(1)

I Kommissionens gennemførelsesafgørelse (EU) 2021/1772 (2) konkluderes det, at Det Forenede Kongerige med henblik på artikel 45 i forordning (EU) 2016/679 sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra Den Europæiske Union til Det Forenede Kongerige inden for rammerne af nævnte forordnings anvendelsesområde (3).

(2)

I forbindelse med vedtagelsen af gennemførelsesafgørelse (EU) 2021/1772 tog Kommissionen hensyn til, at Det Forenede Kongerige — efter udløbet af den overgangsperiode, der er fastsat i aftalen om Det Forenede Kongerige Storbritannien og Nordirlands udtræden af Den Europæiske Union og Det Europæiske Atomenergifællesskab (4) og efter udløbet af anvendelsesperioden for den midlertidige bestemmelse i artikel 782 i handels- og samarbejdsaftalen mellem Den Europæiske Union og Det Europæiske Atomenergifællesskab på den ene side og Det Forenede Kongerige Storbritannien og Nordirland på den anden side (5) — ville vedtage, anvende og håndhæve en ny databeskyttelsesordning, der er forskellig fra den, der var gældende, da landet var bundet af EU-retten.

(3)

Da dette kan have omfattet ændringer af den databeskyttelsesramme, der er vurderet i gennemførelsesafgørelse (EU) 2021/1772, eller anden relevant udvikling, blev det anset for hensigtsmæssigt at fastsætte, at nævnte afgørelse skulle finde anvendelse i en periode på fire år fra dens ikrafttræden. Gennemførelsesafgørelse (EU) 2021/1772 ville derfor udløbe den 27. juni 2025, medmindre den blev forlænget efter proceduren i artikel 93, stk. 2, i forordning (EU) 2016/679.

(4)

For at træffe afgørelse om en mulig forlængelse af gennemførelsesafgørelse (EU) 2021/1772 skal Kommissionen vurdere, om den konklusion, at Det Forenede Kongerige sikrer et tilstrækkeligt beskyttelsesniveau, fortsat er faktuelt og retligt begrundet i lyset af den udvikling, der har fundet sted siden vedtagelsen af gennemførelsesafgørelse (EU) 2021/1772 for så vidt angår de elementer, der er opført i artikel 45, stk. 2, i forordning (EU) 2016/679.

(5)

Den britiske regering forelagde den 23. oktober 2024 Data (Use and Access) Bill (6) for Det Forenede Kongeriges parlament med forslag til ændringer af United Kingdom General Data Protection Regulation (UK GDPR) og Data Protection Act 2018 (DPA 2018), som vurderes i gennemførelsesafgørelse (EU) 2021/1772. Kommissionen vedtog den 24. juni 2025 gennemførelsesafgørelse (EU) 2025/1226 (7), som forlængede gyldigheden af gennemførelsesafgørelse (EU) 2021/1772 med seks måneder indtil den 27. december 2025. Denne tidsbegrænsede tekniske forlængelse gjorde det muligt for Kommissionen at afslutte sin vurdering af, om Det Forenede Kongerige sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger på grundlag af en stabil retlig ramme, dvs. efter afslutningen af den relevante lovgivningsproces (8).

(6)

Siden vedtagelsen af gennemførelsesafgørelse (EU) 2021/1772 har Kommissionen løbende ført tilsyn med relevant udvikling i Det Forenede Kongerige (9). I overensstemmelse med betragtning 281 til gennemførelsesafgørelse (EU) 2021/1772 vil der i den forbindelse blive lagt særlig vægt på den praktiske anvendelse af Det Forenede Kongeriges regler om overførsel af personoplysninger til tredjelande og den indvirkning, det kan have på beskyttelsesniveauet for oplysninger, der overføres i henhold til gennemførelsesafgørelse (EU) 2021/1772, effektiviteten af udøvelsen af individuelle rettigheder, herunder enhver relevant udvikling inden for lovgivning og praksis vedrørende undtagelser fra eller begrænsninger af sådanne rettigheder (navnlig den undtagelse, der vedrører opretholdelse af en effektiv indvandringskontrol), samt overholdelse af begrænsningerne og garantierne med hensyn til statslig adgang. Blandt andet har udviklingen i retspraksis og Information Commissioner's Offices (ICO's) og andre uafhængige organers tilsyn dannet grundlag for Kommissionens tilsyn.

(7)

På grundlag af vurderingen af denne udvikling, herunder ændringerne af UK GDPR og DPA 2018, der blev indført ved Data (Use and Access) Act, konkluderer Kommissionen, at Det Forenede Kongerige fortsat sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der inden for anvendelsesområdet for forordning (EU) 2016/679 overføres fra Den Europæiske Union til Det Forenede Kongerige.

(8)

I lyset af ændringerne af de relevante bestemmelser i Det Forenede Kongeriges lovgivning (10) konkluderer Kommissionen også, at udelukkelsen af personoplysninger, der overføres med henblik på indvandringskontrol i Det Forenede Kongerige, eller som på anden måde falder ind under anvendelsesområdet for undtagelsen fra visse registreredes rettigheder med henblik på opretholdelse af en effektiv indvandringskontrol (»den indvandringsrelaterede undtagelse«) i henhold til Paragraph 4(1) i Schedule 2 til UK Data Protection Act, fra anvendelsesområdet for gennemførelsesafgørelse (EU) 2021/1772 ikke længere er berettiget, jf. betragtning 37 til denne afgørelse.

(9)

Da gennemførelsesafgørelse (EU) 2021/1772 blev vedtaget, bestod den retlige ramme for beskyttelse af personoplysninger i Det Forenede Kongerige af:

(10)

Selv om disse to retsakter, der nøje afspejlede de tilsvarende regler, der gælder i Den Europæiske Union, fortsat udgør Det Forenede Kongeriges databeskyttelseslovgivning, har de siden da været genstand for begrænsede ændringer, hvilket afspejler det forhold, at Det Forenede Kongerige ikke længere er underlagt EU-retten.

(11)

For det første blev det i Retained EU Law (Revocation and Reform) Act 2023 (REUL Act) (15) præciseret, at de generelle principper i EU-retten ikke længere var en del af Det Forenede Kongeriges nationale lovgivning efter udgangen af 2023 (16). Desuden må domstolene i Det Forenede Kongerige ikke længere fortolke uændret »assimileret ret«, som tidligere blev omtalt som »bibeholdt EU-ret«, i overensstemmelse med de generelle principper i EU-retten, idet denne ret nu i stedet skal læses i overensstemmelse med national ret i Det Forenede Kongerige (17). Uændret assimileret ret skal dog stadig fortolkes af de relevante domstole i Det Forenede Kongerige i overensstemmelse med EU-Domstolens relevante retspraksis fra før overgangsperiodens udløb (18), således som det også er nævnt i betragtning 13 til gennemførelsesafgørelse (EU) 2021/1772. DPA 2018 er blevet ændret ved Data (Use and Access) Act for at præcisere virkningen af REUL Act på Det Forenede Kongeriges databeskyttelseslovgivning. I Section 183A(1) i DPA 2018 fastsættes det f.eks. som en generel regel, at enhver ny lovgivning (der er vedtaget den 20. august 2025 eller senere), der indfører nye opgaver eller beføjelser til at behandle personoplysninger, formodes at være omfattet af Det Forenede Kongeriges databeskyttelseslovgivning. Det betyder, at Det Forenede Kongeriges databeskyttelsesramme fortsat har forrang for anden lovgivning. I henhold til Section 183A(2)(b) i DPA 2018 kan der ses bort fra denne formodning, hvis Det Forenede Kongeriges parlament bevidst og udtrykkeligt fastsætter dette i lovgivningen, hvorved den parlamentariske suverænitet bevares. Desuden præciseres det i Section 186(2A) i DPA 2018, at de begrænsninger af registreredes rettigheder, der er fastsat i Section 186(3) i DPA 2018, ikke tilsidesættes af Section 186(1) i DPA 2018, hvori det fastsættes, at love, der forbyder eller begrænser videregivelse af oplysninger, ikke tilsidesætter visse databeskyttelsesrettigheder. Dette sikrer f.eks., at de begrænsninger af registreredes rettigheder, der er fastsat i DPA 2018, ikke i sig selv er omfattet af den generelle »tilsidesættelse af databeskyttelse« i Section 186(1) i DPA 2018.

(12)

For det andet er Det Forenede Kongeriges databeskyttelseslovgivning siden vedtagelsen af gennemførelsesafgørelse (EU) 2021/1772 blevet ændret ved Data Protection (Fundamental Rights and Freedoms) Amendment Regulations 2023 (19). I disse Regulations defineres henvisninger til grundlæggende rettigheder eller grundlæggende frihedsrettigheder i UK GDPR og DPA 2018 (som tidligere blev defineret således, at de omfattede EU's grundlæggende rettigheder og grundlæggende frihedsrettigheder (20)) som henvisninger til rettigheder i henhold til den europæiske menneskerettighedskonvention, der er blevet gennemført i Det Forenede Kongeriges nationale lovgivning inden for rammerne af Human Rights Act 1998 (21). Med Human Rights Act 1998 blev rettighederne i den europæiske menneskerettighedskonvention indarbejdet i Det Forenede Kongeriges lovgivning. Human Rights Act indrømmer enhver person de grundlæggende rettigheder og friheder, der er fastsat i artikel 2-12 og artikel 14 i den europæiske menneskerettighedskonvention, i artikel 1, 2 og 3 i dens første protokol og i artikel 1 i dens trettende protokol, sammenholdt med konventionens artikel 16, 17 og 18. Disse rettigheder omfatter retten til respekt for privatliv og familieliv (og beskyttelse af personoplysninger som en del af denne ret) samt retten til en upartisk domstol (22).

(13)

Endelig har UK GDPR og DPA 2018 været genstand for målrettede reformer som fastsat i Part 5 og 6 i Data (Use and Access) Act. Selv om anvendelsesområdet for Data (Use and Access) Act går langt videre end til beskyttelsen af personoplysninger, indeholder den begrænsede ændringer af flere aspekter af databeskyttelsesordningen, f.eks. reglerne om databehandling med henblik på videnskabelig forskning, retsgrundlaget for databehandling, reglerne vedrørende princippet om formålsbegrænsning og betingelserne for automatiske afgørelser. Desuden indeholder Data (Use and Access) Act ændringer af ICO's forvaltningsstruktur. Når disse foranstaltninger er gennemført, vil de erstatte ICO med en ny enhed, Information Commission. Tilsynsmyndighedens rolle og funktioner som den uafhængige tilsynsmyndighed for databeskyttelse i Det Forenede Kongerige forbliver uændrede. Med loven indføres også nye håndhævelsesbeføjelser for tilsynsmyndigheden.

(14)

I nærværende afgørelse vurderes den lovgivningsmæssige, reguleringsmæssige og anden udvikling, der er relevant for konklusionen i gennemførelsesafgørelse (EU) 2021/1772 om det beskyttelsesniveau, som Det Forenede Kongerige garanterer. Vurderingen i gennemførelsesafgørelse (EU) 2021/1772 er fortsat gyldig for de aspekter af Det Forenede Kongeriges databeskyttelsesramme, der ikke er blevet ændret eller påvirket af anden udvikling siden vedtagelsen af gennemførelsesafgørelse (EU) 2021/1772.

(15)

Den lovgivningsmæssige og reguleringsmæssige samt anden relevant udvikling analyseres nærmere i de følgende afsnit på grundlag af standarden for tilstrækkelighed, ifølge hvilken Kommissionen skal afgøre, om det pågældende tredjeland garanterer et beskyttelsesniveau, der »i det væsentlige svarer til« det, der sikres i Den Europæiske Union (23). Som Den Europæiske Unions Domstol har præciseret, kræves der ikke et identisk beskyttelsesniveau (24). Det betyder navnlig, at de midler, som tredjelandet anvender til at beskytte personoplysninger, kan være forskellige fra de midler, som anvendes inden for Den Europæiske Union, så længe de i praksis viser sig at være effektive med henblik på at sikre et tilstrækkeligt beskyttelsesniveau (25). Standarden for tilstrækkelighed er derfor ikke, at EU-reglerne duplikeres punkt for punkt. Testen består snarere i, om det pågældende udenlandske system som helhed sikrer det krævede beskyttelsesniveau gennem kerneindholdet i retten til databeskyttelse og den effektive gennemførelse, overvågning og håndhævelse heraf (26).

(16)

Grundlæggende databeskyttelsesbegreber, der afspejler terminologien i forordning (EU) 2016/679, finder fortsat anvendelse i Det Forenede Kongeriges databeskyttelsesordning. Disse begreber er blevet vurderet i betragtning 23 til gennemførelsesafgørelse (EU) 2021/1772.

