(1)

I förordning (EU) 2016/679 fastställs regler för överföring av personuppgifter från personuppgiftsansvariga eller personuppgiftsbiträden i Europeiska unionen till tredjeländer och internationella organisationer i den mån sådana överföringar omfattas av förordningens tillämpningsområde. Reglerna om internationella överföringar av uppgifter fastställs i kapitel V i den förordningen, dvs. i artiklarna 44–50. Flödet av personuppgifter till och från länder utanför Europeiska unionen är av avgörande betydelse för det internationella samarbetet och den gränsöverskridande handeln men skyddet av personuppgifter i Europeiska unionen får inte undergrävas av överföringar till tredjeländer (2).

(2)

Enligt artikel 45.3 i förordning (EU) 2016/679 får kommissionen genom en genomförandeakt besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer i ett tredjeland eller en internationell organisation säkerställer en adekvat skyddsnivå. Enligt detta villkor får överföring av personuppgifter till ett tredjeland ske utan ytterligare tillstånd enligt artikel 45.1 och skäl 103 i den förordningen.

(3)

Enligt artikel 45.2 i förordning (EU) 2016/679 måste antagandet av ett beslut om adekvat skyddsnivå grundas på en omfattande analys av tredjelandets rättsordning som omfattar både de regler som är tillämpliga på uppgiftsinföraren, begränsningarna och skyddsåtgärderna när det gäller myndigheters tillgång till personuppgifter. I sin bedömning måste kommissionen avgöra om det berörda tredjelandet garanterar en skyddsnivå som ”i allt väsentligt är likvärdig” med den som säkerställs inom Europeiska unionen (skäl 104 i förordning (EU) 2016/679). Den standard mot vilken den ”väsentliga likvärdigheten” bedöms är den som fastställs i EU-lagstiftningen, särskilt förordning (EU) 2016/679 samt rättspraxis från Europeiska unionens domstol (3). Europeiska dataskyddsstyrelsens referensram för adekvat skyddsnivå är också av betydelse i detta avseende (4).

(4)

Enligt EU-domstolen kräver detta inte att en identisk skyddsnivå uppnås (5). I synnerhet kan de medel som tredjelandet i fråga har till sitt förfogande för att skydda personuppgifter skilja sig från dem som används i Europeiska unionen förutsatt att de i praktiken visar sig vara effektiva för att säkerställa en adekvat skyddsnivå (6). Standarden för en adekvat skyddsnivå kräver därför inte att unionens regler kopieras till punkt och pricka. Det handlar snarare om huruvida det utländska systemet som helhet, genom innehållet i rätten till dataskydd och dess faktiska genomförande, övervakning och verkställighet, uppnår den skyddsnivå som krävs (7).

(5)

Kommissionen har noggrant analyserat Förenade kungarikets lagstiftning och praxis. På grundval av konstateranden som utvecklas i skälen 8–270 drar kommissionen slutsatsen att Förenade kungariket säkerställer en adekvat skyddsnivå för personuppgifter som inom tillämpningsområdet för förordning (EU) 2016/679 överförs från Europeiska unionen till Förenade kungariket.

(6)

Denna slutsats rör inte personuppgifter som överförs för användning i Förenade kungarikets invandringskontroll eller som på annat sätt omfattas av undantaget från vissa registrerades rättigheter i fråga om upprätthållandet av en effektiv invandringskontroll (”invandringsundantaget”) enligt artikel 4.1 i tillägg 2 till den brittiska dataskyddslagen (UK Data Protection Act). Giltigheten och tolkningen av invandringsundantaget enligt brittisk lagstiftning har ännu inte fastställts, på grund av ett beslut från appellationsdomstolen för England och Wales av den 26 maj 2021. Även om appellationsdomstolen har bekräftat att registrerades rättigheter i princip kan begränsas när det gäller invandringskontroll som ”en fråga av viktigt allmänintresse ” har den slagit fast att invandringsundantaget i sin nuvarande form är oförenligt med brittisk rätt, eftersom lagstiftningsåtgärden saknar specifika bestämmelser som fastställer de skyddsåtgärder som anges i artikel 23.2 i Förenade kungarikets allmänna dataskyddsförordning (den brittiska dataskyddsförordningen) (8). Under dessa förhållanden bör överföring av personuppgifter från unionen till Förenade kungariket undantas från detta besluts tillämpningsområde om personuppgifterna i fråga omfattas av invandringsundantaget (9). När den brittiska lagstiftningen har gjorts förenlig bör invandringsundantaget och behovet av att upprätthålla begränsningen av detta besluts tillämpningsområde tas upp till förnyad bedömning.

(7)

Detta beslut bör inte påverka den direkta tillämpningen av förordning (EU) 2016/679 på organisationer som är etablerade i Förenade kungariket om villkoren för den förordningens territoriella tillämpningsområde, som fastställs i artikel 3 i den förordningen, är uppfyllda.

(8)

Förenade kungariket är en parlamentarisk demokrati som har en konstitutionell monark som statschef. Det har ett suveränt parlament som är högsta instans för alla andra statliga institutioner, en verkställande makt som är utvald av och ansvarig inför parlamentet och ett oberoende rättsväsende. Den verkställande makten får sitt bemyndigande från sin förmåga att upprätthålla det valda underhusets förtroende och är ansvarig inför båda kamrarna i parlamentet som ansvarar för att granska regeringen samt debattera och stifta lagar.

(9)

Det brittiska parlamentet har delegerat ansvaret till det skotska parlamentet, det walesiska parlamentet (Senedd Cymru) och Nordirlands parlament för att lagstifta om inrikes frågor i Skottland, Wales och Nordirland vilket det brittiska parlamentet inte har förbehållit sig självt. Uppgiftsskydd är en reserverad fråga, dvs. samma lagstiftning gäller i hela landet, medan andra politikområden som är relevanta för detta beslut har delegerats. Till exempel har Skottlands och Nordirlands straffrättsliga system, inklusive polisväsendet, delegerats till det skotska parlamentet respektive Nordirlands parlament. Förenade kungariket har inte någon kodifierad konstitution i form av ett grundläggande konstituerande dokument. Konstitutionella principer har med tiden vuxit fram, särskilt från rättspraxis och konvention. Det konstitutionella värdet av vissa lagar, till exempel Magna Carta, Bill of Rights 1689 och Human Rights Act 1998, har erkänts av domstolarna. Enskilda personers grundläggande rättigheter har utvecklats, som en del av konstitutionen, genom common law, dessa stadgar och internationella fördrag, särskilt den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna som Förenade kungariket ratificerade 1951. Förenade kungariket ratificerade även Europarådets konvention om skydd för enskilda personer vid automatisk databehandling av personuppgifter (konvention 108) 1987 (10).

(10)

Genom Human Rights Act 1998 införlivas rättigheterna i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna i Förenade kungarikets lagstiftning. Human Rights Act ger varje enskild de grundläggande rättigheter och friheter som föreskrivs i artiklarna 2–12 och 14 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, artiklarna 1, 2 och 3 i dess första protokoll och artikel 1 i dess trettonde protokoll, jämförda med artiklarna 16, 17 och 18 i den konventionen. Detta inbegriper rätten till respekt för privatlivet och familjelivet (och rätten till skydd av personuppgifter som en del av denna rätt) och rätten till en rättvis rättegång (11). Enligt artikel 8 i den konventionen får en myndighet endast ingripa i rätten till privatliv i enlighet med lag om det är nödvändigt i ett demokratiskt samhälle med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd, för att förebygga oordning eller brott, för att skydda hälsa eller moral eller för att skydda andras fri- och rättigheter.

(11)

I enlighet med Human Rights Act 1998 måste alla åtgärder som vidtas av myndigheter vara förenliga med en rättighet enligt konventionen (12). Dessutom måste primär- och sekundärrätten läsas och genomföras på ett sätt som är förenligt med konventionens rättigheter (13).

(12)

Storbritannien lämnade EU den 31 januari 2020. På grundval av avtalet om Förenade konungariket Storbritannien och Nordirlands utträde ur Europeiska unionen och Europeiska atomenergigemenskapen (14) fortsatte unionsrätten att tillämpas i Förenade kungariket under övergångsperioden till och med den 31 december 2020. Före utträdet och under övergångsperioden bestod den rättsliga ramen för skydd av personuppgifter i Förenade kungariket av relevant EU-lagstiftning (särskilt förordning (EU) 2016/679 och Europaparlamentets och rådets direktiv (15) (EU) 2016/680) och nationell lagstiftning, särskilt 2018 års dataskyddslag (16) som innehöll nationella bestämmelser, när så var tillåtet enligt förordning (EU) 2016/679, som preciserade och begränsade tillämpningen av bestämmelserna i förordning (EU) 2016/679 och införlivade direktiv (EU) 2016/680.

(13)

Som en förberedelse inför EU-utträdet antog Förenade kungarikets regering European Union (Withdrawal) Act 2018 (17) som införlivar direkt tillämplig unionslagstiftning i Förenade kungarikets lagstiftning (18). Denna så kallade bibehållna EU-lagstiftning omfattar förordning (EU) 2016/679 i sin helhet (inklusive skälen) (19). I enlighet med den akten måste den oförändrat bibehållna EU-lagstiftningen tolkas av domstolarna i Förenade kungariket i enlighet med relevant rättspraxis från Europeiska unionens domstol och allmänna principer i unionsrätten eftersom de har verkan omedelbart före övergångsperiodens utgång (bibehållen EU-rättspraxis respektive bibehållen allmän EU-rättspraxis) (20).

(14)

Enligt European Union (Withdrawal) Act 2018 har Förenade kungarikets ministrar befogenhet att införa sekundärlagstiftning genom förordningar, för att göra nödvändiga ändringar av bibehållen EU-lagstiftning till följd av Förenade kungarikets utträde ur Europeiska unionen. Ministrarna utövade denna befogenhet genom 2019 års förordningar om dataskydd, integritet och elektronisk kommunikation (ändringar osv.) (EU Exit) (DPPEC-förordningarna) (21). DPPEC-förordningarna ändrar förordning (EU) 2016/679 så som den införlivats i brittisk lagstiftning genom European Union (Withdrawal) Act 2018, 2018 års dataskyddslag och annan dataskyddslagstiftning för att passa det inhemska sammanhanget (22).

(15)

Den rättsliga ramen för skydd av personuppgifter i Förenade kungariket efter övergångsperiodens utgång består följaktligen av följande:

(16)

Eftersom den brittiska dataskyddsförordningen bygger på EU-lagstiftningen återspeglar dataskyddsbestämmelserna i Förenade kungariket i många avseenden nära motsvarande regler som är tillämpliga inom Europeiska unionen.

(17)

Utöver de befogenheter som den ansvariga ministern (Secretary of State) ges genom European Union (Withdrawal) Act 2018 ger flera bestämmelser i 2018 års dataskyddslag den ansvariga ministern befogenhet att anta sekundärlagstiftning för att ändra vissa bestämmelser i lagen eller föreskriva kompletterande och ytterligare regler (25). Den ansvariga ministern har hittills endast utövat sin befogenhet enligt avsnitt 137 i 2018 års dataskyddslag att anta 2019 års förordningar om skydd av personuppgifter (Avgifter och information) (Ändring) som anger under vilka omständigheter personuppgiftsansvariga är skyldiga att betala en årlig avgift till Förenade kungarikets oberoende dataskyddsmyndighet, the Information Commissioner.

(18)

Slutligen ges ytterligare vägledning om Förenade kungarikets dataskyddslagstiftning i de uppförandekoder och andra riktlinjer som antagits av the Information Commissioner. Även om vägledningen inte är formellt rättsligt bindande har den tolkningstyngd och visar hur dataskyddslagstiftningen tillämpas och verkställs av the Commissioner i praktiken. Enligt avsnitten 121–125 i 2018 års dataskyddslag ska the Commissioner utarbeta uppförandekoder för datadelning, direktmarknadsföring, åldersanpassad utformning samt dataskydd och journalistik.

(19)

Den brittiska rättsliga ram som är tillämplig på uppgifter som överförs enligt detta beslut är således mycket lik den som gäller i Europeiska unionen i dess struktur och huvudkomponenter. Detta inbegriper det faktum att en sådan ram inte enbart bygger på skyldigheter som föreskrivs i nationell rätt, som har utformats genom unionsrätten, utan även på skyldigheter som följer av internationell rätt, särskilt genom Förenade kungarikets anslutning till den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och konvention 108 samt dess överlämnande till Europeiska domstolen för de mänskliga rättigheternas jurisdiktion. Dessa skyldigheter som följer av rättsligt bindande internationella instrument, särskilt när det gäller skydd av personuppgifter, är därför en särskilt viktig del av den rättsliga ram som bedöms i detta beslut.

(20)

I likhet med förordning (EU) 2016/679 är den brittiska dataskyddsförordningen tillämplig på behandling av personuppgifter helt eller delvis på automatisk väg eller på annan behandling om personuppgifterna ingår i ett register (26). Definitionerna av ”personuppgifter”, ”den registrerade” och ”behandling” i den brittiska dataskyddsförordningen är identiska med definitionerna i förordning (EU) 2016/679 (27). Dessutom är den brittiska dataskyddsförordningen tillämplig på behandling av manuella ostrukturerade personuppgifter (28) som innehas av vissa brittiska myndigheter (29) även om brittiska principer och rättigheter som inte är relevanta för sådana personuppgifter inte tillämpas i avsnitten 24 och 25 i 2018 års dataskyddslag. I likhet med vad som föreskrivs i förordning (EU) 2016/679 är den brittiska dataskyddsförordningen inte tillämplig på behandling av personuppgifter som utförs av en enskild person i samband med verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll (30).

(21)

Den brittiska dataskyddsförordningen utvidgar tillämpningsområdet till att även omfatta behandling inom ramen för en verksamhet som omedelbart före övergångsperiodens utgång inte omfattades av unionsrättens tillämpningsområde (t.ex. nationell säkerhet) (31) eller omfattades av kapitel 2 i avdelning 5 i fördraget om Europeiska unionen (verksamhet inom den gemensamma utrikes- och säkerhetspolitiken) (32). På samma sätt som i Europeiska unionens system är den brittiska dataskyddsförordningen inte tillämplig på en behörig myndighets behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet skydd mot och förebyggande av hot mot den allmänna säkerheten (så kallade brottsbekämpande ändamål) – sådan behandling regleras i stället av del 3 i 2018 års dataskyddslag vilket är fallet för direktiv (EU) 2016/680 enligt EU-rätten – eller behandling av personuppgifter som utförs av underrättelsetjänster (Security Service, Secret Intelligence Service och the Government Communications Headquarters) som omfattas av enligt unionsrätten – eller behandling av personuppgifter som täcks av del 4 i 2018 års dataskyddslag (33).

(22)

Den brittiska dataskyddsförordningens territoriella tillämpningsområde anges i artikel 3 i den brittiska dataskyddsförordningen (34) och omfattar behandling av personuppgifter (oavsett var de äger rum) i samband med verksamhet vid en personuppgiftsansvarigs eller ett personuppgiftsbiträdes verksamhetsställe i Förenade kungariket samt behandling av personuppgifter om registrerade som befinner sig i Förenade kungariket om behandlingen har samband med erbjudande av varor eller tjänster till sådana registrerade eller övervakning av deras beteende (35). Detta återspeglar tillvägagångssättet i artikel 3 i förordning (EU) 2016/679.

(23)

Definitionerna av personuppgifter, behandling, personuppgiftsansvarig, personuppgiftsbiträde och definitionen av pseudonymisering i förordning (EU) 2016/679 har behållits i den brittiska dataskyddsförordningen utan väsentliga ändringar (36). Dessutom definieras särskilda kategorier av uppgifter i artikel 9.1 i den brittiska dataskyddsförordningen på samma sätt som i förordning (EU) 2016/679 (”avslöjande av ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter i syfte att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning”). I avsnitt 205 i 2018 års dataskyddslag definieras ”biometriska uppgifter” (37), ”uppgifter om hälsa” (38) och ”genetiska uppgifter” (39).

(24)

Personuppgifter bör behandlas på ett lagligt och korrekt sätt.

(25)

Principerna om laglighet, rättvisa och öppenhet samt grunderna för laglig behandling garanteras i Förenade kungarikets lagstiftning genom artiklarna 5.1 a och 6.1 i den brittiska dataskyddsförordningen som är identiska med respektive bestämmelser i förordning (EU) 2016/679. (40) Avsnitt 8 i 2018 års dataskyddslag kompletterar artikel 6.1 e genom att föreskriva att behandling av personuppgifter enligt artikel 6.1 e i den brittiska dataskyddsförordningen (som är nödvändig för att utföra en uppgift av allmänintresse eller som ett led i utövandet av den personuppgiftsansvarigas officiella befogenheter) omfattar behandling av personuppgifter som är nödvändig för rättskipningen, utövande av en funktion i någondera av parlamentets kammare, utövande av en funktion som tilldelats en person genom förordning eller en rättsregel, främjar utövandet av kronans funktioner, en av kronans ministrar eller ett regeringsministerium eller en aktivitet som stöder eller gynnar demokratiskt engagemang.

(26)

När det gäller samtycke (en av grunderna för laglig behandling) behåller den brittiska dataskyddsförordningen även de villkor som anges i artikel 7 i förordning (EU) 2016/679 utan ändringar, dvs. att den personuppgiftsansvariga måste kunna visa att den registrerade har gett sitt samtycke, att en skriftlig begäran om samtycke måste lämnas in på ett klart och tydligt språk, att den registrerade måste ha rätt att när som helst dra tillbaka sitt samtycke och vid bedömningen av huruvida samtycket lämnas frivilligt bör hänsyn tas till huruvida fullgörandet av ett avtal är villkorat av att samtycke inte krävs för behandling av personuppgifter. Enligt artikel 8 i den brittiska dataskyddsförordningen är dessutom ett barns samtycke i samband med tillhandahållande av informationssamhällets tjänster lagligt endast om barnet är minst 13 år gammalt. Detta ligger inom den åldersgrupp som fastställs i artikel 8 i förordning (EU) 2016/679.

(27)

Specifika skyddsåtgärder bör vidtas när ”särskilda kategorier av uppgifter” behandlas.

(28)

Den brittiska dataskyddsförordningen och 2018 års dataskyddslag innehåller särskilda regler för behandling av särskilda kategorier av personuppgifter som definieras i artikel 9.1 i den brittiska dataskyddsförordningen på samma sätt som i förordning (EU) 2016/679 (se skäl 23 ovan). Enligt artikel 9 i den brittiska dataskyddsförordningen är behandling av särskilda kategorier av uppgifter i princip förbjuden, såvida inte ett särskilt undantag gäller.

(29)

Dessa undantag (som förtecknas i artikel 9.2 och 3 i den brittiska dataskyddsförordningen) ändrar inte innehållet i artikel 9.2 och 3 i förordning (EU) 2016/679. Såvida inte den registrerade har lämnat sitt uttryckliga samtycke till behandlingen av dessa personuppgifter är behandling av särskilda kategorier av personuppgifter endast tillåten under särskilda och begränsade omständigheter. I de flesta fall måste behandlingen av känsliga uppgifter vara nödvändig för ett specifikt ändamål som definieras i den relevanta bestämmelsen (se artikel 9.2 b, c, f, g, h, i och j).

(30)

Om ett undantag enligt artikel 9.2 i den brittiska dataskyddsförordningen kräver tillstånd enligt lag eller hänvisar till allmänintresset anges dessutom i avsnitt 10 i 2018 års dataskyddslag tillsammans med tillägg 1 till samma lag vilka villkor som måste vara uppfyllda för att undantagen ska kunna åberopas. När det till exempel gäller behandling av känsliga uppgifter för att skydda ”folkhälsan” (artikel 9.2 i) i den brittiska dataskyddsförordningen) krävs det i punkt 3 b i del 1 i tillägg 1 att sådan behandling, utöver nödvändighetstestet, utförs ”av eller på ansvar av hälso- och sjukvårdspersonal” eller ”av en annan person som är skyldig att iaktta tystnadsplikt enligt en lag eller en rättsregel”, inbegripet enligt den väletablerade sedvanerättsliga tystnadsplikten.

(31)

När känsliga uppgifter behandlas av skäl som rör ett väsentligt allmänintresse (artikel 9.2 g i den brittiska dataskyddsförordningen) innehåller del 2 i bilaga 1 till 2018 års dataskyddslag en uttömmande förteckning över ändamål som kan anses vara av väsentligt allmänt intresse och för vart och ett av dessa syften fastställs särskilda ytterligare villkor. Till exempel erkänns främjande av mångfald när det gäller rastillhörighet och etniskt ursprung på högre nivåer i organisationer som ett viktigt allmänintresse. Behandling av känsliga uppgifter för detta särskilda ändamål omfattas av detaljerade krav, bland annat att behandlingen utförs som ett led i en process för att identifiera lämpliga personer som kan inneha höga befattningar och är nödvändig för att främja mångfald när det gäller raser samt etnisk mångfald och sannolikt inte kommer att orsaka den registrerade betydande skada eller betydande lidande.

(32)

I avsnitt 11.1 i 2018 års dataskyddslag fastställs villkor för behandling av personuppgifter under de omständigheter som beskrivs i artikel 9.3 i den brittiska dataskyddsförordningen avseende tystnadsplikt. Detta inbegriper omständigheter under vilka det utförs av eller under ansvar av hälso- och sjukvårdspersonal eller socialarbetare eller av en annan person som under dessa omständigheter är skyldig att iaktta tystnadsplikt enligt en lag eller en rättsregel.

(33)

Dessutom kräver många av de undantag som anges i artikel 9.2 i den brittiska dataskyddsförordningen lämpliga och specifika skyddsåtgärder för att de ska kunna användas. Beroende på behandlingens art och risknivån för de registrerades rättigheter och friheter fastställs olika skyddsåtgärder i villkoren för behandling i bilaga 1 – till 2018 års dataskyddslag. I tillägg 1 anges villkoren för varje behandlingssituation i tur och ordning.

(34)

I vissa fall reglerar och begränsar 2018 års dataskyddslag den typ av känsliga uppgifter som får behandlas för att en viss rättslig grund ska efterlevas. Exempelvis är det enligt punkt 8 i tillägg 1 tillåtet att behandla känsliga uppgifter i syfte att främja lika möjligheter eller likabehandling. Detta behandlingstillstånd får endast användas om uppgifterna avslöjar ras eller etniskt ursprung, religiös eller filosofisk övertygelse, sexuell läggning eller hälsouppgifter.

(35)

I vissa fall begränsar 2018 års dataskyddslag den typ av personuppgiftsansvarig som får använda behandlingsvillkoret. I punkt 23 i tillägg 1 föreskrivs exempelvis behandling av känsliga uppgifter i samband med de förtroendevaldas svar till allmänheten. Detta behandlingsvillkor kan endast användas om den personuppgiftsansvariga är vald företrädare eller agerar under deras överinseende.

(36)

I vissa andra fall fastställs gränser för vilka kategorier av registrerade som får användas i 2018 års dataskyddslag. I punkt 21 i tillägg 1 regleras exempelvis behandlingen av känsliga uppgifter för tjänstepensionssystem. Detta villkor kan endast användas om den registrerade är syskon, förälder, mor- eller farförälder eller gammelmor- eller gammelfarförälder till försäkringstagaren.

(37)

När den personuppgiftsansvariga dessutom åberopar de undantag i artikel 9.2 i den brittiska dataskyddsförordningen som specificeras närmare i avsnitt 10 i 2018 års dataskyddslag tillsammans med tillägg 1 till 2018 års dataskyddslag måste den personuppgiftsansvariga i de flesta fall utarbeta ett lämpligt policydokument. Det måste beskriva den personuppgiftsansvariges förfaranden för att säkerställa överensstämmelse med principerna i artikel 5 i den brittiska dataskyddsförordningen. Det ska också innehålla riktlinjer för lagring och radering med uppgift om den sannolika lagringsperioden. Personuppgiftsansvariga ska se över och uppdatera detta dokument när så är lämpligt. Den personuppgiftsansvariga ska bevara policydokumentet i sex månader efter det att behandlingen avslutats och på begäran göra det tillgängligt för the Information Commissioner (41).

(38)

Enligt punkt 41 i bilaga 1 till 2018 års dataskyddslag ska policydokumentet alltid åtföljas av en utökad registrering av behandlingen. Detta register måste följa de åtaganden som ingår i policydokumentet, dvs. huruvida uppgifterna raderas eller lagras i enlighet med riktlinjerna. Om riktlinjerna inte har följts ska skälen till detta registreras i protokollet. I dokumentationen ska det också beskrivas hur behandlingen uppfyller artikel 6 i den brittiska dataskyddsförordningen (behandlingens laglighet) och det särskilda villkoret i tillägg 1 till 2018 års dataskyddslag som åberopas.

(39)

I likhet med förordning (EU) 2016/679 innehåller den brittiska dataskyddsförordningen också allmänna skyddsåtgärder för viss behandling av särskilda kategorier av uppgifter. Enligt artikel 35 i den brittiska dataskyddsförordningen krävs en konsekvensbedömning avseende dataskydd om särskilda kategorier av uppgifter behandlas i stor skala. Enligt artikel 37 i den brittiska dataskyddsförordningen måste en personuppgiftsansvarig eller ett personuppgiftsbiträde utse ett dataskyddsombud om hans eller hennes kärnverksamhet består i behandling av särskilda kategorier av uppgifter i stor skala.

(40)

När det gäller personuppgifter som rör fällande domar i brottmål och brott är artikel 10 i den brittiska dataskyddsförordningen identisk med artikel 10 i förordning (EU) 2016/679. Den tillåter behandling av personuppgifter som rör fällande domar i brottmål och överträdelser endast under kontroll av en myndighet eller när behandlingen är tillåten enligt nationell lagstiftning som föreskriver lämpliga skyddsåtgärder för de registrerades rättigheter och friheter.

(41)

Om behandlingen av uppgifter som rör fällande domar i brottmål och överträdelser inte sker under kontroll av en myndighet, föreskrivs i avsnitt 10.5 i 2018 års dataskyddslag att sådan behandling endast får ske för de särskilda ändamål/i de särskilda situationer som anges i delarna 1, 2 och 3 i bilaga 1 till 2018 års dataskyddslag och omfattas av de särskilda krav som fastställs för vart och ett av dessa ändamål/situationer. Uppgifter om fällande domar i brottmål kan till exempel behandlas av organ utan vinstsyfte om behandlingen utförs a) inom ramen för dess legitima verksamhet med lämpliga skyddsåtgärder av en stiftelse, en förening eller ett annat icke vinstdrivande organ med politiskt, filosofiskt, religiöst eller fackligt syfte och b) under förutsättning att i) behandlingen endast avser organets medlemmar eller tidigare medlemmar eller personer som har regelbunden kontakt med organet i samband med dess ändamål och ii) personuppgifterna inte lämnas ut.

