(1)

V nariadení (EÚ) 2016/679 sa stanovujú pravidlá prenosu osobných údajov od prevádzkovateľov alebo sprostredkovateľov v Európskej únii do tretích krajín a medzinárodným organizáciám, pokiaľ tieto prenosy patria do rozsahu jeho pôsobnosti. Pravidlá medzinárodných prenosov údajov sú stanovené v kapitole V uvedeného nariadenia, a to v článkoch 44 až 50. Hoci je pre rozmach medzinárodnej spolupráce a cezhraničného obchodu nevyhnutný tok osobných údajov do krajín mimo Európskej únie aj z takýchto krajín, prenosy do tretích krajín nesmú ohrozovať poskytovanú úroveň ochrany osobných údajov v Európskej únii (2).

(2)

Podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 môže Komisia prostredníctvom vykonávacieho aktu rozhodnúť, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany. Za tejto podmienky sa prenosy osobných údajov do tretej krajiny môžu uskutočňovať bez potreby získania ďalšieho povolenia, ako sa stanovuje v článku 45 ods. 1 a v odôvodnení 103 uvedeného nariadenia.

(3)

Ako sa uvádza v článku 45 ods. 2 nariadenia (EÚ) 2016/679, prijatie rozhodnutia o primeranosti musí vychádzať z komplexnej analýzy právneho poriadku tretej krajiny, pričom sa vzťahuje na pravidlá uplatniteľné na dovozcov údajov, ako aj na obmedzenia a záruky týkajúce sa prístupu k osobným údajom zo strany orgánov verejnej moci. Komisia musí v rámci svojho posúdenia určiť, či dotknutá tretia krajina zaručuje úroveň ochrany, ktorá v „zásade zodpovedá“ úrovni zabezpečenej v rámci Európskej únie [odôvodnenie 104 nariadenia (EÚ) 2016/679]. Štandard, voči ktorému sa posudzuje „zásadná rovnocennosť“, je štandard stanovený v právnych predpisoch Európskej únie, najmä v nariadení (EÚ) 2016/679, ako aj v judikatúre Súdneho dvora Európskej únie (3). V tejto súvislosti má význam aj referenčné kritérium primeranosti Európskeho výboru pre ochranu údajov (ďalej len „EDPBI“) (4).

(4)

Ako objasnil Súdny dvor Európskej únie, nie je potrebné, aby bola zaistená rovnaká úroveň ochrany (5). Konkrétne prostriedky, ktoré dotknutá tretia krajina využíva na ochranu osobných údajov, sa môžu líšiť od prostriedkov využívaných v Európskej únii, pokiaľ sa v praxi preukáže, že sa nimi účinne zabezpečuje primeraná úroveň ochrany (6). V záujme dosiahnutia štandardu primeranosti teda nie je potrebné, aby pravidlá druhej krajiny do detailu zodpovedali pravidlám Únie. Namiesto toho sa skôr overuje, či zahraničný systém ako celok zabezpečuje prostredníctvom hmotnoprávnej úpravy práv na ochranu údajov a ich účinného vykonávania, vymáhania, ako aj dohľadu nad nimi požadovanú úroveň ochrany (7).

(5)

Komisia dôkladne zanalyzovala právne predpisy a prax Spojeného kráľovstva. Komisia na základe zistení uvedených v odôvodneniach 8 až 270 dospela k záveru, že Spojené kráľovstvo zabezpečuje primeranú úroveň ochrany osobných údajov prenášaných v rámci rozsahu pôsobnosti nariadenia (EÚ) 2016/679 z Európskej únie do Spojeného kráľovstva.

(6)

Tento záver sa netýka osobných údajov prenášaných na účely imigračnej kontroly Spojeného kráľovstva ani takých, ktoré inak patria do rozsahu výnimky z určitých práv dotknutých osôb na účely zachovania účinnej imigračnej kontroly (ďalej len „imigračná výnimka“) podľa bodu 4 ods. 1 prílohy 2 k zákonu Spojeného kráľovstva o ochrane údajov. Platnosť a výklad imigračnej výnimky v rámci práva Spojeného kráľovstva nie sú po rozhodnutí odvolacieho súdu Anglicka a Walesu z 26. mája 2021 jednoznačné. Hoci sa uznáva, že práva dotknutých osôb môžu byť v zásade obmedzené na účely imigračnej kontroly ako „dôležitý aspekt verejného záujmu“, odvolací súd zistil, že imigračná výnimka je vo svojej súčasnej forme nezlučiteľná s právom Spojeného kráľovstva, keďže v legislatívnom opatrení chýbajú konkrétne ustanovenia stanovujúce záruky uvedené v článku 23 ods. 2 všeobecného nariadenia Spojeného kráľovstva o ochrane osobných údajov (8). Za týchto podmienok by prenosy osobných údajov z Únie do Spojeného kráľovstva, na ktoré sa môže uplatniť imigračná výnimka, mali byť vylúčené z pôsobnosti tohto rozhodnutia (9). Po napravení nezlučiteľnosti s právom Spojeného kráľovstva by sa mala imigračná výnimka, ako aj potreba udržiavať obmedzenia pôsobnosti tohto rozhodnutia opätovne posúdiť.

(7)

Toto rozhodnutie by nemalo mať vplyv na priame uplatňovanie nariadenia (EÚ) 2016/679 na organizácie usadené v Spojenom kráľovstve, ak sú splnené podmienky týkajúce sa územnej pôsobnosti uvedeného nariadenia stanovené v jeho článku 3.

(8)

Spojené kráľovstvo je parlamentnou demokraciou, ktorá má ako hlava štátu konštitučného panovníka. Má suverénny parlament, ktorý je nadriadený všetkým ostatným vládnym inštitúciám, orgán výkonnej moci, ktorý je volený z členov parlamentu a ktorý sa tomuto parlamentu zodpovedá, a nezávislé súdnictvo. Výkonná moc vychádza zo spôsobilosti získať vyslovenie dôvery volenej Dolnej snemovne (House of Commons) a zodpovedá sa obom snemovniam parlamentu, ktoré sú zodpovedné za kontrolu vlády a za prerokúvanie a prijímanie zákonov.

(9)

Parlament Spojeného kráľovstva preniesol zodpovednosť za prijímanie právnych predpisov o vnútroštátnych záležitostiach v Škótsku, vo Walese a v Severnom Írsku, ktoré Parlament Spojeného kráľovstva nevyhradil pre seba, na Škótsky parlament, Waleský parlament (Senedd Cymru) a Zhromaždenie Severného Írska. Hoci ochrana údajov je vyhradenou záležitosťou, t. j. rovnaké právne predpisy sa uplatňujú v celej krajine, v ostatných oblastiach politiky relevantných pre toto rozhodnutie sa zodpovednosť preniesla. Napríklad zodpovednosť v rámci systémov trestnej justície vrátane policajnej činnosti v Škótsku a Severnom Írsku sa preniesla na Škótsky parlament, resp. Zhromaždenie Severného Írska. Spojené kráľovstvo nemá kodifikovanú ústavu v zmysle zakotveného konštitutívneho dokumentu. Ústavné zásady sa ustálili postupne, najmä na základe judikatúry a zvyklostí. Súdy uznali ústavnú hodnotu niektorých právnych predpisov, ako je Magna charta, Listina práv z roku 1689 a zákon o ľudských právach z roku 1998. Základné práva jednotlivcov sa formovali ako súčasť ústavy prostredníctvom common law, uvedených právnych predpisov a medzinárodných dohovorov, najmä Európskeho dohovoru o ľudských právach, ktorý Spojené kráľovstvo ratifikovalo v roku 1951. Spojené kráľovstvo v roku 1987 ratifikovalo aj Dohovor Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (dohovor č. 108) (10).

(10)

Zákonom o ľudských právach z roku 1998 (Human Rights Act) sa začleňujú práva obsiahnuté v Európskom dohovore o ľudských právach do práva Spojeného kráľovstva. Zákonom o ľudských právach sa zaručujú každému jednotlivcovi základné práva a slobody stanovené v článkoch 2 až 12 a článku 14 Európskeho dohovoru o ľudských právach, článkoch 1, 2 a 3 prvého protokolu k nemu a článku 1 trinásteho protokolu k nemu v spojení s článkami 16, 17 a 18 uvedeného dohovoru. Patrí sem právo na rešpektovanie súkromného a rodinného života (a ako súčasť tohto práva aj právo na ochranu údajov) a právo na spravodlivý proces (11). Najmä v súlade s článkom 8 uvedeného dohovoru môže štátny orgán do výkonu práva na súkromie zasahovať len v prípadoch, keď je to v súlade so zákonom a nevyhnutné v demokratickej spoločnosti v záujme národnej bezpečnosti, verejnej bezpečnosti, hospodárskeho blahobytu krajiny, predchádzania nepokojom a zločinnosti, ochrany zdravia alebo morálky alebo ochrany práv a slobôd iných.

(11)

V súlade so zákonom o ľudských právach z roku 1998 musí byť každá činnosť orgánov verejnej moci zlučiteľná s právom podľa dohovoru (12). Okrem toho je potrebné, aby sa primárne a podriadené právne predpisy interpretovali a uplatňovali spôsobom, ktorý je zlučiteľný s právami vyplývajúcim z dohovoru (13).

(12)

Spojené kráľovstvo vystúpilo z Európskej únie 31. januára 2020. Na základe Dohody o vystúpení Spojeného kráľovstva Veľkej Británie a Severného Írska z Európskej únie a z Európskeho spoločenstva pre atómovú energiu (14) sa právo Únie naďalej uplatňovalo v Spojenom kráľovstve počas prechodného obdobia do 31. decembra 2020. Legislatívny rámec ochrany osobných údajov v Spojenom kráľovstve pred vystúpením a počas prechodného obdobia pozostával z príslušných právnych predpisov EÚ [najmä nariadenia (EÚ) 2016/679 a smernice Európskeho parlamentu a Rady (EÚ) 2016/680 (15)] a vnútroštátnych právnych predpisov, najmä zo zákona o ochrane údajov z roku 2018 (Data Protection Act) (16), v ktorom sa stanovujú vnútroštátne pravidlá v prípadoch, keď to umožňuje nariadenie (EÚ) 2016/679, pričom sa špecifikuje a obmedzuje uplatňovanie pravidiel nariadenia (EÚ) 2016/679 a transponovanej smernice (EÚ) 2016/680.

(13)

Vláda Spojeného kráľovstva s cieľom pripraviť sa na vystúpenie z EÚ prijala zákon o vystúpení z Európskej únie z roku 2018 (17), ktorým sa priamo uplatniteľné právne predpisy Únie začleňujú do práva Spojeného kráľovstva (18). Toto tzv. ponechané právo EÚ zahŕňa nariadenie (EÚ) 2016/679 v celom jeho rozsahu (vrátane odôvodnení) (19). V súlade s uvedeným zákonom musia súdy Spojeného kráľovstva vykladať nezmenené ponechané právo EÚ v súlade s príslušnou judikatúrou Súdneho dvora a všeobecnými zásadami práva Únie tak, ako boli účinné bezprostredne pred skončením prechodného obdobia (nazývané „ponechaná judikatúra EÚ“, resp. „ponechané všeobecné zásady práva EÚ“) (20).

(14)

Podľa zákona o vystúpení z Európskej únie z roku 2018 majú ministri Spojeného kráľovstva právomoc prostredníctvom štatutárnych nástrojov zaviesť sekundárne právne predpisy s cieľom vykonať v dôsledku vystúpenia Spojeného kráľovstva z Európskej únie potrebné zmeny v ponechanom práve Európskej únie. Túto právomoc uplatnili prijatím právnych predpisov o ochrane údajov, súkromia a elektronických komunikáciách v dôsledku vystúpenia z EÚ z roku 2019 (DPPEC Regulations) (21). Právnymi predpismi o ochrane údajov, súkromí a elektronických komunikáciách sa mení nariadenie (EÚ) 2016/679, ktoré sa do nich zaviedlo prostredníctvom zákona o vystúpení z Európskej únie z roku 2018, zákona o ochrane údajov z roku 2018 a ďalších právnych predpisov o ochrane údajov, aby zodpovedalo vnútroštátnym okolnostiam (22).

(15)

Právny rámec ochrany osobných údajov v Spojenom kráľovstve po skončení prechodného obdobia teda tvorí:

(16)

Keďže sa všeobecné nariadenie Spojeného kráľovstva o ochrane údajov zakladá na právnych predpisoch EÚ, pravidlá ochrany údajov v Spojenom kráľovstve v mnohých aspektoch odzrkadľujú príslušné pravidlá, ktoré sú platné v Európskej únii.

(17)

Okrem právomocí, ktoré sa ministrovi priznávajú prostredníctvom zákona o vystúpení z Európskej únie z roku 2018, v niekoľkých ustanoveniach zákona o ochrane údajov z roku 2018 sa ministrovi priznáva právomoc prijímať sekundárne právne predpisy s cieľom zmeniť určité ustanovenia zákona alebo stanoviť doplnkové a dodatočné pravidlá (25). Minister dosiaľ uplatnil len právomoc podľa § 137 zákona o ochrane údajov z roku 2018, ktorou bolo prijať právne predpisy o ochrane údajov (poplatky a informácie) (zmena) z roku 2019, v ktorých sa stanovujú okolnosti, keď sú prevádzkovatelia povinní platiť ročný poplatok nezávislému orgánu Spojeného kráľovstva pre ochranu údajov, Komisárovi pre informácie.

(18)

Napokon sa ďalšie usmernenia týkajúce sa právnych predpisov Spojeného kráľovstva o ochrane údajov uvádzajú v kódexoch postupov a iných usmerneniach, ktoré prijíma Komisár pre informácie. Aj keď tieto usmernenia nie sú z formálneho hľadiska právne záväzné, majú význam, pokiaľ ide o výklad, a ukazujú, ako Komisár v praxi uplatňuje a presadzuje právne predpisy o ochrane údajov. Konkrétne v § 121 až § 125 zákona o ochrane údajov z roku 2018 sa od Komisára vyžaduje, aby vypracoval kódexy postupov v oblasti poskytovania údajov, priameho marketingu, navrhovania primeranému veku, ochrany údajov a žurnalistiky.

(19)

Právny rámec Spojeného kráľovstva, ktorý sa uplatňuje na údaje prenášané podľa tohto rozhodnutia, je teda svojou štruktúrou a hlavnými zložkami veľmi podobný rámcu, ktorý sa uplatňuje v Európskej únii. To zahŕňa aj skutočnosť, že takýto rámec sa neopiera len o povinnosti stanovené vo vnútroštátnom práve, ktoré boli formované právom EÚ, ale aj o povinnosti zakotvené v medzinárodnom práve, najmä prostredníctvom pristúpenia Spojeného kráľovstva k EDĽP a dohovoru č. 108, ako aj o podriadenie tohto rámca pod právomoc Európskeho súdu pre ľudské práva. Tieto povinnosti vyplývajúce z právne záväzných medzinárodných nástrojov, najmä pokiaľ ide o ochranu osobných údajov, sú preto osobitne dôležitým prvkom právneho rámca posudzovaného v tomto rozhodnutí.

(20)

Všeobecné nariadenie Spojeného kráľovstva o ochrane údajov sa podobne ako nariadenie (EÚ) 2016/679 vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami alebo na iné spracúvanie v prípade osobných údajov, ktoré tvoria súčasť informačného systému (26). Vymedzenie pojmov „osobné údaje“, „dotknutá osoba“ a „spracúvanie“ vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov je totožné s vymedzením pojmov v nariadení (EÚ) 2016/679 (27). Všeobecné nariadenie Spojeného kráľovstva o ochrane údajov sa navyše vzťahuje na manuálne neštruktúrované spracúvanie osobných údajov (28), ktoré majú v držbe niektoré orgány verejnej moci Spojeného kráľovstva (29), hoci zásady a práva vyplývajúce zo všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktoré nie sú relevantné pre takéto osobné údaje, sa nevzťahujú na § 24 a § 25 zákona o ochrane údajov z roku 2018. Podobne ako v ustanoveniach nariadenia (EÚ) 2016/679 sa ani všeobecné nariadenie Spojeného kráľovstva o ochrane údajov nevzťahuje na spracúvanie osobných údajov jednotlivcom v rámci výlučne osobnej alebo domácej činnosti (30).

(21)

Všeobecným nariadením Spojeného kráľovstva o ochrane údajov sa rozširuje jeho pôsobnosť aj na spracúvanie v rámci činnosti, ktorá bezprostredne pred koncom prechodného obdobia nepatrila do pôsobnosti práva Európskej únie (napr. národná bezpečnosť) (31) alebo patrila do pôsobnosti kapitoly 2 hlavy 5 Zmluvy o Európskej únii (činnosti spoločnej zahraničnej a bezpečnostnej politiky) (32). Všeobecné nariadenie Spojeného kráľovstva o ochrane údajov sa tak, ako to je aj v systéme Európskej únie, nevzťahuje na spracúvanie osobných údajov príslušným orgánom na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania (tzv. účely presadzovania práva) – takéto spracúvanie sa namiesto toho riadi časťou 3 zákona o ochrane údajov z roku 2018, ako je to v prípade smernice (EÚ) 2016/680 podľa práva Európskej únie – ani na spracúvanie osobných údajov spravodajskými službami [Security Service (Bezpečnostná služba), Secret Intelligence Service (Tajná spravodajská služba) a Government Communications Headquarters (Vládne komunikačné ústredie)], na ktoré sa vzťahuje časť 4 zákona o ochrane údajov z roku 2018 (33).

(22)

Územná pôsobnosť všeobecného nariadenia Spojeného kráľovstva o ochrane osobných údajov je opísaná v článku 3 všeobecného nariadenia Spojeného kráľovstva o ochrane osobných údajov (34) a zahŕňa spracúvanie osobných údajov (bez ohľadu na miesto spracúvania) v kontexte činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Spojenom kráľovstve, ako aj spracúvanie osobných údajov dotknutých osôb, ktoré sa nachádzajú v Spojenom kráľovstve, ak spracovateľské činnosti súvisia s ponukou tovaru alebo služieb týmto dotknutým osobám alebo so sledovaním ich správania (35). Uvedené odráža prístup prijatý v článku 3 smernice (EÚ) 2016/679.

(23)

Vymedzenie pojmov osobné údaje, prevádzkovateľ a sprostredkovateľ, ako aj vymedzenie pojmu pseudonymizácia stanovené v nariadení (EÚ) 2016/679 sa vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov ponechalo bez ďalších podstatných zmien (36). Navyše osobitné kategórie osobných údajov sú vymedzené v článku 9 ods. 1 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov rovnako ako v nariadení (EÚ) 2016/679 („odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby“). V § 205 zákona o ochrane údajov z roku 2018 sa uvádza vymedzenie pojmov „biometrické údaje“ (37), „údaje týkajúce sa zdravia“ (38) a „genetické údaje“ (39).

(24)

Osobné údaje by sa mali spracúvať zákonným a spravodlivým spôsobom.

(25)

Zásady zákonnosti, spravodlivosti a transparentnosti a dôvody na zákonné spracúvanie sa zaručujú v práve Spojeného kráľovstva prostredníctvom článku 5 ods. 1 písm. a) a článku 6 ods. 1 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktoré sú totožné s príslušnými ustanoveniami nariadenia (EÚ) 2016/679 (40). § 8 zákona o ochrane údajov z roku 2018 dopĺňa článok 6 ods. 1 písm. e) uvedením, že spracúvanie osobných údajov podľa článku 6 ods. 1 písm. e) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci prevádzkovateľa) zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné na výkon spravodlivosti, výkon funkcie niektorej zo snemovní parlamentu, výkon funkcie zverenej osobe na základe zákonného ustanovenia alebo právnej normy, výkon funkcie koruny, ministra koruny alebo ministerstva alebo činnosť na podporu a propagáciu demokratickej angažovanosti.

(26)

Pokiaľ ide o vyjadrenie súhlasu (jeden z dôvodov na zákonné spracúvanie), vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov sa ponechávajú aj nezmenené podmienky stanovené v článku 7 nariadenia (EÚ) 2016/679, čo znamená, že prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas, musí sa predložiť písomná žiadosť o súhlas, ktorá je jasne a jednoducho formulovaná, dotknutá osoba musí mať právo kedykoľvek odvolať súhlas a pri posudzovaní, či bol súhlas poskytnutý slobodne, by sa malo zohľadniť, či sa plnenie zmluvy podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný. Okrem toho je podľa článku 8 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov v kontexte poskytovania služieb informačnej spoločnosti súhlas dieťaťa zákonný, len ak má dieťa aspoň 13 rokov. Patrí tak do vekovej skupiny stanovenej v článku 8 nariadenia (EÚ) 2016/679.

(27)

Na spracúvanie „osobitných kategórií“ údajov by sa mali vzťahovať osobitné záruky.

(28)

Všeobecné nariadenie Spojeného kráľovstva o ochrane údajov a zákon o ochrane údajov z roku 2018 obsahujú osobitné pravidlá týkajúce sa spracúvania osobitných kategórií osobných údajov, ktoré sú vymedzené v článku 9 ods. 1 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov rovnakým spôsobom ako v nariadení (EÚ) 2016/679 (pozri odôvodnenie 23). Podľa článku 9 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov je spracúvanie osobitných kategórií údajov v zásade zakázané, ak sa neuplatňuje osobitná výnimka.

(29)

Týmito výnimkami (uvedenými v článku 9 ods. 2 a 3 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov) sa oproti výnimkám uvedeným v článku 9 ods. 2 a 3 nariadenia (EÚ) 2016/679 nezavádzajú podstatné zmeny. Pokiaľ dotknutá osoba nevyjadrila výslovný súhlas so spracúvaním týchto osobných údajov, spracúvanie osobitných kategórií osobných údajov je povolené len za osobitných a obmedzených okolností. Vo väčšine prípadov musí byť spracúvanie citlivých údajov nevyhnutné na konkrétny účel vymedzený v príslušnom ustanovení [pozri článok 9 ods. 2 písm. b), c), f), g), h), i) a j)].

(30)

Okrem toho, ak sa výnimkou podľa článku 9 ods. 2 všeobecného nariadenia o ochrane údajov vyžaduje povolenie prostredníctvom právneho predpisu alebo odkazuje na verejný záujem, v § 10 zákona o ochrane údajov z roku 2018, ako aj v prílohe 1 k zákonu o ochrane údajov z roku 2018 sa ďalej stanovuje, že podmienky musia byť splnené, aby sa mohli uplatniť výnimky. Napríklad v prípade spracúvania citlivých údajov na ochranu „verejného zdravia“ [§ 9 ods. 2 písm. i) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov] sa v časti 1 bode 3 písm. b) prílohy 1 vyžaduje, aby sa takéto spracúvanie okrem toho, že sa musí overiť jeho nevyhnutnosť, vykonávalo „zdravotníckym pracovníkom alebo na jeho zodpovednosť“ alebo „inou osobou, ktorá má povinnosť zachovávať dôvernosť na základe zákonného ustanovenia alebo právnej normy“ vrátane povinnosti zachovávať dôvernosť podľa zavedeného common law.

(31)

V prípade, že sa citlivé údaje spracúvajú z dôvodov významného verejného záujmu [(článok 9 ods. 2 písm. g) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov], v časti 2 prílohy 1 k zákonu o ochrane údajov z roku 2018 sa uvádza podrobný zoznam účelov, ktoré možno považovať za dôvody významného verejného záujmu, a stanovujú sa v nej dodatočné podmienky pre každý z týchto účelov. Za významný verejný záujem sa napríklad uznáva podpora rasovej a etnickej rozmanitosti na vyšších úrovniach organizácií. Spracúvanie citlivých údajov na tento konkrétny účel podlieha podrobným požiadavkám vrátane toho, aby sa spracúvanie vykonávalo ako súčasť procesu identifikácie vhodných jednotlivcov na vyššie pozície, bolo nevyhnutné na podporu rasovej a etnickej rozmanitosti a nebolo pravdepodobné, že spôsobí dotknutej osobe významnú škodu alebo významné ťažkosti.

(32)

V § 11 ods. 1 zákona o ochrane údajov z roku 2018 sa stanovujú podmienky spracúvania osobných údajov za okolností uvedených v článku 9 ods. 3 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktorý súvisí s povinnosťou zachovávať mlčanlivosť. Patria sem aj okolnosti, za ktorých sa spracúvanie vykonáva zdravotníckym alebo sociálnym pracovníkom alebo na jeho zodpovednosť, alebo inou osobou, ktorá má na základe zákonného ustanovenia alebo právnej normy povinnosť zachovávať dôvernosť za daných okolností.

(33)

Navyše si mnoho výnimiek uvedených v článku 9 ods. 2 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov vyžaduje vhodné a osobitné záruky, aby sa mohli uplatniť. V závislosti od povahy spracúvania a úrovne rizika pre práva a slobody dotknutých osôb sa v podmienkach spracúvania stanovených v prílohe 1 k zákonu o ochrane údajov z roku 2018 uvádzajú rôzne záruky. V prílohe 1 sa stanovujú podmienky každej príslušnej situácie spracúvania.

(34)

V niektorých prípadoch sa zákonom o ochrane údajov z roku 2018 upravuje a obmedzuje typ citlivých údajov, ktoré sa môžu spracúvať v záujme konkrétneho právneho základu, ktorý sa má dodržať. Napríklad v bode 8 prílohy 1 sa povoľuje spracúvanie citlivých údajov na účel podpory rovnosti príležitostí alebo rovnakého zaobchádzania. Táto podmienka spracúvania sa môže uplatniť len vtedy, ak údaje odhaľujú rasový alebo etnický pôvod, náboženské alebo filozofické presvedčenie, sexuálnu orientáciu alebo ide o údaje týkajúce sa zdravia.

(35)

V niektorých prípadoch sa zákonom o ochrane údajov z roku 2018 obmedzuje typ prevádzkovateľa, ktorý môže uplatniť podmienku spracúvania. Napríklad v bode 23 prílohy 1 sa stanovuje spracúvanie citlivých údajov vo vzťahu k odpovediam volených zástupcov určeným verejnosti. Táto podmienka spracúvania sa môže uplatniť len vtedy, ak je prevádzkovateľ voleným zástupcom alebo koná na základe jeho poverenia.

(36)

V niektorých prípadoch sa v zákone o ochrane údajov z roku 2018 stanovujú obmedzenia kategórií dotknutých osôb na účely podmienky spracúvania, ktorá sa má uplatniť. Napríklad v bode 21 prílohy 1 sa upravuje spracúvanie citlivých údajov v súvislosti so zamestnaneckými dôchodkovými systémami. Táto podmienka sa môže uplatniť len vtedy, ak je daná dotknutá osoba súrodencom, rodičom, starým rodičom alebo prastarým rodičom člena systému.

(37)

Okrem toho, ak sa vychádza z výnimiek uvedených v článku 9 ods. 2 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktoré sú bližšie špecifikované v § 10 zákona o ochrane údajov z roku 2018, ako aj v prílohe 1 k zákonu o ochrane údajov z roku 2018, od prevádzkovateľa sa vo väčšine prípadov vyžaduje, aby vypracoval „riadny dokument stanovujúci politiku spracúvania“. Musia sa v ňom uviesť postupy prevádzkovateľa na zabezpečenie dodržiavania zásad stanovených v článku 5 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. Musia sa v ňom stanoviť aj politiky uchovávania a vymazávania, pričom sa uvedie pravdepodobné obdobie uchovávania. Prevádzkovatelia musia tento dokument podľa potreby preskúmať a aktualizovať. Prevádzkovateľ musí dokument stanovujúci politiku uchovávať šesť mesiacov po ukončení spracúvania a na požiadanie ho musí sprístupniť Komisárovi pre informácie (41).

(38)

Podľa bodu 41 prílohy 1 k zákonu o ochrane údajov z roku 2018 dokument stanovujúci politiku musí vždy sprevádzať rozšírený záznam o spracúvaní. V tomto zázname musia byť poznačené záväzky zahrnuté v dokumente stanovujúcom politiku, t. j. či sa údaje mažú alebo uchovávajú v súlade s politikami. Ak sa politiky nedodržiavajú, v logu musia byť zaznamenané dôvody. V zázname sa musí takisto uviesť, ako spracúvanie spĺňa ustanovenia článku 6 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (zákonnosť spracúvania) a osobitnú podmienku uvedenú v prílohe 1 k zákonu o ochrane údajov z roku 2018, z ktorej vychádza.

(39)

Napokon sa vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov rovnako ako v nariadení (EÚ) 2016/679 stanovujú aj všeobecné záruky pre určité spracovateľské operácie osobitných kategórií údajov. Článkom 35 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa vyžaduje posúdenie vplyvu na ochranu údajov, ak sa spracúvajú osobitné kategórie údajov vo veľkom rozsahu. Prevádzkovateľ alebo sprostredkovateľ musí podľa článku 37 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov určiť zodpovednú osobu, ak spracúvanie osobitných kategórií údajov vo veľkom rozsahu predstavuje jeho hlavné činnosti.

(40)

Pokiaľ ide o osobné údaje týkajúce sa uznania viny za trestné činy a priestupky, článok 10 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov je totožný s článkom 10 nariadenia (EÚ) 2016/679. Umožňuje sa ním spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky len pod kontrolou orgánu verejnej moci alebo ak je spracúvanie povolené vnútroštátnym právom poskytujúcim primerané záruky ochrany práv a slobôd dotknutých osôb.

(41)

Ak sa spracúvanie údajov týkajúcich sa uznania viny za trestné činy a priestupky nevykonáva pod kontrolou orgánu verejnej moci, v § 10 ods. 5 zákona o ochrane údajov z roku 2018 sa stanovuje, že takéto spracúvanie sa môže uskutočniť len na konkrétne účely/v osobitných situáciách stanovených v častiach 1, 2 a 3 prílohy 1 k zákonu o ochrane údajov z roku 2018 a podlieha osobitným požiadavkám, ktoré sú stanovené na každý z týchto účelov/pre každú z týchto situácií. Napríklad neziskové subjekty môžu spracúvať údaje týkajúce sa uznania viny za trestné činy, ak spracúvanie vykonáva a) v rámci svojej zákonnej činnosti s primeranými zárukami nadácia, združenie alebo akýkoľvek iný neziskový subjekt s politickým, filozofickým, náboženským alebo odborárskym zameraním a b) pod podmienkou, že i) spracúvanie sa týka výlučne členov alebo bývalých členov subjektu, alebo osôb, ktoré s ním majú pravidelný kontakt v súvislosti s jeho cieľmi, a že ii) bez súhlasu dotknutej osoby sa osobné údaje neposkytnú mimo tohto subjektu.

