(1)

In Richtlijn (EU) 2016/680 worden de regels uiteengezet voor de doorgifte van persoonsgegevens door bevoegde autoriteiten in de Unie aan derde landen en internationale organisaties voor zover die doorgifte valt onder het toepassingsgebied van die richtlijn. De regels betreffende internationale doorgiften van gegevens door bevoegde autoriteiten zijn vastgesteld in hoofdstuk V van Richtlijn (EU) 2016/680, meer bepaald in de artikelen 35 tot en met 40. De stroom van persoonsgegevens naar en van landen buiten de Europese Unie is van essentieel belang voor doeltreffende samenwerking op het gebied van de rechtshandhaving, maar wel moet worden gewaarborgd dat het beschermingsniveau voor persoonsgegevens in de Europese Unie door dergelijke doorgiften niet wordt aangetast (2).

(2)

Op grond van artikel 36, lid 3, van Richtlijn (EU) 2016/680 kan de Commissie aan de hand van een uitvoeringshandeling besluiten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een adequaat beschermingsniveau verzekert. Onder deze voorwaarde mogen doorgiften van persoonsgegevens aan een derde land plaatsvinden zonder dat daarvoor verdere toelating moet worden verkregen (behalve wanneer een andere lidstaat waarvan de gegevens zijn verkregen zijn toestemming aan de doorgifte moet geven), zoals bepaald in artikel 35, lid 1, en overweging 66 van Richtlijn (EU) 2016/680.

(3)

Zoals bepaald in artikel 36, lid 2, van Richtlijn (EU) 2016/680 moet de beoordeling van de vraag of het beschermingsniveau adequaat is, gebaseerd zijn op een grondige analyse van de rechtsorde van het derde land. Bij haar beoordeling moet de Commissie nagaan of het betrokken derde land een beschermingsniveau waarborgt dat “in wezen overeenkomt” met het niveau dat in de Europese Unie wordt verzekerd (overweging 67 van Richtlijn (EU) 2016/680). De norm die wordt toegepast om die “wezenlijke overeenkomst” te beoordelen, is de norm die is vastgesteld door de EU-wetgeving, met name Richtlijn (EU) 2016/680, evenals de jurisprudentie van het Hof van Justitie van de Europese Unie (3). Ook het vademecum over adequaatheid van het Europees Comité voor gegevensbescherming is in dit verband van belang (4).

(4)

Zoals het Hof van Justitie van de Europese Unie heeft opgemerkt, is het hiervoor niet noodzakelijk dat hetzelfde beschermingsniveau (5) wordt geboden. Met name mogen de middelen die het betrokken derde land tot zijn beschikking heeft voor de bescherming van persoonsgegevens anders zijn dan de middelen die binnen de Europese Unie worden ingezet, zolang zij in de praktijk doeltreffend genoeg blijken om een adequaat beschermingsniveau te bieden (6). De adequaatheidsnorm vereist daarom niet dat de voorschriften van de Unie integraal worden overgenomen. Het gaat er veeleer om of het betreffende buitenlandse systeem als geheel het vereiste beschermingsniveau biedt, door de invulling van het recht op privacy, de doeltreffende toepassing en afdwingbaarheid daarvan en het toezicht dat wordt uitgeoefend (7).

(5)

De Commissie heeft het relevante recht en de rechtspraktijk van het Verenigd Koninkrijk zorgvuldig geanalyseerd. Op grond van haar bevindingen, die hieronder worden uiteengezet, concludeert de Commissie dat het Verenigd Koninkrijk een adequaat beschermingsniveau verzekert voor persoonsgegevens die onder het toepassingsgebied van Richtlijn (EU) 2016/680 vallen en die door bevoegde autoriteiten in de Unie worden doorgegeven aan bevoegde autoriteiten in het Verenigd Koninkrijk die vallen onder het toepassingsgebied van deel 3 van de Data Protection Act 2018 (de Britse wet gegevensbescherming, hierna “DPA 2018” genoemd) (8).

(6)

Dit besluit heeft tot gevolg dat dergelijke doorgiften mogen plaatsvinden gedurende een periode van vier jaar, die mogelijk kan worden verlengd, zonder dat er verdere toelating moet worden verkregen en onverminderd de voorwaarden van artikel 35 van Richtlijn (EU) 2016/680.

(7)

Het Verenigd Koninkrijk is een parlementaire democratie. Het land heeft een soeverein parlement, dat boven alle andere overheidsinstellingen staat, een uitvoerende macht die uit leden van het parlement is samengesteld en die aan het parlement verantwoording moet afleggen, en een onafhankelijke rechterlijke macht. Het gezag van de uitvoerende macht berust op het vertrouwen dat zij kan afdwingen van het gekozen House of Commons (Lagerhuis) en de uitvoerende macht moet verantwoording afleggen aan beide kamers van het parlement (het House of Commons en het House of Lords of Hogerhuis), die verantwoordelijk zijn voor het toezicht op de regering en voor het bespreken en aannemen van wetten. Het Britse parlement heeft bevoegdheden gedelegeerd aan het Schotse parlement, het parlement van Wales (Senedd Cymru) en de assemblee van Noord-Ierland om wetgeving vast te stellen met betrekking tot interne kwesties in Schotland, Wales en Noord-Ierland. Hoewel gegevensbescherming een aangelegenheid is die voorbehouden is voor het Britse parlement, d.w.z. dat voor het hele land dezelfde wetgeving geldt, zijn andere beleidsgebieden die voor dit besluit van belang zijn, gedelegeerd. Zo zijn de strafrechtsystemen, met inbegrip van het politiewerk (de activiteiten verricht door de politie) van Schotland en Noord-Ierland gedelegeerd aan het Schots parlement respectievelijk de assemblee van Noord-Ierland (9).

(8)

Hoewel het Verenigd Koninkrijk niet beschikt over een gecodificeerde grondwet in de zin van een document waarin de grondwet vast verankerd is, zijn de grondwettelijke beginselen van het land, die meer bepaald uit de jurisprudentie en conventies werden afgeleid, in de loop der tijd duidelijk naar voren gekomen. De grondwettelijke waarde van bepaalde statutes (geschreven wetten), zoals de Magna Carta, de Bill of Rights van 1689 en de Human Rights Act van 1998 werd erkend. De grondrechten van personen, als onderdeel van de grondwet, werden ontwikkeld aan de hand van common law (rechtsvorming waarin de jurisprudentie leidend is), statutes en internationale verdragen, met name het Europees Verdrag voor de rechten van de mens (EVRM), dat in 1951 door het Verenigd Koninkrijk werd geratificeerd. In 1987 heeft het Verenigd Koninkrijk tevens het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens van de Raad van Europa (hierna “Verdrag 108” genoemd) geratificeerd (10).

(9)

Met de Human Rights Act 1998 (mensenrechtenwet 1998) worden de rechten uit het EVRM opgenomen in het recht van het Verenigd Koninkrijk. Deze wet verleent elke persoon de grondrechten en fundamentele vrijheden waarin is voorzien bij de artikelen 2 tot en met 12 en artikel 14 EVRM en bij de artikelen 1, 2 en 3, van het Protocol nr. 1 en artikel 1 van Protocol nr. 13 bij het EVRM, gelezen in samenhang met de artikelen 16, 17 en 18 EVRM. Dit omvat het recht op eerbiediging van privéleven, familie- en gezinsleven, dat op zijn beurt het recht op gegevensbescherming omvat, en het recht op een onpartijdig gerecht (11). Overeenkomstig artikel 8 EVRM is geen inmenging van enig openbaar gezag toegestaan in de uitoefening van het recht op eerbiediging van privéleven, familie- en gezinsleven, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van ordeverstoring en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.

(10)

Overeenkomstig de Human Rights Act 1998 moet elk optreden van de overheid verenigbaar zijn met een recht dat door het EVRM wordt gewaarborgd (12). Bovendien moet primaire en secundaire wetgeving op een wijze worden uitgelegd en uitgevoerd die verenigbaar is met die rechten (13). Voor zover personen van mening zijn dat hun rechten, waaronder het recht op eerbiediging van het privéleven en het recht op gegevensbescherming, door een overheidsdienst zijn geschonden, kunnen zij op grond van de Human Rights Act 1998 rechtsherstel vorderen bij de rechtbanken van het Verenigd Koninkrijk en kunnen zij, wanneer hun beroepsmogelijkheden in eigen land uitgeput zijn, uiteindelijk bij het Europees Hof voor de Rechten van de Mens rechtsherstel vorderen voor inbreuken op de uit hoofde van het EVRM gewaarborgde rechten.

(11)

Op 31 januari 2020 heeft het Verenigd Koninkrijk zich teruggetrokken uit de Unie. Op grond van het Akkoord inzake de terugtrekking van het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland uit de Europese Unie en de Europese Gemeenschap voor Atoomenergie (14) bleef het Unierecht tijdens de overgangsperiode tot en met 31 december 2020 gelden in het Verenigd Koninkrijk. Vóór de terugtrekking en tijdens de overgangsperiode bestond het rechtskader inzake de bescherming van persoonsgegevens in het Verenigd Koninkrijk waarmee de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten en de uitvoering van straffen wordt geregeld, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, uit de toepasselijke delen van de Data Protection Act 2018, waarmee Richtlijn (EU) 2016/680 werd omgezet.

(12)

Als voorbereiding op de terugtrekking uit de EU stelde de regering van het Verenigd Koninkrijk de European Union (Withdrawal) Act 2018 (EUWA) (15) (wet inzake de terugtrekking uit de Europese Unie 2018) vast, waarin rechtstreeks toepasselijk Unierecht werd omgezet in het recht van het Verenigd Koninkrijk en waarin werd bepaald dat zogenoemde „EU-derived domestic legislation” (van de EU afgeleide interne wetgeving) verder rechtsgevolgen zou blijven hebben na afloop van de overgangsperiode. Deel 3 van de DPA 2018 (16) tot omzetting van Richtlijn (EU) 2016/680 vormt „EU-derived domestic legislation” in de zin van de EUWA. Overeenkomstig de EUWA moet de ongewijzigde van de EU afgeleide interne wetgeving door de rechtbanken van het Verenigd Koninkrijk worden uitgelegd overeenkomstig de relevante jurisprudentie van het Hof van Justitie van de Europese Unie (hierna “Hof van Justitie” genoemd) en de algemene beginselen van het Unierecht zoals deze onmiddellijk vóór het einde van de overgangsperiode van toepassing waren (respectievelijk „retained EU case law” (gehandhaafde EU-jurisprudentie) en „retained general principles of EU law” (gehandhaafde algemene beginselen van het Unierecht) genoemd) (17).

(13)

De ministers van het Verenigd Koninkrijk zijn uit hoofde van de EUWA bevoegd om aan de hand van statutory instruments (gedelegeerde handelingen van de uitvoerende macht) secundaire wetgeving in te voeren teneinde in het gehandhaafde Unierecht de nodige wijzigingen door te voeren die voortvloeien uit de terugtrekking van het Verenigd Koninkrijk uit de Unie. Deze bevoegdheid werd uitgeoefend met de Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (DPPEC Regulations) (18). Met deze rechtshandelingen werd de gegevensbeschermingswetgeving van het Verenigd Koninkrijk, waaronder de DPA 2018, gewijzigd en aangepast aan de binnenlandse context (19).

(14)

Bijgevolg zullen de rechtsnormen inzake de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten en de uitvoering van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid in het Verenigd Koninkrijk na de overgangsperiode uit hoofde van het Terugtrekkingsakkoord in de relevante delen van de DPA 2018 uiteengezet blijven, maar wel zoals gewijzigd bij de DPPEC Regulations, met name deel 3 van die rechtshandeling. De Britse General Data Protection Regulation (hierna de “UK GDPR” genoemd), de algemene rechtshandeling met betrekking tot gegevensbescherming, is niet van toepassing op dit type verwerking.

(15)

Deel 3 van de DPA 2018 voorziet in de regels voor de verwerking van persoonsgegevens met het oog op de handhaving van het strafrecht, met inbegrip van beginselen inzake gegevensbescherming, rechtsgrondslagen van de verwerking (rechtmatigheid), rechten van de betrokkenen, verplichtingen van de bevoegde autoriteiten in hun hoedanigheid van verwerkingsverantwoordelijke en beperkingen op verdere doorgifte. In de delen 5 en 6 van de DPA 2018 wordt meteen ook voorzien in toepasselijke regels inzake toezicht, handhaving en verhaal op het gebied van rechtshandhaving.

(16)

In het licht van de belangrijke rol die de politiediensten vervullen op het gebied van rechtshandhaving moeten bovendien de regels voor het politiewerk in beschouwing worden genomen. Aangezien politiewerk een gedecentraliseerde aangelegenheid is, zijn verschillende stukken wetgeving, die inhoudelijk echter vaak niet veel van elkaar verschillen, van toepassing op het politiewerk in a) Engeland en Wales, b) Schotland en c) Noord-Ierland (20). Bovendien verschaffen verschillende richtsnoeren aanvullende toelichtingen op de manier waarop de politie haar bevoegdheden moet gebruiken. Er zijn drie belangrijke soorten richtsnoeren voor de politie: 1) wettelijke richtsnoeren die zijn uitgevaardigd uit hoofde van de wetgeving, zoals de Code of Ethics (21) (gedragscode) en de Code of Practice on the Management of Police Information (MoPI Code of Practice, de praktijkcode beheer politie-informatie, MoPI-praktijkcode) (22) uitgevaardigd uit hoofde van de Police Act 1996 (23) of PACE-codes (24) uitgevaardigd uit hoofde van de Police and Criminal Evidence Act (25), 2) toegestane beroepspraktijken in verband met het beheer van politie-informatie (Authorised Professional Practice on the Management of Police Information, APP-richtsnoeren) (26), uitgevaardigd door het College of Policing (College van politiezaken) en 3) operationele richtsnoeren (die door de politie zelf worden gepubliceerd). De National Police Chiefs” Council (een coördinerend orgaan voor alle politiediensten in het Verenigd Koninkrijk) publiceert operationele richtsnoeren die alle politiediensten hebben goedgekeurd en die derhalve nationaal van toepassing zijn (27). Deze richtsnoeren moeten zorgen voor samenhang in de manier waarop informatie door alle politiediensten wordt beheerd (28).

(17)

De MoPI-praktijkcode werd in 2005 uitgevaardigd door de Secretary of State (minister), die daarvoor gebruikmaakte van de bevoegdheden zoals bepaald in artikel 39A van de Police Act 1996 (29). Elke praktijkcode die uit hoofde van de Police Act wordt uitgevaardigd, moet worden goedgekeurd door de Secretary of State en voor overleg worden voorgelegd aan het National Crime Agency (NCA — nationale recherche) voordat deze praktijkcode aan het parlement wordt voorgelegd. Volgens artikel 39A, lid 7, van de Police Act moet de politie codes die uit hoofde van die wet worden uitgevaardigd naar behoren in acht nemen en wordt dus verwacht dat de politie zich aan die codes houdt (30). Bovendien moeten niet-wettelijke richtsnoeren (zoals de APP-richtsnoeren in verband met het beheer van politie-informatie) altijd in overeenstemming zijn met de MoPI-praktijkcode, die voorrang heeft (31).. Hoewel er bepaalde operationele situaties kunnen bestaan waarin politieagenten van deze richtsnoeren moeten afwijken, moeten zij steeds de voorschriften van deel 3 van de DPA 2018 naleven (32).

(18)

Verdere richtsnoeren in verband met de gegevenbeschermingswetgeving van het Verenigd Koninkrijk voor de verwerking van gegevens op het gebied van rechtshandhaving worden verstrekt door de Information Commissioner’s Office (het bureau van de toezichthouder informatie, hierna ook “ICO” genoemd) (33) (nadere informatie over het ICO is te vinden in de overwegingen 93 tot en met 109). Hoewel de richtsnoeren geen juridisch bindend karakter hebben, zouden rechtbanken in een rechtszaak verplicht zijn rekening te houden met een inbreuk op die richtsnoeren, aangezien zij van belang zijn voor de interpretatie en aangeven hoe de gegevensbeschermingswetgeving in de praktijk door de Information Commissioner wordt uitgelegd en gehandhaafd (34).

(19)

Tot slot moeten de Britse rechtshandhavingsinstanties, zoals vermeld in de overwegingen 8, 9 en 10, de naleving van het EVRM en Verdrag 108 waarborgen.

(20)

Het juridisch kader voor de gegevensverwerking door Britse strafrechtelijke handhavingsinstanties vertoont qua structuur en hoofdonderdelen dus grote gelijkenis met het juridisch kader dat in de EU van toepassing is. Dit omvat het feit dat dit kader niet alleen berust op in het interne recht neergelegde verplichtingen, die zijn vormgegeven door het Unierecht, maar ook op verplichtingen die zijn verankerd in het internationaal recht, met name doordat het Verenigd Koninkrijk zich houdt aan het EVRM en Verdrag 108 en zich onderwerpt aan de rechtspraak van het Europees Hof voor de Rechten van de Mens. Deze verplichtingen die voortvloeien uit juridisch bindende internationale instrumenten, met name betreffende de bescherming van persoonsgegevens, zijn daarom een zeer belangrijk onderdeel van het juridisch kader dat in dit besluit wordt beoordeeld.

