(1)

Bij Verordening (EU) 2016/679 zijn de voorschriften vastgesteld voor de doorgifte van persoonsgegevens door verwerkingsverantwoordelijken of verwerkers in de Europese Unie aan derde landen en internationale organisaties, voor zover die doorgiften onder het toepassingsgebied ervan vallen. De voorschriften inzake internationale doorgiften van gegevens zijn vastgelegd in hoofdstuk V van die verordening, dat wil zeggen in de artikelen 44 tot en met 50. Hoewel het verkeer van persoonsgegevens van en naar landen buiten de Europese Unie noodzakelijk is voor de ontwikkeling van de internationale samenwerking en het grensoverschrijdende handelsverkeer, mogen doorgiften aan derde landen niet ten koste gaan van het niveau van de bescherming van de persoonsgegevens in de Europese Unie (2).

(2)

Op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 kan de Commissie door middel van een uitvoeringshandeling besluiten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een passend beschermingsniveau waarborgt. Onder deze voorwaarde kan de doorgifte van persoonsgegevens aan een derde land plaatsvinden zonder dat verdere toestemming noodzakelijk is, zoals bepaald in artikel 45, lid 1, en overweging 103 van die verordening.

(3)

Zoals bepaald in artikel 45, lid 2, van Verordening (EU) 2016/679 moet de vaststelling van een adequaatheidsbesluit berusten op een grondige analyse van de rechtsorde van het derde land, die zowel de voorschriften betreft die gelden voor de importeurs van gegevens en de beperkingen en waarborgen, als de toegang van overheidsinstanties tot persoonsgegevens. Bij haar beoordeling moet de Commissie nagaan of het betrokken derde land een beschermingsniveau waarborgt dat “in feite overeenkomend” is met het niveau dat in de Europese Unie wordt verzekerd (overweging 104 van Verordening (EU) 2016/679). De norm aan de hand waarvan wordt beoordeeld of het niveau “in feite overeenkomend” is, is de norm die in de Uniewetgeving, en met name in Verordening (EU) 2016/679, en de jurisprudentie van het Hof van Justitie van de Europese Unie is vastgesteld (3). In dit verband is ook de adequaatheidsreferentie van het Europees Comité voor gegevensbescherming (EDPB) van belang (4).

(4)

Zoals het Hof van Justitie van de Europese Unie heeft verklaard, is hiervoor niet noodzakelijk dat hetzelfde beschermingsniveau wordt geboden (5). Met name mogen de middelen die het derde land in kwestie voor de bescherming van de persoonsgegevens tot zijn beschikking heeft, anders zijn dan de middelen die binnen de Europese Unie worden ingezet, zolang zij in de praktijk doeltreffend genoeg blijken om een passend beschermingsniveau te bieden (6). De adequaatheidsnorm vereist daarom niet dat de voorschriften van de Unie integraal worden overgenomen. Het gaat er veeleer om of het betreffende buitenlandse systeem als geheel het vereiste beschermingsniveau biedt, door de invulling van het recht op gegevensbescherming, de doeltreffende toepassing en afdwingbaarheid daarvan en het toezicht dat wordt uitgeoefend (7).

(5)

De Commissie heeft het recht en de rechtspraktijk van het Verenigd Koninkrijk zorgvuldig geanalyseerd. Op basis van de bevindingen in de overwegingen (8) tot en met (270) concludeert de Commissie dat het Verenigd Koninkrijk een passend beschermingsniveau waarborgt voor persoonsgegevens die binnen het toepassingsgebied van Verordening (EU) 2016/679 worden doorgegeven van de Europese Unie aan het Verenigd Koninkrijk.

(6)

Deze conclusie heeft geen betrekking op persoonsgegevens die worden doorgegeven voor controle van de immigratie door het Verenigd Koninkrijk of die anderszins vallen binnen de omvang van de vrijstelling van bepaalde rechten van de betrokkene met het oog op instandhouding van doeltreffende controle van de immigratie (de “uitzondering voor immigratie”) overeenkomstig paragraaf 4, punt 1, van bijlage 2 bij de Data Protection Act (de Britse wet gegevensbescherming, hierna “DPA” genoemd). De geldigheid en interpretatie van de vrijstelling voor immigratie op grond van het Britse recht zijn niet vastgesteld na een besluit van de rechter in tweede aanleg in civiele zaken van Engeland en Wales van 26 mei 2021. Hoewel de rechter in tweede aanleg in civiele zaken erkent dat de rechten van de betrokkene met het oog op controle van de immigratie in beginsel kunnen worden beperkt tot “een belangrijk aspect van het algemeen belang”, is hij tot de bevinding gekomen dat de uitzondering voor immigratie, in zijn huidige vorm, niet verenigbaar is met het Britse recht, aangezien de wettelijke maatregel geen specifieke bepalingen bevat waarin de in artikel 23, lid 2, van de United Kingdom General Data Protection Regulation (algemene verordening gegevensbescherming van het Verenigd Koninkrijk (UK GDPR)) (8) genoemde waarborgen uiteen worden gezet. Onder deze voorwaarden moet de doorgifte van persoonsgegevens uit de Unie naar het Verenigd Koninkrijk waarop de uitzondering voor immigratie kan worden toegepast worden uitgesloten van de reikwijdte van dit besluit (9). Wanneer de onverenigbaarheid met het Britse recht is opgelost, moet de uitzondering voor immigratie opnieuw worden beoordeeld, alsook de noodzaak om de beperking van de reikwijdte van dit besluit te handhaven.

(7)

Dit besluit heeft geen gevolgen voor de rechtstreekse toepassing van Verordening (EU) 2016/679 op in het Verenigd Koninkrijk gevestigde organisaties in gevallen waarin is voldaan aan de voorwaarden inzake het territoriaal toepassingsgebied van die verordening, zoals vastgesteld in artikel 3 ervan.

(8)

Het Verenigd Koninkrijk is een parlementaire democratie met een constitutioneel vorst als staatshoofd. Het heeft een soeverein parlement, dat boven alle andere overheidsinstellingen staat, een uitvoerende macht die is samengesteld uit leden van het parlement en aan het parlement verantwoording moet afleggen, en een onafhankelijke rechterlijke macht. Het gezag van de uitvoerende macht berust op het vertrouwen dat zij kan afdwingen van het gekozen Lagerhuis en de uitvoerende macht moet verantwoording afleggen aan beide kamers van het parlement, die verantwoordelijk zijn voor het uitoefenen van toezicht op de regering en het bespreken en goedkeuren van wetten.

(9)

Het Verenigd Koninkrijk parlement heeft bevoegdheden gedelegeerd aan het Schotse parlement, het parlement van Wales (Senedd Cymru) en de Noord-Ierse Assemblee om wetgeving vast te stellen met betrekking tot interne kwesties in Schotland, Wales en Noord-Ierland, die het Britse parlement niet aan zichzelf heeft voorbehouden. Hoewel gegevensbescherming een voorbehouden kwestie is, wat betekent dat in het gehele land dezelfde wetgeving geldt, zijn andere beleidsgebieden die relevant zijn voor dit besluit gedelegeerd. Het strafrechtelijk systeem, met inbegrip van de politie, van Schotland en Noord-Ierland is bijvoorbeeld gedelegeerd aan respectievelijk het Schotse parlement en de Noord-Ierse Assemblee. Het Verenigd Koninkrijk heeft geen gecodificeerde grondwet in de zin van een vast constitutief document. De grondwettelijke beginselen zijn mettertijd ontstaan, met name op basis van de jurisprudentie en gebruiken. De grondwettelijke waarde van bepaalde statuten, zoals de Magna Carta, de Bill of Rights 1689 en de Human Rights Act 1998, is door de rechters erkend. De grondrechten van personen zijn, als onderdeel van de grondwet, ontwikkeld door middel van gewoonterecht, dit geschreven recht en internationale verdragen, en met name het Europees Verdrag voor de rechten van de mens, dat het Verenigd Koninkrijk in 1951 heeft geratificeerd. Het Verenigd Koninkrijk heeft in 1987 ook het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens van de Raad van Europa (Verdrag 108) geratificeerd (10).

(10)

Bij de Human Rights Act 1998 worden de rechten van het Europees Verdrag voor de rechten van de mens opgenomen in het recht van het Verenigd Koninkrijk. De Human Rights Act verleent alle personen de grondrechten en fundamentele vrijheden van de artikelen 2 tot en met 12 en 14 van het Europees Verdrag voor de rechten van de mens, de artikelen 1, 2 en 3 van het eerste protocol en artikel 1 van het dertiende protocol bij dit verdrag, gelezen in samenhang met de artikelen 16, 17 en 18 van dat verdrag. Dit omvat het recht op eerbiediging van het privéleven en van het familie- en gezinsleven (en het recht op gegevensbescherming als onderdeel van dat recht) en het recht op een eerlijk proces (11). Overeenkomstig artikel 8 van dit verdrag is inmenging van een overheidsinstantie in het recht op privacy slechts toegestaan voor zover bij de wet bepaald en voor zover noodzakelijk in een democratische samenleving in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van ordeverstoring en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.

(11)

Krachtens de Human Rights Act 1998 moet elk optreden van overheidsinstanties verenigbaar zijn met de rechten van het verdrag (12). Daarnaast moet de primaire en afgeleide wetgeving op een wijze worden gelezen en uitgevoerd die verenigbaar is met de rechten van het verdrag (13).

(12)

Het Verenigd Koninkrijk heeft zich op 31 januari 2020 teruggetrokken uit de Europese Unie. Op basis van het Akkoord inzake de terugtrekking van het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland uit de Europese Unie en de Europese Gemeenschap voor Atoomenergie (14) bleef het Unierecht tijdens de overgangsperiode tot 31 december 2020 van toepassing op en in het Verenigd Koninkrijk. Vóór de terugtrekking en tijdens de overgangsperiode bestond het wettelijk kader inzake de bescherming van de persoonsgegevens in het Verenigd Koninkrijk uit de desbetreffende EU-wetgeving (en met name Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (15)) en interne wetgeving (en met name de Data Protection Act 2018 (16) (de Britse wet gegevensbescherming van 2018, hierna “DPA 2018” genoemd), waarin nationale regels waren vastgesteld, waar toegestaan op grond van Verordening (EU) 2016/679, om de toepassing van de regels van Verordening (EU) 2016/679 te specificeren en beperken, en waarbij Richtlijn (EU) 2016/680 werd omgezet.

(13)

Ter voorbereiding van de terugtrekking uit de Europese Unie heeft de regering van het Verenigd Koninkrijk de European Union (Withdrawal) Act 2018 (17) (de Britse wet inzake de terugtrekking uit de Europese Unie van 2018) aangenomen, waarbij rechtstreeks toepasselijke Uniewetgeving wordt opgenomen in het recht van het Verenigd Koninkrijk (18). Dit “gehandhaafde” Unierecht omvat Verordening (EU) 2016/679 in haar geheel (met inbegrip van de overwegingen hiervan) (19). Overeenkomstig deze wet moet het ongewijzigde, gehandhaafde Unierecht door de rechters van het Verenigd Koninkrijk worden uitgelegd in overeenstemming met de desbetreffende jurisprudentie van het Europees Hof van Justitie en de algemene beginselen van het Unierecht, zoals deze wetgeving direct vóór het einde van de overgangsperiode van kracht is (respectievelijk de “gehandhaafde jurisprudentie van de EU” en de “gehandhaafde algemene beginselen van het Unierecht”) (20).

(14)

Op grond van de European Union (Withdrawal) Act 2018 hebben de ministers van het Verenigd Koninkrijk de bevoegdheid om door middel van wettelijke instrumenten secundaire wetgeving in te voeren teneinde in gehandhaafd Unierecht de noodzakelijke wijzigingen aan te brengen die voortvloeien uit de terugtrekking van het Verenigd Koninkrijk uit de Europese Unie. Zij oefenden die bevoegdheid uit door de Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (de Britse regelingen betreffende gegevensbescherming, privacy en elektronische communicatie (wijzigingen enz.) (terugtrekking EU) van 2019, hierna “DPPEC Regulations” genoemd) (21) aan te nemen. Bij de DPPEC Regulations wordt Verordening (EU) 2016/679, zoals ingevoerd in het Britse recht bij de European Union (Withdrawal) Act 2018, de DPA 2018 en overige wetgeving inzake gegevensbescherming, gewijzigd om aan te sluiten op de binnenlandse context (22).

(15)

Dienovereenkomstig bestaat het rechtskader inzake de bescherming van persoonsgegevens in het Verenigd Koninkrijk na het einde van de overgangsperiode uit:

(16)

Omdat de UK GDPR gebaseerd is op EU-wetgeving, sluiten veel aspecten van de voorschriften inzake gegevensbescherming in het Verenigd Koninkrijk nauw aan op de overeenkomstige voorschriften die in de Europese Unie van toepassing zijn.

(17)

Naast de bevoegdheden die bij de European Union (Withdrawal) Act 2018 aan de Secretary of State werden toegekend, verlenen verschillende bepalingen van de DPA 2018 bevoegdheden aan de Secretary of State om secundaire wetgeving vast te stellen om sommige bepalingen van de Act te wijzigen of te voorzien in aanvullende voorschriften (25). De Secretary of State heeft tot dusverre van de bevoegdheid op grond van artikel 137 van de DPA 2018 slechts gebruikgemaakt om de Data Protection (Charges and Information) (Amendment) Regulations 2019 vast te stellen, de Britse regelingen gegevensbescherming (bijdragen en informatie) (wijziging) van 2019, waarin de omstandigheden uiteen worden gezet waarin verwerkingsverantwoordelijken een jaarlijkse bijdrage moeten betalen aan de onafhankelijke autoriteit voor gegevensbescherming van het Verenigd Koninkrijk, de Information Commissioner (de Britse toezichthouder voor informatie).

(18)

Tot slot wordt in de praktijkcodes en andere richtsnoeren die zijn vastgesteld door de Information Commissioner voorzien in verdere richtsnoeren met betrekking tot de wetgeving inzake gegevensbescherming van het Verenigd Koninkrijk. Hoewel zij formeel niet juridisch bindend zijn, zijn deze richtsnoeren van belang voor de uitlegging en tonen zij aan hoe de wetgeving inzake gegevensbescherming van toepassing is en door de Commissioner in de praktijk wordt gehandhaafd. De artikelen 121 tot en met 125 van de DPA 2018 in het bijzonder leggen aan de Commissioner de verplichting op om praktijkcodes op te stellen met betrekking tot het delen van gegevens, direct marketing, ontwerpen en gegevensbescherming die zijn aangepast aan de leeftijd en journalistiek.

(19)

Het Britse rechtskader dat van toepassing is op gegevens die in het kader van dit besluit worden doorgegeven, is wat de structuur en belangrijkste onderdelen ervan betreft dus in grote mate hetzelfde als het kader dat in de Europese Unie van toepassing is. Dit omvat het feit dat dit kader niet alleen is gebaseerd op verplichtingen die in het nationale recht zijn vastgesteld, die zijn gevormd door het Unierecht, maar ook op verplichtingen die zijn verankerd in het internationaal recht, met name doordat het Verenigd Koninkrijk partij is bij het EVRM en Verdrag 108 en is onderworpen aan de bevoegdheid van het Europees Hof voor de Rechten van de Mens. Deze verplichtingen die voortvloeien uit juridisch bindende internationale instrumenten, met name met betrekking tot de bescherming van persoonsgegevens, vormen derhalve een bijzonder belangrijk element van het rechtskader dat in dit besluit wordt beoordeeld.

(20)

Net zoals Verordening (EU) 2016/679 is de UK GDPR van toepassing op geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen (26). De definities van “persoonsgegevens”, “betrokkene” en “verwerking” van de UK GDPR zijn identiek aan de definities van Verordening (EU) 2016/679 (27). De UK GDPR is daarnaast van toepassing op de handmatige, ongestructureerde verwerking van persoonsgegevens (28) die in het bezit zijn van bepaalde overheidsinstanties van het Verenigd Koninkrijk (29), hoewel de beginselen en rechten van de UK GDPR die niet relevant zijn voor dergelijke persoonsgegevens hierop op grond van de artikelen 24 en 25 van de DPA 2018 niet worden toegepast. De UK GDPR is, net zoals Verordening (EU) 2016/679, niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit (30).

(21)

De UK GDPR is ook van toepassing op de verwerking in het kader van een activiteit die, onmiddellijk vóór het einde van de overgangsperiode, niet onder het toepassingsgebied van het Unierecht viel (bv. nationale veiligheid) (31) of die onder titel 5, hoofdstuk 2, van het Verdrag betreffende de Europese Unie (activiteiten in het kader van het gemeenschappelijk buitenlands en veiligheidsbeleid) viel (32). Net als het systeem van de Europese Unie is de UK GDPR niet van toepassing op de verwerking van persoonsgegevens door een bevoegde autoriteit met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de uitvoering van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid (zogeheten “rechtshandhavingsdoeleinden”) (een dergelijke verwerking valt in plaats daarvan onder artikel 3 van de DPA 2018, zoals het geval is voor Richtlijn (EU) 2016/680 in het kader van het Unierecht) of de verwerking van persoonsgegevens door inlichtingendiensten (de Security Service, de Secret Intelligence Service en de Government Communications Headquarters), die onder artikel 4 van de DPA 2018 valt (33).

(22)

Het territoriale toepassingsgebied van de UK GDPR wordt beschreven in artikel 3 van de UK GDPR (34) en omvat de verwerking van persoonsgegevens (ongeacht waar deze plaatsvindt) in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in het Verenigd Koninkrijk, evenals de verwerking van persoonsgegevens van betrokkenen die zich in het Verenigd Koninkrijk bevinden wanneer de verwerking verband houdt met het aanbieden van goederen of diensten aan deze betrokkenen of het monitoren van hun gedrag (35). Hiermee wordt de benadering van artikel 3 van Verordening (EU) 2016/679 gevolgd.

(23)

De definities van persoonsgegevens, verwerking, verwerkingsverantwoordelijke, verwerker en pseudonimisering, zoals vastgesteld in Verordening (EU) 2016/679, zijn zonder materiële wijzigingen gehandhaafd in de UK GDPR (36). Bovendien zijn in artikel 9, lid 1, van de UK GDPR bijzondere categorieën gegevens gedefinieerd, op dezelfde wijze als in Verordening (EU) 2016/679 (“persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid”). In artikel 205 van de DPA 2018 is voorzien in de definitie van “biometrische gegevens” (37), “gegevens over gezondheid” (38) en “genetische gegevens” (39).

(24)

Persoonsgegevens moeten op rechtmatige en behoorlijke wijze worden verwerkt.

(25)

De beginselen van rechtmatigheid, behoorlijkheid en transparantie en de gronden voor de rechtmatige verwerking worden gewaarborgd in het recht van het Verenigd Koninkrijk door middel van artikel 5, lid 1, en artikel 6, lid 1, van de UK GDPR, die identiek zijn aan de respectievelijke bepalingen van Verordening (EU) 2016/679 (40). Artikel 6, lid 1, punt e), wordt aangevuld door artikel 8 van de DPA 2018, waarin is bepaald dat de verwerking van persoonsgegevens op grond van artikel 6, lid 1, punt e), van de UK GDPR (noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen) de verwerking van persoonsgegevens omvat die noodzakelijk is voor de rechtsbedeling, de vervulling van een taak van een van de kamers van het parlement, de uitoefening van een functie die door middel van de uitvoering van het recht of een rechtsregel aan een persoon is toegekend, de uitoefening van een functie van de kroon, een minister van de kroon of een ministerie of een activiteit aan de hand waarvan de betrokkenheid bij de democratie wordt gesteund of bevorderd.

(26)

Wat betreft toestemming (een van de gronden voor rechtmatige verwerking), zijn in de UK GDPR ook de voorwaarden van artikel 7 van Verordening (EU) 2016/679 ongewijzigd gehandhaafd, dat wil zeggen dat de verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven, dat een schriftelijke verklaring in duidelijke en eenvoudige taal moet worden gepresenteerd, dat de betrokkene het recht heeft zijn toestemming te allen tijde in te trekken en dat bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven rekening moet worden gehouden met de vraag of voor de uitvoering van de overeenkomst toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst. Op grond van artikel 8 van de UK GDPR is de toestemming van een kind met betrekking tot diensten van de informatiemaatschappij bovendien slechts rechtmatig wanneer het kind ten minste 13 jaar is. Dit valt binnen de leeftijdsgroep die in artikel 8 van Verordening (EU) 2016/679 is vastgesteld.

(27)

Wanneer “bijzondere categorieën” gegevens worden verwerkt, moet worden voorzien in bijzondere waarborgen.

(28)

De UK GDPR en de DPA 2018 bevatten specifieke regels met betrekking tot de verwerking van bijzondere categorieën persoonsgegevens, die in artikel 9, lid 1, van de UK GDPR op dezelfde wijze uiteen zijn gezet als in Verordening (EU) 2016/679 (zie overweging (23)). Overeenkomstig artikel 9 van de UK GDPR is de verwerking van bijzondere categorieën gegevens in principe verboden, tenzij een specifieke uitzondering van toepassing is.

(29)

Deze uitzonderingen (die zijn opgenomen in artikel 9, leden 2 en 3, van de UK GDPR) verschillen inhoudelijk niet van de uitzonderingen van artikel 9, leden 2 en 3, van Verordening (EU) 2016/679. Tenzij de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens, is de verwerking van bijzondere categorieën persoonsgegevens slechts toegestaan in specifieke en beperkte omstandigheden. In de meeste gevallen moet de verwerking van gevoelige gegevens noodzakelijk zijn voor een specifiek doel dat in de desbetreffende bepaling (zie artikel 9, lid 2, punten b), c), f), g), h), i) en j)) is gedefinieerd.

(30)

Voor gevallen waarin een uitzondering uit hoofde van artikel 9, lid 2, van de UK GDPR wettelijke toestemming vereist of naar het algemeen belang verwijst, worden in artikel 10 van de DPA 2018 en in bijlage 1 bij de DPA 2018 de voorwaarden verder uiteengezet waaraan moet worden voldaan om de uitzonderingen te mogen toepassen. Voor de verwerking van gevoelige gegevens voor de bescherming van de “volksgezondheid” (artikel 9, lid 2, punt i), van de UK GDPR) wordt in bijlage 1, deel 1, punt 3, b), naast de uitvoering van een noodzakelijkheidstoets bijvoorbeeld vereist dat een dergelijke verwerking wordt uitgevoerd door of onder de verantwoordelijkheid van een gezondheidswerker of door een andere persoon die op grond van de uitvoering van het recht of een rechtsregel een geheimhoudingsplicht heeft, waaronder in het kader van de gevestigde geheimhoudingsplicht volgens het gewoonterecht.

(31)

Voor gevallen waarin gevoelige gegevens worden verwerkt om redenen van zwaarwegend algemeen belang (artikel 9, lid 2, punt g), van de UK GDPR), is in bijlage 1, deel 2, van de DPA 2018 voorzien in een uitputtende lijst van doeleinden die als zwaarwegend algemeen belang kunnen worden beschouwd, evenals, voor elk van deze doeleinden, specifieke aanvullende voorwaarden. De bevordering van raciale en etnische diversiteit op leidinggevende niveaus van organisaties wordt bijvoorbeeld erkend als zwaarwegend algemeen belang. Voor de verwerking van gevoelige gegevens voor dit specifieke doel gelden gedetailleerde vereisten, waaronder dat de verwerking moet worden uitgevoerd als onderdeel van een proces van het identificeren van geschikte personen voor leidinggevende functies, noodzakelijk moet zijn voor de bevordering van de raciale en etnische diversiteit en geen waarschijnlijke aanzienlijke schade of aanzienlijke nood voor de betrokkene mag veroorzaken.

(32)

In artikel 11, lid 1, van de DPA 2018 worden de voorwaarden uiteengezet voor de verwerking van persoonsgegevens in de in artikel 9, lid 3, van de UK GDPR omschreven omstandigheden in verband met de geheimhoudingsplicht. Dit omvat omstandigheden waarin de verwerking wordt uitgevoerd door of onder de verantwoordelijkheid van een gezondheidswerker of sociaal werker of door een andere persoon die op grond van de uitvoering van het recht of een rechtsregel in deze omstandigheden een geheimhoudingsplicht heeft.

(33)

Daarnaast vereist de toepassing van veel van de in artikel 9, lid 2, van de UK GDPR opgenomen uitzonderingen passende en specifieke waarborgen. Afhankelijk van de aard van de verwerking en het niveau van risico voor de rechten en vrijheden van betrokkenen zijn in de voorwaarden voor de verwerking van bijlage 1 bij de DPA 2018 verschillende waarborgen vastgesteld. In bijlage 1 zijn vervolgens de voorwaarden voor elke verwerkingssituatie vastgesteld.

(34)

Voor sommige gevallen is het soort gevoelige gegevens dat mag worden verwerkt om te voldoen aan een specifieke wettelijke basis, in de DPA 2018 geregeld en beperkt. In bijlage 1, punt 8, wordt bijvoorbeeld de verwerking van gevoelige gegevens voor de bevordering van gelijke kansen en een gelijke behandeling toegestaan. Deze voorwaarde voor de verwerking kan alleen worden gebruikt als uit de gegevens de raciale of etnische afkomst, religieuze of levensbeschouwelijke overtuiging of seksuele gerichtheid blijkt of als de gegevens gezondheidsgegevens zijn.

(35)

Voor sommige gevallen beperkt de DPA 2018 het type verwerkingsverantwoordelijke dat gebruik mag maken van de voorwaarde voor verwerking. In bijlage 1, punt 23, wordt bijvoorbeeld de verwerking van gevoelige gegevens geregeld in verband met de antwoorden van gekozen vertegenwoordigers aan het publiek. Deze voorwaarde voor de verwerking kan alleen worden gebruikt als de verwerkingsverantwoordelijke een gekozen vertegenwoordiger is of onder het gezag van een gekozen vertegenwoordiger handelt.

(36)

Voor sommige andere gevallen zijn in de DPA 2018 beperkingen vastgesteld voor de categorieën betrokkenen ten aanzien waarvan gebruik kan worden gemaakt van de voorwaarde voor de verwerking. In bijlage 1, punt 21, wordt bijvoorbeeld de verwerking van gevoelige gegevens voor bedrijfspensioenregelingen geregeld. Deze voorwaarde kan slechts worden gebruikt wanneer de betrokkene in kwestie een broer of zus, ouder, grootouder of overgrootouder van de deelnemer aan de regeling is.

(37)

Daarnaast moet de verwerkingsverantwoordelijke, wanneer hij gebruikmaakt van de uitzonderingen van artikel 9, lid 2, van de UK GDPR, die verder uiteengezet worden in artikel 10 van de DPA 2018 en in bijlage 1 bij de DPA 2018, in de meeste gevallen een document inzake passend beleid opstellen. Hierin moeten de procedures van de verwerkingsverantwoordelijke voor het waarborgen van de naleving van de beginselen van artikel 5 van de UK GDPR worden gespecificeerd. Daarnaast moet het beleid voor het bewaren en wissen, met een indicatie van de waarschijnlijke opslagtermijn, uiteengezet worden. Verwerkingsverantwoordelijken moeten dit document waar passend herzien en bijwerken. De verwerkingsverantwoordelijke moet het beleidsdocument voor een periode van zes maanden na afronding van de verwerking bewaren en het op verzoek ter beschikking stellen van de Information Commissioner (41).

(38)

Overeenkomstig punt 41 van bijlage 1 bij de DPA 2018 moet het beleidsdocument altijd vergezeld gaan van een aangevuld verwerkingsdossier. In dit dossier moeten de toezeggingen van het beleidsdocument, dat wil zeggen of gegevens worden gewist of bewaard in overeenstemming met het beleid, worden gevolgd. Wanneer het beleid niet is gevolgd, moeten de redenen hiervoor in het dossier worden opgenomen. In het dossier moet bovendien worden beschreven hoe bij de verwerking wordt voldaan aan artikel 6 van de UK GDPR (rechtmatigheid van de verwerking) en aan de specifieke voorwaarde van bijlage 1 bij de DPA 2018 waarvan gebruik wordt gemaakt.

(39)

Tot slot voorziet de UK GDPR, net zoals Verordening (EU) 2016/679, in algemene waarborgen voor bepaalde verwerkingsactiviteiten voor bijzondere categorieën gegevens. Artikel 35 van de UK GDPR vereist dat een gegevensbeschermingseffectbeoordeling wordt uitgevoerd wanneer bijzondere categorieën gegevens op grote schaal worden verwerkt. Overeenkomstig artikel 37 van de UK GDPR moet een verwerkingsverantwoordelijke of verwerker een functionaris voor gegevensbescherming aanwijzen wanneer hij hoofdzakelijk belast is met de grootschalige verwerking van bijzondere categorieën gegevens.

(40)

Wat persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten betreft, is artikel 10 van de UK GDPR identiek aan artikel 10 van Verordening (EU) 2016/679. In dit artikel is bepaald dat de verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten alleen is toegestaan onder toezicht van de overheid of indien de verwerking is toegestaan bij nationaal recht dat passende waarborgen voor de rechten en vrijheden van de betrokkenen biedt.

(41)

Voor gevallen waarin de verwerking van gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten niet onder toezicht van een overheid plaatsvindt, is in artikel 10, lid 5, van de DPA 2018 bepaald dat een dergelijke verwerking slechts mag plaatsvinden voor de specifieke doeleinden/in de specifieke situaties die zijn uiteengezet in de delen 1, 2 en 3, van bijlage 1 bij de DPA 2018 en dat hiervoor specifieke vereisten gelden die voor elk van deze doeleinden/situaties zijn vastgesteld. Gegevens betreffende strafrechtelijke veroordelingen mogen bijvoorbeeld worden verwerkt door non-profitorganisaties, mits de verwerking plaatsvindt a) in het kader van hun gerechtvaardigde activiteiten door een stichting, vereniging of andere non-profitorganisatie met een politiek, filosofisch, religieus of vakbondsdoel en b) op voorwaarde dat i) de verwerking uitsluitend verband houdt met de leden of voormalige leden van de organisatie of met personen die regelmatig contact met de organisatie hebben in verband met haar doeleinden en ii) de persoonsgegevens niet zonder toestemming van de betrokkenen buiten die organisatie worden meegedeeld.

