(1)

Ar Regulu (ES) 2016/679 ir paredzēti noteikumi, saskaņā ar kuriem Eiropas Savienībā esoši pārziņi vai apstrādātāji var nosūtīt personas datus trešām valstīm un starptautiskām organizācijām, ciktāl šāda nosūtīšana ietilpst regulas piemērošanas jomā. Noteikumi par datu starptautisku nosūtīšanu ir izklāstīti minētās regulas V nodaļā, tas ir, tās 44.–50. pantā. Lai gan personas datu plūsma uz valstīm ārpus Eiropas Savienības un no tām ir būtiska starptautiskās sadarbības un pārrobežu tirdzniecības paplašināšanas nodrošināšanai, datu nosūtīšana uz trešām valstīm nedrīkst samazināt Eiropas Savienībā nodrošināto personas datu aizsardzības līmeni (2).

(2)

Atbilstoši Regulas (ES) 2016/679 45. panta 3. punktam Komisija ar īstenošanas aktu var nolemt, ka trešā valsts, trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni. Saskaņā ar šo nosacījumu personas datu nosūtīšana uz trešo valsti var notikt bez nepieciešamības saņemt jebkādu turpmāku atļauju, kā paredzēts minētās regulas 45. panta 1. punktā un 103. apsvērumā.

(3)

Kā norādīts Regulas (ES) 2016/679 45. panta 2. punktā, lēmums par aizsardzības līmeņa pietiekamību jāpieņem, pamatojoties uz visaptverošu trešās valsts tiesību sistēmas analīzi, gan attiecībā uz noteikumiem, kas piemērojami datu importētājiem, gan attiecībā uz ierobežojumiem un garantijām saistībā ar publisko iestāžu piekļuvi personas datiem. Komisijai novērtējumā jānosaka, vai attiecīgā trešā valsts garantē aizsardzības līmeni, kurš “pēc būtības ir līdzvērtīgs” Eiropas Savienībā nodrošinātajam (Regulas (ES) 2016/679 104. apsvērums). Standarts, pēc kura tiek novērtēta “līdzvērtība pēc būtības”, ir paredzēts Eiropas Savienības tiesību aktos, jo īpaši Regulā (ES) 2016/679, kā arī Eiropas Savienības Tiesas judikatūrā (3). Šajā ziņā būtiska nozīme ir arī Eiropas Datu aizsardzības kolēģijas (EDAK) pieņemtajām aizsardzības līmeņa pietiekamības atsaucēm (4).

(4)

Kā ir precizējusi Eiropas Savienības Tiesa, tas nenozīmē, ka ir jākonstatē identisks aizsardzības līmenis (5). Konkrēti, attiecīgās trešās valsts izmantotie līdzekļi personas datu aizsardzībai var atšķirties no Eiropas Savienībā izmantotajiem, kamēr vien tie praksē efektīvi nodrošina pietiekamu aizsardzības līmeni (6). Tāpēc aizsardzības līmeņa pietiekamības standarts neparedz Savienības noteikumu precīzu replicēšanu. Pārbaude drīzāk atklāj, vai attiecīgās valsts tiesību sistēma spēj nodrošināt nepieciešamo aizsardzības līmeni, ņemot vērā tiesību uz datu aizsardzību būtību un to efektīvu īstenošanu, uzraudzību un izpildi (7).

(5)

Komisija ir rūpīgi izanalizējusi Apvienotās Karalistes attiecīgos tiesību aktu un praksi. Pamatojoties uz 8.–270. apsvērumā izklāstītajiem konstatējumiem, Komisija secina, ka personas datiem, kas tiek nosūtīti no Eiropas Savienības uz Apvienoto Karalisti Regulas (ES) 2016/679 piemērošanas jomas ietvaros, Apvienotā Karaliste nodrošina pietiekamu aizsardzības līmeni.

(6)

Šis secinājums neattiecas uz personas datiem, kas nosūtīti Apvienotās Karalistes imigrācijas kontroles vajadzībām vai uz ko citādi attiecas atbrīvojums no konkrētām datu subjektu tiesībām efektīvas imigrācijas kontroles nodrošināšanas vajadzībām (“imigrācijas atbrīvojums”) saskaņā ar Apvienotās Karalistes Datu aizsardzības likuma 2. pielikuma 4. punkta 1. apakšpunktu. Imigrācijas atbrīvojuma spēkā esība un interpretācija saskaņā ar Apvienotās Karalistes tiesību aktiem nav noteikta; tas ir saistīts ar lēmumu, kuru 2021. gada 26. maijā pieņēmusi Anglijas un Velsas Apelācijas tiesa. Lai gan Apelācijas tiesa atzīst, ka datu subjektu tiesības kā svarīgs sabiedrības interešu aspekts principā var tikt ierobežotas imigrācijas kontroles vajadzībām, tā ir konstatējusi, ka imigrācijas atbrīvojums pašreizējā formā nav saderīgs ar Apvienotās Karalistes tiesību aktiem, jo leģislatīvajam pasākumam nav konkrētu noteikumu, ar kuriem paredz Apvienotās Karalistes Vispārīgās datu aizsardzības regulas (Apvienotās Karalistes VDAR) 23. panta 2. punktā uzskaitītās garantijas (8). Šajos apstākļos tādu personas datu nosūtīšana no ES uz Apvienoto Karalisti, kuriem var piemērot imigrācijas atbrīvojumu, būtu jāizslēdz no šā lēmuma darbības jomas (9). Tiklīdz nesaderība ar Apvienotās Karalistes tiesību aktiem būs novērsta, būtu atkārtoti jāizvērtē imigrācijas atbrīvojums, kā arī nepieciešamība saglabāt šā lēmuma darbības jomas ierobežojumus.

(7)

Šim lēmumam nevajadzētu ietekmēt Regulas (ES) 2016/679 tiešu piemērošanu organizācijām, kas ir reģistrētas Apvienotajā Karalistē, ja ir izpildīti šīs regulas 3. pantā paredzētie nosacījumi attiecībā uz tās teritoriālo darbības jeb piemērošanas jomu.

(8)

Apvienotā Karaliste ir parlamentāra demokrātija, un saskaņā ar konstitūciju valsts galva ir monarhs. Tai ir suverēns parlaments (augstāks par visām valdības iestādēm), parlamenta izveidota un tā priekšā atbildīga izpildvara, kā arī neatkarīga tiesu vara. Izpildvaras pilnvaras izriet no tās spējas gūt ievēlētās Pārstāvju palātas uzticību, un tā par savu darbību atbild abām parlamenta palātām, kas ir atbildīgas par valdības pārbaudi, kā arī tiesību aktu apspriešanu un to pieņemšanu.

(9)

Apvienotās Karalistes parlaments ir deleģējis Skotijas parlamentam, Velsas parlamentam (Senedd Cymru) un Ziemeļīrijas asamblejai atbildību par tiesību aktu izstrādi attiecībā uz tādiem vietējiem jautājumiem Skotijā, Velsā un Ziemeļīrijā, kuru reglamentēšana nav Apvienotās Karalistes parlamenta kompetencē. Lai gan datu aizsardzība ir Apvienotās Karalistes parlamenta kompetencē, t. i., vienus un tos pašus tiesību aktus piemēro visā valstī, citas ar šo lēmumu saistītās politikas jomas ir decentralizētas. Piemēram, Skotijas un Ziemeļīrijas krimināltiesību sistēmas, tostarp policijas darbs, ir deleģētas attiecīgi Skotijas parlamentam un Ziemeļīrijas asamblejai. Apvienotajā Karalistē nepastāv kodificēta konstitūcija kā iesakņojies konstitucionāls dokuments. Konstitucionālie principi ir attīstījušies laika gaitā, jo īpaši no judikatūras un paražām. Tiesas ir atzinušas, ka dažiem likumiem, piemēram, Lielajai brīvības hartai, 1689. gada Tiesību likumam un 1998. gada Cilvēktiesību likumam, ir konstitucionāls saturs. Cilvēka pamattiesības kā daļa no konstitūcijas ir attīstītas, izmantojot anglosakšu tiesības, iepriekš minētos likumus un starptautiskos līgumus, jo īpaši Eiropas Cilvēktiesību konvenciju, ko Apvienotā Karaliste ratificēja 1951. gadā. Apvienotā Karaliste 1987. gadā ir arī ratificējusi Eiropas Padomes Konvenciju par personu aizsardzību attiecībā uz personas datu automātisko apstrādi (Konvencija Nr. 108) (10).

(10)

Ar 1998. gada Cilvēktiesību likumu Apvienotās Karalistes tiesību aktos ir iekļautas Eiropas Cilvēktiesību konvencijā paredzētās tiesības. Ar Cilvēktiesību likumu ikvienai personai ir piešķirtas pamattiesības un pamatbrīvības, kas paredzētas Eiropas Cilvēktiesību konvencijas 2.–12. pantā un 14. pantā, tās pirmā protokola 1., 2. un 3. pantā un tās trīspadsmitā protokola 1. pantā, ko skata kopā ar šīs konvencijas 16., 17. un 18. pantu. Tas ietver tiesības uz privātās un ģimenes dzīves neaizskaramību (un šo tiesību ietvaros tiesības uz datu aizsardzību) un tiesības uz lietas taisnīgu izskatīšanu (11). Konkrēti, saskaņā ar iepriekš minētās konvencijas 8. pantu publiskā iestāde (institūcija) var traucēt baudīt tiesības uz privātumu tikai gadījumos, kas ir paredzēti likumā un ir nepieciešami demokrātiskā sabiedrībā, lai aizsargātu valsts un sabiedrisko drošību vai valsts ekonomiskās labklājības intereses, lai nepieļautu nekārtības vai noziegumus, lai aizsargātu veselību vai tikumību vai lai aizstāvētu citu tiesības un brīvības.

(11)

Saskaņā ar 1998. gada Cilvēktiesību likumu visām publisko iestāžu darbībām jābūt saderīgām ar konvencijā paredzētajām tiesībām (12). Turklāt primārie un sekundārie tiesību akti ir jāskata un jāpiemēro tā, lai tie būtu saderīgi ar konvencijā paredzētajām tiesībām (13).

(12)

Apvienotā Karaliste 2020. gada 31. janvārī izstājās no Eiropas Savienības. Pamatojoties uz Līgumu par Lielbritānijas un Ziemeļīrijas Apvienotās Karalistes izstāšanos no Eiropas Savienības un Eiropas Atomenerģijas kopienas (14), Savienības tiesību aktu piemērošana Apvienotajā Karalistē turpinājās pārejas periodā līdz 2020. gada 31. decembrim. Pirms izstāšanās un pārejas periodā tiesisko regulējumu personas datu aizsardzībai Apvienotajā Karalistē veidoja attiecīgie ES tiesību akti (jo īpaši Eiropas Parlamenta un Padomes Regula (ES) 2016/679 un Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (15)) un valsts tiesību akti, jo īpaši 2018. gada Datu aizsardzības likums (turpmāk “2018. gada DAL”) (16), kurā, ja to atļāva Regula (ES) 2016/679, bija paredzēti valsts noteikumi, kas precizēja un ierobežoja Regulas (ES) 2016/679 prasību piemērošanu, un ar kuru tika transponēta Direktīva (ES) 2016/680.

(13)

Veicot sagatavošanās pasākumus nolūkā izstāties no Eiropas Savienības, Apvienotās Karalistes valdība pieņēma 2018. gada Likumu par izstāšanos no Eiropas Savienības (17), ar ko Apvienotās Karalistes tiesību aktos (18) iekļāva tieši piemērojamus Savienības tiesību aktus. Šie tā dēvētie “saglabātie ES tiesību akti” ietver Regulu (ES) 2016/679 pilnā apjomā (ieskaitot tās apsvērumus) (19). Minētais likums paredz, ka Apvienotās Karalistes tiesām negrozītie saglabātie ES tiesību akti ir jāinterpretē saskaņā ar Eiropas Savienības Tiesas attiecīgo judikatūru un Savienības tiesību aktu vispārējiem principiem, kā tie piemērojami tieši pirms pārejas perioda beigām (attiecīgi “saglabātā ES judikatūra” un “saglabātie ES tiesību aktu vispārējie principi”) (20).

(14)

Saskaņā ar 2018. gada Likumu par izstāšanos no Eiropas Savienības Apvienotās Karalistes ministri ir pilnvaroti, izmantojot normatīvos aktus, pieņemt sekundāros tiesību aktus ar mērķi veikt saglabātajos Eiropas Savienības tiesību aktos nepieciešamos grozījumus, kas izriet no Apvienotās Karalistes izstāšanās no Eiropas Savienības. Šīs pilnvaras tika izmantotas, pieņemot 2019. gada Datu aizsardzības, privātuma un elektronisko sakaru (ar grozījumiem) (Izstāšanās no ES) noteikumus (“DAPES noteikumi”) (21). Ar DAPES noteikumiem ir veikti grozījumi Regulā (ES) 2016/679, kas ir iestrādāta Apvienotās Karalistes tiesībās, pieņemot 2018. gada Likumu par izstāšanos no Eiropas Savienības, 2018. gada DAL un citus datu aizsardzības tiesību aktus, lai tie atbilstu vietējam kontekstam (22).

(15)

Tādējādi personas datu aizsardzības tiesisko regulējumu Apvienotajā Karalistē pēc pārejas perioda veido:

(16)

Tā kā Apvienotās Karalistes VDAR pamatā ir ES tiesību akti, datu aizsardzības noteikumi Apvienotajā Karalistē daudzos aspektos ir ļoti līdzīgi attiecīgajiem Eiropas Savienībā piemērojamajiem noteikumiem.

(17)

Papildus pilnvarām, kas ministram ir piešķirtas ar 2018. gada Likumu par izstāšanos no Eiropas Savienības, arī vairākos 2018. gada DAL noteikumos tam ir paredzētas pilnvaras pieņemt sekundāros tiesību aktus nolūkā grozīt atsevišķus likuma noteikumus vai pieņemt papildinošus vai papildu noteikumus (25). Ministrs līdz šim ir izmantojis tikai 2018. gada DAL 137. pantā noteiktās pilnvaras, lai pieņemtu 2019. gada Datu aizsardzības (maksas un informācija) (grozījums) noteikumus, kuros ir izklāstīti apstākļi, kādos datu pārziņiem ir jāmaksā ikgadējs maksājums neatkarīgai Apvienotās Karalistes datu aizsardzības iestādei, proti, informācijas komisāram (IK).

(18)

Papildu informācija par Apvienotās Karalistes datu aizsardzības tiesību aktiem ir sniegta prakses kodeksos un citos informācijas komisāra pieņemtos norādījumos. Lai gan, raugoties no oficiālā viedokļa, šie norādījumi nav juridiski saistoši, tiem ir interpretējošs spēks, un tajos ir izklāstīts, kā piemērojami datu aizsardzības tiesību akti un kā komisārs tos īsteno praksē. Konkrētāk, 2018. gada DAL 121.–125. pantā ir noteikts, ka komisāram jāsagatavo prakses kodeksi par datu apmaiņu, tiešo tirgvedību, vecumam atbilstošu noformējumu, datu aizsardzību un žurnālistiku.

(19)

Tādējādi Apvienotās Karalistes tiesiskais regulējums, kas attiecas uz datu nosūtīšanu atbilstīgi šim lēmumam, pēc struktūras un galvenajiem elementiem ir ļoti līdzīgs tam, ko piemēro Eiropas Savienībā. Minētais ietver arī to, ka regulējums balstās ne tikai uz pienākumiem, kas noteikti valsts tiesību aktos, kurus ietekmējuši ES tiesību akti, bet arī uz starptautiskajās tiesībās nostiprinātajām saistībām, jo īpaši tādēļ, ka Apvienotā Karaliste ievēro ECTK un Konvenciju Nr. 108, kā arī pakļaujas Eiropas Cilvēktiesību tiesas jurisdikcijai. Tādējādi šie pienākumi, kas izriet no juridiski saistošiem starptautiskiem instrumentiem, jo īpaši personas datu aizsardzības jomā, ir īpaši svarīgs šajā lēmumā vērtētā tiesiskā regulējuma elements.

(20)

Apvienotās Karalistes VDAR, līdzīgi Regulai (ES) 2016/679, attiecas uz personas datu apstrādi, ko pilnībā vai daļēji veic ar automatizētiem līdzekļiem, vai citādu apstrādi, ja personas dati veido daļu no kartotēkas (26). Apvienotās Karalistes VDAR izmantotās jēdzienu “personas dati”, “datu subjekts” un “apstrāde” definīcijas ir identiskas Regulā (ES) 2016/679 noteiktajām šo jēdzienu definīcijām (27). Turklāt Apvienotās Karalistes VDAR ir piemērojama tādu manuāli apstrādājamu nestrukturētu personas datu apstrādei (28), kas ir noteiktu Apvienotās Karalistes publisko iestāžu rīcībā (29), lai gan Apvienotās Karalistes VDAR paredzētie principi un tiesības, kas neattiecas uz šādiem personas datiem, saskaņā ar 2018. gada DAL 24. un 25. pantu nav piemērojami. Līdzīgi Regulā (ES) 2016/679 noteiktajam Apvienotās Karalistes VDAR nav piemērojama tādai personas datu apstrādei, ko persona veic tikai personiska vai mājsaimnieciska pasākuma gaitā (30).

(21)

Apvienotās Karalistes VDAR darbības jomā ietilpst arī apstrāde, kas veikta, īstenojot darbību, uz kuru tieši pirmspārejas perioda beigām neattiecās Eiropas Savienības tiesību akti (piemēram, valsts drošība) (31) vai kura ietilpa Līguma par Eiropas Savienību 5. sadaļas 2. nodaļas darbības jomā (kopējās ārpolitikas un drošības politikas darbības) (32). Līdzīgi kā Eiropas Savienības sistēmas ietvaros, Apvienotās Karalistes VDAR nav piemērojama personas datu apstrādei, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu (tā dēvētajā “tiesībaizsardzības nolūkā”) (šādu personas datu apstrādi reglamentē 2018. gada DAL 3. daļa, līdzīgi kā Direktīvas (ES) 2016/680 gadījumā Eiropas Savienības tiesību ietvaros), vai izlūkdienestu (Drošības dienesta, Slepenās izlūkošanas dienesta un Valdības sakaru štāba) veiktai personas datu apstrādei, uz ko attiecas 2018. gada DAL 4. daļa (33).

(22)

Apvienotās Karalistes VDAR teritoriālā piemērošanas joma ir aprakstīta Apvienotās Karalistes VDAR 3. pantā (34) un ietver personas datu apstrādi (neatkarīgi no tā, kur šī apstrāde tiek veikta), kas notiek saistībā ar darbībām, ko veic pārziņa vai apstrādātāja uzņēmējdarbības vietā Apvienotajā Karalistē, kā arī Apvienotajā Karalistē esošu datu subjektu personas datu apstrādi, ja apstrādes darbības ir saistītas ar preču vai pakalpojumu piedāvāšanu šādiem datu subjektiem vai viņu uzvedības novērošanu (35). Šis regulējums atspoguļo Regulas (ES) 2016/679 3. pantā izmantoto pieeju.

(23)

Apvienotās Karalistes VDAR bez būtiskām izmaiņām ir saglabātas Regulā (ES) 2016/679 noteiktās jēdzienu “personas dati”, “apstrāde”, “pārzinis” un “apstrādātājs” definīcijas, kā arī jēdziena “pseidonimizācija” definīcija (36). Īpašas datu kategorijas Apvienotās Karalistes VDAR 9. panta 1. punktā ir definētas tāpat kā Regulā (ES) 2016/679 (personas dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, ģenētiskie dati, biometriskie dati, kas nepieciešami, lai veiktu fiziskas personas unikālu identifikāciju, veselības dati vai dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju). 2018. gada DAL 205. pantā ir noteiktas jēdzienu “biometriskie dati” (37), “veselības dati” (38) un “ģenētiskie dati” (39) definīcijas.

(24)

Personas dati ir jāapstrādā likumīgi un godprātīgi.

(25)

Likumīguma, godprātības un pārredzamības principi un likumīgas apstrādes pamats Apvienotās Karalistes tiesību aktos ir garantēts ar Apvienotās Karalistes VDAR 5. panta 1. punkta a) apakšpunktu un 6. panta 1. punktu, kurā izklāstītās prasības ir identiskas ar attiecīgajiem noteikumiem Regulā (ES) 2016/679 (40). 2018. gada DAL 8. pants papildina 6. panta 1. punkta e) apakšpunktu, paredzot, ka Apvienotās Karalistes VDAR 6. panta 1. punkta e) apakšpunktā minētā personas datu apstrāde (kas ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtas oficiālas pilnvaras) ietver personas datu apstrādi, kas ir vajadzīga tiesas spriešanai, parlamenta palātu funkciju izpildei, tādas funkcijas izpildei, kuru persona ir pilnvarota veikt saskaņā ar likumdošanas instrumentu vai tiesību normu, valsts, valdības ministra vai valdības departamenta funkciju izpildei, vai darbību, kas atbalsta vai sekmē demokrātisku iesaistīšanos.

(26)

Arī attiecībā uz piekrišanu (vienu no likumīgas apstrādes pamatiem) Apvienotās Karalistes VDAR ir saglabāti negrozīti Regulas (ES) 2016/679 7. pantā paredzētie nosacījumi, proti, pārzinim jāspēj uzskatāmi parādīt, ka datu subjekts ir piekritis savu personas datu apstrādei, ir jāiesniedz rakstisks piekrišanas pieprasījums, izmantojot skaidru un vienkāršu valodu, datu subjektam jābūt tiesībām jebkurā laikā atsaukt piekrišanu, un, novērtējot to, vai piekrišana ir dota brīvi, jāņem vērā tas, vai līguma izpilde ir atkarīga no piekrišanas tādai personas datu apstrādei, kura nav nepieciešama minētā līguma izpildei. Turklāt saskaņā ar Apvienotās Karalistes VDAR 8. pantu informācijas sabiedrības pakalpojumu nodrošināšanas kontekstā bērna sniegta piekrišana ir likumīga tikai tad, ja bērns ir vismaz 13 gadu vecs. Šis vecums atbilst Regulas (ES) 2016/679 8. pantā noteiktajai vecuma grupai.

(27)

Būtu vajadzīgas īpašas garantijas gadījumos, kad tiek apstrādāti “īpašu kategoriju” dati.

(28)

Apvienotās Karalistes VDAR un 2018. gada DAL ir paredzētas konkrētas prasības attiecībā uz īpašu kategoriju personas datu apstrādi. Šīs kategorijas ir noteiktas Apvienotās Karalistes VDAR 9. panta 1. punktā tādā pašā veidā kā Regulā (ES) 2016/679 (sk. iepriekš 23. apsvērumu). Saskaņā ar Apvienotās Karalistes VDAR 9. pantu īpašu kategoriju datu apstrāde principā ir aizliegta, izņemot gadījumus, kad ir piemērojami īpaši izņēmumi.

(29)

Šie izņēmumi (uzskaitīti Apvienotās Karalistes VDAR 9. panta 2. un 3. punktā) pēc būtības neatšķiras no Regulas (ES) 2016/679 9. panta 2. un 3. punktā noteiktajiem izņēmumiem. Ja datu subjekts nav devis nepārprotamu piekrišanu šo personas datu apstrādei, īpašu kategoriju personas datu apstrāde ir atļauta tikai konkrētos un ierobežotos apstākļos. Vairumā gadījumu sensitīvu datu apstrādei jābūt nepieciešamai (jeb vajadzīgai) konkrētam attiecīgajos noteikumos paredzētam nolūkam (sk. 9. panta 2. punkta b), c), f), g), h), i) un j) apakšpunktu).

(30)

Turklāt, ja Apvienotās Karalistes VDAR 9. panta 2. punktā minētajā izņēmumā noteikta prasība par likumā paredzētu pilnvarojumu vai sniegta atsauce uz sabiedrības interesēm, 2018. gada DAL 10. pantā un 1. pielikumā ir sīkāk izklāstīti nosacījumi, kas ir jāizpilda, lai varētu piemērot izņēmumu. Piemēram, saistībā ar sensitīvu datu apstrādi nolūkā aizsargāt “sabiedrības veselību” (Apvienotās Karalistes VDAR 9. panta 2. punkta i) apakšpunkts) 1. pielikuma 1. daļas 3. punkta b) apakšpunktā ir noteikts, ka papildus nepieciešamības pārbaudei šādu apstrādi veic “veselības aprūpes speciālists vai veselības aprūpes speciālista atbildībā”, vai “cita persona, kurai ir jāievēro konfidencialitāte saskaņā ar likumdošanas instrumentu vai tiesību normu”, tostarp saskaņā ar vispāratzītu anglosakšu tiesībās noteiktu konfidencialitātes ievērošanas pienākumu.

(31)

Ja sensitīvus datus apstrādā būtisku sabiedrības interešu dēļ (Apvienotās Karalistes VDAR 9. panta 2. punkta g) apakšpunkts), 2018. gada DAL 1. pielikuma 2. daļā ir sniegts izsmeļošs tādu nolūku saraksts, kurus var uzskatīt par būtiskām sabiedrības interesēm, un attiecībā uz katru no šiem nolūkiem ir norādīti konkrēti papildu nosacījumi. Piemēram, organizāciju augstākā līmeņa darbinieku rasu un etniskās daudzveidības veicināšana ir atzīta par būtiskām sabiedrības interesēm. Uz sensitīvu datu apstrādi, kas veicama šajā konkrētajā nolūkā, attiecas sīki izstrādātas prasības, tostarp prasība, ka apstrāde ir jāveic tāda procesa ietvaros, kura mērķis ir noteikt darbam vadošos amatos piemērotas personas, ka apstrāde ir nepieciešama rasu un etniskās daudzveidības veicināšanai un ka šīs apstrādes rezultātā datu subjektam nevarētu tikt radīts būtisks kaitējums vai būtiska spriedze.

(32)

2018. gada DAL 11. panta 1. punktā ir paredzēti nosacījumi, kas attiecas uz personas datu apstrādi Apvienotās Karalistes VDAR 9. panta 3. punktā aprakstītajās situācijās saistībā ar slepenības ievērošanas pienākumu. Tie cita starpā attiecas uz situācijām, kad personas datu apstrādi veic veselības aprūpes speciālists vai veselības aprūpes speciālista atbildībā, vai sociālā darba speciālists, vai cita persona, kurai saskaņā ar likumdošanas instrumentu vai tiesību normu attiecīgajā situācijā ir jāievēro konfidencialitāte.

(33)

Turklāt, lai izmantotu daudzus no Apvienotās Karalistes VDAR 9. panta 2. punktā uzskaitītajiem izņēmumiem, ir jānodrošina atbilstošas un īpašas garantijas. 2018. gada DAL 1. pielikumā paredzētie apstrādes nosacījumi paredz dažādas garantijas atkarībā no apstrādes rakstura un datu subjektu tiesībām un brīvībām radītā riska līmeņa. 1. pielikumā ir paredzēti nosacījumi attiecībā uz katru apstrādes situāciju.

(34)

Lai nodrošinātu atbilstību konkrētam juridiskajam pamatam, dažos gadījumos 2018. gada DAL ir reglamentēti un ierobežoti sensitīvu datu veidi, kurus drīkst apstrādāt. Piemēram, 1. pielikuma 8. punktā ir atļauta sensitīvu datu apstrāde nolūkā veicināt iespēju vienlīdzību vai vienlīdzīgas attieksmes principa ievērošanu. Šo apstrādes nosacījumu var izmantot tikai tad, ja dati atklāj rases vai etnisko piederību, reliģisko vai filozofisko pārliecību, seksuālo orientāciju vai ja dati ir veselības dati.

(35)

Dažos gadījumos 2018. gada DAL ir noteikti ierobežojumi attiecībā uz to, kāda veida pārziņi drīkst izmantot apstrādes nosacījumu. Piemēram, 1. pielikuma 23. punktā ir paredzēta sensitīvu datu apstrāde saistībā ar vēlētu pārstāvju sniegtām atbildēm sabiedrībai. Šo apstrādes nosacījumu var izmantot tikai tad, ja pārzinis ir ievēlētais pārstāvis vai rīkojas ievēlētā pārstāvja vārdā.

(36)

Dažos citos gadījumos 2018. gada DAL ir noteikti ierobežojumi attiecībā uz datu subjektu kategorijām, kurām var piemērot apstrādes nosacījumu. Piemēram, 1. pielikuma 21. punktā ir reglamentēta sensitīvu datu apstrāde saistībā ar arodpensiju shēmām. Šo nosacījumu var izmantot tikai tad, ja attiecīgais datu subjekts ir shēmas dalībnieka māsa/brālis, vecāks, vecvecāks vai vecvecvecāks.

(37)

Turklāt, izmantojot Apvienotās Karalistes VDAR 9. panta 2. punktā uzskaitītos izņēmumus, kas ir sīkāk izklāstīti 2018. gada DAL 10. pantā un 1. pielikumā, pārzinim vairumā gadījumu ir jāsagatavo “atbilstošs politikas dokuments”. Tajā ir jāapraksta pārziņa procedūras, kuru mērķis ir nodrošināt atbilstību Apvienotās Karalistes VDAR 5. pantā noteiktajiem principiem. Tajā arī jānosaka politika attiecībā uz datu glabāšanu un dzēšanu, norādot iespējamo glabāšanas ilgumu. Pārziņiem attiecīgā gadījumā šis dokuments ir jāpārskata un jāatjaunina. Pārzinim šis politikas dokuments ir jāsaglabā sešus mēnešus pēc apstrādes beigām un pēc pieprasījuma jādara tas pieejams informācijas komisāram (41).

(38)

Saskaņā ar 2018. gada DAL 1. pielikuma 41. punktu politikas dokumentam vienmēr jāpievieno apstrādes darbību padziļinātas uzskaites reģistrs. Šajā reģistrā ir jāatspoguļo politikas dokumentā iekļauto saistību izpilde, t. i., vai dati tiek dzēsti vai saglabāti saskaņā ar politiku. Ja politika nav ievērota, reģistrā ir jānorāda iemesli. Reģistrā arī jāapraksta tas, kā tiek nodrošināta apstrādes atbilstība Apvienotās Karalistes VDAR 6. pantam (apstrādes likumīgums), kā arī jānorāda, kurš no 2018. gada DAL 1. pielikumā uzskaitītajiem nosacījumiem ir piemērots konkrētajā situācijā.

(39)

Visbeidzot, arī Apvienotās Karalistes VDAR tāpat kā Regulā (ES) 2016/679 ir paredzētas vispārējas garantijas attiecībā uz noteiktām īpašu kategoriju datu apstrādes darbībām. Apvienotās Karalistes VDAR 35. pantā ir noteikta prasība veikt novērtējumu par ietekmi uz datu aizsardzību, ja īpašas datu kategorijas tiek apstrādātas plašā mērogā. Saskaņā ar Apvienotās Karalistes VDAR 37. pantu gadījumā, ja pārziņa vai apstrādātāja pamatdarbības ietver īpašu kategoriju datu apstrādi plašā mērogā, pārzinim vai apstrādātājam ir jāieceļ datu aizsardzības speciālists.

(40)

Saistībā ar personas datiem par sodāmību un pārkāpumiem Apvienotās Karalistes VDAR 10. pants ir identisks ar Regulas (ES) 2016/679 10. pantu. Tajā ir noteikts, ka apstrādāt personas datus par sodāmību un pārkāpumiem ir atļauts tikai oficiālas iestādes kontrolē vai tad, ja apstrādi atļauj valsts tiesību akti, paredzot atbilstošas garantijas datu subjektu tiesībām un brīvībām.

(41)

Ja personas dati par sodāmību un pārkāpumiem netiek apstrādāti oficiālas iestādes kontrolē, 2018. gada DAL 10. panta 5. punktā ir noteikts, ka šādu apstrādi var veikt tikai konkrētos nolūkos / īpašās situācijās, kas ir norādītas 2018. gada DAL 1. pielikuma 1., 2. un 3. daļā, un ka uz šādu apstrādi attiecas konkrētas prasības, kas ir noteiktas saistībā ar katru no šiem nolūkiem/situācijām. Piemēram, datus par sodāmību drīkst apstrādāt bezpeļņas struktūras, ja apstrādi veic a) fonds, apvienība vai cita bezpeļņas struktūra, kas to dara ar politisku, filozofisku, reliģisku vai ar arodbiedrībām saistītu mērķi, veicot leģitīmas darbības un nodrošinot atbilstošas garantijas, un b) ar nosacījumu, i) ka apstrāde attiecas tikai uz šīs struktūras locekļiem vai bijušajiem locekļiem, vai personām, kas ar šo struktūru uztur regulārus sakarus saistībā ar tās nolūkiem, un ii) ka bez datu subjektu piekrišanas personas datus neizpauž ārpus minētās struktūras.

(42)

Turklāt 2018. gada DAL 1. pielikuma 3. daļā ir paredzēti papildu apstākļi, kuros var izmantot datus par sodāmību un kuri atbilst Regulā (ES) 2016/679 9. panta 2. punktā un Apvienotās Karalistes VDAR noteiktajiem sensitīvu datu apstrādes juridiskajam pamatam (piemēram, datu subjekta dota piekrišana, personas vitālas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu, ja datu subjekts datus jau ir apzināti publiskojis, ja apstrāde ir nepieciešama, lai celtu, īstenotu vai aizstāvētu likumīgas prasības utt.).

(43)

Personas dati būtu jāapstrādā konkrētā nolūkā, un pēc tam tos var izmantot, ciktāl tas nav pretrunā apstrādes nolūkam.

(44)

Šis princips ir paredzēts Regulas (ES) 2016/679 5. panta 1. punkta b) apakšpunktā un bez izmaiņām ir saglabāts Apvienotās Karalistes VDAR 5. panta 1. punkta b) apakšpunktā. Apvienotās Karalistes VDAR 6. panta 4. punkta a)–e) apakšpunktā bez būtiskām izmaiņām ir saglabāti arī nosacījumi turpmākai saderīgai apstrādei saskaņā ar Regulas (ES) 2016/679 6. panta 4. punktu.

(45)

Turklāt datiem būtu jābūt precīziem un nepieciešamības gadījumā atjauninātiem. Tiem vajadzētu būt arī adekvātiem, atbilstīgiem un nevajadzētu būt pārmērīgiem, ņemot vērā nolūkus, kādos tie tiek apstrādāti, un tie principā nebūtu jāglabā ilgāk nekā nepieciešams nolūkiem, kādos personas datus apstrādā.

(46)

Šie datu minimizēšanas, precizitātes un glabāšanas ierobežojuma principi ir izklāstīti Regulas (ES) 2016/679 5. panta 1. punkta c)–e) apakšpunktā, un tie bez izmaiņām ir saglabāti Apvienotās Karalistes VDAR 5. panta 1. punkta c)–e) apakšpunktā.

(47)

Personas dati arī būtu jāapstrādā tā, ka tiek nodrošināta to drošība, kas ietver aizsardzību pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu. Tālab uzņēmējiem būtu jāveic atbilstoši tehniskie vai organizatoriskie pasākumi, lai aizsargātu personas datus no iespējamiem apdraudējumiem. Šie pasākumi būtu jānovērtē, ņemot vērā faktisko situāciju un saistītās izmaksas.

(48)

Datu drošība Apvienotās Karalistes tiesību aktos ir nostiprināta, paredzot konfidencialitātes un integritātes principu Apvienotās Karalistes VDAR 5. panta 1. punkta f) apakšpunktā, kā arī Apvienotās Karalistes VDAR 32. pantā par apstrādes drošību. Šie noteikumi ir identiski ar attiecīgajiem Regulas (ES) 2016/679 nosacījumiem. Turklāt saskaņā ar tādiem pašiem nosacījumiem, kādi ir paredzēti Regulas (ES) 2016/679 33. un 34. pantā, Apvienotās Karalistes VDAR ir noteikta prasība paziņot par personas datu aizsardzības pārkāpumu uzraudzības iestādei (Apvienotās Karalistes VDAR 33. pants) un informēt par personas datu aizsardzības pārkāpumu datu subjektu (Apvienotās Karalistes VDAR 34. pants).

(49)

Datu subjektiem vajadzētu būt informētiem par viņu personas datu apstrādes galvenajām iezīmēm.

(50)

To nodrošina Apvienotās Karalistes VDAR 13. un 14. pants, kurā papildus vispārējam pārredzamības principam ir paredzēti noteikumi par datu subjektam sniedzamo informāciju (42). Salīdzinājumā ar attiecīgajiem Regulas (ES) 2016/679 pantiem Apvienotās Karalistes VDAR šie noteikumi nav būtiski grozīti. Tomēr, tāpat kā Regulas (ES) 2016/679 gadījumā, uz šajos pantos paredzētajām pārredzamības prasībām attiecas vairāki 2018. gada DAL noteikti izņēmumi (sk. 55.–72. apsvērumu).

(51)

Datu subjektiem būtu jābūt noteiktām tiesībām, kas ir īstenojamas attiecībā uz pārzini vai apstrādātāju, jo īpaši tiesībām piekļūt datiem, tiesībām iebilst pret apstrādi un tiesībām panākt datu labošanu vai dzēšanu. Tajā pašā laikā uz šīm tiesībām var attiekties ierobežojumi, ja tie ir nepieciešami un samērīgi, lai garantētu sabiedrisko drošību vai citu svarīgu vispārējo sabiedrības interešu mērķu īstenošanu.

(52)

Apvienotās Karalistes VDAR nodrošina personām tādas pašas īstenojamas tiesības kā Regula (ES) 2016/679. Noteikumi, kuros ir paredzētas personu tiesības, ir saglabāti Apvienotās Karalistes VDAR bez būtiskām izmaiņām,

(53)

Šie noteikumi ietver datu subjekta piekļuves tiesības (Apvienotās Karalistes VDAR 15. pants), tiesības uz labot (Apvienotās Karalistes VDAR 16. pants), tiesības uz dzēšanu (Apvienotās Karalistes VDAR 17. pants), tiesības uz apstrādes ierobežošanu (Apvienotās Karalistes VDAR 18. pants), pienākumu ziņot par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu (Apvienotās Karalistes VDAR 19. pants), tiesības uz datu pārnesamību (Apvienotās Karalistes VDAR 20. pants), kā arī tiesības iebilst (Apvienotās Karalistes VDAR 21. pants) (43). Tiesības iebilst ietver arī Regulas (ES) 2016/679 21. panta 2. un 3. punktā minētās datu subjekta tiesības iebilst pret personas datu apstrādi tiešās tirgvedības vajadzībām. Turklāt saskaņā ar 2018. gada DAL 122. pantu informācijas komisāram ir jāsagatavo prakses kodekss saistībā ar tiešās tirgvedības veikšanu saskaņā ar datu aizsardzības tiesību aktu prasībām (un 2003. gada Noteikumiem par privātumu un elektroniskajiem sakariem (EK direktīva)), kā arī tādiem citiem norādījumiem labas prakses veicināšanai tiešās tirgvedības jomā, kurus komisārs uzskata par atbilstošiem. Informācijas komisāra birojs pašlaik izstrādā tiešās tirgvedības kodeksu (44).

(54)

VDAR 22. pantā paredzētās datu subjekta tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, kas attiecībā uz datu subjektu rada tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē datu subjektu, bez būtiskām izmaiņām ir saglabātas arī Apvienotās Karalistes VDAR. Tomēr ir pievienots 3.A punkts nolūkā sniegt atsauci uz 2018. gada DAL 14. pantu, kurā ir izklāstītas datu subjektu tiesību, brīvību un leģitīmo interešu garantijas gadījumos, kad tiek veikta datu apstrāde atbilstīgi Apvienotās Karalistes VDAR 22. panta 2. punkta b) apakšpunktam. Tas attiecas tikai uz gadījumiem, kad šāda lēmuma pamatā ir atļauja vai prasība saskaņā ar Apvienotās Karalistes tiesību aktiem, un neattiecas uz gadījumiem, kad šāds lēmums ir nepieciešams saskaņā ar līgumu vai ir pieņemts, pamatojoties uz datu subjekta nepārprotamu piekrišanu. Ja ir piemērojams 2018. gada DAL 14. pants, pārzinim, tiklīdz tas ir praktiski iespējams, ir rakstiski jāpaziņo datu subjektam par to, ka lēmums ir pieņemts, pamatojoties tikai uz automatizētu apstrādi. Datu subjektam ir tiesības pieprasīt, lai pārzinis mēneša laikā pēc paziņojuma saņemšanas pārskatītu lēmumu vai pieņemtu jaunu lēmumu, kura pamatā nav tikai automatizēta apstrāde. Ministrs ir pilnvarots pieņemt papildu garantijas saistībā ar automatizētu lēmumu pieņemšanu. Šīs pilnvaras vēl nav izmantotas.

(55)

2018. gada DAL ir paredzēti vairāki individuālo tiesību ierobežojumi, kas iederas Apvienotās Karalistes VDAR 23. pantā noteiktajā regulējumā. Šajā regulējumā nav iekļauti nekādi ierobežojumi attiecībā uz tiesībām iebilst pret tiešo tirgvedību, kā paredzēts Apvienotās Karalistes VDAR 21. panta 2. un 3. punktā, vai attiecībā uz tiesībām nebūt automatizētas lēmumu pieņemšanas subjektam, kā paredzēts Apvienotās Karalistes VDAR 22. pantā.

(56)

Ierobežojumi ir izklāstīti 2018. gada DAL 2.–4. pielikumā. Apvienotās Karalistes iestādes ir skaidrojušas, ka to rīcību nosaka divi principi: konkrētības princips (detalizētas pieejas izmantošana, sadalot plašus ierobežojumus vairākos konkrētos noteikumos) un nosacījumu princips (katrs noteikums ir papildināts ar garantijām ierobežojumu vai nosacījumu veidā nolūkā nepieļaut ļaunprātīgu izmantošanu) (45).

(57)

Apvienotās Karalistes VDAR 23. panta 1. punktā aprakstītie ierobežojumi ir izstrādāti nolūkā nodrošināt to piemērošanu tikai konkrētos apstākļos, ja šī piemērošana ir nepieciešama demokrātiskā sabiedrībā un ir samērīga ar minēto ierobežojumu leģitīmo mērķi. Turklāt saskaņā ar iedibināto judikatūru attiecībā uz ierobežojumu interpretāciju atbrīvojumu no datu aizsardzības režīma var piemērot tikai konkrētā gadījumā, ja šāda piemērošana ir nepieciešama un samērīga (46). Ir noteikts, ka nepieciešamības pārbaudei ir jābūt “stingrai, un tā paredz, ka jebkuram subjekta tiesību ierobežojumam ir jābūt samērīgam ar sabiedrības interešu apdraudējumu. Tādējādi pārbaude ietver klasisku samērīguma analīzi (47)”.

(58)

Šo ierobežojumu mērķi atbilst Regulas (ES) 2016/679 23. pantā uzskaitīto ierobežojumu mērķim, izņemot ar valsts drošību un aizsardzību saistītos ierobežojumus, kas ir reglamentēti 2018. gada DAL 26. pantā, tomēr uz tiem attiecas tādas pašas nepieciešamības un samērīguma prasības (sk. 63.–66. apsvērumu).

(59)

Daži no ierobežojumiem, piemēram, ierobežojumi saistībā ar noziegumu novēršanu vai atklāšanu, ierobežojumi saistībā ar likumpārkāpēju aizturēšanu vai saukšanu pie atbildības, kā arī ierobežojumi saistībā ar nodokļu vai maksājumu aprēķinu vai iekasēšanu (48), ļauj ierobežot visas individuālās tiesības un pārredzamības nodrošināšanas pienākumus (izņemot 21. panta 2. punktā un 22. pantā noteiktās tiesības). Pārējo ierobežojumu piemērošanas joma aptver tikai pārredzamības nodrošināšanas pienākumus un piekļuves tiesības, piemēram, ierobežojumus saistībā ar advokāta un klienta saziņas konfidencialitāti (49), ierobežojumus saistībā ar tiesībām uz atbrīvojumu no pienākuma sniegt informāciju, no kuras izrietētu pašapsūdzība (50), kā arī ierobežojumus saistībā ar uzņēmumu finansēm, jo īpaši iekšējās informācijas izmantošanas novēršanu (51). Daži ierobežojumi paredz iespēju ierobežot pārziņa pienākumu paziņot par personas datu aizsardzības pārkāpumu datu subjektam un apstrādes nolūka ierobežojuma, likumīguma, godprātības un pārredzamības principus (52).