(21)

Het materiële toepassingsgebied van deel 3 van de DPA 2018 valt samen met het toepassingsgebied van Richtlijn (EU) 2016/680 zoals bepaald in artikel 2, lid 2, van die richtlijn. Deel 3 van de DPA 2018 is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking door een bevoegde autoriteit van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

(22)

Om onder het toepassingsgebied van deel 3 van de DPA 2018 te vallen, moet de verwerkingsverantwoordelijke bovendien een bevoegde autoriteit (“competent authority”) zijn en moet de verwerking worden verricht met het oog op rechtshandhaving (“law enforcement purpose”). De gegevensbeschermingsregeling die in dit besluit wordt beoordeeld, is derhalve van toepassing op alle rechtshandhavingsactiviteiten van deze bevoegde autoriteiten.

(23)

Het begrip “bevoegde autoriteit” wordt in artikel 30 van de DPA 2018 gedefinieerd als een persoon die is opgenomen in bijlage 7 bij de DPA 2018 evenals elke andere persoon voor zover die persoon wettelijke taken vervult ten behoeve van rechtshandhaving. De bevoegde autoriteiten die in bijlage 7 zijn opgenomen, omvatten niet alleen politiediensten, maar ook alle Britse ministeriële overheidsinstanties evenals andere autoriteiten met een onderzoeksopdracht (bv. de Commissioner for Her Majesty’s Revenue and Customs, de Welsh Revenue Authority, de Competition and Markets Authority, Her Majesty’s Land Register of het National Crime Agency), met vervolging belaste instanties, andere strafrechtelijke instanties en andere functionarissen of organisaties die zijn belast met rechtshandhaving (35). Deel 3 van de DPA 2018 geldt ook voor rechtbanken en hoven wanneer zij hun rechterlijke taken uitoefenen, met uitzondering van het gedeelte in verband met de rechten van betrokkenen en ICO-toezicht (36). De lijst met bevoegde autoriteiten in bijlage 7 is niet definitief en kan door de Secretary of State aan de hand van regulations (een van de eerder genoemde statutory instruments) worden geactualiseerd, met inachtneming van wijzigingen in de organisatie van de openbare diensten (37).

(24)

De desbetreffende verwerking moet ook dienen voor een “rechtshandhavingsdoeleinde”, dat wordt gedefinieerd als de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de uitvoering van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid (38). Verwerking door een bevoegde autoriteit wordt niet geregeld in deel 3 van de DPA 2018 wanneer dit niet gebeurt ten behoeve van rechtshandhaving. Dat is bijvoorbeeld het geval wanneer de Competition and Markets Authority (Autoriteit Concurrentie en Markten) zaken onderzoekt die niet strafbaar zijn gesteld (bijvoorbeeld fusies tussen ondernemingen). In dat geval zal de UK GDPR, samen met deel 2 van de DPA 2018, van toepassing zijn aangezien de verwerking van persoonsgegevens door bevoegde autoriteiten wordt verricht voor andere doeleinden dan rechtshandhavingsdoeleinden. Om te bepalen welke gegevensbeschermingsregeling (deel 3 of deel 2 van de DPA 2018) van toepassing is op de verwerking van de betrokken persoonsgegevens, moet de bevoegde autoriteit, d.w.z. de verwerkingsverantwoordelijke, nagaan of het hoofddoel van de verwerking een van de rechtshandhavingsdoeleinden in de zin van de DPA 2018 is.

(25)

Wat het territoriale toepassingsgebied van deel 3 van de DPA 2018 betreft, is in artikel 207, lid 2, bepaald dat de DPA geldt voor de verwerking van persoonsgegevens in het kader van de activiteiten van een persoon die een vestiging heeft op het gehele grondgebied van het Verenigd Koninkrijk. Dit omvat overheidsinstanties van het grondgebied van Engeland, Wales, Schotland en Noord-Ierland die vallen onder het materiële toepassingsgebied van deel 3 van de DPA 2018 (39).

(26)

De sleutelbegrippen “persoonsgegevens” en “verwerking” zijn gedefinieerd in artikel 3 van de DPA 2018 en zijn van toepassing in de gehele DPA. De definities sluiten nauw aan bij de overeenkomstige definities in artikel 3 van Richtlijn (EU) 2016/680. Krachtens de DPA 2018 zijn persoonsgegevens alle informatie over een geïdentificeerde of identificeerbare levende persoon (40). Op grond van artikel 3, lid 3, van de DPA 2018 is een persoon identificeerbaar als hij/zij direct of indirect kan worden geïdentificeerd aan de hand van de informatie, onder meer met behulp van een verwijzing naar een naam of een identificatiemiddel of naar een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon. Het begrip “verwerking” wordt gedefinieerd als een bewerking of een geheel van bewerkingen met betrekking tot informatie of een geheel van informatie, zoals a) het verzamelen, vastleggen, ordenen, structureren of opslaan; b) het bijwerken of wijzigen; c) het opvragen, raadplegen of gebruiken; d) het verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen; e) het aligneren of combineren; of f) het afschermen, wissen of vernietigen van gegevens. Bovendien wordt “gevoelige verwerking” in de wet gedefinieerd als “a) de verwerking van persoonsgegevens die ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond onthult; b) de verwerking van genetische gegevens of van biometrische gegevens met het oog op de unieke identificatie van een persoon; c) de verwerking van gegevens over gezondheid; d) de verwerking van gegevens betreffende het seksuele gedrag of de seksuele gerichtheid van een persoon” (41). In dit verband wordt in artikel 205 van de DPA 2018 de definitie verstrekt van “biometrische gegevens” (42), “gegevens over gezondheid” (43) en “genetische gegevens” (44).

(27)

Artikel 32 van de DPA 2018 verduidelijkt de definities van “verwerkingsverantwoordelijke” en “verwerker” in verband met de verwerking van persoonsgegevens ten behoeve van rechtshandhaving; die definities sluiten nauw aan bij de equivalente definities in Richtlijn (EU) 2016/680. De verwerkingsverantwoordelijke is de bevoegde autoriteit die de doeleinden van en de middelen voor de verwerking van persoonsgegevens vaststelt. Wanneer de verwerking volgens de wet vereist is, is de verwerkingsverantwoordelijke de bevoegde autoriteit waaraan die verplichting door de betrokken wet is opgelegd. Een verwerker is elke persoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (en die geen werknemer is van de verwerkingsverantwoordelijke).

(28)

Krachtens artikel 35 van de DPA 2018 moet de verwerking van persoonsgegevens rechtmatig en eerlijk zijn, zoals ook wordt vermeld in artikel 4, lid 1, punt a), van Richtlijn (EU) 2016/680. Overeenkomstig artikel 35, lid 2, van de DPA 2018 is de verwerking van persoonsgegevens ten behoeve van rechtshandhaving alleen rechtmatig als die verwerking gebaseerd is op het recht en ofwel de betrokkene toestemming heeft gegeven voor de verwerking voor dat doel ofwel de verwerking noodzakelijk is voor de vervulling van een taak die met dat doel door een bevoegde autoriteit wordt verricht.

(29)

Net als in artikel 8 van Richtlijn (EU) 2016/680 is bepaald, moet een verwerking die valt onder deel 3 van de DPA 2018 op het recht zijn gebaseerd om rechtmatig te zijn. “Rechtmatige” verwerking betekent dat de verwerking is toegestaan op grond van een statute, common law of koninklijk prerogatief (45).

(30)

De bevoegdheden van de bevoegde autoriteiten worden in het algemeen geregeld door statutes, hetgeen betekent dat hun taken en bevoegdheden duidelijk zijn uiteengezet in door het parlement aangenomen wetgeving (46). In bepaalde gevallen kunnen de politie en andere bevoegde autoriteiten die zijn opgenomen in de lijst van bijlage 7 bij de DPA 2018 op common law steunen voor de verwerking van gegevens (47). De common law is opgebouwd via precedenten die door beslissingen van de rechtbanken zijn vastgesteld. De common law is relevant in het kader van de bevoegdheden waarover de politie beschikt, die uit deze rechtsbron haar kernopdracht afleidt, namelijk het publiek beschermen door misdrijven op te sporen en te voorkomen (48). De politiediensten hebben echter zowel bevoegdheden uit hoofde van de common law als uit hoofde van de wet (49) om die opdracht uit te voeren. Wanneer de politie een bevoegdheid heeft die op een statute (een geschreven wet) gebaseerd is, komt deze in de plaats van een bevoegdheid op grond van de common law (50).

(31)

Zoals erkend is door de rechtbanken omvatten de bevoegdheden en verplichtingen van politieagenten op grond van de common law “alle stappen die volgens hen nodig zijn om de vrede te bewaren, misdrijven te voorkomen of eigendom te beschermen tegen geweldmisdrijven” (51). Bevoegdheden op grond van de common law zijn geen absolute bevoegdheden. Zij zijn onderworpen aan een reeks beperkingen, onder meer beperkingen die zijn vastgesteld door de rechtbanken (52) en door de wetgeving, met name de Human Rights Act 1998 en de Equality Act 2010 (gelijkheidswet 2010) (53). Voor bevoegde autoriteiten die gegevens verwerken krachtens deel 3 van de DPA 2018 houdt dit bovendien in dat zij hun bevoegdheden op grond van de common law moeten uitoefenen in overeenstemming met de voorschriften van de DPA 2018 (54). In een besluit om eender welke vorm van gegevensverwerking te verrichten moet voorts rekening worden gehouden met de voorschriften van de toepasselijke richtsnoeren, zoals de MoPI-praktijkcode, en van richtsnoeren die specifiek in een van de landen van het Verenigd Koninkrijk geldig zijn (55). De regering en de operationele politie hebben een aantal richtsnoeren uitgevaardigd om ervoor te zorgen dat politieagenten hun bevoegdheden uitoefenen binnen de grenzen die zijn vastgelegd in de common law of de betrokken statute (56).

(32)

Koninklijke prerogatieven vormen een ander bestanddeel van het recht; zij verwijzen naar bepaalde bevoegdheden waarover de Kroon beschikt en die door de uitvoerende macht mogen worden uitgeoefend, en die niet gebaseerd zijn op een statute, maar voortvloeien uit de soevereiniteit van de vorst (57). In de context van de rechtshandhaving zijn slechts enkele voorbeelden van prerogatieve bevoegdheden relevant. Daartoe behoren onder meer het kader voor wederzijdse rechtsbijstand aan de hand waarvan een Secretary of State (minister) met derde landen gegevens kan delen ten behoeve van rechtshandhaving. De bevoegdheid om op deze manier gegevens te delen is niet altijd vastgesteld in een statute (58). Koninklijke prerogatieven zijn gebonden door commonlaw-beginselen (59) en zijn ondergeschikt aan de statutes, met als gevolg dat zij onderworpen zijn aan de grenzen die zijn bepaald in de Human Rights Act 1998 en de DPA 2018 (60).

(33)

Net als artikel 8 van Richtlijn (EU) 2016/680 vereist ook de Britse regeling dat de bevoegde autoriteiten om te voldoen aan het rechtmatigheidsbeginsel ervoor moeten zorgen dat, wanneer de verwerking gebaseerd is op het recht, die verwerking ook “noodzakelijk” moet zijn voor de uitvoering van een taak ten behoeve van rechtshandhaving. Het ICO verstrekt hierover richtsnoeren waarin wordt verduidelijkt dat “er sprake moet zijn van een doelgericht en evenredig middel om het doel te bereiken. De rechtsgrondslag is niet van toepassing als het doel redelijkerwijs kan worden bereikt met behulp van andere, minder indringende middelen. Volgens het ICO volstaat het niet dat iemand stelt dat de verwerking noodzakelijk is omdat hij/zij ervoor heeft gekozen zijn/haar bedrijf op een bepaalde manier te runnen. De vraag is of de verwerking noodzakelijk is voor het vermelde doel” (61).

(34)

Zoals vermeld in overweging 28, is in artikel 35, lid 2, van de DPA 2018 voorzien in de mogelijkheid om persoonsgegevens te verwerken op basis van de toestemming (“consent”) van de betrokkene.

(35)

Toestemming blijkt echter geen rechtsgrond te zijn die relevant is voor de verwerkingsactiviteiten die onder het toepassingsgebied van dit besluit vallen. In feite zullen de verwerkingsactiviteiten die onder dit besluit vallen altijd betrekking hebben op gegevens die uit hoofde van Richtlijn (EU) 2016/680 door een bevoegde autoriteit van een lidstaat zijn doorgegeven aan een Britse bevoegde autoriteit. Die activiteiten zullen daarom doorgaans geen betrekking hebben op de directe interactie (het verzamelen van gegevens) tussen een overheid en betrokkenen die gebaseerd kan zijn op toestemming uit hoofde van artikel 35, lid 2, punt a), van de DPA 2018.

(36)

Hoewel het gebruik van toestemming niet relevant wordt geacht voor de beoordeling die uit hoofde van dit besluit wordt verricht, is het volledigheidshalve wel vermeldenswaard dat verwerking in het kader van de rechtshandhaving nooit uitsluitend gebaseerd is op toestemming aangezien een bevoegde autoriteit altijd moet beschikken over een onderliggende bevoegdheid waardoor zij gemachtigd is de gegevens te verwerken (62). Meer specifiek en vergelijkbaar met wat is toegestaan uit hoofde van Richtlijn (EU) 2016/680 (63), betekent dit dat toestemming dient als een aanvullende voorwaarde om bepaalde begrensde en specifieke verwerkingsactiviteiten mogelijk te maken die anders niet uitgevoerd zouden kunnen worden, bijvoorbeeld de verzameling en verwerking van een DNA-monster van een persoon die geen verdachte is. In dat geval zou de verwerking niet uitgevoerd worden als de toestemming niet wordt gegeven of wordt ingetrokken (64).

(37)

In gevallen waarin de toestemming van de betrokkene vereist is, moet die toestemming ondubbelzinnig zijn en een duidelijke actieve handeling behelzen (65). De politiediensten moeten een privacyverklaring hebben, waarin onder meer de nodige informatie is opgenomen in verband met het geldige gebruik van toestemming. Daarnaast publiceren sommige politiediensten aanvullende informatie over de manier waarop zij de gegevensbeschermingswetgeving naleven, onder meer hoe en wanneer zij toestemming als rechtsgrond zouden gebruiken (66).

(38)

Wanneer bijzondere categorieën gegevens worden verwerkt, moet worden voorzien in bijzondere waarborgen. In dit verband worden, naar analogie van het bepaalde in artikel 10 van Richtlijn (EU) 2016/680, in deel 3 van de DPA 2018 sterkere waarborgen geboden voor zogenoemde „sensitive processing” (verwerking van gevoelige gegevens) (67).

(39)

Volgens artikel 35, lid 3, van de DPA 1998 kunnen gevoelige gegevens slechts in twee gevallen door bevoegde autoriteiten met het oog op rechtshandhaving worden verwerkt: 1) de betrokkene heeft toestemming gegeven voor de verwerking met het oog op rechtshandhaving en de verwerkingsverantwoordelijke beschikt op het ogenblik waarop de verwerking plaatsvindt over een passend beleidsdocument (68); of 2) de verwerking is strikt noodzakelijk ten behoeve van rechtshandhaving, de verwerking voldoet aan ten minste een van de voorwaarden in bijlage 8 bij de DPA 2018, en de verwerkingsverantwoordelijke beschikt op het ogenblik waarop de verwerking plaatsvindt over een passend beleidsdocument (69).

(40)

Wat het eerste geval betreft, en zoals uiteengezet in overweging 38, wordt het inroepen van toestemming niet relevant geacht voor de doorgiftesituaties als bedoeld in dit besluit (70).

