(1)

V nariadení (EÚ) 2016/679 sa stanovujú pravidlá prenosu osobných údajov od prevádzkovateľov alebo sprostredkovateľov v Európskej únii do tretích krajín a medzinárodným organizáciám, pokiaľ tieto prenosy patria do rozsahu jeho pôsobnosti. Pravidlá medzinárodných prenosov údajov sú stanovené v kapitole V uvedeného nariadenia, a to v článkoch 44 až 50. Hoci je pre rozmach medzinárodnej spolupráce a cezhraničného obchodu nevyhnutný tok osobných údajov do krajín mimo Európskej únie aj z takýchto krajín, prenosy do tretích krajín nesmú ohrozovať poskytovanú úroveň ochrany osobných údajov v Európskej únii (2).

(2)

Podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 môže Komisia prostredníctvom vykonávacieho aktu rozhodnúť, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany. Za tejto podmienky sa prenosy osobných údajov do tretej krajiny môžu uskutočňovať bez potreby získania ďalšieho povolenia, ako sa stanovuje v článku 45 ods. 1 a v odôvodnení 103 uvedeného nariadenia.

(3)

Ako sa uvádza v článku 45 ods. 2 nariadenia (EÚ) 2016/679, prijatie rozhodnutia o primeranosti musí vychádzať z komplexnej analýzy právneho poriadku tretej krajiny, pričom sa vzťahuje na pravidlá uplatniteľné na dovozcov údajov, ako aj na obmedzenia a záruky týkajúce sa prístupu k osobným údajom zo strany orgánov verejnej moci. Komisia musí v rámci svojho posúdenia určiť, či dotknutá tretia krajina zaručuje úroveň ochrany, ktorá v „zásade zodpovedá“ úrovni zabezpečenej v rámci Európskej únie [odôvodnenie 104 nariadenia (EÚ) 2016/679]. Štandard, voči ktorému sa posudzuje „zásadná rovnocennosť“, je štandard stanovený v právnych predpisoch Európskej únie, najmä v nariadení (EÚ) 2016/679, ako aj v judikatúre Súdneho dvora Európskej únie (3). V tejto súvislosti má význam aj referenčné kritérium primeranosti Európskeho výboru pre ochranu údajov (ďalej len „EDPBI“) (4).

(4)

Ako objasnil Súdny dvor Európskej únie, nie je potrebné, aby bola zaistená rovnaká úroveň ochrany (5). Konkrétne prostriedky, ktoré dotknutá tretia krajina využíva na ochranu osobných údajov, sa môžu líšiť od prostriedkov využívaných v Európskej únii, pokiaľ sa v praxi preukáže, že sa nimi účinne zabezpečuje primeraná úroveň ochrany (6). V záujme dosiahnutia štandardu primeranosti teda nie je potrebné, aby pravidlá druhej krajiny do detailu zodpovedali pravidlám Únie. Namiesto toho sa skôr overuje, či zahraničný systém ako celok zabezpečuje prostredníctvom hmotnoprávnej úpravy práv na ochranu údajov a ich účinného vykonávania, vymáhania, ako aj dohľadu nad nimi požadovanú úroveň ochrany (7).

(5)

Komisia dôkladne zanalyzovala právne predpisy a prax Spojeného kráľovstva. Komisia na základe zistení uvedených v odôvodneniach 8 až 270 dospela k záveru, že Spojené kráľovstvo zabezpečuje primeranú úroveň ochrany osobných údajov prenášaných v rámci rozsahu pôsobnosti nariadenia (EÚ) 2016/679 z Európskej únie do Spojeného kráľovstva.

(6)

Tento záver sa netýka osobných údajov prenášaných na účely imigračnej kontroly Spojeného kráľovstva ani takých, ktoré inak patria do rozsahu výnimky z určitých práv dotknutých osôb na účely zachovania účinnej imigračnej kontroly (ďalej len „imigračná výnimka“) podľa bodu 4 ods. 1 prílohy 2 k zákonu Spojeného kráľovstva o ochrane údajov. Platnosť a výklad imigračnej výnimky v rámci práva Spojeného kráľovstva nie sú po rozhodnutí odvolacieho súdu Anglicka a Walesu z 26. mája 2021 jednoznačné. Hoci sa uznáva, že práva dotknutých osôb môžu byť v zásade obmedzené na účely imigračnej kontroly ako „dôležitý aspekt verejného záujmu“, odvolací súd zistil, že imigračná výnimka je vo svojej súčasnej forme nezlučiteľná s právom Spojeného kráľovstva, keďže v legislatívnom opatrení chýbajú konkrétne ustanovenia stanovujúce záruky uvedené v článku 23 ods. 2 všeobecného nariadenia Spojeného kráľovstva o ochrane osobných údajov (8). Za týchto podmienok by prenosy osobných údajov z Únie do Spojeného kráľovstva, na ktoré sa môže uplatniť imigračná výnimka, mali byť vylúčené z pôsobnosti tohto rozhodnutia (9). Po napravení nezlučiteľnosti s právom Spojeného kráľovstva by sa mala imigračná výnimka, ako aj potreba udržiavať obmedzenia pôsobnosti tohto rozhodnutia opätovne posúdiť.

(7)

Toto rozhodnutie by nemalo mať vplyv na priame uplatňovanie nariadenia (EÚ) 2016/679 na organizácie usadené v Spojenom kráľovstve, ak sú splnené podmienky týkajúce sa územnej pôsobnosti uvedeného nariadenia stanovené v jeho článku 3.

(8)

Spojené kráľovstvo je parlamentnou demokraciou, ktorá má ako hlava štátu konštitučného panovníka. Má suverénny parlament, ktorý je nadriadený všetkým ostatným vládnym inštitúciám, orgán výkonnej moci, ktorý je volený z členov parlamentu a ktorý sa tomuto parlamentu zodpovedá, a nezávislé súdnictvo. Výkonná moc vychádza zo spôsobilosti získať vyslovenie dôvery volenej Dolnej snemovne (House of Commons) a zodpovedá sa obom snemovniam parlamentu, ktoré sú zodpovedné za kontrolu vlády a za prerokúvanie a prijímanie zákonov.

(9)

Parlament Spojeného kráľovstva preniesol zodpovednosť za prijímanie právnych predpisov o vnútroštátnych záležitostiach v Škótsku, vo Walese a v Severnom Írsku, ktoré Parlament Spojeného kráľovstva nevyhradil pre seba, na Škótsky parlament, Waleský parlament (Senedd Cymru) a Zhromaždenie Severného Írska. Hoci ochrana údajov je vyhradenou záležitosťou, t. j. rovnaké právne predpisy sa uplatňujú v celej krajine, v ostatných oblastiach politiky relevantných pre toto rozhodnutie sa zodpovednosť preniesla. Napríklad zodpovednosť v rámci systémov trestnej justície vrátane policajnej činnosti v Škótsku a Severnom Írsku sa preniesla na Škótsky parlament, resp. Zhromaždenie Severného Írska. Spojené kráľovstvo nemá kodifikovanú ústavu v zmysle zakotveného konštitutívneho dokumentu. Ústavné zásady sa ustálili postupne, najmä na základe judikatúry a zvyklostí. Súdy uznali ústavnú hodnotu niektorých právnych predpisov, ako je Magna charta, Listina práv z roku 1689 a zákon o ľudských právach z roku 1998. Základné práva jednotlivcov sa formovali ako súčasť ústavy prostredníctvom common law, uvedených právnych predpisov a medzinárodných dohovorov, najmä Európskeho dohovoru o ľudských právach, ktorý Spojené kráľovstvo ratifikovalo v roku 1951. Spojené kráľovstvo v roku 1987 ratifikovalo aj Dohovor Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (dohovor č. 108) (10).

(10)

Zákonom o ľudských právach z roku 1998 (Human Rights Act) sa začleňujú práva obsiahnuté v Európskom dohovore o ľudských právach do práva Spojeného kráľovstva. Zákonom o ľudských právach sa zaručujú každému jednotlivcovi základné práva a slobody stanovené v článkoch 2 až 12 a článku 14 Európskeho dohovoru o ľudských právach, článkoch 1, 2 a 3 prvého protokolu k nemu a článku 1 trinásteho protokolu k nemu v spojení s článkami 16, 17 a 18 uvedeného dohovoru. Patrí sem právo na rešpektovanie súkromného a rodinného života (a ako súčasť tohto práva aj právo na ochranu údajov) a právo na spravodlivý proces (11). Najmä v súlade s článkom 8 uvedeného dohovoru môže štátny orgán do výkonu práva na súkromie zasahovať len v prípadoch, keď je to v súlade so zákonom a nevyhnutné v demokratickej spoločnosti v záujme národnej bezpečnosti, verejnej bezpečnosti, hospodárskeho blahobytu krajiny, predchádzania nepokojom a zločinnosti, ochrany zdravia alebo morálky alebo ochrany práv a slobôd iných.

(11)

V súlade so zákonom o ľudských právach z roku 1998 musí byť každá činnosť orgánov verejnej moci zlučiteľná s právom podľa dohovoru (12). Okrem toho je potrebné, aby sa primárne a podriadené právne predpisy interpretovali a uplatňovali spôsobom, ktorý je zlučiteľný s právami vyplývajúcim z dohovoru (13).

(12)

Spojené kráľovstvo vystúpilo z Európskej únie 31. januára 2020. Na základe Dohody o vystúpení Spojeného kráľovstva Veľkej Británie a Severného Írska z Európskej únie a z Európskeho spoločenstva pre atómovú energiu (14) sa právo Únie naďalej uplatňovalo v Spojenom kráľovstve počas prechodného obdobia do 31. decembra 2020. Legislatívny rámec ochrany osobných údajov v Spojenom kráľovstve pred vystúpením a počas prechodného obdobia pozostával z príslušných právnych predpisov EÚ [najmä nariadenia (EÚ) 2016/679 a smernice Európskeho parlamentu a Rady (EÚ) 2016/680 (15)] a vnútroštátnych právnych predpisov, najmä zo zákona o ochrane údajov z roku 2018 (Data Protection Act) (16), v ktorom sa stanovujú vnútroštátne pravidlá v prípadoch, keď to umožňuje nariadenie (EÚ) 2016/679, pričom sa špecifikuje a obmedzuje uplatňovanie pravidiel nariadenia (EÚ) 2016/679 a transponovanej smernice (EÚ) 2016/680.

(13)

Vláda Spojeného kráľovstva s cieľom pripraviť sa na vystúpenie z EÚ prijala zákon o vystúpení z Európskej únie z roku 2018 (17), ktorým sa priamo uplatniteľné právne predpisy Únie začleňujú do práva Spojeného kráľovstva (18). Toto tzv. ponechané právo EÚ zahŕňa nariadenie (EÚ) 2016/679 v celom jeho rozsahu (vrátane odôvodnení) (19). V súlade s uvedeným zákonom musia súdy Spojeného kráľovstva vykladať nezmenené ponechané právo EÚ v súlade s príslušnou judikatúrou Súdneho dvora a všeobecnými zásadami práva Únie tak, ako boli účinné bezprostredne pred skončením prechodného obdobia (nazývané „ponechaná judikatúra EÚ“, resp. „ponechané všeobecné zásady práva EÚ“) (20).

(14)

Podľa zákona o vystúpení z Európskej únie z roku 2018 majú ministri Spojeného kráľovstva právomoc prostredníctvom štatutárnych nástrojov zaviesť sekundárne právne predpisy s cieľom vykonať v dôsledku vystúpenia Spojeného kráľovstva z Európskej únie potrebné zmeny v ponechanom práve Európskej únie. Túto právomoc uplatnili prijatím právnych predpisov o ochrane údajov, súkromia a elektronických komunikáciách v dôsledku vystúpenia z EÚ z roku 2019 (DPPEC Regulations) (21). Právnymi predpismi o ochrane údajov, súkromí a elektronických komunikáciách sa mení nariadenie (EÚ) 2016/679, ktoré sa do nich zaviedlo prostredníctvom zákona o vystúpení z Európskej únie z roku 2018, zákona o ochrane údajov z roku 2018 a ďalších právnych predpisov o ochrane údajov, aby zodpovedalo vnútroštátnym okolnostiam (22).

(15)

Právny rámec ochrany osobných údajov v Spojenom kráľovstve po skončení prechodného obdobia teda tvorí:

(16)

Keďže sa všeobecné nariadenie Spojeného kráľovstva o ochrane údajov zakladá na právnych predpisoch EÚ, pravidlá ochrany údajov v Spojenom kráľovstve v mnohých aspektoch odzrkadľujú príslušné pravidlá, ktoré sú platné v Európskej únii.

(17)

Okrem právomocí, ktoré sa ministrovi priznávajú prostredníctvom zákona o vystúpení z Európskej únie z roku 2018, v niekoľkých ustanoveniach zákona o ochrane údajov z roku 2018 sa ministrovi priznáva právomoc prijímať sekundárne právne predpisy s cieľom zmeniť určité ustanovenia zákona alebo stanoviť doplnkové a dodatočné pravidlá (25). Minister dosiaľ uplatnil len právomoc podľa § 137 zákona o ochrane údajov z roku 2018, ktorou bolo prijať právne predpisy o ochrane údajov (poplatky a informácie) (zmena) z roku 2019, v ktorých sa stanovujú okolnosti, keď sú prevádzkovatelia povinní platiť ročný poplatok nezávislému orgánu Spojeného kráľovstva pre ochranu údajov, Komisárovi pre informácie.

(18)

Napokon sa ďalšie usmernenia týkajúce sa právnych predpisov Spojeného kráľovstva o ochrane údajov uvádzajú v kódexoch postupov a iných usmerneniach, ktoré prijíma Komisár pre informácie. Aj keď tieto usmernenia nie sú z formálneho hľadiska právne záväzné, majú význam, pokiaľ ide o výklad, a ukazujú, ako Komisár v praxi uplatňuje a presadzuje právne predpisy o ochrane údajov. Konkrétne v § 121 až § 125 zákona o ochrane údajov z roku 2018 sa od Komisára vyžaduje, aby vypracoval kódexy postupov v oblasti poskytovania údajov, priameho marketingu, navrhovania primeranému veku, ochrany údajov a žurnalistiky.

(19)

Právny rámec Spojeného kráľovstva, ktorý sa uplatňuje na údaje prenášané podľa tohto rozhodnutia, je teda svojou štruktúrou a hlavnými zložkami veľmi podobný rámcu, ktorý sa uplatňuje v Európskej únii. To zahŕňa aj skutočnosť, že takýto rámec sa neopiera len o povinnosti stanovené vo vnútroštátnom práve, ktoré boli formované právom EÚ, ale aj o povinnosti zakotvené v medzinárodnom práve, najmä prostredníctvom pristúpenia Spojeného kráľovstva k EDĽP a dohovoru č. 108, ako aj o podriadenie tohto rámca pod právomoc Európskeho súdu pre ľudské práva. Tieto povinnosti vyplývajúce z právne záväzných medzinárodných nástrojov, najmä pokiaľ ide o ochranu osobných údajov, sú preto osobitne dôležitým prvkom právneho rámca posudzovaného v tomto rozhodnutí.

(20)

Všeobecné nariadenie Spojeného kráľovstva o ochrane údajov sa podobne ako nariadenie (EÚ) 2016/679 vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami alebo na iné spracúvanie v prípade osobných údajov, ktoré tvoria súčasť informačného systému (26). Vymedzenie pojmov „osobné údaje“, „dotknutá osoba“ a „spracúvanie“ vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov je totožné s vymedzením pojmov v nariadení (EÚ) 2016/679 (27). Všeobecné nariadenie Spojeného kráľovstva o ochrane údajov sa navyše vzťahuje na manuálne neštruktúrované spracúvanie osobných údajov (28), ktoré majú v držbe niektoré orgány verejnej moci Spojeného kráľovstva (29), hoci zásady a práva vyplývajúce zo všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktoré nie sú relevantné pre takéto osobné údaje, sa nevzťahujú na § 24 a § 25 zákona o ochrane údajov z roku 2018. Podobne ako v ustanoveniach nariadenia (EÚ) 2016/679 sa ani všeobecné nariadenie Spojeného kráľovstva o ochrane údajov nevzťahuje na spracúvanie osobných údajov jednotlivcom v rámci výlučne osobnej alebo domácej činnosti (30).

(21)

Všeobecným nariadením Spojeného kráľovstva o ochrane údajov sa rozširuje jeho pôsobnosť aj na spracúvanie v rámci činnosti, ktorá bezprostredne pred koncom prechodného obdobia nepatrila do pôsobnosti práva Európskej únie (napr. národná bezpečnosť) (31) alebo patrila do pôsobnosti kapitoly 2 hlavy 5 Zmluvy o Európskej únii (činnosti spoločnej zahraničnej a bezpečnostnej politiky) (32). Všeobecné nariadenie Spojeného kráľovstva o ochrane údajov sa tak, ako to je aj v systéme Európskej únie, nevzťahuje na spracúvanie osobných údajov príslušným orgánom na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania (tzv. účely presadzovania práva) – takéto spracúvanie sa namiesto toho riadi časťou 3 zákona o ochrane údajov z roku 2018, ako je to v prípade smernice (EÚ) 2016/680 podľa práva Európskej únie – ani na spracúvanie osobných údajov spravodajskými službami [Security Service (Bezpečnostná služba), Secret Intelligence Service (Tajná spravodajská služba) a Government Communications Headquarters (Vládne komunikačné ústredie)], na ktoré sa vzťahuje časť 4 zákona o ochrane údajov z roku 2018 (33).

(22)

Územná pôsobnosť všeobecného nariadenia Spojeného kráľovstva o ochrane osobných údajov je opísaná v článku 3 všeobecného nariadenia Spojeného kráľovstva o ochrane osobných údajov (34) a zahŕňa spracúvanie osobných údajov (bez ohľadu na miesto spracúvania) v kontexte činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Spojenom kráľovstve, ako aj spracúvanie osobných údajov dotknutých osôb, ktoré sa nachádzajú v Spojenom kráľovstve, ak spracovateľské činnosti súvisia s ponukou tovaru alebo služieb týmto dotknutým osobám alebo so sledovaním ich správania (35). Uvedené odráža prístup prijatý v článku 3 smernice (EÚ) 2016/679.

(23)

Vymedzenie pojmov osobné údaje, prevádzkovateľ a sprostredkovateľ, ako aj vymedzenie pojmu pseudonymizácia stanovené v nariadení (EÚ) 2016/679 sa vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov ponechalo bez ďalších podstatných zmien (36). Navyše osobitné kategórie osobných údajov sú vymedzené v článku 9 ods. 1 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov rovnako ako v nariadení (EÚ) 2016/679 („odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby“). V § 205 zákona o ochrane údajov z roku 2018 sa uvádza vymedzenie pojmov „biometrické údaje“ (37), „údaje týkajúce sa zdravia“ (38) a „genetické údaje“ (39).

(24)

Osobné údaje by sa mali spracúvať zákonným a spravodlivým spôsobom.

(25)

Zásady zákonnosti, spravodlivosti a transparentnosti a dôvody na zákonné spracúvanie sa zaručujú v práve Spojeného kráľovstva prostredníctvom článku 5 ods. 1 písm. a) a článku 6 ods. 1 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktoré sú totožné s príslušnými ustanoveniami nariadenia (EÚ) 2016/679 (40). § 8 zákona o ochrane údajov z roku 2018 dopĺňa článok 6 ods. 1 písm. e) uvedením, že spracúvanie osobných údajov podľa článku 6 ods. 1 písm. e) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci prevádzkovateľa) zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné na výkon spravodlivosti, výkon funkcie niektorej zo snemovní parlamentu, výkon funkcie zverenej osobe na základe zákonného ustanovenia alebo právnej normy, výkon funkcie koruny, ministra koruny alebo ministerstva alebo činnosť na podporu a propagáciu demokratickej angažovanosti.

(26)

Pokiaľ ide o vyjadrenie súhlasu (jeden z dôvodov na zákonné spracúvanie), vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov sa ponechávajú aj nezmenené podmienky stanovené v článku 7 nariadenia (EÚ) 2016/679, čo znamená, že prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas, musí sa predložiť písomná žiadosť o súhlas, ktorá je jasne a jednoducho formulovaná, dotknutá osoba musí mať právo kedykoľvek odvolať súhlas a pri posudzovaní, či bol súhlas poskytnutý slobodne, by sa malo zohľadniť, či sa plnenie zmluvy podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný. Okrem toho je podľa článku 8 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov v kontexte poskytovania služieb informačnej spoločnosti súhlas dieťaťa zákonný, len ak má dieťa aspoň 13 rokov. Patrí tak do vekovej skupiny stanovenej v článku 8 nariadenia (EÚ) 2016/679.

(27)

Na spracúvanie „osobitných kategórií“ údajov by sa mali vzťahovať osobitné záruky.

(28)

Všeobecné nariadenie Spojeného kráľovstva o ochrane údajov a zákon o ochrane údajov z roku 2018 obsahujú osobitné pravidlá týkajúce sa spracúvania osobitných kategórií osobných údajov, ktoré sú vymedzené v článku 9 ods. 1 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov rovnakým spôsobom ako v nariadení (EÚ) 2016/679 (pozri odôvodnenie 23). Podľa článku 9 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov je spracúvanie osobitných kategórií údajov v zásade zakázané, ak sa neuplatňuje osobitná výnimka.

(29)

Týmito výnimkami (uvedenými v článku 9 ods. 2 a 3 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov) sa oproti výnimkám uvedeným v článku 9 ods. 2 a 3 nariadenia (EÚ) 2016/679 nezavádzajú podstatné zmeny. Pokiaľ dotknutá osoba nevyjadrila výslovný súhlas so spracúvaním týchto osobných údajov, spracúvanie osobitných kategórií osobných údajov je povolené len za osobitných a obmedzených okolností. Vo väčšine prípadov musí byť spracúvanie citlivých údajov nevyhnutné na konkrétny účel vymedzený v príslušnom ustanovení [pozri článok 9 ods. 2 písm. b), c), f), g), h), i) a j)].

(30)

Okrem toho, ak sa výnimkou podľa článku 9 ods. 2 všeobecného nariadenia o ochrane údajov vyžaduje povolenie prostredníctvom právneho predpisu alebo odkazuje na verejný záujem, v § 10 zákona o ochrane údajov z roku 2018, ako aj v prílohe 1 k zákonu o ochrane údajov z roku 2018 sa ďalej stanovuje, že podmienky musia byť splnené, aby sa mohli uplatniť výnimky. Napríklad v prípade spracúvania citlivých údajov na ochranu „verejného zdravia“ [§ 9 ods. 2 písm. i) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov] sa v časti 1 bode 3 písm. b) prílohy 1 vyžaduje, aby sa takéto spracúvanie okrem toho, že sa musí overiť jeho nevyhnutnosť, vykonávalo „zdravotníckym pracovníkom alebo na jeho zodpovednosť“ alebo „inou osobou, ktorá má povinnosť zachovávať dôvernosť na základe zákonného ustanovenia alebo právnej normy“ vrátane povinnosti zachovávať dôvernosť podľa zavedeného common law.

(31)

V prípade, že sa citlivé údaje spracúvajú z dôvodov významného verejného záujmu [(článok 9 ods. 2 písm. g) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov], v časti 2 prílohy 1 k zákonu o ochrane údajov z roku 2018 sa uvádza podrobný zoznam účelov, ktoré možno považovať za dôvody významného verejného záujmu, a stanovujú sa v nej dodatočné podmienky pre každý z týchto účelov. Za významný verejný záujem sa napríklad uznáva podpora rasovej a etnickej rozmanitosti na vyšších úrovniach organizácií. Spracúvanie citlivých údajov na tento konkrétny účel podlieha podrobným požiadavkám vrátane toho, aby sa spracúvanie vykonávalo ako súčasť procesu identifikácie vhodných jednotlivcov na vyššie pozície, bolo nevyhnutné na podporu rasovej a etnickej rozmanitosti a nebolo pravdepodobné, že spôsobí dotknutej osobe významnú škodu alebo významné ťažkosti.

(32)

V § 11 ods. 1 zákona o ochrane údajov z roku 2018 sa stanovujú podmienky spracúvania osobných údajov za okolností uvedených v článku 9 ods. 3 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktorý súvisí s povinnosťou zachovávať mlčanlivosť. Patria sem aj okolnosti, za ktorých sa spracúvanie vykonáva zdravotníckym alebo sociálnym pracovníkom alebo na jeho zodpovednosť, alebo inou osobou, ktorá má na základe zákonného ustanovenia alebo právnej normy povinnosť zachovávať dôvernosť za daných okolností.

(33)

Navyše si mnoho výnimiek uvedených v článku 9 ods. 2 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov vyžaduje vhodné a osobitné záruky, aby sa mohli uplatniť. V závislosti od povahy spracúvania a úrovne rizika pre práva a slobody dotknutých osôb sa v podmienkach spracúvania stanovených v prílohe 1 k zákonu o ochrane údajov z roku 2018 uvádzajú rôzne záruky. V prílohe 1 sa stanovujú podmienky každej príslušnej situácie spracúvania.

(34)

V niektorých prípadoch sa zákonom o ochrane údajov z roku 2018 upravuje a obmedzuje typ citlivých údajov, ktoré sa môžu spracúvať v záujme konkrétneho právneho základu, ktorý sa má dodržať. Napríklad v bode 8 prílohy 1 sa povoľuje spracúvanie citlivých údajov na účel podpory rovnosti príležitostí alebo rovnakého zaobchádzania. Táto podmienka spracúvania sa môže uplatniť len vtedy, ak údaje odhaľujú rasový alebo etnický pôvod, náboženské alebo filozofické presvedčenie, sexuálnu orientáciu alebo ide o údaje týkajúce sa zdravia.

(35)

V niektorých prípadoch sa zákonom o ochrane údajov z roku 2018 obmedzuje typ prevádzkovateľa, ktorý môže uplatniť podmienku spracúvania. Napríklad v bode 23 prílohy 1 sa stanovuje spracúvanie citlivých údajov vo vzťahu k odpovediam volených zástupcov určeným verejnosti. Táto podmienka spracúvania sa môže uplatniť len vtedy, ak je prevádzkovateľ voleným zástupcom alebo koná na základe jeho poverenia.

(36)

V niektorých prípadoch sa v zákone o ochrane údajov z roku 2018 stanovujú obmedzenia kategórií dotknutých osôb na účely podmienky spracúvania, ktorá sa má uplatniť. Napríklad v bode 21 prílohy 1 sa upravuje spracúvanie citlivých údajov v súvislosti so zamestnaneckými dôchodkovými systémami. Táto podmienka sa môže uplatniť len vtedy, ak je daná dotknutá osoba súrodencom, rodičom, starým rodičom alebo prastarým rodičom člena systému.

(37)

Okrem toho, ak sa vychádza z výnimiek uvedených v článku 9 ods. 2 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktoré sú bližšie špecifikované v § 10 zákona o ochrane údajov z roku 2018, ako aj v prílohe 1 k zákonu o ochrane údajov z roku 2018, od prevádzkovateľa sa vo väčšine prípadov vyžaduje, aby vypracoval „riadny dokument stanovujúci politiku spracúvania“. Musia sa v ňom uviesť postupy prevádzkovateľa na zabezpečenie dodržiavania zásad stanovených v článku 5 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. Musia sa v ňom stanoviť aj politiky uchovávania a vymazávania, pričom sa uvedie pravdepodobné obdobie uchovávania. Prevádzkovatelia musia tento dokument podľa potreby preskúmať a aktualizovať. Prevádzkovateľ musí dokument stanovujúci politiku uchovávať šesť mesiacov po ukončení spracúvania a na požiadanie ho musí sprístupniť Komisárovi pre informácie (41).

(38)

Podľa bodu 41 prílohy 1 k zákonu o ochrane údajov z roku 2018 dokument stanovujúci politiku musí vždy sprevádzať rozšírený záznam o spracúvaní. V tomto zázname musia byť poznačené záväzky zahrnuté v dokumente stanovujúcom politiku, t. j. či sa údaje mažú alebo uchovávajú v súlade s politikami. Ak sa politiky nedodržiavajú, v logu musia byť zaznamenané dôvody. V zázname sa musí takisto uviesť, ako spracúvanie spĺňa ustanovenia článku 6 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (zákonnosť spracúvania) a osobitnú podmienku uvedenú v prílohe 1 k zákonu o ochrane údajov z roku 2018, z ktorej vychádza.

(39)

Napokon sa vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov rovnako ako v nariadení (EÚ) 2016/679 stanovujú aj všeobecné záruky pre určité spracovateľské operácie osobitných kategórií údajov. Článkom 35 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa vyžaduje posúdenie vplyvu na ochranu údajov, ak sa spracúvajú osobitné kategórie údajov vo veľkom rozsahu. Prevádzkovateľ alebo sprostredkovateľ musí podľa článku 37 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov určiť zodpovednú osobu, ak spracúvanie osobitných kategórií údajov vo veľkom rozsahu predstavuje jeho hlavné činnosti.

(40)

Pokiaľ ide o osobné údaje týkajúce sa uznania viny za trestné činy a priestupky, článok 10 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov je totožný s článkom 10 nariadenia (EÚ) 2016/679. Umožňuje sa ním spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky len pod kontrolou orgánu verejnej moci alebo ak je spracúvanie povolené vnútroštátnym právom poskytujúcim primerané záruky ochrany práv a slobôd dotknutých osôb.

(41)

Ak sa spracúvanie údajov týkajúcich sa uznania viny za trestné činy a priestupky nevykonáva pod kontrolou orgánu verejnej moci, v § 10 ods. 5 zákona o ochrane údajov z roku 2018 sa stanovuje, že takéto spracúvanie sa môže uskutočniť len na konkrétne účely/v osobitných situáciách stanovených v častiach 1, 2 a 3 prílohy 1 k zákonu o ochrane údajov z roku 2018 a podlieha osobitným požiadavkám, ktoré sú stanovené na každý z týchto účelov/pre každú z týchto situácií. Napríklad neziskové subjekty môžu spracúvať údaje týkajúce sa uznania viny za trestné činy, ak spracúvanie vykonáva a) v rámci svojej zákonnej činnosti s primeranými zárukami nadácia, združenie alebo akýkoľvek iný neziskový subjekt s politickým, filozofickým, náboženským alebo odborárskym zameraním a b) pod podmienkou, že i) spracúvanie sa týka výlučne členov alebo bývalých členov subjektu, alebo osôb, ktoré s ním majú pravidelný kontakt v súvislosti s jeho cieľmi, a že ii) bez súhlasu dotknutej osoby sa osobné údaje neposkytnú mimo tohto subjektu.

(42)

Okrem toho sa v časti 3 prílohy 1 k zákonu o ochrane údajov z roku 2018 stanovujú ďalšie okolnosti, za ktorých sa môžu použiť údaje týkajúce sa uznania viny za trestné činy, ktoré zodpovedajú právnym dôvodom na spracúvanie citlivých údajov uvedeným v článku 9 ods. 2 nariadenia (EÚ) 2016/679 a všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (napr. súhlas dotknutej osoby, životne dôležité záujmy jednotlivca, ak dotknutá osoba nie je právne alebo fyzicky spôsobilá vyjadriť svoj súhlas, ak údaje už preukázateľne zverejnila dotknutá osoba, ak je spracúvanie nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov atď.).

(43)

Osobné údaje by sa mali spracúvať na konkrétny účel a následne by sa mali používať len pokiaľ to nie je nezlučiteľné s daným účelom spracúvania.

(44)

Táto zásada sa stanovuje v článku 5 ods. 1 písm. b) nariadenia (EÚ) 2016/679 a v článku 5 ods. 1 písm. b) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa ponecháva bez zmien. Podmienky ďalšieho zlučiteľného spracúvania podľa článku 6 ods. 4 nariadenia (EÚ) 2016/679 sa takisto ponechávajú v článku 6 ods. 4 písm. a) až e) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov bez podstatných zmien.

(45)

Údaje by takisto mali byť správne a v prípade potreby sa mali aktualizovať. Mali by byť aj primerané, relevantné a nie nadmerné vzhľadom na účely, na ktoré sa spracúvajú, a v zásade by sa nemali uchovávať dlhšie, ako je nevyhnutné na účely, na ktoré sa osobné údaje spracúvajú.

(46)

Tieto zásady minimalizácie údajov, správnosti a minimalizácie uchovávania sú stanovené v článku 5 ods. 1 písm. c) až e) nariadenia (EÚ) 2016/679 a v článku 5 ods. 1 písm. c) až e) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa ponechávajú bez zmien.

(47)

Osobné údaje by sa navyše mali spracúvať spôsobom, ktorým sa zaručí ich bezpečnosť vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením. Na tento účel by podnikateľské subjekty mali prijať vhodné technické alebo organizačné opatrenia na ochranu osobných údajov pred možnými hrozbami. Tieto opatrenia by sa mali posudzovať s prihliadnutím na stav techniky a súvisiace náklady.

(48)

Bezpečnosť údajov sa zakotvuje v práve Spojeného kráľovstva prostredníctvom zásady integrity a dôvernosti uvedenej v článku 5 ods. 1 písm. f) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a v článku 32 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktorý sa týka bezpečnosti spracúvania. Tieto ustanovenia sú totožné s príslušnými ustanoveniami nariadenia (EÚ) 2016/679. Navyše za rovnakých podmienok, ako sú podmienky stanovené v článkoch 33 a 34 nariadenia (EÚ) 2016/679, sa vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov vyžaduje oznámenie porušenia ochrany osobných údajov dozornému orgánu (článok 33 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov) a oznámenie porušenia ochrany osobných údajov dotknutej osobe (článok 34 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov).

(49)

Dotknuté osoby by mali byť informované o hlavných znakoch spracúvania ich osobných údajov.

(50)

Zabezpečuje sa to článkami 13 a 14 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, v ktorých sa okrem všeobecnej zásady transparentnosti stanovujú pravidlá o informáciách, ktoré sa majú poskytnúť dotknutej osobe (42). Vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov sa neuvádzajú podstatné zmeny týchto pravidiel oproti príslušným článkom nariadenia (EÚ) 2016/679. Požiadavky na transparentnosť uvedené v týchto článkoch však rovnako ako v nariadení (EÚ) 2016/679 podliehajú niekoľkým výnimkám stanoveným v zákone o ochrane údajov z roku 2018 (pozri odôvodnenia 55 až 72).

(51)

Dotknuté osoby by mali mať určité práva, ktoré možno uplatniť voči prevádzkovateľovi alebo sprostredkovateľovi, najmä právo na prístup k údajom, právo namietať proti spracúvaniu a právo na opravu a vymazanie údajov. Tieto práva môžu zároveň podliehať obmedzeniam, pokiaľ sú tieto obmedzenia nevyhnutné a primerané vzhľadom na zabezpečenie verejnej bezpečnosti alebo iných dôležitých cieľov všeobecného verejného záujmu.

(52)

Vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov sa jednotlivcom priznávajú rovnaké vymáhateľné práva ako v nariadení (EÚ) 2016/679. Ustanovenia, v ktorých sa uvádzajú práva jednotlivcov, sa vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov ponechali bez podstatných úprav.

(53)

Medzi tieto práva patrí právo dotknutej osoby na prístup k údajom (článok 15 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov), právo na opravu (článok 16 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov), právo na vymazanie (článok 17 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov), právo na obmedzenie spracúvania (článok 18 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov), oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvania (článok 19 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov), právo na prenosnosť údajov (článok 20 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov) a právo namietať (článok 21 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov) (43). Právo namietať zahŕňa aj právo dotknutej osoby namietať proti spracúvaniu osobných údajov na účel priameho marketingu, ako sa stanovuje v článku 21 ods. 2 a 3 nariadenia (EÚ) 2016/679. Okrem toho podľa § 122 zákona o ochrane údajov z roku 2018 Komisár pre informácie musí vypracovať kódex postupov vo vzťahu k vykonávaniu priameho marketingu v súlade s požiadavkami právnych predpisov o ochrane údajov [a právnych predpisov o súkromí a elektronických komunikáciách (podľa smernice ES) z roku 2003] a ďalšie takéto usmernenia na podporu osvedčených postupov v priamom marketingu, ktoré Komisár považuje za primerané. Úrad Komisára pre informácie v súčasnosti vypracúva kódex v oblasti priameho marketingu (44).

(54)

Právo dotknutej osoby, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú, stanovené v článku 22 všeobecného nariadenia o ochrane údajov sa takisto ponechalo vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov bez podstatných zmien. V § 14 zákona o ochrane údajov z roku 2018 sa však dopĺňa nový § 3A, v ktorom sa stanovujú záruky pre práva, slobody a oprávnené záujmy dotknutých osôb, ak sa spracúvanie vykonáva podľa článku 22 ods. 2 písm. b) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. Uplatňuje sa to len vtedy, ak je základom takéhoto rozhodnutia povolenie alebo požiadavka podľa práva Spojeného kráľovstva, a neuplatňuje sa, ak je rozhodnutie nevyhnutné podľa zmluvy alebo je prijaté s výslovným súhlasom dotknutej osoby. Ak sa § 14 zákona o ochrane údajov z roku 2018 uplatňuje, prevádzkovateľ musí čo najskôr písomne oznámiť dotknutej osobe, že sa prijalo rozhodnutie založené výlučne na automatizovanom spracúvaní. Dotknutá osoba má právo požadovať, aby prevádzkovateľ do jedného mesiaca od prijatia oznámenia prehodnotil rozhodnutie, alebo aby prijal nové rozhodnutie, ktoré nie je založené výlučne na automatizovanom spracúvaní. Pokiaľ ide o automatizované rozhodovanie, minister je oprávnený prijať ďalšie záruky. Táto právomoc sa ešte neuplatnila.

(55)

V zákone o ochrane údajov z roku 2018 sa stanovuje niekoľko obmedzení individuálnych práv, ktoré patria do rámca pôsobnosti článku 23 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. V tomto rámci sa nezavádzajú žiadne obmedzenia týkajúce sa práva namietať proti priamemu marketingu, ako sa stanovuje v článku 21 ods. 2 a 3 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ani práva nepodliehať automatizovanému rozhodovaniu, ako sa stanovuje v článku 22 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov.

(56)

Obmedzenia sú podrobne uvedené v prílohách 2 až 4 k zákonu o ochrane údajov z roku 2018. Orgány Spojeného kráľovstva vysvetlili, že sa riadia dvomi zásadami: zásada špecifickosti (zavedenie podrobného prístupu, rozdelenie všeobecných obmedzení na viaceré konkrétnejšie ustanovenia) a zásada podmienenosti (každé ustanovenie je doplnené zárukami vo forme obmedzení alebo podmienok s cieľom zabrániť zneužitiu) (45).

(57)

Obmedzenia uvedené v článku 23 ods. 1 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sú navrhnuté tak, aby sa zabezpečilo ich uplatňovanie iba za špecifických okolností, ak sú nevyhnutné v demokratickej spoločnosti a primerané oprávnenému cieľu, ktorý sledujú. Okrem toho sa v súlade s ustálenou judikatúrou o výklade obmedzení výnimka z režimu ochrany údajov môže uplatniť len v každom konkrétnom prípade, keď je to nevyhnutné a primerané (46). Vyžaduje sa, aby overenie nevyhnutnosti bolo „prísne s požiadavkou, aby akýkoľvek zásah do práv dotknutej osoby bol primeraný závažnosti ohrozenia verejného záujmu. Jeho vykonanie si preto vyžaduje klasickú analýzu proporcionality (47)“.

(58)

Ciele sledované týmito obmedzeniami zodpovedajú cieľom uvedeným v článku 23 nariadenia (EÚ) 2016/679 s výnimkou obmedzení národnej bezpečnosti a obrany, ktoré sú namiesto toho upravené § 26 zákona o ochrane údajov z roku 2018, ale podliehajú rovnakým požiadavkám nevyhnutnosti a proporcionality (pozri odôvodnenia 63 až 66).

(59)

Niektoré z obmedzení, napríklad obmedzenia súvisiace s predchádzaním trestnej činnosti alebo jej odhaľovaním, so zadržaním alebo s trestným stíhaním páchateľov a posúdením alebo výberom dane alebo cla (48), umožňujú obmedziť všetky individuálne práva a povinnosti týkajúce sa transparentnosti (s výnimkou práv podľa článku 21 ods. 2 a článku 22). Rozsah ďalších obmedzení sa vzťahuje na povinnosti týkajúce sa transparentnosti a prístupové práva, ako sú obmedzenia súvisiace s dôvernosťou komunikácie medzi advokátom a jeho klientom (49), právom na oslobodenie od povinnosti poskytovať informácie, ktoré by viedli k výpovedi vo vlastný neprospech (50), a podnikovým financovaním, najmä s predchádzaním obchodovaniu s využitím dôverných informácií (51). Niekoľko obmedzení umožňuje obmedziť povinnosť prevádzkovateľa oznámiť porušenie ochrany údajov dotknutej osobe a zásady obmedzenia účelu a zákonnosti, spravodlivosti a transparentnosti spracúvania (52).

(60)

Niektoré obmedzenia sa automaticky uplatňujú „v plnej miere“ na určité typy spracúvania osobných údajov (napríklad uplatňovanie povinností týkajúcich sa transparentnosti a individuálnych práv sa vylučuje, ak sa osobné údaje spracúvajú na účely posúdenia vhodnosti osoby na funkciu sudcu alebo osobné údaje spracúva súd, tribunál alebo jednotlivec pri výkone súdnej právomoci).

(61)

Vo väčšine prípadov sa však v príslušnom bode prílohy 2 k zákonu o ochrane údajov z roku 2018 uvádza, že obmedzenie sa uplatňuje len vtedy, ak (a v takom rozsahu, v akom) by uplatňovanie ustanovení „mohlo poškodiť“ oprávnený cieľ sledovaný týmto obmedzením: napríklad uvedené ustanovenia všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa nevzťahujú na osobné údaje spracúvané na účely predchádzania trestnej činnosti alebo jej odhaľovania, zadržania alebo trestného stíhania páchateľov, posúdenia alebo výberu dane alebo cla „v rozsahu, v akom by uplatňovanie týchto ustanovení mohlo poškodiť“ ktorúkoľvek z uvedených činností (53).

(62)

Súdy Spojeného kráľovstva konzistentne vykladajú zásadu „by mohlo poškodiť“ ako „veľmi vysokú a vážnu pravdepodobnosť poškodenia identifikovaných verejných záujmov (54)“. Obmedzenie, na ktoré sa vzťahuje overenie kritéria poškodenia, preto možno uplatniť len vtedy a v takom rozsahu, pokiaľ existuje veľmi vysoká a vážna pravdepodobnosť, že by priznanie určitého práva poškodilo príslušný verejný záujem. Prevádzkovateľ je zodpovedný za posúdenie jednotlivých prípadov, či sú tieto podmienky splnené (55).

(63)

Okrem obmedzení uvedených v prílohe 2 k zákonu o ochrane údajov z roku 2018 je v § 26 toho istého zákona uvedená výnimka, ktorá sa môže uplatňovať na určité ustanovenia všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a zákona o ochrane údajov z roku 2018, ak sa tá výnimka vyžaduje na účely ochrany národnej bezpečnosti alebo na účely obrany. Táto výnimka sa vzťahuje na zásady ochrany údajov (okrem zásady zákonnosti), na povinnosti týkajúce sa transparentnosti, práva dotknutej osoby, povinnosť oznámiť porušenie ochrany údajov, pravidlá pre medzinárodné prenosy, niektoré povinnosti a právomoci Komisára pre informácie a na pravidlá pre prostriedky nápravy, záväzky a sankcie s výnimkou ustanovenia o všeobecných podmienkach ukladania správnych pokút, ktoré sú uvedené v článku 83 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, a ustanovenia o sankciách v článku 84 toho istého nariadenia. Okrem toho sa v § 28 zákona o ochrane údajov z roku 2018 upravuje uplatnenie článku 9 ods. 1 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, aby sa umožnilo spracúvanie osobitných kategórií údajov podľa tohto článku, pokiaľ sa spracúvanie vykonáva na účely ochrany národnej bezpečnosti alebo na účely obrany a s primeranými zárukami v súvislosti s právami a slobodami dotknutých osôb (56).

(64)

Výnimka sa môže uplatňovať, iba ak sa to vyžaduje na účely ochrany národnej bezpečnosti alebo obrany. Keďže sa to týka aj ďalších výnimiek, ktoré umožňuje zákon o ochrane údajov z roku 2018, prevádzkovateľ ich musí posudzovať a uplatňovať podľa jednotlivých prípadov. Okrem toho každé uplatnenie výnimky musí byť v súlade s normami v oblasti ľudských práv (na základe zákona o ľudských právach z roku 1998), podľa ktorých akýkoľvek zásah do práv na súkromie by mal byť v demokratickej spoločnosti nevyhnutný a primeraný (57).