(42)

Daarnaast zijn in deel 3 van bijlage 1 bij de DPA 2018 aanvullende omstandigheden vastgesteld waarin gegevens betreffende strafrechtelijke veroordelingen mogen worden gebruikt, die overeenkomen met de wettelijke gronden voor de verwerking van gevoelige gegevens van artikel 9, lid 2, van Verordening (EU) 2016/679 en de UK GDPR (bv. toestemming van de betrokkene, vitale belangen van een persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven, wanneer de gegevens kennelijk reeds door de betrokkene openbaar zijn gemaakt, wanneer de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering enz.).

(43)

Persoonsgegevens moeten worden verwerkt voor een specifiek doel en mogen vervolgens uitsluitend worden gebruikt voor doeleinden die niet onverenigbaar zijn met het doel van de verwerking.

(44)

Dit beginsel is opgenomen in artikel 5, lid 1, punt b), van Verordening (EU) 2016/679 en is onveranderd gehandhaafd in artikel 5, lid 1, punt b), van de UK GDPR. De voorwaarden voor een verdere verenigbare verwerking overeenkomstig artikel 6, lid 4, van Verordening (EU) 2016/679 zijn ook zonder materiële wijzigingen overgenomen in artikel 6, lid 4, punten a) tot en met e), van de UK GDPR.

(45)

De gegevens moeten bovendien juist zijn en zo nodig worden geactualiseerd. Ze moeten ook toereikend en ter zake dienend zijn en beperkt blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt en mogen in principe niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

(46)

Deze beginselen van minimale gegevensverwerking, juistheid en opslagbeperking zijn uiteengezet in artikel 5, lid 1, punten c) tot en met e), van Verordening (EU) 2016/679 en zijn ongewijzigd gehandhaafd in artikel 5, lid 1, punten c) tot en met e), van de UK GDPR.

(47)

Persoonsgegevens moeten ook op een dusdanige manier worden verwerkt dat de beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Daartoe moeten bedrijfsexploitanten passende technische of organisatorische maatregelen treffen om de persoonsgegevens te beschermen tegen mogelijke bedreigingen. Bij de beoordeling van die maatregelen moet rekening worden gehouden met de stand van de techniek en de ermee gemoeide kosten.

(48)

De gegevensbeveiliging is verankerd in de Britse wet in de vorm van het beginsel van integriteit en vertrouwelijkheid in artikel 5, lid 1, punt f), van de UK GDPR en in artikel 32 van de UK GDPR inzake de beveiliging van de verwerking. Deze bepalingen zijn identiek aan de respectievelijke bepalingen van Verordening (EU) 2016/679. De UK GDPR vereist bovendien onder dezelfde voorwaarden als die van de artikelen 33 en 34 van Verordening (EU) 2016/679 dat melding wordt gemaakt van een inbreuk in verband met persoonsgegevens bij de toezichthoudende autoriteit (artikel 33 UK GDPR) en dat een inbreuk in verband met de persoonsgegevens wordt meegedeeld aan de betrokkene (artikel 34 UK GDPR).

(49)

Betrokkenen moeten worden ingelicht over de belangrijkste kenmerken van de verwerking van hun persoonsgegevens.

(50)

Dit wordt gewaarborgd door de artikelen 13 en 14 van de UK GDPR, waarin naast het algemene beginsel van transparantie regels zijn opgenomen inzake de informatie die aan de betrokkene moet worden verstrekt (42). De regels van de overeenkomstige artikelen van Verordening (EU) 2016/679 zijn in de UK GDPR niet in wezenlijke mate gewijzigd. Net zoals het geval is voor Verordening (EU) 2016/679, gelden voor de transparantievereisten van deze artikelen verschillende uitzonderingen, die zijn vastgesteld in de DPA 2018 (zie de overwegingen (55) tot en met (72)).

(51)

Betrokkenen moeten bepaalde rechten hebben die kunnen worden afgedwongen ten opzichte van de verwerkingsverantwoordelijke of de verwerker, en met name het recht op inzage van de gegevens, het recht om bezwaar te maken tegen de verwerking en het recht op rectificatie of wissing van de gegevens. Voor deze rechten kunnen tegelijkertijd beperkingen gelden, mits deze noodzakelijk en evenredig zijn met het oog op de bescherming van de openbare veiligheid of andere belangrijke doelstellingen van algemeen belang.

(52)

De UK GDPR biedt personen dezelfde afdwingbare rechten als Verordening (EU) 2016/679. De bepalingen die personen deze rechten verlenen, zijn in de UK GDPR zonder wezenlijke wijzigingen gehandhaafd.

(53)

De rechten omvatten het recht op inzage van de betrokkene (artikel 15 UK GDPR), het recht op rectificatie (artikel 16 UK GDPR), het recht op wissing (artikel 17 UK GDPR), het recht op beperking van de verwerking (artikel 18 UK GDPR), een kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking (artikel 19 UK GDPR), het recht op overdraagbaarheid van gegevens (artikel 20 UK GDPR) en het recht van bezwaar (artikel 21 UK GDPR) (43). Het laatstgenoemde recht omvat ook het recht van een betrokkene om bezwaar te maken tegen de verwerking van persoonsgegevens voor direct marketing, waarin is voorzien in artikel 21, leden 2 en 3, van Verordening (EU) 2016/679. Op grond van artikel 122 van de DPA 2018 moet de Information Commissioner bovendien een praktijkcode (Code of Practice) opstellen in verband met activiteiten voor direct marketing in overeenstemming met de vereisten van de wetgeving inzake gegevensbescherming (en de Privacy and Electronic Communications (EC Directive) Regulations 2003 (de Britse regelingen betreffende privacy en elektronische communicatie (EG-richtlijn) van 2003)) en dergelijke andere richtsnoeren ter bevordering van goede praktijken op het gebied van direct marketing die de Commissioner passend acht. Het bureau van de Information Commissioner (ICO) werkt momenteel aan de code voor direct marketing (44).

(54)

Het recht van betrokkenen om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hen rechtsgevolgen zijn verbonden of dat hen anderszins in aanmerkelijke mate treft, waarin is voorzien in artikel 22 AVG,, is ook zonder belangrijke wijzigingen overgenomen in de UK GDPR. Hieraan is echter een nieuw lid 3A toegevoegd dat aangeeft dat in artikel 14 van de DPA 2018 waarborgen zijn vastgesteld voor de rechten, vrijheden en legitieme belangen van betrokkenen voor gevallen waarin de verwerking plaatsvindt in het kader van artikel 22, lid 2, punt b), van de UK GDPR. Dit geldt slechts wanneer de basis voor een dergelijk besluit een machtiging of vereiste op grond van het Britse recht is en niet wanneer het besluit noodzakelijk is op grond van een overeenkomst of is genomen met uitdrukkelijke toestemming van de betrokkene. Wanneer artikel 14 van de DPA 2018 van toepassing is, moet de verwerkingsverantwoordelijke de betrokkene zo snel als redelijkerwijs mogelijk schriftelijk meedelen dat een uitsluitend op geautomatiseerde verwerking gebaseerd besluit is genomen. De betrokkene heeft het recht de verwerkingsverantwoordelijke te verzoeken om — binnen één maand na ontvangst van de kennisgeving — het besluit te heroverwegen of een nieuw besluit te nemen dat niet uitsluitend op geautomatiseerde verwerking is gebaseerd. De Secretary of State is bevoegd om aanvullende waarborgen met betrekking tot de geautomatiseerde besluitvorming vast te stellen. Van deze bevoegdheid is nog geen gebruik gemaakt.

(55)

De DPA 2018 voorziet in verschillende beperkingen van de individuele rechten die passen binnen het kader van artikel 23 van de UK GDPR. Binnen dit kader zijn geen beperkingen ingevoerd met betrekking tot het recht om bezwaar te maken tegen direct marketing, als bedoeld in artikel 21, leden 2 en 3, van de UK GDPR, of van het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming, als bedoeld in artikel 22 van de UK GDPR.

(56)

De beperkingen zijn uitvoerig beschreven in de bijlagen 2 tot en met 4 bij de DPA 2018. De Britse autoriteiten hebben uitgelegd dat zij hierbij worden geleid door twee beginselen: het beginsel van specificiteit (waarbij een granulaire benadering wordt toegepast en brede beperkingen worden opgesplitst in meerdere specifiekere bepalingen) en het beginsel van voorwaardelijkheid (elke bepaling wordt aangevuld met waarborgen in de vorm van beperkingen of voorwaarden om misbruik te voorkomen) (45).

(57)

De in artikel 23, lid 1, van de UK GDPR beschreven beperkingen zijn ontworpen om ervoor te zorgen dat zij uitsluitend van toepassing zijn in gespecificeerde omstandigheden waarin dat in een democratische samenleving noodzakelijk en evenredig is voor het legitieme belang dat hiermee wordt nagestreefd. Bovendien kan een uitzondering op de regels inzake gegevensbescherming in overeenstemming met de vaste jurisprudentie betreffende de uitlegging van beperkingen, slechts worden toegepast in een specifiek geval wanneer dit noodzakelijk en evenredig is (46). De noodzakelijkheidstoets moet streng zijn en vereisen dat een aantasting van de rechten van betrokkenen evenredig is aan de ernst van de bedreiging van het algemeen belang. Deze oefening omvat derhalve een klassieke evenredigheidsanalyse (47).

(58)

De doelen die met deze beperkingen worden nagestreefd komen overeen met de doelen die zijn opgenomen in artikel 23 van Verordening (EU) 2016/679, met uitzondering van de beperkingen voor de nationale veiligheid en defensie, die in plaats daarvan zijn geregeld in artikel 26 van de DPA 2018, maar waarvoor dezelfde vereisten van noodzakelijkheid en evenredigheid gelden (zie de overwegingen (63) tot en met (66)).

(59)

Sommige van de beperkingen, bijvoorbeeld die in verband met het voorkomen of opsporen van strafbare feiten, het aanhouden of vervolgen van misdadigers en de beoordeling of inning van belastingen of heffingen (48), staan de beperking van alle individuele rechten en transparantieverplichtingen toe (met uitzondering van de rechten uit hoofde van artikel 21, lid 2, en artikel 22). De omvang van de andere beperkingen is beperkt tot transparantieverplichtingen en het recht op inzage, zoals de beperkingen in verband met het professioneel verschoningsrecht (49), het recht op vrijstelling van een verplichting om informatie te verstrekken die zou leiden tot zelfbeschuldiging (50) en ondernemingsfinanciering, en met name het voorkomen van handel met voorkennis (51). Enkele van de beperkingen staan een beperking van de verplichting van de verwerkingsverantwoordelijke toe om een inbreuk aan een betrokkene te melden en van de beginselen van doelbinding en de rechtmatigheid, behoorlijkheid en transparantie van de verwerking (52).

(60)

Enkele van de beperkingen zijn automatisch “volledig” van toepassing op een bepaald soort verwerking van persoonsgegevens (de toepassing van de transparantieverplichtingen en individuele rechten wordt bijvoorbeeld uitgesloten wanneer de persoonsgegevens worden verwerkt om de geschiktheid van een persoon voor een rechterlijk ambt te beoordelen of wanneer persoonsgegevens worden verwerkt door een rechter, administratieve rechtbank of persoon die optreedt in een rechterlijke hoedanigheid).

(61)

In de meeste gevallen is in het desbetreffende punt van bijlage 2 bij de DPA 2018 echter bepaald dat de beperking slechts van toepassing is wanneer (en in die mate dat) de toepassing van de bepalingen het legitieme belang dat met die beperking wordt nagestreefd waarschijnlijk zal aantasten: de genoemde bepalingen van de UK GDPR zijn bijvoorbeeld niet van toepassing op persoonsgegevens die worden verwerkt met het oog op het voorkomen of opsporen van strafbare feiten, het aanhouden of vervolgen van misdadigers of de beoordeling of inning van belasting of heffingen voor zover de toepassing van die bepalingen waarschijnlijk nadelig zal zijn voor enige van deze zaken (53).

(62)

De norm “waarschijnlijk nadelig zal zijn” is door de Britse rechter consequent uitgelegd als “een zeer aanzienlijke en zwaarwegende kans op aantasting van de vastgestelde algemene belangen” (54). Een aan de nadeligheidstoets onderhevige beperking kan derhalve alleen worden ingeroepen indien en voor zover er geen zeer aanzienlijke en zwaarwegende kans is dat de toekenning van een bepaald recht nadelig zou zijn voor het algemene belang in kwestie. De verwerkingsverantwoordelijke is verantwoordelijk voor de beoordeling per geval van de vraag of aan deze voorwaarden is voldaan (55).

(63)

Naast de beperkingen die zijn opgenomen in bijlage 2 bij de DPA 2018, is in artikel 26 van de DPA 2018 een uitzondering opgenomen die op sommige bepalingen van de UK GDPR en de DPA 2018 kan worden toegepast indien deze uitzondering nodig is voor de waarborging van de nationale veiligheid of om redenen van defensie. Deze uitzondering is van toepassing op de beginselen van gegevensbescherming (met uitzondering van het beginsel van rechtmatigheid), de transparantieverplichtingen, de rechten van betrokkenen, de verplichting om een gegevensinbreuk te melden, regels inzake internationale doorgiften, enkele van de taken en bevoegdheden van de Information Commissioner en de regels inzake rechtsmiddelen, aansprakelijkheid en sancties, met uitzondering van de bepaling inzake de algemene voorwaarden voor het opleggen van administratieve geldboeten, zoals uiteengezet in artikel 83 van de UK GDPR, en de bepaling inzake sancties van artikel 84 van de UK GDPR. In artikel 28 van de DPA 2018 is bovendien de toepassing van artikel 9, lid 1, gewijzigd om de verwerking van bijzondere categorieën gegevens in artikel 9, lid 1, van de UK GDPR mogelijk te maken voor zover de verwerking wordt verricht om de nationale veiligheid te beschermen of voor defensiedoeleinden en met passende waarborgen voor de rechten en vrijheden van betrokkenen (56).

(64)

De uitzondering kan slechts worden toegepast in de mate die noodzakelijk is om de nationale veiligheid of defensie te waarborgen. Zoals ook het geval is voor de andere uitzonderingen waarin in de DPA 2018 is voorzien, moet deze per geval door de verwerkingsverantwoordelijke worden overwogen en gebruikt. Een toepassing van de uitzondering moet bovendien in overeenstemming zijn met de mensenrechtennormen (geschraagd door de Human Rights Act 1998), volgens welke elke aantasting van het recht op privacy in een democratische samenleving noodzakelijk en evenredig moet zijn (57).

(65)

Deze interpretatie van de uitzondering wordt bevestigd door de Information Commissioner, die gedetailleerde richtsnoeren heeft uitgegeven over de toepassing van de uitzondering inzake de nationale veiligheid en defensie, waarbij hij duidelijk heeft gemaakt dat de uitzondering per geval door de verwerkingsverantwoordelijke moet worden overwogen en toegepast (58). In de richtsnoeren wordt met name benadrukt dat „[d]it geen algemene vrijstelling is” en dat het, om hem in te roepen, “niet voldoende is dat de gegevens met het oog op de nationale veiligheid worden verwerkt”. Daarentegen moet de verwerkingsverantwoordelijke die er gebruik van maakt “aantonen dat er een een reële kans van een nadelig effect op de nationale veiligheid bestaat” en wordt, indien nodig, van de verwerkingsverantwoordelijke verwacht dat hij „[de Information Commissioner] bewijs verstrekt over de reden waarom [hij] deze uitzondering heeft gebruikt”. De richtsnoeren bevatten een controlelijst en een reeks voorbeelden om de voorwaarden onder welke deze uitzondering kan worden ingeroepen verder te verduidelijken.

(66)

Het feit dat de gegevens worden verwerkt met het oog op de nationale veiligheid of defensie is op zich dus geen toereikende reden voor de toepassing van de uitzondering. Een verwerkingsverantwoordelijke moet de daadwerkelijke gevolgen voor de nationale veiligheid van de naleving van de specifieke bepaling inzake gegevensbescherming in aanmerking nemen. De uitzondering mag slechts worden toegepast voor die specifieke bepalingen waarvan is vastgesteld dat zij het risico veroorzaken en moet zo beperkt mogelijk worden toegepast (59).

(67)

Deze benadering is bevestigd door het Information Tribunal (60) (de Britse administratieve rechtbank voor informatie). In de zaak Baker/Secretary of State for the Home Department (hierna: “Baker/Secretary of State” genoemd) oordeelde het Information Tribunal dat het onrechtmatig was om de uitzondering voor de nationale veiligheid als algemene uitzondering toe te passen op verzoeken om inzage die door de inlichtingendiensten werden ontvangen. De uitzondering moest in plaats daarvan per geval worden toegepast, door elk verzoek op zich te bekijken en het recht van personen op de eerbiediging van hun privéleven in overweging te nemen (61).

(68)

Artikel 85, lid 2, van de UK GDPR staat toe dat voor persoonsgegevens die worden verwerkt voor journalistieke, artistieke, academische en literaire doeleinden, wordt voorzien in een uitzondering op verschillende bepalingen van de UK GDPR. In deel 5 van bijlage 2 bij de DPA 2018 zijn de uitzonderingen met betrekking tot verwerking voor deze doeleinden uiteengezet. Er wordt voorzien in uitzonderingen op de beginselen van de gegevensbescherming (met uitzondering van het beginsel van integriteit en vertrouwelijkheid), de wettelijke gronden voor de verwerking (met inbegrip van bijzondere categorieën gegevens en gegevens betreffende strafrechtelijke veroordelingen enz.), de voorwaarden voor toestemming, de transparantieverplichtingen, de rechten van betrokkenen, de verplichting om inbreuken op gegevens te melden, en de vereiste om de Information Commissioner te raadplegen voorafgaande aan een verwerking met een hoog risico en de regels inzake internationale doorgiften (62). De UK GDPR wijkt in dit opzicht niet in wezenlijke mate af van Verordening (EU) 2016/679, waarin in artikel 85 ook is voorzien in de mogelijkheid om met het oog op de verwerking voor journalistieke doeleinden of ten behoeve van academische, artistieke of literaire uitdrukkingsvormen uitzonderingen vast te stellen op een aantal vereisten van Verordening (EU) 2016/679. De bepalingen van de DPA 2018, en met name van bijlage 2, deel 5, zijn verenigbaar met de UK GDPR.

(69)

De kernafweging die in het kader van artikel 85 van de UK GDPR moet worden gemaakt, houdt verband met de vraag of een uitzondering op de regels betreffende gegevensbescherming als genoemd in overweging (68) noodzakelijk is om het recht op de bescherming van de persoonsgegevens te verenigen met de vrijheid van meningsuiting en informatie (63). Volgens bijlage 2, paragraaf 26, punten 2 en 3, bij de DPA 2018 past het Verenigd Koninkrijk een toets van “redelijke overtuiging” toe om deze afweging te maken. Een uitzondering is gerechtvaardigd wanneer de verwerkingsverantwoordelijke er redelijkerwijs van overtuigd is dat i) de bekendmaking in het algemeen belang is; en ii) de toepassing van de desbetreffende GDPR-bepaling onverenigbaar zou zijn met de journalistieke, academische, artistieke of literaire doeleinden. Zoals bevestigd in de jurisprudentie (64) heeft de toets van redelijke overtuiging zowel een subjectieve als een objectieve component: het is niet toereikend wanneer de verwerkingsverantwoordelijke aantoont dat hij zelf van mening was dat de naleving onverenigbaar was. Zijn overtuiging moet redelijk zijn, dat wil zeggen moet kunnen worden gedeeld door een redelijke persoon die op de hoogte is van de desbetreffende feiten. De verwerkingsverantwoordelijke moet zijn overtuiging derhalve zorgvuldig onderbouwen teneinde de redelijkheid ervan te kunnen aantonen. Volgens de uitleg die door de Britse autoriteiten is verstrekt, moet de toets van redelijke overtuiging bij elke uitzondering worden uitgevoerd (65). Wanneer aan de voorwaarden is voldaan, wordt de uitzondering noodzakelijk en evenredig geacht uit hoofde van de Britse wetgeving.

(70)

De Information Commissioner moet overeenkomstig artikel 124 van de DPA 2018 een praktijkcode opstellen inzake gegevensbescherming en journalistiek. Hieraan wordt momenteel gewerkt. In het kader van de Data Protection Act 1998 zijn richtsnoeren gegeven over de kwestie, waarin met name wordt benadrukt dat het voor het gebruik van deze uitzondering niet voldoende is om slechts te verklaren dat de naleving journalistieke activiteiten zou belemmeren, maar er een duidelijk argument moet zijn dat de bepaling in kwestie een obstakel vormt voor verantwoorde journalistiek (66). De regelgevende instantie voor telecommunicatie van het Verenigd Koninkrijk, OFCOM, en de BBC (in haar redactionele leidraad) hebben ook richtsnoeren gepubliceerd voor de uitvoering van de toets van het algemeen belang en de afweging van het algemeen belang tegen het belang van een persoon bij privacy (67). In deze richtsnoeren worden met name voorbeelden van informatie gegeven die in het algemeen belang is en wordt de noodzaak uitgelegd om te kunnen aantonen dat het algemeen belang in de specifieke omstandigheden van het geval zwaarder weegt dan het recht op privacy.

(71)

Net zoals in artikel 89 AVG is bepaald, kan de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden vrijgesteld van een aantal genoemde bepalingen van de UK GDPR (68). Wat onderzoek en statistiek betreft, zijn uitzonderingen op de UK GDPR mogelijk in verband met de bevestiging van de verwerking, en de inzage in gegevens en waarborgen voor doorgiften aan derde landen; het recht op rectificatie; de beperking van de verwerking en het maken van bezwaar tegen de verwerking. Wat de archivering in het algemeen belang betreft, zijn ook uitzonderingen mogelijk op de kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of beperking van de verwerking en op het recht op overdraagbaarheid van gegevens.

(72)

Overeenkomstig punt 27(1) en punt 28(1) van bijlage 2 bij de DPA 2018 zijn de uitzonderingen op de genoemde bepalingen van de UK GDPR mogelijk wanneer de toepassing van de bepalingen het behalen van de doeleinden in kwestie zou verhinderen of ernstig zou schaden (69).

(73)

Gezien het belang daarvan voor een doeltreffende uitoefening van individuele rechten, worden relevante ontwikkelingen met betrekking tot de interpretatie en toepassing in de praktijk van de bovengenoemde uitzonderingen (naast die in verband met de instandhouding van een doeltreffende controle van de immigratie, zoals uitgelegd in overweging (6), met inbegrip van eventuele verdere ontwikkelingen in de jurisprudentie en in de richtsnoeren en handhavingsmaatregelen van de Information Commissioner, naar behoren in aanmerking genomen in de context van de voortdurende monitoring van dit besluit (70).

(74)

Het beschermingsniveau dat wordt geboden aan persoonsgegevens die worden doorgegeven vanuit de Europese Unie naar verwerkingsverantwoordelijken of verwerkers in het Verenigd Koninkrijk mag niet worden ondermijnd door verdere doorgifte van dergelijke gegevens aan ontvangers in een derde land. Dergelijke “verdere doorgiften”, die uit het oogpunt van de Britse verwerkingsverantwoordelijke of verwerker internationale doorgiften vanuit het Verenigd Koninkrijk vormen, mogen slechts worden toegestaan wanneer de verdere ontvanger buiten het Verenigd Koninkrijk zelf is onderworpen aan voorschriften die zorgen voor een beschermingsniveau dat vergelijkbaar is met het beschermingsniveau dat wordt gegarandeerd binnen de Britse rechtsorde. De toepassing van de regels van de UK GDPR en de DPA 2018 inzake internationale doorgiften van persoonsgegevens is derhalve een belangrijke factor om de continuïteit van de bescherming te waarborgen in gevallen waarin persoonsgegevens vanuit de Europese Unie naar het Verenigd Koninkrijk worden doorgegeven uit hoofde van dit besluit.

(75)

De regeling inzake internationale doorgiften van persoonsgegevens vanuit het Verenigd Koninkrijk is vervat in de artikelen 44 tot en met 49 van de UK GDPR, aangevuld door de DPA 2018, en is in wezen identiek aan de voorschriften van hoofdstuk V van Verordening (EU) 2016/679 (71). Doorgiften van persoonsgegevens aan een derde land of internationale organisatie mogen slechts plaatsvinden op basis van een adequaatheidsbepaling (de Britse versie van een adequaatheidsbesluit in het kader van Verordening (EU) 2016/679), of, bij het ontbreken van een adequaatheidsbepaling,, wanneer de verwerkingsverantwoordelijke of verwerker heeft voorzien in passende waarborgen in overeenstemming met artikel 46 van de UK GDPR. Indien adequaatheidsbepalingen of passende waarborgen ontbreken, kan een doorgifte slechts plaatsvinden op basis van afwijkingen zoals vastgesteld in artikel 49 van de UK GDPR.

(76)

In de adequaatheidsbepalingen van de Secretary of State kan worden bepaald dat een derde land (of een gebied of sector in een derde land), een internationale organisatie, of een beschrijving (72) van een dergelijk land of gebied of dergelijke sector of organisatie een toereikend niveau van bescherming van persoonsgegevens waarborgt. Bij de beoordeling van de adequaatheid van het beschermingsniveau moet de Secretary of State rekening houden met precies dezelfde elementen als die welke de Commissie moet beoordelen uit hoofde van artikel 45, lid 2, punten a) tot en met c), van Verordening (EU) 2016/679, uitgelegd in combinatie met overweging 104 van Verordening (EU) 2016/679 en de gehandhaafde jurisprudentie van de EU. Dit betekent dat de relevante norm bij de beoordeling van het adequate beschermingsniveau van een derde land de vraag is of dat derde land in kwestie een niveau van bescherming waarborgt dat “in feite overeenkomend” is met het niveau dat in het Verenigd Koninkrijk wordt verzekerd.

(77)

Wat de procedure betreft, vallen adequaatheidsbepalingen onder de “algemene” procedurele vereisten van artikel 182 van de DPA 2018. In het kader van deze procedure moet de Secretary of State de Information Commissioner raadplegen wanneer hij voorstelt om Britse adequaatheidsbepalingen vast te stellen (73). Zodra deze bepalingen zijn vastgesteld door de Secretary of State, worden zij voorgelegd aan het parlement volgens de zogeheten negative resolution procedure, waarbij beide kamers van het parlement de bepalingen kunnen bestuderen en binnen veertig dagen een motie kunnen aannemen om de bepalingen nietig te verklaren (74).

(78)

Volgens artikel 17B, lid 1, van de DPA 2018 moeten de adequaatheidsbepalingen met tussenpozen van maximaal vier jaar worden herzien en moet de Secretary of State doorlopend toezicht houden op ontwikkelingen in derde landen en binnen internationale organisaties die mogelijk gevolgen hebben voor besluiten om adequaatheidsbepalingen op te stellen, te wijzigen of in te trekken. Wanneer de Secretary of State vaststelt dat een bepaald land of een bepaalde organisatie niet langer een passend niveau van bescherming van persoonsgegevens waarborgt, moet hij, voor zover noodzakelijk, de bepalingen wijzigen of intrekken en in overleg gaan met het betrokken derde land of de betrokken internationale organisatie om het gebrek aan een passend beschermingsniveau te verhelpen. Deze procedurele aspecten weerspiegelen ook de dienovereenkomstige vereisten van Verordening (EU) 2016/679.

(79)

Zijn er geen adequaatheidsbepalingen vastgesteld, dan kunnen internationale doorgiften plaatsvinden wanneer de verwerkingsverantwoordelijke of verwerker heeft voorzien in passende waarborgen in overeenstemming met artikel 46 van de UK GDPR. Deze waarborgen zijn vergelijkbaar met de waarborgen van artikel 46 van Verordening (EU) 2016/679. Zij omvatten juridisch bindende en afdwingbare instrumenten tussen overheidsinstanties of -organen, bindende bedrijfsvoorschriften (75), standaardbepalingen inzake gegevensbescherming, goedgekeurde gedragscodes, goedgekeurde certificeringsmechanismen en, onder voorbehoud van toestemming van de Information Commissioner, contractbepalingen tussen verwerkingsverantwoordelijken (of verwerkers) of administratieve regelingen tussen overheidsinstanties. De regels zijn, wat de procedurele aspecten betreft, echter gewijzigd om ze aan te passen aan het kader van het Verenigd Koninkrijk: de standaardbepalingen inzake gegevensbescherming kunnen in overeenstemming met de DPA 2018 worden vastgesteld door de Secretary of State (artikel 17C) of de Information Commissioner (artikel 119A).

(80)

Indien adequaatheidsbepalingen of passende waarborgen ontbreken, kan een doorgifte slechts plaatsvinden op basis van afwijkingen zoals vastgesteld in artikel 49 van de UK GDPR (76). De afwijkingen zijn in vergelijking met de regels van de desbetreffende artikelen van Verordening (EU) 2016/679 niet in wezenlijke mate gewijzigd in de UK GDPR. Op grond van de UK GDPR kunnen bepaalde afwijkingen, net zoals op grond van Verordening (EU) 2016/679, slechts worden gebruikt wanneer de doorgifte incidenteel is (77). Het ICO heeft in zijn richtsnoeren over internationale doorgiften bovendien verduidelijkt dat: deze afwijkingen alleen mogen worden gebruikt als echte uitzonderingen op de algemene regel dat een beperkte doorgifte niet dient te worden verricht, tenzij deze onder een adequaatheidsbesluit valt of in passende waarborgen is voorzien (78). Met betrekking tot doorgiften die wegens gewichtige redenen van algemeen belang (artikel 49, lid 1, punt d)) noodzakelijk zijn, kan de Secretary of State regelingen vaststellen om de omstandigheden te specificeren waarin een doorgifte van persoonsgegevens aan een derde land of internationale organisatie niet noodzakelijk is wegens gewichtige redenen van algemeen belang. De Secretary of State kan de doorgifte van een categorie persoonsgegevens aan een derde land of internationale organisatie bovendien door middel van een regeling beperken wanneer de doorgifte niet op basis van een adequaatheidsbepaling kan plaatsvinden en de Secretary of State van oordeel is dat de beperking noodzakelijk is wegens gewichtige redenen van algemeen belang. Dergelijke regelingen zijn tot nu toe niet vastgesteld.

