(1)

W rozporządzeniu (UE) 2016/679 określono zasady dotyczące przekazywania danych osobowych przez administratorów danych lub podmioty przetwarzające w Unii Europejskiej do państw trzecich i organizacji międzynarodowych w zakresie, w jakim takie przekazywanie wchodzi w zakres stosowania rozporządzenia. Zasady dotyczące międzynarodowego przekazywania danych określono w rozdziale V rozporządzenia, tj. w art. 44–50. Chociaż przepływ danych osobowych do państw spoza Unii Europejskiej oraz z takich państw jest niezbędnym warunkiem rozwoju współpracy międzynarodowej i handlu transgranicznego, przekazywanie danych osobowych do państw trzecich nie może obniżać stopnia ochrony zapewnianego tym danym w Unii Europejskiej (2).

(2)

Na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Przy spełnieniu tego warunku przekazanie danych osobowych do państwa trzeciego może nastąpić bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia, jak przewidziano w art. 45 ust. 1 i motywie 103 rozporządzenia.

(3)

Jak określono w art. 45 ust. 2 rozporządzenia (UE) 2016/679, przy przyjmowaniu decyzji stwierdzającej odpowiedni stopień ochrony należy opierać się na wszechstronnej analizie porządku prawnego państwa trzeciego, obejmującej zarówno jego przepisy dotyczące podmiotów odbierających dane, jak i ograniczenia oraz zabezpieczenia w zakresie dostępu organów publicznych do danych osobowych. W swojej ocenie Komisja musi ustalić, czy dane państwo trzecie daje gwarancje zapewniające stopień ochrony „zasadniczo odpowiadający” stopniowi ochrony zapewnianemu w Unii Europejskiej (motyw 104 rozporządzenia (UE) 2016/679). Oceny spełnienia tego warunku dokonuje się według standardu ustanowionego w przepisach Unii Europejskiej, w szczególności w rozporządzeniu (UE) 2016/679, a także w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej (3). Istotne znaczenie w tym zakresie mają również wytyczne dotyczące odpowiedniego stopnia ochrony przekazywanych danych osobowych zatwierdzone przez Europejską Radę Ochrony Danych (EROD) (4).

(4)

Jak wyjaśnił w swoim orzecznictwie Trybunał Sprawiedliwości Unii Europejskiej, nie oznacza to konieczności stwierdzenia identycznego stopnia ochrony (5). W szczególności środki, z jakich korzysta dane państwo trzecie do zapewnienia ochrony danych osobowych, mogą różnić się od środków wprowadzonych w Unii Europejskiej, o ile w praktyce skutecznie zapewniają wysoki stopień ochrony (6). W związku z powyższym odpowiedni standard ochrony można osiągnąć bez konieczności dokładnego powielenia przepisów unijnych. Przy określaniu odpowiedniości chodzi raczej o stwierdzenie, czy biorąc pod uwagę istotę prawa do ochrony danych oraz jego skuteczne wprowadzenie w życie, egzekwowanie i nadzór nad jego przestrzeganiem, konkretny zagraniczny system zapewnia jako całość wymagany stopień ochrony (7).

(5)

Komisja uważnie przeanalizowała prawo i praktykę Zjednoczonego Królestwa. Na podstawie ustaleń przedstawionych w motywach 8–270 Komisja stwierdza, że Zjednoczone Królestwo zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych w ramach zakresu stosowania rozporządzenia (UE) 2016/679 z Unii Europejskiej do Zjednoczonego Królestwa.

(6)

Wniosek ten nie dotyczy danych osobowych przekazywanych do celów kontroli imigracji w Zjednoczonym Królestwie ani danych, które z innego względu wchodzą w zakres wyłączenia niektórych praw osób, których dane dotyczą, do celów utrzymania skutecznej kontroli imigracyjnej („wyłączenie dotyczące imigracji”) zgodnie z pkt 4 ppkt 1 załącznika 2 do brytyjskiej ustawy o ochronie danych. Ważność i wykładnia zwolnienia imigracyjnego na mocy prawa Zjednoczonego Królestwa nie została rozstrzygnięta w następstwie orzeczenia sądu apelacyjnego Anglii i Walii z dnia 26 maja 2021 r. Uznając, że prawa osób, których dane dotyczą, mogą co do zasady zostać ograniczone do celów kontroli imigracyjnej, co stanowi „istotny aspekt interesu publicznego”, sąd apelacyjny stwierdził, że zwolnienie imigracyjne w obecnej postaci jest niezgodne z prawem Zjednoczonego Królestwa, ponieważ ten środek ustawodawczy nie zawiera szczegółowych przepisów określających zabezpieczenia wymienione w art. 23 ust. 2 ogólnego rozporządzenia o ochronie danych Zjednoczonego Królestwa (RODO UK) (8). W tej sytuacji przekazywanie z Unii do Zjednoczonego Królestwa danych osobowych, do których może mieć zastosowanie wyłączenie imigracyjne, należy wyłączyć z zakresu niniejszej decyzji (9). Gdy niezgodność z prawem Zjednoczonego Królestwa zostanie usunięta, należy ponownie ocenić wyłączenie dotyczące imigracji, a także potrzebę utrzymania ograniczenia zakresu stosowania niniejszej decyzji.

(7)

Niniejsza decyzja nie powinna mieć wpływu na bezpośrednie stosowanie rozporządzenia (UE) 2016/679 w odniesieniu do organizacji mających siedzibę w Zjednoczonym Królestwie, jeżeli spełnione są warunki dotyczące terytorialnego zakresu stosowania tego rozporządzenia, określone w jego art. 3.

(8)

Zjednoczone Królestwo jest demokracją parlamentarną, w której głową państwa jest suweren konstytucyjny. W państwie tym istnieje suwerenny parlament, który jest nadrzędny wobec wszystkich innych instytucji rządowych, władza wykonawcza wywodząca się z parlamentu i przed nim odpowiedzialna oraz niezależna władza sądownicza. Legitymacja władzy wykonawczej wywodzi się z jej zdolności do zdobycia zaufania wybieranej Izby Gmin; władza wykonawcza jest odpowiedzialna przed obiema izbami parlamentu odpowiadającymi za nadzorowanie rządu oraz za debatowanie nad ustawami i ich uchwalanie.

(9)

Parlament Zjednoczonego Królestwa przekazał Parlamentowi Szkockiemu, Zgromadzeniu Narodowemu Walii (Senedd Cymru) oraz Zgromadzeniu Irlandii Północnej odpowiedzialność za stanowienie prawa w kwestiach krajowych w Szkocji, Walii i Irlandii Północnej, których Parlament Zjednoczonego Królestwa nie zastrzegł dla siebie. Chociaż ochrona danych jest kwestią zastrzeżoną, tj. w całym państwie obowiązują te same przepisy, inne obszary polityki istotne dla niniejszej decyzji są zdecentralizowane. Na przykład zwierzchnictwo nad systemami sądownictwa karnego, w tym nad policją, w Szkocji i Irlandii Północnej zostało powierzone odpowiednio Parlamentowi Szkockiemu i Zgromadzeniu Irlandii Północnej. Zjednoczone Królestwo nie posiada skodyfikowanej konstytucji w postaci spisanej ustawy zasadniczej. Zasady konstytucyjne kształtowały się w miarę upływu czasu i wywodzą się w szczególności z orzecznictwa i zwyczaju. Wartość konstytucyjna niektórych ustaw, takich jak Wielka Karta Swobód, ustawa o prawach z 1689 r. i ustawa o prawach człowieka z 1998 r., została uznana przez sądy. Prawa podstawowe osób fizycznych ukształtowano, jako element konstytucji, poprzez prawo precedensowe (common law), wspomniane ustawy oraz traktaty międzynarodowe, w szczególności europejską konwencję praw człowieka, którą Zjednoczone Królestwo ratyfikowało w 1951 r. W 1987 r. Zjednoczone Królestwo ratyfikowało również Konwencję Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (konwencja nr 108) (10).

(10)

Ustawą o prawach człowieka z 1998 r. wprowadzono prawa zawarte w europejskiej konwencji praw człowieka do prawa Zjednoczonego Królestwa. Ustawa o prawach człowieka zapewnia każdej osobie fizycznej podstawowe prawa i wolności przewidziane w art. 2–12 i 14 europejskiej konwencji praw człowieka, art. 1, 2 i 3 pierwszego protokołu do niej oraz art. 1 trzynastego protokołu do niej w związku z art. 16, 17 i 18 tej konwencji. Należą do nich prawo do poszanowania życia prywatnego i rodzinnego (i prawo do ochrony danych jako element tego prawa) oraz prawo do rzetelnego procesu sądowego (11). W szczególności na podstawie art. 8 tej konwencji władza publiczna może ingerować w korzystanie z prawa do prywatności wyłącznie w przypadkach przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności osób.

(11)

Zgodnie z ustawą o prawach człowieka z 1998 r. wszelkie działania władzy publicznej muszą być zgodne z prawem określonym w konwencji (12). Ponadto akty ustawowe i wykonawcze muszą być interpretowane i stosowane w sposób zgodny z prawami określonymi w konwencji (13).

(12)

Zjednoczone Królestwo wystąpiło z Unii Europejskiej w dniu 31 stycznia 2020 r. Na podstawie Umowy o wystąpieniu Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej (14) prawo Unii nadal miało zastosowanie w Zjednoczonym Królestwie w okresie przejściowym do dnia 31 grudnia 2020 r. Przed wystąpieniem i w okresie przejściowym ramy prawne dotyczące ochrony danych osobowych w Zjednoczonym Królestwie składały się z odpowiednich przepisów UE (w szczególności rozporządzenia (UE) 2016/679 i dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 (15)) oraz ustawodawstwa krajowego, zwłaszcza ustawy o ochronie danych z 2018 r. (Data Protection Act 2018, „DPA 2018”) (16), która przewidywała przepisy krajowe doprecyzowujące i ograniczające stosowanie przepisów rozporządzenia (UE) 2016/679 (w przypadkach dozwolonych na mocy tego rozporządzenia) oraz transponujące dyrektywę (UE) 2016/680.

(13)

Aby przygotować się do wystąpienia z UE, rząd Zjednoczonego Królestwa przyjął Ustawę o wystąpieniu z Unii Europejskiej z 2018 r. (17), która wprowadza do prawa Zjednoczonego Królestwa przepisy Unii mające bezpośrednie zastosowanie (18). To tzw. „pozostające w mocy prawo Unii” obejmuje rozporządzenie (UE) 2016/679 w całości (włącznie z motywami) (19). Zgodnie z tym aktem sądy Zjednoczonego Królestwa muszą dokonywać wykładni tego niezmienionego, pozostającego w mocy prawa Unii zgodnie ze stosownym orzecznictwem Trybunału Sprawiedliwości i ogólnymi zasadami prawa Unii obowiązującymi bezpośrednio przed zakończeniem okresu przejściowego (zwanymi odpowiednio „pozostającym w mocy orzecznictwem UE” i „pozostającymi w mocy ogólnymi zasadami prawa Unii”) (20).

(14)

Zgodnie z Ustawą o wystąpieniu z Unii Europejskiej z 2018 r. ministrowie Zjednoczonego Królestwa są uprawnieni do uchwalania przepisów wykonawczych w drodze aktów zwanych statutory instruments, aby wprowadzać niezbędne zmiany w pozostającym w mocy prawie Unii Europejskiej w następstwie wystąpienia Zjednoczonego Królestwa z Unii Europejskiej. Uprawnienie to wykonali za pomocą rozporządzenia w sprawie ochrony danych, prywatności i łączności elektronicznej wprowadzającego zmiany w związku z wyjściem z UE z 2019 r. (rozporządzenie w sprawie ochrony danych, prywatności i łączności elektronicznej) (21). Rozporządzeniem tym zmieniono rozporządzenie (UE) 2016/679 wprowadzone do prawa Zjednoczonego Królestwa Ustawą o wystąpieniu z Unii Europejskiej z 2018 r., DPA 2018 oraz inne ustawodawstwo w dziedzinie ochrony danych w celu dostosowania ich do kontekstu krajowego (22).

(15)

W związku z tym po zakończeniu okresu przejściowego ramy prawne dotyczące ochrony danych osobowych w Zjednoczonym Królestwie obejmują:

(16)

Ponieważ RODO UK opiera się na przepisach UE, przepisy o ochronie danych w Zjednoczonym Królestwie w wielu aspektach ściśle odzwierciedlają odpowiednie przepisy mające zastosowanie w Unii Europejskiej.

(17)

Oprócz uprawnień przyznanych Sekretarzowi Stanu na mocy Ustawy o wystąpieniu z Unii Europejskiej z 2018 r. w kilku przepisach DPA 2018 przyznano Sekretarzowi Stanu uprawnienia do przyjęcia przepisów wykonawczych w celu zmiany niektórych przepisów ustawy lub przyjęcia przepisów uzupełniających i dodatkowych (25). Dotychczas Sekretarz Stanu wykonywał wyłącznie uprawnienie wynikające z art. 137 DPA 2018 do przyjęcia rozporządzenia zmieniającego w sprawie opłat i informacji dotyczących ochrony danych z 2019 r., określającego okoliczności, w których administratorzy danych są zobowiązani do uiszczenia rocznej opłaty na rzecz niezależnego organu ochrony danych Zjednoczonego Królestwa – Komisarza ds. Informacji.

(18)

Ponadto dalsze wytyczne dotyczące ustawodawstwa Zjednoczonego Królestwa w dziedzinie ochrony danych przedstawiono w kodeksach postępowania i innych wytycznych przyjętych przez Komisarza ds. Informacji. Chociaż formalnie wytyczne te nie są prawnie wiążące, mają znaczenie dla wykładni i przedstawiają, w jaki sposób ustawodawstwo w dziedzinie ochrony danych ma zastosowanie i jest egzekwowane przez Komisarza w praktyce. W szczególności w art. 121–125 DPA 2018 nałożono na Komisarza obowiązek opracowania kodeksów postępowania dotyczących udostępniania danych, marketingu bezpośredniego, projektowania dostosowanego do wieku oraz ochrony danych i dziennikarstwa.

(19)

Pod względem struktury i głównych elementów ramy prawne Zjednoczonego Królestwa mające zastosowanie do danych przekazywanych na podstawie niniejszej decyzji są zatem bardzo podobne do ram obowiązujących w Unii Europejskiej. Jest to związane z faktem, że ramy takie opierają się nie tylko na zobowiązaniach ustanowionych w prawie krajowym, które zostało ukształtowane przez prawo Unii, ale również na zobowiązaniach zapisanych w prawie międzynarodowym, w szczególności w rezultacie przystąpienia przez Zjednoczone Królestwo do europejskiej konwencji praw człowieka i konwencji nr 108, a także poddania się jurysdykcji Europejskiego Trybunału Praw Człowieka. W związku z tym wspomniane zobowiązania wynikające z prawnie wiążących instrumentów międzynarodowych, dotyczące zwłaszcza ochrony danych osobowych, stanowią szczególnie ważny element ram prawnych będących przedmiotem oceny w niniejszej decyzji.

(20)

Podobnie do rozporządzenia (UE) 2016/679 RODO UK ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany lub do przetwarzania w sposób inny niż zautomatyzowany, jeżeli dane osobowe stanowią część zbioru danych (26). Definicje pojęć „dane osobowe”, „osoba, której dane dotyczą” i „przetwarzanie” w RODO UK są takie same jak definicje tych pojęć w rozporządzeniu (UE) 2016/679 (27). Ponadto RODO UK ma zastosowanie do ręcznego przetwarzania nieusystematyzowanych danych osobowych (28) przechowywanych przez niektóre organy publiczne Zjednoczonego Królestwa (29), chociaż zasady i prawa określone w RODO UK, które nie są związane z takimi danymi osobowymi, nie mają już zastosowania na mocy art. 24 i 25 DPA 2018. Podobnie do zakresu rozporządzenia (UE) 2016/679 RODO UK nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (30).

(21)

RODO UK obejmuje swoim zakresem także przetwarzanie w ramach działalności, która bezpośrednio przed końcem okresu przejściowego nie wchodziła w zakres prawa Unii Europejskiej (np. bezpieczeństwo narodowe) (31) lub wchodziła w zakres tytułu V rozdział 2 Traktatu o Unii Europejskiej (działania w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa) (32). Podobnie jak w systemie Unii Europejskiej RODO UK nie ma zastosowania do przetwarzania danych osobowych przez właściwy organ do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom (tzw. „cele ścigania przestępstw”) – takie przetwarzanie reguluje natomiast część 3 DPA 2018, tak jak ma to miejsce w przypadku dyrektywy (UE) 2016/680 na gruncie prawa Unii Europejskiej – ani przetwarzania danych osobowych przez służby wywiadowcze (Służbę Bezpieczeństwa, Tajną Służbę Wywiadowczą i Centralę Łączności Rządowej), które obejmuje część 4 DPA 2018 (33).

(22)

Zakres terytorialny RODO UK jest opisany w art. 3 RODO UK (34) i obejmuje przetwarzanie danych osobowych (niezależnie od miejsca, w którym się ono odbywa) w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Zjednoczonym Królestwie, jak również przetwarzanie danych osobowych osób przebywających w Zjednoczonym Królestwie, jeżeli czynności przetwarzania dotyczą oferowania towarów lub usług takim osobom lub monitorowania ich zachowania (35). Odzwierciedla to podejście przyjęte w art. 3 rozporządzenia (UE) 2016/679.

(23)

Definicje danych osobowych, przetwarzania, administratora, podmiotu przetwarzającego, a także definicja pseudonimizacji, określone w rozporządzeniu (UE) 2016/679, są zachowane w RODO UK bez istotnych zmian (36). Ponadto szczególne kategorie danych są zdefiniowane w art. 9 ust. 1 RODO UK w taki sam sposób, jak w rozporządzeniu (UE) 2016/679 („ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby”). Art. 205 DPA 2018 zawiera definicję „danych biometrycznych” (37), „danych dotyczących zdrowia” (38) i „danych genetycznych” (39).

(24)

Dane osobowe powinno się przetwarzać zgodnie z prawem i rzetelnie.

(25)

Zasady zgodności z prawem, rzetelności i przejrzystości oraz podstawy zgodności przetwarzania z prawem są zagwarantowane w prawie Zjednoczonego Królestwa poprzez art. 5 ust. 1 lit. a) i art. 6 ust. 1 RODO UK, które są identyczne z odpowiednimi przepisami rozporządzenia (UE) 2016/679 (40). Art. 8 DPA 2018 uzupełnia art. 6 ust. 1 lit. e), stanowiąc, że przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. e) RODO UK (niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej przez administratora) obejmuje przetwarzanie danych osobowych, które jest niezbędne do sprawowania wymiaru sprawiedliwości, sprawowania funkcji przez którąkolwiek z izb parlamentu, sprawowania funkcji powierzonej danej osobie na mocy przepisu prawa stanowionego lub precedensowego, sprawowania władzy królewskiej, funkcji ministerstwa lub departamentu rządowego bądź działania wspierającego lub promującego zaangażowanie demokratyczne.

(26)

W odniesieniu do zgody (jednej z podstaw zgodności przetwarzania z prawem) w RODO UK również zachowano warunki przewidziane w art. 7 rozporządzenia (UE) 2016/679 w niezmienionej formie, tj. administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę, pisemne zapytanie o zgodę musi być przedstawione jasnym i prostym językiem, osoba, której dane dotyczą, musi mieć prawo w dowolnym momencie wycofać zgodę, a oceniając, czy zgodę wyrażono dobrowolnie, należy wziąć pod uwagę, czy od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy. Ponadto zgodnie z art. 8 RODO UK, w związku ze świadczeniem usług społeczeństwa informacyjnego zgoda dziecka jest zgodna z prawem tylko wtedy, gdy wiek dziecka wynosi co najmniej 13 lat. Mieści się to w przedziale wiekowym ustanowionym w art. 8 rozporządzenia (UE) 2016/679.

(27)

Jeżeli przetwarzane są „szczególne kategorie” danych, powinny istnieć szczególne zabezpieczenia.

(28)

RODO UK i DPA 2018 zawierają przepisy szczególne dotyczące przetwarzania szczególnych kategorii danych osobowych, które zdefiniowano w art. 9 ust. 1 RODO UK w taki sam sposób, jak w rozporządzeniu (UE) 2016/679 (zob. motyw 23 powyżej). Zgodnie z art. 9 RODO UK przetwarzanie szczególnych kategorii danych jest zasadniczo zabronione, chyba że ma zastosowanie szczególny wyjątek.

(29)

W wyjątkach tych (wymienionych w art. 9 ust. 2 i 3 RODO UK) nie wprowadzono żadnych zmian merytorycznych w stosunku do wyjątków zawartych w art. 9 ust. 2 i 3 rozporządzenia (UE) 2016/679. O ile osoba, której dane dotyczą, nie wyraziła wyraźnej zgody na przetwarzanie tych danych osobowych, przetwarzanie szczególnych kategorii danych osobowych jest dopuszczalne tylko w szczególnych i ograniczonych okolicznościach. W większości przypadków przetwarzanie danych wrażliwych musi być niezbędne do konkretnego celu określonego w odpowiednim przepisie (zob. art. 9 ust. 2 lit. b), c), f), g), h), i) oraz j)).

(30)

Ponadto, w przypadku gdy wyjątek na podstawie art. 9 ust. 2 RODO UK wymaga zezwolenia z mocy prawa lub odnosi się do interesu publicznego, w art. 10 DPA 2018 oraz w załączniku 1 do tej ustawy dodatkowo określono warunki, które muszą być spełnione, aby można było powołać się na te wyjątki. Na przykład w przypadku przetwarzania danych wrażliwych w celu ochrony „zdrowia publicznego” (art. 9 ust. 2 lit. i) RODO UK), w załączniku 1 część 1 pkt 3 lit. b) wymaga się, aby oprócz kryterium niezbędności takie przetwarzanie było prowadzone „przez pracownika służby zdrowia lub na jego odpowiedzialność” lub „przez inną osobę, która jest zobowiązana do zachowania poufności na mocy przepisu prawa stanowionego lub precedensowego”, w tym na mocy ugruntowanego w common law obowiązku zachowania poufności.

(31)

W przypadku przetwarzania danych wrażliwych ze względów związanych z ważnym interesem publicznym (art. 9 ust. 2 lit. g) RODO UK), część 2 załącznika 1 do DPA 2018 zawiera wyczerpujący wykaz celów, które można uznać za leżące w ważnym interesie publicznym, oraz określa – dla każdego z tych celów – konkretne warunki dodatkowe. Za ważny interes publiczny uznaje się na przykład promowanie różnorodności rasowej i etnicznej na wyższych szczeblach organizacji. Przetwarzanie danych wrażliwych w tym konkretnym celu podlega szczegółowym wymogom, w tym wymogowi, aby przetwarzanie odbywało się w ramach procesu identyfikacji osób odpowiednich do zajmowania wyższych stanowisk, było niezbędne do promowania różnorodności rasowej i etnicznej oraz aby wyrządzenie znacznej szkody lub spowodowanie znaczących niedogodności dla osoby, której dane dotyczą, nie było prawdopodobne.

(32)

W art. 11 ust. 1 DPA 2018 ustanowiono warunki przetwarzania danych osobowych w okolicznościach opisanych w art. 9 ust. 3 RODO UK odnoszącym się do obowiązku zachowania tajemnicy. Obejmuje to okoliczności, w których przetwarzanie jest prowadzone przez pracownika służby zdrowia lub pracownika opieki społecznej bądź przez inną osobę, która w tych okolicznościach jest zobowiązana do zachowania poufności na mocy przepisu prawa stanowionego lub precedensowego, lub na odpowiedzialność takiego pracownika lub takiej osoby.

(33)

Ponadto korzystanie z wielu wyjątków wymienionych w art. 9 ust. 2 RODO UK wymaga odpowiednich i szczególnych zabezpieczeń. W zależności od charakteru przetwarzania i poziomu ryzyka dla praw i wolności osób, których dane dotyczą, w warunkach przetwarzania przewidzianych w załączniku 1 do DPA 2018 ustanowiono różne zabezpieczenia. Z kolei w załączniku 1 określono warunki dla każdej sytuacji przetwarzania.

(34)

W niektórych przypadkach DPA 2018 reguluje i ogranicza rodzaj danych wrażliwych, które można przetwarzać pod kątem spełnienia konkretnej podstawy prawnej. W pkt 8 załącznika 1 zezwala się na przykład na przetwarzanie danych wrażliwych do celów promowania równości szans lub równego traktowania. Ten warunek przetwarzania można zastosować tylko wtedy, gdy dane ujawniają pochodzenie rasowe lub etniczne, przekonania religijne lub światopoglądowe, orientację seksualną lub gdy są to dane dotyczące zdrowia.

(35)

W niektórych przypadkach w DPA 2018 ograniczono możliwość stosowania tego warunku przetwarzania do określonego rodzaju administratora. W pkt 23 załącznika 1 przewidziano na przykład przetwarzanie danych wrażliwych w związku z odpowiedziami wybieranych przedstawicieli na pytania obywateli Ten warunek przetwarzania można zastosować tylko wtedy, gdy administrator jest wybranym przedstawicielem lub działa z jego upoważnienia.

(36)

W niektórych innych przypadkach w DPA 2018 określono ograniczenia dotyczące kategorii osób, których dane dotyczą, w odniesieniu do warunku przetwarzania, który ma być stosowany. Pkt 21 załącznika 1 reguluje na przykład przetwarzanie danych wrażliwych na potrzeby pracowniczych programów emerytalnych. Warunek ten można zastosować wyłącznie wówczas, gdy osoba, której dane dotyczą, jest siostrą lub bratem bądź jednym z rodziców, dziadków lub pradziadków członka programu.

(37)

Ponadto w przypadku powoływania się na wyjątki zawarte w art. 9 ust. 2 RODO UK, które doprecyzowano w art. 10 DPA 2018 wraz z załącznikiem 1 do tej ustawy, administrator w większości przypadków jest zobowiązany do sporządzenia „odpowiedniego dokumentu dotyczącego polityki”. W dokumencie tym muszą się znaleźć procedury administratora danych mające na celu zapewnienie zgodności z zasadami określonymi w art. 5 RODO UK. Muszą się w nim również znaleźć zasady dotyczące zatrzymywania i usuwania danych, ze wskazaniem prawdopodobnego okresu przechowywania. W stosownych przypadkach administratorzy muszą dokonać przeglądu i aktualizacji tego dokumentu. Administrator musi przechowywać dokument programowy przez sześć miesięcy po zakończeniu przetwarzania i musi udostępnić go na żądanie Komisarzowi ds. Informacji (41).

(38)

Zgodnie z pkt 41 załącznika 1 do DPA 2018 dokumentowi dotyczącemu polityki musi zawsze towarzyszyć rozszerzony rejestr przetwarzania. W rejestrze tym należy odnotowywać wywiązywanie się z zobowiązań zawartych w dokumencie dotyczącym polityki, tj. czy dane są usuwane lub zatrzymywane zgodnie z przyjętą polityką. Jeśli nie stosowano się do przyjętej polityki, w rejestrze należy odnotować przyczyny. W rejestrze należy również opisać, w jaki sposób przetwarzanie spełnia warunki określone w art. 6 RODO UK (zgodność przetwarzania z prawem) i konkretny warunek określony w załączniku 1 do DPA 2018, na który się powołano.

(39)

Ponadto, podobnie jak rozporządzenie (UE) 2016/679, RODO UK przewiduje również ogólne zabezpieczenia niektórych operacji przetwarzania szczególnych kategorii danych. W art. 35 RODO UK znajduje się wymóg przeprowadzenia oceny skutków dla ochrony danych, jeśli przetwarzanie szczególnych kategorii danych odbywa się na dużą skalę. Zgodnie z art. 37 RODO UK administrator lub podmiot przetwarzający musi wyznaczyć inspektora ochrony danych, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu szczególnych kategorii danych na dużą skalę.

(40)

W odniesieniu do danych osobowych dotyczących wyroków skazujących i czynów zabronionych art. 10 RODO UK ma takie samo brzmienie jak art. 10 rozporządzenia (UE) 2016/679. Umożliwia przetwarzanie danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem krajowym przewidującym odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.

(41)

Jeśli przetwarzanie danych dotyczących wyroków skazujących oraz czynów zabronionych nie odbywa się pod nadzorem władz publicznych, art. 10 ust. 5 DPA 2018 stanowi, że takie przetwarzanie może odbywać się wyłącznie w konkretnych celach lub sytuacjach określonych w częściach 1, 2 i 3 załącznika 1 do DPA 2018 i podlega szczegółowym wymogom, które określono dla każdego z tych celów/każdej z tych sytuacji. Na przykład przetwarzanie danych dotyczących wyroków skazujących przez podmioty niezarobkowe może odbywać się, jeśli przetwarzania dokonuje się a) w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, b) pod warunkiem że (i) przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że (ii) dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą.

(42)

Ponadto w części 3 załącznika 1 do DPA 2018 określono dalsze okoliczności, w których można wykorzystywać dane dotyczące wyroków skazujących, odpowiadające podstawom prawnym przetwarzania danych wrażliwych określonym w art. 9 ust. 2 rozporządzenia (UE) 2016/679 i RODO UK (np. zgoda osoby, której dane dotyczą, żywotne interesy osoby fizycznej, jeśli osoba, której dane dotyczą, jest prawnie lub fizycznie niezdolna do wyrażenia zgody, jeśli dane zostały już w sposób oczywisty upublicznione przez osobę, której dane dotyczą, jeśli przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczenia itp.).

(43)

Dane osobowe powinny być przetwarzane w określonym celu, a następnie wykorzystywane tylko w takim zakresie, w jakim nie jest to niezgodne z celem przetwarzania.

(44)

Zasadę tę przewidziano w art. 5 ust. 1 lit. b) rozporządzenia (UE) 2016/679 i zachowano bez zmian w art. 5 ust. 1 lit. b) RODO UK. Warunki dotyczące dalszego zgodnego z celem przetwarzania, o których mowa w art. 6 ust. 4 rozporządzenia (UE) 2016/679, zachowano również bez istotnych zmian w art. 6 ust. 4 lit. a)–e) RODO UK.

(45)

Ponadto dane powinny być prawidłowe i w razie potrzeby uaktualniane. Powinny być również adekwatne, stosowne oraz ograniczone do celów, w których są przetwarzane, a także co do zasady przechowywane przez okres nie dłuższy niż jest to niezbędne do celów, w których przetwarza się dane osobowe.

(46)

Te zasady minimalizacji danych, prawidłowości i ograniczenia przechowywania określono w art. 5 ust. 1 lit. c)–e) rozporządzenia (UE) 2016/679 i zachowano bez zmian w art. 5 ust. 1 lit. c)–e) RODO UK.

(47)

Dane osobowe powinny być również przetwarzane w sposób zapewniający im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu podmioty gospodarcze powinny wdrożyć odpowiednie środki techniczne lub organizacyjne, aby chronić dane osobowe przed ewentualnymi zagrożeniami. Środki te należy ocenić, biorąc pod uwagę stan wiedzy technicznej oraz koszty ich wdrożenia.

(48)

Bezpieczeństwo danych jest zapisane w prawie Zjednoczonego Królestwa za pomocą zasady integralności i poufności w art. 5 ust. 1 lit. f) RODO UK oraz w art. 32 RODO UK dotyczącym bezpieczeństwa przetwarzania. Przepisy te są takie same jak odpowiednie przepisy rozporządzenia (UE) 2016/679. Ponadto, na tych samych warunkach, jak określone w art. 33 i 34 rozporządzenia (UE) 2016/679, RODO UK zawiera wymóg zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 RODO UK) oraz zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34 RODO UK).

(49)

Osoby, których dane dotyczą, powinny być informowane o głównych cechach przetwarzania ich danych osobowych.

(50)

Zapewniają to art. 13 i 14 RODO UK, które, oprócz ogólnej zasady przejrzystości, określają przepisy dotyczące informacji, których należy udzielać osobom, których dane dotyczą (42). W RODO UK nie wprowadzono żadnych istotnych zmian tych przepisów w porównaniu z odpowiednimi artykułami rozporządzenia (UE) 2016/679. Podobnie jak w przypadku rozporządzenia (UE) 2016/679, wymogi dotyczące przejrzystości zawarte w tych artykułach podlegają jednak kilku wyjątkom określonym w DPA 2018 (zob. motywy 55–72).

(51)

Osobom, których dane dotyczą, powinny przysługiwać określone prawa, które można egzekwować wobec administratora lub podmiotu przetwarzającego, w szczególności prawo dostępu do zebranych danych, prawo do sprzeciwu wobec przetwarzania oraz prawo do sprostowania i usunięcia danych. Jednocześnie prawa te mogą podlegać ograniczeniom w zakresie, w jakim ograniczenia te są niezbędne i proporcjonalne do ochrony bezpieczeństwa publicznego lub innych ważnych celów leżących w ogólnym interesie publicznym.

(52)

W RODO UK osobom fizycznym przyznano te same egzekwowalne prawa co w rozporządzeniu (UE) 2016/679. Przepisy zapewniające prawa osób fizycznych utrzymano w RODO UK bez istotnych zmian.

(53)

Prawa te obejmują prawo dostępu przysługujące osobie, której dane dotyczą (art. 15 RODO UK), prawo do sprostowania danych (art. 16 RODO UK), prawo do usunięcia danych (art. 17 RODO UK), prawo do ograniczenia przetwarzania (art. 18 RODO UK), obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19 RODO UK), prawo do przenoszenia danych (art. 20 RODO UK) oraz prawo do sprzeciwu (art. 21 RODO UK) (43). Prawo do sprzeciwu obejmuje również prawo osoby, której dane dotyczą, do sprzeciwu wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego przewidziane w art. 21 ust. 2 i 3 rozporządzenia (UE) 2016/679. Ponadto, zgodnie z art. 122 DPA 2018, Komisarz ds. Informacji musi przygotować kodeks postępowania dotyczący prowadzenia marketingu bezpośredniego zgodnie z wymogami zawartymi w ustawodawstwie w dziedzinie ochrony danych (oraz rozporządzeniu w sprawie prywatności i łączności elektronicznej w związku z dyrektywą WE z 2003 r.) oraz innymi tego rodzaju wytycznymi służącymi promowaniu dobrych praktyk w zakresie marketingu bezpośredniego, które Komisarz uzna za stosowne. Biuro Komisarza ds. Informacji opracowuje obecnie kodeks marketingu bezpośredniego (44).

(54)

W RODO UK bez istotnych zmian zachowano również prawo osoby, której dane dotyczą, do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, które wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa zgodnie z art. 22 RODO. Dodano jednak nowy ustęp 3A, aby uwzględnić fakt, że w art. 14 DPA 2018 określono zabezpieczenia praw, wolności i uzasadnionych interesów osób, których dane dotyczą, w przypadku gdy przetwarzanie odbywa się na podstawie art. 22 ust. 2 lit. b) RODO UK. Dotyczy to wyłącznie sytuacji, w której podstawą takiej decyzji jest zezwolenie lub wymóg wynikający z prawa Zjednoczonego Królestwa, i nie dotyczy sytuacji, w której decyzja jest niezbędna na podstawie umowy lub osoba, której dane dotyczą, wyraziła wyraźną zgodę na jej podjęcie. W przypadkach gdy ma zastosowanie art. 14 DPA 2018, administrator musi, w możliwie najkrótszym czasie, powiadomić na piśmie osobę, której dane dotyczą, że decyzję podjęto wyłącznie na podstawie zautomatyzowanego przetwarzania. Osoba, której dane dotyczą, ma prawo zwrócić się do administratora – w terminie miesiąca od otrzymania zawiadomienia – o ponowne rozpatrzenie decyzji lub podjęcie nowej decyzji, która nie będzie oparta wyłącznie na zautomatyzowanym przetwarzaniu. Sekretarz Stanu jest uprawniony do przyjęcia dalszych gwarancji w odniesieniu do zautomatyzowanego podejmowania decyzji. Uprawnienie to nie jest jeszcze wykonywane.

(55)

W DPA 2018 określono kilka ograniczeń praw indywidualnych, które mieszczą się w ramach art. 23 RODO UK. We wspomnianych ramach nie wprowadza się żadnych ograniczeń dotyczących prawa do sprzeciwu wobec marketingu bezpośredniego przewidzianego w art. 21 ust. 2 i 3 RODO UK ani prawa do tego, by nie podlegać zautomatyzowanemu podejmowaniu decyzji, o którym mowa w art. 22 RODO UK.

(56)

Ograniczenia te określono w załącznikach 2–4 do DPA 2018. Władze Zjednoczonego Królestwa wyjaśniły, że kierują się dwiema zasadami: zasadą szczegółowości (przyjmowanie szczegółowego podejścia, dzielenie szeroko zakrojonych ograniczeń na liczne bardziej szczegółowe przepisy) i zasadą warunkowości (każdemu przepisowi towarzyszą zabezpieczenia w formie ograniczeń lub warunków w celu zapobiegania nadużyciom) (45).

(57)

Ograniczenia opisane w art. 23 ust. 1 RODO UK mają z założenia być stosowane wyłącznie w określonych okolicznościach, w których są one niezbędne w demokratycznym społeczeństwie, oraz w sposób proporcjonalny do wyznaczonego, prawnie uzasadnionego celu. Ponadto zgodnie z utrwalonym orzecznictwem dotyczącym wykładni ograniczeń wyłączenie z zakresu stosowania systemu ochrony danych można zastosować w każdym konkretnych przypadku wyłącznie wtedy, gdy jest to niezbędne i proporcjonalne (46). Wymaga się, aby kryterium niezbędności było „rygorystyczne i wymagało, by ingerencja w prawa podmiotu była proporcjonalna do wagi zagrożenia interesu publicznego. W tym celu należy zatem przeprowadzić klasyczną analizę proporcjonalności (47)”.

(58)

Cele, jakim mają służyć opisane ograniczenia, odpowiadają celom wymienionym w art. 23 rozporządzenia (UE) 2016/679, z wyjątkiem ograniczeń dotyczących bezpieczeństwa narodowego i obrony, które uregulowano w art. 26 DPA 2018, ale które podlegają tym samym wymogom niezbędności i proporcjonalności (zob. motywy 63–66).

(59)

Niektóre ograniczenia, np. ograniczenia związane z zapobieganiem przestępstwom lub ich wykrywaniem, zatrzymywaniem i ściganiem przestępców oraz wymiarem lub pobieraniem podatków lub ceł (48), pozwalają na ograniczenie wszystkich praw indywidualnych i obowiązków w zakresie przejrzystości (z wyjątkiem praw określonych w art. 21 ust. 2 i art. 22). Zakres stosowania innych ograniczeń ogranicza się do obowiązków w zakresie przejrzystości i praw dostępu, takich jak ograniczenia związane z prawniczą tajemnicą zawodową (49), prawem do wolności od wymogu udzielenia informacji, które prowadziłyby do samooskarżenia (50), oraz finansowaniem przedsiębiorstw, w szczególności z zapobieganiem wykorzystywaniu informacji wewnętrznych (51). Niewiele z tych ograniczeń pozwala na ograniczenie obowiązku administratora w zakresie informowania osoby, której dane dotyczą, o naruszeniu ochrony danych oraz zasad ograniczenia celu, a także zgodności z prawem, rzetelności i przejrzystości przetwarzania (52).

(60)

Niektóre ograniczenia są „w pełni” automatycznie stosowane do określonego rodzaju przetwarzania danych osobowych (np. stosowanie obowiązków w zakresie przejrzystości i praw indywidualnych jest wyłączone, w przypadku gdy dane osobowe są przetwarzane do celów oceny, czy dana osoba ma odpowiednie kwalifikacje do pełnienia urzędu sądowego, lub dane osobowe są przetwarzane przez sąd, trybunał lub osobę fizyczną w ramach sprawowania przez nie wymiaru sprawiedliwości).

(61)

W większości przypadków w odpowiednim punkcie załącznika 2 do DPA 2018 określono jednak, że ograniczenie ma zastosowanie wyłącznie w przypadku, gdy (i w takim zakresie, w jakim) zastosowanie przepisów „prawdopodobnie byłoby sprzeczne” z prawnie uzasadnionym celem tego ograniczenia: na przykład wymienione przepisy RODO UK nie mają zastosowania do danych osobowych przetwarzanych w celu zapobiegania przestępstwom lub ich wykrywania, zatrzymywania lub ścigania przestępców lub wymiaru lub pobierania podatków lub ceł „w zakresie, w jakim zastosowanie tych przepisów prawdopodobnie byłoby sprzeczne z którąkolwiek z tych kwestii” (53).

(62)

Zgodnie z wykładnią dokonywaną konsekwentnie przez sądy Zjednoczonego Królestwa sformułowanie „prawdopodobnie byłoby sprzeczne” oznacza „bardzo znaczącą i dużą szansę uszczerbku dla określonych interesów publicznych” (54). Na ograniczenie podlegające kryterium sprzeczności można się zatem powołać tylko wówczas i tylko w takim zakresie, w jakim istnieje bardzo znacząca i duża szansa, że przyznanie określonego prawa naruszyłoby określony interes publiczny. Administrator jest odpowiedzialny za ocenę w poszczególnych przypadkach, czy warunki te zostały spełnione (55).

(63)

Oprócz ograniczeń zawartych w załączniku 2 do DPA 2018 w art. 26 DPA 2018 przewidziano wyłączenie, które można stosować w odniesieniu do określonych przepisów RODO UK i DPA 2018, jeżeli wyłączenie to jest wymagane do celów ochrony bezpieczeństwa narodowego lub do celów obrony. Wspomniane wyłączenie ma zastosowanie do zasad ochrony danych (z wyjątkiem zasady zgodności z prawem), obowiązków w zakresie przejrzystości, praw osoby, której dane dotyczą, obowiązku powiadomienia o naruszeniu ochrony danych, zasad dotyczących międzynarodowego przekazywania danych, niektórych obowiązków i uprawnień Komisarza ds. Informacji, a także zasad dotyczących środków ochrony prawnej, odpowiedzialności i sankcji, z wyjątkiem przepisu dotyczącego ogólnych warunków nakładania administracyjnych kar pieniężnych określonego w art. 83 RODO UK oraz przepisu dotyczącego sankcji określonego w art. 84 RODO UK. Ponadto w art. 28 DPA 2018 zmieniono zastosowanie art. 9 ust. 1, aby umożliwić przetwarzanie szczególnych kategorii danych określonych w art. 9 ust. 1 RODO UK w zakresie, w jakim przetwarzanie odbywa się w celu zapewnienia bezpieczeństwa narodowego lub w celach obrony oraz przy zapewnieniu odpowiednich zabezpieczeń w odniesieniu do praw i wolności osób, których dane dotyczą (56).

(64)

Wyłączenie można stosować wyłącznie w zakresie, w jakim jest to wymagane do zapewnienia bezpieczeństwa narodowego lub obronności. Ponieważ dotyczy to również pozostałych wyłączeń określonych w DPA 2018, administrator musi rozpatrywać je i powoływać się na nie w każdym przypadku z osobna. Ponadto każde zastosowanie wyłączenia musi być zgodne ze standardami praw człowieka (opartymi na ustawie o prawach człowieka z 1998 r.), według których w demokratycznym społeczeństwie każda ingerencja w prawo do prywatności powinna być niezbędna i proporcjonalna (57).

(65)

Taką wykładnię zwolnienia potwierdza Komisarz ds. Informacji, który wydał szczegółowe wytyczne dotyczące stosowania wyłączenia dotyczącego bezpieczeństwa narodowego i obronności, stwierdzając w nich, że administrator musi rozpatrywać je i powoływać się na nie w każdym przypadku z osobna (58). W wytycznych podkreślono w szczególności, że „[n]ie jest to wyłączenie ogólne” i że do jego zastosowania „nie wystarczy, aby dane były przetwarzane do celów bezpieczeństwa narodowego”. Administrator danych, powołując się na to wyłączenie, musi „wykazać, że istnieje realna możliwość negatywnego wpływu na bezpieczeństwo narodowe”, a w razie potrzeby wymaga się od administratora danych „dostarczenia [Komisarzowi ds. Informacji] uzasadnienia skorzystania z tego wyłączenia”. Wytyczne zawierają listę kontrolną i szereg przykładów służących dalszemu doprecyzowaniu warunków, na jakich można powoływać się na to wyłączenie.

(66)

Fakt, że dane są przetwarzane do celów bezpieczeństwa narodowego lub obrony, nie jest zatem sam w sobie wystarczający do zastosowania wyłączenia. Administrator musi uwzględnić faktyczne konsekwencje dla bezpieczeństwa narodowego, gdyby musiał zastosować się do konkretnego przepisu dotyczącego ochrony danych. Wyłączenie można stosować wyłącznie do przepisów szczegółowych, które określono jako stwarzające ryzyko, i należy je stosować w możliwie najbardziej restrykcyjny sposób (59).