(65)

Tento výklad výnimky potvrdil Komisár pre informácie, ktorý vydal podrobné usmernenie k uplatňovaniu výnimky týkajúcej sa národnej bezpečnosti a obrany, pričom objasnil, že prevádzkovateľ ju musí posudzovať a uplatňovať podľa jednotlivých prípadov (58). V usmernení sa zdôrazňuje najmä to, že „toto nie je paušálna výnimka“ a na jej uplatnenie „nestačí, aby sa údaje spracúvali na účely národnej bezpečnosti“. Na druhej strane prevádzkovateľ, ktorý sa na ňu odvoláva, musí „preukázať, že existuje skutočná možnosť nepriaznivých dôsledkov na národnú bezpečnosť“, a v prípade potreby sa od prevádzkovateľa očakáva, že „poskytne [Komisárovi pre informácie] dôkaz, prečo túto výnimku uplatnil“. Usmernenie obsahuje kontrolný zoznam a viacero príkladov na ďalšie objasnenie podmienok, za ktorých je možné odvolať sa na túto výnimku.

(66)

Skutočnosť, že údaje sa spracúvajú na účely národnej bezpečnosti alebo obrany, sama osebe nepostačuje na uplatnenie výnimky. Prevádzkovateľ musí posúdiť skutočné dôsledky pre národnú bezpečnosť, ak to musí byť v súlade s konkrétnym ustanovením o ochrane údajov. Výnimka sa môže uplatniť iba na tie konkrétne ustanovenia, o ktorých sa zistilo, že predstavujú riziko a musia sa uplatňovať tak obmedzene, ako je to možné (59).

(67)

Tento prístup potvrdil tribunál pre informácie (Information Tribunal) (60). Vo veci Baker/Secretary of State for the Home Department (ďalej len „Baker/Secretary of State“) rozhodol, že bolo nezákonné uplatniť výnimku týkajúcu sa národnej bezpečnosti ako paušálnu výnimku pre žiadosti o prístup, ktoré dostanú spravodajské služby. Namiesto toho sa výnimka mala uplatňovať v jednotlivých prípadoch, pričom sa mala preskúmať podstata každej žiadosti, a to aj s ohľadom na práva jednotlivcov na rešpektovanie ich súkromného života (61).

(68)

V článku 85 ods. 2 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa umožňuje vyňatie osobných údajov spracúvaných na žurnalistické, umelecké, akademické a literárne účely z viacerých ustanovení uvedeného nariadenia. V časti 5 prílohy 2 k zákonu o ochrane údajov z roku 2018 sú stanovené výnimky pre spracúvanie údajov na tieto účely. Možné sú výnimky zo zásad ochrany údajov (okrem zásady integrity a dôvernosti), z právneho základu pre spracúvanie údajov (vrátane osobitných kategórií údajov a údajov týkajúcich sa uznania viny za trestné činy atď.), podmienok vyjadrenia súhlasu, povinností týkajúcich sa transparentnosti, práv dotknutej osoby, povinnosti oznámiť porušenie ochrany údajov, a požiadavky na konzultáciu s Komisárom pre informácie pred začatím vysokorizikového spracúvania údajov a pravidiel pre medzinárodné prenosy (62). V tejto súvislosti sa všeobecné nariadenie Spojeného kráľovstva o ochrane údajov neodchyľuje zásadným spôsobom od nariadenia (EÚ) 2016/679, v ktorého článku 85 sa takisto stanovuje možnosť vyňať spracúvanie údajov vykonávané na žurnalistické účely alebo na účely akademickej, umeleckej alebo literárnej tvorby z viacerých požiadaviek stanovených v nariadení (EÚ) 2016/679. Ustanovenia v zákone o ochrane údajov z roku 2018, najmä v časti 5 prílohy 2, sú zlučiteľné so všeobecným nariadením Spojeného kráľovstva o ochrane údajov.

(69)

Základné vyváženie, ktoré sa má vykonať podľa článku 85 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, sa týka zistenia, či výnimka z pravidiel ochrany údajov uvedená v odôvodnení 68 je „nevyhnutná na zosúladenie práva na ochranu osobných údajov so slobodou prejavu a právom na informácie“ (63). Podľa bodu 26 ods. 2 a 3 prílohy 2 k zákonu o ochrane údajov z roku 2018 uplatňuje Spojené kráľovstvo kritérium „odôvodneného presvedčenia“ s cieľom dosiahnuť toto vyváženie. Aby bola výnimka odôvodnená, musí byť prevádzkovateľ odôvodnene presvedčený, že i) toto zverejnenie je vo verejnom záujme a ii) uplatnenie príslušného ustanovenia všeobecného nariadenia o ochrane údajov by bolo nezlučiteľné so žurnalistickými, s akademickými, umeleckými a literárnymi účelmi. Ako potvrdzuje judikatúra (64), kritérium „odôvodneného presvedčenia“ má subjektívnu a objektívnu zložku: je nedostatočné, aby prevádzkovateľ preukázal, že on sám je presvedčený o nemožnosti dosiahnuť súlad. Jeho presvedčenie musí byť odôvodnené, teda aby o tom mohol byť presvedčený aj rozumný človek, ktorý pozná príslušné fakty. Prevádzkovateľ musí preto pri vytváraní svojho presvedčenia vykonať hĺbkovú analýzu, aby mohol preukázať jeho odôvodnenosť. Podľa vysvetlení, ktoré poskytli orgány Spojeného kráľovstva, overenie kritéria „odôvodneného presvedčenia“ sa musí vykonať pri každej posudzovanej výnimke (65). Ak sú podmienky splnené, výnimka sa považuje za nevyhnutnú a primeranú podľa právneho poriadku Spojeného kráľovstva.

(70)

Podľa § 124 zákona o ochrane údajov z roku 2018 má Komisár pre informácie vypracovať Kódex postupov pre ochranu údajov a žurnalistiku. Práca na tomto kódexe prebieha. Na základe zákona o ochrane údajov z roku 1998 bolo už vydané usmernenie pre túto oblasť, v ktorom sa predovšetkým zdôrazňuje, že aby bolo možné uplatniť danú výnimku, nestačí len vyhlásiť, že súlad s príslušným ustanovením by bol prekážkou pre činnosť žurnalistov, ale musí sa uviesť jednoznačný argument, že príslušné ustanovenie predstavuje prekážku pre zodpovednú žurnalistiku (66). Usmernenie týkajúce sa uplatňovania kritéria verejného záujmu a vyvažovania verejného záujmu so záujmom jednotlivca o súkromie uverejnil aj telekomunikačný regulačný orgán Spojeného kráľovstva Ofcom a spoločnosť BBC v rámci svojich redakčných usmernení (67). V usmerneniach sa uvádzajú najmä príklady informácií, ktoré sa môžu považovať za informácie vo verejnom záujme, a vysvetľuje sa potreba schopnosti preukázať, že za konkrétnych okolností daného prípadu verejný záujem prevažuje nad právami na súkromie.

(71)

Podobne, ako je to umožnené v článku 89 všeobecného nariadenia o ochrane údajov, aj osobné údaje, ktoré sa spracúvajú na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely, môžu byť vyňaté z viacerých uvedených ustanovení všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (68). Pokiaľ ide o výskum a štatistiku, možné sú výnimky z ustanovení všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktoré sa týkajú potvrdenia spracúvania údajov a prístupu k údajom a záruk v súvislosti s prenosom údajov do tretích krajín; práva na opravu; obmedzenia spracúvania údajov a výhrad voči spracúvaniu. Pokiaľ ide o archiváciu vo verejnom záujme, výnimky sú možné aj v súvislosti s oznamovacou povinnosťou týkajúcou sa opravy alebo vymazania osobných údajov, prípadne obmedzenia ich spracúvania, a v súvislosti s právom na prenosnosť údajov.

(72)

Podľa bodu 27 ods. 1 a bodu 28 ods. 1 prílohy 2 k zákonu o ochrane údajov z roku 2018 sú výnimky z uvedených ustanovení všeobecného nariadenia Spojeného kráľovstva o ochrane údajov možné, ak by sa uplatnením týchto ustanovení „zabránilo dosiahnutiu“ príslušných účelov „alebo sa ich dosiahnutie závažným spôsobom sťažilo“ (69).

(73)

Vzhľadom na ich význam v súvislosti s účinným uplatňovaním individuálnych práv bude akýkoľvek príslušný vývoj týkajúci sa výkladu a uplatňovania výnimiek uvedených v texte (ďalších výnimiek vrátane tej, ktorá sa týka zachovania účinnej imigračnej kontroly) v praxi, ako je vysvetlené v odôvodnení 6, vrátane akéhokoľvek ďalšieho vývoja v judikatúre a usmernení Komisára pre informácie a opatrení na presadzovanie práva, riadne zohľadnený v rámci nepretržitého monitorovania tohto rozhodnutia (70).

(74)

Úroveň ochrany osobných údajov prenášaných z Európskej únie prevádzkovateľom alebo sprostredkovateľom v Spojenom kráľovstve nesmie byť oslabená ďalším prenosom takýchto údajov príjemcom v tretej krajine. Takéto „následné prenosy“, ktoré z hľadiska prevádzkovateľa alebo sprostredkovateľa v Spojenom kráľovstve predstavujú medzinárodné prenosy zo Spojeného kráľovstva, by sa mali povoliť len v prípade, že ďalší príjemca mimo Spojeného kráľovstva takisto podlieha pravidlám zabezpečujúcim podobnú úroveň ochrany, aká je zaručená v právnom poriadku Spojeného kráľovstva. Z toho dôvodu je uplatňovanie pravidiel, ktoré sú stanovené vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov a v zákone o ochrane údajov z roku 2018, na medzinárodné prenosy osobných údajov dôležitým faktorom na zabezpečenie kontinuity ochrany v prípade osobných údajov prenášaných z Európskej únie do Spojeného kráľovstva podľa tohto rozhodnutia.

(75)

Režim medzinárodných prenosov osobných údajov zo Spojeného kráľovstva je stanovený v článkoch 44 – 49 všeobecného nariadenia Spojeného kráľovstva o ochrane osobných údajov, je doplnený zákonom o ochrane údajov z roku 2018 a je v podstate totožný s pravidlami, ktoré sú stanovené v kapitole V nariadenia (EÚ) 2016/679 (71). Prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môžu uskutočniť iba na základe právnych predpisov o primeranosti [ekvivalent rozhodnutia o primeranosti podľa nariadenia (EÚ) 2016/679 v Spojenom kráľovstve], alebo ak sa neuplatnia právne predpisy o primeranosti, prevádzkovateľ alebo sprostredkovateľ poskytne primerané záruky v súlade s článkom 46 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. Ak sa neuplatnia právne predpisy o primeranosti ani primerané záruky, prenos sa môže uskutočniť iba na základe výnimiek stanovených v článku 49 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov.

(76)

Právne predpisy o primeranosti, ktoré prijíma minister, môžu zabezpečiť, že tretia krajina (alebo územie alebo odvetvie v tretej krajine), medzinárodná organizácia, alebo opis (72) takej krajiny, územia, odvetvia, alebo organizácie zaručí primeranú úroveň ochrany osobných údajov. Pri posudzovaní primeranosti úrovne ochrany musí minister zohľadniť presne tie isté prvky, ktorých posúdenie Komisiou sa vyžaduje v článku 45 ods. 2 písm. a) až c) nariadenia (EÚ) 2016/679, vykladanom spoločne s odôvodnením 104 nariadenia (EÚ) 2016/679 a s ponechanou judikatúrou EÚ. To znamená, že príslušnou normou pri posudzovaní primeranej úrovne ochrany tretej krajiny bude, či dotknutá tretia krajina zaručuje úroveň ochrany, ktorá „v zásade zodpovedá“ úrovni zabezpečenej v rámci Spojeného kráľovstva.

(77)

Pokiaľ ide o postup, na právne predpisy o primeranosti sa vzťahujú „všeobecné“ procedurálne požiadavky stanovené v § 182 zákona o ochrane údajov z roku 2018. V rámci tohto postupu musí pri navrhovaní prijatia budúcich právnych predpisov Spojeného kráľovstva o primeranosti minister konzultovať s Komisárom pre informácie (73). Po prijatí ministrom sa tieto právne predpisy predkladajú parlamentu a podliehajú postupu „negatívneho uznesenia“, na základe ktorého môžu obe snemovne parlamentu preskúmať príslušné právne predpisy a v rámci 40-dňovej lehoty predložiť návrh na zrušenie týchto právnych predpisov (74).

(78)

Podľa § 17 B ods. 1 zákona o ochrane údajov z roku 2018 sa právne predpisy o primeranosti musia preskúmavať v intervaloch najviac štyroch rokov a minister musí priebežne monitorovať vývoj v tretích krajinách a medzinárodných organizáciách, ktorý by mohol ovplyvniť rozhodnutia o právnych predpisoch o primeranosti alebo ich zmeniť. Ak minister zistí, že krajina alebo organizácia už nezabezpečuje primeranú úroveň ochrany osobných údajov, musí v potrebnom rozsahu zmeniť alebo zrušiť tieto právne predpisy a začať konzultácie s dotknutou treťou krajinou alebo medzinárodnou organizáciou s cieľom napraviť nedostatok primeranej úrovne ochrany. Tieto procedurálne aspekty odrážajú aj zodpovedajúce požiadavky v nariadení (EÚ) 2016/679.

(79)

Ak neexistujú právne predpisy o primeranosti, medzinárodné prenosy údajov sa môžu uskutočniť, ak prevádzkovateľ alebo sprostredkovateľ poskytne primerané záruky v súlade s článkom 46 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. Tieto záruky sú podobné zárukám stanoveným v článku 46 nariadenia (EÚ) 2016/679. Zahŕňajú právne záväzné a vykonateľné nástroje medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi, záväzné vnútropodnikové pravidlá (75), štandardné doložky o ochrane údajov, schválené kódexy správania, schválené certifikačné mechanizmy a s povolením Komisára pre informácie zmluvné doložky medzi prevádzkovateľmi (alebo sprostredkovateľmi) alebo administratívne dojednania medzi orgánmi verejnej moci. Pravidlá však boli upravované z procedurálneho hľadiska, aby fungovali v rámci Spojeného kráľovstva, predovšetkým štandardné doložky o ochrane údajov môže prijať minister (§ 17C) alebo Komisár pre informácie (§ 119A) v súlade so zákonom o ochrane údajov z roku 2018.

(80)

Ak sa neuplatní rozhodnutie o primeranosti ani primerané záruky, prenos sa môže uskutočniť iba na základe výnimiek stanovených v článku 49 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (76). V rámci všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa nezavádzajú žiadne podstatné zmeny týkajúce sa výnimiek v porovnaní so zodpovedajúcimi pravidlami v nariadení (EÚ) 2016/679. Podľa všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sa rovnako ako podľa nariadenia (EÚ) 2016/679 určité výnimky dajú uplatniť, iba ak je prenos občasný (77). Komisár pre informácie okrem toho vo svojom usmernení k medzinárodným prenosom údajov objasňuje, že: „Mali by ste ich využívať iba ako skutočné „výnimky“ zo všeobecného pravidla, že sa nemá robiť obmedzený prenos, pokiaľ nie je zabezpečený rozhodnutím o primeranosti alebo pokiaľ nie sú poskytnuté primerané záruky (78).“ Pokiaľ ide o prenosy, ktoré sú nevyhnutné z dôležitých dôvodov verejného záujmu [článok 49 ods. 1 písm. d)], minister môže prostredníctvom predpisov špecifikovať okolnosti, za ktorých nie je prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii potrebný z dôležitých dôvodov verejného záujmu. Minister okrem toho môže prostredníctvom predpisov obmedziť prenos určitej kategórie osobných údajov do tretej krajiny alebo medzinárodnej organizácii, ak sa prenos nedá uskutočniť na základe právnych predpisov o primeranosti a minister považuje obmedzenie za nevyhnutné z dôležitých dôvodov verejného záujmu. Žiadne také predpisy zatiaľ neboli prijaté.

(81)

Tento rámec pre medzinárodné prenosy údajov sa začal uplatňovať na konci prechodného obdobia (79). V bode 4 prílohy 21 k zákonu o ochrane údajov z roku 2018 [zavedenému právnymi predpismi o ochrane údajov, súkromí a elektronických komunikáciách (zmeny atď.) (vystúpenie z EÚ)] je však stanovené, že od konca prechodného obdobia sa s určitými prenosmi osobných údajov zaobchádza tak, ako keby boli založené na právnych predpisoch o primeranosti. Medzi takéto prenosy patria prenosy do štátu Európskeho hospodárskeho priestoru (EHP), na územie Gibraltáru, inštitúcie, orgánu, úradu alebo agentúry Únie, ktoré boli zriadené prostredníctvom alebo na základe Zmluvy o EÚ, a do tretích krajín, na ktoré sa na konci prechodného obdobia vzťahuje rozhodnutie EÚ o primeranosti. Prenosy do týchto krajín preto môžu pokračovať rovnako ako pred vystúpením Spojeného kráľovstva z EÚ. Po skončení prechodného obdobia musí minister preskúmať zistenia primeranosti do 4 rokov, t. j. do konca decembra 2024. Podľa vysvetlenia, ktoré poskytli orgány Spojeného kráľovstva, hoci minister musí vykonať takéto preskúmanie do konca decembra 2024, prechodné ustanovenia neobsahujú ustanovenie o ukončení platnosti, to znamená, že ak sa preskúmanie neukončí do konca decembra 2024, príslušné prechodné ustanovenia automaticky neprestanú platiť.

(82)

Napokon, pokiaľ ide o budúci vývoj režimu medzinárodných prenosov Spojeného kráľovstva – prostredníctvom prijatia nových právnych predpisov o primeranosti, uzavretia medzinárodných dohôd alebo vývoja iných mechanizmov prenosu – Komisia bude situáciu pozorne monitorovať, posúdi, či sa rôzne mechanizmy prenosu používajú spôsobom, ktorý zabezpečuje kontinuitu ochrany, a ak je to nevyhnutné, prijme vhodné opatrenia na riešenie možných nepriaznivých dôsledkov na takú kontinuitu (pozri odôvodnenia 278 až 287). Keďže EÚ a Spojené kráľovstvo majú pre medzinárodné prenosy podobné pravidlá, očakáva sa, že problematickým rozdielom by sa mohlo vyhnúť prostredníctvom spolupráce, výmeny informácií a výmeny skúseností vrátane výmen medzi Komisárom pre informácie a Európskym výborom pre ochranu údajov.

(83)

Podľa zásady zodpovednosti sa od subjektov, ktoré spracúvajú údaje, vyžaduje, aby zaviedli vhodné technické a organizačné opatrenia v záujme účinného dodržiavania svojich povinností v oblasti ochrany údajov a aby vedeli takéto dodržiavanie preukázať, najmä príslušnému dozornému orgánu.

(84)

Zásada zodpovednosti stanovená v nariadení (EÚ) 2016/679 bola ponechaná v článku 5 ods. 2 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov bez podstatnej zmeny a to isté platí pre článok 24 o zodpovednosti prevádzkovateľa, článok 25 o špecificky navrhnutej a štandardnej ochrane údajov a článok 30 o záznamoch o spracovateľských činnostiach. Ponechané boli aj články 35 a 36 o posúdení vplyvu na ochranu údajov a o predchádzajúcej konzultácii s dozorným orgánom. Články 37 až 39 nariadenia (EÚ) 2016/679 o určení zodpovedných osôb a ich úlohách boli ponechané vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov bez podstatných zmien. Aj ustanovenia článkov 40 a 42 nariadenia (EÚ) 2016/679 o kódexoch správania a o certifikácii boli ponechané vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov (80).

(85)

S cieľom zaistiť, aby bola primeraná úroveň ochrany údajov zabezpečená v praxi, by mal byť zriadený nezávislý dozorný orgán, ktorý bude mať právomoc monitorovať a presadzovať dodržiavanie pravidiel ochrany údajov. Tento orgán by mal pri plnení svojich úloh a výkone svojich právomocí konať úplne nezávisle a nestranne.

(86)

V Spojenom kráľovstve vykonáva dohľad a presadzovanie dodržiavania všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a zákona o ochrane údajov z roku 2018 Komisár pre informácie. Komisár pre informácie je „Corporation Sole“, čiže samostatný právny subjekt zložený z jednej osoby. Komisára pre informácie pri jeho práci podporuje jeho úrad. K 31. marcu 2020 mal Úrad Komisára pre informácie 768 stálych zamestnancov (81). Hlavným ministerstvom vo vzťahu ku Komisárovi pre informácie je ministerstvo pre digitálnu oblasť, kultúru, médiá a šport (Department for Digital, Culture, Media and Sport) (82).

(87)

Nezávislosť Komisára je výslovne stanovená v článku 52 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, pričom nedošlo k žiadnym zásadným zmenám článku 52 ods. 1 až 3 všeobecného nariadenia o ochrane údajov. Komisár musí pri plnení svojich úloh a vykonávaní svojich právomocí podľa všeobecného nariadenia Spojeného kráľovstva o ochrane údajov konať úplne nezávisle, nesmie byť pod vonkajším vplyvom, či už priamym alebo nepriamym, vo vzťahu k týmto úlohám a právomociam, a nesmie od nikoho žiadať ani prijímať pokyny. Komisár sa tiež musí zdržať akéhokoľvek konania nezlučiteľného so svojimi povinnosťami a počas výkonu funkcie nevykonáva žiadnu platenú ani neplatenú pracovnú činnosť nezlučiteľnú s jeho funkciou.

(88)

Podmienky vymenovania a odvolania Komisára pre informácie sú stanovené v prílohe 12 k zákonu o ochrane údajov z roku 2018. Komisára pre informácie vymenúva jej veličenstvo na odporúčanie vlády na základe spravodlivého a otvoreného výberového konania. Uchádzač musí mať primeranú kvalifikáciu, zručnosti a schopnosti. V súlade s kódexom riadenia verejných menovaní (83) zostaví poradná hodnotiaca komisia zoznam menovateľných kandidátov. Predtým, ako minister ministerstva pre digitálnu oblasť, kultúru, médiá a šport dokončí svoje rozhodnutie, príslušný užší výbor parlamentu musí vykonať kontrolu pred vymenovaním. Stanovisko výboru sa zverejňuje (84).

(89)

Komisár pre informácie vykonáva svoju funkciu najviac sedem rokov. Žiadna osoba nemôže byť vymenovaná za Komisára pre informácie viac ako raz. Z funkcie ho môže odvolať jej veličenstvo na základe jej určenému prejavu vôle oboch snemovní parlamentu (tzv. Address) (85). Žiadosť o odvolanie Komisára pre informácie možno predložiť niektorej zo snemovní parlamentu, len ak minister predloží správu, v ktorej uvedie, že je presvedčený, že Komisár pre informácie sa dopustil závažného pochybenia a/alebo že Komisár už nespĺňa podmienky požadované na výkon svojich funkcií (86).

(90)

Financovanie Komisára pre informácie pochádza z troch zdrojov: i) poplatky za ochranu údajov, ktoré platia prevádzkovatelia a ktoré sú stanovené právnymi predpismi ministra (87) [právne predpisy o ochrane údajov (poplatky a informácie) z roku 2018], pričom tvoria 85 – 90 % ročného rozpočtu Úradu Komisára pre informácie (88); ii) subvencie, ktoré môže vláda poskytnúť Komisárovi pre informácie. Tieto subvencie sa využívajú najmä na financovanie prevádzkových nákladov Komisára pre informácie, pokiaľ ide o úlohy nesúvisiace s ochranou údajov (89); a iii) poplatky účtované za služby (90). V súčasnosti sa neúčtujú žiadne takéto poplatky.

(91)

Všeobecné funkcie Komisára pre informácie v súvislosti so spracúvaním osobných údajov, na ktoré sa vzťahuje všeobecné nariadenie Spojeného kráľovstva o ochrane údajov, sú stanovené v článku 57 uvedeného nariadenia a dôsledne odrážajú zodpovedajúce pravidlá nariadenia (EÚ) 2016/679. Medzi jeho úlohy patrí monitorovanie a presadzovanie všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, podpora informovanosti verejnosti, vybavovanie sťažností podávaných dotknutými osobami, vedenie vyšetrovaní atď. Okrem toho sú v § 115 zákona o ochrane údajov z roku 2018 stanovené ďalšie všeobecné funkcie Komisára, ku ktorým patrí povinnosť poskytovať poradenstvo parlamentu, vláde a iným inštitúciám a orgánom v oblasti legislatívnych a administratívnych opatrení týkajúcich sa ochrany práv a slobôd jednotlivcov, pokiaľ ide o spracúvanie osobných údajov, ako aj právomoc vydávať, z vlastnej iniciatívy Komisára alebo na požiadanie, stanoviská určené parlamentu, vláde alebo iným inštitúciám a orgánom, ako aj verejnosti k akejkoľvek otázke týkajúcej sa ochrany osobných údajov. V záujme zachovania nezávislosti justície nie je Komisár pre informácie oprávnený vykonávať svoje funkcie v súvislosti so spracúvaním osobných údajov jednotlivcom konajúcim v rámci súdnej právomoci, resp. súdom či tribunálom konajúcim v rámci svojej súdnej právomoci. Dohľad nad justíciou však vykonávajú špecializované orgány (pozri odôvodnenia 99 až 103).

(92)

Právomoci Komisára pre informácie sú stanovené v článku 58 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, a to bez zavedenia akýchkoľvek podstatných zmien oproti zodpovedajúcemu článku nariadenia (EÚ) 2016/679. V zákone o ochrane údajov z roku 2018 sú stanovené doplňujúce pravidlá týkajúce sa spôsobu vykonávania týchto právomocí. Komisár má predovšetkým tieto právomoci: a) nariadiť prevádzkovateľovi a sprostredkovateľovi (a za určitých okolností akejkoľvek inej osobe), aby poskytli potrebné informácie prostredníctvom oznámenia („informačné oznámenie“) (91); b) vykonávať vyšetrovania a audity prostredníctvom oznámenia o posúdení, v ktorom sa môže vyžadovať, aby prevádzkovateľ alebo sprostredkovateľ povolil Komisárovi pre informácie vstúpiť do určených priestorov, skontrolovať alebo preskúmať dokumenty alebo vybavenie, vypočuť osoby, ktoré spracúvajú osobné údaje v mene prevádzkovateľa („oznámenie o posúdení“) (92); c) získať iným spôsobom prístup k dokumentom prevádzkovateľov a sprostredkovateľov a prístup do ich priestorov v súlade s § 154 zákona o ochrane údajov z roku 2018 („právomoci na vstup a inšpekciu“); d) vykonávať nápravné právomoci, a to aj prostredníctvom varovaní a napomenutí, alebo vydávať príkazy prostredníctvom presadzovacieho oznámenia, v ktorom sa od prevádzkovateľov, resp. sprostredkovateľov vyžaduje, aby prijali alebo sa zdržali prijatia konkrétnych krokov, a to vrátane príkazu prevádzkovateľovi alebo sprostredkovateľovi, aby vykonal čokoľvek uvedené v článku 58 ods. 2 písm. c) až g) a písm. j) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov („presadzovacie oznámenie“) (93); e) udeľovať správne pokuty vo forme oznámenia o uložení sankcie (ďalej len „oznámenie o uložení sankcie“) (94). Správne pokuty môžu byť udelené aj vtedy, keď orgán verejnej moci nedodrží ustanovenia nariadenia Spojeného kráľovstva o ochrane osobných údajov (95).

(93)

Okolnosti, za ktorých Komisár pre informácie vydáva informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie alebo oznámenie o uložení sankcie, sa stanovujú v jeho regulačnej politike (96). V presadzovacom oznámení, ktoré je reakciou na nesplnenie povinnosti prevádzkovateľa alebo sprostredkovateľa, sa môžu stanoviť iba požiadavky, ktoré Komisár považuje za vhodné na účely nápravy nesplnenia povinnosti. Presadzovacie oznámenia a oznámenia o uložení sankcie sa môžu vydávať prevádzkovateľovi alebo sprostredkovateľovi v súvislosti s porušením ustanovení kapitoly II všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (zásady spracúvania), článkov 12 až 22 (práva dotknutej osoby), článkov 25 až 39 (povinnosti prevádzkovateľov a sprostredkovateľov) a článkov 44 až 49 (medzinárodné prenosy) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. Presadzovacie oznámenie sa môže vydať, aj keď prevádzkovateľ nesplnil požiadavku zaplatiť poplatok stanovený v právnych predpisoch podľa § 137 zákona o ochrane údajov z roku 2018. Okrem toho sa presadzovacie oznámenie môže vydať monitorujúcemu subjektu podľa článku 41 alebo poskytovateľovi certifikácie, ak si nesplnia svoje povinnosti podľa všeobecného nariadenia Spojeného kráľovstva o ochrane údajov. Oznámenie o uložení sankcie je možné vydať aj osobe, ktorá nedodržala informačné oznámenie, oznámenie o posúdení alebo presadzovacie oznámenie.

(94)

V oznámení o uložení sankcie sa vyžaduje, aby príslušná osoba zaplatila Komisárovi pre informácie sumu uvedenú v oznámení. Pri určovaní toho, či sa má určitej osobe vydať oznámenie o uložení sankcie, a pri určovaní výšky sankcie musí Komisár pre informácie zohľadniť skutočnosti uvedené v článku 83 ods. 1 a 2 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ktoré sú totožné so zodpovedajúcimi pravidlami nariadenia (EÚ) 2016/679 (97). Podľa článku 83 ods. 4 a 5 je maximálna výška správnej pokuty v prípade nesplnenia povinností uvedených v týchto ustanoveniach 8 700 000 GBP, respektíve 17 500 000 GBP. V prípade podniku môže Komisár pre informácie uložiť pokutu ako percentuálny podiel svetového ročného obratu, ak je tá suma vyššia. Tieto sumy sú rovnako ako v ekvivalentných ustanoveniach nariadenia (EÚ) 2016/679 stanovené na úrovni 2 % a 4 % v článku 83 ods. 4, respektíve ods. 5. V prípade nedodržania informačného oznámenia, oznámenia o posúdení alebo presadzovacieho oznámenia je maximálna výška sankcie, ktorú je možné uložiť na základe oznámenia o uložení sankcie, 17 500 000 GBP alebo v prípade podniku 4 % svetového ročného obratu.

(95)

Všeobecným nariadením Spojeného kráľovstva o ochrane údajov a zákonom o ochrane údajov z roku 2018 sa posilnili aj ďalšie právomoci Komisára pre informácie. Komisár teraz môže napríklad vykonávať povinné audity týkajúce sa všetkých prevádzkovateľov a sprostredkovateľov s použitím oznámení o posúdení, zatiaľ čo podľa predchádzajúceho právneho predpisu, zákona o ochrane údajov z roku 1998, mal Komisár túto právomoc iba vo vzťahu k ústrednej štátnej správe a zdravotníckym organizáciám, pričom ostatné subjekty museli s auditom súhlasiť.

(96)

Od zavedenia nariadenia (EÚ) 2016/679 Komisár pre informácie vybavuje približne 40 000 sťažností dotknutých osôb ročne (98) a okrem toho vykonáva približne 2 000 vyšetrovaní ex officio (99). Väčšina sťažností sa týka práv na prístup k údajom a poskytovania údajov. Komisár na základe vyšetrovania prijíma opatrenia v oblasti presadzovania v širokej škále odvetví. Konkrétnejšie, podľa najnovšej výročnej správy Komisára pre informácie (2019 – 2020) (100) vydal Komisár počas vykazovaného obdobia 54 informačných oznámení, osem oznámení o posúdení, sedem presadzovacích oznámení, štyri varovania, osem žalôb a 15 pokút (101).

(97)

To zahŕňa niekoľko značných peňažných sankcií uložených podľa nariadenia (EÚ) 2016/679 a zákona o ochrane údajov z roku 2018. Komisár pre informácie konkrétne v októbri 2020 uložil britskej leteckej spoločnosti pokutu vo výške 20 miliónov GBP za porušenie ochrany údajov, ktoré malo vplyv na viac ako 400 000 zákazníkov. Koncom októbra 2020 bola medzinárodnej hotelovej sieti uložená pokuta vo výške 18,4 milióna GBP za to, že nedokázala zaistiť bezpečnosť osobných údajov miliónov zákazníkov, a v novembri 2020 bola britskému poskytovateľovi služieb, ktorý online predáva vstupenky na podujatia, uložená pokuta vo výške 1,25 milióna GBP za nedostatočnú ochranu platobných údajov zákazníkov (102).

(98)

Okrem toho, že Komisár pre informácie má právomoci v oblasti presadzovania opísané v odôvodnení 92, určité porušenia právnych predpisov o ochrane údajov predstavujú trestné činy, a preto môžu podliehať trestnoprávnym sankciám (§ 196 zákona o ochrane údajov z roku 2018). To sa týka napríklad vedomého alebo neuváženého získania alebo poskytnutia osobných údajov bez súhlasu prevádzkovateľa, poskytnutia prístupu k osobným údajom inej osobe bez súhlasu prevádzkovateľa (103), opätovnej identifikácie anonymizovaných osobných údajov bez súhlasu prevádzkovateľa zodpovedného za anonymizáciu osobných údajov (104), úmyselného bránenia Komisárovi pre informácie pri výkone jeho právomocí v súvislosti s kontrolou osobných údajov v súlade s medzinárodnými záväzkami (105), vydávania nepravdivých vyhlásení o odpovedi na informačné oznámenie alebo zničenia informácií v súvislosti s informačným oznámením a oznámením o posúdení (106).

(99)

Dohľad nad spracúvaním osobných údajov súdmi a justíciou je dvojaký. Ak súdny úradník alebo súd nekoná v rámci súdnej právomoci, dohľad vykonáva Komisár pre informácie. Ak prevádzkovateľ koná v rámci súdnej právomoci, Komisár pre informácie nemôže plniť svoje funkcie dohľadu (107) a dohľad vykonávajú osobitné orgány. Uvedené odráža prístup prijatý v nariadení (EÚ) 2016/679 (článok 55 ods. 3).

(100)

Konkrétne v druhom scenári, pokiaľ ide o súdy Anglicka a Walesu a ich tribunály prvého stupňa a vyššie tribunály (First-tier and Upper Tribunals of England and Wales), takýto dohľad vykonáva súdna rada pre ochranu údajov (Judicial Data Protection Panel) (108). Okrem toho šéf justície Anglicka a Walesu (Lord Chief Justice) a šéf tribunálov (Senior President of Tribunals) vydali oznámenie o ochrane osobných údajov (109), v ktorom sa uvádza, ako súdy v Anglicku a Walese spracúvajú osobné údaje na účely plnenia súdnej funkcie. Podobné oznámenie vydali súdy Severného Írska (110) a Škótska (111).

(101)

Okrem toho v Severnom Írsku vymenoval šéf justície Severného Írska (Lord Chief Justice of Northern Ireland) sudcu Vrchného súdu (High Court) za sudcu pre dohľad nad údajmi (Data Supervisory Judge) (112). Vydal tiež usmernenia pre severoírsku justíciu o tom, čo robiť v prípade straty alebo potenciálnej straty údajov a o postupe riešenia akýchkoľvek otázok, ktoré z toho vyplývajú (113).

(102)

V Škótsku šéf justície Lord President vymenoval sudcu pre dohľad nad údajmi (Data Supervisory Judge), ktorý vyšetruje všetky sťažnosti z dôvodu ochrany údajov. Stanovuje sa tak v pravidlách súdnych sťažností, ktoré odrážajú pravidlá stanovené pre Anglicko a Wales (114).

(103)

Napokon na najvyššom súde (Supreme Court) je vymenovaný jeden zo sudcov tohto súdu, aby vykonával dohľad nad ochranou údajov.

(104)

V záujme zabezpečenia primeranej ochrany, a najmä vymáhania individuálnych práv, by dotknutá osoba mala mať k dispozícii účinné správne a súdne prostriedky nápravy vrátane náhrady škôd.

(105)

Po prvé, dotknutá osoba má právo podať sťažnosť Komisárovi pre informácie, ak sa domnieva, že v súvislosti s osobnými údajmi, ktoré sa jej týkajú, došlo k porušeniu zákona o ochrane údajov z roku 2018 (115). Vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov sa ponechávajú pravidlá uvedené v článku 77 nariadenia (EÚ) 2016/679 týkajúce sa tohto práva bez podstatných zmien. To isté platí pre článok 57 ods. 1 písm. f) a ods. 2, v ktorých sa stanovujú úlohy Komisie v súvislosti s vybavovaním sťažností. Ako sa uvádza v odôvodneniach 92 a 98, Komisár pre informácie má právomoc posúdiť dodržiavanie všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a zákona o ochrane údajov z roku 2018 prevádzkovateľom a sprostredkovateľom a požadovať od nich, aby v prípade nedodržiavania tohto zákona prijali potrebné kroky, resp. aby sa zdržali prijatia potrebných krokov, ako aj uložiť pokuty.

(106)

Po druhé vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov a v zákone o ochrane údajov z roku 2018 sa stanovuje právo na prostriedok nápravy voči rozhodnutiu Komisára pre informácie. Podľa článku 78 ods. 1 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov má jednotlivec právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu Komisára pre informácie, ktoré sa ho týka. Sudca v rámci súdneho preskúmania prešetrí rozhodnutie, ktoré je napadnuté v žalobe, a posúdi, či Komisár pre informácie konal v súlade so zákonom. Navyše, ak Komisár pre informácie nevybaví sťažnosť predloženú dotknutou osobou primerane, podľa článku 78 ods. 2 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (116)má sťažovateľ prístup k súdnemu prostriedku nápravy. Môže sa obrátiť na tribunál prvého stupňa, aby Komisárovi pre informácie nariadil prijať primerané kroky v reakcii na sťažnosť alebo informovať sťažovateľa o pokroku dosiahnutom v súvislosti so sťažnosťou (117). Okrem toho sa každá osoba, ktorá dostane od Komisára pre informácie ktorékoľvek z uvedených oznámení (informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie alebo oznámenie o uložení sankcie), môže odvolať na tribunál prvého stupňa (118). Ak sa tribunál domnieva, že rozhodnutie Komisára pre informácie nie je v súlade so zákonom alebo že Komisár pre informácie mal uplatniť svoju voľnú úvahu inak, tribunál musí odvolaniu vyhovieť, resp. musí vydať iné oznámenie alebo prijať iné rozhodnutie, ktoré mohol vydať alebo prijať Komisár pre informácie.

(107)

Po tretie jednotlivci môžu získať súdne prostriedky nápravy voči prevádzkovateľom a sprostredkovateľom priamo na súdoch podľa článku 79 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a § 167 zákona o ochrane údajov z roku 2018. Ak súd na návrh dotknutej osoby dospeje k záveru, že došlo k porušeniu práv dotknutej osoby v zmysle právnych predpisov o ochrane údajov, môže nariadiť prevádzkovateľovi v súvislosti so spracúvaním alebo sprostredkovateľovi konajúcemu v mene tohto prevádzkovateľa, aby podnikol kroky uvedené v súdnom príkaze alebo aby sa zdržal prijatia krokov uvedených v súdnom príkaze.

(108)

Okrem toho podľa článku 82 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a § 168 zákona o ochrane údajov z roku 2018 má každá osoba, ktorá utrpela materiálnu alebo nemateriálnu škodu v dôsledku porušenia všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa. Pravidlá týkajúce sa náhrady škody a zodpovednosti uvedené v článku 82 ods. 1 až 5 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov sú totožné so zodpovedajúcimi pravidlami uvedenými v nariadení (EÚ) 2016/679. Podľa § 168 zákona o ochrane údajov z roku 2018 zahŕňa nemajetková škoda aj ťažkosti. Podľa článku 80 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov má dotknutá osoba takisto právo poveriť zastupiteľský orgán alebo organizáciu, aby v jej mene (podľa článku 77 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov) podali sťažnosť Komisárovi pre informácie a aby v jej mene uplatnili práva uvedené v článkoch 78 (právo na účinný súdny prostriedok nápravy voči rozhodnutiu Komisára pre informácie), 79 (právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi) a 82 (právo na náhradu škody a zodpovednosť) všeobecného nariadenia Spojeného kráľovstva o ochrane údajov.

(109)

Po štvrté, pokiaľ sa akákoľvek osoba domnieva, že orgány verejnej moci porušili jej práva vrátane práva na súkromie a ochranu údajov, môže popri uvedených prostriedkoch nápravy dosiahnuť nápravu na súdoch Spojeného kráľovstva podľa zákona o ľudských právach z roku 1998 (119). Jednotlivec, ktorý tvrdí, že orgán verejnej moci konal (alebo navrhuje konať) spôsobom, ktorý je nezlučiteľný s právom vyplývajúcim z dohovoru, a teda protiprávny podľa § 6 ods. 1 zákona o ľudských právach z roku 1998, môže podať návrh na začatie konania proti tomuto orgánu na príslušnom súde alebo tribunáli, resp. sa dovolávať príslušných práv v akomkoľvek súdnom konaní, ak je (alebo by mohol byť) obeťou protiprávneho činu.

(110)

Ak súd zistí, že akýkoľvek akt orgánu verejnej moci je nezákonný, môže v rámci svojich právomocí nariadiť akúkoľvek nápravu alebo vydať akýkoľvek príkaz, ktoré považuje za vhodné a primerané (120). Súd môže takisto vyhlásiť ustanovenie primárneho práva za nezlučiteľné s právom zaručeným dohovorom.

(111)

Jednotlivec môže napokon za porušenie práv zaručených Európskym dohovorom o ľudských právach po vyčerpaní vnútroštátnych prostriedkov nápravy dosiahnuť nápravu pred Európskym súdom pre ľudské práva.

(112)

Komisia posúdila aj právny rámec Spojeného kráľovstva pre získavanie a následné používanie osobných údajov, ktoré prenášajú podnikateľským subjektom v Spojenom kráľovstve orgány verejnej moci Spojeného kráľovstva vo verejnom záujme, a to najmä na účely presadzovania trestného práva a na účely národnej bezpečnosti (ďalej len „prístup vlády“). Komisia pri posudzovaní toho, či by podmienky, na základe ktorých sa vláde poskytuje prístup k údajom prenášaným do Spojeného kráľovstva podľa tohto rozhodnutia, spĺňali kritérium „zásadnej rovnocennosti“ v súlade s článkom 45 ods. 1 nariadenia (EÚ) 2016/679, ako ho vykladá Súdny dvor Európskej únie so zreteľom na Chartu základných práv, zohľadnila najmä tieto kritériá.

(113)

Po prvé akékoľvek obmedzenie práva na ochranu osobných údajov musí byť stanovené zákonom a v samotnom právnom základe, ktorý povoľuje zasahovanie do takéhoto práva, sa musí vymedzovať, do akého rozsahu možno uplatňovanie príslušného práva obmedziť (121).

(114)

Po druhé v záujme splnenia požiadavky proporcionality, podľa ktorej sa v demokratickej spoločnosti musia výnimky z ochrany osobných údajov a obmedzenia ochrany osobných údajov uplatňovať len do prísne nevyhnutnej miery, aby boli splnené konkrétne ciele všeobecného záujmu, ktoré sú rovnocenné s cieľmi uznávanými Úniou, sa v právnych predpisoch dotknutej tretej krajiny povoľujúcich zasahovanie musia stanovovať jasné a presné pravidlá upravujúce rozsah a uplatňovanie takýchto opatrení a zavádzať minimálne záruky, aby osoby, ktorých údaje boli prenesené, mali dostatočné záruky umožňujúce účinne chrániť ich osobné údaje pred rizikom zneužitia (122). V týchto právnych predpisoch sa musia najmä vymedziť okolnosti a podmienky, za akých možno prijať opatrenie upravujúce spracúvanie takýchto údajov (123), ako aj stanoviť povinnosť podrobiť splnenie takých požiadaviek nezávislému dohľadu (124).

(115)

Po tretie takéto právne predpisy musia byť právne záväzné podľa vnútroštátneho práva a tieto právne požiadavky musia byť nielen záväzné pre orgány, ale aj vymožiteľné na súdoch proti orgánom dotknutej tretej krajiny (125). Dotknuté osoby musia mať najmä možnosť uplatniť právne prostriedky nápravy pred nezávislým a nestranným súdom, aby mali prístup k osobným údajom, ktoré sa ich týkajú, alebo dosiahnuť opravu alebo vymazanie takýchto údajov (126).