(81)

Dit kader voor internationale doorgiften is aan het einde van de overgangsperiode van toepassing geworden (79). In punt 4 van bijlage 21 bij de DPA van 2018 (ingevoerd bij de DPPEC Regulations) is echter bepaald dat bepaalde doorgiften van persoonsgegevens vanaf het einde van de overgangsperiode worden behandeld alsof zij zouden zijn gebaseerd op adequaatheidsbepalingen. Deze doorgiften omvatten doorgiften aan EER-landen, het territorium Gibraltar, een instelling, orgaan of instantie van de Unie, opgericht bij of krachtens het VEU, en derde landen die aan het einde van de overgangsperiode onder een adequaatheidsbesluit van de EU vielen. Doorgiften aan deze landen kunnen blijven plaatsvinden zoals vóór de terugtrekking van het Verenigd Koninkrijk uit de EU. Na de overgangsperiode moet de Secretary of State een evaluatie van deze adequaatheidsbevindingen uitvoeren gedurende een periode van vier jaar, dat wil zeggen vóór eind december 2024. Hoewel de Secretary of State vóór eind december 2024 een evaluatie moet uitvoeren, bevatten de overgangsbepalingen volgens de uitleg van de Britse autoriteiten geen beëindigingsbepaling en zal de geldigheid van de desbetreffende overgangsbepalingen niet eindigen wanneer er geen evaluatie is verricht vóór eind december 2024.

(82)

Tot slot zal de Commissie met betrekking tot de toekomstige ontwikkeling van de Britse regeling inzake internationale doorgiften — door nieuwe adequaatheidsbepalingen aan te nemen, internationale overeenkomsten te sluiten of andere doorgiftemechanismen te ontwikkelen — de situatie van dichtbij volgen, beoordelen of de verschillende doorgiftemechanismen worden gebruikt op een manier die de continuïteit van de bescherming waarborgt, en, indien noodzakelijk, passende maatregelen nemen om mogelijke nadelige effecten op die continuïteit aan te pakken (zie de overwegingen (278) tot en met (287)). Aangezien de EU en het Verenigd Koninkrijk gelijksoortige voorschriften voor internationale doorgiften hanteren, zouden problematische verschillen naar verwachting ook kunnen worden vermeden door middel van samenwerking en de uitwisseling van informatie en ervaringen, onder andere tussen de Information Commissioner en het EDPB.

(83)

Volgens het verantwoordingsbeginsel moeten entiteiten die gegevens verwerken passende technische en organisatorische maatregelen nemen om doeltreffend hun verplichtingen inzake gegevensbescherming te kunnen naleven, en moeten zij de naleving daarvan kunnen aantonen, in het bijzonder ten overstaan van de bevoegde toezichthoudende autoriteit.

(84)

Het verantwoordingsbeginsel waarin is voorzien in Verordening (EU) 2016/679 is in artikel 5, lid 2, van de UK GDPR zonder wezenlijke wijzigingen gehandhaafd. Hetzelfde geldt voor artikel 24 inzake de verantwoordelijkheid van de verwerkingsverantwoordelijke, artikel 25 inzake gegevensbescherming door ontwerp en door standaardinstellingen en artikel 30 inzake het register van de verwerkingsactiviteiten. Ook de artikelen 35 en 36 inzake de gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging van de toezichthoudende autoriteit zijn gehandhaafd. De artikelen 37 tot en met 39 van Verordening (EU) 2016/679 inzake de aanwijzing en de taken van de functionaris voor gegevensbescherming zijn ook zonder wezenlijke wijzigingen overgenomen in de UK GDPR. De bepalingen van de artikelen 40 en 42 van Verordening (EU) 2016/679 inzake gedragscodes en certificering zijn tevens gehandhaafd in de UK GDPR (80).

(85)

Om ervoor te zorgen dat in de praktijk een passend niveau van bescherming van persoonsgegevens wordt gewaarborgd, moet er worden voorzien in een onafhankelijke toezichthoudende autoriteit met bevoegdheden tot monitoring en handhaving van de naleving van de gegevensbeschermingsvoorschriften. Deze autoriteit moet bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk en onpartijdig handelen.

(86)

In het Verenigd Koninkrijk worden het toezicht op en de handhaving van de naleving van de UK GDPR en de DPA 2018 uitgevoerd door de Information Commissioner. De Information Commissioner is een “enkele instantie”: een afzonderlijke rechtspersoon die wordt gevormd door één natuurlijke persoon. De werkzaamheden van de Information Commissioner worden ondersteund door een bureau. Op 31 maart 2020 had het bureau van de Information Commissioner 768 vaste personeelsleden (81). De Information Commissioner wordt gefinancierd door het Ministerie voor Digitale Zaken, Cultuur, Media en Sport (82).

(87)

De onafhankelijkheid van de Commissioner is uitdrukkelijk vastgesteld in artikel 52 van de UK GDPR, dat niet wezenlijk is gewijzigd in vergelijking met artikel 52, leden 1 tot en met 3 van de AVG. De Commissioner moet bij de uitvoering van zijn taken en de uitoefening van zijn bevoegdheden overeenkomstig de UK GDPR volledig onafhankelijk optreden en vrij blijven van al dan niet rechtstreekse externe invloed in verband met deze taken en bevoegdheden en mag van niemand instructies vragen of aanvaarden. De Commissioner dient zich te onthouden van handelingen die onverenigbaar zijn met zijn taken en mag gedurende zijn ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden verrichten die onverenigbaar zijn met zijn taken.

(88)

De voorwaarden voor de benoeming en het ontslag van de Information Commissioner zijn vervat in bijlage 12 bij de DPA 2018. De Information Commissioner wordt benoemd door Hare Majesteit op voordracht van de regering aan de hand van een eerlijke en open concurrentieprocedure. De kandidaat moet beschikken over passende kwalificaties, vaardigheden en competenties. In overeenstemming met de Governance Code on Public Appointments (83) (de Britse governancecode voor benoemingen in overheidsfuncties) stelt een adviespanel een lijst van geschikte kandidaten op. Voordat de Secretary of State van het Ministerie van Digitale Zaken, Cultuur, Media en Sport een definitief besluit neemt, moet de desbetreffende beperkte commissie van het parlement voorafgaand aan de benoeming een onderzoek uitvoeren. Het standpunt van de commissie wordt openbaar gemaakt (84).

(89)

De Information Commissioner wordt voor een termijn van zeven jaar benoemd. Een persoon kan slechts éénmaal tot Information Commissioner worden benoemd. De Information Commissioner kan door Hare Majesteit naar aanleiding van een address van beide kamers van het parlement worden ontslagen (85). Een verzoek om ontslag van de Information Commissioner kan slechts worden voorgelegd aan een kamer van het parlement wanneer een minister een verslag heeft gepresenteerd waarin hij verklaart dat hij het bewezen acht dat de Information Commissioner zich schuldig heeft gemaakt aan ernstig wangedrag en/of niet langer voldoet aan de voorwaarden die vereist zijn voor de uitoefening van diens taken (86).

(90)

De financiering van de Information Commissioner is afkomstig uit drie bronnen: i) bijdragen voor gegevensbescherming die door verwerkingsverantwoordelijken worden betaald en die zijn vastgesteld in de regelingen van de Secretary of State (87) (de Data Protection (Charges and Information) Regulations 2018 (de Britse regelingen gegevensbescherming (bijdragen en informatie) van 2018)), en die goed zijn voor 85 tot 90 % van de jaarlijkse begroting van het bureau (88); ii) subsidies die door de regering worden betaald aan de Information Commissioner. Subsidies worden voornamelijk gebruikt om de bedrijfskosten van de Information Commissioner te financieren met betrekking tot taken die geen verband houden met gegevensbescherming (89); en iii) vergoedingen die voor diensten in rekening worden gebracht (90). Dergelijke vergoedingen worden momenteel niet in rekening gebracht.

(91)

De algemene taken van de Information Commissioner in verband met de verwerking van persoonsgegevens die vallen onder de UK GDPR zijn vastgesteld in artikel 57 van de UK GDPR en zijn bijna gelijk aan de dienovereenkomstige regels van Verordening (EU) 2016/679. Tot zijn taken behoren de monitoring en handhaving van de UK GDPR, de bevordering van de bekendheid bij het brede publiek, de behandeling van klachten van betrokkenen, de verrichting van onderzoeken enz. Daarnaast zijn in artikel 115 van de DPA 2018 andere algemene taken van de Commissioner uiteengezet, waaronder een verplichting om advies te verlenen aan het parlement, de regering en andere instellingen en organen over wetgevingsinitiatieven en bestuursmaatregelen in verband met de bescherming van de rechten en vrijheden van personen op het gebied van de verwerking van persoonsgegevens, en een bevoegdheid om op eigen initiatief of op verzoek advies uit te brengen aan het parlement, de regering of andere instellingen en organen, alsmede het publiek, over kwesties in verband met de bescherming van persoonsgegevens. Om de onafhankelijkheid van de rechterlijke macht te handhaven, mag de Information Commissioner zijn taken niet uitoefenen in verband met de verwerking van persoonsgegevens van een persoon die optreedt in een rechterlijke hoedanigheid of een rechter of administratieve rechtbank die optreedt in zijn rechterlijke hoedanigheid. Het toezicht op de rechterlijke macht wordt echter gewaarborgd door gespecialiseerde organen (zie de overwegingen (99) tot en met (103)).

(92)

De bevoegdheden van de Information Commissioner zijn uiteengezet in artikel 58 van de UK GDPR, waarin geen wezenlijke wijzigingen zijn aangebracht ten opzichte van het overeenkomstige artikel van Verordening (EU) 2016/679. In de DPA 2018 zijn aanvullende regels vastgesteld over de manier waarop deze bevoegdheden kunnen worden uitgeoefend. De Commissioner heeft met name de bevoegdheid om: a) de verwerkingsverantwoordelijke en de verwerker (en, in bepaalde omstandigheden, een andere persoon) te gelasten de vereiste informatie te verstrekken door middel van een aanzegging tot informatie (“aanzegging tot informatie”) (91); b) onderzoeken en controles te verrichten in de vorm van een aanzegging tot beoordeling, waarin de verwerkingsverantwoordelijke of verwerker kan worden gelast de Commissioner toegang te verlenen tot gespecificeerde bedrijfsruimten om documenten of uitrusting te inspecteren of onderzoeken, personen te interviewen die namens de verwerkingsverantwoordelijke persoonsgegevens verwerken enz. (“aanzegging tot beoordeling”) (92); c) anderszins toegang te verkrijgen tot documenten enz. van verwerkingsverantwoordelijken en verwerkers, evenals toegang tot hun bedrijfsruimten in overeenstemming met artikel 154 van de DPA 2018 (“toegangs- en inspectiebevoegdheden”); d) zijn corrigerende bevoegdheden uit te oefenen, onder meer door middel van waarschuwingen en berispingen, of opdrachten te geven aan de hand van een sommatie tot nakoming, waarmee verwerkingsverantwoordelijken/verwerkers worden gelast genoemde stappen te nemen of hiervan af te zien, waaronder het gelasten van de verwerkingsverantwoordelijke of verwerker om handelingen uit te voeren die zijn gespecificeerd in artikel 58, lid 2, punten c) tot en met g) en j), van de UK GDPR (“sommatie tot nakoming”) (93); en e) administratieve sancties op de leggen in de vorm van een sanctiebeschikking (“sanctiebeschikking”) (94). Deze laatste kan ook worden opgelegd indien een overheidsinstantie de UK GDPR niet heeft nageleefd (95).

(93)

In het Regulatory Action Policy (beleid voor regelgevend optreden) van de Information Commissioner zijn de omstandigheden uiteengezet waarin deze een aanzegging tot informatie, beoordeling, sommatie tot nakoming of sanctiebeschikking vaststelt (96). Met een sommatie tot nakoming die wordt gedaan als reactie op nalaten van een verwerkingsverantwoordelijke of verwerker mogen alleen vereisten worden opgelegd die de Commissioner passend acht om het nalaten te verhelpen. Sommaties tot nakoming en sanctiebeschikkingen mogen aan een verwerkingsverantwoordelijke of verwerker worden afgegeven in verband met inbreuken op hoofdstuk II van de UK GDPR (beginselen inzake verwerking), de artikelen 12 tot en met 22 (rechten van de betrokkene), de artikelen 25 tot en met 39 (verplichtingen van verwerkingsverantwoordelijken en verwerkers) en de artikelen 44 tot en met 49 (internationale doorgiften) van de UK GDPR. Een sommatie tot nakoming kan ook worden afgegeven wanneer een verwerkingsverantwoordelijke de vereiste niet naleeft om een bijdrage te betalen zoals neergelegd in regelingen die op grond van artikel 137 van de DPA 2018 zijn vastgesteld. Er kan daarnaast een sommatie tot nakoming worden afgegeven aan een toezichthoudende autoriteit, zoals bedoeld in artikel 41, of een verlener van certificeringen indien zij hun verplichtingen uit hoofde van de UK GDPR niet nakomen. Een sanctiebeschikking kan ook worden afgegeven aan een persoon die niet heeft voldaan aan een aanzegging tot informatie of beoordeling of een sommatie tot nakoming.

(94)

In het geval van een sanctiebeschikking wordt vereist dat de persoon de Information Commissioner een in de beschikking gespecificeerd bedrag betaalt. Bij het bepalen of een sanctiebeschikking aan een persoon moet worden afgegeven en bij het bepalen van de hoogte van de sanctie, moet de Information Commissioner rekening houden met de kwesties die zijn opgenomen in artikel 83, leden 1 en 2, van de UK GDPR, die identiek zijn aan de overeenkomstige regels van Verordening (EU) nr. 2016/679 (97). Overeenkomstig artikel 83, leden 4 en 5, zijn de maximumbedragen van administratieve geldboeten wegens niet-nakoming van de in die bepalingen bedoelde verplichtingen respectievelijk 8 700 000 GBP en 17 500 000 GBP. Betreft het een onderneming, dan kan de Information Commissioner ook geldboeten opleggen als percentage van de wereldwijde jaaromzet, indien deze hoger is. Net zoals in de gelijkwaardige bepalingen van Verordening (EU) 2016/679 zijn deze bedragen vastgesteld op 2 en 4 % in artikel 83, leden 4 en 5. Bij niet-naleving van een aanzegging tot informatie of beoordeling of een sommatie tot nakoming is het maximumbedrag van de sanctie die kan worden opgelegd 17 500 000 GBP of, in het geval van een onderneming, 4 % van de wereldwijde jaaromzet, indien dit cijfer hoger is.

(95)

De UK GDPR en de DPA 2018 versterken ook de overige bevoegdheden van de Information Commissioner. De Commissioner kan nu bijvoorbeeld verplichte controles uitvoeren in verband met alle verwerkingsverantwoordelijken en verwerkers aan de hand van aanzeggingen tot beoordeling, terwijl de Commissioner op grond van de eerdere wetgeving, de Data Protection Act 1998, deze bevoegdheid slechts had met betrekking tot organisaties van de centrale overheid en op het gebied van gezondheid en overige organisaties moesten instemmen met een controle.

(96)

Sinds de invoering van Verordening (EU) 2016/679 behandelt het ICO jaarlijks ongeveer 40 000 klachten van betrokkenen (98) en voert het daarnaast ambtshalve ongeveer 2 000 onderzoeken (99) uit. De meeste klachten hebben betrekking op het recht van inzage en het recht op mededeling van gegevens. Naar aanleiding van zijn onderzoeken neemt de Commissioner handhavingsmaatregelen in een brede reeks sectoren. Meer specifiek heeft de Information Commissioner volgens zijn meest recente jaarverslag (2019-2020) (100) tijdens de verslagperiode 54 aanzeggingen tot informatie, 8 aanzeggingen tot beoordeling, 7 sommaties tot nakoming, 4 waarschuwingen, 8 vervolgingen en 15 geldboetes opgelegd (101).

(97)

Dit omvatte enkele aanzienlijke financiële sancties die op grond van Verordening (EU) 2016/679 en de DPA 2018 werden opgelegd. De Information Commissioner legde in het bijzonder in oktober 2020 een boete van 20 miljoen GBP op aan een Britse luchtvaartmaatschappij voor een inbreuk op gegevens die gevolgen had voor meer dan 400 000 klanten. Eind oktober 2020 werd een geldboete van 18,4 miljoen GBP opgelegd aan een internationale hotelketen omdat deze de persoonsgegevens van miljoenen klanten niet had beveiligd en in november 2020 werd een geldboete van 1,25 miljoen GBP opgelegd aan een Britse dienstverlener die online tickets voor evenementen verkocht omdat deze de betalingsgegevens van klanten niet had beschermd (102).

(98)

Naast de in overweging (92) beschreven handhavingsbevoegdheden van de Information Commissioner, vormen bepaalde schendingen van de wetgeving betreffende gegevensbescherming strafbare feiten en kunnen hiervoor derhalve strafrechtelijke sancties worden opgelegd (artikel 196 van de DPA 2018). Dit geldt bijvoorbeeld voor het opzettelijk of door onachtzaamheid verkrijgen of meedelen van persoonsgegevens zonder de toestemming van de verwerkingsverantwoordelijke (103), het bewerkstelligen van de bekendmaking van persoonsgegevens aan een andere persoon zonder toestemming van de verwerkingsverantwoordelijke, het ongedaan maken van de anonimisering van persoonsgegevens (104) zonder toestemming van de verwerkingsverantwoordelijke die hiervoor verantwoordelijk is, het opzettelijk belemmeren van de bevoegdheid van de Commissioner om zijn bevoegdheden uit te oefenen in verband met de inspectie van persoonsgegevens in overeenstemming met internationale verplichtingen (105), het afleggen van valse verklaringen in reactie op een aanzegging tot informatie of het vernietigen van informatie in verband met aanzeggingen tot informatie en beoordeling (106).

(99)

Het toezicht op de verwerking van persoonsgegevens door rechters en de rechtelijke macht is tweeledig. Wanneer gerechtsambtenaren of rechters niet optreden in een rechterlijke hoedanigheid, wordt het toezicht verricht door het ICO. Wanneer de verwerkingsverantwoordelijke optreedt in een rechterlijke hoedanigheid, kan het ICO zijn toezichtstaken (107) niet uitoefenen en wordt het toezicht verricht door speciale organen. Hiermee wordt de benadering van Verordening (EU) 2016/679 (artikel 55, lid 3) gevolgd.

(100)

In het tweede scenario wordt dit toezicht op de rechters van Engeland en Wales en de First-tier en Upper Tribunals (administratieve rechtbanken van eerste aanleg en hogere administratieve rechtbanken) van Engeland en Wales uitgeoefend door het Judicial Data Protection Panel (gerechtelijk panel voor gegevensbescherming) (108). Daarnaast hebben de Lord Chief Justice (hoogste rechter) en de Senior President of Tribunals (eerste voorzitter van de administratieve rechtbanken) een privacyverklaring (109) bekendgemaakt, waarin uiteen is gezet hoe de rechters in Engeland en Wales persoonsgegevens verwerken voor de uitoefening van gerechtelijke taken. De Noord-Ierse (110) en Schotse rechterlijke macht (111) hebben een vergelijkbare verklaring afgegeven.

(101)

In Noord-Ierland heeft de Lord Chief Justice van Noord-Ierland bovendien een rechter van de High Court aangewezen als Data Supervisory Judge (rechter voor gegevenstoezicht, hierna “DSJ” genoemd) (112). Hij heeft voor de Noord-Ierse rechterlijke macht ook richtsnoeren uitgevaardigd voor wat er moet worden gedaan in het geval dat gegevens verloren gaan of mogelijk verloren gaan en voor het omgaan met problemen die hieruit voortvloeien (113).

(102)

In Schotland heeft de Lord President een DSJ aangewezen voor het onderzoeken van klachten op grond van de gegevensbescherming. Dit is uiteengezet in de regels betreffende gerechtelijke klachten, die overeenkomen met de regels die voor Engeland en Wales zijn vastgesteld (114).

(103)

Tot slot wordt binnen de Supreme Court (hoogste Britse rechterlijke instantie) een van de rechters van de Supreme Court aangewezen om toezicht te houden op de gegevensbescherming.

(104)

Om een passende bescherming en vooral handhaving van individuele rechten te waarborgen, moeten aan de betrokkene doeltreffende administratieve en gerechtelijke rechtsmiddelen worden toegekend, met inbegrip van een recht op schadeloosstelling.

(105)

Ten eerste hebben betrokkenen het recht om een klacht in te dienen bij de Information Commissioner wanneer zij van mening zijn dat sprake is van een inbreuk op de UK GDPR (115) in verband met persoonsgegevens die hen betreffen. In de UK GDPR zijn de regels van artikel 77 van Verordening (EU) 2016/679 inzake dat recht zonder wezenlijke wijzigingen overgenomen. Hetzelfde geldt voor artikel 57, lid 1, punt f), en artikel 57, lid 2, waarin de taken van de Commissioner in verband met de behandeling van klachten zijn vastgesteld. Zoals beschreven in de overwegingen (92) tot en met (98), is de Information Commissioner bevoegd om de naleving van de UK GDPR en de DPA 2018 door de verwerkingsverantwoordelijke en de verwerker te beoordelen, om hen te gelasten in het geval van niet-naleving de noodzakelijke stappen te nemen of hiervan af te zien en om geldboetes op te leggen.

(106)

Ten tweede bieden de UK GDPR en de DPA 2018 het recht om een voorziening in rechte in te stellen tegen de Information Commissioner. Overeenkomstig artikel 78, lid 1, van de UK GDPR hebben personen het recht om een doeltreffende voorziening in rechte in te stellen tegen een hen betreffend juridisch bindend besluit van de Commissioner. In het kader van de rechterlijke toetsing onderzoekt de rechter het besluit dat in de vordering wordt aangevochten en stelt hij vast of de Information Commissioner rechtmatig heeft gehandeld. De klager heeft op grond van artikel 78, lid 2, van de UK GDPR bovendien recht om een voorziening in rechte in te stellen wanneer de Commissioner een klacht van de betrokkene niet naar behoren behandelt (116). De klager kan een procedure instellen bij een First Tier Tribunal om de Commissioner te gelasten de passende maatregelen te nemen om op de klacht te reageren of de klager te informeren over de voortgang ten aanzien van de ingediende klacht (117). Daarnaast kan een persoon die een van de bovengenoemde kennisgevingen (aanzegging tot informatie, beoordeling, sommatie tot nakoming of sanctiebeschikking) van de Commissioner ontvangt, beroep aantekenen bij een First Tier Tribunal (118). Als het Tribunal oordeelt dat het besluit van de Commissioner niet in overeenstemming is met de wet of dat de Information Commissioner zijn bevoegdheid op een andere wijze had moeten uitoefenen, moet het Tribunal het ingestelde beroep toestaan of de aanzegging/sommatie/beschikking of het besluit vervangen door een andere aanzegging/sommatie/beschikking of een ander besluit die/dat door de Information Commissioner had kunnen worden afgegeven of genomen.

(107)

Ten derde kunnen personen op grond van artikel 79 van de UK GDPR en artikel 167 van de DPA 2018 rechtstreeks voor de rechter een voorziening in rechte instellen tegen verwerkingsverantwoordelijken en verwerkers. Als een rechter het met betrekking tot een verzoek van een betrokkene bewezen acht dat er sprake is geweest van een inbreuk op de rechten van de betrokkene op grond van de wetgeving betreffende gegevensbescherming, kan de rechter de verwerkingsverantwoordelijke, of een verwerker die namens die verwerkingsverantwoordelijke optreedt, met betrekking tot de verwerking gelasten de in het bevel genoemde stappen te nemen of af te zien van de in het bevel genoemde stappen.

(108)

Een persoon die materiële of immateriële schade heeft geleden als gevolg van een inbreuk op de UK GDPR, heeft bovendien op grond van artikel 82 UK GDPR en artikel 168 van de DPA 2018 recht op een vergoeding van de verwerkingsverantwoordelijke of de verwerker voor de geleden schade. De regels inzake de vergoeding en aansprakelijkheid van artikel 82, leden 1 tot en met 5, van de UK GDPR zijn identiek aan de overeenkomstige regels van Verordening (EU) 2016/679. Op grond van artikel 168 van de DPA 2018 valt nood ook onder immateriële schade. Op grond van artikel 80 van de UK GDPR heeft de betrokkene ook een recht om een vertegenwoordigend orgaan of vertegenwoordigende organisatie opdracht te geven de klacht namens hem in te dienen bij de Commissioner (op grond van artikel 77 van de UK GDPR) en om de in de artikelen 78 (recht om een doeltreffende voorziening in rechte in te stellen tegen de Commissioner), 79 (recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of verwerker) en 82 (recht op schadevergoeding en aansprakelijkheid) van de UK GDPR namens hem uit te oefenen.

(109)

Ten vierde kunnen personen die van mening zijn dat hun rechten, met inbegrip van het recht op privacy en gegevensbescherming, door overheidsinstanties zijn geschonden niet alleen middels een hierboven genoemde voorziening in rechte, maar ook voor de Britse rechter op grond van de Human Right Act 1998 (119) een schadeloosstelling verkrijgen. Een persoon die stelt dat een overheidsinstantie op een wijze heeft gehandeld (of voorstelt te handelen) die onverenigbaar is met een verdragsrecht en die dienovereenkomstig onrechtmatig is op grond van artikel 6, lid 1, van de Human Rights Act 1998, kan een procedure tegen de instantie instellen bij de passende rechter of administratieve rechtbank of de desbetreffende rechten in een juridische procedure inroepen wanneer hij het slachtoffer is (of zou zijn) van de onrechtmatige handeling.

(110)

Indien de rechter oordeelt dat een handeling van een overheidsinstantie onrechtmatig is, kent hij, binnen zijn bevoegdheden en zoals hij billijk en passend acht, een dergelijke schadeloosstelling of voorziening toe of geeft hij hiertoe opdracht (120). De rechter kan ook een bepaling van de primaire wetgeving onverenigbaar verklaren met een verdragsrecht.

(111)

Tot slot kan een persoon, nadat alle nationale rechtsmiddelen zijn uitgeput, een voorziening instellen bij het Europees Hof voor de Rechten van de Mens in verband met schendingen van de rechten die door het Europees Verdrag voor de rechten van de mens worden gewaarborgd.

(112)

De Commissie heeft ook het rechtskader van het Verenigd Koninkrijk beoordeeld inzake de verzameling en het daaropvolgende gebruik van persoonsgegevens die door Britse overheidsinstanties in het algemeen belang, met name de handhaving van het strafrecht en nationale veiligheid, worden doorgegeven aan bedrijfsexploitanten in het Verenigd Koninkrijk (hierna “overheidstoegang” genoemd). Bij de beoordeling van de vraag of de voorwaarden waaronder overheidstoegang tot gegevens die op grond van dit besluit aan het Verenigd Koninkrijk worden doorgegeven “in feite overeenkomend” zijn met artikel 45, lid 1, van Verordening (EU) 2016/679 (de “AVG”), zoals uitgelegd door het Hof van Justitie van de Europese Unie (het “HvJ-EU”) in het licht van het Handvest van de grondrechten, heeft de Commissie met name rekening gehouden met de volgende criteria.

(113)

Ten eerste moet elke beperking van het recht op bescherming van persoonsgegevens bij wet worden geregeld en moet de rechtsgrondslag die de aantasting van een dergelijk recht mogelijk maakt, zelf de reikwijdte van de beperking op de uitoefening van het betrokken recht bepalen (121).

(114)

Ten tweede moet, om te voldoen aan het evenredigheidsvereiste, dat inhoudt dat afwijkingen en beperkingen van de bescherming van persoonsgegevens slechts van toepassing mogen zijn voor zover zulks in een democratische samenleving strikt noodzakelijk is om specifieke doelstellingen van algemeen belang te verwezenlijken die gelijkwaardig zijn aan die welke door de Unie worden erkend, de wetgeving van het betrokken derde land die de inmenging toestaat, duidelijke en nauwkeurige regels betreffende de werkingssfeer en de toepassing van de betrokken maatregelen vaststellen en minimumwaarborgen opleggen, opdat de personen wier gegevens zijn doorgegeven, over voldoende waarborgen beschikken om hun persoonsgegevens doeltreffend te beschermen tegen het risico van misbruik (122) De wetgeving moet met name aangeven in welke omstandigheden en onder welke voorwaarden een maatregel kan worden genomen (123) die voorziet in de verwerking van dergelijke gegevens, en moet de naleving van dergelijke vereisten aan onafhankelijk toezicht onderwerpen (124).

(115)

Ten derde moet die wetgeving volgens het nationale recht juridisch bindend zijn en moeten die wettelijke voorschriften niet alleen bindend zijn voor de autoriteiten, maar ook voor de rechterlijke instantie afdwingbaar zijn tegenover de autoriteiten van het betrokken derde land (125). Betrokkenen moeten met name de mogelijkheid hebben een rechtsvordering in te stellen bij een onafhankelijke en onpartijdige rechterlijke instantie om inzage te krijgen in hun persoonsgegevens of om deze gegevens te laten corrigeren of wissen (126).

(116)

Als bevoegdheidsuitoefening door een overheidsinstantie moet overheidstoegang in het Verenigd Koninkrijk plaatsvinden met volledige inachtneming van de wet. Het Verenigd Koninkrijk heeft het Europees Verdrag tot bescherming van de rechten van de mens geratificeerd (zie overweging (9)) en alle Britse overheidsinstanties zijn verplicht te handelen in overeenstemming met dat verdrag (127). Artikel 8 van het verdrag bepaalt dat inmenging in de persoonlijke levenssfeer in overeenstemming moet zijn met de wet, in het belang van een van de in artikel 8, lid 2, genoemde doelstellingen, en evenredig moet zijn in het licht van die doelstelling. Artikel 8 vereist ook dat de inmenging “voorzienbaar” is, d.w.z. een duidelijke, toegankelijke grondslag in de wet heeft, en dat de wet passende waarborgen bevat om misbruik te voorkomen.

(117)

Bovendien heeft het Europees Hof voor de Rechten van de Mens in zijn rechtspraak gespecificeerd dat elke aantasting van het recht op privacy en gegevensbescherming onderworpen moet zijn aan een doeltreffend, onafhankelijk en onpartijdig toezichtsysteem, dat ofwel door een rechter, ofwel door een ander onafhankelijk orgaan (128) (bijvoorbeeld een administratieve autoriteit of een parlementair orgaan) moet worden ingesteld.

(118)

Bovendien moeten personen over een doeltreffend rechtsmiddel beschikken, en het Europees Hof voor de Rechten van de Mens heeft verduidelijkt dat dit rechtsmiddel moet worden geboden door een onafhankelijk en onpartijdig orgaan dat zijn eigen reglement van orde heeft vastgesteld, dat bestaat uit leden die een hoge rechterlijke functie bekleden of hebben bekleed of ervaren advocaten zijn, en dat er geen bewijslast mag zijn die moet worden overwonnen om een verzoek bij het Europees Hof voor de Rechten van de Mens in te dienen. Bij het onderzoek van klachten van individuen moet het onafhankelijke en onpartijdige orgaan toegang hebben tot alle relevante informatie, met inbegrip van vertrouwelijk materiaal. Ten slotte moet het de bevoegdheid hebben om niet-naleving te corrigeren (129).