(67)

Podejście to potwierdził Trybunał ds. Ochrony Danych (Information Tribunal) (60). W sprawie Baker przeciwko Secretary of State for the Home Department („Baker przeciwko Secretary of State”) Trybunał orzekł, że zastosowanie wyłączenia dotyczącego bezpieczeństwa narodowego jako wyłączenia ogólnego w odniesieniu do wniosków o udzielenie dostępu otrzymanych przez służby wywiadowcze jest niezgodne z prawem. Wyłączenie należy stosować w każdym przypadku z osobna, rozpatrując każdy wniosek indywidualnie i w świetle prawa osób fizycznych do poszanowania ich życia prywatnego (61).

(68)

Zgodnie z art. 85 ust. 2 RODO UK możliwe jest wyłączenie danych osobowych przetwarzanych do celów dziennikarskich, artystycznych, akademickich i literackich z szeregu przepisów RODO UK. W części 5 załącznika 2 do DPA 2018 określono wyłączenia dotyczące przetwarzania w tych celach. Przewidziano w niej wyłączenia z zasad ochrony danych (z wyjątkiem zasady integralności i poufności), podstaw prawnych przetwarzania (w tym szczególnych kategorii danych i danych dotyczących wyroków skazujących itp.), warunków wyrażenia zgody, obowiązków w zakresie przejrzystości, praw osób, których dane dotyczą, obowiązku powiadomienia o naruszeniu ochrony danych, wymogu przeprowadzenia konsultacji z Komisarzem ds. Informacji przed przetwarzaniem wysokiego ryzyka oraz zasad dotyczących międzynarodowego przekazywania danych (62). W tym zakresie RODO UK nie odbiega w istotny sposób od rozporządzenia (UE) 2016/679, w którym w art. 85 przewidziano możliwość wyłączenia przetwarzania dokonywanego dla potrzeb dziennikarskich lub do celów wypowiedzi akademickiej, artystycznej lub literackiej z szeregu wymogów określonych w rozporządzeniu (UE) 2016/679. Przepisy DPA 2018, zwłaszcza część 5 załącznika 2, są zgodne z RODO UK.

(69)

Podstawowy proces ważenia interesów, który należy przeprowadzić zgodnie z art. 85 RODO UK, dotyczy tego, czy wyłączenie od przepisów o ochronie danych wymienionych w motywie 68 jest „niezbędne, by pogodzić prawo do ochrony danych osobowych z wolnością wypowiedzi i informacji” (63). Zgodnie z pkt 26 ppkt 2 i 3 załącznika 2 do DPA 2018 Zjednoczone Królestwo stosuje kryterium „zasadnego przekonania” w celu osiągnięcia tej równowagi. Aby wyłączenie było uzasadnione, administrator musi być zasadnie przekonany, (i) że publikacja leży w interesie publicznym; oraz (ii) że zastosowanie odpowiedniego przepisu RODO byłoby niezgodne z celem dziennikarskim, akademickim, artystycznym lub literackim. Jak potwierdzono w orzecznictwie, kryterium „zasadnego przekonania” obejmuje zarówno element subiektywny, jak i obiektywny (64): nie wystarczy, aby administrator wykazał, że sam uznał zachowanie zgodności z przepisem za niezgodne z określonym celem. Jego przekonanie musi być uzasadnione, tj. takie, które mogłaby podzielać racjonalnie myśląca osoba, znająca istotne fakty. W związku z tym administrator musi dołożyć należytej staranności, dochodząc do swojego przekonania, aby być w stanie wykazać jego zasadność. Zgodnie z wyjaśnieniami przedstawionymi przez władze Zjednoczonego Królestwa kryterium „zasadnego przekonania” należy stosować w odniesieniu do każdego wyłączenia z osobna (65). W przypadku spełnienia warunków wyłączenie uznaje się za niezbędne i proporcjonalne w rozumieniu prawa Zjednoczonego Królestwa.

(70)

Zgodnie z art. 124 DPA 2018 Komisarz ds. Informacji ma opracować kodeks postępowania w zakresie ochrony danych i dziennikarstwa. Trwają prace nad tym kodeksem. Na podstawie ustawy o ochronie danych z 1998 r. wydano w tej sprawie wytyczne, w których podkreślono w szczególności, że aby powołać się na opisane wyłączenie, nie wystarczy jedynie stwierdzić, że zgodność z przepisami stanowiłaby utrudnienie dla działalności dziennikarskiej, lecz należy przedstawić wyraźny argument świadczący o tym, że dany przepis stanowi przeszkodę w prowadzeniu odpowiedzialnego dziennikarstwa (66). Organ regulacyjny Zjednoczonego Królestwa ds. telekomunikacji, OFCOM, oraz BBC – w ramach swoich wytycznych redakcyjnych – również opublikowały wytyczne dotyczące stosowania kryterium interesu publicznego i równoważenia interesu publicznego z interesem osoby fizycznej w zakresie ochrony prywatności (67). W wytycznych przedstawiono przykłady informacji, które można uznać za leżące w interesie publicznym, oraz wyjaśniono konieczność wykazania, że w szczególnych okolicznościach konkretnej sprawy interes publiczny przeważa nad prawem do prywatności.

(71)

Podobnie do przepisów art. 89 RODO dane osobowe przetwarzane do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych można również wyłączyć z zakresu stosowania szeregu wymienionych przepisów RODO UK (68). W odniesieniu do badań naukowych i celów statystycznych możliwe jest zastosowanie wyłączeń od przepisów RODO UK dotyczących potwierdzenia przetwarzania, dostępu do danych i zabezpieczeń w przypadku przekazywania danych do państw trzecich; prawa do sprostowania; ograniczenia przetwarzania i sprzeciwu wobec przetwarzania. W odniesieniu do archiwizacji w interesie publicznym możliwe są również wyłączenia z zakresu stosowania obowiązku powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania oraz prawa do przenoszenia danych.

(72)

Zgodnie z pkt 27 ppkt 1 i pkt 28 ppkt 1 załącznika 2 do DPA 2018 wyłączenia z zakresu stosowania wymienionych przepisów RODO UK są możliwe, gdy zastosowanie przepisów „uniemożliwiłoby lub poważnie utrudniłoby osiągnięcie” wspomnianych celów (69).

(73)

Biorąc pod uwagę znaczenie wyżej wymienionych wyłączeń dla skutecznego wykonywania praw indywidualnych, wszelkie istotne zmiany dotyczące wykładni tych wyłączeń i ich stosowania w praktyce (oprócz wyjaśnionego w motywie 6 wyłączenia dotyczącego utrzymania skutecznej kontroli imigracji), w tym wszelkie dalsze zmiany w orzecznictwie oraz wytycznych Komisarza ds. Informacji i jego działań w zakresie egzekwowania przepisów, zostaną należycie uwzględnione w kontekście ciągłego monitorowania niniejszej decyzji (70).

(74)

Stopień ochrony zapewnianej danym osobowym przekazywanym z Unii Europejskiej administratorom lub podmiotom przetwarzającym w Zjednoczonym Królestwie nie może zostać obniżony wskutek dalszego przekazywania takich danych odbiorcom z państw trzecich. Takie „dalsze przekazywanie danych”, które z perspektywy administratora lub podmiotu przetwarzającego ze Zjednoczonego Królestwa stanowi międzynarodowe przekazywanie danych ze Zjednoczonego Królestwa, powinno być dozwolone wyłącznie wówczas, gdy kolejny odbiorca spoza Zjednoczonego Królestwa sam podlega przepisom zapewniającym stopień ochrony zbliżony do poziomu gwarantowanego w porządku prawnym Zjednoczonego Królestwa. Z tego powodu stosowanie przepisów RODO UK i DPA 2018 dotyczących międzynarodowego przekazywania danych osobowych jest ważnym czynnikiem zapewniającym ciągłość ochrony w przypadku przekazywania danych osobowych z Unii Europejskiej do Zjednoczonego Królestwa na podstawie niniejszej decyzji.

(75)

System międzynarodowego przekazywania danych osobowych ze Zjednoczonego Królestwa określono w art. 44–49 RODO UK, uzupełnionego DPA 2018; system ten jest zasadniczo identyczny z zasadami określonymi w rozdziale V rozporządzenia (UE) 2016/679 (71). Przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może odbywać się wyłącznie na podstawie rozporządzenia stwierdzającego odpowiedni stopień ochrony (obowiązujący w Zjednoczonym Królestwie odpowiednik decyzji stwierdzającej odpowiedni stopień ochrony na podstawie rozporządzenia (UE) 2016/679) lub – w przypadku braku takiego rozporządzenia – pod warunkiem zapewnienia przez administratora lub podmiot przetwarzający odpowiednich zabezpieczeń zgodnie z art. 46 RODO UK. W przypadku braku rozporządzenia stwierdzającego odpowiedni stopień ochrony lub odpowiednich zabezpieczeń przekazywanie danych może nastąpić wyłącznie na podstawie wyjątków określonych w art. 49 RODO UK.

(76)

Rozporządzenia stwierdzające odpowiedni stopień ochrony, wydawane przez Sekretarza Stanu, mogą stanowić, że państwo trzecie (lub terytorium lub sektor w państwie trzecim), organizacja międzynarodowa lub opis (72) takiego państwa, terytorium, sektora lub takiej organizacji zapewniają odpowiedni stopień ochrony danych osobowych. Dokonując oceny odpowiedniości stopnia ochrony, Sekretarz Stanu musi wziąć pod uwagę dokładnie te same elementy, które Komisja jest zobowiązana ocenić na mocy art. 45 ust. 2 lit. a)–c) rozporządzenia (UE) 2016/679 w związku z motywem 104 rozporządzenia (UE) 2016/679 oraz pozostającym w mocy orzecznictwem UE. Oznacza to, że przy ocenie odpowiedniości stopnia ochrony państwa trzeciego właściwym standardem będzie to, czy dane państwo trzecie zapewnia stopień ochrony „zasadniczo odpowiadający” stopniowi gwarantowanemu w Zjednoczonym Królestwie.

(77)

Co się tyczy procedury, rozporządzenia stwierdzające odpowiedni stopień ochrony podlegają „ogólnym” wymogom proceduralnym określonym w art. 182 DPA 2018. W ramach wspomnianej procedury Sekretarz Stanu musi przeprowadzić konsultacje z Komisarzem ds. Informacji, gdy proponuje przyjęcie rozporządzeń Zjednoczonego Królestwa stwierdzających odpowiedni stopień ochrony (73). Po przyjęciu przez Sekretarza Stanu rozporządzenia te są przedkładane parlamentowi i podlegają procedurze „odrzucenia przez obie izby parlamentu”, w ramach której obie izby parlamentu mogą poddać rozporządzenie kontroli i mają możliwość przyjęcia wniosku o jego unieważnienie w ciągu 40 dni (74).

(78)

Zgodnie z art. 17B ust. 1 DPA 2018 rozporządzenia stwierdzające odpowiedni stopień ochrony należy poddawać przeglądowi co najmniej raz na cztery lata, a Sekretarz Stanu musi na bieżąco monitorować zmiany zachodzące w państwach trzecich i organizacjach międzynarodowych, które mogłyby wpłynąć na decyzje w sprawie wprowadzenia rozporządzeń stwierdzających odpowiedni stopień ochrony lub w sprawie zmiany lub uchylenia takich przepisów. Jeżeli Sekretarz Stanu uzyska wiedzę, że określone państwo lub organizacja nie zapewnia już odpowiedniego stopnia ochrony danych osobowych, musi zmienić lub uchylić – w niezbędnym zakresie – rozporządzenie i rozpocząć konsultacje z danym państwem trzecim lub organizacją międzynarodową w celu rozwiązania kwestii braku odpowiedniego stopnia ochrony. Te aspekty proceduralne odzwierciedlają również odpowiednie wymogi określone w rozporządzeniu (UE) 2016/679.

(79)

W przypadku braku rozporządzeń stwierdzających odpowiedni stopień ochrony międzynarodowe przekazywanie danych może mieć miejsce, jeżeli administrator lub podmiot przetwarzający zapewnili odpowiednie zabezpieczenia zgodnie z art. 46 RODO UK. Zabezpieczenia te są podobne do tych, określonych w art. 46 rozporządzenia (UE) 2016/679. Obejmują one prawnie wiążące i możliwe do wyegzekwowania instrumenty między organami lub podmiotami publicznymi, wiążące reguły korporacyjne (75), standardowe klauzule o ochronie danych, zatwierdzone kodeksy postępowania, zatwierdzone mechanizmy certyfikacji oraz – za zgodą Komisarza ds. Informacji – klauzule umowne między administratorami (lub podmiotami przetwarzającymi) lub porozumienia administracyjne między organami publicznymi. Z proceduralnego punktu widzenia zmieniono jednak reguły, aby funkcjonowały w ramach Zjednoczonego Królestwa, w szczególności Sekretarz Stanu (art. 17C) lub Komisarz ds. Informacji (art. 119A) mogą przyjąć standardowe klauzule o ochronie danych zgodnie z DPA 2018.

(80)

W przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony lub odpowiednich zabezpieczeń, przekazywanie danych może nastąpić wyłącznie na podstawie wyjątków określonych w art. 49 RODO UK (76). W RODO UK nie wprowadzono żadnych istotnych zmian w zakresie wyjątków w porównaniu z odpowiednimi przepisami rozporządzenia (UE) 2016/679. Zgodnie z RODO UK, podobnie jak w przypadku rozporządzenia (UE) 2016/679, na określone wyjątki można się powoływać wyłącznie w przypadku gdy przekazywanie danych ma charakter sporadyczny (77). Ponadto Komisarz ds. Informacji w swoich wytycznych dotyczących międzynarodowego przekazywania danych wyjaśnia, że: „Należy je stosować wyłącznie jako faktyczne »wyjątki« od ogólnej zasady, zgodnie z którą nie należy przekazywać danych w sposób ograniczony, chyba że jest to przedmiotem decyzji stwierdzającej odpowiedni stopień ochrony lub istnieją odpowiednie zabezpieczenia” (78). W odniesieniu do przekazania, które jest niezbędne ze względu na ważne względy interesu publicznego (art. 49 ust. 1 lit. d)), Sekretarz Stanu może przyjąć przepisy w celu określenia okoliczności, w których przekazywanie danych osobowych państwu trzeciemu lub organizacji międzynarodowej nie jest niezbędne ze względu na ważne względy interesu publicznego. Ponadto na mocy rozporządzenia Sekretarz Stanu może ograniczyć przekazywanie danej kategorii danych osobowych do państwa trzeciego lub organizacji międzynarodowej, jeżeli przekazanie nie może nastąpić na podstawie rozporządzeń stwierdzających odpowiedni stopień ochrony, a Sekretarz Stanu uważa, że ograniczenie jest niezbędne ze względu na ważne względy interesu publicznego. Dotychczas nie przyjęto takich przepisów.

(81)

Wspomniane ramy dotyczące międzynarodowego przekazywania danych zaczęły obowiązywać na koniec okresu przejściowego (79). Pkt 4 załącznika 21 do DPA 2018 (wprowadzony na mocy rozporządzenia w sprawie ochrony danych, prywatności i łączności elektronicznej) stanowi jednak, że do zakończenia okresu przejściowego określone przekazania danych osobowych są traktowane tak, jakby opierały się na rozporządzeniach stwierdzających odpowiedni stopień ochrony. Przekazania te obejmują przekazania danych do państwa EOG, na terytorium Gibraltaru, do instytucji, organu i jednostki organizacyjnej UE ustanowionych na mocy lub na podstawie Traktatu o Unii Europejskiej oraz do państw trzecich będących przedmiotem decyzji UE stwierdzającej odpowiedni stopień ochrony na koniec okresu przejściowego. W związku z tym przekazywanie danych do tych państw może nadal się odbywać na takich samych zasadach jak przed wystąpieniem Zjednoczonego Królestwa z Unii Europejskiej. Po zakończeniu okresu przejściowego Sekretarz Stanu ma obowiązek przeprowadzić przegląd tych ustaleń dotyczących odpowiedniego stopnia ochrony w terminie czterech lat, tj. do końca grudnia 2024 r. Zgodnie z wyjaśnieniem przedstawionym przez władze Zjednoczonego Królestwa, mimo że Sekretarz Stanu ma obowiązek przeprowadzić taki przegląd do końca grudnia 2024 r., przepisy przejściowe nie obejmują przepisu dotyczącego „wygaśnięcia” i odpowiednie przepisy przejściowe nie przestaną automatycznie obowiązywać, jeżeli przegląd nie zostanie zakończony do końca grudnia 2024 r.

(82)

Jeśli chodzi wreszcie o przyszłą ewolucję międzynarodowego systemu Zjednoczonego Królestwa w zakresie przekazywania danych – czy to poprzez przyjęcie nowych rozporządzeń stwierdzających odpowiedni stopień ochrony, zawieranie umów międzynarodowych lub wypracowanie innych mechanizmów przekazywania – Komisja będzie ściśle monitorować sytuację, oceniać, czy poszczególne mechanizmy transferu są wykorzystywane w sposób zapewniający ciągłość ochrony, oraz, w razie konieczności, podejmować odpowiednie środki w celu zaradzenia ewentualnym negatywnym skutkom dla takiej ciągłości (zob. motywy 278–287). Ponieważ UE i Zjednoczone Królestwo mają podobne zasady dotyczące międzynarodowego przekazywania danych, można się spodziewać, że problematycznym rozbieżnościom będzie można również zapobiec dzięki współpracy oraz wymianie informacji i doświadczeń, m.in. między Komisarzem ds. Informacji a EROD.

(83)

Zgodnie z zasadą rozliczalności podmioty przetwarzające dane są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby skutecznie przestrzegać swoich obowiązków w zakresie ochrony danych oraz być w stanie wykazać taką zgodność, zwłaszcza wobec właściwego organu nadzorczego.

(84)

Zasadę rozliczalności przewidzianą w rozporządzeniu (UE) 2016/679 zachowano bez istotnych zmian w art. 5 ust. 2 RODO UK i to samo odnosi się do art. 24 dotyczącego obowiązków administratora, art. 25 dotyczącego uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych, a także art. 30 dotyczącego rejestrowania czynności przetwarzania. Zachowano również art. 35 i 36 dotyczące oceny skutków dla ochrony danych i uprzednich konsultacji z organem nadzorczym. W RODO UK zachowano bez istotnych zmian przepisy art. 37–39 rozporządzenia (UE) 2016/679 dotyczące wyznaczenia inspektora ochrony danych i jego zadań. Ponadto w RODO UK zachowano przepisy art. 40 i 42 rozporządzenia (UE) 2016/679 dotyczące kodeksu postępowania i certyfikacji (80).

(85)

Aby zagwarantować w praktyce odpowiedni stopień ochrony danych, należy ustanowić niezależny organ nadzorczy, uprawniony do monitorowania i egzekwowania zgodności z przepisami o ochronie danych. W ramach wykonywanych obowiązków i realizowanych uprawnień organ ten powinien być całkowicie niezależny i bezstronny.

(86)

W Zjednoczonym Królestwie za nadzór i egzekwowanie zgodności z przepisami RODO UK i DPA 2018 odpowiada Komisarz ds. Informacji. Komisarz ds. Informacji jest „pojedynczą osobą prawną”: odrębnym podmiotem prawnym składającym się z jednej osoby. Komisarza ds. Informacji wspiera w pracy biuro. W dniu 31 marca 2020 r. Biuro Komisarza ds. Informacji zatrudniało 768 stałych pracowników (81). Departamentem finansującym Komisarza ds. Informacji jest Departament Cyfryzacji, Kultury, Mediów i Sportu (82).

(87)

Kwestię niezależności Komisarza ds. Informacji wyraźnie uregulowano w art. 52 RODO UK, w którym nie wprowadzono żadnych istotnych zmian względem art. 52 ust. 1–3 RODO. Komisarz musi działać z zachowaniem pełnej niezależności, wykonując swoje zadania i uprawnienia zgodnie z RODO UK, pozostawać wolny od bezpośrednich lub pośrednich wpływów zewnętrznych w odniesieniu do tych zadań i uprawnień oraz nie może zwracać się do nikogo o instrukcje ani ich od nikogo przyjmować. Komisarz musi również powstrzymać się od wszelkich czynności sprzecznych ze swoimi obowiązkami i w okresie sprawowania urzędu nie może podejmować żadnego zajęcia zarobkowego ani niezarobkowego sprzecznego z tymi obowiązkami.

(88)

Warunki powoływania i odwoływania Komisarza ds. Informacji określono w załączniku 12 do DPA 2018. Komisarz ds. Informacji jest powoływany przez Jej Królewską Mość na wniosek rządu w wyniku uczciwego i otwartego konkursu. Kandydat musi posiadać odpowiednie kwalifikacje, umiejętności i kompetencje. Zgodnie z kodeksem zarządzania w zakresie nominacji publicznych (83) zespół doradczy ds. oceny sporządza wykaz ewentualnych kandydatów. Zanim Sekretarz Stanu w Departamencie Cyfryzacji, Kultury, Mediów i Sportu podejmie ostateczną decyzję, właściwa komisja specjalna parlamentu musi przeprowadzić kontrolę poprzedzającą nominację. Stanowisko komisji podaje się do wiadomości publicznej (84).

(89)

Kadencja Komisarza ds. Informacji trwa maksymalnie siedem lat. Ta sama osoba nie może zostać powołana na stanowisko Komisarza ds. Informacji więcej niż jeden raz. Jej Królewska Mość może odwołać Komisarza ds. Informacji ze stanowiska na podstawie oświadczenia obu izb parlamentu (85). Wniosek o odwołanie Komisarza ds. Informacji może zostać przedstawiony jednej z izb parlamentu jedynie w wypadku, gdy minister przedstawi sprawozdanie, w którym wyrazi przekonanie, że Komisarz ds. Informacji jest winny poważnego uchybienia lub nie spełnia już warunków wymaganych do sprawowania funkcji Komisarza (86).

(90)

Środki na finansowanie działalności Komisarza ds. Informacji pochodzą z trzech źródeł: (i) opłat za ochronę danych wnoszonych przez administratorów, które są ustalane na podstawie rozporządzeń wydanych przez Sekretarza Stanu (87) (rozporządzenie dotyczące opłat i informacji związanych z ochroną danych z 2018 r.) i wynoszą 85–90 % rocznego budżetu Biura (88); (ii) subwencji wypłacanych przez rząd na rzecz Komisarza ds. Informacji, wykorzystywanych głównie do finansowania kosztów operacyjnych Komisarza ds. Informacji w odniesieniu do zadań niezwiązanych z ochroną danych (89); oraz (iii) opłat pobieranych z tytułu świadczenia usług (90). Obecnie nie pobiera się takich opłat.

(91)

Ogólne funkcje Komisarza ds. Informacji dotyczące przetwarzania danych osobowych, do których ma zastosowanie ogólne rozporządzenie o ochronie danych Zjednoczonego Królestwa, określono w art. 57 RODO UK, wiernie odzwierciedlając odpowiednie przepisy rozporządzenia (UE) 2016/679. Jego funkcje obejmują monitorowanie i egzekwowanie przepisów RODO UK, promowanie świadomości społecznej, rozpatrywanie skarg wnoszonych przez osoby, których dane dotyczą, prowadzenie postępowań itp. Ponadto w art. 115 DPA 2018 określono inne ogólne funkcje Komisarza, które obejmują obowiązek doradzania parlamentowi, rządowi i innym instytucjom i organom w sprawie środków prawnych i administracyjnych związanych z ochroną praw i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych, oraz uprawnienia do wydawania, z inicjatywy Komisarza lub na wniosek, opinii przeznaczonych dla parlamentu, rządu lub innych instytucji i organów, a także ogółu społeczeństwa we wszelkich sprawach związanych z ochroną danych osobowych. Aby utrzymać niezależność sądów, Komisarz ds. Informacji nie jest uprawniony do wykonywania swoich funkcji w odniesieniu do przetwarzania danych osobowych przez osobę fizyczną sprawującą wymiar sprawiedliwości bądź sąd lub trybunał sprawujący wymiar sprawiedliwości. Nadzór nad sądownictwem zapewniają wyspecjalizowane organy (zob. motywy 99–103).

(92)

Uprawnienia Komisarza ds. Informacji określono w art. 58 RODO UK, w którym nie wprowadzono żadnych istotnych zmian w porównaniu z odpowiednim artykułem rozporządzenia (UE) 2016/679. DPA 2018 zawiera przepisy uzupełniające dotyczące sposobu wykonywania tych uprawnień. W szczególności Komisarz posiada uprawnienia w zakresie: a) nakazania administratorowi i podmiotowi przetwarzającemu (a w określonych okolicznościach każdej innej osobie) dostarczenia niezbędnych informacji poprzez publikację zawiadomienia informacyjnego („zawiadomienie informacyjne”) (91); b) prowadzenia postępowań i audytów poprzez wydanie zawiadomienia oceniającego, na mocy którego administrator lub podmiot przetwarzający może być zobowiązany do zezwolenia Komisarzowi na wejście do określonych pomieszczeń, przeprowadzenie inspekcji lub analizy dokumentów lub sprzętu, przesłuchanie osób przetwarzających dane osobowe w imieniu administratora itp. („zawiadomienie oceniające”) (92); c) uzyskania w inny sposób dostępu do dokumentów itp. administratorów i podmiotów przetwarzających oraz dostępu do ich pomieszczeń zgodnie z art. 154 DPA 2018 („uprawnienia do wstępu i inspekcji”); d) wykonywania uprawnień naprawczych, w tym za pomocą ostrzeżeń i upomnień lub wydawania nakazów w postaci zawiadomienia egzekucyjnego, w ramach którego zobowiązuje się administratorów/podmioty przetwarzające do podjęcia lub powstrzymania się od podjęcia konkretnych kroków, w tym nakazuje się administratorowi lub podmiotowi przetwarzającemu podjęcie działań określonych w art. 58 ust. 2 lit. c)–g) i j) RODO UK („zawiadomienie egzekucyjne”) (93); e) oraz nakładania administracyjnych kar pieniężnych w drodze zawiadomienia w sprawie sankcji („zawiadomienie w sprawie sankcji”) (94). Kary takie mogą zostać nałożone również w przypadku nieprzestrzegania przez organ publiczny przepisów RODO UK (95).

(93)

W ramach polityki działań regulacyjnych Komisarza ds. Informacji określono okoliczności, w których Komisarz ds. Informacji może wydać zawiadomienie informacyjne, oceniające, egzekucyjne lub w sprawie sankcji (96). W ramach zawiadomienia egzekucyjnego wydanego w odpowiedzi na uchybienie administratora lub podmiotu przetwarzającego możliwe jest nakładanie wyłącznie wymogów, które Komisarz uzna za właściwe w celu zaradzenia uchybieniu. Zawiadomienia egzekucyjne i w sprawie sankcji można wydać w odniesieniu do administratora lub podmiotu przetwarzającego w związku z naruszeniem przepisów rozdziału II RODO UK (zasady przetwarzania), art. 12–22 (prawa osoby, której dane dotyczą), art. 25–39 (obowiązki administratorów i podmiotów przetwarzających) oraz art. 44–49 (międzynarodowe przekazywanie danych) RODO UK. Zawiadomienie egzekucyjne można również wydać w przypadku gdy administrator nie spełnił wymogu uiszczenia opłaty określonej w przepisach zawartych w art. 137 DPA 2018. Ponadto podmiot monitorujący, o którym mowa w art. 41, lub podmiot świadczący usługi certyfikacyjne mogą otrzymać zawiadomienie egzekucyjne, jeżeli nie wypełnili swoich zobowiązań wynikających z RODO UK. Zawiadomienie w sprawie sankcji można również wydać w odniesieniu do osoby, która nie zastosowała się do zawiadomienia informacyjnego, oceniającego ani egzekucyjnego.

(94)

W ramach zawiadomienia w sprawie sankcji zobowiązuje się daną osobę do wpłacenia na rzecz Komisarza ds. Informacji kwoty określonej w zawiadomieniu. Podejmując decyzję o wydaniu zawiadomienia w sprawie sankcji danej osobie i określając kwotę sankcji, Komisarz ds. Informacji musi uwzględnić kwestie wymienione w art. 83 ust. 1 i 2 RODO UK, które są identyczne z odpowiednimi przepisami rozporządzenia (UE) 2016/679 (97). Zgodnie z art. 83 ust. 4 i 5 maksymalne kwoty administracyjnych kar pieniężnych w przypadku niewypełnienia zobowiązań, o których mowa we wspomnianych przepisach, wynoszą odpowiednio 8 700 000 GBP lub 17 500 000 GBP. W przypadku przedsiębiorstwa Komisarz ds. Informacji może również nałożyć grzywnę stanowiącą odsetek rocznego światowego obrotu, przy czym zastosowanie ma kwota wyższa. Podobnie jak w równoważnych przepisach rozporządzenia (UE) 2016/679, kwoty te ustalono w art. 83 ust. 4 i 5 odpowiednio na poziomie 2 % i 4 %. W przypadku niezastosowania się do zawiadomienia informacyjnego, oceniającego lub egzekucyjnego maksymalna kwota sankcji, jaką można nałożyć w ramach zawiadomienia w sprawie sankcji, jest równa wyższej z następujących kwot: 17 500 000 GBP lub – w przypadku przedsiębiorstwa – 4 % rocznego światowego obrotu.

(95)

RODO UK wraz z DPA 2018 przyczyniły się również do wzmocnienia innych uprawnień Komisarza ds. Informacji. Przykładowo Komisarz może obecnie przeprowadzać obowiązkowe kontrole w odniesieniu do wszystkich administratorów i podmiotów przetwarzających w drodze zawiadomień oceniających, podczas gdy na mocy poprzednich przepisów – ustawy o ochronie danych z 1998 r. – Komisarz miał takie uprawnienia wyłącznie w odniesieniu do instytucji rządowych na szczeblu centralnym i organizacji zajmujących się ochroną zdrowia, zaś pozostałe podmioty musiały wyrazić zgodę na kontrolę.

(96)

Od czasu wprowadzenia rozporządzenia (UE) 2016/679 Komisarz ds. Informacji rozpatruje rocznie około 40 000 skarg od osób, których dane dotyczą (98), a ponadto prowadzi około 2 000 postępowań z urzędu (99). Większość skarg dotyczy praw dostępu do danych i praw do ich ujawniania. W następstwie prowadzonych postępowań Komisarz podejmuje środki egzekucyjne w wielu sektorach. Mówiąc ściślej, według ostatniego sprawozdania rocznego Komisarza ds. Informacji (2019–2020) (100), w okresie sprawozdawczym Komisarz wydał 54 zawiadomienia informacyjne, 8 zawiadomień oceniających, 7 zawiadomień egzekucyjnych, 4 ostrzeżenia, doprowadził do 8 oskarżeń i nałożył 15 kar (101).

(97)

Obejmują one szereg znaczących kar pieniężnych nałożonych na podstawie rozporządzenia (UE) 2016/679 i DPA 2018. W szczególności w październiku 2020 r. Komisarz ds. Informacji nałożył na brytyjskie przedsiębiorstwo lotnicze karę w wysokości 20 mln GBP za naruszenie ochrony danych dotyczące ponad 400 000 klientów. Pod koniec października 2020 r. na międzynarodową sieć hoteli nałożono grzywnę w wysokości 18,4 mln GBP za niedopełnienie obowiązku zapewnienia bezpieczeństwa danych osobowych milionów klientów, a w listopadzie 2020 r. na brytyjskiego usługodawcę sprzedającego w internecie bilety wstępu na imprezy nałożono grzywnę w wysokości 1,25 mln GBP za niedopełnienie obowiązku ochrony danych klientów dotyczących płatności (102).

(98)

Oprócz opisanych w motywie 92 uprawnień Komisarza ds. Informacji do egzekwowania przestrzegania przepisów, niektóre naruszenia ustawodawstwa w dziedzinie ochrony danych stanowią przestępstwo i mogą tym samym podlegać sankcjom karnym (art. 196 DPA 2018). Dotyczy to na przykład świadomego lub nieopatrznego uzyskania lub ujawnienia danych osobowych bez zgody administratora, doprowadzenia do ujawnienia danych osobowych innej osobie bez zgody administratora (103), deanonimizacji informacji będących zanonimizowanymi danymi osobowymi bez zgody administratora odpowiedzialnego za anonimizację danych osobowych (104), umyślnego utrudniania Komisarzowi wykonywania jego uprawnień w zakresie kontroli danych osobowych zgodnie z zobowiązaniami międzynarodowymi (105), składania fałszywych oświadczeń w odpowiedzi na zawiadomienie informacyjne lub niszczenia informacji w związku z zawiadomieniem informacyjnym i oceniającym (106).

(99)

Nadzór nad przetwarzaniem danych osobowych przez sądy i wymiar sprawiedliwości ma dwojaki charakter. W przypadku gdy osoby zajmujące stanowisko sędziowskie lub sąd nie sprawują wymiaru sprawiedliwości, nadzór sprawuje Komisarz ds. Informacji. W przypadku gdy administrator sprawuje wymiar sprawiedliwości, Komisarz ds. Informacji nie może wykonywać swoich funkcji nadzorczych (107), a nadzór sprawują organy specjalne. Odzwierciedla to podejście przyjęte w rozporządzeniu (UE) 2016/679 (art. 55 ust. 3).

(100)

W szczególności w drugim scenariuszu w przypadku sądów Anglii i Walii i trybunału pierwszej instancji i wyższych trybunałów Anglii i Walii, taki nadzór sprawuje panel sądowy ds. ochrony danych (Judicial Data Protection Panel) (108). Ponadto Lord Chief Justice (zwierzchnik sądownictwa Anglii i Walii) i Senior President of Tribunals (zwierzchnik trybunałów pozasądowych) wydali oświadczenie o ochronie prywatności (109), w którym określili sposób, w jaki sądy w Anglii i Walii przetwarzają dane osobowe w związku z pełnieniem funkcji sądowych. Podobne oświadczenie wydano w systemach sądownictwa Irlandii Północnej (110) i Szkocji (111).

(101)

Ponadto w Irlandii Północnej Lord Chief Justice Irlandii Północnej mianował sędziego Wysokiego Trybunału na stanowisko sędziego sprawującego nadzór nad ochroną danych osobowych (112). Wydano również wytyczne dla kadr wymiaru sprawiedliwości Irlandii Północnej dotyczące postępowania w przypadku utraty lub ewentualnej utraty danych oraz procedury rozwiązywania wszelkich kwestii z tym związanych (113).

(102)

W Szkocji Lord President (zwierzchnik sądownictwa) wyznaczył sędziego sprawującego nadzór nad ochroną danych osobowych, który rozpatruje wszelkie skargi dotyczące ochrony danych. Odbywa się to na zasadach rozpatrywania skarg sądowych, które odzwierciedlają zasady określone dla Anglii i Walii (114).

(103)

Natomiast jeżeli chodzi o Sąd Najwyższy, wyznaczono jednego z sędziów tego sądu do sprawowania nadzoru nad ochroną danych.

(104)

W celu zapewnienia odpowiedniej ochrony, a zwłaszcza egzekwowania praw indywidualnych, osoba, której dane dotyczą, powinna mieć możliwość korzystania ze skutecznych administracyjnych i sądowych środków zaskarżenia, w tym dochodzenia odszkodowania.

(105)

Po pierwsze, osoba, której dane dotyczą, ma prawo do wniesienia skargi do Komisarza ds. Informacji, jeżeli uważa, że doszło do naruszenia RODO UK w odniesieniu do danych osobowych, które jej dotyczą (115). W RODO UK zachowano bez istotnych zmian przepisy dotyczącego tego prawa, określone w art. 77 rozporządzenia (UE) 2016/679. To samo dotyczy art. 57 ust. 1 lit. f) i art. 57 ust. 2, w których określono zadania Komisarza w odniesieniu do rozpatrywania skarg. Jak opisano w motywach 92–98 powyżej, Komisarz ds. Informacji jest uprawniony do oceny przestrzegania RODO UK i DPA 2018 przez administratora i podmiot przetwarzający, wezwania ich do podjęcia lub zaniechania koniecznych kroków w przypadku nieprzestrzegania przepisów i nałożenia grzywien.

(106)

Po drugie, RODO UK i DPA 2018 zapewniają prawo do środka ochrony prawnej przeciwko Komisarzowi ds. Informacji. Zgodnie z art. 78 ust. 1 RODO UK osoba fizyczna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji Komisarza jej dotyczącej. W ramach kontroli sądowej sędzia bada decyzję zaskarżoną w pozwie i sprawdza, czy Komisarz ds. Informacji działał zgodnie z prawem. Ponadto, zgodnie z art. 78 ust. 2 RODO UK, jeżeli Komisarz nie rozpatrzy odpowiednio skargi złożonej przez osobę, której dane dotyczą, (116) skarżący może skorzystać z środka ochrony prawnej przed sądem. Może on wystąpić do trybunału pierwszej instancji o nakazanie Komisarzowi podjęcia odpowiednich kroków w celu udzielenia odpowiedzi na skargę lub poinformowania skarżącego o postępach w rozpatrywaniu skargi (117). Ponadto każda osoba, której Komisarz doręczył jedno z wyżej wymienionych zawiadomień (zawiadomienie informacyjne, oceniające, egzekucyjne lub w sprawie sankcji), może odwołać się do trybunału pierwszej instancji (118). Jeżeli Trybunał uzna, że decyzja Komisarza ds. Informacji nie jest zgodna z prawem lub że Komisarz powinien był skorzystać z przysługującej mu swobody uznania w inny sposób, Trybunał uwzględnia odwołanie lub zastępuje zawiadomienie lub decyzję innym zawiadomieniem lub decyzją, które Komisarz mógł wydać.

(107)

Po trzecie, osoby fizyczne mogą wnieść środki zaskarżenia przeciwko administratorom i podmiotom przetwarzającym bezpośrednio do sądu na podstawie art. 79 RODO UK i art. 167 DPA 2018. Jeżeli po otrzymaniu wniosku osoby, której dane dotyczą, sąd stwierdzi, że doszło do naruszenia jej praw wynikających z ustawodawstwa w dziedzinie ochrony danych, sąd może nakazać administratorowi w odniesieniu do tego przetwarzania lub podmiotowi przetwarzającemu działającemu w imieniu tego administratora podjęcie kroków określonych w nakazie lub zaniechanie podejmowania kroków określonych w nakazie.

(108)

Ponadto, zgodnie z art. 82 RODO UK i art. 168 DPA 2018 każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO UK, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Przepisy dotyczące odszkodowania i odpowiedzialności zawarte w art. 82 ust. 1–5 RODO UK są identyczne z odpowiadającymi im przepisami rozporządzenia (UE) 2016/679. Zgodnie z art. 168 DPA 2018 szkody niemajątkowe obejmują również cierpienie. Zgodnie z art. 80 RODO UK osoba, której dane dotyczą, ma również prawo do upoważnienia reprezentatywnego organu lub reprezentatywnej organizacji do złożenia do Komisarza skargi w jej imieniu (na podstawie art. 77 RODO UK) oraz do wykonywania w jej imieniu praw, o których mowa w art. 78 (prawo do skutecznego środka ochrony prawnej przed sądem przeciwko Komisarzowi), art. 79 (prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu) oraz art. 82 (prawo do odszkodowania i pociągnięcia do odpowiedzialności) RODO UK.

(109)

Po czwarte, oprócz opisanych powyżej możliwości wniesienia środków zaskarżenia każda osoba, która uważa, że jej prawa, w tym prawa do prywatności i ochrony danych, zostały naruszone przez organy publiczne, może dochodzić roszczeń przed sądami Zjednoczonego Królestwa na podstawie ustawy o prawach człowieka z 1998 r. (119) Osoba fizyczna, która twierdzi, że organ publiczny działał (lub zamierza działać) w sposób niezgodny z prawem określonym w konwencji, a w rezultacie niezgodny z prawem w rozumieniu art. 6 ust. 1 ustawy o prawach człowieka z 1998 r., może wytoczyć powództwo przeciwko temu organowi przed właściwy sąd lub trybunał lub powołać się na dane prawa w dowolnym postępowaniu sądowym, jeśli jest (lub byłaby) ofiarą działania niezgodnego z prawem.

(110)

Jeśli sąd stwierdzi, że jakiekolwiek działanie organu publicznego jest niezgodne z prawem, może – w ramach swojej właściwości – zastosować taki środek zabezpieczający lub środek ochrony prawnej lub wydać taki nakaz, jaki uzna za sprawiedliwy i właściwy (120). Sąd może również orzec, że przepis ustawodawczy jest niezgodny z prawem określonym w konwencji.

(111)

Ponadto po wyczerpaniu krajowych środków ochrony prawnej osobie fizycznej przysługuje środek zaskarżenia przed Europejskim Trybunałem Praw Człowieka z tytułu naruszeń praw gwarantowanych na mocy Konwencji o ochronie praw człowieka i podstawowych wolności.

(112)

Komisja oceniła również ramy prawne Zjednoczonego Królestwa dotyczące gromadzenia danych osobowych przekazywanych podmiotom gospodarczym w Zjednoczonym Królestwie i późniejszego ich wykorzystywania przez organy publiczne Zjednoczonego Królestwa w interesie publicznym, w szczególności do celów ścigania przestępstw i do celów dotyczących bezpieczeństwa narodowego (zwanego dalej „dostępem rządowym”). Oceniając, czy warunki dostępu rządowego do danych przekazywanych do Zjednoczonego Królestwa na podstawie niniejszej decyzji spełniałyby kryterium „zasadniczej odpowiedniości” zgodnie z art. 45 ust. 1 rozporządzenia (UE) 2016/679, zgodnie z wykładnią dokonaną przez Trybunał Sprawiedliwości Unii Europejskiej w świetle Karty praw podstawowych, Komisja wzięła pod uwagę w szczególności następujące kryteria.

(113)

Po pierwsze, każde ograniczenie prawa do ochrony danych osobowych musi być przewidziane ustawą, a podstawa prawna, która pozwala na ingerencję w te prawa, musi sama określać zakres ograniczenia wykonywania danego prawa (121).

(114)

Po drugie, aby spełnić wymóg proporcjonalności, zgodnie z którym wyjątki od ochrony danych osobowych i ograniczenia tej ochrony mogą być stosowane tylko w takim zakresie, w jakim jest to absolutnie niezbędne w demokratycznym społeczeństwie do osiągnięcia szczególnych celów leżących w interesie ogólnym równoważnych z celami uznanymi przez Unię, ustawodawstwo danego państwa trzeciego, które zezwala na ingerencję, musi określać jasne i precyzyjne reguły dotyczące zakresu i stosowania danych środków oraz ustanawiać minimalne wymagania służące temu, aby osoby, których dane osobowe zostały przekazane, były zaopatrzone w wystarczające zabezpieczenia umożliwiające rzeczywistą ochronę ich danych przed ryzykiem nadużyć (122). Ustawodawstwo powinno w szczególności wskazywać, w jakich okolicznościach i pod jakimi warunkami może zostać przyjęty środek przewidujący przetwarzanie takich danych (123), a także obejmować spełnienie takich wymogów niezależnym nadzorem (124).

(115)

Po trzecie, ustawodawstwo to musi być prawnie wiążące na mocy prawa krajowego, a wspomniane wymogi prawne muszą być nie tylko wiążące dla władz, ale także egzekwowalne wobec władz danego państwa trzeciego przed sądami (125). W szczególności osobom, których dane dotyczą, powinna przysługiwać możliwość skorzystania przed niezawisłym i bezstronnym sądem ze środków prawnych w celu uzyskania dostępu do dotyczących ich danych osobowych lub spowodowania korekty lub usunięcia takich danych (126).

(116)

Dostęp rządowy w Zjednoczonym Królestwie, w ramach wykonywania uprawnień przez organ publiczny, musi się odbywać z pełnym poszanowaniem prawa. Zjednoczone Królestwo ratyfikowało Konwencję o ochronie praw człowieka i podstawowych wolności (zob. motyw 9) i wszystkie organy publiczne w Zjednoczonym Królestwie są zobowiązane do działania zgodnie z jej postanowieniami (127). Art. 8 konwencji stanowi, że jakakolwiek ingerencja w prywatność musi być zgodna z prawem, musi służyć osiągnięciu jednego z celów określonych w art. 8 ust. 2 oraz musi być proporcjonalna w odniesieniu do tego celu. Art. 8 wymaga również, aby ingerencja była „przewidywalna”, tj. miała jasną, dostępną podstawę prawną, oraz aby prawo obejmowało odpowiednie zabezpieczenia zapobiegające nadużyciom.

(117)

Ponadto Europejski Trybunał Praw Człowieka określił w swoim orzecznictwie, że wszelkie ingerencje w prawo do prywatności i ochrony danych powinny podlegać skutecznemu, niezależnemu i bezstronnemu systemowi nadzoru, który musi być zapewniony albo przez sędziego, albo przez inny niezależny organ (128) (np. organ administracji lub organ parlamentarny).