(60)

Atsevišķi ierobežojumi automātiski un pilnā apmērā attiecas uz noteiktiem personas datu apstrādes veidiem (piemēram, ja personas datus apstrādā nolūkā izvērtēt personas piemērotību amatam tiesu iestādē vai ja personas datus apstrādā tiesa, tribunāls vai persona, kas veic ar tiesu iestāžu darbu saistītus pienākumus, pārredzamības nodrošināšanas pienākumu un individuālo tiesību piemērošana ir izslēgta).

(61)

Tomēr vairumā gadījumu 2018. gada DAL 2. pielikuma attiecīgajā punktā ir noteikts, ka ierobežojumi ir piemērojami tikai tad, ja / ciktāl noteikumu piemērošana “varētu kaitēt” šā ierobežojuma leģitīmā mērķa īstenošanai. Piemēram, Apvienotās Karalistes VDAR uzskaitītie noteikumi neattiecas uz personas datiem, kas apstrādāti nolūkā novērst vai atklāt noziegumus, aizturēt likumpārkāpējus vai saukt viņus pie atbildības vai aprēķināt vai iekasēt nodokļus vai maksājumus, “ciktāl šo noteikumu piemērošana varētu kaitēt” kādas iepriekš minētās darbības izpildei (53).

(62)

Apvienotās Karalistes tiesas pastāvīgi ir interpretējušas standartu “varētu kaitēt” kā “ļoti būtisku un nopietnu kaitējuma iespēju noteiktajām sabiedrības interesēm” (54). Tādējādi ierobežojums, uz ko attiecas kaitējuma pārbaude, var tikt piemērots tikai tad un tiktāl, ja pastāv ļoti būtiska un nopietna iespēja, ka konkrētu tiesību piešķiršana kaitētu konkrētajām sabiedrības interesēm. Pārzinis ir atbildīgs par to, lai katrā gadījumā atsevišķi novērtētu, vai šie nosacījumi ir ievēroti (55).

(63)

Papildus 2018. gada DAL 2. pielikumā paredzētajiem ierobežojumiem 2018. gada DAL 26. pantā ir paredzēts atbrīvojums, ko drīkst piemērot atsevišķiem Apvienotās Karalistes VDAR un 2018. gada DAL noteikumiem, ja šā atbrīvojuma piemērošana ir nepieciešama nolūkā garantēt valsts drošības vai aizsardzības mērķu īstenošanu. Šis atbrīvojums attiecas uz datu aizsardzības principiem (izņemot likumīguma principu), pārredzamības nodrošināšanas pienākumiem, datu subjekta tiesībām, pienākumu paziņot par personas datu aizsardzības pārkāpumu, noteikumiem par datu starptautisku nosūtīšanu, atsevišķiem informācijas komisāra pienākumiem un pilnvarām, kā arī noteikumiem par tiesiskās aizsardzības līdzekļiem, atbildību un sodiem, izņemot noteikumu par vispārējiem nosacījumiem attiecībā uz administratīvo naudas sodu piemērošanu, kas ir paredzēts Apvienotās Karalistes VDAR 83. pantā, kā arī noteikumu par sodiem, kas ir iekļauts Apvienotās Karalistes VDAR 84. pantā. Turklāt ar 2018. gada DAL 28. pantu ir grozīta 9. panta 1. punkta piemērošanas kārtība nolūkā atļaut apstrādāt Apvienotās Karalistes VDAR 9. panta 1. punktā minētās īpašās datu kategorijas, ciktāl apstrādi veic, lai garantētu valsts drošības un aizsardzības mērķu īstenošanu, kā arī nodrošinot atbilstošas garantijas attiecībā uz datu subjekta tiesībām un brīvībām (56).

(64)

Atbrīvojumu var piemērot tikai tad, ja un ciktāl tas ir nepieciešams nolūkā garantēt valsts drošību vai aizsardzību. Tāpat kā pārējo 2018. gada DAL paredzēto atbrīvojumu gadījumā, šis atbrīvojums pārzinim ir jāizvērtē un jāpiemēro katrā gadījumā atsevišķi. Turklāt visos atbrīvojuma piemērošanas gadījumos ir jāievēro cilvēktiesību standarti (kuru pamatā ir 1998. gada Cilvēktiesību likums), kas paredz, ka demokrātiskā sabiedrībā tiesību uz privātumu ierobežojumiem vienmēr jāatbilst nepieciešamības un samērīguma principiem (57).

(65)

Šo atbrīvojuma interpretāciju apstiprina Informācijas komisāra birojs (IKB), kas ir izdevis detalizētus norādījumus par valsts drošības un aizsardzības atbrīvojuma piemērošanu, skaidri nosakot, ka pārzinim tas jāapsver un jāpiemēro katrā gadījumā atsevišķi (58). Konkrētāk, norādījumos uzsvērts, ka šis nav vispārējs atbrīvojums un ka tā piemērošanai nepietiek ar to, ka datus apstrādā valsts drošības vajadzībām. Turpretim pārzinim, kas to izmanto, jāapliecina, ka pastāv reāla iespēja negatīvi ietekmēt valsts drošību, un, ja nepieciešams, pārzinim jāsniedz IKB pierādījumi tam, kādēļ šis atbrīvojums izmantots. Norādījumos iekļauts kontrolsaraksts un vairāki piemēri, kas sīkāk precizē nosacījumus, saskaņā ar kādiem šo atbrīvojumu var piemērot.

(66)

Tāpēc fakts, ka datus apstrādā valsts drošības vai aizsardzības nolūkos, pats par sevi nav pietiekams pamatojums atbrīvojuma piemērošanai. Pārzinim ir jāņem vērā faktiskās sekas valsts drošības jomā, kas izrietētu, ja tam būtu jāievēro konkrētā datu aizsardzības prasība. Atbrīvojumu var piemēroti tikai tiem konkrētajiem noteikumiem, kas ir paredzēti kā tādi, kas rada risku, un tas ir jāpiemēro pēc iespējas ierobežotākā veidā (59).

(67)

Šo pieeju ir apstiprinājis Informācijas tribunāls (60). Lietā Baker v Secretary of State for the Home Department (“Baker v Secretary of State”) tika nolemts, ka piemērot atbrīvojumu sakarā ar valsts drošību kā vispārēju atbrīvojumu izlūkdienestiem iesniegtiem piekļuves pieprasījumiem ir nelikumīgi. Tika noteikts, ka atbrīvojums ir piemērojams katrā gadījumā atsevišķi, izvērtējot katru pieprasījumu pēc būtības un ņemot vērā personu tiesības uz privātās dzīves neaizskaramību (61).

(68)

Apvienotās Karalistes VDAR 85. panta 2. punktā ir atļauts noteikums, kas paredz, ka žurnālistikas, mākslinieciskos, akadēmiskos un literāros nolūkos veiktai personas datu apstrādei var piemērot atbrīvojumu no vairākiem Apvienotās Karalistes VDAR noteikumiem. 2018. gada DAL 2. pielikuma 5. daļā ir noteikti atbrīvojumi attiecībā uz apstrādi, ko veic šādos nolūkos. Tajā ir paredzēti atbrīvojumi no datu aizsardzības principu piemērošanas (izņemot integritātes un konfidencialitātes principu), apstrādes juridiskais pamats (tostarp īpašas datu kategorijas, dati par sodāmību utt.), piekrišanas nosacījumi, pārredzamības nodrošināšanas pienākumi, datu subjektu tiesības un pienākums paziņot par datu aizsardzības pārkāpumu, prasība apspriesties ar informācijas komisāru pirms tādas datu apstrādes, kas ir saistīta ar augstu risku, kā arī noteikumi par datu starptautisku nosūtīšanu (62). Šajā sakarā Apvienotās Karalistes VDAR būtiski neatkāpjas no Regulas (ES) 2016/679, kuras 85. pantā arī ir paredzēta iespēja piemērot atbrīvojumu no vairāku šīs regulas prasību piemērošanas žurnālistikas nolūkos veiktai apstrādei vai akadēmiskās, mākslinieciskās vai literārās izpausmes nolūkos veiktai apstrādei. 2018. gada DAL noteikumi, jo īpaši 2. pielikuma 5. daļa, ir saderīgi ar Apvienotās Karalistes VDAR.

(69)

Saskaņā ar Apvienotās Karalistes VDAR 85. pantu veicamā galvenā līdzsvara pārbaude ir saistīta ar to, vai 68. apsvērumā minētais atbrīvojums no datu aizsardzības noteikumiem ir “nepieciešams nolūkā panākt līdzsvaru starp tiesībām uz personas datu aizsardzību un vārda un informācijas brīvību” (63). Saskaņā ar 2018. gada DAL 2. pielikuma 26. punkta 2. un 3. apakšpunktu Apvienotā Karaliste nolūkā panākt šo līdzsvaru piemēro “pamatota pieņēmuma” pārbaudi. Lai atbrīvojums būtu pamatots, pārzinim ir pamatoti jāpieņem, ka i) publicēšana ir sabiedrības interesēs; ii) attiecīgā VDAR noteikuma piemērošana būtu nesaderīga ar žurnālistikas, akadēmiskiem, mākslinieciskiem un literāriem nolūkiem. Kā apstiprināts judikatūrā (64), “pamatota pieņēmuma” pārbaude ietver gan subjektīvu, gan objektīvu komponentu: nepietiek ar to, ka pārzinis apliecina, ka saskaņā ar viņa ieskatu noteikumu ievērošana rada pretrunu. Viņa pieņēmumam ir jābūt pamatotam, t. i., tam varētu piekrist saprātīga persona, kura pārzina attiecīgos faktus. Tāpēc, formulējot savu nostāju, pārzinim ir jāievēro pienācīga rūpība, lai varētu uzskatāmi parādīt nostājas pamatotību. Saskaņā ar Apvienotās Karalistes iestāžu sniegtajiem skaidrojumiem “pamatota pieņēmuma” pārbaude ir jāveic attiecībā uz katru atbrīvojumu atsevišķi (65). Ja nosacījumi ir izpildīti, atbrīvojumu atbilstīgi Apvienotās Karalistes tiesību aktiem uzskata par nepieciešamu un samērīgu.

(70)

Saskaņā ar 2018. gada DAL 124. pantu IKB ir jāsagatavo prakses kodekss par datu aizsardzību un žurnālistiku. Norit darbs pie šā kodeksa izstrādes. Saskaņā ar 1998. gada Datu aizsardzības likumu ir publicēti norādījumi par šo jautājumu, un tajos jo īpaši uzsvērts, ka, lai izmantotu šo atbrīvojumu, nav pietiekami tikai norādīt, ka konkrēto noteikumu ievērošana apgrūtinātu ar žurnālistiku saistītas darbības, un ir jāsniedz skaidrs arguments par to, ka šis noteikums rada šķērsli atbildīgai žurnālistikas darba veikšanai (66). Arī Apvienotās Karalistes telesakaru regulators OFCOM un BBC savās redakcionālajās pamatnostādnēs ir publicējuši norādījumus par sabiedrības interešu pārbaudes piemērošanu un sabiedrības interešu un ar privātumu saistīto personas interešu līdzsvarošanu (67). Pamatnostādnēs jo īpaši sniegti tādas informācijas piemēri, kuru var uzskatīt par saistītu ar sabiedrības interesēm, kā arī paskaidrots, ka ir jāspēj uzskatāmi parādīt, ka sabiedrības intereses konkrētās lietas apstākļos ir svarīgākas par tiesībām uz privātumu.

(71)

Līdzīgi VDAR 89. pantā paredzētajām prasībām, personas datu apstrādei arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos arī var piemērot atbrīvojumu no vairākiem Apvienotās Karalistes VDAR noteikumiem (68). Pētniecības un statistikas kontekstā atbrīvojumi ir iespējami attiecībā uz Apvienotās Karalistes VDAR noteikumiem saistībā ar apstrādes apstiprināšanu un piekļuvi datiem un garantijām attiecībā uz datu nosūtīšanu trešām valstīm, tiesībām labot, apstrādes ierobežošanu un iebilšanu pret apstrādi. Saistībā ar arhivēšanu sabiedrības interesēs atbrīvojumu iespējams piemērot arī attiecībā uz pienākumu ziņot par personas datu labošanu vai dzēšanu, apstrādes ierobežošanu un tiesībām uz datu pārnesamību.

(72)

Saskaņā ar 2018. gada DAL 2. pielikuma 27. panta 1. punktu un 28. panta 1. punktu atbrīvojumi no uzskaitīto Apvienotās Karalistes VDAR noteikumu piemērošanas ir iespējami tad, ja šo noteikumu piemērošana “liegtu īstenot vai būtiski traucētu īstenot” attiecīgos nolūkus (69).

(73)

Tā kā iepriekš minētajiem atbrīvojumiem ir būtiska nozīme individuālo tiesību efektīvā izmantošanā, jebkādas attiecīgas norises saistībā ar to interpretāciju un piemērošanu praksē (papildus norisēm saistībā ar efektīvas imigrācijas kontroles nodrošināšanu, kā skaidrots 6. apsvērumā), ietverot judikatūras un IKB norādījumu un izpildes panākšanas darbību jebkādu turpmāku attīstību, tiks ņemtas vērā šā lēmuma pastāvīgās uzraudzības kontekstā (70).

(74)

Aizsardzības līmeni, kāds piešķirts personas datiem, kurus nosūta no Eiropas Savienības pārziņiem vai apstrādātājiem Apvienotajā Karalistē, nedrīkst samazināt šādu datu tālāka nosūtīšana saņēmējiem trešā valstī. Šāda “tālāka nosūtīšana”, kas no Apvienotas Karalistes pārziņa vai apstrādātāja skatpunkta ir starptautiska nosūtīšana no Apvienotās Karalistes, būtu jāatļauj tikai tad, ja uz nākamo saņēmēju ārpus Apvienotās Karalistes attiecina noteikumus, kuri nodrošina aizsardzības līmeni, kas ir līdzīgs Apvienotās Karalistes tiesību sistēmas garantētajam. Šā iemesla dēļ Apvienotās Karalistes VDAR un 2018. gada DAL noteikumu piemērošana personas datu starptautiskai nosūtīšanai ir būtisks faktors nolūkā nodrošināt aizsardzības nepārtrauktību tādu personas datu gadījumā, ko atbilstīgi šim lēmumam nosūta no Eiropas Savienības uz Apvienoto Karalisti.

(75)

Kārtība attiecībā uz personas datu starptautisko nosūtīšanu no Apvienotās Karalistes ir izklāstīta Apvienotās Karalistes VDAR 44.–49. pantā, un to papildina 2018. gada DAL. Šī kārtība būtībā ir identiska Regulas (ES) 2016/679 V nodaļā izklāstītajiem noteikumiem (71). Personas datus uz trešo valsti vai starptautisku organizāciju var nosūtīt, tikai pamatojoties uz noteikumiem par aizsardzības līmeņa pietiekamību (Apvienotās Karalistes ekvivalents Regulā (ES) 2016/679 paredzētajam lēmumam par aizsardzības līmeņa pietiekamību), vai, ja šādu noteikumu par aizsardzības līmeņa pietiekamību nav, tikai tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas saskaņā ar Apvienotās Karalistes VDAR 46. pantu. Ja noteikumu par aizsardzības līmeņa pietiekamību vai atbilstošu garantiju nav, datus var nosūtīt, tikai pamatojoties uz Apvienotās Karalistes VDAR 49. pantā paredzētajām atkāpēm.

(76)

Ministra izstrādātajos noteikumos par aizsardzības līmeņa pietiekamību var noteikt, ka trešā valsts (vai tās teritorija vai sektors), starptautiska organizācija vai šādas valsts, teritorijas, sektora vai organizācijas apraksts (72) nodrošina pietiekamu personas datu aizsardzības līmeni. Izvērtējot aizsardzības līmeņa pietiekamību, ministram ir jāņem vērā tieši tie paši elementi, kas ir jāizvērtē Komisijai saskaņā ar Regulas (ES) 2016/679 45. panta 2. punkta a)–c) apakšpunktu, ko skaidro kopsakarā ar Regulas (ES) 2016/679 104. apsvērumu un saglabāto ES judikatūru. Tas nozīmē, ka, novērtējot, vai trešā valsts nodrošina pietiekamu aizsardzības līmeni, attiecīgais standarts paredzēs, ka jānovērtē, vai attiecīgā trešā valsts garantē tādu aizsardzības līmeni, kurš “pēc būtības ir līdzvērtīgs” Apvienotajā Karalistē nodrošinātajam.

(77)

Saistībā ar procedūru uz noteikumiem par aizsardzības līmeņa pietiekamību attiecas 2018. gada DAL 182. pantā paredzētās “vispārējās” prasības procedūrai. Saskaņā ar šo procedūru ministram, ierosinot pieņemt Apvienotās Karalistes noteikumus par aizsardzības līmeņa pietiekamību, ir jāapspriežas ar informācijas komisāru (73). Pēc tam, kad ministrs ir pieņēmis šos noteikumus, tos iesniedz parlamentam un tiem piemēro “noraidošas rezolūcijas” procedūru, saskaņā ar kuru abas parlamenta palātas var pārbaudīt noteikumus un 40 dienu laikā pieņemt priekšlikumu par noteikumu atcelšanu (74).

(78)

Saskaņā ar 2018. gada DAL 17.B panta 1. punktu noteikumi par aizsardzības līmeņa pietiekamību jāpārskata ne retāk kā reizi četros gados un ministram pastāvīgi jāuzrauga norises trešās valstīs un starptautiskajās organizācijās, kas varētu ietekmēt lēmumus pieņemt noteikumus par aizsardzības līmeņa pietiekamību vai šādu noteikumu grozīšanu vai atcelšanu. Ja ministrs uzzina, ka norādītā valsts vai organizācija vairs nenodrošina pietiekamu personas datu aizsardzības līmeni, viņam, ciktāl nepieciešams, jāgroza vai jāatceļ noteikumi un jāuzsāk apspriešanās ar attiecīgo trešo valsti vai starptautisko organizāciju, lai novērstu aizsardzības līmeņa nepietiekamību. Šie procesuālie aspekti arī atspoguļo attiecīgās prasības, kas ir paredzētas Regulā (ES) 2016/679.

(79)

Ja nav spēkā noteikumi par aizsardzības līmeņa pietiekamību, datu starptautisku nosūtīšanu var veikt tad, ja pārzinis vai apstrādātājs ir nodrošinājis atbilstošas garantijas saskaņā ar Apvienotās Karalistes VDAR 46. pantu. Šīs garantijas ir līdzīgas Regulas (ES) 2016/679 46. pantā paredzētajām garantijām. Tās ietver starp publiskajām iestādēm vai struktūrām juridiski saistošus un tiesiski īstenojamus instrumentus, saistošus uzņēmuma noteikumus (75), standarta datu aizsardzības klauzulas, apstiprinātus rīcības kodeksus, apstiprinātus sertifikācijas mehānismus, kā arī – saskaņā ar informācijas komisāra atļauju – līguma klauzulas starp pārziņiem (vai apstrādātājiem) vai administratīvās vienošanās starp publiskām iestādēm. Tomēr noteikumi no procesuālā viedokļa ir grozīti, lai darbotos Apvienotās Karalistes sistēmā, proti, standarta datu aizsardzības klauzulas var pieņemt ministrs (17.C pants) vai informācijas komisārs (119.A pants) atbilstīgi 2018. gada DAL.

(80)

Ja lēmuma par aizsardzības līmeņa pietiekamību vai atbilstošu garantiju nav, datus var nosūtīt, tikai pamatojoties uz Apvienotās Karalistes VDAR 49. pantā paredzētajām atkāpēm (76). Salīdzinājumā ar attiecīgajiem Regulas (ES) 2016/679 noteikumiem Apvienotās Karalistes VDAR šīs atkāpes nav būtiski grozītas. Saskaņā ar Apvienotās Karalistes VDAR, tāpat kā Regulas (ES) 2016/679 gadījumā, atsevišķas atkāpes var piemērot tikai tad, ja nosūtīšana ir gadījuma rakstura (77). Turklāt IKB norādījumos par datu starptautisku nosūtīšanu precizēts: “Jums būtu jāizmanto šīs atkāpes kā faktiski “izņēmumi” no vispārējā noteikuma, kas paredz, ka jums nevajadzētu nosūtīt ierobežotas aprites datus, izņemot gadījumus, ja uz tiem attiecas lēmums par aizsardzības līmeņa pietiekamību vai ir spēkā atbilstošas garantijas” (78). Attiecībā uz datu nosūtīšanu, kas ir nepieciešama, ja ir svarīgi iemesli sabiedrības interesēs (49. panta 1. punkta d) apakšpunkts), ministrs var paredzēt noteikumus, kuros precizē apstākļus, kādos personas datu nosūtīšana uz trešo valsti vai starptautisko organizāciju nav nepieciešama svarīgu iemeslu dēļ sabiedrības interesēs. Ministrs, pieņemot noteikumus, arī var ierobežot noteiktas kategorijas personas datu nosūtīšanu uz trešo valsti vai starptautisko organizāciju, ja, pamatojoties uz noteikumiem par aizsardzības līmeņa pietiekamību, datus nedrīkst nosūtīt un ja ministrs uzskata, ka ierobežojums ir nepieciešams svarīgu iemeslu dēļ sabiedrības interesēs. Līdz šim šādi noteikumi nav pieņemti.

(81)

Šis regulējums par datu starptautisku nosūtīšanu kļuva piemērojams pārejas perioda beigās (79). Tomēr 2018. gada DAL 21. pielikuma 4. punktā (ieviests ar DAPES noteikumiem) ir paredzēts, ka pēc pārejas perioda beigām konkrētu personas datu nosūtīšanu uzskata par tādu, kas ir pamatota ar noteikumiem par aizsardzības līmeņa pietiekamību. Šāda nosūtīšana ietver datu nosūtīšanu uz EEZ valsti, Gibraltāra teritoriju, Savienības iestādi, struktūru, biroju vai aģentūru, kas ir izveidota ar ES līgumu vai uz tā pamata, un uz trešām valstīm, par kurām pārejas perioda beigās ir pieņemts ES lēmums par aizsardzības līmeņa pietiekamību. Tādēļ nosūtīšana uz šīm valstīm var turpināties tā, kā tā notika pirms Apvienotās Karalistes izstāšanās no ES. Pārejas perioda beigās ministram četru gadu laikā (proti, līdz 2024. gada decembra beigām) ir jāpārskata minētie konstatējumi par aizsardzības līmeņa pietiekamību. Kā paskaidrojušas Apvienotās Karalistes iestādes, lai gan ministram šāda pārskatīšana ir jāveic līdz 2024. gada decembra beigām, pārejas noteikumi neietver noteikumu par spēka zaudēšanu, tādēļ attiecīgie pārejas noteikumi automātiski nezaudēs spēku, ja pārskatīšana līdz 2024. gada decembra beigām netiks pabeigta.

(82)

Visbeidzot, attiecībā uz Apvienotās Karalistes starptautiskās nosūtīšanas kārtības turpmāko attīstību – līdz ar jaunu noteikumu par aizsardzības līmeņa pietiekamību pieņemšanu, starptautisku nolīgumu noslēgšanu vai citu nosūtīšanas mehānismu attīstību – Komisija cieši uzraudzīs situāciju, vērtēs, vai dažādos nosūtīšanas mehānismus izmanto tā, ka tie nodrošina aizsardzības nepārtrauktību, un, ja nepieciešams, īstenos attiecīgus pasākumus, kuru mērķis būs novērst iespējamo negatīvo ietekmi uz šādu nepārtrauktību (sk. 278.–287. apsvērumu). Tā kā ES un Apvienotās Karalistes noteikumi par starptautisko nosūtīšanu ir līdzīgi, paredzams, ka problemātisku novirzīšanos varētu arī novērst, sadarbojoties, apmainoties ar informāciju un pieredzi, tai skaitā starp IKB un EDAK.

(83)

Saskaņā ar pārskatatbildības principu vienībām, kas apstrādā datus, ir jāievieš atbilstoši tehniskie un organizatoriskie pasākumi, lai tās efektīvi izpildītu savus datu aizsardzības pienākumus, un jāspēj pierādīt šādu izpildi, jo īpaši kompetentajai uzraudzības iestādei.

(84)

Regulā (ES) 2016/679 noteiktais pārskatatbildības princips ir saglabāts Apvienotās Karalistes VDAR 5. panta 2. punktā bez būtiskām izmaiņām, un tas pats attiecas uz 24. pantu par pārziņa atbildību, 25. pantu par datu integrētu aizsardzību un datu aizsardzību pēc noklusējuma, kā arī 30. pantu par apstrādes darbību reģistrēšanu. Ir saglabāts arī 35. un 36. pants attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un iepriekšēju apspriešanos ar uzraudzības iestādi. Apvienotās Karalistes VDAR bez būtiskām izmaiņām ir saglabāts Regulas (ES) 2016/679 37.–39. pants par datu aizsardzības speciālista iecelšanu un uzdevumiem. Apvienotās Karalistes VDAR ir saglabāti arī Regulas (ES) 2016/679 40. un 42. panta noteikumi par rīcības kodeksiem un sertifikāciju (80).

(85)

Lai nodrošinātu, ka arī praksē tiek garantēts pietiekams datu aizsardzības līmenis, vajadzētu būt izveidotai neatkarīgai uzraudzības iestādei, kurai uzticētas pilnvaras uzraudzīt un nodrošināt datu aizsardzības noteikumu izpildi. Šai iestādei tās uzdevumi būtu jāveic un pilnvaras jāīsteno pilnīgi neatkarīgi un objektīvi.

(86)

Apvienotajā Karalistē pārraudzību un izpildes nodrošināšanu attiecībā uz atbilstību Apvienotās Karalistes VDAR un 2018. gada DAL veic informācijas komisārs. Informācijas komisārs ir “individuāls komersants”: atsevišķs tiesību subjekts, ko veido viena persona. Informācijas komisāra darbā to atbalsta birojs. 2020. gada 31. martā informācijas komisāra birojā bija 768 pastāvīgie darbinieki (81). Informācijas komisāru atbalsta Digitalizācijas, kultūras, mediju un sporta ministrija (82).

(87)

Komisāra neatkarība ir skaidri noteikta Apvienotās Karalistes VDAR 52. pantā, kura saturs bez būtiskām izmaiņām atspoguļo VDAR 52. panta 1.–3. punktā paredzēto. Komisāram, veicot uzdevumus un īstenojot savas pilnvaras saskaņā ar Apvienotās Karalistes VDAR, ir jārīkojas pilnīgi neatkarīgi, attiecībā uz šiem uzdevumiem un pilnvarām ir jābūt brīvam no tiešas vai netiešas ārējas ietekmes, un viņš nedrīkst lūgt un ne no viena pieņemt nekādus norādījumus. Komisāram ir arī jāatturas no jebkādas darbības, kas nav savienojama ar viņa pienākumiem, un, esot amatā, viņš nedrīkst uzņemties nekādu nesavienojamu algotu vai nealgotu darbu.

(88)

Nosacījumi informācijas komisāra iecelšanai un atbrīvošanai no amata ir izklāstīti 2018. gada DAL 12. pielikumā. Informācijas komisāru ieceļ Viņas Majestāte, pēc valdības ieteikuma, pamatojoties uz godīgu un atklātu konkursu. Kandidātam ir jāpiemīt atbilstošai kvalifikācijai, prasmēm un kompetencei. Saskaņā ar Pārvaldības kodeksu par valsts amatpersonu iecelšanu amatā (83) padomdevēja novērtēšanas komisija izveido to kandidātu sarakstu, kurus var iecelt amatā. Pirms digitalizācijas, kultūras, mediju un sporta ministrs pieņem galīgo lēmumu, attiecīgajai parlamenta komitejai ir jāveic pirmsiecelšanas pārbaude. Komitejas nostāja tiek publiskota (84).

(89)

Informācijas komisāra amata pilnvaru termiņš ir līdz septiņiem gadiem. Personu informācijas komisāra amatā var iecelt tikai vienu reizi. Informācijas komisāru no amata var atbrīvot Viņas Majestāte pēc tam, kad abas parlamenta palātas ir izdarījušas uzrunu (85). Nevienai no parlamenta palātām nevar iesniegt pieprasījumu par informācijas komisāra atbrīvošanu no amata, ja vien ministrs nav iesniedzis ziņojumu, kurā minēts, ka viņš ir pārliecināts, ka informācijas komisārs ir vainojams nopietnā pārkāpumā un/vai komisārs vairs neatbilst komisāra funkciju veikšanai nepieciešamajiem nosacījumiem (86).

(90)

Informācijas komisāram ir trīs finansējuma avoti: i) pārziņu maksājumi par datu aizsardzību, kuri noteikti ar ministra izdotiem noteikumiem (87) (2018. gada Datu aizsardzības (maksas un informācija) noteikumi) un veido 85–90 % no biroja gada budžeta (88); ii) dotācijas, ko informācijas komisāram izmaksā valdība (dotācijas galvenokārt izmanto, lai finansētu informācijas komisāra darbības izmaksas, kas nav saistītas ar datu aizsardzību (89)); un iii) maksa par pakalpojumiem (90). Pašlaik šādas maksas netiek iekasētas.

(91)

Informācijas komisāra vispārīgās funkcijas saistībā ar to personas datu apstrādi, uz kuriem attiecas Apvienotās Karalistes VDAR, ir noteiktas Apvienotās Karalistes VDAR 57. pantā, kas atspoguļo attiecīgās prasības Regulā (ES) 2016/679. Informācijas komisāra funkcijās ietilpst uzraudzība un Apvienotās Karalistes VDAR piemērošana, sabiedrības informētības veicināšana, datu subjektu iesniegto sūdzību apstrāde, izmeklēšana utt. 2018. gada DAL 115. pantā ir noteiktas komisāra vispārīgās funkcijas, tostarp pienākums sniegt parlamentam, valdībai un citām iestādēm un struktūrām ieteikumus par likumdošanas un administratīviem pasākumiem saistībā ar personas tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi, kā arī pilnvaras pēc komisāra paša iniciatīvas vai pēc pieprasījuma sniegt parlamentam, valdībai vai citām iestādēm un struktūrām, kā arī sabiedrībai atzinumus par jebkādiem ar personas datu aizsardzību saistītiem jautājumiem. Lai saglabātu tiesu iestāžu neatkarību, informācijas komisāram nav atļauts veikt savas funkcijas saistībā ar personas datu apstrādi, ko veic persona, kas pilda ar tiesu iestāžu darbu saistītus pienākumus, vai tiesa vai tribunāls, kad tas rīkojas atbilstīgi savai kompetencei. Tiesu iestāžu pārraudzību veic specializētas struktūras (sk. 99.–103. apsvērumu).

(92)

Informācijas komisāra pilnvaras ir noteiktas Apvienotās Karalistes VDAR 58. pantā, kas nav būtiski grozīts salīdzinājumā ar attiecīgo pantu Regulā (ES) 2016/679. 2018. gada DAL ir paredzēti papildu noteikumi par šo pilnvaru izmantošanu. Konkrēti, komisāram ir pilnvaras: a) uzdot pārzinim un apstrādātājam (konkrētos gadījumos – jebkurai citai personai) sniegt nepieciešamo informāciju ar informatīvu paziņojumu (“informatīvais paziņojums”) (91); b) veikt izmeklēšanu un revīzijas, sniedzot novērtējuma paziņojumu, kurā var pieprasīt pārzinim vai apstrādātājam, lai tas atļauj komisāram iekļūt konkrētās telpās, apskatīt vai pārbaudīt dokumentus vai iekārtas, iztaujāt personas, kas pārziņa vārdā apstrādā personas datus (“novērtējuma paziņojums”) (92); c) citādi iegūt piekļuvi pārziņu un apstrādātāju dokumentiem un iekļūt to telpās saskaņā ar 2018. gada DAL 154. pantu (“iekļūšanas un pārbaudes pilnvaras”); d) īstenot korektīvās pilnvaras, tostarp izsakot brīdinājumus un rājienus, vai dot rīkojumus ar izpildes paziņojumu, ar kuru pārziņiem/apstrādātājiem pieprasa veikt konkrētas darbības vai atturēties no to veikšanas, tostarp sniegt rīkojumu pārzinim vai apstrādātājam veikt jebkuru Apvienotās Karalistes VDAR 58. panta 2. punkta c)–g) apakšpunktā un j) apakšpunktā noteikto darbību (“izpildes paziņojums”) (93); e) uzlikt administratīvos naudas sodus soda paziņojuma veidā (“soda paziņojums”) (94). Administratīvos naudas sodus var uzlikt arī tad, ja publiska iestāde nav izpildījusi Apvienotās Karalistes VDAR noteikumus (95).

(93)

IKB regulatīvās rīcības politikā ir izklāstīti apstākļi, kādos birojs izdod attiecīgi informatīvu, novērtējuma, izpildes un soda paziņojumu (96). Izpildes paziņojumā, ko nosūta, reaģējot uz pārziņa vai apstrādātāja pārkāpumu, var noteikt tikai tādas prasības, kuras komisārs uzskata par piemērotām pārkāpuma novēršanai. Izpildes un soda paziņojumus pārzinim vai apstrādātājam var nosūtīt saistībā ar Apvienotās Karalistes VDAR II nodaļas (apstrādes principi), 12.–22. panta (datu subjekta tiesības), 25.–39. panta (pārziņu un apstrādātāju pienākumi) un 44.–49. panta (datu starptautiska nosūtīšana) pārkāpumiem. Izpildes paziņojumu var nosūtīt arī tad, ja pārzinis nav izpildījis prasību veikt maksājumu, kas paredzēta saskaņā ar 2018. gada DAL 137. pantu izstrādātajos noteikumos. Turklāt izpildes paziņojumu var nosūtīt 41. pantā minētajai uzraudzības iestādei vai sertifikācijas pakalpojumu sniedzējam, ja tas nepilda pienākumus, kas tam noteikti Apvienotās Karalistes VDAR. Soda paziņojumu var nosūtīt arī personai, kas nav izpildījusi informatīvajā paziņojumā, novērtējuma paziņojumā vai izpildes paziņojumā noteiktās prasības.

(94)

Soda paziņojumā personai tiek prasīts samaksāt informācijas komisāram paziņojumā norādīto summu. Nosakot, vai personai ir jāpiemēro sods, un nosakot soda apmēru, informācijas komisāram jāņem vērā Apvienotās Karalistes VDAR 83. panta 1. un 2. punktā uzskaitītie aspekti, kas ir identiski attiecīgajiem noteikumiem Regulā (ES) 2016/679 (97). Saskaņā ar 83. panta 4. un 5. punktu maksimālās administratīvo naudas sodu summas, ko var piemērot par iepriekš minētajos noteikumos paredzēto pienākumu nepildīšanu, ir attiecīgi 8700 000 GBP vai 17 500 000 GBP. Ja persona ir uzņēmums, informācijas komisārs naudas sodus var piemērot, arī iekasējot procentuālu daļu no tā gada apgrozījuma pasaulē, ja tā ir lielāka par iepriekš minētajiem naudas sodiem. Tāpat kā attiecīgajos Regulas (ES) 2016/679 noteikumos, šīs summas attiecīgi 83. panta 4. punktā un 83. panta 5. punktā ir noteiktas 2 % un 4 % apmērā. Personai, kas nav izpildījusi informatīvajā paziņojumā, novērtējuma paziņojumā vai izpildes paziņojumā noteiktās prasības, soda paziņojumā var noteikt naudas sodu, kas nepārsniedz 17 500 000 GBP, vai, ja persona ir uzņēmums, 4 % no gada apgrozījuma pasaulē.

(95)

Apvienotās Karalistes VDAR kopā ar 2018. gada DAL ir stiprinājusi arī pārējās informācijas komisāra pilnvaras. Piemēram, komisārs, izmantojot novērtējuma paziņojumus, tagad var veikt obligātas revīzijas saistībā ar visiem pārziņiem un apstrādātājiem, turpretī saskaņā ar iepriekšējo tiesisko regulējumu, 1998. gada Datu aizsardzības likumu, komisāram bija pilnvaras tikai attiecībā uz centrālo valdību un veselības organizācijām, bet pārējos gadījumos bija jāsaņem attiecīgo struktūru piekrišana.

(96)

Kopš Regulas (ES) 2016/679 pieņemšanas IKB gadā apstrādā aptuveni 40 000 datu subjektu sūdzību (98), kā arī papildus tam veic aptuveni 2000 ex officio izmeklēšanu (99). Lielākā daļa sūdzību ir saistītas ar tiesībām uz piekļuvi datiem un uz datu izpaušanu. Pēc izmeklēšanas veikšanas komisārs veic izpildes pasākumus virknē sektoru. Konkrētāk, saskaņā ar informācijas komisāra jaunāko gada pārskatu (2019.–2020. gads) (100) komisārs pārskata periodā nosūtīja 54 informatīvos paziņojumus, 8 novērtējuma paziņojumus, 7 izpildes paziņojumus, 4 brīdinājumus, 8 apsūdzības un 15 soda paziņojumus (101).

(97)

Tas ietver vairākus lielus naudas sodus, kas tika piemēroti saskaņā ar Regulu (ES) 2016/679 un 2018. gada DAL. Konkrēti, informācijas komisārs 2020. gada oktobrī par datu aizsardzības pārkāpumu, kas ietekmēja vairāk nekā 400 000 klientu, britu aviokompānijai piemēroja naudas sodu 20 miljonu GBP apmērā. Par nespēju nodrošināt miljoniem klientu personas datu drošību 2020. gada oktobra beigās naudas sods 18,4 miljonu GBP apmērā tika piemērots starptautiskai viesnīcu ķēdei, un 2020. gada novembrī britu pakalpojumu sniedzējam, kas tiešsaistē pārdod pasākumu biļetes, tika piemērots naudas sods 1,25 miljonu GBP apmērā, jo šis pakalpojumu sniedzējs pārkāpa klientu maksājumu informācijas aizsardzības prasības (102).

(98)

Papildus 92. apsvērumā aprakstītajām informācijas komisāra izpildes pilnvarām daži datu aizsardzības tiesību aktu pārkāpumi ir noziedzīgi nodarījumi, tāpēc par tiem var piemērot kriminālsodus (2018. gada DAL 196. pants). Tas attiecas, piemēram, uz apzinātu vai bezatbildīgu personas datu iegūšanu vai izpaušanu bez pārziņa piekrišanas, panākšanu, ka personas dati tiek izpausti citai personai bez pārziņa piekrišanas (103), informācijas, kas ir anonimizēti personas dati, atkārtotu identificēšanu, ja tai nav piekritis par personas datu anonimizēšanu atbildīgais pārzinis (104), komisāra pilnvaru īstenošanas apzinātu kavēšanu saistībā ar personas datu pārbaudi saskaņā ar starptautiskajām saistībām (105), nepatiesu ziņu sniegšanu, atbildot uz informatīvu paziņojumu, vai informācijas iznīcināšanu saistībā ar informatīviem un novērtējuma paziņojumiem (106).

(99)

Tiesu un tiesu iestāžu veiktās personas datu apstrādes pārraudzība ir divējāda. Ja tiesu iestādes amatpersona vai tiesa neīsteno tiesu varu, pārraudzību nodrošina informācijas komisārs. Ja pārzinis īsteno tiesu varu, IKB nevar īstenot pārraudzību (107), un pārraudzību veic īpašas struktūras. Tas atspoguļo Regulā (ES) 2016/679 (55. panta 3. punktā) izmantoto pieeju.

(100)

Konkrēti, otrajā scenārijā šādu pārraudzību pār Anglijas un Velsas tiesām un Anglijas un Velsas pirmā un augstākā līmeņa tribunāliem nodrošina Tiesu datu aizsardzības kolēģija (108). Turklāt lords augstais tiesnesis un tribunālu galvenais tiesnesis ir izdevuši Paziņojumu par privātumu (109), kurā izklāstīts, kā Anglijas un Velsas tiesas apstrādā personas datus tiesas funkciju veikšanai. Līdzīgu paziņojumu ir izdevušas Ziemeļīrijas (110) un Skotijas (111) tiesu iestādes.

(101)

Turklāt Ziemeļīrijas lords augstais tiesnesis ir iecēlis Augstās tiesas tiesnesi par datu uzraudzības tiesnesi (DUT) Ziemeļīrijā (112). Tas ir arī izdevis norādījumus Ziemeļīrijas tiesu iestādēm par to, kā rīkoties datu nozaudēšanas vai iespējamas nozaudēšanas gadījumā un kā risināt ar to saistītos jautājumus (113).

(102)

Skotijā lords priekšsēdētājs ir iecēlis datu uzraudzības tiesnesi, kas izmeklē visas sūdzības datu aizsardzības jomā. Tas ir noteikts saskaņā ar tiesu iestāžu sūdzību izskatīšanas noteikumiem, kas atbilst Anglijā un Velsā spēkā esošajiem noteikumiem (114).

(103)

Visbeidzot, Augstākajā tiesā datu aizsardzības pārraudzībai ir iecelts viens no Augstākās tiesas tiesnešiem.

(104)

Lai nodrošinātu pietiekamu aizsardzību un jo īpaši individuālo tiesību īstenošanu, datu subjektam vajadzētu būt pieejamai efektīvai tiesību aizsardzībai administratīvā kārtā vai tiesā, tostarp kompensācijai par kaitējumu.

(105)

Pirmkārt, datu subjektam ir tiesības iesniegt sūdzību informācijas komisāram, ja datu subjekts uzskata, ka saistībā ar viņa personas datiem ir pārkāpta Apvienotās Karalistes VDAR (115). Apvienotās Karalistes VDAR bez būtiskām izmaiņām ir saglabāti Regulas (ES) 2016/679 77. pantā paredzētie noteikumi par šīm tiesībām. Tas pats attiecas uz 57. panta 1. punkta f) apakšpunktu un 2. punktu, kurā izklāstīti komisāra pienākumi saistībā ar sūdzību izskatīšanu. Kā aprakstīts iepriekš 92.–98. apsvērumā, informācijas komisārs ir pilnvarots novērtēt pārziņa un apstrādātāja atbilstību Apvienotās Karalistes VDAR un 2018. gada DAL, neatbilstības gadījumā pieprasīt tiem veikt nepieciešamos pasākumus vai atturēties no to veikšanas un uzlikt naudas sodu.

(106)

Otrkārt, Apvienotās Karalistes VDAR un 2018. gada DAL ir paredzētas tiesības uz tiesisko aizsardzību pret informācijas komisāru. Saskaņā ar Apvienotās Karalistes VDAR 78. panta 1. punktu personai ir tiesības uz efektīvu tiesisko aizsardzību tiesā pret komisāra pieņemtu juridiski saistošu lēmumu, kas skar minētās personas. Veicot pārskatīšanu tiesā, tiesnesis izskata prasībā apstrīdēto lēmumu un izvērtē, vai informācijas komisārs ir rīkojies likumīgi. Turklāt saskaņā ar Apvienotās Karalistes VDAR 78. panta 2. punktu, ja komisārs nav atbilstoši izskatījis datu subjekta iesniegto sūdzību, (116) sūdzības iesniedzējs var izmantot tiesisko aizsardzību tiesā. Tas var vērsties pirmā līmeņa tribunālā, lai tas uzdotu komisāram veikt atbilstošus pasākumus sakarā ar sūdzību vai informēt sūdzības iesniedzēju par sūdzības virzību (117). Turklāt jebkura persona, kas no komisāra ir saņēmusi kādu no iepriekš minētajiem paziņojumiem (informatīvu, novērtējuma, izpildes vai soda paziņojumu), var to pārsūdzēt pirmā līmeņa tribunālā (118). Ja tribunāls uzskata, ka komisāra lēmums neatbilst tiesību aktiem vai ka informācijas komisāram vajadzēja citādi izmantot savu rīcības brīvību, tribunālam ir jāatļauj pārsūdzība vai jānosaka aizstājējs paziņojums vai lēmums, ko informācijas komisārs būtu varējis izdot vai pieņemt.