(119)

Het Verenigd Koninkrijk heeft ook het Verdrag van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (ETS nr. 108, “Verdrag 108”) geratificeerd, en heeft in 2018 het Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (bekend als ETS nr. 108+, “Verdrag 108+”) ondertekend (130). Artikel 9 van Verdrag 108 bepaalt dat afwijkingen van de algemene beginselen inzake gegevensbescherming (artikel 5, Hoedanigheid van de gegevens), van de voorschriften betreffende bijzondere categorieën gegevens (artikel 6, Bijzondere categorieën gegevens) en van de rechten van de betrokkene (artikel 8, Bijkomende waarborgen voor de betrokkene) alleen zijn toegestaan wanneer de wetgeving van de partij in een dergelijke afwijking voorziet en het gaat om een maatregel die in een democratische samenleving noodzakelijk is ter bescherming van de staatsveiligheid, de openbare veiligheid of de monetaire belangen van de staat, ter bestrijding van strafbare feiten, of ter bescherming van de betrokkene of van de rechten en vrijheden van anderen (131).

(120)

Door zijn lidmaatschap van de Raad van Europa, zijn toetreding tot het Europees Verdrag tot bescherming van de rechten van de mens en zijn onderwerping aan de jurisdictie van het EHRM, is het Verenigd Koninkrijk derhalve onderworpen aan een aantal in het internationaal recht verankerde verplichtingen, die zijn systeem van overheidstoegang inkaderen op basis van beginselen, waarborgen en individuele rechten die vergelijkbaar zijn met die welke door het EU-recht worden gewaarborgd en op de lidstaten van toepassing zijn. Zoals in overweging (19) wordt benadrukt, is de blijvende naleving van dergelijke instrumenten dan ook een bijzonder belangrijk element van de beoordeling waarop dit besluit is gebaseerd.

(121)

Bovendien worden in de DPA 2018 specifieke waarborgen en rechten inzake gegevensbescherming gegarandeerd wanneer gegevens worden verwerkt door overheidsinstanties, met inbegrip van rechtshandhavingsinstanties en nationale veiligheidsdiensten.

(122)

Met name is de regeling voor de verwerking van persoonsgegevens in het kader van de strafrechtelijke wetshandhaving opgenomen in deel 3 van de DPA 2018, die is vastgesteld ter omzetting van Richtlijn (EU) 2016/680. Deel 3 van de DPA 2018 is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de uitvoering van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid (132).

(123)

Het concept „bevoegde autoriteit”wordt in artikel 30 van de DPA gedefinieerd als een in bijlage 7 bij de DPA 2018 vermelde persoon alsook elke andere persoon, voor zover de persoon wettelijke taken uitoefent voor een van de rechtshandhavingsdoeleinden (133). Zoals hierboven uitgelegd (zie overweging (139)), mogen bepaalde bevoegde autoriteiten (zoals het National Crime Agency (Nationaal agentschap voor criminaliteitsbestrijding)) onder bepaalde voorwaarden gebruikmaken van de bevoegdheden uit hoofde van de Investigatory Powers Act 2016 (Wet op de onderzoeksbevoegdheden, IPA 2016). In dit geval zijn de waarborgen uit hoofde van de IPA 2016 van toepassing, naast de waarborgen van deel 3 van de DPA 2018. De inlichtingendiensten (Secret Intelligence Service, Security Service en de Government Communications Headquarters) zijn geen onder deel 3 van de DPA 2018 vallende “bevoegde autoriteiten” (134) en derhalve zijn de daarin vervatten voorschriften niet op hun activiteiten van toepassing. Een specifiek deel van de DPA 2018 (deel 4) behelst de verwerking van persoonsgegevens door inlichtingendiensten (zie voor meer details overweging (125)).

(124)

Net als in Richtlijn (EU) 2016/680 worden in deel 3 van de DPA 2018 de beginselen van rechtmatigheid en behoorlijkheid (135), doelbinding (136), minimale gegevensverwerking (137), nauwkeurigheid (138), opslagbeperking (139) en gegevensbeveiliging (140) uiteengezet. De wetgeving legt specifieke transparantieverplichtingen (141) op en verleent personen het recht op inzage (142), rectificatie en wissing (143) en het recht om niet aan geautomatiseerde besluitvorming (144) te worden onderworpen. De bevoegde autoriteiten zijn ook verplicht gegevensbescherming door ontwerp en door standaardinstellingen toe te passen, een register van verwerkingsactiviteiten bij te houden en voor bepaalde verwerkingsactiviteiten een privacyeffectbeoordeling uit te voeren en de Information Commissioner vooraf te raadplegen (145). Krachtens artikel 56 van de DPA 2018 moeten zij de naleving aantonen. Bovendien moeten zij passende maatregelen nemen om de beveiliging van de verwerking (146) te waarborgen en gelden voor hen specifieke verplichtingen in geval van een inbreuk in verband met gegevens, waaronder kennisgeving van dergelijke inbreuken aan de Information Commissioner en de betrokkenen (147). Zoals tevens het geval is in Richtlijn (EU) 2016/680, is een verwerkingsverantwoordelijke (tenzij het gaat om een rechter of een andere rechterlijke instantie die in een justitiële hoedanigheid optreedt) verplicht om een functionaris voor gegevensbescherming (148) aan te wijzen, die de verwerkingsverantwoordelijke bijstaat bij het nakomen van zijn verplichtingen en bij het toezicht op die nakoming (149). Bovendien stelt de wetgeving specifieke eisen aan de internationale doorgifte van persoonsgegevens voor rechtshandhavingsdoeleinden aan derde landen of internationale organisaties, teneinde de continuïteit van de bescherming te waarborgen (150). Op dezelfde datum als dit besluit heeft de Commissie een adequaatheidsbesluit [vastgesteld] op grond van artikel 36, lid 3, van Richtlijn (EU) 2016/680, waarin wordt bepaald dat de gegevensbeschermingsregeling die van toepassing is op de verwerking door de Britse strafrechtelijke wetshandhavingsinstanties een beschermingsniveau waarborgt dat in feite overeenkomend is met het niveau dat door Richtlijn (EU) 2016/680 wordt gewaarborgd.

(125)

Deel 4 van de DPA 2018 is van toepassing op alle verwerking door of namens de inlichtingendiensten. Het beschrijft met name de belangrijkste beginselen inzake gegevensbescherming (rechtmatigheid, behoorlijkheid en transparantie (151); doelbinding (152); minimale gegevensverwerking (153); nauwkeurigheid (154); opslagbeperking (155) en gegevensbeveiliging (156)), stelt voorwaarden aan de verwerking van bijzondere categorieën persoonsgegevens (157), voorziet in de rechten van betrokkenen (158), vereist gegevensbescherming door ontwerp (159) en regelt de internationale doorgifte van persoonsgegevens (160). De Information Commissioner heeft onlangs richtsnoeren uitgegeven over de verwerking door inlichtingendiensten op grond van deel 4 van de DPA 2018 (161).

(126)

Tegelijkertijd voorziet artikel 110 van de DPA 2018 in een vrijstelling van gespecificeerde bepalingen van deel 4 van de DPA 2018 (162), wanneer een dergelijke vrijstelling nodig is om de nationale veiligheid te waarborgen. Op deze vrijstelling kan een beroep worden gedaan op basis van een analyse per geval (163). Zoals de Britse autoriteiten hebben uitgelegd en door de rechtspraak is bevestigd, moet een verwerkingsverantwoordelijke “nagaan wat de feitelijke gevolgen voor de nationale veiligheid of defensie zijn indien zij de specifieke gegevensbeschermingsbepaling moeten naleven, en of zij redelijkerwijs de gebruikelijke regel kunnen naleven zonder de nationale veiligheid of defensie in gevaar te brengen” (164). Of de vrijstelling al dan niet correct is gebruikt, is onderworpen aan het toezicht van het ICO (165).

(127)

Bovendien kan een verwerkingsverantwoordelijke met betrekking tot de mogelijkheid om ter waarborging van de “nationale veiligheid” de toepassing van de bovengenoemde gespecificeerde bepalingen overeenkomstig artikel 111 van de DPA 2018 te beperken, een door een minister van het kabinet of de procureur-generaal ondertekend certificaat aanvragen waarin wordt verklaard dat een beperking van dergelijke rechten een noodzakelijke en evenredige maatregel is ter waarborging van de nationale veiligheid (166).

(128)

De Britse regering heeft richtsnoeren uitgevaardigd om verwerkingsverantwoordelijken te helpen wanneer zij overwegen of zij een nationaleveiligheidscertificaat uit hoofde van de DPA 2018 moeten aanvragen, waarin met name wordt benadrukt dat elke beperking van de rechten van betrokkenen ter bescherming van de nationale veiligheid evenredig en noodzakelijk moet zijn (167). Alle nationaleveiligheidscertificaten moet op de website van de Information Commissioner worden gepubliceerd (168).

(129)

Het certificaat moet een vaste geldigheidsduur hebben van ten hoogste vijf jaar, en moet dus regelmatig door het uitvoerende orgaan worden herzien (169). Een certificaat identificeert de persoonsgegevens of de categorieën persoonsgegevens waarvoor de vrijstelling geldt, alsook de bepalingen van de DPA 2018 waarop de vrijstelling van toepassing is (170).

(130)

Het is belangrijk erop te wijzen dat de nationaleveiligheidscertificaten geen bijkomende grond biedt voor het beperken van het recht op gegevensbescherming met het oog op de nationale veiligheid. De verwerkingsverantwoordelijke of de verwerker kan zich met andere woorden alleen op een certificaat beroepen wanneer hij heeft geconcludeerd dat het noodzakelijk is een beroep te doen op de nationaleveiligheidsvrijstelling, die, zoals hierboven is uitgelegd, per geval moet worden toegepast (171). Zelfs indien een nationaleveiligheidscertificaat van toepassing is op de betreffende kwestie, kan het ICO onderzoeken of het in een specifiek geval al dan niet gerechtvaardigd was een beroep te doen op de nationaleveiligheidsvrijstelling (172).

(131)

Eenieder die rechtstreeks wordt geraakt door de afgifte van het certificaat kan bij het Upper Tribunal (173) (beroepsrechter) beroep instellen tegen het certificaat (174) of, wanneer het certificaat gegevens aanduidt door middel van een algemene beschrijving, de toepassing van het certificaat op specifieke gegevens aanvechten (175). Het Upper Tribunal toetst het besluit tot afgifte van een certificaat en beslist of er redelijke gronden waren voor de afgifte van het certificaat (176). Het kan een groot aantal kwesties in overweging nemen, waaronder de noodzaak, de evenredigheid en de rechtmatigheid, rekening houdend met het effect op de rechten van de betrokkenen en een afweging van de noodzaak om de nationale veiligheid te waarborgen. Als gevolg daarvan kan het Upper Tribunal bepalen dat het certificaat niet van toepassing is op specifieke persoonsgegevens waartegen het beroep is ingesteld (177).

(132)

Een andere reeks mogelijke beperkingen betreft de beperkingen die uit hoofde van bijlage 11 bij de DPA 2018 van toepassing zijn op bepaalde bepalingen van deel 4 van de DPA 2018 (178) ter bescherming van andere belangrijke doelstellingen van algemeen openbaar belang of beschermde belangen, zoals bijvoorbeeld parlementaire onschendbaarheid, de wettelijke geheimhoudingsplicht, het voeren van gerechtelijke procedures of de gevechtseffectiviteit van de strijdkrachten (179). De toepassing van deze bepalingen is ofwel vrijgesteld voor bepaalde categorieën gegevens (“specifieke categorie”), ofwel vrijgesteld voor zover de toepassing van deze bepalingen het beschermde belang zou kunnen schaden (“specifiek belang”) (180). Er kan slechts een beroep worden gedaan op een vrijstelling op basis van een specifiek belang voor zover de toepassing van de in de lijst opgenomen gegevensbeschermingsbepaling het betrokken specifieke belang zou kunnen schaden. Het gebruik van een vrijstelling moet derhalve altijd worden gerechtvaardigd door te verwijzen naar de relevante schade die zich in het afzonderlijke geval zou kunnen voordoen. Op vrijstellingen op basis van specifieke categorieën kan alleen een beroep worden gedaan met betrekking tot de specifieke, nauw omschreven categorie gegevens waarvoor de vrijstelling is verleend. Deze zijn qua doel en effect vergelijkbaar met diverse uitzonderingen op de UK GDPR (uit hoofde van bijlage 2 bij de DPA 2018), die op hun beurt een afspiegeling zijn van de uitzonderingen in artikel 23 van de UK GDPR.

(133)

Uit het bovenstaande volgt dat er uit hoofde van de toepasselijke wettelijke bepalingen van het Verenigd Koninkrijk, zoals die ook door de rechterlijke instanties en de Information Commissioner worden geïnterpreteerd, beperkingen en voorwaarden gelden om ervoor te zorgen dat deze vrijstellingen en beperkingen binnen de grenzen blijven van wat noodzakelijk en evenredig is om de nationale veiligheid te beschermen.

(134)

De Britse wet legt een aantal beperkingen op aan de toegang tot en het gebruik van persoonsgegevens voor rechtshandhaving, en voorziet in toezichts- en verhaalsmechanismen op dit gebied die in overeenstemming zijn met de in de overwegingen (113) tot en met (115) van dit besluit bedoelde vereisten. De voorwaarden waaronder deze toegang kan plaatsvinden en de waarborgen die van toepassing zijn op het gebruik van deze bevoegdheden worden in de volgende punten in detail beoordeeld.

(135)

Overeenkomstig het in artikel 35 van de DPA 2018 gewaarborgde rechtmatigheidsbeginsel is de verwerking van persoonsgegevens voor een van de rechtshandhavingsdoeleinden alleen rechtmatig indien zij op de wet is gebaseerd en ofwel de betrokkene toestemming heeft gegeven voor de verwerking voor dat doel (181), ofwel de verwerking noodzakelijk is voor de uitvoering van een taak die voor dat doel door een bevoegde autoriteit wordt uitgevoerd.

(136)

In het Britse rechtskader is het verzamelen van persoonsgegevens van bedrijfsexploitanten, met inbegrip van die welke uit hoofde van het onderhavige adequaatheidsbesluit uit de EU doorgegeven gegevens zouden verwerken, met het oog op de strafrechtelijke wetshandhaving toegestaan op basis van bevelen tot doorzoeking (182) en bevelen tot overlegging (183).

(137)

Bevelen tot doorzoeking worden uitgevaardigd door een rechter, gewoonlijk op verzoek van de opsporingsambtenaar. Zij staan een politieambtenaar toe een pand te betreden om te zoeken naar materiaal of personen die relevant zijn voor zijn onderzoek en om alles waarvoor een huiszoeking is toegestaan, met inbegrip van relevante documenten of materiaal dat persoonsgegevens bevat, in bewaring te nemen (184). Een bevel tot overlegging, dat ook door een rechter moet worden uitgevaardigd, verplicht de daarin genoemde persoon ertoe materiaal dat hij in bezit of onder zijn controle heeft, over te leggen of er toegang toe te verlenen. De verzoeker moet voor de rechter onderbouwen waarom het bevel of de beschikking noodzakelijk is, en waarom het in het algemeen belang is. Er zijn verschillende wettelijke bevoegdheden die de uitvaardiging van bevelen tot doorzoeking en bevelen tot overlegging mogelijk maken. Elke bepaling heeft haar eigen reeks wettelijke voorwaarden waaraan moet zijn voldaan voor de uitvaardiging van een bevel tot doorzoeking (185) of een bevel tot overlegging (186).

(138)

Bevelen tot overlegging en bevelen tot doorzoeking kunnen worden aangevochten door middel van rechterlijke toetsing (187). Wat de waarborgen betreft, mogen alle strafrechtelijke wetshandhavingsinstanties die onder het toepassingsgebied van deel 3 van de DPA 2018 vallen slechts toegang krijgen tot persoonsgegevens – hetgeen een vorm van verwerking is – overeenkomstig de beginselen en vereisten die in de DPA 2018 zijn vastgesteld (zie de overwegingen (122) en (124)). Daarom moet een verzoek van een rechtshandhavingsinstantie in overeenstemming zijn met het beginsel dat de doeleinden van de verwerking welbepaald, uitdrukkelijk en rechtmatig (188) moeten zijn en dat de persoonsgegevens die door een bevoegde instantie worden verwerkt, voor dat doel relevant en niet buitensporig (189) moeten zijn.

(139)

Met het oog op het voorkomen of opsporen van alleen ernstige strafbare feiten (190), kunnen bepaalde rechtshandhavingsinstanties, zoals de National Crime Agency of de korpschef (191), gebruikmaken van gerichte onderzoeksbevoegdheden uit hoofde van de IPA 2016. In dit geval zijn de waarborgen uit hoofde van de IPA 2016 van toepassing, naast de waarborgen van deel 3 van de DPA 2018. De specifieke onderzoeksbevoegdheden waarvan die rechtshandhavingsinstanties gebruik kunnen maken, zijn: gerichte intercepties (deel 2 van de IPA 2016), verkrijging van communicatiegegevens (deel 3 van de IPA 2016), bewaring van communicatiegegevens (deel 4 van de IPA 2016) en gerichte materiële interferentie (deel 5 van de IPA 2016). Interceptie heeft betrekking op het verkrijgen van de inhoud van communicatie (192), terwijl het verkrijgen en bewaren van communicatiegegevens niet gericht is op het verkrijgen van de inhoud van de communicatie, maar op het “wie”, “wanneer”, “waar” en “hoe” van de communicatie. Het gaat bijvoorbeeld om het tijdstip en de duur van de communicatie, het telefoonnummer of e-mailadres van de afzender en de ontvanger van de communicatie, en soms de locatie van de apparaten van waaruit de communicatie plaatsvond, de abonnee van een telefoondienst of een gespecificeerde rekening (193). Onder materiële interferentie wordt een reeks technieken verstaan die worden gebruikt om allerlei gegevens te verkrijgen uit apparatuur, waaronder computers, tablets en smartphones, maar ook kabels, snoeren en opslagapparaten (194).

(140)

Gerichte interceptiebevoegdheden kunnen ook worden gebruikt wanneer dat “noodzakelijk is om uitvoering te geven aan de bepalingen van een EU-instrument voor wederzijdse bijstand of een internationale overeenkomst voor wederzijdse bijstand” (het zogeheten “bevel tot wederzijdse bijstand”) (195). Bevelen tot wederzijdse bijstand worden alleen uitgevaardigd met betrekking tot interceptie, niet met betrekking tot het verkrijgen van communicatiegegevens of materiële interferentie. Deze gerichte bevoegdheden zijn geregeld in de Investigatory Powers Act 2016 (196) (Wet op de onderzoeksbevoegdheden, IPA 2016), die samen met de Regulation of Investigatory Powers Act 2000 (RIPA) voor Engeland, Wales en Noord-Ierland en de Regulation of Investigatory Powers (Scotland) Act 2000 (RIPSA) voor Schotland, voorziet in de rechtsgrondslag en de toepasselijke beperkingen en waarborgen voor het gebruik van dergelijke bevoegdheden vastlegt. De IPA 2016 voorziet ook in de regeling voor het gebruik van onderzoeksbevoegdheden voor bulksgewijze verzameling, hoewel die niet beschikbaar zijn voor rechtshandhavingsinstanties (alleen inlichtingendiensten kunnen er gebruik van maken) (197).

(141)

Om deze bevoegdheden te kunnen uitoefenen, moeten de autoriteiten beschikken over een bevel (198) dat is uitgevaardigd door een bevoegde autoriteit (199) en is bevestigd door een onafhankelijke Judicial Commissioner (200) (rechterlijke toezichthouder) (de zogenaamde “double-lockprocedure”). De verkrijging van een dergelijk bevel is onderworpen aan een noodzakelijkheids- en evenredigheidstoets (201). Aangezien deze gerichte onderzoeksbevoegdheden waarin de IPA 2016 voorziet, dezelfde zijn als die waarover de nationale veiligheidsdiensten beschikken, worden de voorwaarden, beperkingen en waarborgen die op dergelijke bevoegdheden van toepassing zijn, uitvoerig behandeld in het artikel over inzage in en gebruik van persoonsgegevens door Britse overheidsinstanties voor nationale veiligheidsdoeleinden (zie overweging (177) e.v.).

(142)

Het delen van gegevens door een rechtshandhavingsinstantie met een andere autoriteit voor andere doeleinden dan die waarvoor zij oorspronkelijk zijn verzameld (de zogenoemde “verdere doorgifte”), is onderworpen aan bepaalde voorwaarden.

(143)

Vergelijkbaar met wat is bepaald in artikel 4, lid 2, van Richtlijn (EU) 2016/680, biedt artikel 36, lid 3, van de DPA 2018 de mogelijkheid dat persoonsgegevens die door een bevoegde instantie voor een rechtshandhavingsdoel zijn verzameld, verder worden verwerkt (door de oorspronkelijke verwerkingsverantwoordelijke of door een andere verwerkingsverantwoordelijke) voor elk ander rechtshandhavingsdoel, mits de verwerkingsverantwoordelijke bij wet gemachtigd is om gegevens voor het andere doel te verwerken en de verwerking noodzakelijk is en in verhouding staat tot dat doel (202). In dat geval zijn alle waarborgen van deel 3 van de DPA 2018, waarnaar in de overwegingen (122) en (124) wordt verwezen, van toepassing op de door de ontvangende autoriteit uitgevoerde verwerking.

(144)

In de Britse rechtsorde staan verschillende wetten een dergelijke verdere doorgifte uitdrukkelijk toe. Met name i) staat de Digital Economy Act 2017 (Wet inzake de digitale economie) uitwisseling tussen overheidsinstanties voor verschillende doeleinden toe, bijvoorbeeld in geval van fraude tegen de publieke sector die verlies of een risico van verlies voor overheidsinstanties (203) met zich meebrengt, of in geval van een schuld aan een overheidsinstantie of aan de Britse Kroon (204); ii) de Crime and Courts Act 2013 (Wet inzake het strafrecht en de gerechten), op grond waarvan gegevens kunnen worden uitgewisseld met het National Crime Agency (NCA) (205), voor de bestrijding, het onderzoek en de vervolging van zware en georganiseerde criminaliteit; iii) de Serious Crime Act 2007 (Wet zware criminaliteit), die overheidsinstanties toestaat informatie te verstrekken aan fraudebestrijdingsorganisaties met het oog op fraudepreventie (206).

(145)

In deze wetten is uitdrukkelijk bepaald dat de gegevensuitwisseling in overeenstemming moet zijn met de in de DPA 2018 vastgestelde beginselen. Bovendien heeft het College of Policing (College van Politiezaken) een Authorised Professional Practice on Information Sharing (207) (Toegestane beroepspraktijken in verband met de gegevensuitwisseling) uitgebracht om de politie te helpen bij het nakomen van haar verplichtingen inzake gegevensbescherming uit hoofde van de UK GDPR, de DPA en de Human Rights Act 1998. Of gegevensuitwisseling in overeenstemming is met het toepasselijke rechtskader voor gegevensbescherming is uiteraard onderworpen aan rechterlijke toetsing (208).

(146)

Bovendien bepaalt de DPA 2018, naar analogie van wat is bepaald in artikel 9 van Richtlijn (EU) 2016/680, dat persoonsgegevens die voor een rechtshandhavingsdoel zijn verzameld, mogen worden verwerkt voor een doel dat geen rechtshandhavingsdoel is, wanneer de verwerking bij wet is toegestaan (209).

(147)

Deze vorm van uitwisseling omvat twee scenario’s: 1) wanneer een strafrechtelijke wetshandhavingsinstantie gegevens uitwisselt met een civiele wetshandhavingsinstantie anders dan een inlichtingendienst (zoals bijvoorbeeld een financiële of fiscale autoriteit, een mededingingsautoriteit, een bureau voor jeugdzorg enz.); en 2) wanneer een strafrechtelijke wetshandhavingsinstantie gegevens uitwisselt met een inlichtingendienst. In het eerste scenario valt de verwerking van persoonsgegevens zowel onder de werkingssfeer van de UK GDPR als onder deel 2 van de DPA 2018. De Commissie heeft in de overwegingen (12) tot en met (111) de door de UK GDPR en deel 2 van de DPA 2018 geboden waarborgen beoordeeld en is tot de conclusie gekomen dat het Verenigd Koninkrijk een passend beschermingsniveau waarborgt voor persoonsgegevens die binnen de werkingssfeer van de AVG van de Europese Unie naar het Verenigd Koninkrijk worden doorgegeven.

(148)

In het tweede scenario, met betrekking tot de uitwisseling van door een strafrechtelijke wetshandhavingsinstantie verzamelde gegevens met een inlichtingendienst ten behoeve van de nationale veiligheid, is artikel 19 van de Counter Terrorism Act 2008 (Wet ter bestrijding van terrorisme, CTA 2008) de rechtsgrondslag die een dergelijke uitwisseling toestaat (210). Uit hoofde van deze wet kan eenieder informatie verstrekken aan een van de inlichtingendiensten met het oog op de uitvoering van één van de taken van die dienst, met inbegrip van de “nationale veiligheid”.

(149)

Wat betreft de voorwaarden waaronder gegevens voor nationale veiligheidsdoeleinden kunnen worden uitgewisseld, beperken de Intelligence Services Act (211) en de Security Service Act (212) de mogelijkheid van de inlichtingendiensten om gegevens te verkrijgen tot hetgeen noodzakelijk is om hun wettelijke taken te vervullen. Rechtshandhavingsinstanties die gegevens met de inlichtingendiensten willen uitwisselen, moeten rekening houden met een aantal factoren/beperkingen, naast de statutaire taken van de instanties die in de Intelligence Services Act en Security Service Act (213) zijn vastgelegd. Artikel 20 van de CTA 2008 maakt duidelijk dat de uitwisseling van gegevens op grond van artikel 19 nog steeds in overeenstemming moet zijn met de wetgeving inzake gegevensbescherming; hetgeen betekent dat alle beperkingen en voorschriften van deel 3 van de DPA 2018 van toepassing zijn. Aangezien de bevoegde autoriteiten voorts overheidsinstanties zijn in de zin van de Human Rights Act 1998, moeten zij ervoor zorgen dat zij handelen in overeenstemming met de verdragsrechten, met inbegrip van artikel 8 van het EVRM. Deze beperkingen zorgen ervoor dat elke uitwisseling van gegevens tussen de rechtshandhavingsinstanties en de inlichtingendiensten in overeenstemming is met de wetgeving inzake gegevensbescherming en het EVRM.

(150)

Wanneer een bevoegde autoriteit voornemens is persoonsgegevens die op grond van deel 3 van de DPA 2018 zijn verwerkt, uit te wisselen met rechtshandhavingsinstanties van een derde land, gelden specifieke vereisten (214). Dergelijke doorgiften kunnen met name plaatsvinden wanneer zij gebaseerd zijn op door de Secretary of State vastgestelde adequaatheidsregelingen of, bij gebreke van dergelijke regelingen, wanneer passende waarborgen worden geboden. Artikel 75 van de DPA 2018 bepaalt dat er sprake is van passende waarborgen wanneer deze zijn vastgesteld bij een rechtsinstrument dat de beoogde ontvanger bindt, of wanneer de verwerkingsverantwoordelijke, na alle omstandigheden rond de doorgifte van dat soort persoonsgegevens naar het derde land of de internationale organisatie te hebben beoordeeld, tot de conclusie komt dat er passende waarborgen bestaan om de gegevens te beschermen.

(151)

Indien een doorgifte niet is gebaseerd op een adequaatheidsregeling of passende waarborgen, kan deze alleen plaatsvinden in bepaalde, gespecificeerde omstandigheden die “bijzondere omstandigheden” (215) worden genoemd. Dit is het geval wanneer de doorgifte noodzakelijk is: a) om de vitale belangen van de betrokkene of van een andere persoon te beschermen; b) om de legitieme belangen van de betrokkene te beschermen; c) ter voorkoming van een onmiddellijk en ernstig gevaar voor de openbare veiligheid van een lidstaat of een derde land; d) in individuele gevallen voor een van de rechtshandhavingsdoeleinden; of e) in individuele gevallen voor een juridisch doeleinde (zoals in verband met een gerechtelijke procedure of om juridisch advies in te winnen). Er zij op gewezen dat de punten d) en e) niet van toepassing zijn indien de rechten en vrijheden van de betrokkene zwaarder wegen dan het openbaar belang van de doorgifte. Deze reeks omstandigheden komt overeen met de specifieke situaties en voorwaarden die in aanmerking komen als “afwijkingen” uit hoofde van artikel 38 van Richtlijn (EU) 2016/680.

(152)

Bovendien legt, wanneer het materiaal dat rechtshandhavingsinstanties hebben verkregen in het kader van een bevel tot machtiging tot het gebruik van interceptie of materiële interferentie, aan een derde land wordt overhandigd, de IPA 2016 extra waarborgen op. Met name is een dergelijke verstrekking, die wordt omschreven als “overzeese verstrekking”, alleen toegestaan indien de autoriteit van afgifte van oordeel is dat er specifieke passende regelingen zijn getroffen ter beperking van het aantal personen aan wie de gegevens worden verstrekt, de mate waarin materiaal wordt verstrekt of beschikbaar wordt gesteld, alsmede de mate waarin materiaal wordt gekopieerd en het aantal kopieën dat wordt gemaakt. Bovendien kan de autoriteit van afgifte van oordeel zijn dat passende regelingen nodig zijn om ervoor te zorgen dat elke kopie die van enig deel van dat materiaal is gemaakt, wordt vernietigd zodra er geen relevante redenen meer zijn om deze te bewaren (indien deze niet al eerder is vernietigd) (216).