(41)

Wanneer de verwerking van gevoelige gegevens niet op toestemming berust, kan deze worden verricht aan de hand van een van de voorwaarden die zijn opgenomen in bijlage 8 bij de DPA 2018. Deze voorwaarden hebben betrekking op verwerking die noodzakelijk is voor wettelijke doeleinden; de rechtsbedeling; de bescherming van de vitale belangen van de betrokkene of een andere persoon; de bescherming van kinderen en van personen die risico lopen; rechtsvorderingen; gerechtelijke uitspraken; de voorkoming van fraude; archivering; wanneer persoonsgegevens kennelijk openbaar gemaakt zijn door de betrokkene. Met uitzondering van het geval waarin de gegevens kennelijk openbaar zijn gemaakt, worden alle voorwaarden van bijlage 8 aan een toetsing van strikte noodzakelijkheid (“strict necessity”) onderworpen. Zoals door het ICO wordt verduidelijkt, “betekent “strikt noodzakelijk” in dit verband dat de verwerking verband moet houden met een dringende sociale behoefte, en dat daaraan redelijkerwijze niet kan worden tegemoetgekomen met minder indringende middelen” (71). Bovendien gelden er voor sommige voorwaarden aanvullende beperkingen. Om bijvoorbeeld de voorwaarde “wettelijke doeleinden” of “bescherming” (bijlage 8, punten 1 en 4) te kunnen inroepen, moet er een aanvullende uitgebreide toetsing van het openbaar belang worden verricht. In verband met de voorwaarden met betrekking tot de bescherming van het kind (bijlage 8, punt 4) moet de betrokkene ook een welbepaalde leeftijd hebben en aangemerkt zijn als een persoon die risico loopt. Bovendien kan de verwerkingsverantwoordelijke de in bijlage 8, punt 4, vastgestelde voorwaarde uitsluitend toepassen in welbepaalde omstandigheden (72). Evenzo gelden er beperkingen voor de voorwaarden “gerechtelijke uitspraken” en “voorkoming van fraude” (bijlage 8, punten 7 en 8). Beide zijn alleen op specifieke verwerkingsverantwoordelijken van toepassing. Wat gerechtelijke uitspraken betreft, mag alleen een rechtbank of een andere rechterlijke instantie gebruikmaken van een dergelijke voorwaarde, en in het geval van fraudepreventie kunnen alleen verwerkingsverantwoordelijken die fraudebestrijdingsorganisaties zijn deze voorwaarde inroepen.

(42)

Wanneer de verwerking tot slot berust op een van de in bijlage 8 vermelde voorwaarden, respectievelijk geschiedt uit hoofde van artikel 42 van de DPA 2018, moet er een passend beleidsdocument bestaan — waarin de procedures worden toegelicht die de verwerkingsverantwoordelijke gebruikt om naleving van de gegevensbeschermingsbeginselen te garanderen en de beleidsmaatregelen worden toegelicht die de verwerkingsverantwoordelijke heeft getroffen in verband met de bewaring en wissing van persoonsgegevens — en gelden de verplichtingen inzake het bijhouden van een uitgebreid register.

(43)

Persoonsgegevens moeten worden verwerkt voor een specifiek doel en mogen vervolgens uitsluitend worden gebruikt voor doeleinden die niet onverenigbaar zijn met het doel van de verwerking. Dit gegevensbeschermingsbeginsel wordt gewaarborgd door artikel 36 van de DPA 2018. Net als artikel 4, lid 1, punt b), van Richtlijn (EU) 2016/680 vereist deze bepaling dat a) persoonsgegevens in elk geval voor welbepaalde, uitdrukkelijk omschreven en legitieme rechtshandhavingdoeleinden moeten worden verzameld en b) niet op een met die doeleinden onverenigbare wijze mogen worden verwerkt.

(44)

Wanneer bevoegde autoriteiten gegevens verwerken ten behoeve van rechtshandhaving, kan het daarbij gaan om archivering, wetenschappelijk of historisch onderzoek of statistische doeleinden (73). In deze gevallen wordt in de DPA 2018 ook verduidelijkt dat archivering (of de verwerking met het oog op wetenschappelijk of historisch onderzoek of voor statistische doeleinden) niet is toegestaan wanneer dit wordt verricht met betrekking tot besluiten in verband met een welbepaalde betrokkene of indien dit wellicht zou leiden tot aanzienlijke schade of leed voor deze betrokkene (74).

(45)

De gegevens moeten juist zijn en moeten zo nodig worden bijgewerkt. Zij moeten ook toereikend zijn, ter zake dienend en niet bovenmatig in verhouding tot de doeleinden waarvoor zij worden verwerkt. Deze beginselen worden, naar analogie van het bepaalde in artikel 4, lid 1, punten c), d) en e), van Richtlijn (EU) 2016/680, gewaarborgd in de artikelen 37 en 38 van de DPA 2018. Alle redelijke maatregelen moeten worden genomen om te waarborgen dat onjuiste persoonsgegevens (75) onverwijld worden gewist of rechtgezet (76), in het licht van het rechtshandhavingsdoel waarvoor zij worden verwerkt (77), en om te waarborgen dat onjuiste, onvolledige of niet langer actuele persoonsgegevens niet worden doorgegeven of beschikbaar worden gesteld voor een van de rechtshandhavingsdoelen (78).

(46)

Voorts wordt, net als in artikel 7 van Richtlijn (EU) 2016/680, ook in de Britse gegevensbeschermingsregeling gespecificeerd dat persoonsgegevens die op feiten zijn gebaseerd, voor zover mogelijk moeten worden onderscheiden van persoonsgegevens die op een persoonlijk oordeel zijn gebaseerd (79). Waar relevant en voor zover mogelijk moet een duidelijk onderscheid worden gemaakt tussen persoonsgegevens in verband met verschillende categorieën van betrokkenen, zoals verdachten, personen die voor een strafbaar feit zijn veroordeeld, slachtoffers van een strafbaar feit en getuigen (80).

(47)

Krachtens artikel 5 van Richtlijn (EU) 2016/680 mogen gegevens in principe niet langer worden bewaard dan nodig is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt. Overeenkomstig artikel 39 van de DPA 2018 en naar analogie van artikel 5 van die richtlijn is het verboden om persoonsgegevens die werden verwerkt met het oog op rechtshandhaving langer te bewaren dan nodig is in verband met het doel waarvoor ze worden verwerkt. Volgens de rechtsorde van het Verenigd Koninkrijk moeten passende termijnen worden vastgelegd voor een periodieke evaluatie van de noodzaak van verdere opslag van persoonsgegevens ten behoeve van rechtshandhaving. Verdere regels voor werkwijzen in verband met de bewaring van persoonsgegevens en de toepasselijke termijnen zijn uiteengezet in de relevante wetgeving en richtsnoeren voor de bevoegdheden en de werking van de politie. In Engeland en Wales, bijvoorbeeld, voorziet de MoPI-praktijkcode van het College of Policing, samen met de APP-richtsnoeren in verband met het beheer van politie-informatie, in een kader dat een consistent op risico’s gebaseerd bewarings-, evaluatie- en verwijderingsproces voor het beheer van operationele politie-informatie moet waarborgen (81). In dit kader wordt duidelijk uiteengezet wat er van alle diensten wordt verwacht in verband met de manier waarop informatie wordt aangemaakt, gedeeld, gebruikt en beheerd bij en tussen afzonderlijke politiediensten en andere instanties (82). Van de politie wordt verwacht dat zij de praktijkcode naleeft en die naleving wordt gecontroleerd door Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services (83).

(48)

De Police Service of Northern Ireland (PSNI) is wettelijk niet verplicht om zich aan de MoPI-praktijkcode te houden. Het in 2011 vastgestelde MoPI-kader is echter aangevuld met een PSNI Handbook (84) waarin beleidsmaatregelen en procedures zijn uiteengezet over de manier waarop de MoPI-praktijkcode in Noord-Ierland wordt toegepast.

(49)

In Schotland maken de politiediensten gebruik van de Record Retention Standard Operating Procedure (SOP) (85), een operationele standaardprocedure die dient ter ondersteuning van hun beleid voor archiefbeheer (86). In de SOP zijn specifieke archiveringsregels vastgesteld voor de dossiers van de Schotse politie.

(50)

Naast het overkoepelende vereiste om dossiers te controleren, dat geldt in het gehele Verenigd Koninkrijk, zijn in plaatselijke regelgeving nadere bijzonderheden vastgesteld. Een paar voorbeelden: met betrekking tot Engeland en Wales zijn in de Police and Criminal Evidence Act, zoals gewijzigd bij de Protection of Freedom Act 2012 (PoFA) bepalingen opgenomen betreffende de bewaring van vingerafdrukken en DNA-profielen en betreffende een specifieke regeling voor niet-veroordeelde personen (87). Met de PoFA werd ook de functie van Commissioner for the Retention and Use of Biometric Material (de Biometrics Commissioner, de toezichthouder bewaring en gebruik van biometrische materialen) in het leven geroepen (88). Specifieke regels in verband met beeldmateriaal van mensen in verzekerde bewaring zijn vastgesteld in de Custody Image Review van 2017 (89). Voor Schotland voorziet de Criminal Procedure (Scotland) Act 1995 in regels voor het verkrijgen en bewaren van vingerafdrukken en biologische monsters (90). Net als in Engeland en Wales is de bewaring van biometrische gegevens in verschillende gevallen bij wet geregeld (91).

(51)

Persoonsgegevens moeten op een dusdanige manier worden verwerkt dat de beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Daartoe moeten overheidsinstanties passende technische of organisatorische maatregelen treffen om de persoonsgegevens te beschermen tegen mogelijke bedreigingen. Bij de beoordeling van die maatregelen moet rekening worden gehouden met de stand van de techniek en de ermee gemoeide kosten.

(52)

Deze beginselen komen tot uitdrukking in artikel 40 van de DPA 2018, waarin, naar analogie van het bepaalde in artikel 4, lid 1, punt f), van Richtlijn (EU) 2016/680, is vastgesteld dat persoonsgegevens die worden verwerkt met het oog op rechtshandhaving met gebruikmaking van passende technische of organisatorische middelen op een dusdanige manier moeten worden verwerkt dat de beveiliging ervan gewaarborgd is. Dit behelst ook dat de gegevens beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (92). In artikel 66 van de DPA 2018 is voorts bepaald dat elke verwerkingsverantwoordelijke en elke verwerker passende technische en organisatorische maatregelen moet treffen om een beveiligingsniveau te waarborgen dat is afgestemd op de risico’s die voortvloeien uit de verwerking van persoonsgegevens. Volgens de memorie van toelichting moet de verwerkingsverantwoordelijke de risico’s analyseren en passende veiligheidsmaatregelen toepassen op basis van deze analyse, bijvoorbeeld encryptie of veiligheidsmachtigingen van een bepaald niveau voor de medewerkers die de gegevens verwerken (93). In de analyse moet ook rekening worden gehouden met, bijvoorbeeld, de aard van de verwerkte gegevens en andere relevante factoren of omstandigheden die de veiligheid van de verwerking nadelig zouden kunnen beïnvloeden.

(53)

De regeling in verband met de naleving van de gegevensbeschermingsbeginselen loopt sterk gelijk met de regeling die is vastgesteld bij de artikelen 29, 30 en 31 van Richtlijn (EU) 2016/680. Wanneer zich een inbreuk in verband met persoonsgegevens voordoet waarvoor de verwerkingsverantwoordelijke verantwoordelijk is, moet deze laatste, overeenkomstig artikel 67, lid 1, van de DPA 2018, zonder onnodige vertraging en indien mogelijk niet meer dan 72 uur nadat hij/zij ervan kennis heeft genomen, deze inbreuk melden aan de Information Commissioner (94). Deze meldingsplicht geldt niet wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk geen risico met zich meebrengt voor de rechten en vrijheden van personen (95). De verwerkingsverantwoordelijke moet de feiten omtrent een inbreuk, de gevolgen ervan en de genomen corrigerende maatregelen dusdanig documenteren dat de Information Commissioner de naleving van de DPA kan controleren (96). Als een verwerker in kennis wordt gesteld van een inbreuk op de beveiliging, moet deze die inbreuk zonder onnodige vertraging melden aan de verwerkingsverantwoordelijke (97).

(54)

Als een inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen, moet de verwerkingsverantwoordelijke, krachtens artikel 68, lid 1, van de DPA 2018, de betrokkene zonder onnodige vertraging in kennis stellen van die inbreuk (98). De melding moet dezelfde informatie bevatten als de in overweging 53 bedoelde kennisgeving aan de Information Commissioner. Deze verplichting geldt niet wanneer de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen, die zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft. Deze verplichting geldt evenmin als de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen. Tot slot hoeft de verwerkingsverantwoordelijke de betrokkene geen melding te doen als dit een onevenredige inspanning zou vergen (99). In dat geval moet de informatie op een andere, even doeltreffende manier aan de betrokkene beschikbaar worden gesteld, bijvoorbeeld via een openbare mededeling (100). Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft meegedeeld, kan de Information Commissioner, na ontvangst van de melding krachtens artikel 67 van de DPA en na te hebben nagegaan of de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke ertoe verplichten de inbreuk te melden aan de betrokkene (101).

(55)

Betrokkenen moeten worden ingelicht over de belangrijkste kenmerken van de verwerking van hun persoonsgegevens. Dit beginsel komt tot uitdrukking in artikel 44 van de DPA 2018 waarin, net als in artikel 13 van Richtlijn (EU) 2016/680, is bepaald dat de verwerkingsverantwoordelijke de algemene verplichting heeft om de betrokkenen informatie over de verwerking van hun persoonsgegevens te bezorgen (door die informatie algemeen beschikbaar of op een andere manier ter beschikking te stellen) (102). De informatie die ter beschikking moet worden gesteld, omvat a) de identiteit en contactgegevens van de verwerkingsverantwoordelijke; b) in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming; c) de doeleinden van de verwerking waarvoor de persoonsgegevens zijn bestemd; d) het bestaan van het recht van de betrokkenen om de verwerkingsverantwoordelijke te verzoeken om toegang tot en rectificatie of wissing van hun persoonsgegevens, of beperking van de verwerking ervan; e) het bestaan van het recht een klacht in te dienen bij de Information Commissioner en de desbetreffende contactgegevens (103).

(56)

In specifieke gevallen met als doel de uitoefening van de rechten van een betrokkene krachtens de DPA 2018 mogelijk te maken (bijvoorbeeld wanneer de verwerkte persoonsgegevens werden verzameld zonder medeweten van de betrokkene), moet de verwerkingsverantwoordelijke de betrokkene informatie geven over a) de rechtsgrond van de verwerking; b) de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen; c) in voorkomend geval, de categorieën van ontvangers van de persoonsgegevens, ook in derde landen of internationale organisaties; d) indien noodzakelijk, extra informatie die nodig is om de betrokkene in staat te stellen zijn/haar rechten uit hoofde van deel 3 van de DPA 2018 uit te oefenen (104).

(57)

Aan betrokkenen moet een aantal afdwingbare rechten worden verleend. In deel 3, hoofdstuk 3, van de DPA 2018 is bepaald dat personen recht hebben op inzage, rectificatie, wissing en beperking (105); deze rechten zijn vergelijkbaar met de rechten als bedoeld in hoofdstuk III van Richtlijn (EU) 2016/680.

(58)

Het inzagerecht is neergelegd in artikel 45 van de DPA 2018. Ten eerste heeft de betrokkene het recht om van de verwerkingsverantwoordelijke uitsluitsel te krijgen over de al dan niet verwerking van hem/haar betreffende persoonsgegevens (106). Ten tweede heeft de betrokkene, wanneer zijn/haar persoonsgegevens worden verwerkt, het recht om die persoonsgegevens in te zien en om de volgende informatie over de verwerking te verkrijgen: a) de doeleinden van en de rechtsgrond voor de verwerking; b) de betrokken gegevenscategorieën; c) de ontvanger aan wie de gegevens zijn bekendgemaakt; d) de periode gedurende welke de persoonsgegevens worden opgeslagen; e) het recht van de betrokkene om de persoonsgegevens te laten rectificeren of wissen; f) het recht om een klacht in te dienen, en g) alle informatie over de oorsprong van de desbetreffende persoonsgegevens (107).

(59)

Krachtens artikel 46 van de DPA 2018 heeft de betrokkene het recht van de verwerkingsverantwoordelijke rectificatie van hem/haar betreffende persoonsgegevens te verlangen. De verwerkingsverantwoordelijke moet de gegevens zonder onnodige vertraging rectificeren (of aanvullen wanneer de gegevens onjuist zijn omdat ze onvolledig zijn). Als de persoonsgegevens als bewijsmateriaal moeten worden bewaard, moet de verwerkingsverantwoordelijke de verwerking van de persoonsgegevens beperken (in plaats van ze te rectificeren) (108).

(60)

In artikel 47 van de DPA 2018 is bepaald dat personen het recht hebben hun persoonsgegevens te laten wissen en de verwerking ervan te beperken. De verwerkingsverantwoordelijke moet (109) persoonsgegevens zonder onnodige vertraging wissen wanneer de verwerking van de persoonsgegevens in strijd is met een van de gegevensbeschermingsbeginselen, de rechtsgronden van de verwerking of de waarborgen in verband met archivering en de verwerking van gevoelige gegevens. De verwerkingsverantwoordelijke moet de gegevens ook wissen als hij/zij daartoe wettelijk verplicht is. Als de persoonsgegevens moeten worden bewaard als bewijsmateriaal, moet de verwerkingsverantwoordelijke de verwerking van de persoonsgegevens beperken (in plaats van ze te wissen) (110). De verwerkingsverantwoordelijke moet de verwerking van persoonsgegevens beperken als een betrokkene de juistheid van de persoonsgegevens betwist en er niet kan worden vastgesteld of deze al dan niet juist zijn (111).