(42)

Okrem toho sa v časti 3 prílohy 1 k zákonu o ochrane údajov z roku 2018 stanovujú ďalšie okolnosti, za ktorých sa môžu použiť údaje týkajúce sa uznania viny za trestné činy, ktoré zodpovedajú právnym dôvodom na spracúvanie citlivých údajov uvedeným v článku 9 ods. 2 nariadenia (EÚ) 2016/679 a všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (napr. súhlas dotknutej osoby, životne dôležité záujmy jednotlivca, ak dotknutá osoba nie je právne alebo fyzicky spôsobilá vyjadriť svoj súhlas, ak údaje už preukázateľne zverejnila dotknutá osoba, ak je spracúvanie nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov atď.).

(43)

Osobné údaje by sa mali spracúvať na konkrétny účel a následne by sa mali používať len pokiaľ to nie je nezlučiteľné s daným účelom spracúvania.

(44)

Táto zásada sa stanovuje v článku 5 ods. 1 písm. b) nariadenia (EÚ) 2016/679 a v článku 5 ods. 1 písm. b) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa ponecháva bez zmien. Podmienky ďalšieho zlučiteľného spracúvania podľa článku 6 ods. 4 nariadenia (EÚ) 2016/679 sa takisto ponechávajú v článku 6 ods. 4 písm. a) až e) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov bez podstatných zmien.

(45)

Údaje by takisto mali byť správne a v prípade potreby sa mali aktualizovať. Mali by byť aj primerané, relevantné a nie nadmerné vzhľadom na účely, na ktoré sa spracúvajú, a v zásade by sa nemali uchovávať dlhšie, ako je nevyhnutné na účely, na ktoré sa osobné údaje spracúvajú.

(46)

Tieto zásady minimalizácie údajov, správnosti a minimalizácie uchovávania sú stanovené v článku 5 ods. 1 písm. c) až e) nariadenia (EÚ) 2016/679 a v článku 5 ods. 1 písm. c) až e) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa ponechávajú bez zmien.

(47)

Osobné údaje by sa navyše mali spracúvať spôsobom, ktorým sa zaručí ich bezpečnosť vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením. Na tento účel by podnikateľské subjekty mali prijať vhodné technické alebo organizačné opatrenia na ochranu osobných údajov pred možnými hrozbami. Tieto opatrenia by sa mali posudzovať s prihliadnutím na stav techniky a súvisiace náklady.

(48)

Bezpečnosť údajov sa zakotvuje v práve Spojeného kráľovstva prostredníctvom zásady integrity a dôvernosti uvedenej v článku 5 ods. 1 písm. f) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a v článku 32 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktorý sa týka bezpečnosti spracúvania. Tieto ustanovenia sú totožné s príslušnými ustanoveniami nariadenia (EÚ) 2016/679. Navyše za rovnakých podmienok, ako sú podmienky stanovené v článkoch 33 a 34 nariadenia (EÚ) 2016/679, sa vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov vyžaduje oznámenie porušenia ochrany osobných údajov dozornému orgánu (článok 33 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov) a oznámenie porušenia ochrany osobných údajov dotknutej osobe (článok 34 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov).

(49)

Dotknuté osoby by mali byť informované o hlavných znakoch spracúvania ich osobných údajov.

(50)

Zabezpečuje sa to článkami 13 a 14 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, v ktorých sa okrem všeobecnej zásady transparentnosti stanovujú pravidlá o informáciách, ktoré sa majú poskytnúť dotknutej osobe (42). Vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov sa neuvádzajú podstatné zmeny týchto pravidiel oproti príslušným článkom nariadenia (EÚ) 2016/679. Požiadavky na transparentnosť uvedené v týchto článkoch však rovnako ako v nariadení (EÚ) 2016/679 podliehajú niekoľkým výnimkám stanoveným v zákone o ochrane údajov z roku 2018 (pozri odôvodnenia 55 až 72).

(51)

Dotknuté osoby by mali mať určité práva, ktoré možno uplatniť voči prevádzkovateľovi alebo sprostredkovateľovi, najmä právo na prístup k údajom, právo namietať proti spracúvaniu a právo na opravu a vymazanie údajov. Tieto práva môžu zároveň podliehať obmedzeniam, pokiaľ sú tieto obmedzenia nevyhnutné a primerané vzhľadom na zabezpečenie verejnej bezpečnosti alebo iných dôležitých cieľov všeobecného verejného záujmu.

(52)

Vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov sa jednotlivcom priznávajú rovnaké vymáhateľné práva ako v nariadení (EÚ) 2016/679. Ustanovenia, v ktorých sa uvádzajú práva jednotlivcov, sa vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov ponechali bez podstatných úprav.

(53)

Medzi tieto práva patrí právo dotknutej osoby na prístup k údajom (článok 15 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov), právo na opravu (článok 16 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov), právo na vymazanie (článok 17 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov), právo na obmedzenie spracúvania (článok 18 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov), oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvania (článok 19 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov), právo na prenosnosť údajov (článok 20 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov) a právo namietať (článok 21 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov) (43). Právo namietať zahŕňa aj právo dotknutej osoby namietať proti spracúvaniu osobných údajov na účel priameho marketingu, ako sa stanovuje v článku 21 ods. 2 a 3 nariadenia (EÚ) 2016/679. Okrem toho podľa § 122 zákona o ochrane údajov z roku 2018 Komisár pre informácie musí vypracovať kódex postupov vo vzťahu k vykonávaniu priameho marketingu v súlade s požiadavkami právnych predpisov o ochrane údajov [a právnych predpisov o súkromí a elektronických komunikáciách (podľa smernice ES) z roku 2003] a ďalšie takéto usmernenia na podporu osvedčených postupov v priamom marketingu, ktoré Komisár považuje za primerané. Úrad Komisára pre informácie v súčasnosti vypracúva kódex v oblasti priameho marketingu (44).

(54)

Právo dotknutej osoby, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú, stanovené v článku 22 všeobecného nariadenia o ochrane údajov sa takisto ponechalo vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov bez podstatných zmien. V § 14 zákona o ochrane údajov z roku 2018 sa však dopĺňa nový § 3A, v ktorom sa stanovujú záruky pre práva, slobody a oprávnené záujmy dotknutých osôb, ak sa spracúvanie vykonáva podľa článku 22 ods. 2 písm. b) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. Uplatňuje sa to len vtedy, ak je základom takéhoto rozhodnutia povolenie alebo požiadavka podľa práva Spojeného kráľovstva, a neuplatňuje sa, ak je rozhodnutie nevyhnutné podľa zmluvy alebo je prijaté s výslovným súhlasom dotknutej osoby. Ak sa § 14 zákona o ochrane údajov z roku 2018 uplatňuje, prevádzkovateľ musí čo najskôr písomne oznámiť dotknutej osobe, že sa prijalo rozhodnutie založené výlučne na automatizovanom spracúvaní. Dotknutá osoba má právo požadovať, aby prevádzkovateľ do jedného mesiaca od prijatia oznámenia prehodnotil rozhodnutie, alebo aby prijal nové rozhodnutie, ktoré nie je založené výlučne na automatizovanom spracúvaní. Pokiaľ ide o automatizované rozhodovanie, minister je oprávnený prijať ďalšie záruky. Táto právomoc sa ešte neuplatnila.

(55)

V zákone o ochrane údajov z roku 2018 sa stanovuje niekoľko obmedzení individuálnych práv, ktoré patria do rámca pôsobnosti článku 23 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. V tomto rámci sa nezavádzajú žiadne obmedzenia týkajúce sa práva namietať proti priamemu marketingu, ako sa stanovuje v článku 21 ods. 2 a 3 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ani práva nepodliehať automatizovanému rozhodovaniu, ako sa stanovuje v článku 22 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov.

(56)

Obmedzenia sú podrobne uvedené v prílohách 2 až 4 k zákonu o ochrane údajov z roku 2018. Orgány Spojeného kráľovstva vysvetlili, že sa riadia dvomi zásadami: zásada špecifickosti (zavedenie podrobného prístupu, rozdelenie všeobecných obmedzení na viaceré konkrétnejšie ustanovenia) a zásada podmienenosti (každé ustanovenie je doplnené zárukami vo forme obmedzení alebo podmienok s cieľom zabrániť zneužitiu) (45).

(57)

Obmedzenia uvedené v článku 23 ods. 1 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sú navrhnuté tak, aby sa zabezpečilo ich uplatňovanie iba za špecifických okolností, ak sú nevyhnutné v demokratickej spoločnosti a primerané oprávnenému cieľu, ktorý sledujú. Okrem toho sa v súlade s ustálenou judikatúrou o výklade obmedzení výnimka z režimu ochrany údajov môže uplatniť len v každom konkrétnom prípade, keď je to nevyhnutné a primerané (46). Vyžaduje sa, aby overenie nevyhnutnosti bolo „prísne s požiadavkou, aby akýkoľvek zásah do práv dotknutej osoby bol primeraný závažnosti ohrozenia verejného záujmu. Jeho vykonanie si preto vyžaduje klasickú analýzu proporcionality (47)“.

(58)

Ciele sledované týmito obmedzeniami zodpovedajú cieľom uvedeným v článku 23 nariadenia (EÚ) 2016/679 s výnimkou obmedzení národnej bezpečnosti a obrany, ktoré sú namiesto toho upravené § 26 zákona o ochrane údajov z roku 2018, ale podliehajú rovnakým požiadavkám nevyhnutnosti a proporcionality (pozri odôvodnenia 63 až 66).

(59)

Niektoré z obmedzení, napríklad obmedzenia súvisiace s predchádzaním trestnej činnosti alebo jej odhaľovaním, so zadržaním alebo s trestným stíhaním páchateľov a posúdením alebo výberom dane alebo cla (48), umožňujú obmedziť všetky individuálne práva a povinnosti týkajúce sa transparentnosti (s výnimkou práv podľa článku 21 ods. 2 a článku 22). Rozsah ďalších obmedzení sa vzťahuje na povinnosti týkajúce sa transparentnosti a prístupové práva, ako sú obmedzenia súvisiace s dôvernosťou komunikácie medzi advokátom a jeho klientom (49), právom na oslobodenie od povinnosti poskytovať informácie, ktoré by viedli k výpovedi vo vlastný neprospech (50), a podnikovým financovaním, najmä s predchádzaním obchodovaniu s využitím dôverných informácií (51). Niekoľko obmedzení umožňuje obmedziť povinnosť prevádzkovateľa oznámiť porušenie ochrany údajov dotknutej osobe a zásady obmedzenia účelu a zákonnosti, spravodlivosti a transparentnosti spracúvania (52).

(60)

Niektoré obmedzenia sa automaticky uplatňujú „v plnej miere“ na určité typy spracúvania osobných údajov (napríklad uplatňovanie povinností týkajúcich sa transparentnosti a individuálnych práv sa vylučuje, ak sa osobné údaje spracúvajú na účely posúdenia vhodnosti osoby na funkciu sudcu alebo osobné údaje spracúva súd, tribunál alebo jednotlivec pri výkone súdnej právomoci).

(61)

Vo väčšine prípadov sa však v príslušnom bode prílohy 2 k zákonu o ochrane údajov z roku 2018 uvádza, že obmedzenie sa uplatňuje len vtedy, ak (a v takom rozsahu, v akom) by uplatňovanie ustanovení „mohlo poškodiť“ oprávnený cieľ sledovaný týmto obmedzením: napríklad uvedené ustanovenia všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa nevzťahujú na osobné údaje spracúvané na účely predchádzania trestnej činnosti alebo jej odhaľovania, zadržania alebo trestného stíhania páchateľov, posúdenia alebo výberu dane alebo cla „v rozsahu, v akom by uplatňovanie týchto ustanovení mohlo poškodiť“ ktorúkoľvek z uvedených činností (53).

(62)

Súdy Spojeného kráľovstva konzistentne vykladajú zásadu „by mohlo poškodiť“ ako „veľmi vysokú a vážnu pravdepodobnosť poškodenia identifikovaných verejných záujmov (54)“. Obmedzenie, na ktoré sa vzťahuje overenie kritéria poškodenia, preto možno uplatniť len vtedy a v takom rozsahu, pokiaľ existuje veľmi vysoká a vážna pravdepodobnosť, že by priznanie určitého práva poškodilo príslušný verejný záujem. Prevádzkovateľ je zodpovedný za posúdenie jednotlivých prípadov, či sú tieto podmienky splnené (55).

(63)

Okrem obmedzení uvedených v prílohe 2 k zákonu o ochrane údajov z roku 2018 je v § 26 toho istého zákona uvedená výnimka, ktorá sa môže uplatňovať na určité ustanovenia všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a zákona o ochrane údajov z roku 2018, ak sa tá výnimka vyžaduje na účely ochrany národnej bezpečnosti alebo na účely obrany. Táto výnimka sa vzťahuje na zásady ochrany údajov (okrem zásady zákonnosti), na povinnosti týkajúce sa transparentnosti, práva dotknutej osoby, povinnosť oznámiť porušenie ochrany údajov, pravidlá pre medzinárodné prenosy, niektoré povinnosti a právomoci Komisára pre informácie a na pravidlá pre prostriedky nápravy, záväzky a sankcie s výnimkou ustanovenia o všeobecných podmienkach ukladania správnych pokút, ktoré sú uvedené v článku 83 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, a ustanovenia o sankciách v článku 84 toho istého nariadenia. Okrem toho sa v § 28 zákona o ochrane údajov z roku 2018 upravuje uplatnenie článku 9 ods. 1 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, aby sa umožnilo spracúvanie osobitných kategórií údajov podľa tohto článku, pokiaľ sa spracúvanie vykonáva na účely ochrany národnej bezpečnosti alebo na účely obrany a s primeranými zárukami v súvislosti s právami a slobodami dotknutých osôb (56).

(64)

Výnimka sa môže uplatňovať, iba ak sa to vyžaduje na účely ochrany národnej bezpečnosti alebo obrany. Keďže sa to týka aj ďalších výnimiek, ktoré umožňuje zákon o ochrane údajov z roku 2018, prevádzkovateľ ich musí posudzovať a uplatňovať podľa jednotlivých prípadov. Okrem toho každé uplatnenie výnimky musí byť v súlade s normami v oblasti ľudských práv (na základe zákona o ľudských právach z roku 1998), podľa ktorých akýkoľvek zásah do práv na súkromie by mal byť v demokratickej spoločnosti nevyhnutný a primeraný (57).

(65)

Tento výklad výnimky potvrdil Komisár pre informácie, ktorý vydal podrobné usmernenie k uplatňovaniu výnimky týkajúcej sa národnej bezpečnosti a obrany, pričom objasnil, že prevádzkovateľ ju musí posudzovať a uplatňovať podľa jednotlivých prípadov (58). V usmernení sa zdôrazňuje najmä to, že „toto nie je paušálna výnimka“ a na jej uplatnenie „nestačí, aby sa údaje spracúvali na účely národnej bezpečnosti“. Na druhej strane prevádzkovateľ, ktorý sa na ňu odvoláva, musí „preukázať, že existuje skutočná možnosť nepriaznivých dôsledkov na národnú bezpečnosť“, a v prípade potreby sa od prevádzkovateľa očakáva, že „poskytne [Komisárovi pre informácie] dôkaz, prečo túto výnimku uplatnil“. Usmernenie obsahuje kontrolný zoznam a viacero príkladov na ďalšie objasnenie podmienok, za ktorých je možné odvolať sa na túto výnimku.

(66)

Skutočnosť, že údaje sa spracúvajú na účely národnej bezpečnosti alebo obrany, sama osebe nepostačuje na uplatnenie výnimky. Prevádzkovateľ musí posúdiť skutočné dôsledky pre národnú bezpečnosť, ak to musí byť v súlade s konkrétnym ustanovením o ochrane údajov. Výnimka sa môže uplatniť iba na tie konkrétne ustanovenia, o ktorých sa zistilo, že predstavujú riziko a musia sa uplatňovať tak obmedzene, ako je to možné (59).

(67)

Tento prístup potvrdil tribunál pre informácie (Information Tribunal) (60). Vo veci Baker/Secretary of State for the Home Department (ďalej len „Baker/Secretary of State“) rozhodol, že bolo nezákonné uplatniť výnimku týkajúcu sa národnej bezpečnosti ako paušálnu výnimku pre žiadosti o prístup, ktoré dostanú spravodajské služby. Namiesto toho sa výnimka mala uplatňovať v jednotlivých prípadoch, pričom sa mala preskúmať podstata každej žiadosti, a to aj s ohľadom na práva jednotlivcov na rešpektovanie ich súkromného života (61).

(68)

V článku 85 ods. 2 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa umožňuje vyňatie osobných údajov spracúvaných na žurnalistické, umelecké, akademické a literárne účely z viacerých ustanovení uvedeného nariadenia. V časti 5 prílohy 2 k zákonu o ochrane údajov z roku 2018 sú stanovené výnimky pre spracúvanie údajov na tieto účely. Možné sú výnimky zo zásad ochrany údajov (okrem zásady integrity a dôvernosti), z právneho základu pre spracúvanie údajov (vrátane osobitných kategórií údajov a údajov týkajúcich sa uznania viny za trestné činy atď.), podmienok vyjadrenia súhlasu, povinností týkajúcich sa transparentnosti, práv dotknutej osoby, povinnosti oznámiť porušenie ochrany údajov, a požiadavky na konzultáciu s Komisárom pre informácie pred začatím vysokorizikového spracúvania údajov a pravidiel pre medzinárodné prenosy (62). V tejto súvislosti sa všeobecné nariadenie Spojeného kráľovstva o ochrane údajov neodchyľuje zásadným spôsobom od nariadenia (EÚ) 2016/679, v ktorého článku 85 sa takisto stanovuje možnosť vyňať spracúvanie údajov vykonávané na žurnalistické účely alebo na účely akademickej, umeleckej alebo literárnej tvorby z viacerých požiadaviek stanovených v nariadení (EÚ) 2016/679. Ustanovenia v zákone o ochrane údajov z roku 2018, najmä v časti 5 prílohy 2, sú zlučiteľné so všeobecným nariadením Spojeného kráľovstva o ochrane údajov.

(69)

Základné vyváženie, ktoré sa má vykonať podľa článku 85 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, sa týka zistenia, či výnimka z pravidiel ochrany údajov uvedená v odôvodnení 68 je „nevyhnutná na zosúladenie práva na ochranu osobných údajov so slobodou prejavu a právom na informácie“ (63). Podľa bodu 26 ods. 2 a 3 prílohy 2 k zákonu o ochrane údajov z roku 2018 uplatňuje Spojené kráľovstvo kritérium „odôvodneného presvedčenia“ s cieľom dosiahnuť toto vyváženie. Aby bola výnimka odôvodnená, musí byť prevádzkovateľ odôvodnene presvedčený, že i) toto zverejnenie je vo verejnom záujme a ii) uplatnenie príslušného ustanovenia všeobecného nariadenia o ochrane údajov by bolo nezlučiteľné so žurnalistickými, s akademickými, umeleckými a literárnymi účelmi. Ako potvrdzuje judikatúra (64), kritérium „odôvodneného presvedčenia“ má subjektívnu a objektívnu zložku: je nedostatočné, aby prevádzkovateľ preukázal, že on sám je presvedčený o nemožnosti dosiahnuť súlad. Jeho presvedčenie musí byť odôvodnené, teda aby o tom mohol byť presvedčený aj rozumný človek, ktorý pozná príslušné fakty. Prevádzkovateľ musí preto pri vytváraní svojho presvedčenia vykonať hĺbkovú analýzu, aby mohol preukázať jeho odôvodnenosť. Podľa vysvetlení, ktoré poskytli orgány Spojeného kráľovstva, overenie kritéria „odôvodneného presvedčenia“ sa musí vykonať pri každej posudzovanej výnimke (65). Ak sú podmienky splnené, výnimka sa považuje za nevyhnutnú a primeranú podľa právneho poriadku Spojeného kráľovstva.

(70)

Podľa § 124 zákona o ochrane údajov z roku 2018 má Komisár pre informácie vypracovať Kódex postupov pre ochranu údajov a žurnalistiku. Práca na tomto kódexe prebieha. Na základe zákona o ochrane údajov z roku 1998 bolo už vydané usmernenie pre túto oblasť, v ktorom sa predovšetkým zdôrazňuje, že aby bolo možné uplatniť danú výnimku, nestačí len vyhlásiť, že súlad s príslušným ustanovením by bol prekážkou pre činnosť žurnalistov, ale musí sa uviesť jednoznačný argument, že príslušné ustanovenie predstavuje prekážku pre zodpovednú žurnalistiku (66). Usmernenie týkajúce sa uplatňovania kritéria verejného záujmu a vyvažovania verejného záujmu so záujmom jednotlivca o súkromie uverejnil aj telekomunikačný regulačný orgán Spojeného kráľovstva Ofcom a spoločnosť BBC v rámci svojich redakčných usmernení (67). V usmerneniach sa uvádzajú najmä príklady informácií, ktoré sa môžu považovať za informácie vo verejnom záujme, a vysvetľuje sa potreba schopnosti preukázať, že za konkrétnych okolností daného prípadu verejný záujem prevažuje nad právami na súkromie.

(71)

Podobne, ako je to umožnené v článku 89 všeobecného nariadenia o ochrane údajov, aj osobné údaje, ktoré sa spracúvajú na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely, môžu byť vyňaté z viacerých uvedených ustanovení všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (68). Pokiaľ ide o výskum a štatistiku, možné sú výnimky z ustanovení všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktoré sa týkajú potvrdenia spracúvania údajov a prístupu k údajom a záruk v súvislosti s prenosom údajov do tretích krajín; práva na opravu; obmedzenia spracúvania údajov a výhrad voči spracúvaniu. Pokiaľ ide o archiváciu vo verejnom záujme, výnimky sú možné aj v súvislosti s oznamovacou povinnosťou týkajúcou sa opravy alebo vymazania osobných údajov, prípadne obmedzenia ich spracúvania, a v súvislosti s právom na prenosnosť údajov.

(72)

Podľa bodu 27 ods. 1 a bodu 28 ods. 1 prílohy 2 k zákonu o ochrane údajov z roku 2018 sú výnimky z uvedených ustanovení všeobecného nariadenia Spojeného kráľovstva o ochrane údajov možné, ak by sa uplatnením týchto ustanovení „zabránilo dosiahnutiu“ príslušných účelov „alebo sa ich dosiahnutie závažným spôsobom sťažilo“ (69).

(73)

Vzhľadom na ich význam v súvislosti s účinným uplatňovaním individuálnych práv bude akýkoľvek príslušný vývoj týkajúci sa výkladu a uplatňovania výnimiek uvedených v texte (ďalších výnimiek vrátane tej, ktorá sa týka zachovania účinnej imigračnej kontroly) v praxi, ako je vysvetlené v odôvodnení 6, vrátane akéhokoľvek ďalšieho vývoja v judikatúre a usmernení Komisára pre informácie a opatrení na presadzovanie práva, riadne zohľadnený v rámci nepretržitého monitorovania tohto rozhodnutia (70).

(74)

Úroveň ochrany osobných údajov prenášaných z Európskej únie prevádzkovateľom alebo sprostredkovateľom v Spojenom kráľovstve nesmie byť oslabená ďalším prenosom takýchto údajov príjemcom v tretej krajine. Takéto „následné prenosy“, ktoré z hľadiska prevádzkovateľa alebo sprostredkovateľa v Spojenom kráľovstve predstavujú medzinárodné prenosy zo Spojeného kráľovstva, by sa mali povoliť len v prípade, že ďalší príjemca mimo Spojeného kráľovstva takisto podlieha pravidlám zabezpečujúcim podobnú úroveň ochrany, aká je zaručená v právnom poriadku Spojeného kráľovstva. Z toho dôvodu je uplatňovanie pravidiel, ktoré sú stanovené vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov a v zákone o ochrane údajov z roku 2018, na medzinárodné prenosy osobných údajov dôležitým faktorom na zabezpečenie kontinuity ochrany v prípade osobných údajov prenášaných z Európskej únie do Spojeného kráľovstva podľa tohto rozhodnutia.

(75)

Režim medzinárodných prenosov osobných údajov zo Spojeného kráľovstva je stanovený v článkoch 44 – 49 všeobecného nariadenia Spojeného kráľovstva o ochrane osobných údajov, je doplnený zákonom o ochrane údajov z roku 2018 a je v podstate totožný s pravidlami, ktoré sú stanovené v kapitole V nariadenia (EÚ) 2016/679 (71). Prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môžu uskutočniť iba na základe právnych predpisov o primeranosti [ekvivalent rozhodnutia o primeranosti podľa nariadenia (EÚ) 2016/679 v Spojenom kráľovstve], alebo ak sa neuplatnia právne predpisy o primeranosti, prevádzkovateľ alebo sprostredkovateľ poskytne primerané záruky v súlade s článkom 46 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. Ak sa neuplatnia právne predpisy o primeranosti ani primerané záruky, prenos sa môže uskutočniť iba na základe výnimiek stanovených v článku 49 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov.

(76)

Právne predpisy o primeranosti, ktoré prijíma minister, môžu zabezpečiť, že tretia krajina (alebo územie alebo odvetvie v tretej krajine), medzinárodná organizácia, alebo opis (72) takej krajiny, územia, odvetvia, alebo organizácie zaručí primeranú úroveň ochrany osobných údajov. Pri posudzovaní primeranosti úrovne ochrany musí minister zohľadniť presne tie isté prvky, ktorých posúdenie Komisiou sa vyžaduje v článku 45 ods. 2 písm. a) až c) nariadenia (EÚ) 2016/679, vykladanom spoločne s odôvodnením 104 nariadenia (EÚ) 2016/679 a s ponechanou judikatúrou EÚ. To znamená, že príslušnou normou pri posudzovaní primeranej úrovne ochrany tretej krajiny bude, či dotknutá tretia krajina zaručuje úroveň ochrany, ktorá „v zásade zodpovedá“ úrovni zabezpečenej v rámci Spojeného kráľovstva.

(77)

Pokiaľ ide o postup, na právne predpisy o primeranosti sa vzťahujú „všeobecné“ procedurálne požiadavky stanovené v § 182 zákona o ochrane údajov z roku 2018. V rámci tohto postupu musí pri navrhovaní prijatia budúcich právnych predpisov Spojeného kráľovstva o primeranosti minister konzultovať s Komisárom pre informácie (73). Po prijatí ministrom sa tieto právne predpisy predkladajú parlamentu a podliehajú postupu „negatívneho uznesenia“, na základe ktorého môžu obe snemovne parlamentu preskúmať príslušné právne predpisy a v rámci 40-dňovej lehoty predložiť návrh na zrušenie týchto právnych predpisov (74).

(78)

Podľa § 17 B ods. 1 zákona o ochrane údajov z roku 2018 sa právne predpisy o primeranosti musia preskúmavať v intervaloch najviac štyroch rokov a minister musí priebežne monitorovať vývoj v tretích krajinách a medzinárodných organizáciách, ktorý by mohol ovplyvniť rozhodnutia o právnych predpisoch o primeranosti alebo ich zmeniť. Ak minister zistí, že krajina alebo organizácia už nezabezpečuje primeranú úroveň ochrany osobných údajov, musí v potrebnom rozsahu zmeniť alebo zrušiť tieto právne predpisy a začať konzultácie s dotknutou treťou krajinou alebo medzinárodnou organizáciou s cieľom napraviť nedostatok primeranej úrovne ochrany. Tieto procedurálne aspekty odrážajú aj zodpovedajúce požiadavky v nariadení (EÚ) 2016/679.

(79)

Ak neexistujú právne predpisy o primeranosti, medzinárodné prenosy údajov sa môžu uskutočniť, ak prevádzkovateľ alebo sprostredkovateľ poskytne primerané záruky v súlade s článkom 46 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. Tieto záruky sú podobné zárukám stanoveným v článku 46 nariadenia (EÚ) 2016/679. Zahŕňajú právne záväzné a vykonateľné nástroje medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi, záväzné vnútropodnikové pravidlá (75), štandardné doložky o ochrane údajov, schválené kódexy správania, schválené certifikačné mechanizmy a s povolením Komisára pre informácie zmluvné doložky medzi prevádzkovateľmi (alebo sprostredkovateľmi) alebo administratívne dojednania medzi orgánmi verejnej moci. Pravidlá však boli upravované z procedurálneho hľadiska, aby fungovali v rámci Spojeného kráľovstva, predovšetkým štandardné doložky o ochrane údajov môže prijať minister (§ 17C) alebo Komisár pre informácie (§ 119A) v súlade so zákonom o ochrane údajov z roku 2018.

(80)

Ak sa neuplatní rozhodnutie o primeranosti ani primerané záruky, prenos sa môže uskutočniť iba na základe výnimiek stanovených v článku 49 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (76). V rámci všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa nezavádzajú žiadne podstatné zmeny týkajúce sa výnimiek v porovnaní so zodpovedajúcimi pravidlami v nariadení (EÚ) 2016/679. Podľa všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa rovnako ako podľa nariadenia (EÚ) 2016/679 určité výnimky dajú uplatniť, iba ak je prenos občasný (77). Komisár pre informácie okrem toho vo svojom usmernení k medzinárodným prenosom údajov objasňuje, že: „Mali by ste ich využívať iba ako skutočné „výnimky“ zo všeobecného pravidla, že sa nemá robiť obmedzený prenos, pokiaľ nie je zabezpečený rozhodnutím o primeranosti alebo pokiaľ nie sú poskytnuté primerané záruky (78).“ Pokiaľ ide o prenosy, ktoré sú nevyhnutné z dôležitých dôvodov verejného záujmu [článok 49 ods. 1 písm. d)], minister môže prostredníctvom predpisov špecifikovať okolnosti, za ktorých nie je prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii potrebný z dôležitých dôvodov verejného záujmu. Minister okrem toho môže prostredníctvom predpisov obmedziť prenos určitej kategórie osobných údajov do tretej krajiny alebo medzinárodnej organizácii, ak sa prenos nedá uskutočniť na základe právnych predpisov o primeranosti a minister považuje obmedzenie za nevyhnutné z dôležitých dôvodov verejného záujmu. Žiadne také predpisy zatiaľ neboli prijaté.