(118)

Ponadto osobom fizycznym musi przysługiwać skuteczny środek ochrony prawnej, a Europejski Trybunał Praw Człowieka wyjaśnił, że środek ten musi zapewniać niezależny i bezstronny organ, który przyjął własny regulamin, w którego skład muszą wchodzić członkowie zajmujący (obecnie lub w przeszłości) wysokie stanowiska sędziowskie lub będący doświadczonymi prawnikami, a złożenie skargi do tego organu nie może wiązać się z ciężarem dowodu po stronie skarżącego. Przy rozpatrywaniu skarg od osób fizycznych niezależny i bezstronny organ powinien mieć dostęp do wszystkich istotnych informacji, w tym do materiałów niejawnych. Organ ten powinien wreszcie posiadać uprawnienia do usuwania niezgodności (129).

(119)

W 2018 r. Zjednoczone Królestwo ratyfikowało również Konwencję Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (konwencja nr 108) i podpisało protokół zmieniający Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (znany jako konwencja nr 108+) (130). Art. 9 konwencji nr 108 stanowi, że odstępstwa od ogólnych zasad ochrony danych (art. 5 – Jakość danych), zasad regulujących szczególne kategorie danych (art. 6 – Szczególne kategorie danych) i praw osób, których dane dotyczą, (art. 8 – Dodatkowe prawa osób, których dane dotyczą) są dopuszczalne tylko wtedy, gdy takie odstępstwo jest przewidziane przez prawo strony konwencji i jest środkiem niezbędnym w demokratycznym społeczeństwie w celu ochrony bezpieczeństwa państwa, bezpieczeństwa publicznego, interesów finansowych państwa lub zwalczania przestępstw lub w celu ochrony osoby, której dane dotyczą, lub praw i wolności innych osób (131).

(120)

W związku z tym dzięki członkostwu w Radzie Europy, przystąpieniu do Konwencji o ochronie praw człowieka i podstawowych wolności i poddaniu się jurysdykcji Europejskiego Trybunału Praw Człowieka Zjednoczone Królestwo podlega szeregowi zobowiązań zapisanych w prawie międzynarodowym, które kształtują jego system dostępu rządowego w oparciu o zasady, zabezpieczenia i prawa indywidualne podobne do tych gwarantowanych w prawie Unii i mających zastosowanie do państw członkowskich. Jak podkreślono w motywie 19, nieprzerwane przestrzeganie takich instrumentów stanowi zatem szczególnie istotny element oceny, na której opiera się niniejsza decyzja.

(121)

Ponadto szczególne zabezpieczenia służące ochronie danych i prawa do ochrony danych zagwarantowano w DPA 2018 w odniesieniu do sytuacji, gdy dane są przetwarzane przez organy publiczne, w tym przez organy ścigania i bezpieczeństwa narodowego.

(122)

W szczególności system przetwarzania danych osobowych w kontekście ścigania przestępstw określono w części 3 DPA 2018, którą uchwalono w celu transpozycji dyrektywy (UE) 2016/680. Część 3 DPA 2018 ma zastosowanie do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom (132).

(123)

Pojęcie „właściwego organu” zdefiniowano w art. 30 DPA 2018 jako osobę wymienioną w załączniku 7 do DPA 2018, a także jako wszelką inną osobę w zakresie, w jakim pełni ona funkcje ustawowe do jakichkolwiek celów ścigania przestępstw (133). Jak wyjaśniono poniżej (zob. motyw 139), niektóre właściwe organy (np. Krajowa Agencja ds. Zwalczania Przestępczości) mogą pod pewnymi warunkami korzystać z uprawnień przewidzianych w ustawie o uprawnieniach dochodzeniowo-śledczych z 2016 r. (IPA 2016). W takim przypadku zabezpieczenia przewidziane w IPA 2016 będą miały zastosowanie w uzupełnieniu zabezpieczeń przewidzianych w części 3 DPA 2018. Służby wywiadowcze (Tajna Służba Wywiadowcza, Służba Bezpieczeństwa i Centrala Łączności Rządowej) nie są „właściwymi organami” (134) w rozumieniu części 3 DPA 2018 i w związku z tym przepisy tej części nie mają zastosowania do żadnych ich działań. Odrębna część organu ochrony danych z 2018 r. (część 4) poświęcona jest przetwarzaniu danych osobowych przez służby wywiadowcze (więcej szczegółów w motywie 125).

(124)

Podobnie jak w przypadku dyrektywy (UE) 2016/680 w części 3 DPA 2018 określono zasady dotyczące zgodności z prawem i rzetelności (135), ograniczenia celu (136), minimalizacji danych (137), prawidłowości (138), ograniczenia przechowywania (139) i bezpieczeństwa (140). W ustawodawstwie określono szczególne obowiązki w zakresie przejrzystości (141) i zapewniono osobom fizycznym prawo dostępu do danych (142), prawo do sprostowania i usunięcia danych (143) oraz prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji (144). Właściwe organy są również zobowiązane do uwzględniania ochrony danych w fazie projektowania oraz stosowania domyślnej ochrony danych, do rejestrowania czynności przetwarzania oraz, w przypadku niektórych operacji przetwarzania, do przeprowadzania ocen skutków dla ochrony danych i do uprzedniego konsultowania się z Komisarzem ds. Informacji (145). Zgodnie z art. 56 DPA 2018 organy muszą wykazać, że przestrzegają przepisów. Ponadto są one zobowiązane do wprowadzenia odpowiednich środków zapewniających bezpieczeństwo przetwarzania (146) i podlegają szczegółowym obowiązkom w przypadku naruszenia ochrony danych, w tym mają obowiązek zgłaszania takich naruszeń Komisarzowi ds. Informacji i osobom, których dane dotyczą (147). Podobnie jak w przypadku dyrektywy (UE) 2016/680 istnieje również wymóg wyznaczenia przez administratora (chyba że jest nim sąd lub inny organ sądowy sprawujący wymiar sprawiedliwości) inspektora ochrony danych (148), który pomaga administratorowi wywiązać się z jego obowiązków, a także monitoruje ich wypełnianie (149). Ponadto aby zapewnić ciągłość ochrony, w ustawodawstwie określono szczegółowe wymogi dotyczące międzynarodowego przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych do celów ścigania przestępstw (150). W dniu przyjęcia niniejszej decyzji Komisja [przyjęła] decyzję stwierdzającą odpowiedni stopień ochrony na podstawie art. 36 ust. 3 dyrektywy (UE) 2016/680, w której ustaliła, że system ochrony danych mający zastosowanie do przetwarzania danych przez organy ścigania Zjednoczonego Królestwa zapewnia stopień ochrony, który zasadniczo odpowiada ochronie zagwarantowanej na mocy dyrektywy (UE) 2016/680.

(125)

Część 4 DPA 2018 ma zastosowanie do wszelkiego przetwarzania danych przez służby wywiadowcze lub w ich imieniu. W szczególności określono w niej główne zasady ochrony danych (zgodność z prawem, rzetelność i przejrzystość (151); ograniczenie celu (152); minimalizacja danych (153); prawidłowość (154); ograniczenie przechowywania (155) i bezpieczeństwo (156)), określono warunki dotyczące przetwarzania szczególnych kategorii danych (157), zapewniono prawa osób, których dane dotyczą (158), określono obowiązek uwzględniania ochrony danych w fazie projektowania (159) i uregulowano międzynarodowe przekazywanie danych osobowych (160). Komisarz ds. Informacji wydał niedawno szczegółowe wytyczne dotyczące przetwarzania danych przez agencje wywiadowcze na podstawie części 4 DPA 2018 (161).

(126)

Jednocześnie w art. 110 DPA 2018 przewidziano wyłączenie stosowania określonych przepisów zawartych w części 4 tej ustawy (162), gdy takie wyłączenie jest wymagane do ochrony bezpieczeństwa narodowego. Na wyłączenie to można się powołać na podstawie analizy poszczególnych przypadków (163). Jak wyjaśniły władze Zjednoczonego Królestwa i jak potwierdzono w orzecznictwie, „administrator musi uwzględnić faktyczne konsekwencje dla bezpieczeństwa narodowego lub obrony narodowej, wynikające z ewentualnego zastosowania się do konkretnego przepisu dotyczącego ochrony danych, z uwzględnieniem racjonalnej możliwości przestrzegania zwykłej zasady bez narażania bezpieczeństwa narodowego lub obrony narodowej” (164). Komisarz ds. Informacji sprawuje nadzór nad tym, czy wyłączenie zostało zastosowane prawidłowo (165).

(127)

Ponadto jeżeli chodzi o możliwość ograniczenia stosowania określonych powyżej przepisów zgodnie z częścią 111 DPA 2018 ze względu na ochronę „bezpieczeństwa narodowego”, administrator może ubiegać się o podpisane przez ministra lub Prokuratora Generalnego poświadczenie potwierdzające, że ograniczenie takich praw jest niezbędnym i proporcjonalnym środkiem służącym ochronie bezpieczeństwa narodowego (166).

(128)

Rząd Zjednoczonego Królestwa opublikował wytyczne w celu ułatwienia administratorom podjęcia decyzji o ewentualnym wystąpieniu o wydanie poświadczenia bezpieczeństwa narodowego na podstawie DPA 2018, w których to wytycznych w szczególności podkreślono, że wszelkie ograniczenia praw osób, których dane dotyczą, do celów ochrony bezpieczeństwa narodowego muszą być proporcjonalne i niezbędne (167). Wszelkie poświadczenia bezpieczeństwa narodowego muszą być publikowane na stronie internetowej Komisarza ds. Informacji (168).

(129)

Poświadczenie powinno być wydawane na czas określony, nie dłuższy niż pięć lat, tak aby podlegało regularnej ocenie przez władzę wykonawczą (169). W poświadczeniu określa się dane osobowe lub kategorie danych osobowych podlegające wyłączeniu, a także przepisy DPA 2018, do których wyłączenie ma zastosowanie (170).

(130)

Należy zauważyć, że poświadczenie bezpieczeństwa narodowego nie stanowią dodatkowej podstawy ograniczania praw do ochrony danych ze względów bezpieczeństwa narodowego. Innymi słowy, administrator lub podmiot przetwarzający może powołać się na poświadczenie wyłącznie wówczas, gdy stwierdzi, że konieczne jest skorzystanie z wyłączenia dotyczącego bezpieczeństwa narodowego, co – jak wyjaśniono powyżej – jest możliwe jedynie na podstawie oceny każdego przypadku z osobna (171). Nawet jeżeli do danej sprawy zastosowanie ma poświadczenie bezpieczeństwa narodowego, Komisarz ds. Informacji może zbadać, czy w tym konkretnym przypadku skorzystanie z wyłączenia dotyczącego bezpieczeństwa narodowego było uzasadnione (172).

(131)

Każdy, na kogo wydanie poświadczenia wywarło bezpośredni wpływ, może odwołać się do Wyższego Trybunału (173) od wydania poświadczenia (174) lub, gdy w poświadczeniu dane określono za pomocą ogólnego opisu, zaskarżyć stosowanie poświadczenia w odniesieniu do konkretnych danych (175). W takiej sytuacji Trybunał bada decyzję o wydaniu poświadczenia i orzeka, czy istniały uzasadnione podstawy do jego wydania (176). Może rozważyć wiele różnych aspektów, w tym niezbędność, proporcjonalność i zgodność z prawem, uwzględniając wpływ na prawa osób, których dane dotyczą, oraz wyważając potrzebę ochrony bezpieczeństwa narodowego. W rezultacie Trybunał może stwierdzić, że poświadczenie nie ma zastosowania do konkretnych danych osobowych będących przedmiotem odwołania (177).

(132)

Inny zbiór możliwych ograniczeń dotyczy wyłączeń, które na podstawie załącznika 11 do DPA 2018 stosuje się do określonych przepisów zawartych w części 4 DPA 2018 (178) na potrzeby zabezpieczenia innych ważnych celów leżących w ogólnym interesie publicznym lub chronionych interesów, takich jak np. przywilej parlamentarny, prawnicza tajemnica zawodowa, przebieg postępowania sądowego lub skuteczność bojowa sił zbrojnych (179). Wyłączenia stosowania tych przepisów dokonuje się albo w odniesieniu do określonych kategorii informacji („ze względu na klasę”), albo w zakresie, w jakim stosowanie tych przepisów mogłoby zaszkodzić chronionemu interesowi („ze względu na szkodę”) (180). Na wyłączenia ze względu na szkodę można się powoływać tylko w takim zakresie, w jakim zastosowanie wymienionego przepisu dotyczącego ochrony danych prawdopodobnie zaszkodziłoby danemu interesowi. Stosowanie wyłączenia musi być zatem zawsze uzasadnione poprzez wskazanie odpowiedniej szkody, która prawdopodobnie powstałaby w danym przypadku. Na wyłączenia ze względu na klasę można się powoływać wyłącznie w odniesieniu do konkretnej, ściśle zdefiniowanej kategorii informacji, dla której przyznano wyłączenie. Wyłączenia te są podobne pod względem celu i skutku do szeregu wyjątków od RODO UK (określonych w załączniku 2 do DPA 2018), które z kolei odzwierciedlają cel i skutek przewidziane w art. 23 RODO.

(133)

Z powyższego wynika, że w rozumieniu obowiązujących w Zjednoczonym Królestwie przepisów prawnych – oraz zgodnie z wykładnią sądów i interpretacją Komisji ds. Informacji – istnieją ograniczenia i warunki zapewniające, aby wspomniane wyłączenia i ograniczenia pozostawały w zakresie niezbędnym i proporcjonalnym do ochrony bezpieczeństwa narodowego.

(134)

W prawie Zjednoczonego Królestwa ustanowiono szereg ograniczeń w zakresie dostępu do danych osobowych i korzystania z nich na potrzeby ścigania przestępstw, a także mechanizmy nadzoru i środki zaskarżenia, które są zgodne z wymogami określonymi w motywach 113–115 niniejszej decyzji. Warunki uzyskania takiego dostępu oraz zabezpieczenia mające zastosowanie do wykonywania tych uprawnień poddano szczegółowej ocenie w kolejnych sekcjach.

(135)

Zgodnie z zasadą zgodności z prawem zagwarantowaną na podstawie art. 35 DPA 2018 przetwarzanie danych osobowych do jakichkolwiek celów ścigania przestępstw jest zgodne z prawem tylko wtedy, gdy opiera się na przepisach prawa oraz albo osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie w tym celu (181), albo przetwarzanie jest niezbędne do wykonania zadania realizowanego w tym celu przez właściwy organ.

(136)

W ramach prawnych Zjednoczonego Królestwa pobieranie danych osobowych od podmiotów gospodarczych – w tym tych, które przetwarzałyby dane przekazywane z UE na podstawie niniejszej decyzji stwierdzającej odpowiedni stopień ochrony – do celów ścigania przestępstw jest dopuszczalne na podstawie nakazów przeszukania (182) i nakazów wydania dowodów (183).

(137)

Nakazy przeszukania wydaje sąd, zazwyczaj na wniosek funkcjonariusza prowadzącego postępowanie przygotowawcze. Nakazy umożliwiają funkcjonariuszowi wejście do pomieszczeń w celu poszukiwania materiałów lub osób istotnych dla prowadzonego przez niego postępowania przygotowawczego oraz zatrzymanie wszystkiego, co wskazano w ramach zezwolenia na przeszukanie, w tym wszelkich istotnych dokumentów lub materiałów zawierających dane osobowe (184). Nakaz wydania dowodów, który również musi wydać sąd, zobowiązuje wskazaną w nakazie osobę do wydania lub udostępnienia materiałów, które znajdują się w jej posiadaniu lub nad którymi sprawuje kontrolę. Wnioskodawca musi uzasadnić przed sądem, dlaczego nakaz jest niezbędny, a także dlaczego leży on w interesie publicznym. Istnieje szereg uprawnień ustawowych, które pozwalają na wydawanie nakazów przeszukania i nakazów wydania dowodów. Z każdym przepisem wiąże się osobny zbiór warunków ustawowych, które należy spełnić, aby można było wydać nakaz przeszukania (185) lub nakaz wydania dowodów (186).

(138)

Nakazy wydania dowodów oraz nakazy przeszukania mogą zostać zaskarżone w ramach kontroli sądowej (187). Jeśli chodzi o zabezpieczenia, wszystkie organy ścigania objęte zakresem części 3 DPA 2018, mogą uzyskać dostęp do danych osobowych – co jest formą przetwarzania – wyłącznie zgodnie z zasadami i wymogami określonymi w DPA 2018 (zob. motywy 122 i 124). W związku z tym wniosek złożony przez jakikolwiek organ ścigania powinien być zgodny z zasadą, według której cele przetwarzania muszą być konkretne, wyraźne i prawnie uzasadnione (188), a dane osobowe przetwarzane przez właściwy organ muszą być stosowne oraz ograniczone do celu, w którym są przetwarzane (189).

(139)

W celu zapobiegania tylko poważnym przestępstwom lub ich wykrywania (190) niektórym organom ścigania, na przykład Krajowej Agencji ds. Zwalczania Przestępczości lub Komendantowi Głównemu Policji (191), przysługują ukierunkowane uprawnienia dochodzeniowo-śledcze na mocy IPA 2016. W takim przypadku zabezpieczenia przewidziane w IPA 2016 będą miały zastosowanie w uzupełnieniu zabezpieczeń przewidzianych w części 3 DPA 2018. Szczególne uprawnienia dochodzeniowe przysługujące wspomnianym organom ścigania to: ukierunkowane przechwytywanie (część 2 IPA 2016), ukierunkowane pozyskiwanie danych pochodzących z łączności (część 3 IPA 2016), ukierunkowane zatrzymywanie danych pochodzących z łączności (część 4 IPA 2016) oraz ukierunkowana ingerencja w urządzenia elektroniczne (część 5 IPA 2016). Przechwytywanie obejmuje pozyskanie treści wiadomości (192), natomiast pozyskiwanie i zatrzymywanie danych pochodzących z łączności nie ma na celu zdobycia treści wiadomości, ale ustalenie, kto, kiedy, gdzie i jak wysłał wiadomość. Obejmuje to na przykład czas i okres trwania połączenia, numery telefonu lub adresy e-mail nadawcy i odbiorcy wiadomości, a czasami lokalizację urządzeń, z których przesłano wiadomość, abonenta usługi telefonicznej lub szczegółowy rachunek (193). Ingerencja w urządzenia elektroniczne oznacza szereg technik stosowanych w celu uzyskania różnego rodzaju danych z urządzeń, w tym z komputerów, tabletów i smartfonów, a także kabli, przewodów i urządzeń pamięciowych (194).

(140)

Z uprawnień do ukierunkowanego przechwytywania można również korzystać, gdy jest to „niezbędne do celów wykonania przepisów unijnego instrumentu wzajemnej pomocy lub międzynarodowej umowy o wzajemnej pomocy” (tzw. „nakaz w ramach wzajemnej pomocy” (195)). Nakazy w ramach wzajemnej pomocy wydaje się wyłącznie w związku z przechwytywaniem, a nie pozyskiwaniem danych pochodzących z łączności lub ingerencji w urządzenia elektroniczne. Te ukierunkowane uprawnienia uregulowano ustawą o uprawnieniach dochodzeniowo-śledczych z 2016 r. (IPA 2016) (196), która wraz z ustawą regulującą uprawnienia dochodzeniowo-śledcze z 2000 r. (RIPA) w przypadku Anglii, Walii i Irlandii Północnej oraz ustawą regulującą uprawnienia dochodzeniowo-śledcze w Szkocji z 2000 r. (RIPSA), w przypadku Szkocji, zapewnia podstawę prawną i określa obowiązujące ograniczenia i zabezpieczenia dotyczące korzystania z takich uprawnień. W IPA 2016 przewidziano również system masowego korzystania z uprawnień dochodzeniowo-śledczych, chociaż nie jest on dostępny dla organów ścigania (mogą z niego korzystać wyłącznie agencje wywiadowcze) (197).

(141)

Aby skorzystać z tych uprawnień, organy muszą uzyskać nakaz (198) wydany przez właściwy organ (199) i zatwierdzony przez niezależnego komisarza sądowego (200) (tzw. procedura dwustopniowej autoryzacji nakazów). Uzyskanie takiego nakazu wymaga przeprowadzenia analizy niezbędności i proporcjonalności (201). Ponieważ te ukierunkowane uprawnienia dochodzeniowo-śledcze przewidziane w IPA 2016 są takie same jak uprawnienia, którymi dysponują agencje bezpieczeństwa narodowego, warunki, ograniczenia i zabezpieczenia mające zastosowanie do takich uprawnień zostały szczegółowo omówione w artykule dotyczącym uzyskiwania dostępu do danych osobowych i ich wykorzystywania przez organy publiczne Zjednoczonego Królestwa do celów bezpieczeństwa narodowego (zob. motyw 177 i następne).

(142)

Udostępnianie danych przez organ ścigania innemu organowi do celów innych niż te, dla których pierwotnie je zebrano (tzw. „dalsze przekazywanie”), podlega określonym warunkom.

(143)

Podobnie do tego, co przewidziano w art. 4 ust. 2 dyrektywy (UE) 2016/680, art. 36 ust. 3 DPA 2018 dopuszcza aby dane osobowe zebrane przez właściwy organ do celów ścigania przestępstw były dalej przetwarzane (przez pierwotnego administratora lub innego administratora) do wszelkich innych celów ścigania przestępstw, pod warunkiem że administrator jest upoważniony na mocy prawa do przetwarzania danych w tym innym celu, a przetwarzanie jest niezbędne i proporcjonalne w odniesieniu tego celu (202). W takim przypadku wszystkie zabezpieczenia przewidziane w części 3 DPA 2018, o których mowa w motywach 122 i 124, mają zastosowanie do przetwarzania prowadzonego przez organ otrzymujący.

(144)

W porządku prawnym Zjednoczonego Królestwa różne ustawy wyraźnie dopuszczają takie dalsze przekazywanie. W szczególności (i) ustawa o gospodarce cyfrowej z 2017 r. umożliwia udostępnianie danych między organami publicznymi do szeregu celów, na przykład w przypadku wszelkich nadużyć finansowych na szkodę sektora publicznego, które wiązałyby się ze stratą lub ryzykiem straty dla organów publicznych (203), lub w przypadku długu należnego na rzecz organu publicznego lub Korony (204); (ii) ustawa o przestępczości i sądach z 2013 r. zezwala na udostępnianie danych Krajowej Agencji ds. Zwalczania Przestępczości (NCA) (205) w celu zwalczania przestępczości poważnej i zorganizowanej, prowadzenia postępowań przygotowawczych w sprawie takich przestępstw i ich ścigania; (iii) ustawa o poważnej przestępczości z 2007 r. zezwala organom publicznym na ujawnianie informacji organizacjom zwalczającym nadużycia finansowe do celów zapobiegania nadużyciom finansowym (206).

(145)

Ustawy te wyraźnie stanowią, że udostępnianie informacji musi być zgodne z zasadami określonymi w DPA 2018 Ponadto Kolegium Policyjne wydało zatwierdzone praktyki zawodowe dotyczące udostępniania informacji (207), aby pomóc policji w wypełnianiu obowiązków w zakresie ochrony danych wynikających z RODO UK, DPA oraz ustawy o prawach człowieka z 1998 r. Zgodność udostępniania informacji z obowiązującymi ramami prawnymi w zakresie ochrony danych podlega oczywiście kontroli sądowej (208).

(146)

Ponadto podobnie do tego, co wynika z art. 9 dyrektywy (UE) 2016/680, DPA 2018 stanowi, że dane osobowe zebrane w jakimkolwiek celu związanym ze ściganiem przestępstw mogą być przetwarzane w celu, który nie jest celem związanym ze ściganiem przestępstw, jeżeli to przetwarzanie jest dozwolone przez prawo (209).

(147)

Ten rodzaj udostępniania danych obejmuje dwa scenariusze: 1) gdy organ ścigania przekazuje dane organowi niebędącemu organem ścigania ani agencją wywiadowczą (np. organowi ds. regulacji finansowej, organowi podatkowemu, organowi ochrony konkurencji, urzędowi ds. młodzieży itp.) oraz 2) gdy organ ścigania przekazuje dane agencji wywiadowczej. W pierwszym scenariuszu przetwarzanie danych osobowych wchodzi w zakres RODO UK, jak również w zakres części 2 DPA 2018. Komisja oceniła zabezpieczenia przewidziane w RODO UK i części 2 DPA 2018 w motywach 12–111 i stwierdziła, że Zjednoczone Królestwo zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych zgodnie z zakresem stosowania rozporządzenia (UE) 2016/679 z Unii Europejskiej do Zjednoczonego Królestwa.

(148)

W drugim scenariuszu, w odniesieniu do udostępniania danych zebranych przez organ ścigania agencji wywiadowczej do celów bezpieczeństwa narodowego, podstawą prawną upoważniającą do takiego udostępniania jest art. 19 ustawy o zwalczaniu terroryzmu z 2008 r. (CTA 2008) (210). Zgodnie z tą ustawą każdy może przekazać informacje którejkolwiek ze służb wywiadowczych na potrzeby wykonywania którejkolwiek z funkcji tej służby, w tym dotyczącej „bezpieczeństwa narodowego”.

(149)

Jeśli chodzi o warunki, na jakich dane można udostępniać do celów bezpieczeństwa narodowego, ustawa o służbach wywiadowczych (211) oraz ustawa o Służbie Bezpieczeństwa (212) ograniczają możliwości służb wywiadowczych w zakresie uzyskiwania danych do tego, co jest niezbędne do wykonywania ich funkcji ustawowych. Organy ścigania zamierzające udostępniać dane służbom wywiadowczym będą musiały uwzględnić szereg czynników/ograniczeń oprócz ustawowych funkcji agencji określonych w ustawie o służbach wywiadowczych i ustawie o Służbie Bezpieczeństwa (213). W art. 20 ustawy o zwalczaniu terroryzmu z 2008 r. wyraźnie wskazano, że wszelkie udostępnianie danych na podstawie art. 19 musi być również zgodne z ustawodawstwem w dziedzinie ochrony danych; oznacza to, że mają zastosowanie wszystkie ograniczenia i wymogi określone w części 3 DPA 2018. Ponadto ponieważ właściwe organy są organami publicznymi w rozumieniu ustawy o prawach człowieka z 1998 r., organy te muszą zagwarantować, że działają zgodnie z prawami określonymi w konwencji, w tym z art. 8 EKPC. Ograniczenia te służą temu, aby wszelkie udostępnianie danych między organami ścigania a służbami wywiadowczymi było zgodne z ustawodawstwem w dziedzinie ochrony danych i EKPC.

(150)

Gdy właściwy organ zamierza udostępnić dane osobowe przetwarzane na podstawie części 3 DPA 2018 organom ścigania państwa trzeciego, zastosowanie mają szczególne wymagania (214). Mianowicie takie przekazywanie może mieć miejsce, gdy odbywa się na podstawie rozporządzeń stwierdzających odpowiedni stopień ochrony wydanych przez Sekretarza Stanu lub, w przypadku braku takich rozporządzeń, pod warunkiem zapewnienia odpowiednich zabezpieczeń. Art. 75 DPA 2018 stanowi, że odpowiednie zabezpieczenia istnieją, gdy ustanowiono je aktem prawnym, który jest wiążący dla zamierzonego odbiorcy, lub gdy administrator, po dokonaniu oceny wszystkich okoliczności związanych z przekazywaniem tego rodzaju danych osobowych do państwa trzeciego lub organizacji międzynarodowej, stwierdza, że istnieją odpowiednie zabezpieczenia służące ochronie danych.

(151)

Jeżeli przekazanie nie opiera się na rozporządzeniu stwierdzającym odpowiedni stopień ochrony ani na odpowiednich zabezpieczeniach, może nastąpić wyłącznie w niektórych, określonych okolicznościach, zwanych „szczególnymi okolicznościami” (215). Dotyczy to sytuacji, w których przekazanie jest niezbędne: a) w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby; b) w celu zabezpieczenia uzasadnionych interesów osoby, której dane dotyczą; c) dla zapobieżenia bezpośredniemu, poważnemu ryzyku naruszenia bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego; d) w indywidualnym przypadku do celów ścigania przestępstw; lub e) w indywidualnym przypadku do celów prawnych (np. w związku z postępowaniem sądowym lub w celu uzyskania porady prawnej). Należy zauważyć, że lit. d) i e) nie mają zastosowania, jeżeli podstawowe prawa i wolności osoby, której dane dotyczą, są nadrzędne wobec interesu publicznego przemawiającego za przekazaniem. Ten zbiór okoliczności odpowiada szczególnym sytuacjom i warunkom kwalifikującym się jako „wyjątki” na podstawie art. 38 dyrektywy (UE) 2016/680.

(152)

Ponadto w IPA 2016 nałożono dodatkowe zabezpieczenia w sytuacji, w której materiały uzyskane przez organy ścigania na podstawie nakazu upoważniającego do przechwytywania lub ingerencji w urządzenia elektroniczne są przekazywane do państwa trzeciego. W szczególności takie ujawnienie, określone jako „ujawnienie za granicą”, jest dozwolone tylko wtedy, gdy organ wydający stwierdzi, że istnieją specjalne odpowiednie rozwiązania ograniczające liczbę osób, którym ujawnia się dane, oraz zakres ujawniania, udostępniania lub kopiowania wszelkich materiałów i liczbę wykonanych kopii. Ponadto organ wydający może stwierdzić, że konieczne są odpowiednie rozwiązania służące zapewnieniu, aby wszelkie kopie jakichkolwiek części tych materiałów zostały zniszczone, gdy tylko przestaną istnieć uzasadnione powody do ich zachowania (o ile nie zostaną zniszczone wcześniej) (216).

(153)

Ponadto szczególne formy dalszego przekazywania danych ze Zjednoczonego Królestwa do Stanów Zjednoczonych mogą w przyszłości odbywać się na podstawie „Umowy między rządem Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej a rządem Stanów Zjednoczonych Ameryki o dostępie do danych elektronicznych w celu zwalczania poważnej przestępczości” („umowa między Zjednoczonym Królestwem a USA” lub „umowa”) (217) zawartej w październiku 2019 r. (218) Chociaż umowa między Zjednoczonym Królestwem a USA nie weszła jeszcze w życie w momencie przyjmowania niniejszej decyzji, jej spodziewane wejście w życie może mieć wpływ na dalsze przekazywanie do USA danych przekazanych wcześniej do Zjednoczonego Królestwa na podstawie decyzji. Dokładniej rzecz ujmując, dane przekazywane z UE do dostawców usług w Zjednoczonym Królestwie mogą podlegać nakazom wydania elektronicznego materiału dowodowego wydanym przez właściwe organy ścigania USA i stosowanym w Zjednoczonym Królestwie na podstawie wspomnianej umowy po jej wejściu w życie. W związku z tym ocena warunków i zabezpieczeń, na jakich takie nakazy mogą być wydawane i wykonywane, jest istotna dla niniejszej decyzji.

(154)

W tym zakresie należy zauważyć, że, po pierwsze, jeśli chodzi o zakres przedmiotowy umowy, ma ona zastosowanie wyłącznie do przestępstw, które podlegają karze pozbawienia wolności o maksymalnym wymiarze co najmniej trzech lat (określanych jako „poważne przestępstwa”) (219), w tym „działalności terrorystycznej”. Po drugie, dane przetwarzane w jurysdykcji drugiej strony można uzyskać na podstawie tej umowy wyłącznie w następstwie „nakazu [...] podlegającego kontroli lub nadzorowi na mocy prawa krajowego strony wydającej przez sąd, sędziego lub inny niezależny organ przed postępowaniem lub w trakcie postępowania dotyczącego wykonania nakazu” (220). Po trzecie, wszelkie nakazy muszą „spełniać wymogi dotyczące racjonalnego uzasadnienia opartego na jasnych i wiarygodnych faktach, szczegółowości, zgodności z prawem i powagi działań będących przedmiotem postępowania przygotowawczego” (221) oraz „dotyczyć określonych kont, jak również wskazywać określoną osobę, konto, adres, urządzenie osobiste lub jakikolwiek inny określony identyfikator” (222). Po czwarte, dane uzyskane na podstawie tej umowy są objęte ochroną równoważną względem szczególnych zabezpieczeń przewidzianych w tzw. „umowie ramowej między UE a USA” (223) – kompleksowej umowie o ochronie danych zawartej w grudniu 2016 r. przez UE i USA, w której określono zabezpieczenia i prawa mające zastosowanie do przekazywania danych w ramach współpracy dotyczącej ścigania przestępstw – i które w całości włączono do przedmiotowej umowy przez odniesienie na zasadzie mutatis mutandis, przede wszystkim aby uwzględnić szczególny charakter przekazywania danych (tj. przekazywanie danych od operatorów prywatnych do organów ścigania, a nie przekazywanie danych między organami ścigania) (224). Umowa między Zjednoczonym Królestwem a USA wyraźnie stanowi, że ochrona równoważna ochronie zapewnianej przez umowę ramową między UE a USA będzie miała zastosowanie „do wszystkich danych osobowych wydanych w trakcie wykonywania nakazów podlegających umowie w celu zapewnienia równoważnej ochrony” (225).

(155)

Dane przekazywane organom USA na podstawie umowy między Zjednoczonym Królestwem a USA powinny zatem być objęte ochroną zapewnianą instrumentem prawa Unii, zawierającym niezbędne dostosowania odzwierciedlające charakter takiego przekazywania. Władze Zjednoczonego Królestwa potwierdziły ponadto, że ochrona przewidziana w umowie ramowej będzie miała zastosowanie do wszystkich danych osobowych wydawanych lub przechowywanych na podstawie umowy, niezależnie od charakteru lub rodzaju organu występującego z wnioskiem (np. zarówno federalne, jak i stanowe amerykańskie organy ścigania), tak więc równoważną ochronę należy zapewnić we wszystkich przypadkach. Władze Zjednoczonego Królestwa wyjaśniły jednak również, że nadal trwają rozmowy między Zjednoczonym Królestwem a USA w sprawie szczegółowych ustaleń dotyczących konkretnego wdrożenia zabezpieczeń służących ochronie danych. W kontekście rozmów ze służbami Komisji Europejskiej na temat niniejszej decyzji władze Zjednoczonego Królestwa potwierdziły, że dopuszczą do wejścia umowy w życie dopiero wtedy, gdy będą miały pewność, że zostanie wdrożona zgodnie z przewidzianymi w niej zobowiązaniami prawnymi, w tym w kwestii jasności co do zgodności z normami ochrony danych w przypadku wszelkich danych, o które wystąpiono na podstawie wspomnianej umowy. Ponieważ ewentualne wejście w życie umowy może mieć wpływ na stopień ochrony oceniany w niniejszej decyzji, Zjednoczone Królestwo powinno przekazywać Komisji Europejskiej wszelkie informacje i przyszłe wyjaśnienia na temat sposobu, w jaki USA będzie wypełniać swoje zobowiązania wynikające z umowy, gdy tylko staną się dostępne, a w każdym razie przed wejściem w życie umowy, aby zapewnić właściwe monitorowanie niniejszej decyzji zgodnie z art. 45 ust. 4 rozporządzenia (UE) 2016/679. Szczególna uwaga zostanie poświęcona stosowaniu i dostosowaniu zabezpieczeń umowy ramowej do szczególnego rodzaju przekazywania danych objętego umową między Zjednoczonym Królestwem a USA.

(156)

Mówiąc bardziej ogólnie, wszelkie istotne zmiany dotyczące wejścia w życie i stosowania umowy zostaną należycie uwzględnione w kontekście stałego monitorowania niniejszej decyzji, w tym w odniesieniu do niezbędnych konsekwencji, które będzie należało wyciągnąć w przypadku jakichkolwiek przesłanek wskazujących, że zasadniczo odpowiadający stopień ochrony nie jest już zapewniany.

(157)

W zależności od uprawnień wykonywanych przez właściwe organy przy przetwarzaniu danych osobowych do celów ścigania przestępstw (czy to na mocy DPA 2018, czy IPA 2016) nadzór nad wykonaniem tych uprawnień zapewniają różne organy. Gdy przetwarzanie danych osobowych wchodzi w zakres części 3 DPA 2018, nadzoruje je Komisarz ds. Informacji (226). Niezależny i sądowy nadzór nad korzystaniem z uprawnień dochodzeniowo-śledczych na podstawie IPA 2016 zapewnia biuro Komisarza ds. Uprawnień Dochodzeniowo-Śledczych (227) (do tej kwestii odniesiono się w motywach 250–255). Ponadto dodatkowy nadzór gwarantuje parlament oraz inne organy.

(158)

Ogólne funkcje Komisarza ds. Informacji – którego niezależność i organizację omówiono w motywie 87 – w odniesieniu do przetwarzania danych osobowych wchodzącego w zakres części 3 DPA 2018 określono w załączniku 13 do DPA 2018. Głównym zadaniem Komisarza ds. Informacji jest monitorowanie i egzekwowanie części 3 DPA 2018, jak również zwiększanie świadomości społecznej, doradzanie parlamentowi, rządowi oraz innym instytucjom i organom. Aby utrzymać niezależność sądów, Komisarz ds. Informacji nie jest uprawniony do wykonywania swoich funkcji w odniesieniu do przetwarzania danych osobowych przez osobę fizyczną sprawującą wymiar sprawiedliwości bądź sąd lub trybunał sprawujący wymiar sprawiedliwości. W takich okolicznościach funkcje nadzorcze wykonują inne organy, jak wyjaśniono w motywach 99–103.

(159)

Komisarz posiada ogólne uprawnienia dochodzeniowo-śledcze, uprawnienia w zakresie korekt, upoważnień i uprawnienia doradcze w odniesieniu do przetwarzania danych osobowych, do których zastosowanie ma część 3. W szczególności Komisarz posiada uprawnienia do zawiadomienia administratora lub podmiotu przetwarzającego o domniemanym naruszeniu przepisów części 3 DPA 2018, do udzielania ostrzeżeń lub upomnień administratorowi lub podmiotowi przetwarzającemu, który naruszył przepisy części 3 ustawy, a także do wydawania z własnej inicjatywy lub na wniosek opinii dla parlamentu, rządu lub innych instytucji i organów, a także obywateli w sprawie dowolnej kwestii związanej z ochroną danych osobowych (228).

(160)

Ponadto Komisarz posiada uprawnienia do wydawania zawiadomień informacyjnych (229), zawiadomień oceniających (230) i zawiadomień egzekucyjnych (231), a także uprawnienia do uzyskania dostępu do dokumentów administratorów i podmiotów przetwarzających, dostępu do ich pomieszczeń (232) oraz nakładania administracyjnych kar pieniężnych w formie zawiadomień w sprawie sankcji (233). W polityce działań regulacyjnych Komisarza ds. Informacji określono okoliczności, w których wydaje on, odpowiednio, zawiadomienia informacyjne, oceniające, egzekucyjne i zawiadomienia w sprawie sankcji (234) (zob. również motyw 93 oraz motywy 101–102 decyzji stwierdzającej odpowiedni stopień ochrony na podstawie dyrektywy (UE) 2016/680.

(161)

Zgodnie z ostatnimi sprawozdaniami rocznymi (2018–2019 (235), 2019–2020 (236)) Komisarz ds. Informacji przeprowadził szereg postępowań i zastosował środki egzekucyjne w odniesieniu do przetwarzania danych przez organy ścigania. Na przykład w październiku 2019 r. Komisarz przeprowadził postępowanie i wydał opinię w sprawie wykorzystywania przez organy ścigania technologii rozpoznawania twarzy w miejscach publicznych. W postępowaniu skupiono się w szczególności na wykorzystywaniu przez policję południowej Walii i Metropolitalną Służbę Policyjną możliwości w zakresie rozpoznawania twarzy na żywo. Komisarz ds. Informacji zbadał również stosowaną przez Metropolitalną Służbę Policyjną „matrycę gangów” (237) i stwierdził szereg poważnych naruszeń przepisów o ochronie danych, które mogły podważyć zaufanie publiczne w kwestii stosowania matrycy i sposobu wykorzystywania danych. W listopadzie 2018 r. Komisarz ds. Informacji wydał zawiadomienie egzekucyjne, w następstwie którego Metropolitalna Służba Policyjna podjęła kroki wymagane do zwiększenia bezpieczeństwa i rozliczalności oraz zapewnienia wykorzystywania danych w sposób proporcjonalny. Innym przykładem działań egzekucyjnych w tym obszarze jest grzywna w wysokości 325 000 GBP, którą Komisarz nałożył w maju 2018 r. na prokuraturę za utracenie niezaszyfrowanych płyt DVD zawierających nagrania z przesłuchań policyjnych. Komisarz ds. Informacji prowadził również postępowania dotyczące szerszych zagadnień, na przykład w pierwszej połowie 2020 r. w sprawie wydobywania danych z telefonów komórkowych do celów policyjnych oraz przetwarzania przez policję danych osób poszkodowanych. Ponadto Komisarz bada obecnie sprawę, która dotyczy dostępu organów ścigania do danych będących w posiadaniu podmiotu sektora prywatnego, Clearview AI Inc. (238)

(162)

Oprócz wymienionych w motywach 160 i 161 uprawnień Komisarza ds. Informacji do egzekwowania przestrzegania przepisów niektóre naruszenia ustawodawstwa w dziedzinie ochrony danych stanowią przestępstwo i mogą tym samym podlegać sankcjom karnym (art. 196 DPA 2018). Dotyczy to na przykład uzyskania, ujawnienia lub zatrzymania danych osobowych bez zgody administratora oraz doprowadzenia do ujawnienia danych osobowych innej osobie bez zgody administratora (239); deanonimizacji informacji będących zanonimizowanymi danymi osobowymi bez zgody administratora odpowiedzialnego za anonimizację danych osobowych (240); umyślnego utrudniania Komisarzowi wykonywania jego uprawnień w zakresie kontroli danych osobowych zgodnie z zobowiązaniami międzynarodowymi (241), składania fałszywych oświadczeń w odpowiedzi na zawiadomienie informacyjne lub niszczenia informacji w związku z zawiadomieniem informacyjnym i oceniającym (242).

(163)

Oprócz Komisarza ds. Informacji istnieje szereg organów nadzorczych w obszarze ścigania przestępstw, które posiadają szczególne uprawnienia związane z kwestiami dotyczącymi ochrony danych. Są to m.in. Komisarz ds. Zatrzymywania i Wykorzystywania Materiału Biometrycznego (Komisarz ds. Biometrii) (243) oraz Komisarz ds. Kamer Nadzorujących (244).

(164)

Komisja Specjalna do Spraw Wewnętrznych (Home Affairs Select Committee, HASC) zapewnia nadzór parlamentarny w obszarze ścigania przestępstw. Komisja składa się z 11 członków parlamentu wybranych z trzech największych partii politycznych. Zadaniem komisji jest badanie wydatków, administracji i polityki Home Office oraz powiązanych z nim organów publicznych, tj. m.in. policji i Krajowej Agencji ds. Zwalczania Przestępczości, których pracę komisja może kontrolować w szczególności (245).

(165)

Komisja może, w granicach swoich kompetencji, wybrać własny przedmiot dochodzenia, w tym konkretne przypadki, o ile dana sprawa nie jest rozpatrywana przez sąd. Komisja może również zwracać się do szerokiego grona odpowiednich grup i osób fizycznych o przedstawienie dowodów w formie pisemnej i ustnej. Komisja sporządza sprawozdania w sprawie swoich ustaleń i wydaje zalecenia dla rządu (246). Rząd powinien odpowiedzieć na każde z zaleceń zawartych w sprawozdaniu i musi odpowiedzieć w ciągu 60 dni (247).

(166)

Jeżeli chodzi o niejawny nadzór, Komisja sporządziła również sprawozdanie dotyczące ustawy regulującej uprawnienia dochodzeniowo-śledcze z 2000 r. (RIPA 2000) (248), w którym stwierdzono, że RIPA 2000 jest nieadekwatna. Sprawozdanie to uwzględniono podczas zastępowania istotnych części ustawy RIPA 2000 ustawą IPA 2016. Pełna lista dochodzeń znajduje się na stronie internetowej komisji (249).

(167)

Zadania Komisji Specjalnej do Spraw Wewnętrznych są wykonywane w Szkocji przez Podkomisję Sprawiedliwości ds. Działań Policyjnych (Justice Subcommittee on Policing), a w Irlandii Północnej przez Komisję Sprawiedliwości (Committee for Justice) (250).

(168)

Jeśli chodzi o przetwarzanie danych przez organy ścigania, mechanizmy regulujące środki zaskarżenia określono w części 3 DPA 2018 oraz w IPA 2016, a także w ustawie o prawach człowieka z 1998 r.

(169)

Ten zbiór mechanizmów zapewnia osobom, których dane dotyczą, skuteczne administracyjne i sądowe środki zaskarżenia, dzięki czemu mogą dochodzić swoich praw, w tym prawa do uzyskania dostępu do dotyczących ich danych osobowych lub sprostowania lub usunięcia takich danych.