(42)

I del 3 i tillägg 1 till 2018 års dataskyddslag anges dessutom ytterligare omständigheter under vilka uppgifter om fällande domar i brottmål får användas som motsvarar de rättsliga grunderna för behandling av känsliga uppgifter i artikel 9.2 i förordning (EU) 2016/679 och den brittiska dataskyddsförordningen (t.ex. den registrerades samtycke, en persons vitala intressen om den registrerade är rättsligt eller fysiskt oförmögen att ge sitt samtycke, om uppgifterna redan på ett uppenbart sätt har offentliggjorts av den registrerade, om behandlingen är nödvändig för att fastställa, göra gällande eller försvara ett rättsligt anspråk osv.).

(43)

Personuppgifter ska behandlas för ett specifikt ändamål och därefter användas endast i den utsträckning som detta är förenligt med behandlingens ändamål.

(44)

Denna princip föreskrivs i artikel 5.1 b i förordning (EU) 2016/679 och har behållits utan ändringar i artikel 5.1 b i den brittiska dataskyddsförordningen. Villkoren för ytterligare förenlig behandling enligt artikel 6.4 i förordning (EU) 2016/679 har också behållits utan några väsentliga ändringar i artikel 6.4 a–e i den brittiska dataskyddsförordningen.

(45)

Dessutom bör uppgifterna vara korrekta och vid behov hållas aktuella. De bör också vara adekvata, relevanta och inte överdrivet omfattande i förhållande till de ändamål för vilka de behandlas och i princip inte lagras längre än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

(46)

Principerna om uppgiftsminimering, noggrannhet och lagringsbegränsning fastställs i artikel 5.1 c-e i förordning (EU) 2016/679 och behålls utan ändringar i artikel 5.1 c-e i den brittiska dataskyddsförordningen.

(47)

Personuppgifter bör också behandlas på ett sätt som innebär att säkerheten garanteras, inbegripet skydd mot obehörig eller otillåten behandling och mot oavsiktlig förlust, förstörelse eller skada. I detta syfte bör de ekonomiska aktörerna vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från eventuella hot. Dessa åtgärder bör utvärderas med hänsyn till den senaste tekniken och kostnaderna.

(48)

Datasäkerhet är förankrad i Förenade kungarikets lagstiftning genom principen om integritet och konfidentialitet i artikel 5.1 f i den brittiska dataskyddsförordningen och i artikel 32 i den brittiska dataskyddsförordningen om säkerhet vid behandling. Dessa bestämmelser är identiska med respektive bestämmelser i förordning (EU) 2016/679. Enligt samma villkor som de som anges i artiklarna 33 och 34 i förordning (EU) 2016/679 kräver den brittiska dataskyddsförordningen dessutom att en personuppgiftsincident anmäls till tillsynsmyndigheten (artikel 33 i den brittiska dataskyddsförordningen) och att en personuppgiftsincident meddelas den registrerade (artikel 34 i den brittiska dataskyddsförordningen).

(49)

De registrerade bör underrättas om de viktigaste dragen i behandlingen av sina personuppgifter.

(50)

Detta säkerställs genom artiklarna 13 och 14 i den brittiska dataskyddsförordningen som utöver en allmän princip om öppenhet innehåller regler om vilken information som ska lämnas till den registrerade (42). Den brittiska dataskyddsförordningen innebär inga väsentliga ändringar av dessa regler jämfört med motsvarande artiklar i förordning (EU) 2016/679. Liksom enligt förordning (EU) 2016/679 omfattas dock transparenskraven i dessa artiklar av flera undantag som fastställs i 2018 års dataskyddslag (se skälen 55–72).

(51)

De registrerade bör ha vissa rättigheter som kan göras gällande mot den personuppgiftsansvariga eller personuppgiftsbiträdet, särskilt rätten till tillgång till uppgifter, rätten att invända mot behandlingen och rätten att få uppgifter rättade och raderade. Samtidigt kan sådana rättigheter omfattas av restriktioner i den mån dessa begränsningar är nödvändiga och proportionerliga för att skydda den allmänna säkerheten eller andra viktiga mål av allmänt intresse.

(52)

Den brittiska dataskyddsförordningen ger enskilda samma verkställbara rättigheter som förordning (EU) 2016/679. Bestämmelserna om enskildas rättigheter har bibehållits i den brittiska dataskyddsförordningen utan några väsentliga ändringar.

(53)

Rättigheterna omfattar den registrerades rätt till tillgång (artikel 15 i den brittiska dataskyddsförordningen), rätten till rättelse (artikel 16 i den brittiska dataskyddsförordningen), rätten till radering (artikel 17 i den brittiska dataskyddsförordningen), rätten till begränsning av behandlingen (artikel 18 i den brittiska dataskyddsförordningen), en anmälningsskyldighet avseende rättelse eller radering av personuppgifter eller begränsning av behandling (artikel 19 i den brittiska dataskyddsförordningen), rätten till dataportabilitet (artikel 20 i den brittiska dataskyddsförordningen) och rätten att göra invändningar (artikel 21 i den brittiska dataskyddsförordningen) (43). Det senare omfattar också den registrerades rätt att invända mot behandling av personuppgifter för direkt marknadsföring enligt artikel 21.2 och 3 i förordning (EU) 2016/679. Dessutom ska the Information Commissioner enligt avsnitt 122 i 2018 års dataskyddslag utarbeta en uppförandekod för genomförandet av direktmarknadsföring i enlighet med kraven i dataskyddslagstiftningen (och 2003 års förordning om integritet och elektronisk kommunikation) och sådana andra riktlinjer för att främja god praxis vid direktmarknadsföring som the Information Commissioner anser vara lämpliga. ICO (Information Commissioner’s Office) håller för närvarande på att utarbeta en uppförandekod för direktmarknadsföring (44).

(54)

Den registrerades rätt att inte bli föremål för ett beslut som enbart grundar sig på automatiserad behandling som har rättsliga följder för dem eller som på liknande sätt påverkar dem på ett betydande sätt i enlighet med artikel 22 i dataskyddsförordningen har också behållits i den brittiska dataskyddsförordningen utan några väsentliga ändringar. En ny punkt 3A har dock lagts till för att hänvisa till att avsnitt 14 i 2018 års dataskyddslag innehåller skyddsåtgärder för registrerades rättigheter, friheter och berättigade intressen när behandlingen utförs enligt artikel 22.2 b i den brittiska dataskyddsförordningen. Detta gäller endast när grunden för ett sådant beslut är ett tillstånd eller ett krav enligt brittisk lag och inte om beslutet är nödvändigt enligt ett avtal eller med den registrerades uttryckliga samtycke. Om avsnitt 14 i 2018 års dataskyddslag är tillämpligt ska den personuppgiftsansvariga så snart det rimligen är praktiskt möjligt skriftligen underrätta den registrerade om att ett beslut har fattats enbart på grundval av automatiserad behandling. Den registrerade har rätt att begära att den personuppgiftsansvariga – inom en månad efter mottagandet av underrättelsen – ompröva beslutet eller att fatta ett nytt beslut som inte enbart grundar sig på automatiserad behandling. Den ansvariga ministern har befogenhet att anta ytterligare skyddsåtgärder när det gäller automatiserat beslutsfattande. Denna befogenhet har ännu inte utövats.

(55)

2018 års dataskyddslag innehåller flera begränsningar av individuella rättigheter som passar inom ramen för artikel 23 i den brittiska dataskyddsförordningen. Inga begränsningar införs inom denna ram när det gäller rätten att invända mot direkt marknadsföring enligt artikel 21.2 och 3 i den brittiska dataskyddsförordningen eller rätten att inte bli föremål för automatiserat beslutsfattande i enlighet med artikel 22 i den brittiska dataskyddsförordningen.

(56)

Begränsningarna beskrivs närmare i bilagorna 2–4 till 2018 års dataskyddslag. De brittiska myndigheterna har förklarat att de vägleds av principen om specificitet (en detaljerad strategi, uppdelning av breda begränsningar i flera, mer specifika bestämmelser) och principen om villkorlighet (varje bestämmelse kompletteras med skyddsåtgärder i form av begränsningar eller villkor för att förhindra missbruk) (45).

(57)

De begränsningar som beskrivs i artikel 23.1 i den brittiska dataskyddsförordningen är utformade för att säkerställa att de endast tillämpas under särskilda omständigheter när detta är nödvändigt i ett demokratiskt samhälle och står i proportion till det legitima mål som de eftersträvar. I enlighet med etablerad rättspraxis om tolkning av begränsningar kan dessutom ett undantag från ordningen för dataskydd endast tillämpas i varje enskilt fall om det är nödvändigt och proportionerligt för att göra det (46). Nödvändighetstestet ska vara ”strikt, vilket innebär att varje ingrepp i den registrerades rättigheter ska stå i proportion till hur allvarligt hotet mot allmänintresset är. Det handlar därför om en klassisk proportionalitetsanalys (47)”.

(58)

Syftet med dessa begränsningar motsvarar dem som förtecknas i artikel 23 i förordning (EU) 2016/679 med undantag för de begränsningar för nationell säkerhet och försvar som i stället regleras genom avsnitt 26 i 2018 års dataskyddslag men som omfattas av samma krav på nödvändighet och proportionalitet (se skälen 63–66).

(59)

Vissa av begränsningarna, till exempel de som rör förebyggande eller avslöjande av brott, gripande eller lagföring av gärningsmän och fastställande eller uppbörd av skatter eller avgifter (48) tillåter begränsningar av alla individuella rättigheter och skyldigheter avseende insyn (med undantag för rättigheter enligt artikel 21.2 och artikel 22). Tillämpningsområdet för andra begränsningar är begränsat till skyldigheter avseende transparens och tillträdesrätt, till exempel begränsningar av advokatsekretessen (49), rätten till frihet från ett krav på att lämna information som skulle leda till självangivelse (50) och till företagsfinansiering, särskilt förhindrande av insiderhandel (51). Få av begränsningarna tillåter en begränsning av den personuppgiftsansvarigas skyldighet att informera den registrerade om ett personuppgiftsbrott och principerna om ändamålsbegränsning samt om laglighet, rättvisa och insyn i behandlingen (52).

(60)

Vissa av begränsningarna gäller automatiskt ”i sin helhet” för en viss typ av behandling av personuppgifter (till exempel är tillämpningen av öppenhetsskyldigheter och individuella rättigheter utesluten när personuppgifter behandlas för att bedöma en persons lämplighet för domarämbetet eller personuppgifter behandlas av en domstol eller en enskild person som handlar i egenskap av en dömande myndighet).

(61)

I de flesta fall anges dock i den relevanta punkten i tillägg 2 till 2018 års dataskyddslag att begränsningen endast gäller när (och i den mån) tillämpningen av bestämmelserna ”sannolikt skulle skada” det berättigade mål som eftersträvas med begränsningen och exempelvis är de angivna bestämmelserna i den brittiska dataskyddsförordningen inte tillämpliga på personuppgifter som behandlas för att förebygga eller upptäcka brott, gripa eller lagföra gärningsmän eller för att fastställa eller uppbära en skatt eller avgift ”i den mån tillämpningen av dessa bestämmelser sannolikt skulle skada” någon av dessa frågor (53).

(62)

Normen ”sannolikt skulle skada” har konsekvent tolkats av brittiska domstolar som ”en mycket betydande och tungt vägande risk för skada för det identifierade allmänintresset” (54). En begränsning som omfattas av prövningen av konkret och faktisk skada kan därför endast åberopas om och i den mån det föreligger en mycket betydande och tungt vägande risk för att beviljandet av en viss rättighet skulle skada det berörda allmänintresset. Den personuppgiftsansvariga ansvarar för att från fall till fall bedöma om dessa villkor är uppfyllda (55).

(63)

Utöver de begränsningar som anges i tillägg 2 till 2018 års dataskyddslag föreskrivs i avsnitt 26 i denna lag ett undantag som kan tillämpas på vissa bestämmelser i den brittiska dataskyddsförordningen och 2018 års dataskyddslag om detta undantag krävs för att skydda den nationella säkerheten eller för försvarsändamål. Detta undantag gäller dataskyddsprinciperna (med undantag för principen om laglighet), transparenskraven, den registrerades rättigheter, skyldigheten att anmäla ett uppgiftsbrott, regler om internationella överföringar, vissa av skyldigheter och befogenheter som the Information Commissioner har samt reglerna om rättsmedel, ansvar och påföljder, med undantag för bestämmelsen om de allmänna villkoren för åläggande av administrativa sanktionsavgifter i artikel 83 i den brittiska dataskyddsförordningen och bestämmelsen om påföljder i artikel 84 i den brittiska dataskyddsförordningen. Avsnitt 28 i 2018 års dataskyddslag ändrar dessutom tillämpningen av artikel 9.1 för att möjliggöra behandling av särskilda kategorier av uppgifter i artikel 9.1 i den brittiska dataskyddsförordningen i den mån behandlingen utförs för att skydda den nationella säkerheten eller för försvarsändamål och med lämpliga skyddsåtgärder för de registrerades rättigheter och friheter (56).

(64)

Undantaget kan endast tillämpas i den mån det krävs för att skydda den nationella säkerheten eller försvaret. Precis som för de övriga undantag som föreskrivs i 2018 års dataskyddslag måste detta beaktas och åberopas av den personuppgiftsansvariga från fall till fall. Dessutom måste varje tillämpning av undantaget vara förenlig med människorättsnormer (med stöd av Human Rights Act 1998) enligt vilken varje ingrepp i rätten till integritet bör vara nödvändigt och proportionerligt i ett demokratiskt samhälle (57).

(65)

Denna tolkning av undantaget bekräftas av ICO, som har utfärdat detaljerad vägledning om tillämpningen av undantaget avseende nationell säkerhet och försvaret, och där det klargörs att den personuppgiftsansvariga måste överväga och tillämpa undantaget från fall till fall (58). I vägledningen betonas särskilt att ”[d]etta inte är ett generellt undantag” och att det för att åberopa undantaget ”inte är tillräckligt att uppgifterna behandlas för ändamål som rör nationell säkerhet”. Tvärtom måste personuppgiftsansvariga som åberopar undantaget ”visa att det finns en verklig risk för att den nationella säkerheten kan påverkas negativt”, och den personuppgiftsansvariga förväntas vid behov ”förse ICO med uppgifter som styrker [den personuppgiftsansvarigas] beslut att tillämpa detta undantag”. Vägledningen innehåller en checklista och ett antal exempel för att ytterligare klargöra villkoren för att åberopa detta undantag.

(66)

Det faktum att uppgifterna behandlas för ändamål som rör den nationella säkerheten eller försvaret är därför inte i sig tillräckligt för att undantaget ska kunna tillämpas. En personuppgiftsansvarig måste överväga de faktiska konsekvenserna för den nationella säkerheten om han eller hon måste följa den särskilda dataskyddsbestämmelsen. Undantaget kan endast tillämpas på de särskilda bestämmelser som har fastställts utgöra en risk och måste tillämpas så restriktivt som möjligt (59).

(67)

Detta synsätt har bekräftats av Information Tribunal (60). I målet Baker/Secretary of State for the Home Department (”Baker/Secretary of State”) fastställde tribunalen att det var olagligt att tillämpa undantaget för nationell säkerhet som ett generellt undantag för ansökningar om tillgång till handlingar som mottagits av underrättelsetjänsterna. I stället var det nödvändigt att tillämpa undantaget från fall till fall genom att undersöka varje begäran på grundval av sina egna meriter och med hänsyn till enskildas rätt till respekt för sitt privatliv (61).

(68)

Enligt artikel 85.2 i den brittiska dataskyddsförordningen får personuppgifter som behandlas för journalistiska, konstnärliga, akademiska och litterära ändamål undantas från flera bestämmelser i den brittiska dataskyddsförordningen. I del 5 i tillägg 2 till 2018 års dataskyddslag anges undantagen för behandling för dessa ändamål. Det innehåller bestämmelser om undantag från dataskyddsprinciperna (med undantag för principen om integritet och konfidentialitet), de rättsliga grunderna för behandling (däribland särskilda kategorier av uppgifter och fällande domar i brottmål osv.), villkoren för samtycke, transparenskraven, de registrerades rättigheter, skyldigheten att anmäla personuppgiftsbrott, kravet på samråd med the Information Commissioner före behandling med hög risk och reglerna om internationella överföringar (62). I detta avseende avviker den brittiska dataskyddsförordningen inte i sak från förordning (EU) 2016/679 som i artikel 85 också föreskriver en möjlighet att undanta behandling som utförs för journalistiska ändamål eller för akademiska, konstnärliga eller litterära ändamål från ett antal krav i förordning (EU) 2016/679. Bestämmelserna i 2018 års dataskyddslag, särskilt tillägg 2 del 5, är förenliga med den brittiska dataskyddsförordningen.

(69)

Den centrala avvägning som ska göras enligt artikel 85 i den brittiska dataskyddsförordningen gäller huruvida ett undantag från de dataskyddsregler som nämns i skäl 68 är ”nödvändigt för att förena rätten till skydd av personuppgifter med yttrande- och informationsfriheten” (63). Enligt bilaga 2, punkterna 26.2 och 3 i 2018 års dataskyddslag, tillämpar Förenade kungariket ett skälighetstest för att uppnå denna balans. För att ett undantag ska vara motiverat måste den personuppgiftsansvariga rimligen tro i) att offentliggörandet ligger i allmänhetens intresse, och ii) att tillämpningen av den relevanta bestämmelsen i dataskyddsförordningen skulle vara oförenlig med journalistiska, akademiska, konstnärliga eller litterära ändamål. Enligt rättspraxis (64) har kriteriet om rimlig tro både en subjektiv och en objektiv komponent för det räcker inte för den personuppgiftsansvariga att visa att han eller hon själv trodde att kraven inte var uppfyllda. Hans eller hennes övertygelse måste vara rimlig, dvs. den kan antas av en förnuftig person som känner till relevanta fakta. Den personuppgiftsansvariga måste därför visa tillbörlig aktsamhet när han eller hon bildar sin tro för att kunna visa rimlighet. Enligt de förklaringar som lämnats av de brittiska myndigheterna måste skälighetstestet genomföras på grundval av undantag för varje enskilt fall (65). Om villkoren är uppfyllda anses undantaget vara nödvändigt och proportionerligt enligt Förenade kungarikets lagstiftning.

(70)

Enligt avsnitt 124 i 2018 års dataskyddslag ska ICO utarbeta en uppförandekod om dataskydd och journalistik. Arbetet med denna kod pågår. Vägledning i frågan har utfärdats enligt dataskyddslagen från 1998 där det särskilt betonas att det för att åberopa detta undantag inte räcker att endast ange att efterlevnad skulle vara en olägenhet för journalisternas verksamhet utan det måste finnas ett tydligt argument för att bestämmelsen i fråga utgör ett hinder för ansvarsfull journalistik (66). Vägledning om tillämpningen av prövningen av allmänintresset och avvägningen mellan allmänintresset och en enskilds intresse av personlig integritet har också offentliggjorts av Förenade kungarikets tillsynsmyndighet för telekommunikation OFCOM och BBC i dess redaktionella riktlinjer (67). I riktlinjerna ges särskilt exempel på information som kan anses ligga i allmänhetens intresse och behovet av att kunna visa att allmänintresset väger tyngre än rätten till integritet under de särskilda omständigheterna i fallet förklaras.

(71)

I likhet med vad som föreskrivs i artikel 89 i dataskyddsförordningen kan personuppgifter som behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål också undantas från ett antal förtecknade bestämmelser i den brittiska dataskyddsförordningen (68). Beträffande forskning och statistik är det möjligt att göra undantag från bestämmelserna i den brittiska dataskyddsförordningen vad gäller bekräftelse av behandling och tillgång till uppgifter och skyddsåtgärder för överföringar från tredjeland, rätt till rättelse, begränsning av behandling och invändningar mot behandling. När det gäller arkivering i allmänhetens intresse är det också möjligt att göra undantag från anmälningsskyldigheten när det gäller rättelse eller radering av personuppgifter eller begränsning av behandling och rätten till dataportabilitet.

(72)

Enligt punkterna 27.1 och 28.1 i tillägg 2 till 2018 års dataskyddslag är undantag från de förtecknade bestämmelserna i den brittiska dataskyddsförordningen möjliga om tillämpningen av bestämmelserna skulle ”hindra eller allvarligt försämra uppnåendet” av ändamålen i fråga (69).

(73)

Med tanke på deras relevans för ett effektivt utövande av individuella rättigheter kommer all relevant utveckling när det gäller tolkning och tillämpning av de ovannämnda undantagen i praktiken (utöver undantaget om upprätthållande av en ändamålsenlig invandringskontroll såsom förklaras i skäl 6), inklusive ytterligare utveckling av rättspraxis samt vägledning och verkställande åtgärder från ICO, vederbörligen beaktas i samband med den fortlöpande övervakningen av detta beslut (70).

(74)

Den skyddsnivå som ges för personuppgifter som överförs från Europeiska unionen till personuppgiftsansvariga eller personuppgiftsbiträden i Förenade kungariket får inte undergrävas av vidare överföring av sådana uppgifter till mottagare i ett tredjeland. Sådana ”vidare överföringar” som ur den personuppgiftsansvarigas eller personuppgiftsbiträdets synvinkel utgör internationella överföringar från Förenade kungariket bör endast tillåtas om den ytterligare mottagaren utanför Förenade kungariket själv omfattas av regler som säkerställer en skyddsnivå som liknar den som garanteras i Förenade kungarikets rättsordning. Därför är tillämpningen av bestämmelserna i den brittiska dataskyddsförordningen och 2018 års dataskyddslag på internationella överföringar av personuppgifter en viktig faktor för att säkerställa kontinuiteten i skyddet när det gäller personuppgifter som överförs från Europeiska unionen till Förenade kungariket enligt detta beslut.

(75)

Ordningen för internationella överföringar av personuppgifter från Förenade kungariket fastställs i artiklarna 44–49 i den brittiska dataskyddsförordningen, kompletterad av 2018 års dataskyddslag, och är i sak identisk med de bestämmelser som fastställs i kapitel V i förordning (EU) 2016/679 (71). Överföring av personuppgifter till ett tredjeland eller en internationell organisation kan endast ske på grundval av förordningar om adekvat skyddsnivå (Förenade kungariket motsvarar ett beslut om adekvat skyddsnivå enligt förordning (EU) 2016/679), eller i avsaknad av förordningar om adekvat skyddsnivå, om den personuppgiftsansvariga eller personuppgiftsbiträdet har vidtagit lämpliga skyddsåtgärder i enlighet med artikel 46 i den brittiska dataskyddsförordningen. I avsaknad av förordningar om adekvat skyddsnivå eller lämpliga skyddsåtgärder kan en överföring endast ske på grundval av de undantag som anges i artikel 49 i den brittiska dataskyddsförordningen.

(76)

I de bestämmelser om adekvat skyddsnivå som utfärdas av den ansvariga ministern kan det föreskrivas att ett tredjeland (eller ett territorium eller en sektor inom ett tredjeland), en internationell organisation eller en beskrivning (72) av ett sådant land, territorium, sektor eller organisation säkerställer en adekvat skyddsnivå för personuppgifter. Vid bedömningen av om skyddsnivån är adekvat måste den ansvarige ministern beakta samma faktorer som kommissionen är skyldig att bedöma enligt artikel 45.2 a-c i förordning (EU) 2016/679, tolkad tillsammans med skäl 104 i förordning (EU) 2016/679 och bibehållen EU-rättspraxis. Detta innebär att vid bedömningen av en adekvat skyddsnivå i ett tredjeland kommer den relevanta normen att vara huruvida det berörda tredjelandet säkerställer en skyddsnivå som ”i allt väsentligt är likvärdig” med den som garanteras i Förenade kungariket.

(77)

När det gäller förfarandet omfattas förordningar om adekvat skyddsnivå av de ”allmänna” formföreskrifter som anges i avsnitt 182 i 2018 års dataskyddslag. Enligt detta förfarande måste den ansvarige ministern samråda med the Information Commissioner vid förslag om antagande av brittiska förordningar om adekvat skyddsnivå ska antas (73). När dessa förordningar har antagits av den ansvarige ministern läggs de fram inför parlamentet och omfattas av förfarandet för ”negativ resolution” enligt vilket båda kamrarna kan granska förordningarna och kunna anta ett förslag om ogiltigförklaring av förordningarna inom en 40-dagarsperiod (74).

(78)

Enligt avsnitt 17B.1 i 2018 års dataskyddslag ska bestämmelserna om adekvat skyddsnivå ses över med högst fyra års mellanrum och ministern ska fortlöpande övervaka utvecklingen i tredjeländer och internationella organisationer som skulle kunna påverka beslut om att utfärda föreskrifter om adekvat skyddsnivå eller att ändra eller upphäva sådana föreskrifter. Om ministern får kännedom om att ett visst land eller en angiven organisation inte längre säkerställer en adekvat skyddsnivå för personuppgifter ska han eller hon, i den utsträckning det är nödvändigt, ändra eller upphäva föreskrifterna och inleda samråd med det berörda tredjelandet eller den berörda internationella organisationen för att avhjälpa bristen på en adekvat skyddsnivå. Dessa förfarandefrågor återspeglar också motsvarande krav i förordning (EU) 2016/679.

(79)

I avsaknad av förordningar om adekvat skyddsnivå kan internationella överföringar äga rum där den personuppgiftsansvariga eller personuppgiftsbiträdet har vidtagit lämpliga skyddsåtgärder i enlighet med artikel 46 i den brittiska dataskyddsförordningen. Dessa skyddsåtgärder liknar dem i artikel 46 i förordning (EU) 2016/679. De omfattar rättsligt bindande och verkställbara instrument mellan myndigheter eller organ, bindande företagsregler (75), standardiserade dataskyddsbestämmelser, godkända uppförandekoder, godkända certifieringsmekanismer och med tillstånd från the Information Commissioner, avtalsklausuler mellan personuppgiftsansvariga (eller personuppgiftsbiträden) eller administrativa överenskommelser mellan myndigheter. Bestämmelserna har dock ändrats ur förfarandemässig synvinkel för att fungera inom ramen för Förenade kungariket och i synnerhet kan standardklausulerna om dataskydd antas av ministern (avsnitt 17C) eller the Information Commissioner (avsnitt 119A) i enlighet med 2018 års dataskyddslag.

(80)

I avsaknad av ett beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder kan en överföring endast ske på grundval av de undantag som anges i artikel 49 i den brittiska dataskyddsförordningen (76). Den brittiska dataskyddsförordningen innebär inga väsentliga ändringar av undantagen jämfört med motsvarande regler i förordning (EU) 2016/679. Enligt den brittiska dataskyddsförordningen, liksom enligt förordning (EU) 2016/679, kan vissa undantag endast åberopas om överföringen sker tillfälligt (77). Dessutom klargör ICO följande i sin vägledning om internationella överföringar: ”Ni bör endast använda dessa som verkliga ’undantag’ från den allmänna regeln att ni inte bör göra en begränsad överföring om den inte omfattas av ett beslut om adekvat skyddsnivå eller om det finns lämpliga skyddsåtgärder” (78). När det gäller överföringar som är nödvändiga av viktiga skäl av allmänt intresse (artikel 49.1 d) kan ministern utfärda förordningar för att specificera under vilka omständigheter en överföring av personuppgifter till ett tredjeland eller en internationell organisation är nödvändig eller inte är nödvändig av viktiga skäl av allmänt intresse. Dessutom kan ministern genom förordningar begränsa överföringen av en kategori personuppgifter till ett tredjeland eller en internationell organisation om överföringen inte kan ske på grundval av bestämmelser om adekvat skyddsnivå och den ansvariga ministern anser att begränsningen är nödvändig av viktiga skäl av allmänt intresse. Hittills har inga sådana förordningar antagits.