(61)

Wanneer een betrokkene verzoekt om rectificatie of wissing van zijn/haar persoonsgegevens of om beperking van de verwerking ervan, moet de verwerkingsverantwoordelijke de betrokkene er schriftelijk van in kennis stellen of dit verzoek al dan niet is ingewilligd en in het geval van afwijzing de betrokkene in kennis stellen van de redenen voor die weigering en van de mogelijkheden om een beroep in te stellen (het recht van de betrokkene om de Information Commissioner te verzoeken een onderzoek in te stellen naar de rechtmatigheid van de beperking, het recht om een klacht in te dienen bij de Information Commissioner en het recht om te verzoeken om een rechterlijk bevel tot naleving) (112).

(62)

Wanneer de verwerkingsverantwoordelijke persoonsgegevens rectificeert die afkomstig zijn van een andere bevoegde autoriteit, moet hij/zij die andere autoriteit daarvan in kennis stellen (113). Wanneer de verwerkingsverantwoordelijke de rectificatie, wissing of beperking uitvoert van persoonsgegevens die door de verwerkingsverantwoordelijke zijn bekendgemaakt, moet de verwerkingsverantwoordelijke de ontvangers in kennis stellen, en moeten de ontvangers de persoonsgegevens dienovereenkomstig rectificeren, wissen of de verwerking ervan beperken (voor zover zij daarvoor verantwoordelijk blijven) (114).

(63)

De betrokkene heeft bovendien het recht om zonder onnodige vertraging door de verwerkingsverantwoordelijke in kennis te worden gesteld van een inbreuk in verband met zijn/haar persoonsgegevens indien die inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt (115).

(64)

In verband met al die rechten van de betrokkene en naar analogie van het bepaalde in artikel 12 van Richtlijn (EU) 2016/680 is de verwerkingsverantwoordelijke verplicht ervoor te zorgen dat informatie aan de betrokkene in een beknopte, begrijpelijke en gemakkelijk toegankelijke vorm (116) wordt verstrekt en dat deze, waar mogelijk, in dezelfde vorm wordt verstrekt als de vorm van het verzoek (117). De verwerkingsverantwoordelijke moet zonder onnodige vertraging ingaan op een verzoek van de betrokkene, of in elk geval, in beginsel, binnen één maand na de indiening van het verzoek (118). Wanneer de verwerkingsverantwoordelijke gerede twijfel heeft over de identiteit van een persoon, kan hij/zij verzoeken om aanvullende informatie en de behandeling van het verzoek uitstellen totdat de identiteit bevestigd is. De verwerkingsverantwoordelijke mag een redelijke vergoeding aanrekenen of weigeren gevolg te geven aan het verzoek wanneer hij/zij dit kennelijk ongegrond acht (119). Het ICO heeft richtsnoeren verstrekt over de gevallen waarin een verzoek kennelijk ongegrond of buitensporig wordt geacht en een vergoeding mag worden gevraagd (120).

(65)

Op grond van artikel 53, lid 4, van de DPA 2018 kan de Secretary of State door middel van regulations het maximumbedrag van een vergoeding bepalen.

(66)

Een bevoegde autoriteit kan in bepaalde omstandigheden bepaalde rechten van de betrokkene beperken: het inzagerecht (121), het recht om op de hoogte te worden gebracht (122), om ingelicht te worden over een inbreuk in verband met de persoonsgegevens (123), en om ingelicht te worden over de reden van de weigering van een verzoek om rectificatie of wissing (124). Net als is bepaald in de regeling die in hoofdstuk III van Richtlijn (EU) 2016/680 is opgenomen, kan de bevoegde autoriteit de beperking uitsluitend toepassen wanneer deze, met inachtneming van de grondrechten en de legitieme belangen van de betrokkene, noodzakelijk en evenredig is om: a) belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen; b) nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten of de uitvoering van straffen te voorkomen; c) de openbare veiligheid te beschermen; d) de nationale veiligheid te beschermen; e) de rechten en vrijheden van anderen te beschermen.

(67)

Het ICO heeft richtsnoeren uitgevaardigd in verband met de toepassing van die beperkingen. Volgens die richtsnoeren moeten de verwerkingsverantwoordelijken elk geval afzonderlijk analyseren om de rechten van de persoon af te wegen tegen de schade die bekendmaking zou veroorzaken. Zij moeten met name de noodzakelijkheid en evenredigheid van elke toegepaste beperking rechtvaardigen en mogen de verstrekking uitsluitend beperken als die de bovenvermelde doeleinden zou ondermijnen (125).

(68)

De bevoegde autoriteiten hebben ook enkele andere richtsnoeren opgesteld, waarin zij uitvoerige informatie verstrekken over alle aspecten van de gegevensbeschermingswetgeving, onder meer over de toepassing van beperkingen van de rechten van betrokkenen (126). In verband met artikel 45, lid 4, van de DPA 2018 staat in de Data Protection Manual (handleiding gegevensbescherming) van de National Police Chiefs” Council het volgende vermeld: “er zij opgemerkt dat de beperkingen uitsluitend kunnen worden toegepast voor zover dat noodzakelijk is en zolang als nodig is. Bijgevolg is een algemene toepassing van de beperking op alle persoonsgegevens van een aanvrager of een permanente toepassing van de beperking niet toegestaan. Wat het laatste punt betreft, is het vaak zo dat persoonsgegevens die worden verzameld zonder medeweten van de betrokkene die een verdachte in een onderzoek is, aanvankelijk moeten worden beschermd tegen bekendmaking aan die betrokkene zelf om te voorkomen dat het onderzoek tijdens de uitvoering in gevaar wordt gebracht, maar dat die persoonsgegevens achteraf zonder nadelige gevolgen wel mogen worden bekendgemaakt als de persoonsgegevens aan de betrokkene bekendgemaakt zijn tijdens een verhoor. De politie moet procedures vaststellen om ervoor te zorgen dat deze beperkingen slechts worden toegepast voor zover zij noodzakelijk zijn en slechts zolang als nodig is” (127). In deze richtsnoeren worden ook voorbeelden gegeven van gevallen waarin elk van de beperkingen waarschijnlijk zal worden toegepast (128).

(69)

In verband met de mogelijkheid om de bovenvermelde rechten te beperken met het oog op de bescherming van de nationale veiligheid (“national security”) mag een verwerkingsverantwoordelijke bovendien een aanvraag indienen voor een certificaat dat ondertekend is door een minister of door de Attorney General (procureur-generaal) of de Advocate General for Scotland (advocaat-generaal van Schotland), waarin wordt verklaard dat een beperking van die rechten een noodzakelijke en evenredige maatregel is voor de bescherming van de nationale veiligheid (129). De Britse regering heeft richtsnoeren uitgevaardigd over de nationaleveiligheidscertificaten uit hoofde van de DPA 2018 waarin met name wordt benadrukt dat elke beperking van de rechten van betrokkenen met het oog op de bescherming van de nationale veiligheid evenredig en noodzakelijk moet zijn (130) (zie de overwegingen 131 tot en met 134 voor nadere informatie over nationaleveiligheidscertificaten).

(70)

Wanneer er een beperking op een recht van een betrokkene geldt, moet de bevoegde autoriteit bovendien de betrokkene er zonder onnodige vertraging van in kennis stellen dat zijn/haar rechten zijn beperkt, van de redenen voor die beperking en van de beschikbare beroepsmogelijkheden, tenzij het verstrekken van die informatie de reden voor de toepassing van de beperking zou ondermijnen (131). Als extra waarborg tegen het misbruik van beperkingen moet de verwerkingsverantwoordelijke de redenen registreren waarom hij/zij de informatie beperkt en die registratie, op verzoek, beschikbaar stellen aan de Information Commissioner (132).

(71)

Als de verwerkingsverantwoordelijke aanvullende transparantiegegevens weigert te verstrekken, of inzage weigert te verlenen, of als hij/zij een verzoek tot rectificatie, wissing of beperking van de verwerking afwijst, kan de betrokkene de Information Commissioner vragen te onderzoeken of de verwerkingsverantwoordelijke de beperking rechtmatig heeft toegepast (133). De betrokkene kan ook een klacht indienen bij de Information Commissioner of zich tot een rechter wenden om de verwerkingsverantwoordelijke te bevelen gevolg te geven aan het verzoek (134).

(72)

De artikelen 49 en 50 van de DPA 2018 hebben respectievelijk betrekking op de rechten in verband met geautomatiseerde besluitvorming en de toe te passen waarborgen (135). Naar analogie van artikel 11 van Richtlijn (EU) 2016/680, kan de verwerkingsverantwoordelijke slechts een doorslaggevend besluit nemen dat uitsluitend op de geautomatiseerde verwerking van persoonsgegevens gebaseerd is als dit krachtens het recht vereist of toegestaan is (136). Een besluit is doorslaggevend als het voor de betrokkene nadelige rechtsgevolgen zou hebben of hem/haar in aanmerkelijke mate zou treffen (137).

(73)

Wanneer de verwerkingsverantwoordelijke volgens het recht een doorslaggevend besluit moet of mag nemen, worden in artikel 50 van de DPA 2018 de waarborgen vermeld die van toepassing zullen zijn op dat besluit (dat wordt gedefinieerd als een “qualifying significant decision”). De verwerkingsverantwoordelijke moet de betrokkene er zo spoedig mogelijk van in kennis stellen dat een dergelijk besluit is genomen. De betrokkene kan vervolgens, binnen een maand, een verzoek richten aan de verwerkingsverantwoordelijke om het besluit te herzien of een nieuw besluit te nemen dat niet uitsluitend op geautomatiseerde verwerking is gebaseerd. De verwerkingsverantwoordelijke moet het verzoek onderzoeken en de betrokkene informeren over de uitkomst van dat onderzoek. De DPA 2018 verleent de Secretary of State de bevoegdheid om regelgeving (“regulations”) vast te stellen in verband met aanvullende waarborgen (138). Er is nog geen dergelijke regelgeving vastgesteld.

(74)

Het beschermingsniveau voor persoonsgegevens die vanuit een rechtshandhavingsinstantie van een lidstaat worden doorgegeven aan een rechtshandhavingsinstantie in het Verenigd Koninkrijk mag niet worden ondermijnd door de verdere doorgifte van die gegevens aan ontvangers in een derde land. Dergelijke “verdere doorgiften”, die uit het oogpunt van de Britse rechtshandhavingsinstantie internationale doorgiften vanuit het Verenigd Koninkrijk vormen, mogen slechts worden toegestaan wanneer de verdere ontvanger buiten het Verenigd Koninkrijk zelf is onderworpen aan voorschriften die zorgen voor een vergelijkbaar beschermingsniveau zoals wordt gegarandeerd binnen de Britse rechtsorde.

(75)

De Britse regeling voor internationale doorgiften is opgenomen in deel 3, hoofdstuk 5, van de DPA 2018 (139) en weerspiegelt de aanpak van hoofdstuk V van Richtlijn (EU) 2016/680. Om persoonsgegevens te kunnen doorgeven aan een derde land, moet een bevoegde autoriteit aan drie voorwaarden voldoen: a) de doorgifte moet noodzakelijk zijn voor rechtshandhavingsdoeleinden; b) de doorgifte moet gebaseerd zijn op: i) een adequaatheidsbesluit met betrekking tot het derde land, ii) passende waarborgen (bij ontstentenis van een adequaatheidsbesluit), of iii) bijzondere omstandigheden (bij ontstentenis van een adequaatheidsbesluit of passende waarborgen), en c) de ontvanger van de doorgifte moet: i) een relevante autoriteit (d.w.z. het equivalent van een bevoegde autoriteit) in het derde land zijn; ii) een relevante internationale organisatie zijn, bijvoorbeeld een internationaal orgaan dat taken uitoefent die overeenstemmen met een van de rechtshandhavingsdoeleinden; of iii) een persoon zijn die geen relevante autoriteit is, maar uitsluitend wanneer de doorgifte strikt noodzakelijk is voor de uitvoering van een van de rechtshandhavingsdoeleinden; er geen grondrechten en vrijheden van de betrokkene zijn die voorrang hebben op het openbaar belang dat de doorgifte noodzakelijk maakt; een doorgifte van persoonsgegevens naar een relevante autoriteit in het derde land ondoeltreffend of ongeschikt zou zijn, en de ontvanger wordt ingelicht over het doel waarvoor de gegevens mogen worden verwerkt (140).

(76)

Adequaatheidsbesluiten met betrekking tot een derde land, gebied of sector in dat derde land, een internationale organisatie, of een beschrijving (141) van dat land, dat gebied, die sector of die organisatie worden vastgesteld door de Secretary of State. Wat de in acht te nemen normen betreft, moet de Secretary of State beoordelen of een gebied/sector/organisatie voorziet in een adequaat beschermingsniveau voor persoonsgegevens. In artikel 74A, lid 4, van de DPA 2018 is bepaald dat de Secretary of State daartoe rekening moet houden met een aantal aspecten die overeenstemmen met de aspecten die zijn opgesomd in artikel 36 van Richtlijn (EU) 2016/680 (142). In dit opzicht vormt deel 3 van de DPA 2018 sinds het einde van de overgangsperiode “EU-derived domestic legislation” (van de EU afgeleide interne wetgeving) die, zoals reeds toegelicht, door de rechtbanken in het Verenigd Koninkrijk zal worden uitgelegd overeenkomstig de relevante rechtspraak van het Hof van Justitie die dateert van vóór de terugtrekking van het Verenigd Koninkrijk uit de Europese Unie en algemene beginselen van het Unierecht zoals deze onmiddellijk vóór het einde van de overgangsperiode van toepassing waren. Hieronder valt de norm van “wezenlijke overeenkomst” die aldus van toepassing zal zijn voor de adequaatheidsbeoordelingen die door de Britse autoriteiten worden verricht.

(77)

Wat de procedure betreft, gelden voor de besluiten de “algemene” procedurevoorschriften als bepaald in artikel 182 van de DPA 2018. In het kader van deze procedure moet de Secretary of State overleg plegen met de Information Commissioner wanneer hij/zij voorstellen voor toekomstige Britse adequaatheidsbesluiten opstelt (143). Zodra deze adequaatheidsbesluiten door de Secretary of State zijn vastgesteld, worden ze voorgelegd aan het parlement en onderworpen aan de zogenoemde negative resolution procedure; dit betekent dat beide kamers van het parlement het besluit kunnen onderzoeken en binnen veertig dagen een motie kunnen aannemen tot nietigverklaring van het besluit (144).

(78)

Overeenkomstig artikel 74 ter, lid 1, van de DPA 2018 moeten adequaatheidsbesluiten worden geëvalueerd met tussenpozen van niet meer dan vier jaar en moet de Secretary of State voortdurend de ontwikkelingen volgen in derde landen en internationale organisaties die van invloed kunnen zijn op besluiten tot vaststelling, wijziging of intrekking van adequaatheidsbesluiten. Wanneer de Secretary of State vaststelt dat een bepaald land of een organisatie niet langer een adequaat beschermingsniveau voor persoonsgegevens verzekert, moet hij/zij, indien nodig, de adequaatheidsbesluiten wijzigen of intrekken en overleg plegen met het betrokken derde land of de betrokken internationale organisatie om het gebrek aan een adequaat beschermingsniveau te verhelpen.

(79)

Naar analogie van artikel 37 van Richtlijn (EU) 2016/680 zou, bij ontbreken van een adequaatheidsbesluit, een doorgifte van persoonsgegevens in het kader van de rechtshandhaving kunnen plaatsvinden wanneer in passende waarborgen is voorzien. Dergelijke waarborgen worden geboden aan de hand van a) een juridisch bindend instrument waarin passende waarborgen voor de bescherming van persoonsgegevens zijn opgenomen; of b) een beoordeling door de verwerkingsverantwoordelijke die alle omstandigheden in verband met de doorgifte van persoonsgegevens heeft beoordeeld en heeft geconcludeerd dat er passende waarborgen bestaan voor de bescherming van persoonsgegevens (145). Indien doorgiften gebaseerd zijn op passende waarborgen, is in de DPA 2018 voorts bepaald dat de bevoegde autoriteiten, in aanvulling op de normale toezichthoudende rol van het ICO, specifieke informatie over de doorgiften moeten verstrekken aan het ICO (146).

(80)

Als een doorgifte niet op een adequaatheidsbesluit of passende waarborgen is gebaseerd, kan die doorgifte uitsluitend plaatsvinden in bepaalde, welomschreven omstandigheden die “special circumstances” (bijzondere omstandigheden) worden genoemd (147). Dit is het geval wanneer de doorgifte noodzakelijk is: a) om de vitale belangen van de betrokkene of van een andere persoon te beschermen; b) om de legitieme belangen van de betrokkene te beschermen; c) om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een derde land te voorkomen; d) in afzonderlijke gevallen met het oog op rechtshandhaving; of e) in afzonderlijke gevallen met een juridisch doel (bijvoorbeeld in gerechtelijke procedures of voor het inwinnen van juridisch advies) (148). Er zij op gewezen dat de punten d) en e) niet van toepassing zijn indien de rechten en vrijheden van de betrokkene zwaarder wegen dan het openbaar belang van de doorgifte (149). Deze reeks omstandigheden stemt overeen met de specifieke situaties en voorwaarden die als “afwijkingen” gelden uit hoofde van artikel 38 van Richtlijn (EU) 2016/680.