(17)

Selv om langt de fleste definitioner i Data (Use and Access) Act er uændrede, er der herved indført specifikke definitioner vedrørende behandling af personoplysninger til videnskabelige, historiske og statistiske formål i artikel 4, stk. 2, 3, 4 og 5, i UK GDPR. I stk. 2 defineres »behandling til videnskabelige formål« som behandling af personoplysninger med henblik på forskning, der med rimelighed kan betegnes som videnskabelig. Denne forskning kan være offentligt eller privat finansieret og kan udføres som enten en kommerciel eller ikkekommerciel aktivitet. I overensstemmelse med indholdet af betragtning 159 til forordning (EU) 2016/679 indeholder stk. 3 en ikkeudtømmende liste over eksempler på forskningsaktiviteter, der kan anses for at forfølge videnskabelige formål, herunder teknisk udvikling, demonstration, grundforskning og anvendt forskning. I stk. 4 præciseres det, at »historisk forskning« omfatter genealogisk forskning, hvilket også anerkendes som et historisk formål i betragtning 160 til forordning (EU) 2016/679. Endelig defineres behandling til statistiske formål i stk. 5 som behandling af oplysninger til statistiske undersøgelser eller til udarbejdelse af statistiske resultater, hvor oplysningerne aggregeres, så de ikke længere udgør personoplysninger. Desuden må de behandlede data eller deraf følgende oplysninger ikke bruges til at træffe beslutninger eller træffe foranstaltninger rettet mod en person. Denne definition er i overensstemmelse med den forståelse af statistiske formål, der er skitseret i betragtning 162 til forordning (EU) 2016/679.

(18)

Afslutningsvis kan det konstateres, at sådanne definitioner, selv om der med ændringerne af artikel 4 i UK GDPR tilføjes specifikke definitioner af databehandling til videnskabelige, historiske og statistiske formål, er i overensstemmelse med bogstav og ånd i forordning (EU) 2016/679, som afspejlet i ovennævnte betragtning 159, 160 og 162.

(19)

Ved at tilføje stk. 6 til artikel 4 i UK GDPR er der ved Data (Use and Access) Act også fastsat en specifik ramme for indhentning af samtykke fra den registrerede til behandling af personoplysninger til videnskabelige formål. På samme måde som betragtning 33 til forordning (EU) 2016/679, hvori det anerkendes, at samtykke på området videnskabelig forskning ikke altid kan indhentes til et specifikt behandlingsformål, giver den nye bestemmelse mulighed for bredere former for samtykke ved at tillade, at registrerede kan give gyldigt samtykke, selv når de nøjagtige formål med forskningen ikke kan fastslås fuldt ud på tidspunktet for dataindsamlingen, forudsat at indhentningen af samtykke er i overensstemmelse med almindeligt anerkendte etiske standarder, der er relevante for det specifikke forskningsområde. Under alle omstændigheder skal de registrerede have mulighed for kun at give samtykke til behandling af personoplysninger for bestemte dele af forskningen, hvor det er muligt.

(20)

Endelig er de garantier, der tidligere fandtes i artikel 89 i UK GDPR og Section 19 i DPA 2018, blevet yderligere præciseret i Data (Use and Access) Act for så vidt angår databehandling til arkivering i samfundets interesse samt til videnskabelige, historiske og statistiske forskningsformål i et nyt kapitel 8A i UK GDPR (27). Disse garantier svarer til dem, der kræves i henhold til artikel 89 i forordning (EU) 2016/679, og omfatter kravet om at indføre tekniske og organisatoriske foranstaltninger med henblik på at sikre overholdelse af princippet om dataminimering.

(21)

I henhold til Det Forenede Kongeriges databeskyttelsesramme skal oplysninger fortsat behandles på en lovlig, rimelig og legitim måde, som vurderet i betragtning 24-26 til gennemførelsesafgørelse (EU) 2021/1772.

(22)

Principperne om lovlighed og rimelighed samt grundlaget for lovlig behandling er fortsat sikret i Det Forenede Kongeriges lovgivning ved artikel 5, stk. 1, litra a), og artikel 6, stk. 1, i UK GDPR som vurderet i gennemførelsesafgørelse (EU) 2021/1772. Selv om disse bestemmelser i det store og hele er identiske (28) med de respektive bestemmelser i forordning (EU) 2016/679, ændrer Data (Use and Access) Act først artikel 6, stk. 1, i UK GDPR ved at indføre en yderligere lovlig grund til behandling af personoplysninger i henhold til artikel 6, stk. 1, litra ea) (29). I henhold til denne bestemmelse er behandling lovlig, hvis og i det omfang den »er nødvendig af hensyn til en anerkendt legitim interesse«. I modsætning til retsgrundlaget for legitim interesse i henhold til artikel 6, stk. 1, litra f), i UK GDPR kræver det nyligt indførte retsgrundlag for anerkendt legitim interesse ikke en konkret afvejning af den dataansvarliges legitime interesser over for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, hvilket har til formål at skabe større retssikkerhed for ikkeoffentlige kontrolorganer. I den nylig indførte artikel 6, stk. 5, i UK GDPR præciseres det, at behandling kun er nødvendig af hensyn til en anerkendt legitim interesse, hvis den opfylder en betingelse i bilag 1 (30), som derefter opregner situationer, hvor behandling anses for nødvendig af hensyn til en anerkendt legitim interesse, f.eks. når den finder sted som svar på en anmodning fra en offentlig myndighed, der har brug for oplysningerne med henblik på udførelse af en opgave i samfundets interesse, der har et retsgrundlag, der er i overensstemmelse med artikel 6, stk. 3, i UK GDPR, når behandling er nødvendig for at beskytte den nationale sikkerhed, beskytte den offentlige sikkerhed eller forsvaret, reagere på en nødsituation, opdage, efterforske eller forebygge kriminalitet eller beskytte sårbare personer (31).

(23)

Mens listen over retsgrundlag for behandling af personoplysninger, der er tilgængelige for den dataansvarlige således udvides ved Data (Use and Access) Act, er det nyligt indførte retsgrundlag for anerkendt legitim interesse underlagt flere vigtige begrænsninger. For det første er de anerkendte legitime interesser begrænset til særlige situationer, der er udtømmende opregnet i loven. For det andet kan dette retsgrundlag ikke påberåbes af offentlige myndigheder i forbindelse med udførelsen af deres opgaver (32). For det tredje vedrører det kun områder, hvor der er en klar offentlig interesse i behandlingsaktiviteten (ifølge betingelserne i bilag 1), dvs. hvor behandlingen tjener de mål, der er anført i artikel 23 i UK GDPR (som svarer til artikel 23 i forordning (EU) 2016/679), og det kan derfor ikke påberåbes til kommercielle formål. For det fjerde giver Data (Use and Access) Act Secretary of State ret til at ændre listen i bilag 1 ved en »regulation« (33), men Secretary of State kan kun gøre dette efter at have rådført sig med ICO (34) og tilføje en anerkendt legitim interesse til denne liste, hvis denne behandling igen er nødvendig for at beskytte et af de mål af almen interesse, der er anført i artikel 23, stk. 1, litra c)-j), i UK GDPR (35). Endelig skal dataansvarlige, der baserer sig på en anerkendt legitim interesse som retsgrundlag, som det også bekræftes i ICO's vejledning (36), overholde alle andre krav i henhold til UK GDPR, herunder sikre, at behandlingen er nødvendig og forholdsmæssig for at sikre, at der er tale om en legitim interesse.

(24)

For det andet præciserer Data (Use and Access) Act i artikel 6, stk. 3, artikel 9, stk. 2, litra g), og artikel 10, stk. 1, i UK GDPR, som svarer til de respektive bestemmelser i forordning (EU) 2016/679, at grundlaget for behandling af personoplysninger, særlige kategorier af personoplysninger og personoplysninger vedrørende straffedomme og lovovertrædelser i overensstemmelse med en retlig forpligtelse eller med henblik på udførelse af en opgave i samfundets interesse kan være fastsat ikke blot i national ret, men også i relevant folkeret (37). Relevant folkeret begrænses derefter af den nylig indførte artikel 9A i UK GDPR sammenholdt med Schedule A1 til én enkelt aftale, nemlig Agreement between the Government of the United Kingdom of Great Britain and Northern Ireland and the Government of the United States of America on Access to Electronic Data for the Purpose of Countering Serious Crime (UK-US Agreement) (38), der blev undertegnet den 3. oktober 2019. De garantier, der er fastsat i nævnte aftale, er blevet vurderet i betragtning 153-155 til gennemførelsesafgørelse (EU) 2021/1772, og deres gennemførelse analyseres i betragtning 87-93 til nærværende afgørelse.

(25)

Det Forenede Kongeriges databeskyttelsesramme giver fortsat specifikke garantier, når der behandles særlige kategorier af oplysninger, som vurderet i betragtning 27-42 til gennemførelsesafgørelse (EU) 2021/1772.

(26)

Både definitionen af særlige kategorier af personoplysninger og de specifikke regler, der gælder for behandlingen af disse kategorier af oplysninger i UK GDPR og i DPA 2018, er fortsat gældende. Samtidig giver Data (Use and Access) Act Secretary of State nye beføjelser til at fastsætte regulations for at tilføje særlige kategorier af oplysninger, tilpasse de betingelser, der gælder for deres anvendelse, og tilføje nye definitioner, hvis det er nødvendigt (39). Det skal bemærkes, at den ikke giver Secretary of State mulighed for at fjerne eller ændre eksisterende særlige kategorier af oplysninger eller ændre betingelserne for behandlingen af disse kategorier (40). Den nylig indførte beføjelse til at fastsætte bestemmelser giver således kun regeringen mulighed for at tilføje nye kategorier af følsomme oplysninger og fastlægge betingelserne for behandlingen af disse kategorier, hvilket har til formål at gøre det muligt for regeringen at reagere på fremtidig teknologisk og samfundsmæssig udvikling, hvor det er nødvendigt.

(27)

Disse ændringer påvirker derfor ikke beskyttelsesniveauet for særlige kategorier af personoplysninger, der i det væsentlige svarer til beskyttelsen inden for EU i gennemførelsesafgørelse (EU) 2021/1772.

(28)

I henhold til Det Forenede Kongeriges ordning for beskyttelse af personoplysninger skal personoplysninger fortsat behandles til et specifikt formål og kan efterfølgende kun anvendes, for så vidt dette ikke er uforeneligt med det oprindelige formål med behandlingen, som vurderet i betragtning 43-48 til gennemførelsesafgørelse (EU) 2021/1772.

(29)

For det første indeholder Data (Use and Access) Act kun få målrettede ændringer af princippet om formålsbegrænsning, der er fastsat i artikel 5, stk. 1, litra b), i UK GDPR. Disse ændringer præciserer anvendelsen af dette princip uden at ændre substansen. I Section 71(1), (2) og (3) i Data (Use and Access) Act præciseres det, at princippet om formålsbegrænsning finder anvendelse, når oplysninger indsamles fra den registrerede eller på anden måde, at det kun finder anvendelse, når personoplysninger viderebehandles af eller på vegne af den samme dataansvarlige (dvs. at det ikke finder anvendelse, når der sker et skift af dataansvarlig), og at behandling ikke er lovlig alene, fordi den er forenelig med de formål, hvortil personoplysningerne blev indsamlet.

(30)

For det andet præciserer Data (Use and Access) Act reglerne om viderebehandling af personoplysninger ved at samle dem i den nye artikel 8A i UK GDPR, som fastsætter den fulde ordning for viderebehandling af personoplysninger. I artikel 8A, stk. 2, i UK GDPR opregnes de elementer, der skal tages i betragtning ved afgørelsen af, om et nyt behandlingsformål er foreneligt med det oprindelige formål. Disse elementer var tidligere opført i artikel 6, stk. 4, i UK GDPR, som svarer til artikel 6, stk. 4, i forordning (EU) 2016/679 (41). I artikel 8A, stk. 3, i UK GDPR samles de situationer, hvor behandling af personoplysninger til et nyt formål skal anses for forenelig med det oprindelige formål, i én bestemmelse. Denne artikel omfatter situationer, hvor den registrerede giver samtykke til behandling af personoplysninger til det nye formål, eller hvor behandling er nødvendig for at sikre et af de mål, der er anført i artikel 23, stk. 1 (42), eller hvor behandlingen foretages med henblik på videnskabelig eller historisk forskning, arkivering i samfundets interesse eller til statistiske formål (43). Endelig præciseres det i Data (Use and Access) Act, at enhver behandling, der foretages for at sikre, at behandlingen er i overensstemmelse med databeskyttelsesprincipperne i artikel 5, stk. 1, i UK GDPR, eller for at påvise, at dette er tilfældet, anses for forenelig med det oprindelige formål. Ovennævnte situationer svarer fortsat til, hvad der anses for forenelig viderebehandling, også i forordning (EU) 2016/679.

(31)

For det tredje medtages der ved Data (Use and Access) Act i artikel 8A, stk. 3, litra d), i UK GDPR også nye yderligere situationer, hvor viderebehandling af personoplysninger til et nyt formål anses for at være forenelig med det oprindelige formål. Disse situationer er anført i bilag 2 til UK GDPR (44) og omfatter f.eks. situationer, hvor behandling finder sted som svar på en anmodning modtaget fra en offentlig myndighed, der har brug for oplysningerne med henblik på udførelse af en opgave i samfundets interesse, som har et retsgrundlag, der er i overensstemmelse med artikel 6, stk. 3, i UK GDPR, når behandling er nødvendig for at beskytte den offentlige sikkerhed, reagere på en nødsituation, opdage, efterforske eller forebygge kriminalitet, beskytte den registreredes og andres vitale interesser, beskytte sårbare personer, til skattemæssige formål, eller når det er nødvendigt for at overholde en retlig forpligtelse (45).

