(1)

Direktiva (EU) 2016/680 določa pravila za prenos osebnih podatkov od pristojnih organov v Uniji v tretje države in mednarodne organizacije, če taki prenosi spadajo na področje uporabe navedene direktive. Pravila o mednarodnih prenosih podatkov s strani pristojnih organov so določena v poglavju V Direktive (EU) 2016/680, natančneje v členih 35 do 40. Čeprav je za učinkovito sodelovanje na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ključen pretok osebnih podatkov v države zunaj Evropske unije in iz njih, je treba zagotoviti, da s takimi prenosi ni ogrožena raven varstva osebnih podatkov, ki se zagotavlja v Evropski uniji (2).

(2)

V skladu s členom 36(3) Direktive (EU) 2016/680 lahko Komisija z izvedbenim aktom sklene, da tretja država, ozemlje ali eden ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva. Na podlagi tega pogoja se lahko prenosi osebnih podatkov v tretjo državo izvedejo, ne da bi bilo treba pridobiti dodatno dovoljenje (razen če mora druga država članica, iz katere so bili podatki pridobljeni, dati svoje soglasje za prenos), kot je določeno v členu 35(1) in uvodni izjavi 66 Direktive (EU) 2016/680.

(3)

Kot je določeno v členu 36(2) Direktive (EU) 2016/680, mora sprejetje sklepa o ustreznosti temeljiti na celoviti analizi pravnega reda tretje države. Komisija mora v oceni opredeliti, ali zadevna tretja država zagotavlja raven varstva, ki je „v osnovi enakovredna“ tisti, zagotovljeni v Evropski uniji (uvodna izjava 67 Direktive (EU) 2016/680). Standard, po katerem se ocenjuje dejstvo, da je raven varstva „v osnovi enakovredna“, je določen v zakonodaji EU, zlasti v Direktivi (EU) 2016/680, in sodni praksi Sodišča Evropske unije (3). V tem pogledu je pomemben tudi referenčni dokument Evropskega odbora za varstvo podatkov o ustreznosti (4).

(4)

Kot je pojasnilo Sodišče Evropske unije, v ta namen ni treba ugotavljati povsem enake ravni varstva (5). To pomeni zlasti, da lahko zadevna tretja država za varstvo osebnih podatkov uporablja drugačna sredstva od tistih, ki jih uporablja Evropska unija, če se v praksi izkaže, da so učinkovita pri zagotavljanju ustrezne ravni varstva (6). Standard ustreznosti torej ne zahteva dobesednega prepisa pravil Unije. Bolj kot to preskus temelji na proučitvi, ali tuji sistem kot celota prek vsebine pravic do zasebnosti ter njihovega učinkovitega izvajanja, nadzora in izvrševanja zagotavlja zahtevano raven varstva (7).

(5)

Komisija je pozorno analizirala ustrezno zakonodajo in prakso Združenega kraljestva. Na podlagi v nadaljevanju navedenih ugotovitev sklepa, da Združeno kraljestvo zagotavlja ustrezno raven varstva osebnih podatkov, ki se prenašajo od pristojnih organov v Uniji, kar spada na področje uporabe Direktive (EU) 2016/680, pristojnim organom v Združenem kraljestvu, kar spada na področje uporabe dela 3 zakona o varstvu podatkov iz leta 2018 (Data Protection Act 2018) (8).

(6)

Učinek tega sklepa je, da se taki prenosi lahko izvajajo za obdobje štirih let z morebitno možnostjo podaljšanja, ne da bi bilo potrebno dodatno dovoljenje in brez poseganja v pogoje iz člena 35 Direktive (EU) 2016/680.

(7)

Združeno kraljestvo je parlamentarna demokracija. Ima suveren parlament, ki je nad vsemi drugimi vladnimi institucijami, izvršilno vejo oblasti, ki izhaja iz parlamenta in je temu tudi odgovorna, ter neodvisno sodstvo. Izvršilna veja oblasti, katere pristojnosti temeljijo na zmožnosti, da uživa zaupanje izvoljenega spodnjega doma parlamenta Združenega kraljestva, je odgovorna obema domovoma parlamenta (spodnjemu in zgornjemu domu parlamenta Združenega kraljestva), ki sta odgovorna za pregled dela vlade ter razpravo o zakonih in njihovo sprejemanje. Parlament Združenega kraljestva je odgovornost za sprejemanje zakonodaje o nekaterih domačih vprašanjih na Škotskem, v Walesu in na Severnem Irskem prenesel na škotski parlament, valižanski parlament (Senedd Cymru) in skupščino Severne Irske. O vprašanju varstva podatkov lahko razpravlja samo parlament Združenega kraljestva, tj. ista zakonodaja se uporablja po vsej državi, druga področja politike, ki se nanašajo na ta sklep, pa so delegirana. Pristojnosti na področju sistemov kazenskega pravosodja na Škotskem in Severnem Irskem, vključno s policijskim delom (dejavnosti, ki jih izvaja policija), so bile na primer prenesene na škotski parlament oziroma na skupščino Severne Irske (9).

(8)

Čeprav Združeno kraljestvo nima kodificirane ustave v običajnem pomenu uveljavljene ustanovne listine, so se sčasoma razvijala ustavna načela, zlasti na podlagi sodne prakse in družbenih norm. Priznana je bila ustavnopravna vrednost določenih listin in predpisov, kot so Magna Carta, Bill of Rights iz leta 1689 in zakon o človekovih pravicah iz leta 1998 (Human Rights Act 1998). Kot del ustave so se z občim pravom (common law), navedenimi listinami in predpisi in mednarodnimi pogodbami, zlasti Evropsko konvencijo o človekovih pravicah (EKČP), ki jo je Združeno kraljestvo ratificiralo leta 1951, razvile temeljne pravice posameznikov. Združeno kraljestvo je leta 1987 ratificiralo tudi Konvencijo Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (10).

(9)

Z zakonom o človekovih pravicah iz leta 1998 so bile pravice iz EKČP vključene v pravo Združenega kraljestva. S tem zakonom so vsem posameznikom podeljene temeljne pravice in svoboščine iz členov 2 do 12 in 14 EKČP ter členov 1 do 3 Protokola št. 1 k EKČP in člena 1 Protokola št. 13 k EKČP v povezavi s členi 16 do 18 EKČP. To zajema pravico do spoštovanja zasebnega in družinskega življenja, ki vključuje tudi pravico do varstva podatkov, in pravico do poštenega sojenja (11). Natančneje, v skladu s členom 8 EKČP se lahko javna oblast vmešava v izvrševanje pravice do zasebnosti le, če je to določeno z zakonom, kadar je nujno v demokratični družbi zaradi nacionalne varnosti, javne varnosti ali ekonomske blaginje države, zato da se prepreči nered ali kaznivo dejanje, da se zavaruje zdravje ali morala ali da se zavarujejo pravice in svoboščine drugih ljudi.

(10)

V skladu z zakonom o človekovih pravicah iz leta 1998 mora biti vsak ukrep javnih organov združljiv s pravico, ki jo zagotavlja EKČP (12). Poleg tega je treba primarno in sekundarno zakonodajo razumeti in izvajati tako, da sta združljivi z navedenimi pravicami (13). Če posameznik meni, da so javni organi kršili njegove pravice, vključno s pravico do zasebnosti in varstva podatkov, lahko pri sodiščih Združenega kraljestva uveljavlja pravna sredstva na podlagi zakona o človekovih pravicah iz leta 1998, ko izčrpa vsa nacionalna pravna sredstva, pa lahko zaradi kršitve pravic, zagotovljenih na podlagi EKČP, uveljavlja pravna sredstva pri Evropskem sodišču za človekove pravice.

(11)

Združeno kraljestvo je 31. januarja 2020 izstopilo iz Unije. Na podlagi Sporazuma o izstopu Združenega kraljestva Velika Britanija in Severna Irska iz Evropske unije in Evropske skupnosti za atomsko energijo (14) se je v Združenem kraljestvu v prehodnem obdobju do 31. decembra 2020 še naprej uporabljalo pravo Unije. Pred izstopom in v prehodnem obdobju je bil zakonodajni okvir o varstvu osebnih podatkov v Združenem kraljestvu, ki ureja obdelavo osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, sestavljen iz pomembnih delov zakona o varstvu podatkov iz leta 2018 (Data Protection Act 2018), s katerim je bila v nacionalno zakonodajo prenesena Direktiva (EU) 2016/680.

(12)

Vlada Združenega kraljestva je za pripravo na izstop iz EU sprejela zakon iz leta 2018 o izstopu iz Evropske unije (European Union (Withdrawal) Act 2018) (v nadaljnjem besedilu: zakon o izstopu iz EU) (15), ki je zakonodajo Unije, ki se neposredno uporablja, vključil v zakonodajo Združenega kraljestva in določil, da se t. i. domača zakonodaja, ki izhaja iz EU, še naprej uporablja do konca prehodnega obdobja. Del 3 zakona o varstvu podatkov iz leta 2018 (16), s katerim se Direktiva (EU) 2016/680 prenaša v nacionalno zakonodajo, pomeni domačo zakonodajo, ki izhaja iz EU, v skladu z zakonom o izstopu iz EU. Sodišča Združenega kraljestva morajo v skladu z zakonom o izstopu iz EU nespremenjeno domačo zakonodajo, ki izhaja iz EU, razlagati v skladu z ustrezno sodno prakso Sodišča Evropske unije (v nadaljnjem besedilu: Sodišče) in splošnimi načeli prava Unije, kot so učinkovala tik pred koncem prehodnega obdobja (tako imenovana ohranjena sodna praksa EU oziroma ohranjena splošna načela prava EU) (17).

(13)

Ministri Združenega kraljestva lahko na podlagi zakona o izstopu iz EU sprejemajo sekundarno zakonodajo v obliki aktov z zakonsko močjo, da se v ohranjeno pravo EU uvedejo potrebne spremembe, ki so posledica izstopa Združenega kraljestva iz Unije. To pooblastilo je bilo izvršeno s predpisi o varstvu podatkov, zasebnosti in elektronski komunikaciji (spremembe itd.) (izstop iz EU) iz leta 2019 (Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 ali DPPEC Regulations) (v nadaljnjem besedilu: predpisi DPPEC) (18). S temi predpisi se zakonodaja Združenega kraljestva o varstvu podatkov, vključno z zakonom o varstvu podatkov iz leta 2018, spreminja tako, da ustreza domačemu kontekstu (19).

(14)

Zato bodo pravni standardi za obdelavo osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, v Združenem kraljestvu po prehodnem obdobju v skladu s sporazumom o izstopu še naprej določeni v pomembnih delih zakona o varstvu podatkov iz leta 2018, vendar kakor je bil spremenjen s predpisi DPPEC, zlasti v delu 3 navedenega zakona. Splošna uredba o varstvu podatkov, kakor se uporablja v Združenem kraljestvu (UK GDPR), se za tovrstno obdelavo ne uporablja.

(15)

Del 3 zakona o varstvu podatkov iz leta 2018 določa pravila za obdelavo osebnih podatkov za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, vključno z načeli o varstvu podatkov, pravnimi podlagami za obdelavo (zakonitost), pravicami posameznikov, na katere se nanašajo osebni podatki, obveznostmi pristojnih organov kot upravljavcev in omejitvami nadaljnjih prenosov podatkov. Obenem so veljavna pravila za nadzor, izvrševanje in sodno varstvo, ki se uporabljajo na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, določena v delih 5 in 6 zakona o varstvu podatkov iz leta 2018.

(16)

Poleg tega je treba glede na pomembno vlogo policije na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj upoštevati pravila, ki urejajo policijsko delo. Policijsko delo se izvaja decentralizirano, zato se za policijsko delo (a) v Angliji in Walesu, (b) na Škotskem in (c) na Severnem Irskem uporabljajo različni zakonodajni akti, ki pa so po svoji vsebini pogosto podobni (20). Poleg tega različne vrste smernic vsebujejo dodatna pojasnila o načinu uporabe pristojnosti policije. Obstajajo tri glavne oblike smernic za policijsko delo: 1) zakonsko predpisane smernice, izdane v skladu z zakonodajo, kot so etični kodeks (Code of Ethics) (21) in kodeks ravnanja pri upravljanju policijskih informacij (Code of Practice on the Management of Police Information) (22), izdan v skladu z zakonom o policiji iz leta 1996 (23), ali kodeksi PACE (24), izdani v skladu z zakonom o policijskih dokazih in dokazih v kazenskih postopkih (25), 2) smernice o dovoljeni strokovni praksi pri upravljanju policijskih informacij (Authorised Professional Practice on the Management of Police Information) (26), ki jih je objavil strokovni organ uslužbencev policije (College of Policing), ter 3) operativne smernice (ki jih je objavila policija). Svet nacionalnih načelnikov policije (National Police Chiefs Council) (usklajevalni organ za vse policijske službe Združenega kraljestva) objavlja operativne smernice, ki so jih podprle vse policijske službe in se zato uporabljajo na nacionalni ravni (27). Namen teh smernic je zagotoviti skladnost med službami glede načina upravljanja informacij (28).

(17)

Kodeks ravnanja pri upravljanja policijskih informacij je pristojni minister objavil leta 2005, pri čemer je uporabil pooblastila iz člena 39A zakona o policiji iz leta 1996 (29). Vsak kodeks ravnanja, izdan na podlagi zakona o policiji, mora odobriti pristojni minister, preden je predložen parlamentu, pa se je treba o njem posvetovati z nacionalno agencijo za boj proti kriminalu (National Crime Agency). Člen 39A(7) zakona o policiji določa, da mora policija ustrezno upoštevati kodekse, izdane na podlagi zakona, zaradi česar se pričakuje, da policija ravna skladno z njimi (30). Poleg tega morajo biti nezavezujoče smernice (kot so smernice o dovoljeni strokovni praksi pri upravljanju policijskih informacij) vedno skladne s kodeksom ravnanja pri upravljanju policijskih informacij, ki je nadrejeni akt (31). Čeprav se lahko v določenih operativnih razmerah zgodi, da morajo policisti odstopati od teh smernic, morajo vsekakor še vedno izpolnjevati zahteve iz dela 3 zakona o varstvu podatkov iz leta 2018 (32).

(18)

Dodatne smernice v zvezi z zakonodajo Združenega kraljestva o varstvu podatkov za obdelavo na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj zagotavlja informacijski pooblaščenec (33) (za dodatne podrobnosti o uradu informacijskega pooblaščenca glej uvodne izjave od (93) do (109)). Čeprav navedene smernice niso pravno zavezujoče, bi bila sodišča v sodnem postopku zavezana upoštevati vsako kršitev teh smernic, saj imajo razlagalno vrednost in prikazujejo, kako informacijski pooblaščenec v praksi razlaga in izvaja zakonodajo o varstvu podatkov (34).

(19)

Nazadnje, organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj Združenega kraljestva morajo, kot je navedeno v uvodnih izjavah od (8) do (10), zagotoviti skladnost z EKČP in Konvencijo Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov.

(20)

Pravni okvir, ki ureja obdelavo osebnih podatkov s strani organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj Združenega kraljestva, je torej po strukturi in glavnih elementih zelo podoben okviru, ki se uporablja v EU. V to je zajeto dejstvo, da okvir ne temelji le na obveznostih iz domačega prava, ki jih je oblikovalo pravo EU, temveč tudi na obveznostih, kot so določene v mednarodnem pravu, zlasti s pristopom Združenega kraljestva k EKČP in Konvenciji Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov ter njegovim priznavanjem pristojnosti Evropskega sodišča za človekove pravice. Te obveznosti, ki izhajajo iz pravno zavezujočih mednarodnih instrumentov, ki se nanašajo zlasti na varstvo osebnih podatkov, so torej še posebno pomemben element pravnega okvira, ki se ocenjuje v tem sklepu.

(21)

Stvarno področje uporabe dela 3 zakona o varstvu podatkov iz leta 2018 sovpada s področjem uporabe Direktive (EU) 2016/680, kot je določeno v členu 2(2) Direktive. Del 3 se uporablja za obdelavo osebnih podatkov, ki jo pristojni organ v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so že ali bodo del zbirke in ki je pristojni organ ne izvaja z avtomatiziranimi sredstvi.