(153)

Ten slotte zouden in de toekomst specifieke vormen van verdere doorgifte van het Verenigd Koninkrijk naar de Verenigde Staten kunnen plaatsvinden op basis van de “Overeenkomst tussen de regering van het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland en de regering van de Verenigde Staten van Amerika inzake de toegang tot elektronische gegevens ten behoeve van de bestrijding van zware criminaliteit” (de “UK–US Agreement” of de “Agreement”) (217), die in oktober 2019 is gesloten (218). Hoewel de UK–US Agreement nog niet in werking is getreden [ten tijde van de vaststelling van dit besluit], kan de te verwachten inwerkingtreding ervan gevolgen hebben voor de verdere doorgifte aan de Verenigde Staten van gegevens die voor het eerst op basis van het besluit aan het Verenigd Koninkrijk zijn doorgegeven. Meer in het bijzonder kunnen gegevens die vanuit de EU aan dienstverleners in het Verenigd Koninkrijk worden doorgegeven, worden onderworpen aan bevelen tot overlegging van elektronisch bewijsmateriaal die door bevoegde rechtshandhavingsinstanties in de Verenigde Staten worden uitgevaardigd en uit hoofde van deze overeenkomst in het Verenigd Koninkrijk van toepassing worden verklaard zodra zij in werking treedt. Om deze redenen is de beoordeling van de voorwaarden en waarborgen waaronder dergelijke bevelen kunnen worden uitgevaardigd en uitgevoerd, relevant voor dit besluit.

(154)

In dit verband zij er in de eerste plaats op gewezen dat de Agreement, wat de materiële werkingssfeer betreft, alleen van toepassing is op misdrijven waarop een maximumgevangenisstraf van ten minste drie jaar staat (omschreven als een “ernstig misdrijf”) (219), met inbegrip van “terroristische activiteiten”. In de tweede plaats kunnen in het andere rechtsgebied verwerkte gegevens alleen op grond van deze Agreement worden verkregen na een “bevel […] dat volgens het nationale recht van de partij van afgifte door een rechterlijke instantie, een rechter, een vrederechter of een andere onafhankelijke autoriteit voorafgaand aan of in het kader van een procedure betreffende de uitvoering van het bevel wordt getoetst of gecontroleerd” (220). Ten derde moet elk bevel “gebaseerd zijn op eisen inzake een redelijke rechtvaardiging op basis van duidelijke en geloofwaardige feiten, bijzonderheid, wettigheid en ernst met betrekking tot het onderzochte gedrag” (221) en “gericht zijn op specifieke accounts en een specifieke persoon, account, adres of persoonlijk toestel, of een ander specifiek identificatiekenmerk” (222). Ten vierde genieten gegevens die in het kader van deze Agreement zijn verkregen, een bescherming die gelijkwaardig is aan de specifieke waarborgen die worden geboden door de zogenoemde “Overeenkomst tussen de VS en de EU” (223) — een uitgebreide gegevensbeschermingsovereenkomst die in december 2016 door de EU en de VS is gesloten en waarin de waarborgen en rechten zijn vastgelegd die van toepassing zijn op gegevensdoorgiften op het gebied van samenwerking bij rechtshandhaving — en die alle door middel van verwijzing in deze Agreement overeenkomstig zijn opgenomen, met name om rekening te houden met de specifieke aard van de doorgiften (d.w.z. doorgiften van particuliere partijen aan een rechtshandhavingsinstantie, in plaats van doorgiften tussen rechtshandhavingsinstanties) (224). De UK–US Agreement bepaalt uitdrukkelijk dat gelijkwaardige bescherming als die waarin de Overeenkomst tussen de VS en de EU voorziet, zal worden toegepast “op alle persoonsgegevens die worden geproduceerd bij de uitvoering van bevelen die onder de Agreement vallen, om gelijkwaardige bescherming te bieden” (225).

(155)

Gegevens die op grond van de UK–US Agreement aan de Amerikaanse autoriteiten worden doorgegeven, moeten derhalve beschermd worden door een EU-wetgevingsinstrument, met de nodige aanpassingen om rekening te houden met de aard van de doorgifte in kwestie. De Britse autoriteiten hebben voorts bevestigd dat de beschermingsmaatregelen van de Overeenkomst tussen de VS en de EU van toepassing zullen zijn op alle in het kader van de Agreement geproduceerde of bewaarde persoonsgegevens, ongeacht de aard of het type van de instantie die het verzoek indient (bv. zowel de Amerikaanse federale rechtshandhavingsinstanties als die van de afzonderlijke staten), zodat in alle gevallen een gelijkwaardige bescherming moet worden geboden. De Britse autoriteiten hebben echter ook uitgelegd dat de details van de concrete uitvoering van de gegevensbeschermingswaarborgen nog onderwerp van gesprek zijn tussen het Verenigd Koninkrijk en de Verenigde Staten. In het kader van de besprekingen met de diensten van de Europese Commissie over dit besluit hebben de Britse autoriteiten bevestigd dat zij de Agreement pas in werking zullen laten treden wanneer zij ervan overtuigd zijn dat de uitvoering ervan in overeenstemming is met de daarin vervatte wettelijke verplichtingen, met inbegrip van duidelijkheid met betrekking tot de naleving van de gegevensbeschermingsnormen voor alle gegevens die op grond van deze Agreement worden opgevraagd. Aangezien een eventuele inwerkingtreding van de Agreement gevolgen kan hebben voor het in dit besluit beoordeelde beschermingsniveau, moeten alle informatie over en elke toekomstige verduidelijking van de wijze waarop de Verenigde Staten aan hun verplichtingen uit hoofde van de Agreement zullen voldoen, door het Verenigd Koninkrijk aan de Europese Commissie worden meegedeeld zodra deze beschikbaar komen en in elk geval voordat de Agreement in werking treedt, teneinde te zorgen voor een passend toezicht op dit besluit in overeenstemming met artikel 45, lid 4, AVG. Bijzondere aandacht zal worden besteed aan de toepassing en aanpassing van de beschermingsmaatregelen van de Overeenkomst tussen de VS en de EU aan het specifieke type doorgiften waarop de UK–US Agreement betrekking heeft.

(156)

Meer in het algemeen zal in het kader van de voortdurende toetsing van dit besluit terdege rekening worden gehouden met alle relevante ontwikkelingen met betrekking tot de inwerkingtreding en de toepassing van de Agreement, ook wat betreft de consequenties die moeten worden getrokken indien er aanwijzingen zijn dat een in feite overeenkomend beschermingsniveau niet langer gewaarborgd is.

(157)

Afhankelijk van de bevoegdheden die de bevoegde autoriteiten gebruiken bij de verwerking van persoonsgegevens voor rechtshandhavingsdoeleinden (op grond van de DPA 2018 of de IPA 2016), zorgen verschillende organen voor het toezicht op het gebruik van deze bevoegdheden. De Information Commissioner houdt met name toezicht op de verwerking van persoonsgegevens wanneer deze onder de werkingssfeer van deel 3 van de DPA 2018 valt (226). Onafhankelijk en gerechtelijk toezicht op het gebruik van onderzoeksbevoegdheden uit hoofde van de IPA 2016 wordt gewaarborgd door het Investigatory Powers Commissioner’s Office (Bureau van de toezichthouder voor onderzoeksbevoegdheden, IPCO) (227) (dit onderdeel wordt behandeld in de overwegingen (250) tot en met (255)). Bovendien wordt aanvullend toezicht gewaarborgd door het Britse parlement en door andere organen.

(158)

De algemene functies van het ICO — wier onafhankelijkheid en organisatie in overweging (87) zijn toegelicht — met betrekking tot de verwerking van persoonsgegevens die onder de werkingssfeer van deel 3 van de DPA 2018 vallen, zijn uiteengezet in bijlage 13 van de DPA 2018. De belangrijkste taak van de Information Commissioner is toezicht te houden op deel 3 van de DPA 2018 en de naleving ervan af te dwingen, alsook de bewustmaking van het publiek te bevorderen, het Britse parlement, de regering en andere instellingen en instanties te adviseren. Om de onafhankelijkheid van de rechterlijke macht te handhaven, is de Information Commissioner niet gemachtigd zijn taken uit te oefenen in verband met de verwerking van persoonsgegevens door een individu die in een rechterlijke hoedanigheid optreedt, of door een rechter of rechterlijke instantie in zijn justitiële hoedanigheid. In deze omstandigheden zouden andere organen de toezichtsfuncties uitoefenen, zoals uiteengezet in de overwegingen (99) tot en met (103).

(159)

De Information Commissioner heeft algemene bevoegdheden tot onderzoek, correctie, autorisatie en advies met betrekking tot de verwerking van persoonsgegevens waarop deel 3 van toepassing is. De Information Commissioner heeft met name de bevoegdheid om de verwerkingsverantwoordelijke of de verwerker in kennis te stellen van een vermeende inbreuk op deel 3 van de DPA 2018, om waarschuwingen of berispingen te geven aan een verwerkingsverantwoordelijke of een verwerker die bepalingen van deel 3 van de wet heeft geschonden, alsook om op eigen initiatief of op verzoek adviezen uit te brengen aan het Britse parlement, de regering of andere instellingen en instanties, alsook aan het publiek, over elke kwestie in verband met de bescherming van persoonsgegevens (228).

(160)

Bovendien heeft de Information Commissioner de bevoegdheid om aanzeggingen tot informatie (229), aanzeggingen tot beoordeling (230) en sommaties tot nakoming (231) uit te vaardigen, alsook de bevoegdheid om documenten van verwerkingsverantwoordelijken en verwerkers in te zien, hun gebouwen te betreden (232) en administratieve boetes op te leggen in de vorm van sanctiebeschikkingen (233). In het Regulatory Action Policy (Beleid inzake regelgevende maatregelen) van het ICO wordt uiteengezet onder welke omstandigheden zij respectievelijk aanzeggingen tot informatie, beoordeling, sommaties tot nakoming en sanctiebeschikkingen uitvaardigt (234) (zie ook overweging (93) en Richtlijn (EU) 2016/680 adequaatheidsbesluit overwegingen 101–102).

(161)

Volgens zijn laatste jaarverslagen (2018–2019 (235), 2019–2020 (236)) heeft de Information Commissioner een aantal onderzoeken verricht en handhavingsmaatregelen genomen met betrekking tot de verwerking van gegevens door rechtshandhavingsinstanties. Zo heeft de Commissioner in oktober 2019 een onderzoek uitgevoerd en een advies gepubliceerd over het gebruik door rechtshandhavingsinstanties van gezichtsherkenningstechnologie in openbare ruimten. Het onderzoek richtte zich met name op het gebruik van live gezichtsherkenning door de politie van Zuid-Wales en de Metropolitan Police Service (Londense Politie, MPS). De Information Commissioner heeft ook de “gangs matrix” (237) van de MPS onderzocht en een reeks ernstige inbreuken op de wetgeving inzake gegevensbescherming vastgesteld die het vertrouwen van het publiek in de matrix en in het gebruik van de gegevens waarschijnlijk zullen ondermijnen. In november 2018 heeft de Information Commissioner een sommatie tot nakoming uitgevaardigd en de MPS heeft vervolgens de nodige stappen ondernomen om de beveiliging en de verantwoording te vergroten en ervoor te zorgen dat de gegevens proportioneel werden gebruikt. Een ander voorbeeld van een handhavingsactie op dit gebied is de boete van 325 000 GBP die het ICO in mei 2018 heeft opgelegd aan de Crown Prosecution Service (het Britse openbare ministerie), voor het kwijtraken van niet-versleutelde dvd’s met opnames van politieverhoren. De Information Commissioner heeft ook onderzoek gedaan naar bredere onderwerpen, bijvoorbeeld in de eerste helft van 2020 naar het gebruik van mobiele telefoon-extractie voor politiedoeleinden en de verwerking van gegevens van slachtoffers door de politie. Bovendien onderzoekt het ICO momenteel een zaak die betrekking heeft op de inzage van rechtshandhavingsinstanties in gegevens die in het bezit zijn van een entiteit uit de particuliere sector, Clearview AI Inc (238).

(162)

Naast de in de overwegingen (160) en (161) genoemde handhavingsbevoegdheden van de Information Commissioner vormen bepaalde schendingen van de gegevensbeschermingswetgeving strafbare feiten en kunnen derhalve strafmaatregelen worden opgelegd (artikel 196 van de DPA 2018). Dit geldt bijvoorbeeld voor het verkrijgen, verstrekken of bewaren van persoonsgegevens zonder toestemming van de verwerkingsverantwoordelijke en het bewerkstelligen van de verstrekking van persoonsgegevens aan een andere persoon zonder toestemming van de verwerkingsverantwoordelijke (239); het heridentificeren van geanonimiseerde persoonsgegevens, zonder de toestemming van de verwerkingsverantwoordelijke die verantwoordelijk is voor het anonimiseren van de persoonsgegevens (240); het opzettelijk belemmeren van de uitoefening van de bevoegdheden van het ICO met betrekking tot de inzage in persoonsgegevens overeenkomstig internationale verplichtingen (241), het afleggen van valse verklaringen in antwoord op een aanzegging tot informatie, of het vernietigen van gegevens in verband met aanzeggingen tot informatie en sommaties tot nakoming (242).

(163)

Naast de Information Commissioner zijn er diverse toezichthoudende instanties op het gebied van strafrechtelijke wetshandhaving met specifieke mandaten die relevant zijn voor gegevensbeschermingsvraagstukken. Hiertoe behoren bijvoorbeeld de Commissioner for the Retention and Use of Biometrical Material (Toezichthouder voor de bewaring en het gebruik van biometrisch materiaal, de “Commissioner for Biometrics”) (243) en de Surveillance Camera Commissioner (Toezichthouder voor bewakingscamera’s) (244).

(164)

De Home Affairs Select Committee (Beperkte commissie voor binnenlandse zaken, HASC) oefent parlementair toezicht uit op het gebied van de rechtshandhaving. Deze commissie bestaat uit elf parlementsleden, afkomstig uit de drie grootste politieke partijen. De commissie heeft tot taak de uitgaven, het beheer en het beleid van het ministerie van Binnenlandse Zaken en aanverwante overheidsinstanties te onderzoeken, met inbegrip van de politie en het National Crime Agency (NCA), waarvan de commissie de werkzaamheden specifiek kan controleren (245).

(165)

De commissie kan, binnen de grenzen van haar mandaat, haar eigen enquêteonderwerpen kiezen, met inbegrip van specifieke gevallen, zolang de zaak niet onder de rechter is. De commissie kan ook schriftelijke en mondelinge informatie inwinnen bij een breed scala van relevante groepen en personen. Zij brengt verslag uit over haar bevindingen en doet aanbevelingen aan de regering (246). De regering moet binnen 60 dagen reageren op elk van de aanbevelingen in het verslag (247).

(166)

Op het gebied van bewaking heeft de commissie ook een verslag opgesteld over de Regulation of Investigatory Powers Act 2000 (248) (Wet op de regulering van onderzoeksbevoegdheden, RIPA 2000), waarin werd vastgesteld dat de RIPA 2000 niet geschikt was voor het beoogde doel. Het verslag is in aanmerking genomen bij de vervanging van belangrijke delen van de RIPA 2000 door de IPA 2016. Een volledige lijst van enquêtes is te vinden op de website van de commissie (249).

(167)

De taken van de HASC worden in Schotland uitgeoefend door de Justice Subcommittee on Policing (subcommissie Justitie inzake politie) en in Noord-Ierland door de Committee for Justice (250) (commissie voor Justitie).

(168)

Wat de verwerking van gegevens door rechtshandhavingsinstanties betreft, zijn er verhaalsmechanismen beschikbaar uit hoofde van deel 3 van de DPA 2018 en uit hoofde van de IPA 2016, alsook uit hoofde van de Human Rights Act 1998.

(169)

Deze reeks mechanismen biedt betrokkenen doeltreffende administratieve en justitiële verhaalsmogelijkheden, waardoor zij met name hun rechten kunnen doen gelden, waaronder het recht op inzage in hun persoonsgegevens of op rectificatie of wissing van die gegevens.

(170)

Ten eerste heeft een betrokkene uit hoofde van artikel 165 van de DPA 2018 het recht om een klacht in te dienen bij de Information Commissioner indien de betrokkene van mening is dat er in verband met persoonsgegevens met betrekking tot de betrokkene sprake is van een inbreuk op deel 3 van de DPA 2018 (251). De Information Commissioner heeft de bevoegdheid om te beoordelen of de verwerkingsverantwoordelijke en de verwerker de DPA 2018 naleven, hen te verplichten de nodige stappen te ondernemen in geval van niet-naleving en boetes op te leggen.

(171)

Ten tweede voorziet de DPA 2018 in het recht op een rechtsmiddel tegen de Information Commissioner indien deze een klacht van de betrokkene niet naar behoren afhandelt. Meer in het bijzonder heeft de klager, indien de Information Commissioner geen “vooruitgang” (252) boekt met een door de betrokkene ingediende klacht, toegang tot een rechtsmiddel, aangezien hij een beroep kan doen op een First Tier Tribunal (253) (rechter in eerste aanleg) om het ICO te gelasten passende stappen te ondernemen om op de klacht te reageren, of om de klager te informeren over de vooruitgang met betrekking tot de klacht (254). Bovendien kan eenieder die een van de genoemde kennisgevingen (aanzeggingen tot informatie, beoordeling, sommaties tot nakoming of sanctiebeschikkingen) van de Information Commissioner heeft gekregen, in beroep gaan bij een First Tier Tribunal. Als het Tribunal oordeelt dat het besluit van de Commissioner niet in overeenstemming is met de wet of dat de Information Commissioner zijn bevoegdheid op een andere wijze had moeten uitoefenen, moet het Tribunal het ingestelde beroep toestaan of de aanzegging/sommatie/beschikking of het besluit vervangen door een andere aanzegging/sommatie/beschikking of een ander besluit die/dat door de Information Commissioner had kunnen worden afgegeven of genomen (255).

(172)

Ten derde kunnen personen rechtstreeks bij de rechterlijke instanties rechtsvorderingen instellen tegen verwerkingsverantwoordelijken en verwerkers. Met name kan een betrokkene uit hoofde van artikel 167 van de DPA 2018 bij een rechter een verzoek indienen wegens een inbreuk op zijn recht uit hoofde van de gegevensbeschermingswetgeving en kan de rechter door middel van een bevel de verwerkingsverantwoordelijke verzoeken met betrekking tot de verwerking elke maatregel te nemen (of zich daarvan te onthouden) om te voldoen aan de DPA 2018. Bovendien heeft uit hoofde van artikel 169 van de DPA 2018 eenieder die schade heeft geleden als gevolg van een schending van een voorschrift van de gegevensbeschermingswetgeving (met inbegrip van deel 3 van de DPA 2018), anders dan de UK GDPR, recht op vergoeding van die schade door de verwerkingsverantwoordelijke of de verwerker, tenzij de verwerkingsverantwoordelijke of de verwerker bewijst dat de verwerkingsverantwoordelijke of de verwerker op geen enkele wijze verantwoordelijk is voor de gebeurtenis die de schade heeft doen ontstaan. Schade omvat zowel financiële verliezen als schade zonder financiële verliezen, zoals smart.

(173)

Ten slotte kan eenieder die van oordeel is dat zijn rechten, met inbegrip van het recht op bescherming van de persoonlijke levenssfeer en gegevensbescherming, door overheidsinstanties zijn geschonden, uit hoofde van de Human Rights Act 1998 (256) verhaal halen bij de Britse rechter, en kunnen personen, niet-gouvernementele organisaties en groepen personen, nadat de nationale rechtsmiddelen zijn uitgeput, bij het Europees Hof voor de Rechten van de Mens verhaal halen wegens schendingen van de rechten die door het Europees Verdrag tot bescherming van de rechten van de mens (257) worden gewaarborgd (zie overweging (111)).

(174)

Personen kunnen bij het Investigatory Powers Tribunal (gerecht dat toezicht uitoefent op de onderzoeksbevoegdheden) beroep instellen tegen schendingen van de IPA 2016. De verhaalsmogelijkheden die in het kader van de IPA 2016 beschikbaar zijn, worden beschreven in de overwegingen (263) tot en met (269).

(175)

De inlichtingendiensten die, om redenen van nationale veiligheid, gemachtigd zijn om in situaties die relevant zijn voor een adequaatheidsscenario elektronische informatie te verzamelen die in het bezit is van verwerkingsverantwoordelijken of verwerkers, zijn in de Britse rechtsorde de Security Service (258) (Britse veiligheidsdienst) (MI5), de Secret Intelligence Service (259) (Britse geheime dienst, MI6) (SIS) en de Government Communication Headquarters (260) (GCHQ, het communicatiehoofdkwartier van de Britse regering) (261).

(176)

In het Verenigd Koninkrijk zijn de bevoegdheden van de inlichtingendiensten vastgelegd in de IPA 2016 en de RIPA 2000, waarin, net als in de DPA 2018, het materiële en persoonlijke toepassingsgebied van deze bevoegdheden alsook de beperkingen en waarborgen voor het gebruik ervan wordt vastgesteld. Deze bevoegdheden, alsmede de beperkingen en waarborgen die erop van toepassing zijn, worden in de volgende punten in detail beoordeeld.

(177)

De IPA 2016 biedt het rechtskader voor het gebruik van onderzoeksbevoegdheden, d.w.z. de bevoegdheid om communicatiegegevens te onderscheppen, inzage daarin te verkrijgen en apparatuur te verstoren. De IPA 2016 voert een algemeen verbod in en stelt het strafbaar om zonder wettig gezag technieken te gebruiken waarmee toegang tot de inhoud van communicatie, toegang tot communicatiegegevens of materiële interferentie mogelijk is (262). Dit komt tot uiting in het feit dat het gebruik van deze onderzoeksbevoegdheden alleen rechtmatig is wanneer het wordt uitgevoerd op basis van een bevel of een machtiging (263).

(178)

In de IPA 2016 zijn gedetailleerde voorschriften betreffende de draagwijdte en de toepassing van elke onderzoeksbevoegdheid alsook de specifieke beperkingen en waarborgen ervan neergelegd. Er gelden verschillende regels naar gelang van het soort onderzoeksbevoegdheid (interceptie van communicatie, verkrijgen en bewaren van communicatiegegevens en materiële interferentie) (264), en naar gelang van de vraag of de bevoegdheid wordt uitgeoefend ten aanzien van een specifiek doelwit of bulksgewijze verzameling. Details over het toepassingsgebied, de waarborgen en de beperkingen van elke maatregel uit hoogde van de IPA 2016 worden in het specifieke deel hieronder beschreven.

(179)

De IPA 2016 wordt bovendien aangevuld met een aantal door de minister uitgevaardigde, door beide kamers van het Britse parlement (265) goedgekeurde en in het gehele land toepasselijke praktijkcodes, die verdere richtsnoeren bevatten voor het gebruik van deze bevoegdheden (266). Hoewel betrokkenen voor de uitoefening van hun rechten rechtstreeks een beroep kunnen doen op de bepalingen die in de IPA 2016 zijn neergelegd, is in bijlage 7, punt 5, van de IPA 2016 bepaald dat de praktijkcodes toelaatbaar zijn als bewijs in civiele en strafrechtelijke procedures, en dat de rechterlijke instantie, het gerecht of de toezichthoudende autoriteit bij de vaststelling van een relevante kwestie in een gerechtelijke procedure rekening mag houden met niet-naleving van de praktijkcodes (267). De Grote Kamer van het Europees Hof voor de Rechten van de Mens heeft in de context van zijn beoordeling van de “kwaliteit van het recht” van de eerdere Britse wetgeving op het gebied van bewaking, de RIPA 2000, uitdrukkelijk de relevantie van de Britse praktijkcodes erkend en aanvaard dat de bepalingen ervan in aanmerking kunnen worden genomen bij de beoordeling van de voorzienbaarheid van de wetgeving die bewaking toestaat (268).

(180)

Voorts zij opgemerkt dat gerichte bevoegdheden (gerichte interceptie (269), verkrijging van communicatiegegevens (270), bewaring van communicatiegegevens (271) en gerichte materiële interferentie (272)) ter beschikking staan van nationale veiligheidsdiensten en bepaalde rechtshandhavingsinstanties (273), terwijl alleen inlichtingendiensten gebruik kunnen maken van bevoegdheden voor bulksgewijze verzameling (d.w.z. bulksgewijze interceptie (274), bulksgewijze verkrijging van communicatiegegevens (275), bulksgewijze materiële interferentie (276) en bulkdatasets met persoonsgegevens (277)).

(181)

Om te bepalen welke onderzoeksbevoegdheid moet worden gebruikt, moet de inlichtingendienst voldoen aan de “algemene plichten met betrekking tot de persoonlijke levenssfeer” die zijn opgesomd in artikel 2, lid 2, punt a), van de IPA 2016, waaronder een noodzakelijkheids- en evenredigheidstoets. Meer in het bijzonder moet volgens deze bepaling een overheidsinstantie die voornemens is een onderzoeksbevoegdheid te gebruiken i) nagaan of hetgeen met het bevel, de machtiging of de aanzegging/sommatie/beschikking wordt beoogd redelijkerwijs met andere, minder ingrijpende middelen kan worden bereikt; ii) of het niveau van bescherming dat moet worden toegepast met betrekking tot het verkrijgen van informatie op grond van het bevel, de machtiging of de aanzegging/sommatie/beschikking hoger is wegens de bijzondere gevoeligheid van die informatie; iii) het algemeen belang van de integriteit en de veiligheid van telecommunicatiesystemen en posterijen, en iv) alle andere aspecten van het algemeen belang van de bescherming van de persoonlijke levenssfeer (278).

(182)

De wijze waarop deze criteria moeten worden toegepast – en de wijze waarop de naleving ervan wordt beoordeeld in het kader van de toestemming voor het gebruik van dergelijke bevoegdheden door de Secretary of State en de onafhankelijke Judicial Commissioners – wordt nader gespecificeerd in de desbetreffende praktijkcodes. In het bijzonder moet het gebruik van een van deze onderzoeksbevoegdheden altijd “in verhouding staan tot hetgeen ermee wordt beoogd, [hetgeen] inhoudt dat de ernst van de inbreuk op de persoonlijke levenssfeer (en andere overwegingen als uiteengezet in artikel 2, lid 2) moet worden afgewogen tegen de noodzaak van de activiteit uit het oogpunt van onderzoek, operationele taken of capaciteiten”. Dit betekent met name dat het “een realistisch vooruitzicht moet bieden op het verwezenlijken van het verwachte voordeel en niet onevenredig of willekeurig mag zijn” en dat “inmenging in de persoonlijke levenssfeer niet als evenredig mag worden beschouwd indien de gevraagde informatie redelijkerwijs met andere, minder indringende middelen had kunnen kan worden verkregen” (279). Meer in het bijzonder moet de naleving van het evenredigheidsbeginsel worden beoordeeld aan de hand van de volgende criteria: “i) de omvang van de voorgestelde inmenging in de persoonlijke levenssfeer, afgezet tegen hetgeen daarmee wordt beoogd; ii) hoe en waarom de toe te passen methoden zo weinig mogelijk hinder voor de betrokkene en anderen zullen opleveren; iii) of de activiteit een passend gebruik van de wet vormt en een redelijke manier is om, na afweging van alle redelijke alternatieven, te bereiken wat wordt nagestreefd; iv) welke andere methoden, naar gelang van het geval, hetzij niet zijn toegepast, hetzij zijn gebruikt, maar als ontoereikend worden beschouwd om de operationele doelstellingen te bereiken zonder gebruikmaking van de voorgestelde onderzoeksbevoegdheid” (280).

(183)

In de praktijk zorgt dit ervoor, zoals de Britse autoriteiten hebben uitgelegd, dat een inlichtingendienst eerst de operationele doelstelling bepaalt (en zo de verzameling afbakent, bv. tot een internationaal terrorismebestrijdingsdoel in een specifiek geografisch gebied) en vervolgens, op basis van die operationele doelstelling, moet overwegen welke technische optie (bv. gerichte of bulksgewijze interceptie, materiële interferentie, verkrijging van communicatiegegevens) het meest evenredig is (d.w.z. het minst inbreuk maakt op de persoonlijke levenssfeer, zie artikel 2, lid 2, van de IPA) met het beoogde doel, en derhalve kan worden toegestaan op basis van een van de beschikbare rechtsgrondslagen.

(184)

Opgemerkt zij dat dit beroep op de normen van noodzakelijkheid en evenredigheid ook is opgemerkt en verwelkomd door de speciale VN-rapporteur inzake het recht op privacy, Joseph Cannataci, die met betrekking tot het bij de IPA 2016 ingevoerde systeem heeft verklaard dat “de bestaande procedures, zowel binnen de inlichtingendiensten als binnen de rechtshandhavingsinstanties, stelselmatig lijken te vereisen dat de noodzakelijkheid en evenredigheid van een bewakingsmaatregel of -operatie in aanmerking worden genomen voordat wordt aanbevolen er toestemming voor te geven, en dat deze op dezelfde gronden worden getoetst” (281). Hij merkte ook op dat hij tijdens zijn ontmoeting met vertegenwoordigers van de rechtshandhavingsinstanties en de nationale veiligheidsdiensten “een consensus had bereikt over het feit dat het recht op bescherming van de persoonlijke levenssfeer een eerste overweging moet zijn bij elk besluit betreffende bewakingsmaatregelen. Allen begrepen en waardeerden noodzaak en evenredigheid als de kardinale beginselen waarmee rekening moest worden gehouden”.

(185)

De specifieke criteria voor het uitvaardigen van de verschillende bevelen, alsook de beperkingen en waarborgen die door de IPA 2016 zijn vastgesteld met betrekking tot elke onderzoeksbevoegdheid, worden nader omschreven in de overwegingen (186) tot en met (243).

(186)

Voor gerichte interceptie bestaan er drie soorten bevelen: het gerichte interceptiebevel (282), het gerichte onderzoeksbevel en het bevel tot wederzijdse bijstand (283). De voorwaarden om dergelijke bevelen en de desbetreffende waarborgen te verkrijgen zijn uiteengezet in hoofdstuk 1 van deel 2 van de IPA 2016.

(187)

Een gericht interceptiebevel geeft toestemming om de in het bevelschrift beschreven communicatie te onderscheppen tijdens de doorgifte ervan en om andere voor die communicatie relevante gegevens (284), waaronder secundaire gegevens, te verkrijgen (285). Een gericht onderzoeksbevel machtigt een persoon tot het maken van een selectie voor onderzoek van onderschepte inhoud die is verkregen op grond van een bulkinterceptiebevel (286).

(188)

Elk bevel uit hoofde van deel 2 van de IPA 2016 kan worden uitgevaardigd door de Secretary of State (287) en worden goedgekeurd door een Judicial Commissioner (288). In alle gevallen is de duur van elk soort gericht bevel beperkt tot 6 maanden (289) en gelden er specifieke regels voor de wijziging (290) en verlenging (291) ervan.

