose tiksluose turi būti aprašytas aiškus reikalavimas ir jame turi būti pakankamai išsamios informacijos, kad valstybės sekretorius įsitikintų, jog atrinkti gautus duomenis tyrimui atlikti galima tik atsižvelgiant į konkrečias priežastis (406). Iš tiesų, valstybės sekretorius prieš leisdamas išduoti orderį turės užtikrinti, kad būtų nustatytos konkrečios taisyklės, kuriomis garantuojama, kad medžiaga, kurią būtina išnagrinėti siekiant operatyvinio ir teisės aktuose nustatyto tikslo, būtų atrinkta tyrimui atlikti ir kad ji visomis aplinkybėmis turėtų būti proporcinga ir būtina. Šis konkretus reikalavimas, kuris atsispindi 2016 m. TĮA 158 ir 172 straipsniuose (407) ir yra susijęs su išankstiniu atrankos tikslais naudojamų kriterijų būtinumu ir proporcingumu, yra kita svarbi 2016 m. TĮA nustatytos tvarkos naujovė, palyginti su anksčiau galiojusia tvarka.

(236)

2016 m. TĮA taip pat nustatyta valstybės sekretoriaus pareiga užtikrinti, kad prieš išduodant orderį dėl masinio ryšio duomenų gavimo būtų nustatyti konkretūs apribojimai dėl surinktų asmens duomenų saugumo, saugojimo ir atskleidimo (408). Kalbant apie duomenų atskleidimą užsienyje, šiame kontekste taip pat taikomos (227) konstatuojamojoje dalyje aprašytos apsaugos priemonės, taikomos masiniam perėmimui ir masiniam įrangos perėmimui (409). Papildomi apribojimai teisėje nustatyti dėl masinio orderio galiojimo termino (410), galiojimo pratęsimo (411) ir pakeitimo (412).

(237)

Svarbu tai, kad kaip ir kitų su masiniais duomenimis susijusių įgaliojimų atveju, prieš išduodamas orderį Valstybės sekretorius turi gauti teismo komisaro patvirtinimą (413). Tai pagrindinė 2016 m. TĮA nustatytos tvarkos nuostata.

(238)

IPC vykdo masiniu būdu surinktų materialinių (ryšių duomenų) nagrinėjimo procedūros ex post priežiūrą (žr. (254) below konstatuojamąją dalį). Šiuo atžvilgiu 2016 m. TĮA nustatytas reikalavimas, kad tyrimą atliekantis žvalgybos ekspertas, prieš atrinkdamas nagrinėtinus duomenis, turi nurodyti priežastį, kodėl siūlomas duomenų nagrinėjimas yra būtinas ir proporcingas atsižvelgiant į konkretų veiklos tikslą (414). IPCO 2019 m. metinėje ataskaitoje dėl GCHQ ir MI5 praktikos buvo nustatyta, kad „ypač svarbus masinių ryšio duomenų vaidmuo, atsižvelgiant į GCHQ vykdomos veiklos įvairovę, buvo tinkamai aptartas mūsų išnagrinėtose bylose. Išnagrinėjome prašomų duomenų pobūdį ir nurodytus žvalgybos reikalavimus ir įsitikinome, kad dokumentuose buvo pateikti įrodymai, iš kurių matyti, kad jų metodas buvo būtinas ir proporcingas (415). MI5 nurodytos pagrindžiančios priežastys atitiko gerus standartus ir būtinumo bei proporcingumo principus (416)“.

(239)

Orderiais dėl masinių asmens duomenų rinkinių (417) žvalgybos tarnyboms leidžiama saugoti ir tirti duomenų, kuriuose yra asmens duomenų, susijusių su įvairiais pavieniais asmenimis, rinkinius. Remiantis Jungtinės Karalystės institucijų pateiktais paaiškinimais, tokių duomenų rinkinių analizė gali būti „vienintelis būdas UKIC toliau vykdyti tyrimus ir nustatyti teroristų tapatybę, remiantis labai ribotais pagrindiniais žvalgybos duomenimis, arba kai ryšiai buvo sąmoningai nuslėpti“ (418). Orderiai yra dviejų rūšių: klasės orderiai dėl masinių asmens duomenų rinkinių (419), kurie yra susiję su tam tikros kategorijos duomenų rinkiniais, t. y. duomenų rinkiniai, kurie savo turiniu ir siūlomu naudojimu yra panašūs, ir dėl jų kyla panašių klausimų, pvz., susijusių su ribojimo ir neskelbtinumo laipsniu ir duomenų naudojimo proporcingumu, taip sudarant sąlygas valstybės sekretoriui įvertinti visų atitinkamos klasės duomenų gavimo vienu metu būtinumą ir proporcingumą. Pavyzdžiui, klasės orderis dėl masinių asmens duomenų rinkinių gali būti taikomas duomenų rinkiniams, susijusiems su panašiais maršrutais (420). Konkretūs orderiai dėl masinių asmens duomenų rinkinių (421), priešingai, yra susiję su vienu konkrečiu duomenų rinkiniu, pvz., naujoviškos arba neįprastos informacijos, kuri nepatenka į klasės orderio dėl masinių asmens duomenų rinkinių taikymo sritį, duomenų rinkiniu arba duomenų rinkiniu, susijusiu su konkrečių rūšių asmens duomenimis (422), dėl kurių reikalingos papildomos apsaugos priemonės (423). Pagal 2016 m. TĮA nuostatas, susijusias su masinių asmens duomenų rinkiniais, tokius duomenų rinkinius leidžiama nagrinėti ir saugoti tik jei tai būtina ir proporcinga (424) ir laikantis bendrųjų su privatumu susijusių pareigų (425).