(81)

In die omstandigheden moeten de datum, het tijdstip en de reden van de doorgifte worden gedocumenteerd, evenals de naam van de ontvanger en andere relevante informatie over de ontvanger, en een beschrijving van de doorgegeven persoonsgegevens, en moet dit alles, op verzoek, beschikbaar worden gesteld aan de Information Commissioner (150).

(82)

Artikel 78 van de DPA 2018 regelt het scenario van “subsequent transfers” (verdere doorgiften), namelijk wanneer persoonsgegevens die vanuit het Verenigd Koninkrijk aan een derde land zijn doorgegeven vervolgens aan een ander derde land of een internationale organisatie worden doorgegeven. Ingevolge artikel 78, lid 1, moet de Britse verwerkingsverantwoordelijke die de doorgifte verricht, die doorgifte afhankelijk stellen van de voorwaarde dat de gegevens niet verder worden doorgegeven aan een derde land zonder toestemming van de verwerkingsverantwoordelijke die de doorgifte verricht. Daarnaast zijn er, conform artikel 78, lid 3, en naar analogie van het bepaalde in artikel 35, lid 1, punt e), van Richtlijn (EU) 2016/680, een aantal inhoudelijke vereisten van toepassing indien een dergelijke toestemming vereist is. Meer bepaald moet een bevoegde autoriteit bij de beoordeling of zij al dan niet toestemming zal verlenen voor de doorgifte, verifiëren of de verdere doorgifte noodzakelijk is met het oog op rechtshandhaving en moet zij daarbij een aantal factoren in aanmerking nemen, zoals onder meer a) de ernst van de omstandigheden die tot het verzoek om toestemming hebben geleid, b) het doel waarvoor de persoonsgegevens oorspronkelijk waren doorgegeven en c) de normen voor de bescherming van persoonsgegevens die van toepassing zijn in het derde land of de internationale organisatie waaraan de persoonsgegevens verder zouden worden doorgegeven.

(83)

Wanneer de gegevens die vanuit het Verenigd Koninkrijk verder worden doorgegeven, oorspronkelijk vanuit de Europese Unie werden doorgegeven, gelden er bovendien aanvullende waarborgen.

(84)

Ten eerste is er in artikel 73, lid 1, punt b), van de DPA 2018, net als in artikel 35, lid 1, onder c), van Richtlijn (EU) 2016/680, bepaald dat een lidstaat die de persoonsgegevens oorspronkelijk aan de verwerkingsverantwoordelijke of een andere bevoegde autoriteit heeft verstrekt of op een andere manier beschikbaar heeft gesteld, die lidstaat of een andere persoon in die lidstaat die een bevoegde autoriteit is in de zin van Richtlijn (EU) 2016/680, toestemming moet hebben gegeven voor de doorgifte overeenkomstig het recht van die lidstaat.

(85)

Net als in artikel 35, lid 2, van Richtlijn (EU) 2016/680 is bepaald, is die toestemming echter niet vereist wanneer a) de doorgifte noodzakelijk is met het oog op de voorkoming van een acute en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land of voor de fundamentele belangen van een lidstaat, en b) de toestemming niet tijdig kan worden verkregen. In dat geval moet de voor het geven van de toestemming verantwoordelijke autoriteit daarvan onverwijld in kennis worden gesteld (151).

(86)

Ten tweede geldt dezelfde aanpak in het geval van gegevens die oorspronkelijk vanuit de Europese Unie aan het Verenigd Koninkrijk zijn doorgegeven en die vervolgens door het Verenigd Koninkrijk verder worden doorgegeven aan een derde land, dat ze vervolgens verder zou doorgeven aan een derde land. In dat geval kan de bevoegde autoriteit van het Verenigd Koninkrijk krachtens artikel 78, lid 4, geen toestemming geven voor de laatstbedoelde doorgifte conform artikel 78, lid 1, tenzij de “lidstaat [die de betrokken gegevens oorspronkelijk heeft doorgegeven] of een in die lidstaat gevestigde persoon die een bevoegde autoriteit in de zin van de richtlijn rechtshandhaving is, in overeenstemming met het recht van die lidstaat toestemming heeft gegeven voor de doorgifte.” Deze waarborgen zijn belangrijk omdat zij de autoriteiten van de lidstaten in staat stellen de continuïteit van de bescherming, in overeenstemming met het EU-recht inzake gegevensbescherming, in de hele “doorgifteketen” te waarborgen.

(87)

Dit nieuwe kader voor internationale doorgiften werd van toepassing aan het einde van de overgangsperiode (152). In bijlage 21, punt 10, 11 en 12 (ingevoerd door de DPPC Regulations) is echter bepaald dat bepaalde doorgiften van persoonsgegevens vanaf het einde van de overgangsperiode worden behandeld alsof ze gebaseerd zouden zijn op adequaatheidsbesluiten. Deze doorgiften zijn onder meer doorgiften naar een EU-lidstaat, een EVA-staat, een derde land dat aan het einde van de overgangsperiode onder een adequaatheidsbesluit van de EU valt en het grondgebied van Gibraltar. Bijgevolg kunnen de doorgiften naar deze landen worden voortgezet zoals dat gebeurde vóór de terugtrekking van het Verenigd Koninkrijk uit de Europese Unie. Na afloop van de overgangsperiode moet de Secretary of State binnen vier jaar, d.w.z. uiterlijk eind december 2024, deze adequaatheidsbevindingen beoordelen. Volgens de toelichting die door de Britse autoriteiten werd verstrekt moet de Secretary of State die beoordeling weliswaar uiterlijk eind december 2024 verrichten, maar omvatten de overgangsbepalingen geen vervalbepaling en zullen de relevante overgangsbepalingen niet automatisch buiten werking treden als die beoordeling eind december 2024 niet is afgerond.

(88)

Volgens het beginsel van de verantwoordingsplicht moeten overheidsinstanties die gegevens verwerken passende technische en organisatorische maatregelen nemen om doeltreffend aan hun verplichtingen inzake gegevensbescherming te voldoen, en moeten zij die naleving kunnen aantonen, in het bijzonder jegens de bevoegde toezichthoudende autoriteit.

(89)

Dit beginsel komt tot uitdrukking in artikel 56 van de DPA 2018, waarin een algemene verantwoordingsplicht voor de verwerkingsverantwoordelijke wordt ingevoerd, d.w.z. een verplichting om passende technische en organisatorische maatregelen te nemen om te verzekeren, en te kunnen aantonen, dat de verwerking van persoonsgegevens voldoet aan de voorschriften van deel 3 van de DPA 2018. De toegepaste maatregelen moeten waar nodig worden geëvalueerd en geactualiseerd, en zij moeten, wanneer dit in verhouding staat tot de verwerking, passende beleidsmaatregelen in verband met gegevensbescherming omvatten.

(90)

In overeenstemming met hoofdstuk IV van Richtlijn (EU) 2016/680 wordt in de artikelen 55 tot en met 71 van de DPA 2018 voorzien in verschillende mechanismen om de verantwoordingsplicht te garanderen en verwerkingsverantwoordelijken en verwerkers in staat te stellen aan te tonen dat zij hun verplichtingen nakomen. Van verwerkingsverantwoordelijken wordt met name verlangd dat zij gegevensbeschermingsmaatregelen door ontwerp en door standaardinstellingen toepassen, namelijk om te verzekeren dat de beginselen inzake gegevensbescherming op een doeltreffende manier worden toegepast, dat zij registers bijhouden van alle categorieën van onder hun verantwoordelijkheid vallende verwerkingsactiviteiten (onder meer informatie over de identiteit van de verwerkingsverantwoordelijke, contactgegevens van de functionaris voor gegevensbescherming, de verwerkingsdoeleinden, de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden bekendgemaakt, en een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens) en dat zij deze registers, op verzoek, ter beschikking stellen van de Information Commissioner. De verwerkingsverantwoordelijke en de verwerker moeten voor bepaalde verwerkingsactiviteiten ook logbestanden bijhouden en deze ter beschikking stellen van de Information Commissioner (153). De verwerkingsverantwoordelijken zijn ook specifiek verplicht om samen te werken met de Information Commissioner bij de uitvoering van zijn/haar taken.

(91)

In de DPA 2018 zijn tevens aanvullende vereisten opgenomen voor verwerking die waarschijnlijk een hoog risico voor de rechten en vrijheden van personen zal opleveren. Deze omvatten een verplichting om effectbeoordelingen van de gegevensbescherming te verrichten en vóór de verwerking overleg te plegen met de Information Commissioner indien uit een dergelijke beoordeling blijkt dat de verwerking zou leiden tot een hoog risico voor de rechten en vrijheden van personen (bij ontstentenis van maatregelen om dit risico te beperken).

(92)

De verwerkingsverantwoordelijken moeten voorts een functionaris voor gegevensbescherming aanstellen, tenzij de verwerkingsverantwoordelijke een gerecht of een andere rechterlijke instantie is, tijdens de uitoefening van zijn/haar rechterlijke taken (154). De verwerkingsverantwoordelijke moet ervoor zorgen dat de functionaris voor gegevensbescherming wordt betrokken bij alle aangelegenheden die met de bescherming van persoonsgegevens verband houden, beschikt over de benodigde middelen en toegang krijgt tot persoonsgegevens en verwerkingsactiviteiten en dat deze functionaris zijn/haar taken onafhankelijk kan vervullen. De taken van de functionaris voor gegevensbescherming worden uiteengezet in artikel 71 van de DPA 2018. Daartoe behoren onder meer informeren en adviseren, toezien op de naleving en samenwerken met en als contactpunt fungeren voor de Information Commissioner. Bij de uitvoering van zijn/haar taken moet de functionaris voor gegevensbescherming rekening houden met de risico’s in verband met verwerkingsactiviteiten, met inachtneming van de aard, de reikwijdte, de context en het doel van de verwerking.

(93)

Om ervoor te zorgen dat ook in de praktijk een passend niveau van bescherming van persoonsgegevens wordt gewaarborgd, moet er een onafhankelijke toezichthoudende autoriteit worden opgericht die bevoegd is voor het toezicht op en de handhaving van de naleving van de gegevensbeschermingsvoorschriften. Deze autoriteit moet bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk en onpartijdig optreden.

(94)

In het Verenigd Koninkrijk worden het toezicht op en de handhaving van de naleving van de UK GDPR en de DPA 2018 verricht door de Information Commissioner (155). De Information Commissioner houdt tevens toezicht op de verwerking van persoonsgegevens door bevoegde autoriteiten die vallen onder het toepassingsgebied van deel 3 van de DPA 2018 (156). De Information Commissioner is een zogenoemde Corporation Sole: een afzonderlijke juridische entiteit die bestaat uit een enkele persoon. De Information Commissioner wordt in zijn/haar werkzaamheden bijgestaan door een bureau. Op 31 maart 2020 telde het bureau van de Information Commissioner 768 vaste medewerkers (157). De ondersteunende dienst van de Information Commissioner is het Department for Digital, Culture, Media and Sport (158).

(95)

De onafhankelijkheid van de Commissioner is uitdrukkelijk vastgelegd in artikel 52 van de UK GDPR dat de in artikel 52, leden 1, 2 en 3, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (159) vastgelegde vereisten weerspiegelt. De Commissioner moet volledig onafhankelijk optreden bij de uitvoering van zijn/haar taken en de uitoefening van zijn/haar bevoegdheden die hem/haar overeenkomstig de UK GDPR zijn toegewezen, hij/zij moet vrij blijven van al dan niet rechtstreekse invloed in verband met die taken en bevoegdheden, en hij/zij mag geen instructies van wie dan ook vragen of aanvaarden. De Commissioner mag voorts geen handelingen verrichten die onverenigbaar zijn met zijn/haar taken en hij/zij mag, gedurende zijn/haar ambtstermijn, geen al dan niet bezoldigde beroepswerkzaamheden verrichten die onverenigbaar zijn met zijn/haar taken.

(96)

De voorwaarden voor de aanstelling en het ontslag van de Information Commissioner zijn opgenomen in bijlage 12 bij de DPA 2018. De Information Commissioner wordt op voordracht van de regering door Hare Majesteit aangesteld in het kader van een eerlijk en algemeen vergelijkend onderzoek. De kandidaat moet beschikken over de passende kwalificaties, vaardigheden en competenties. Overeenkomstig de Governance Code on Public Appointments (160) (bestuurscode voor benoemingen bij de overheid) stelt een adviespanel een lijst van geschikte kandidaten op. Voordat de Secretary of State bij het Department for Digital, Culture, Media and Sport een definitieve beslissing neemt, moet het desbetreffende selectiecomité van het parlement voorafgaand aan de aanstelling een doorlichting verrichten. Het standpunt van het comité wordt openbaar gemaakt (161).

(97)

De Information Commissioner bekleedt deze functie gedurende maximaal zeven jaar. De Information Commissioner kan uit zijn/haar functie worden ontheven door Hare Majesteit na een Address van beide kamers van het parlement (162). Er kan alleen een verzoek tot ontslag van de Information Commissioner bij een van de kamers van het parlement worden ingediend indien een minister aan een van die kamers een verslag heeft voorgelegd waarin is vermeld dat hij/zij het bewezen acht dat de Information Commissioner zich schuldig heeft gemaakt aan ernstig wangedrag en/of dat de Commissioner niet langer voldoet aan de voorwaarden die zijn vereist voor de uitvoering van zijn/haar taken (163).

(98)

De financiële middelen voor de Information Commissioner zijn afkomstig uit drie bronnen: i) door verwerkingsverantwoordelijken betaalde bijdragen voor gegevensbescherming die zijn vastgesteld in regulations van een Secretary of State (164) en die goed zijn voor 85 tot 90 % van de jaarlijkse begroting van het Bureau van de Information Commissioner (165); ii) subsidies die door de regering worden betaald aan de Information Commissioner en voornamelijk worden gebruikt om de bedrijfskosten van de Information Commissioner te financieren met betrekking tot taken die geen verband houden met gegevensbescherming (166); iii) vergoedingen die voor de dienstverlening worden aangerekend (167). Dergelijke vergoedingen worden momenteel niet in rekening gebracht.

(99)

In bijlage 13 bij de DPA 2018 zijn de algemene taken van de Information Commissioner in verband met de verwerking van persoonsgegevens die vallen onder het toepassingsgebied van deel 3 van de DPA 2018 vastgelegd. De taken omvatten toezicht op en handhaving van deel 3 van de DPA 2018, voorlichting van het publiek, advisering van het parlement, de regering en andere instellingen over wetgevings- en bestuursrechtelijke maatregelen, de verwerkingsverantwoordelijken en de verwerkers beter bekendmaken met hun verplichtingen, informatie verstrekken aan een betrokkene over de uitoefening van zijn/haar rechten, en onderzoeken uitvoeren. Om de onafhankelijkheid van de rechterlijke macht te waarborgen, is de Information Commissioner niet gemachtigd zijn/haar taken uit te oefenen in verband met de verwerking van persoonsgegevens door een persoon die rechterlijke taken uitoefent, of door een gerecht tijdens de uitoefening van zijn rechterlijke taken. Het toezicht op de rechterlijke macht wordt evenwel door gespecialiseerde organen gewaarborgd, zoals hieronder wordt uiteengezet.

(100)

De Commissioner heeft algemene bevoegdheden tot onderzoek, correctie, autorisatie en advies met betrekking tot de verwerking van persoonsgegevens waarop deel 3 van de DPA 2018 van toepassing is. De Information Commissioner is bevoegd om de verwerkingsverantwoordelijke of de verwerker te melden dat er vermoedelijk een inbreuk op deel 3 wordt gemaakt, om de verwerkingsverantwoordelijke of verwerker te waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk op de bepalingen van deel 3 wordt gemaakt, en de verwerkingsverantwoordelijke of de verwerker een berisping te geven wanneer met bepaalde verwerkingsactiviteiten een inbreuk op bepalingen van deel 3 is gemaakt. De Information Commissioner mag voorts, op eigen initiatief of op verzoek, aan het Britse parlement, de regering of andere instellingen en organen, evenals aan het publiek, adviezen verstrekken over alle aangelegenheden in verband met de bescherming van persoonsgegevens (168).

(101)

Bovendien is de Information Commissioner bevoegd om:

(102)

In de Regulatory Action Policy (beleidsdocument inzake regelgevingsmaatregelen) van het ICO, wordt uiteengezet onder welke omstandigheden de Information Commissioner een informatie-, beoordelings-, handhavings- of boetenota zal uitvaardigen (173). Met een handhavingsnota kan de Information Commissioner vereisten opleggen die hij/zij passend acht om de inbreuk recht te zetten. Met een boetenota wordt de persoon verplicht aan de Information Commissioner het bedrag te betalen dat in die nota is vermeld. Een boetenota kan worden uitgevaardigd wanneer niet is voldaan aan bepaalde bepalingen van de DPA 2018 (174) of kan worden verstrekt aan een verwerkingsverantwoordelijke of verwerker die geen gevolg heeft gegeven aan een informatie-, beoordelings- of handhavingsnota.