(81)

Denna ram för internationella överföringar har blivit tillämplig i slutet av övergångsperioden (79). I punkt 4 i tillägg 21 till 2018 års dataskyddslag (införd genom DPPEC Regulations) föreskrivs emellertid att vissa överföringar av personuppgifter från och med övergångsperiodens utgång behandlas som om de grundar sig på förordningar om adekvat skyddsnivå. Dessa överföringar omfattar överföringar till en EES-stat, territoriet Gibraltar, en unionsinstitution, ett unionsorgan eller en unionsbyrå som inrättats av eller på grundval av EU-fördraget och tredjeländer som var föremål för ett EU-beslut om adekvat skyddsnivå vid övergångsperiodens utgång. Följaktligen kan överföringarna till dessa länder fortsätta som före Förenade kungarikets utträde ur EU. Efter övergångsperiodens utgång måste ministern under en fyraårsperiod, dvs. före utgången av december 2024, göra en översyn av dessa konstateranden om adekvat skyddsnivå. Enligt den förklaring som lämnats av de brittiska myndigheterna innehåller övergångsbestämmelserna inte någon bestämmelse om tidsbegränsning, även om den ansvariga ministern måste göra en sådan översyn senast i slutet av december 2024, och de relevanta övergångsbestämmelserna kommer inte automatiskt att upphöra att gälla om en översyn inte är slutförd i slutet av december 2024.

(82)

Vad gäller den framtida utvecklingen av det brittiska systemet för internationella överföringar – genom antagandet av de nya bestämmelserna om adekvat skyddsnivå, ingåendet av internationella avtal eller utveckling av andra överföringsmekanismer – kommer kommissionen noga övervaka situationen, bedöma om de olika överföringsmekanismerna används på ett sätt som säkerställer fortsatt skydd och, vid behov, vidta lämpliga åtgärder för att hantera eventuella negativa verkningar för ett sådant fortsatt skydd (se skälen 278–287). Eftersom EU och Förenade kungariket har liknande regler för internationella överföringar förväntas problematiska avvikelser även kunna undvikas genom samarbete, informationsutbyte och erfarenhetsutbyte, bland annat mellan ICO och Europeiska dataskyddsstyrelsen.

(83)

Enligt principen om ansvarsskyldighet är enheter som behandlar uppgifter skyldiga att införa lämpliga tekniska och organisatoriska åtgärder för att effektivt fullgöra sina skyldigheter att skydda uppgifter och kunna uppvisa sådan överensstämmelse, särskilt för den behöriga tillsynsmyndigheten.

(84)

Principen om ansvarsskyldighet i förordning (EU) 2016/679 har behållits i artikel 5.2 i den brittiska dataskyddsförordningen utan någon väsentlig ändring och detsamma gäller artikel 24 om den personuppgiftsansvarigas ansvar, artikel 25 om inbyggt dataskydd, dataskydd som standard och artikel 30 om register över behandlingsverksamhet. Artiklarna 35 och 36 om konsekvensbedömning avseende dataskydd och föregående samråd med tillsynsmyndigheten har också behållits. Artiklarna 37–39 i förordning (EU) 2016/679 om att utse dataskyddsombud och dataskyddsombudens uppgifter har behållits i den brittiska dataskyddsförordningen utan några väsentliga ändringar. Dessutom har bestämmelserna i artiklarna 40 och 42 i förordning (EU) 2016/679 om uppförandekoder och certifiering behållits i den brittiska dataskyddsförordningen (80).

(85)

För att säkerställa att en adekvat dataskyddsnivå garanteras i praktiken bör det finnas en oberoende tillsynsmyndighet med befogenhet att övervaka och verkställa efterlevnaden av dataskyddsbestämmelserna. Denna myndighet bör agera helt oavhängigt och opartiskt vid fullgörandet av sina skyldigheter och utövandet av sina befogenheter.

(86)

I Förenade kungariket övervakas och verkställs efterlevnaden av den brittiska dataskyddsförordningen och 2018 års dataskyddslag av the Information Commissioner. The Information Commissioner är en ”Corporation Sole”, en separat juridisk person som består av en enda person. The Information Commissioner bistås i sitt arbete av ett kontor. Den 31 mars 2020 hade ICO 768 fast anställda (81). Uppdragsgivande ministerium för the Information Commissioner är ministeriet för digitala frågor, kultur, media och idrott (82).

(87)

Att the Commissioner är oberoende fastställs uttryckligen i artikel 52 i den brittiska dataskyddsförordningen som inte innebär några väsentliga ändringar av artikel 52.1–3 i dataskyddsförordningen. The Commissioner måste agera fullständigt oberoende vid utförandet av sina uppgifter och utöva sina befogenheter i enlighet med den brittiska dataskyddsförordningen, vara fri från yttre påverkan, direkt eller indirekt, i förhållande till dessa uppgifter och befogenheter och varken begära eller ta emot instruktioner från någon. The Commissioner ska också avhålla sig från varje handling som är oförenlig med hans eller hennes uppdrag och får inte utöva någon avlönad eller oavlönad yrkesverksamhet under tiden som han eller hon innehar sitt ämbete.

(88)

Villkoren för utnämning och avsättning av the Information Commissioner anges i bilaga 12 till 2018 års dataskyddslag. The Information Commissioner utses av drottningen på rekommendation av regeringen i enlighet med ett rättvist och öppet uttagningsförfarande. Den sökande måste ha lämpliga kvalifikationer, färdigheter och kompetenser. I enlighet med förvaltningskodexen om offentliga utnämningar (83) upprättas en förteckning över kandidater som kan utnämnas av en rådgivande utvärderingspanel. Innan ministern vid ministeriet för digitala frågor, kultur, media och idrott slutför sitt beslut måste det berörda särskilda utskottet i parlamentet genomföra en kontroll före utnämningen. Kommitténs ståndpunkt offentliggörs (84).

(89)

The Information Commissioner har en mandatperiod på upp till sju år. En person kan inte utses till Information Commissioner mer än en gång. The Information Commissioner kan avsättas av drottningen efter en address från båda kamrarna i parlamentet (85). Ingen begäran om entledigande av the Information Commissioner kan lämnas in till någon av parlamentets kammare om inte en minister har lagt fram en rapport som visar att han eller hon är övertygad om att the Information Commissioner gjort sig skyldig till allvarlig försummelse och/eller inte längre uppfyller de villkor som krävs för att kunna fullgöra sina uppgifter (86).

(90)

Finansieringen av the Information Commissioner kommer från följande tre källor: i) Avgifter för dataskydd som betalas av personuppgiftsansvariga, som fastställs i den ansvarige ministerns föreskrifter (87) (Data Protection (Charges and Information) Regulations 2018) och uppgår till 85 % – 90 % av myndighetens årliga budget (88). ii) Bidrag i form av statligt stöd till the Informations Commissioner. Bidrag i form av stöd används främst för att finansiera de driftskostnader the Information Commissioner har vad gäller uppgifter som inte rör dataskydd (89). iii) Avgifter som tas ut för tjänster (90). För närvarande tas inga sådana avgifter ut.

(91)

De allmänna arbetsuppgifter som the Information Commissioner har vad gäller behandling av personuppgifter som omfattas av den brittiska dataskyddsförordningen fastställs i artikel 57 i den brittiska dataskyddsförordningen som nära återspeglar motsvarande regler i förordning (EU) 2016/679. Dess uppgifter omfattar övervakning och verkställande av den brittiska dataskyddsförordningen, främjande av allmänhetens medvetenhet, hantering av klagomål från registrerade, genomförande av utredningar osv. I avsnitt 115 i 2018 års dataskyddslag fastställs dessutom andra allmänna uppgifter för the Commissioner, däribland en skyldighet att ge råd till parlamentet, regeringen och andra institutioner och organ om lagstiftningsåtgärder och administrativa åtgärder som rör skyddet av enskildas fri- och rättigheter i samband med behandling av personuppgifter och en befogenhet att på eget initiativ eller på begäran avge yttranden till parlamentet, regeringen eller andra institutioner och organ samt till allmänheten i alla frågor som rör skyddet av personuppgifter. För att upprätthålla rättsväsendets oberoende är the Information Commissioner inte behörig att utföra sina uppgifter i samband med behandling av personuppgifter som utförs av en enskild person som handlar i egenskap av en dömande myndighet eller av en domstol eller tribunal som agerar inom ramen för sin dömande verksamhet. Tillsynen över rättsväsendet säkerställs dock av specialiserade organ (se skälen 99–103).

(92)

De befogenheter som the Information Commissioner har finns fastställda i artikel 58 i den brittiska dataskyddsförordningen som inte innebär några väsentliga ändringar av motsvarande artikel i förordning (EU) 2016/679. 2018 års dataskyddslag innehåller kompletterande bestämmelser om hur dessa befogenheter kan utövas. The Commissioner har särskilt befogenhet att a) förelägga den personuppgiftsansvariga och personuppgiftsbiträdet (och under vissa omständigheter valfri annan person) att lämna nödvändig information genom att utfärda ett informationsföreläggande (”information notice”) (91), b) utföra utredningar och revisioner genom ett utfärda ett bedömningsföreläggande (”assessment notice”) som kan ålägga den personuppgiftsansvariga eller personuppgiftsbiträdet att ge the Commissioner tillträde till särskilda lokaler, inspekterar eller undersöker handlingar eller utrustning, frågar ut personer som behandlar personuppgifter för den personuppgiftsansvarigas räkning osv. (92), c) på annat sätt få tillgång till handlingar m.m. för personuppgiftsansvariga och personuppgiftsbiträden och tillträde till deras lokaler i enlighet med avsnitt 154 i 2018 års dataskyddslag (”befogenheter för tillträde och inspektion”), d) utöva korrigerande befogenheter, bland annat genom varningar och reprimander eller utfärda förelägganden genom att utfärda ett verkställighetsföreläggande (”enforcement notice”), genom vilka personuppgiftsansvariga/personuppgiftsbiträden åläggs att vidta eller avstå från att vidta specificerade åtgärder, däribland att förelägga den personuppgiftsansvariga eller personuppgiftsbiträdet att utföra något som anges i artikel 58.2 c-g och j i den brittiska dataskyddsförordningen (93) e) och utdöma administrativa sanktionsavgifter i form av ett påföljdsföreläggande (”penalty notice”) (94). Påföljdsföreläggande kan även utfärdas om en myndighet inte har följt bestämmelserna i den brittiska dataskyddsförordningen (95).

(93)

I ICO:s policy för lagstiftningsåtgärder anges under vilka omständigheter det kommer att utfärda ett föreläggande om information, bedömning, verkställighet eller påföljder (96). Ett verkställighetsföreläggande som lämnas till följd av personuppgiftsansvarigs eller ett personuppgiftsbiträdes underlåtenhet får endast ställa krav som the Commissioner anser vara lämpliga för att avhjälpa underlåtenheten. Verkställighetsförelägganden och påföljdsförelägganden får utfärdas till en personuppgiftsansvariga eller ett personuppgiftsbiträde i samband med överträdelser av kapitel II i den brittiska dataskyddsförordningen (principerna för behandling), artiklarna 12–22 (den registrerades rättigheter), artiklarna 25–39 (skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden) och artiklarna 44–49 (internationella överföringar) i den brittiska dataskyddsförordningen. Ett verkställighetsföreläggande får även lämnas om en personuppgiftsansvarig har underlåtit att uppfylla skyldigheten att betala en avgift enligt föreskrifter i avsnitt 137 i 2018 års dataskyddslag. Dessutom kan ett övervakningsorgan enligt artikel 41 eller en tillhandahållare av certifiering få ett verkställighetsföreläggande om de underlåter att uppfylla sina skyldigheter enligt den brittiska dataskyddsförordningen. Ett påföljdsföreläggande kan även lämnas till en person som inte har följt ett informationsföreläggande, ett bedömningsföreläggande eller ett verkställighetsföreläggande.

(94)

Enligt påföljdsföreläggandet ska personen betala ett belopp som anges i föreläggandet till the Information Commissioner. Vid fastställandet av huruvida en person ska få ett påföljdsföreläggande och bestämning av storleken på sanktionsavgiften måste the Information Commissioner beakta de omständigheter som anges i artikel 83.1 och 2 i den brittiska dataskyddsförordningen som är identiska med motsvarande bestämmelser i förordning (EU) 2016/679 (97). Enligt artikel 83.4 och 5 är det högsta beloppet för administrativa sanktionsavgifter vid underlåtenhet att uppfylla de skyldigheter som avses i dessa bestämmelser 8 700 000 pund respektive 17 500 000 pund. När det gäller ett företag kan the Information Commissioner också ålägga sanktionsavgifter som en procentandel av den globala årsomsättningen om detta ger ett högre belopp. Liksom i motsvarande bestämmelser i förordning (EU) 2016/679 fastställs dessa belopp till 2 % respektive 4 % i artiklarna 83.4 och 5. Vid underlåtenhet att följa ett informationsföreläggande, ett bedömningsföreläggande eller ett verkställighetsföreläggande är den högsta påföljdsbelopp som kan utdömas genom ett påföljdsföreläggande det högre av 17 500 000 GBP eller, om det rör sig om ett företag, 4 % av den globala årsomsättningen.

(95)

Den brittiska dataskyddsförordningen har tillsammans med 2018 års dataskyddslag också stärkt andra befogenheter för the Information Commissioner. Till exempel kan the Commissioner nu utföra obligatoriska revisioner av alla personuppgiftsansvariga eller personuppgiftsbiträden med hjälp av bedömningsförelägganden medan the Commissioner enligt den tidigare lagstiftningen, dataskyddslagen från 1998, endast hade denna befogenhet när det gäller statliga myndighetsorgan samt hälso- och sjukvårdsorganisationer medan andra måste samtycka till en revision.

(96)

Sedan förordning (EU) 2016/679 infördes hanterar ICO omkring 40 000 klagomål från registrerade per år (98) och genomför dessutom cirka 2 000 undersökningar på eget initiativ (99). En majoritet av klagomålen rör rätten att få tillgång till och utlämnande av uppgifter. Efter sina utredningar vidtar the Commissioner verkställighetsåtgärder inom en rad olika sektorer. Enligt de senaste årsrapporten från the Information Commissioner (2019–2020) (100) utfärdade denne närmare bestämt 54 informationsföreläggande, 8 påföljdsförelägganden, 7 verkställighetsföreläggande, 4 varningar, 8 åtal och 15 sanktionsavgifter under rapporteringsperioden (101).

(97)

Detta inbegriper flera betydande sanktionsavgifter som utdömts enligt förordning (EU) 2016/679 och 2018 års dataskyddslag. I oktober 2020 bötfällde the Information Commissioner ett brittiskt flygbolag med 20 miljoner pund för ett uppgiftsbrott som berörde mer än 400 000 kunder. I slutet av oktober 2020 bötfälldes en internationell hotellkedja med 18,4 miljoner pund för att ha underlåtit att skydda miljontals kunders personuppgifter och i november 2020 bötfälldes en brittisk tjänsteleverantör som sålde evenemangsbiljetter online med 1,25 miljoner pund för att ha underlåtit att skydda kundernas betalningsuppgifter (102).

(98)

Utöver de tillsynsbefogenheter som the Information Commissioner har, som beskrivs i skäl 92, utgör vissa överträdelser av dataskyddslagstiftningen lagbrott och kan därför bli föremål för straffrättsliga påföljder (avsnitt 196 i 2018 års dataskyddslag). Detta gäller till exempel medvetet eller vårdslöst erhållande eller utlämnande av personuppgifter utan den personuppgiftsansvarigas samtycke, säkerställande av utlämnande av personuppgifter till en annan person utan den personuppgiftsansvarigas (103) samtycke, återidentifiering av information som är avidentifierade personuppgifter (104) utan samtycke från den personuppgiftsansvariga som ansvarar för avidentifieringen, avsiktlig inskränkning av den rätt the Commissioner har att utöva sina befogenheter vad gäller kontroll av personuppgifter i enlighet med internationella skyldigheter (105), lämnande av oriktiga uppgifter som svar på ett informationsföreläggande eller förstörande av information i samband med informations- och bedömningsförelägganden (106).

(99)

Tillsynen över domstolarnas och rättsväsendets behandling av personuppgifter är dubbel. Om en innehavare av ett domarämbete eller en domstol inte agerar inom ramen för sin dömande verksamhet står ICO för tillsyn. Om den personuppgiftsansvariga agerar inom ramen för sin dömande verksamhet kan ICO inte utöva sina tillsynsfunktioner (107) utan tillsynen utförs av särskilda organ. Detta återspeglar det tillvägagångssätt som antagits i förordning (EU) 2016/679 (artikel 55.3).

(100)

I synnerhet i det andra scenariot, för domstolarna i England och Wales samt First-tier Tribunals och Upper Tribunals i England och Wales, tillhandahålls sådan tillsyn av Judicial Data Protection Panel (108). Lord Chief Justice och Chief President of Tribunals har dessutom utfärdat ett meddelande om skydd av personuppgifter (109) som beskriver hur domstolarna i England och Wales behandlar personuppgifter för en rättslig funktion. Ett liknande meddelande har utfärdats av de nordirländska (110) och skotska domstolarna (111).

(101)

I Nordirland har dessutom Lord Chief Justice of Northern Ireland utsett en domare vid High Court som datatillsynsdomare (Data Supervisory Judge, DSJ) (112). De har också gett vägledning till det nordirländska domstolsväsendet om vad som ska göras i händelse av förlust eller potentiell förlust av uppgifter och förfarandet för att hantera eventuella problem som uppstår till följd av detta (113).

(102)

I Skottland har Lord President utsett en datatillsynsdomare som ska utreda eventuella klagomål med hänvisning till dataskydd. Detta anges i de regler för klagomål till domstol som motsvarar dem som gäller för England och Wales (114).

(103)

I högsta domstolen utses slutligen en av högsta domstolens domare för att övervaka dataskyddet.

(104)

För att säkerställa adekvat skydd, och i synnerhet tillämpningen av individuella rättigheter, bör den registrerade tillförsäkras effektiv administrativ och rättslig prövning, inbegripet ersättning för skador.

(105)

För det första har en registrerad rätt att lämna in ett klagomål till the Information Commissioner om den registrerade anser att det föreligger en överträdelse av den brittiska dataskyddsförordningen i samband med personuppgifter som rör honom eller henne (115). Den brittiska dataskyddsförordningen bibehåller bestämmelserna om denna rätt i artikel 77 i förordning (EU) 2016/679 utan några väsentliga ändringar. Detsamma gäller för artikel 57.1 f och 57.2 som fastställer the Commissioner uppgifter i samband med handläggningen av klagomål. Enligt beskrivningen i skälen 92–98 ovan har the Information Commissioner befogenhet att bedöma den personuppgiftsansvarigas och personuppgiftsbiträdets efterlevnad av den brittiska dataskyddsförordningen och 2018 års dataskyddslag och kräva att de vidtar eller avstår från att vidta nödvändiga åtgärder vid bristande efterlevnad och att utdöma sanktionsavgifter.

(106)

För det andra ger den brittiska dataskyddsförordningen och 2018 års dataskyddslag rätt till rättsmedel mot the Information Commissioner. Enligt artikel 78.1 i den brittiska dataskyddsförordningen har enskilda rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av the Commissioner. Inom ramen för domstolsprövningen prövar domaren det beslut som ifrågasätts i ansökan och prövar huruvida the Information Commissioner har handlat lagenligt. Enligt artikel 78.2 i den brittiska dataskyddsförordningen har den klagande dessutom tillgång till rättsmedel om the Commissioner underlåter att behandla ett klagomål från den registrerade (116). Han eller hon kan vända sig till en First Tier Tribunal för att förelägga the Information Commissioner att vidta lämpliga åtgärder för att besvara klagomålet eller informera den klagande om hur ärendet fortskrider (117). Dessutom kan varje person som delgetts ett av de ovannämnda föreläggandena (information, bedömning, verkställighet eller påföljd) av the Information Commissioner överklaga till en First Tier Tribunal (118). Om tribunalen anser att det beslut som the Commissioner har fattat inte är förenligt med lagen eller att the Information Commissioner borde ha utövat sitt utrymme för skönsmässig bedömning på ett annat sätt ska tribunalen bifalla överklagandet eller ersätta ett annat föreläggande eller beslut som the Information Commissioner skulle ha kunnat lämna eller fatta.

(107)

För det tredje kan enskilda personer få rättslig prövning av personuppgiftsansvariga och personuppgiftsbiträden direkt vid domstol i enlighet med artikel 79 i den brittiska dataskyddsförordningen och avsnitt 167 i 2018 års dataskyddslag. Om en domstol på begäran av en registrerad är övertygad om att det har skett en överträdelse av den registrerades rättigheter enligt dataskyddslagstiftningen får domstolen förelägga den personuppgiftsansvariga att vidta de åtgärder som anges i beslutet eller att avstå från att vidta de åtgärder som anges i beslutet.

(108)

Enligt artikel 82 i den brittiska dataskyddsförordningen och avsnitt 168 i 2018 års dataskyddslag har dessutom varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av den brittiska dataskyddsförordningen rätt att få ersättning från den personuppgiftsansvariga eller personuppgiftsbiträdet för den skada som lidits. Reglerna om ersättning och ansvar i artikel 82.1–5 i den brittiska dataskyddsförordningen är identiska med motsvarande regler i förordning (EU) 2016/679. Enligt avsnitt 168 i 2018 års dataskyddslag omfattar ideell skada även lidande. Enligt artikel 80 i den brittiska dataskyddsförordningen har den registrerade också rätt att ge ett representativt organ eller en representativ organisation i uppdrag att lämna in klagomål till the Commissioner för hans eller hennes räkning (enligt artikel 77 i den brittiska dataskyddsförordningen) och att utöva de rättigheter som avses i artiklarna 78 (rätt till effektivt rättsmedel mot the Commissioner), 79 (rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde) och 82 (rätt till ersättning och ansvar) i den brittiska dataskyddsförordningen för hans eller hennes räkning.

(109)

För det fjärde, och utöver de möjligheter till rättslig prövning som beskrivs ovan, kan varje person som anser att hans eller hennes rättigheter, däribland rätten till integritet och dataskydd, har kränkts av myndigheter, få sin sak prövad i domstol i Förenade kungariket enligt Human Rights Act 1998 (119). En enskild person som hävdar att en myndighet har agerat (eller avser att agera) på ett sätt som är oförenligt med en rättighet enligt konventionen och följaktligen är olaglig enligt avsnitt 6.1 i Human Rights Act 1998 kan väcka talan mot myndigheten vid behörig domstol eller åberopa de berörda rättigheterna i ett rättsligt förfarande när han eller hon är (eller skulle vara) offer för den olagliga handlingen.

(110)

Om domstolen finner att en åtgärd som vidtas av en myndighet är rättsstridig kan den bevilja en sådan befrielse eller ett sådant rättsmedel eller fatta ett sådant beslut inom ramen för sina befogenheter som den anser vara skäligt och lämpligt (120). Domstolen kan också förklara att en bestämmelse i primärrätten är oförenlig med en rättighet enligt konventionen.

(111)

Slutligen kan en enskild person, efter att ha uttömt nationella rättsmedel, vända sig till Europeiska domstolen för de mänskliga rättigheterna för kränkningar av de rättigheter som garanteras enligt Europakonventionen om de mänskliga rättigheterna.

(112)

Kommissionen bedömde också Förenade kungarikets rättsliga ram för insamling och senare användning av personuppgifter som brittiska myndigheter överfört till näringsidkare i Förenade kungariket i allmänhetens intresse, särskilt för ändamål som rör brottsbekämpning och nationell säkerhet (”myndigheternas tillgång”). Vid bedömningen av om villkoren för myndigheternas tillgång till uppgifter som överförs till Förenade kungariket enligt detta beslut skulle uppfylla kriteriet om ”väsentlig likvärdighet” i enlighet med artikel 45.1 i förordning (EU) 2016/679 som den tolkats av Europeiska unionens domstol mot bakgrund av stadgan om de grundläggande rättigheterna, tog kommissionen särskilt hänsyn till följande kriterier.

(113)

För det första ska varje begränsning av rätten till skydd av personuppgifter föreskrivas i lag och den rättsliga grund som möjliggör ett ingrepp i en sådan rättighet måste själv definiera omfattningen av begränsningen av utövandet av den berörda rättigheten (121).

(114)

För att uppfylla proportionalitetskravet, enligt vilket undantag från och begränsningar av skyddet av personuppgifter endast får tillämpas i den mån det är absolut nödvändigt i ett demokratiskt samhälle för att uppfylla särskilda mål av allmänintresse som motsvarar dem som erkänns av EU, ska det i lagstiftningen i det berörda tredjelandet, enligt vilken ingreppet är tillåtet, fastställas klara och precisa regler för omfattningen och tillämpningen av åtgärderna i fråga och införas minimigarantier så att de personer vars uppgifter har överförts har tillräckliga garantier för att effektivt skydda sina personuppgifter mot risken för missbruk (122). Lagstiftningen måste särskilt ange under vilka omständigheter och på vilka villkor en åtgärd som föreskriver behandling av sådana uppgifter får antas (123) samt ställa krav på oberoende tillsyn för uppfyllandet av dessa krav (124).

(115)

För det tredje måste denna lagstiftning vara rättsligt bindande enligt nationell rätt och dessa rättsliga krav måste inte bara vara bindande för myndigheterna utan även kunna göras gällande inför domstol mot myndigheterna i det berörda tredjelandet (125). I synnerhet måste de registrerade ha möjlighet att väcka talan vid en oberoende och opartisk domstol för att få tillgång till sina personuppgifter eller för att få dessa uppgifter rättade eller raderade (126).

(116)

I egenskap av myndighetsutövning måste myndigheternas tillgång i Förenade kungariket ske med full respekt för lagen. Förenade kungariket har ratificerat den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (se skäl 9) och alla brittiska myndigheter är skyldiga att agera i enlighet med konventionen (127). I artikel 8 i konventionen föreskrivs att varje ingrepp i privatlivet ska vara förenligt med lagen, med hänsyn till något av de syften som anges i artikel 8.2, och stå i proportion till detta syfte. I artikel 8 föreskrivs också att ingreppet ska vara ”förutsebart”, dvs. ha en tydlig och tillgänglig rättslig grund och att lagen ska innehålla lämpliga skyddsåtgärder för att förhindra missbruk.