(240)

Įgaliojimams išduoti orderį dėl masinių asmens duomenų rinkinių taikoma dvigubo patikrinimo procedūra: priemonės būtinumo ir proporcingumo vertinimą pirmiausia atlieka valstybės sekretorius, o paskui teismo komisaras (426). Reikalaujama, kad valstybės sekretorius išnagrinėtų prašomo išduoti orderio rūšį ir taikymo sritį, atitinkamų duomenų kategoriją ir atskirų masinių asmens duomenų rinkinių, dėl kurių gali būti išduodamas konkrečios rūšies orderis, skaičių (427). Be to, kaip nurodyta Masinių asmens duomenų rinkinių saugojimo ir naudojimo žvalgybos tarnybose praktikos kodekse, būtina saugoti išsamius įrašus, o IPC gali atlikti auditą (428). Masinių asmens duomenų rinkinių saugojimas ir tyrimas nesilaikant 2016 m. TĮA reikalavimų yra nusikalstama veika (429).

(241)

Pagal 2018 m. DAA 4 dalį tvarkomi asmens duomenys negali būti tvarkomi su tikslu, kuriuo jie buvo surinkti, nesuderinamu būdu (430). 2018 m. DAA nustatyta, kad duomenų valdytojas duomenis gali tvarkyti kitu tikslu, kuris skiriasi nuo tikslo, kuriuo buvo surinkti duomenys, kai tai yra suderinama su pradiniu tikslu ir jeigu duomenų valdytojui pagal įstatymą leidžiama tvarkyti duomenis ir toks tvarkymas yra būtinas ir proporcingas (431). Be to, pagal 1989 m. Saugumo tarnybų aktą ir 1994 m. Žvalgybos tarnybų aktą konkrečiai reikalaujama, kad žvalgybos agentūrų vadovai užtikrintų, kad jokia informacija nebūtų gaunama ar atskleidžiama, išskyrus atvejus, kai tai yra būtina agentūros funkcijoms tinkamai įvykdyti arba kitais ribotais ir konkrečiais tikslais, išvardytais atitinkamose nuostatose (432).

(242)

Be to, 2018 m. DAA 109 straipsnyje nustatyti konkretūs reikalavimai dėl žvalgybos tarnybų vykdomo tarpvalstybinio asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms. Remiantis šia nuostata, asmens duomenų neleidžiama perduoti į valstybę arba teritoriją, esančią už Jungtinės Karalystės ribų, arba tarptautinei organizacijai, išskyrus atvejus, kai duomenis perduoti yra būtina arba proporcinga duomenų valdytojui siekiant įvykdyti teisės akte nustatytas funkcijas arba kitais 1989 m. Saugumo tarnybų akto 2 straipsnio 2 dalies a punkte arba 1994 m. Žvalgybos tarnybų akto 2 straipsnio 2 dalies a punkte ir 4 straipsnio 2 dalies a punkte nustatytais tikslais (433). Svarbu pažymėti, kad šie reikalavimai galioja ir tais atvejais, kai taikoma nacionalinio saugumo išimtis pagal 2018 m. DAA 110 straipsnį, nes 2018 m. DAI 110 straipsnyje šio akto 109 straipsnis nenurodytas kaip viena iš nuostatų, kurios gali būti netaikomos, jei nacionalinio saugumo užtikrinimo tikslais reikia išimties tvarka netaikyti tam tikrų nuostatų.

(243)

Be to, kaip ICO pabrėžė savo gairėse dėl žvalgybos tarnybų vykdomo duomenų tvarkymo, be 2018 m. DAA 4 dalyje nustatytų apsaugos priemonių, žvalgybos agentūrai, kai ji dalijasi duomenimis su trečiosios šalies žvalgybos įstaiga, taip pat taikomos kitose joms taikomose teisinėse priemonėse numatytos apsaugos priemonės, kuriomis siekiama užtikrinti, kad asmens duomenys būtų gaunami, jais būtų dalijamasi ir jie būtų tvarkomi teisėtai ir atsakingai (434). Pavyzdžiui, 2016 m. TĮA nustatytos papildomos apsaugos priemonės, susijusios su medžiagos, surinktos vykdant tikslinį ryšių perėmimą (435), tikslinį įrangos perėmimą (436), masinį perėmimą (437), masinį ryšio duomenų gavimą (438) ir masinį įrangos perėmimą (439), perdavimu į trečiąją valstybę (vadinamasis informacijos atskleidimas užsienyje) . Visų pirma orderį išduodanti institucija privalo užtikrinti, kad galiotų taisyklės, kuriomis užtikrinama, kad duomenis gaunanti trečioji valstybė ribotų medžiagą matančių asmenų skaičių, jos atskleidimo mastą ir bet kokių padarytų medžiagos kopijų skaičių tiek, kiek tai yra būtina siekiant 2016 m. TĮA nustatytų tikslų (440).

(244)

Įvairios skirtingos įstaigos prižiūri, kaip vyriausybė naudojasi prieiga prie duomenų nacionalinio saugumo tikslais. Informacijos komisaras prižiūri, kaip tvarkomi asmens duomenys, atsižvelgdamas į 2018 m. DAA (daugiau informacijos apie komisaro nepriklausomumą, paskyrimą ir įgaliojimus žr. (85)–(98) konstatuojamąsias dalis), o nepriklausomą ir teisminę tyrimo įgaliojimų pagal 2016 m. TĮA priežiūrą vykdo IPC. IPC prižiūri, kaip 2016 m. TĮA tyrimo įgaliojimais naudojasi teisėsaugos ir nacionalinės saugumo institucijos. Politinę priežiūrą garantuoja parlamento Žvalgybos tarnybos komitetas.

(245)

Žvalgybos tarnybų vykdomą asmens duomenų tvarkymą pagal 2018 m. DAA 4 dalį prižiūri informacijos komisaras (441).

(246)

Bendrosios informacijos komisaro funkcijos, susijusios su žvalgybos tarnybų asmens duomenų tvarkymu pagal 2018 m. DAA 4 dalį, nustatytos 2018 m. DAA 13 priede. Jo užduotys, be kita ko, yra 2018 m. DAA 4 dalies stebėsena ir vykdymo užtikrinimas, visuomenės informavimo skatinimas, parlamento, vyriausybės ir kitų institucijų konsultavimas teisėkūros ir administracinių priemonių klausimais, duomenų valdytojų ir duomenų tvarkytojų informuotumo apie jų pareigas didinimas, duomenų subjektų informavimas apie duomenų subjektų teisių įgyvendinimą, tyrimų atlikimas ir pan.