(32)

Selv om Data (Use and Access) Act således udvider listen over situationer, hvor viderebehandling til et andet formål anses for at være forenelig med det oprindelige behandlingsformål, er denne udvidelse underlagt væsentlige begrænsninger. For det første er den begrænset til særlige situationer, der er udtømmende opregnet i loven. For det andet vedrører den kun områder, hvor der er en klar offentlig interesse i behandlingsaktiviteten, dvs. hvor viderebehandlingen tjener de mål, der er anført i artikel 23 i UK GDPR (som svarer til artikel 23 i forordning (EU) 2016/679). Den kan således ikke påberåbes til kommercielle formål. For det tredje giver Data (Use and Access) Act Secretary of State ret til at ændre listen i bilag 2 ved en regulation (46), men Secretary of State kan kun tilføje andre typer behandling til denne liste, hvis denne behandling igen er nødvendig for at beskytte et af de mål af almen interesse, der er anført i artikel 23, stk. 1, litra c)-j), i UK GDPR (47). For det fjerde anses behandling til et nyt formål i de situationer, der er anført i bilag 2, kun for at være forenelig med det oprindelige formål, hvis den dataansvarlige ikke med rimelighed kan forventes at indhente nyt samtykke fra den registrerede, når den dataansvarliges indsamling af personoplysninger er baseret på den registreredes samtykke (48).

(33)

I henhold til Det Forenede Kongeriges ramme for beskyttelse af personoplysninger nyder registrerede fortsat godt af de samme individuelle rettigheder som i henhold til forordning (EU) 2016/679 uden væsentlige ændringer (49), som kan gøres gældende over for den dataansvarlige eller databehandleren, navnlig retten til indsigt i oplysninger, retten til at gøre indsigelse mod behandlingen og retten til at få oplysninger berigtiget og slettet, som vurderet i betragtning 51-54 til gennemførelsesafgørelse (EU) 2021/1772.

(34)

For det første præciseres visse modaliteter, i henhold til hvilke disse rettigheder kan udøves, i Data (Use and Access) Act. På den ene side præciseres de frister, inden for hvilke dataansvarlige skal besvare den registreredes anmodninger, ved en ændring af artikel 12 og indførelsen af en ny artikel 12A i UK GDPR (50). Mere specifikt ændres artikel 12 i UK GDPR på en sådan måde, at den dataansvarlige ikke længere er forpligtet til at give oplysninger om de foranstaltninger, der er truffet (eller om årsagerne til, at der ikke er truffet nogen foranstaltninger) som svar på en anmodning fra en registreret i overensstemmelse med artikel 15-22 i UK GDPR »inden for en måned efter modtagelsen af anmodningen«, men snarere »inden udløbet af den gældende frist«. Den gældende frist er yderligere defineret i den nylig indførte artikel 12A i UK GDPR som en periode på en måned, der begynder på det relevante tidspunkt, som er det tidspunkt, hvor den dataansvarlige modtager anmodningen, hvor den dataansvarlige modtager de oplysninger, der anmodes om i forbindelse med en anmodning i henhold til artikel 12, stk. 6, i UK GDPR, eller hvor et gebyr, der er blevet opkrævet i forbindelse med anmodningen i henhold til artikel 12, stk. 5, i UK GDPR, er blevet betalt, alt efter hvilket tidspunkt der er det seneste (51). I henhold til artikel 12A, stk. 3, kan den dataansvarlige endvidere forlænge den gældende frist med yderligere to måneder, hvis det er nødvendigt på grund af kompleksiteten af den registreredes anmodninger eller antallet af sådanne anmodninger. På den anden side ændrer Data (Use and Access) Act alene med hensyn til retten til adgang til oplysninger og personoplysninger artikel 15 i UK GDPR for at indarbejde den præcisering ifølge gældende retspraksis — inspireret af proportionalitetsprincippet i EU-retten — at dataansvarlige kun skal foretage rimelige og forholdsmæssige søgninger efter de oplysninger og personoplysninger, der anmodes om (52). Den nye bestemmelse forventes at blive fortolket i overensstemmelse med eksisterende retspraksis, hvori det hedder, at »[…] det, der afvejes i forbindelse med proportionalitetsundersøgelsen, er søgningens slutgenstand, nemlig den potentielle fordel, som leveringen af oplysningerne kan medføre for den registrerede, i forhold til den måde, hvorpå oplysningerne indhentes. Det vil være et spørgsmål, der skal vurderes i hvert enkelt tilfælde, om det vil kræve en uforholdsmæssig stor indsats at finde og levere oplysningerne i forhold til de fordele, de kan medføre for den registrerede« (53).

(35)

Selv om fristerne for besvarelse af anmodninger fra de registrerede og de dataansvarliges specifikke forpligtelser med hensyn til retten til indsigt er underlagt mere detaljerede regler, sikrer Det Forenede Kongeriges system derfor fortsat, at de registreredes anmodninger skal behandles inden for rimelige tidsfrister, der fastsættes på grundlag af objektive faktorer. Den dataansvarliges materielle forpligtelser i forbindelse med besvarelsen af anmodninger om indsigt fastlægges desuden på grundlag af etablerede retlige standarder, der også tager hensyn til den registreredes interesser. Endelig er det allerede fastsat i den nuværende vejledning fra ICO, at en dataansvarlig ikke er forpligtet til at foretage søgninger, der ville være urimelige eller uforholdsmæssige i forhold til betydningen af at give adgang til oplysningerne (54).

(36)

De begrænsninger af disse individuelle rettigheder, der er fastsat i DPA 2018, og som falder inden for rammerne af artikel 23 i UK GDPR, samt de begrænsninger og garantier, der regulerer anvendelsen af disse begrænsninger, er fortsat gældende i Det Forenede Kongeriges lovgivningsramme (55) som nærmere beskrevet i betragtning 55-67 til gennemførelsesafgørelse (EU) 2021/1772.

(37)

Hvad angår begrænsningen for personoplysninger, der behandles med henblik på opretholdelse af en effektiv indvandringskontrol eller efterforskning eller afsløring af aktiviteter, der ville underminere opretholdelsen af en effektiv indvandringskontrol, i det omfang anvendelsen af disse bestemmelser sandsynligvis ville skade et eller flere af disse forhold (den indvandringsrelaterede undtagelse) (56), har den britiske regering ændret Paragraph 4 i Schedule 2 til DPA 2018 gennem Data Protection Act 2018 (Amendment of Schedule 2 Exemptions) Regulations 2022 (57) og Data Protection Act 2018 (Amendment of Schedule 2 Exemptions) Regulations 2024 (58), som supplerer Regulations of 2022 (59). Ved ændringerne indarbejdes de garantier for udøvelse af den indvandringsrelaterede undtagelse, der kræves i henhold til artikel 23, stk. 2, i UK GDPR, i Paragraph 4A og 4B i Schedule 2 til DPA 2018. De sikrer navnlig, i) at den indvandringsrelaterede undtagelse kun skal påberåbes fra sag til sag, særskilt for hver af de relevante bestemmelser i UK GDPR og på ny, hver gang Secretary of State overvejer at undlade at anvende eller begrænse anvendelsen af en af de relevante bestemmelser i UK GDPR (60), ii) at der tages hensyn til den registreredes rettigheder og frihedsrettigheder samt potentielle sårbarheder ved udøvelsen af den indvandringsrelaterede undtagelse (61), iii) at Secretary of State skal føre et register over anvendelsen af den indvandringsrelaterede undtagelse og underrette den registrerede om anvendelsen heraf (undtagen under særlige omstændigheder, hvor oplysningerne ville skade formålet med undtagelsen) (62), og iv) at det præciseres, at anvendelsen af den indvandringsrelaterede undtagelse er begrænset til Secretary of States behandling af personoplysninger (63), det vil i praksis sige indenrigsministeriet til dets opgaver af relevans for Paragraph 4(1) i Schedule 2 til DPA 2018. Desuden forklarer de også den afvejning, der skal foretages, når det skal afgøres, om udøvelsen af registreredes rettigheder sandsynligvis vil skade en effektiv indvandringskontrol, og om det er nødvendigt og forholdsmæssigt at begrænse sådanne rettigheder som følge heraf.

(38)

Desuden har Det Forenede Kongeriges ICO udsendt retningslinjer for anvendelsen af denne specifikke begrænsning (64). I retningslinjerne hedder det navnlig, at »den indvandringsrelaterede undtagelse ikke må anvendes som en generel undtagelse for at begrænse [....] rettighederne til alle de oplysninger, der opbevares. Undtagelsens anvendelsesområde er begrænset til de rettigheder, der, hvis de udøves for de oplysninger, der opbevares, vil være til skade for de fastlagte indvandringsformål. […]. Den dataansvarliges udgangspunkt bør derfor være så vidt muligt at overholde kravene i forordning (EU) 2016/679 og DPA. […] Tærsklen for vurderingen af, om der forvoldes skade, er høj, og undtagelsen må ikke anvendes som en generel undtagelse. […] Det skal overvejes, om anvendelsen af undtagelsen er proportional med den enkeltes anmodning om databeskyttelse. Det kan bl.a. vurderes, at der er et presserende samfundsmæssigt behov for at anvende den indvandringsrelaterede undtagelse, men det skal også overvejes, om dette vejer tungere end forpligtelsen over for registrerede i henhold til forordning (EU) 2016/679. De har rettigheder til deres personoplysninger, der under alle omstændigheder skal tages i betragtning, især retten til indsigt. I alle tilfælde skal det derfor overvejes, om den enkeltes databeskyttelsesrettigheder vejer tungere end den konstaterede risiko for skade. Anvendelsen af undtagelsen skal være stå i et rimeligt forhold til omstændighederne, og hvert tilfælde skal nøje overvejes og dokumenteres«.

(39)

Samlet set er indvandringsbegrænsningen i Paragraf 4 i Schedule 2 til DPA 2018 som ændret af den britiske regering i 2022 og 2024 og som fortolket i retspraksis (65) og ICO's vejledning underlagt en række strenge betingelser, der afgrænser dens anvendelse, og som i vid udstrækning svarer til de betingelser, der er fastsat i EU-retten, navnlig artikel 23 i forordning (EU) 2016/679, for begrænsning af databeskyttelsesrettigheder og -forpligtelser af hensyn til vigtige samfundsinteresser, f.eks. kontrol med indvandring.

(40)

Beskyttelsesniveauet for personoplysninger, der overføres fra Den Europæiske Union til dataansvarlige eller databehandlere i Det Forenede Kongerige, må fortsat ikke undergraves af videreoverførsel af sådanne oplysninger til modtagere i et tredjeland. Ordningen for internationale overførsler af personoplysninger fra Det Forenede Kongerige ligger fortsat meget tæt på reglerne i kapitel V i forordning (EU) 2016/679 som vurderet i betragtning 74-82 til gennemførelsesafgørelse (EU) 2021/1772.

(41)

Selv om Data (Use and Access) Act ændrede kapitel 5 i UK GDPR om overførsel af personoplysninger til tredjelande eller internationale organisationer, bevares det centrale krav om, at personoplysninger kun må overføres til et tredjeland eller en international organisation, hvis overførslen er baseret på i) bestemmelser, hvorved overførslen godkendes (ny terminologi for det, der tidligere blev kaldt »bestemmelser om tilstrækkelighed«), ii) passende garantier eller iii) en undtagelse i særlige situationer. Disse generelle principper for dataoverførsler afspejles i den nye artikel 44A, der erstatter artikel 44 i UK GDPR (66), som også præciserer, at overførsler af personoplysninger til et tredjeland eller en international organisation kun er tilladt, hvis overførslen foretages i overensstemmelse med de øvrige bestemmelser i UK GDPR.

(42)

Specifikt med hensyn til bestemmelserne om godkendelse af en overførsel præciseres det i artikel 45A, stk. 2, i UK GDPR, at Secretary of State kun må fastsætte sådanne bestemmelser, hvis vedkommende mener, at databeskyttelsestesten er opfyldt. Det betyder, at den mulighed, som Secretary of State har indført i artikel 45A, stk. 3, i UK GDPR for at tage hensyn til det ønskelige i at lette datastrømmene, når sådanne forskrifter udstedes, altid er betinget af, at databeskyttelsestesten er opfyldt. Den retlige standard for databeskyttelsestesten, der skal være opfyldt, er fastsat i artikel 45B, stk. 1, i UK GDPR, i henhold til hvilken det kræves, at beskyttelsesniveauet for registrerede i modtagerlande eller internationale organisationer ikke er væsentligt lavere end det niveau, der er fastsat for registrerede i henhold til den relevante britiske databeskyttelseslovgivning. Artikel 45B, stk. 2, i UK GDPR indeholder derefter en ikkeudtømmende liste over elementer, der skal tages i betragtning ved vurderingen af, om denne test er opfyldt, f.eks. overholdelse af retsstatsprincippet og menneskerettighederne, eksistensen af en databeskyttelsesmyndighed og dennes beføjelser, ordninger for retslig eller udenretslig prøvelse, regler om overførsel af personoplysninger fra landet eller af organisationen til andre lande eller internationale organisationer, landets eller organisationens relevante internationale forpligtelser og landets eller organisationens forfatning, traditioner og kultur. Selv om listen over relevante elementer som fastsat i den tidligere artikel 45 i UK GDPR er blevet omformuleret, bevarer den nye artikel 45B, stk. 2, de centrale elementer i denne liste og ligger derfor fortsat tæt op ad bestemmelserne i kapitel V i forordning (EU) 2016/679. Desuden har Det Forenede Kongeriges myndigheder bekræftet, at Secretary of State vil tage hensyn til elementer, der ikke er anført i artikel 45B, stk. 2, såsom lovgivningen og praksis i et tredjeland med hensyn til, hvordan offentlige myndigheder får adgang til personoplysninger til formål såsom national sikkerhed eller retshåndhævelse, i det omfang de påvirker den overordnede beskyttelsesstandard. Desuden mener Det Forenede Kongeriges myndigheder, at relevant retspraksis i tredjelandet vil være et væsentligt element i overvejelserne om de spørgsmål, der ikke er udtømmende opregnet i artikel 45B, stk. 2, i UK GDPR.