(107)

Treškārt, personas var tieši panākt tiesisko aizsardzību pret kontrolieriem un apstrādātājiem tiesā saskaņā ar Apvienotās Karalistes VDAR 79. pantu un 2018. gada DAL 167. pantu. Ja pēc datu subjekta pieteikuma tiesa ir pārliecinājusies, ka ir pārkāptas datu subjekta tiesības, ko paredz datu aizsardzības tiesību akti, tiesa var uzdot pārzinim, kas apstrādā datus, vai apstrādātājam, kas rīkojas minētā pārziņa vārdā, veikt rīkojumā noteiktos pasākumus vai atturēties no rīkojumā noteikto pasākumu veikšanas.

(108)

Turklāt saskaņā ar Apvienotās Karalistes VDAR 82. pantu un 2018. gada DAL 168. pantu jebkurai personai, kurai Apvienotās Karalistes VDAR pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu. Apvienotās Karalistes VDAR 82. panta 1.–5. punktā izklāstītie noteikumi par kompensāciju un atbildību ir identiski ar attiecīgajiem noteikumiem Regulā (ES) 2016/679. Saskaņā ar 2018. gada DAL 168. pantu nemateriāls kaitējums ietver arī spriedzi. Saskaņā ar Apvienotās Karalistes VDAR 80. pantu datu subjektam ir arī tiesības pilnvarot pārstāvības struktūru vai organizāciju, lai tā datu subjekta vārdā iesniegtu sūdzību komisāram (saskaņā ar Apvienotās Karalistes VDAR 77. pantu) un datu subjekta vārdā izmantotu Apvienotās Karalistes VDAR 78. pantā minētās tiesības (tiesības uz efektīvu tiesisko aizsardzību tiesā pret komisāru), 79. pantā minētās tiesības (tiesības uz efektīvu tiesisko aizsardzību tiesā pret pārzini vai apstrādātāju) un 82. pantā minētās tiesības (tiesības uz kompensāciju un atbildību).

(109)

Ceturtkārt, kā arī papildus iepriekš aprakstītajām tiesiskās aizsardzības iespējām jebkura persona, kas uzskata, ka publiskās iestādes ir pārkāpušas tās tiesības, tostarp tiesības uz privātumu un datu aizsardzību, var saņemt kompensāciju Apvienotās Karalistes tiesās saskaņā ar 1998. gada Cilvēktiesību likumu (119). Persona, kas apgalvo, ka publiska iestāde ir rīkojusies (vai plāno rīkoties) veidā, kas nav savienojams ar konvencijā paredzētajām tiesībām un līdz ar to ir prettiesisks saskaņā ar 1998. gada Cilvēktiesību likuma 6. panta 1. punktu, var celt prasību pret iestādi attiecīgajā tiesā vai tribunālā vai paļauties uz attiecīgajām tiesībām jebkurā tiesvedībā, ja attiecīgā persona ir (vai būtu) cietusi no nelikumīgas darbības.

(110)

Ja tiesa konstatē, ka kāda publiskas iestādes darbība ir nelikumīga, tā var apmierināt šādu prasību vai atzīt tiesiskās aizsardzības līdzekli, vai savu pilnvaru ietvaros izdot rīkojumu, ko tā uzskata par taisnīgu un piemērotu (120). Tiesa var arī pasludināt primāra tiesību akta normu par nesaderīgu ar konvencijā garantētajām tiesībām.

(111)

Visbeidzot, pēc valsts tiesiskās aizsardzības līdzekļu izsmelšanas persona var saņemt kompensāciju, vēršoties Eiropas Cilvēktiesību tiesā par Eiropas Cilvēktiesību konvencijā garantēto tiesību pārkāpumiem.

(112)

Komisija arī izvērtēja Apvienotās Karalistes tiesisko regulējumu tādu personas datu vākšanai un turpmākai izmantošanai, ko Apvienotās Karalistes publiskās iestādes nosūtīja Apvienotās Karalistes uzņēmējiem sabiedrības interesēs, jo īpaši krimināltiesību aktu piemērošanas un valsts drošības nolūkos (turpmāk tekstā – “valdības piekļuve”). Novērtējot, vai nosacījumi, ar kādiem valdības piekļuve datiem, kas saskaņā ar šo lēmumu nosūtīti uz Apvienoto Karalisti, atbilstu “līdzvērtības pēc būtības” pārbaudei saskaņā ar Regulas (ES) 2016/679 45. panta 1. punktu, kā to interpretējusi Eiropas Savienības Tiesa, ņemot vērā Pamattiesību hartu, Komisija jo īpaši ņēma vērā turpmāk minētos kritērijus.

(113)

Pirmkārt, jebkuriem ierobežojumiem, kas skar tiesības uz personas datu aizsardzību, ir jābūt paredzētiem tiesību aktos, un juridiskajam pamatam, kas pieļauj šādu tiesību ierobežojumu, pašam jānosaka attiecīgo tiesību izmantošanas ierobežojuma tvērums (121).

(114)

Otrkārt, lai nodrošinātu atbilstību samērīguma prasībai, saskaņā ar kuru atkāpes no personas datu aizsardzības un to ierobežojumi piemērojami tikai tiktāl, ciktāl tas ir absolūti nepieciešams (noteikti vajadzīgs) demokrātiskā sabiedrībā, lai sasniegtu konkrētus vispārējas nozīmes mērķus, kas ir līdzvērtīgi Savienībā atzītajiem, attiecīgās trešās valsts tiesību aktos, kas pieļauj ierobežojumu, jāparedz skaidri un precīzi noteikumi, kas reglamentē attiecīgo pasākumu darbības jomu un piemērošanu, un jānosaka minimāli aizsardzības pasākumi, lai personām, kuru dati ir nosūtīti, būtu pietiekamas garantijas efektīvai viņu personas datu aizsardzībai pret ļaunprātīgas izmantošanas risku (122). Tiesību aktos jo īpaši jānorāda, kādos apstākļos un ar kādiem nosacījumiem var īstenot pasākumu (123), kas nodrošina šādu datu apstrādi, kā arī piemērot šādu prasību izpildei neatkarīgu pārraudzību (124).

(115)

Treškārt, šiem tiesību aktiem jābūt juridiski saistošiem saskaņā ar valsts tiesību aktiem, un šīm juridiskajām prasībām jābūt saistošām iestādēm, kā arī to izpildei jābūt panākamai tiesās pret attiecīgās trešās valsts iestādēm (125). Datu subjektiem jo īpaši jābūt iespējai celt prasību neatkarīgā un objektīvā tiesā, lai gūtu piekļuvi saviem personas datiem vai panāktu šādu datu labošanu vai dzēšanu (126).

(116)

Publiskajām iestādēm piešķirto pilnvaru ietvaros, valdības piekļuve Apvienotajā Karalistē jāīsteno, pilnībā ievērojot tiesību aktos noteikto. Apvienotā Karaliste ir ratificējusi Eiropas Cilvēktiesību konvenciju (sk. 9. apsvērumu), un visām Apvienotās Karalistes publiskajām iestādēm ir jārīkojas saskaņā ar šo konvenciju (127). Konvencijas 8. pantā noteikts, ka jebkuram privātās dzīves neaizskaramības ierobežojumam ir jāatbilst tiesību aktiem, jāatbilst vienam no 8. panta 2. punktā noteiktajiem mērķiem un jābūt samērīgam, ņemot vērā šo mērķi. Konvencijas 8. pantā arī noteikts, ka ierobežojumam ir jābūt paredzamam, t. i., tam jābūt skaidram, pieejamam likumīgajam pamatam, un tiesību aktos jābūt paredzētām atbilstošām garantijām, lai novērstu ļaunprātīgu izmantošanu.

(117)

Turklāt Eiropas Cilvēktiesību tiesa savā judikatūrā ir precizējusi, ka jebkuram ierobežojumam, kas skar tiesības uz privātumu un datu aizsardzību, būtu jāpiemēro efektīva, neatkarīga un objektīva pārraudzības sistēma, kuru nodrošina vai nu tiesnesis, vai arī cita neatkarīga struktūra (128) (piemēram, administratīva iestāde vai parlamenta struktūra).

(118)

Turklāt personām ir jānodrošina efektīvs tiesiskās aizsardzības līdzeklis, un Eiropas Cilvēktiesību tiesa ir paskaidrojusi, ka tiesiskās aizsardzības līdzeklis jāpiedāvā neatkarīgai un objektīvai struktūrai, kura pieņēmusi savu reglamentu un kuras locekļiem ir jābūt augstam amatam vai ieņēmušiem augstu amatu tiesu iestādē vai jābūt pieredzējušiem juristiem, un ka nedrīkst būt pierādīšanas pienākums, lai tajā iesniegtu pieteikumu. Uzņemoties privātpersonu sūdzību izskatīšanu, neatkarīgai un objektīvai struktūrai būtu jābūt pieejai visai attiecīgajai informācijai, tostarp slēgtiem materiāliem. Visbeidzot, tai vajadzētu būt pilnvarām novērst neatbilstību (129).

(119)

2018. gadā Apvienotā Karaliste arī ratificējusi Eiropas Padomes Konvenciju par personu aizsardzību attiecībā uz personas datu automātisko apstrādi (Konvencija Nr. 108) un parakstīja Protokolu, ar kuru groza Konvenciju par personu aizsardzību attiecībā uz personas datu automātisko apstrādi (Konvencija Nr. 108+) (130). Konvencijas Nr. 108 9. pantā paredzēts, ka atkāpes no vispārējiem datu aizsardzības principiem (5. pants “Datu kvalitāte”), noteikumiem, kas reglamentē īpašas datu kategorijas (6. pants “Īpašas datu kategorijas”) un datu subjekta tiesības (8. pants “Datu subjekta papildu garantijas”), ir pieļaujamas tikai tad, ja šādas atkāpes ir paredzētas Puses tiesību aktos un ir nepieciešams pasākums demokrātiskā sabiedrībā valsts drošības, sabiedriskās drošības, valsts monetāro interešu aizsardzības vai noziedzīgu nodarījumu apkarošanas interesēs vai arī datu subjekta vai citu personu tiesību un brīvību aizsardzībai (131).

(120)

Tāpēc, pateicoties dalībai Eiropas Padomē, Eiropas Cilvēktiesību konvencijas ievērošanai un pakļaujoties Eiropas Cilvēktiesību tiesas jurisdikcijai, uz Apvienoto Karalisti attiecas vairāki starptautiskajos tiesību aktos noteikti pienākumi, kas nosaka tās valdības piekļuves sistēmu, pamatojoties uz principiem, garantijām un individuālām tiesībām, kas līdzīgas ES tiesību aktos garantētajām un dalībvalstīm piemērojamajām. Kā uzsvērts 19. apsvērumā, pastāvīga šādu instrumentu ievērošana ir īpaši svarīgs novērtējuma elements, uz kura balstīts šis lēmums.

(121)

Turklāt īpašas datu aizsardzības garantijas un tiesības garantē 2018. gada DAL gadījumos, kad datus apstrādā publiskās iestādes, tostarp tiesībaizsardzības iestādes un valsts drošības struktūras.

(122)

Konkrēti, personas datu apstrādes režīms krimināltiesību aktu piemērošanas kontekstā ir noteikts 2018. gada DAL 3. daļā, kas tika ieviesta nolūkā transponēt Direktīvu (ES) 2016/680. 2018. gada DAL 3. daļu piemēro personas datu apstrādei, kuru veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu (132).

(123)

Jēdziens “kompetentā iestāde” ir definēts DAL 30. pantā kā persona, kas minēta 2018. gada DAL 7. pielikumā, kā arī jebkāda cita persona, ciktāl tai ir likumā noteiktas funkcijas jebkādiem tiesībaizsardzības nolūkiem (133). Kā skaidrots turpmāk (sk. 139. apsvērumu), noteiktas kompetentās iestādes (piemēram, Valsts noziedzības apkarošanas aģentūra) saskaņā ar konkrētiem nosacījumiem var izmantot pilnvaras, kas paredzētas 2016. gada Izmeklēšanas pilnvaru likumā (2016. gada IPL). Šajā gadījumā papildus 2018. gada DAL 3. daļā minētajām garantijām piemēros 2016. gada IPL minētās garantijas. Izlūkdienesti (Slepenās izlūkošanas dienests, Drošības dienests un Valdības sakaru štābs) nav kompetentās iestādes (134) 2018. gada DAL 3. daļas nozīmē, tāpēc tajā minētie noteikumi uz šo izlūkdienestu darbību neattiecas. 2018. gada DAL konkrēta daļa (4. daļa) ir veltīta izlūkdienestu veiktai personas datu apstrādei (plašāku informāciju sk. 125. apsvērumā).

(124)

Līdzīgi kā Direktīvā (ES) 2016/680, arī 2018. gada DAL 3. daļā ir noteikti likumīguma un godprātības (135), nolūka ierobežošanas (136), datu minimizēšanas (137), precizitātes (138), glabāšanas ierobežojuma (139) un drošības (140) principi. Tiesību akti uzliek īpašus pārredzamības nodrošināšanas pienākumus (141) un nodrošina personām tiesības piekļūt (142), panākt savu datu labošanu un dzēšanu (143), kā arī tiesības nebūt automatizētas lēmumu pieņemšanas subjektam (144). Kompetentajām iestādēm ir arī jāievieš integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma, jānodrošina apstrādes darbību uzskaite un attiecībā uz dažām apstrādes darbībām jāveic novērtējumi par ietekmi uz datu aizsardzību un iepriekš jākonsultējas ar informācijas komisāru (145). Saskaņā ar 2018. gada DAL 56. pantu tām ir jāpierāda atbilstība. Turklāt tām ir jāievieš atbilstoši pasākumi apstrādes drošības nodrošināšanai (146), un datu aizsardzības pārkāpuma gadījumā tām ir jāuzņemas īpašas saistības, tostarp pienākums ziņot par šādiem pārkāpumiem informācijas komisāram un datu subjektiem (147). Tāpat kā paredzēts Direktīvā (ES) 2016/680, uz pārzini (ja vien tā nav tiesa vai cita tiesu iestāde, kas darbojas kā tiesnesis) ir attiecināma prasība iecelt datu aizsardzības speciālistu (DAS) (148), kurš palīdz pārzinim izpildīt tā pienākumus, kā arī uzrauga šo atbilstību (149). Turklāt tiesību aktos ir noteiktas konkrētas prasības personas datu starptautiskai nosūtīšanai tiesībaizsardzības nolūkā uz trešām valstīm vai starptautiskām organizācijām, lai nodrošinātu aizsardzības nepārtrauktību (150). Šī lēmuma pieņemšanas dienā Komisija ir pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību, pamatojoties uz Direktīvas (ES) 2016/680 36. panta 3. punktu, konstatējot, ka datu aizsardzības režīms, kas piemērojams Apvienotās Karalistes kriminālizmeklēšanas iestāžu veiktajai apstrādei, nodrošina aizsardzības līmeni, kas pēc būtības ir līdzvērtīgs Direktīvā (ES) 2016/680 garantētajam.

(125)

2018. gada DAL 4. daļu piemēro visu veidu apstrādei, ko veic izlūkdienesti vai kas tiek veikta to vārdā. Tajā ir noteikti galvenie datu aizsardzības principi (likumīgums, godprātība un pārredzamība (151); nolūka ierobežojums (152); datu minimizēšana (153); precizitāte (154); glabāšanas ierobežojums (155) un drošība (156)), kā arī paredzēti nosacījumi īpašu kategoriju datu apstrādei (157), datu subjekta tiesības (158), prasība par datu integrētu aizsardzību (159) un reglamentēta personas datu starptautiska nosūtīšana (160). IKB nesen izdevis detalizētus norādījumus par izlūkošanas aģentūru veiktu apstrādi saskaņā ar 2018. gada DAL 4. daļu (161).

(126)

Tajā pašā laikā 2018. gada DAL 110. pantā ir paredzēts atbrīvojums no 2018. gada DAL 4. daļas konkrētiem noteikumiem (162), ja šāds atbrīvojums ir nepieciešams, lai aizsargātu valsts drošību. Šo atbrīvojumu var izmantot, pamatojoties uz katra gadījuma atsevišķu analīzi (163). Kā paskaidrojušas Apvienotās Karalistes iestādes un ko apstiprina Apvienotās Karalistes judikatūra, “pārzinim ir jāņem vērā faktiskās sekas attiecībā uz valsts drošību vai aizsardzību, ja tam bija jāievēro konkrētais datu aizsardzības noteikums un ja tas varēja saprātīgi ievērot parasto noteikumu, neietekmējot valsts drošību vai aizsardzību” (164). IKB pārrauga, vai atbrīvojums ir izmantots pareizi (165).

(127)

Turklāt attiecībā uz iespēju “ valsts drošības” aizsardzības nolūkā ierobežot iepriekš minēto noteikumu piemērošanu, saskaņā ar 2018. gada DAL 111. pantu pārzinis var pieprasīt Ministru kabineta ministra vai ģenerālprokurora parakstītu apliecinājumu, ka šādu tiesību ierobežojums ir nepieciešams un samērīgs pasākums valsts drošības aizsardzībai (166).

(128)

Apvienotās Karalistes valdība ir izdevusi norādījumus, lai palīdzētu pārziņiem izlemt, vai pieteikties valsts drošības sertifikātam saskaņā ar 2018. gada DAL, kuros īpaši uzsvērts, ka jebkādiem datu subjektu tiesību ierobežojumiem valsts drošības aizsardzības nolūkā jābūt samērīgiem un nepieciešamiem (167). Visi valsts drošības sertifikāti jāpublicē IKB tīmekļa vietnē (168).

(129)

Sertifikātam jābūt izdotam uz laiku, kas nepārsniedz piecus gadus, un izpildvarai tas regulāri jāpārskata (169). Sertifikātā norāda personas datus vai personas datu kategorijas, kam piemēro atbrīvojumu, kā arī 2018. gada DAL noteikumus, uz kuriem attiecas atbrīvojums (170).

(130)

Ir svarīgi norādīt, ka valsts drošības sertifikāti neparedz papildu pamatu datu aizsardzības tiesību ierobežošanai valsts drošības iemeslu dēļ. Citiem vārdiem – pārzinis vai apstrādātājs var paļauties uz sertifikātu tikai tad, ja tas ir secinājis, ka ir nepieciešams atsaukties uz atbrīvojumu sakarā ar valsts drošību, kas, kā paskaidrots iepriekš, jāpiemēro katrā gadījumā atsevišķi (171). Pat tad, ja uz konkrēto jautājumu attiecas valsts drošības sertifikāts, IKB var izmeklēt, vai konkrētajā gadījumā paļaušanās uz atbrīvojumu sakarā ar valsts drošību ir bijusi pamatota (172).

(131)

Jebkura persona, kuru tieši ietekmē sertifikāta izsniegšana, var pārsūdzēt sertifikātu (173) Augstākajā tribunālā (174) vai, ja sertifikātā dati identificēti ar vispārīgu aprakstu, apstrīdēt sertifikāta piemērošanu konkrētiem datiem (175). Tribunāls pārskata lēmumu izdot sertifikātu un lemj, vai sertifikāta izdošanai ir bijis pamatots iemesls (176). Tas var vērtēt dažādus jautājumus, tostarp nepieciešamību, samērīgumu un likumīgumu, ņemot vērā ietekmi uz datu subjektu tiesībām un līdzsvarojot tās ar nepieciešamību aizsargāt valsts drošību. Tādējādi tribunāls var noteikt, ka sertifikāts neattiecas uz konkrētiem personas datiem, kas ir pārsūdzības priekšmets (177).

(132)

Atšķirīgs iespējamo ierobežojumu kopums saskaņā ar 2018. gada DAL 11. pielikumu attiecas uz dažiem 2018. gada DAL 4. daļas noteikumiem (178), ar ko aizsargā citus svarīgus vispārēju sabiedrības interešu vai aizsargātu interešu mērķus, piemēram, parlamentārās privilēģijas, advokāta un klienta saziņas konfidencialitāti, tiesvedības norisi vai bruņoto spēku kaujas efektivitāti (179). Atbrīvojumi šo noteikumu piemērošanā tiek paredzēti attiecībā uz noteiktām informācijas kategorijām (“balstīti uz kategoriju”) vai tiktāl, ciktāl šo noteikumu piemērošana varētu kaitēt aizsargātajām interesēm (“balstīti uz aizskārumu”) (180). Uz atbrīvojumiem, kas balstīti uz aizskārumu, var atsaukties tikai tiktāl, ciktāl norādītā datu aizsardzības noteikuma piemērošana varētu kaitēt konkrētajām interesēm. Tāpēc atbrīvojuma izmantošana vienmēr ir jāpamato, atsaucoties uz attiecīgo aizskārumu, kas varētu rasties konkrētajā gadījumā. Uz kategoriju balstītus atbrīvojumus var izmantot tikai attiecībā uz konkrētu, precīzi definētu informācijas kategoriju, kurai piešķirts atbrīvojums. To nolūks un sekas ir līdzīgi vairākiem Apvienotās Karalistes VDAR izņēmumiem (saskaņā ar 2018. gada DAL 2. pielikumu), kas savukārt atspoguļo VDAR 23. pantā paredzētos izņēmumus.

(133)

No iepriekš minētā izriet, ka saskaņā ar piemērojamajām Apvienotās Karalistes tiesību normām, kā tās interpretē arī tiesas un Informācijas komisija, ir paredzēti nosacījumi, lai nodrošinātu, ka šie atbrīvojumi un ierobežojumi nepārsniedz tos, kas ir nepieciešami un samērīgi valsts drošības aizsardzībai.

(134)

Apvienotās Karalistes tiesību aktos ir noteikti vairāki ierobežojumi piekļuvei personas datiem un to izmantošanai krimināltiesību aktu piemērošanas nolūkā, kā arī šajā jomā ir paredzēti pārraudzības un tiesiskās aizsardzības mehānismi, kas atbilst šā lēmuma 113.–115. apsvērumos minētajām prasībām. Apstākļi, kādos var notikt šāda piekļuve, un garantijas, kas piemērojamas šo pilnvaru izmantošanai, sīki izvērtēti nākamajās iedaļās.

(135)

Saskaņā ar 2018. gada DAL 35. pantā garantēto likumīguma principu personas datu apstrāde jebkurā tiesībaizsardzības nolūkā ir likumīga tikai tad, ja tā ir pamatota ar tiesību aktu un vai nu datu subjekts ir devis piekrišanu apstrādei šajā nolūkā (181), vai apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko šim nolūkam veic kompetentā iestāde.

(136)

Apvienotās Karalistes tiesiskajā regulējumā personas datu vākšana no uzņēmējiem, tostarp tiem, kuri apstrādā datus, kas saskaņā ar šo lēmumu par aizsardzības līmeņa pietiekamību tiek nosūtīti no ES, krimināltiesību aktu piemērošanas nolūkos ir atļauta, pamatojoties uz kratīšanas orderiem (182) un pierādījumu sniegšanas orderiem (183).

(137)

Kratīšanas orderus parasti izsniedz tiesa pēc izmeklēšanas ierēdņa pieteikuma. Tie ļauj ierēdnim ieiet telpās nolūkā meklēt materiālu vai personas, kas saistītas ar viņa izmeklēšanu un izņemt jebko, attiecībā uz ko ir atļauta kratīšana, tostarp jebkādus būtiskos dokumentus vai materiālus, kas satur personas datus (184). Ar pierādījumu sniegšanas orderi, ko izsniedz arī tiesa, tajā norādītajai personai jāuzrāda vai jāpiešķir piekļuve materiālam, kas ir tās rīcībā vai kontrolē. Pieteikuma iesniedzējam ir jāpamato tiesai, kāpēc orderis ir nepieciešams, kā arī kāpēc tas ir sabiedrības interesēs. Ir vairākas likumā noteiktās pilnvaras, kas ļauj izdot kratīšanas orderus un pierādījumu sniegšanas orderus. Katram noteikumam ir savs likumā noteikto nosacījumu kopums, kas jāievēro, lai izdotu kratīšanas orderi (185) vai pierādījumu sniegšanas orderi (186).

(138)

Pierādījumu sniegšanas orderus un kratīšanas orderus var pārskatīt tiesā (187). Attiecībā uz garantijām jānorāda, ka visas kriminālizmeklēšanas iestādes, uz kurām attiecas 2018. gada DAL 3. daļas darbības joma, var piekļūt personas datiem (kas ir apstrādes veids) tikai atbilstīgi 2018. gada DAL noteiktajiem principiem un prasībām (sk. iepriekš 122. un 124. apsvērumu). Tāpēc jebkuras tiesībaizsardzības iestādes pieprasījumam būtu jāatbilst principam, saskaņā ar kuru apstrādes nolūkiem jābūt konkrētiem, skaidriem un leģitīmiem (188) un kompetentās iestādes apstrādātiem personas datiem ir jābūt atbilstīgiem šim nolūkam un tie nedrīkst būt pārmērīgi (189).

(139)

Lai novērstu vai atklātu smagus noziegumus (190), dažas tiesībaizsardzības iestādes, piemēram, Valsts noziedzības apkarošanas aģentūra vai Policijas priekšnieks (191), var izmantot 2016. gada IPL paredzētās mērķētas izmeklēšanas pilnvaras. Šajā gadījumā papildus 2018. gada DAL 3. daļā minētajām garantijām piemēros 2016. gada IPL minētās garantijas. Konkrētās izmeklēšanas pilnvaras, kuras šīs tiesībaizsardzības iestādes var izmantot ir šādas: mērķēta pārtveršana (2016. gada IPL 2. daļa), saziņas datu iegūšana (2016. gada IPL 3. daļa), saziņas datu glabāšana (2016. gada IPL 4. daļa) un mērķēta iejaukšanās iekārtās (2016. gada IPL 5. daļa). Pārtveršana attiecas uz saziņas satura iegūšanu (192), savukārt saziņas datu iegūšana un glabāšana ir vērsta nevis uz saziņas satura iegūšanu, bet gan uz saziņas “kas”, “kad”, “kur” un “kā”. Tas, piemēram, aptver saziņas laiku un ilgumu, saziņas ierosinātāja un saņēmēja tālruņa numuru vai e-pasta adresi un dažreiz to ierīču atrašanās vietu, no kurām tika veikta saziņa, tālruņa pakalpojumu abonentu vai detalizētu rēķinu (193). Iejaukšanās iekārtās ir metožu kopums, ko izmanto, lai iegūtu dažādus datus no iekārtām, tostarp datoriem, planšetdatoriem un viedtālruņiem, kā arī kabeļiem, vadiem un atmiņas ierīcēm (194).

(140)

Mērķētas pārtveršanas pilnvaras var izmantot arī tad, ja tās “ir nepieciešamas, lai īstenotu ES savstarpējās palīdzības instrumenta vai starptautiska savstarpējās palīdzības nolīguma noteikumus” (tā dēvētais “savstarpējās palīdzības orderis” (195)). Savstarpējās palīdzības orderi tiek izdoti tikai saistībā ar pārtveršanu, nevis saziņas datu ieguves vai iejaukšanās iekārtās nolūkos. Šīs mērķētās pilnvaras reglamentē 2016. gada Izmeklēšanas pilnvaru likums (2016. gada IPL) (196), kas kopā ar 2000. gada Izmeklēšanas pilnvaru regulēšanas likumu (IPRL) Anglijai, Velsai un Ziemeļīrijai un 2000. gada Izmeklēšanas pilnvaru likumu (Skotija) (IPLS) attiecībā uz Skotiju paredz juridisko pamatu un nosaka piemērojamos ierobežojumus un garantijas šādu pilnvaru izmantošanai. 2016. gada IPL paredzēts arī režīms masveida izmeklēšanas pilnvaru izmantošanai, kaut arī tiesībaizsardzības iestādēm tās nav pieejamas (tās var izmantot tikai izlūkošanas aģentūras) (197).

(141)

Lai izmantotu šīs pilnvaras, iestādēm jāsaņem kompetentas iestādes (198) izdots orderis (199), kuru apstiprinājis neatkarīgs tieslietu komisārs (200) (tā dēvētā “divkāršās drošības” procedūra). Šāda ordera iegūšanai veic nepieciešamības un samērīguma pārbaudi (201). Tā kā šīs 2016. gada IPL paredzētās mērķētas izmeklēšanas pilnvaras ir tādas pašas kā valsts drošības dienestiem pieejamās, šādām pilnvarām piemērojamie nosacījumi, ierobežojumi un garantijas ir sīki izklāstīti iedaļā par Apvienotās Karalistes publisko iestāžu piekļuvi personas datiem un to izmantošanu valsts drošības nolūkos (sk. 177. un turpmākos apsvērumus).

(142)

Tiesībaizsardzības iestādes datu apmaiņai ar citu iestādi nolūkiem, kas atšķiras no tiem, kuriem tie sākotnēji tika vākti (tā sauktā “tālākā apmaiņa”), piemēro noteiktus nosacījumus.

(143)

Līdzīgi Direktīvas (ES) 2016/680 4. panta 2. punktā paredzētajam 2018. gada DAL 36. panta 3. punkts ļauj personas datus, ko kompetentā iestāde vākusi tiesībaizsardzības nolūkā turpināt apstrādāt (vai nu sākotnējam pārzinim vai citam pārzinim) jebkuram citam tiesībaizsardzības nolūkam, ar nosacījumu, ka pārzinis ar tiesību aktu ir pilnvarots apstrādāt datus šim citam nolūkam un apstrāde ir nepieciešama un samērīga attiecībā uz šo nolūku (202). Šajā gadījumā visas 2018. gada DAL 3. daļā paredzētās garantijas, kas minētas 122. un 124. apsvērumā un attiecas uz apstrādi, ko veic saņēmēja iestāde.

(144)

Apvienotās Karalistes tiesību sistēmā dažādi tiesību akti skaidri atļauj šādu tālāku apmaiņu. Konkrēti, i) 2017. gada Digitālās ekonomikas likums atļauj apmaiņu starp publiskajām iestādēm vairākiem nolūkiem, piemēram, ja notikusi krāpniecība pret publisko sektoru, kas publiskajām iestādēm radītu zaudējumus vai zaudējumu risku (203), vai ir parāds publiskajai iestādei vai valstij (204); ii) 2013. gada Noziedzības un tiesu likums, kas ļauj apmainīties ar informāciju ar Valsts noziedzības apkarošanas aģentūru (VNAA) (205), lai apkarotu, izmeklētu smagu un organizētu noziedzību un sauktu pie atbildības par to; iii) 2007. gada Smago noziegumu likums, kas ļauj publiskajām iestādēm krāpniecības novēršanas nolūkos izpaust informāciju krāpšanas apkarošanas organizācijām (206).

(145)

Šie likumi skaidri nosaka, ka informācijas apmaiņai jāatbilst 2018. gada DAL noteiktajiem principiem. Turklāt Policijas kolēģija ir izdevusi Atļauto profesionālo praksi informācijas apmaiņā (207), lai palīdzētu policijai ievērot tās datu aizsardzības pienākumus saskaņā ar Apvienotās Karalistes VDAR, DAL un 1998. gada Cilvēktiesību likumu. Informācijas apmaiņas atbilstību piemērojamajam datu aizsardzības tiesiskajam regulējumam, protams, var pārskatīt tiesā (208).

(146)

Turklāt līdzīgi tam, ko paredz Direktīvas (ES) 2016/680 9. pants, 2018. gada DAL paredz, ka personas datus, kas ievākti jebkādā tiesībaizsardzības nolūkā, var apstrādāt ar tiesībaizsardzību nesaistītā nolūkā, ja apstrādi atļauj tiesību akti (209).

(147)

Šis apmaiņas veids aptver divus scenārijus: 1) ja kriminālizmeklēšanas iestāde apmainās ar datiem ar tiesībaizsardzības iestādi, kas nav krimināltiesiska un izlūkošanas aģentūra (piemēram, finanšu vai nodokļu iestāde, konkurences iestāde, jauniešu sociālais dienests); un 2) ja kriminālizmeklēšanas iestāde apmainās ar datiem ar izlūkošanas aģentūru. Pirmajā scenārijā personas datu apstrāde ietilps Apvienotās Karalistes VDAR, kā arī 2018. gada DAL 2. daļas darbības jomā. Komisija (12).–111. apsvērumā ir izvērtējusi Apvienotās Karalistes VDAR un 2018. gada DAL 2. daļā paredzētās garantijas un ir nonākusi pie secinājuma, ka Apvienotā Karaliste nodrošina pietiekamu aizsardzības līmeni personas datiem, kas nosūtīti no Eiropas Savienības uz Apvienoto Karalisti Regulas (ES) 2016/679 ietvaros.

(148)

Otrajā scenārijā attiecībā uz kriminālizmeklēšanas iestāžu savākto datu apmaiņu ar izlūkošanas aģentūru valsts drošības nolūkos juridiskais pamats, kas atļauj šādu apmaiņu, ir 2008. gada Pretterorisma likuma (2008. gada PTL) 19. pants (210). Saskaņā ar šo likumu jebkura persona var sniegt informāciju jebkuram izlūkdienestam kādas šā dienesta funkcijas izpildes, tostarp “valsts drošības”, nolūkiem.

(149)

Attiecībā uz nosacījumiem, saskaņā ar kuriem var veikt datu apmaiņu valsts drošības nolūkiem, Izlūkdienestu likums (211) un Drošības dienestu likums (212) ierobežo izlūkdienestu spēju iegūt datus līdz apjomam, kas ir nepieciešams, lai pildītu to likumā noteiktās funkcijas. Tiesībaizsardzības aģentūrām, kas vēlas apmainīties ar datiem ar izlūkdienestiem, papildus aģentūru likumā noteiktajām funkcijām, kas noteiktas Izlūkdienestu likumā un Drošības dienestu likumā (213), jāņem vērā vairāki faktori/ierobežojumi. 2008. gada PTL 20. pantā ir skaidri norādīts, ka jebkurai datu apmaiņai saskaņā ar 19. pantu joprojām ir jāatbilst datu aizsardzības tiesību aktiem; tas nozīmē, ka tiek piemēroti visi 2018. gada DAL 3. daļas ierobežojumi un prasības. Turklāt, tā kā 1998. gada Cilvēktiesību likuma izpratnē kompetentās iestādes ir publiskās iestādes, tām jānodrošina, ka tās rīkojas atbilstīgi konvencijas tiesībām, tostarp ECTK 8. pantam. Šie ierobežojumi nodrošina, ka visa datu apmaiņa starp tiesībaizsardzības aģentūrām un izlūkdienestiem atbilst datu aizsardzības tiesību aktiem un ECTK.

(150)

Ja kompetentā iestāde plāno ar personas datiem, kas apstrādāti saskaņā ar 2018. gada DAL 3. daļu, apmainīties ar trešās valsts tiesībaizsardzības iestādēm, piemēro konkrētas prasības (214). Šādu nosūtīšanu var veikt, ja tā balstīta ministra pieņemtos noteikumos par aizsardzības līmeņa pietiekamību, vai, ja šādu noteikumu nav, jānodrošina atbilstošas garantijas. 2018. gada DAL 75. pants paredz, ka ir jābūt atbilstošām garantijām, ja tās ir noteiktas juridiskajā instrumentā, kas ir saistošs paredzētajam saņēmējam, vai ja pārzinis, novērtējot visus apstākļus, kas saistīti ar šāda veida personas datu nosūtīšanu uz trešo valsti vai starptautisko organizāciju, secina, ka pastāv datu aizsardzībai atbilstošas garantijas.

(151)

Ja nosūtīšana nav balstīta noteikumos par aizsardzības līmeņa pietiekamību vai atbilstošās garantijās, tā var notikt tikai noteiktos, konkrētos apstākļos, kas minēti kā “īpaši apstākļi” (215). Tas attiecas uz gadījumiem, kad nosūtīšana ir nepieciešama: a) lai aizsargātu datu subjekta vai citas personas vitālas intereses; b) lai pasargātu datu subjekta leģitīmās intereses; c) lai novērstu tūlītējus un nopietnus draudus sabiedriskajai drošībai dalībvalstī vai trešā valstī; d) atsevišķos gadījumos – jebkādā tiesībaizsardzības nolūkā; vai e) atsevišķos gadījumos – juridiskam mērķim (piemēram, saistībā ar tiesvedību vai juridisku konsultāciju saņemšanu). Var atzīmēt, ka d) un e) apakšpunktu nepiemēro, ja datu subjekta tiesības un brīvības nosūtīšanas kontekstā ir svarīgākas par sabiedrības interesēm. Šie apstākļi atbilst īpašām situācijām un nosacījumiem, kas Direktīvas (ES) 2016/680 38. pantā atzīti par “atkāpēm”.

(152)

Turklāt, ja materiāls, ko tiesībaizsardzības iestādes ieguvušas, pamatojoties uz orderi, ar kuru atļauj pārtveršanu vai iejaukšanos iekārtās, tiek nodots trešai valstij, 2016. gada IPL noteiktas papildu garantijas. Šāda izpaušana, kas definēta kā “informācijas izpaušana ārvalstīs”, ir atļauta tikai tad, ja izdevējiestāde uzskata, ka pastāv īpaši atbilstoši pasākumi, kas ierobežo to personu skaitu, kurām dati tiek izpausti, to, cik lielā mērā kāds materiāls tiek izpausts, kā arī jebkura materiāla pavairošanas apmēru un izgatavoto kopiju skaitu. Turklāt izdevējiestāde var uzskatīt, ka ir nepieciešami atbilstoši pasākumi, lai nodrošinātu, ka ikviena materiāla jebkuras daļas izgatavota kopija tiek iznīcināta, tiklīdz vairs nav būtiska iemesla tās glabāšanai (ja tā nav tikusi iznīcināta iepriekš) (216).

(153)

Visbeidzot, noteikta veida tālāka nosūtīšana no Apvienotās Karalistes uz Amerikas Savienotajām Valstīm nākotnē varētu tikt veikta, pamatojoties uz “Nolīgumu starp Lielbritānijas un Ziemeļīrijas Apvienotās Karalistes valdību un Amerikas Savienoto Valstu valdību par piekļuvi elektroniskajiem datiem smagu noziegumu apkarošanas nolūkā” (“Apvienotās Karalistes un ASV nolīgums” vai “nolīgums”) (217), kas noslēgts 2019. gada oktobrī (218). Kaut arī Apvienotās Karalistes un ASV nolīgums šā lēmuma pieņemšanas laikā vēl nav stājies spēkā, tā paredzamā spēkā stāšanās var ietekmēt to datu tālāku nosūtīšanu uz ASV, kas vispirms nosūtīti uz Apvienoto Karalisti, pamatojoties uz lēmumu. Precīzāk, uz datiem, kas no ES nosūtīti pakalpojumu sniedzējiem Apvienotajā Karalistē, varētu attiecināt elektronisko pierādījumu sniegšanas orderus, ko izdevušas kompetentās ASV tiesībaizsardzības iestādes un kas Apvienotajā Karalistē piemērojami saskaņā ar minēto nolīgumu, tiklīdz tas būs stājies spēkā. Šo iemeslu dēļ šī lēmuma nolūkiem ir būtisks nosacījumu un garantiju novērtējums, saskaņā ar kuriem šādus orderus var izdot un izpildīt.

(154)

Šajā sakarā jāatzīmē, ka, pirmkārt, attiecībā uz tā materiālo darbības jeb piemērošanas jomu minētais nolīgums ir piemērojams tikai tiem noziegumiem, par kuriem var sodīt ar maksimālo brīvības atņemšanu termiņu vismaz trīs gadi (definēts kā “smags noziegums”) (219), tostarp “teroristiskai darbībai”. Otrkārt, datus, kas tiek apstrādāti citā jurisdikcijā, saskaņā ar minēto nolīgumu var iegūt tikai pēc “ordera (..), kuru tiesa, tiesnesis, maģistrāts vai cita neatkarīga iestāde var pārskatīt vai pārraudzīt saskaņā ar izdevējas puses valsts tiesību aktiem pirms tiesvedības par ordera izpildi vai pēc tās” (220). Treškārt, jebkuram orderim jābūt “balstītam prasībās sniegt pamatotu attaisnojumu, kas balstīts uz skaidri formulētiem un ticamiem faktiem, konkrētību, likumību un smagumu attiecībā uz izmeklējamo rīcību” (221), un “tam jāattiecas uz konkrētiem kontiem, kā arī jāidentificē konkrēta persona, konts, adrese, personīgā ierīce vai jebkurš cits īpašs identifikators” (222). Ceturtkārt, datiem, kas iegūti saskaņā ar minēto nolīgumu, tiek nodrošināta aizsardzība, kas līdzvērtīga īpašajām garantijām, ko paredz tā dēvētais “ES un ASV jumta nolīgums” (223) – visaptverošs datu aizsardzības nolīgums, kuru ES un ASV noslēdza 2016. gada decembrī un kurā izklāstīti datu nosūtīšanai tiesībaizsardzības sadarbības jomā piemērojamās garantijas un tiesības, kas visas ir iekļautas minētajā nolīgumā, piemērojot mutatis mutandis, jo īpaši ņemot vērā nosūtīšanas īpašo raksturu (proti, nosūtīšanu no privātiem operatoriem tiesībaizsardzības iestādēm, nevis nosūtīšanu starp tiesībaizsardzības iestādēm) (224). Apvienotās Karalistes un ASV nolīgums īpaši paredz, ka ES un ASV jumta nolīgumā paredzētajai aizsardzībai līdzvērtīga tiks piemērota “visai personas informācijai, kas iegūta, izpildot orderus, uz kuriem attiecas nolīgums, lai nodrošinātu līdzvērtīgu aizsardzību” (225).

(155)

Tāpēc datiem, kas saskaņā ar Apvienotās Karalistes un ASV nolīgumu nosūtīti ASV iestādēm, būtu jāpiešķir ES tiesību instrumentā paredzētā aizsardzība ar nepieciešamajiem pielāgojumiem, lai atspoguļotu attiecīgās nosūtīšanas raksturu. Apvienotās Karalistes iestādes ir arī apstiprinājušas, ka jumta nolīguma aizsardzība attieksies uz visu personas informāciju, kas sagatavota vai saglabāta saskaņā ar šo nolīgumu, neatkarīgi no pieprasījuma iesniedzējas iestādes rakstura vai veida (piemēram, gan federālās, gan štatu tiesībaizsardzības iestādes ASV), lai visos gadījumos nodrošinātu līdzvērtīgu aizsardzību. Tomēr Apvienotās Karalistes iestādes ir arī paskaidrojušas, ka informācija par datu aizsardzības pasākumu konkrētu īstenošanu joprojām tiek apspriesta starp Apvienoto Karalisti un ASV. Sarunās ar Eiropas Komisijas dienestiem par šo lēmumu Apvienotās Karalistes iestādes apstiprināja, ka tās ļaus minētajam nolīgumam stāties spēkā tikai tad, kad būs pārliecinātas, ka tā īstenošana atbilst tajā paredzētajām juridiskajām saistībām, tostarp skaidrībai par atbilstību datu aizsardzības standartiem visiem datiem, kas tiek pieprasīti saskaņā ar šo nolīgumu. Tā kā nolīguma iespējamā stāšanās spēkā var ietekmēt šajā lēmumā izvērtēto aizsardzības līmeni, Apvienotajai Karalistei, tiklīdz tā ir pieejama, kā arī jebkurā gadījumā pirms nolīguma stāšanās spēkā būtu jāsniedz Eiropas Komisijai jebkāda informācija un papildu precizējums par veidu, kā ASV pildīs savas nolīgumā paredzētās saistības, lai nodrošinātu šā lēmuma pienācīgu uzraudzību saskaņā ar Regulas (ES) 2016/679 45. panta 4. punktu. Īpaša uzmanība tiks pievērsta jumta nolīgumā paredzētās aizsardzības piemērošanai un pielāgošanai konkrētam nosūtīšanas veidam, uz kuru attiecas Apvienotās Karalistes un ASV nolīgums.