(247)

Pagal 2018 m. DAA 3 dalį komisaras turi įgaliojimus pranešti duomenų valdytojams apie įtariamą pažeidimą ir įteikti įspėjimus, kad tvarkant duomenis gali būti pažeistos taisyklės, taip pat įteikia papeikimus, kai pažeidimas patvirtinamas. Jeigu kurios nors akto nuostatos pažeidžiamos, jis taip pat gali teikti vykdymo pranešimus ir pranešimus dėl nuobaudų (442). Tačiau, kitaip, nei nustatyta kitose 2018 m. DAA dalyse, komisaras negali nacionalinei saugumo įstaigai įteikti vertinimo pranešimo (443).

(248)

Be to, 2018 m. DAA 110 straipsnyje nustatyta tam tikrų komisaro įgaliojimų naudojimo išimtis, kai tai yra būtina siekiant užtikrinti nacionalinį saugumą. Tai yra komisaro įgaliojimai (bet kurios rūšies) įteikti pranešimus pagal DAA (informacijos, vertinimo, vykdymo pranešimai ir pranešimai apie nuobaudą), įgaliojimai atlikti patikrinimus laikantis tarptautinių pareigų, įgaliojimai patekti į patalpas ir atlikti patikrinimą, ir taisyklės dėl nusikalstamų veikų (444). Kaip paaiškinta (126) konstatuojamojoje dalyje, šios išimtys taikomos tik jei tai būtina ir proporcinga ir kiekvienu konkrečiu atveju.

(249)

Informacijos komisaras ir Jungtinės Karalystės žvalgybos tarnybos pasirašė susitarimo memorandumą (445), kuriuo nustatoma bendradarbiavimo įvairiais klausimais sistema, įskaitant pranešimus apie duomenų saugumo pažeidimus ir duomenų subjektų skundų nagrinėjimą. Visų pirma jame nustatyta, kad informacijos komisaras, gavęs skundą, įvertins, ar bet kuri nacionalinio saugumo išimtis buvo taikoma tinkamai. Atsakymus į informacijos komisaro užklausas, pateiktas nagrinėjant pavienius skundus, atitinkama žvalgybos agentūra, naudodama tinkamus saugius kanalus, jei pateikiama slapta informacija, turi pateikti per 20 darbo dienų. Nuo 2018 m. balandžio mėn. iki šiol informacijos komisaras gavo 21 asmens skundą dėl žvalgybos tarnybų. Kiekvienas skundas buvo įvertintas, o duomenų subjektas buvo informuotas apie vertinimo rezultatą (446).

(250)

Pagal 2016 m. TĮA 8 dalį tyrimo įgaliojimų priežiūrą vykdo tyrimo įgaliojimų komisaras (IPC). IPC padeda kiti teismo komisarai, kurie kartu vadinami teismo komisarais (447). 2016 m. TĮA nustatytos teisminių institucijų narių nepriklausomumo apsaugos garantijos. Teismų komisarai privalo eiti aukštas teisėjo pareigas arba būti ėję tokias pareigas (t. y. turi dabar eiti arba būti ėję aukščiausiųjų teismų narių pareigas) (448) ir, kaip bet kuris teismų sistemos narys, jie turi būti nepriklausomi nuo vykdomosios valdžios (449). Pagal 2016 m. TĮA 227 straipsnį IPC ir teismo komisarus, kiek mano jų reikalinga, skiria Ministras Pirmininkas. Visi komisarai, nesvarbu, ar jie yra dabar dirbantys, ar buvę teismų sistemos nariai, gali būti skiriami tik remiantis trijų vyriausiųjų teisėjų – Anglijos ir Velso, Škotijos ir Šiaurės Airijos bei Lordo kanclerio – bendra rekomendacija (450). Valstybės sekretorius privalo aprūpinti IPC darbuotojais, patalpomis, įranga ir kitomis priemonėmis bei paslaugomis (451). Komisarai skiriami trejų metų kadencijai, kuri gali būti pratęsta (452). Kaip papildoma jų nepriklausomumo garantija, teismo komisarai iš pareigų gali būti pašalinti tik laikantis griežtų sąlygų, kuriomis nustatomos aukštos ribos: tai gali padaryti ministras pirmininkas konkrečiomis aplinkybėmis, kurių išsamus sąrašas pateiktas 2016 m. TĮA 228 straipsnio 5 dalyje (pvz., bankrotas arba laisvės atėmimo bausmė) arba jeigu abeji parlamento rūmai priėmė rezoliuciją, kuria patvirtinamas pašalinimas iš pareigų (453).

(251)

IPC ir teismo komisarams pareigas padeda vykdyti Tyrimo įgaliojimų komisaro biuras (IPCO). IPCO personalą sudaro inspektorių grupė, biuro teisės ir techninių klausimų specialistai ir Patariamoji kolegija technologijų klausimais, kuri teikia ekspertų konsultacijas. Kaip ir atskirų teismo komisarų atveju, IPCO nepriklausomumas yra apsaugotas. IPCO yra Vidaus reikalų ministerijai pavaldi įstaiga, t. y. ji gauna finansavimą iš Vidaus reikalų ministerijos, tačiau savo funkcijas vykdo nepriklausomai (454).

(252)

Pagrindinės teismų komisarų funkcijos išdėstytos 2016 m. TĮA 229 straipsnyje (455). Teismų komisarai visų pirma turi plačius įgaliojimus išankstinio patvirtinimo srityje, kurie yra tam tikra apsaugos priemonė, kuri Jungtinės Karalystės teisinėje sistemoje nustatyta 2016 m. TĮA. Teismo komisarai turi patvirtinti visus orderius, susijusius su tiksliniu duomenų perėmimu, įrangos perėmimu, masinių asmens duomenų rinkiniais, masiniu ryšių duomenų rinkimu ir pranešimais apie ryšių duomenų saugojimą (456). IPC taip pat visada turi išduoti išankstinį leidimą rinkti ryšių duomenis teisėsaugos tikslais (457). Jeigu komisaras atsisako patvirtinti orderį, valstybės sekretorius gali paduoti skundą Tyrimo įgaliojimų komisarui, kurio sprendimas yra galutinis.