(103)

Bij de beslissing of aan een verwerkingsverantwoordelijke of verwerker een boetenota moet worden verstrekt en bij de bepaling van het bedrag van de boete moet de Information Commissioner rekening houden met de elementen die zijn vermeld in artikel 155, lid 3, van de DPA 2018, onder meer de aard en ernst van de inbreuk, de vraag of de inbreuk opzettelijk of uit onachtzaamheid is gepleegd, eventuele maatregelen die de verwerkingsverantwoordelijke of de verwerker heeft genomen om de schade voor betrokkenen te beperken, de mate van verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker (met inachtneming van de technische en organisatorische maatregelen die zij hebben genomen) en eventuele relevante eerdere inbreuken die door de verwerkingsverantwoordelijke of de verwerker werden gemaakt, de categorieën van persoonsgegevens die door de inbreuk zijn getroffen en de vraag of de boete doeltreffend, evenredig en afschrikkend is.

(104)

Het maximumbedrag van de boete die via een boetenota kan worden opgelegd is a) 17 500 000 GBP in verband met het niet naleven van gegevensbeschermingsbeginselen (artikelen 35, 36 en 37, artikel 38, lid 1, artikel 39, lid 1, en artikel 40 van de DPA 2018), transparantieverplichtingen en individuele rechten (artikelen 44, 45, 46, 47, 48, 49, 52 en 53 van de DPA 2018), en de beginselen in verband met de internationale doorgiften van persoonsgegevens (artikelen 73, 75, 76, 77 of 78 van de DPA 2018), en b) 8 700 000 GBP in alle andere gevallen (175). Bij niet-naleving van een informatie-, beoordelings- of handhavingsnota is het maximumbedrag van de boete die via een boetenota kan worden opgelegd 17 500 000 GBP.

(105)

Volgens haar laatste jaarverslagen (2018-2019 (176) en 2019-2020 (177)) heeft de Information Commissioner een aantal onderzoeken verricht naar de verwerking van persoonsgegevens door strafrechtelijke handhavingsinstanties. Zo heeft zij in oktober 2019 een onderzoek uitgevoerd en een advies gepubliceerd over het gebruik door rechtshandhavingsinstanties van gezichtsherkenningstechnologie in openbare ruimten. Het onderzoek richtte zich met name op het gebruik van live gezichtsherkenning door de politie van Zuid-Wales en de Metropolitan Police Service (Londense Politie, MPS). Bovendien heeft de Information Commissioner een onderzoek ingesteld naar de “Gangs matrix” (178) van de MPS en daarbij een reeks ernstige inbreuken op de gegevensbeschermingswet vastgesteld die het vertrouwen van het publiek in de matrix en het gebruik van de gegevens kunnen ondermijnen.

(106)

In november 2018 gaf de Information Commissioner een handhavingsnota af, waarna de MPS de nodige maatregelen trof om de beveiliging en verantwoordingsplicht te versterken en ervoor te zorgen dat de gegevens op evenredige wijze worden gebruikt.

(107)

Een ander voorbeeld van een recente handhavingsmaatregel is de boete van 325 000 GBP die in mei 2018 door de Information Commissioner werd opgelegd aan de Crown Prosecution Service (het Britse openbaar ministerie) omdat dit ongecodeerde dvd’s met opnames van politieverhoren was kwijtgeraakt. Bovendien stelde de Information Commissioner onderzoeken in naar bredere onderwerpen, zoals — in de eerste helft van 2020 — het gebruik van uit mobiele telefoons gehaalde gegevens voor politiedoeleinden en de verwerking van gegevens van slachtoffers door de politie.

(108)

Naast de handhavingsbevoegdheden van de Information Commissioner, kunnen bepaalde inbreuken op de gegevensbeschermingswetgeving strafbare feiten zijn en als zodanig aan strafrechtelijke sancties worden onderworpen (artikel 196 van de DPA 2018). Dit geldt bijvoorbeeld voor het verkrijgen of bekendmaken van persoonsgegevens zonder de toestemming van de verwerkingsverantwoordelijke en voor het bewerkstelligen van de bekendmaking van persoonsgegevens aan een andere persoon zonder de toestemming van de verwerkingsverantwoordelijke (179); het opnieuw identificeerbaar maken van niet-identificeerbare persoonsgegevens zonder de toestemming van de verwerkingsverantwoordelijke die verantwoordelijk is voor het anonimiseren van de persoonsgegevens (180); het opzettelijk hinderen van de Information Commissioner bij de uitoefening van zijn/haar bevoegdheden in verband met de inspectie van persoonsgegevens overeenkomstig internationale verplichtingen (181), het afleggen van valse verklaringen in antwoord op een informatienota, of het vernietigen van informatie in verband met een informatie- of beoordelingsnota (182).

(109)

De Information Commissioner is krachtens artikel 139 van de DPA 2018 tevens verplicht om aan elke kamer van het parlement een algemeen verslag voor te leggen over de uitoefening van zijn/haar taken uit hoofde van die wet (183).

(110)

Het toezicht op de verwerking van persoonsgegevens door rechters en de rechterlijke macht is tweeledig. Wanneer gerechtsambtenaren of rechters geen rechterlijke taken uitoefenen, wordt het toezicht verricht door de Information Commissioner. Wanneer de verwerkingsverantwoordelijke rechterlijke taken uitoefent, kan het ICO zijn toezichthoudende taken niet uitoefenen (184) en wordt het toezicht uitgeoefend door speciale organen. Dit sluit aan bij de aanpak van artikel 32 van Richtlijn (EU) 2016/680.

(111)

In het tweede scenario wordt dat toezicht met name uitgeoefend door het Judicial Data Protection Panel (185) wanneer het de rechtbanken van Engeland en Wales en de gerechten in eerste aanleg (First-tier Tribunals) en in tweede aanleg (Upper Tibunals) van Engeland en Wales betreft. Daarnaast hebben de Lord Chief Justice (hoogste rechter) en de Senior president of Tribunals (eerste voorzitter van de rechtbanken) een Privacy Notice (privacyverklaring) (186) uitgevaardigd waarin wordt uiteengezet hoe de rechtbanken in Engeland en Wales persoonsgegevens verwerken bij de uitoefening van gerechtelijke taken. De rechterlijke macht van Noord-Ierland (187) en van Schotland (188) hebben een soortgelijke verklaring uitgevaardigd.

(112)

In Noord-Ierland heeft de Lord Chief Justice van Noord-Ierland bovendien een rechter van de High Court aangesteld als Data Supervisory Judge (DSJ — toezichthoudend rechter in verband met gegevens) (189). Deze heeft ook richtsnoeren uitgevaardigd voor de Noord-Ierse rechterlijke macht over wat moet worden gedaan in het geval van verlies of mogelijk verlies van gegevens en over de procedure voor de aanpak van de daaruit voortvloeiende problemen (190).

(113)

In Schotland heeft de Lord president (hoogste rechter) een Data Supervisory Judge (toezichthoudend rechter in verband met gegevens) aangesteld die klachten in verband met gegevensbescherming onderzoekt. Dit is uiteengezet in de regels betreffende gerechtelijke klachten, die vergelijkbaar zijn met de regels die voor Engeland en Wales zijn vastgesteld (191).

(114)

Tot slot wordt een van de rechters van de Supreme Court benoemd om toezicht te houden op de gegevensbescherming.

(115)

Om een adequate rechtsbescherming en met name de handhaving van individuele rechten te garanderen, moeten aan de betrokkene daadwerkelijke mogelijkheden om administratief beroep of beroep in rechte in te stellen worden toegekend, met inbegrip van een recht op schadeloosstelling.

(116)

Ten eerste heeft een betrokkene het recht om een klacht in te dienen bij de Information Commissioner, indien de betrokkene van mening is dat de verwerking van hem/haar betreffende persoonsgegevens inbreuk maakt op deel 3 van de DPA 2018 (192). Zoals beschreven in de overwegingen 100 en 109, is de Information Commissioner bevoegd om de naleving van de DPA 2018 door de verwerkingsverantwoordelijke en de verwerker te beoordelen, om van hen te verlangen dat zij de nodige stappen ondernemen of hiervan afzien in het geval van niet-naleving, en om boeten op te leggen.

(117)

Ten tweede voorziet de DPA 2018 in een recht op een voorziening in rechte tegen de Information Commissioner. Indien de Information Commissioner geen vooruitgang boekt (193) met een klacht die door een betrokkene is ingediend, heeft de klager toegang tot een voorziening in rechte aangezien hij/zij de zaak aanhangig kan maken bij een First Tier Tribunal (194) (rechter in eerste aanleg) om de Information Commissioner te bevelen passende stappen te ondernemen om op de klacht te reageren, of om de klager in kennis te stellen van de voortgang van de klacht (195). Bovendien kan eenieder die een van de genoemde nota’s (informatie-, beoordelings-, handhavings- of boetenota’s) van de Information Commissioner heeft gekregen, beroep instellen bij een First Tier Tribunal. Als het Tribunal van oordeel is dat het besluit van de Information Commissioner niet strookt met het recht of dat deze zijn/haar discretionaire bevoegdheid anders had moeten gebruiken, moet het Tribunal dit beroep toewijzen, of de nota of het besluit vervangen door een andere nota of een ander besluit die of dat de Information Commissioner had kunnen afgeven of nemen (196).

(118)

Ten derde kunnen personen uit hoofde van artikel 167 van de DPA 2018 rechtstreeks beroep in rechte instellen tegen verwerkingsverantwoordelijken en verwerkers. Als een betrokkene een zaak aanhangig heeft gemaakt bij een rechtbank en deze van oordeel is dat er een inbreuk is gepleegd op de rechten van de betrokkene in het kader van de gegevensbeschermingswetgeving, kan de rechtbank de verwerkingsverantwoordelijke in verband met de verwerking, of een verwerker die namens die verwerkingsverantwoordelijke optreedt, bevelen de in de rechterlijke beslissing vermelde stappen te ondernemen of hiervan af te zien. Op grond van artikel 169 van de DPA 2018 heeft elke persoon die schade lijdt ten gevolge van een inbreuk op een vereiste van de gegevensbeschermingswetgeving (met inbegrip van deel 3 van de DPA 2018), met uitzondering van de UK GDPR, bovendien recht op een schadevergoeding van de verwerkingsverantwoordelijke of de verwerker, tenzij de verwerkingsverantwoordelijke of de verwerker aantoont dat hij/zij in geen geval verantwoordelijk is voor de schadeveroorzakende gebeurtenis. Schade omvat zowel financieel verlies als niet-financieel verlies, zoals leed.

(119)

Ten vierde kan een persoon die van mening is dat de overheid inbreuk heeft gepleegd op zijn/haar rechten, met inbegrip van het recht op privacy en het recht op gegevensbescherming, een beroep instellen bij de Britse rechtbanken uit hoofde van de Human Rights Act 1998. De verwerkingsverantwoordelijken in de zin van deel 3 van de DPA 2018, d.w.z. de bevoegde autoriteiten, zijn altijd overheidsinstanties (“public authorities”) in de zin van de Human Rights Act 1998. Een persoon die stelt dat een overheidsinstantie heeft gehandeld (of voorstelt te handelen) op een wijze die niet verenigbaar is met een EVRM-recht en die bijgevolg onrechtmatig is op grond van artikel 6, lid 1, van de Human Rights Act 1998, kan een rechtsvordering instellen bij de bevoegde rechtbank, of kan zich beroepen op de desbetreffende rechten in een gerechtelijke procedure wanneer hij/zij slachtoffer is (of zou worden) van de onrechtmatige handeling (197).

(120)

Indien rechters oordelen dat een overheidsinstantie onrechtmatig handelt, kunnen zij binnen de eigen bevoegdheden een compensatie of genoegdoening verschaffen, of een bevel in die zin uitvaardigen, voor zover zij dit rechtvaardig en passend achten (198). Een rechter kan ook verklaren dat een bepaling van het primaire recht onverenigbaar is met een door het EVRM gewaarborgd recht.

(121)

Tot slot kan een persoon die alle nationale rechtsmiddelen heeft uitgeput, een beroep instellen bij het Europees Hof voor de Rechten van de Mens wegens schending van de door het EVRM gewaarborgde rechten.

(122)

Volgens het Britse recht is het toegestaan dat een rechtshandhavingsinstantie gegevens deelt met andere instanties voor andere doeleinden dan de doeleinden waarvoor die gegevens oorspronkelijk werden verzameld (onward sharing genoemd), maar uitsluitend onder bepaalde voorwaarden.

(123)

Naar analogie van het bepaalde in artikel 4, lid 2, van Richtlijn (EU) 2016/680, staat artikel 36, lid 3, van de DPA 2018 toe dat persoonsgegevens die voor een rechtshandhavingsdoel door een bevoegde autoriteit zijn verzameld, verder worden verwerkt (door dezelfde of een andere verwerkingsverantwoordelijke) voor andere rechtshandhavingsdoeleinden, op voorwaarde dat de verwerkingsverantwoordelijke overeenkomstig het recht gemachtigd is deze persoonsgegevens voor een dergelijk doel te verwerken en de verwerking noodzakelijk is en in verhouding staat tot dat andere doel (199). In dit geval zijn alle waarborgen die worden geboden door deel 3 van de DPA 2018 en die hierboven werden geanalyseerd van toepassing op de verwerking door de ontvangende autoriteit.

(124)

In de Britse rechtsorde zijn er verschillende wetten die verder delen uitdrukkelijk toestaan. Zo zijn er met name i) de Digital Economy Act 2017 (wet inzake de digitale economie), op grond waarvan overheidsinstanties gegevens mogen delen voor verschillende doeleinden, bijvoorbeeld als er sprake is van fraude ten nadele van de overheidssector waarbij een overheidsinstantie verlies lijdt of zou kunnen lijden (200) of in het geval van schulden aan een overheidsinstantie of de Kroon (201); ii) de Crime and Courts Act 2013 (wet inzake criminaliteit en rechtbanken), op grond waarvan het delen van informatie met de National Crime Agency (NCA — nationale recherche) (202) is toegestaan in het kader van de bestrijding, het onderzoek en de rechtsvervolging van zware en georganiseerde criminaliteit; iii) de Serious Crime Act 2007 (wet inzake zware criminaliteit), op grond waarvan overheidsinstanties informatie mogen verstrekken aan fraudebestrijdingsorganisaties met het oog op de voorkoming van fraude (203).

(125)

In deze wetten is uitdrukkelijk bepaald dat het delen van gegevens in overeenstemming moet zijn met in de DPA 2018 vastgestelde regels. Bovendien heeft het College of Policing een Authorised Professional Practice on Information Sharing (204) (toegestane beroepspraktijken in verband met het delen van gegevens) uitgevaardigd om de politie bij te staan bij de naleving van haar gegevensbeschermingsverplichtingen uit hoofde van de UK GDPR, de DPA en de Human Rights Act 1998. De vraag of bij het delen van gegevens het toepasselijke rechtskader in verband met de gegevensbescherming is nageleefd, kan uiteraard door de rechter worden getoetst (205).

(126)

Naar analogie van het bepaalde in artikel 9 van Richtlijn (EU) 2016/680, is in de DPA 2018 bovendien vastgesteld dat persoonsgegevens die voor rechtshandhavingsdoeleinden worden verzameld, mogen worden verwerkt voor een doel dat geen rechtshandhavingsdoel is wanneer de verwerking volgens het recht is toegestaan (206). Deze vorm van het delen van gegevens betreft twee scenario’s: 1) wanneer een strafrechtelijke handhavingsinstantie gegevens deelt met een niet-strafrechtelijke handhavingsinstantie die geen inlichtingendienst is (bijvoorbeeld met een financiële autoriteit, een belastingdienst, een mededingingsautoriteit, een jeugdzorginstantie); 2) wanneer een strafrechtelijke handhavingsinstantie gegevens deelt met een inlichtingendienst. In het eerste scenario valt de verwerking van persoonsgegevens onder het toepassingsgebied van de UK GDPR en deel 2 van de DPA 2018. Zoals vermeld in het besluit vastgesteld uit hoofde van Verordening (EU) 2016/679, verschaffen de waarborgen waarin is voorzien bij de UK GDPR en deel 2 van de DPA 2018 een beschermingsniveau dat in wezen overeenkomt met het niveau dat in de Unie wordt verzekerd (207).

(127)

In het tweede scenario, waarbij door een strafrechtelijke handhavingsinstantie verzamelde gegevens worden gedeeld met een inlichtingendienst met het oog op de nationale veiligheid, is het delen van gegevens toegestaan op grond van de Counter Terrorism Act 2008 (CTA 2008 — antiterrorismewet) (208). Krachtens de CTA 2008 mag elke persoon inlichtingen verstrekken aan de inlichtingendiensten met het oog op de uitvoering van de taken van die dienst, onder meer de “nationale veiligheid”.