(156)

Vispārīgi runājot, jebkuri attiecībā uz nolīguma stāšanos spēkā un piemērošanu būtiski notikumi tiks pienācīgi ņemti vērā, pastāvīgi uzraugot šo lēmumu, tostarp attiecībā uz nepieciešamajiem secinājumiem, kas jāizdara, ja pastāv norādes, ka pēc būtības līdzvērtīgs aizsardzības līmenis vairs netiek nodrošināts.

(157)

Atkarībā no pilnvarām, kādas kompetentās iestādes izmanto, apstrādājot personas datus tiesībaizsardzības nolūkā (neatkarīgi no tā, vai saskaņā ar 2018. gada DAL vai 2016. gada IPL), dažādas struktūras nodrošina šo pilnvaru izmantošanas pārraudzību. Konkrēti, informācijas komisārs pārrauga personas datu apstrādi, ja tā ietilpst 2018. gada DAL 3. daļas piemērošanas jomā (226). Neatkarīgu un tiesisku pārraudzību attiecībā uz izmeklēšanas pilnvaru izmantošanu saskaņā ar 2016. gada IPL nodrošina izmeklēšanas pilnvaru komisāra birojs (IPKB) (227) (šī daļa ir aplūkota (250).–255. apsvērumā). Turklāt papildu pārraudzību garantē parlaments, kā arī citas struktūras.

(158)

Informācijas komisāra (kura neatkarība un organizācija paskaidrota 87. apsvērumā) vispārīgās funkcijas saistībā ar personas datu apstrādi, kas ietilpst 2018. gada DAL 3. daļas piemērošanas jomā, ir noteiktas 2018. gada DAL 13. pielikumā. IKB galvenais uzdevums ir uzraudzīt un īstenot 2018. gada DAL 3. daļu, kā arī veicināt sabiedrības informētību, konsultēt parlamentu, valdību un citas iestādes un struktūras. Lai saglabātu tiesu iestāžu neatkarību, informācijas komisārs nav pilnvarots pildīt savas funkcijas attiecībā uz personas datu apstrādi, ko veic persona, kas rīkojas tiesu varas ietvaros, vai tiesa vai tribunāls, kas rīkojas tiesu varas ietvaros. Šādos apstākļos pārraudzības funkcijas veic citas struktūras, kā paskaidrots 99.–103. apsvērumā.

(159)

Komisāram ir vispārējas izmeklēšanas, korektīvas, atļaujas došanas un padomdevēja pilnvaras attiecībā uz personas datu apstrādi, uz kuru attiecas 3. daļa. Komisāram ir pilnvaras informēt pārzini vai apstrādātāju par iespējamu 2018. gada DAL 3. daļas pārkāpumu, izteikt brīdinājumus vai rājienu pārzinim vai apstrādātājam, kurš ir pārkāpis likuma 3. daļas noteikumus, kā arī pēc savas iniciatīvas vai pēc pieprasījuma sniegt atzinumus parlamentam, valdībai vai citām iestādēm un struktūrām, kā arī sabiedrībai par visiem jautājumiem, kas saistīti ar personas datu aizsardzību (228).

(160)

Turklāt komisāram ir pilnvaras izdot informatīvus paziņojumus (229), novērtējuma paziņojumus (230) un izpildes paziņojumus (231), kā arī tiesības piekļūt pārziņu un apstrādātāju dokumentiem, piekļūt viņu telpām (232) un piemērot administratīvos naudas sodus soda paziņojuma veidā (233). IKB regulatīvās rīcības politikā ir izklāstīti apstākļi, kādos tas izsniedz attiecīgi informatīvo, novērtējuma, izpildes un soda paziņojumus (234) (sk. arī 93. apsvērumu un Direktīvas (ES) 2016/680 lēmuma par aizsardzības līmeņa pietiekamību 101.–102. apsvērumu).

(161)

Saskaņā ar jaunākajiem gada pārskatiem (2018.–2019. (235), 2019.–2020. (236)) informācijas komisārs ir veicis vairākas izmeklēšanas un īstenojis izpildes pasākumus attiecībā uz datu apstrādi tiesībaizsardzības iestādēs. Piemēram, komisārs 2019. gada oktobrī veica izmeklēšanu un publicēja atzinumu par sejas atpazīšanas tehnoloģiju izmantošanu tiesībaizsardzības iestāžu vajadzībām publiskās vietās. Īpaša uzmanība izmeklēšanā tika pievērsta sejas atpazīšanas iespēju izmantošanai tiešraidē Dienvidvelsas policijā un Metropoles policijas dienestā (MPS). Turklāt informācijas komisārs izmeklēja MPS“bandu matricu” (237) un konstatēja virkni nopietnu datu aizsardzības tiesību aktu pārkāpumu, kas varēja mazināt sabiedrības uzticību matricai un datu izmantošanas veidam. Informācijas komisārs 2018. gada novembrī izdeva izpildes paziņojumu, un MPS pēc tam veica nepieciešamos pasākumus, lai paaugstinātu drošību un pārskatatbildību un nodrošinātu, ka dati tiek izmantoti samērīgi. Vēl viens izpildes darbības piemērs ir komisāra 2018. gada maijā piespriestais 325 000 GBP naudas sods valsts prokuratūrai par nešifrētu DVD nozaudēšanu, kuros bija policijas interviju ieraksti. Informācijas komisārs arī veica izmeklēšanu par plašākiem tematiem, piemēram, 2020. gada pirmajā pusgadā – par mobilo tālruņu izrakstu izmantošanu policijas darba vajadzībām un cietušo personu datu apstrādi policijā. Turklāt komisārs pašlaik izmeklē lietu, kas saistīta ar tiesībaizsardzības iestāžu piekļuvi datiem, kuri ir privātā sektora struktūras Clearview AI Inc. rīcībā (238).

(162)

Papildus informācijas komisāra izpildes pilnvarām, kas minētas apsvērumos (160. un 161. apsvērumā), daži datu aizsardzības tiesību aktu pārkāpumi ir noziedzīgi nodarījumi, un tāpēc par tiem var tikt piemēroti kriminālsodi (2018. gada DAL 196. pants). Tas attiecas, piemēram, uz personas datu iegūšanu, izpaušanu vai glabāšanu bez pārziņa piekrišanas un panākšanu, ka personas dati tiek izpausti citai personai bez pārziņa piekrišanas (239); informācijas, kas ir anonimizēti personas dati, atkārtotu identificēšanu, ja tai nav piekritis par personas datu anonimizēšanu atbildīgais pārzinis (240); komisāra pilnvaru īstenošanas apzinātu kavēšanu saistībā ar personas datu pārbaudi saskaņā ar starptautiskajām saistībām (241), nepatiesu ziņu sniegšanu, atbildot uz informatīvu paziņojumu, vai informācijas iznīcināšanu saistībā ar informatīviem un novērtējuma paziņojumiem (242).

(163)

Papildus informācijas komisāram krimināltiesību aktu piemērošanas jomā pastāv vairākas pārraudzības struktūras ar īpašām pilnvarām datu aizsardzības jautājumos. Tostarp, piemēram, par biometrisko materiālu glabāšanu un izmantošanu atbildīgais komisārs (“biometrijas komisārs”) (243) un par novērošanas kamerām atbildīgais komisārs (244).

(164)

Izvēlētā iekšlietu komiteja (HASC) nodrošina parlamentāro pārraudzību tiesībaizsardzības jomā. Šajā komitejā ir 11 parlamenta deputāti no trim lielākajām politiskajām partijām. Komitejas uzdevums ir pārbaudīt izdevumus, administrāciju un politiku Iekšlietu ministrijā un saistītajās valsts pārvaldes struktūrās, t. i., policijā un VNAA, kuru darbu komiteja var īpaši pārbaudīt (245).

(165)

Komiteja savas kompetences robežās var izvēlēties savu izmeklēšanas priekšmetu, tostarp konkrētas lietas, ja vien lieta netiek izskatīta tiesā. Komiteja var arī lūgt plaša spektra attiecīgās grupas un personas iesniegt rakstiskus un mutiskus pierādījumus. Tā sagatavo ziņojumus par konstatējumiem un sniedz ieteikumus valdībai (246). Tiek gaidīts, ka valdība sniegs atbildi uz katru ziņojuma ieteikumu, un tai jāatbild 60 dienu laikā (247).

(166)

Novērošanas jomā komiteja arī sagatavoja ziņojumu par 2000. gada Izmeklēšanas pilnvaru regulēšanas likumu (2000. gada IPRL) (248), kurā tika konstatēts, ka 2000. gada IPRL nav piemērots mērķim. Tās ziņojums tika ņemts vērā, aizstājot ievērojamas 2000. gada IPRL daļas ar 2016. gada IPL. Pilns izmeklēšanas saraksts ir atrodams komitejas tīmekļa vietnē (249).

(167)

HASC uzdevumus Skotijā veic Tieslietu apakškomiteja policijas darba jautājumos, savukārt Ziemeļīrijā – Tieslietu komiteja (250).

(168)

Attiecībā uz datu apstrādi tiesībaizsardzības iestādēs ir pieejami tiesiskās aizsardzības mehānismi saskaņā ar 2018. gada DAL 3. daļu un 2016. gada IPL, kā arī 1998. gada Cilvēktiesību likumu.

(169)

Šī mehānismu virkne sniedz datu subjektiem iedarbīgus administratīvus un tiesiskus aizsardzības līdzekļus, kas jo īpaši ļauj viņiem īstenot to tiesības, tostarp tiesības piekļūt saviem personas datiem vai panākt šādu datu labošanu vai dzēšanu.

(170)

Pirmkārt, saskaņā ar 2018. gada DAL 165. pantu datu subjektam ir tiesības iesniegt sūdzību informācijas komisāram, ja datu subjekts uzskata, ka attiecībā uz viņa personas datiem ir pārkāpta 2018. gada DAL 3. daļa (251). Informācijas komisārs ir pilnvarots novērtēt pārziņa un apstrādātāja atbilstību 2018. gada DAL, neatbilstības gadījumā pieprasīt tiem veikt nepieciešamos pasākumus un uzlikt naudas sodu.

(171)

Otrkārt, 2018. gada DAL nodrošina tiesības uz tiesiskās aizsardzības līdzekli pret informācijas komisāru, ja tas nespēj pienācīgi apstrādāt datu subjekta iesniegto sūdzību. Konkrētāk, ja komisārs “nevirza” (252) datu subjekta iesniegto sūdzību, sūdzības iesniedzējam ir pieejami tiesiskās aizsardzības līdzekļi, jo viņš var vērsties pirmā līmeņa tribunālā (253), lai tas uzdotu komisāram veikt atbilstošus pasākumus sakarā ar sūdzību vai informēt sūdzības iesniedzēju par sūdzības virzību (254). Turklāt jebkura persona, kurai komisārs ir izdevis kādu no iepriekš minētajiem paziņojumiem (informatīvu, novērtējuma, izpildes vai soda paziņojumu), var to pārsūdzēt pirmā līmeņa tribunālā. Ja tribunāls uzskata, ka komisāra lēmums neatbilst tiesību aktiem vai ka informācijas komisāram vajadzēja citādi izmantot savu rīcības brīvību, tribunālam ir jāatļauj pārsūdzība vai jānosaka aizstājējs paziņojums vai lēmums, ko informācijas komisārs būtu varējis izdot vai pieņemt (255).

(172)

Treškārt, personas var tieši panākt tiesisko aizsardzību pret pārziņiem un apstrādātājiem tiesā. Konkrēti, saskaņā ar 2018. gada DAL 167. pantu datu subjekts tiesā var iesniegt pieteikumu par viņa tiesību (kas noteiktas datu aizsardzības tiesību aktos) pārkāpumu, un tiesa ar rīkojumu var pieprasīt, lai pārzinis veic jebkādus pasākumus (vai atturas no to veikšanas) attiecībā uz apstrādi, lai nodrošinātu atbilstību 2018. gada DAL. Turklāt saskaņā ar 2018. gada DAL 169. pantu jebkura persona, kas cietusi kaitējumu datu aizsardzības tiesību aktu (tostarp 2018. gada DAL 3. daļas) prasību pārkāpuma dēļ, izņemot Apvienotās Karalistes VDAR, ir tiesīga saņemt no pārziņa vai apstrādātāja kompensāciju par šo kaitējumu, izņemot gadījumu, kad pārzinis vai apstrādātājs pierāda, ka tas nekādā veidā nav atbildīgs par notikumu, kas izraisījis kaitējumu. Kaitējums ietver gan finansiālus zaudējumus, gan kaitējumu, kas nav saistīts ar finansiāliem zaudējumiem, piemēram, spriedzi.

(173)

Visbeidzot ikviena persona, ciktāl tā uzskata, ka publiskās iestādes ir pārkāpušas tās tiesības, tostarp tiesības uz privātumu un datu aizsardzību, var saņemt kompensāciju Apvienotās Karalistes tiesās saskaņā ar 1998. gada Cilvēktiesību likumu (256), un pēc valsts tiesiskās aizsardzības līdzekļu izsmelšanas persona var saņemt kompensāciju, vēršoties Eiropas Cilvēktiesību tiesā par Eiropas Cilvēktiesību konvencijā garantēto tiesību pārkāpumiem (257) (sk. 111. apsvērumu).

(174)

Personas var saņemt kompensāciju par 2016. gada IPL pārkāpumiem, vēršoties Izmeklēšanas pilnvaru tribunālā. Tiesiskās aizsardzības iespējas, kas pieejamas saskaņā ar 2016. gada IPL, ir aprakstītas turpmāk 263.– 269. apsvērumā.

(175)

Apvienotās Karalistes tiesību sistēmā izlūkdienesti, kuri ir pilnvaroti vākt elektronisko informāciju, kas ir pārziņu vai apstrādātāju rīcībā valsts drošības apsvērumu nolūkiem, situācijās, kas attiecas uz aizsardzības līmeņa pietiekamības jomu, ir Drošības dienests (258) (MI5), Slepenās izlūkošanas dienests (259) (SIS) un Valdības sakaru štābs (260) (GCHQ) (261).

(176)

Apvienotajā Karalistē izlūkošanas aģentūru pilnvaras ir noteiktas 2016. gada IPL un 2000. gada IPRL, kas kopā ar 2018. gada DAL paredz šo pilnvaru materiālo un personisko darbības jomu, kā arī ierobežojumus un garantijas šo pilnvaru izmantošanai. Šīs pilnvaras, kā arī tām piemērojamie ierobežojumi un garantijas ir sīki izvērtēti nākamajās iedaļās.

(177)

2016. gada IPL nodrošina tiesisko regulējumu izmeklēšanas pilnvaru izmantošanai, t. i., pilnvaras pārtvert, piekļūt saziņas datiem un veikt iejaukšanos iekārtās. Ar 2016. gada IPL ieviests vispārējs aizliegums un par noziedzīgu nodarījumu atzīta tādu metožu izmantošanu, kas bez likumīga pilnvarojuma ļauj piekļūt saziņas saturam, piekļūt saziņas datiem vai iejaukties iekārtās (262). Tas atspoguļojas faktā, ka šo izmeklēšanas pilnvaru izmantošana ir likumīga tikai tad, ja to veic, pamatojoties uz orderi vai pilnvarojumu (263).

(178)

2016. gada IPL paredz detalizētus noteikumus par visu izmeklēšanas pilnvaru darbības jomu un piemērošanu, kā arī konkrētajiem ierobežojumiem un garantijām. Atšķirīgi noteikumi tiek piemēroti atkarībā no izmeklēšanas pilnvaru veida (saziņas pārtveršana, saziņas datu iegūšana un glabāšana un iejaukšanās iekārtās), kā arī no tā, vai pilnvaras tiek izmantotas konkrētam nolūkam (264) vai masveidā. Detalizēta informācija par katra 2016. gada IPL minētā pasākuma darbības jomu, garantijām un ierobežojumiem ir aprakstīta konkrētajā iedaļā turpmāk.

(179)

Turklāt 2016. gada IPL ir papildināts ar vairākiem likumā noteiktajiem prakses kodeksiem, kurus izdevis ministrs, apstiprinājušas abas parlamenta palātas (265) un kuri ir piemērojami visā valstī, sniedzot papildu norādījumus par šo pilnvaru izmantošanu (266). Lai arī datu subjekti savu tiesību izmantošanā var tieši paļauties uz 2016. gada IPL noteikumiem, 2016. gada IPL 7. pielikuma 5. punktā paredz, ka prakses kodeksi ir pieņemami kā pierādījumi civilprocesos un kriminālprocesos, un tiesa, tribunāls vai uzraudzības iestāde, tiesvedībā lemjot par attiecīgo jautājumu, var ņemt vērā jebkādu neatbilstību kodeksiem (267). Saistībā ar novērtējumu par Apvienotās Karalistes iepriekšējā novērošanas jomas tiesību akta – 2000. gada IPRL – kvalitāti Eiropas Cilvēktiesību tiesas virsparāta skaidri atzina Apvienotās Karalistes prakses koda atbilstību un pieņēma, ka tā noteikumus varētu ņemt vērā, vērtējot tādu tiesību aktu paredzamību, kas atļauj novērošanu (268).

(180)

Būtu jāatzīmē, ka valsts drošības dienestiem un noteiktām tiesībaizsardzības iestādēm (269) ir pieejamas mērķētas pilnvaras (mērķēta pārtveršana (270), saziņas datu iegūšana (271), saziņas datu glabāšana (272) un mērķēta iejaukšanās iekārtās (273)), savukārt tikai izlūkdienesti ir tiesīgi izmantot masveida pilnvaras (proti, masveida pārtveršana (274), saziņas datu masveida iegūšana (275), masveida iejaukšanās iekārtās (276) un masveida personas datu kopas (277)).

(181)

Lemjot, kuras izmeklēšanas pilnvaras izmantot, izlūkošanas aģentūrai ir jāpilda 2016. gada IPL 2. panta 2. punkta a) apakšpunktā uzskaitītie “vispārējie pienākumi saistībā ar privātumu”, kas ietver nepieciešamības un samērīguma pārbaudi. Konkrētāk, saskaņā ar šo noteikumu publiskajai iestādei, kurai ir nodoms izmantot izmeklēšanas pilnvaras, jāapsver i) vai to, ko tā vēlas sasniegt ar orderi, pilnvarojumu vai paziņojumu, var pamatoti sasniegt ar citiem mazāk traucējošiem līdzekļiem; ii) vai aizsardzības līmenis, kas jāpiemēro attiecībā uz informācijas iegūšanu, pamatojoties uz orderi, pilnvarojumu vai paziņojumu, ir augstāks šīs informācijas īpašās sensitivitātes dēļ; iii) sabiedrības intereses telesakaru sistēmu un pasta pakalpojumu integritātes un drošības jomā un iv) visi citi sabiedrības interešu aspekti privātuma aizsardzības jomā (278).

(182)

Veids, kā šie kritēriji jāpiemēro, un veids, kā to atbilstība tiek vērtēta ministra un neatkarīgo tieslietu komisāru atļaujas izmantot šādas pilnvaras ietvaros, ir sīkāk noteikts attiecīgajos prakses kodeksos. Jebkuras šīs izmeklēšanas pilnvaras izmantošanai vienmēr jābūt “samērīgai ar sasniedzamo mērķi, [kas] ietver līdzsvaru starp privātās dzīves aizskāruma nopietnību (un citiem apsvērumiem, kas izklāstīti 2. panta 2. punktā) un nepieciešamību veikt darbību izmeklēšanas, operatīvajā vai spēju jomā”. Tas jo īpaši nozīmē, ka tai “būtu jāsniedz reālas izredzes gaidāmā ieguvuma gūšanai un tai nevajadzētu būt nesamērīgai vai patvaļīgai” un “privātās dzīves neaizskaramības ierobežojums būtu jāuzskata par nesamērīgu, ja meklēto informāciju pamatoti varētu iegūt ar citiem mazāk traucējošiem līdzekļiem” (279). Konkrētāk, atbilstība samērīguma principam jānovērtē, ņemot vērā šādus kritērijus: “i) ierosinātā privātās dzīves neaizskaramības ierobežojuma apmērs pret to, ko mēģina sasniegt; ii) kā un kāpēc piemērojamās metodes radīs pēc iespējas mazāku iejaukšanos attiecīgajai personai un citiem; iii) vai darbība ir likuma atbilstoša piemērošana un pamatots veids, ņemot vērā visas pamatotās alternatīvas vēlamā sasniegšanai; iv) kādas citas metodes attiecīgā gadījumā vai nu netika ieviestas, vai arī tika izmantotas, bet kuras tiek vērtētas kā nepietiekamas, lai sasniegtu operatīvos mērķus, neizmantojot ierosinātās izmeklēšanas pilnvaras” (280).

(183)

Praksē, kā paskaidroja Apvienotās Karalistes iestādes, tas nodrošina, ka izlūkošanas aģentūra, pirmkārt, nosaka operatīvo mērķi (tādējādi norobežojot vākšanu, piemēram, starptautiskas terorisma apkarošanas nolūkam, konkrētā ģeogrāfiskā apgabalā), un, otrkārt, pamatojoties uz šo operatīvo mērķi, jāapsver, kura tehniskā iespēja (piemēram, mērķēta vai masveida pārtveršana, iejaukšanās iekārtās, saziņas datu iegūšana) ir samērīgāka (proti, vismazāk traucējoša privātumam, sk. IPL 2. panta 2. punktu) attiecībā uz sasniedzamo mērķi, un tāpēc to var atļaut saskaņā ar vienu no pieejamajiem likumīgajiem pamatiem.

(184)

Vērts atzīmēt, ka šo atsaukšanos uz nepieciešamības un samērīguma standartiem ir atzīmējis un atzinīgi novērtējis arī ANO īpašais referents jautājumos par privātumu, Džozefs Kanatači, kurš attiecībā uz 2016. gada IPL izveidoto sistēmu paziņoja, ka “[š]ķiet, ka gan izlūkdienestos, gan tiesībaizsardzības aģentūrās ieviestās procedūras sistemātiski prasa apsvērt novērošanas pasākuma vai operācijas nepieciešamību un samērīgumu, pirms to iesaka pilnvarojumam, kā arī pārskatīt uz tā paša pamata” (281). Viņš arī atzīmēja, ka, tiekoties ar tiesībaizsardzības aģentūru un valsts drošības dienestu pārstāvjiem, “[viņš] sadzirdējis vienprātīgu viedokli, ka tiesībām uz privātumu jābūt galvenajam apsvērumam, pieņemot lēmumu par novērošanas pasākumiem. Viņi visi izprata un novērtēja nepieciešamību un samērīgumu kā galvenos principus, kuri jāņem vērā”.

(185)

Konkrētie dažādu orderu izsniegšanas kritēriji, kā arī 2016. gada IPL noteiktie ierobežojumi un garantijas attiecībā uz katru izmeklēšanas pilnvaru ir sīki izklāstīti 186.–243. apsvērumā.

(186)

Ir triju veidu orderi, kas attiecas uz mērķētu pārtveršanu: mērķētās pārtveršanas orderis (282), mērķētās pārbaudes orderis un savstarpējās palīdzības orderis (283). Nosacījumi šādu orderu iegūšanai, kā arī attiecīgās garantijas ir noteiktas 2016. gada IPL 2. daļas 1. nodaļā.

(187)

Mērķētas pārtveršanas orderis ļauj pārtvert saziņu, kas aprakstīta orderī, tās pārraidīšanas laikā un iegūt citus datus, kas attiecas uz šo saziņu (284), tostarp sekundāros datus (285). Mērķētas pārbaudes orderis pilnvaro personu veikt pārbaudi pārtvertajam saturam, kas iegūts, pamatojoties uz masveida pārtveršanas orderi (286).

(188)

Jebkuru orderi saskaņā ar 2016. gada IPL 2. daļu var izdot ministrs (287) un apstiprināt tieslietu komisārs (288). Visos gadījumos jebkura veida mērķēta ordera darbības laiks ir ierobežots līdz 6 mēnešiem (289), un attiecībā uz tā grozīšanu (290) un atjaunošanu (291) tiek piemēroti īpaši noteikumi.

(189)

Pirms ordera izdošanas ministram jāveic nepieciešamības un samērīguma novērtējums (292). Konkrēti, attiecībā uz mērķētas pārtveršanas orderi un mērķētas pārbaudes orderi ministram jāpārbauda, vai pasākums ir nepieciešams kādam no šiem nolūkiem: valsts drošības intereses; smaga nozieguma novēršana vai atklāšana vai Apvienotās Karalistes ekonomiskās labklājības intereses (293), ciktāl šīs intereses attiecas arī uz valsts drošības interesēm (294). Savukārt savstarpējās palīdzības orderi (sk. iepriekš 139. apsvērumu) var izdot tikai tad, ja ministrs uzskata, ka pastāv apstākļi, kas ir līdzvērtīgi apstākļiem, kādos viņš izdotu orderi smagu noziegumu novēršanai un atklāšanai (295).

(190)

Turklāt ministram būtu jāizvērtē, vai pasākums ir samērīgs ar sasniedzamo mērķi (296). Pieprasīto pasākumu samērīguma novērtējumā jāņem vērā 2016. gada IPL 2. panta 2. punktā noteiktie vispārējie pienākumi saistībā ar privātumu, jo īpaši nepieciešamība novērtēt, vai to, ko vēlas panākt ar orderi, pilnvarojumu vai paziņojumu var pamatoti panākt ar citiem mazāk traucējošiem līdzekļiem, un vai attiecībā uz informācijas iegūšanu, pamatojoties uz orderi, piemērojamais aizsardzības līmenis ir augstāks šīs informācijas īpašās sensitivitātes dēļ (sk. iepriekš 181. apsvērumu).

(191)

Šajā nolūkā ministram jāņem vērā visi pieteikuma elementi, kurus pieprasījuma iesniedzēja iestāde norādījusi, jo īpaši tie, kas saistīti ar pārtveramajām personām un pasākuma atbilstību izmeklēšanai. Šādi elementi ir izklāstīti Saziņas pārtveršanas prakses kodeksā, un to aprakstam ir jābūt pietiekami konkrētam (297). Turklāt 2016. gada IPL 17. pantā noteikts, ka visos orderos, kas izdoti saskaņā ar tā 2. nodaļu, ir jānorāda vai jāapraksta konkrētā persona vai personu grupa, organizācija vai telpas, kuras jāpārtver (“mērķis”). Mērķētas pārtveršanas ordera vai mērķētas pārbaudes ordera gadījumā tie var attiekties arī uz personu grupu, vairāk nekā vienu personu vai organizāciju vai vairāk nekā vienu telpu kopu (saukts arī par “tematisko orderi”) (298). Šādos gadījumos orderī jāapraksta personu grupas vai operācijas/ izmeklēšanas kopīgais nolūks un jānosauc vai jāapraksta tik daudz šo personu/organizāciju vai telpu kopu, cik tas saprātīgi ir iespējams (299). Visbeidzot, visos orderos, kas izdoti saskaņā ar 2016. gada IPL 2. daļu, jānorāda adreses, numuri, aparāti, faktori vai faktoru kombinācija, kas jāizmanto saziņas identificēšanai (300). Šajā sakarā Saziņas pārtveršanas prakses kodeksā ir noteikts, ka mērķētas pārtveršanas ordera un mērķētas pārtveršanas ordera gadījumā “orderī jānorāda (vai jāapraksta) faktori vai faktoru kombinācija, kas tiks izmantoti saziņas identificēšanai. Ja saziņa jāidentificē, atsaucoties uz tālruņa numuru (piemēram), numurs jānorāda pilnībā. Bet, ja saziņas identificēšanai tiks izmantoti ļoti sarežģīti vai pastāvīgi mainīgi interneta selektori, šie selektori pēc iespējas jāapraksta” (301).

(192)

Svarīga garantija šajā kontekstā ir tas, ka ministra veiktais novērtējums par ordera izdošanu ir jāapstiprina neatkarīgam tieslietu komisāram (302), kurš jo īpaši pārbaudīs, vai lēmums izdot orderi atbilst nepieciešamības un samērīguma principiem (303) (par tieslietu komisāru statusu un lomu sk. turpmāk 251.–256. apsvērumā). 2016. gada IPL arī paskaidrots, ka, veicot šādu pārbaudi, tieslietu komisāram jāpiemēro tie paši principi, kuri tiktu piemēroti tiesā, iesniedzot pieteikumu pārskatīšanai tiesā (304). Tādējādi tiek nodrošināts, ka ikvienā gadījumā pirms piekļuves datiem neatkarīga struktūra sistemātiski pārbauda nepieciešamības un samērīguma principu ievērošanu.

(193)

2016. gada IPL paredz dažus konkrētus un precīzus izņēmumus attiecībā uz mērķētas pārtveršanas īstenošanu bez ordera. Ierobežotie gadījumi ir detalizēti izklāstīti likumā (305), un, izņemot gadījumu, kurš ir balstīts uz sūtītāja/saņēmēja piekrišanu, tos īsteno personas (privātas vai valsts pārvaldes struktūras), kas nav valsts drošības dienesti. Turklāt šāda veida pārtveršanu veic nolūkiem, kas atšķiras no izlūkdatu vākšanas (306), un dažos gadījumos ir maz ticams, ka vākšana var notikt nosūtīšanas scenārija kontekstā (piemēram, ja pārtveršanu veic psihiatriskajā slimnīcā vai cietumā). Ņemot vērā tās struktūras būtību, uz kuru attiecas šie konkrētie gadījumi (struktūra, kas nav valsts drošības dienests), piemēro visas 2018. gada DAL 2. daļā un Apvienotās Karalistes VDAR minētās garantijas, ieskaitot IKB pārraudzību un pieejamos tiesiskās aizsardzības mehānismus. Turklāt papildus 2018. gada DAL minētajām garantijām dažos gadījumos 2016. gada IPL arī paredz IPKB ex post pārraudzību (307).

(194)

Ņemot vērā pārtvertās(-o) personas(-u) konkrēto statusu, pēc pārtveršanas ir piemērojami papildu ierobežojumi un garantijas (308). Piemēram, tādu lietu pārtveršana, uz kurām attiecas advokāta un klienta saziņas konfidencialitāte, ir atļauta tikai ārkārtēju un spiedīgu apstākļu gadījumā; personai, kura izsniedz orderi, jāņem vērā sabiedrības intereses par tādu lietu konfidencialitāti, uz kurām attiecas advokāta un klienta saziņas konfidencialitāte, un ka uz šāda materiāla apstrādi, glabāšanu un izpaušanu attiecas konkrētas prasības (309).

(195)

Turklāt 2016. gada IPL paredz īpašas garantijas attiecībā uz drošību, glabāšanu un izpaušanu, kas ministram būtu jāņem vērā pirms mērķēta ordera izdošanas (310). Konkrēti, 2016. gada IPL 53. panta 5. punktā ir noteikts, ka katra kopija, kas izgatavota no šī materiāla, kurš savākts saskaņā ar orderi, ir jāuzglabā drošā veidā un jāiznīcina, tiklīdz vairs nav būtiska iemesla tā glabāšanai, savukārt 2016. gada IPL 53. panta 2. punktā noteikts, ka to personu skaitam, kurām materiāls tiek izpausts, un apmēram, kādā materiāls tiek izpausts, darīts pieejams vai kopēts, jābūt ierobežotam līdz minimumam, kas nepieciešams likumā paredzētajiem nolūkiem.

(196)

Visbeidzot, ja materiāls, kas pārtverts, izmantojot vai nu mērķētu pārtveršanas orderi, vai arī savstarpējās palīdzības orderi, ir jānodod trešai valstij (“informācijas izpaušana ārvalstīs”), 2016. gada IPL paredz, ka ministram jānodrošina, lai tiktu ieviesti pasākumi, kas nodrošina, ka šajā trešā valstī pastāv līdzīgas drošības, glabāšanas un izpaušanas garantijas (311). Turklāt 2018. gada DAL 109. panta 2. punktā paredzēts, ka izlūkdienesti personas datus drīkst nosūtīt ārpus Apvienotās Karalistes teritorijas tikai tad, ja nosūtīšana ir nepieciešams un samērīgs pasākums pārziņa likumā noteikto funkciju vai citu mērķu sasniegšanai, kā paredzēts 1989. gada Drošības dienestu likuma 2. panta 2. punkta a) apakšpunktā vai 1994. gada Izlūkdienestu likuma 2. panta 2. punkta a) apakšpunktā un 4. panta 2. punkta a) apakšpunktā (312). Ir svarīgi norādīt, ka šīs prasības piemēro arī gadījumos, kad izmanto atbrīvojumu sakarā ar valsts drošību atbilstīgi 2018. gada DAL 110. pantam, jo 2018. gada DAL 110. pants neparedz 2018. gada DAL 109. pantu kā vienu no noteikumiem, kuru var nepiemērot, ja valsts drošības aizsardzības nolūkā nepieciešams atbrīvojums no konkrētiem noteikumiem.

(197)

2016. gada IPL ļauj ministram pieprasīt telesakaru operatoriem saglabāt saziņas datus, lai nodrošinātu virknei publisko iestāžu, tostarp tiesībaizsardzības un izlūkošanas aģentūrām, mērķētu piekļuvi tiem. 2016. gada IPL 4. daļa paredz saziņas datu glabāšanu, savukārt 3. daļa paredz saziņas datu mērķētu iegūšanu (TCD). 2016. gada IPL 3. un 4. daļa arī nosaka konkrētus ierobežojumus šo pilnvaru izmantošanai un paredz īpašas garantijas.

(198)

Termins “saziņas dati” aptver saziņas “kurš”, “kad”, “kur” un “kā”, bet ne saturu, t. i., teikto vai rakstīto. Atšķirībā no pārtveršanas saziņas datu iegūšana un glabāšana ir vērsta nevis uz saziņas satura iegūšanu, bet gan uz tādas informācijas iegūšanu kā tālruņa pakalpojuma abonents vai detalizēts rēķins. Tas var ietvert saziņas laiku un ilgumu, nosūtītāja un saņēmēja numuru vai e-pasta adresi un dažreiz to ierīču atrašanās vietu, no kurām tika īstenoti telesakari (313).

(199)

Būtu jāatzīmē, ka saziņas datu glabāšana un iegūšana parasti neattiecas uz ES datu subjektu personas datiem, kas saskaņā ar šo lēmumu nosūtīti uz Apvienoto Karalisti. Pienākums saglabāt vai izpaust saziņas datus saskaņā ar 2016. gada IPL 3. un 4. daļu attiecas uz datiem, kurus telesakaru operatori Apvienotajā Karalistē vāc tieši no telesakaru pakalpojumu lietotājiem (314). Šāda veida “uz klientu vērsta” apstrāde parasti nenozīmē nosūtīšanu, pamatojoties uz šo lēmumu, proti, nosūtīšanu no pārziņa/apstrādātāja ES pārzinim/apstrādātājam Apvienotajā Karalistē.

(200)

Tomēr informācijas pilnīguma labad nosacījumi un garantijas, kas regulē šos iegūšanas un glabāšanas režīmus, ir analizēti turpmākajos apsvērumos.

(201)

Kā priekšnoteikums jānorāda, ka saziņas datu glabāšana un mērķēta iegūšana ir pieejama gan valsts drošības dienestiem, gan noteiktām tiesībaizsardzības iestādēm (315). Nosacījumi, kas paredz saziņas datu glabāšanu un/vai iegūšanu, var atšķirties atkarībā no pasākuma pieprasīšanas pamatojuma, proti, valsts drošības vai tiesībaizsardzības mērķa.

(202)

Konkrētāk, lai gan jaunais režīms ir ieviesis vispārējo prasību pēc ex ante atļaujas, ko piešķir neatkarīga struktūra un ko piemēro visos gadījumos, kad saziņas dati tiek glabāti un/vai iegūti (vai nu tiesībaizsardzības, vai valsts drošības nolūkā), pēc Eiropas Savienības Tiesas (316) sprieduma lietā Tele2/Watson ir ieviestas īpašas garantijas, ja pasākumu pieprasa tiesībaizsardzības nolūkā. Konkrētāk, ja saziņas datu glabāšanu vai iegūšanu pieprasa tiesībaizsardzības nolūkā, ex ante atļaujas piešķiršana vienmēr jāveic izmeklēšanas pilnvaru komisāram. Tā ne vienmēr notiek, ja pasākumu pieprasa valsts drošības nolūkā, jo, kā aprakstīts turpmāk, dažos gadījumos šāda veida pasākumiem atļauju var izsniegt cita persona, kura izsniedz atļauju. Turklāt jaunā režīma ietvaros slieksnis, attiecībā uz kuru saziņas datu glabāšana un iegūšana var tikt atļauta, ir paaugstināts uz “smagiem noziegumiem” (317).

(203)

Saskaņā ar 2016. gada IPL 3. daļu attiecīgās publiskās iestādes ir pilnvarotas iegūt saziņas datus no telesakaru operatora vai jebkuras citas personas, kura spēj iegūt un izpaust šādus datus. Atļauja var neattiekties uz saziņas satura (318) pārtveršanu, un tā zaudē spēku pēc viena mēneša (319) ar iespēju to atjaunot, izsniedzot papildu atļauju (320). Saziņas datu iegūšanai ir nepieciešama izmeklēšanas pilnvaru komisāra (IPK) atļauja (321) (informāciju par IPK statusu un pilnvarām sk. turpmāk 250.–251. apsvērumā). Tā tas ir vienmēr, ja saziņas datu iegūšanu pieprasa attiecīga tiesībaizsardzības iestāde. Tomēr atbilstīgi 2016. gada IPL 61. pantam tad, ja dati tiek iegūti Apvienotās Karalistes valsts drošības vai ekonomiskās labklājības interesēs, ciktāl tas ir svarīgi valsts drošībai, vai ja pieteikumu iesniedz izlūkošanas aģentūras loceklis saskaņā ar 61. panta 7. punkta b) apakšpunktu (322), iegūšanu alternatīvi (323) var atļaut IPK vai norīkots vecākais ierēdnis (324). Norīkotajam ierēdnim jābūt neatkarīgam attiecībā uz konkrēto izmeklēšanu vai operāciju un viņam jābūt praktiskām zināšanām par cilvēktiesību principiem un tiesību aktiem, jo īpaši attiecībā uz nepieciešamību un samērīgumu (325). Uz norīkotā ierēdņa pieņemto lēmumu attiecas IPK ex post pārraudzība (sīkāku informāciju par IPK ex post pārraudzības funkcijām sk. turpmāk 254. apsvērumā).

(204)

Atļauja iegūt saziņas datus ir balstīta pasākuma nepieciešamības un samērīguma novērtējumā. Precīzāk, pasākuma nepieciešamība tiek vērtēta, ņemot vērā tiesību aktos uzskaitītos iemeslus (326). Ņemot vērā šī pasākuma mērķēto raksturu, tam jābūt nepieciešamam arī īpašai izmeklēšanai vai operācijai (327). Citas prasības pasākumu nepieciešamības novērtējumam ir noteiktas Saziņas datu prakses kodeksā (328). Šajā kodeksā jo īpaši paredzēts, ka pieprasījuma iesniedzējas iestādes iesniegtajā pieteikumā jānorāda trīs obligātie elementi šāda pieprasījuma nepieciešamības pamatojumam: i) izmeklējamais notikums, piemēram, noziegums vai neaizsargātās pazudušās personas atrašanās vieta; ii) persona, kuras dati nepieciešami, piemēram, aizdomās turamais, liecinieks vai pazudusi persona, un tas, kā viņi ir saistīti ar notikumu; un iii) nepieciešamie saziņas dati, piemēram, tālruņa numurs vai IP adrese, un tas, kā šie dati ir saistīti ar personu un notikumu (329).

(205)

Turklāt saziņas datu ieguvei jābūt samērīgai ar sasniedzamo mērķi (330). Saziņas datu prakses kodeksā ir paskaidrots, ka, veicot šādu novērtējumu, personai, kura izsniedz atļauju, būtu jāveic līdzsvara pārbaude starp “personas tiesību un brīvību ierobežojuma apmēru un konkrēto ieguvumu izmeklēšanai vai operācijai, kuru veic attiecīgā publiskā iestāde sabiedrības interesēs” un ka, ņemot vērā visus konkrētā gadījuma apsvērumus “personas tiesību ierobežojums joprojām nevar būt attaisnojams, jo negatīvā ietekme uz citas personas vai personu grupas tiesībām ir pārāk nopietna”. Turklāt, lai īpaši novērtētu pasākuma samērīgumu, kodeksā ir uzskaitīti vairāki elementi, kas būtu jāiekļauj pieprasījuma iesniedzējas iestādes iesniegtajā pieteikumā (331). Turklāt īpaša uzmanība jāpievērš iegūstamo saziņas datu veidam (“vienības” vai “notikumu” dati (332)), un priekšroka dodama mazāk traucējošas kategorijas datu izmantošanai (333). Saziņas datu prakses kodeksā ir arī īpašas instrukcijas atļaujām, kas saistītas ar konkrētu profesiju personu (piemēram, ārstu, juristu, žurnālistu, parlamentāriešu vai mācītāju) (334) saziņas datiem, uz kuriem attiecas papildu garantijas (335).

(206)

2016. gada IPL 4. daļā ir izklāstīti saziņas datu glabāšanas noteikumi un jo īpaši kritēriji, kas ļauj ministram izdot paziņojumu par datu glabāšanu (336). IPL ieviestās garantijas ir tādas pašas kā tad, kad dati tiek glabāti vai nu tiesībaizsardzības nolūkā, vai valsts drošības interesēs.

(207)

Šādu paziņojumu par datu glabāšanu mērķis ir nodrošināt, lai telesakaru operatori ne ilgāk kā 12 mēnešus glabātu attiecīgos saziņas datus, kuri citādi tiktu izdzēsti, ja tie vairs nebūtu nepieciešami uzņēmējdarbības vajadzībām (337). Glabātajiem datiem ir jābūt pieejamiem prasītajā laika posmā, ja publiskajai iestādei vēlāk būtu nepieciešamība tos iegūt, pamatojoties ar atļauju mērķētai saziņas datu iegūšanai, kas paredzēta 2016. gada IPL 3. daļā un aprakstīta 203.–205. apsvērumā.

(208)

Tādas pilnvaras izmantošanai, kas ietver prasību par konkrētu datu glabāšanu, ir noteikti vairāki ierobežojumi un garantijas. Ministrs var izsniegt paziņojumu par datu glabāšanu vienam vai vairākiem operatoriem (338) tikai tad, ja viņš uzskata, ka prasība saglabāt datus ir nepieciešama kādam no likumā noteiktajiem mērķiem (339) un ir samērīga ar sasniedzamo mērķi (340). Kā paskaidrots 2016. gada IPL (341), ministram pirms paziņojuma par datu glabāšanu izdošanas ir jāņem vērā: paziņojuma iespējamie ieguvumi (342); telesakaru pakalpojumu apraksts; glabājamo datu ierobežošanas piemērotība, atsaucoties uz atrašanās vietu vai to personu aprakstu, kurām tiek sniegti telesakaru pakalpojumi (343); iespējamais jebkura telesakaru pakalpojuma lietotāju skaits (ja zināms), uz kuru attiecas paziņojums (344); paziņojuma izpildes tehniskā iespējamība; iespējamās paziņojuma izpildes izmaksas un jebkura cita paziņojuma ietekme uz telesakaru operatoru (vai operatoru aprakstu), uz kuru tas attiecas (345). Kā sīkāk aprakstīts Saziņas datu prakses kodeksa 17. nodaļā, visos paziņojumos par datu glabāšanu ir jānorāda katrs datu veids, kurš jāglabā, un tas, kā šis datu veids atbilst nepieciešamajām glabāšanas pārbaudēm.

(209)

Visos gadījumos (gan valsts drošības, gan tiesībaizsardzības mērķiem) ministra lēmums izdot paziņojumu par datu glabāšanu saskaņā ar tā dēvēto “divkāršās drošības procedūru” jāapstiprina neatkarīgam tieslietu komisāram, kuram īpaši jāpārskata, vai paziņojums par attiecīgu saziņas datu glabāšanu ir nepieciešams un samērīgs viena vai vairāku likumā noteikto mērķu sasniegšanai (346).