(253)

JT specialusis pranešėjas teisės į privatumą klausimais ypač palankiai įvertino tai, kad 2016 m. TĮA sukurta teismo komisarų pareigybė, nes „ministrų kabinetas ir Tyrimo įgaliojimų komisaro biuras turi patenkinti vis daugiau su neskelbtina informacija arba intervencija susijusių prašymų vykdyti sekimo veiksmus“. Visų pirma jis pabrėžė, kad „šis teisminės peržiūros aspektas [atsižvelgiant į IPC vaidmenį], kurį padeda užtikrinti ištekliais geriau aprūpinta patyrusių inspektorių ir technologijų specialistų grupė, yra viena svarbiausių naujų apsaugos priemonių, nustatytų TĮA“, kuris pakeitė ankstesnę fragmentuotą priežiūros institucijų sistemą ir papildo parlamento Žvalgybos ir saugumo komiteto ir specializuoto Tyrimo įgaliojimų teismo vaidmenį“ (458).

(254)

Be to, IPC turi įgaliojimus vykdyti ex post priežiūrą, be kita ko, atlikdamas auditą, tikrinimą ir tyrimą, naudodamasis tyrimo įgaliojimais pagal 2016 m. TĮA (459) ir tam tikrus kitus įgaliojimus ir funkcijas, numatytus atitinkamuose teisės aktuose (460). Tokios ex post priežiūros rezultatai įtraukiami į ataskaitą, kurią IPC turi kasmet parengti ir pateikti Ministrui Pirmininkui (461), taip pat paskelbti ir pateikti Parlamentui (462). Ataskaitoje pateikiami atitinkami statistiniai duomenys ir informacija apie tai, kaip žvalgybos agentūros ir teisėsaugos institucijos naudoja tyrimo įgaliojimus, taip pat apie tai, kaip naudojamos apsaugos priemonės, susijusios su daiktais, kuriems taikoma teisinė privilegija, konfidencialia žurnalistine informacija ir žurnalistų informacijos šaltiniais, informacija apie taikytas priemones ir operatyvinius tikslus, kurių siekiant buvo vykdomi masiniai orderiai. Galiausiai IPCO metinėje ataskaitoje nurodyta, kokiose srityse buvo pateikta rekomendacijų valdžios institucijoms ir kaip į jas atsižvelgta (463).

(255)

Pagal 2016 m. TĮA 231 straipsnį, jei IPC sužino apie kokią nors svarbią klaidą, kurią valdžios institucijos padarė naudodamosi savo tyrimo įgaliojimais, jis turi informuoti atitinkamą asmenį, jei mano, kad klaida yra rimta ir kad visuomenės intereso labui tas asmuo turėtų būti informuotas (464). Visų pirma, 2016 m. TĮA 231 straipsnyje nurodyta, kad informuodamas asmenį apie klaidą IPC turi pateikti informaciją apie visas jo teises kreiptis į Tyrimų įgaliojimų teismą ir pateikti informaciją, kuri, komisaro nuomone, yra būtina norint pasinaudoti tomis teisėmis, ir atitinka viešąjį interesą atskleisti informaciją (465).

(256)

Žvalgybos ir saugumo komiteto (ISC) vykdomos parlamentinės priežiūros teisinis pagrindas yra 2013 m. Teisingumo ir saugumo aktas (2013 m. TSA) (466). Jame nurodyta, kad ŽSK yra Jungtinės Karalystės parlamento komitetas. Nuo 2013 m. Žvalgybos ir saugumo komitetui buvo suteikti didesni įgaliojimai, įskaitant saugumo tarnybų operatyvinės veiklos priežiūrą. Pagal 2013 m. TSA 2 straipsnį Žvalgybos ir saugumo komitetui pavesta užduotis prižiūrėti nacionalinių saugumo agentūrų išlaidas, administravimą ir operacijas. 2013 m. TSA nurodyta, kad ŽSK gali vykdyti operatyvinių klausimų tyrimus, kai jie nėra susiję su vykdomomis operacijomis (467). Ministro pirmininko ir ŽSK susitarimo memorandume (468) išsamiai išdėstyta, į ką reikia atsižvelgti svarstant, ar veikla nėra kurios nors vykdomos operacijos dalis (469). Žvalgybos ir saugumo komiteto taip pat gali būti prašoma ištirti ministro pirmininko vykdomas operacijas ir jis gali peržiūrėti agentūrų savanoriškai pateiktą informaciją.

(257)

Pagal 2013 m. TSA 1 priedą Žvalgybos ir saugumo komitetas gali bet kurio iš trijų žvalgybos tarnybų vadovų prašyti atskleisti informaciją. Agentūra privalo suteikti tokią informaciją, nebent valstybės sekretorius tai vetuoja (470). Remiantis Jungtinės Karalystės institucijų pateiktais paaiškinimais, Žvalgybos ir saugumo komitetui praktiškai nepateikiama labai mažai informacijos (471).

(258)

ŽSK sudaro abiejų Parlamento rūmų nariai, kuriuos, pasikonsultavęs su opozicijos lyderiu, skiria ministras pirmininkas (472). ŽSK privalo kasmet pateikti Parlamentui ataskaitą apie savo funkcijų vykdymą ir teikti kitas, jo nuomone reikalingas, ataskaitas (473). Be to, Žvalgybos ir saugumo komitetas turi teisę kas tris mėnesius gauti operatyvinių tikslų sąrašą, kuris naudojamas tiriant gautą masinę medžiagą (474). Tyrimo įgaliojimų komisaro tyrimų, patikrinimų arba auditų kopijomis ministras pirmininkas dalijasi su Žvalgybos ir saugumo komitetu, kai ataskaitų klausimas yra svarbus teisės aktuose nustatytai komiteto kompetencijai (475). Galiausiai komitetas gali prašyti informacijos komisaro atlikti tyrimą ir komisaras privalo informuoti Žvalgybos ir saugumo komitetą apie sprendimą, ar atlikti tokį tyrimą (476).