(116)

Prístup vlády ako výkon právomoci orgánu verejnej moci v Spojenom kráľovstve sa musí uskutočňovať v plnom súlade so zákonom. Spojené kráľovstvo ratifikovalo Európsky dohovor o ľudských právach (pozri odôvodnenie 9) a orgány verejnej moci v Spojenom kráľovstve sú povinné konať v súlade s týmto dohovorom (127). V článku 8 dohovoru sa stanovuje, že akýkoľvek zásah do súkromného života musí byť v súlade so zákonom, v záujme jedného z cieľov uvedených v článku 8 ods. 2 a primeraný vzhľadom na tento cieľ. V článku 8 sa takisto požaduje, aby bol zásah „predvídateľný“, t. j. aby mal jasný, prístupný základ v zákone, a aby zákon obsahoval primerané záruky na zabránenie zneužitiu.

(117)

Európsky súd pre ľudské práva vo svojej judikatúre okrem toho špecifikuje, že akýkoľvek zásah do práva na súkromie a ochranu údajov by mal podliehať účinnému, nezávislému a nestrannému systému dohľadu, ktorý musí zabezpečiť buď sudca, alebo iný nezávislý orgán (128) (napr. správny orgán alebo parlamentný orgán).

(118)

Navyše sa jednotlivcom musia poskytnúť účinné prostriedky nápravy a Európsky súd pre ľudské práva objasnil, že prostriedky nápravy musí ponúkať nezávislý a nestranný orgán, ktorý prijal svoj vlastný rokovací poriadok, je zložený z členov, ktorí musia zastávať alebo zastávali vysoké sudcovské funkcie alebo sú skúsenými právnikmi, a nesmie existovať žiadne dôkazné bremeno, ktoré treba splniť, aby bolo možné podať na tomto orgáne sťažnosť. Pri preskúmavaní sťažností jednotlivcov by mal mať nezávislý a nestranný orgán prístup ku všetkým relevantným informáciám vrátane uzavretých materiálov. Napokon by mal mať právomoc napraviť nedodržanie právnych predpisov (129).

(119)

Spojené kráľovstvo v roku 2018 takisto ratifikovalo Dohovor Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (dohovor č. 108) a podpísalo protokol, ktorým sa mení Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (známy ako dohovor č. 108+) (130). V článku 9 dohovoru č. 108 sa uvádza, že výnimky zo zásad všeobecnej ochrany údajov (článok 5 Kvalita údajov), z pravidiel upravujúcich osobitné kategórie údajov (článok 6 Osobitné kategórie údajov) a z práv dotknutých osôb (článok 8 Ďalšie záruky pre dotknutú osobu) sú prípustné len vtedy, ak sa takáto výnimka stanovuje vo vnútroštátnom právnom poriadku danej strany a ak predstavuje opatrenie potrebné v demokratickej spoločnosti na ochranu bezpečnosti štátu, verejnej bezpečnosti, menových záujmov štátu alebo potláčanie trestnej činnosti, alebo ochranu dotknutej osoby, alebo práv a slobôd iných (131).

(120)

Zo skutočnosti, že Spojené kráľovstvo je členom Rady Európy, dodržiava Európsky dohovor o ľudských právach a je podriadené právomoci Európskeho súdu pre ľudské práva, preto preň vyplýva niekoľko povinností zakotvených v medzinárodnom práve, ktoré zasadzujú jeho systém prístupu vlády do rámca založeného na zásadách, zárukách a individuálnych právach podobných tým, ktoré zaručuje právo EÚ a ktoré sa uplatňujú na členské štáty. Ako sa zdôrazňuje v odôvodnení 19, pretrvávajúce dodržiavanie týchto nástrojov je preto mimoriadne dôležitým prvkom posúdenia, na ktorom sa zakladá toto rozhodnutie.

(121)

Okrem toho sú osobitné záruky ochrany údajov a práva na ochranu údajov zaručené zákonom o ochrane údajov z roku 2018, keď údaje spracúvajú orgány verejnej moci vrátane orgánov presadzovania práva a národných bezpečnostných orgánov.

(122)

Konkrétne režim spracúvania osobných údajov v kontexte presadzovania trestného práva sa stanovuje v časti 3 zákona o ochrane údajov z roku 2018, ktorý bol prijatý na transponovanie smernice (EÚ) 2016/680. Časť 3 zákona o ochrane údajov z roku 2018 sa vzťahuje na spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu (132).

(123)

Pojem „príslušný orgán“ je vymedzený v § 30 zákona o ochrane údajov z roku 2018 ako osoba uvedená v prílohe 7 k zákonu o ochrane údajov z roku 2018, ako aj akákoľvek iná osoba v rozsahu, v akom má zákonné funkcie na ktorýkoľvek z účelov presadzovania práva (133). Ako je to vysvetlené ďalej v texte (pozri odôvodnenie 139), isté príslušné orgány (napríklad Národná kriminálna agentúra) môžu za istých okolností využiť právomoci poskytnuté na základe zákona o vyšetrovacích právomociach z roku 2016 (Investigatory Power Act 2016). V tomto prípade sa záruky stanovené v zákone o vyšetrovacích právomociach z roku 2016 uplatnia popri zárukách stanovených v časti 3 zákona o ochrane údajov z roku 2018. Spravodajské služby (Tajná spravodajská služba, Bezpečnostná služba a Vládne komunikačné ústredie) nie sú „príslušnými orgánmi“ (134) patriacimi do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018, a preto sa v nej uvedené pravidlá nevzťahujú na žiadnu z ich činností. Konkrétna časť zákona o ochrane údajov z roku 2018 (časť 4) sa venuje spracúvaniu osobných údajov spravodajskými službami (pre podrobnejšie informácie pozri odôvodnenie 125).

(124)

Podobne ako v smernici (EÚ) 2016/680 sa v časti 3 zákona o ochrane údajov z roku 2018 stanovujú zásady zákonnosti a spravodlivosti (135), obmedzenia účelu (136), minimalizácie údajov (137), správnosti (138), minimalizácie uchovávania (139) a bezpečnosti (140). V právnom predpise sa ukladajú osobitné povinnosti týkajúce sa transparentnosti (141) a jednotlivcom sa poskytuje právo na prístup (142), opravu a vymazanie (143) a právo nepodliehať automatizovanému rozhodovaniu (144). Od príslušných orgánov sa takisto požaduje, aby vykonávali špecificky navrhnutú a štandardnú ochranu údajov, uchovávali záznamy o spracovateľských činnostiach a v prípade určitých spracovateľských operácií vykonávali posúdenia vplyvu na ochranu údajov a vopred konzultovali s Komisárom pre informácie (145). Podľa § 56 zákona o ochrane údajov z roku 2018 sú povinní preukázať súlad. Okrem toho sa od nich požaduje, aby zaviedli primerané opatrenia na zaistenie bezpečnosti spracúvania (146) a v prípade porušenia ochrany údajov podliehajú osobitným povinnostiam vrátane oznámenia takéhoto porušenia Komisárovi pre informácie a dotknutým osobám (147). Rovnako ako v prípade smernice (EÚ) 2016/680 aj tu sa stanovuje požiadavka, aby prevádzkovateľ (pokiaľ ním nie je súd alebo iný súdny orgán konajúci v rámci súdnej právomoci) vymenoval zodpovednú osobu (148), ktorá pomáha prevádzkovateľovi plniť si svoje povinnosti, ako aj monitorovať tento súlad (149). V právnom predpise sa okrem toho stanovujú osobitné požiadavky na medzinárodné prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám na účely presadzovania práva s cieľom zabezpečiť kontinuitu ochrany (150). Komisia spolu s týmto rozhodnutím prijala rozhodnutie o primeranosti na základe článku 36 ods. 3 smernice (EÚ) 2016/680, keďže zistila, že režim ochrany údajov platný pre spracúvanie údajov orgánmi Spojeného kráľovstva príslušnými na presadzovanie trestného práva zabezpečuje úroveň ochrany, ktorá v zásade zodpovedá úrovni zaručenej smernicou (EÚ) 2016/680.

(125)

Časť 4 zákon o ochrane údajov z roku 2018 sa vzťahuje na každé spracúvanie spravodajskými službami alebo v ich mene. Stanovujú sa v nej hlavné zásady ochrany údajov (zákonnosť, spravodlivosť a transparentnosť (151), obmedzenie účelu (152), minimalizácia údajov (153), správnosť (154), minimalizácia uchovávania (155) a bezpečnosť (156)) a zavádzajú sa v nej podmienky spracúvania osobitných kategórií údajov (157), stanovujú sa práva dotknutých osôb (158), zavádza sa požiadavka špecificky navrhnutej ochrany údajov (159) a upravujú sa v nej medzinárodné prenosy osobných údajov (160). Komisár pre informácie nedávno vydal podrobné usmernenie o spracúvaní údajov spravodajskými službami podľa časti 4 zákona o ochrane údajov z roka 2018 (161).

(126)

Zároveň sa v § 110 zákona o ochrane údajov z roku 2018 stanovuje výnimka z osobitných ustanovení v časti 4 zákona o ochrane údajov z roku 2018 (162), ak je táto výnimka potrebná na zabezpečenie národnej bezpečnosti. Tejto výnimky sa možno dovolávať na základe analýzy jednotlivých prípadov (163). Ako vysvetlili orgány Spojeného kráľovstva a potvrdila judikatúra súdov, prevádzkovatelia musia zvážiť skutočné dôsledky pre národnú bezpečnosť alebo obranu, ak mali povinnosť dodržiavať konkrétne ustanovenia o ochrane údajov a ak mohli primerane dodržať toto obvyklé pravidlo bez toho, aby to malo vplyv na národnú bezpečnosť alebo obranu“ (164). To, či sa výnimka použila primerane, podlieha dohľadu Komisára pre informácie (165).

(127)

Okrem toho, pokiaľ ide o možnosť obmedziť uplatňovanie vyššie uvedených ustanovení v záujme ochrany „národnej bezpečnosti“, prevádzkovateľ môže podľa § 111 zákona o ochrane údajov z roku 2018 požiadať o osvedčenie podpísané ministrom vlády alebo generálnym prokurátorom, v ktorom sa potvrdzuje, že obmedzenie takýchto práv je nevyhnutným a primeraným opatrením na ochranu národnej bezpečnosti (166).

(128)

Vláda Spojeného kráľovstva vydala v rámci zákona o ochrane údajov z roku 2018 usmernenie na pomoc prevádzkovateľom pri zvažovaní, či požiadať o osvedčenie o záujme národnej bezpečnosti, v ktorom sa predovšetkým zdôrazňuje, že akékoľvek obmedzenie práv dotknutých osôb na zaistenie národnej bezpečnosti musí byť primerané a nevyhnutné (167). Všetky osvedčenia o záujme národnej bezpečnosti sa musia uverejniť na webovom sídle Komisára pre informácie (168).

(129)

Osvedčenie by malo mať pevne stanovené obdobie nie dlhšie ako päť rokov, aby ho mohol výkonný orgán pravidelne preskúmavať (169). V osvedčení sa uvedú osobné údaje alebo kategórie osobných údajov, na ktoré sa vzťahuje výnimka, ako aj ustanovenia zákona o ochrane údajov z roku 2018, na ktoré sa výnimka vzťahuje (170).

(130)

Je dôležité poznamenať, že osvedčenia o záujme národnej bezpečnosti nedávajú dodatočný dôvod na to, aby boli obmedzené práva na ochranu údajov z dôvodov národnej bezpečnosti. Inými slovami, prevádzkovateľ alebo sprostredkovateľ sa môže odvolávať na osvedčenie len vtedy, keď dospel k záveru, že je potrebné odvolávať sa na výnimku v záujme národnej bezpečnosti, ktorá, ako už bolo vysvetlené, sa musí uplatňovať v jednotlivých prípadoch (171). Aj keď sa na predmetnú vec vzťahuje osvedčenie o záujme národnej bezpečnosti, Komisár pre informácie môže preskúmať, či v konkrétnom prípade bolo uplatnenie výnimky v záujme národnej bezpečnosti odôvodnené (172).

(131)

Každá osoba, ktorej sa vydanie osvedčenia priamo týka, sa môže proti osvedčeniu (173) odvolať na vyšší tribunál (Upper Tribunal) (174) alebo, ak sa v osvedčení identifikujú údaje prostredníctvom všeobecného opisu, napadnúť uplatňovanie osvedčenia na konkrétne údaje (175). Tribunál preskúma rozhodnutie o vydaní osvedčenia a rozhodne, či existovali opodstatnené dôvody na vydanie tohto osvedčenia (176). Môže zohľadniť širokú škálu otázok vrátane nevyhnutnosti, primeranosti a zákonnosti pri zvažovaní vplyvu na práva dotknutých osôb a vyvažovaní potreby zabezpečiť národnú bezpečnosť. V dôsledku toho môže tribunál rozhodnúť, že osvedčenie sa nevzťahuje na konkrétne osobné údaje, ktoré sú predmetom odvolania (177).

(132)

Iný súbor možných obmedzení sa týka obmedzení, ktoré sa podľa prílohy 11 k zákonu o ochrane údajov z roku 2018 uplatňujú na určité ustanovenia časti 4 zákona o ochrane údajov z roku 2018 (178) s cieľom chrániť iné dôležité ciele všeobecného verejného záujmu alebo chránené záujmy, ako napríklad parlamentné výsady, dôvernosť komunikácie medzi advokátom a jeho klientom, vedenie súdnych konaní alebo bojovú účinnosť ozbrojených síl (179). Uplatňovanie týchto ustanovení je buď oslobodené pre určité kategórie informácií („výnimky na základe kategórie“), alebo je oslobodené v rozsahu, v akom by uplatňovanie týchto ustanovení mohlo ohroziť chránený záujem („výnimky na základe ujmy“) (180). Výnimky na základe ujmy sa môžu uplatniť len vtedy, ak by uplatňovanie uvedených ustanovení o ochrane údajov mohlo byť na ujmu príslušnému osobitnému záujmu. Použitie výnimky musí byť preto vždy odôvodnené odkazom na príslušnú ujmu, ktorá by mohla nastať v konkrétnom prípade. Výnimky na základe kategórie možno uplatniť len v súvislosti so špecifickou, úzko vymedzenou kategóriou informácií, pre ktorú sa výnimka udeľuje. Z hľadiska účelu a účinku sú podobné niekoľkým výnimkám zo všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (podľa prílohy 2 k zákonu o ochrane údajov z roku 2018), ktoré zase odrážajú výnimky stanovené v článku 23 všeobecného nariadenia o ochrane údajov.

(133)

Z uvedeného vyplýva, že obmedzenia a podmienky sú zavedené podľa platných právnych predpisov Spojeného kráľovstva, a to aj v zmysle ich výkladu súdmi a Komisie pre informácie, aby sa zabezpečilo, že tieto obmedzenia a výnimky zostanú v medziach toho, čo je nevyhnutné a primerané na ochranu národnej bezpečnosti.

(134)

Právne predpisy Spojeného kráľovstva ukladajú niekoľko obmedzení prístupu k osobným údajom a ich používania na účely presadzovania trestného práva a v tejto oblasti poskytujú mechanizmy dohľadu a nápravy, ktoré sú v súlade s požiadavkami uvedenými v odôvodneniach 113 až 115 tohto rozhodnutia. Podmienky, za ktorých sa takýto prístup môže uskutočniť, a záruky, ktoré sa vzťahujú na uplatnenie týchto právomocí, sa podrobne posudzujú v nasledujúcich oddieloch.

(135)

Podľa zásady zákonnosti zaručenej podľa § 35 zákona o ochrane údajov z roku 2018 je spracúvanie osobných údajov na ktorýkoľvek z účelov presadzovania práva zákonné len vtedy, ak je založené na zákone a dotknutá osoba vyjadrila súhlas so spracúvaním na tento účel (181) alebo ak je spracúvanie nevyhnutné na splnenie úlohy, ktorú na tento účel vykonáva príslušný orgán.

(136)

V právnom rámci Spojeného kráľovstva je získavanie osobných údajov od podnikateľských subjektov vrátane tých, ktoré by spracúvali údaje prenášané z EÚ podľa tohto rozhodnutia o primeranosti, prípustné na účely presadzovania trestného práva, a to na základe príkazov na domovú prehliadku (182) a príkazov na predloženie dôkazov (183).

(137)

Príkazy na domovú prehliadku vydáva súd obvykle na žiadosť vyšetrovateľa. Umožňujú vyšetrovateľovi vstup do priestorov s cieľom prehľadať ich v snahe nájsť materiály alebo osoby, ktoré sú relevantné pre jeho vyšetrovanie, a zadržať všetko, na čo sa vzťahuje povolenie prehliadky vrátane akýchkoľvek relevantných dokumentov alebo materiálov obsahujúcich osobné údaje (184). Podľa príkazu na predloženie dôkazov, ktorý takisto musí vydať súd, musí osoba, ktorá je v ňom uvedená, predložiť materiál, ktorý vlastní alebo má pod kontrolou, alebo poskytnúť k nemu prístup. Žiadateľ musí súdu zdôvodniť, prečo je príkaz nevyhnutný, ako aj dôvod, prečo je to vo verejnom záujme. Existuje viacero zákonom stanovených právomocí, na základe ktorých je možné vydávať príkazy na domovú prehliadku a príkazy na predloženie dôkazov. Každé ustanovenie zahŕňa svoj vlastný súbor zákonných podmienok, ktoré musia byť splnené na to, aby bol príkaz na domovú prehliadku (185) alebo príkaz na predloženie dôkazov (186) vydaný.

(138)

Príkazy na predloženie dôkazov a príkazy na domovú prehliadku možno napadnúť prostredníctvom súdneho preskúmania (187). Pokiaľ ide o záruky, všetky orgány príslušné na presadzovanie trestného práva, ktoré patria do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018, môžu získať prístup k osobným údajom – čo je forma spracúvania – len v súlade so zásadami a s požiadavkami stanovenými v zákone o ochrane údajov z roku 2018 (pozri odôvodnenia 122 a 124). Žiadosť podaná ktorýmkoľvek orgánom presadzovania práva by preto mala byť v súlade so zásadou, podľa ktorej musia byť účely spracúvania konkrétne určené, výslovne uvedené a legitímne (188) a osobné údaje spracúvané príslušným orgánom musia byť na tento účel relevantné a nie nadmerné (189).

(139)

Na účely predchádzania len závažným trestným činom alebo ich odhaľovania (190) môžu niektoré orgány presadzovania práva, napríklad Národná kriminálna agentúra alebo policajný prezident (191), využiť cielené vyšetrovacie právomoci podľa zákona o vyšetrovacích právomociach z roku 2016. V tomto prípade sa záruky stanovené v zákone o vyšetrovacích právomociach z roku 2016 uplatnia popri zárukách stanovených v časti 3 zákona o ochrane údajov z roku 2018. Konkrétne vyšetrovacie právomoci, na ktoré sa uvedené orgány presadzovania práva môžu spoľahnúť, sú: cielené zachytávanie (časť 2 zákona o vyšetrovacích právomociach z roku 2016), získavanie údajov o komunikácii (časť 3 zákona o vyšetrovacích právomociach z roku 2016), uchovávanie údajov o komunikácii (časť 4 zákona o vyšetrovacích právomociach z roku 2016) a cielené zasahovanie do zariadení (časť 5 zákona o vyšetrovacích právomociach z roku 2016). Zachytávanie zahŕňa získavanie obsahu komunikácie (192), zatiaľ čo získavanie a uchovávanie údajov o komunikácii nie je zamerané na získanie obsahu komunikácie, ale na informácie o tom, „kto“, „kedy“, „kde“ a „ako“ sa na komunikácii zúčastnil. Tieto informácie zahŕňajú napríklad čas a trvanie komunikácie, telefónne číslo alebo e-mailovú adresu odosielateľa a príjemcu komunikácie a niekedy polohu zariadení, z ktorých sa komunikácia uskutočnila, predplatiteľa telefónnej služby alebo účet s rozpísanými položkami (193). Zasahovanie do zariadení predstavuje súbor postupov používaných na získanie rôznych údajov zo zariadení, medzi ktoré patria počítače, tablety a smartfóny, ako aj káble, elektrické rozvody a pamäťové zariadenia (194).

(140)

Právomoci v oblasti cieleného zachytávania sa môžu použiť aj vtedy, keď je to „nevyhnutné na účely vykonania ustanovení nástroja vzájomnej pomoci EÚ alebo medzinárodnej dohody o vzájomnej pomoci“ (tzv. príkaz na vzájomnú pomoc (195)). Príkazy na vzájomnú pomoc sú k dispozícii len v súvislosti so zachytávaním, nie so získavaním údajov o komunikácii ani so zasahovaním do zariadení. Tieto cielené právomoci sú upravené aj zákonom o vyšetrovacích právomociach z roku 2016 (196), ktorým sa spolu so zákonom o regulácii vyšetrovacích právomocí z roku 2000 (Regulation of Investigatory Powers Act) pre Anglicko, Wales a Severné Írsko a zákonom (Škótska) o regulácii vyšetrovacích právomocí z roku 2000 pre Škótsko poskytuje právny základ a stanovujú uplatniteľné obmedzenia a záruky pre využívanie takýchto právomocí. Zákonom o vyšetrovacích právomociach z roku 2016 sa stanovuje režim využívania hromadných vyšetrovacích právomocí, hoci tieto právomoci nie sú k dispozícii orgánom presadzovania práva (využívať ich môžu len spravodajské služby) (197).

(141)

Orgány, aby mohli vykonávať tieto právomoci, musia získať príkaz (198) vydaný príslušným orgánom (199) a schválený nezávislým Komisárom pre justíciu (200) (tzv. postup dvojitého zabezpečenia). Získanie takéhoto príkazu podlieha overeniu kritéria nevyhnutnosti a proporcionality (201). Keďže tieto cielené vyšetrovacie právomoci, ktoré stanovuje zákon o vyšetrovacích právomociach z roku 2016, sú rovnaké ako tie, ktoré majú k dispozícii národné bezpečnostné služby, podmienky, obmedzenia a záruky uplatniteľné na takéto právomoci sú podrobnejšie rozobraté v oddiele o prístupe k osobným údajom a ich používaní zo strany orgánov verejnej moci Spojeného kráľovstva na účely národnej bezpečnosti (pozri odôvodnenia 177 a ďalšie).

(142)

Poskytovanie údajov orgánom presadzovania práva inému orgánu na iné účely ako tie, na ktoré boli pôvodne získané (tzv. následné poskytnutie) podlieha určitým podmienkam.

(143)

Podobne ako v článku 4 ods. 2 smernice (EÚ) 2016/680 sa aj § 36 ods. 3 zákona o ochrane údajov z roku 2018 umožňuje, aby sa osobné údaje získané príslušným orgánom na účely presadzovania práva mohli ďalej spracúvať (či už pôvodným prevádzkovateľom alebo iným prevádzkovateľom) na akýkoľvek iný účel presadzovania práva za predpokladu, že prevádzkovateľ je zo zákona oprávnený spracúvať údaje na tento iný účel a predmetné spracovanie je daný účel nevyhnutné a primerané (202). V takom prípade sa na spracúvanie vykonávané prijímajúcim orgánom uplatnia všetky záruky stanovené v časti 3 zákona o ochrane údajov z roku 2018 uvedené v odôvodneniach 122 a 124.

(144)

V právnom poriadku Spojeného kráľovstva výslovne umožňujú takéto následné poskytovanie údajov rôzne právne predpisy. Predovšetkým v i) zákone o digitálnom hospodárstve z roku 2017 (Digital Economy Act) sa umožňuje vzájomné poskytovanie údajov medzi orgánmi verejnej moci na viaceré účely, napríklad v prípade akéhokoľvek podvodu voči verejnému sektoru, ktorý by zahŕňal ujmu alebo hrozbu ujmy pre orgány verejnej moci (203), resp. v prípade dlhu voči orgánu verejnej moci alebo korune (204); v ii) zákone o trestnej činnosti a súdoch z roku 2013 sa umožňuje poskytovanie informácií Národnej kriminálnej agentúre (205) na účely boja proti závažnej a organizovanej trestnej činnosti, jej vyšetrovania a stíhania; v iii) zákone o závažnej trestnej činnosti z roku 2007 sa umožňuje orgánom verejnej moci sprístupňovať informácie organizáciám na boj proti podvodom na účely predchádzania podvodom (206).

(145)

V týchto právnych predpisoch sa výslovne stanovuje, že poskytnutie informácií by sa malo uskutočniť v súlade so zásadami stanovenými v zákone o ochrane údajov z roku 2018. Okrem toho policajná akadémia College of Policing vydala autorizovanú profesijnú prax poskytovania informácií (207) s cieľom pomôcť polícii pri plnení jej povinností v oblasti ochrany údajov podľa všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, zákona o ochrane osobných údajov a zákona o ľudských právach Spojeného kráľovstva z roku 1998. Súlad poskytnutia údajov s uplatniteľným právnym rámcom na ochranu údajov samozrejme podlieha súdnemu preskúmaniu (208).

(146)

Okrem toho, podobne ako v článku 9 smernice (EÚ) 2016/680, sa v zákone o ochrane údajov z roku 2018 stanovuje, že osobné údaje získané na akýkoľvek účel presadzovania práva sa môžu spracúvať na účel, ktorý nie je presadzovaním práva, ak je spracúvanie povolené zákonom (209).

(147)

Tento typ poskytovania zahŕňa dva scenáre: 1. ak orgán presadzovania trestného práva poskytuje údaje orgánu na presadzovanie iného práva, ako je trestné právo, ktorý nie je spravodajskou službou (napr. finančný alebo daňový orgán, orgán na ochranu hospodárskej súťaže, úrad starostlivosti o mládež); 2. ak orgán presadzovania trestného práva poskytuje údaje spravodajskej službe. V prvom scenári bude spracúvanie osobných údajov patriť do rozsahu pôsobnosti všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ako aj do časti 2 zákona o ochrane údajov z roku 2018. Komisia posúdila záruky stanovené vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov a v časti 2 zákona o ochrane údajov z roku 2018 v odôvodneniach 12 až 111 a dospela k záveru, že Spojené kráľovstvo zabezpečuje primeranú úroveň ochrany osobných údajov prenášaných v rámci rozsahu pôsobnosti nariadenia (EÚ) 2016/679 z Európskej únie do Spojeného kráľovstva.

(148)

V druhom scenári, teda pokiaľ ide o poskytovanie údajov získaných orgánom presadzovania trestného práva spravodajskej službe na účely národnej bezpečnosti, je právnym základom, ktorý umožňuje takéto poskytnutie, § 19 zákona o boji proti terorizmu z roku 2008 (210). Podľa tohto zákona môže každá osoba poskytnúť informácie ktorejkoľvek zo spravodajských služieb na účely plnenia ktorejkoľvek z funkcií tejto služby vrátane „národnej bezpečnosti“.

(149)

Pokiaľ ide o podmienky, za ktorých sa údaje môžu poskytnúť na účely národnej bezpečnosti, zákon o spravodajských službách (211) a zákon o bezpečnostných službách (212) obmedzujú schopnosť spravodajských služieb získavať údaje na to, čo je nevyhnutné na plnenie ich zákonných funkcií. Orgány presadzovania práva, ktoré chcú poskytnúť údaje spravodajským službám, musia okrem funkcií týchto služieb, ktoré sú stanovené v zákone o spravodajských službách a v zákone o bezpečnostných službách, zvážiť niekoľko faktorov/obmedzení (213). V § 20 zákona o boji proti terorizmu z roku 2008 sa jasne uvádza, že akékoľvek poskytnutie údajov podľa § 19 musí byť stále v súlade s právnymi predpismi o ochrane údajov; čo znamená, že sa uplatňujú všetky obmedzenia a požiadavky uvedené v časti 3 zákona o ochrane údajov z roku 2018. Keďže sú príslušné orgány orgánmi verejnej moci v zmysle zákona o ľudských právach z roku 1998, musia okrem toho zabezpečiť, aby konali v súlade s právami dohovoru vrátane článku 8 EDĽP. Týmito obmedzeniami sa zabezpečuje, že každé poskytnutie údajov medzi orgánmi presadzovania práva a spravodajskými službami je v súlade s právnymi predpismi o ochrane údajov a EDĽP.

(150)

Ak príslušný orgán zamýšľa poskytnúť osobné údaje spracúvané podľa časti 3 zákona o ochrane údajov z roku 2018 orgánom presadzovania práva tretej krajiny, uplatňujú sa osobitné požiadavky (214). Takéto prenosy sa môžu uskutočniť konkrétne vtedy, keď sú založené na právnych predpisoch o primeranosti prijatých ministrom, alebo ak takéto právne predpisy neexistujú, je potrebné zabezpečiť primerané záruky. V § 75 zákona o ochrane údajov z roku 2018 sa stanovuje, že primerané záruky sú zavedené vtedy, ak ich tvorí právny nástroj, ktorý zamýšľaného príjemcu zaväzuje, alebo ak prevádzkovateľ po vyhodnotení všetkých okolností týkajúcich sa prenosov tohto druhu osobných údajov do tretej krajiny alebo medzinárodnej organizácii dospeje k záveru, že na ochranu údajov existujú primerané záruky.

(151)

Ak sa prenos nezakladá na právnom predpise o primeranosti alebo primeraných zárukách, môže sa uskutočniť len za určitých osobitných okolností, ktoré sa označujú ako „osobitné okolnosti“ (215). Ide o prípad, keď je prenos nevyhnutný: a) na ochranu životne dôležitých záujmov dotknutej osoby či inej osoby; b) na zabezpečenie oprávnených záujmov dotknutej osoby; c) na zabránenie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti tretej krajiny; d) v jednotlivých prípadoch na akékoľvek účely presadzovania práva, alebo e) v jednotlivých prípadoch na právne účely (napríklad v súvislosti so súdnym konaním alebo s cieľom získať právne poradenstvo). Možno poznamenať, že písmená d) a e) sa neuplatňujú, ak práva a slobody dotknutej osoby prevažujú nad verejným záujmom na prenose. Tento súbor okolností zodpovedá špecifickým situáciám a podmienkam kvalifikovaným ako „výnimky“ podľa článku 38 smernice (EÚ) 2016/680.

(152)

Okrem toho, ak sa materiál získaný orgánmi presadzovania práva na základe príkazu, ktorým sa povoľuje použitie zachytávania alebo zasahovanie do zariadení, odovzdá tretej krajine, zákonom o vyšetrovacích právomociach z roku 2016 sa ukladajú dodatočné záruky. Takéto poskytnutie údajov, vymedzené ako „poskytovanie údajov do zahraničia“, je povolené konkrétne len vtedy, ak vydávajúci orgán usúdi, že sa zaviedli osobitné primerané opatrenia, ktorými sa obmedzuje počet osôb, ktorým sa údaje poskytujú, rozsah, v akom sa ktorýkoľvek materiál poskytuje alebo sprístupňuje, ako aj rozsah, v akom sa ktorýkoľvek materiál kopíruje, a počet zhotovených kópií. Okrem toho vydávajúci orgán môže usúdiť, že sú nevyhnutné primerané opatrenia na to, aby sa zabezpečilo, že sa každá zhotovená kópia ktorejkoľvek časti tohto materiálu zničí v okamihu, keď už nebudú existovať relevantné dôvody na jej uchovávanie (ak nebola zničená skôr) (216).

(153)

A napokon v budúcnosti by sa mohli uskutočňovať osobitné formy následných prenosov zo Spojeného kráľovstva do Spojených štátov na základe „Dohody medzi vládou Spojeného kráľovstva Veľkej Británie a Severného Írska a vládou Spojených štátov amerických o prístupe k elektronickým údajom na účely boja proti závažnej trestnej činnosti“ (ďalej len „dohoda medzi Spojeným kráľovstvom a USA“) (217) uzavretej v októbri 2019 (218). Hoci dohoda medzi Spojeným kráľovstvom a USA ešte nenadobudla platnosť v čase prijatia tohto rozhodnutia, jej predpokladané nadobudnutie platnosti môže mať vplyv na následné prenosy údajov, ktoré sa najprv preniesli do Spojeného kráľovstva na základe tohto rozhodnutia, do USA. Konkrétnejšie by sa na údaje prenášané z EÚ poskytovateľom služieb v Spojenom kráľovstve podľa tejto dohody medzi Spojeným kráľovstvom a USA po nadobudnutí jej platnosti mohli vzťahovať príkazy na predloženie elektronických dôkazov vydávané príslušnými orgánmi presadzovania práva USA a uplatniteľné v Spojenom kráľovstve. Z týchto dôvodov je posúdenie podmienok a záruk, na základe ktorých sa takýto príkaz môže vydávať a vykonávať, pre toto rozhodnutie relevantné.

(154)

V tejto súvislosti treba poznamenať, že po prvé, pokiaľ ide o vecnú pôsobnosť dohody medzi Spojeným kráľovstvom a USA, vzťahuje sa len na trestné činy, za ktoré možno uložiť trest odňatia slobody s hornou hranicou trestnej sadzby stanovenou najmenej na tri roky (vymedzené ako „závažný trestný čin“) (219) vrátane „teroristickej činnosti“. Po druhé údaje spracúvané v inej jurisdikcii možno získať podľa tejto dohody medzi Spojeným kráľovstvom a USA len na základe „príkazu [...], ktorý podlieha preskúmaniu alebo dohľadu podľa vnútroštátneho právneho poriadku vydávajúcej strany súdom, sudcom alebo iným nezávislým orgánom pred začiatkom konania alebo v konaní týkajúcom sa výkonu príkazu“ (220). Po tretie každý príkaz musí „vychádzať z požiadaviek primeraného odôvodnenia na základe konkrétnych a dôveryhodných skutočností, osobitosti, zákonnosti a závažnosti, pokiaľ ide o vyšetrovaný prípad“ (221), a „zameriavať na konkrétne účty, ako aj identifikovať konkrétnu osobu, účet, adresu, osobné zariadenie alebo akýkoľvek iný konkrétny identifikátor“ (222). Po štvrté na údaje získané na základe tejto dohody sa vzťahuje rovnocenná ochrana ako osobitné záruky stanovené takzvanou zastrešujúcou dohodou medzi EÚ a USA (223) – komplexnou dohodou o ochrane údajov uzavretou v decembri 2016 medzi EÚ a USA, v ktorej sa stanovujú záruky a práva uplatniteľné na prenosy údajov v oblasti spolupráce týkajúcej sa presadzovania práva – ktoré sú všetky začlenené mutatis mutandis do tejto dohody medzi Spojeným kráľovstvom a USA prostredníctvom odkazov, aby sa zohľadnila najmä osobitná povaha prenosov (t. j. ide skôr prenosy od súkromných subjektov orgánom presadzovania práva než o prenosy medzi orgánmi presadzovania práva) (224). V dohode medzi Spojeným kráľovstvom a USA sa konkrétne stanovuje, že ochrana, ktorá je rovnocenná ako ochrana stanovená v rámci zastrešujúcej dohody medzi EÚ a USA, sa bude vzťahovať „na všetky osobné údaje predkladané pri vykonávaní príkazov, na ktoré sa vzťahuje dohoda medzi Spojeným kráľovstvom a USA, s cieľom zabezpečiť rovnocennú ochranu“ (225).

(155)

Na údaje prenášané orgánom USA na základe dohody medzi Spojeným kráľovstvom a USA by sa preto mala vzťahovať ochrana podľa nástroja práva EÚ, pričom by sa vykonali potrebné úpravy, ktoré by odzrkadlili povahu príslušných prenosov. Orgány Spojeného kráľovstva ďalej potvrdili, že ochrana zastrešujúcej dohody sa bude vzťahovať na všetky osobné údaje predkladané alebo uchovávané na základe dohody medzi Spojeným kráľovstvom a USA bez ohľadu na povahu alebo druh orgánu, ktorý podal žiadosť (napr. federálne orgány aj štátne orgány presadzovania práva v USA), takže rovnocenná ochrana sa musí zabezpečiť vo všetkých prípadoch. Orgány Spojeného kráľovstva však ďalej upresnili, že podrobnosti o konkrétnom vykonávaní záruk ochrany údajov sú stále predmetom diskusií medzi Spojeným kráľovstvom a USA. V súvislosti s rokovaniami s útvarmi Európskej komisie o tomto rozhodnutí orgány Spojeného kráľovstva potvrdili, že nechajú dohodu medzi Spojeným kráľovstvom a USA vstúpiť do platnosti až vtedy, keď sa presvedčia, že jej vykonávanie je v súlade s právnymi povinnosťami stanovenými v tejto dohode vrátane jednoznačnosti, pokiaľ ide o súlad s normami ochrany údajov pre všetky údaje požadované na základe tejto dohody medzi Spojeným kráľovstvom a USA. Keďže prípadné nadobudnutie platnosti dohody medzi Spojeným kráľovstvom a USA môže mať vplyv na úroveň ochrany posudzovanú v tomto rozhodnutí, akékoľvek informácie alebo budúce upresnenie spôsobu, akým budú USA plniť svoje záväzky vyplývajúce z dohody medzi Spojeným kráľovstvom a USA, by malo Spojené kráľovstvo oznámiť Európskej komisii hneď, ako bude k dispozícii, a v každom prípade pred nadobudnutím platnosti dohody medzi Spojeným kráľovstvom a USA, aby sa zabezpečilo riadne monitorovanie tohto rozhodnutia v súlade s článkom 45 ods. 4 nariadenia (EÚ) 2016/679. Osobitná pozornosť sa bude venovať uplatňovaniu ochrany zastrešujúcej dohody na konkrétny druh prevodov, na ktoré sa vzťahuje dohoda medzi Spojeným kráľovstvom a USA, a jej úprave.

(156)

Všeobecnejšie povedané, akákoľvek relevantná zmena, pokiaľ ide o nadobudnutie platnosti a uplatňovanie dohody medzi Spojeným kráľovstvom a USA, sa náležite zohľadní v spojitosti s nepretržitým monitorovaním tohto rozhodnutia, a to aj pokiaľ ide o príslušné dôsledky, ktoré sa vyvodia v prípade akéhokoľvek náznaku, že už nie je zabezpečená v zásade rovnocenná úroveň ochrany.

(157)

V závislosti od právomocí, ktoré príslušné orgány využívajú pri spracúvaní osobných údajov na účely presadzovania práva (či už podľa zákona o ochrane údajov z roku 2018, alebo zákona o vyšetrovacích právomociach z roku 2016), zabezpečujú dohľad nad využívaním týchto právomocí rôzne orgány. Komisár pre informácie konkrétne dozerá na spracúvanie osobných údajov, keď spracúvanie patrí do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018 (226). Nezávislý a súdny dohľad nad používaním vyšetrovacích právomocí podľa zákona o vyšetrovacích právomociach z roku 2016 zabezpečuje Úrad Komisára pre vyšetrovacie právomoci (227) (táto časť je predmetom odôvodnení 250 až 255). Okrem toho ďalší dohľad zabezpečuje parlament a ďalšie orgány.

(158)

Všeobecné funkcie Komisára pre informácie – ktorého nezávislosť a organizácia sú vysvetlené v odôvodnení 87 – v súvislosti so spracúvaním osobných údajov, ktoré patrí do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018, sú stanovené v prílohe 13 k zákonu o ochrane údajov z roku 2018. Hlavnou úlohou Komisára pre informácie je monitorovať a presadzovať časť 3 zákona o ochrane údajov z roku 2018, ako aj zvyšovať povedomie verejnosti a poskytovať poradenstvo parlamentu, vláde a iným inštitúciám a orgánom. V záujme zachovania nezávislosti justície nie je Komisár pre informácie oprávnený vykonávať svoje funkcie v súvislosti so spracúvaním osobných údajov jednotlivcom konajúcim v rámci súdnej právomoci, resp. súdom či tribunálom konajúcim v rámci svojej súdnej právomoci. Za týchto okolností by funkcie dohľadu vykonávali iné orgány, ako sa uvádza v odôvodneniach 99 až 103.

(159)

Komisár pre informácie má všeobecné vyšetrovacie, nápravné, povoľovacie a poradné právomoci v súvislosti so spracúvaním osobných údajov, na ktoré sa vzťahuje časť 3. Komisár pre informácie má predovšetkým právomoc oznamovať prevádzkovateľovi alebo sprostredkovateľovi údajné porušenie časti 3 zákona o ochrane údajov z roku 2018, vydávať varovania alebo napomenutia prevádzkovateľovi alebo sprostredkovateľovi, ktorý porušil ustanovenia časti 3 zákona, ako aj z vlastnej iniciatívy alebo na požiadanie vydávať stanoviská pre parlament, vládu alebo iné inštitúcie a orgány, ako aj pre verejnosť k akejkoľvek otázke týkajúcej sa ochrany osobných údajov (228).

(160)

Okrem toho má Komisár pre informácie právomoc vydávať informačné oznámenia (229), oznámenia o posúdení (230) a presadzovacie oznámenia (231), ako aj právo na prístup k dokumentom prevádzkovateľov a sprostredkovateľov, na vstup do ich priestorov (232) a právo ukladať správne pokuty formou oznámenia o uložení sankcie. (233) Okolnosti, za ktorých Komisár pre informácie vydáva informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie a oznámenie o uložení sankcie (234) sa stanovujú v regulačnej politike Komisára pre informácie [pozri aj odôvodnenie 93 a odôvodnenia týkajúce sa rozhodnutia o primeranosti 101 – 102 smernice (EÚ) 2016/680].

(161)

Podľa posledných výročných správ (2018 – 2019 (235), 2019 – 2020 (236)) Komisár pre informácie uskutočnil niekoľko vyšetrovaní a prijal opatrenia na presadzovanie práva v súvislosti so spracúvaním údajov orgánmi presadzovania práva. Komisár napríklad viedol vyšetrovanie a v októbri 2019 uverejnil stanovisko týkajúce sa používania technológie rozpoznávania tváre na verejných miestach na účely presadzovania práva. Vyšetrovanie sa zameriavalo najmä na využívanie schopností rozpoznávania tváre v reálnom čase zo strany polície Južného Walesu a Metropolitnej policajnej služby (ďalej len „MPS“). Komisár pre informácie ďalej prešetroval matricu MPS na odhaľovanie gangov (237) a zistil celý rad závažných porušení právnych predpisov o ochrane údajov, ktoré by mohli narušiť dôveru verejnosti v matricu a v spôsob, akým sa údaje používali. V novembri 2018 Komisár pre informácie vydal presadzovacie oznámenie a následne MPS podnikla kroky potrebné na zvýšenie bezpečnosti a zodpovednosti a na zabezpečenie primeraného využívania údajov. Ďalším príkladom presadzovacích opatrení v tejto oblasti je pokuta vo výške 325 000 GBP, ktorú Komisár pre informácie udelil v máji 2018 prokuratúre (Crown Prosecution Service) za stratu nezašifrovaných nosičov DVD obsahujúcich záznamy policajných výsluchov. Komisár pre informácie ďalej prešetroval širšie témy, napríklad v prvej polovici roka 2020 využívanie extrakcie mobilných telefónov na policajné účely a spracúvanie údajov o obetiach zo strany polície. Okrem toho Komisár pre informácie v súčasnosti vyšetruje prípad, ktorý sa týka prístupu orgánov presadzovania práva k údajom, ktorými disponuje subjekt v súkromnom sektore Clearview AI Inc (238).

(162)

Okrem právomocí Komisára pre informácie v oblasti presadzovania práva uvedených v odôvodneniach 160 a 161 možno uviesť, že určité porušenia právnych predpisov o ochrane údajov predstavujú trestné činy, a preto môžu podliehať trestnoprávnym sankciám (§ 196 zákona o ochrane údajov z roku 2018). Ide napríklad o získanie, poskytnutie alebo uchovávanie osobných údajov bez súhlasu prevádzkovateľa a poskytnutie prístupu k osobným údajom inej osobe bez súhlasu prevádzkovateľa (239); opätovnú identifikáciu anonymizovaných osobných údajov bez súhlasu prevádzkovateľa zodpovedného za anonymizáciu týchto osobných údajov (240); úmyselné bránenie Komisárovi pre informácie pri výkone jeho právomocí v súvislosti s kontrolou osobných údajov v súlade s medzinárodnými záväzkami (241), nepravdivé vyhlásenia v reakcii na informačné oznámenie alebo zničenie informácií v súvislosti s informačným oznámením a oznámením o posúdení (242).

(163)

Okrem Komisára pre informácie existuje v oblasti presadzovania trestného práva niekoľko orgánov dohľadu so špecifickými mandátmi súvisiacimi s otázkami ochrany údajov. Patrí medzi ne napríklad Komisár pre uchovávanie a používanie biometrického materiálu (ďalej len „Komisár pre biometriu“) (243) a Komisár pre sledovanie kamerovým systémom (244).

(164)

Užší výbor pre vnútorné záležitosti zabezpečuje parlamentný dohľad v oblasti presadzovania práva. Tento výbor sa skladá z 11 poslancov parlamentu vybraných z troch najväčších politických strán. Úlohou výboru je kontrolovať výdavky, správu a postupy ministerstva vnútra a súvisiacich verejných orgánov vrátane polície a Národnej kriminálnej agentúry, ktorej činnosť môže výbor konkrétne kontrolovať (245).