(117)

Dessutom har Europeiska domstolen för de mänskliga rättigheterna i sin rättspraxis angett att varje ingrepp i rätten till integritet och dataskydd bör omfattas av ett effektivt, oberoende och opartiskt tillsynssystem som ska tillhandahållas antingen av en domare eller av ett annat oberoende organ (128) (t.ex. en administrativ myndighet eller ett parlamentariskt organ).

(118)

Dessutom måste enskilda ges tillgång till ett effektivt rättsmedel och Europeiska domstolen för de mänskliga rättigheterna har klargjort att rättsmedlet måste erbjudas av ett oberoende och opartiskt organ som har antagit sin egen arbetsordning bestående av medlemmar som måste inneha eller ha innehaft höga domarämbeten eller ha erfarenhet av jurister och att det inte får finnas någon bevisbörda som behöver övervinnas för att lämna in en ansökan till domstolen. När det oberoende och opartiska organet granskar klagomål från enskilda bör det ha tillgång till all relevant information, inklusive hemligt material. Slutligen bör det ha befogenhet att åtgärda bristande efterlevnad (129).

(119)

Förenade kungariket ratificerade även Europarådets konvention om skydd för enskilda personer vid automatisk databehandling av personuppgifter (konvention 108) och undertecknade 2018 protokollet om ändring av konventionen om skydd för enskilda personer vid automatisk databehandling av personuppgifter (kallad konvention 108+) (130). I artikel 9 i konvention 108 föreskrivs att undantag från de allmänna dataskyddsprinciperna (artikel 5 om uppgifternas kvalitet), bestämmelserna om särskilda kategorier av uppgifter (artikel 6 Särskilda kategorier av uppgifter) och den registrerades rättigheter (artikel 8 Ytterligare skyddsåtgärder för den registrerade) endast är tillåtna när ett sådant undantag föreskrivs i partens lagstiftning och utgör en nödvändig åtgärd i ett demokratiskt samhälle för att skydda statens säkerhet, den allmänna säkerheten, statens ekonomiska intressen eller bekämpande av brott eller för att skydda den registrerade eller andra personers fri- och rättigheter (131).

(120)

Genom medlemskap i Europarådet, anslutning till den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och hänvändelse till Europeiska domstolen för de mänskliga rättigheterna omfattas Förenade kungariket därför av ett antal skyldigheter som är inskrivna i internationell rätt, som utgör ramen för landets system för statlig tillgång på grundval av principer, skyddsåtgärder och individuella rättigheter som liknar dem som garanteras enligt unionsrätten och som är tillämpliga på medlemsstaterna. Enligt skäl 19 är fortsatt anslutning till sådana instrument därför ett särskilt viktigt inslag i den bedömning som ligger till grund för detta beslut.

(121)

Dessutom garanteras särskilda dataskyddsgarantier och rättigheter av 2018 års dataskyddslag när uppgifter behandlas av myndigheter, inbegripet brottsbekämpande organ och nationella säkerhetsorgan.

(122)

I synnerhet fastställs ordningen för behandling av personuppgifter i samband med brottsbekämpning i del 3 i 2018 års dataskyddslag, som antogs för att införliva direktiv (EU) 2016/680. Del 3 i 2018 års dataskyddslag är tillämplig på behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga hot mot den allmänna säkerheten (132).

(123)

Begreppet ”behörig myndighet” definieras i avsnitt 30 i dataskyddslagen som en person som förtecknas i tillägg 7 till 2018 års dataskyddslag samt varje annan person i den mån personen har lagstadgade uppgifter för något av de brottsbekämpande ändamålen (133). Såsom förklaras ovan (se skäl 139), kan vissa behöriga myndigheter (t.ex. den nationella brottsmyndigheten (National Crime Agency) på vissa villkor använda de befogenheter som anges i Investigatory Power Act 2016 (2016 års lag om utredningsbefogenheter). I detta fall gäller skyddsåtgärderna enligt 2016 års lag om utredningsbefogenheter utöver de skyddsåtgärder som anges i del 3 i 2018 års dataskyddslag. Underrättelsetjänsterna (Secret Intelligence Service, Security Service och Government Communications Headquarters) är inte behöriga myndigheter (134) enligt del 3 i 2018 års dataskyddslag, och bestämmelserna däri är därför inte tillämpliga på någon av deras verksamheter. En del av 2018 års dataskyddslag (del 4) ägnas särskilt åt underrättelsetjänsters behandling av personuppgifter (närmare information ges i skäl 125)

(124)

I likhet med direktiv (EU) 2016/680 fastställs i del 3 i 2018 års dataskyddslag principerna om laglighet och rättvisa (135), ändamålsbegränsning (136), uppgiftsminimering (137), noggrannhet (138), lagringsbegränsning (139) och säkerhet (140). Lagstiftningen föreskriver särskilda transparenskrav (141) och ger enskilda personer rätt till tillgång (142), rättelse och radering (143) samt rätt att inte bli föremål för automatiserat beslutsfattande (144). De behöriga myndigheterna är också skyldiga att införa inbyggt dataskydd som standard, att föra register över behandling och, för vissa typer av behandling, att genomföra konsekvensbedömningar avseende dataskydd och att i förväg samråda med the Information Commissioner (145). Enligt avsnitt 56 i 2018 års dataskyddslag är de skyldiga att visa att de uppfyller kraven. De är dessutom skyldiga att vidta lämpliga åtgärder för att säkerställa behandlingens säkerhet (146) och omfattas av särskilda skyldigheter vid ett personuppgiftsbrott, inbegripet anmälan av sådana överträdelser till the Information Commissioner och de registrerade (147). Liksom i direktiv (EU) 2016/680 finns det också ett krav på att en personuppgiftsansvarig (såvida det inte är en domstol eller annan rättslig myndighet som agerar inom ramen för sin rättsliga verksamhet) utser ett dataskyddsombud (148) som hjälper den personuppgiftsansvariga att fullgöra sina skyldigheter och övervaka efterlevnaden (149). Dessutom innehåller lagstiftningen särskilda krav för internationella överföringar av personuppgifter för brottsbekämpande ändamål till tredjeländer eller internationella organisationer för att säkerställa kontinuitet i skyddet (150). Samma dag som detta beslut [antog] kommissionen ett beslut om adekvat skyddsnivå på grundval av artikel 36.3 i direktiv (EU) 2016/680 där den konstaterade att det system för dataskydd som är tillämpligt på behandling som utförs av brittiska brottsbekämpande myndigheter säkerställer en skyddsnivå som i allt väsentligt är likvärdig med den som garanteras enligt direktiv (EU) 2016/680.

(125)

Del 4 i 2018 års dataskyddslag gäller all behandling som utförs av underrättelsetjänsterna eller för deras räkning. Framför allt fastställs de viktigaste dataskyddsprinciperna (laglighet, rättvisa och öppenhet (151), ändamålsbegränsning (152), uppgiftsminimering (153), precision (154), lagringsbegränsningar (155) och säkerhet (156), villkor för behandling av särskilda kategorier av uppgifter (157), bestämmelser om registrerades rättigheters (158), krav på inbyggt dataskydd (159) och internationella överföringar av personuppgifter (160). ICO har nyligen utfärdat detaljerad vägledning om underrättelsetjänsters behandling av personuppgifter enligt del 4 i 2018 års dataskyddslag (161).

(126)

Samtidigt föreskrivs i avsnitt 110 i 2018 års dataskyddslag ett undantag från de specificerade bestämmelserna i del 4 i denna lag (162) när ett sådant undantag krävs för att skydda den nationella säkerheten. Detta undantag kan grundas på en analys från fall till fall (163). Enligt de brittiska myndigheternas förklaring och enligt bekräftelse i rättspraxis måste personuppgiftsansvariga beakta de faktiska konsekvenserna för den nationella säkerheten eller försvaret om de var tvungna att följa den särskilda dataskyddsbestämmelsen och om de rimligen kunde följa den vanliga regeln utan att det påverkar den nationella säkerheten eller det nationella försvaret (164). Huruvida undantaget har använts på lämpligt sätt omfattas av ICO:s tillsyn (165).

(127)

När det gäller möjligheten att för skyddet av ”nationell säkerhet” begränsa tillämpningen av de ovannämnda bestämmelserna i avsnitt 111 i 2018 års dataskyddslag kan dessutom en personuppgiftsansvarig ansöka om ett intyg som undertecknats av en minister eller Attorney General som intygar att en begränsning av sådana rättigheter är en nödvändig och proportionerlig åtgärd för att skydda den nationella säkerheten (166).

(128)

Den brittiska regeringen har utfärdat riktlinjer för att bistå personuppgiftsansvariga när de överväger huruvida de ska ansöka om ett nationellt säkerhetsintyg enligt 2018 års dataskyddslag där det särskilt betonas att varje begränsning av registrerades rättigheter för att skydda den nationella säkerheten måste vara proportionerlig och nödvändig (167). Alla nationella säkerhetsintyg måste publiceras på ICO:s webbplats (168).

(129)

Intyget bör gälla för en bestämd period på högst fem år så att det regelbundet ses över av den verkställande makten (169). I ett certifikat ska det anges vilka personuppgifter eller kategorier av personuppgifter som omfattas av undantaget samt vilka bestämmelser i 2018 års dataskyddslag som undantaget gäller (170).

(130)

Det är viktigt att notera att nationella säkerhetsintyg inte utgör en ytterligare grund för att begränsa dataskyddsrättigheter av skäl som rör den nationella säkerheten. Den personuppgiftsansvariga eller personuppgiftsbiträdet kan med andra ord endast förlita sig på ett intyget när han eller hon har konstaterat att det är nödvändigt att förlita sig på undantaget för nationell säkerhet vilket, enligt förklaringen ovan, måste tillämpas från fall till fall (171). Även om ett nationellt säkerhetsintyg är tillämpligt på ärendet i fråga kan ICO undersöka om det var motiverat att åberopa undantaget för nationell säkerhet i ett visst fall (172).

(131)

Varje person som direkt berörs av utfärdandet av certifikatet kan överklaga detta till Upper Tribunal (173) eller (174) bestrida tillämpningen av certifikatet när det gäller specifika uppgifter om certifikatet identifierar uppgifter med hjälp av en allmän beskrivning, (175). Skiljedomstolen kommer att ompröva beslutet att utfärda ett certifikat och besluta om det fanns rimliga skäl att utfärda intyget (176). Den kan behandla ett stort antal frågor, bland annat nödvändighet, proportionalitet och laglighet, med beaktande av konsekvenserna för de registrerades rättigheter och avvägningen av behovet av att skydda den nationella säkerheten. Till följd av detta kan domstolen fastställa att intyget inte är tillämpligt på specifika personuppgifter som är föremål för överklagandet (177).

(132)

En annan uppsättning möjliga begränsningar gäller dem som enligt tillägg 11 till 2018 års dataskyddslag är tillämpliga på vissa bestämmelser i del 4 i denna lag (178) för att skydda andra viktiga mål av allmänt intresse eller skyddade intressen, till exempel parlamentariska privilegier, rätten till förtrolig kommunikation mellan advokat och klient, genomförandet av rättsliga förfaranden eller de väpnade styrkornas stridsförmåga (179). Tillämpningen av dessa bestämmelser är antingen undantagen för vissa kategorier av information (”typbaserad”) eller undantagen i den mån tillämpningen av dessa bestämmelser sannolikt skulle skada det skyddade intresset (”skadebaserat”) (180). Skadebaserade undantag kan endast åberopas i den mån tillämpningen av den angivna dataskyddsbestämmelsen sannolikt skulle skada det specifika intresset i fråga. Användning av ett undantag måste därför alltid motiveras med hänvisning till den relevanta skada som sannolikt skulle uppstå i det enskilda fallet. Typbaserade undantag kan endast åberopas med avseende på den specifika, snävt definierade informationskategori för vilken undantaget beviljas. Dessa liknar varandra i syfte och verkan med flera av undantagen i den brittiska dataskyddsförordningen (enligt förteckning 2 (Schedule 2) i 2018 års dataskyddslag) som i sin tur återspeglar undantagen i artikel 23 i dataskyddsförordningen.

(133)

Av ovanstående följer att begränsningar och villkor finns i tillämplig brittisk lagstiftning, som den också tolkas av domstolarna och the Information Commission, för att säkerställa att dessa undantag och begränsningar håller sig inom gränserna för vad som är nödvändigt och proportionerligt för att skydda den nationella säkerheten.

(134)

Förenade kungarikets lagstiftning föreskriver ett antal begränsningar av tillgången till och användningen av personuppgifter i brottsbekämpningssyfte och tillhandahåller tillsyns- och prövningsmekanismer på detta område som är i linje med de krav som avses i skälen 113–115 i detta beslut. Villkoren för sådan tillgång och de garantier som gäller för utövandet av dessa befogenheter bedöms i detalj i följande avsnitt.

(135)

Enligt den legalitetsprincip som garanteras i avsnitt 35 i 2018 års dataskyddslag är behandling av personuppgifter för något av de brottsbekämpande ändamålen laglig endast om den registrerade har lämnat sitt samtycke till behandlingen för detta ändamål (181) eller om behandlingen är nödvändig för att utföra en arbetsuppgift som utförs för detta ändamål av en behörig myndighet.

(136)

I Förenade kungarikets rättsliga ram är insamling av personuppgifter från näringsidkare, däribland sådana som skulle behandla uppgifter som överförts från EU enligt detta beslut om adekvat skyddsnivå, tillåten i brottsbekämpningssyfte på grundval av beslut om husrannsakan (182) och utlämnandeorder (183).

(137)

Beslut om husrannsakan utfärdas av en domstol, vanligtvis på begäran av utredaren. De gör det möjligt för tjänstemän att få tillträde till lokaler för att söka efter material eller personer som är relevanta för deras utredning och behålla allt för vilket en husrannsakan har bemyndigats, däribland alla relevanta handlingar eller material som innehåller personuppgifter (184). En utlämnandeorder, som också måste utfärdas av en domstol, kräver att den person som anges i beslutet framställer eller ger tillgång till material som de innehar eller kontrollerar. Sökanden måste motivera för domstolen varför beslutet eller ordern är nödvändigt samt varför det ligger i allmänhetens intresse. Det finns flera lagstadgade befogenheter som gör det möjligt att utfärda ett beslut om husrannsakan och en utlämnandeorder. Varje bestämmelse har en egen uppsättning lagstadgade villkor som måste vara uppfyllda för att ett beslut om husrannsakan (185) eller en utlämnandeorder (186) ska kunna utfärdas.

(138)

Utlämnandeorder och beslut om husrannsakan kan överklagas genom rättslig prövning (187). När det gäller skyddsåtgärder bör alla brottsbekämpande myndigheter som omfattas av del 3 i 2018 års dataskyddslag endast få tillgång till personuppgifter – vilket är en form av behandling – i enlighet med de principer och krav som fastställs i den lagen (se skälen 122 och 124 ovan). Därför bör en begäran från en brottsbekämpande myndighet vara förenlig med principen att ändamålen med behandlingen måste specificeras, vara uttryckliga och berättigade (188) och att de personuppgifter som behandlas av en behörig myndighet måste vara relevanta för detta ändamål och inte överdrivna (189).

(139)

För att förebygga eller endast för att upptäcka grova brott (190) kan vissa brottsbekämpande myndigheter, till exempel National Crime Agency eller Chief of Police (191), använda riktade utredningsbefogenheter enligt 2016 års lag om utredningsbefogenheter. I detta fall gäller skyddsåtgärderna enligt 2016 års lag om utredningsbefogenheter utöver de skyddsåtgärder som anges i del 3 i 2018 års dataskyddslag. De specifika utredningsbefogenheter som dessa brottsbekämpande myndigheter kan förlita sig till är riktad avlyssning (del 2 i 2016 års lag om utredningsbefogenheter), inhämtande av kommunikationsuppgifter (del 3 i 2016 års lag om utredningsbefogenheter), lagring av kommunikationsuppgifter (del 4 i 2016 års lag om utredningsbefogenheter) och riktat ingrepp i utrustning (del 5 i 2016 års lag om utredningsbefogenheter). Avlyssning omfattar inhämtande av innehållet i en kommunikation (192) medan inhämtande och lagring av kommunikationsuppgifter inte syftar till att erhålla innehållet i kommunikationen utan till ”vem”, ”när”, ”var” och ”hur” när det gäller kommunikationen. Detta omfattar t.ex. tid och varaktighet för kommunikationen, telefonnumret eller e-postadressen till avsändaren och mottagaren av kommunikationen och ibland platsen för den utrustning från vilken kommunikationen gjordes, abonnenten på en telefonitjänst eller en specificerad räkning (193). Utrustning är en uppsättning tekniktyper som används för att erhålla olika data från utrustning, däribland datorer, surfplattor och smarttelefoner samt kablar, ledningar och lagringsenheter (194).

(140)

Riktade avlyssningsbefogenheter kan också användas när det är nödvändigt för att ge verkan åt bestämmelserna i ett EU-instrument för ömsesidigt bistånd eller ett internationellt avtal om ömsesidigtbistånd (så kallad beslut om ömsesidigt bistånd (195)). Beslut om ömsesidigt bistånd ges endast i samband med avlyssning, inte inhämtande av kommunikationsuppgifter eller ingrepp i utrustning. Dessa riktade befogenheter regleras i 2016 års lag om utredningsbefogenheter (IPA 2016) (196) som tillsammans med 2000 års lag om utredningsbefogenheter (RIPA) för England, Wales and Nordirland och 2000 års lag om utredningsbefogenheter (Skottland) (Regulation of Investigatory Powers (Scotland) Act 2000, RIPSA) för Skottland utgör den rättsliga grunden och fastställer tillämpliga begränsningar och skyddsåtgärder för användningen av sådana befogenheter. 2016 års lag om masutredningsbefogenheter innehåller också ett system för utnyttjande av massutredningsbefogenheter även om dessa inte är tillgängliga för brottsbekämpande myndigheter (endast underrättelsetjänster kan utnyttja dem) (197).

(141)

För att kunna utöva dessa befogenheter måste myndigheterna erhålla ett beslut (198) som utfärdats av behörig myndighet (199) och som godkänts av en oberoende Judicial Commissioner (200) (det så kallade ”double lock-förfarandet”). Erhållandet av ett sådant beslut är föremål för en nödvändighets- och proportionalitetsprövning (201). Eftersom dessa riktade utredningsbefogenheter enligt 2016 års lag om utredningsbefogenheter är desamma som de som nationella säkerhetsmyndigheter har tillgång till behandlas de villkor, begränsningar och skyddsåtgärder som gäller för sådana befogenheter i detalj i avsnittet om brittiska myndigheters tillgång till och användning av personuppgifter för ändamål som rör nationell säkerhet (se skäl 177 och följande).

(142)

En brottsbekämpande myndighets delning av uppgifter med en annan myndighet för andra ändamål än de för vilka de ursprungligen samlades in (s.k. vidare delning) omfattas av vissa villkor.

(143)

I likhet med vad som föreskrivs i artikel 4.2 i direktiv (EU) 2016/680 tillåter avsnitt 36.3 i 2018 års dataskyddslag att personuppgifter som samlats in av en behörig myndighet för brottsbekämpande ändamål får behandlas ytterligare (antingen av den ursprungliga personuppgiftsansvariga eller av en annan personuppgiftsansvarig) för andra brottsbekämpande ändamål, förutsatt att den personuppgiftsansvariga enligt lag är bemyndigad att behandla uppgifter för det andra ändamålet och att behandlingen är nödvändig och står i proportion till detta ändamål (202). I detta fall gäller alla skyddsåtgärder som föreskrivs i del 3 i 2018 års dataskyddslag och som avses i skälen 122 och 124 är tillämpliga på den behandling som utförs av den mottagande myndigheten.

(144)

I Förenade kungarikets rättsordning tillåter olika lagar uttryckligen sådan vidare delning. I synnerhet i) 2017 års lag om den digitala ekonomin tillåter delning mellan myndigheter för flera ändamål, till exempel vid bedrägeri mot den offentliga sektorn som skulle innebära förlust eller risk för förlust för en myndighet (203) eller vid en skuld till en myndighet eller till staten (204), ii) Crime and Courts Act 2013 som tillåter informationsutbyte med den nationella brottsmyndigheten för bekämpning (205), utredning och lagföring av grov och organiserad brottslighet, iii) Serious Crime Act 2007 som gör det möjligt för myndigheter att lämna ut information till bedrägeribekämpningsorganisationer i syfte att förebygga bedrägeri (206).

(145)

I dessa lagar föreskrivs uttryckligen att informationsutbytet bör ske i enlighet med de principer som fastställs i 2018 års dataskyddslag. Dessutom har polisakademin utfärdat en auktoriserad yrkespraxis för informationsutbyte (207) för att hjälpa polisen att uppfylla sina dataskyddsskyldigheter enligt den brittiska dataskyddsförordningen, dataskyddslagen och Human Rights Act 1998. Naturligtvis äger en rättslig prövning rum för att undersöka om utbytet överensstämmer med den tillämpliga rättsliga ramen för dataskydd (208).

(146)

I likhet med vad som anges i artikel 9 i direktiv (EU) 2016/680 föreskriver 2018 års dataskyddslag dessutom att personuppgifter som samlas in för brottsbekämpningsändamål får behandlas för ett ändamål som inte är brottsbekämpningssyfte när behandlingen är tillåten enligt lag (209).

(147)

Denna typ av delning omfattar de två scenarierna 1) när en brottsbekämpande myndighet delar uppgifter med en annan icke-straffrättslig brottsbekämpande myndighet än en underrättelsetjänst (t.ex. en finans- eller skattemyndighet, en konkurrensmyndighet, en barn- och ungdomsmyndighet osv.) och 2) när en brottsbekämpande myndighet delar uppgifter med en underrättelsetjänst. I det första scenariot kommer behandlingen av personuppgifter att omfattas av den brittiska dataskyddsförordningen och av del 2 i 2018 års dataskyddslag. Kommissionen har bedömt de skyddsåtgärder som föreskrivs i den brittiska dataskyddsförordningen och del 2 i 2018 års dataskyddslag i skälen 12–111 och har dragit slutsatsen att Förenade kungariket säkerställer en adekvat skyddsnivå för personuppgifter som överförs inom tillämpningsområdet för förordning (EU) 2016/679 från Europeiska unionen till Förenade kungariket.

(148)

I det andra scenariot, när det gäller utbyte av uppgifter som samlats in av en brottsbekämpande myndighet med en underrättelsetjänst för ändamål som rör nationell säkerhet är den rättsliga grunden för sådant utbyte avsnitt 19 i Counter Terrorism Act 2008 (CTA 2008) (210). Enligt denna lag får var och en lämna uppgifter till någon av underrättelsetjänsterna i syfte att fullgöra någon av dess funktioner, inbegripet ”nationell säkerhet”.

(149)

När det gäller villkoren för utbyte av uppgifter för nationella säkerhetsändamål begränsar Intelligence Services Act (211) och Security Services Act (212) underrättelsetjänsternas möjligheter att inhämta uppgifter till vad som är nödvändigt för att de ska kunna fullgöra sina lagstadgade uppgifter. Brottsbekämpande organ som vill utbyta uppgifter med underrättelsetjänsterna kommer att behöva ta hänsyn till ett antal faktorer/begränsningar, utöver myndigheternas lagstadgade uppgifter som fastställs i lagen om underrättelsetjänster och lagen om säkerhetstjänster (213). I avsnitt 20 i Counter Terrorism Act 2008 klargörs att all datadelning enligt avsnitt 19 fortfarande måste vara förenlig med dataskyddslagstiftningen, vilket innebär att alla begränsningar och krav i del 3 i 2018 års dataskyddslag gäller. Eftersom behöriga myndigheter är myndigheter i den mening som avses i Human Rights Act 1998 måste de dessutom se till att de agerar i enlighet med rättigheterna i konventionen, däribland artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Dessa begränsningar säkerställer att allt uppgiftsutbyte mellan brottsbekämpande organ och underrättelsetjänster är förenligt med dataskyddslagstiftningen och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(150)

När en behörig myndighet avser att dela personuppgifter som behandlas enligt del 3 i 2018 års dataskyddslag med brottsbekämpande myndigheter i ett tredjeland gäller särskilda krav (214). Sådana överföringar kan i synnerhet äga rum när de grundar sig på bestämmelser om adekvat skyddsnivå som utfärdats av ministern eller, i avsaknad av sådana bestämmelser, måste säkerställas. I avsnitt 75 i 2018 års dataskyddslag föreskrivs att lämpliga skyddsåtgärder ska vidtas om det fastställs i ett rättsligt instrument som binder den avsedda mottagaren, eller om den personuppgiftsansvariga, efter att ha bedömt alla omständigheter kring överföringar av denna typ av personuppgifter till tredjelandet eller den internationella organisationen, drar slutsatsen att det finns lämpliga skyddsåtgärder för att skydda uppgifterna.

(151)

Om en överföring inte grundar sig på en förordning om adekvat skyddsnivå eller lämpliga skyddsåtgärder kan den endast ske under vissa, specificerade omständigheter, så kallade särskilda omständigheter (215). Detta är fallet när överföringen är nödvändig a) för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person, b) för att skydda den registrerades berättigade intressen, c) för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller ett tredjeland, d) för att i enskilda fall för något av de brottsbekämpande ändamålen eller e) för att i enskilda fall för ett rättsligt ändamål (t.ex. i samband med rättsliga förfaranden eller för att erhålla juridisk rådgivning). Det kan noteras att d) och e) inte är tillämpliga om den registrerades rättigheter och friheter väger tyngre än det allmänna intresset av överföringen. Dessa omständigheter motsvarar de särskilda situationer och villkor som räknas som ”undantag” enligt artikel 38 i direktiv (EU) 2016/680.

(152)

När det material som de brottsbekämpande myndigheterna inhämtat inom ramen för ett beslut som tillåter användning av avlyssning eller ingrepp i utrustning överlämnas till tredjeland införs ytterligare skyddsåtgärder genom 2016 års lag om utredningsbefogenheter. Ett sådant utlämnande, definierad som ”utlämnande till utlandet” är endast tillåten om den utfärdande myndigheten anser att det finns särskilda lämpliga arrangemang som begränsar antalet personer till vilka uppgifterna lämnas ut, i vilken utsträckning allt material lämnas ut eller görs tillgängligt samt i vilken utsträckning något av materialet kopieras och antalet kopior. Den utfärdande myndigheten får dessutom ta hänsyn till att lämpliga arrangemang är nödvändiga för att säkerställa att varje kopia av någon del av materialet förstörs så snart det inte längre finns några relevanta skäl att behålla det (om det inte har förstörts tidigare) (216).