(43)

Regulations om godkendelse af en overførsel er fortsat underlagt de »generelle« proceduremæssige krav i Section 182 i DPA 2018, jf. betragtning 77 til gennemførelsesafgørelse (EU) 2021/1772. I henhold til denne procedure skal Secretary of State rådføre sig med Information Commissioner, når førstnævnte foreslår at vedtage britiske regulations om tilstrækkelighed (67). Når Secretary of State har vedtaget disse regulations, forelægges de for parlamentet, idet de er underlagt »den negative beslutningsprocedure«, i henhold til hvilken begge parlamentets kamre kan granske dem og har mulighed for at vedtage et forslag om annullering af dem inden for en frist på 40 dage (68).

(44)

Med hensyn til de fornødne garantier fastsætter den nye artikel 46, stk. 1A i UK GDPR, at sådanne overførsler kun må finde sted, hvis de relevante garantier er fastsat i de instrumenter, der er tilgængelige i henhold til artikel 46, stk. 2 og 3, (69) i UK GDPR, og hvis den dataansvarlige, databehandleren eller de relevante offentlige organer, der handler rimeligt og forholdsmæssigt, vurderer, at databeskyttelsestesten er opfyldt. I de nye stk. 6 og 7 præciseres det, at databeskyttelsestesten er bestået, hvis standarden for beskyttelse af registrerede på grund af de krævede garantier ikke er væsentligt lavere efter overførslen end standarden i henhold til den relevante britiske databeskyttelseslovgivning, dvs. at de samme retlige standarder gælder for både godkendelse af en overførsel og for de fornødne garantier, som det er tilfældet i henhold til forordning (EU) 2016/679. Hvad der er rimeligt og forholdsmæssigt, skal i henhold til samme stykke fastlægges under hensyntagen til alle omstændighederne eller de sandsynlige omstændigheder ved overførslen eller typen af overførsel, herunder arten og omfanget af de overførte personoplysninger.

(45)

Med hensyn til undtagelser i særlige situationer indføres der i artikel 49 i UK GDPR vedrørende betingelserne for, hvornår undtagelser i særlige situationer kan anvendes, en række tekniske ændringer, som tilpasser bestemmelsen til ændringer i andre bestemmelser, men som ikke påvirker beskyttelsesniveauet for personoplysninger i Det Forenede Kongerige. Desuden indsættes et nyt stk. 4A, der skal sikre virkningen af Section 18(1) i DPA 2018, for at give Secretary of State beføjelse til at fastsætte bestemmelser om de omstændigheder, hvor dataoverførsler anses for nødvendige af hensyn til samfundsinteresser. Endelig sikrer en ny artikel 49A virkningen af Section 18(2) i DPA 2018, som giver Secretary of State mulighed for ved hjælp af regulations at begrænse dataoverførsler, hvis disse ikke er godkendt i henhold til artikel 45A (overførsler godkendt ved regulations), og når det skønnes nødvendigt af hensyn til vigtige samfundsinteresser.

(46)

Med hensyn til gennemførelsen af Det Forenede Kongeriges regler om internationale overførsler er der sket flere ændringer siden vedtagelsen af gennemførelsesafgørelse (EU) 2021/1772.

(47)

Med hensyn til bestemmelser om godkendelse af overførsler er der indtil videre vedtaget to sæt nye bestemmelser, der afspejler tilstrækkelighedsafgørelser, som også gælder inden for Unionen, dvs. for overførsler til Republikken Korea og for overførsler til kommercielle enheder, der har tilsluttet sig udvidelsen af EU-USA-databeskyttelsesrammen til Det Forenede Kongerige. Bestemmelserne om tilstrækkeligheden af beskyttelsesniveauet for Republikken Korea (70) trådte i kraft den 19. december 2022 og tillader overførsel af personoplysninger fra Det Forenede Kongerige til Republikken Korea. Udvidelsen af EU-USA-databeskyttelsesrammen til Det Forenede Kongerige, for hvilken de relevante bestemmelser (71) trådte i kraft den 12. oktober 2023, giver mulighed for fri udveksling af personoplysninger til certificerede amerikanske organisationer.

(48)

Med hensyn til passende garantier har Det Forenede Kongerige offentliggjort sine egne standardkontraktbestemmelser om databeskyttelse, International Data Transfer Agreement (IDTA) (72), og et tillæg til EU's standardkontraktbestemmelser, som begge trådte i kraft i marts 2022. IDTA indeholder en mekanisme, der er specifik for Det Forenede Kongerige, til at sikre de fornødne garantier i forbindelse med overførsel af personoplysninger, og som har flere ligheder med EU's standardkontraktbestemmelser. Tillægget, der er udstedt af ICO, gør det muligt for dataansvarlige og databehandlere i Det Forenede Kongerige ved internationale overførsler at basere sig på EU's standardkontraktbestemmelser inden for rammerne af UK GDPR. ICO har også skabt et værktøj til vurdering af overførselsrisici for at støtte britiske organisationer, når de skal evaluere de risici, der er forbundet med internationale overførsler.

(49)

Det Forenede Kongerige har desuden strømlinet godkendelsesprocessen for bindende virksomhedsregler gennem nye retningslinjer og nye muligheder for at godkende bindende virksomhedsregler. I juli 2022 offentliggjorde ICO retningslinjer og referencetabeller for at forklare Det Forenede Kongeriges tilgang til bindende virksomhedsregler efter brexit, og i december 2023 blev der offentliggjort et tillæg til EU's bindende virksomhedsregler for at sikre, at bindende virksomhedsregler, der er godkendt under EU-rammen, kan håndhæves i Det Forenede Kongerige (73).

(50)

Endelig blev Det Forenede Kongerige i juli 2023 associeret medlem af Global Cross-Border Privacy Rules (CBPR) Forum (74). Det skal bemærkes, at dette medlemskab ikke indebærer nogen lettelse af dataoverførsler fra Det Forenede Kongerige til andre medlemmer af CBPR Forum. Det Forenede Kongerige har præciseret, at enhver overførsel af personoplysninger fra Det Forenede Kongerige til tredjelande eller internationale organisationer skal opfylde betingelserne i Det Forenede Kongeriges lovgivning som beskrevet ovenfor, navnlig databeskyttelsestesten, som kræver, at beskyttelsesstandarderne »ikke er væsentligt lavere« end dem, der er fastsat i UK GDPR.

(51)

Som Kommissionen allerede har forklaret, sikrer CBPR ikke et tilstrækkeligt beskyttelsesniveau for personoplysninger, der stammer fra EU. De sikrer navnlig ikke individuelle rettigheder, der kan håndhæves (75). Det er derfor særlig vigtigt, at CBPR — selv om Det Forenede Kongerige er associeret medlem af Global CBPR Forum — ikke kan udgøre en gyldig overførselsmekanisme i henhold til Det Forenede Kongeriges databeskyttelseslovgivning. Hvis det skulle ændre sig, ville det underminere det beskyttelsesniveau, der i øjeblikket er garanteret for personoplysninger, der overføres fra EU til Det Forenede Kongerige. Kommissionen vil derfor fortsat nøje overvåge den videre udvikling i den henseende.

(52)

Samtidig med at flere elementer i reglerne om automatiske afgørelser, der er vurderet i betragtning 54 til gennemførelsesafgørelse (EU) 2021/1772, bibeholdes, er nogle aspekter af disse regler blevet ændret ved Data (Use and Access) Act.

(53)

For det første fastsætter den nylig indførte artikel 22B i UK GDPR et generelt forbud mod behandling af særlige kategorier af personoplysninger (defineret i artikel 9, stk. 1, i UK GDPR) for afgørelser, der udelukkende er baseret på automatisk behandling, som har væsentlige retlige eller lignende virkninger for den registrerede. Der skitseres imidlertid heri tre undtagelser fra dette forbud: Den registrerede har givet udtrykkeligt samtykke til en sådan behandling, eller afgørelsen er nødvendig for at indgå eller opfylde en kontrakt med den registrerede eller er påkrævet eller tilladt ved lov, eller behandlingen er påkrævet eller tilladt i henhold til loven. Med hensyn til de sidste to undtagelser skal den automatiske behandling være nødvendig af hensyn til væsentlige samfundsinteresser (76). Det generelle forbud gælder ikke for væsentlige afgørelser baseret på automatisk behandling af ikkesærlige kategorier af oplysninger.

(54)

I den nye artikel 22A i UK GDPR præciseres endvidere definitionen af en afgørelse, der »udelukkende er baseret på automatisk behandling«, idet det fastslås, at en sådan afgørelse er en afgørelse, hvor der ikke er nogen meningsfuld menneskelig inddragelse i beslutningsprocessen. Det er vigtigt, at den dataansvarlige er forpligtet til at vurdere, i hvilket omfang profilering bidrager til en afgørelse for at fastslå, om menneskelig inddragelse har været meningsfuld. I artikel 22A i UK GDPR præciseres det også, at en »væsentlig afgørelse« er en afgørelse, der har retsvirkninger eller tilsvarende væsentlige konsekvenser for en registreret (77).

(55)

For det andet pålægger den nylig indførte artikel 22C i UK GDPR dataansvarlige at gennemføre foranstaltninger for at sikre de relevante garantier for enhver væsentlig afgørelse, der helt eller delvist er baseret på personoplysninger, og som udelukkende træffes ved automatisk behandling (herunder ikkesærlige kategorier af personoplysninger). Disse garantier skal omfatte oplysninger til den registrerede om beslutningsprocessen, give den registrerede mulighed for at anfægte afgørelsen og fremsætte bemærkninger samt sikre, at den registrerede kan få menneskelig indgriben i beslutningsprocessen (78).

(56)

Endelig giver den nyligt indførte artikel 22D i UK GDPR Secretary of State beføjelse til at vedtage afledt ret med henblik på at beskrive, hvad der udgør, og hvad der ikke udgør meningsfuld menneskelig inddragelse, og hvilke beslutninger der skal og ikke skal anses for at have en tilsvarende betydelig negativ indvirkning på registrerede. Den gør det også muligt for Secretary of State at vedtage afledt ret med henblik på i) at tilføje nye garantier, ii) indføre krav, der supplerer de eksisterende sikkerhedsforanstaltninger og iii) fastlægge foranstaltninger, der ikke opfylder sikkerhedskravene (79). Det er vigtigt at bemærke, at inden Secretary of State vedtager regulations i overensstemmelse med artikel 22D i UK GDPR, skal vedkommende høre ICO (80), de pågældende regulations må ikke ændre artikel 22C i UK GDPR (81), og de er underlagt proceduren for positiv beslutning (82), hvilket betyder, at de skal godkendes af begge kamre i Det Forenede Kongeriges parlament, inden de kan vedtages.

(57)

Selv om Data (Use and Access) Act således har ændret rammen for automatiske afgørelser, er det vigtigt at bemærke, at automatiske afgørelser i henhold til Det Forenede Kongeriges retlige ramme fortsat er underlagt de centrale garantier, der sikrer retten til menneskelig indgriben i alle tilfælde af væsentlige beslutninger, der udelukkende er baseret på automatisk behandling, dvs. på grundlag af behandling af følsomme og ikkefølsomme personoplysninger (83). Som Kommissionen har bemærket i tidligere afgørelser om tilstrækkeligheden af beskyttelsesniveauet (84), vil de specifikke regler om automatiske afgørelser i UK GDPR sandsynligvis ikke påvirke beskyttelsesniveauet for personoplysninger, der overføres fra Unionen til Det Forenede Kongerige. I forbindelse med personoplysninger, der er blevet indsamlet i Unionen, vil enhver beslutning baseret på automatisk behandling imidlertid typisk blive truffet af den dataansvarlige i Unionen (som har en direkte relation til den berørte registrerede), og den vil således være omfattet af forordning (EU) 2016/679.

(58)

I Det Forenede Kongerige foretages tilsynet med og håndhævelsen af overholdelsen af databeskyttelsesrammen fortsat af en uafhængig tilsynsmyndighed for databeskyttelse, som det fremgår af betragtning 85-91 til gennemførelsesafgørelse (EU) 2021/1772. Ved Data (Use and Access) Act ændres denne myndigheds forvaltningsstruktur, idet der oprettes et myndighedsorgan, Information Commission, som vil erstatte ICO, der var struktureret som en »Corporation Sole« (en særskilt juridisk enhed bestående af en enkelt person).