(170)

Po pierwsze, zgodnie z art. 165 DPA 2018 osoba, której dane dotyczą, ma prawo do wniesienia skargi do Komisarza ds. Informacji, jeżeli uważa, że doszło do naruszenia części 3 DPA 2018 w odniesieniu do danych osobowych, które jej dotyczą (251). Komisarz ds. Informacji jest uprawniony do oceny przestrzegania DPA 2018 przez administratora i podmiot przetwarzający, wezwania ich do poczynienia koniecznych kroków w przypadku nieprzestrzegania przepisów oraz nakładania grzywien.

(171)

Po drugie DPA 2018 przewiduje prawo do środka ochrony prawnej przeciwko Komisarzowi ds. Informacji, jeżeli nie rozpatrzy on odpowiednio skargi złożonej przez osobę, której dane dotyczą. Mówiąc ściślej, jeżeli Komisarz nie „poczyni postępów” (252) w rozpatrywaniu skargi złożonej przez osobę, której dane dotyczą, skarżący ma dostęp do środka ochrony prawnej przed sądem – może zwrócić się do trybunału pierwszej instancji (253) o nakazanie Komisarzowi podjęcia odpowiednich kroków w celu udzielenia odpowiedzi na skargę lub poinformowania skarżącego o postępach w rozpatrywaniu skargi (254). Ponadto każda osoba, wobec której Komisarz wydał którekolwiek ze wspomnianych zawiadomień (zawiadomienie informacyjne, oceniające, egzekucyjne lub w sprawie sankcji), może odwołać się do Trybunału Pierwszej Instancji (First Tier Tribunal). Jeżeli Trybunał uzna, że decyzja Komisarza ds. Informacji nie jest zgodna z prawem lub że Komisarz powinien był skorzystać z przysługującej mu swobody uznania w inny sposób, Trybunał uwzględnia odwołanie lub zastępuje zawiadomienie lub decyzję innym zawiadomieniem lub decyzją, które Komisarz mógł wydać (255).

(172)

Po trzecie osoby fizyczne mogą wnieść środki zaskarżenia przeciwko administratorom i podmiotom przetwarzającym bezpośrednio do sądu. W szczególności, zgodnie z art. 167 DPA 2018, osoba, której dane dotyczą, może złożyć wniosek do sądu w sprawie naruszenia jej prawa wynikającego z ustawodawstwa w dziedzinie ochrony danych, a sąd może w drodze nakazu zażądać od administratora podjęcia (lub powstrzymania się od podjęcia) wszelkich kroków w odniesieniu do przetwarzania w celu zapewnienia zgodności z DPA 2018. Ponadto, zgodnie z art. 169 DPA 2018, każda osoba, która poniosła szkodę z powodu naruszenia wymogu określonego w ustawodawstwie w dziedzinie ochrony danych (w tym w części 3 DPA 2018), innym niż RODO UK, jest uprawniona do odszkodowania z tytułu tej szkody od administratora lub podmiotu przetwarzającego, z wyjątkiem sytuacji, gdy administrator lub podmiot przetwarzający udowodni, że nie jest w żaden sposób odpowiedzialny za zdarzenie powodujące szkodę. Szkoda obejmuje zarówno stratę finansową, jak i szkodę niezwiązaną ze stratą finansową, taką jak cierpienie.

(173)

Każda osoba, która uważa, że jej prawa, w tym prawa do prywatności i ochrony danych, zostały naruszone przez dowolne organy publiczne, może wreszcie dochodzić roszczeń przed sądami Zjednoczonego Królestwa na podstawie ustawy o prawach człowieka z 1998 r. (256), a po wyczerpaniu krajowych środków ochrony prawnej osobie fizycznej, organizacji pozarządowej i grupie osób przysługuje środek zaskarżenia przed Europejskim Trybunałem Praw Człowieka z tytułu naruszeń praw gwarantowanych w Konwencji o ochronie praw człowieka i podstawowych wolności (257) (zob. motyw 111).

(174)

Osobom fizycznym przysługują środki zaskarżenia z tytułu naruszenia IPA 2016 przed Trybunałem ds. Uprawnień Dochodzeniowo-Śledczych (Investigatory Powers Tribunal). Możliwe środki zaskarżenia dostępne na podstawie IPA 2016 opisano w motywach 263–269 poniżej.

(175)

W porządku prawnym Zjednoczonego Królestwa służbami wywiadowczymi uprawnionymi do gromadzenia informacji elektronicznych będących w posiadaniu administratorów lub podmiotów przetwarzających ze względów bezpieczeństwa narodowego, w sytuacjach istotnych dla scenariusza odpowiedniości, są: Służba Bezpieczeństwa (258) (Security Service, MI5), (259) Tajna Służba Wywiadowcza (Secret Intelligence Service, SIS) oraz Centrala Łączności Rządowej (260) (Government Communications Headquarters, GCHQ) (261).

(176)

W Zjednoczonym Królestwie uprawnienia agencji wywiadowczych określono w IPA 2016 i RIPA 2000, które wraz z DPA 2018 określają zakres przedmiotowy i podmiotowy tych uprawnień i przewidują ograniczenia i zabezpieczenia w zakresie ich wykonywania. W dalszych sekcjach szczegółowo oceniono powyższe uprawnienia, jak również ograniczenia i zabezpieczenia mające do nich zastosowanie.

(177)

W IPA 2016 przewidziano ramy prawne dla korzystania z uprawnień dochodzeniowo-śledczych, tj. uprawnień do przechwytywania i dostępu do danych pochodzących z łączności oraz dokonywania ingerencji w urządzenia elektroniczne. W IPA 2016 wprowadzono ogólny zakaz i uznano za czyn zabroniony stosowanie technik umożliwiających dostęp do treści komunikacji, dostęp do danych pochodzących z łączności lub ingerencję w urządzenia elektroniczne bez zgodnego z prawem upoważnienia (262). Znajduje to odzwierciedlenie w fakcie, że korzystanie z tych uprawnień dochodzeniowo-śledczych jest zgodne z prawem tylko wtedy, gdy odbywa się na podstawie nakazu lub upoważnienia (263).

(178)

W IPA 2016 określono szczegółowe zasady regulujące zakres i stosowanie poszczególnych uprawnień dochodzeniowych, a także szczególne ograniczenia i zabezpieczenia ich dotyczące. Stosuje się różne zasady w zależności od rodzaju uprawnień dochodzeniowo-śledczych (przechwytywanie komunikacji, pozyskiwanie i zatrzymywanie danych pochodzących z łączności oraz ingerencja w urządzenia elektroniczne) (264), a także od tego, czy uprawnienia te wykonuje się w odniesieniu do konkretnego celu, czy też masowo. Szczegółowe informacje na temat zakresu, zabezpieczeń i ograniczeń określonych w IPA 2016 w odniesieniu do poszczególnych środków przedstawiono w sekcji poniżej.

(179)

Ponadto uzupełnieniem IPA 2016 jest szereg ustawowych kodeksów postępowania, wydanych przez Sekretarza Stanu, zatwierdzonych przez obie izby parlamentu (265) i obowiązujących w całym państwie, zawierających dalsze wytyczne dotyczące korzystania ze wspomnianych uprawnień (266). Jakkolwiek osoby, których dane dotyczą, mogą przy wykonywaniu swoich praw powoływać się bezpośrednio na przepisy określone w IPA 2016, w załączniku 7 ust. 5 do IPA 2016 określono, że kodeksy postępowania są dopuszczalne jako dowód w postępowaniu cywilnym i karnym, a sąd, trybunał lub organ nadzorczy może wziąć pod uwagę wszelkie niezgodności z kodeksami przy ustalaniu istotnej kwestii w postępowaniu sądowym (267). W kontekście oceny wcześniejszych przepisów Zjednoczonego Królestwa w dziedzinie nadzoru – RIPA 2000 – pod kątem jakości prawa wielka izba Europejskiego Trybunału Praw Człowieka wyraźnie uznała znaczenie brytyjskich kodeksów postępowania i przyznała, że ich przepisy mogą być brane pod uwagę przy ocenie przewidywalności przepisów umożliwiających nadzór (268).

(180)

Należy zatem zauważyć, że ukierunkowane uprawnienia (ukierunkowane przechwytywanie (269), pozyskiwanie danych pochodzących z łączności (270), zatrzymywanie danych pochodzących z łączności (271) i ukierunkowana ingerencja w urządzenia elektroniczne (272)) są dostępne dla agencji bezpieczeństwa narodowego i niektórych organów ścigania (273), podczas gdy wyłącznie służby wywiadowcze mogą korzystać z uprawnień do masowego pozyskiwania danych (tj. masowego przechwytywania (274), masowego pozyskiwania danych pochodzących z łączności (275), masowej ingerencji w urządzenia elektroniczne (276) i masowych zbiorów danych osobowych (277)).

(181)

Podejmując decyzję, z którego uprawnienia dochodzeniowo-śledczego należy skorzystać, agencja wywiadowcza musi przestrzegać „ogólnych obowiązków w odniesieniu do prywatności” wymienionych w art. 2 ust. 2 lit. a) IPA 2016, które obejmują analizę niezbędności i proporcjonalności. Ściślej rzecz ujmując, zgodnie z tym przepisem organ publiczny mający zamiar skorzystać z uprawnienia dochodzeniowo-śledczego musi rozważyć (i) czy skutek, który ma zostać osiągnięty za pomocą nakazu, upoważnienia lub zawiadomienia, można by osiągnąć w sposób racjonalny za pomocą innych środków związanych z mniejszą ingerencją w prywatność; (ii) czy stopień ochrony, jaki należy zastosować w odniesieniu do każdego przypadku pozyskiwania informacji na podstawie nakazu, upoważnienia lub zawiadomienia, jest wyższy ze względu na szczególną wrażliwość tych informacji; (iii) interes publiczny w zakresie integralności i bezpieczeństwa systemów telekomunikacyjnych i usług pocztowych oraz (iv) wszelkie inne aspekty interesu publicznego w zakresie ochrony prywatności (278).

(182)

Sposób, w jaki należy stosować te kryteria – oraz sposób, w jaki ocenia się ich zgodność w ramach zatwierdzania korzystania z takich uprawnień przez Sekretarza Stanu i niezależnych komisarzy sądowych – określono dokładniej w odpowiednich kodeksach postępowania. W szczególności korzystanie z któregokolwiek ze wspomnianych uprawnień dochodzeniowych musi być zawsze „proporcjonalne do skutku, który ma zostać osiągnięty[, co] obejmuje zrównoważenie wagi ingerencji w prywatność (i innych względów określonych w art. 2 ust. 2) w stosunku do potrzeby prowadzenia działań pod względem dochodzeniowym, operacyjnym lub w zakresie zdolności”. Oznacza to przede wszystkim, że „powinno ono dawać realistyczną perspektywę uzyskania oczekiwanej korzyści i nie powinno być nieproporcjonalne ani arbitralne” oraz, że „[n]ie należy uznawać ingerencji w prywatność za proporcjonalną, jeżeli poszukiwaną informację można by pozyskać za pomocą innych środków związanych z mniejszą ingerencją w prywatność (279). Ściślej rzecz ujmując, zgodność z zasadą proporcjonalności należy oceniać z uwzględnieniem następujących kryteriów: „(i) zakres proponowanej ingerencji w prywatność w stosunku do skutku, który ma zostać osiągnięty; (ii) to, w jaki sposób i dlaczego metody, które mają zostać przyjęte, spowodują najmniejszą możliwą ingerencję w prywatność danej osoby i innych osób; (iii) to, czy działanie stanowi właściwe wykorzystanie ustawy oraz zasadny sposób osiągnięcia zamierzonego skutku, po rozważeniu wszystkich zasadnych alternatyw; (iv) to, jakich innych metod, w stosownych przypadkach, nie wdrożono lub jakie zastosowano, ale oceniono jako niewystarczające do osiągnięcia celów operacyjnych bez wykorzystania proponowanych uprawnień dochodzeniowo-śledczych” (280).

(183)

W praktyce, jak wyjaśniły władze Zjednoczonego Królestwa, gwarantuje to, że agencja wywiadowcza po pierwsze określa cel operacyjny (wyznaczając w ten sposób granice gromadzenia, np. międzynarodowy cel walki z terroryzmem na określonym obszarze geograficznym), a po drugie, na podstawie tego celu operacyjnego, będzie ona musiała rozważyć, która opcja techniczna (np. ukierunkowane lub masowe przechwytywanie, ukierunkowana lub masowa ingerencja w urządzenia elektroniczne, ukierunkowane lub masowe pozyskiwanie danych pochodzących z łączności) jest najbardziej proporcjonalna (tj. najmniej naruszająca prywatność, por. art. 2 ust. 2 ustawy o uprawnieniach dochodzeniowo-śledczych) do zamierzonego celu i dlatego może zostać zatwierdzona na podstawie jednej z dostępnych ustawowych podstaw prawnych.

(184)

Warto zauważyć, że to oparcie się na standardach niezbędności i proporcjonalności zauważył także i przyjął z zadowoleniem specjalny sprawozdawca ONZ ds. prawa do prywatności, Joseph Cannataci, który w odniesieniu do systemu ustanowionego na podstawie IPA 2016 stwierdził, że „[t]e procedury obowiązujące zarówno w ramach służb wywiadowczych, jak i w ramach organów ścigania wydają się systematycznie wymagać rozważenia niezbędności i proporcjonalności środka lub operacji nadzoru przed zaleceniem jego zatwierdzenia, jak również jego przeglądu na tych samych podstawach” (281). Ponadto zauważył on, że na spotkaniu z przedstawicielami organów ścigania i agencji bezpieczeństwa narodowego „dotarł [do niego] zgodny pogląd, że prawo do prywatności musi być głównym czynnikiem przy podejmowaniu jakichkolwiek decyzji dotyczących środków nadzoru. Wszyscy rozumieli i doceniali niezbędność i proporcjonalność jako kardynalne zasady, które należy brać pod uwagę”.

(185)

Szczegółowe kryteria wydawania poszczególnych nakazów, a także ograniczenia i zabezpieczenia ustanowione w IPA 2016 w odniesieniu do poszczególnych uprawnień dochodzeniowych opisano szczegółowo w motywach 186–243.

(186)

Istnieją trzy rodzaje nakazów ukierunkowanego przechwytywania: nakaz ukierunkowanego przechwytywania (282), nakaz ukierunkowanego zbadania oraz nakaz wzajemnej pomocy (283). Warunki ich uzyskania takich nakazów oraz dotyczące ich zabezpieczenia określono w części 2 rozdział 1 IPA 2016

(187)

Nakaz ukierunkowanego przechwytywania upoważnia do przechwytywania komunikacji opisanej w nakazie w trakcie jej przekazywania oraz do pozyskiwania innych danych istotnych dla tej komunikacji (284), w tym danych wtórnych (285). Nakaz ukierunkowanego badania upoważnia osobę do dokonania wyboru w celu zbadania przechwyconych treści pozyskanych na podstawie nakazu masowego przechwytywania (286).

(188)

Każdy nakaz na podstawie części 2 IPA 2016 może zostać wydany przez Sekretarza Stanu (287) i zatwierdzony przez komisarza sądowego (288). We wszystkich przypadkach okres obowiązywania każdego rodzaju ukierunkowanego nakazu jest ograniczony do 6 miesięcy (289), a zastosowanie mają przepisy szczegółowe dotyczące jego zmiany (290) i przedłużania (291).

(189)

Przed wydaniem nakazu Sekretarz Stanu przeprowadza ocenę niezbędności i proporcjonalności (292). W szczególności w przypadku nakazu ukierunkowanego przechwytywania i nakazu ukierunkowanego badania Sekretarz Stanu powinien sprawdzić, czy środek jest niezbędny z jednego z następujących powodów: interesu bezpieczeństwa narodowego; zapobiegania poważnym przestępstwom lub ich wykrywania lub interesu dobrobytu gospodarczego Zjednoczonego Królestwa (293) w zakresie, w jakim interesy te są również istotne dla interesów bezpieczeństwa narodowego (294). Z drugiej strony nakaz w ramach wzajemnej pomocy (zob. motyw 139 powyżej) może zostać wydany tylko wtedy, gdy Sekretarz Stanu uzna, że istnieją okoliczności równoważne z tymi, w których wydałby nakaz w celu zapobieżenia poważnemu przestępstwu lub jego wykrycia (295).

(190)

Ponadto Sekretarz Stanu powinien ocenić, czy środek jest proporcjonalny do skutku, który ma zostać osiągnięty (296). Ocena proporcjonalności wnioskowanych środków musi uwzględniać ogólne obowiązki w odniesieniu do prywatności określone w art. 2 ust. 2 IPA 2016, w szczególności potrzebę oceny, czy skutek, który ma zostać osiągnięty za pomocą nakazu, upoważnienia lub zawiadomienia, można by w zasadny sposób osiągnąć za pomocą innych środków związanych z mniejszą ingerencją w prywatność oraz czy stopień ochrony, który ma być stosowany w odniesieniu do wszelkiego pozyskiwania informacji na podstawie nakazu, jest wyższy ze względu na szczególną wrażliwość tych informacji (zob. motyw 181 powyżej).

(191)

W tym celu Sekretarz Stanu musi wziąć pod uwagę wszystkie elementy wniosku przedstawione przez organ składający wniosek, w szczególności te związane z osobami, których ma dotyczyć przechwycenie, oraz ze znaczeniem środka dla dochodzenia. Elementy te wyszczególniono w kodeksie postępowania w zakresie przechwytywania komunikacji i należy je opisać z określonym stopniem szczegółowości (297). Ponadto w art. 17 IPA 2016 wymaga się, aby w każdym nakazie wydanym na podstawie jej rozdziału 2 wskazano lub opisano konkretną osobę lub grupę osób, organizację lub obiekt, których ma dotyczyć przechwycenie („cel”). W przypadku nakazu ukierunkowanego przechwytywania lub nakazu ukierunkowanego badania mogą one również odnosić się do grupy osób, więcej niż jednej osoby lub organizacji, lub więcej niż jednego zespołu obiektów (zwane również „nakazem tematycznym”) (298). W takich przypadkach w nakazie należy opisać wspólny cel lub wspólną działalność grupy osób lub operację/dochodzenia oraz wymienić lub opisać jak największą liczbę tych osób/organizacji lub zespół lokali, o ile jest to wykonalne w zasadny sposób (299). Ponadto we wszystkich nakazach wydanych na podstawie części 2 IPA 2016 należy określić adresy, numery, aparaturę, czynniki lub kombinację czynników, które mają być wykorzystane do identyfikacji komunikacji (300). W tym zakresie w kodeksie postępowania w zakresie przechwytywania komunikacji określono, że w przypadku nakazu ukierunkowanego przechwytywania i nakazu ukierunkowanego badania „w nakazie należy określić (lub opisać) czynniki lub kombinację czynników, które mają być wykorzystane do identyfikacji komunikacji. Jeżeli komunikacja ma być identyfikowana poprzez (przykładowo) odniesienie do numeru telefonu, numer ten należy określić poprzez podanie go w całości. Jeżeli jednak do identyfikacji komunikacji mają być użyte bardzo złożone lub stale zmieniające się selektory internetowe, selektory te należy opisać w możliwie najszerszym zakresie” (301).

(192)

Ważnym zabezpieczeniem w tym kontekście jest to, że ocena przeprowadzona przez Sekretarza Stanu w celu wydania nakazu wymaga zatwierdzenia przez niezależnego komisarza sądowego (302), który w szczególności sprawdzi, czy decyzja o wydaniu nakazu jest zgodna z zasadami niezbędności i proporcjonalności (303) (informacje o statusie i roli komisarzy sądowych – zob. motywy 251–256 poniżej). W IPA 2016 doprecyzowano również, że przeprowadzając taką kontrolę, komisarz sądowy musi stosować te same zasady, które zastosowałby sąd w przypadku wniosku o kontrolę sądową (304). Gwarantuje to, że w każdym przypadku i przed uzyskaniem dostępu do danych niezależny organ systematycznie kontroluje zgodność z zasadą niezbędności i proporcjonalności.

(193)

W IPA 2016 przewidziano nieliczne konkretne i wąsko sformułowane wyjątki dotyczące przeprowadzania ukierunkowanego przechwytywania bez nakazu. Ograniczone przypadki są szczegółowo określone w prawie (305) i – z wyjątkiem przypadków opartych na zgodzie nadawcy lub odbiorcy – są prowadzone przez podmioty (prywatne lub publiczne) inne niż krajowe agencje bezpieczeństwa. Ponadto tego rodzaju przechwytywanie odbywa się w celach innych niż gromadzenie informacji wywiadowczych (306), a w przypadku niektórych z nich bardzo mało prawdopodobne jest, aby gromadzenie danych mogło odbywać się w ramach scenariusza przekazywania danych (np. w przypadku przechwytywania dokonywanego w szpitalu psychiatrycznym lub w więzieniu). Biorąc pod uwagę charakter organu, do którego mają zastosowanie te szczególne przypadki (innego niż krajowe agencje bezpieczeństwa), zastosowanie będą miały wszystkie zabezpieczenia przewidziane w części 2 DPA 2018 i w RODO UK, w tym nadzór Komisarza ds. Informacji i dostępne mechanizmy dochodzenia roszczeń. Ponadto oprócz zabezpieczeń przewidzianych w DPA 2018 w niektórych przypadkach IPA 2016 przewiduje również nadzór ex post Biura Komisarza ds. Uprawnień Dochodzeniowo-Śledczych (307).

(194)

W sytuacji przechwytywania mają zastosowanie dodatkowe ograniczenia i zabezpieczenia związane ze szczególnym statusem osoby lub osób, których dotyczy przechwytywanie (308). Przykładowo przechwytywanie materiałów objętych prawniczą tajemnicą zawodową jest dozwolone wyłącznie w wyjątkowych i uzasadnionych okolicznościach; osoba wydająca nakaz musi uwzględnić interes publiczny w zachowaniu poufności materiałów objętych prawniczą tajemnicą zawodową oraz to, że istnieją szczególne wymogi dotyczące postępowania z takimi materiałami, ich zatrzymywania i ujawniania (309).

(195)

Ponadto IPA 2016 przewiduje szczególne zabezpieczenia związane z bezpieczeństwem, zatrzymywaniem i ujawnianiem, które Sekretarz Stanu powinien wziąć pod uwagę przed wydaniem ukierunkowanego nakazu (310). W szczególności w art. 53 ust. 5 IPA 2016 wymaga się, aby każdą kopię wszelkich materiałów zebranych na podstawie nakazu przechowywano w bezpieczny sposób i niszczono, gdy tylko nie ma już istotnych podstaw do jej zatrzymywania, natomiast w art. 53 ust. 2 IPA 2016 wymaga się, aby liczbę osób, którym ujawnia się materiał, oraz zakres, w jakim wszelkie materiały są ujawniane, udostępniane lub kopiowane, ograniczono do minimum niezbędnego do realizacji celów ustawowych.

(196)

Ponadto gdy materiał przechwycony na podstawie nakazu ukierunkowanego przechwytywania albo na podstawie nakazu w ramach wzajemnej pomocy ma zostać przekazany do państwa trzeciego („ujawnienia za granicą”), IPA 2016 przewiduje, że Sekretarz Stanu musi zapewnić, aby istniały odpowiednie ustalenia w celu zapewnienia istnienia podobnych zabezpieczeń dotyczących bezpieczeństwa, zatrzymywania i ujawniania w danym państwie trzecim (311). Ponadto art. 109 ust. 2 DPA 2018 stanowi, że służby wywiadowcze mogą przekazywać dane osobowe poza terytorium Zjednoczonego Królestwa jedynie wówczas, gdy przekazanie jest niezbędne i proporcjonalne do celów wykonywania ustawowych funkcji administratora lub do innych celów przewidzianych w art. 2 ust. 2 lit. a) ustawy o Służbie Bezpieczeństwa z 1989 r. lub art. 2 ust. 2 lit. a) i art. 4 ust. 2 lit. a) ustawy o służbach wywiadowczych z 1994 r. (312). Co ważne, wymogi te mają również zastosowanie w przypadkach, w których powołano się na wyłączenie ze względów bezpieczeństwa narodowego zgodnie z art. 110 DPA 2018, ponieważ w art. 110 DPA 2018 nie wymieniono art. 109 DPA 2018 jako jednego z przepisów, od których można odstąpić, jeżeli do celów ochrony bezpieczeństwa narodowego wymagane jest wyłączenie niektórych przepisów.

(197)

W IPA 2016 zezwolono Sekretarzowi Stanu na wymaganie od operatorów telekomunikacyjnych zatrzymywania danych pochodzących z łączności do celów ukierunkowanego dostępu przez szereg organów publicznych, w tym organy ścigania i agencje wywiadowcze. W części 4 IPA 2016 przewidziano zatrzymywanie danych pochodzących z łączności, natomiast w części 3 przewidziano ukierunkowane pozyskiwanie danych pochodzących z łączności. W części 3 i części 4 IPA 2016 określono również szczegółowe ograniczenia w korzystaniu z tych uprawnień oraz przewidziano określone zabezpieczenia.

(198)

Termin „dane pochodzące z łączności” obejmuje odpowiedzi na pytania, kto, kiedy, gdzie i jak przekazał wiadomość, korzystając ze środków łączności, ale nie obejmuje treści tej wiadomości, tj. tego, co powiedziano lub napisano. W odróżnieniu od przechwytywania, pozyskiwanie i zatrzymywanie danych pochodzących z łączności nie ma na celu uzyskania treści wiadomości, ale pozyskanie informacji np. o abonencie usługi telefonicznej lub o szczegółowym rachunku. Mogą one dotyczyć czasu i okresu trwania komunikacji, numeru lub adresu e-mail nadawcy i odbiorcy, a czasami lokalizacji urządzeń, z których dokonano połączenia (313).

(199)

Należy zauważyć, że zatrzymywanie i pozyskiwanie danych pochodzących z łączności zazwyczaj nie będzie dotyczyć danych osobowych osób z UE, przekazywanych na podstawie niniejszej decyzji do Zjednoczonego Królestwa. Obowiązek zatrzymania lub ujawnienia danych pochodzących z łączności zgodnie z częściami 3 i 4 IPA 2016 obejmuje dane, które operatorzy telekomunikacyjni w Zjednoczonym Królestwie gromadzą bezpośrednio od użytkowników usługi telekomunikacyjnej (314). Ten rodzaj przetwarzania „widoczny dla klienta” zazwyczaj nie wiąże się z przekazywaniem na podstawie niniejszej decyzji, tj. przekazywaniem od administratora lub podmiotu przetwarzającego w UE do administratora lub podmiotu przetwarzającego w Zjednoczonym Królestwie.

(200)

Niemniej dla pełnego obrazu sytuacji w poniższych motywach opisano warunki i zabezpieczenia regulujące te systemy pozyskiwania i zatrzymywania danych.

(201)

Jako założenie należy zauważyć, że zatrzymywanie i ukierunkowane pozyskiwanie danych pochodzących z łączności przysługuje zarówno krajowym agencjom bezpieczeństwa, jak i niektórym organom ścigania (315). Warunki wymagające zatrzymywania lub pozyskiwania danych pochodzących z łączności mogą różnić się w zależności od podstawy złożenia wniosku o zastosowanie środka, a mianowicie bezpieczeństwa narodowego lub celu związanego z egzekwowaniem prawa.

(202)

W szczególności, chociaż w nowym systemie wprowadzono ogólny wymóg uprzedniego uzyskania zezwolenia niezależnego organu, mający zastosowanie we wszystkich przypadkach zatrzymywania lub pozyskiwania danych pochodzących z łączności (do celów egzekwowania prawa lub do celów związanych z bezpieczeństwem narodowym), w następstwie wyroku Europejskiego Trybunału Sprawiedliwości w sprawie Tele2/Watson (316) wprowadzono szczególne zabezpieczenia w przypadku wystąpienia o zastosowanie środka do celów ochrony porządku publicznego. W szczególności w przypadku gdy wniosek o zatrzymywanie lub pozyskiwanie danych pochodzących z łączności jest wymagany do celów egzekwowania prawa, zawsze wymagane jest uprzednie zezwolenie Komisarza ds. Uprawnień Dochodzeniowo-Śledczych. Nie zawsze ma to miejsce w przypadku wniosku o zastosowanie środka ze względów bezpieczeństwa narodowego, ponieważ, jak opisano poniżej, w niektórych przypadkach taki rodzaj środków może zostać zatwierdzony przez inną osobę zatwierdzającą. Ponadto w nowym systemie próg, w przypadku którego można zezwolić na zatrzymywanie i pozyskiwanie danych pochodzących z łączności, podniesiono do poziomu „poważnych przestępstw” (317).

(203)

Zgodnie z częścią 3 IPA 2016 właściwe organy publiczne są upoważnione do pozyskiwania danych pochodzących z łączności od operatora telekomunikacyjnego lub dowolnej osoby zdolnej do pozyskania i ujawnienia takich danych. Zezwolenie nie może obejmować przechwytywanie treści komunikacji (318) i traci moc po upływie jednego miesiąca (319) z możliwością przedłużenia pod warunkiem uzyskania dodatkowego zezwolenia (320). Pozyskanie danych pochodzących z łączności wymaga zezwolenia Komisarza ds. Uprawnień Dochodzeniowo-Śledczych (Investigatory Powers Commissioner) (321) (więcej informacji o jego statusie i uprawnieniach w motywach 250–251 poniżej). Dotyczy to wszystkich przypadków, w których o uzyskanie danych pochodzących z łączności wnioskuje właściwy organ ścigania Art. 61 IPA 2016 stanowi jednak, że gdy dane pozyskuje się w interesie bezpieczeństwa narodowego lub dobrobytu gospodarczego Zjednoczonego Królestwa, o ile są one istotne dla bezpieczeństwa narodowego, lub gdy wniosek złożył członek agencji wywiadowczej na podstawie art. 61 ust. 7 lit. b) (322), zezwolenie na pozyskanie może wydać (323) Komisarz ds. Uprawnień Dochodzeniowo-Śledczych lub wyznaczony urzędnik wyższego szczebla (324). Wyznaczony urzędnik nie może mieć związku z danym postępowaniem przygotowawczym ani z daną operacją i musi posiadać praktyczną wiedzę na temat zasad i przepisów w obszarze praw człowieka, w szczególności na temat zasad niezbędności i proporcjonalności (325). Decyzja podjęta przez wyznaczonego urzędnika podlega nadzorowi ex post prowadzonemu przez Komisarza ds. Uprawnień Dochodzeniowo-Śledczych (zob. bardziej szczegółowe informacje na temat funkcji nadzorczych ex post Komisarza ds. Uprawnień Dochodzeniowo-Śledczych w motywie 254 poniżej).

(204)

Zezwolenie na uzyskanie danych pochodzących z łączności wydaje się na podstawie oceny niezbędności i proporcjonalności środka. W szczególności niezbędność środka ocenia się w świetle przesłanek wymienionych w ustawodawstwie (326). Mając na uwadze ukierunkowany charakter tego środka, musi on być niezbędny również w przypadku konkretnego postępowania przygotowawczego lub konkretnej operacji (327). Dalsze wymogi dotyczące oceny niezbędności środka określono w kodeksie postępowania w zakresie danych pochodzących z łączności (328). W szczególności w kodeksie określono, że w celu uzasadnienia takiego żądania we wniosku złożonym przez organ wnioskujący należy wskazać następujące trzy minimalne wymagane elementy: (i) zdarzenie będące przedmiotem postępowania przygotowawczego, takie jak przestępstwo lub zlokalizowanie szczególnie narażonej osoby zaginionej; (ii) osobę, której żądane dane dotyczą – taką osobą może być podejrzany, świadek lub osoba zaginiona; należy przy tym określić, w jaki sposób taka osoba jest związana z danym zdarzeniem; (iii) żądane dane pochodzące z łączności, takie jak numer telefonu lub adres IP; należy przy tym określić, w jaki sposób takie dane wiążą się z daną osobą lub z danym zdarzeniem (329).

(205)

Ponadto pozyskiwanie danych pochodzących z łączności musi być proporcjonalne do celu, któremu służy (330). W kodeksie postępowania w zakresie danych pochodzących z łączności wyjaśniono, że w ramach takiej oceny osoba zatwierdzająca powinna wyważyć, czy „stopień ingerencji w prawa i wolności danej osoby fizycznej jest proporcjonalny do wynikającej z tej interwencji korzyści dla postępowania przygotowawczego lub operacji prowadzonych przez odpowiedni organ publiczny w interesie publicznym”, a ponadto w kodeksie wyjaśniono, że biorąc pod uwagę wszystkie okoliczności danej sprawy „ingerencja w prawa i wolności danej osoby fizycznej nadal może być nieuzasadniona ze względu na nadmierny negatywny wpływ na prawa innej osoby fizycznej lub grupy osób fizycznych”. Ponadto na potrzeby szczegółowej oceny proporcjonalności tego środka w kodeksie wymieniono szereg elementów, które należy uwzględnić we wniosku przedstawianym przez organ wnioskujący (331). Co więcej, szczególną uwagę należy zwracać na rodzaj pozyskiwanych danych pochodzących z łączności („dane o podmiotach” lub „dane o zdarzeniach” (332)), a w pierwszej kolejności należy stosować mniej inwazyjną kategorię danych (333). Kodeks postępowania w zakresie danych pochodzących z łączności zawiera również konkretne wytyczne dotyczące wydawania zezwoleń w przypadku danych pochodzących z łączności dotyczących osób wykonujących określone zawody (w tym lekarzy, prawników, dziennikarzy, parlamentarzystów lub duchownych) (334), w odniesieniu do których zastosowanie mają dodatkowe zabezpieczenia (335).

(206)

Część 4 IPA 2016 zawiera przepisy dotyczące zatrzymywania danych pochodzących z łączności, w szczególności kryteria, które muszą być spełnione, aby Sekretarz Stanu mógł wydać nakaz zatrzymywania danych (336). Zabezpieczenia wprowadzone w IPA są takie same niezależnie od tego, czy dane zatrzymuje się do celów związanych ze ściganiem przestępstwa, czy w interesie bezpieczeństwa narodowego.

(207)

Takie nakazy zatrzymywania danych wydaje się w celu zagwarantowania, aby operatorzy telekomunikacyjni zatrzymywali – nie dłużej niż przez 12 miesięcy – odpowiednie dane pochodzące z łączności, które w przeciwnym razie zostałyby usunięte w chwili, gdy nie są już potrzebne do celów prowadzonej działalności gospodarczej (337). Zatrzymywane dane należy udostępniać przez żądany okres na wypadek, gdyby na późniejszym etapie okazało się, że organ publiczny będzie musiał pozyskać takie dane na podstawie zezwolenia na ukierunkowane pozyskanie danych pochodzących z łączności, przewidzianego w części 3 IPA 2016 i omówionego w motywach 203–205.

(208)

Wykonanie uprawnienia do nakazania zatrzymania określonych danych podlega szeregowi ograniczeń i zabezpieczeń. Sekretarz Stanu może wydać operatorowi lub operatorom nakaz zatrzymywania danych (338) wyłącznie wówczas, gdy uważa, że wymóg zatrzymywania danych jest niezbędny w jednym z ustawowych celów (339) oraz jest proporcjonalny do celu, któremu służy (340). Jak wyjaśniono w tekście samej IPA 2016 (341), przed wydaniem nakazu zatrzymywania danych Sekretarz Stanu musi rozważyć: prawdopodobne korzyści wynikające z takiego nakazu (342); opis danych usług telekomunikacyjnych; kwestię, czy należy ograniczyć zatrzymywane dane poprzez odniesienie do lokalizacji lub opisów osób, na których rzecz świadczone są dane usługi telekomunikacyjne (343); prawdopodobną liczbę użytkowników (jeżeli jest znana) każdej usługi telekomunikacyjnej, do której odnosi się dany nakaz (344); kwestię, czy nakaz jest wykonalny z technicznego punktu widzenia; prawdopodobny koszt wykonania nakazu oraz wszelki inny wpływ nakazu na operatora telekomunikacyjnego (lub opis operatorów), którego dotyczy nakaz (345). Zgodnie z dalszymi przepisami zawartymi w rozdziale 17 kodeksu postępowania w zakresie danych pochodzących z łączności we wszystkich nakazach zatrzymywania danych należy określić każdy rodzaj zatrzymywanych danych oraz wyjaśnić, dlatego zatrzymywanie danego rodzaju danych jest niezbędne.

(209)

We wszystkich przypadkach (zarówno do celów bezpieczeństwa narodowego, jak i do celów egzekwowania prawa) decyzja Sekretarza Stanu o wydaniu nakazu zatrzymania musi zostać zatwierdzona w ramach tzw. procedury dwustopniowej autoryzacji nakazów przez niezależnego komisarza sądowego, który musi w szczególności sprawdzić, czy powiadomienie o zatrzymaniu odpowiednich danych pochodzących z łączności jest konieczne i proporcjonalne do określonego celu ustawowego lub celów ustawowych (346).

(210)

Ingerencja w urządzenia elektroniczne oznacza szereg technik stosowanych w celu uzyskania różnego rodzaju danych z urządzeń (347), w tym z komputerów, tabletów i smartfonów, a także kabli, przewodów i urządzeń pamięciowych (348). Ingerencja w urządzenia elektroniczne umożliwia uzyskanie zarówno treści komunikacji, jak i danych o urządzeniach (349).

(211)

Zgodnie z art. 13 ust. 1 IPA 2016, aby służby wywiadowcze mogły ingerować w urządzenia elektroniczne, muszą one uzyskać zezwolenie w postaci nakazu wydanego w procedurze dwustopniowej autoryzacji nakazów ustanowionej w tejże ustawie, a także musi występować „związek z Wyspami Brytyjskimi” (350). Zgodnie z wyjaśnieniami przedstawionymi przez władze Zjednoczonego Królestwa – w sytuacjach, w których dane przekazuje się z Unii Europejskiej do Zjednoczonego Królestwa w zakresie stosowania niniejszej decyzji, zawsze będzie występował „związek z Wyspami Brytyjskimi”, a zatem każda ingerencja w urządzenia elektroniczne obejmująca takie dane będzie podlegać wymogowi wydania obowiązkowego nakazu określonemu w art. 13 ust. 1 IPA 2016 (351).

(212)

Przepisy dotyczące nakazów ukierunkowanej ingerencji w urządzenia elektroniczne określono w części 5 IPA 2016. Podobnie jak ukierunkowane przechwytywanie, ukierunkowana ingerencja w urządzenia elektroniczne musi dotyczyć określonego „celu”, który należy wskazać w nakazie (352). Wymagane informacje identyfikujące „cel” zależą od przedmiotu sprawy i rodzaju urządzeń podlegających ingerencji. W szczególności w art. 115 ust. 3 IPA określono elementy, które należy uwzględnić w nakazie (np. imię i nazwisko osoby lub nazwę organizacji, opis lokalizacji), w zależności na przykład od tego, czy ingerencja dotyczy urządzenia, które należy do konkretnej osoby, organizacji lub grupy osób, jest w jej posiadaniu lub jest przez nią wykorzystywane, lub też znajduje się w określonej lokalizacji itp. (353) Przesłanki wydania nakazów ukierunkowanej ingerencji w urządzenia elektroniczne zależą od organu publicznego, który kieruje wniosek o wydanie takiego nakazu (354).

(213)

Podobnie jak w przypadku ukierunkowanego przechwytywania organ wydający nakaz musi rozważyć kwestię, czy taki środek jest niezbędny i proporcjonalny do skutku, który ma zostać osiągnięty (355). Ponadto taki organ powinien również rozważyć, czy istnieją zabezpieczenia dotyczące ochrony, zatrzymywania i ujawniania danych, a także „ujawnienia za granicą” (356) (zob. motyw 196).

(214)

Nakaz musi zatwierdzić komisarz sądowy, z wyjątkiem pilnych przypadków (357). W pilnych przypadkach komisarz sądowy musi zostać poinformowany o wydaniu nakazu i musi zatwierdzić taki nakaz w terminie trzech dni roboczych. Jeżeli komisarz sądowy odmówi zatwierdzenia nakazu, nakaz traci moc i nie może zostać przedłużony (358). Ponadto komisarz sądowy jest uprawniony do żądania usunięcia wszelkich danych uzyskanych na podstawie nakazu (359). Fakt, że nakaz został wydany w trybie pilnym, nie ma wpływu na nadzór ex post (zob. motywy 244–255) ani na możliwości dochodzenia roszczeń przez osoby fizyczne (zob. motywy 260–270). Osoby fizyczne mogą w zwykłym trybie złożyć skargę do Komisarza ds. Informacji lub wnieść skargę dotyczącą niewłaściwego postępowania do Trybunału ds. Uprawnień Dochodzeniowo-Śledczych. We wszystkich przypadkach kryterium stosowanym przez komisarza sądowego przy decyzji o zatwierdzeniu nakazu jest kryterium niezbędności i proporcjonalności stosowane w przypadku analizy wniosków o ukierunkowane przechwytywanie (360) (zob. motyw 192 powyżej).

(215)

Ponadto szczególne zabezpieczenia stosowane wobec ukierunkowanego przechwytywania mają zastosowanie również w przypadku ingerencji w urządzenia elektroniczne, jeżeli chodzi o okres obowiązywania, przedłużanie i zmianę nakazu, a także w przypadku przechwytywania komunikacji parlamentarzystów, elementów objętych prawniczą tajemnicą zawodową oraz materiałów dziennikarskich (zob. więcej informacji w motywie 193).

(216)

Uprawnienia do masowego pozyskiwania danych są uregulowane w części 6 IPA 2016. Ponadto kodeksy postępowania zawierają więcej szczegółowych informacji na temat wykonywania uprawnień do masowego pozyskiwania danych. Chociaż w prawie Zjednoczonego Królestwa nie określono definicji terminu „uprawnienia do masowego pozyskiwania danych”, w kontekście IPA 2016 uprawnienia te opisano jako gromadzenie i zatrzymywanie dużych ilości danych pozyskanych przez rząd różnymi środkami (tj. uprawnienia do masowego przechwytywania, masowego pozyskiwania danych, masowej ingerencji w urządzenia elektroniczne i tworzenia masowych zbiorów danych osobowych), do których to danych później organy mają dostęp. Opis ten wyjaśniono, wskazując, czym uprawnienia do masowego pozyskiwania danych nie są: uprawnienia te nie są równoważne z „masową inwigilacją”, która nie podlega ograniczeniom ani zabezpieczeniom. Wręcz przeciwnie, jak wyjaśniono poniżej, uprawnienia te podlegają ograniczeniom i zabezpieczeniom mającym na celu zapewnienie, aby nie udzielano powszechnego lub nieuzasadnionego dostępu do danych (361). W szczególności uprawnienia do masowego pozyskiwania danych można wykonywać wyłącznie w przypadku ustalenia związku między środkiem technicznym, który krajowa agencja wywiadowcza planuje zastosować, a celem operacyjnym, w odniesieniu do którego wystąpiono o zastosowania takiego środka.

(217)

Ponadto uprawnienia do masowego pozyskiwania danych przysługują wyłącznie agencjom wywiadowczym i zawsze muszą stanowić przedmiot nakazu wydanego przez Sekretarza Stanu i zatwierdzonego przez komisarza sądowego. Dokonując wyboru środka gromadzenia danych wywiadowczych, należy rozważyć kwestię, czy dany cel można osiągnąć za pomocą „mniej inwazyjnych środków” (362). Takie podejście wynika z ram legislacyjnych, u których podstaw leży zasada proporcjonalności i w których tym samym przewiduje się pierwszeństwo gromadzenia ukierunkowanego nad masowym.

(218)

System masowego przechwytywania przewidziano w części 6 rozdział 1 IPA 2016, natomiast w tej samej części w rozdziale 3 uregulowano kwestię masowej ingerencji w urządzenia elektroniczne. Systemy te są zasadniczo takie same, w związku z czym warunki i dodatkowe zabezpieczenia stosowane wobec takich nakazów analizuje się łącznie.

(219)

Zakres stosowania nakazu masowego przechwytywania komunikacji ogranicza się do przechwytywania w trakcie jej przekazywania lub odbierania przez osoby fizyczne znajdujące się poza terytorium Wysp Brytyjskich (363), tj. „komunikacji zagranicznej” (364), a także do innych istotnych danych i późniejszego wyboru do celów analizy przechwyconego materiału (365). Adresat nakazu masowej ingerencji w urządzenia elektroniczne (366) jest uprawniony do ingerencji w dowolne urządzenie do celów pozyskania komunikacji zagranicznej (w tym wszelkich komunikatów słownych, muzycznych, dźwiękowych, obrazów lub wszelkich danych) oraz do pozyskania danych o urządzeniach (dane, które umożliwiają lub ułatwiają funkcjonowania usług pocztowych, systemu telekomunikacyjnego, usług telekomunikacyjnych) lub wszystkich innych informacji (367).