(81)

Tento rámec pre medzinárodné prenosy údajov sa začal uplatňovať na konci prechodného obdobia (79). V bode 4 prílohy 21 k zákonu o ochrane údajov z roku 2018 [zavedenému právnymi predpismi o ochrane údajov, súkromí a elektronických komunikáciách (zmeny atď.) (vystúpenie z EÚ)] je však stanovené, že od konca prechodného obdobia sa s určitými prenosmi osobných údajov zaobchádza tak, ako keby boli založené na právnych predpisoch o primeranosti. Medzi takéto prenosy patria prenosy do štátu Európskeho hospodárskeho priestoru (EHP), na územie Gibraltáru, inštitúcie, orgánu, úradu alebo agentúry Únie, ktoré boli zriadené prostredníctvom alebo na základe Zmluvy o EÚ, a do tretích krajín, na ktoré sa na konci prechodného obdobia vzťahuje rozhodnutie EÚ o primeranosti. Prenosy do týchto krajín preto môžu pokračovať rovnako ako pred vystúpením Spojeného kráľovstva z EÚ. Po skončení prechodného obdobia musí minister preskúmať zistenia primeranosti do 4 rokov, t. j. do konca decembra 2024. Podľa vysvetlenia, ktoré poskytli orgány Spojeného kráľovstva, hoci minister musí vykonať takéto preskúmanie do konca decembra 2024, prechodné ustanovenia neobsahujú ustanovenie o ukončení platnosti, to znamená, že ak sa preskúmanie neukončí do konca decembra 2024, príslušné prechodné ustanovenia automaticky neprestanú platiť.

(82)

Napokon, pokiaľ ide o budúci vývoj režimu medzinárodných prenosov Spojeného kráľovstva – prostredníctvom prijatia nových právnych predpisov o primeranosti, uzavretia medzinárodných dohôd alebo vývoja iných mechanizmov prenosu – Komisia bude situáciu pozorne monitorovať, posúdi, či sa rôzne mechanizmy prenosu používajú spôsobom, ktorý zabezpečuje kontinuitu ochrany, a ak je to nevyhnutné, prijme vhodné opatrenia na riešenie možných nepriaznivých dôsledkov na takú kontinuitu (pozri odôvodnenia 278 až 287). Keďže EÚ a Spojené kráľovstvo majú pre medzinárodné prenosy podobné pravidlá, očakáva sa, že problematickým rozdielom by sa mohlo vyhnúť prostredníctvom spolupráce, výmeny informácií a výmeny skúseností vrátane výmen medzi Komisárom pre informácie a Európskym výborom pre ochranu údajov.

(83)

Podľa zásady zodpovednosti sa od subjektov, ktoré spracúvajú údaje, vyžaduje, aby zaviedli vhodné technické a organizačné opatrenia v záujme účinného dodržiavania svojich povinností v oblasti ochrany údajov a aby vedeli takéto dodržiavanie preukázať, najmä príslušnému dozornému orgánu.

(84)

Zásada zodpovednosti stanovená v nariadení (EÚ) 2016/679 bola ponechaná v článku 5 ods. 2 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov bez podstatnej zmeny a to isté platí pre článok 24 o zodpovednosti prevádzkovateľa, článok 25 o špecificky navrhnutej a štandardnej ochrane údajov a článok 30 o záznamoch o spracovateľských činnostiach. Ponechané boli aj články 35 a 36 o posúdení vplyvu na ochranu údajov a o predchádzajúcej konzultácii s dozorným orgánom. Články 37 až 39 nariadenia (EÚ) 2016/679 o určení zodpovedných osôb a ich úlohách boli ponechané vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov bez podstatných zmien. Aj ustanovenia článkov 40 a 42 nariadenia (EÚ) 2016/679 o kódexoch správania a o certifikácii boli ponechané vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov (80).

(85)

S cieľom zaistiť, aby bola primeraná úroveň ochrany údajov zabezpečená v praxi, by mal byť zriadený nezávislý dozorný orgán, ktorý bude mať právomoc monitorovať a presadzovať dodržiavanie pravidiel ochrany údajov. Tento orgán by mal pri plnení svojich úloh a výkone svojich právomocí konať úplne nezávisle a nestranne.

(86)

V Spojenom kráľovstve vykonáva dohľad a presadzovanie dodržiavania všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a zákona o ochrane údajov z roku 2018 Komisár pre informácie. Komisár pre informácie je „Corporation Sole“, čiže samostatný právny subjekt zložený z jednej osoby. Komisára pre informácie pri jeho práci podporuje jeho úrad. K 31. marcu 2020 mal Úrad Komisára pre informácie 768 stálych zamestnancov (81). Hlavným ministerstvom vo vzťahu ku Komisárovi pre informácie je ministerstvo pre digitálnu oblasť, kultúru, médiá a šport (Department for Digital, Culture, Media and Sport) (82).

(87)

Nezávislosť Komisára je výslovne stanovená v článku 52 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, pričom nedošlo k žiadnym zásadným zmenám článku 52 ods. 1 až 3 všeobecného nariadenia o ochrane údajov. Komisár musí pri plnení svojich úloh a vykonávaní svojich právomocí podľa všeobecného nariadenia Spojeného kráľovstva o ochrane údajov konať úplne nezávisle, nesmie byť pod vonkajším vplyvom, či už priamym alebo nepriamym, vo vzťahu k týmto úlohám a právomociam, a nesmie od nikoho žiadať ani prijímať pokyny. Komisár sa tiež musí zdržať akéhokoľvek konania nezlučiteľného so svojimi povinnosťami a počas výkonu funkcie nevykonáva žiadnu platenú ani neplatenú pracovnú činnosť nezlučiteľnú s jeho funkciou.

(88)

Podmienky vymenovania a odvolania Komisára pre informácie sú stanovené v prílohe 12 k zákonu o ochrane údajov z roku 2018. Komisára pre informácie vymenúva jej veličenstvo na odporúčanie vlády na základe spravodlivého a otvoreného výberového konania. Uchádzač musí mať primeranú kvalifikáciu, zručnosti a schopnosti. V súlade s kódexom riadenia verejných menovaní (83) zostaví poradná hodnotiaca komisia zoznam menovateľných kandidátov. Predtým, ako minister ministerstva pre digitálnu oblasť, kultúru, médiá a šport dokončí svoje rozhodnutie, príslušný užší výbor parlamentu musí vykonať kontrolu pred vymenovaním. Stanovisko výboru sa zverejňuje (84).

(89)

Komisár pre informácie vykonáva svoju funkciu najviac sedem rokov. Žiadna osoba nemôže byť vymenovaná za Komisára pre informácie viac ako raz. Z funkcie ho môže odvolať jej veličenstvo na základe jej určenému prejavu vôle oboch snemovní parlamentu (tzv. Address) (85). Žiadosť o odvolanie Komisára pre informácie možno predložiť niektorej zo snemovní parlamentu, len ak minister predloží správu, v ktorej uvedie, že je presvedčený, že Komisár pre informácie sa dopustil závažného pochybenia a/alebo že Komisár už nespĺňa podmienky požadované na výkon svojich funkcií (86).

(90)

Financovanie Komisára pre informácie pochádza z troch zdrojov: i) poplatky za ochranu údajov, ktoré platia prevádzkovatelia a ktoré sú stanovené právnymi predpismi ministra (87) [právne predpisy o ochrane údajov (poplatky a informácie) z roku 2018], pričom tvoria 85 – 90 % ročného rozpočtu Úradu Komisára pre informácie (88); ii) subvencie, ktoré môže vláda poskytnúť Komisárovi pre informácie. Tieto subvencie sa využívajú najmä na financovanie prevádzkových nákladov Komisára pre informácie, pokiaľ ide o úlohy nesúvisiace s ochranou údajov (89); a iii) poplatky účtované za služby (90). V súčasnosti sa neúčtujú žiadne takéto poplatky.

(91)

Všeobecné funkcie Komisára pre informácie v súvislosti so spracúvaním osobných údajov, na ktoré sa vzťahuje všeobecné nariadenie Spojeného kráľovstva o ochrane údajov, sú stanovené v článku 57 uvedeného nariadenia a dôsledne odrážajú zodpovedajúce pravidlá nariadenia (EÚ) 2016/679. Medzi jeho úlohy patrí monitorovanie a presadzovanie všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, podpora informovanosti verejnosti, vybavovanie sťažností podávaných dotknutými osobami, vedenie vyšetrovaní atď. Okrem toho sú v § 115 zákona o ochrane údajov z roku 2018 stanovené ďalšie všeobecné funkcie Komisára, ku ktorým patrí povinnosť poskytovať poradenstvo parlamentu, vláde a iným inštitúciám a orgánom v oblasti legislatívnych a administratívnych opatrení týkajúcich sa ochrany práv a slobôd jednotlivcov, pokiaľ ide o spracúvanie osobných údajov, ako aj právomoc vydávať, z vlastnej iniciatívy Komisára alebo na požiadanie, stanoviská určené parlamentu, vláde alebo iným inštitúciám a orgánom, ako aj verejnosti k akejkoľvek otázke týkajúcej sa ochrany osobných údajov. V záujme zachovania nezávislosti justície nie je Komisár pre informácie oprávnený vykonávať svoje funkcie v súvislosti so spracúvaním osobných údajov jednotlivcom konajúcim v rámci súdnej právomoci, resp. súdom či tribunálom konajúcim v rámci svojej súdnej právomoci. Dohľad nad justíciou však vykonávajú špecializované orgány (pozri odôvodnenia 99 až 103).

(92)

Právomoci Komisára pre informácie sú stanovené v článku 58 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, a to bez zavedenia akýchkoľvek podstatných zmien oproti zodpovedajúcemu článku nariadenia (EÚ) 2016/679. V zákone o ochrane údajov z roku 2018 sú stanovené doplňujúce pravidlá týkajúce sa spôsobu vykonávania týchto právomocí. Komisár má predovšetkým tieto právomoci: a) nariadiť prevádzkovateľovi a sprostredkovateľovi (a za určitých okolností akejkoľvek inej osobe), aby poskytli potrebné informácie prostredníctvom oznámenia („informačné oznámenie“) (91); b) vykonávať vyšetrovania a audity prostredníctvom oznámenia o posúdení, v ktorom sa môže vyžadovať, aby prevádzkovateľ alebo sprostredkovateľ povolil Komisárovi pre informácie vstúpiť do určených priestorov, skontrolovať alebo preskúmať dokumenty alebo vybavenie, vypočuť osoby, ktoré spracúvajú osobné údaje v mene prevádzkovateľa („oznámenie o posúdení“) (92); c) získať iným spôsobom prístup k dokumentom prevádzkovateľov a sprostredkovateľov a prístup do ich priestorov v súlade s § 154 zákona o ochrane údajov z roku 2018 („právomoci na vstup a inšpekciu“); d) vykonávať nápravné právomoci, a to aj prostredníctvom varovaní a napomenutí, alebo vydávať príkazy prostredníctvom presadzovacieho oznámenia, v ktorom sa od prevádzkovateľov, resp. sprostredkovateľov vyžaduje, aby prijali alebo sa zdržali prijatia konkrétnych krokov, a to vrátane príkazu prevádzkovateľovi alebo sprostredkovateľovi, aby vykonal čokoľvek uvedené v článku 58 ods. 2 písm. c) až g) a písm. j) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov („presadzovacie oznámenie“) (93); e) udeľovať správne pokuty vo forme oznámenia o uložení sankcie (ďalej len „oznámenie o uložení sankcie“) (94). Správne pokuty môžu byť udelené aj vtedy, keď orgán verejnej moci nedodrží ustanovenia nariadenia Spojeného kráľovstva o ochrane osobných údajov (95).

(93)

Okolnosti, za ktorých Komisár pre informácie vydáva informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie alebo oznámenie o uložení sankcie, sa stanovujú v jeho regulačnej politike (96). V presadzovacom oznámení, ktoré je reakciou na nesplnenie povinnosti prevádzkovateľa alebo sprostredkovateľa, sa môžu stanoviť iba požiadavky, ktoré Komisár považuje za vhodné na účely nápravy nesplnenia povinnosti. Presadzovacie oznámenia a oznámenia o uložení sankcie sa môžu vydávať prevádzkovateľovi alebo sprostredkovateľovi v súvislosti s porušením ustanovení kapitoly II všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (zásady spracúvania), článkov 12 až 22 (práva dotknutej osoby), článkov 25 až 39 (povinnosti prevádzkovateľov a sprostredkovateľov) a článkov 44 až 49 (medzinárodné prenosy) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. Presadzovacie oznámenie sa môže vydať, aj keď prevádzkovateľ nesplnil požiadavku zaplatiť poplatok stanovený v právnych predpisoch podľa § 137 zákona o ochrane údajov z roku 2018. Okrem toho sa presadzovacie oznámenie môže vydať monitorujúcemu subjektu podľa článku 41 alebo poskytovateľovi certifikácie, ak si nesplnia svoje povinnosti podľa všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. Oznámenie o uložení sankcie je možné vydať aj osobe, ktorá nedodržala informačné oznámenie, oznámenie o posúdení alebo presadzovacie oznámenie.

(94)

V oznámení o uložení sankcie sa vyžaduje, aby príslušná osoba zaplatila Komisárovi pre informácie sumu uvedenú v oznámení. Pri určovaní toho, či sa má určitej osobe vydať oznámenie o uložení sankcie, a pri určovaní výšky sankcie musí Komisár pre informácie zohľadniť skutočnosti uvedené v článku 83 ods. 1 a 2 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktoré sú totožné so zodpovedajúcimi pravidlami nariadenia (EÚ) 2016/679 (97). Podľa článku 83 ods. 4 a 5 je maximálna výška správnej pokuty v prípade nesplnenia povinností uvedených v týchto ustanoveniach 8 700 000 GBP, respektíve 17 500 000 GBP. V prípade podniku môže Komisár pre informácie uložiť pokutu ako percentuálny podiel svetového ročného obratu, ak je tá suma vyššia. Tieto sumy sú rovnako ako v ekvivalentných ustanoveniach nariadenia (EÚ) 2016/679 stanovené na úrovni 2 % a 4 % v článku 83 ods. 4, respektíve ods. 5. V prípade nedodržania informačného oznámenia, oznámenia o posúdení alebo presadzovacieho oznámenia je maximálna výška sankcie, ktorú je možné uložiť na základe oznámenia o uložení sankcie, 17 500 000 GBP alebo v prípade podniku 4 % svetového ročného obratu.

(95)

Všeobecným nariadením Spojeného kráľovstva o ochrane údajov a zákonom o ochrane údajov z roku 2018 sa posilnili aj ďalšie právomoci Komisára pre informácie. Komisár teraz môže napríklad vykonávať povinné audity týkajúce sa všetkých prevádzkovateľov a sprostredkovateľov s použitím oznámení o posúdení, zatiaľ čo podľa predchádzajúceho právneho predpisu, zákona o ochrane údajov z roku 1998, mal Komisár túto právomoc iba vo vzťahu k ústrednej štátnej správe a zdravotníckym organizáciám, pričom ostatné subjekty museli s auditom súhlasiť.

(96)

Od zavedenia nariadenia (EÚ) 2016/679 Komisár pre informácie vybavuje približne 40 000 sťažností dotknutých osôb ročne (98) a okrem toho vykonáva približne 2 000 vyšetrovaní ex officio (99). Väčšina sťažností sa týka práv na prístup k údajom a poskytovania údajov. Komisár na základe vyšetrovania prijíma opatrenia v oblasti presadzovania v širokej škále odvetví. Konkrétnejšie, podľa najnovšej výročnej správy Komisára pre informácie (2019 – 2020) (100) vydal Komisár počas vykazovaného obdobia 54 informačných oznámení, osem oznámení o posúdení, sedem presadzovacích oznámení, štyri varovania, osem žalôb a 15 pokút (101).

(97)

To zahŕňa niekoľko značných peňažných sankcií uložených podľa nariadenia (EÚ) 2016/679 a zákona o ochrane údajov z roku 2018. Komisár pre informácie konkrétne v októbri 2020 uložil britskej leteckej spoločnosti pokutu vo výške 20 miliónov GBP za porušenie ochrany údajov, ktoré malo vplyv na viac ako 400 000 zákazníkov. Koncom októbra 2020 bola medzinárodnej hotelovej sieti uložená pokuta vo výške 18,4 milióna GBP za to, že nedokázala zaistiť bezpečnosť osobných údajov miliónov zákazníkov, a v novembri 2020 bola britskému poskytovateľovi služieb, ktorý online predáva vstupenky na podujatia, uložená pokuta vo výške 1,25 milióna GBP za nedostatočnú ochranu platobných údajov zákazníkov (102).

(98)

Okrem toho, že Komisár pre informácie má právomoci v oblasti presadzovania opísané v odôvodnení 92, určité porušenia právnych predpisov o ochrane údajov predstavujú trestné činy, a preto môžu podliehať trestnoprávnym sankciám (§ 196 zákona o ochrane údajov z roku 2018). To sa týka napríklad vedomého alebo neuváženého získania alebo poskytnutia osobných údajov bez súhlasu prevádzkovateľa, poskytnutia prístupu k osobným údajom inej osobe bez súhlasu prevádzkovateľa (103), opätovnej identifikácie anonymizovaných osobných údajov bez súhlasu prevádzkovateľa zodpovedného za anonymizáciu osobných údajov (104), úmyselného bránenia Komisárovi pre informácie pri výkone jeho právomocí v súvislosti s kontrolou osobných údajov v súlade s medzinárodnými záväzkami (105), vydávania nepravdivých vyhlásení o odpovedi na informačné oznámenie alebo zničenia informácií v súvislosti s informačným oznámením a oznámením o posúdení (106).

(99)

Dohľad nad spracúvaním osobných údajov súdmi a justíciou je dvojaký. Ak súdny úradník alebo súd nekoná v rámci súdnej právomoci, dohľad vykonáva Komisár pre informácie. Ak prevádzkovateľ koná v rámci súdnej právomoci, Komisár pre informácie nemôže plniť svoje funkcie dohľadu (107) a dohľad vykonávajú osobitné orgány. Uvedené odráža prístup prijatý v nariadení (EÚ) 2016/679 (článok 55 ods. 3).

(100)

Konkrétne v druhom scenári, pokiaľ ide o súdy Anglicka a Walesu a ich tribunály prvého stupňa a vyššie tribunály (First-tier and Upper Tribunals of England and Wales), takýto dohľad vykonáva súdna rada pre ochranu údajov (Judicial Data Protection Panel) (108). Okrem toho šéf justície Anglicka a Walesu (Lord Chief Justice) a šéf tribunálov (Senior President of Tribunals) vydali oznámenie o ochrane osobných údajov (109), v ktorom sa uvádza, ako súdy v Anglicku a Walese spracúvajú osobné údaje na účely plnenia súdnej funkcie. Podobné oznámenie vydali súdy Severného Írska (110) a Škótska (111).

(101)

Okrem toho v Severnom Írsku vymenoval šéf justície Severného Írska (Lord Chief Justice of Northern Ireland) sudcu Vrchného súdu (High Court) za sudcu pre dohľad nad údajmi (Data Supervisory Judge) (112). Vydal tiež usmernenia pre severoírsku justíciu o tom, čo robiť v prípade straty alebo potenciálnej straty údajov a o postupe riešenia akýchkoľvek otázok, ktoré z toho vyplývajú (113).

(102)

V Škótsku šéf justície Lord President vymenoval sudcu pre dohľad nad údajmi (Data Supervisory Judge), ktorý vyšetruje všetky sťažnosti z dôvodu ochrany údajov. Stanovuje sa tak v pravidlách súdnych sťažností, ktoré odrážajú pravidlá stanovené pre Anglicko a Wales (114).

(103)

Napokon na najvyššom súde (Supreme Court) je vymenovaný jeden zo sudcov tohto súdu, aby vykonával dohľad nad ochranou údajov.

(104)

V záujme zabezpečenia primeranej ochrany, a najmä vymáhania individuálnych práv, by dotknutá osoba mala mať k dispozícii účinné správne a súdne prostriedky nápravy vrátane náhrady škôd.

(105)

Po prvé, dotknutá osoba má právo podať sťažnosť Komisárovi pre informácie, ak sa domnieva, že v súvislosti s osobnými údajmi, ktoré sa jej týkajú, došlo k porušeniu zákona o ochrane údajov z roku 2018 (115). Vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov sa ponechávajú pravidlá uvedené v článku 77 nariadenia (EÚ) 2016/679 týkajúce sa tohto práva bez podstatných zmien. To isté platí pre článok 57 ods. 1 písm. f) a ods. 2, v ktorých sa stanovujú úlohy Komisie v súvislosti s vybavovaním sťažností. Ako sa uvádza v odôvodneniach 92 a 98, Komisár pre informácie má právomoc posúdiť dodržiavanie všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a zákona o ochrane údajov z roku 2018 prevádzkovateľom a sprostredkovateľom a požadovať od nich, aby v prípade nedodržiavania tohto zákona prijali potrebné kroky, resp. aby sa zdržali prijatia potrebných krokov, ako aj uložiť pokuty.

(106)

Po druhé vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov a v zákone o ochrane údajov z roku 2018 sa stanovuje právo na prostriedok nápravy voči rozhodnutiu Komisára pre informácie. Podľa článku 78 ods. 1 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov má jednotlivec právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu Komisára pre informácie, ktoré sa ho týka. Sudca v rámci súdneho preskúmania prešetrí rozhodnutie, ktoré je napadnuté v žalobe, a posúdi, či Komisár pre informácie konal v súlade so zákonom. Navyše, ak Komisár pre informácie nevybaví sťažnosť predloženú dotknutou osobou primerane, podľa článku 78 ods. 2 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (116)má sťažovateľ prístup k súdnemu prostriedku nápravy. Môže sa obrátiť na tribunál prvého stupňa, aby Komisárovi pre informácie nariadil prijať primerané kroky v reakcii na sťažnosť alebo informovať sťažovateľa o pokroku dosiahnutom v súvislosti so sťažnosťou (117). Okrem toho sa každá osoba, ktorá dostane od Komisára pre informácie ktorékoľvek z uvedených oznámení (informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie alebo oznámenie o uložení sankcie), môže odvolať na tribunál prvého stupňa (118). Ak sa tribunál domnieva, že rozhodnutie Komisára pre informácie nie je v súlade so zákonom alebo že Komisár pre informácie mal uplatniť svoju voľnú úvahu inak, tribunál musí odvolaniu vyhovieť, resp. musí vydať iné oznámenie alebo prijať iné rozhodnutie, ktoré mohol vydať alebo prijať Komisár pre informácie.

(107)

Po tretie jednotlivci môžu získať súdne prostriedky nápravy voči prevádzkovateľom a sprostredkovateľom priamo na súdoch podľa článku 79 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a § 167 zákona o ochrane údajov z roku 2018. Ak súd na návrh dotknutej osoby dospeje k záveru, že došlo k porušeniu práv dotknutej osoby v zmysle právnych predpisov o ochrane údajov, môže nariadiť prevádzkovateľovi v súvislosti so spracúvaním alebo sprostredkovateľovi konajúcemu v mene tohto prevádzkovateľa, aby podnikol kroky uvedené v súdnom príkaze alebo aby sa zdržal prijatia krokov uvedených v súdnom príkaze.

(108)

Okrem toho podľa článku 82 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a § 168 zákona o ochrane údajov z roku 2018 má každá osoba, ktorá utrpela materiálnu alebo nemateriálnu škodu v dôsledku porušenia všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa. Pravidlá týkajúce sa náhrady škody a zodpovednosti uvedené v článku 82 ods. 1 až 5 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sú totožné so zodpovedajúcimi pravidlami uvedenými v nariadení (EÚ) 2016/679. Podľa § 168 zákona o ochrane údajov z roku 2018 zahŕňa nemajetková škoda aj ťažkosti. Podľa článku 80 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov má dotknutá osoba takisto právo poveriť zastupiteľský orgán alebo organizáciu, aby v jej mene (podľa článku 77 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov) podali sťažnosť Komisárovi pre informácie a aby v jej mene uplatnili práva uvedené v článkoch 78 (právo na účinný súdny prostriedok nápravy voči rozhodnutiu Komisára pre informácie), 79 (právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi) a 82 (právo na náhradu škody a zodpovednosť) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov.

(109)

Po štvrté, pokiaľ sa akákoľvek osoba domnieva, že orgány verejnej moci porušili jej práva vrátane práva na súkromie a ochranu údajov, môže popri uvedených prostriedkoch nápravy dosiahnuť nápravu na súdoch Spojeného kráľovstva podľa zákona o ľudských právach z roku 1998 (119). Jednotlivec, ktorý tvrdí, že orgán verejnej moci konal (alebo navrhuje konať) spôsobom, ktorý je nezlučiteľný s právom vyplývajúcim z dohovoru, a teda protiprávny podľa § 6 ods. 1 zákona o ľudských právach z roku 1998, môže podať návrh na začatie konania proti tomuto orgánu na príslušnom súde alebo tribunáli, resp. sa dovolávať príslušných práv v akomkoľvek súdnom konaní, ak je (alebo by mohol byť) obeťou protiprávneho činu.

(110)

Ak súd zistí, že akýkoľvek akt orgánu verejnej moci je nezákonný, môže v rámci svojich právomocí nariadiť akúkoľvek nápravu alebo vydať akýkoľvek príkaz, ktoré považuje za vhodné a primerané (120). Súd môže takisto vyhlásiť ustanovenie primárneho práva za nezlučiteľné s právom zaručeným dohovorom.

(111)

Jednotlivec môže napokon za porušenie práv zaručených Európskym dohovorom o ľudských právach po vyčerpaní vnútroštátnych prostriedkov nápravy dosiahnuť nápravu pred Európskym súdom pre ľudské práva.

(112)

Komisia posúdila aj právny rámec Spojeného kráľovstva pre získavanie a následné používanie osobných údajov, ktoré prenášajú podnikateľským subjektom v Spojenom kráľovstve orgány verejnej moci Spojeného kráľovstva vo verejnom záujme, a to najmä na účely presadzovania trestného práva a na účely národnej bezpečnosti (ďalej len „prístup vlády“). Komisia pri posudzovaní toho, či by podmienky, na základe ktorých sa vláde poskytuje prístup k údajom prenášaným do Spojeného kráľovstva podľa tohto rozhodnutia, spĺňali kritérium „zásadnej rovnocennosti“ v súlade s článkom 45 ods. 1 nariadenia (EÚ) 2016/679, ako ho vykladá Súdny dvor Európskej únie so zreteľom na Chartu základných práv, zohľadnila najmä tieto kritériá.

(113)

Po prvé akékoľvek obmedzenie práva na ochranu osobných údajov musí byť stanovené zákonom a v samotnom právnom základe, ktorý povoľuje zasahovanie do takéhoto práva, sa musí vymedzovať, do akého rozsahu možno uplatňovanie príslušného práva obmedziť (121).

(114)

Po druhé v záujme splnenia požiadavky proporcionality, podľa ktorej sa v demokratickej spoločnosti musia výnimky z ochrany osobných údajov a obmedzenia ochrany osobných údajov uplatňovať len do prísne nevyhnutnej miery, aby boli splnené konkrétne ciele všeobecného záujmu, ktoré sú rovnocenné s cieľmi uznávanými Úniou, sa v právnych predpisoch dotknutej tretej krajiny povoľujúcich zasahovanie musia stanovovať jasné a presné pravidlá upravujúce rozsah a uplatňovanie takýchto opatrení a zavádzať minimálne záruky, aby osoby, ktorých údaje boli prenesené, mali dostatočné záruky umožňujúce účinne chrániť ich osobné údaje pred rizikom zneužitia (122). V týchto právnych predpisoch sa musia najmä vymedziť okolnosti a podmienky, za akých možno prijať opatrenie upravujúce spracúvanie takýchto údajov (123), ako aj stanoviť povinnosť podrobiť splnenie takých požiadaviek nezávislému dohľadu (124).

(115)

Po tretie takéto právne predpisy musia byť právne záväzné podľa vnútroštátneho práva a tieto právne požiadavky musia byť nielen záväzné pre orgány, ale aj vymožiteľné na súdoch proti orgánom dotknutej tretej krajiny (125). Dotknuté osoby musia mať najmä možnosť uplatniť právne prostriedky nápravy pred nezávislým a nestranným súdom, aby mali prístup k osobným údajom, ktoré sa ich týkajú, alebo dosiahnuť opravu alebo vymazanie takýchto údajov (126).

(116)

Prístup vlády ako výkon právomoci orgánu verejnej moci v Spojenom kráľovstve sa musí uskutočňovať v plnom súlade so zákonom. Spojené kráľovstvo ratifikovalo Európsky dohovor o ľudských právach (pozri odôvodnenie 9) a orgány verejnej moci v Spojenom kráľovstve sú povinné konať v súlade s týmto dohovorom (127). V článku 8 dohovoru sa stanovuje, že akýkoľvek zásah do súkromného života musí byť v súlade so zákonom, v záujme jedného z cieľov uvedených v článku 8 ods. 2 a primeraný vzhľadom na tento cieľ. V článku 8 sa takisto požaduje, aby bol zásah „predvídateľný“, t. j. aby mal jasný, prístupný základ v zákone, a aby zákon obsahoval primerané záruky na zabránenie zneužitiu.

(117)

Európsky súd pre ľudské práva vo svojej judikatúre okrem toho špecifikuje, že akýkoľvek zásah do práva na súkromie a ochranu údajov by mal podliehať účinnému, nezávislému a nestrannému systému dohľadu, ktorý musí zabezpečiť buď sudca, alebo iný nezávislý orgán (128) (napr. správny orgán alebo parlamentný orgán).

(118)

Navyše sa jednotlivcom musia poskytnúť účinné prostriedky nápravy a Európsky súd pre ľudské práva objasnil, že prostriedky nápravy musí ponúkať nezávislý a nestranný orgán, ktorý prijal svoj vlastný rokovací poriadok, je zložený z členov, ktorí musia zastávať alebo zastávali vysoké sudcovské funkcie alebo sú skúsenými právnikmi, a nesmie existovať žiadne dôkazné bremeno, ktoré treba splniť, aby bolo možné podať na tomto orgáne sťažnosť. Pri preskúmavaní sťažností jednotlivcov by mal mať nezávislý a nestranný orgán prístup ku všetkým relevantným informáciám vrátane uzavretých materiálov. Napokon by mal mať právomoc napraviť nedodržanie právnych predpisov (129).

(119)

Spojené kráľovstvo v roku 2018 takisto ratifikovalo Dohovor Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (dohovor č. 108) a podpísalo protokol, ktorým sa mení Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (známy ako dohovor č. 108+) (130). V článku 9 dohovoru č. 108 sa uvádza, že výnimky zo zásad všeobecnej ochrany údajov (článok 5 Kvalita údajov), z pravidiel upravujúcich osobitné kategórie údajov (článok 6 Osobitné kategórie údajov) a z práv dotknutých osôb (článok 8 Ďalšie záruky pre dotknutú osobu) sú prípustné len vtedy, ak sa takáto výnimka stanovuje vo vnútroštátnom právnom poriadku danej strany a ak predstavuje opatrenie potrebné v demokratickej spoločnosti na ochranu bezpečnosti štátu, verejnej bezpečnosti, menových záujmov štátu alebo potláčanie trestnej činnosti, alebo ochranu dotknutej osoby, alebo práv a slobôd iných (131).