(59)

Mere specifikt vil de forvaltningsforanstaltninger, der er fastsat i Data (Use and Access) Act, når de er gennemført, afskaffe Information Commissioners kontor og overføre funktioner, personale og ejendom fra Information Commissioner til det nye organ, Information Commission. Information Commission består af ledende og menige medlemmer (85). Loven indeholder også bestemmelser om, at Information Commissioner skal overgå til at være formand for Information Commission, som er et af de menige medlemmer (86). I Data (Use and Access) Act bestemmes det endvidere, at henvisninger til Information Commissioner i alle retsakter eller andre dokumenter (uanset hvornår de er vedtaget eller udarbejdet) skal behandles som henvisninger til Information Commission, i det omfang det er hensigtsmæssigt som følge af overdragelsen af funktioner. Information Commission kan med henblik på udførelsen af sine opgaver nedsætte udvalg og delegere funktioner til et medlem, en ansat eller et udvalg i Information Commission (87) og kan træffe foranstaltninger til at regulere sin forretningsorden og udvalgenes forretningsorden, herunder med hensyn til beslutningsdygtighed og flertalsafgørelser. Disse forretningsordner skal offentliggøres (88).

(60)

Det skal bemærkes, at Information Commissions uafhængighed er underlagt de samme garantier, herunder med hensyn til reglerne om udnævnelse og afskedigelse af formanden, som de garantier, der vurderes i betragtning 87-90 til gennemførelsesafgørelse (EU) 2021/1772 (89). Lignende beskyttelsesforanstaltninger gælder for de øvrige menige medlemmer af Information Commission. Navnlig udnævnes formanden for Information Commission af kongen efter indstilling fra Secretary of State. Vedkommende udvælges på grundlag af sine kvalifikationer og på grundlag af en fair og åben udvælgelsesprøve (90). De øvrige menige medlemmer udnævnes af ministeren efter samråd med formanden. Kandidater kan kun indstilles til udnævnelse eller udnævnes, hvis de udvælges på grundlag af kvalifikationer og efter en fair og åben udvælgelsesprøve, og hvis Secretary of State finder det godtgjort, at de ikke har en interessekonflikt (91). De ledende medlemmer er ansatte i Information Commission, der er ansat på de vilkår og betingelser, der fastsættes af de menige medlemmer (92). Den daglige leder udnævnes af formanden og andre menige medlemmer efter samråd med Secretary of State. Udnævnelsen af de ledende medlemmer sker også efter en udvælgelse på grundlag af kvalifikationer og en fair og åben udvælgelsesprøve (93).

(61)

Formanden kan kun afskediges af kongen efter forslag (»Address«) fra begge parlamentets kamre, og kun hvis Secretary of State har forelagt en rapport for det pågældende kammer, hvoraf det fremgår, at Secretary of State finder det godtgjort, at formanden har begået en alvorlig forseelse, befinder sig i en interessekonflikt, har undladt at opfylde specifikke oplysningskrav med hensyn til potentielle interessekonflikter eller er ude af stand til, uegnet til eller uvillig til at varetage formandens funktioner (94). Secretary of State kan kun afsætte menige medlemmer, hvis vedkommende finder det godtgjort, at de særlige betingelser i lovgivningen er opfyldt. Disse omfatter interessekonflikter, alvorlige forseelser eller manglende evne eller vilje eller uegnethed til at udføre sine opgaver. Med hensyn til yderligere garantier er Secretary of State forpligtet til at offentliggøre afgørelsen herom og give medlemmet en begrundelse for afsættelsen (95).

(62)

Information Commissions primære rolle vil fortsat være at overvåge og håndhæve databeskyttelsesrammen i Det Forenede Kongerige »for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder« (96). Med hensyn til Information Commissions funktion med at sikre et passende beskyttelsesniveau for personoplysninger kræves det specifikt i Data (Use and Access) Act, at Information Commission vil tage hensyn til registreredes, dataansvarliges og andres interesser samt spørgsmål af almen interesse og fremmer offentlighedens tillid og tiltro til behandlingen af personoplysninger (97). Disse mål er også nævnt i betragtning 7 til forordning (EU) 2016/679.

(63)

Desuden præciseres det i Data (Use and Access) Act, at Information Commission skal tage hensyn til fremme af innovation og konkurrence, betydningen af forebyggelse, efterforskning, opdagelse og retsforfølgning af strafbare handlinger, behovet for at beskytte den offentlige sikkerhed og den nationale sikkerhed og de specifikke behov i forbindelse med beskyttelse af børn, når den udfører sine opgaver i henhold til databeskyttelseslovgivningen (98). I EU's databeskyttelseslovgivning anerkendes også behovet for at opveje beskyttelsen af personoplysninger mod flere andre grundlæggende rettigheder og mål såsom økonomiske og sociale fremskridt, sikkerhed og retfærdighed og friheden til at oprette og drive egen virksomhed (99).

(64)

Information Commissions beføjelser og opgaver svarer fortsat til dem, der er tillagt medlemsstaternes databeskyttelsestilsynsmyndigheder i henhold til de relevante artikler i forordning (EU) 2016/679 (100), som vurderet i betragtning 91-95 til gennemførelsesafgørelse (EU) 2021/1772.

(65)

Data (Use and Access) Act har indført visse præciseringer vedrørende udøvelsen af nogle af disse beføjelser.

(66)

På den ene side præciserer Data (Use and Access) Act Information Commissions mulighed for at kræve specifikke »dokumenter« og »oplysninger«, når den anvender beføjelsen til at anmode om oplysninger (101). På den anden side indføres der ved Data (Use and Access) Act nye indberetningsforpligtelser for Information Commission: en ny beføjelse til at kræve en rapport (102) og en ny beføjelse til at udstede »interviewbekendtgørelser« til dataansvarlige i tilfælde af mistanke om overtrædelse af UK GDPR eller DPA 2018 (103).

(67)

Med hensyn til Information Commissions udøvelse af disse beføjelser har Information Commissioner siden ikrafttrædelsen af gennemførelsesafgørelse (EU) 2021/1772 behandlet ca. 40 000 klager fra registrerede om året, hvilket svarer til det antal klager, der blev behandlet, da Det Forenede Kongerige stadig var en del af Unionen og anvendte forordning (EU) 2016/679 (104). ICO gennemførte også undersøgelser på eget initiativ, der dækkede en bred vifte af sektor- og overholdelsesspørgsmål, herunder registreredes rettigheder (105).

(68)

Med hensyn til håndhævelsesforanstaltninger har Information Commissioner siden ikrafttrædelsen af gennemførelsesafgørelse (EU) 2021/1772 udstedt 120 irettesættelser, 32 informationsmeddelelser, 3 vurderingsmeddelelser, 12 håndhævelsesmeddelelser, 2 advarsler og 12 bøder (106). Der er bl.a. tale om adskillige betydelige økonomiske sanktioner, som er pålagt i henhold til UK GDPR og DPA 2018. I april 2023 udstedte Information Commissioner f.eks. en bøde på 12,7 mio. GBP til en social medieplatform for misbrug af børns data (107). I marts 2025 blev en softwarevirksomhed idømt en bøde på 3,07 mio. GBP for sikkerhedsfejl, der bragte mere end 70 000 personers personlige oplysninger i fare (108). For ganske nylig, i juni 2025, idømte Information Commissioner en genetisk testvirksomhed en bøde på 2,31 mio. GBP for ikke at have gennemført passende sikkerhedsforanstaltninger til beskyttelse af britiske brugeres personoplysninger efter et omfattende cyberangreb i 2023 (109).

(69)

Siden vedtagelsen af gennemførelsesafgørelse (EU) 2021/1772 har Information Commissioner's Office også udviklet og offentliggjort et betydeligt antal retningslinjer, udtalelser og andre vejledningsdokumenter, som præciserer anvendelsen af databeskyttelsesregler på vigtige områder, herunder ansigtsgenkendelse, fairness i forbindelse med kunstig intelligens, børns data, direkte markedsføring, videoovervågning, retten til indsigt, gennemsigtighed inden for sundheds- og socialområdet osv., for forskellige målgrupper, herunder små og mellemstore virksomheder og specifikke enheder såsom skoler, børnehaver eller små offentlige myndigheder, samt for virksomheder generelt, offentligheden eller registrerede (110).

(70)

Det Forenede Kongerige er fortsat medlem af Europarådet, har tilsluttet sig den europæiske menneskerettighedskonvention og er underlagt Den Europæiske Menneskerettighedsdomstols jurisdiktion. Det er derfor fortsat underlagt de forpligtelser, der er fastlagt i folkeretten, som beskrevet i betragtning 116-119 til gennemførelsesafgørelse (EU) 2021/1772, som fastlægger rammerne for dets system for myndighedsadgang til personoplysninger på grundlag af principper, garantier og individuelle rettigheder, der er identiske med dem, der gælder for de 27 medlemsstater som parter i EMRK, og som i vid udstrækning afspejles i Den Europæiske Unions Domstols relevante retspraksis.

(71)

Specifikke databeskyttelsesgarantier og -rettigheder fortsætter med at være garanteret af DPA 2018, når data behandles af Det Forenede Kongeriges offentlige myndigheder, herunder retshåndhævende myndigheder og nationale sikkerhedsorganer, som analyseret i betragtning 121-132 til gennemførelsesafgørelse (EU) 2021/1772. Data (Use and Access) Act omfatter kun begrænsede og målrettede ændringer af de dele af DPA 2018, der fastsætter reglerne for behandling af personoplysninger i forbindelse med strafferetlig håndhævelse (Part 3 i DPA 2018) og national sikkerhed (Part 4 i DPA 2018).

(72)

Med hensyn til de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, fastsætter Part 3 i DPA 2018 fortsat principper, rettigheder og forpligtelser, der svarer til dem, der er fastsat i direktiv (EU) 2016/680 (111).

(73)

På datoen for vedtagelsen af denne afgørelse har Kommissionen vedtaget en afgørelse på grundlag af artikel 36, stk. 3, i direktiv (EU) 2016/680, hvori det fastslås, at den databeskyttelsesordning, der gælder for Det Forenede Kongeriges strafferetshåndhævende myndigheders behandling af oplysninger, sikrer et beskyttelsesniveau, som i det væsentlige svarer til det, der sikres ved direktiv (EU) 2016/680.

(74)

Data (Use and Access) Act har ændret og konsolideret de eksisterende undtagelser i Part 3 i DPA 2018, som de kompetente myndigheder har adgang til af hensyn til den nationale sikkerhed. Undtagelsen vedrørende den nationale sikkerhed giver de kompetente myndigheder mulighed for at undlade at anvende visse bestemmelser i Part 3 i DPA 2018, hvis en undtagelse fra denne bestemmelse er nødvendig af hensyn til beskyttelsen af den nationale sikkerhed (112). Den afspejler de nationale sikkerhedsundtagelser, der er fastsat for behandling af personoplysninger i henhold til UK GDPR (fastsat i Section 26 i DPA 2018) og i henhold til Part 4 i DPA 2018 (fastsat i Section 110 i DPA 2018).

(75)

Undtagelsen vedrørende statens sikkerhed er underlagt de samme begrænsninger og garantier som undtagelserne i UK GDPR og Part 4 i DPA 2018 som analyseret i betragtning 64–67 og 126 til gennemførelsesafgørelse (EU) 2021/1772. Undtagelsen kan navnlig kun anvendes i det omfang, den er nødvendig for at beskytte statens sikkerhed. Det er ikke en generel undtagelse, og den skal overvejes og påberåbes af den dataansvarlige fra sag til sag (113). Desuden skal enhver anvendelse af undtagelsen være i overensstemmelse med standarderne for menneskerettigheder (understøttet af Human Rights Act 1998), ifølge hvilken ethvert indgreb i retten til privatlivets fred skal være nødvendig og forholdsmæssig i et demokratisk samfund (114). Dette bekræftes også i ICO's vejledning om anvendelsen af nationale sikkerhedsundtagelser (115).

(76)

På grundlag af de ændringer, der blev indført ved Data (Use and Access) Act (116), kan en specifik behandlingsaktivitet, der udføres af strafferetshåndhævende myndigheder, desuden også være omfattet af bestemmelserne i Part 4 i DPA 2018, som normalt kun finder anvendelse på behandling af oplysninger foretaget af nationale sikkerhedsmyndigheder.

(77)

Selv om databeskyttelsesordningen for national sikkerhedsbehandling således i visse situationer også udvides til at omfatte databehandling foretaget af strafferetshåndhævende myndigheder, er dette kun tilfældet under specifikke omstændigheder og er underlagt strenge betingelser og garantier, dvs. hvis i) en kompetent myndighed er angivet som »kvalificeret kompetent myndighed« i regulations udstedt af Secretary of State, som kræver parlamentarisk godkendelse (117), og ii) Secretary of State ved meddelelse udpeger en specifik behandlingsaktivitet, der udføres af den kvalificerede kompetente myndighed. Det skal bemærkes, at en sådan udpegelse kun kan finde sted, hvis Secretary of State finder, at udpegelsen af behandlingsaktiviteten er nødvendig af hensyn til beskyttelsen af den nationale sikkerhed, dvs. hvor en strafferetshåndhævende myndighed handler af hensyn til den nationale sikkerhed, og behandlingsaktiviteten udføres af den kvalificerede kompetente myndighed som fælles dataansvarlig med mindst én efterretningstjeneste (118). Som yderligere garantier skal Secretary of State høre Commissioner, inden der gives meddelelse om udpegelse (119), teksten til meddelelsen skal i princippet offentliggøres (120), og en person, der er direkte berørt af en meddelelse om udpegelse, kan anmode om domstolsprøvelse (121). Dette ændringsforslag har derfor i det væsentlige til formål at præcisere, at databeskyttelsesordningen for nationale sikkerhedstjenester kan finde anvendelse, når Det Forenede Kongeriges myndigheder har kompetencer inden for både retshåndhævelse og national sikkerhed og behandler data i forbindelse med disse ansvarsområder.