(189)

Alvorens het bevel uit te vaardigen, moet de Secretary of State een beoordeling maken van de noodzakelijkheid en de evenredigheid (292). Specifiek voor een gericht interceptiebevel en een gericht onderzoeksbevel moet de Secretary of State nagaan of de maatregel noodzakelijk is om een van de volgende redenen: het belang van de nationale veiligheid; het voorkomen of opsporen van een ernstig misdrijf; of de belangen van het economisch welzijn van het Verenigd Koninkrijk (293), voor zover die belangen ook relevant zijn voor de belangen van de nationale veiligheid (294). Anderzijds kan een bevel tot wederzijdse bijstand (zie overweging (139)) alleen worden uitgevaardigd indien de Secretary of State van oordeel is dat er sprake is van omstandigheden die gelijkwaardig zijn aan die waarin hij/zij een bevel zou uitvaardigen ter voorkoming en/of opsporing van een ernstig misdrijf (295).

(190)

Bovendien moet de Secretary of State nagaan of de maatregel in verhouding staat tot het beoogde doel (296). Bij de beoordeling van de evenredigheid van de gevraagde maatregelen moet rekening worden gehouden met de algemene plichten met betrekking tot de persoonlijke levenssfeer die zijn neergelegd in artikel 2, lid 2, van de IPA 2016, met name de noodzaak om te beoordelen of hetgeen met het bevelschrift, de machtiging of de aanzegging/sommatie/beschikking wordt beoogd, redelijkerwijs ook met andere, minder ingrijpende middelen zou kunnen worden bereikt, en of met betrekking tot het verkrijgen van informatie op grond van het bevel een hoger beschermingsniveau moet worden toegepast vanwege de bijzondere gevoeligheid van die informatie (zie overweging (181)).

(191)

Daartoe zal de Secretary of State rekening moeten houden met alle elementen van het verzoek die zijn aangegeven door de autoriteit die het verzoek heeft ingediend, met name die welke betrekking hebben op de te onderscheppen personen en de relevantie van de maatregel voor het onderzoek. Dergelijke elementen worden behandeld in de Code of Practice on Interception of Communications en moeten met een zekere mate van specificiteit worden beschreven (297). Bovendien schrijft artikel 17 van de IPA 2016 voor dat elk bevel dat op grond van hoofdstuk 2 ervan wordt uitgevaardigd, de specifieke persoon of een groep personen, een organisatie of locatie die moeten worden onderschept (het “doelwit”) moet noemen of beschrijven. In het geval van een gericht interceptiebevel of een gericht onderzoeksbevel kunnen deze ook betrekking hebben op een groep personen, meer dan één persoon of organisatie, of meer dan één vestiging (ook wel “thematisch bevel” genoemd) (298). In deze gevallen moet het bevel het gemeenschappelijke doel of de gemeenschappelijke activiteit van de groep personen of de operatie/het onderzoek beschrijven en zoveel mogelijk van deze personen/organisaties of vestiging noemen of beschrijven als redelijkerwijs haalbaar is (299). Ten slotte moeten in alle uit hoofde van deel 2 van de IPA 2016 uitgevaardigde bevelen de adressen, nummers, apparaten, factoren of combinatie van factoren worden gespecificeerd die moeten worden gebruikt voor het identificeren van de communicatie (300). In dit verband is in de Code of Practice on Interception of Communications bepaald dat in het geval van een gericht interceptiebevel en een gericht onderzoeksbevel “in het bevel de factoren of de combinatie van factoren die moeten worden gebruikt voor het identificeren van de communicatie, moeten worden gespecificeerd (of beschreven). Indien de communicatie moet worden geïdentificeerd aan de hand van (bijvoorbeeld) een telefoonnummer, moet het nummer in zijn geheel worden weergegeven. Wanneer echter voor de identificatie van het communicatieverkeer zeer complexe of voortdurend veranderende internetselectietermen moeten worden gebruikt, moeten die selectietermen zoveel mogelijk worden beschreven (301).

(192)

Een belangrijke waarborg in dit verband is dat de beoordeling die de Secretary of State maakt om een bevel uit te vaardigen, moet worden goedgekeurd door een onafhankelijke Judicial Commissioner (302) die met name zal nagaan of het besluit om het bevel uit te vaardigen voldoet aan de beginselen van noodzakelijkheid en evenredigheid (303) (zie voor de status en de rol van Judicial Commissioners de overwegingen (251) tot en met (256)). De IPA 2016 verduidelijkt ook dat de Judicial Commissioner bij het uitvoeren van een dergelijke controle dezelfde beginselen moet toepassen als een rechter bij een verzoek om rechterlijke toetsing (304). Hierdoor wordt gewaarborgd dat in elk geval, en voordat inzage in gegevens wordt verleend, door een onafhankelijk orgaan systematisch wordt nagegaan of het noodzakelijkheids- en het evenredigheidsbeginsel in acht zijn genomen.

(193)

De IPA 2016 voorziet in enkele specifieke en kleine uitzonderingen voor het uitvoeren van gerichte intercepties zonder een bevel. Het beperkte aantal gevallen wordt nader beschreven in de wet (305) en, behalve intercepties die zijn gebaseerd op de “toestemming” van de verzender/ontvanger, worden zij uitgevoerd door andere personen (particuliere of openbare instanties) dan de nationale veiligheidsdiensten. Bovendien wordt dit soort intercepties uitgevoerd voor andere doeleinden dan “inlichtingenvergaring” (306) en voor sommige soorten intercepties is het zeer onwaarschijnlijk dat de verzameling kan plaatsvinden in de context van een scenario van “doorgifte” (bijvoorbeeld in geval van interceptie in een psychiatrisch ziekenhuis of in een gevangenis). Rekening houdend met de aard van de instantie waarop deze specifieke gevallen van toepassing zijn (andere instanties dan de nationale veiligheidsinstanties), zijn alle waarborgen van deel 2 van de DPA 2018 en de UK GDPR van toepassing, met inbegrip van toezicht door de Information Commissioner en de beschikbare verhaalmechanismen. Naast de waarborgen van de DPA 2018, voorziet de IPA 2016 in bepaalde gevallen bovendien in toezicht achteraf door het IPCO (307)

(194)

Wanneer interceptie wordt uitgevoerd, zijn aanvullende beperkingen en waarborgen van toepassing met betrekking tot de specifieke status van de onderschepte persoon of personen (308). Zo is het onderscheppen van voorwerpen die onder de wettelijke geheimhoudingsplicht vallen alleen toegestaan in uitzonderlijke en dwingende omstandigheden; de persoon die het bevel uitvaardigt, moet rekening houden met het openbaar belang van de vertrouwelijkheid van voorwerpen die onder de wettelijke geheimhoudingsplicht vallen en met het feit dat er specifieke voorschriften zijn voor de verwerking, de bewaring en de verstrekking van dergelijk materiaal (309).

(195)

Voorts voorziet de IPA 2016 in specifieke waarborgen met betrekking tot beveiliging, bewaring en verstrekking, waarmee de Secretary of State rekening moet houden alvorens een gericht bevel uit te vaardigen (310). In het bijzonder vereist artikel 53, lid 5, van de IPA 2016 dat elke kopie die wordt gemaakt van materiaal dat uit hoofde van het bevel is verzameld, op een veilige manier wordt opgeslagen en wordt vernietigd zodra er geen relevante gronden meer zijn om het te bewaren, terwijl artikel 53, lid 2, van de IPA 2016 vereist dat het aantal personen aan wie het materiaal wordt verstrekt en de mate waarin materiaal wordt verstrekt, ter beschikking gesteld of gekopieerd, wordt beperkt tot het minimum dat noodzakelijk is voor de wettelijke doeleinden.

(196)

Tot slot, wanneer het materiaal dat is onderschept door middel van een gericht interceptiebevel of door middel van een bevel tot wederzijdse bijstand moet worden verstrekt aan een derde land (“overzeese verstrekking”), bepaalt de IPA 2016 dat de Secretary of State ervoor moet zorgen dat er passende regelingen worden getroffen om te waarborgen dat er in dat derde land vergelijkbare waarborgen bestaan op het gebied van beveiliging, bewaring en verstrekking (311). Daarnaast is in artikel 109, lid 2, van de DPA 2018 bepaald dat inlichtingendiensten alleen persoonsgegevens buiten het grondgebied van het Verenigd Koninkrijk mogen doorgeven indien de doorgifte een noodzakelijke en evenredige maatregel is die wordt uitgevoerd met het oog op de wettelijke taken van de verwerkingsverantwoordelijke of voor andere in artikel 2, lid 2, punt a), van de Security Service Act 1989 of artikel 2, lid 2, punt a), en artikel 4, lid 2, punt a), van de Intelligence Services Act 1994 vermelde doeleinden (312). Belangrijk is dat deze vereisten ook van toepassing zijn in gevallen waarin de nationaleveiligheidsvrijstelling overeenkomstig artikel 110 van de DPA 2018 wordt ingeroepen, aangezien in artikel 110 van de DPA 2018 artikel 109 van de DPA 2018 niet wordt genoemd als een van de bepalingen die niet hoeft te worden toegepast indien een vrijstelling van bepaalde bepalingen is vereist voor het waarborgen van de nationale veiligheid.

(197)

De IPA 2016 staat de Secretary of State toe om telecommunicatie-exploitanten ertoe te verplichten communicatiegegevens te bewaren voor gerichte toegang door diverse overheidsinstanties, met inbegrip van rechtshandhavingsinstanties en inlichtingendiensten. Deel 4 van de IPA 2016 voorziet in de bewaring van communicatiegegevens, terwijl deel 3 voorziet in de gerichte verkrijging van communicatiegegevens. In de delen 3 en 4 van de IPA 2016 worden ook specifieke beperkingen van de uitoefening van deze bevoegdheden uiteengezet en zijn specifieke waarborgen opgenomen.

(198)

De term “communicatiegegevens” heeft betrekking op het “wie”, “wanneer”, “waar” en “hoe” van een communicatie, maar niet op de inhoud, dat wil zeggen wat er is gezegd of geschreven. Anders dan bij interceptie zijn de verkrijging en bewaring van communicatiegegevens er niet op gericht de inhoud van de communicatie te verkrijgen, maar om informatie te verkrijgen zoals de abonnee van een telefoniedienst of een gespecificeerde nota. Dit zouden het tijdstip en de duur van de communicatie, het nummer of het e-mailadres van de verzender en de ontvanger en soms de locatie van de apparaten vanaf welke de telecommunicatie is uitgegaan, kunnen zijn (313).

(199)

Er zij opgemerkt dat de bewaring en verkrijging van communicatiegegevens doorgaans geen betrekking zal hebben op de communicatiegegevens van betrokkenen in de EU die uit hoofde van dit besluit naar het Verenigd Koninkrijk worden doorgegeven. De verplichting om communicatiegegevens te bewaren of te verstrekken overeenkomstig de delen 3 en 4 van de IPA 2016 heeft betrekking op gegevens die door telecommunicatie-exploitanten in het Verenigd Koninkrijk rechtstreeks van de gebruikers van een telecommunicatiedienst worden verzameld (314). Dit soort “klantgerelateerde” verwerking heeft doorgaans geen betrekking op een op dit besluit gebaseerde doorgifte, dat wil zeggen een doorgifte van een verwerkingsverantwoordelijke/verwerker in de EU aan een verwerkingsverantwoordelijke/verwerker in het Verenigd Koninkrijk.

(200)

Met het oog op volledigheid worden de voorwaarden en waarborgen voor deze regelingen betreffende verkrijging en bewaring niettemin in de volgende overwegingen geanalyseerd.

(201)

Vooropgesteld moet worden opgemerkt dat de bewaring en de gerichte verkrijging van communicatiegegevens ter beschikking staat van zowel nationale veiligheidsinstanties als van bepaalde rechtshandhavingsinstanties (315). De voorwaarden om de bewaring en/of verkrijging van communicatiegegevens te vereisen, kunnen variëren afhankelijk van de grond voor het indienen van een verzoek om de maatregel, namelijk de nationale veiligheid of rechtshandhaving als doeleinde.

(202)

Hoewel met de nieuwe regeling de algemene vereiste van toestemming vooraf van een onafhankelijke instantie is ingevoerd die van toepassing zal zijn in alle gevallen waarin communicatiegegevens worden bewaard en/of verkregen (met het oog op rechtshandhaving of de nationale veiligheid), zijn naar aanleiding van het arrest in de zaak Tele2/Watson van het Europees Hof van Justitie (316) in het bijzonder specifieke waarborgen geïntroduceerd wanneer om rechtshandhavingsdoeleinden om de maatregel wordt verzocht. Met name wanneer de bewaring of de verkrijging van communicatiegegevens om rechtshandhavingsdoeleinden is vereist, moet de toestemming vooraf altijd worden gegeven door de Investigatory Powers Commissioner (Britse toezichthouder voor onderzoeksbevoegdheden, IPC). Dit is niet altijd het geval wanneer om de maatregel wordt verzocht met het oog op de nationale veiligheid, aangezien voor dat soort maatregelen, zoals hieronder wordt beschreven, in bepaalde gevallen toestemming kan worden gegeven door een andere “persoon die toestemming verleent”. Bovendien is met de nieuwe regeling de drempel waarvoor de bewaring en de verkrijging van communicatiegegevens kan worden toegestaan verhoogd naar “ernstige strafbare feiten” (317).

(203)

Overeenkomstig deel 3 van de IPA 2016, mogen de betrokken overheidsinstanties communicatiegegevens verkrijgen van een telecommunicatie-exploitant of een persoon die in staat is dergelijke gegevens te verkrijgen en te verstrekken. De toestemming staat mogelijk de onderschepping van de inhoud van het communicatieverkeer (318) niet toe en is na één maand (319) niet meer geldig, waarbij verlenging door middel van een bijkomende toestemming mogelijk is (320). Voor de verkrijging van communicatiegegevens moet toestemming van de Investigatory Powers Commissioner (321) worden verkregen (zie voor de status en bevoegdheden van de IPC de overwegingen (250) en (251)). Dit is altijd het geval wanneer door een rechtshandhavingsinstantie om de verkrijging van communicatiegegevens wordt verzocht. Overeenkomstig artikel 61 van de IPA 2016, wanneer gegevens worden verkregen in het belang van de nationale veiligheid of de economische welvaart van het Verenigd Koninkrijk zo lang dit relevant is voor de nationale veiligheid, of wanneer een lid van een inlichtingendienst een aanvraag indient krachtens artikel 61, lid 7, punt b) (322), kan de verkrijging echter ook (323) worden toegestaan door de IPC of door een aangewezen hogere functionaris (324). De aangewezen functionaris moet onafhankelijk van het onderzoek of de operatie in kwestie zijn en praktische kennis van de beginselen en wetgeving op het gebied van mensenrechten hebben, met name wat betreft noodzaak en evenredigheid (325). Het besluit van de aangewezen functionaris zal worden onderworpen aan het toezicht achteraf door de IPC (zie overweging (254) voor meer gedetailleerde informatie over de taken betreffende toezicht achteraf van de IPC).

(204)

De toestemming om communicatiegegevens te verkrijgen, wordt gebaseerd op een beoordeling van de noodzaak en evenredigheid van de maatregel. Meer in het bijzonder wordt de noodzaak van de maatregel beoordeeld in het licht van de in de wetgeving genoemde gronden (326). Gezien het gerichte karakter van deze maatregel moet deze ook noodzakelijk zijn voor een bepaald onderzoek of een bepaalde operatie (327). Verdere vereisten betreffende de beoordeling van de noodzaak van de maatregelen zijn neergelegd in de Code of Practice on Communication Data (328). In deze code staat in het bijzonder dat in de door de verzoekende autoriteit ingediende aanvraag ten minste drie elementen moeten worden vermeld die de noodzaak van het verzoek rechtvaardigen: i) het onderzochte voorval zoals een strafbaar feit of de locatie van een kwetsbare vermiste persoon; ii) de persoon van wie de gegevens worden gevraagd, zoals een verdachte, getuige of vermiste persoon, en hoe die verband houden met het voorval; en iii) de gevraagde communicatiegegevens, zoals een telefoonnummer of een IP-adres, en wat het verband is tussen deze gegevens en de persoon en het voorval (329).

(205)

Bovendien moet de verkrijging van communicatiegegevens in verhouding staan tot het beoogde doel (330). In de Code of Practice on Communication Data wordt verduidelijkt dat de persoon die toestemming verleent, bij het uitvoeren van een dergelijke beoordeling een afweging moet maken tussen “de omvang van de aantasting van de rechten en vrijheden van een persoon en het specifieke voordeel voor het onderzoek dat of de operatie die in het algemeen belang door een betrokken overheidsinstantie wordt uitgevoerd” en dat, rekening houdend met alle overwegingen van een bepaald geval, “aantasting van de rechten van een persoon mogelijk nog steeds niet gerechtvaardigd is omdat het negatieve effect op de rechten van een andere persoon of groep personen te groot is”. Om specifiek de evenredigheid van de maatregel te beoordelen, worden in de code bovendien elementen genoemd die in de door de verzoekende autoriteit ingediende aanvraag moeten worden opgenomen (331). Voorts moet bijzondere aandacht worden besteed aan het soort communicatiegegevens (gegevens over “entiteiten” of “voorvallen” (332)) dat moet worden verkregen, en moet bij voorkeur gebruik worden gemaakt van een minder inbreukmakende categorie gegevens (333). De Code of Practice on Communication Data bevat ook specifieke instructies voor toestemming met betrekking tot de communicatiegegevens van mensen in bepaalde beroepen (zoals artsen, advocaten, journalisten, parlementariërs of geestelijken) (334) waarop extra waarborgen van toepassing zijn (335).

(206)

In deel 4 van de IPA 2016 worden de voorschriften betreffende de bewaring van communicatiegegevens uiteengezet, en in het bijzonder de criteria die de Secretary of State toestaan een aanzegging tot bewaring af te geven (336). Wanneer de gegevens met het oog op rechtshandhaving worden bewaard en wanneer het gaat om de nationale veiligheid zijn dezelfde bij de IPA ingevoerde waarborgen van toepassing.

(207)

Uitvaardiging van dergelijke aanzeggingen tot bewaring moet ervoor zorgen dat telecommunicatie-exploitanten relevante communicatiegegevens, die als zij niet langer vereist zijn voor zakelijke doeleinden anders zouden worden gewist, maximaal twaalf maanden bewaren (337). De bewaarde gegevens moeten gedurende de vereiste periode beschikbaar zijn mocht het vervolgens voor een overheidsinstantie nodig zijn om ze te verkrijgen in het kader van een toestemming voor een gerichte verkrijging van communicatiegegevens zoals bedoeld in deel 3 van de IPA 2016 en zoals beschreven in de overwegingen (203) tot en met (205).

(208)

Op de uitoefening van de bevoegdheid om bewaring van bepaalde gegevens te vereisen is een aantal beperkingen en waarborgen van toepassing. De Secretary of State kan alleen een aanzegging tot bewaring aan een of meer exploitanten (338) afgeven indien hij/zij van oordeel is dat de vereiste om gegevens te bewaren voor een van de wettelijke doeleinden (339) noodzakelijk is en in verhouding staat tot het beoogde doel (340). Zoals verduidelijkt wordt in de IPA 2016 zelf (341), moet de Secretary of State, rekening houden met het volgende alvorens een aanzegging tot bewaring af te geven: de waarschijnlijke voordelen van de aanzegging (342); een beschrijving van de telecommunicatiediensten; de geschiktheid van beperking van de te bewaren gegevens volgens locatie, of beschrijvingen van personen aan wie de telecommunicatiediensten worden geleverd (343); het waarschijnlijke aantal gebruikers (indien bekend) van een telecommunicatiedienst waarop de aanzegging betrekking heeft (344); de technische haalbaarheid van de naleving van de aanzegging; de waarschijnlijke kosten van naleving van de aanzegging, en alle overige gevolgen van de aanzegging voor de telecommunicatie-exploitant (of de beschrijving van exploitanten) op wie de aanzegging betrekking heeft (345). Zoals verder uiteengezet wordt in hoofdstuk 17 van de Code of Practice on Communications Data moet in alle aanzeggingen tot bewaring elk soort te bewaren gegevens worden aangegeven, alsook op basis waarvan elk soort gegevens aan de noodzakelijke criteria voor bewaring voldoet.

(209)

In alle gevallen (met het oog op zowel de nationale veiligheid als rechtshandhaving) moet het besluit van de Secretary of State om de aanzegging tot bewaring af te geven in het kader van de zogenaamde “double-lockprocedure” worden goedgekeurd door een onafhankelijke Judicial Commissioner, die in het bijzonder moet nagaan of de aanzegging tot bewaring van relevante communicatiegegevens voor een of meer van de wettelijke doeleinden noodzakelijk en evenredig is (346).

(210)

Materiële interferentie is een reeks technieken die worden gebruikt om allerlei gegevens te verkrijgen uit apparatuur (347), waaronder computers, tablets en smartphones, maar ook kabels, snoeren en opslagapparaten (348). Materiële interferentie maakt het mogelijk om zowel de inhoud van communicatie als de gegevens van apparatuur te verkrijgen (349).

(211)

Overeenkomstig artikel 13, lid 1, van de IPA 2016 is voor het gebruik van materiële interferentie door een inlichtingendienst toestemming vereist door middel van een bevel in het kader van de bij de IPA 2016 ingestelde “double-lockprocedure”, mits er sprake is van een “verband met de Britse eilanden” (350). In overeenstemming met de uitleg die door de Britse autoriteiten wordt gegeven, is er in situaties waarin binnen de reikwijdte van dit besluit gegevens van de Europese Unie worden doorgegeven aan het Verenigd Koninkrijk altijd sprake van een “verband met de Britse eilanden” en zou materiële interferentie met betrekking tot die gegevens derhalve onderhevig zijn aan de verplichting dat er een bevel is uitgevaardigd volgens artikel 13, lid 1, van de IPA 2016 (351).

(212)

De voorschriften inzake bevelen voor gerichte materiële interferentie worden uiteengezet in deel 5 van de IPA 2016. Net als bij gerichte interceptie, moet gerichte materiële interferentie verband houden met een bepaald “doel”, dat in het bevel moet worden uiteengezet (352). De details van de wijze waarop een “doel” moet worden geïdentificeerd is afhankelijk van de zaak en van het soort apparatuur dat moet worden verstoord. In het bijzonder in artikel 115, lid 3, van de IPA worden de elementen genoemd die in het bevel moeten worden opgenomen (bv. de naam van de persoon of organisatie, beschrijving van de locatie), bijvoorbeeld afhankelijk van de vraag of de verstoring betrekking heeft op apparatuur die eigendom is van, wordt gebruikt door of in het bezit is van een bepaalde persoon of een bepaalde organisatie of een bepaalde groep personen, of zich op een bepaalde locatie bevindt enz. (353). De doeleinden waarvoor bevelen voor gerichte materiële interferentie kunnen worden uitgevaardigd, zijn afhankelijk van de overheidsinstantie die het bevel aanvraagt (354).

(213)

Net als bij gerichte interceptie moet de autoriteit van afgifte nagaan of de maatregel noodzakelijk is om een bepaald doel te bereiken en of hij in verhouding staat tot beoogde doel (355). Bovendien moet de autoriteit tevens nagaan of er waarborgen bestaan in verband met beveiliging, bewaring en verstrekking, en met “overzeese verstrekking” (356) (zie overweging (196)).

(214)

De machtiging moet worden goedgekeurd door een Judicial Commissioner, behalve in spoedeisende gevallen (357). In het laatste geval moet een Judicial Commissioner in kennis worden gesteld van het feit dat er een bevel is uitgevaardigd en moet hij dit bevel binnen drie werkdagen goedkeuren. Indien de Judicial Commissioner weigert het bevel goed te keuren, houdt het bevel op geldig te zijn en kan dit niet worden verlengd (358). Bovendien heeft de Judicial Commissioner de bevoegdheid om te vereisen dat in het kader van het bevel verkregen gegevens worden verwijderd (359). Het feit dat een beval met spoed is afgegeven houdt geen toezicht achteraf in (zie de overwegingen (244) tot en met (255)), noch mogelijkheden voor personen om verhaal te zoeken (zie de overwegingen (260) tot en met (270)). Personen kunnen een klacht indienen bij de Information Commissioner of via de gebruikelijke weg een vordering met betrekking tot vermeende gedragingen instellen bij het Investigatory Powers Tribunal (gerecht dat toezicht uitoefent op de onderzoeksbevoegdheden). In alle gevallen is het door de Judicial Commissioner toegepaste criterium om te beslissen of een bevel al dan niet moet worden goedgekeurd het criterium inzake noodzaak en evenredigheid dat van toepassing is op verzoeken om gerichte interceptie (360) (zie overweging (192)).

(215)

Ten slotte zijn specifieke waarborgen voor gerichte interceptie ook van toepassing op materiële interferentie met betrekking tot de duur, vernieuwing en wijziging van het bevel, alsook op de interceptie van parlementsleden, van zaken die onder het wettelijk verschoningsrecht vallen, en van journalistiek materiaal (zie voor meer informatie overweging 193).

(216)

Bevoegdheden voor bulksgewijze verzameling worden geregeld in deel 6 van de IPA 2016. Daarnaast bevatten de praktijkcodes meer informatie over de uitoefening van bevoegdheden voor bulksgewijze verzameling. Hoewel de “bevoegdheid voor bulksgewijze verzameling” in het Britse recht niet is gedefinieerd, wordt dit begrip in de context van de IPA 2016 beschreven als het verzamelen en bewaren van grote hoeveelheden gegevens die de regering op verschillende manieren heeft verzameld (dat wil zeggen de bevoegdheden voor bulksgewijze interceptie, bulksgewijze verkrijging, bulksgewijze materiële interferentie en bulkdatasets met persoonsgegevens) en die vervolgens toegankelijk zijn voor de autoriteiten. Deze beschrijving wordt verduidelijkt door te zeggen wat “bevoegdheid voor bulksgewijze verzameling” niet is: het is niet hetzelfde als zogenaamde “grootschalige bewaking” zonder beperkingen of waarborgen. Zoals hieronder wordt uitgelegd, bevat de bevoegdheid voor bulksgewijze verzameling juist wel beperkingen en waarborgen die ervoor moeten zorgen dat de toegang tot gegevens niet op een ongedifferentieerde of ongerechtvaardigde basis wordt verleend (361). Bevoegdheden voor bulksgewijze verzameling kunnen in het bijzonder alleen worden uitgeoefend als een verband kan worden aangetoond tussen de technische maatregel die een nationaal veiligheidsagentschap wil gebruiken en de operationele doelstelling waarvoor om die maatregel wordt verzocht.

(217)

Bovendien gelden bevoegdheden voor bulksgewijze verzameling alleen voor inlichtingendiensten en moet voor die bevoegdheden altijd een bevel door de Secretary of State worden uitgevaardigd dat door een Judicial Commissioner wordt goedgekeurd. Bij het kiezen van de middelen om inlichtingen te vergaren, moet worden nagegaan of de desbetreffende doelstelling met “minder ingrijpende middelen” kan worden verwezenlijkt (362). Deze aanpak vloeit voort uit het kader van de wetgeving die is gebaseerd op het evenredigheidsbeginsel en derhalve de voorkeur geeft aan gerichte verzameling boven bulksgewijze verzameling.

(218)

De regeling voor bulksgewijze interceptie is opgenomen in hoofdstuk 1 van deel 6 van de IPA 2016, terwijl in hoofdstuk 3 van dat deel bulksgewijze materiële interferentie wordt behandeld. Deze regelingen zijn in wezen dezelfde, dus de voorwaarden en extra waarborgen die op die bevelen van toepassing zijn, worden gezamenlijk geanalyseerd.

(219)

Een bevel tot bulksgewijze interceptie is beperkt tot de interceptie van communicatieverkeer die tijdens de doorgifte ervan plaatsvindt, waarbij het gaat om berichten die worden verzonden of ontvangen door personen die zich buiten de Britse eilanden (363) bevinden, zogeheten “overzeese communicatie” (364), alsook alle overige relevante gegevens en de daarop volgende selectie voor onderzoek van het onderschepte materiaal (365). Een bevel tot bulksgewijze materiële interferentie (366) verleent degene tot wie het bevel is gericht toestemming om apparatuur te verstoren, teneinde overzees communicatieverkeer (met inbegrip van alles wat gesproken inhoud, muziek, geluiden, beelden of ongeacht welke gegevens bevat), gegevens van apparatuur (gegevens die de werking mogelijk maken of vergemakkelijken van het postverkeer, een telecommunicatiesysteem, een telecommunicatiedienst) of enige andere informatie te verkrijgen (367).

(220)

De Secretary of State kan alleen een bevel tot bulksgewijze operaties uitvaardigen naar aanleiding van een door het hoofd van een inlichtingendienst ingediende aanvraag (368). Een bevel dat bulksgewijze interceptie of bulksgewijze materiële interferentie toestaat, mag alleen worden uitgevaardigd indien dat noodzakelijk is voor het belang van de nationale veiligheid en voor het voorkomen of opsporen van zware criminaliteit, of voor het belang van de economische welvaart van het Verenigd Koninkrijk indien relevant voor de nationale veiligheid (369). Bovendien vereist artikel 142, lid 7, van de IPA 2016 dat een bevel tot bulksgewijze interceptie gedetailleerder moet worden gespecificeerd dan alleen met een verwijzing naar het “belang van de nationale veiligheid”, de “economische welvaart van het Verenigd Koninkrijk” en het “voorkomen en bestrijden van zware criminaliteit”, maar dat er een verband moet worden gelegd tussen de maatregel waarom wordt verzocht en een of meer operationele doeleinden die in het bevel moeten worden opgenomen.

(221)

Deze keuze van het operationele doel is het resultaat van een meerlagig proces. Artikel 142, lid 4, bepaalt dat de in het bevel opgegeven operationele doeleinden in een door de hoofden van de inlichtingendiensten bijgehouden lijst moeten zijn vermeld als doeleinden die zij beschouwen als operationele doeleinden waarvoor onderschepte inhoud of secundaire gegevens die in het kader van bevelen tot bulksgewijze interceptie zijn verkregen voor onderzoek kunnen worden geselecteerd. De lijst van operationele doeleinden moet worden goedgekeurd door de Secretary of State. De Secretary of State kan die goedkeuring alleen verlenen indien is aangetoond dat het operationele doeleinde gedetailleerder is gespecificeerd dan de algemene gronden voor het uitvaardigen van het bevel (nationale veiligheid, of nationale veiligheid en economische welvaart, of het voorkomen van zware criminaliteit) (370). Na afloop van de desbetreffende periode van drie maanden moet de Secretary of State een kopie van de lijst van operationele doeleinden doen toekomen aan de parlementaire Intelligence and Security Committee (Britse inlichtingen- en veiligheidscommissie van het parlement, hierna “ISC” genoemd). Ten slotte moet de Prime Minister de lijst van operationele doeleinden ten minste eenmaal per jaar herzien (371). Zoals opgemerkt door de High Court, “moeten deze doeleinden niet als onbeduidende waarborgen worden afgedaan, aangezien zij samen een complexe reeks verantwoordingswijzen vormen, waarbij zowel het parlement als leden van de regering op het hoogste niveau zijn betrokken” (372).