(259)

Žvalgybos ir saugumo komitetas prisidėjo rengiant 2016 m. TĮA, kuriuo remiantis padaryta įvairių pakeitimų, dabar įtrauktų į 2016 m. TĮA (477). Žvalgybos ir saugumo komitetas visų pirma rekomendavo sustiprinti privatumo apsaugos priemones nustatant įvairias privatumo apsaugos priemones, kurios taikomos patiems įvairiausiems tyrimo įgaliojimams (478). Jis taip pat pasiūlė atlikti siūlomų pajėgumų, susijusių su įrangos perėmimu, masinių asmens duomenų rinkiniais ir ryšio duomenimis, pakeitimų ir paprašė atlikti kitus konkrečius pakeitimus, siekiant sustiprinti tyrimo įgaliojimų naudojimui taikomus apribojimus ir apsaugos priemones (479).

(260)

Vyriausybės prieigos nacionalinio saugumo tikslais srityje duomenų subjektai privalo turėti galimybę pareikšti ieškinį nepriklausomame ir nešališkame teisme, kad galėtų susipažinti su asmens duomenimis arba kad jiems būtų suteikta teisė ištaisyti arba ištrinti tokius duomenis (480). Tokia teisminė įstaiga visų pirma turi turėti įgaliojimus priimti privalomus sprendimus dėl žvalgybos tarnybos (481). Jungtinėje Karalystėje, kaip paaiškinta (261)–(271) konstatuojamosiose dalyse, duomenų subjektai gali pasinaudoti įvairiomis teisminėmis procedūromis, kad galėtų pritaikyti ir realizuoti tokias teisines teisių gynimo priemones.

(261)

Pagal 2018 m. DAA 165 straipsnį duomenų subjektas turi teisę pateikti skundą informacijos komisarui, jeigu mano, kad, atsižvelgiant į jo asmens duomenis, buvo padarytas 2018 m. DAA 4 dalies pažeidimas. Informacijos komisaras turi įgaliojimus įvertinti, ar duomenų valdytojas ir duomenų tvarkytojas laikosi 2018 m. DAA, reikalauti, kad jie imtųsi būtinų veiksmų. Taip pat pažymėtina, kad pagal 2018 m. DAA 4 dalį asmenys turi teisę kreiptis į Aukštąjį teismą (Škotijoje – Sesijų teismą) su prašymu nurodyti duomenų valdytojui leisti pasinaudoti teise susipažinti su duomenimis (482), paprieštarauti duomenų tvarkymui (483) ir ištaisyti arba ištrinti duomenis (484).

(262)

Asmenys taip pat turi teisę reikalauti iš duomenų valdytojo arba duomenų tvarkytojo atlyginti žalą, patirtą dėl to, kad nebuvo laikomasi 2018 m. DAA 4 dalies reikalavimo (485). Žalą sudaro finansiniai nuostoliai ir su jais nesusijusi žala, pvz., stresas (486).

(263)

Asmenys nuo 2016 m. TĮA pažeidimų savo teises gali ginti specializuotame tyrimo įgaliojimų teisme.

(264)

Specializuotas tyrimo įgaliojimų teismas įsteigtas 2000 m. RIPA ir jis yra nepriklausomas nuo vykdomosios valdžios (487). Pagal 2000 m. RIPA 65 straipsnį to specializuoto teismo narius penkerių metų kadencijai skiria Jos Didenybė. To specializuoto teismo narį iš pareigų pašalinti gali Jos Didenybė, remdamasi prašymu (488) iš abiejų parlamento rūmų (489).

(265)

Pagal 2000 m. RIPA 65 straipsnį specializuotas teismas yra tinkama teisminė įstaiga, galinti nagrinėti bet kokį asmens, nukentėjusio nuo veiksmų, nurodytų 2016 m. TĮA, 2000 m. RIPA, arba bet kurių kitų žvalgybos tarnybos veiksmų, skundą (490).

(266)

Kad pagal 2000 m. RIPA 65 straipsnį pareikštų ieškinį specializuotame Tyrimo įgaliojimų teisme („procesinis veiksnumas“), asmuo turi būti įsitikinęs (491), kad žvalgybos tarnybos ėmėsi veiksmų dėl jo asmens, jo turto, bet kokių jo išsiųstų, jam atsiųstų arba adresuotų ryšių, arba jo naudojimosi pašto paslaugomis, telekomunikacijų paslauga arba telekomunikacijų sistema (492). Be to, reikalaujama, kad skundo pateikėjas manytų, kad veiksmai buvo atlikti „ginčytinomis aplinkybėmis“ (493) arba „juos atliko žvalgybos tarnybos arba tai buvo padaryta jų vardu“ (494). Šis „įsitikinimo“ standartas aiškinamas gana plačiai (495), todėl byla specializuotame teisme iškeliama laikantis žemų veiksnumo standartų.

(267)

Jeigu specializuotas Tyrimų įgaliojimų teismas nagrinėja jam pateiktą skundą, jis turi pareigą ištirti, ar asmenys, kuriems skunde pateikiami kaltinimai, yra susiję su skundo dalyku, taip pat išsiaiškinti, kuri institucija įtariamai padarė pažeidimus ir ar buvo atlikti nurodyti veiksmai (496). Jeigu tas teismas nagrinėja kokią nors bylą, joje sprendimą jis privalo priimti remdamasis tais pačiais principais, kuriuos, atlikdamas teisminę peržiūrą, taikytų teismas (497). Be to, pagal 2016 m. TĮA išduotų orderių ir pranešimų adresatai ir bet kuris kitas Karalienei pavaldus pareigūnas, dirbantis policijos pajėgose, arba policijos tyrimų ir peržiūros komisaras turi pareigą atskleisti arba pateikti specializuotam teismui visus dokumentus ir informaciją, kurios jis gali prašyti siekdamas įgyvendinti savo jurisdikciją (498).