(78)

Del 4 i DPA 2018 regulerer databehandling, der foretages af Det Forenede Kongeriges efterretningstjenester. Heri fastsættes fortsat de vigtigste databeskyttelsesprincipper, pålægges betingelser for behandlingen af særlige kategorier af oplysninger, sikres registreredes rettigheder, kræves der indbygget databeskyttelse og reguleres overførsler af personoplysninger, som det er beskrevet i betragtning 125-132 til gennemførelsesafgørelse (EU) 2021/1772.

(79)

De ændringer af denne ordning, der er indført ved Data (Use and Access) Act, er begrænsede. Med hensyn til de registreredes ret til indsigt, som er fastsat i Section 94 i DPA 2018, indfører Data (Use and Access) Act et nyt underafsnit (2A), der præciserer, at den registrerede kun har ret til de relevante oplysninger, i det omfang den dataansvarlige er i stand til at give dem på grundlag af en rimelig og forholdsmæssig søgning (122). Som forklaret i betragtning 35 omhandler denne ændring retten til indsigt på grundlag af etablerede retlige standarder, som også tager hensyn til den registreredes interesser. På området automatiske afgørelser er det fortsat forbudt for dataansvarlige at træffe en afgørelse, der i væsentlig grad berører en registreret, og som udelukkende er baseret på automatisk behandling af personoplysninger om den registrerede, medmindre en sådan afgørelse er påkrævet eller tilladt ved lov, den registrerede har givet samtykke til, at afgørelsen træffes på dette grundlag, eller afgørelsen træffes i forbindelse med en kontrakt (123), men Data (Use and Access) Act indfører i Part 4 i DPA 2018 (124) samme definition af begrebet »afgørelser, der udelukkende er baseret på automatisk behandling«, som er indeholdt i artikel 22A i UK GDPR og analyseret i betragtning 53 til denne afgørelse.

(80)

Det Forenede Kongeriges lovgivning pålægger fortsat væsentlige begrænsninger for adgangen til og brugen af personoplysninger til strafferetlig håndhævelse og indeholder tilsyns- og klagemekanismer på dette område, som er analyseret i betragtning 134-174 til gennemførelsesafgørelse (EU) 2021/1772.

(81)

Indsamling af personoplysninger fra erhvervsdrivende i Det Forenede Kongerige med henblik på strafferetlig håndhævelse er fortsat tilladt i Det Forenede Kongeriges retsorden på grundlag af ransagningskendelser og editionskendelser, med forbehold af de betingelser og garantier, der er beskrevet i betragtning 135-138 til gennemførelsesafgørelse (EU) 2021/1772.

(82)

Desuden har National Security Act 2023 (125), som har til formål at imødegå trusler mod den nationale sikkerhed gennem spionage, sabotage og personer, der handler på vegne af fremmede magter, indført nye beføjelser til adgang, ransagning og beslaglæggelse for politiet i Det Forenede Kongerige, herunder mulighed for at indhente personoplysninger, hvis der er begrundet mistanke om, at der vil blive indhentet materiale, som sandsynligvis vil være bevis for, at en af de mere alvorlige lovovertrædelser eller trusselsaktiviteter fra fremmede magter i henhold til National Security Act 2023 er blevet begået eller er ved at blive begået (126). Disse beføjelser er underlagt lignende betingelser og garantier som dem, der er analyseret i gennemførelsesafgørelse (EU) 2021/1772 for de beføjelser, der eksisterede på daværende tidspunkt. Anvendelsen af disse beføjelser skal navnlig være godkendt ved en kendelse, en editionskendelse eller en forklaringskendelse afsagt af en uafhængig retslig myndighed, efter anmodning fra politiet/efterforskeren (127). Der findes en særlig beskyttelse af fortroligt materiale, herunder journalistisk materiale og genstande, der er omfattet af retten til fortrolighed mellem advokat og klient (128). Tilsvarende skal udstedelsen af oplysningskendelser (129), kundeoplysningskendelser (130) og kontoovervågningskendelser (131), der også er indført ved National Security Act 2023, godkendes af en dommer efter anmodning fra en relevant embedsmand og er underlagt specifikke betingelser og garantier, herunder at kendelsen søges med henblik på en bestemt person i forbindelse med en undersøgelse af trusselsaktiviteter fra fremmede magter, at kendelsen vil øge efterforskningens effektivitet, og at den ikke anvendes til at indhente oplysninger, der er retligt privilegerede eller på anden måde undtaget, f.eks. journalistisk materiale og visse helbredsoplysninger (132).

(83)

Som beskrevet i betragtning 139-141 til gennemførelsesafgørelse (EU) 2021/1772 kan specifikke retshåndhævende myndigheder, der er omfattet af Det Forenede Kongeriges retlige ramme, f.eks. National Crime Agency eller Metropolitan Police Service, også anvende målrettede efterforskningsbeføjelser i henhold til Investigatory Powers Act 2016 (IPA 2016) (133) med henblik på at forebygge eller opdage alvorlige forbrydelser. De specifikke efterforskningsbeføjelser, som disse retshåndhævende myndigheder kan påberåbe sig, er målrettet aflytning (Part 2 i IPA 2016), indsamling af kommunikationsdata (Part 3 i IPA 2016) og målrettet indgreb i udstyr (Part 5 i IPA 2016). Hvis Secretary of State udsteder »retention notices« i henhold til Part 4 i IPA 2016, kan de retshåndhævende myndigheder også drage fordel af at få adgang til de lagrede kommunikationsdata gennem beføjelser til at indsamle kommunikationsdata i henhold til Part 3 i IPA 2016.

(84)

Efter vedtagelsen af gennemførelsesafgørelse (EU) 2021/1772 udgør IPA 2016 sammen med Regulation of Investigatory Powers Act 2000 (RIPA) for England, Wales og Nordirland og Regulation of Investigatory Powers (Scotland) Act 2000 (RIPSA) for Skotland fortsat retsgrundlaget og fastsætter de gældende begrænsninger og garantier for anvendelsen af sådanne beføjelser, jf. gennemførelsesafgørelse (EU) 2021/1772. Det skal bemærkes, at den retlige ramme fortsat kræver, at myndighederne — for at udøve disse beføjelser — skal indhente en kendelse (134) afsagt af en kompetent myndighed (135) og godkendt af en uafhængig Judicial Commissioner (136) (den såkaldte »double-lock«-procedure). For at indhente en sådan kendelse skal der fortsat foretages en nødvendigheds- og proportionalitetstest (137).

(85)

Siden vedtagelsen af gennemførelsesafgørelse (EU) 2021/1772 har Investigatory Powers (Amendment) Act 2024, som blev stadfæstet i april 2024, samtidig ændret visse specifikke elementer i IPA 2016 (138). I det omfang disse ændringer og anden relevant udvikling vedrører betingelserne, begrænsningerne og garantierne for de offentlige myndigheders anvendelse af ovennævnte specifikke efterforskningsbeføjelser i Det Forenede Kongerige med henblik på strafferetlig håndhævelse, som vurderet i betragtning 177-215 til gennemførelsesafgørelse (EU) 2021/1772, analyseres de i de følgende afsnit. Med hensyn til de elementer i Det Forenede Kongeriges ramme, der ikke er blevet ændret ved ovennævnte retsakt eller påvirket af anden relevant udvikling, er analysen i gennemførelsesafgørelse (EU) 2021/1772 fortsat gyldig.

(86)

Med hensyn til målrettet indsamling og opbevaring af kommunikationsdata (139) er betingelserne og garantierne for disse beføjelser, som de er vurderet i gennemførelsesafgørelse (EU) 2021/1772, fortsat gældende. Investigatory Powers (Amendment) Act 2024 præciserede de eksisterende garantier ved at indføre en liste over eksempler i Section 11 i IPA 2016 (hvori det fastsættes, at det udgør en lovovertrædelse på ulovlig vis at indhente kommunikationsdata fra en telekommunikationsoperatør) på, hvad der forstås ved at være omfattet af »lovlig bemyndigelse« i denne bestemmelse (140). Desuden præciserede Investigatory Powers (Amendment) Act 2024 definitionen af kommunikationsdata i Section 261 i IPA 2016 yderligere ved udtrykkeligt at fastslå, at abonnentoplysninger betragtes som kommunikationsdata (141).

(87)

Udstedelse af meddelelser med krav om opbevaring af kommunikationsdata (retention notices) (142) er fortsat underlagt de begrænsninger og garantier, der er omhandlet i betragtning 208 og 209 til gennemførelsesafgørelse (EU) 2021/1772, navnlig krav om nødvendighed og proportionalitet samt godkendelse af en uafhængig Judicial Commissioner. Mens Investigatory Powers (Amendment) Act 2024 indførte muligheden for at forny sådanne retention notices, er enhver fornyelse underlagt de samme betingelser om nødvendighed og proportionalitet samt godkendelse af Judicial Commissioner (143).

(88)

Med hensyn til kommunikationsdata ændrede Investigatory Powers (Amendment) Act 2024 også definitionen af en teleoperatør, dvs. de mulige modtagere af en »retention notice.«. Denne definition omfatter nu enhver person, der »kontrollerer eller leverer et telekommunikationssystem, som i) ikke (helt eller delvist) er i eller kontrolleres fra Det Forenede Kongerige, og ii) anvendes af en anden person til at tilbyde eller levere en telekommunikationstjeneste til personer i Det Forenede Kongerige« (144). Det er vigtigt at bemærke, at den ændrede definition fortsat kræver, at der er en tæt forbindelse til det britiske marked. I ændringsforslaget præciseres det således, at store virksomheder med komplekse virksomhedsstrukturer i deres helhed er omfattet af IPA 2016, uden at anvendelsesområdet for definitionen udvides til at omfatte udbydere af telekommunikationstjenester, der ikke er rettet mod personer i Det Forenede Kongerige. Dette bekræftes også i de forklarende bemærkninger til Investigatory Powers (Amendment) Act 2024, hvori det hedder, at dette ændringsforslag ikke til formål at lade yderligere virksomheder være omfattet af de relevante beføjelser i henhold til IPA 2016 (145), men at det i det væsentlige har en afklarende funktion.

(89)

Endelig blev der med Investigatory Powers (Amendment) Act 2024 indført målrettede ændringer af proceduren for udstedelse af kendelser, herunder med hensyn til målrettet aflytning og målrettet indgreb i udstyr, dvs. beføjelser, som også kan anvendes af specifikke retshåndhævende myndigheder i Det Forenede Kongerige med henblik på at forebygge eller opdage grove forbrydelser. Ændringerne vedrører kun den særlige situation, hvor disse beføjelser anvendes til at få adgang til meddelelser eller indhente private oplysninger om en person, der er medlem af en relevant lovgivende forsamling (146). Kendelser i forbindelse med målrettet aflytning og indgreb i udstyr kan normalt træffes af Secretary of State og godkendes af en Judicial Commissioner (se betragtning 186-196 og 210-215 til gennemførelsesafgørelse (EU) 2021/1772), men premierministerens godkendelse er i henhold til Section 26 og 111 i IPA også påkrævet, når kendelsen vedrører et parlamentsmedlem eller et medlem af en anden relevant lovgivende forsamling (den såkaldte »triple-lock«-procedure). Investigatory Powers (Amendment) Act 2024 giver nu premierministeren mulighed for at udpege fem Secretaries of State, som får beføjelse til at udøve premierministerens beføjelse til at godkende disse kendelser, forudsat at der er et presserende behov for godkendelse, og at premierministeren ikke kan godkende dem på grund af lægelig inhabilitet eller manglende adgang til sikker kommunikation. Det skal bemærkes, at begrænsningerne og garantierne med hensyn til at træffe disse kendelser som beskrevet i ovennævnte betragtninger til gennemførelsesafgørelse (EU) 2021/1772 fortsat er gældende.

(90)

En retshåndhævende myndigheds deling af oplysninger med en anden myndighed til andre formål end dem, hvortil de oprindeligt blev indsamlet (såkaldt »videredeling«), er fortsat underlagt de betingelser, der er analyseret i betragtning 142-156 til gennemførelsesafgørelse (EU) 2021/1772.

(91)

For så vidt angår den særlige situation med videreoverførsler fra Det Forenede Kongerige til USA, er »Agreement between the Government of the United Kingdom of Great Britain and Northern Ireland and the Government of the United States of America on Access to Electronic Data for the Purpose of Countering Serious Crime« (aftalen mellem Det Forenede Kongerige og USA) (147), som blev indgået i oktober 2019, trådt i kraft og blevet gennemført siden oktober 2022. I henhold til aftalen mellem Det Forenede Kongerige og USA kan oplysninger, der overføres fra EU til tjenesteudbydere i Det Forenede Kongerige, være genstand for kendelser om fremlæggelse af bevismateriale udstedt af kompetente amerikanske retshåndhævende myndigheder og gjort gældende i Det Forenede Kongerige.

(92)

Det skal bemærkes, at de betingelser og garantier, hvorunder sådanne kendelser kan træffes og fuldbyrdes, som vurderet i betragtning 154 til gennemførelsesafgørelse (EU) 2021/1772, fortsat finder anvendelse. Navnlig er data, der er indhentet i henhold til aftalen, omfattet af beskyttelse svarende til de specifikke garantier, der er fastsat i paraplyaftalen mellem EU og USA (148), som alle er indarbejdet i aftalen mellem Det Forenede Kongerige og USA ved henvisning med de fornødne ændringer (149).