(220)

Sekretarz Stanu może wydać nakaz masowego pozyskania danych wyłącznie na wniosek szefa służby wywiadowczej (368). Nakaz zatwierdzający masowe przechwytywanie lub masową ingerencję w urządzenia elektroniczne może być wydawany wyłącznie w sytuacjach, gdy jest to niezbędne dla bezpieczeństwa narodowego i do celów zapobieżenia poważnemu przestępstwu lub jego wykrycia, lub ze względu na interesy dobrobytu gospodarczego Zjednoczonego Królestwa istotne dla interesów bezpieczeństwa narodowego (369). Ponadto art. 142 ust. 7 IPA 2016 stanowi, że w nakazie masowego przechwytywania należy podać bardziej szczegółowe informacje, nieograniczające się wyłącznie do stwierdzenia, że służy on „interesom bezpieczeństwa narodowego”, „interesom dobrobytu gospodarczego Zjednoczonego Królestwa” i „zapobieżeniu poważnemu przestępstwu i jego zwalczeniu”, i należy ustalić związek między środkiem, którego dotyczy wniosek, a celem lub celami operacyjnymi, które należy wskazać w nakazie.

(221)

Cel operacyjny wybiera się w drodze wielopoziomowego procesu. W art. 142 ust. 4 wskazano, że cele operacyjne wskazane w nakazie muszą być tożsame z celami, które w wykazie prowadzonym przez szefów służb wywiadowczych zostały przez nich określone jako cele operacyjne, na potrzeby których przechwycone treści lub dane wtórne uzyskane na podstawie nakazów masowego przechwytywania mogą zostać wybrane do zbadania. Wykaz celów operacyjnych musi zostać zatwierdzony przez Sekretarza Stanu. Sekretarz Stanu może dokonać takiego zatwierdzenia wyłącznie wówczas, gdy ma pewność, że w opisie celu operacyjnego podano więcej szczegółów nieograniczających się do wskazania ogólnych podstaw do zatwierdzenia nakazu (którymi są: bezpieczeństwo narodowe lub bezpieczeństwo narodowe i dobrobyt gospodarczy lub zapobieżenie poważnemu przestępstwu) (370). Na koniec każdego odpowiedniego trzymiesięcznego okresu Sekretarz Stanu musi przekazać egzemplarz wykazu celów operacyjnych parlamentarnej Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa. Ponadto premier musi dokonać przeglądu wykazu celów operacyjnych przynajmniej raz w roku (371). Jak odnotował Wysoki Trybunał, „[n]ie należy traktować tych zabezpieczeń jako mało ważne, gdyż łącznie tworzą one złożony zestaw trybów odpowiedzialności obejmujących parlament i członków rządu na najwyższych szczeblach” (372).

(222)

W ramach takich celów operacyjnych ogranicza się również wybór przechwyconego materiału, który ma zostać zbadany. To, które spośród wszelkich materiałów zgromadzonych na podstawie nakazu masowego pozyskania danych zostaną wybrane do zbadania, musi być uzasadnione celami operacyjnymi. Jak wyjaśniły władze Zjednoczonego Królestwa, oznacza to, że praktyczne ustalenia dotyczące badania muszą zostać ocenione przez Sekretarza Stanu już na etapie wydania nakazu, przy czym należy zapewnić poziom szczegółowości wystarczający do spełnienia obowiązków ustawowych określonych w art. 152 i 193 IPA 2016 (373). Szczegółowe informacje udzielone Sekretarzowi Stanu w odniesieniu do tych ustaleń muszą obejmować na przykład (w stosownych przypadkach) informacje na temat stopnia, w jakim ustalenia dotyczące filtrowania mogą się różnić w czasie obowiązywania nakazu (374). Aby uzyskać więcej informacji na temat tego procesu i zabezpieczeń stosowanych na etapie filtrowania i badania, zob. motyw 229 poniżej.

(223)

Na wykonanie uprawnień do masowego pozyskiwania danych można zezwolić wyłącznie wówczas, gdy jest to proporcjonalne do celu, któremu służy (375). Jak określono w kodeksie postępowania w zakresie przechwytywania, każda ocena proporcjonalności musi obejmować „wyważenie stopnia ingerencji w prywatność (i innych względów określonych w art. 2 ust. 2) w stosunku do potrzeby prowadzenia działań pod względem dochodzeniowym, operacyjnym lub w zakresie zdolności. Czynności objęte zezwoleniem powinny dawać realistyczną perspektywę uzyskania oczekiwanej korzyści i nie powinny być nieproporcjonalne lub arbitralne” (376). Jak już stwierdzono, w praktyce oznacza to, że analiza proporcjonalności opiera się na wyważeniu skutku, który ma być osiągnięty („cele operacyjne”), dostępnych wariantów technicznych (np. ukierunkowane lub masowe przechwytywanie, ingerencja w urządzenia elektroniczne, pozyskiwanie danych pochodzących z łączności), przy czym preferencyjnie należy traktować środki najmniej inwazyjne (zob. motywy 181 i 182 powyżej). Jeżeli dany cel można osiągnąć za pomocą więcej niż jednego środka, należy wybrać środek mniej inwazyjny.

(224)

W kontekście oceny proporcjonalności środka wskazanego we wniosku dodatkowym zabezpieczeniem jest fakt, że Sekretarz Stanu musi otrzymać istotne informacje potrzebne mu do właściwego przeprowadzenia oceny. W szczególności kodeks postępowania w zakresie przechwytywania komunikacji i kodeks postępowania w zakresie ingerencji w urządzenia elektroniczne zawierają wymóg, aby we wniosku składanym przez odpowiedni organ przedstawić kontekst wniosku, opis przechwytywanej komunikacji oraz operatorów telekomunikacyjnych, którzy będą musieli udzielić pomocy, opis zatwierdzonych czynności, cele operacyjne i wyjaśnienie powodów, dla których dane działanie jest niezbędne i proporcjonalne (377).

(225)

Istotny jest wreszcie fakt, że decyzję Sekretarza Stanu o wydaniu nakazu musi zatwierdzić niezależny komisarz sądowy, który poddaje ocenę niezbędności i proporcjonalności proponowanego środka własnej ocenie, kierując się tymi samymi zasadami, które zastosowałby sąd w toku kontroli sądowej (378). Ściślej mówiąc, komisarz sądowy dokona przeglądu wniosków Sekretarza Stanu w kwestii, czy nakaz jest niezbędny oraz czy działania są proporcjonalne w świetle zasad określonych w art. 2 ust. 2 IPA 2016 (ogólne obowiązki w związku z ochroną prywatności). Komisarz sądowy dokona przeglądu wniosków Sekretarza Stanu pod kątem tego, czy dla każdego z celów operacyjnych określonych w nakazie wybór określonego materiału jest lub może być niezbędny. Jeżeli komisarz sądowy odmówi zatwierdzenia decyzji o wydaniu nakazu, Sekretarz Stanu może: (i) przyjąć taką decyzję i tym samym zrezygnować z wydania nakazu; albo (ii) przekazać sprawę do rozstrzygnięcia przez Komisarza ds. Uprawnień Dochodzeniowo-Śledczych (chyba że pierwotną decyzję wydał Komisarz ds. Uprawnień Dochodzeniowo-Śledczych) (379).

(226)

W IPA 2016 określono dalsze ograniczenia dotyczące okresu obowiązywania, przedłużania i zmiany nakazów masowego pozyskania danych. Okres obowiązywania nakazu nie może przekraczać sześciu miesięcy, a każda decyzja o jego przedłużeniu lub zmianie (z wyjątkiem nieznacznych zmian) również podlega obowiązkowi zatwierdzenia przez komisarza sądowego (380). W kodeksie postępowania w zakresie przechwytywania komunikacji i kodeksie postępowania w zakresie ingerencji w urządzenia elektroniczne stwierdzono, że zmianę celów operacyjnych określonych w nakazie uznaje się za istotną zmianę nakazu (381).

(227)

Podobnie jak w przypadku zasad dotyczących ukierunkowanego przechwytywania, w części 6 IPA 2016 określono, że Sekretarz Stanu musi zapewnić, aby obowiązywały ustalenia zapewniające zabezpieczenia w zakresie zatrzymywania i ujawniania materiałów uzyskanych na podstawie nakazu (382), a także w odniesieniu do ujawniania za granicą (383). W szczególności w art. 150 ust. 5 i art. 191 ust. 5 IPA 2016 wymaga się, aby każdą kopię wszelkich materiałów zebranych na podstawie nakazu przechowywano w bezpieczny sposób i niszczono, gdy tylko nie ma już istotnych podstaw do jej zatrzymywania, natomiast w art. 150 ust. 2 i art. 191 ust. 2 wymaga się, aby liczba osób, którym ujawnia się materiał, oraz zakres, w jakim dany materiał jest ujawniany, udostępniany lub kopiowany, były ograniczone do minimum niezbędnego do realizacji celów ustawowych (384).

(228)

Ponadto gdy materiał, który przechwycono w ramach masowego przechwytywania albo masowej ingerencji w urządzenia elektroniczne, ma zostać przekazany do państwa trzeciego („ujawnienia za granicą”), w IPA 2016 przewiduje się, że Sekretarz Stanu musi zapewnić, aby istniały odpowiednie ustalenia w celu zapewnienia istnienia podobnych zabezpieczeń dotyczących bezpieczeństwa, zatrzymywania i ujawniania w danym państwie trzecim (385). Ponadto w art. 109 DPA 2018 określono szczegółowe wymogi dotyczące międzynarodowego przekazywania danych osobowych przez służby wywiadowcze do państw trzecich lub organizacji międzynarodowych. Zgodnie z tym przepisem dane nie mogą być przekazywane do państwa ani terytorium poza Zjednoczonym Królestwem ani do organizacji międzynarodowej, chyba że przekazanie jest niezbędne i proporcjonalne do celów wykonywania ustawowych funkcji administratora lub do innych celów przewidzianych w art. 2 ust. 2 lit. a) ustawy o Służbie Bezpieczeństwa z 1989 r. lub art. 2 ust. 2 lit. a) i art. 4 ust. 2 lit. a) ustawy o służbach wywiadowczych z 1994 r. (386). Co ważne, wymogi te mają również zastosowanie w przypadkach, w których powołano się na wyłączenie ze względów bezpieczeństwa narodowego zgodnie z art. 110 DPA 2018, ponieważ w art. 110 DPA 2018 nie wymieniono art. 109 DPA 2018 jako jednego z przepisów, od których można odstąpić, jeżeli do celów ochrony bezpieczeństwa narodowego wymagane jest wyłączenie niektórych przepisów.

(229)

Po zatwierdzeniu nakazu i masowym zgromadzeniu danych dokonuje się wyboru danych do zbadania. Etap wyboru i badania podlega dalszej analizie proporcjonalności prowadzonej przez analityka, który definiuje kryteria wyboru na podstawie celów operacyjnych wskazanych w nakazie (i ewentualnych przyjętych ustaleń dotyczących filtrowania). Jak określono w art. 152 i 193 IPA, wydając nakaz, Sekretarz Stanu musi zapewnić obowiązywanie ustaleń gwarantujących, aby wyboru materiałów dokonywano wyłącznie w odniesieniu do określonych celów operacyjnych oraz aby wybrane materiały były niezbędne i proporcjonalne we wszystkich okolicznościach. W tym kontekście władze Zjednoczonego Królestwa wyjaśniły, że materiały podlegające masowemu przechwytywaniu wybiera się przede wszystkim za pomocą automatycznego filtrowania służącego odrzuceniu danych, co do których nie jest prawdopodobne, aby były one istotne dla bezpieczeństwa narodowego. Dobór filtrów może ulegać zmianie (wraz ze zmianą wzorców, rodzajów i protokołów ruchu internetowego) w zależności od technologii i kontekstu operacyjnego. Na tym etapie dane można wybrać do zbadania wyłącznie wówczas, gdy są one odpowiednie do celów operacyjnych wskazanych w nakazie (387). Zabezpieczenia przewidziane w IPA 2016 w odniesieniu do badania zebranych materiałów mają zastosowanie do wszelkiego rodzaju danych (zarówno przechwyconych treści, jak i danych wtórnych) (388). W art. 152 i 193 IPA 2016 przewidziano również ogólny zakaz wyboru do zbadania materiałów odnoszących się do rozmów, w przypadku których nadawcami lub zamierzonymi odbiorcami są osoby fizyczne znajdujące się na terytorium Wysp Brytyjskich. Jeżeli organy zamierzają zbadać takie materiały, składają wniosek o nakaz ukierunkowanego zbadania na podstawie części 2 i 4 IPA 2016 wydawany przez Sekretarza Stanu i zatwierdzany przez komisarza sądowego (389). Osoba, która celowo wybiera do zbadania przechwycone treści niezgodnie z wymogami określonymi w przepisach (390), dopuszcza się czynu zabronionego (391).

(230)

Przeprowadzona przez analityka ocena wybranych materiałów podlega nadzorowi ex post sprawowanemu przez Komisarza ds. Uprawnień Dochodzeniowo-Śledczych, który ocenia zgodność z konkretnymi zabezpieczeniami określonymi w IPA 2016 w odniesieniu do etapu badania (392) (zob. również motyw 229). Komisarz ds. Uprawnień Dochodzeniowo-Śledczych musi kontrolować (w tym w drodze audytu, inspekcji i badania) wykonanie przez organy publiczne uprawnień dochodzeniowo-śledczych wymienionych w IPA 2016 (393). W tym kontekście w kodeksie postępowania w zakresie przechwytywania i kodeksie postępowania w zakresie ingerencji w urządzenia elektroniczne wyjaśniono, że dana agencja musi prowadzić dokumentację do celów badania i audytów na późniejszym etapie, a w takiej dokumentacji należy wskazać powody, dla których udostępnienie danych materiałów upoważnionym osobom jest niezbędne i proporcjonalne, oraz mające zastosowanie cele operacyjne (394). Na przykład w sprawozdaniu rocznym z 2018 r. Biuro Komisarza ds. Uprawnień Dochodzeniowo-Śledczych (395) ustaliło, że udokumentowane przez analityków powody uzasadniające zbadanie określonych materiałów gromadzonych masowo spełniały wymaganą normę proporcjonalności, gdyż przedstawiono wystarczająco szczegółowe uzasadnienie „zapytań” w stosunku do wyznaczonego celu (396). W swoim sprawozdaniu z 2019 r. Biuro Komisarza ds. Uprawnień Dochodzeniowo-Śledczych wyraźnie zaznaczyło w odniesieniu do uprawnień do masowego pozyskiwania danych swój zamiar kontynuowania kontroli przechwyceń masowych, w tym szczegółową analizę selektorów i kryteriów wyszukiwania (397). Biuro będzie również nadal uważnie analizować, indywidualnie dla każdego przypadku, wybór środków nadzoru (ukierunkowanych i masowych) zarówno w ramach rozpatrywania wniosków o wydanie nakazu w procedurze dwustopniowej autoryzacji, jak i w ramach kontroli (398). To dalsze monitorowanie zostanie należycie uwzględnione w kontekście monitorowania przez Komisję niniejszej decyzji, o którym mowa w motywach 281–284.

(231)

W części 6 rozdział 2 IPA 2016 uregulowano nakazy masowego pozyskania danych, które to nakazy upoważniają adresata do żądania od operatora telekomunikacyjnego ujawnienia lub uzyskania wszelkich danych pochodzących z łączności będących w posiadaniu operatora. Nakazy te upoważniają również organ wnioskujący do wyboru danych do dalszego etapu badania. Podobnie jak w przypadku ukierunkowanego zatrzymywania i pozyskiwania danych pochodzących z łączności (zob. motyw 199), również masowe pozyskiwanie danych pochodzących z łączności nie dotyczy zazwyczaj danych osobowych osób z UE, które to dane są przekazywane na podstawie niniejszej decyzji do Zjednoczonego Królestwa. Obowiązek ujawnienia danych pochodzących z łączności zgodnie z częścią 6 rozdział 2 IPA 2016 obejmuje dane, które są zbierane przez operatorów telekomunikacyjnych w Zjednoczonym Królestwie bezpośrednio od użytkowników usługi telekomunikacyjnej (399). Ten rodzaj przetwarzania „widoczny dla klienta” zazwyczaj nie wiąże się z przekazywaniem na podstawie niniejszej decyzji, tj. przekazywaniem od administratora lub podmiotu przetwarzającego w UE do administratora lub podmiotu przetwarzającego w Zjednoczonym Królestwie.

(232)

Niemniej dla pełnego obrazu sytuacji poniżej opisano warunki i zabezpieczenia regulujące pozyskiwanie masowych danych pochodzących z łączności.

(233)

IPA 2016 zastępuje przepisy dotyczące pozyskiwania masowych danych pochodzących z łączności, które były przedmiotem wyroku TSUE w sprawie Privacy International. Przepisy będące przedmiotem tej sprawy zostały uchylone, a nowy system przewiduje szczególne warunki i zabezpieczenia, na podstawie których można zatwierdzić taki środek.

(234)

W szczególności, inaczej niż w poprzednim systemie, w ramach którego Sekretarz Stanu miał pełną swobodę uznania w zatwierdzaniu środka (400), IPA 2016 wymaga, aby Sekretarz Stanu wydał nakaz wyłącznie wtedy, gdy środek jest niezbędny i proporcjonalny. W praktyce oznacza to, że powinien istnieć związek między dostępem do danych a realizowanym celem (401). W szczególności Sekretarz Stanu musi ocenić istnienie związku między środkiem, którego dotyczy wniosek, a celem lub celami operacyjnymi wskazanymi w nakazie (zob. motyw 219) w odniesieniu do oceny proporcjonalności; właściwy kodeks postępowania stanowi, że: „Sekretarz Stanu musi wziąć pod uwagę to, czy cel, który ma zostać osiągnięty za pomocą nakazu, można osiągnąć za pomocą innych, mniej inwazyjnych środków (art. 2 ust. 2 lit. a) ustawy). Przykładem może być uzyskanie wymaganych informacji przy użyciu mniej inwazyjnych środków takich jak ukierunkowane pozyskiwanie danych pochodzących z łączności” (402).

(235)

W celu przeprowadzenia takiej oceny Sekretarz Stanu opiera się na informacjach, które szefowie agencji wywiadowczych (403) zobowiązani są przedstawić w swoim wniosku, np. dotyczących powodów, dla których dany środek jest uważany za niezbędny ze względu na jedną z przesłanek ustawowych, oraz powodów, dla których zamierzonego celu nie można w racjonalny sposób osiągnąć za pomocą innych, mniej inwazyjnych środków (404). Ponadto cele operacyjne ograniczają zakres, w jakim dane uzyskane na podstawie nakazu można wybrać do zbadania (405). Jak określono we właściwym kodeksie postępowania, cele operacyjne muszą zawierać opis jasnego wymogu oraz wystarczającą liczbę informacji szczegółowych, aby upewnić Sekretarza Stanu, że uzyskane dane mogą zostać wybrane do zbadania wyłącznie ze szczególnych powodów (406). W praktyce przed wydaniem zezwolenia na wydanie nakazu Sekretarz Stanu będzie musiał upewnić się, że dokonano szczegółowych ustaleń w celu zagwarantowania, że do zbadania wybrane zostaną wyłącznie te materiały, które uznano za niezbędne do badania pod kątem celu operacyjnego i celu ustawowego, oraz że będą one proporcjonalne i niezbędne we wszystkich okolicznościach. Ten szczególny wymóg, odzwierciedlony w art. 158 i 172 (407) IPA 2016, dotyczący uprzedniej oceny niezbędności i proporcjonalności kryteriów stosowanych do celów wyboru, stanowi kolejną istotną nowość systemu wprowadzonego w IPA 2016 w porównaniu z systemem obowiązującym poprzednio.

(236)

W IPA 2016 nałożono również na Sekretarza Stanu obowiązek zapewnienia, aby przed wydaniem nakazu masowego pozyskiwania danych pochodzących z łączności zostały wprowadzone określone ograniczenia w zakresie bezpieczeństwa, zatrzymywania i ujawniania zgromadzonych danych osobowych (408). W przypadku ujawnienia za granicą zabezpieczenia opisane w motywie 227, dotyczące masowego przechwytywania i masowej ingerencji w urządzenia elektroniczne, mają zastosowanie również w tym kontekście (409). Dalsze ograniczenia określono w przepisach dotyczących okresu obowiązywania (410), przedłużania (411) i zmiany nakazów masowego pozyskania danych (412).

(237)

Co istotne, podobnie jak w przypadku pozostałych uprawnień do masowego pozyskiwania danych, przed wydaniem nakazu Sekretarz Stanu musi uzyskać zatwierdzenie przez komisarza sądowego (413). Jest to jedna z kluczowych cech systemu wprowadzonego na mocy IPA 2016.

(238)

Komisarz ds. Uprawnień Dochodzeniowo-Śledczych przeprowadza nadzór ex post procedury badania materiałów (danych pochodzących z łączności) uzyskanych masowo (zob. motyw 254 poniżej). W tym zakresie w IPA 2016 wprowadzono wymóg, aby przed wyborem danych do zbadania analityk wywiadu przeprowadzający badanie odnotował powód, dla którego proponowane badanie jest niezbędne i proporcjonalne dla określonego celu operacyjnego (414). W sprawozdaniu rocznym Biura Komisarza ds. Uprawnień Dochodzeniowo-Śledczych z 2019 r. w odniesieniu do praktyki GCHQ i MI5 stwierdzono, że: „kluczowa rola masowych danych pochodzących z łączności dla szerokiego zakresu działań prowadzonych w GCHQ została dobrze wyartykułowana w skontrolowanych przez nas sprawach. Po przeanalizowaniu charakteru danych, o które wystąpiono, oraz wskazanych wymogów wywiadowczych na podstawie dokumentacji upewniliśmy się, że podejście GCHQ i MI5 było niezbędne i proporcjonalne (415). Odnotowane uzasadnienia MI5 były na dobrym poziomie i spełniały zasady niezbędności i proporcjonalności” (416).

(239)

Nakazy dotyczące masowych zbiorów danych osobowych (417) upoważniają agencje wywiadowcze do zatrzymywania i badania zbiorów danych, które zawierają dane osobowe dotyczące większej liczby osób fizycznych. Zgodnie z wyjaśnieniami przedstawionymi przez władze Zjednoczonego Królestwa analiza takich zbiorów danych może być dla wspólnoty wywiadowczej Zjednoczonego Królestwa (UKIC) „jedynym sposobem na osiągnięcie postępów w dochodzeniach i identyfikację terrorystów na podstawie bardzo ograniczonych danych wywiadowczych lub w przypadku gdy komunikacja między nimi została celowo ukryta” (418). Istnieją dwa rodzaje nakazów: grupowe nakazy dotyczące masowych zbiorów danych osobowych (class BPD warrants) (419), które dotyczą określonej kategorii zbiorów danych, tj. zbiorów danych, które są podobne pod względem zawartości i proponowanego wykorzystania oraz wiążą się z podobnymi zagadnieniami dotyczącymi na przykład stopnia naruszenia prywatności i wrażliwości oraz proporcjonalności wykorzystania danych, co pozwala Sekretarzowi Stanu rozważyć niezbędność i proporcjonalność jednoczesnego pozyskania wszystkich danych w ramach danej kategorii. Na przykład grupowy nakaz dotyczący masowych zbiorów danych osobowych może obejmować zbiory danych o podróży, które odnoszą się do podobnych tras (420). Indywidualne nakazy dotyczące masowych zbiorów danych osobowych (specific BPD warrants) (421) dotyczą natomiast jednego określonego zbioru danych, takiego jak zbiór danych obejmujący nowy lub nietypowy rodzaj informacji, który nie wchodzi w zakres istniejącego grupowego nakazu dotyczącego masowych zbiorów danych osobowych, albo zbioru danych, który dotyczy określonych rodzajów danych osobowych (422) i w związku z tym wymaga dodatkowych zabezpieczeń (423). Przepisy IPA 2016 dotyczące masowych zbiorów danych osobowych pozwalają na badanie i zatrzymywanie takich zbiorów danych wyłącznie w przypadku, gdy jest to niezbędne i proporcjonalne (424), oraz zgodnie z ogólnymi zobowiązaniami dotyczącymi prywatności (425).

(240)

Uprawnienia do wydawania nakazu dotyczącego masowego zbioru danych osobowych podlegają procedurze dwustopniowej autoryzacji: ocenę niezbędności i proporcjonalności środka przeprowadza najpierw Sekretarz Stanu, a następnie komisarz sądowy (426). Sekretarz Stanu jest zobowiązany rozważyć charakter i zakres rodzaju nakazu i kategorię danych, których dotyczy wniosek, oraz liczbę poszczególnych masowych zbiorów danych osobowych, które mogą zostać objęte danym rodzajem nakazu (427). Ponadto jak określono w kodeksie postępowania w zakresie zatrzymywania i wykorzystywania przez służby wywiadowcze masowych zbiorów danych osobowych, należy prowadzić szczegółową dokumentację, która podlega kontroli Komisarza ds. Uprawnień Dochodzeniowo-Śledczych (428). Zatrzymywanie i badanie masowych zbiorów danych osobowych wykraczające poza zakres określony w IPA 2016 jest przestępstwem (429).

(241)

Danych osobowych przetwarzanych na podstawie części 4 DPA 2018 nie można przetwarzać w sposób niezgodny z celem, dla którego zostały zebrane (430). DPA 2018 stanowi, że administrator może przetwarzać dane w celu innym niż ten, dla którego dane zostały zebrane, jeżeli jest on zgodny z celem pierwotnym i pod warunkiem że administrator jest upoważniony przez prawo do przetwarzania danych, a przetwarzanie jest niezbędne i proporcjonalne (431). Ponadto ustawa o Służbie Bezpieczeństwa z 1989 r. oraz ustawa o służbach wywiadowczych z 1994 r. stanowią, że szefowie agencji wywiadowczych mają obowiązek dopilnować, aby nie uzyskano ani nie ujawniono żadnych informacji, z wyjątkiem tych, które są niezbędne do właściwego wykonywania funkcji agencji lub do pozostałych ograniczonych i szczególnych celów wymienionych we właściwych przepisach (432).

(242)

Ponadto w art. 109 DPA 2018 określono szczegółowe wymogi dotyczące międzynarodowego przekazywania danych osobowych przez służby wywiadowcze do państw trzecich lub organizacji międzynarodowych. Zgodnie z tym przepisem dane osobowe nie mogą być przekazywane do państwa ani terytorium poza Zjednoczonym Królestwem ani do organizacji międzynarodowej, chyba że przekazanie jest niezbędne i proporcjonalne do celów wykonywania ustawowych funkcji administratora lub do innych celów przewidzianych w art. 2 ust. 2 lit. a) ustawy o Służbie Bezpieczeństwa z 1989 r. lub art. 2 ust. 2 lit. a) i art. 4 ust. 2 lit. a) ustawy o służbach wywiadowczych z 1994 r. (433). Co ważne, wymogi te mają również zastosowanie w przypadkach, w których powołano się na wyłączenie ze względów bezpieczeństwa narodowego zgodnie z art. 110 DPA 2018, ponieważ w art. 110 DPA 2018 nie wymieniono art. 109 DPA 2018 jako jednego z przepisów, od których można odstąpić, jeżeli do celów ochrony bezpieczeństwa narodowego wymagane jest wyłączenie niektórych przepisów.

(243)

Ponadto, jak podkreślił Komisarz ds. Informacji w swoich wytycznych dotyczących przetwarzania danych przez służby wywiadowcze, oprócz zabezpieczeń przewidzianych w części 4 DPA 2018 agencja wywiadowcza, udostępniając dane organowi wywiadowczemu państwa trzeciego, podlega również zabezpieczeniom przewidzianym w innych mających do niej zastosowanie środkach ustawodawczych w celu zapewnienia, aby dane osobowe były pozyskiwane, udostępniane i przetwarzane zgodnie z prawem i w sposób odpowiedzialny (434). Przykładowo w IPA 2016 określono dalsze zabezpieczenia w odniesieniu do przekazywania do państwa trzeciego materiałów zebranych w drodze ukierunkowanego przechwytywania (435), ukierunkowanej ingerencji w urządzenia elektroniczne (436), masowego przechwytywania (437), masowego pozyskiwania danych pochodzących z łączności (438) oraz masowej ingerencji w urządzenia elektroniczne (439) (tzw. „ujawnienia za granicą”). W szczególności organ wydający nakaz musi zapewnić, aby obowiązywały ustalenia mające na celu zagwarantowanie, że państwo trzecie otrzymujące dane ogranicza liczbę osób, które zapoznają się z materiałami, zakres ujawnienia oraz liczbę kopii wszelkich materiałów do minimum niezbędnego do osiągnięcia dozwolonych celów określonych w IPA 2016 (440).

(244)

Dostęp rządowy do celów bezpieczeństwa narodowego nadzoruje szereg różnych organów. Komisarz ds. Informacji nadzoruje przetwarzanie danych osobowych w świetle DPA 2018 (więcej informacji na temat niezależności, roli związanej z powołaniem i uprawnień Komisarza znajduje się w motywach od 85 do 98), natomiast niezależny i sądowy nadzór nad korzystaniem z uprawnień dochodzeniowo-śledczych na mocy IPA 2016 sprawuje Komisarz ds. Uprawnień Dochodzeniowo-Śledczych. Komisarz ds. Uprawnień Dochodzeniowo-Śledczych nadzoruje korzystanie z uprawnień dochodzeniowo-śledczych wynikających z IPA 2016 zarówno przez organy ścigania, jak i przez organy bezpieczeństwa narodowego. Nadzór polityczny jest gwarantowany przez parlamentarną Komisję ds. Służb Wywiadowczych (Intelligence Service Committee of the Parliament).

(245)

Przetwarzanie danych osobowych prowadzone przez służby wywiadowcze na podstawie części 4 DPA 2018, nadzoruje Komisarz ds. Informacji (441).

(246)

Ogólne funkcje Komisarza ds. Informacji w odniesieniu do przetwarzania danych osobowych przez służby wywiadowcze na podstawie części 4 DPA 2018 zostały określone w załączniku 13 do tej ustawy. Jego zadania obejmują m.in.: monitorowanie i egzekwowanie części 4 DPA 2018, zwiększanie świadomości społecznej, doradzanie parlamentowi, rządowi i innym instytucjom w zakresie środków legislacyjnych i administracyjnych, zwiększanie świadomości administratorów i podmiotów przetwarzających w zakresie ich obowiązków, udzielanie informacji osobie, której dane dotyczą, dotyczących wykonywania jej praw czy prowadzenie postepowań.

(247)

Komisarz, podobnie jak określono w części 3 DPA 2018, jest uprawniony do powiadamiania administratorów o domniemanym naruszeniu oraz do wydawania ostrzeżeń, że przetwarzanie może naruszać przepisy, a także udziela upomnień, gdy naruszenie zostanie potwierdzone. Może również wydawać zawiadomienia egzekucyjne i zawiadomienia w sprawie sankcji za naruszenie określonych przepisów ustawy (442). W odróżnieniu jednak od uprawnień określonych w innych częściach DPA 2018 Komisarz nie może wydać zawiadomienia oceniającego organowi bezpieczeństwa narodowego (443).

(248)

Ponadto w art. 110 DPA 2018 przewidziano wyjątek dotyczący korzystania przez Komisarza z niektórych uprawnień, gdy jest to wymagane do celów ochrony bezpieczeństwa narodowego. Wyjątek ten obejmuje uprawnienie Komisarza do wydawania (wszelkiego rodzaju) zawiadomień na podstawie ustawy o ochronie danych (zawiadomień informacyjnych, oceniających, egzekucyjnych i w sprawie sankcji), uprawnienie do przeprowadzania inspekcji zgodnie z zobowiązaniami międzynarodowymi, uprawnienia do wstępu i inspekcji oraz przepisy dotyczące przestępstw (444). Jak wyjaśniono w motywie 126, wyjątki te mają zastosowanie tylko wtedy, gdy jest to niezbędne i proporcjonalne, oraz po przeprowadzeniu oceny każdego przypadku z osobna.

(249)

Komisarz ds. Informacji i służby wywiadowcze Zjednoczonego Królestwa podpisały protokół ustaleń (445), który ustanawia ramy współpracy w wielu kwestiach, w tym w zakresie powiadamiania o naruszeniu ochrony danych i rozpatrywania skarg osób, których dane dotyczą. W szczególności protokół ten stanowi, że po otrzymaniu skargi Komisarz ds. Informacji oceni prawidłowość zastosowania jakiegokolwiek wyłączenia dotyczącego bezpieczeństwa narodowego. Odpowiednia agencja wywiadowcza jest zobowiązana udzielić odpowiedzi na zapytania kierowane przez Komisarza ds. Informacji w kontekście rozpatrywania skarg indywidualnych w terminie 20 dni roboczych, korzystając z odpowiednich bezpiecznych kanałów, jeżeli zapytania dotyczą informacji niejawnych. Od kwietnia 2018 r. do chwili obecnej Komisarz ds. Informacji otrzymał od osób fizycznych 21 skarg, które dotyczyły służb wywiadowczych. Każda skarga została oceniona, a o rezultacie poinformowano osobę, której dane dotyczą (446).

(250)

Zgodnie z częścią 8 IPA 2016 nadzór nad korzystaniem z uprawnień dochodzeniowo-śledczych sprawuje Komisarz ds. Uprawnień Dochodzeniowo-Śledczych (IPC). Komisarzowi ds. Uprawnień Dochodzeniowo-Śledczych pomagają inni komisarze sądowi, których wspólnie określa się mianem komisarzy sądowych (447). W IPA 2016 określono gwarancje chroniące niezależność komisarzy sądowych. Od komisarzy sądowych wymaga się, aby zajmowali (obecnie lub w przeszłości) wysokie stanowiska sędziowskie (np. członkostwo w sądach najwyższego szczebla) (448) i, jak każdy pracownik wymiaru sprawiedliwości, korzystają oni ze statusu instytucji niezależnej od rządu (449). Zgodnie z art. 227 IPA 2016 to premier wyznacza Komisarza ds. Uprawnień Dochodzeniowo-Śledczych i tylu komisarzy sądowych, ilu uzna za niezbędne. Wszyscy komisarze, niezależnie od tego, czy są obecnymi, czy byłymi sędziami, mogą być mianowani wyłącznie na podstawie wspólnego zalecenia trzech głównych sędziów Anglii i Walii, Szkocji oraz Irlandii Północnej, a także Lorda Kanclerza (450). Sekretarz Stanu musi zapewnić Komisarzowi ds. Uprawnień Dochodzeniowo-Śledczych personel, pomieszczenia, wyposażenie oraz inne urządzenia i usługi (451). Kadencja komisarzy trwa trzy lata i mogą oni być mianowani ponownie (452). W ramach dodatkowego zabezpieczenia ich niezależności komisarze sądowi mogą zostać usunięci ze stanowiska wyłącznie w ściśle określonych okolicznościach nakładających wysoki próg: albo przez premiera w szczególnych okolicznościach wymienionych w sposób wyczerpujący w art. 228 ust. 5 IPA 2016 (takich jak upadłość lub kara pozbawienia wolności), albo jeśli uchwała zatwierdzająca usunięcie została przyjęta przez obie izby parlamentu (453).

(251)

Komisarza ds. Uprawnień Dochodzeniowo-Śledczych i komisarzy sądowych wspiera w pełnieniu ich funkcji Biuro Komisarza ds. Uprawnień Dochodzeniowo-Śledczych. Personel Biura Komisarza ds. Uprawnień Dochodzeniowo-Śledczych składa się z zespołu inspektorów, wewnętrznych ekspertów prawnych i technicznych oraz panelu doradczego ds. technologii, zapewniającego fachowe doradztwo. Podobnie jak w przypadku poszczególnych komisarzy sądowych, niezależność Biura Komisarza ds. Uprawnień Dochodzeniowo-Śledczych jest chroniona. Biuro Komisarza ds. Uprawnień Dochodzeniowo-Śledczych jest „organem niezależnym” Home Office, tj. otrzymuje fundusze od Home Office, ale wykonuje swoje funkcje niezależnie (454).

(252)

Główne funkcje komisarzy sądowych określono w art. 229 IPA 2016 (455). W szczególności komisarze sądowi mają szerokie uprawnienia w zakresie uprzedniej zgody, co stanowi część zabezpieczeń wprowadzonych do ram prawnych Zjednoczonego Królestwa wraz z IPA 2016. Komisarze sądowi muszą zatwierdzać nakazy w odniesieniu do ukierunkowanego przechwytywania, ingerencji w urządzenia elektroniczne, masowego zbioru danych osobowych, masowego pozyskiwania danych pochodzących z łączności, a także nakazy zatrzymywania danych pochodzących z łączności (456). Komisarz ds. Uprawnień Dochodzeniowo-Śledczych musi również zawsze wstępnie zatwierdzać pozyskiwanie danych pochodzących z łączności do celów ścigania przestępstw (457). Jeżeli komisarz odmówi zatwierdzenia nakazu, Sekretarz Stanu może odwołać się do Komisarza ds. Uprawnień Dochodzeniowo-Śledczych, którego decyzja jest ostateczna.

(253)

Specjalny sprawozdawca ONZ ds. prawa do prywatności z dużym zadowoleniem przyjął powołanie komisarzy sądowych w ramach IPA 2016, ponieważ „wszystkie bardziej wrażliwe lub inwazyjne wnioski o prowadzenie nadzoru muszą być zatwierdzone zarówno przez ministra rządu, jak i przez Biuro Komisarza ds. Uprawnień Dochodzeniowo-Śledczych”. W szczególności podkreślił, że „ten element kontroli sądowej [poprzez rolę Komisarza ds. Uprawnień Dochodzeniowo-Śledczych], przy wsparciu lepiej wyposażonego zespołu doświadczonych inspektorów i ekspertów ds. technologii, jest jednym z najważniejszych nowych zabezpieczeń wprowadzonych przez IPA” w miejsce wcześniejszego rozdrobnionego systemu organów nadzoru i jako uzupełnienie kompetencji Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa Parlamentu i Trybunału ds. Uprawnień Dochodzeniowo-Śledczych (458).

(254)

Ponadto Komisarz ds. Uprawnień Dochodzeniowo-Śledczych ma uprawnienia do prowadzenia nadzoru ex post (459), w tym w drodze audytu, kontroli i dochodzeń, nad wykonywaniem uprawnień dochodzeniowo-śledczych na mocy IPA 2016 oraz niektórych innych uprawnień i funkcji przewidzianych w odpowiednich przepisach (460). Wyniki takiego nadzoru ex post są zawarte w sprawozdaniu, które Komisarz ds. Uprawnień Dochodzeniowo-Śledczych musi przygotowywać corocznie i przedstawiać premierowi (461) oraz które musi być publikowane i przedkładane Parlamentowi (462). Sprawozdanie zawiera odpowiednie dane statystyczne i informacje na temat korzystania z uprawnień dochodzeniowo-śledczych przez agencje wywiadowcze i organy ścigania, a także na temat stosowania zabezpieczeń w odniesieniu do elementów objętych prawniczą tajemnicą zawodową, poufnych materiałów dziennikarskich i źródeł informacji dziennikarskich, informacji na temat podjętych ustaleń i celów operacyjnych wykorzystywanych w kontekście nakazów masowego pozyskania danych. Ponadto w sprawozdaniu rocznym Biura Komisarza ds. Uprawnień Dochodzeniowo-Śledczych określono, w jakim obszarze organom publicznym przekazano zalecenia i jak się do nich odniesiono (463).

(255)

Zgodnie z art. 231 IPA 2016, jeżeli Komisarz ds. Uprawnień Dochodzeniowo-Śledczych dowie się o jakimkolwiek istotnym błędzie popełnionym przez organy publiczne przy korzystaniu z ich uprawnień dochodzeniowo-śledczych, musi poinformować daną osobę, jeżeli uzna, że błąd jest poważny i że poinformowanie tej osoby leży w interesie publicznym (464). W szczególności w art. 231 IPA 2016 określono, że informując osobę o błędzie, Komisarz ds. Uprawnień Dochodzeniowo-Śledczych musi przekazać informacje o prawie danej osoby do wystąpienia z wnioskiem do Trybunału ds. Uprawnień Dochodzeniowo-Śledczych, a także przekazać szczegóły, które Komisarz uzna za niezbędne do korzystania z tych praw, a za ujawnieniem przemawia interes publiczny (465).

(256)

Podstawą ustawową regulującą nadzór parlamentarny sprawowany przez Komisję ds. Agencji Wywiadowczych i Bezpieczeństwa jest ustawa o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. (466). Na mocy tej ustawy powołano Komisję ds. Agencji Wywiadowczych i Bezpieczeństwa, która stanowi jedną z komisji parlamentu Zjednoczonego Królestwa. W 2013 r. zwiększono zakres uprawnień Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa i obecnie obejmuje on również nadzór nad działaniami operacyjnymi podejmowanymi przez służby bezpieczeństwa. Zgodnie z art. 2 ustawy o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa powierzono zadanie sprawowania nadzoru nad wydatkami agencji bezpieczeństwa narodowego, ich administracją, realizowaną przez nie polityką oraz podejmowanymi przez nie działaniami operacyjnymi. Zgodnie z ustawą o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa może prowadzić postępowania w kwestiach operacyjnych, jeżeli nie dotyczą one operacji będących w toku (467). W protokole ustaleń uzgodnionym między premierem a Komisją ds. Agencji Wywiadowczych i Bezpieczeństwa (468) wyszczególniono elementy, które należy wziąć pod uwagę przy ustalaniu, czy dana czynność jest częścią operacji będącej w toku, czy też nie (469). Premier może również zwrócić się do Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa o zbadanie operacji będących w toku; komisja może ponadto dokonać przeglądu informacji przekazanych dobrowolnie przez agencje.

(257)

Zgodnie z załącznikiem 1 do ustawy o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa może wystąpić do kierownika każdej z trzech służb wywiadowczych o ujawnienie wszelkich informacji. Agencja jest zobowiązana udostępnić żądane informacje, chyba że Sekretarz Stanu się temu sprzeciwi (470). Zgodnie z wyjaśnieniami przedstawionymi przez władze Zjednoczonego Królestwa w praktyce przypadki odmowy udostępnienia Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa żądanych przez nią informacji zdarzają się niezwykle rzadko (471).

(258)

W skład Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa wchodzą członkowie izb parlamentu powołani przez premiera po zasięgnięciu opinii lidera opozycji (472). Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa jest zobowiązana przedstawić parlamentowi sprawozdanie roczne ze swojej działalności, a w stosownych przypadkach również inne sprawozdania (473). Ponadto Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa jest uprawniona do otrzymywania co trzy miesiące wykazu celów operacyjnych, który wykorzystuje się do badania materiałów otrzymywanych masowo (474). Premier udostępnia Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa kopie dokumentów dotyczących postępowań, inspekcji lub audytów prowadzonych przez Komisarza ds. Uprawnień Dochodzeniowo-Śledczych, jeżeli przedmiot sprawozdań jest istotny dla ustawowych kompetencji Komisji (475). Ponadto Komisja może zwrócić się do Komisarza ds. Uprawnień Dochodzeniowo-Śledczych o przeprowadzenie postępowania, a Komisarz musi poinformować Komisję ds. Agencji Wywiadowczych i Bezpieczeństwa o decyzji dotyczącej przeprowadzenia takiego postępowania (476).

(259)

Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa przedstawiła również swoje uwagi na temat projektu IPA 2016, co zaowocowało szeregiem poprawek, które zostały obecnie odzwierciedlone w IPA 2016 (477). W szczególności Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa zaleciła wzmocnienie ochrony prywatności poprzez wprowadzenie zestawu środków ochrony prywatności mających zastosowanie do pełnego zakresu uprawnień dochodzeniowo-śledczych (478). Komisja zaproponowała również zmiany w zakresie proponowanych możliwości dotyczących ingerencji w urządzenia elektroniczne, masowego zbioru danych osobowych i danych pochodzących z łączności oraz zwróciła się o wprowadzenie innych szczegółowych zmian w celu wzmocnienia ograniczeń i zabezpieczeń w zakresie korzystania z uprawnień dochodzeniowo-śledczych (479).

(260)

W dziedzinie dostępu rządu do danych w celach bezpieczeństwa narodowego, osobom, których dane dotyczą, powinna przysługiwać możliwość skorzystania przed niezawisłym i bezstronnym sądem ze środków prawnych w celu uzyskania dostępu do dotyczących ich danych osobowych lub sprostowania lub usunięcia takich danych (480). Taki organ sądowy musi w szczególności posiadać uprawnienia do przyjmowania wiążących decyzji w sprawie służby wywiadowczej (481). W Zjednoczonym Królestwie, jak wyjaśniono w motywach 261–271, szereg sądowych środków zaskarżenia zapewnia osobom, których dane dotyczą, możliwość ubiegania się o takie środki ochrony prawnej i skorzystania z nich.