(22)

Da bi upravljavec spadal na področje uporabe dela 3, mora biti pristojni organ, obdelava pa mora biti izvedena za namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj. Ureditev varstva podatkov, ki se ocenjuje v tem sklepu, se torej uporablja za vse dejavnosti teh pristojnih organov na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj.

(23)

Pojem „pristojni organ“ je opredeljen v členu 30 zakona o varstvu podatkov kot oseba iz dodatka 7 k zakonu o varstvu podatkov iz leta 2018 ter vsaka druga oseba, kolikor ima ta oseba zakonske pristojnosti za kateri koli namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj. Pristojni organi iz dodatka 7 ne zajemajo le policije, temveč tudi vse ministrske in vladne oddelke Združenega kraljestva ter druge organe s preiskovalnimi nalogami (npr. vodja oddelkov davčne in carinske uprave Združenega kraljestva (Commissioner for Her Majesty’s Revenue and Customs), valižanska davčna uprava (Welsh Revenue Authority), organ, pristojen za konkurenco in trge (Competition and Markets Authority), zemljiška knjiga Združenega kraljestva (Her Majesty’s Land Register) ali nacionalna agencija za boj proti kriminalu), organe, pristojne za pregon, druge organe kazenskega pravosodja in druge nosilce pooblastil ali organizacije, ki izvajajo dejavnosti preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (35). Del 3 zakona o varstvu podatkov iz leta 2018 se uporablja tudi za sodišča, kadar izvajajo sodne funkcije, razen za del, povezan s pravicami posameznika, na katerega se nanašajo osebni podatki, in nadzorom, ki ga izvaja urad informacijskega pooblaščenca (36). Seznam pristojnih organov, naveden v dodatku 7, ni dokončen in ga lahko posodobi pristojni minister s predpisi, s katerimi se upoštevajo spremembe v organizaciji javnih funkcij (37).

(24)

Zadevna obdelava mora biti tudi za namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, pri čemer je ta namen opredeljen kot preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem (38). Kadar se obdelava, ki jo izvajajo pristojni organi, ne izvaja za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, ni urejena z delom 3 zakona o varstvu podatkov iz leta 2018. Tako je na primer, ko organ, pristojen za konkurenco in trge, preiskuje primere, ki niso inkriminirani (npr. združitve med podjetji). V tem primeru se uporablja UK GDPR skupaj z delom 2 zakona o varstvu podatkov iz leta 2018, saj pristojni organi obdelavo osebnih podatkov izvajajo za namene, ki niso preprečevanje, odkrivanje in preiskovanje kaznivih dejanj. Da bi se določilo, katera ureditev varstva podatkov (del 3 ali del 2 zakona o varstvu podatkov iz leta 2018) se uporablja pri posamezni obdelavi osebnih podatkov, mora pristojni organ, tj. upravljavec, proučiti, ali je glavni namen take obdelave eden od namenov preprečevanja, odkrivanja in preiskovanja kaznivih dejanj v skladu z navedenim zakonom.

(25)

V členu 207(2) zakona je glede ozemeljske veljavnosti dela 3 zakona o varstvu podatkov iz leta 2018 določeno, da se navedeni zakon uporablja za obdelavo osebnih podatkov v kontekstu dejavnosti osebe, ki ima ustanovitev na ozemlju Združenega kraljestva. To vključuje javne organe ozemelj Anglije, Walesa, Škotske in Severne Irske, ki spadajo na ozemeljsko področje uporabe dela 3 zakona o varstvu podatkov iz leta 2018 (39).

(26)

Ključna pojma osebni podatki in obdelava sta opredeljena v delu 3 zakona o varstvu podatkov iz leta 2018 in se uporabljata v celotnem zakonu. Opredelitve natančno sledijo ustreznim opredelitvam iz člena 3 Direktive (EU) 2016/680. V skladu z zakonom o varstvu podatkov iz leta 2018 pojem osebni podatki zajema vse informacije, ki se nanašajo na določenega ali določljivega živega posameznika (40). V skladu s členom 3(3) zakona o varstvu podatkov iz leta 2018 je določljiv posameznik tisti, ki ga je mogoče neposredno ali posredno določiti na podlagi informacij, vključno z navedbo imena ali identifikatorja ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Pojem „obdelava“ je opredeljen kot dejanje ali niz dejanj, ki se izvaja v zvezi z informacijami ali nizi informacij, kot so (a) zbiranje, beleženje, urejanje, strukturiranje ali shranjevanje, (b) prilagajanje ali spreminjanje, (c) priklic, vpogled ali uporaba, (d) razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, (e) prilagajanje ali kombiniranje ali (f) omejevanje, izbris ali uničenje. Poleg tega je v zakonu pojem „obdelava občutljivih podatkov“ opredeljen kot (a) obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, vero ali filozofsko prepričanje ali članstvo v sindikatu; (b) obdelava genskih podatkov ali biometričnih podatkov za namene edinstvene identifikacije posameznika; (c) obdelava podatkov o zdravstvenem stanju ter (d) obdelava podatkov v zvezi s spolnim življenjem ali spolno usmerjenostjo posameznika“ (41). V členu 205 zakona o varstvu podatkov iz leta 2018 so v zvezi s tem opredeljeni pojmi „biometrični podatki“ (42), „podatki o zdravstvenem stanju“ (43) in „genski podatki“ (44).

(27)

V členu 32 zakona o varstvu podatkov iz leta 2018 sta pojasnjeni opredelitvi pojmov „upravljavec“ in „obdelovalec“ v kontekstu obdelave osebnih podatkov za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, ki natančno sledita ustreznim opredelitvam iz Direktive (EU) 2016/680. Upravljavec pomeni pristojni organ, ki določa namene in sredstva obdelave osebnih podatkov. Kadar obdelavo določa pravo, je upravljavec tisti pristojni organ, ki mu to pravo nalaga tako obveznost. Obdelovalec je opredeljen kot oseba, ki obdeluje osebne podatke v imenu upravljavca (ki ni oseba, zaposlena pri upravljavcu).

(28)

V skladu s členom 35 zakona o varstvu podatkov iz leta 2018 mora biti obdelava osebnih podatkov zakonita in poštena, in to na podoben način, kot je določen v členu 4(l)(a) Direktive (EU) 2016/680. V skladu s členom 35(2) zakona o varstvu podatkov iz leta 2018 je obdelava osebnih podatkov za kateri koli namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj zakonita le, če temelji na pravu in je posameznik, na katerega se nanašajo osebni podatki, privolil v njihovo obdelavo za navedeni namen, ali pa je obdelava potrebna za opravljanje naloge, ki jo v ta namen izvaja pristojni organ.

(29)

Za zakonitost obdelave, ki spada v del 3 zakona o varstvu podatkov iz leta 2018, mora taka obdelava podobno kot v členu 8 Direktive (EU) 2016/680 „temeljiti na pravu“. „Zakonita“ obdelava pomeni, da jo dovoljujejo predpisi, obče pravo ali posebne kraljeve pravice (45).

(30)

Pooblastila pristojnih organov so na splošno urejena s predpisi, kar pomeni, da so njihove naloge in pristojnosti jasno določene v zakonodaji, ki jo sprejme Parlament (46). Policija in drugi pristojni organi iz dodatka 7 k zakonu o varstvu podatkov iz leta 2018 se lahko v nekaterih primerih pri obdelavi podatkov sklicujejo na obče pravo (47). Obče pravo se je oblikovalo s precedensi, določenimi v odločbah sodišč. Obče pravo je pomembno v smislu pooblastil, ki jih ima na voljo policija, ki iz tega pravnega vira pridobiva svoje temeljne dolžnosti, tj. varovanje javnosti z odkrivanjem in preprečevanjem kaznivih dejanj (48). Vendar policija pri izvajanju takih dolžnosti uporablja obče pravo in zakonodajna pooblastila (49). Kadar ima policija zakonska pooblastila, ta nadomeščajo vsa pooblastila, ki izhajajo iz občega prava (50).

(31)

Sodišča so priznala, da so v obseg pooblastil in obveznosti policijskega uradnika na podlagi občega prava vključeni „vsi koraki, ki se mu zdijo potrebni za zagotavljanje miru, preprečevanje kaznivih dejanj ali varovanje lastnine pred škodo, povzročeno s kaznivim dejanjem“ (51). Pooblastila na podlagi občega prava niso neomejena. Imajo številne omejitve, vključno s tistimi, ki sta jih uvedla sodišče (52) in zakonodaja, zlasti zakon o človekovih pravicah iz leta 1998 in zakon o enakosti iz leta 2010 (Equality Act 2010) (53). Za pristojne organe, ki obdelujejo podatke v skladu z delom 3 zakona o varstvu podatkov iz leta 2018, je v to zajeto tudi, da se pooblastila na podlagi občega prava izvajajo skladno z zahtevami iz navedenega zakona (54). Pri odločitvi o izvedbi kakršne koli obdelave podatkov je treba proučiti zahteve iz veljavnih smernic, kot je kodeks ravnanja glede upravljanja policijskih informacij, in smernic specifično za eno od držav Združenega kraljestva (55). Številne smernice, ki jih izdajo vlada in policijski organi, zagotavljajo, da policijski uradniki izvajajo pooblastila v omejitvah, ki jih določa obče pravo ali ustrezni predpis (56).

(32)

Posebne kraljeve pravice, ki so še en sestavni del prava, se nanašajo na določene pristojnosti, podeljene kroni, ki jih lahko izvaja izvršilna veja oblasti in ne temeljijo na predpisu, temveč izhajajo iz suverenosti monarha (57). V okviru preprečevanja, odkrivanja in preiskovanja kaznivih dejanj je pomembnih zelo malo primerov posebnih pristojnosti. Vključujejo na primer okvir medsebojne pravne pomoči, ki pristojnemu ministru omogoča, da si za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj izmenjuje podatke s tretjimi državami, pristojnost za izmenjavo informacij na ta način pa ni vedno določena v predpisih (58). Posebne kraljeve pravice zavezujejo načela občega prava (59) in so podrejene zakonskim aktom, zato zanje veljajo omejitve iz zakona o človekovih pravicah iz leta 1998 in zakona o varstvu podatkov iz leta 2018 (60).

(33)

V ureditvi Združenega kraljestva se podobno kot v členu 8 Direktive (EU) 2016/680 zahteva, da morajo pristojni organi za upoštevanje načela zakonitosti zagotoviti, da mora biti obdelava, kadar temelji na pravu, tudi potrebna za opravljanje naloge, ki se izvaja za namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj. Urad informacijskega pooblaščenca v smernicah v zvezi s tem pojasnjuje, da „mora biti usmerjen in sorazmeren način za dosego namena. Pravna podlaga se ne bo uporabljala, če se lahko namen razumno doseže z drugimi manj vsiljivimi sredstvi. Ne zadostuje trditev, da je obdelava potrebna, ker ste se odločili za določen način opravljanja poslovne dejavnosti. Vprašanje je, ali je obdelava za navedeni namen potrebna“ (61).

(34)

V členu 35(2) zakona o varstvu podatkov iz leta 2018 je določena možnost obdelave osebnih podatkov na podlagi privolitve posameznika, kot je navedeno v uvodni izjavi (28).

(35)

Vendar se zdi, da privolitev ni pravna podlaga, ki bi bila ustrezna za dejanja obdelave, ki spadajo na področje uporabe tega sklepa. Dejanja obdelave, ki jih zajema ta sklep, se bodo vedno nanašala na podatke, ki so jih pristojni organ države članice v skladu z Direktivo (EU) 2016/680 prenesli pristojnemu organu Združenega kraljestva. Zato običajno ne bodo zajemala neposrednega stika (zbiranje) med javnim organom in posamezniki, na katere se nanašajo osebni podatki, ki lahko temelji na privolitvi v skladu s členom 35(2)(a) zakona o varstvu podatkov iz leta 2018.

(36)

Čeprav se sklicevanje na privolitev pri oceni, izvedeni v skladu s tem sklepom, ne šteje za pomembno, je treba zaradi popolnosti opozoriti, da obdelava v okviru preprečevanja, odkrivanja in preiskovanja kaznivih dejanj nikoli ne temelji izključno na privolitvi, saj mora pristojni organ vedno imeti osnovno pristojnost, s katero je njegova obdelava podatkov upravičena (62). Podobno kot je to dovoljeno v skladu z Direktivo (EU) 2016/680 (63), to bolj konkretno pomeni, da se privolitev uporablja kot dodatni pogoj, da se omogočijo določena omejena in specifična dejanja obdelave, ki jih sicer ne bi bilo mogoče izvesti, na primer zbiranje in obdelava vzorcev DNK posameznika, ki ni osumljenec. Obdelava se v tem primeru ne bi izvajala, če privolitev ni bila dana ali je preklicana (64).

(37)

V primerih, v katerih je potrebno privoljenje posameznika, mora biti tako privoljenje nedvoumno in mora zajemati jasno pritrdilno dejanje (65). Policija mora imeti obvestilo o varovanju zasebnosti, ki med drugim vključuje potrebne informacije, povezane z veljavno uporabo privolitve. Poleg tega nekateri oddelki policije objavljajo dodatno gradivo o tem, kako zagotavljajo skladnost z zakonodajo o varstvu podatkov, vključno z navedbo, kako in kdaj bodo privolitev uporabili kot pravno podlago (66).

(38)

Glede obdelave posebnih vrst podatkov bi morali veljati posebni zaščitni ukrepi. V zvezi s tem so v delu 3 zakona o varstvu podatkov iz leta 2018, podobno kot je določeno v členu 10 Direktive (EU) 2016/680, določeni strožji zaščitni ukrepi za t. i. obdelavo občutljivih podatkov (67).

(39)

V skladu s členom 35(3) zakona o varstvu podatkov iz leta 1998 lahko pristojni organi obdelujejo občutljive podatke za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj le v dveh primerih: (1) posameznik, na katerega se nanašajo osebni podatki, je privolil v njihovo obdelavo za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj in ko se obdelava izvaja, ima upravljavec sestavljen dokument o ustrezni politiki (Appropriate Policy Document) (68) ali (2) obdelava je nujno potrebna za namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj in izpolnjuje vsaj enega od pogojev iz dodatka 8 k zakonu o varstvu podatkov iz leta 2018 ter ko se obdelava izvaja, ima upravljavec sestavljen dokument o ustrezni politiki (69).

(40)

Kar zadeva prvi primer in kot je pojasnjeno v uvodni izjavi 38, se pri tovrstnem prenosu sklicevanje na privolitev ne šteje za ustrezno v skladu s tem sklepom (70).

(41)

Kadar se pri obdelavi občutljivih podatkov ni mogoče sklicevati na privolitev, se lahko obdelava izvede z uporabo enega od pogojev iz dodatka 8 k zakonu o varstvu podatkov iz leta 2018. Ti pogoji se nanašajo na obdelavo, ki je potrebna za namene, opredeljene z zakonom, izvajanje sodne oblasti, zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, varstvo otrok in ogroženih posameznikov, pravne zahtevke, sodne akte, preprečevanje goljufij, arhiviranje, kadar posameznik, na katerega se nanašajo osebni podatki, sam objavi osebne podatke. Za vse pogoje iz dodatka 8 razen primera, ko posameznik sam objavi osebne podatke, velja preskus nujne potrebnosti. Urad informacijskega pooblaščenca je pojasnil, da „nujna potrebnost v tem kontekstu pomeni, da se mora obdelava nanašati na nujno družbeno potrebo, ki se je ne da razumno doseči z manj vsiljivimi sredstvi“ (71). Poleg tega za nekatere od pogojev veljajo dodatne omejitve. Na primer za sklicevanje na pogoj „namenov, opredeljenih z zakonom“ in „pogoj varstva“ (odstavka 1 in 4 dodatka 8) je treba opraviti dodaten preskus bistvenega javnega interesa. V zvezi s pogoji, ki se nanašajo na varstvo otroka (odstavek 4 dodatka 8), mora biti posameznik, na katerega se nanašajo osebni podatki, določene starosti in se šteti za ogroženega. Poleg tega lahko upravljavec uporabi pogoj iz odstavka 4 dodatka 8 le v primeru posebnih okoliščin (72). Podobne omejitve veljajo za pogoja „sodnih aktov“ in „preprečevanja goljufij“ (odstavka 7 oziroma 8 dodatka 8). Oba veljata le za posebne upravljavce. Le sodišče ali drug pravosodni organ lahko uporabi pogoj sodnih aktov in le upravljavci, ki so organizacije za boj proti goljufijam, se lahko sklicujejo na pogoj preprečevanja goljufij.