(165)

Výbor si môže v rámci svojej právomoci zvoliť vlastný predmet vyšetrovania vrátane konkrétnych prípadov, pokiaľ vec práve nie je predmetom súdneho konania. Výbor takisto môže požiadať širokú škálu relevantných skupín a jednotlivcov o písomné a ústne dôkazy. Vypracúva správy o svojich zisteniach a vydáva odporúčania vláde (246). Od vlády sa očakáva, že zareaguje na každé odporúčanie v správe, a musí tak urobiť do 60 dní (247).

(166)

V oblasti sledovania výbor takisto vypracoval správu týkajúcu sa zákona o regulácii vyšetrovacích právomocí z roku 2000 (248), z ktorej vyplynulo, že zákon o regulácii vyšetrovacích právomocí z roku 2000 neplní svoj účel. Táto správa sa zohľadňovala pri nahradení veľkých častí zákona o regulácii vyšetrovacích právomocí z roku 2000 zákonom o vyšetrovacích právomociach z roku 2016. Úplný zoznam vyšetrovaní sa nachádza na webovom sídle výboru (249).

(167)

V Škótsku vykonáva úlohy užšieho výboru pre vnútorné záležitosti justičný podvýbor pre policajnú činnosť (Justice Subcommittee on Policing) a v Severnom Írsku výbor pre justíciu (Committee for Justice) (250).

(168)

Pokiaľ ide o spracúvanie údajov orgánmi presadzovania práva, mechanizmy nápravy sa stanovujú v časti 3 zákona o ochrane údajov z roku 2018 a v zákone o vyšetrovacích právomociach z roku 2016, ako aj v zákone o ľudských právach z roku 1998.

(169)

Súbor mechanizmov poskytuje dotknutým osobám účinné správne a súdne prostriedky nápravy, ktoré im umožňujú najmä zaistiť svoje práva vrátane práva na prístup k svojim osobným údajom alebo práva dosiahnuť opravu alebo vymazanie týchto údajov.

(170)

Po prvé podľa § 165 zákona o ochrane údajov z roku 2018 má dotknutá osoba právo podať sťažnosť Komisárovi pre informácie, ak sa dotknutá osoba domnieva, že v súvislosti s osobnými údajmi, ktoré sa jej týkajú, došlo k porušeniu časti 3 zákona o ochrane údajov z roku 2018 (251). Komisár pre informácie má právomoc posúdiť dodržiavanie zákona o ochrane údajov z roku 2018 zo strany prevádzkovateľa a sprostredkovateľa a požadovať od nich, aby v prípade nedodržiavania tohto zákona prijali potrebné kroky, a ukladať pokuty.

(171)

Po druhé v zákone o ochrane údajov z roku 2018 sa stanovuje právo na prostriedok nápravy voči Komisárovi pre informácie, ak sťažnosť podanú dotknutou osobou nerieši primerane. Konkrétne sa uvádza, že ak Komisár pre informácie „nepokročil“ (252) vo veci sťažnosti podanej dotknutou osobou, sťažovateľ má prístup k súdnemu prostriedku nápravy, pretože sa môže obrátiť na tribunál prvého stupňa (253) s cieľom nariadiť Komisárovi pre informácie, aby v reakcii na sťažnosť prijal vhodné opatrenia, alebo aby informoval sťažovateľa o pokroku v súvislosti so sťažnosťou (254). Okrem toho sa každá osoba, ktorá dostane od Komisára pre informácie akékoľvek z uvedených oznámení (informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie alebo oznámenie o uložení sankcie), môže odvolať na tribunál prvého stupňa. Ak sa tribunál domnieva, že rozhodnutie Komisára pre informácie nie je v súlade so zákonom alebo že Komisár pre informácie mal uplatniť svoju voľnú úvahu inak, tribunál musí odvolaniu vyhovieť, resp. musí vydať iné oznámenie alebo prijať iné rozhodnutie, ktoré mohol vydať alebo prijať Komisár pre informácie (255).

(172)

Po tretie osoby môžu vymáhať súdne prostriedky nápravy voči prevádzkovateľom a sprostredkovateľom priamo pred súdom. Konkrétne podľa § 167 zákona o ochrane údajov z roku 2018 môže dotknutá osoba podať žalobu na súd pre porušenie jej práv vyplývajúcich z právnych predpisov o ochrane údajov a súd môže formou príkazu prevádzkovateľa požiadať, aby prijal (alebo neprijal) akékoľvek kroky súvisiace so spracúvaním s cieľom dosiahnuť dodržiavanie zákona o ochrane údajov z roku 2018. Okrem toho podľa § 169 zákona o ochrane údajov z roku 2018 akákoľvek osoba, ktorá utrpela škodu v dôsledku porušenia niektorej požiadavky právnych predpisov o ochrane údajov (vrátane časti 3 zákona o ochrane údajov z roku 2018) iných ako všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, má nárok na náhradu tejto škody od prevádzkovateľa alebo sprostredkovateľa s výnimkou prípadu, že prevádzkovateľ alebo sprostredkovateľ dokáže, že prevádzkovateľ alebo sprostredkovateľ nie je žiadnym spôsobom zodpovedný za udalosť, ktorá spôsobila škodu. Škoda zahŕňa tak finančnú ujmu, ako aj škodu, ktorá nezahŕňa finančnú ujmu, ako napríklad nemajetkovú ujmu.

(173)

Napokon akákoľvek osoba, ktorá sa domnieva, že došlo k poškodeniu jej práv vrátane práva na súkromie a ochranu údajov zo strany orgánov verejnej moci, môže dosiahnuť nápravu pred súdmi Spojeného kráľovstva na základe zákona o ľudských právach z roku 1998 (256) a po vyčerpaní vnútroštátnych prostriedkov nápravy môže osoba, mimovládna organizácia a skupina osôb vymôcť nápravu pred Európskym súdom pre ľudské práva za porušenia práv zaručených v Európskom dohovore o ľudských právach (257) (pozri odôvodnenie 111).

(174)

Osoby môžu dosiahnuť nápravu za porušenie zákona o vyšetrovacích právomociach z roku 2016 pred tribunálom pre kontrolu vyšetrovacích právomocí (Investigatory Powers Tribunal). Možnosti získania nápravy dostupné podľa zákona o vyšetrovacích právomociach z roku 2016 sú opísané v odôvodneniach 263 až 269.

(175)

V rámci právneho poriadku Spojeného kráľovstva sú spravodajskými službami s právomocou získavať elektronické údaje, ktoré majú v držbe prevádzkovatelia alebo sprostredkovatelia, z dôvodu národnej bezpečnosti a v situáciách súvisiacich so scenárom primeranosti Bezpečnostná služba (MI5) (258), Tajná spravodajská služba (SIS) (259) a Vládne komunikačné ústredie (260) (GCHQ) (261).

(176)

V Spojenom kráľovstve sú právomoci spravodajských služieb stanovené v zákone o vyšetrovacích právomociach z roku 2016 a v zákone o regulácii vyšetrovacích právomocí z roku 2000, ktoré spolu so zákonom o ochrane údajov z roku 2018 vymedzujú materiálny a osobný rozsah uplatňovania týchto právomocí, ako aj obmedzenia a záruky na ich používanie. Tieto právomoci, ako aj obmedzenia a záruky, ktoré sa na ne vzťahujú, sa podrobne posudzujú v nasledujúcich častiach.

(177)

Zákonom o vyšetrovacích právomociach z roku 2016 sa ustanovuje právny rámec pre využívanie vyšetrovacích právomocí, t. j. právomoc zachytávať údaje z komunikácie, získavať k nim prístup a vykonávať zasahovanie do zariadení. V zákone o vyšetrovacích právomociach z roku 2016 sa zavádza všeobecný zákaz používania techník, ktoré umožňujú prístup k obsahu komunikácie, prístup k údajom o komunikácii alebo zasahovanie do zariadení bez zákonnej právomoci, a stanovuje sa, že ich používanie je trestným činom (262). Premieta sa to v skutočnosti, že využívanie týchto vyšetrovacích právomocí je zákonné len vtedy, keď sa uskutočňuje na základe príkazu alebo povolenia (263).

(178)

V zákone o vyšetrovacích právomociach z roku 2016 sú stanovené podrobné pravidlá, ktoré riadia rozsah a uplatňovanie každej vyšetrovacej právomoci, ako aj ich osobitné obmedzenia a záruky. Uplatňujú sa odlišné pravidlá v závislosti od druhu vyšetrovacej právomoci (zachytávanie komunikácie, získavanie a uchovávanie údajov o komunikácii a zasahovanie do zariadení) (264), ako aj od toho, či sa právomoc uplatňuje na konkrétny cieľ, alebo hromadne. Podrobnosti o rozsahu, zárukách a obmedzeniach každého opatrenia, ktoré je stanovené v zákone o vyšetrovacích právomociach z roku 2016, sú opísané ďalej v osobitných oddieloch.

(179)

Zákon o vyšetrovacích právomociach z roku 2016 navyše dopĺňajú viaceré zákonné kódexy postupov vydané ministrom, schválené obidvomi snemovňami parlamentu (265) a platné v celej krajine, pričom tieto kódexy poskytujú usmernenia k využívaniu týchto právomocí (266). Zatiaľ čo sa dotknuté osoby môžu spoľahnúť priamo na ustanovenia uvedené v zákone o vyšetrovacích právomociach z roku 2016, v bode 5 prílohy 7 k zákonu o vyšetrovacích právomociach z roku 2016 stanovuje, že kódexy postupov sú prípustné ako dôkaz v občianskych a trestných konaniach a súd, tribunál alebo dozorný orgán môže zohľadniť prípadné nedodržiavanie kódexov pri stanovovaní relevantnej otázky v súdnom konaní (267). Veľká komora Európskeho súdu pre ľudské práva v rámci svojho posúdenia „kvality práva“ predchádzajúcich právnych predpisov Spojeného kráľovstva v oblasti sledovania, zákona o regulácii vyšetrovacích právomocí z roku 2000, výslovne uznala relevantnosť kódexov postupov Spojeného kráľovstva a uznala, že ich ustanovenia by mohli byť zohľadnené pri posudzovaní predvídateľnosti právnych predpisov umožňujúcich sledovanie (268).

(180)

Takisto je potrebné poznamenať, že cielené právomoci (cielené zachytávanie (269), získavanie údajov o komunikácii (270), uchovávanie údajov o komunikácii (271) a cielené zasahovanie do zariadení (272)) sú k dispozícii národným bezpečnostným službám a určitým orgánom presadzovania práva (273), zatiaľ čo len spravodajské služby môžu využívať hromadné právomoci (t. j. hromadné zachytávanie (274), hromadné získavanie údajov o komunikácii (275), hromadné zasahovanie do zariadení (276) a súbory hromadných osobných údajov (277)).

(181)

Pri rozhodovaní o tom, ktorá vyšetrovacia právomoc sa má využiť, musí spravodajská služba dodržiavať „všeobecné povinnosti týkajúce sa súkromia“ uvedené v § 2 ods. 2 písm. a) zákona o vyšetrovacích právomociach z roku 2016, ktoré zahŕňajú overenie kritéria nevyhnutnosti a proporcionality. Presnejšie povedané, podľa tohto ustanovenia musí orgán verejnej moci zamýšľajúci využiť vyšetrovaciu právomoc zvážiť i) či by sa to, čo sa má dosiahnuť príkazom, povolením alebo oznámením, mohlo primerane dosiahnuť inými menej rušivými prostriedkami; ii) či úroveň ochrany, ktorá sa má uplatňovať v súvislosti s akýmkoľvek získavaním údajov na základe príkazu, povolenia alebo oznámenia, je vyššia z dôvodu osobitnej citlivosti týchto údajov; iii) verejný záujem na integrite a bezpečnosti telekomunikačných systémov a poštových služieb a iv) akékoľvek iné aspekty verejného záujmu na ochrane súkromia (278).

(182)

Spôsob, akým by sa mali uplatňovať tieto kritériá, a spôsob posudzovania ich dodržiavania v rámci povolenia na využitie týchto právomocí vydaného ministrom a nezávislými Komisármi pre justíciu sa podrobnejšie uvádzajú v príslušných kódexoch postupov. Využitie ktorejkoľvek z týchto vyšetrovacích právomocí musí byť vždy „primerané tomu, čo sa má dosiahnuť, [čo] so sebou prináša vyváženie závažnosti narušenia súkromia (a iné posúdenia stanovené v § 2 ods. 2) úmerne k nevyhnutnosti tejto činnosti z vyšetrovacieho alebo operačného hľadiska, prípadne hľadiska spôsobilosti“. Znamená to, že „by malo poskytovať realistické vyhliadky na dosiahnutie očakávaného prínosu a nemalo by byť neprimerané ani svojvoľné“ a „[ž]iadne zasahovanie do súkromia by sa nemalo považovať za primerané, ak by sa žiadané informácie mohli primerane získať inými menej rušivými prostriedkami“ (279). Dodržiavanie zásady proporcionality sa konkrétne musí posúdiť vzhľadom na tieto kritériá: „i) rozsah navrhovaného zasahovania do súkromia oproti tomu, čo sa má dosiahnuť; ii) ako a prečo spôsobia metódy, ktoré sa majú použiť, čo najmenšie zasiahnutie vo vzťahu k danej osobe a k iným; iii) či táto činnosť predstavuje náležité uplatnenie zákona a primeraný spôsob dosiahnutia toho, čo sa má dosiahnuť, po zvážení všetkých primeraných alternatív; iv) ktoré iné vhodné metódy sa buď neuplatnili, alebo sa použili a zhodnotili sa ako nedostatočné na splnenie operačných cieľov bez použitia navrhovanej vyšetrovacej právomoci“ (280).

(183)

Ako vysvetľujú orgány Spojeného kráľovstva, v praxi sa tým zabezpečuje, že spravodajská služba najskôr stanoví operatívny cieľ (čím sa vymedzí získavanie, napr. na účely medzinárodného boja proti terorizmu v konkrétnej zemepisnej oblasti) a následne na základe operačného cieľa bude musieť zvážiť, ktorá technická možnosť (napr. cielené alebo hromadné zachytávanie, zasahovanie do zariadení, získavanie údajov o komunikácii) je najprimeranejšia (t. j. najmenej narúšajúca súkromie – pozri § 2 ods. 2 zákona o vyšetrovacích právomociach) tomu, čo sa má dosiahnuť, a preto sa môže povoliť v rámci jedného z dostupných zákonných rámcov.

(184)

Je potrebné poznamenať, že takéto opieranie sa o normy nevyhnutnosti a proporcionality takisto zobral na vedomie a uvítal osobitný spravodajca OSN pre právo na súkromie Joseph Cannataci, ktorý sa v súvislosti so systémom zriadeným zákonom o vyšetrovacích právomociach z roku 2016 vyjadril, že „sa zdá, že postupy zavedené v spravodajských službách, ako aj v orgánoch presadzovania práva si systematicky vyžadujú posúdenie nevyhnutnosti a proporcionality opatrenia alebo operácie v oblasti sledovania pred tým, ako sa odporučí na schválenie, ako aj jeho preskúmanie z rovnakého dôvodu“ (281). Takisto poznamenal, že na tomto stretnutí so zástupcami orgánov presadzovania práva a národných bezpečnostných služieb „nadobudol jednoznačný dojem, že pri akomkoľvek rozhodnutí týkajúcom sa opatrení v oblasti sledovania sa musí v prvom rade zohľadňovať právo na súkromie. Všetci pochopili a uvedomovali si nevyhnutnosť a proporcionalitu ako hlavné zásady, ktoré sa majú zohľadňovať“.

(185)

Osobitné kritériá na vydanie rôznych príkazov, ako aj obmedzenia a záruky zavedené zákonom o vyšetrovacích právomociach z roku 2016 týkajúce sa každej vyšetrovacej právomoci sa podrobne uvádzajú v odôvodneniach 186 až 243.

(186)

Pre cielené zachytávanie existujú tri druhy príkazov: príkaz na cielené zachytávanie (282), príkaz na cielené preskúmanie a príkaz na vzájomnú pomoc (283). Podmienky na získanie takých príkazov, ako aj príslušné záruky sú stanovené v časti 2 kapitole 1 zákona o vyšetrovacích právomociach z roku 2016.

(187)

Príkazom na cielené zachytávanie sa povoľuje zachytávanie komunikácie opísanej v príkaze počas ich prenosu a získavanie ďalších údajov relevantných pre túto komunikáciu (284) vrátane sekundárnych údajov (285). Príkaz na cielené preskúmanie povoľuje osobe uskutočniť výber na preskúmanie zachyteného obsahu získaného na základe príkazu na hromadné zachytávanie (286).

(188)

Akýkoľvek príkaz podľa časti 2 zákona o vyšetrovacích právomociach z roku 2016 môže byť vydaný ministrom (287) a schválený Komisárom pre justíciu (288). Vo všetkých prípadoch je trvanie akéhokoľvek druhu cieleného príkazu obmedzené na šesť mesiacov (289) a na jeho zmenu (290) a obnovenie (291) sa vzťahujú osobitné pravidlá.

(189)

Pred vydaním príkazu musí minister vykonať posúdenie nevyhnutnosti a proporcionality (292). V prípade príkazu na cielené zachytávanie a príkazu na cielené preskúmanie by minister mal konkrétne overiť, či je opatrenie nevyhnutné z jedného z týchto dôvodov: v záujme národnej bezpečnosti; predchádzanie alebo odhaľovanie závažnej trestnej činnosti; v záujme hospodárskeho blahobytu Spojeného kráľovstva (293), pokiaľ tento záujem súvisí aj so záujmami národnej bezpečnosti (294). Na druhej strane možno príkaz na vzájomnú pomoc (pozri odôvodnenie 139) vydať len vtedy, keď sa minister domnieva, že existujú okolnosti zodpovedajúce okolnostiam, v ktorej by vydal príkaz na účel predchádzania alebo odhalenia závažnej trestnej činnosti (295).

(190)

Okrem toho by minister mal posúdiť, či je opatrenie primerané tomu, čo sa má dosiahnuť (296). Posúdenie proporcionality žiadaných opatrení musí zohľadňovať všeobecné povinnosti súvisiace so súkromím uvedené v § 2 ods. 2 zákona o vyšetrovacích právomociach z roku 2016, najmä potrebu posúdiť, či to, čo sa má dosiahnuť príkazom, povolením alebo oznámením, by bolo možné primerane dosiahnuť inými menej rušivými prostriedkami, a či úroveň ochrany, ktorá sa má uplatňovať v súvislosti s akýmkoľvek získavaním údajov na základe príkazu, je vyššia z dôvodu osobitnej citlivosti týchto údajov (pozri odôvodnenie 181).

(191)

S týmto cieľom musí minister zohľadniť všetky prvky žiadosti uvedené orgánom predkladajúcim žiadosť, najmä prvky týkajúce sa osôb, ktorých komunikácia sa má zachytávať, a dôležitosť opatrenia pre vyšetrovanie. Tieto prvky sa podrobne uvádzajú v Kódexe postupov pre zachytávanie komunikácie a musia byť opísané s určitou mierou konkrétnosti (297). Okrem toho sa v § 17 zákona o vyšetrovacích právomociach z roku 2016 vyžaduje, aby sa v každom príkaze vydanom na základe jeho kapitoly 2 menovite uvádzala alebo opisovala konkrétna osoba alebo skupina osôb, organizácia alebo priestory, v súvislosti s ktorými sa má zachytávať komunikácia („cieľ“). Pokiaľ ide o príkaz na cielené zachytávanie alebo príkaz na cielené preskúmanie, môžu sa týkať skupiny osôb, viac ako jednej osoby alebo organizácie alebo viac ako jedného priestoru (takisto tzv. tematický príkaz) (298). V týchto prípadoch by sa v príkaze mal opisovať spoločný účel alebo činnosť, ktorá sa spoločne týka skupiny osôb alebo operácie/vyšetrovania, a mal by sa v ňom menovite uvádzať alebo opisovať taký počet týchto osôb/organizácií alebo priestorov, aký je primerane možný (299). Napokon sa vo všetkých príkazoch vydaných na základe časti 2 zákona o vyšetrovacích právomociach z roku 2016 musia uvádzať adresy, čísla, zariadenia, faktory alebo kombinácie faktorov, ktoré sa majú použiť na identifikáciu komunikácie (300). V tejto súvislosti sa v Kódexe postupov pre zachytávanie komunikácie stanovuje, že v prípade príkazu na cielené zachytávanie a príkazu na cielené preskúmanie „sa v príkaze musia uvádzať (alebo opisovať) faktory alebo kombinácia faktorov, ktoré sa majú používať na identifikáciu komunikácie. Ak sa komunikácia má identifikovať (napríklad) na základe odkazu na telefónne číslo, číslo musí byť špecifikované uvedením celej podoby. Ak sa však na identifikáciu komunikácie majú použiť veľmi zložité alebo neustále sa meniace internetové selektory, tieto selektory by mali byť opísané v čo najväčšej miere“ (301).

(192)

Dôležitou zárukou v tejto súvislosti je to, že posúdenie vykonané ministrom na účely vydania príkazu musí schváliť nezávislý Komisár pre justíciu (302), ktorý najmä preverí, či je rozhodnutie vydať príkaz v súlade so zásadami nevyhnutnosti a proporcionality (303) (viac informácií o postavení a úlohe Komisárov pre justíciu sa nachádza v odôvodneniach 251 až 256). V zákone o vyšetrovacích právomociach z roku 2016 sa takisto vysvetľuje, že pri tomto preverovaní musí Komisár pre justíciu uplatňovať rovnaké zásady, ako by uplatňoval súd pri žiadosti o súdne preskúmanie (304). Tým sa zabezpečí, že v každom prípade a pred získaním prístupu k údajom nezávislý orgán systematicky kontroluje zásadu nevyhnutnosti a proporcionality.

(193)

V zákone o vyšetrovacích právomociach z roku 2016 sa stanovuje niekoľko konkrétnych a úzko vymedzených výnimiek na vykonanie cieleného zachytávania bez príkazu. Obmedzené prípady sú podrobne uvedené v zákone (305) a okrem jedného založeného na „súhlase“ odosielateľa/prijímateľa ich vykonávajú osoby (súkromné alebo verejné orgány) iné ako národné bezpečnostné služby. Tento druh zachytávania sa vykonáva na účely iné ako zhromažďovanie „spravodajských informácií“ (306) a pre niektoré z nich je veľmi nepravdepodobné, že získavanie sa môže uskutočniť v rámci scenára „prenosu“ (napríklad v prípade zachytávania v psychiatrických liečebniach alebo vo väzniciach). Vzhľadom na charakter orgánu, na ktorý sa tieto konkrétne prípady vzťahujú (iné ako národné bezpečnostné služby), sa budú uplatňovať všetky záruky uvedené v časti 2 zákona o ochrane údajov z roku 2018 a vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov vrátane dohľadu Komisára pre informácie a dostupných mechanizmov nápravy. Okrem záruk, ktoré sú stanovené v zákone o ochrane údajov z roku 2018, sa v zákone o vyšetrovacích právomociach z roku 2016 pre isté prípady stanovuje dohľad ex post úradu Komisára pre vyšetrovacie právomoci (307).

(194)

Keď sa vykonáva zachytávanie, vzhľadom na osobitné postavenie osoby (osôb), ktorých komunikácia sa zachytáva (308), sa uplatňujú dodatočné obmedzenia a záruky. Napríklad zachytávanie položiek podliehajúcich povinnosti advokáta zachovávať mlčanlivosť sa povoľuje len v prípade výnimočných a závažných okolností, pričom osoba vydávajúca príkaz musí zohľadňovať verejný záujem na dôvernosti položiek podliehajúcich povinnosti advokáta zachovávať mlčanlivosť a skutočnosť, že pre zaobchádzanie s takýmto materiálom, jeho uchovávanie a poskytovanie platia osobitné požiadavky (309).

(195)

Okrem toho sa v zákone o vyšetrovacích právomociach z roku 2016 stanovujú osobitné záruky týkajúce sa bezpečnosti, uchovávania a poskytovania, ktoré by mal minister zohľadňovať pri vydávaní cieleného príkazu (310). Najmä v § 53 ods. 5 zákona o vyšetrovacích právomociach z roku 2016 sa vyžaduje, aby sa každá vytvorená kópia tohto materiálu bezpečne uchovávala a zničila v okamihu, keď už neexistujú relevantné dôvody na jej uchovávanie, pričom sa na základe ustanovení v § 53 ods. 2 zákona o vyšetrovacích právomociach z roku 2016 vyžaduje, aby sa počet osôb, ktorým sa materiál poskytuje, a rozsah jeho poskytnutia, sprístupnenia alebo kopírovania obmedzili na úplné minimum, ktoré je nevyhnutné na zákonné účely.

(196)

Napokon, ak sa má materiál zachytený na základe príkazu na cielené zachytávanie alebo príkazu na vzájomnú pomoc odovzdať tretej krajine (ďalej len „poskytovanie údajov do zahraničia“), v zákone o vyšetrovacích právomociach z roku 2016 sa stanovuje, že minister musí zabezpečiť zavedenie primeraných opatrení, ktorými sa v danej tretej krajine zabezpečí existencia podobných záruk týkajúcich sa bezpečnosti, uchovávania a poskytovania (311). Navyše v § 109 ods. 2 zákona o ochrane údajov z roku 2018 sa uvádza, že spravodajské služby môžu prenášať údaje mimo územia Spojeného kráľovstva len vtedy, keď je prenos nevyhnutným a primeraným opatrením vykonávaným na účely plnenia zákonných funkcií prevádzkovateľa alebo na ďalšie účely stanovené v § 2 ods. 2 písm. a) zákona o bezpečnostných službách z roku 1989 alebo § 2 ods. 2 písm. a) a § 4 ods. 2 písm. a) zákona o spravodajských službách z roku 1994 (312). Je dôležité, že tieto požiadavky sa vzťahujú aj na prípady, keď sa podľa § 110 zákona o ochrane údajov z roku 2018 uplatní výnimka týkajúca sa národnej bezpečnosti, keďže v § 110 zákona o ochrane údajov z roku 2018 sa § 109 zákona o ochrane údajov z roku 2018 neuvádza ako jedno z ustanovení, ktoré sa môže prestať uplatňovať, ak sa na účely ochrany národnej bezpečnosti vyžaduje výnimka z istých ustanovení.

(197)

Zákonom o vyšetrovacích právomociach z roku 2016 sa ministrovi povoľuje, aby od telekomunikačných operátorov vyžadoval uchovávanie údajov o komunikácii na účely cieleného prístupu zo strany širokej škály orgánov verejnej moci vrátane orgánov presadzovania práva a spravodajských služieb. V časti 4 zákona o vyšetrovacích právomociach z roku 2016 sa stanovuje uchovávanie údajov o komunikácii, zatiaľ čo v časti 3 sa stanovuje cielené získavanie údajov o komunikácii. V častiach 3 a 4 zákona o vyšetrovacích právomociach z roku 2016 sa takisto uvádzajú osobitné obmedzenia uplatňovania týchto právomocí a stanovujú sa osobitné záruky.

(198)

Pojem „údaje o komunikácii“ zahŕňa otázky „kto“, „kedy“, „kde“ a „ako“ týkajúce sa komunikácie, ale nie obsah, t. j. to, čo sa povedalo alebo napísalo. Na rozdiel od zachytávania nie je získavanie a uchovávanie údajov o komunikácii zamerané na získavanie obsahu komunikácie, ale na získavanie informácií, ako je predplatiteľ telefónnej služby alebo účet s rozpísanými položkami. Mohlo by to zahŕňať čas a trvanie komunikácie, číslo alebo e-mailovú adresu odosielateľa a príjemcu a niekedy polohu zariadení, z ktorých sa telekomunikácia uskutočňovala (313).

(199)

Je potrebné poznamenať, že uchovávanie a získavanie údajov o komunikácii sa zvyčajne nebude týkať osobných údajov dotknutých osôb z EÚ prenesených do Spojeného kráľovstva na základe tohto rozhodnutia. Povinnosť uchovávať alebo poskytnúť údaje o komunikácii podľa časti 3 a 4 zákona o vyšetrovacích právomociach z roku 2016 sa vzťahuje na údaje, ktoré sú získavané telekomunikačnými operátormi v Spojenom kráľovstve priamo od používateľov telekomunikačných služieb (314). Takýto druh spracúvania „orientovaný na zákazníka“ nezahŕňa prenos na základe tohto rozhodnutia, t. j. prenos od prevádzkovateľa/sprostredkovateľa v EÚ k prevádzkovateľovi/sprostredkovateľovi v Spojenom kráľovstve.

(200)

V záujme úplnosti sú však v nasledujúcich odôvodneniach zanalyzované podmienky a záruky, ktoré upravujú tieto režimy získavania a uchovávania.

(201)

V rámci predpokladu však treba podotknúť, že uchovávanie a cielené získavanie údajov o komunikácii sú dostupné tak národným bezpečnostným službám, ako aj istým orgánom presadzovania práva (315). Podmienky na požadovanie uchovávania a/alebo získavania údajov o komunikácii sa môžu líšiť v závislosti od dôvodu žiadosti o opatrenie, konkrétne podľa toho, či ide o účely národnej bezpečnosti, alebo presadzovania práva.

(202)

Hoci sa týmto novým režimom zaviedla najmä všeobecná požiadavka povolenia ex ante od nezávislého orgánu, ktorá sa uplatní vo všetkých prípadoch, keď sa údaje o komunikácii zachovávajú a/alebo získavajú (buď na účely presadzovania práva, alebo národnej bezpečnosti), v nadväznosti na rozsudok Súdneho dvora (316) vo veci Tele2/Watson boli zavedené konkrétne záruky, keď sa opatrenie vyžaduje na účely presadzovania práva. Keď sa uchovávanie alebo získavanie údajov o komunikácii vyžaduje na účely presadzovania práva, povolenie ex ante musí vždy udeliť Komisár pre vyšetrovanie právomoci. Neplatí to však, keď sa opatrenie vyžaduje na účely národnej bezpečnosti, pretože, ako sa uvádza ďalej v texte, v niektorých prípadoch môže byť taký druh opatrení povolený iným „jednotlivcom, ktorý udeľuje povolenie“. Nový režim stanovil pre „závažné trestné činy“ prahovú hodnotu, do ktorej môže byť uchovávanie a získavanie údajov o komunikácii povolené (317).

(203)

Podľa časti 3 zákona o vyšetrovacích právomociach z roku 2016 majú príslušné orgány verejnej moci povolené získavať údaje o komunikácii od telekomunikačného operátora alebo akejkoľvek osoby schopnej získať a poskytnúť tieto údaje. Povolením sa nemusí umožňovať zachytávanie obsahu komunikácie (318) a povolenie prestáva byť účinné po uplynutí lehoty jedného mesiaca (319) s možnosťou obnovenia v závislosti od dodatočného povolenia (320). Získavanie údajov o komunikácii si vyžaduje povolenie od Komisára pre vyšetrovacie právomoci (321) (viac informácií o postavení a právomociach Komisára pre vyšetrovacie právomoci sa nachádza v odôvodneniach 250 až 251). Je to tak vždy, keď si získanie údajov o komunikácii vyžiada príslušný orgán presadzovania práva. V § 61 zákona o vyšetrovacích právomociach z roku 2016 sa však uvádza, že keď sa údaje získavajú na účely národnej bezpečnosti alebo hospodárskeho blahobytu Spojeného kráľovstva, pokiaľ súvisia s národnou bezpečnosťou alebo keď o ne požiada člen spravodajskej služby na základe § 61 ods. 7 písm. b) (322), získavanie môže takisto (323) povoliť Komisár pre vyšetrovacie právomoci alebo určený vyšší úradník (324). Určený úradník musí byť nezávislý od daného vyšetrovania alebo operácie a musí mať praktické znalosti o zásadách a právnych predpisoch v oblasti ľudských práv, najmä o zásadách nevyhnutnosti a primeranosti (325). Rozhodnutie prijaté určeným úradníkom podlieha dohľadu ex post vykonávaného Kominárom pre vyšetrovacie právomoci (informácie o funkciách dohľadu ex post Komisára pre vyšetrovacie právomoci sa nachádza v odôvodnení 254).

(204)

Povolenie získavať údaje o komunikácii sa zakladá na posúdení nevyhnutnosti a proporcionality opatrenia. Konkrétnejšie, nevyhnutnosť opatrenia sa posudzuje vzhľadom na dôvody uvedené v právnych predpisoch (326). Vzhľadom na cielený charakter tohto opatrenia, musí byť takisto nevyhnutné pre konkrétne vyšetrovanie alebo operáciu (327). Ďalšie požiadavky týkajúce sa posudzovania nevyhnutnosti opatrení sú stanovené v Kódexe postupov pre údaje o komunikácii (328). Kódex stanovuje najmä to, že žiadosť, ktorú podáva žiadajúci orgán, by mala obsahovať tri základné prvky, ktoré odôvodňujú nevyhnutnosť takejto žiadosti: i) udalosť, ktorá je predmetom vyšetrovania, ako trestný čin alebo poloha zraniteľnej nezvestnej osoby; ii) osoba, o ktorej sa žiadajú údaje, ako podozrivý, svedok alebo nezvestná osoba a ako sa táto osoba spája s udalosťou; a iii) žiadané údaje o komunikácii, ako je telefónne číslo alebo IP adresa, a ako sa tieto údaje vzťahujú na osobu a udalosť (329).

(205)

Získavanie údajov o komunikácii musí byť navyše primerané tomu, čo sa má dosiahnuť (330). V Kódexe postupov pre údaje o komunikácii sa objasňuje, že jednotlivec, ktorý udeľuje povolenie, musí pri uskutočnení takéhoto posúdenia zvážiť „rozsah zásahu do práv a slobôd jednotlivca a konkrétny prínos pre vyšetrovanie alebo operáciu, ktorú vykonáva príslušný orgán verejnej moci v záujme verejnosti“, a že berúc na vedomie všetky aspekty daného prípadu „zásah do práv jednotlivca stále nemusí byť odôvodnený, pretože nepriaznivý vplyv na práva iného jednotlivca alebo skupiny jednotlivcov je príliš veľký“. Na konkrétne posúdenie proporcionality opatrenia, kódex navyše uvádza niekoľko prvkov, ktoré by mali byť zahrnuté v žiadosti žiadajúceho orgánu (331). Okrem toho treba osobitne posúdiť druh údajov o komunikácii (údaje o „subjekte“ alebo „udalosti“ (332)), ktoré sa majú získať, pričom treba uprednostniť použitie menej rušivých kategórii údajov (333). Kódex postupov pre údaje o komunikácii obsahuje aj pokyny pre povolenia, ktoré zahŕňajú údaje o komunikácii osôb s osobitným povolaním (ako lekári, právnici, novinári, parlamentní poslanci alebo duchovní) (334), na ktoré sa vzťahujú dodatočné záruky (335).

(206)

V časti 4 zákona o vyšetrovacích právomociach z roku 2016 sa stanovujú pravidlá o uchovávaní údajov o komunikácii, a to obzvlášť kritériá, na základe ktorých môže minister vydať príkaz na uchovávanie údajov (336). Záruky zavedené v zákone o vyšetrovacích právomociach sú rovnaké, keď sa údaje uchovávajú na účely presadzovania práva alebo v záujme národnej bezpečnosti.

(207)

Cieľom vydávania takýchto príkazov je zabezpečiť, aby telekomunikační operátori uchovali počas najviac 12 mesiacov príslušné údaje o komunikácii, ktoré by boli inak vymazané hneď, ako sa stanú nepotrebnými na obchodné účely (337). Uchovávané údaje zostanú počas tohto vyžiadaného obdobia prístupné pre prípad, že by ich orgán verejnej moci potreboval získať, a to s povolením na cielené získavanie údajov o komunikácii uvedeným v časti 3 zákona o vyšetrovacích právomociach z roku 2016 a opísaným v odôvodneniach 203 až 205.

(208)

Uplatňovanie právomoci, ktorou sa vyžaduje uchovávanie istých údajov, podlieha viacerým obmedzeniam a zárukám. Minister môže vydať príkaz na uchovávanie údajov jednému alebo viacerým operátorom (338) iba vtedy, keď sa domnieva, že žiadosť o uchovanie údajov je nevyhnutná na jeden zo zákonných účelov (339) a je primeraná tomu, čo sa má dosiahnuť (340). Ako sa objasňuje v zákone o vyšetrovacích právomociach z roku 2016 (341), minister musí pred vydaním príkazu na uchovávanie údajov zohľadniť: možné výhody príkazu (342); opis telekomunikačných služieb; či je vhodné obmedziť údaje, ktoré sa majú uchovávať, podľa odkazu na polohu alebo opis osôb, ktorým sa poskytujú telekomunikačné služby (343); možný počet používateľov (ak je známy) akejkoľvek telekomunikačnej služby, na ktorú sa príkaz vzťahuje (344); technickú uskutočniteľnosť splnenia príkazu; možné náklady za splnenie príkazu a akýkoľvek iný následok príkazu pre telekomunikačného operátora (alebo opis operátorov), na ktorého sa príkaz vzťahuje (345). Ako sa ďalej podrobne uvádza v kapitole 17 Kódexu postupov pre údaje o komunikácii, všetky príkazy na uchovávanie údajov musia špecifikovať každý typ údajov, ktorý sa má uchovávať, a ako každý typ údajov spĺňa potrebné podmienky pre uchovávanie.

(209)

Vo všetkých prípadoch (tak na účely národnej bezpečnosti, ako aj presadzovania práva) musí rozhodnutie ministra vydať príkaz na uchovávanie údajov schváliť nezávislý Komisár pre justíciu v rámci takzvaného postupu dvojitého zabezpečenia, ktorý musí preskúmať najmä to, či je príkaz na uchovávanie príslušných údajov o komunikácii nevyhnutný a primeraný jednému alebo viacerým zákonným účelom (346).

(210)

Zasahovanie do zariadení je súbor techník, ktoré sa využívajú na získanie rôznych údajov zo zariadení (347), ako sú počítače, tablety a smartfóny, ako aj káble, elektrické rozvody a pamäťové zariadenia (348). Zasahovanie do zariadení umožňuje získať obsah komunikácie, ako aj údaje zo zariadení (349).

(211)

V súlade s § 13 ods. 1 zákona o vyšetrovacích právomociach z roku 2016 je na použitie zasahovania do zariadení spravodajskou službou potrebné povolenie prostredníctvom príkazu v rámci postupu „dvojitého zabezpečenia“ podľa zákona o vyšetrovacích právomociach z roku 2016, a to za predpokladu, že existuje „prepojenie s Britskými ostrovmi“, (350). Podľa vysvetlení poskytnutých orgánmi Spojeného kráľovstva v situáciách, keď sa údaje prenášajú z Európskej únie do Spojeného kráľovstva v zmysle tohto rozhodnutia, bude vždy existovať „prepojenie s Britskými ostrovmi“ a akékoľvek zasahovanie do zariadení týkajúce sa takýchto údajov bude preto podliehať povinnej požiadavke na príkaz podľa § 13 ods. 1 zákona o vyšetrovacích právomociach z roku 2016 (351).

(212)

Pravidlá vzťahujúce sa na príkazy na cielené zasahovanie do zariadení sú stanovené v časti 5 zákona o vyšetrovacích právomociach z roku 2016. Cielené zasahovanie do zariadení sa podobne ako cielené zachytávanie musí vzťahovať na konkrétny „cieľ“, ktorý musí byť uvedený v príkaze (352). Podrobnosti o tom, ako treba určiť „cieľ“, závisia od záležitosti a typu zariadenia, do ktorého sa má zasahovať. Konkrétne v § 115 ods. 3 zákona o vyšetrovacích právomociach z roku 2016 sa špecifikujú prvky, ktoré by mali byť zahrnuté v príkaze (napr. meno osoby alebo organizácie, opis polohy) napríklad v závislosti od toho, či sa zasahovanie týka zariadenia, ktoré patrí určitej osobe, organizácii alebo skupine osôb, alebo či ho táto osoba, organizácia alebo skupina osôb používa alebo má v držbe, či sa zariadenie nachádza na určitom mieste atď (353). To, na aké ciele možno vydať príkaz na cielené zasahovanie do zariadenia, závisí od žiadajúceho orgánu verejnej moci (354).

(213)

Vydávajúci orgán je povinný podobne ako v prípade cieleného zachytávania posúdiť, či je opatrenie nevyhnutné na dosiahnutie konkrétneho účelu a či je primerané tomu, čo sa má dosiahnuť (355). Okrem toho by mal zvážiť aj to, či existujú záruky týkajúce sa bezpečnosti, uchovávania a poskytovania, ako aj „poskytovania údajov do zahraničia“ (356) (pozri odôvodnenie 196).

(214)

Príkaz musí schváliť Komisár pre justíciu s výnimkou naliehavých prípadov (357). V poslednom uvedenom prípade sa musí Komisár pre justíciu informovať o tom, že sa príkaz vydal, a musí ho schváliť do troch pracovných dní. Ak Komisár pre justíciu odmietne príkaz schváliť, príkaz stráca účinnosť a nemôže sa obnoviť (358). Komisár pre justíciu má navyše právomoc vyžadovať vymazanie akýchkoľvek údajov, ktoré boli získané na základe príkazu (359). Skutočnosť, že došlo k naliehavému vydaniu príkazu, neovplyvní dohľad ex post (pozri odôvodnenia 244 až 255) ani možnosti jednotlivcov žiadať o nápravu (pozri odôvodnenia 260 až 270). Jednotlivci môžu podať sťažnosť Komisárovi pre informácie alebo bežným postupom podať žiadosť tribunálu pre kontrolu vyšetrovacích právomocí, ktorá sa týka akéhokoľvek údajného konania. Komisár pre justíciu pri rozhodovaní sa, či schváliť príkaz, vo všetkých prípadoch overuje kritérium nevyhnutnosti a proporcionality, ktoré sa uplatňuje v prípade žiadostí o cielené zachytávanie (360) (pozri odôvodnenie 192).

(215)

Nakoniec konkrétne záruky uplatniteľné na cielené zachytávanie sa vzťahujú aj na zasahovanie do zariadení v súvislosti s trvaním, obnovou a zmenou príkazu, ako aj na zachytávanie komunikácie poslancov parlamentu, položiek, ktoré podliehajú povinnosti advokáta zachovávať mlčanlivosť, a novinárskeho materiálu (pozri ďalšie podrobnosti v odôvodnení 193).

(216)

Hromadné právomoci upravuje časť 6 zákona o vyšetrovacích právomociach z roku 2016. Kódexy postupov poskytujú ďalšie podrobnosti o použití hromadných právomocí. Napriek tomu, že v právnych predpisoch Spojeného kráľovstva neexistuje vymedzenie pojmu „hromadná právomoc“, v kontexte zákona o vyšetrovacích právomociach z roku 2016 sa opisuje ako získavanie a uchovávanie veľkého množstva údajov, ktoré vláda získala rôznymi prostriedkami (t. j. právomoc hromadného zachytávania, hromadného získavania, hromadného zasahovania a právomoc týkajúca sa súborov hromadných osobných údajov) a ku ktorým majú následne orgány prístup. Tento opis je objasnený v kontraste s tým, čo nie je „hromadná právomoc“: nejde o tzv. masové sledovanie bez obmedzení alebo záruk. Naopak, ako je vysvetlené v nasledujúcom texte, hromadná právomoc zahŕňa obmedzenia a záruky navrhnuté s cieľom zabezpečiť, aby sa prístup k údajom neposkytoval neuvážene alebo bezdôvodne (361). Hromadné právomoci sa konkrétne môžu využiť, len ak existuje prepojenie medzi technickým opatrením, ktoré národná spravodajská služba plánuje použiť, a operačným cieľom, na ktorý sa požaduje.

(217)

Okrem toho sú hromadné právomoci dostupné len pre spravodajské služby a vždy sa na ne vzťahuje príkaz, ktorý vydáva minister a schvaľuje Komisár pre justíciu. Pri výbere spôsobu získavania spravodajských informácií sa musí zohľadniť, či daný cieľ možno dosiahnuť „menej rušivými prostriedkami“ (362). Tento prístup vychádza z legislatívneho rámca zakladajúceho sa na zásade proporcionality, a preto uprednostňuje cielené získavanie pred hromadným získavaním údajov.

(218)

Systém pre hromadné zachytávanie sa stanovuje v časti 6 kapitole 1 zákona o vyšetrovacích právomociach z roku 2016, pričom sa v kapitole 3 rovnakej časti upravuje hromadné zasahovanie do zariadení. Uvedené systémy sú vo svojej podstate rovnaké, a preto sa podmienky a dodatočné záruky uplatniteľné na tieto príkazy analyzujú spoločne.