(128)

Gegevens kunnen slechts onder bepaalde voorwaarden worden gedeeld met het oog op de nationale veiligheid. In dat verband wordt de mogelijkheid voor de inlichtingendiensten om gegevens te verkrijgen door de Intelligence Services Act (wet op de inlichtingendiensten) en de Security Services Act (wet op de veiligheidsdiensten) beperkt tot datgene wat noodzakelijk is om hun wettelijke taken uit te oefenen. Bevoegde autoriteiten die vallen onder het toepassingsgebied van deel 3 van de DPA 2018 en die gegevens wensen te delen met de inlichtingendiensten zullen rekening moeten houden met een aantal factoren/beperkingen, naast de wettelijke taken van die diensten die zijn uiteengezet in de Intelligence Services Act en de Security Services Act (209). In artikel 20 van de CTA 2008 is duidelijk bepaald dat het delen van gegevens uit hoofde van artikel 19 van de CTA 2008 ook altijd moet voldoen aan de gegevensbeschermingswetgeving; dit betekent dat alle beperkingen en vereisten van de DPA 2018 van toepassing zijn. Voorts zijn de rechtshandhavingsinstanties en inlichtingendiensten “public authorities” (overheidsinstanties) in de zin van de Human Rights Act 1998 en moeten zij er derhalve voor zorgen dat zij handelen in overeenstemming met de rechten die uit hoofde van het EVRM, met inbegrip van artikel 8, zijn gewaarborgd. Met andere woorden, deze vereisten houden in dat het delen van gegevens tussen rechtshandhavingsinstanties en inlichtingendiensten altijd moet voldoen aan de gegevensbeschermingswetgeving en het EVRM.

(129)

Voor de verwerking door inlichtingendiensten van persoonsgegevens die zij ontvangen of verkrijgen van rechtshandhavingsinstanties met het oog op de nationale veiligheid gelden een aantal voorwaarden en waarborgen (210). Deel 4 van de DPA 2018 geldt voor elke verwerking door of namens de inlichtingendiensten. Dat deel bevat de belangrijkste gegevensbeschermingsbeginselen (rechtmatigheid, eerlijkheid en transparantie (211); doelbinding (212); gegevensminimalisatie (213); juistheid (214); opslagbeperking (215) en beveiliging (216)), de voorwaarden voor de verwerking van bijzondere gegevenscategorieën (217), de rechten van betrokkenen (218), het vereiste dat gegevensbescherming door ontwerp wordt toegepast (219) en de regeling voor de internationale doorgiften van persoonsgegevens (220).

(130)

Bovendien voorziet artikel 110 van de DPA 2018 in een vrijstelling van sommige bepalingen van deel 4 van de DPA 2018 wanneer een dergelijke vrijstelling vereist is om de nationale veiligheid te waarborgen. In artikel 110, lid 2, van de DPA 2018 worden de bepalingen opgesomd waarvan kan worden afgeweken. Het omvat gegevensbeschermingsbeginselen (met uitzondering van het rechtmatigheidsbeginsel), de rechten van betrokkenen, de verplichting om de Information Commissioner in kennis te stellen van een inbreuk in verband met persoonsgegevens, de inspectiebevoegdheden van de Information Commissioner op grond van internationale verplichtingen, bepaalde handhavingsbevoegdheden van de Information Commissioner, de bepalingen die bepaalde inbreuken op de gegevensbeschermingswetgeving strafbaar stellen, en de bepalingen in verband met bijzondere verwerkingsdoeleinden, zoals journalistieke, academische of artistieke doeleinden. Van deze afwijking kan gebruik worden gemaakt op basis van een analyse per geval (221). Zoals toegelicht door de Britse autoriteiten en bevestigd door de rechtspraak van Britse rechtbanken moet “de verwerkingsverantwoordelijke rekening houden met de daadwerkelijke gevolgen voor de nationale veiligheid of defensie als hij/zij de desbetreffende gegevensbeschermingsbepaling zou naleven; hij moet ook nagaan of hij/zij redelijkerwijs de normale regel zou kunnen naleven zonder afbreuk te doen aan de nationale veiligheid of defensie” (222). Het ICO houdt toezicht op de correcte toepassing van de vrijstelling (223).

(131)

In verband met de mogelijkheid om de bovenvermelde rechten te beperken met het oog op de bescherming van de “nationale veiligheid” wordt in artikel 79 van de DPA 2018 bovendien bepaald dat een verwerkingsverantwoordelijke een aanvraag mag indienen voor een certificaat dat ondertekend is door een minister of door de Attorney General, waarin wordt verklaard dat een beperking van die rechten een noodzakelijke en evenredige maatregel is, of was, voor de bescherming van de nationale veiligheid (224). De Britse regering heeft richtsnoeren uitgevaardigd over de nationaleveiligheidscertificaten uit hoofde van de DPA 2018, waarin met name wordt benadrukt dat elke beperking van de rechten van betrokkenen met het oog op de bescherming van de nationale veiligheid evenredig en noodzakelijk moet zijn (225). Alle nationale veiligheidscertificaten moeten op de website van het ICO worden gepubliceerd (226).

(132)

Het certificaat moet geldig zijn voor een vaste periode van maximaal vijf jaar om ervoor te zorgen dat het regelmatig door de uitvoerende macht wordt geëvalueerd (227). In een certificaat moeten de persoonsgegevens of categorieën van persoonsgegevens zijn vermeld waarvoor de vrijstelling geldt, evenals de bepalingen van de DPA 2018 waarop de vrijstelling van toepassing is (228).

(133)

Het is belangrijk op te merken dat nationaleveiligheidscertificaten geen extra grond vormen voor het beperken van gegevensbeschermingsrechten om redenen van nationale veiligheid. De verwerkingsverantwoordelijke of de verwerker kan zich met andere woorden uitsluitend op een certificaat beroepen wanneer hij/zij het noodzakelijk acht om een beroep te doen op de vrijstelling inzake de nationale veiligheid, die per geval moet worden aangevraagd. Zelfs als een nationaleveiligheidscertificaat van toepassing is op de betreffende aangelegenheid, kan het ICO onderzoeken of het al of niet gerechtvaardigd was in een specifiek geval een beroep te doen op de vrijstelling inzake de nationale veiligheid (229).

(134)

Elke persoon die directe gevolgen ondervindt van de afgifte van het certificaat kan bij het Upper Tribunal (230) (de rechter in tweede aanleg) een beroep instellen tegen het certificaat (231) of, wanneer in het certificaat gegevens worden geïdentificeerd door middel van een algemene beschrijving, de toepassing van het certificaat op specifieke gegevens aanvechten (232).

(135)

De rechter in tweede aanleg zal het besluit om een certificaat af te geven beoordelen en nagaan of er al dan niet redelijke gronden waren om het certificaat af te geven (233). De rechter kan een hele reeks aangelegenheden in overweging nemen, onder meer de noodzakelijkheid, evenredigheid en rechtmatigheid, rekening houdend met de gevolgen voor de rechten van betrokkenen en een afweging van de noodzaak om de nationale veiligheid te waarborgen. Bijgevolg kan de rechter tot de conclusie komen dat het certificaat niet van toepassing is op specifieke persoonsgegevens die het onderwerp zijn van het beroep (234).

(136)

Een andere reeks mogelijke beperkingen zijn de beperkingen die ingevolge bijlage 11 bij de DPA 2018 van toepassing zijn op sommige bepalingen van deel 4 van de DPA 2018 (235) en waarbij andere belangrijke doelstellingen van algemeen openbaar belang of beschermde belangen, zoals de parlementaire onschendbaarheid, de vertrouwelijkheid van de communicatie tussen advocaat en cliënt, het voeren van gerechtelijke procedures of de paraatheid van de strijdkrachten, worden gewaarborgd. De toepassing van deze bepalingen is ofwel vrijgesteld voor bepaalde gegevenscategorieën (“class based”, op grond van categorie), ofwel vrijgesteld voor zover de toepassing van die bepalingen het beschermde belang zou kunnen schaden (“prejudice based”, op grond van schade) (236). Op vrijstellingen op grond van schade kan uitsluitend een beroep worden gedaan als de toepassing van de vermelde gegevensbeschermingsbepaling het betrokken specifieke belang zou kunnen schaden. Het gebruik van een vrijstelling moet dan ook altijd worden gerechtvaardigd door te verwijzen naar de desbetreffende schade die zich in het afzonderlijke geval zou kunnen voordoen. Op vrijstellingen op grond van categorie kan uitsluitend een beroep worden gedaan in verband met de specifieke, strikt afgebakende gegevenscategorie waarvoor de vrijstelling wordt verleend. Deze lijken qua doel en effect sterk op veel van de uitzonderingen op de UK GDPR (uit hoofde van bijlage 2 bij de DPA 2018) die, op hun beurt, een weerspiegeling zijn van de uitzonderingen van artikel 23 AVG.

(137)

Uit het bovenstaande volgt dat de toepasselijke wettelijke bepalingen van het Verenigd Koninkrijk, zoals uitgelegd door de rechtbanken en de Information Commissioner, beperkingen en voorwaarden bevatten aan de hand waarvan wordt gegarandeerd dat deze vrijstellingen en beperkingen binnen de grenzen blijven van wat noodzakelijk en evenredig is om de nationale veiligheid te beschermen.

(138)

Op de verwerking van persoonsgegevens door de inlichtingendiensten uit hoofde van deel 4 van de DPA 2018 wordt toezicht gehouden door de Information Commissioner (237).

(139)

In bijlage 13 bij de DPA 2018 zijn de algemene taken van de Information Commissioner in verband met de verwerking van persoonsgegevens door inlichtingendiensten uit hoofde van deel 4 van de DPA 2018 vastgelegd. De taken omvatten, maar zijn niet beperkt tot, toezicht op en handhaving van deel 4 van de DPA 2018, voorlichting van het publiek, adviseren van het parlement, de regering en andere instellingen over wetgevings- en bestuursrechtelijke maatregelen, de verwerkingsverantwoordelijken en de verwerkers beter bekendmaken met hun verplichtingen, informatie verstrekken aan een betrokkene over de uitoefening van zijn/haar rechten, en onderzoeken uitvoeren.

(140)

Wat deel 3 van de DPA 2018 betreft, heeft de Information Commissioner de bevoegdheid aan verwerkingsverantwoordelijken te melden dat er vermoedelijk een inbreuk is gepleegd, hen te waarschuwen dat een verwerking waarschijnlijk een inbreuk vormt op de regels, en berispingen te geven wanneer de inbreuk is bevestigd. De Information Commissioner kan tevens handhavings- en boetenota’s afgeven voor inbreuken op bepaalde bepalingen van de wet (238). Anders dan voor andere delen van de DPA 2018 kan de Information Commissioner evenwel geen beoordelingsnota afgeven aan een nationale veiligheidsdienst (239).

(141)

Bovendien voorziet artikel 110 van de DPA 2018 in een uitzondering op de uitoefening van bepaalde bevoegdheden van de Information Commissioner wanneer dit vereist is om de nationale veiligheid te waarborgen. Dit omvat de bevoegdheid van de Information Commissioner om nota’s uit hoofde van de DPA af te geven, van welke aard ook (informatie-, beoordelings-, handhavings- en boetenota’s), de bevoegdheid om inspecties te verrichten overeenkomstig internationale verplichtingen, de bevoegdheid tot toegang en inspectie, en de regels inzake strafbare feiten (240). Zoals uiteengezet in overweging 136, zijn deze uitzonderingen uitsluitend per geval van toepassing en moeten zij noodzakelijk en evenredig zijn. De toepassing van deze uitzonderingen kan door de rechter worden getoetst (241).

(142)

Het ICO en de Britse inlichtingendiensten hebben een memorandum van overeenstemming (242) ondertekend waarin een kader voor samenwerking op een aantal gebieden is vastgesteld, onder meer in verband met nota’s betreffende gegevensinbreuken en de behandeling van klachten van betrokkenen. In dit kader is met name bepaald dat het ICO bij ontvangst van een klacht zal beoordelen of er terecht een beroep is gedaan op een uitzondering in verband met de nationale veiligheid. Vragen van het ICO in het kader van het onderzoek van individuele klachten moeten binnen twintig werkdagen worden beantwoord met behulp van de betrokken richtsnoeren van de Britse regering inzake nationaleveiligheidscertificaten uit hoofde van de Data Protection Act, en via passende beveiligde kanalen als er sprake is van gerubriceerde informatie. Van april 2018 tot heden heeft het ICO 21 klachten van personen over inlichtingendiensten ontvangen. Elke klacht werd beoordeeld en de uitkomst werd aan de betrokkene meegedeeld (243).

(143)

Daarnaast oefent het Intelligence and Security Committee (ISC — Inlichtingen- en veiligheidscomité) parlementair toezicht uit op de gegevensverwerking door inlichtingendiensten. Dit comité is opgericht uit hoofde van de Justice and Security Act 2013 (JSA 2013 — wet justitie en veiligheid) (244). Bij deze wet wordt het ISC ingesteld als een comité van het Britse parlement. Het ISC is samengesteld uit leden die tot een van de kamers van het parlement behoren en die aangesteld zijn door de premier na overleg met de leider van de oppositie (245). Het ISC moet aan het parlement een jaarverslag voorleggen over de uitoefening van zijn taken, en andere verslagen die het passend acht (246).

(144)

Sinds 2013 beschikt het ISC over ruimere bevoegdheden, waaronder het toezicht op de operationele activiteiten van de veiligheidsdiensten. Krachtens artikel 2 van de JSA 2013 heeft het ISC tot taak toezicht te houden op de uitgaven, de administratie, het beleid en de activiteiten van de nationale veiligheidsdiensten. In de JSA 2013 is bepaald dat het ISC onderzoeken naar operationele aangelegenheden mag uitvoeren wanneer deze geen betrekking hebben op lopende operaties (247). In het memorandum van overeenstemming tussen de premier en het ISC (248) zijn nadere bijzonderheden opgenomen over de elementen waarmee rekening moet worden gehouden wanneer wordt bekeken of een activiteit al dan niet deel uitmaakt van een lopende operatie (249). Het ISC kan door de premier ook worden verzocht lopende operaties te onderzoeken en kan informatie beoordelen die vrijwillig door de diensten wordt verstrekt.

(145)

Krachtens bijlage 1 bij de JSA 2013 mag het ISC het hoofd van elk van de drie inlichtingendiensten vragen om informatie te verstrekken. De betrokken dienst moet die informatie beschikbaar stellen, tenzij de Secretary of State daar een veto tegen uitspreekt (250). Volgens de Britse autoriteiten wordt er in de praktijk zeer weinig informatie achtergehouden voor het ISC (251).

(146)

Wat het verhaalsrecht betreft, kan een betrokkene eerst en vooral uit hoofde van artikel 165, lid 2, van de DPA 2018 een klacht indienen bij het ICO indien hij/zij van mening is dat er in verband met de hem/haar betreffende persoonsgegevens een inbreuk heeft plaatsgevonden op deel 4 van de DPA 2018, met inbegrip van misbruik van de vrijstellingen en beperkingen in verband met de nationale veiligheid.

(147)

Bovendien hebben personen krachtens deel 4 van de DPA 2018 het recht de High Court (of de Court of Session in Schotland) te verzoeken om een beschikking die de verwerkingsverantwoordelijke ertoe verplicht het recht op inzage in gegevens (252), het recht om bezwaar te maken tegen de verwerking (253) en het recht op rectificatie of wissing te eerbiedigen.

(148)

Personen hebben tevens het recht om vergoeding te vorderen van de schade die zij hebben geleden als gevolg van niet-naleving van een vereiste in deel 4 van de DPA 2018 door de verwerkingsverantwoordelijke of een verwerker (254). Schade omvat zowel financieel verlies als niet-financieel verlies, zoals leed (255).

(149)

Tot slot kan een persoon een klacht indienen bij het Investigatory Powers Tribunal (IPT) voor het handelen van of namens de Britse inlichtingendiensten (256). Het IPT is een rechterlijke instantie die is opgericht bij de Regulation of Investigatory Powers Act 2000 voor Engeland, Wales en Noord-Ierland en de Regulation of Investigatory Powers (Scotland) Act 2000 voor Schotland (RIPA 2000) en is onafhankelijk van de uitvoerende macht (257). Overeenkomstig artikel 65 van de RIPA 2000 worden de leden van het IPT door Hare Majesteit benoemd voor een periode van vijf jaar.

(150)

Een lid van het Tribunal kan uit zijn/haar functie worden ontheven door Hare Majesteit na een Address (258) van beide kamers van het parlement (259).

(151)

Om zich tot het IPT te wenden (“standing requirement”, procesbevoegdheidsvereiste), moeten personen overeenkomstig artikel 65 van de RIPA 2000 ervan overtuigd zijn i) dat het gedrag van een inlichtingendienst heeft plaatsgevonden met betrekking tot henzelf, hun eigendom, mededelingen die door of naar hen zijn verzonden of voor hen bedoeld waren, of hun gebruik van een postdienst, telecommunicatiedienst of telecommunicatiesysteem (260), en ii) dat het gedrag heeft plaatsgevonden in betwistbare omstandigheden (“challengeable circumstances”) (261) of is uitgevoerd door of namens de inlichtingendiensten (262). Aangezien het criterium inzake deze “overtuiging” ruim is opgevat (263), worden er voor het aanhangig maken van een zaak voor het Tribunal relatief lage eisen (“standing requirements”) gesteld.