(42)

Nazadnje, kadar se obdelava opira na enega od pogojev iz dodatka 8 oziroma je skladna s členom 42 k zakonu o varstvu podatkov iz leta 2018, mora biti sestavljen dokument o ustrezni politiki, v katerem so pojasnjeni postopki upravljavca za zagotavljanje skladnosti z načeli o varstvu podatkov in njegova politika glede hrambe in izbrisa osebnih podatkov, in uporabljajo se obveznosti razširjene evidence.

(43)

Osebni podatki bi se morali obdelovati za določen namen in se nato uporabljati samo, če to ni nezdružljivo z namenom obdelave. To načelo o varstvu podatkov je zagotovljeno s členom 36 zakona o varstvu podatkov iz leta 2018. Ta določba podobno kot člen 4(1)(b) Direktive (EU) 2016/680 zahteva, da (a) mora biti namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, za katerega so osebni podatki zbrani, vsakič določen, izrecen in zakonit ter (b) da se tako zbrani osebni podatki ne smejo obdelovati na način, ki je nezdružljiv z namenom, za katerega so bili zbrani.

(44)

Kadar pristojni organi obdelujejo podatke za namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, lahko to zajema namene arhiviranja, znanstveno- ali zgodovinskoraziskovalne namene in statistične namene (73). V takih primerih je v zakonu o varstvu podatkov iz leta 2018 tudi pojasnjeno, da arhiviranje (ali obdelava za znanstveno- ali zgodovinskoraziskovalne namene in statistične namene) ni dovoljeno, kadar se izvaja v zvezi z odločitvami, sprejetimi glede določenega posameznika, na katerega se nanašajo osebni podatki, ali če je verjetno, da bi mu to povzročilo znatno škodo ali stisko (74).

(45)

Podatki morajo biti točni in, kjer je to potrebno, ažurirani. Podatki morajo biti tudi ustrezni, relevantni in ne smejo presegati namenov, za katere se obdelujejo. Ta načela so podobno, kot je določeno v členu 4(1)(c), (d) in (e) Direktive (EU) 2016/680, zagotovljena s členoma 37 in 38 zakona o varstvu podatkov iz leta 2018. Sprejeti je treba vse razumne korake, da bi se netočni osebni podatki (75) čim prej izbrisali ali popravili (76), pri čemer se upošteva namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, za katerega se obdelujejo (77), ter da bi se zagotovilo, da se osebni podatki, ki so netočni, nepopolni ali neposodobljeni, ne posredujejo ali dajo na voljo za kateri koli namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (78).

(46)

V ureditvi varstva podatkov Združenega kraljestva je nadalje podobno kot v členu 7 Direktive (EU) 2016/680 določeno, da se osebni podatki, ki temeljijo na dejstvih, v največji možni meri razločijo od osebnih podatkov, ki temeljijo na osebnih ocenah (79). Kjer je to ustrezno in če je mogoče, je treba uvesti jasno razlikovanje med osebnimi podatki, ki se nanašajo na različne kategorije posameznikov, na katere se nanašajo osebni podatki, kot so osumljenci, osebe, obsojene za kaznivo dejanje, žrtve kaznivega dejanja in priče (80).

(47)

V skladu s členom 5 Direktive (EU) 2016/680 se osebni podatki načeloma ne bi smeli hraniti dlje, kot je potrebno za namene, za katere se obdelujejo. V skladu s členom 39 zakona o varstvu podatkov iz leta 2018 in podobno kot v členu 5 navedene direktive je obdelane osebne podatke za kateri koli namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj prepovedano hraniti dlje, kot je potrebno za namen, za katerega se obdelujejo. V pravni ureditvi v Združenem kraljestvu je zahteva, da morajo biti določeni ustrezni časovni roki za reden pregled potrebe po nadaljnji hrambi osebnih podatkov za kateri koli namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj. Dodatna pravila o praksah, povezanih s hrambo osebnih podatkov, in uporabljenih časovnih rokih so bila določena v ustrezni zakonodaji in smernicah, ki urejajo pristojnosti in delovanje policije. V Angliji in Walesu je na primer s kodeksom ravnanja pri upravljanju policijskih informacij, ki ga je izdal strokovni organ uslužbencev policije, in smernicami o dovoljeni strokovni praksi pri upravljanju policijskih informacij zagotovljen okvir za dosledni postopek hrambe, pregleda in odstranjevanja na osnovi tveganja za upravljanje informacij pri operativnem policijskem delu (81). Ta okvir določa jasna pričakovanja v vseh službah policije, glede načina oblikovanja, izmenjave, uporabe in upravljanja informacij v posameznih policijskih enotah in drugih agencijah in med njimi (82). Pričakuje se, da policija ravna v skladu s kodeksom ravnanja, skladnost pa preverja inšpektorat policije in gasilsko-reševalne službe Združenega kraljestva (83).

(48)

Severnoirska policija (Police Service of Northern Ireland) ni zakonsko obvezana upoštevati kodeksa ravnanja glede upravljanja policijskih informacij. Vendar je okvir kodeksa, sprejetega leta 2011, dopolnjen s priročnikom za severnoirsko policijo (84), ki določa politike in postopke o načinu uporabe navedenega kodeksa na Severnem Irskem.

(49)

Policija na Škotskem se sklicuje na standardni postopek delovanja za shranjevanje evidenc (Record Retention Standard Operating Procedure) (85), ki podpira politiko upravljanja evidenc škotske policije (86). V tem postopku delovanja so določena posebna pravila za hrambo evidenc s strani škotske policije.

(50)

Poleg splošne zahteve po pregledu evidenc, ki se uporablja za celotno Združeno kraljestvo, so nadaljnje podrobnosti določene v lokalnih predpisih. Za nekaj primerov v zvezi z Anglijo in Walesom je v zakonu o policijskih dokazih in dokazih v kazenskih postopkih, kakor je bil spremenjen z zakonom o varstvu svoboščin iz leta 2012, navedena določba o hrambi prstnih odtisov in profilov DNA ter posebna ureditev za posameznike, ki niso obsojeni (87). Z navedenim zakonom o varstvu svoboščin je bil tudi vzpostavljen položaj pooblaščenca za hrambo in uporabo biometričnih podatkov (Commissioner for the Retention and Use of Biometric Material) (v nadaljnjem besedilu: pooblaščenec za biometrične podatke) (88). Posebna pravila o fotografijah, posnetih ob odvzemu prostosti, so določena v pregledu fotografij, posnetih ob odvzemu prostosti, iz leta 2017 (89). Glede Škotske so v zakonu o kazenskem postopku (Škotska) iz leta 1995 določena pravila za odvzem in hrambo prstnih odtisov in bioloških vzorcev (90). Tudi tu je z zakonodajo kot v Angliji in Walesu urejena hramba biometričnih podatkov v različnih primerih (91).

(51)

Osebni podatki se morajo obdelovati tako, da se zagotavlja njihovo varovanje, kar zajema tudi zaščito pred nepooblaščeno ali nezakonito obdelavo in pred nenamerno izgubo, uničenjem ali poškodovanjem. Zato morajo javni organi sprejeti ustrezne tehnične ali organizacijske ukrepe za varovanje osebnih podatkov pred morebitnimi grožnjami. Navedeni ukrepi se morajo presojati glede na najsodobnejšo tehnologijo in zadevne stroške.

(52)

Ta načela se izražajo v členu 40 zakona o varstvu podatkov iz leta 2018, v skladu s katerim se morajo podobno kot v členu 4(1)(f) Direktive (EU) 2016/680 osebni podatki, ki se obdelujejo za kateri koli namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, obdelati na način, ki zagotavlja ustrezno varnost osebnih podatkov, pri čemer se uporabijo ustrezni tehnični ali organizacijski ukrepi. To zajema ustrezno varstvo podatkov, tudi pred nepooblaščeno ali nezakonito obdelavo ter nenamerno izgubo, uničenjem ali poškodovanjem (92). V členu 66 zakona o varstvu podatkov iz leta 2018 je določeno še, da morata vsak upravljavec in vsak obdelovalec izvesti ustrezne tehnične in organizacijske ukrepe, da se zagotovi ustrezna raven varnosti glede na tveganja, ki izhajajo iz obdelave osebnih podatkov. Upravljavec mora v skladu s pojasnjevalnimi opombami oceniti tveganja in na podlagi te ocene uvesti ustrezne varnostne ukrepe, kot je na primer šifriranje ali varnostno dovoljenje ustrezne stopnje za osebje, ki obdeluje podatke (93). Pri oceni je treba na primer tudi upoštevati naravo obdelanih podatkov in druge pomembne dejavnike ali okoliščine, ki bi lahko vplivali na varnost obdelave.

(53)

Ureditev, ki ureja skladnost z načeli varstva podatkov, je zelo podobna ureditvi, vzpostavljeni s členi 29 do 31 Direktive (EU) 2016/680. V členu 67(1) zakona o varstvu podatkov iz leta 2018 je zlasti v primeru kršitve varnosti osebnih podatkov, povezane z osebnimi podatki, za katere je odgovoren upravljavec, določeno, da mora upravljavec brez nepotrebnega odlašanja in, kadar je to izvedljivo, v 72 urah po seznanitvi s kršitvijo tako kršitev priglasiti informacijskemu pooblaščencu (94). Obveznost priglasitve se ne uporablja, kadar ni verjetno, da bi bile s kršitvijo varnosti osebnih podatkov ogrožene pravice in svoboščine posameznikov (95). Upravljavec mora dejstva, ki se nanašajo na vsako kršitev varnosti osebnih podatkov, njene učinke in sprejete popravne ukrepe, dokumentirati tako, da lahko informacijski pooblaščenec preveri skladnost z zakonom o varstvu podatkov (96). Če se obdelovalec seznani s kršitvijo varnosti, mora to nemudoma priglasiti upravljavcu (97).

(54)

Če bi kršitev varnosti osebnih podatkov verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec v skladu s členom 68(1) zakona o varstvu podatkov iz leta 2018 posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja obvestiti o kršitvi (98). Obvestilo mora vsebovati enake informacije kot priglasitev informacijskemu pooblaščencu iz uvodne izjave (53). Ta obveznost ne velja, če je upravljavec izvedel ustrezne tehnične in organizacijske zaščitne ukrepe, ki so se uporabili za osebne podatke, na katere je vplivala kršitev. Prav tako ne velja, če je upravljavec sprejel poznejše ukrepe za zagotovitev, da ni več verjetnosti, da bi se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, uresničilo. Upravljavcu ni treba obvestiti posameznika, na katerega se nanašajo osebni podatki, v primeru, ki bi vključeval nesorazmeren napor (99). V tem primeru je treba posamezniku, na katerega se nanašajo osebni podatki, informacije dati na voljo na drug, enakomerno učinkovit način, na primer prek javnih komunikacijskih sredstev (100). Če upravljavec posameznika, na katerega se nanašajo osebni podatki, ni obvestil o kršitvi, lahko informacijski pooblaščenec, ki mu je bila kršitev priglašena v skladu s členom 67 zakona o varstvu podatkov, po proučitvi verjetnosti, da bi kršitev povzročila veliko tveganje, od upravljavca zahteva, da takega posameznika uradno obvesti o kršitvi (101).

(55)

Posamezniki, na katere se nanašajo osebni podatki, morajo biti obveščeni o glavnih značilnostih obdelave njihovih osebnih podatkov. To načelo o varstvu podatkov se kaže v členu 44 zakona o varstvu podatkov iz leta 2018, v katerem je podobno kot v členu 13 Direktive (EU) 2016/680) določeno, da je splošna dolžnost upravljavca, da posameznikom, na katere se nanašajo osebni podatki, zagotavlja informacije o obdelavi njihovih osebnih podatkov (z zagotovitvijo splošnega dostopa javnosti do informacij ali kako drugače) (102). Informacije, ki se dajo na voljo, zajemajo (a) identiteto in kontaktne podatke upravljavca, (b) kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja, (c) namene obdelave osebnih podatkov, (d) o pravici posameznikov, na katere se nanašajo osebni podatki, da od upravljavca zahtevajo dostop do osebnih podatkov, popravek in izbris osebnih podatkov ali omejitev njihove obdelave, ter (e) o pravici do vložitve pritožbe pri informacijskem pooblaščencu in njegove kontaktne podatke (103).

(56)

Upravljavec mora v posebnih primerih, da omogoči uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, v skladu za zakonom o varstvu podatkov iz leta 2018 (na primer ko so bili osebni podatki, ki se obdelujejo, zbrani brez vednosti posameznika, na katerega se nanašajo osebni podatki), takemu posamezniku tudi zagotoviti informacije o (a) pravni podlagi za obdelavo, (b) obdobju hrambe osebnih podatkov ali, če to ni mogoče, merilih, ki se uporabijo za določitev tega obdobja, in (c) če je ustrezno, o kategorijah uporabnikov osebnih podatkov (vključno z uporabniki v tretjih državah ali mednarodnih organizacijah), ter (d) nadaljnje informacije, ki so potrebne, da se omogoči uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, v skladu z delom 3 zakona o varstvu podatkov iz leta 2018 (104).

(57)

Posameznikom, na katere se nanašajo osebni podatki, mora biti podeljenih več izvršljivih pravic. Posameznikom so v poglavju 3 dela 3 zakona o varstvu podatkov iz leta 2018 podeljene pravice do dostopa, popravka in izbrisa in omejitve (105), ki so primerljive s pravicami iz poglavja 3 Direktive (EU) 2016/680.

(58)

Pravica do dostopa je določena v členu 45 zakona o varstvu podatkov iz leta 2018. Prvič, posameznik je upravičen, da od upravljavca pridobi potrditev, ali se njegovi osebni podatki obdelujejo ali ne (106). Drugič, če se osebni podatki obdelujejo, ima posameznik, na katerega se nanašajo osebni podatki, pravico do dostopa do teh podatkov in prejema teh informacij o obdelavi: (a) o namenih in pravnih podlagah za obdelavo, (b) o kategorijah zadevnih podatkov, (c) o prejemniku, ki so mu bili podatki razkriti, (d) o obdobju hrambe osebnih podatkov, (e) o obstoju pravice posameznika, na katerega se nanašajo osebni podatki, do popravka in izbrisa osebnih podatkov, (f) o pravici do vložitve pritožbe in (g) o informacijah o izvoru zadevnih osebnih podatkov (107).

(59)

Posameznik, na katerega se nanašajo osebni podatki, ima v skladu s členom 46 zakona o varstvu podatkov iz leta 2018 pravico zahtevati, da upravljavec popravi netočne osebne podatke v zvezi z njim. Upravljavec mora podatke brez nepotrebnega odlašanja popraviti (ali kadar so podatki netočni, ker niso popolni, dopolniti). Če je treba osebne podatke ohraniti za namene dokazovanja, mora upravljavec (namesto njihovega popravka) omejiti njihovo obdelavo (108).

(60)

Člen 47 zakona o varstvu podatkov iz leta 2018 posameznikom zagotavlja pravico do izbrisa in omejitve obdelave. Upravljavec mora (109) brez nepotrebnega odlašanja izbrisati osebne podatke, če bi njihova obdelava kršila katero koli načelo o varstvu podatkov, pravno podlago za obdelavo ali zaščitne ukrepe, povezane z arhiviranjem in občutljivo obdelavo podatkov. Upravljavec mora podatke izbrisati tudi, če je to obvezno po zakonu. Če je treba osebne podatke ohraniti za namene dokazovanja, mora upravljavec (namesto njihovega izbrisa) omejiti njihovo obdelavo (110). Upravljavec mora omejiti obdelavo osebnih podatkov, če posameznik, na katerega se nanašajo osebni podatki, izpodbija njihovo točnost in ni mogoče preveriti, ali so podatki točni ali ne (111).