(219)

Príkaz na hromadné zachytávanie sa obmedzuje na zachytávanie komunikácie počas jej prenosu, ktorú odoslali alebo prijali jednotlivci na území mimo Britských ostrovov (363), tzv. zahraničná komunikácia (364), ako aj na iné relevantné údaje a následný výber zachyteného materiálu na preskúmanie (365). Príkazom na hromadné zasahovanie do zariadení (366) sa adresátovi povoľuje zaistiť zasahovanie do akéhokoľvek zariadenia na účely získania zahraničnej komunikácie (vrátane čohokoľvek, čo obsahuje reč, hudbu, zvuky, vizuálne obrazy alebo údaje akéhokoľvek druhu), údajov zo zariadení (údaje, ktoré umožňujú alebo uľahčujú fungovanie poštovej služby, telekomunikačného systému, telekomunikačnej služby) alebo akýchkoľvek ďalších informácií (367).

(220)

Minister môže vydať hromadný príkaz len na základe žiadosti vedúceho spravodajskej služby (368). Príkaz, ktorým sa povoľuje hromadné zachytávanie alebo hromadné zasahovanie do zariadení sa musí vydať, len ak je to v záujme národnej bezpečnosti a na ďalší účel predchádzania závažným trestným činom a ich odhaľovania alebo v záujme hospodárskeho blahobytu Spojeného kráľovstva, ak je to relevantné pre národnú bezpečnosť (369). Okrem toho § 142 ods. 7 zákona o vyšetrovacích právomociach z roku 2016 vyžaduje, že príkaz na hromadné zachytávanie musí byť špecifikovaný podrobnejšie ako len jednoduchým odkazom na „záujmy národnej bezpečnosti“, „hospodársky blahobyt Spojeného kráľovstva“ a „predchádzanie závažným trestným činom a boj proti nim“, pričom sa v príkaze musí stanoviť prepojenie medzi opatrením, ktoré sa má dosiahnuť, a jedným alebo viacerými operačnými účelmi.

(221)

Výber operačného účelu je výsledkom viacvrstvového postupu. Podľa § 142 ods. 4 zákona o vyšetrovacích právomociach z roku 2016 operačné účely uvedené v príkaze musia byť uvedené v zozname udržiavanom vedúcimi spravodajských služieb ako účely, ktoré považujú za operačné účely, na ktoré sa môže zachytený obsah alebo sekundárne údaje získané prostredníctvom príkazov na hromadné zachytávanie vybrať na preskúmanie. Zoznam operačných účelov musí schváliť minister. Minister môže udeliť takéto schválenie iba vtedy, ak je presvedčený, že operačný účel je špecifikovaný podrobnejšie, ako sú všeobecné dôvody na povolenie príkazu (národná bezpečnosť alebo národná bezpečnosť a hospodársky blahobyt, alebo predchádzanie závažným trestným činom) (370). Na konci každého príslušného trojmesačného obdobia je minister povinný parlamentnému výboru pre spravodajstvo a bezpečnosť predložiť kópiu zoznamu operačných účelov. Nakoniec predseda vlády musí aspoň raz ročne preskúmať zoznam operačných účelov (371). Ako poznamenal Vrchný súd, „[t]ieto sa nemajú bagatelizovať ako bezvýznamné záruky, keďže spoločne vytvárajú spletitý súbor druhov zodpovednosti, ktoré sa dotýkajú parlamentu, ako aj najvyššie postavených členov vlády“ (372).

(222)

Takýmito operačnými účelmi sa zároveň obmedzuje rozsah výberu zachyteného materiálu pre fázu preskúmania. Výber na preskúmanie akéhokoľvek materiálu získaného na základe hromadného príkazu musí byť odôvodnený so zreteľom na operačné účely. Podľa vysvetlení orgánov Spojeného kráľovstva to znamená, že praktické opatrenia na preskúmanie musí minister posúdiť už vo fáze príkazu, poskytujúc dostatočné podrobnosti na splnenie zákonných povinností podľa § 152 a 193 zákona o vyšetrovacích právomociach z roku 2016 (373). Podrobnosti poskytnuté ministrom týkajúce sa týchto opatrení by museli napríklad zahŕňať informácie (ak je to uplatniteľné) o tom, ako sa môžu opatrenia týkajúce sa filtrovania líšiť počas obdobia, na ktoré sa príkaz vzťahuje (374). Podrobnejšie informácie o postupe a zárukách, ktoré sa vzťahujú na fázu filtrovania a preskúmania sú uvedené v odôvodnení 229.

(223)

Hromadná právomoc sa môže povoliť, len ak je primeraná tomu, čo sa má dosiahnuť (375). Ako sa uvádza v Kódexe postupov pre zachytávanie komunikácie, každé posúdenie proporcionality zahŕňa „vyváženie závažnosti narušenia súkromia (a ďalšie posúdenia stanovené v § 2 ods. 2) úmerne k nevyhnutnosti tejto činnosti z vyšetrovacieho alebo operačného hľadiska, prípadne hľadiska spôsobilosti. Povolené konanie by malo ponúknuť realistickú perspektívu týkajúcu sa dosahovania očakávaného prínosu a nemalo by byť neprimerané ani svojvoľné“ (376). Ako už bolo uvedené, v praxi to znamená, že overenie kritéria proporcionality vychádza z overenia vyváženosti medzi tým, čo sa má dosiahnuť („operačné účely“), a dostupnými technickými možnosťami (napr. cielené alebo hromadné zachytávanie, zasahovanie do zariadení, získavanie údajov o komunikácií), pričom sa uprednostní najmenej rušivý prostriedok (pozri odôvodnenie 181 a 182). Ak sú na dosahovaný cieľ primerané viaceré opatrenia, musí sa uprednostniť menej rušivý prostriedok.

(224)

Dodatočnou zárukou týkajúcou sa posúdenia proporcionality požadovaného opatrenia sa zabezpečuje skutočnosť, že sa na riadny výkon posúdenia musia ministrovi predložiť potrebné príslušné informácie. Konkrétne sa v Kódexe postupov pre zachytávanie komunikácie a Kódexe postupov pre zasahovanie do zariadení vyžaduje, aby žiadosť predložená príslušným orgánom obsahovala podklady žiadosti, opis komunikácie, ktorá sa má zachytávať, a telekomunikačných operátorov, od ktorých sa požaduje spolupráca, opis činnosti, ktorá sa má povoliť, operačné účely, ako aj vysvetlenie, prečo je konanie nevyhnutné a primerané (377).

(225)

Čo je napokon dôležité, rozhodnutie ministra o vydaní príkazu musí schváliť nezávislý Komisár pre justíciu, ktorý posudzuje hodnotenie nevyhnutnosti a proporcionality navrhovaného opatrenia, pričom využíva rovnaké zásady, ktoré by sa použili na súde pri žiadosti o súdne preskúmanie (378). Konkrétnejšie, Komisár pre justíciu preskúma závery ministra o tom, či je príkaz nevyhnutný a či je konanie primerané so zreteľom na zásady stanovené v § 2 ods. 2 zákona o vyšetrovacích právomociach z roku 2016 (všeobecné povinnosti týkajúce sa súkromia). Komisár pre justíciu zároveň preskúma závery ministra o tom, či každý z operačných účelov uvedených v príkaze predstavuje účel, na ktorý je alebo môže byť výber nevyhnutný. Ak Komisár pre justíciu odmietne schváliť rozhodnutie o vydaní príkazu, minister môže: i) akceptovať rozhodnutie a príkaz nevydať alebo ii) vec postúpiť na rozhodnutie Komisárovi pre vyšetrovacie právomoci (pokiaľ pôvodné rozhodnutie nevykonal Komisár pre vyšetrovacie právomoci) (379).

(226)

Zákonom o vyšetrovacích právomociach z roku 2016 sa zaviedli ďalšie obmedzenia týkajúce sa trvania, obnovy a zmeny hromadného príkazu. Príkaz musí trvať najviac šesť mesiacov a každé rozhodnutie o obnovení alebo zmene (okrem malých zmien) príkazu musí rovnako schváliť Komisár pre justíciu (380). V Kódexe postupov pre zachytávanie komunikácie a Kódexe postupov pre zasahovanie do zariadení sa stanovuje, že zmena operačných účelov príkazu sa považuje za zásadnú zmenu príkazu (381).

(227)

V časti 6 zákona o vyšetrovacích právomociach z roku 2016 sa podobne ako v prípade cieleného zachytávania stanovuje, že minister musí zabezpečiť zavedenie opatrení, ktorými sa poskytujú záruky týkajúce sa uchovávania a poskytovania materiálu získaného prostredníctvom príkazu (382), ako aj v prípade poskytovania údajov do zahraničia (383). Konkrétne sa v § 150 ods. 5 a § 191 ods. 5 zákona o vyšetrovacích právomociach z roku 2016 vyžaduje, aby sa každá vytvorená kópia tohto materiálu bezpečne uchovávala a zničila v okamihu, keď už neexistujú relevantné dôvody na jej uchovávanie, pričom sa na základe ustanovení v § 150 ods. 2 a § 191 ods. 2 vyžaduje, aby sa počet osôb, ktorým sa materiál poskytuje, a rozsah jeho poskytnutia, sprístupnenia alebo kopírovania obmedzili na úplné minimum, ktoré je nevyhnutné na zákonné účely (384).

(228)

Napokon, ak sa má materiál zachytený prostredníctvom hromadného zachytávania alebo hromadného zasahovania do zariadení odovzdať tretej krajine (ďalej len „poskytovanie údajov do zahraničia“), v zákone o vyšetrovacích právomociach z roku 2016 sa stanovuje, že minister musí zabezpečiť zavedenie primeraných opatrení, ktorými sa v danej tretej krajine zabezpečí existencia podobných záruk týkajúcich sa bezpečnosti, uchovávania a poskytovania (385). Navyše v § 109 zákona o ochrane údajov z roku 2018 sa stanovujú osobitné požiadavky na medzinárodné prenosy osobných údajov spravodajskými službami do tretích krajín alebo medzinárodným organizáciám, pričom v ňom nie je povolený prenos údajov do krajiny ani na územie mimo Spojeného kráľovstva, ani medzinárodnej organizácii, pokiaľ prenos nie je nevyhnutný a primeraný na účely plnenia zákonných funkcií prevádzkovateľa alebo na ďalšie účely stanovené v § 2 ods. 2 písm. a) zákona o bezpečnostných službách z roku 1989 alebo § 2 ods. 2 písm. a) a § 4 ods. 2 písm. a) zákona o spravodajských službách z roku 1994 (386). Je dôležité, že tieto požiadavky sa vzťahujú aj na prípady, keď sa podľa § 110 zákona o ochrane údajov z roku 2018 uplatní výnimka týkajúca sa národnej bezpečnosti, keďže v § 110 zákona o ochrane údajov z roku 2018 sa § 109 zákona o ochrane údajov z roku 2018 neuvádza ako jedno z ustanovení, ktoré sa môže prestať uplatňovať, ak sa na účely ochrany národnej bezpečnosti vyžaduje výnimka z istých ustanovení.

(229)

Po schválení príkazu a hromadnom získaní údajov budú údaje pred preskúmaním predmetom výberu. Na fázu výberu a preskúmania sa vzťahuje dodatočné overenie kritéria proporcionality vykonávané analytikom, ktorý na základe operačných účelov obsiahnutých v príkaze (a možných existujúcich opatrení týkajúcich sa filtrovania) vymedzuje kritéria výberu. Ako sa stanovuje v § 152 a 193 zákona o vyšetrovacích právomociach z roku 2016, minister musí pri vydávaní príkazu zabezpečiť, že sú zavedené opatrenia, ktorými sa zaručuje, že výber materiálu sa vykonáva len na stanovené operačné účely a že je za každých okolností primeraný a nevyhnutný. V tejto súvislosti orgány Spojeného kráľovstva vysvetlili, že hromadne zachytený materiál sa v prvom rade vyberá prostredníctvom automatizovaného filtrovania s cieľom odstrániť údaje, v ktorých prípade je nepravdepodobné, že budú predmetom záujmu národnej bezpečnosti. Filtre sa budú z času na čas líšiť (so zmenou vzorcov, druhov a protokolov internetovej komunikácie) a budú závisieť od technológií a operačného kontextu. Po skončení tejto fázy môžu byť údaje vybrané na preskúmanie, len ak sú relevantné pre operačné účely uvedené v príkaze (387). Záruky uvedené v zákone o vyšetrovacích právomociach z roku 2016 na preskúmanie získaného materiálu sa uplatňujú na akýkoľvek druh údajov (tak zachyteného obsahu, ako aj sekundárnych údajov) (388). V § 152 a 193 zákona o vyšetrovacích právomociach z roku 2016 sa zároveň stanovuje všeobecný zákaz výberu materiálu na preskúmanie, ktorý sa vzťahuje na konverzácie odoslané alebo určené jednotlivcom, ktorí sa nachádzajú na Britských ostrovoch. Ak orgány chcú preskúmať takýto materiál, musia predložiť žiadosť o príkaz na cielené preskúmanie podľa časti 2 a časti 4 zákona o vyšetrovacích právomociach z roku 2016, ktorý vydáva minister a schvaľuje Komisár pre justíciu (389). Ak osoba úmyselne vyberie zachytený obsah na preskúmanie v rozpore s požiadavkami stanovenými v právnych predpisoch, (390) pácha tak trestný čin (391).

(230)

Na posúdenie vykonávané analytikom v súvislosti s výberom materiálu sa vzťahuje dohľad ex post Komisára pre vyšetrovacie právomoci, ktorý hodnotí súlad s konkrétnymi zárukami, ktoré sa pre fázu preskúmania stanovujú v zákone o vyšetrovacích právomociach z roku 2016 (392) (pozri aj odôvodnenie 229). Komisár pre vyšetrovacie právomoci musí (a to aj prostredníctvom auditu, kontroly a vyšetrovania) kontrolovať, ako orgány verejnej moci vykonávajú vyšetrovacie právomoci, ktoré sú uvedené v zákone o vyšetrovacích právomociach z roku 2016 (393). V tejto súvislosti sa v Kódexe postupov pre zachytávanie komunikácie a Kódexe postupov pre zasahovanie do zariadení objasňuje, že služba musí uchovávať záznamy na účely následného preskúmania a auditu, pričom sa v záznamoch musia opísať dôvody, prečo bol prístup poverených osôb k materiálu nevyhnutný a primeraný, ako aj príslušné operačné účely (394). Úrad Komisára pre vyšetrovacie právomoci (395) vo svojej výročnej správe za rok 2018 napríklad dospel k záveru, že odôvodnenia na preskúmanie určitého hromadne získaného materiálu zaznamenané analytikmi spĺňali požadovanú normu proporcionality, a to poskytnutím dostatočných podrobností o dôvodoch ich „vyhľadávaní“ vo vzťahu k účelu, ktorý sa mal dosiahnuť (396). Úrad Komisára pre vyšetrovacie právomoci vo svojej správe za rok 2019 v súvislosti s hromadnými právomocami jasne vyjadril svoj zámer pokračovať v kontrolách hromadného zachytávania vrátane podrobného preskúmania selektorov a kritérií vyhľadávania (397). Bude pokračovať aj v dôkladnom preskúmaní jednotlivých prípadov výberu opatrení sledovania (cielených/hromadných) tak pri skúmaní žiadostí o príkaz na základe dvojitého zabezpečenia, ako aj pri kontrolách (398). Toto ďalšie monitorovanie Komisia riadne zohľadní v rámci monitorovania tohto rozhodnutia uvedeného v odôvodneniach 281 – 284.

(231)

Ustanovenia časti 6 kapitoly 2 zákona o vyšetrovacích právomociach z roku 2016 upravujú príkazy na hromadné získavanie, ktorými sa adresátom udeľuje povolenie od telekomunikačných operátorov vyžadovať, aby poskytli alebo získali všetky údaje o komunikácií v ich vlastníctve. Tieto príkazy zároveň oprávňujú žiadajúci orgán na výber údajov pre ďalšiu fázu preskúmania. Rovnako ako v prípade cieleného uchovávania a získavania údajov o komunikácii (pozri odôvodnenie 199) ani hromadné získavanie údajov o komunikácii sa zvyčajne nevzťahuje na osobné údaje dotknutých osôb v EÚ prenesených na základe tohto rozhodnutia do Spojeného kráľovstva. Povinnosť poskytnúť údaje o komunikácii podľa časti 6 kapitoly 2 zákona o vyšetrovacích právomociach z roku 2016 sa vzťahuje na údaje, ktoré získavajú telekomunikační operátori v Spojenom kráľovstve priamo od používateľov telekomunikačných služieb (399). Takýto druh spracúvania „orientovaný na zákazníka“ nezahŕňa prenos na základe tohto rozhodnutia, t. j. prenos od prevádzkovateľa/sprostredkovateľa v EÚ k prevádzkovateľovi/sprostredkovateľovi v Spojenom kráľovstve.

(232)

V záujme úplnosti sú ďalej opísané podmienky a záruky, ktoré upravujú získavanie hromadných údajov o komunikácii.

(233)

Zákonom o vyšetrovacích právomociach z roku 2016 sa nahrádzajú právne predpisy vzťahujúce sa na získavanie hromadných údajov o komunikácii, ktoré podliehali rozsudku Súdneho dvora Európskej únie vo veci Privacy International. Právne predpisy, ktoré boli predmetom v danej veci, boli zrušené a nový systém poskytuje konkrétne podmienky a záruky, podľa ktorých môže byť takého opatrenie povolené.

(234)

Na rozdiel od predchádzajúceho systému, v rámci ktorého minister mal úplnú diskrečnú právomoc pri povoľovaní opatrenia (400), sa na základe ustanovení zákona o vyšetrovacích právomociach z roku 2016 vyžaduje, aby minister vydal príkaz, len ak je opatrenie nevyhnutné a primerané. V praxi to znamená, že by malo existovať prepojenie medzi prístupom k údajom a sledovaným cieľom (401). Konkrétnejšie, minister bude povinný posúdiť prítomnosť prepojenia medzi požadovaným opatrením a jedným alebo viacerými „operačnými účelmi“ stanovenými v príkaze (pozri odôvodnenie 219). S ohľadom na posúdenie proporcionality sa v príslušnom kódexe postupov stanovuje, že „minister musí zohľadniť, či to, čo sa má dosiahnuť prostredníctvom príkazu, by sa mohlo primerane dosiahnuť inými menej rušivými prostriedkami [§ 2 ods. 2 písm. a) zákona], napríklad získavaním požadovaných informácií prostredníctvom menej rušivých právomocí, ako je cielené získavanie údajov o komunikácii“ (402).

(235)

Pri vykonávaní takého posúdenia sa minister bude spoliehať na informácie, ktoré sú vedúci spravodajských služieb (403) povinní predložiť vo svojej žiadosti, ako sú dôvody, prečo sa opatrenie považuje za nevyhnutné podľa zákonom stanovených odôvodnení a dôvody, prečo by to, čo sa má dosiahnuť prostredníctvom príkazu, nebolo možné primerane dosiahnuť inými menej rušivými prostriedkami (404). Operačné účely navyše obmedzujú rozsah, na ktorý sa môžu údaje získané prostredníctvom príkazu vybrať na preskúmanie (405). Ako sa uvádza v príslušnom kódexe postupov, operačné účely musia opisovať jasnú požiadavku a obsahovať dostatočné podrobnosti, ktorými sa minister uisťuje o tom, že sa získavané údaje môžu vybrať na preskúmanie len z konkrétnych dôvodov (406). Minister bude musieť pred povolením príkazu skutočne zabezpečiť zavedenie opatrení na zabezpečenie toho, aby sa na preskúmanie, ktoré by malo byť za každých okolností primerané a nevyhnutné, vybral iba materiál, ktorého preskúmanie sa považuje za nevyhnutné na operačné a zákonné účely. Táto konkrétna požiadavka, ktorá sa uvádza v § 158 a 172 (407) zákona o vyšetrovacích právomociach z roku 2016 a ktorá sa vzťahuje na predchádzajúce posúdenie nevyhnutnosti a proporcionality kritérií použitých na účely výberu, predstavuje v porovnaní s predchádzajúcim systémom ďalší významný nový prvok systému zavedeného na základe ustanovení zákona o vyšetrovacích právomociach z roku 2016.

(236)

Zákonom o vyšetrovacích právomociach z roku 2016 sa zároveň zaviedla povinnosť ministra pred vydaním príkazu na hromadné získavanie údajov o komunikácii zabezpečiť zavedenie konkrétnych obmedzení v súvislosti s bezpečnosťou, uchovávaním a poskytovaním získaných osobných údajov (408). V prípade poskytovania údajov do zahraničia sa záruky opísané v odôvodnení 227 pre činnosti hromadného zachytávania a hromadného zasahovania do zariadení uplatňujú aj v tejto súvislosti (409). V právnych predpisoch sú stanovené ďalšie obmedzenia týkajúce sa trvania (410), obnovy (411) a zmeny hromadných príkazov (412).

(237)

Čo je dôležité, podobne ako v prípade iných hromadných právomocí, minister musí pred vydaním príkazu získať súhlas od Komisára pre justíciu (413). Ide o kľúčový prvok systému, ktorý sa zaviedol podľa zákona o vyšetrovacích právomociach z roku 2016.

(238)

Komisár pre vyšetrovacie právomoci vykonáva dohľad ex post nad postupom preskúmania hromadne získaného materiálu (údajov o komunikácii), pozri odôvodnenie 254. V tejto súvislosti sa zákonom o vyšetrovacích právomociach z roku 2016 zaviedla požiadavka, podľa ktorej musí spravodajský analytik vykonávajúci preskúmanie pred výberom údajov na preskúmanie zaznamenať dôvod o tom, prečo je navrhované preskúmanie nevyhnutné a primerané na určený operačný účel (414). Vo výročnej správe Úradu Komisára pre vyšetrovacie právomoci za rok 2019 sa v súvislosti s praktikami Vládneho komunikačného ústredia a Bezpečnostnej služby (MI5) uvádza zistenie, že „kľúčová úloha hromadných údajov o komunikácii pre rozsah činností vykonávaných Vládnym komunikačným ústredím bola vo vyšetrovaných prípadoch jasne formulovaná. Posúdili sme povahu požadovaných údajov a uvedených spravodajských požiadaviek, pričom sme boli spokojní s tým, že z dokumentácie vyplýva, že ich prístup bol nevyhnutný a primeraný“ (415). Zaznamenané odôvodnenia Bezpečnostnej služby (MI5) vykazovali dobrú úroveň a spĺňali zásady nevyhnutnosti a proporcionality. (416)

(239)

Príkazom týkajúcim sa súboru hromadných osobných údajov (bulk personal dataset) sa (417) spravodajským službám povoľuje uchovávať a preskúmať súbory údajov, ktoré obsahujú osobné údaje o viacerých jednotlivcoch. Podľa vysvetlení poskytnutých orgánmi Spojeného kráľovstva môže analýza takýchto súborov údajov predstavovať „jediný nástroj, ktorý môžu spravodajské služby Spojeného kráľovstva využiť na dosiahnutie pokroku pri vyšetrovaní a na identifikáciu teroristov na základe veľmi obmedzených spravodajských informácií, prípadne ak úmyselne skrývajú svoje komunikácie (418).“ Existujú dva druhy príkazov: „príkazy týkajúce sa skupinového súboru hromadných osobných údajov“ (419), ktoré sa vzťahujú na konkrétnu kategóriu súborov údajov, t. j. súbory údajov, ktoré sú si podobné obsahom a navrhovaným použitím a vzbudzujú podobné úvahy, čo sa týka napríklad miery narušenia a citlivosti, ako aj proporcionality použitia údajov, umožňujúc tak ministrovi naraz zvážiť nevyhnutnosť a proporcionalitu získavania všetkých údajov v rámci príslušnej skupiny. Príkaz týkajúci sa skupinového súboru hromadných osobných údajov sa môže napríklad vzťahovať na súbory údajov o cestách, ktoré súvisia s podobnými trasami (420). „Príkazy týkajúce sa konkrétneho súboru hromadných osobných údajov“ (421) sa oproti tomu vzťahujú na jeden konkrétny súbor údajov, napríklad na súbor údajov nového alebo nezvyčajného druhu informácií, ktoré nepatria do rozsahu existujúceho príkazu týkajúceho sa skupinového súboru hromadných osobných údajov, alebo súbor údajov, ktorý obsahuje konkrétne druhy osobných údajov (422), a preto si vyžaduje dodatočné záruky (423). Na základe ustanovení zákona o vyšetrovacích právomociach z roku 2016, pokiaľ ide o súbory hromadných osobných údajov, umožňuje sa preskúmavanie a uchovávanie takýchto súborov údajov iba vtedy, ak je to nevyhnutné a primerané (424), a to v súlade s všeobecnými povinnosťami týkajúcimi sa ochrany súkromia (425).

(240)

Právomoc vydávať príkazy týkajúce sa súborov hromadných osobných údajov podlieha postupu „dvojitého zabezpečenia“: posúdenie nevyhnutnosti a proporcionality opatrenia najskôr vykoná minister a následne Komisár pre justíciu (426). Minister je povinný posúdiť povahu a rozsah pôsobnosti druhu požadovaného príkazu, kategóriu dotknutých údajov a počet samostatných súborov hromadných osobných údajov, na ktoré sa bude pravdepodobne vzťahovať konkrétny druh príkazu (427). Podľa Kódexu postupov pre uchovávanie a používanie súborov hromadných osobných údajov spravodajskými službami sa majú viesť podrobné záznamy, ktoré podliehajú auditu Komisára pre vyšetrovacie právomoci (428). Uchovávanie a preskúmavanie súborov hromadných osobných údajov, ktoré prekračujú hranice stanovené v zákone o vyšetrovacích právomociach z roku 2016, sú trestným činom (429).

(241)

Spracúvané osobné údaje sa podľa ustanovení v časti 4 zákona o ochrane údajov z roku 2018 nesmú spracúvať spôsobom, ktorý je nezlučiteľný s účelom, na ktorý boli získané (430). V zákone o ochrane údajov z roku 2018 sa stanovuje, že prevádzkovateľ môže spracúvať údaje na účel odlišný od toho, na ktorý boli údaje získané, v prípade, že je tento účel v súlade s pôvodným účelom, a za predpokladu, že prevádzkovateľ je na toto spracúvanie oprávnený zákonom a že spracúvanie je nevyhnutné a primerané (431). Okrem toho sa v zákone o bezpečnostných službách z roku 1989 a v zákone o spravodajských službách z roku 1994 stanovuje, že vedúci spravodajských služieb majú povinnosť zabezpečiť, že nie sú získané alebo poskytnuté žiadne informácie s výnimkou prípadov, keď to je nevyhnutné na riadne plnenie funkcii služieb alebo na ďalšie obmedzené a konkrétne účely uvedené v príslušných ustanoveniach (432).

(242)

Okrem toho sa v § 109 zákona o ochrane údajov z roku 2018 stanovujú osobitné požiadavky na medzinárodné prenosy osobných údajov spravodajskými službami do tretích krajín alebo medzinárodným organizáciám. Podľa týchto ustanovení nie je povolený prenos osobných údajov do krajiny alebo na územie mimo Spojeného kráľovstva alebo medzinárodnej organizácii, pokiaľ prenos nie je nevyhnutný a primeraný na účely plnenia zákonných funkcií prevádzkovateľa alebo na ďalšie účely stanovené v § 2 ods. 2 písm. a) zákona o bezpečnostných službách z roku 1989 alebo § 2 ods. 2 písm. a) a § 4 ods. 2 písm. a) zákona o spravodajských službách z roku 1994 (433). Je dôležité, že tieto požiadavky sa uplatňujú vzťahujú aj na prípady, keď sa podľa § 110 zákona o ochrane údajov z roku 2018 uplatní výnimka týkajúca sa národnej bezpečnosti, keďže v § 110 zákona o ochrane údajov z roku 2018 sa § 109 zákona o ochrane údajov z roku 2018 neuvádza ako jedno z ustanovení, ktoré sa môže prestať uplatňovať, ak sa na účely ochrany národnej bezpečnosti vyžaduje výnimka z istých ustanovení.

(243)

Navyše, ako to Komisár pre informácie zdôraznil vo svojom usmernení o spracúvaní údajov spravodajskými službami, okrem záruk uvedených v časti 4 zákona o ochrane údajov z roku 2018, sa na spravodajskú službu pri poskytovaní údajov spravodajskej službe tretej krajiny vzťahujú aj záruky stanovené v iných legislatívnych opatreniach, ktoré sa na ne uplatňujú s cieľom zabezpečiť, že získanie a poskytovanie osobných údajov a zaobchádzanie s nimi sa uskutočňuje zákonným a zodpovedným spôsobom (434). V zákone o vyšetrovacích právomociach z roku 2016 sa napr. stanovujú ďalšie záruky v súvislosti s presunmi materiálu do tretích krajín, ktorý bol získaný prostredníctvom cieleného zachytávania (435), cieleného zasahovania do zariadení (436), hromadného zachytávania (437), hromadného získavania údajov o komunikácii (438) a hromadného zasahovania do zariadení (439) (tzv. poskytovanie údajov do zahraničia). Konkrétne musí orgán vydávajúci príkaz zabezpečiť, že sú v platnosti opatrenia, ktorými sa tretie krajiny prijímajúce údaje zaväzujú k tomu, že obmedzia počet osôb, ktoré majú prístup k materiálu, rozsah poskytovania informácií a počet kópií materiálu na nevyhnutné minimum, a to na povolené účely stanovené v zákone o vyšetrovacích právomociach z roku 2016 (440).

(244)

Dohľad nad prístupom vlády v záujme národnej bezpečnosti vykonáva viacero rozličných orgánov. Komisár pre informácie vykonáva dohľad nad spracúvaním osobných údajov so zreteľom na zákon o ochrane údajov z roku 2018 (pre ďalšie informácie o nezávislosti, vymenovaní a právomociach Komisára pozri odôvodnenia 85 až 98), zatiaľ čo nezávislý a súdny dohľad nad použitím vyšetrovacích právomocí podľa zákona o vyšetrovacích právomociach z roku 2016 vykonáva Komisár pre vyšetrovacie právomoci. Komisár pre vyšetrovacie právomoci vykonáva dohľad nad použitím vyšetrovacích právomocí podľa zákona o vyšetrovacích právomociach z roku 2016 v prípade orgánov presadzovania práva aj národných bezpečnostných orgánov. Politický dohľad poskytuje parlamentný výbor pre spravodajské služby.

(245)

Na spracúvanie osobných údajov spravodajskými službami podľa časti 4 zákona o ochrane údajov z roku 2018 dozerá Komisár pre informácie (441).

(246)

Všeobecné funkcie Komisára pre informácie v súvislosti so spracúvaním osobných údajov zo strany spravodajských služieb, ktoré patrí do rozsahu pôsobnosti časti 4 zákona o ochrane údajov z roku 2018, sú stanovené v prílohe 13 k zákonu o ochrane údajov z roku 2018. Medzi úlohy okrem iných patrí monitorovanie a presadzovanie ustanovení časti 4 zákona o ochrane údajov z roku 2018, podpora informovanosti verejnosti, poskytovanie poradenstva parlamentu, vláde a ďalším inštitúciám v oblasti legislatívnych a administratívnych opatrení, podpora informovanosti prevádzkovateľov a sprostredkovateľov o ich povinnostiach, poskytovanie informácií dotknutým osobám, ktoré sa týkajú uplatňovania ich práv, vedenie vyšetrovaní atď.

(247)

Komisár má, podobne ako v časti 3 zákona o ochrane údajov z roku 2018, právomoc informovať prevádzkovateľov o údajnom porušení a vydávať varovania o tom, že spracúvaním môže porušovať pravidlá, ako aj vydávať napomenutia v prípade, že sa porušenie potvrdí. Môže vydávať aj presadzovacie oznámenia a oznámenia o uložení sankcie za porušenie určitých ustanovení tohto zákona (442). Na rozdiel od ostatných častí zákona o ochrane údajov z roku 2018 však Komisár nemôže národnému bezpečnostnému orgánu predložiť oznámenie o posúdení (443).

(248)

Okrem toho sa v § 110 ods. 6 zákona o ochrane údajov z roku 2018 stanovuje výnimka z využívania určitých právomocí Komisára, ak je to potrebné na účely ochrany národnej bezpečnosti. Patrí sem právomoc Komisára vydávať (akýkoľvek druh) oznámení podľa zákona o ochrane údajov (informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie a oznámenie o uložení sankcie), právomoc vykonávať inšpekcie v súlade s medzinárodnými záväzkami, právomoci na vstup a inšpekciu a pravidlá týkajúce sa trestných činov (444). Ako sa vysvetľuje v odôvodnení 126, tieto výnimky sa budú uplatňovať len vtedy, ak sú potrebné a primerané, a od prípadu k prípadu.

(249)

Komisár pre informácie a spravodajské služby Spojeného kráľovstva podpísali memorandum o porozumení (445), ktorým sa stanovuje rámec pre spoluprácu vo viacerých otázkach vrátane oznámení o porušení ochrany údajov a vybavovania sťažností dotknutých osôb. Konkrétne sa v ňom stanovuje, že po prijatí sťažnosti Komisár pre informácie posúdi, či sa primerane uplatnila akákoľvek výnimka v záujme národnej bezpečnosti. V súvislosti s preskúmaním jednotlivých sťažností sa musí dotknutej spravodajskej službe poskytnúť lehota 20 pracovných dní na poskytnutie odpovedí na otázky predložené Komisárom pre informácie, pričom sa použijú vhodné zabezpečené kanály, ak sa otázky týkajú utajovaných skutočností. Od apríla 2018 ku dnešnému dňu dostal Komisár pre informácie od jednotlivcov 21 sťažností na spravodajské služby. Každá sťažnosť bola posúdená a výsledok bol oznámený dotknutej osobe (446).

(250)

Na základe ustanovení časti 8 zákona o vyšetrovacích právomociach z roku 2016 vykonáva dohľad nad použitím vyšetrovacích právomocí Komisár pre vyšetrovacie právomoci. Komisárovi pomáhajú ďalší Komisári pre justíciu, ktorí sa spoločne uvádzajú ako Komisári pre justíciu (447). V zákone o vyšetrovacích právomociach z roku 2016 sa stanovujú záruky, ktoré chránia nezávislosť Komisárov pre justíciu. Komisári pre justíciu musia zastávať alebo v minulosti museli zastávať vysokú súdnu funkciu (t. j. musia byť alebo museli byť členmi vyšších súdov) (448) a podobne ako každý člen justície majú nezávislé postavenie od vlády (449). Podľa § 227 zákona o vyšetrovacích právomociach z roku 2016 predseda vlády vymenúva Komisára pre vyšetrovacie právomoci a Komisárov pre justíciu tak, ako považuje za potrebné. Všetci Komisári, či už sú súčasní alebo bývalí členovia justície, môžu byť vymenovaní len na základe spoločného odporúčania troch šéfov justície pre Anglicko a Wales, Škótsko a Severné Írsko a lorda kancelára (450). Minister musí pre Komisára pre vyšetrovacie právomoci zabezpečiť personál, ubytovanie, výbavu a ďalšie zariadenia a služby (451). Funkčné obdobie Komisárov, ktorí môžu byť opätovne vymenovaní, trvá tri roky (452). Ďalšou zárukou ich nezávislosti je to, že Komisári pre justíciu môžu byť odvolaní z funkcie len na základe prísnych podmienok, ktoré ukladajú vysokú prahovú hodnotu: za osobitných podmienok, ktoré sú podrobne uvedené v § 228 ods. 5 zákona o vyšetrovacích právomociach z roku 2016 (napríklad vyhlásenie konkurzu alebo uväznenie), ich môže odvolať predseda vlády alebo parlament uznesením o ich odvolaní schválenom v každej zo snemovní parlamentu (453).

(251)

Komisára pre vyšetrovacie právomoci a Komisárov pre justíciu podporuje v ich funkciách Úrad Komisára pre vyšetrovacie právomoci. Medzi zamestnancov Úradu Komisára pre vyšetrovacie právomoci patrí tím inšpektorov, interní právni a technickí odborníci a panel poradcov pre technológie s cieľom poskytovať odborné poradenstvo. Pre každého individuálneho Komisára pre justíciu platí, že nezávislosť Úradu Komisára pre vyšetrovacie právomoci je chránená. Úrad Komisára pre vyšetrovacie právomoci je nezávislý orgán ministerstva vnútra, čo znamená, že je financovaný ministerstvom vnútra, ale svoje funkcie vykonáva nezávisle (454).

(252)

Hlavné funkcie Komisárov pre justíciu sú stanovené v § 229 zákona o vyšetrovacích právomociach z roku 2016 (455). Komisári pre justíciu majú najmä rozsiahle právomoci, pokiaľ ide o schvaľovanie vopred, čo je súčasťou záruk zavedených v právnom rámci Spojeného kráľovstva obsahujúcom zákon o vyšetrovacích právomociach z roku 2016. Všetky príkazy v súvislosti s cieleným zachytávaním, so zasahovaním do zariadení, súbormi hromadných osobných údajov, s hromadným získavaním údajov o komunikácii, ako aj príkazy na uchovávanie údajov o komunikácii musia byť schválené Komisármi pre justíciu (456). Komisár pre vyšetrovacie právomoci musí vždy vopred povoliť získavanie údajov o komunikácii na účely presadzovania práva (457). Ak Komisár odmietne schváliť príkaz, minister môže podať odvolanie Komisárovi pre vyšetrovacie právomoci, ktorého rozhodnutie je konečné.

(253)

Osobitný spravodajca OSN pre právo na súkromie vskutku uvítal zriadenie funkcií Komisárov pre justíciu prostredníctvom zákona o vyšetrovacích právomociach z roku 2016, keďže „všetky citlivejšie alebo rušivejšie žiadosti o vykonanie sledovania musí povoliť minister vlády alebo Úrad Komisára pre vyšetrovacie právomoci“. Zdôraznil najmä, že „tento prvok súdneho preskúmania [prostredníctvom úlohy Komisára pre vyšetrovacie právomoci], pri ktorom pomáha lepšie vybavený tím skúsených inšpektorov a technických odborníkov, je jednou z najvýznamnejších nových záruk, ktoré sa zaviedli zákonom o vyšetrovacích právomociach“, ktorý nahradil predtým rozdrobený systém orgánov dohľadu a dopĺňa úlohu parlamentného výboru pre spravodajstvo a bezpečnosť a tribunálu pre kontrolu vyšetrovacích právomocí (458).

(254)

Komisár pre vyšetrovacie právomoci má navyše podľa zákona o vyšetrovacích právomociach z roku 2016 (459) právomoc vykonávať dohľad ex post, a to aj formou auditu, kontroly a vyšetrovania, a niektoré ďalšie právomoci a funkcie, ktoré sú stanovené v príslušných právnych predpisoch (460). Výsledky takéhoto dohľadu ex post sú uvedené v správe, ktorú Komisár pre vyšetrovacie právomoci musí každoročne vypracovať a predložiť predsedovi vlády (461) a ktorá sa musí uverejniť a predložiť parlamentu (462). Správa obsahuje relevantné štatistické údaje a informácie o využívaní vyšetrovacích právomocí spravodajskými službami a orgánmi presadzovania práva, ako aj o zavádzaní záruk v súvislosti s položkami, na ktoré sa vzťahuje povinnosť advokáta zachovávať mlčanlivosť, s dôvernými žurnalistickými materiálmi a so zdrojmi žurnalistických informácií, informácie o prijatých opatreniach a operačných účeloch využívaných v kontexte hromadných príkazov. Napokon sa vo výročnej správe Úradu Komisára pre vyšetrovacie právomoci uvádza, v ktorej oblasti sa vydali odporúčania orgánom verejnej moci a akým spôsobom boli podané (463).

(255)

V súlade s § 231 zákona o vyšetrovacích právomociach z roku 2016, ak sa Komisár pre vyšetrovacie právomoci dozvie o akejkoľvek relevantnej chybe zo strany orgánov verejnej moci pri využívaní vyšetrovacích právomocí, musí o tom informovať dotknutú osobu, ak sa domnieva, že ide o závažnú chybu a že je vo verejnom záujme, aby osoba bola informovaná (464). Konkrétne v § 231 zákona o vyšetrovacích právomociach z roku 2016 sa uvádza, že Komisár pre vyšetrovacie právomoci pri informovaní osoby o chybe musí uviesť informácie o všetkých právach, ktoré si osoba môže uplatniť na tribunáli pre kontrolu vyšetrovacích právomocí, a uviesť také informácie, aké Komisár považuje za nevyhnutné na výkon týchto práv a pri ktorých existuje verejný záujem na poskytnutí (465).

(256)

Parlamentný dohľad výboru pre spravodajstvo a bezpečnosť má svoj právny základ v zákone o spravodlivosti a bezpečnosti z roku 2013 (466). Týmto zákonom sa v parlamente Spojeného kráľovstva zriaďuje výbor pre spravodajstvo a bezpečnosť. Od roku 2013 má výbor pre spravodajstvo a bezpečnosť väčšie právomoci vrátane dohľadu nad operačnými činnosťami bezpečnostných služieb. Podľa § 2 zákona o spravodlivosti a bezpečnosti z roku 2013 má tento výbor za úlohu dohliadať na výdavky, správu, politiku a činnosť služieb v oblasti národnej bezpečnosti. V zákone o spravodlivosti a bezpečnosti z roku 2013 sa uvádza, že výbor pre spravodajstvo a bezpečnosť môže prešetrovať operačné záležitosti, ak nesúvisia s prebiehajúcimi operáciami (467). V memorande o porozumení medzi predsedom vlády a výborom pre spravodajstvo a bezpečnosť (468) sa podrobne uvádzajú prvky, ktoré sa majú zohľadniť pri posudzovaní toho, či určitá činnosť nie je súčasťou žiadnej prebiehajúcej operácie (469). Výbor pre spravodajstvo a bezpečnosť môže o prešetrenie prebiehajúcich operácií požiadať aj predseda vlády a tento výbor môže preskúmavať aj informácie, ktoré poskytli služby dobrovoľne.

(257)

Podľa prílohy 1 k zákonu o spravodlivosti a bezpečnosti z roku 2013 môže výbor pre spravodajstvo a bezpečnosť požiadať vedúcich ktorejkoľvek z troch spravodajských služieb o poskytnutie akýchkoľvek informácií. Daná služba nemusí tieto informácie sprístupniť, len ak príslušný minister neuplatnil právo veta (470). Podľa vysvetlení, ktoré poskytli orgány Spojeného kráľovstva, sa v praxi tomuto výboru zamieta prístup len k veľmi málo informáciám (471).

(258)

Tento výbor pozostáva z členov oboch snemovní parlamentu, pričom za členov výboru ich vymenúva predseda vlády po konzultácii s lídrom opozície (472). Výbor pre spravodajstvo a bezpečnosť je povinný predkladať parlamentu výročnú správu o plnení svojich funkcií a ďalšie správy, ktoré považuje za vhodné (473). Výbor pre spravodajstvo a bezpečnosť má okrem toho nárok na to, aby mu bol každé tri mesiace doručený zoznam operačných účelov, ktorý sa využíva na preskúmanie hromadne získaných materiálov (474). Predseda vlády poskytuje kópie vyšetrovaní, kontrol alebo auditov Komisára pre vyšetrovacie právomoci výboru pre spravodajstvo a bezpečnosť, ak záležitosti uvedené v správach patria do zákonnej pôsobnosti výboru (475). Napokon výbor môže požiadať Komisára pre vyšetrovacie právomoci, aby uskutočnil vyšetrovanie, a Komisár musí výbor pre spravodajstvo a bezpečnosť informovať o rozhodnutí, či sa takéto vyšetrovanie uskutoční (476).

(259)

Výbor pre spravodajstvo a bezpečnosť takisto poskytol podnety k návrhu zákona o vyšetrovacích právomociach z roku 2016, čo viedlo k viacerým zmenám, ktoré sú teraz začlenené do zákona o vyšetrovacích právomociach z roku 2016 (477). Výbor pre spravodajstvo a bezpečnosť konkrétne odporučil posilnenie ochrany súkromia, a to zavedením súboru opatrení na ochranu súkromia, ktoré sa uplatňujú v celej škále vyšetrovacích právomocí (478). Výbor okrem toho navrhol zmeny navrhnutých spôsobilostí v oblasti zasahovania do zariadení, súborov hromadných osobných údajov a údajov o komunikácii a požiadal o ďalšie konkrétne zmeny na posilnenie obmedzení a záruk využívania vyšetrovacích právomocí (479).

(260)

V oblasti prístupu vlády na účely národnej bezpečnosti musia mať dotknuté osoby možnosť uplatniť právne prostriedky nápravy pred nezávislým a nestranným súdom, aby mali prístup k osobným údajom, ktoré sa ich týkajú, alebo dosiahnuť opravu alebo vymazanie takýchto údajov (480). Takýto súdny orgán musí mať najmä právomoc prijímať záväzné rozhodnutia týkajúce sa spravodajských služieb (481). V Spojenom kráľovstve, ako sa vysvetľuje v odôvodneniach (261) až (271), niekoľko súdnych prostriedkov nápravy poskytuje dotknutým osobám možnosť vyžadovať a získať takéto právne prostriedky nápravy.