(120)

Zo skutočnosti, že Spojené kráľovstvo je členom Rady Európy, dodržiava Európsky dohovor o ľudských právach a je podriadené právomoci Európskeho súdu pre ľudské práva, preto preň vyplýva niekoľko povinností zakotvených v medzinárodnom práve, ktoré zasadzujú jeho systém prístupu vlády do rámca založeného na zásadách, zárukách a individuálnych právach podobných tým, ktoré zaručuje právo EÚ a ktoré sa uplatňujú na členské štáty. Ako sa zdôrazňuje v odôvodnení 19, pretrvávajúce dodržiavanie týchto nástrojov je preto mimoriadne dôležitým prvkom posúdenia, na ktorom sa zakladá toto rozhodnutie.

(121)

Okrem toho sú osobitné záruky ochrany údajov a práva na ochranu údajov zaručené zákonom o ochrane údajov z roku 2018, keď údaje spracúvajú orgány verejnej moci vrátane orgánov presadzovania práva a národných bezpečnostných orgánov.

(122)

Konkrétne režim spracúvania osobných údajov v kontexte presadzovania trestného práva sa stanovuje v časti 3 zákona o ochrane údajov z roku 2018, ktorý bol prijatý na transponovanie smernice (EÚ) 2016/680. Časť 3 zákona o ochrane údajov z roku 2018 sa vzťahuje na spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu (132).

(123)

Pojem „príslušný orgán“ je vymedzený v § 30 zákona o ochrane údajov z roku 2018 ako osoba uvedená v prílohe 7 k zákonu o ochrane údajov z roku 2018, ako aj akákoľvek iná osoba v rozsahu, v akom má zákonné funkcie na ktorýkoľvek z účelov presadzovania práva (133). Ako je to vysvetlené ďalej v texte (pozri odôvodnenie 139), isté príslušné orgány (napríklad Národná kriminálna agentúra) môžu za istých okolností využiť právomoci poskytnuté na základe zákona o vyšetrovacích právomociach z roku 2016 (Investigatory Power Act 2016). V tomto prípade sa záruky stanovené v zákone o vyšetrovacích právomociach z roku 2016 uplatnia popri zárukách stanovených v časti 3 zákona o ochrane údajov z roku 2018. Spravodajské služby (Tajná spravodajská služba, Bezpečnostná služba a Vládne komunikačné ústredie) nie sú „príslušnými orgánmi“ (134) patriacimi do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018, a preto sa v nej uvedené pravidlá nevzťahujú na žiadnu z ich činností. Konkrétna časť zákona o ochrane údajov z roku 2018 (časť 4) sa venuje spracúvaniu osobných údajov spravodajskými službami (pre podrobnejšie informácie pozri odôvodnenie 125).

(124)

Podobne ako v smernici (EÚ) 2016/680 sa v časti 3 zákona o ochrane údajov z roku 2018 stanovujú zásady zákonnosti a spravodlivosti (135), obmedzenia účelu (136), minimalizácie údajov (137), správnosti (138), minimalizácie uchovávania (139) a bezpečnosti (140). V právnom predpise sa ukladajú osobitné povinnosti týkajúce sa transparentnosti (141) a jednotlivcom sa poskytuje právo na prístup (142), opravu a vymazanie (143) a právo nepodliehať automatizovanému rozhodovaniu (144). Od príslušných orgánov sa takisto požaduje, aby vykonávali špecificky navrhnutú a štandardnú ochranu údajov, uchovávali záznamy o spracovateľských činnostiach a v prípade určitých spracovateľských operácií vykonávali posúdenia vplyvu na ochranu údajov a vopred konzultovali s Komisárom pre informácie (145). Podľa § 56 zákona o ochrane údajov z roku 2018 sú povinní preukázať súlad. Okrem toho sa od nich požaduje, aby zaviedli primerané opatrenia na zaistenie bezpečnosti spracúvania (146) a v prípade porušenia ochrany údajov podliehajú osobitným povinnostiam vrátane oznámenia takéhoto porušenia Komisárovi pre informácie a dotknutým osobám (147). Rovnako ako v prípade smernice (EÚ) 2016/680 aj tu sa stanovuje požiadavka, aby prevádzkovateľ (pokiaľ ním nie je súd alebo iný súdny orgán konajúci v rámci súdnej právomoci) vymenoval zodpovednú osobu (148), ktorá pomáha prevádzkovateľovi plniť si svoje povinnosti, ako aj monitorovať tento súlad (149). V právnom predpise sa okrem toho stanovujú osobitné požiadavky na medzinárodné prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám na účely presadzovania práva s cieľom zabezpečiť kontinuitu ochrany (150). Komisia spolu s týmto rozhodnutím prijala rozhodnutie o primeranosti na základe článku 36 ods. 3 smernice (EÚ) 2016/680, keďže zistila, že režim ochrany údajov platný pre spracúvanie údajov orgánmi Spojeného kráľovstva príslušnými na presadzovanie trestného práva zabezpečuje úroveň ochrany, ktorá v zásade zodpovedá úrovni zaručenej smernicou (EÚ) 2016/680.

(125)

Časť 4 zákon o ochrane údajov z roku 2018 sa vzťahuje na každé spracúvanie spravodajskými službami alebo v ich mene. Stanovujú sa v nej hlavné zásady ochrany údajov (zákonnosť, spravodlivosť a transparentnosť (151), obmedzenie účelu (152), minimalizácia údajov (153), správnosť (154), minimalizácia uchovávania (155) a bezpečnosť (156)) a zavádzajú sa v nej podmienky spracúvania osobitných kategórií údajov (157), stanovujú sa práva dotknutých osôb (158), zavádza sa požiadavka špecificky navrhnutej ochrany údajov (159) a upravujú sa v nej medzinárodné prenosy osobných údajov (160). Komisár pre informácie nedávno vydal podrobné usmernenie o spracúvaní údajov spravodajskými službami podľa časti 4 zákona o ochrane údajov z roka 2018 (161).

(126)

Zároveň sa v § 110 zákona o ochrane údajov z roku 2018 stanovuje výnimka z osobitných ustanovení v časti 4 zákona o ochrane údajov z roku 2018 (162), ak je táto výnimka potrebná na zabezpečenie národnej bezpečnosti. Tejto výnimky sa možno dovolávať na základe analýzy jednotlivých prípadov (163). Ako vysvetlili orgány Spojeného kráľovstva a potvrdila judikatúra súdov, prevádzkovatelia musia zvážiť skutočné dôsledky pre národnú bezpečnosť alebo obranu, ak mali povinnosť dodržiavať konkrétne ustanovenia o ochrane údajov a ak mohli primerane dodržať toto obvyklé pravidlo bez toho, aby to malo vplyv na národnú bezpečnosť alebo obranu“ (164). To, či sa výnimka použila primerane, podlieha dohľadu Komisára pre informácie (165).

(127)

Okrem toho, pokiaľ ide o možnosť obmedziť uplatňovanie vyššie uvedených ustanovení v záujme ochrany „národnej bezpečnosti“, prevádzkovateľ môže podľa § 111 zákona o ochrane údajov z roku 2018 požiadať o osvedčenie podpísané ministrom vlády alebo generálnym prokurátorom, v ktorom sa potvrdzuje, že obmedzenie takýchto práv je nevyhnutným a primeraným opatrením na ochranu národnej bezpečnosti (166).

(128)

Vláda Spojeného kráľovstva vydala v rámci zákona o ochrane údajov z roku 2018 usmernenie na pomoc prevádzkovateľom pri zvažovaní, či požiadať o osvedčenie o záujme národnej bezpečnosti, v ktorom sa predovšetkým zdôrazňuje, že akékoľvek obmedzenie práv dotknutých osôb na zaistenie národnej bezpečnosti musí byť primerané a nevyhnutné (167). Všetky osvedčenia o záujme národnej bezpečnosti sa musia uverejniť na webovom sídle Komisára pre informácie (168).

(129)

Osvedčenie by malo mať pevne stanovené obdobie nie dlhšie ako päť rokov, aby ho mohol výkonný orgán pravidelne preskúmavať (169). V osvedčení sa uvedú osobné údaje alebo kategórie osobných údajov, na ktoré sa vzťahuje výnimka, ako aj ustanovenia zákona o ochrane údajov z roku 2018, na ktoré sa výnimka vzťahuje (170).

(130)

Je dôležité poznamenať, že osvedčenia o záujme národnej bezpečnosti nedávajú dodatočný dôvod na to, aby boli obmedzené práva na ochranu údajov z dôvodov národnej bezpečnosti. Inými slovami, prevádzkovateľ alebo sprostredkovateľ sa môže odvolávať na osvedčenie len vtedy, keď dospel k záveru, že je potrebné odvolávať sa na výnimku v záujme národnej bezpečnosti, ktorá, ako už bolo vysvetlené, sa musí uplatňovať v jednotlivých prípadoch (171). Aj keď sa na predmetnú vec vzťahuje osvedčenie o záujme národnej bezpečnosti, Komisár pre informácie môže preskúmať, či v konkrétnom prípade bolo uplatnenie výnimky v záujme národnej bezpečnosti odôvodnené (172).

(131)

Každá osoba, ktorej sa vydanie osvedčenia priamo týka, sa môže proti osvedčeniu (173) odvolať na vyšší tribunál (Upper Tribunal) (174) alebo, ak sa v osvedčení identifikujú údaje prostredníctvom všeobecného opisu, napadnúť uplatňovanie osvedčenia na konkrétne údaje (175). Tribunál preskúma rozhodnutie o vydaní osvedčenia a rozhodne, či existovali opodstatnené dôvody na vydanie tohto osvedčenia (176). Môže zohľadniť širokú škálu otázok vrátane nevyhnutnosti, primeranosti a zákonnosti pri zvažovaní vplyvu na práva dotknutých osôb a vyvažovaní potreby zabezpečiť národnú bezpečnosť. V dôsledku toho môže tribunál rozhodnúť, že osvedčenie sa nevzťahuje na konkrétne osobné údaje, ktoré sú predmetom odvolania (177).

(132)

Iný súbor možných obmedzení sa týka obmedzení, ktoré sa podľa prílohy 11 k zákonu o ochrane údajov z roku 2018 uplatňujú na určité ustanovenia časti 4 zákona o ochrane údajov z roku 2018 (178) s cieľom chrániť iné dôležité ciele všeobecného verejného záujmu alebo chránené záujmy, ako napríklad parlamentné výsady, dôvernosť komunikácie medzi advokátom a jeho klientom, vedenie súdnych konaní alebo bojovú účinnosť ozbrojených síl (179). Uplatňovanie týchto ustanovení je buď oslobodené pre určité kategórie informácií („výnimky na základe kategórie“), alebo je oslobodené v rozsahu, v akom by uplatňovanie týchto ustanovení mohlo ohroziť chránený záujem („výnimky na základe ujmy“) (180). Výnimky na základe ujmy sa môžu uplatniť len vtedy, ak by uplatňovanie uvedených ustanovení o ochrane údajov mohlo byť na ujmu príslušnému osobitnému záujmu. Použitie výnimky musí byť preto vždy odôvodnené odkazom na príslušnú ujmu, ktorá by mohla nastať v konkrétnom prípade. Výnimky na základe kategórie možno uplatniť len v súvislosti so špecifickou, úzko vymedzenou kategóriou informácií, pre ktorú sa výnimka udeľuje. Z hľadiska účelu a účinku sú podobné niekoľkým výnimkám zo všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (podľa prílohy 2 k zákonu o ochrane údajov z roku 2018), ktoré zase odrážajú výnimky stanovené v článku 23 všeobecného nariadenia o ochrane údajov.

(133)

Z uvedeného vyplýva, že obmedzenia a podmienky sú zavedené podľa platných právnych predpisov Spojeného kráľovstva, a to aj v zmysle ich výkladu súdmi a Komisie pre informácie, aby sa zabezpečilo, že tieto obmedzenia a výnimky zostanú v medziach toho, čo je nevyhnutné a primerané na ochranu národnej bezpečnosti.

(134)

Právne predpisy Spojeného kráľovstva ukladajú niekoľko obmedzení prístupu k osobným údajom a ich používania na účely presadzovania trestného práva a v tejto oblasti poskytujú mechanizmy dohľadu a nápravy, ktoré sú v súlade s požiadavkami uvedenými v odôvodneniach 113 až 115 tohto rozhodnutia. Podmienky, za ktorých sa takýto prístup môže uskutočniť, a záruky, ktoré sa vzťahujú na uplatnenie týchto právomocí, sa podrobne posudzujú v nasledujúcich oddieloch.

(135)

Podľa zásady zákonnosti zaručenej podľa § 35 zákona o ochrane údajov z roku 2018 je spracúvanie osobných údajov na ktorýkoľvek z účelov presadzovania práva zákonné len vtedy, ak je založené na zákone a dotknutá osoba vyjadrila súhlas so spracúvaním na tento účel (181) alebo ak je spracúvanie nevyhnutné na splnenie úlohy, ktorú na tento účel vykonáva príslušný orgán.

(136)

V právnom rámci Spojeného kráľovstva je získavanie osobných údajov od podnikateľských subjektov vrátane tých, ktoré by spracúvali údaje prenášané z EÚ podľa tohto rozhodnutia o primeranosti, prípustné na účely presadzovania trestného práva, a to na základe príkazov na domovú prehliadku (182) a príkazov na predloženie dôkazov (183).

(137)

Príkazy na domovú prehliadku vydáva súd obvykle na žiadosť vyšetrovateľa. Umožňujú vyšetrovateľovi vstup do priestorov s cieľom prehľadať ich v snahe nájsť materiály alebo osoby, ktoré sú relevantné pre jeho vyšetrovanie, a zadržať všetko, na čo sa vzťahuje povolenie prehliadky vrátane akýchkoľvek relevantných dokumentov alebo materiálov obsahujúcich osobné údaje (184). Podľa príkazu na predloženie dôkazov, ktorý takisto musí vydať súd, musí osoba, ktorá je v ňom uvedená, predložiť materiál, ktorý vlastní alebo má pod kontrolou, alebo poskytnúť k nemu prístup. Žiadateľ musí súdu zdôvodniť, prečo je príkaz nevyhnutný, ako aj dôvod, prečo je to vo verejnom záujme. Existuje viacero zákonom stanovených právomocí, na základe ktorých je možné vydávať príkazy na domovú prehliadku a príkazy na predloženie dôkazov. Každé ustanovenie zahŕňa svoj vlastný súbor zákonných podmienok, ktoré musia byť splnené na to, aby bol príkaz na domovú prehliadku (185) alebo príkaz na predloženie dôkazov (186) vydaný.

(138)

Príkazy na predloženie dôkazov a príkazy na domovú prehliadku možno napadnúť prostredníctvom súdneho preskúmania (187). Pokiaľ ide o záruky, všetky orgány príslušné na presadzovanie trestného práva, ktoré patria do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018, môžu získať prístup k osobným údajom – čo je forma spracúvania – len v súlade so zásadami a s požiadavkami stanovenými v zákone o ochrane údajov z roku 2018 (pozri odôvodnenia 122 a 124). Žiadosť podaná ktorýmkoľvek orgánom presadzovania práva by preto mala byť v súlade so zásadou, podľa ktorej musia byť účely spracúvania konkrétne určené, výslovne uvedené a legitímne (188) a osobné údaje spracúvané príslušným orgánom musia byť na tento účel relevantné a nie nadmerné (189).

(139)

Na účely predchádzania len závažným trestným činom alebo ich odhaľovania (190) môžu niektoré orgány presadzovania práva, napríklad Národná kriminálna agentúra alebo policajný prezident (191), využiť cielené vyšetrovacie právomoci podľa zákona o vyšetrovacích právomociach z roku 2016. V tomto prípade sa záruky stanovené v zákone o vyšetrovacích právomociach z roku 2016 uplatnia popri zárukách stanovených v časti 3 zákona o ochrane údajov z roku 2018. Konkrétne vyšetrovacie právomoci, na ktoré sa uvedené orgány presadzovania práva môžu spoľahnúť, sú: cielené zachytávanie (časť 2 zákona o vyšetrovacích právomociach z roku 2016), získavanie údajov o komunikácii (časť 3 zákona o vyšetrovacích právomociach z roku 2016), uchovávanie údajov o komunikácii (časť 4 zákona o vyšetrovacích právomociach z roku 2016) a cielené zasahovanie do zariadení (časť 5 zákona o vyšetrovacích právomociach z roku 2016). Zachytávanie zahŕňa získavanie obsahu komunikácie (192), zatiaľ čo získavanie a uchovávanie údajov o komunikácii nie je zamerané na získanie obsahu komunikácie, ale na informácie o tom, „kto“, „kedy“, „kde“ a „ako“ sa na komunikácii zúčastnil. Tieto informácie zahŕňajú napríklad čas a trvanie komunikácie, telefónne číslo alebo e-mailovú adresu odosielateľa a príjemcu komunikácie a niekedy polohu zariadení, z ktorých sa komunikácia uskutočnila, predplatiteľa telefónnej služby alebo účet s rozpísanými položkami (193). Zasahovanie do zariadení predstavuje súbor postupov používaných na získanie rôznych údajov zo zariadení, medzi ktoré patria počítače, tablety a smartfóny, ako aj káble, elektrické rozvody a pamäťové zariadenia (194).

(140)

Právomoci v oblasti cieleného zachytávania sa môžu použiť aj vtedy, keď je to „nevyhnutné na účely vykonania ustanovení nástroja vzájomnej pomoci EÚ alebo medzinárodnej dohody o vzájomnej pomoci“ (tzv. príkaz na vzájomnú pomoc (195)). Príkazy na vzájomnú pomoc sú k dispozícii len v súvislosti so zachytávaním, nie so získavaním údajov o komunikácii ani so zasahovaním do zariadení. Tieto cielené právomoci sú upravené aj zákonom o vyšetrovacích právomociach z roku 2016 (196), ktorým sa spolu so zákonom o regulácii vyšetrovacích právomocí z roku 2000 (Regulation of Investigatory Powers Act) pre Anglicko, Wales a Severné Írsko a zákonom (Škótska) o regulácii vyšetrovacích právomocí z roku 2000 pre Škótsko poskytuje právny základ a stanovujú uplatniteľné obmedzenia a záruky pre využívanie takýchto právomocí. Zákonom o vyšetrovacích právomociach z roku 2016 sa stanovuje režim využívania hromadných vyšetrovacích právomocí, hoci tieto právomoci nie sú k dispozícii orgánom presadzovania práva (využívať ich môžu len spravodajské služby) (197).

(141)

Orgány, aby mohli vykonávať tieto právomoci, musia získať príkaz (198) vydaný príslušným orgánom (199) a schválený nezávislým Komisárom pre justíciu (200) (tzv. postup dvojitého zabezpečenia). Získanie takéhoto príkazu podlieha overeniu kritéria nevyhnutnosti a proporcionality (201). Keďže tieto cielené vyšetrovacie právomoci, ktoré stanovuje zákon o vyšetrovacích právomociach z roku 2016, sú rovnaké ako tie, ktoré majú k dispozícii národné bezpečnostné služby, podmienky, obmedzenia a záruky uplatniteľné na takéto právomoci sú podrobnejšie rozobraté v oddiele o prístupe k osobným údajom a ich používaní zo strany orgánov verejnej moci Spojeného kráľovstva na účely národnej bezpečnosti (pozri odôvodnenia 177 a ďalšie).

(142)

Poskytovanie údajov orgánom presadzovania práva inému orgánu na iné účely ako tie, na ktoré boli pôvodne získané (tzv. následné poskytnutie) podlieha určitým podmienkam.

(143)

Podobne ako v článku 4 ods. 2 smernice (EÚ) 2016/680 sa aj § 36 ods. 3 zákona o ochrane údajov z roku 2018 umožňuje, aby sa osobné údaje získané príslušným orgánom na účely presadzovania práva mohli ďalej spracúvať (či už pôvodným prevádzkovateľom alebo iným prevádzkovateľom) na akýkoľvek iný účel presadzovania práva za predpokladu, že prevádzkovateľ je zo zákona oprávnený spracúvať údaje na tento iný účel a predmetné spracovanie je daný účel nevyhnutné a primerané (202). V takom prípade sa na spracúvanie vykonávané prijímajúcim orgánom uplatnia všetky záruky stanovené v časti 3 zákona o ochrane údajov z roku 2018 uvedené v odôvodneniach 122 a 124.

(144)

V právnom poriadku Spojeného kráľovstva výslovne umožňujú takéto následné poskytovanie údajov rôzne právne predpisy. Predovšetkým v i) zákone o digitálnom hospodárstve z roku 2017 (Digital Economy Act) sa umožňuje vzájomné poskytovanie údajov medzi orgánmi verejnej moci na viaceré účely, napríklad v prípade akéhokoľvek podvodu voči verejnému sektoru, ktorý by zahŕňal ujmu alebo hrozbu ujmy pre orgány verejnej moci (203), resp. v prípade dlhu voči orgánu verejnej moci alebo korune (204); v ii) zákone o trestnej činnosti a súdoch z roku 2013 sa umožňuje poskytovanie informácií Národnej kriminálnej agentúre (205) na účely boja proti závažnej a organizovanej trestnej činnosti, jej vyšetrovania a stíhania; v iii) zákone o závažnej trestnej činnosti z roku 2007 sa umožňuje orgánom verejnej moci sprístupňovať informácie organizáciám na boj proti podvodom na účely predchádzania podvodom (206).

(145)

V týchto právnych predpisoch sa výslovne stanovuje, že poskytnutie informácií by sa malo uskutočniť v súlade so zásadami stanovenými v zákone o ochrane údajov z roku 2018. Okrem toho policajná akadémia College of Policing vydala autorizovanú profesijnú prax poskytovania informácií (207) s cieľom pomôcť polícii pri plnení jej povinností v oblasti ochrany údajov podľa všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, zákona o ochrane osobných údajov a zákona o ľudských právach Spojeného kráľovstva z roku 1998. Súlad poskytnutia údajov s uplatniteľným právnym rámcom na ochranu údajov samozrejme podlieha súdnemu preskúmaniu (208).

(146)

Okrem toho, podobne ako v článku 9 smernice (EÚ) 2016/680, sa v zákone o ochrane údajov z roku 2018 stanovuje, že osobné údaje získané na akýkoľvek účel presadzovania práva sa môžu spracúvať na účel, ktorý nie je presadzovaním práva, ak je spracúvanie povolené zákonom (209).

(147)

Tento typ poskytovania zahŕňa dva scenáre: 1. ak orgán presadzovania trestného práva poskytuje údaje orgánu na presadzovanie iného práva, ako je trestné právo, ktorý nie je spravodajskou službou (napr. finančný alebo daňový orgán, orgán na ochranu hospodárskej súťaže, úrad starostlivosti o mládež); 2. ak orgán presadzovania trestného práva poskytuje údaje spravodajskej službe. V prvom scenári bude spracúvanie osobných údajov patriť do rozsahu pôsobnosti všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ako aj do časti 2 zákona o ochrane údajov z roku 2018. Komisia posúdila záruky stanovené vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov a v časti 2 zákona o ochrane údajov z roku 2018 v odôvodneniach 12 až 111 a dospela k záveru, že Spojené kráľovstvo zabezpečuje primeranú úroveň ochrany osobných údajov prenášaných v rámci rozsahu pôsobnosti nariadenia (EÚ) 2016/679 z Európskej únie do Spojeného kráľovstva.

(148)

V druhom scenári, teda pokiaľ ide o poskytovanie údajov získaných orgánom presadzovania trestného práva spravodajskej službe na účely národnej bezpečnosti, je právnym základom, ktorý umožňuje takéto poskytnutie, § 19 zákona o boji proti terorizmu z roku 2008 (210). Podľa tohto zákona môže každá osoba poskytnúť informácie ktorejkoľvek zo spravodajských služieb na účely plnenia ktorejkoľvek z funkcií tejto služby vrátane „národnej bezpečnosti“.

(149)

Pokiaľ ide o podmienky, za ktorých sa údaje môžu poskytnúť na účely národnej bezpečnosti, zákon o spravodajských službách (211) a zákon o bezpečnostných službách (212) obmedzujú schopnosť spravodajských služieb získavať údaje na to, čo je nevyhnutné na plnenie ich zákonných funkcií. Orgány presadzovania práva, ktoré chcú poskytnúť údaje spravodajským službám, musia okrem funkcií týchto služieb, ktoré sú stanovené v zákone o spravodajských službách a v zákone o bezpečnostných službách, zvážiť niekoľko faktorov/obmedzení (213). V § 20 zákona o boji proti terorizmu z roku 2008 sa jasne uvádza, že akékoľvek poskytnutie údajov podľa § 19 musí byť stále v súlade s právnymi predpismi o ochrane údajov; čo znamená, že sa uplatňujú všetky obmedzenia a požiadavky uvedené v časti 3 zákona o ochrane údajov z roku 2018. Keďže sú príslušné orgány orgánmi verejnej moci v zmysle zákona o ľudských právach z roku 1998, musia okrem toho zabezpečiť, aby konali v súlade s právami dohovoru vrátane článku 8 EDĽP. Týmito obmedzeniami sa zabezpečuje, že každé poskytnutie údajov medzi orgánmi presadzovania práva a spravodajskými službami je v súlade s právnymi predpismi o ochrane údajov a EDĽP.

(150)

Ak príslušný orgán zamýšľa poskytnúť osobné údaje spracúvané podľa časti 3 zákona o ochrane údajov z roku 2018 orgánom presadzovania práva tretej krajiny, uplatňujú sa osobitné požiadavky (214). Takéto prenosy sa môžu uskutočniť konkrétne vtedy, keď sú založené na právnych predpisoch o primeranosti prijatých ministrom, alebo ak takéto právne predpisy neexistujú, je potrebné zabezpečiť primerané záruky. V § 75 zákona o ochrane údajov z roku 2018 sa stanovuje, že primerané záruky sú zavedené vtedy, ak ich tvorí právny nástroj, ktorý zamýšľaného príjemcu zaväzuje, alebo ak prevádzkovateľ po vyhodnotení všetkých okolností týkajúcich sa prenosov tohto druhu osobných údajov do tretej krajiny alebo medzinárodnej organizácii dospeje k záveru, že na ochranu údajov existujú primerané záruky.

(151)

Ak sa prenos nezakladá na právnom predpise o primeranosti alebo primeraných zárukách, môže sa uskutočniť len za určitých osobitných okolností, ktoré sa označujú ako „osobitné okolnosti“ (215). Ide o prípad, keď je prenos nevyhnutný: a) na ochranu životne dôležitých záujmov dotknutej osoby či inej osoby; b) na zabezpečenie oprávnených záujmov dotknutej osoby; c) na zabránenie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti tretej krajiny; d) v jednotlivých prípadoch na akékoľvek účely presadzovania práva, alebo e) v jednotlivých prípadoch na právne účely (napríklad v súvislosti so súdnym konaním alebo s cieľom získať právne poradenstvo). Možno poznamenať, že písmená d) a e) sa neuplatňujú, ak práva a slobody dotknutej osoby prevažujú nad verejným záujmom na prenose. Tento súbor okolností zodpovedá špecifickým situáciám a podmienkam kvalifikovaným ako „výnimky“ podľa článku 38 smernice (EÚ) 2016/680.

(152)

Okrem toho, ak sa materiál získaný orgánmi presadzovania práva na základe príkazu, ktorým sa povoľuje použitie zachytávania alebo zasahovanie do zariadení, odovzdá tretej krajine, zákonom o vyšetrovacích právomociach z roku 2016 sa ukladajú dodatočné záruky. Takéto poskytnutie údajov, vymedzené ako „poskytovanie údajov do zahraničia“, je povolené konkrétne len vtedy, ak vydávajúci orgán usúdi, že sa zaviedli osobitné primerané opatrenia, ktorými sa obmedzuje počet osôb, ktorým sa údaje poskytujú, rozsah, v akom sa ktorýkoľvek materiál poskytuje alebo sprístupňuje, ako aj rozsah, v akom sa ktorýkoľvek materiál kopíruje, a počet zhotovených kópií. Okrem toho vydávajúci orgán môže usúdiť, že sú nevyhnutné primerané opatrenia na to, aby sa zabezpečilo, že sa každá zhotovená kópia ktorejkoľvek časti tohto materiálu zničí v okamihu, keď už nebudú existovať relevantné dôvody na jej uchovávanie (ak nebola zničená skôr) (216).

(153)

A napokon v budúcnosti by sa mohli uskutočňovať osobitné formy následných prenosov zo Spojeného kráľovstva do Spojených štátov na základe „Dohody medzi vládou Spojeného kráľovstva Veľkej Británie a Severného Írska a vládou Spojených štátov amerických o prístupe k elektronickým údajom na účely boja proti závažnej trestnej činnosti“ (ďalej len „dohoda medzi Spojeným kráľovstvom a USA“) (217) uzavretej v októbri 2019 (218). Hoci dohoda medzi Spojeným kráľovstvom a USA ešte nenadobudla platnosť v čase prijatia tohto rozhodnutia, jej predpokladané nadobudnutie platnosti môže mať vplyv na následné prenosy údajov, ktoré sa najprv preniesli do Spojeného kráľovstva na základe tohto rozhodnutia, do USA. Konkrétnejšie by sa na údaje prenášané z EÚ poskytovateľom služieb v Spojenom kráľovstve podľa tejto dohody medzi Spojeným kráľovstvom a USA po nadobudnutí jej platnosti mohli vzťahovať príkazy na predloženie elektronických dôkazov vydávané príslušnými orgánmi presadzovania práva USA a uplatniteľné v Spojenom kráľovstve. Z týchto dôvodov je posúdenie podmienok a záruk, na základe ktorých sa takýto príkaz môže vydávať a vykonávať, pre toto rozhodnutie relevantné.