(61)

Kadar posameznik, na katerega se nanašajo osebni podatki, zahteva popravek ali izbris osebnih podatkov ali omejitev njihove uporabe, ga mora upravljavec pisno obvestiti, ali je odobril zahtevo, v primeru zavrnitve pa o razlogih za zavrnitev in razpoložljivih pravnih sredstvih (pravici posameznika, na katerega se nanašajo osebni podatki, do vložitve zahtevka pri informacijskem pooblaščencu za preiskavo glede zakonitosti uporabe omejitve, pravico do vložitve pritožbe pri informacijskem pooblaščencu in pravico do vložitve vloge pri sodišču za izdajo odločbe o izpolnitvi obveznosti) (112).

(62)

Če upravljavec popravi osebne podatke, ki jih je prejel od drugega pristojnega organa, mora to priglasiti drugemu organu (113). Če upravljavec popravi ali izbriše osebne podatke, ki jih je razkril, ali omeji njihovo uporabo, mora o tem uradno obvestiti prejemnike, ti pa morajo podobno popraviti ali izbrisati osebne podatke ali omejiti njihovo uporabo (če ohranijo odgovornost za to) (114).

(63)

Poleg tega ima posameznik, na katerega se nanašajo osebni podatki, pravico, da ga upravljavec brez nepotrebnega odlašanja obvesti o kršitvi varnosti osebnih podatkov, če bi ta kršitev verjetno povzročila veliko tveganje za pravice in svoboščine posameznika (115).

(64)

Upravljavec mora v zvezi v vsemi navedenimi pravicami posameznika, na katerega se nanašajo osebni podatki, in podobno kot v določbah člena 12 Direktive (EU) 2016/680 zagotoviti, da se posamezniku, na katerega se nanašajo osebni podatki, vse informacije posredujejo v jedrnati, razumljivi in lahko dostopni obliki (116) ter po možnosti v jasnem in preprostem jeziku (117). Upravljavec mora zahtevi posameznika, na katerega se nanašajo osebni podatki, ugoditi brez nepotrebnega odlašanja in načeloma vsekakor v enem mesecu od njenega prejetja (118). Če upravljavec upravičeno dvomi o identiteti posameznika, lahko zahteva zagotovitev dodatnih informacij in odloži obravnavo zahteve, dokler ni ugotovljena identiteta. Upravljavec lahko zahteva razumno pristojbino ali zavrne ukrepanje, kadar meni, da je zahteva očitno neutemeljena (119). Urad informacijskega pooblaščenca je zagotovil smernice za primere, ko se zahteva šteje za očitno neutemeljeno ali pretirano ali ko se lahko zahteva pristojbina (120).

(65)

Poleg tega lahko pristojni minister v skladu s členom 53(4) zakona o varstvu podatkov iz leta 2018 najvišji znesek pristojbine določi s predpisi.

(66)

Pristojni organ lahko v določenih okoliščinah omeji določene pravice posameznika, na katerega se nanašajo osebni podatki, tj. pravico do dostopa (121), do obveščenosti (122), do seznanitve s kršitvijo varnosti osebnih podatkov (123) in do obveščenosti o razlogih za zavrnitev popravka ali izbrisa (124). Pristojni organ lahko podobno, kot je določeno v ureditvi iz poglavja III Direktive (EU) 2016/680, omejitev uporablja le, kadar je ob spoštovanju temeljnih pravic in zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, potrebna in sorazmerna za: (a) preprečitev oviranja uradne ali zakonite preiskave, poizvedbe ali postopka, (b) preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, (c) zaščito javne varnosti, (d) zaščito nacionalne varnosti, (e) zaščito pravic in svoboščin drugih.

(67)

Urad informacijskega pooblaščenca je zagotovil smernice o uporabi navedenih omejitev. V skladu s temi smernicami morajo upravljavci izvajati analizo vsakega primera posebej, da uravnotežijo pravice posameznika s škodo, ki bi jo tako razkritje povzročilo. Vsako uporabljeno omejitev morajo zlasti utemeljiti kot potrebno in sorazmerno, omejijo pa lahko le tisto, kar je določeno, če bi škodovalo navedenim namenom (125).

(68)

Pristojni organi so izdali tudi več drugih smernic s podrobnimi informacijami o vseh vidikih zakonodaje o varstvu podatkov, tudi o uporabi omejitve pravic posameznikov, na katere se nanašajo osebni podatki (126). Na primer v zvezi s členom 45(4) je v priročniku o varstvu podatkov sveta nacionalnih načelnikov policije navedeno: „Opozoriti je treba, da se lahko omejitve uporabljajo le, če je to potrebno, in le tako dolgo, kot je potrebno. Zato ni dovoljena vsesplošna uporaba omejitev za vse osebne podatke vložnika ali stalna uporaba omejitev. Pri tej drugi točki pogosto velja, da je treba osebne podatke, zbrane brez vednosti posameznika, na katerega se nanašajo osebni podatki, ki je osumljenec v preiskavi, sprva zavarovati pred razkritjem temu posamezniku, da se prepreči vplivanje na preiskovanje med potekom preiskave, da pa pozneje ne bi škodovalo, če bi bili posamezniku med informativnim razgovorom razkriti osebni podatki. Policija mora sprejeti postopke, ki zagotavljajo, da se te omejitve uporabljajo le, kolikor je potrebno, in le za potreben čas trajanja“ (127). V teh smernicah so tudi navedeni verjetni primeri uporabe posameznih omejitev (128).

(69)

Nadalje, v zvezi z možnostjo omejitve uporabe navedenih posebnih pravic zaradi zaščite „nacionalne varnosti“, lahko upravljavec zaprosi za izdajo potrdila, ki ga podpiše vladni minister ali generalni državni tožilec (ali generalni pravobranilec za Škotsko ) in ki potrjuje, da je omejitev takih pravic potreben in sorazmeren ukrep za zaščito nacionalne varnosti (129). Vlada Združenega kraljestva je izdala smernice za potrdila o omejitvah iz razlogov nacionalne varnosti na podlagi zakona o varstvu podatkov iz leta 2018, v katerih je zlasti poudarjeno, da mora biti vsaka omejitev pravic posameznika, na katerega se nanašajo osebni podatki, zaradi varovanja nacionalne varnosti sorazmerna in potrebna (130) (za več podrobnosti o potrdilih glede nacionalne varnosti glej uvodne izjave (131) do (134)).

(70)

Kadar se uporablja omejitev pravic posameznika, na katerega se nanašajo osebni podatki, mora pristojni organ tega posameznika brez nepotrebnega odlašanja obvestiti o omejitvi njegovih pravic, razlogih za omejitev in razpoložljivih možnostih pravnih sredstev, razen če bi zagotovitev te informacije ogrozila razlog za uporabo omejitve (131). Upravljavec mora kot dodatni zaščitni ukrep pred zlorabo omejitev evidentirati razloge za omejitev informacij in na zahtevo dati te evidence na voljo informacijskemu pooblaščencu (132).

(71)

Če upravljavec ne zagotovi dodatnih informacij o preglednosti ali dostopu ali zavrne prošnjo za popravek ali izbris osebnih podatkov ali omejitev njihove obdelave, lahko posameznik od informacijskega pooblaščenca zahteva, da prouči, ali je upravljavec omejitev uporabil zakonito (133). Zadevni posameznik se lahko tudi pritoži pri informacijskem pooblaščencu ali vloži zahtevek na sodišču, da upravljavcu odredi, naj izpolni zahtevo (134).

(72)

Člena 49 in 50 zakona o varstvu podatkov iz leta 2018 zajemata pravice, povezane z avtomatiziranim sprejemanjem odločitev, oziroma zaščitne ukrepe, ki se uporabljajo (135). Podobno kot je določeno v členu 11 Direktive (EU) 2016/680, lahko upravljavec sprejme pomembno odločitev izključno na podlagi avtomatizirane obdelave osebnih podatkov le, če to predpisuje ali dovoljuje zakon (136). Odločitev je pomembna, če bi imela negativen pravni učinek za posameznika, na katerega se nanašajo osebni podatki, ali bi ga zelo prizadela (137).

(73)

Kadar zakon predpisuje ali dovoljuje, da mora upravljavec sprejeti pomembno odločitev, so v členu 50 zakona o varstvu podatkov iz leta 2018 določeni zaščitni ukrepi, ki se bodo uporabljali pri taki odločitvi (ki je opredeljena kot omejitvena pomembna odločitev). Upravljavec mora posameznika, na katerega se nanašajo osebni podatki, uradno obvestiti o sprejetju take odločitve takoj, ko je to razumno izvedljivo. Posameznik, na katerega se nanašajo osebni podatki, lahko nato od upravljavca zahteva, da v enem mesecu ponovno prouči odločitev ali sprejme novo odločitev, ki ne temelji izključno na podlagi avtomatizirane obdelave. Upravljavec mora zahtevo proučiti in posameznika, na katerega se nanašajo osebni podatki, obvestiti o rezultatu proučitve. Zakon o varstvu podatkov iz leta 2018 daje pristojnemu ministru pristojnost, da sprejema predpise o dodatnih zaščitnih ukrepih (138). Tak predpis do zdaj še ni bil izdan.

(74)

Raven varstva, ki se zagotavlja osebnim podatkom, prenesenim od organa za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj države članice organu za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj v Združenem kraljestvu, se ne sme poslabšati z nadaljnjim prenosom takih podatkov prejemnikom v tretji državi. Taki „nadaljnji prenosi“ podatkov, ki z vidika organa za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj v Združenem kraljestvu pomenijo mednarodni prenos iz Združenega kraljestva, bi morali biti dovoljeni le, kadar tudi za nadaljnjega prejemnika zunaj Združenega kraljestva veljajo pravila, ki zagotavljajo podobno raven varstva, kot je zagotovljena v okviru pravnega reda Združenega kraljestva.

(75)

Ureditev Združenega kraljestva o mednarodnih prenosih ureja poglavje 5 dela 3 zakona o varstvu podatkov iz leta 2018 (139) in izraža pristop iz Poglavja V Direktive (EU) 2016/680. Za prenos osebnih podatkov v tretjo državo mora pristojni organ izpolnjevati zlasti tri pogoje, in sicer: (a) prenos mora biti potreben za namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, (b) prenos mora temeljiti na: (i) predpisu o ustreznosti v zvezi s tretjo državo, (ii) če ne temelji na predpisu o ustreznosti, obstoju ustreznih zaščitnih ukrepov ali (iii), če ne temelji na sklepu o ustreznosti ali obstoju ustreznih zaščitnih ukrepov, na posebnih okoliščinah, ter (c) prejemnik prenosa mora biti: (i) ustrezen organ (ki je enakovreden pristojnemu organu) v tretji državi, (ii) ustrezna mednarodna organizacija, npr. mednarodni organ, ki izvaja naloge, ki ustrezajo kateremu koli namenu preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, ali (iii) oseba, ki ni ustrezen organ, vendar le, kadar je prenos nujno potreben za izvajanje enega od namenov preprečevanja, odkrivanja in preiskovanja kaznivih dejanj; kadar nobena temeljna pravica in svoboščina zadevnega posameznika, na katerega se nanašajo osebni podatki, ne prevlada nad javnim interesom, zaradi katerega je prenos potreben; kadar bi bil prenos osebnih podatkov ustreznemu organu v tretji državi neučinkovit ali neustrezen, in kadar je prejemnik obveščen o namenih, za katere se lahko podatki obdelujejo (140).

(76)

Predpise o ustreznosti v zvezi s tretjo državo, ozemljem ali področjem znotraj tretje države, mednarodno organizacijo ali opisom (141) take države, ozemlja, področja ali organizacije izda pristojni minister. Ta mora, kar zadeva standard, ki ga je treba izpolniti, presoditi, ali tako ozemlje/področje/organizacija zagotavlja ustrezno raven varstva osebnih podatkov. V členu 74A(4) zakona o varstvu podatkov iz leta 2018 je določeno, da mora pristojni minister v ta namen proučiti številne elemente, ki izražajo elemente iz člena 36 Direktive (EU) 2016/680 (142). Od konca prehodnega obdobja je del 3 zakona o varstvu podatkov iz leta 2018 „domača zakonodaja, ki izhaja iz EU“, ki jo bodo, kot je bilo pojasnjeno, sodišča Združenega kraljestva razlagala v skladu z ustrezno sodno prakso Sodišča, sprejeto pred izstopom Združenega kraljestva iz Unije, in splošnimi načeli prava Unije, kot so učinkovala tik pred koncem prehodnega obdobja. To zajema standard, da je „v osnovi enakovredna“, ki se bo tako uporabljal pri ocenah ustreznosti, ki jih bodo izvedli organi Združenega kraljestva.

(77)

Glede postopka se za predpise uporabljajo „splošne“ procesne zahteve iz člena 182 zakona o varstvu podatkov iz leta 2018. V skladu s tem postopkom se mora pristojni minister pred sprejetjem prihodnjih predpisov Združenega kraljestva o ustreznosti posvetovati z informacijskim pooblaščencem (143). Ko pristojni minister sprejme navedene predpise, se jih predloži parlamentu, ki jih obravnava v postopku tako imenovane negativne potrditve, v katerem lahko oba domova parlamenta proučita predpise in jih v 40 dneh razveljavita (144).

(78)

V skladu s členom 74 B(1) zakona o varstvu podatkov iz leta 2018 je treba predpise o ustreznosti preverjati na največ štiri leta, pristojni minister pa mora redno spremljati dogajanje v tretjih državah in mednarodnih organizacijah, ki bi lahko vplivalo na odločitve o sprejemanju predpisov o ustreznosti, njihovem spreminjanju ali odpravi. Če pristojni minister izve, da zadevna država ali organizacija ne zagotavlja več ustrezne ravni varstva osebnih podatkov, mora po potrebi spremeniti ali odpraviti navedene predpise ter se z zadevno tretjo državo ali mednarodno organizacijo posvetovati o izboljšanju ravni varstva.

(79)

Podobno kot je določeno v členu 37 Direktive (EU) 2016/680, bi bil prenos osebnih podatkov v okviru sektorja preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, če takih predpisov o ustreznosti ni, mogoč le, če so vzpostavljeni ustrezni zaščitni ukrepi. Taki zaščitni ukrepi so zagotovljeni (a) z zavezujočim pravnim instrumentom, ki vsebuje ustrezne zaščitne ukrepe za varstvo osebnih podatkov, ali (b) s presojo, ki jo opravi upravljavec, ki po presoji vseh okoliščin prenosa ugotovi, da obstajajo ustrezni zaščitni ukrepi za varstvo podatkov (145). Kadar prenosi temeljijo na ustreznih zaščitnih ukrepih, je v zakonu o varstvu podatkov iz leta 2018 prav tako določeno, da mora urad informacijskega pooblaščenca poleg svoje običajne nadzorne vloge od pristojnih organov prejemati posebne informacije o prenosih temu uradu (146).

(80)

Če prenos ne temelji na sklepu o ustreznosti ali ustreznih zaščitnih ukrepih, se lahko izvede le v določenih, posebnih okoliščinah, imenovanih „posebne okoliščine“ (147). Na primer, kadar je prenos potreben: (a) za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe; (b) za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki; (c) za preprečitev neposredne in resne grožnje javni varnosti v tretji državi; (d) v posameznih primerih za kateri koli namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ali (e) v posameznem primeru iz pravnih razlogov (kot na primer v zvezi s sodnimi postopki ali za zagotavljanje pravnih nasvetov) (148). Opozorimo lahko, da se točki (d) in (e) ne uporabljata, če pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, prevladajo nad javnim interesom v prenosu (149). Te okoliščine ustrezajo posebnim razmeram in pogojem, ki so v skladu s členom 38 Direktive (EU) 2016/680 opredeljeni kot „odstopanja“.

(81)

V takih primerih je treba dokumentirati datum, čas in utemeljitev prenosa, ime prejemnika in druge ustrezne informacije o njem in opis prenesenih osebnih podatkov ter te informacije na zahtevo zagotoviti informacijskemu pooblaščencu (150).