(210)

Iejaukšanās iekārtās ir metožu kopums, ko izmanto, lai iegūtu dažādus datus no iekārtām (347), tostarp datoriem, planšetdatoriem un viedtālruņiem, kā arī kabeļiem, vadiem un atmiņas ierīcēm (348). Iejaukšanās iekārtās ļauj iegūt gan saziņas saturu, gan iekārtu datus (349).

(211)

Saskaņā ar 2016. gada IPL 13. panta 1. punktu izlūkdienestam, lai veiktu iejaukšanos iekārtās, ir nepieciešama atļauja, pamatojoties uz orderi, atbilstīgi “divkāršās drošības” procedūrai, kas noteikta 2016. gada IPL, ar nosacījumu, ka pastāv “saikne ar Britu salām” (350). Saskaņā ar Apvienotās Karalistes iestāžu sniegtajiem paskaidrojumiem situācijās, kad dati no Eiropas Savienības tiek nosūtīti uz Apvienoto Karalisti šī lēmuma piemērošanas jomas ietvaros, vienmēr pastāv “saikne ar Britu salām”, un tādēļ uz jebkādu iejaukšanos iekārtās, kas aptver šādus datus, attiecas 2016. gada IPL 13. panta 1. punkta obligātā prasība saņemt orderi (351).

(212)

Noteikumi par mērķētas iejaukšanās iekārtās orderiem ir izklāstīti 2016. gada IPL 5. daļā. Tāpat kā mērķēta pārtveršana, arī mērķēta iejaukšanās iekārtās attiecas uz konkrētu “mērķi”, kurš jāizklāsta orderī (352). Sīkāka informācija par to, kā jāidentificē “mērķis”, ir atkarīga no jautājuma un tās iekārtas veida, kurā paredzēta iejaukšanās. Jo īpaši IPL 115. panta 3. punktā ir norādīti elementi, kas jāiekļauj orderī (piemēram, personas vai organizācijas vārds/nosaukums, atrašanās vietas apraksts), piemēram, atkarībā no tā, vai iejaukšanās attiecas uz iekārtu, kura pieder konkrētai personai vai organizācijai vai personu grupai vai kuru tās izmanto, vai kura atrodas to valdījumā, kura atrodas noteiktā vietā utt. (353). Mērķi, kādiem var izsniegt mērķētas iejaukšanās iekārtās orderi, ir atkarīgi no publiskās iestādes, kas to pieprasa (354).

(213)

Līdzīgi kā mērķētas pārtveršanas gadījumā, izdevējiestādei ir jāapsver, vai pasākums ir nepieciešams konkrēta nolūka sasniegšanai un vai tas ir samērīgs ar sasniedzamo mērķi (355). Turklāt tai vajadzētu arī apsvērt, vai pastāv garantijas attiecībā uz drošību, glabāšanu un izpaušanu, kā arī attiecībā uz informācijas izpaušanu ārvalstīs (356) (sk. 196. apsvērumu).

(214)

Orderis jāapstiprina tieslietu komisāram, izņemot steidzamus gadījumus (357). Pēdējā gadījumā tieslietu komisārs ir jāinformē, ka orderis ir izdots, un tas jāapstiprina trīs darba dienu laikā. Gadījumā, ja tieslietu komisārs atsakās to apstiprināt, orderis vairs nav spēkā, un to nav iespējams atjaunot (358). Turklāt tieslietu komisāram ir pilnvaras pieprasīt tādu datu dzēšanu, kas iegūti saskaņā ar orderi (359). Tas, ka orderis izdots steidzamā kārtā, neietekmē nedz ex post pārraudzību (sk. 244.–255. apsvērumu), nedz personu iespējas pieprasīt kompensāciju (sk. 260.–270. apsvērumu). Personas var sūdzēties IKB vai iesniegt prasību par apgalvoto rīcību Izmeklēšanas pilnvaru tribunālam parastajā veidā. Visos gadījumos tieslietu komisāra pārbaude, kas tiek piemērota, lemjot par ordera apstiprināšanu, ir nepieciešamības un samērīguma pārbaude, kas piemērojama mērķētas pārtveršanas pieprasījumiem (360) (sk. iepriekš 192. apsvērumu).

(215)

Visbeidzot, īpašas garantijas, kas piemērojamas mērķētas pārtveršanas gadījumā, attiecas arī uz iejaukšanos iekārtās attiecībā uz ordera darbības ilgumu, tā atjaunošanu un grozīšanu, kā arī uz parlamenta deputātu, advokāta un klienta saziņas konfidencialitātei pakļautu priekšmetu un žurnālistikas materiāla pārtveršanu (sīkāku informāciju sk. 193. apsvērumā).

(216)

Masveida pilnvaras ir reglamentētas 2016. gada IPL 6. daļā. Turklāt prakses kodeksos ir paredzēta sīkāka informācija par masveida pilnvaru izmantojumu. Lai gan Apvienotās Karalistes tiesību aktos nav definētas “masveida pilnvaras”, 2016. gada IPL kontekstā tās aprakstītas kā liela tādu datu daudzuma vākšana un glabāšana, kurus valdība ieguvusi ar dažādiem līdzekļiem (proti, masveida pārtveršanas pilnvaras, masveida iegūšana, masveida iejaukšanās iekārtās un masveida personas datu kopas) un kuriem pēc tam iestādes var piekļūt. Šis apraksts tiek precizēts, salīdzinot to ar to, kas nav “masveida pilnvaras”: tās nav pielīdzināmas tā sauktajai “masveida novērošanai” bez ierobežojumiem vai garantijām. Gluži pretēji, kā paskaidrots turpmāk, tajā ir iekļauti ierobežojumi un garantijas, kas paredzēti, lai nodrošinātu, ka piekļuve datiem netiek piešķirta nediferencēti vai nepamatoti (361). Masveida pilnvaras var izmantot tikai tad, ja ir konstatēta saikne starp tehnisko pasākumu, kuru valsts izlūkošanas aģentūra plāno izmantot, un operatīvo mērķi, kuram šāds pasākums ir pieprasīts.

(217)

Turklāt masveida pilnvaras ir pieejamas tikai izlūkošanas aģentūrām, un uz tām vienmēr attiecas ministra izdots un tieslietu komisāra apstiprināts orderis. Izvēloties izlūkdatu vākšanas līdzekļus, jāapsver, vai attiecīgo mērķi var sasniegt ar “mazāk traucējošiem līdzekļiem” (362). Šī pieeja izriet no tiesību aktu ietvara, kas balstīts samērīguma principā, un tāpēc prioritāte ir mērķēta vākšana, nevis masveida vākšana.

(218)

Masveida pārtveršanas režīms ir paredzēts 2016. gada IPL 6. daļas 1. nodaļā, savukārt tās pašas daļas 3. nodaļa regulē masveida iejaukšanos iekārtās. Šie režīmi būtībā ir vienādi, tāpēc nosacījumi un papildu garantijas, kas piemērojami šiem orderiem, analizēti kopā.

(219)

Masveida pārtveršanas orderis attiecināms uz tādas saziņas pārtveršanu tās nosūtīšanas laikā, ko sūta vai saņem personas, kuras atrodas ārpus Britu salām (363), tā sauktā “ar ārvalstīm saistītā saziņa” (364), kā arī citiem būtiskiem datiem un pārtvertā materiāla turpmākai atlasei pārbaudei (365). Masveida iejaukšanās iekārtās orderis (366) pilnvaro adresātu nodrošināt iejaukšanos jebkurā iekārtā, lai iegūtu ar ārvalstīm saistītu saziņu (tostarp jebko, kas ietver runu, mūziku, skaņas, vizuālos attēlus vai jebkura apraksta datus), iekārtu datus (datus, kas nodrošina vai atvieglo pasta dienesta darbību; telesakaru sistēmu; telesakaru pakalpojumus) vai jebkuru citu informāciju (367).

(220)

Ministrs masveida pilnvaru orderi var izdot tikai pēc izlūkdienesta vadītāja iesniegta pieteikuma (368). Orderis, kas atļauj masveida pārtveršanu vai masveida iejaukšanos iekārtās, jāizdod tikai tad, ja tas nepieciešams valsts drošības interesēs un turpmākiem nolūkiem novērst vai atklāt smagu noziegumu vai attiecīgā gadījumā Apvienotās Karalistes ekonomiskās labklājības interesēs, ciktāl tās skar valsts drošību (369). Turklāt 2016. gada IPL 142. panta 7. punktā noteikts, ka masveida pārtveršanas orderis ir jāprecizē sīkāk nekā, vienkārši atsaucoties uz “valsts drošības interesēm”, “Apvienotās Karalistes ekonomisko labklājību” un “smagu noziegumu novēršanu un apkarošanu”, taču ir jānosaka saikne starp vēlamo pasākumu un vienu vai vairākiem operatīvajiem nolūkiem, kas iekļaujami orderī.

(221)

Operatīvā nolūka izvēle ir daudzpakāpju procesa rezultāts. 142. panta 4. punkts paredz, ka orderī norādītie operatīvie nolūki ir jānorāda izlūkdienestu vadītāju uzturētajā sarakstā kā nolūki, kas, viņuprāt, uzskatāmi par operatīviem nolūkiem, kuru dēļ pārtverto saturu vai sekundāros datus, kas iegūti ar masveida pārtveršanas orderi, drīkst atlasīt pārbaudei. Operatīvo nolūku sarakstu apstiprina ministrs. Ministrs šādu apstiprinājumu var dot tikai tad, ja ir pārliecināts, ka operatīvais nolūks ir precizēts sīkāk nekā vispārīgs pamatojums ordera izsniegšanai (valsts drošība vai valsts drošība un ekonomiskā labklājība vai smagu noziegumu novēršana) (370). Katra attiecīgā trīs mēnešu perioda beigās ministram ir jānodod parlamenta IDK operatīvo nolūku saraksta kopija. Visbeidzot, premjerministram vismaz reizi gadā jāpārskata operatīvo nolūku saraksts (371). Kā atzīmēja Augstā tiesa, “to nozīmi nedrīkst mazināt līdz nenozīmīgām garantijām, jo tie kopā veido sarežģītu pārskatatbildības režīmu kopumu, kurā iesaistīts gan parlaments, gan augstākā līmeņa valdības locekļi” (372).

(222)

Šādi operatīvie nolūki ierobežo arī pārtveršanas materiāla atlases apjomu pārbaudes posmam. Saskaņā ar masveida pilnvaru orderi jebkāda savāktā materiāla atlase pārbaudei jāpamato, ņemot vērā operatīvo(-os) nolūku(-us). Kā paskaidroja Apvienotās Karalistes iestādes, tas nozīmē, ka praktiski pārbaudes kārtība ministram jānovērtē jau ordera stadijā, sniedzot pietiekamu informāciju, lai izpildītu likumā noteiktos pienākumus atbilstīgi 2016. gada IPL 152. un 193. pantam (373). Ministram sniegtajā informācijā par šiem pasākumiem jāiekļauj, piemēram, informācija (attiecīgā gadījumā) par to, kā filtrēšanas kārtība var mainīties laikā, kamēr orderis būs spēkā (374). Sīkāku informāciju par procesu un garantijām, ko piemēro filtrēšanas un pārbaudes posmiem, sk. turpmāk 229. apsvērumā.

(223)

Masveida pilnvaras var atļaut tikai tad, ja tās ir samērīgas ar sasniedzamo mērķi (375). Kā noteikts Pārtveršanas prakses kodeksā, jebkurš samērīguma novērtējums ietver “privātuma aizskāruma smaguma līdzsvarošanu (un citus 2. panta 2. punktā izklāstītos apsvērumus) ar nepieciešamību veikt darbību izmeklēšanas, operatīvajām vai spēju vajadzībām. Atļautajai rīcībai būtu jāsniedz reālas izredzes gūt gaidāmo ieguvumu, un tai nevajadzētu būt nesamērīgai vai patvaļīgai” (376). Kā jau minēts, praksē tas nozīmē, ka samērīguma pārbaude balstās uz līdzsvara pārbaudi starp sasniedzamo mērķi (“operatīvo(-ajiem) nolūku(-iem)”) un pieejamajām tehniskajām iespējām (piemēram, mērķēta vai masveida pārtveršana, iejaukšanās iekārtās, saziņas datu iegūšana), dodot priekšroku vismazāk traucējošiem līdzekļiem (sk. iepriekš 181. un 182. apsvērumu). Ja mērķim ir atbilstoši vairāki pasākumi, priekšroka jādod mazāk traucējošiem līdzekļiem.

(224)

Papildu garantiju pieprasītā pasākuma samērīguma novērtējumam nodrošina fakts, ka ministram jāsaņem attiecīgā informācija pienācīgai novērtējuma veikšanai. Konkrēti, Pārtveršanas prakses kodeksā un Prakses kodeksā par iejaukšanos iekārtās ir prasība iesniegtajā pieteikumā attiecīgajām iestādēm norādīt pieteikuma vēsturisko informāciju, pārtveramās saziņas aprakstu un telesakaru operatorus, kuru palīdzība ir nepieciešama, atļaujamās rīcības aprakstu, operatīvos nolūkus un paskaidrojumu, kāpēc rīcība ir nepieciešama un samērīga (377).

(225)

Visbeidzot un svarīgi, ka ministra lēmums izdot orderi ir jāapstiprina neatkarīgam tieslietu komisāram, kurš izvērtē ierosinātā pasākuma nepieciešamības un samērīguma novērtējumu, izmantojot tos pašus principus, kurus izmantotu tiesa pieteikumā veikt pārskatīšanu tiesā (378). Konkrētāk, tieslietu komisārs ministra secinājumus par to, vai orderis ir nepieciešams un vai rīcība ir samērīga, pārskatīs, ņemot vērā 2016. gada IPL 2. panta 2. punktā noteiktos principus (vispārējie pienākumi saistībā ar privātumu). Tieslietu komisārs arī pārskatīs ministra secinājumus par to, vai katrs no orderī norādītajiem operatīvajiem nolūkiem ir nolūks, kuram ir vai var būt nepieciešama atlase. Ja tieslietu komisārs atsakās apstiprināt lēmumu par ordera izdošanu, ministrs var vai nu: i) akceptēt lēmumu un līdz ar to neizdot orderi; vai ii) nodot lietu izmeklēšanas pilnvaru komisāram lēmuma pieņemšanai (izņemot gadījumus, kad izmeklēšanas pilnvaru komisārs ir pieņēmis sākotnējo lēmumu) (379).

(226)

2016. gada IPL ir ieviesti papildu ierobežojumi masveida pilnvaru ordera darbības ilgumam, atjaunošanai un grozīšanai. Ordera darbības ilgums nedrīkst pārsniegt sešus mēnešus, un jebkurš lēmums par ordera atjaunošanu vai grozīšanu (izņemot nelielas izmaiņas) ir jāapstiprina arī tieslietu komisāram (380). Pārtveršanas prakses kodeksā un Prakses kodeksā par iejaukšanos iekārtās precizēts, ka izmaiņas ordera operatīvajos nolūkos tiek uzskatītas par būtiskiem grozījumiem orderī (381).

(227)

Līdzīgi tam, kas paredzēts mērķētas pārtveršanas gadījumos, 2016. gada IPL 6. daļā ir paredzēts, ka ministram ir jānodrošina, ka pastāv garantijas attiecībā uz atbilstīgi orderim iegūtā materiāla glabāšanu un izpaušanu (382), kā arī informācijas izpaušanu ārvalstīs (383). Konkrēti, 2016. gada IPL 150. panta 5. punktā un 191. panta 5. punktā ir noteikts, ka katra kopija, kas izgatavota no šī materiāla, kurš savākts saskaņā ar orderi, ir jāuzglabā drošā veidā un jāiznīcina, tiklīdz vairs nav būtiska iemesla tās glabāšanai, savukārt 2016. gada IPL 150. panta 2. punktā un 191. panta 2. punktā noteikts, ka to personu skaitam, kurām materiāls tiek izpausts, un apmēram, kādā materiāls tiek izpausts, darīts pieejams vai kopēts, jābūt ierobežotam līdz minimumam, kas nepieciešams likumā paredzētajiem nolūkiem. (384)

(228)

Visbeidzot, ja materiāls, kas pārtverts, izmantojot vai nu masveida pārtveršanu, vai arī masveida iejaukšanos iekārtās, ir jānodod trešai valstij (“informācijas izpaušana ārvalstīs”), 2016. gada IPL paredz, ka ministram jānodrošina, lai tiktu ieviesti pasākumi, kas nodrošina, ka šajā trešā valstī pastāv līdzīgas drošības, glabāšanas un izpaušanas garantijas (385). Turklāt 2018. gada DAL 109. pantā ir noteiktas īpašas prasības attiecībā uz personas datu starptautisku nosūtīšanu, ko veic izlūkdienesti, uz trešām valstīm vai starptautiskai organizācijai, kā arī ir noteikts, ka datus nav atļauts nosūtīt uz valsti vai teritoriju ārpus Apvienotās Karalistes vai starptautiskai organizācijai, izņemot gadījumus, kad nosūtīšana ir nepieciešama un samērīga pārziņa likumā noteikto funkciju vai citu mērķu sasniegšanai, kā paredzēts 1989. gada Drošības dienestu likuma 2. panta 2. punkta a) apakšpunktā vai 1994. gada Izlūkdienestu likuma 2. panta 2. punkta a) apakšpunktā un 4. panta 2. punkta a) apakšpunktā (386). Ir svarīgi norādīt, ka šīs prasības piemēro arī gadījumos, kad izmanto atbrīvojumu sakarā ar valsts drošību atbilstīgi 2018. gada DAL 110. pantam, jo 2018. gada DAL 110. pants neparedz 2018. gada DAL 109. pantu kā vienu no noteikumiem, kuru var nepiemērot, ja valsts drošības aizsardzības nolūkā nepieciešams atbrīvojums no konkrētiem noteikumiem.

(229)

Pēc tam, kad orderis ir apstiprināts un dati ir savākti masveidā, pirms to pārbaudes tiks veikta datu atlase. Atlases un pārbaudes posmam analītiķis veic samērīguma pārbaudi, kas, pamatojoties uz orderī iekļautajiem operatīvajiem nolūkiem (un, iespējams, pastāvošo filtrēšanas kārtību), nosaka atlases kritērijus. Kā paredzēts IPL 152. un 193. pantā, izdodot orderi, ministram jāpārliecinās, ka ir ieviesti pasākumi, lai garantētu, ka materiāla atlase tiek veikta tikai noteiktiem operatīviem nolūkiem un ka tas ir nepieciešami un samērīgi jebkuros apstākļos. Šajā sakarā Apvienotās Karalistes iestādes paskaidroja, ka masveidā pārtvertais materiāls vispirms tiek atlasīts, izmantojot automatizētu filtrēšanu, lai atmestu datus, kas, visticamāk, nav valsts drošības interesēs. Filtri periodiski atšķirsies (mainoties interneta plūsmas modeļiem, tipiem un protokoliem) un būs atkarīgi no tehnoloģiju un operatīvā konteksta. Pēc šī posma datus pārbaudei var atlasīt tikai tad, ja tie ir nepieciešami orderī norādītajiem operatīvajiem nolūkiem (387). 2016. gada IPL paredzētās garantijas savāktā materiāla pārbaudes nolūkiem attiecas uz jebkāda veida datiem (gan pārtvertu saturu, gan sekundāriem datiem) (388). 2016. gada IPL 152. un 193. pantā ir paredzēts arī vispārējs aizliegums pārbaudes nolūkiem atlasīt materiālu attiecībā uz sarunām, kuras nosūtījušas personas vai kuras paredzētas personām, kas atrodas Britu salās. Ja iestādes vēlas pārbaudīt šādu materiālu, tās atbilstīgi 2016. gada IPL 2. un 4. daļai iesniedz pieprasījumu mērķētas pārbaudes orderim, ko izdod ministrs un apstiprina tieslietu komisārs (389). Ja persona tīši izvēlas pārtverto saturu pārbaudei, pārkāpjot likumā noteiktās prasības (390), tā izdara noziedzīgu nodarījumu (391).

(230)

Analītiķa veiktajam materiāla atlases novērtējumam piemēro IPK ex post pārraudzību, kurā novērtē atbilstību īpašām garantijām, kas pārbaudes posmam noteiktas 2016. gada IPL (392) (sk. arī 229. apsvērumu). IPK ir pastāvīgi jāpārrauga (tostarp veicot revīzijas, pārbaudes un izmeklēšanas), kā publiskās iestādes īsteno 2016. gada IPL minētās izmeklēšanas pilnvaras (393). Šajā ziņā Pārtveršanas prakses kodeksā un Prakses kodeksā par iejaukšanos iekārtās ir precizēts, ka aģentūrai ir pienākums uzturēt reģistru, lai veiktu turpmāku pārbaudi un revīziju, un šajā reģistrā ir jāprecizē, kāpēc pilnvarotu personu piekļuve materiālam ir nepieciešama un samērīga, kā arī piemērojamie operatīvie nolūki (394). Piemēram, savā 2018. gada pārskatā izmeklēšanas pilnvaru komisāra birojs (IPKB) (395) secināja, ka analītiķu reģistrētie pamatojumi atsevišķu masveidā savāktu materiālu pārbaudei atbilda prasītajam samērīguma standartam, sniedzot pietiekamu informāciju par viņu “vaicājuma” iemesliem attiecībā uz sasniedzamo mērķi (396). IPKB 2019. gada ziņojumā saistībā ar masveida pilnvarām skaidri norādīja, ka tā mērķis ir turpināt masveida pārtveršanu pārbaudes, ieskaitot selektoru un meklēšanas kritēriju detalizētu pārbaudi (397). Tas arī turpinās katrā atsevišķā gadījumā rūpīgi pārbaudīt novērošanas pasākumu (mērķētu vai masveida) izvēli orderu saņemšanas pieteikumu izvērtēšanā saskaņā ar divkāršo drošību un pārbaudēs (398). Šī turpmākā uzraudzība tiks pienācīgi ņemta vērā saistībā ar Komisijas veiktu šā lēmuma uzraudzību saskaņā ar 281.–284. apsvērumu.

(231)

2016. gada IPL 6. daļas 2. nodaļā reglamentēti masveida iegūšanas orderi, ar ko pilnvaro adresātu pieprasīt telesakaru operatoram izpaust vai iegūt jebkādus operatora rīcībā esošos saziņas datus. Šie orderi arī pilnvaro pieprasītāju iestādi atlasīt datus turpmākajam pārbaudes posmam. Tā kā tas attiecas uz saziņas datu mērķētu glabāšanu un iegūšanu (sk. 199. apsvērumu), arī saziņas datu masveida iegūšana parasti neattiecas uz ES datu subjektu personas datiem, kas saskaņā ar šo lēmumu nosūtīti uz Apvienoto Karalisti. Pienākums izpaust saziņas datus saskaņā ar 2016. gada IPL 6. daļas 2. nodaļu attiecas uz datiem, kurus telesakaru operatori Apvienotajā Karalistē vāc tieši no telesakaru pakalpojumu lietotājiem (399). Šāda veida “uz klientu vērsta” apstrāde parasti nenozīmē nosūtīšanu, pamatojoties uz šo lēmumu, proti, nosūtīšanu no pārziņa/apstrādātāja ES pārzinim/apstrādātājam Apvienotajā Karalistē.

(232)

Tomēr informācijas pilnīguma labad nosacījumi un garantijas, kas regulē saziņas datu masveida iegūšanu, ir aprakstīti turpmāk.

(233)

2016. gada IPL aizstāj tiesību aktus par masveida saziņas datu iegūšanu, kas bija EST sprieduma priekšmets lietā Privacy International. Šajā lietā aplūkotie tiesību akti tika atcelti, un jaunais režīms paredz konkrētus nosacījumus un garantijas, saskaņā ar kuriem šādu pasākumu var atļaut.

(234)

Konkrēti, atšķirībā no iepriekšējā režīma, saskaņā ar kuru ministram bija pilnīga rīcības brīvība, atļaujot noteiktu pasākumu (400), 2016. gada IPL prasīts, lai ministrs izdotu orderi tikai tad, ja pasākums ir nepieciešams un samērīgs. Praksē tas nozīmē, ka starp piekļuvi datiem un izvirzīto mērķi jābūt saiknei (401). Konkrētāk, ministram jānovērtē saikne starp pieprasīto pasākumu un vienu vai vairākiem orderī norādītajiem “operatīvajiem nolūkiem” (sk. 219. apsvērumu), ievērojot samērīguma novērtējumu; attiecīgais prakses kodekss nosaka, ka “ministram jāņem vērā, vai to, kas ar ordera palīdzību sasniedzams, varēja pamatoti sasniegt ar citiem mazāk traucējošiem līdzekļiem (Likuma 2. panta 2. punkta a) apakšpunkts). Piemēram, nepieciešamās informācijas iegūšana, izmantojot mazāk traucējošu pilnvaru, piemēram, saziņas datu mērķētu iegūšanu” (402).

(235)

Veicot šādu novērtējumu, ministrs paļausies uz informāciju, kas izlūkdienestu vadītājiem ir jāiesniedz savā pieteikumā (403), piemēram, iemesliem, kāpēc pasākums tiek uzskatīts par nepieciešamu kādam no likumā noteiktajiem iemesliem, un iemesliem, kāpēc sasniedzamo mērķi nevarēja pamatoti sasniegt ar citiem mazāk traucējošiem līdzekļiem (404). Turklāt operatīvie nolūki ierobežo apmēru, kādā datus, kas iegūti saskaņā ar orderi, var atlasīt pārbaudei (405). Kā noteikts attiecīgajā prakses kodeksā, operatīvajos nolūkos ir jāapraksta skaidra prasība un jāietver pietiekami detalizēta informācija, lai pārliecinātu ministru, ka iegūtos datus pārbaudei var atlasīt, tikai pamatojoties uz konkrētiem iemesliem (406). Faktiski ministram pirms ordera apstiprināšanas ir jāpārliecinās, ka ir ieviesti īpaši pasākumi, lai nodrošinātu, ka pārbaudei tiek atlasīts tikai tas materiāls, kas uzskatāms par nepieciešamu pārbaudei operatīviem nolūkiem un likumā paredzētajam nolūkam, un tiem jābūt samērīgiem un nepieciešamiem jebkuros apstākļos. Šī konkrētā prasība, kas atspoguļota 2016. gada IPL 158. un 172. pantā (407) attiecībā uz atlases vajadzībām izmantoto kritēriju nepieciešamības un samērīguma iepriekšēju novērtējumu, ir vēl viens svarīgs 2016. gada IPL ieviestā režīma jauninājums salīdzinājumā ar iepriekšējo režīmu.

(236)

2016. gada IPL arī ieviests ministra pienākums pirms ordera izdošanas saziņas datu masveida iegūšanai pārliecināties, ka pastāv konkrēti ierobežojumi savākto personas datu drošībai, glabāšanai un izpaušanai (408). Ja informācija tiek izpausta ārvalstīs, šajā kontekstā tiek piemērotas arī 227. apsvērumā aprakstītās garantijas attiecībā uz masveida pārtveršanu un masveida iejaukšanos iekārtās (409). Citi ierobežojumi ir noteikti tiesību aktos attiecībā uz masveida pilnvaru orderu darbības ilgumu (410), atjaunošanu (411) un grozīšanu (412).

(237)

Svarīgi ir tas, ka tāpat kā attiecībā uz pārējām masveida pilnvarām ministram pirms ordera izdošanas jāsaņem tieslietu komisāra (413) apstiprinājums. Šī ir 2016. gada IPL ieviestā režīma svarīga iezīme.

(238)

IPK veic ex post pārraudzību attiecībā uz masveidā iegūtā materiāla (saziņas datu) pārbaudes procedūru (sk. turpmāk 254. apsvērumu). Šajā sakarā ar 2016. gada IPL ieviesa prasību, ka izlūkošanas analītiķim, kurš veic pārbaudi, pirms datu atlasīšanas pārbaudei jāreģistrē iemesls, kāpēc ierosinātā pārbaude ir nepieciešama un samērīga konkrētam operatīvajam nolūkam (414). IPKB 2019. gada pārskatā par GCHQ un MI5 praksi tika konstatēts, ka “masveida saziņas datu (BCD) kritiskā loma GCHQ veikto darbību klāstā pārbaudītajās lietās bija labi formulēta. Mēs izskatījām pieprasīto datu būtību un sniegtās izlūkošanas vajadzības un guvām pārliecību, ka dokumentācija apliecināja viņu pieejas nepieciešamību un samērīgumu” (415). MI5 reģistrētie pamatojumi atbilda labiem standartiem un apmierināja nepieciešamības un samērīguma principus” (416).

(239)

Masveida personas datu kopu (BPD) orderi (417) ļauj izlūkošanas aģentūrām glabāt un pārbaudīt datu kopas, kas satur personas datus, kuri attiecas uz vairākām personām. Saskaņā ar Apvienotās Karalistes iestāžu sniegtajiem paskaidrojumiem šādu datu kopu analīze var būt “vienīgais veids, kā Apvienotās Karalistes izlūkdienestu kopienai sekmēt izmeklēšanu un identificēt teroristus, izmantojot ļoti ierobežotus izlūkošanas informācijas pavedienus vai gadījumos, kad viņu saziņa tiek tīši slēpta” (418). Ir divu veidu orderi: “BPD klases orderi” (419), kas attiecas uz noteiktu datu kopu kategoriju, proti, datu kopām, kas ir līdzīgas pēc satura un paredzētā lietojuma un rada līdzīgus apsvērumus, piemēram, par aizskāruma un sensitivitātes pakāpi un datu izmantošanas samērīgumu, tādējādi ļaujot ministram apsvērt visu attiecīgās klases datu vienlaicīgas ieguves nepieciešamību un samērīgumu. Piemēram, BPD klases orderis var aptvert ceļojumu datu kopas, kas attiecas uz līdzīgiem maršrutiem (420). “Konkrētas BPD orderi” (421) turpretī attiecas uz vienu konkrētu datu kopu, piemēram, jauna vai neparasta veida datu kopu, kas neietilpst esošajā BPD klases orderī, vai datu kopu, kas attiecas uz konkrētiem personas datu veidiem (422), un tāpēc nepieciešamas papildu garantijas (423). 2016. gada IPL noteikumi, kas attiecas uz BPD, ļauj šādas datu kopas pārbaudīt un glabāt tikai tad, ja tas ir nepieciešami un samērīgi (424), kā arī atbilst vispārējiem pienākumiem attiecībā uz privātumu (425).

(240)

Pilnvarojumam izsniegt BPD orderi piemēro “divkāršās drošības” procedūru: pasākuma nepieciešamības un samērīguma novērtējumu vispirms veic ministrs un pēc tam tieslietu komisārs (426). Ministram ir jāapsver pieprasītā ordera veida raksturs un tvērums, attiecīgo datu kategorija un atsevišķu masveida personas datu kopu skaits, kas, iespējams, ietilpst konkrētajā ordera veidā (427). Turklāt, kā norādīts Izlūkdienestu masveida personas datu kopu glabāšanas un izmantošanas prakses kodeksā, ir jāuztur sīka uzskaite, un tai veic IPK revīziju (428). BPD glabāšana un pārbaudīšana ārpus 2016. gada IPL darbības jomas robežām ir noziedzīgs nodarījums (429).

(241)

Personas datus, kas apstrādāti saskaņā ar 2018. gada DAL 4. daļu, nedrīkst apstrādāt veidā, kas nav saderīgs ar nolūku, kādam tie tika vākti (430). 2018. gada DAL paredz, ka pārzinis var apstrādāt datus citam nolūkam, nevis tam, kuram dati tika vākti, ja tas ir saderīgs ar sākotnējo nolūku un ar nosacījumu, ka pārzinis ir likumīgi pilnvarots apstrādāt datus un ka apstrāde ir nepieciešama un samērīga (431). Turklāt 1989. gada Drošības dienestu likumā un 1994. gada Izlūkdienestu likumā ir noteikts, ka izlūkošanas aģentūru vadītāju pienākums ir nodrošināt, ka netiek iegūta vai izpausta informācija, izņemot gadījumus, kad tas nepieciešams aģentūras funkciju pareizai izpildei, vai attiecībā uz citiem ierobežotiem un konkrētiem nolūkiem, kas uzskaitīti attiecīgajos noteikumos (432).

(242)

Turklāt 2018. gada DAL 109. pantā ir noteiktas konkrētas prasības izlūkdienestu veiktai personas datu starptautiskai nosūtīšanai trešām valstīm vai starptautiskām organizācijām. Saskaņā ar šo noteikumu personas datus nav atļauts nosūtīt uz valsti vai teritoriju ārpus Apvienotās Karalistes vai starptautiskai organizācijai, izņemot gadījumus, kad nosūtīšana ir nepieciešama un samērīga pārziņa likumā noteikto funkciju vai citu mērķu sasniegšanai, kā paredzēts 1989. gada Drošības dienestu likuma 2. panta 2. punkta a) apakšpunktā vai 1994. gada Izlūkdienestu likuma 2. panta 2. punkta a) apakšpunktā un 4. panta 2. punkta a) apakšpunktā (433). Ir svarīgi norādīt, ka šīs prasības piemēro arī gadījumos, kad izmanto atbrīvojumu sakarā ar valsts drošību atbilstīgi 2018. gada DAL 110. pantam, jo 2018. gada DAL 110. pants neparedz 2018. gada DAL 109. pantu kā vienu no noteikumiem, kuru var nepiemērot, ja valsts drošības aizsardzības nolūkā nepieciešams atbrīvojums no konkrētiem noteikumiem.

(243)

Turklāt, kā norādījumos par izlūkdienestu veiktu apstrādi uzsvēris IKB, papildus 2018. gada DAL 4. daļā paredzētajām garantijām uz izlūkošanas aģentūru, kas kopīgo datus ar trešās valsts izlūkošanas struktūru, attiecas arī garantijas, kuras paredzētas citos piemērojamos leģislatīvajos pasākumos ar mērķi nodrošināt, ka personas dati tiek iegūti, kopīgoti un izskatīti likumīgi un atbildīgi (434). Piemēram, 2016. gada IPL nosaka papildu garantijas attiecībā uz tāda materiāla nosūtīšanu uz trešo valsti, kas savākts, izmantojot mērķētu pārtveršanu (435), mērķētu iejaukšanos iekārtās (436), masveida pārtveršanu (437), saziņas datu masveida iegūšanu (438) un masveida iejaukšanos iekārtās (439) (tā dēvētā “informācijas izpaušana ārvalstīs”). Konkrēti, iestādei, kas izsniedz orderi, jānodrošina, ka ir spēkā kārtība, ar kuru garantē, ka trešā valsts, saņemot datus, ierobežo to personu skaitu, kuras var aplūkot materiālu, izpaušanas apjomu un no jebkura materiāla izgatavotu kopiju skaitu līdz minimumam, kas nepieciešams 2016. gada IPL noteiktajiem atļautajiem nolūkiem (440).

(244)

Valdības piekļuvi valsts drošības nolūkos pārrauga vairākas atšķirīgas struktūras. Informācijas komisārs pārrauga personas datu apstrādi, ņemot vērā 2018. gada DAL (plašāku informāciju par komisāra neatkarību, amata funkcijām un pilnvarām sk. 85.–98. apsvērumā), savukārt neatkarīgu un tiesisku pārraudzību attiecībā uz izmeklēšanas pilnvaru izmantošanu saskaņā ar 2016. gada IPL nodrošina IPK. IPK pārrauga 2016. gada IPL izmeklēšanas pilnvaru izmantojumu gan tiesībaizsardzības, gan valsts drošības iestādēs. Politisko pārraudzību garantē parlamenta Izlūkdienesta komiteja.

(245)

Personas datu apstrādi, ko izlūkdienesti veic saskaņā ar 2018. gada DAL 4. daļu, pārrauga informācijas komisārs (441).

(246)

Informācijas komisāra vispārīgās funkcijas saistībā ar izlūkdienestu veikto personas datu apstrādi saskaņā ar 2018. gada DAL 4. daļu ir noteiktas 2018. gada DAL 13. pielikumā. Uzdevumos ietilpst, bet ne tikai 2018. gada DAL 4. daļas uzraudzība un izpildes nodrošināšana, sabiedrības informētības veicināšana, ieteikumi parlamentam, valdībai un citām iestādēm par likumdošanas un administratīvajiem pasākumiem, pārziņu un apstrādātāju informētības veicināšana par viņu pienākumiem, informācijas sniegšanu datu subjektam par datu subjekta tiesību īstenošanu, izmeklēšanas veikšanu utt.

(247)

Attiecībā uz 2018. gada DAL 3. daļu komisāram ir pilnvaras paziņot pārziņiem par iespējamu pārkāpumu un izdot brīdinājumus, ka ar apstrādi, iespējams, pārkāpj noteikumus, un, ja pārkāpums ir apstiprinājies, izteikt rājienu. Tas var arī izdot izpildes un soda paziņojumus par konkrētu tiesību akta noteikumu pārkāpumiem (442). Tomēr atšķirībā no citām 2018. gada DAL daļām komisārs nevar izdot novērtējuma paziņojumu valsts drošības struktūrai (443).

(248)

Turklāt 2018. gada DAL 110. pantā ir paredzēts izņēmums attiecībā uz noteiktu komisāra pilnvaru izmantošanu, ja tas ir nepieciešams valsts drošības aizsardzības nolūkos. Tas ietver komisāra pilnvaras izdot (jebkura veida) paziņojumus saskaņā ar DAL (informatīvos, novērtējuma, izpildes un soda), pilnvaras veikt pārbaudes atbilstīgi starptautiskajām saistībām, iekļūšanas un pārbaudes pilnvaras un noteikumus par nodarījumiem (444). Kā paskaidrots 126. apsvērumā, šie izņēmumi tiks piemēroti tikai tad, ja tie būs nepieciešami un samērīgi, un katrā gadījumā tos apsvērs atsevišķi.

(249)

IKB un Apvienotās Karalistes izlūkdienesti ir parakstījuši saprašanās memorandu (445), ar ko izveido sistēmu sadarbībai vairākos jautājumos, tostarp attiecībā uz paziņojumiem par datu aizsardzības pārkāpumiem un datu subjektu sūdzību izskatīšanu. Jo īpaši tajā paredzēts, ka, saņemot sūdzību, IKB izvērtēs, vai atbrīvojums sakarā ar valsts drošību ir piemērots pareizi. Atbildes uz IKB jautājumiem saistībā ar individuālu sūdzību izskatīšanu attiecīgā izlūkošanas aģentūra sniedz 20 darba dienu laikā, izmantojot atbilstošus drošus kanālus, ja ir iesaistīta klasificēta informācija. No 2018. gada aprīļa līdz šim brīdim IKB no fiziskām personām ir saņēmis 21 sūdzību par izlūkdienestiem. Katra sūdzība tika izvērtēta, un datu subjektam tika paziņots tās rezultāts (446).

(250)

Saskaņā ar 2016. gada IPL 8. daļu izmeklēšanas pilnvaru izmantošanas pārraudzību veic izmeklēšanas pilnvaru komisārs (IPK). IPK palīdz citi tieslietu komisāri, kurus kopā sauc par tieslietu komisāriem (447). 2016. gada IPL ir noteiktas garantijas, kas aizsargā tieslietu komisāru neatkarību. Tieslietu komisāriem tiek izvirzīta prasība ieņemt vai iepriekš ieņemt augstu amatu tiesu iestādē (t. i., tiem pašlaik jābūt vai jābūt bijušiem augstāko tiesu pārstāvjiem (448), un, tāpat kā jebkurš tiesu iestāžu pārstāvis, tie ir neatkarīgi no valdības (449). Saskaņā ar 2016. gada IPL 227. pantu IPK ieceļ premjerministrs, kurš ieceļ arī tik daudz tieslietu komisāru, cik uzskata par nepieciešamu. Visus komisārus neatkarīgi no tā, vai tie ir tiesu iestāžu pašreizējie vai bijušie pārstāvji, var iecelt, tikai pamatojoties uz triju augsto tiesnešu – Anglijas un Velsas, Skotijas un Ziemeļīrijas – un lorda kanclera kopīgu ieteikumu (450). Ministram jānodrošina IPK personāls, telpas, aprīkojums un citas iespējas un pakalpojumi (451). Komisāru pilnvaru laiks ir trīs gadi, un viņus var iecelt atkārtoti (452). Papildu garantējot tieslietu komisāru neatkarīgu, tos var atbrīvot no amata tikai tad, ja tiek izpildīti stingri nosacījumi, piemērojot augstu prasību slieksni: vai nu premjerministrs konkrētos apstākļos, kas uzskaitīti izsmeļošā sarakstā 2016. gada IPL 228. panta 5. punktā (piemēram, bankrots vai ieslodzījums), vai arī, ja katra parlamenta palāta ir pieņēmusi rezolūciju, ar kuru apstiprina atcelšanu (453).

(251)

IPK un tieslietu komisāru darbu atbalsta izmeklēšanas pilnvaru komisāra birojs (IPKB). IPKB personālā ietilpst inspektoru komandu, iekšējie juridiskie un tehniskie speciālisti un tehnoloģiju konsultatīva grupa, kas sniedz ekspertu padomus. Tāpat kā atsevišķu tieslietu komisāru gadījumā, IPKB neatkarība ir aizsargāta. IPKB ir Iekšlietu ministrijai piederīga, bet neatkarīga iestāde, t. i., tā saņem finansējumu no Iekšlietu ministrijas, bet savas funkcijas veic neatkarīgi (454).

(252)

Tieslietu komisāru galvenās funkcijas ir noteiktas 2016. gada IPL 229. pantā (455). Jo īpaši tieslietu komisāriem ir plašas iepriekšējas apstiprināšanas pilnvaras, kas ietilpst Apvienotās Karalistes tiesiskajā regulējumā ar 2016. gada IPL ieviestajās garantijās. Tieslietu komisāriem jāapstiprina orderi, kas saistīti ar mērķētu pārtveršanu, iejaukšanos iekārtās, masveida personas datu kopām, saziņas datu masveida iegūšanu, kā arī paziņojumi par saziņas datu glabāšanu (456). IPK vienmēr ir arī iepriekš jāapstiprina saziņas datu iegūšana tiesībaizsardzības nolūkā (457). Ja komisārs atsakās apstiprināt orderi, ministrs var vērsties pie izmeklēšanas pilnvaru komisāra, kura lēmums ir galīgs.

(253)

ANO īpašais referents jautājumos par privātumu ļoti atzinīgi novērtēja tieslietu komisāru posteņa izveidi ar 2016. gada IPL, jo “visi sensitīvākie vai traucējošākie novērošanas pieprasījumi ir jāapstiprina gan kabineta ministram, gan izmeklēšanas pilnvaru komisāra birojam”. Jo īpaši viņš uzsvēra, ka “šis pārskatīšanas tiesā elements [izmantojot IPK lomu], ko atbalsta pieredzējušu inspektoru un tehnoloģiju ekspertu komanda ar labākiem resursiem, ir viena no nozīmīgākajām jaunajām garantijām, kas ieviestas ar IPL”, aizstājot iepriekš sadrumstaloto pārraudzības iestāžu sistēmu un papildinot parlamenta Izlūkošanas un drošības komitejas un Izmeklēšanas pilnvaru tribunāla lomu” (458).

(254)

Turklāt IPK ir pilnvaras veikt ex post pārraudzību (459), tai skaitā ar revīzijas, pārbaudes un izmeklēšanas palīdzību, izmeklēšanas pilnvaru izmantojumam saskaņā ar 2016. gada IPL un dažām citām pilnvarām un funkcijām, kas paredzētas attiecīgajos tiesību aktos (460). Šādas ex post pārraudzības rezultāti ir iekļauti ziņojumā, kas IPK ir jāsagatavo katru gadu un jāprezentē premjerministram (461), un tas jāpublicē un jāiesniedz parlamentā (462). Ziņojumā tiek ietverta būtiskā statistika un informācija par izmeklēšanas pilnvaru izmantojumu izlūkošanas aģentūrās un tiesībaizsardzības iestādēs, kā arī par garantiju izmantošanu attiecībā uz priekšmetiem, uz kuriem attiecas advokāta un klienta saziņas konfidencialitāte, konfidenciālu žurnālistikas materiālu un žurnālistikas informācijas avotiem, informācija par veiktajiem pasākumiem un operatīvie nolūki, kas izmantoti saistībā ar masveida pilnvaru orderiem. Visbeidzot, IPKB gada pārskatā norādīts, kurās jomās ieteikumi sniegti publiskajām iestādēm un kā tie risināti (463).