(261)

Zgodnie z art. 165 DPA 2018 osoba, której dane dotyczą, ma prawo do wniesienia skargi do Komisarza ds. Informacji, jeżeli uważa, że doszło do naruszenia części 4 DPA 2018 w odniesieniu do danych osobowych, które jej dotyczą. Komisarz ds. Informacji jest uprawniony do oceny przestrzegania DPA 2018 przez administratora i podmiot przetwarzający oraz wezwania ich do podjęcia koniecznych działań. Ponadto zgodnie z częścią 4 DPA 2018 osoby fizyczne są uprawnione do wystąpienia do Wysokiego Trybunału (lub do Court of Session w Szkocji) o wydanie nakazu zobowiązującego administratora do zapewnienia poszanowania prawa dostępu do danych (482), prawa do wyrażenia sprzeciwu wobec przetwarzania danych (483) lub prawa do sprostowania danych bądź ich usunięcia (484).

(262)

Osoby fizyczne mogą również dochodzić odszkodowania z tytułu szkód, jakich doznały wskutek niespełnienia przez administratora lub podmiot przetwarzający wymogu ustanowionego w części 4 DPA 2018 (485). Szkoda obejmuje zarówno stratę finansową, jak i szkodę niezwiązaną ze stratą finansową, taką jak cierpienie (486).

(263)

Osobom fizycznym przysługują środki zaskarżenia z tytułu naruszenia IPA 2016 przed Trybunałem ds. Uprawnień Dochodzeniowo-Śledczych (Investigatory Powers Tribunal).

(264)

Trybunał ds. Uprawnień Dochodzeniowo-Śledczych został ustanowiony na mocy RIPA 2000 i jest niezależny od władzy wykonawczej (487). Zgodnie z art. 65 RIPA 2000 Jej Królewska Mość powołuje członków tego Trybunału na pięcioletnią kadencję. Jej Królewska Mość może odwołać członka tego Trybunału na podstawie oświadczenia (488) obydwu izb parlamentu (489).

(265)

Zgodnie z art. 65 RIPA 2000 Trybunał jest właściwym organem sądowym dla wszelkich skarg wnoszonych przez osoby poszkodowane w toku postępowania prowadzonego na podstawie IPA 2016 lub RIPA 2000 bądź jakiegokolwiek postępowania służb wywiadowczych (490).

(266)

Aby wszcząć postępowanie przed Trybunałem ds. Uprawnień Dochodzeniowo-Śledczych („wymóg w zakresie legitymacji procesowej”), zgodnie z art. 65 RIPA 2000 osoba fizyczna musi żywić przekonanie (491), że służba wywiadowcza podjęła określone działania w odniesieniu do niej, jakiegokolwiek składnika jej majątku, jakichkolwiek wysyłanych przez nią lub adresowanych do niej wiadomości lub wiadomości, które miały zostać jej przesłane, lub w odniesieniu do korzystania przez nią z jakichkolwiek usług pocztowych, usług telekomunikacyjnych lub systemu telekomunikacyjnego” (492). Ponadto skarżący musi być przekonany, że działania te były podejmowane w „okolicznościach budzących wątpliwości” (493) lub „przez służby wywiadowcze lub w ich imieniu” (494). Ponieważ do owego „przekonania” stosuje się dość szeroką wykładnię (495), wniesienie sprawy do Trybunału podlega łagodnym wymogom w zakresie legitymacji procesowej.

(267)

W przypadku gdy Trybunał ds. Uprawnień Dochodzeniowo-Śledczych rozpatruje wniesioną do niego skargę, jego obowiązkiem jest zbadanie, czy osoby, wobec których w skardze sformułowano jakikolwiek zarzut, dopuściły się naruszeń w stosunku do skarżącego, jak również zbadanie organu, który rzekomo dopuścił się naruszeń, oraz kwestii, czy miało miejsce zarzucane działanie (496). We wszelkich tego rodzaju postępowaniach przy wydawaniu orzeczeń Trybunał musi stosować te same zasady, które zastosowałby sąd w przypadku wniosku o kontrolę sądową (497). Ponadto adresaci nakazów lub zawiadomień na podstawie IPA 2016, a także każda inna osoba pełniąca urząd podlegający zwierzchnictwu władzy królewskiej, zatrudniona przez siły policyjne lub Komisarza ds. Dochodzeń Policyjnych i Kontroli mają obowiązek ujawnić lub dostarczyć temu Trybunałowi wszelkie dokumenty i informacje, jakich Trybunał zażąda na potrzeby wykonywania prawa orzekania (498).

(268)

Trybunał ds. Uprawnień Dochodzeniowo-Śledczych musi powiadomić skarżącego o tym, czy wydał orzeczenie na jego korzyść, czy nie (499). Zgodnie z art. 67 ust. 6 i 7 RIPA 2000 Trybunał jest uprawniony do wydawania nakazów tymczasowych oraz zasądzania odszkodowania lub zastosowania innego nakazu, jaki uzna za stosowny. Może to obejmować nakaz unieważnienia lub anulowania nakazu lub zezwolenia oraz nakaz zniszczenia wszelkich zapisów informacji uzyskanych w ramach wykonywania uprawnień przyznanych na podstawie nakazu, zezwolenia lub zawiadomienia lub w inny sposób przechowywanych przez organ publiczny w odniesieniu do jakiejkolwiek osoby (500). Zgodnie z art. 67A RIPA 2000 orzeczenie Trybunału można zaskarżyć pod warunkiem uzyskania zgody Trybunału lub właściwego sądu apelacyjnego.

(269)

Warto wreszcie zauważyć, że rolę Trybunału ds. Uprawnień Dochodzeniowo-Śledczych omawiano kilkakrotnie w kontekście czynności prawnych przed Europejskim Trybunałem Praw Człowieka, zwłaszcza w sprawie Kennedy przeciwko Zjednoczonemu Królestwu (501), a ostatnio w sprawie Big Brother Watch i in. przeciwko Zjednoczonemu Królestwu (502), w przypadku której Trybunał uznał, że „Trybunał ds. Uprawnień Dochodzeniowo-Śledczych zaoferował solidne sądowe środki zaskarżenia każdemu, kto podejrzewał, że jego komunikacja była przechwytywana przez służby wywiadowcze” (503).

(270)

Jak wyjaśniono w motywach 109–111, środki zaskarżenia przewidziane w ustawie o prawach człowieka z 1998 r. i środki umożliwiające zaskarżenie przed Europejski Trybunał Praw Człowieka (504) są również dostępne w obszarze bezpieczeństwa narodowego. W art. 65 ust. 2 RIPA 2000 przyznano Trybunałowi ds. Uprawnień Dochodzeniowo-Śledczych właściwość wyłączną w zakresie wszystkich roszczeń wynikających z ustawy o prawach człowieka w odniesieniu do agencji wywiadowczych (505). Jak zauważył Wysoki Trybunał, oznacza to, że „kwestia, czy doszło do naruszenia ustawy o prawach człowieka w zakresie okoliczności faktycznych konkretnej sprawy, może być zasadniczo podniesiona i rozstrzygnięta przez niezależny sąd, który może mieć dostęp do wszystkich istotnych materiałów, w tym materiałów niejawnych. [...] W tym kontekście należy również pamiętać, że orzeczenia samego Trybunału mogą obecnie stać się przedmiotem odwołania do odpowiedniego sądu apelacyjnego (w Anglii i Walii byłby to Sąd Apelacyjny) oraz że Sąd Najwyższy orzekł niedawno, że Trybunał może co do zasady podlegać kontroli sądowej: zob. Korona (Privacy International) przeciwko Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219” (506).

(271)

Z powyższego wynika, że gdy organy ścigania lub organy bezpieczeństwa narodowego Zjednoczonego Królestwa uzyskują dostęp do danych osobowych objętych zakresem niniejszej decyzji, dostęp taki jest regulowany przepisami określającymi warunki, na jakich dostęp ten może mieć miejsce, i zapewniają ograniczenie dostępu do danych i ich dalszego wykorzystywania do tego, co jest niezbędne i proporcjonalne do celu związanego ze ściganiem przestępstw lub bezpieczeństwem narodowym. Ponadto dostęp taki w większości przypadków wymaga uprzedniego zezwolenia organu sądowego, poprzez zatwierdzenie nakazu lub nakazu wydania dowodów, a w każdym przypadku podlega niezależnemu nadzorowi. Po uzyskaniu przez organy publiczne dostępu do danych, ich przetwarzanie, w tym dalsze udostępnianie i dalsze przekazywanie, podlega szczególnym zabezpieczeniom służącym ochronie danych na podstawie części 3 DPA 2018, odzwierciedlającym zabezpieczenia przewidziane w dyrektywie (UE) 2016/680, w przypadku przetwarzania przez organy ścigania, oraz części 4 DPA 2018 w przypadku przetwarzania przez agencje wywiadowcze. Ponadto osoby, których dane dotyczą, korzystają w tym obszarze ze skutecznych administracyjnych i sądowych środków zaskarżenia, w tym prawa do uzyskania dostępu do swoich danych, ich sprostowania lub usunięcia.

(272)

Biorąc pod uwagę znaczenie takich warunków, ograniczeń i zabezpieczeń dla celów niniejszej decyzji, Komisja będzie ściśle monitorować stosowanie i interpretację przepisów Zjednoczonego Królestwa regulujących dostęp rządu do danych. Będzie to obejmować odpowiednie kwestie w zakresie prawodawstwa, i regulacji i orzecznictwa, a także działania Komisarza ds. Informacji i innych organów nadzoru w tej dziedzinie. Szczególna uwaga zostanie również poświęcona wykonaniu przez Zjednoczone Królestwo odpowiednich wyroków Europejskiego Trybunału Praw Człowieka, w tym środków określonych w planach działania i sprawozdaniach z działań przedłożonych Komitetowi Ministrów w kontekście nadzoru nad przestrzeganiem orzeczeń Trybunału.

(273)

Komisja uważa, że RODO UK i DPA 2018 zapewniają stopień ochrony danych osobowych przekazywanych z Unii Europejskiej, który zasadniczo odpowiada stopniowi ochrony zagwarantowanemu w rozporządzeniu (UE) 2016/679.

(274)

Ponadto Komisja stwierdza, że mechanizmy nadzoru i możliwości dochodzenia roszczeń przewidziane w prawie Zjednoczonego Królestwa – rozumiane jako całość – zapewniają możliwość identyfikowania przypadków naruszenia przepisów i w praktyce nakładania za te naruszania kar oraz oferują osobom, których dane dotyczą, możliwość skorzystania ze środków ochrony prawnej w celu uzyskania dostępu do dotyczących ich danych osobowych, a także – ostatecznie – sprostowania lub usunięcia takich danych.

(275)

Wreszcie na podstawie dostępnych informacji na temat porządku prawnego Zjednoczonego Królestwa Komisja uważa, że wszelkie ingerencje w prawa podstawowe osób fizycznych, których dane osobowe są przekazywane z Unii Europejskiej do Zjednoczonego Królestwa, jakich dopuszczają się organy publiczne Zjednoczonego Królestwa do celów zgodnych z interesem publicznym, w szczególności do celów ścigania przestępstw i bezpieczeństwa narodowego, będą ograniczać się do tego, co jest ściśle niezbędne do osiągnięcia danego uzasadnionego celu, oraz że istnieje skuteczna ochrona prawna przed takimi ingerencjami.

(276)

W świetle ustaleń niniejszej decyzji należy zatem uznać, że Zjednoczone Królestwo zapewnia odpowiedni stopień ochrony w rozumieniu art. 45 rozporządzenia (UE) 2016/679, interpretowanego w świetle Karty praw podstawowych Unii Europejskiej.

(277)

Wniosek ten opiera się zarówno na odpowiednim systemie krajowym Zjednoczonego Królestwa, jak i na jego zobowiązaniach międzynarodowych, w szczególności na przystąpieniu do Konwencji o ochronie praw człowieka i podstawowych wolności i poddaniu się jurysdykcji Europejskiego Trybunału Praw Człowieka. Nieprzerwane przestrzeganie takich zobowiązań międzynarodowych stanowi zatem szczególnie istotny element oceny, na której opiera się niniejsza decyzja.

(278)

Państwa członkowskie i ich organy mają obowiązek stosować środki niezbędne do zapewnienia zgodności z aktami instytucji unijnych, ponieważ domniemywa się, że akty te są zgodne z prawem, a zatem wywołują skutki prawne do chwili ich wygaśnięcia, uchylenia, stwierdzenia ich nieważności w postępowaniu o stwierdzenie nieważności lub orzeczenia o ich nieważności w następstwie odesłania prejudycjalnego lub zarzutu niezgodności z prawem.

(279)

Decyzja stwierdzająca odpowiedni stopień ochrony danych osobowych przyjęta przez Komisję na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 jest zatem wiążąca dla wszystkich organów państw członkowskich, do których jest skierowana, w tym ich niezależnych organów nadzorczych. W szczególności w okresie stosowania niniejszej decyzji przekazywanie danych przez administratora lub podmiot przetwarzający w Unii Europejskiej administratorom lub podmiotom przetwarzającym w Zjednoczonym Królestwie może odbywać się bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia.

(280)

Należy przypomnieć, że zgodnie z art. 58 ust. 5 rozporządzenia (UE) 2016/679 i jak wyjaśnił Trybunał Sprawiedliwości w wyroku w sprawie Schrems I (507), jeżeli krajowy organ ochrony danych kwestionuje, w tym na podstawie skargi, zgodność wydanej przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony z przysługującymi osobie fizycznej prawami podstawowymi do prywatności i ochrony danych, należy zapewnić w prawie krajowym drogę prawną umożliwiającą tej osobie podniesienie tych zarzutów przed sądem krajowym, który może być zobowiązany do wystąpienia z odesłaniem prejudycjalnym do Trybunału Sprawiedliwości (508).

(281)

Zgodnie z art. 45 ust. 4 rozporządzenia (UE) 2016/679 Komisja jest zobowiązana na bieżąco monitorować odpowiednie zmiany w Zjednoczonym Królestwie po przyjęciu niniejszej decyzji, aby ocenić, czy nadal zapewnia ono zasadniczo odpowiadający stopień ochrony. Takie monitorowanie jest szczególnie ważne w tym przypadku, ponieważ nowy system ochrony danych Zjednoczonego Królestwa, którym będzie ono zarządzać, stosować go i egzekwować jego stosowanie, nie będzie już podlegać prawu Unii; może również ulegać zmianom. W związku z tym szczególna uwaga zostanie zwrócona na stosowanie w praktyce przepisów Zjednoczonego Królestwa dotyczących przekazywania danych osobowych do państw trzecich oraz na wpływ, jaki może to mieć na stopień ochrony zapewnianej danym przekazywanym na mocy niniejszej decyzji; na skuteczność korzystania z indywidualnych praw, w tym wszelkie istotne zmiany w prawie i praktyce dotyczących wyjątków lub ograniczeń takich praw (w szczególności wyjątku dotyczącego utrzymania skutecznej kontroli imigracyjnej) oraz przestrzegania ograniczeń i zabezpieczeń w odniesieniu do dostępu rządowego. W ramach monitorowania Komisja uwzględni m.in. zmiany w orzecznictwie i nadzór ze strony Komisarza ds. Informacji i innych niezależnych organów.

(282)

Aby ułatwić to monitorowanie, władze Zjednoczonego Królestwa powinny niezwłocznie informować Komisję o wszelkich istotnych zmianach w porządku prawnym Zjednoczonego Królestwa, które mają wpływ na ramy prawne będące przedmiotem niniejszej decyzji, a także o wszelkich zmianach praktyk związanych z przetwarzaniem danych osobowych poddanych ocenie w niniejszej decyzji, zarówno w odniesieniu do przetwarzania danych osobowych przez administratorów i podmioty przetwarzające na mocy RODO UK, jak i ograniczeń i zabezpieczeń dotyczących dostępu do danych przez organy publiczne. Powinno to obejmować zmiany dotyczące elementów, o których mowa w motywie 281.

(283)

Ponadto, aby Komisja mogła skutecznie realizować funkcję monitorowania, państwa członkowskie powinny informować ją o wszelkich istotnych działaniach podejmowanych przez organy ochrony danych państw członkowskich, zwłaszcza w odniesieniu do zapytań lub skarg osób z UE, których dane dotyczą, dotyczących przekazywania danych osobowych z Unii administratorom i podmiotom przetwarzającym w Zjednoczonym Królestwie. Komisja powinna być również informowana o wszelkich sygnałach świadczących o tym, że działania organów publicznych Zjednoczonego Królestwa odpowiedzialnych za zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie czynów zabronionych, lub za bezpieczeństwo narodowe, w tym wszelkich organów nadzoru, nie gwarantują wymaganego stopnia ochrony.

(284)

W przypadku gdy z dostępnych informacji, w szczególności informacji uzyskanych w wyniku monitorowania niniejszej decyzji lub przedstawionych przez władze Zjednoczonego Królestwa lub państw członkowskich, wynika, że stopień ochrony zapewniany przez Zjednoczone Królestwo może nie być już odpowiedni, Komisja powinna powiadomić o tym właściwe organy Zjednoczonego Królestwa i zwrócić się o zastosowanie właściwych środków w określonym terminie, który nie może przekraczać trzech miesięcy. W razie potrzeby okres ten może zostać przedłużony o określony czas, biorąc pod uwagę charakter danej kwestii i środki, które należy zastosować. Procedura taka byłaby uruchamiana m.in. w przypadkach, w których dalsze przekazywanie danych, w tym na podstawie nowych rozporządzeń stwierdzających odpowiedni stopień ochrony przyjętych przez sekretarza stanu lub umów międzynarodowych zawartych przez Zjednoczone Królestwo, nie odbywałoby się już w ramach gwarancji zapewniających ciągłość ochrony w rozumieniu art. 44 rozporządzenia (UE) 2016/679.

(285)

Jeśli po upływie tego określonego terminu właściwe organy Zjednoczonego Królestwa nie zastosują tych środków lub w inny zadowalający sposób nie wykażą, że niniejsza decyzja jest nadal oparta na odpowiednim stopniu ochrony, Komisja rozpocznie procedurę, o której mowa w art. 93 ust. 2 rozporządzenia (UE) 2016/679, w celu częściowego lub całkowitego zawieszenia lub uchylenia niniejszej decyzji.

(286)

Ewentualnie Komisja rozpocznie tę procedurę w celu zmiany decyzji, zwłaszcza uzależniając przekazywanie danych od spełnienia dodatkowych warunków lub ograniczając zakres stwierdzenia odpowiedniego stopnia ochrony wyłącznie do przekazywania danych, co do których zapewniono ciągłość odpowiedniego stopnia ochrony.

(287)

W należycie uzasadnionych, szczególnie pilnych przypadkach Komisja skorzysta z możliwości przyjęcia zgodnie z procedurą, o której mowa w art. 93 ust. 3 rozporządzenia (UE) 2016/679, mających natychmiastowe zastosowanie aktów wykonawczych zawieszających, uchylających lub zmieniających decyzję.

(288)

Komisja musi wziąć pod uwagę, że wraz z zakończeniem okresu przejściowego przewidzianego w umowie o wystąpieniu oraz z chwilą, gdy przestanie obowiązywać przepis przejściowy określony w art. 782 umowy o handlu i współpracy między Zjednoczonym Królestwem a UE, Zjednoczone Królestwo będzie zarządzać nowym systemem ochrony danych w porównaniu z systemem, który obowiązywał, gdy Zjednoczone Królestwo było związane prawem Unii, a także stosować go i egzekwować jego stosowanie. Może to w szczególności obejmować poprawki lub zmiany w ramach ochrony danych poddanych ocenie w niniejszej decyzji, jak również inne istotne zmiany.

(289)

W związku z tym należy zapewnić, aby niniejsza decyzja była stosowana przez okres czterech lat od chwili jej wejścia w życie.

(290)

W przypadku gdy w szczególności z informacji uzyskanych w wyniku monitorowania niniejszej decyzji będzie wynikało, że ustalenia dotyczące odpowiedniego stopnia ochrony zapewnianego w Zjednoczonym Królestwie są nadal uzasadnione pod względem faktycznym i prawnym, Komisja powinna, najpóźniej sześć miesięcy przed zakończeniem okresu stosowania niniejszej decyzji, wszcząć procedurę zmiany niniejszej decyzji poprzez przedłużenie jej zakresu czasowego, co do zasady, na dodatkowy okres czterech lat. Każdy taki akt wykonawczy zmieniający niniejszą decyzję należy przyjąć zgodnie z procedurą, o której mowa w art. 93 ust. 2 rozporządzenia (UE) 2016/679.

(291)

Europejska Rada Ochrony Danych opublikowała swoją opinię (509), która została uwzględniona podczas przygotowywania niniejszej decyzji.

(292)

Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 93 rozporządzenia (UE) 2016/679,

(1)

W dyrektywie (UE) 2016/680 określono zasady przekazywania danych osobowych przez właściwe organy w Unii państwom trzecim i organizacjom międzynarodowym w stopniu, w jakim takie przekazywanie wchodzi w zakres jej stosowania. Zasady dotyczące międzynarodowego przekazywania danych przez właściwe organy określono w rozdziale V dyrektywy (UE) 2016/680, a konkretniej w art. 35–40. Przepływ danych osobowych do państw spoza Unii Europejskiej oraz z takich państw jest niezbędnym warunkiem skutecznej współpracy w zakresie ścigania przestępstw, należy jednak zagwarantować, aby takie przekazywanie danych osobowych nie obniżało stopnia ochrony zapewnianego tym danym w Unii Europejskiej (2).

(2)

Na podstawie art. 36 ust. 3 dyrektywy (UE) 2016/680 Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Przy spełnieniu tego warunku przekazywanie danych osobowych do państwa trzeciego może nastąpić bez konieczności uzyskania dodatkowego zezwolenia (z wyjątkiem sytuacji, w której inne państwo członkowskie, od którego dane uzyskano, musi udzielić zgody na ich przekazanie), jak przewidziano w art. 35 ust. 1 i motywie 66 dyrektywy (UE) 2016/680.

(3)

Jak określono w art. 36 ust. 2 dyrektywy (UE) 2016/680, przy przyjmowaniu decyzji stwierdzającej odpowiedni stopień ochrony należy opierać się na wszechstronnej analizie porządku prawnego państwa trzeciego. W swojej ocenie Komisja musi ustalić, czy dane państwo trzecie daje gwarancje zapewniające stopień ochrony „zasadniczo odpowiadający” stopniowi ochrony zapewnianemu w Unii Europejskiej (motyw 67 dyrektywy (UE) 2016/680). Oceny spełnienia tego warunku dokonuje się według standardu ustanowionego w przepisach UE, w szczególności w dyrektywie (UE) 2016/680, a także w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej (3). Istotne znaczenie w tym zakresie mają również wytyczne dotyczące odpowiedniego stopnia ochrony przekazywanych danych osobowych zatwierdzone przez Europejską Radę Ochrony Danych (4).

(4)

Jak wyjaśnił w swoim orzecznictwie Trybunał Sprawiedliwości Unii Europejskiej, nie oznacza to konieczności stwierdzenia identycznego stopnia ochrony (5). W szczególności środki, z jakich korzysta dane państwo trzecie do zapewnienia ochrony danych osobowych, mogą różnić się od środków wprowadzonych w Unii Europejskiej, o ile w praktyce skutecznie zapewniają odpowiedni stopień ochrony (6). Odpowiedni standard ochrony nie wymaga zatem dokładnego powielenia przepisów unijnych. Przy określaniu odpowiedniości chodzi raczej o stwierdzenie, czy biorąc pod uwagę istotę prawa do prywatności oraz jego skuteczne wprowadzenie w życie, egzekwowanie i nadzór nad jego przestrzeganiem, dany zagraniczny system zapewnia jako całość wymagany stopień ochrony (7).

(5)

Komisja uważnie przeanalizowała właściwe prawo i praktykę Zjednoczonego Królestwa. Na podstawie ustaleń przedstawionych poniżej Komisja stwierdza, że Zjednoczone Królestwo zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych przez właściwe organy Unii, zgodnie z zakresem stosowania dyrektywy (UE) 2016/680, właściwym organom w Zjednoczonym Królestwie, zgodnie z zakresem stosowania części 3 ustawy o ochronie danych z 2018 r. (DPA 2018) (8).

(6)

Niniejsza decyzja skutkuje tym, że dane można przekazywać w ten sposób bez potrzeby uzyskania dalszego zezwolenia przez okres czterech lat, z możliwością przedłużenia obowiązywania decyzji po upływie tego terminu, bez uszczerbku dla warunków określonych w art. 35 dyrektywy (UE) 2016/680.

(7)

Zjednoczone Królestwo jest demokracją parlamentarną. W państwie tym istnieje suwerenny parlament, który jest nadrzędny wobec wszystkich innych instytucji rządowych, władza wykonawcza wywodząca się z parlamentu i przed nim odpowiedzialna oraz niezależna władza sądownicza. Legitymacja władzy wykonawczej wywodzi się z jej zdolności do zdobycia zaufania wybranej Izby Gmin; władza wykonawcza jest odpowiedzialna przed obiema izbami parlamentu (Izbą Gmin i Izbą Lordów) odpowiadającymi za nadzorowanie rządu oraz za debatowanie nad ustawami i ich uchwalanie. Parlament Zjednoczonego Królestwa przekazał Parlamentowi Szkockiemu, Zgromadzeniu Narodowemu Walii (Senedd Cymru) oraz Zgromadzeniu Irlandii Północnej odpowiedzialność za stanowienie prawa w niektórych kwestiach krajowych w Szkocji, Walii i Irlandii Północnej. Chociaż ochrona danych jest kwestią zastrzeżoną dla parlamentu Zjednoczonego Królestwa, tj. w całym państwie obowiązują te same przepisy, inne obszary polityki istotne dla niniejszej decyzji są zdecentralizowane. Na przykład zwierzchnictwo nad systemami sądownictwa karnego, w tym nad policją (działaniami prowadzonymi przez siły policyjne), w Szkocji i Irlandii Północnej zostało powierzone odpowiednio Parlamentowi Szkockiemu i Zgromadzeniu Irlandii Północnej (9).

(8)

Chociaż Zjednoczone Królestwo nie posiada skodyfikowanej konstytucji w postaci spisanej ustawy zasadniczej, jego zasady konstytucyjne kształtowały się w miarę upływu czasu i wywodzą się w szczególności z orzecznictwa i zwyczaju. Uznano wartość konstytucyjną niektórych ustaw, takich jak Wielka Karta Swobód, ustawa o prawach z 1689 r. i ustawa o prawach człowieka z 1998 r. Prawa podstawowe osób fizycznych ukształtowano, jako element konstytucji, poprzez prawo precedensowe (common law), wspomniane ustawy oraz traktaty międzynarodowe, w szczególności europejską konwencję praw człowieka (EKPC), którą Zjednoczone Królestwo ratyfikowało w 1951 r. W 1987 r. Zjednoczone Królestwo ratyfikowało również Konwencję Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (konwencja nr 108) (10).

(9)

Ustawą o prawach człowieka z 1998 r. wprowadzono prawa zawarte w EKPC do prawa Zjednoczonego Królestwa. Ustawa zapewnia każdej osobie fizycznej podstawowe prawa i wolności przewidziane w art. 2–12 i 14 EKPC, art. 1–3 pierwszego protokołu do tej konwencji oraz art. 1 trzynastego protokołu do niej w związku z art. 16–18 EKPC. Należą do nich prawo do poszanowania życia prywatnego i rodzinnego, które z kolei obejmuje prawo do ochrony danych oraz prawo do rzetelnego procesu sądowego (11). W szczególności zgodnie z art. 8 EKPC władza publiczna może ingerować w korzystanie z prawa do prywatności wyłącznie w przypadkach przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności osób.

(10)

Zgodnie z ustawą o prawach człowieka z 1998 r. wszelkie działania władzy publicznej muszą być zgodne z prawem zagwarantowanym w EKPC (12). Ponadto akty ustawowe i wykonawcze muszą być interpretowane i stosowane w sposób zgodny z tymi prawami (13). Każdy, kto uważa, że jego prawa, w tym prawa do prywatności i ochrony danych, zostały naruszone przez władzę publiczną, może dochodzić roszczeń przed sądami Zjednoczonego Królestwa na podstawie ustawy o prawach człowieka z 1998 r., a w ostateczności, po wyczerpaniu krajowych środków ochrony prawnej może wnieść skargę do Europejskiego Trybunału Praw Człowieka na naruszenie praw gwarantowanych w EKPC.

(11)

Zjednoczone Królestwo wystąpiło z Unii w dniu 31 stycznia 2020 r. Na podstawie Umowy o wystąpieniu Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej (14) prawo Unii nadal miało zastosowanie w Zjednoczonym Królestwie w okresie przejściowym do dnia 31 grudnia 2020 r. Przed wystąpieniem i w okresie przejściowym ramy prawne dotyczące ochrony danych osobowych w Zjednoczonym Królestwie, regulujące przetwarzanie danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom zawarte były w odpowiednich częściach ustawy o ochronie danych z 2018 r., która transponowała dyrektywę (UE) 2016/680.

(12)

Aby przygotować się do wystąpienia z UE, rząd Zjednoczonego Królestwa przyjął Ustawę o wystąpieniu z Unii Europejskiej z 2018 r. (15), którą wprowadzono mające bezpośrednie zastosowanie przepisy Unii do prawa Zjednoczonego Królestwa i zapewniono, aby tzw. „ustawodawstwo krajowe wywodzące się z prawa Unii” nadal miało zastosowanie po zakończeniu okresu przejściowego. Zgodnie z Ustawą o wystąpieniu z Unii Europejskiej z 2018 r. „ustawodawstwo krajowe wywodzące się z prawa Unii” stanowi część 3 DPA 2018 (16) transponująca dyrektywę (UE) 2016/680. Zgodnie z Ustawą o wystąpieniu z Unii Europejskiej z 2018 r. sądy Zjednoczonego Królestwa muszą dokonywać wykładni tego niezmienionego „ustawodawstwa krajowego wywodzącego się z prawa Unii” zgodnie ze stosownym orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej (Trybunału Sprawiedliwości) i ogólnymi zasadami prawa Unii obowiązującymi bezpośrednio przed zakończeniem okresu przejściowego (zwanymi odpowiednio „pozostającym w mocy orzecznictwem UE” i „pozostającymi w mocy ogólnymi zasadami prawa Unii”) (17).

(13)

Zgodnie z Ustawą o wystąpieniu z Unii Europejskiej z 2018 r. ministrowie Zjednoczonego Królestwa są uprawnieni do uchwalania przepisów wykonawczych, w drodze aktów zwanych statutory instruments, w celu wprowadzenia niezbędnych zmian w pozostającym w mocy prawie Unii w następstwie wystąpienia Zjednoczonego Królestwa z Unii. Uprawnienie to wykonano za pomocą rozporządzenia w sprawie ochrony danych, prywatności i łączności elektronicznej wprowadzającego zmiany w związku z wyjściem z UE z 2019 r. (rozporządzenie w sprawie ochrony danych, prywatności i łączności elektronicznej) (18). Rozporządzeniem tym zmieniono ustawodawstwo Zjednoczonego Królestwa w dziedzinie ochrony danych, w tym DPA 2018, aby dostosować je do kontekstu krajowego (19).

(14)

W rezultacie po upływie okresu przejściowego określonego w umowie o wystąpieniu normy prawne dotyczące przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, obowiązujące w Zjednoczonym Królestwie nadal będą określone w odpowiednich częściach DPA 2018, szczególnie w części 3 tej ustawy, jednak w formie zmienionej rozporządzeniem w sprawie ochrony danych, prywatności i łączności elektronicznej. Ogólne rozporządzenie o ochronie danych Zjednoczonego Królestwa (RODO UK) nie ma zastosowania do tego rodzaju przetwarzania.

(15)

W części 3 DPA 2018 zawarto przepisy dotyczące przetwarzania danych osobowych do celów ścigania przestępstw, w tym zasady ochrony danych, podstawy prawne przetwarzania (legalność), prawa osób, których dane dotyczą, obowiązki właściwych organów pełniących rolę administratora oraz ograniczenia dotyczące dalszego przekazywania. Jednocześnie w częściach 5 i 6 DPA 2018 określono przepisy dotyczące nadzoru i egzekwowania prawa oraz środki zaskarżenia mające zastosowanie do sektora organów ścigania przestępstw.

(16)

Ponadto w świetle istotnej roli sił policyjnych w sektorze organów ścigania przestępstw należy przeanalizować przepisy regulujące działania policyjne. Działania te mają charakter zdecentralizowany, jednak poszczególne akty ustawodawcze mające często podobną treść mają zastosowanie do pracy policji w a) Anglii i Walii, b) Szkocji oraz c) Irlandii Północnej (20). Co więcej, w różnych rodzajach wytycznych można znaleźć dodatkowe wyjaśnienia dotyczące właściwego wykorzystywania uprawnień policji. Trzy najważniejsze formy wytycznych dla policji to: 1) wytyczne ustawowe wydane na podstawie prawodawstwa, takie jak kodeks etyki (21) oraz kodeks postępowania dotyczący zarządzania informacjami policyjnymi (22) wydane na podstawie ustawy o policji z 1996 r. (23) lub kodeksy (24) wydane na podstawie ustawy w sprawie policji i dowodów w sprawach karnych (25), 2) zatwierdzone praktyki zawodowe dotyczące zarządzania informacjami policyjnymi (26) wydane przez Kolegium Policyjne oraz 3) wytyczne operacyjne (opublikowane przez samą policję). Krajowa Rada Komendantów Policji (organ koordynujący wszystkie siły policyjne w Zjednoczonym Królestwie) publikuje wytyczne operacyjne zatwierdzone przez wszystkie siły policyjne, które to wytyczne mają w związku z tym zastosowanie w całym kraju (27). Celem tych wytycznych jest zapewnienie spójności w kontekście zarządzania informacjami (28).

(17)

Korzystając z uprawnień przewidzianych w art. 39 A ustawy o policji z 1996 r., Sekretarz Stanu wydał w 2005 r. kodeks postępowania dotyczący zarządzania informacjami policyjnymi (29). Każdy kodeks postępowania wydany na podstawie ustawy o policji musi zostać zatwierdzony przez Sekretarza Stanu i zanim zostanie zaprezentowany w parlamencie podlega konsultacji Krajowej Agencji ds. Zwalczania Przestępczości. W art. 39 A ust. 7 ustawy o policji nakłada się na policję wymóg należytego poszanowania kodeksów wydanych na podstawie tej ustawy, a zatem od policji oczekuje się jego przestrzegania (30). Ponadto wytyczne nieustawowe (takie jak zatwierdzone praktyki zawodowe dotyczące zarządzania informacjami policyjnymi) muszą być zawsze spójne z kodeksem postępowania dotyczącym zarządzania informacjami policyjnymi, który jest w stosunku do nich nadrzędny (31).. Chociaż może dochodzić do pewnych sytuacji operacyjnych, w których funkcjonariusze policji muszą odstąpić od stosowania tych wytycznych, w każdym przypadku nadal spoczywa na nich obowiązek przestrzegania wymogów określonych w części 3 DPA 2018 (32).

(18)

Dalsze wytyczne dotyczące ustawodawstwa Zjednoczonego Królestwa w dziedzinie ochrony danych na potrzeby przetwarzania w sektorze organów ścigania przestępstw przedstawia Komisarz ds. Informacji (33) (więcej informacji na temat Komisarza ds. Informacji można znaleźć w motywach 93–109). Chociaż wytyczne te nie są prawnie wiążące, to w postępowaniu sądowym sądy musiałyby wziąć pod uwagę wszelkie naruszenia tych wytycznych, ponieważ mają one znaczenie dla wykładni i przedstawiają, w jaki sposób ustawodawstwo w dziedzinie ochrony danych jest interpretowane i egzekwowane przez Komisarza w praktyce (34).

(19)

Ponadto, jak wspomniano w motywach 8–10, organy ścigania Zjednoczonego Królestwa muszą zapewnić zgodność z europejską konwencją praw człowieka i konwencją nr 108.

(20)

Pod względem struktury i głównych elementów ramy prawne Zjednoczonego Królestwa regulujące przetwarzanie danych przez organy ścigania Zjednoczonego Królestwa są zatem bardzo podobne do ram obowiązujących w UE. Jest to związane z faktem, że ramy takie opierają się nie tylko na zobowiązaniach ustanowionych w prawie krajowym, które zostało ukształtowane przez prawo Unii, ale również na zobowiązaniach zapisanych w prawie międzynarodowym, w szczególności w rezultacie przystąpienia przez Zjednoczone Królestwo do europejskiej konwencji praw człowieka i konwencji nr 108, a także poddania się jurysdykcji Europejskiego Trybunału Praw Człowieka. W związku z tym wspomniane zobowiązania wynikające z prawnie wiążących instrumentów międzynarodowych, dotyczące zwłaszcza ochrony danych osobowych, stanowią szczególnie ważny element ram prawnych będących przedmiotem oceny w niniejszej decyzji.

(21)

Zakres przedmiotowy części 3 DPA 2018 jest zbieżny z zakresem dyrektywy 2016/680 określonym w jej art. 2 ust. 2. Część 3 ma zastosowanie do przetwarzania danych osobowych przez właściwy organ w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania przez właściwy organ w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

(22)

Ponadto, aby wchodzić w zakres części 3, administrator musi być „właściwym organem”, a przetwarzanie musi odbywać się do „celów ścigania przestępstw”. W związku z tym system ochrony danych oceniany w niniejszej decyzji ma zastosowanie do wszystkich działań związanych ze ściganiem przestępstw, podejmowanych przez te właściwe organy.

(23)

Pojęcie „właściwego organu” zdefiniowano w art. 30 DPA jako osobę wymienioną w załączniku 7 do DPA 2018, a także jako inną osobę w zakresie, w jakim pełni ona funkcje ustawowe do jakichkolwiek celów ścigania przestępstw. Właściwe organy wymienione w załączniku 7 obejmują nie tylko siły policyjne, ale również wszystkie ministerialne departamenty rządowe Zjednoczonego Królestwa, a także inne organy pełniące funkcje dochodzeniowo-śledcze [np. Commissioner for Her Majesty’s Revenue and Customs (organ podatkowy i celny Zjednoczonego Królestwa), Welsh Revenue Authority (walijski organ skarbowy), Competition and Markets Authority (urząd ds. konkurencji i rynków) lub Her Majesty’s Land Register (rejestr gruntów Zjednoczonego Królestwa) lub Krajowa Agencja ds. Zwalczania Przestępczości], organy prokuratorskie, inne organy wymiaru sprawiedliwości w sprawach karnych i inne podmioty uprawnione lub organizacje, które prowadzą działania związane ze ściganiem przestępstw (35). Część 3 DPA 2018 ma również zastosowanie do sądów i trybunałów, w przypadku gdy pełnią swoje funkcje sądowe, z wyjątkiem części dotyczącej praw osób, których dane dotyczą, i nadzoru Komisarza ds. Informacji (36). Wykaz właściwych organów przewidziany w załączniku 7 nie jest ostateczny i może być aktualizowany przez Sekretarza Stanu na mocy rozporządzenia z uwzględnieniem zmian w zakresie organizacji urzędów publicznych (37).

(24)

Przedmiotowe przetwarzanie musi również służyć „celom ścigania przestępstw”, które definiuje się jako zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochrona przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom (38). Przetwarzanie przez właściwy organ nie podlega przepisom części 3 DPA 2018, jeżeli nie odbywa się ono do celów ścigania przestępstw. Będzie to miało miejsce na przykład wówczas, gdy Competition and Markets Authority (urząd ds. konkurencji i rynków) będzie prowadził dochodzenia w sprawach, które nie dotyczą odpowiedzialności karnej (np. połączenia między przedsiębiorstwami). W takim przypadku zastosowanie będzie miało RODO UK wraz z częścią 2 DPA 2018, ponieważ przetwarzanie danych osobowych przez właściwe organy odbywa się do celów innych niż związane ze ściganiem przestępstw. Aby ustalić, które uregulowania dotyczące ochrony danych (część 3 czy część 2 DPA 2018) mają zastosowanie do przedmiotowego przetwarzania danych osobowych, właściwy organ, tj. administrator danych, musi rozważyć, czy „podstawowym celem” takiego przetwarzania jest jeden z celów ścigania przestępstw określonych w DPA 2018.

(25)

Jeżeli chodzi o zakres terytorialny części 3 DPA 2018, art. 207 ust. 2 stanowi, że DPA ma zastosowanie do przetwarzania danych osobowych w kontekście działalności osoby, której zakres działań obejmuje terytorium całego Zjednoczonego Królestwa. Dotyczy to organów publicznych terytoriów Anglii, Walii, Szkocji i Irlandii Północnej, które wchodzą w zakres przedmiotowy części 3 DPA 2018 (39).

(26)

Podstawowe pojęcia „danych osobowych” i „przetwarzania” zostały zdefiniowane w art. 3 DPA 2018 i stosuje się je w całej DPA. Definicje te są zbieżne z odpowiadającymi im definicjami określonymi w art. 3 dyrektywy 2016/680. Zgodnie z DPA 2018 dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (40). Zgodnie z art. 3 ust. 3 DPA 2018 osoba fizyczna jest możliwa do zidentyfikowania, jeżeli można ją bezpośrednio lub pośrednio zidentyfikować na podstawie informacji, w tym na podstawie imienia i nazwiska, numeru identyfikacyjnego lub jednej bądź kilku szczególnych cech określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby. Pojęcie „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na informacjach lub zestawach informacji, takich jak: a) zbieranie, utrwalanie, organizowanie, porządkowanie lub przechowywanie; b) adaptowanie lub modyfikowanie; c) pobieranie, przeglądanie lub wykorzystywanie; d) ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie; e) dopasowywanie lub łączenie; lub f) ograniczanie, usuwanie lub niszczenie. Ponadto w ustawie zdefiniowano „przetwarzanie danych wrażliwych” jako: „a) przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne bądź światopoglądowe lub przynależność do związków zawodowych; b) przetwarzanie danych genetycznych lub danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej; c) przetwarzanie danych dotyczących zdrowia; d) przetwarzanie danych dotyczących seksualności lub orientacji seksualnej osoby fizycznej” (41). W tym zakresie art. 205 DPA 2018 zawiera definicję „danych biometrycznych” (42), „danych dotyczących zdrowia” (43) i „danych genetycznych” (44).

(27)

W art. 32 DPA 2018 doprecyzowano definicje „administratora” i „podmiotu przetwarzającego” w kontekście przetwarzania danych osobowych do celów ścigania przestępstw, ściśle wzorując się na równorzędnych definicjach zawartych w dyrektywie 2016/680. Administratorem jest właściwy organ, który ustala cele i sposoby przetwarzania danych osobowych. Jeżeli przetwarzanie jest wymagane przez przepisy prawa, administratorem jest właściwy organ, na który prawo nakłada taki obowiązek. Podmiot przetwarzający definiuje się jako każdą osobę, która przetwarza dane osobowe w imieniu administratora (inną niż osoba będąca pracownikiem administratora).

(28)

Zgodnie z art. 35 DPA 2018 przetwarzanie danych osobowych musi być zgodne z prawem i rzetelne, podobnie jak określono w art. 4 ust. 1 lit. a) dyrektywy (UE) 2016/680. Zgodnie z art. 35 ust. 2 DPA 2018 przetwarzanie danych osobowych do jakichkolwiek celów ścigania przestępstw jest zgodne z prawem tylko wtedy, gdy opiera się na przepisach prawa oraz jeżeli osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie w tym celu albo przetwarzanie jest niezbędne do wykonania zadania realizowanego w tym celu przez właściwy organ.

(29)

Podobnie jak określono w art. 8 dyrektywy (UE) 2016/680, aby zapewnić zgodność z prawem przetwarzania objętego częścią 3 DPA 2018, takie przetwarzanie musi „opierać się na przepisach prawa”. Przetwarzanie „zgodne z prawem” oznacza przetwarzanie dopuszczone przez ustawę, prawo precedensowe albo królewskie prerogatywy (45).

(30)

Uprawnienia właściwych organów są zasadniczo regulowane ustawami, co oznacza, że funkcje i uprawnienia tych organów są wyraźnie określone w przepisach przyjętych przez Parlament (46). W niektórych przypadkach policja, jak również inne właściwe organy wymienione w załączniku 7 do DPA 2018, mogą powoływać się na prawo precedensowe w celu przetwarzania danych (47). Prawo precedensowe powstało dzięki precedensom ustalonym w orzeczeniach sądów. Prawo precedensowe jest istotne w kontekście uprawnień policji, która z tego źródła prawa wywodzi swój podstawowy obowiązek ochrony obywateli poprzez wykrywanie przestępstw i zapobieganie im (48). Wypełniając ten obowiązek, siły policyjne opierają się jednak zarówno na prawie precedensowym, jak i na uprawnieniach ustawodawczych (49). Uprawnienia ustawowe policji mają pierwszeństwo przed wszelkimi uprawnieniami wynikającymi z prawa precedensowego (50).