(82)

Člen 78 zakona o varstvu podatkov iz leta 2018 ureja scenarij „nadaljnjih prenosov“, in sicer ko se osebni podatki, ki so bili preneseni iz Združenega kraljestva v tretjo državo, nato prenesejo v drugo tretjo državo ali mednarodno organizacijo. V skladu s členom 78(1) navedenega zakona mora upravljavec Združenega kraljestva, ki izvede prenos, ta prenos pogojiti z zahtevo, da se podatki ne smejo nadalje prenesti v tretjo državo brez dovoljenja upravljavca, ki izvede prenos. Poleg tega v skladu s členom 78(3) in podobno s tem, kar določa člen 35(1)(e) Direktive (EU) 2016/680, za vsak primer, v katerem je potrebno tako dovoljenje, velja vrsta vsebinskih zahtev. Konkretneje se mora pristojni organ pri odločanju o tem, ali bo prenos dovolil ali ne, prepričati, da je nadaljnji prenos potreben za namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter mora med drugimi dejavniki razmisliti o (a) resnosti okoliščin, zaradi katerih je bilo zahtevano dovoljenje, (b) namenu prvotnega prenosa osebnih podatkov in (c) standardih varstva osebnih podatkov, ki se uporabljajo v tretji državi ali mednarodni organizaciji, v katero bi se prenesli osebni podatki.

(83)

Poleg tega se za podatke, ki so bili prvotno preneseni iz Evropske unije in so predmet nadaljnjega prenosa iz Združenega kraljestva, uporabljajo dodatni zaščitni ukrepi.

(84)

Prvič, člen 73(1)(b) zakona o varstvu podatkov iz leta 2018 – podobno kot člen 35(1)(c) Direktive (EU) 2016/680 – določa, da kadar je država članica osebne podatke prvotno poslala ali drugače dala na voljo upravljavcu ali drugemu pristojnemu organu, je ta država članica ali katera koli oseba s sedežem v tej državi članici, ki je pristojni organ za namene Direktive (EU) 2016/680, morala dovoliti prenos v skladu s pravom te države članice.

(85)

Tako dovoljenje pa po vzoru člena 35(2) Direktive (EU) 2016/680 ni potrebno, če (a) je prenos potreben, da se prepreči neposredna in resna grožnja javni varnosti v državi članici ali tretji državi ali vitalnim interesom države članice, in (b) dovoljenja ni mogoče pridobiti pravočasno. V tem primeru mora biti brez odlašanja obveščen organ v državi članici, ki bi bil pristojen za odločanje o odobritvi prenosa (151).

(86)

Drugič, enak pristop velja za podatke, ki so bili prvotno preneseni iz Evropske unije v Združeno kraljestvo, nato pa jih je Združeno kraljestvo nadalje preneslo v tretjo državo, ki bi jih nato nadalje prenesla v drugo tretjo državo. V tem primeru pristojni organ Združenega kraljestva na podlagi člena 78(4) ne more dovoliti zadnje omenjenega prenosa v skladu s členom 78(1), razen če je „država članica[, ki je prvotno prenesla zadevne podatke,] ali katera koli druga oseba s sedežem v tej državi članici, ki je pristojni organ za namene direktive o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj, dovolila prenos v skladu s pravom te države članice“. Ti zaščitni ukrepi so pomembni, ker organom držav članic omogočajo, da v skladu s pravom EU o varstvu podatkov zagotavljajo neprekinjenost zaščite v celotni „verigi prenosov“.

(87)

Ta novi okvir glede mednarodnih prenosov podatkov se je začel uporabljati ob koncu prehodnega obdobja (152). Vendar odstavki 10 do 12 dodatka 21 (uvedenega s predpisi DPPEC) določajo, da se od konca prehodnega obdobja naprej nekateri prenosi osebnih podatkov obravnavajo, kot da temeljijo na predpisih o ustreznosti. Ti prenosi zajemajo prenos v državo članico, državo Efte, tretjo državo, za katero ob koncu prehodnega obdobja velja sklep EU o ustreznosti, in ozemlje Gibraltarja. Posledično se lahko prenosi v navedene države nadaljujejo kot pred izstopom Združenega kraljestva iz Unije. Po koncu prehodnega obdobja mora pristojni minister v štirih letih opraviti pregled teh ugotovitev glede ustreznosti, tj. do konca decembra 2024. Iz pojasnila organov Združenega kraljestva izhaja, da čeprav mora pristojni minister tak pregled opraviti do konca decembra 2024, pa prehodne določbe ne vključujejo samoderogacijske določbe in zadevne prehodne določbe samodejno ne prenehajo veljati, če pregled ni opravljen do konca decembra 2024.

(88)

V skladu z načelom odgovornosti morajo javni organi, ki obdelujejo podatke, sprejeti ustrezne tehnične in organizacijske ukrepe, da lahko uspešno izpolnjujejo svoje obveznosti glede varstva podatkov in dokažejo tako skladnost, predvsem pristojnim nadzornim organom.

(89)

To načelo se kaže v členu 56 zakona o varstvu podatkov iz leta 2018, v katerem so za upravljavca uvedene splošne obveznosti glede odgovornosti, tj. obveznost izvajanja ustreznih tehničnih in organizacijskih ukrepov, da se zagotovi in lahko dokaže, da je obdelava osebnih podatkov skladna z zahtevami iz dela 3 zakona o varstvu podatkov iz leta 2018. Po potrebi je treba pregledati in posodobiti izvedene ukrepe in, kjer je sorazmerno, v zvezi z obdelavo vključiti ustrezne politike varstva podatkov.

(90)

V skladu s poglavjem IV Direktive (EU) 2016/680 členi 55 do 71 zakona o varstvu podatkov iz leta 2018 določajo drugačne mehanizme za zagotovitev odgovornosti ter upravljavcem in obdelovalcem omogočajo, da dokažejo skladnost. Upravljavci morajo zlasti izvesti ukrepe za vgrajeno in privzeto varstvo podatkov, tj. zagotoviti, da se načela o varstvu podatkov učinkovito izvajajo, ter morajo voditi evidenco vseh kategorij dejavnosti obdelave, za katere je odgovoren upravljavec (vključno z informacijami o identiteti upravljavca, kontaktnimi podatki pooblaščene osebe za varstvo podatkov, nameni obdelave, kategorijami prejemnikov razkritih informacij in opisom kategorij posameznikov, na katere se nanašajo osebni podatki, in osebnih podatkov) in informacijskemu pooblaščencu na zahtevo omogočiti dostop do te evidence. Upravljavec in obdelovalec morata tudi voditi dnevnike določenih dejanj obdelave in informacijskemu pooblaščencu omogočiti dostop do njih (153). Od upravljavcev se tudi izrecno zahteva, da sodelujejo z informacijskim pooblaščencem pri izvajanju njegovih nalog.

(91)

V zakonu o varstvu podatkov iz leta 2018 so prav tako določene dodatne zahteve za obdelavo, ki bi verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov. Med njimi sta obveznost izvedbe ocen učinka v zvezi z varstvom podatkov in posvetovanja z informacijskim pooblaščencem pred obdelavo, če iz take ocene izhaja, da bi obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov (kadar ni ukrepov za ublažitev tveganja).

(92)

Upravljavci morajo nadalje imenovati pooblaščeno osebo za varstvo podatkov, razen če je upravljavec sodišče ali drug pravosodni organ, ki izvaja sodno pristojnost (154). Upravljavec mora poskrbeti, da je pooblaščena oseba za varstvo podatkov vključena v vsa vprašanja v zvezi z varstvom osebnih podatkov, da ima potrebna sredstva in dostop do osebnih podatkov in dejavnosti obdelave ter da lahko neodvisno izvaja svoje naloge. Naloge pooblaščene osebe za varstvo podatkov, ki zajemajo zagotavljanje informacij in nasvetov, spremljanje skladnosti ter sodelovanje s kontaktno točko in delovanje kot kontaktna točka za informacijskega pooblaščenca, so določene v členu 71 zakona o varstvu podatkov iz leta 2018. Ta pooblaščena oseba mora pri opravljanju nalog upoštevati tveganja, povezana z dejavnostmi obdelave, ter pri tem upoštevati naravo, obseg, okoliščine in namene obdelave.

(93)

Vzpostaviti se mora neodvisen nadzorni organ s pristojnostjo spremljanja in zagotavljanja skladnosti s pravili o varstvu podatkov, da se tudi v praksi zagotovi ustrezna raven varstva podatkov. Pri izvajanju svojih obveznosti in pooblastil mora ta organ ravnati popolnoma neodvisno in nepristransko.

(94)

V Združenem kraljestvu nadzor in zagotavljanje skladnosti z UK GDPR in zakonom o varstvu podatkov iz leta 2018 izvaja informacijski pooblaščenec (155). Informacijski pooblaščenec nadzoruje tudi, kako osebne podatke obdelujejo pristojni organi, kar spada na področje uporabe dela 3 zakona o varstvu podatkov iz leta 2018 (156). Informacijski pooblaščenec je „Corporation Sole“, tj. ločen enoosebni pravni subjekt. Pri delu mu pomaga urad. Urad informacijskega pooblaščenca je imel 31. marca 2020 768 stalnih članov osebja (157). Podporno ministrstvo informacijskega pooblaščenca je ministrstvo za digitalne tehnologije, kulturo, medije in šport (158).

(95)

Neodvisnost informacijskega pooblaščenca je izrecno določena v členu 52 UK GDPR, ki v ničemer bistveno ne spreminja člena 52(1) do (3) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta (159). Informacijski pooblaščenec mora pri opravljanju svojih nalog in izvajanju svojih pooblastil v skladu z UK GDPR ravnati popolnoma neodvisno, ne sme biti izpostavljen niti neposrednemu niti posrednemu zunanjemu vplivu ter ne sme nikogar prositi za navodila niti jih od nikogar sprejemati. Poleg tega se mora vzdržati vsakega delovanja, ki je nezdružljivo z njegovimi dolžnostmi, in se v času svojega mandata ne sme ukvarjati z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.

(96)

Pogoji za imenovanje in razrešitev informacijskega pooblaščenca so določeni v dodatku 12 k zakonu o varstvu podatkov iz leta 2018. Informacijskega pooblaščenca imenuje kraljica na podlagi priporočila vlade ter na podlagi poštenega in odprtega postopka izbire. Kandidat mora imeti ustrezne kvalifikacije, izkušnje in znanje. V skladu s kodeksom upravljanja v zvezi z javnimi imenovanji (160) seznam ustreznih kandidatov pripravi svetovalni ocenjevalni odbor. Preden minister za digitalne tehnologije, kulturo, medije in šport sprejme končno odločitev, mora zadevni izbrani parlamentarni odbor opraviti preverjanje pred imenovanjem. Mnenje odbora se javno objavi (161).

(97)

Mandat informacijskega pooblaščenca traja največ sedem let. Informacijskega pooblaščenca lahko s funkcije razreši kraljica, na podlagi nagovora obeh domov parlamenta (162). Predloga za razrešitev informacijskega pooblaščenca ni mogoče predložiti nobenemu od domov parlamenta brez poročila, ki ga pristojni minister predloži temu domu, iz katerega izhaja, da je po njegovem mnenju informacijski pooblaščenec kriv hujše kršitve dolžnega ravnanja uradnih oseb in/ali da ne izpolnjuje več pogojev za opravljanje svoje funkcije (163).

(98)

Financiranje informacijskega pooblaščenca temelji na treh virih: (i) pristojbine za varstvo podatkov, ki jih plačujejo upravljavci in so določene s predpisi pristojnega ministra (164), ki znašajo od 85 % do 90 % letnega proračuna urada (165), (ii) nepovratna sredstva, ki jih informacijskemu pooblaščencu nameni vlada in s katerimi se financirajo predvsem operativni stroški informacijskega pooblaščenca v zvezi z nalogami, ki se ne nanašajo na varstvo podatkov (166), ter (iii) pristojbine, ki se zaračunavajo za opravljanje storitev (167). Trenutno se take pristojbine ne zaračunavajo.

(99)

Splošne naloge informacijskega pooblaščenca v zvezi z obdelavo osebnih podatkov, ki spada na področje uporabe dela 3 zakona o varstvu podatkov iz leta 2018, so določene v dodatku 13 k zakonu o varstvu podatkov iz leta 2018. Mednje spadajo nadzor in izvajanje dela 3 zakona o varstvu podatkov iz leta 2018, večje ozaveščanje javnosti, svetovanje parlamentu, vladi in drugim institucijam o zakonodajnih in upravnih ukrepih, ozaveščanje upravljavcev in obdelovalcev o njihovih obveznostih, zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, o uveljavljanju njihovih pravic in izvajanje preiskav. Informacijskemu pooblaščencu zaradi vzdrževanja neodvisnosti sodstva ni dovoljeno izvajati nalog v zvezi z obdelavo osebnih podatkov, ki jo izvaja posameznik, kolikor opravlja zadeve iz sodne pristojnosti, ali sodišče, kolikor opravlja zadeve iz sodne pristojnosti. Nadzor nad sodstvom pa je zagotovljen prek posebnih organov, opisanih v nadaljevanju.

(100)

Informacijski pooblaščenec ima splošna preiskovalna in popravljalna pooblastila, pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi, ki se nanašajo na obdelavo osebnih podatkov, za katero se uporablja del 3 zakona o varstvu podatkov iz leta 2018. Ima pooblastila, da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi dela 3, da upravljavcu ali obdelovalcu izda opozorilo, da bi predvidena dejanja obdelave verjetno kršila določbe dela 3, in da upravljavcu ali obdelovalcu izreče opomin, kadar so bile z dejanji obdelave kršene določbe te dela 3. Poleg tega lahko na lastno pobudo ali na zahtevo izdaja mnenja za parlament, vlado ali druge institucije in organe Združenega kraljestva ter javnost o vseh zadevah, povezanih z varstvom osebnih podatkov (168).

(101)

Informacijski pooblaščenec je prav tako pristojen, da:

(102)

V politiki urada informacijskega pooblaščenca o regulativnih ukrepih (Regulatory Action Policy) so določene okoliščine, v katerih se izda obvestilo o predložitvi informacij, obvestilo o ocenjevanju, obvestilo o izvršitvi oziroma obvestilo o plačilnem nalogu (173). Z obvestilom o izvršitvi se lahko naložijo zahteve, za katere informacijski pooblaščenec meni, da so ustrezne za odpravo pomanjkljivosti. Z obvestilom o plačilnem nalogu se zahteva, da mora oseba informacijskemu pooblaščencu plačati znesek, naveden v obvestilu. Tako obvestilo se lahko izda, če niso izpolnjene določene določbe zakona o varstvu podatkov iz leta 2018 (174), lahko pa se izda tudi upravljavcu ali obdelovalcu, ki ni spoštoval obvestila o predložitvi informacij, obvestila o ocenjevanju ali obvestila o izvršitvi.

(103)

Natančneje, informacijski pooblaščenec mora pri odločanju o tem, ali naj upravljavcu ali obdelovalcu izda obvestilo o plačilnem nalogu in kako visoka naj bo kazen, upoštevati navedbe iz člena 155(3) zakona o varstvu podatkov iz leta 2018, vključno z naravo in težo kršitve, dejstvom, ali je kršitev naklepna ali posledica malomarnosti, ukrepi, ki jih je sprejel upravljavec ali obdelovalec, da bi omilil škodo, ki so jo utrpeli posamezniki, na katere se nanašajo osebni podatki, stopnjo odgovornosti upravljavca ali obdelovalca (ob upoštevanju tehničnih in organizacijskih ukrepov, ki jih je sprejel eden ali drugi), vsemi zadevnimi predhodnimi kršitvami upravljavca ali obdelovalca, kategorijami osebnih podatkov, na katere vpliva kršitev, ter dejstvom, ali bi bila kazen učinkovita, sorazmerna in odvračilna.

(104)

Najvišji znesek kazni, ki se lahko naloži z obvestilom o plačilnem nalogu, znaša (a) 17 500 000 GBP zaradi neizpolnitve načel o varstvu podatkov (členi 35, 36 in 37, člena 38(1) in 39(1) ter člen 40 zakona o varstvu podatkov iz leta 2018), obveznosti glede preglednosti in pravic posameznikov (členi 44, 45, 46, 47, 48, 49, 52 in 53 zakona o varstvu podatkov iz leta 2018) ter načel o mednarodnih prenosih osebnih podatkov (členi 73, 75, 76, 77 ali 78 zakona o varstvu podatkov iz leta 2018) in (b) 8 700 000 GBP za kršitve po preostalih členih (175). V primeru neizpolnitve obvestila o predložitvi informacij, obvestila o ocenjevanju ali obvestila o izvršitvi je najvišji znesek kazni, ki se lahko izreče na podlagi obvestila o plačilnem nalogu 17 500 000 GBP.