(261)

Podľa § 165 zákona o ochrane údajov z roku 2018 má dotknutá osoba právo podať sťažnosť Komisárovi pre informácie, ak sa domnieva, že v súvislosti s osobnými údajmi, ktoré sa jej týkajú, došlo k porušeniu časti 4 zákona o ochrane údajov z roku 2018. Komisár pre informácie má právomoc posúdiť dodržiavanie zákona o ochrane údajov z roku 2018 zo strany prevádzkovateľa a sprostredkovateľa a požadovať od nich, aby prijali potrebné kroky. Okrem toho podľa časti 4 zákona o ochrane údajov z roku 2018 sú jednotlivci oprávnení podať na Vrchný súd (High Court), resp. v Škótsku na Court of Session, návrh na vydanie príkazu, ktorým sa od prevádzkovateľa vyžaduje, aby dodržiaval právo na prístup k údajom (482), právo namietať voči spracúvaniu (483) a právo na opravu alebo vymazanie (484).

(262)

Jednotlivci sú tiež oprávnení požadovať od prevádzkovateľa alebo sprostredkovateľa náhradu škody utrpenej v dôsledku porušenia požiadavky časti 4 zákona o ochrane údajov z roku 2018 (485). Škoda zahŕňa tak finančnú ujmu, ako aj škodu, ktorá nezahŕňa finančnú ujmu, ako napríklad nemajetkovú ujmu (486).

(263)

Osoby môžu vymôcť nápravu za porušenie zákona o vyšetrovacích právomociach z roku 2016 pred tribunálom pre kontrolu vyšetrovacích právomocí.

(264)

Tribunál pre kontrolu vyšetrovacích právomocí sa zriaďuje na základe zákona o regulácii vyšetrovacích právomocí z roku 2000 a je nezávislý od výkonnej moci (487). V súlade s § 65 zákona o regulácii vyšetrovacích právomocí z roku 2000 členov tribunálu pre kontrolu vyšetrovacích právomocí vymenúva jej veličenstvo na obdobie piatich rokov. Z funkcie môže člena tribunálu odvolať jej veličenstvo na základe jej určenému prejavu vôle (tzv. Address) (488) oboch snemovní parlamentu (489).

(265)

Na základe § 65 zákona o regulácii vyšetrovacích právomocí z roku 2000 je tribunál príslušným súdnym orgánom na podanie sťažnosti osobou, ktorá bola poškodená konaním podľa ustanovení zákona o vyšetrovacích právomociach z roku 2016, zákona o regulácii vyšetrovacích právomocí z roku 2000 alebo akýmkoľvek konaním spravodajských služieb (490).

(266)

Keď chce jednotlivec podať návrh na začatie konania na tribunáli pre kontrolu vyšetrovacích právomocí (ďalej len „požiadavka na aktívnu legitimáciu“), musí byť podľa § 65 zákona o regulácii vyšetrovacích právomocí z roku 2000 presvedčený (491), že spravodajská služba konala vo vzťahu k nemu, k jeho akémukoľvek majetku, k akejkoľvek komunikácii uskutočnenej ním alebo jemu určenej, k jeho využitiu akejkoľvek poštovej služby, telekomunikačnej služby alebo telekomunikačného systému (492). Okrem toho musí byť sťažovateľ presvedčený, že k tomuto konaniu došlo za „napadnuteľných okolností“ (493) alebo „bolo vykonané spravodajskými službami alebo v ich mene“ (494). Keďže najmä tento štandard „presvedčenia“ bol vykladaný pomerne široko (495), podanie návrhu na tento tribunál podlieha pomerne nízkym požiadavkám na aktívnu legitimáciu.

(267)

Ak sa tribunál pre kontrolu vyšetrovacích právomocí zaoberá sťažnosťou, ktorá mu bola predložená, je jeho povinnosťou preskúmať, či osoby, voči ktorým sťažnosť smeruje, vyvíjali určité aktivity vo vzťahu k sťažovateľovi, ako aj vyšetriť orgán, ktorý sa údajne dopustil porušenia a či k údajnej aktivite došlo (496). Uvedený tribunál je povinný v rámci svojho akéhokoľvek konania pri rozhodovaní v tomto konaní uplatniť rovnaké zásady, aké by uplatnil súd v prípade návrhu na súdne preskúmanie (497). Okrem toho adresáti príkazov alebo oznámení podľa zákona o vyšetrovacích právomociach z roku 2016 a každá ďalšia osoba vykonávajúca funkciu v rámci koruny, ktorá je zamestnancom policajnej zložky alebo Komisára pre policajné vyšetrovanie a kontrolu, má povinnosť poskytnúť alebo sprístupniť uvedenému tribunálu všetky dokumenty a informácie, ktoré tribunál môže požadovať, aby bol schopný vykonávať svoju právomoc (498).

(268)

Tribunál pre kontrolu vyšetrovacích právomocí musí sťažovateľovi oznámiť, či bolo rozhodnuté v jeho prospech (499). Podľa § 67 ods. 6 a 7 zákona o regulácii vyšetrovacích právomocí z roku 2000 má tribunál právomoc vydať predbežné uznesenie a vydať akékoľvek rozhodnutie o náhrade škody alebo iné rozhodnutie, ktoré považuje za vhodné. Môže to zahŕňať rozhodnutie, ktorým sa zruší alebo anuluje akýkoľvek príkaz alebo povolenie, a rozhodnutie, ktorým sa vyžaduje zničenie akýchkoľvek záznamov informácií získaných pri výkone akejkoľvek právomoci, ktorá bola udelená na základe príkazu, povolenia alebo oznámenia, alebo informácií, ktoré má ktorýkoľvek orgán verejnej moci v súvislosti s ktoroukoľvek osobou (500). Podľa § 67A zákona o regulácii vyšetrovacích právomocí z roku 2000 možno proti rozhodnutiu tribunálu podať odvolanie s výhradou povolenia udeleného tribunálom alebo príslušným odvolacím súdom.

(269)

Napokon je potrebné poznamenať, že o úlohe tribunálu pre kontrolu vyšetrovacích právomocí sa niekoľkokrát diskutovalo v kontexte konaní na Európskom súde pre ľudské práva, najmä vo veci Kennedy/the United Kingdom (501) a nedávnejšie vo veci Big Brother Watch and others/United Kingdom (502), keď súd vyhlásil že „tribunál pre kontrolu vyšetrovacích právomocí sa osvedčil ako dostupný prostriedok nápravy pre každého, kto má podozrenie, že jeho komunikáciu zachytili spravodajské služby“ (503).

(270)

Ako sa uvádza v odôvodneniach (109) až (111), prostriedky nápravy, ktoré sú dostupné podľa zákona o ľudských právach z roku 1998 a možno ich vymáhať na Európskom súde pre ľudské práva (504), sú dostupné aj v oblasti národnej bezpečnosti. V § 65 ods. 2 zákona o regulácii vyšetrovacích právomocí z roku 2000 sa stanovuje, že tribunál pre kontrolu vyšetrovacích právomocí má výlučnú právomoc pre všetky žaloby opierajúce sa o zákon o ľudských právach vo vzťahu k spravodajským službám (505). To znamená, ako uviedol Vrchný súd (High Court), že to, „či došlo k porušeniu zákona o ľudských právach v súvislosti so skutkovými okolnosťami konkrétneho prípadu, je niečo, čo môže v zásade prerokovať a rozhodnúť nezávislý súd, ktorý môže mať prístup ku všetkým relevantným materiálom vrátane tajných materiálov. [...] V tejto súvislosti berieme do úvahy aj to, že aj na tribunál pre kontrolu vyšetrovacích právomocí sa teraz vzťahuje možnosť podať odvolanie na príslušný odvolací súd [v Anglicku a Walese by to bol odvolací súd (Court of Appeal)], pričom najvyšší súd (Supreme Court) nedávno rozhodol, že tribunál pre kontrolu vyšetrovacích právomocí v zásade podlieha súdnemu preskúmaniu: pozri R (Privacy International)/Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219“ (506).

(271)

Z uvedeného vyplýva, že ak orgány presadzovania práva Spojeného kráľovstva alebo národné bezpečnostné orgány majú prístup k osobným údajom patriacim do pôsobnosti tohto rozhodnutia, takýto prístup upravujú zákony, v ktorých sa stanovujú podmienky, za ktorých sa prístup môže získať, pričom zabezpečujú, že prístup k údajom a ich ďalšie používanie je obmedzené na to, čo je nevyhnutné a primerané na sledované ciele presadzovania práva alebo národnej bezpečnosti. Okrem toho takýto prístup vo väčšine prípadov podlieha predchádzajúcemu povoleniu súdneho orgánu prostredníctvom schválenia príkazu alebo príkazu na predloženie dôkazov a v každom prípade podlieha nezávislému dohľadu. Keď orgány verejnej moci získajú prístup k údajom, na ich spracúvanie, a to aj na ich ďalšie poskytovanie a následný prenos sa vzťahujú osobitné záruky ochrany údajov podľa časti 3 zákona o ochrane údajov z roku 2018, ktoré odrážajú záruky stanovené v smernici (EÚ) 2016/680, na účely spracúvania orgánmi presadzovania práva a podľa časti 4 zákona o ochrane údajov z roku 2018 na účely spracúvania spravodajskými službami. Dotknuté osoby napokon majú v tejto oblasti nárok na účinné správne a súdne prostriedky nápravy vrátane práva na prístup k svojim údajom alebo práva na opravu alebo vymazanie takýchto údajov.

(272)

Vzhľadom na dôležitosť takých podmienok, obmedzení a záruk na účely tohto rozhodnutia bude Komisia dôkladne monitorovať uplatňovanie a výklad pravidiel Spojeného kráľovstva súvisiacich s prístupom vlády k údajom. Toto bude zahŕňať vývoj príslušných právnych prepisov, vývoj v oblasti regulácie a judikatúry, ako aj činnosti Komisára pre informácie a ostatných orgánov dohľadu v tejto oblasti. Zvláštna pozornosť bude venovaná aj výkonu príslušných rozsudkov Európskeho súdu pre ľudské práva v Spojenom kráľovstve vrátane opatrení identifikovaných v „akčných plánoch“ a „správach o opatreniach“, ktoré v rámci dohľadu nad dodržiavaním rozhodnutí Súdneho dvora predloží Výbor ministrov.

(273)

Komisia sa domnieva, že všeobecným nariadením Spojeného kráľovstva o ochrane údajov a zákonom o ochrane údajov z roku 2018 sa zabezpečuje úroveň ochrany osobných údajov prenášaných v Európskej únii, ktorá v zásade zodpovedá úrovni zaručenej nariadením (EÚ) 2016/679.

(274)

Komisia sa okrem toho domnieva, že mechanizmy dohľadu a možnosti získania nápravy v právnom poriadku Spojeného kráľovstva umožňujú ako celok v praxi odhaliť a postihnúť porušovanie a poskytujú dotknutej osobe právne prostriedky nápravy na získanie prístupu k osobným údajom, ktoré sa jej týkajú, a prípadne aj na dosiahnutie opravy alebo vymazania takýchto údajov.

(275)

Komisia sa napokon na základe dostupných informácií o právnom poriadku Spojeného kráľovstva domnieva, že akýkoľvek zásah do základných práv jednotlivcov, ktorých osobné údaje do Spojeného kráľovstva prenášajú orgány verejnej moci Spojeného kráľovstva z Európskej únie na účely verejného záujmu, a to najmä na účely presadzovania práva a národnej bezpečnosti, sa obmedzí na to, čo je nevyhnutne potrebné na dosiahnutie dotknutého legitímneho cieľa, a že existuje účinná právna ochrana proti takémuto zásahu.

(276)

Vzhľadom na zistenia vyplývajúce z tohto rozhodnutia by sa preto malo rozhodnúť, že Spojené kráľovstvo zabezpečuje primeranú úroveň ochrany v zmysle článku 45 nariadenia (EÚ) 2016/679, vykladaného so zreteľom na Chartu základných práv Európskej únie.

(277)

Tento záver vychádza tak z príslušného vnútroštátneho režimu Spojeného kráľovstva, ako aj z jeho medzinárodných záväzkov, najmä z dodržiavania Európskeho dohovoru o ľudských právach a z podriadenia sa právomoci Európskeho súdu pre ľudské práva. Pretrvávajúce dodržiavanie týchto medzinárodných záväzkov je preto mimoriadne dôležitým prvkom posúdenia, na ktorom sa zakladá toto rozhodnutie.

(278)

Členské štáty a ich orgány sú povinné prijať opatrenia potrebné na dosiahnutie súladu s aktmi inštitúcií Únie, lebo tieto akty požívajú prezumpciu zákonnosti a majú z tohto dôvodu právne účinky dovtedy, kým neuplynie ich platnosť, kým nie sú derogované, zrušené v konaní o žalobe o neplatnosť alebo vyhlásené za neplatné v nadväznosti na návrh na začatie prejudiciálneho konania alebo námietku nezákonnosti.

(279)

Rozhodnutie Komisie o primeranosti prijaté podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 je preto záväzné pre všetky orgány členských štátov, ktorým je určené, vrátane ich nezávislých dozorných orgánov. Najmä počas obdobia uplatňovania tohto rozhodnutia sa prenosy od prevádzkovateľa alebo sprostredkovateľa v Európskej únii k prevádzkovateľom alebo sprostredkovateľom v Spojenom kráľovstve môžu uskutočniť bez toho, aby bolo potrebné získať akékoľvek ďalšie povolenie.

(280)

Zároveň treba pripomenúť, že podľa článku 58 ods. 5 nariadenia (EÚ) 2016/679 a ako Súdny dvor ozrejmil v rozsudku vo veci Schrems (507), ak vnútroštátny orgán pre ochranu údajov spochybňuje, a to aj na základe sťažnosti, zlučiteľnosť rozhodnutia Komisie o primeranosti so základnými právami jednotlivca na súkromie a ochranu údajov, vnútroštátne právo mu musí poskytnúť právny prostriedok nápravy umožňujúci uplatniť tieto výhrady na vnútroštátnom súde, ktorý môže mať povinnosť podať návrh na začatie prejudiciálneho konania na Súdnom dvore (508).

(281)

Podľa článku 45 ods. 4 nariadenia (EÚ) 2016/679 má Komisia po prijatí tohto rozhodnutia priebežne monitorovať príslušný vývoj v Spojenom kráľovstve, s cieľom posúdiť, či Spojené kráľovstvo stále zabezpečuje v zásade rovnocennú úroveň ochrany. Takéto monitorovanie je v tomto prípade osobitne dôležité, keďže Spojené kráľovstvo bude spravovať, uplatňovať a presadzovať nový režim ochrany údajov, ktorý už nepodlieha právu Európskej únie a ktorý sa môže vyvíjať. V tejto súvislosti sa bude osobitná pozornosť venovať praktickému uplatňovaniu pravidiel Spojeného kráľovstva o prenosoch osobných údajov do tretích krajín a dosahu, ktorý tento prenos môže mať na úroveň ochrany poskytovanej údajom prenášaným na základe tohto rozhodnutia. účinnosti uplatňovania individuálnych práv vrátane akejkoľvek relevantnej zmeny v právnych predpisoch a praxi týkajúcej sa výnimiek z takých práv alebo obmedzení takých práv (najmä toho, ktoré sa týka zachovania účinnej imigračnej kontroly), ako aj dodržiavania obmedzení a záruk s ohľadom na prístup vlády. Monitorovanie Komisie bude okrem iných prvkov vychádzať z informácií o vývoji judikatúry a dohľade zo strany Komisára pre informácie a ďalších nezávislých orgánov.

(282)

Aby sa toto monitorovanie uľahčilo, orgány Spojeného kráľovstva by mali bezodkladne informovať Komisiu o každej podstatnej zmene právneho poriadku Spojeného kráľovstva, ktorá má vplyv na právny rámec, ktorý je predmetom tohto rozhodnutia, ako aj o akomkoľvek vývoji postupov týkajúcich sa spracúvania osobných údajov posudzovaných v tomto rozhodnutí, pokiaľ ide o spracúvanie osobných údajov tak prevádzkovateľmi, ako aj sprostredkovateľmi podľa všeobecného nariadenia Spojeného kráľovstva o ochrane osobných údajov a obmedzenia a záruky, ktoré sú uplatniteľné na prístup orgánov verejnej moci k osobným údajom. To by malo zahŕňať vývoj týkajúci sa prvkov uvedených v odôvodnení 281.

(283)

Navyše, aby Komisia mohla účinne vykonávať svoju monitorovaciu funkciu, mali by ju členské štáty informovať o všetkých relevantných opatreniach, ktoré prijali vnútroštátne orgány pre ochranu údajov, najmä pokiaľ ide o otázky alebo sťažnosti dotknutých osôb z EÚ týkajúce sa prenosu osobných údajov z Únie prevádzkovateľom alebo sprostredkovateľom v Spojenom kráľovstve. Komisia by mala byť informovaná aj o akýchkoľvek známkach toho, že opatrenia orgánov verejnej moci Spojeného kráľovstva zodpovedných za predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo za národnú bezpečnosť vrátane akýchkoľvek dozorných orgánov nezabezpečujú požadovanú úroveň ochrany.

(284)

Ak dostupné informácie, najmä informácie vyplývajúce z monitorovania tohto rozhodnutia alebo poskytnuté orgánmi Spojeného kráľovstva alebo členských štátov, odhalia, že úroveň ochrany poskytovaná Spojeným kráľovstvom už nemusí byť primeraná, Komisia by o tom mala informovať príslušné orgány Spojeného kráľovstva a požiadať o prijatie náležitých opatrení v určenej lehote, ktorá nesmie presiahnuť tri mesiace. Táto lehota sa môže predĺžiť v prípade potreby o určený čas, a to pri zohľadnení povahu príslušnej záležitosti a/alebo opatrenia, ktoré majú byť prijaté. Taký postup by sa napríklad uplatnil v prípadoch, keď by sa následné prenosy vrátane prenosov na základe nových právnych predpisov o primeranosti prijatých ministrom alebo medzinárodných dohôd uzavretých Spojených kráľovstvom už nevykonávali podľa záruk zabezpečujúcich kontinuitu ochrany v zmysle článku 44 nariadenia (EÚ) 2016/679.

(285)

Ak po uplynutí uvedenej stanovenej lehoty príslušné orgány Spojeného kráľovstva neprijmú takéto opatrenia alebo inak uspokojivo nepreukážu, že toto rozhodnutie sa naďalej zakladá na primeranej úrovni ochrany, Komisia začne postup uvedený v článku 93 ods. 2 nariadenia (EÚ) 2016/679 s cieľom čiastočne alebo úplne pozastaviť alebo zrušiť toto rozhodnutie.

(286)

Alternatívne Komisia začne postup s cieľom zmeniť toto rozhodnutie, najmä podriadením prenosu údajov dodatočným podmienkam alebo obmedzením rozsahu konštatovanej primeranosti len na tie prenosy údajov, pri ktorých je naďalej zabezpečená primeraná úroveň ochrany.

(287)

Komisia využije z riadne odôvodnených vážnych a naliehavých dôvodov možnosť prijať v súlade s postupom uvedeným v článku 93 ods. 3 nariadenia (EÚ) 2016/679 okamžite uplatniteľné vykonávacie akty, ktorými sa pozastaví, zruší alebo zmení toto rozhodnutie

(288)

Komisia musí zohľadniť, že po skončení prechodného obdobia stanoveného v dohode o vystúpení a hneď, ako sa prestane uplatňovať dočasné ustanovenie podľa článku 782 Dohody o obchode a spolupráci medzi EÚ a Spojeným kráľovstvom, bude Spojené kráľovstvo v porovnaní s režimom uplatňovaným v čase, keď bolo viazané právom EÚ, spravovať, uplatňovať a presadzovať nový režim ochrany údajov. Môže to zahŕňať najmä zmeny rámca ochrany údajov, ktorý bol predmetom posúdenia v tomto rozhodnutí, ako aj ďalší relevantný vývoj.

(289)

Preto je vhodné stanoviť, že toto rozhodnutie sa bude uplatňovať počas obdobia štyroch rokov od nadobudnutia jeho účinnosti.

(290)

Ak najmä z informácií vyplývajúcich z monitorovania tohto rozhodnutia vyplynie, že zistenia týkajúce sa primeranosti úrovne ochrany zabezpečenej v Spojenom kráľovstve sú stále fakticky a právne odôvodnené, Komisia by mala najneskôr šesť mesiacov pred skončením uplatňovania tohto rozhodnutia začať postup na zmenu tohto rozhodnutia predĺžením jeho časovej pôsobnosti v zásade o ďalšie štyri roky. Akýkoľvek takýto vykonávací akt, ktorým sa mení toto rozhodnutie, sa má prijať v súlade s postupom uvedeným v článku 93 ods. 2 nariadenia (EÚ) 2016/679.

(291)

Európsky výbor pre ochranu údajov zverejnil svoje stanovisko (509), ktoré bolo zohľadnené pri príprave tohto rozhodnutia.

(292)

Opatrenia stanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru zriadeného podľa článku 93 nariadenia (EÚ) 2016/679,

(1)

Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 stanovuje pravidlá prenosu osobných údajov z príslušných orgánov v Únii do tretích krajín a medzinárodných organizácií v rozsahu, v akom tieto prenosy spadajú do rozsahu jej pôsobnosti. Pravidlá týkajúce sa medzinárodných prenosov údajov príslušnými orgánmi sú stanovené v kapitole V smernice (EÚ) 2016/680, konkrétnejšie v článkoch 35 až 40. Hoci je pre účinnú spoluprácu v oblasti presadzovania práva nevyhnutný tok osobných údajov do krajín mimo Európskej únie a z nich, musí sa zaručiť, že takéto prenosy neohrozia úroveň ochrany, aká sa osobným údajom priznáva v Európskej únii (2).

(2)

Podľa článku 36 ods. 3 smernice (EÚ) 2016/680 môže Komisia prostredníctvom vykonávacieho aktu rozhodnúť, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany. Za tejto podmienky sa prenos osobných údajov do tretej krajiny môže uskutočniť bez potreby získať akékoľvek ďalšie povolenie (s výnimkou prípadov, keď iný členský štát, od ktorého sa údaje získali, musí poskytnúť súhlas na prenos), ako sa stanovuje v článku 35 ods. 1 a odôvodnení 66 smernice (EÚ) 2016/680.

(3)

Ako sa uvádza v článku 36 ods. 2 smernice (EÚ) 2016/680, prijatie rozhodnutia o primeranosti musí vychádzať z komplexnej analýzy právneho poriadku tretej krajiny. Komisia musí v rámci svojho posúdenia určiť, či dotknutá tretia krajina zaručuje úroveň ochrany, ktorá v „zásade zodpovedá“ úrovni zabezpečenej v rámci Európskej únie [odôvodnenie 67 smernice (EÚ) 2016/680]. Štandard, voči ktorému sa posudzuje „zásadná rovnocennosť“, je štandard stanovený v právnych predpisoch EÚ, najmä v smernici (EÚ) 2016/680, ako aj v judikatúre Súdneho dvora Európskej únie (3). V tejto súvislosti má význam aj referenčné kritérium primeranosti Európskeho výboru pre ochranu údajov (4).

(4)

Ako objasnil Súdny dvor Európskej únie, nie je potrebné, aby bola zaistená rovnaká úroveň ochrany (5). Konkrétne prostriedky, ktoré dotknutá tretia krajina využíva na ochranu osobných údajov, sa môžu líšiť od prostriedkov využívaných v Európskej únii, pokiaľ sa v praxi preukáže, že sa nimi účinne zabezpečuje primeraná úroveň ochrany (6). V záujme dosiahnutia štandardu primeranosti teda nie je potrebné, aby pravidlá druhej krajiny do detailu zodpovedali pravidlám Únie. Namiesto toho sa skôr overuje, či príslušný zahraničný systém ako celok zabezpečuje prostredníctvom hmotnoprávnej úpravy práv na súkromie a ich účinného uplatňovania, vymáhania, ako aj dohľadu nad nimi, požadovanú úroveň ochrany (7).

(5)

Komisia dôkladne analyzovala príslušné právne predpisy a prax Spojeného kráľovstva (UK). Komisia na základe svojich zistení uvedených ďalej dospela k záveru, že Spojené kráľovstvo zabezpečuje primeranú úroveň ochrany osobných údajov prenášaných príslušnými orgánmi v Únii, ktoré patria do rozsahu pôsobnosti smernice (EÚ) 2016/680, príslušným orgánom v Spojenom kráľovstve, ktoré patria do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018 (DPA 2018) (8).

(6)

Toto rozhodnutie má za následok, že takéto prenosy sa môžu uskutočňovať bez potreby získať akékoľvek ďalšie povolenie počas obdobia štyroch rokov s výhradou možného obnovenia a bez toho, aby boli dotknuté podmienky stanovené v článku 35 smernice (EÚ) 2016/680.

(7)

Spojené kráľovstvo je parlamentnou demokraciou. Má suverénny parlament, ktorý je nadriadený všetkým ostatným vládnym inštitúciám, orgán výkonnej moci, ktorý je volený z členov parlamentu a ktorý sa tomuto parlamentu zodpovedá, a nezávislé súdnictvo. Výkonná moc vychádza zo spôsobilosti získať vyslovenie dôvery volenej Dolnej snemovne (House of Commons) a zodpovedá sa obom snemovniam parlamentu [Dolnej snemovne (House of Commons) a Snemovne Lordov (House of Lords)], ktoré sú zodpovedné za kontrolu vlády a za prerokúvanie a prijímanie zákonov. Parlament Spojeného kráľovstva preniesol zodpovednosť za prijímanie právnych predpisov o určitých vnútroštátnych záležitostiach v Škótsku, Walese a Severnom Írsku na škótsky parlament, waleský parlament (Senedd Cymru) a Zhromaždenie Severného Írska. Zatiaľ čo ochrana údajov je záležitosťou vyhradenou parlamentu Spojeného kráľovstva, t. j. rovnaké právne predpisy sa uplatňujú v celej krajine, iné oblasti politiky relevantné pre toto rozhodnutie sú prenesené. Napríklad systémy trestnej justície vrátane policajnej činnosti (činnosti policajných zložiek) v Škótsku a Severnom Írsku sú prenesené na škótsky parlament a Zhromaždenie Severného Írska (Northern Ireland Assembly) (9).

(8)

Hoci Spojené kráľovstvo nemá kodifikovanú ústavu v zmysle zakotveného ústavného dokumentu, jeho ústavné zásady sa ustálili postupne, vychádzajúc z judikatúry a zvyklostí. Ústavná hodnota niektorých zákonov, ako napríklad Magna Carta, Listina práv z roku 1689 a zákon o ľudských právach z roku 1998 sú uznávanými zdrojmi práva. Základné práva jednotlivcov sa formovali ako súčasť ústavy prostredníctvom common law, právnych predpisov a medzinárodných dohovorov, najmä Európskeho dohovoru o ľudských právach (EDĽP), ktorý Spojené kráľovstvo ratifikovalo v roku 1951. Spojené kráľovstvo v roku 1987 ratifikovalo aj Dohovor Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (dohovor č. 108) (10).

(9)

Zákon o ľudských právach z roku 1998 začleňuje práva obsiahnuté v EDĽP do práva Spojeného kráľovstva. Zákon zaručuje každému jednotlivcovi základné práva a slobody stanovené v článkoch 2 až 12 a 14 EDĽP a v článkoch 1 až 3 jeho prvého protokolu a v článku 1 jeho trinásteho protokolu v spojení s článkami 16 až 18 EDĽP. Patrí sem právo na rešpektovanie súkromného a rodinného života, ktoré zase zahŕňa právo na ochranu údajov a právo na spravodlivý proces (11). Najmä v súlade s článkom 8 EDĽP môže štátny orgán do výkonu práva na súkromie zasahovať len v prípadoch, keď je to v súlade so zákonom a nevyhnutné v demokratickej spoločnosti v záujme národnej bezpečnosti, verejnej bezpečnosti, hospodárskeho blahobytu krajiny, predchádzania nepokojom a zločinnosti, ochrany zdravia alebo morálky alebo ochrany práv a slobôd iných.

(10)

V súlade so zákonom o ľudských právach z roku 1998 musí byť každá činnosť orgánov verejnej moci zlučiteľná s právami zaručenými EDĽP (12). Okrem toho je potrebné, aby sa primárne a podriadené právne predpisy interpretovali a uplatňovali spôsobom, ktorý je zlučiteľný s týmito právami (13). Pokiaľ sa jednotlivec domnieva, že orgány verejnej moci porušili jeho práva vrátane práva na súkromie a ochranu údajov, môže získať nápravu na súdoch Spojeného kráľovstva podľa zákona o ľudských právach z roku 1998 a prípadne po vyčerpaní vnútroštátnych prostriedkov nápravy môže získať nápravu na Európskom súde pre ľudské práva za porušenie práv zaručených podľa EDĽP.

(11)

Spojené kráľovstvo vystúpilo z Únie 31. januára 2020. Na základe Dohody o vystúpení Spojeného kráľovstva Veľkej Británie a Severného Írska z Európskej únie a z Európskeho spoločenstva pre atómovú energiu (14) sa právo Únie naďalej uplatňovalo v Spojenom kráľovstve počas prechodného obdobia do 31. decembra 2020. Pred vystúpením a počas prechodného obdobia právny rámec na ochranu osobných údajov v Spojenom kráľovstve, ktorým sa upravuje spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu, pozostával z príslušných častí zákona o ochrane údajov z roku 2018, ktorým sa transponovala smernica (EÚ) 2016/680.

(12)

S cieľom pripraviť sa na vystúpenie z EÚ vláda Spojeného kráľovstva prijala zákon o vystúpení z Európskej únie (ďalej len „zákon o vystúpení“) z roku 2018 (15), ktorým sa priamo uplatniteľné právne predpisy Únie začlenili do práva Spojeného kráľovstva a v ktorom sa stanovilo, že takzvané „vnútroštátne právne predpisy odvodené od EÚ“ budú naďalej platiť aj po skončení prechodného obdobia. Časť 3 zákona o ochrane údajov z roku 2018 (16), ktorou sa transponuje smernica (EÚ) 2016/680, predstavuje podľa zákona o vystúpení „vnútroštátne právne predpisy odvodené od EÚ“. V súlade so zákonom o vystúpení musia súdy Spojeného kráľovstva vykladať nezmenené „vnútroštátne právne predpisy odvodené od EÚ“ v súlade s príslušnou judikatúrou Súdneho dvora Európskej únie (ďalej len „Súdny dvor“) a všeobecnými zásadami práva Únie tak, ako boli účinné bezprostredne pred skončením prechodného obdobia (ďalej len „ponechaná judikatúra EÚ“, resp. „ponechané všeobecné zásady práva EÚ“) (17).

(13)

Podľa zákona o vystúpení majú ministri Spojeného kráľovstva právomoc prostredníctvom štatutárnych nástrojov zaviesť sekundárne právne predpisy s cieľom zaviesť potrebné úpravy ponechaného práva EÚ, ktoré vyplývajú z vystúpenia Spojeného kráľovstva z Únie. Výsledkom uplatnenia tejto právomoci sú právne predpisy o ochrane údajov, súkromia a elektronických komunikáciách v dôsledku vystúpenia z EÚ z roku 2019 (právne predpisy DPPEC) (18). Menia sa nimi právne predpisy Spojeného kráľovstva o ochrane údajov vrátane zákona o ochrane údajov z roku 2018, aby zodpovedali vnútroštátnym okolnostiam (19).

(14)

V dôsledku toho sa právne štandardy týkajúce sa spracúvania osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti v Spojenom kráľovstve a predchádzania takémuto ohrozeniu po prechodnom období podľa dohody o vystúpení naďalej stanovujú v príslušných častiach zákona o ochrane údajov z roku 2018, ale zmeneného právnymi predpismi DPPEC, najmä v časti 3 uvedeného zákona. Všeobecné nariadenie Spojeného kráľovstva o ochrane údajov sa na tento typ spracúvania nevzťahuje.

(15)

V časti 3 zákona o ochrane údajov z roku 2018 sa stanovujú pravidlá spracúvania osobných údajov na účely presadzovania trestného práva vrátane zásad ochrany údajov, právnych dôvodov spracúvania (zákonnosť), práv dotknutých osôb, povinností príslušných orgánov ako prevádzkovateľov a obmedzení následných prenosov. Zároveň sú v častiach 5 a 6 zákona o ochrane údajov z roku 2018 stanovené pravidlá týkajúce sa dohľadu, presadzovania a nápravy uplatniteľné na sektor presadzovania práva.

(16)

Okrem toho vzhľadom na dôležitú úlohu, ktorú policajné zložky zohrávajú v oblasti presadzovania práva, by sa mali posúdiť pravidlá upravujúce policajnú činnosť. Keďže policajné právomoci boli prenesené na nižšie celky, policajnú činnosť v a) Anglicku a Walese, b) Škótsku a c) Severnom Írsku upravujú rôzne právne predpisy, ktoré sú však z hľadiska obsahu často podobné (20). Ďalšie objasnenia toho, ako by sa mali využívať policajné právomoci, poskytujú ďalej rôzne druhy usmerňovacích dokumentov. Existujú tri hlavné formy policajného usmernenia: 1. zákonné usmernenie, ktoré sa vydáva na základe právnych predpisov, ako je napr. etický kódex (Code of Ethics) (21) a kódex praxe správy policajných informácií (Code of Practice on the Management of Police Information) (22), ktoré boli vydané na základe policajného zákona z roku 1996 (23) alebo tzv. kódexy PACE (PACE codes) (24) vydané na základe zákona o polícii a dôkazoch v trestných veciach z roku 1984 (25), 2. autorizovaná profesijná prax správy policajných informácií (26) vydaná policajnou akadémiou College of Policing a 3. operatívne usmernenie vydané samotnou políciou. Národná rada policajných riaditeľov (The National Police Chiefs Council), ktorá je koordinačným orgánom pre všetky policajné zložky Spojeného kráľovstva, uverejňuje operačné usmernenie, ktoré schválili všetky policajné zložky a ktoré sa preto uplatňuje na celoštátnej úrovni (27). Cieľom tohto usmernenia je zabezpečiť medzi policajnými zložkami konzistentnosť v spôsobe správy informácií (28).

(17)

Kódex praxe správy policajných informácií vydal minister v roku 2005 na základe právomocí stanovených v § 39A zákona o polícii z roku 1996 (29). Každý kódex praxe vydaný podľa zákona o polícii musí byť odsúhlasený ministrom a predtým, ako sa predloží parlamentu, musí byť prekonzultovaný s Národnou kriminálnou agentúrou. V § 39A ods. 7 zákona o polícii sa vyžaduje, aby polícia náležite zohľadnila kódexy vydané podľa zákona, a preto sa od polície očakáva, že ich bude dodržiavať (30). Okrem toho usmernenie opierajúce sa o iný základ ako právny predpis (ako napr. autorizovaná profesijná prax správy policajných informácií) musí byť vždy v súlade s Kódexom praxe správy policajných informácií, ktorý je mu nadradený (31). V každom prípade, hoci môžu nastať určité operačné situácie, keď sa príslušníci polície musia odchýliť od tohto usmernenia, stále sú povinní dodržiavať požiadavky uvedené v časti 3 zákona o ochrane údajov z roku 2018 (32).

(18)

Ďalšie usmernenie k právnym predpisom Spojeného kráľovstva o ochrane údajov pri spracúvaní v oblasti presadzovania práva poskytuje Komisár pre informácie (Information Commissioner – ICO) (33) (ďalšie podrobnosti o ICO sú uvedené v odôvodneniach (93) až (109)). Hoci nie je právne záväzné, v súdnom prípade by súdy boli povinné zohľadniť akékoľvek porušenie usmernenia, keďže má význam z hľadiska výkladu a ozrejmuje sa v ňom, ako Komisár pre informácie v praxi vykladá a presadzuje právne predpisy o ochrane údajov (34).

(19)

Napokon, ako sa uvádza v odôvodneniach (8) až (10), orgány Spojeného kráľovstva príslušné na presadzovanie práva musia zabezpečiť súlad s EDĽP a dohovorom č. 108.

(20)

Právny rámec upravujúci spracúvanie údajov orgánmi Spojeného kráľovstva príslušnými na presadzovanie trestného práva je preto svojou štruktúrou a hlavnými prvkami veľmi podobný tomu, ktorý sa uplatňuje v EÚ. To zahŕňa aj skutočnosť, že takýto rámec sa neopiera len o povinnosti stanovené vo vnútroštátnom práve, ktoré boli formované právom EÚ, ale aj o povinnosti zakotvené v medzinárodnom práve, najmä prostredníctvom pristúpenia Spojeného kráľovstva k EDĽP a dohovoru č. 108, ako aj o podriadenie tohto rámca pod právomoc Európskeho súdu pre ľudské práva. Tieto povinnosti vyplývajúce z právne záväzných medzinárodných nástrojov, najmä pokiaľ ide o ochranu osobných údajov, sú preto osobitne dôležitým prvkom právneho rámca posudzovaného v tomto rozhodnutí.

(21)

Vecná pôsobnosť časti 3 zákona o ochrane údajov z roku 2018 sa zhoduje s rozsahom pôsobnosti smernice (EÚ) 2016/680 v zmysle vymedzenia tohto rozsahu v jej článku 2 ods. 2 Časť 3 sa vzťahuje na spracúvanie osobných údajov zo strany príslušného orgánu vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie zo strany príslušného orgánu inak než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

(22)

Okrem toho, aby prevádzkovateľ patril do rozsahu pôsobnosti uvedenej časti 3, musí byť „príslušným orgánom“ a spracúvanie sa musí vykonávať na „účel presadzovania práva“. Z tohto dôvodu režim ochrany údajov, ktorý je predmetom tohto posúdenia v tomto rozhodnutia, sa vzťahuje na všetky činnosti v oblasti presadzovania práva týchto príslušných orgánov.

(23)

Pojem „príslušný orgán“ je vymedzený v § 30 zákona o ochrane údajov z roku 2018 ako osoba uvedená v prílohe 7 k zákonu o ochrane údajov z roku 2018, ako aj akákoľvek iná osoba v rozsahu, v akom má zákonné funkcie na ktorýkoľvek z účelov presadzovania práva. Medzi príslušné orgány uvedené v prílohe 7 patria nielen policajné zložky, ale aj všetky ministerské úrady Spojeného kráľovstva, ako aj ďalšie orgány s vyšetrovacími funkciami, napr. komisár daňového a colného úradu jej veličenstva (Commissioner for Her Majesty’s Revenue and Customs), waleský daňový úrad (Welsh Revenue Authority), orgán pre hospodársku súťaž a trhy (Competition and Markets Authority), kataster nehnuteľností jej veličenstva (Her Majesty’s Land Register) alebo Národná kriminálna agentúra (National Crime Agency), vyšetrovacie orgány, iné orgány s pôsobnosťou v oblasti trestnej justície a ďalšie subjekty alebo organizácie vykonávajúce činnosti v oblasti presadzovania práva (35). Časť 3 zákona o ochrane údajov z roku 2018 sa vzťahuje aj na súdy a tribunály pri výkone ich súdnych funkcií, s výnimkou časti týkajúcej sa práv dotknutých osôb a dohľadu Komisára pre informácie (36). Zoznam príslušných orgánov uvedený v prílohe 7 nie je konečný a minister ho môže aktualizovať právnym predpisom, aby zohľadnil zmeny v organizácii verejných úradov (37).

(24)

Príslušné spracúvanie sa okrem toho musí uskutočňovať na „účel presadzovania práva“, ktorý sa vymedzuje ako predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie, resp. výkon trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu (38). Časť 3 zákona o ochrane údajov z roku 2018 neupravuje spracúvanie zo strany príslušného orgánu, ak k nemu nedochádza na účely presadzovania práva. K tomu dochádza napríklad vtedy, keď orgán pre hospodársku súťaž a trhy (Competition and Markets Authority) vyšetruje prípady, ktoré nemajú charakter trestnej činnosti (napr. fúzie spoločností). V takom prípade sa bude uplatňovať všeobecné nariadenie Spojeného kráľovstva o ochrane údajov spolu s časťou 2 zákona o ochrane údajov z roku 2018, keďže spracúvanie osobných údajov príslušnými orgánmi sa vykonáva na iné účely ako na účely presadzovania práva. S cieľom určiť, ktorý režim ochrany údajov (časť 3 či časť 2 zákona o ochrane údajov z roku 2018) sa na príslušné spracúvanie predmetných osobných údajov uplatňuje, musí príslušný orgán (t. j. prevádzkovateľ) zvážiť, či je „primárnym účelom“ takéhoto spracúvania jeden z účelov presadzovania práva podľa zákona o ochrane údajov z roku 2018.

(25)

Pokiaľ ide o územnú pôsobnosť časti 3 zákona o ochrane údajov z roku 2018, v § 207 ods. 2 sa stanovuje, že zákon o ochrane údajov z roku 2018 sa vzťahuje na spracúvanie osobných údajov v súvislosti s činnosťami osoby, ktorá je usadená kdekoľvek na území Spojeného kráľovstva. To zahŕňa orgány verejnej moci na území Anglicka, Walesu, Škótska a Severného Írska, ktoré patria do vecnej pôsobnosti časti 3 zákona o ochrane údajov z roku 2018 (39).

(26)

Kľúčové pojmy osobných údajov a spracúvania sú vymedzené v oddiele 3 zákona o ochrane údajov z roku 2018 a uplatňujú sa v rámci celého tohto právneho predpisu. Toto vymedzenie pojmov sa dôsledne riadi zodpovedajúcimi vymedzeniami pojmov stanovenými v článku 3 smernice (EÚ) 2016/680. Podľa zákona o ochrane údajov z roku 2018 sú osobné údaje akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej žijúcej osoby (40). Podľa § 3 ods. 3 zákona o ochrane údajov z roku 2018 je fyzická osoba identifikovateľná, ak ju možno priamo alebo nepriamo identifikovať na základe informácií vrátane odkazu na meno alebo identifikátor, resp. odkazom na jeden alebo viacero faktorov špecifických pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu osoby. Pojem „spracúvanie“ je definovaný ako operácia alebo súbor operácií, ktoré sa vykonávajú v súvislosti s informáciami alebo súbormi informácií, ako je napr. a) získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie alebo uchovávanie; b) prepracúvanie alebo zmena; c) vyhľadávanie, prehliadanie alebo využívanie; d) poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom; e) preskupovanie alebo kombinovanie, alebo f) obmedzenie, vymazanie alebo likvidácia. Okrem toho sa v tomto zákone vymedzuje „citlivé spracovanie“; ako a) spracúvanie osobných údajov odhaľujúcich rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách; b) spracúvanie genetických údajov alebo biometrických údajov na účely jedinečnej identifikácie jednotlivca; c) spracúvanie údajov týkajúcich sa zdravia; d) spracúvanie údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie jednotlivca (41). V tejto súvislosti sa v § 205 zákona o ochrane údajov z roku 2018 uvádza vymedzenie pojmov „biometrické údaje“ (42), „údaje týkajúce sa zdravia“ (43) a „genetické údaje“ (44).

(27)

V § 32 zákona o ochrane údajov z roku 2018 sa objasňujú vymedzenia pojmov „prevádzkovateľ“ a „sprostredkovateľ“ v súvislosti so spracúvaním osobných údajov na účely presadzovania práva, pričom sa dôsledne dodržiavajú rovnocenné vymedzenia pojmov obsiahnuté v smernici (EÚ) 2016/680. Prevádzkovateľ je príslušný orgán, ktorý určuje účely a prostriedky spracúvania osobných údajov. Ak sa spracúvanie vyžaduje zo zákona, prevádzkovateľom je príslušný orgán, ktorému tento zákon ukladá takúto povinnosť. Sprostredkovateľ sa vymedzuje ako akákoľvek osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa (iná ako osoba, ktorá je zamestnancom prevádzkovateľa).

(28)

Podľa § 35 zákona o ochrane údajov z roku 2018 musí byť spracúvanie osobných údajov zákonné a spravodlivé, podobne ako sa stanovuje v článku 4 ods. 1 písm. a) smernice (EÚ) 2016/680. Podľa § 35 ods. 2 zákona o ochrane údajov z roku 2018 je spracúvanie osobných údajov na ktorýkoľvek z účelov presadzovania práva zákonné len vtedy, ak je založené na zákone a dotknutá osoba vyjadrila súhlas so spracúvaním na tento účel, alebo ak je spracúvanie nevyhnutné na splnenie úlohy, ktorú na tento účel vykonáva príslušný orgán.

(29)

Podobne ako v článku 8 smernice (EÚ) 2016/680, aby sa zabezpečila zákonnosť spracúvania, na ktoré sa vzťahuje časť 3 zákona o ochrane údajov z roku 2018, takéto spracúvanie musí byť „na základe zákona“. „Zákonné“ spracovanie je povolené buď zákonom, common law alebo kráľovskými výsadami (45).