(152)

Wanneer het Tribunal een bij hem ingediende klacht behandelt, is het zijn plicht te onderzoeken of de personen tegen wie in de klacht een beschuldiging is geuit, jegens de klager zijn opgetreden en om onderzoek te doen naar de autoriteit die de inbreuken zou hebben gepleegd en na te gaan of het vermeende gedrag heeft plaatsgevonden (264). Wanneer een zaak aan dat Tribunal wordt voorgelegd, moet het dezelfde beginselen hanteren om in die zaak tot een vaststelling te komen als de beginselen die door een rechter zouden worden toegepast bij een verzoek om rechterlijke toetsing (265).

(153)

Het Tribunal moet de klager meedelen of er al dan niet een vaststelling in zijn/haar voordeel is gedaan (266). Het Tribunal heeft krachtens artikel 67, leden 6 en 7, van de RIPA 2000 de bevoegdheid om een uitspraak in kort geding te doen en om vergoeding toe te kennen of andere beschikkingen uit te vaardigen die het passend acht (267). Overeenkomstig artikel 67A van de RIPA 2000 kan tegen een vaststelling van het Tribunal beroep worden ingesteld, afhankelijk van toestemming van het Tribunal of de relevante beroepsinstantie.

(154)

Personen kunnen meer bepaald een vordering instellen — en verhaal halen — bij het IPT wanneer zij van mening zijn dat een overheidsinstantie heeft gehandeld (of voorstelt te handelen) op een wijze die onverenigbaar is met de EVRM-rechten, met inbegrip van het recht op privacy en gegevensbescherming, en die bijgevolg onrechtmatig is op grond van artikel 6, lid 1, van de Human Rights Act 1998. Aan het IPT is exclusieve rechtsbevoegdheid verleend voor alle vorderingen in verband met de Human Rights Act waar het de inlichtingendiensten betreft. Dit betekent volgens de High Court het volgende: “de vraag of er inbreuk is gemaakt op de Human Rights Act met betrekking tot de feiten van een bepaalde zaak kan in principe worden gesteld aan en beantwoord door een onafhankelijke rechtbank die toegang kan hebben tot al het relevante materiaal, met inbegrip van geheim materiaal. […] Wij houden in dit verband ook rekening met het feit dat hiermee tegen het IPT zelf beroep kan worden ingesteld bij een geschikte beroepsinstantie (in Engeland en Wales zou dat de Court of Appeal zijn); en dat de Supreme Court onlangs heeft besloten dat het Tribunal in principe vatbaar is voor rechterlijke toetsing: zie R (Privacy International) v Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219” (268). Indien het IPT oordeelt dat een overheidsinstantie onrechtmatig handelt, kan het binnen de eigen bevoegdheden een compensatie of genoegdoening verschaffen, of een bevel in die zin uitvaardigen, voor zover het dat rechtvaardig en passend acht (269).

(155)

Een persoon die alle nationale rechtsmiddelen heeft uitgeput, kan een beroep instellen bij het Europees Hof voor de Rechten van de Mens wegens schending van de door het EVRM gewaarborgde rechten, onder meer het recht op privacy en gegevensbescherming.

(156)

Uit het bovenstaande volgt dat het delen door Britse strafrechtelijke handhavingsinstanties van gegevens in het kader van dit besluit met andere overheidsinstanties, onder meer inlichtingendiensten, onderworpen is aan beperkingen en voorwaarden die garanderen dat dat verder delen noodzakelijk en evenredig is en onderworpen is aan specifieke gegevensbeschermingswaarborgen uit hoofde van de DPA 2018. Bovendien wordt op de verwerking van gegevens door de betrokken overheidsinstanties toezicht uitgeoefend door onafhankelijke instanties en hebben de betrokken personen toegang tot doeltreffende voorzieningen in rechte.

(157)

De Commissie is van mening dat met deel 3 van de DPA 2018 voor persoonsgegevens die door bevoegde autoriteiten in de Unie met het oog op de handhaving van het strafrecht worden doorgegeven aan bevoegde autoriteiten in het Verenigd Koninkrijk, een beschermingsniveau verzekerd is dat in wezen overeenkomt met het beschermingsniveau dat door Richtlijn (EU) 2016/680 wordt gewaarborgd.

(158)

Bovendien is de Commissie van mening dat, als geheel genomen, de toezichtsmechanismen en de verhaalsmogelijkheden waarin het Britse recht voorziet, het mogelijk maken om inbreuken in de praktijk vast te stellen en te bestraffen, en de betrokkene rechtsmiddelen bieden om toegang te krijgen tot de hem/haar betreffende persoonsgegevens en, uiteindelijk, om deze gegevens te laten rectificeren of wissen.

(159)

Op grond van de beschikbare informatie over de rechtsorde van het Verenigd Koninkrijk is de Commissie tot slot van mening dat elke inmenging in de grondrechten van personen van wie persoonsgegevens vanuit de Europese Unie aan het Verenigd Koninkrijk worden doorgegeven, door Britse overheidsinstanties met het oog op het algemeen belang, ook in het kader van het delen van persoonsgegevens tussen rechtshandhavingsinstanties en andere overheidsinstanties zoals nationale veiligheidsagentschappen, beperkt zal zijn tot hetgeen strikt noodzakelijk is om het desbetreffende legitieme doel te bereiken, en dat er tegen dergelijke inmenging doeltreffende rechtsbescherming bestaat.

(160)

Er moet derhalve worden besloten dat het Verenigd Koninkrijk een adequaat beschermingsniveau in de zin van artikel 36, lid 2, van Richtlijn (EU) 2016/680 waarborgt, uitgelegd in het licht van het Handvest van de grondrechten.

(161)

Deze conclusie is gebaseerd op de relevante interne regeling van het Verenigd Koninkrijk en zijn internationale verplichtingen, in het bijzonder de toetreding tot het Europees Verdrag voor de rechten van de mens en de onderwerping aan de jurisdictie van het Europees Hof voor de Rechten van de Mens. De voortgezette nakoming van dergelijke internationale verplichtingen is derhalve een zeer belangrijk aspect van de beoordeling waarop dit besluit is gebaseerd.

(162)

De lidstaten en hun organen moeten de maatregelen nemen die noodzakelijk zijn om te voldoen aan de handelingen van de instellingen van de Unie, aangezien deze laatste geacht worden rechtsgeldig te zijn en bijgevolg rechtsgevolgen in het leven roepen zolang zij niet zijn verlopen, ingetrokken, nietig verklaard in een beroep tot nietigverklaring of ongeldig verklaard na een prejudiciële verwijzing of op een exceptie van onwettigheid.

(163)

Daarom is een krachtens artikel 36, lid 3, van Richtlijn (EU) 2016/680 vastgesteld adequaatheidsbesluit van de Commissie bindend voor alle organen van de lidstaten waaraan het is gericht, met inbegrip van hun onafhankelijke toezichthoudende autoriteiten. Tijdens de periode waarin dit besluit van toepassing is, mogen doorgiften van een verwerkingsverantwoordelijke of verwerker in de Europese Unie aan verwerkingsverantwoordelijken of verwerkers in het Verenigd Koninkrijk met name plaatsvinden zonder dat daarvoor verdere toestemming vereist is.

(164)

Tegelijkertijd moet erop worden gewezen dat, overeenkomstig artikel 47, lid 5, van Richtlijn (EU) 2016/680 en zoals uitgelegd door het Hof van Justitie in het arrest in de zaak Schrems, de nationale wetgever, wanneer een nationale gegevensbeschermingsautoriteit, ook bij een klacht, de verenigbaarheid van een adequaatheidsbesluit van de Commissie met het grondrecht van de persoon op privacy en gegevensbescherming in twijfel trekt, moet voorzien in een rechtsmiddel waarmee deze grieven kunnen worden voorgelegd aan een nationale rechter, die eventueel een prejudiciële verwijzing naar het Hof van Justitie moet doen (270).

(165)

Op grond van artikel 36, lid 4, van Richtlijn (EU) 2016/680 moet de Commissie na de vaststelling van dit besluit doorlopend toezicht houden op relevante ontwikkelingen in het Verenigd Koninkrijk om te beoordelen of het besluit nog steeds een in essentie overeenkomend beschermingsniveau verzekert. Dat toezicht is in dit geval bijzonder belangrijk aangezien het Verenigd Koninkrijk een nieuw gegevensbeschermingsstelsel zal beheren, toepassen en handhaven, dat niet langer aan het Unierecht onderworpen is en dat wellicht nog zal evolueren. In dat verband zal bijzondere aandacht worden besteed aan de toepassing in de praktijk van de voorschriften van het Verenigd Koninkrijk inzake de doorgifte van persoonsgegevens aan derde landen, onder meer door het sluiten van internationale overeenkomsten, en aan de gevolgen die dit kan hebben voor het beschermingsniveau dat wordt geboden voor gegevens die uit hoofde van dit besluit worden doorgegeven; alsmede aan de doeltreffendheid van de uitoefening van individuele rechten op de onder dit besluit vallende gebieden. De Commissie zal bij haar toezicht onder meer rekening houden met de ontwikkelingen in de jurisprudentie en met het toezicht door het ICO en andere onafhankelijke instanties.

(166)

Om dit toezicht te vergemakkelijken, moeten de Britse autoriteiten de Commissie onverwijld en regelmatig in kennis te stellen van elke materiële wijziging van de Britse rechtsorde die van invloed is op het rechtskader dat het onderwerp van dit besluit vormt, alsook van veranderingen in de in dit besluit beoordeelde praktijken in verband met de verwerking van persoonsgegevens, met name met betrekking tot de in overweging 165 genoemde elementen.

(167)

Teneinde de Commissie in staat te stellen haar toezichthoudende taak doeltreffend uit te voeren, moeten de lidstaten de Commissie bovendien in kennis stellen van relevante maatregelen van de nationale gegevensbeschermingsautoriteiten, met name inzake vragen of klachten van betrokkenen uit de EU betreffende de doorgifte van persoonsgegevens vanuit de Europese Unie aan bevoegde autoriteiten in het Verenigd Koninkrijk. Voorts moet de Commissie worden geïnformeerd over eventuele aanwijzingen dat de maatregelen van de Britse overheidsinstanties die verantwoordelijk zijn voor de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten, met inbegrip van toezichthoudende instanties, niet het vereiste beschermingsniveau waarborgen.

(168)

Wanneer uit beschikbare informatie, in het bijzonder uit informatie die voortvloeit uit het toezicht op dit besluit of informatie die is verstrekt door de autoriteiten van het Verenigd Koninkrijk of de lidstaten, blijkt dat het Verenigd Koninkrijk mogelijk niet langer een adequaat beschermingsniveau verzekert, moet de Commissie de bevoegde Britse autoriteiten daarvan onverwijld in kennis stellen en vragen om binnen een welbepaalde termijn, die niet meer dan drie maanden mag bedragen, passende maatregelen te nemen. Indien nodig kan deze termijn met een bepaalde periode worden verlengd, rekening houdend met de aard van de betrokken kwestie en/of van de te nemen maatregelen.

(169)

Indien de bevoegde autoriteiten van het Verenigd Koninkrijk die maatregelen bij het verstrijken van die termijn niet hebben genomen of anderszins niet aannemelijk kunnen maken dat dit besluit op een passend beschermingsniveau gebaseerd blijft, leidt de Commissie de in artikel 58, lid 2, van Richtlijn (EU) 2016/680 bedoelde procedure in teneinde dit besluit geheel of gedeeltelijk te schorsen of in te trekken.

(170)

Als alternatief zal de Commissie deze procedure inleiden met het oog op een wijziging van dit besluit, met name door voor gegevensdoorgiften aanvullende voorwaarden te stellen of door de reikwijdte van de vaststelling van adequaatheid te beperken tot gegevensdoorgiften waarvoor een adequaat beschermingsniveau gewaarborgd blijft.

(171)

De Commissie zal om naar behoren gerechtvaardigde dwingende urgente redenen gebruikmaken van de mogelijkheid om, overeenkomstig de in artikel 58, lid 3, van Richtlijn (EU) 2016/680 bedoelde procedure, onmiddellijk toepasselijke uitvoeringshandelingen tot schorsing, intrekking of wijziging van het besluit vast te stellen.

(172)

Er moet rekening worden gehouden met het feit dat het Verenigd Koninkrijk, zodra de in het Terugtrekkingsakkoord vastgelegde overgangsperiode is verstreken en de tijdelijke bepaling op grond van artikel 782 van de Handels- en samenwerkingsovereenkomst tussen de EU en het Verenigd Koninkrijk niet langer van toepassing is, een nieuwe gegevensbeschermingsregeling zal beheren, toepassen en handhaven ten opzichte van de regeling die gold toen het Verenigd Koninkrijk nog gebonden was door het Unierecht. Dit kan met name amendementen of wijzigingen van het in dit besluit beoordeelde gegevensbeschermingskader en andere relevante ontwikkelingen met zich meebrengen.

(173)

Daarom is het passend te bepalen dat dit besluit van toepassing zal zijn gedurende een periode van vier jaar vanaf de inwerkingtreding ervan.

(174)

Indien uit bepaalde uit het toezicht op dit besluit voortvloeiende informatie blijkt dat de bevindingen in verband met de adequaatheid van het in het Verenigd Koninkrijk geboden beschermingsniveau nog steeds feitelijk en juridisch gerechtvaardigd zijn, moet de Commissie uiterlijk zes maanden voordat dit besluit niet meer van toepassing zal zijn, de procedure inleiden tot wijziging van dit besluit door verlenging van de toepassingsduur ervan, in beginsel met een bijkomende periode van vier jaar. Elke uitvoeringshandeling tot wijziging van dit besluit moet worden vastgesteld overeenkomstig de in artikel 58, lid 2, van Richtlijn (EU) 2016/680 bedoelde procedure.

(175)

Het Europees Comité voor gegevensbescherming heeft zijn advies (271) gepubliceerd, waarmee bij het opstellen van dit besluit rekening is gehouden.

(176)

De in dit besluit vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 58 van Richtlijn (EU) 2016/680 ingestelde comité.

(177)

Overeenkomstig artikel 6 bis van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, dat gehecht is aan het Verdrag betreffende de Europese Unie (VEU) en het Verdrag betreffende de werking van de Europese Unie (VWEU), is Ierland niet gebonden door de in Richtlijn (EU) 2016/680 vastgestelde regels, en bijgevolg dit uitvoeringsbesluit, in verband met de verwerking van persoonsgegevens door de lidstaten bij de uitvoering van activiteiten onder het toepassingsgebied van de hoofdstukken 4 en 5 van titel V van het derde deel VWEU, wanneer Ierland niet gebonden is door de regels betreffende de vormen van justitiële samenwerking in strafzaken of van politiële samenwerking in het kader waarvan de op grond van artikel 16 VWEU vastgestelde bepalingen moeten worden nageleefd. Uit hoofde van Uitvoeringsbesluit (EU) 2020/1745 van de Raad (272) moet Richtlijn (EU) 2016/680 bovendien vanaf 1 januari 2021 voorlopig in werking worden gesteld en toegepast in Ierland. Ierland is derhalve gebonden door dit uitvoeringsbesluit, onder dezelfde voorwaarden die gelden voor de toepassing van Richtlijn (EU) 2016/680 in Ierland zoals uiteengezet in Uitvoeringsbesluit (EU) 2020/1745, met betrekking tot de bepalingen van het Schengenacquis waaraan het deelneemt.

(178)

Overeenkomstig de artikelen 2 en 2 bis van Protocol nr. 22 betreffende de positie van Denemarken, dat gehecht is aan het VEU en het VWEU, is Denemarken niet gebonden door de in Richtlijn (EU) 2016/680 vastgestelde regels, en derhalve dit uitvoeringsbesluit, noch aan de toepassing ervan in verband met de verwerking van persoonsgegevens door de lidstaten bij de uitvoering van activiteiten onder het toepassingsgebied van de hoofdstukken 4 en 5 van titel V van het derde deel VWEU. Aangezien Richtlijn (EU) 2016/680 echter voortbouwt op het Schengenacquis, heeft Denemarken, overeenkomstig artikel 4 van bedoeld protocol, op 26 oktober 2016 kennis gegeven van zijn besluit om Richtlijn (EU) 2016/680 uit te voeren. Denemarken is daarom krachtens internationaal recht verplicht dit uitvoeringsbesluit uit te voeren.

(179)

Wat IJsland en Noorwegen betreft, houdt dit uitvoeringsbesluit een ontwikkeling in van de bepalingen van het Schengenacquis als bedoeld in de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop deze twee staten worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (273).

(180)

Wat Zwitserland betreft, houdt dit uitvoeringsbesluit een ontwikkeling in van de bepalingen van het Schengenacquis als bedoeld in de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (274).

(181)

Wat Liechtenstein betreft, houdt dit uitvoeringsbesluit een ontwikkeling in van de bepalingen van het Schengenacquis als bedoeld in het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (275),