(255)

Saskaņā ar 2016. gada IPL 231. pantu, ja IPK rīcībā nonāk informācija par jebkādu būtisku kļūdu, ko publiskās iestādes pieļāvušas, īstenojot savas izmeklēšanas pilnvaras, tam jāinformē attiecīgā persona, ja tas uzskata, ka kļūda ir nopietna un sabiedrības interesēs ir informēt personu (464). Jo īpaši 2016. gada IPL 231. pantā ir noteikts, ka, informējot personu par kļūdu, IPK jāsniedz informācija par visām tiesībām, ar kurām šī persona var vērsties Izmeklēšanas pilnvaru tribunālā, un jāsniedz tāda informācija, kuru komisārs uzskata par nepieciešamu šo tiesību īstenošanai, un izpaušana ir sabiedrības interesēs (465).

(256)

Izlūkošanas un drošības komitejas (IDK) veiktās parlamentārās pārraudzības likumīgais pamats ir 2013. gada Tiesiskuma un drošības likums (2013. gada TDL) (466). Ar šo likumu IDK ir izveidota kā Apvienotās Karalistes parlamenta komiteja. Kopš 2013. gada IDK ir piešķirtas lielākas pilnvaras, tostarp drošības dienestu operatīvās darbības pārraudzība. Saskaņā ar 2013. gada TDL 2. pantu IDK uzdevums ir pārraudzīt valsts drošības dienestu izdevumus, pārvaldību, politiku un darbību. 2013. gada TDL paredz, ka IDK var veikt operatīvo jautājumu izmeklēšanu, ja tie nav saistīti ar tobrīd notiekošajām operācijām (467). Saprašanās memorandā, par kuru vienojās premjerministrs un IDK (468), ir sīki izklāstīti elementi, kas jāņem vērā, apsverot, vai darbība nav saistīta ar kādu notiekošu operāciju (469). Premjerministrs var arī lūgt IDK izmeklēt notiekošās operācijas, un tā var pārskatīt aģentūru brīvprātīgi sniegto informāciju.

(257)

Saskaņā ar 2013. gada TDL 1. pielikumu IDK var lūgt jebkuram no trīs izlūkdienestiem, lai tā vadītājs sniedz jebkādu informāciju. Aģentūrai šāda informācija ir jādara pieejama, ja vien ministrs to neaptur ar veto (470). Saskaņā ar Apvienotās Karalistes iestāžu sniegtajiem paskaidrojumiem praksē IDK tiek atteikts sniegt ļoti maz informācijas (471).

(258)

IDK sastāv no locekļiem, kas pieder pie kādas no parlamenta palātām un ko pēc apspriešanās ar opozīcijas līderi ieceļ premjerministrs (472). IDK ir jāsagatavo gada pārskats parlamentam par tās funkciju izpildi, kā arī citi ziņojumi, ko tā uzskata par lietderīgiem (473). Turklāt IDK ir tiesības ik pēc trim mēnešiem saņemt sarakstu ar operatīvajiem nolūkiem, kas tiek izmantots, lai pārbaudītu masveidā iegūto materiālu (474). Izmeklēšanas pilnvaru komisāra veikto izmeklēšanu, pārbaužu vai revīziju kopijas premjerministrs nosūta IDK, ja ziņojumā aplūkotais jautājums attiecas uz likumā noteikto komitejas kompetenci (475). Visbeidzot, komiteja var lūgt IPK veikt izmeklēšanu, un komisāram jāinformē IDK par lēmumu veikt šādu izmeklēšanu (476).

(259)

IDK arī sniedza atzinumu par 2016. gada IPL projektu, kā rezultātā tika izdarīti vairāki grozījumi, kas tagad ir atspoguļoti 2016. gada IPL (477). IDK jo īpaši ieteica stiprināt privātuma aizsardzību, ieviešot privātuma aizsardzības kopumu, kas attiecas uz visām izmeklēšanas pilnvarām (478). Tā arī ierosināja izmaiņas ierosinātajās iespējās attiecībā uz iejaukšanos iekārtās, BPD un saziņas datiem un pieprasīja citus īpašus grozījumus, lai stiprinātu ierobežojumus un garantijas izmeklēšanas pilnvaru izmantošanā (479).

(260)

Attiecībā uz valdības piekļuvi valsts drošības nolūkiem datu subjektiem īpaši jābūt iespējai celt prasību neatkarīgā un objektīvā tiesā, lai gūtu piekļuvi saviem personas datiem vai panāktu šādu datu labošanu vai dzēšanu (480). Šādai tiesu iestādei jo īpaši jābūt pilnvarām pieņemt saistošus lēmumus par izlūkdienestiem (481). Apvienotajā Karalistē, kā paskaidrots 261.–271. apsvērumā, vairākas tiesiskās aizsardzības iespējas tiesā sniedz datu subjektiem iespēju izmantot un saņemt šādus tiesiskās aizsardzības līdzekļus.

(261)

Saskaņā ar 2018. gada DAL 165. pantu datu subjektam ir tiesības iesniegt sūdzību informācijas komisāram, ja datu subjekts uzskata, ka attiecībā uz viņa personas datiem ir pārkāpta 2018. gada DAL 4. daļa. Informācijas komisāram ir tiesības novērtēt pārziņa un apstrādātāja atbilstību 2018. gada DAL, pieprasot viņiem veikt nepieciešamos pasākumus. Turklāt saskaņā ar 2018. gada DAL 4. daļu personām ir tiesības vērsties Augstajā tiesā (Skotijā – “Court of Session”), lai saņemtu rīkojumu, ar ko pārzinim uzdod ievērot tiesības piekļūt datiem (482), iebilst pret apstrādi (483) un labot vai dzēst datus (484).

(262)

Personām ir tiesības arī pieprasīt kompensāciju par kaitējumu, kas nodarīts tādēļ, ka pārzinis vai apstrādātājs pārkāpis 2018. gada DAL 4. daļas prasības (485). Kaitējums ietver gan finansiālus zaudējumus, gan kaitējumu, kas nav saistīts ar finansiāliem zaudējumiem, piemēram, spriedzi (486).

(263)

Personas var saņemt kompensāciju par 2016. gada IPL pārkāpumiem, vēršoties Izmeklēšanas pilnvaru tribunālā.

(264)

Izmeklēšanas pilnvaru tribunāls izveidots saskaņā ar 2000. gada IPRL, un tas ir neatkarīgs no izpildvaras (487). Saskaņā ar 2000. gada IPRL 65. pantu tribunāla locekļus uz pieciem gadiem amatā ieceļ Viņas Majestāte. Tribunāla locekli no amata var atbrīvot Viņas Majestāte, atbildot uz uzrunu (488) no abām parlamenta palātām (489).

(265)

Saskaņā ar 2000. gada IPRL 65. pantu tribunāls ir piemērota tiesu iestāde jebkuras tādas personas sūdzībai, kura cietusi sakarā ar rīcību, kas ietilpst 2016. gada IPL, 2000. gada IPRL tvērumā, vai jebkuras izlūkdienestu rīcības rezultātā (490).

(266)

Lai iesniegtu prasību Izmeklēšanas pilnvaru tribunālā (“prasības attiecībā uz tiesībām vērsties tribunālā”), saskaņā ar 2000. gada IPRL 65. pantu personai ir jābūt pārliecībai (491), ka izlūkdienests ir rīkojies attiecībā uz viņu, jebkuru tās īpašumu, jebkuru tai vai tās nosūtītu saziņu, vai tai paredzētu saziņu, vai tās jebkuru pasta pakalpojumu, telesakaru pakalpojumu vai telesakaru sistēmu izmantojumu” (492). Turklāt sūdzības iesniedzējam ir jābūt pārliecinātam, ka rīcība ir notikusi “apstrīdamos apstākļos” (493) vai “to ir veikuši izlūkdienesti vai tā ir notikusi viņu uzdevumā” (494). Tā kā šis “pārliecības” standarts ir interpretēts salīdzinoši plaši (495), prasības attiecībā uz tiesībām vērsties tribunālā ir relatīvi zemas.

(267)

Ja Izmeklēšanas pilnvaru tribunāls izskata tam iesniegtu sūdzību, tribunāla pienākums ir izmeklēt, vai personas, par kurām sūdzībā ir izvirzīti kādi apgalvojumi, ir rīkojušās attiecībā uz sūdzības iesniedzēju, kā arī izmeklēt iestādi, kas, iespējams, varētu būt iesaistījusies pārkāpumos, un to, vai apgalvotā rīcība vispār ir notikusi (496). Ja tribunāls izskata kādu lietu, tam, pieņemot nolēmumu šajā lietā, ir jāpiemēro tie paši principi, kas tiktu piemēroti tiesā, izskatot pieteikumu par pārskatīšanu tiesā (497). Turklāt orderu vai paziņojumu adresātiem saskaņā ar 2016. gada IPL, kā arī visām pārējām personām, kuras ieņem amatu valsts uzdevumā, kuras strādā policijas vienībā vai pie policijas izmeklēšanas un pārbaudes komisāra, ir pienākums izpaust vai iesniegt šim tribunālam jebkādus tādus dokumentus un informāciju, ko tribunāls var pieprasīt tā jurisdikcijas īstenošanas nolūkos (498).

(268)

Izmeklēšanas pilnvaru tribunālam ir jāinformē sūdzības iesniedzējs par to, vai ir pieņemts tam labvēlīgs lēmums vai nē (499). Saskaņā ar 2000. gada IPRL 67. panta 6. un 7. punktu tribunālam ir pilnvaras izdot pagaidu rīkojumus un paredzēt atlīdzināšanu vai izdot citu rīkojumu, ko tas uzskata par piemērotu. Tas var ietvert rīkojumu par jebkura ordera vai pilnvarojuma atcelšanu vai atsaukšanu, kā arī rīkojumu, ar ko pieprasa iznīcināt jebkādus informācijas ierakstus, kas iegūti, izmantojot ar orderi, pilnvarojumu vai paziņojumu piešķirtās pilnvaras, vai citādi ir kādas publiskās iestādes rīcībā saistībā ar jebkuru personu (500). Saskaņā ar 2000. gada IPRL 67.A pantu tribunāla nolēmumu var pārsūdzēt, ja tribunāls vai attiecīgā apelācijas tiesa ir to atļāvusi.

(269)

Visbeidzot, ir vērts minēt, ka Izmeklēšanas pilnvaru tribunāla loma vairākkārt ir apspriesta saistībā ar tiesvedību Eiropas Cilvēktiesību tiesā, īpaši lietā Kennedy v. the United Kingdom (501) un nesenajā lietā Big Brother Watch and others v. United Kingdom (502), kur Tiesa paziņoja, ka “IPT piedāvāja spēcīgu tiesiskās aizsardzības līdzekli ikvienam, kam bija aizdomas, ka tā saziņu pārtvēruši izlūkdienesti” (503).

(270)

Kā paskaidrots 109.–111. apsvērumā, valsts drošības jomā ir pieejami arī tiesiskās aizsardzības līdzekļi saskaņā ar 1998. gada Cilvēktiesību likumu, kā arī Eiropas Cilvēktiesību tiesā (504). 2000. gada IPRL 65. panta 2. punkts paredz Izmeklēšanas pilnvaru tribunāla ekskluzīvu jurisdikciju attiecībā uz visām Cilvēktiesību likuma prasībām, kas saistītas ar izlūkošanas aģentūrām (505). Tas, kā norādījusi Augstā tiesa, nozīmē, ka “jautājumu par to, vai saskaņā ar konkrētās lietas faktiem ir noticis Cilvēktiesību likuma pārkāpums, principā var izvirzīt un izskatīt neatkarīga tiesa, kurai ir pieejami visi attiecīgie materiāli, tostarp slepeni materiāli. (..) Šajā kontekstā mēs arī paturam prātā, ka tagad ir paredzēta iespēja pārsūdzēt tribunāla lēmumu attiecīgajā apelācijas tiesā (Anglijā un Velsā tā būtu Apelācijas tiesa); un ka Augstākā tiesa nesen nolēma, ka tribunāls principā ir pakļauts tiesas kontrolei: sk. R (Privacy International) v Investigatory Powers Tribunal [2019], UKSC 22; [2019] 2 WLR 1219” (506).

(271)

No iepriekš minētā izriet, ka tad, ja Apvienotās Karalistes tiesībaizsardzības vai valsts drošības iestādes piekļūst personas datiem, uz kuriem attiecas šis lēmums, šādu piekļuvi reglamentē tiesību akti, kuros izklāstīti nosacījumi, saskaņā ar kuriem šāda piekļuve var notikt, un nodrošina, ka piekļuve un turpmāka datu izmantošana aprobežojas ar to, kas ir nepieciešams un samērīgs izvirzītajiem tiesībaizsardzības vai valsts drošības mērķiem. Turklāt šādai piekļuvei vairumā gadījumu ir vajadzīga iepriekšēja tiesu iestādes atļauja, apstiprinot orderi vai pierādījumu sniegšanas orderi, un jebkurā gadījumā neatkarīga pārraudzība. Pēc tam, kad publiskās iestādes ir piekļuvušas datiem, uz to apstrādi, tostarp tālāku apmaiņu un tālāku nosūtīšanu, attiecas konkrētas datu aizsardzības garantijas saskaņā ar 2018. gada DAL 3. daļu, atspoguļojot Direktīvā (ES) 2016/680 paredzētās garantijas tiesībaizsardzības iestāžu veiktajai apstrādei un 2018. gada DAL 4. daļu izlūkošanas aģentūru veiktajai apstrādei. Visbeidzot, datu subjektiem šajā jomā ir efektīva tiesību aizsardzība administratīvā kārtā vai tiesā, tostarp piekļuve saviem datiem vai šādu datu labošanas vai dzēšanas tiesības.

(272)

Ņemot vērā šādu nosacījumu, ierobežojumu un garantiju nozīmi šajā lēmumā, Komisija cieši uzraudzīs to Apvienotās Karalistes noteikumu piemērošanu un interpretāciju, ar ko paredz valdības piekļuvi datiem. Tas ietvers attiecīgās norises likumdošanas, regulatīvajā un judikatūras jomā, kā arī IKB un citu pārraudzības iestāžu pasākumus šajā jomā. Īpaša uzmanība tiks pievērsta arī tam, kā Apvienotā Karaliste izpilde attiecīgos Eiropas Cilvēktiesību tiesas spriedumus, ietverot tādos rīcības plānos un rīcības ziņojumos noteiktos pasākumus, kas iesniegti Ministru komitejai saistībā ar tiesas nolēmumu ievērošanas uzraudzību.

(273)

Komisija uzskata, ka Apvienotās Karalistes VDAR un 2018. gada DAL nodrošina no Eiropas Savienības nosūtīto personas datu aizsardzības līmeni, kurš pēc būtības ir līdzvērtīgs Regulā (ES) 2016/679 garantētajam līmenim.

(274)

Komisija arī uzskata, ka kopumā pārraudzības mehānismi un tiesiskās aizsardzības līdzekļi, kas paredzēti Apvienotās Karalistes tiesību aktos, ļauj apzināt pārkāpumus un piemērot praksē attiecīgus sodus, kā arī sniedz datu subjektam tiesisko aizsardzību, ļaujot piekļūt viņa personas datiem un galu galā – labot vai dzēst šādus datus.

(275)

Visbeidzot, pamatojoties uz pieejamo informāciju par Apvienotās Karalistes tiesību sistēmu, Komisija uzskata, ka jebkurš ierobežojums to personu pamattiesībām, kuru personas datus Apvienotās Karalistes publiskās iestādes sabiedrības interesēs nosūta no Eiropas Savienības uz Apvienoto Karalisti, jo īpaši tiesībaizsardzības un valsts drošības nolūkos, būs tikai tāds, kas ir absolūti nepieciešams attiecīgā leģitīmā mērķa sasniegšanai, un ka pastāv efektīva tiesiskā aizsardzība pret šādu ierobežošanu.

(276)

Tādēļ, ņemot vērā šā lēmuma konstatējumus, būtu jāpieņem lēmums, ka Apvienotā Karaliste nodrošina pietiekamu aizsardzības līmeni Regulas (ES) 2016/679 45. panta nozīmē, kas interpretēts, ņemot vērā Eiropas Savienības Pamattiesību hartu.

(277)

Šis secinājums ir balstīts gan uz attiecīgo Apvienotās Karalistes iekšējo režīmu, gan tās starptautiskajām saistībām, jo īpaši Eiropas Cilvēktiesību konvencijas ievērošanu un pakļaušanos Eiropas Cilvēktiesību tiesas jurisdikcijai. Tādēļ šā lēmuma pamatā esošajā novērtējumā šādu starptautisku saistību pastāvīga ievērošana ir īpaši svarīgs elements.

(278)

Dalībvalstīm un to struktūrām ir pienākums veikt nepieciešamos pasākumus, lai izpildītu Savienības iestāžu tiesību aktus, jo tie tiek uzskatīti par likumīgiem un attiecīgi paredz juridiskās sekas līdz brīdim, kad tie zaudē spēku, tiek atcelti, anulēti saskaņā ar prasību atcelt tiesību aktu vai pasludināti par spēkā neesošiem pēc lūguma sniegt prejudiciālu nolēmumu vai iebildes par prettiesiskumu.

(279)

Tādējādi lēmums par aizsardzības līmeņa pietiekamību, ko Komisija pieņēmusi saskaņā ar Regulas (ES) 2016/679 45. panta 3. punktu, ir saistošs visām dalībvalstu struktūrām, kurām tas adresēts, tostarp to neatkarīgajām uzraudzības iestādēm. Konkrēti, šā lēmuma piemērošanas laikā nosūtīšana no pārziņa vai apstrādātāja Eiropas Savienībā pārziņiem vai apstrādātājiem Apvienotajā Karalistē var notikt bez nepieciešamības saņemt jebkādu turpmāku atļauju.

(280)

Vienlaikus būtu jāatgādina, ka saskaņā ar Regulas (ES) 2016/679 58. panta 5. punktu un kā Tiesa paskaidrojusi spriedumā Schrems lietā (507), ja valsts datu aizsardzības iestāde, tostarp pēc sūdzības saņemšanas, apšauba Komisijas lēmuma par aizsardzības līmeņa pietiekamību atbilstību personas pamattiesībām uz privātuma neaizskaramību un datu aizsardzību, tai valsts tiesību aktos ir jānodrošina tiesiskās aizsardzības līdzeklis, kas ļauj celt šādus iebildumus valsts tiesā, kurai var būt pienākums lūgt Tiesai sniegt prejudiciālu nolēmumu (508).

(281)

Saskaņā ar Regulas (ES) 2016/679 45. panta 4. punktu Komisijai pēc šā lēmuma pieņemšanas pastāvīgi jāuzrauga attiecīgās norises Apvienotajā Karalistē, lai izvērtētu, vai tā joprojām nodrošina pēc būtības līdzvērtīgu aizsardzības līmeni. Šāda uzraudzība šajā gadījumā ir īpaši svarīga, jo Apvienotā Karaliste pārvaldīs, piemēros un īstenos jaunu datu aizsardzības režīmu, uz kuru vairs neattiecas Savienības tiesību akti un kurš varētu attīstīties. Šajā saistībā īpaša uzmanība tiks pievērsta tam, kā Apvienotās Karalistes noteikumi par personas datu nosūtīšanu uz trešām valstīm tiek piemēroti praksē, un tam, kā tas varētu ietekmēt saskaņā ar šo lēmumu nosūtīto datu aizsardzības līmeni, individuālo tiesību izmantošanas efektivitātei, ietverot jebkādas nesenas norises tiesību aktos un praksē saistībā ar šādu tiesību izņēmumiem vai ierobežojumiem (jo īpaši saistībā ar efektīvas imigrācijas kontroles uzturēšanu), kā arī ierobežojumu un garantiju ievērošanai attiecībā uz valdības piekļuvi. Komisija, īstenojot uzraudzību, cita starpā ņems vērā jaunāko judikatūru un IKB un citu neatkarīgu struktūru veikto pārraudzību.

(282)

Lai sekmētu šo uzraudzību, Apvienotās Karalistes iestādēm būtu bez kavēšanās jāinformē Komisija par visām būtiskajām Apvienotās Karalistes tiesiskās kārtības izmaiņām, kas ietekmē tiesisko regulējumu, uz kuru attiecas šis lēmums, kā arī par šajā lēmumā novērtētās personas datu apstrādes prakses maiņu gan attiecībā uz pārziņu un apstrādātāju veiktu personas datu apstrādi saskaņā ar Apvienotās Karalistes VDAR, gan attiecībā uz ierobežojumiem un garantijām, ko piemēro publiskām iestādēm nodrošinātai piekļuvei personas datiem. Tam būtu jāietver norises, kas attiecas uz 281. apsvērumā minētajiem elementiem.

(283)

Turklāt, lai Komisija varētu efektīvi pildīt savu uzraudzības funkciju, dalībvalstīm būtu jāinformē Komisija par visām būtiskajām darbībām, ko veikušas valstu datu aizsardzības iestādes, jo īpaši attiecībā uz ES datu subjektu vaicājumiem un sūdzībām par personas datu nosūtīšanu no Savienības pārziņiem un apstrādātājiem Apvienotajā Karalistē. Komisiju vajadzētu informēt arī par visām pazīmēm, kas liecina, ka darbības, kuras veic Apvienotās Karalistes publiskās iestādes, kas atbild par noziedzīgu nodarījumu novēršanu, izmeklēšanu vai atklāšanu vai saukšanu pie atbildības par tiem, tostarp jebkādas pārraudzības struktūras, nenodrošina vajadzīgo aizsardzības līmeni.

(284)

Ja pieejamā informācija, jo īpaši informācija, kas iegūta, uzraugot šo lēmumu, vai informācija, ko sniedz Apvienotās Karalistes vai dalībvalstu iestādes, atklāj, ka Apvienotās Karalistes nodrošinātais aizsardzības līmenis, iespējams, vairs nav pietiekams, Komisijai par to būtu nekavējoties jāinformē Apvienotās Karalistes kompetentās iestādes un jāpieprasa, lai noteiktā termiņā, kas nav garāks par trim mēnešiem, tiktu veikti attiecīgi pasākumi. Nepieciešamības gadījumā minēto termiņu var pagarināt par noteiktu laiku, ņemot vērā attiecīgās problēmas un/vai veicamo pasākumu būtību. Piemēram, šāda procedūra tiktu izraisīta gadījumos, kad tālāku nosūtīšanu, arī balstoties uz jauniem ministra pieņemtiem noteikumiem par aizsardzības līmeņa pietiekamību vai Apvienotās Karalistes noslēgtiem starptautiskiem nolīgumiem, vairs neveiktu saskaņā ar garantijām, kas nodrošina aizsardzības nepārtrauktību Regulas (ES) 2016/679 44. panta nozīmē.

(285)

Ja līdz minētā termiņa beigām Apvienotās Karalistes kompetentās iestādes neveiks minētos pasākumus vai kā citādi apmierinoši neparādīs, ka šā lēmuma pamatā joprojām ir pietiekams aizsardzības līmenis, Komisija uzsāks Regulas (ES) 2016/679 93. panta 2. punktā minēto procedūru, lai daļēji vai pilnībā apturētu vai atceltu šo lēmumu.

(286)

Alternatīvi Komisija uzsāks šo procedūru, lai grozītu šo lēmumu, jo īpaši piemērojot papildu nosacījumus datu nosūtīšanai vai ierobežojot aizsardzības līmeņa pietiekamības konstatējuma darbības jomu tikai attiecībā uz tādu datu nosūtīšanu, kam joprojām tiek nodrošināts pietiekams aizsardzības līmenis.

(287)

Pienācīgi pamatotu nenovēršamu steidzamu iemeslu dēļ Komisija izmantos iespēju saskaņā ar Regulas (ES) 2016/679 93. panta 3. punktā minēto procedūru pieņemt nekavējoties piemērojamus īstenošanas aktus, ar kuriem aptur, atceļ vai groza lēmumu.

(288)

Komisijai jāņem vērā, ka, beidzoties Izstāšanās līgumā paredzētajam pārejas periodam, tiklīdz vairs nepiemēros ES un Apvienotās Karalistes Tirdzniecības un sadarbības nolīguma 782. pantā paredzēto pagaidu noteikumu, Apvienotā Karaliste pārvaldīs, piemēros un īstenos jaunu datu aizsardzības regulējumu salīdzinājumā ar to, kas bija spēkā, kad tai bija saistoši ES tiesību akti. Tas jo īpaši var ietvert grozījumus vai izmaiņas šajā lēmumā izvērtētajā datu aizsardzības regulējumā, kā arī citas attiecīgās norises.

(289)

Tādēļ ir lietderīgi noteikt, ka šo lēmumu piemēro četrus gadus pēc tā stāšanās spēkā.

(290)

Jo īpaši tad, ja informācija, kas iegūta, uzraugot šo lēmumu, liecina, ka konstatējumi par Apvienotās Karalistes nodrošinātā aizsardzības līmeņa pietiekamību joprojām ir faktiski un juridiski pamatoti, Komisijai ne vēlāk kā sešus mēnešus pirms šā lēmuma piemērošanas pārtraukšanas būtu jāsāk šā lēmuma grozīšanas procedūra, principā pagarinot tā darbības termiņu uz vēl četriem gadiem. Jebkurš šāds īstenošanas akts, ar kuru groza šo lēmumu, jāpieņem saskaņā ar Regulas (ES) 2016/679 93. panta 2. punktā minēto procedūru. Jebkurš šāds īstenošanas akts, ar kuru groza šo lēmumu, jāpieņem saskaņā ar Regulas (ES) 2016/679 93. panta 2. punktā minēto procedūru.

(291)

Eiropas Datu aizsardzības kolēģija ir publiskojusi savu atzinumu (509), un tas tika ņemts vērā, sagatavojot šo lēmumu.

(292)

Šajā lēmumā paredzētie pasākumi ir saskaņā ar atzinumu, ko sniegusi komiteja, kura izveidota ar Regulas (ES) 2016/679 93. pantu,

(1)

Ar Direktīvu (ES) 2016/680 ir paredzēti noteikumi, saskaņā ar kuriem Savienības kompetentās iestādes var nosūtīt personas datus trešām valstīm vai starptautiskām organizācijām, ciktāl šāda nosūtīšana ietilpst tās piemērošanas jomā. Noteikumi par datu starptautisku nosūtīšanu, ko veic kompetentās iestādes, ir izklāstīti Direktīvas (ES) 2016/680 V nodaļā, konkrētāk, 35.–40. pantā. Lai gan personas datu plūsma uz valstīm ārpus Eiropas Savienības un no tām ir būtiska efektīvas tiesībaizsardzības sadarbības nodrošināšanai, ir jāgarantē, ka šāda datu nosūtīšana nemazina Eiropas Savienībā nodrošināto personas datu aizsardzības līmeni (2).

(2)

Atbilstoši Direktīvas (ES) 2016/680 36. panta 3. punktam Komisija, pieņemot īstenošanas aktu, var nolemt, ka trešā valsts, trešās valsts teritorija vai viens vai vairāki konkrēti sektori trešā valstī, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni. Saskaņā ar šo nosacījumu personas datu nosūtīšana uz trešo valsti var notikt bez nepieciešamības saņemt jebkādu turpmāku atļauju (izņemot gadījumus, kad citai dalībvalstij, no kuras dati iegūti, ir jādod atļauja datu nosūtīšanai), kā paredzēts Direktīvas (ES) 2016/680 35. panta 1. punktā un 66. apsvērumā.

(3)

Kā norādīts Direktīvas (ES) 2016/680 36. panta 2. punktā, lēmums par aizsardzības līmeņa pietiekamību jāpieņem, pamatojoties uz visaptverošu trešās valsts tiesību sistēmas analīzi. Komisijai novērtējumā jānosaka, vai attiecīgā trešā valsts garantē aizsardzības līmeni, kurš “pēc būtības ir līdzvērtīgs” Eiropas Savienībā nodrošinātajam (Direktīvas (ES) 2016/680 67. apsvērums). Standarts, pēc kura tiek novērtēta “līdzvērtība pēc būtības”, ir paredzēts ES tiesību aktos, jo īpaši Direktīvā (ES) 2016/680, kā arī Eiropas Savienības Tiesas judikatūrā (3). Šajā ziņā būtiska nozīme ir arī Eiropas Datu aizsardzības kolēģijas pieņemtajām aizsardzības līmeņa pietiekamības atsaucēm (4).

(4)

Kā ir precizējusi Eiropas Savienības Tiesa, tas nenozīmē, ka ir jākonstatē identisks aizsardzības līmenis (5). Konkrēti, attiecīgās trešās valsts izmantotie līdzekļi personas datu aizsardzībai var atšķirties no Eiropas Savienībā izmantotajiem, kamēr vien tie praksē efektīvi nodrošina pietiekamu aizsardzības līmeni (6). Tāpēc aizsardzības līmeņa pietiekamības standarts neparedz Savienības noteikumu precīzu replicēšanu. Pārbaude drīzāk atklāj, vai attiecīgās valsts tiesību sistēma spēj nodrošināt nepieciešamo aizsardzības līmeni, ņemot vērā tiesību uz privātumu būtību un to efektīvu īstenošanu, uzraudzību un izpildi (7).

(5)

Komisija ir rūpīgi izanalizējusi Apvienotās Karalistes attiecīgos tiesību aktus un praksi. Pamatojoties uz turpmāk izklāstītajiem konstatējumiem, Komisija secina, ka Apvienotā Karaliste nodrošina pietiekamu aizsardzības līmeni personas datiem, kurus no Savienības kompetentajām iestādēm, uz ko attiecas Direktīva (ES) 2016/680, nosūta Apvienotās Karalistes kompetentajām iestādēm, uz kurām attiecas 2018. gada Datu aizsardzības likuma (“2018. gada DAL”) (8) 3. daļas darbības joma.

(6)

Šā lēmuma rezultātā šāda datu nosūtīšana četru gadu periodā, ko ir iespējams pagarināt, var notikt bez nepieciešamības saņemt jebkādu turpmāku atļauju un neskarot Direktīvas (ES) 2016/680 35. pantā paredzētos nosacījumus.

(7)

Apvienotā Karaliste ir parlamentāra demokrātija. Tai ir suverēns parlaments (augstāks par visām valdības iestādēm), parlamenta izveidota un tā priekšā atbildīga izpildvara, kā arī neatkarīga tiesu vara. Izpildvaras pilnvaras izriet no tās spējas gūt ievēlētās Pārstāvju palātas uzticību, un tā par savu darbību atbild abām parlamenta palātām (Pārstāvju palātai un Lordu palātai), kas ir atbildīgas par valdības pārbaudi, kā arī tiesību aktu apspriešanu un to pieņemšanu. Apvienotās Karalistes parlaments ir deleģējis Skotijas parlamentam, Velsas parlamentam (Senedd Cymru) un Ziemeļīrijas asamblejai atbildību par tiesību aktu izstrādi attiecībā uz dažiem Skotijas, Velsas un Ziemeļīrijas vietējiem jautājumiem. Lai gan datu aizsardzība ir Apvienotās Karalistes parlamenta kompetencē, t. i., vienus un tos pašus tiesību aktus piemēro visā valstī, citas ar šo lēmumu saistītās politikas jomas ir decentralizētas. Piemēram, Skotijas un Ziemeļīrijas krimināltiesību sistēmas, tostarp policijas darbs (policijas vienību veiktās darbības), ir deleģētas attiecīgi Skotijas parlamentam un Ziemeļīrijas asamblejai (9).

(8)

Lai gan Apvienotajā Karalistē nepastāv kodificēta konstitūcija kā iesakņojies konstitucionāls dokuments, tās konstitucionālie principi ir attīstījušies laika gaitā, jo īpaši no judikatūras un paražām. Ir atzīts, ka dažiem likumiem, piemēram, Lielajai brīvības hartai, 1689. gada Tiesību likumam un 1998. gada Cilvēktiesību likumam, ir konstitucionāls saturs. Cilvēka pamattiesības kā daļa no konstitūcijas ir attīstītas, izmantojot anglosakšu tiesības, likumus un starptautiskos līgumus, jo īpaši Eiropas Cilvēktiesību konvenciju (ECTK), ko Apvienotā Karaliste ratificēja 1951. gadā. Apvienotā Karaliste 1987. gadā ir arī ratificējusi Eiropas Padomes Konvenciju par personu aizsardzību attiecībā uz personas datu automātisko apstrādi (Konvencija Nr. 108) (10).

(9)

Ar 1998. gada Cilvēktiesību likumu Apvienotās Karalistes tiesību aktos ir iekļautas ECTK paredzētās tiesības. Ar šo likumu ikvienai personai piešķirtas pamattiesības un brīvības, kas paredzētas ECTK 2.–12. un 14. pantā, tās pirmā protokola 1.–3. pantā un tās trīspadsmitā protokola 1. pantā, ko skata kopā ar ECTK 16.–18. pantu. Tas ietver tiesības uz privātās un ģimenes dzīves neaizskaramību, kas savukārt ietver tiesības uz datu aizsardzību, un tiesības uz lietas taisnīgu izskatīšanu (11). Konkrēti, saskaņā ar ECTK 8. pantu publiska iestāde (institūcija) var traucēt baudīt tiesības uz privātumu tikai gadījumos, kas ir paredzēti likumā un ir nepieciešami demokrātiskā sabiedrībā, lai aizsargātu valsts un sabiedrisko drošību vai valsts ekonomiskās labklājības intereses, lai nepieļautu nekārtības vai noziegumus, lai aizsargātu veselību vai tikumību vai lai aizstāvētu citu tiesības un brīvības.

(10)

Saskaņā ar 1998. gada Cilvēktiesību likumu visām publisko iestāžu darbībām jābūt saderīgām ar tiesībām, ko garantē saskaņā ar ECTK (12). Turklāt primārie un sekundārie tiesību akti ir jāskata un jāpiemēro tā, lai tie būtu saderīgi ar šīm tiesībām (13). Ja persona uzskata, ka publiskās iestādes ir pārkāpušas tās tiesības, tostarp tiesības uz privātumu un datu aizsardzību, tā var saņemt kompensāciju, vēršoties Apvienotās Karalistes tiesās saskaņā ar 1998. gada Cilvēktiesību likumu, bet pēc valsts tiesiskās aizsardzības līdzekļu izsmelšanas – saņemt kompensāciju, vēršoties Eiropas Cilvēktiesību tiesā par ECTK garantēto tiesību pārkāpumiem.

(11)

Apvienotā Karaliste 2020. gada 31. janvārī izstājās no Eiropas Savienības. Pamatojoties uz Līgumu par Lielbritānijas un Ziemeļīrijas Apvienotās Karalistes izstāšanos no Eiropas Savienības un Eiropas Atomenerģijas kopienas (14), Savienības tiesību aktu piemērošana Apvienotajā Karalistē turpinājās pārejas periodā līdz 2020. gada 31. decembrim. Pirms izstāšanās un pārejas periodā tiesisko regulējumu personas datu aizsardzībai Apvienotajā Karalistē attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, veidoja attiecīgās 2018. gada Datu aizsardzības likuma daļas, ar ko bija transponēta Direktīva (ES) 2016/680.

(12)

Veicot sagatavošanās pasākumus nolūkā izstāties no ES, Apvienotās Karalistes valdība pieņēma 2018. gada Likumu par izstāšanos no Eiropas Savienības (LIES) (15), ar ko Apvienotās Karalistes tiesību aktos iekļāva tieši piemērojamus Savienības tiesību aktus, un noteica, ka tā dēvētie “no ES atvasinātie valsts tiesību akti” turpina būt spēkā arī pēc pārejas perioda beigām. 2018. gada DAL 3. daļa (16), ar ko transponē Direktīvu (ES) 2016/680, saskaņā ar LIES ir “no ES atvasināts valsts tiesību akts”. LIES paredz, ka Apvienotās Karalistes tiesām negrozītie “no ES atvasinātie valsts tiesību akti” ir jāinterpretē saskaņā ar Eiropas Savienības Tiesas (EST) attiecīgo judikatūru un Savienības tiesību aktu vispārējiem principiem, kas bija spēkā tieši pirms pārejas perioda beigām (attiecīgi “saglabātā ES judikatūra” un “saglabātie ES tiesību aktu vispārējie principi”) (17).

(13)

Saskaņā ar LIES Apvienotās Karalistes ministri ir pilnvaroti, izmantojot normatīvos aktus, pieņemt sekundāros tiesību aktus ar mērķi veikt saglabātajos Eiropas Savienības tiesību aktos nepieciešamos grozījumus, kas izriet no Apvienotās Karalistes izstāšanās no Eiropas Savienības. Šīs pilnvaras tika izmantotas ar 2019. gada Datu aizsardzības, privātuma un elektronisko sakaru (ar grozījumiem) (Izstāšanās no ES) noteikumiem (DAPES noteikumi (18)). Ar tiem tiek grozīti Apvienotās Karalistes datu aizsardzības tiesību akti, tostarp 2018. gada DAL, lai tie atbilstu vietējam kontekstam (19).

(14)

Līdz ar to juridiskie standarti par to, kā kompetentās iestādes apstrādā personas datus, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai lai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu Apvienotajā Karalistē pēc pārejas perioda, kas noteikts Izstāšanās līgumā, aizvien būs noteikti attiecīgajā 2018. gada DAL daļā, taču ar grozījumiem, kas izdarīti ar DAPES noteikumiem, jo īpaši minētā likuma 3. daļā. Uz šādu apstrādi neattiecas Apvienotās Karalistes Vispārīgā datu aizsardzības regula (Apvienotās Karalistes VDAR).

(15)

2018. gada DAL 3. daļā ir paredzēti noteikumi par personas datu apstrādi krimināltiesību aktu piemērošanas nolūkā, tostarp datu aizsardzības principi, apstrādes juridiskais pamatojums (likumīgums), datu subjektu tiesības, kompetento iestāžu kā pārziņu pienākumi un tālākas nosūtīšanas ierobežojumi. Savukārt piemērojamie noteikumi par pārraudzību, izpildi un kompensācijām, ko piemēro tiesībaizsardzības jomā, ir paredzēti 2018. gada DAL 5. un 6. daļā.

(16)

Turklāt, ņemot vērā policijas vienību attiecīgo lomu tiesībaizsardzības jomā, būtu jāapsver noteikumi, kas regulē policijas darbību. Tā kā policijas jautājumi ir deleģēti, policijas darbam a) Anglijā un Velsā, b) Skotijā un c) Ziemeļīrijā piemēro dažādus tiesību aktus, kuru saturs gan bieži vien ir līdzīgs (20). Turklāt dažādos norādījumu dokumentos ir papildus skaidrots, kā būtu jāīsteno policijas pilnvaras. Ir trīs galvenie policijas norādījumu veidi: 1) uz likuma pamata izdotie norādījumi, kas izdoti saskaņā ar tiesību aktiem, piemēram, Ētikas kodekss (21) un Policijas informācijas pārvaldības prakses kodekss (PIP prakses kodekss) (22), kas izdoti saskaņā ar 1996. gada Policijas likumu (23), vai LPPK kodeksi (24), kas izdoti saskaņā ar Likumu par policiju un pierādījumiem krimināllietās (25), 2) Atļautā profesionālā prakse policijas informācijas pārvaldībai (APP norādījumi par policijas informācijas pārvaldību), ko izdevusi Policijas kolēģija (26), un 3) operatīvie norādījumi (ko publicē pati policija). Valsts policijas priekšnieku padome (visu Apvienotās Karalistes policijas vienību koordinējošā iestāde) publicē operatīvos norādījumus, kurus ir apstiprinājušas visas policijas vienības un kuri tādējādi ir piemērojami visā valstī (27). Šo norādījumu mērķis ir panākt, ka policijas vienības pārvalda informāciju vienveidīgi (28).

(17)

PIP prakses kodeksu 2005. gadā izdeva ministrs, izmantojot ar 1996. gada Policijas likuma 39.A pantu piešķirtās pilnvaras (29). Saskaņā ar Policijas likumu izdotie kodeksi vai prakse ir jāapstiprina ministram, un pirms to iesniegšanas parlamentā ir jāapspriežas ar Valsts noziedzības apkarošanas aģentūru. Policijas likuma 39.A panta 7. punktā ir noteikts, ka policijai ir pienācīgi jāievēro saskaņā ar likumu izdotie kodeksi, tāpēc ir gaidāms, ka policija to ievēros (30). Turklāt neobligātajiem norādījumiem (piemēram, APP norādījumiem par policijas informācijas pārvaldību) vienmēr ir jāsaskan ar PIP prakses kodeksu, kas ir par to svarīgāks (31).. Jebkurā gadījumā, lai gan varētu būt atsevišķas operatīvās situācijas, kad policijas ierēdņiem ir jāatkāpjas no šiem norādījumiem, viņiem joprojām ir jāievēro 2018. gada DAL 3. daļas prasības (32).

(18)

Papildu norādījumus par Apvienotās Karalistes datu aizsardzības tiesību aktiem attiecībā uz datu apstrādi tiesībaizsardzības jomā sniedz informācijas komisārs (informācijas komisārs vai informācijas komisāra birojs (IKB)) (33) (vairāk par IKB sk. 93.–109. apsvērumā). Lai gan norādījumi nav juridiski saistoši, tiesai tiesvedībā būtu pienākums ņemt vērā norādījumu pārkāpumus, jo tiem ir interpretējošs spēks un tie apliecina, kā komisārs interpretē un piemēro praksē datu aizsardzības tiesību aktus (34).

(19)

Visbeidzot, kā minēts 8.–10. apsvērumā, Apvienotās Karalistes tiesībaizsardzības iestādēm ir jānodrošina atbilstība ECTK un Konvencijai Nr. 108.

(20)

Tādējādi tiesiskais regulējums, kas reglamentē datu apstrādi Apvienotās Karalistes kriminālizmeklēšanas iestādēs, pēc struktūras un galvenajiem elementiem ir ļoti līdzīgs tam, ko piemēro ES. Minētais ietver arī to, ka regulējums balstās ne tikai uz pienākumiem, kas noteikti valsts tiesību aktos, kurus ietekmējuši ES tiesību akti, bet arī uz starptautiskajās tiesībās nostiprinātajām saistībām, jo īpaši tādēļ, ka Apvienotā Karaliste ievēro ECTK un Konvenciju Nr. 108, kā arī pakļaujas Eiropas Cilvēktiesību tiesas jurisdikcijai. Tādējādi šie pienākumi, kas izriet no juridiski saistošiem starptautiskiem instrumentiem, jo īpaši personas datu aizsardzības jomā, ir īpaši svarīgs šajā lēmumā vērtētā tiesiskā regulējuma elements.

(21)

2018. gada DAL 3. daļas materiālā piemērošanas joma atbilst Direktīvas (ES) 2016/680 2. panta 2. punktā noteiktajai darbības jomai. 3. daļa attiecas uz personas datu apstrādi, ko kompetentā iestāde pilnībā vai daļēji veic ar automatizētiem līdzekļiem, un uz kompetentās iestādes veiktu personas datu apstrādi bez automatizētiem līdzekļiem, ja tie veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas.

(22)

Turklāt pārzinim, lai uz to attiektos minētā 3. daļa, ir jābūt “kompetentajai iestādei” un apstrāde jāveic “tiesībaizsardzības nolūkā”. Tādēļ šajā lēmumā vērtētais datu aizsardzības režīms attiecas uz visām šo kompetento iestāžu tiesībaizsardzības darbībām.