(30)

Právomoci príslušných orgánov sa vo všeobecnosti riadia právnymi predpismi, čo znamená, že ich funkcie a právomoci sú jasne stanovené v právnych predpisoch prijatých parlamentom (46). V určitých prípadoch sa polícia, ako aj iné príslušné orgány uvedené v prílohe 7 k zákonu o ochrane údajov z roku 2018 môžu pri spracúvaní údajov opierať o common law (47). Common law sa vytvorilo prostredníctvom precedensov vytvorených rozhodnutiami súdov. Common law je relevantné v súvislosti s právomocami, ktoré má polícia k dispozícii a ktorá z tohto prameňa práva odvodzuje svoju základnú povinnosť chrániť verejnosť odhaľovaním a predchádzaním trestnej činnosti (48). Policajné zložky však majú na výkon takejto povinnosti tak právomoci vyplývajúce z common law, ako aj zákonné právomoci (49). Ak má polícia zákonnú právomoc, nahrádza to akúkoľvek právomoc na základe common law (50).

(31)

Súdy uznali, že rozsah právomocí a povinností príslušníkov polície podľa common law zahŕňa všetky kroky, ktoré príslušník polície považuje za potrebné na udržanie mieru, predchádzanie trestnej činnosti alebo ochranu majetku pred ujmou vzniknutou v dôsledku trestného činu (51). Právomoci na základe common law nie sú neobmedzené právomoci. Vzťahujú sa na ne rôzne obmedzenia vrátane obmedzení stanovených súdmi (52) a právnymi predpismi, najmä zákonom o ľudských právach z roku 1998 a zákonom o rovnosti z roku 2010 (53). Okrem toho v prípade príslušných orgánov, ktoré spracúvajú údaje podľa časti 3 zákona o ochrane údajov z roku 2018, to zahŕňa uplatňovanie právomocí podľa common law v súlade s požiadavkami stanovenými v zákona o ochrane údajov z roku 2018 (54). Ďalej sa pri rozhodovaní o vykonaní akéhokoľvek druhu spracovania údajov musia zohľadniť požiadavky platných usmernení, ako je Kódex praxe správy policajných informácií, ako aj usmernenia špecifické pre príslušnú časť Spojeného kráľovstva (55). Vláda a operatívne zložky polície vydávajú viaceré usmerňujúce dokumenty s cieľom zabezpečiť, aby príslušníci polície uplatňovali svoje právomoci v rámci obmedzení stanovených v common law alebo príslušnom zákone (56).

(32)

Ďalšiu súčasť práva predstavujú kráľovské výsady, ktoré znamenajú určité právomoci zverené korune a uplatniteľné výkonnou mocou, ktoré však nie sú založené na právnom predpise, ale vyplývajú zo suverenity monarchu (57). Existuje len veľmi málo príkladov, v ktorých sú právomoci vyplývajúce z výsad relevantné v kontexte presadzovania práva. Zahŕňajú napríklad rámec vzájomnej právnej pomoci, ktorý umožňuje výmenu údajov medzi ministrom a tretími krajinami na účely presadzovania práva, pričom právomoc vymieňať si údaje týmto spôsobom nie je vždy stanovená v zákone (58). Kráľovské výsady sú viazané zásadami common law (59) a sú podriadené právnym predpisom, a preto podliehajú obmedzeniam stanoveným v zákone o ľudských právach z roku 1998 a zákone o ochrane údajov z roku 2018 (60).

(33)

Podobne ako v článku 8 smernice (EÚ) 2016/680 sa aj podľa režimu uplatňovaného v Spojenom kráľovstve vyžaduje, aby príslušné orgány v záujme dodržania zásady zákonnosti zabezpečili, že ak je spracúvanie založené na práve, zároveň musí byť „nevyhnutné“ na plnenie úlohy vykonávanej na účely presadzovania práva. Komisár pre informácie v tejto súvislosti poskytuje usmernenie objasňujúce, že musí ísť o cielený a primeraný spôsob dosiahnutia tohto cieľa. Zákonný základ sa neuplatní, ak môžete primerane dosiahnuť tento účel inými, menej rušivými prostriedkami. Nestačí tvrdiť, že spracovanie je nevyhnutné, pretože ste sa rozhodli vykonávať svoju činnosť určitým spôsobom. Otázkou je, či je spracúvanie nutné na uvedený účel (61).

(34)

Ako sa uvádza v odôvodnení (28), v § 35 ods. 2 zákona o ochrane údajov z roku 2018 sa stanovuje možnosť spracúvať osobné údaje na základe súhlasu fyzickej osoby.

(35)

Zdá sa však, že súhlas nie je právnym základom relevantným pre operácie spracúvania, ktoré patria do rozsahu pôsobnosti tohto rozhodnutia. Spracovateľské operácie, ktoré sú predmetom tohto rozhodnutia, sa v skutočnosti vždy budú týkať údajov, ktoré príslušný orgán členského štátu preniesol príslušnému orgánu Spojeného kráľovstva podľa smernice (EÚ) 2016/680. Preto zvyčajne nebudú zahŕňať druh priamej interakcie (získavania) medzi orgánom verejnej moci a dotknutými osobami, ktorý môže byť založený na súhlase podľa § 35 ods. 2 písm. a) zákona o ochrane údajov z roku 2018.

(36)

Hoci pre vykonanie posúdenia podľa tohto rozhodnutia sa využitie takéhoto súhlasu nepovažuje za relevantné, v záujme úplnosti je potrebné poznamenať, že v kontexte presadzovania práva sa spracúvanie nikdy nezakladá výlučne na súhlase, keďže príslušný orgán musí mať vždy základnú právomoc, ktorá mu umožňuje spracúvať údaje (62). Konkrétnejšie a podobne tomu, čo je umožnené v smernici (EÚ) 2016/680 (63), to znamená, že súhlas slúži ako dodatočná podmienka na umožnenie určitých obmedzených a špecifických spracovateľských operácií, ktoré by sa inak nemohli vykonať, ako je napr. odber a spracovanie vzorky DNA osoby, ktorá nie je podozrivá. V takom prípade by sa spracovanie nevykonalo, ak sa súhlas neudelí alebo sa odvolá (64).

(37)

V prípadoch, ktoré si vyžadujú súhlas jednotlivca, musí byť takýto súhlas jednoznačný a musí zahŕňať jasný potvrdzujúci úkon (65). Policajné zložky sú povinné disponovať oznámením o ochrane osobných údajov, kde sa okrem iného uvádzajú informácie o platnom využití súhlasu. Okrem toho niektoré policajné zložky uverejňujú dodatočné materiály o tom, ako dodržiavajú právne predpisy o ochrane údajov, vrátane toho, ako a kedy použijú súhlas ako právny základ (66).

(38)

Na spracúvanie „osobitných kategórií“ údajov by sa mali vzťahovať osobitné záruky. V tejto súvislosti sa podobne ako v článku 10 smernice (EÚ) 2016/680 stanovujú v časti 3 zákona o ochrane údajov z roku 2018 silnejšie záruky pre takzvané „citlivé spracovanie“ (67).

(39)

Podľa § 35 ods. 3 zákona o ochrane údajov z roku 1998 môžu príslušné orgány spracúvať citlivé údaje na účely presadzovania práva len v dvoch prípadoch: 1. ak dotknutá osoba vyjadrila súhlas so spracúvaním na účely presadzovania práva a v čase, keď sa spracúvanie uskutočňuje, uplatňuje prevádzkovateľ riadny dokument stanovujúci politiku spracúvania (68), alebo 2. ak je spracovanie nevyhnutne potrebné na účely presadzovania práva, spĺňa aspoň jednu z podmienok uvedených v prílohe 8 k zákonu o ochrane údajov z roku 2018 a v čase, keď sa spracúvanie uskutočňuje, uplatňuje prevádzkovateľ riadny dokument stanovujúci politiku spracúvania (69).

(40)

Pokiaľ ide o prvý prípad a ako je vysvetlené v odôvodnení 38, využitie súhlasu sa pri type prenosu, na ktorý sa vzťahuje toto rozhodnutie, nepovažuje za relevantné (70).

(41)

Ak sa spracúvanie citlivých údajov neopiera o súhlas, môže sa vykonať na základe jednej z podmienok uvedených v prílohe 8 k zákonu o ochrane údajov z roku 2018. Tieto podmienky sa týkajú spracúvania potrebného na zákonné účely, výkon spravodlivosti, ochranu zásadných záujmov dotknutej osoby či iného jednotlivca, ochranu detí a osôb vystavených riziku, právne nároky, súdne akty, predchádzanie podvodom, archiváciu, v prípadoch, keď ide o osobné údaje, ktoré dotknutá osoba preukázateľne zverejnila. Okrem prípadu, keď sú údaje zjavne zverejnené, podliehajú všetky podmienky stanovené v prílohe 8 k testu, že spracúvanie musí byť „nevyhnutne potrebné“. Ako ozrejmil Komisár pre informácie, „nevyhnutne potrebné“ v tejto súvislosti znamená, že spracúvanie musí súvisieť s naliehavou spoločenskou potrebou, ktorú nie je možné primerane uspokojiť menej rušivými prostriedkami (71). Okrem toho niektoré z týchto podmienok podliehajú dodatočným obmedzeniam. Napríklad na využitie podmienky „zákonných účelov“ a „podmienky ochrany“ (príloha 8, odsek 1 a odsek 4) je potrebné splniť dodatočné kritérium podstatného verejného záujmu. Okrem toho, pokiaľ ide o podmienky týkajúce sa ochrany dieťaťa (príloha 8, odsek 4), dotknutou osobou musí byť zároveň osoba určitého veku a musí sa považovať za ohrozenú osobu. Prevádzkovateľ môže navyše uplatniť podmienku stanovenú v odseku 4 prílohy 8 len v prípade osobitných okolností (72). Podobne existujú obmedzenia pre podmienky týkajúce sa „súdnych aktov“ a „predchádzania podvodom“ (príloha 8, odsek 7 a 8). Obe sa vzťahujú len na konkrétnych prevádzkovateľov. V prípade súdnych aktov môže takúto podmienku použiť len súd alebo iný súdny orgán a v prípade predchádzania podvodom sa o túto podmienku môžu oprieť len prevádzkovatelia, ktorí sú organizáciami na boj proti podvodom.

(42)

Napokon, ak sa spracúvanie opiera o jednu z podmienok uvedených v prílohe 8 a podľa § 42 ods. 4 zákona o ochrane údajov z roku 2018, musí sa uplatňovať „riadny dokument stanovujúci politiku spracúvania“, v ktorom sa vysvetlia postupy prevádzkovateľa na zabezpečenie dodržiavania zásad ochrany údajov a politiky prevádzkovateľa, pokiaľ ide o uchovávanie a vymazanie osobných údajov, pričom sa uplatňuje povinnosť viesť rozšírený záznam.

(43)

Osobné údaje by sa mali spracúvať na konkrétny účel a následne by sa mali používať len pokiaľ to nie je nezlučiteľné s daným účelom spracúvania. Túto zásadu ochrany údajov zaručuje § 36 zákona o ochrane údajov z roku 2018. V tomto ustanovení sa podobne ako v článku 4 ods. 1 písm. b) smernice (EÚ) 2016/680 vyžaduje, aby a) účel presadzovania práva, na ktorý sa osobné údaje zhromažďujú pri akejkoľvek príležitosti, bol konkrétne určený, výslovne uvedený a legitímny a že b) takto získané osobné údaje sa nesmú spracúvať spôsobom, ktorý nie je zlučiteľný s účelom, na ktorý boli získané.

(44)

Ak príslušné orgány spracúvajú údaje na účely presadzovania práva, môže to zahŕňať archiváciu, vedecký alebo historický výskum a štatistické účely (73). V týchto prípadoch sa v zákone o ochrane údajov z roku 2018 takisto objasňuje, že archivácia (alebo spracúvanie na účely vedeckého alebo historického výskumu a štatistiky) nie je povolená, ak sa vykonáva v súvislosti s rozhodnutiami prijatými vo vzťahu s konkrétnou dotknutou osobou alebo ak je pravdepodobné, že jej spôsobí značnú škodu alebo ťažkosti (74).

(45)

Údaje musia byť správne a podľa potreby aktualizované. Zároveň by mali byť primerané, relevantné a nie nadmerné vzhľadom na účely, na ktoré sa spracúvajú. Podobne ako v článku 4 ods. 1 písm. c), d) a e) smernice (EÚ) 2016/680 sú tieto zásady zabezpečené v § 37 a § 38 zákona o ochrane údajov z roku 2018. Musia sa prijať všetky primerané opatrenia na zabezpečenie toho, aby sa nesprávne (75) osobné údaje bezodkladne (76) vymazali alebo opravili so zreteľom na účel presadzovania práva, na ktorý sa spracúvajú (77), a aby sa zabezpečilo, že osobné údaje, ktoré sú nesprávne, neúplné alebo už nie sú aktuálne, sa neprenášajú ani neposkytujú na žiadne z účelov presadzovania práva (78).

(46)

Okrem toho sa podobne ako v článku 7 smernice (EÚ) 2016/680 aj v rámci režimu ochrany údajov v Spojenom kráľovstve stanovuje, že osobné údaje založené na skutočnostiach musia byť v čo najväčšej možnej miere rozlíšené od osobných údajov založených na osobných hodnoteniach (79). Ak je to relevantné a pokiaľ je to možné, treba jasne rozlišovať medzi osobnými údajmi týkajúcimi sa rôznych kategórií dotknutých osôb, ako sú napr. podozrivé osoby, osoby odsúdené za trestný čin, obete trestného činu a svedkovia (80).

(47)

Podľa článku 5 smernice (EÚ) 2016/680 by sa údaje v zásade nemali uchovávať dlhšie, ako je potrebné na účely, na ktoré sa osobné údaje spracúvajú. Podľa § 39 zákona o ochrane údajov z roku 2018 a podobne ako v článku 5 uvedenej smernice je zakázané uchovávať osobné údaje spracúvané na ktorýkoľvek z účelov presadzovania práva dlhšie, ako je nevyhnutné v súvislosti s účelom, na ktorý sa spracúvajú. V rámci právneho režimu Spojeného kráľovstva sa vyžaduje, aby sa stanovili primerané lehoty na pravidelné preskúmanie potreby ďalšieho uchovávania osobných údajov na akékoľvek účely presadzovania práva. Ďalšie pravidlá týkajúce sa postupov uchovávania osobných údajov a uplatniteľné lehoty boli stanovené v príslušných právnych predpisoch a usmerneniach upravujúcich právomoci a fungovanie polície. Napríklad v Anglicku a Walese vytvára Kódex praxe správy policajných informácií vypracovaný policajnou akadémiou College of Policing spolu s usmernením o autorizovanej profesijnej praxi správy policajných informácií rámec na zabezpečenie konzistentného procesu uchovávania, preskúmania a likvidácie informácií o operačnej policajnej činnosti založeného na riziku (81). Tento rámec stanovuje jasné štandardy v rámci celej služby, pokiaľ ide o spôsob, akým by sa v policajných zložkách a iných agentúrach mali informácie vytvárať, vymieňať, používať a spravovať, ako aj v rámci vzťahov medzi týmito zložkami a agentúrami (82). Od polície sa očakáva, že bude dodržiavať kódex praxe a toto dodržiavanie kontroluje inšpekčná služba jej veličenstva pre policajný, hasičský a záchranný zbor (Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services) (83).

(48)

Policajný zbor Severného Írska nie je zo zákona povinný dodržiavať Kódex praxe správy policajných informácií. Rámec Kódexu praxe správy policajných informácií prijatý v roku 2011 je však doplnený o príručku Policajného zboru Severného Írska (84), v ktorej sa stanovujú politiky a postupy týkajúce sa spôsobu, akým sa tento Kódex uplatňuje v Severnom Írsku.

(49)

V Škótsku policajné zložky vychádzajú zoštandardného operačný postupu uchovávania záznamov (SOP) (85), ktorý je podporený politikou riadenia záznamov škótskej polície (86). V tomto štandardnom operačnom postupe sa stanovujú osobitné pravidlá uchovávania záznamov, ktorými disponuje škótska polícia.

(50)

Okrem zastrešujúcej požiadavky na preskúmanie záznamov, ktorá sa uplatňuje v celom Spojenom kráľovstve, sa v lokálnych pravidlách uvádzajú ďalšie podrobnosti. Ako príklad možno uviesť, že pokiaľ ide o Anglicko a Wales, zákon o polícii a dôkazoch v trestných veciach zmenený zákonom o ochrane slobody z roku 2012 stanovuje uchovávanie odtlačkov prstov a profilov DNA, ako aj osobitný režim pre osoby, ktoré neboli odsúdené (87). Zákonom o ochrane slobody z roku 2012 sa okrem iného vytvorila aj funkcia komisára pre uchovávanie a používanie biometrického materiálu (ďalej len „Komisár pre biometriu“) (88). Osobitné pravidlá týkajúce sa podôb tváre vyhotovených pri zadržaní sú stanovené v materiáli o preskúmaní uchovávania týchto podôb tváre z roku 2017 (89). Pokiaľ ide o Škótsko, trestný poriadok (Škótsko) z roku 1995 stanovuje pravidlá získavania a uchovávania odtlačkov prstov a biologických vzoriek (90). Rovnako ako v prípade Anglicka a Walesu, aj v Škótsku právne predpisy upravujú uchovávanie biometrických údajov v rôznych prípadoch (91).

(51)

Osobné údaje sa musia spracúvať spôsobom, ktorým sa zaistí ich bezpečnosť vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením. Na tento účel orgány verejnej moci prijmú vhodné technické alebo organizačné opatrenia na ochranu osobných údajov pred možnými hrozbami. Tieto opatrenia sa musia posudzovať s prihliadnutím na stav techniky a súvisiace náklady.

(52)

Tieto zásady sú premietnuté do § 40 zákona o ochrane údajov z roku 2018, podľa ktorého sa podobne, ako sa stanovuje v článku 4 ods. 1 písm. f) smernice (EÚ) 2016/680, osobné údaje spracúvané na akékoľvek účely presadzovania práva musia spracúvať spôsobom, ktorým sa zabezpečí primeraná bezpečnosť osobných údajov, a to prostredníctvom primeraných technických alebo organizačných opatrení. To zahŕňa ochranu údajov pred neoprávneným alebo nezákonným spracúvaním a pred náhodnou stratou, zničením alebo poškodením (92). V § 66 zákona o ochrane údajov z roku 2018 sa ďalej uvádza, že každý prevádzkovateľ a každý sprostredkovateľ musí prijať primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej rizikám vyplývajúcim zo spracúvania osobných údajov. Podľa dôvodovej správy musí prevádzkovateľ vyhodnotiť riziká a na základe tohto hodnotenia zaviesť vhodné bezpečnostné opatrenia, napríklad šifrovanie alebo osobitné úrovne bezpečnostnej previerky pre zamestnancov, ktorí spracúvajú údaje (93). Pri hodnotení sa musí zohľadniť napríklad povaha spracúvaných údajov a akékoľvek iné relevantné faktory alebo okolnosti, ktoré by mohli ovplyvniť bezpečnosť spracúvania.

(53)

Režim, ktorým sa riadi dodržiavanie zásad bezpečnosti údajov, je veľmi podobný režimu stanovenému v článkoch 29 až 31 smernice (EÚ) 2016/680. Prevádzkovateľ je predovšetkým v prípade porušenia ochrany osobných údajov, za ktoré je zodpovedný, povinný podľa § 67 ods. 1 zákona o ochrane údajov z roku 2018 bez zbytočného odkladu a podľa možnosti do 72 hodín od zistenia porušenia oznámiť porušenie ochrany osobných údajov Komisárovi pre informácie (94). Oznamovacia povinnosť sa neuplatňuje, ak je nepravdepodobné, že porušenie ochrany osobných údajov povedie k ohrozeniu práv a slobôd fyzických osôb (95). Prevádzkovateľ musí zdokumentovať skutočnosti týkajúce sa každého porušenia ochrany osobných údajov, jeho účinkov a prijatých nápravných opatrení spôsobom, ktorý umožní Komisárovi pre informácie overiť súlad so zákonom o ochrane údajov z roku 2018 (96). Ak sa sprostredkovateľ dozvie o narušení bezpečnosti, musí to bez zbytočného odkladu oznámiť prevádzkovateľovi (97).

(54)

Podľa § 68 ods. 1 zákona o ochrane údajov z roku 2018, ak porušenie ochrany osobných údajov pravdepodobne predstavuje vysoké riziko pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu informuje dotknutú osobu o porušení (98). Oznámenie musí obsahovať rovnaké informácie ako oznámenie Komisárovi pre informácie opísané v odôvodnení(53). Táto povinnosť neplatí, ak prevádzkovateľ zaviedol primerané technické a organizačné ochranné opatrenia, ktoré sa uplatnili na osobné údaje, ktorých sa porušenie týka. Takisto neplatí, ak prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb pravdepodobne už nebude mať dôsledky. Prevádzkovateľ napokon nie je povinný informovať dotknutú osobu, ak by si to vyžadovalo neprimerané úsilie (99). V takom prípade musia byť informácie sprístupnené dotknutej osobe iným rovnako účinným spôsobom, napríklad prostredníctvom verejného prenosu (100). Ak prevádzkovateľ neinformoval dotknutú osobu o porušení, Komisár pre informácie môže po tom, ako bol informovaný podľa § 67 zákona o ochrane údajov z roku 2018 a po zvážení toho, či je pravdepodobné, že toto porušenie povedie k vysokému riziku , požiadať prevádzkovateľa, aby ju o porušení informoval (101).

(55)

Dotknuté osoby musia byť informované o hlavných znakoch spracúvania ich osobných údajov. Táto zásada ochrany údajov sa odráža v § 44 zákona o ochrane údajov z roku 2018, v ktorom sa podobne ako v článku 13 smernice (EÚ) 2016/680 stanovuje, že prevádzkovateľ má všeobecnú povinnosť sprístupniť dotknutým osobám informácie o spracúvaní ich osobných údajov (či už všeobecným sprístupnením informácií verejnosti alebo akýmkoľvek iným spôsobom) (102). Informácie, ktoré sa majú sprístupniť, zahŕňajú a) totožnosť a kontaktné údaje prevádzkovateľa, b) v príslušných prípadoch kontaktné údaje zodpovednej osoby, c) účely, na ktoré prevádzkovateľ spracúva osobné údaje, d) informáciu o existencii práv dotknutých osôb požadovať od prevádzkovateľa prístup k osobným údajom, opravu osobných údajov a vymazanie osobných údajov, resp. obmedzenie ich spracúvania a e) informáciu o existencii práva podať sťažnosť Komisárovi pre informácie a kontaktné údaje komisára (103).

(56)

Prevádzkovateľ musí zároveň v osobitných prípadoch na účely umožnenia výkonu práv dotknutej osoby podľa zákona o ochrane údajov z roku 2018 (napríklad keď sa spracúvané osobné údaje získali bez vedomia dotknutej osoby) poskytnúť dotknutej osobe informácie o a) právnom základe pre spracúvanie; b) informácie o období uchovávania osobných údajov alebo, ak to nie je možné, o kritériách na určenie tohto obdobia; c) prípadne informácie o kategóriách príjemcov osobných údajov (vrátane príjemcov v tretích krajinách alebo medzinárodných organizáciách); d) ďalšie informácie, ktoré sú potrebné na uplatnenie práv dotknutej osoby podľa časti 3 zákona o ochrane údajov z roku 2018 (104).

(57)

Dotknutým osobám sa musí poskytnúť niekoľko vymáhateľných práv. V časti 3 kapitoly 3 zákona o ochrane údajov z roku 2018 sa fyzickým osobám poskytujú práva na prístup, opravu, vymazanie a obmedzenie (105), ktoré sú porovnateľné s právami stanovenými v kapitole 3 smernice (EÚ) 2016/680.

(58)

Právo na prístup je stanovené v § 45 zákona o ochrane údajov z roku 2018. Po prvé, jednotlivec má právo získať od prevádzkovateľa potvrdenie, či sa jeho osobné údaje spracúvajú alebo nie (106). Po druhé, ak sa osobné údaje spracúvajú, dotknutá osoba má právo na prístup k týmto údajom a na získanie týchto informácií o spracúvaní: a) účely a právne základy spracúvania; b) kategórie dotknutých údajov; c) príjemca, ktorému boli údaje poskytnuté; d) obdobie, počas ktorého sa osobné údaje budú uchovávať; e) existencia práva dotknutej osoby na opravu a vymazanie osobných údajov; f) právo podať sťažnosť a g) akékoľvek informácie o pôvode príslušných osobných údajov (107).

(59)

Podľa § 46 zákona o ochrane údajov z roku 2018 má dotknutá osoba právo požadovať od prevádzkovateľa opravu nesprávnych osobných údajov, ktoré sa jej týkajú. Prevádzkovateľ musí údaje bez zbytočného odkladu opraviť (resp. v prípade, že sú nesprávne z dôvodu ich neúplnosti, tieto údaje doplniť). Ak sa osobné údaje musia uchovávať na účely dokazovania, prevádzkovateľ musí (namiesto opravy osobných údajov) obmedziť ich spracovanie (108).

(60)

V § 47 zákona o ochrane údajov z roku 2018 sa poskytuje fyzickým osobám právo na vymazanie a obmedzenie spracúvania. Prevádzkovateľ musí (109) vymazať osobné údaje bez zbytočného odkladu, ak by spracúvanie osobných údajov porušilo niektorú zo zásad ochrany údajov, právne dôvody spracúvania alebo záruky týkajúce sa archivácie a citlivého spracúvania. Prevádzkovateľ musí takisto vymazať údaje, ak má právnu povinnosť tak urobiť. Ak sa osobné údaje musia uchovávať na účely dokazovania, prevádzkovateľ musí (namiesto vymazania osobných údajov) obmedziť ich spracúvanie (110). Prevádzkovateľ musí obmedziť spracovanie osobných údajov, ak dotknutá osoba spochybňuje správnosť osobných údajov, ale nie je možné zistiť, či sú tieto údaje správne alebo nie (111).

(61)

Ak dotknutá osoba požiada o opravu alebo vymazanie osobných údajov alebo obmedzenie ich spracúvania, prevádzkovateľ musí dotknutú osobu písomne informovať o tom, či bola žiadosť schválená, a ak bola zamietnutá, informovať dotknutú osobu o dôvodoch zamietnutia a dostupných prostriedkoch nápravy (právo dotknutej osoby požiadať Komisára pre informácie o preskúmanie, či sa obmedzenie uplatnilo zákonným spôsobom, právo podať sťažnosť Komisárovi pre informácie a právo požiadať súd o príkaz na zabezpečenie súladu) (112).

(62)

Ak prevádzkovateľ opravuje osobné údaje získané od iného príslušného orgánu, musí to oznámiť druhému orgánu (113). Ak prevádzkovateľ opravuje alebo vymazáva osobné údaje alebo obmedzuje spracúvanie osobných údajov, ktoré poskytol, musí to oznámiť príjemcom a príjemcovia musia podobne opraviť alebo vymazať osobné údaje alebo obmedziť spracovanie osobných údajov (pokiaľ za ne nesú zodpovednosť) (114).

(63)

Okrem toho má dotknutá osoba právo byť bez zbytočného odkladu informovaná prevádzkovateľom o porušení ochrany osobných údajov, ak je pravdepodobné, že to povedie k vysokému riziku pre práva a slobody fyzických osôb (115).

(64)

V súvislosti so všetkými týmito právami dotknutej osoby a podobne, ako sa stanovuje v článku 12 smernice (EÚ) 2016/680, má prevádzkovateľ povinnosť zabezpečiť, aby sa všetky informácie dotknutej osobe poskytovali v stručnej, zrozumiteľnej a ľahko dostupnej forme (116), a ak je to možné, mali by sa poskytovať v rovnakej forme, v akej bola podaná žiadosť (117). Prevádzkovateľ musí vyhovieť žiadosti dotknutej osoby bez zbytočného odkladu alebo v každom prípade pred uplynutím lehoty jedného mesiaca od podania žiadosti (118). Ak má prevádzkovateľ odôvodnené pochybnosti o totožnosti jednotlivca, môže požiadať o dodatočné informácie a odložiť vybavenie žiadosti dovtedy, kým sa nezistí totožnosť. Prevádzkovateľ môže požadovať primeraný poplatok alebo odmietnuť konať, ak považuje žiadosť za zjavne neopodstatnenú (119). Komisár pre informácie poskytol usmernenie o tom, kedy sa žiadosť považuje za zjavne neopodstatnenú alebo neprimeranú a kedy možno požadovať poplatok (120).

(65)

Okrem toho môže podľa § 53 ods. 4 zákona o ochrane údajov z roku 2018 minister prostredníctvom právnych predpisov stanoviť maximálnu výšku poplatku.

(66)

Príslušný orgán môže za určitých okolností obmedziť určité práva dotknutej osoby: právo na prístup k informáciám (121), právo byť informovaný (122), právo byť informovaný o porušení ochrany osobných údajov (123) a právo byť informovaný o dôvode zamietnutia žiadosti o opravu alebo vymazanie (124). Podobne ako v prípade režimu uvedeného v kapitole III smernice (EÚ) 2016/680 môže príslušný orgán uplatniť obmedzenie len vtedy, ak je toto obmedzenie vzhľadom na základné práva a oprávnené záujmy dotknutej osoby nevyhnutné a primerané s cieľom: a) zabrániť mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania; b) zabrániť ohrozovaniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií, c) chrániť verejnú bezpečnosť, d) chrániť národnú bezpečnosť, e) chrániť práva a slobody iných.

(67)

Komisár pre informácie poskytol usmernenie týkajúce sa uplatňovania týchto obmedzení. Podľa tohto usmernenia musia prevádzkovatelia vykonať analýzu jednotlivých prípadov s cieľom vyvážiť práva jednotlivca a škodu, ktorú by spôsobilo poskytnutie údajov. Predovšetkým musia odôvodniť akékoľvek obmedzenie, ktoré sa uplatňuje ako nevyhnutné a primerané, a môžu obmedziť to, čo sa poskytuje, len ak by to ohrozilo vyššie uvedené účely (125).

(68)

Existuje aj niekoľko ďalších usmernení vydaných príslušnými orgánmi, ktoré poskytujú podrobné informácie o všetkých aspektoch právnych predpisov o ochrane údajov vrátane uplatňovania obmedzení práv dotknutých osôb (126). Napríklad v súvislosti s § 45 ods. 4 sa v Príručke na ochranu údajov Národnej rady policajných riaditeľov uvádza: „Je dôležité poznamenať, že obmedzenia sa môžu uplatňovať len v nevyhnutnom rozsahu a môžu sa uplatňovať len tak dlho, ako je to potrebné. V dôsledku toho nie je povolené paušálne uplatňovanie obmedzenia na všetky osobné údaje žiadateľa ani trvalé uplatňovanie obmedzenia. Pokiaľ ide o druhý bod, často platí, že osobné údaje získané bez vedomia dotknutej osoby, ktorá je podozrivá v rámci vyšetrovania, musia byť spočiatku chránené pred ich sprístupnením tejto podozrivej osobe, aby sa predišlo ohrozeniu vyšetrovania počas jeho realizácie, avšak v neskoršom momente by ich poskytnutím nemalo dôjsť k ujme, ak sa tieto osobné údaje jednotlivcovi poskytnú počas vypočúvania. Policajné zložky musia prijať postupy, ktoré zabezpečia uplatňovanie týchto obmedzení len v požadovanom rozsahu a len na nevyhnutné obdobie“ (127). V tomto usmernení sa uvádzajú aj príklady, kedy sa príslušné obmedzenie pravdepodobne uplatní (128).

(69)

Okrem toho, pokiaľ ide o možnosť obmedziť akékoľvek z uvedených práv v záujme ochrany „národnej bezpečnosti“, prevádzkovateľ môže požiadať o osvedčenie podpísané ministrom vlády alebo generálnym prokurátorom (resp. generálnym advokátom pre Škótsko), v ktorom sa potvrdzuje, že obmedzenie takýchto práv je nevyhnutným a primeraným opatrením na ochranu národnej bezpečnosti (129). Vláda Spojeného kráľovstva vydala usmernenie k osvedčeniam o záujme národnej bezpečnosti vydávaným podľa zákona o ochrane údajov z roku 2018, v ktorom sa predovšetkým zdôrazňuje, že akékoľvek obmedzenie práv dotknutých osôb na zaistenie národnej bezpečnosti musí byť primerané a nevyhnutné (130) (ďalšie informácie o osvedčeniach o záujme národnej bezpečnosti pozri v odôvodneniach 131 až 134).

(70)

Okrem toho, ak sa uplatňuje obmedzenie práva dotknutej osoby, príslušný orgán ju musí bez zbytočného odkladu informovať o tom, že jej práva boli obmedzené, o dôvodoch obmedzenia a o dostupných možnostiach nápravy, okrem prípadov, keď by poskytnutie týchto informácií ohrozilo dôvod na uplatnenie obmedzenia (131). V záujme ďalšej ochrany pred zneužitím obmedzení musí prevádzkovateľ zaznamenať dôvody obmedzenia práva na informácie a na požiadanie ho sprístupniť Komisárovi pre informácie (132).

(71)

Ak prevádzkovateľ odmietne poskytnúť dodatočné informácie v záujme transparentnosti, resp. prístup, alebo zamietne žiadosť o opravu, vymazanie alebo obmedzenie spracúvania, jednotlivec môže požiadať Komisára pre informácie, aby preskúmal, či prevádzkovateľ využil obmedzenie zákonne (133). Tento jednotlivec môže Komisárovi pre informácie podať sťažnosť, alebo požiadať súd, aby prevádzkovateľovi nariadil vyhovieť žiadosti (134).

(72)

Ustanovenia § 49 a § 50 zákona o ochrane údajov z roku 2018 upravujú práva súvisiace s automatizovaným rozhodovaním a záruky, ktoré sa majú uplatňovať (135). Podobne ako v článku 11 smernice (EÚ) 2016/680 sa ustanovuje, že prevádzkovateľ môže prijať významné rozhodnutie výlučne na základe automatizovaného spracovania osobných údajov len vtedy, ak ho vyžaduje alebo povoľuje zákon (136). Rozhodnutie je významné, ak by malo nepriaznivý právny účinok na dotknutú osobu alebo ak by ju významne ovplyvnilo (137).

(73)

Ak je prevádzkovateľ podľa zákona povinný alebo oprávnený prijať významné rozhodnutie, v § 50 zákona o ochrane údajov z roku 2018 sa stanovujú záruky, ktoré sa budú uplatňovať na takéto rozhodnutie (ktoré sa vymedzuje ako „kvalifikované významné rozhodnutie“). Prevádzkovateľ musí prijatie takéhoto rozhodnutia čo najskôr oznámiť dotknutej osobe. Dotknutá osoba môže potom do jedného mesiaca požiadať prevádzkovateľa, aby prehodnotil rozhodnutie alebo aby prijal nové rozhodnutie, ktoré nie je založené výlučne na automatizovanom spracovaní. Prevádzkovateľ musí žiadosť posúdiť a informovať dotknutú osobu o výsledku tohto posúdenia. Zákon o ochrane údajov z roku 2018 udeľuje ministrovi právomoc prijať právne predpisy o dodatočných zárukách (138). Zatiaľ neboli prijaté žiadne takéto právne predpisy.

(74)

Úroveň ochrany osobných údajov prenášaných orgánom presadzovania práva členského štátu orgánu presadzovania práva Spojeného kráľovstva nesmie byť oslabená ďalším prenosom takýchto údajov príjemcom v tretej krajine. Takéto „následné prenosy“, ktoré z hľadiska orgánu presadzovania práva Spojeného kráľovstva predstavujú medzinárodné prenosy zo Spojeného kráľovstva, by sa mali povoliť len v prípade, že ďalší príjemca mimo Spojeného kráľovstva takisto podlieha pravidlám zabezpečujúcim podobnú úroveň ochrany, aká je zaručená v právnom poriadku Spojeného kráľovstva.

(75)

Režim Spojeného kráľovstva týkajúci sa medzinárodných prenosov upravuje kapitola 5 časti 3 zákona o ochrane údajov z roku 2018 (139) a odráža prístup zaujatý v kapitole V smernice (EÚ) 2016/680. Na prenos osobných údajov do tretej krajiny musí príslušný orgán spĺňať najmä tri podmienky: a) prenos musí byť nevyhnutný na účely presadzovania práva; b) prenos musí byť založený na: i) právnom predpise o primeranosti prijatom v súvislosti s touto treťou krajinou, ii) ak nie je založený na právnom predpise o primeranosti, musia existovať primerané záruky, resp. iii) ak nie je založený na právnom predpise o primeranosti alebo primeraných zárukách, musí byť založený na osobitných okolnostiach a c) príjemca prenosu musí byť: i) príslušný orgán (t. j. orgán rovnocenný príslušnému orgánu) v tretej krajine; ii) „príslušná medzinárodná organizácia“, napr. medzinárodná organizácia, ktorá vykonáva funkcie zodpovedajúce akémukoľvek účelu presadzovania práva, alebo iii) iný subjekt ako príslušný orgán, ale len ak je prenos nevyhnutne potrebný na plnenie niektorého z účelov presadzovania práva, neexistujú žiadne základné práva a slobody dotknutej osoby, ktoré by prevážili nad verejným záujmom, ktorý si vyžaduje prenos, prenos osobných údajov príslušnému orgánu v tretej krajine by bol neúčinný alebo nevhodný a príjemca je informovaný o účeloch, na ktoré sa údaje môžu spracúvať (140).

(76)

Právne predpisy o primeranosti týkajúce sa tretej krajiny, územia alebo sektora v tretej krajine, medzinárodnej organizácie alebo opis (141) takejto krajiny, územia, sektora alebo organizácie prijíma minister. Pokiaľ ide o štandard, ktorý treba dosiahnuť, je na posúdení ministra, či takéto územie, sektor alebo organizácia zabezpečujú primeranú úroveň ochrany osobných údajov. V oddiele 74A ods. 4 zákon o ochrane údajov z roku 2018 sa stanovuje, že minister musí na tento účel zvážiť niekoľko prvkov, ktoré odrážajú prvky uvedené v článku 36 smernice (EÚ) 2016/680 (142). V tejto súvislosti treba uviesť, že od skončenia prechodného obdobia predstavuje časť 3 zákona o ochrane údajov z roku 2018 „vnútroštátne právne predpisy odvodené od EÚ“, ktoré, ako už bolo vysvetlené, budú vykladať súdy Spojeného kráľovstva v súlade s príslušnou judikatúrou Súdneho dvora z obdobia pred vystúpením Spojeného kráľovstva z Únie a všeobecnými zásadami práva Únie, keďže mali účinnosť bezprostredne pred skončením prechodného obdobia. To zahŕňa štandard „zásadnej rovnocennosti“, ktorá sa teda bude uplatňovať na posúdenia primeranosti, ktoré vykonávajú orgány Spojeného kráľovstva.

(77)

Pokiaľ ide o postup, na právne predpisy sa vzťahujú „všeobecné“ procedurálne požiadavky stanovené v § 182 zákona o ochrane údajov z roku 2018. V rámci tohto postupu musí pri navrhovaní budúcich právnych predpisov Spojeného kráľovstva o primeranosti minister konzultovať s Komisárom pre informácie (143). Po prijatí ministrom sa tieto právne predpisy predkladajú parlamentu a podliehajú postupu „negatívneho uznesenia“, na základe ktorého môžu obe parlamentné snemovne preskúmať príslušný právny predpis a v rámci 40-dňovej lehoty predložiť návrh na zrušenie príslušného právneho predpisu (144).

(78)

Podľa § 74B ods. 1 zákona o ochrane údajov z roku 2018 sa právne predpisy o primeranosti musia preskúmavať v intervaloch najviac štyroch rokov a minister musí priebežne monitorovať vývoj v tretích krajinách a medzinárodných organizáciách, ktorý by mohol ovplyvniť rozhodnutia o právnych predpisoch o primeranosti alebo ich zmeniť. Ak minister zistí, že daná krajina alebo organizácia už nezabezpečuje primeranú úroveň ochrany osobných údajov, musí v potrebnom rozsahu zmeniť alebo zrušiť tieto právne predpisy a začať konzultácie s dotknutou treťou krajinou alebo medzinárodnou organizáciou s cieľom napraviť nedostatok primeranej úrovne ochrany.

(79)

Podobne ako v článku 37 smernice (EÚ) 2016/680, ak neexistuje právny predpis o primeranosti, prenos osobných údajov v kontexte odvetvia presadzovania práva by bol možný, ak by boli zavedené primerané záruky. Takéto záruky sú zabezpečené buď a) právne záväzným nástrojom obsahujúcim primerané záruky na ochranu osobných údajov, alebo b) posúdením vykonaným prevádzkovateľom, ktorý po posúdení všetkých okolností prenosu dospeje k záveru, že existujú primerané záruky na ochranu údajov (145). Okrem toho, ak sa prenosy zakladajú na primeraných zárukách, v zákone o ochrane údajov z roku 2018 sa stanovuje, že okrem toho, že Komisár pre informácie ma zvyčajnú úlohu v oblasti dohľadu, musia mu príslušné orgány poskytnúť špecifické informácie o prenosoch (146).

(80)

Ak sa prenos nezakladá na rozhodnutí o primeranosti alebo primeraných zárukách, môže sa uskutočniť len za určitých osobitných okolností, ktoré sa označujú ako „osobitné okolnosti“ (147). Ide o prípad, keď je prenos nevyhnutný: a) na ochranu životne dôležitých záujmov dotknutej osoby či inej osoby; b) na zabezpečenie oprávnených záujmov dotknutej osoby; c) na zabránenie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti tretej krajiny; d) v jednotlivých prípadoch na akékoľvek účely presadzovania práva, alebo e) v jednotlivých prípadoch na právne účely (napríklad v súvislosti so súdnym konaním alebo s cieľom získať právne poradenstvo) (148). Možno poznamenať, že písmená d) a e) sa neuplatňujú, ak práva a slobody dotknutej osoby prevažujú nad verejným záujmom na prenose (149). Tento súbor okolností zodpovedá špecifickým situáciám a podmienkam kvalifikovaným ako „výnimky“ podľa článku 38 smernice (EÚ) 2016/680.

(81)

Za týchto okolností sa dátum, čas a odôvodnenie prenosu, meno a všetky ďalšie relevantné informácie o príjemcovi, ako aj opis prenášaných osobných údajov musia zdokumentovať a na požiadanie poskytnúť Komisárovi pre informácie (150).

(82)

V § 78 zákona o ochrane údajov z roku 2018 sa upravuje scenár „následných prenosov“, konkrétne prípadov, keď sa osobné údaje, ktoré boli prenesené zo Spojeného kráľovstva do tretej krajiny, následne prenášajú do inej tretej krajiny alebo medzinárodnej organizácii. V zmysle § 78 ods. 1 musí prenášajúci prevádzkovateľ zo Spojeného kráľovstva podmieniť prenos údajov tak, že sa tieto údaje nesmú ďalej prenášať do tretej krajiny bez povolenia prenášajúceho prevádzkovateľa. Okrem toho sa § 78 ods. 3 podobne ako v článku 35 ods. 1 písm. e) smernice (EÚ) 2016/680 stanovuje rad požiadaviek, ktoré platia v prípade, že sa vyžaduje takéto povolenie. Konkrétnejšie možno uviesť, že príslušný orgán sa musí pri rozhodovaní o tom, či povoliť prenos, uistiť, či je ďalší prenos nevyhnutný na účely presadzovania práva, a mal by okrem iných faktorov zohľadniť a) závažnosť okolností vedúcich k žiadosti o povolenie, b) účel, na ktorý boli osobné údaje pôvodne prenesené, a c) normy ochrany osobných údajov, ktoré sa uplatňujú v tretej krajine alebo medzinárodnej organizácii, do ktorej sa osobné údaje prenášajú.

(83)

Ďalej možno uviesť, že ak sa zo Spojeného kráľovstva ďalej prenášajú údaje, ktoré boli pôvodne prenesené z Európskej únie, uplatňujú sa dodatočné záruky.

(84)

Po prvé, v § 73 ods. 1 písm. b) zákona o ochrane údajov z roku 2018, podobne ako v článku 35 ods. 1 písm. c) smernice (EÚ) 2016/680, sa stanovuje, že v prípade, že osobné údaje pôvodne preniesol alebo iným spôsobom sprístupnil prevádzkovateľovi alebo inému príslušnému orgánu členský štát, musí byť týmto členským štátom alebo akoukoľvek osobou so sídlom v tomto členskom štáte, ktorá je príslušným orgánom na účely smernice (EÚ) 2016/680, prenos povolený v súlade s právom tohto členského štátu.