(154)

V tejto súvislosti treba poznamenať, že po prvé, pokiaľ ide o vecnú pôsobnosť dohody medzi Spojeným kráľovstvom a USA, vzťahuje sa len na trestné činy, za ktoré možno uložiť trest odňatia slobody s hornou hranicou trestnej sadzby stanovenou najmenej na tri roky (vymedzené ako „závažný trestný čin“) (219) vrátane „teroristickej činnosti“. Po druhé údaje spracúvané v inej jurisdikcii možno získať podľa tejto dohody medzi Spojeným kráľovstvom a USA len na základe „príkazu [...], ktorý podlieha preskúmaniu alebo dohľadu podľa vnútroštátneho právneho poriadku vydávajúcej strany súdom, sudcom alebo iným nezávislým orgánom pred začiatkom konania alebo v konaní týkajúcom sa výkonu príkazu“ (220). Po tretie každý príkaz musí „vychádzať z požiadaviek primeraného odôvodnenia na základe konkrétnych a dôveryhodných skutočností, osobitosti, zákonnosti a závažnosti, pokiaľ ide o vyšetrovaný prípad“ (221), a „zameriavať na konkrétne účty, ako aj identifikovať konkrétnu osobu, účet, adresu, osobné zariadenie alebo akýkoľvek iný konkrétny identifikátor“ (222). Po štvrté na údaje získané na základe tejto dohody sa vzťahuje rovnocenná ochrana ako osobitné záruky stanovené takzvanou zastrešujúcou dohodou medzi EÚ a USA (223) – komplexnou dohodou o ochrane údajov uzavretou v decembri 2016 medzi EÚ a USA, v ktorej sa stanovujú záruky a práva uplatniteľné na prenosy údajov v oblasti spolupráce týkajúcej sa presadzovania práva – ktoré sú všetky začlenené mutatis mutandis do tejto dohody medzi Spojeným kráľovstvom a USA prostredníctvom odkazov, aby sa zohľadnila najmä osobitná povaha prenosov (t. j. ide skôr prenosy od súkromných subjektov orgánom presadzovania práva než o prenosy medzi orgánmi presadzovania práva) (224). V dohode medzi Spojeným kráľovstvom a USA sa konkrétne stanovuje, že ochrana, ktorá je rovnocenná ako ochrana stanovená v rámci zastrešujúcej dohody medzi EÚ a USA, sa bude vzťahovať „na všetky osobné údaje predkladané pri vykonávaní príkazov, na ktoré sa vzťahuje dohoda medzi Spojeným kráľovstvom a USA, s cieľom zabezpečiť rovnocennú ochranu“ (225).

(155)

Na údaje prenášané orgánom USA na základe dohody medzi Spojeným kráľovstvom a USA by sa preto mala vzťahovať ochrana podľa nástroja práva EÚ, pričom by sa vykonali potrebné úpravy, ktoré by odzrkadlili povahu príslušných prenosov. Orgány Spojeného kráľovstva ďalej potvrdili, že ochrana zastrešujúcej dohody sa bude vzťahovať na všetky osobné údaje predkladané alebo uchovávané na základe dohody medzi Spojeným kráľovstvom a USA bez ohľadu na povahu alebo druh orgánu, ktorý podal žiadosť (napr. federálne orgány aj štátne orgány presadzovania práva v USA), takže rovnocenná ochrana sa musí zabezpečiť vo všetkých prípadoch. Orgány Spojeného kráľovstva však ďalej upresnili, že podrobnosti o konkrétnom vykonávaní záruk ochrany údajov sú stále predmetom diskusií medzi Spojeným kráľovstvom a USA. V súvislosti s rokovaniami s útvarmi Európskej komisie o tomto rozhodnutí orgány Spojeného kráľovstva potvrdili, že nechajú dohodu medzi Spojeným kráľovstvom a USA vstúpiť do platnosti až vtedy, keď sa presvedčia, že jej vykonávanie je v súlade s právnymi povinnosťami stanovenými v tejto dohode vrátane jednoznačnosti, pokiaľ ide o súlad s normami ochrany údajov pre všetky údaje požadované na základe tejto dohody medzi Spojeným kráľovstvom a USA. Keďže prípadné nadobudnutie platnosti dohody medzi Spojeným kráľovstvom a USA môže mať vplyv na úroveň ochrany posudzovanú v tomto rozhodnutí, akékoľvek informácie alebo budúce upresnenie spôsobu, akým budú USA plniť svoje záväzky vyplývajúce z dohody medzi Spojeným kráľovstvom a USA, by malo Spojené kráľovstvo oznámiť Európskej komisii hneď, ako bude k dispozícii, a v každom prípade pred nadobudnutím platnosti dohody medzi Spojeným kráľovstvom a USA, aby sa zabezpečilo riadne monitorovanie tohto rozhodnutia v súlade s článkom 45 ods. 4 nariadenia (EÚ) 2016/679. Osobitná pozornosť sa bude venovať uplatňovaniu ochrany zastrešujúcej dohody na konkrétny druh prevodov, na ktoré sa vzťahuje dohoda medzi Spojeným kráľovstvom a USA, a jej úprave.

(156)

Všeobecnejšie povedané, akákoľvek relevantná zmena, pokiaľ ide o nadobudnutie platnosti a uplatňovanie dohody medzi Spojeným kráľovstvom a USA, sa náležite zohľadní v spojitosti s nepretržitým monitorovaním tohto rozhodnutia, a to aj pokiaľ ide o príslušné dôsledky, ktoré sa vyvodia v prípade akéhokoľvek náznaku, že už nie je zabezpečená v zásade rovnocenná úroveň ochrany.

(157)

V závislosti od právomocí, ktoré príslušné orgány využívajú pri spracúvaní osobných údajov na účely presadzovania práva (či už podľa zákona o ochrane údajov z roku 2018, alebo zákona o vyšetrovacích právomociach z roku 2016), zabezpečujú dohľad nad využívaním týchto právomocí rôzne orgány. Komisár pre informácie konkrétne dozerá na spracúvanie osobných údajov, keď spracúvanie patrí do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018 (226). Nezávislý a súdny dohľad nad používaním vyšetrovacích právomocí podľa zákona o vyšetrovacích právomociach z roku 2016 zabezpečuje Úrad Komisára pre vyšetrovacie právomoci (227) (táto časť je predmetom odôvodnení 250 až 255). Okrem toho ďalší dohľad zabezpečuje parlament a ďalšie orgány.

(158)

Všeobecné funkcie Komisára pre informácie – ktorého nezávislosť a organizácia sú vysvetlené v odôvodnení 87 – v súvislosti so spracúvaním osobných údajov, ktoré patrí do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018, sú stanovené v prílohe 13 k zákonu o ochrane údajov z roku 2018. Hlavnou úlohou Komisára pre informácie je monitorovať a presadzovať časť 3 zákona o ochrane údajov z roku 2018, ako aj zvyšovať povedomie verejnosti a poskytovať poradenstvo parlamentu, vláde a iným inštitúciám a orgánom. V záujme zachovania nezávislosti justície nie je Komisár pre informácie oprávnený vykonávať svoje funkcie v súvislosti so spracúvaním osobných údajov jednotlivcom konajúcim v rámci súdnej právomoci, resp. súdom či tribunálom konajúcim v rámci svojej súdnej právomoci. Za týchto okolností by funkcie dohľadu vykonávali iné orgány, ako sa uvádza v odôvodneniach 99 až 103.

(159)

Komisár pre informácie má všeobecné vyšetrovacie, nápravné, povoľovacie a poradné právomoci v súvislosti so spracúvaním osobných údajov, na ktoré sa vzťahuje časť 3. Komisár pre informácie má predovšetkým právomoc oznamovať prevádzkovateľovi alebo sprostredkovateľovi údajné porušenie časti 3 zákona o ochrane údajov z roku 2018, vydávať varovania alebo napomenutia prevádzkovateľovi alebo sprostredkovateľovi, ktorý porušil ustanovenia časti 3 zákona, ako aj z vlastnej iniciatívy alebo na požiadanie vydávať stanoviská pre parlament, vládu alebo iné inštitúcie a orgány, ako aj pre verejnosť k akejkoľvek otázke týkajúcej sa ochrany osobných údajov (228).

(160)

Okrem toho má Komisár pre informácie právomoc vydávať informačné oznámenia (229), oznámenia o posúdení (230) a presadzovacie oznámenia (231), ako aj právo na prístup k dokumentom prevádzkovateľov a sprostredkovateľov, na vstup do ich priestorov (232) a právo ukladať správne pokuty formou oznámenia o uložení sankcie. (233) Okolnosti, za ktorých Komisár pre informácie vydáva informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie a oznámenie o uložení sankcie (234) sa stanovujú v regulačnej politike Komisára pre informácie [pozri aj odôvodnenie 93 a odôvodnenia týkajúce sa rozhodnutia o primeranosti 101 – 102 smernice (EÚ) 2016/680].

(161)

Podľa posledných výročných správ (2018 – 2019 (235), 2019 – 2020 (236)) Komisár pre informácie uskutočnil niekoľko vyšetrovaní a prijal opatrenia na presadzovanie práva v súvislosti so spracúvaním údajov orgánmi presadzovania práva. Komisár napríklad viedol vyšetrovanie a v októbri 2019 uverejnil stanovisko týkajúce sa používania technológie rozpoznávania tváre na verejných miestach na účely presadzovania práva. Vyšetrovanie sa zameriavalo najmä na využívanie schopností rozpoznávania tváre v reálnom čase zo strany polície Južného Walesu a Metropolitnej policajnej služby (ďalej len „MPS“). Komisár pre informácie ďalej prešetroval matricu MPS na odhaľovanie gangov (237) a zistil celý rad závažných porušení právnych predpisov o ochrane údajov, ktoré by mohli narušiť dôveru verejnosti v matricu a v spôsob, akým sa údaje používali. V novembri 2018 Komisár pre informácie vydal presadzovacie oznámenie a následne MPS podnikla kroky potrebné na zvýšenie bezpečnosti a zodpovednosti a na zabezpečenie primeraného využívania údajov. Ďalším príkladom presadzovacích opatrení v tejto oblasti je pokuta vo výške 325 000 GBP, ktorú Komisár pre informácie udelil v máji 2018 prokuratúre (Crown Prosecution Service) za stratu nezašifrovaných nosičov DVD obsahujúcich záznamy policajných výsluchov. Komisár pre informácie ďalej prešetroval širšie témy, napríklad v prvej polovici roka 2020 využívanie extrakcie mobilných telefónov na policajné účely a spracúvanie údajov o obetiach zo strany polície. Okrem toho Komisár pre informácie v súčasnosti vyšetruje prípad, ktorý sa týka prístupu orgánov presadzovania práva k údajom, ktorými disponuje subjekt v súkromnom sektore Clearview AI Inc (238).

(162)

Okrem právomocí Komisára pre informácie v oblasti presadzovania práva uvedených v odôvodneniach 160 a 161 možno uviesť, že určité porušenia právnych predpisov o ochrane údajov predstavujú trestné činy, a preto môžu podliehať trestnoprávnym sankciám (§ 196 zákona o ochrane údajov z roku 2018). Ide napríklad o získanie, poskytnutie alebo uchovávanie osobných údajov bez súhlasu prevádzkovateľa a poskytnutie prístupu k osobným údajom inej osobe bez súhlasu prevádzkovateľa (239); opätovnú identifikáciu anonymizovaných osobných údajov bez súhlasu prevádzkovateľa zodpovedného za anonymizáciu týchto osobných údajov (240); úmyselné bránenie Komisárovi pre informácie pri výkone jeho právomocí v súvislosti s kontrolou osobných údajov v súlade s medzinárodnými záväzkami (241), nepravdivé vyhlásenia v reakcii na informačné oznámenie alebo zničenie informácií v súvislosti s informačným oznámením a oznámením o posúdení (242).

(163)

Okrem Komisára pre informácie existuje v oblasti presadzovania trestného práva niekoľko orgánov dohľadu so špecifickými mandátmi súvisiacimi s otázkami ochrany údajov. Patrí medzi ne napríklad Komisár pre uchovávanie a používanie biometrického materiálu (ďalej len „Komisár pre biometriu“) (243) a Komisár pre sledovanie kamerovým systémom (244).

(164)

Užší výbor pre vnútorné záležitosti zabezpečuje parlamentný dohľad v oblasti presadzovania práva. Tento výbor sa skladá z 11 poslancov parlamentu vybraných z troch najväčších politických strán. Úlohou výboru je kontrolovať výdavky, správu a postupy ministerstva vnútra a súvisiacich verejných orgánov vrátane polície a Národnej kriminálnej agentúry, ktorej činnosť môže výbor konkrétne kontrolovať (245).

(165)

Výbor si môže v rámci svojej právomoci zvoliť vlastný predmet vyšetrovania vrátane konkrétnych prípadov, pokiaľ vec práve nie je predmetom súdneho konania. Výbor takisto môže požiadať širokú škálu relevantných skupín a jednotlivcov o písomné a ústne dôkazy. Vypracúva správy o svojich zisteniach a vydáva odporúčania vláde (246). Od vlády sa očakáva, že zareaguje na každé odporúčanie v správe, a musí tak urobiť do 60 dní (247).

(166)

V oblasti sledovania výbor takisto vypracoval správu týkajúcu sa zákona o regulácii vyšetrovacích právomocí z roku 2000 (248), z ktorej vyplynulo, že zákon o regulácii vyšetrovacích právomocí z roku 2000 neplní svoj účel. Táto správa sa zohľadňovala pri nahradení veľkých častí zákona o regulácii vyšetrovacích právomocí z roku 2000 zákonom o vyšetrovacích právomociach z roku 2016. Úplný zoznam vyšetrovaní sa nachádza na webovom sídle výboru (249).

(167)

V Škótsku vykonáva úlohy užšieho výboru pre vnútorné záležitosti justičný podvýbor pre policajnú činnosť (Justice Subcommittee on Policing) a v Severnom Írsku výbor pre justíciu (Committee for Justice) (250).

(168)

Pokiaľ ide o spracúvanie údajov orgánmi presadzovania práva, mechanizmy nápravy sa stanovujú v časti 3 zákona o ochrane údajov z roku 2018 a v zákone o vyšetrovacích právomociach z roku 2016, ako aj v zákone o ľudských právach z roku 1998.

(169)

Súbor mechanizmov poskytuje dotknutým osobám účinné správne a súdne prostriedky nápravy, ktoré im umožňujú najmä zaistiť svoje práva vrátane práva na prístup k svojim osobným údajom alebo práva dosiahnuť opravu alebo vymazanie týchto údajov.

(170)

Po prvé podľa § 165 zákona o ochrane údajov z roku 2018 má dotknutá osoba právo podať sťažnosť Komisárovi pre informácie, ak sa dotknutá osoba domnieva, že v súvislosti s osobnými údajmi, ktoré sa jej týkajú, došlo k porušeniu časti 3 zákona o ochrane údajov z roku 2018 (251). Komisár pre informácie má právomoc posúdiť dodržiavanie zákona o ochrane údajov z roku 2018 zo strany prevádzkovateľa a sprostredkovateľa a požadovať od nich, aby v prípade nedodržiavania tohto zákona prijali potrebné kroky, a ukladať pokuty.

(171)

Po druhé v zákone o ochrane údajov z roku 2018 sa stanovuje právo na prostriedok nápravy voči Komisárovi pre informácie, ak sťažnosť podanú dotknutou osobou nerieši primerane. Konkrétne sa uvádza, že ak Komisár pre informácie „nepokročil“ (252) vo veci sťažnosti podanej dotknutou osobou, sťažovateľ má prístup k súdnemu prostriedku nápravy, pretože sa môže obrátiť na tribunál prvého stupňa (253) s cieľom nariadiť Komisárovi pre informácie, aby v reakcii na sťažnosť prijal vhodné opatrenia, alebo aby informoval sťažovateľa o pokroku v súvislosti so sťažnosťou (254). Okrem toho sa každá osoba, ktorá dostane od Komisára pre informácie akékoľvek z uvedených oznámení (informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie alebo oznámenie o uložení sankcie), môže odvolať na tribunál prvého stupňa. Ak sa tribunál domnieva, že rozhodnutie Komisára pre informácie nie je v súlade so zákonom alebo že Komisár pre informácie mal uplatniť svoju voľnú úvahu inak, tribunál musí odvolaniu vyhovieť, resp. musí vydať iné oznámenie alebo prijať iné rozhodnutie, ktoré mohol vydať alebo prijať Komisár pre informácie (255).

(172)

Po tretie osoby môžu vymáhať súdne prostriedky nápravy voči prevádzkovateľom a sprostredkovateľom priamo pred súdom. Konkrétne podľa § 167 zákona o ochrane údajov z roku 2018 môže dotknutá osoba podať žalobu na súd pre porušenie jej práv vyplývajúcich z právnych predpisov o ochrane údajov a súd môže formou príkazu prevádzkovateľa požiadať, aby prijal (alebo neprijal) akékoľvek kroky súvisiace so spracúvaním s cieľom dosiahnuť dodržiavanie zákona o ochrane údajov z roku 2018. Okrem toho podľa § 169 zákona o ochrane údajov z roku 2018 akákoľvek osoba, ktorá utrpela škodu v dôsledku porušenia niektorej požiadavky právnych predpisov o ochrane údajov (vrátane časti 3 zákona o ochrane údajov z roku 2018) iných ako všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, má nárok na náhradu tejto škody od prevádzkovateľa alebo sprostredkovateľa s výnimkou prípadu, že prevádzkovateľ alebo sprostredkovateľ dokáže, že prevádzkovateľ alebo sprostredkovateľ nie je žiadnym spôsobom zodpovedný za udalosť, ktorá spôsobila škodu. Škoda zahŕňa tak finančnú ujmu, ako aj škodu, ktorá nezahŕňa finančnú ujmu, ako napríklad nemajetkovú ujmu.

(173)

Napokon akákoľvek osoba, ktorá sa domnieva, že došlo k poškodeniu jej práv vrátane práva na súkromie a ochranu údajov zo strany orgánov verejnej moci, môže dosiahnuť nápravu pred súdmi Spojeného kráľovstva na základe zákona o ľudských právach z roku 1998 (256) a po vyčerpaní vnútroštátnych prostriedkov nápravy môže osoba, mimovládna organizácia a skupina osôb vymôcť nápravu pred Európskym súdom pre ľudské práva za porušenia práv zaručených v Európskom dohovore o ľudských právach (257) (pozri odôvodnenie 111).

(174)

Osoby môžu dosiahnuť nápravu za porušenie zákona o vyšetrovacích právomociach z roku 2016 pred tribunálom pre kontrolu vyšetrovacích právomocí (Investigatory Powers Tribunal). Možnosti získania nápravy dostupné podľa zákona o vyšetrovacích právomociach z roku 2016 sú opísané v odôvodneniach 263 až 269.

(175)

V rámci právneho poriadku Spojeného kráľovstva sú spravodajskými službami s právomocou získavať elektronické údaje, ktoré majú v držbe prevádzkovatelia alebo sprostredkovatelia, z dôvodu národnej bezpečnosti a v situáciách súvisiacich so scenárom primeranosti Bezpečnostná služba (MI5) (258), Tajná spravodajská služba (SIS) (259) a Vládne komunikačné ústredie (260) (GCHQ) (261).

(176)

V Spojenom kráľovstve sú právomoci spravodajských služieb stanovené v zákone o vyšetrovacích právomociach z roku 2016 a v zákone o regulácii vyšetrovacích právomocí z roku 2000, ktoré spolu so zákonom o ochrane údajov z roku 2018 vymedzujú materiálny a osobný rozsah uplatňovania týchto právomocí, ako aj obmedzenia a záruky na ich používanie. Tieto právomoci, ako aj obmedzenia a záruky, ktoré sa na ne vzťahujú, sa podrobne posudzujú v nasledujúcich častiach.

(177)

Zákonom o vyšetrovacích právomociach z roku 2016 sa ustanovuje právny rámec pre využívanie vyšetrovacích právomocí, t. j. právomoc zachytávať údaje z komunikácie, získavať k nim prístup a vykonávať zasahovanie do zariadení. V zákone o vyšetrovacích právomociach z roku 2016 sa zavádza všeobecný zákaz používania techník, ktoré umožňujú prístup k obsahu komunikácie, prístup k údajom o komunikácii alebo zasahovanie do zariadení bez zákonnej právomoci, a stanovuje sa, že ich používanie je trestným činom (262). Premieta sa to v skutočnosti, že využívanie týchto vyšetrovacích právomocí je zákonné len vtedy, keď sa uskutočňuje na základe príkazu alebo povolenia (263).

(178)

V zákone o vyšetrovacích právomociach z roku 2016 sú stanovené podrobné pravidlá, ktoré riadia rozsah a uplatňovanie každej vyšetrovacej právomoci, ako aj ich osobitné obmedzenia a záruky. Uplatňujú sa odlišné pravidlá v závislosti od druhu vyšetrovacej právomoci (zachytávanie komunikácie, získavanie a uchovávanie údajov o komunikácii a zasahovanie do zariadení) (264), ako aj od toho, či sa právomoc uplatňuje na konkrétny cieľ, alebo hromadne. Podrobnosti o rozsahu, zárukách a obmedzeniach každého opatrenia, ktoré je stanovené v zákone o vyšetrovacích právomociach z roku 2016, sú opísané ďalej v osobitných oddieloch.

(179)

Zákon o vyšetrovacích právomociach z roku 2016 navyše dopĺňajú viaceré zákonné kódexy postupov vydané ministrom, schválené obidvomi snemovňami parlamentu (265) a platné v celej krajine, pričom tieto kódexy poskytujú usmernenia k využívaniu týchto právomocí (266). Zatiaľ čo sa dotknuté osoby môžu spoľahnúť priamo na ustanovenia uvedené v zákone o vyšetrovacích právomociach z roku 2016, v bode 5 prílohy 7 k zákonu o vyšetrovacích právomociach z roku 2016 stanovuje, že kódexy postupov sú prípustné ako dôkaz v občianskych a trestných konaniach a súd, tribunál alebo dozorný orgán môže zohľadniť prípadné nedodržiavanie kódexov pri stanovovaní relevantnej otázky v súdnom konaní (267). Veľká komora Európskeho súdu pre ľudské práva v rámci svojho posúdenia „kvality práva“ predchádzajúcich právnych predpisov Spojeného kráľovstva v oblasti sledovania, zákona o regulácii vyšetrovacích právomocí z roku 2000, výslovne uznala relevantnosť kódexov postupov Spojeného kráľovstva a uznala, že ich ustanovenia by mohli byť zohľadnené pri posudzovaní predvídateľnosti právnych predpisov umožňujúcich sledovanie (268).

(180)

Takisto je potrebné poznamenať, že cielené právomoci (cielené zachytávanie (269), získavanie údajov o komunikácii (270), uchovávanie údajov o komunikácii (271) a cielené zasahovanie do zariadení (272)) sú k dispozícii národným bezpečnostným službám a určitým orgánom presadzovania práva (273), zatiaľ čo len spravodajské služby môžu využívať hromadné právomoci (t. j. hromadné zachytávanie (274), hromadné získavanie údajov o komunikácii (275), hromadné zasahovanie do zariadení (276) a súbory hromadných osobných údajov (277)).

(181)

Pri rozhodovaní o tom, ktorá vyšetrovacia právomoc sa má využiť, musí spravodajská služba dodržiavať „všeobecné povinnosti týkajúce sa súkromia“ uvedené v § 2 ods. 2 písm. a) zákona o vyšetrovacích právomociach z roku 2016, ktoré zahŕňajú overenie kritéria nevyhnutnosti a proporcionality. Presnejšie povedané, podľa tohto ustanovenia musí orgán verejnej moci zamýšľajúci využiť vyšetrovaciu právomoc zvážiť i) či by sa to, čo sa má dosiahnuť príkazom, povolením alebo oznámením, mohlo primerane dosiahnuť inými menej rušivými prostriedkami; ii) či úroveň ochrany, ktorá sa má uplatňovať v súvislosti s akýmkoľvek získavaním údajov na základe príkazu, povolenia alebo oznámenia, je vyššia z dôvodu osobitnej citlivosti týchto údajov; iii) verejný záujem na integrite a bezpečnosti telekomunikačných systémov a poštových služieb a iv) akékoľvek iné aspekty verejného záujmu na ochrane súkromia (278).

(182)

Spôsob, akým by sa mali uplatňovať tieto kritériá, a spôsob posudzovania ich dodržiavania v rámci povolenia na využitie týchto právomocí vydaného ministrom a nezávislými Komisármi pre justíciu sa podrobnejšie uvádzajú v príslušných kódexoch postupov. Využitie ktorejkoľvek z týchto vyšetrovacích právomocí musí byť vždy „primerané tomu, čo sa má dosiahnuť, [čo] so sebou prináša vyváženie závažnosti narušenia súkromia (a iné posúdenia stanovené v § 2 ods. 2) úmerne k nevyhnutnosti tejto činnosti z vyšetrovacieho alebo operačného hľadiska, prípadne hľadiska spôsobilosti“. Znamená to, že „by malo poskytovať realistické vyhliadky na dosiahnutie očakávaného prínosu a nemalo by byť neprimerané ani svojvoľné“ a „[ž]iadne zasahovanie do súkromia by sa nemalo považovať za primerané, ak by sa žiadané informácie mohli primerane získať inými menej rušivými prostriedkami“ (279). Dodržiavanie zásady proporcionality sa konkrétne musí posúdiť vzhľadom na tieto kritériá: „i) rozsah navrhovaného zasahovania do súkromia oproti tomu, čo sa má dosiahnuť; ii) ako a prečo spôsobia metódy, ktoré sa majú použiť, čo najmenšie zasiahnutie vo vzťahu k danej osobe a k iným; iii) či táto činnosť predstavuje náležité uplatnenie zákona a primeraný spôsob dosiahnutia toho, čo sa má dosiahnuť, po zvážení všetkých primeraných alternatív; iv) ktoré iné vhodné metódy sa buď neuplatnili, alebo sa použili a zhodnotili sa ako nedostatočné na splnenie operačných cieľov bez použitia navrhovanej vyšetrovacej právomoci“ (280).

(183)

Ako vysvetľujú orgány Spojeného kráľovstva, v praxi sa tým zabezpečuje, že spravodajská služba najskôr stanoví operatívny cieľ (čím sa vymedzí získavanie, napr. na účely medzinárodného boja proti terorizmu v konkrétnej zemepisnej oblasti) a následne na základe operačného cieľa bude musieť zvážiť, ktorá technická možnosť (napr. cielené alebo hromadné zachytávanie, zasahovanie do zariadení, získavanie údajov o komunikácii) je najprimeranejšia (t. j. najmenej narúšajúca súkromie – pozri § 2 ods. 2 zákona o vyšetrovacích právomociach) tomu, čo sa má dosiahnuť, a preto sa môže povoliť v rámci jedného z dostupných zákonných rámcov.

(184)

Je potrebné poznamenať, že takéto opieranie sa o normy nevyhnutnosti a proporcionality takisto zobral na vedomie a uvítal osobitný spravodajca OSN pre právo na súkromie Joseph Cannataci, ktorý sa v súvislosti so systémom zriadeným zákonom o vyšetrovacích právomociach z roku 2016 vyjadril, že „sa zdá, že postupy zavedené v spravodajských službách, ako aj v orgánoch presadzovania práva si systematicky vyžadujú posúdenie nevyhnutnosti a proporcionality opatrenia alebo operácie v oblasti sledovania pred tým, ako sa odporučí na schválenie, ako aj jeho preskúmanie z rovnakého dôvodu“ (281). Takisto poznamenal, že na tomto stretnutí so zástupcami orgánov presadzovania práva a národných bezpečnostných služieb „nadobudol jednoznačný dojem, že pri akomkoľvek rozhodnutí týkajúcom sa opatrení v oblasti sledovania sa musí v prvom rade zohľadňovať právo na súkromie. Všetci pochopili a uvedomovali si nevyhnutnosť a proporcionalitu ako hlavné zásady, ktoré sa majú zohľadňovať“.

(185)

Osobitné kritériá na vydanie rôznych príkazov, ako aj obmedzenia a záruky zavedené zákonom o vyšetrovacích právomociach z roku 2016 týkajúce sa každej vyšetrovacej právomoci sa podrobne uvádzajú v odôvodneniach 186 až 243.

(186)

Pre cielené zachytávanie existujú tri druhy príkazov: príkaz na cielené zachytávanie (282), príkaz na cielené preskúmanie a príkaz na vzájomnú pomoc (283). Podmienky na získanie takých príkazov, ako aj príslušné záruky sú stanovené v časti 2 kapitole 1 zákona o vyšetrovacích právomociach z roku 2016.

(187)

Príkazom na cielené zachytávanie sa povoľuje zachytávanie komunikácie opísanej v príkaze počas ich prenosu a získavanie ďalších údajov relevantných pre túto komunikáciu (284) vrátane sekundárnych údajov (285). Príkaz na cielené preskúmanie povoľuje osobe uskutočniť výber na preskúmanie zachyteného obsahu získaného na základe príkazu na hromadné zachytávanie (286).

(188)

Akýkoľvek príkaz podľa časti 2 zákona o vyšetrovacích právomociach z roku 2016 môže byť vydaný ministrom (287) a schválený Komisárom pre justíciu (288). Vo všetkých prípadoch je trvanie akéhokoľvek druhu cieleného príkazu obmedzené na šesť mesiacov (289) a na jeho zmenu (290) a obnovenie (291) sa vzťahujú osobitné pravidlá.

(189)

Pred vydaním príkazu musí minister vykonať posúdenie nevyhnutnosti a proporcionality (292). V prípade príkazu na cielené zachytávanie a príkazu na cielené preskúmanie by minister mal konkrétne overiť, či je opatrenie nevyhnutné z jedného z týchto dôvodov: v záujme národnej bezpečnosti; predchádzanie alebo odhaľovanie závažnej trestnej činnosti; v záujme hospodárskeho blahobytu Spojeného kráľovstva (293), pokiaľ tento záujem súvisí aj so záujmami národnej bezpečnosti (294). Na druhej strane možno príkaz na vzájomnú pomoc (pozri odôvodnenie 139) vydať len vtedy, keď sa minister domnieva, že existujú okolnosti zodpovedajúce okolnostiam, v ktorej by vydal príkaz na účel predchádzania alebo odhalenia závažnej trestnej činnosti (295).

(190)

Okrem toho by minister mal posúdiť, či je opatrenie primerané tomu, čo sa má dosiahnuť (296). Posúdenie proporcionality žiadaných opatrení musí zohľadňovať všeobecné povinnosti súvisiace so súkromím uvedené v § 2 ods. 2 zákona o vyšetrovacích právomociach z roku 2016, najmä potrebu posúdiť, či to, čo sa má dosiahnuť príkazom, povolením alebo oznámením, by bolo možné primerane dosiahnuť inými menej rušivými prostriedkami, a či úroveň ochrany, ktorá sa má uplatňovať v súvislosti s akýmkoľvek získavaním údajov na základe príkazu, je vyššia z dôvodu osobitnej citlivosti týchto údajov (pozri odôvodnenie 181).