(93)

Siden vedtagelsen af gennemførelsesafgørelse (EU) 2021/1772 har Det Forenede Kongerige forklaret, at det bl.a. via samarbejde med de relevante parter i forbindelse med gennemførelsen af aftalen mellem Det Forenede Kongerige og USA har præciseret, hvordan de specifikke garantier i paraplyaftalen, der er udformet med henblik på retshåndhævende samarbejde, tilpasses og anvendes på de specifikke overførsler, der er omfattet af aftalen mellem Det Forenede Kongerige og USA. Det Forenede Kongerige har navnlig forklaret, at bestemmelserne i paraplyaftalen, der tildeler den relevante kompetente myndighed en rolle (som ikke findes i en situation med direkte samarbejde mellem en tjenesteudbyder fra Det Forenede Kongerige og en retshåndhævende myndighed i USA), fortolkes med de fornødne ændringer som en henvisning til den relevante parts udpegede myndighed (som defineret i aftalen mellem Det Forenede Kongerige og USA) (150).

(94)

Det Forenede Kongerige har f.eks. forklaret, at bestemmelsen om underretning om en informationssikkerhedshændelse i henhold til artikel 10 i paraplyaftalen mellem EU og USA, som kræver underretning af den overførende kompetente myndighed, finder tilsvarende anvendelse, således at underretningen skal foretages til den udpegede myndighed for den part, hvorfra oplysningerne blev overført.

(95)

Med hensyn til tilladelsen fra den overførende kompetente myndighed forud for enhver videreoverførsel af personoplysninger i henhold til paraplyaftalens artikel 7 har Det Forenede Kongerige præciseret, at det vil anvende denne bestemmelse med de fornødne ændringer, således at den udpegede myndighed i den part, hvorfra dataene blev overført, skal give tilladelse til enhver videreoverførsel.

(96)

Med hensyn til forpligtelserne i henhold til paraplyaftalens artikel 8 om opretholdelse af oplysningernes kvalitet og integritet vil en tilsvarende fortolkning af bestemmelsen gøre den udpegede myndighed i den part, der modtager dataene, ansvarlig for at holde kontakt med den udbyder, der har overført dataene, i tilfælde af problemer med datakvaliteten og -integriteten.

(97)

Med hensyn til domstolsprøvelse har Det Forenede Kongerige fremhævet, at overførsler i henhold til aftalen mellem Det Forenede Kongerige og USA altid vil involvere den udpegede myndighed for hver part. Hvis USA er den part, der modtager data fra tjenesteudbydere i Det Forenede Kongerige, vil det amerikanske Department of Justice fungere som den udpegede myndighed. Ifølge Det Forenede Kongeriges fortolkning vil det amerikanske Department of Justice derfor i hver anmodning, der fremsættes på grundlag af aftalen mellem Det Forenede Kongerige og USA, blive inddraget som en føderal myndighed, der er udpeget i henhold til US Judicial Redress Act, og der kan således anvendes retsmidler mod Department of Justice i overensstemmelse med paraplyaftalens artikel 19. Desuden har Det Forenede Kongerige over for Kommissionens tjenestegrene bekræftet, at Judicial Redress Act ikke er den eneste mekanisme til at søge retslig prøvelse. Afhængigt af omstændighederne og konteksten i den konkrete sag giver andre gældende amerikanske love alternative muligheder for at søge retslig prøvelse.

(98)

Afhængigt af de beføjelser, som de kompetente myndigheder anvender i forbindelse med behandling af personoplysninger med henblik på retshåndhævelse (uanset om det er i henhold til DPA 2018 eller IPA 2016), sikrer forskellige organer fortsat tilsynet med anvendelsen af disse beføjelser, som vurderet i betragtning 158-174 til gennemførelsesafgørelse (EU) 2021/1772, og der er fortsat klagemekanismer til rådighed i henhold til Part 3 i DPA 2018, IPA 2016 og Human Rights Act 1998, som analyseret i betragtning 250-269 til gennemførelsesafgørelse (EU) 2021/1772.

(99)

Med hensyn til tilsynet med Part 3 i DPA 2018 analyseres Information Commissions funktioner og beføjelser i betragtning 158-160 og 162 til gennemførelsesafgørelse (EU) 2021/1772 med forbehold af de ændringer, der er indført ved Data (Use and Access) Act som beskrevet i afsnit 2.3.1 og 2.3.2 i denne afgørelse.

(100)

Med hensyn til gennemførelsen af disse beføjelser har Information Commissioner siden vedtagelsen af gennemførelsesafgørelse (EU) 2021/1772 behandlet en lang række klager (151) og gennemført flere undersøgelser samt truffet håndhævelsesforanstaltninger med hensyn til retshåndhævende myndigheders behandling af data. Mellem 2021 og 2025 gennemførte Information Commissioner undersøgelser og udtalte kritik af forskellige politiorganer for forskellige tilfælde af manglende overholdelse af deres databeskyttelsesforpligtelser, f.eks. ved besvarelse af anmodninger om adgang til data, ved indførelse af sikkerhedsforanstaltninger for videoovervågningsdata, ved håndtering af følsomme oplysninger fra strafferegistre, ved sammenlægning af forskellige personers oplysninger eller ved videregivelse af personoplysninger til tredjeparter (152). Information Commissioner udsendte også retningslinjer, udtalelser og vejledninger, f.eks. om retten til indsigt eller om, hvordan åbenbart grundløse eller overdrevne anmodninger i henhold til Part 3 i DPA 2018 skal behandles (153).

(101)

Med hensyn til anvendelsen af efterforskningsbeføjelser i henhold til IPA 2016 varetages det uafhængige og retlige tilsyn fortsat af Investigatory Powers Commissioner (IPC) med bistand fra andre Judicial Commissioners, der samlet benævnes Judicial Commissioners (154). På dette område har Investigatory Powers (Amendments) Act 2024 kun medført begrænsede og målrettede ændringer, som ikke berører Judicial Commissioners' uafhængighed, opgaver og beføjelser, men som har til formål at styrke den eksisterende tilsynsordnings funktion i praksis, navnlig gennem indførelse af stedfortrædende IPC'er, som IPC kan delegere specifikke beføjelser til, når de ikke er i stand til eller ikke er til rådighed for at udføre deres opgaver. Sådanne stedfortrædende IPC'er skal være Judicial Commissioners og udnævnes af IPC (155).

(102)

Med hensyn til efterforskningsbeføjelser udøvet i forbindelse med den nationale sikkerhed udgør IPA 2016 fortsat den retlige ramme for anvendelsen af disse beføjelser. Ud over ændringerne vedrørende målrettede efterforskningsbeføjelser, som visse retshåndhævende myndigheder også kan påberåbe sig på særlige betingelser, jf. betragtning 77-85 til denne afgørelse, omfatter Investigatory Powers (Amendment) Act 2024 også ændringer af en af de beføjelser, der er fastsat i IPA 2016, og som kan masseudøves.

(103)

Mere specifikt er der med Investigatory Powers (Amendment) Act 2024 i den nye Part 7A i IPA 2016 indført en særlig ordning for opbevaring og undersøgelse af en specifik delmængde af datasæt med massepersonoplysninger (156), dvs. for de datasæt, for hvilke de personer, som personoplysningerne vedrører, ikke kan have nogen eller kun en lav rimelig forventning om beskyttelse af privatlivets fred i forhold til oplysningerne (157). Hvorvidt massepersonoplysninger er en del af denne specifikke delmængde af datasæt eller ej, afgøres af chefen for efterretningstjenesten på grundlag af alle omstændigheder, navnlig i) oplysningernes art, ii) i hvilket omfang oplysningerne er blevet offentliggjort af de pågældende personer, eller de pågældende personer har givet samtykke til, at oplysningerne offentliggøres, iii) hvis oplysningerne er blevet offentliggjort, i hvilket omfang de er blevet offentliggjort under redaktionel kontrol eller af en person, der handler i overensstemmelse med faglige standarder, iv) hvis oplysningerne er blevet offentliggjort eller på anden måde er offentligt tilgængelige, i hvilket omfang oplysningerne er almindeligt kendt, og v) i hvilket omfang oplysningerne allerede er blevet anvendt offentligt (158).

(104)

Det skal bemærkes, at den ordning, der er vurderet i betragtning 239 og 240 til gennemførelsesafgørelse (EU) 2021/1772, for så vidt angår opbevaring og undersøgelse af datasæt med massepersonoplysninger, som ikke falder ind under denne kategori, dvs. dem, der er mere følsomme, og som derfor medfører en rimelig forventning om beskyttelse af privatlivets fred, fortsat er gældende, navnlig kravet om en kendelse, der først skal godkendes af Secretary of State og derefter af Judicial Commissioner, under forudsætning af kravene om foranstaltningens nødvendighed og proportionalitet omhandlet i Part 7 i IPA 2016 (159).

(105)

Part 7A i IPA 2016 indeholder to typer tilladelser: individuel tilladelse og kategoritilladelse. Opbevaring eller opbevaring og undersøgelse af alle datasæt med massepersonoplysninger, der opbevares i henhold til Part 7A, skal tillades i henhold til en af disse tilladelser. Begge tilladelser kræver i princippet (160) en tilladelse fra chefen for efterretningstjenesten (eller en person, der handler på dennes vegne) og godkendelse fra en uafhængig Judicial Commissioner (161). En individuel tilladelse gives af chefen for en efterretningstjeneste på de betingelser, der er fastsat i Section 226B(4) i IPA 2016, og med forbehold af Judicial Commissioners forudgående godkendelse. Judicial Commissioner skal gennemgå konklusionerne fra den person, der har udstedt tilladelsen, med hensyn til, om Section 226A, dvs. lav eller ingen rimelig forventning, hvad angår kravet om beskyttelse af privatlivets fred, finder anvendelse på det datasæt med massepersonoplysninger, der er beskrevet i tilladelsen (162).

(106)

En kategoritilladelse tillader opbevaring eller opbevaring og undersøgelse af en kategori af massepersonoplysninger, der er beskrevet i tilladelsen.

(107)

Afgørelsen om at give kategoritilladelsen træffes af chefen for efterretningstjenesten, hvis denne finder, at section 226A finder anvendelse på alle datasæt inden for kategorien, og hvis afgørelsen om at give tilladelsen godkendes af en uafhængig Judicial Commissioner (163). Sidstnævnte skal undersøge, om Section 226A, dvs. lav eller ingen rimelig forventning, hvad angår kravet om beskyttelse af privatlivets fred, finder anvendelse på alle datasæt, der falder ind under den kategori af datasæt, der er beskrevet i tilladelsen (164).

(108)

Det er vigtigt at bemærke, at ved godkendelsen af en afgørelse om at indrømme en individuel tilladelse eller kategoritilladelse skal Judicial Commissioner »anvende de samme principper, som en domstol ville anvende på en anmodning om domstolsprøvelse« (165), og behandle disse spørgsmål med tilstrækkelig omhu for at sikre, at Judicial Commissioner overholder de forpligtelser, der er pålagt ved Section 2 i IPA 2016 (generelle forpligtelser vedrørende privatlivets fred) (166). Derudover er udstedelsen af tilladelser underlagt et strengt efterfølgende tilsyn, navnlig gennem årlig rapportering til Secretary of State og Intelligence and Security Committee of Parliament (167) og gennem regelmæssige inspektioner af Office of the IPC (168).

(109)

Med hensyn til den relevante udvikling på tilsynsområdet har Office of the IPC offentliggjort årsrapporter for 2021, 2022 og 2023, som indeholder detaljerede statistikker og oplysninger om efterretningstjenesternes og de retshåndhævende myndigheders brug af efterforskningsbeføjelser i Det Forenede Kongerige (169). I rapporterne beskrives også kontorets audits og undersøgelser samt deres resultater, hvilket bekræfter, at IPC fortsat varetager sin meget vigtige tilsynsfunktion under Det Forenede Kongeriges ordning for efterforskningsbeføjelser. I 2023 undersøgte kontoret f.eks. begrundelserne for nødvendighed og proportionalitet ved brugen af masseaflytningsbeføjelser (som vurderet i betragtning 218-225 til gennemførelsesafgørelse (EU) 2021/1772) fra Government Communications Headquarters (GCHQ) og konkluderede, at et betydeligt flertal af erklæringerne var formuleret med et solidt rationale, mens proportionaliteten i nogle tilfælde ikke var beskrevet tilfredsstillende. Disse resultater blev drøftet med GCHQ's compliance-team, som påtog sig at iværksætte yderligere interne kurser for at løse dette problem (170).