(268)

Specializuotas tyrimo įgaliojimų teismas privalo informuoti skundo pateikėją, ar buvo priimtas jam palankus sprendimas (499). Pagal 2000 m. RIPA 67 straipsnio 6 ir 7 dalis specializuotas teismas turi įgaliojimus priimti laikinąsias nutartis ir priteisti bet kurią tokią kompensaciją arba priimti kitą nutartį, kuri, jo manymu, yra tinkama. Tai gali būti nutartis, kuria panaikinamas arba anuliuojamas bet kuris orderis arba leidimas, ir nutartis, kuria reikalaujama sunaikinti bet kokius informacijos įrašus, gautus vykdant bet kokius orderiu, leidimu arba pranešimu suteiktus įgaliojimus, arba kuriuos dėl bet kurio asmens turi kuri nors kita valdžios institucija (500). Pagal 2000 m. RIPA 67A straipsnį specializuoto teismo sprendimą galima apskųsti, jeigu tai padaryti leidžia specializuotas teismas arba atitinkamas apeliacinis teismas.

(269)

Galiausiai, reikia pažymėti, kad Tyrimo įgaliojimų teismo vaidmuo buvo aptartas nagrinėjant kelias bylas Europos žmogaus teisių teisme, pirmiausia byloje Kennedy prieš Jungtinę Karalystę (501) ir, neseniai, byloje Big Brother Watch ir kt. prieš Jungtinę Karalystę (502) , kurioje teismas nusprendė, kad “Tyrimo įgaliojimų teismas užtikrino patikimas teisių gynimo priemones bet kuriam asmeniui, įtariančiam ,kad jo ryšių duomenys buvo perimti žvalgybos tarnybų“ (503).

(270)

Kaip paaiškinta (109)–(111) konstatuojamosiose dalyse, teisių gynimo priemonės pagal 1998 m. Žmogaus teisių aktą ir Europos Žmogaus Teisių Teisme (504) taip pat yra galimos tiek, kiek jos susijusios su nacionaliniu saugumu. 2000 m. RIPA 65 straipsnio 2 dalyje nustatyta, kad išimtinę jurisdikciją dėl visų pagal Žmogaus teisių aktą pareikštų reikalavimų, susijusių su žvalgybos tarnybomis, turi specializuotas tyrimo įgaliojimų teismas (505). Kaip pažymėjo Aukštasis teismas, tai reiškia, kad „klausimą, ar, atsižvelgiant į konkrečios bylos faktus, buvo pažeistas HRA, iš esmės gali išnagrinėti ir nuspręsti nepriklausomas specializuotas teismas, kuris gali susipažinti su visa atitinkama medžiaga, įskaitant slaptą informaciją. <...> Šiomis aplinkybėmis taip pat atsižvelgiame į tai, kad specializuoto teismo sprendimus galima apskųsti atitinkamam apeliaciniam teismui (Anglijoje ir Velse, t. y. apeliaciniam teismui) ir kad Aukščiausiasis Teismas neseniai nusprendė, kad specializuoto teismo sprendimus iš esmės galima peržiūrėti: žr. R (Privacy International) prieš Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219“ (506).

(271)

Iš to, kas išdėstyta, darytina išvada, kad tais atvejais, kai Jungtinės Karalystės teisėsaugos arba nacionalinio saugumo institucijos susipažįsta su asmens duomenimis, kuriems taikomas šis sprendimas, tokia prieiga reglamentuojama pagal įstatymus, kuriuose nustatytos sąlygos, kuriomis prieiga gali būti suteikta, ir kuriais užtikrinama, kad prieiga prie duomenų ir tolesnis jų naudojimas atitiktų tai, kas yra būtina ir proporcinga atsižvelgiant į siekiamą teisėsaugos arba nacionalinio saugumo tikslą. Be to, dėl tokios prieigos teisminė įstaiga, patvirtindama orderį arba įrodymų pateikimo orderį, dažniausiai išduoda išankstinį leidimą ir bet kuriuo atveju prieigai taikoma nepriklausoma priežiūra. Valdžios institucijoms susipažinus su duomenimis, jų tvarkymui, įskaitant tolesnį dalijimąsi ir perdavimą, taikomos 2018 m. DAA 3 dalyje nustatytos konkrečios duomenų apsaugos priemonės, atitinkančios Direktyvoje (ES) 2016/680 nustatytas priemones, jei duomenis tvarko teisėsaugos institucijos, ir 2018 m. DAA 4 dalis, jei duomenis tvarko žvalgybos agentūros. Galiausiai duomenų subjektai šioje srityje naudojasi veiksmingomis administracinėmis ir teisminėmis teisių gynimo teisėmis, įskaitant galimybę susipažinti su savo duomenimis arba ištaisyti arba ištrinti tokius duomenis.

(272)

Atsižvelgdama į tokių sąlygų, apribojimų ir apsaugos priemonių svarbą šio sprendimo siekiamiems tikslams, Komisija atidžiai stebės, kaip taikomos ir aiškinamos Jungtinės Karalystės taisyklės, kuriomis nustatoma valdžios institucijų prieiga prie duomenų. Ji stebės atitinkamus teisėkūros, reguliavimo ir teismų praktikos pokyčius, taip pat ICO ir kitų priežiūros institucijų veiklą šioje srityje. Labai atidžiai bus stebima ir tai, kaip Jungtinė Karalystė vykdo atitinkamus Europos Žmogaus Teisių Teismo sprendimus, įskaitant priemones, nurodytas veiksmų planuose ir veiksmų ataskaitose, pateiktose Ministrų komitetui vykdant Teismo sprendimų laikymosi priežiūrą.