(153)

Slutligen skulle särskilda former av vidare överföring från Förenade kungariket till Förenta staterna i framtiden kunna ske på grundval av avtalet mellan Förenade konungariket Storbritannien och Nordirlands regering och Amerikas förenta staters regering om tillgång till elektroniska uppgifter för bekämpning av grov brottslighet (avtalet mellan Förenade kungariket och Förenta staterna eller avtalet) (217) som ingicks i oktober 2019 (218). Avtalet mellan Förenade kungariket och Förenta staterna har ännu inte trätt i kraft vid tidpunkten för antagandet av detta beslut men dess förväntade ikraftträdande kan påverka vidare överföringar till Förenta staterna av uppgifter som först överfördes till Förenade kungariket på grundval av beslutet. Närmare bestämt skulle uppgifter som överförs från EU till tjänsteleverantörer i Förenade kungariket kunna bli föremål för förelägganden om framläggande av elektroniska bevis som utfärdats av behöriga amerikanska brottsbekämpande myndigheter och gjorts tillämpliga i Förenade kungariket enligt detta avtal så snart det trätt i kraft. Av dessa skäl är bedömningen av de villkor och skyddsåtgärder enligt vilka sådana förelägganden kan utfärdas och verkställas relevant för detta beslut.

(154)

I detta avseende bör det för det första noteras att avtalet, när det gäller dess materiella tillämpningsområde, endast är tillämpligt på brott som är belagda med ett maximistraff på minst tre års fängelse (definierat som ”allvarlig brottslighet”) (219), inbegripet ”terroristverksamhet”. För det andra får uppgifter som behandlas i den andra jurisdiktionen inhämtas enligt detta avtal endast efter ett ”föreläggandet [...] som är föremål för prövning eller tillsyn enligt den utfärdande partens nationella lagstiftning av en domstol, en domare, en fredsdomare eller en annan oberoende myndighet före eller i samband med ett förfarande för verkställighet av föreläggandet” (220). För det tredje måste varje föreläggande ”grundas på krav på rimlig motivering baserad på tydliga och trovärdiga fakta, utmärkande drag, laglighet och allvarlighetsgrad när det gäller det beteende som utreds” (221) och ”vara inriktad på specifika konton samt identifiera en viss person, ett visst konto, en särskild adress eller en personlig anordning eller någon annan specifik identifierare” (222). För det fjärde omfattas uppgifter som erhålls inom ramen för detta avtal av samma skydd som de särskilda skyddsåtgärder som föreskrivs i det så kallade paraplyavtalet mellan EU och USA (223) – ett omfattande avtal om dataskydd som EU och Förenta staterna ingick i december 2016 och som fastställer skyddsåtgärder och rättigheter som är tillämpliga på dataöverföringar på området för brottsbekämpande samarbete – som alla införlivas i detta avtal genom hänvisning på motsvarande sätt för att särskilt ta hänsyn till den särskilda karaktären hos överföringarna (dvs. överföringar från privata aktörer till brottsbekämpande myndigheter, snarare än överföringar mellan brottsbekämpande myndigheter) (224). I avtalet mellan Förenade kungariket och Förenta staterna föreskrivs särskilt att skydd som är likvärdigt med det som ges i paraplyavtalet mellan EU och Förenta Staterna ska tillämpas ”på all personlig information som framställs i samband med verkställandet av de beslut som omfattas av avtalet i syfte att ge likvärdigt skydd” (225).

(155)

Uppgifter som överförs till de amerikanska myndigheterna enligt avtalet mellan Förenade kungariket och Förenta staterna bör därför omfattas av det skydd som föreskrivs i ett EU-rättsligt instrument med nödvändiga anpassningar för att återspegla typen av överföringar i fråga. De brittiska myndigheterna har vidare bekräftat att skyddet i paraplyavtalet kommer att gälla för all personlig information som framställs eller bevaras enligt avtalet, oavsett typ eller typ av organ som begär det (t.ex. både federala och statliga brottsbekämpande myndigheter i Förenta staterna), så att likvärdigt skydd alltid måste ges. De brittiska myndigheterna har dock också förklarat att detaljerna i det konkreta genomförandet av dataskyddsgarantierna fortfarande är föremål för diskussioner mellan Förenade kungariket och USA. I samband med samtalen med Europeiska kommissionens avdelningar om detta beslut bekräftade de brittiska myndigheterna att de inte kommer att låta avtalet träda i kraft förrän de har försäkrat sig om att genomförandet är förenligt med de rättsliga skyldigheterna i avtalet, inbegripet klarhet när det gäller efterlevnaden av dataskyddsstandarderna för alla uppgifter som begärs enligt detta avtal. Eftersom ett eventuellt ikraftträdande av avtalet kan påverka den skyddsnivå som bedöms i detta beslut bör Förenade kungariket, så snart det blir tillgängligt och i alla händelser före avtalets ikraftträdande, meddela Europeiska kommissionen all information och eventuella framtida klargöranden om hur Förenta staterna kommer att fullgöra sina skyldigheter enligt avtalet, för att säkerställa en korrekt övervakning av detta beslut i enlighet med artikel 45.4 i förordning (EU) 2016/679. Särskild uppmärksamhet kommer att ägnas åt tillämpningen och anpassningen av paraplyavtalets skydd till den särskilda typ av överföringar som omfattas av avtalet mellan Förenade kungariket och Förenta staterna.

(156)

Mer allmänt kommer all relevant utveckling när det gäller avtalets ikraftträdande och tillämpning att vederbörligen beaktas i samband med den fortlöpande övervakningen av detta beslut även när det gäller de nödvändiga konsekvenser som ska dras om det finns tecken på att en väsentligen likvärdig skyddsnivå inte längre säkerställs.

(157)

Beroende på de befogenheter som de behöriga myndigheterna använder när de behandlar personuppgifter för brottsbekämpande ändamål (antingen enligt 2018 års dataskyddslag eller 2016 års lag om utredningsbefogenheter) säkerställer olika organ tillsynen över användningen av dessa befogenheter. I synnerhet övervakar the Information Commissioner behandlingen av personuppgifter när den omfattas av del 3 i 2018 års dataskyddslag (226). Oberoende och rättslig tillsyn över användningen av utredningsbefogenheter inom ramen för 2016 års lag om utredningsbefogenheter säkerställs av IPCO (Investigatory Powers Commissioner’s Office) (227) (denna del behandlas i skälen 250–255). Dessutom garanteras ytterligare tillsyn av parlamentet och andra organ.

(158)

De allmänna arbetsuppgifter som the Information Commissioner har – vars oberoende och organisation förklaras i skäl 87 – när det gäller behandling av personuppgifter som omfattas av del 3 i 2018 års dataskyddslag fastställs i bilaga 13 till denna lag. ICO har som huvuduppgift att övervaka och verkställa del 3 i 2018 års dataskyddslag samt att främja allmänhetens medvetenhet, ge råd till parlamentet, regeringen och andra institutioner och organ. För att upprätthålla rättsväsendets oberoende är the Information Commissioner inte bemyndigad att utföra sina uppgifter i samband med behandling av personuppgifter som utförs av en enskild person som handlar i egenskap en av dömande myndighet eller av en domstol som agerar inom ramen för sin dömande verksamhet. Under dessa omständigheter skulle andra organ utöva tillsynsfunktionerna enligt skälen 99–103.

(159)

The Commissioner har allmänna undersökande, korrigerande, tillståndsrelaterade och rådgivande befogenheter när det gäller behandling av personuppgifter som omfattas av del 3. I synnerhet har the Commissioner befogenhet att underrätta den personuppgiftsansvariga eller personuppgiftsbiträdet om en påstådd överträdelse av del 3 i 2018 års dataskyddslag, att utfärda varningar eller en reprimand till en personuppgiftsansvarig eller ett personuppgiftsbiträde som har överträtt bestämmelserna i del 3 i lagen, samt att på eget initiativ eller på begäran avge yttranden till parlamentet, regeringen eller andra institutioner och organ samt till allmänheten i alla frågor som rör skydd av personuppgifter (228).

(160)

Dessutom har the Commissioner befogenhet att utfärda informationsförelägganden (229), bedömningsförelägganden (230) och verkställighetsförelägganden (231) samt befogenhet att få tillgång till personuppgiftsansvarigas och personuppgiftsbiträdens handlingar, att få tillträde till deras lokaler (232) och att utfärda administrativa sanktionsavgifter i form av påföljdsförelägganden (233). I ICO:s policy för regleringsåtgärder (Information Commissioner’s Office Regulatory Action Policy) anges under vilka omständigheter den utfärdar förelägganden om information, bedömning, verkställighet och påföljder (234) (se även skäl 93 i direktiv (EU) 2016/680 om adekvat skyddsnivå, skälen 101–102).

(161)

Enligt sina senaste årsrapporter (2018–2019 (235), 2019-2020 (236)) har the Information Commissioner genomfört ett antal utredningar och vidtagit verkställighetsåtgärder med avseende på brottsbekämpande myndigheters behandling av uppgifter. Till exempel genomförde the Commissioner en utredning och offentliggjorde ett yttrande i oktober 2019 om brottsbekämpande myndigheters användning av ansiktsigenkänningsteknik på offentliga platser. Utredningen inriktades särskilt på hur South Wales Police och Metropolitan Police Service (MPS) använder sig av kapacitet för ansiktsigenkänning på plats. The Information Commissioner undersökte också Metropolitan Police Service”Gangs matrix” (237) och fann en rad allvarliga överträdelser av dataskyddslagstiftningen som sannolikt skulle undergräva allmänhetens förtroende för matrisen och hur uppgifterna användes. I november 2018 utfärdade the Information Commissioner ett verkställighetsföreläggande och därefter vidtog Metropolitan Police Service de åtgärder som krävdes för att öka säkerheten och ansvarsskyldigheten och se till att uppgifterna användes på ett proportionerligt sätt. Ett annat exempel på verkställighetsåtgärder på detta område är de sanktionsavgifter på 325 000 pund som the Commissioner utfärdade mot åklagarmyndigheten i maj 2018 för att ha förlorat okrypterade dvd-skivor som innehöll inspelningar av polisförhör. The Information Commissioner genomförde också utredningar av bredare frågor, till exempel under första halvåret 2020 om användningen av avlyssning av mobiltelefoner för polisändamål och polisens behandling av brottsoffrens uppgifter. Dessutom utreder the Commissioner för närvarande ett ärende som inbegriper brottsbekämpande myndigheters tillgång till uppgifter som innehas av en enhet i den privata sektorn, Clearview AI Inc. (238)

(162)

Förutom de verkställande befogenheter som the Information Commissioner har som nämns i skälen 160 och 161 utgör vissa överträdelser av dataskyddslagstiftningen brott och kan därför bli föremål för straffrättsliga påföljder (avsnitt 196 i 2018 års dataskyddslag). Detta gäller till exempel för att erhålla, röja eller lagra personuppgifter utan den personuppgiftsansvarigas samtycke och för att säkerställa att personuppgifter lämnas ut till en annan person utan den personuppgiftsansvarigas samtycke” (239), återidentifierande information som utgörs av avidentifierade personuppgifter utan samtycke från den personuppgiftsansvariga som ansvarar för avidentifieringen av personuppgifterna (240), avsiktligen hindra the Commissioner från att utöva sina befogenheter när det gäller kontroll av personuppgifter i enlighet med internationella skyldigheter (241), lämna oriktiga uppgifter om svar på ett informationsföreläggande eller förstöra information i samband med informations- och bedömningsförelägganden (242).

(163)

Utöver the Information Commissioner finns det flera tillsynsorgan på det straffrättsliga området med särskilda mandat som är relevanta för dataskyddsfrågor. Detta inbegriper till exempel the Biometrics Commissioner (243) och the Surveillance Camera Commissioner (244).

(164)

Home Affairs Select Committee (HASC) utövar parlamentarisk tillsyn på området brottsbekämpning. Detta utskott består av 11 parlamentsledamöter från de tre största politiska partierna. Utskottet har till uppgift att granska inrikesministeriets och därmed sammanhängande offentliga organs utgifter, administration och politik, dvs. polisen och NCA – vars arbete utskottet kan granska särskilt (245).

(165)

Utskottet kan, inom ramen för sitt ansvarsområde, välja sitt eget undersökningsobjekt, inklusive särskilda fall, så länge frågan inte är under rättslig prövning. Utskottet får också begära skriftliga och muntliga bevis från ett brett spektrum av relevanta grupper och individer. Det utarbetar rapporter om sina iakttagelser och utfärdar rekommendationer till regeringen (246). Regeringen förväntas svara på var och en av rapportens rekommendationer och måste svara inom 60 dagar (247).

(166)

På övervakningsområdet utarbetade utskottet även en rapport om 2000 års lag om utredningsbefogenheter (RIPA 2000) (248) där det konstaterades att 2000 års lag om utredningsbefogenheter inte var ändamålsenlig. Deras rapport beaktades när betydande delar av 2000 års lag om utredningsbefogenheter ersattes med 2016 års lag om utredningsbefogenheter En fullständig förteckning över undersökningar finns på utskottets webbplats (249).

(167)

HASC:s uppgifter utförs i Skottland av the Justice Subcommittee on Policing och i Nordirland av the Committee for Justice (250).

(168)

När det gäller brottsbekämpande myndigheters behandling av uppgifter finns prövningsmekanismer tillgängliga i del 3 i 2018 års dataskyddslag och inom ramen för 2016 års lag om utredningsbefogenheter samt enligt Human Rights Act 1998.

(169)

Denna serie av mekanismer ger de registrerade effektiva administrativa och rättsliga prövningsmöjligheter som gör det möjligt för dem att särskilt säkerställa sina rättigheter, inbegripet rätten att få tillgång till sina personuppgifter eller att få dessa uppgifter rättade eller raderade.

(170)

För det första har den registrerade enligt avsnitt 165 i 2018 års dataskyddslag rätt att lämna in ett klagomål till the Information Commissioner om den registrerade anser att det föreligger en överträdelse av del 3 i 2018 års dataskyddslag i samband med personuppgifter som rör honom eller henne (251). The Information Commissioner har befogenhet att bedöma den personuppgiftsansvarigas och personuppgiftsbiträdets efterlevnad av 2018 års dataskyddslag, kräva att han eller hon vidtar nödvändiga åtgärder vid bristande efterlevnad och utdöma sanktionsavgifter.

(171)

För det andra ger 2018 års dataskyddslag rätt till rättsmedel mot the Information Commissioner om denne inte behandlar ett klagomål från den registrerade på lämpligt sätt. Om the Commissioner underlåter att ”gå vidare” (252) med ett klagomål från den registrerade har klaganden tillgång till rättsmedel, eftersom de kan ansöka hos en First Tier Tribunal (253) att den ska ålägga the Commissioner att vidta lämpliga åtgärder för att besvara klagomålet eller informera den klagande om hur ärendet fortskrider (254). Dessutom kan varje person som får något av de nämnda tillkännagivandena (informations-, bedömnings-, verkställighets- eller påföljdsföreläggandet) från the Commissioner överklaga till en First Tier Tribunal. Om tribunalen anser att det beslut the Commissioner fattar inte är förenligt med lagen eller att the Information Commissioner borde ha utövat sitt utrymme för skönsmässig bedömning på ett annat sätt, ska tribunalen bifalla överklagandet eller ersätta ett annat föreläggande eller beslut som the Information Commissioner skulle ha kunnat avge eller fatta (255).

(172)

För det tredje kan enskilda erhålla rättslig prövning av personuppgiftsansvariga och personuppgiftsbiträden direkt vid domstol. Enligt avsnitt 167 i 2018 års dataskyddslag får en registrerad lämna in en ansökan till domstolen om intrång i hans eller hennes rätt enligt dataskyddslagstiftningen och domstolen kan genom ett föreläggande begära att den personuppgiftsansvariga vidtar (eller avstår från att vidta) varje åtgärd med avseende på behandlingen för att följa 2018 års dataskyddslag. Enligt avsnitt 169 i 2018 års dataskyddslag har dessutom varje person som lidit skada till följd av en överträdelse av ett krav i dataskyddslagstiftningen (inklusive del 3 i 2018 års dataskyddslag), med undantag för brittiska dataskyddsförordningen, rätt till ersättning för denna skada från den personuppgiftsansvariga eller personuppgiftsbiträdet, utom om den personuppgiftsansvariga eller personuppgiftsbiträdet bevisar att den personuppgiftsansvariga eller personuppgiftsbiträdet inte på något sätt är ansvarig för den händelse som orsakade skadan. Med skada avses både ekonomisk förlust och skada som inte medför ekonomiska förluster, till exempel nödläge.

(173)

Slutligen kan var och en om han eller hon anser att hans eller hennes rättigheter, inklusive rätten till integritet och dataskydd, har kränkts av alla myndigheter få sin sak prövad i domstol i Förenade kungariket enligt Human Rights Act 1998 (256) och efter att ha uttömt nationella rättsmedel kan en person, en icke-statlig organisation och grupper av enskilda få upprättelse inför Europeiska domstolen för de mänskliga rättigheterna för kränkningar av de rättigheter som garanteras enligt den europeiska konventionen om mänskliga rättigheter (257) (se skäl 111).

(174)

Enskilda personer kan erhålla rättslig prövning av överträdelser av 2016 års lag om utredningsbefogenheter inför tribunalen för utredningsbefogenheter. De möjligheter till rättslig prövning som står till buds inom ramen för 2016 års lag om utredningsbefogenheter beskrivs i skälen 263–269 nedan.

(175)

I Förenade kungarikets rättsordning är de underrättelsetjänster som har befogenhet att samla in elektronisk information som innehas av personuppgiftsansvariga eller personuppgiftsbiträden av nationella säkerhetsskäl, i situationer som är relevanta för ett adekvat scenario, the Security Service (258) (MI5), the Secret Intelligence Service (259) (SIS) och the Government Communications Headquarters (260) (GCHQ) (261).

(176)

I Förenade kungariket definieras underrättelsetjänsternas befogenheter i 2016 års lag om utredningsbefogenheter och 2000 års lag om utredningsbefogenheter som tillsammans med 2018 års dataskyddslag fastställer det materiella och personliga tillämpningsområdet för dessa befogenheter samt begränsningar och skyddsåtgärder för utövandet av dem. Dessa befogenheter samt de begränsningar och skyddsåtgärder som är tillämpliga på dem bedöms i detalj i följande avsnitt.

(177)

2016 års lag om utredningsbefogenheter utgör den rättsliga ramen för användningen av utredningsbefogenheter, dvs. befogenhet att avlyssna, få tillgång till kommunikationsuppgifter och utföra ingrepp i utrustningen. 2016 års lag om utredningsbefogenheter inför ett allmänt förbud och gör det straffbart att använda teknik som möjliggör åtkomst till kommunikationsinnehåll, åtkomst till kommunikationsuppgifter eller ingrepp i utrustning utan laglig auktoritet (262). Detta återspeglas i det faktum att användningen av dessa utredningsbefogenheter endast är laglig när den utförs på grundval av ett beslut eller ett tillstånd (263).

(178)

I 2016 års lag om utredningsbefogenheter fastställs detaljerade bestämmelser om omfattningen och tillämpningen av varje utredningsbefogenhet samt respektive begränsningar och skyddsåtgärder. Olika regler gäller beroende på vilken typ av utredningsbefogenheter det rör sig om (avlyssning av kommunikation, inhämtande och lagring av kommunikationsuppgifter och ingrepp i utrustning) (264) samt huruvida befogenheten utövas på ett visst mål eller i massomfattning. Uppgifter om tillämpningsområde, skyddsåtgärder och begränsningar för varje åtgärd enligt 2016 års lag om utredningsbefogenheter anges i ett särskilt avsnitt nedan.

(179)

Dessutom kompletteras 2016 års lag om utredningsbefogenheter med ett antal lagstadgade uppförandekoder, utfärdade av den ansvariga ministern, godkända av båda kamrarna i parlamentet (265) och tillämpliga i hela landet, som ger ytterligare vägledning om hur dessa befogenheter ska användas (266). Även om registrerade direkt kan förlita sig till bestämmelserna i 2016 års lag om utredningsbefogenheter för att utöva sina rättigheter, föreskriver punkt 5 i tillägg 7 till lagen att uppförandekoderna är tillåtna som bevis i civilrättsliga och straffrättsliga förfaranden och att domstolen eller tillsynsmyndigheten får ta hänsyn till bristande efterlevnad av uppförandekoderna när den avgör en relevant fråga i rättsliga förfaranden (267). I samband med bedömningen av ”lagstiftningens kvalitet” i Förenade kungarikets tidigare lagstiftning på övervakningsområdet, dvs. 2000 års lag om utredningsbefogenheter, bekräftade Europeiska domstolen för de mänskliga rättigheterna (stora avdelningen) uttryckligen de brittiska uppförandekodernas relevans och godtog att bestämmelserna kunde beaktas i bedömningen av förutsägbarheten hos den lagstiftning som tillåter övervakning av (268).

(180)

Det bör noteras att riktade befogenheter (riktad avlyssning (269), inhämtande av kommunikationsuppgifter (270), lagring av kommunikationsuppgifter (271) och riktade ingrepp i utrustning (272)) är tillgängliga för nationella säkerhetsmyndigheter (273) och vissa brottsbekämpande myndigheter, medan endast underrättelsetjänster får använda sig av ”massbefogenheter” (dvs. massavlyssning (274), massinhämtning av kommunikationsuppgifter (275), massingrepp i utrustning (276) och massdataset av personuppgifter (277)).

(181)

Vid beslut om vilken utredningsbefogenhet som ska användas måste underrättelsetjänsten uppfylla de ”allmänna skyldigheter i fråga om integritet” som anges i avsnitt 2.2 a i 2016 års lag om utredningsbefogenheter vilket inbegriper en nödvändighets- och proportionalitetsprövning. Närmare bestämt ska en myndighet som har för avsikt att utnyttja en utredningsbefogenhet enligt denna bestämmelse i) överväga huruvida det som eftersträvas med beslutet, tillståndet eller föreläggandet rimligen skulle kunna uppnås med andra mindre ingripande medel, ii) huruvida den skyddsnivå som ska tillämpas vid inhämtande av information enligt beslutet, tillståndet eller föreläggandet är högre på grund av informationens särskilda känslighet, iii) allmänintresset av telekommunikationssystemens och posttjänsternas integritet och säkerhet och iv) alla andra aspekter av allmänintresset av integritetsskydd (278).

(182)

Det sätt på vilket dessa kriterier ska tillämpas – och det sätt på vilket deras efterlevnad bedöms som en del av den ansvariga ministerns och the Judicial Commissioners tillstånd att använda sådana befogenheter – specificeras närmare i de relevanta uppförandekoderna. I synnerhet måste användningen av en av dessa utredningsbefogenheter alltid stå i ”proportion till vad som eftersträvas [vilket] involverar en avvägning mellan allvaret i intrånget i den personliga integriteten (och andra överväganden som anges i avsnitt 2.2) och behovet av utredningsåtgärder, operativa åtgärder eller förmågor”. Detta innebär i synnerhet att det ”bör erbjuda realistiska utsikter att ge den förväntade nyttan och inte vara oproportionerligt eller godtyckligt” och att ”[i]nget intrång i privatlivet bör anses vara proportionerligt om den information som efterfrågas rimligen kan erhållas med andra mindre inkräktande medel” (279). Närmare bestämt ska iakttagandet av proportionalitetsprincipen bedömas med beaktande av ”i) omfattningen av det föreslagna intrånget i privatlivet i förhållande till vad som är avsett att uppnås, ii) hur och varför de metoder som ska antas kommer att orsaka minsta möjliga ingrepp för personen och andra, iii) huruvida verksamheten är en lämplig användning av lagen och ett rimligt sätt att, efter att ha övervägt alla rimliga alternativ, uppnå det som eftersträvas, iv) vilka andra metoder, beroende på vad som är lämpligt, som antingen inte har genomförts eller har använts men som bedöms vara otillräckliga för att uppfylla de operativa målen utan användning av den föreslagna utredningsbefogenheten” (280).

(183)

I praktiken, vilket de brittiska myndigheterna förklarar, säkerställer detta att en underrättelsetjänst, för det första, fastställer det operativa målet (och därmed avgränsar insamlingen, t.ex. ett internationellt terrorismbekämpningsändamål i ett specifikt geografiskt område) och, för det andra, på grundval av detta operativa mål måste överväga vilket tekniskt alternativ (t.ex. riktad avlyssning eller massavlyssning, ingrepp i utrustning, inhämtande av kommunikationsuppgifter) som är mest proportionerligt (dvs. det minst inkräktande på integriteten, jfr avsnitt 2.2 i Investigatory Powers Act) mot vad som är tillåtet enligt en av de lagstadgade grunderna och som därför kan uppnås.

(184)

Det är värt att notera att denna hänvisning till normer för nödvändighet och proportionalitet också har noterats och välkomnats av Joseph Cannataci, FN:s särskilde rapportör för rätten till integritet, som i fråga om det system som inrättats genom 2016 års lag om utredningsbefogenheter konstaterade att ”[d]e förfaranden som tillämpas både inom underrättelsetjänsterna och inom de brottsbekämpande organen förefaller kräva systematiskt att man överväger om en övervakningsåtgärd eller en övervakningsuppgift är nödvändig och proportionerlig innan den rekommenderas för godkännande samt en översyn av den på samma grunder” (281). Han påpekade också att han vid sitt möte med företrädare för brottsbekämpande myndigheter och nationella säkerhetsmyndigheter ”hade en samsyn om att rätten till integritet måste vara en grundläggande fråga för alla beslut om övervakningsåtgärder. Alla tolkade och uppskattade nödvändigheten och proportionaliteten som de grundläggande principer som ska beaktas”.

(185)

De särskilda kriterierna för utfärdande av de olika beslut samt de begränsningar och skyddsåtgärder som fastställs i 2016 års lag om utredningsbefogenheter för varje utredningsbefogenhet anges i skälen 186–243.

(186)

Det finns tre typer av beslut för riktad avlyssning: beslut om riktad avlyssning (282), beslut om riktad granskning och beslut om ömsesidigt bistånd (283). Villkoren för att erhålla sådana beslut och relevanta skyddsåtgärder anges i del 2 kapitel 1 i 2016 års lag om utredningsbefogenheter.

(187)

Ett beslut om riktad avlyssning tillåter avlyssning av de meddelanden som beskrivs i beslutet i samband med överföring och inhämtande av andra uppgifter som är relevanta för denna kommunikation (284), inbegripet sekundära uppgifter (285). Ett riktat beslut om granskning ger en person rätt att göra urvalet för granskning av avlyssnat innehåll som erhållits inom ramen för ett beslut om massavlyssning (286).

(188)

Varje beslut enligt del 2 i 2016 års lag om utredningsbefogenheter kan utfärdas av den ansvariga ministern (287) och godkännas av en Judicial Commissioner (288). I samtliga fall är varaktigheten för varje typ av riktat beslut begränsad till 6 månader (289) och särskilda regler gäller för ändring (290) och förnyelse av ett sådant beslut (291).

(189)

Innan den ansvariga ministern utfärdar beslutet måste han eller hon göra en nödvändighets- och proportionalitetsbedömning (292). När det gäller ett beslut om riktad avlyssning och ett beslut om riktad undersökning bör den ansvariga ministern särskilt kontrollera om åtgärden är nödvändig på grund av nationella säkerhetsintressen, förebyggande eller avslöjande av allvarliga brott eller ett intresse för Förenade kungarikets (293) ekonomiska välstånd i den mån dessa intressen även är relevanta för den nationella säkerheten (294). Å andra sidan kan ett beslut om ömsesidigt bistånd (se skäl 139 ovan) utfärdas endast om den ansvariga ministern anser att omständigheterna är likvärdiga med dem under vilka han eller hon skulle utfärda ett beslut i syfte att förebygga och eller upptäcka allvarlig brottslighet (295).