(105)

Informacijski pooblaščenec je glede na zadnji letni poročili (za obdobji 2018–2019 (176) in 2019–2020 (177)) izvedel številne preiskave v zvezi z obdelavo osebnih podatkov s strani organov preprečevanja, odkrivanja in preiskovanja kaznivih dejanj. Oktobra 2019 je na primer izvedel preiskavo in objavil mnenje v zvezi z uporabo tehnologije za prepoznavanje obrazov na javnih mestih na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj. Preiskava je bila usmerjena zlasti na uporabo zmogljivosti prepoznavanja obrazov v živo v policiji južnega Walesa in londonski policiji (Metropolitan Police Service). Informacijski pooblaščenec je nadalje preiskoval „Gangs matrix“ (matrika tolp) (178) londonske policije in ugotovil vrsto resnih kršitev zakonodaje o varstvu podatkov, ki bi verjetno omajale zaupanje javnosti v matriko in uporabo podatkov.

(106)

Novembra 2018 je informacijski pooblaščenec izdal obvestilo o izvršitvi, londonska policija pa je nato sprejela ukrepe, potrebne za povečanje varnosti in odgovornosti ter zagotovitev sorazmerne uporabe podatkov.

(107)

Drug primer nedavnega izvršilnega ukrepa je globa v višini 325 000 GBP, ki jo je informacijski pooblaščenec maja 2018 naložil državnemu tožilstvu zaradi izgube nešifriranega DVD-ja s posnetki informativnih razgovorov pri policiji. Poleg tega je informacijski pooblaščenec izvedel preiskave širših tem, na primer v prvi polovici leta 2020 o uporabi pridobivanja podatkov iz mobilnega telefona za policijske namene ter obdelavi podatkov žrtev s strani policije.

(108)

Poleg navedenih pooblastil informacijskega pooblaščenca za izvrševanje se določene kršitve zakonodaje o varstvu podatkov štejejo za kazniva dejanja, zato se lahko zanje izrečejo kazenske sankcije (člen 196 zakona o varstvu podatkov iz leta 2018). To se na primer nanaša na pridobitev ali razkritje osebnih podatkov brez privolitve upravljavca in zagotovitev razkritja osebnih podatkov drugi osebi brez privolitve upravljavca (179), ponovno identifikacijo informacij v primeru anonimizacije osebnih podatkov, brez privolitve upravljavca, ki je odgovoren za anonimizacijo osebnih podatkov (180), namerno oviranje informacijskega pooblaščenca pri izvrševanju njegovih pristojnosti v zvezi s preverjanjem osebnih podatkov v skladu z mednarodnimi obveznostmi (181), dajanje neresničnih izjav v odgovor na obvestilo o predložitvi informacij ali uničenje informacij v zvezi z obvestilom o predložitvi informacij ali obvestilom o ocenjevanju (182).

(109)

Informacijski pooblaščenec ima v skladu s členom 139 zakona o varstvu podatkov iz leta 2018 tudi obveznost, da obema domovoma parlamenta predloži splošno poročilo o izvajanju svojih nalog na podlagi zakona (183).

(110)

Nadzor nad obdelavo osebnih podatkov, ki jo izvajajo sodišča in sodstvo, je dvostranski. Kadar nosilec sodne funkcije ali sodišče ne opravlja zadev iz sodne pristojnosti, izvaja nadzor informacijski pooblaščenec. Kadar pa upravljavec deluje v okviru sodne pristojnosti, urad informacijskega pooblaščenca ne more izvajati nadzorne funkcije (184), zato jo izvajajo posebni organi. To izraža pristop iz člena 32 Direktive (EU) 2016/680.

(111)

Natančneje, v drugem primeru glede sodišč Anglije in Walesa ter glede prvostopenjskih in višjih sodišč Anglije in Walesa tak nadzor zagotavlja sodni svet za varstvo podatkov (Judicial Data Protection Panel) (185). Poleg tega sta vodja sodstva Anglije in Walesa (Lord Chief Justice) in višji predsednik sodišč (Senior President of Tribunals) izdala obvestilo o zasebnosti (186), ki določa, kako sodišča v Angliji in Walesu obdelujejo osebne podatke za namene opravljanja sodne funkcije. Podobni obvestili sta izdali tudi sodstvo Severne Irske (187) in sodstvo Škotske (188).

(112)

Poleg tega je na Severnem Irskem vodja sodstva Severne Irske sodnika sodišča High Court imenoval za sodnika, pristojnega za nadzor podatkov (Data Supervisory Judge) (189). Izdane so bile tudi smernice za sodstvo Severne Irske o tem, kako ravnati v primeru izgube ali potencialne izgube podatkov ter kako obravnavati vsa vprašanja, ki iz tega izhajajo (190).

(113)

Na Škotskem je vodja sodstva (Lord President) imenoval sodnika za nadzor podatkov (Data Supervisory Judge) za obravnavo vseh pritožb s področja varstva podatkov. Ta sistem je vzpostavljen na podlagi pravil o pritožbah v sodstvu, podobnih tistim v Angliji in Walesu (191).

(114)

Nazadnje, pri sodišču Supreme Court je eden od sodnikov navedenega sodišča pooblaščen za nadzor nad varstvom podatkov.

(115)

Posameznik, na katerega se nanašajo osebni podatki, mora imeti na voljo učinkovito upravno in sodno varstvo, vključno z odškodnino za škodo, da se zagotovita ustrezno varstvo in zlasti uveljavljanje pravic posameznika.

(116)

Prvič, posameznik, na katerega se nanašajo osebni podatki, ima pravico vložiti pritožbo pri informacijskem pooblaščencu, če meni, da je v zvezi z osebnimi podatki, ki se nanašajo nanj, prišlo do kršitve dela 3 zakona o varstvu podatkov iz leta 2018 (192). Kot je opisano v uvodnih izjavah (100) in (109), lahko informacijski pooblaščenec preveri, kako upravljavec in obdelovalec zagotavljata skladnost z zakonom o varstvu podatkov iz leta 2018, od njiju zahteva, da v primeru neskladnosti sprejmeta potrebne ukrepe ali se vzdržita določenih ukrepov, ter naloži globe.

(117)

Drugič, zakon o varstvu podatkov iz leta 2018 določa pravico do pravnega sredstva zoper odločitev informacijskega pooblaščenca. Če informacijski pooblaščenec pritožbe posameznika, na katerega se nanašajo osebni podatki, ne obravnava (193), ima pritožnik dostop do pravnega sredstva, saj lahko od sodišča prve stopnje zahteva (194), naj informacijskemu pooblaščencu naloži sprejetje ustreznih ukrepov v odziv na pritožbo ali obveščanje pritožnika o stanju zadeve (195). Poleg tega se lahko vsakdo, ki mu informacijski pooblaščenec izda enega od navedenih obvestil (o predložitvi informacij, o ocenjevanju, o izvršitvi ali o plačilnem nalogu), pritoži pri sodišču prve stopnje. Če sodišče ugotovi, da odločba informacijskega pooblaščenca ni v skladu s pravom ali da bi moral ta odločiti drugače, mora sodišče pritožbo dovoliti ali obvestilo oziroma odločbo informacijskega pooblaščenca nadomestiti z drugo (196).

(118)

Tretjič, posamezniki lahko pravno sredstvo zoper upravljavce in obdelovalce uveljavljajo neposredno pred sodiščem v skladu s členom 167 zakona o varstvu podatkov iz leta 2018. Če sodišče na podlagi vloge posameznika, na katerega se nanašajo osebni podatki, ugotovi, da so bile kršene njegove pravice s področja zakonodaje o varstvu podatkov, lahko upravljavcu, ki je odgovoren za obdelavo takih podatkov, ali obdelovalcu, ki deluje v njegovem imenu, odredi sprejetje ali opustitev določenih ukrepov, navedenih v odločbi. Poleg tega je v skladu s členom 169 zakona o varstvu podatkov iz leta 2018 vsaka oseba, ki utrpi škodo zaradi kršitve zahteve iz zakonodaje o varstvu podatkov (vključno z delom 3 zakona o varstvu podatkov iz leta 2018), ki ni UK GDPR, upravičena do odškodnine za škodo, ki jo je povzročil upravljavec ali obdelovalec, razen če upravljavec ali obdelovalec dokaže, da nikakor ni odgovoren za dogodek, ki je povzročil škodo. Škoda vključuje finančno in nefinančno izgubo, kot je na primer stiska.

(119)

Četrtič, vsakdo, ki meni, da so javni organi kršili njegove pravice, vključno s pravico do zasebnosti in do varstva podatkov, lahko uveljavlja pravna sredstva pred sodišči Združenega kraljestva na podlagi zakona o človekovih pravicah iz leta 1998. Upravljavci v skladu z delom 3 zakona o varstvu podatkov iz leta 2018, tj. pristojni organi, so vedno javni organi v smislu zakona o človekovih pravicah iz leta 1998. Posameznik, ki trdi, da je javni organ ravnal (ali predlaga ravnanje) neskladno s pravico iz Konvencije, kar je posledično nezakonito na podlagi člena 6(1) zakona o človekovih pravicah iz leta 1998, lahko pri pristojnem sodišču začne postopek zoper tak organ ali se na zadevne pravice sklicuje v vsakem pravnem postopku, če je (ali bi postal) žrtev nezakonitega dejanja (197).

(120)

Če sodišče ugotovi, da je katero koli dejanje javnega organa nezakonito, lahko odobri odškodnino ali pravno sredstvo ali izda odredbo, za katero je pristojen in kot meni, da je pravično in ustrezno (198). Sodišče lahko odloči tudi, da določba primarne zakonodaje ni skladna s pravico, zagotovljeno na podlagi EKČP.

(121)

Nazadnje, ko posameznik izčrpa nacionalna pravna sredstva, se lahko obrne na Evropsko sodišče za človekove pravice zaradi kršitev pravic, zagotovljenih na podlagi EKČP.

(122)

Pravo Združenega kraljestva pod določenimi pogoji dovoljuje izmenjavo podatkov med organom za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj in drugimi organi Združenega kraljestva za namene, ki se razlikujejo od tistih, za katere so bili podatki prvotno zbrani (tako imenovana nadaljnja izmenjava).

(123)

Člen 36(3) zakona o varstvu podatkov iz leta 2018 po vzoru člena 4(2) Direktive (EU) 2016/680 omogoča nadaljnjo obdelavo osebnih podatkov (s strani prvotnega ali drugega upravljavca), ki jih pristojni organ zbere za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, za kateri koli drug namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, če je upravljavec po zakonu pooblaščen za obdelavo podatkov za navedeni drug namen ter če je obdelava potrebna in sorazmerna (199). V takem primeru se vsi zaščitni ukrepi, navedeni v delu 3 zakona o varstvu podatkov iz leta 2018 in analizirani zgoraj, uporabljajo za obdelavo, ki jo izvaja organ prejemnik.

(124)

V okviru pravnega reda Združenega kraljestva različni zakoni izrecno omogočajo nadaljnjo izmenjavo. Zlasti (i) zakon o digitalnem gospodarstvu iz leta 2017 (Digital Economy Act 2017) omogoča izmenjavo med javnimi organi za več namenov, na primer v primeru goljufije zoper javni sektor, ki vključuje izgubo ali tveganje izgube za javni organ (200), ali v primeru dolga javnemu organu ali državi (201); (ii) zakon o kriminalu in sodiščih iz leta 2013 (Crime and Courts Act 2013), ki omogoča izmenjavo informacij z nacionalno agencijo za boj proti kriminalu (National Crime Agency) (202) za namene boja proti hudim kaznivim dejanjem in organiziranemu kriminalu ter preiskovanja in pregona hudih kaznivih dejanj in organiziranega kriminala; (iii) zakon o hudih kaznivih dejanjih iz leta 2007 (Serious Crime Act 2007), ki javnim organom omogoča, da razkrijejo informacije organizacijam za boj proti goljufijam zaradi preprečevanja goljufij (203).

(125)

Ti zakoni izrecno določajo, da mora biti izmenjava informacij v skladu z načeli iz zakona o varstvu podatkov iz leta 2018. Poleg tega je poklicni organ uslužbencev policije izdal dokument o odobreni strokovni praksi glede izmenjave informacij (204), ki je policiji v pomoč pri izpolnjevanju njenih obveznosti glede varstva podatkov na podlagi UK GDPR, zakona o varstvu podatkov in zakona o človekovih pravicah iz leta 1998. Skladnost izmenjave informacij s pravnim okvirom varstva podatkov, ki se uporablja, je seveda stvar sodne presoje (205).

(126)

Nadalje, zakon o varstvu podatkov iz leta 2018 podobno kot člen 9 Direktive (EU) 2016/680 določa, da se lahko osebni podatki, zbrani za kateri koli namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, obdelujejo za namene, ki ne spadajo na področje preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, če tako obdelavo omogoča zakon (206). Ta vrsta izmenjave vključuje dva primera: (1) ko organ za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj posreduje podatke organu z drugega področja, ki ni obveščevalna agencija (na primer finančnemu ali davčnemu organu, organu za varstvo konkurence, socialnemu uradu za mladoletnike itd.), ter (2) ko organ za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj podatke posreduje obveščevalni agenciji. V prvem primeru obdelava osebnih podatkov spada na področje uporabe UK GDPR ter dela 2 zakona o varstvu podatkov iz leta 2018. Kot je določeno v sklepu, sprejetem v skladu z Uredbo (EU) 2016/679, je z zaščitnimi ukrepi iz UK GDPR in dela 2 zakona o varstvu podatkov iz leta 2018 zagotovljena raven varstva, v osnovi enakovredna tisti, ki se zagotavlja v Uniji (207).

(127)

V drugem primeru, tj. glede izmenjave podatkov, ki jih organ za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj zbere ter posreduje obveščevalni agenciji za namene nacionalne varnosti, pa je pravna podlaga za izmenjavo člen 19 zakona o boju proti terorizmu iz leta 2008 (Counter Terrorism Act 2008) (208). Na podlagi navedenega zakona iz leta 2008 lahko vsaka oseba daje informacije kateri koli obveščevalni službi za namene izvrševanja katere koli naloge take službe, vključno z „nacionalno varnostjo“.

(128)

Glede pogojev, na podlagi katerih je mogoča izmenjava podatkov za namene nacionalne varnosti, zakon o obveščevalnih službah (Intelligence Services Act) in zakon o varnostnih službah (Security Services Act) omejujeta zmožnost obveščevalnih služb za pridobivanje podatkov na tisto, kar je potrebno za izvrševanje njihovih zakonskih nalog. Pristojni organi, ki spadajo na področje uporabe dela 3 zakona o varstvu podatkov iz leta 2018, ki želijo posredovati podatke obveščevalnim službam, morajo poleg zakonskih nalog agencij, navedenih v zakonu o obveščevalnih službah in zakonu o varnostnih službah, proučiti več dejavnikov oziroma upoštevati več omejitev (209). Člen 20 zakona o boju proti terorizmu iz leta 2008 jasno določa, da mora biti vsaka izmenjava podatkov na podlagi člena 19 tega zakona v skladu z zakonodajo o varstvu podatkov; to pomeni, da se uporabljajo vse omejitve in zahteve iz dela 3 zakona o varstvu podatkov iz leta 2018. Nadalje, organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter obveščevalne službe so javni organi za namen zakona o človekovih pravicah iz leta 1998, ki si morajo zato prizadevati, da bi ravnali skladno s pravicami, zagotovljenimi na podlagi EKČP, vključno iz njenega člena 8. Povedano drugače, te zahteve pomenijo, da je vsakršna izmenjava podatkov med organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj in obveščevalnimi službami skladna z zakonodajo o varstvu podatkov in z EKČP.