(273)

Komisija mano, kad Jungtinės Karalystės BDAR ir 2018 m. DAA užtikrinamas iš Europos Sąjungos perduodamų asmens duomenų apsaugos lygis, kuris iš esmės yra lygiavertis pagal Reglamentą (ES) 2016/679 garantuojamam duomenų apsaugos lygiui.

(274)

Be to, Komisija mano, kad pagal Jungtinės Karalystės teisę numatytais priežiūros mechanizmais ir teisių gynimo galimybėmis, vertinant juos kaip visumą, sudaromos sąlygos praktiškai nustatyti pažeidimus ir už juos bausti ir duomenų subjektui suteikiama teisių gynimo priemonių, kad jis galėtų susipažinti su savo asmens duomenimis ir vėliau pasiekti, kad šie duomenys būtų ištaisyti arba ištrinti.

(275)

Galiausiai, remdamasi turima informacija apie Jungtinės Karalystės teisinę tvarką, Komisija mano, kad bet koks asmenų, kurių asmens duomenis Jungtinės Karalystės valdžios institucijos perduoda iš Europos Sąjungos į Jungtinę Karalystę viešojo intereso tikslais, visų pirma įstatymų vykdymo ir nacionalinio saugumo tikslais, pagrindinių teisių ribojimai turi būti susiję tik su tuo, kas yra griežtai būtina siekiant atitinkamo teisėto tikslo, ir kad nuo tokių apribojimų galima gintis veiksmingomis teisinės apsaugos priemonėmis.

(276)

Todėl, atsižvelgiant į šio sprendimo išvadas, reikėtų nuspręsti, kad Jungtinė Karalystė užtikrina tinkamą apsaugos lygį, kaip apibrėžta Reglamento (ES) 2016/679 45 straipsnyje ir išaiškinta atsižvelgiant į Europos Sąjungos pagrindinių teisių chartiją.

(277)

Šios išvados yra pagrįstos atitinkama Jungtinės Karalystės vidaus tvarka ir jos tarptautiniais įsipareigojimais, visų pirma Europos žmogaus teisių konvencijos laikymusi ir priklausymu Europos Žmogaus Teisių Teismo jurisdikcijai. Todėl tokių tarptautinių įsipareigojimų paisymas yra ypač svarbus šio sprendimo vertinimo pagrindą sudarantis aspektas.

(278)

Valstybės narės ir jų institucijos privalo imtis priemonių, kurios yra būtinos siekiant užtikrinti atitiktį Sąjungos institucijų aktams, nes preziumuojama, kad Sąjungos institucijų teisės aktai yra teisėti, todėl sukelia teisinių pasekmių, kol nėra pripažinti netekusiais galios, panaikinti patenkinus ieškinį dėl panaikinimo, paskelbti negaliojančiais išnagrinėjus prašymą priimti prejudicinį sprendimą arba neteisėtumu grindžiamą prieštaravimą.

(279)

Todėl Komisijos sprendimas dėl tinkamumo, kurį ji priėmė pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį, yra privalomas visoms valstybių narių, kurioms jis skirtas, institucijoms, įskaitant šių valstybių narių nepriklausomas priežiūros institucijas. Visų pirma taikant šį sprendimą, perdavimai iš Europos Sąjungos duomenų valdytojo arba duomenų tvarkytojo Jungtinėje Karalystėje esantiems duomenų valdytojams arba duomenų tvarkytojams gali vykti be jokio papildomo leidimo.

(280)

Reikėtų priminti, kad pagal Reglamento (ES) 2016/679 58 straipsnio 5 dalį ir kaip išaiškinta Teisingumo Teismo sprendime Schrems (507), jeigu nacionalinė duomenų apsaugos institucija abejoja, įskaitant tuos atvejus, kai pateikiamas skundas, dėl Komisijos sprendimo dėl tinkamumo derėjimo su asmens pagrindinėmis teisėmis į privatumą ir duomenų apsaugą, nacionalinėje teisėje Komisijai turi būti numatyta teisinė teisių gynimo priemonė, kad ji šiuos prieštaravimus galėtų pareikšti nacionaliniame teisme, kuriam gali prireikti pateikti Teisingumo Teismui prašymą priimti prejudicinį sprendimą (508).

(281)

Pagal Reglamento (ES) 2016/679 45 straipsnio 4 dalį Komisija privalo nuolat stebėti atitinkamus pokyčius Jungtinėje Karalystėje po to, kai bus priimtas šis sprendimas, siekdama įvertinti, ar ji vis dar užtikrina iš esmės lygiavertį apsaugos lygį. Tokia stebėsena yra ypač svarbi šiuo atveju, nes Jungtinė Karalystė administruos, taikys ir užtikrins naują duomenų apsaugos režimą, kuriam nebetaikoma Europos Sąjungos teisė ir kuris gali būti keičiamas. Šiuo atžvilgiu ypač bus stebima, kaip Jungtinė Karalystė praktiškai laikysis taisyklių dėl asmens duomenų perdavimo trečiosioms šalims, ir tai, kokį poveikį tai gali turėti pagal šį sprendimą perduodamų duomenų apsaugos lygiui; užtikrinant veiksmingą asmens teisių įgyvendinimą, įskaitant visus atitinkamus teisės aktų ir praktikos pokyčius, susijusius su išimtimis dėl tokių teisių taikymo išimtimis ar apribojimais (visų pirma su išimtimi dėl veiksmingos imigracijos kontrolės); Ir kaip laikomasi apribojimų ir apsaugos priemonių, taikomų valdžios institucijų prieigai. Be kita ko, Komisija stebės teismų praktikos raidą ir informacijos komisaro bei kitų nepriklausomų įstaigų vykdomą priežiūrą.