(85)

Podobne ako v článku 35 ods. 2 smernice (EÚ) 2016/680 sa však takéto povolenie nevyžaduje, ak a) je prenos nevyhnutný na zabránenie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny alebo základných záujmov členského štátu a ak b) povolenie nie je možné získať včas. V takomto prípade musí byť bezodkladne informovaný orgán členského štátu, ktorý by bol zodpovedný za rozhodnutie o povolení prenosu (151).

(86)

Po druhé, rovnaký prístup sa uplatňuje v prípade údajov, ktoré boli pôvodne prenesené z Európskej únie do Spojeného kráľovstva, a potom následne prenesené Spojeným kráľovstvom do tretej krajiny, ktorá uskutoční ich následný prenos do nejakej inej tretej krajiny. V takom prípade môže v zmysle § 78 ods. 4 príslušný orgán Spojeného kráľovstva udeliť povolenie len ak „členský štát, [ktorý pôvodne preniesol predmetné údaje], resp. akákoľvek osoba v tomto členskom štáte, ktorá je príslušným orgánom na účely smernice o presadzovaní práva, udelila povolenie na tento prenos v súlade s právom tohto členského štátu“. Tieto záruky sú dôležité, pretože dávajú orgánom členských štátov možnosť zabezpečiť kontinuitu ochrany údajov v súlade s predpismi EÚ na ochranu údajov v rámci „reťazca prenosu“.

(87)

Tento nový rámec pre medzinárodné prenosy sa začal uplatňovať na konci prechodného obdobia (152). V bodoch 10 až 12 prílohy 21 (zavedenej právnymi predpismi DPPC) sa však stanovuje, že od konca prechodného obdobia sa s určitými prenosmi osobných údajov zaobchádza tak, ako keby boli založené na právnych predpisoch o primeranosti. Medzi takéto prenosy patria prenosy do členského štátu, štátu EZVO, tretej krajiny, na ktorú sa na konci prechodného obdobia vzťahuje rozhodnutie EÚ o primeranosti a na územie Gibraltáru, Prenosy do týchto krajín preto môžu pokračovať rovnako ako pred vystúpením Spojeného kráľovstva z Únie. Po skončení prechodného obdobia musí minister preskúmať zistenia primeranosti do 4 rokov, t. j. do konca decembra 2024. Podľa vysvetlenia, ktoré poskytli orgány Spojeného kráľovstva, hoci minister musí vykonať takéto preskúmanie do konca decembra 2024, prechodné ustanovenia neobsahujú ustanovenie o ukončení platnosti, to znamená, že ak sa preskúmanie neukončí do konca decembra 2024, príslušné prechodné ustanovenia automaticky neprestanú platiť.

(88)

Podľa zásady zodpovednosti sa od orgánov verejnej moci, ktoré spracúvajú údaje, vyžaduje, aby zaviedli vhodné technické a organizačné opatrenia v záujme účinného dodržiavania svojich povinností v oblasti ochrany údajov a aby vedeli takéto dodržiavanie preukázať, najmä príslušnému dozornému orgánu.

(89)

Táto zásada sa odráža v § 56 zákona o ochrane údajov z roku 2018, v ktorom sa pre prevádzkovateľa zavádza všeobecná povinnosť zodpovednosti, t. j. povinnosť prijať primerané technické a organizačné opatrenia s cieľom zabezpečiť a byť schopný preukázať, že spracúvanie osobných údajov je v súlade s požiadavkami časti 3 zákona o ochrane údajov z roku 2018. Prijaté opatrenia sa musia v prípade potreby preskúmať a aktualizovať, a ak je to primerané vzhľadom na spracovanie, musia zahŕňať vhodné politiky ochrany údajov.

(90)

V súlade s kapitolou IV smernice (EÚ) 2016/680 sa v § 55 až § 71 zákona o ochrane údajov z roku 2018 stanovujú rôzne mechanizmy na zabezpečenie zodpovednosti, ako aj mechanizmy umožňujúce prevádzkovateľom a sprostredkovateľom preukázať súlad. Od prevádzkovateľov sa predovšetkým vyžaduje, aby špecificky a štandardne vykonávali opatrenia na ochranu údajov, t. j. aby zabezpečili účinné vykonávanie zásad ochrany údajov a aby uchovávali záznamy o všetkých kategóriách spracovateľských činností, za ktoré je prevádzkovateľ zodpovedný (vrátane informácií o totožnosti prevádzkovateľa, kontaktných údajov zodpovednej osoby, účelov spracúvania, kategórií príjemcov zverejnení a opisu kategórií dotknutých osôb a osobných údajov) a aby tieto záznamy uchovávali a na požiadanie ich sprístupnili Komisárovi pre informácie. Prevádzkovateľ a sprostredkovateľ musia takisto viesť záznamy o určitých spracovateľských operáciách a sprístupniť ich Komisárovi pre informácie (153). Prevádzkovatelia sú tiež osobitne povinní spolupracovať s Komisárom pre informácie pri plnení jeho úloh.

(91)

V zákone o ochrane údajov z roku 2018 sa stanovujú aj dodatočné požiadavky na spracúvanie, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. Patrí medzi ne povinnosť vykonať posúdenia vplyvu na ochranu údajov a konzultovať s Komisárom pre informácie pred spracovaním, ak z takéhoto posúdenia vyplynie, že spracúvanie by viedlo k vysokému riziku pre práva a slobody jednotlivcov (pri absencii opatrení na zmiernenie rizika).

(92)

Prevádzkovatelia musia okrem toho vymenovať zodpovednú osobu, pokiaľ prevádzkovateľom nie je súd alebo iný súdny orgán konajúci v rámci svojej súdnej právomoci (154). Prevádzkovateľ musí zabezpečiť, aby zodpovedná osoba bola zapojená do všetkých otázok týkajúcich sa ochrany osobných údajov, mala potrebné zdroje a prístup k osobným údajom a spracovateľským operáciám a mohla nezávisle vykonávať svoje úlohy. Úlohy zodpovednej osoby sú stanovené v § 71 zákona o ochrane údajov z roku 2018 vrátane poskytovania informácií a poradenstva, monitorovania dodržiavania predpisov, ako aj spolupráce s Komisárom pre informácie a jeho pôsobenia ako kontaktného miesta. Zodpovedná osoba pri plnení svojich úloh musí zohľadňovať riziká spojené so spracovateľskými operáciami, berúc do úvahy povahu, rozsah, kontext a účely spracúvania.

(93)

S cieľom zaistiť, aby bola primeraná úroveň ochrany údajov zabezpečená aj v praxi, musí byť zriadený nezávislý dozorný orgán, ktorý bude mať právomoc monitorovať a presadzovať dodržiavanie pravidiel ochrany údajov. Tento orgán musí pri plnení svojich úloh a výkone svojich právomocí konať úplne nezávisle a nestranne.

(94)

V Spojenom kráľovstve vykonáva dohľad a presadzovanie dodržiavania všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a zákona o ochrane údajov z roku 2018 Komisár pre informácie (155). Komisár pre informácie dozerá aj na spracúvanie osobných údajov príslušnými orgánmi, ktoré patria do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018 (156). Komisár pre informácie je „Corporation Sole“, čiže samostatný právny subjekt zložený z jednej osoby. Komisára pre informácie pri jeho práci podporuje jeho úrad. K 31. marcu 2020 mal Úrad Komisára pre informácie 768 stálych zamestnancov (157). Hlavným ministerstvom vo vzťahu ku Komisárovi pre informácie je Ministerstvo pre digitálnu oblasť, kultúru, médiá a šport (Department for Digital, Culture, Media and Sport (158)).

(95)

Nezávislosť Komisára je výslovne stanovená v § 52 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, v ktorom sa odrážajú požiadavky stanovené v článku 52 ods. 1 až 3 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (159). Komisár musí pri plnení svojich úloh a vykonávaní svojich právomocí podľa všeobecného nariadenia Spojeného kráľovstva o ochrane údajov konať úplne nezávisle, nesmie byť pod vonkajším vplyvom, či už priamym alebo nepriamym, vo vzťahu k týmto úlohám a právomociam, a nesmie od nikoho žiadať ani prijímať pokyny. Komisár sa tiež musí zdržať akéhokoľvek konania nezlučiteľného so svojimi povinnosťami a počas výkonu funkcie nevykonáva žiadnu platenú ani neplatenú pracovnú činnosť nezlučiteľnú s jeho funkciou.

(96)

Podmienky vymenovania a odvolania Komisára pre informácie sú stanovené v prílohe 12 k zákonu o ochrane údajov z roku 2018. Komisára pre informácie vymenúva kráľovná na odporúčanie vlády na základe spravodlivého a otvoreného výberového konania. Uchádzač musí mať primeranú kvalifikáciu, zručnosti a schopnosti. V súlade s kódexom riadenia verejných menovaní (160) zostaví poradná hodnotiaca komisia zoznam menovateľných kandidátov. Predtým, ako minister Ministerstva pre digitálnu oblasť, kultúru, médiá a šport dospeje ku konečnému rozhodnutiu, príslušný užší výbor parlamentu musí vykonať kontrolu pred vymenovaním. Stanovisko výboru sa zverejňuje (161).

(97)

Komisár pre informácie vykonáva svoju funkciu najviac sedem rokov. Z funkcie ho môže odvolať jej veličenstvo na základe jej určenému prejavu vôle oboch snemovní parlamentu (tzv. Address) (162). Žiadosť o odvolanie Komisára pre informácie možno predložiť niektorej zo snemovní parlamentu, len ak minister predloží tejto snemovni správu, v ktorej uvedie, že je presvedčený, že Komisár pre informácie sa dopustil závažného pochybenia a/alebo že Komisár už nespĺňa podmienky požadované na výkon svojich funkcií (163).

(98)

Financovanie Komisára pre informácie pochádza z troch zdrojov: i) poplatky za ochranu údajov, ktoré platia prevádzkovatelia a ktoré sú stanovené právnymi predpismi ministra (164); tieto poplatky tvoria 85 – 90 % ročného rozpočtu Úradu Komisára pre informácie (165); ii) subvencie, ktoré môže vláda poskytnúť Komisárovi pre informácie a ktoré sa využívajú najmä na financovanie prevádzkových nákladov Komisára pre informácie, pokiaľ ide o úlohy nesúvisiace s ochranou údajov (166); iii) poplatky účtované za služby (167). V súčasnosti sa neúčtujú žiadne takéto poplatky.

(99)

Všeobecné funkcie Komisára pre informácie v súvislosti so spracúvaním osobných údajov, ktoré patrí do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018, sú stanovené v prílohe 13 k zákonu o ochrane údajov z roku 2018. Medzi úlohy patrí monitorovanie a presadzovanie časti 3 zákona o ochrane údajov z roku 2018, podpora informovanosti verejnosti, poradenstvo parlamentu, vláde a iným inštitúciám v oblasti legislatívnych a administratívnych opatrení, podpora informovanosti prevádzkovateľov a sprostredkovateľov o ich povinnostiach, poskytovanie informácií dotknutým osobám o uplatňovaní ich práv a vedenie vyšetrovaní. V záujme zachovania nezávislosti justície nie je Komisár pre informácie oprávnený vykonávať svoje funkcie v súvislosti so spracúvaním osobných údajov jednotlivcom konajúcim v rámci súdnej právomoci, resp. súdom či tribunálom konajúcim v rámci svojej súdnej právomoci. Dohľad nad justíciou však vykonávajú špecializované orgány, o ktorých sa hovorí ďalej.

(100)

Komisár pre informácie má všeobecné vyšetrovacie, nápravné, povoľovacie a poradné právomoci v súvislosti so spracúvaním osobných údajov, na ktoré sa vzťahuje časť 3 zákona o ochrane údajov z roku 2018. Komisár pre informácie má právomoc oznámiť prevádzkovateľovi alebo sprostredkovateľovi údajné porušenie časti 3, vydať prevádzkovateľovi alebo sprostredkovateľovi varovanie o tom, že zamýšľané operácie spracovania pravdepodobne porušia ustanovenia časti 3 a vydať prevádzkovateľovi alebo sprostredkovateľovi napomenutie, ak operácie spracúvania porušili ustanovenia časti 3. Okrem toho môže Komisár pre informácie z vlastnej iniciatívy alebo na požiadanie vydávať stanoviská určené parlamentu Spojeného kráľovstva, vláde alebo iným inštitúciám a orgánom, ako aj verejnosti k akejkoľvek otázke týkajúcej sa ochrany osobných údajov (168).

(101)

Komisár pre informácie má okrem toho právomoc:

(102)

Okolnosti, za ktorých Komisára pre informácie vydáva informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie a oznámenie o uložení sankcie sa stanovujú v jeho regulačnej politike (173). V presadzovacom oznámení sa môžu stanovovať požiadavky, ktoré Komisár pre informácie považuje za vhodné na účely nápravy nesplnenia povinnosti. V oznámení o uložení sankcie sa vyžaduje, aby príslušná osoba zaplatila Komisárovi pre informácie sumu uvedenú v oznámení. Oznámenie o uložení sankcie možno vydať v prípade nedodržania určitých ustanovení zákona o ochrane údajov z roku 2018 (174) alebo sa môže vydať voči prevádzkovateľovi alebo sprostredkovateľovi, ktorí nekonali v súlade s informačným oznámením, oznámením o posúdení alebo presadzovacím oznámením.

(103)

Konkrétnejšie, pri určovaní toho, či sa má voči určitému prevádzkovateľovi alebo sprostredkovateľovi vydať oznámenie o uložení sankcie, a pri určovaní výšky sankcie musí Komisár pre informácie zohľadniť skutočnosti uvedené v § 155 ods. 3 zákona o ochrane údajov z roku 2018 vrátane povahy a závažnosti pochybenia, úmyselného alebo nedbanlivého charakteru pochybenia, akýchkoľvek opatrení prijatých prevádzkovateľom alebo sprostredkovateľom s cieľom zmierniť škodu, ktorú utrpeli dotknuté osoby, stupňa zodpovednosti prevádzkovateľa alebo sprostredkovateľa (so zreteľom na technické a organizačné opatrenia vykonané prevádzkovateľom alebo sprostredkovateľom) a akýchkoľvek relevantných predchádzajúcich pochybení prevádzkovateľa alebo sprostredkovateľa, kategórií osobných údajov, ktorých sa zlyhanie týka, a toho, či by sankcia bola účinná, primeraná a odrádzajúca.

(104)

Maximálna výška sankcie, ktorú možno uložiť na základe oznámenia o uložení sankcie, je a) 17 500 000 GBP za nedodržanie zásad ochrany údajov (§ 35, § 36, § 37, § 38 ods. 1, § 39 ods. 1 a § 40 zákona o ochrane údajov z roku 2018), povinnosti transparentnosti a individuálnych práv (§ 44, § 45, § 46, § 47, § 48, § 49, § 52 a § 53 zákona o ochrane údajov z roku 2018) a zásad pre medzinárodné prenosy osobných údajov (§ 73, § 75, § 76, § 77 alebo § 78 zákona o ochrane údajov z roku 2018), inak b) 8 700 000 GBP (175). V súvislosti s nedodržaním informačného oznámenia, oznámenia o posúdení alebo presadzovacieho oznámenia je maximálna výška sankcie, ktorú možno uložiť na základe oznámenia o uložení sankcie 17 500 000 GBP.

(105)

Podľa posledných výročných správ (2018 – 2019 (176), 2019 – 2020 (177)) Komisár pre informácie uskutočnil niekoľko vyšetrovaní v súvislosti so spracúvaním osobných údajov orgánmi presadzovania práva v trestných veciach. Komisár napríklad viedol vyšetrovanie a v októbri 2019 uverejnil stanovisko týkajúce sa používania technológie rozpoznávania tváre na verejných miestach na účely presadzovania práva. Vyšetrovanie sa zameriavalo najmä na využívanie schopností rozpoznávania tváre v reálnom čase zo strany polície Južného Walesu a Metropolitnej policajnej služby (ďalej len „MPS“). Okrem toho Komisár pre informácie prešetroval matricu MPS na odhaľovanie gangov (178) a zistil celý rad závažných porušení právnych predpisov o ochrane údajov, ktoré by mohli narušiť dôveru verejnosti v matricu a používanie údajov.

(106)

V novembri 2018 Komisár pre informácie vydal presadzovacie oznámenie a následne MPS podnikla kroky potrebné na zvýšenie bezpečnosti a zodpovednosti a na zabezpečenie primeraného využívania údajov.

(107)

Ďalším príkladom nedávneho presadzovacieho opatrenia je pokuta vo výške 325 000 GBP, ktorú Komisára pre informácie uložil v máji 2018 prokuratúre Crown Prosecution Service za stratu nezašifrovaných nosičov DVD obsahujúcich záznamy policajných výsluchov. Komisár pre informácie okrem toho prešetroval širšie témy, napríklad v prvej polovici roka 2020 využívanie extrakcie mobilných telefónov na policajné účely a spracovanie údajov o obetiach zo strany polície.

(108)

Okrem toho, že Komisár pre informácie má uvedené právomoci v oblasti presadzovania, určité porušenia právnych predpisov o ochrane údajov predstavujú trestné činy, a preto môžu podliehať trestnoprávnym sankciám (§ 196 zákona o ochrane údajov z roku 2018). Ide napríklad o získanie alebo sprístupnenie osobných údajov bez súhlasu prevádzkovateľa a poskytnutie prístupu k osobným údajom inej osobe bez súhlasu prevádzkovateľa (179); opätovnú identifikáciu anonymizovaných osobných údajov bez súhlasu prevádzkovateľa zodpovedného za anonymizáciu týchto osobných údajov (180); úmyselné bránenie Komisárovi pre informácie pri výkone jeho právomocí v súvislosti s kontrolou osobných údajov v súlade s medzinárodnými záväzkami (181), nepravdivé vyhlásenia o odpovedi na informačné oznámenie, alebo zničenie informácií v súvislosti s informačným oznámením a oznámením o posúdení (182).

(109)

Komisár pre informácie má tiež podľa § 139 zákona o ochrane údajov z roku 2018 povinnosť predložiť každej zo snemovní parlamentu všeobecnú správu o plnení svojich funkcií podľa zákona (183).

(110)

Dohľad nad spracúvaním osobných údajov súdmi a justíciou je dvojaký. Ak súdny úradník alebo súd nekoná v rámci súdnej právomoci, dohľad vykonáva Komisár pre informácie. Ak prevádzkovateľ koná v rámci súdnej právomoci, Komisár pre informácie nemôže plniť svoje funkcie dohľadu (184) a dohľad vykonávajú osobitné orgány. Uvedené odráža prístup prijatý v článku 32 smernice (EÚ) 2016/680.

(111)

Konkrétne v druhom scenári, pokiaľ ide o súdy Anglicka a Walesu a ich tribunály prvého stupňa a vyššie tribunály (First-tier and Upper Tribunals of England and Wales), takýto dohľad vykonáva súdna rada pre ochranu údajov (Judicial Data Protection Panel) (185). Okrem toho šéf justície Anglicka a Walesu (Lord Chief Justice) a šéf tribunálov (Senior President of Tribunals) vydali oznámenie o ochrane osobných údajov (186), v ktorom sa uvádza, ako súdy v Anglicku a Walese spracúvajú osobné údaje na účely plnenia súdnej funkcie. Podobné oznámenie vydali súdy Severného Írska (187) a Škótska (188).

(112)

Okrem toho v Severnom Írsku vymenoval šéf justície Severného Írska (Lord Chief Justice of Northern Ireland) sudcu Vrchného súdu (High Court) za sudcu pre dohľad nad údajmi (Data Supervisory Judge) (189). Vydal tiež usmernenia pre severoírsku justíciu o tom, čo robiť v prípade straty alebo potenciálnej straty údajov a o postupe riešenia akýchkoľvek otázok, ktoré z toho vyplývajú (190).

(113)

V Škótsku šéf justície Lord President vymenoval sudcu pre dohľad nad údajmi (Data Supervisory Judge), ktorý vyšetruje všetky sťažnosti z dôvodu ochrany údajov. Stanovuje sa tak v pravidlách súdnych sťažností, ktoré odrážajú pravidlá stanovené pre Anglicko a Wales (191).

(114)

Napokon na najvyššom súde (Supreme Court) je vymenovaný jeden zo sudcov tohto súdu, aby vykonával dohľad nad ochranou údajov.

(115)

V záujme zabezpečenia primeranej ochrany, a najmä vymáhania individuálnych práv, by dotknutá osoba mala mať k dispozícii účinné správne a súdne prostriedky nápravy vrátane náhrady škôd.

(116)

Po prvé, dotknutá osoba má právo podať sťažnosť Komisárovi pre informácie, ak sa domnieva, že v súvislosti s osobnými údajmi, ktoré sa jej týkajú, došlo k porušeniu časti 3 zákona o ochrane údajov z roku 2018 (192). Ako sa uvádza v odôvodneniach (100) a (109), Komisár pre informácie má právomoc posúdiť dodržiavanie zákona o ochrane údajov z roku 2018 prevádzkovateľom a sprostredkovateľom a požadovať od nich, aby v prípade nedodržiavania tohto zákona prijali potrebné kroky, resp. aby sa zdržali prijatia potrebných krokov, ako aj uložiť pokuty.

(117)

Po druhé, zákon o ochrane údajov z roku 2018 stanovuje právo na nápravu uplatniteľné voči Komisárovi pre informácie. Ak Komisár pre informácie „nepokročil“ (193) vo veci sťažnosti podanej dotknutou osobou, sťažovateľ má prístup k súdnemu prostriedku nápravy, pretože sa môže obrátiť na tribunál prvého stupňa (First Tier Tribunal) (194) s cieľom nariadiť Komisárovi pre informácie, aby v reakcii na sťažnosť prijal vhodné opatrenia, alebo aby informoval sťažovateľa o pokroku v súvislosti so sťažnosťou (195). Okrem toho sa každá osoba, ktorá dostane od Komisára pre informácie akékoľvek z uvedených oznámení (informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie alebo oznámenie o uložení sankcie), môže odvolať na tribunál prvého stupňa. Ak sa tribunál domnieva, že rozhodnutie Komisára pre informácie nie je v súlade so zákonom alebo že Komisár pre informácie mal uplatniť svoju voľnú úvahu inak, tribunál musí odvolaniu vyhovieť, resp. musí vydať iné oznámenie alebo prijať iné rozhodnutie, ktoré mohol vydať alebo prijať Komisár pre informácie (196).

(118)

Po tretie, fyzické osoby môžu získať súdne prostriedky nápravy voči prevádzkovateľom a sprostredkovateľom priamo na súdoch podľa § 167 zákona o ochrane údajov z roku 2018. Ak súd na návrh dotknutej osoby dospeje k záveru, že došlo k porušeniu práv dotknutej osoby v zmysle právnych predpisov o ochrane údajov, môže nariadiť prevádzkovateľovi v súvislosti so spracúvaním alebo sprostredkovateľovi konajúcemu v mene tohto prevádzkovateľa, aby podnikol kroky uvedené v súdnom príkaze alebo aby sa zdržal prijatia krokov uvedených v súdnom príkaze. Okrem toho podľa § 169 zákona o ochrane údajov z roku 2018 akákoľvek osoba, ktorá utrpí škodu v dôsledku porušenia niektorej požiadavky právnych predpisov o ochrane údajov (vrátane časti 3 zákona o ochrane údajov z roku 2018) iných ako všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, má nárok na náhradu tejto škody od prevádzkovateľa alebo sprostredkovateľa s výnimkou prípadu, že prevádzkovateľ alebo sprostredkovateľ dokáže, že prevádzkovateľ alebo sprostredkovateľ nie je žiadnym spôsobom zodpovedný za udalosť, ktorá spôsobila škodu. Škoda zahŕňa tak finančnú ujmu, ako aj škodu, ktorá nezahŕňa finančnú ujmu, ako napríklad nemajetkovú ujmu.

(119)

Po štvrté, pokiaľ sa akákoľvek osoba domnieva, že orgány verejnej moci porušili jej práva vrátane práva na súkromie a ochranu údajov, môže získať nápravu na súdoch Spojeného kráľovstva podľa zákona o ľudských právach z roku 1998. Prevádzkovatelia podľa časti 3 zákona o ochrane údajov z roku 2018, t. j. príslušné orgány, sú vždy orgánmi verejnej moci v zmysle zákona o ľudských právach z roku 1998. Jednotlivec, ktorý tvrdí, že orgán verejnej moci konal (alebo navrhuje konať) spôsobom, ktorý je nezlučiteľný s právom vyplývajúcim z dohovoru, a teda protiprávny podľa § 6 ods. 1 zákona o ľudských právach z roku 1998, môže podať návrh na začatie konania proti tomuto orgánu na príslušnom súde alebo tribunáli, resp. sa dovolávať príslušných práv v akomkoľvek súdnom konaní, ak je (alebo by mohol byť) obeťou protiprávneho činu (197).

(120)

Ak súd zistí, že akýkoľvek akt orgánu verejnej moci je nezákonný, môže v rámci svojich právomocí nariadiť akúkoľvek nápravu alebo vydať akýkoľvek príkaz, ktoré považuje za vhodné a primerané (198). Súd môže tiež vyhlásiť ustanovenie primárneho práva za nezlučiteľné s právom zaručeným EDĽP.

(121)

Jednotlivec môže napokon za porušenie práv zaručených EDĽP po vyčerpaní vnútroštátnych prostriedkov nápravy dosiahnuť nápravu pred Európskym súdom pre ľudské práva.

(122)

V práve Spojeného kráľovstva sa za určitých podmienok povoľuje, aby orgán presadzovania práva poskytol údaje ďalším orgánom Spojeného kráľovstva na iné účely ako tie, na ktoré boli pôvodne získané (tzv. následné poskytnutie).

(123)

Podobne ako v článku 4 ods. 2 smernice (EÚ) 2016/680 sa aj § 36 ods. 3 zákona o ochrane údajov z roku 2018 umožňuje, aby sa osobné údaje získané príslušným orgánom na účely presadzovania práva mohli ďalej spracúvať (či už pôvodným prevádzkovateľom alebo iným prevádzkovateľom) na akýkoľvek iný účel presadzovania práva za predpokladu, že prevádzkovateľ je zo zákona oprávnený spracúvať údaje na tento iný účel a predmetné spracovanie je nevyhnutné a primerané (199). V takom prípade sa na spracúvanie vykonávané prijímajúcim orgánom uplatnia všetky záruky stanovené v časti 3 zákona o ochrane údajov z roku 2018 a analyzované vyššie.

(124)

V právnom poriadku Spojeného kráľovstva výslovne umožňujú následné poskytovanie údajov rôzne právne predpisy. Predovšetkým v i) zákone o digitálnom hospodárstve z roku 2017 sa umožňuje vzájomné poskytovanie údajov medzi orgánmi verejnej moci na viaceré účely, napríklad v prípade akéhokoľvek podvodu voči verejnému sektoru, ktorý by zahŕňal ujmu alebo hrozbu ujmy pre orgán verejnej moci (200), resp. v prípade dlhu voči orgánu verejnej moci alebo korune (201); v ii) zákone o trestnej činnosti a súdoch z roku 2013 sa umožňuje poskytovanie informácií Národnej kriminálnej agentúre (202) na účely boja proti závažnej a organizovanej trestnej činnosti, jej vyšetrovania a stíhania; v iii) zákone o závažnej trestnej činnosti z roku 2007 sa umožňuje orgánom verejnej moci sprístupňovať informácie organizáciám na boj proti podvodom na účely predchádzania podvodom (203).

(125)

V týchto právnych predpisoch sa výslovne stanovuje, že poskytnutie informácií by sa malo uskutočniť v súlade s pravidlami stanovenými v zákona o ochrane údajov z roku 2018. Okrem toho policajná akadémia College of Policing vydala autorizovanú profesijnú prax poskytovania informácií (204) s cieľom pomôcť polícii pri plnení jej povinností v oblasti ochrany údajov podľa všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, zákona o ochrane osobných údajov a zákona o ľudských právach Spojeného kráľovstva z roku 1998. Súlad poskytnutia údajov s uplatniteľným právnym rámcom na ochranu údajov môže samozrejme podliehať súdnemu preskúmaniu (205).

(126)

Okrem toho, podobne ako v článku 9 smernice (EÚ) 2016/680, sa v zákone o ochrane údajov z roku 2018 stanovuje, že osobné údaje získané na akýkoľvek účel presadzovania práva sa môžu spracúvať na účel, ktorý nie je presadzovaním práva, ak je spracúvanie povolené zákonom (206). Tento typ poskytovania zahŕňa dva scenáre: 1. ak orgán presadzovania trestného práva poskytuje údaje orgánu na presadzovanie iného práva, ako je trestné právo, ktorý nie je spravodajskou službou (napr. finančný alebo daňový orgán, orgán na ochranu hospodárskej súťaže, úrad starostlivosti o mládež); 2. ak orgán presadzovania trestného práva poskytuje údaje spravodajskej službe. V prvom scenári bude spracúvanie osobných údajov patriť do rozsahu pôsobnosti všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ako aj do časti 2 zákona o ochrane údajov z roku 2018. Ako sa uvádza v rozhodnutí prijatom podľa nariadenia (EÚ) 2016/679, záruky stanovené vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov a v časti 2 zákona o ochrane údajov z roku 2018 poskytujú úroveň ochrany, ktorá je v zásade rovnocenná úrovni ochrany poskytovanej v rámci Únie (207).

(127)

V druhom scenári, teda pokiaľ ide o poskytovanie údajov získaných orgánom presadzovania trestného práva spravodajskej službe na účely národnej bezpečnosti, je právnym základom, ktorý umožňuje takéto poskytnutie, zákon o boji proti terorizmu z roku 2008 (208). Podľa zákona o boji proti terorizmu z roku 2008 môže každá osoba poskytnúť informácie ktorejkoľvek zo spravodajských služieb na účely plnenia ktorejkoľvek z funkcií tejto služby vrátane „národnej bezpečnosti“.

(128)

Pokiaľ ide o podmienky, za ktorých sa údaje môžu poskytovať na účely národnej bezpečnosti, zákon o spravodajských službách a zákon o bezpečnostných službách obmedzujú schopnosť spravodajských služieb získavať údaje na to, čo je nevyhnutné na plnenie ich zákonných funkcií. Príslušné orgány, ktoré patria do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018 a ktoré chcú poskytnúť údaje spravodajským službám, musia okrem funkcií týchto služieb, ktoré sú stanovené v zákone o spravodajských službách a v zákone o bezpečnostných službách, zvážiť niekoľko faktorov/obmedzení (209). V § 20 zákona o boji proti terorizmu z roku 2008 sa jasne uvádza, že akékoľvek poskytnutie údajov podľa § 19 zákona o boji proti terorizmu z roku 2008 musí byť stále v súlade s právnymi predpismi o ochrane údajov; čo znamená, že sa uplatňujú všetky obmedzenia a požiadavky zákona o ochrane údajov z roku 2018. Orgány presadzovania práva a spravodajské služby sú okrem toho orgánmi verejnej moci v zmysle zákona o ľudských právach z roku 1998, a preto musia zabezpečiť, aby konali v súlade s právami zaručenými podľa EDĽP vrátane jeho článku 8. Povedané inak, tieto požiadavky znamenajú, že každé poskytnutie údajov medzi orgánmi presadzovania práva a spravodajskými službami musí byť v súlade s právnymi predpismi o ochrane údajov a EDĽP.

(129)

Spracovanie osobných údajov prijatých alebo získaných od orgánov presadzovania práva na účely národnej bezpečnosti spravodajskými službami podlieha viacerým podmienkam a zárukám (210). Časť 4 zákon o ochrane údajov z roku 2018 sa vzťahuje na každé spracúvanie spravodajskými službami alebo v ich mene. Stanovujú sa v nej hlavné zásady ochrany údajov (zákonnosť, spravodlivosť a transparentnosť (211), obmedzenie účelu (212), minimalizácia údajov (213), správnosť (214), minimalizácia uchovávania (215) a bezpečnosť (216)), a zavádzajú sa v ňom podmienky spracúvania osobitných kategórií údajov (217), stanovujú práva dotknutých osôb (218), zavádza požiadavka špecificky navrhnutej ochrany údajov (219) a upravujú sa v ňom medzinárodné prenosy osobných údajov (220).

(130)

Zároveň sa v § 110 zákona o ochrane údajov z roku 2018 stanovuje výnimka z osobitných ustanovení v časti 4 zákona o ochrane údajov z roku 2018, ak je táto výnimka potrebná na zabezpečenie národnej bezpečnosti. V § 110 ods. 2 zákona o ochrane údajov z roku 2018 sa uvádzajú ustanovenia, z ktorých je povolená výnimka. Zahŕňa zásady ochrany údajov (okrem zásady zákonnosti), práva dotknutých osôb, povinnosť informovať Komisára pre informácie o porušení ochrany údajov, kontrolné právomoci Komisára pre informácie v súlade s medzinárodnými záväzkami, ako aj jeho niektoré právomoci v oblasti presadzovania práva, ustanovenia, na základe ktorých sa určité porušenia ochrany údajov považujú za trestný čin, a ustanovenia týkajúce sa osobitných účelov spracúvania, ako sú žurnalistické, akademické alebo umelecké účely. Tejto výnimky sa možno dovolávať na základe analýzy jednotlivých prípadov (221). Ako vysvetlili orgány Spojeného kráľovstva a potvrdila judikatúra súdov Spojeného kráľovstva, prevádzkovatelia musia zvážiť skutočné dôsledky pre národnú bezpečnosť alebo obranu, ak mali povinnosť dodržiavať konkrétne ustanovenia o ochrane údajov a ak mohli primerane dodržať toto obvyklé pravidlo bez toho, aby to malo vplyv na národnú bezpečnosť alebo obranu“ (222). To, či sa výnimka použila primerane, podlieha dohľadu Komisára pre informácie (223).

(131)

Okrem toho, pokiaľ ide o možnosť obmedziť akékoľvek z uvedených práv v záujme ochrany „národnej bezpečnosti“, v § 79 zákona o ochrane údajov z roku 2018 sa stanovuje, že prevádzkovateľ môže požiadať o osvedčenie podpísané ministrom vlády alebo generálnym prokurátorom, v ktorom sa potvrdzuje, že obmedzenie takýchto práv je (resp. v určitom čase bolo) nevyhnutným a primeraným opatrením na ochranu národnej bezpečnosti (224). Vláda Spojeného kráľovstva vydala usmernenie k osvedčeniam o záujme národnej bezpečnosti vydávaným podľa zákona o ochrane údajov z roku 20018, v ktorom sa predovšetkým zdôrazňuje, že akékoľvek obmedzenie práv dotknutých osôb na zaistenie národnej bezpečnosti musí byť primerané a nevyhnutné (225). Všetky osvedčenia o záujme národnej bezpečnosti sa musia uverejniť na webovom sídle Komisára pre informácie (226).

(132)

Osvedčenie by malo mať pevne stanovené obdobie nie dlhšie ako päť rokov, aby ho mohol výkonný orgán pravidelne preskúmavať (227). V osvedčení sa uvedú osobné údaje alebo kategórie osobných údajov, na ktoré sa vzťahuje výnimka, ako aj ustanovenia zákona o ochrane údajov z roku 2018, na ktoré sa výnimka vzťahuje (228).

(133)

Je dôležité poznamenať, že osvedčenia o záujme národnej bezpečnosti nedávajú dodatočný dôvod na to, aby boli obmedzené práva na ochranu údajov z dôvodov národnej bezpečnosti. Inými slovami, prevádzkovateľ alebo sprostredkovateľ sa môžu odvolávať na osvedčenie len vtedy, keď dospeli k záveru, že je potrebné odvolávať sa na výnimku v záujme národnej bezpečnosti, ktorá sa musí uplatňovať od prípadu k prípadu. Aj keď sa na predmetnú vec vzťahuje osvedčenie o záujme národnej bezpečnosti, Komisár pre informácie môže preskúmať, či v konkrétnom prípade bolo uplatnenie výnimky v záujme národnej bezpečnosti odôvodnené (229).

(134)

Každá osoba, ktorej sa vydanie osvedčenia priamo týka, sa môže proti osvedčeniu (230) odvolať na vyšší tribunál (Upper Tribunal) (231) alebo, ak sa v osvedčení identifikujú údaje prostredníctvom všeobecného opisu, napadnúť uplatňovanie osvedčenia na konkrétne údaje (232).

(135)

Tribunál preskúma rozhodnutie o vydaní osvedčenia a rozhodne, či existovali opodstatnené dôvody na vydanie tohto osvedčenia (233). Môže zohľadniť širokú škálu otázok vrátane nevyhnutnosti, primeranosti a zákonnosti pri zvažovaní vplyvu na práva dotknutých osôb a vyvažovaní potreby zabezpečiť národnú bezpečnosť. V dôsledku toho môže tribunál rozhodnúť, že osvedčenie sa nevzťahuje na konkrétne osobné údaje, ktoré sú predmetom odvolania (234).

(136)

Iný súbor možných obmedzení sa týka obmedzení, ktoré sa podľa prílohy 11 k zákonu o ochrane údajov z roku 2018 uplatňujú na určité ustanovenia časti 4 zákona o ochrane údajov z roku 2018 (235) s cieľom chrániť iné dôležité ciele všeobecného verejného záujmu alebo chránené záujmy, ako napríklad parlamentné výsady, dôvernosť komunikácie medzi advokátom a jeho klientom, vedenie súdnych konaní alebo bojovú účinnosť ozbrojených síl. Uplatňovanie týchto ustanovení je buď oslobodené pre určité kategórie informácií („výnimky na základe kategórie“), alebo je oslobodené v rozsahu, v akom by uplatňovanie týchto ustanovení mohlo ohroziť chránený záujem („výnimky na základe ujmy“) (236). Výnimky na základe ujmy sa môžu uplatniť len vtedy, ak by uplatňovanie uvedených ustanovení o ochrane údajov mohlo byť na ujmu príslušnému osobitnému záujmu. Použitie výnimky musí byť preto vždy odôvodnené odkazom na príslušnú ujmu, ktorá by mohla nastať v konkrétnom prípade. Výnimky na základe kategórie možno uplatniť len v súvislosti so špecifickou, úzko vymedzenou kategóriou informácií, pre ktorú sa výnimka udeľuje. Z hľadiska účelu a účinku sú podobné niekoľkým výnimkám zo všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (podľa prílohy 2 k zákonu o ochrane údajov z roku 2018), ktoré zase odrážajú výnimky stanovené v článku 23 všeobecného nariadenia o ochrane údajov.

(137)

Z uvedeného vyplýva, že obmedzenia a podmienky sú zavedené podľa platných právnych predpisov Spojeného kráľovstva, a to aj v zmysle ich výkladu súdmi a Komisie pre informácie, aby sa zabezpečilo, že tieto výnimky a obmedzenia zostanú v medziach toho, čo je nevyhnutné a primerané na ochranu národnej bezpečnosti.

(138)

Na spracúvanie osobných údajov spravodajskými službami podľa časti 4 zákona o ochrane údajov z roku 2018 dozerá Komisár pre informácie (237).

(139)

Všeobecné funkcie Komisára pre informácie v súvislosti so spracúvaním osobných údajov zo strany spravodajských služieb, ktoré patrí do rozsahu pôsobnosti časti 4 zákona o ochrane údajov z roku 2018, sú stanovené v prílohe 13 k zákonu o ochrane údajov z roku 2018. Medzi úlohy patrí (nie však výhradne) monitorovanie a presadzovanie časti 4 zákona o ochrane údajov z roku 2018, podpora informovanosti verejnosti, poradenstvo parlamentu, vláde a iným inštitúciám v oblasti legislatívnych a administratívnych opatrení, podpora informovanosti prevádzkovateľov a sprostredkovateľov o ich povinnostiach, poskytovanie informácií dotknutým osobám o uplatňovaní ich práv a vedenie vyšetrovaní.

(140)

Komisár má, podobne ako v časti 3 zákona o ochrane údajov z roku 2018, právomoc informovať prevádzkovateľov o údajnom porušení a vydávať varovania o tom, že spracúvaním môže porušovať pravidlá, ako aj vydávať napomenutia v prípade, že sa porušenie potvrdí. Môže vydávať aj presadzovacie oznámenia a oznámenia o uložení sankcie za porušenie určitých ustanovení tohto zákona (238). Na rozdiel od ostatných častí zákona o ochrane údajov z roku 2018 však Komisár nemôže národnému bezpečnostnému orgánu predložiť oznámenie o posúdení (239).

(141)

Okrem toho sa v § 110 ods. 6 zákona o ochrane údajov z roku 2018 stanovuje výnimka z využívania určitých právomocí Komisára, ak je to potrebné na účely ochrany národnej bezpečnosti. Patrí sem právomoc Komisára vydávať (akýkoľvek druh) oznámení podľa zákona o ochrane údajov (informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie a oznámenie o uložení sankcie), právomoc vykonávať inšpekcie v súlade s medzinárodnými záväzkami, právomoci na vstup a inšpekciu a pravidlá týkajúce sa trestných činov (240). Ako sa vysvetľuje v odôvodnení (136), tieto výnimky sa budú uplatňovať len vtedy, ak sú potrebné a primerané, a od prípadu k prípadu. Uplatnenie týchto výnimiek podlieha súdnemu preskúmaniu (241).

(142)

Komisár pre informácie a spravodajské služby Spojeného kráľovstva podpísali memorandum o porozumení (242), ktorým sa stanovuje rámec pre spoluprácu vo viacerých otázkach vrátane oznámení o porušení ochrany údajov a vybavovania sťažností dotknutých osôb. Konkrétne sa v ňom stanovuje, že po prijatí sťažnosti Komisár pre informácie posúdi, či sa primerane uplatnila nejaká výnimka v záujme národnej bezpečnosti. V zmysle usmernenia vlády Spojeného kráľovstva k osvedčeniam o záujme národnej bezpečnosti podľa zákona o ochrane údajov z roku 2018 musia príslušné subjekty poskytnúť odpovede na otázky, ktoré Komisár pre informácie položil v súvislosti s preskúmaním jednotlivých sťažností, do 20 pracovných dní, pričom sa použijú vhodné bezpečné kanály, ak sa týkajú utajovaných skutočností. Od apríla 2018 ku dnešnému dňu dostal Komisár pre informácie od jednotlivcov 21 sťažností na spravodajské služby. Každá sťažnosť bola posúdená a výsledok bol oznámený dotknutej osobe (243).

(143)

Parlamentný výbor pre spravodajstvo a bezpečnosť okrem toho vykonáva parlamentný dohľad nad spracúvaním údajov spravodajskými službami. Tento výbor má svoj právny základ v zákone o spravodlivosti a bezpečnosti z roku 2013 (244). Týmto zákonom sa v parlamente Spojeného kráľovstva zriaďuje výbor pre spravodajstvo a bezpečnosť. Tento výbor pozostáva z členov oboch snemovní parlamentu, pričom za členov výboru ich vymenúva predseda vlády po konzultácii s lídrom opozície (245). Výbor pre spravodajstvo a bezpečnosť je povinný predkladať parlamentu výročnú správu o plnení svojich funkcií a ďalšie správy, ktoré považuje za vhodné (246).

(144)

Od roku 2013 má výbor pre spravodajstvo a bezpečnosť väčšie právomoci vrátane dohľadu nad operačnými činnosťami bezpečnostných služieb. Podľa § 2 zákona o spravodlivosti a bezpečnosti z roku 2013 má tento výbor za úlohu dohliadať na výdavky, správu, politiku a činnosť služieb v oblasti národnej bezpečnosti. V zákone o spravodlivosti a bezpečnosti z roku 2013 sa uvádza, že výbor pre spravodajstvo a bezpečnosť môže prešetrovať operačné záležitosti, ak nesúvisia s prebiehajúcimi operáciami (247). V memorande o porozumení medzi predsedom vlády a výborom pre spravodajstvo a bezpečnosť (248) sa podrobne uvádzajú prvky, ktoré sa majú zohľadniť pri posudzovaní toho, či určitá činnosť nie je súčasťou žiadnej prebiehajúcej operácie (249). Výbor pre spravodajstvo a bezpečnosť môže o prešetrenie prebiehajúcich operácií požiadať aj predseda vlády a tento výbor môže preskúmavať aj informácie, ktoré poskytli služby dobrovoľne.

(145)

Podľa prílohy 1 k zákonu o spravodlivosti a bezpečnosti z roku 2013 môže výbor pre spravodajstvo a bezpečnosť požiadať vedúcich ktorejkoľvek z troch spravodajských služieb o poskytnutie akýchkoľvek informácií. Daná služba nemusí tieto informácie sprístupniť, len ak príslušný minister neuplatnil právo veta (250). Orgány Spojeného kráľovstva ozrejmili, že v praxi bol tomuto výboru zamietnutý prístup len k veľmi málo informáciám (251).