(129)

Pri obdelavi osebnih podatkov, prejetih od organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, ki jo izvajajo obveščevalne službe za namene nacionalne varnosti, veljajo številni pogoji in zaščitni ukrepi (210). Del 4 zakona o varstvu podatkov iz leta 2018 se uporablja za vse primere obdelave, ki jih izvajajo obveščevalne službe ali ki se izvajajo v njihovem imenu. Določa zlasti glavna načela o varstvu podatkov (zakonitost, poštenost in preglednost (211); omejitev namena (212), najmanjši obseg podatkov (213), točnost (214); omejitev hrambe (215) in varnost (216)), določa tudi pogoje glede obdelave posebnih vrst podatkov (217) in pravice posameznikov, na katere se nanašajo osebni podatki (218), vsebuje zahtevo o vgrajenem varstvu podatkov (219) ter ureja mednarodni prenos osebnih podatkov (220).

(130)

Hkrati člen 110 zakona o varstvu podatkov iz leta 2018 določa izjemo od posebnih določb v delu 4 zakona o varstvu podatkov iz leta 2018, kadar je taka izjema potrebna za zaščito nacionalne varnosti. Člen 110(2) zakona o varstvu podatkov iz leta 2018 navaja seznam določb, pri katerih je mogoče uporabiti izjemo. Med njimi so načela o varstvu podatkov (razen načela zakonitosti), pravice posameznika, na katerega se nanašajo osebni podatki, obveznost obveščanja informacijskega pooblaščenca o kršitvi varnosti podatkov, inšpekcijska pooblastila informacijskega pooblaščenca v skladu z mednarodnimi obveznostmi, določena pooblastila informacijskega pooblaščenca za izvrševanje, določbe, na podlagi katerih se nekatere kršitve varnosti podatkov štejejo za kaznivo dejanje, in določbe, ki se nanašajo na posebne namene obdelave, na primer za novinarske, akademske ali umetniške namene. To izjemo je mogoče uporabiti le na podlagi analize vsakega primera posebej (221). Kot so pojasnili organi Združenega kraljestva in je bilo potrjeno s sodno prakso sodišč Združenega kraljestva, „(a) mora upravljavec upoštevati dejanske posledice za nacionalno varnost ali obrambo, če bi moral zagotoviti skladnost s posamezno določbo za varstvo podatkov, ter to, ali bi lahko razumno zagotovil skladnost z običajnim pravilom brez ogrožanja nacionalne varnosti ali obrambe“ (222). Urad informacijskega pooblaščenca nadzoruje, ali je bila izjema ustrezno uporabljena ali ne (223).

(131)

Nadalje, v zvezi z možnostjo omejitve uporabe navedenih posebnih pravic zaradi zaščite nacionalne varnosti je v členu 79 zakona o varstvu podatkov iz leta 2018 določeno, da lahko upravljavec zaprosi za izdajo potrdila, ki ga podpiše vladni minister ali generalni državni tožilec in ki potrjuje, da je, ali je kadar koli bila, omejitev takih pravic potreben in sorazmeren ukrep za zaščito nacionalne varnosti (224). Vlada Združenega kraljestva je izdala smernice za potrdila o omejitvah iz razlogov nacionalne varnosti na podlagi zakona o varstvu podatkov iz leta 2018, ki zlasti poudarjajo, da morajo biti vse omejitve pravic posameznikov, na katere se nanašajo osebni podatki, zaradi zaščite nacionalne varnosti sorazmerne in potrebne (225). Vsa potrdila o omejitvah iz razlogov nacionalne varnosti morajo biti objavljena na spletišču urada informacijskega pooblaščenca (226).

(132)

Potrdilo se izda za določen čas največ pet let, da ga lahko izvršilna oblast redno preverja (227). Potrdilo opredeljuje osebne podatke ali kategorije osebnih podatkov, za katere se uporabi izjema, ter določbe zakona o varstvu podatkov iz leta 2018, ki jih zadeva izjema (228).

(133)

Pomembno je omeniti, da potrdila o omejitvah iz razlogov nacionalne varnosti niso dodatni razlog za omejitev pravic do varstva podatkov iz razlogov nacionalne varnosti. Z drugimi besedami, upravljavec ali obdelovalec se lahko na potrdilo sklicuje le, če ugotovi, da se je treba sklicevati na izjemo zaradi nacionalne varnosti, kar pa mora uporabiti za vsak primer posebej. Tudi če se potrdilo o omejitvah iz razlogov nacionalne varnosti nanaša na posamezno zadevo, lahko urad informacijskega pooblaščenca prouči, ali je bilo v posameznem primeru sklicevanje na izjemo zaradi nacionalne varnosti upravičeno (229).

(134)

Oseba, ki je neposredno prizadeta zaradi izdaje potrdila, se lahko zaradi tega (230) pritoži pri sodišču Upper Tribunal (231), če so v potrdilu podatki opredeljeni s splošnim opisom, pa lahko izpodbija uporabo potrdila glede posameznih podatkov (232).

(135)

Sodišče prouči odločitev o izdaji potrdila in odloči, ali so za izdajo potrdila obstajali utemeljeni razlogi (233). Prouči lahko več vprašanj, vključno s potrebnostjo, sorazmernostjo in zakonitostjo, upošteva vpliv na pravice posameznikov, na katere se nanašajo podatki, in pretehta potrebo po zaščiti nacionalne varnosti. Posledično lahko sodišče ugotovi, da se potrdilo ne nanaša na določene osebne podatke, ki so predmet pritožbe (234).

(136)

Druga vrsta morebitnih omejitev se nanaša na tiste, ki se na podlagi dodatka 11 k zakonu o varstvu podatkov iz leta 2018, nanašajo na nekatere določbe dela 4 zakona o varstvu podatkov iz leta 2018 (235), da bi se zaščitili drugi pomembni cilji splošnega javnega interesa ali zaščiteni interesi, kot so na primer parlamentarni privilegij, varovanje zaupnosti sporazumevanja med odvetnikom in stranko, vodenje sodnega postopka ali bojna učinkovitost oboroženih sil. Uporaba teh določb je izvzeta za določene vrste informacij (izjema na podlagi vrste) ali če bi uporaba teh določb verjetno posegala v zaščitene interese (izjema na podlagi poseganja) (236). Na izjeme na podlagi poseganja se je mogoče sklicevati le, če je verjetno, da bi uporaba navedene določbe o varstvu podatkov posegala v zadevni posamezni interes. Uporaba izjeme mora torej biti vedno upravičena s sklicevanjem na zadevno poseganje, do katerega bi v posameznem primeru verjetno prišlo. Na izjeme na podlagi vrste se je mogoče sklicevati le glede specifičnih, ozko opredeljenih vrst informacij, glede katerih je uporaba izjeme mogoča. Te so glede na namen in učinek podobne več izjemam od UK GDPR (na podlagi dodatka 2 k zakonu o varstvu podatkov iz leta 2018), ki pa izražajo tiste iz člena 23 Splošne uredbe o varstvu podatkov.

(137)

Iz navedenega izhaja, da so na podlagi pravnih določb Združenega kraljestva, ki se uporabljajo, vzpostavljene omejitve in pogoji, kakor jih razlagajo tudi sodišča in informacijski pooblaščenec, ki zagotavljajo, da navedene izjeme in omejitve ostajajo znotraj okvirov tega, kar je potrebno in sorazmerno za zaščito nacionalne varnosti.

(138)

Informacijski pooblaščenec nadzoruje obdelavo osebnih podatkov, ki jo izvajajo obveščevalne službe v skladu z delom 4 zakona o varstvu podatkov iz leta DPA 2018 (237).

(139)

Splošne naloge informacijskega pooblaščenca v zvezi z obdelavo osebnih podatkov, ki jo izvajajo obveščevalne službe na podlagi dela 4 zakona o varstvu podatkov iz leta 2018, so določene v dodatku 13 k zakonu o varstvu podatkov iz leta 2018. Te med drugim vključujejo zlasti nadzor in izvajanje dela 4 zakona o varstvu podatkov iz leta 2018, večje ozaveščanje javnosti, svetovanje parlamentu, vladi in drugim institucijam o zakonodajnih in upravnih ukrepih, ozaveščanje upravljavcev in obdelovalcev o njihovih obveznostih, zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, o uveljavljanju njihovih pravic in izvajanje preiskav.

(140)

Kot je določeno v delu 3 zakona o varstvu podatkov iz leta 2018, je informacijski pooblaščenec pristojen za obveščanje upravljavca o domnevnih kršitvah, izdajanje opozoril, da bo obdelava verjetno kršila pravila, in izrekanje opominov ob potrditvi kršitve. Izdaja lahko tudi obvestila o izvršitvi in o plačilnem nalogu za kršitve določenih določb akta (238). Informacijski pooblaščenec pa v nasprotju z drugimi deli zakona o varstvu podatkov iz leta 2018 ne more izdati obvestila o preverjanju organu za nacionalno varnost (239).

(141)

Poleg tega je v členu 110 zakona o varstvu podatkov iz leta 2018 določena izjema od uporabe določenih pooblastil informacijskega pooblaščenca, ko je to potrebno zaradi zaščite nacionalne varnosti. To vključuje pristojnost informacijskega pooblaščenca, da lahko na podlagi zakona o varstvu podatkov izdaja obvestila (vseh vrst) (obvestilo o predložitvi informacij, obvestilo o preverjanju, obvestilo o izvršitvi in obvestilo o plačilnem nalogu), pristojnost za opravljanje inšpekcijskega nadzora v skladu z mednarodnimi obveznostmi, pristojnost za vstop in inšpekcijski pregled in pravila o kaznivih dejanjih (240). Te izjeme se bodo, kot je pojasnjeno v uvodni izjavi (136), uporabljale le, če so potrebne in sorazmerne in za vsak primer posebej. Uporaba teh izjem bi morala biti predmet sodne presoje (241).

(142)

Urad informacijskega pooblaščenca in obveščevalne službe Združenega kraljestva so podpisale memorandum o soglasju (242), ki vzpostavlja okvir za sodelovanje o številnih vprašanjih, vključno z obvestili o kršitvi varnosti podatkov in obravnavanjem pritožb posameznikov, na katere se nanašajo osebni podatki. V njem je določeno zlasti to, da urad informacijskega pooblaščenca ob prejetju pritožbe oceni, ali je bil sklic na izjemo zaradi nacionalne varnosti ustrezen. Odgovor na poizvedbe, ki jih opravi urad informacijskega pooblaščenca pri proučitvi pritožb posameznikov, je treba na podlagi zadevnih smernic vlade Združenega kraljestva za potrdila o omejitvah iz razlogov nacionalne varnosti v skladu z zakonom o varstvu podatkov poslati v 20 delovnih dneh, če gre za zaupne informacije, pa je treba pri tem uporabiti varne komunikacijske kanale. Urad informacijskega pooblaščenca je od aprila 2018 do danes prejel 21 pritožb posameznikov glede obveščevalnih služb. Vsako pritožbo je proučil in rezultat sporočil posamezniku, na katerega se nanašajo osebni podatki (243).

(143)

Odbor za obveščevalno in varnostno dejavnost (Intelligence and Security Committee) izvaja parlamentarni nadzor nad obdelavo podatkov, ki jo izvajajo obveščevalne službe. Njegova zakonska podlaga je zakon iz leta 2013 o pravosodju in varnosti (Justice and Security Act 2013) (244). Z zakonom je bil ustanovljen odbor parlamenta Združenega kraljestva za obveščevalno in varnostno dejavnost. Odbor za obveščevalno in varnostno dejavnost sestavljajo poslanci zgornjega ali spodnjega doma parlamenta Združenega kraljestva, ki jih imenuje predsednik vlade po posvetovanju z vodjem opozicije (245). Pripraviti mora letno poročilo za parlament o izvajanju svojih nalog in druga poročila, ki se mu zdijo ustrezna (246).

(144)

Odboru za obveščevalno in varnostno dejavnost so bila od leta 2013 podeljena večja pooblastila, vključno z nadzorom nad operativnimi dejavnostmi varnostnih služb. V skladu s členom 2 zakona o pravosodju in varnosti iz leta 2013 je naloga tega odbora nadzor nad odhodki, upravljanjem, politiko in operacijami nacionalnih varnostnih agencij. V zakonu o pravosodju in varnosti iz leta 2013 je določeno, da lahko ta odbor izvaja preiskave o operativnih zadevah, kadar se ne nanašajo na potekajoče operacije (247). V memorandumu o soglasju med predsednikom vlade in odborom za obveščevalno in varnostno dejavnost (248) so podrobno določeni elementi, ki se upoštevajo pri presoji, ali dejavnost ni del katere koli potekajoče operacije (249). Predsednik vlade lahko navedenemu odboru naroči tudi preiskavo tekočih operacij, poleg tega lahko odbor prouči informacije, ki jih agencije predložijo prostovoljno.

(145)

Odbor za obveščevalno in varnostno dejavnost lahko v skladu z dodatkom 1 k zakonu o pravosodju in varnosti iz leta 2013 prosi vodjo katere koli od treh obveščevalnih služb, da razkrije informacije. Služba mora take informacije dati na voljo, razen če pristojni minister vloži veto (250). Organi Združenega kraljestva so pojasnili, da se v praksi redko zgodi, da temu odboru kakšne informacije ne bi bile razkrite (251).

(146)

Glede pravnih sredstev lahko posameznik, na katerega se nanašajo osebni podatki, v skladu s členom 165(2) zakona o varstvu podatkov iz leta 2018 vloži pritožbo pri odboru za obveščevalno in varnostno dejavnost, če meni, da v zvezi z osebnimi podatki, ki se nanašajo nanj, obstaja kršitev iz dela 4 zakona o varstvu podatkov iz leta 2018, vključno z zlorabo odstopanj in omejitev na področju nacionalne varnosti.

(147)

Poleg tega so posamezniki v skladu z delom 4 zakona o varstvu podatkov iz leta 2018 upravičeni, da pri sodišču High Court (ali sodišču Court of Session na Škotskem) vložijo predlog za izdajo odločbe, ki od upravljavca zahteva, da upošteva pravice do dostopa do podatkov (252), do ugovora obdelavi (253) in do popravka ali izbrisa.

(148)

Posamezniki so prav tako upravičeni zahtevati odškodnino za škodo, ki nastane zaradi kršitve zahteve iz dela 4 zakona o varstvu podatkov iz leta 2018 s strani upravljavca ali obdelovalca (254). Škoda vključuje finančno in nefinančno izgubo, kot je na primer stiska (255).

(149)

Nazadnje, posameznik lahko zaradi ravnanja s strani ali v imenu obveščevalnih agencij Združenega kraljestva (256) vloži pritožbo pri sodišču, ki obravnava preiskovalna pooblastila (Investigatory Powers Tribunal). To sodišče je ustanovljeno z zakonom o urejanju preiskovalnih pooblastil iz leta 2000 za Anglijo, Wales in Severno Irsko in zakonom o urejanju preiskovalnih pooblastil (Škotska) iz leta 2000 za Škotsko ter je neodvisno od izvršilne veje oblasti (257). Člane tega sodišča v skladu s členom 65 zakona o urejanju preiskovalnih pooblastil iz leta 2000 imenuje kraljica za obdobje petih let.

(150)

Člana tega sodišča lahko s funkcije razreši kraljica, na podlagi nagovora (258) obeh domov parlamenta (259).

(151)

Da lahko posameznik vloži tožbo pri sodišču, ki obravnava preiskovalna pooblastila („procesno upravičenje“), mora biti v skladu s členom 65 zakona o urejanju preiskovalnih pooblastil iz leta 2000 prepričan o (i) obstoju ravnanja, ki ga je obveščevalna služba storila v zvezi z njim, njegovim premoženjem, komunikacijami, ki jih je poslal ali so mu bile poslane ali namenjene, ali uporabo poštnih storitev, telekomunikacijskih storitev ali telekomunikacijskega sistema (260), ter (ii) o tem, da je bilo ravnanje storjeno v „spornih okoliščinah“ (261) ali „storjeno s strani ali v imenu obveščevalnih služb“ (262). Ker se je zlasti ta standard prepričanja razlagal precej široko (263), se za predložitev zadeve navedenemu sodišču zahteva razmeroma nizek prag procesnega upravičenja.