(282)

Siekiant palengvinti šią stebėseną Jungtinės Karalystės institucijos turėtų nedelsdamos informuoti Komisiją apie bet kokius materialinius Jungtinės Karalystės teisinės tvarkos pokyčius, kurie daro poveikį pagal šį sprendimą reglamentuojamai teisinei sistemai, taip pat apie bet kokius praktikos, susijusios su šiame sprendime vertinamų asmens duomenų tvarkymu, pokyčius, tiek kiek tai susiję su duomenų valdytojų ir tvarkytojų pagal Jungtinės Karalystės BDAR vykdomu asmens duomenų tvarkymu, tiek taikant apribojimus ir apsaugos priemones, galiojančias valdžios institucijoms prieinant prie asmens duomenų. Be kita ko, turėtų būti pranešama ir apie pokyčius, susijusius su (281)konstatuojamojoje dalyje nurodytais elementais..

(283)

Taip pat pažymėtina, jog tam, kad Komisija galėtų veiksmingai vykdyti stebėsenos funkciją, valstybės narės turėtų Komisijai pranešti apie visus atitinkamus veiksmus, kurių ėmėsi nacionalinės duomenų apsaugos institucijos, visų pirma dėl ES duomenų subjektų užklausų ar skundų, susijusių su asmens duomenų perdavimu iš Sąjungos duomenų valdytojams ar tvarkytojams Jungtinėje Karalystėje. Komisijai taip pat reikėtų pranešti apie bet kokius požymius, kad Jungtinės Karalystės valdžios institucijų, atsakingų už nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar persekiojimą už jas, arba atsakingų už nacionalinį saugumą, įskaitant bet kokias priežiūros įstaigas, veiksmais nėra užtikrinama reikiamo lygio apsauga.

(284)

Jeigu iš turimos informacijos, ypač iš informacijos, surinktos vykdant stebėseną pagal šį sprendimą, arba iš informacijos, kurią pateikia Jungtinės Karalystės arba valstybių narių institucijos, paaiškėja, kad Jungtinėje Karalystėje užtikrinamas duomenų apsaugos lygis nebėra pakankamas, Komisija turėtų apie tai informuoti kompetentingas Jungtinės Karalystės institucijas ir paprašyti per nustatytą terminą (jis negali būti ilgesnis nei trys mėnesiai) imtis tinkamų priemonių. Prireikus, atsižvelgiant į svarstomo klausimo pobūdį ir (arba) priemones, kurių reikia imtis, šis terminas gali būti pratęstas nustatytam laikui. Pavyzdžiui, tokia procedūra būtų taikoma tais atvejais, kai tolesnis duomenų perdavimas, be kita ko, remiantis Valstybės sekretoriaus priimtomis naujomis tinkamumo taisyklėmis arba Jungtinės Karalystės sudarytais tarptautiniais susitarimais, nebebūtų vykdomas taikant apsaugos priemones, kuriomis užtikrinamas apsaugos tęstinumas, kaip apibrėžta Reglamento (ES) 2016/679 44 straipsnyje.

(285)

Jeigu, pasibaigus tam konkrečiam terminui, Jungtinės Karalystės kompetentingos institucijos nesiima tos priemonės arba kitaip įtikinamai neįrodo, kad šis sprendimas toliau grindžiamas tinkamu apsaugos lygiu, Komisija inicijuos Reglamento (ES) 2016/679 93 straipsnio 2 dalyje nurodytą procedūrą, siekdama iš dalies arba visiškai sustabdyti šio sprendimo galiojimą arba jį panaikinti.

(286)

Kitu atveju Komisija pradės šią procedūrą, siekdama iš dalies pakeisti šį sprendimą, visų pirma nustatydama, kad duomenų perdavimui taikomos papildomos sąlygos, arba apribodama išvados dėl tinkamumo aprėptį taip, kad į ją patektų tik toks duomenų perdavimas, kurį vykdant toliau užtikrinamas apsaugos tęstinumas.

(287)

Remdamasi tinkamai pagrįstais imperatyviais skubos pagrindais, Komisija pasinaudos galimybe pagal Reglamento (ES) 2016/679 93 straipsnio 3 dalyje nustatytą procedūrą priimti nedelsiant taikytinus įgyvendinimo aktus, kuriais sprendimo galiojimas sustabdomas, sprendimas panaikinamas arba iš dalies pakeičiamas.

(288)

Komisija privalo atsižvelgti į tai, kad, pasibaigus Susitarime dėl išstojimo nustatytam pereinamajam laikotarpiui, ir iš karto, kai nebebus taikomas ES ir Jungtinės Karalystės prekybos ir bendradarbiavimo susitarimo straipsnis 782, Jungtinė Karalystė administruos, taikys ir užtikrins naują duomenų apsaugos režimą, palyginti su tuo, kuris galiojo tuo metu, kai Jungtinė Karalystė buvo saistoma ES teisės. Tai visų pirma gali būti susiję su šiame sprendime vertinamos duomenų apsaugos sistemos pakeitimais arba pokyčiais, taip pat su kitomis atitinkamomis tendencijomis.

(289)

Todėl šiame sprendime tikslinga numatyti, kad sprendimas bus taikomas ketverius metus nuo įsigaliojimo.

(290)

Visų pirma, jeigu iš informacijos, kuri bus surinkta vykdant stebėseną pagal šį sprendimą, paaiškės, kad nustatyti faktai dėl Jungtinėje Karalystėje užtikrinamo duomenų apsaugos lygio tinkamumo faktiniu ir teisiniu požiūriais tebegalioja, Komisija turėtų ne vėliau kaip likus šešiems mėnesiams iki šio sprendimo galiojimo pabaigos pradėti šio sprendimo keitimo procedūrą ir, visų pirma, laikino taikymo laikotarpį pratęsti dar ketveriems metams. Bet koks įgyvendinimo aktas, kuriuo iš dalies keičiamas šis sprendimas, turi būti priimtas laikantis Reglamento (ES) 2016/679 93 straipsnio 2 dalyje nurodytos procedūros.

(291)

Europos duomenų apsaugos valdyba paskelbė savo nuomonę (509), į kurią buvo atsižvelgta rengiant šį sprendimą.

(292)

Šiame sprendime numatytos priemonės atitinka pagal Reglamento (ES) 2016/679 93 straipsnį įsteigto komiteto nuomonę,