(222)

Dergelijke operationele doeleinden beperken ook de reikwijdte van de selectie van het onderschepte materiaal voor de onderzoeksfase. De selectie van te onderzoeken materiaal dat in het kader van het bevel tot bulksgewijze operaties is verzameld, moet worden gerechtvaardigd in het licht van de operationele doeleinden. Zoals uitgelegd door de Britse autoriteiten, houdt dit in dat praktische regelingen betreffende het onderzoek reeds in de bevelfase moeten worden beoordeeld door de Secretary of State, waarbij voldoende details worden gegeven om de wettelijke taken uit hoofde van de artikelen 152 en 193 van de IPA 2016 te vervullen (373). De aan de Secretary of State te verstrekken details in verband met die regelingen moeten bijvoorbeeld informatie (indien van toepassing) omvatten over de wijze waarop filterregelingen kunnen variëren gedurende de geldigheidsduur van een bevel (374). Zie overweging (229) voor meer informatie over het proces en de waarborgen die worden toegepast op de filter- en onderzoeksfasen.

(223)

Een bulkbevoegdheid kan alleen worden toegekend indien deze in verhouding staat tot het beoogde doel (375). Zoals uiteengezet in de Code of Practice on Interception moet voor elke evenredigheidsbeoordeling “een afweging worden gemaakt tussen de ernst van de inbreuk op de privacy (en andere in artikel 2, lid 2, genoemde omstandigheden) en de noodzaak van de activiteit in termen van onderzoek, capaciteit en in operationeel opzicht. De toegestane gedraging moet een realistisch vooruitzicht bieden op verwezenlijking van het verwachte voordeel en mag niet onevenredig of willekeurig zijn” (376). Zoals eerder vermeld, houdt dit in de praktijk in dat de evenredigheidsbeoordeling gebaseerd wordt op een toetsing van het evenwicht tussen het beoogde doel (“operationele doeleinden”) en de beschikbare technische opties (bv. gerichte of grootschalige interceptie, materiële interferentie, verkrijging van communicatiegegevens), waarbij de voorkeur wordt gegeven aan de minst ingrijpende middelen (zie de overwegingen (181) en (182)). Wanneer meer dan één maatregel geschikt is voor het doel, moeten de minder ingrijpende middelen worden verkozen.

(224)

Een extra waarborg betreffende de beoordeling van de evenredigheid van de verzochte maatregel wordt gegarandeerd door het feit dat de Secretary of State de relevante informatie moet ontvangen die nodig is om zijn/haar beoordeling naar behoren te kunnen uitvoeren. In de Code of Practice on Interception en de Code of Practice on Equipment Interference wordt met name vereist dat de door de betrokken autoriteit ingediende aanvraag de achtergrond van de aanvraag vermeldt, alsook een beschrijving van de te onderscheppen communicatie en de telecommunicatie-exploitanten die bijstand moeten verlenen, een beschrijving van de gedraging die moet worden toegestaan, de operationele doeleinden, en een uitleg waarom de gedraging noodzakelijk en evenredig is (377).

(225)

Ten slotte is het belangrijk dat het besluit van de Secretary of State om het bevel uit te vaardigen moet worden goedgekeurd door een onafhankelijke Judicial Commissioner die de evaluatie van de noodzaak en evenredigheid van de voorgestelde maatregel beoordeelt, met toepassing van dezelfde beginselen als die welke door een rechter zouden worden gebruikt bij een verzoek om rechterlijke toetsing (378). Meer specifiek beoordeelt de Judicial Commissioner de conclusies van de Secretary of State over de vraag of het bevel noodzakelijk is en of de gedraging evenredig is in het licht van de in artikel 2, lid 2, van de IPA 2016 vastgestelde beginselen (algemene taken in verband met privacy). Ook beoordeelt de Judicial Commissioner de conclusies van de Secretary of State over de vraag of elk van de in het bevel genoemde operationele doeleinden een doeleinde is waarvoor selectie noodzakelijk is of kan zijn. Indien de Judicial Commissioner goedkeuring weigert van het besluit tot uitvaardiging van een bevel, kan de Secretary of State ofwel: i) het besluit aanvaarden en het bevel derhalve niet uitvaardigen; of ii) de zaak voor een besluit voorleggen aan de Investigatory Powers Commissioner (tenzij de Investigatory Powers Commissioner het oorspronkelijke besluit heeft genomen) (379).

(226)

Bij de IPA 2016 zijn verdere beperkingen van de duur, de verlenging en de wijziging van een bevel tot bulksgewijze verzameling ingevoerd. Het bevel moet een duur van maximaal zes maanden hebben en elk besluit om het bevel te verlengen of te wijzigen (met uitzondering van kleine wijzigingen) moet ook door een Judicial Commissioner worden goedgekeurd (380). In de Code of Practice on Interception en de Code of Practice on Equipment Interference is vastgesteld dat een verandering in de operationele doeleinden van het bevel als een ingrijpende wijziging van het bevel wordt beschouwd (381).

(227)

Vergelijkbaar met hetgeen voor gerichte interceptie geldt, wordt in deel 6 van de IPA 2016 bepaald dat de Secretary of State ervoor moet zorgen dat er regelingen van kracht zijn waarmee waarborgen worden geboden voor de bewaring en verstrekking van materiaal dat in het kader van het bevel is verkregen (382), alsook voor overzeese verstrekking (383). In artikel 150, lid 5, en artikel 191, lid 5, van de IPA 2016 wordt met name bepaald dat elke kopie van het op grond van het bevel verzamelde materiaal op een veilige manier moet worden opgeslagen en moet worden vernietigd zodra er niet langer relevante gronden bestaan om de kopie te bewaren, terwijl in artikel 150, lid 2, en artikel 191, lid 2, wordt bepaald dat het aantal personen aan wie het materiaal wordt verstrekt en de mate waarin materiaal wordt verstrekt, beschikbaar wordt gesteld of wordt gekopieerd, moet worden beperkt tot het minimum dat voor de wettelijke doeleinden noodzakelijk is (384).

(228)

Tot slot wordt in de IPA 2016 bepaald dat, wanneer het materiaal dat door middel van bulksgewijze interceptie of bulksgewijze materiële interferentie is onderschept aan een derde land moet worden overhandigd (“overzeese verstrekkingen”), de Secretary of State voor passende regelingen moet zorgen die waarborgen dat in dat derde land vergelijkbare waarborgen betreffende beveiliging, bewaring en verstrekking bestaan (385). Bovendien zijn in artikel 109 van de DPA 2018 specifieke vereisten voor internationale doorgiften van persoonsgegevens door inlichtingendiensten naar derde landen of aan internationale organisaties vastgesteld, en is daarin bepaald dat gegevens niet naar een land of gebied buiten het Verenigd Koninkrijk of aan een internationale organisatie mogen worden doorgegeven, tenzij de doorgifte noodzakelijk en evenredig is voor de wettelijke taken van de verwerkingsverantwoordelijke of voor andere in artikel 2, lid 2, punt a), van de Security Service Act 1989 of artikel 2, lid 2, punt a), en artikel 4, lid 2, punt a), van de Intelligence Services Act 1994 vermelde doeleinden (386). Belangrijk is dat deze vereisten ook van toepassing zijn in gevallen waarin de nationaleveiligheidsvrijstelling overeenkomstig artikel 110 van de DPA 2018 wordt ingeroepen, aangezien in artikel 110 van de DPA 2018 artikel 109 van de DPA 2018 niet wordt genoemd als een van de bepalingen die niet hoeft te worden toegepast indien een vrijstelling van bepaalde bepalingen is vereist voor het waarborgen van de nationale veiligheid.

(229)

Wanneer het bevel is goedgekeurd en de gegevens bulksgewijs zijn verzameld, worden de gegevens aan een selectie onderworpen alvorens te worden onderzocht. Voor de selectie- en onderzoeksfase geldt een nadere evenredigheidsbeoordeling die wordt uitgevoerd door de analist, waarbij op basis van de in het bevel opgegeven operationele doeleinden (en de eventueel bestaande filterregelingen), de selectiecriteria worden bepaald. Zoals bepaald in de artikelen 152 en 193 van de IPA moet de Secretary of State bij het uitvaardigen van het bevel zorgen voor regelingen om te waarborgen dat de selectie van het materiaal alleen voor de opgegeven operationele doeleinden wordt uitgevoerd en onder alle omstandigheden noodzakelijk en evenredig is. In dit opzicht hebben de Britse autoriteiten verduidelijkt dat het bulksgewijs onderschepte materiaal allereerst door middel van geautomatiseerd filteren wordt geselecteerd om gegevens te verwijderen die waarschijnlijk niet van belang zijn voor de nationale veiligheid. De filters verschillen van tijd tot tijd (aangezien internetverkeerspatronen, typen en protocollen veranderen) en zijn afhankelijk van de technologie en de operationele context. Na deze fase kunnen de gegevens alleen voor onderzoek worden geselecteerd indien zij van belang zijn voor de in het bevel opgegeven operationele doeleinden (387). De waarborgen van de IPA 2016 voor het onderzoek van het verzamelde materiaal zijn van toepassing op alle soorten gegevens (zowel onderschepte inhoud als secundaire gegevens) (388). De artikelen 152 en 193 van de IPA 2016 voorzien tevens in een algemeen verbod om materiaal voor onderzoek te selecteren dat verwijst naar gesprekken die zijn verzonden door of bestemd zijn voor personen die zich op de Britse eilanden bevinden. Indien de autoriteiten dat materiaal willen onderzoeken, moeten zij een verzoek om een bevel tot gericht onderzoek krachtens de delen 2 en 4 van de IPA 2016 indienen, dat moet worden afgegeven door de Secretary of State en goedgekeurd door een Judicial Commissioner (389). Indien iemand bewust onderschepte inhoud voor onderzoek selecteert in strijd met de vereisten in de wetgeving (390), pleegt diegene een strafbaar feit (391).

(230)

De door de analist uitgevoerde beoordeling van het geselecteerde materiaal wordt onderworpen aan toezicht achteraf door de IPC, die de naleving van de specifieke, in de IPA 2016 vastgestelde waarborgen voor de onderzoeksfase (392) evalueert (zie ook overweging (229)). De IPC moet (onder andere door middel van audit, inspectie en onderzoek) de uitoefening door overheidsinstanties van de in de IPA 2016 genoemde onderzoeksbevoegdheden beoordelen (393). In dit verband wordt in de Code of Practice on Interception en in de Code of Practice on Equipment Interference verduidelijkt dat het agentschap registers moet bijhouden met het oog op verder onderzoek en audits, en dat uit deze registers moet blijken waarom toegang tot het materiaal door gemachtigde personen noodzakelijk en evenredig is en wat de toepasselijke operationele doeleinden zijn (394). Het Investigatory Powers Commissioner Office (IPCO) (395) concludeerde in zijn jaarverslag van 2018 bijvoorbeeld dat de door de analisten genoteerde rechtvaardiging voor het onderzoek van bepaald materiaal dat bulksgewijs is verzameld aan de vereiste evenredigheidsnorm voldeed, doordat voldoende details werden verstrekt over de redenen van hun “zoekopdrachten” in verband met het nagestreefde doel (396). Het IPCO heeft in zijn verslag van 2019 met betrekking tot bevoegdheden voor bulksgewijze verzameling duidelijk gemaakt de inspecties van bulksgewijze intercepties te willen voortzetten, met inbegrip van een uitvoering onderzoek van de selectietermen en zoekcriteria (397). Het zal tevens per geval de keuze van bewakingsmaatregelen (gericht tegenover bulksgewijs) grondig blijven onderzoeken, zowel bij zijn behandeling van verzoeken om een bevel in het kader van de “double-lockprocedure” als tijdens inspecties (398). Deze verdere monitoring zal naar behoren in aanmerking worden genomen in de context van de monitoring door de Commissie van dit besluit zoals bedoeld in de overwegingen (281) tot en met (284).

(231)

Hoofdstuk 2 van deel 6 van de IPA 2016 regelt de bevelen tot bulksgewijze verkrijging waarbij het aan degene tot wie het bevel is gericht wordt toegestaan een telecommunicatie-exploitant ertoe te verplichten eventuele communicatiegegevens die hij in zijn bezit heeft te verstrekken of te verkrijgen. Deze bevelen staan de verzoekende autoriteit tevens toe om de gegevens voor de volgende fase van het onderzoek te selecteren. Net als bij de gerichte bewaring en verkrijging van communicatiegegevens (zie overweging (199)), heeft de bulksgewijze verkrijging van communicatiegegevens doorgaans geen betrekking op de persoonsgegevens van betrokkenen in de EU die uit hoofde van dit besluit naar het Verenigd Koninkrijk worden doorgegeven. De verplichting om communicatiegegevens te verstrekken overeenkomstig hoofdstuk 2 van deel 6 van de IPA 2016 heeft betrekking op gegevens die door telecommunicatie-exploitanten in het Verenigd Koninkrijk rechtstreeks bij de gebruikers van een telecommunicatiedienst worden verzameld (399). Dit soort “klantgerelateerde” verwerking heeft doorgaans geen betrekking op een op dit besluit gebaseerde doorgifte, dat wil zeggen een doorgifte van een verwerkingsverantwoordelijke/verwerker in de EU aan een verwerkingsverantwoordelijke/verwerker in het Verenigd Koninkrijk.

(232)

Met het oog op volledigheid worden de voorwaarden en waarborgen voor de verkrijging van bulkcommunicatiegegevens niettemin hieronder beschreven.

(233)

De IPA 2016 vervangt de wetgeving betreffende de verkrijging van bulkcommunicatiegegevens die het voorwerp uitmaakte van het arrest van het Hof van Justitie van de Europese Unie in de zaak Privacy International. De wetgeving waarop die zaak betrekking had, werd ingetrokken en de nieuwe regeling voorziet in specifieke voorwaarden en waarborgen in het kader waarvan een dergelijke maatregel kan worden toegestaan.

(234)

Anders dan bij de vorige regeling, volgens welke de Secretary of State volledige vrijheid had om de maatregel goed te keuren (400), vereist de IPA 2016 met name dat de Secretary of State alleen een bevel uitvaardigt indien de maatregel noodzakelijk en evenredig is. Dit houdt in de praktijk in dat er een verband moet bestaan tussen de inzage in de gegevens en het beoogde doel (401). Meer in het bijzonder zal de Secretary of State moeten beoordelen of er een verband bestaat tussen de gevraagde maatregel en een of meer in de machtiging aangegeven “operationele doeleinden” (zie overweging 219); met betrekking tot de evenredigheidsbeoordeling wordt in de relevante praktijkcode bepaald dat de Secretary of State moet overwegen of het beoogde doel redelijkerwijs met andere minder ingrijpende middelen zou kunnen worden bereikt (artikel 2, lid 2, punt a), van de wet). Bijvoorbeeld door de gewenste informatie te verkrijgen door middel van een minder ingrijpende bevoegdheid zoals de gerichte verkrijging van communicatiegegevens (402).

(235)

De Secretary of State zal voor het uitvoeren van die beoordeling gebruikmaken van informatie die de hoofden van de inlichtingendiensten (403) bij hun aanvraag moeten indienen, zoals de redenen waarom de maatregel noodzakelijk wordt bevonden op een van de wettelijke gronden, en de redenen waarom het beoogde doel niet redelijkerwijs met andere minder ingrijpende middelen zou kunnen worden bereikt (404). Bovendien beperken de operationele doeleinden de reikwijdte waarvoor in het kader van het bevel verkregen gegevens voor onderzoek kunnen worden geselecteerd (405). Zoals bepaald in de desbetreffende praktijkcode, moeten de operationele doeleinden een duidelijke vereiste beschrijven en voldoende gedetailleerd zijn om de Secretary of State ervan te verzekeren dat de verkregen gegevens alleen om bepaalde redenen voor onderzoek kunnen worden geselecteerd (406). De Secretary of State moet, alvorens de machtiging af te geven, namelijk zorgen voor specifieke regelingen om te waarborgen dat voor het onderzoek alleen het materiaal dat voor onderzoek noodzakelijk is geacht voor een operationeel doeleinde en een wettelijk doeleinde, wordt geselecteerd en dat een en ander onder alle omstandigheden evenredig en noodzakelijk is. Deze specifieke vereiste, zoals omschreven in de artikelen 158 en 172 (407) van de IPA 2016, is wat betreft de voorafgaande beoordeling van de noodzaak en evenredigheid van de criteria die voor selectiedoeleinden worden gebruikt eveneens een belangrijk nieuw gegeven van de bij de IPA 2016 ingevoerde regeling, vergeleken met de vorige regeling.

(236)

Bij de IPA 2016 werd ook de verplichting ingevoerd dat de Secretary of State, alvorens het bevel tot bulksgewijze verkrijging van communicatiegegevens uit te vaardigen, moet zorgen voor specifieke beperkingen op de beveiliging, de bewaring en de verstrekking van de verzamelde persoonsgegevens (408). Bij overzeese verstrekking zijn de in overweging (227) beschreven waarborgen voor bulksgewijze interceptie en bulksgewijze materiële interferentie ook in deze context van toepassing (409). Verdere beperkingen worden uiteengezet in de wetgeving inzake de duur (410), verlenging (411) en wijziging van de bevelen tot bulksgewijze operaties (412).

(237)

Net als voor de andere bevoegdheden voor bulksgewijze verzameling is het belangrijk dat de Secretary of State, alvorens het bevel uit te vaardigen, goedkeuring van een Judicial Commissioner verkrijgt (413). Dit is een belangrijk onderdeel van de bij de IPA 2016 ingestelde regeling.

(238)

De IPC houdt achteraf toezicht op de procedure van onderzoek van het bulksgewijs verkregen materiaal (communicatiegegevens) (zie overweging (254)). In dat verband is bij de IPA 2016 de vereiste ingevoerd dat de inlichtingenanalist die het onderzoek uitvoert, voorafgaand aan het voor onderzoek selecteren van de gegevens de reden moet noteren waarom het voorgestelde onderzoek voor een opgegeven operationeel doeleinde noodzakelijk en evenredig is (414). In het jaarverslag 2019 van het IPCO werd met betrekking tot de praktijk van het GCHQ en MI5 vastgesteld dat “de kritieke rol van bulkcommunicatiegegevens in de waaier van bij het GCHQ uitgevoerde activiteiten duidelijk was in de zaak die wij hebben onderzocht. Wij hebben de aard van de gevraagde gegevens en de gestelde vereisten inzake inlichtingen in overweging genomen en hebben vastgesteld dat uit de documentatie is gebleken dat de aanpak van het GCHQ noodzakelijk en evenredig was” (415). De door MI5 vermelde rechtvaardiging was van een goed niveau en voldeed aan de beginselen van noodzaak en evenredigheid” (416).

(239)

Bevelen in het kader van bulkdatasets met persoonsgegevens (417) staan inlichtingendiensten toe datasets te bewaren en te onderzoeken die de persoonsgegevens van een aantal personen bevatten. Volgens de door de Britse autoriteiten gegeven uitleg kan de analyse van dergelijke datasets “voor UKIC de enige manier zijn om vooruitgang te boeken met onderzoeken en om terroristen te identificeren aan de hand van zeer beperkte nuttige inlichtingen, of indien hun communicatie moedwillig is achtergehouden” (418). Er zijn twee soorten bevelen: “bevelen voor de klasse bulkdatasets met persoonsgegevens” (419) die betrekking hebben op een bepaalde categorie datasets, namelijk datasets die wat betreft de inhoud en het voorgestelde gebruik vergelijkbaar zijn en aanleiding tot vergelijkbare overwegingen geven, bijvoorbeeld wat betreft de mate van inbreuk op de privacy en gevoeligheid en de evenredigheid van het gebruik van de gegevens, wat de Secretary of State in staat stelt te onderzoeken of het gelijktijdig verkrijgen van alle gegevens binnen de relevante klasse noodzakelijk en evenredig is. Een bevel voor de klasse bulkdatasets met persoonsgegevens kan bijvoorbeeld betrekking hebben op datasets met reisgegevens die verband houden met vergelijkbare routes (420). “Bevelen voor een specifieke bulkdataset met persoonsgegevens” (421) hebben daarentegen betrekking op één specifieke dataset, zoals een dataset met een nieuw of ongebruikelijk soort informatie die niet onder een bestaand bevel voor de klasse bulkdatasets met persoonsgegevens (422) valt, of een dataset die betrekking heeft op specifieke soorten persoonsgegevens en derhalve extra waarborgen (423) vereist. De bepalingen van de IPA 2016 betreffende bulkdatasets met persoonsgegevens staan het onderzoeken en bewaren van dergelijke datasets alleen toe indien dat noodzakelijk en evenredig (424) en in overeenstemming met de algemene verplichtingen inzake privacy (425) is.

(240)

Op de bevoegdheid om een bevel voor bulkdatasets met persoonsgegevens af te geven is de “double-lockprocedure” van toepassing: de beoordeling van de noodzaak en evenredigheid van de maatregel wordt eerst door de Secretary of State en daarna door de Judicial Commissioner uitgevoerd (426). De Secretary of State moet rekening houden met de aard en de reikwijdte van het soort bevel dat wordt aangevraagd, de betreffende categorie gegevens en het aantal afzonderlijke bulkdatasets met persoonsgegevens dat waarschijnlijk onder het specifieke soort bevel zal vallen (427). In de Code of Practice on Intelligence Services’ Retention and Use of Bulk Personal Datasets (Britse praktijkcode betreffende de bewaring en het gebruik door de inlichtingendiensten van bulkdatasets met persoonsgegevens) is tevens vastgesteld dat gedetailleerde registers moeten worden bijgehouden en aan audits door de IPC worden onderworpen (428). Het bewaren en onderzoeken van bulkdatasets met persoonsgegevens buiten de grenzen van de IPA 2016 vormt een strafbaar feit (429).

(241)

Persoonsgegevens die uit hoofde van deel 4 van de DPA 2018 worden verwerkt, mogen niet worden verwerkt op een wijze die niet verenigbaar is met de doeleinden waarvoor zij zijn verzameld (430). In de DPA 2018 wordt bepaald dat de verwerkingsverantwoordelijke de gegevens kan verwerken voor andere doeleinden dan de doeleinden waarvoor de gegevens zijn verzameld, wanneer deze verenigbaar zijn met de oorspronkelijke doeleinden en op voorwaarde dat het de verwerkingsverantwoordelijke wettelijk is toegestaan om de gegevens te verwerken en dat de verwerking noodzakelijk en evenredig is (431). Bovendien is in de Security Service Act 1989 en de Intelligence Services Act 1994 vastgesteld dat de hoofden van de inlichtingendiensten verplicht zijn erop toe te zien dat er alleen informatie wordt verkregen of verstrekt die noodzakelijk is voor de goede uitoefening van de taken van de dienst of voor de andere in de relevante bepalingen vermelde beperkte en specifieke doeleinden (432).

(242)

Bovendien bevat artikel 109 van de DPA 2018 specifieke vereisten voor internationale doorgiften van persoonsgegevens door inlichtingendiensten naar derde landen of aan internationale organisaties. Overeenkomstig deze bepaling mogen persoonsgegevens niet naar een land of gebied buiten het Verenigd Koninkrijk of aan een internationale organisatie worden doorgegeven, tenzij de doorgifte noodzakelijk en evenredig is voor de wettelijke taken van de verwerkingsverantwoordelijke of voor andere in artikel 2, lid 2, punt a), van de Security Service Act 1989 of artikel 2, lid 2, punt a), en artikel 4, lid 2, punt a), van de Intelligence Services Act 1994 vermelde doeleinden (433). Belangrijk is dat deze vereisten ook van toepassing zijn in gevallen waarin de nationaleveiligheidsvrijstelling overeenkomstig artikel 110 van de DPA 2018 wordt ingeroepen, aangezien in artikel 110 van de DPA 2018 artikel 109 van de DPA 2018 niet wordt genoemd als een van de bepalingen die niet hoeft te worden toegepast indien een vrijstelling van bepaalde bepalingen is vereist voor het waarborgen van de nationale veiligheid.

(243)

Zoals de Information Commissioner heeft benadrukt in zijn richtsnoeren over verwerking door inlichtingendiensten, naast de waarborgen in deel 4 van de DPA 2018, is een inlichtingendienst bij het delen van gegevens met een inlichtingendienst in een derde land bovendien ook onderworpen aan in andere wettelijke maatregelen geboden waarborgen die op hem van toepassing zijn, om ervoor te zorgen dat persoonsgegevens op rechtmatige en verantwoordelijke wijze worden verkregen, gedeeld en behandeld (434). Zo worden in de IPA 2016 verdere waarborgen vastgesteld met betrekking tot doorgiften naar een derde land van materiaal dat is verzameld in het kader van gerichte interceptie (435), gerichte materiële interferentie (436), bulksgewijze interceptie (437), bulksgewijze verkrijging van communicatiegegevens (438) en bulksgewijze materiële interferentie (439) (zogenaamde “overzeese verstrekkingen”). De autoriteit die het bevel uitvaardigt, moet met name zorgen voor regelingen waarmee wordt gewaarborgd dat het derde land dat de gegevens ontvangt het aantal personen die het materiaal inzien, en de omvang van de verstrekking en het aantal kopieën dat van het materiaal wordt gemaakt, beperkt tot wat minimaal noodzakelijk is voor de in de IPA 2016 vastgestelde toegestane doeleinden (440).

(244)

Op overheidstoegang met het oog op de nationale veiligheid wordt toezicht gehouden door een aantal verschillende organen. De Information Commissioner ziet toe op de verwerking van persoonsgegevens in het licht van de DPA 2018 (zie de overwegingen (85) tot en met (98) voor meer informatie over de onafhankelijkheid, de benoeming, de rol en de bevoegdheden van de Commissioner), terwijl de IPC onafhankelijk en gerechtelijk toezicht houdt op de uitoefening van onderzoeksbevoegdheden uit hoofde van de IPA 2016. De IPC ziet toe op de uitoefening van de onderzoeksbevoegdheden uit hoofde van de IPA 2016 door zowel rechtshandhavingsinstanties als nationale veiligheidsagentschappen. Politiek toezicht wordt gewaarborgd door de Intelligence Service Committee (commissie die toezicht houdt op de Britse inlichtingendiensten) van het parlement.

(245)

Op de verwerking van persoonsgegevens door de inlichtingendiensten uit hoofde van deel 4 van de DPA 2018 wordt toezicht gehouden door de Information Commissioner (441).

(246)

De algemene functies van de Information Commissioner met betrekking tot de verwerking van persoonsgegevens door inlichtingendiensten uit hoofde van deel 4 van de DPA 2018 zijn vastgesteld in bijlage 13 bij de DPA 2018. De taken omvatten, maar zijn niet beperkt tot, het controleren en handhaven van deel 4 van de DPA 2018, het bewustmaken van het publiek, het adviseren van het parlement, de regering en andere instellingen over wettelijke en bestuursrechtelijke maatregelen, het bewustmaken van verwerkingsverantwoordelijken en verwerkers van hun verplichtingen, het verstrekken van informatie aan betrokkenen betreffende de uitoefening van hun rechten, het verrichten van onderzoek enz.

(247)

Wat betreft deel 3 van de DPA 2018 heeft de Commissioner de bevoegdheid om verwerkingsverantwoordelijken in kennis te stellen van mogelijke inbreuken en om waarschuwingen te doen uitgaan dat een verwerking waarschijnlijk de regels schendt, en geeft hij reprimandes wanneer de inbreuk wordt bevestigd. Hij kan tevens sommaties tot nakoming en sanctiebeschikkingen afgeven voor schending van bepaalde bepalingen van de wet opleggen (442). Anders dan in andere delen van de DPA 2018, kan de Commissioner echter geen aanzeggingen tot beoordeling aan een nationale veiligheidsdienst afgeven (443).

(248)

Bovendien voorziet artikel 110 van de DPA 2018 in een uitzondering voor de uitoefening van bepaalde bevoegdheden van de Commissioner wanneer dit vereist is voor het waarborgen van de nationale veiligheid. Dit omvat de bevoegdheid van de Commissioner om een (ongeacht welke) aanzegging/sommatie/beschikking af te geven uit hoofde van de DPA (aanzeggingen tot informatie, beoordeling, sommaties tot nakoming en sanctiebeschikkingen), de bevoegdheid om inspecties uit te voeren in overeenstemming met internationale verplichtingen, de toegangs- en inspectiebevoegdheden, en de voorschriften inzake strafbare feiten (444). Zoals uitgelegd in overweging (126) zijn deze uitzonderingen alleen van toepassing indien zij noodzakelijk en evenredig zijn, en indien per geval een analyse wordt gemaakt.

(249)

Het ICO en de inlichtingendiensten van het Verenigd Koninkrijk hebben een memorandum van overeenstemming (445) ondertekend waarmee een kader wordt vastgesteld voor samenwerking rond een aantal kwesties, met inbegrip van kennisgevingen van inbreuken in verband met gegevens en de afhandeling van klachten van betrokkenen. Er is met name in bepaald dat het ICO, na een klacht te hebben ontvangen, beoordeelt of een toepassing van een vrijstelling in verband met de nationale veiligheid naar behoren is gebruikt. Vragen van het ICO in de context van het onderzoek van individuele klachten moeten binnen twintig werkdagen door de betrokken inlichtingendienst worden beantwoord, met gebruikmaking van passende veilige kanalen indien daarbij gerubriceerde informatie is betrokken. Het ICO heeft vanaf april 2018 tot heden 21 klachten over de inlichtingendiensten ontvangen van personen. Elke klacht is beoordeeld en de uitkomst is aan de betrokkene meegedeeld (446).