(31)

Sądy uznały, że zakres uprawnień i obowiązków funkcjonariuszy policji wynikających z prawa precedensowego obejmuje „wszelkie kroki, które wydają im się niezbędne do utrzymania pokoju, zapobiegania przestępczości lub ochrony mienia przed szkodami poniesionymi wskutek przestępstwa” (51). Uprawnienia wynikające z prawa precedensowego nie są pozbawione zastrzeżeń. Podlegają one licznym ograniczeniom, w tym ograniczeniom ustanowionym przez sądy (52) i prawodawstwo, w szczególności ustawę o prawach człowieka z 1998 r. i ustawę o równouprawnieniu z 2010 r (53). Ponadto w odniesieniu do właściwych organów przetwarzających dane na podstawie części 3 DPA 2018 dotyczy to wykonywania uprawnień wynikających z prawa precedensowego zgodnie z wymogami określonymi w DPA 2018 (54). Ponadto decyzja o wykonaniu jakiegokolwiek rodzaju przetwarzania danych musi uwzględniać wymogi obowiązujących wytycznych, takich jak kodeks postępowania dotyczący zarządzania informacjami policyjnymi, jak również wytyczne dotyczące jednego z państw Zjednoczonego Królestwa (55). Rząd i służby policji ds. operacyjnych wydają szereg wytycznych mających na celu zagwarantowanie, by funkcjonariusze policji wykonywali swoje uprawnienia w granicach określonych przez prawo precedensowe bądź wynikających z ustawy (56).

(32)

Królewskie prerogatywy stanowią kolejny składnik „prawa” i odnoszą się do niektórych uprawnień powierzonych Koronie, a realizowanych przez władzę wykonawczą, które nie są oparte na ustawach, lecz wynikają z suwerenności monarchy (57). Istnieje bardzo niewiele przykładów uprawnień prerogatywnych, które są istotne w kontekście ścigania przestępstw. Dotyczą one na przykład ram wzajemnej pomocy prawnej umożliwiających Sekretarzowi Stanu udostępnianie państwom trzecim danych do celów ścigania przestępstw, przy czym uprawnienia do tego rodzaju udostępniania danych nie zawsze są określone w ustawie (58). Królewskie prerogatywy są związane zasadami prawa precedensowego (59) i mają niższą rangę od ustawy, a zatem podlegają ograniczeniom przewidzianym w ustawie o prawach człowieka z 1998 r. i DPA 2018 (60).

(33)

Podobnie jak określono w art. 8 dyrektywy (UE) 2016/680, przepisy Zjednoczonego Królestwa wymagają, aby w celu przestrzegania zasady zgodności z prawem właściwe organy zagwarantowały, by w przypadku gdy przetwarzanie opiera się na przepisach prawa, było ono również niezbędne do wykonania zadania realizowanego w celu ścigania przestępstw. Komisarz ds. Informacji udziela wytycznych w tym zakresie i wyjaśnia, że „musi być to ukierunkowany i proporcjonalny sposób osiągnięcia celu. Zasada zgodności z prawem nie będzie spełniona, jeżeli cel można osiągnąć w sposób zasadny za pomocą innych, mniej inwazyjnych środków. Nie wystarczy twierdzić, że przetwarzanie jest niezbędne ze względu na wybrany sposób prowadzenia działalności. Kluczowe znaczenie ma to, czy przetwarzanie jest niezbędne do osiągnięcia określonego celu” (61).

(34)

Jak wspomniano w motywie 28, art. 35 ust. 2 DPA 2018 przewiduje możliwość przetwarzania danych osobowych na podstawie „zgody” osoby fizycznej.

(35)

Nie wydaje się jednak, aby zgoda stanowiła istotną podstawę prawną w odniesieniu do operacji przetwarzania wchodzących w zakres stosowania niniejszej decyzji. W rzeczywistości operacje przetwarzania objęte niniejszą decyzją zawsze będą dotyczyły danych, które zostały przekazane przez właściwy organ państwa członkowskiego właściwemu organowi Zjednoczonego Królestwa na podstawie dyrektywy (UE) 2016/680. Dlatego zazwyczaj nie będą one dotyczyły tego rodzaju bezpośredniej interakcji (zbierania) między organem publicznym a osobami, których dane dotyczą, która może opierać się na zgodzie w myśl art. 35 ust. 2 lit. a) ustawy DPA 2018.

(36)

Chociaż poleganie na zgodzie nie jest zatem uznawane za istotne dla oceny przeprowadzonej na mocy niniejszej decyzji, warto zauważyć – w celu uzyskania pełnego obrazu sytuacji – że w kontekście ścigania przestępstw przetwarzanie danych nigdy nie odbywa się wyłącznie na podstawie zgody, ponieważ właściwy organ musi zawsze posiadać odpowiednie uprawnienia, które umożliwiają mu przetwarzanie danych (62). Mówiąc ściślej, oznacza to – podobnie do tego, co dopuszcza dyrektywa (UE) 2016/680 (63) – że zgoda służy jako dodatkowy warunek umożliwiający przeprowadzenie niektórych ograniczonych i szczególnych operacji przetwarzania, które w inny sposób nie mogłyby zostać przeprowadzone, na przykład pobranie i przetwarzanie próbki DNA osoby fizycznej niebędącej osobą podejrzaną. W tym przypadku przetwarzanie nie będzie mogło się odbyć, jeżeli nie wyrażono zgody lub została ona cofnięta (64).

(37)

W przypadkach wymagających uzyskania zgody osoby fizycznej zgoda ta musi być jednoznaczna i obejmować wyraźne działanie potwierdzające (65). Od sił policyjnych wymaga się posiadania oświadczenia o ochronie prywatności, zawierającego m.in. niezbędne informacje związane z prawidłowym wykorzystywaniem zgody. Ponadto niektóre jednostki policji publikują dodatkowe materiały na temat sposobu, w jaki przestrzegają przepisów w dziedzinie ochrony danych, w tym jak i kiedy wykorzystują zgodę jako podstawę prawną (66).

(38)

Jeżeli przetwarzane są „szczególne kategorie” danych, powinny istnieć szczególne zabezpieczenia. W tym zakresie, podobnie jak przewidziano w art. 10 dyrektywy (UE) 2016/680, część 3 DPA 2018 przewiduje silniejsze zabezpieczenia w odniesieniu do tzw. „przetwarzania danych wrażliwych” (67).

(39)

Zgodnie z art. 35 ust. 3 DPA 1998 właściwe organy mogą przetwarzać dane wrażliwe do celów ścigania przestępstw wyłącznie w dwóch przypadkach: 1) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie do celów ścigania przestępstw, a w chwili dokonywania przetwarzania administrator dysponuje odpowiednim dokumentem dotyczącym polityki (68); lub 2) przetwarzanie jest absolutnie niezbędne do celów ścigania przestępstw, przetwarzanie spełnia co najmniej jeden z warunków określonych w załączniku 8 do DPA 2018, a w chwili dokonywania przetwarzania administrator dysponuje odpowiednim dokumentem dotyczącym polityki (69).

(40)

Jeżeli chodzi o pierwszy przypadek i jak wyjaśniono w motywie 38, poleganie na zgodzie nie jest uznawane za istotne w odniesieniu do objętego niniejszą decyzją rodzaju przekazywania danych (70).

(41)

W przypadku gdy przetwarzanie danych wrażliwych nie odbywa się na podstawie zgody, przeprowadza się je z zastosowaniem jednego z warunków wymienionych w załączniku 8 do DPA 2018. Warunki te odnoszą się do przetwarzania niezbędnego do realizacji celów ustawowych; sprawowania wymiaru sprawiedliwości; ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; zabezpieczenia dzieci i osób fizycznych narażonych na ryzyko; roszczeń; czynności sądowych; zapobiegania nadużyciom finansowym; archiwizacji; w przypadku danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą. Z wyjątkiem przypadku, w którym dane zostały w sposób oczywisty upublicznione, wszystkie warunki określone w załączniku 8 podlegają kryterium „absolutnej niezbędności”. Jak wyjaśnił Komisarz ds. Informacji, „absolutna niezbędność w tym kontekście oznacza, że przetwarzanie musi odnosić się do pilnej potrzeby społecznej, której nie można wypełnić w sposób zasadny za pomocą mniej inwazyjnych środków” (71). Ponadto niektóre z wymienionych warunków podlegają dodatkowym ograniczeniom. Na przykład, aby powołać się na warunek związany z „celami ustawowymi” i „warunek zabezpieczenia” (załącznik 8 pkt 1 i 4), należy spełnić dodatkowe kryterium istotnego interesu publicznego. Ponadto, w odniesieniu do warunków dotyczących zabezpieczenia dziecka (załącznik 8 pkt 4), osoba, której dane dotyczą, musi również być w określonym wieku i uznana za narażoną na ryzyko. Co więcej, administrator może zastosować warunek przewidziany w załączniku 8 pkt 4 wyłącznie w przypadku wystąpienia szczególnych okoliczności (72). Podobne ograniczenia wprowadzono dla warunków „czynności sądowych” i „zapobiegania nadużyciom finansowym” (załącznik 8, odpowiednio pkt 7 i 8). W obu przypadkach mają one zastosowanie wyłącznie do określonych administratorów. W przypadku czynności sądowych wyłącznie sąd lub inny organ sądowy może skorzystać z takiego warunku, a w przypadku zapobiegania nadużyciom finansowym wyłącznie administratorzy będący organizacjami zwalczającymi nadużycia finansowe mogą powoływać się na ten warunek.

(42)

Oprócz tego, gdy przetwarzanie opiera się na jednym z warunków wymienionych w załączniku 8 i odbywa się odpowiednio zgodnie z art. 42 DPA 2018, musi istnieć „odpowiedni dokument dotyczący polityki” – zawierający wyjaśnienie procedur administratora w zakresie zapewniania zgodności z zasadami ochrony danych oraz polityki administratora w odniesieniu do zatrzymywania i usuwania danych osobowych – oraz mają zastosowanie obowiązki prowadzenia rozszerzonego rejestru.

(43)

Dane osobowe powinny być przetwarzane w określonym celu, a następnie wykorzystywane tylko w takim zakresie, w jakim nie jest to niezgodne z celem przetwarzania. Ta zasada ochrony danych zagwarantowana jest w art. 36 DPA 2018. W przepisie tym, podobnie jak w art. 4 ust. 1 lit. b) dyrektywy (UE) 2016/680, wymaga się, aby: a) cel związany ze ściganiem przestępstw, dla którego w jakimkolwiek przypadku zbiera się dane osobowe, był konkretny, wyraźny i uzasadniony oraz b) danych osobowych zebranych w ten sposób nie przetwarzano w sposób niezgodny z celem, dla którego je zebrano.

(44)

W przypadku gdy właściwe organy przetwarzają dane do celów ścigania przestępstw, może to obejmować archiwizację, badania naukowe lub historyczne oraz cele statystyczne (73). W odniesieniu do takich przypadków w DPA 2018 wyjaśniono również, że archiwizacja (lub przetwarzanie do celów badań naukowych lub historycznych oraz do celów statystycznych) nie jest dozwolona, jeżeli przeprowadza się ją w związku z decyzjami podjętymi w stosunku do konkretnej osoby, której dane dotyczą, lub jeżeli może spowodować u niej znaczną szkodę lub cierpienie (74).

(45)

Dane powinny być prawidłowe i w razie potrzeby uaktualniane. Powinny być one również adekwatne, stosowne i nienadmierne w stosunku do celów, w których są przetwarzane. Przestrzeganie tych zasad, określonych w art. 4 ust. 1 lit. c), d) i e) dyrektywy (UE) 2016/680, zapewniono również w art. 37 i 38 DPA 2018. Należy podjąć wszelkie uzasadnione działania, aby zapewnić, że dane osobowe, które są nieprawidłowe (75) zostaną bezzwłocznie usunięte lub sprostowane (76), biorąc pod uwagę cel związany ze ściganiem przestępstw, dla którego są przetwarzane (77), oraz aby zapewnić, by dane osobowe, które są niedokładne, niekompletne lub już nieaktualne, nie były przekazywane ani udostępniane do żadnego z celów związanych ze ściganiem przestępstwa (78).

(46)

Ponadto, podobnie jak w art. 7 dyrektywy (UE) 2016/680, w ramach systemu ochrony danych Zjednoczonego Królestwa określono, że dane osobowe oparte na faktach muszą być odróżniane, tak dalece, jak to możliwe, od danych osobowych opartych na indywidualnych ocenach (79). W stosownych przypadkach i w miarę możliwości należy dokonać wyraźnego rozróżnienia między danymi osobowymi odnoszącymi się do różnych kategorii osób, których dane dotyczą, takich jak osoby podejrzane, osoby skazane za czyn zabroniony, ofiary czynu zabronionego i świadkowie (80).

(47)

Zgodnie z art. 5 dyrektywy (UE) 2016/680 dane powinny być co do zasady przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których przetwarza się dane osobowe. Zgodnie z art. 39 DPA 2018, podobnie jak określono w art. 5 tej dyrektywy, zabronione jest przechowywanie danych osobowych przetwarzanych dla któregokolwiek z celów związanych ze ściganiem przestępstw dłużej, niż jest to konieczne w związku z celem, dla którego się je przetwarza. System prawny Zjednoczonego Królestwa wymaga ustanowienia odpowiednich terminów dla okresowego przeglądu potrzeby dalszego przechowywania danych osobowych dla któregokolwiek z celów związanych ze ściganiem przestępstw. Dalsze zasady dotyczące praktyk związanych z zatrzymywaniem danych osobowych oraz obowiązujące terminy określono w odpowiednich przepisach i wytycznych regulujących uprawnienia i funkcjonowanie policji. Na przykład w Anglii i Walii kodeks postępowania dotyczący zarządzania informacjami policyjnymi [MoPI Code of Practice] Kolegium Policyjnego wraz z zatwierdzonymi praktykami zawodowymi dotyczącymi zarządzania informacjami policyjnymi [APP Guidance on the Management of Police Information] stanowi ramy zapewniające spójny, oparty na analizie ryzyka proces zatrzymywania, przeglądu i usuwania danych w odniesieniu do zarządzania operacyjnymi informacjami policyjnymi (81). Za pośrednictwem tych ram określono jasne oczekiwania dla wszystkich służb co do tego, jak należy tworzyć, udostępniać i wykorzystywać informacje oraz zarządzać nimi w obrębie poszczególnych sił policyjnych i innych agencji oraz pomiędzy tymi podmiotami (82). Oczekuje się, że policja będzie przestrzegać kodeksu postępowania, a zgodność z nim weryfikuje Inspektorat Policji, Straży Pożarnej i Służb Ratowniczych Jej Królewskiej Mości (Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services) (83).

(48)

Policja Irlandii Północnej (The Police Service of Northern Ireland, PSNI) nie jest prawnie zobowiązana do przestrzegania kodeksu postępowania dotyczącego zarządzania informacjami policyjnymi. Ramy dotyczące zarządzania informacjami policyjnymi przyjęte w 2011 r. uzupełniono jednak w podręczniku PSNI (84), w którym określono zasady i procedury dotyczące sposobu stosowania kodeksu postępowania dotyczącego zarządzania informacjami policyjnymi w Irlandii Północnej.

(49)

W Szkocji siły policyjne opierają się na obowiązującej procedurze działania dotyczącej zatrzymywania rejestrów (85), która służy wsparciu polityki zarządzania rejestrami Policji Szkocji (The Police Service of Scotland) (86). W tej obowiązującej procedurze działania określono szczegółowe zasady zatrzymywania rejestrów będących w posiadaniu Policji Szkocji.

(50)

Oprócz nadrzędnego wymogu przeglądu rejestrów, który ma zastosowanie w całym Zjednoczonym Królestwie, więcej szczegółowych informacji zawarto w przepisach lokalnych. Aby podać kilka przykładów, w odniesieniu do Anglii i Walii, ustawa w sprawie policji i dowodów w sprawach karnych, zmieniona ustawą o ochronie wolności z 2012 r. (Protection of Freedom Act), zawiera przepisy dotyczące zatrzymywania odcisków palców i profili DNA, jak również szczegółowe uregulowania dotyczące osób, które nie zostały skazane (87). Na podstawie ustawy o ochronie wolności utworzono również stanowisko Komisarza ds. zatrzymywania i wykorzystywania materiału biometrycznego (Commissioner for the Retention and Use of Biometric Material, „Komisarz ds. Biometrii”) (88). Przepisy szczegółowe dotyczące wizerunków osób zatrzymanych określono w przeglądzie dotyczącym wizerunków osób zatrzymanych [Custody Image Review] z 2017 r. (89) Jeżeli chodzi o Szkocję, w ustawie o postępowaniu karnym (Szkocja) z 1995 r. określono zasady dotyczące pozyskiwania i zatrzymywania odcisków palców i próbek biologicznych (90). Podobnie jak w przypadku Anglii i Walii, w ustawodawstwie uregulowano zatrzymywanie danych biometrycznych w różnych przypadkach (91).

(51)

Dane osobowe muszą być przetwarzane w sposób zapewniający im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu organy publiczne powinny wdrożyć odpowiednie środki techniczne lub organizacyjne, aby chronić dane osobowe przed ewentualnymi zagrożeniami. Środki te należy ocenić, biorąc pod uwagę stan wiedzy technicznej oraz koszty ich wdrożenia.

(52)

Zasady te znajdują odzwierciedlenie w art. 40 DPA 2018, zgodnie z którym, podobnie jak określono w art. 4 ust. 1 lit. f) dyrektywy (UE) 2016/680, dane osobowe przetwarzane w którymkolwiek z celów związanych ze ściganiem przestępstw muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, za pomocą odpowiednich środków technicznych lub organizacyjnych. Obejmuje to ochronę danych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem (92). W art. 66 DPA 2018 określono ponadto, że każdy administrator i każdy podmiot przetwarzający musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiedni do ryzyka wynikającego z przetwarzania danych osobowych. Zgodnie z notami wyjaśniającymi administrator musi ocenić ryzyko i na podstawie tej oceny wdrożyć odpowiednie środki bezpieczeństwa, na przykład szyfrowanie lub określone poziomy poświadczenia bezpieczeństwa dla personelu przetwarzającego dane (93). W ocenie należy również uwzględnić np. charakter przetwarzanych danych oraz wszelkie inne istotne czynniki lub okoliczności, które mogą mieć wpływ na bezpieczeństwo przetwarzania.

(53)

Przepisy regulujące zgodność z zasadami bezpieczeństwa danych są bardzo podobne do uregulowań zawartych w art. 29–31 dyrektywy (UE) 2016/680. W szczególności w przypadku naruszenia ochrony danych osobowych w odniesieniu do danych osobowych, za które odpowiada administrator, zgodnie z art. 67 ust. 1 DPA 2018 administrator musi bez zbędnej zwłoki, w miarę możliwości nie później niż 72 godziny od powzięcia wiadomości o naruszeniu, zgłosić naruszenie ochrony danych osobowych Komisarzowi ds. Informacji (94). Obowiązek zgłoszenia nie ma zastosowania, gdy jest mało prawdopodobne, że naruszenie ochrony danych osobowych spowoduje ryzyko naruszenia praw i wolności osób fizycznych (95). Administrator musi udokumentować fakty związane z każdym naruszeniem ochrony danych osobowych, jego skutki i podjęte działania naprawcze w sposób umożliwiający Komisarzowi ds. Informacji sprawdzenie zgodności z DPA (96). Jeżeli podmiot przetwarzający dane stwierdzi naruszenie bezpieczeństwa, musi on bez zbędnej zwłoki zgłosić je administratorowi (97).

(54)

Zgodnie z art. 68 ust. 1 DPA 2018, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu (98). Zawiadomienie musi zawierać te same informacje co zawiadomienie skierowane do Komisarza ds. Informacji opisane w motywie 53. Obowiązek ten nie ma zastosowania, jeżeli administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony, które zastosowano do danych osobowych, których dotyczyło naruszenie. Nie ma on również zastosowania, jeżeli administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą. Ponadto administrator nie jest zobowiązany do zawiadomienia osoby, której dane dotyczą, jeżeli wymagałoby to niewspółmiernie dużego wysiłku (99). W takim przypadku osobę, której dane dotyczą, należy poinformować w inny równie skuteczny sposób, np. poprzez publiczny komunikat (100). Jeżeli administrator nie poinformował osoby, której dane dotyczą, o naruszeniu, Komisarz ds. Informacji, po otrzymaniu zawiadomienia zgodnie z art. 67 DPA i po rozważeniu prawdopodobieństwa, że naruszenie spowoduje wysokie ryzyko, może zobowiązać administratora do zawiadomienia osoby, której dane dotyczą, o naruszeniu (101).

(55)

Osoby, których dane dotyczą, muszą być informowane o głównych cechach przetwarzania ich danych osobowych. Ta zasada ochrony danych znajduje odzwierciedlenie w art. 44 DPA 2018, który podobnie jak art. 13 dyrektywy (UE) 2016/680 stanowi, że administrator ma ogólny obowiązek udostępniania osobom, których dane dotyczą, informacji o przetwarzaniu ich danych osobowych (poprzez ogólne udostępnienie informacji do wiadomości publicznej lub w dowolny inny sposób) (102). Informacje, których udostępnienie jest wymagane, obejmują a) tożsamość i dane kontaktowe administratora; b) dane kontaktowe inspektora ochrony danych, w razie potrzeby; c) cele, do których administrator przetwarza dane osobowe; d) informacje o prawie osoby, której dane dotyczą, do żądania od administratora dostępu do danych osobowych, sprostowania lub usunięcia danych osobowych, a także ograniczenia ich przetwarzania; oraz e) informacje o prawie do wniesienia skargi do Komisarza ds. Informacji oraz dane kontaktowe Komisarza (103).

(56)

W szczególnych przypadkach w celu umożliwienia osobie, której dane dotyczą, wykonania jej praw określonych w DPA 2018 (np. gdy przetwarzane dane osobowe zebrano bez wiedzy osoby, której dane dotyczą) administrator musi również udzielić osobie, której dane dotyczą, informacji o a) podstawie prawnej przetwarzania; b) informacji o okresie przechowywania danych osobowych lub, gdy nie jest to możliwe, kryteriach służących określeniu tego okresu; c) w stosownym przypadku informacji o kategoriach odbiorców danych osobowych (w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych); d) takich dalszych informacji, jakie są niezbędne do umożliwienia osobie, której dane dotyczą, wykonania jej praw określonych w części 3 DPA 2018 (104).

(57)

Osobom, których dane dotyczą, należy przyznać szereg możliwych do wyegzekwowania praw. W części 3 rozdział 3 DPA 2018 zapewniono osobom fizycznym prawa dostępu, sprostowania i usunięcia oraz ograniczenia (105), które są porównywalne z prawami przewidzianymi w rozdziale 3 dyrektywy (UE) 2016/680.

(58)

Prawo dostępu określono w art. 45 DPA 2018. Po pierwsze osoba fizyczna jest uprawniona do uzyskania od administratora potwierdzenia, czy jej dane osobowe są przetwarzane, czy nie (106). Po drugie, jeżeli dane osobowe są przetwarzane, osoba, której dane dotyczą, ma prawo dostępu do tych danych i otrzymania następujących informacji na temat przetwarzania: a) celów i podstaw prawnych przetwarzania; b) kategorii odnośnych danych; c) odbiorcy, któremu ujawniono dane; d) okresu przechowywania danych osobowych; e) prawa osoby, której dane dotyczą, do sprostowania i usunięcia danych osobowych; f) prawa do wniesienia skargi; oraz g) wszelkich informacji o pochodzeniu odnośnych danych osobowych (107).

(59)

Zgodnie z art. 46 DPA 2018 osoba, której dane dotyczą, ma prawo zażądać od administratora sprostowania nieprawidłowych danych osobowych, które jej dotyczą. Administrator musi sprostować (lub, jeżeli dane są nieprawidłowe, ponieważ są niekompletne, uzupełnić) dane bez zbędnej zwłoki. Jeżeli dane osobowe muszą być przechowywane do celów dowodowych, administrator musi (zamiast sprostowania danych osobowych) ograniczyć ich przetwarzanie (108).

(60)

W art. 47 DPA 2018 zapewniono osobom fizycznym prawo do usunięcia danych i ograniczenia przetwarzania. Administrator musi (109) usunąć dane osobowe bez zbędnej zwłoki, jeżeli przetwarzanie danych osobowych naruszałoby którąkolwiek z zasad ochrony danych, podstawy prawne przetwarzania lub zabezpieczenia związane z archiwizacją i przetwarzaniem danych wrażliwych. Administrator musi również usunąć dane, jeżeli jest do tego prawnie zobowiązany. Jeżeli dane osobowe muszą być przechowywane do celów dowodowych, administrator musi (zamiast sprostowania danych osobowych) ograniczyć ich przetwarzanie (110). Administrator musi ograniczyć przetwarzanie danych osobowych, jeżeli osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych, ale nie jest możliwe ustalenie, czy są one prawidłowe, czy nie (111).

(61)

Jeżeli osoba, której dane dotyczą, zażąda sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania, administrator musi poinformować osobę, której dane dotyczą, na piśmie, czy uwzględniono wniosek, a jeżeli go odrzucono, poinformować osobę, której dane dotyczą, o przyczynach odmowy i dostępnych środkach zaskarżenia (prawie osoby, której dane dotyczą, do złożenia wniosku do Komisarza ds. Informacji o zbadanie, czy ograniczenie zastosowano zgodnie z prawem, prawie do wniesienia skargi do Komisarza ds. Informacji oraz prawie do wystąpienia do sądu o wydanie nakazu dostosowania się do przepisów) (112).

(62)

Jeżeli administrator danych dokonuje sprostowania danych osobowych otrzymanych od innego właściwego organu, powiadamia on ten drugi organ (113). W przypadku sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, które ujawnił administrator, powiadamia on odbiorców, a odbiorcy podobnie dokonują sprostowania danych osobowych, usuwają je lub ograniczają ich przetwarzanie (w zakresie, w jakim zachowują za nie odpowiedzialność) (114).

(63)

Ponadto osoba, której dane dotyczą, ma prawo być bez zbędnej zwłoki poinformowana przez administratora o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych (115).

(64)

W związku z powyższymi prawami osoby, której dane dotyczą, podobnie jak przewidziano w art. 12 dyrektywy (UE) 2016/680, administrator ma obowiązek zapewnić, by wszelkie informacje kierowane do osoby, której dane dotyczą, były przekazywane jej w zwięzłej, zrozumiałej i łatwo dostępnej formie (116), a w miarę możliwości należy je przekazywać w takiej samej formie, w jakiej złożono wniosek (117). Administrator musi zastosować się do wniosku osoby, której dane dotyczą, bez zbędnej zwłoki, a w każdym razie co do zasady przed upływem jednego miesiąca od złożenia wniosku (118). Jeżeli administrator ma zasadne wątpliwości co do tożsamości osoby fizycznej, może on zażądać dodatkowych informacji i opóźnić rozpatrzenie wniosku do czasu ustalenia jej tożsamości. Administrator może zażądać zasadnej opłaty lub odmówić działania, jeżeli uzna żądanie za wyraźnie nieuzasadnione (119). Komisarz ds. Informacji wydał wytyczne dotyczące tego, kiedy wniosek uznaje się za wyraźnie nieuzasadniony lub wygórowany i kiedy można żądać opłaty (120).

(65)

Ponadto, zgodnie z art. 53 ust. 4 DPA 2018, Sekretarz Stanu może w drodze rozporządzeń określić maksymalną wysokość opłaty.

(66)

Właściwy organ może, w określonych okolicznościach, ograniczyć niektóre prawa osoby, której dane dotyczą: prawo dostępu (121), prawo do bycia informowanym (122), prawo do wiedzy o naruszeniu ochrony danych osobowych (123) oraz prawo do informacji o powodzie odrzucenia wniosku o sprostowanie lub usunięcie (124). Podobnie jak określono w przepisach rozdziału III dyrektywy (UE) 2016/680, właściwy organ może zastosować ograniczenie wyłącznie wtedy, gdy jest ono – uwzględniając prawa podstawowe i prawnie uzasadnione interesy osoby, której dane dotyczą – niezbędne i proporcjonalne, aby: a) uniemożliwić utrudnianie czynności postępowania urzędowego lub sądowego, postępowania przygotowawczego lub procedury; b) uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar; c) chronić bezpieczeństwo publiczne; d) chronić bezpieczeństwo narodowe; e) chronić prawa i wolności innych osób.

(67)

Komisarz ds. Informacji wydał wytyczne dotyczące stosowania tych ograniczeń. Zgodnie z tymi wytycznymi administratorzy są obowiązani przeprowadzać analizę poszczególnych przypadków, aby równoważyć prawa osoby fizycznej ze szkodą, jaką mogłoby spowodować ujawnienie danych. W szczególności powinni oni uzasadniać wszelkie ograniczenia, jakie zastosowali jako niezbędne i proporcjonalne, przy czym mogą ograniczyć zakres praw osoby fizycznej wyłącznie wtedy, gdyby ich wykonanie naruszało powyższe cele (125).

(68)

Istnieje również szereg innych wytycznych wydanych przez właściwe organy, które zawierają szczegółowe informacje na temat wszystkich aspektów ustawodawstwa w dziedzinie ochrony danych, w tym na temat stosowania ograniczeń praw osób, których dane dotyczą (126). Na przykład, w odniesieniu do art. 45 ust. 4, w podręczniku dotyczącym ochrony danych opracowanym przez Krajową Radę Komendantów Policji stwierdzono: „[n]ależy zauważyć, że ograniczenia można stosować wyłącznie w takim zakresie, w jakim jest to konieczne, i można je stosować wyłącznie tak długo, jak jest to niezbędne. W związku z tym nie jest dozwolone powszechne stosowanie ograniczenia do wszystkich danych osobowych wnioskodawcy ani stosowanie ograniczenia w sposób stały. W tej ostatniej kwestii często zdarza się, że dane osobowe zgromadzone bez wiedzy osoby, której dane dotyczą, będącej osobą podejrzaną w postępowaniu przygotowawczym, należy początkowo chronić przed ujawnieniem jej, aby nie zaszkodzić postępowaniu przygotowawczemu w trakcie jego trwania, ale ujawnienie ich w późniejszym czasie nie będzie wiązało się ze szkodą, gdyby te dane osobowe zostały ujawnione danej osobie podczas przesłuchania. Siły policyjne muszą przyjąć procedury zapewniające stosowanie wspomnianych ograniczeń wyłącznie w wymaganym zakresie i tylko przez niezbędny okres” (127). Przedmiotowe wytyczne zawierają również przykłady sytuacji, w których prawdopodobnie każde z ograniczeń znajdzie zastosowanie (128).

(69)

Ponadto jeżeli chodzi o możliwość ograniczenia któregokolwiek z wymienionych powyżej praw ze względu na ochronę „bezpieczeństwa narodowego”, administrator może wnieść o podpisanie przez ministra lub Prokuratora Generalnego (lub głównego prawnika ds. Szkocji) poświadczenia potwierdzającego, że ograniczenie takich praw jest niezbędnym i proporcjonalnym środkiem służącym ochronie bezpieczeństwa narodowego (129). Rząd Zjednoczonego Królestwa opublikował wytyczne dotyczące poświadczeń bezpieczeństwa narodowego wydawanych na podstawie DPA 2018, w których podkreślono w szczególności, że wszelkie ograniczenia praw osób, których dane dotyczą, służące ochronie bezpieczeństwa narodowego muszą być proporcjonalne i niezbędne (130) (aby uzyskać więcej szczegółowych informacji na temat poświadczeń bezpieczeństwa narodowego, zob. motywy 131–134).

(70)

Ponadto, w przypadku gdy ograniczenie prawa osoby, której dane dotyczą, ma zastosowanie, właściwy organ musi bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o ograniczeniu jej praw, o przyczynach tego ograniczenia oraz o dostępnych środkach zaskarżenia, chyba że udzielenie tych informacji uniemożliwiałoby osiągnięcie celu, dla którego zastosowano ograniczenie (131). W ramach dodatkowego zabezpieczenia przed niewłaściwym wykorzystywaniem ograniczeń administrator musi odnotowywać powody ograniczenia informacji i udostępniać ich rejestr na żądanie Komisarza ds. Informacji (132).

(71)

Jeżeli administrator odmówi przekazania dodatkowych informacji zapewniających przejrzystość, udzielenia dostępu lub odrzuci wniosek o sprostowanie, usunięcie lub ograniczenie przetwarzania, osoba fizyczna może zwrócić się do Komisarza ds. Informacji o zbadanie, czy administrator zastosował ograniczenie zgodnie z prawem (133). Zainteresowana osoba może również złożyć skargę do Komisarza ds. Informacji lub wystąpić do sądu o wydanie nakazu zastosowania się przez administratora do wniosku (134).

(72)

Zakres art. 49 i 50 DPA 2018 obejmuje odpowiednio prawa związane ze zautomatyzowanym podejmowaniem decyzji i zabezpieczenia, które należy stosować (135). Podobnie jak określono w art. 11 dyrektywy (UE) 2016/680, administrator może podjąć istotną decyzję opartą wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych wyłącznie wówczas, gdy jest to wymagane lub dozwolone przez prawo (136). Decyzja jest istotna, jeżeli miałaby niekorzystne skutki prawne dla osoby, której dane dotyczą, lub poważny wpływ na tę osobę (137).

(73)

Jeżeli administrator jest prawnie zobowiązany lub upoważniony do podjęcia istotnej decyzji, w art. 50 DPA 2018 ustanowiono zabezpieczenia, które będą miały zastosowanie do takiej decyzji (którą określono mianem „kwalifikującej się istotnej decyzji”). Administrator musi, w możliwie najkrótszym czasie, powiadomić osobę, której dane dotyczą, o podjęciu takiej decyzji. Osoba, której dane dotyczą, może wówczas w terminie miesiąca zwrócić się do administratora o ponowne rozpatrzenie decyzji lub podjęcie nowej decyzji, która nie będzie oparta wyłącznie na zautomatyzowanym przetwarzaniu. Administrator musi rozpatrzyć wniosek i poinformować osobę, której dane dotyczą, o wyniku tego rozpatrzenia. DPA 2018 uprawnia Sekretarza Stanu do przyjęcia rozporządzeń dotyczących dodatkowych zabezpieczeń (138). Dotychczas nie przyjęto takich rozporządzeń.

(74)

Stopień ochrony zapewnianej danym osobowym przekazywanym z organu ścigania państwa członkowskiego do organu ścigania Zjednoczonego Królestwa nie może zostać obniżony wskutek dalszego przekazywania takich danych odbiorcom z państw trzecich. Takie „dalsze przekazywanie danych”, które z perspektywy organu ścigania Zjednoczonego Królestwa stanowi międzynarodowe przekazywanie danych ze Zjednoczonego Królestwa, powinno być dozwolone wyłącznie wówczas, gdy kolejny odbiorca spoza Zjednoczonego Królestwa sam podlega przepisom zapewniającym stopień ochrony zbliżony do poziomu gwarantowanego w porządku prawnym Zjednoczonego Królestwa.

(75)

System międzynarodowego przekazywania danych Zjednoczonego Królestwa został uregulowany w części 3 rozdział 5 DPA 2018 (139) i odzwierciedla podejście przyjęte w rozdziale V dyrektywy (UE) 2016/680. W szczególności, aby przekazać dane osobowe do państwa trzeciego, właściwy organ musi spełnić trzy warunki: a) przekazanie musi być niezbędne do celów ścigania przestępstw; b) przekazanie musi opierać się na: (i) rozporządzeniu stwierdzającym odpowiedni stopień ochrony w odniesieniu do państwa trzeciego, (ii) jeżeli nie opiera się na rozporządzeniu stwierdzającym odpowiedni stopień ochrony, na istnieniu odpowiednich zabezpieczeń, lub (iii) jeżeli nie opiera się na decyzji stwierdzającej odpowiedni stopień ochrony ani odpowiednich zabezpieczeniach, musi opierać się na szczególnych okolicznościach; oraz c) odbiorcą przekazania musi być: (i) odpowiedni organ (tj. organ równoważny właściwemu organowi) państwa trzeciego; (ii) „odpowiednia organizacja międzynarodowa”, np. organ międzynarodowy pełniący funkcje odpowiadające dowolnemu celowi ścigania przestępstw; lub (iii) osoba inna niż odpowiedni organ, ale wyłącznie wówczas, gdy przekazanie jest absolutnie niezbędne do realizacji jednego z celów ścigania przestępstw; nie istnieją takie podstawowe prawa i wolności osoby, której dane dotyczą, które byłyby nadrzędne wobec interesu publicznego przemawiającego za przekazaniem; przekazanie danych osobowych odpowiedniemu organowi w państwie trzecim byłoby nieskuteczne lub niewłaściwe; odbiorca zostaje poinformowany o celach, w których dane mogą być przetwarzane (140).

(76)

Rozporządzenia stwierdzające odpowiedni stopień ochrony w odniesieniu do państwa trzeciego, terytorium lub sektora w państwie trzecim, organizacji międzynarodowej lub opisu (141) takiego państwa, terytorium, sektora lub takiej organizacji przyjmuje Sekretarz Stanu. Jeżeli chodzi o standard, który ma być zachowany, Sekretarz Stanu musi ocenić, czy takie terytorium/taki sektor/taka organizacja zapewnia odpowiedni stopień ochrony danych osobowych. W art. 74 A ust. 4 DPA 2018 określono, że w tym celu Sekretarz Stanu musi uwzględnić szereg elementów odzwierciedlających elementy wymienione w art. 36 dyrektywy (UE) 2016/680 (142). W tym względzie, od czasu zakończenia okresu przejściowego, część 3 DPA 2018 stanowi „ustawodawstwo krajowe wywodzące się z prawa Unii”, które, jak wyjaśniono, będzie podlegało wykładni przez sądy Zjednoczonego Królestwa zgodnie ze stosownym orzecznictwem Trybunału Sprawiedliwości sprzed wystąpienia Zjednoczonego Królestwa z Unii i ogólnymi zasadami prawa Unii obowiązującymi bezpośrednio przed zakończeniem okresu przejściowego. Obejmuje to standard „zasadniczej odpowiedniości”, który w związku z tym będzie miał zastosowanie do ocen odpowiedniego stopnia ochrony przeprowadzanych przez władze Zjednoczonego Królestwa.

(77)

Co się tyczy procedury, rozporządzenia podlegają „ogólnym” wymogom proceduralnym określonym w art. 182 DPA 2018. W ramach wspomnianej procedury Sekretarz Stanu musi przeprowadzić konsultacje z Komisarzem ds. Informacji, gdy proponuje przyjęcie przyszłych rozporządzeń Zjednoczonego Królestwa stwierdzających odpowiedni stopień ochrony (143). Po przyjęciu przez Sekretarza Stanu rozporządzenia te są przedkładane parlamentowi i podlegają procedurze „milczącej zgody (negative resolution)”, w ramach której obie izby parlamentu mogą poddać rozporządzenie kontroli i mają możliwość przyjęcia wniosku o jego unieważnienie w ciągu 40 dni (144).

(78)

Zgodnie z art. 74B ust. 1 DPA 2018 rozporządzenia stwierdzające odpowiedni stopień ochrony należy poddawać przeglądowi co najmniej raz na cztery lata, a Sekretarz Stanu musi na bieżąco monitorować zmiany zachodzące w państwach trzecich i organizacjach międzynarodowych, które mogłyby wpłynąć na decyzje w sprawie wprowadzenia rozporządzeń stwierdzających odpowiedni stopień ochrony lub w sprawie zmiany lub uchylenia takich przepisów. Jeżeli Sekretarz Stanu uzyska wiedzę, że określone państwo lub organizacja nie zapewnia już odpowiedniego stopnia ochrony danych osobowych, musi zmienić lub uchylić – w niezbędnym zakresie – rozporządzenie i rozpocząć konsultacje z danym państwem trzecim lub organizacją międzynarodową w celu rozwiązania kwestii braku odpowiedniego stopnia ochrony.

(79)

Podobnie do tego, co przewidziano w art. 37 dyrektywy (UE) 2016/680, w przypadku braku rozporządzenia stwierdzającego odpowiedni stopień ochrony przekazanie danych osobowych w kontekście sektora organów ścigania przestępstw byłoby możliwe, gdyby istniały odpowiednie zabezpieczenia. Takie zabezpieczenia zapewnia się w drodze a) prawnie wiążącego aktu zawierającego odpowiednie zabezpieczenia służące ochronie danych osobowych; albo b) oceny przeprowadzonej przez administratora, który po ocenieniu wszystkich okoliczności związanych z przekazaniem stwierdził, że istnieją odpowiednie zabezpieczenia ochrony danych (145). Ponadto, w przypadku gdy przekazywanie odbywa się na podstawie odpowiednich zabezpieczeń, DPA 2018 przewiduje, że dodatkowo w stosunku do zwykłego nadzoru pełnionego przez Komisarza ds. Informacji właściwe organy muszą także przekazywać Komisarzowi ds. Informacji szczegółowe informacje na temat przekazywania (146).

(80)

Jeżeli przekazanie nie opiera się na decyzji stwierdzającej odpowiedni stopień ochrony ani na odpowiednich zabezpieczeniach, może ono nastąpić wyłącznie w niektórych, określonych okolicznościach, zwanych „szczególnymi okolicznościami” (147). Dotyczy to sytuacji, w których przekazanie jest niezbędne: a) w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby; b) w celu zabezpieczenia uzasadnionych interesów osoby, której dane dotyczą; c) dla zapobieżenia bezpośredniemu, poważnemu ryzyku naruszenia bezpieczeństwa publicznego państwa trzeciego; d) w indywidualnym przypadku do celów ścigania przestępstw; lub e) w indywidualnym przypadku do celów prawnych (np. w związku z postępowaniem sądowym lub w celu uzyskania porady prawnej) (148). Należy zauważyć, że lit. d) i e) nie mają zastosowania, jeżeli podstawowe prawa i wolności osoby, której dane dotyczą, są nadrzędne wobec interesu publicznego przemawiającego za przekazaniem (149). Ten zbiór okoliczności odpowiada szczególnym sytuacjom i warunkom kwalifikującym się jako „wyjątki” na podstawie art. 38 dyrektywy (UE) 2016/680.

(81)

W takich okolicznościach należy udokumentować datę i godzinę przekazania, uzasadnienie, nazwę i wszelkie inne stosowne informacje o odbiorcy oraz opis przekazanych danych osobowych, a dokumentację przekazać Komisarzowi ds. Informacji na jego żądanie (150).

(82)

Art. 78 DPA 2018 reguluje przypadki „kolejnych przekazań”, a mianowicie sytuacji, w których dane osobowe, które zostały przekazane ze Zjednoczonego Królestwa do państwa trzeciego, są następnie przekazywane do innego państwa trzeciego lub organizacji międzynarodowej. Zgodnie z art. 78 ust. 1 administrator ze Zjednoczonego Królestwa przekazujący dane musi uzależnić przekazanie danych od tego, że nie będą one dalej przekazywane do państwa trzeciego bez zgody administratora przekazującego dane. Ponadto zgodnie z art. 78 ust. 3 i podobnie do tego, co przewidziano w art. 35 ust. 1 lit. e) dyrektywy (UE) 2016/680, w przypadku gdy taka zgoda jest wymagana, zastosowanie ma szereg istotnych wymogów. W szczególności, podejmując decyzję o udzieleniu lub odmowie udzielenia zgody na przekazanie danych, właściwy organ musi upewnić się, że dalsze przekazanie jest niezbędne do celów ścigania przestępstw, i uwzględnić m.in. następujące czynniki a) powagę okoliczności, które doprowadziły do złożenia wniosku o udzielenie zgody, b) cel, w którym dane osobowe zostały pierwotnie przekazane oraz c) standardy ochrony danych osobowych obowiązujące w państwie trzecim lub organizacji międzynarodowej, do których dane osobowe miałyby zostać przekazane.

(83)

Ponadto w przypadku gdy dane, które są poddawane dalszemu przekazaniu ze Zjednoczonego Królestwa, zostały pierwotnie przekazane z Unii Europejskiej, zastosowanie mają dodatkowe zabezpieczenia.

(84)

Po pierwsze, art. 73 ust. 1 lit. b) DPA 2018 – podobnie jak art. 35 ust. 1 lit. c) dyrektywy (UE) 2016/680 – stanowi, że w przypadku gdy dane osobowe zostały pierwotnie przesłane lub w inny sposób udostępnione administratorowi lub innemu właściwemu organowi przez państwo członkowskie, to państwo członkowskie lub dowolna osoba z siedzibą w tym państwie członkowskim, która jest właściwym organem do celów dyrektywy (UE) 2016/680, musiała wyrazić zgodę na przekazanie zgodnie z prawem państwa członkowskiego.