(191)

S týmto cieľom musí minister zohľadniť všetky prvky žiadosti uvedené orgánom predkladajúcim žiadosť, najmä prvky týkajúce sa osôb, ktorých komunikácia sa má zachytávať, a dôležitosť opatrenia pre vyšetrovanie. Tieto prvky sa podrobne uvádzajú v Kódexe postupov pre zachytávanie komunikácie a musia byť opísané s určitou mierou konkrétnosti (297). Okrem toho sa v § 17 zákona o vyšetrovacích právomociach z roku 2016 vyžaduje, aby sa v každom príkaze vydanom na základe jeho kapitoly 2 menovite uvádzala alebo opisovala konkrétna osoba alebo skupina osôb, organizácia alebo priestory, v súvislosti s ktorými sa má zachytávať komunikácia („cieľ“). Pokiaľ ide o príkaz na cielené zachytávanie alebo príkaz na cielené preskúmanie, môžu sa týkať skupiny osôb, viac ako jednej osoby alebo organizácie alebo viac ako jedného priestoru (takisto tzv. tematický príkaz) (298). V týchto prípadoch by sa v príkaze mal opisovať spoločný účel alebo činnosť, ktorá sa spoločne týka skupiny osôb alebo operácie/vyšetrovania, a mal by sa v ňom menovite uvádzať alebo opisovať taký počet týchto osôb/organizácií alebo priestorov, aký je primerane možný (299). Napokon sa vo všetkých príkazoch vydaných na základe časti 2 zákona o vyšetrovacích právomociach z roku 2016 musia uvádzať adresy, čísla, zariadenia, faktory alebo kombinácie faktorov, ktoré sa majú použiť na identifikáciu komunikácie (300). V tejto súvislosti sa v Kódexe postupov pre zachytávanie komunikácie stanovuje, že v prípade príkazu na cielené zachytávanie a príkazu na cielené preskúmanie „sa v príkaze musia uvádzať (alebo opisovať) faktory alebo kombinácia faktorov, ktoré sa majú používať na identifikáciu komunikácie. Ak sa komunikácia má identifikovať (napríklad) na základe odkazu na telefónne číslo, číslo musí byť špecifikované uvedením celej podoby. Ak sa však na identifikáciu komunikácie majú použiť veľmi zložité alebo neustále sa meniace internetové selektory, tieto selektory by mali byť opísané v čo najväčšej miere“ (301).

(192)

Dôležitou zárukou v tejto súvislosti je to, že posúdenie vykonané ministrom na účely vydania príkazu musí schváliť nezávislý Komisár pre justíciu (302), ktorý najmä preverí, či je rozhodnutie vydať príkaz v súlade so zásadami nevyhnutnosti a proporcionality (303) (viac informácií o postavení a úlohe Komisárov pre justíciu sa nachádza v odôvodneniach 251 až 256). V zákone o vyšetrovacích právomociach z roku 2016 sa takisto vysvetľuje, že pri tomto preverovaní musí Komisár pre justíciu uplatňovať rovnaké zásady, ako by uplatňoval súd pri žiadosti o súdne preskúmanie (304). Tým sa zabezpečí, že v každom prípade a pred získaním prístupu k údajom nezávislý orgán systematicky kontroluje zásadu nevyhnutnosti a proporcionality.

(193)

V zákone o vyšetrovacích právomociach z roku 2016 sa stanovuje niekoľko konkrétnych a úzko vymedzených výnimiek na vykonanie cieleného zachytávania bez príkazu. Obmedzené prípady sú podrobne uvedené v zákone (305) a okrem jedného založeného na „súhlase“ odosielateľa/prijímateľa ich vykonávajú osoby (súkromné alebo verejné orgány) iné ako národné bezpečnostné služby. Tento druh zachytávania sa vykonáva na účely iné ako zhromažďovanie „spravodajských informácií“ (306) a pre niektoré z nich je veľmi nepravdepodobné, že získavanie sa môže uskutočniť v rámci scenára „prenosu“ (napríklad v prípade zachytávania v psychiatrických liečebniach alebo vo väzniciach). Vzhľadom na charakter orgánu, na ktorý sa tieto konkrétne prípady vzťahujú (iné ako národné bezpečnostné služby), sa budú uplatňovať všetky záruky uvedené v časti 2 zákona o ochrane údajov z roku 2018 a vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov vrátane dohľadu Komisára pre informácie a dostupných mechanizmov nápravy. Okrem záruk, ktoré sú stanovené v zákone o ochrane údajov z roku 2018, sa v zákone o vyšetrovacích právomociach z roku 2016 pre isté prípady stanovuje dohľad ex post úradu Komisára pre vyšetrovacie právomoci (307).

(194)

Keď sa vykonáva zachytávanie, vzhľadom na osobitné postavenie osoby (osôb), ktorých komunikácia sa zachytáva (308), sa uplatňujú dodatočné obmedzenia a záruky. Napríklad zachytávanie položiek podliehajúcich povinnosti advokáta zachovávať mlčanlivosť sa povoľuje len v prípade výnimočných a závažných okolností, pričom osoba vydávajúca príkaz musí zohľadňovať verejný záujem na dôvernosti položiek podliehajúcich povinnosti advokáta zachovávať mlčanlivosť a skutočnosť, že pre zaobchádzanie s takýmto materiálom, jeho uchovávanie a poskytovanie platia osobitné požiadavky (309).

(195)

Okrem toho sa v zákone o vyšetrovacích právomociach z roku 2016 stanovujú osobitné záruky týkajúce sa bezpečnosti, uchovávania a poskytovania, ktoré by mal minister zohľadňovať pri vydávaní cieleného príkazu (310). Najmä v § 53 ods. 5 zákona o vyšetrovacích právomociach z roku 2016 sa vyžaduje, aby sa každá vytvorená kópia tohto materiálu bezpečne uchovávala a zničila v okamihu, keď už neexistujú relevantné dôvody na jej uchovávanie, pričom sa na základe ustanovení v § 53 ods. 2 zákona o vyšetrovacích právomociach z roku 2016 vyžaduje, aby sa počet osôb, ktorým sa materiál poskytuje, a rozsah jeho poskytnutia, sprístupnenia alebo kopírovania obmedzili na úplné minimum, ktoré je nevyhnutné na zákonné účely.

(196)

Napokon, ak sa má materiál zachytený na základe príkazu na cielené zachytávanie alebo príkazu na vzájomnú pomoc odovzdať tretej krajine (ďalej len „poskytovanie údajov do zahraničia“), v zákone o vyšetrovacích právomociach z roku 2016 sa stanovuje, že minister musí zabezpečiť zavedenie primeraných opatrení, ktorými sa v danej tretej krajine zabezpečí existencia podobných záruk týkajúcich sa bezpečnosti, uchovávania a poskytovania (311). Navyše v § 109 ods. 2 zákona o ochrane údajov z roku 2018 sa uvádza, že spravodajské služby môžu prenášať údaje mimo územia Spojeného kráľovstva len vtedy, keď je prenos nevyhnutným a primeraným opatrením vykonávaným na účely plnenia zákonných funkcií prevádzkovateľa alebo na ďalšie účely stanovené v § 2 ods. 2 písm. a) zákona o bezpečnostných službách z roku 1989 alebo § 2 ods. 2 písm. a) a § 4 ods. 2 písm. a) zákona o spravodajských službách z roku 1994 (312). Je dôležité, že tieto požiadavky sa vzťahujú aj na prípady, keď sa podľa § 110 zákona o ochrane údajov z roku 2018 uplatní výnimka týkajúca sa národnej bezpečnosti, keďže v § 110 zákona o ochrane údajov z roku 2018 sa § 109 zákona o ochrane údajov z roku 2018 neuvádza ako jedno z ustanovení, ktoré sa môže prestať uplatňovať, ak sa na účely ochrany národnej bezpečnosti vyžaduje výnimka z istých ustanovení.

(197)

Zákonom o vyšetrovacích právomociach z roku 2016 sa ministrovi povoľuje, aby od telekomunikačných operátorov vyžadoval uchovávanie údajov o komunikácii na účely cieleného prístupu zo strany širokej škály orgánov verejnej moci vrátane orgánov presadzovania práva a spravodajských služieb. V časti 4 zákona o vyšetrovacích právomociach z roku 2016 sa stanovuje uchovávanie údajov o komunikácii, zatiaľ čo v časti 3 sa stanovuje cielené získavanie údajov o komunikácii. V častiach 3 a 4 zákona o vyšetrovacích právomociach z roku 2016 sa takisto uvádzajú osobitné obmedzenia uplatňovania týchto právomocí a stanovujú sa osobitné záruky.

(198)

Pojem „údaje o komunikácii“ zahŕňa otázky „kto“, „kedy“, „kde“ a „ako“ týkajúce sa komunikácie, ale nie obsah, t. j. to, čo sa povedalo alebo napísalo. Na rozdiel od zachytávania nie je získavanie a uchovávanie údajov o komunikácii zamerané na získavanie obsahu komunikácie, ale na získavanie informácií, ako je predplatiteľ telefónnej služby alebo účet s rozpísanými položkami. Mohlo by to zahŕňať čas a trvanie komunikácie, číslo alebo e-mailovú adresu odosielateľa a príjemcu a niekedy polohu zariadení, z ktorých sa telekomunikácia uskutočňovala (313).

(199)

Je potrebné poznamenať, že uchovávanie a získavanie údajov o komunikácii sa zvyčajne nebude týkať osobných údajov dotknutých osôb z EÚ prenesených do Spojeného kráľovstva na základe tohto rozhodnutia. Povinnosť uchovávať alebo poskytnúť údaje o komunikácii podľa časti 3 a 4 zákona o vyšetrovacích právomociach z roku 2016 sa vzťahuje na údaje, ktoré sú získavané telekomunikačnými operátormi v Spojenom kráľovstve priamo od používateľov telekomunikačných služieb (314). Takýto druh spracúvania „orientovaný na zákazníka“ nezahŕňa prenos na základe tohto rozhodnutia, t. j. prenos od prevádzkovateľa/sprostredkovateľa v EÚ k prevádzkovateľovi/sprostredkovateľovi v Spojenom kráľovstve.

(200)

V záujme úplnosti sú však v nasledujúcich odôvodneniach zanalyzované podmienky a záruky, ktoré upravujú tieto režimy získavania a uchovávania.

(201)

V rámci predpokladu však treba podotknúť, že uchovávanie a cielené získavanie údajov o komunikácii sú dostupné tak národným bezpečnostným službám, ako aj istým orgánom presadzovania práva (315). Podmienky na požadovanie uchovávania a/alebo získavania údajov o komunikácii sa môžu líšiť v závislosti od dôvodu žiadosti o opatrenie, konkrétne podľa toho, či ide o účely národnej bezpečnosti, alebo presadzovania práva.

(202)

Hoci sa týmto novým režimom zaviedla najmä všeobecná požiadavka povolenia ex ante od nezávislého orgánu, ktorá sa uplatní vo všetkých prípadoch, keď sa údaje o komunikácii zachovávajú a/alebo získavajú (buď na účely presadzovania práva, alebo národnej bezpečnosti), v nadväznosti na rozsudok Súdneho dvora (316) vo veci Tele2/Watson boli zavedené konkrétne záruky, keď sa opatrenie vyžaduje na účely presadzovania práva. Keď sa uchovávanie alebo získavanie údajov o komunikácii vyžaduje na účely presadzovania práva, povolenie ex ante musí vždy udeliť Komisár pre vyšetrovanie právomoci. Neplatí to však, keď sa opatrenie vyžaduje na účely národnej bezpečnosti, pretože, ako sa uvádza ďalej v texte, v niektorých prípadoch môže byť taký druh opatrení povolený iným „jednotlivcom, ktorý udeľuje povolenie“. Nový režim stanovil pre „závažné trestné činy“ prahovú hodnotu, do ktorej môže byť uchovávanie a získavanie údajov o komunikácii povolené (317).

(203)

Podľa časti 3 zákona o vyšetrovacích právomociach z roku 2016 majú príslušné orgány verejnej moci povolené získavať údaje o komunikácii od telekomunikačného operátora alebo akejkoľvek osoby schopnej získať a poskytnúť tieto údaje. Povolením sa nemusí umožňovať zachytávanie obsahu komunikácie (318) a povolenie prestáva byť účinné po uplynutí lehoty jedného mesiaca (319) s možnosťou obnovenia v závislosti od dodatočného povolenia (320). Získavanie údajov o komunikácii si vyžaduje povolenie od Komisára pre vyšetrovacie právomoci (321) (viac informácií o postavení a právomociach Komisára pre vyšetrovacie právomoci sa nachádza v odôvodneniach 250 až 251). Je to tak vždy, keď si získanie údajov o komunikácii vyžiada príslušný orgán presadzovania práva. V § 61 zákona o vyšetrovacích právomociach z roku 2016 sa však uvádza, že keď sa údaje získavajú na účely národnej bezpečnosti alebo hospodárskeho blahobytu Spojeného kráľovstva, pokiaľ súvisia s národnou bezpečnosťou alebo keď o ne požiada člen spravodajskej služby na základe § 61 ods. 7 písm. b) (322), získavanie môže takisto (323) povoliť Komisár pre vyšetrovacie právomoci alebo určený vyšší úradník (324). Určený úradník musí byť nezávislý od daného vyšetrovania alebo operácie a musí mať praktické znalosti o zásadách a právnych predpisoch v oblasti ľudských práv, najmä o zásadách nevyhnutnosti a primeranosti (325). Rozhodnutie prijaté určeným úradníkom podlieha dohľadu ex post vykonávaného Kominárom pre vyšetrovacie právomoci (informácie o funkciách dohľadu ex post Komisára pre vyšetrovacie právomoci sa nachádza v odôvodnení 254).

(204)

Povolenie získavať údaje o komunikácii sa zakladá na posúdení nevyhnutnosti a proporcionality opatrenia. Konkrétnejšie, nevyhnutnosť opatrenia sa posudzuje vzhľadom na dôvody uvedené v právnych predpisoch (326). Vzhľadom na cielený charakter tohto opatrenia, musí byť takisto nevyhnutné pre konkrétne vyšetrovanie alebo operáciu (327). Ďalšie požiadavky týkajúce sa posudzovania nevyhnutnosti opatrení sú stanovené v Kódexe postupov pre údaje o komunikácii (328). Kódex stanovuje najmä to, že žiadosť, ktorú podáva žiadajúci orgán, by mala obsahovať tri základné prvky, ktoré odôvodňujú nevyhnutnosť takejto žiadosti: i) udalosť, ktorá je predmetom vyšetrovania, ako trestný čin alebo poloha zraniteľnej nezvestnej osoby; ii) osoba, o ktorej sa žiadajú údaje, ako podozrivý, svedok alebo nezvestná osoba a ako sa táto osoba spája s udalosťou; a iii) žiadané údaje o komunikácii, ako je telefónne číslo alebo IP adresa, a ako sa tieto údaje vzťahujú na osobu a udalosť (329).

(205)

Získavanie údajov o komunikácii musí byť navyše primerané tomu, čo sa má dosiahnuť (330). V Kódexe postupov pre údaje o komunikácii sa objasňuje, že jednotlivec, ktorý udeľuje povolenie, musí pri uskutočnení takéhoto posúdenia zvážiť „rozsah zásahu do práv a slobôd jednotlivca a konkrétny prínos pre vyšetrovanie alebo operáciu, ktorú vykonáva príslušný orgán verejnej moci v záujme verejnosti“, a že berúc na vedomie všetky aspekty daného prípadu „zásah do práv jednotlivca stále nemusí byť odôvodnený, pretože nepriaznivý vplyv na práva iného jednotlivca alebo skupiny jednotlivcov je príliš veľký“. Na konkrétne posúdenie proporcionality opatrenia, kódex navyše uvádza niekoľko prvkov, ktoré by mali byť zahrnuté v žiadosti žiadajúceho orgánu (331). Okrem toho treba osobitne posúdiť druh údajov o komunikácii (údaje o „subjekte“ alebo „udalosti“ (332)), ktoré sa majú získať, pričom treba uprednostniť použitie menej rušivých kategórii údajov (333). Kódex postupov pre údaje o komunikácii obsahuje aj pokyny pre povolenia, ktoré zahŕňajú údaje o komunikácii osôb s osobitným povolaním (ako lekári, právnici, novinári, parlamentní poslanci alebo duchovní) (334), na ktoré sa vzťahujú dodatočné záruky (335).

(206)

V časti 4 zákona o vyšetrovacích právomociach z roku 2016 sa stanovujú pravidlá o uchovávaní údajov o komunikácii, a to obzvlášť kritériá, na základe ktorých môže minister vydať príkaz na uchovávanie údajov (336). Záruky zavedené v zákone o vyšetrovacích právomociach sú rovnaké, keď sa údaje uchovávajú na účely presadzovania práva alebo v záujme národnej bezpečnosti.

(207)

Cieľom vydávania takýchto príkazov je zabezpečiť, aby telekomunikační operátori uchovali počas najviac 12 mesiacov príslušné údaje o komunikácii, ktoré by boli inak vymazané hneď, ako sa stanú nepotrebnými na obchodné účely (337). Uchovávané údaje zostanú počas tohto vyžiadaného obdobia prístupné pre prípad, že by ich orgán verejnej moci potreboval získať, a to s povolením na cielené získavanie údajov o komunikácii uvedeným v časti 3 zákona o vyšetrovacích právomociach z roku 2016 a opísaným v odôvodneniach 203 až 205.

(208)

Uplatňovanie právomoci, ktorou sa vyžaduje uchovávanie istých údajov, podlieha viacerým obmedzeniam a zárukám. Minister môže vydať príkaz na uchovávanie údajov jednému alebo viacerým operátorom (338) iba vtedy, keď sa domnieva, že žiadosť o uchovanie údajov je nevyhnutná na jeden zo zákonných účelov (339) a je primeraná tomu, čo sa má dosiahnuť (340). Ako sa objasňuje v zákone o vyšetrovacích právomociach z roku 2016 (341), minister musí pred vydaním príkazu na uchovávanie údajov zohľadniť: možné výhody príkazu (342); opis telekomunikačných služieb; či je vhodné obmedziť údaje, ktoré sa majú uchovávať, podľa odkazu na polohu alebo opis osôb, ktorým sa poskytujú telekomunikačné služby (343); možný počet používateľov (ak je známy) akejkoľvek telekomunikačnej služby, na ktorú sa príkaz vzťahuje (344); technickú uskutočniteľnosť splnenia príkazu; možné náklady za splnenie príkazu a akýkoľvek iný následok príkazu pre telekomunikačného operátora (alebo opis operátorov), na ktorého sa príkaz vzťahuje (345). Ako sa ďalej podrobne uvádza v kapitole 17 Kódexu postupov pre údaje o komunikácii, všetky príkazy na uchovávanie údajov musia špecifikovať každý typ údajov, ktorý sa má uchovávať, a ako každý typ údajov spĺňa potrebné podmienky pre uchovávanie.

(209)

Vo všetkých prípadoch (tak na účely národnej bezpečnosti, ako aj presadzovania práva) musí rozhodnutie ministra vydať príkaz na uchovávanie údajov schváliť nezávislý Komisár pre justíciu v rámci takzvaného postupu dvojitého zabezpečenia, ktorý musí preskúmať najmä to, či je príkaz na uchovávanie príslušných údajov o komunikácii nevyhnutný a primeraný jednému alebo viacerým zákonným účelom (346).

(210)

Zasahovanie do zariadení je súbor techník, ktoré sa využívajú na získanie rôznych údajov zo zariadení (347), ako sú počítače, tablety a smartfóny, ako aj káble, elektrické rozvody a pamäťové zariadenia (348). Zasahovanie do zariadení umožňuje získať obsah komunikácie, ako aj údaje zo zariadení (349).

(211)

V súlade s § 13 ods. 1 zákona o vyšetrovacích právomociach z roku 2016 je na použitie zasahovania do zariadení spravodajskou službou potrebné povolenie prostredníctvom príkazu v rámci postupu „dvojitého zabezpečenia“ podľa zákona o vyšetrovacích právomociach z roku 2016, a to za predpokladu, že existuje „prepojenie s Britskými ostrovmi“, (350). Podľa vysvetlení poskytnutých orgánmi Spojeného kráľovstva v situáciách, keď sa údaje prenášajú z Európskej únie do Spojeného kráľovstva v zmysle tohto rozhodnutia, bude vždy existovať „prepojenie s Britskými ostrovmi“ a akékoľvek zasahovanie do zariadení týkajúce sa takýchto údajov bude preto podliehať povinnej požiadavke na príkaz podľa § 13 ods. 1 zákona o vyšetrovacích právomociach z roku 2016 (351).

(212)

Pravidlá vzťahujúce sa na príkazy na cielené zasahovanie do zariadení sú stanovené v časti 5 zákona o vyšetrovacích právomociach z roku 2016. Cielené zasahovanie do zariadení sa podobne ako cielené zachytávanie musí vzťahovať na konkrétny „cieľ“, ktorý musí byť uvedený v príkaze (352). Podrobnosti o tom, ako treba určiť „cieľ“, závisia od záležitosti a typu zariadenia, do ktorého sa má zasahovať. Konkrétne v § 115 ods. 3 zákona o vyšetrovacích právomociach z roku 2016 sa špecifikujú prvky, ktoré by mali byť zahrnuté v príkaze (napr. meno osoby alebo organizácie, opis polohy) napríklad v závislosti od toho, či sa zasahovanie týka zariadenia, ktoré patrí určitej osobe, organizácii alebo skupine osôb, alebo či ho táto osoba, organizácia alebo skupina osôb používa alebo má v držbe, či sa zariadenie nachádza na určitom mieste atď (353). To, na aké ciele možno vydať príkaz na cielené zasahovanie do zariadenia, závisí od žiadajúceho orgánu verejnej moci (354).

(213)

Vydávajúci orgán je povinný podobne ako v prípade cieleného zachytávania posúdiť, či je opatrenie nevyhnutné na dosiahnutie konkrétneho účelu a či je primerané tomu, čo sa má dosiahnuť (355). Okrem toho by mal zvážiť aj to, či existujú záruky týkajúce sa bezpečnosti, uchovávania a poskytovania, ako aj „poskytovania údajov do zahraničia“ (356) (pozri odôvodnenie 196).

(214)

Príkaz musí schváliť Komisár pre justíciu s výnimkou naliehavých prípadov (357). V poslednom uvedenom prípade sa musí Komisár pre justíciu informovať o tom, že sa príkaz vydal, a musí ho schváliť do troch pracovných dní. Ak Komisár pre justíciu odmietne príkaz schváliť, príkaz stráca účinnosť a nemôže sa obnoviť (358). Komisár pre justíciu má navyše právomoc vyžadovať vymazanie akýchkoľvek údajov, ktoré boli získané na základe príkazu (359). Skutočnosť, že došlo k naliehavému vydaniu príkazu, neovplyvní dohľad ex post (pozri odôvodnenia 244 až 255) ani možnosti jednotlivcov žiadať o nápravu (pozri odôvodnenia 260 až 270). Jednotlivci môžu podať sťažnosť Komisárovi pre informácie alebo bežným postupom podať žiadosť tribunálu pre kontrolu vyšetrovacích právomocí, ktorá sa týka akéhokoľvek údajného konania. Komisár pre justíciu pri rozhodovaní sa, či schváliť príkaz, vo všetkých prípadoch overuje kritérium nevyhnutnosti a proporcionality, ktoré sa uplatňuje v prípade žiadostí o cielené zachytávanie (360) (pozri odôvodnenie 192).

(215)

Nakoniec konkrétne záruky uplatniteľné na cielené zachytávanie sa vzťahujú aj na zasahovanie do zariadení v súvislosti s trvaním, obnovou a zmenou príkazu, ako aj na zachytávanie komunikácie poslancov parlamentu, položiek, ktoré podliehajú povinnosti advokáta zachovávať mlčanlivosť, a novinárskeho materiálu (pozri ďalšie podrobnosti v odôvodnení 193).

(216)

Hromadné právomoci upravuje časť 6 zákona o vyšetrovacích právomociach z roku 2016. Kódexy postupov poskytujú ďalšie podrobnosti o použití hromadných právomocí. Napriek tomu, že v právnych predpisoch Spojeného kráľovstva neexistuje vymedzenie pojmu „hromadná právomoc“, v kontexte zákona o vyšetrovacích právomociach z roku 2016 sa opisuje ako získavanie a uchovávanie veľkého množstva údajov, ktoré vláda získala rôznymi prostriedkami (t. j. právomoc hromadného zachytávania, hromadného získavania, hromadného zasahovania a právomoc týkajúca sa súborov hromadných osobných údajov) a ku ktorým majú následne orgány prístup. Tento opis je objasnený v kontraste s tým, čo nie je „hromadná právomoc“: nejde o tzv. masové sledovanie bez obmedzení alebo záruk. Naopak, ako je vysvetlené v nasledujúcom texte, hromadná právomoc zahŕňa obmedzenia a záruky navrhnuté s cieľom zabezpečiť, aby sa prístup k údajom neposkytoval neuvážene alebo bezdôvodne (361). Hromadné právomoci sa konkrétne môžu využiť, len ak existuje prepojenie medzi technickým opatrením, ktoré národná spravodajská služba plánuje použiť, a operačným cieľom, na ktorý sa požaduje.

(217)

Okrem toho sú hromadné právomoci dostupné len pre spravodajské služby a vždy sa na ne vzťahuje príkaz, ktorý vydáva minister a schvaľuje Komisár pre justíciu. Pri výbere spôsobu získavania spravodajských informácií sa musí zohľadniť, či daný cieľ možno dosiahnuť „menej rušivými prostriedkami“ (362). Tento prístup vychádza z legislatívneho rámca zakladajúceho sa na zásade proporcionality, a preto uprednostňuje cielené získavanie pred hromadným získavaním údajov.

(218)

Systém pre hromadné zachytávanie sa stanovuje v časti 6 kapitole 1 zákona o vyšetrovacích právomociach z roku 2016, pričom sa v kapitole 3 rovnakej časti upravuje hromadné zasahovanie do zariadení. Uvedené systémy sú vo svojej podstate rovnaké, a preto sa podmienky a dodatočné záruky uplatniteľné na tieto príkazy analyzujú spoločne.

(219)

Príkaz na hromadné zachytávanie sa obmedzuje na zachytávanie komunikácie počas jej prenosu, ktorú odoslali alebo prijali jednotlivci na území mimo Britských ostrovov (363), tzv. zahraničná komunikácia (364), ako aj na iné relevantné údaje a následný výber zachyteného materiálu na preskúmanie (365). Príkazom na hromadné zasahovanie do zariadení (366) sa adresátovi povoľuje zaistiť zasahovanie do akéhokoľvek zariadenia na účely získania zahraničnej komunikácie (vrátane čohokoľvek, čo obsahuje reč, hudbu, zvuky, vizuálne obrazy alebo údaje akéhokoľvek druhu), údajov zo zariadení (údaje, ktoré umožňujú alebo uľahčujú fungovanie poštovej služby, telekomunikačného systému, telekomunikačnej služby) alebo akýchkoľvek ďalších informácií (367).

(220)

Minister môže vydať hromadný príkaz len na základe žiadosti vedúceho spravodajskej služby (368). Príkaz, ktorým sa povoľuje hromadné zachytávanie alebo hromadné zasahovanie do zariadení sa musí vydať, len ak je to v záujme národnej bezpečnosti a na ďalší účel predchádzania závažným trestným činom a ich odhaľovania alebo v záujme hospodárskeho blahobytu Spojeného kráľovstva, ak je to relevantné pre národnú bezpečnosť (369). Okrem toho § 142 ods. 7 zákona o vyšetrovacích právomociach z roku 2016 vyžaduje, že príkaz na hromadné zachytávanie musí byť špecifikovaný podrobnejšie ako len jednoduchým odkazom na „záujmy národnej bezpečnosti“, „hospodársky blahobyt Spojeného kráľovstva“ a „predchádzanie závažným trestným činom a boj proti nim“, pričom sa v príkaze musí stanoviť prepojenie medzi opatrením, ktoré sa má dosiahnuť, a jedným alebo viacerými operačnými účelmi.

(221)

Výber operačného účelu je výsledkom viacvrstvového postupu. Podľa § 142 ods. 4 zákona o vyšetrovacích právomociach z roku 2016 operačné účely uvedené v príkaze musia byť uvedené v zozname udržiavanom vedúcimi spravodajských služieb ako účely, ktoré považujú za operačné účely, na ktoré sa môže zachytený obsah alebo sekundárne údaje získané prostredníctvom príkazov na hromadné zachytávanie vybrať na preskúmanie. Zoznam operačných účelov musí schváliť minister. Minister môže udeliť takéto schválenie iba vtedy, ak je presvedčený, že operačný účel je špecifikovaný podrobnejšie, ako sú všeobecné dôvody na povolenie príkazu (národná bezpečnosť alebo národná bezpečnosť a hospodársky blahobyt, alebo predchádzanie závažným trestným činom) (370). Na konci každého príslušného trojmesačného obdobia je minister povinný parlamentnému výboru pre spravodajstvo a bezpečnosť predložiť kópiu zoznamu operačných účelov. Nakoniec predseda vlády musí aspoň raz ročne preskúmať zoznam operačných účelov (371). Ako poznamenal Vrchný súd, „[t]ieto sa nemajú bagatelizovať ako bezvýznamné záruky, keďže spoločne vytvárajú spletitý súbor druhov zodpovednosti, ktoré sa dotýkajú parlamentu, ako aj najvyššie postavených členov vlády“ (372).

(222)

Takýmito operačnými účelmi sa zároveň obmedzuje rozsah výberu zachyteného materiálu pre fázu preskúmania. Výber na preskúmanie akéhokoľvek materiálu získaného na základe hromadného príkazu musí byť odôvodnený so zreteľom na operačné účely. Podľa vysvetlení orgánov Spojeného kráľovstva to znamená, že praktické opatrenia na preskúmanie musí minister posúdiť už vo fáze príkazu, poskytujúc dostatočné podrobnosti na splnenie zákonných povinností podľa § 152 a 193 zákona o vyšetrovacích právomociach z roku 2016 (373). Podrobnosti poskytnuté ministrom týkajúce sa týchto opatrení by museli napríklad zahŕňať informácie (ak je to uplatniteľné) o tom, ako sa môžu opatrenia týkajúce sa filtrovania líšiť počas obdobia, na ktoré sa príkaz vzťahuje (374). Podrobnejšie informácie o postupe a zárukách, ktoré sa vzťahujú na fázu filtrovania a preskúmania sú uvedené v odôvodnení 229.