(190)

Dessutom ska den ansvariga ministern bedöma huruvida åtgärden står i proportion till vad som är avsett att uppnås (296). Vid bedömningen av huruvida de begärda åtgärderna är proportionerliga måste hänsyn tas till de allmänna skyldigheter i fråga om personlig integritet som anges i avsnitt 2.2 i 2016 års lag om utredningsbefogenheter, särskilt behovet av att bedöma huruvida det som eftersträvas med beslutet, tillståndet eller föreläggandet rimligen skulle kunna uppnås med andra mindre inkräktande medel och huruvida den skyddsnivå som ska tillämpas vid inhämtande av information enligt beslutet är högre på grund av den särskilda känsligheten hos denna information (se skäl 181 ovan).

(191)

För detta ändamål måste ministern beakta alla delar av ansökan som lämnats in av den myndighet som lämnar in begäran, särskilt de som rör de personer som ska avlyssnas och åtgärdens relevans för utredningen. Sådana inslag anges i uppförandekoden om avlyssning av kommunikation och måste beskrivas på en viss nivå av specifik karaktär (297). Dessutom krävs det i avsnitt 17 i 2016 års lag om utredningsbefogenheter att varje beslut som utfärdas enligt dess kapitel 2 ska namnge eller beskriva den specifika person eller grupp av personer, organisationer eller lokaler som ska avlyssnas (målet). Vid ett beslut om riktad avlyssning eller ett beslut om riktad granskning kan dessa även avse en grupp av personer, mer än en person eller organisation eller fler än ett komplex av lokaler (även kallat tematiskt beslut) (298). I dessa fall bör beslutet beskriva det gemensamma syftet eller den gemensamma aktiviteten eller verksamheten/utredningarna och ange eller beskriva så många av dessa personer/organisationer eller komplex av lokaler där detta rimligen är praktiskt genomförbart (299). Slutligen ska alla beslut som utfärdas enligt del 2 i 2016 års lag om utredningsbefogenheter innehålla uppgifter om adresser, nummer, apparatur, faktorer eller kombinationer av faktorer som ska användas för att identifiera kommunikationen (300). I detta avseende anges det i uppförandekoden om avlyssning att när det rör sig om beslut om riktad avlyssning och beslut om riktad granskning ”måste det i beslutet specificeras (eller beskrivas) vilka faktorer eller kombinationer av faktorer som ska användas för att identifiera kommunikationen. Om kommunikationen ska identifieras med hjälp av ett telefonnummer (till exempel) måste numret specificeras genom att det i sin helhet anges. Men när mycket komplexa eller ständigt föränderliga internetväljare ska användas för att identifiera kommunikationen bör dessa valörer beskrivas så långt det är möjligt” (301).

(192)

En viktig garanti i detta sammanhang är att den bedömning som den ansvariga ministern gör för att utfärda ett beslut måste godkännas av en oberoende Judicial Commissioner (302) som framför allt kontrollerar om beslutet om att godkänna husrannsakan är förenligt med nödvändighets- och proportionalitetsprinciperna (303) (vad gäller den ställning och roll som the Judicial Commissioner har, se skälen 251–256 nedan). I 2016 års lag om utredningsbefogenheter klargörs också att the Judicial Commissioner, när han eller hon utför en sådan kontroll, måste tillämpa samma principer som en domstol skulle tillämpa vid en ansökan om rättslig prövning (304). Detta säkerställer att efterlevnaden av nödvändighets- och proportionalitetsprinciperna systematiskt kontrolleras av ett oberoende organ i varje enskilt fall och innan tillgången till uppgifter äger rum.

(193)

I 2016 års lag om utredningsbefogenheter föreskrivs ett fåtal specifika och snäva undantag från utförandet av riktad avlyssning utan beslut. Dessa begränsade fall anges i lagen (305) och förutom det beslut som baseras på sändarens/mottagarens ”samtycke”, utförs de av andra personer (privata eller offentliga organ) än personer vid de nationella säkerhetsmyndigheterna. Denna typ av avlyssningar utförs dessutom för andra ändamål än insamling av ”underrättelseuppgifter” (306), och i vissa fall är det mycket osannolikt att insamlingen kan ske inom ramen för ett ”överföringsscenario” (t.ex. vid avlyssning som utförs vid en psykiatrisk klinik eller i ett fängelse). Med tanke på den typ av organ som dessa särskilda fall gäller (andra organ än nationella säkerhetsmyndigheter) är alla skyddsåtgärder i del 2 i 2018 års dataskyddslag och den brittiska dataskyddsförordningen tillämpliga, även vad gäller ICO:s tillsyn och tillgängliga rättsliga prövningsmekanismer. Utöver skyddsåtgärderna enligt 2018 års dataskyddslag föreskriver dessutom 2016 års lag om utredningsbefogenheter i vissa fall befogenheter för IPCO:s efterhandstillsyn (307).

(194)

När avlyssning utförs är ytterligare begränsningar och skyddsåtgärder tillämpliga mot bakgrund av den eller de avlyssnade personernas status (308). Avlyssning av ärenden som omfattas av rättsliga privilegier är till exempel endast tillåten om det föreligger exceptionella och tvingande omständigheter, den person som utfärdar beslutet måste ta hänsyn till allmänintresset av att ärenden som omfattas av tystnadsplikt behandlas konfidentiellt och att det finns särskilda krav för hantering, lagring och utlämnande av sådant material (309).

(195)

I 2016 års lag om utredningsbefogenheter föreskrivs dessutom särskilda skyddsåtgärder i fråga om säkerhet, lagring och utlämnande som den ansvariga ministern bör beakta innan en riktat beslut utfärdas (310). I synnerhet föreskrivs i avsnitt 53.5 i 2016 års lag om utredningsbefogenheter att varje kopia av det material som samlats in inom ramen för beslutet ska förvaras på ett säkert sätt och förstöras så snart det inte längre finns några relevanta skäl att behålla det medan det i avsnitt 53.2 i 2016 års lag om utredningsbefogenheter föreskrivs att antalet personer till vilka materialet lämnas ut och i vilken utsträckning allt material lämnas ut, görs tillgängligt eller kopieras ska begränsas till vad som är absolut nödvändigt för de lagstadgade ändamålen.

(196)

När slutligen det material som har avlyssnats antingen genom ett beslut om riktad avlyssning eller genom ett beslut om ömsesidigt bistånd ska överlämnas till ett tredjeland (”utlämnanden till utlandet”) föreskrivs i 2016 års lag om utredningsbefogenheter att den ansvariga ministern ska se till att lämpliga åtgärder vidtas för att säkerställa att liknande garantier för säkerhet, lagring och utlämnande finns i det tredjelandet (311). Enligt avsnitt 109.2 i 2018 års dataskyddslag får underrättelsetjänster endast överföra personuppgifter utanför Förenade kungarikets territorium om överföringen är nödvändig och proportionell med hänsyn till den personuppgiftsansvarigas lagstadgade uppgifter eller för andra ändamål som anges i avsnitt 2.2 a i Security Services Act 1989 eller avsnitten 2.2 a och 4.2 a i Intelligence Services Act 1994 (312). Det är viktigt att notera att dessa krav även gäller i situationer där undantaget avseende nationell säkerhet enligt avsnitt 110 i 2018 års dataskyddslag åberopas, eftersom avsnitt 109 inte anges i samma lags avsnitt 110 som en av de bestämmelser som kan upphöra att gälla om ett undantag från vissa bestämmelser krävs för att skydda den nationella säkerheten.

(197)

Enligt 2016 års lag om utredningsbefogenheter får ministern ålägga teleoperatörer att lagra kommunikationsuppgifter för riktad åtkomst för en rad myndigheter, däribland brottsbekämpande myndigheter och underrättelsetjänster. Del 4 i 2016 års lag om utredningsbefogenheter innehåller bestämmelser om lagring av kommunikationsuppgifter, medan del 3 föreskriver riktat inhämtande av kommunikationsuppgifter. I del 3 och del 4 i 2016 års lag om utredningsbefogenheter fastställs också särskilda begränsningar av användningen av dessa befogenheter och särskilda skyddsåtgärder.

(198)

Termen ”kommunikationsuppgifter” omfattar ”vem”, ”när”, ”var” och ”hur” i en kommunikation men inte innehållet, dvs. vad som sades eller skrevs. Till skillnad från avlyssning syftar inhämtandet och lagringen av kommunikationsuppgifter inte till att få fram innehållet i kommunikationen utan till att erhålla information, t.ex. om abonnenten av en telefonitjänst eller en specificerad räkning. Detta kan omfatta tid och varaktighet för kommunikationen, upphovsmannens och mottagarens nummer eller e-postadress och ibland lokaliseringen av de anordningar från vilka telekommunikationen gjordes (313).

(199)

Det bör noteras att lagring och inhämtande av kommunikationsuppgifter normalt inte gäller personuppgifter om registrerade i EU som överförs till Förenade kungariket enligt detta beslut. Skyldigheten att lagra eller lämna ut kommunikationsuppgifter enligt del 3 och 4 i 2016 års lag om utredningsbefogenheter omfattar uppgifter som samlas in av teleoperatörer i Förenade kungariket direkt från användarna av en telekommunikationstjänst (314). Denna typ av ”kundtillvänd” behandling omfattar vanligtvis inte en överföring på grundval av detta beslut, dvs. en överföring från en personuppgiftsansvarig/ett personuppgiftsbiträde i EU till en personuppgiftsansvarig/ett personuppgiftsbiträde i Förenade kungariket.

(200)

För fullständighetens skull analyseras dock de villkor och skyddsåtgärder som gäller för dessa system för inhämtande och lagring i följande skäl.

(201)

Som en förutsättning måste det noteras att lagringen och riktat inhämtande av kommunikationsuppgifter finns tillgängliga både för nationella säkerhetsmyndigheter och vissa brottsbekämpande myndigheter (315). Villkoren för att begära lagring och/eller inhämtande av kommunikationsuppgifter kan variera beroende på grunden för att begära en sådan åtgärd, nämligen ändamål som rör nationell säkerhet eller brottsbekämpande ändamål.

(202)

I och med det nya systemet har ett allmänt krav på förhandstillstånd från ett oberoende organ införts. Kravet kommer att gälla i alla situationer där kommunikationsuppgifter lagras och/eller inhämtas (antingen för brottsbekämpande ändamål eller ändamål som rör nationell säkerhet). Efter domstolens dom i målet Tele2/Watson (316) har dock särskilda skyddsåtgärder införts när åtgärden begärs för brottsbekämpande ändamål. När lagring eller inhämtande av kommunikationsuppgifter begärs för brottsbekämpande ändamål måste förhandstillståndet i synnerhet alltid utfärdas av the Investigatory Power Commissioner. Så är inte alltid fallet om åtgärden begärs för ändamål som rör nationell säkerhet, eftersom sådana typer av åtgärder i vissa fall, vilka beskrivs nedan, kan godkänns av olika ”tillståndsgivande personer”. I det nya systemet har tröskeln för när lagring och inhämtande av kommunikationsuppgifter kan tillåtas dessutom höjts till ”grova brott” (317).

(203)

Enligt del 3 i 2016 års lag om utredningsbefogenheter har berörda myndigheter rätt att erhålla kommunikationsuppgifter från en teleoperatör eller från varje person som kan inhämta och lämna ut sådana uppgifter. Tillståndet får inte tillåta avlyssning av kommunikationsinnehållet (318) och upphör att gälla efter en månad (319) med möjlighet till förlängning med ytterligare tillstånd (320). För inhämtande av kommunikationsdata krävs tillstånd från the Investigatory Powers Commissioner (321) (om dennes status och befogenheter se skälen 250–251 nedan). Så är alltid fallet om inhämtande av kommunikationsuppgifter begärs av en relevant brottsbekämpande myndighet. I avsnitt 61 i 2016 års lag om utredningsbefogenheter föreskrivs dock att när uppgifter inhämtas av hänsyn till den nationella säkerheten eller det ekonomiska välståndet i Förenade kungariket, om de är relevanta för den nationella säkerheten, eller när en ansökan görs av en medarbetare i en underrättelsetjänst enligt avsnitt 61.7 b (322), får inhämtandet alternativt (323) godkännas av the Investigatory Powers Commissioner eller av en utsedd högre tjänsteman (324). I the Code of Practice on Communications Data anges vidare att den utsedda handläggaren måste vara oberoende av den berörda utredningen eller insatsen och ha praktiska kunskaper om människorättsprinciper och människorättslagstiftning, särskilt principerna om nödvändighet och proportionalitet (325). Det beslut som fattas av den utsedda tjänstemannen kommer att bli föremål för den efterhandsöversyn som the Investigatory Powers Commissioner utför (se skäl 254 nedan för mer information om den efterhandstillsyn the Investigatory Powers Commissioner utövar).

(204)

Tillståndet att inhämta kommunikationsuppgifter grundar sig på en bedömning av åtgärdens nödvändighet och proportionalitet. Närmare bestämt bedöms åtgärdens nödvändighet mot bakgrund av de skäl som anges i lagstiftningen (326). Med tanke på att denna åtgärd är riktad måste den också vara nödvändig för en specifik utredning eller insats (327). Ytterligare krav på bedömningen av åtgärdernas nödvändighet fastställs i uppförandekoden för kommunikationsuppgifter (328). I denna uppförandekod föreskrivs särskilt att den ansökan som lämnas in av den begärande myndigheten ska identifiera minst tre faktorer för att motivera behovet av en sådan begäran och dessa faktorer är i) den händelse som utreds, till exempel ett brott eller en plats där en utsatt försvunnen person befinner sig, ii) den person vars uppgifter begärs, till exempel misstänkta, vittne eller försvunna personer och hur de är kopplade till händelsen och iii) de kommunikationsuppgifter som efterfrågas, till exempel telefonnummer eller IP-adress och hur dessa uppgifter är kopplade till personen och händelsen (329).

(205)

Dessutom måste inhämtande av kommunikationsuppgifter stå i proportion till vad som eftersträvas (330). I Code of Practice on Communication Data klargörs att den tillståndsgivande personen vid genomförandet av en sådan bedömning bör göra en avvägning mellan ”omfattningen av ingreppet i en persons rättigheter och friheter och en specifik fördel för den utredning eller verksamhet som genomförs av en relevant myndighet i det allmännas intresse” och att med beaktande av alla överväganden i ett enskilt fall ”kan ett ingrepp i en enskilds rättigheter fortfarande inte vara motiverat på grund av att den negativa inverkan på en annan enskilds eller en enskilds rättigheter är alltför allvarlig”. För att specifikt bedöma åtgärdens proportionalitet förtecknas i uppförandekoden dessutom ett antal faktorer som bör ingå i den ansökan som den begärande myndigheten lämnar in (331). Dessutom måste särskild hänsyn tas till vilken typ av kommunikationsuppgifter (”entitet” eller ”händelsedata” (332)) som ska inhämtas och företräde måste ges åt användning av en mindre inkräktande uppgiftskategori (333). Uppförandekoden för kommunikationsuppgifter innehåller också särskilda instruktioner för tillstånd som omfattar kommunikationsuppgifter för personer i särskilda yrken (t.ex. läkare, advokater, journalister, parlamentsledamöter eller religiösa ministrar) (334) som omfattas av ytterligare skyddsåtgärder (335).

(206)

Del 4 i 2016 års lag om utredningsbefogenheter innehåller bestämmelser om lagring av kommunikationsuppgifter, särskilt de kriterier som gör det möjligt för den ansvariga ministern att utfärda ett föreläggande om lagring (336). De skyddsåtgärder som införs genom lagen om utredningsbefogenheter är desamma, vare sig uppgifterna lagras i brottsbekämpningssyfte eller i den nationella säkerhetens intresse.

(207)

Utfärdandet av sådana förelägganden om lagring syftar till att säkerställa att teleoperatörer under en period av högst 12 månader behåller relevanta kommunikationsuppgifter som annars skulle raderas när de inte längre behövs för affärsändamål (337).Europeiska domstolen för de mänskliga rättigheterna De lagrade uppgifterna ska förbli tillgängliga under den tid som krävs om det senare skulle bli nödvändigt för en myndighet att inhämta dem inom ramen för ett tillstånd för riktat inhämtande av kommunikationsuppgifter enligt del 3 i 2016 års lag om utredningsbefogenheter som beskrivs i skälen 203–205.

(208)

Utövandet av befogenheten att ålägga att vissa uppgifter ska lagras omfattas av ett antal begränsningar och skyddsåtgärder. Närmare bestämt kan den ansvariga ministern endast utfärda ett föreläggande om lagring till en eller flera operatörer (338) endast om han eller hon anser att kravet på lagring av uppgifterna är nödvändigt för ett av de lagstadgade ändamålen (339) och står i proportion till vad som eftersträvas (340). Såsom klargörs i själva 2016 års lag om utredningsbefogenheter (341), ska den ansvariga ministern, innan han eller hon utfärdar ett föreläggande om lagring, beakta de sannolika fördelarna med föreläggandet (342), en beskrivning av telekommunikationstjänsterna, lämpligheten av att begränsa de uppgifter som ska lagras med hänvisning till plats eller beskrivningar av personer till vilka telekommunikationstjänster tillhandahålls (343), det sannolika antalet användare (om de är kända) av en telekommunikationstjänst som föreläggandet avser (344), den tekniska genomförbarheten av att följa föreläggandet och den troliga kostnaden för att följa föreläggandet och alla andra konsekvenser av föreläggandet för den teleoperatör (eller beskrivning av operatörer) som föreläggandet avser (345). I kapitel 17 i uppförandekoden för kommunikationsuppgifter beskrivs att alla förelägganden om lagring måste ange varje datatyp som ska lagras och hur denna typ av uppgifter uppfyller de nödvändiga testerna för lagring.

(209)

I samtliga fall (både för ändamål som rör nationell säkerhet och brottsbekämpande ändamål) måste ett beslut om att utfärda ett föreläggande om lagring från den ansvariga ministern godkännas av en oberoende Judicial Commissioner enligt det så kallade double lock-förfarandet. The Judicial Commissioner ska särskilt kontrollera om föreläggandet om lagring av relevanta kommunikationsuppgifter är nödvändigt och står i proportion till ett eller flera av de lagstadgade ändamålen (346).

(210)

Ingrepp i utrustning är en uppsättning tekniker som används för att erhålla en mängd olika data från utrustning (347), bl.a. datorer, surfplattor och smarttelefoner samt kablar, ledningar och lagringsanordningar (348). Ingrepp i utrustning gör det möjligt att få tillgång till både kommunikationsinnehåll och utrustningsdata (349).

(211)

I enlighet med avsnitt 13.1 i 2016 års lag om utredningsbefogenheter måste en underrättelsetjänst för att använda ingrepp i utrustning ha tillstånd i form av ett beslut inom ramen för double lock-förfarandet som inrättats genom 2016 års lag om utredningsbefogenheter, förutsatt att det finns en ”koppling till de brittiska öarna” (350). Enligt de brittiska myndigheternas förklaringar skulle det alltid finnas en ”koppling till de brittiska öarna” i situationer där uppgifter överförs från Europeiska unionen till Förenade kungariket inom ramen för detta beslut och varje ingrepp i utrustning som innefattar sådana uppgifter skulle därför omfattas av kravet på obligatoriskt beslut i avsnitt 13.1 i 2016 års lag om utredningsbefogenheter (351).

(212)

Reglerna för beslut om riktat ingrepp i utrustning anges i del 5 av 2016 års lag om utredningsbefogenheter. I likhet med riktad avlyssning måste riktat ingrepp i utrustning avse ett specifikt ”mål” som ska uppges i beslutet (352). Närmare uppgifter om hur ett ”mål” ska fastställas beror på vilken fråga och vilken typ av utrustning som ska påverkas. I synnerhet i avsnitt 115.3 i IPA anges vilken information som bör ingå i beslutet (t.ex. namn på personen eller organisationen, beskrivning av platsen) exempelvis beroende på om ingreppet gäller utrustning som tillhör, används eller innehas av en viss person, en organisation eller en grupp av personer, befinner sig på en viss plats och så vidare (353). Det är den myndighet som ansöker om ett beslut om ingrepp i utrustning som avgör för vilka syften ett beslut om ingrepp i utrustning kan utfärdas (354).

(213)

I likhet med riktad avlyssning måste den utfärdande myndigheten överväga om åtgärden är nödvändig för att uppnå ett specifikt syfte och om den står i proportion till vad som eftersträvas (355). Dessutom bör kommissionen också överväga om det finns skyddsåtgärder i fråga om säkerhet, lagring och utlämnande samt när det gäller ”utlämnande till utlandet” (356) (se skäl 196).

(214)

Beslutet måste godkännas av en justitieombudsman, utom i brådskande fall (357). I det senare fallet måste en rättslig myndighet underrättas om att ett beslut har utfärdats och måste godkänna den inom tre arbetsdagar. Om the Judicial Commissioner vägrar att godkänna beslutet upphör beslutet att gälla och kan inte förnyas (358). The Judicial Commissioner är dessutom behörig att kräva att alla uppgifter som inhämtades enligt beslutet raderas (359). Den omständigheten att ett beslut utfärdades som brådskande påverkar inte tillsynen i efterhand (se skälen 244–255) eller enskilda personers möjligheter att ansöka om rättslig prövning (se skälen 260–270). Enskilda personer kan inge klagomål till ICO eller framställa krav till tribunalen för utredningsbefogenheter enligt de normala förfarandena. I samtliga fall är det kriterium som tillämpas av the Judicial Commissioner när han eller hon beslutar att godkänna eller avslå ett beslut nödvändighets- och proportionalitetsprövningen, som är tillämplig på begäranden om riktad avlyssning (360) (se skäl 192 ovan).

(215)

Slutligen gäller särskilda skyddsåtgärder för riktad avlyssning även för ingrepp i utrustning när det gäller varaktighet, förnyelse och ändring av beslutet samt avlyssning av parlamentsledamöter, föremål som omfattas av rättsliga privilegier och journalistiskt material (se närmare uppgifter i skäl 193).

(216)

Massbefogenheter regleras i del 6 av 2016 års lag om utredningsbefogenheter. Dessutom innehåller riktlinjerna för praxis mer information om användningen av massbefogenheter. Även om det inte finns någon definition i brittisk lag av ”massbefogenheter” har den inom ramen för 2016 års lag om utredningsbefogenheter beskrivits som insamling och lagring av stora mängder uppgifter som regeringen inhämtat på olika sätt (dvs. befogenheter gällande massavlyssning, massinhämtande, massingrepp i utrustning och massdataset av personuppgifter) som myndigheterna därefter kan få tillgång till. Denna beskrivning förtydligas genom att den står i kontrast till vad som inte är ”massbefogenhet” enligt följande: Den motsvarar inte så kallad massövervakning utan begränsningar eller skyddsåtgärder. Tvärtom innehåller den, enligt förklaringen nedan, begränsningar och skyddsåtgärder som syftar till att säkerställa att tillgång till uppgifter inte ges på ett urskillningslöst eller omotiverat sätt (361). I synnerhet kan massbefogenheter endast användas om det finns en koppling mellan den tekniska åtgärd som en nationell underrättelsetjänst avser att använda och det operativa mål för vilket en sådan åtgärd begärs.

(217)

Dessutom har endast underrättelsetjänsterna tillgång till massbefogenheter och är alltid föremål för ett beslut som utfärdas av den ansvariga ministern och godkänns av en Judicial Commissionar. När man väljer metoder för att samla in underrättelser måste man ta hänsyn till om målet i fråga kan uppnås med hjälp av ”mindre inkräktande medel” (362). Detta tillvägagångssätt följer av den rättsliga ram som bygger på proportionalitetsprincipen och därför prioriteras målinriktad insamling framför massinsamling.

(218)

Ordningen för massavlyssning föreskrivs i del 6 kapitel 1 i 2016 års lag om utredningsbefogenheter medan massingrepp i utrustning regleras i kapitel 3 i samma del. Dessa ordningar är i stort sett desamma, så de villkor och ytterligare skyddsåtgärder som gäller för dessa beslut analyseras tillsammans.

(219)

Ett beslut om massavlyssning är begränsat till avlyssning av kommunikation i samband med överföring som sänds eller tas emot av enskilda personer som befinner sig utanför de brittiska öarna (363), så kallad ”utlandsrelaterad kommunikation” (364), samt andra relevanta uppgifter och det efterföljande urvalet för granskning av det avlyssnade materialet (365). En beslut om massingrepp i utrustning (366) gör det möjligt för mottagaren att säkra ingrepp i all utrustning i syfte att erhålla utlandsrelaterad kommunikation (däribland allt som omfattar tal, musik, ljud, visuella bilder eller data av valfri beskrivning), utrustningsdata (data som möjliggör eller underlättar funktionen för en posttjänst, ett telekommunikationssystem, telekommunikationstjänster) eller annan information (367).

(220)

Den ansvariga ministern kan utfärda ett ”massbeslut” endast på begäran av en chef för en underrättelsetjänst (368). Ett beslut om att tillåta massavlyssning eller massingrepp i utrustning får endast utfärdas om det är nödvändigt för den nationella säkerhetens intresse och för ett annat syfte att förebygga eller upptäcka allvarliga brott eller vad som är bäst för Förenade kungarikets ekonomiska välstånd när det är relevant för den nationella säkerheten (369). I avsnitt 142.7 i 2016 års lag om utredningsbefogenheter föreskrivs dessutom att ett beslut om massavlyssning måste anges mer detaljerat än en enkel hänvisning till ”vad som är bäst för den nationella säkerheten”, ”Förenade kungarikets ekonomiska välstånd” och ”förebyggande och bekämpning av grov brottslighet” och en koppling mellan den åtgärd som ska begäras och ett eller flera operativa syften som måste ingå i beslutet måste fastställas.

(221)

Valet av operativt syfte är ett resultat av en process i flera lager. I avsnitt 142.4 föreskrivs att de operativa syften som anges i beslutet ska anges i en förteckning som förs av cheferna för underrättelsetjänsterna eftersom de anser att det är fråga om operativa ändamål för vilka avlyssnat innehåll eller sekundära uppgifter som erhållits i samband med beslut om massavlyssning kan väljas ut för granskning. Förteckningen över operativa ändamål ska godkännas av ministern. En ansvariga ministern får ge ett sådant godkännande endast om han eller hon är förvissad om att det operativa syftet är mer detaljerat än de allmänna grunderna för beviljande av tillstånd (nationell säkerhet eller nationell säkerhet och ekonomiskt välstånd eller förhindrande av allvarlig brottslighet) (370). Vid utgången av varje relevant tremånadersperiod ska ministern lämna en kopia av förteckningen över operativa ändamål till parlamentets underrättelse-och säkerhetsutskott. Slutligen måste premiärministern se över förteckningen över operativa syften minst en gång om året (371). High Court har påpekat att ”dessa inte ska behandlas som obetydliga skyddsåtgärder eftersom de tillsammans bygger upp en invecklad uppsättning metoder för ansvarsskyldighet som inbegriper såväl parlamentet som regeringsledamöter på högsta nivå” (372).