(23)

Jēdziens “kompetentā iestāde” DAL 30. pantā ir definēts kā persona, kas minēta 2018. gada DAL 7. pielikumā, kā arī jebkura cita persona, ja tai ir likumā noteiktas jebkāda tiesībaizsardzības nolūka funkcijas. 7. pielikumā norādītās kompetentās iestādes ietver ne tikai policijas vienības, bet arī visas Apvienotās Karalistes ministriju nodaļas un citas iestādes, kas veic izmeklēšanas funkcijas (piem., Viņas Majestātes ieņēmumu un muitas komisāru, Velsas Ieņēmumu pārvaldi, Konkurences un tirgu iestādi, Viņas Majestātes Zemes reģistru vai Valsts noziedzības apkarošanas aģentūru), prokuratūras aģentūras, citas krimināltiesību aģentūras un citas personas vai organizācijas, kas veic tiesībaizsardzības darbības (35). 2018. gada DAL 3. daļa, izņemot sadaļu par datu subjekta tiesībām un IKB pārraudzību, attiecas arī uz tiesām un tribunāliem, kad tie pilda savas tiesas funkcijas (36). 7. pielikumā norādītais kompetento iestāžu saraksts nav galīgs, un ministrs to var atjaunināt saskaņā ar noteikumiem, ņemot vērā izmaiņas valsts iestāžu organizācijā (37).

(24)

Minētajai apstrādei jābūt arī “tiesībaizsardzības nolūkā”, kas definēts kā noziedzīgu nodarījumu novēršana, izmeklēšana, atklāšana vai saukšana pie atbildības par tiem vai kriminālsodu izpilde, tostarp aizsardzība pret draudiem sabiedriskajai drošībai un to novēršana (38). Ja apstrāde ko veic kompetentā iestāde, nenotiek tiesībaizsardzības nolūkā, 2018. gada DAL 3. daļa uz to neattiecas. Tas tā ir, piemēram, tad, kad Konkurences un tirgu iestāde izmeklē lietas, kurās nav paredzēta kriminālatbildība (piemēram, uzņēmumu apvienošanās). Šādā gadījumā piemēros Apvienotās Karalistes VDAR kopā ar 2018. gada DAL 2. daļu, jo kompetentās iestādes apstrādā personas datus ar tiesībaizsardzību nesaistītā nolūkā. Lai noteiktu, kāds datu aizsardzības režīms piemērojams (2018. gada DAL 3. vai 2. daļa) attiecīgo personas datu apstrādei, kompetentajai iestādei, proti, pārzinim, ir jāizvērtē, vai šādas apstrādes primārais nolūks ir viens no tiesībaizsardzības nolūkiem saskaņā ar 2018. gada DAL.

(25)

Attiecībā uz 2018. gada DAL 3. daļas teritoriālo piemērošanas jomu 207. panta 2. punktā noteikts, ka DAL attiecas uz personas datu apstrādi saistībā ar tādas personas darbībām, kura darbojas visā Apvienotās Karalistes teritorijā. Tas ietver Anglijas, Velsas, Skotijas un Ziemeļīrijas teritoriju publiskās iestādes, kuras ietilpst 2018. gada DAL 3. daļas materiālajā piemērošanas jomā (39).

(26)

Personas datu un apstrādes pamatjēdzieni ir definēti 2018. gada DAL 3. pantā, un tos piemēro visam DAL. Šīs definīcijas ir ļoti tuvas attiecīgajām definīcijām Direktīvas (ES) 2016/680 3. pantā. Saskaņā ar 2018. gada DAL personas dati ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu dzīvu fizisku personu (40). Saskaņā ar 2018. gada DAL 3. panta 3. punktu fiziska persona ir identificējama, ja to var tieši vai netieši identificēt pēc informācijas, tostarp atsaucoties uz vārdu, uzvārdu vai identifikatoru vai atsaucoties uz vienu vai vairākiem personas fiziskajai, fizioloģiskajai, ģenētiskajai, garīgajai, ekonomiskajai, kultūras vai sociālajai identitātei raksturīgiem faktoriem. Jēdziens “apstrāde” ir definēts kā darbība vai darbību kopums, ko veic ar informāciju vai informācijas kopām, piemēram, tās: a) vākšana, reģistrēšana, organizēšana, strukturēšana vai glabāšana; b) pielāgošana vai pārveidošana; c) atgūšana, aplūkošana vai izmantošana; d) izpaušana, nosūtot, izplatot vai citādi darot pieejamu; e) saskaņošana vai kombinēšana; vai f) ierobežošana, dzēšana vai iznīcināšana. Turklāt likumā “sensitīva apstrāde” ir definēta kā “a) tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās; b) ģenētisko datu vai biometrisko datu apstrāde, lai viennozīmīgi identificētu personu; c) veselības datu apstrāde; d) datu apstrāde attiecībā uz personas dzimumdzīvi vai seksuālo orientāciju” (41). Šajā sakarā 2018. gada DAL 205. pantā ir sniegta “biometrisko datu” (42), “veselības datu” (43) un “ģenētisko datu” (44) definīcija.

(27)

2018. gada DAL 32. pantā ir precizētas “pārziņa” un “apstrādātāja” definīcijas saistībā ar personas datu apstrādi tiesībaizsardzības nolūkā, ievērojot līdzvērtību ar Direktīvas (ES) 2016/680 definīcijām. Pārzinis ir kompetentā iestāde, kas nosaka personas datu apstrādes nolūkus un līdzekļus. Ja apstrāde ir paredzēta tiesību aktos, pārzinis ir kompetentā iestāde, kurai minētais likums uzliek šādu pienākumu. Apstrādātājs ir jebkura persona, kas pārziņa vārdā apstrādā personas datus (kas nav persona, kura ir pārziņa darbinieks).

(28)

Saskaņā ar 2018. gada DAL 35. pantu (līdzīgi tam, kā paredzēts Direktīvas (ES) 2016/680 4. panta 1. punkta a) apakšpunktā) personas datu apstrādei jābūt likumīgai un godprātīgai. Saskaņā ar 2018. gada DAL 35. panta 2. punktu personas datu apstrāde jebkādā tiesībaizsardzības nolūkā ir likumīga tikai tad, ja tās pamatā ir tiesību akti un vai nu datu subjekts ir devis piekrišanu apstrādei šajā nolūkā, vai arī apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko šajā nolūkā veic kompetenta iestāde.

(29)

Līdzīgi tam, kā paredzēts Direktīvas (ES) 2016/680 8. pantā, lai nodrošinātu apstrādes likumīgumu saskaņā ar 2018. gada DAL 3. daļu, šādai apstrādei jābūt “uz tiesību aktu pamata”. “Likumīga” apstrāde ir tāda, ko atļauj likums, anglosakšu tiesības vai monarha prerogatīvas (45).

(30)

Kompetento iestāžu pilnvaras parasti reglamentē likumi, kas nozīmē, ka to funkcijas un pilnvaras ir skaidri izklāstītas parlamenta pieņemtajos normatīvajos aktos (46). Atsevišķos gadījumos, lai apstrādātu datus, policija, kā arī citas kompetentās iestādes, kas uzskaitītas 2018. gada DAL 7. pielikumā, var paļauties uz anglosakšu tiesībām (47). Anglosakšu tiesības ir veidojušās no tiesu lēmumu precedentiem. Anglosakšu tiesību nozīme izpaužas policijai pieejamajās pilnvarās, kas izriet no šā tiesību avota, un tās pamatpienākumā – aizsargāt sabiedrību, atklājot un novēršot noziedzību (48). Tomēr policijas vienībām šā pienākuma izpildei ir gan no anglosakšu tiesībām, gan normatīvajiem aktiem izrietošas pilnvaras (49). Ja policijai ir likumā noteikta vara, tā aizstāj jebkuru no anglosakšu tiesībām izrietošu varu (50).

(31)

Tiesa ir atzinusi, ka anglosakšu tiesībās paredzētās policijas ierēdņa pilnvaras un pienākumi ietver “visus pasākumus, kas viņam šķiet nepieciešami, lai uzturētu mieru, novērstu noziedzību vai aizsargātu īpašumu pret noziedzīgu kaitējumu” (51). Anglosakšu tiesībās paredzētās pilnvaras nav neierobežotas pilnvaras. Uz tām attiecas virkne ierobežojumu, tostarp ierobežojumi, ko noteikušas tiesas (52) un ko paredz normatīvie akti, jo īpaši 1998. gada Cilvēktiesību likums un 2010. gada Vienlīdzības likums (53). Turklāt attiecībā uz kompetentajām iestādēm, kas apstrādā datus saskaņā ar 2018. gada DAL 3. daļu, tas ietver anglosakšu tiesībās paredzēto pilnvaru īstenošanu saskaņā ar 2018. gada DAL noteiktajām prasībām (54). Turklāt, pieņemot lēmumu veikt jebkāda veida datu apstrādi, jāņem vērā piemērojamo norādījumu prasības, piemēram, PIP prakses kodekss, kā arī norādījumi, kas attiecas uz vienu no Apvienotās Karalistes pavalstīm (55). Valdība un operatīvā policija izdod norādījumus, lai nodrošinātu, ka policijas ierēdņi īsteno savas apstrādes pilnvaras saskaņā ar anglosakšu tiesībās vai attiecīgajos likumos noteiktajiem ierobežojumiem (56).

(32)

Monarha prerogatīvas ir vēl viena tiesību sastāvdaļa, kas attiecas uz atsevišķām pilnvarām, kuras piešķirtas monarham un kuras var īstenot izpildvara, un tās nav pamatotas ar likumu, bet izriet no monarha suverenitātes (57). Ir ļoti maz piemēru tam, kā prerogatīvu pilnvaras varētu būt svarīgas tiesībaizsardzības jomā. Tie ietver, piemēram, savstarpējās tiesiskās palīdzības sistēmu, kas ļauj ministram apmainīties ar datiem ar trešām valstīm tiesībaizsardzības nolūkā, un tiesības šādā veidā apmainīties ar datiem ne vienmēr ir noteiktas likumā (58). Monarha prerogatīvām ir saistoši anglosakšu tiesību principi (59), un tās ir pakļautas likumam, tāpēc tām piemēro 1998. gada Cilvēktiesību likumā un 2018. gada DAL noteiktos ierobežojumus (60).

(33)

Līdzīgi kā Direktīvas (ES) 2016/680 8. pantā, Apvienotās Karalistes režīms paredz, ka, lai ievērotu likumīguma principu, kompetentajām iestādēm ir jānodrošina, ka, veicot apstrādi saskaņā ar tiesību aktu, tai ir jābūt “nepieciešamai”, lai izpildītu tiesībaizsardzības nolūkā veikto uzdevumu. Šajā sakarā IKB sniedz norādījumus, precizējot, ka “ir jābūt mērķtiecīgam un samērīgam veidam, kā sasniegt nolūku. Likumīgais pamats netiks piemērots, ja nolūku saprātīgi var sasniegt ar kādu citu mazāk traucējošu līdzekli. Nepietiek tikai ar to, ka pārstrāde ir nepieciešama, jo esat izvēlējies darījumdarbību veikt noteiktā veidā. Jautājums ir par to, vai apstrāde ir nepieciešama norādītajam nolūkam” (61).

(34)

Kā minēts 28. apsvērumā, 2018. gada DAL 35. panta 2. punktā ir paredzēta iespēja apstrādāt personas datus, pamatojoties uz personas piekrišanu.

(35)

Tomēr šķiet, ka piekrišana nebūtu juridisks pamats, kas attiektos uz šā lēmuma darbības jomā ietilpstošajām apstrādes darbībām. Faktiski apstrādes darbības, uz kurām attiecas šis lēmums, vienmēr būs saistītas ar datiem, ko dalībvalsts kompetentā iestāde saskaņā ar Direktīvu (ES) 2016/680 ir nosūtījusi Apvienotās Karalistes kompetentajai iestādei. Tāpēc tās parasti neietver tiešu mijiedarbību (vākšanu) starp publisko iestādi un datu subjektiem, ko varētu pamatot ar piekrišanu 2018. gada DAL 35. panta 2. punkta a) apakšpunkta izpratnē.

(36)

Lai gan tādējādi paļaušanās uz piekrišanu netiek uzskatīta par būtisku novērtējumā, ko veic saskaņā ar šo lēmumu, pilnīguma labad ir vērts atzīmēt, ka tiesībaizsardzības kontekstā apstrādes pamatā nekad nav tikai piekrišana, jo kompetentajai iestādei vienmēr ir jābūt pamatā esošām pilnvarām, kas tai ļauj apstrādāt datus (62). Konkrētāk, līdzīgi kā atļauts saskaņā ar Direktīvu (ES) 2016/680 (63), tas nozīmē, ka piekrišana kalpo kā papildu nosacījums, lai varētu veikt konkrētas ierobežotas un īpašas apstrādes darbības, ko citādi nevarētu veikt, piemēram, tādas personas DNS parauga savākšanu un apstrādi, kura nav aizdomās turamā persona. Šādā gadījumā apstrāde netiktu veikta, ja piekrišana netiktu dota vai tā tiktu atsaukta (64).

(37)

Gadījumos, kad nepieciešama fiziskas personas piekrišana, šādai atļaujai jābūt nepārprotamai un jāietver nepārprotami apstiprinoša rīcība (65). Policijas vienībām ir jābūt paziņojumam par privātumu, kurā cita starpā iekļauta ar piekrišanas likumīgu izmantošanu saistītā nepieciešamā informācija. Turklāt dažas no tiem publicē papildu materiālus par to, kā tās ievēro datu aizsardzības tiesību aktus, tostarp par to, kā un kad tās piekrišanu izmantotu kā juridisko pamatu (66).

(38)

Būtu vajadzīgas īpašas garantijas gadījumos, kad tiek apstrādāti “īpašu kategoriju” dati. Šajā sakarā, līdzīgi tam, kas paredzēts Direktīvas (ES) 2016/680 10. pantā, 2018. gada DAL 3. daļā ir paredzētas stingrākas garantijas tā dēvētajai “sensitīvajai apstrādei” (67).

(39)

Saskaņā ar 1998. gada DAL 35. panta 3. punktu kompetentās iestādes var apstrādāt sensitīvus datus tiesībaizsardzības nolūkā tikai divos gadījumos: 1) datu subjekts ir devis piekrišanu apstrādei tiesībaizsardzības nolūkā, un apstrādes veikšanas laikā pārzinim ir atbilstošs politikas dokuments (68); vai 2) apstrāde ir absolūti nepieciešama tiesībaizsardzības nolūkā, tā atbilst vismaz vienam no 2018. gada DAL 8. pielikumā paredzētajiem nosacījumiem, un apstrādes veikšanas laikā pārzinim ir atbilstošs politikas dokuments (69).

(40)

Attiecībā uz pirmo gadījumu un kā paskaidrots 38. apsvērumā, paļaušanos uz piekrišanu neuzskata par būtisku tādās nosūtīšanas situācijās, uz kurām attiecas šis lēmums (70).

(41)

Ja sensitīvu datu apstrāde nav balstīta uz piekrišanu, to var veikt, izmantojot vienu no 2018. gada DAL 8. pielikumā minētajiem nosacījumiem. Šie nosacījumi attiecas uz datu apstrādi, kas nepieciešama likumā paredzētiem nolūkiem; tiesas spriešanai; datu subjekta vai citas personas vitālu interešu aizsardzībai; bērnu un apdraudētu personu aizsardzībai; likumīgām prasībām; procesuālai darbībai; krāpšanas novēršanai; arhivēšanai; ja datu subjekts ir acīmredzami publiskojis personas datus. Izņemot gadījumu, kad dati ir acīmredzami publiskoti, uz visiem 8. pielikumā paredzētajiem nosacījumiem attiecas “obligātas nepieciešamības” pārbaude. Kā skaidro IKB, “obligāta nepieciešamība šajā kontekstā nozīmē, ka apstrādei ir jābūt saistītai ar neatliekamu sociālo vajadzību, ko nevar saprātīgi sasniegt ar mazāk traucējošiem līdzekļiem” (71). Turklāt uz dažiem nosacījumiem attiecas papildu ierobežojumi. Piemēram, lai atsauktos uz “likumā noteikto nolūku” nosacījumu un “aizsardzības nosacījumu” (8. pielikuma 1. un 4. punkts), ir jāveic papildu pārbaude attiecībā uz būtiskām sabiedrības interesēm. Turklāt attiecībā uz nosacījumiem par bērna aizsardzību (8. pielikuma 4. punkts) datu subjektam arī jābūt konkrētā vecumā un ir jāuzskata, ka tas ir pakļauts riskam. Turklāt 8. pielikuma 4. punktā paredzēto nosacījumu pārzinis var piemērot tikai īpašu apstākļu gadījumā (72). Līdzīgi ierobežojumi ir arī attiecībā uz “procesuālu darbību” un “krāpšanas novēršanas” nosacījumiem (attiecīgi 8. pielikuma 7. un 8. punkts). Abi nosacījumi ir piemērojami tikai konkrētiem pārziņiem. Procesuālas darbības nosacījumu var izmantot tikai tiesa vai cita tiesu iestāde, bet uz krāpšanas novēršanas nosacījumu var atsaukties tikai pārziņi, kas ir krāpšanas apkarošanas organizācijas.

(42)

Visbeidzot, ja apstrāde ir pamatota ar kādu no 8. pielikumā minētajiem nosacījumiem un attiecīgi saskaņā ar 2018. gada DAL 42. pantu, ir jābūt “atbilstošam politikas dokumentam”, kurā ir izskaidrotas pārziņa procedūras, kā tas nodrošina datu aizsardzības principu ievērošanu, un pārziņa politika attiecībā uz personas datu glabāšanu un dzēšanu; papildus ir piemērojami padziļinātas uzskaites veikšanas pienākumi.

(43)

Personas dati būtu jāapstrādā konkrētā nolūkā, un pēc tam tos var izmantot, ciktāl tas nav pretrunā apstrādes nolūkam. Šo datu aizsardzības principu garantē 2018. gada DAL 36. pants. Šajā noteikumā, līdzīgi kā Direktīvas (ES) 2016/680 4. panta 1. punkta b) apakšpunktā, ir paredzēts, ka a) tiesībaizsardzības nolūkam, kādam jebkurā gadījumā tiek vākti personas dati, jābūt konkrētam, skaidram un leģitīmam un b) šādi savāktos personas datus nedrīkst apstrādāt veidā, kas nav saderīgs ar nolūku, kādam tie tika vākti.

(44)

Ja kompetentās iestādes apstrādā datus tiesībaizsardzības nolūkā, šāda apstrāde var ietvert arhivēšanas, zinātniskās vai vēstures pētniecības un statistikas nolūkus (73). Šajos gadījumos 2018. gada DAL arī precizēts, ka arhivēšana (vai apstrāde zinātniskās vai vēstures pētniecības un statistikas nolūkos) nav atļauta, ja tā tiek veikta saistībā ar lēmumiem, kas pieņemti attiecībā uz konkrētu datu subjektu, vai ja tā varētu radīt tam būtisku kaitējumu vai radīt būtisku spriedzi (74).

(45)

Datiem jābūt precīziem, un vajadzības gadījumā tie jāatjaunina. Tiem arī jābūt atbilstīgiem un būtiskiem un nav jābūt pārmērīgiem, ņemot vērā nolūkus, kādos tie tiek apstrādāti. Līdzīgi kā Direktīvas (ES) 2016/680 4. panta 1. punkta c), d) un e) apakšpunktā, šie principi ir nostiprināti 2018. gada DAL 37. un 38. pantā. Ir jāveic visi pamatotie pasākumi, lai nodrošinātu, ka neprecīzus personas datus (75) nekavējoties dzēš vai labo (76), ņemot vērā tiesībaizsardzības nolūku, kādā tie tiek apstrādāti (77), un lai nodrošinātu, ka neprecīzi, nepilnīgi vai vairs neaktuāli personas dati netiek nosūtīti vai darīti pieejami jebkādā tiesībaizsardzības nolūkā (78).

(46)

Turklāt, līdzīgi kā Direktīvas (ES) 2016/680 7. pantā, Apvienotās Karalistes datu aizsardzības regulējumā ir noteikts, ka personas dati, kas balstās uz faktiem, cik vien iespējams, ir jānošķir no personas datiem, kas balstās uz personisku vērtējumu (79). Attiecīgos gadījumos, ciktāl tas iespējams, ir skaidri jānošķir personas dati, kas attiecas uz dažādām datu subjektu kategorijām, piemēram, aizdomās turētām, par noziedzīgiem nodarījumiem notiesātām, noziedzīgos nodarījumos cietušām personām un lieciniekiem (80).

(47)

Saskaņā ar Direktīvas (ES) 2016/680 5. pantu dati būtībā nebūtu jāuzglabā ilgāk, nekā tas nepieciešams personas datu apstrādes nolūkam. Saskaņā ar 2018. gada DAL 39. pantu, kas ir līdzīgs minētās direktīvas 5. pantam, jebkādā tiesībaizsardzības nolūkā apstrādātus personas datus ir aizliegts glabāt ilgāk, nekā tas nepieciešams saistībā ar to apstrādes nolūku. Apvienotās Karalistes tiesiskais regulējums paredz, ka ir jānosaka atbilstīgi termiņi, pēc kuriem periodiski pārskata nepieciešamību turpināt glabāt personas datus jebkādā tiesībaizsardzības nolūkā. Attiecīgajos normatīvajos aktos un norādījumos, kas reglamentē policijas pilnvaras un darbību, ir paredzēti papildu noteikumi un prakse saistībā ar personas datu glabāšanu un tai piemērojamajiem termiņiem. Piemēram, Anglijā un Velsā Policijas kolēģijas PIP prakses kodekss un APP norādījumi par policijas informācijas pārvaldību, kas nodrošina konsekventu uz risku balstītu glabāšanas, pārskatīšanas un iznīcināšanas procesu operatīvās policijas informācijas pārvaldībai (81). Šajā regulējumā ir skaidri izklāstītas vienotas prasības visā dienestā attiecībā uz informācijas veidošanu, koplietošanu, izmantošanu un pārvaldību atsevišķās policijas vienībās un citās iestādēs, kā arī to starpā (82). No policijas tiek gaidīts, ka tā ievēros Prakses kodeksu, un atbilstību pārbauda Viņas Majestātes Policijas un ugunsdzēsības un glābšanas dienestu inspekcija (83).

(48)

Ziemeļīrijas Policijas dienestam (PSNI) nav tiesību aktos noteikta pienākuma ievērot PIP prakses kodeksu. Tomēr 2011. gadā pieņemto PIP regulējumu papildina PSNI rokasgrāmata (84), kurā izklāstīta politika un procedūras PIP prakses kodeksa piemērošanai Ziemeļīrijā.

(49)

Skotijas policijas vienības izmanto Ierakstu glabāšanas standarta operāciju procedūru (SOP) (85), kas papildina Skotijas Policijas dienesta ierakstu pārvaldības politiku (86). SOP nosaka konkrētus Skotijas Policijas dienesta rīcībā esošo ierakstu glabāšanas noteikumus.

(50)

Papildus vispārējai prasībai pārskatīt ierakstus, ko piemēro visā Apvienotajā Karalistē, vietējos noteikumos ir paredzētas sīkākas prasības. Daži piemēri attiecībā uz Angliju un Velsu ir atrodami Likumā par policiju un pierādījumiem krimināllietās, kurš grozīts ar 2012. gada Likumu par brīvību aizsardzību (LBA) un kurā ir paredzēti pirkstu nospiedumu un DNS profilu glabāšanas noteikumi, kā arī īpaša kārtība, ko piemēro personām, kuras nav notiesātas (87). Ar LBA tika izveidots arī par biometrisko materiālu glabāšanu un izmantošanu atbildīgā komisāra amats (“biometrijas komisārs”) (88). Īpaši noteikumi par aizturēto personu attēliem ir izklāstīti 2017. gada aizturēto personu attēlu pārskatā (89). Attiecībā uz Skotiju 1995. gada Skotijas Kriminālprocesa likums paredz pirkstu nospiedumu un bioloģisko paraugu iegūšanas un glabāšanas noteikumus (90). Tāpat kā Anglijas un Velsas gadījumā, tiesību akti regulē biometrisko datu glabāšanu atšķirīgās situācijās (91).

(51)

Personas dati jāapstrādā tā, ka tiek nodrošināta to drošība, kas ietver aizsardzību pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu. Tālab publiskajām iestādēm ir jāveic atbilstīgi tehniskie vai organizatoriskie pasākumi, lai aizsargātu personas datus no iespējamiem apdraudējumiem. Šie pasākumi ir jānovērtē, ņemot vērā faktisko situāciju un saistītās izmaksas.

(52)

Šie principi ir atspoguļoti 2018. gada DAL 40. pantā, saskaņā ar kuru, līdzīgi Direktīvas (ES) 2016/680 4. panta 1. punkta f) apakšpunktam, personas dati, ko apstrādā jebkādā tiesībaizsardzības nolūkā, ir jāapstrādā tā, lai nodrošinātu personas datu atbilstīgu drošību, izmantojot atbilstīgus tehniskos vai organizatoriskos pasākumus. Minētais ietver datu aizsardzību pret neatļautu vai nelikumīgu apstrādi un nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu (92). 2018. gada DAL 66. pantā turklāt noteikts, ka katram pārzinim un katram apstrādātājam jāīsteno atbilstīgi tehniskie un organizatoriskie pasākumi, lai nodrošinātu tādu drošības līmeni, kas atbilst personas datu apstrādes riskiem. Saskaņā ar paskaidrojuma rakstu pārzinim jāizvērtē riski un jāievieš atbilstoši drošības pasākumi, pamatojoties uz veikto izvērtējumu, piemēram, šifrēšana vai noteikti drošības pielaides līmeņi personālam, kas apstrādā datus (93). Izvērtējumā jāņem vērā arī, piemēram, apstrādāto datu veids un citi būtiski faktori vai apstākļi, kas varētu ietekmēt apstrādes drošību.

(53)

Regulējums, ko piemēro datu drošības principu ievērošanai, ir ļoti līdzīgs režīmam, kas paredzēts Direktīvas (ES) 2016/680 29.–31. pantā. Jo īpaši gadījumā, kad personas datu aizsardzības pārkāpums ir saistīts ar personas datiem, par kuriem ir atbildīgs pārzinis, pārzinim saskaņā ar 2018. gada DAL 67. panta 1. punktu bez nepamatotas kavēšanās un, ja iespējams, 72 stundu laikā pēc tam, kad tas uzzinājis par pārkāpumu, par personas datu aizsardzības pārkāpumu ir jāpaziņo informācijas komisāram (94). Paziņošanas pienākums neattiecas uz gadījumiem, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu apdraudēt personu tiesības un brīvības (95). Pārzinim ir jādokumentē fakti, kas attiecas uz personas datu aizsardzības pārkāpumiem, to sekām un koriģējošām darbībām, kas ļauj informācijas komisāram pārbaudīt atbilstību DAL (96). Ja apstrādātājs uzzina par drošības pārkāpumu, tam bez nepamatotas kavēšanās jāpaziņo par to pārzinim (97).

(54)

Saskaņā ar 2018. gada DAL 68. panta 1. punktu, ja personas datu aizsardzības pārkāpums var radīt augstu risku personu tiesībām un brīvībām, pārzinim bez nepamatotas kavēšanās jāinformē datu subjekts par pārkāpumu (98). Paziņojumā jāiekļauj tāda pati informācija kā 53. apsvērumā aprakstītajā paziņojumā informācijas komisāram. Šo pienākumu nepiemēro, ja pārzinis ir īstenojis atbilstīgus tehniskos un organizatoriskos aizsardzības pasākumus, kas tika piemēroti personas datiem, kurus skāris pārkāpums. To nepiemēro arī tad, ja pārzinis ir veicis turpmākus pasākumus, kas nodrošina to, ka augstais risks datu subjektu tiesībām un brīvībām, visticamāk, vairs neīstenosies. Visbeidzot, pārzinim nav jāinformē datu subjekts, ja šāda darbība prasītu nesamērīgi lielas pūles (99). Šādā gadījumā informācija jādara pieejama datu subjektam citā tikpat efektīvā veidā, piemēram, ar publisku saziņu (100). Ja pārzinis nav informējis datu subjektu par pārkāpumu, informācijas komisārs, kurš ir ticis informēts saskaņā ar DAL 67. pantu un ir apsvēris iespējamību, ka pārkāpums varētu radīt augstu risku, var pieprasīt, lai pārzinis par pārkāpumu paziņo datu subjektam (101).

(55)

Datu subjekti ir jāinformē par viņu personas datu apstrādes galvenajām iezīmēm. Šis datu aizsardzības princips ir atspoguļots 2018. gada DAL 44. pantā, kurā tāpat kā Direktīvas (ES) 2016/680 13. pantā ir noteikts, ka pārzinim ir vispārējs pienākums datu subjektiem darīt pieejamu informāciju par to personas datu apstrādi (neatkarīgi no tā, vai informāciju dara publiski vispārpieejamu vai jebkādā citā veidā) (102). Informācija, kas jāsniedz, ietver: a) pārziņa identitāti un kontaktinformāciju; b) attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformāciju; c) nolūku, kādā pārzinis apstrādā personas datus; d) informāciju par datu subjektu tiesībām pieprasīt pārzinim piekļuvi personas datiem, personas datu labošanu un personas datu dzēšanu vai to apstrādes ierobežošanu; un e) informāciju par tiesībām iesniegt sūdzību informācijas komisāram un komisāra kontaktinformāciju (103).

(56)

Pārzinim konkrētos gadījumos, lai varētu īstenot datu subjekta tiesības saskaņā ar 2018. gada DAL (piemēram, ja apstrādājamie personas dati ir savākti, datu subjektam par to nezinot), ir arī jāsniedz datu subjektam: a) informācija par apstrādes juridisko pamatu; b) informācija par laikposmu, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritērijiem, kas izmantoti minētā laikposma noteikšanai; c) attiecīgā gadījumā – informācija par personas datu saņēmēju kategorijām (ieskaitot saņēmējus trešās valstīs vai starptautiskās organizācijās); d) tāda papildu informācija, kas vajadzīga, lai ļautu īstenot datu subjekta tiesības saskaņā ar 2018. gada DAL 3. daļu (104).

(57)

Ir jāatzīst vairākas īstenojamas datu subjektu tiesības. Ar 2018. gada DAL 3. daļas 3. nodaļu personām ir piešķirtas piekļuves, labošanas, dzēšanas un ierobežošanas tiesības (105), kas ir līdzīgas Direktīvas (ES) 2016/680 3. nodaļā paredzētajām.

(58)

Piekļuves tiesības ir noteiktas 2018. gada DAL 45. pantā. Pirmkārt, personai ir tiesības saņemt apstiprinājumu no pārziņa par to, vai tās personas dati tiek apstrādāti (106). Otrkārt, ja personas datus apstrādā, datu subjektam ir tiesības piekļūt šiem datiem un saņemt šādu informāciju par apstrādi: a) apstrādes nolūks un juridiskais pamats; b) attiecīgo datu kategorijas; c) saņēmējs, kuram dati ir izpausti; d) laikposms, cik ilgi personas dati tiks glabāti; e) vai pastāv datu subjekta tiesības labot un dzēst personas datus; f) tiesības iesniegt sūdzību; g) jebkāda informācija par attiecīgo personas datu izcelsmi (107).

(59)

Saskaņā ar 2018. gada DAL 46. pantu datu subjektam ir tiesības pieprasīt, lai pārzinis labo ar viņu saistītos neprecīzos personas datus. Pārzinim dati jālabo (vai, ja dati ir neprecīzi to nepilnības dēļ, jāpapildina) bez nepamatotas kavēšanās. Ja personas dati ir jāglabā pierādījumu nolūkā, pārzinim ir jāierobežo to apstrāde (tā vietā, lai labotu personas datus) (108).

(60)

2018. gada DAL 47. pants nodrošina fiziskām personām tiesības uz datu dzēšanu un tiesības ierobežot apstrādi. Pārzinim bez nepamatotas kavēšanās jādzēš (109) personas dati, ja ar personas datu apstrādi pārkāpj kādu no datu aizsardzības principiem, apstrādes juridisko pamatojumu vai ar arhivēšanu un sensitīvu datu apstrādi saistītās garantijas. Pārzinim ir arī jādzēš dati, ja tam ir juridisks pienākums to darīt. Ja personas dati ir jāsaglabā pierādījumu nolūkā, pārzinim ir jāierobežo to apstrāde (tā vietā, lai dzēstu personas datus) (110). Pārzinim jāierobežo personas datu apstrāde, ja datu subjekts apstrīd personas datu precizitāti, bet nav iespējams noskaidrot, vai tie ir vai nav precīzi (111).

(61)

Ja datu subjekts pieprasa labot vai dzēst personas datus vai ierobežot to apstrādi, pārzinim rakstiski jāinformē datu subjekts par to, vai pieprasījums ir ticis apmierināts, un, ja tas ir noraidīts, jāinformē datu subjekts par atteikuma iemesliem un pieejamajiem tiesiskās aizsardzības līdzekļiem (datu subjekta tiesībām lūgt informācijas komisāram izmeklēt, vai ierobežojums ir piemērots likumīgi, tiesībām iesniegt sūdzību informācijas komisāram un tiesībām vērsties tiesā, lai saņemtu izpildes rīkojumu) (112).

(62)

Ja pārzinis labo personas datus, kas saņemti no citas kompetentās iestādes, tam jāinformē otra iestāde (113). Ja pārzinis labo, dzēš vai ierobežo tādu personas datu apstrādi, kurus izpaudis pārzinis, pārzinis par to informē saņēmējus, un saņēmējiem līdzīgi jālabo, jāizdzēš vai jāierobežo personas datu apstrāde (ciktāl viņi par to ir atbildīgi) (114).

(63)

Turklāt datu subjektam ir tiesības bez nepamatotas kavēšanās saņemt pārziņa informāciju par personas datu aizsardzības pārkāpumu, ja tas var radīt augstu risku personu tiesībām un brīvībām (115).

(64)

Attiecībā uz visām šīm datu subjekta tiesībām un līdzīgi tam, kas paredzēts Direktīvas (ES) 2016/680 12. pantā, pārzinim ir pienākums nodrošināt, ka visa informācija datu subjektam tiek sniegta kodolīgā, saprotamā un viegli pieejamā veidā (116), un, ja iespējams, tā būtu jāsniedz tādā pašā formā kā pieprasījums (117). Pārzinim jāizpilda datu subjekta pieprasījums bez nepamatotas kavēšanās, un būtībā jebkurā gadījumā – kamēr no pieprasījuma nav pagājis viens mēnesis (118). Ja pārzinim ir pamatotas šaubas par fiziskas personas identitāti, tas var pieprasīt papildu informāciju un atlikt pieprasījuma izskatīšanu līdz identitātes noskaidrošanai. Pārzinis var prasīt saprātīgu maksu vai atteikties rīkoties, ja uzskata pieprasījumu par acīmredzami nepamatotu (119). IKB ir sniedzis norādījumus par to, kad pieprasījums uzskatāms par acīmredzami nepamatotu vai pārmērīgu un kad var pieprasīt maksu (120).

(65)

Turklāt saskaņā ar 2018. gada DAL 53. panta 4. punktu ministrs ar noteikumiem var paredzēt maksimālo maksas apmēru.

(66)

Kompetentā iestāde noteiktos apstākļos var ierobežot konkrētas datu subjekta tiesības: tiesības piekļūt (121), tikt informētam (122), uzzināt par personas datu aizsardzības pārkāpumu (123) un tikt informētam par iemeslu, kāpēc noraidīts pieprasījums veikt labošanu vai dzēšanu (124). Līdzīgi Direktīvas (ES) 2016/680 III nodaļā paredzētajai kārtībai kompetentā iestāde var piemērot ierobežojumu tikai tad, ja tas, ņemot vērā datu subjekta pamattiesības un leģitīmās intereses, ir nepieciešams un samērīgs, lai: a) novērstu, ka tiek traucēta oficiāla vai juridiska pārbaude, izmeklēšana vai procedūra; b) novērstu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai un izmeklēšanai vai saukšanai pie atbildības par tiem vai kriminālsodu izpildei; c) aizsargātu sabiedrisko drošību; d) aizsargātu valsts drošību; e) aizsargātu citu personu tiesības un brīvības.

(67)

IKB ir sniedzis norādījumus par minēto ierobežojumu piemērošanu. Saskaņā ar šiem norādījumiem pārziņiem katrā gadījumā jāveic atsevišķa analīze, lai līdzsvarotu fiziskās personas tiesības un kaitējumu, ko nodarītu izpaušana. Jo īpaši tiem jāpamato, ka piemērotais ierobežojums ir nepieciešams un samērīgs, un tie drīkst ierobežot sniegto informāciju tikai tad, ja tiktu kaitēts minētajiem nolūkiem (125).

(68)

Ir arī vairāki citi norādījumi, ko izdevušas kompetentās iestādes un kas sniedz detalizētu informāciju par visiem datu aizsardzības tiesību aktu aspektiem, tostarp par datu subjektu tiesību ierobežojumu piemērošanu (126). Piemēram, attiecībā uz 45. panta 4. punktu Valsts policijas galvenā padomnieka Datu aizsardzības rokasgrāmatā norādīts: “Ir svarīgi atzīmēt, ka ierobežojumus var piemērot tikai tiktāl, cik tie ir nepieciešami, un tikai tik ilgi, cik tas nepieciešams. Līdz ar to nav pieļaujama vispārēja ierobežojuma piemērošana visiem pieteikuma iesniedzēja personas datiem vai ierobežojuma pastāvīga piemērošana. Runājot par pēdējo, bieži vien notiek tā, ka personas dati, kas savākti bez tāda datu subjekta ziņas, kas ir aizdomās turētā persona izmeklēšanā, ir sākotnēji jāaizsargā no to izpaušanas, lai novērstu, ka tiek kaitēts izmeklēšanai tās laikā, bet vēlāk, ja personas dati tiktu izpausti personai iztaujāšanas laikā, to izpaušana nenodarītu kaitējumu. Policijas vienībām ir jāievieš procesi, lai nodrošinātu šo ierobežojumu piemērošanu tikai nepieciešamajā apjomā un ir tikai nepieciešamajam ilgumam.” (127) Šajos norādījumos sniegti arī piemēri, kad katrs no ierobežojumiem varētu būt piemērojams (128).

(69)

Turklāt attiecībā uz iespēju “valsts drošības” aizsardzības nolūkā ierobežot kādu no iepriekš minētajām tiesībām pārzinis var pieprasīt Ministru kabineta ministra vai ģenerālprokurora (vai Skotijas ģenerālprokurora) parakstītu apliecinājumu, ka tiesību ierobežojums ir nepieciešams un samērīgs pasākums valsts drošības aizsardzībai (129). Apvienotās Karalistes valdība ir izdevusi norādījumus par valsts drošības sertifikātiem saskaņā ar 2018. gada DAL, kuros īpaši uzsvērts, ka jebkuram datu subjektu tiesību ierobežojumam valsts drošības aizsardzības nolūkā ir jābūt samērīgam un nepieciešamam (130) (sīkāku informāciju par valsts drošības sertifikātiem skatīt 131.–134. apsvērumā).

(70)

Turklāt gadījumos, kad datu subjekta tiesībām piemēro ierobežojumu, kompetentajai iestādei bez nepamatotas kavēšanās jāinformē datu subjekts par tā tiesību ierobežošanu, ierobežošanas iemeslu un pieejamajiem tiesiskās aizsardzības līdzekļiem, izņemot, ja šādas informācijas sniegšana kaitētu mērķim, kādēļ ierobežojums piemērots (131). Kā papildu garantija attiecībā uz ierobežojumu ļaunprātīgu izmantošanu pārzinim ir noteikts pienākums reģistrēt informācijas ierobežošanas iemeslu un pēc pieprasījuma darīt šo ierakstu pieejamu informācijas komisāram (132).

(71)

Ja pārzinis atsakās sniegt papildu informāciju par pārredzamību, nodrošināt piekļuvi vai noraida pieprasījumu labot, dzēst vai ierobežot apstrādi, persona var lūgt informācijas komisāram veikt izmeklēšanu par to, vai pārzinis likumīgi piemērojis ierobežojumu (133). Attiecīgā persona var arī iesniegt sūdzību informācijas komisāram vai vērsties tiesā, lai tā uzdotu pārzinim izpildīt pieprasījumu (134).

(72)

2018. gada DAL 49. un 50. pantā attiecīgi ir minētas ar automatizētu lēmumu pieņemšanu saistītās tiesības un piemērojamās garantijas (135). Līdzīgi Direktīvas (ES) 2016/680 11. pantā paredzētajam pārzinis pieņemt būtisku lēmumu, balstoties tikai uz personas datu automatizētu apstrādi, var tikai gadījumos, kad to pieprasa vai atļauj tiesību akti (136). Lēmums ir būtisks, ja tas radītu nelabvēlīgas juridiskas sekas datu subjektam vai būtiski ietekmētu datu subjektu (137).

(73)

Ja pārzinim saskaņā ar tiesību aktiem ir pienākums vai atļauja pieņemt būtisku lēmumu, 2018. gada DAL 50. pantā ir noteiktas garantijas, kas attieksies uz šādu lēmumu (to definē kā “atbilstīgu būtisku lēmumu”). Pārzinim pēc iespējas ātrāk ir jāpaziņo datu subjektam, ka šāds lēmums ir pieņemts. Pēc tam datu subjekts mēneša laikā var pieprasīt pārzinim pārskatīt lēmumu vai pieņemt jaunu lēmumu, kas nav balstīts tikai uz automatizētu apstrādi. Pārzinim jāizskata šis pieprasījums un jāinformē datu subjekts par izskatīšanas rezultātu. 2018. gada DAL piešķirtas ministram pilnvaras pieņemt noteikumus par papildu garantijām (138). Šādi noteikumi vēl nav pieņemti.

(74)

Aizsardzības līmeni, kāds piešķirts personas datiem, kurus no dalībvalsts tiesībaizsardzības iestādes nosūta uz Apvienotās Karalistes tiesībaizsardzības iestādi, nedrīkst samazināt šādu datu tālāka nosūtīšana saņēmējiem trešā valstī. Šāda tālāka nosūtīšana, kas no Apvienotās Karalistes tiesībaizsardzības iestādes skatpunkta ir starptautiska nosūtīšana no Apvienotās Karalistes, būtu jāatļauj tikai tad, ja uz nākamo saņēmēju ārpus Apvienotās Karalistes attiecina noteikumus, kuri nodrošina aizsardzības līmeni, kas ir līdzīgs Apvienotās Karalistes tiesību sistēmas garantētajam.

(75)

Starptautiskās nosūtīšanas kārtību Apvienotajā Karalistē reglamentē 2018. gada DAL 3. daļas 5. nodaļa (139), un tā atspoguļo pieeju, kas izmantota Direktīvas (ES) 2016/680 V nodaļā. Konkrēti, lai nosūtītu personas datus uz trešo valsti, kompetentajai iestādei ir jāizpilda trīs nosacījumi: a) nosūtīšanai jābūt nepieciešamai tiesībaizsardzības nolūkā; b) nosūtīšanai jābūt pamatotai ar: i) noteikumiem par aizsardzības līmeņa pietiekamību attiecībā uz trešo valsti, ii) ja tā nav pamatota ar noteikumiem par aizsardzības līmeņa pietiekamību – atbilstošu garantiju esību vai iii) ja tā nav pamatota ar lēmumu par aizsardzības līmeņa pietiekamību vai atbilstošām garantijām, tai jābūt pamatotai ar īpašiem apstākļiem; un c) sūtījuma saņēmējam jābūt: i) attiecīgai iestādei (proti, kompetentās iestādes ekvivalentam) trešā valstī; ii) “attiecīgai starptautiskajai organizācijai”, piemēram, starptautiskai organizācijai, kas veic funkcijas, kuras atbilst kādam tiesībaizsardzības nolūkam; vai iii) personai, kas nav attiecīgā iestāde, bet tikai tad, ja nosūtīšana ir absolūti nepieciešama, lai veiktu kādu no tiesībaizsardzības nolūkiem; nekādas attiecīgā datu subjekta pamattiesības un brīvības nav svarīgākas par sabiedrības interesēm, kuru dēļ ir nepieciešama nosūtīšana; personas datu nosūtīšana attiecīgajai iestādei trešā valstī būtu neefektīva vai nepiemērota; un saņēmējs ir informēts par nolūkiem, kādiem datus drīkst apstrādāt (140).