(223)

Hromadná právomoc sa môže povoliť, len ak je primeraná tomu, čo sa má dosiahnuť (375). Ako sa uvádza v Kódexe postupov pre zachytávanie komunikácie, každé posúdenie proporcionality zahŕňa „vyváženie závažnosti narušenia súkromia (a ďalšie posúdenia stanovené v § 2 ods. 2) úmerne k nevyhnutnosti tejto činnosti z vyšetrovacieho alebo operačného hľadiska, prípadne hľadiska spôsobilosti. Povolené konanie by malo ponúknuť realistickú perspektívu týkajúcu sa dosahovania očakávaného prínosu a nemalo by byť neprimerané ani svojvoľné“ (376). Ako už bolo uvedené, v praxi to znamená, že overenie kritéria proporcionality vychádza z overenia vyváženosti medzi tým, čo sa má dosiahnuť („operačné účely“), a dostupnými technickými možnosťami (napr. cielené alebo hromadné zachytávanie, zasahovanie do zariadení, získavanie údajov o komunikácií), pričom sa uprednostní najmenej rušivý prostriedok (pozri odôvodnenie 181 a 182). Ak sú na dosahovaný cieľ primerané viaceré opatrenia, musí sa uprednostniť menej rušivý prostriedok.

(224)

Dodatočnou zárukou týkajúcou sa posúdenia proporcionality požadovaného opatrenia sa zabezpečuje skutočnosť, že sa na riadny výkon posúdenia musia ministrovi predložiť potrebné príslušné informácie. Konkrétne sa v Kódexe postupov pre zachytávanie komunikácie a Kódexe postupov pre zasahovanie do zariadení vyžaduje, aby žiadosť predložená príslušným orgánom obsahovala podklady žiadosti, opis komunikácie, ktorá sa má zachytávať, a telekomunikačných operátorov, od ktorých sa požaduje spolupráca, opis činnosti, ktorá sa má povoliť, operačné účely, ako aj vysvetlenie, prečo je konanie nevyhnutné a primerané (377).

(225)

Čo je napokon dôležité, rozhodnutie ministra o vydaní príkazu musí schváliť nezávislý Komisár pre justíciu, ktorý posudzuje hodnotenie nevyhnutnosti a proporcionality navrhovaného opatrenia, pričom využíva rovnaké zásady, ktoré by sa použili na súde pri žiadosti o súdne preskúmanie (378). Konkrétnejšie, Komisár pre justíciu preskúma závery ministra o tom, či je príkaz nevyhnutný a či je konanie primerané so zreteľom na zásady stanovené v § 2 ods. 2 zákona o vyšetrovacích právomociach z roku 2016 (všeobecné povinnosti týkajúce sa súkromia). Komisár pre justíciu zároveň preskúma závery ministra o tom, či každý z operačných účelov uvedených v príkaze predstavuje účel, na ktorý je alebo môže byť výber nevyhnutný. Ak Komisár pre justíciu odmietne schváliť rozhodnutie o vydaní príkazu, minister môže: i) akceptovať rozhodnutie a príkaz nevydať alebo ii) vec postúpiť na rozhodnutie Komisárovi pre vyšetrovacie právomoci (pokiaľ pôvodné rozhodnutie nevykonal Komisár pre vyšetrovacie právomoci) (379).

(226)

Zákonom o vyšetrovacích právomociach z roku 2016 sa zaviedli ďalšie obmedzenia týkajúce sa trvania, obnovy a zmeny hromadného príkazu. Príkaz musí trvať najviac šesť mesiacov a každé rozhodnutie o obnovení alebo zmene (okrem malých zmien) príkazu musí rovnako schváliť Komisár pre justíciu (380). V Kódexe postupov pre zachytávanie komunikácie a Kódexe postupov pre zasahovanie do zariadení sa stanovuje, že zmena operačných účelov príkazu sa považuje za zásadnú zmenu príkazu (381).

(227)

V časti 6 zákona o vyšetrovacích právomociach z roku 2016 sa podobne ako v prípade cieleného zachytávania stanovuje, že minister musí zabezpečiť zavedenie opatrení, ktorými sa poskytujú záruky týkajúce sa uchovávania a poskytovania materiálu získaného prostredníctvom príkazu (382), ako aj v prípade poskytovania údajov do zahraničia (383). Konkrétne sa v § 150 ods. 5 a § 191 ods. 5 zákona o vyšetrovacích právomociach z roku 2016 vyžaduje, aby sa každá vytvorená kópia tohto materiálu bezpečne uchovávala a zničila v okamihu, keď už neexistujú relevantné dôvody na jej uchovávanie, pričom sa na základe ustanovení v § 150 ods. 2 a § 191 ods. 2 vyžaduje, aby sa počet osôb, ktorým sa materiál poskytuje, a rozsah jeho poskytnutia, sprístupnenia alebo kopírovania obmedzili na úplné minimum, ktoré je nevyhnutné na zákonné účely (384).

(228)

Napokon, ak sa má materiál zachytený prostredníctvom hromadného zachytávania alebo hromadného zasahovania do zariadení odovzdať tretej krajine (ďalej len „poskytovanie údajov do zahraničia“), v zákone o vyšetrovacích právomociach z roku 2016 sa stanovuje, že minister musí zabezpečiť zavedenie primeraných opatrení, ktorými sa v danej tretej krajine zabezpečí existencia podobných záruk týkajúcich sa bezpečnosti, uchovávania a poskytovania (385). Navyše v § 109 zákona o ochrane údajov z roku 2018 sa stanovujú osobitné požiadavky na medzinárodné prenosy osobných údajov spravodajskými službami do tretích krajín alebo medzinárodným organizáciám, pričom v ňom nie je povolený prenos údajov do krajiny ani na územie mimo Spojeného kráľovstva, ani medzinárodnej organizácii, pokiaľ prenos nie je nevyhnutný a primeraný na účely plnenia zákonných funkcií prevádzkovateľa alebo na ďalšie účely stanovené v § 2 ods. 2 písm. a) zákona o bezpečnostných službách z roku 1989 alebo § 2 ods. 2 písm. a) a § 4 ods. 2 písm. a) zákona o spravodajských službách z roku 1994 (386). Je dôležité, že tieto požiadavky sa vzťahujú aj na prípady, keď sa podľa § 110 zákona o ochrane údajov z roku 2018 uplatní výnimka týkajúca sa národnej bezpečnosti, keďže v § 110 zákona o ochrane údajov z roku 2018 sa § 109 zákona o ochrane údajov z roku 2018 neuvádza ako jedno z ustanovení, ktoré sa môže prestať uplatňovať, ak sa na účely ochrany národnej bezpečnosti vyžaduje výnimka z istých ustanovení.

(229)

Po schválení príkazu a hromadnom získaní údajov budú údaje pred preskúmaním predmetom výberu. Na fázu výberu a preskúmania sa vzťahuje dodatočné overenie kritéria proporcionality vykonávané analytikom, ktorý na základe operačných účelov obsiahnutých v príkaze (a možných existujúcich opatrení týkajúcich sa filtrovania) vymedzuje kritéria výberu. Ako sa stanovuje v § 152 a 193 zákona o vyšetrovacích právomociach z roku 2016, minister musí pri vydávaní príkazu zabezpečiť, že sú zavedené opatrenia, ktorými sa zaručuje, že výber materiálu sa vykonáva len na stanovené operačné účely a že je za každých okolností primeraný a nevyhnutný. V tejto súvislosti orgány Spojeného kráľovstva vysvetlili, že hromadne zachytený materiál sa v prvom rade vyberá prostredníctvom automatizovaného filtrovania s cieľom odstrániť údaje, v ktorých prípade je nepravdepodobné, že budú predmetom záujmu národnej bezpečnosti. Filtre sa budú z času na čas líšiť (so zmenou vzorcov, druhov a protokolov internetovej komunikácie) a budú závisieť od technológií a operačného kontextu. Po skončení tejto fázy môžu byť údaje vybrané na preskúmanie, len ak sú relevantné pre operačné účely uvedené v príkaze (387). Záruky uvedené v zákone o vyšetrovacích právomociach z roku 2016 na preskúmanie získaného materiálu sa uplatňujú na akýkoľvek druh údajov (tak zachyteného obsahu, ako aj sekundárnych údajov) (388). V § 152 a 193 zákona o vyšetrovacích právomociach z roku 2016 sa zároveň stanovuje všeobecný zákaz výberu materiálu na preskúmanie, ktorý sa vzťahuje na konverzácie odoslané alebo určené jednotlivcom, ktorí sa nachádzajú na Britských ostrovoch. Ak orgány chcú preskúmať takýto materiál, musia predložiť žiadosť o príkaz na cielené preskúmanie podľa časti 2 a časti 4 zákona o vyšetrovacích právomociach z roku 2016, ktorý vydáva minister a schvaľuje Komisár pre justíciu (389). Ak osoba úmyselne vyberie zachytený obsah na preskúmanie v rozpore s požiadavkami stanovenými v právnych predpisoch, (390) pácha tak trestný čin (391).

(230)

Na posúdenie vykonávané analytikom v súvislosti s výberom materiálu sa vzťahuje dohľad ex post Komisára pre vyšetrovacie právomoci, ktorý hodnotí súlad s konkrétnymi zárukami, ktoré sa pre fázu preskúmania stanovujú v zákone o vyšetrovacích právomociach z roku 2016 (392) (pozri aj odôvodnenie 229). Komisár pre vyšetrovacie právomoci musí (a to aj prostredníctvom auditu, kontroly a vyšetrovania) kontrolovať, ako orgány verejnej moci vykonávajú vyšetrovacie právomoci, ktoré sú uvedené v zákone o vyšetrovacích právomociach z roku 2016 (393). V tejto súvislosti sa v Kódexe postupov pre zachytávanie komunikácie a Kódexe postupov pre zasahovanie do zariadení objasňuje, že služba musí uchovávať záznamy na účely následného preskúmania a auditu, pričom sa v záznamoch musia opísať dôvody, prečo bol prístup poverených osôb k materiálu nevyhnutný a primeraný, ako aj príslušné operačné účely (394). Úrad Komisára pre vyšetrovacie právomoci (395) vo svojej výročnej správe za rok 2018 napríklad dospel k záveru, že odôvodnenia na preskúmanie určitého hromadne získaného materiálu zaznamenané analytikmi spĺňali požadovanú normu proporcionality, a to poskytnutím dostatočných podrobností o dôvodoch ich „vyhľadávaní“ vo vzťahu k účelu, ktorý sa mal dosiahnuť (396). Úrad Komisára pre vyšetrovacie právomoci vo svojej správe za rok 2019 v súvislosti s hromadnými právomocami jasne vyjadril svoj zámer pokračovať v kontrolách hromadného zachytávania vrátane podrobného preskúmania selektorov a kritérií vyhľadávania (397). Bude pokračovať aj v dôkladnom preskúmaní jednotlivých prípadov výberu opatrení sledovania (cielených/hromadných) tak pri skúmaní žiadostí o príkaz na základe dvojitého zabezpečenia, ako aj pri kontrolách (398). Toto ďalšie monitorovanie Komisia riadne zohľadní v rámci monitorovania tohto rozhodnutia uvedeného v odôvodneniach 281 – 284.

(231)

Ustanovenia časti 6 kapitoly 2 zákona o vyšetrovacích právomociach z roku 2016 upravujú príkazy na hromadné získavanie, ktorými sa adresátom udeľuje povolenie od telekomunikačných operátorov vyžadovať, aby poskytli alebo získali všetky údaje o komunikácií v ich vlastníctve. Tieto príkazy zároveň oprávňujú žiadajúci orgán na výber údajov pre ďalšiu fázu preskúmania. Rovnako ako v prípade cieleného uchovávania a získavania údajov o komunikácii (pozri odôvodnenie 199) ani hromadné získavanie údajov o komunikácii sa zvyčajne nevzťahuje na osobné údaje dotknutých osôb v EÚ prenesených na základe tohto rozhodnutia do Spojeného kráľovstva. Povinnosť poskytnúť údaje o komunikácii podľa časti 6 kapitoly 2 zákona o vyšetrovacích právomociach z roku 2016 sa vzťahuje na údaje, ktoré získavajú telekomunikační operátori v Spojenom kráľovstve priamo od používateľov telekomunikačných služieb (399). Takýto druh spracúvania „orientovaný na zákazníka“ nezahŕňa prenos na základe tohto rozhodnutia, t. j. prenos od prevádzkovateľa/sprostredkovateľa v EÚ k prevádzkovateľovi/sprostredkovateľovi v Spojenom kráľovstve.

(232)

V záujme úplnosti sú ďalej opísané podmienky a záruky, ktoré upravujú získavanie hromadných údajov o komunikácii.

(233)

Zákonom o vyšetrovacích právomociach z roku 2016 sa nahrádzajú právne predpisy vzťahujúce sa na získavanie hromadných údajov o komunikácii, ktoré podliehali rozsudku Súdneho dvora Európskej únie vo veci Privacy International. Právne predpisy, ktoré boli predmetom v danej veci, boli zrušené a nový systém poskytuje konkrétne podmienky a záruky, podľa ktorých môže byť takého opatrenie povolené.

(234)

Na rozdiel od predchádzajúceho systému, v rámci ktorého minister mal úplnú diskrečnú právomoc pri povoľovaní opatrenia (400), sa na základe ustanovení zákona o vyšetrovacích právomociach z roku 2016 vyžaduje, aby minister vydal príkaz, len ak je opatrenie nevyhnutné a primerané. V praxi to znamená, že by malo existovať prepojenie medzi prístupom k údajom a sledovaným cieľom (401). Konkrétnejšie, minister bude povinný posúdiť prítomnosť prepojenia medzi požadovaným opatrením a jedným alebo viacerými „operačnými účelmi“ stanovenými v príkaze (pozri odôvodnenie 219). S ohľadom na posúdenie proporcionality sa v príslušnom kódexe postupov stanovuje, že „minister musí zohľadniť, či to, čo sa má dosiahnuť prostredníctvom príkazu, by sa mohlo primerane dosiahnuť inými menej rušivými prostriedkami [§ 2 ods. 2 písm. a) zákona], napríklad získavaním požadovaných informácií prostredníctvom menej rušivých právomocí, ako je cielené získavanie údajov o komunikácii“ (402).

(235)

Pri vykonávaní takého posúdenia sa minister bude spoliehať na informácie, ktoré sú vedúci spravodajských služieb (403) povinní predložiť vo svojej žiadosti, ako sú dôvody, prečo sa opatrenie považuje za nevyhnutné podľa zákonom stanovených odôvodnení a dôvody, prečo by to, čo sa má dosiahnuť prostredníctvom príkazu, nebolo možné primerane dosiahnuť inými menej rušivými prostriedkami (404). Operačné účely navyše obmedzujú rozsah, na ktorý sa môžu údaje získané prostredníctvom príkazu vybrať na preskúmanie (405). Ako sa uvádza v príslušnom kódexe postupov, operačné účely musia opisovať jasnú požiadavku a obsahovať dostatočné podrobnosti, ktorými sa minister uisťuje o tom, že sa získavané údaje môžu vybrať na preskúmanie len z konkrétnych dôvodov (406). Minister bude musieť pred povolením príkazu skutočne zabezpečiť zavedenie opatrení na zabezpečenie toho, aby sa na preskúmanie, ktoré by malo byť za každých okolností primerané a nevyhnutné, vybral iba materiál, ktorého preskúmanie sa považuje za nevyhnutné na operačné a zákonné účely. Táto konkrétna požiadavka, ktorá sa uvádza v § 158 a 172 (407) zákona o vyšetrovacích právomociach z roku 2016 a ktorá sa vzťahuje na predchádzajúce posúdenie nevyhnutnosti a proporcionality kritérií použitých na účely výberu, predstavuje v porovnaní s predchádzajúcim systémom ďalší významný nový prvok systému zavedeného na základe ustanovení zákona o vyšetrovacích právomociach z roku 2016.

(236)

Zákonom o vyšetrovacích právomociach z roku 2016 sa zároveň zaviedla povinnosť ministra pred vydaním príkazu na hromadné získavanie údajov o komunikácii zabezpečiť zavedenie konkrétnych obmedzení v súvislosti s bezpečnosťou, uchovávaním a poskytovaním získaných osobných údajov (408). V prípade poskytovania údajov do zahraničia sa záruky opísané v odôvodnení 227 pre činnosti hromadného zachytávania a hromadného zasahovania do zariadení uplatňujú aj v tejto súvislosti (409). V právnych predpisoch sú stanovené ďalšie obmedzenia týkajúce sa trvania (410), obnovy (411) a zmeny hromadných príkazov (412).

(237)

Čo je dôležité, podobne ako v prípade iných hromadných právomocí, minister musí pred vydaním príkazu získať súhlas od Komisára pre justíciu (413). Ide o kľúčový prvok systému, ktorý sa zaviedol podľa zákona o vyšetrovacích právomociach z roku 2016.

(238)

Komisár pre vyšetrovacie právomoci vykonáva dohľad ex post nad postupom preskúmania hromadne získaného materiálu (údajov o komunikácii), pozri odôvodnenie 254. V tejto súvislosti sa zákonom o vyšetrovacích právomociach z roku 2016 zaviedla požiadavka, podľa ktorej musí spravodajský analytik vykonávajúci preskúmanie pred výberom údajov na preskúmanie zaznamenať dôvod o tom, prečo je navrhované preskúmanie nevyhnutné a primerané na určený operačný účel (414). Vo výročnej správe Úradu Komisára pre vyšetrovacie právomoci za rok 2019 sa v súvislosti s praktikami Vládneho komunikačného ústredia a Bezpečnostnej služby (MI5) uvádza zistenie, že „kľúčová úloha hromadných údajov o komunikácii pre rozsah činností vykonávaných Vládnym komunikačným ústredím bola vo vyšetrovaných prípadoch jasne formulovaná. Posúdili sme povahu požadovaných údajov a uvedených spravodajských požiadaviek, pričom sme boli spokojní s tým, že z dokumentácie vyplýva, že ich prístup bol nevyhnutný a primeraný“ (415). Zaznamenané odôvodnenia Bezpečnostnej služby (MI5) vykazovali dobrú úroveň a spĺňali zásady nevyhnutnosti a proporcionality. (416)

(239)

Príkazom týkajúcim sa súboru hromadných osobných údajov (bulk personal dataset) sa (417) spravodajským službám povoľuje uchovávať a preskúmať súbory údajov, ktoré obsahujú osobné údaje o viacerých jednotlivcoch. Podľa vysvetlení poskytnutých orgánmi Spojeného kráľovstva môže analýza takýchto súborov údajov predstavovať „jediný nástroj, ktorý môžu spravodajské služby Spojeného kráľovstva využiť na dosiahnutie pokroku pri vyšetrovaní a na identifikáciu teroristov na základe veľmi obmedzených spravodajských informácií, prípadne ak úmyselne skrývajú svoje komunikácie (418).“ Existujú dva druhy príkazov: „príkazy týkajúce sa skupinového súboru hromadných osobných údajov“ (419), ktoré sa vzťahujú na konkrétnu kategóriu súborov údajov, t. j. súbory údajov, ktoré sú si podobné obsahom a navrhovaným použitím a vzbudzujú podobné úvahy, čo sa týka napríklad miery narušenia a citlivosti, ako aj proporcionality použitia údajov, umožňujúc tak ministrovi naraz zvážiť nevyhnutnosť a proporcionalitu získavania všetkých údajov v rámci príslušnej skupiny. Príkaz týkajúci sa skupinového súboru hromadných osobných údajov sa môže napríklad vzťahovať na súbory údajov o cestách, ktoré súvisia s podobnými trasami (420). „Príkazy týkajúce sa konkrétneho súboru hromadných osobných údajov“ (421) sa oproti tomu vzťahujú na jeden konkrétny súbor údajov, napríklad na súbor údajov nového alebo nezvyčajného druhu informácií, ktoré nepatria do rozsahu existujúceho príkazu týkajúceho sa skupinového súboru hromadných osobných údajov, alebo súbor údajov, ktorý obsahuje konkrétne druhy osobných údajov (422), a preto si vyžaduje dodatočné záruky (423). Na základe ustanovení zákona o vyšetrovacích právomociach z roku 2016, pokiaľ ide o súbory hromadných osobných údajov, umožňuje sa preskúmavanie a uchovávanie takýchto súborov údajov iba vtedy, ak je to nevyhnutné a primerané (424), a to v súlade s všeobecnými povinnosťami týkajúcimi sa ochrany súkromia (425).

(240)

Právomoc vydávať príkazy týkajúce sa súborov hromadných osobných údajov podlieha postupu „dvojitého zabezpečenia“: posúdenie nevyhnutnosti a proporcionality opatrenia najskôr vykoná minister a následne Komisár pre justíciu (426). Minister je povinný posúdiť povahu a rozsah pôsobnosti druhu požadovaného príkazu, kategóriu dotknutých údajov a počet samostatných súborov hromadných osobných údajov, na ktoré sa bude pravdepodobne vzťahovať konkrétny druh príkazu (427). Podľa Kódexu postupov pre uchovávanie a používanie súborov hromadných osobných údajov spravodajskými službami sa majú viesť podrobné záznamy, ktoré podliehajú auditu Komisára pre vyšetrovacie právomoci (428). Uchovávanie a preskúmavanie súborov hromadných osobných údajov, ktoré prekračujú hranice stanovené v zákone o vyšetrovacích právomociach z roku 2016, sú trestným činom (429).

(241)

Spracúvané osobné údaje sa podľa ustanovení v časti 4 zákona o ochrane údajov z roku 2018 nesmú spracúvať spôsobom, ktorý je nezlučiteľný s účelom, na ktorý boli získané (430). V zákone o ochrane údajov z roku 2018 sa stanovuje, že prevádzkovateľ môže spracúvať údaje na účel odlišný od toho, na ktorý boli údaje získané, v prípade, že je tento účel v súlade s pôvodným účelom, a za predpokladu, že prevádzkovateľ je na toto spracúvanie oprávnený zákonom a že spracúvanie je nevyhnutné a primerané (431). Okrem toho sa v zákone o bezpečnostných službách z roku 1989 a v zákone o spravodajských službách z roku 1994 stanovuje, že vedúci spravodajských služieb majú povinnosť zabezpečiť, že nie sú získané alebo poskytnuté žiadne informácie s výnimkou prípadov, keď to je nevyhnutné na riadne plnenie funkcii služieb alebo na ďalšie obmedzené a konkrétne účely uvedené v príslušných ustanoveniach (432).

(242)

Okrem toho sa v § 109 zákona o ochrane údajov z roku 2018 stanovujú osobitné požiadavky na medzinárodné prenosy osobných údajov spravodajskými službami do tretích krajín alebo medzinárodným organizáciám. Podľa týchto ustanovení nie je povolený prenos osobných údajov do krajiny alebo na územie mimo Spojeného kráľovstva alebo medzinárodnej organizácii, pokiaľ prenos nie je nevyhnutný a primeraný na účely plnenia zákonných funkcií prevádzkovateľa alebo na ďalšie účely stanovené v § 2 ods. 2 písm. a) zákona o bezpečnostných službách z roku 1989 alebo § 2 ods. 2 písm. a) a § 4 ods. 2 písm. a) zákona o spravodajských službách z roku 1994 (433). Je dôležité, že tieto požiadavky sa uplatňujú vzťahujú aj na prípady, keď sa podľa § 110 zákona o ochrane údajov z roku 2018 uplatní výnimka týkajúca sa národnej bezpečnosti, keďže v § 110 zákona o ochrane údajov z roku 2018 sa § 109 zákona o ochrane údajov z roku 2018 neuvádza ako jedno z ustanovení, ktoré sa môže prestať uplatňovať, ak sa na účely ochrany národnej bezpečnosti vyžaduje výnimka z istých ustanovení.

(243)

Navyše, ako to Komisár pre informácie zdôraznil vo svojom usmernení o spracúvaní údajov spravodajskými službami, okrem záruk uvedených v časti 4 zákona o ochrane údajov z roku 2018, sa na spravodajskú službu pri poskytovaní údajov spravodajskej službe tretej krajiny vzťahujú aj záruky stanovené v iných legislatívnych opatreniach, ktoré sa na ne uplatňujú s cieľom zabezpečiť, že získanie a poskytovanie osobných údajov a zaobchádzanie s nimi sa uskutočňuje zákonným a zodpovedným spôsobom (434). V zákone o vyšetrovacích právomociach z roku 2016 sa napr. stanovujú ďalšie záruky v súvislosti s presunmi materiálu do tretích krajín, ktorý bol získaný prostredníctvom cieleného zachytávania (435), cieleného zasahovania do zariadení (436), hromadného zachytávania (437), hromadného získavania údajov o komunikácii (438) a hromadného zasahovania do zariadení (439) (tzv. poskytovanie údajov do zahraničia). Konkrétne musí orgán vydávajúci príkaz zabezpečiť, že sú v platnosti opatrenia, ktorými sa tretie krajiny prijímajúce údaje zaväzujú k tomu, že obmedzia počet osôb, ktoré majú prístup k materiálu, rozsah poskytovania informácií a počet kópií materiálu na nevyhnutné minimum, a to na povolené účely stanovené v zákone o vyšetrovacích právomociach z roku 2016 (440).

(244)

Dohľad nad prístupom vlády v záujme národnej bezpečnosti vykonáva viacero rozličných orgánov. Komisár pre informácie vykonáva dohľad nad spracúvaním osobných údajov so zreteľom na zákon o ochrane údajov z roku 2018 (pre ďalšie informácie o nezávislosti, vymenovaní a právomociach Komisára pozri odôvodnenia 85 až 98), zatiaľ čo nezávislý a súdny dohľad nad použitím vyšetrovacích právomocí podľa zákona o vyšetrovacích právomociach z roku 2016 vykonáva Komisár pre vyšetrovacie právomoci. Komisár pre vyšetrovacie právomoci vykonáva dohľad nad použitím vyšetrovacích právomocí podľa zákona o vyšetrovacích právomociach z roku 2016 v prípade orgánov presadzovania práva aj národných bezpečnostných orgánov. Politický dohľad poskytuje parlamentný výbor pre spravodajské služby.

(245)

Na spracúvanie osobných údajov spravodajskými službami podľa časti 4 zákona o ochrane údajov z roku 2018 dozerá Komisár pre informácie (441).

(246)

Všeobecné funkcie Komisára pre informácie v súvislosti so spracúvaním osobných údajov zo strany spravodajských služieb, ktoré patrí do rozsahu pôsobnosti časti 4 zákona o ochrane údajov z roku 2018, sú stanovené v prílohe 13 k zákonu o ochrane údajov z roku 2018. Medzi úlohy okrem iných patrí monitorovanie a presadzovanie ustanovení časti 4 zákona o ochrane údajov z roku 2018, podpora informovanosti verejnosti, poskytovanie poradenstva parlamentu, vláde a ďalším inštitúciám v oblasti legislatívnych a administratívnych opatrení, podpora informovanosti prevádzkovateľov a sprostredkovateľov o ich povinnostiach, poskytovanie informácií dotknutým osobám, ktoré sa týkajú uplatňovania ich práv, vedenie vyšetrovaní atď.

(247)

Komisár má, podobne ako v časti 3 zákona o ochrane údajov z roku 2018, právomoc informovať prevádzkovateľov o údajnom porušení a vydávať varovania o tom, že spracúvaním môže porušovať pravidlá, ako aj vydávať napomenutia v prípade, že sa porušenie potvrdí. Môže vydávať aj presadzovacie oznámenia a oznámenia o uložení sankcie za porušenie určitých ustanovení tohto zákona (442). Na rozdiel od ostatných častí zákona o ochrane údajov z roku 2018 však Komisár nemôže národnému bezpečnostnému orgánu predložiť oznámenie o posúdení (443).

(248)

Okrem toho sa v § 110 ods. 6 zákona o ochrane údajov z roku 2018 stanovuje výnimka z využívania určitých právomocí Komisára, ak je to potrebné na účely ochrany národnej bezpečnosti. Patrí sem právomoc Komisára vydávať (akýkoľvek druh) oznámení podľa zákona o ochrane údajov (informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie a oznámenie o uložení sankcie), právomoc vykonávať inšpekcie v súlade s medzinárodnými záväzkami, právomoci na vstup a inšpekciu a pravidlá týkajúce sa trestných činov (444). Ako sa vysvetľuje v odôvodnení 126, tieto výnimky sa budú uplatňovať len vtedy, ak sú potrebné a primerané, a od prípadu k prípadu.

(249)

Komisár pre informácie a spravodajské služby Spojeného kráľovstva podpísali memorandum o porozumení (445), ktorým sa stanovuje rámec pre spoluprácu vo viacerých otázkach vrátane oznámení o porušení ochrany údajov a vybavovania sťažností dotknutých osôb. Konkrétne sa v ňom stanovuje, že po prijatí sťažnosti Komisár pre informácie posúdi, či sa primerane uplatnila akákoľvek výnimka v záujme národnej bezpečnosti. V súvislosti s preskúmaním jednotlivých sťažností sa musí dotknutej spravodajskej službe poskytnúť lehota 20 pracovných dní na poskytnutie odpovedí na otázky predložené Komisárom pre informácie, pričom sa použijú vhodné zabezpečené kanály, ak sa otázky týkajú utajovaných skutočností. Od apríla 2018 ku dnešnému dňu dostal Komisár pre informácie od jednotlivcov 21 sťažností na spravodajské služby. Každá sťažnosť bola posúdená a výsledok bol oznámený dotknutej osobe (446).

(250)

Na základe ustanovení časti 8 zákona o vyšetrovacích právomociach z roku 2016 vykonáva dohľad nad použitím vyšetrovacích právomocí Komisár pre vyšetrovacie právomoci. Komisárovi pomáhajú ďalší Komisári pre justíciu, ktorí sa spoločne uvádzajú ako Komisári pre justíciu (447). V zákone o vyšetrovacích právomociach z roku 2016 sa stanovujú záruky, ktoré chránia nezávislosť Komisárov pre justíciu. Komisári pre justíciu musia zastávať alebo v minulosti museli zastávať vysokú súdnu funkciu (t. j. musia byť alebo museli byť členmi vyšších súdov) (448) a podobne ako každý člen justície majú nezávislé postavenie od vlády (449). Podľa § 227 zákona o vyšetrovacích právomociach z roku 2016 predseda vlády vymenúva Komisára pre vyšetrovacie právomoci a Komisárov pre justíciu tak, ako považuje za potrebné. Všetci Komisári, či už sú súčasní alebo bývalí členovia justície, môžu byť vymenovaní len na základe spoločného odporúčania troch šéfov justície pre Anglicko a Wales, Škótsko a Severné Írsko a lorda kancelára (450). Minister musí pre Komisára pre vyšetrovacie právomoci zabezpečiť personál, ubytovanie, výbavu a ďalšie zariadenia a služby (451). Funkčné obdobie Komisárov, ktorí môžu byť opätovne vymenovaní, trvá tri roky (452). Ďalšou zárukou ich nezávislosti je to, že Komisári pre justíciu môžu byť odvolaní z funkcie len na základe prísnych podmienok, ktoré ukladajú vysokú prahovú hodnotu: za osobitných podmienok, ktoré sú podrobne uvedené v § 228 ods. 5 zákona o vyšetrovacích právomociach z roku 2016 (napríklad vyhlásenie konkurzu alebo uväznenie), ich môže odvolať predseda vlády alebo parlament uznesením o ich odvolaní schválenom v každej zo snemovní parlamentu (453).