(222)

Sådana operativa syften begränsar också omfattningen av urvalet av avlyssningsmaterial för granskningsfasen. Urvalet för granskning av eventuellt material som samlats in inom ramen för ”massbeslutet” måste motiveras mot bakgrund av det/de operativa syftet/syftena. Enligt de brittiska myndigheternas förklaring innebär detta att de praktiska arrangemangen för granskning måste bedömas av den ansvariga ministern redan i samband med beslutet, med tillräckligt detaljerade uppgifter för att uppfylla de lagstadgade skyldigheterna enligt avsnitten 152 och 193 i 2016 års lag om utredningsbefogenheter (373). De uppgifter som lämnas till den ansvariga ministern i samband med dessa arrangemang skulle till exempel behöva innehålla information (i förekommande fall) om hur filtreringsarrangemangen kan variera under den tid som ett beslut kommer att ha verkan (374). För närmare uppgifter om processen och de skyddsåtgärder som tillämpas under filtrerings- och granskningsfaserna, se skäl 229 nedan.

(223)

En massbefogenhet kan endast godkännas om den står i proportion till vad som eftersträvas (375). Enligt Code of Practice on Interception innebär varje proportionalitetsbedömning en avvägning mellan allvaret i intrånget i den personliga integriteten (och andra överväganden som anges i avsnitt 2.2) och behovet av utredningsåtgärder, operativa åtgärder eller förmågor. Det godkända beteendet bör erbjuda en realistisk möjlighet att uppnå den förväntade nyttan och bör inte vara oproportionerligt eller godtyckligt” (376). Som redan nämnts innebär detta i praktiken att proportionalitetstestet baseras på ett avvägningstest mellan vad som eftersträvas (”operativt syfte/operativa syften”) och tillgängliga tekniska alternativ (t.ex. riktad eller massavlyssning, ingrepp i utrustningen, inhämtande av kommunikationsuppgifter) med företräde för de minst inkräktande medlen (se skälen 181 och 182 ovan). Om mer än en åtgärd är lämplig för målet måste de mindre inkräktande åtgärderna föredras.

(224)

Ytterligare en garanti för bedömningen av den begärda åtgärdens proportionalitet säkerställs genom det faktum att ministern måste få den relevanta information som behövs för att kunna göra sin bedömning på ett korrekt sätt. I synnerhet krävs det enligt uppförandekoden om avlyssning och uppförandekoden om ingrepp i utrustning att den ansökan som lämnas in av den berörda myndigheten ska innehålla uppgifter om bakgrunden till ansökan, beskrivning av den kommunikation som ska avlyssnas och de teleoperatörer som är skyldiga att bistå, en beskrivning av det beteende som ska godkännas, de operativa ändamålen och en förklaring till varför beteendet är nödvändigt och proportionerligt (377).

(225)

Slutligen är det viktigt att den ansvariga ministerns beslut att utfärda beslutet måste godkännas av en oberoende Judicial Commissioner som bedömer huruvida den föreslagna åtgärden är nödvändig och proportionerlig med tillämpning av samma principer som en domstol skulle använda i en ansökan om rättslig prövning (378). The Judicial Commissioner kommer närmare bestämt att granska den ansvariga ministerns slutsatser om huruvida beslutet är nödvändigt och huruvida beteendet är proportionerligt mot bakgrund av de principer som fastställs i avsnitt 2.2 i 2016 års lag om utredningsbefogenheter (allmänna skyldigheter i fråga om integritet). The Judicial Commissioner kommer också att granska ministerns slutsatser om huruvida vart och ett av de operativa syften som anges i beslutet är ett syfte för vilket urvalet är eller kan vara nödvändigt. Om the Judicial Commissioner vägrar att godkänna beslutet att utfärda ett beslut om husrannsakan kan den ansvariga ministern antingen i) godta beslutet och därför inte utfärda beslutet om husrannsakan eller ii) hänskjuta ärendet till den utredande myndigheten för beslut (såvida inte den utredande myndigheten har fattat det ursprungliga beslutet) (379).

(226)

Genom 2016 års lag om utredningsbefogenheter infördes ytterligare begränsningar för varaktigheten, förnyelse och ändring av ett ”massbeslut”. Beslutet ska ha en giltighetstid på högst sex månader och varje beslut om att förnya eller ändra (med undantag för mindre ändringar) beslutet måste också godkännas av en Judicial Commissioner (380). I uppförandekoden om avlyssning av kommunikation och i uppförandekoden om ingrepp i utrustning anges att en ändring av de operativa syftena med beslutet betraktas som en betydande ändring av beslutet (381).

(227)

I likhet med vad som föreskrivs för riktad avlyssning föreskrivs i del 6 i 2016 års lag om utredningsbefogenheter att den ansvariga ministern ska se till att det finns gällande bestämmelser om lagring och utlämnande av material som erhållits i enlighet med beslutet (382) samt om utlämnande utomlands (383). I synnerhet föreskrivs i avsnitten 150.5 och 191.5 i 2016 års lag om utredningsbefogenheter att varje kopia av sådant material som samlats in enligt beslutet ska förvaras på ett säkert sätt och förstöras så snart det inte längre finns några relevanta skäl för att behålla det medan det i avsnitten 150.2 och 191.2 krävs att antalet personer till vilka materialet lämnas ut och i vilken omfattning materialet lämnas ut görs tillgängligt eller kopieras ska begränsas till vad som är absolut nödvändigt för de lagstadgade ändamålen (384).

(228)

När slutligen det material som har avlyssnats antingen genom en massavlyssning eller ett massingrepp i utrustning ska överlämnas till tredjeland (”utlämnande till utlandet”) föreskrivs i 2016 års lag om utredningsbefogenheter att den ansvariga ministern ska se till att lämpliga åtgärder vidtas för att säkerställa att liknande skyddsåtgärder för säkerhet, lagring och utlämnande finns i det tredjelandet (385). I avsnitt 109 i 2018 års dataskyddslag fastställs dessutom särskilda krav för underrättelsetjänsters internationella överföringar av personuppgifter till tredjeländer eller internationella organisationer. Enligt dessa bestämmelser får personuppgifter inte överföras till ett land eller territorium utanför Förenade kungariket eller till en internationell organisation om inte överföringen är nödvändig och proportionell med hänsyn till den personuppgiftsansvarigas lagstadgade uppgifter eller för andra ändamål som anges i avsnitt 2.2 a i Security Services Act 1989 eller avsnitten 2.2 a och 4.2 a i Intelligence Services Act 1994 (386). Det är viktigt att notera att dessa krav även gäller i situationer där undantaget avseende nationell säkerhet enligt avsnitt 110 i 2018 års dataskyddslag åberopas, eftersom avsnitt 109 inte anges i samma lags avsnitt 110 som en av de bestämmelser som kan upphöra att gälla om ett undantag från vissa bestämmelser krävs för att skydda den nationella säkerheten.

(229)

När beslutet har godkänts och uppgifterna har samlats in i massomfattning kommer uppgifterna att bli föremål för ett urval innan de granskas. Urvals- och granskningsfasen är föremål för ytterligare ett proportionalitetstest som utförs av analytikern och som på grundval av de operativa syften som ingår i beslutet (och eventuellt befintliga filtreringsarrangemang) definierar urvalskriterierna. Enligt avsnitt 152 och 193 i IPA måste ministern vid utfärdandet av beslutet se till att det finns arrangemang som garanterar att urvalet av materialet endast sker för de angivna operativa ändamålen och att det är nödvändigt och proportionerligt under alla omständigheter. I detta avseende klargjorde de brittiska myndigheterna att det material som massavlyssnats först och främst väljs ut genom automatisk filtrering i syfte att göra sig av med uppgifter som sannolikt inte är av nationellt säkerhetsintresse. Filtren kommer att variera från tid till annan (allteftersom mönstren, typerna och protokollen för Internettrafik ändras) och kommer att bero på tekniken och det operativa sammanhanget. Efter denna fas kan uppgifterna väljas ut för granskning endast om de är relevanta för de operativa syften som anges i beslutet (387). De skyddsåtgärder som föreskrivs i 2016 års lag om utredningsbefogenheter vad gäller granskning av insamlat material är tillämpliga på alla typer av uppgifter (både avlyssnat innehåll och sekundära uppgifter) (388). I avsnitten 152 och 193 i 2016 års lag om utredningsbefogenheter föreskrivs även ett allmänt förbud mot att välja ut material för granskning som avser samtal som sänds av eller är avsedda för personer som befinner sig på de brittiska öarna. Om myndigheterna vill granska sådant material ska de lämna in en begäran om ett beslut om en riktad granskning enligt del 2 och del 4 i 2016 års lag om utredningsbefogenheter utfärdad av den ansvariga ministern och godkänd av en Judicial Commissioner (389). Om en person avsiktligt väljer ut avlyssnat innehåll för granskning i strid med kraven i lagstiftningen (390) begår han eller hon ett brott (391).

(230)

Analytikerns bedömning av urvalet av materialet är föremål för en efterhandsöversyn av the Investigatory Powers Commissioner som utvärderar efterlevnaden av de särskilda skyddsåtgärder som fastställs i 2016 års lag om utredningsbefogenheter för granskningsfasen (392) (se även skäl 229). The Investigatory Powers Commissioner måste övervaka (bland annat genom revisioner, inspektioner och utredningar) myndigheternas utövande av de utredningsbefogenheter som nämns i 2016 års lag om utredningsbefogenheter (393). I detta avseende klargörs det i uppförandekoden om avlyssning av kommunikation och uppförandekoden om ingrepp i utrustning att myndigheten måste föra register för efterföljande granskningar och revisioner och i dessa register ska anges varför behöriga personers tillgång till materialet är nödvändig och proportionell och de tillämpliga operativa ändamålen (394). I sin årsrapport för 2018 drar IPCO (395) slutsatsen att analytikernas motiveringar för granskningen av visst material som samlats in i massomfattning uppfyllde kraven på proportionalitet genom att tillhandahålla tillräckliga uppgifter om skälen till deras ”frågor” i förhållande till det syfte som skulle uppnås (396). I sin rapport om massbefogenheter från 2019 uttryckte IPCO klart sin avsikt att fortsätta inspektionerna av massavlyssningar, inklusive en detaljerad granskning av urvals- och sökkriterierna (397). IPCO kommer även att fortsätta att noggrant och från fall till fall kontrollera valet av övervakningsåtgärder (riktade åtgärder eller massåtgärder) i samband med handläggning av ansökningar om betyg enligt double lock-förfarandet och vid inspektioner (398) Kommissionen kommer vederbörligen att beakta denna ytterligare övervakning när den övervakar detta beslut enligt skälen 281–284.

(231)

Kapitel 2 i del 6 i 2016 års lag om utredningsbefogenheter reglerar beslut om massinhämtande som ger mottagaren rätt att kräva att en teleoperatör lämnar ut eller erhåller eventuella kommunikationsuppgifter som operatören förfogar över. Dessa beslut godkänner också att den begärande myndigheten väljer ut uppgifterna för den fortsatta fasen av granskningen. Precis som när det gäller riktad lagring och inhämtande av kommunikationsuppgifter (se skäl 199) rör det mesta massinhämtande av kommunikationsuppgifter normalt inte personuppgifter om registrerade i EU som överförs till Förenade kungariket enligt detta beslut. Skyldigheten att lämna ut kommunikationsuppgifter enligt kapitel 2 i del 6 i 2016 års lag om utredningsbefogenheter omfattar uppgifter som samlas in av teleoperatörer i Förenade kungariket direkt från användarna av en telekommunikationstjänst (399). Denna typ av ”kundtillvänd” behandling omfattar vanligtvis inte en överföring på grundval av detta beslut, dvs. en överföring från en personuppgiftsansvarig/ett personuppgiftsbiträde i EU till en personuppgiftsansvarig/ett personuppgiftsbiträde i Förenade kungariket.

(232)

För fullständighetens skull beskrivs dock de villkor och skyddsåtgärder som gäller för massinhämtande av kommunikationsuppgifter nedan.

(233)

2016 års lag om utredningsbefogenheter ersätter den lagstiftning om massinhämtande av kommunikationsuppgifter som var föremål för EU-domstolens dom i målet Privacy International. Den lagstiftning som var i fråga i det målet upphävdes och det nya systemet innehåller särskilda villkor och garantier för att en sådan åtgärd ska kunna godkännas.

(234)

I synnerhet kräver 2016 års lag om utredningsbefogenheter, till skillnad från det tidigare systemet enligt vilket den ansvariga ministern hade full handlingsfrihet när det gäller att godkänna åtgärden (400), att den ansvariga ministern endast ska utfärda ett beslut om åtgärden är nödvändig och proportionerlig. Detta innebär i praktiken att det bör finnas en koppling mellan tillgången till uppgifterna och det eftersträvade målet (401). Närmare bestämt måste den ansvariga ministern bedöma om det finns ett samband mellan den begärda åtgärden och ett eller flera ”operativa ändamål” som anges i beslutet (se skäl 219) med avseende på proportionalitetsbedömningen och i den relevanta uppförandekoden anges att ”ministern måste beakta huruvida det som avses med beslutet rimligen skulle kunna uppnås med andra mindre inkräktande medel (avsnitt 2.2 a i lagen). Till exempel inhämtande av den begärda informationen genom en mindre inkräktande befogenhet, till exempel riktat inhämtande av kommunikationsuppgifter” (402).

(235)

För att göra en sådan bedömning kommer den ansvariga ministern att förlita sig på uppgifter som underrättelsetjänsterna (403) är skyldiga att lämna i sin ansökan, till exempel skälen till att åtgärden anses nödvändig på grund av en av de lagstadgade grunderna och skälen till att det som eftersträvas inte rimligen skulle kunna uppnås med andra, mindre inkräktande medel (404). Dessutom begränsar de operativa ändamålen det område inom vilket de uppgifter som erhållits inom ramen för beslutet kan väljas ut för granskning (405). Enligt den relevanta uppförandekoden ska de operativa ändamålen beskriva ett tydligt krav och vara tillräckligt detaljerade för att övertyga den ansvariga ministern om att inhämtade uppgifter endast får väljas ut för granskning av särskilda skäl (406). Den ansvariga ministern måste nämligen, innan beslutet godkänns, se till att det finns särskilda arrangemang för att säkerställa att endast det material som har bedömts vara nödvändigt för ett operativt ändamål och ett lagstadgat syfte väljs ut för granskningen och att det bör vara proportionerligt och nödvändigt under alla omständigheter. Detta särskilda krav, som återspeglas i avsnitten 158 och 172 (407) i 2016 års lag om utredningsbefogenheter, när det gäller förhandsbedömningen av nödvändigheten och proportionaliteten för de kriterier som används för urvalet utgör en annan viktig nyhet i den ordning som infördes genom 2016 års lag om utredningsbefogenheter jämfört med den tidigare ordningen.

(236)

Genom 2016 års lag om utredningsbefogenheter infördes också en skyldighet för den ansvariga ministern att se till att vissa begränsningar finns vad gäller säkerhet, lagring och utlämnande är begränsade innan beslut om massinhämtande av kommunikationsuppgifter utfärdas (408). Vad gäller utlämnande till utlandet gäller de skyddsåtgärder som beskrivs i skäl 227 även i detta sammanhang för massavlyssning och massingrepp i utrustning (409). Ytterligare begränsningar fastställs i lagstiftningen om giltighetstid (410), förnyelse (411) och ändring av ”massbesluten” (412).

(237)

Det är viktigt att den ansvariga ministern innan beslutet utfärdas måste få ett godkännande av en Judicial Commissioner på samma sätt som gäller för övriga massbefogenheter (413). Detta är ett centralt inslag i den ordning som infördes genom 2016 års lag om utredningsbefogenheter.

(238)

The Investigatory Powers Commissioner utför en efterhandsöversyn av granskningsförfarandet över det material (kommunikationsuppgifter) som inhämtats i massomfattning (se skäl 254 nedan). I 2016 års lag om utredningsbefogenheter infördes i detta avseende ett krav på att underrättelseanalytikern måste registrera skälen till att den föreslagna granskningen är nödvändig och proportionerlig för ett bestämt operativt syfte innan han eller hon väljer ut de uppgifter som ska granskas (414). I IPCO:s årsrapport 2019 konstaterades med avseende på Government Communications Headquarters och säkerhetstjänsten MI5:s praxis att ”den avgörande roll som data från masskommunikationsuppgifter spelar för den verksamhet som bedrivs vid Government Communications Headquarters var väl förankrad i det arbete som vi inspekterade. Vi bedömde de begärda uppgifternas art och de angivna underrättelsekraven och var övertygade om att dokumentationen visade att deras tillvägagångssätt var nödvändigt och proportionerligt” (415). MI5:s registrerade motiveringar var av god standard och uppfyllde principerna om nödvändighet och proportionalitet” (416).

(239)

Genom beslut om massdataset av personuppgifter (417) får underrättelsetjänster tillstånd får lagra och undersöka dataset som innehåller personuppgifter som rör ett antal enskilda personer. Enligt de brittiska myndigheternas förklaringar kan analysen av sådana dataset vara ”det enda sättet för UKIC att gå vidare med utredningar och identifiera terrorister från mycket begränsade ledande underrättelser eller när deras kommunikation avsiktligt har dolts” (418). Det finns två typer av beslut enligt följande: ”Typbeslut om massdataset av personuppgifter” (419) som avser en viss kategori av dataset, dvs. dataset som liknar varandra i fråga om innehåll och föreslagen användning och som tar upp liknande överväganden som exempelvis graden av intrång och känslighet och proportionaliteten i användningen av uppgifterna, vilket gör det möjligt för den ansvariga ministern att beakta nödvändigheten och proportionaliteten av att samla in alla uppgifter inom den relevanta typen vid en enda tidpunkt. Till exempel kan ett typbeslut om massdataset av personuppgifter omfatta resedataset som avser liknande rutter (420). ”specifika beslut om massdataset av personuppgifter” (421) avser i stället ett specifikt dataset, till exempel ett dataset av en ny eller ovanlig typ av information som inte omfattas av en befintlig typ av beslut om massdataset av personuppgifter eller ett dataset som rör specifika typer av personuppgifter (422) och därför kräver ytterligare skyddsåtgärder (423). Bestämmelserna i 2016 års lag om utredningsbefogenheter gällande massdataste av personuppgifter tillåter att sådana dataset granskas och lagras endast om det är nödvändigt och proportionerligt att göra detta (424) och i enlighet med de allmänna skyldigheterna i fråga om integritet (425).

(240)

Befogenheten att utfärda ett beslut om massdatset av personuppgifter omfattas av double lock-förfarandet där bedömningen av åtgärdens nödvändighet och proportionalitet görs först av den ansvariga ministern och därefter av the Judicial Commissioner (426). Den ansvariga ministern är skyldig att beakta arten och omfattningen av den typ av beslut som begärs, vilken kategori av uppgifter det rör sig om och antalet enskilda massdataset av personuppgifter som sannolikt omfattas av den specifika typen av beslut (427). Enligt vad som anges i uppförandekoden för underrättelsetjänsters lagring och användning av massdataset av personuppgifter ska detaljerade register föras och omfattas av revision av the Investigatory Powers Commissioner (428). Att lagra och granska massdatset av personuppgifter utanför begränsningarna i 2016 års lag om utredningsbefogenheter är ett brott (429).

(241)

Personuppgifter som behandlas enligt del 4 i 2018 års dataskyddslag får inte behandlas på ett sätt som är oförenligt med det syfte för vilket de samlades in (430). 2018 års dataskyddslag föreskriver att den personuppgiftsansvariga får behandla uppgifterna för ett annat ändamål än det för vilket uppgifterna samlades in om det är förenligt med det ursprungliga ändamålet och förutsatt att den personuppgiftsansvariga enligt lag har rätt att behandla uppgifterna och att behandlingen är nödvändig och proportionerlig (431). I Security Services Act 1989 och Intelligence Services Act 1994 anges dessutom att cheferna för underrättelsetjänsterna är skyldiga att se till att ingen information erhålls eller röjs utom i den mån det är nödvändigt för att myndigheten ska kunna fullgöra sina uppgifter på ett korrekt sätt eller för de andra begränsade och specifika ändamål som anges i de relevanta bestämmelserna (432).

(242)

I avsnitt 109 i 2018 års dataskyddslag fastställs dessutom särskilda krav för underrättelsetjänsters internationella överföring av personuppgifter till tredjeländer eller internationella organisationer. Enligt denna bestämmelse får personuppgifter inte överföras till ett land eller territorium utanför Förenade kungariket eller till en internationell organisation om inte överföringen är nödvändig och proportionell med hänsyn till den personuppgiftsansvarigas lagstadgade uppgifter eller för andra ändamål som anges i avsnitt 2.2 a i Security Services Act 1989 eller avsnitten 2.2 a och 4.2 a i Intelligence Services Act 1994 (433). Det är viktigt att notera att dessa krav även gäller i situationer där undantaget avseende nationell säkerhet enligt avsnitt 110 i 2018 års dataskyddslag åberopas, eftersom avsnitt 109 inte anges i samma lags avsnitt 110 som en av de bestämmelser som kan upphöra att gälla om ett undantag från vissa bestämmelser krävs för att skydda den nationella säkerheten.

(243)

Såsom ICO framhåller i sin vägledning om underrättelsetjänsters behandling av personuppgifter omfattas underrättelsetjänster när de utbyter uppgifter med ett underrättelseorgan i ett tredjeland, utöver skyddsåtgärderna enligt avsnitt 4 i 2018 års dataskyddslag, även av skyddsåtgärder enligt andra lagstiftningsåtgärder som är tillämpliga på dem, i syfte att säkerställa att personuppgifter inhämtas, utbyts och hanteras på ett lagligt och ansvarsfullt sätt (434). Exempelvis fastställs i 2016 års lag om utredningsbefogenheter ytterligare skyddsåtgärder när det gäller överföring till tredjeland av material som samlats in genom riktad avlyssning (435), riktade ingrepp i utrustning (436), massavlyssning (437), massinhämtande av kommunikationsuppgifter (438) och massingrepp i utrustning (439) (så kallade utlämnanden till utlandet). I synnerhet måste den myndighet som utfärdar beslutet se till att det finns gällande arrangemang för att säkerställa att det tredjeland som mottar uppgifterna begränsar antalet personer som ser materialet, omfattningen av utlämnandet och antalet kopior av allt material till det minimum som krävs för de godkända ändamål som anges i 2016 års lag om utredningsbefogenheter (440).

(244)

Statliga myndigheters tillträde för ändamål som rör nationell säkerhet övervakas av ett antal olika organ. The Information Commissioner övervakar behandlingen av personuppgifter mot bakgrund av 2018 års dataskyddslag (för mer information om dennes oberoende, utnämningsfunktion och befogenheter, se skälen 85–98) medan oberoende och rättslig tillsyn av användningen av utredningsbefogenheter inom ramen för 2016 års lag om utredningsbefogenheter tillhandahålls av the Investigatory Powers Commissioner. The Investigatory Powers Commissioner övervakar både brottsbekämpande och nationella säkerhetsmyndigheters användning av utredningsbefogenheter enligt 2016 års lag om utredningsbefogenheter. Den politiska tillsynen garanteras av parlamentets utskott för underrättelsetjänsten (Intelligence Service Committee).

(245)

Underrättelsetjänsternas behandling av personuppgifter enligt del 4 i 2018 års dataskyddslag övervakas av the Information Commissioner (441).

(246)

De allmänna arbetsuppgifter som the Information Commissioner har vad gäller underrättelsetjänsters behandling av personuppgifter enligt del 4 i 2018 års dataskyddslag fastställs i tillägg 13 till 2018 års dataskyddslag. Uppgifterna omfattar, men är inte begränsade till, övervakning och efterlevnad av del 4 i 2018 års dataskyddslag, främjande av allmänhetens medvetenhet, rådgivning till parlamentet, regeringen och andra institutioner om lagstiftningsåtgärder och administrativa åtgärder, främjande av personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter, tillhandahållande av information till registrerade om utövande av den registrerades rättigheter, genomförande av utredningar osv.

(247)

The Commissioner har, liksom för del 3 i 2018 års dataskyddslag, befogenhet att underrätta personuppgiftsansvariga om en påstådd överträdelse och utfärda varningar om att en behandling sannolikt kommer att strida mot reglerna och utfärda reprimander när överträdelsen bekräftas. Han eller hon kan också utfärda förelägganden om verkställighet och påföljder för överträdelser av vissa bestämmelser i lagen (442). I motsats till vad som gäller för andra delar av 2018 års dataskyddslag kan dock the Commissioner inte utfärda att bedömningsföreläggande till ett nationellt säkerhetsorgan (443).

(248)

I avsnitt 110 i 2018 års dataskyddslag föreskrivs dessutom ett undantag från användningen av vissa av de befogenheter the Commissioner har när detta krävs för att skydda den nationella säkerheten. Detta inbegriper de befogenheter the Commissioner har att utfärda (alla typer av) förelägganden enligt dataskyddslagen (information, bedömning, verkställighet och påföljder), befogenhet att utföra inspektioner i enlighet med internationella skyldigheter, befogenheter för tillträde och inspektion samt regler om brott (444). Enligt skäl 126 gäller dessa undantag endast om det är nödvändigt och proportionerligt samt från fall till fall.

(249)

ICO och brittiska underrättelsetjänster har undertecknat ett samförståndsavtal (445) som fastställer en ram för samarbete i ett antal frågor, bland annat anmälningar om personuppgiftsbrott och hantering av klagomål från registrerade. Det föreskrivs särskilt att ICO, efter att ha mottagit ett klagomål, ska bedöma om tillämpningen av eventuella undantag för nationell säkerhet har använts på lämpligt sätt. Svar på ICO frågor i samband med granskningen av enskilda klagomål måste lämnas inom 20 arbetsdagar av den berörda underrättelsetjänsten med hjälp av lämpliga säkra kanaler om det rör sig om sekretessbelagd information. Från april 2018 till dags dato har ICO mottagit 21 klagomål från enskilda personer om underrättelsetjänsterna. Varje klagomål bedömdes och resultatet meddelades den registrerade (446).