(76)

Ministrs pieņem noteikumus par aizsardzības līmeņa pietiekamību attiecībā uz trešo valsti, trešās valsts teritoriju vai sektoru trešā valstī, starptautisku organizāciju vai šādas valsts, teritorijas, sektora vai organizācijas aprakstu (141). Standarts, kas jāievēro ministram, ir – vai šī teritorija/sektors/organizācija nodrošina pietiekamu personas datu aizsardzības līmeni. 2018. gada DAL 74.A panta 4. punktā ir noteikts, ka šajā nolūkā ministram jāņem vērā vairāki elementi, kas atspoguļo Direktīvas (ES) 2016/680 36. pantā uzskaitītos (142). Šajā sakarā kopš pārejas perioda beigām 2018. gada DAL 3. daļa ir “no ES atvasināts valsts tiesību akts”, kuru, kā jau minēts, Apvienotās Karalistes tiesas interpretēs saskaņā ar attiecīgo Tiesas judikatūru, kas bija spēkā pirms Apvienotās Karalistes izstāšanās no Savienības, un Savienības tiesību aktu vispārējiem principiem, kas bija spēkā tieši pirms pārejas perioda beigām. Tas ietver “līdzvērtības pēc būtības” standartu, ko tādējādi piemēros Apvienotās Karalistes iestāžu veiktajiem aizsardzības līmeņa pietiekamības novērtējumiem.

(77)

Uz šo noteikumu procedūru attiecas 2018. gada DAL 182. pantā paredzētās “vispārējās” prasības procedūrai. Saskaņā ar šo procedūru ministram, ierosinot izstrādāt turpmākos Apvienotās Karalistes noteikumus par aizsardzības līmeņa pietiekamību, ir jāapspriežas ar informācijas komisāru (143). Pēc tam, kad ministrs ir pieņēmis šos noteikumus, tos iesniedz parlamentam un tiem piemēro “noraidošas rezolūcijas” procedūru, saskaņā ar kuru abas parlamenta palātas var pārbaudīt noteikumus un 40 dienu laikā pieņemt priekšlikumu par noteikumu atcelšanu (144).

(78)

Saskaņā ar 2018. gada DAL 74.B panta 1. punktu noteikumi par aizsardzības līmeņa pietiekamību jāpārskata ne retāk kā reizi četros gados un ministram pastāvīgi jāuzrauga norises trešās valstīs un starptautiskās organizācijās, kas varētu ietekmēt lēmumus par aizsardzības līmeņa pietiekamības noteikumu pieņemšanu vai šādu noteikumu grozīšanu vai atcelšanu. Ja ministrs uzzina, ka kāda valsts vai organizācija vairs nenodrošina pietiekamu personas datu aizsardzības līmeni, viņam, ciktāl nepieciešams, jāgroza vai jāatceļ noteikumi un jāuzsāk apspriešanās ar attiecīgo trešo valsti vai starptautisko organizāciju, lai novērstu aizsardzības līmeņa nepietiekamību.

(79)

Līdzīgi kā noteikts Direktīvas (ES) 2016/680 37. pantā, ja nav pieņemti noteikumi par aizsardzības līmeņa pietiekamību, personas datus tiesībaizsardzības jomā var nosūtīt tikai tad, ja ir ieviestas atbilstošas garantijas. Garantijas nodrošina ar a) juridiski saistošu instrumentu, kurā ir ietvertas atbilstošas personas datu aizsardzības garantijas, vai b) pārziņa veiktu novērtējumu, pēc kura, vērtējot visus ar nosūtīšanu saistītos apstākļus, tiek secināts, ka pastāv atbilstošas garantijas, ar kurām aizsargā datus (145). Turklāt, ja nosūtīšana ir pamatota ar atbilstošām garantijām, 2018. gada DAL paredz, ka līdztekus IKB parastajai pārraudzības funkcijai kompetentajām iestādēm ir arī jāsniedz IKB konkrēta informācija par nosūtīšanu (146).

(80)

Ja nosūtīšana nav balstīta uz lēmumu par aizsardzības līmeņa pietiekamību vai atbilstošām garantijām, tā var notikt tikai konkrētos apstākļos jeb tā dēvētajos “īpašajos apstākļos” (147). Tas tā ir gadījumos, kad nosūtīšana ir nepieciešama: a) lai aizsargātu datu subjekta vai citas personas vitālas intereses; b) lai pasargātu datu subjekta leģitīmās intereses; c) lai novērstu tiešus un nopietnus draudus sabiedriskajai drošībai trešā valstī; d) atsevišķos gadījumos – jebkādā tiesībaizsardzības nolūkā; vai e) atsevišķos gadījumos – juridiskiem mērķiem (piemēram, saistībā ar tiesvedību vai juridisku konsultāciju saņemšanu) (148). Ir jānorāda, ka d) un e) punktu nepiemēro, ja datu subjekta tiesības un brīvības ir svarīgākas par sabiedrības interesēm, lai notiktu nosūtīšana (149). Šie apstākļi atbilst īpašām situācijām un nosacījumiem, kas Direktīvas (ES) 2016/680 38. pantā atzīti par “atkāpēm”.

(81)

Šādās situācijās ir jādokumentē nosūtīšanas datums, laiks un pamatojums, saņēmēja nosaukums un jebkura cita būtiska informācija par saņēmēju, kā arī nosūtīto personas datu apraksts, un pēc pieprasījuma tie ir jāiesniedz informācijas komisāram (150).

(82)

2018. gada DAL 78. pantā ir regulēts “secīgas nosūtīšanas” scenārijs, proti, gadījumi, kad personas dati, kas no Apvienotās Karalistes ir nosūtīti uz trešo valsti, vēlāk tiek nosūtīti citai trešai valstij vai starptautiskai organizācijai. Saskaņā ar 78. panta 1. punktu Apvienotās Karalistes pārzinim, kas nosūta datus, ir jāparedz nosacījums datu nosūtīšanai, ka dati netiks tālāk nosūtīti uz trešo valsti, ja to nebūs atļāvis pārzinis, kas veic nosūtīšanu. Turklāt saskaņā ar 78. panta 3. punktu, līdzīgi kā noteikts Direktīvas (ES) 2016/680 35. panta 1. punkta e) apakšpunktā, gadījumos, kad nepieciešama šāda atļauja, piemēro virkni būtisku prasību. Konkrētāk, kompetentajai iestādei, lemjot par to, vai atļaut vai neatļaut nosūtīšanu, ir jāpārliecinās, ka tālāka nosūtīšana ir nepieciešama tiesībaizsardzības nolūkā, un tai cita starpā būtu jāņem vērā: a) to apstākļu nopietnība, kuru dēļ pieprasīta atļauja, b) nolūks, kādam personas dati sākotnēji nosūtīti, un c) personas datu aizsardzības standarti, kas ir spēkā trešā valstī vai starptautiskā organizācijā, uz kuru personas dati tiktu nosūtīti.

(83)

Turklāt tad, ja dati, kas tiek tālāk nosūtīti no Apvienotās Karalistes, sākotnēji tikuši nosūtīti no Eiropas Savienības, tiek piemērotas papildu garantijas.

(84)

Pirmkārt, 2018. gada DAL 73. panta 1. punkta b) apakšpunktā – līdzīgi kā Direktīvas (ES) 2016/680 35. panta 1. punkta c) apakšpunktā – ir noteikts, ka gadījumā, ja dalībvalsts personas datus sākotnēji nosūtījusi vai citādi darījusi pieejamus pārzinim vai citai kompetentajai iestādei, minētajai dalībvalstij vai jebkurai personai, kas atrodas minētajā dalībvalstī un ir kompetenta iestāde Direktīvas (ES) 2016/680 mērķiem, ir jābūt devušai nosūtīšanas atļauju saskaņā ar minētās dalībvalsts tiesību aktiem.

(85)

Tomēr, līdzīgi Direktīvas (ES) 2016/680 35. panta 2. punktam, šāda atļauja nav vajadzīga, ja a) nosūtīšana ir nepieciešama, lai novērstu tiešus un nopietnus draudus dalībvalsts vai trešās valsts sabiedriskajai drošībai vai dalībvalsts būtiskām interesēm, un b) atļauju nevar saņemt laikus. Šādā gadījumā nekavējoties jāinformē dalībvalsts iestāde, kas būtu bijusi atbildīga par lēmumu pieņemšanu par nosūtīšanas atļaušanu (151).

(86)

Otrkārt, tāda pati pieeja attiecas uz datiem, kas sākotnēji nosūtīti no Eiropas Savienības uz Apvienoto Karalisti un tad tālāk nosūtīti no Apvienotās Karalistes uz trešo valsti, kura savukārt pēc tam veiktu to tālāku nosūtīšanu uz vēl kādu trešo valsti. Šādā gadījumā saskaņā ar 78. panta 4. punktu Apvienotās Karalistes kompetentā iestāde nevar dot piekrišanu pēdējai minētajai nosūtīšanai, kā noteikts 78. panta 1. punktā, ja vien “dalībvalsts [kura sākotnēji nosūtījusi attiecīgos datus] vai jebkura persona, kas atrodas minētajā dalībvalstī un ir kompetenta iestāde Tiesībaizsardzības direktīvas mērķiem, nav devusi nosūtīšanas atļauju saskaņā ar minētās dalībvalsts tiesību aktiem”. Šīs ir nozīmīgas garantijas, jo tās ļauj dalībvalstu iestādēm nodrošināt aizsardzības nepārtrauktību atbilstoši ES datu aizsardzības tiesību aktiem visā “nosūtīšanas ķēdē”.

(87)

Jauno starptautiskās nosūtīšanas regulējumu sāka piemērot pārejas perioda beigās (152). Tomēr 21. pielikuma 10.–12. punktā (ieviesti ar DPPC noteikumiem) ir paredzēts, ka pēc pārejas perioda beigām konkrētu personas datu nosūtīšanu uzskata par tādu, kas ir pamatota ar noteikumiem par aizsardzības līmeņa pietiekamību. Šāda nosūtīšana ietver nosūtīšanu uz dalībvalsti, EBTA valsti, trešo valsti, par kuru pārejas perioda beigās ir pieņemts ES lēmums par aizsardzības līmeņa pietiekamību, un Gibraltāra teritoriju. Tādēļ nosūtīšana uz šīm valstīm var turpināties tā, kā tā notika pirms Apvienotās Karalistes izstāšanās no Savienības. Pārejas perioda beigās ministram četru gadu laikā (proti, līdz 2024. gada decembra beigām) ir jāpārskata minētie konstatējumi par aizsardzības līmeņa pietiekamību. Kā paskaidrojušas Apvienotās Karalistes iestādes, lai gan ministram šāda pārskatīšana ir jāveic līdz 2024. gada decembra beigām, pārejas noteikumi neietver noteikumu par spēka zaudēšanu, tādēļ attiecīgie pārejas noteikumi automātiski nezaudēs spēku, ja pārskatīšana līdz 2024. gada decembra beigām netiks pabeigta.

(88)

Saskaņā ar pārskatatbildības principu publiskajām iestādēm, kas apstrādā datus, ir jāievieš atbilstīgi tehniskie un organizatoriskie pasākumi, lai tās efektīvi izpildītu savus datu aizsardzības pienākumus, un jāspēj pierādīt šādu izpildi, jo īpaši kompetentajai uzraudzības iestādei.

(89)

Šis princips ir atspoguļots 2018. gada DAL 56. pantā, ar ko tiek ieviests vispārējs pārziņa pārskatatbildības pienākums, proti, pienākums īstenot atbilstīgus tehniskos un organizatoriskos pasākumus, lai nodrošinātu un spētu pierādīt, ka personas datu apstrāde atbilst 2018. gada DAL 3. daļas prasībām. Īstenotie pasākumi ir jāpārskata un vajadzības gadījumā jāatjaunina, un, ja tie ir samērīgi attiecībā uz apstrādi, tajos jāiekļauj atbilstīga datu aizsardzības politika.

(90)

Līdzīgi kā Direktīvas (ES) 2016/680 IV nodaļā, 2018. gada DAL 55.–71. pantā ir paredzēti dažādi mehānismi, kā nodrošināt pārskatatbildību un ļaut pārziņiem un apstrādātājiem pierādīt atbilstību. Konkrēti, pārziņiem tiek prasīts īstenot datu aizsardzības pasākumus integrēti un pēc noklusējuma, proti, nodrošināt datu aizsardzības principu efektīvu īstenošanu, un pārziņiem tiek prasīts reģistrēt visas apstrādes darbību kategorijas, par kurām pārzinis ir atbildīgs (tostarp informācija par pārziņa identitāti, datu aizsardzības speciālista kontaktinformācija, apstrādes nolūki, izpaušanas saņēmēju kategorijas un datu subjektu kategoriju apraksts, kā arī personas dati), un glabāt reģistrus, lai tiem pēc pieprasījuma varētu piekļūt informācijas komisārs. Pārzinim un apstrādātājam ir arī jāglabā žurnāli par noteiktām apstrādes darbībām un tie jādara pieejami informācijas komisāram (153). Pārziņiem ir arī īpaši noteikts pienākums sadarboties ar informācijas komisāru tā uzdevumu izpildē.

(91)

2018. gada DAL arī nosaka papildu prasības apstrādei, kas var radīt augstu risku fizisku personu tiesībām un brīvībām. Tās ietver pienākumu veikt novērtējumu par ietekmi uz datu aizsardzību un pirms apstrādes apspriesties ar informācijas komisāru, ja novērtējums liecina, ka apstrāde radītu augstu risku personu tiesībām un brīvībām (ja netiek veikti riska mazināšanas pasākumi).

(92)

Turklāt pārziņiem ir jāieceļ datu aizsardzības speciālists, ja vien pārzinis nav tiesa vai cita tiesu iestāde, kas rīkojas tieslietu jomā (154). Pārzinim jānodrošina, ka datu aizsardzības speciālists ir iesaistīts visos ar personas datu aizsardzību saistītajos jautājumos, ka tam ir nepieciešamie resursi un piekļuve personas datiem un apstrādes darbībām un ka tas savus uzdevumus var veikt patstāvīgi. Datu aizsardzības speciālista uzdevumi ir noteikti 2018. gada DAL 71. pantā, un to vidū ir informācijas un konsultāciju sniegšana, atbilstības uzraudzība, kā arī sadarbība ar informācijas komisāru un tā kontaktpunkta pienākumu izpilde. Veicot uzdevumus, datu aizsardzības speciālistam ir jāņem vērā ar apstrādes darbībām saistītie riski, ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus.

(93)

Lai nodrošinātu, ka arī praksē tiek garantēts pietiekams datu aizsardzības līmenis, vajadzētu būt izveidotai neatkarīgai uzraudzības iestādei, kurai uzticētas pilnvaras uzraudzīt un nodrošināt datu aizsardzības noteikumu izpildi. Šai iestādei tās uzdevumi ir jāveic un pilnvaras jāīsteno pilnīgi neatkarīgi un objektīvi.

(94)

Apvienotajā Karalistē pārraudzību un izpildes nodrošināšanu attiecībā uz atbilstību Apvienotās Karalistes VDAR un 2018. gada DAL veic informācijas komisārs (155). Informācijas komisārs pārrauga arī personas datu apstrādi, ko veic kompetentās iestādes, uz kurām attiecas 2018. gada DAL 3. daļa (156). Informācijas komisārs ir “individuāls komersants”: atsevišķs tiesību subjekts, ko veido viena persona. Informācijas komisāra darbā to atbalsta birojs. 2020. gada 31. martā informācijas komisāra birojā bija 768 pastāvīgie darbinieki (157). Informācijas komisāru atbalsta Digitalizācijas, kultūras, mediju un sporta ministrija (DCMS) (158).

(95)

Komisāra neatkarība ir skaidri noteikta Apvienotās Karalistes VDAR 52. pantā, kas atspoguļo Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (159) 52. panta 1.–3. punktā noteiktās prasības. Komisāram, veicot uzdevumus un īstenojot savas pilnvaras saskaņā ar Apvienotās Karalistes VDAR, ir jārīkojas pilnīgi neatkarīgi, attiecībā uz šiem uzdevumiem un pilnvarām ir jābūt brīvam no tiešas vai netiešas ārējas ietekmes, un viņš nedrīkst lūgt un ne no viena pieņemt nekādus norādījumus. Komisāram ir arī jāatturas no jebkādas darbības, kas nav savienojama ar viņa pienākumiem, un, esot amatā, viņš nedrīkst uzņemties nekādu nesavienojamu algotu vai nealgotu darbu.

(96)

Nosacījumi informācijas komisāra iecelšanai un atbrīvošanai no amata ir izklāstīti 2018. gada DAL 12. pielikumā. Informācijas komisāru ieceļ karaliene pēc valdības ieteikuma, pamatojoties uz godīgu un atklātu konkursu. Kandidātam ir jāpiemīt atbilstošai kvalifikācijai, prasmēm un kompetencei. Saskaņā ar Pārvaldības kodeksu par valsts amatpersonu iecelšanu amatā (160) padomdevēja novērtēšanas komisija izveido to kandidātu sarakstu, kurus var iecelt amatā. Pirms digitalizācijas, kultūras, mediju un sporta ministrs pieņem galīgo lēmumu, attiecīgajai parlamenta komitejai ir jāveic pirmsiecelšanas pārbaude. Komitejas nostāja tiek publiskota (161).

(97)

Informācijas komisāra amata pilnvaru termiņš ir līdz septiņiem gadiem. Informācijas komisāru no amata var atbrīvot Viņas Majestāte pēc tam, kad abas parlamenta palātas ir izdarījušas uzrunu (162). Nevienai no parlamenta palātām nevar iesniegt pieprasījumu par informācijas komisāra atbrīvošanu no amata, ja vien ministrs nav iesniedzis parlamentam ziņojumu, kurā minēts, ka viņš ir pārliecināts, ka informācijas komisārs ir vainojams nopietnā pārkāpumā un/vai komisārs vairs neatbilst komisāra funkciju veikšanai nepieciešamajiem nosacījumiem (163).

(98)

Informācijas komisāram ir trīs finansējuma avoti: i) pārziņu maksājumi par datu aizsardzību, kurus nosaka ar ministra izdotiem noteikumiem (164) un kuri veido 85–90 % no biroja gada budžeta (165); ii) dotācijas, ko informācijas komisāram var izmaksāt valdība un ko galvenokārt izmanto, lai finansētu informācijas komisāra darbības izmaksas, kas nav saistītas ar datu aizsardzību (166); iii) maksa par pakalpojumiem (167). Pašlaik šādas maksas netiek iekasētas.

(99)

Informācijas komisāra vispārīgās funkcijas saistībā ar personas datu apstrādi, kas ietilpst 2018. gada DAL 3. daļas darbības jomā, ir noteiktas 2018. gada DAL 13. pielikumā. Šie uzdevumi ietver 2018. gada DAL 3. daļas uzraudzību un izpildes nodrošināšanu, sabiedrības informētības veicināšanu, ieteikumus parlamentam, valdībai un citām iestādēm par likumdošanas un administratīvajiem pasākumiem, pārziņu un apstrādātāju informētības veicināšanu par viņu pienākumiem, informācijas sniegšanu datu subjektam par datu subjekta tiesību īstenošanu un izmeklēšanas veikšanu. Lai saglabātu tiesu iestāžu neatkarību, informācijas komisāram nav atļauts īstenot pilnvaras attiecībā uz personas datu apstrādi, ko veic persona, kas rīkojas tiesu varas ietvaros, vai tiesa vai tribunāls, kas rīkojas tiesu varas ietvaros. Tomēr pārraudzību pār tiesu iestādēm nodrošina īpašas struktūras, kā sīkāk iztirzāts turpmāk.

(100)

Komisāram ir vispārējas izmeklēšanas, korektīvas, atļaujas došanas un padomdevēja pilnvaras attiecībā uz personas datu apstrādi, uz kuru attiecas 2018. gada DAL 3. daļa. Komisāram ir pilnvaras paziņot pārzinim vai apstrādātājam par iespējamo 3. daļas pārkāpumu, izdot brīdinājumus pārzinim vai apstrādātājam, ka ar paredzētajām apstrādes darbībām varētu pārkāpt 3. daļas noteikumus, un izteikt pārzinim vai apstrādātājam rājienu, ja ar apstrādes darbībām ir pārkāpti 3. daļas noteikumi. Turklāt komisārs pēc savas iniciatīvas vai pēc pieprasījuma var sniegt atzinumus Apvienotās Karalistes parlamentam, valdībai vai citām iestādēm un struktūrām, kā arī sabiedrībai par jebkuru jautājumu, kas saistīts ar personas datu aizsardzību (168).

(101)

Turklāt komisāram ir pilnvaras:

(102)

IKB regulatīvās rīcības politikā ir izklāstīti apstākļi, kādos komisārs izdod attiecīgi informatīvu, novērtējuma, izpildes un soda paziņojumu (173). Izpildes paziņojumā var noteikt prasības, kuras komisārs uzskata par piemērotām pārkāpuma novēršanai. Soda paziņojumā ir noteikts, ka personai jāsamaksā informācijas komisāram paziņojumā norādītā summa. Soda paziņojumu var izdot, ja nav ievēroti konkrēti 2018. gada DAL noteikumi (174), vai arī izdot pārzinim vai apstrādātājam, kas nav izpildījis informatīvā paziņojumā, novērtējuma paziņojumā vai izpildes paziņojumā noteikto.

(103)

Konkrētāk, nosakot, vai pārzinim vai apstrādātājam ir jāpiemēro sods, un nosakot soda apmēru, informācijas komisāram ir jāņem vērā 2018. gada DAL 155. panta 3. punktā uzskaitītie jautājumi, tostarp pārkāpuma raksturs un smagums, tas, vai pārkāpums izdarīts apzināti vai aiz nolaidības, jebkura pārziņa vai apstrādātāja rīcība, lai mazinātu datu subjektiem nodarītos zaudējumus, pārziņa vai apstrādātāja atbildības pakāpe (ņemot vērā pārziņa vai apstrādātāja īstenotos tehniskos un organizatoriskos pasākumus), pārziņa vai apstrādātāja attiecīgie iepriekšējie pārkāpumi; ar pārkāpumu skarto personas datu kategorijas un tas, vai sods būtu iedarbīgs, samērīgs un atturošs.

(104)

Maksimālais soda naudas apmērs, ko var uzlikt ar soda paziņojumu, ir a) 17 500 000 GBP par datu aizsardzības principu (2018. gada DAL 35., 36. un 37. pants, 38. panta 1. punkts, 39. panta 1. punkts un 40. pants), pārredzamības pienākuma un individuālo tiesību (2018. gada DAL 44., 45., 46., 47., 48., 49., 52. un 53. pants) un personas datu starptautiskās nosūtīšanas principu (2018. gada DAL 73., 75., 76., 77. un 78. pants) neievērošanu un b) 8 700 000 GBP citos gadījumos (175). Maksimālais soda naudas apmērs, ko var uzlikt ar soda paziņojumu saistībā ar informatīvā paziņojuma, novērtējuma paziņojuma vai izpildes paziņojuma neizpildi, ir 17 500 000 GBP.

(105)

Saskaņā ar jaunākajiem gada pārskatiem (2018.–2019. (176), 2019.–2020. gads (177)) informācijas komisārs ir veicis vairākas izmeklēšanas saistībā ar personas datu apstrādi kriminālizmeklēšanas iestādēs. Piemēram, komisārs veica izmeklēšanu un 2019. gada oktobrī publicēja atzinumu par sejas atpazīšanas tehnoloģiju izmantošanu tiesībaizsardzības iestāžu vajadzībām publiskās vietās. Īpaša uzmanība izmeklēšanā tika pievērsta sejas atpazīšanas iespēju izmantošanai tiešraidē Dienvidvelsas policijā un Metropoles policijas dienestā (MPS). Turklāt komisārs izmeklēja MPS“bandu matricu” (178) un konstatēja virkni nopietnu datu aizsardzības tiesību aktu pārkāpumu, kas varēja mazināt sabiedrības uzticību matricai un datu izmantošanai.

(106)

Informācijas komisārs 2018. gada novembrī izdeva izpildes paziņojumu, un MPS pēc tam veica nepieciešamos pasākumus, lai paaugstinātu drošību un pārskatatbildību un nodrošinātu, ka dati tiek izmantoti samērīgi.

(107)

Vēl viens nesen veiktas izpildes darbības piemērs ir komisāra 2018. gada maijā piespriestais 325 000 GBP naudas sods valsts prokuratūrai par nešifrētu DVD nozaudēšanu, kuros bija policijas interviju ieraksti. Turklāt informācijas komisārs veica izmeklēšanu par plašākiem tematiem, piemēram, 2020. gada pirmajā pusgadā – par mobilo tālruņu izrakstu izmantošanu policijas darba vajadzībām un cietušo personu datu apstrādi policijā.

(108)

Papildus minētajām informācijas komisāra izpildes pilnvarām daži datu aizsardzības tiesību aktu pārkāpumi ir noziedzīgi nodarījumi, tāpēc par tiem var piemērot kriminālsodus (2018. gada DAL 196. pants). Tas attiecas, piemēram, uz personas datu iegūšanu vai izpaušanu bez pārziņa piekrišanas un panākšanu, ka personas dati tiek izpausti citai personai bez pārziņa piekrišanas (179); informācijas, kas ir anonimizēti personas dati, atkārtotu identificēšanu, ja tai nav piekritis par personas datu anonimizēšanu atbildīgais pārzinis (180); komisāra pilnvaru īstenošanas apzinātu kavēšanu saistībā ar personas datu pārbaudi saskaņā ar starptautiskajām saistībām (181), nepatiesu ziņu sniegšanu, atbildot uz informatīvu paziņojumu, vai informācijas iznīcināšanu saistībā ar informatīviem un novērtējuma paziņojumiem (182).

(109)

Saskaņā ar 2018. gada DAL 139. pantu informācijas komisāram ir arī pienākums sniegt katrai parlamenta palātai vispārēju pārskatu par likumā paredzēto funkciju izpildi (183).

(110)

Tiesu un tiesu iestāžu veiktās personas datu apstrādes pārraudzība ir divējāda. Ja tiesu iestādes amatpersona vai tiesa neīsteno tiesu varu, pārraudzību nodrošina informācijas komisārs. Ja pārzinis īsteno tiesu varu, IKB nevar īstenot pārraudzību (184), un pārraudzību veic īpašas struktūras. Tas atspoguļo Direktīvas (ES) 2016/680 32. pantā izmantoto pieeju.

(111)

Konkrēti, otrajā scenārijā šādu pārraudzību pār Anglijas un Velsas tiesām un Anglijas un Velsas pirmā un augstākā līmeņa tribunāliem nodrošina Tiesu datu aizsardzības kolēģija (185). Turklāt lords augstais tiesnesis un tribunālu galvenais tiesnesis ir izdevuši Paziņojumu par privātumu (186), kurā izklāstīts, kā Anglijas un Velsas tiesas apstrādā personas datus tiesas funkciju veikšanai. Līdzīgu paziņojumu ir izdevušas Ziemeļīrijas (187) un Skotijas tiesu iestādes (188).

(112)

Turklāt Ziemeļīrijas lords augstais tiesnesis ir iecēlis Augstās tiesas tiesnesi par datu uzraudzības tiesnesi (DUT) Ziemeļīrijā (189). Tas ir arī izdevis norādījumus Ziemeļīrijas tiesu iestādēm par to, kā rīkoties datu nozaudēšanas vai iespējamas nozaudēšanas gadījumā un kā risināt ar to saistītos jautājumus (190).

(113)

Skotijā lords priekšsēdētājs ir iecēlis datu uzraudzības tiesnesi, kas izmeklē visas sūdzības datu aizsardzības jomā. Tas ir noteikts saskaņā ar tiesu iestāžu sūdzību izskatīšanas noteikumiem, kas atbilst Anglijā un Velsā spēkā esošajiem noteikumiem (191).

(114)

Visbeidzot, Augstākajā tiesā datu aizsardzības pārraudzībai ir iecelts viens no Augstākās tiesas tiesnešiem.

(115)

Lai nodrošinātu pietiekamu aizsardzību un jo īpaši individuālo tiesību īstenošanu, datu subjektam vajadzētu būt pieejamai efektīvai tiesību aizsardzībai administratīvā kārtā vai tiesā, tostarp kompensācijai par kaitējumu.

(116)

Pirmkārt, datu subjektam ir tiesības iesniegt sūdzību informācijas komisāram, ja datu subjekts uzskata, ka saistībā ar viņa personas datiem ir pārkāpta 2018. gada DAL 3. daļa (192). Kā aprakstīts 100. un 109. apsvērumā, informācijas komisārs ir pilnvarots novērtēt pārziņa un apstrādātāja atbilstību 2018. gada DAL, neatbilstības gadījumā pieprasīt tiem veikt nepieciešamos pasākumus vai atturēties no to veikšanas un uzlikt naudas sodu.

(117)

Otrkārt, 2018. gada DAL paredz tiesības uz tiesiskās aizsardzības līdzekli pret informācijas komisāru. Ja komisārs “nevirza” (193) datu subjekta iesniegto sūdzību, sūdzības iesniedzējam ir pieejami tiesiskās aizsardzības līdzekļi, jo viņš var vērsties pirmā līmeņa tribunālā (194), lai tas uzdotu komisāram veikt atbilstošus pasākumus sakarā ar sūdzību vai informēt sūdzības iesniedzēju par sūdzības virzību (195). Turklāt jebkura persona, kurai komisārs ir izdevis kādu no iepriekš minētajiem paziņojumiem (informatīvu, novērtējuma, izpildes vai soda paziņojumu), var to pārsūdzēt pirmā līmeņa tribunālā. Ja tribunāls uzskata, ka komisāra lēmums neatbilst tiesību aktiem vai ka informācijas komisāram vajadzēja citādi izmantot savu rīcības brīvību, tribunālam ir jāatļauj pārsūdzība vai jānosaka aizstājējs paziņojums vai lēmums, ko informācijas komisārs būtu varējis izdot vai pieņemt (196).

(118)

Treškārt, personas var tieši panākt tiesisko aizsardzību pret pārziņiem un apstrādātājiem tiesā saskaņā ar 2018. gada DAL 167. pantu. Ja pēc datu subjekta pieteikuma tiesa ir pārliecinājusies, ka ir pārkāptas datu subjekta tiesības, ko paredz datu aizsardzības tiesību akti, tiesa var uzdot pārzinim, kas apstrādā datus, vai apstrādātājam, kas rīkojas minētā pārziņa vārdā, veikt rīkojumā noteiktos pasākumus vai atturēties no rīkojumā noteikto pasākumu veikšanas. Turklāt saskaņā ar 2018. gada DAL 169. pantu jebkura persona, kas cietusi kaitējumu datu aizsardzības tiesību aktu (tostarp 2018. gada DAL 3. daļas) prasību pārkāpuma dēļ, izņemot Apvienotās Karalistes VDAR, ir tiesīga saņemt no pārziņa vai apstrādātāja kompensāciju par šo kaitējumu, izņemot gadījumu, kad pārzinis vai apstrādātājs pierāda, ka tas nekādā veidā nav atbildīgs par notikumu, kas izraisījis kaitējumu. Kaitējums ietver gan finansiālus zaudējumus, gan kaitējumu, kas nav saistīts ar finansiāliem zaudējumiem, piemēram, spriedzi.

(119)

Ceturtkārt, ja kāda persona uzskata, ka publiskās iestādes ir pārkāpušas tās tiesības, tostarp tiesības uz privātumu un datu aizsardzību, tā var saņemt kompensāciju Apvienotās Karalistes tiesās saskaņā ar 1998. gada Cilvēktiesību likumu. Pārziņi saskaņā ar 2018. gada DAL 3. daļu, proti, kompetentās iestādes, vienmēr ir publiskas iestādes 1998. gada Cilvēktiesību likuma nozīmē. Persona, kas apgalvo, ka publiska iestāde ir rīkojusies (vai plāno rīkoties) veidā, kas nav savienojams ar konvencijā paredzētajām tiesībām un līdz ar to ir prettiesisks saskaņā ar 1998. gada Cilvēktiesību likuma 6. panta 1. punktu, var celt prasību pret iestādi attiecīgajā tiesā vai tribunālā vai paļauties uz attiecīgajām tiesībām jebkurā tiesvedībā, ja attiecīgā persona ir (vai būtu) cietusi no nelikumīgas darbības (197).

(120)

Ja tiesa konstatē, ka kāda publiskas iestādes darbība ir nelikumīga, tā var apmierināt šādu prasību vai atzīt tiesiskās aizsardzības līdzekli, vai savu pilnvaru ietvaros izdot rīkojumu, ko tā uzskata par taisnīgu un piemērotu (198). Tiesa var arī pasludināt primāra tiesību akta normu par nesaderīgu ar ECTK garantētajām tiesībām.

(121)

Visbeidzot, pēc valsts tiesiskās aizsardzības līdzekļu izsmelšanas persona var saņemt kompensāciju, vēršoties Eiropas Cilvēktiesību tiesā par ECTK garantēto tiesību pārkāpumiem.

(122)

Apvienotās Karalistes tiesību akti atļauj tiesībaizsardzības iestādei veikt datu apmaiņu ar citām iestādēm tādiem nolūkiem, kam tie sākotnēji netika vākti (t. s. “tālākā apmaiņa”), ievērojot konkrētus nosacījumus.

(123)

Līdzīgi tam, kas paredzēts Direktīvas (ES) 2016/680 4. panta 2. punktā, 2018. gada DAL 36. panta 3. punktā ir atļauts (sākotnējam vai citam pārzinim) personas datus, ko kompetentā iestāde vāc tiesībaizsardzības nolūkā, turpmāk apstrādāt jebkuram citam tiesībaizsardzības nolūkam, ja pārzinis ar tiesību aktu ir pilnvarots apstrādāt datus citam nolūkam un apstrāde ir nepieciešama un samērīga (199). Šajā gadījumā visas garantijas, kas paredzētas 2018. gada DAL 3. daļā un analizētas iepriekš, attiecas uz saņēmējas iestādes veikto apstrādi.

(124)

Apvienotās Karalistes tiesību sistēmā dažādi tiesību akti skaidri pieļauj tālāku apmaiņu. Konkrēti, i) 2017. gada Digitālās ekonomikas likums ļauj veikt apmaiņu starp publiskajām iestādēm vairākos nolūkos, piemēram, ja ir notikusi pret publisko sektoru vērsta krāpšana, kas publiskajai iestādei radītu zaudējumus vai to risku (200), vai ja pastāv parāds publiskajai iestādei vai valstij (201); ii) 2013. gada Noziedzības un tiesu likums ļauj apmainīties ar informāciju ar Valsts noziedzības apkarošanas aģentūru (VNAA) (202), lai apkarotu un izmeklētu smagu un organizētu noziedzību un sauktu pie atbildības par to; iii) 2007. gada Smago noziegumu likums ļauj publiskajām iestādēm izpaust informāciju krāpšanas apkarošanas organizācijām, lai novērstu krāpšanu (203).

(125)

Ar šiem tiesību aktiem ir tieši paredzēts, ka informācijas apmaiņai ir jāatbilst 2018. gada DAL noteikumiem. Turklāt Policijas kolēģija ir izdevusi Atļauto profesionālo praksi informācijas apmaiņā (204), lai palīdzētu policijai ievērot tās datu aizsardzības pienākumus saskaņā ar Apvienotās Karalistes VDAR, DAL un 1998. gada Cilvēktiesību likumu. Informācijas apmaiņas atbilstību piemērojamajam datu aizsardzības tiesiskajam regulējumam, protams, var pārskatīt tiesā (205).

(126)

Turklāt līdzīgi tam, ko paredz Direktīvas (ES) 2016/680 9. pants, 2018. gada DAL paredz, ka personas datus, kas ievākti jebkādā tiesībaizsardzības nolūkā, var apstrādāt ar tiesībaizsardzību nesaistītiem nolūkiem, ja apstrādi atļauj tiesību akti (206). Šis apmaiņas veids aptver divus scenārijus: 1) kriminālizmeklēšanas iestāde apmainās ar datiem ar tiesībaizsardzības iestādi, kas nav krimināltiesiska un izlūkošanas aģentūra (piemēram, finanšu vai nodokļu iestāde, konkurences iestāde, jauniešu sociālais dienests); 2) kriminālizmeklēšanas iestāde apmainās datiem ar izlūkošanas aģentūru. Pirmajā scenārijā personas datu apstrāde ietilps Apvienotās Karalistes VDAR, kā arī 2018. gada DAL 2. daļas darbības jomā. Kā norādīts lēmumā, kas pieņemts saskaņā ar Regulu (ES) 2016/679, Apvienotās Karalistes VDAR un 2018. gada DAL 2. daļā paredzētās garantijas nodrošina tādu aizsardzības līmeni, kurš pēc būtības ir līdzvērtīgs Savienībā nodrošinātajam aizsardzības līmenim (207).

(127)

Otrajā scenārijā juridiskais pamats, kas atļauj kriminālizmeklēšanas iestādes savākto datu apmaiņu ar izlūkošanas aģentūru valsts drošības nolūkos, ir 2008. gada Pretterorisma likums (2008. gada PTL) (208). Saskaņā ar 2008. gada PTL ikviena persona var sniegt informāciju kādam no izlūkdienestiem, lai pildītu jebkuru no šā dienesta funkcijām, ieskaitot “valsts drošību”.

(128)

Attiecībā uz nosacījumiem, saskaņā ar kuriem var veikt datu apmaiņu valsts drošības nolūkiem, Izlūkdienestu likums un Drošības dienestu likums ierobežo izlūkdienestu spēju iegūt datus līdz apjomam, kas ir nepieciešams, lai pildītu to likumā noteiktās funkcijas. Kompetentajām iestādēm, uz kurām attiecas 2018. gada DAL 3. daļa un kuras vēlas apmainīties ar datiem ar izlūkdienestiem, papildus minēto aģentūru obligātajām funkcijām, kas noteiktas Izlūkdienestu likumā un Drošības dienestu likumā (209), būs jāņem vērā vairāki faktori/ierobežojumi. 2008. gada PTL 20. pantā ir precizēts, ka datu apmaiņai saskaņā ar 2008. gada PTL 19. pantu tik un tā jāatbilst datu aizsardzības tiesību aktiem; tas nozīmē, ka piemēro visus 2018. gada DAL paredzētos ierobežojumus un prasības. Turklāt tiesībaizsardzības iestādes un izlūkdienesti ir publiskās iestādes 1998. gada Cilvēktiesību likuma nozīmē, un tādējādi šīm iestādēm jānodrošina, ka tās rīkojas saskaņā ar ECTK garantētajām tiesībām, tostarp tās 8. pantu. Vārdu sakot, šīs prasības nozīmē, ka visai datu apmaiņai starp tiesībaizsardzības iestādēm un izlūkdienestiem jāatbilst datu aizsardzības tiesību aktiem un ECTK.

(129)

Valsts drošības nolūkos izlūkdienestu veiktajai tādu personas datu apstrādei, kas saņemti vai iegūti no tiesībaizsardzības iestādēm, piemēro vairākus nosacījumus un garantijas (210). 2018. gada DAL 4. daļu piemēro visu veidu apstrādei, ko veic izlūkdienesti vai kas tiek veikta to vārdā. Tajā ir noteikti galvenie datu aizsardzības principi (likumīgums, godprātība un pārredzamība (211); mērķa ierobežojums (212); datu minimizēšana (213); precizitāte (214); datu glabāšanas ierobežojumi (215) un drošība (216)), kā arī paredzēti nosacījumi īpašu kategoriju datu apstrādei (217), datu subjekta tiesības (218), prasība par datu integrētu aizsardzību (219) un reglamentēta personas datu starptautiska nosūtīšana (220).

(130)

Tajā pašā laikā 2018. gada DAL 110. pantā ir paredzēts atbrīvojums no konkrētiem 2018. gada DAL 4. daļas noteikumiem, ja šāds atbrīvojums ir nepieciešams, lai aizsargātu valsts drošību. 2018. gada DAL 110. panta 2. punktā ir uzskaitīti noteikumi, kuriem ir atļauts piemērot atbrīvojumu. Tie ietver datu aizsardzības principus (izņemot likumīguma principu), datu subjekta tiesības, pienākumu informēt informācijas komisāru par datu aizsardzības pārkāpumu, informācijas komisāra pārbaudes pilnvaras saskaņā ar starptautiskajām saistībām, noteiktas informācijas komisāra izpildes pilnvaras, noteikumus, kas paredz, ka noteikti datu aizsardzības pārkāpumi ir krimināli sodāmi, un noteikumus, kas attiecas uz īpašiem apstrādes nolūkiem, piemēram, žurnālistikas, akadēmiskiem vai mākslas nolūkiem. Šo atbrīvojumu var izmantot, pamatojoties uz katra gadījuma atsevišķu analīzi (221). Kā paskaidrojušas Apvienotās Karalistes iestādes un kā apliecina Apvienotās Karalistes tiesu judikatūra, “a) pārzinim ir jāņem vērā faktiskās sekas attiecībā uz valsts drošību vai aizsardzību, ja tam bija jāievēro konkrētais datu aizsardzības noteikums un ja tas varēja saprātīgi ievērot parasto noteikumu, neietekmējot valsts drošību vai aizsardzību” (222). IKB pārrauga, vai atbrīvojums ir izmantots pareizi (223).

(131)

Turklāt attiecībā uz iespēju valsts drošības aizsardzības nolūkā ierobežot kādas no iepriekš minētajām tiesībām 2018. gada DAL 79. pantā ir paredzēta iespēja, ka pārzinis var pieprasīt Ministru kabineta ministra vai ģenerālprokurora parakstītu apliecinājumu, ka šādu tiesību ierobežojums ir vai jebkurā laikā ir bijis nepieciešams un samērīgs pasākums valsts drošības aizsardzībai (224). Apvienotās Karalistes valdība ir izdevusi norādījumus par valsts drošības sertifikātiem saskaņā ar 2018. gada DAL, kuros īpaši uzsvērts, ka jebkādiem datu subjektu tiesību ierobežojumiem valsts drošības aizsardzības nolūkā jābūt samērīgiem un nepieciešamiem (225). Visi valsts drošības sertifikāti jāpublicē IKB tīmekļa vietnē (226).

(132)

Sertifikātam jābūt izdotam uz laiku, kas nepārsniedz piecus gadus, un izpildvarai tas regulāri jāpārskata (227). Sertifikātā norāda personas datus vai personas datu kategorijas, kam piemēro atbrīvojumu, kā arī 2018. gada DAL noteikumus, uz kuriem attiecas atbrīvojums (228).

(133)

Svarīgi ņemt vērā, ka valsts drošības sertifikāti nedod papildu pamatu datu aizsardzības tiesību ierobežošanai valsts drošības apsvērumu dēļ. Citiem vārdiem sakot, pārzinis vai apstrādātājs var paļauties uz sertifikātu tikai tad, ja tas ir secinājis, ka ir nepieciešams atsaukties uz atbrīvojumu sakarā ar valsts drošību, kas jāpiemēro katrā gadījumā atsevišķi. Pat tad, ja uz konkrēto jautājumu attiecas valsts drošības sertifikāts, IKB var izmeklēt, vai konkrētajā gadījumā paļaušanās uz atbrīvojumu sakarā ar valsts drošību ir bijusi pamatota (229).

(134)

Jebkura persona, kuru tieši ietekmē sertifikāta izsniegšana, var pārsūdzēt sertifikātu (230) Augstākajā tribunālā (231) vai, ja sertifikātā dati identificēti ar vispārīgu aprakstu, apstrīdēt sertifikāta piemērošanu konkrētiem datiem (232).