(85)

Podobnie jednak jak określono w art. 35 ust. 2 dyrektywy (UE) 2016/680, zgoda taka nie jest wymagana, jeżeli a) odnośne przekazanie jest niezbędne do zapobieżenia bezpośredniemu, poważnemu zagrożeniu dla bezpieczeństwa publicznego w państwie członkowskim albo w państwie trzecim bądź dla ważnych interesów państwa członkowskiego i b) zgody nie da się uzyskać w odpowiednim terminie. W takim przypadku należy bezzwłocznie poinformować organ państwa członkowskiego, który byłby odpowiedzialny za podjęcie decyzji, czy wyrazić zgodę na przekazanie danych (151).

(86)

Po drugie, to samo podejście ma zastosowanie w przypadku danych pierwotnie przekazanych z Unii Europejskiej do Zjednoczonego Królestwa, a następnie przekazanych przez Zjednoczone Królestwo państwu trzeciemu, które następnie przekazałoby je państwu trzeciemu. W takim przypadku zgodnie z art. 78 ust. 4, właściwy organ Zjednoczonego Królestwa nie może udzielić zgody na to ostatnie przekazanie zgodnie z art. 78 ust. 1, chyba że „państwo członkowskie [które pierwotnie przekazało przedmiotowe dane] lub dowolna osoba z siedzibą w tym państwie członkowskim, która jest właściwym organem do celów dyrektywy o ochronie danych w sprawach karnych, wyraziła zgodę na przekazanie danych zgodnie z prawem państwa członkowskiego”. Zabezpieczenia te są ważne, ponieważ umożliwiają organom państw członkowskich zapewnienie ciągłości ochrony, zgodnie z unijnymi przepisami o ochronie danych, w całym „łańcuchu przekazywania danych”.

(87)

Wspomniane nowe ramy dotyczące międzynarodowego przekazywania danych zaczęły obowiązywać po zakończeniu okresu przejściowego (152). Załącznik 21 pkt 10–12 (wprowadzone na mocy rozporządzenia w sprawie ochrony danych, prywatności i łączności elektronicznej) stanowią jednak, że od zakończenia okresu przejściowego określone przekazania danych osobowych będą traktowane tak, jakby opierały się na rozporządzeniach stwierdzających odpowiedni stopień ochrony. Przekazania te obejmują przekazania danych do państwa członkowskiego, państwa EFTA i państwa trzeciego objętego decyzją UE stwierdzającą odpowiedni stopień ochrony na koniec okresu przejściowego oraz do terytorium Gibraltaru. W związku z tym przekazywanie danych do tych państw może nadal odbywać się na takich samych zasadach jak przed wystąpieniem Zjednoczonego Królestwa z Unii. Po zakończeniu okresu przejściowego Sekretarz Stanu ma obowiązek przeprowadzić przegląd tych ustaleń dotyczących odpowiedniego stopnia ochrony w terminie czterech lat, tj. do końca grudnia 2024 r. Zgodnie z wyjaśnieniem przedstawionym przez władze Zjednoczonego Królestwa, mimo że Sekretarz Stanu ma obowiązek przeprowadzić taki przegląd do końca grudnia 2024 r., przepisy przejściowe nie obejmują przepisu dotyczącego „wygaśnięcia” i odpowiednie przepisy przejściowe nie przestaną automatycznie obowiązywać, jeżeli przegląd nie zostanie zakończony do końca grudnia 2024 r.

(88)

Zgodnie z zasadą rozliczalności organy publiczne przetwarzające dane są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby skutecznie przestrzegać swoich obowiązków w zakresie ochrony danych oraz być w stanie wykazać taką zgodność, zwłaszcza wobec właściwego organu nadzorczego.

(89)

Zasada ta znajduje odzwierciedlenie w art. 56 DPA 2018, którym wprowadzono ogólny obowiązek rozliczalności administratora, tj. obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odbywało się zgodnie z wymogami określonymi w części 3 DPA 2018 i aby administrator był w stanie to wykazać. Wdrożone środki muszą być w razie potrzeby poddawane przeglądom i uaktualniane, a jeżeli jest to proporcjonalne w stosunku do przetwarzania – obejmować odpowiednie polityki ochrony danych.

(90)

Zgodnie z rozdziałem IV dyrektywy (UE) 2016/680 w art. 55–71 DPA 2018 przewidziano różne mechanizmy mające zapewnić rozliczalność i umożliwić administratorom i podmiotom przetwarzającym wykazanie zgodności. W szczególności administratorzy są zobowiązani do wdrożenia środków ochrony danych w fazie projektowania i domyślnej ochrony danych, tj. do zapewnienia skutecznej realizacji zasad ochrony danych oraz prowadzenia wykazu wszystkich kategorii czynności przetwarzania, za które odpowiada administrator (w tym informacji na temat tożsamości administratora, danych kontaktowych inspektora ochrony danych, celów przetwarzania, kategorii odbiorców ujawnianych informacji oraz opisu kategorii osób, których dane dotyczą, oraz danych osobowych), a także do udostępniania tych wykazów Komisarzowi ds. Informacji na jego żądanie. Administrator i podmiot przetwarzający muszą również ewidencjonować określone operacje przetwarzania i udostępniać ewidencję Komisarzowi ds. Informacji (153). Administratorzy są również wyraźnie zobowiązani do współpracy z Komisarzem ds. Informacji przy wykonywaniu jego zadań.

(91)

W DPA 2018 określono również dodatkowe wymogi dotyczące sytuacji, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Obejmują one obowiązek przeprowadzenia oceny skutków dla ochrony danych oraz konsultacji z Komisarzem ds. Informacji przed przetwarzaniem, jeżeli taka ocena wskaże, że przetwarzanie powodowałoby wysokie ryzyko dla praw i wolności osób fizycznych (w przypadku braku zastosowania środków w celu zminimalizowania tego ryzyka).

(92)

Administratorzy muszą ponadto wyznaczyć inspektora ochrony danych, chyba że administratorem jest sąd lub inny organ sądowy, działający w zakresie sprawowania wymiaru sprawiedliwości (154). Administrator musi zapewnić, aby inspektor ochrony danych był włączany we wszystkie sprawy dotyczące ochrony danych osobowych, posiadał niezbędne zasoby i dostęp do danych osobowych i operacji przetwarzania oraz mógł niezależnie wykonywać swoje zadania. Zadania inspektora ochrony danych określono w art. 71 DPA 2018 i obejmują one udzielanie informacji i porad, monitorowanie przestrzegania przepisów, a także współpracę z Komisarzem ds. Informacji i pełnienie funkcji punktu kontaktowego dla Komisarza ds. Informacji. Podczas wykonywania swoich zadań inspektor ochrony danych musi uwzględniać ryzyko związane z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

(93)

Aby zagwarantować również w praktyce odpowiedni stopień ochrony danych, należy ustanowić niezależny organ nadzorczy, uprawniony do monitorowania i egzekwowania zgodności z przepisami o ochronie danych. W ramach wykonywanych obowiązków i realizowanych uprawnień organ ten musi być całkowicie niezależny i bezstronny.

(94)

W Zjednoczonym Królestwie za nadzór i egzekwowanie zgodności z przepisami RODO UK i DPA 2018 odpowiada Komisarz ds. Informacji (155). Komisarz ds. Informacji nadzoruje również przetwarzanie danych osobowych przez właściwe organy wchodzące w zakres części 3 DPA 2018 (156). Komisarz ds. Informacji jest „pojedynczą osobą prawną” – odrębnym podmiotem prawnym składającym się z jednej osoby. Komisarza ds. Informacji wspiera w pracy biuro. W dniu 31 marca 2020 r. Biuro Komisarza ds. Informacji zatrudniało 768 stałych pracowników (157). Departamentem finansującym Komisarza ds. Informacji jest Departament Cyfryzacji, Kultury, Mediów i Sportu (158).

(95)

Kwestię niezależności Komisarza wyraźnie uregulowano w art. 52 RODO UK, który odpowiada wymogom określonym w art. 52 ust. 1–3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (159). Komisarz musi działać z zachowaniem pełnej niezależności, wykonując swoje zadania i uprawnienia zgodnie z RODO UK, pozostawać wolny od bezpośrednich lub pośrednich wpływów zewnętrznych w odniesieniu do tych zadań i uprawnień oraz nie może zwracać się do nikogo o instrukcje ani ich od nikogo przyjmować. Komisarz musi również powstrzymać się od wszelkich czynności sprzecznych ze swoimi obowiązkami i w okresie sprawowania urzędu nie może podejmować żadnego zajęcia zarobkowego ani niezarobkowego sprzecznego z tymi obowiązkami.

(96)

Warunki powoływania i odwoływania Komisarza ds. Informacji określono w załączniku 12 do DPA 2018. Komisarz ds. Informacji jest powoływany przez Królową na wniosek rządu w wyniku uczciwego i otwartego konkursu. Kandydat musi posiadać odpowiednie kwalifikacje, umiejętności i kompetencje. Zgodnie z kodeksem zarządzania w zakresie nominacji publicznych (160) zespół doradczy ds. oceny sporządza wykaz ewentualnych kandydatów. Zanim Sekretarz Stanu w Departamencie Cyfryzacji, Kultury, Mediów i Sportu podejmie ostateczną decyzję, właściwa komisja specjalna parlamentu musi przeprowadzić kontrolę poprzedzającą nominację. Stanowisko komisji podaje się do wiadomości publicznej (161).

(97)

Kadencja Komisarza ds. Informacji trwa maksymalnie siedem lat. Jej Królewska Mość może odwołać Komisarza ds. Informacji ze stanowiska na podstawie oświadczenia obu izb parlamentu (162). Wniosek o odwołanie Komisarza ds. Informacji może zostać przedstawiony jednej z izb parlamentu jedynie w wypadku, gdy minister przedstawi tej izbie sprawozdanie, w którym wyrazi przekonanie, że Komisarz ds. Informacji jest winny poważnego uchybienia lub nie spełnia już warunków wymaganych do sprawowania funkcji Komisarza (163).

(98)

Środki na finansowanie działalności Komisarza ds. Informacji pochodzą z trzech źródeł: (i) opłat za ochronę danych wnoszonych przez administratorów, które są ustalane na podstawie rozporządzeń wydanych przez Sekretarza Stanu (164) i wynoszą 85–90 % rocznego budżetu Biura (165); (ii) subwencji, które mogą być wypłacane przez rząd na rzecz Komisarza ds. Informacji i są wykorzystywane głównie do finansowania kosztów operacyjnych Komisarza ds. Informacji w odniesieniu do zadań niezwiązanych z ochroną danych (166); (iii) opłat pobieranych z tytułu świadczenia usług (167). Obecnie nie pobiera się takich opłat.

(99)

Ogólne funkcje Komisarza ds. Informacji w odniesieniu do przetwarzania danych osobowych wchodzącego w zakres części 3 DPA 2018 zostały określone w załączniku 13 do tej ustawy. Jego zadania obejmują: monitorowanie i egzekwowanie części 3 DPA 2018, zwiększanie świadomości społecznej, doradzanie parlamentowi, rządowi i innym instytucjom w zakresie środków legislacyjnych i administracyjnych, zwiększanie świadomości administratorów i podmiotów przetwarzających w zakresie ich obowiązków, udzielanie informacji osobie, której dane dotyczą, dotyczących wykonywania jej praw czy prowadzenie postępowań. Aby utrzymać niezależność sądów, Komisarz ds. Informacji nie jest uprawniony do wykonywania swoich funkcji w odniesieniu do przetwarzania danych osobowych przez osobę fizyczną sprawującą wymiar sprawiedliwości bądź sąd lub trybunał sprawujący wymiar sprawiedliwości. Nadzór nad sądownictwem zapewniają jednak omówione poniżej wyspecjalizowane organy.

(100)

Komisarz posiada ogólne uprawnienia dochodzeniowo-śledcze, uprawnienia w zakresie korekt i upoważnień oraz uprawnienia doradcze w odniesieniu do przetwarzania danych osobowych, do których zastosowanie ma część 3 DPA 2018. Komisarz posiada uprawnienia do zawiadomienia administratora lub podmiotu przetwarzającego o domniemanym naruszeniu przepisów części 3, do udzielania ostrzeżeń administratorowi lub podmiotowi przetwarzającemu, że planowane operacje przetwarzania prawdopodobnie naruszą przepisy części 3, a także do udzielania upomnień administratorowi lub podmiotowi przetwarzającemu, jeżeli operacje przetwarzania naruszyły przepisy części 3. Ponadto Komisarz może wydawać z urzędu lub na wniosek opinie dla parlamentu, rządu lub innych instytucji i organów Zjednoczonego Królestwa, a także opinii publicznej w sprawie dowolnej kwestii związanej z ochroną danych osobowych (168).

(101)

Ponadto Komisarz posiada uprawnienia w zakresie:

(102)

W polityce działań regulacyjnych Komisarza ds. Informacji określono okoliczności, w których wydaje on, odpowiednio, zawiadomienie informacyjne, oceniające, egzekucyjne i zawiadomienie w sprawie sankcji (173). W ramach zawiadomienia egzekucyjnego możliwe jest nałożenie tych wymogów, które Komisarz uzna za właściwe w celu zaradzenia uchybieniu. W ramach zawiadomienia w sprawie sankcji zobowiązuje się daną osobę do wpłacenia na rzecz Komisarza ds. Informacji kwoty określonej w zawiadomieniu. Zawiadomienie w sprawie sankcji można wydać w następstwie uchybienia określonym przepisom DPA 2018 (174) lub można je wydać w odniesieniu do administratora lub podmiotu przetwarzającego, który nie zastosował się do zawiadomienia informacyjnego, oceniającego lub egzekucyjnego.

(103)

W szczególności podczas podejmowania decyzji, czy należy wydać zawiadomienie w sprawie sankcji w odniesieniu do danego administratora lub podmiotu przetwarzającego, oraz podczas ustalania wysokości sankcji Komisarz ds. Informacji musi uwzględnić kwestie wymienione w art. 155 ust. 3 DPA 2018, w tym charakter i wagę uchybienia, umyślny lub nieumyślny charakter uchybienia, wszelkie działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przed osoby, których dane dotyczą, stopień odpowiedzialności administratora lub podmiotu przetwarzającego (z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych), wszelkie istotne wcześniejsze uchybienia ze strony administratora lub podmiotu przetwarzającego; kategorie danych osobowych, których dotyczyło uchybienie, oraz to, czy sankcja byłaby skuteczna, proporcjonalna i odstraszająca.

(104)

Maksymalna kwota sankcji, jaką można nałożyć w drodze zawiadomienia w sprawie sankcji, wynosi a) 17 500 000 GBP w odniesieniu do niezastosowania się do zasad ochrony danych (art. 35, 36, 37, 38 ust. 1, 39 ust. 1 i 40 DPA 2018), obowiązków w zakresie przejrzystości i praw indywidualnych (art. 44, 45, 46, 47, 48, 49, 52 i 53 DPA 2018) oraz zasad dotyczących międzynarodowego przekazywania danych osobowych (art. 73, 75, 76, 77 i 78 DPA 2018); oraz b) 8 700 000 GBP w innych przypadkach (175). W odniesieniu do niezastosowania się do zawiadomienia informacyjnego, oceniającego lub egzekucyjnego maksymalna kwota sankcji, jaką można nałożyć w ramach zawiadomienia w sprawie sankcji, wynosi 17 500 000 GBP.

(105)

Zgodnie z ostatnimi sprawozdaniami rocznymi (2018–2019 (176), 2019–2020 (177)) Komisarz ds. Informacji przeprowadził szereg postępowań w odniesieniu do przetwarzania danych osobowych przez organy ścigania. Na przykład w październiku 2019 r. Komisarz przeprowadził postępowanie i wydał opinię w sprawie wykorzystywania przez organy ścigania technologii rozpoznawania twarzy w miejscach publicznych. W postępowaniu skupiono się w szczególności na wykorzystywaniu przez policję południowej Walii i Metropolitalną Służbę Policyjną możliwości w zakresie rozpoznawania twarzy na żywo. Komisarz ds. Informacji zbadał również stosowaną przez Metropolitalną Służbę Policyjną „matrycę gangów” (178) i stwierdził szereg poważnych naruszeń przepisów o ochronie danych, które mogły podważyć zaufanie publiczne w kwestii stosowania matrycy i sposobu wykorzystywania danych.

(106)

W listopadzie 2018 r. Komisarz ds. Informacji wydał zawiadomienie egzekucyjne, w następstwie którego Metropolitalna Służba Policyjna podjęła kroki wymagane do zwiększenia bezpieczeństwa i rozliczalności oraz zapewnienia wykorzystywania danych w sposób proporcjonalny.

(107)

Innym przykładem niedawnych działań egzekucyjnych jest grzywna w wysokości 325 000 GBP, którą Komisarz nałożył w maju 2018 r. na prokuraturę za utracenie niezaszyfrowanych płyt DVD zawierających nagrania z przesłuchań policyjnych. Komisarz ds. Informacji prowadził również postępowania dotyczące szerszych zagadnień, na przykład w pierwszej połowie 2020 r. w sprawie wydobywania danych z telefonów komórkowych do celów policyjnych oraz przetwarzania przez policję danych osób poszkodowanych.

(108)

Ponadto należy zauważyć, że poza powyższymi możliwościami egzekwowania przestrzegania przepisów przez Komisarza ds. Informacji niektóre naruszenia ustawodawstwa w dziedzinie ochrony danych stanowią przestępstwo, wobec czego mogą podlegać sankcjom karnym (art. 196 DPA 2018). Dotyczy to na przykład uzyskania lub ujawnienia danych osobowych bez zgody administratora oraz doprowadzenia do ujawnienia danych osobowych innej osobie bez zgody administratora (179); deanonimizacji informacji będących zanonimizowanymi danymi osobowymi bez zgody administratora odpowiedzialnego za anonimizację danych osobowych (180); umyślnego utrudniania Komisarzowi wykonywania jego uprawnień w zakresie kontroli danych osobowych zgodnie z zobowiązaniami międzynarodowymi (181), składania fałszywych oświadczeń w odpowiedzi na zawiadomienie informacyjne lub niszczenia informacji w związku z zawiadomieniem informacyjnym i oceniającym (182).

(109)

Komisarz ds. Informacji jest również zobowiązany na podstawie art. 139 DPA 2018 do składania przed każdą z izb parlamentu ogólnego sprawozdania z wykonywania swoich funkcji wynikających z ustawy (183).

(110)

Nadzór nad przetwarzaniem danych osobowych przez sądy i wymiar sprawiedliwości ma dwojaki charakter. W przypadku gdy osoba zajmująca stanowisko sędziowskie lub sąd nie sprawują wymiaru sprawiedliwości, nadzór sprawuje Komisarz ds. Informacji. W przypadku gdy administrator sprawuje wymiar sprawiedliwości, Komisarz ds. Informacji nie może wykonywać swoich funkcji nadzorczych (184), a nadzór sprawują organy specjalne. Odzwierciedla to podejście przyjęte w art. 32 dyrektywy (UE) 2016/680.

(111)

W szczególności w tej drugiej sytuacji w przypadku sądów Anglii i Walii oraz trybunału pierwszej instancji i wyższych trybunałów Anglii i Walii taki nadzór sprawuje panel sądowy ds. ochrony danych [Judicial Data Protection Panel] (185). Ponadto Lord Chief Justice (zwierzchnik sądownictwa Anglii i Walii) i Senior President of Tribunals (zwierzchnik trybunałów pozasądowych) wydali oświadczenie o ochronie prywatności (186), w którym określili sposób, w jaki sądy w Anglii i Walii przetwarzają dane osobowe w związku z pełnieniem funkcji sądowych. Podobne oświadczenia wydano w systemach sądownictwa Irlandii Północnej (187) i Szkocji (188).

(112)

Ponadto w Irlandii Północnej Lord Chief Justice (zwierzchnik sądownictwa) Irlandii Północnej mianował sędziego Wysokiego Trybunału na stanowisko sędziego sprawującego nadzór nad ochroną danych osobowych (189). Wydano również wytyczne dla kadr wymiaru sprawiedliwości Irlandii Północnej dotyczące postępowania w przypadku utraty lub ewentualnej utraty danych oraz procedury rozwiązywania wszelkich kwestii z tym związanych (190).

(113)

W Szkocji Lord President wyznaczył sędziego sprawującego nadzór nad ochroną danych osobowych, który rozpatruje wszelkie skargi dotyczące ochrony danych. Odbywa się to na zasadach rozpatrywania skarg sądowych, które odzwierciedlają zasady określone dla Anglii i Walii (191).

(114)

Natomiast jeżeli chodzi o Sąd Najwyższy, do sprawowania nadzoru nad ochroną danych wyznaczono jednego z sędziów tego sądu.

(115)

W celu zapewnienia odpowiedniej ochrony, a zwłaszcza egzekwowania praw indywidualnych, osoba, której dane dotyczą, powinna mieć możliwość korzystania ze skutecznych administracyjnych i sądowych środków zaskarżenia, w tym dochodzenia odszkodowania.

(116)

Po pierwsze, osoba, której dane dotyczą, ma prawo do wniesienia skargi do Komisarza ds. Informacji, jeżeli uważa, że doszło do naruszenia części 3 DPA 2018 w odniesieniu do danych osobowych, które jej dotyczą (192). Jak opisano w motywach 100 i 109 powyżej, Komisarz ds. Informacji jest uprawniony do oceny przestrzegania DPA 2018 przez administratora i podmiot przetwarzający, wezwania ich do podjęcia lub zaniechania koniecznych kroków w przypadku nieprzestrzegania przepisów oraz do nałożenia kar.

(117)

Po drugie, DPA 2018 zapewnia prawo do środka ochrony prawnej przeciwko Komisarzowi ds. Informacji. Jeżeli Komisarz nie „czyni postępów” (193) w rozpatrywaniu skargi złożonej przez osobę, której dane dotyczą, skarżący ma dostęp do środka ochrony prawnej przed sądem, ponieważ może zwrócić się do trybunału pierwszej instancji (194) o nakazanie Komisarzowi podjęcia odpowiednich kroków w celu udzielenia odpowiedzi na skargę lub poinformowania skarżącego o postępach w rozpatrywaniu skargi (195). Ponadto każda osoba, wobec której Komisarz wydał którekolwiek z powyższych zawiadomień (zawiadomienie informacyjne, oceniające, egzekucyjne lub w sprawie sankcji), może odwołać się do Trybunału Pierwszej Instancji (First Tier Tribunal). Jeżeli Trybunał uzna, że decyzja Komisarza ds. Informacji nie jest zgodna z prawem lub że Komisarz powinien był skorzystać z przysługującej mu swobody uznania w inny sposób, Trybunał uwzględnia odwołanie lub zastępuje zawiadomienie lub decyzję innym zawiadomieniem lub decyzją, które Komisarz mógł wydać (196).

(118)

Po trzecie, osoby fizyczne mogą wnieść środki zaskarżenia przeciwko administratorom i podmiotom przetwarzającym bezpośrednio do sądu na podstawie art. 167 DPA 2018. Jeżeli po otrzymaniu wniosku osoby, której dane dotyczą, sąd stwierdzi, że doszło do naruszenia jej praw wynikających z ustawodawstwa w dziedzinie ochrony danych, sąd może nakazać administratorowi w odniesieniu do tego przetwarzania lub podmiotowi przetwarzającemu działającemu w imieniu tego administratora podjęcie kroków określonych w nakazie lub zaniechanie podejmowania kroków określonych w nakazie. Ponadto, zgodnie z art. 169 DPA 2018, każdy, kto poniósł szkodę z powodu naruszenia wymogu określonego w ustawodawstwie w dziedzinie ochrony danych (w tym w części 3 DPA 2018), innym niż RODO UK, ma prawo do odszkodowania z tytułu poniesienia tej szkody od administratora lub podmiotu przetwarzającego, chyba że administrator lub podmiot przetwarzający udowodni, że nie ponosi w żaden sposób odpowiedzialności za zdarzenie wywołujące szkodę. Szkoda obejmuje zarówno stratę finansową, jak i szkodę niezwiązaną ze stratą finansową, taką jak cierpienie.

(119)

Po czwarte, jeżeli ktokolwiek uważa, że jego prawa, w tym prawa do prywatności i ochrony danych, zostały naruszone przez organy publiczne, może dochodzić roszczeń przed sądami Zjednoczonego Królestwa na podstawie ustawy o prawach człowieka z 1998 r. Administratorzy w rozumieniu części 3 DPA 2018, tj. właściwe organy, są zawsze organami publicznymi w rozumieniu ustawy o prawach człowieka z 1998 r. Osoba fizyczna, która twierdzi, że organ publiczny działał (lub zamierza działać) w sposób niezgodny z prawem określonym w konwencji, a w rezultacie niezgodny z prawem w rozumieniu art. 6 ust. 1 ustawy o prawach człowieka z 1998 r., może wytoczyć powództwo przeciwko temu organowi przed właściwy sąd lub trybunał lub powołać się na dane prawa w dowolnym postępowaniu sądowym, jeśli jest (lub byłaby) ofiarą działania niezgodnego z prawem (197).

(120)

Jeśli sąd stwierdzi, że jakiekolwiek działanie organu publicznego jest niezgodne z prawem, może – w ramach swojej właściwości – zastosować taki środek zabezpieczający lub inny środek prawny lub wydać taki nakaz, jaki uzna za sprawiedliwy i właściwy (198). Sąd może również orzec, że przepis ustawodawczy jest niezgodny z prawem gwarantowanym na mocy EKPC.

(121)

Ponadto po wyczerpaniu krajowych środków ochrony prawnej osobie fizycznej przysługuje środek zaskarżenia przed Europejskim Trybunałem Praw Człowieka z tytułu naruszenia praw gwarantowanych na mocy EKPC.

(122)

Prawo Zjednoczonego Królestwa dopuszcza udostępnianie danych przez organ ścigania innym organom Zjednoczonego Królestwa do celów innych niż te, dla których pierwotnie je zebrano (tzw. „dalsze przekazywanie”), pod pewnymi warunkami.

(123)

Podobnie do tego, co przewidziano w art. 4 ust. 2 dyrektywy (UE) 2016/680, art. 36 ust. 3 DPA 2018 dopuszcza, aby dane osobowe zebrane przez właściwy organ do celów ścigania przestępstw były dalej przetwarzane (przez pierwotnego administratora lub innego administratora), o ile dalsze przetwarzanie odbywa się do wszelkich innych celów ścigania przestępstw, pod warunkiem że administrator jest upoważniony na mocy prawa do przetwarzania danych w tym innym celu, a przetwarzanie jest niezbędne i proporcjonalne (199). W takim przypadku wszystkie zabezpieczenia przewidziane w części 3 DPA 2018 i przeanalizowane powyżej mają zastosowanie do przetwarzania prowadzonego przez organ otrzymujący.

(124)

W porządku prawnym Zjednoczonego Królestwa różne ustawy wyraźnie dopuszczają dalsze przekazywanie. W szczególności (i) ustawa o gospodarce cyfrowej z 2017 r. umożliwia udostępnianie danych między organami publicznymi do szeregu celów, na przykład w przypadku wszelkich nadużyć finansowych na szkodę sektora publicznego, które wiązałyby się ze stratą lub ryzykiem straty dla organu publicznego (200), lub w przypadku długu należnego na rzecz organu publicznego lub Korony (201); (ii) ustawa o przestępczości i sądach z 2013 r. zezwala na udostępnianie danych Krajowej Agencji ds. Zwalczania Przestępczości (202) w celu zwalczania przestępczości poważnej i zorganizowanej, prowadzenia postępowań przygotowawczych w sprawie takich przestępstw i ich ścigania; (iii) ustawa o poważnej przestępczości z 2007 r. zezwala organom publicznym na ujawnianie informacji organizacjom zwalczającym nadużycia finansowe do celów zapobiegania nadużyciom finansowym (203).

(125)

Ustawy te wyraźnie stanowią, że udostępnianie informacji musi być zgodne z zasadami określonymi w DPA 2018. Ponadto Kolegium Policyjne wydało zatwierdzone praktyki zawodowe dotyczące udostępniania informacji (204), aby pomóc policji w wypełnianiu obowiązków w zakresie ochrony danych wynikających z RODO UK, DPA oraz ustawy o prawach człowieka z 1998 r. Zgodność udostępniania informacji z obowiązującymi ramami prawnymi w zakresie ochrony danych może oczywiście podlegać kontroli sądowej (205).

(126)

Ponadto podobnie do tego, co wynika z art. 9 dyrektywy (UE) 2016/680, DPA 2018 stanowi, że dane osobowe zebrane w jakimkolwiek celu związanym ze ściganiem przestępstw mogą być przetwarzane w celu, który nie jest celem związanym ze ściganiem przestępstw, jeżeli to przetwarzanie jest dozwolone przez prawo (206). Ten rodzaj udostępniania danych obejmuje dwa scenariusze: 1) gdy organ ścigania przekazuje dane organowi niebędącemu organem ścigania ani agencją wywiadowczą (np. organowi ds. regulacji finansowej, organowi podatkowemu, organowi ochrony konkurencji, urzędowi ds. młodzieży itp.); 2) gdy organ ścigania przekazuje dane agencji wywiadowczej. W pierwszym scenariuszu przetwarzanie danych osobowych wchodzi w zakres RODO UK, jak również w zakres części 2 DPA 2018. Jak określono w decyzji przyjętej na mocy rozporządzenia (UE) 2016/679, zabezpieczenia przewidziane w RODO UK i części 2 DPA 2018 zapewniają stopień ochrony zasadniczo odpowiadający stopniowi zapewnionemu w Unii (207).

(127)

W drugim scenariuszu, w odniesieniu do udostępniania danych zebranych przez organ ścigania agencji wywiadowczej do celów bezpieczeństwa narodowego, podstawą prawną upoważniającą do takiego udostępniania jest ustawa o zwalczaniu terroryzmu z 2008 r. (CTA 2008) (208). Zgodnie z ustawą o zwalczaniu terroryzmu z 2008 r. każdy może przekazać informacje którejkolwiek ze służb wywiadowczych na potrzeby wykonywania którejkolwiek z funkcji tej służby, w tym dotyczącej „bezpieczeństwa narodowego”.

(128)

Jeśli chodzi o warunki, na jakich dane można udostępniać do celów bezpieczeństwa narodowego, ustawa o służbach wywiadowczych oraz ustawa o Służbie Bezpieczeństwa ograniczają możliwości służb wywiadowczych w zakresie uzyskiwania danych do tego, co jest niezbędne do wykonywania ich funkcji ustawowych. Właściwe organy, wchodzące w zakres części 3 DPA 2018, które zamierzają udostępniać dane służbom wywiadowczym, będą musiały uwzględnić szereg czynników/ograniczeń oprócz ustawowych funkcji agencji określonych w ustawie o służbach wywiadowczych i ustawie o Służbie Bezpieczeństwa (209). W art. 20 ustawy o zwalczaniu terroryzmu z 2008 r. wyraźnie wskazano, że wszelkie udostępnianie danych na podstawie art. 19 tej ustawy musi być również zgodne z ustawodawstwem w dziedzinie ochrony danych; oznacza to, że mają zastosowanie wszystkie ograniczenia i wymogi określone w DPA 2018. Ponadto organy ścigania i służby wywiadowcze są organami publicznymi w rozumieniu ustawy o prawach człowieka z 1998 r., a zatem muszą zagwarantować, że działają zgodnie z prawami gwarantowanymi na mocy EKPC, w tym jej art. 8. Innymi słowy, wymogi te oznaczają, że wszelkie udostępnianie danych między organami ścigania a służbami wywiadowczymi musi być zgodne z ustawodawstwem w dziedzinie ochrony danych i EKPC.

(129)

Przetwarzanie przez służby wywiadowcze danych osobowych otrzymanych lub uzyskanych od organów ścigania do celów bezpieczeństwa narodowego podlega szeregowi warunków i zabezpieczeń (210). Część 4 DPA 2018 ma zastosowanie do wszelkiego przetwarzania danych przez służby wywiadowcze lub w ich imieniu. Określono w niej główne zasady ochrony danych (zgodność z prawem, rzetelność i przejrzystość (211); ograniczenie celu (212); minimalizacja danych (213); prawidłowość (214); ograniczenie przechowywania (215) i bezpieczeństwo (216)), określono warunki dotyczące przetwarzania szczególnych kategorii danych (217), zapewniono prawa osób, których dane dotyczą, (218) określono obowiązek uwzględniania ochrony danych w fazie projektowania (219) i uregulowano międzynarodowe przekazywanie danych osobowych (220).

(130)

Jednocześnie w art. 110 DPA 2018 przewidziano wyłączenie stosowania określonych przepisów zawartych w części 4 tej ustawy, gdy takie wyłączenie jest wymagane do ochrony bezpieczeństwa narodowego. W art. 110 ust. 2 DPA 2018 wymieniono przepisy, w przypadku których dopuszcza się wyłączenie stosowania. Obejmują one zasady ochrony danych (z wyjątkiem zasady zgodności z prawem), prawa osób, których dane dotyczą, obowiązek informowania Komisarza ds. Informacji o naruszeniu ochrony danych, uprawnienia Komisarza ds. Informacji do przeprowadzania kontroli zgodnie z zobowiązaniami międzynarodowymi, określone uprawnienia Komisarza ds. Informacji do egzekwowania przestrzegania przepisów, przepisy, zgodnie z którymi niektóre naruszenia ochrony danych stanowią czyn zabroniony, oraz przepisy dotyczące szczególnych celów przetwarzania, takich jak przetwarzanie do celów dziennikarskich, akademickich czy artystycznych. Na wyłączenie to można się powołać na podstawie analizy poszczególnych przypadków (221). Jak wyjaśniły władze Zjednoczonego Królestwa i jak potwierdzono w orzecznictwie sądów Zjednoczonego Królestwa, „administrator musi uwzględnić faktyczne konsekwencje dla bezpieczeństwa narodowego lub obrony, gdyby musiał zastosować się do konkretnego przepisu dotyczącego ochrony danych i gdyby istniały racjonalne przesłanki, że mógłby przestrzegać zwykłej zasady bez wpływu na bezpieczeństwo narodowe lub obronę” (222). Nad prawidłowym stosowaniem wyłączeń nadzór sprawuje Komisarz ds. Informacji (223).

(131)

Ponadto jeżeli chodzi o możliwość ograniczenia któregokolwiek z wymienionych powyżej praw ze względu na ochronę „bezpieczeństwa narodowego”, w art. 79 DPA 2018 określono, że administrator może ubiegać się o podpisane przez ministra lub Prokuratora Generalnego poświadczenie potwierdzające, że ograniczenie takich praw jest, lub było w dowolnym momencie, niezbędnym i proporcjonalnym środkiem służącym ochronie bezpieczeństwa narodowego (224). Rząd Zjednoczonego Królestwa opublikował wytyczne dotyczące poświadczeń bezpieczeństwa narodowego wydawanych na podstawie DPA 2018, w których podkreślono w szczególności, że wszelkie ograniczenia praw osób, których dane dotyczą, służące do ochrony bezpieczeństwa narodowego muszą być proporcjonalne i niezbędne (225). Wszelkie poświadczenia bezpieczeństwa narodowego muszą zostać opublikowane na stronie internetowej Komisarza ds. Informacji (226).

(132)

Poświadczenie powinno być wydawane na czas określony, nie dłuższy niż pięć lat, tak aby podlegało regularnej ocenie przez władzę wykonawczą (227). W poświadczeniu określa się dane osobowe lub kategorie danych osobowych podlegające wyłączeniu, a także przepisy DPA 2018, do których wyłączenie ma zastosowanie (228).

(133)

Należy zauważyć, że poświadczenia bezpieczeństwa narodowego nie stanowią dodatkowej podstawy ograniczania praw do ochrony danych ze względów bezpieczeństwa narodowego. Innymi słowy administrator lub podmiot przetwarzający może powołać się na poświadczenie wyłącznie wówczas, gdy stwierdził, że konieczne jest powołanie się na wyłączenie dotyczące bezpieczeństwa narodowego, co jest możliwe wyłącznie na podstawie oceny każdego przypadku z osobna. Nawet jeżeli do danej sprawy zastosowanie ma poświadczenie bezpieczeństwa narodowego, Komisarz ds. Informacji może zbadać, czy w tym konkretnym przypadku powołanie się na wyłączenie dotyczące bezpieczeństwa narodowego było uzasadnione (229).

(134)

Każdy, na kogo wydanie poświadczenia wywarło bezpośredni wpływ, może odwołać się od wydania poświadczenia (230) do Wyższego Trybunału (231) lub, gdy w poświadczeniu dane określono za pomocą ogólnego opisu, zaskarżyć stosowanie poświadczenia w odniesieniu do konkretnych danych (232).

(135)

W takiej sytuacji Trybunał bada decyzję o wydaniu poświadczenia i orzeka, czy istniały uzasadnione podstawy do jego wydania (233). Może rozważyć wiele różnych aspektów, takich jak niezbędność, proporcjonalność i zgodność z prawem, uwzględniając wpływ na prawa osób, których dane dotyczą, oraz wyważając potrzebę ochrony bezpieczeństwa narodowego. W rezultacie Trybunał może stwierdzić, że poświadczenie nie ma zastosowania do konkretnych danych osobowych będących przedmiotem odwołania (234).

(136)

Inny zbiór możliwych ograniczeń dotyczy wyłączeń, które stosuje się na podstawie załącznika 11 do DPA 2018 do określonych przepisów zawartych w części 4 DPA 2018 (235) na potrzeby zabezpieczenia innych ważnych celów leżących w ogólnym interesie publicznym lub chronionych interesów, takich jak np. przywilej parlamentarny, prawnicza tajemnica zawodowa, przebieg postępowania sądowego lub skuteczność bojowa sił zbrojnych. Wyłączenia stosowania tych przepisów dokonuje się albo w odniesieniu do określonych kategorii informacji („ze względu na klasę”), albo w zakresie, w jakim stosowanie tych przepisów mogłoby zaszkodzić chronionemu interesowi („ze względu na szkodę”) (236). Na wyłączenia ze względu na szkodę można się powoływać tylko w takim zakresie, w jakim zastosowanie wymienionego przepisu dotyczącego ochrony danych prawdopodobnie zaszkodziłoby danemu interesowi. Stosowanie wyłączenia musi być zatem zawsze uzasadnione poprzez wskazanie odpowiedniej szkody, która prawdopodobnie powstałaby w danym przypadku. Na wyłączenia ze względu na klasę można się powoływać wyłącznie w odniesieniu do konkretnej, ściśle zdefiniowanej kategorii informacji, dla której przyznano wyłączenie. Wyłączenia te są podobne pod względem celu i skutku do szeregu wyjątków od RODO UK (określonych w załączniku 2 do DPA 2018), które z kolei odzwierciedlają cel i skutek przewidziane w art. 23 RODO.

(137)

Z powyższego wynika, że – w rozumieniu obowiązujących w Zjednoczonym Królestwie przepisów oraz zgodnie z wykładnią sądów i interpretacją Komisji ds. Informacji – istnieją ograniczenia i warunki zapewniające, aby wspomniane wyłączenia i ograniczenia pozostawały w zakresie niezbędnym i proporcjonalnym do ochrony bezpieczeństwa narodowego.

(138)

Przetwarzanie danych osobowych prowadzone przez służby wywiadowcze na podstawie części 4 DPA 2018 nadzoruje Komisarz ds. Informacji (237).

(139)

Ogólne funkcje Komisarza ds. Informacji w odniesieniu do przetwarzania danych osobowych przez służby wywiadowcze na podstawie części 4 DPA 2018 zostały określone w załączniku 13 do tej ustawy. Jego zadania obejmują w szczególności m.in.: monitorowanie i egzekwowanie części 4 DPA 2018, zwiększanie świadomości społecznej, doradzanie parlamentowi, rządowi i innym instytucjom w zakresie środków legislacyjnych i administracyjnych, zwiększanie świadomości administratorów i podmiotów przetwarzających w zakresie ich obowiązków, udzielanie informacji osobie, której dane dotyczą, dotyczących wykonywania jej praw czy prowadzenie postępowań.

(140)

Komisarz, podobnie jak określono w części 3 DPA 2018, jest uprawniony do powiadamiania administratorów o domniemanym naruszeniu oraz do wydawania ostrzeżeń, że przetwarzanie może naruszać przepisy, a także udziela upomnień, gdy naruszenie zostanie potwierdzone. Może również wydawać zawiadomienia egzekucyjne i zawiadomienia w sprawie sankcji za naruszenie określonych przepisów ustawy (238). W odróżnieniu jednak od uprawnień określonych w innych częściach DPA 2018 Komisarz nie może wydać zawiadomienia oceniającego organowi bezpieczeństwa narodowego (239).

(141)

Ponadto w art. 110 DPA 2018 przewidziano wyjątek dotyczący korzystania przez Komisarza z niektórych uprawnień, gdy jest to wymagane do celów ochrony bezpieczeństwa narodowego. Wyjątek ten obejmuje uprawnienie Komisarza do wydawania (wszelkiego rodzaju) zawiadomień na podstawie ustawy o ochronie danych (zawiadomień informacyjnych, oceniających, egzekucyjnych i w sprawie sankcji), uprawnienie do przeprowadzania inspekcji zgodnie z zobowiązaniami międzynarodowymi, uprawnienia do wstępu i inspekcji oraz przepisy dotyczące przestępstw (240). Jak wyjaśniono w motywie 136, wyjątki te będą miały zastosowanie tylko wtedy, gdy jest to niezbędne i proporcjonalne, oraz po przeprowadzeniu oceny każdego przypadku z osobna. Stosowanie tych wyjątków może podlegać kontroli sądowej (241).

(142)

Komisarz ds. Informacji i służby wywiadowcze Zjednoczonego Królestwa podpisały protokół ustaleń (242), który ustanawia ramy współpracy w wielu kwestiach, w tym w zakresie powiadamiania o naruszeniu ochrony danych i rozpatrywania skarg osób, których dane dotyczą. W protokole tym uzgodniono w szczególności, że po otrzymaniu skargi Komisarz ds. Informacji będzie zobowiązany ocenić prawidłowość wszelkich wyłączeń zastosowanych w związku z wystąpieniem zagrożenia dla bezpieczeństwa narodowego. Odpowiednia agencja wskazana w wytycznych rządu Zjednoczonego Królestwa dotyczących poświadczeń bezpieczeństwa narodowego przyjętych na podstawie ustawy o ochronie danych jest zobowiązana odpowiadać na pytania zadawane przez Komisarza ds. Informacji w toku rozpatrywania skarg osób fizycznych w terminie 20 dni roboczych, korzystając w tym celu z odpowiednich bezpiecznych kanałów, jeżeli wspomniane pytania dotyczą informacji niejawnych. Od kwietnia 2018 r. do chwili obecnej Komisarz ds. Informacji otrzymał od osób fizycznych 21 skarg, które dotyczyły służb wywiadowczych. Każda skarga została oceniona, a o rezultacie poinformowano osobę, której dane dotyczą (243).

(143)

Ponadto nad przetwarzaniem danych osobowych przez agencje wywiadowcze nadzór parlamentarny sprawuje Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa (ISC). Podstawą ustawową regulującą działalność komisji jest ustawa o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. (244) Na mocy tej ustawy powołano Komisję ds. Agencji Wywiadowczych i Bezpieczeństwa, która stanowi jedną z komisji parlamentu Zjednoczonego Królestwa. W skład Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa wchodzą członkowie izb parlamentu powołani przez premiera po zasięgnięciu opinii lidera opozycji (245). Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa jest zobowiązana przedstawić parlamentowi sprawozdanie roczne ze swojej działalności, a w stosownych przypadkach również inne sprawozdania (246).

(144)

W 2013 r. zwiększono zakres uprawnień Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa i obecnie obejmuje on również nadzór nad działaniami operacyjnymi podejmowanymi przez służby bezpieczeństwa. Zgodnie z art. 2 ustawy o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa powierzono zadanie sprawowania nadzoru nad wydatkami agencji bezpieczeństwa narodowego, ich administracją, realizowaną przez nie polityką oraz podejmowanymi przez nie działaniami operacyjnymi. Zgodnie z ustawą o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa może prowadzić postępowania w kwestiach operacyjnych, jeżeli nie dotyczą one operacji będących w toku (247). W protokole ustaleń uzgodnionym między premierem a Komisją ds. Agencji Wywiadowczych i Bezpieczeństwa (248) wyszczególniono elementy, które należy wziąć pod uwagę przy ustalaniu, czy dana czynność jest częścią operacji będącej w toku, czy też nie (249). Premier może również zwrócić się do Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa o zbadanie operacji będących w toku; komisja może ponadto dokonać przeglądu informacji przekazanych dobrowolnie przez agencje.