(250)

Enligt del 8 i 2016 års lag om utredningsbefogenheter utövas tillsynen över användningen av utredningsbefogenheter av the Investigatory Powers Commissioner. The Investigatory Powers Commissioner bistås av andra rättsliga Judicial Commissioners som tillsammans kallas Judicial Commissioners (447). I 2016 års lag om utredningsbefogenheter fastställs garantier som skyddar Judicial Commissioners oberoende. Judicial Commissioners måste inneha eller ha innehaft ett högt domarämbete (dvs. de måste vara eller ha varit ledamöter av överdomstolarna) (448) och de har, i egenskap av domare, en oberoende ställning i förhållande till regeringen (449). Enligt avsnitt 227 i 2016 års lag om utredningsbefogenheter är det premiärministern som utser IPC och så många Judicial Commissioners som han eller hon anser vara nödvändiga. Alla Commissioners, vare sig där är aktiva eller tidigare verksamma inom rättsväsendet, får endast utses på grundval av en gemensam rekommendation från de tre Chief Justices for England & Wales, Scotland and Northern Ireland och Lord Chancellor (450). Den ansvarige ministern måste förse the Investigatory Powers Commissioner med personal, inkvartering, utrustning och andra faciliteter och tjänster (451). Mandatperiod för en Commissioner är tre år och de kan utnämnas på nytt (452). Som en ytterligare garanti för deras oberoende kan Judicial Commissioners endast avsättas enligt stränga villkor med en hög tröskel antingen av premiärministern under de särskilda omständigheter som anges på ett uttömmande sätt i avsnitt 228.5 i 2016 års lag om utredningsbefogenheter (t.ex. konkurs eller fängelse) eller om båda kamrarna har antagit en resolution om att godkänna avsättningen (453).

(251)

The Investigatory Powers Commissioner och the Judicial Commissioners bistås i sina roller av IPCO. IPCO:s personal består av en grupp inspektörer, intern juridisk och teknisk expertis och en teknisk rådgivande panel som ska ge expertråd. Liksom är fallet för de individuella Judicial Commissioners skyddas oberoendet för IPCO. IPCO är ett ”organ på armlängds avstånd” inom inrikesministeriet, dvs. det får finansiering från inrikesministeriet men utför sina uppgifter självständigt (454).

(252)

Judicial Commissioners huvuduppgifter anges i avsnitt 229 i 2016 års lag om utredningsbefogenheter (455). I synnerhet har Judicial Commissioners omfattande befogenheter att förhandsgodkänna, vilket är en del av de garantier som införts i Förenade kungarikets rättsliga ram genom 2016 års lag om utredningsbefogenheter. Beslut i samband med riktad avlyssning, ingrepp i utrustning, masdataset av personuppgifter, massinhämtande av kommunikationsuppgifter samt förelägganden om lagring av kommunikationsuppgifter måste alla godkännas av Judicial Commissioners (456). The Investigatory Powers Commissioner måste också alltid förhandsgodkänna inhämtande av kommunikationsuppgifter för brottsbekämpande ändamål (457). Om en Commissioner vägrar att godkänna ett beslut kan den ansvariga ministern överklaga till the Investigatory Powers Commissioner, vars beslut är slutgiltigt.

(253)

FN:s särskilda rapportör för rätten till integritet välkomnade varmt inrättandet av Judicial Commissioners i 2016 års lag om utredningsbefogenheter, eftersom ”alla mer känsliga eller inkräktande begäranden om att genomföra övervakning måste godkännas av både en minister och IPCO”. Han betonade särskilt att denna del av domstolsprövningen [genom den roll som the Investigatory Powers Commissioner har] med hjälp av en grupp erfarna inspektörer och tekniska experter med bättre resurser är en av de viktigaste nya skyddsåtgärder som införts genom lagen om utredningsbefogenheter, som ersatte ett tidigare splittrat system av tillsynsmyndigheter och kompletterar den roll som parlamentets underrättelse- och säkerhetsutskott och tribunalen för utredningsbefogenheter spelar (458).

(254)

Dessutom har the Investigatory Powers Commissioner befogenhet att i efterhand, inklusive genom revisioner, inspektioner och utredningar, övervaka (459) användningen av utredningsbefogenheter enligt 2016 års lag om utredningsbefogenheter och vissa andra befogenheter och funktioner som föreskrivs i relevant lagstiftning (460). Resultaten av denna efterhandskontroll ingår i den rapport som the Investigatory Powers Commissioner årligen ska utarbeta och lägga fram för premiärministern (461) och som ska offentliggöras och läggas fram för parlamentet (462). Rapporten innehåller relevant statistik och information om underrättelsetjänsters och brottsbekämpande myndigheters användning av utredningsbefogenheter samt införandet av skyddsåtgärder i samband med föremål som omfattas av rättsliga privilegier, konfidentiellt journalistiskt material och källor till journalistisk information, information om de arrangemang som vidtagits och de operativa ändamål som används i samband med ”massbeslut”. I IPCO Annual Report anges slutligen vilka områdesrekommendationer som har lämnats till myndigheter och hur de har åtgärdats (463).

(255)

I enlighet med avsnitt 231 i 2016 års lag om utredningsbefogenheter ska theInvestigatory Powers Commissioner, om han eller hon får kännedom om ett relevant fel som begåtts av myndigheter vid utövandet av sina utredningsbefogenheter, informera den berörda personen om han eller hon anser att felet är allvarligt och det ligger i allmänhetens intresse att personen informeras (464). I avsnitt 231 i 2016 års lag om utredningsbefogenheter anges särskilt att the Investigatory Powers Commissioner, när en person informeras om ett misstag, ska lämna information om eventuella rättigheter som han eller hon har att vända sig till tribunalen för utredningsbefogenheter och lämna sådana uppgifter som the Commissioner anser vara nödvändiga för utövandet av dessa rättigheter och det finns ett allmänintresse av att informationen lämnas ut (465).

(256)

Den parlamentariska tillsyn som utförs av underrättelse-och säkerhetsutskottet har sin rättsliga grund i Justice and Security Act 2013 (JSA 2013) (466). Genom lagen inrättas underrättelse-och säkerhetsutskottet i det brittiska parlamentet. Sedan 2013 har underrättelse-och säkerhetsutskottet fått större befogenheter, bland annat tillsyn över säkerhetstjänsternas operativa verksamhet. Enligt avsnitt 2 i Justice and Security Act 2013 har underrättelse-och säkerhetsutskottet till uppgift att övervaka de nationella säkerhetsorganens utgifter, administration, politik och verksamhet. I Justice and Security Act 2013 anges att underrättelse-och säkerhetsutskottet kan genomföra utredningar i operativa frågor som inte rör pågående insatser (467). I det samförståndsavtal som premiärministern och underrättelse-och säkerhetsutskottet (468) kommit överens om anges i detalj vilka faktorer som ska beaktas när man överväger om en verksamhet inte är en del av en pågående insats (469). Underrättelse-och säkerhetsutskottet kan också uppmanas att utreda pågående insatser av premiärministern och kan granska information som tillhandahålls frivilligt av organen.

(257)

Enligt bilaga 1 till Justice and Security Act 2013 får underrättelse-och säkerhetsutskottet begära att cheferna för någon av de tre underrättelsetjänsterna lämnar ut all slags information. Myndigheten ska göra sådan information tillgänglig, såvida inte den ansvariga ministern lägger in sitt veto mot den (470). Enligt de förklaringar som lämnats av de brittiska myndigheterna undanhålls i praktiken mycket lite information från underrättelse-och säkerhetsutskottet (471).

(258)

Underrättelse-och säkerhetsutskottet består av ledamöter som tillhör någon av parlamentets kammare och utses av premiärministern efter samråd med oppositionsledaren (472). Underrättelse-och säkerhetsutskottet ska lämna en årlig rapport till parlamentet om fullgörandet av sina uppgifter och andra rapporter som den anser lämpliga (473). Dessutom har underrättelse-och säkerhetsutskottet rätt att var tredje månad få en förteckning över de operativa ändamål som används för att undersöka material som erhållits i massomfattning (474). Premiärministern delger underrättelse-och säkerhetsutskottet de utredningar, inspektioner eller revisioner som görs av the Investigatory Power Commissioner när frågan om rapporterna är relevant för utskottets lagstadgade befogenheter (475). Slutligen kan utskottet be the Investigatory Powers Commissioner att göra en utredning och the Commissioner måste informera underrättelse-och säkerhetsutskottet om huruvida en sådan utredning ska genomföras (476).

(259)

Underrättelse-och säkerhetsutskottet bidrog också till utkastet till 2016 års lag om utredningsbefogenheter, vilket resulterade i ett antal ändringar som nu återspeglas i 2016 års lag om utredningsbefogenheter (477). I synnerhet rekommenderade underrättelse-och säkerhetsutskottet en förstärkning av integritetsskyddet genom att införa en uppsättning integritetsskydd som omfattar alla utredningsbefogenheter (478). Det föreslog också ändringar av den föreslagna kapaciteten när det gäller ingrepp i utrustning, massdatset av personuppgifter och kommunikationsuppgifter samt begärde andra specifika ändringar för att stärka begränsningarna och skyddsåtgärderna för användningen av utredningsbefogenheter (479).

(260)

När det gäller statlig åtkomst för ändamål som rör nationell säkerhet måste de registrerade ha möjlighet att väcka talan vid en oberoende och opartisk domstol för att få tillgång till sina personuppgifter eller för att få dessa uppgifter rättade eller raderade (480). Ett sådant rättsligt organ måste särskilt ha befogenhet att anta bindande beslut om underrättelsetjänsten (481). I Förenade kungariket ger ett antal möjligheter till rättslig prövning, vilket förklaras i skälen 261–271, en möjlighet för registrerade att utnyttja och erhålla sådana rättsmedel.

(261)

Enligt avsnitt 165 i 2018 års dataskyddslag har den registrerade rätt att lämna in ett klagomål till the Infomation Commissioner om den registrerade anser att det föreligger en överträdelse av del 4 i 2018 års dataskyddslag i samband med personuppgifter som rör honom eller henne. The Information Commissioner har befogenhet att bedöma om den personuppgiftsansvariga och personuppgiftsbiträdet efterlever 2018 års dataskyddslag och kräva att de vidtar nödvändiga åtgärder. Enligt del 4 i 2018 års dataskyddslag har enskilda dessutom rätt att ansöka hos High Court (eller Court of Session in Scotland) om ett föreläggande om att den personuppgiftsansvariga ska iaktta rätten till tillgång till uppgifter (482), invända mot behandling (483) och rättelse eller radering (484).

(262)

Enskilda har också rätt att från den personuppgiftsansvariga eller personuppgiftsbiträdet begära ersättning för skada till följd av överträdelse av ett krav i del 4 i 2018 års dataskyddslag (485). Med skada avses både ekonomisk förlust och skada som inte medför ekonomiska förluster, till exempel nödläge (486).

(263)

Enskilda personer kan erhålla rättslig prövning av överträdelser av 2016 års lag om utredningsbefogenheter inför tribunalen för utredningsbefogenheter.

(264)

Tribunalen för utredningsbefogenheter inrättas av 2000 års lag om utredningsbefogenheter och är oberoende av den verkställande makten (487). I enlighet med avsnitt 65 i 2000 års lag om utredningsbefogenheter utses tribunalens ledamöter av drottningen för en femårsperiod. En ledamot i tribunalen kan avsättas från sitt ämbete av drottningen efter en framställning (488) från båda kamrarna i parlamentet (489).

(265)

Enligt avsnitt 65 i 2000 års lag om utredningsbefogenheter är tribunalen det lämpliga rättsliga organet för klagomål från en person som lidit skada på grund av handlingar inom ramen för 2016 års lag om utredningsbefogenheter, 2000 års lag om utredningsbefogenheter eller valfritt agerande från underrättelsetjänsternas sida (490).

(266)

För att väcka talan vid tribunalen för utredningsbefogenheter (”obligatoriska krav”) enligt avsnitt 65 i 2000 års lag om utredningsbefogenheter måste en enskild tro (491) att en underrättelsetjänst har agerat med avseende på honom, hans egendom, alla meddelanden som skickats av eller till honom eller som är avsedda för honom eller hans användning av posttjänster, telekommunikationstjänster eller telekommunikationssystem” (492). Dessutom är klaganden skyldig att tro att beteendet har ägt rum under ”omständigheter mot vilka talan kan väckas” (493) eller ”har utförts av underrättelsetjänsterna eller för deras räkning” (494). Eftersom denna ”övertygelse” i synnerhet har tolkats ganska brett (495), omfattas ett mål vid tribunalen av låga obligatoriska krav.

(267)

När tribunalen för utredningsbefogenheter prövar ett klagomål som ingetts till dem är det tribunalens uppgift att undersöka huruvida de personer som anklagas i klagomålet har handlat i förhållande till den klagande samt att utreda vilken myndighet som påstås ha gjort sig skyldig till överträdelserna och huruvida det påstådda beteendet har ägt rum (496). När tribunalen prövar ett mål ska den tillämpa samma principer för att avgöra målet som en domstol skulle tillämpa vid en ansökan om rättslig prövning (497). Dessutom är mottagarna av besluten eller föreläggandena enligt 2016 års lag om utredningsbefogenheter och alla andra personer som tjänstgör under kronan och som är anställda av polisen eller the Police Investigations and Review Commissioner skyldiga att lämna ut eller till tribunalen lämna ut alla handlingar och all information som tribunalen kan behöva för att kunna utöva sin behörighet (498).

(268)

Tribunalen för utredningsbefogenheter ska underrätta den klagande om huruvida det har fällts ett utslag till hans eller hennes fördel eller inte (499). Enligt avsnitten 67.6 och 67.7 i 2000 års lag om utredningsbefogenheter är tribunalen behörig att besluta om interimistiska åtgärder och att meddela sådan ersättning eller andra förelägganden som den finner lämpliga. Detta kan inbegripa ett beslut om att ogiltigförklara eller upphäva varje beslut eller tillstånd och ett beslut om att förstöra alla register över uppgifter som erhållits i samband med utövandet av befogenheter som erhållits genom ett beslut, ett tillstånd eller ett föreläggande eller på annat sätt innehas av en myndighet med avseende på en person (500). Enligt avsnitt 67A i 2000 års lag om utredningsbefogenheter kan ett avgörande från tribunalen överklagas med förbehåll för tribunalens eller den relevanta appellationsdomstolens tillstånd.

(269)

Slutligen är det värt att notera att den roll som spelas av tribunalen för utredningsbefogenheter har diskuterats i samband med rättsliga förfaranden vid Europeiska domstolen för de mänskliga rättigheterna vid flera tillfällen, särskilt i målet Kennedy/United Kingdom (501) och mer nyligen i målet Big Brother Watch m.fl./United Kingdom (502), där domstolen förklarade att domstolen för utredningsbefogenheter erbjöd ett gedigen rättsmedel för alla som misstänkte att hans eller hennes kommunikation hade avlyssnats av underrättelsetjänsterna (503).

(270)

Enligt skälen 109–111 finns rättsmedel enligt Human Rights Act 1998 och genom Europeiska domstolen för de mänskliga rättigheterna (504) också på området nationell säkerhet. I avsnitt 65.2 i 2000 års lag om utredningsbefogenheter föreskrivs att tribunalen för utredningsbefogenheter har exklusiv behörighet att pröva alla anspråk i lagen om mänskliga rättigheter i förhållande till underrättelsetjänsterna (505). Detta innebär, som överdomstolen (High Court) har påpekat, att ”huruvida det har förekommit ett brott mot Human Rights Act i ett enskilt fall är något som i princip kan tas upp och avgöras av en oberoende tribunal som kan få tillgång till allt relevant material, inbegripet hemligt material. [...] Vi har också i detta sammanhang i åtanke att tribunalen själv nu kan överklaga till en lämplig appellationsdomstol (i England och Wales är det appellationsdomstolen (Court of Appeal)) och att högsta domstolen nyligen har beslutat att domstolen i princip kan bli föremål för domstolsprövning. se R (Privacy International)/Investigatory Powers Tribunal [2019] UKSC 22, [2019] 2 WLR 1219” (506).

(271)

Av ovanstående följer att när brittiska brottsbekämpande myndigheter eller nationella säkerhetsmyndigheter får åtkomst till personuppgifter som omfattas av detta beslut regleras sådan åtkomst av lagar som fastställer villkoren för åtkomst och säkerställer att åtkomst och vidare användning av uppgifterna begränsas till vad som är nödvändigt och står i proportion till det mål som eftersträvas med brottsbekämpning eller nationell säkerhet. För sådan åtkomst krävs dessutom i de flesta fall förhandstillstånd från ett rättsligt organ, genom godkännande av ett beslut eller en utlämnandeorder och under alla omständigheter av oberoende tillsyn. När myndigheter har fått åtkomst till uppgifterna omfattas behandlingen av dem, inbegripet ytterligare delning och vidareöverföring, av särskilda dataskyddsgarantier enligt del 3 i 2018 års dataskyddslag i enlighet med bestämmelserna i direktiv (EU) 2016/680 för behandling som utförs av brottsbekämpande myndigheter och del 4 i 2018 års dataskyddslag för behandling som utförs av underrättelsetjänster. Slutligen åtnjuter registrerade på detta område effektiva administrativa och rättsliga prövningsrättigheter, inbegripet rätten att få tillgång till sina uppgifter eller rättelse eller radering av sådana uppgifter.

(272)

Med tanke på betydelsen av sådana villkor, begränsningar och skyddsåtgärder för ändamålen med detta beslut kommer kommissionen noggrant att övervaka tillämpningen och tolkningen av Förenade kungarikets beslut om regeringens tillgång till personuppgifter. Övervakningen kommer att omfatta relevant utveckling i fråga om lagstiftning, reglering och rättspraxis samt ICO:s och andra tillsynsmyndigheters verksamheter på detta område. Särskild uppmärksamhet kommer också att ägnas Förenade kungarikets verkställande av relevanta domar från Europeiska domstolen för de mänskliga rättigheterna, inklusive åtgärder som anges i de ”åtgärdsplaner” och ”åtgärdsrapporter” som lämnas till ministerkommittén i samband med övervakningen av domstolens beslut.

(273)

Kommissionen anser att den brittiska dataskyddsförordningen och 2018 års dataskyddslag säkerställer en skyddsnivå för personuppgifter som överförs från Europeiska unionen som i allt väsentligt motsvarar den som garanteras genom förordning (EU) 2016/679.

(274)

Kommissionen anser dessutom att tillsynsmekanismerna och möjligheterna till prövning enligt brittisk rätt sammantaget gör det möjligt att upptäcka och bestraffa överträdelser i praktiken och erbjuda den registrerade rättsmedel för att få tillgång till personuppgifter som rör honom eller henne och, i slutändan, rättelse eller radering av sådana uppgifter.

(275)

På grundval av tillgänglig information om Förenade kungarikets rättsordning anser kommissionen slutligen att varje ingrepp i de grundläggande rättigheterna för de personer vars personuppgifter överförs från Europeiska unionen till Förenade kungariket av brittiska myndigheter för ändamål av allmänt intresse, särskilt brottsbekämpning och nationell säkerhet, kommer att begränsas till vad som är absolut nödvändigt för att uppnå det legitima målet i fråga och att det finns ett effektivt rättsligt skydd mot sådana intrång.

(276)

Mot bakgrund av slutsatserna i detta beslut bör det därför beslutas att Förenade kungariket säkerställer en adekvat skyddsnivå i den mening som avses i artikel 45 i förordning (EU) 2016/679, tolkad mot bakgrund av Europeiska unionens stadga om de grundläggande rättigheterna.

(277)

Denna slutsats grundar sig på både Förenade kungarikets relevanta inhemska system och dess internationella åtaganden, särskilt anslutningen till den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och hänvändelse till Europeiska domstolen för de mänskliga rättigheterna. Fortsatt efterlevnad av sådana internationella förpliktelser är därför ett särskilt viktigt inslag i den bedömning som ligger till grund för detta beslut.

(278)

Medlemsstaterna och deras organ är skyldiga att vidta de åtgärder som är nödvändiga för att följa unionsinstitutionernas rättsakter, eftersom dessa antas vara lagenliga och följaktligen har rättsverkningar fram till dess att de löper ut, återkallas, ogiltigförklaras inom ramen för en talan om ogiltigförklaring eller förklaras ogiltiga till följd av en begäran om förhandsavgörande eller en invändning om rättsstridighet.

(279)

Ett beslut om adekvat skyddsnivå som antas av kommissionen enligt artikel 45.3 i förordning (EU) 2016/679 är följaktligen bindande för alla organ i medlemsstaterna som det riktar sig till, också för deras oberoende tillsynsmyndigheter. Under tillämpningsperioden för detta beslut får överföringar från en personuppgiftsansvarig eller ett personuppgiftsbiträde i Europeiska unionen till personuppgiftsansvariga eller personuppgiftsbiträden i Förenade kungariket ske utan ytterligare tillstånd.

(280)

Det bör erinras om att enligt artikel 58.5 i förordning (EU) 2016/679, och såsom domstolen förklarade i Schrems-domen (507), ska en nationell dataskyddsmyndighet, även vid klagomål, ifrågasätta huruvida ett kommissionsbeslut om adekvat skyddsnivå är förenligt med den enskildas grundläggande rätt till integritet och skydd av personuppgifter och därför måste den nationella lagstiftningen innehålla ett rättsmedel för att framföra dessa invändningar till en nationell domstol som kan vara skyldig att begära ett förhandsavgörande från EU-domstolen (508).

(281)

Enligt artikel 45.4 i förordning (EU) 2016/679 ska kommissionen fortlöpande övervaka relevant utveckling i Förenade kungariket efter antagandet av detta beslut för att bedöma om det fortfarande säkerställer en väsentligen likvärdig skyddsnivå. En sådan övervakning är särskilt viktig i detta fall, eftersom Förenade kungariket kommer att administrera, tillämpa och verkställa ett nytt system för dataskydd som inte längre omfattas av unionsrätten och som kan komma att utvecklas. I detta avseende kommer särskild uppmärksamhet att ägnas åt den praktiska tillämpningen av Förenade kungarikets regler om överföring av personuppgifter till tredjeländer och de verkningar som sådana överföringar kan ha på skyddsnivån för uppgifter som överförs enligt detta beslut, på ändamålsenligheten när det gäller utövandet av individuella rättigheter, inklusive eventuell relevant utveckling av lag och praxis för undantag från eller begränsningar av sådana rättigheter (särskilt avseende upprätthållandet av en ändamålsenlig invandringskontroll), samt efterlevnaden av begränsningar och skyddsåtgärder i samband med regeringens tillgång till personuppgifter. Bland annat kommer utveckling av rättspraxis och ICO:s och andra oberoende organs tillsyn ligga till grund för kommissionens övervakning.

(282)

För att underlätta denna övervakning bör de brittiska myndigheterna omgående informera kommissionen om alla väsentliga ändringar av den brittiska rättsordningen som påverkar den rättsliga ram som är föremål för detta beslut, liksom om eventuella förändringar av praxis i samband med behandling av personuppgifter som bedöms i detta beslut, både vad gäller personuppgiftsansvarigas och personuppgiftsbiträdens behandling av personuppgifter enligt den brittiska dataskyddsförordningen och de begränsningar och skyddsåtgärder som är tillämpliga på myndigheters tillgång till personuppgifter. Detta bör omfatta utveckling gällande de faktorer som nämns i skäl 281.

(283)

För att kommissionen ska kunna utföra sin övervakningsfunktion på ett effektivt sätt bör medlemsstaterna dessutom informera kommissionen om alla relevanta åtgärder som vidtas av de nationella dataskyddsmyndigheterna, särskilt när det gäller förfrågningar eller klagomål från registrerade i EU om överföring av personuppgifter från unionen till personuppgiftsansvariga eller personuppgiftsbiträden i Förenade kungariket. Kommissionen bör också informeras om eventuella indikationer på att de åtgärder som vidtas av brittiska myndigheter med ansvar för att förebygga, utreda, avslöja eller lagföra brott eller för nationell säkerhet, inbegripet eventuella tillsynsorgan, inte säkerställer den skyddsnivå som krävs.

(284)

Om tillgänglig information, särskilt information från övervakningen av detta beslut eller från Förenade kungarikets eller medlemsstaternas myndigheter, visar att den skyddsnivå som Förenade kungariket erbjuder kanske inte längre är adekvat, bör kommissionen informera de behöriga brittiska myndigheterna om detta och begära att lämpliga åtgärder vidtas inom en angiven tidsram, som får vara högst tre månader. Vid behov kan denna tidsram förlängas med en angiven tidsperiod, med beaktande av den aktuella frågan och/eller de åtgärder som ska vidtas. Ett sådant förfarande skulle till exempel inledas i fall där vidare överföringar, även på grundval av de nya bestämmelser om adekvat skyddsnivå som antas av den ansvariga ministern eller enligt internationella avtal som ingås av Förenade kungariket, inte längre utförs enligt skyddsåtgärder som säkerställer ett fortsatt skydd i den mening som avses i artikel 44 i förordning (EU) 2016/679.

(285)

Om de behöriga brittiska myndigheterna vid utgången av den angivna tidsfristen underlåter att vidta dessa åtgärder eller på annat tillfredsställande sätt visar att detta beslut fortfarande bygger på en adekvat skyddsnivå, kommer kommissionen att inleda det förfarande som avses i artikel 93.2 i förordning (EU) 2016/679 i syfte att helt eller delvis tillfälligt upphäva eller upphäva detta beslut.

(286)

Alternativt kommer kommissionen att inleda detta förfarande i syfte att ändra beslutet, särskilt genom att underställa överföringar av uppgifter ytterligare villkor eller genom att begränsa räckvidden för konstaterandet om adekvat skyddsnivå endast till uppgiftsöverföringar för vilka en adekvat skyddsnivå fortfarande säkerställs.

(287)

Vid vederbörligen motiverade och tvingande skäl till skyndsamhet kommer kommissionen att utnyttja möjligheten att, i enlighet med det förfarande som avses i artikel 93.3 i förordning (EU) 2016/679, anta genomförandeakter med omedelbar verkan som tillfälligt upphäver, upphäver eller ändrar beslutet.

(288)

Kommissionen måste ta hänsyn till att Förenade kungariket, i och med att övergångsperioden enligt utträdesavtalet löper ut och så snart övergångsbestämmelsen i artikel 782 i handels- och samarbetsavtalet mellan EU och Förenade kungariket upphör att gälla, kommer att administrera, tillämpa och verkställa ett nytt system för dataskydd jämfört med det system som gällde när landet var bundet av EU-lagstiftningen. Detta kan särskilt omfatta ändringar eller ändringar av ramen för dataskydd som bedöms i detta beslut, liksom annan relevant utveckling.

(289)

Det är därför lämpligt att föreskriva att detta beslut ska tillämpas under en period av fyra år från och med dess ikraftträdande.

(290)

Om framför allt information från övervakningen av detta beslut visar att slutsatserna om den skyddsnivå som säkerställs i Förenade kungariket fortfarande är sakligt och rättsligt motiverade, bör kommissionen senast sex månader innan detta beslut upphör att gälla inleda förfarandet för att ändra detta beslut genom att i princip förlänga dess tidsmässiga tillämpningsområde med ytterligare fyra år. En eventuell sådan genomförandeakt som ändrar detta beslut ska antas i överensstämmelse med det förfarande som nämns i artikel 93.2 i förordning (EU) 2016/679.

(291)

Europeiska dataskyddsstyrelsen offentliggjorde sitt yttrande (509), vilket har beaktats vid utarbetandet av detta beslut.

(292)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats i enlighet med artikel 93 i förordning (EU) 2016/679.