(110)

Desuden udsendte Investigatory Powers Tribunal en offentlig rapport om sine aktiviteter og sin retspraksis for perioden 2021-2023 (171). Rapporten viser, at antallet af sager, som Investigatory Powers Tribunal har modtaget, er mere end fordoblet siden 2017, idet der blev modtaget mere end 400 sager i 2023 (172). De fleste klager vedrørte retshåndhævende myndigheder, tæt fulgt af sikkerheds- og efterretningsmyndigheder (173). Det er vigtigt at bemærke, at Investigatory Powers Tribunal i 2022 og 2023 afsagde domme i sager, som den havde modtaget før 2021, hvori den fandt, at Det Forenede Kongeriges offentlige myndigheder (henholdsvis Police Scotland (174), Greater Manchester Police (175), Surrey Police (176) og MI5 og Home Secretary (177)) havde handlet ulovligt. Med hensyn til retsmidler beordrede Investigatory Powers Tribunal bl.a. destruktion af alt materiale, der var opnået ulovligt, og i ét tilfælde også betaling af 12 000 GBP som rimelig godtgørelse for de konstaterede overtrædelser. Årsrapporten bekræfter således, at Investigatory Powers Tribunal effektivt opfylder sin vigtige rolle med hensyn til at sikre tilsyn og klageadgang inden for strafferetlig håndhævelse og adgang til personoplysninger af hensyn til den nationale sikkerhed.

(111)

Desuden fremhæves der i rapporten også en vigtig udvikling på flere områder såsom en dom fra Den Europæiske Menneskerettighedsdomstol, hvori Domstolen fastslog, at enkeltpersoner overalt i verden kan anlægge sag ved Investigatory Powers Tribunal vedrørende anvendelsen af Det Forenede Kongeriges ordning for masseaflytning, hvis den pågældende adfærd blev udført af et offentligt organ i Det Forenede Kongerige og fandt sted i Det Forenede Kongerige (178).

(112)

Kommissionen mener, at UK GDPR og DPA 2018 som ændret ved Data (Use and Access) Act fortsat sikrer et beskyttelsesniveau for personoplysninger, der overføres fra Den Europæiske Union, som i det væsentlige svarer til det, der er garanteret ved forordning (EU) 2016/679.

(113)

Kommissionen finder desuden ud fra en samlet betragtning, at kontrolmekanismerne og domstolsadgangen i det Forenede Kongerige i praksis fortsat gør det muligt at fastslå og sanktionere overtrædelser, og at de sikrer den registrerede retsmidler til at opnå adgang til personoplysninger, som vedrører den pågældende, og til efterfølgende at få sådanne oplysninger berigtiget eller slettet.

(114)

Endelig finder Kommissionen på grundlag af de tilgængelige oplysninger om Det Forenede Kongeriges retsorden, at ethvert indgreb i de grundlæggende rettigheder for de personer, hvis personoplysninger overføres fra Den Europæiske Union til Det Forenede Kongerige af Det Forenede Kongeriges offentlige myndigheder af hensyn til den offentlige interesse, navnlig retshåndhævelse og statens sikkerhed, fortsat vil være begrænset til, hvad der er strengt nødvendigt for at nå det pågældende legitime mål, og at der findes en effektiv retsbeskyttelse mod et sådant indgreb.

(115)

I lyset af konklusionerne i denne afgørelse bør det derfor besluttes, at Det Forenede Kongerige fortsat sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 45 i forordning (EU) 2016/679, fortolket i lyset af Den Europæiske Unions charter om grundlæggende rettigheder.

(116)

Denne konklusion er baseret på både den relevante nationale ordning i Det Forenede Kongerige, som den har udviklet sig siden vedtagelsen af gennemførelsesafgørelse (EU) 2021/1772, og dets internationale forpligtelser, navnlig Det Forenede Kongeriges fortsatte overholdelse af den europæiske menneskerettighedskonvention og Den Europæiske Menneskerettighedsdomstols jurisdiktion. Fortsat overholdelse af sådanne internationale forpligtelser er derfor et særligt vigtigt element i den vurdering, som denne afgørelse er baseret på.

(117)

Medlemsstaterne og deres organer er forpligtet til at træffe de nødvendige foranstaltninger for at efterkomme EU-institutionernes retsakter, idet sidstnævnte formodes at være lovlige og derfor afføder retsvirkninger, indtil de udløber, trækkes tilbage, annulleres under et annullationssøgsmål eller erklæres ugyldige som følge af en præjudiciel forelæggelse eller en ulovlighedsindsigelse.

(118)

En afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 er således bindende for alle de organer i medlemsstaterne, som den er rettet til, herunder deres uafhængige tilsynsmyndigheder. I gyldighedsperioden for gennemførelsesafgørelse (EU) 2021/1772 som ændret ved denne afgørelse kan overførsler fra en dataansvarlig eller databehandler i Den Europæiske Union til dataansvarlige eller databehandlere i Det Forenede Kongerige finde sted uden yderligere godkendelse.

(119)

Det bør bemærkes, at i henhold til artikel 58, stk. 5, i forordning (EU) 2016/679, og som Domstolen forklarede i Schrems I-dommen (179), skal den nationale lovgivning, når en national databeskyttelsesmyndighed, herunder efter en klage, sætter spørgsmålstegn ved, om en afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet er forenelig med den enkeltes grundlæggende ret til privatlivets fred og databeskyttelse, give den mulighed for at gøre disse klagepunkter gældende for en national domstol, som eventuelt kan forelægge Domstolen et præjudicielt spørgsmål (180).

(120)

I henhold til artikel 45, stk. 4, i forordning (EU) 2016/679 skal Kommissionen løbende overvåge den relevante udvikling i Det Forenede Kongerige for at vurdere, om det stadig sikrer et i det væsentlige tilsvarende beskyttelsesniveau. En sådan overvågning er særlig vigtig, fordi Det Forenede Kongerige vil anvende og håndhæve en ændret databeskyttelsesordning. Desuden giver Det Forenede Kongeriges ændrede databeskyttelsesramme Secretary of State beføjelse til yderligere at præcisere denne ramme gennem afledt ret. I den forbindelse bør der lægges særlig vægt på sådanne yderligere specifikationer samt på den praktiske anvendelse af Det Forenede Kongeriges ændrede regler om overførsel af personoplysninger til tredjelande samt på effektiviteten af udøvelsen af individuelle rettigheder, herunder enhver relevant udvikling i lovgivning og praksis vedrørende de nyligt indførte undtagelser fra eller begrænsninger af sådanne rettigheder, og den omstrukturerede ICO's funktion, herunder med hensyn til klagebehandling og anvendelse af korrigerende beføjelser samt overholdelse af begrænsninger og garantier med hensyn til statslig adgang, navnlig hvad angår den nyligt indførte Part 7A i IPA 2016. Blandt andet skal udviklingen i retspraksis og ICO's og andre uafhængige organers tilsyn danne grundlag for Kommissionens tilsyn.

(121)

For at lette dette tilsyn bør Det Forenede Kongeriges myndigheder straks underrette Kommissionen om enhver væsentlig ændring af Det Forenede Kongeriges retsorden, som har indvirkning på den retlige ramme, der er genstand for gennemførelsesafgørelse (EU) 2021/1772 som ændret ved denne afgørelse samt enhver udvikling i praksis i forbindelse med behandling af personoplysninger, der vurderes i gennemførelsesafgørelse (EU) 2021/1772 som ændret ved denne afgørelse, både hvad angår dataansvarliges og databehandleres behandling af personoplysninger i henhold til UK GDPR og de begrænsninger og garantier, der gælder for offentlige myndigheders adgang til personoplysninger. Dette bør omfatte udviklingen med hensyn til de elementer, der er nævnt i betragtning 120.

(122)

For at gøre det muligt for Kommissionen at udøve sin overvågningsfunktion effektivt bør medlemsstaterne desuden underrette Kommissionen om alle relevante foranstaltninger, der træffes af de nationale databeskyttelsesmyndigheder, navnlig vedrørende forespørgsler eller klager fra registrerede i EU vedrørende overførsel af personoplysninger fra Unionen til dataansvarlige eller databehandlere i Det Forenede Kongerige. Kommissionen bør også underrettes om eventuelle indikationer på, at Det Forenede Kongeriges myndigheder med ansvar for forebyggelse, efterforskning, afsløring og retsforfølgelse på det strafferetlige område eller for statens sikkerhed, herunder alle tilsynsmyndigheder, handler på en måde, der ikke sikrer det krævede beskyttelsesniveau.

(123)

Hvis tilgængelige oplysninger, navnlig oplysninger fra tilsynet med gennemførelsesafgørelse (EU) 2021/1772 som ændret ved denne afgørelse eller fra Det Forenede Kongeriges eller medlemsstaternes myndigheder, viser, at det beskyttelsesniveau, som Det Forenede Kongerige yder, måske ikke længere er tilstrækkeligt, bør Kommissionen øjeblikkeligt underrette de kompetente britiske myndigheder herom og anmode om, at der træffes passende foranstaltninger inden for en nærmere fastsat tidsramme, der ikke må overstige tre måneder. Hvor det er nødvendigt, kan denne tidsramme forlænges med en nærmere fastsat periode, idet der tages hensyn til de pågældende forholds karakter og/eller de foranstaltninger, der skal træffes. En sådan procedure vil f.eks. blive udløst i tilfælde, hvor videreoverførsler, herunder på grundlag af nye bestemmelser om tilstrækkeligheden af beskyttelsesniveauet vedtaget af Secretary of State eller internationale aftaler indgået af Det Forenede Kongerige, ikke længere gennemføres under garantier, der sikrer kontinuitet i beskyttelsen som omhandlet i artikel 44 i forordning (EU) 2016/679.

(124)

Hvis Det Forenede Kongeriges kompetente myndigheder ved udløbet af den fastsatte tidsramme ikke træffer denne foranstaltning eller på anden måde på tilfredsstillende vis godtgør, at denne afgørelse fortsat er baseret på et passende beskyttelsesniveau, indleder Kommissionen proceduren i artikel 93, stk. 2, i forordning (EU) 2016/679 med henblik på helt eller delvis at suspendere eller ophæve denne afgørelse.

(125)

Alternativt vil Kommissionen indlede denne procedure med henblik på at ændre afgørelsen, navnlig ved at underkaste dataoverførsler yderligere betingelser eller ved at begrænse omfanget af konstateringen af et tilstrækkeligt beskyttelsesniveau til kun at omfatte dataoverførsler, for hvilke der fortsat sikres et tilstrækkeligt beskyttelsesniveau.

(126)

I behørigt begrundede særligt hastende tilfælde vil Kommissionen gøre brug af muligheden for efter proceduren i artikel 93, stk. 3, i forordning (EU) 2016/679 at vedtage gennemførelsesretsakter, der finder anvendelse straks, og som suspenderer, ophæver eller ændrer afgørelsen.

(127)

I medfør af artikel 45, stk. 3, i forordning (EU) 2016/679 og henset til den omstændighed, at det beskyttelsesniveau, som Det Forenede Kongeriges retlige ramme sikrer, kan ændre sig, vil Kommissionen efter vedtagelse af denne afgørelse med regelmæssige mellemrum undersøge, om konstateringen af det tilstrækkelige beskyttelsesniveau, som er sikret af Det Forenede Kongerige, stadig er faktisk og retligt begrundet, idet der tages hensyn til de elementer, der er anført i artikel 45, stk. 2, i forordning (EU) 2016/679. Sådanne evalueringer bør finde sted mindst hvert fjerde år og bør omfatte alle aspekter af denne afgørelses funktion, herunder de relevante tilsyns- og håndhævelsesmekanismers funktion.

(128)

For at foretage revisionen bør Kommissionen mødes med relevante repræsentanter for de britiske myndigheder, herunder Information Commission. Deltagelsen i dette møde bør være åben for repræsentanter for medlemmerne af Det Europæiske Databeskyttelsesråd. I forbindelse med revisionen bør Kommissionen anmode Det Forenede Kongerige om at fremlægge omfattende oplysninger om alle aspekter, der er relevante for konstateringen af et tilstrækkeligt beskyttelsesniveau. Kommissionen bør også indhente forklaringer vedrørende alle oplysninger, der er relevante for denne afgørelse, og som den har modtaget, herunder fra Det Europæiske Databeskyttelsesråd, individuelle databeskyttelsesmyndigheder, civilsamfundsgrupper, offentlig rapportering eller medierne eller enhver anden tilgængelig informationskilde.

(129)

Kommissionen vil på grundlag af revisionen udarbejde en offentlig rapport til Europa-Parlamentet og Rådet.

(130)

Kommissionen skal også tage hensyn til, at den databeskyttelsesramme, der vurderes i denne afgørelse og i gennemførelsesafgørelse (EU) 2021/1772, kan udvikle sig yderligere.

(131)

Det bør derfor fastsættes, at denne afgørelse finder anvendelse i en periode på seks år fra dens ikrafttræden.

(132)

Hvis navnlig oplysninger som følge af overvågningen af denne afgørelse viser, at konklusionerne vedrørende tilstrækkeligheden af det beskyttelsesniveau, der sikres i Det Forenede Kongerige, stadig er faktuelt og retligt begrundede, bør Kommissionen senest seks måneder inden denne afgørelses ophør indlede proceduren for ændring af denne afgørelse ved i princippet at forlænge dens gyldighedsperiode med yderligere fire år. En sådan gennemførelsesretsakt om ændring af denne afgørelse skal vedtages efter proceduren i artikel 93, stk. 2, i direktiv (EU) 2016/679.

(133)

Det Europæiske Databeskyttelsesråd har offentliggjort en udtalelse (181), som er blevet taget i betragtning ved udarbejdelsen af denne afgørelse.

(134)

Foranstaltningen i denne afgørelse er i overensstemmelse med udtalelsen fra det udvalg, der er nedsat ved artikel 93 i forordning (EU) 2016/679.

(135)

Gennemførelsesafgørelse (EU) 2021/1772 bør derfor ændres —