(152)

Sodišče, ki obravnava preiskovalna pooblastila, mora pri obravnavanju vložene pritožbe proučiti, ali so osebe, zoper katere je vložena pritožba, ukrepale v razmerju do pritožnika ter kako je ravnal organ, ki je domnevno vpleten v kršitve, in ali je bilo domnevno ravnanje storjeno (264). Kadar sodišče, ki obravnava preiskovalna pooblastila, vodi postopek, mora pri sprejemanju odločitve v tem postopku uporabiti ista načela, kot bi jih uporabilo sodišče na podlagi zahteve za sodno presojo (265).

(153)

Sodišče, ki obravnava preiskovalna pooblastila, mora pritožnika obvestiti, ali je bila odločitev v njegovo korist ali ne (266). Sodišče, ki obravnava preiskovalna pooblastila, lahko v skladu s členom 67(6) in (7) zakona o urejanju preiskovalnih pooblastil iz leta 2000 izdaja začasne odredbe in priznava odškodnine ali izdaja druge odredbe, ki se mu zdijo primerne (267). V skladu s členom 67A zakona o urejanju preiskovalnih pooblastil iz leta 2000 se je mogoče pritožiti zoper odločitev sodišča, ki obravnava preiskovalna pooblastila, in sicer na podlagi dovoljenja tega sodišča ali ustreznega pritožbenega sodišča.

(154)

Posamezniki lahko pri sodišču, ki obravnava preiskovalna pooblastila, zlasti vložijo tožbo – in uveljavljajo pravna sredstva – kadar menijo, da je javni organ ravnal (ali predlaga ravnanje) na način, ki ni skladen s pravicami iz EKČP, vključno s pravico do zasebnosti in do varstva podatkov, kar je posledično nezakonito na podlagi člena 6(1) zakona o človekovih pravicah iz leta 1998. Sodišču, ki obravnava preiskovalna pooblastila, je bila podeljena izključna pristojnost za vse pritožbene zahtevke v zvezi z obveščevalnimi agencijami, ki se nanašajo na zakon o človekovih pravicah. Kot je navedlo sodišče High Court, to pomeni, da „lahko o tem, ali je bil na podlagi dejstev v posamezni zadevi kršen zakon o človekovih pravicah, načeloma odloča neodvisno sodišče, ki lahko ima dostop do vsega ustreznega gradiva, tudi tajnega. […] Pri tem upoštevamo tudi, da se je zoper odločitev sodišča, ki obravnava preiskovalna pooblastila, zdaj mogoče pritožiti pri ustreznem pritožbenem sodišču (v Angliji in Walesu je to sodišče Court of Appeal), sodišče Supreme Court pa je pred kratkim ugotovilo, da je načeloma mogoče zahtevati sodno presojo zoper odločitve sodišča, ki obravnava preiskovalna pooblastila: glej sodbo v zadevi R (Privacy International) proti Investigatory Powers Tribunal [2019] UKSC 22, [2019] 2 WLR 1219“ (268). Če sodišče, ki obravnava preiskovalna pooblastila, ugotovi, da je katero koli dejanje javnega organa nezakonito, lahko odobri odškodnino ali pravno sredstvo ali izda odredbo, kot meni, da je pravično in ustrezno ter za katero je pristojno (269).

(155)

Ko posameznik izčrpa nacionalna pravna sredstva, se lahko obrne na Evropsko sodišče za človekove pravice zaradi kršitev pravic, zagotovljenih na podlagi EKČP, vključno s pravico do zasebnosti in do varstva podatkov.

(156)

Iz navedenega izhaja, da izmenjava podatkov, prenesenih na podlagi tega sklepa, med organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj Združenega kraljestva in drugimi javnimi organi, vključno z obveščevalnimi agencijami, poteka v okviru omejitev in pogojev, ki zagotavljajo, da bodo taki nadaljnji prenosi potrebni in sorazmerni ter da se pri njih upoštevajo posebni zaščitni ukrepi za varstvo podatkov na podlagi zakona o varstvu podatkov iz leta 2018. Poleg tega obdelavo podatkov s strani zadevnih javnih organov nadzorujejo neodvisni javni organi, zadevni posamezniki pa imajo dostop do učinkovitih pravnih sredstev.

(157)

Komisija meni, da del 3 zakona o varstvu podatkov iz leta 2018 zagotavlja, da je raven varstva osebnih podatkov, ki jih za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj pristojni organi v Uniji prenašajo pristojnim organom Združenega kraljestva, v osnovi enakovredna ravni, zagotovljeni z Direktivo (EU) 2016/680.

(158)

Poleg tega Komisija meni, da gledano v celoti nadzorni mehanizmi in pravna sredstva v pravu Združenega kraljestva v praksi omogočajo, da se kršitve ugotovijo in kaznujejo, ter da so posameznikom, na katere se nanašajo osebni podatki, na voljo pravna sredstva, s katerimi lahko pridobijo dostop do osebnih podatkov, ki se nanašajo nanje, in po potrebi dosežejo popravek ali izbris takih podatkov.

(159)

Komisija glede na razpoložljive informacije o pravnem redu Združenega kraljestva nazadnje meni, da so vsi posegi v temeljne pravice posameznikov, katerih osebne podatke iz Evropske unije v Združeno kraljestvo prenašajo javni organi Združenega kraljestva v imenu javnega interesa, tudi v okviru izmenjave osebnih podatkov med organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj in drugimi javnimi organi, kot so organi nacionalne varnosti, omejeni na tisto, kar je nujno potrebno za doseganje zadevnega zakonitega cilja, ter da obstaja učinkovita pravna zaščita zoper take posege.

(160)

Zato bi bilo treba odločiti, da Združeno kraljestvo zagotavlja ustrezno raven varstva v smislu člena 36(2) Direktive (EU) 2016/680, kot se razlaga ob upoštevanju Listine EU o temeljnih pravicah.

(161)

Ta ugotovitev temelji na ustrezni nacionalni ureditvi Združenega kraljestva in na njegovih mednarodnih zavezah, zlasti zavezanosti Evropski konvenciji o varstvu človekovih pravic ter priznavanju pristojnosti Evropskega sodišča za človekove pravice. Nadaljnja zavezanost takim mednarodnim obveznostim je torej posebej pomemben element ocene, na kateri temelji ta sklep.

(162)

Države članice in njihovi organi morajo sprejeti ukrepe, potrebne za zagotavljanje skladnosti z akti institucij Unije, saj se domneva, da so ti zakoniti in imajo pravne učinke, dokler se njihova veljavnost ne izteče, dokler niso preklicani, razglašeni za nične v okviru ničnostne tožbe ali razglašeni za neveljavne v okviru postopka predhodnega odločanja ali ugovora nezakonitosti.

(163)

Zato je sklep Evropske komisije o ustreznosti, sprejet na podlagi člena 36(3) Direktive (EU) 2016/680, zavezujoč za vse organe držav članic, na katere je naslovljen, vključno z njihovimi neodvisnimi nadzornimi organi. Natančneje, prenosi od upravljavca ali obdelovalca v Uniji upravljavcu ali obdelovalcu v Združenem kraljestvu lahko v obdobju uporabe tega sklepa potekajo, ne da bi bilo treba pridobiti nadaljnje dovoljenje.

(164)

Hkrati je treba opozoriti, da v skladu s členom 47(5) Direktive (EU) 2016/680 in glede na pojasnila Sodišča v sodbi v zadevi Schrems velja, da če ima nacionalni organ za varstvo podatkov, med drugim kadar je prejel pritožbo, pomisleke o skladnosti sklepa Komisije o ustreznosti s temeljnimi pravicami posameznika do zasebnosti in varstva podatkov, mu mora nacionalno pravo zagotavljati pravno sredstvo za predložitev teh očitkov nacionalnemu sodišču, od katerega se lahko zahteva, da Sodišču predloži predlog za sprejetje predhodne odločbe (270).

(165)

Komisija v skladu s členom 36(4) Direktive (EU) 2016/680 redno spremlja razvoj dogodkov v Združenem kraljestvu po sprejetju tega sklepa, da lahko presodi, ali Združeno kraljestvo še vedno zagotavlja v osnovi enakovredno raven varstva. Tako spremljanje je v tem primeru še posebej pomembno, saj bo Združeno kraljestvo upravljalo, uporabljalo in izvajalo novo ureditev varstva podatkov, za katero se ne uporablja več pravo Unije in se bo morda spremenila. Posebna pozornost v okviru tega spremljanja bo namenjena temu, kako Združeno kraljestvo v praksi uporablja svoja pravila za prenose osebnih podatkov v tretje države, vključno s sklenitvijo mednarodnih sporazumov, ter učinek, ki ga lahko to ima na raven varstva, ki se zagotavlja za podatke, ki se prenesejo na podlagi tega sklepa, pa tudi na učinkovitost uveljavljanja pravic posameznika na področjih, zajetih s tem sklepom. Komisija bo pri spremljanju med drugim upoštevala razvoj sodne prakse ter nadzor, ki ga izvajajo urad informacijskega pooblaščenca in drugi neodvisni organi.

(166)

Za lajšanje tega spremljanja bi morali organi Združenega kraljestva Komisijo brez odlašanja in redno obveščati o vsaki bistveni spremembi pravnega reda Združenega kraljestva, ki vpliva na pravni okvir, ki je predmet tega sklepa, ter o vsakem razvoju praks v zvezi z obdelavo osebnih podatkov, ocenjenih v tem sklepu, zlasti glede elementov, omenjenih v uvodni izjavi (165).

(167)

Poleg tega bi morale države članice Komisijo obveščati o vseh pomembnih ukrepih nacionalnih organov za varstvo podatkov, zlasti glede poizvedb ali pritožb posameznikov iz EU, na katere se nanašajo osebni podatki, v zvezi s prenosom osebnih podatkov iz Unije pristojnim organom v Združenem kraljestvu, da lahko Komisija učinkovito izvaja naloge spremljanja. Komisija bi morala biti obveščena tudi o vseh indicih, da ukrepi javnih organov Združenega kraljestva, odgovornih za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj, vključno z vsemi nadzornimi organi, ne zagotavljajo zahtevane ravni varstva.

(168)

Če se na podlagi razpoložljivih informacij, zlasti tistih, ki izhajajo iz spremljanja tega sklepa ali ki jih zagotovijo organi Združenega kraljestva ali držav članic, ugotovi, da raven varstva, ki ga zagotavlja Združeno kraljestvo, morda ni več ustrezna, bi morala Komisija o tem nemudoma obvestiti pristojne organe Združenega kraljestva in zahtevati, da v določenem roku, ki ne sme presegati treh mesecev, sprejmejo ustrezne ukrepe. To obdobje se lahko po potrebi podaljša za določeno obdobje, pri čemer se upoštevata narava zadevnega vprašanja in/ali ukrepov, ki jih je treba sprejeti.

(169)

Če pristojni organi Združenega kraljestva ob preteku tega določenega roka ne sprejmejo navedenih ukrepov ali drugače zadovoljivo dokažejo, da ta sklep še naprej temelji na ustrezni ravni varstva, bo Komisija začela postopek iz člena 58(2) Direktive (EU) 2016/680 za začasno zadržanje izvajanja ali za razveljavitev dela ali celotnega tega sklepa.

(170)

Druga možnost je, da bo Komisija začela postopek za spremembo tega sklepa, zlasti z uvedbo dodatnih pogojev za prenos podatkov ali z omejitvijo področja uporabe ugotovitve o ustreznosti samo na prenose podatkov, za katere je še naprej zagotovljena ustrezna raven varstva.

(171)

Komisija bo v nujnih in ustrezno utemeljenih primerih uporabila možnost, da v skladu s postopkom iz člena 58(3) Direktive (EU) 2016/680 sprejme izvedbene akte, ki se začnejo uporabljati takoj in s katerimi se začasno zadrži izvajanje tega sklepa oziroma se sklep razveljavi ali spremeni.

(172)

Upoštevati je treba, da bo Združeno kraljestvo ob koncu prehodnega obdobja, določenega v sporazumu o izstopu, in takoj po prenehanju uporabe začasne določbe iz člena 782 sporazuma o trgovini in sodelovanju med EU in Združenim kraljestvom upravljalo, uporabljalo in izvajalo novo ureditev varstva podatkov, ne pa več ureditve, ki je veljala, ko jo je zavezovalo pravo Evropske unije. To lahko vključuje zlasti dopolnitve ali spremembe okvira varstva podatkov, ki se ocenjuje v tem sklepu, ter drug ustrezen razvoj.

(173)

Zato je primerno določiti, da ta sklep velja štiri leta od začetka njegove veljavnosti.

(174)

Kadar zlasti iz informacij, ki izhajajo iz spremljanja tega sklepa, izhaja, da so ugotovitve, ki se nanašajo na ustreznost ravni varstva, ki se zagotavlja v Združenem kraljestvu, še vedno dejansko in pravno upravičene, bi morala Komisija najpozneje šest mesecev pred prenehanjem uporabe tega sklepa začeti postopek za spremembo tega sklepa, tako da se veljavnost načeloma podaljša za dodatna štiri leta. Vsak tak izvedbeni akt, ki spreminja ta sklep, mora biti sprejet v skladu s postopkom iz člena 58(2) Direktive (EU) 2016/680.

(175)

Evropski odbor za varstvo podatkov je objavil svoje mnenje (271), ki je bilo upoštevano pri pripravi tega sklepa.

(176)

Ukrepi iz tega sklepa so v skladu z mnenjem odbora, ustanovljenega na podlagi člena 58 Direktive (EU) 2016/680.

(177)

V skladu s členom 6a Protokola št. 21 o stališču Združenega kraljestva in Irske v zvezi z območjem svobode, varnosti in pravice, ki je priložen PEU in PDEU, pravila iz Direktive (EU) 2016/680 in zato tega izvedbenega sklepa, ki se nanašajo na obdelavo osebnih podatkov s strani držav članic, kadar opravljajo dejavnosti s področja uporabe poglavja 4 ali 5 naslova V tretjega dela PDEU, za Irsko niso zavezujoča, če je ne zavezujejo pravila, ki urejajo oblike pravosodnega sodelovanja v kazenskih zadevah ali policijskega sodelovanja, v okviru katerih je treba upoštevati določbe, sprejete na podlagi člena 16 PDEU. Poleg tega Irska na podlagi Izvedbenega sklepa Sveta (EU) 2020/1745 (272) od 1. januarja 2021 začasno izvaja in uporablja Direktivo (EU) 2016/680. Irsko zato zavezuje ta izvedbeni sklep pod enakimi pogoji, kot veljajo za uporabo Direktive (EU) 2016/680 na Irskem, kakor so bili določeni v Izvedbenem sklepu Sveta (EU) 2020/1745 glede schengenskega pravnega reda, v katerem sodeluje.

(178)

V skladu s členoma 2 in 2a Protokola št. 22 o stališču Danske, ki je priložen Pogodbi o Evropski uniji in Pogodbi o delovanju Evropske unije, pravila iz Direktive (EU) 2016/680 in zato tega izvedbenega sklepa, ki se nanašajo na obdelavo osebnih podatkov s strani držav članic, kadar opravljajo dejavnosti s področja uporabe poglavja 4 ali 5 naslova V tretjega dela PDEU, za Dansko niso zavezujoča in se v njej ne uporabljajo. Ker Direktiva (EU) 2016/680 nadgrajuje schengenski pravni red, je Danska v skladu s členom 4 navedenega protokola 26. oktobra 2016 priglasila svojo odločitev o izvajanju Direktive (EU) 2016/680. Danska je tako v skladu z mednarodnim pravom zavezana izvajati ta izvedbeni sklep.

(179)

Kar zadeva Islandijo in Norveško, ta izvedbeni sklep pomeni razvoj določb schengenskega pravnega reda v smislu Sporazuma, sklenjenega med Svetom Evropske unije in Republiko Islandijo ter Kraljevino Norveško v zvezi s pridružitvijo teh dveh držav k izvajanju, uporabi in razvoju schengenskega pravnega reda (273).

(180)

Kar zadeva Švico, ta izvedbeni sklep pomeni razvoj določb schengenskega pravnega reda v smislu Sporazuma med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda (274).

(181)

Kar zadeva Lihtenštajn, ta izvedbeni sklep pomeni razvoj določb schengenskega pravnega reda v smislu Protokola med Evropsko unijo, Evropsko skupnostjo, Švicarsko konfederacijo in Kneževino Lihtenštajn o pristopu Kneževine Lihtenštajn k Sporazumu med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda (275) –