(250)

Overeenkomstig deel 8 van de IPA 2016 wordt op de uitoefening van onderzoeksbevoegdheden toezicht gehouden door de Investigatory Powers Commissioner (IPC). De IPC wordt bijgestaan door andere Judicial Commissioners, die gezamenlijk Judicial Commissioners (447) worden genoemd. In de IPA 2016 worden de waarborgen vastgesteld die de onafhankelijkheid van de Judicial Commissioners beschermen. Judicial Commissioners moeten een hoger rechterlijk ambt bekleden of hebben bekleed (d.w.z. dat zij lid van de hoogste rechterlijke instanties moeten zijn of moeten zijn geweest) (448) en, als lid van de rechterlijke macht, onafhankelijk van de regering zijn (449). Overeenkomstig artikel 227 van de IPA 2016 is de Prime Minister degene die de IPC en zo veel Judicial Commissioners als hij noodzakelijk acht, benoemt. Alle Commissioners, ongeacht of zij huidige of voormalige leden van de rechterlijke macht zijn, kunnen uitsluitend worden benoemd op gezamenlijke voordracht van de drie Chief Justices voor Engeland en Wales, Schotland en Noord-Ierland, en de Lord Chancellor (450). De Secretary of State moet de IPC van personeel, accommodatie, uitrusting en andere voorzieningen en diensten voorzien (451). De Commissioners dienen drie jaar en kunnen worden herbenoemd (452). Als een verdere garantie voor hun onafhankelijkheid, kunnen Judicial Commissioners alleen onder strikte hoogdrempelige voorwaarden van hun functie worden ontheven: ofwel door de Prime Minister onder de in artikel 228, lid 5, van de IPA 2016 uitvoerig omschreven specifieke omstandigheden (zoals een faillissement of gevangenisstraf), of als een resolutie tot goedkeuring van de ontheffing door het Hoger- en Lagerhuis wordt aangenomen (453).

(251)

De IPC en de Judicial Commissioners worden in hun taken bijgestaan door het Investigatory Powers Commissioner’s Office (IPCO). Het personeel van het IPCO bestaat uit een team van inspecteurs, interne juridische en technische deskundigen, en een adviserende commissie die deskundig advies op het gebied van technologie verstrekt. Evenals voor de individuele Judicial Commissioners, wordt de onafhankelijkheid van het IPCO beschermd. Het IPCO is een arm’s-length body van het ministerie van Binnenlandse Zaken, dat wil zeggen een orgaan dat financiering van het ministerie van Binnenlandse Zaken ontvangt, maar zijn taken onafhankelijk vervult (454).

(252)

De voornaamste taken van de Judicial Commissioners worden uiteengezet in artikel 229 van de IPA 2016 (455). De Judicial Commissioners hebben in het bijzonder een uitgebreide bevoegdheid tot voorafgaande goedkeuring, die deel uitmaakt van de waarborgen die bij de IPA 2016 in het rechtskader van het Verenigd Koninkrijk zijn ingevoerd. Bevelen in verband met gerichte interceptie, materiële interferentie, bulkdatasets met persoonsgegevens, bulksgewijze verkrijging van communicatiegegevens alsook aanzeggingen tot bewaring voor communicatiegegevens moeten alle door een Judicial Commissioner worden goedgekeurd (456). De IPC moet ook altijd vooraf toestemming geven voor de verkrijging van communicatiegegevens met het oog op rechtshandhaving (457). Indien een Commissioner weigert goedkeuring voor een bevel te geven, kan de Secretary of State in beroep gaan bij de Investigatory Powers Commissioner, wiens besluit definitief is.

(253)

De speciale VN-rapporteur inzake het recht op privacy was zeer ingenomen met de instelling van de Judicial Commissioners bij de IPA 2016, aangezien “gevoelige of ingrijpende verzoeken om toezicht uit te oefenen moeten worden goedgekeurd door zowel een minister van het kabinet als het Investigatory Powers Commissioner’s Office”. Hij benadrukte met name dat “dit aspect van rechterlijke toetsing [door middel van de rol van de IPC] met behulp van een beter uitgerust team van ervaren inspecteurs en technologiedeskundigen één van de belangrijkste nieuwe waarborgen is die bij de IPA werden ingevoerd, in de plaats van het eerdere versnipperde systeem van toezichthoudende autoriteiten en als aanvulling op de rol van de Intelligence and Security Committee (inlichtingen- en veiligheidscommissie) van het parlement, en van het Investigatory Powers Tribunal” (458).

(254)

Bovendien heeft de IPC de bevoegdheden om toezicht achteraf te houden, onder andere door middel van audit, inspectie en onderzoek, op de uitoefening van onderzoeksbevoegdheden uit hoofde van IPA 2016 (459) en enkele andere in de relevante wetgeving vastgestelde bevoegdheden en functies (460). De resultaten van dat toezicht achteraf worden opgenomen in het verslag dat de IPC jaarlijks moet opstellen en indienen bij de Prime Minister (461) en dat moet worden gepubliceerd en voorgelegd aan het parlement (462). Het verslag bevat relevante statistieken en informatie over de uitoefening van de onderzoeksbevoegdheden door inlichtingendiensten en rechtshandhavingsinstanties alsook de introductie van de waarborgen in verband met zaken die onder het wettelijk verschoningsrecht vallen, vertrouwelijk journalistiek materiaal en bronnen van journalistieke informatie, informatie over de getroffen regelingen en de operationele doeleinden die in de context van bevelen voor bulksgewijze operaties zijn gebruikt. Tot slot is in het jaarverslag van het IPCO vastgesteld op welk gebied aanbevelingen aan overheidsinstanties zijn gedaan en hoe daaraan gevolg is gegeven (463).

(255)

Overeenkomstig artikel 231 van de IPA 2016, moet de IPC, indien hij kennis krijgt van fouten die overheidsinstanties hebben gemaakt bij de uitoefening van hun onderzoeksbevoegdheden, de betrokkene in kennis stellen indien hij van mening is dat de fout ernstig is en het in het algemeen belang is om de persoon in kennis te stellen (464). In het bijzonder wordt in artikel 231 van de IPA 2016 vastgesteld dat de IPC, bij het in kennis stellen van een persoon van een fout, informatie moet verstrekken over de eventuele rechten die de persoon heeft om zich tot het Investigatory Powers Tribunal te richten, en de details moet geven die de Commissioner noodzakelijk acht voor de uitoefening van die rechten, waarbij hij moet nagaan of openbaarmaking van de details in het algemeen belang is (465).

(256)

Het parlementaire toezicht door de Intelligence and Security Committee (ISC) is wettelijk verankerd in de Justice and Security Act 2013 (wet inzake toezicht op de Britse inlichtingendiensten, hierna “JSA 2013” genoemd) (466). Bij de wet wordt de ISC opgericht als een commissie van het Britse parlement. De ISC heeft sinds 2013 meer bevoegdheden gekregen, waaronder het toezicht op de operationele activiteiten van veiligheidsdiensten. De ISC heeft uit hoofde van deel 2 van de JSA 2013 de taak om toe te zien op de uitgaven, de administratie, het beleid en de operaties van nationale veiligheidsdiensten. In de JSA 2013 is vastgesteld dat de ISC onderzoeken naar operationele aangelegenheden mag uitvoeren wanneer die geen verband houden met lopende operaties (467). In het door de Prime Minister en de ISC (468) overeengekomen memorandum van overeenstemming wordt uitvoerig beschreven welke elementen in aanmerking moeten worden genomen wanneer wordt overwogen of een activiteit al dan niet onderdeel van een lopende operatie is (469). De ISC kan ook worden verzocht lopende operaties van de Prime Minister te onderzoeken en kan vrijwillig door de diensten verstrekte informatie onderzoeken.

(257)

De ISC kan de hoofden van elk van de drie inlichtingendiensten krachtens bijlage 1 bij de JSA 2013 verzoeken om informatie te verstrekken. De dienst moet die informatie ter beschikking stellen, tenzij de Secretary of State daar een veto tegen uitspreekt (470). Volgens de uitleg van de Britse autoriteiten wordt in de praktijk zeer weinig informatie achtergehouden voor de ISC (471).

(258)

De ISC bestaat uit leden die behoren tot het Lager- of het Hogerhuis en die door de Prime Minister zijn benoemd na overleg met de leider van de oppositie (472). De ISC is verplicht een jaarverslag bij het parlement in te dienen over de uitoefening van haar taken en andere verslagen die zij passend acht (473). Bovendien heeft de ISC het recht om elke drie maanden de lijst te ontvangen van operationele doeleinden die worden gebruikt om het verkregen bulkmateriaal te onderzoeken (474). Kopieën van de onderzoeken, inspecties of audits van de Investigatory Power Commissioner worden door de Prime Minister met de ISC gedeeld wanneer de inhoud van de verslagen van belang is voor de wettelijke bevoegdheden van de commissie (475). Ten slotte kan de commissie de IPC vragen een onderzoek uit te voeren en moet de Commissioner de ISC in kennis stellen van het besluit om dat onderzoek al dan niet uit te voeren (476).

(259)

De ISC heeft ook een bijdrage geleverd aan het ontwerp van de IPA 2016, wat tot een aantal wijzigingen heeft geleid die nu in de IPA 2016 zijn overgenomen (477). De ISC heeft met name aanbevolen om de bescherming van de persoonlijke levenssfeer te versterken door een reeks privacybeschermingen in te voeren die op alle onderzoeksbevoegdheden van toepassing zijn (478). Tevens stelde de commissie wijzigingen voor van de voorgestelde capaciteiten met betrekking tot materiële interferentie, bulkdatasets met persoonsgegevens en communicatiegegevens, en verzocht zij om andere specifieke wijzigingen ter versterking van de beperkingen en waarborgen voor de uitoefening van onderzoeksbevoegdheden (479).

(260)

Met betrekking tot overheidstoegang om redenen van nationale veiligheid moeten betrokkenen de mogelijkheid hebben een rechtsvordering in te stellen bij een onafhankelijke en onpartijdige rechterlijke instantie om inzage te krijgen in hun persoonsgegevens of om deze gegevens te laten corrigeren of wissen (480). Een dergelijke rechterlijke instantie moet met name de bevoegdheid hebben om bindende besluiten over de inlichtingendienst te nemen (481). Zoals in de overwegingen (261) tot en met (271) uiteengezet, biedt een aantal verhaalsmogelijkheden betrokkenen in het Verenigd Koninkrijk de mogelijkheid om die rechtsmiddelen te verkrijgen en in te zetten.

(261)

Een betrokkene heeft uit hoofde van artikel 165 van de DPA 2018 het recht een klacht in te dienen bij de Information Commissioner indien de betrokkene van mening is dat er in verband met hem of haar betreffende gegevens sprake is van een inbreuk op deel 4 van de DPA 2018. De Information Commissioner heeft de bevoegdheid de naleving door de verwerkingsverantwoordelijke en de verwerker van de DPA 2018 te beoordelen en hen ertoe te verplichten de noodzakelijke maatregelen te nemen. Bovendien hebben personen krachtens deel 4 van de DPA 2018 het recht de High Court (of de Court of Session in Schotland) te verzoeken om een beschikking die de verwerkingsverantwoordelijke ertoe verplicht het recht op inzage in gegevens (482), het recht om bezwaar te maken tegen de verwerking (483) en het recht op rectificatie of wissing (484) te eerbiedigen.

(262)

Personen hebben tevens het recht om vergoeding te vorderen van de schade die zij hebben geleden als gevolg van niet-naleving van een vereiste in deel 4 van de DPA 2018 door de verwerkingsverantwoordelijke of een verwerker (485). Schade omvat zowel financiële verliezen als schade zonder financiële verliezen, zoals smart (486).

(263)

Personen kunnen bij het Investigatory Powers Tribunal beroep instellen tegen schendingen van de IPA 2016.

(264)

Het Investigatory Powers Tribunal is opgericht bij de RIPA 2000 en treedt onafhankelijk op ten opzichte van de uitvoerende macht (487). Overeenkomstig artikel 65 van de RIPA 2000 worden de leden van dat Tribunal door Hare Majesteit benoemd voor een periode van vijf jaar. Een lid van dat Tribunal kan door Hare Majesteit van zijn functie worden ontheven op basis van een address (488) door het Lager- en het Hogerhuis (489).

(265)

Het Tribunal is krachtens artikel 65 van de RIPA 2000 de passende rechterlijke instantie voor klachten van personen die zich benadeeld achten door gedragingen in het kader van de IPA 2016, de RIPA 2000 of andere gedragingen van de inlichtingendiensten (490).

(266)

Om zich tot het Investigatory Powers Tribunal te wenden (“procesbevoegdheidsvereiste”), moet een persoon overeenkomstig artikel 65 van de RIPA 2000 ervan overtuigd zijn (491) dat de gedraging van een inlichtingendienst heeft plaatsgevonden met betrekking tot hem, zijn eigendom, eventuele door of aan hem verzonden of voor hem bedoelde communicatie, of zijn gebruik van de posterijen, telecommunicatiediensten of telecommunicatiesystemen” (492). Bovendien moet de klager ervan overtuigd zijn dat de gedraging onder “betwistbare omstandigheden” (493) of “door of namens de inlichtingendiensten” (494) heeft plaatsgevonden. Doordat met name deze norm betreffende de “overtuiging” van de betrokkene nogal breed geïnterpreteerd is (495), gelden voor het aanhangig maken van een zaak bij dat Tribunal geringe procesbevoegdheidsvereisten.

(267)

Wanneer het Investigatory Powers Tribunal een bij hem ingediende klacht behandelt, is het de plicht van het Tribunal om te onderzoeken of de personen tegen wie beschuldigingen worden geuit in de klacht gedragingen met betrekking tot de klager hebben vertoond, en om onderzoek te doen naar de autoriteit die naar verluidt betrokken was bij de schendingen, en om na te gaan of de vermeende gedraging heeft plaatsgevonden (496). Wanneer een zaak aan dat Tribunal wordt voorgelegd, moet het dezelfde beginselen hanteren om in die zaak tot een vaststelling te komen als de beginselen die door een rechter zouden worden toegepast bij een verzoek om rechterlijke toetsing (497). Bovendien hebben degenen tot wie de bevelen of aanzeggingen/sommaties/beschikkingen uit hoofde van de IPA 2016 zijn gericht, en iedere andere persoon die een functie van de kroon bekleedt, in dienst is bij de politie of de Police Investigations and Review Commissioner (overheidsinstantie van de Schotse regering) de plicht om dat Tribunal alle documenten en informatie te verstrekken of te doen toekomen die het Tribunal kan vragen om het in staat te stellen zijn bevoegdheid uit te oefenen (498).

(268)

Het Investigatory Powers Tribunal moet de klager meedelen of er al dan niet een vaststelling in zijn voordeel is gedaan (499). Het Tribunal heeft krachtens artikel 67, leden 6 en 7, van de RIPA 2000 de bevoegdheid om een uitspraak in kort geding te doen en om vergoeding toe te kennen of andere beschikkingen uit te vaardigen die het passend acht. Het kan hierbij gaan om een beschikking tot vernietiging of intrekking van bevelen of toestemmingen en een beschikking tot vernietiging van opgeslagen informatie die is verkregen bij de uitoefening van bevoegdheden die zijn toegekend in het kader van een bevel, toestemming of aanzegging/sommatie/beschikking, of die anderszins door overheidsinstanties worden uitgeoefend met betrekking tot een persoon (500). Overeenkomstig artikel 67 bis van de RIPA 2000 kan tegen een vaststelling van het Tribunal beroep worden ingesteld, afhankelijk van toestemming van het Tribunal of de relevante beroepsinstantie.

(269)

Ten slotte valt op te merken dat de rol van het Investigatory Powers Tribunal in de context van bij het Europees Hof voor de Rechten van de Mens aanhangige zaken herhaaldelijk is besproken, met name in de zaak Kennedy/het Verenigd Koninkrijk (501), en meer recentelijk in de zaak Big Brother Watch e.a./Verenigd Koninkrijk (502), waarin de rechter verklaarde dat “het Investigatory Powers Tribunal een solide voorziening in rechte heeft geboden aan eenieder die vermoedde dat zijn of haar communicatie door de inlichtingendiensten was onderschept” (503).

(270)

Zoals uitgelegd in de overwegingen (109) tot en met (111), zijn de verhaalsmogelijkheden uit hoofde van de Human Rights Act 1998 en voor het Europees Hof voor de Rechten van de Mens (504) ook beschikbaar op het gebied van de nationale veiligheid. In artikel 65, lid 2, van de RIPA 2000 wordt aan het Investigatory Powers Tribunal exclusieve bevoegdheid verleend voor alle rechtsvorderingen uit hoofde van de Human Rights Act in verband met de inlichtingendiensten (505). Zoals opgemerkt door de High Court, betekent dit het volgende: “de vraag of er inbreuk is gemaakt op de Human Rights Act met betrekking tot de feiten van een bepaalde zaak kan in principe worden gesteld en beantwoord door een onafhankelijk tribunaal dat toegang kan hebben tot al het relevante materiaal, met inbegrip van geheim materiaal. […] Wij houden in dit verband ook rekening met het feit dat hiermee tegen het Tribunal zelf beroep kan worden ingesteld bij een geschikte beroepsinstantie (in Engeland en Wales zou dat het Court of Appeal zijn); en dat de Supreme Court onlangs heeft besloten dat het Tribunal in principe vatbaar is voor rechterlijke toetsing: zie R (Privacy International)/Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219” (506).

(271)

Uit het bovenstaande volgt dat wanneer Britse rechtshandhavingsinstanties of nationale veiligheidsdiensten toegang hebben tot persoonsgegevens die binnen het toepassingsgebied van dit besluit vallen, die toegang wordt geregeld door wetgeving waarin de voorwaarden worden vastgesteld waaronder toegang kan plaatsvinden en wordt gewaarborgd dat de toegang en het verdere gebruik van de gegevens worden beperkt tot hetgeen noodzakelijk en evenredig is voor het nagestreefde doel inzake de rechtshandhaving of de nationale veiligheid. Bovendien moet voor die toegang in de meeste gevallen voorafgaande toestemming worden verkregen van een rechterlijke instantie, door middel van de goedkeuring van een bevel of een beschikking tot overlegging, en in elk geval onafhankelijk toezicht worden uitgeoefend. Wanneer overheidsinstanties eenmaal toegang hebben tot gegevens, gelden voor de verwerking van die gegevens, met inbegrip van verdere deling en verdere doorgifte, specifieke waarborgen inzake gegevensbescherming uit hoofde van deel 3 van de DPA 2018, die in overeenstemming zijn met de in Richtlijn (EU) 2016/680 geboden waarborgen, wanneer er sprake is van verwerking door rechtshandhavingsinstanties, en van deel 4 van de DPA 2018, wanneer er sprake is van verwerking door inlichtingendiensten. Ten slotte genieten betrokkenen op dit gebied effectieve administratieve rechten en rechten op gerechtelijk verhaal, waaronder inzage in hun gegevens of rectificatie of wissing van dergelijke gegevens.

(272)

Gezien het belang van die voorwaarden, beperkingen en waarborgen voor de toepassing van dit besluit, zal de Commissie de toepassing en interpretatie van de Britse voorschriften betreffende toegang van de overheid tot gegevens van nabij blijven volgen. Dit omvat relevante ontwikkelingen in de wet- en regelgeving en de jurisprudentie, alsook de activiteiten van de Information Commissioner en andere toezichthoudende autoriteiten op dit gebied. Ook zal bijzondere aandacht worden besteed aan de uitvoering door het Verenigd Koninkrijk van relevante rechtspraak van het Europees Hof voor de Rechten van de Mens, met inbegrip van de maatregelen die zijn vastgesteld in de “actieplannen” en “verslagen over acties” die bij het Comité van Ministers worden ingediend in de context van het toezicht op de naleving van de uitspraken van het Hof.

(273)

De Commissie is van oordeel dat de UK GDPR en de DPA 2018 een beschermingsniveau voor uit de Europese Unie doorgegeven persoonsgegevens waarborgen dat in feite overeenkomt met het niveau dat bij Verordening (EU) 2016/679 wordt gegarandeerd.

(274)

Bovendien is de Commissie van oordeel dat, als geheel genomen, de toezichtsmechanismen en de verhaalsmogelijkheden waarin het Britse recht voorziet, het mogelijk maken om inbreuken in de praktijk vast te stellen en te bestraffen, en betrokkenen rechtsmiddelen bieden om toegang te krijgen tot de hen betreffende persoonsgegevens en, uiteindelijk, om deze gegevens te laten corrigeren of wissen.

(275)

Op basis van de beschikbare informatie over de Britse rechtsorde, is de Commissie ten slotte van oordeel dat inbreuken op de grondrechten van de personen wier persoonsgegevens vanuit de Europese Unie door Britse overheidsinstanties naar het Verenigd Koninkrijk worden doorgegeven met het oog op het algemeen belang, met name rechtshandhaving en de nationale veiligheid, zullen worden beperkt tot wat strikt noodzakelijk is om de desbetreffende legitieme doelstelling te verwezenlijken, en dat er sprake is van doeltreffende rechtsbescherming tegen dergelijke inbreuken.

(276)

Derhalve moet in het licht van de bevindingen van dit besluit worden besloten dat het Verenigd Koninkrijk een passend beschermingsniveau biedt in de zin van artikel 45 van Verordening (EU) 2016/679, geïnterpreteerd in het licht van het Handvest van de grondrechten van de Europese Unie.

(277)

Deze conclusie wordt gebaseerd op de relevante nationale regeling van het Verenigd Koninkrijk en zijn internationale verplichtingen, in het bijzonder de toetreding tot het Europees Verdrag voor de rechten van de mens en onderwerping aan de jurisdictie van het Europees Hof voor de Rechten van de Mens. Voortdurende naleving van dergelijke internationale verplichtingen is derhalve een zeer belangrijk onderdeel van de beoordeling waarop dit besluit is gebaseerd.

(278)

De lidstaten en hun organen moeten de maatregelen nemen die noodzakelijk zijn om te voldoen aan de handelingen van de instellingen van de Unie, aangezien deze laatste geacht worden rechtsgeldig te zijn en bijgevolg rechtsgevolgen in het leven roepen zolang zij niet zijn verlopen, ingetrokken, nietig verklaard in een beroep tot nietigverklaring of ongeldig verklaard na een prejudiciële verwijzing of op een exceptie van onwettigheid.

(279)

Daarom is een krachtens artikel 45, lid 3, van Verordening (EU) 2016/679 vastgesteld adequaatheidsbesluit van de Commissie bindend voor alle organen van de lidstaten waartoe het is gericht, met inbegrip van hun onafhankelijke toezichthoudende autoriteiten. In het bijzonder kunnen doorgiften van een verwerkingsverantwoordelijke of verwerker in de Europese Unie aan verwerkingsverantwoordelijken of verwerkers in het Verenigd Koninkrijk gedurende de toepassingsperiode van dit besluit plaatsvinden zonder dat daarvoor verdere toestemming is vereist.

(280)

Er zij aan herinnerd dat, overeenkomstig artikel 58, lid 5, van Verordening (EU) 2016/679 en zoals door het Hof van Justitie uitgelegd in het arrest in de zaak Schrems (507), wanneer een nationale gegevensbeschermingsautoriteit, ook indien na ontvangst van een klacht, de verenigbaarheid van een adequaatheidsbesluit van de Commissie met de grondrechten van de persoon op privacy en gegevensbescherming in twijfel trekt, het nationale recht moet voorzien in een rechtsmiddel voor die persoon om die grieven aan een nationale rechter voor te leggen die eventueel bij prejudiciële verwijzing het Hof van Justitie om beoordeling moet verzoeken (508).

(281)

Overeenkomstig artikel 45, lid 4, van Verordening (EU) 2016/679 moet de Commissie na de aanneming van dit besluit doorlopend toezicht houden op relevante ontwikkelingen in het Verenigd Koninkrijk om te beoordelen of met het besluit nog altijd een beschermingsniveau wordt gewaarborgd dat in feite overeenkomend is. Dat toezicht is met name in dit geval van belang, aangezien het Verenigd Koninkrijk een nieuw stelsel voor gegevensbescherming zal uitvoeren, toepassen en handhaven, dat niet langer onder het recht van de Europese Unie valt en dat mogelijk nog zal worden gewijzigd. In dat opzicht zal bijzondere aandacht worden besteed aan de toepassing in de praktijk van de Britse voorschriften betreffende de doorgifte van persoonsgegevens naar derde landen, en aan het effect dat die kan hebben op het niveau van de bescherming van gegevens die in het kader van dit besluit worden doorgegeven; aan de doeltreffendheid van de uitoefening van individuele rechten, met inbegrip van relevante ontwikkelingen in de rechtspraktijk met betrekking tot de uitzonderingen op of de beperkingen van die rechten (met name het recht in verband met de instandhouding van een doeltreffende controle van de immigratie); alsook naleving van de beperkingen en waarborgen met betrekking tot overheidstoegang. Ontwikkelingen in de jurisprudentie en het toezicht door de Information Commissioner en andere onafhankelijke instanties zullen onder andere als basis dienen voor de controletaak van de Commissie.

(282)

Om deze controle mogelijk te maken, moeten de Britse autoriteiten de Commissie onverwijld in kennis stellen van wezenlijke wijzigingen van de Britse rechtsorde die gevolgen hebben voor het rechtskader waarop dit besluit van toepassing is, alsook van ontwikkelingen in praktijken in verband met de verwerking van persoonsgegevens die in dit besluiten wordt onderzocht, zowel met betrekking tot de verwerking van persoonsgegevens door verwerkingsverantwoordelijken en gegevensverwerkers op grond van de UK GDPR, als tot de beperkingen en waarborgen die op de toegang tot persoonsgegevens door overheidsinstanties van toepassing zijn. Dit moet ook gelden voor ontwikkelingen met betrekking tot de in overweging (281) genoemde elementen.

(283)

Teneinde de Commissie in staat te stellen haar toezichthoudende taak doeltreffend uit te voeren, moeten de lidstaten de Commissie bovendien op de hoogte brengen van desbetreffende maatregelen van de nationale gegevensbeschermingsautoriteiten, met name inzake vragen of klachten van betrokkenen uit de EU betreffende de doorgifte van persoonsgegevens vanuit de Europese Unie aan verwerkingsverantwoordelijken of verwerkers in het Verenigd Koninkrijk. Voorts moet de Commissie geïnformeerd worden over eventuele aanwijzingen dat de maatregelen van de Britse overheidsinstanties die verantwoordelijk zijn voor de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten, of voor de nationale veiligheid, met inbegrip van toezichthoudende instanties, niet het vereiste beschermingsniveau waarborgen.

(284)

Wanneer uit de beschikbare informatie, met name informatie die voortvloeit uit het toezicht op dit besluit of verstrekt wordt door de autoriteiten in het Verenigd Koninkrijk of in de lidstaten, blijkt dat het door het Verenigd Koninkrijk geboden beschermingsniveau niet langer passend is, moet de Commissie de bevoegde Britse autoriteiten daarvan onverwijld in kennis stellen en verzoeken dat binnen een opgegeven termijn van maximaal drie maanden geschikte maatregelen worden genomen. Indien nodig kan deze periode voor een bepaalde tijd worden verlengd, rekening houdend met de aard van de problematiek en/of de maatregelen die moeten worden genomen. Een dergelijke procedure zou bijvoorbeeld in gang worden gezet in gevallen waarin verdere doorgifte, onder andere op basis van nieuwe adequaatheidsbepalingen die door de Secretary of State worden aangenomen of door het Verenigd Koninkrijk gesloten internationale overeenkomsten, niet langer zou worden uitgevoerd in het kader van waarborgen die de continuïteit van de bescherming garanderen in de zin van artikel 44 van Verordening (EU) 2016/679.

(285)

Indien de bevoegde Britse autoriteiten die maatregelen bij het verstrijken van die opgegeven termijn niet hebben genomen of anderszins niet aannemelijk hebben kunnen maken dat dit besluit op een passend beschermingsniveau gebaseerd blijft, leidt de Commissie de in artikel 93, lid 2, van Verordening (EU) 2016/679 bedoelde procedure in teneinde dit besluit geheel of gedeeltelijk op te schorten of in te trekken.

(286)

Als alternatief zal de Commissie deze procedure inleiden met het oog op wijziging van dit besluit, met name door voor gegevensdoorgiften aanvullende voorwaarden te stellen of door de reikwijdte van de vaststelling van adequaatheid te beperken tot gegevensdoorgiften waarvoor een passend beschermingsniveau blijft gewaarborgd.

(287)

De Commissie zal om naar behoren gerechtvaardigde dwingende urgente redenen gebruikmaken van de mogelijkheid om overeenkomstig de in artikel 93, lid 3, van Verordening (EU) 2016/679 bedoelde procedure onmiddellijk toepasselijke uitvoeringshandelingen tot opschorting, intrekking of wijziging van het besluit vast te stellen.

(288)

De Commissie moet rekening houden met het feit dat het Verenigd Koninkrijk, na afloop van de bij het terugtrekkingsakkoord vastgestelde overgangsperiode en zodra de overgangsbepaling uit hoofde van artikel 782 van de handels- en samenwerkingsovereenkomst tussen de Europese Unie en het Verenigd Koninkrijk niet langer van toepassing is, een nieuwe gegevensbeschermingsregeling zal uitvoeren, toepassen en handhaven ten opzichte van de regeling die gold toen het Verenigd Koninkrijk nog gebonden was door het EU-recht. Dit kan met name betrekking hebben op wijzigingen of veranderingen in het kader voor gegevensbescherming dat in dit besluit wordt beoordeeld, alsook op andere relevante ontwikkelingen.

(289)

Derhalve moet worden bepaald dat dit besluit van toepassing zal zijn gedurende een periode van vier jaar vanaf de inwerkingtreding ervan.

(290)

Indien uit bepaalde uit het toezicht op dit besluit voortvloeiende informatie blijkt dat de bevindingen in verband met de adequaatheid van het in het Verenigd Koninkrijk geboden beschermingsniveau nog steeds feitelijk en juridisch gerechtvaardigd zijn, moet de Commissie uiterlijk zes maanden voordat dit besluit niet meer van toepassing zal zijn, de procedure inleiden tot wijziging van dit besluit door verlenging van de toepassingsduur ervan, in beginsel met een bijkomende periode van vier jaar. Uitvoeringshandelingen tot wijziging van dit besluit moeten overeenkomstig de in artikel 93, lid 2, van Verordening (EU) 2016/679 bedoelde procedure worden vastgesteld.

(291)

Het Europees Comité voor gegevensbescherming heeft zijn advies (509) gepubliceerd, waarmee bij het opstellen van dit besluit rekening is gehouden.

(292)

De in dit besluit vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 93 van Verordening (EU) 2016/679 ingestelde comité,