(251)

Komisára pre vyšetrovacie právomoci a Komisárov pre justíciu podporuje v ich funkciách Úrad Komisára pre vyšetrovacie právomoci. Medzi zamestnancov Úradu Komisára pre vyšetrovacie právomoci patrí tím inšpektorov, interní právni a technickí odborníci a panel poradcov pre technológie s cieľom poskytovať odborné poradenstvo. Pre každého individuálneho Komisára pre justíciu platí, že nezávislosť Úradu Komisára pre vyšetrovacie právomoci je chránená. Úrad Komisára pre vyšetrovacie právomoci je nezávislý orgán ministerstva vnútra, čo znamená, že je financovaný ministerstvom vnútra, ale svoje funkcie vykonáva nezávisle (454).

(252)

Hlavné funkcie Komisárov pre justíciu sú stanovené v § 229 zákona o vyšetrovacích právomociach z roku 2016 (455). Komisári pre justíciu majú najmä rozsiahle právomoci, pokiaľ ide o schvaľovanie vopred, čo je súčasťou záruk zavedených v právnom rámci Spojeného kráľovstva obsahujúcom zákon o vyšetrovacích právomociach z roku 2016. Všetky príkazy v súvislosti s cieleným zachytávaním, so zasahovaním do zariadení, súbormi hromadných osobných údajov, s hromadným získavaním údajov o komunikácii, ako aj príkazy na uchovávanie údajov o komunikácii musia byť schválené Komisármi pre justíciu (456). Komisár pre vyšetrovacie právomoci musí vždy vopred povoliť získavanie údajov o komunikácii na účely presadzovania práva (457). Ak Komisár odmietne schváliť príkaz, minister môže podať odvolanie Komisárovi pre vyšetrovacie právomoci, ktorého rozhodnutie je konečné.

(253)

Osobitný spravodajca OSN pre právo na súkromie vskutku uvítal zriadenie funkcií Komisárov pre justíciu prostredníctvom zákona o vyšetrovacích právomociach z roku 2016, keďže „všetky citlivejšie alebo rušivejšie žiadosti o vykonanie sledovania musí povoliť minister vlády alebo Úrad Komisára pre vyšetrovacie právomoci“. Zdôraznil najmä, že „tento prvok súdneho preskúmania [prostredníctvom úlohy Komisára pre vyšetrovacie právomoci], pri ktorom pomáha lepšie vybavený tím skúsených inšpektorov a technických odborníkov, je jednou z najvýznamnejších nových záruk, ktoré sa zaviedli zákonom o vyšetrovacích právomociach“, ktorý nahradil predtým rozdrobený systém orgánov dohľadu a dopĺňa úlohu parlamentného výboru pre spravodajstvo a bezpečnosť a tribunálu pre kontrolu vyšetrovacích právomocí (458).

(254)

Komisár pre vyšetrovacie právomoci má navyše podľa zákona o vyšetrovacích právomociach z roku 2016 (459) právomoc vykonávať dohľad ex post, a to aj formou auditu, kontroly a vyšetrovania, a niektoré ďalšie právomoci a funkcie, ktoré sú stanovené v príslušných právnych predpisoch (460). Výsledky takéhoto dohľadu ex post sú uvedené v správe, ktorú Komisár pre vyšetrovacie právomoci musí každoročne vypracovať a predložiť predsedovi vlády (461) a ktorá sa musí uverejniť a predložiť parlamentu (462). Správa obsahuje relevantné štatistické údaje a informácie o využívaní vyšetrovacích právomocí spravodajskými službami a orgánmi presadzovania práva, ako aj o zavádzaní záruk v súvislosti s položkami, na ktoré sa vzťahuje povinnosť advokáta zachovávať mlčanlivosť, s dôvernými žurnalistickými materiálmi a so zdrojmi žurnalistických informácií, informácie o prijatých opatreniach a operačných účeloch využívaných v kontexte hromadných príkazov. Napokon sa vo výročnej správe Úradu Komisára pre vyšetrovacie právomoci uvádza, v ktorej oblasti sa vydali odporúčania orgánom verejnej moci a akým spôsobom boli podané (463).

(255)

V súlade s § 231 zákona o vyšetrovacích právomociach z roku 2016, ak sa Komisár pre vyšetrovacie právomoci dozvie o akejkoľvek relevantnej chybe zo strany orgánov verejnej moci pri využívaní vyšetrovacích právomocí, musí o tom informovať dotknutú osobu, ak sa domnieva, že ide o závažnú chybu a že je vo verejnom záujme, aby osoba bola informovaná (464). Konkrétne v § 231 zákona o vyšetrovacích právomociach z roku 2016 sa uvádza, že Komisár pre vyšetrovacie právomoci pri informovaní osoby o chybe musí uviesť informácie o všetkých právach, ktoré si osoba môže uplatniť na tribunáli pre kontrolu vyšetrovacích právomocí, a uviesť také informácie, aké Komisár považuje za nevyhnutné na výkon týchto práv a pri ktorých existuje verejný záujem na poskytnutí (465).

(256)

Parlamentný dohľad výboru pre spravodajstvo a bezpečnosť má svoj právny základ v zákone o spravodlivosti a bezpečnosti z roku 2013 (466). Týmto zákonom sa v parlamente Spojeného kráľovstva zriaďuje výbor pre spravodajstvo a bezpečnosť. Od roku 2013 má výbor pre spravodajstvo a bezpečnosť väčšie právomoci vrátane dohľadu nad operačnými činnosťami bezpečnostných služieb. Podľa § 2 zákona o spravodlivosti a bezpečnosti z roku 2013 má tento výbor za úlohu dohliadať na výdavky, správu, politiku a činnosť služieb v oblasti národnej bezpečnosti. V zákone o spravodlivosti a bezpečnosti z roku 2013 sa uvádza, že výbor pre spravodajstvo a bezpečnosť môže prešetrovať operačné záležitosti, ak nesúvisia s prebiehajúcimi operáciami (467). V memorande o porozumení medzi predsedom vlády a výborom pre spravodajstvo a bezpečnosť (468) sa podrobne uvádzajú prvky, ktoré sa majú zohľadniť pri posudzovaní toho, či určitá činnosť nie je súčasťou žiadnej prebiehajúcej operácie (469). Výbor pre spravodajstvo a bezpečnosť môže o prešetrenie prebiehajúcich operácií požiadať aj predseda vlády a tento výbor môže preskúmavať aj informácie, ktoré poskytli služby dobrovoľne.

(257)

Podľa prílohy 1 k zákonu o spravodlivosti a bezpečnosti z roku 2013 môže výbor pre spravodajstvo a bezpečnosť požiadať vedúcich ktorejkoľvek z troch spravodajských služieb o poskytnutie akýchkoľvek informácií. Daná služba nemusí tieto informácie sprístupniť, len ak príslušný minister neuplatnil právo veta (470). Podľa vysvetlení, ktoré poskytli orgány Spojeného kráľovstva, sa v praxi tomuto výboru zamieta prístup len k veľmi málo informáciám (471).

(258)

Tento výbor pozostáva z členov oboch snemovní parlamentu, pričom za členov výboru ich vymenúva predseda vlády po konzultácii s lídrom opozície (472). Výbor pre spravodajstvo a bezpečnosť je povinný predkladať parlamentu výročnú správu o plnení svojich funkcií a ďalšie správy, ktoré považuje za vhodné (473). Výbor pre spravodajstvo a bezpečnosť má okrem toho nárok na to, aby mu bol každé tri mesiace doručený zoznam operačných účelov, ktorý sa využíva na preskúmanie hromadne získaných materiálov (474). Predseda vlády poskytuje kópie vyšetrovaní, kontrol alebo auditov Komisára pre vyšetrovacie právomoci výboru pre spravodajstvo a bezpečnosť, ak záležitosti uvedené v správach patria do zákonnej pôsobnosti výboru (475). Napokon výbor môže požiadať Komisára pre vyšetrovacie právomoci, aby uskutočnil vyšetrovanie, a Komisár musí výbor pre spravodajstvo a bezpečnosť informovať o rozhodnutí, či sa takéto vyšetrovanie uskutoční (476).

(259)

Výbor pre spravodajstvo a bezpečnosť takisto poskytol podnety k návrhu zákona o vyšetrovacích právomociach z roku 2016, čo viedlo k viacerým zmenám, ktoré sú teraz začlenené do zákona o vyšetrovacích právomociach z roku 2016 (477). Výbor pre spravodajstvo a bezpečnosť konkrétne odporučil posilnenie ochrany súkromia, a to zavedením súboru opatrení na ochranu súkromia, ktoré sa uplatňujú v celej škále vyšetrovacích právomocí (478). Výbor okrem toho navrhol zmeny navrhnutých spôsobilostí v oblasti zasahovania do zariadení, súborov hromadných osobných údajov a údajov o komunikácii a požiadal o ďalšie konkrétne zmeny na posilnenie obmedzení a záruk využívania vyšetrovacích právomocí (479).

(260)

V oblasti prístupu vlády na účely národnej bezpečnosti musia mať dotknuté osoby možnosť uplatniť právne prostriedky nápravy pred nezávislým a nestranným súdom, aby mali prístup k osobným údajom, ktoré sa ich týkajú, alebo dosiahnuť opravu alebo vymazanie takýchto údajov (480). Takýto súdny orgán musí mať najmä právomoc prijímať záväzné rozhodnutia týkajúce sa spravodajských služieb (481). V Spojenom kráľovstve, ako sa vysvetľuje v odôvodneniach (261) až (271), niekoľko súdnych prostriedkov nápravy poskytuje dotknutým osobám možnosť vyžadovať a získať takéto právne prostriedky nápravy.

(261)

Podľa § 165 zákona o ochrane údajov z roku 2018 má dotknutá osoba právo podať sťažnosť Komisárovi pre informácie, ak sa domnieva, že v súvislosti s osobnými údajmi, ktoré sa jej týkajú, došlo k porušeniu časti 4 zákona o ochrane údajov z roku 2018. Komisár pre informácie má právomoc posúdiť dodržiavanie zákona o ochrane údajov z roku 2018 zo strany prevádzkovateľa a sprostredkovateľa a požadovať od nich, aby prijali potrebné kroky. Okrem toho podľa časti 4 zákona o ochrane údajov z roku 2018 sú jednotlivci oprávnení podať na Vrchný súd (High Court), resp. v Škótsku na Court of Session, návrh na vydanie príkazu, ktorým sa od prevádzkovateľa vyžaduje, aby dodržiaval právo na prístup k údajom (482), právo namietať voči spracúvaniu (483) a právo na opravu alebo vymazanie (484).

(262)

Jednotlivci sú tiež oprávnení požadovať od prevádzkovateľa alebo sprostredkovateľa náhradu škody utrpenej v dôsledku porušenia požiadavky časti 4 zákona o ochrane údajov z roku 2018 (485). Škoda zahŕňa tak finančnú ujmu, ako aj škodu, ktorá nezahŕňa finančnú ujmu, ako napríklad nemajetkovú ujmu (486).

(263)

Osoby môžu vymôcť nápravu za porušenie zákona o vyšetrovacích právomociach z roku 2016 pred tribunálom pre kontrolu vyšetrovacích právomocí.

(264)

Tribunál pre kontrolu vyšetrovacích právomocí sa zriaďuje na základe zákona o regulácii vyšetrovacích právomocí z roku 2000 a je nezávislý od výkonnej moci (487). V súlade s § 65 zákona o regulácii vyšetrovacích právomocí z roku 2000 členov tribunálu pre kontrolu vyšetrovacích právomocí vymenúva jej veličenstvo na obdobie piatich rokov. Z funkcie môže člena tribunálu odvolať jej veličenstvo na základe jej určenému prejavu vôle (tzv. Address) (488) oboch snemovní parlamentu (489).

(265)

Na základe § 65 zákona o regulácii vyšetrovacích právomocí z roku 2000 je tribunál príslušným súdnym orgánom na podanie sťažnosti osobou, ktorá bola poškodená konaním podľa ustanovení zákona o vyšetrovacích právomociach z roku 2016, zákona o regulácii vyšetrovacích právomocí z roku 2000 alebo akýmkoľvek konaním spravodajských služieb (490).

(266)

Keď chce jednotlivec podať návrh na začatie konania na tribunáli pre kontrolu vyšetrovacích právomocí (ďalej len „požiadavka na aktívnu legitimáciu“), musí byť podľa § 65 zákona o regulácii vyšetrovacích právomocí z roku 2000 presvedčený (491), že spravodajská služba konala vo vzťahu k nemu, k jeho akémukoľvek majetku, k akejkoľvek komunikácii uskutočnenej ním alebo jemu určenej, k jeho využitiu akejkoľvek poštovej služby, telekomunikačnej služby alebo telekomunikačného systému (492). Okrem toho musí byť sťažovateľ presvedčený, že k tomuto konaniu došlo za „napadnuteľných okolností“ (493) alebo „bolo vykonané spravodajskými službami alebo v ich mene“ (494). Keďže najmä tento štandard „presvedčenia“ bol vykladaný pomerne široko (495), podanie návrhu na tento tribunál podlieha pomerne nízkym požiadavkám na aktívnu legitimáciu.

(267)

Ak sa tribunál pre kontrolu vyšetrovacích právomocí zaoberá sťažnosťou, ktorá mu bola predložená, je jeho povinnosťou preskúmať, či osoby, voči ktorým sťažnosť smeruje, vyvíjali určité aktivity vo vzťahu k sťažovateľovi, ako aj vyšetriť orgán, ktorý sa údajne dopustil porušenia a či k údajnej aktivite došlo (496). Uvedený tribunál je povinný v rámci svojho akéhokoľvek konania pri rozhodovaní v tomto konaní uplatniť rovnaké zásady, aké by uplatnil súd v prípade návrhu na súdne preskúmanie (497). Okrem toho adresáti príkazov alebo oznámení podľa zákona o vyšetrovacích právomociach z roku 2016 a každá ďalšia osoba vykonávajúca funkciu v rámci koruny, ktorá je zamestnancom policajnej zložky alebo Komisára pre policajné vyšetrovanie a kontrolu, má povinnosť poskytnúť alebo sprístupniť uvedenému tribunálu všetky dokumenty a informácie, ktoré tribunál môže požadovať, aby bol schopný vykonávať svoju právomoc (498).

(268)

Tribunál pre kontrolu vyšetrovacích právomocí musí sťažovateľovi oznámiť, či bolo rozhodnuté v jeho prospech (499). Podľa § 67 ods. 6 a 7 zákona o regulácii vyšetrovacích právomocí z roku 2000 má tribunál právomoc vydať predbežné uznesenie a vydať akékoľvek rozhodnutie o náhrade škody alebo iné rozhodnutie, ktoré považuje za vhodné. Môže to zahŕňať rozhodnutie, ktorým sa zruší alebo anuluje akýkoľvek príkaz alebo povolenie, a rozhodnutie, ktorým sa vyžaduje zničenie akýchkoľvek záznamov informácií získaných pri výkone akejkoľvek právomoci, ktorá bola udelená na základe príkazu, povolenia alebo oznámenia, alebo informácií, ktoré má ktorýkoľvek orgán verejnej moci v súvislosti s ktoroukoľvek osobou (500). Podľa § 67A zákona o regulácii vyšetrovacích právomocí z roku 2000 možno proti rozhodnutiu tribunálu podať odvolanie s výhradou povolenia udeleného tribunálom alebo príslušným odvolacím súdom.

(269)

Napokon je potrebné poznamenať, že o úlohe tribunálu pre kontrolu vyšetrovacích právomocí sa niekoľkokrát diskutovalo v kontexte konaní na Európskom súde pre ľudské práva, najmä vo veci Kennedy/the United Kingdom (501) a nedávnejšie vo veci Big Brother Watch and others/United Kingdom (502), keď súd vyhlásil že „tribunál pre kontrolu vyšetrovacích právomocí sa osvedčil ako dostupný prostriedok nápravy pre každého, kto má podozrenie, že jeho komunikáciu zachytili spravodajské služby“ (503).

(270)

Ako sa uvádza v odôvodneniach (109) až (111), prostriedky nápravy, ktoré sú dostupné podľa zákona o ľudských právach z roku 1998 a možno ich vymáhať na Európskom súde pre ľudské práva (504), sú dostupné aj v oblasti národnej bezpečnosti. V § 65 ods. 2 zákona o regulácii vyšetrovacích právomocí z roku 2000 sa stanovuje, že tribunál pre kontrolu vyšetrovacích právomocí má výlučnú právomoc pre všetky žaloby opierajúce sa o zákon o ľudských právach vo vzťahu k spravodajským službám (505). To znamená, ako uviedol Vrchný súd (High Court), že to, „či došlo k porušeniu zákona o ľudských právach v súvislosti so skutkovými okolnosťami konkrétneho prípadu, je niečo, čo môže v zásade prerokovať a rozhodnúť nezávislý súd, ktorý môže mať prístup ku všetkým relevantným materiálom vrátane tajných materiálov. [...] V tejto súvislosti berieme do úvahy aj to, že aj na tribunál pre kontrolu vyšetrovacích právomocí sa teraz vzťahuje možnosť podať odvolanie na príslušný odvolací súd [v Anglicku a Walese by to bol odvolací súd (Court of Appeal)], pričom najvyšší súd (Supreme Court) nedávno rozhodol, že tribunál pre kontrolu vyšetrovacích právomocí v zásade podlieha súdnemu preskúmaniu: pozri R (Privacy International)/Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219“ (506).

(271)

Z uvedeného vyplýva, že ak orgány presadzovania práva Spojeného kráľovstva alebo národné bezpečnostné orgány majú prístup k osobným údajom patriacim do pôsobnosti tohto rozhodnutia, takýto prístup upravujú zákony, v ktorých sa stanovujú podmienky, za ktorých sa prístup môže získať, pričom zabezpečujú, že prístup k údajom a ich ďalšie používanie je obmedzené na to, čo je nevyhnutné a primerané na sledované ciele presadzovania práva alebo národnej bezpečnosti. Okrem toho takýto prístup vo väčšine prípadov podlieha predchádzajúcemu povoleniu súdneho orgánu prostredníctvom schválenia príkazu alebo príkazu na predloženie dôkazov a v každom prípade podlieha nezávislému dohľadu. Keď orgány verejnej moci získajú prístup k údajom, na ich spracúvanie, a to aj na ich ďalšie poskytovanie a následný prenos sa vzťahujú osobitné záruky ochrany údajov podľa časti 3 zákona o ochrane údajov z roku 2018, ktoré odrážajú záruky stanovené v smernici (EÚ) 2016/680, na účely spracúvania orgánmi presadzovania práva a podľa časti 4 zákona o ochrane údajov z roku 2018 na účely spracúvania spravodajskými službami. Dotknuté osoby napokon majú v tejto oblasti nárok na účinné správne a súdne prostriedky nápravy vrátane práva na prístup k svojim údajom alebo práva na opravu alebo vymazanie takýchto údajov.

(272)

Vzhľadom na dôležitosť takých podmienok, obmedzení a záruk na účely tohto rozhodnutia bude Komisia dôkladne monitorovať uplatňovanie a výklad pravidiel Spojeného kráľovstva súvisiacich s prístupom vlády k údajom. Toto bude zahŕňať vývoj príslušných právnych prepisov, vývoj v oblasti regulácie a judikatúry, ako aj činnosti Komisára pre informácie a ostatných orgánov dohľadu v tejto oblasti. Zvláštna pozornosť bude venovaná aj výkonu príslušných rozsudkov Európskeho súdu pre ľudské práva v Spojenom kráľovstve vrátane opatrení identifikovaných v „akčných plánoch“ a „správach o opatreniach“, ktoré v rámci dohľadu nad dodržiavaním rozhodnutí Súdneho dvora predloží Výbor ministrov.

(273)

Komisia sa domnieva, že všeobecným nariadením Spojeného kráľovstva o ochrane údajov a zákonom o ochrane údajov z roku 2018 sa zabezpečuje úroveň ochrany osobných údajov prenášaných v Európskej únii, ktorá v zásade zodpovedá úrovni zaručenej nariadením (EÚ) 2016/679.

(274)

Komisia sa okrem toho domnieva, že mechanizmy dohľadu a možnosti získania nápravy v právnom poriadku Spojeného kráľovstva umožňujú ako celok v praxi odhaliť a postihnúť porušovanie a poskytujú dotknutej osobe právne prostriedky nápravy na získanie prístupu k osobným údajom, ktoré sa jej týkajú, a prípadne aj na dosiahnutie opravy alebo vymazania takýchto údajov.

(275)

Komisia sa napokon na základe dostupných informácií o právnom poriadku Spojeného kráľovstva domnieva, že akýkoľvek zásah do základných práv jednotlivcov, ktorých osobné údaje do Spojeného kráľovstva prenášajú orgány verejnej moci Spojeného kráľovstva z Európskej únie na účely verejného záujmu, a to najmä na účely presadzovania práva a národnej bezpečnosti, sa obmedzí na to, čo je nevyhnutne potrebné na dosiahnutie dotknutého legitímneho cieľa, a že existuje účinná právna ochrana proti takémuto zásahu.

(276)

Vzhľadom na zistenia vyplývajúce z tohto rozhodnutia by sa preto malo rozhodnúť, že Spojené kráľovstvo zabezpečuje primeranú úroveň ochrany v zmysle článku 45 nariadenia (EÚ) 2016/679, vykladaného so zreteľom na Chartu základných práv Európskej únie.

(277)

Tento záver vychádza tak z príslušného vnútroštátneho režimu Spojeného kráľovstva, ako aj z jeho medzinárodných záväzkov, najmä z dodržiavania Európskeho dohovoru o ľudských právach a z podriadenia sa právomoci Európskeho súdu pre ľudské práva. Pretrvávajúce dodržiavanie týchto medzinárodných záväzkov je preto mimoriadne dôležitým prvkom posúdenia, na ktorom sa zakladá toto rozhodnutie.

(278)

Členské štáty a ich orgány sú povinné prijať opatrenia potrebné na dosiahnutie súladu s aktmi inštitúcií Únie, lebo tieto akty požívajú prezumpciu zákonnosti a majú z tohto dôvodu právne účinky dovtedy, kým neuplynie ich platnosť, kým nie sú derogované, zrušené v konaní o žalobe o neplatnosť alebo vyhlásené za neplatné v nadväznosti na návrh na začatie prejudiciálneho konania alebo námietku nezákonnosti.

(279)

Rozhodnutie Komisie o primeranosti prijaté podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 je preto záväzné pre všetky orgány členských štátov, ktorým je určené, vrátane ich nezávislých dozorných orgánov. Najmä počas obdobia uplatňovania tohto rozhodnutia sa prenosy od prevádzkovateľa alebo sprostredkovateľa v Európskej únii k prevádzkovateľom alebo sprostredkovateľom v Spojenom kráľovstve môžu uskutočniť bez toho, aby bolo potrebné získať akékoľvek ďalšie povolenie.

(280)

Zároveň treba pripomenúť, že podľa článku 58 ods. 5 nariadenia (EÚ) 2016/679 a ako Súdny dvor ozrejmil v rozsudku vo veci Schrems (507), ak vnútroštátny orgán pre ochranu údajov spochybňuje, a to aj na základe sťažnosti, zlučiteľnosť rozhodnutia Komisie o primeranosti so základnými právami jednotlivca na súkromie a ochranu údajov, vnútroštátne právo mu musí poskytnúť právny prostriedok nápravy umožňujúci uplatniť tieto výhrady na vnútroštátnom súde, ktorý môže mať povinnosť podať návrh na začatie prejudiciálneho konania na Súdnom dvore (508).

(281)

Podľa článku 45 ods. 4 nariadenia (EÚ) 2016/679 má Komisia po prijatí tohto rozhodnutia priebežne monitorovať príslušný vývoj v Spojenom kráľovstve, s cieľom posúdiť, či Spojené kráľovstvo stále zabezpečuje v zásade rovnocennú úroveň ochrany. Takéto monitorovanie je v tomto prípade osobitne dôležité, keďže Spojené kráľovstvo bude spravovať, uplatňovať a presadzovať nový režim ochrany údajov, ktorý už nepodlieha právu Európskej únie a ktorý sa môže vyvíjať. V tejto súvislosti sa bude osobitná pozornosť venovať praktickému uplatňovaniu pravidiel Spojeného kráľovstva o prenosoch osobných údajov do tretích krajín a dosahu, ktorý tento prenos môže mať na úroveň ochrany poskytovanej údajom prenášaným na základe tohto rozhodnutia. účinnosti uplatňovania individuálnych práv vrátane akejkoľvek relevantnej zmeny v právnych predpisoch a praxi týkajúcej sa výnimiek z takých práv alebo obmedzení takých práv (najmä toho, ktoré sa týka zachovania účinnej imigračnej kontroly), ako aj dodržiavania obmedzení a záruk s ohľadom na prístup vlády. Monitorovanie Komisie bude okrem iných prvkov vychádzať z informácií o vývoji judikatúry a dohľade zo strany Komisára pre informácie a ďalších nezávislých orgánov.

(282)

Aby sa toto monitorovanie uľahčilo, orgány Spojeného kráľovstva by mali bezodkladne informovať Komisiu o každej podstatnej zmene právneho poriadku Spojeného kráľovstva, ktorá má vplyv na právny rámec, ktorý je predmetom tohto rozhodnutia, ako aj o akomkoľvek vývoji postupov týkajúcich sa spracúvania osobných údajov posudzovaných v tomto rozhodnutí, pokiaľ ide o spracúvanie osobných údajov tak prevádzkovateľmi, ako aj sprostredkovateľmi podľa všeobecného nariadenia Spojeného kráľovstva o ochrane osobných údajov a obmedzenia a záruky, ktoré sú uplatniteľné na prístup orgánov verejnej moci k osobným údajom. To by malo zahŕňať vývoj týkajúci sa prvkov uvedených v odôvodnení 281.

(283)

Navyše, aby Komisia mohla účinne vykonávať svoju monitorovaciu funkciu, mali by ju členské štáty informovať o všetkých relevantných opatreniach, ktoré prijali vnútroštátne orgány pre ochranu údajov, najmä pokiaľ ide o otázky alebo sťažnosti dotknutých osôb z EÚ týkajúce sa prenosu osobných údajov z Únie prevádzkovateľom alebo sprostredkovateľom v Spojenom kráľovstve. Komisia by mala byť informovaná aj o akýchkoľvek známkach toho, že opatrenia orgánov verejnej moci Spojeného kráľovstva zodpovedných za predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo za národnú bezpečnosť vrátane akýchkoľvek dozorných orgánov nezabezpečujú požadovanú úroveň ochrany.

(284)

Ak dostupné informácie, najmä informácie vyplývajúce z monitorovania tohto rozhodnutia alebo poskytnuté orgánmi Spojeného kráľovstva alebo členských štátov, odhalia, že úroveň ochrany poskytovaná Spojeným kráľovstvom už nemusí byť primeraná, Komisia by o tom mala informovať príslušné orgány Spojeného kráľovstva a požiadať o prijatie náležitých opatrení v určenej lehote, ktorá nesmie presiahnuť tri mesiace. Táto lehota sa môže predĺžiť v prípade potreby o určený čas, a to pri zohľadnení povahu príslušnej záležitosti a/alebo opatrenia, ktoré majú byť prijaté. Taký postup by sa napríklad uplatnil v prípadoch, keď by sa následné prenosy vrátane prenosov na základe nových právnych predpisov o primeranosti prijatých ministrom alebo medzinárodných dohôd uzavretých Spojených kráľovstvom už nevykonávali podľa záruk zabezpečujúcich kontinuitu ochrany v zmysle článku 44 nariadenia (EÚ) 2016/679.

(285)

Ak po uplynutí uvedenej stanovenej lehoty príslušné orgány Spojeného kráľovstva neprijmú takéto opatrenia alebo inak uspokojivo nepreukážu, že toto rozhodnutie sa naďalej zakladá na primeranej úrovni ochrany, Komisia začne postup uvedený v článku 93 ods. 2 nariadenia (EÚ) 2016/679 s cieľom čiastočne alebo úplne pozastaviť alebo zrušiť toto rozhodnutie.

(286)

Alternatívne Komisia začne postup s cieľom zmeniť toto rozhodnutie, najmä podriadením prenosu údajov dodatočným podmienkam alebo obmedzením rozsahu konštatovanej primeranosti len na tie prenosy údajov, pri ktorých je naďalej zabezpečená primeraná úroveň ochrany.

(287)

Komisia využije z riadne odôvodnených vážnych a naliehavých dôvodov možnosť prijať v súlade s postupom uvedeným v článku 93 ods. 3 nariadenia (EÚ) 2016/679 okamžite uplatniteľné vykonávacie akty, ktorými sa pozastaví, zruší alebo zmení toto rozhodnutie

(288)

Komisia musí zohľadniť, že po skončení prechodného obdobia stanoveného v dohode o vystúpení a hneď, ako sa prestane uplatňovať dočasné ustanovenie podľa článku 782 Dohody o obchode a spolupráci medzi EÚ a Spojeným kráľovstvom, bude Spojené kráľovstvo v porovnaní s režimom uplatňovaným v čase, keď bolo viazané právom EÚ, spravovať, uplatňovať a presadzovať nový režim ochrany údajov. Môže to zahŕňať najmä zmeny rámca ochrany údajov, ktorý bol predmetom posúdenia v tomto rozhodnutí, ako aj ďalší relevantný vývoj.

(289)

Preto je vhodné stanoviť, že toto rozhodnutie sa bude uplatňovať počas obdobia štyroch rokov od nadobudnutia jeho účinnosti.

(290)

Ak najmä z informácií vyplývajúcich z monitorovania tohto rozhodnutia vyplynie, že zistenia týkajúce sa primeranosti úrovne ochrany zabezpečenej v Spojenom kráľovstve sú stále fakticky a právne odôvodnené, Komisia by mala najneskôr šesť mesiacov pred skončením uplatňovania tohto rozhodnutia začať postup na zmenu tohto rozhodnutia predĺžením jeho časovej pôsobnosti v zásade o ďalšie štyri roky. Akýkoľvek takýto vykonávací akt, ktorým sa mení toto rozhodnutie, sa má prijať v súlade s postupom uvedeným v článku 93 ods. 2 nariadenia (EÚ) 2016/679.

(291)

Európsky výbor pre ochranu údajov zverejnil svoje stanovisko (509), ktoré bolo zohľadnené pri príprave tohto rozhodnutia.

(292)

Opatrenia stanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru zriadeného podľa článku 93 nariadenia (EÚ) 2016/679,